מדיניות פרטיות לעמותה ב-Shopify: פרטי תורמים, סכומי תרומה וחברי עמותה - כל מה שהחוק הישראלי דורש
עודכן ב-30 בינואר 2025
עמותה שמשתמשת ב-Shopify לגיוס תרומות מקוונות אוספת שלושה סוגי מידע בעל רגישות מיוחדת בו-זמנית: פרטים אישיים של תורמים, סכומי תרומה שעשויים לחשוף מצב כלכלי, ונתוני חברות בארגון. בניגוד לחנות מסחרית רגילה, העמותה מחויבת גם לחוק העמותות וגם לחוק הגנת הפרטיות - ושרתי Shopify יושבים מחוץ לישראל, מה שמחייב הסדרה מפורשת של מיקור החוץ. מסמך גנרי לא יספיק כאן: נדרש מסמך שמתייחס ספציפית לזרימת הנתונים בין ה-App Store של Shopify, שערי התשלום (כמו Payplus, Tranzila או Shopify Payments), ומאגר התורמים שלכם.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- שערי תשלום ב-Shopify מעבירים נתוני כרטיס אשראי ופרטי תורם לספקים חיצוניים - ללא הסדרה חוזית מפורשת של מיקור החוץ לפי תקנה 15, העמותה היא הנושאת באחריות המשפטית המלאה במקרה של דליפה.
- אפליקציות מה-App Store של Shopify שמשמשות לניהול קמפיינים, CRM של תורמים או שליחת עדכונים - כל אחת מהן מקבלת גישה לנתוני התורמים. עמותות רבות מתקינות אפליקציות ללא בדיקה של מדיניות הפרטיות שלהן, מה שיוצר חשיפה ישירה להפרת סעיף 7 לחוק כשמדובר במידע על חברי עמותה.
- סכומי תרומה ופרטי חברי עמותה הם מידע בעל רגישות גבוהה - אם מספר הרשומות במאגר עולה על 10,000, חלה חובת רישום המאגר ברשות לאיסור הלבנת הון ובמרשם מאגרי המידע, ורמת האבטחה הנדרשת עולה. עמותות עם ותק ובסיס תורמים רחב חוצות את הסף הזה מהר מהצפוי.
שאלות נפוצות
האם עמותה שמשתמשת ב-Shopify רק לתרומות - ולא מוכרת מוצרים - עדיין חייבת במדיניות פרטיות?
כן, בהחלט. ברגע שמתבצע תהליך תשלום דרך Shopify - גם אם מדובר בתרומה בלבד - נאספים שם ושם משפחה, כתובת אימייל, כתובת IP ונתוני כרטיס אשראי. כל אחד מאלה הוא 'מידע' כהגדרתו בחוק הגנת הפרטיות, וסעיף 11 לחוק מחייב יידוע מפורש של התורם בעת האיסוף. ללא מדיניות פרטיות מוצגת - העמותה חשופה לתלונות ברשות להגנת הפרטיות.
האם סכומי התרומה של אנשים פרטיים נחשבים 'מידע בעל רגישות מיוחדת' לפי החוק הישראלי?
סכומי תרומה כשלעצמם אינם מוגדרים מידע בעל רגישות מיוחדת לפי סעיף 7 לחוק. עם זאת, כאשר הם משולבים עם זיהוי אישי - שם, פרטי קשר, תדירות תרומה - הם יוצרים פרופיל שעשוי לחשוף מצב כלכלי, ואיסוף כזה דורש זהירות מיוחדת במטרת השימוש ובהגבלת הגישה. בנוסף, פרטי חברות בעמותה שעשויים לשקף דעות פוליטיות או דתיות - כן נכנסים לגדר מידע בעל רגישות מיוחדת לפי סעיף 7.
Shopify היא חברה קנדית ושרתיה בחו"ל - מה המשמעות עבור העמותה?
שימוש ב-Shopify מהווה מיקור חוץ של עיבוד מידע לגורם שאינו ישראלי, ותקנה 15 לתקנות הגנת הפרטיות מחייבת להסדיר זאת בכתב - כולל הגדרת אחריות, חובות אבטחה ואיסור על העברה נוספת לצדדים שלישיים ללא אישור. מדיניות הפרטיות של העמותה חייבת לציין במפורש ש-Shopify היא ספקית מיקור חוץ ומה הנתונים המועברים אליה.
מתי עמותה חייבת לרשום את מאגר התורמים שלה?
כאשר מספר הרשומות האישיות במאגר עולה על 10,000 - חלה חובת רישום במרשם מאגרי המידע לפי סעיף 8(ג) לחוק הגנת הפרטיות. עמותות עם מסע גיוס תרומות פעיל, רשימת תפוצה ומאגר חברים מגיעות לסף הזה מהר. לאחר הרישום, רמת האבטחה הנדרשת עולה לבינונית לפחות, ועם מידע בעל רגישות מיוחדת - יתכן שגם לגבוהה.
מה קורה אם אפליקציה מה-App Store של Shopify דלפה נתוני תורמים?
תקנה 11 לתקנות הגנת הפרטיות מחייבת דיווח באופן מיידי על אירוע אבטחה במאגר ברמת אבטחה בינונית או גבוהה - הן לרשות להגנת הפרטיות והן לבעלי המידע שנפגעו. האחריות החוקית חלה על העמותה כבעלת המאגר, גם אם הדליפה נגרמה על ידי ספק צד-שלישי מה-App Store. לכן חשוב לבדוק את מדיניות הפרטיות של כל אפליקציה לפני התקנה ולתעד את הבדיקה.