מדיניות פרטיות לעצמאי ויועץ ב-WordPress - כי כל פלאגין שמותקן אצלך רואה את פרטי הלקוחות שלך
עודכן ב-14 ביולי 2025
אתר WordPress של עצמאי הוא לא סתם "כרטיס ביקור דיגיטלי" - הוא מאגר מידע פעיל. טופס יצירת קשר, פלאגין חשבוניות, מערכת ניהול לקוחות (CRM), גיבוי ענן - כל אחד מהם הוא ספק חיצוני שמעבד מידע של הלקוחות שלך, ועל פי חוק הגנת הפרטיות התשמ"א-1981 (תיקון מס' 13, התשפ"ד-2024), האחריות עליהם נותרת שלך. בניגוד לפלטפורמות סגורות כמו Wix או Shopify, ב-WordPress אתה שולט בכל שכבת תשתית - מה שנותן גמישות, אבל גם חושף אותך לסיכונים שרוב העצמאיים לא מודעים אליהם. מסמך פרטיות גנרי שהורדת מהאינטרנט לא מתאים לערימת הפלאגינים הספציפית שלך, ולא מגן עליך.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- כל פלאגין WordPress הוא מעבד מידע נפרד: Contact Form 7, WooCommerce Invoices, Gravity Forms, Elementor עם אינטגרציות - כולם נוגעים בפרטי לקוחות עסקיים שלך. בלי הסכם מיקור חוץ מסודר עם כל ספק, אתה חשוף לאחריות ישירה לפי תקנה 15 לתקנות אבטחת מידע.
- חשבוניות ופרטי תשלום של לקוחות עסקיים שמורים בוורדפרס שלך - ולרוב העצמאיים אין נוהל אבטחה כתוב, אין הצפנה מוגדרת, ואין ממשל ברור מי מורשה לגשת למידע. זה בדיוק מה שרשות הגנת הפרטיות מחפשת בביקורות.
- עדכוני פלאגינים נדחים, תוספים נטושים עם גישה ל-DB, הרשאות מנהל שנשארות פתוחות לנותני שירות לשעבר - אלה נקודות כשל נפוצות שהופכות את האתר של העצמאי למטרה קלה לפריצה, עם חובת דיווח מיידית לרשות לפי תקנה 11.
שאלות נפוצות
אני יועץ עצמאי עם עשרה לקוחות בלבד - האם חוק הפרטיות באמת חל עליי?
כן, בלי קשר לגודל העסק. ברגע שאתה שומר שם, מייל, מספר טלפון או פרטי תשלום של לקוח - אתה מחזיק מאגר מידע ואחריות משפטית חלה עליך. חוק הגנת הפרטיות התשמ"א-1981 (תיקון מס' 13, התשפ"ד-2024) לא מכיל פטור לעסקים קטנים, ועיצומים כספיים החלו להיות מוטלים גם על עצמאיים.
יש לי פלאגין CRM ופלאגין חשבוניות ב-WordPress - האם הם דורשים התייחסות ספציפית במדיניות הפרטיות?
בהחלט. כל פלאגין שמעביר מידע לשרת חיצוני - בין אם זה HubSpot, Zoho, Invoicely או כל כלי אחר - הוא מעבד מידע מכוח תקנה 15 לתקנות אבטחת מידע. מדיניות הפרטיות שלך חייבת לפרט אילו ספקים מעבדים מידע, לאיזו מטרה, ואיך מוגן המידע. בנוסף, עליך לוודא שיש הסכם מיקור חוץ בכתב עם כל ספק כזה.
חשבוניות של לקוחות - כמה זמן חייב לשמור אותן ואיך?
על פי פקודת מס הכנסה וחוק מע"מ, חובה לשמור חשבוניות 7 שנים. אם הן שמורות ב-WordPress שלך - בין אם בפלאגין ייעודי ובין אם בתיקיית uploads - יש לוודא הצפנה, גיבוי מאובטח, והגבלת גישה רק למורשים. זה גם נוגע לדרישות מסמך מבנה המאגר לפי תקנה 5א לתקנות אבטחת מידע.
מה קורה אם פלאגין שמותקן אצלי נפרץ וזלגו פרטי לקוחות?
זו אירוע אבטחה לכל דבר, וחובתך לדווח עליו באופן מיידי לרשות הגנת הפרטיות, בהתאם לתקנה 11 לתקנות אבטחת מידע. בנוסף, עליך ליידע את הלקוחות שנפגעו. ב-WordPress, שבו ספריית הפלאגינים כוללת תוספים שלא עודכנו שנים - סיכון זה גבוה במיוחד, ונוהל תגובה לאירועים בכתב הוא הגנה חיונית.
האם אני צריך לקבל הסכמה מפורשת מלקוחות לפני ששולח להם ניוזלטר או עדכון שירות?
כן. שליחת דיוור שיווקי ללקוחות ללא הסכמה מפורשת מהווה הפרה של סעיף 30א לחוק התקשורת (בזק ושידורים), התשמ"ב-1982, ועשויה לחשוף אותך לתלונות ועיצומים. אם אתה משתמש בפלאגין כמו Mailchimp for WordPress או FluentCRM - מדיניות הפרטיות חייבת לפרט את מטרת השימוש, ותפוסת הטופס חייבת לכלול אפשרות ביטול הסכמה ברורה לפי סעיף 11 לחוק הגנת הפרטיות.