מדיניות פרטיות למסעדה ב-Squarespace - כשאלרגיות ומשלוחים הופכים למחויבות משפטית
עודכן ב-30 בינואר 2025
Squarespace היא פלטפורמה all-in-one נוחה - הזמנות, תפריט ומשלוחים מנוהלים ממקום אחד. אבל בדיוק בגלל שהכול מרוכז, המסעדה שלך אוספת בלי לשים לב מידע בעל רגישות מיוחדת ממש: אלרגיות ומגבלות תזונתיות של לקוחות (מידע רפואי לפי סעיף 7 לחוק), כתובות משלוח, ופרטי יצירת קשר. שרתי Squarespace יושבים מחוץ לישראל, מה שאומר שהמידע הזה מועבר לחו"ל - ובלי הסכם מיקור חוץ מסודר ומדיניות פרטיות תקנית, אתה חשוף לאחריות משפטית ישירה לפי חוק הגנת הפרטיות הישראלי.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- אלרגיות = מידע בעל רגישות מיוחדת בחוק: כשלקוח מסמן 'אלרגי לבוטנים' בטופס ההזמנה ב-Squarespace, הוא מוסר לך מידע רפואי לפי סעיף 7 לחוק הגנת הפרטיות. איסוף מידע כזה ללא יידוע מפורש, הסכמה מדעת ואבטחה ברמה מתאימה - הוא הפרה של החוק, לא רק מחדל טכני.
- Squarespace שומרת מידע על שרתים בחו"ל - ובלי הסכם מיקור חוץ מסודר (תקנה 15 לתקנות אבטחת מידע), העברת נתוני לקוחות לשרת האמריקאי אינה חוקית. בניגוד לפלטפורמות עם פלאגינים חיצוניים, ב-Squarespace הכל עובר דרך התשתית הפנימית - אין 'לעקוף' את הסוגיה.
- תפריטי 'Click & Collect' ומשלוחים שמנוהלים דרך Squarespace Commerce צוברים היסטוריית הזמנות ופרטי כתובת מפורטים. ללא מדיניות פרטיות שמסבירה ללקוח מה נשמר, לכמה זמן ולמי מועבר - אתה מפר את חובת היידוע לפי סעיף 11 לחוק בכל הזמנה שנשלחת.
שאלות נפוצות
האם אלרגיות שהלקוח מזין בטופס ההזמנה נחשבות 'מידע בעל רגישות מיוחדת' לפי החוק?
כן, בוודאות. מגבלות תזונתיות הנובעות ממצב רפואי (כגון צליאק, אלרגיה לבוטנים או לאקטוז) מסווגות כמידע רפואי לפי סעיף 7 לחוק הגנת הפרטיות. כדי לאסוף מידע כזה כחוק, עליך לקבל הסכמה מפורשת ומדעת של הלקוח, לאבטח אותו ברמה בינונית לפחות, וליידע את הלקוח במפורש מה ייעשה בנתונים אלה.
Squarespace כבר מציגה 'Privacy Policy' בתבנית - האם זה מספיק?
לא. תבנית ברירת המחדל של Squarespace כתובה לפי הדין האמריקאי (CCPA/CalOPPA) ואינה עומדת בדרישות חוק הגנת הפרטיות הישראלי. היא אינה כוללת חובת יידוע לפי סעיף 11, אינה מתייחסת לאלרגיות כמידע בעל רגישות מיוחדת, ואינה מסדירה את העברת הנתונים לשרתי החברה בחו"ל לפי הדין הישראלי. נדרש מסמך ייעודי המותאם לחוק הישראלי.
מה זה הסכם מיקור חוץ ולמה מסעדה שמשתמשת ב-Squarespace צריכה אותו?
תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע) מחייבת שכל גורם חיצוני שמעבד מידע עבורך - כולל פלטפורמות כמו Squarespace - יחויב בחוזה לשמור על אבטחת המידע כפי שהיית חייב בעצמך. ב-Squarespace כל נתוני הלקוחות, ההזמנות וכתובות המשלוח עוברים דרך השרתים שלהם - ולכן הסכם כזה הוא תנאי לחוקיות הפעולה.
כמה זמן עלי לשמור את נתוני ההזמנות של לקוחות?
מבחינה חשבונאית, חשבוניות ורשומות עסקיות חייבות להישמר 7 שנים לפי פקודת מס הכנסה וחוק מע"מ. אבל מבחינת הפרטיות - אין חובה לשמור נתונים אישיים כגון כתובות משלוח ופרטי לקוח מעבר לנדרש. מדיניות הפרטיות שלך צריכה לפרט את מדיניות השמירה וההשמדה של כל סוג מידע בנפרד.
שולחים ללקוחות SMS/מייל על סטטוס ההזמנה - האם נדרש אישור?
עדכוני הזמנה שנשלחים כחלק ממתן השירות אינם מצריכים הסכמה נפרדת. אבל אם אתה שולח מבצעים, קופונים או ניוזלטרים - זהו דיוור ישיר המחייב הסכמה מפורשת מראש לפי סעיף 30א לחוק התקשורת. כדאי לוודא שטופס ההרשמה ב-Squarespace מפריד בבירור בין השניים.