חוק הגנת הפרטיות החדש (תיקון 13): מדריך מעשי לעדכון אתר האינטרנט של העסק הקטן שלך

החל מאוגוסט 2025, כל עסק בישראל, קטן כגדול, מחויב לעמוד בהוראות תיקון 13 לחוק הגנת הפרטיות. תיקון זה, המהווה רפורמה משמעותית בדיני הפרטיות, נועד להתאים את החוק הישראלי לעידן הדיגיטלי ומטיל אחריות כבדה יותר על עסקים האוספים ומעבדים מידע אישי. כבעל עסק קטן, אי-עמידה בדרישות החוק עלולה לחשוף אותך לקנסות כבדים ותביעות משפטיות.

מדריך זה יפרט את השינויים והעדכונים הנדרשים באתר האינטרנט של העסק שלך, כדי להבטיח עמידה מלאה בדרישות החוק.

1. עדכון מדיניות הפרטיות: שקיפות היא המפתח

מדיניות הפרטיות באתר שלך אינה עוד מסמך משפטי שולי. היא הופכת להיות ההצהרה המרכזית שלך כלפי הלקוחות לגבי האופן שבו אתה מכבד את פרטיותם.
על המדיניות להיות כתובה בשפה ברורה, נגישה וקלה להבנה, ולא להסתתר מאחורי מונחים משפטיים מורכבים.

מה חייב להופיע במדיניות הפרטיות המעודכנת?

• איזה מידע נאסף:
  פרט באופן ברור איזה מידע אישי אתה אוסף. זה יכול לכלול שם, כתובת דוא"ל, מספר טלפון, כתובת IP, פרטי תשלום, היסטוריית רכישות ועוד.
• מדוע המידע נאסף (מטרת האיסוף):
  הסבר מדוע אתה זקוק למידע זה. האם זה לצורך השלמת הזמנה, שליחת ניוזלטר, מתן שירות לקוחות או שיפור חווית המשתמש?
• כיצד המידע נאסף:
  ציין את הדרכים בהן המידע נאסף – דרך טפסי יצירת קשר, תהליך רכישה, הרשמה לניוזלטר, שימוש ב"עוגיות" (Cookies) ועוד.
• עם מי המידע משותף (צדדים שלישיים):
  אם אתה משתף את המידע עם גורמים חיצוניים, כגון חברות שילוח, ספקי שירותי תשלום, פלטפורמות דיוור אלקטרוני (כמו Mailchimp) או כלים אנליטיים (כמו Google Analytics), עליך לציין זאת במפורש ולפרט מי הם אותם גורמים.
• לכמה זמן המידע נשמר:
  ציין את פרק הזמן שבו המידע יישמר במאגרים שלך. העיקרון המנחה הוא שמירת מידע רק למשך הזמן הנחוץ להשגת המטרה שלשמה נאסף.
• זכויות המשתמש:
  הבהר למשתמשים את זכויותיהם, כולל הזכות לעיין במידע השמור עליהם, לבקש את תיקונו או את מחיקתו.
  ספק דרך ברורה ופשוטה ליצירת קשר למימוש זכויות אלה.

2. קבלת הסכמה מפורשת (Opt-in): לא עוד תיבות מסומנות מראש

אחד השינויים המהותיים ביותר הוא המעבר למודל של הסכמה אקטיבית ומפורשת (Opt-in). המשמעות היא שהסכמה שבשתיקה אינה קבילה עוד.

• תיבות אישור (צ'קבוקס) לא מסומנות:
  בכל טופס באתר שלך (יצירת קשר, הרשמה לניוזלטר, תהליך רכישה), יש לשלב תיבת אישור (צ'קבוקס) שאינה מסומנת מראש. על המשתמש לסמן אותה באופן אקטיבי כדי לאשר את הסכמתו לתנאי השימוש ולמדיניות הפרטיות.
• הסכמה נפרדת לדיוור שיווקי:
  אם בתהליך הרכישה או יצירת הקשר אתה מעוניין להוסיף את הלקוח לרשימת דיוור שיווקי, עליך לקבל את הסכמתו לכך בתיבת אישור נפרדת, שגם היא לא תהיה מסומנת מראש. יש להבהיר באופן ברור שהסימון הוא לצורך קבלת תכנים שיווקיים.

3. ניהול "עוגיות" (Cookies): חובת יידוע וקבלת הסכמה

אם האתר שלך משתמש בקובצי "עוגיות", במיוחד כאלו המשמשות למטרות אנליטיקה, שיווק ממוקד או מעקב אחר התנהגות גולשים (כמו Google Analytics או פיקסל של פייסבוק), עליך ליידע את המשתמשים ולקבל את הסכמתם לפני הפעלת העוגיות הללו.

• התקנת באנר הסכמה לעוגיות (CMP): הדרך המקובלת לעשות זאת היא באמצעות "באנר עוגיות" (Cookie Banner) שיופיע בכניסה הראשונה לאתר.
  הבאנר צריך להסביר בקצרה על השימוש בעוגיות ולספק למשתמש אפשרות להסכים לשימוש או לנהל את העדפותיו (כלומר, לבחור אילו סוגי עוגיות יופעלו).
• שקיפות ובחירה: חשוב לספק למשתמש מידע ברור על סוגי העוגיות שבשימוש ומטרתן. יש לאפשר למשתמש שליטה על העדפותיו ולאפשר גלישה באתר גם אם הוא מסרב לעוגיות שאינן חיוניות לתפקודו התקין של האתר.

4. אבטחת מידע: חובה בסיסית של כל עסק

תיקון 13 מדגיש את חובתך כבעל עסק להגן על המידע האישי שאתה אוסף. עליך לנקוט באמצעי אבטחה סבירים, טכניים וארגוניים, כדי למנוע גישה בלתי מורשית, שימוש לרעה או דליפה של המידע. הדבר כולל, בין היתר, שימוש בפרוטוקול HTTPS (תעודת SSL) לאבטחת התקשורת באתר, הגנה על מאגרי המידע ועדכון שוטף של מערכות האתר.

5. מינוי ממונה הגנת פרטיות (DPO): האם זה רלוונטי לעסק קטן?

החוק מחייב גופים מסוימים למנות ממונה הגנת פרטיות (DPO). החובה חלה על גופים ציבוריים, חברות שעיסוקן העיקרי הוא עיבוד מידע רגיש בהיקף נרחב, או עסקים המבצעים מעקב שיטתי אחר אנשים (למשל, חנויות איקומרס גדולות עם מערכות המלצה מתוחכמות).

רוב העסקים הקטנים עם אתר סטנדרטי ככל הנראה יהיו פטורים מחובה זו, אך חשוב לבחון כל מקרה לגופו, במיוחד אם העסק אוסף "מידע רגיש" (כמו מידע רפואי).

לסיכום

היערכות נכונה לתיקון 13 אינה רק חובה חוקית, אלא גם הזדמנות לבנות אמון עם הלקוחות ולהפגין את מחויבותך לשמירה על פרטיותם.

מומלץ להתייעץ עם איש מקצוע, כגון עורך דין המתמחה בדיני פרטיות, כדי להבטיח שהאתר והתהליכים בעסק שלך עומדים בכל דרישות החוק.