חוק ורגולציה8 דקות קריאה

חוק הגנת הפרטיות ומיילים שיווקיים

כתובת מייל היא מידע אישי לכל דבר, ורשימת תפוצה היא מאגר מידע שחל עליו חוק הגנת הפרטיות — לא רק תיקון 40. הנה מה זה אומר בפועל לעסק ששולח דיוור.

כשעסק חושב על רגולציית מייל שיווקי בישראל, הראשון שעולה בראש הוא תיקון 40 לחוק התקשורת — חוק הספאם. אבל יש חוק נוסף שרלוונטי לא פחות ולעיתים אפילו יותר: חוק הגנת הפרטיות. הוא לא עוסק בשאלה "האם מותר לשלוח לך מייל", אלא בשאלה הקודמת לה — "איך מותר לאסוף, לאחסן ולעבד את כתובת המייל שלך מלכתחילה". לעסק שמריץ ניוזלטר, קמפיין שיווקי או רשימת לקוחות ב-CRM, שני החוקים חלים בו־זמנית, וההבנה של ההבדל ביניהם היא מה שמפריד בין רשימת תפוצה תקינה לבין מאגר מידע שחושף את העסק לתביעה.

מה זה חוק הגנת הפרטיות ולמה הוא נוגע לדיוור

חוק הגנת הפרטיות מסדיר איסוף, שמירה ועיבוד של מידע אישי — וכתובת מייל, יחד עם שם, מספר טלפון או היסטוריית רכישות, נכנסת בדיוק להגדרה הזו. כל רשימת תפוצה שעסק מנהל, בין אם ב-Excel, ב-CRM או בממשק של ESP כמו ActiveTrail או smoove, היא בפועל "מאגר מידע" לפי החוק. המשמעות היא שיש חובות שחלות על העסק גם אם אף פעם לא שלח מייל אחד: איך המאגר מאובטח, מי יכול לגשת אליו, האם יש הליך תקין לבקשת אדם לעיין במידע שלו או למחוק אותו, ולמה בכלל המידע נאסף מלכתחילה.

תיקון 40 מול חוק הגנת הפרטיות: שני חוקים, אותה כתובת מייל

חשוב להבין את החלוקה כדי לא לפספס אחד מהם. תיקון 40 (המכונה חוק הספאם) עוסק בפעולה הספציפית של שליחת דיוור פרסומי — הוא דורש הסכמה מפורשת מראש (opt-in), חובת סימון "פרסומת" בכותרת ואפשרות הסרה נוחה. חוק הגנת הפרטיות רחב יותר: הוא חל על כל שלב שבו המידע נמצא אצל העסק — לפני השליחה, במהלך האחסון ואחרי שאדם כבר הפסיק לקבל דיוור אך הכתובת שלו עדיין יושבת במאגר. כלומר גם אם עמדתם מלא בדרישות תיקון 40 לגבי איך שלחתם את המייל, זה לא פוטר אתכם מהחובות של חוק הגנת הפרטיות לגבי איך שמרתם את הכתובת אחריו.

איסוף הכתובת100%הסכמה מתועדת78%רשימה נקייה ומאובטחת60%הגעה ל-Inbox42%
מסלול הכתובת: מהסכמה מתועדת ועד לתיבה הנכנסת

מה עסק חייב לעשות בפועל עם רשימת התפוצה

בפועל, ההתאמה לשני החוקים ביחד מתורגמת לכמה הרגלים פשוטים אך קריטיים:

  • לתעד את מקור ואת תאריך ההסכמה של כל כתובת — לא מספיק "יש לנו הסכמה", צריך יכולת להוכיח מתי וכיצד היא ניתנה.
  • לאפשר לכל אדם ברשימה לבקש לעיין במידע שנשמר עליו או לדרוש את מחיקתו, ולא רק להסיר אותו מרשימת התפוצה.
  • להגביל גישה למאגר לאנשים שבאמת צריכים אותה, ולוודא שה-CRM או ה-ESP שבו הרשימה יושבת מאובטח כראוי.
  • לא לייבא רשימות "מוכנות" שנרכשו או נאספו בשיטות לא ברורות — מקור לא תקין של הכתובת הוא בעיה גם מבחינת הגנת הפרטיות וגם מבחינת תיקון 40.
תיעוד ההסכמה הוא הקו האדום
לא מספיק שיש ווי בטופס הרשמה. כדי לעמוד גם בתיקון 40 וגם בחוק הגנת הפרטיות באמת צריך יכולת להראות מתי, איפה ובאיזה ניסוח האדם הסכים לקבל דיוור ולכך שהמידע שלו יישמר — אחרת ההסכמה קיימת רק בתיאוריה.

אבטחת מידע ורשימות שדולפות — הקשר למסירות בפועל

לחוק הגנת הפרטיות יש גם צד מעשי שקשור ישירות למסירות דוא"ל. רשימת תפוצה שנאספה בלי תיעוד תקין, יובאה ממקור חיצוני לא ברור, או פשוט לא נוקתה במשך זמן רב, נוטה להכיל כתובות ישנות, לא תקינות ואפילו מלכודות ספאם (spam traps). שליחה לרשימה כזו לא רק חושפת את העסק לסיכון משפטי — היא גם פוגעת ישירות במוניטין השולח מול ספקים כמו Gmail ו-Outlook, שדורשים משיעור התלונות להישאר נמוך מאוד ועוקבים אחרי איכות הרשימה דרך Postmaster Tools. במילים אחרות: ניהול מאגר מידע רשלני הוא גם בעיה משפטית וגם הדרך המהירה ביותר להתחיל לנחות בתיקיית הספאם.

זה נכון במיוחד לעסקים שמשתמשים בפלטפורמות כמו Grow או WooCommerce, שבהן מיילים טרנזקציוניים ושיווקיים לפעמים יוצאים מתשתית משותפת בלי הפרדה ברורה בין דומיין העסק לדומיין הפלטפורמה — מצב שגם מקשה על אימות טכני תקין (SPF/DKIM/DMARC) וגם מטשטש את השקיפות מול הנמען לגבי מי בעצם שולח את המייל.

איך לבדוק שאתם באמת בסדר לפני שהקמפיין יוצא

לפני שליחת קמפיין לרשימה שלמה, שווה לבדוק שני דברים בנפרד: שהאימות הטכני של הדומיין תקין, ושהמייל בפועל נוחת בתיבה הנכנסת ולא בספאם. אפשר לבצע בדיקת מסירות חינמית על שורת נושא, תוכן וכתובת השולח שלכם מול עשרות ספקי מייל בו־זמנית, ולראות בדיוק איפה המייל נוחת ולמה. אם אתם רוצים גם תמונת מצב רחבה יותר על אימוץ SPF/DKIM/DMARC בשוק, אפשר להסתכל בנתוני הסריקה השוטפת ב-/email-stats/.

טעויות נפוצות שכדאי להימנע מהן

  1. ייבוא רשימת אנשי קשר ישנה מ-CRM קודם או מגורם חיצוני בלי לבדוק מתי ואיך ניתנה ההסכמה.
  2. שמירת רשימת תפוצה בקובץ משותף בלי הגבלת גישה, בניגוד לחובת האבטחה שבחוק הגנת הפרטיות.
  3. הסתמכות רק על מנגנון ה-unsubscribe בלי אפשרות אמיתית למחיקת המידע לפי בקשת האדם.
  4. שליחה מדומיין הפלטפורמה (ESP או מערכת מסחר) בלי חיבור דומיין עצמי מאומת עם SPF ו-DKIM תקינים.

האם חוק הגנת הפרטיות חל גם על ניוזלטר לרשימת לקוחות קיימת?

כן. גם אם קיים בסיס טענה חוקית לשליחה לפי תיקון 40 (לקוחות קיימים לגבי מוצרים דומים), חוק הגנת הפרטיות עדיין חל על עצם האחסון והעיבוד של הכתובות ברשימה — כולל חובות אבטחה ותיעוד.

מה ההבדל בין ההסכמה הנדרשת בתיקון 40 לבין החובות לפי חוק הגנת הפרטיות?

תיקון 40 מתמקד בהסכמה לקבלת דיוור פרסומי עצמו. חוק הגנת הפרטיות רחב יותר ומתמקד בכל מחזור החיים של המידע — איך הוא נאסף, נשמר, מאובטח, ומה קורה לו כשהאדם מבקש לעיין בו או למחוק אותו.

רשימת תפוצה שנאספה בצורה לא ברורה — מה הסיכון המעשי מעבר למשפטי?

מעבר לחשיפה החוקית, רשימה שנאספה בלי תיעוד הסכמה תקין נוטה להכיל כתובות ישנות ומלכודות ספאם. שליחה אליה פוגעת במוניטין הדומיין השולח ומעלה משמעותית את הסיכוי שהמיילים הבאים ינחתו בספאם גם אצל נמענים לגיטימיים.
מאמרים קשורים
Found this useful? Share it
AB
על הכותב
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

בדקו את שיעור ההגעה לתיבה ביותר מ-20 ספקים

Gmail, Outlook, Walla, GMX, ProtonMail ועוד. צילומי מסך אמיתיים של תיבת הדואר, SPF/DKIM/DMARC, הכרעות מסנני ספאם. חינם, ללא הרשמה.

הרצת בדיקה חינם ←

בדיקות ללא הגבלה · 20+ תיבות · תוצאות בזמן אמת · ללא חשבון