מדיניות פרטיות למכון יופי – כשהאתר שלך בנוי על קוד עצמאי והמידע הוא רגיש מאוד
עודכן ב-30 בינואר 2025
מכון יופי שמנהל אתר מפותח עצמאית נמצא בנקודת חיתוך חשובה: אחריות הגנת המידע נופלת עליך במלואה - אין פלטפורמה מרכזית שמטפלת בהגדרות, ואין מנגנון הגנה אוטומטי. בנוסף, המידע שאת אוספת - תמונות לפני/אחרי, רגישויות עור, טיפולים שבוצעו ותרופות שהלקוחה נוטלת - מוגדר כמידע בעל רגישות מיוחדת לפי סעיף 7 לחוק הגנת הפרטיות, ומחייב רמת הגנה בינונית לפחות. כל ספק אחסון שתחליפי, כל מפתח שנגע בקוד, כל טופס צור קשר - כולם חלק מהמאגר שלך, ואת האחראית עליו.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- תמונות לפני/אחרי ורגישויות עור הן מידע בעל רגישות מיוחדת לפי סעיף 7 לחוק - אם הן שמורות בשרת בלי הצפנה ובלי הסכם מסודר עם ספק האחסון, את חשופה לעיצומים כספיים משמעותיים ולתביעות אזרחיות, גם אם אף פרצה לא התרחשה בפועל.
- אתר מפותח עצמאית עשוי להסתמך על מגוון ספקים - שרת אחסון, שירות דיוור, CRM חיצוני, ספק SMS לתזכורות תורים. כל אחד מהם הוא 'מחזיק מאגר' פוטנציאלי לפי החוק, וללא הסכם מיקור חוץ תקין (תקנה 15 לתקנות אבטחת מידע), האחריות המשפטית נותרת אצלך בלבד.
- טפסי הזמנת תור ועדכון כרטיס לקוחה שבנויים ב-custom code לרוב לא כוללים חובת יידוע תקינה - כלומר לא מובהר ללקוחה מה נעשה עם המידע הרפואי-קוסמטי שהיא מוסרת, מי רואה אותו ומה זכויותיה. זו הפרה ישירה של סעיף 11 לחוק הגנת הפרטיות.
שאלות נפוצות
האם תמונות לפני/אחרי שאני שומרת בשרת נחשבות מידע בעל רגישות מיוחדת?
כן. תמונות שמזהות את הלקוחה ומשקפות מצב עורה, טיפולים שעברה או מאפיינים גופניים נחשבות מידע בעל רגישות מיוחדת לפי סעיף 7 לחוק הגנת הפרטיות. הדבר מחייב רמת אבטחה בינונית לפחות, הצפנה, הגבלת גישה ותיעוד הרשאות לכל מי שנגע בנתונים.
ספק האחסון של האתר שלי נמצא בחו"ל - האם זה בעיה?
כן, ויש לטפל בכך במפורש. לפי תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), כל העברת מידע לגורם חיצוני - כולל ספק אחסון בחו"ל - מחייבת הסכם מיקור חוץ שמסדיר את חובות האבטחה, את איסור השימוש במידע לצרכי הספק, ואת זכות הביקורת שלך. ללא הסכם כזה, האחריות כלפי הלקוחות נשארת אצלך.
טופס עדכון כרטיס לקוחה שכולל שאלות על רגישויות ותרופות - מה חייב להופיע בו?
לפי סעיף 11 לחוק הגנת הפרטיות, כל טופס שאוסף מידע חייב לכלול: האם מסירת המידע היא רשות או חובה, מהי מטרת השימוש, למי המידע יועבר (לדוגמה: מטפלות, מנהלת), וזכות הלקוחה לעיין במידע או לבקש מחיקתו. הוספת אלמנט יידוע מינימלי בתחתית הטופס היא פשוטה ומשנה את התמונה המשפטית לחלוטין.
עבדתי עם מפתח שיש לו גישה לבסיס הנתונים של הלקוחות - מה נדרש?
כל גורם חיצוני שיש לו גישה לבסיס הנתונים - כולל מפתחים, יועצי SEO שמחוברים ל-analytics עם נתוני משתמשים, או מנהלי תוכן - חייב להיות מכוסה בהסכם מיקור חוץ לפי תקנה 15 לתקנות. ההסכם צריך להגדיר מה הוא רשאי לראות, לאיזה זמן, ואיך הגישה מסתיימת עם סיום ההתקשרות.
אם קרה אירוע אבטחה - למשל שרת נפרץ ותמונות לקוחות דלפו - מה עלי לעשות?
לפי תקנה 11 לתקנות הגנת הפרטיות (אבטחת מידע), במאגר ברמת אבטחה בינונית או גבוהה חובה לדווח לרשות להגנת הפרטיות באופן מיידי מרגע הגילוי. בנוסף, יש לתעד את האירוע, לנקוט פעולות לבלימת הנזק ולהודיע ללקוחות המושפעות. מכון שאוסף תמונות ומידע רפואי-קוסמטי פועל לרוב תחת רמת אבטחה בינונית - לכן חובת הדיווח חלה.