GDPR לעסק ישראלי הוא נושא שמרבית בעלי החנויות מתעלמים ממנו, עד שמגיעה פנייה מלקוח אירופי או, גרוע יותר, מרשות הגנת הנתונים. אם החנות שלך מוכרת לאירופה (ואפילו אם לא, ייתכן שהתקנה חלה עליך), יש דברים שצריך לדעת עכשיו. במדריך הזה אני עובר על הנקודות הקריטיות: מה GDPR דורש, מה קורה אם לא עומדים בזה, ואיך חנות שופיפיי מסדרת את רוב הדברים בצורה פשוטה.
Photo: Stefan Coders (Pexels)
מה זה GDPR ולמה GDPR לעסק ישראלי רלוונטי בכלל
GDPR הוא תקנת הגנת הנתונים הכללית של האיחוד האירופי. היא נכנסה לתוקף במאי 2018 ומגדירה כיצד עסקים צריכים לאסוף, לשמור ולהשתמש בנתונים אישיים של תושבי האיחוד.
הנקודה הקריטית: מיקום העסק לא קובע. מה שקובע הוא מיקום הלקוח.
כלומר, אם אתה בעל חנות ישראלית שמוכרת לגרמניה, לצרפת או לאיטליה, GDPR חל עליך. גם אם אף פעם לא הייתה לך כוונה לסחור עם אירופה, אם גולש אירופי נכנס לחנות ומשאיר אימייל לניוזלטר, אתה בסיכון.
לפי נתוני הנציבות האירופית, קנסות GDPR מ-2018 עד 2023 הסתכמו ביותר מ-4 מיליארד יורו. חברות קטנות קיבלו קנסות של עשרות אלפי יורו על הפרות שנראות “טכניות”.
על מי חל GDPR לעסק ישראלי: 3 שאלות לבדוק
לפני שמתחילים לפנות, צריך לדעת אם התקנה בכלל רלוונטית לחנות שלך.
שאלה 1: האם אתה מוכר ללקוחות בתחומי האיחוד?
אם יש לך אפשרות משלוח לאירופה, מחירים ביורו, או אתר בשפה אירופית, התשובה כנראה כן.
שאלה 2: האם אתה עוקב אחרי התנהגות של גולשים אירופים?
שימוש בגוגל אנליטיקס, פיקסל פייסבוק, Hotjar או כל כלי מעקב אחר, גם אם לא מוכרים לאירופה, עשוי להיות בעייתי אם הכלים אוספים נתונים על גולשים מהאיחוד.
שאלה 3: האם אתה שולח אימיילים ללידים מאירופה?
ריצת קמפיין רימרקטינג, ניוזלטר, או אפילו אימייל אחד לכתובת .de, .fr, .es, מכניס אותך לתחום ה-GDPR.
אם ענית “כן” לאחת מהשאלות, המשך לקרוא.
5 דברים שחנות אונליין ישראלית חייבת להסדיר לפי GDPR
1. מדיניות פרטיות ברורה ונגישה
לא מספיק שיש לך “Privacy Policy” בפוטר. המדיניות צריכה לכלול:
- אילו נתונים נאספים ולמה
- עם מי הם משותפים (Shopify, Mailchimp, מחסן, שליח)
- כמה זמן הנתונים נשמרים
- כיצד לקוח יכול לבקש מחיקה
מדיניות פרטיות גנרית שמורדת מהאינטרנט אינה מספיקה.
2. הסכמה מפורשת לפני איסוף נתונים (Consent)
אסור לסמן תיבת “הסכמה לניוזלטר” מראש. הלקוח חייב לסמן אותה בעצמו. בנוסף, בנייה של רשימת לידים מאימיילים שנאספו בדרך עקיפה, כמו checkout לא מסומן, מהווה הפרה.
בהקשר זה, כתבתי מדריך מקיף במכירת קורסים דיגיטליים שכדאי לעבור עליו.
להרחבה נוספת אפשר לראות את איך לפתוח חנות שופיפיי.
בהקשר זה, כתבתי מדריך מקיף בתקנון לחנות איקומרס שכדאי לעבור עליו.
להרחבה נוספת אפשר לראות את הוצאות מוכרות לעסק אונליין.
בשופיפיי, זה מסודר בצורה תקנית כברירת מחדל. בפלטפורמות אחרות, כמו Etsy או eBay, אין לך שליטה על מה שנאסף בשמך, ואתה לא יכול לדעת אם ה-consent מתועד כנדרש.
3. אפשרות מחיקת נתונים לפי בקשה (Right to be Forgotten)
לקוח אירופי יכול לבקש שתמחק את כל המידע שלו מהמערכת שלך. אתה חייב להגיב תוך 30 יום ולבצע את המחיקה. בשופיפיי יש כלי מובנה לזה. בפלטפורמות סגורות, אתה לרוב תלוי בכלים שלהן.
4. Cookie Banner תואם GDPR
לא מספיק כפתור “OK”. הבאנר צריך לאפשר לגולש לסרב לעוגיות שאינן הכרחיות (כמו פיקסל פייסבוק, גוגל אנליטיקס) לפני שהן נטענות.
בשופיפיי, אפליקציות כמו Pandectes GDPR Compliance או Shopify Markets מסדירות את זה בכמה קליקים.
5. הסכמי עיבוד נתונים עם ספקים (DPA)
כל שירות חיצוני שמעבד נתוני לקוחות שלך, כמו Klaviyo, Shopify, Google, צריך DPA חתום (Data Processing Agreement). רוב הספקים הגדולים מציעים אותו אוטומטית. צריך לוודא שאתה חתום.
GDPR לעסק ישראלי: מה ההבדל בין שופיפיי לבין פלטפורמות אחרות
כשמדברים על GDPR לעסק ישראלי, הבחירה בפלטפורמה היא לא שאלה טכנית בלבד. זו שאלת שליטה ואחריות.
| פלטפורמה | בעלות על נתוני לקוח | כלים ל-GDPR | DPA מובנה |
|---|---|---|---|
| Shopify | שלך לחלוטין | מובנים + App Store | כן |
| Etsy | של Etsy | אין לך שליטה | לא רלוונטי, הם שולטים |
| eBay | של eBay | אין לך שליטה | לא רלוונטי |
| WooCommerce | שלך | תלוי בפלאגינים | דורש הגדרה ידנית |
בשופיפיי, הנתונים של הלקוחות שלך שייכים לך. אתה יכול לייצא אותם, למחוק אותם, ולנהל אותם לפי דרישות GDPR.
ב-Etsy וב-eBay, אתה לא בעלים של שום דבר. אם מחקו לך חשבון, לא נשאר לך שום מידע על לקוחות. מעבר לבעיה העסקית, אין לך שום יכולת לעמוד בדרישות GDPR כי הנתונים אף פעם לא היו שלך.
הגנת הפרטיות בישראל: חוק ישראלי לעומת GDPR
ישראל הוכרה על ידי האיחוד האירופי כ”מדינה מספקת” לצורכי הגנת נתונים. המשמעות: העברת נתונים בין ישראל לאירופה מותרת ללא מנגנונים מיוחדים.
אבל זה לא אומר שאתה פטור מ-GDPR. ההכרה הזאת עוזרת לעסקים ישראליים מבחינת תהליך ההעברה, לא מבחינת החובה לעמוד בתקנה.
חוק הגנת הפרטיות הישראלי (1981) עדכן את תקנות אבטחת המידע ב-2017. הוא מחייב רישום מסד נתונים אצל הרשם, הגנה על מידע רגיש, ומינוי ממונה פרטיות בארגונים גדולים. עסק קטן שפועל רק בשוק הישראלי חייב לעמוד בחוק הישראלי. אם הוא מוכר לאירופה, הוא חייב גם ב-GDPR.
שאלות נפוצות על GDPR לעסק ישראלי
האם חנות שמוכרת רק בישראל צריכה לעמוד ב-GDPR?
לא בהכרח. אם אתה מוכר רק ללקוחות ישראלים ואינך עוקב אחרי גולשים מהאיחוד, GDPR ככל הנראה לא חל עליך. אבל אם יש לך גוגל אנליטיקס ללא הגדרות IP anonymization, ייתכן שאתה אוסף נתונים על גולשים אירופים בלי לדעת.
כמה זה עולה להיות תואם GDPR בשופיפיי?
אפליקציית Pandectes GDPR עולה כ-9 דולר לחודש. מדיניות פרטיות מקצועית ניתנת לרכישה ב-50-200 דולר חד-פעמי. עורך דין מסחרי שמכיר GDPR יגבה 1,500-3,000 שקל לייעוץ ראשוני. ביחס לקנסות אפשריים, זו השקעה זניחה.
מה הקנס המקסימלי ב-GDPR?
4% מהמחזור הגלובלי השנתי או 20 מיליון יורו, הגבוה מבין השניים. לעסקים קטנים, ה-ICO (רשות הגנת הנתונים הבריטית) ורשויות מקבילות בד”כ מתחילות בפניות ואזהרות לפני קנסות, אבל זה תלוי בחומרת ההפרה.
האם Privacy Policy גנרי מהאינטרנט מספיק?
לא. פוליסי גנרי שלא מתאר את הכלים שבהם אתה משתמש (Shopify, Klaviyo, Meta Pixel) ולא מפרט את ספקיך לא עומד בדרישות. יש שירותים כמו Termly או iubenda שמייצרים מסמכים מותאמים אישית תמורת תשלום נמוך.
האם יש פטור לעסקים קטנים?
יש הקלות מסוימות לעסקים עם פחות מ-250 עובדים, בעיקר בנוגע לחובת ניהול רשומות פנימיות. אבל החובות הבסיסיות כמו Consent, Right to be Forgotten ומדיניות פרטיות, חלות על כולם.
איך מתחילים: 5 צעדים מעשיים לחנות תואמת GDPR
שלב 1: בדוק אם GDPR חל עליך
עבור על רשימת 3 השאלות בסקציה הקודמת. אם יש ספק, תנח שכן.
שלב 2: עדכן את מדיניות הפרטיות
השתמש בשירות כמו iubenda או Termly, הזן את כל הכלים שבהם אתה משתמש, וקבל מסמך מותאם.
שלב 3: התקן Cookie Banner
בשופיפיי, הכנס את Pandectes GDPR Compliance מה-App Store. הגדר אותו כך שעוגיות שיווק לא ייטענו לפני הסכמה.
שלב 4: בדוק את טפסי ה-Opt-in
אף תיבת סימון לניוזלטר לא צריכה להיות מסומנת מראש.
שלב 5: חתום על DPA עם ספקיך
שופיפיי, גוגל, מטא, Klaviyo, כולם מציעים DPA. לרוב מספיק ללחוץ “אני מסכים” בהגדרות החשבון.
GDPR לעסק ישראלי: מה הצעד הבא
GDPR לעסק ישראלי הוא לא מכשול, הוא תנאי כניסה לשוק האירופי. עסק שמסדיר את הנושאים האלה נכון בונה אמון עם לקוחות, נמנע מסיכונים משפטיים, ומציג רמה מקצועית שמבדלת אותו ממוכרים שלא עושים את זה.
שופיפיי נותנת לך את הכלים. הם מובנים, נגישים, ולא דורשים ידע טכני עמוק. כל מה שצריך זה לדעת איפה ללחוץ.
אם אתה בשלב הראשוני של בניית חנות ורוצה ללמוד להקים הכל נכון מהיום הראשון, כולל מדיניות פרטיות, הגדרות תשלום ומבנה משפטי בסיסי, קורס המתחילים החינמי מכסה את זה שלב אחרי שלב.
אם כבר יש לך חנות ואתה רוצה ללכת עמוק יותר עם ליווי צמוד, תוכנית הליווי המלאה היא המקום הנכון.