מדיניות פרטיות ליועץ עסקי שמוכר ומנהל לקוחות דרך Shopify
עודכן ב-30 בינואר 2025
יועץ עסקי שמשתמש ב-Shopify לא מנהל חנות סתם - הוא אוסף מידע עסקי רגיש: נתוני פעילות, תוכניות אסטרטגיות, מצב פיננסי של לקוחות, ולעיתים מידע על עובדים ושותפים. Shopify היא ספקית ענן זרה הפועלת מחוץ לישראל, ולכן כל מידע שמועלה אליה עובר למיקור חוץ בפועל - עם חובות חוזיות וניהוליות לפי הדין הישראלי. שילוב זה - מידע בעל רגישות מיוחדת מחד וספק ענן זר מאידך - יוצר מרחב חבות שמסמך גנרי מהאינטרנט לא מכסה.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- Shopify מאחסנת את נתוני לקוחותיך בשרתים מחוץ לישראל: כל מידע עסקי רגיש שמסר לך לקוח - תוכניות עסקיות, נתונים פיננסיים, מבנה ארגוני - עובר לספק ענן זר ללא הסכם מיקור חוץ תקין, וזו חשיפה ישירה לפי תקנה 15 לתקנות אבטחת מידע.
- ה-App Store של Shopify מזמין שימוש בכלי CRM, אוטומציה שיווקית ותזמון פגישות - כל אפליקציה כזו מקבלת גישה לנתוני הלקוחות שלך, ללא שנתת לכל אחד מלקוחותיך יידוע ספציפי לפי סעיף 11 לחוק על מי שמידעם נמסר לו.
- יועצים עסקיים רבים שולחים הצעות מחיר, סיכומי ישיבות ודוחות ביצוע ישירות מהמערכת - פעולה שנחשבת דיוור ישיר לפי חוק התקשורת ומחייבת הסכמה מפורשת ותיעוד, שרוב תבניות ה-Shopify המוכנות לא מייצרות.
שאלות נפוצות
האם Shopify נחשבת 'מיקור חוץ' לפי הדין הישראלי, ומה זה אומר עליי כיועץ?
כן. לפי תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, העברת מידע לספק ענן זר - כמו Shopify שפועלת מחוץ לישראל - מחייבת הסכם מיקור חוץ שמגדיר אחריות, מגבלות שימוש ואבטחה. כיועץ עסקי שאוסף מידע על לקוחות עסקיים, אתה בעל המאגר ואחראי להסכם זה - גם אם Shopify מציעה תנאי שירות סטנדרטיים, הם אינם מחליפים את חובתך.
מה רמת האבטחה הנדרשת עבור מאגר שמכיל מידע עסקי רגיש של לקוחות ייעוץ?
מידע עסקי רגיש - כגון מצב פיננסי, תוכניות אסטרטגיות, נתוני עובדים ומידע על בעלי מניות - עשוי לסווג את המאגר ברמת אבטחה בינונית עד גבוהה. המשמעות: נוהל אבטחה מתועד לפי תקנה 4א, מסמך מבנה מאגר לפי תקנה 5א, ובמקרה של אירוע אבטחה - דיווח באופן מיידי לפי תקנה 11.
לקוח ביקש לראות איזה מידע שמרתי עליו - מה החובה שלי?
לפי חוק הגנת הפרטיות, לכל אדם זכות עיון במידע המוחזק עליו במאגר. עליך לאפשר עיון תוך זמן סביר, ואם המידע שגוי - לתקנו. כיועץ, חשוב שתדע בדיוק היכן מידע הלקוח יושב: ב-Shopify עצמה, באפליקציות App Store שחיברת, ובתיקיות ענן חיצוניות - כי זכות העיון חלה על כולם.
כמה זמן עליי לשמור תיעוד של פגישות ייעוץ וחשבוניות שהפקתי דרך Shopify?
חשבוניות ומסמכים פיננסיים שהפקת חייבים להישמר 7 שנים לפי פקודת מס הכנסה וחוק מע"מ. מסמכי ייעוץ שאינם פיננסיים - כגון סיכומי ישיבות ותוכניות עבודה - אינם כפופים לאותה חובה, אך מדיניות פרטיות תקינה מגדירה להם מדיניות מחיקה ברורה, כדי שלא תחזיק מידע מעבר לנדרש.
אני שולח ניוזלטר ועדכונים מקצועיים ללקוחות ישנים דרך Shopify Ascend - האם צריך הסכמה?
כן. משלוח דיוור ישיר - גם אם מדובר בתוכן ערכי ולא פרסומי בלבד - מחייב הסכמה מפורשת, ניתנת לביטול בכל עת, לפי סעיף 30א לחוק התקשורת (בזק ושידורים), התשמ"ב-1982. הסכמה שניתנה בעל-פה בפגישה אינה מספיקה - נדרש תיעוד של ממש, ומנגנון הסרה פונקציונלי בכל הודעה.
אם דלף מידע עסקי וחסוי של לקוחות הייעוץ שלי - תוך כמה זמן עליי לדווח ולמי?
בעת אירוע אבטחה חמור החושף מידע אישי, תקנה 11(ד) לתקנות אבטחת מידע מחייבת דיווח מיידי לרשות להגנת הפרטיות. במקרים מסוימים נדרש גם ליידע את הלקוחות שנפגעו, במיוחד כשנחשף מידע עסקי רגיש שעלול לפגוע בהם. מומלץ להכין מראש נוהל תגובה לאירוע, לתעד את האירוע ואת הצעדים שננקטו, ולבדוק האם הדליפה מקורה ב-Shopify עצמה או באפליקציה מה-App Store.
כשלקוח חדש ממלא טופס פנייה בחנות שלי - מה אני חייב ליידע אותו לפני שאני אוסף את פרטיו?
סעיף 11 לחוק הגנת הפרטיות מטיל חובת יידוע: עליך להבהיר ללקוח מהי מטרת איסוף הפרטים, האם המסירה היא חובה או רצון חופשי, ולמי המידע עשוי להימסר - לרבות Shopify כספק זר ואפליקציות צד-שלישי. רצוי לשלב הצהרת פרטיות קצרה וקישור למדיניות המלאה בטופס יצירת הקשר עצמו. כך אתה גם עומד בחובה וגם משדר אמינות מקצועית.