שנת 2025 מביאה איתה דרישות פרטיות מחמירות יותר מאי פעם. הרשות להגנת הפרטיות מגבירה אכיפה, תביעות ייצוגיות בתחום הפרטיות הולכות ונפוצות, והגולשים מודעים יותר לזכויותיהם. הנה רשימת בדיקה מקיפה שתעזור לכם לוודא שהאתר שלכם עומד בכל הדרישות.
מדיניות ושקיפות
1. מדיניות פרטיות מעודכנת בעברית
האתר חייב להציג מדיניות פרטיות מעודכנת ומקיפה בעברית. המדיניות צריכה לכלול: פרטי בעל האתר, סוגי המידע הנאסף, מטרות השימוש, שיתוף עם צדדים שלישיים, אבטחת מידע, זכויות המשתמש, ופרטי יצירת קשר.
בדקו: האם המדיניות שלכם עודכנה בשנה האחרונה? האם היא משקפת את המציאות הנוכחית של האתר?
2. נגישות מדיניות הפרטיות
המדיניות חייבת להיות נגישה מכל עמוד באתר - בדרך כלל קישור בפוטר. הגולש לא צריך לחפש אותה.
בדקו: האם יש קישור למדיניות הפרטיות בפוטר של כל עמוד?
3. תנאי שימוש
בנוסף למדיניות פרטיות, כדאי שיהיו לכם תנאי שימוש שמגדירים את הכללים לשימוש באתר. זה חשוב במיוחד לאתרי מסחר ושירותים.
בדקו: האם יש לכם תנאי שימוש מעודכנים?
הסכמת עוגיות
4. חלון הסכמה לעוגיות
חלון הסכמה שמוצג בכניסה הראשונה לאתר ומאפשר לגולש לבחור אילו עוגיות לאשר. חייב לכלול אפשרות סירוב בולטה כמו אפשרות האישור.
בדקו: האם חלון ההסכמה מוצג? האם יש כפתור סירוב בולט?
5. חלוקה לקטגוריות
העוגיות צריכות להיות מחולקות לקטגוריות ברורות: הכרחיות (לא ניתנות לביטול), סטטיסטיקה, שיווק, ופונקציונליות. הגולש צריך לשלוט בכל קטגוריה בנפרד.
בדקו: האם העוגיות מסווגות נכון? האם ניתן לבחור קטגוריות בנפרד?
6. חסימת סקריפטים אמיתית
סקריפטים שאינם הכרחיים (Analytics, Pixels, Marketing) חייבים להיות חסומים עד שהגולש נותן הסכמה. לא מספיק להציג חלון הסכמה - צריך באמת לחסום.
בדקו: פתחו את האתר בחלון פרטי, אל תסכימו לעוגיות, ובדקו בכלי הפיתוח אם עוגיות צד שלישי נוצרו. אם כן - החסימה לא עובדת.
7. אפשרות לשינוי העדפות
הגולש צריך לקבל אפשרות לשנות את הגדרות העוגיות שלו בכל עת - לא רק ברגע הכניסה הראשונה. בדרך כלל זה נעשה באמצעות כפתור צף או קישור בפוטר.
בדקו: האם יש דרך לשנות העדפות עוגיות אחרי הכניסה הראשונה?
8. תיעוד הסכמות
כל הסכמה צריכה להיות מתועדת עם תאריך, שעה, סוגי ההסכמה שניתנו, וגרסת המדיניות. זה הכרחי להגנה במקרה של תביעה.
בדקו: האם יש לכם מערכת לתיעוד הסכמות? האם תוכלו להוכיח שמשתמש מסוים הסכים?
טפסים ואיסוף מידע
9. צ'קבוקס הסכמה בטפסים
כל טופס שאוסף מידע אישי חייב לכלול צ'קבוקס הסכמה למדיניות הפרטיות. הצ'קבוקס חייב להיות לא מסומן כברירת מחדל.
בדקו: האם כל הטפסים באתר כוללים צ'קבוקס הסכמה? האם הוא חובה למילוי?
10. הסכמה נפרדת לדיוור שיווקי
הסכמה לדיוור שיווקי חייבת להיות נפרדת מההסכמה למדיניות הפרטיות. אסור להתנות שירות בהסכמה לשיווק. הצ'קבוקס חייב להיות לא מסומן מראש.
בדקו: האם ההסכמה לניוזלטר/דיוור נפרדת? האם היא וולונטרית?
11. מינימום מידע
אספו רק את המידע שאתם באמת צריכים. אם כל מה שנדרש הוא שם ואימייל, אל תבקשו מספר טלפון, תאריך לידה, או כתובת.
בדקו: האם כל שדה בטפסים שלכם באמת נחוץ?
אבטחת מידע
12. SSL/HTTPS
כל האתר חייב לפעול דרך HTTPS עם תעודת SSL תקפה. אין יוצאים מהכלל - גם אם לא אוספים מידע ישירות, HTTPS הוא סטנדרט בסיסי.
בדקו: האם כל העמודים נטענים ב-HTTPS? האם אין אזהרות Mixed Content?
13. עדכוני אבטחה
וורדפרס, תוספים, תבניות, ו-PHP חייבים להיות מעודכנים. חולשות אבטחה מנוצלות תוך שעות מפרסומן.
בדקו: האם יש עדכונים ממתינים בלוח הבקרה של וורדפרס?
14. גיבויים אוטומטיים
גיבוי אוטומטי יומי שנשמר מחוץ לשרת. בדקו שהשחזור עובד - גיבוי שלא ניתן לשחזר לא שווה כלום.
בדקו: מתי בוצע הגיבוי האחרון? האם ניסיתם שחזור פעם?
15. סיסמאות ואימות
סיסמאות חזקות (12+ תווים) ואימות דו-שלבי (2FA) לכל חשבונות הניהול - וורדפרס, אחסון, Google, Facebook.
בדקו: האם 2FA מופעל? האם כל המנהלים משתמשים בסיסמאות חזקות?
סקריפטים וצדדים שלישיים
16. מיפוי סקריפטים
דעו בדיוק אילו סקריפטים חיצוניים רצים באתר שלכם ומה כל אחד עושה. הסירו סקריפטים שאינכם צריכים.
בדקו: האם יש לכם רשימה של כל הסקריפטים החיצוניים? האם כולם נחוצים?
17. Google Consent Mode
אם משתמשים ב-Google Analytics או Google Ads, הפעילו Consent Mode כדי שהכלים יתנהגו נכון בהתאם להסכמת המשתמש.
בדקו: האם Consent Mode מוגדר ב-Google Analytics וב-Google Ads?
18. מדיניות פרטיות של ספקים
ודאו שכל ספק צד שלישי שמקבל מידע מהאתר שלכם עומד בדרישות פרטיות. בדקו את מדיניות הפרטיות שלהם ואת DPA (Data Processing Agreement).
בדקו: האם יש לכם DPA חתום עם כל ספק צד שלישי עיקרי?
זכויות משתמשים ותהליכים
19. תהליך בקשות פרטיות
הכינו תהליך מסודר לטיפול בבקשות פרטיות - עיון במידע, תיקון, מחיקה. דעו מי אחראי, מה לוחות הזמנים, ואיך מתעדים.
בדקו: האם יש תהליך מוגדר? האם צוות שלכם יודע מה לעשות כשמגיעה בקשת פרטיות?
20. תוכנית תגובה לאירוע אבטחה
הכינו תוכנית למקרה של דליפת מידע או פריצה: מי אחראי, מה הצעדים הראשונים, איך מדווחים לרשות ולנפגעים, ואיך מונעים הישנות.
בדקו: האם יש תוכנית תגובה? האם היא נבדקה?
רשימת הבדיקה המלאה
הנה כל 20 הפריטים בצורה מרוכזת:
- ☐ 1. מדיניות פרטיות מעודכנת בעברית
- ☐ 2. מדיניות פרטיות נגישה מכל עמוד
- ☐ 3. תנאי שימוש מעודכנים
- ☐ 4. חלון הסכמה לעוגיות עם כפתור סירוב
- ☐ 5. עוגיות מחולקות לקטגוריות
- ☐ 6. סקריפטים חסומים עד הסכמה
- ☐ 7. אפשרות לשינוי העדפות עוגיות
- ☐ 8. הסכמות מתועדות
- ☐ 9. צ'קבוקס הסכמה בטפסים
- ☐ 10. הסכמה נפרדת לדיוור שיווקי
- ☐ 11. איסוף מידע מינימלי
- ☐ 12. SSL/HTTPS על כל האתר
- ☐ 13. עדכוני אבטחה שוטפים
- ☐ 14. גיבויים אוטומטיים יומיים
- ☐ 15. סיסמאות חזקות ו-2FA
- ☐ 16. מיפוי וניקוי סקריפטים
- ☐ 17. Google Consent Mode מופעל
- ☐ 18. DPA עם ספקי צד שלישי
- ☐ 19. תהליך בקשות פרטיות
- ☐ 20. תוכנית תגובה לאירוע אבטחה
איך להתחיל?
עברו על הרשימה פריט אחר פריט. סמנו מה כבר קיים ומה חסר. התחילו מהפריטים הקריטיים ביותר - חלון הסכמה עם חסימה אמיתית (פריטים 4-8) ומדיניות פרטיות (פריטים 1-2).
התוסף Israeli Privacy Consent מכסה את פריטים 4-8 באופן אוטומטי: חלון הסכמה בעברית עם חלוקה לקטגוריות, חסימת סקריפטים, אפשרות שינוי העדפות, ותיעוד הסכמות. זו נקודת ההתחלה הטובה ביותר לעמידה בדרישות הפרטיות.
סיכום
עשרים הפריטים ברשימה הזו מייצגים את הסטנדרט שכל אתר ישראלי צריך לשאוף אליו ב-2025. חלקם פשוטים ליישום, חלקם דורשים יותר מאמץ. אבל כולם חשובים. אל תמתינו לתביעה, לקנס, או לדליפת מידע כדי לפעול. התחילו היום, פריט אחר פריט, ובנו אתר שמכבד את הפרטיות של הגולשים ומגן על העסק שלכם.
התחילו לסמן פריטים מהרשימה! Israeli Privacy Consent מכסה 5 פריטים קריטיים בלחיצה אחת. התקינו עכשיו ←
