מדיניות פרטיות לתיווך נדל"ן ב-Shopify - הגנה על פרטים פיננסיים ונתוני נכסים לפי הדין הישראלי
עודכן ב-15 ביולי 2025
משרד תיווך שבחר ב-Shopify כפלטפורמת הנוכחות הדיגיטלית שלו מתמודד עם שכבת סיכון ייחודית: הפלטפורמה עצמה היא ספק ענן זר המאחסן טפסי יצירת קשר, פרטי רוכשים ומוכרים, ונתוני תשלום - כולם עוברים דרך שרתים מחוץ לישראל. בנוסף, אפליקציות צד-שלישי מה-App Store של Shopify - כגון כלי CRM, צ'אט, ושיווק - מקבלות גישה לנתונים אלה מבלי שרוב בעלי המשרדים מודעים לכך. ללא מדיניות פרטיות ומסמכי מיקור חוץ מסודרים, משרד התיווך עלול להפר את חוק הגנת הפרטיות ותיקון מס' 13, ולהיחשף לעיצומים כספיים מהותיים.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- Shopify מעבירה נתוני לקוחות - כולל פרטים פיננסיים של רוכשים ומוכרים - לשרתים בחו"ל. ללא הסכם מיקור חוץ תקין עם Shopify וספקי האפליקציות, העברת נתונים זו אינה מכוסה משפטית לפי תקנה 15 לתקנות אבטחת מידע, ואחריות הגנת הנתונים נשארת על משרד התיווך.
- טפסי יצירת קשר ב-Shopify לרישום מתעניינים ברכישה או מכירת נכסים אוספים מידע פיננסי רגיש - יכולת החזר, הון עצמי, מצב משכנתה - שלרוב לא מלווה בחובת יידוע מסודרת כנדרש בסעיף 11 לחוק. היעדרה חושף את המשרד לתביעה אזרחית ולפניות לרשות להגנת הפרטיות.
- אפליקציות מה-App Store של Shopify - כלי שיווק אימייל, ניהול לידים, ותזמון פגישות - מסונכרנות אוטומטית עם רשימות הלקוחות. כל אפליקציה שכזו הופכת לגורם מיקור חוץ נוסף שדורש תיעוד ובקרה, ומרחיבה את פני-השטח של חשיפת נתוני הנכסים ופרטי הרוכשים.
שאלות נפוצות
האם Shopify עצמה נחשבת ספק מיקור חוץ שדורש הסכם?
כן. תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע) מחייבת מבעל מאגר לערוך הסכם בכתב עם כל גורם שמעבד מידע מטעמו, כולל ספקי ענן זרים כמו Shopify. ההסכם צריך לכלול מחויבויות אבטחה ברורות ואיסור שימוש בנתונים למטרות הספק עצמו. ניתן להסתמך על ה-Data Processing Agreement של Shopify - אך יש לוודא שהוא מוחתם ומתועד בתיק הציות של המשרד.
איזה מידע שנאסף בתהליך תיווך נדל"ן נחשב "מידע בעל רגישות מיוחדת" לפי הדין הישראלי?
סעיף 3 לחוק הגנת הפרטיות (כפי שתוקן בתיקון 13) מגדיר "מידע בעל רגישות מיוחדת" ברשימה סגורה של 12 קטגוריות. בהקשר נדל"ן, הקטגוריה הרלוונטית ביותר היא נתונים ביומטריים (אם נאספים לצרכי זיהוי). גיל הקטין אינו קטגוריה מנויה ברשימה - אך איסוף מידע מקטין מתחת לגיל 18 (למשל בעסקאות ירושה) מחייב הסכמה מתועדת של הורה או אפוטרופוס לפי הנחיות הרשות. פרטים פיננסיים כגון יכולת החזר והון עצמי אינם מידע בעל רגישות מיוחדת לפי ההגדרה הסטטוטורית - אך הם מידע אישי שדורש הגנה מוגברת, ואיסופם מחייב יידוע ברור לפי סעיף 11.
כמה זמן חייב משרד תיווך לשמור תיעוד של עסקה ומסמכי הסכמה?
פקודת מס הכנסה וחוק מע"מ מחייבים שמירת מסמכים פיננסיים 7 שנים. בנוסף, לצורך הוכחת ציות לחוק הפרטיות, מומלץ לשמור הסכמות ורשומות איסוף מידע לאותה תקופה. ב-Shopify מומלץ להגדיר מדיניות מחיקה/ארכוב מסודרת, שכן הפלטפורמה לא מוחקת נתונים אוטומטית בתום תקופת שמירה.
מה קורה אם אפליקציה מה-App Store דלפה נתוני לקוחות? מי אחראי?
בעל מאגר המידע - כלומר משרד התיווך - נושא באחריות ראשית לפי חוק הגנת הפרטיות, גם אם הדליפה מקורה בספק צד-שלישי. במאגרים ברמת אבטחה בינונית או גבוהה, תקנה 11 לתקנות אבטחת מידע מחייבת דיווח באופן מיידי לרשות להגנת הפרטיות. לכן חיוני שיהיה תיעוד של כל אפליקציה שקיבלה גישה לנתונים ומה גדר הגישה שלה.
האם שליחת עדכוני נכסים ללקוחות במייל דרך Shopify מותרת ללא הסכמה?
לא. סעיף 30א לחוק התקשורת (בזק ושידורים) אוסר על דיוור מסחרי ללא הסכמה מפורשת מראש. כלי השיווק של Shopify - כולל אפליקציות אימייל מהאפ-סטור כמו Klaviyo או Omnisend - אינם פוטרים את המשרד מחובה זו. יש לאסוף הסכמה ספציפית לדיוור, לתעד אותה, ולאפשר הסרה קלה בכל הודעה.