מדיניות פרטיות לאתר מוסך / השכרת רכב ב-Webflow - כל מה שהחוק מחייב
עודכן ב-30 בינואר 2025
אתר Webflow של מוסך או חברת השכרת רכב אוסף מידע שרגיש מאוד: מספרי רישוי, תעודות זהות של נהגים, היסטוריית טיפולים וחוזי שכירות - כולם מנוהלים דרך טפסים מותאמים, אינטגרציות CRM ומערכות דוא"ל בתוך פלטפורמת ה-Webflow, כאשר הנתונים עצמם מאוחסנים על שרתי AWS מחוץ לישראל. שילוב זה יוצר מאגר מידע ברמת אבטחה בינונית לפחות, ומחייב מדיניות פרטיות ספציפית לפעילות הרכב - לא תבנית גנרית. בלי מסמך מותאם, אתה חשוף לעיצומים כספיים ולפגיעה באמון לקוחות שמוסרים לך את מפתחות הרכב שלהם - פיזית ודיגיטלית.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- טפסי הזמנת טיפול ושכירת רכב ב-Webflow אוספים מספרי רישוי ותעודות זהות של נהגים - מידע שמחייב יידוע מפורש לפי סעיף 11 לחוק, כולל ציון מטרת השימוש, האם החוק מחייב למסור אותו ולמי הוא עשוי להימסר (חברות ביטוח, יבואן, ספקי אחזקה).
- אינטגרציות Webflow ל-CRM חיצוני ולרשימות דיוור (כגון Mailchimp או HubSpot) מהוות 'מיקור חוץ' לפי תקנה 15 לתקנות האבטחה - ומחייבות הסכם מחייב בכתב עם כל ספק שכזה, המסדיר את אחריותו על הנתונים שאתה מעביר אליו.
- היסטוריית טיפולים, קילומטראז' ונתוני נהיגה שנשמרים במסד הנתונים מאחורי האתר מאוחסנים על שרתי AWS מחוץ לישראל - העברת מידע לחו"ל ממאגר ברמת אבטחה בינונית מחייבת תיעוד ובקרה פעילה, ובהיעדרם אתה עלול לעמוד בפני הפרה של תקנות האבטחה גם אם האתר עצמו נראה תקין לחלוטין.
שאלות נפוצות
האם מספר לוחית הרישוי נחשב 'מידע אישי' שדורש הגנה?
כן. מספר רישוי המקושר לבעל הרכב או לנהג שכרת הרכב מהווה מידע אישי לפי חוק הגנת הפרטיות, התשמ"א-1981 (תיקון מס' 13), התשפ"ד-2024. ברגע שהטופס ב-Webflow מקשר את מספר הלוחית לשם, לתעודת זהות או לפרטי יצירת קשר - נוצרת חובת הגנה, יידוע ותיעוד מלאים.
האיחסון על שרתי AWS של Webflow - האם הוא בעיה מבחינת החוק הישראלי?
Webflow מארח על AWS, ששרתיו ממוקמים בחלקם מחוץ לישראל. מבחינת תקנות הגנת הפרטיות (אבטחת מידע), מדובר בהעברת מידע למיקור חוץ, המחייבת הסכם בכתב המסדיר את חובות האבטחה של הספק (תקנה 15). בנוסף, עליך לוודא שתנאי השירות של Webflow מספקים ערבויות אבטחה התואמות את רמת המאגר שלך - בסיסית, בינונית או גבוהה.
לקוח ביקש לעיין בהיסטוריית הטיפולים שלו - מה אני חייב לאפשר?
לפי חוק הגנת הפרטיות, לכל אדם יש זכות עיון במידע המוחזק עליו במאגר. עליך לאפשר ללקוח לעיין בהיסטוריית הטיפולים, פרטי הרכב ומידע אחר הקשור אליו תוך 30 ימים מקבלת הבקשה. מומלץ להגדיר תהליך ברור לטיפול בבקשות עיון ולתעד כל בקשה ותשובה.
לקוח שכר ממני רכב ורוצה שאמחק את כל הנתונים עליו - האם אני יכול?
יש לאזן בין זכות המחיקה לבין חובות חוקיות אחרות. נתוני חוזה השכירות, חשבוניות ומידע כספי חייבים להישמר 7 שנים לפי פקודת מס הכנסה וחוק מע"מ - ולא ניתן למחוק אותם גם אם הלקוח ביקש. מידע שאינו נדרש לצרכי מס או ביטוח, כגון נתוני נהיגה שאינם חלק מהחוזה, ניתן למחוק. עליך להגדיר במדיניות הפרטיות את ההבחנה בין שני סוגי המידע.
שלחתי ניוזלטר לרשימת לקוחות שהשאירו פרטים בטופס הזמנת טיפול - האם זה מותר?
לא בהכרח. לפי חוק התקשורת (בזק ושידורים), התשמ"ב-1982 - סעיף 30א, שליחת דיוור שיווקי מותרת רק אם הלקוח הסכים לכך במפורש - הסכמה שבשתיקה או הנחה שכי מי שהשאיר פרטים לטיפול רצה גם לקבל מבצעים אינה מספיקה. וודא שטופס ההזמנה ב-Webflow כולל תיבת סימון נפרדת ומרצון לקבלת דיוור שיווקי.