מדיניות פרטיות למכון כושר ומאמן אישי – אתר עצמאי מפותח
עודכן ב-30 בינואר 2025
מכון כושר ומאמן אישי שמנהלים אתר עצמאי (לא Wix, לא Shopify) אוספים מהלקוחות מידע שמוגדר בחוק כרגיש במיוחד: מצב בריאותי, מגבלות פיזיות, מטרות גוף ולעיתים תמונות לפני ואחרי. בניגוד לפלטפורמות מסחריות, באתר מפותח עצמאית אתה - בעל העסק - נושא באחריות המשפטית המלאה: על סביבת ה-Hosting, על ספקי הטפסים, על מערכת ניהול הלקוחות (CRM), ועל כל שירות צד שלישי שמחובר לאתר. חוק הגנת הפרטיות הישראלי ותיקון מס' 13 מגדירים חובות ברורות לעסקים כאלה - ומדיניות פרטיות שנכתבה עבור "אתר רגיל" פשוט לא מספיקה כאן.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- נתוני בריאות = מידע בעל רגישות מיוחדת לפי סעיף 7 לחוק: כל טופס הרשמה שמכיל שאלות על מגבלות גופניות, מחלות רקע או תרופות מסווג כאיסוף מידע בעל רגישות מיוחדת. באתר עצמאי אתה אחראי לכך שהנתונים מוגנים, מוצפנים ומאוחסנים אצל ספק Hosting שמעמיד דרישות אבטחה מתאימות - ואין ממשק פלטפורמה שיעשה זאת בשבילך.
- ריבוי ספקים ואחריות מפוצלת: אתר עצמאי מחבר בדרך כלל טופס Google/Typeform, שירות דיוור (Mailchimp, ActiveCampaign), ספק תשלומים, ואולי אפליקציית אימון חיצונית. לפי תקנות הגנת הפרטיות (אבטחת מידע), תקנה 15, כל ספק שמעבד מידע בשמך (מיקור חוץ) חייב להיות מוסדר בהסכם כתוב - ובאתר עצמאי אין מי שיזכיר לך לחתום עליו.
- תמונות לפני ואחרי = מידע ביומטרי ותמונות גוף: שמירת תמונות של לקוחות בשרת האתר, בענן, או בשיתוף WhatsApp ללא הסכמה מפורשת ויידוע נאות לפי סעיף 11 לחוק - חושפת את העסק לתלונות לרשות להגנת הפרטיות ולעיצומים כספיים.
שאלות נפוצות
האם שאלון הרשמה עם שאלות בריאות מחייב הסכמה מיוחדת?
כן. נתוני מצב בריאותי מוגדרים כמידע בעל רגישות מיוחדת לפי סעיף 7 לחוק הגנת הפרטיות. בעת איסוף מחויב לקבל הסכמה מפורשת ומדעת, ולמלא חובת יידוע לפי סעיף 11: לציין מה נאסף, לאיזו מטרה, למי ייחשף המידע, ושלמתאמן יש זכות עיון ותיקון. שאלון שמוטמע בדף האתר חייב לכלול את כל אלה - לא מספיק סתם וי בתיבת 'קראתי ואישרתי'.
תמונות לפני ואחרי ששלח לי לקוח - מותר לי לפרסם אותן?
רק עם הסכמה כתובה, מפורשת ונפרדת מהסכם האימון הכללי. הסכמה לשיתוף תמונות לצרכי שיווק חייבת לפרט: איפה יפורסמו (אינסטגרם, אתר, פלייר), לכמה זמן, ומי הגוף המפרסם. הסכמה כוללנית שנחתמה בהרשמה לא מספיקה לפרסום שיווקי.
אני עובד עם Google Forms לאיסוף מידע בריאותי - האם זה בסדר?
Google היא ספק מיקור חוץ לעיבוד מידע. לפי תקנות הגנת הפרטיות (אבטחת מידע), תקנה 15, חייב להיות הסכם עיבוד מידע בין העסק לבין Google (קיים כחלק מהגדרות Google Workspace). בנוסף, עליך לציין במדיניות הפרטיות שלך ש-Google מעבדת את הנתונים - ולוודא שהנתונים לא נגישים לאנשים שאינם מורשים לכך.
מה קורה אם יש פריצה לשרת שמחזיק את נתוני הלקוחות שלי?
אם המאגר מסווג ברמת אבטחה בינונית או גבוהה (סביר מאוד כשמדובר בנתוני בריאות), חובת הדיווח לרשות להגנת הפרטיות היא באופן מיידי, לפי תקנות הגנת הפרטיות (אבטחת מידע) תקנה 11. באתר עצמאי - הדיווח, ניהול הפרצה והתיעוד כולם נופלים עליך ישירות, ללא כלי פלטפורמה שיסייעו.
כמה זמן אני חייב לשמור את הנתונים של לקוחות שעזבו?
לגבי מידע פיננסי (תשלומים, חשבוניות) - 7 שנים לפי פקודת מס הכנסה וחוק מע"מ. לגבי מידע בריאותי ופרסונלי - יש למחוק ברגע שהוא אינו נחוץ למטרה שלשמה נאסף, אלא אם כן הלקוח הסכים לשמירה ממושכת יותר. שמירת נתוני בריאות 'למקרה שהלקוח יחזור' ללא בסיס חוקי מהווה הפרה.