מדיניות פרטיות לאתר קורסים ומורה פרטי - האחריות עליך, והחוק ברור
עודכן ב-30 בינואר 2025
אתר קורסים אונליין או הוראה פרטית שמנוהלים דרך אתר מפותח עצמאית מציבים אתגר פרטיות ייחודי: אתה - לא פלטפורמה מסחרית - נושא באחריות המלאה על כל נתון שנאסף. כשהתלמידים שלך הם קטינים מתחת לגיל 18, או כשמאגר הנתונים שלך כולל ציונים, פרוגרס לימודי ופרטי הורים, החוק הישראלי מסווג את המידע הזה כרגיש ומחייב הגנה מוגברת. בלי מסמך פרטיות מותאם, ה-hosting שבחרת, ספק הווידאו שמפעיל את הקורסים, ומערכת הרישום - כולם חלק ממבנה משפטי שאחריותו מוטלת עליך.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- נתוני קטינים ללא הסכמת הורים: כשתלמידים מתחת לגיל 18 נרשמים לקורס או לשיעורים דרך האתר העצמאי שלך, איסוף פרטיהם - שם, גיל, ציונים, שיעורי נוכחות - מהווה עיבוד מידע בעל רגישות מיוחדת לפי סעיף 7 לחוק. ללא מנגנון הסכמה מפורש של ההורים ויידוע מסודר בעת הרישום, כל טופס הרשמה שפתוח באתר שלך חושף אותך לאחריות משפטית ישירה.
- ספקי שירות מגוונים ללא חוזי מיקור חוץ: אתר עצמאי משלב בדרך כלל hosting חיצוני, פלטפורמת וידאו (Zoom, Vimeo, YouTube), מערכת תשלומים ולעיתים כלי CRM נפרד. כל ספק כזה שמעבד נתוני תלמידים הוא 'מקור חוץ' לפי תקנה 15 לתקנות האבטחה - ואתה חייב חוזה כתוב שמסדיר מה מותר לו לעשות עם המידע. בלי זה, אחריות הדלפת נתונים חוזרת אליך.
- אין מנגנון עדכון או מחיקה לתלמידים לשעבר: ציונים, הקלטות שיעורים ופרוגרס לימודי שנשמרו בשרת שלך אחרי שהתלמיד סיים - מצריכים מדיניות שמירה ומחיקה ברורה. תלמיד (או הורהו) שדורש לדעת אילו נתונים קיימים עליו ולמחקם מפעיל זכות חוקית, ואתר שלא מוגדרת בו תהליך מענה - משאיר את בעל האתר חשוף לעיצומים.
שאלות נפוצות
האם אני חייב לקבל הסכמת הורים כדי לאסוף פרטים של תלמיד קטין?
כן. איסוף מידע אישי מקטינים מתחת לגיל 18 מחייב זהירות מוגברת: על-פי עקרון ההסכמה מדעת והנחיות הרשות להגנת הפרטיות, יש לקבל הסכמה מתועדת של הורה או אפוטרופוס לפני איסוף המידע, ולוודא שהיידוע לפי סעיף 11 לחוק ניתן בשפה ובאופן המותאמים. אם נאסף מידע הנכלל בקטגוריות 'מידע בעל רגישות מיוחדת' (כגון מידע רפואי או הערכת אישיות) - חלות הוראות מחמירות יותר ללא קשר לגיל. בעת הרישום לקורס או לשיעורים עליך לקבל הסכמה מפורשת של ההורה או האפוטרופוס, ולהבהיר - לפי חובת היידוע בסעיף 11 לחוק - מה ייאסף, למה, ולמי ייחשף. טופס רישום שמופנה ישירות לקטין, ללא מנגנון הורי, אינו עומד בדרישות החוק.
האם ציונים ופרוגרס לימודי נחשבים 'מידע בעל רגישות מיוחדת' שדורש הגנה מיוחדת?
ציונים כשלעצמם אינם רשומים במפורש ברשימת המידע הרגיש שבסעיף 7 לחוק, אך כשמדובר בנתוני קטינים - כל המידע שנאסף עליהם נכנס לקטגוריית ההגנה המוגברת. בנוסף, שילוב של ציונים, תדירות לימוד ופרוגרס יוצר פרופיל אישי מפורט שמחייב מדיניות אחסון ומחיקה ברורה, גישה מוגבלת, ויידוע התלמיד (או הורהו) על עצם קיומו.
הקורסים שלי מועברים דרך Zoom ו-Vimeo - האם אני חייב חוזה עם כל אחד מהם?
כן, לפי תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע). כל ספק שמעבד נתוני תלמידים מטעמך - בין אם מדובר בפלטפורמת וידאו, ספק hosting, או מערכת ניהול תשלומים - מוגדר כ'מקור חוץ', וחייב חוזה כתוב שמגדיר מה מותר לו לעשות עם המידע ומחייב אותו בסטנדרטי אבטחה מתאימים. בלי חוזה כזה, אחריות כל אירוע דלפת מידע רובצת עליך בלבד.
אני שומר הקלטות שיעורים עם תמונות ושמות תלמידים - כמה זמן מותר לי לשמור אותן?
החוק לא קובע תקופת שמירה נוקשה לתוכן חינוכי, אבל מדיניות הפרטיות שלך חייבת להגדיר במפורש כמה זמן נשמרות ההקלטות ומה קורה אחרי שהקורס מסתיים. לצורכי חשבונאות, רשומות תשלום נשמרות 7 שנים לפי פקודת מס הכנסה - אך תוכן לימודי שמכיל מידע אישי יש למחוק ברגע שאין בו צורך לגיטימי. הגדרת לוחות הזמנים האלה במסמך הפרטיות שומרת עליך משפטית.
מה קורה אם מישהו פורץ לאתר שלי ומדליף נתוני תלמידים?
אם המאגר שלך מסווג ברמת אבטחה בינונית או גבוהה - ומאגר הכולל נתוני קטינים צפוי להיות כזה - עליך לדווח באופן מיידי לרשות להגנת הפרטיות, לפי תקנה 11 לתקנות האבטחה. בנוסף, עליך ליידע את הגורמים שנפגעו. מדיניות פרטיות מסודרת ונוהל אבטחה כתוב מקטינים משמעותית את חשיפתך לעיצומים ומהווים ראיה לכך שנקטת אמצעים סבירים.