מדיניות פרטיות למוסך ולהשכרת רכב ב-WordPress - הגנה על נתוני לקוחות, רכבים ורישוי

עודכן ב-14 ביולי 2025

מוסך או עסק להשכרת רכב שמנהל אתר WordPress אוסף מידע שהוא ייחודי לתחום: מספרי רישוי, היסטוריית טיפולים, תמונות רכב, ומסמכי זהות של נהגים - כל אלה נשמרים בדרך כלל על-ידי שילוב של תוסף הזמנות, תוסף CRM ואולי טופס יצירת קשר נפרד. בWordPress, כל תוסף שמתקין הוא מעבד מידע עצמאי לצורכי חוק - והאחריות עליו נשארת אצלכם. מסמך מדיניות פרטיות גנרי אינו מכסה קשר בין לוחית רישוי לשם לקוח, ולא את שרשרת המעבדים הספציפית לעסק שלכם.

רקע: מה זה תיקון 13?

האתגרים הנפוצים

  • כל תוסף WordPress שאוסף פרטי לקוח - טופס הזמנת טיפול, תוסף לניהול לקוחות, שער תשלום - הוא ספק מיקור חוץ לפי תקנה 15 לתקנות אבטחת המידע. בלי הסכם מיקור חוץ בכתב עם כל אחד מהם, אתם חשופים לאחריות גם אם הדלפת המידע נבעה מהתוסף עצמו.
  • נתוני רישוי ותעודת זהות של נהגים בהשכרת רכב מקשרים ישירות בין אדם מזוהה לרכב ולמועד הנסיעה - זו בדיוק ההגדרה של מאגר מידע הדורש רמת אבטחה בינונית לפחות. מאגר ברמה זו חייב בנוהל אבטחה כתוב, מינוי ממונה אבטחת מידע לפי תקנה 3 לתקנות (חובה ברמה בינונית/גבוהה), וחובת דיווח מיידי על אירוע אבטחה לרשות להגנת הפרטיות בהתאם לתקנה 11(ד) - ולמוסכים רבים אין כלום מזה.
  • היסטוריית טיפולים ותקלות רכב שנשמרת בתוסף CRM או בגיליון שמחובר לאתר WordPress היא מידע אישי לכל דבר - אם בשלב מסוים תרצו לשלוח ניוזלטר שיווקי ללקוחות, תזכורות טיפול, או הצעות למבצעים, תחויבו בהסכמה מפורשת לפי סעיף 30א לחוק התקשורת, ובחובת יידוע מלאה לפי סעיף 11 לחוק הגנת הפרטיות - גם אם כבר יש לכם את כתובת האימייל.

שאלות נפוצות

האם מספר לוחית רישוי של לקוח נחשב 'מידע אישי' לפי החוק הישראלי?

כן. מספר רישוי שמשויך לשם בעלים, לתאריך טיפול ולאיש קשר - מהווה מאגר מידע אישי לפי חוק הגנת הפרטיות, התשמ"א-1981. מרגע שניתן לזהות אדם דרך שילוב הנתונים, כל כללי ההגנה חלים, כולל חובת יידוע בעת האיסוף לפי סעיף 11 לחוק.

אנחנו משתמשים בתוסף WordPress לניהול הזמנות טיפול - מה המשמעות המשפטית?

כל תוסף שמאחסן או מעבד נתוני לקוח הוא ספק מיקור חוץ לפי תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. אתם, כבעלי המאגר, חייבים לוודא שיש הסכם בכתב המגדיר את תנאי עיבוד המידע, מגביל שימוש חוזר, ומחייב את הספק ברמות האבטחה שלכם. תוסף ללא הסכם כזה הוא חשיפה משפטית פתוחה.

בעסק להשכרת רכב אנחנו סורקים תעודות זהות ורישיונות נהיגה - זה מחייב משהו מיוחד?

סריקת רישיון נהיגה ותעודת זהות ושמירתם בשרת או בתוסף WordPress מעלה את רמת האבטחה הנדרשת למאגר שלכם. מאגר כזה דורש נוהל אבטחה כתוב לפי תקנה 4, מינוי ממונה אבטחת מידע לפי תקנה 3 (חובה ברמה בינונית/גבוהה), ואם מתרחש אירוע אבטחה - חובת דיווח מיידי לרשות להגנת הפרטיות בהתאם לתקנה 11(ד) לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. בנוסף, חובת היידוע לפי סעיף 11 לחוק מחייבת לציין ללקוח בעת הסריקה בדיוק למה המידע נאסף ולמי הוא עשוי להימסר.

כמה זמן אנחנו חייבים לשמור תיעוד של טיפולים ועסקאות?

חשבוניות ורישומים עסקיים נדרשים לשמירה של 7 שנים לפי פקודת מס הכנסה וחוק מע"מ. עם זאת, מבחינת פרטיות - לא ניתן לשמור מידע אישי זמן ארוך מהנדרש למטרה שלשמה נאסף. מומלץ להפריד בין המידע החשבונאי לבין פרטי הלקוח הנלווים, ולקבוע מדיניות מחיקה ברורה לנתונים שאינם נדרשים עוד.

אנחנו שולחים תזכורות טיפול ב-SMS ומייל לאחר ביקור - האם צריך הסכמה?

שליחת דיוור שיווקי או אפילו תזכורת שיש בה אלמנט פרסומי - חייבת הסכמה מפורשת מראש לפי סעיף 30א לחוק התקשורת (בזק ושידורים), התשמ"ב-1982. תזכורת טכנית טהורה ("הרכב שלך מוכן") עשויה להיחשב שירותית, אך כל תוכן שיש בו הצעה, מבצע, או שיווק - דורש אופט-אין ברור שנאסף ותועד ב-WordPress עצמו.

מי מבין עובדי המוסך צריך גישת admin לאתר ה-WordPress, ואיך זה קשור לחוק?

לא כל עובד צריך הרשאת מנהל. תקנה 8 לתקנות אבטחת המידע מחייבת לנהל הרשאות גישה לפי עקרון 'צורך לדעת' - מקבל הזמנות הטיפול לא חייב גישה למאגר נתוני הרישוי המלא, ופקיד שעזב צריך שחשבונו ינוטרל מיד. ב-WordPress קל מאוד להעניק תפקיד editor או admin בלחיצה ולשכוח ממנו; מומלץ לתעד מי מורשה ולבצע ביקורת הרשאות תקופתית אחת ל-24 חודשים לפי תקנה 16.

גיבויי האתר שמכילים תמונות רכב ונתוני לקוחות - האם הם חלק מחובת האבטחה?

כן. גיבוי שמכיל מספרי רישוי, תמונות רכב ופרטי נהגים הוא עותק מלא של המאגר ולכן כפוף לאותן דרישות אבטחה כמו המאגר החי. אם הגיבוי מאוחסן אצל פלאגין גיבוי או בענן חיצוני, מדובר בספק מיקור חוץ לפי תקנה 15 שדורש הסכם בכתב. גיבוי לא מוצפן שדולף הוא אירוע אבטחה לכל דבר, המחייב דיווח מיידי לרשות להגנת הפרטיות לפי תקנה 11(ד).

מוסך / רכב בפלטפורמות נוספות