חוק הגנת הפרטיות הישראלי (1981) עבר רפורמה מקיפה ב-2025, ו-GDPR האירופי (2018) ממשיך להחיל את עצמו על כל חנות שמוכרת ללקוחות אירופיים — גם מישראל. ב-2026, כל חנות Shopify (שופיפיי) ישראלית שאוספת מייל אחד של לקוח כפופה לאחד או לשני החוקים האלה, ואי-עמידה גוררת קנסות ותביעות. במאמר הזה: מה כל חנות חייבת לעשות, איך, וכמה זה עולה.

במאמר הזה

  • מה מכסים החוקים
  • חוק הגנת הפרטיות הישראלי 2025
  • GDPR: מתי הוא חל על חנות ישראלית
  • הסכמות: cookies banner, opt-in למיילים
  • זכויות הלקוח: גישה, מחיקה, ניוד
  • העברת נתונים בינלאומית
  • הצהרת פרטיות באתר
  • אבטחת מידע בסיסית
  • אכיפה וקנסות

מה מכסים החוקים

חוקי פרטיות מגינים על נתונים אישיים — שם, כתובת מייל, טלפון, כתובת מגורים, IP, מספרי כרטיס אשראי, היסטוריית רכישות. בקיצור: כל דבר שמזהה לקוח ספציפי.

חוק הגנת הפרטיות הישראלי המעודכן (2025) מטיל חובות על כל "בעל מאגר" — וזה כולל כל חנות שמרכזת רשומות לקוחות (אלמנט בסיסי לכל חנות Shopify). GDPR מטיל חובות על כל "Controller" — וזה שוב, כל מי שמחליט אילו נתוני לקוח לאסוף.

חוק הגנת הפרטיות הישראלי 2025

הרפורמה מ-2025 הביאה את הדין הישראלי קרוב יותר ל-GDPR. חידושים מרכזיים:

  • חובת DPO (Data Protection Officer) לעסקים גדולים (מעל 100 עובדים, או טיפול ב-50,000+ נושאי מידע). חנות בינונית פטורה.
  • דיווח על אירוע אבטחה — אם דלף מידע אישי, יש חובה לדווח לרשות להגנת הפרטיות תוך 72 שעות.
  • זכויות מורחבות — לקוח רשאי לבקש גישה לנתונים שלו, תיקון, מחיקה.
  • קנסות — עד 3.2 מיליון ש"ח, או 4% מהמחזור השנתי (הגבוה מבין השניים) — דומה ל-GDPR.

הסיכון לחנות קטנה: גם בלי קנסות, תביעות פרטיות מצד לקוחות צרכניים יכולות להגיע ל-1,000-10,000 ש"ח לתביעה, ופעמים מאוגדות לתביעה ייצוגית.

GDPR: מתי הוא חל על חנות ישראלית

GDPR חל על כל חנות שעומדת באחד משני התנאים:

  1. מבוססת באיחוד האירופי — לא רלוונטי לכם.
  2. מציעה מוצרים או שירותים ללקוחות באיחוד האירופי — רלוונטי. אם החנות שלכם מאפשרת ללקוח מצרפת/גרמניה/איטליה לקנות, GDPR חל.

אינדיקטורים לתחולת GDPR:

  • אתם מציגים מחירים בערך אירו או באמצעות Shopify Markets לאירופה.
  • אתם שולחים לאירופה.
  • אתם מפרסמים מודעות לקהל אירופי.

גם אם רק 5% מהלקוחות שלכם הם אירופיים, GDPR חל על אותם 5%. ומכיוון שהאכיפה מתקיימת מצד הרשויות האירופיות (CNIL בצרפת, BfDI בגרמניה), הם יכולים לתבוע אתכם ולקבל פסיקה גם בישראל (אמנת חוקה).

הסכמות: cookies banner, opt-in למיילים

אחד הדברים הקונקרטיים ביותר שצריך להטמיע — באנר עוגיות. תקני 2026:

  • לפני הצבת עוגיות לא-נחוצות (אנליטיקה, פרסום, רימרקטינג), חובה לקבל הסכמה מהמשתמש.
  • ההסכמה חייבת להיות אקטיבית — סימון תיבה ריקה לא נחשב. הלחיצה על "אישור" חייבת להיות מעשה פעיל.
  • אופציה לדחות חייבת להיות נגישה באותה הקלות כמו אופציה לאשר.
  • שמרו תיעוד של ההסכמה (אסוציאציה למשתמש, תאריך, הסכמה ספציפית).

אפליקציות מומלצות ל-Shopify:

  • Cookie Banner / Cookie Notification של iubenda — חינמית-בסיסית, 50-150$ לחודש למתקדמת.
  • Pandectes — אפליקציה ייעודית לחנויות Shopify, פופולרית במיוחד.
  • Klaro! — קוד פתוח, חינמי. דורש התקנה ידנית.

באנר עוגיות לבדו לא מספיק. גם רישום למייל דורש opt-in מפורש — תיבת סימון "אני מסכים/ה לקבל מיילים שיווקיים", לא מסומנת מראש.

זכויות הלקוח: גישה, מחיקה, ניוד

תחת שני החוקים, ללקוח שלכם יש זכויות לגבי הנתונים שלו:

  • זכות גישה — לקוח יכול לבקש לראות אילו נתונים שלו אתם מחזיקים.
  • זכות תיקון — לקוח יכול לדרוש לתקן נתון שגוי.
  • זכות מחיקה ("Right to be Forgotten") — לקוח יכול לדרוש שתמחקו את הנתונים שלו.
  • זכות ניוד — לקוח יכול לבקש את הנתונים שלו בפורמט שניתן להעביר לחנות אחרת.

חייבים להיות תהליך מסודר:

  1. עמוד עם הוראות איך לפנות (לדוגמה, מייל ל-privacy@yourdomain.co.il).
  2. אחרי בקשה, מענה תוך 30 ימים (Israeli law) או 30-90 ימים (GDPR).
  3. תיעוד של כל בקשה ותגובה.

ב-Shopify, יש כלי מובנה לתהליך: Settings → Customer Privacy → Data Subject Requests. הוא משלים את החלק הטכני; את החלק המשפטי-תהליכי תצטרכו לבנות.

העברת נתונים בינלאומית

GDPR אוסר על העברת נתוני אירופאים למדינה "ללא רמת הגנה מספקת". ישראל מוכרת כמדינה עם רמה מספקת (Adequacy Decision, 2011), כך שהעברה ישראל-אירופה אפשרית.

אבל אם אתם משתמשים בכלים שמאחסנים נתונים בארה"ב או באסיה (לדוגמה, Klaviyo בארה"ב), צריך Standard Contractual Clauses (SCC) — תיקון בהסכם שלכם עם הספק שמבטיח את ההגנה.

Shopify עצמה ישבה על שרתי AWS/GCP בארה"ב. הסכם הסטנדרט שלכם עם Shopify כולל SCC — לא צריך לעשות כלום נוסף בעניין.

הצהרת פרטיות באתר

כל חנות חייבת הצהרת פרטיות (Privacy Policy) זמינה בכל עמוד באתר. תכולה חובה:

  1. שם בעל המאגר (החנות / החברה).
  2. אילו נתונים נאספים, איך, ולמה.
  3. למי הנתונים מועברים (ספקי שירות, צד שלישי).
  4. תקופת שמירה.
  5. זכויות הלקוח ואיך לממש אותן.
  6. פרטי קשר של DPO או נציג אם קיים.
  7. שינויים בעתיד.

אל תעתיקו מתחרים. כל חנות שונה. Shopify מציעה תבנית בסיסית (Settings → Policies → Privacy Policy). היא מתאימה כנקודת התחלה — התאימו אותה לחנות שלכם.

הצהרה מותאמת אישית עולה 500-2,000 ש"ח אצל עורך דין שמתמחה בפרטיות. השקעה ש-90% מהחנויות לא עושות, וזה ניכר בכל מבדק אכיפה.

אבטחת מידע בסיסית

חוק הגנת הפרטיות דורש "אמצעים סבירים" לאבטח את המידע. בפועל, רוב חנויות Shopify (שופיפיי) מקבלות את זה מהפלטפורמה:

  • SSL/TLS מובנה בכל חנות.
  • PCI DSS Level 1 ב-Shopify — שופיפיי מאושרת ברמה הגבוהה ביותר לכרטיסי אשראי.
  • הרשאות גישה — דאגו ששרה ויובל מהמשרד לא יראו את כל הנתונים של הלקוחות.
  • גיבויים — Shopify מגבה אוטומטית, אבל גיבוי נוסף שלכם לא מזיק.
  • 2FA (Two-Factor Authentication) על חשבון Shopify ועל אפליקציות קריטיות.

אכיפה וקנסות

בישראל, רשות הגנת הפרטיות (RIPP) רשאית לקנוס עד 3.2 מיליון ש"ח. אכיפה מתמקדת בעיקר ב:

  • אי-דיווח על אירוע אבטחה.
  • מחירת מאגר ללא אישור (שיווק טלמרקטינג).
  • אי-מתן זכויות לקוח (גישה, מחיקה).

באירופה, ה-CNIL (צרפת) הוטילה כבר עשרות מיליוני € על חנויות גדולות. לחנות קטנה ישראלית, הסיכון הוא קטן בפועל — אבל אם דלף מידע משמעותי או יש תלונה רשמית, הסכום יכול להגיע ל-100,000-500,000 €.

הסיכון המעשי הגדול ביותר לחנות קטנה: תביעה ייצוגית מצד עורך דין ישראלי שיאתר 50-200 לקוחות שזכויותיהם הופרו. הסכמי פשרה: 50,000-200,000 ש"ח.

סיכום

מינימום שכל חנות Shopify (שופיפיי) ישראלית חייבת ב-2026:

  1. הצהרת פרטיות באתר.
  2. באנר עוגיות עם הסכמה אקטיבית.
  3. Opt-in נפרד למיילים שיווקיים.
  4. תהליך מתועד לטיפול בבקשות לקוח.
  5. SSL מובנה (כבר יש לכם).
  6. 2FA על חשבון Shopify.

יישום הוא תהליך של 4-8 שעות עבודה + 500-2,000 ש"ח אם רוצים הצהרת פרטיות איכותית מעורך דין. השקעה שמגנה עליכם מבעיה גדולה הרבה יותר בעתיד.

שאלות נפוצות

האם חנות קטנה מאוד גם חייבת בכל זה?

כן. החוק לא מבחין בין חנות עם 50 לקוחות לחנות עם 50,000. גם חנות חדשה עם 10 הזמנות בחודש חייבת בהצהרת פרטיות, באנר עוגיות, ו-opt-in למיילים. ההבדל הוא בגובה הקנסות הפוטנציאליים, לא בעצם החובה.

מה ההבדל בין באנר עוגיות "פסיבי" ל-"אקטיבי"?

**פסיבי**: באנר שמודיע "אנחנו משתמשים בעוגיות" עם כפתור "אישור" יחיד. **לא חוקי** תחת GDPR ב-2026. **אקטיבי**: באנר עם אופציות שונות (קבל הכל / דחה / התאם), שבו הסכמה דורשת לחיצה אקטיבית. **חוקי** — וזה הסטנדרט.

אם לקוח מבקש למחוק את הנתונים שלו, מה לעשות?

1) ב-Shopify Admin → Customers, מצאו את הלקוח. 2) בתפריט "..." → "Erase personal data" (מובנה). 3) שלחו ללקוח אישור על המחיקה תוך 30 ימים. הערה: חשבוניות והזמנות נשמרות 7 שנים לצרכי מס — לא ניתן למחוק אותן אבל ניתן לאנונימיזציה.

אם משתמשים ב-Klaviyo / Mailchimp בארה"ב, האם זה חוקי?

כן, אבל בתנאים. Klaviyo ו-Mailchimp עומדים בסטנדרטים הבינלאומיים (יש להם SCC רשמיים, אישור Data Processing Agreement). ודאו שחתמתם עליהם — בכל אפליקציה, חפשו "DPA" או "Privacy" בהגדרות. ההסכם הזה הוא חלק מתשתית הציות שלכם.

איך מתעדים את הסכמת הלקוח?

אפליקציות הסכמה איכותיות (Pandectes, iubenda, OneTrust) שומרות לוג של כל הסכמה: זמן, IP, נתוני המשתמש שאישר ספציפית, וגרסת הצהרת הפרטיות שעמדה בתוקף. הלוג הזה הוא ההגנה שלכם במקרה של תלונה — שמרו אותו ל-7 שנים.