מדיניות פרטיות לאתר Webflow של מכון כושר ומאמן אישי - נתוני בריאות, תמונות לפני/אחרי וחוק ישראלי
עודכן ב-30 בינואר 2025
אתר Webflow של מכון כושר או מאמן אישי אוסף בדיוק את המידע הרגיש ביותר שקיים: מצב בריאותי, מגבלות גופניות, מטרות גוף ותמונות לפני/אחרי - כולם נחשבים מידע בעל רגישות מיוחדת לפי סעיף 7 לחוק הגנת הפרטיות, ומחייבים הגנה בדרגה גבוהה. Webflow מתארח על שרתי AWS ומתחבר לכלי CRM ודיוור כמו Mailchimp, HubSpot ו-ActiveCampaign - כל חיבור כזה מהווה מיקור חוץ לפי התקנות ומחייב עיגון חוזי מפורש. בלי מדיניות פרטיות מותאמת לקומבינציה הזו, המאמן חשוף לתלונות ברשות להגנת הפרטיות וייתכנו עיצומים כספיים משמעותיים.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- טפסי ה-Intake ב-Webflow שואלים על פציעות, מחלות ותרופות - כל שדה כזה הוא מידע בעל רגישות מיוחדת לפי סעיף 7 לחוק, ומחייב הסכמה מפורשת ונפרדת לפני השמירה במסד הנתונים, לא הסכמה גלובלית בתחתית הטופס.
- כשמשתמשים ב-Webflow Integrations כדי להזרים נתוני לקוחות ל-CRM או לרשימת תפוצה - Mailchimp, HubSpot וכד' - כל ספק כזה הוא גורם מיקור חוץ הדורש חוזה אבטחת מידע בכתב לפי תקנה 15. חיבור ה-API לבדו אינו מספיק מבחינה משפטית.
- תמונות לפני/אחרי שמועלות דרך ממשק Webflow CMS או נשלחות בטופס נשמרות על שרתי AWS - יש לתעד במפורש איפה הן מאוחסנות, מי יכול לגשת אליהן, ומה מדיניות המחיקה, כי שימוש בהן לקידום בגוגל או ברשתות חברתיות ללא הסכמה כתובה מהמתאמן עלול להיחשב הפרת פרטיות.
שאלות נפוצות
האם אני חייב לקבל הסכמה נפרדת לנתוני בריאות, או שמספיק ש'סימנו וי' בטופס ההרשמה?
נתוני בריאות - כולל פציעות, מחלות ומגבלות גופניות - הם מידע בעל רגישות מיוחדת לפי סעיף 7 לחוק הגנת הפרטיות. ההסכמה לאיסופם חייבת להיות מפורשת, ממוקדת ונפרדת מהסכמה כללית לתנאי שימוש. בטופס Webflow זה אומר checkbox ייעודי עם הסבר ברור מה ייאסף ולאיזו מטרה - לא הסכמה גלובלית בתחתית הדף.
תמונות לפני/אחרי שהלקוח שלח לי - מה מותר לי לעשות איתן?
תמונות גוף נחשבות מידע בעל רגישות מיוחדת ובנוסף עשויות להיות מוגנות גם כדיוקן לפי חוק הגנת הפרטיות. כל שימוש שיווקי - פרסום באינסטגרם, אתר, Google Ads - מחייב הסכמה כתובה מפורשת ונפרדת שמפרטת איפה ואיך התמונה תוצג. גם אם הלקוח 'הסכים בעל פה', בלי תיעוד כתוב אין לך הגנה משפטית.
Webflow מחובר אצלי ל-Mailchimp לניוזלטר אימונים - האם זה מחייב משהו?
כן. העברת פרטי לקוחות מ-Webflow ל-Mailchimp מהווה מיקור חוץ לפי תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. עליך לערוך עם Mailchimp חוזה מיקור חוץ בכתב שמסדיר את אבטחת המידע ואחריות הספק, ולתעד אותו. בנוסף, כל שיווק בדואר אלקטרוני מחייב עמידה בסעיף 30א לחוק התקשורת - כולל אפשרות הסרה ברורה בכל הודעה.
אם יש פריצה לאתר Webflow שלי ומידע של לקוחות דלף - מה אני חייב לעשות?
מאגר שמכיל נתוני בריאות מסווג כרמת אבטחה בינונית לפחות, ולכן חלה חובת דיווח באופן מיידי לרשות להגנת הפרטיות, לפי תקנה 11 לתקנות אבטחת מידע. עליך גם ליידע את הלקוחות שנפגעו. עיכוב בדיווח עלול להחמיר את החשיפה לעיצומים.
האם מספיק להעתיק מדיניות פרטיות גנרית מהאינטרנט לאתר Webflow שלי?
לא. מדיניות גנרית לא מתייחסת לנתוני בריאות ותמונות גוף שאתה אוסף, לא מזהה את ספקי מיקור החוץ הספציפיים שלך (AWS, Mailchimp, CRM), ולא עומדת בחובת היידוע לפי סעיף 11 לחוק הגנת הפרטיות - שמחייבת לפרט מה נאסף, לאיזו מטרה, למי יימסר וכי קיימת זכות עיון. מסמך לא מותאם עלול דווקא להעיד על רשלנות מוסדית.