מדיניות פרטיות לאתר מוסך / השכרת רכב ב-Webflow - כל מה שהחוק מחייב
עודכן ב-30 בינואר 2025
אתר Webflow של מוסך או חברת השכרת רכב אוסף מידע שרגיש מאוד: מספרי רישוי, תעודות זהות של נהגים, היסטוריית טיפולים וחוזי שכירות - כולם מנוהלים דרך טפסים מותאמים, אינטגרציות CRM ומערכות דוא"ל בתוך פלטפורמת ה-Webflow, כאשר הנתונים עצמם מאוחסנים על שרתי AWS מחוץ לישראל. שילוב זה יוצר מאגר מידע ברמת אבטחה בינונית לפחות, ומחייב מדיניות פרטיות ספציפית לפעילות הרכב - לא תבנית גנרית. בלי מסמך מותאם, אתה חשוף לעיצומים כספיים ולפגיעה באמון לקוחות שמוסרים לך את מפתחות הרכב שלהם - פיזית ודיגיטלית.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- טפסי הזמנת טיפול ושכירת רכב ב-Webflow אוספים מספרי רישוי ותעודות זהות של נהגים - מידע שמחייב יידוע מפורש לפי סעיף 11 לחוק, כולל ציון מטרת השימוש, האם החוק מחייב למסור אותו ולמי הוא עשוי להימסר (חברות ביטוח, יבואן, ספקי אחזקה).
- אינטגרציות Webflow ל-CRM חיצוני ולרשימות דיוור (כגון Mailchimp או HubSpot) מהוות 'מיקור חוץ' לפי תקנה 15 לתקנות האבטחה - ומחייבות הסכם מחייב בכתב עם כל ספק שכזה, המסדיר את אחריותו על הנתונים שאתה מעביר אליו.
- היסטוריית טיפולים, קילומטראז' ונתוני נהיגה שנשמרים במסד הנתונים מאחורי האתר מאוחסנים על שרתי AWS מחוץ לישראל - העברת מידע לחו"ל ממאגר ברמת אבטחה בינונית מחייבת תיעוד ובקרה פעילה, ובהיעדרם אתה עלול לעמוד בפני הפרה של תקנות האבטחה גם אם האתר עצמו נראה תקין לחלוטין.
שאלות נפוצות
האם מספר לוחית הרישוי נחשב 'מידע אישי' שדורש הגנה?
כן. מספר רישוי המקושר לבעל הרכב או לנהג שכרת הרכב מהווה מידע אישי לפי חוק הגנת הפרטיות, התשמ"א-1981 (תיקון מס' 13), התשפ"ד-2024. ברגע שהטופס ב-Webflow מקשר את מספר הלוחית לשם, לתעודת זהות או לפרטי יצירת קשר - נוצרת חובת הגנה, יידוע ותיעוד מלאים.
האיחסון על שרתי AWS של Webflow - האם הוא בעיה מבחינת החוק הישראלי?
Webflow מארח על AWS, ששרתיו ממוקמים בחלקם מחוץ לישראל. מבחינת תקנות הגנת הפרטיות (אבטחת מידע), מדובר בהעברת מידע למיקור חוץ, המחייבת הסכם בכתב המסדיר את חובות האבטחה של הספק (תקנה 15). בנוסף, עליך לוודא שתנאי השירות של Webflow מספקים ערבויות אבטחה התואמות את רמת המאגר שלך - בסיסית, בינונית או גבוהה.
לקוח ביקש לעיין בהיסטוריית הטיפולים שלו - מה אני חייב לאפשר?
לפי חוק הגנת הפרטיות, לכל אדם יש זכות עיון במידע המוחזק עליו במאגר. עליך לאפשר ללקוח לעיין בהיסטוריית הטיפולים, פרטי הרכב ומידע אחר הקשור אליו תוך 30 ימים מקבלת הבקשה. מומלץ להגדיר תהליך ברור לטיפול בבקשות עיון ולתעד כל בקשה ותשובה.
לקוח שכר ממני רכב ורוצה שאמחק את כל הנתונים עליו - האם אני יכול?
יש לאזן בין זכות המחיקה לבין חובות חוקיות אחרות. נתוני חוזה השכירות, חשבוניות ומידע כספי חייבים להישמר 7 שנים לפי פקודת מס הכנסה וחוק מע"מ - ולא ניתן למחוק אותם גם אם הלקוח ביקש. מידע שאינו נדרש לצרכי מס או ביטוח, כגון נתוני נהיגה שאינם חלק מהחוזה, ניתן למחוק. עליך להגדיר במדיניות הפרטיות את ההבחנה בין שני סוגי המידע.
שלחתי ניוזלטר לרשימת לקוחות שהשאירו פרטים בטופס הזמנת טיפול - האם זה מותר?
לא בהכרח. לפי חוק התקשורת (בזק ושידורים), התשמ"ב-1982 - סעיף 30א, שליחת דיוור שיווקי מותרת רק אם הלקוח הסכים לכך במפורש - הסכמה שבשתיקה או הנחה שכי מי שהשאיר פרטים לטיפול רצה גם לקבל מבצעים אינה מספיקה. וודא שטופס ההזמנה ב-Webflow כולל תיבת סימון נפרדת ומרצון לקבלת דיוור שיווקי.
חיברתי את טופס תיאום הטיפול ב-Webflow ל-Calendly ול-Zapier - מי אחראי על המידע שזורם החוצה?
כל כלי צד-ג שמקבל את פרטי הלקוח - Calendly לתיאום תורים או Zapier שמעביר את הנתונים ל-CRM של המוסך - נחשב ספק משנה לפי תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. עליך לוודא שקיים הסכם המסדיר את אבטחת המידע, ולכלול את שמות השירותים ומיקום השרתים שלהם במדיניות הפרטיות במסגרת חובת היידוע שבסעיף 11 לחוק. אם לא הסדרת זאת, הזרמת היסטוריית הרכב ופרטי הבעלים החוצה נעשית ללא בסיס תקין.
במוסך עובדים כמה מכונאים ופקידים - האם כולם צריכים גישה מלאה למאגר הלקוחות ב-Webflow?
לא. תקנה 8 לתקנות אבטחת מידע מחייבת ניהול הרשאות גישה לפי עקרון "צורך לדעת", כך שפקיד הקבלה רואה רק את מה שדרוש לתיאום, ועובד שעזב מאבד גישה מיידית. מכיוון ש-Webflow ולוח הבקרה של ה-CMS לרוב משותפים, מומלץ להפריד הרשאות ולתעד מי ניגש לנתוני הלקוחות. תקנה 16 אף מחייבת ביקורת תקופתית של ההרשאות אחת ל-24 חודשים.