מדיניות פרטיות למכון יופי ב-Squarespace - תמונות לקוחות, רגישויות עור וטיפולים
עודכן ב-14 ביולי 2025
מכון יופי או קוסמטיקה שמנהל אתר ב-Squarespace אוסף מידע שהחוק מגדיר כרגיש מובהק: תמונות לפני ואחרי, רגישויות עור ותגובות לחומרים, והיסטוריית טיפולים. בניגוד לחנות אופנה רגילה, כאן כל כרטיס לקוח הוא מאגר מידע רפואי-קוסמטי שחייב הגנה מיוחדת לפי חוק הגנת הפרטיות. Squarespace היא פלטפורמה all-in-one - ההזמנות, הטפסים, התשלומים והתיקים הדיגיטליים יושבים יחד, מה שמרחיב את המשטח החשוף להפרות. מסמך מדיניות פרטיות שנכתב לחנות בגדים כללית לא מספיק - את זקוקה למסמך שמתייחס ספציפית לנתוני גוף, לתמונות ולפרוטוקולי טיפול.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- תמונות 'לפני ואחרי' שנשמרות בגלריית Squarespace או נשלחות דרך טפסי הבקשה המובנים - הן מידע ביומטרי-רפואי לפי סעיף 7 לחוק, ואיסופן ללא הסכמה מפורשת ויידוע מקדים הוא הפרה ישירה.
- טפסי ההזמנה וכרטיסי הלקוח ב-Squarespace Scheduling שבהם נרשמות רגישויות עור, אלרגיות ותגובות לחומרים - מהווים מאגר מידע רפואי שדורש רמת אבטחה בינונית לפחות, כולל נוהל אבטחה כתוב ומינוי ממונה אבטחת מידע לפי תקנה 3 לתקנות (חובה ברמה בינונית/גבוהה; ברמה בסיסית - מומלץ בלבד).
- Squarespace מאחסנת נתונים בשרתים מחוץ לישראל, ולכן חובה להסדיר את מיקור החוץ בהסכם מפורש עם הספק - מבלי זה, כל העברת נתוני לקוחות לשרתי החברה מחוץ לגבולות ישראל עשויה להיחשב הפרה של תקנות האבטחה.
שאלות נפוצות
האם תמונות לקוחות שאני שומרת לצורך תיעוד טיפולים נחשבות 'מידע בעל רגישות מיוחדת' לפי החוק?
כן. תמונות המתעדות מצב עור, פגמים, נגעים או תוצאות טיפול נחשבות לשילוב של מידע ביומטרי ומידע רפואי - שתי קטגוריות מוגנות לפי סעיף 7 לחוק הגנת הפרטיות. לכן יש לקבל הסכמה כתובה ומפורשת לפני הצילום, לציין את מטרת השימוש (תיעוד, שיווק, הדרכה), ולהבטיח שהתמונות לא נחשפות לצד שלישי ללא רשות. שמירתן בגלריה ציבורית ב-Squarespace ללא הסכמה - היא הפרה חמורה.
האם כרטיס לקוח שכולל אלרגיות ורגישויות עור מחייב אמצעי אבטחה מיוחדים?
בהחלט. מידע על רגישויות ותגובות לחומרים מסווג כמידע רפואי ולכן המאגר שמכיל אותו דורש לפחות רמת אבטחה בינונית לפי תקנות הגנת הפרטיות. בפועל המשמעות היא נוהל אבטחה כתוב, הגבלת גישה לעובדות בלבד, וגיבוי מאובטח. אם אירע אירוע אבטחה (כגון גישה לא מורשית לכרטיסי הלקוח), חובה לדווח לרשות להגנת הפרטיות באופן מיידי.
האם אפשר לפרסם תמונות 'לפני ואחרי' של לקוחות ברשתות החברתיות?
רק עם הסכמה כתובה מפורשת שמפרטת בדיוק לאיזה שימוש ניתנת ההסכמה - פרסום בעמוד העסקי, שיתוף בסטוריז, הצגה באתר וכדומה. הסכמה כללית ל'שימוש בתמונות' אינה מספיקה. ההסכמה צריכה לכלול גם את הזכות לבטל אותה בכל עת, ואת שמך כבעלת האתר כגורם האחראי על המידע.
Squarespace מאחסנת את הנתונים שלי בחו"ל - האם זה בעייתי?
כן, וצריך להסדיר זאת. לפי תקנה 15 לתקנות הגנת הפרטיות, כאשר מעבירים עיבוד נתונים לגוף חיצוני (מיקור חוץ), חייבים לקבוע בהסכם כתוב שהספק מחויב לרמת האבטחה הנדרשת. בפועל, בעלת מכון יופי צריכה לוודא שתנאי השירות של Squarespace מסדירים את נושא אבטחת המידע, ולתעד זאת כחלק ממסמכי הציות שלה.
מה חייבת לכלול הודעת הפרטיות שמוצגת ללקוחה בעת מילוי טופס ההרשמה לטיפול?
לפי סעיף 11 לחוק הגנת הפרטיות, חובה לציין: האם מסירת המידע היא חובה חוקית או רשות, לאיזו מטרה המידע נאסף, למי הוא עשוי להימסר (למשל, ספק מערכת ניהול תורים, רואת חשבון), ואת זכות הלקוחה לעיין בנתוניה ולתקנם. טופס שלא כולל את כל ארבעת המרכיבים האלה - אינו עומד בדרישות החוק, גם אם צורפה אליו 'מדיניות פרטיות' כללית.