ליצירת קשר

מדיניות הפרטיות של Alizab.art

 

מטרת המדיניות והיקפה

 

מדיניות פרטיות זו מפרטת את האופן שבו אתר Alizab.art אוסף, משתמש, מאחסן, משתף ומגן על המידע האישי של מבקריו ומשתמשיו. מטרתה להבטיח שקיפות מלאה ולעמוד בדרישות הרגולציה בישראל, ובראשן הוראות חוק הגנת הפרטיות, התשמ”א-1981 (להלן: “החוק” או “חוק הגנת הפרטיות”).1 החוק מהווה את המסגרת המרכזית המסדירה את הזכות לפרטיות בישראל, מגדיר פגיעה בפרטיות כעוולה אזרחית ועבירה פלילית, ומטיל חובות על בעלי מאגרי מידע.1 הרשות להגנת הפרטיות, כגוף הרגולטורי והאוכף בישראל, אחראית על הגנת המידע האישי המוחזק במאגרים דיגיטליים.3

חשוב לציין כי מדיניות זו אינה רק הצהרה סטטית, אלא מסמך חי המותאם להתפתחויות הרגולטוריות. הכנסת אישרה את תיקון מס’ 13 לחוק הגנת הפרטיות באוגוסט 2024, והוא ייכנס לתוקף המלא באוגוסט 2025.6 תיקון זה מרחיב משמעותית את דרישות השקיפות, מעניק סמכויות אכיפה מוגברות לרשות להגנת הפרטיות, ומקרב את החוק הישראלי לתקנות הגנת מידע מודרניות דוגמת ה-GDPR האירופי.6 על כן, מדיניות זו נבנית מתוך ראייה עתידית, תוך שילוב ההוראות הקיימות והצפויות של תיקון 13. גישה פרואקטיבית זו מבטיחה עמידה רציפה בדרישות החוק, מפחיתה את הצורך בעדכונים תכופים בעת כניסת התיקון לתוקף, וממזערת את הסיכונים המשפטיים, לרבות קנסות כספיים, תביעות אזרחיות ואף הליכים פליליים במקרה של הפרה.2

 

פרטי בעלת האתר

 

בעלת האתר Alizab.art והאחראית על עיבוד המידע האישי (להלן: “בעלת מאגר המידע” או “הבקר”) היא:

  • שם מלא: עליזה ברמץ
  • שם האתר: Alizab.art
  • מספר טלפון: 0503494143
  • מספר ח״פ: 209287531
  • כתובת מייל: Co*****@****ab.art

2. הגדרות מפתח בחוק הגנת הפרטיות הישראלי

 

“מידע אישי” ו”מידע רגיש”

 

חוק הגנת הפרטיות מגדיר “מידע” כ”נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו”.3 הגדרה רחבה זו כוללת לא רק מזהים ברורים כמו שם או כתובת, אלא גם “מידע מפתח” – נתונים שבעצמם אינם בעלי משמעות אישית אך מאפשרים לאגור מידע ולהסיק מסקנות אישיות, כגון מספר טלפון, מספר תעודת זהות או מידע ביומטרי.16 המשמעות היא שגם נתונים שנראים תמימים לכאורה, כאשר הם נאספים ומשויכים לאדם, הופכים למידע אישי המוגן על פי החוק.16

בנוסף ל”מידע אישי”, החוק מתייחס גם ל”מידע רגיש”. בעוד שהחוק המקורי לא כלל הגדרה מפורשת ל”מידע רגיש”, הרשות להגנת הפרטיות פרסמה גילויי דעת בנושא.19 תיקון 13 לחוק הגנת הפרטיות החליף את המונח “מידע רגיש” ב”מידע רגיש במיוחד”, הכולל מידע על חייו האינטימיים של אדם, מצבו הרפואי או הנפשי, נתונים גנטיים, מזהים ביומטריים, מוצא אתני ורישומים פליליים.7

ההגדרה הרחבה של “מידע אישי” מחייבת את בעלת האתר להבין שכל אינטראקציה באתר, החל ממילוי טופס ועד לגלישה פשוטה, עשויה לכלול איסוף מידע אישי. הדבר מחייב גישה מקיפה להגנת הפרטיות, שבה כל נקודות איסוף הנתונים מזוהות ומטופלות בהתאם לחוק. עקרון “מזעור המידע” (Data Minimization) קובע כי יש לאסוף רק את המידע הנחוץ באופן מידתי למטרה לשמה הוא נאסף, ולמחוק אותו כאשר אינו נחוץ עוד.7

 

“מאגר מידע”

 

חוק הגנת הפרטיות מגדיר “מאגר מידע” כ”אוסף נתונים, המוחזק באמצעים מגנטיים או אופטיים ומיועד לעיבוד ממוחשב”.3 הגדרה זו כוללת למעשה כל אתר אינטרנט שאוסף ומשמר מידע דיגיטלי על משתמשים, גם אם מדובר באתר קטן. אתרי וורדפרס, ובמיוחד כאלה המשתמשים באלמנטור, אוספים מידע באופן מובנה. לדוגמה, טפסי יצירת קשר של אלמנטור מאפשרים איסוף, גיבוי וניהול נתוני הגשות טפסים ישירות מממשק הניהול של וורדפרס.20 בנוסף, וורדפרס כברירת מחדל מאחסנת נתוני משתמשים (כגון שם משתמש וכתובת מייל) בטבלאות

wp_users ו-wp_usermeta בעת הרשמה 21, ופרטי תגובות (כולל שם, מייל, כתובת IP ותוכן התגובה) בטבלת

wp_comments.21

המשמעות היא שאתר Alizab.art, מעצם פעילותו ושימושיו בפלטפורמות אלו, נחשב ל”מאגר מידע” על פי חוק הגנת הפרטיות.3 סיווג זה מטיל על עליזה ברמץ, כבעלת האתר, שורה של חובות רגולטוריות משמעותיות, גם אם היא אינה תאגיד גדול או עסק המנהל אלפי רשומות. הבנה זו היא קריטית, שכן בעלי אתרים קטנים רבים אינם מודעים לכך שפעילותם היומיומית באתר מקימה עליהם חובות משפטיות בתחום הגנת הפרטיות. מדיניות זו נועדה להבהיר את היקף האחריות ולסייע בעמידה בה.

 

3. איסוף מידע אישי: סוגים ושיטות

 

אתר Alizab.art אוסף מידע אישי ממבקריו ומשתמשיו בשתי דרכים עיקריות: באופן ישיר (כאשר המשתמש מספק את המידע מרצונו) ובאופן אוטומטי (כאשר המידע נאסף כחלק מפעילות הגלישה).

 

מידע הנאסף באופן ישיר

 

מידע זה נמסר על ידי המשתמשים באופן יזום ופעיל, לרוב באמצעות טפסים או תהליכי הרשמה באתר:

  • טפסי יצירת קשר (אלמנטור): כאשר משתמשים מגישים טפסים באתר (לדוגמה, טופס יצירת קשר או טופס הרשמה לניוזלטר), אלמנטור אוסף את המידע שהוזן בטופס. מידע זה נשמר בממשק הניהול של וורדפרס תחת “Elementor > Submissions” וניתן לייצא אותו כקובץ CSV.20
  • הרשמת משתמשים (וורדפרס): אם קיימת אפשרות להרשמת משתמשים באתר, וורדפרס אוספת כברירת מחדל שם משתמש וכתובת דוא”ל.22 תוספים שונים מאפשרים הוספת שדות מותאמים אישית לטפסי ההרשמה, ובכך לאסוף מידע נוסף.22 נתונים אלה נשמרים בטבלאות הליבה של וורדפרס,
    wp_users ו-wp_usermeta.21
  • תגובות (וורדפרס): כאשר משתמשים מותירים תגובות בפוסטים או בעמודים, וורדפרס אוספת את שמם, כתובת הדוא”ל שלהם, כתובת האתר (אם סופקה), כתובת ה-IP ותוכן התגובה עצמה.21 בנוסף, עוגיות (Cookies) עשויות לשמש לזכירת פרטים אלה לצורך תגובות עתידיות.27
  • הזנת נתונים אחרת: כל מקרה אחר שבו משתמשים מזינים מידע באופן ידני, כגון הרשמה לרשימת תפוצה, הזמנת שירותים או שליחת הודעות ישירות.

השימוש בפונקציונליות סטנדרטית של וורדפרס ואלמנטור, כמו טפסים, תגובות והרשמת משתמשים, מביא לאיסוף אוטומטי של מידע אישי, גם אם בעלת האתר אינה מודעת לכל הפרטים הנאספים. לדוגמה, כתובת IP נאספת באופן מובנה עם כל תגובה.21 לכן, חיוני שמדיניות הפרטיות תפרט במפורש את כל נקודות איסוף הנתונים הללו ותבסס את האיסוף על בסיס חוקי, בראש ובראשונה הסכמה מדעת של המשתמשים.4

 

מידע הנאסף באופן אוטומטי

 

מידע זה נאסף באופן פסיבי בעת אינטראקציית המשתמש עם האתר, ללא צורך בהזנה יזומה:

  • כתובות IP: אתרים רושמים באופן שיטתי כתובות IP ברגע שמשתמש מתחבר אליהם. מידע זה מספק הערכה גסה של מיקום המשתמש ומשך שהותו בחלקים שונים של האתר.21
  • נתוני מכשיר ודפדפן: נאספים פרטים כגון סוג המכשיר, מערכת ההפעלה, מאפייני הדפדפן ומזהי מכשיר.31
  • כתובות URL מפנות: מידע על האופן שבו המשתמש הגיע לאתר (לדוגמה, מאיזה אתר או חיפוש).33
  • נתוני שימוש באתר: מידע על אופן האינטראקציה של המשתמשים עם האתר, כגון העמודים שבהם ביקרו, משך השהייה, הקלקות ודפוסי ניווט.30

שימוש בעוגיות ובטכנולוגיות מעקב אחרות

 

עוגיות (Cookies) הן קבצי טקסט קטנים הנשלחים על ידי אתר אינטרנט לדפדפן של המשתמש ונשמרים במחשבו. הן משמשות למגוון מטרות, כולל ניטור היסטוריית גלישה, רישום ביקורים, התאמה אישית של דפי נחיתה ושמירה על מצב התחברות.30

  • שימוש בעוגיות באלמנטור: אלמנטור עצמו (בגרסת הפרו) אינו מוגדר כמי ששם עוגיות HTTP באופן ישיר. במקום זאת, הוא משתמש ב-Local Storage וב-Session Storage של הדפדפן, אשר מבחינה משפטית מטופלים כעוגיות.35 שימוש זה נחשב חיוני לפעילות תקינה של האתר, למשל למניעת הצגה חוזרת של חלונות קופצים (pop-ups).35 גרסת החינם של אלמנטור אינה קובעת עוגיות כלל.35
  • סוגי עוגיות בשימוש:
  • עוגיות חיוניות (Essential Cookies): אלה הכרחיות לתפקוד תקין של השירותים ואינן ניתנות לנטרול. הן מוגדרות לרוב בתגובה לפעולות שבוצעו על ידי המשתמש, כגון ניווט או הגדרת העדפות, ואינן אוגרות מידע אישי למטרות אחרות.36
  • עוגיות העדפה ופונקציונליות (Preferences & Functional Cookies): עוגיות אלו מאפשרות פונקציונליות משופרת והתאמה אישית. הן יכולות להיות מוגדרות על ידי האתר עצמו (עוגיות צד ראשון) או על ידי ספקי צד שלישי העובדים עם האתר.36
  • עוגיות ביצועים ואנליטיקה (Performance & Analytics Cookies): עוגיות אלו משמשות לשימוש פנימי בלבד, מסייעות לאבטח ולתחזק את השירותים, לזכור העדפות משתמשים ולאסוף נתוני אנליטיקה על אופן האינטראקציה עם השירותים, במטרה לשפר את ביצועי האתר.36 דוגמה נפוצה היא Google Analytics, האוסף נתונים סטטיסטיים על סשנים, מיקום גיאוגרפי משוער, מידע על דפדפן ומכשיר, ומזהה לקוח ייחודי.31
  • עוגיות טרגוט ופרסום (Targeting & Advertising Cookies): עוגיות אלו הופכות פרסומות לרלוונטיות יותר למשתמש. שותפי פרסום עשויים להשתמש בהן כדי להציג מודעות רלוונטיות באתרים שונים על ידי זיהוי ייחודי של הדפדפן והמכשיר.36
  • עוגיות צד שלישי וטכנולוגיות מעקב נוספות: ווידג’טים שונים באלמנטור (כמו Google Analytics או Google Maps) עשויים להעביר נתונים לצדדים שלישיים (כמו גוגל) ולקבוע עוגיות נוספות שאינן חיוניות.35 טכנולוגיות מעקב נוספות כוללות “משואות רשת” (Web Beacons) או “פיקסלי ריגול” (Spy Pixels) ו”טביעות אצבע” (Fingerprinting), המאפשרות זיהוי משתמשים וניטור פעילותם.30

למשתמשים קיימת אפשרות לשלוט בשימוש בעוגיות באמצעות הגדרות הדפדפן שלהם, אם כי דחייה או הסרה של עוגיות מסוימות עלולה להשפיע על תקינות השירותים באתר.36 מומלץ להציג באנר הסכמה לעוגיות כדי לעמוד בדרישות הרגולציה.13

האינטראקציה בין פונקציונליות ברירת המחדל של וורדפרס ואלמנטור לבין שילובים של צד שלישי (כמו תוספים ושירותי אנליטיקה) מרחיבה באופן משמעותי את טביעת הרגל של איסוף הנתונים. בעלת האתר נדרשת לבצע בדיקה מקיפה של כל התוספים והשירותים המשולבים ב-Alizab.art כדי לזהות את כל נקודות איסוף הנתונים והעוגיות הנלוות אליהן. מדיניות הפרטיות חייבת להבחין בבירור בין הנתונים הנאספים על ידי הפלטפורמה המרכזית לבין אלה הנאספים על ידי שילובים של צד שלישי, ולהסביר את מטרת כל סוג עוגייה ואופן ניהול ההעדפות על ידי המשתמשים, במיוחד עבור עוגיות שאינן חיוניות.

 

טבלה 1: סוגי מידע אישי נאסף ומטרותיו

 

הטבלה הבאה מפרטת את סוגי המידע האישי הנאספים על ידי Alizab.art, שיטות האיסוף, והמטרות הספציפיות לשמן נאסף המידע. שקיפות זו חיונית לעמידה בדרישות חוק הגנת הפרטיות, במיוחד לאור הדגש על הסכמה מדעת ודרישות השקיפות המורחבות של תיקון 13.7 היא מאפשרת למשתמשים להבין בבירור איזה מידע נאסף עליהם ולשם מה, ובכך לבנות אמון ולהפגין הקפדה על עקרון מזעור המידע.7

 

סוג המידע האישי הנאסף

שיטת האיסוף

מטרת האיסוף

שם מלא

טפסי יצירת קשר, הרשמת משתמשים, תגובות

מתן שירות, יצירת קשר, ניהול חשבון/הזמנות (אם רלוונטי)

כתובת דוא”ל

טפסי יצירת קשר, הרשמת משתמשים, הרשמה לניוזלטר, תגובות

יצירת קשר, ניהול חשבון, שליחת עדכונים שיווקיים (בכפוף להסכמה)

מספר טלפון

טפסי יצירת קשר

יצירת קשר, מתן שירות

כתובת למשלוח

טפסי הזמנה/רכישה (אם רלוונטי)

עיבוד הזמנות ומשלוח מוצרים

כתובת IP

איסוף אוטומטי, תגובות, כלי אנליטיקה

אבטחת האתר, מניעת הונאות, ניתוח תעבורה כללי, איתור תקלות

נתוני מכשיר ודפדפן (סוג מכשיר, מערכת הפעלה, דפדפן)

איסוף אוטומטי, עוגיות, כלי אנליטיקה

שיפור חווית משתמש, אופטימיזציה טכנית, אנליטיקה

נתוני שימוש באתר (עמודים נצפים, זמן שהייה, הקלקות)

עוגיות, כלי אנליטיקה

הבנת התנהגות משתמשים, שיפור האתר, התאמת תוכן

נתוני תשלום (פרטי כרטיס אשראי, חשבון בנק)

טפסי תשלום (דרך ספקי סליקה חיצוניים)

עיבוד תשלומים עבור רכישות (הנתונים נשמרים אצל ספק הסליקה)

נתוני התנהגות (פתיחות מיילים, הקלקות בניוזלטר)

שירותי דיוור אלקטרוני

אופטימיזציה של קמפיינים שיווקיים, התאמת תוכן

4. מטרות עיבוד המידע האישי

 

עיבוד המידע האישי באתר Alizab.art מתבצע למטרות ספציפיות, מוגדרות ולגיטימיות, בהתאם לעקרון “צמידות המטרה” הקבוע בחוק הגנת הפרטיות. עקרון זה אוסר על שימוש או העברה של מידע למטרה שונה מזו שלשמה נמסר המידע מלכתחילה.4 כל שימוש חדש במידע דורש הסכמה מדעת מחודשת של נושא המידע.28

מטרות עיבוד המידע העיקריות הן:

  • מתן שירותים ותפעול האתר: עיבוד המידע חיוני לאפשר למשתמשים ליצור חשבונות, לעבד פניות דרך טפסי יצירת קשר, לנהל הזמנות (אם רלוונטי בעתיד), ולהבטיח את התפקוד הבסיסי והתקין של האתר.38
  • שיפור חווית המשתמש: המידע הנאסף משמש להתאמה אישית של התוכן המוצג, לזכירת העדפות המשתמש (כגון שפה או מצב התחברות באמצעות עוגיות), ולאופטימיזציה של ביצועי האתר בהתבסס על נתוני אנליטיקה.36 זה מאפשר לספק חווית גלישה חלקה ורלוונטית יותר.
  • שיווק ותקשורת: בכפוף להסכמת המשתמש, המידע עשוי לשמש לשליחת ניוזלטרים, הצעות קידום מכירות ועדכונים רלוונטיים. כמו כן, המידע מאפשר מענה לפניות משתמשים ותקשורת שוטפת.11
  • עמידה בדרישות חוקיות ואבטחה: עיבוד מידע נדרש לצורך עמידה בחובות חוקיות ורגולטוריות, מניעת הונאות ופעילויות בלתי חוקיות, ומתן מענה לבקשות לגיטימיות מצד רשויות אכיפת החוק.33

הקפדה על הגדרת מטרות ברורות וספציפיות לכל סוג מידע שנאסף היא אבן יסוד בציות לחוק הגנת הפרטיות. עליזה ברמץ מחויבת לוודא שכל שימוש במידע תואם את המטרות המוצהרות במדיניות זו. כל סטייה מהמטרה המקורית עלולה להוות הפרה של החוק, שדינה עוולה אזרחית ואף עבירה פלילית.4

 

5. הבסיס החוקי לעיבוד מידע

 

עיבוד מידע אישי על ידי Alizab.art מתבצע בהתבסס על אחד או יותר מהבסיסים המשפטיים הבאים, בהתאם לדרישות חוק הגנת הפרטיות:

 

הסכמה מדעת

 

הסכמה מדעת היא הבסיס החוקי העיקרי לעיבוד מידע אישי בישראל, ומהווה את הדרך המרכזית למנוע פגיעה בפרטיות.3 הסכמה זו יכולה להיות מפורשת או משתמעת, אך בכל מקרה עליה להיות “מדעת”.4 המשמעות היא שנושא המידע חייב להיות מודע לתוכן הבקשה, למטרותיה, ולהשלכות הסכמתו או סירובו.28 הרשות להגנת הפרטיות מדגישה כי תוכן ההסכמה חייב להיות מוצג באופן ברור, נגיש ומובן, תוך הימנעות מניסוחים ומונחים שאינם ברורים לאדם הסביר.28 תיקון 13 לחוק הגנת הפרטיות מרחיב את דרישות היידוע בעת קבלת הסכמה, ודורש לכלול גם את ההשלכות של סירוב למסירת המידע.8

Alizab.art שואפת לקבל הסכמה מפורשת ופעילה (לדוגמה, באמצעות תיבות סימון ייעודיות) עבור איסוף ועיבוד מידע שאינו חיוני לתפעול הבסיסי של האתר, כגון הרשמה לניוזלטר או שימוש בעוגיות שאינן חיוניות. עבור מידע הנחוץ באופן מובהק לתפעול האתר (כגון עוגיות חיוניות או רישומי אבטחה בסיסיים), ההסתמכות היא על הסכמה משתמעת הנובעת מהמשך השימוש באתר, תוך גילוי נאות ומקיף במדיניות פרטיות זו. מדיניות זו מפרטת בבירור מתי מתבקשת הסכמה ומה היא כוללת, ומבחינה בין עיבוד מידע חיוני לבין עיבוד מידע שאינו חיוני.

 

אינטרס לגיטימי

 

אף ש”אינטרס לגיטימי” אינו מוגדר כבסיס חוקי עצמאי לעיבוד מידע באותה מידה כמו ב-GDPR, החוק הישראלי מכיר בו כהגנה מפני פגיעה בפרטיות בנסיבות מסוימות, כאשר הפגיעה בוצעה לשם הגנה על אינטרס אישי לגיטימי של המפר.18 בפרקטיקה, ניתן להסתמך על אינטרס לגיטימי עבור פעולות עיבוד מידע הנחוצות לתפעול האתר או לאבטחתו, ואינן פוגעות באופן משמעותי בפרטיות המשתמשים. לדוגמה, שימוש בעוגיות חיוניות המאפשרות את תקינות האתר (כמו מניעת הצגה חוזרת של חלונות קופצים) נחשב חיוני לתפקוד השירות ואינו דורש הסכמה מפורשת נפרדת מעבר לגילוי במדיניות הפרטיות.35

 

חובה חוקית

 

במקרים מסוימים, עיבוד מידע אישי עשוי להיות הכרחי לצורך עמידה בחובה חוקית המוטלת על בעלת האתר.24 לדוגמה, מסירת מידע לרשויות אכיפת החוק בהתאם לצו שיפוטי או חובה חוקית אחרת.

 

6. שיתוף מידע עם צדדים שלישיים

 

Alizab.art עשויה לשתף מידע אישי עם צדדים שלישיים, אך ורק למטרות המפורטות במדיניות זו, ובהתאם להוראות חוק הגנת הפרטיות והתקנות מכוחו. שיתוף מידע זה מתבצע תוך הקפדה על צמצום היקף המידע המועבר למינימום ההכרחי.

 

ספקי שירותים

 

תפעול אתר אינטרנט כרוך לרוב בשימוש בשירותים של צדדים שלישיים, אשר עשויים לעבד מידע אישי בשם בעלת האתר. ספקים אלה כוללים, בין היתר:

  • ספק אירוח אתרים (Hosting Provider): ספק האירוח מאחסן את קבצי האתר, כולל את מאגר המידע המכיל את נתוני המשתמשים.42
  • שירותי סליקה (Payment Gateways): אם האתר יכלול בעתיד אפשרות לרכישות, שירותי סליקה כגון PayPal או Flywire יאספו ויעבדו פרטי תשלום ומידע אישי (כמו שם, כתובת מייל, כתובת למשלוח) לצורך השלמת העסקה ומניעת הונאות.33 חשוב לציין כי מדיניות הפרטיות של ספקי הסליקה עצמם חלה על המידע שהם אוספים.33
  • שירותי אנליטיקה (Analytics Services): כלים כמו Google Analytics אוספים נתונים על התנהגות משתמשים באתר, כגון כתובת IP משוערת, נתוני מכשיר ודפדפן, וסטטיסטיקות סשנים.31 אלמנטור מאפשר שילוב של ווידג’טים אלה.35
  • שירותי דיוור אלקטרוני (Email Marketing Services): שירותים אלה, כגון MailChimp או HubSpot, משמשים לניהול רשימות תפוצה ושליחת הודעות שיווקיות. הם אוספים שמות, כתובות מייל ונתונים התנהגותיים (כמו שיעורי פתיחה והקלקות).11
  • תוספי וורדפרס: תוספים רבים בוורדפרס עשויים לאסוף או לעבד מידע, וחלקם עשויים לשתף אותו עם צדדים שלישיים.20

כאשר Alizab.art מתקשרת עם גורם חיצוני לצורך קבלת שירות הכרוך בעיבוד מידע אישי, היא מחויבת לכלול בהסכם עמו הוראות ספציפיות הנוגעות לאבטחת המידע והשימוש בו (הסכם לעיבוד מידע או Data Processing Agreement – DPA).2 הסכם זה מבטיח שהצד השלישי ינקוט באמצעי הגנה נאותים וישתמש במידע אך ורק למטרות שהוגדרו.

 

העברת מידע מחוץ לישראל

 

תקנות הגנת הפרטיות (העברת מידע למאגרי מידע מחוץ לגבולות המדינה), התשס”א-2001, אוסרות על העברת מידע ממאגר בישראל למאגר הנמצא בחו”ל, אלא אם המדינה המקבלת מבטיחה רמת הגנה על מידע השווה או עולה על זו הקבועה בחוק הישראלי.46

העברת מידע מותרת באחד מהמקרים הבאים:

  • בכפוף להסכמה מפורשת של נושא המידע.46
  • כאשר ההעברה הכרחית לביצוע חוזה.46
  • כאשר המדינה המקבלת מוכרת כבעלת רמת הגנה נאותה (לדוגמה, מדינות האיחוד האירופי ובריטניה, שהן צד לאמנה 108 להגנת הפרטיות).46
  • כאשר המידע מועבר לגורם שהתחייב בהסכם עם בעל המאגר הישראלי למלא אחר התנאים הקבועים בישראל לעיבוד ושימוש במידע.46

העברת מידע לארצות הברית הפכה מורכבת יותר לאחר פסילת מסגרת “מגן הפרטיות” (Privacy Shield) על ידי בית הדין האירופי לצדק.46 הרשות להגנת הפרטיות בישראל המליצה לחברות ישראליות ליישם חלופות אחרות המותרות בתקנות ההעברה.46 נכון לעכשיו, הרשות טרם פרסמה עמדה רשמית לגבי מסגרת הפרטיות החדשה בין האיחוד האירופי לארה”ב (EU-US Data Privacy Framework – DPF).46

גם אתר אינטרנט הפועל בישראל עלול לבצע העברות מידע בינלאומיות באופן בלתי מודע, אם ספקי השירות שלו (כגון שירותי אירוח, אנליטיקה או דיוור אלקטרוני) ממוקמים מחוץ לישראל, ובמיוחד בארה”ב. על כן, בעלת האתר נדרשת לזהות את מיקום מרכזי הנתונים של ספקי השירות שלה. אם מידע מועבר מחוץ לישראל, יש לוודא שההעברה לגיטימית מבחינה חוקית (לדוגמה, באמצעות הסכמה מפורשת להעברה זו, סעיפים חוזיים המבטיחים עמידה בחוק הישראלי, או הסתמכות על החלטת נאותות אם קיימת). מדיניות הפרטיות חייבת לציין בבירור אם וכיצד מידע מועבר בינלאומית, ואילו אמצעי הגנה מיושמים.

 

דרישות חוקיות

 

Alizab.art עשויה לשתף מידע אישי אם הדבר נדרש על פי חוק, צו שיפוטי, הליך משפטי, או כאשר הדבר הכרחי למניעת נזק פיזי או הפסד כספי, או בקשר לחקירה של פעילות הונאה או פעילות בלתי חוקית חשודה או ממשית.33

 

טבלה 2: ספקי שירותי צד שלישי ושיתוף מידע

 

הטבלה הבאה מפרטת את הקטגוריות של ספקי שירותי צד שלישי שבהם Alizab.art עשויה להשתמש, את סוגי המידע המשותפים עמם, ואת מטרת השיתוף. טבלה זו משרתת את עקרון השקיפות המרכזי בחוק הגנת הפרטיות.7 באמצעותה, בעלת האתר יכולה לנהל טוב יותר את התחייבויותיה, כולל הבטחת קיומם של הסכמי עיבוד מידע (DPAs) 2 והערכת סיכונים של העברות בינלאומיות.46

 

קטגוריית ספק השירות

סוגי המידע המשותפים

מטרת השיתוף

ספק אירוח אתרים

כל המידע המאוחסן באתר, כולל מידע אישי

תפעול ואבטחת האתר

שירותי אנליטיקה (לדוגמה, Google Analytics)

כתובת IP מקורבת, נתוני מכשיר ודפדפן, נתוני שימוש באתר

ניתוח תעבורת האתר, שיפור חווית המשתמש, אופטימיזציה של תכנים

שירותי סליקה (לדוגמה, PayPal)

שם, כתובת מייל, כתובת למשלוח, פרטי תשלום (הנתונים נשמרים אצל ספק הסליקה)

עיבוד תשלומים עבור רכישות, מניעת הונאות

שירותי דיוור אלקטרוני (לדוגמה, MailChimp)

שם, כתובת מייל, נתוני התנהגות (פתיחות מיילים, הקלקות)

שליחת ניוזלטרים ועדכונים שיווקיים (בכפוף להסכמה)

שירותי תמיכה טכנית/תחזוקה

מידע רלוונטי לפתרון תקלות ותחזוקת האתר

מתן תמיכה טכנית ותחזוקה שוטפת

7. אבטחת מידע אישי

 

הגנת המידע האישי היא עקרון יסוד בחוק הגנת הפרטיות. בעלת מאגר המידע (עליזה ברמץ), מנהל המאגר והמחזיק בו אחראים באופן אישי לאבטחת המידע במאגר.3 “אבטחת מידע” מוגדרת כהגנה על שלמות המידע, או הגנה על המידע מפני חשיפה, שימוש או העתקה ללא הרשאה חוקית.45

 

אמצעי אבטחה טכניים וארגוניים

 

Alizab.art מיישמת מגוון אמצעי אבטחה טכניים וארגוניים כדי להגן על המידע האישי הנאסף:

  • הצפנת SSL/TLS: האתר משתמש בטכנולוגיית SSL (המסומנת ב-HTTPS) להצפנת תעבורת המידע בין הדפדפן של המשתמש לשרת. הצפנה זו חיונית במיוחד עבור רכישות מקוונות (אם יתאפשרו בעתיד) ומהווה אמצעי אבטחה בסיסי לכל אתר.3
  • שיטות עבודה מומלצות בוורדפרס:
  • ספק אירוח מאובטח: בחירה בספק אירוח וורדפרס בעל מוניטין, המעניק עדיפות לאבטחת נתונים וכולל גיבויים והצפנה.42
  • עדכונים שוטפים: עדכון קבוע של ליבת וורדפרס, התבניות (Themes) והתוספים (Plugins). עדכונים אלה כוללים לרוב תיקוני אבטחה קריטיים המטפלים בחולשות ידועות.42
  • פרטי התחברות מאובטחים: שימוש בשמות משתמש וסיסמאות חזקים וייחודיים, והגבלת ניסיונות התחברות כושלים כדי למנוע התקפות כוח גס.42
  • הגנת CAPTCHA: הוספת מנגנוני CAPTCHA לטפסים באתר למניעת ספאם והגשות בוטים.22
  • גיבויים סדירים: ביצוע גיבויים שוטפים של כלל נתוני האתר, כולל מאגר המידע, ואחסונם בצורה מאובטחת.42
  • סריקות אבטחה: ביצוע סריקות אבטחה תקופתיות לאיתור חולשות ותוכנות זדוניות.42
  • תקנות הגנת הפרטיות (אבטחת מידע), התשע”ז-2017: תקנות אלו קובעות חובות מפורטות לאבטחת מידע במאגרים ממוחשבים, בהתאם לסיווג רמת האבטחה של המאגר.8 אמצעים אלה כוללים:
  • מסמך הגדרות מאגר: עריכת מסמך המפרט את מאפייני המידע, השימוש בו, פעולות העיבוד והסיכונים העיקריים.9
  • נהלי אבטחת מידע: ניסוח נהלים ארגוניים מפורטים להתמודדות עם סיכוני אבטחה.44
  • אבטחה פיזית: שמירה על מערכות המאגר במקום מוגן המונע חדירה וכניסה ללא הרשאה.44
  • ניהול הרשאות גישה: הקפדה על אימות זהות והרשאה של מי שניגש למידע במאגר, לדוגמה באמצעות סיסמאות.44
  • אבטחת רשת: שימוש בשיטות הצפנה אמינות בעת העברת נתונים, התקנת תוכנות אנטי-וירוס ואבטחה, ואימות זהות משתמשים הניגשים מרחוק.48
  • ניהול מאובטח ועדכני של מערכות המאגר: עדכון שוטף של כלל מערכות המאגר.48
  • הדרכות: מתן הדרכות תקופתיות לבעלי הרשאות גישה למידע במאגר בנושאי חוק הגנת הפרטיות ואבטחת מידע.9
  • מכשירים ניידים: הגבלת שימוש במכשירים ניידים ואבטחת מידע המאוחסן עליהם באמצעות הצפנה.48

סיווג מאגר המידע

 

על פי תקנות הגנת הפרטיות (אבטחת מידע), מאגרי מידע מסווגים לרמות אבטחה שונות, בהתאם למאפייניהם. אתר Alizab.art, המנוהל על ידי עליזה ברמץ כיחידה, עם לכל היותר שני בעלי הרשאה נוספים, וככל הנראה אינו מיועד לאיסוף מידע לצורך מסירתו לאחר כדרך עיסוק ואינו מכיל מידע רגיש על למעלה מ-10,000 אנשים, מסווג כ”מאגר המנוהל בידי יחיד” (Sole Management).48

סיווג זה קובע “דרישות אבטחה מינימליות”.48 עם זאת, חשוב להדגיש כי “מינימליות” אינה פוטרת את בעלת האתר מחובות אבטחה משמעותיות. תקנות אבטחת מידע מפרטות רשימה של הוראות החלות גם על מאגרים אלה, הכוללות בין היתר: חובה להכין מסמך הגדרות מאגר, ליישם נהלי אבטחת מידע, להבטיח הגנה פיזית על אתרי המאגר, לנהל הרשאות גישה, לתעד אירועי אבטחה, להשתמש באמצעי אבטחה במכשירים ניידים, ולנהל מערכות מאגר באופן מאובטח ועדכני.51 על כן, Alizab.art מחויבת ליישם סט ספציפי ומתועד של אמצעי אבטחה, ולבצע סקירה ועדכון תקופתיים של נהליה.9

 

טיפול באירועי אבטחה

 

במקרה של אירוע אבטחה, כגון פגיעה בשלמות המידע או שימוש במידע ללא הרשאה, Alizab.art תפעל בהתאם לדרישות החוק:

  • תיעוד אירועים: כל אירוע אבטחה, לרבות אובדן שלמות נתונים או שימוש בלתי מורשה במידע, יתועד בפירוט.48
  • דיווח לרשות להגנת הפרטיות: במקרה של “אירוע אבטחה חמור” (המוגדר, בין היתר, כשימוש בלתי מורשה או פגיעה בשלמות המידע במאגר ברמת אבטחה גבוהה/בינונית, או שימוש בחלק כלשהו מהמידע במאגר ברמת אבטחה בסיסית), בעלת המאגר חייבת להודיע לרשות להגנת הפרטיות באופן מיידי, ולשלוח דוח על הצעדים שננקטו בעקבות האירוע.45
  • הודעה לנושאי המידע: הרשות להגנת הפרטיות רשאית להורות לבעלת המאגר להודיע לנושאי המידע שנפגעו באירוע האבטחה, אם קיים חשש שייגרם להם נזק.45

אירועי אבטחה אינם רק כשל טכני; הם מפעילים חובות משפטיות ותדמיתיות. קיום פרוטוקול פנימי ברור לזיהוי, תיעוד ותגובה לאירועי אבטחה הוא הכרחי. מדיניות הפרטיות מבהירה למשתמשים כי במקרה של אירוע חמור, הם עשויים לקבל הודעה, ובכך מחזקת את השקיפות והאמון גם במצבים מאתגרים.

 

8. מדיניות שמירת מידע

 

Alizab.art מחויבת לשמירה על עקרונות מזעור המידע ותקופות שמירה מוגדרות, בהתאם לדרישות חוק הגנת הפרטיות.

 

עקרון מזעור המידע

 

בעלת המאגר מחויבת לוודא כי המידע הנאסף הוא הכרחי ורלוונטי למטרה לשמה נאסף, וכי הוא נמחק כאשר אינו נחוץ עוד.7 Alizab.art תבצע בדיקה שנתית כדי לוודא שאין ברשותה מידע שאינו רלוונטי או שאינו נחוץ עוד.7 עקרון זה מסייע להפחית את הסיכון לפגיעה בפרטיות ואת היקף הנזק במקרה של אירוע אבטחה.

 

תקופות שמירת מידע

 

מידע אישי יישמר למשך התקופה המינימלית ההכרחית למילוי המטרות שלשמן נאסף, או כפי שנדרש על פי דין.7 לדוגמה, נתונים הקשורים לאבטחת המאגר (כגון רישומי אירועי אבטחה) חייבים להישמר באופן מאובטח למשך שנתיים לפחות.48 במקרים מסוימים, ייתכן שיהיה צורך לשמור מידע לתקופה ארוכה יותר לצורך הגנה משפטית או עמידה בחובות רגולטוריות.9

Alizab.art תקבע לוחות זמנים ברורים ומתועדים לשמירת סוגי מידע שונים. לדוגמה, פניות דרך טפסי יצירת קשר יישמרו לתקופה מסוימת לצורך מעקב ומתן מענה, בעוד שנתוני אנליטיקה בסיסיים עשויים להישמר לתקופה ארוכה יותר לצורך ניתוח מגמות. המדיניות תציין כי המידע נשמר רק כל עוד הוא נחוץ למטרות המוצהרות או לחובות חוקיות, וכי הוא נסקר באופן תקופתי לצורך מחיקה.

 

9. זכויות נושאי המידע

 

חוק הגנת הפרטיות בישראל, ובמיוחד תיקון 13 שנכנס לתוקף באוגוסט 2025, מעניק לנושאי המידע זכויות משמעותיות לגבי המידע האישי המוחזק עליהם. Alizab.art מחויבת לספק מנגנונים יעילים ונגישים למימוש זכויות אלה.13

 

הזכות לעיון במידע

 

לכל אדם הזכות לעיין במידע האישי המוחזק עליו במאגר מידע.10 זכות זו חלה גם על מידע המאוחסן באופן דיגיטלי, לרבות הקלטות קוליות של שיחות טלפון וצילומי וידאו.15 בעלת המאגר חייבת לאפשר עיון במידע בעברית, ערבית או אנגלית, לפי בקשת נושא המידע.15 הרשות להגנת הפרטיות ממליצה לספק את המידע בקבצים דיגיטליים באמצעות דוא”ל, במקום לדרוש נוכחות פיזית.15

תהליך המימוש: נושא מידע המעוניין לעיין במידע עליו, יגיש בקשה לבעלת האתר. בעלת האתר מחויבת לספק את המידע תוך 30 ימים מיום קבלת הבקשה (ניתן להאריך ב-15 ימים נוספים).15 קיימים חריגים לזכות העיון, כגון מידע רפואי או נפשי שחשיפתו עלולה לגרום נזק, או מידע החוסה תחת חיסיון חוקי.15 במקרה של סירוב, בעלת המאגר תודיע לנושא המידע בתוך 21 ימים (ניתן להאריך ב-15 ימים), תוך ציון נימוקי הסירוב. נושא המידע רשאי להגיש תביעה לבית המשפט במקרה של סירוב.15

 

הזכות לתיקון מידע

 

נושא מידע שגילה כי המידע המוחזק עליו במאגר אינו נכון, שלם, ברור או מעודכן, רשאי לדרוש את תיקונו או השלמתו.10

תהליך המימוש: בקשה לתיקון או השלמת מידע תישלח לבעלת האתר. אם הבקשה מתקבלת, בעלת האתר תבצע את התיקונים הנדרשים ותודיע על כך לנושא המידע ולכל מי שקיבל את המידע ממנה בשלוש השנים שקדמו לתיקון.15 אם הבקשה נדחית, בעלת המאגר תודיע על כך לנושא המידע תוך 30 ימים (ניתן להאריך ב-15 ימים). גם במקרה זה, קיימת לנושא המידע זכות להגיש תביעה לבית המשפט.15

 

הזכות למחיקת מידע (“הזכות להישכח”)

 

נושא מידע רשאי לדרוש מחיקה של מידע אישי המוחזק עליו.10 זכות זו מוכרת גם בתקנות ייבוא נתונים מהאזור הכלכלי האירופי (EEA Data Import Regulations).8

תהליך המימוש: בקשה למחיקת מידע תישלח לבעלת האתר. אם הבקשה מתקבלת, המידע יימחק. אם הבקשה נדחית, בעלת המאגר תודיע על כך לנושא המידע תוך 30 ימים (ניתן להאריך ב-15 ימים). קיימים חריגים לזכות המחיקה, למשל כאשר המידע נחוץ לצורך מימוש הזכות לחופש הביטוי, עמידה בחובה חוקית, אינטרס ציבורי, או הגנה על טענות משפטיות.10

 

הזכות להתנגד לעיבוד

 

לנושאי מידע הזכות להתנגד לעיבוד מידע אישי הנוגע אליהם למטרות מסוימות, ובמיוחד לצורך דיוור ישיר ושיווק.13 זכות זו היא מוחלטת בכל הנוגע לדיוור ישיר, ועל כן, ברגע שמתקבלת בקשה כזו, על בעלת המאגר להפסיק את העיבוד לאלתר.13

 

אופן מימוש הזכויות

 

על מנת לממש את זכויותיהם, נושאי המידע יכולים לפנות לעליזה ברמץ באמצעות כתובת הדוא”ל Co*****@****ab.art. בעלת האתר מחויבת לספק מנגנונים יעילים לטיפול בבקשות אלה.13 הדבר כולל:

  1. אימות זהות: יישום תהליך סביר לאימות זהות המבקש, כדי למנוע גישה בלתי מורשית למידע.14
  2. מענה מהיר: הקפדה על עמידה בלוחות הזמנים הקבועים בחוק (30 ימים לבקשה, 21 ימים לסירוב).15
  3. תיעוד: שמירת תיעוד של כל הבקשות שהתקבלו והמענה שניתן להן.14
  4. תהליך פנימי: קיום תהליך פנימי ברור לטיפול בבקשות אלה, גם אם הוא מנוהל באופן אישי על ידי בעלת האתר.

טבלה 3: זכויות נושאי מידע וכיצד לממשן

 

הטבלה הבאה מסכמת את זכויות נושאי המידע, משמעותן, ואופן מימושן מול Alizab.art. טבלה זו נועדה להנגיש את המידע באופן ברור ותמציתי, בהתאם לדרישות הרגולציה.13

 

הזכות

משמעות הזכות

אופן המימוש

זמן תגובה משוער (מרגע קבלת הבקשה)

הזכות לעיון במידע

לקבל עותק של המידע האישי המוחזק עליך במאגר

שלח/י בקשה לכתובת הדוא”ל: Co*****@****ab.art

תוך 30 ימים (ניתן להאריך ב-15 ימים נוספים)

הזכות לתיקון מידע

לדרוש תיקון או השלמה של מידע אישי שגוי, לא מדויק, לא שלם או לא מעודכן

שלח/י בקשה לכתובת הדוא”ל: Co*****@****ab.art

תוך 30 ימים (ניתן להאריך ב-15 ימים נוספים)

הזכות למחיקת מידע (“הזכות להישכח”)

לדרוש מחיקה של מידע אישי המוחזק עליך, בכפוף לחריגים הקבועים בחוק

שלח/י בקשה לכתובת הדוא”ל: Co*****@****ab.art

תוך 30 ימים (ניתן להאריך ב-15 ימים נוספים)

הזכות להתנגד לעיבוד

להתנגד לעיבוד מידע אישי למטרות מסוימות, כגון שיווק ישיר

שלח/י בקשה לכתובת הדוא”ל: Co*****@****ab.art

ללא דיחוי (במיוחד עבור דיוור ישיר)

10. שינויים במדיניות הפרטיות

 

Alizab.art שומרת לעצמה את הזכות לעדכן או לשנות מדיניות פרטיות זו מעת לעת. שינויים אלה עשויים להידרש עקב עדכונים בחוקי הגנת הפרטיות, שינויים בשיטות איסוף ועיבוד המידע באתר, או הוספת פונקציונליות חדשות.12

במקרה של שינויים מהותיים במדיניות, תפורסם הודעה בולטת באתר, ו/או תישלח הודעה למשתמשים באמצעות דוא”ל (אם ניתנה הסכמה לקבלת עדכונים מסוג זה).12 המשך השימוש באתר לאחר פרסום השינויים יהווה הסכמה למדיניות המעודכנת. מומלץ למשתמשים לעיין במדיניות הפרטיות באופן תקופתי כדי להתעדכן בשינויים.

 

11. יצירת קשר

 

לכל שאלה, חשש או בקשה הנוגעים למדיניות פרטיות זו או לטיפול במידע אישי, ניתן ליצור קשר עם עליזה ברמץ, בעלת האתר, באמצעות פרטי ההתקשרות הבאים:

  • כתובת מייל: Co*****@****ab.art
  • מספר טלפון: 0503494143

אנו מתחייבים לטפל בכל פנייה בנוגע לפרטיות ברצינות ובמהירות הנדרשת, בהתאם לדרישות החוק.12