מדיניות פרטיות למספרה שבנויה על WordPress - כי תמונות לקוחות הן לא סתם קבצים
עודכן ב-14 ביולי 2025
מספרה שמשתמשת ב-WordPress לניהול תורים, שמירת תמונות לפני-ואחרי והיסטוריית טיפולים - מחזיקה במידע בעל רגישות מיוחדת על לקוחותיה לפי סעיף 7 לחוק הגנת הפרטיות. הבעיה הייחודית ב-WordPress היא שכל פלאגין שמותקן - בין אם לקביעת תורים, לשיווק באימייל או לגלריית תמונות - הוא בפני עצמו גורם שמעבד מידע, ולרוב שרתיו יושבים מחוץ לישראל. מסמך אחד גנרי לא מספיק: הלקוח שלך צריך לדעת בדיוק איזה מידע נאסף עליו, לאיזו מטרה, ומי עוד נוגע בו.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- פלאגיני תורים כמו Bookly או Amelia שומרים שם, טלפון והיסטוריית ביקורים - ולעיתים קרובות מסנכרנים את הנתונים לשרתים בחו"ל בלי שבעל המספרה מודע לכך. כל פלאגין כזה הוא מעבד נפרד שדורש הסדרת מיקור חוץ לפי תקנה 15 לתקנות אבטחת מידע.
- גלריית תמונות לפני-ואחרי של לקוחות מהווה מידע ביומטרי - קטגוריה מוגנת לפי סעיף 7 לחוק. פרסום התמונות באתר WordPress ללא הסכמה מפורשת בכתב, או שמירתן בתיקיית wp-uploads ללא הצפנה, חושפים את המספרה לתביעה אזרחית ועיצומים מנהליים.
- רוב אתרי WordPress מותקנים עם פלאגיני שיווק - Mailchimp, ActiveCampaign, WhatsApp Business API - שכולם מבצעים דיוור ישיר. שליחת מבצע ללקוח ללא הסכמה מפורשת שנרשמה בעת האיסוף מפרה את סעיף 30א לחוק התקשורת, וכל הפרה עלולה להסתכם בעשרות אלפי שקלים בצירוף ריבוי נמענים.
שאלות נפוצות
האם תמונות לפני-ואחרי של לקוחות נחשבות מידע בעל רגישות מיוחדת?
כן. תמונות פנים מהן ניתן לזהות אדם מוגדרות כמידע ביומטרי לפי סעיף 7 לחוק הגנת הפרטיות, ומחייבות הסכמה מפורשת ונפרדת לפני הצילום, לפני השמירה ולפני הפרסום. המספרה לא יכולה להסתמך על 'הסכמה כללית' בטופס הגעה - חייב להיות אישור ספציפי לתמונות.
פלאגין התורים שלי שומר את פרטי הלקוחות - מה עלי לעשות?
כל פלאגין שמעבד מידע אישי עבורך נחשב 'מעבד' לפי תקנה 15 לתקנות אבטחת מידע, וחייב להיות מוסדר בהסכם מיקור חוץ בכתב. בנוסף, חובת היידוע (סעיף 11 לחוק) מחייבת שהלקוח יידע בעת הזנת הפרטים מי עוד מחזיק במידע ולאיזו מטרה - לרוב, שורה קטנה בטופס ואישור לא מספיקים.
אני שולח SMS ו-WhatsApp עם מבצעי עונה - האם זה מותר?
רק אם הלקוח נתן הסכמה מפורשת ומתועדת לקבלת דיוור שיווקי בעת מסירת מספר הטלפון. סעיף 30א לחוק התקשורת אוסר שליחת הודעות שיווקיות ללא הסכמה, ובכל הודעה חייב להופיע מנגנון הסרה פשוט. תיעוד ההסכמה חייב להישמר לצורך הוכחה.
כמה זמן עלי לשמור את היסטוריית הטיפולים של לקוח?
תלוי בסוג המידע. רשומות שיש בהן נגיעה לחיוב - כגון חשבוניות ותשלומים - חייבות להישמר 7 שנים לפי פקודת מס הכנסה וחוק מע"מ. מידע שנאסף לצרכים שיווקיים בלבד יש למחוק כשאין לו עוד שימוש לגיטימי, ואת כל זה צריך להגדיר מפורשות במדיניות הפרטיות.
אם אתר WordPress שלי נפרץ ופרטי לקוחות דלפו - מה החובה שלי?
אם המאגר מסווג ברמת אבטחה בינונית או גבוהה - ומאגר שמכיל תמונות ביומטריות והיסטוריית טיפולים עשוי להיכנס לסיווג זה - חייבים לדווח לרשות להגנת הפרטיות באופן מיידי מרגע הגילוי, בהתאם לתקנה 11 לתקנות אבטחת מידע. עיכוב בדיווח הוא הפרה בפני עצמה.