מדיניות פרטיות למספרה שבנתה אתר ב-Webflow - כי תמונות לפני/אחרי זה מידע בעל רגישות מיוחדת לכל דבר

עודכן ב-14 ביולי 2025

Webflow נותנת לך אתר מרהיב בלי שורת קוד - אבל כשאת/ה מפרסמים תמונות לקוחות, שומרים היסטוריית טיפולים ומחברים טפסי הזמנות ל-CRM חיצוני, נוצר מאגר מידע שכולל מידע בעל רגישות מיוחדת לפי סעיף 3 לחוק הגנת הפרטיות. שרתי AWS שעליהם יושב Webflow נחשבים כמיקור חוץ לפי תקנה 15, ומחייבים הסדרה מפורשת. מסמך פרטיות גנרי לא יספיק - האתר שלך צריך מדיניות שמותאמת לשירותי מספרה, לאינטגרציות שבחרת ולדרישות הדין הישראלי.

רקע: מה זה תיקון 13?

האתגרים הנפוצים

  • תמונות לפני/אחרי שמועלות ל-Webflow CMS - גם אם הלקוח אמר 'בסדר בעל-פה', בלי הסכמה בכתב ויידוע מפורש לפי סעיף 11 לחוק, הפרסום עלול להיות הפרת פרטיות ברורה שחושפת אותך לתביעה
  • כשאתר ה-Webflow מחובר ל-CRM חיצוני (כמו HubSpot, Mailchimp או ActiveCampaign) לצורך תזכורות תור ודיוור, כל לקוח שמילא טופס הפך לנושא מידע במאגר - ואם לא יידעת אותו מראש מה ייעשה בנתוניו ולמי יועבר, אתה בבעיה לפי חובת היידוע
  • היסטוריית טיפולים - צבע שיער, טיפולים קוסמטיים רפואיים, מצב עור הקרקפת - עשויה להיחשב כמידע הנוגע למצב גופני לפי סעיף 3, ואחסון שלה ב-Webflow CMS ללא נוהל אבטחה מתועד ורמת אבטחה מוגדרת חושף אותך לעיצומים מהרשות להגנת הפרטיות

שאלות נפוצות

האם תמונות לקוחות שאני מפרסמת ב-Webflow CMS נחשבות מידע בעל רגישות מיוחדת?

כן. תמונה שמאפשרת לזהות אדם ומשויכת לטיפול קוסמטי שקיבל - נכנסת להגדרת מידע בעל רגישות מיוחדת לפי סעיף 3 לחוק הגנת הפרטיות. לפני שמעלים תמונת לפני/אחרי לאתר, צריך קבל הסכמה מפורשת בכתב ולוודא שהלקוח יודע שהתמונה תפורסם באתר ציבורי. כדאי לשמור את ההסכמה כמסמך נפרד.

Webflow יושב על AWS - האם זה אומר שאני צריך חוזה מיוחד?

מבחינת הדין הישראלי, כל שימוש בשירות ענן חיצוני לאחסון מידע על לקוחות נחשב מיקור חוץ לפי תקנה 15 לתקנות הגנת הפרטיות. החוק מחייב שתהיה לך מדיניות כתובה הקובעת מה מותר לספק לעשות במידע ומה לא. לרוב מדובר בקבלת תנאי השימוש של Webflow ותיעוד שכלי האחסון עומדים בדרישות האבטחה - ולא בחוזה שאתה מנסח מאפס.

אני שולח תזכורות תור ב-WhatsApp ובדיוור - האם זה מצריך הסכמה נפרדת?

כן. שליחת הודעות שיווקיות (מבצעים, עדכונים, ניוזלטר) דרך אינטגרציית דיוור של Webflow מחייבת הסכמה מפורשת לפי סעיף 30א לחוק התקשורת - גם אם הלקוח הגיע דרך הטופס באתר. תזכורת תור בלבד נחשבת תקשורת שירות ולא דיוור שיווקי, אך עדיין נדרש יידוע מפורש בעת האיסוף. כדאי לכלול checkbox נפרד בטופס ההזמנה.

כמה זמן אני חייב לשמור את נתוני הלקוחות של המספרה?

חשבוניות ותיעוד תשלומים - 7 שנים לפי פקודת מס הכנסה וחוק מע"מ. היסטוריית טיפולים ותמונות - אין חובה חוקית לשמור, ועדיף לקבוע מדיניות מחיקה ברורה: לדוגמה, מחיקת נתונים לאחר שנתיים של אי-פעילות. המדיניות צריכה להיות כתובה ולהיות זמינה ללקוחות באתר.

מה קורה אם מישהו פרץ לאתר ה-Webflow שלי וגנב נתוני לקוחות?

אם המאגר שלך מסווג ברמת אבטחה בינונית או גבוהה - ומספרה שאוספת תמונות והיסטוריית טיפולים עשויה להגיע לרמה זו - חובה לדווח על אירוע האבטחה באופן מיידי לפי תקנה 11 לתקנות הגנת הפרטיות. הדיווח הוא לרשות להגנת הפרטיות ולנושאי המידע הנפגעים. איחור בדיווח עלול להוסיף עיצומים משמעותיים מעבר לאירוע עצמו.

במספרה עובדים כמה ספרים שנגשים ליומן ולפרטי הלקוחות - איך אני מגביל את הגישה?

תקנה 8 לתקנות אבטחת מידע מחייבת ניהול הרשאות גישה לפי עקרון "צורך לדעת", כך שכל ספר רואה רק את המידע הדרוש לעבודתו, וגישה של עובד שעזב מבוטלת מיד. במקום סיסמה אחת משותפת ללוח הבקרה של Webflow או ליומן, כדאי שלכל עובד יהיה חשבון נפרד עם הרשאות מתאימות. תקנה 16 מחייבת לבחון את ההרשאות אחת ל-24 חודשים.

לקוחה ביקשה לראות אילו פרטים ותמונות שמורים עליה ולתקן או למחוק חלק מהם - מה עליי לעשות?

סעיף 13 לחוק מחייב לאפשר עיון במידע תוך 30 יום, וסעיף 14 מקנה זכות לתיקון או מחיקה של מידע שאינו נכון, שלם, ברור או מעודכן. אם תסרב, ללקוחה זכות לערער לבית משפט השלום תוך 30 יום. כדאי שיהיה נוהל לאיתור הנתונים גם אם הם מפוזרים בין Webflow CMS, היומן וכלי הדיוור המחובר.

מספרה בפלטפורמות נוספות