מדיניות פרטיות ל-WordPress: המדריך ליועץ העסקי שמטפל במידע בעל רגישות מיוחדת של לקוחות
עודכן ב-30 בינואר 2025
כיועץ עסקי ב-WordPress, האתר שלך הוא לא רק כרטיס ביקור - הוא מערכת שאוספת, מעבדת ומעבירה מידע עסקי רגיש של לקוחות דרך עשרות פלאגינים. כל פלאגין שמותקן - בין אם זה טופס יצירת קשר, CRM, כלי ניתוח גולשים או מערכת ניהול פגישות - הוא מעבד מידע עצמאי שדורש הסדרה משפטית נפרדת לפי תקנה 15 לתקנות אבטחת מידע. בניגוד לפלטפורמות סגורות, ב-WordPress אתה בעל המאגר ואתה האחראי הבלעדי על שרשרת המעבד - ורשות הגנת הפרטיות לא מקבלת את התירוץ "לא ידעתי מה הפלאגין עושה".
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- כל פלאגין שמוסיף פונקציונליות לאתר - Gravity Forms, HubSpot, Calendly embed, Google Analytics - מעביר מידע על לקוחות לצד שלישי. ללא הסכם מיקור חוץ מסודר עם כל אחד מהם, אתה חושף את עצמך לאחריות אישית על כל דליפה שתתרחש אצל אותו ספק.
- לקוחות שמוסרים לך מידע עסקי רגיש - תזרים מזומנים, מבנה ארגוני, קשיים פיננסיים - עושים זאת מתוך אמון. אם מסמך היידוע באתר לא מפרט במדויק מה נעשה עם המידע הזה, מי רואה אותו ולכמה זמן נשמר, אתה מפר את סעיף 11 לחוק הגנת הפרטיות עוד לפני שהשיחה הראשונה התחילה.
- WordPress מותקן לרוב על שרת של חברת אחסון חיצונית, ובמקרים רבים גם עם שירות CDN ואחסון קבצים בענן. שלושה ספקי תשתית שונים - כל אחד מחזיק עותק של המידע שלקוחותיך מסרו לך - ומדיניות הפרטיות של רוב יועצים לא מזכירה אף אחד מהם. זו הפרה של חובת השקיפות ופגיעה ישירה באמון שהלקוח נותן בך.
שאלות נפוצות
אני יועץ עסקי קטן עם אתר WordPress פשוט - האם אני באמת צריך מדיניות פרטיות מפורטת?
כן, ובמיוחד אתה. ככל שאתה עוסק ביעוץ עסקי, הלקוחות מוסרים לך מידע שיכול להיחשב מידע עסקי רגיש - ולעיתים גם מידע על עובדים, שכר ומצב פיננסי. גם אם יש לך רק 10 לקוחות פעילים, חוק הגנת הפרטיות חל עליך, וסעיף 11 לחוק מחייב יידוע ברור בעת כל איסוף מידע. עמוד "צור קשר" ללא טקסט יידוע - זו כבר הפרה.
אני משתמש ב-Calendly מוטמע באתר לקביעת פגישות. האם זה מחייב אותי לעשות משהו מיוחד?
בהחלט. Calendly מקבל שם, כתובת אימייל ולעיתים פרטים נוספים ששולחי הפגישה ממלאים - מידע שעובר ישירות לשרתים של Calendly מחוץ לישראל. לפי תקנה 15 לתקנות אבטחת מידע, עליך להסדיר הסכם מיקור חוץ ולציין בפירוש במדיניות הפרטיות שלך ש-Calendly היא מעבד מידע מטעמך. הדבר נכון גם לכל כלי זימון דיגיטלי אחר שמוטמע באתר.
לקוח שלי ביקש לדעת מה אני עושה עם המידע שמסר לי בתהליך הייעוץ. מה אני חייב לענות ומתי?
זכות העיון מעוגנת בחוק הגנת הפרטיות, ועליך להשיב בתוך 30 יום. הלקוח זכאי לדעת אילו נתונים שמורים עליו, לאיזו מטרה, ולמי הם הועברו - כולל ספקי תוכנה שמשמשים אותך ביעוץ. מומלץ שמדיניות הפרטיות באתר ה-WordPress שלך תפרט מראש את תהליך מימוש הזכות, כדי שהבקשה לא תיפול עליך כהפתעה.
האם פלאגין שמתקין Google Analytics באתר שלי מחייב מדיניות פרטיות שונה?
Google Analytics אוסף נתוני גלישה שעשויים לאפשר זיהוי לקוחות שביקרו בדף השירותים שלך. מדיניות הפרטיות חייבת לציין בצורה ברורה שנאסף מידע דרך כלי זה, לאיזו מטרה (שיפור חוויית המשתמש, ניתוח תנועה), ושהמידע מועבר ל-Google כמעבד מידע. כמו כן, אם אתה שולח ניוזלטרים או הצעות שיווקיות, חל עליך גם סעיף 30א לחוק התקשורת, שמחייב הסכמה מפורשת מראש.
מה קורה אם מתרחש דליפת מידע דרך אחד הפלאגינים שלי?
אם המאגר שלך מסווג ברמת אבטחה בינונית או גבוהה - כפי שנדרש כשמחזיקים מידע עסקי רגיש - חובה לדווח לרשות הגנת הפרטיות באופן מיידי מרגע גילוי האירוע, לפי תקנה 11 לתקנות אבטחת מידע. הדיווח חייב לכלול תיאור האירוע, סוג המידע שנחשף, ומה עשית כדי לצמצם נזק. כישלון בדיווח בזמן הוא עבירה עצמאית - נפרדת מהאירוע עצמו.