מדיניות פרטיות לאתר Squarespace - מותאמת לדין הישראלי
Squarespace היא פלטפורמת all-in-one: האתר, החנות, הטפסים, האנליטיקס והניוזלטר - הכול מנוהל ממקום אחד. הנוחות הזו נהדרת, אבל היא גם אומרת שאתה אוסף מידע אישי דרך ערוצים מרובים בו-זמנית - וכל אחד מהם מחייב גילוי מלא לפי חוק הגנת הפרטיות הישראלי. בנוסף, Squarespace עצמה היא ספק שירות אמריקאי שמאחסן נתונים בשמך - מה שמחייב הסדרה של מערכת היחסים בין בעל האתר לפלטפורמה. אתר Squarespace ישראלי ללא מדיניות פרטיות מתאימה חשוף לעיצומים מינהליים ולתלונות לרשות להגנת הפרטיות.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- טפסי יצירת קשר, הרשמה לניוזלטר וצ'ק-אאוט - כולם מובנים ב-Squarespace ואוספים מידע אישי. ללא חובת יידוע מפורשת (סעיף 11 לחוק) בכל נקודת איסוף, כל טופס כזה הוא הפרה עצמאית.
- Squarespace משתמשת בשירותי צד שלישי - Google Analytics, Stripe, PayPal ושירותי מייל שיווקי - שכולם מקבלים גישה לנתוני הגולשים שלך. לפי תקנות אבטחת מידע (תקנה 15), אתה אחראי על מיקור החוץ הזה ועל מה שקורה לנתונים אצל הספקים.
- Squarespace Commerce מאפשרת ניהול הזמנות, פרטי כרטיסי אשראי ורכישות חוזרות - כלומר מאגר נתונים ברמת אבטחה בינונית לפחות. אירוע אבטחה כלשהו מחייב דיווח באופן מיידי לרשות הרלוונטית - ובלי מדיניות פרטיות תקנית, אין לך נוהל ברור לבצע זאת.
שאלות נפוצות
האם מדיניות הפרטיות שמייצרת Squarespace אוטומטית מספיקה לדין הישראלי?
לא. המדיניות שמציעה Squarespace מתייחסת ליחסים בין הגולש לבין Squarespace כחברה - לא בינך לבין הגולשים שלך. אתה בתור בעל האתר צריך מדיניות פרטיות נפרדת, בעברית, שמכסה את המידע שאתה אוסף, למה אתה אוסף אותו ולמי אתה מעביר אותו, בהתאם לחוק הגנת הפרטיות הישראלי.
אני לא מוכר כלום - רק יש לי טופס יצירת קשר. האם אני עדיין חייב מדיניות פרטיות?
כן. כל טופס שאוסף שם, אימייל או מספר טלפון - אפילו שם וכתובת מייל בלבד - מהווה איסוף מידע אישי. לפי סעיף 11 לחוק, עליך ליידע את הממלא מהי מטרת השימוש, האם החוק מחייב את מסירת המידע ולמי הוא יועבר. מדיניות פרטיות נגישה באתר היא הדרך המעשית לעמוד בחובה זו.
Squarespace נמצאת בארה"ב - האם זה מחייב אותי לעשות משהו מיוחד?
כן. לפי תקנה 15 לתקנות אבטחת מידע, כאשר אתה מוסר נתוני לקוחות לספק חיצוני - בין אם Squarespace, Stripe או כל אינטגרציה אחרת - עליך לוודא שאותו ספק מחויב לרמת הגנה מספקת ולתעד זאת. המדיניות שלך צריכה לפרט אילו ספקי צד שלישי מקבלים גישה לנתונים ומדוע.
שולחים מהאתר דיוור שיווקי - מה הדרישות?
שליחת דיוור שיווקי ללא הסכמה מפורשת אסורה לפי סעיף 30א לחוק התקשורת. גם אם הנמען מילא טופס באתר ה-Squarespace שלך, עליך לקבל הסכמה נפרדת לקבלת פרסומות, לאפשר הסרה קלה וברורה בכל הודעה, ולתעד מתי ניתנה ההסכמה.
מה קורה אם לא יהיה לי מדיניות פרטיות תקנית?
הרשות להגנת הפרטיות מוסמכת להטיל עיצומים מינהליים - עד 5% ממחזור שנתי לארגונים גדולים, ולעסקים קטנים סכומים של מאות ועד מאות אלפי שקלים בהתאם לחומרת ההפרה. בנוסף, נפגע פרטיות רשאי להגיש תלונה לרשות או תביעה אזרחית, ולעיתים ניתן פיצוי ללא הוכחת נזק.