Live Direct Marketing
דף הביתבלוגמשפט וציות

מה חוק הגנת הפרטיות ותיקון 40 דורשים ממאגר אנשי הקשר שב-CRM שלכם

12 ביולי 2026 · 9 דקות קריאה · מדריך: משפט וציות

צוות מכירות שמנהל שיחות B2B נוטה להניח שמידע על אנשי קשר עסקיים - שם, תפקיד, מייל בעבודה - פטור מדיני הגנת הפרטיות כי 'זה לא פרטי, זה עסקי'. בישראל ההנחה הזו שגויה: מאגר כזה ב-CRM הוא מאגר מידע לכל דבר, ושליחת מיילים לרשימת תפוצה מתוכו כפופה בנפרד לתיקון 40 לחוק התקשורת. המדריך מפריד בין שתי החובות ומראה מה נדרש בפועל כדי לנהל מאגר אנשי קשר B2B בלי לחשוף את החברה לתלונה או לקנס.

בקצרה
  • מייל עסקי עם שם ותפקיד הוא מידע אישי לכל דבר, גם כשהוא נאסף לצורך עסקה B2B.
  • תיקון 40 לחוק התקשורת חל על שליחת מיילים לרשימת תפוצה, ונפרד לגמרי מחובות האבטחה והרישום של חוק הגנת הפרטיות על המאגר עצמו.
  • חריג 'לקוח קיים' לא חל על ליד קר שמעולם לא היה בקשר עם החברה.
  • כשה-CRM משמש גם לשירותי דיוור ישיר לצד שלישי, חובת הרישום במאגרי המידע עשויה לחול גם על מאגר קטן יחסית.
  • בחירת מערכת CRM למכירות לפי מחיר בלבד, בלי בדיקת יכולות תיעוד הסכמה והרשאות גישה, מייצרת סיכון רגולטורי.

'זה רק B2B' לא פוטר את מאגר אנשי הקשר מדיני הגנת מידע

כשאיש מכירות מוסיף ל-CRM איש קשר חדש - שם, תפקיד, כתובת מייל בעבודה, טלפון - הוא בדרך כלל חושב על זה כ'נתון עסקי'. בפועל, לפי חוק הגנת הפרטיות, מדובר במידע אישי: הפרטים מזהים בן אדם ספציפי, גם אם התפקיד שלו רלוונטי לעסקה. העובדה שהמייל הוא כתובת עבודה ולא כתובת פרטית לא משנה את הסיווג המשפטי של הנתון.

זה יוצר שתי חובות שונות שצריך להפריד ביניהן, כי מקורן בחוקים שונים ובלוגיקה שונה: איך שומרים ומנהלים את המאגר עצמו (חוק הגנת הפרטיות) לעומת איך פונים אליו בפועל בשליחת מיילים לרשימת תפוצה (תיקון 40 לחוק התקשורת). אפשר לעמוד בחובה אחת ולהפר את השנייה בלי לשים לב - למשל לנהל מאגר מאובטח היטב, אבל לשלוח קמפיין קר בלי אפשרות הסרה תקינה.

תיקון 40: מה מותר ומה אסור בשליחת מיילים לרשימת תפוצה B2B

תיקון 40 לחוק התקשורת (בזק ושידורים) קובע כי שליחת 'דבר פרסומת' באימייל, SMS או פקס טעונה הסכמה מפורשת מראש, אלא אם מתקיים חריג ה'לקוח קיים': הפרטים התקבלו במסגרת עסקה או פנייה קודמת מהצד השני, ההצעה החדשה דומה למה שכבר סוכם ביניכם, ובכל הודעה יש אפשרות הסרה ברורה. החריג הזה מדבר על מערכת יחסים שכבר קיימת - לא על ליד קר שמעולם לא יצר קשר עם החברה.

בפועל, זה אומר שקמפיין קר לרשימת תפוצה חדשה של אנשי קשר שלא היה איתם מגע קודם צריך להתייחס אליו בזהירות: פנייה אישית וממוקדת לאיש קשר ספציפי בחברה ספציפית, בהיקף נמוך, נראית שונה לגמרי מ'דבר פרסומת' המוני - אבל עדיין חייבים לכלול דרך הסרה אמיתית ולכבד אותה.

חוק הגנת הפרטיות: מתי המאגר עצמו חייב ברישום ובאבטחה

מעבר לשאלת השליחה, המאגר עצמו - הנתונים שיושבים ב-CRM - כפוף לחוק הגנת הפרטיות. מאגר גדול, מאגר שמכיל מידע רגיש, או מאגר שמשמש למתן שירותי דיוור ישיר לצד שלישי, עשוי לחייב רישום ברשם מאגרי המידע גם אם מדובר בחברת B2B קטנה עם מספר מצומצם יחסית של רשומות. CRM פנימי לניהול לידים נראה 'פנימי ולא מסוכן', אבל אם אותו מאגר משמש גם לרכישת רשימות או להשכרתן לצדדים שלישיים, הבדיקה משתנה לגמרי.

תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף לאחרונה, החמיר את חובות האבטחה והדיווח על אירועי אבטחת מידע - כולל למאגרים עסקיים כמו CRM מכירות. זה כולל קביעת רמת אבטחה בהתאם להיקף המאגר ולרגישות השדות, מינוי גורם אחראי, וכיבוד זכויות עיון, תיקון ומחיקה של מי שהמידע עליו נשמר, גם כשמדובר באיש קשר עסקי ולא ב'לקוח קצה' פרטי.

טעויות נפוצות בניהול מאגר אנשי קשר B2B

רוב הבעיות לא נובעות מכוונה רעה אלא מהרגלי עבודה ישנים שנשארו למרות שהמאגר גדל:

איך LDM מנהלת מאגר אנשי קשר B2B בלי לקחת סיכון מיותר

בקמפיינים ממוקדי B2B שאנחנו מריצים ב-LDM, ה-CRM מחזיק שדה נפרד לכל איש קשר עם תאריך ההסכמה או המקור שבו הליד נאסף, ותאריך הסרה אם ביקש לצאת מהרשימה. זה לא רק עניין משפטי - זה גם מה שמאפשר לדעת בוודאות מי בכלל מותר לפנות אליו בסבב הבא.

המתודולוגיה בנויה על היקפים יומיים נמוכים ופנייה אישית לאיש קשר ספציפי בחברה ספציפית, ולא על שליחת מיילים לרשימת תפוצה גדולה בבת אחת. זה מקטין את הסיכון שהפנייה תיתפס כ'דבר פרסומת' המוני, ומשאיר מקום אמיתי לתגובה אישית - כולל בקשת הסרה, שמטופלת מיידית ולא רק 'מסומנת לטיפול'.

דוגמה

לדוגמה: כרטיס איש קשר של רונית לוי, מנהלת רכש בחברת מטרו-פארם, כולל בשדה מקור 'לינקדאין, פנייה יזומה', ובשדה סטטוס 'הסכימה לקבל עדכון אחד, לא ביקשה הסרה'. אם היא לוחצת על קישור ההסרה, השדה מתעדכן אוטומטית ל'הוסרה - לא לפנות', והיא יוצאת מכל רשימת תפוצה עתידית מאותו רגע.

צ'ק-ליסט: לפני שמריצים קמפיין מהמאגר

לפני שמריצים קמפיין נוסף מה-CRM, שווה לעבור על רשימה קצרה שמכסה גם את חובת השליחה וגם את חובת האחסון:

שאלות נפוצות

האם צריך הסכמה מפורשת לפני שליחת קולד אימייל B2B בישראל?

ככלל, תיקון 40 לחוק התקשורת דורש הסכמה מראש לשליחת 'דבר פרסומת' גם כשהנמען הוא איש קשר עסקי. חריג 'לקוח קיים' חל רק כשכבר הייתה עסקה או פנייה קודמת מהצד השני והמוצר המוצע דומה. לליד קר אמיתי, הדרך הבטוחה היא פנייה אישית וממוקדת עם אפשרות הסרה ברורה, ולא הסתמכות על כך שמדובר ב-B2B.

מתי מאגר אנשי קשר ב-CRM חייב ברישום ברשם מאגרי המידע?

זה תלוי בהיקף המאגר ובשימוש בו: מאגר גדול, מאגר שמכיל מידע רגיש, או מאגר שמשמש למתן שירותי דיוור ישיר לצד שלישי, יכול לחייב רישום גם אם מדובר בחברת B2B קטנה. כדאי לבדוק זאת מול יועץ פרטיות ולא להניח ש'זה רק CRM פנימי' פוטר מבדיקה.

האם איש קשר עסקי יכול לבקש למחוק את עצמו מה-CRM?

כן. הפרטים שלו הם מידע אישי לכל דבר, ולכן חלות עליו זכויות עיון, תיקון ומחיקה כמו על כל מידע אישי אחר, גם אם הוא נשמר לצורך עסקי.

מה ההבדל בין תיקון 40 לחוק הגנת הפרטיות בהקשר של CRM מכירות?

תיקון 40 לחוק התקשורת מסדיר את הפעולה של שליחת הודעה - מתי מותר לשלוח מייל שיווקי ובאילו תנאים. חוק הגנת הפרטיות מסדיר את האחזקה של המאגר עצמו - איך שומרים אותו, מי ניגש אליו, ומה הזכויות של מי שהמידע עליו נשמר. עמידה באחד לא פוטרת מהשני.

האם מערכת CRM למכירות זולה יכולה לספק את מה שנדרש כאן?

לא תמיד. מחיר מערכת CRM לא תמיד משקף אם היא תומכת בתיעוד תאריך הסכמה או הסרה לכל איש קשר, בהרשאות גישה מדורגות ובלוג ייצוא נתונים. כשבוחרים מערכת, שווה לבדוק את היכולות האלה לצד המחיר, לא רק את מספר אנשי הקשר או המשתמשים שהתוכנית כוללת.

האם מותר לרכוש רשימת תפוצה מוכנה לקמפיין B2B?

אפשר, אבל זה מעלה את הסיכון משמעותית: בלי תיעוד מקור ברור ובלי וודאות שההסכמה או החריג הרלוונטי אכן מתקיים לכל רשומה, קשה להוכיח עמידה בתיקון 40 אם מגיעה תלונה. עדיף לבנות רשימה ממוקדת ומתועדת, גם אם היא קטנה יותר.

חשוב: זה לא דיוור המוני ולא ספאם. אנחנו עובדים ממוקד: כל הודעה נשלחת לאיש קשר מסוים בחברה מסוימת, מסיבה עסקית לגיטימית, בנפחים יומיים קטנים ומותאמת לנמען. בכל מייל מזוהה השולח וישנה הסרה בקליק אחד; הסרות ורשימות חסימה חלות על כל הקמפיינים הבאים ללא יוצא מן הכלל.

רוצים ליישם את זה באאוטריץ׳ שלכם?

נראה לכם איך זה עובד על הסגמנט והמוצר שלכם — לפני שמתחילים.

דברו איתנו