מדיניות פרטיות למסעדה ב-Shopify: אלרגיות, משלוחים ותשלומים - לפי החוק הישראלי
עודכן ב-30 בינואר 2025
מסעדה שמפעילה חנות הזמנות ב-Shopify לא רק מוכרת אוכל - היא אוספת מידע בעל רגישות מיוחדת ממש לפי הגדרת החוק: נתוני אלרגיות הם מידע רפואי לכל דבר, כתובות משלוח הן מידע מזהה, ונתוני כרטיס האשראי עוברים דרך שערי תשלום כמו Stripe ו-Shopify Payments שפועלים מחוץ לישראל. בנוסף, אפליקציות מה-Shopify App Store שמנהלות תפריטים, נאמנות לקוחות או שיווק - כל אחת מהן ספק מיקור חוץ לפי תקנה 15, ומחייבת התייחסות פורמלית במסמכי הפרטיות שלך. בלי מדיניות ייעודית שמתאימה לקומבינציה הזו, אתה חשוף לעיצומים - גם אם לא הכרת בסיכון.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- אלרגיות = מידע רפואי: כשלקוח מסמן 'ללא גלוטן' או 'אלרגיה לאגוזים' בטופס ההזמנה בשופיפיי, הוא מוסר מידע רפואי לפי סעיף 7 לחוק הגנת הפרטיות. איסוף שכזה ללא הסכמה מפורשת וחובת יידוע ברורה הוא הפרה של ממש - לא פורמליות.
- Shopify Payments ואפליקציות App Store = ספקי מיקור חוץ זרים: שערי התשלום, אפליקציות ניהול הזמנות, תוכניות נאמנות ואפליקציות שיווק ששולחות SMS/מייל - כולן חברות זרות שמעבדות מידע על לקוחותיך. תקנה 15 מחייבת הסכם מיקור חוץ מתאים עם כל אחת, ואזכור בפני הלקוח שמידעו עובר לגורמים אלה.
- כתובות משלוח ומספרי טלפון - מאגר שנשאר: כל הזמנת משלוח יוצרת רשומה עם שם, כתובת מלאה ומספר טלפון. המאגר הזה גדל בשקט, ואם לא הגדרת מטרת שימוש, תקופת שמירה ומי מורשה לגשת - אתה מפעיל מאגר מידע ללא בסיס חוקי, ובמקרה של פריצה תהיה חייב בדיווח באופן מיידי לרשות להגנת הפרטיות לפי תקנה 11 לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017.
שאלות נפוצות
האם אלרגיות שלקוח מסמן בהזמנת Shopify נחשבות 'מידע בעל רגישות מיוחדת'?
כן, בהחלט. סעיף 7 לחוק הגנת הפרטיות מגדיר מצב רפואי - לרבות אלרגיות ואי-סבילויות - כמידע בעל רגישות מיוחדת. פירוש הדבר שאיסוף המידע הזה דורש הסכמה מפורשת ונפרדת מהסכמת הרכישה הכללית, ועליך לציין במפורש שאינך מעביר את המידע לגורמים שאינם קשורים לביצוע ההזמנה.
אני משתמש באפליקציה מה-App Store לניהול תפריט ולשליחת עדכוני הזמנה ב-SMS - האם זה מצריך חוזה מיוחד?
כן. כל אפליקציה כזו היא ספק מיקור חוץ לפי תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. עליך לוודא שהאפליקציה פועלת לפי הוראותיך בלבד, שומרת על רמת אבטחה הולמת ואינה עושה שימוש עצמאי בנתוני הלקוחות. בנוסף, שליחת SMS שיווקי מחייבת עמידה בחוק התקשורת (בזק ושידורים), התשמ"ב-1982 - סעיף 30א, כולל מנגנון הסרה תקין.
כמה זמן אני חייב לשמור את רשומות ההזמנות של המסעדה?
מבחינת פרטיות - כל עוד יש צורך עסקי מוגדר, ואחרי זה יש למחוק. מבחינת מיסוי - פקודת מס הכנסה וחוק מע"מ מחייבים שמירת חשבוניות ומסמכים חשבונאיים 7 שנים. במדיניות הפרטיות שלך יש לציין את שתי המגבלות: 7 שנים למסמכים כספיים, ותקופה קצרה יותר לנתוני ניתוב משלוח ואלרגיות שאינם נחוצים לאחר ביצוע ההזמנה.
אם מישהו פרץ לחנות ה-Shopify שלי וגנב נתוני לקוחות - מה אני חייב לעשות ומתי?
אם המאגר שלך כולל מידע רפואי כמו אלרגיות, או נתוני תשלום - עליך לדווח לרשות להגנת הפרטיות באופן מיידי מרגע הגילוי, לפי תקנה 11 לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. כדאי להכין מראש נוהל תגובה לאירוע אבטחה כחלק ממדיניות הפרטיות שלך.
האם מסעדה קטנה שמקבלת הזמנות דרך Shopify בכלל צריכה מדיניות פרטיות רשמית?
כן - גודל העסק לא פוטר מהחובה. ברגע שאתה אוסף שם, טלפון, כתובת ומידע אלרגיה של לקוח, חוק הגנת הפרטיות חל עליך. בנוסף, Shopify עצמה דורשת שיהיה לך עמוד מדיניות פרטיות פעיל כתנאי לשימוש בפלטפורמה. עסק קטן שנתפס ללא מדיניות עלול לקבל עיצום של אלפי שקלים - מדיניות נכונה היא גם הגנה משפטית וגם אמון לקוח.