מדיניות פרטיות למכון כושר ומאמן אישי ב-Shopify - כי נתוני הבריאות של הלקוחות שלך הם מידע בעל רגישות מיוחדת לפי החוק
עודכן ב-30 בינואר 2025
כשאתה מוכר תוכניות אימון, מנויים או פגישות אישיות דרך Shopify, אתה אוסף הרבה יותר ממייל וכתובת למשלוח. שאלוני הערכה גופנית, יעדי ירידה במשקל, תמונות לפני/אחרי ומצב בריאותי - כולם מוגדרים כ"מידע בעל רגישות מיוחדת" לפי סעיף 7 לחוק הגנת הפרטיות, ומחייבים הסכמה מפורשת ותנאי אחסון מחמירים. Shopify כספק ענן זר מוסיפה שכבה נוספת: נתוני הלקוחות עוברים שרתים מחוץ לישראל, ואפליקציות ה-App Store שמחוברות לחנות שלך - לוחות זמנים, CRM ואפליקציות תזונה - עשויות לגשת למידע הזה ללא הסכמת הלקוח. מסמך פרטיות גנרי לא יכסה את הסיכון הזה.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- תמונות לפני/אחרי ושאלוני בריאות שנשמרים ב-Shopify Customer Fields או באפליקציית צד-ג - ללא הסכמה מפורשת בכתב למידע בעל רגישות מיוחדת, זו הפרה של סעיף 7 לחוק, גם אם הלקוח מילא את הטופס בעצמו.
- אפליקציות App Store לניהול לוחות זמנים, אימייל מרקטינג ותזונה מקבלות גישה אוטומטית לנתוני הלקוחות - Shopify מאפשרת זאת בהגדרות ברירת המחדל, אך תקנה 15 לתקנות אבטחת מידע מחייבת חוזה מיקור חוץ מסודר עם כל ספק כזה.
- שערי תשלום כמו Stripe ו-PayPlus שמחוברים לחנות מעבירים נתוני עסקה לשרתים בחו"ל - ללא גילוי ברור ללקוח בנקודת האיסוף, אתה מפר את חובת היידוע לפי סעיף 11 לחוק.
שאלות נפוצות
האם תמונות לפני/אחרי שאני מעלה לפרופיל הלקוח ב-Shopify נחשבות מידע בעל רגישות מיוחדת?
כן. תמונות שמגלות מצב גופני ומצב בריאות מוגדרות כמידע בעל רגישות מיוחדת לפי סעיף 7 לחוק הגנת הפרטיות. זה אומר שאתה חייב לקבל הסכמה מפורשת ונפרדת לאיסוף, לאחסון ולכל שימוש עתידי בהן - לא מספיק ש"הלקוח שלח אותן בוואטסאפ". ההסכמה צריכה להיות מתועדת ומאוחסנת.
אני משתמש באפליקציית App Store לניהול תוכניות אימון - זה בסדר?
תלוי. אפליקציות כמו TrainerFu, TrueCoach או כל CRM שמחובר לחנות Shopify שלך מקבלות גישה לנתוני לקוחות ועשויות לאחסן אותם בשרתים שלהן. לפי תקנה 15 לתקנות אבטחת מידע (מיקור חוץ), אתה כבעל המאגר חייב להסדיר את הגישה הזו בחוזה מסודר שמגדיר אחריות, אבטחה ואיסור שימוש חורג. בלי זה - האחריות המשפטית נשארת אצלך.
לקוח ביקש למחוק את כל הנתונים שלו - מה אני חייב לעשות?
לפי חוק הגנת הפרטיות, לכל אדם יש זכות לדרוש תיקון או מחיקת מידע שגוי, לא רלוונטי או שנאסף ללא הסכמה. עליך למחוק את הנתונים מ-Shopify Admin, מכל אפליקציית App Store מחוברת, ומרשימות הדיוור - ולתעד שביצעת זאת. שים לב: נתוני עסקאות יכולים להישמר לפי פקודת מס הכנסה וחוק מע"מ עד 7 שנים, גם אם הלקוח ביקש מחיקה.
האם שאלון הערכה גופנית שאני שולח לפני תחילת תוכנית אימון דורש יידוע מיוחד?
בהחלט. שאלון שכולל שאלות על מצב בריאות, תרופות, פציעות או יעדים גופניים אוסף מידע בעל רגישות מיוחדת. לפי סעיף 11 לחוק הגנת הפרטיות, חובה לציין בגוף השאלון: האם החוק מחייב למסור את המידע, מה מטרת השימוש, למי הוא יועבר (לדוגמה: ספק תוכנת אימון), וכי ללקוח יש זכות עיון. שאלון ללא יידוע כזה הוא איסוף מידע שלא כדין.
מה הסיכון הכספי האמיתי אם אני פועל בלי מדיניות פרטיות מתאימה?
הרשות להגנת הפרטיות מוסמכת להטיל עיצומים של עד 5% ממחזור שנתי. לעסקים קטנים כמו מאמן אישי או מכון כושר קטן, ההפרות הבסיסיות מתחילות באלפי שקלים, אך הפרות הנוגעות למידע בעל רגישות מיוחדת - כמו נתוני בריאות ותמונות - נחשבות חמורות ויכולות להגיע למאות אלפי שקלים. מעבר לקנס, תלונת לקוח יכולה להוביל לחקירה שחושפת פרצות נוספות בכל המערכת.