מדיניות פרטיות ליועץ עסקי שמוכר ומנהל לקוחות דרך Shopify
עודכן ב-30 בינואר 2025
יועץ עסקי שמשתמש ב-Shopify לא מנהל חנות סתם - הוא אוסף מידע עסקי רגיש: נתוני פעילות, תוכניות אסטרטגיות, מצב פיננסי של לקוחות, ולעיתים מידע על עובדים ושותפים. Shopify היא ספקית ענן זרה הפועלת מחוץ לישראל, ולכן כל מידע שמועלה אליה עובר למיקור חוץ בפועל - עם חובות חוזיות וניהוליות לפי הדין הישראלי. שילוב זה - מידע בעל רגישות מיוחדת מחד וספק ענן זר מאידך - יוצר מרחב חבות שמסמך גנרי מהאינטרנט לא מכסה.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- Shopify מאחסנת את נתוני לקוחותיך בשרתים מחוץ לישראל: כל מידע עסקי רגיש שמסר לך לקוח - תוכניות עסקיות, נתונים פיננסיים, מבנה ארגוני - עובר לספק ענן זר ללא הסכם מיקור חוץ תקין, וזו חשיפה ישירה לפי תקנה 15 לתקנות אבטחת מידע.
- ה-App Store של Shopify מזמין שימוש בכלי CRM, אוטומציה שיווקית ותזמון פגישות - כל אפליקציה כזו מקבלת גישה לנתוני הלקוחות שלך, ללא שנתת לכל אחד מלקוחותיך יידוע ספציפי לפי סעיף 11 לחוק על מי שמידעם נמסר לו.
- יועצים עסקיים רבים שולחים הצעות מחיר, סיכומי ישיבות ודוחות ביצוע ישירות מהמערכת - פעולה שנחשבת דיוור ישיר לפי חוק התקשורת ומחייבת הסכמה מפורשת ותיעוד, שרוב תבניות ה-Shopify המוכנות לא מייצרות.
שאלות נפוצות
האם Shopify נחשבת 'מיקור חוץ' לפי הדין הישראלי, ומה זה אומר עליי כיועץ?
כן. לפי תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, העברת מידע לספק ענן זר - כמו Shopify שפועלת מחוץ לישראל - מחייבת הסכם מיקור חוץ שמגדיר אחריות, מגבלות שימוש ואבטחה. כיועץ עסקי שאוסף מידע על לקוחות עסקיים, אתה בעל המאגר ואחראי להסכם זה - גם אם Shopify מציעה תנאי שירות סטנדרטיים, הם אינם מחליפים את חובתך.
מה רמת האבטחה הנדרשת עבור מאגר שמכיל מידע עסקי רגיש של לקוחות ייעוץ?
מידע עסקי רגיש - כגון מצב פיננסי, תוכניות אסטרטגיות, נתוני עובדים ומידע על בעלי מניות - עשוי לסווג את המאגר ברמת אבטחה בינונית עד גבוהה. המשמעות: נוהל אבטחה מתועד לפי תקנה 4א, מסמך מבנה מאגר לפי תקנה 5א, ובמקרה של אירוע אבטחה - דיווח באופן מיידי לפי תקנה 11.
לקוח ביקש לראות איזה מידע שמרתי עליו - מה החובה שלי?
לפי חוק הגנת הפרטיות, לכל אדם זכות עיון במידע המוחזק עליו במאגר. עליך לאפשר עיון תוך זמן סביר, ואם המידע שגוי - לתקנו. כיועץ, חשוב שתדע בדיוק היכן מידע הלקוח יושב: ב-Shopify עצמה, באפליקציות App Store שחיברת, ובתיקיות ענן חיצוניות - כי זכות העיון חלה על כולם.
כמה זמן עליי לשמור תיעוד של פגישות ייעוץ וחשבוניות שהפקתי דרך Shopify?
חשבוניות ומסמכים פיננסיים שהפקת חייבים להישמר 7 שנים לפי פקודת מס הכנסה וחוק מע"מ. מסמכי ייעוץ שאינם פיננסיים - כגון סיכומי ישיבות ותוכניות עבודה - אינם כפופים לאותה חובה, אך מדיניות פרטיות תקינה מגדירה להם מדיניות מחיקה ברורה, כדי שלא תחזיק מידע מעבר לנדרש.
אני שולח ניוזלטר ועדכונים מקצועיים ללקוחות ישנים דרך Shopify Ascend - האם צריך הסכמה?
כן. משלוח דיוור ישיר - גם אם מדובר בתוכן ערכי ולא פרסומי בלבד - מחייב הסכמה מפורשת, ניתנת לביטול בכל עת, לפי סעיף 30א לחוק התקשורת (בזק ושידורים), התשמ"ב-1982. הסכמה שניתנה בעל-פה בפגישה אינה מספיקה - נדרש תיעוד של ממש, ומנגנון הסרה פונקציונלי בכל הודעה.