מדיניות פרטיות לאתרים — המדריך המקיף

למה חייבים מדיניות פרטיות?

ברגע שאתה אוסף ולו פיסת מידע אחת על מבקר באתר — מאיפה הוא הגיע, איזה דפדפן, איזה IP, אפילו רק ש-Cookie מסוים נשמר — אתה בעל מאגר מידע בעיני החוק. וזה אומר חובות.

השאלה הראשונה שעולה היא בדרך כלל "אבל אני לא אוסף שום דבר?". האמת — אתה כמעט תמיד כן:

• Google Analytics אוסף IP, browser fingerprint, behavior.
• Cookies של סשן הם איסוף מידע.
• טופס יצירת קשר אוסף שם ואימייל.
• פיקסל Meta/TikTok/Google Ads אוסף הרבה יותר ממה שאתה חושב.
• שירותי צ'אט כמו Tawk.to או Crisp אוספים IP וההיסטוריה.

החוק הישראלי — חוק הגנת הפרטיות

חוק הגנת הפרטיות, תשמ"א-1981 (עם תיקונים — האחרון משמעותי ב-2007 ועדכונים שוטפים), הוא החוק המסגרת בישראל. הוא קובע מספר חובות עיקריות לבעל מאגר מידע:

חובת הסכמה

איסוף מידע אישי דורש הסכמת המשתמש. ההסכמה צריכה להיות מודעת ומפורשת — לא "מי שלא יוצא אישר", אלא "ראיתי, הבנתי, מסכים".

חובת רישום מאגר

מאגרי מידע מסוימים (לדוגמה: מאגר עם מידע "רגיש" — בריאות, פיננסים, השקפת עולם — או מאגר מסחרי גדול) חייבים להירשם אצל רשם מאגרי המידע במשרד המשפטים.

חובת אבטחה

המידע חייב להיות מאובטח. תקנות אבטחת מידע (2017) מפרטות איך — נדבר עליהן בנפרד.

חובת מסירת מידע

אם משתמש מבקש לראות מה יש לך עליו, אתה חייב למסור (תוך 30 יום, ללא תשלום מעבר לעלות סבירה).

איסור שימוש לצרכים אחרים

אם אספת מידע למטרה X — אסור להשתמש בו ל-Y בלי הסכמה חדשה.

קנסות והעמדה לדין

תקנות אבטחת מידע, תשע"ז-2017

זה החקיקה החשובה ביותר ביום-יום. התקנות מחולקות לפי רמת אבטחה שמתאימה למאגר:

• רמה בסיסית — לרוב האתרים. דרישות סטנדרטיות.
• רמה בינונית — מאגרים עם נתונים רגישים (בריאות, פיננסים) או מאגרים גדולים.
• רמה גבוהה — מאגרים גדולים מאוד (מעל 100,000 נושאי מידע).

לרמה בסיסית נדרשים בפועל:

1. מסמך מדיניות פנימי שמפרט אילו נתונים נאספים ולמה.
2. הרשאות גישה מוגדרות (לא כולם רואים את הכל).
3. הצפנת תקשורת (HTTPS חובה).
4. גיבויים מאובטחים.
5. סקירת אירועי אבטחה תקופתית.
6. תיעוד פנייה למאגר — מי ניגש למידע ומתי.
7. חובת דיווח במקרה של אירוע אבטחה משמעותי — לרשם תוך 24 שעות.

GDPR — מתי חל על עסק ישראלי?

חוק האיחוד האירופי General Data Protection Regulation (תקנה 679/2016) חל מ-מאי 2018. הוא רלוונטי לעסק ישראלי בכל אחד מהמקרים הבאים:

• יש לך משרד או נציגות באירופה.
• אתה מציע סחורה או שירות ללקוחות באירופה (גם אם לא משלח לשם פיזית — שירות דיגיטלי).
• אתה עוקב אחר התנהגות של גולשים אירופיים (אנליטיקה, רימרקטינג).

לדוגמה: חנות e-com ישראלית שמוכרת לצרפת — כפופה ל-GDPR. בלוג ישראלי באנגלית עם מבקרים מאירופה — כפוף. SaaS ישראלי עם לקוחות בגרמניה — בוודאי כפוף.

קנסות GDPR — לא צחוק

• עד €10 מיליון או 2% מהמחזור הגלובלי — הפרות "קלות".
• עד €20 מיליון או 4% מהמחזור — הפרות חמורות (הפרת עיקרון, העברה מחוץ ל-EU בלי בסיס).

הקנסות בפועל מאז 2018:

• Meta — €1.2 מיליארד (2023, העברת מידע מ-EU ל-US).
• Amazon — €746 מיליון (2021).
• Google — מאות מיליונים בעוקבת אצל הרשויות בצרפת, איטליה, ספרד.
• חברות קטנות יותר — קנסות של מאות אלפי יורו על אי-קונסנט עוגיות תקין.

זכויות מוגברות תחת GDPR

GDPR נותן לתושב האיחוד 8 זכויות שצריכות להופיע במדיניות:

1. Right to Access — לראות מה יש עליו.
2. Right to Rectification — לתקן מה שלא נכון.
3. Right to Erasure (Right to be Forgotten) — למחיקה.
4. Right to Restriction — להגביל עיבוד.
5. Right to Data Portability — לקבל את המידע ב-format מובנה (JSON/CSV).
6. Right to Object — להתנגד.
7. Right to Withdraw Consent — לחזור מהסכמה.
8. Right to Lodge Complaint — לפנות לרשות הגנת המידע במדינתו.

CCPA — קליפורניה

California Consumer Privacy Act (מאז 2020) חל על עסקים שמשרתים תושבי קליפורניה ועונים על אחד מהקריטריונים:

• הכנסה שנתית מעל $25 מיליון.
• מעבד מידע של 100,000+ תושבי קליפורניה / שנה.
• 50%+ מההכנסות ממכירת מידע אישי.

לרוב העסקים הישראליים — לא רלוונטי. אבל אם אתה SaaS גדול שמשרת לקוחות עסקיים בארה"ב — כן.

מה חייב להופיע במדיניות?

הסעיפים המינימליים (שילוב של חוק ישראלי + GDPR):

1. מי בעל המאגר — שם החברה, ח.פ., כתובת, פרטי קשר.
2. אילו נתונים נאספים — רשימה ספציפית (לא "מידע כללי").
3. מטרת איסוף — למה אתה אוסף.
4. בסיס משפטי (GDPR) — הסכמה / חוזה / אינטרס לגיטימי / חובה חוקית.
5. שיתוף עם צד שלישי — רשימת ספקים (Google, Stripe, Mailchimp וכו').
6. שמירה — כמה זמן שומרים את המידע.
7. אבטחה — איך מגנים על המידע.
8. זכויות המשתמש — איך לממש אותן.
9. עוגיות — אם יש, פירוט.
10. פרטי קשר לפניות פרטיות — אימייל ייעודי.
11. תאריך עדכון אחרון.

עוגיות (Cookies) ו-consent

GDPR (סעיף 7) ו-ePrivacy Directive (התקנה האירופית הספציפית לעוגיות) מחייבים:

• קונסנט פעיל לפני שאתה שותל עוגיות לא-חיוניות (תיבת סימון לא מסומנת מראש).
• הסבר ברור איזו עוגייה לאיזו מטרה.
• אפשרות לסרב בקלות כמו שאפשר להסכים. אסור "אישור Cookie ענק" מול "סירוב מוסתר ב-5 קליקים".
• תיעוד הקונסנט — חייב לדעת מי, מתי, ומה אישר.

בישראל, חוק הגנת הפרטיות לא קובע במפורש דרישה דומה — אבל אם אתה כפוף ל-GDPR (כי יש לך משתמשים מ-EU), אתה חייב גם לעוגיות. ובפועל — רוב הבעלים מציבים cookie banner על כל האתר כדי להיות בטוחים.

איך NAGISOT עוזר

ב-NAGISOT הוספנו מחולל מדיניות פרטיות, באותה הגישה הכנה כמו מחולל הצהרת הנגישות:

• טופס פשוט בעמוד האתר בדאשבורד — מה אתה אוסף, מי ספקי הצד שלישי, האם אתה כפוף ל-GDPR/CCPA.
• HTML מוכן להעלאה — בעברית או באנגלית, מכסה את כל הסעיפים שהחוק דורש.
• תצוגה מקדימה חיה — רואים את התוצאה לפני ההורדה.
• הצהרת מקור — מודיע שאינה מהווה ייעוץ משפטי, ושמומלץ שעו"ד יבחן. אנחנו לא מתחזים.

תוכנית עתידית של NAGISOT

בקרוב נוסיף עוד פיצ'רים פרטיותיים:

• Cookie consent banner אוטומטי — GDPR-compliant, opt-in.
• זיהוי אוטומטי של trackers ועוגיות באתר ויצירת רשימה אוטומטית למדיניות.
• תיעוד הסכמות — מי הסכים, מתי, ולמה.
• תהליך בקשת מחיקה (DSAR) — טופס תקני שמשתמש ממלא ואתה מקבל ב-email.