מדיניות פרטיות לאתר תיווך נדל"ן שנבנה ב-Webflow - כל מה שחייבים לדעת
עודכן ב-30 בינואר 2025
אתר Webflow של משרד תיווך נדל"ן אוסף שילוב יוצא דופן של מידע: פרטים פיננסיים רגישים של רוכשים ומשכירים, נתוני נכסים, ולעיתים מסמכים הכוללים ת"ז וטפסי הצהרה - כל זה דרך טפסי יצירת קשר, CRM חיצוני ורשימות תפוצה שמחוברים ל-Webflow. מאחר שהפלטפורמה מתארחת על שרתי AWS ומשתלבת עם כלים כמו HubSpot, Mailchimp או ActiveCampaign, המידע הזה עשוי לעבור ידיים של ספקים מרובים - ועם תיקון 13 לחוק הגנת הפרטיות, האחריות המלאה נשארת אצלך כבעל המאגר. מסמך מדיניות פרטיות גנרי אינו מספיק: נדרש מסמך שמתאים במדויק לסוג המידע שמשרד תיווך אוסף, לאופן שבו Webflow מעביר אותו לאינטגרציות חיצוניות, ולחובות הדיווח החלות עליך.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- טפסי Webflow מועברים אוטומטית ל-CRM חיצוני - כל פרט פיננסי של לקוח (יכולת רכישה, הון עצמי, אישור משכנתה) עובר לשרת של ספק צד-שלישי ללא הסכם מיקור חוץ כתוב, בניגוד לתקנה 15 לתקנות אבטחת מידע.
- אתר תיווך שאוסף נתוני נכסים ופרטים מזהים של בעלי דירות, שוכרים ורוכשים פועל לרוב ברמת אבטחה בינונית - ומחייב נוהל אבטחה מתועד, מינוי אחראי אבטחת מידע ודיווח מיידי על כל אירוע אבטחה לרשות להגנת הפרטיות.
- רשימות תפוצה להצעות נכסים ועדכוני שוק שנשלחות דרך אינטגרציית Webflow–Mailchimp דורשות הסכמה מפורשת ותיעוד לפי חוק התקשורת - משלוח ניוזלטר ללא מנגנון סירוב תקין עלול להוביל לעיצומים כספיים.
שאלות נפוצות
האם אני חייב לציין בפני לקוח שהפרטים שלו עוברים ל-CRM שמחוץ לאתר?
כן - זוהי חובת יידוע לפי סעיף 11 לחוק הגנת הפרטיות. בעת איסוף המידע (למשל בטופס יצירת קשר ב-Webflow) חובה לציין את מטרת השימוש, האם החוק מחייב את מסירת המידע, ולמי הוא ייועבר - כולל שמות הספקים החיצוניים כגון CRM או כלי שיווק. אי-יידוע מהווה הפרה של החוק גם אם המידע לא נעשה בו שימוש לרעה.
לקוח שיתף איתי אישור משכנתה ופרטי חשבון - האם זה נחשב מידע שדורש הגנה מיוחדת?
פרטים פיננסיים של לקוח (כולל יכולת רכישה, הון עצמי ואישורי הלוואה) מסווגים כמידע בעל רגישות מיוחדת שמעלה את רמת האבטחה הנדרשת לבינונית לפחות. פירוש הדבר שנדרש נוהל אבטחה כתוב לפי תקנה 4א, מסמך מבנה מאגר לפי תקנה 5א, ובמקרה של דלף - דיווח באופן מיידי לרשות להגנת הפרטיות לפי תקנה 11. מומלץ לא לאחסן מסמכים כאלו ב-Webflow עצמו אלא במערכת מאובטחת נפרדת.
Webflow מתארח על AWS - האם זה מחייב אותי להסכים על מיקור חוץ?
כן. כל שימוש בשירות ענן שבו עוברים פרטי לקוחות מחייב הסכם מיקור חוץ בכתב לפי תקנה 15 לתקנות אבטחת מידע. הדבר נכון הן ל-Webflow עצמו (AWS) והן לכל אינטגרציה חיצונית - HubSpot, ActiveCampaign, Mailchimp וכדומה. ההסכם צריך לכלול הגבלת שימוש במידע, דרישות אבטחה, והתחייבות לדיווח על אירועים.
כמה זמן עלי לשמור תיקי לקוחות ומסמכי עסקאות נדל"ן?
מסמכים הקשורים לעסקאות פיננסיות, חשבוניות ותשלומי עמלות - חובת שמירה של 7 שנים לפי פקודת מס הכנסה וחוק מע"מ. לגבי מידע אישי שאיננו מסמך חשבונאי (כגון פרטי לקוח שלא נסגרה עמו עסקה) - יש למחוק אותו כאשר אין עוד מטרה עסקית לגיטימית לשמירתו, בהתאם לעקרון המידתיות בחוק.
אני שולח עדכוני נכסים במייל לרשימת לקוחות - מה צריך לכלול?
לפי סעיף 30א לחוק התקשורת, כל דיוור ישיר לצרכי שיווק חייב לכלול: זיהוי ברור של השולח, אפשרות סירוב פשוטה (Unsubscribe) בכל הודעה, ותיעוד של ההסכמה המקורית. אם רשימת התפוצה נוהלת דרך אינטגרציית Webflow–Mailchimp, יש לוודא שמנגנון ה-Unsubscribe פועל גם ברמת Webflow וגם ב-CRM - ולעולם לא לשלוח לאנשים שביקשו להסיר את עצמם.