מדיניות פרטיות למכון יופי ב-WordPress - כי רגישויות עור הן מידע בעל רגישות מיוחדת לפי חוק
עודכן ב-14 ביולי 2025
מכון יופי שעובד עם WordPress אוסף מידע שרוב בעלות עסקים לא מבינות שהוא בכלל מוגן בחוק: תמונות לפני-ואחרי, רגישויות עור, אלרגיות ופרוטוקולי טיפול. לפי סעיף 7 לחוק הגנת הפרטיות, מצב רפואי ונתונים גופניים מסווגים כמידע בעל רגישות מיוחדת - ודורשים הסכמה מפורשת ומסמכים מסודרים. הבעיה המיוחדת ב-WordPress היא שכל פלאגין שמתקינים - טופס הזמנות, מערכת ניהול לקוחות, גלריית תמונות, ניוזלטר - הוא בפועל מעבד מידע נוסף, ובמקרים רבים ספק מחוץ לישראל. מסמך גנרי שהורדתם מהאינטרנט לא מכסה את הקומבינציה הזו.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- כל פלאגין WordPress שמתקינים - Calendly, WooCommerce Bookings, Mailchimp, Contact Form 7 - הוא מעבד מידע עצמאי לפי תקנה 15 לתקנות אבטחת מידע. בלי הסדר מיקור חוץ מסודר מול כל אחד מהם, האחריות המשפטית נשארת עליכן בלבד.
- תמונות 'לפני ואחרי' של לקוחות הן מידע ביומטרי ורפואי גם יחד - שניהם ברשימת המידע הרגיש לפי סעיף 7 לחוק. שמירתן בגלריית WordPress ללא הסכמה כתובה מפורשת היא הפרה ישירה, גם אם הלקוחה הסכימה בעל פה.
- טפסי הזמנות ב-WordPress שאוספים אלרגיות, רגישויות עור ומצב עור כרוני נדרשים לכלול יידוע מפורש לפי סעיף 11 לחוק - מה נאסף, למה, למי יועבר ואיך מממשים זכות עיון. טופס שלא כולל את כל הרכיבים האלה הוא טופס לא חוקי.
שאלות נפוצות
האם תמונות לפני-ואחרי שאני שומרת ב-WordPress מאגר לקוחות מחייבות הסכמה מיוחדת?
כן, ובאופן מפורש. תמונות גוף ופנים מסווגות כנתונים ביומטריים, ומצב עור ככלל עשוי להיחשב מידע רפואי - שניהם מידע בעל רגישות מיוחדת לפי סעיף 7 לחוק הגנת הפרטיות. על כן נדרשת הסכמה בכתב, מפורשת ומודעת, לפני הצילום ולפני השמירה. הסכמה בעל פה אינה מספקת מבחינה חוקית.
אנחנו משתמשות ב-WordPress עם פלאגין הזמנות שמחובר ל-Google Calendar ולמערכת ניוזלטר. כמה מסמכי מיקור חוץ צריך?
עקרונית - מסמך נפרד לכל ספק שמקבל גישה למידע אישי של לקוחות: ספק הפלאגין, Google ומערכת הניוזלטר. תקנה 15 לתקנות אבטחת מידע מחייבת הסדר מיקור חוץ בכתב עם כל גורם חיצוני שמעבד מידע עבורכן. חלק מהספקים מספקים מסמך סטנדרטי - יש לוודא שהוא כולל את הדרישות הישראליות.
לקוחה ביקשה לעיין בכל המידע שיש לנו עליה, כולל תמונות ורשימת הטיפולים. כמה זמן יש לנו להגיב?
חוק הגנת הפרטיות מעניק זכות עיון ללקוחה, ועסק מחויב לאפשר אותה בפרק זמן סביר. בפועל, הרשות להגנת הפרטיות מצפה לתגובה תוך 30 יום. יש לוודא שניתן לשלוף ולהציג את כל המידע - כולל תמונות שמורות בספריית המדיה של WordPress ורשומות בפלאגין ניהול הלקוחות.
האם שליחת SMS תזכורות לתורים דרך פלאגין WordPress דורשת הסכמה מיוחדת?
שליחת SMS שיווקי - כגון מבצעים, ניוזלטרים או קידום שירותים - דורשת הסכמה מפורשת מראש לפי סעיף 30א לחוק התקשורת. תזכורת תור שאינה מכילה תוכן שיווקי נחשבת עסקית ופחות מוגבלת, אך עדיין מומלץ לכלול אפשרות הסרה ולתעד את ההסכמה לשיגור.
מה קורה אם מישהו פורץ לאתר WordPress שלנו ומגיע למידע על טיפולים ורגישויות עור?
מאגר שמכיל נתונים רפואיים ותמונות מסווג לפחות כרמת אבטחה בינונית, ולעיתים גבוהה. במקרה של פריצה, חלה חובת דיווח באופן מיידי לרשות להגנת הפרטיות לפי תקנה 11 לתקנות אבטחת מידע. WordPress כפלטפורמת קוד פתוח דורשת עדכוני אבטחה שוטפים לפלאגינים ולתמות - פלאגין לא מעודכן הוא אחת ממוקדי הפגיעות הנפוצים ביותר.