מדיניות פרטיות לאתר 2026 - מה חייב לכלול לפי תיקון 13 (+ תבנית)

מאז שתיקון 13 לחוק הגנת הפרטיות נכנס לתוקף ב-14 באוגוסט 2025, מדיניות פרטיות באתר הפכה ממסמך פורמלי שמעתיקים מאתר אחר למסמך שצריך לשקף באמת מה אתם עושים עם המידע. המאמר הזה מפרט מה חייבת לכלול מדיניות פרטיות עדכנית, נותן תבנית בסיסית להעתקה, ומסמן את הנקודות שבהן תבנית גנרית לא מספיקה.

למה הטופס הישן כבר לא מספיק

רוב האתרים בישראל מציגים מדיניות פרטיות שהועתקה לפני שנים, לרוב מאתר אחר בענף. הבעיה כפולה: היא לא מתארת נכון מה האתר באמת אוסף, והיא לא מתייחסת לדרישות שתיקון 13 חידד. התיקון חיזק את סמכויות האכיפה של הרשות להגנת הפרטיות והכניס עיצומים כספיים, כך שמסמך לא מדויק כבר אינו רק פגם אסתטי אלא חשיפה.

מדיניות פרטיות טובה היא בראש ובראשונה תיאור אמיתי ושקוף. אם כתוב בה שאתם לא משתפים מידע עם צד שלישי, אבל בפועל יש לכם פיקסל של פייסבוק וגוגל אנליטיקס, המסמך שקרי. לכן אי אפשר באמת "להוריד תבנית ולסיים". התבנית היא נקודת פתיחה, לא קו סיום.

מה חייבת לכלול מדיניות פרטיות ב-2026

הנה הרכיבים שמדיניות פרטיות עדכנית צריכה לכסות:

1. מי בעל מאגר המידע. שם העסק או החברה, מספר ח.פ או ע.מ, וכתובת. אם יש מאגר רשום, גם פרטי הרישום.
2. אילו נתונים נאספים. הבחנה בין מידע שהמשתמש מוסר ביוזמתו (טופס יצירת קשר, הרשמה, רכישה) לבין מידע שנאסף אוטומטית (כתובת IP, קוקיז, נתוני גלישה).
3. לאיזו מטרה. כל סוג מידע נאסף למטרה מוגדרת. מתן שירות, יצירת קשר חוזר, דיוור שיווקי, שיפור האתר. תיקון 13 מדגיש שאיסוף צריך להיות תכליתי ולא "ליתר ביטחון".
4. בסיס ההסכמה. איך המשתמש מסכים, ואיך הוא יכול לחזור בו. בטופס שאוסף מידע נדרשת הסכמה מדעת, לא תיבת סימון מסומנת מראש.
5. שיתוף עם צד שלישי. ספקי דיוור, מערכות סליקה, כלי אנליטיקה, רשתות פרסום. צריך לפרט את הקטגוריות, ולעיתים גם להבהיר אם מידע עובר לחו"ל.
6. משך שמירת המידע. כמה זמן אתם שומרים את הנתונים ומה קורה אחרי.
7. זכויות נושא המידע. הזכות לעיין במידע, לבקש תיקון, ולבקש מחיקה. כתובת או טופס שאליו פונים בפועל.
8. אבטחת מידע. משפט ענייני על האמצעים שננקטים. לא הבטחות גורפות, אלא הצהרה אמיתית. הצד הטכני של זה מפורט בצ׳קליסט אבטחת המידע לבעל עסק.
9. קוקיז ומעקב. איזה קוקיז יש באתר ולמה. לטיפול הנכון בהסכמה בטפסים, ראו הסכמה לאיסוף מידע וקוקיז.
10. פרטי קשר לנושא פרטיות. איש קשר או כתובת מייל ייעודית לפניות בנושא מידע אישי.
11. תאריך עדכון אחרון. מסמך חי, עם תאריך הגרסה הנוכחית.

תבנית בסיסית להעתקה

הנה שלד שאפשר להעתיק ולהתאים. הוא נקודת פתיחה בלבד, לא ייעוץ משפטי, ויש להחליף את כל השדות בסוגריים ולמחוק את מה שלא רלוונטי לאתר שלכם.

מדיניות פרטיות

אתר [שם האתר] (להלן "האתר") מופעל על ידי [שם העסק], ח.פ/ע.מ [מספר], מרחוב [כתובת]. אנו מכבדים את פרטיות המשתמשים ומחויבים להגן על המידע האישי הנמסר לנו.

המידע שאנו אוספים. במהלך השימוש באתר אנו עשויים לאסוף: (א) מידע שאתם מוסרים ביוזמתכם, כגון שם, טלפון, דוא"ל ופרטים שמולאו בטפסים; (ב) מידע הנאסף אוטומטית, כגון כתובת IP, סוג דפדפן ונתוני גלישה באמצעות קבצי Cookie.

מטרות השימוש. המידע משמש למתן השירות המבוקש, ליצירת קשר, לטיפול בפניות, ובכפוף להסכמתכם גם לדיוור. איננו אוספים מידע מעבר לנדרש למטרות אלה.

העברה לצד שלישי. איננו מוכרים מידע אישי. אנו עשויים לשתף מידע עם ספקי שירות הפועלים מטעמנו (אחסון, סליקה, דיוור, אנליטיקה), במידה הנדרשת לאספקת השירות.

שמירת מידע. המידע נשמר למשך הזמן הנדרש למטרות שלשמן נאסף או כנדרש על פי דין.

זכויותיכם. הנכם זכאים לעיין במידע אודותיכם, לבקש את תיקונו או מחיקתו. לפנייה: [דוא"ל ייעודי].

אבטחת מידע. אנו נוקטים אמצעים סבירים לאבטחת המידע מפני גישה, שימוש או חשיפה בלתי מורשים.

עדכונים. מדיניות זו עודכנה לאחרונה ביום [תאריך]. אנו רשאים לעדכן אותה מעת לעת.

איפה תבנית נכשלת

תבנית מכסה את המבנה, אבל שלוש נקודות קריטיות תלויות במה שבאמת קורה באתר שלכם:

• התאמה למציאות. אם הפיסקה על "צד שלישי" לא כוללת את כלי האנליטיקה והפיקסלים שמותקנים אצלכם, היא לא נכונה. צריך למפות בפועל מה רץ באתר.
• חיווט הטופס. מדיניות יפה לא שווה הרבה אם טופס יצירת הקשר אוסף הסכמה בצורה שגויה, או שולח מידע לכלי חיצוני בלי שצוין. ההסכמה והמסמך צריכים לדבר באותה שפה.
• אבטחה אמיתית. הצהרה ש"ננקטים אמצעי אבטחה" כשהאתר רץ על תוסף לא מעודכן וללא גיבוי היא הצהרה ריקה. הפן הטכני של עמידה בתקנות הוא חלק בלתי נפרד, ומפורט במדריך תיקון 13 לבעלי אתרים.

הקמה מסודרת דרך OCW

אם אתם מעדיפים שמישהו פשוט יסדר את זה נכון, אנחנו עושים את זה כחלק מחבילת אחריות 360. ארבעת הפילרים שלה הם אבטחה, נגישות, פרטיות ותחזוקה טכנית. בפילר הפרטיות אנחנו ממפים מה האתר באמת אוסף, מתאימים את מדיניות הפרטיות למציאות, מחווטים את ההסכמה בטפסים, ודואגים שהצד הטכני יתמוך בהצהרות. אפשר גם הקמה חד-פעמית ללא ליווי מתמשך.

פנו אלינו דרך עמוד יצירת הקשר ונבדוק מה האתר שלכם צריך.

שאלות נפוצות

האם חובה שתהיה מדיניות פרטיות באתר? כל אתר שאוסף מידע אישי, ולו רק טופס יצירת קשר עם שם וטלפון, צריך מדיניות פרטיות שתשקף נכון את האיסוף. תיקון 13 מחזק את הציפייה לשקיפות ואת סמכויות האכיפה.

אפשר פשוט להעתיק מדיניות מאתר אחר? לא מומלץ. מסמך מועתק כמעט תמיד מתאר איסוף שונה ממה שקורה אצלכם, ומסמך לא מדויק הוא חשיפה ולא הגנה. השתמשו בתבנית כשלד והתאימו אותה למה שהאתר שלכם באמת עושה.

מדיניות פרטיות מספיקה כדי לעמוד בחוק? היא תנאי הכרחי אבל לא מספיק. לצדה נדרשים הסכמה תקינה בטפסים, אבטחת מידע בפועל, וטיפול נכון בקוקיז. המסמך מתאר את ההתנהלות, הוא לא מחליף אותה.