מדיניות פרטיות לחנות אונליין ב-Webflow: כל מה שהחוק הישראלי מחייב
עודכן ב-13 ביולי 2025
חנות אונליין שבנויה על Webflow נשענת על שרתי AWS ועל אינטגרציות חיצוניות - CRM, דיוור ושערי תשלום - שמשמעותן שנתוני הלקוחות שלך (פרטי תשלום, כתובות משלוח והיסטוריית רכישות) עוברים בין מספר גורמים שאתה אחראי עליהם בחוק. תיקון 13 לחוק הגנת הפרטיות מחייב אותך לגלות ללקוח בדיוק מה נאסף, לשם מה, ולמי זה מועבר - עוד לפני שהוא משלם. מסמך גנרי לא מכסה את השילוב הספציפי הזה: Webflow Ecommerce, ספקי מיקור החוץ, וסוגי המידע שחנות אונליין אוספת.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- Webflow Ecommerce מעביר נתוני הזמנה (שם, כתובת, פרטי כרטיס מוצפן) לשרתי AWS ולספק הסליקה - כל אחד מהם מהווה 'מקבל מידע' שחייב להיות מוזכר במפורש במדיניות הפרטיות לפי חובת היידוע בסעיף 11 לחוק.
- אינטגרציות CRM ודיוור (Mailchimp, HubSpot וכד') שמחוברות דרך ה-Designer של Webflow מהוות מיקור חוץ לצורך עיבוד מידע - ללא חוזה מיקור חוץ בכתב ופירוט ברמת האבטחה הנדרשת, אתה חשוף לאחריות ישירה לפי תקנה 15.
- היסטוריית רכישות של לקוחות מצטברת לאורך זמן ומעלה את רמת האבטחה הנדרשת מהמאגר - מה שמחייב נוהל אבטחה מסודר ומסמך מבנה מאגר עדכני, שרוב חנויות Webflow פועלות בלעדיהם.
שאלות נפוצות
האם חנות Webflow שלי מחויבת במדיניות פרטיות לפי החוק הישראלי?
כן, בהחלט. כל עסק שאוסף מידע אישי מלקוחות - שם, כתובת, פרטי תשלום או היסטוריית רכישות - מחויב לפרסם מדיניות פרטיות ולספק יידוע בעת האיסוף, לפי סעיף 11 לחוק הגנת הפרטיות. הדבר אמור גם כאשר הפלטפורמה (Webflow) היא זו שמפעילה את הטכנולוגיה - בעל החנות הוא בעל המאגר מבחינת החוק.
ה-Checkout של Webflow Ecommerce מעביר מידע לכמה גורמים - איך זה משפיע על המדיניות שלי?
כל גורם שמקבל מידע אישי מהחנות שלך - ספק הסליקה, שרתי AWS של Webflow, ומערכת הדיוור - חייב להיות מוזכר במדיניות הפרטיות בצורה מפורשת, כולל מטרת ההעברה. בנוסף, ספקים שמעבדים מידע עבורך מהווים מיקור חוץ לפי תקנה 15 לתקנות אבטחת מידע, ויש לערוך איתם הסכם בכתב שמגדיר את חובות האבטחה שלהם.
האם שמירת היסטוריית הרכישות של לקוחות מעלה את רמת האבטחה הנדרשת?
כן. ריכוז של נתוני תשלום, כתובות ומגמות רכישה לאורך זמן עשוי לסווג את המאגר ברמת אבטחה בינונית ומעלה לפי תקנות הגנת הפרטיות. רמה זו מחייבת, בין היתר, נוהל אבטחה פנימי כתוב (תקנה 4א), מסמך מבנה מאגר מעודכן (תקנה 5א), ובמקרה של אירוע אבטחה - דיווח באופן מיידי לרשות הגנת הפרטיות (תקנה 11).
שלחתי ניוזלטר ללקוחות שרכשו - האם זה מחייב הסכמה נפרדת?
כן. לפי סעיף 30א לחוק התקשורת, שליחת דיוור שיווקי מחייבת הסכמה מפורשת ומתועדת - אי אפשר להסתמך על רכישה בעבר כהסכמה לדיוור. אם משתמשים באינטגרציית דיוור מ-Webflow לכלי חיצוני, יש לוודא שרשומות ההסכמה מועברות ומאוחסנות גם שם.
כמה זמן עלי לשמור את פרטי ההזמנות של הלקוחות?
חשבוניות ומסמכי עסקה חייבים להישמר 7 שנים לפי פקודת מס הכנסה וחוק מע"מ. עם זאת, מידע אישי שאין לו עוד צורך עסקי או חוקי חייב להימחק - כלומר יש לנהל מדיניות מחיקה ברורה שמאזנת בין חובת השמירה המשפטית לבין עקרון המינימיזציה לפי חוק הגנת הפרטיות.