מדיניות פרטיות לתיווך נדל"ן ב-WordPress: מה כל פלאגין יודע על הלקוחות שלכם?
עודכן ב-14 ביולי 2025
אתר תיווך נדל"ן ב-WordPress אינו אתר תדמית פשוט - הוא מאגר מידע פעיל. טופס יצירת קשר, תוסף CRM, אינטגרציית מדלן/יד2, צ'אט חי, ניוזלטר - כל אחד מהם אוסף פרטים פיננסיים, יכולת החזר משכנתה, ומידע על נכסים רגישים של לקוחות שמצפים לדיסקרטיות מוחלטת. בניגוד לפלטפורמות סגורות, ב-WordPress כל פלאגין שמתקינים הוא בפועל מעבד מידע חיצוני - ובחוק הגנת הפרטיות הישראלי עדכני (תיקון 13, התשפ"ד-2024) האחריות נשארת אצלכם. מסמך מדיניות פרטיות גנרי לא מספיק - צריך מסמך שמתאים בדיוק לסוג המידע שאתם אוספים ולתשתית הפלאגינים שאתם מפעילים.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- כל פלאגין WordPress שמתקינים - Contact Form 7, WP-CRM, Gravity Forms, LiveChat - הוא ספק חיצוני שמעבד מידע של לקוחותיכם. לפי תקנה 15 לתקנות אבטחת מידע, אתם חייבים להסדיר כל העברת מידע כזו בהסכם מיקור חוץ בכתב, אחרת אתם חשופים לאחריות מלאה על כל פרצה שתגרם.
- נתונים על כושר פיננסי של רוכשים - הכנסה חודשית, יתרות חיסכון, אישורי משכנתה - שנאספים בטפסי WordPress הם מהרגישים ביותר שעסק יכול להחזיק. אם הם מאוחסנים בבסיס נתונים wp_posts/wp_options ללא הצפנה ובלי הגדרת רמת אבטחה מתאימה, אתם פועלים בניגוד לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 ועלולים לשאת בעיצומים של עד 5% ממחזור שנתי.
- לקוח שמסר לכם פרטים ל'בדיקת היתכנות רכישה' ולאחר מכן קיבל מיילים ממתווכים אחרים - עלול לתבוע שימוש לא מורשה במידע. ב-WordPress שמשולב עם תוספי ניוזלטר כמו Mailchimp for WordPress או FluentCRM, ברירת המחדל היא לעיתים הרשמה אוטומטית לרשימות - ללא ההסכמה המפורשת הנדרשת לפי סעיף 30א לחוק התקשורת ולפי סעיף 11 לחוק הגנת הפרטיות.
שאלות נפוצות
האם מדיניות הפרטיות שמגיעה עם תבנית WordPress שלי מספיקה לעסק תיווך?
לא. תבניות WordPress כוללות בדרך כלל מדיניות גנרית שמתייחסת ל-cookies ואנליטיקס בסיסית. עסק תיווך אוסף פרטים פיננסיים, נתוני כושר אשראי ומידע על נכסים פרטיים - קטגוריות שדורשות ניסוח מפורש לפי סעיף 11 לחוק הגנת הפרטיות: מה נאסף, לאיזו מטרה, למי יועבר ומה זכויות העיון של הלקוח. מסמך שלא מכסה את אלה אינו עומד בדרישות החוק.
מה הקשר בין הפלאגינים שמותקנים באתר לבין חובות חוקיות שלי?
כל פלאגין שמעביר מידע מהאתר לשרת חיצוני - בין אם זה CRM, כלי מיפוי נכסים, מערכת תורים או תוסף צ'אט - הוא בפועל 'מחזיק מאגר' מטעמכם לפי תקנה 15 לתקנות אבטחת מידע. החוק מחייב שתהיה לכם התקשרות חוזית מסודרת עם אותו ספק המגדירה את הגבלות השימוש במידע. בלי ההסכם הזה, כל אירוע אבטחה אצל ספק הפלאגין - האחריות עלולה ליפול עליכם.
אנחנו שומרים תיקי לקוח עם אישורי הכנסה וחוות דעת שמאי - כמה זמן מותר לשמור אותם?
מסמכים פיננסיים הקשורים לעסקאות נדל"ן, חשבוניות ומסמכי תיווך כפופים לחובת שמירה של 7 שנים לפי פקודת מס הכנסה וחוק מע"מ. עם זאת, מידע אישי שאין לו עוד צורך עסקי לגיטימי - כמו פרטי לקוח שלא הגיע לעסקה - יש למחוק לפי עיקרון המידתיות בחוק הגנת הפרטיות. מומלץ לקבוע מדיניות שמירה ברורה ומתועדת.
לקוח ביקש לדעת אילו מידע יש לי עליו ואיפה הוא מאוחסן - מה עלי לעשות?
זוהי זכות עיון מוכרת לפי חוק הגנת הפרטיות, התשמ"א-1981. אתם חייבים לאתר את כל המידע עליו - בטפסי WordPress, ב-CRM, בתיבת המייל, בתיקיות נכסים - ולספק לו תמונה מלאה. ב-WordPress זה מורכב במיוחד כי המידע עלול להיות מפוזר בין wp_posts, meta fields, תוסף CRM ותיבות דוא"ל. מומלץ לתעד מראש מפה של כל נקודות איסוף המידע באתר.
מה קורה אם הייתה פרצת אבטחה ופרטי לקוחות דלפו?
אם מאגר המידע שלכם מסווג ברמת אבטחה בינונית או גבוהה - כפי שסביר בעסק תיווך שמחזיק נתוני הכנסות ומסמכים פיננסיים - חובה לדווח לרשות הגנת הפרטיות באופן מיידי מרגע הגילוי, לפי תקנה 11 לתקנות אבטחת מידע. כמו כן, ייתכן שתחויבו ליידע את הנפגעים. ב-WordPress, שמריץ אלפי פלאגינים בתשתית שיתופית, פרצות הן סיכון ריאלי - ולכן חשוב שיהיה לכם נוהל תגובה לאירוע אבטחה מתועד מראש.