מדיניות פרטיות למספרה ב-Shopify - כרטיסיות לקוח, תמונות וטיפולים לפי החוק הישראלי
עודכן ב-13 ביולי 2025
מספרה שעובדת עם Shopify לא רק מוכרת מוצרי שיער - היא גם צוברת כרטיסיות לקוח עם היסטוריית טיפולים, לעיתים תמונות לפני ואחרי, ונתוני תשלום דרך שערי סליקה כמו Stripe או PayPlus. כל אחד מהאלה הוא מידע אישי לפי חוק הגנת הפרטיות הישראלי, ו-Shopify כספק ענן זר מחייב הגדרת יחסי מיקור חוץ מסודרים. מסמך שנכתב בכלי אוטומטי גנרי לא יתאים לקומבינציה הזו - צריך מסמך שמדבר ספציפית על הסלון שלך.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- תמונות לקוחות לפני ואחרי הטיפול הן מידע בעל רגישות מיוחדת לפי סעיף 7 לחוק - שמירתן ב-Shopify Media או באפליקציית תיק עבודות מה-App Store מחייבת הסכמה מפורשת בכתב ויידוע מלא לפני הצילום, לא בדיעבד.
- היסטוריית טיפולים ותגובות לחומרים כימיים (למשל אלרגיות לצבע שיער) שנשמרות בכרטיסיית לקוח ב-Shopify Customer ייחשבו למידע על מצב בריאותי - מידע בעל רגישות מיוחדת שדורש רמת אבטחה ותיעוד גבוהים יותר לפי תקנות הגנת הפרטיות.
- כל אפליקציה מה-App Store שמחברים לחנות - תזכורות תור, CRM ללקוחות סלון, שיווק SMS - מקבלת גישה לנתוני הלקוחות שלך ומהווה ספק מיקור חוץ. ללא סעיף מיקור חוץ תקני בהסכם מולה, אתה נושא באחריות על כל דליפה מצידה.
שאלות נפוצות
האם אני חייב לבקש הסכמה לפני שאני מצלם לקוח לפני ואחרי הטיפול?
כן, באופן מפורש. תמונות שניתן לזהות בהן אדם הן מידע אישי, ואם הן כוללות מידע על מצב גופו - גם מידע בעל רגישות מיוחדת לפי סעיף 7 לחוק. חובה לקבל הסכמה בכתב לפני הצילום, לציין למה התמונה מיועדת (פרסום, תיק עבודות, שמירה פנימית) ולמי תועבר. הסכמה בעל-פה אינה מספיקה.
היסטוריית הטיפולים של הלקוח שמורה ב-Shopify Customer Notes - האם זה בעיה?
תלוי מה כתוב שם. אם הרשומות כוללות אלרגיות, תגובות לחומרים כימיים או מצב עור הראש - מדובר במידע על מצב בריאותי, שהוא מידע בעל רגישות מיוחדת לפי החוק. Shopify כספק ענן זר מהווה מיקור חוץ לפי תקנה 15, ויש לוודא שהסכם השימוש שלך איתם מסדיר את אחריות עיבוד המידע. מדיניות הפרטיות שלך חייבת לפרט זאת מפורשות.
אני משתמש באפליקציית SMS מה-App Store לשליחת תזכורות תור - מה עלי לדעת?
שליחת SMS שיווקי ללקוחות חייבת בהסכמה מפורשת מראש לפי סעיף 30א לחוק התקשורת, והאפליקציה עצמה מקבלת גישה לפרטי הלקוחות שלך ונחשבת לגורם מיקור חוץ. עליך לוודא שיש בינך לבין מפעיל האפליקציה הסכם שמגדיר את מטרת עיבוד המידע, ושמדיניות הפרטיות שלך מציינת את השימוש הזה בשקיפות.
מתי אני חייב לדווח על אירוע אבטחה כמו דליפת נתוני לקוחות?
אם המאגר שלך מסווג ברמה בינונית או גבוהה - חובת הדיווח לרשות להגנת הפרטיות היא באופן מיידי מרגע הגילוי, לפי תקנה 11 לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. מספרה שמחזיקה גם היסטוריות טיפול וגם תמונות לקוחות עשויה לעמוד בסף הרמה הבינונית, ולכן כדאי לסווג את המאגר מראש ולא לגלות זאת רק אחרי אירוע.
האם אני צריך מסמך נפרד ממה שמגיע כברירת מחדל עם Shopify?
בהחלט. מדיניות ברירת המחדל של Shopify נכתבת עבור חנות מסחר אלקטרוני גנרית ומתייחסת לתקנות אמריקאיות ואירופאיות - לא לחוק הישראלי. היא לא מכסה תמונות לקוחות, היסטוריית טיפולים, דיוור SMS בעברית, או את חובות היידוע לפי סעיף 11 לחוק הגנת הפרטיות. מסמך מותאם הוא חובה משפטית, לא אופציה.