מדיניות פרטיות לאתר מפותח עצמאית - כשהאחריות כולה עליך, המסמכים חייבים להיות מושלמים
עודכן ב-13 ביולי 2025
אתר מפותח עצמאית אינו מגיע עם תבניות, תנאים מובנים או הגנות ברירת מחדל - כל בחירה טכנית שעשית, מהאחסון ועד לספקי הצד השלישי, יוצרת התחייבות משפטית ישירה שלך כבעל האתר. בניגוד לפלטפורמות מסחריות מוכרות, כאן אין שכבת הגנה של חברת תוכנה גדולה שמשתפת עמך את האחריות - החוק מסתכל ישירות עליך. מדיניות פרטיות שנכתבה בצורה גנרית לא תשקף את הספקים הספציפיים שבחרת, את מבנה המאגר שלך, ואת הדרישות הקונקרטיות של חוק הגנת הפרטיות הישראלי - וזה בדיוק מה שרשות הפרטיות (ILITA) בודקת בביקורות ציות.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- ספקים מגוונים ואחריות מלאה: כל שירות חיצוני שהשתלב באתר - CDN, אחסון ענן, שירות דוא"ל, ניתוח תנועה - הוא 'גורם מקבל שירות' שחייב הסדרה בכתב לפי תקנות אבטחת מידע. באתר Custom אתה זה שבחרת כל אחד מהם, ואתה זה שנושא באחריות אם ספק לא עמד בדרישות - בלי שום הגנת פלטפורמה שתחצוץ בינך לבין הרגולטור.
- סביבת Hosting משתנה וסיווג מאגר: שינוי ספק אחסון, מעבר לשרת אחר, או הוספת מסד נתונים חדש - כל אלה עשויים לשנות את רמת האבטחה הנדרשת למאגר שלך (בסיסית, בינונית או גבוהה). אתר Custom שמתפתח ומתעדכן ללא עדכון מקביל של נוהל האבטחה ומסמך מבנה המאגר, חושף אותך לעיצומים של עד 5% ממחזור שנתי.
- היעדר מנגנון יידוע אוטומטי: פלטפורמות מסחריות רבות כוללות טפסי הסכמה ויידוע מובנים. באתר מפותח עצמאית, חובת היידוע בעת איסוף מידע - מה נאסף, למה, למי נמסר, וזכות העיון של המשתמש - נופלת כולה על המפתח ועל בעל האתר. טופס יצירת קשר פשוט ללא טקסט יידוע מתאים הוא כבר הפרה של החוק.
שאלות נפוצות
האם אתר מפותח עצמאית חייב במדיניות פרטיות בישראל?
כן, ללא יוצא מן הכלל. כל אתר שאוסף מידע אישי - כולל כתובת אימייל, שם, או כתובת IP - מנהל מאגר מידע המוסדר בחוק הגנת הפרטיות, התשמ"א-1981 (תיקון מס' 13), התשפ"ד-2024. היות שהאתר מפותח עצמאית, אין גורם ביניים שיישא בחלק מהאחריות - בעל האתר הוא הבעלים והמנהל של המאגר לכל דבר.
הספקים שבחרתי לאתר (אחסון, אנליטיקס, שליחת מיילים) - האם הם חייבים בהסדר כלשהו?
כן. כל ספק שמעבד מידע אישי עבורך מוגדר כ'מקבל שירות' לפי תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 - תקנה 15 בדבר מיקור חוץ. נדרש הסכם בכתב שמגדיר את אחריות הספק, מחייב אותו לעמוד בתקני האבטחה, ומונע שימוש במידע למטרות שאינן קשורות לשירות שסיפקת לו. ספקים ללא הסכם כזה הם חשיפה משפטית ישירה שלך.
מה קורה אם יש אירוע אבטחה - למשל, פריצה לשרת האחסון שבחרתי?
במאגרים ברמת אבטחה בינונית או גבוהה, חובת הדיווח לרשות הפרטיות היא באופן מיידי מרגע גילוי האירוע, לפי תקנה 11 לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. באתר מפותח עצמאית, זמן הגילוי תלוי בכלי הניטור שהטמעת - אם אין כלים כאלה, אתה עלול לגלות באיחור ולהיות כבר במחדל דיווח.
האם מדיניות פרטיות גנרית שמצאתי באינטרנט מספיקה לאתר Custom שלי?
לא. מדיניות גנרית אינה מתארת את הספקים הספציפיים שבחרת, את שיטות האחסון שלך, ואת מטרות האיסוף הממשיות של האתר. תיקון 13 לחוק מחייב שקיפות מדויקת ויידוע אמיתי לפי סעיף 11 לחוק - מסמך שאינו משקף את המציאות בפועל אינו מגן עליך משפטית, ולעיתים אף מחמיר את המצב בביקורת.
האם שינוי טכני באתר - כמו מעבר שרת או הוספת ספק - מחייב עדכון מסמכי הפרטיות?
כן, בהחלט. מסמך מדיניות אבטחת המידע ונוהל האבטחה (לפי תקנות 4 ו-5 לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017) חייבים לשקף את המצב הטכני בפועל. אתר שמתפתח ללא עדכון מקביל של התיעוד המשפטי נמצא בהפרה שוטפת, גם אם הכוונה הייתה טובה - הרגולטור מסתכל על המציאות, לא על הכוונות.