מדיניות פרטיות למסעדה עם אתר מפותח עצמאית - הגנה מלאה על הזמנות, אלרגיות ופרטי לקוחות
עודכן ב-13 ביולי 2025
מסעדה שמפעילה אתר הזמנות מפותח עצמאית נושאת באחריות מלאה ובלעדית על כל שכבות המידע - משרת האירוח, דרך מסד הנתונים ועד לשירות המשלוחים. בשונה מפלטפורמות מוכנות, אין כאן ספק שמטפל בפרטיות במקומך: אתה הבעלים של המאגר, אתה אחראי לאבטחתו ואתה חשוף לעיצומים אם משהו משתבש. כשהאתר אוסף אלרגיות מזון - מדובר במידע בריאותי שמסווג כ'מידע בעל רגישות מיוחדת' לפי סעיף 7 לחוק הגנת הפרטיות, ודורש הגנה ברמה אחרת לחלוטין.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- אלרגיות מזון שהלקוח מזין בטופס ההזמנה מהוות 'מידע בעל רגישות מיוחדת' לפי סעיף 7 לחוק הגנת הפרטיות - ואתר שאוסף אותן ללא הסכמה מפורשת ומסמך פרטיות תקין חשוף לעיצומים כספיים ולתביעות אזרחיות.
- באתר מפותח עצמאית אתה בוחר את ספק האירוח, שירות המשלוחים ושע התשלום - כל ספק כזה הוא 'מקבל מידע' לפי הדין, ובלי הסדרת מיקור החוץ בכתב (תקנה 15 לתקנות אבטחת מידע) האחריות לדלף נשארת אצלך בלבד.
- פרטי כתובת משלוח ומספרי טלפון של לקוחות שנשמרים בבסיס הנתונים של האתר מחייבים נוהל אבטחה מסודר וסיווג מאגר - ובאתר מפותח עצמאית אין שום מנגנון אוטומטי שעושה זאת עבורך.
שאלות נפוצות
האם אלרגיות שלקוח מזין בהזמנה נחשבות 'מידע בעל רגישות מיוחדת' לפי החוק?
כן. מידע על מצב בריאותי - כולל אלרגיות ואי-סבילות למזון - מוגדר מידע בעל רגישות מיוחדת לפי סעיף 7 לחוק הגנת הפרטיות. זה אומר שאיסופו מחייב הסכמה מפורשת, לא רק 'שימוש באתר', וכי עליך לציין בטופס ההזמנה מדוע הוא נאסף, אם חובה למסור אותו ולמי הוא יועבר - בהתאם לחובת היידוע שבסעיף 11 לחוק.
שירות המשלוחים שלי מקבל את פרטי הלקוחות. האם זה מחייב מסמך מיוחד?
בהחלט. כל גורם חיצוני שמקבל גישה למידע על לקוחותיך - שירות משלוחים, מוקד שירות, ספק SMS להתראות - נחשב 'מבצע מיקור חוץ' לפי תקנה 15 לתקנות אבטחת מידע. עליך לוודא שהסכם ההתקשרות איתו כולל סעיפי אבטחת מידע מחייבים ומגביל את השימוש שיעשה בנתוני הלקוחות אך ורק לצורך אספקת השירות.
אם מישהו פורץ לאתר ומשיג פרטי הזמנות - מה חובות הדיווח שלי?
אם מאגר הנתונים שלך מסווג ברמת אבטחה בינונית או גבוהה, חובתך לדווח על אירוע האבטחה באופן מיידי לרשות להגנת הפרטיות - בהתאם לתקנה 11 לתקנות אבטחת מידע. באתר מפותח עצמאית אחריות זו מוטלת עליך ישירות, ואין ספק פלטפורמה שידווח במקומך.
האם מסעדה שמריצה ניוזלטר עם מבצעים חייבת הסכמה נפרדת?
כן. שליחת דיוור שיווקי - אפילו ללקוחות קיימים - מחייבת הסכמה מפורשת לפי סעיף 30א לחוק התקשורת. בנוסף, כל הודעה חייבת לכלול אפשרות הסרה פשוטה. מסעדה שאוספת כתובות מייל דרך טופס ההזמנה ומשתמשת בהן לדיוור ללא הסכמה נפרדת - מסתכנת בתלונות לרשות ובעיצומים.
כמה זמן אני חייב לשמור רישומי הזמנות שכוללים פרטי לקוח?
חשבוניות ורישומים פיננסיים הקשורים להזמנות חייבים להישמר 7 שנים לפי פקודת מס הכנסה וחוק מע"מ. עם זאת, מידע אישי שאינו נדרש לצורך חשבונאי - כמו העדפות אוכל או היסטוריית הזמנות - אסור לאחסן מעבר לתכלית שלשמה נאסף. מדיניות פרטיות תקינה מפרטת בדיוק מה נשמר, למשך כמה זמן ומדוע.