מאת:
25/8/2025

חוק הגנת הפרטיות ואתרי מסחר אלקטרוני – מדריך לבעלי חנויות אונליין

האם אתר המסחר שלך מגן באמת על פרטיות הלקוחות?
האם תיקון 13 לחוק הגנת הפרטיות עלול לחשוף אותך לקנסות ותביעות?
ומה חייב לדעת כל בעל חנות אונליין כבר עכשיו כדי לעמוד בחוק ולא לאבד את אמון הגולשים?
בעלי אתרי מסחר אלקטרוני (e-Commerce) חייבים לוודא שהאתר שלהם עומד בדרישות חוק הגנת הפרטיות ותקנותיו. חוק הגנת הפרטיות הישראלי, שנחקק כבר ב-1981, מגדיר את המסגרת החוקית לאיסוף, שמירה והעברת מידע אישי – ונחשב הכרחי להגנה על פרטיות הלקוחות . עם השנים ובמיוחד בעידן הדיגיטלי, חשיבות החוק רק גוברת: עדכונים רגולטוריים (כמו תיקון 13 החדש) נועדו להתאים את החוק לטכנולוגיות מודרניות ולאמץ סטנדרטים בין-לאומיים מחמירים . להלן נסביר כיצד דרישות החוק חלות על אתרי מסחר, נסקור דגשים באבטחת מידע, אחריות בעלי האתרים, ההבדלים מול ה-GDPR האירופאי, טעויות נפוצות שיש להימנע מהן, ונספק טיפים לבניית אמון ועמידה בחוק.
 

תחולת חוק הגנת הפרטיות על אתרי מסחר אלקטרוני

חוק הגנת הפרטיות ותקנותיו (לרבות תקנות הגנת הפרטיות (אבטחת מידע)) חלים על כל גוף או עסק בישראל האוסף ומעבד מידע אישי על אנשים, ובכלל זה אתרי מסחר אלקטרוני. מידע אישי מוגדר באופן רחב – כל מידע המתייחס לאדם מזוהה או ניתן לזיהוי (למשל שם, כתובת, אימייל, טלפון, מספר זהות וכד’). כלומר, פרטי הלקוחות שאתם שומרים (כתובות למשלוח, פרטי יצירת קשר, אמצעי תשלום וכו’) נחשבים מידע אישי וחוסים תחת הגנת החוק. החוק מחייב שכל איסוף, עיבוד ושימוש במידע כזה יעשה באופן חוקי ובהוגנות, ורק למטרות שלשמן הוא נמסר או הוסכמו על-ידי הלקוח.
חובת הודעה והסכמה: החוק מחייב למסור לגולשים הודעת פרטיות ברורה בעת איסוף מידע אישי, המפרטת בין היתר מי אוסף את המידע, לאילו מטרות, למי הוא עשוי להימסר וכמה זמן יישמר . בישראל, הבסיס החוקי המרכזי לעיבוד מידע על-ידי גופים פרטיים הוא הסכמת המשתמש או חובה לפי חוק . לכן, טופס הרישום, עמוד התשלום או כל מקום אחר באתר שבו הלקוח מוסר פרטים – צריכים לכלול הבהרה גלויה לכך שהמידע נאסף, את מטרות השימוש בו, ואם חלה חובה חוקית למסור אותו או שזה וולונטרי. במידת הצורך, יש לקבל מהמשתמש הסכמה מפורשת לשימוש במידע האישי שלו למטרות שציינתם.
שמירה על עקרונות הפרטיות: אתרי מסחר נדרשים ליישם עקרונות של פרטיות בעיצוב ובברירת מחדל (Privacy by Design/Default) כפי שמקובל כיום בחקיקה המתקדמת. המשמעות היא שיש לתכנן את הפלטפורמה והתהליכים העסקיים כך שיגנו על פרטיות המשתמש כברירת מחדל, ולשלב שיקולי הגנת מידע בכל שלבי הפיתוח והפעילות. לדוגמה, טופסי איסוף מידע צריכים לבקש רק את המידע ההכרחי, הגדרות הפרטיות צריכות להיות מחמירות כברירת מחדל, וכל חריגה מהן (כמו שימוש במידע למטרה חדשה) תתאפשר רק בהסכמה נוספת של המשתמש או מכוח חוק.
עדכון רגולטורי (תיקון 13): באוגוסט 2025 נכנס לתוקף תיקון מספר 13 לחוק הגנת הפרטיות – רפורמה מקיפה שמחמירה את הדרישות מגופים המעבדים מידע אישי, במטרה ליישר קו עם תקני הגנת פרטיות באירופה. תיקון זה מחזק את זכויות הפרט ומטיל חובות חדשות על עסקים, כגון חובת דיווח על אירועי אבטחת מידע משמעותיים (פרצת מידע) לרשות להגנת הפרטיות ולנושאי המידע שנפגעו. הוא גם מעניק לרשות להגנת הפרטיות סמכויות פיקוח ואכיפה נרחבות יותר, וקובע עיצומים וקנסות כבדים על מפרי החוק – כפי שנסביר בהמשך.
 

אבטחת מידע טכנית – גיבויים, הצפנה, הרשאות ועדכונים

אחד ההיבטים המרכזיים בחוק ובתקנות הוא הגנת המידע באמצעים טכניים. בעלי אתרי סחר אונליין נדרשים לנקוט שורה של צעדים כדי להבטיח שמידע הלקוחות מוגן בפני דליפה, פריצה או שימוש בלתי מורשה. תיקון 13 לחוק אף החמיר את הדרישות לאבטחת מידע אישי: עסקים חייבים לנהל מערך אבטחת מידע מתקדם הכולל בקרת גישה, הצפנה, ניהול סיכונים וביצוע סקרי סיכונים תקופתיים . נפרט כמה דגשים חשובים:
  • ניהול הרשאות וגישה: ודאו שרק בעלי תפקיד מורשים בחברה יכולים לגשת למידע האישי, ובמידה הנדרשת בלבד (Principle of Least Privilege). יש ליישם מנגנוני התחברות מאובטחים, סיסמאות חזקות/אימות דו-שלבי עבור ממשקי ניהול, ולנהל רישום (לוג) של גישות למאגרי המידע.
  • הצפנת מידע רגיש: מידע אישי, במיוחד פרטי תשלום או מידע רגיש אחר, צריך להיות מוצפן הן בזמן ההעברה (SSL/TLS באתר – למשל, כתובת URL עם 🔒) והן בזמן השמירה במסדי הנתונים. הצפנה מגנה מפני מצבים שבהם תוקף משיג גישה לנתונים – המידע יהיה בלתי קריא ללא מפתח הפענוח המתאים.
  • גיבויים ושחזור: עליכם לקבוע נהלי גיבוי שוטפים למאגרי הנתונים והתוכן באתר, ולוודא שהגיבויים עצמם שמורים באופן מאובטח. תקנות אבטחת המידע מחייבות ארגונים גדולים יותר לקבוע נהלי גיבוי תקופתיים ושחזור מידע בעת חירום. גם עסק קטן צריך לכל הפחות לוודא שקיימים גיבויים עדכניים למידע הלקוחות (פרטי הזמנות, חשבוניות וכד’) כדי למנוע אובדן מידע.
  • עדכוני תוכנה ואמצעי הגנה: חלק קריטי מאבטחת האתר הוא לשמור על פלטפורמת המסחר, התוספים והשרתים מעודכנים לגרסאות האחרונות. עדכוני אבטחה עוזרים לסתום פרצות ידועות. בנוסף, מומלץ להשתמש ב-Firewall יישומי ובכלי אנטי-וירוס/אנטי-מאלוור בצד השרת. התקינו תעודת SSL תקפה באתר – צעד שהוא גם דרישת אבטחה וגם תורם לאמון המשתמשים.
  • ניטור ואיתור פריצות: בנו יכולת לנטר פעילות חשודה במערכת (למשל, ניסיונות כניסה כושלים מרובים, או שאילתות חריגות לבסיס הנתונים). תקנות אבטחת המידע מדרבנות ארגונים להטמיע פתרונות ניטור והתראות על אירועי אבטחה. כמו כן, תוכנית תגובה לאירוע: הכינו נוהל מסודר כיצד לפעול במקרה של פרצת אבטחה – כולל בידוד מיידי של האירוע, חקירה, ודיווח לרשות להגנת הפרטיות וללקוחות במקרים הנדרשים בחוק (תיקון 13 קובע חובת דיווח על דליפת מידע משמעותית).
חשוב לזכור: אבטחת מידע אינה פריווילגיה אלא חובה חוקית. תקנות הגנת הפרטיות (אבטחת מידע), תשע”ז–2017, מחייבות אפילו עסקים בינוניים לאמץ אמצעי הגנה פיזיים ולוגיים, בהתאם לרמת האבטחה המתאימה למאגר. למשל, מאגר ברמת אבטחה בינונית (שמאפיין הרבה אתרי סחר) דורש, בין היתר, לקיים נהלי גיבוי, ניהול משתמשים והרשאות, תיעוד פעולות וגיבוש מדיניות אבטחה כתובה . השקעה במנגנוני אבטחה היום תחסוך אירועים מביכים והוצאות כבדות בעתיד.
 

אחריות אישית של בעלי ומנהלי האתר

מי נושא באחריות כאשר פרטיות נפגעת? החוק מטיל את האחריות הראשית על בעל מאגר המידע – שהוא בדרך כלל החברה או בעל העסק שמפעיל את האתר. אולם גם למנהלים, לדירקטורים ולעובדים בכירים יכולה להיות אחריות אישית במקרים של הפרות פרטיות, במיוחד אם ההפרה נובעת מרשלנות שלהם או מאי-עמידה מכוונת בדרישות החוק.
תיקון 13 חיזק את המגמה של הטלת אחריות אישית: הוא מעניק לרשות להגנת הפרטיות סמכויות אכיפה מוגברות, כולל יכולת להטיל קנסות מנהליים ועיצומים כספיים על חברות וגם על אנשים פרטיים במקרים המתאימים . משמעות הדבר היא שלא רק שהחברה עלולה להיקנס, אלא במצבים מסוימים גם המנכ”ל, מנהל אבטחת מידע או הגורם האחראי ישירות – עלולים לשאת באחריות. למשל, אם יתברר שמנהל האתר התעלם מהוראות החוק (כגון אי-מינוי ממונה אבטחת מידע כשהיה צורך, או אי-דיווח על דליפה), הרשות עשויה לנקוט צעדים גם כנגדו אישית.
בנוסף, החוק (בנוסחו המעודכן) מאפשר לבתי משפט לפסוק פיצויים ללא הוכחת נזק לנפגעי הפרת פרטיות. נכון לתיקון 13, בית משפט יוכל לפסוק עד 10,000 ש”ח פיצויים עונשיים לכל נפגע, גם בלי שיוכיח שנגרם לו נזק כספי . כך שאם אתרכם דלף פרטי לקוחות עקב מחדל, ייתכן שכל לקוח יפוצה בסכום קבוע – דבר שעלול להצטבר לסכום כבד מאוד ואף להוביל לתביעות ייצוגיות.
אחריות המנהלים: יש לזכור שעבור חברה בע”מ, החוק מטיל חובות גם על נושאי משרה. תקנות אבטחת המידע קובעות, למשל, חובת מינוי ממונה על אבטחת מידע בארגונים גדולים. תיקון 13 מקדם מינוי ממונה הגנת פרטיות (DPO) בגופים ציבוריים ובארגונים עתירי מידע, ומחדד את אחריות הדרג הניהולי לנושא . דירקטוריון שלא יקדיש תשומת לב לנושא הפרטיות עלול למצוא את עצמו מפר את חובת הזהירות שלו כלפי החברה. במילים אחרות, הגנת הפרטיות הפכה לנושא ציות (compliance) מדרג ראשון שעל מנהלים לוודא שעומדים בו, בדומה לנושאי רגולציה אחרים (כמו דיני עבודה, מיסים וכו’).
לסיכום נקודה זו: כבעלי אתר או מנהלים בעסק דיגיטלי, אל תניחו שאם תקרה תקלה “החברה תסתדר עם זה”. בפועל, הזרקור עלול להיות מופנה אליכם אישית. האחריות שלכם היא לוודא שהעסק כולו מפתח תרבות של הגנת פרטיות – ממדיניות הנהלה, דרך הדרכת עובדים, ועד הטמעת פתרונות טכניים – כך שלא תמצאו את עצמכם חשופים לסנקציות מנהליות או משפטיות.
 

רגולציה בישראל לעומת GDPR באירופה – ומה לגבי אתרים בינלאומיים?

החוק הישראלי ותקנותיו דומים במטרתם לרגולציית ה-GDPR האירופית (General Data Protection Regulation), אך יש ביניהם הבדלים חשובים. GDPR הוא התקן המחמיר שחוקק באיחוד האירופי ב-2018 ומכתיב סטנדרטים גבוהים מאוד להגנת מידע אישי. הוא חל באופן אקסטרה-טריטוריאלי – כלומר, גם על אתרים ועסקים ישראליים המציעים סחורות או שירותים לתושבי האיחוד האירופי או אוספים מידע עליהם . לכן, אם חנות האונליין שלכם פונה גם ללקוחות באירופה (ואפילו אם רק עשויה לקבל תנועה משם), ייתכן שאתם חייבים בציות ל-GDPR בנוסף לחוק הישראלי.
להלן כמה הבדלים בין הדרישות בישראל לבין GDPR באירופה:
  • היקף והגדרות: חוק הגנת הפרטיות הישראלי מגן על “מידע אישי” שמאפשר לזהות אדם (לדוגמה, שם, כתובת, ת.ז) . ה-GDPR מגדיר Personal Data באופן רחב עוד יותר – “כל מידע על אדם מזוהה או ניתן לזיהוי”, לרבות מזהים עקיפים כמו כתובת IP, קובצי Cookie ייחודיים, וכדומה . בפועל, שני הדינים מכסים מידע דומה, אך GDPR מדגיש שגם מזהים עקיפים ונתוני התנהגות (כמו מעקב גלישה) נכנסים תחת ההגדרה.
  • זכויות נשואי מידע: החוק הישראלי מקנה ליחידים בעיקר את הזכות לעיין במידע עליהם ולתקנו אם הוא שגוי . תחת GDPR, מנעד הזכויות רחב יותר – בנוסף לעיון ותיקון, לאנשים יש זכות למחוק מידע (“הזכות להישכח”), להגביל עיבוד, להתנגד לעיבוד, וזכות לניידות מידע (לקבל את המידע בפורמט להעברה לגוף אחר) . תיקון 13 הוסיף בישראל זכות מוגבלת להימחק ממאגר במקרים מסוימים , אך היא לא מקיפה כמו ב-GDPR.
  • חובות על עסקים: בשני המשטרים העסק חייב לאבטח את המידע ולא להשתמש בו בלי בסיס חוקי (לרוב – הסכמה או חובה חוקית). בישראל היו קיימות עד כה גם חובת רישום מאגר מידע אצל הרגולטור (החל מצמצום בתיקון 13, נגיע לכך) וחובת דיווח על בעלי מאגרי מידע לרשומות הפנימיות. באירופה, הדרישות מחמירות ומפורטות יותר: חובה לבצע הערכת סיכונים (DPIA) במקרים בסיכון גבוה, חובת דיווח על פרצת אבטחה תוך 72 שעות, ובמקרים רבים גם מינוי קצין הגנת מידע (DPO) בחברה – בעיקר אם מדובר בעיבוד נרחב של מידע רגיש.
  • אכיפה וקנסות: בעוד החוק הישראלי מאפשר קנסות ועונשים, historically הרף הכספי היה נמוך משמעותית מהאירופי . GDPR הרתיע את העולם כשקבע קנסות עד 20 מיליון אירו או 4% ממחזור ההכנסות העולמי – הגבוה מבין השניים – על הפרות חמורות . בישראל, עד כה הקנסות המנהליים היו צנועים יותר, אך תיקון 13 משנה גם זאת: הרשות להגנת הפרטיות קיבלה סמכות להטיל עיצומים כספיים משמעותיים (עד מיליוני ₪ במצטבר) בהתאם לחומרת ההפרה והיקפה. בנוסף, GDPR מאפשר תביעות נזיקין בקלות יחסית וייצוגיות באירופה, תחום שבו גם ישראל רואה גידול (תובענות יצוגיות על הפרת פרטיות מתחילות להופיע).
  • תחולה טריטוריאלית: נקודה חשובה לבעלי אתרים בינלאומיים – GDPR כאמור חל גם עליכם אם אתם מעבדים מידע של תושבי האיחוד . המשמעות היא שאם יש לכם משתמשים או לקוחות מאירופה, עליכם לקיים למשל את מדיניות ה-Cookies האירופית (בANNER אישור עוגיות), לאפשר למשתמש לממש את זכויותיו תחת GDPR, אולי למנות נציג באיחוד או DPO, ולהיערך לבקשות מחיקה או העברת מידע. החוק הישראלי, כמובן, חל על מידע של אזרחים ותושבים בישראל, אך לא פוטר אתכם מחוקים זרים כשאתם פועלים בשווקים אחרים. לכן, אתר סחר ישראלי עם פעילות גלובלית צריך לאמץ גישת פרטיות המקיימת את הדרישות המחמירות ביותר מהתחומים הרלוונטיים (המלצה טובה היא לשאוף לעמוד ב-GDPR – ואז סביר שתעמדו גם בדרישות המקומיות בכל מקום אחר).
בשורה התחתונה, מגמת ההתכנסות: תיקון 13 קירב מאוד את דיני הפרטיות בישראל לתפיסה האירופית . החוק שלנו עובר שינויים שמחזקים שקיפות, מרחיבים חובות, ומגבירים אכיפה – במטרה להדביק את פערי הרגולציה . עם זאת, יש עדיין הבדלים ומי שפונה לקהל בינלאומי צריך להכיר גם רגולציות זרות (מלבד GDPR, למשל חוקי פרטיות במדינות בארה”ב כמו קליפורניה). ההמלצה הגורפת לעסקים גלובליים היא לא להסתפק רק במה שהחוק המקומי דורש, אלא לנקוט בגישה פרואקטיבית המיישמת best practices בינלאומיות.
 

טעויות נפוצות של בעלי אתרים בפן הפרטיות (וכיצד להימנע מהן)

גם בעלי חנויות אונליין שפועלים בתום לב עלולים לבצע טעויות שכיחות בהיבטי הגנת הפרטיות. טעויות אלו עלולות לעלות ביוקר – הן משפטית והן בפגיעה באמון המשתמשים. נפרט כמה מן השגיאות הנפוצות, וכמובן כיצד לתקן אותן:
  • העדר מדיניות פרטיות ברורה באתר: לא מעט אתרי מסחר ישראליים מתנהלים ללא עמוד “מדיניות פרטיות” מסודר, או עם נוסח כללי ולקוני שאינו מותאם לפעילותם. זו הפרה של חובת ההודעה על איסוף מידע אישי. לקוח שנכנס לאתר ולא מוצא בקלות מידע על מה נעשה עם פרטיו – עלול לאבד אמון. מה עושים? יש לנסח מדיניות פרטיות מפורטת, בשפה ברורה, ולהנגיש קישור אליה מכל עמוד (לרוב בכותרת התחתונה). במדיניות ציינו אילו נתונים אתם אוספים, למה, איך מאוחסנים ומוגנים, עם מי משתפים אותם (למשל חברות שילוח או ספקי סליקה) ומה זכויות המשתמש בנוגע למידע. זוהי לא רק דרישת חוק אלא גם צעד לבניית אמון (עוד על כך בהמשך).
  • שימוש בקובצי Cookie ומעקב ללא קבלת הסכמה: רבים מוסיפים לאתרם כלים אנליטיים ושיווקיים (Google Analytics, פיקסל של פייסבוק, וכד’) הצוברים מידע על גולשים באמצעות עוגיות, אך לא טורחים ליידע את המשתמש או לבקש את אישורו. באירופה זה בלתי חוקי בעליל, וגם בישראל הרשות ממליצה על הודעת קוקיות ויידוע ברור. מה עושים? הציגו הודעת Cookie שקופה – באנר שמבהיר אילו קובצי מידע האתר שומר, למה וכיצד. עדכנו את מדיניות הפרטיות בהתאם. לפי מומחי משפט, רצוי לפחות להציג באנר קופץ בולט עם הסבר, ולאפשר לגולש להסכים או לדחות מעקבים שאינם הכרחיים. כך תמלאו אחר עקרון ההסכמה מדעת וגם תשפרו את אמון המשתמש (משתמשים מודעים מצפים לראות שקיפות בנושא הזה).
  • איסוף מידע מעבר לנדרש לצורך השירות: כלל אצבע בדיני פרטיות הוא צמצום המידע הנאסף – אספו רק את מה שאתם באמת צריכים למטרה עסקית לגיטימית . טעות נפוצה היא לכלול בטפסים שדות מיותרים (תאריך לידה בהרשמה לניוזלטר? מצב משפחתי בקניית נעליים?). מידע עודף לא רק שאין בו צורך – הוא מסכן אתכם כי צריך להגן עליו ללא תועלת. מה עושים? עברו על כל טופס ו-flow באתר ושאלו: האם הפרט הזה נחוץ למטרה שהצהרנו ללקוח? אם לא – אל תאספו אותו. בנוסף, אם אתם מעוניינים להשתמש במידע למטרה נוספת (למשל דיוור שיווקי מעבר לטיפול בהזמנה) – קבלו הסכמה נפרדת! אל “תגניבו” שימושים נוספים בלי ידיעת המשתמש.
  • אי-מחיקה של מידע שכבר אינו נחוץ: בעלי אתרים לעיתים משמרים במאגריהם מידע ישן ללא הגבלה – לקוחות שלא היו פעילים שנים, לידים שלא נסגרו מלפני עשור, וכו’. מצב זה מנוגד לעקרון הגבלת השמירה. מלבד תפיחת בסיסי הנתונים ואבטחה מסורבלת, זה גם סיכון משפטי – למה לשמור מידע מיותר שיכול לדלוף? מה עושים? הגדירו מדיניות מחיקה/אנונימיזציה תקופתית. לדוגמה, “חשבון משתמש שלא הייתה בו פעילות 5 שנים – יימחק” או “פרטי עסקה יימחקו כעבור X חודשים ממועד המשלוח, למעט מידע הנדרש לפי חוקי חשבונאות”. כמובן, אפשר לכלול זאת במדיניות הפרטיות כדי ליידע לקוחות. גם תיקון 13 מעודד מחיקת מידע כאשר תם הצורך בו – “אוספים פחות, מוחקים יותר”.
  • אבטחת מידע לקויה: בהמשך לסעיף הטכני הקודם – טעות נפוצה היא לזנוח את נושא האבטחה בשל מחשבה ש”לי זה לא יקרה”. למשל, לא לשנות סיסמאות ברירת מחדל במערכות ניהול, לא לעדכן את האתר, או לא להצפין קבצים רגישים. מה עושים? קחו ברצינות את סעיף אבטחת המידע שנדון לעיל: בצעו סקר סיכוני אבטחה אפילו בסיסי, תקנו תקלות שמוצאים, עדכנו תוכנות, והיעזרו במומחי סייבר במקרה הצורך. זכרו שבמקרה דליפה, הטענה “לא ידענו שיש פירצה” לא תשחרר אתכם מאחריות.
רוב הטעויות הללו נובעות מחוסר מודעות או רצון לחסוך בזמן, אך הן בר תיקון יחסית פשוט. מומלץ לערוך בדיקה תקופתית של מדיניות ונהלי הפרטיות באתר, במיוחד לאור עדכוני החקיקה. בכך גם תשפרו את העמידות המשפטית וגם את חוויית המשתמש שקופה והוגנת יותר.
 

בניית אמון מול לקוחות באמצעות פרטיות ושקיפות

בעידן המסחר המקוון, אמון הלקוחות הוא נכס קריטי. לקוח המבצע רכישה באתר מפקיד בידיכם לא רק את כספו – אלא גם את פרטיו האישיים. הדרך שבה תנהגו במידע הזה משפיעה ישירות על המוניטין והתדמית העסקית שלכם. שקיפות והקפדה על פרטיות אינן רק דרישות חוק, אלא גם הזדמנות לבדל את העסק כהגון ואמין. הנה כיצד הקפדה על פרטיות מחזקת אמון:
  • שקיפות מלאה במדיניות: הצגת מדיניות פרטיות ברורה ומפורטת באתר (וכן מדיניות משלוחים והחזרות) משדרת ללקוחות שאתם לא מסתירים דבר. לפי הנחיות Google, שקיפות במדיניות – לרבות מדיניות הפרטיות – היא גורם מרכזי בבניית אמון עם לקוחות . לקוח שרואה הסבר מפורש למה אתם מבקשים כל פרט ומה תעשו איתו, ירגיש נוח יותר להמשיך בתהליך הרכישה. השקיפות צריכה לכלול גם גילוי של שימוש בכלים חיצוניים (כמו שירותי צ’אט, ניתוח נתונים וכו’) – מידע זה יכול להופיע במדיניות הפרטיות או בחלונית ייעודית.
  • הבטחה וכיבוד של מחויבות: אם אתם מצהירים במדיניות הפרטיות על אמצעי ההגנה שאתם נוקטים – עמדו במילה שלכם. למשל, התחייבתם לא לשתף את המידע עם צדדים שלישיים מלבד לצורך התפעול? וודאו שאתם באמת לא מדליפים אותו לשום גורם אחר ללא הסכמה. כאשר לקוחות מגלים (לעיתים דרך חדשות או דיווחים) שעסק לא נהג בהתאם למדיניות המוצהרת שלו – האמון נפגע קשות. לעומת זאת, קיום עקבי של מה שהובטח יוצר מוניטין של עסק שניתן לסמוך עליו.
  • אבטחת מידע כיתרון שיווקי: ניתן להפוך את נושא האבטחה והפרטיות לנקודת מכירה (USP). למשל, הצגת תגי אבטחה (SSL, תקן PCI אם רלוונטי, אישור של חברות אבטחה) ותו אמון הציבור אם קיבלתם – כל אלה מחזקים תחושת בטחון אצל לקוח שמתלבט היכן לקנות. ידוע במחקרי שיווק שרוכשים נוטים לנטוש סל קניות אם הם חשים חוסר ביטחון לגבי אמינות האתר. לכן, השקעה בפרטיות ואבטחה עשויה להעלות שיעורי המרה.
  • טיפול הוגן בבקשות לקוחות: מתן מענה ענייני ומהיר לפניות לקוחות בנושאי פרטיות גם הוא בונה אמון. אם לקוח מבקש להסיר את עצמו מרשימת תפוצה או למחוק את חשבונו – בצעו זאת ללא סחבת. כבדו את זכותו של אדם לשלוט במידע עליו. לקוחות מעריכים עסקים שמתנהלים בהוגנות גם “אחרי המכירה”. תגובות חיוביות מפה לאוזן יכולות לנבוע משירות טוב, וחלק משירות טוב היום הוא גם הגינות בפרטיות.
  • מיתוג ותדמית: בסופו של דבר, עסק שממקם את פרטיות לקוחותיו כערך ליבה מצטייר כעסק אחראי, מקצועי וערכי. בעולם של חדשות על דליפות מידע מדי שבוע, לקוחות יחזרו לרכוש במקום שבו הם חשים שהמידע שלהם בטוח. שקיפות ועמידה בתקנים יכולות להפוך לחלק מסיפור המותג שלכם – “אצלנו הפרטיות שלך בידיים טובות”.
לכן, אל תראו בהשקעה בפרטיות רק “הוצאה” או דרישה רגולטורית יבשה, אלא חלק ממערך השירות והאיכות שאתם מספקים. אמון הוא מה שמביא לקוח חוזר, ולקוחות חוזרים הם בסיס של עסק מצליח. הקפדה על פרטיות היא כלי נוסף לבניית אמון זה.
 

צעדים מומלצים לציות לחוק ולשמירה על פרטיות באתר הסחר

לאחר שסקרנו את החובות והאתגרים, נרכז רשימת פעולות מומלצות שבעלי אתרי מסחר אלקטרוני צריכים לבצע כדי לעמוד בדרישות החוק ולהגן על פרטיות הלקוחות:
  1. מיפוי המידע ורישום מאגר (אם נדרש) – התחילו בסקירת כל סוגי המידע האישי שהאתר אוסף ומעבד: פרטי לקוחות, נרשמי דיוור, היסטוריית רכישות וכו’. בהתאם לתיקון 13, כיום רוב העסקים הפרטיים פטורים מחובת רישום מאגר מידע בפנקס הרשמי (ביטול דרישה זו הקל על המשק) . חובת הרישום נותרה רק למקרים מיוחדים, למשל: עסקים שהפעילות העיקרית שלהם היא איסוף ומכירת מידע לאחרים (data brokers) עם מעל 10,000 אנשים במאגר, וכן גופים ציבוריים. עם זאת, תיקון 13 החליף את חובת הרישום הרחבה בחובת הודעה לרשות במקרים מסוימים: אם יש לכם מאגר מידע הכולל מידע בעל רגישות מיוחדת (כגון נתונים רפואיים, ביומטריים וכו’) על 100,000 איש ומעלה – חלה עליכם חובה לשלוח לרשות להגנת הפרטיות הודעה על קיום המאגר, כולל פרטי איש הקשר וממונה הפרטיות בארגון . מה עושים בפועל? בדקו האם המאגר שלכם נופל בגדר החובות הנ”ל. עבור רוב אתרי המסחר ה”רגילים” (המוכרים מוצרים ואוספים פרטי לקוחות לצרכי מכירה ומשלוח בלבד) – ייתכן וכבר אין צורך ברישום מאגר כפי שהיה בעבר. אך עדיין חשוב מאוד לנהל רישום פנימי של כל המאגרים שברשותכם ומה הם מכילים, ולוודא שאתם עומדים בחובות החוק לגביהם. במקרה של ספק, התייעצו עם עו”ד האם חלה עליכם חובת רישום/הודעה ספציפית. עדיף להסדיר נושא זה מאשר לגלות בדיעבד שהייתם חייבים ברישום ולא עשיתם כן.
  2. ניסוח והצגת מדיניות פרטיות באתר – כפי שהובהר, חובה לנסח מדיניות פרטיות כתובה, בהירה ומקיפה ולהציג אותה לגולשים. ודאו שהמדיניות כוללת את כל רכיבי המידע הנדרשים בחוק: זהות מפעיל האתר ובעל המאגר, איזה מידע נאסף וכיצד, המטרות שלשמן הוא נאסף, פרטי צדדים שלישיים המקבלים מידע (אם יש), איך ניתן ליצור קשר בנושאי פרטיות, אילו זכויות יש ללקוחות לגבי המידע (עיון, תיקון, מחיקה במקרים מסוימים) ועוד. את המדיניות עדכנו מעת לעת – למשל, אם אתם מתחילים להשתמש בכלי שיווקי חדש האוסף נתונים, יש לשקף זאת במסמך. חשוב שהמדיניות תהיה נגישה: קישור “מדיניות פרטיות” בפוטר האתר, ואולי גם בהודעות קוקיז או בטפסי הרשמה (לדוגמה: “בלחיצה על ‘הרשמה’ אני מאשר שקראתי את מדיניות הפרטיות”). זו לא רק דרישת רגולציה אלא גם הוכחה ללקוחות שאתם פועלים בשקיפות מלאה.
  3. קבלת הסכמות מפורשות מהמשתמשים – ודאו שאתם משיגים מהלקוחות את כל ההסכמות הנדרשות: למשל, הסכמה לתנאי השימוש ולמדיניות הפרטיות בעת הרשמה, הסכמה לקבלת דיוור שיווקי (Newsletter) באמצעות תיבה נפרדת שאינה מסומנת כברירת מחדל, ואישור לעוגיות מעקב אם נדרש. את ההסכמה יש לתעד. כלומר, לשמור לוגים או רשומות של מי הסכים למה ומתי – זה יעזור לכם להוכיח עמידה בדרישות אם תיבדקו . זכרו: הסכמה צריכה להיות מדעת ובחופשיות – הימנעו מסתמיות (כגון משפט כללי “בלחיצה אתם מסכימים לכל תנאינו” בלי לפרט) או מהתניית שירות הכרחי בהסכמה לשימושים נוספים שאינם חיוניים.
  4. הסכמי עיבוד מידע עם ספקים חיצוניים – כמעט כל אתר סחר משתמש בספקים חיצוניים: חברת סליקה לתשלומים, שירות שילוח, שירותי ענן לאחסון נתונים, תוכנת CRM, שירותי דיוור וכד’. לפי החוק הישראלי (וה-GDPR בהתאמה), כאשר גורם חיצוני מקבל גישה למידע האישי שלכם כחלק מהשירות שהוא נותן לכם – חובה לעגן זאת בחוזה שמגן על הפרטיות . חוזה כזה מכונה “הסכם עיבוד מידע” (Data Processing Agreement – DPA). בתיקון 13 נכתב במפורש שעל כל ארגון המוציא עיבוד מידע למיקור-חוץ לחתום על DPA עם הספק החל מאוגוסט 2025. ודאו לכן שיש לכם הסכמי סודיות ועיבוד מידע עם כל ספק: שהספק מתחייב להשתמש במידע שלכם רק למטרות שהגדרתם, להגן עליו באמצעי אבטחה נאותים, לא להעבירו הלאה ללא אישור, ולסייע לכם לעמוד בחוק. למשל, עם חברת השילוח – הסדירו שהיא רשאית להשתמש בכתובות רק לצרכי המסירה; עם חברת האחסון – שתגן על הנתונים ברמת אבטחה גבוהה. הדרישה הזו אינה פורמליות גרידא, היא קריטית: במקרה של דליפה דרך ספק, יבדקו אם דאגתם חוזית שהוא ישמור על המידע . העדר חוזה עלול להיחשב למחדל מצדכם. למרבה המזל, ספקים רבים כבר מודעים לנושא ויכולים לספק לכם נוסח DPA משלהם – אל תהססו לבקש זאת ולקרוא בעיון לפני החתימה.
  5. מינוי ממונה אבטחת מידע/פרטיות – עבור עסקים בינוניים ומעלה, מומלץ למנות אחראי על תחום ההגנה על מידע ופרטיות בעסק. בישראל, תקנות אבטחת המידע כבר מחייבות מינוי ממונה אבטחת מידע בארגונים שחלה עליהם רמת אבטחה בינונית ומעלה. תיקון 13 הוסיף כאמור חובה למנות ממונה הגנת פרטיות (DPO) בגופים ציבוריים, ועודד מגזר פרטי לאמץ צעד דומה . בפועל, גם אם אינכם מחויבים בחוק למנות קצין פרטיות, זהו צעד נבון: הממונה (בין אם עובד בחברה או יועץ חיצוני) יפקח על עמידת האתר בדרישות, יבצע ביקורות תקופתיות, ידריך את הצוות בנושא, ויהיה איש הקשר מול הרשות להגנת הפרטיות במקרה הצורך. כך תהיו עם אצבע על הדופק ולא תפספסו עדכונים או הפרות.
  6. הדרכת עובדים ותהליכים פנימיים – הטמעת תרבות של הגנת פרטיות מתרחשת גם דרך הדרכת הצוות. ודאו שכל מי שמתעסק במידע לקוחות – תמיכה, שיווק, הנהלת חשבונות – יודע את חובות הסודיות, מכיר את המדיניות שלכם ויודע לזהות אירועי אבטחה. צרו נהלים ברורים: איך מאמתים זהות של לקוח שפונה בבקשת מידע, מה הפרוטוקול במקרה של תקלה חשודה, למי מדווחים כשל אבטחה פנימי וכו’. לעובדים צריכה להיות מודעות שפרטיות זה נושא שההנהלה לוקחת ברצינות. תיקון 13 שם דגש על אחריות תאגידית, ומצופה שארגונים יוכיחו שהם פועלים פרואקטיבית לציית לחוק – הדרכות קבועות ותיעודן יכולים להיות חלק מהראיות לכך, אם תיבדקו.
  7. התעדכנות וייעוץ שוטף – עולם פרטיות המידע דינמי ביותר. חוקים משתנים (כמו תיקון 13 הנוכחי), תקנות חדשות צצות (למשל צפי תקנות העוגיות באירופה), והנחיות רשמיות מתעדכנות (הרשות להגנת הפרטיות בישראל מפרסמת מעת לעת הנחיות ו”גילויי דעת” בנושאים שונים). אל תניחו ש”מה שהיה הוא שיהיה”. מומלץ לעקוב אחר חדשות בתחום – בין אם באמצעות מינויים לניוזלטרים של משרדי עורכי דין מובילים בתחום, אתרים טכנולוגיים, או פורומים מקצועיים. ובעיקר, התייעצו עם מומחה משפטי מעת לעת: סקירה שנתית של עו”ד המתמחה בפרטיות תסייע לאתר בעיות ולהמליץ שיפורים לפני שמשהו נהיה קריטי. זהו שירות שעשוי לחסוך לכם הפרות וקנסות. בשורה התחתונה, עליכם לראות בהגנת פרטיות תהליך מתמשך של שיפור ועמידה ברגולציה – לא “פרויקט חד פעמי”. ליווי מקצועי ימזער את הסיכון שתפלו בין הכיסאות.
 

סיכום וקריאה לפעולה – פנו למומחים של דורון, טיקוצקי ושות’

ההתמודדות עם דרישות חוק הגנת הפרטיות והרגולציה היא חלק בלתי נפרד מניהול עסק דיגיטלי מצליח כיום. מעבר לציות לחוק כדי להימנע מקנסות ותביעות, עמידה בהוראות הפרטיות תורמת כאמור לבניית אמון הלקוחות ולמיתוג חיובי של העסק. מדובר בהשקעה שטומנת בחובה הגנה על הלקוחות והעסק גם יחד.
עם זאת, ברור שהנושא מורכב – במיוחד כאשר החוק מתעדכן, הטכנולוגיה מתפתחת, ועסק מקוון צריך להתמקד גם במכירות, שיווק ותפעול יומיומי. בדיוק לשם כך, מומלץ להסתייע באנשי מקצוע. משרד דורון, טיקוצקי ושות’, מהמשרדים המובילים בליווי משפטי לעסקים דיגיטליים ואתרי סחר, ישמח לסייע לכם לנווט בעולם הרגולציה הזה. אנו מתמחים בדיני הגנת הפרטיות, אבטחת מידע ורגולציית סייבר, ומציעים ללקוחותינו מעטפת מלאה: החל מבדיקת אתרכם לעמידה בדרישות החוק, דרך ניסוח מדיניות פרטיות ותנאי שימוש, הכנת הסכמים מול ספקים, טיפול ברישום מאגרים מול הרשות, ועד ייעוץ שוטף במקרה של שאלות או אירועי פרטיות בלתי צפויים.
אל תחכו לאירוע מצער כדי לפעול. אנו מזמינים אתכם ליצור קשר עם משרד דורון, טיקוצקי ושות’ עוד היום, לשיחת ייעוץ ראשונית ללא התחייבות. יחד נבנה עבור העסק הדיגיטלי שלכם תשתית משפטית מוצקה בתחום הפרטיות – שתאפשר לכם להמשיך לצמוח בביטחון, בידיעה שהלקוחות שלכם מוגנים ושאתם פועלים בהתאם לחוק ולערכי השקיפות והאמון. הגנת הפרטיות היא אתגר, אבל עם הליווי הנכון היא הופכת מנטל להזדמנות. פנו אלינו וניתן לכם את הפתרונות המותאמים אישית לעסק הספציפי שלכם, כדי שתוכלו להתמקד במה שאתם עושים הכי טוב – ולתת לנו לדאוג לכך שהפרטיות והציות יהיו תחת שליטה מלאה.
 
משרד דורון, טיקוצקי ושות’ מתמחה בליווי משפטי לעסקים דיגיטליים ואתרי סחר – ניסוח מדיניות פרטיות ותנאי שימוש, רישום מאגרי מידע, התאמה לדרישות תיקון 13 ו־GDPR, והגנה מלאה מפני חשיפות משפטיות וקנסות.
 
העסק שלכם דיגיטלי – הגיע הזמן לוודא שגם ההגנה המשפטית שלכם דיגיטלית, מעודכנת וחזקה בהתאם. צרו קשר עוד היום עם דורון, טיקוצקי ושות’ ותקחו צעד נוסף לעבר ניהול אתר מסחר אלקטרוני בטוח, חוקי ומצליח!
 
 
 
 
 
 
 

משרד עורכי דין דורון, טיקוצקי ושות' עומד לרשותך בכל שאלה: סניף מרכז 03-6109100, סניף חיפה 04-8147500, נייד: 054-4251054

 
 
 
 
 
 

שאלות ותשובות בנושא אחריות בעלי אתרים להפרת פרטיות 

האם חוק הגנת הפרטיות חל גם על חנויות אונליין קטנות?

Plus Mins

כן. כל אתר מסחר שאוסף מידע אישי (כמו שם, כתובת או פרטי תשלום) כפוף לחוק.

 

מה נחשב מידע אישי באתרי מסחר?

Plus Mins

כל פרט שמזהה לקוח – שם, טלפון, אימייל, כתובת, פרטי אשראי או כתובת IP.

 

אילו סיכונים קיימים בהפרת חוק הגנת הפרטיות?

Plus Mins

קנסות מנהליים גבוהים, תביעות ייצוגיות, פיצויים לנפגעים ופגיעה קשה במוניטין.

 

מה דורש תיקון 13 לחוק (אוגוסט 2025)?

Plus Mins

חובת דיווח על דליפות מידע, חיזוק שקיפות מול לקוחות, ואפשרות לקנסות של מיליוני ₪.

 

איך בעלי חנויות אונליין יכולים לעמוד בחוק הגנת הפרטיות ולהימנע מקנסות?

Plus Mins

בעזרת הליווי של משרד דורון, טיקוצקי ושות’ – מומחים בדיני פרטיות, סחר אלקטרוני ותכנון משפטי – נבנה עבורך מדיניות מותאמת, ננהל רישום מאגרי מידע, ננסח הסכמי עיבוד מול ספקים, ונבטיח שהעסק שלך יפעל כחוק ובשקיפות מלאה מול הלקוחות.

 

לשיחת ייעוץ
חייגו 03-6109100

או השלימו את הפרטים הבאים

הדפסת המאמר

דירוג המאמר

מדורג

 

1 ע"י 1 גולשים

עשוי לעניין אתכם

ייצוג סוכן מכס בשימוע

מאת: אלי דורון, עו"ד

מה קורה כאשר סוכן מכס חשוד בהפרת כללי האתיקה? אילו סנקציות עומדות בפניו – ומה יכול להציל את רישיונו? במאמר זה נסקור את ההליך המשמעתי, את זכות השימוע – ואת החשיבות הקריטית של ייצוג משפטי מקצועי.

18/8/2025
תגובות0
המשך קריאה המשך קריאה

ייצוג עובדים סוציאליים בפני ועדות אתיקה ומשמעת

מאת: אלי דורון, עו"ד

האם אתה עובד סוציאלי שנמצא מול תלונה אתית או משמעתית? איך ניתן להגן על הקריירה, המוניטין והרישיון המקצועי שלך מול ועדות האתיקה והמשמעת? גלו את הכלים המשפטיים שיעזרו לכם לנווט את ההליך בשלום.

18/8/2025
תגובות0
המשך קריאה המשך קריאה

הוסף תגובה

זקוקים לעורך דין?

חייגו: 03-6109100 או השאירו פרטים
אני מאשר/ת בזאת לדורון, טיקוצקי, קנטור, גוטמן, נס, עמית גרוס ושות' לשלוח לי ניוזלטרים/דיוור של מאמרים, מידע, חידושים, עדכונים מקצועיים והודעות, במייל ו/או בהודעה לנייד. הרשמה לקבלת הדיוור כאמור תאפשר קבלת דיוור שבועי ללא תשלום. ניתן בכל עת לבטל את ההרשמה לקבלת הדיוור ע"י לחיצה על מקש "הסרה" בכל דיוור שיישלח.