מדיניות פרטיות לעמותה ב-WordPress: פרטי תורמים, חברי עמותה ופלאגינים שכולם מעבדים
עודכן ב-13 ביולי 2025
עמותה ב-WordPress אינה 'אתר סטטי' - היא מערכת שאוספת תרומות דרך GiveWP או Charitable, שומרת פרטי חברים דרך MemberPress ושולחת ניוזלטרים דרך Mailchimp. כל פלאגין שמותקן מעביר מידע לשרת חיצוני - כלומר הוא מעבד מידע בשמכם, עם כל המשמעות המשפטית שנובעת מכך. בנוסף, פרטי תורמים - שמות, סכומים וכתובות - עשויים להיחשב מידע שעל עמותתכם לשמור בקפדנות יתרה, שכן חשיפתם עלולה לפגוע בפרטיות התורם ובאמון הציבור בארגון. מדיניות פרטיות מותאמת לקומבינציה הזאת - ולחוק הגנת הפרטיות הישראלי המעודכן - היא לא בונוס: היא חובה.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- כל פלאגין שמותקן ב-WordPress הוא פוטנציאלית מעבד מידע: GiveWP שולח נתוני תרומה לשרתיו, Mailchimp מאחסן כתובות אימייל של תורמים ורשימות חברים בחו"ל, ו-Google Analytics עוקב אחר מבקרים - כל אחד מהם מחייב הגדרה מפורשת של מיקור חוץ לפי תקנה 15 לתקנות אבטחת מידע, והם חסרים ממרבית תבניות המדיניות הגנריות.
- פרטי תורמים - שם, סכום תרומה, פרטי כרטיס אשראי ולעיתים מצב אישי שהוביל לתרומה - הם מידע בעל רגישות גבוהה שעמותות מחזיקות ללא נוהל אבטחה מסודר. דלף של רשימת תורמים עלול לחשוף אנשים שתרמו לגורמים פוליטיים, דתיים או רפואיים - קטגוריות שמוגדרות מפורשות כמידע בעל רגישות מיוחדת בסעיף 7 לחוק הגנת הפרטיות.
- עמותות נוטות להשתמש בגרסאות WordPress ופלאגינים לא מעודכנות בשל מחסור בכוח אדם טכני - סיכון אבטחה ישיר שבאירוע דלף מחייב דיווח מיידי לרשות להגנת הפרטיות. בנוסף, טופס ההצטרפות לעמותה ודף התרומה אינם כוללים בדרך כלל את חובת היידוע הנדרשת לפי סעיף 11 לחוק - חשיפה משפטית שנעלמת מהעין בגלל המיקוד בתפעול השוטף.
שאלות נפוצות
האם עמותה חייבת במדיניות פרטיות - הרי היא גוף מתנדבים ולא עסק?
כן, בהחלט. חוק הגנת הפרטיות חל על כל גוף שמחזיק מאגר מידע - עמותה, חברה, יחיד. אם עמותתכם שומרת פרטי תורמים, רשימות חברים או כתובות דיוור, אתם מחזיקים מאגר מידע ומחויבים לכל הדרישות הנגזרות מכך, לרבות מינוי אחראי אבטחת מידע בהתאם לרמת האבטחה הנדרשת.
GiveWP ו-Charitable שמותקנים באתר שלנו - האם הם 'מעבדי מידע' שצריך לתעד?
כן. כל פלאגין שמעביר מידע לשרת חיצוני - בין אם לשם עיבוד תשלום, אחסון נתונים או שליחת קבלות - פועל כמעבד מידע בשמכם. תקנה 15 לתקנות אבטחת מידע מחייבת שתוודאו כי הספק מתחייב לאבטחת מידע מתאימה. מדיניות הפרטיות חייבת לציין בפירוט אילו ספקים מקבלים מידע ולאיזו מטרה.
האם צריך לציין בדף התרומה שאנחנו אוספים מידע?
כן - זו חובת יידוע לפי סעיף 11 לחוק. בכל טופס שבו תורם ממלא פרטים, חייב להופיע יידוע המפרט: האם מסירת המידע מרצון או מחובה, מטרת האיסוף, למי המידע עשוי להימסר (כולל ספקי פלאגינים), וזכות העיון של התורם. בלי יידוע זה, האיסוף עצמו עלול להיחשב לא חוקי.
עמותתנו שולחת ניוזלטר לתורמים דרך Mailchimp - מה ההשלכות המשפטיות?
שתיים: ראשית, Mailchimp מאחסנת רשימת התורמים שלכם על שרתים מחוץ לישראל - מה שמחייב הגדרה חוזית של מיקור חוץ לפי תקנה 15. שנית, שליחת דיוור ישיר לאנשים שלא הביעו הסכמה מפורשת מפרה את סעיף 30א לחוק התקשורת ועלולה לגרור קנסות. ודאו שיש תיבת הסכמה אקטיבית בדף ההרשמה - לא מסומנת מראש.
מה קורה אם מישהו פורץ לאתר WordPress של העמותה וגונב רשימת תורמים?
זהו אירוע אבטחה המחייב דיווח מיידי לרשות להגנת הפרטיות - באופן מיידי מרגע הגילוי, לפי תקנה 11 לתקנות אבטחת מידע, אם מדובר במאגר ברמת אבטחה בינונית או גבוהה. רשימת תורמים הכוללת סכומים, שיוך ארגוני או מידע אישי מפורט עשויה להיחשב ברמת אבטחה בינונית לפחות. כדי לא להגיע למצב הזה - עדכנו פלאגינים באופן קבוע ותעדו נוהל אבטחה בכתב.