מדיניות פרטיות לחנות אונליין ב-WordPress: כל פלאגין הוא מעבד נפרד
עודכן ב-14 ביולי 2025
חנות WooCommerce על WordPress אינה מוצר אחד - היא אוסף של עשרות רכיבים: פלאגיני תשלום, שיווק, שילוח, ניתוח תנועה וצ'אט. כל פלאגין שמקבל מידע על הלקוחות שלך הוא מעבד מידע לפי חוק הגנת הפרטיות, ואחריות ניהולו מוטלת עליך - בעל החנות. תיקון 13 לחוק הגנת הפרטיות (התשפ"ד-2024) חידד את החובות הללו, ומדיניות פרטיות גנרית שהורדת מהרשת לא מספיקה כשאתה מאחסן נתוני תשלום, כתובות משלוח והיסטוריית רכישות של לקוחות ישראלים.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- כל פלאגין WooCommerce שמותקן בחנות - Stripe, PayPal, Klaviyo, ShipStation - מהווה ספק מיקור חוץ לפי תקנה 15 לתקנות אבטחת מידע, ומחייב הסכם עיבוד נפרד ותיעוד. חנות ממוצעת מפעילה 15-40 פלאגינים; ללא מיפוי מדויק אתה חשוף לעיצומים.
- היסטוריית רכישות מלאה בשילוב כתובת בית ופרטי תשלום יוצרת מאגר ברמת אבטחה בינונית לפחות - דבר שמחייב נוהל אבטחה מסודר, מסמך מבנה מאגר, ובמקרה של פריצה או דליפה: דיווח מיידי לרשות להגנת הפרטיות ולנושאי המידע.
- טפסי הצ'קאאוט של WooCommerce אוספים שם, כתובת, טלפון ומייל - אך ברירת המחדל של הפלטפורמה אינה כוללת חובת יידוע לפי סעיף 11 לחוק: האם מסירת המידע חובה, לאיזו מטרה הוא ישמש ולמי יועבר. ללא שדה יידוע מפורש בטופס, כל עסקה היא פוטנציאלית הפרה.
שאלות נפוצות
האם אני צריך מדיניות פרטיות נפרדת לכל פלאגין שמותקן בחנות?
לא מדיניות נפרדת, אבל כן תיעוד נפרד. כל פלאגין שמקבל מידע על לקוחות (כולל כתובות IP, מיילים, פרטי הזמנה) מוגדר כספק מיקור חוץ לפי תקנה 15 לתקנות אבטחת מידע. עליך לוודא שיש לך הסכם עיבוד מידע מולו ושהוא מופיע במדיניות הפרטיות שלך. פלאגינים כמו Klaviyo, Mailchimp או כל מערכת ניתוח נתונים שמקבלת מידע לקוחות - כולם בתוך הרשימה הזו.
שער התשלום שלי (Stripe / PayPal) מאחסן את פרטי הכרטיס - האם האחריות עדיין עליי?
כן, בחלקה. גם כשהסליקה עצמה נעשית על תשתית של Stripe או PayPal, אתה עדיין זה שמחליט אילו נתונים נאספים בשלב הצ'קאאוט ואיך הם מועברים. עליך לוודא שספק הסליקה מוזכר מפורשות במדיניות הפרטיות, לכלול קישור למדיניות שלו, ולהסביר ללקוח שפרטי התשלום מועברים לצד שלישי - זו חלק מחובת היידוע לפי סעיף 11 לחוק.
מה קורה אם לקוח מבקש למחוק את היסטוריית הרכישות שלו?
לקוח זכאי לבקש עיון ומחיקה של מידע אישי שנאסף עליו. עם זאת, חשבוניות ונתוני עסקאות חייבים להישמר 7 שנים לפי פקודת מס הכנסה וחוק מע"מ - כך שלא ניתן למחוק את כולם. הפתרון: מחיקת נתוני הזיהוי האישיים (שם, כתובת, מייל) תוך שמירת הנתונים הפיננסיים הנדרשים על-פי דין, ותיעוד הפעולה. מדיניות פרטיות תקינה צריכה להסביר זאת מראש ללקוח.
האם תוסף צ'אט-בוט או שירות לקוחות שמותקן בחנות מחייב גילוי?
בהחלט. פלאגיני צ'אט כמו Tidio, LiveChat או Intercom מקבלים מידע שיחה, כתובת IP ולעיתים מייל - הם מעבדי מידע לכל דבר. עליך לציין אותם במדיניות הפרטיות, להסביר את מטרת השימוש ולהצביע על מדיניות הפרטיות שלהם. אם הצ'אט-בוט שולח הודעות שיווקיות, יש לקבל הסכמה מפורשת גם לפי סעיף 30א לחוק התקשורת.
מה עליי לעשות אם נחשפתי לפריצה לחנות ונגנבו נתוני לקוחות?
עליך לדווח לרשות להגנת הפרטיות באופן מיידי מרגע הגילוי - זוהי חובה לפי תקנה 11 לתקנות אבטחת מידע, ורלוונטית כאשר מאגר הלקוחות שלך מסווג ברמת אבטחה בינונית או גבוהה (דבר שכמעט בוודאי כך כשאוחסנות כתובות ונתוני רכישה). בנוסף, יש לעדכן את הלקוחות שנפגעו. אי-דיווח עלול להוביל לעיצומים של עד 5% ממחזור שנתי.