מדיניות פרטיות למרפאה ב-Shopify: מידע רפואי, App Store וסליקה - הכול בחוק אחד
עודכן ב-13 ביולי 2025
מרפאה שמשתמשת ב-Shopify כדי למכור תורים, תוספי תזונה, ציוד רפואי או שירותי טיפול - אוספת שני סוגי מידע בו-זמנית: פרטי לקוח לצורך סליקה, ומידע רפואי שהוא מידע בעל רגישות מיוחדת מובהק לפי סעיף 7 לחוק הגנת הפרטיות. הבעיה: Shopify היא ספק ענן זר שמעבד את הנתונים האלה על שרתים מחוץ לישראל, ואפליקציות ה-App Store שמחוברות לחנות שלכם עשויות לגשת גם הן לאותו מידע. מסמך פרטיות גנרי לא מספיק כאן - נדרש מסמך שמתייחס במפורש למיקור חוץ, למידע בעל רגישות מיוחדת ולחובות הדיווח המוגברות שנובעות מכך.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- Shopify כספק ענן זר: כל מידע רפואי שנאסף דרך החנות - שמות מטופלים, מצבים בריאותיים, תשלומים על טיפולים - עובר לשרתי Shopify Inc. מחוץ לישראל. העברה כזו ללא הסדרת מיקור חוץ כנדרש בתקנה 15 לתקנות הגנת הפרטיות חושפת את המרפאה לאחריות ישירה, גם אם ה'אשמה' היא של הפלטפורמה.
- אפליקציות App Store עם גישה למידע רפואי: כשאתם מתקינים אפליקציית תורים, CRM רפואי או אינטגרציית ביטוח דרך ה-App Store של Shopify - אתם בפועל מאפשרים לצד שלישי נוסף לגשת למידע שיכול לכלול אבחנות, תרופות או היסטוריה רפואית. כל אפליקציה כזו היא נקודת מיקור חוץ נפרדת שחייבת להיות מוסדרת ומתועדת.
- חובת יידוע כפולה בקופה: כשמטופל ממלא פרטים בעמוד ה-Checkout של Shopify ומשלם על טיפול, חלה עליו חובת יידוע מלאה לפי סעיף 11 לחוק - כולל מטרת השימוש, למי יועבר המידע, והאם מסירתו רשות או חובה. שדות ה-Checkout הסטנדרטיים של Shopify לא כוללים את זה כברירת מחדל, ועמוד פרטיות נפרד לא מספיק.
שאלות נפוצות
האם מרפאה שמשתמשת ב-Shopify חייבת לרשום מאגר מידע?
לא בהכרח, אבל הסף לרישום חובה הוא 10,000 רשומות (סעיף 8(ג) לחוק). מרפאות בינוניות רבות עשויות להגיע לרף הזה, אך מכיוון שמדובר במידע רפואי - מידע בעל רגישות מיוחדת מובהק לפי סעיף 7 לחוק - גם בלי חובת רישום קיימות חובות אבטחה ותיעוד מוגברות. מומלץ לבחון את הנפח בפועל מדי שנה.
מה קורה אם Shopify או אפליקציית App Store חווים פריצה שחשפה מידע רפואי של מטופלים?
אם המאגר שלכם מסווג כרמה בינונית או גבוהה (סביר בהנחה שמידע רפואי מעלה את הסיווג), חלה חובת דיווח לרשות הגנת הפרטיות באופן מיידי מרגע הגילוי - לפי תקנה 11 לתקנות הגנת הפרטיות. העובדה שהאירוע קרה על שרתי Shopify ולא אצלכם לא פוטרת אתכם מהדיווח; אתם בעלי המאגר.
האם מספיק לשים קישור ל'מדיניות פרטיות' בפוטר של חנות Shopify?
לא. חובת היידוע לפי סעיף 11 לחוק הגנת הפרטיות דורשת שהיידוע יינתן בעת האיסוף - כלומר, בעמוד הרישום או ה-Checkout, לא רק בפוטר. במרפאה, שם נאסף מידע רפואי, נדרש יידוע מפורש ובולט לגבי מטרת העיבוד, מי יראה את המידע, ומה זכויות המטופל.
כיצד מסדירים את מיקור החוץ לגבי Shopify עצמה ולגבי אפליקציות ה-App Store?
לפי תקנה 15 לתקנות הגנת הפרטיות, עליכם לוודא שכל ספק שמעבד מידע מטעמכם - כולל Shopify Inc. וכל אפליקציה ב-App Store שהפעלתם - מחויב בחוזה לרמת אבטחה המקבילה לזו שנדרשת מכם. יש לתעד את ההסדרים האלה ולעדכנם בכל פעם שמוסיפים אפליקציה חדשה.
מרפאה שמוכרת גם מוצרים פיזיים (כגון תוספי תזונה) דרך Shopify - האם דיני הפרטיות שונים?
מבחינת חוק הגנת הפרטיות, הכלל הוא לפי הנתון הרגיש ביותר במאגר. אם אותו לקוח שקנה תוסף תזונה גם שיתף פרטים רפואיים - הכול כפוף לכללי המידע הרגיש. בנוסף, נתוני תשלום הנאספים דרך שערי הסליקה של Shopify (כגון Shopify Payments) כפופים גם להם לחובות יידוע ואבטחה. חשוב לנסח מדיניות פרטיות שמכסה את שני המסלולים בנפרד.