מדיניות פרטיות לחנות Shopify: מה חנות אונליין ישראלית חייבת לכלול
עודכן ב-30 בינואר 2025
כל חנות Shopify ישראלית שמוכרת אונליין אוספת, ברגע הקנייה הראשון, שלושה סוגי מידע שמחייבים הגנה משפטית מיידית: נתוני כרטיס אשראי המועברים דרך שערי תשלום כמו Stripe ו-PayPlus, כתובות מגורים למשלוח, והיסטוריית רכישות שמצטברת לאורך זמן. מעבר לנתונים שנמצאים אצלך, הם זורמים גם אל שרתי Shopify בחו"ל וגם לאפליקציות שהתקנת מה-App Store - ובכל נקודה כזו קיימת חשיפה משפטית ייחודית לפי החוק הישראלי. מסמך פרטיות גנרי שלא מתייחס לכל אחת מהנקודות האלה לא מגן עליך.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- Shopify היא ספק ענן זר: כל נתון שלקוח שלך מזין - שם, כתובת, פרטי תשלום - עובר ומאוחסן על שרתי חברה אמריקאית. לפי תקנה 15 לתקנות הגנת הפרטיות (מיקור חוץ), אתה, בעל החנות, נשאר אחראי למה שקורה לנתונים האלה - גם כשהם לא אצלך. ללא חוזה מיקור חוץ מסודר ואזכור מפורש במדיניות הפרטיות, כל ביקורת תמצא פרצה.
- ה-App Store של Shopify מציע אלפי אפליקציות - ביקורות, שיווק, נאמנות לקוחות, עזרה וצ'אט - וכל אחת שמתקינים מקבלת גישה לנתוני הלקוחות שלך. כל אפליקציה כזו היא ספק צד-שלישי נפרד שחייב להיות מוזכר במסמך הפרטיות שלך, כולל פירוט מה היא רואה ולמה. חנויות שלא עושות את זה חושפות עצמן לטענות שלא גילו ללקוח למי הועבר המידע שלו.
- היסטוריית הרכישות שצוברת חנות Shopify היא מידע שמאפשר יצירת פרופיל מפורט של כל לקוח: מה הוא קונה, כמה הוא מוציא, מתי. כשאת הנתונים האלה משתמשים לצורכי שיווק ממוקד - אימייל, SMS, פרסום מחדש - נכנסים לתחום של דיוור ישיר שמחייב הסכמה מפורשת לפי חוק התקשורת. ללא הסכמה מתועדת ונוסח ביטול תקין בכל פנייה, כל קמפיין שיווקי עלול להיות עבירה.
שאלות נפוצות
האם אני חייב במדיניות פרטיות רק בגלל שאני מוכר דרך Shopify?
כן. ברגע שחנות Shopify שלך מקבלת הזמנה, היא אוספת שם, כתובת, כתובת דוא"ל ופרטי תשלום - כולם 'מידע אישי' לפי חוק הגנת הפרטיות. חובת היידוע לפי סעיף 11 לחוק מחייבת ליידע את הלקוח בעת האיסוף: מה נאסף, למה, למי יימסר, והאם החוק מחייב מסירה. ללא הודעה כזו בדף הצ'קאאוט - אתה כבר בהפרה.
האפליקציות שהתקנתי מה-App Store נוגעות בנתוני הלקוחות שלי - מה זה אומר משפטית?
כל אפליקציה שהתקנת ב-Shopify שמקבלת גישה לנתוני לקוחות - בין אם זה כלי ביקורות, תוכנת נאמנות לקוחות או צ'אטבוט - הופכת ל'מחזיק מידע' לפי החוק. לפי תקנה 15 לתקנות הגנת הפרטיות (מיקור חוץ), עליך לוודא שלכל ספק כזה יש הסכם מתאים, ואת כל הספקים הרלוונטיים לציין במפורש במדיניות הפרטיות שלך כך שהלקוח יידע לאן עובר המידע שלו.
מה קורה אם נתוני לקוחות דלפו מהחנות שלי - למשל דרך אפליקציית Shopify שנפרצה?
גם אם הפריצה הייתה לאפליקציה של צד-שלישי ולא לחנות עצמה, אתה עדיין עשוי להיות הצד האחראי כלפי הלקוחות ורשות הגנת הפרטיות. במאגרים ברמה בינונית ומעלה, חובת הדיווח על אירוע אבטחה היא באופן מיידי מרגע הגילוי, לפי תקנה 11 לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. אל תחכה לייעוץ משפטי - הדיווח חייב לצאת קודם.
אני שולח ניוזלטרים וקמפיינים SMS ללקוחות שקנו - האם זה מותר אוטומטית?
לא. קנייה בחנות לא מהווה הסכמה לדיוור שיווקי. לפי סעיף 30א לחוק התקשורת (בזק ושידורים), דיוור ישיר - אימייל, SMS, וואטסאפ - מחייב הסכמה מפורשת ותיעוד שלה. בנוסף, כל מסר שיווקי חייב לכלול אפשרות הסרה תקינה. Shopify Email ו-Klaviyo שמשולבים בחנויות רבות לא בודקים בשבילך שהסכמה נחשבת חוקית לפי הדין הישראלי - זו האחריות שלך.
האם היסטוריית הרכישות של לקוחות נחשבת 'מידע בעל רגישות מיוחדת' שדורש הגנה מיוחדת?
היסטוריית רכישות כשלעצמה אינה 'מידע בעל רגישות מיוחדת' לפי הגדרת סעיף 7 לחוק - שכולל מצב רפואי, נתונים ביומטריים, גנטיים ועוד. אבל כשיש לך חנות שמוכרת מוצרי בריאות, תוספי מזון, ציוד רפואי או מוצרים לילדים - הפרופיל שמתבנה מההיסטוריה עלול לחשוף מידע בעל רגישות מיוחדת בעקיפין. במקרים כאלה, ההמלצה היא להתייחס לנתונים בזהירות של מידע בעל רגישות מיוחדת ולתעד את מדיניות השמירה וההשמדה בהתאם.