מדיניות פרטיות לאתר אינטרנט

מאת: אלי דורון, עו"ד

25/8/2025

חובת ניסוח מדיניות פרטיות – אחריות משפטית לבעלי אתרים​

מה חייב להופיע במדיניות הפרטיות על פי החוק?

• חובת/רשות מסירת המידע: ציון האם האדם מחויב על פי חוק למסור את המידע המבוקש, או שמסירת המידע תלויה ברצונו ובהסכמתו (כלומר, וולונטרית) . יש לפרט גם מה קורה אם מסרבים למסור מידע – למשל האם השירות לא יינתן במקרה כזה .
• מטרת איסוף המידע: תיאור מפורש של כל המטרות שלשמן מבוקש ונאסף המידע האישי. המשתמש צריך להבין באופן שקוף למה הנתונים שלו משמשים.
• סוגי המידע הנאסף: פירוט של אילו סוגי מידע אישי נאספים במסגרת האתר או השירות (לדוגמה: פרטי זיהוי, פרטי יצירת קשר, מידע פיננסי, נתוני שימוש, כתובת IP וכיו”ב). מידע זה חשוב כדי שהמשתמש יבין בדיוק אילו נתונים עליו לספק ומה נאסף עליו ברקע .
• מסירת מידע לצדדים שלישיים: יש לציין לאילו גורמים יימסר המידע האישי שלכם ומה מטרות המסירה. כלומר, מי אותם צדדים שלישיים (כגון ספקי שירות, שותפים, פלטפורמות פרסום) שעלולים לקבל גישה למידע, ובאילו תנאים.
• זהות ופרטי בעל המאגר: פרטים מזהים של בעל מאגר המידע (הגורם שאוסף ושולט במידע) ודרכי יצירת הקשר איתו . לרוב מדובר בשם החברה או העסק המפעיל את האתר, כתובת, אימייל ליצירת קשר ופרטי קשר נוספים. המשתמש זכאי לדעת בידי מי שמורים פרטיו.
• זכויות נושאי המידע: הבהרה על זכויות המשתמש ביחס למידע האישי שלו, כפי שהחוק בישראל מקנה – בעיקר זכות העיון (זכות לקבל עותק מהמידע שנשמר עליו) וזכות התיקון (לתקן מידע שגוי) . יש ליידע את המשתמש שקיימות זכויות אלה ולעדכן כיצד ניתן לממשן.
• תקופת שמירת המידע: אף שהחוק במפורש מדגיש זכאות המשתמש לדעת “מתי יימחק המידע”, מומלץ מאוד למדיניות לכלול הסבר תוך כמה זמן יימחק או יהפוך אנונימי המידע שנאסף . החוק והתקנות מעודדים צמצום שמירת מידע לזמן הדרוש בלבד, ולכן עליכם לציין למשך כמה זמן תשמרו נתונים אישיים (לדוגמה: “פרטים יימחקו כשכבר אינם נחוצים למטרה שלשמה נאספו, או כעבור פרק זמן שנקבע לפי דין”).

פירוט רכיבי מדיניות הפרטיות החיוניים

חובת מסירת מידע והשלכות הסירוב

מטרות איסוף ושימוש במידע

סוגי המידע הנאסף

• פרטי זיהוי ויצירת קשר: שם פרטי ושם משפחה, דוא”ל, מספר טלפון, כתובת למשלוח וכד’.
• פרטי חשבון: שם משתמש, סיסמה (אם נרשמים באתר).
• פרטים פיננסיים: במקרה של רכישות – מספר כרטיס אשראי (במידה ומוזן באתר) וכיו”ב, תוך הבהרה שאמצעי התשלום מעובדים בהתאם לתקנים (אם רלוונטי).
• נתוני שימוש וטכנולוגיה: כתובת IP, סוג הדפדפן, דפי האתר בהם ביקרת, קבצי Cookies וכד’ (נתונים הנאספים אוטומטית בעת הגלישה).
• מידע אחר שהמשתמש מספק מרצונו: למשל שדות “הערות” או תוכן פניות שהגולש ממלא.

מסירת מידע לצדדים שלישיים

• ספקי שירות טכני: חברת אחסון אתרים, שירות גיבוי נתונים בענן, ספק מערכת דיוור אלקטרוני, שירותי ניתוח תנועה (כגון Google Analytics) – אשר מקבלים גישה לנתונים רק לצורך תפעול האתר ושיפורו.
• שותפים עסקיים: אם יש לכם שיתופי פעולה שבהם מועבר מידע (למשל תוכנית שותפים, משלוחים באמצעות חברת שליחויות חיצונית שתקבל את פרטי הקונה, וכו’).
• פלטפורמות פרסום וטארגוט: למשל, שימוש בפיקסלים או עוגיות של רשתות חברתיות (Facebook Pixel, Google Ads) שעשויים להעביר מידע על פעילות המשתמש לצורכי פרסום ממוקד.
• גופים רגולטוריים או אכיפה: יש לציין שהמידע עשוי להימסר גם אם תחויבו לכך על פי דין (למשל לרשות המיסים, לבית משפט בצו וכד’). סעיף כזה מעניק כיסוי למקרים החוקיים הללו.

זכויות נושא המידע (זכויות המשתמש)

• זכות עיון במידע: הזכות לקבל מאת בעל המאגר אישור האם מידע לגבי אותו אדם שמור במאגר, ולעיין במידע זה. בפועל, המשמעות היא שמשתמש רשאי לפנות אליכם ולבקש לדעת איזה מידע שמור עליו במערכותיכם, ואף לקבל העתק ממנו. עליכם לאפשר זאת במסגרת הזמן הקבוע בחוק.
• זכות תיקון מידע: הזכות לבקש תיקון או עדכון של מידע אישי אם נמצא שאינו נכון, מלא או מעודכן. למשל, אם משתמש מגלה שכתובת האימייל שלו במערכת שגויה, או שמספר הטלפון שלו השתנה – עליו להיות מסוגל לפנות ולתקן זאת.
• זכות מחיקה (“להישכח”): יצוין כי תיקון 13 לחוק לא הוסיף בישראל זכות כללית למחיקת מידע כפי שקיימת ב-GDPR (ה”זכות להישכח” האירופית). לכן אין חובה משפטית גורפת למחוק מידע לבקשת אדם, אלא במקרים ספציפיים (למשל, אדם יכול לבקש להסירו מרשימת דיוור שיווקית על פי חוק הספאם). עם זאת, כצעד שירותי, יש עסקים שבכל זאת מאפשרים למחוק מידע לבקשת משתמש אם אין צורך עסקי או חוקי לשומרו. אפשר לציין במדיניות: “לבקשתך, ואם אין חובה משפטית להמשיך ולשמור את המידע, נמחוק מידע אישי מזהה אודותיך”. זה לא מזיק לציין, אך אינו נדרש בחוק הישראלי כרגע.

• משך שמירת המידע הפעילה: למשל, “פרטי החשבון שלך יישארו שמורים כל עוד החשבון פעיל. אם תסגור את החשבון, נמחק או נהפוך לאנונימיים את הנתונים שלך בתוך X ימים”.
• דרישות חוק אחרות: לעיתים קיימות חובות לשמור מידע לתקופה מינימלית – למשל, נתוני עסקאות וחשבוניות יש לשמור 7 שנים למטרות דיווח לרשויות המס. אפשר לציין: “פרטי רכישה יישמרו למשך שבע שנים, בהתאם לחובת שמירת רשומות לפי חוקי המס”.
• מידע שאינו בשימוש: מומלץ להוסיף שתבוצע סקירה תקופתית של המידע ולהסיר נתונים מיותרים. יש חברות שכותבות: “אנו מבצעים מחיקות של מידע מזוהה ממאגרינו אחת לשנה במידה ואינו נחוץ עוד למטרות שלשמן נאסף”.

זהות ופרטי קשר של בעל המאגר

דוגמאות לנוסח ידידותי במדיניות פרטיות

• וולונטריות מסירת מידע (דוגמה): “אין חובה חוקית למסור לנו מידע אישי – הדבר נתון לחלוטין לבחירתך. אם תחליט שלא לספק מידע מסוים, ייתכן שלא נוכל להעניק לך שירותים מסוימים (לדוגמה: לא נוכל לשלוח מוצר ללא כתובת למשלוח).”
• מטרת איסוף המידע (דוגמה): “אנו אוספים את המידע כדי שתוכל לקבל שירות טוב יותר: הפרטים שתמסור ישמשו אותנו לספק את המוצרים שהזמנת, לעדכן אותך בנוגע להזמנה, לשפר את האתר שלנו ולשלוח לך מפעם לפעם מבצעים והצעות (רק אם תרצה בכך).”
• סוגי מידע הנאסף (דוגמה): “המידע שאנו מבקשים כולל שם, כתובת, מספר טלפון וכתובת דוא"ל ליצירת קשר. בנוסף, כאשר אתה גולש באתר, המערכת שלנו שומרת מידע טכני כמו כתובת IP, סוג הדפדפן ודפים בהם צפית – זאת כדי לעזור לנו לאבטח את השירות ולשפר אותו.”
• שיתוף עם צדדים שלישיים (דוגמה): “אנחנו לא מעבירים את המידע האישי שלך לצדדים שלישיים למטרות שיווק. המידע משותף רק עם מי שצריך אותו להפעלת השירות – למשל, חברת השליחויות תקבל את שמך וכתובתך כדי למסור לך את החבילה, וספק שירות התשלומים יעבד את פרטי כרטיס האשראי שלך כדי להשלים את הרכישה. כל השותפים האלו מחויבים לשמור על סודיות הנתונים שלך.”
• זכויותיך בנוגע למידע (דוגמה): “בכל עת עומדת לך הזכות לפנות אלינו ולשאול איזה מידע שמרנו עליך, ולקבל עותק ממנו. אם מצאת שמשהו לא מדויק – למשל, מספר הטלפון שלך השתנה – הודע לנו ונעדכן אותו. אנחנו כאן כדי לוודא שהמידע שלך נכון ומעודכן בהתאם לבקשתך.”
• שמירת המידע (דוגמה): “אנחנו שומרים את המידע האישיי שלך רק כל עוד הוא נחוץ לנו כדי לספק לך את השירות. למשל, פרטי ההזמנות שלך יישמרו במערכת למשך שבע שנים (כפי שהחוק דורש לצרכי תיעוד), ולאחר מכן הם יימחקו בצורה מאובטחת מהמערכות שלנו.”
• פרטי יצירת קשר (דוגמה): “יש לך שאלה בנושא הפרטיות או רוצה לממש את זכויותיך? אנחנו זמינים עבורך – שלח לנו הודעה לכתובת [email protected], ונשמח לסייע בכל פנייה.”

דגשים חשובים לניסוח בהיר, רהוט וידידותי

• כתבו בשפה ברורה ופשוטה: הימנעו מז’רגון משפטי כבד. עדיף לכתוב “אנו אוספים את שמך וכתובת הדוא"ל שלך כדי לשלוח לך עדכונים” מאשר “החברה שומרת לעצמה את הזכות לעבד פרטי מידע דוגמת שם וכתובת אלקטרונית לצורך העברת הודעות מידע”. פנו אל הקורא בגוף שני (“את/ה”, “לך”) ובגוף ראשון רבים (“אנחנו”) – סגנון זה מרגיש אישי ואמין יותר. אם יש צורך במונח משפטי, נסו להסביר אותו בסוגריים או לבחור מונח פשוט יותר מקביל. זכרו: מטרת המדיניות שהמשתמש יבין אותה, לא להרשים עורכי דין.
• ארגנו את הטקסט עם כותרות ופסקאות קצרות: ממש כמו במאמר הזה – חלקו את המדיניות לסעיפים ברורים עם כותרות משנה, למשל: “איזה מידע אנחנו אוספים”, “למה אנחנו אוספים את המידע”, “עם מי אנחנו משתפים אותו”, “כמה זמן נשמור אותו”, “מה הזכויות שלך” וכד’. מבנה כזה עוזר למשתמש לסרוק במהירות ולמצוא את מה שמעניין אותו. הקפידו גם על פסקאות קצרות (2-4 משפטים בפסקה) או רשימות箇 (Bullet Points) כשמתאים, כדי למנוע “קירות” טקסט ארוכים ומרתיעים.
• היו כנים ומדויקים: אל תנסחו ניסוחים מתחמקים. עדיף לומר בבירור “אנו משתמשים בעוגיות (Cookies) למטרות ניתוח ושיווק” ולתאר זאת, מאשר לנסות להצניע עובדה זו. כל דבר שאתם באמת עושים – הגידו זאת. מנגד, אל תתחייבו למה שאינכם יכולים לקיים. למשל, אל תצהירו “המידע מאובטח בצורה מוחלטת ואינו חשוף לשום סיכון” – הבטחה לא ריאלית שעלולה להטיל עליכם אחריות. במקום זאת כתבו אמתית: “אנו מיישמים אמצעי אבטחה מקובלים להגנת המידע, אך אף שיטה אינה חסינה לחלוטין”.
• התאימו אישית את המדיניות לעסק שלכם: מדיניות פרטיות אינה מסמך גנרי שאפשר פשוט להעתיק מאתר אחר . לכל עסק יש סוגי מידע שונים, מטרות שונות וטכנולוגיות אחרות. שימוש בתבנית לא מתאימה עלול להותיר סעיפים בלתי רלוונטיים (או חסרים!), ולגרום לאי-עמידה בדרישות החוק. לדוגמה, אם אינכם מפעילים ניוזלטר – אין טעם לכלול סעיף על “שליחת עדכונים בדוא"ל” שמצאתם בתבנית כלשהי. מצד שני, אם יש לכם פעילות ייחודית (נניח אפליקציה סלולרית שצוברת מיקום GPS) – חייבים לכלול התייחסות ספציפית לכך. התייעצו עם מומחה והכינו את המדיניות בהתאמה אישית. הדבר גם יגן עליכם משפטית וגם ישדר מקצועיות למשתמשים.
• שמרו על טון ידידותי ומכבד: זכרו שמי שקורא את המדיניות יכול להיות כל אחד – לאו דווקא עורך דין, אלא לקוח סקרן או מודאג. כתבו כאילו אתם מדברים אל הלקוח, במידה מסוימת של רשמיות אך גם באדיבות. ניתן למשל להשתמש בגוף שני (“תוכל לבקש להסיר את עצמך מרשימת התפוצה בכל עת…”) ובפנייה ישירה. הימנעו ממשפטים מאיימים או מתנשאים. המטרה היא שהמשתמש ירגיש בנוח ויראה בכם גורם אמין.
• הבליטו נקודות רגישות: אם יש חלקים שעשויים להטריד משתמשים – למשל, שימוש במידע למטרות שיווקיות או העברה לגורם בחו”ל – דווקא אותם חשוב להסביר באופן שקוף. אולי אפילו שקלו להוסיף להם הדגשה גרפית (כמו כותרת משנה “פרסום והתאמה אישית” או “העברת מידע לחו"ל” אם רלוונטי). לעיתים עדיף להציף נושאים רגישים מיוזמתכם מאשר לחכות שהמשתמש ישאל. זה מפגין אחריות ועמידה ברוח החוק של שקיפות.
• דאגו לתרגום במידת הצורך: אם קהל המשתמשים שלכם כולל גם דוברי שפות אחרות (אנגלית, רוסית, ערבית וכו’), רצוי לספק גרסה של מדיניות הפרטיות גם באותן שפות. לפי חוק הגנת הצרכן, למשל, אם השירות משווק לציבור דובר עברית, המסמכים אמורים להיות בעברית; אך רצוי שהמידע יהיה נגיש בכל שפה שרלוונטית לקהל היעד שלכם. שימו לב לתאם בין הגרסאות - שכולן יהיו מעודכנות זהות.
• עדכנו את המדיניות לפי הצורך: מדיניות פרטיות אינה “שגר ושכח”. טכנולוגיות, שיטות שימוש במידע והוראות החוק משתנים מעת לעת. בדקו לפחות פעם בשנה האם יש צורך לעדכן את המדיניות – למשל, אם הוספתם פיצ’ר חדש שמבקש מידע נוסף, אם התחלתם להשתמש בכלי אנליטיקס חדש, או אם עבר חוק חדש שמשפיע (כמו תיקון לחוק או רגולציה חדשה). תקנות אבטחת המידע אף מחייבות בחינה שנתית של נהלי המידע – וטוב לשלב זאת גם בעדכון גילוי נאות למשתמשים במדיניות. אם נעשה עדכון מהותי, שקלו להודיע עליו למשתמשים (למשל בדוא”ל או בהודעה באתר), מתוך הוגנות וכדי לחזק אמון. גרסאות מתאריכים שונים ניתן לשמור בארכיון באתר לצרכי שקיפות.

לסיכום – אל תשאירו את הפרטיות ליד המקרה