Shopify ותיקון 13 - מה חנות מקוונת ישראלית חייבת לדעת
עודכן ב-8 במאי 2026
חנות Shopify ישראלית אוספת שמות, כתובות, פרטי תשלום והיסטוריית קניות - כולם נחשבים מידע אישי לפי תיקון 13 לחוק הגנת הפרטיות. Shopify עצמה מסווגת כ-"מיקור חוץ" לפי תקנה 15 לתקנות אבטחת מידע, ודורשת הסכם עיבוד מידע (DPA) מסודר. ללא ציות, עיצומים כספיים יכולים להגיע לעד 5% ממחזור שנתי.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- Shopify היא ספק ענן זר - נדרש DPA מפורש ותיעוד של כל מידע שמועבר אליה, כולל אישור שהיא עומדת בתקני אבטחה
- כל אפליקציה מ-Shopify App Store שמקבלת גישה לנתוני לקוחות היא מעבד מידע נוסף - דורשת DPA נפרד
- אירוע אבטחה (פריצה, דלף נתונים) במאגר ברמה בינונית או גבוהה חייב דיווח מיידי - באופן מיידי בהתאם לתקנה 11(ד) לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017
שאלות נפוצות
האם Shopify עצמה נחשבת 'מעבד מידע' לפי החוק הישראלי?
כן. Shopify מסווגת כ'מיקור חוץ' לפי תקנה 15 לתקנות אבטחת מידע (אבטחת מאגרי מידע) 2017. אתה, כבעל החנות, נשאר האחראי העיקרי - ועליך לחתום עם Shopify על הסכם עיבוד מידע (DPA) ולוודא שהיא עומדת בדרישות האבטחה.
מה צריך לכלול במדיניות פרטיות לחנות Shopify?
המדיניות חייבת לפרט: אילו נתונים נאספים (שם, כתובת, תשלום, היסטוריית קניות), מטרת האיסוף, עם מי המידע משותף (Shopify, שירותי משלוח, שערי תשלום), תקופת שמירה, וזכויות הלקוח - עיון, תיקון, מחיקה. חייבת להיות זמינה בעברית ומקושרת בבירור מדף הבית ומדפי הקופה.
מה קורה אם יש פריצה לחנות ומידע לקוחות דלף?
אם המאגר מסווג ברמת אבטחה בינונית או גבוהה (לרוב נכון לחנויות עם נתוני תשלום), חובה לדווח לרשות הגנת הפרטיות ולנפגעים בהקדם האפשרי - באופן מיידי מרגע הגילוי.
האם צריך לרשום מאגר מידע?
רוב חנויות ה-Shopify הקטנות פטורות מרישום מאגר. החובה חלה על מאגרים עם 10,000 רשומות או יותר (סעיף 8(ג) לחוק). עם זאת, גם ללא חובת רישום, כל חנות מחויבת לנהל מדיניות פרטיות, הסכמי מיקור חוץ עם ספקים, ומנגנון מימוש זכויות לקוח.
האם תוסף Shopify כמו Klaviyo לשיווק בדואר אלקטרוני דורש DPA נפרד?
כן. כל אפליקציה שמקבלת גישה לנתוני לקוחות (כתובות, התנהגות קנייה) היא מעבד מידע נוסף לפי החוק. יש לחתום DPA עם כל ספק כזה ולתעד את ההתקשרות.
איך מנהלים נכון הרשאות גישה של צוות העובדים בחשבון Shopify?
תקנה 8 לתקנות אבטחת מידע מחייבת לנהל הרשאות גישה לפי עקרון "צורך לדעת", כך שכל עובד יקבל גישה רק למידע הדרוש לתפקידו ולא לכלל נתוני הלקוחות. Shopify מאפשרת ליצור משתמשי צוות (Staff accounts) עם הרשאות מדורגות - מומלץ לנצל זאת, להימנע מחשבון משותף, ולתעד גישה למידע. תקנה 16 מחייבת בנוסף לבצע ביקורת תקופתית של ההרשאות אחת ל-24 חודשים.
לקוח פנה ודרש לעיין במידע שלי עליו או למחוק אותו - איך מטפלים בכך בחנות Shopify?
סעיף 13 לחוק מקנה זכות עיון - יש להשיב תוך 30 יום, וסעיף 14 מקנה זכות לתיקון או מחיקה. עליך לרכז את המידע מ-Shopify Customer ומכל אפליקציה מחוברת, ולמסור או לתקן בהתאם. מידע שחלה עליו חובת שמירה - כגון תיעוד חשבונאי שיש לשמור 7 שנים - אינו נמחק, ויש לנמק זאת בכתב; הלקוח רשאי לערער על סירוב לבית משפט השלום תוך 30 יום.