מדיניות פרטיות למכון כושר ומאמן אישי ב-WordPress - כי נתוני הבריאות של הלקוחות שלך הם מידע בעל רגישות מיוחדת לפי חוק
עודכן ב-30 בינואר 2025
כשאתה מנהל מכון כושר או עובד כמאמן אישי דרך WordPress, אתה אוסף מידע שהחוק הישראלי מגדיר במפורש כ"מידע בעל רגישות מיוחדת": מצב בריאותי, מגבלות פיזיות, ולעיתים תמונות לפני/אחרי שחושפות את גוף הלקוח. זה לא אותו דבר כמו שם ואימייל - סוג מידע זה דורש הגנה ברמה גבוהה יותר ומסמך פרטיות שמתייחס אליו במפורש. מעבר לכך, WordPress כפלטפורמה פתוחה מבוססת על עשרות פלאגינים - לכל פלאגין שמתממשק עם מידע הלקוחות (טפסי הרשמה, ניהול תורים, חיוב חוזר, וידאו אימונים) יש עלות פרטיות משלה שחובה להסדיר.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- טפסי אנמנזה ובריאות בפלאגינים כמו Gravity Forms או WPForms אוספים מצב רפואי, פציעות ומגבלות - מידע שמוגדר כרגיש לפי סעיף 7 לחוק ומחייב הסכמה מפורשת, לא סתם V בטופס הרשמה
- תמונות לפני/אחרי שנשמרות בספריית המדיה של WordPress, נשלחות דרך פלאגין ניהול לקוחות או מועלות לענן - כל פלאגין כזה הוא גורם מיקור חוץ שדורש הסדרה חוזית בכתב לפי תקנה 15 לתקנות אבטחת מידע
- פלאגיני תשלום חוזר ומנויים (כמו WooCommerce Subscriptions או MemberPress) שומרים פרטי כרטיס אשראי ו/או היסטוריית עסקאות - שילוב של מידע פיננסי ובריאותי תחת מאגר אחד מעלה את רמת האבטחה הנדרשת ואת חובות הדיווח במקרה של אירוע אבטחה
שאלות נפוצות
האם תמונות לפני/אחרי שהלקוח שלח לי דרך WordPress נחשבות מידע בעל רגישות מיוחדת?
כן. תמונות שמגלות מצב גופני, פציעות נראות לעין או תהליך רפואי-פיזי נכנסות תחת ההגדרה של מידע הנוגע למצב בריאות לפי סעיף 7 לחוק הגנת הפרטיות. אם אתה שומר אותן בספריית המדיה של WordPress, בענן, או שולח אותן לשירות צד שלישי לעריכה - חובה שיהיה לך הסדר מפורש עם הלקוח ועם כל גורם שמטפל בתמונות.
כל פלאגין שמותקן ב-WordPress שלי הוא בעיה מבחינת פרטיות?
לא כל פלאגין, אבל כל פלאגין שנוגע במידע של לקוחות - כן. פלאגין שמנהל טפסי בריאות, מערכת תורים, חיוב חוזר, שיווק אימייל, או וידאו אימונים - הוא בפועל גורם מיקור חוץ שמעבד מידע עבורך. לפי תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), עליך לוודא שיש הסדר חוזי בכתב המגדיר כיצד הוא מגן על המידע ואינו עושה בו שימוש נוסף.
אני מאמן אישי עצמאי עם אתר WordPress קטן - האם חוק הפרטיות חל גם עלי?
חוק הגנת הפרטיות חל על כל עוסק שמנהל מאגר מידע, ללא קשר לגודל העסק. ברגע שאתה שומר שמות, פרטי קשר ומידע בריאותי של לקוחות - יש לך מאגר. מדיניות פרטיות ברורה, חובת יידוע בעת איסוף המידע ואבטחה בסיסית הן חובות שחלות גם על מאמן עם ארבעה לקוחות.
מה חייב להיות כתוב בטופס ההרשמה שלי ב-WordPress לפי החוק?
לפי סעיף 11 לחוק הגנת הפרטיות (חובת יידוע), בעת איסוף מידע עליך לציין: האם מסירת המידע היא חובה או רשות, מה מטרת השימוש במידע, למי הוא עשוי להימסר (כמו שירות שיווק, אפליקציית תזונה, ספק ענן), וכי ללקוח יש זכות לעיין במידע שנשמר עליו. טופס שמבקש מצב בריאותי ואינו כולל הסבר זה - לא עומד בדרישות החוק.
אם יש פריצה לאתר WordPress שלי ומידע בריאותי דלף - מה קורה?
מאגר שמכיל מידע בריאותי מסווג ברמת אבטחה בינונית לפחות. במקרה של אירוע אבטחה, תקנה 11 לתקנות הגנת הפרטיות (אבטחת מידע) מחייבת דיווח מיידי לרשות להגנת הפרטיות ולנפגעים - באופן מיידי. WordPress, בשל אופיו הפתוח, חשוף יותר לפגיעויות דרך פלאגינים לא מעודכנים, ולכן תחזוקה שוטפת ועדכוני אבטחה הם חלק מהחובה המשפטית שלך.