מדיניות פרטיות לאתר WordPress - מותאמת לחוק הישראלי ולעולם הפלאגינים
עודכן ב-30 בינואר 2025
WordPress היא הפלטפורמה הפופולרית בעולם - ועמה מגיע אתגר ייחודי: כל פלאגין שמותקן באתר שלך (טפסי יצירת קשר, ניתוח תנועה, ניוזלטר, סליקה, צ'אט) הוא גורם נוסף שמעבד מידע אישי על המשתמשים שלך. בישראל, חוק הגנת הפרטיות מחייב אותך - כבעל האתר - לדעת מי מעבד, מה מעבד, ולהסדיר זאת בכתב. מדיניות פרטיות גנרית שהורדת מהאינטרנט לא תספיק; אתה צריך מסמך שמשקף את המבנה האמיתי של האתר שלך.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- כל פלאגין WordPress הוא מעבד מידע עצמאי - Contact Form 7, Mailchimp for WooCommerce, Google Analytics דרך כלי שילוב, ו-WooCommerce Payments שולחים מידע אישי לשרתים חיצוניים. מדיניות פרטיות שלא מזהה אותם במפורש חושפת אותך לעיצומים לפי תיקון 13 לחוק.
- WordPress אופן-סורס פירושו שהאחריות על הגדרות האבטחה והפרטיות נופלת עליך בלבד - אין חברה מרכזית שמנהלת עבורך את הגדרות ה-Cookies, את מדיניות השמירה, או את הסכמי מיקור החוץ מול ספקי השירות. כל אלה הם חובות שלך לפי תקנות אבטחת המידע.
- אם האתר שלך כולל WooCommerce, טפסי הרשמה, אזור לקוחות, או כל שדה שמקבל מייל וטלפון - אתה מנהל מאגר מידע לכל דבר. חובת היידוע לפי סעיף 11 לחוק דורשת שתסביר למשתמש בזמן האיסוף: מה נאסף, למה, ולמי יועבר - ובאתר WordPress זה חייב להיות מוטמע בכל נקודת איסוף בנפרד.
שאלות נפוצות
האם מדיניות הפרטיות שמגיעה עם תבנית ה-WordPress שלי מספיקה?
כמעט תמיד - לא. תבניות WordPress מגיעות עם טקסט גנרי באנגלית שלא מתייחס לחוק הישראלי, לא מפרט את הפלאגינים הספציפיים שלך, ולא עומד בחובת היידוע לפי סעיף 11 לחוק הגנת הפרטיות. אתה זקוק למסמך שנכתב לפי המבנה האמיתי של האתר שלך.
כמה פלאגינים צריכים להופיע במדיניות הפרטיות שלי?
כל פלאגין שאוסף, מעביר, או מעבד מידע אישי - ולו גם רק כתובת IP. בפועל זה כולל בדרך כלל: פלאגיני טפסים, פלאגיני ניוזלטר, ניתוח תנועה, כלי צ'אט ותמיכה, שערי תשלום, ופלאגיני רוחות חברתיות. לפי תקנה 15 לתקנות אבטחת המידע, עליך להסדיר בכתב את מערכת היחסים עם כל ספק שמעבד מידע עבורך - זה נקרא מיקור חוץ.
האם אני חייב לקבל הסכמה לפני שמידע נשלח לפלאגינים כמו Google Analytics?
כן. כאשר פלאגין שולח מידע מזהה לגורם שלישי, חובת היידוע לפי סעיף 11 לחוק מחייבת שהמשתמש ידע על כך לפני שהנתונים נאספים. בנוסף, לפי חוק התקשורת סעיף 30א, שימוש ב-Cookies שאינם הכרחיים לתפעול טכני בלבד מחייב הסכמה מפורשת - ופתרון כפתור 'קבל הכל' שמופיע לאחר טעינת הדף אינו עומד בדרישה זו.
מה קורה אם הפלאגין שלי שומר מידע על מנויים - כמה זמן מותר לי לשמור?
החוק הישראלי לא קובע מועד אחיד, אך עקרון המינימום מחייב אותך לשמור מידע רק כל עוד יש לך צורך עסקי מוצדק בו. נתונים פיננסיים וחשבוניות נשמרים 7 שנים לפי פקודת מס הכנסה וחוק מע"מ. מידע שיווקי שאין לו בסיס הסכמה תקף - יש למחוק לפי בקשה. חשוב להגדיר מדיניות שמירה ומחיקה בכתב.
אם יש לי חנות WooCommerce - האם יש דרישות נוספות?
בהחלט. WooCommerce אוספת פרטי רכישה, כתובות, פרטי תשלום חלקיים והיסטוריית הזמנות - כל אלה נחשבים מאגר מידע לכל דבר. בנוסף, תהליך התשלום כרוך בדרך כלל בשילוב שעריי תשלום חיצוניים (Stripe, PayPal, Cardcom ואחרים), שכל אחד מהם דורש הסדרת מיקור חוץ לפי תקנה 15. מדיניות הפרטיות של חנות WooCommerce חייבת לפרט את כל שלבי זרימת המידע מהרכישה ועד לעיבוד.