מדיניות פרטיות לעמותה ב-Squarespace - הגנה על תורמים, חברים ונתונים רגישים
עודכן ב-14 ביולי 2025
עמותה ב-Squarespace נראית כמו פתרון נוח: ניהול האתר, טפסי ההצטרפות, קבלת התרומות - הכול ממקום אחד. אבל בדיוק בגלל שהמידע שאתם אוספים - שמות תורמים, סכומי תרומה, פרטי חברות ועמדות אידיאולוגיות - נחשב מידע בעל רגישות מיוחדת לפי חוק הגנת הפרטיות הישראלי, אתם נדרשים למסמכי ציות ייעודיים שמתאימים לאופן שבו Squarespace עובדת. הפלטפורמה היא all-in-one ופחות תלויה בתוספים חיצוניים, אך שירות Squarespace עצמו כספק SaaS מחייב הסדרה של מיקור חוץ - ועמותה שלא ערכה זאת חשופה לעיצומים ולפגיעה באמון הציבורי שהיא חיה ממנו.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- טפסי ההצטרפות לעמותה ב-Squarespace Forms אוספים פרטי חברים כולל, לעתים, מידע על השקפות דתיות, פוליטיות או מצב בריאותי - כל אלה מידע בעל רגישות מיוחדת לפי סעיף 7 לחוק, שאיסופו ללא הסכמה מפורשת ויידוע מפורט הוא הפרה שאינה ניתנת לתיקון בדיעבד.
- Squarespace Donations ושערי התשלום המובנים מעבירים פרטי תורמים - כולל סכומים - לשרתי Squarespace Inc. הממוקמים מחוץ לישראל. העברת מידע לספק שאינו ישראלי ללא הסדר מיקור חוץ תואם (תקנה 15 לתקנות אבטחת מידע) חושפת את העמותה לאחריות משפטית ישירה.
- עמותות נוטות לנהל רשימות תפוצה לניוזלטרים ועדכוני פעילות דרך Squarespace Email Campaigns - אך ללא הסכמה תקפה ומנגנון הסרה עצמאי הנדרש על-פי חוק התקשורת, כל דיוור הוא חשיפה לתלונה לרשות הגנת הפרטיות.
שאלות נפוצות
האם עמותה חייבת במדיניות פרטיות - הרי היא לא עסק למטרת רווח?
כן, בהחלט. חוק הגנת הפרטיות חל על כל גוף שמנהל מאגר מידע - עמותות, חברות, ועדים ורשויות כאחד. עמותה שאוספת פרטי תורמים, חברים או מקבלי שירות מנהלת מאגר מידע לכל דבר, ומחויבת בחובות יידוע, אבטחה ומסמכי ציות זהים לאלה של עסק מסחרי.
מה צריך לכלול בטופס ההצטרפות לעמותה ב-Squarespace כדי לעמוד בחובת היידוע?
לפי סעיף 11 לחוק, טופס ההצטרפות חייב לכלול ארבעה פרטים: האם מסירת המידע מחויבת בדין או וולונטרית, מה מטרת השימוש במידע, למי הוא עשוי להימסר, וזכות העיון של הנרשם. ב-Squarespace ניתן להוסיף טקסט יידוע מתחת לכפתור השליחה - אך הוא חייב להיות גלוי, ברור, ולא קבור בתנאי שימוש ארוכים.
האם נדרש הסדר מיקור חוץ עם Squarespace עצמה?
כן. Squarespace Inc. היא ספקית SaaS שמאחסנת ומעבדת את נתוני העמותה על שרתים שאינם בישראל. לפי תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), יש לערוך הסדר מיקור חוץ תואם שמגדיר את חובות הספק, את מטרות העיבוד ואת אחריות שמירת הנתונים - ולתעד אותו.
כמה זמן צריכה העמותה לשמור רשומות של תרומות?
לפי פקודת מס הכנסה וחוק מע"מ, יש לשמור מסמכים כספיים - כולל קבלות על תרומות - שבע שנים. חשוב שאחסון הנתונים ב-Squarespace או בגיבויים חיצוניים יהיה תואם לדרישת השמירה הזו, ובמקביל לנהל מדיניות מחיקה ברורה לגבי נתונים שפג תוקפם.
מה קורה אם מתרחשת דליפת מידע - למשל פריצה לחשבון Squarespace של העמותה?
אם מאגר המידע של העמותה מסווג ברמת אבטחה בינונית או גבוהה - ומאגר הכולל פרטי תורמים וחברים ייסווג לרוב כך - חלה חובת דיווח מיידי לרשות הגנת הפרטיות לפי תקנה 11 לתקנות, באופן מיידי מרגע הגילוי. אי-דיווח בזמן היא הפרה עצמאית שעלולה לגרור עיצומים כספיים.