מדיניות פרטיות למכון יופי שמוכר ב-Shopify - נתוני לקוחות, רגישויות עור ותמונות לפי החוק הישראלי
עודכן ב-30 בינואר 2025
מכון יופי שמנהל חנות ב-Shopify אוסף שילוב ייחודי של מידע: תמונות לקוחות לפני ואחרי טיפול, רגישויות עור ואלרגיות, היסטוריית טיפולים - ולצד זה נתוני תשלום שעוברים דרך שערי סליקה כמו Shopify Payments ו-PayPlus. חלק ניכר מהמידע הזה מסווג כ"מידע בעל רגישות מיוחדת" לפי סעיף 7 לחוק הגנת הפרטיות, מה שמחייב הגנה ברמת אבטחה גבוהה ויידוע מפורש של הלקוח בעת האיסוף. מסמך מדיניות פרטיות גנרי - או כזה שנכתב עבור חנות בגדים רגילה - פשוט לא מספיק כאן.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- תמונות 'לפני ואחרי' ורגישויות עור הן מידע בעל רגישות מיוחדת לפי סעיף 7 לחוק - איסופן ללא הסכמה מפורשת ויידוע בכתב חושף את המכון לעיצומים כספיים משמעותיים
- Shopify היא ספק ענן זר (שרתים מחוץ לישראל), והעברת מידע בעל רגישות מיוחדת על לקוחות אליה מחייבת הסדר מיקור חוץ תקין לפי תקנה 15 לתקנות אבטחת מידע - וכן בחינה של כל אפליקציית צד-ג שהותקנה דרך ה-App Store (קביעת פגישות, CRM, שיווק) שמקבלת גישה לאותו מידע
- שילוב של נתוני בריאות עור עם נתוני סליקה (Shopify Payments, PayPlus) מגדיל את רמת הסיכון של המאגר ומחייב נוהל אבטחה מסודר, ובמקרה של אירוע אבטחה - דיווח מיידי לרשות לפי תקנה 11
שאלות נפוצות
האם תמונות 'לפני ואחרי' שאני שומרת ב-Shopify נחשבות מידע בעל רגישות מיוחדת?
כן. תמונות שחושפות מצב עור, רגישויות, או ממאירויות עור מסווגות כמידע בעל רגישות מיוחדת לפי סעיף 7 לחוק הגנת הפרטיות. זה אומר שצריך לקבל הסכמה מפורשת ומודעת מהלקוחה לפני האיסוף, לציין מפורשות לאיזו מטרה התמונות נשמרות ולמי הן נחשפות, ולא ניתן להשתמש בהן לצרכי שיווק - גם לא ברשתות החברתיות - ללא אישור נפרד וכתוב.
כל האפליקציות שהוספתי מ-Shopify App Store - האם הן בעיה מבחינת פרטיות?
פוטנציאלית, כן. כל אפליקציה שמקבלת גישה לנתוני לקוחות (קביעת תורים, תזכורות SMS, CRM, ניתוח נתונים) הופכת ל'מחזיק מאגר' משנה. לפי תקנה 15 לתקנות אבטחת מידע, אתם כבעלי המאגר אחראים לוודא שכל ספק כזה עומד בסטנדרטים הנדרשים ויש הסכם מיקור חוץ מתאים. כדאי לעשות סקר קצר של כל האפליקציות הפעילות ולוודא שאף אחת לא שומרת מידע בעל רגישות מיוחדת על לקוחות ללא הגנה מספקת.
לקוחה ביקשה לראות את כל המידע שיש לי עליה - מה חובתי?
לפי חוק הגנת הפרטיות יש ללקוחה זכות עיון מלאה במידע שנאגר עליה - כולל תמונות, היסטוריית טיפולים, ורגישויות שתיעדת. עליכם לספק את המידע בתוך פרק זמן סביר. אם נמצאו שגיאות - הלקוחה רשאית לדרוש תיקון, ואם היא דורשת מחיקה - יש לבחון את הבקשה ברצינות, בייחוד כשלא קיים עוד צורך עסקי לשמירת המידע.
Shopify שולחת לי אימיילים שיווקיים ללקוחות דרך Shopify Email - האם זה חוקי?
רק אם הלקוחות נתנו הסכמה מפורשת לקבלת דיוור פרסומי. חוק התקשורת (בזק ושידורים), התשמ"ב-1982 - סעיף 30א, אוסר שליחת דיוור ישיר ללא הסכמה אקטיבית מראש (opt-in). טופס הרישום ב-Shopify חייב לכלול תיבת סימון נפרדת ולא מסומנת מראש לניוזלטר, ולכל הודעה חייב להיות מנגנון הסרה פעיל.
מה קורה אם יש פריצה לחנות ה-Shopify שלי ומידע על לקוחות דלף?
אם המאגר שלכם מסווג ברמת אבטחה בינונית או גבוהה (סביר מאוד כשמדובר במידע בעל רגישות מיוחדת על בריאות העור), חלה עליכם חובת דיווח מיידית לרשות להגנת הפרטיות לפי תקנה 11 לתקנות אבטחת מידע - באופן מיידי מרגע הגילוי. כמו כן יש לשקול יידוע הלקוחות שנפגעו. אי-דיווח עלול להוביל לעיצומים כספיים משמעותיים.