מדיניות פרטיות למוסך ולהשכרת רכב ב-Shopify - עמידה בדין הישראלי
עודכן ב-14 ביולי 2025
מוסך או עסק להשכרת רכב שמנהל הזמנות, תשלומים ואזור לקוחות דרך Shopify, אוסף בפועל שילוב יוצא דופן של נתונים: פרטי רישוי ורכב, היסטוריית טיפולים מוגדרת לכל לקוח, ופרטי תשלום שמעובדים על ידי שערי סליקה כמו Stripe או PayPlus. Shopify היא ספק ענן זר, שרתיה יושבים מחוץ לישראל, ואפליקציות צד-שלישי מה-App Store מוסיפות שכבות נוספות של עיבוד מידע - כל אחת מהן מחייבת הסדרה מול ספק שירות חיצוני לפי תקנות אבטחת מידע. בלי מדיניות פרטיות ייעודית שמתייחסת לשלוש רמות הנתונים האלה, העסק שלך חשוף לעיצומים ולתלונות לרשות להגנת הפרטיות.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- היסטוריית טיפולים ונתוני רישוי הם מידע אישי מזהה שנשמר לאורך זמן - בלי נוהל אבטחה כתוב ומסמך מבנה מאגר, המאגר שלך לא עומד בתקנות גם אם אינך חושב עליו כ'מאגר מידע'.
- אפליקציות ה-App Store של Shopify - לתזכורות שירות, ניהול לקוחות או שיווק SMS - הן ספקי מיקור חוץ לפי תקנה 15. בלי הסכם מתאים עם כל ספק, האחריות המלאה נשארת אצלך.
- עסקי השכרת רכב שאוספים פרטי רישיון נהיגה ומעתיקים תעודות זהות נוגעים במידע שמחייב הגנה ברמת אבטחה גבוהה - ואירוע אבטחה במאגר כזה מחייב דיווח מיידי לרשות באופן מיידי.
שאלות נפוצות
האם מספר רישוי רכב או פרטי רישיון נהיגה נחשבים 'מידע אישי' לפי החוק הישראלי?
כן. כל נתון שמאפשר זיהוי של אדם - לרבות מספר רישיון נהיגה, תמונת רישיון, ומספר רכב שניתן לקשרו לבעלים - נחשב מידע אישי לפי חוק הגנת הפרטיות. מאגר שמכיל נתונים כאלה מחייב מסמך מבנה מאגר ונוהל אבטחה בהתאם לתקנות. שימוש בהם מחייב יידוע מפורש ללקוח בעת האיסוף לפי סעיף 11 לחוק.
היסטוריית הטיפולים של הלקוח שמורה ב-Shopify - מה זה אומר מבחינת הדין?
היסטוריית טיפולים שמזוהה עם לקוח ספציפי - כגון תאריכי כניסה, סוג הטיפול, ותיאור תקלות - מהווה מידע אישי לכל דבר. מאחר ש-Shopify שומרת נתונים אלה על שרתים מחוץ לישראל, מדובר בהעברת מידע לספק מיקור חוץ זר, שחייבת להיות מוסדרת בכתב לפי תקנה 15. מדיניות הפרטיות של העסק חייבת לציין זאת במפורש.
אני משתמש באפליקציה מה-App Store לשליחת תזכורות טיפול ב-SMS - האם זה מחייב הסכם נפרד?
כן. כל אפליקציית צד-שלישי מה-App Store שמקבלת גישה לנתוני לקוחות - שמות, מספרי טלפון, היסטוריית שירות - נחשבת ספק מיקור חוץ לפי תקנה 15 לתקנות אבטחת מידע. עליך לוודא שלאפליקציה יש מדיניות פרטיות ברורה, ורצוי להחתים על הסכם עיבוד נתונים. נוסף על כך, שליחת SMS שיווקי מחייבת הסכמה מפורשת לפי חוק התקשורת סעיף 30א.
מה קורה אם מישהו פורץ לנתוני ההשכרה שלי - רישיונות, כרטיסי אשראי, פרטי לקוחות?
אם המאגר שלך מסווג ברמת אבטחה בינונית או גבוהה - וסביר שמאגר עם נתוני רישיון נהיגה ותשלום יסווג כך - חלה עליך חובת דיווח מיידית לרשות להגנת הפרטיות באופן מיידי מרגע גילוי האירוע, לפי תקנה 11. איחור בדיווח עלול להוסיף הפרה על גבי הפרה ולהכביד את העיצום.
כמה זמן אני חייב לשמור חשבוניות ורשומות תשלום מהמוסך?
לפי פקודת מס הכנסה וחוק מע"מ, חייבים לשמור ספרי חשבונות וחשבוניות במשך 7 שנים. אם מדיניות הפרטיות שלך לא מסבירה את תקופת השמירה הזו, לקוחות עלולים לבקש מחיקת מידע שאתה מחויב בחוק לשמור - מצב שדורש ניסוח משפטי מדויק שמסביר את ההבדל.