מדיניות פרטיות ל-Webflow: מה כל בעל אתר ישראלי חייב לדעת
עודכן ב-30 בינואר 2025
Webflow היא פלטפורמת No-code רבת-עוצמה שמארחת את האתר שלך על תשתיות AWS ומאפשרת אינטגרציות ל-CRM, רשימות תפוצה וטפסי לידים - כל אלה כרוכים באיסוף מידע אישי מהגולשים שלך. חוק הגנת הפרטיות הישראלי, כולל תיקון מס' 13 שנכנס לתוקף ב-2024, מטיל חובות ברורות על כל בעל אתר שאוסף נתונים - בין אם מדובר בדף תדמית, חנות אונליין או פורטל שירות לקוחות. מסמך מדיניות פרטיות גנרי שהורדת מהאינטרנט אינו מספיק: נדרש מסמך המותאם לאופן שבו Webflow עצמה מנהלת את הנתונים, לאינטגרציות שחיברת ולסוג המידע שאתה אוסף.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- Webflow מארחת את הנתונים על שרתי AWS מחוץ לישראל - כלומר, כל טופס יצירת קשר, אנליטיקה מובנית ואינטגרציה חיצונית מהווים העברת מידע אישי לגורם חוץ, שדורשת הסדרה מפורשת לפי תקנה 15 לתקנות אבטחת מידע (מיקור חוץ).
- האינטגרציות הנפוצות ב-Webflow - Mailchimp, HubSpot, Airtable ועוד - הופכות כל ספק לכזה שמקבל מידע אישי מהמאגר שלך. ללא הסדר חוזי מסודר עם כל ספק, האחריות המשפטית נשארת אצלך כבעל האתר.
- טפסי הלידים והצ'אטבוטים שמוטמעים ב-Webflow אוספים לעיתים קרובות שדות רגישים - כתובות, נתוני בריאות, פרטי תשלום - מבלי שמוצגת לגולש הודעת יידוע תקינה לפי סעיף 11 לחוק, דבר שעלול להביא לעיצום כספי משמעותי.
שאלות נפוצות
האם אתר Webflow סטטי שלא מוכר כלום חייב גם כן במדיניות פרטיות?
כן, אם האתר כולל טופס יצירת קשר, Google Analytics, Hotjar, פיקסל של Meta או כל סקריפט חיצוני שאוסף נתוני גלישה - מתבצע איסוף מידע אישי. חוק הגנת הפרטיות חל מרגע שנאסף מידע המאפשר זיהוי אדם, ללא קשר לאופי העסקי של האתר. חובת היידוע לפי סעיף 11 לחוק מחייבת להודיע לגולש מראש מה נאסף, לאיזו מטרה ולמי יועבר.
Webflow מספקת 'Privacy Policy template' - האם זה מספיק לישראל?
לא. התבנית של Webflow מכוונת לשוק האמריקאי והאירופי ואינה מתייחסת לדין הישראלי כלל. מדיניות פרטיות תקינה לישראל חייבת לכלול התייחסות לחוק הגנת הפרטיות התשמ"א-1981 ותיקון 13, להסדיר את ההעברה לשרתי AWS כמיקור חוץ ולפרט את זכויות הגולש לפי הדין הישראלי - זכות עיון, תיקון ומחיקה.
חיברתי את Webflow ל-Mailchimp לניוזלטר - מה הדרישה החוקית?
דיוור ישיר לרשימת תפוצה דורש הסכמה מפורשת ומוקדמת של הנמען לפי סעיף 30א לחוק התקשורת. בנוסף, העברת רשימת אנשי הקשר ל-Mailchimp מהווה מיקור חוץ לפי תקנה 15 לתקנות, ויש לוודא שהחוזה שלך עם Mailchimp כולל את ההתחייבויות הנדרשות לאבטחת המידע. על מדיניות הפרטיות שלך לפרט את הסדר זה במפורש.
מהי חובת הדיווח שלי אם מתגלה פרצת אבטחה ב-Webflow?
אם מאגר המידע שלך מסווג ברמת אבטחה בינונית או גבוהה, עליך לדווח לרשות להגנת הפרטיות באופן מיידי מרגע הגילוי, לפי תקנה 11 לתקנות. חשוב לדעת: גם אם הפרצה קרתה בצד של Webflow עצמה או של ספק אינטגרציה - האחריות על המאגר שלך נשארת אצלך.
מה קורה אם לא אעדכן את מדיניות הפרטיות אחרי שאוסיף אינטגרציה חדשה ל-Webflow?
כל שינוי בדרך שבה אתה אוסף, מעבד או מעביר מידע אישי - לרבות הוספת אינטגרציה חדשה - מחייב עדכון מיידי של מדיניות הפרטיות. פרסום מדיניות שאינה משקפת את המציאות בפועל נחשב הפרה של חוק הגנת הפרטיות ועלול לחשוף אותך לעיצומים כספיים שיכולים להגיע עד 5% ממחזור שנתי, בנוסף לנזק תדמיתי.