חנות בגדים ב-Shopify - ציות לתיקון 13 בפחות מיום
עודכן ב-8 במאי 2026
חנות בגדים מקוונת ב-Shopify אוספת מידע אישי רגיש: מידות גוף, היסטוריית רכישות, כתובות מגורים ונתוני תשלום. תיקון 13 מחייב אותך להגן על כל המידע הזה, לתעד אותו, ולאפשר ללקוחות לבקש עיון ומחיקה. עיצומים על אי-ציות מגיעים לאלפי שקלים לחנויות קטנות ולמאות אלפים לרשתות.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- מידות גוף שנשמרות לנוחות הלקוח עשויות להיחשב מידע בעל רגישות מיוחדת - דורש הסכמה מפורשת ולא רק checkbox כללי
- ספקי משלוח (DHL, UPS, שליח מקומי) מקבלים שם וכתובת - כל אחד מהם הוא מעבד מידע הדורש DPA
- קמפיינים של רטרגטינג (Facebook Pixel, Google Ads) מעבירים נתוני התנהגות לחוץ לארץ - דורש גילוי מפורש במדיניות
שאלות נפוצות
האם שמירת מידות גוף ללקוח מחייבת הסכמה מיוחדת?
כן, אם אתה שומר מידות גוף לצורך המלצות גזרה - מדובר בנתון שמאפשר הסקת מידע על גוף האדם ועלול להיחשב מידע בעל רגישות מיוחדת. מומלץ לבקש הסכמה מפורשת ונפרדת, לא לכלול זאת ב-checkbox הכללי של תנאי השימוש.
איך מטפלים ב-Facebook Pixel מבחינת תיקון 13?
Facebook Pixel מעביר נתוני גלישה ורכישה לשרתי Meta בחוץ לארץ. המדיניות חייבת לגלות זאת במפורש, לציין מטרת ההעברה (פרסום ממוקד), ולציין שניתן לבטל את ההסכמה. בנוסף, יש לכלול זאת בהסכם עיבוד המידע עם Meta.
כמה זמן מותר לשמור היסטוריית קניות?
נתוני עסקאות לצרכי חשבונאות חייבים להישמר 7 שנים לפי פקודת מס הכנסה וחוק מע"מ. לאחר מכן, יש למחוק או לאנונימיז את הנתונים. את תקופת השמירה המדויקת חובה לפרסם במדיניות הפרטיות.
לקוח ביקש למחוק את החשבון - מה עושים?
יש לאפשר מחיקה תוך 30 יום מהבקשה. חריג: נתוני עסקאות שנדרשים לפי פקודת מס הכנסה וחוק מע"מ (7 שנים) יכולים להישמר - אך לא כולם, ולא עם פרטים מזהים מעבר לנדרש.
כלי review כמו Yotpo שמקבל מיילים ושמות - דורש DPA?
כן. Yotpo (ודומיו) מקבל שם ומייל לצורך שליחת בקשות לביקורת - זהו עיבוד מידע בשם בעל החנות, ודורש DPA מסודר.
אני שולח מבצעים ב-SMS ובמייל ללקוחות שקנו בעבר - האם זה מותר וכיצד?
דיוור פרסומי כפוף לסעיף 30א לחוק התקשורת (בזק ושידורים), התשמ"ב-1982, המחייב הסכמה מראש או, לכל הפחות, יחסי לקוח קודמים בתחום דומה. בכל מסר - בין אם דרך Shopify Email ובין אם דרך אפליקציית SMS מה-App Store - חובה לכלול מנגנון הסרה פשוט ולכבד בקשות הסרה מיידית. שמירת רשומת ההסכמות וההסרות חשובה כדי להוכיח עמידה בדרישה.
יש לי כמה עובדים בחנות שניגשים ל-Shopify - האם כולם צריכים לראות את כל פרטי הלקוחות?
לא. תקנה 8 לתקנות אבטחת מידע מחייבת ניהול הרשאות לפי עקרון "צורך לדעת", כך שאיש מכירות לא יידרש לגשת לכתובות, מידות גוף או היסטוריית רכישות מלאה של כלל הלקוחות. כדאי להגדיר ב-Shopify משתמשי צוות נפרדים עם הרשאות מותאמות לכל תפקיד. תקנה 16 מחייבת בנוסף לבצע ביקורת תקופתית של ההרשאות אחת ל-24 חודשים.