חדרי כושר וסטודיו: מנויים, מצלמות ואפליקציות אימון
קובץ המנויים של חדר כושר מחזיק את שני סוגי המידע הרגישים ביותר יחד — הוראות קבע (מידע פיננסי) והצהרות בריאות שהחוק מחייב אתכם לאסוף (מידע רפואי) — במרחב פיזי שרואה גוף, לעיתים עם קטינים. מדריך מעשי לכל נקודות החשיפה: מאגר המנויים, כניסה ביומטרית, מצלמות, אפליקציית ההזמנות, סליקה, דיוור וגבול המאמן-מתאמן — עם צ׳קליסט ליישום השבוע.
בואו נתחיל מתמונה אחת. סטודיו פילאטיס קטן, שלוש מדריכות, מאתיים מנויות. במחשב בקבלה — קובץ אקסל אחד: שם, טלפון, מספר כרטיס אשראי (ל״הוראת קבע״), ולצד כל שורה סימון קטן — ״בעיה בגב״, ״הריון״, ״לחץ דם״. כל מדריכה נכנסת עם אותה סיסמה שרשומה על פתק מתחת למקלדת. אף אחד לא חשב על הקובץ הזה כעל נכס שצריך להגן עליו — אבל מבחינת חוק הגנת הפרטיות, זה בדיוק מה שהוא: מאגר של מידע פיננסי ומידע רפואי, שרובו ברגישות מיוחדת. במדריך הזה נעבור על כל המקומות שבהם חדר כושר או סטודיו מחזיק מידע רגיש, ומה עושים עם זה — כולל צ׳קליסט ליישום השבוע.
בגלל צירוף נדיר של מידע במקום אחד. רוב העסקים הקטנים מחזיקים או מידע פיננסי (חנות) או מידע רפואי (קליניקה); חדר כושר מחזיק את שניהם — הוראות קבע לצד הצהרות בריאות שהחוק מחייב לאסוף. הוסיפו מצלמות במרחב שבו אנשים מתפשטים, אפליקציית הזמנות שמחזיקה את כל הדאטה, ולעיתים קטינים — וקיבלתם פרופיל רגולטורי גבוה בהרבה ממה שנראה מבחוץ.
מאגר המנויים: הנכס שאף אחד לא מאבטח
מאגר המנויים הוא הלב הרגיש של העסק, והוא מורכב משלוש שכבות שכל אחת מהן דורשת יחס שונה.
השכבה הפיננסית — הוראות הקבע. כדי לגבות מנוי חודשי אתם מחזיקים אמצעי תשלום קבוע: הרשאה לחיוב חשבון או פרטי כרטיס אשראי לחיוב חוזר. תיקון 13 לחוק הגנת הפרטיות מסווג מפורשות מידע פיננסי כמידע בעל רגישות מיוחדת — בדיוק המידע שהעיצום הכספי עליו מוכפל. לכרטיסי אשראי מתווספות גם דרישות התקינה (PCI DSS), שנגיע אליהן בהמשך. הכלל הבסיסי: כמה שפחות מהכרטיס אצלכם, כמה שיותר אצל חברת הסליקה.
השכבה הרפואית — הצהרת הבריאות. זו הנקודה שבעלי מכוני כושר רבים מפספסים. לפי חוק מכוני כושר (רישוי ופיקוח), התשנ״ד-1994, מכון כושר רשאי לקבל מתאמן רק לאחר שהמתאמן מסר לו שאלון רפואי הכולל הצהרת בריאות חתומה, שבה הוא מאשר שאינו סובל מבעיות רפואיות שעלולות לסכן אותו באימון. התקנות משנת 2015 קובעות תדירות: הצהרת בריאות אחת לשנתיים, ותעודה רפואית אחת לשנה למי שנדרש בה — והחוק גם מחייב אתכם לשמור את המסמכים האלה. במילים אחרות: המדינה מחייבת אתכם לאסוף מידע רפואי ולשמור אותו, ותיקון 13 מחייב אתכם להגן עליו כמידע ברגישות מיוחדת. אלה שני צדדים של אותו מטבע — אי-אפשר לאסוף בלי להגן. מידע רפואי נושא חובות מיוחדות שרלוונטיות לכל מי שאוסף אותו; הרחבנו עליהן במדריך למידע רפואי בישראל.
השכבה של הקטינים. אם יש לכם מנויי נוער — חוג התעמלות, אגרוף לילדים, מנוי משפחתי — נוספת שכבת רגישות: איסוף מידע על קטין דורש הסכמה של ההורה, לא של הילד, והצהרת בריאות של קטין היא מידע רפואי על קטין — הרגיש שבמידע הרגיש. אם המודל העסקי שלכם כולל ילדים, זו שכבה שמחייבת בדיקה של כל תהליך ההרשמה.

שאלת הכניסה: טביעת אצבע בכניסה לחדר הכושר
הרבה מכוני כושר עברו לכניסה ביומטרית — טביעת אצבע במקום כרטיס, ״כדי שלא יעבירו מנויים אחד לשני״. נשמע כמו פתרון תפעולי חכם, אבל משפטית זו אחת ההחלטות הרגישות שתקבלו: מידע ביומטרי מסווג בתיקון 13 כמידע בעל רגישות מיוחדת, וכל הניתוח שחל על שעון נוכחות ביומטרי — פירטנו אותו במדריך למידע ביומטרי בעסק — חל כאן במלואו. המבחן הוא מידתיות: האם באמת אין דרך פחות פולשנית להשיג את אותה מטרה?
התשובה כמעט תמיד היא שיש. כרטיס מנוי, ברקוד באפליקציה, קוד אישי — כולם משיגים את אותה תוצאה בלי לאסוף את המידע הרגיש ביותר שקיים. מנוי שהעביר כרטיס לחבר עולה לכם כמה עשרות שקלים; מאגר טביעות אצבע שדלף עולה לכם עיצום כספי מוכפל, ולמנויים — נזק שאי-אפשר לתקן, כי טביעת אצבע אי-אפשר להחליף כמו סיסמה. אם אתם שוקלים מערכת כזו, המלצתנו פשוטה: בחרו בחלופה.
מי הספק שסיפק את המערכת, ואיפה נשמרות התבניות הביומטריות — על המכשיר בכניסה, או במאגר מרכזי בענן? האם קיבלתם מהמנויים הסכמה מדעת, בנפרד, ולא כשורה קבורה בתקנון? האם יש חלופה למי שמסרב? אם אין לכם תשובה ברורה לשלוש השאלות האלה — יש לכם חשיפה רגולטורית פעילה, ושווה לטפל בה לפני ביקורת ולא אחריה.
מצלמות במרחב שרואה גוף
מצלמות אבטחה הן ברירת מחדל כמעט בכל חדר כושר, וברוב המקרים הן לגיטימיות — אבל חדר כושר הוא מרחב מיוחד, כי אנשים בו לבושים חלקית, מזיעים, ולעיתים מתרגלים תרגילים במנחים שהם לא היו רוצים שיצולמו. מכאן שני כללי ברזל.
- אזורי איסור מוחלט. חדרי הלבשה, מקלחות, שירותים — ואפילו המסדרון שממנו רואים אל תוכם — הם אזורים שבהם אסור למקם מצלמה, נקודה. זו לא שאלה של שילוט או הסכמה; זו פגיעה בפרטיות שאין לה הצדקה. בדקו לא רק איפה המצלמה ממוקמת, אלא מה היא רואה — מצלמה בפרוזדור שזווית הצילום שלה קולטת את פתח חדר ההלבשה היא בעיה בדיוק כמו מצלמה בתוכו.
- שילוט וחובת יידוע. בכל מקום שבו יש מצלמה חובה עליכם ליידע את המבקרים בשילוט ברור וגלוי, לפני הכניסה לאזור המצולם. את מלוא ההנחיות של הרשות להגנת הפרטיות בנושא — מיקום, שילוט ותקופת שמירה — פירטנו במדריך למצלמות אבטחה בעסק.
ויש עוד סוג מצלמה ייחודי לתחום: צילום שיעורים. סטודיו שמצלם שיעור ספינינג או יוגה — לשידור אונליין, להקלטה למי שהחמיצה, או לרשתות — מצלם אנשים אחרים באותו שיעור. הקלטת שיעור אינה מצלמת אבטחה; זו מטרה חדשה לעיבוד מידע, והיא דורשת הסכמה של מי שמופיע בפריים. או שהמנויה בשורה השנייה מחוץ לפריים, או שהיא נתנה הסכמה מפורשת.
שכבת התוכנה: אפליקציית ההזמנות שמחזיקה את הכול
כמעט כל חדר כושר וסטודיו מנהל היום את המנויים דרך תוכנה או אפליקציה חיצונית — מערכת הזמנת שיעורים, ניהול מנויים, גבייה. מבחינה משפטית, הספק הזה הוא מחזיק של המידע שלכם (מעבד מידע), ואתם, כבעלי המאגר, נשארים אחראים למידע גם כשהוא יושב על השרתים שלו. זה משנה את מה שאתם צריכים לבדוק:
- הסכם עיבוד מידע. צריך להיות הסכם כתוב מול הספק שמגדיר מה מותר לו לעשות עם המידע, שהוא לא ישתמש בו למטרות שלו, ושהוא ימחק אותו כשתסיימו את ההתקשרות. חבילת SaaS בלי הסכם כזה היא חשיפה ישירה שלכם.
- איפה יושב המידע. אם התוכנה שומרת מידע בענן מחוץ לישראל — זו העברת מידע לחו״ל, שכפופה לתקנות משלה. שאלו את הספק היכן פיזית מאוחסן המידע.
- מה האפליקציה מבקשת מהמנוי. אפליקציות אימון רבות מבקשות מדדים בריאותיים — משקל, אחוזי שומן, דופק, מטרות. כל מדד כזה הוא מידע רפואי. אם האפליקציה אוספת אותם, ודאו שהיא עושה זאת בהסכמה ולמטרה מוגדרת, ולא ״כי אפשר״.
- אינטגרציות של שעונים חכמים (Wearables). אם המערכת שלכם מתחברת ל-Apple Watch, Garmin או Fitbit של המנויים — אתם מקבלים זרם קבוע של מידע בריאותי רציף. זה פותח ערך תפעולי, אבל גם מכניס אתכם לאחריות על מידע רפואי שוטף. אספו רק מה שאתם באמת משתמשים בו.
אבטחת תשלומים: הוראת קבע וכרטיס בתיק
מודל המנוי מבוסס על חיוב חוזר, וכאן הטעות הנפוצה: שמירת מספר הכרטיס המלא במערכת ״כדי שיהיה נוח לחייב״. אתם לא אמורים לאחסן מספר כרטיס מלא ו-CVV; חברת הסליקה מנפיקה ״טוקן״ — מזהה מוצפן שמאפשר לחייב את הכרטיס בלי שהמספר יישב אצלכם. אם המערכת מציגה למישהו בקבלה מספר כרטיס מלא — יש לכם בעיה. את מלוא הדרישות פירטנו במדריך לאבטחת סליקה וקופה.
שיווק: ה-WhatsApp למנויים שנטשו
ינואר מגיע, ואיתו הרצון לשלוח לכל מי שהמנוי שלו פג: ״חזרו אלינו, חודש ראשון בחצי מחיר!״. עצרו רגע. דיוור פרסומי ב-SMS, ב-WhatsApp או במייל כפוף לחוק ה״ספאם״, שדורש הסכמה מפורשת מראש ואפשרות הסרה בכל הודעה. מנוי לשעבר שהסכים בזמנו — בסדר; אבל בלי תיעוד של ההסכמה, הבלסט לכלל הרשימה הוא הפרה. את כללי הדיוור החוקי פירטנו במדריך לחוק הספאם.
אותו היגיון חל על קמפיינים מסוג ״הביאו חבר״. אם אתם מבקשים ממנוי את הטלפון של חבר כדי לשלוח לו הצעה — אתם שולחים דבר פרסומת למישהו שמעולם לא נתן לכם הסכמה. העובדה שהמנוי מסר את המספר אינה הסכמה של החבר. זו הפרה נפוצה שנראית תמימה, ואינה כזו.
גבול המאמן-מתאמן: הפתקים על הטלפון הפרטי
מאמן אישי שמלווה מתאמנת רושם דברים: מה כאב לה בברך, איזו תרופה היא לוקחת, מה המשקל שלה השבוע. איפה זה נשמר? ברוב המקרים — בפתקים או בצ׳אט WhatsApp על הטלפון הפרטי של המאמן: מידע רפואי על לקוחה, על מכשיר לא מאובטח, מחוץ לכל בקרה של הסטודיו. ואם המאמן פועל תחת השם שלכם — האחריות היא שלכם. הגדירו למאמנים איפה מותר לשמור מידע על מתאמנים (במערכת של הסטודיו, לא בטלפון הפרטי), ומה קורה למידע כשמאמן עוזב.
תמונות מנויים ורשתות חברתיות
תמונות ״לפני ואחרי״ הן זהב שיווקי, אבל תמונה של מנויה היא מידע אישי שלה, ולפרסומה נדרשת הסכמה מפורשת ומתועדת — וספציפית: היכן תתפרסם, ולכמה זמן. אותו כלל חל על צילום שגרתי — סרטון שיעור עמוס שעולה לאינסטגרם קולט עשרות אנשים שלא ביקשו להופיע. צלמו זוויות שלא מזהות פנים, או בקשו הסכמה מראש.
כשמשהו משתבש: שני תרחישים מהשטח
תרחיש א׳ — כופרה לפני עומס ינואר. מתקפת כופרה מצפינה את מערכת ניהול המנויים בסוף דצמבר: אין גבייה, אין רישום לשיעורים, אין תפעול — בשיא העונה. בלי גיבוי נפרד ומנותק, אתם מול בחירה בין תשלום כופר (בלי ערובה לקבל את המידע חזרה) לבין בניית המאגר מאפס. הביטוח זול ופשוט: גיבוי אוטומטי קבוע, במקום נפרד מהמערכת עצמה.
תרחיש ב׳ — דליפת מאגר הוראות הקבע. עובד לשעבר עם סיסמה שלא בוטלה, אקסל שנשלח במייל, פריצה לספק — ועכשיו יש בחוץ רשימה עם שמות, טלפונים, פרטי תשלום והצהרות בריאות. מבחינת תיקון 13 זהו אירוע אבטחה שעשוי לחייב דיווח לרשות להגנת הפרטיות ופנייה למנויים. השילוב של מידע פיננסי ורפואי הופך את זה מ״מביך״ ל״אירוע מדווח״.
משמעת נטישה: מה עושים עם מידע של מנוי שעזב
עיקרון יסוד בהגנת הפרטיות: אין להחזיק מידע אישי מעבר לנדרש למטרה שלשמה נאסף. מנוי שעזב לפני שלוש שנים — למה אתם עדיין מחזיקים את כרטיס האשראי והצהרת הבריאות שלו? הגדירו מדיניות שמירה: תקופה סבירה לאחר העזיבה (שמאזנת מול הצורך התפעולי-חשבונאי), ומחיקה אוטומטית אחריה. מידע ישן שנמחק הוא בדיוק מה שאין לתוקף לגנוב — פחות מידע שמור, פחות נזק בדליפה.
גרסת האפס-תקציב: סטודיו של אדם אחד
סטודיו של אדם אחד בלי תקציב IT? אלה החמישה שנותנים את מרב ההגנה במינימום מאמץ:
- אל תשמרו מספרי כרטיס אצלכם. עבדו מול חברת סליקה שמחזיקה את הכרטיסים (טוקניזציה). זה הצעד היחיד שהכי מקטין את הנזק בדליפה.
- סיסמה אישית לכל אחד + אימות דו-שלבי. לא סיסמה משותפת על פתק. אם יש מדריכות נוספות — לכל אחת משתמש משלה, כדי שתדעו מי ניגש למה.
- גיבוי אוטומטי במקום נפרד. ודאו שמאגר המנויים מגובה אוטומטית לענן או לכונן נפרד. זה ההבדל בין ״יום רע״ ל״אסון״ בכופרה.
- הצהרות בריאות במקום נעול. אם הן על נייר — בארון נעול. אם הן דיגיטליות — בתיקייה מוגנת סיסמה, לא בתיקיית ווטסאפ.
- בדקו מה המצלמות רואות, ותלו שילוט. חמש דקות שמונעות את התלונה שתעלה לכם הרבה יותר.

צ׳קליסט: מה לעשות השבוע
- מפו את המידע. רשמו בדף אחד: אילו סוגי מידע אתם מחזיקים (מנויים, תשלומים, הצהרות בריאות, מצלמות, אפליקציה), איפה כל אחד יושב, ומי ניגש אליו.
- סגרו את שכבת התשלומים. ודאו שאתם לא שומרים מספרי כרטיס מלאים; עברו לטוקניזציה מול הסליקה אם עדיין לא.
- נעלו את הצהרות הבריאות. גישה מוגבלת בלבד, מוצפנות אם דיגיטליות, במקום נעול אם על נייר.
- בטלו את הסיסמה המשותפת. משתמש אישי לכל עובד, אימות דו-שלבי במערכות הרגישות.
- חתמו הסכם עיבוד מול ספק התוכנה, ובררו היכן פיזית נשמר המידע.
- עברו על המצלמות — מיקום, זווית צילום ושילוט. ודאו שאף מצלמה לא רואה חדרי הלבשה או מקלחות.
- נקו את רשימת הדיוור. שלחו רק למי שנתן הסכמה מתועדת, עם כפתור הסרה בכל הודעה.
- אם יש מערכת ביומטרית — בדקו את שלוש שאלות הביקורת, ושקלו לעבור לחלופה שאינה ביומטרית.
- הגדירו מדיניות שמירה ומחיקה למידע של מנויים שעזבו.
- הנחו את המאמנים איפה מותר לשמור מידע על מתאמנים — ומה נמחק כשהם עוזבים.
השורה התחתונה
חדר כושר וסטודיו הם עסקים עם פרופיל מידע גבוה שמחופש כעסק פשוט: מידע פיננסי ומידע רפואי — שני סוגי המידע הרגישים ביותר — במרחב פיזי שרואה גוף, לעיתים עם קטינים. החדשות הטובות: רוב הסיכון מנוטרל בהחלטות פשוטות בלי תקציב גדול — לא לשמור כרטיסים, לגבות, לנעול את הצהרות הבריאות, ולוותר על ביומטריה שאתם לא באמת צריכים. צריך רק להפסיק להתייחס לקובץ המנויים כאל קובץ, ולהתחיל להתייחס אליו כאל מה שהוא באמת — הנכס הרגיש ביותר בעסק.
Cybertis מלווה עסקים קטנים ובינוניים — כולל רשתות כושר, סטודיו ומכוני בריאות — במיפוי המידע, בהתאמה לתיקון 13, ובבניית הגנות מעשיות שמתאימות לתקציב ולגודל. הפגישה הראשונה עלינו.
דברו איתנו על אבטחת המידע בעסק*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי או מקצועי מחייב. חובות הרישוי, איסוף הצהרות הבריאות והגנת הפרטיות תלויות במאפייני העסק הספציפי ומחייבות בחינה פרטנית.*