054-4525492

054-4525492

באנר עליון - אתרים ת.ר. בע"מ

האם האתר שלכם נחשב    "מאגר מידע" לעניין חוק הפרטיות ותיקון 13 שלו?

מדריך לבעלי אתרי תדמית, חנויות אונליין ואתרים עסקיים בישראל להגדרות חוק הפרטיות

בעלי אתרים רבים שומעים את המונח "מאגר מידע" ומניחים מיד שזה משהו ששייך לבנקים, חברות ביטוח או גופים ממשלתיים.
בפועל, גם אתר קטן, אתר תדמית, בלוג, או חנות ווקומרס עלולים להיחשב מאגר מידע לפי חוק הגנת הפרטיות בישראל.

המטרה של הפוסט הזה היא לעשות סדר:
לא להפחיד או ללמד משפטים, אלא להסביר איך החוק חושב, איפה עובר הקו, ולמה אתרים שונים נופלים בצדדים שונים של אותו קו.

מה זה בכלל "מאגר מידע" לפי החוק?

לצורך העניין של חוק הפרטיות, מאגר מידע הוא אוסף דיגיטלי של פרטים אישיים על אנשים.

החוק לא מתעניין אם זה אתר גדול או קטן, אלא שואל:

  • איזה מידע נאסף?
  • האם הוא נשמר?
  • והאם אפשר ללמוד ממנו משהו על האדם?

יש חריג חשוב מאוד בחוק, שמאפשר לחלק מהאתרים לא להיחשב כמאגר מידע, אבל הוא הרבה יותר צר ממה שנדמה לרוב בעלי האתרים.

הערה לקוראים

הפוסט נועד להסביר את ההיגיון והפרקטיקה של החוק לבעלי אתרים, ואינו מהווה ייעוץ משפטי פרטני. השימוש במידע המופיע באתר אינו תחליף לקבלת ייעוץ או טיפול משפטי, מקצועי או אחר והסתמכות על האמור בו היא באחריות המשתמש בלבד. 

החריג: "שם, מען ודרכי התקשרות"

החוק אחרי תיקון 13 קובע שאוסף שכולל רק:

  • שם
  • כתובת
  • דרכי התקשרות (בדרך כלל: טלפון ואימייל)
  • מכיל עד 100,000 רשומות

יכול להיות מוחרג מהגדרת "מאגר מידע"  אבל רק אם מתקיימים כל התנאים הבאים (וזה חשוב מאוד):

  1. אין שום מידע נוסף (לא היסטוריה, לא תוכן, לא תיוגים).
  2. עצם ההופעה ברשימה לא מלמדת כשלעצמה שום דבר נוסף על האדם.
  3. לבעל האתר אין במקום אחר מידע נוסף על אותם אנשים (גם לא במערכת אחרת).

כאן בדיוק מתחיל הפער בין התיאוריה למציאות.

אתרי איקומרס: כמעט תמיד מדובר במאגר מידע

באתרי מכירות כמו WooCommerce, Shopify  וכד' יש כמעט תמיד:

  • היסטוריית הזמנות
  • כתובות משלוח
  • סכומים, תאריכים, החזרות
  • תיעוד שירות לקוחות
  • ובמקביל: חשבוניות שנשמרות לפי חוקי המס

כל אלה הם מידע אישי נוסף כזה שמלמד על הרגלי צריכה, העדפות ולעיתים גם מצב אישי.

גם אם תיאורטית תמחקו את ההזמנות מהאתר עצמו, בפועל:

  • חוקי ניהול ספרים מחייבים לשמור תיעוד עסקאות
  • מערכות סליקה, הנהלת חשבונות או CRM עדיין מחזיקות את המידע

לכן, כמעט כל אתר איקומרס פעיל בישראל נחשב מאגר מידע,  גם אם הוא קטן.

נקודה חשובה, זה לא אומר שאתם "עבריינים" או חייבים ברישום מסובך, זה רק אומר שיש לכם אחריות על המידע.

ומה לגבי אתרי תדמית עם טופס יצירת קשר?

כאן התמונה קצת יותר מבלבלת.

תיאורטית, אם אתר תדמית אוסף רק שם, טלפון ו/או אימייל ולא שומר שום דבר מעבר לזה, הוא יכול להתקרב מאוד לחריג של רשימת קשר פשוטה ולא "מאגר מידע" כהגדרתו בחוק.

בפועל, ברוב האתרים זה לא מה שקורה באמת  בגלל שלושה גורמים:

  1. תוכן הפנייה הוא מידע אישי. אנשים לא כותבים רק "חזרו אליי". הם כותבים, "אני בהליך גירושין", "יש לי בעיה רפואית", “יש נגדי תביעה" וכד' ולעיתים גם מצרפים מסמכים. ברגע שתוכן הפנייה נשמר, זה כבר לא "דרכי התקשרות" בלבד אלא מידע רחב יותר.
  2.  ההקשר עצמו עלול ללמד משהו. לדוגמה: אתר של משרד עורכי דין. גם אם לא ביקשתם פרטים רגישים, עצם זה שאדם פנה למשרד המתמחה בתחום מסוים (מיסים, פלילי וכו') עלול ללמד על מצבו המשפטי. וזה בדיוק המבחן של החוק: האם עצם ההופעה ברשימה מלמדת כשלעצמה משהו נוסף?
  3.  מערכות עזר שוברות את החריג. תיוגים ב CRM ("ליד חם"), היסטוריית שיחות, מיילים, גיבויים, כל אלו יוצרים בפועל מאגר מידע, גם אם לא התכוונתם לכך.

אז האם יש אבחנה בין איקומרס לאתרי תדמית?

כן – אבל לא אבחנה מוחלטת.

ניסוח מדויק הוא: אתרי איקומרס כמעט תמיד ייחשבו למאגרי מידע. אתרי תדמית יכולים להיות פשוטים יותר, אבל ברגע שנשמרים תכני פניות, מסמכים או היסטוריית קשר – גם הם הופכים בפועל למאגר מידע.

החדשות הטובות: רוב האתרים פטורים מרישום כמחזיקי "מאגר מידע"

בעקבות תיקון 13 לחוק, רוב בעלי האתרים לא חייבים לרשום את המאגר אצל הרשות להגנת הפרטיות.

הרישום נדרש רק במקרים מסוימים (למשל היקפים גדולים מאוד או שימושים חריגים).
אבל – וזה אבל חשוב – הפטור מרישום אינו פטור מאחריות.

אז מה כן נדרש מבעלי אתרים?

החוק לא דורש מכם להיות מומחי סייבר. הוא דורש התנהלות סבירה והוגנת:

  • שקיפות – מדיניות פרטיות ברורה
  • הסבר איזה מידע נאסף ולמה
  • למי הוא מועבר (סליקה, משלוחים, ספקים)
  •  אבטחה בסיסית
    • סיסמאות חזקות והפרדת משתמשים
    • אימות דו שלבי (2FA) לניהול האתר
    • עדכונים שוטפים של וורדפרס ותוספים
    • שימוש בסליקה חיצונית (לא שמירת אשראי באתר)

קוקיז ואיסוף מידע על הגולש

(עוגיות – מחרוזת תווים המשמשת לאימות, למעקב ולאגירת מידע על אודות גולש באתר אינטרנט)

בישראל, הדגש כיום הוא על יידוע. ברוב המקרים אין חובה לחסום סקריפטים מראש, אבל כן חובה להודיע בצורה ברורה. (ניתן להשתמש בתוסף שלי ולבחור את האפשרות בהגדרות)

מי שרוצה להיות מחמיר או מוכן לעתיד – יכול לאמץ סטנדרט אירופי (GDPR), אבל זו בחירה ניהולית, לא תמיד חובה חוקית.

תוכלו להשתמש בתוסף שלי 'ATR Cookie Notice' שפורסם רשמית במאגר התוספים של וורדפרס.
https://he.wordpress.org/plugins/atr-cookie-notice/

השורה התחתונה

הטעות הנפוצה היא לנסות "להתחכם" לחוק ולמחוק מידע רק כדי לא להיחשב מאגר.
הגישה הנכונה היא להבין:

  • רוב אתרי האיקומרס הם מאגרי מידע
  • גם אתרי תדמית יכולים להיות מאגרי מידע, בלי שהתכוונו לכך
  • החוק היום פחות בעייתי וותובעני מבעבר, אבל דורש אחריות ושקיפות

מי שמבין מה נאסף, למה, ואיך הוא מוגן – נמצא במקום טוב.

הערה לקוראים

הפוסט נועד להסביר את ההיגיון והפרקטיקה של החוק לבעלי אתרים, ואינו מהווה ייעוץ משפטי פרטני. השימוש במידע המופיע באתר אינו תחליף לקבלת ייעוץ או טיפול משפטי, מקצועי או אחר והסתמכות על האמור בו היא באחריות המשתמש בלבד. 

להלן שני כלים פרקטיים שאתם יכולים להשתמש בהם כמו שהם:

  1. תזרים החלטה פשוט וברור – "האם האתר שלי נחשב מאגר מידע?"
  2. צ’ק-ליסט יישומי לבעלי אתרי WordPress / WooCommerce

 תזרים החלטה: האם האתר שלי נחשב "מאגר מידע"?

אם עניתם על שאלה כלשהי בחיוב אתם מחזיקים מאגר מידע.

שאלה 1

האם האתר שומר מידע על גולשים או לקוחות?
(לא רק מציג, אלא שומר במסד נתונים, מייל, CRM, מערכת אחרת)

  • לא ⟵ לא מאגר
  •  כן ⟵ עבור לשאלה 2

שאלה 2

האם נשמר יותר משם + טלפון / אימייל בלבד?
לדוגמה:

  • תוכן פנייה חופשית
  • היסטוריית הזמנות
  • קבצים מצורפים
  • תיוגים (“ליד חם”, “לקוח חוזר”)
  • כתובות משלוח
  • היסטוריית תקשורת
  • כן ⟵ מאגר מידע
  • לא ⟵ עבור לשאלה 3

שאלה 3

האם עצם זה שאדם מופיע ברשימה מלמד עליו משהו נוסף?
לדוגמה:

  • פנייה למשרד עורכי דין
  • הרשמה לשירות רפואי / טיפולי
  • רשימת "לקוחות שרכשו X"
  • כן ⟵ מאגר מידע
  • לא ⟵ עבור לשאלה 4

שאלה 4

האם יש לך במקום אחר מידע נוסף על אותם אנשים?
(גם אם לא באתר עצמו)

  • מערכת חשבוניות
  • CRM
  • מערכת דיוור
  • גיבויים
  • לוגים / דוחות
  • כן ⟵ מאגר מידע
  • לא ⟵ עבור לשאלה 5

שאלה 5

האם זה אתר איקומרס פעיל (WooCommerce / Shopify)?

  • כן ⟵ מאגר מידע כמעט בוודאות
  • לא ⟵ ייתכן שאתה רק “רשימת קשר” פשוטה

סיכום התרשים

  • איקומרס ⟵ כמעט תמיד מאגר מידע
  • אתר תדמית ⟵ תלוי מה נשמר בפועל, לא איך האתר נקרא
  • אם יש ספק – נהל את האתר כמאגר מידע. זו הגישה הבטוחה.

צ’ק-ליסט לבעלי WordPress / WooCommerce

(מה באמת צריך לעשות – לא מעבר)

אבטחת מערכת (חובה)

  • HTTPS פעיל (SSL)
  • וורדפרס  תוספים מעודכנים
  • אין משתמשי אדמינ מיותרים
  • לכל משתמש ניהול – חשבון נפרד
  • מופעל 2FA  לניהול (אימות דו שלבי) אם אין, זה חור אבטחה ברור.

 סליקה ותשלומים (איקומרס)

  • פרטי אשראי לא נשמרים באתר
  • סליקה חיצונית בלבד (Redirect / iFrame)
  • אין תוספים “יצירתיים” ששומרים נתוני תשלום

ניהול מידע

  • ברור איזה מידע נאסף (ולמה)
  • אין שמירת מידע “למקרה שצריך”
  • מחיקת נתונים ישנים שלא נדרשים

שקיפות לגולשים (חובה חוקית)

  • דף מדיניות פרטיות קיים ונגיש בכל דף באתר
  • בדף מוסבר:
    • איזה מידע נאסף
    • לאיזו מטרה
    • למי הוא מועבר (סליקה, משלוחים, ספקים)
  • קישור לדף מדיניות הפרטיות בכל עמוד באתר בפוטר
  • בכל טופס השולח אליכם פרטי המבקר יש תיבת סימון חובה לאישור המדיניות וקישור לדף המדיניות.

קוקיז וסקריפטים

  • באנר יידוע על שימוש בקוקיז
  • ניסוח ברור ולא מתחכם
  • אם יש פרסום / פיקסלים – המשתמש מודע לכך
  •  (רשות) חסימת סקריפטים עד הסכמה – לבחירה ניהולית

תיעוד ובקרה (מומלץ מאוד)

  • לוג פעולות מנהלים (מי עשה מה)
  • גיבויים מאובטחים
  • ידוע מה עושים במקרה של פריצה / דליפה

שורה תחתונה לבעלי אתרים

  • אל תנסו “לא להיות מאגר” – נסו להתנהל נכון
  • החוק היום פחות תובעני, אבל דורש אחריות והוא יותר מדויק
  • אתר שמבין איזה מידע יש לו ואיך הוא מוגן – נמצא במקום טוב
, ,

חיפוש

    פוסטים אחרונים

    אירוח אתרי וורדפרס בענן - פיתוח תכנה ואתרי אינטרנט אנו משתמשים בעוגיות כדי להבטיח את תפקוד האתר ולשפר את חוויית המשתמש. אפשר לבחור אילו סוגי עוגיות להפעיל.
    בחירת עוגיות


    מדיניות הפרטיות
    בוני אתרים, מעצבים וסוכנויות דיגיטל מחפשים גב טכני קבוע לאתרי וורדפרס של לקוחות? אני מציע אירוח VPS וניהול מלא (עדכונים, אבטחה, גיבויים ותקלות) כפתרון קבוע או white-label – כדי שאתם לא תתעסקו בתשתית.

      ×
      דילוג לתוכן