מדיניות פרטיות

השירות נפגשים (להלן: "השירות" או "הפלטפורמה") מופעל על ידי נפגשים (עוסק מורשה, XXXXXX), מ-כנען 13, אור יהודה (להלן: "אנחנו", "החברה" או "מפעילת השירות").

אנו פועלים כ-"בעל מאגר מידע" (Data Controller) ביחס למידע של בעלי עסקים, אנשי צוות וצרכנים שנרשמים לשירות. ביחס למידע על לקוחות הקצה שמזמינים תור דרך עסק שמשתמש ב-נפגשים, אנו פועלים גם כ-"מחזיק במידע" (Data Processor) מטעם בעל העסק.

מסמך זה מנוסח לפי חוק הגנת הפרטיות, התשמ"א-1981 (להלן: "החוק") ותקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 (להלן: "תקנות אבטחת מידע"), ובא להחליף כל מסמך פרטיות קודם.

אנו אוספים רק את המידע שדרוש כדי לספק לכם את השירות, לחייב, להגן עליו מפני שימוש לרעה ולעמוד בדרישות החוק. המידע מתחלק לקטגוריות הבאות:

2.1 מידע שאתם מוסרים לנו ביוזמתכם

• פרטי חשבון: שם מלא, כתובת אימייל, מספר טלפון נייד, סיסמה (מוצפנת בלבד — לא נראית לנו).
• פרטי עסק (לבעלי עסקים): שם העסק, סוג העסק, כתובת, אזור פעילות, שעות פעילות, רשימת שירותים, מחירים, צוות עובדים.
• פרטי לקוחות הקצה (כשבעלי עסק מזינים אותם): שם, טלפון, היסטוריית תורים, הערות.
• תוכן שאתם מעלים: תמונות פרופיל, לוגו עסק, תמונות שירות, הערות חופשיות.
• תקשורת איתנו: הודעות תמיכה, פניות, סקרים.

2.2 מידע שנאסף אוטומטית בעת השימוש

• נתוני שימוש: דפים שביקרתם בהם, פעולות שביצעתם, תאריך ושעה, משך שהייה.
• נתוני מכשיר: סוג מכשיר, מערכת הפעלה, סוג דפדפן, שפה, רזולוציית מסך, מזהה התקן (לאפליקציות).
• נתוני רשת: כתובת IP, ספק אינטרנט, מיקום גיאוגרפי משוער ברמת עיר (מתוך כתובת ה-IP בלבד — לא GPS).
• קובצי Cookie ומזהים דומים: כמפורט בסעיף 9 להלן.
• יומני שרת (Logs): נשמרים ל-90 ימים לצורכי אבטחה, ניטור והתאוששות מתקלות.

2.3 מידע ממקורות צד שלישי

• התחברות עם Google: אם בחרתם להתחבר באמצעות חשבון Google, נקבל מ-Google את שמכם, כתובת האימייל ותמונת הפרופיל. במידה ואישרתם הרשאת Google Calendar — נקבל גישת קריאה/כתיבה ליומן שלכם, אך ורק לצורך סנכרון התורים.
• אימות SMS: ספק שירותי ה-SMS שלנו עשוי לחשוף לנו אם המספר חוקי, פעיל וסוג הקו (נייד/קווי).
• סליקת תשלומים: ספק הסליקה (Dodo Payments / מותאם אישית) ימסור לנו אישור/סירוב, ארבע ספרות אחרונות של הכרטיס, סוג הכרטיס ותוקף החיוב — אך לא את מספר הכרטיס המלא.
• WhatsApp Business: סטטוסי מסירה של הודעות שנשלחות ללקוחות.

אנו משתמשים במידע אך ורק למטרות הבאות, ובהיקף הדרוש להן:

• אספקת השירות: יצירת חשבון, ניהול תורים, סנכרון יומן, שליחת אישורים ותזכורות.
• חיוב וגבייה: ניהול מנויים, הוצאת חשבוניות, החזרים.
• תקשורת תפעולית: שינויים בתורים, הודעות מערכת, התראות אבטחה — אלו אינן הודעות פרסומת ולא נדרשת לגביהן הסכמת אופט-אין מפורשת.
• שיווק (רק בהסכמה מפורשת): שליחת מבצעים, עדכוני מוצר וטיפים — בכפוף להסכמתכם המפורשת לפי סעיף 30א לחוק התקשורת (בזק ושידורים), התשמ"ב-1982.
• שיפור השירות: ניתוח אגרגטיבי של דפוסי שימוש, איתור באגים, A/B testing.
• אבטחה ומניעת הונאות: זיהוי פעילות חריגה, חסימת חשבונות שנפרצו, תיעוד ניסיונות גישה לא מורשים.
• עמידה בחובות חוקיות: שמירת רשומות חשבונאיות (7 שנים מכוח פקודת מס הכנסה), תגובה לצווים שיפוטיים.

לא נשתמש במידע למטרה החורגת מאלו שצוינו לעיל מבלי לקבל את הסכמתכם מראש, או אלא אם הדבר נדרש על פי דין.

חוק הגנת הפרטיות הישראלי דורש שהעיבוד יתבצע בהסכמה (מפורשת או מכללא) או מכוח חובה חוקית. הבסיס המשפטי שעליו אנו מסתמכים:

• הסכמה (סעיף 1 לחוק): הרישום לשירות ואישור מסמכים אלו מהווים הסכמה מדעת לעיבוד שתואר כאן.
• קיום חוזה: עיבוד הנדרש לאספקת השירות שהזמנתם.
• אינטרס לגיטימי: אבטחת המערכת, מניעת הונאות, שיפור השירות — באיזון מול זכויותיכם.
• חובה חוקית: שמירת רשומות מס, מענה לרשויות מוסמכות.

איננו מוכרים מידע אישי, נקודה. אנו משתפים מידע רק עם הגורמים הבאים ובהיקף ההכרחי בלבד:

5.1 בעלי עסקים ולקוחותיהם

כשלקוח קצה מזמין תור דרך עסק המשתמש בפלטפורמה, פרטי ההזמנה (שם, טלפון, שירות, תאריך) חשופים לבעל העסק ולחברי הצוות הרלוונטיים. בעל העסק הוא בעל המאגר ביחס למידע זה, ואחראי לעמידתו בחוק הגנת הפרטיות.

5.2 ספקי שירות (Sub-Processors)

אנו עובדים עם ספקי תשתית מובילים, שכולם כפופים להסכמי סודיות ועיבוד מידע:

• תשתית ענן ובסיס נתונים: Supabase ו-Vercel (בארה"ב/אירופה).
• סליקת אשראי: Dodo Payments — בכפוף לתקני PCI-DSS.
• שליחת מיילים: ספק SMTP טרנזקציוני (לדוגמה Resend / Postmark).
• SMS וווטסאפ: ספקי תקשורת מורשים בישראל ובעולם.
• אנליטיקה: כלי אנליטיקה אנונימיים-יחסית (ללא מכירת המידע לצדדים שלישיים).

5.3 רשויות וגורמים משפטיים

נחשוף מידע לרשויות אכיפה, בית משפט או רגולטור רק כשאנו מחויבים לכך מכוח צו שיפוטי, חוק תקף או הליך משפטי, ובהיקף המצומצם הנדרש. במידת האפשר ובכפוף לדין, נודיע לכם על כך מראש.

5.4 העברת עסק

במקרה של מיזוג, רכישה, מכירת נכסים או הליך פירוק, מידע עשוי לעבור לישות הרוכשת, בכפוף להמשך תחולתה של מדיניות פרטיות זו או הודעה מראש על שינוי מהותי.

חלק מספקי השירות שלנו (Supabase, Vercel, ספקי אנליטיקה) מאחסנים נתונים בשרתים מחוץ לישראל — בעיקר באיחוד האירופי ובארצות הברית. העברה זו מתבצעת בהתאם לתקנות הגנת הפרטיות (העברת מידע למאגרי מידע שמחוץ לגבולות המדינה), התשס"א-2001:

• המדינות הרלוונטיות מקיימות הגנה הולמת על מידע אישי, או
• ההעברה כפופה להסכמי עיבוד מידע (DPA) ולסעיפים החוזיים הסטנדרטיים של ה-EU (SCCs), או
• אתם נתתם הסכמה מודעת ומפורשת להעברה כחלק מההסכמה למסמך זה.

אנו מיישמים אמצעי אבטחה התואמים לרמת האבטחה הבינונית (ולעיתים הגבוהה) שנקבעה בתקנות אבטחת מידע 2017, לרבות:

• הצפנת תעבורה (TLS 1.2+) בכל נקודות הקצה.
• הצפנה במנוחה (AES-256) של בסיסי נתונים וגיבויים.
• סיסמאות נשמרות אך ורק כ-hash (bcrypt/argon2) — אנחנו לא רואים את הסיסמה שלכם.
• הפרדת סביבות (Production / Staging / Development) ובידוד גישות לפי הרשאות מינימליות.
• ניהול גישות מבוסס תפקידים (RBAC), אימות דו-שלבי לעובדים, ולוגים של כל גישה למאגר.
• ניטור 24/7, מערכות זיהוי חדירה, וגיבויים יומיים מוצפנים.
• סקרי סיכונים ותחקור אירועים בהתאם לתקנה 5 לתקנות אבטחת מידע.

אנו שומרים מידע רק כל עוד הוא דרוש למטרות שלשמן נאסף, או כפי שמחייב הדין:

• מידע חשבון פעיל: כל עוד החשבון פעיל ועד 30 ימים לאחר מחיקה (לחלון התאוששות).
• תורים והיסטוריית שירות: עד 7 שנים, מטעמי המשכיות עסקית של בעל העסק.
• חשבוניות ורשומות מס: 7 שנים, מכוח סעיף 25 לחוק מס ערך מוסף ופקודת מס הכנסה.
• יומני שרת ואבטחה: 90 ימים, ולמקרי חירום עד שנה.
• פניות תמיכה: עד 24 חודשים לאחר סגירת הפנייה.
• גיבויים: עד 90 ימים — לאחר מכן נדרסים מחזורית.

לאחר תום תקופת השמירה הרלוונטית, המידע נמחק לצמיתות או עובר אנונימיזציה בלתי הפיכה.

אנו משתמשים בקובצי Cookie לשלושה סוגי מטרות:

• הכרחיים (Strictly Necessary): שמירת חיבור, אבטחת CSRF, העדפת שפה — לא ניתן לכבות.
• פונקציונליים: זכירת העדפות, אזור זמן, מצב כהה.
• אנליטיקה (אופציונלי): מדידת שימוש בכלי אנליטיקה לשיפור המוצר. תוכלו לבטל בכל עת מהגדרות החשבון.

אנו לא משתמשים בקובצי Cookie של מפרסמים חיצוניים לצורך פרסום ממוקד (Behavioral Advertising). תוכלו לחסום קובצי Cookie ישירות מהדפדפן, אך חלק מהפונקציונליות עלולה להיפגע.

לפי החוק, עומדות לכם הזכויות הבאות, וניתן לממש אותן ללא תשלום על ידי פנייה ל-[email protected]:

• זכות עיון (סעיף 13 לחוק): לדעת איזה מידע אישי שמור עליכם ולקבל ממנו עותק.
• זכות תיקון (סעיף 14): לבקש תיקון מידע שגוי, לא שלם או לא עדכני.
• זכות מחיקה: מחיקת חשבון והסרת פרטים אישיים, בכפוף לחובות שמירה חוקיות (כגון רשומות מס).
• זכות לניידות נתונים: לקבל את המידע שלכם בפורמט קריא-מכונה (JSON / CSV).
• זכות התנגדות לדיוור ישיר (סעיף 17ו): להסיר את עצמכם מרשימת תפוצה בכל עת — לחיצה אחת על "הסר" בתחתית כל מייל פרסומי, או הודעת "הסר" בתגובה ל-SMS.
• זכות חזרה מהסכמה: לחזור מהסכמתכם לעיבוד מסוים בכל עת, ללא פגיעה בעיבוד שבוצע לפני החזרה.
• זכות תלונה לרשות: להתלונן בפני הרשות להגנת הפרטיות במשרד המשפטים בכתובת gov.il.

נשיב לפניות תוך 30 ימים, ובמקרים מורכבים תוך עד 60 ימים.

השירות אינו מיועד לילדים מתחת לגיל 16. אנו מאפשרים שימוש על ידי קטינים בני 16-18 רק באישור הורה או אפוטרופוס מפורש. אם הינך הורה או אפוטרופוס וגילית כי ילדך מסר מידע ללא אישורך, פנה אלינו ב-[email protected] ונסיר את המידע ללא דיחוי.

ביחס להזמנת תורים: בעל העסק אחראי לוודא הסכמה מתאימה של הורה/אפוטרופוס ביחס ללקוחות קטינים, ובכל מקרה לא נאפשר הצגת מידע אישי של קטין מתחת לגיל 16 בממשקים פומביים.

השירות תואם ל-Google API Services User Data Policy, לרבות דרישות "Limited Use":

• המידע מ-Google Calendar משמש אך ורק להצגת תורים וסנכרון יומן בממשק שלכם.
• אנו לא מעבירים נתוני Google לצדדים שלישיים, למעט ספקי תשתית הכפופים לתנאים מקבילים.
• אנו לא משתמשים בנתוני Google לפרסום, פרופיילינג או מודלים של למידה.
• אדם פיזי בצוות שלנו לא צופה בתוכן יומן Google שלכם, אלא לצורך תמיכה שביקשתם, חקירת אירוע אבטחה או חובה חוקית.

ניתן לבטל את חיבור Google בכל עת מהגדרות החשבון, או דרך דף ההרשאות של Google.

נעדכן את המסמך מעת לעת. שינוי מהותי ימסר לכם בהודעה במייל ו/או בהודעה בולטת בתוך השירות לפחות 14 ימים לפני כניסתו לתוקף. תאריך העדכון האחרון מופיע בראש המסמך. המשך שימוש בשירות לאחר מועד הכניסה לתוקף מהווה הסכמה לשינויים.

אנחנו זמינים לכל שאלה או פנייה בנושאי פרטיות:

• אימייל ייעודי לפרטיות: [email protected]
• אימייל משפטי כללי: [email protected]
• תמיכה כללית: [email protected]
• טלפון: 058-12345689
• כתובת לדואר רשום: כנען 13, אור יהודה

זכותכם להגיש תלונה ישירות לרשות להגנת הפרטיות. אנו ממליצים לפנות אלינו תחילה — בדרך כלל נצליח לפתור את העניין במהירות.

על מסמך זה יחולו דיני מדינת ישראל, וסמכות השיפוט הייחודית בכל מחלוקת תהיה נתונה לבתי המשפט המוסמכים בעיר תל אביב–יפו.