מדיניות פרטיות לעמותה ב-Webflow: מתורמים, חברים וסכומי תרומה - עד לשרתי AWS
עודכן ב-14 ביולי 2025
עמותה ב-Webflow אוספת מידע שרגיש במיוחד מבחינה משפטית: שמות תורמים, סכומי תרומה, פרטי חברי עמותה ולעיתים גם עמדות דתיות או פוליטיות - כולם מוגנים תחת חוק הגנת הפרטיות. בנוסף, Webflow עצמה מארחת על שרתי AWS ומאפשרת אינטגרציות ל-CRM ולשירותי דיוור אלקטרוני - כלומר המידע עובר בין ספקים מרובים, וכל אחד מהם מחייב הסדרה לפי תקנות האבטחה. מסמך גנרי לא יספיק: עמותה דורשת מדיניות פרטיות שמתייחסת ספציפית לאופן איסוף התרומות, לניהול מאגר החברים ולזרימת הנתונים בין Webflow לכלים החיצוניים שמחוברים אליה.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- שרתי AWS ואינטגרציות CRM: Webflow מעבירה את נתוני התורמים והחברים לשרתי Amazon Web Services ולכלי CRM חיצוניים - כל ספק כזה מהווה 'מיקור חוץ' לפי תקנה 15 לתקנות האבטחה, ובלי הסכם מחייב עם כל ספק, העמותה חשופה לאחריות משפטית אישית של נושאי המשרה.
- סכומי תרומה ופרטי תורמים - מאגר ברמת אבטחה בינונית: מאגר הכולל שמות, כתובות, אמצעי תשלום וסכומי תרומה מסווג כמאגר ברמת אבטחה בינונית לפחות, מה שמחייב נוהל אבטחה כתוב ודיווח מיידי על אירוע אבטחה לפי תקנה 11(ד). מינוי ממונה אבטחת מידע נדרש לפי תקנה 3 ברמה בינונית/גבוהה (תלוי בהיקף המאגר ובסוג הנתונים - לא בגודל הארגון) - דרישות שרוב העמותות הפועלות ב-Webflow לא יודעות שחלות עליהן.
- דיוור לתורמים וחברים ללא הסכמה תקינה: שימוש ב-Webflow Integrations לשליחת עדכונים, קמפיינים לגיוס תרומות או ניוזלטר לחברים - מחייב הסכמה מפורשת ומתועדת לפי חוק התקשורת. בלי שדה הסכמה ייעודי בטופס Webflow ורישום הסכמות, כל דיוור עלול להיחשב ספאם לפי הדין הישראלי.
שאלות נפוצות
האם עמותה חייבת במדיניות פרטיות בכלל - הרי היא לא עסק מסחרי?
בהחלט כן. חוק הגנת הפרטיות חל על כל גורם שמנהל מאגר מידע, לרבות עמותות ומלכ"רים. עמותה שאוספת פרטי תורמים, חברי עמותה ותשלומים - מנהלת מאגר מידע לכל דבר. חובת היידוע לפי סעיף 11 לחוק חלה במלואה, וכך גם חובות האבטחה לפי התקנות.
Webflow מארחת על AWS - האם זה אומר שהמידע יוצא לחו"ל?
כן, שרתי AWS שמשמשים את Webflow ממוקמים מחוץ לישראל. מבחינת תקנות הגנת הפרטיות, כל ספק כזה מהווה גורם מיקור חוץ לפי תקנה 15, ועל העמותה לוודא שקיים הסכם מחייב שמבטיח את אבטחת המידע. בנוסף, כל אינטגרציה ל-CRM חיצוני או לפלטפורמת דיוור דורשת אותו הסדר.
כיצד צריכה העמותה לאסוף הסכמה לדיוור לתורמים ולחברים?
טפסי Webflow שמשמשים לגיוס תרומות או להצטרפות לעמותה חייבים לכלול תיבת הסכמה נפרדת ולא-מסומנת מראש לקבלת עדכונים ודיוור. ההסכמה חייבת להיות מתועדת ומאוחסנת. שליחת ניוזלטר לכל מי שתרם, ללא הסכמה מפורשת כזו, עלולה להפר את סעיף 30א לחוק התקשורת.
האם סכומי תרומה נחשבים מידע בעל רגישות מיוחדת שדורש הגנה מיוחדת?
סכומי תרומה כשלעצמם אינם מוגדרים כ'מידע בעל רגישות מיוחדת' בסעיף 7 לחוק, אך שילובם עם שמות, כתובות ופרטי תשלום יוצר מאגר שמסווג ברמת אבטחה בינונית ומחייב אמצעי הגנה מוגברים. לעמותות הפועלות בתחומי בריאות, דת או פוליטיקה - חלק מנתוני התורמים עשוי להיחשב מידע בעל רגישות מיוחדת ממש לפי החוק.
מה צריך לקרות אם מתרחש אירוע אבטחה - למשל דליפת נתוני תורמים?
אם מאגר נתוני העמותה מסווג ברמת אבטחה בינונית או גבוהה, תקנה 11 לתקנות האבטחה מחייבת דיווח באופן מיידי לרשות להגנת הפרטיות. דליפת רשימת תורמים - כולל שמות וסכומים - מהווה אירוע אבטחה לכל דבר ומחייבת פעולה מהירה ומתועדת.