מדיניות פרטיות לעצמאים ויועצים עם אתר Webflow
עודכן ב-14 ביולי 2025
אתר Webflow שלך רץ על שרתי AWS ומחובר לכלי CRM ודיוור - מה שאומר שפרטי הלקוחות שלך עוברים דרך מספר ספקים שלא נמצאים בשליטתך הישירה. בתור עצמאי או יועץ, אתה אוסף שמות, כתובות מייל, פרטי יצירת קשר ולעיתים גם מידע על הפרויקט - כל אלה מהווים מאגר מידע לפי חוק הגנת הפרטיות הישראלי, גם אם אתה עסק של אדם אחד. מסמך מדיניות סתמי שהורדת מהאינטרנט לא יגן עליך - צריך מסמך שמתייחס ספציפית לאיך Webflow מאחסן, מעביר ומשתף את המידע שאתה אוסף.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- Webflow מאחסנת את נתוני הטפסים שלך על שרתי AWS - ספק חיצוני שנחשב 'מיקור חוץ' לפי תקנה 15 לתקנות אבטחת מידע. בלי הסדרה חוזית מסודרת ואזכור בפוליסת הפרטיות שלך, אתה חשוף להפרה של הדרישה לניהול מאגר כחוק.
- אינטגרציות ל-CRM כמו HubSpot או Mailchimp שמחוברות לאתר Webflow שלך מעבירות פרטי לקוחות לגורמים נוספים - כל חיבור כזה דורש גילוי מפורש ביידוע ללקוח בעת איסוף הנתונים, כנדרש בסעיף 11 לחוק הגנת הפרטיות.
- חשבוניות ותכתובות עסקיות עם לקוחות שאתה שומר בענן או מעביר במייל מכיל מידע שעשוי לחשוף פרטים עסקיים רגישים - ואתה מחויב לשמור אותן 7 שנים לפי פקודת מס הכנסה, מה שמחייב הגדרת מדיניות אחסון ברורה גם במדיניות הפרטיות שלך.
שאלות נפוצות
אני עצמאי עם לקוחות בודדים - האם אני בכלל חייב מדיניות פרטיות?
כן. חוק הגנת הפרטיות חל על כל מי שמנהל מאגר מידע - גם עסק של אדם אחד. ברגע שיש לך טופס יצירת קשר, רשימת תפוצה או מסמכי לקוחות שמורים - זה מאגר. חובת היידוע לפי סעיף 11 לחוק חלה עליך בדיוק כמו על חברה גדולה.
האם Webflow עצמה אחראית על הגנת המידע שאני אוסף?
לא. Webflow היא ספק תשתית - היא מאפשרת לך לאחסן נתונים על שרתי AWS, אבל האחריות כלפי הלקוחות שלך היא שלך בלבד. לפי תקנה 15 לתקנות אבטחת מידע, אתה כבעל המאגר אחראי לוודא שהספק (מיקור חוץ) עומד בדרישות האבטחה ולהסדיר זאת בהסכם מול Webflow.
אני שולח ניוזלטר ללקוחות שיצרו איתי קשר דרך האתר - מה מותר?
שליחת דיוור שיווקי ללא הסכמה מפורשת מהווה הפרה של סעיף 30א לחוק התקשורת. גם אם הלקוח מילא טופס יצירת קשר, זה לא מהווה הסכמה לקבל ניוזלטר. צריך תיבת סימון נפרדת ומפורשת בטופס Webflow שלך, ואפשרות הסרה בכל פנייה.
האם חשבוניות ומסמכים שאני שומר בענן דורשים התייחסות מיוחדת במדיניות הפרטיות?
כן. חשבוניות מכילות פרטים מזהים של לקוחות ונתונים עסקיים, ואתה מחויב לשמור אותן 7 שנים לפי פקודת מס הכנסה וחוק מע"מ. מדיניות הפרטיות שלך צריכה לציין כמה זמן אתה שומר מידע, לאיזו מטרה, ואיך הוא מאובטח - גם כשמדובר בקבצים בענן.
מה קורה אם לקוח מבקש לדעת אילו נתונים יש לי עליו?
חוק הגנת הפרטיות מעניק לכל אדם זכות עיון במידע שנשמר עליו. עליך לאפשר זאת תוך 30 יום ולהסביר את זכות זו כבר בשלב איסוף הנתונים, כחלק מחובת היידוע לפי סעיף 11. מדיניות פרטיות תקינה כוללת הוראות ברורות על איך הלקוח יכול לממש את זכות העיון שלו.
חיברתי טופס יצירת קשר ב-Webflow ל-Zapier שמעביר לידים ל-Google Sheets ול-CRM - מה זה מחייב?
כל שירות צד-ג שזורם אליו מידע על לקוחות - Zapier, Google Sheets או CRM חיצוני - נחשב מיקור חוץ לפי תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. עליך לוודא שמוסדרים תנאי אבטחה מול הספקים ולפרט אותם במדיניות הפרטיות במסגרת חובת היידוע שבסעיף 11. רבים מהשירותים מאחסנים מחוץ לישראל - הדבר מותר אך מחייב את ההסדרה והשקיפות הזו.
מה עליי לעשות אם אירע אירוע אבטחה ופרטי לקוחות שאספתי דלפו?
גם כעצמאי, באירוע אבטחה חמור אתה נדרש לדווח באופן מיידי לרשות להגנת הפרטיות בהתאם לתקנה 11(ד) לתקנות אבטחת מידע, ובמקרים מסוימים גם ליידע את הלקוחות הנפגעים. מומלץ להחזיק נוהל קצר שמגדיר כיצד לזהות אירוע, את מי ליידע ומה לתעד. תיעוד מסודר של ההרשאות והגישה למאגר מסייע לאתר את היקף הדליפה במהירות.