מדיניות פרטיות למספרה שבנתה אתר ב-Webflow - כי תמונות לפני/אחרי זה מידע בעל רגישות מיוחדת לכל דבר
עודכן ב-14 ביולי 2025
Webflow נותנת לך אתר מרהיב בלי שורת קוד - אבל כשאת/ה מפרסמים תמונות לקוחות, שומרים היסטוריית טיפולים ומחברים טפסי הזמנות ל-CRM חיצוני, נוצר מאגר מידע שכולל מידע בעל רגישות מיוחדת לפי סעיף 7 לחוק הגנת הפרטיות. שרתי AWS שעליהם יושב Webflow נחשבים כמיקור חוץ לפי תקנה 15, ומחייבים הסדרה מפורשת. מסמך פרטיות גנרי לא יספיק - האתר שלך צריך מדיניות שמותאמת לשירותי מספרה, לאינטגרציות שבחרת ולדרישות הדין הישראלי.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- תמונות לפני/אחרי שמועלות ל-Webflow CMS - גם אם הלקוח אמר 'בסדר בעל-פה', בלי הסכמה בכתב ויידוע מפורש לפי סעיף 11 לחוק, הפרסום עלול להיות הפרת פרטיות ברורה שחושפת אותך לתביעה
- כשאתר ה-Webflow מחובר ל-CRM חיצוני (כמו HubSpot, Mailchimp או ActiveCampaign) לצורך תזכורות תור ודיוור, כל לקוח שמילא טופס הפך לנושא מידע במאגר - ואם לא יידעת אותו מראש מה ייעשה בנתוניו ולמי יועבר, אתה בבעיה לפי חובת היידוע
- היסטוריית טיפולים - צבע שיער, טיפולים קוסמטיים רפואיים, מצב עור הקרקפת - עשויה להיחשב כמידע הנוגע למצב גופני לפי סעיף 7, ואחסון שלה ב-Webflow CMS ללא נוהל אבטחה מתועד ורמת אבטחה מוגדרת חושף אותך לעיצומים מהרשות להגנת הפרטיות
שאלות נפוצות
האם תמונות לקוחות שאני מפרסמת ב-Webflow CMS נחשבות מידע בעל רגישות מיוחדת?
כן. תמונה שמאפשרת לזהות אדם ומשויכת לטיפול קוסמטי שקיבל - נכנסת להגדרת מידע בעל רגישות מיוחדת לפי סעיף 7 לחוק הגנת הפרטיות. לפני שמעלים תמונת לפני/אחרי לאתר, צריך קבל הסכמה מפורשת בכתב ולוודא שהלקוח יודע שהתמונה תפורסם באתר ציבורי. כדאי לשמור את ההסכמה כמסמך נפרד.
Webflow יושב על AWS - האם זה אומר שאני צריך חוזה מיוחד?
מבחינת הדין הישראלי, כל שימוש בשירות ענן חיצוני לאחסון מידע על לקוחות נחשב מיקור חוץ לפי תקנה 15 לתקנות הגנת הפרטיות. החוק מחייב שתהיה לך מדיניות כתובה הקובעת מה מותר לספק לעשות במידע ומה לא. לרוב מדובר בקבלת תנאי השימוש של Webflow ותיעוד שכלי האחסון עומדים בדרישות האבטחה - ולא בחוזה שאתה מנסח מאפס.
אני שולח תזכורות תור ב-WhatsApp ובדיוור - האם זה מצריך הסכמה נפרדת?
כן. שליחת הודעות שיווקיות (מבצעים, עדכונים, ניוזלטר) דרך אינטגרציית דיוור של Webflow מחייבת הסכמה מפורשת לפי סעיף 30א לחוק התקשורת - גם אם הלקוח הגיע דרך הטופס באתר. תזכורת תור בלבד נחשבת תקשורת שירות ולא דיוור שיווקי, אך עדיין נדרש יידוע מפורש בעת האיסוף. כדאי לכלול checkbox נפרד בטופס ההזמנה.
כמה זמן אני חייב לשמור את נתוני הלקוחות של המספרה?
חשבוניות ותיעוד תשלומים - 7 שנים לפי פקודת מס הכנסה וחוק מע"מ. היסטוריית טיפולים ותמונות - אין חובה חוקית לשמור, ועדיף לקבוע מדיניות מחיקה ברורה: לדוגמה, מחיקת נתונים לאחר שנתיים של אי-פעילות. המדיניות צריכה להיות כתובה ולהיות זמינה ללקוחות באתר.
מה קורה אם מישהו פרץ לאתר ה-Webflow שלי וגנב נתוני לקוחות?
אם המאגר שלך מסווג ברמת אבטחה בינונית או גבוהה - ומספרה שאוספת תמונות והיסטוריית טיפולים עשויה להגיע לרמה זו - חובה לדווח על אירוע האבטחה באופן מיידי לפי תקנה 11 לתקנות הגנת הפרטיות. הדיווח הוא לרשות להגנת הפרטיות ולנושאי המידע הנפגעים. איחור בדיווח עלול להוסיף עיצומים משמעותיים מעבר לאירוע עצמו.