DPO DPO Israel
פתח כ-Markdown

מדיניות פרטיות לאתר

מדיניות פרטיות לאתר אינטרנט היא דרישת חובה לפי תיקון 13 לחוק הגנת הפרטיות, וגם לפי GDPR אם רלוונטי. מה חייב להיכלל, איך לכתוב במדויק, איפה לפרסם, מה ההבדל ממדיניות פרטיות פנימית, ומה ההבדל ממדיניות עוגיות — עם המלצות על נוסח עברי בהיר, פרטי קשר ל-DPO, וזכויות נושאי מידע במקום אחד.

מה זה מדיניות פרטיות לאתר וההבדל ממדיניות פנימית

מדיניות פרטיות לאתר היא מסמך פומבי, מפורסם בכתובת קבועה (לרוב /privacy), שמסביר לנושאי המידע — מבקרי האתר ולקוחות פוטנציאליים — איזה מידע נאסף עליהם, למה, לכמה זמן, ולמי הוא מועבר. מדיניות פרטיות פנימית, לעומת זאת, היא מסמך פנים-ארגוני שמסביר לעובדים איך הארגון פועל בהיבטי פרטיות — מתי לבקש הסכמה, איך לטפל בפנייה של נושא מידע, איך לדווח על אירוע. השניים חייבים להיות עקביים, אבל לעולם לא להופיע באותו מסמך. ההיגיון הזה דומה לקשר בין נוהל אבטחה פנימי לבין הצהרת אבטחה למבקרים: מי הקהל קובע את המבנה. ב-DPO as a Service אנחנו מספקים את שני המסמכים — מותאמים ארגון, לא תבניות מוזחות.

סעיפי חובה לפי תיקון 13: מי אוסף, איזה מידע, למה, למשך כמה זמן

תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף בשלבים, מטיל חובת שקיפות מוגברת על אתרי אינטרנט. כל מדיניות פרטיות חייבת לכלול: (1) זיהוי בעל המאגר — שם מלא, ח.פ., כתובת, אמצעי קשר; (2) סוגי המידע הנאסף — לא רק "פרטים אישיים", אלא רשימה ספציפית (שם, אימייל, IP, קוקיז, נתוני התנהגות באתר); (3) מטרות העיבוד — לכל סוג מידע, מטרה מובחנת; (4) בסיס משפטי — הסכמה, חוזה, חובה חוקית, אינטרס לגיטימי; (5) תקופות שמירה — כמה זמן כל סוג נשמר; (6) צדדים שלישיים — לאיזה ספקים מעבירים, באיזו מטרה; (7) זכויות נושאי מידע והאופן לממש אותן. סעיפים גנריים — "נשמור על המידע שלכם" — לא עומדים בתקן.

סעיפים נוספים אם יש עיבוד GDPR-relevant

אם האתר נגיש מהאיחוד האירופי, או אם הארגון מעבד מידע של תושבי האיחוד, חלים גם כללי GDPR. במצב כזה נדרשים סעיפים נוספים: פרטי DPO (אם חובה למנות אחד); בסיס משפטי מפורש לכל סוג עיבוד לפי Article 6; פירוט העברות חוצות גבולות כולל מנגנון משפטי (SCCs, Adequacy Decision, BCR); זכויות מורחבות מ-GDPR — Data Portability, אוטומציה והחלטות מבוססות פרופיילינג; זכות תלונה לרשות PIA במדינת המוצא של נושא המידע. ראיתי לקוחות SaaS שחשבו שהם "לא נוגעים באירופה" וגילו שיש להם משתמשים גרמנים — וזה חייב שינוי מיידי במדיניות. אם זה הסיפור שלכם, כדאי לקרוא גם את המדריך לסטארטאפים ו-SaaS.

פרטי קשר ל-DPO בתוך המדיניות

אם הארגון מחויב למנות DPO לפי תיקון 13 או לפי GDPR, פרטי הקשר שלו חייבים להופיע במדיניות הפרטיות. הדרישה כוללת: שם פרטי או מקצועי (אפשר "ה-DPO של החברה" בלי שם מלא), אימייל ייעודי (לדוגמא dpo@company.co.il), וטלפון או טופס פנייה. הסיבה: נושא מידע שרוצה לממש זכות, או להתלונן, חייב נתיב קל ומיידי. סתירה בין מדיניות הפרטיות לבין כתב המינוי של ה-DPO היא בעיה שכיחה — לדוגמא מדיניות שמציינת DPO שונה ממי שמופיע בכתב המינוי, או מדיניות בלי DPO כאשר חוקית חייב למנות אחד. בכל ביקורת אנחנו בודקים את ההלימה הזו ראשון.

זכויות נושאי מידע — עיון, תיקון, מחיקה

תיקון 13 הרחיב משמעותית את זכויות נושאי המידע. המדיניות חייבת להציג, בשפה בהירה ובלי "משפטית מסובכת", את הזכויות הבאות: זכות עיון — לבקש לראות איזה מידע יש על האדם, ולקבל תשובה תוך 30 יום; זכות תיקון — לתקן מידע שגוי; זכות מחיקה ("הזכות להישכח") — בתנאים מסוימים; זכות התנגדות — להפסקת עיבוד למטרות שיווק; זכות העברת נתונים — לקבל את המידע בפורמט מובנה; זכות תלונה לרשות להגנת הפרטיות. לכל זכות — דרך לממש: אימייל ספציפי, טופס, או טלפון. "פנו אלינו" בלי פרטים — לא מספיק.

הסכמה מדעת ומדיניות עוגיות

מדיניות פרטיות לאתר ומדיניות עוגיות הם שני מסמכים נפרדים, גם אם הם מקושרים. מדיניות הפרטיות מסבירה את כל איסוף המידע באתר; מדיניות עוגיות (cookie policy) מתמקדת בקבצי cookie, pixels, fingerprinting, ו-tracking אחר. אם האתר משתמש בקוקיז מעבר לטכניים הכרחיים — Google Analytics, Facebook Pixel, retargeting — נדרשת הסכמה מפורשת מראש (opt-in, לא opt-out) דרך באנר cookie. הבאנר חייב לאפשר דחייה באותה קלות כמו אישור. סעיף "ההמשך שימוש באתר מהווה הסכמה" — לא תקף לפי תיקון 13 ולא לפי GDPR. הוא יוצר חשיפה אישית של בעלי תפקידים בארגון.

עדכון המדיניות ופרסום גרסאות

מדיניות פרטיות חייבת להתעדכן בעת כל שינוי מהותי בעיבוד — הוספת ספק חדש שמקבל מידע, מטרה חדשה, שיתוף נתונים עם פלטפורמת AI חיצונית, שינוי בתקופות שמירה. הפרקטיקה המומלצת: בכל עדכון, להציג תאריך עדכון אחרון בראש המדיניות, ולתת גישה לארכיון של גרסאות קודמות. בעת שינוי מהותי באמת — לעיתים נדרש להתריע על כך באופן אקטיבי למשתמשים קיימים (אימייל או באנר באתר). מדיניות בלי תאריך עדכון, או עם תאריך משנת 2018 — דגל אדום בכל ביקורת. עדכון שנתי "סיסטמטי" גם כשאין שינוי מהותי הוא best practice טוב לתחזוקת אמון.

מה הבעיות הנפוצות שאני רואה בלקוחות

בעשרות לקוחות שבדקתי, אותן בעיות חוזרות: (1) מדיניות מתורגמת מתבנית באנגלית, עם חוסר תאמה לחוק הישראלי; (2) רשימת ספקים חסרה — לא כתוב שמשתמשים ב-Mailchimp, AWS, או Salesforce; (3) תקופות שמירה לא ספציפיות — "כל עוד יש צורך" לא מספיק; (4) פרטי DPO חסרים או לא תואמים את כתב המינוי; (5) אין הפרדה בין מדיניות פרטיות למדיניות עוגיות; (6) סעיפי GDPR גנריים שלא רלוונטיים, או חסרים כשהארגון כן נוגע באירופה; (7) אין תאריך עדכון או אופן לבקש את הגרסאות הקודמות. בעיות אלו ניתנות לתיקון מהיר — אבל רק אחרי שמישהו מומחה (DPO או יועץ) קורא מסמך באמת.

איך אנחנו עוזרים

במסגרת DPO as a Service אנחנו בודקים, כותבים, ומתחזקים את מדיניות הפרטיות לאתר של הלקוח כחלק מהשירות החודשי. אנחנו עורכים סקירה ראשונית של המדיניות הקיימת, מאתרים את הפערים, ומספקים גרסה מעודכנת. בעת שינוי מהותי בעסק — מערכת חדשה, ספק חדש, מטרה חדשה — אנחנו מעדכנים את המדיניות ומתעדים את השינוי. עבור לקוחות בענפים רגישים יותר — כמו מערכת הבריאות או פיננסים — המדיניות נכתבת עם דגשים מיוחדים על הדרישות הסקטוריאליות, מעבר לבסיס הכללי של תיקון 13.

שאלות נפוצות על מדיניות פרטיות לאתר

אם האתר לא אוסף מידע, צריך מדיניות פרטיות?
גם אתר "סטטי" שנראה לא אוסף מידע — בפועל לרוב כן אוסף. שרת web מתעד IP, user agent, ו-referrer; Google Analytics או Cloudflare מאחורי הקלעים אוספים נתונים נוספים. כל אלה הם "מידע אישי" לפי החוק הישראלי ו-GDPR. גם אתר תדמית פשוט חייב מדיניות פרטיות בסיסית שמסבירה את האיסוף הטכני הזה. רק אתר שמוגש ללא JavaScript, ללא analytics, ובלי IP logging — אז יש מקום לדיון. בפועל, זה כמעט אף פעם לא המקרה.

מה ההבדל בין מדיניות פרטיות לתקנון אתר?
תקנון אתר (Terms of Service) הוא חוזה משפטי בין הארגון למשתמש — איזה שירותים מסופקים, באילו תנאים, מה אסור באתר, ומה הסעדים. מדיניות פרטיות מתמקדת אך ורק בעיבוד מידע אישי. שני המסמכים שונים לחלוטין בקהל, בתכלית, ובדרישות החוקיות. ארגון חייב את שני המסמכים בנפרד; לעולם לא לאחד אותם. ערבוב יוצר חוסר בהירות משפטי וחושף את הארגון.

איפה מפרסמים את המדיניות באתר?
הפרקטיקה הסטנדרטית: כתובת ייעודית קבועה — לרוב /privacy או /privacy-policy. לינק במדיניות חייב להופיע בפוטר של כל עמוד באתר, בטופסי הרשמה ויצירת קשר ("בלחיצה על שליחה אני מאשר את מדיניות הפרטיות"), ובבאנר ה-cookie. הכלל: נושא מידע צריך להגיע למדיניות תוך לחיצה אחת מכל עמוד באתר. הסתרה של הלינק או הצגתו בצבע דהוי על רקע דהוי — בעייתי בביקורת.

האם צריך מדיניות פרטיות באנגלית?
אם האתר נגיש לקהל ישראלי בלבד — עברית מספיקה. אם יש קהל אנגלית — לקוחות פוטנציאליים מחו"ל, משתמשי SaaS, או דוברי אנגלית בישראל — מומלץ גרסה אנגלית מקבילה. שתי הגרסאות זהות במהות; בעת מחלוקת, העברית גוברת בישראל ולעיתים האנגלית גוברת בתחומי שיפוט אחרים. תרגום מכונה — לא מספיק; נדרש תרגום מקצועי, ועדיף שלא יהיה זה אותו אדם שכותב את העברית מאפס.

אם משנים את המדיניות, צריך להודיע לכל המשתמשים הקיימים?
תלוי בהיקף השינוי. שינוי טכני — תיקון טעות, הוספת ספק לא מהותי, עדכון תאריך — מספיקה הצגת התאריך החדש בראש המדיניות. שינוי מהותי — כניסה לעיבוד חדש, שיתוף עם פלטפורמת AI, שינוי בתקופות שמירה — נדרש להתריע אקטיבית: אימייל למשתמשים רשומים, באנר באתר, ולעיתים אף הסכמה מחודשת. בכל מקרה — לתעד את ההחלטה ואת אופן ההודעה, בארכיון פנימי.

מי כותב את המדיניות — עו"ד, DPO, או היועץ המשפטי?
התשובה היא שילוב: ה-DPO מבין את העיבוד בפועל בארגון, מה שגורם להגנה משפטית רלוונטית; עו"ד מומחה פרטיות מנסח באופן שעומד בביקורת; היועץ המשפטי הפנימי או הכללי מאשר. ב-DPO as a Service אנחנו ממלאים את שני התפקידים הראשונים, ועובדים מול היועץ הכללי לאישור סופי. ארגון שכותב מדיניות בלי DPO או יועץ פרטיות — לרוב מקבל מסמך נראה תקין אך עם פגמים מהותיים שלא ניתן לזהות בלי מומחיות בתחום.

צריך לכתוב או לעדכן מדיניות פרטיות לאתר?

שיחה של 30 דקות, סקירה חינם של המדיניות הקיימת, נוסח מעודכן תוך 2-3 שבועות.

פרטים על DPO as a Service