מדיניות פרטיות לאתר מפותח עצמאית - כשהאחריות כולה עליך, המסמכים חייבים להיות מושלמים

עודכן ב-13 ביולי 2025

אתר מפותח עצמאית אינו מגיע עם תבניות, תנאים מובנים או הגנות ברירת מחדל - כל בחירה טכנית שעשית, מהאחסון ועד לספקי הצד השלישי, יוצרת התחייבות משפטית ישירה שלך כבעל האתר. בניגוד לפלטפורמות מסחריות מוכרות, כאן אין שכבת הגנה של חברת תוכנה גדולה שמשתפת עמך את האחריות - החוק מסתכל ישירות עליך. מדיניות פרטיות שנכתבה בצורה גנרית לא תשקף את הספקים הספציפיים שבחרת, את מבנה המאגר שלך, ואת הדרישות הקונקרטיות של חוק הגנת הפרטיות הישראלי - וזה בדיוק מה שרשות הפרטיות (ILITA) בודקת בביקורות ציות.

רקע: מה זה תיקון 13?

האתגרים הנפוצים

  • ספקים מגוונים ואחריות מלאה: כל שירות חיצוני שהשתלב באתר - CDN, אחסון ענן, שירות דוא"ל, ניתוח תנועה - הוא 'גורם מקבל שירות' שחייב הסדרה בכתב לפי תקנות אבטחת מידע. באתר Custom אתה זה שבחרת כל אחד מהם, ואתה זה שנושא באחריות אם ספק לא עמד בדרישות - בלי שום הגנת פלטפורמה שתחצוץ בינך לבין הרגולטור.
  • סביבת Hosting משתנה וסיווג מאגר: שינוי ספק אחסון, מעבר לשרת אחר, או הוספת מסד נתונים חדש - כל אלה עשויים לשנות את רמת האבטחה הנדרשת למאגר שלך (בסיסית, בינונית או גבוהה). אתר Custom שמתפתח ומתעדכן ללא עדכון מקביל של נוהל האבטחה ומסמך מבנה המאגר, חושף אותך לעיצומים של עד 5% ממחזור שנתי.
  • היעדר מנגנון יידוע אוטומטי: פלטפורמות מסחריות רבות כוללות טפסי הסכמה ויידוע מובנים. באתר מפותח עצמאית, חובת היידוע בעת איסוף מידע - מה נאסף, למה, למי נמסר, וזכות העיון של המשתמש - נופלת כולה על המפתח ועל בעל האתר. טופס יצירת קשר פשוט ללא טקסט יידוע מתאים הוא כבר הפרה של החוק.

שאלות נפוצות

האם אתר מפותח עצמאית חייב במדיניות פרטיות בישראל?

כן, ללא יוצא מן הכלל. כל אתר שאוסף מידע אישי - כולל כתובת אימייל, שם, או כתובת IP - מנהל מאגר מידע המוסדר בחוק הגנת הפרטיות, התשמ"א-1981 (תיקון מס' 13), התשפ"ד-2024. היות שהאתר מפותח עצמאית, אין גורם ביניים שיישא בחלק מהאחריות - בעל האתר הוא הבעלים והמנהל של המאגר לכל דבר.

הספקים שבחרתי לאתר (אחסון, אנליטיקס, שליחת מיילים) - האם הם חייבים בהסדר כלשהו?

כן. כל ספק שמעבד מידע אישי עבורך מוגדר כ'מקבל שירות' לפי תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 - תקנה 15 בדבר מיקור חוץ. נדרש הסכם בכתב שמגדיר את אחריות הספק, מחייב אותו לעמוד בתקני האבטחה, ומונע שימוש במידע למטרות שאינן קשורות לשירות שסיפקת לו. ספקים ללא הסכם כזה הם חשיפה משפטית ישירה שלך.

מה קורה אם יש אירוע אבטחה - למשל, פריצה לשרת האחסון שבחרתי?

במאגרים ברמת אבטחה בינונית או גבוהה, חובת הדיווח לרשות הפרטיות היא באופן מיידי מרגע גילוי האירוע, לפי תקנה 11 לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. באתר מפותח עצמאית, זמן הגילוי תלוי בכלי הניטור שהטמעת - אם אין כלים כאלה, אתה עלול לגלות באיחור ולהיות כבר במחדל דיווח.

האם מדיניות פרטיות גנרית שמצאתי באינטרנט מספיקה לאתר Custom שלי?

לא. מדיניות גנרית אינה מתארת את הספקים הספציפיים שבחרת, את שיטות האחסון שלך, ואת מטרות האיסוף הממשיות של האתר. תיקון 13 לחוק מחייב שקיפות מדויקת ויידוע אמיתי לפי סעיף 11 לחוק - מסמך שאינו משקף את המציאות בפועל אינו מגן עליך משפטית, ולעיתים אף מחמיר את המצב בביקורת.

האם שינוי טכני באתר - כמו מעבר שרת או הוספת ספק - מחייב עדכון מסמכי הפרטיות?

כן, בהחלט. מסמך מדיניות אבטחת המידע ונוהל האבטחה (לפי תקנות 4 ו-5 לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017) חייבים לשקף את המצב הטכני בפועל. אתר שמתפתח ללא עדכון מקביל של התיעוד המשפטי נמצא בהפרה שוטפת, גם אם הכוונה הייתה טובה - הרגולטור מסתכל על המציאות, לא על הכוונות.

באתר שבניתי עצמאית - מי אחראי על ניהול הרשאות הגישה למסד הנתונים?

באתר עצמאי אין ספק פלטפורמה שמגדיר הרשאות במקומך — האחריות על המפתח ובעל העסק. תקנה 8 לתקנות הגנת הפרטיות (אבטחת מידע) מחייבת לנהל גישה לפי עקרון "צורך לדעת": לא כל מי שעובד על האתר צריך גישה לכל המידע האישי. הגדר משתמשים והרשאות מדורגות, סיסמאות אישיות ותיעוד גישה (תקנה 10) — כך שכל כניסה למאגר תהיה מבוקרת ומתועדת.

כל כמה זמן צריך לבצע גיבוי, סקר סיכונים וביקורת אבטחה באתר עצמאי?

באתר שפותח עצמאית מלוא אחריות האבטחה עליך לאורך זמן, ללא רשת ביטחון של פלטפורמה. תקנה 5 מחייבת מיפוי מערכות וסקר סיכונים שמזהה היכן נשמר המידע ומה נקודות התורפה; תקנה 18 מחייבת מנגנון גיבוי ושחזור סדור; ותקנה 16 מחייבת ביקורת תקופתית של עמידה בדרישות אחת ל-24 חודשים. תעד את הממצאים ואת התיקונים שביצעת בכל סבב.

בחר את סוג העסק שלך