מדיניות פרטיות למכון יופי ב-Squarespace - תמונות לקוחות, רגישויות עור וטיפולים

עודכן ב-14 ביולי 2025

מכון יופי או קוסמטיקה שמנהל אתר ב-Squarespace אוסף מידע שהחוק מגדיר כרגיש מובהק: תמונות לפני ואחרי, רגישויות עור ותגובות לחומרים, והיסטוריית טיפולים. בניגוד לחנות אופנה רגילה, כאן כל כרטיס לקוח הוא מאגר מידע רפואי-קוסמטי שחייב הגנה מיוחדת לפי חוק הגנת הפרטיות. Squarespace היא פלטפורמה all-in-one - ההזמנות, הטפסים, התשלומים והתיקים הדיגיטליים יושבים יחד, מה שמרחיב את המשטח החשוף להפרות. מסמך מדיניות פרטיות שנכתב לחנות בגדים כללית לא מספיק - את זקוקה למסמך שמתייחס ספציפית לנתוני גוף, לתמונות ולפרוטוקולי טיפול.

רקע: מה זה תיקון 13?

האתגרים הנפוצים

  • תמונות 'לפני ואחרי' שנשמרות בגלריית Squarespace או נשלחות דרך טפסי הבקשה המובנים - הן מידע ביומטרי-רפואי לפי סעיף 3 לחוק, ואיסופן ללא הסכמה מפורשת ויידוע מקדים הוא הפרה ישירה.
  • טפסי ההזמנה וכרטיסי הלקוח ב-Squarespace Scheduling שבהם נרשמות רגישויות עור, אלרגיות ותגובות לחומרים - מהווים מאגר מידע רפואי שדורש רמת אבטחה בינונית לפחות, כולל נוהל אבטחה כתוב ומינוי ממונה אבטחת מידע לפי תקנה 3 לתקנות (חובה ברמה בינונית/גבוהה; ברמה בסיסית - מומלץ בלבד).
  • Squarespace מאחסנת נתונים בשרתים מחוץ לישראל, ולכן חובה להסדיר את מיקור החוץ בהסכם מפורש עם הספק - מבלי זה, כל העברת נתוני לקוחות לשרתי החברה מחוץ לגבולות ישראל עשויה להיחשב הפרה של תקנות האבטחה.

שאלות נפוצות

האם תמונות לקוחות שאני שומרת לצורך תיעוד טיפולים נחשבות 'מידע בעל רגישות מיוחדת' לפי החוק?

כן. תמונות המתעדות מצב עור, פגמים, נגעים או תוצאות טיפול נחשבות לשילוב של מידע ביומטרי ומידע רפואי - שתי קטגוריות מוגנות לפי סעיף 3 לחוק הגנת הפרטיות. לכן יש לקבל הסכמה כתובה ומפורשת לפני הצילום, לציין את מטרת השימוש (תיעוד, שיווק, הדרכה), ולהבטיח שהתמונות לא נחשפות לצד שלישי ללא רשות. שמירתן בגלריה ציבורית ב-Squarespace ללא הסכמה - היא הפרה חמורה.

האם כרטיס לקוח שכולל אלרגיות ורגישויות עור מחייב אמצעי אבטחה מיוחדים?

בהחלט. מידע על רגישויות ותגובות לחומרים מסווג כמידע רפואי ולכן המאגר שמכיל אותו דורש לפחות רמת אבטחה בינונית לפי תקנות הגנת הפרטיות. בפועל המשמעות היא נוהל אבטחה כתוב, הגבלת גישה לעובדות בלבד, וגיבוי מאובטח. אם אירע אירוע אבטחה (כגון גישה לא מורשית לכרטיסי הלקוח), חובה לדווח לרשות להגנת הפרטיות באופן מיידי.

האם אפשר לפרסם תמונות 'לפני ואחרי' של לקוחות ברשתות החברתיות?

רק עם הסכמה כתובה מפורשת שמפרטת בדיוק לאיזה שימוש ניתנת ההסכמה - פרסום בעמוד העסקי, שיתוף בסטוריז, הצגה באתר וכדומה. הסכמה כללית ל'שימוש בתמונות' אינה מספיקה. ההסכמה צריכה לכלול גם את הזכות לבטל אותה בכל עת, ואת שמך כבעלת האתר כגורם האחראי על המידע.

Squarespace מאחסנת את הנתונים שלי בחו"ל - האם זה בעייתי?

כן, וצריך להסדיר זאת. לפי תקנה 15 לתקנות הגנת הפרטיות, כאשר מעבירים עיבוד נתונים לגוף חיצוני (מיקור חוץ), חייבים לקבוע בהסכם כתוב שהספק מחויב לרמת האבטחה הנדרשת. בפועל, בעלת מכון יופי צריכה לוודא שתנאי השירות של Squarespace מסדירים את נושא אבטחת המידע, ולתעד זאת כחלק ממסמכי הציות שלה.

מה חייבת לכלול הודעת הפרטיות שמוצגת ללקוחה בעת מילוי טופס ההרשמה לטיפול?

לפי סעיף 11 לחוק הגנת הפרטיות, חובה לציין: האם מסירת המידע היא חובה חוקית או רשות, לאיזו מטרה המידע נאסף, למי הוא עשוי להימסר (למשל, ספק מערכת ניהול תורים, רואת חשבון), ואת זכות הלקוחה לעיין בנתוניה ולתקנם. טופס שלא כולל את כל ארבעת המרכיבים האלה - אינו עומד בדרישות החוק, גם אם צורפה אליו 'מדיניות פרטיות' כללית.

אני שולחת ללקוחות מבצעים ותזכורות לטיפול חוזר דרך Squarespace Email Campaigns - האם מותר לי לעשות זאת לכל מי שמילא טופס?

דיוור פרסומי מותר רק בהסכמה מפורשת מראש, בהתאם לסעיף 30א לחוק התקשורת (בזק ושידורים), התשמ"ב-1982. מילוי טופס הרשמה לטיפול אינו מהווה כשלעצמו הסכמה לקבלת מבצעים, ולכן יש להוסיף תיבת סימון נפרדת ולא מסומנת מראש. בכל הודעה ב-Email Campaigns חובה לכלול אפשרות הסרה פשוטה, ולכבד בקשת הסרה באופן מיידי.

לקוחה ביקשה למחוק את כל הפרטים והתמונות שלה מהמערכת - תוך כמה זמן עליי לפעול וכמה זמן בכלל מותר לשמור מידע כזה?

סעיף 14 לחוק מקנה זכות לתיקון או מחיקה של מידע, ועליך להיענות בתוך 30 יום. תמונות טיפול ומידע על רגישויות עור הם 'מידע בעל רגישות מיוחדת' לפי סעיף 3 (כפי שתוקן בתיקון 13), ולכן אין לשמרם מעבר לתקופה הנדרשת לצורך שלשמו נאספו. אם נותר צורך תיעודי-משפטי מצומצם, יש לתעד את הנימוק ולהגביל את הגישה אליו לפי עקרון 'צורך לדעת' (תקנה 8).

מכון יופי בפלטפורמות נוספות