מדיניות פרטיות לחנות אונליין על אתר מפותח עצמאית - כשאין פלטפורמה שתגן עליך, המסמך חייב להיות מושלם

עודכן ב-14 ביולי 2025

כשאתה מפעיל חנות אונליין על קוד עצמי, אין מאחוריך Shopify או Wix שיספגו חלק מהאחריות המשפטית - הבעלות על מאגר הנתונים, ניהול ספקי האחסון, שערי הסליקה והאינטגרציות השונות היא שלך לגמרי. כתובות לקוחות, נתוני תשלום והיסטוריית רכישות מצטברים בכל הזמנה, ותקנות הגנת הפרטיות (אבטחת מידע) התשע"ז-2017 מטילות עליך חובות ברורות ביחס לכל ספק שנוגע במידע הזה. מדיניות פרטיות כללית מהאינטרנט לא תספיק - אתה צריך מסמך שמשקף את הארכיטקטורה הייחודית של האתר שלך, כולל שמות הספקים, רמת האבטחה של המאגר, ונוהלי הדיווח במקרה של אירוע.

רקע: מה זה תיקון 13?

האתגרים הנפוצים

  • ספקי hosting, סליקה ו-API שונים - כל אחד נוגע בנתוני לקוחות, ותקנה 15 לתקנות אבטחת מידע מחייבת שכל מיקור חוץ כזה יהיה מתועד בכתב עם חובות אבטחה מוגדרות. ברוב האתרים המפותחים עצמאית, תיעוד זה פשוט לא קיים.
  • היסטוריית רכישות ונתוני תשלום מסווגים לרוב כמאגר ברמת אבטחה בינונית לפחות - מה שאומר שבאירוע אבטחה אתה חייב לדווח לרשות להגנת הפרטיות באופן מיידי. בלי נוהל כתוב מראש, השעון מתחיל לרוץ כשאתה עדיין לא יודע למי להתקשר.
  • כתובות לקוחות שנשמרות לצורכי משלוח - ולפעמים גם לדיוור - חייבות ליידוע מפורש בעת האיסוף לפי סעיף 11 לחוק: מה נאסף, למה, למי יימסר, והאם החוק מחייב למסור. טופס צ'קאאוט רגיל ללא גילוי נאות חושף אותך לעיצומים שיכולים להגיע למאות אלפי שקלים.

שאלות נפוצות

האם מדיניות פרטיות גנרית שמצאתי באינטרנט מספיקה לחנות שלי?

לא. מדיניות פרטיות תקנית לפי החוק הישראלי חייבת לפרט את הספקים הספציפיים שנוגעים בנתונים - שרת האחסון, שער הסליקה, מערכת הניוזלטר ועוד. מסמך גנרי שלא מזהה את הגורמים האלה לא עומד בדרישות תקנה 15 לתקנות האבטחה ולא ייחשב לגילוי נאות מספיק בפני הרשות להגנת הפרטיות.

מה קורה אם גורם חיצוני - למשל שער תשלומים - דולג על נתוני לקוח?

אם המאגר שלך מסווג ברמת אבטחה בינונית או גבוהה, חלה עליך חובת דיווח מיידית לרשות ולנושא המידע לפי תקנה 11 לתקנות האבטחה. הדיווח צריך להגיע באופן מיידי מרגע שנודע לך על האירוע. בלי נוהל מוכן מראש, אתה עלול לפספס את החלון הזה ולחשוף את עצמך לעיצום נוסף על אי-דיווח בזמן.

נתוני תשלום עוברים דרך ספק סליקה חיצוני - האם אני עדיין אחראי?

כן. גם כשהסליקה עצמה מבוצעת על ידי ספק חיצוני, אתה כבעל המאגר נשאר אחראי על ניהול ההתקשרות מולו. תקנה 15 מחייבת שתהיה הסכמה כתובה עם הספק שמגדירה את חובות האבטחה שלו, את איסור השימוש במידע למטרות נוספות, ואת חובת ההשבה או המחיקה בתום ההתקשרות.

כמה זמן אני חייב לשמור רשומות הזמנות ופרטי חשבוניות?

לפי פקודת מס הכנסה וחוק מע"מ, חשבוניות ורשומות עסקיות חייבות להישמר 7 שנים. עם זאת, מנקודת מבט של הגנת פרטיות, עליך להגדיר מדיניות מחיקה ברורה לנתונים שאינם נדרשים עוד לאחר תקופה זו, ולתעד אותה במסמך מבנה המאגר.

אני שולח ללקוחות מיילים שיווקיים אחרי הרכישה - מה חובותיי?

דיוור שיווקי בדואר אלקטרוני מחייב הסכמה מפורשת לפי סעיף 30א לחוק התקשורת (בזק ושידורים). בנוסף, חובת היידוע לפי סעיף 11 לחוק הגנת הפרטיות מחייבת לציין כבר בטופס ההרשמה או הצ'קאאוט שהמייל ישמש גם לדיוור. אם לא עשית זאת - ההסכמה שיש לך לא כשרה לצורך שיווקי.

צור את מדיניות הפרטיות לחנות שלי עכשיו

חנות אונליין בפלטפורמות נוספות

ShopifySquarespaceWebflowWixWordPress