מדריך תיקון 13 לחנויות אונליין

חנות אונליין היא מכונת איסוף מידע: שמות, כתובות, כרטיסי אשראי, היסטוריית רכישות, עוגיות מעקב. תיקון 13 רלוונטי לך יותר מלכולם.

רקע: מה זה תיקון 13?

הספקים שלך - מציאות, לא חוזה פרטני

Google Analytics: הפעל Data Processing Terms בחשבון Google - זה ה-DPA שלך עם גוגל. Meta Pixel: חתום על Data Processing Addendum ב-Meta Business Manager. Shopify: השרתים בקנדה. תקנות העברת מידע מחוץ לישראל (תשס"א-2001) מאפשרות העברה למדינות עם הגנת פרטיות נאותה - קנדה לרוב נחשבת כזו, אך מומלץ לעגן את ההעברה ב-DPA. בנוסף, הפעל הגדרות Privacy ב-Shopify Admin. Stripe / חברת שילוח: בדוק שיש הסכם עיבוד מידע פעיל בחשבון. להעברת מידע לארה"ב (Google, Meta, Mailchimp), הבסיס המשפטי הישראלי הוא תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001. בפועל, ספקים אלה מציעים DPA סטנדרטי (לרוב מבוסס SCCs של ה-EU) שעונה על דרישות התקנות הישראליות. לפירוט מלא על העברת מידע לחו"ל, כולל טבלת פעולה לכל ספק: /guides/international-transfer

עוגיות - לפני השתילה, לא אחריה

הבאנר חייב להופיע לפני שהעוגיות נשתלות בדפדפן - לא בדיעבד. הרשות להגנת הפרטיות מצפה למנגנון הסכמה לפני שתילת עוגיות מעקב. נכון להיום אין הכרעה חד-משמעית בפסיקה הישראלית בנושא, אך הגישה השמרנית - והבטוחה - היא הסכמה אקטיבית מראש. Google Analytics ופיקסל פייסבוק מפעילים עוגיות מעקב - ללא הסכמה מראש, האתר חשוף להפרת תיקון 13. אם שולחים מיילים שיווקיים ממוקדים (ריטרגטינג, אפיון לפי רכישות) - כל הודעה חייבת סימון "דיוור ישיר" + אפשרות הסרה פשוטה.

Checkout - שני צ'קבוקסים, לא אחד

חובה להפריד בין הסכמה לתנאי שירות/מדיניות פרטיות (יכולה להיות תנאי לרכישה) לבין הסכמה לדיוור שיווקי (חייבת להיות opt-in נקי, לא מסומנת מראש). בלבול בין השניים - בעל החנות מסתכן בתביעת ספאם או לחלופין במחיקת רשימת לידים.

זכות מחיקה - מה מוחקים ומה שומרים

לקוח יכול לבקש מחיקת המידע שלו. אבל: חשבוניות וגיבויי תשלום חייבים להישמר לצרכי מס (7 שנים). פרופיל שיווקי, היסטוריית עיון, ו"wishlist" - חובה למחוק. פתרון מקובל: "אנונימיזציה" - שמירת הנתון הכספי ללא זיהוי אישי.

צ׳קליסט ציות

  • מדיניות פרטיות באתר - כולל סעיף על העברת מידע לחו"ל ואופן הבטחת ההגנה
  • באנר עוגיות שמופיע לפני שתילת העוגיות (לא אחריה)
  • הגדרת Data Processing Terms אצל Shopify / Google / Meta
  • שני צ'קבוקסים נפרדים ב-checkout: תנאי שירות (חובה) ודיוור (opt-in)
  • DPA עם חברת שילוח
  • סימון "דיוור ישיר" בהודעות שיווקיות + אפשרות הסרה
  • וידוא הגדרות פרטיות בתוספים (Plugins) של צד שלישי
  • נוהל מחיקת מידע לפי בקשה: מחיקה/אנונימיזציה של פרופיל שיווקי, שמירת חשבוניות לצרכי מס
בדוק את העסק שלך בחינם