מדיניות פרטיות לעמותה שפיתחה אתר עצמאי - הגנה מלאה על תורמים וחברים
עודכן ב-14 ביולי 2025
עמותה שמפעילה אתר מפותח עצמאית נושאת באחריות מלאה על כל שכבות המערכת - משרת ה-Hosting, דרך מסדי הנתונים, ועד לספקי שירותי הדיוור. בניגוד לפלטפורמות SaaS שמספקות תשתית מנוהלת, כאן אין ישות חיצונית שתשא בחלק מן העול המשפטי. מעבר לכך, עמותות אוספות מידע בעל רגישות יוצאת דופן - פרטי תורמים, סכומי תרומה, חברות וזיקות ארגוניות - שכולם מחייבים מסמכי פרטיות ברורים, חובת יידוע מפורשת, ועמידה בתקנות אבטחת המידע ברמה הנכונה.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- האתר מופעל על שרת שבחרתם בעצמכם - ה-Hosting, הגיבויים, ותצורת אבטחת המידע הם באחריות הבלעדית של העמותה. אם קורה אירוע אבטחה שחושף פרטי תורמים, החובה לדווח מיידית ולנהל את האירוע מוטלת עליכם ישירות, ללא רשת ביטחון של ספק פלטפורמה.
- פרטי תורמים וסכומי תרומה מהווים מידע אישי רגיש בהקשרו - חשיפתם עלולה לגרום לנזק של ממש לתורמים ולפגוע קשות באמון הציבורי בעמותה. כל טופס תרומה, כל מערכת ניוזלטר לתומכים, וכל ממשק חברות - מחייבים יידוע מפורש לפי סעיף 11 לחוק, כולל מטרת השימוש, זהות מקבלי המידע וזכות העיון.
- עמותות עובדות לרוב עם מגוון ספקים עצמאיים - מפתחים פרילנסרים, חברות שיווק דיגיטלי, מערכות CRM חיצוניות, ופלטפורמות גיוס תרומות. כל ספק שיש לו גישה למידע אישי של תורמים וחברים הוא 'מחזיק' לפי החוק, ומחייב הסדרה חוזית מסודרת כנדרש בתקנות מיקור החוץ.
שאלות נפוצות
האם עמותה שמנהלת מאגר תורמים חייבת מדיניות פרטיות נפרדת לאתר?
כן, בהחלט. כל גוף שאוסף מידע אישי - לרבות עמותה - חייב להציג מדיניות פרטיות ברורה ונגישה. סעיף 11 לחוק הגנת הפרטיות מחייב יידוע הנבדק בעת האיסוף: האם החוק מחייב מסירת המידע, מה מטרת השימוש, למי יועבר, ומה זכויות בעל המידע. מאחר שהאתר מפותח עצמאית, אין מנגנון אוטומטי שמטפל בזה עבורכם - המסמך חייב להיות מותאם אישית לאתר ולפעולות העמותה.
סכומי התרומה של תורמים - האם זה 'מידע בעל רגישות מיוחדת' לפי החוק?
סכום התרומה כשלעצמו אינו מנוי בסעיף 7 לחוק כ'מידע בעל רגישות מיוחדת' בהגדרתו הצרה, אך בהקשר של עמותות פוליטיות, דתיות או מי שנתרם לארגון הקשור לדעות מסוימות - הנתון עשוי לחשוף מידע על דעות פוליטיות או דתיות, שזה כן מידע בעל רגישות מיוחדת לפי החוק. בנוסף, שילוב שם + סכום + עמותה יוצר פרופיל אישי שדורש הגנה מוגברת. מומלץ לסווג מאגר תורמים לפחות ברמת אבטחה בינונית.
עמותה שמשתמשת בפרילנסר שמפתח ומתחזק את האתר - האם יש חובה לחתום על הסכם מיוחד איתו?
כן. לפי תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, תקנה 15 בדבר מיקור חוץ - כל גורם חיצוני שמבצע עבודה על מאגר המידע (כולל גישה לשרת, לבסיס הנתונים, או לקוד שמעבד מידע אישי) חייב להיות קשור בהסכם מיקור חוץ מסודר. ההסכם צריך לכלול חובות אבטחה, הגבלת שימוש, ואיסור על העברת מידע לצד שלישי.
האתר מופעל על שרת ענן (למשל AWS או DigitalOcean) - מה האחריות שלנו כעמותה?
ספק ה-Hosting הוא מחזיק מידע לפי החוק, ולכן הסכם ה-Terms of Service שלו לא מספיק - נדרש הסכם מיקור חוץ פורמלי לפי תקנה 15 לתקנות האבטחה. בנוסף, האחריות לתצורת אבטחת השרת (הצפנה, גיבויים, בקרת גישה) נשארת על העמותה לחלוטין. פיתוח מותאם אישית אינו פוטר אתכם - הוא מגדיל את הצורך בנוהל אבטחה כתוב לפי תקנה 4א.
שלחנו עדכונים לתורמים דרך מערכת דיוור - האם יש חובה מיוחדת?
כן, בשני מישורים. ראשית, כל דיוור שיווקי או תוכן לגיוס תרומות דורש הסכמה מפורשת מראש לפי חוק התקשורת (בזק ושידורים), התשמ"ב-1982, סעיף 30א. שנית, אם מערכת הדיוור היא ספק חיצוני (למשל Mailchimp, Sendinblue וכדומה) - גם כאן נדרש הסכם מיקור חוץ לפי תקנה 15, שכן הספק מחזיק ברשימת התורמים שלכם.