מדיניות פרטיות למספרה ב-Squarespace - כי תמונות לקוחות והיסטוריית טיפולים זה לא סתם מידע
עודכן ב-30 בינואר 2025
Squarespace היא פלטפורמה all-in-one נוחה - אבל כשמספרה משתמשת בה לקביעת תורים, שמירת היסטוריית טיפולים ואחסון תמונות לפני/אחרי, היא פתאום מנהלת מאגר מידע שמכיל מידע בעל רגישות מיוחדת לפי סעיף 7 לחוק הגנת הפרטיות. בניגוד לפלטפורמות עם מאות תוספים, Squarespace מכילה את כל הנתונים בתוך המערכת עצמה - מה שמפשט את הניהול אך מרכז את האחריות אצלכם. מדיניות פרטיות סתמית לא מספיקה: נדרש מסמך שמתייחס ספציפית לסוג המידע שמספרה אוספת.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- תמונות לקוחות (לפני/אחרי טיפול) שמועלות ל-Squarespace Gallery או נשמרות בענן של Squarespace מהוות מידע ביומטרי-פוטוגרפי - וסיווגן כמידע בעל רגישות מיוחדת לפי סעיף 7 לחוק מחייב הסכמה מפורשת בכתב לפני הצילום, לא אחריו.
- מערכת קביעת התורים המובנית ב-Squarespace Scheduling (לשעבר Acuity) שומרת היסטוריית טיפולים מלאה של כל לקוח - נתונים שיכולים לחשוף מצב בריאותי (למשל טיפולי שיער לאחר כימותרפיה) ומחייבים רמת אבטחה בינונית לפחות ונוהל אבטחה כתוב.
- Squarespace כספקית ענן זרה משמשת 'מחזיק' במאגר המידע שלכם - ללא הסכם מיקור חוץ מסודר בין המספרה לבין Squarespace, אתם חשופים לאחריות אישית על כל אירוע דלף מידע, גם אם הוא נבע מהתשתית של הפלטפורמה.
שאלות נפוצות
האם תמונות לפני/אחרי טיפול שמפרסמים ב-Squarespace Gallery דורשות הסכמה כתובה של הלקוח?
כן, ובאופן מפורש. תמונת פנים מזוהה היא מידע ביומטרי שנחשב מידע בעל רגישות מיוחדת לפי סעיף 7 לחוק הגנת הפרטיות. פרסום תמונה ב-Gallery ללא הסכמה כתובה מראש - גם אם הלקוח 'לא התנגד' בעל-פה - מהווה הפרת חוק. מומלץ לקבל טופס הסכמה ייעודי ולשמור אותו.
היסטוריית הטיפולים שנשמרת ב-Squarespace Scheduling - האם זה מאגר מידע שדורש הגנה מיוחדת?
כן. ברגע שאתם שומרים פרטי לקוח יחד עם סוג הטיפול, תאריכים ומוצרים שנוצלו, נוצר מאגר מידע עם פוטנציאל לחשיפת מצב בריאותי. מאגר כזה מסווג לפחות ברמת אבטחה בינונית ומחייב נוהל אבטחה כתוב לפי תקנה 4א לתקנות אבטחת מידע. חייבים גם לוודא שרק עובדים מורשים יכולים לגשת לנתונים אלו.
אנחנו שולחים תזכורות וניוזלטרים ללקוחות דרך Squarespace Email Campaigns - האם יש חובות נוספות?
בהחלט. שליחת הודעות שיווקיות בדוא"ל מחייבת קבלת הסכמה מפורשת מראש לפי סעיף 30א לחוק התקשורת, וכן מתן אפשרות הסרה נגישה בכל הודעה. Squarespace Email Campaigns מאפשרת הגדרת Unsubscribe - חובה לוודא שהיא מופעלת ופעילה בכל קמפיין.
Squarespace היא חברה אמריקאית - האם אני צריך הסכם מיוחד איתה כדי לעמוד בחוק הישראלי?
לפי תקנה 15 לתקנות אבטחת מידע, כשאתם מוסרים מידע ממאגר לגורם חיצוני לצורך עיבוד (כולל ספקי ענן כמו Squarespace) - חובה להסדיר זאת בהסכם מיקור חוץ. Squarespace מציעה Data Processing Agreement - חשוב לאשרו ולשמור תיעוד שאכן חתמתם עליו.
מה קורה אם יש דלף מידע של לקוחות המספרה מהאתר?
אם המאגר שלכם מסווג ברמת אבטחה בינונית או גבוהה, תקנה 11 לתקנות אבטחת מידע מחייבת דיווח באופן מיידי לרשות להגנת הפרטיות ולמי שמאגרו מחזיק. בנוסף, יש לדווח ללקוחות שנפגעו. אי-דיווח בזמן עלול להוביל לעיצומים של עד 5% ממחזור שנתי.