מדיניות פרטיות

עודכן לאחרונה: מאי 2026 · מותאמת לתיקון 13 לחוק הגנת הפרטיות

aridesk (חננאל אריה, ע.מ., להלן: "החברה", "אנחנו") מכבדת את פרטיות המשתמשים באתר שלה ומחויבת להגנה על המידע האישי שנאסף במסגרת השימוש באתר ובשירותים הניתנים באמצעותו. מדיניות פרטיות זו מפרטת את האופן שבו אנו אוספים, משתמשים, שומרים, מגנים ומשתפים מידע אישי, בהתאם לחוק הגנת הפרטיות, התשמ"א-1981, לרבות תיקון 13 שנכנס לתוקף ב-14 באוגוסט 2025, ולתקנות שהותקנו מכוחו (לרבות תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017).

כללי

מדיניות זו חלה על כל המשתמשים באתר aridesk.co.il (וכן 121.co.il, support.aridesk.co.il), לרבות משתמשים רשומים (לקוחות), מבקרים שאינם רשומים, ומשתמשים שמבצעים פעולה דרך הפורטל או הדאשבורד הניהולי. השימוש באתר מותנה במתן הסכמה למדיניות זו במקומות שבהם אנו מבקשים אותה במפורש (טפסים, באנר עוגיות, הרשמה).

זהות הגורם המאסף

הגורם האחראי על איסוף ועיבוד המידע (Data Controller):

aridesk היא עסק עצמאי קטן שאינו חייב במינוי ממונה הגנת פרטיות (DPO) לפי תיקון 13. עם זאת, נקודת קשר ייעודית לכל פנייה בנושא פרטיות היא privacy@aridesk.co.il.

המידע שאנו אוספים

בהתאם להגדרת "מידע אישי" בתיקון 13, אנו אוספים את סוגי המידע הבאים:

מידע אישי שאתה מוסר לנו ביוזמתך:

• שם מלא, כתובת דוא"ל ומספר טלפון (מנורמל בפורמט בינלאומי, למשל 972XXXXXXXXX) — בעת הרשמה לאתר, יצירת קשר או הרשמה לניוזלטר.
• שם חברה — בעת הרשמה כלקוח עסקי או דרך טופס יצירת קשר.
• תוכן פניות, הודעות, הצעות מחיר והזמנות שנשלחות דרך טופס יצירת הקשר או מערכת הפניות בפורטל.
• קבצים מצורפים שהועלו במסגרת פניות תמיכה או הזמנות.
• סיסמה (נשמרת מוצפנת בלבד באמצעות bcrypt, אנחנו לא יכולים לראות אותה).

מידע שנאסף באופן אוטומטי (כולל מזהים מקוונים לפי תיקון 13):

• כתובת IP (גם בעת ביקור אנונימי וגם בעת התחברות, לצורך אבטחה ויומן ביקורת).
• סוג הדפדפן (User-Agent), גרסת הדפדפן ומערכת ההפעלה.
• נתוני מיקום משוערים על בסיס IP בלבד (מדינה, עיר, ספק ISP) — נחשפים בעמוד הורדות לצורך הצגתם לך, ולא נשמרים ביומן.
• עמודים שנצפו, משך השהייה ומקור ההגעה — רק אם אישרת עוגיות אנליטיקה.
• עוגיות ומזהי דפדפן (cookies, localStorage), כמפורט בסעיף ייעודי בהמשך.
• בעת התחברות מוצלחת או כושלת — תיעוד פעולת ההתחברות ביומן ביקורת (audit log) פנימי לצורכי אבטחה.

מאגרי המידע שלנו:

• מאגר לקוחות aridesk — נתוני התקשרות והיסטוריית פניות/הזמנות של לקוחות רשומים.
• מאגר מנויי דיוור — כתובות מייל של מנויים שאישרו במפורש קבלת ניוזלטר. מאגר נפרד עם מנגנון הסרה אוטומטי בכל מייל.

מטרות השימוש במידע והבסיס המשפטי

אנו משתמשים במידע שנאסף אך ורק למטרות הבאות, על בסיס משפטי תואם:

• אספקת השירותים וניהול חשבון (בסיס: ביצוע חוזה) — טיפול בפניות, בקשות תמיכה, הזמנות והצעות מחיר.
• תקשורת תפעולית (בסיס: ביצוע חוזה / אינטרס לגיטימי) — שליחת עדכוני סטטוס בהזמנות, פניות והצעות מחיר.
• שליחת ניוזלטר ועדכונים שיווקיים (בסיס: הסכמה מפורשת ונפרדת כפי שנדרש בתיקון 13). ניתן להסיר בכל עת בלחיצה אחת.
• אבטחת מידע ומניעת הונאה (בסיס: אינטרס לגיטימי / חובה חוקית) — Turnstile, rate-limit, חסימת IP, יומן ביקורת.
• שיפור האתר (בסיס: הסכמה לעוגיות אנליטיקה) — Google Analytics עם anonymize_ip, רק לאחר אישור.
• עמידה בדרישות חוק (בסיס: חובה חוקית) — שמירת רשומות חשבונאיות לפי חוק מע"מ, מענה לבקשות רשמיות.

שיתוף מידע עם צדדים שלישיים

אנו לא מוכרים, לא משכירים ולא מעבירים את המידע האישי שלך לצדדים שלישיים לצרכים שיווקיים, למעט במקרים הבאים:

• ספקי שירות טכנולוגיים: ספקים שמעבדים מידע בשמנו לצורך תפעול האתר (ראה רשימה מפורטת בסעיף הבא). חתום עמם הסכם DPA (Data Processing Agreement).
• דרישה חוקית: במקרה שנדרש על פי חוק, צו בית משפט או הליך משפטי.
• הגנה על זכויות: לצורך הגנה על זכויותינו, רכושנו או בטיחותנו, או של אחרים.

ספקי שירות וצדדים שלישיים בחו"ל

חלק משירותי האתר מתבצעים באמצעות ספקים שמשמשים כמעבדי מידע (Data Processors) ושרתיהם ממוקמים מחוץ לגבולות ישראל. בהתאם לתקנה 2 לתקנות הגנת הפרטיות (העברת מידע למאגרי מידע שמחוץ לגבולות המדינה), אנו מוודאים שכל ספק עומד ברמת הגנה דומה לזו שבישראל.

• Supabase (אחסון מסד נתונים, הזדהות, אחסון קבצים) — שרתים בארה"ב/אירופה.
• Vercel (אחסון האתר ופונקציות שרת) — שרתים גלובליים.
• SMTP2GO (שליחת מיילים תפעוליים ושיווקיים) — חו"ל.
• Cloudflare (Turnstile להגנה מבוטים, Email Workers להעברת תגובות מייל) — חו"ל.
• CheckMobi (אימות OTP טלפוני בעת התחברות בטלפון) — חו"ל.
• Google Analytics (סטטיסטיקות שימוש אנונימיות, anonymize_ip) — ארה"ב. נטען רק לאחר אישור עוגיות מפורש מצדך.
• ipapi.co (זיהוי ספק ISP/מיקום משוער מ-IP, לתצוגה בעמוד הורדות) — חו"ל.
• UserWay (ווידג'ט נגישות) — חו"ל.

תקופות שמירת מידע

אנו שומרים מידע אישי רק לפרק הזמן הדרוש למילוי המטרה שלשמה נאסף, או כנדרש בחוק. להלן תקופות השמירה:

• פניות מטופס יצירת קשר: 12 חודשים מתאריך הפנייה.
• פניות תמיכה (tickets): 7 שנים (בהתאם לחוק התיישנות וחוק מע"מ).
• הזמנות והצעות מחיר: 7 שנים (בהתאם לחוק מע"מ ולפקודת מס הכנסה).
• מנויי ניוזלטר: עד הסרה. עד 90 יום לאחר ההסרה אנו שומרים את כתובת המייל בלבד לאישור ההסרה ולמניעת הוספה חוזרת בטעות.
• יומן מיילים יוצאים (email_logs): 12 חודשים.
• יומן ביקורת (audit_log): 12 חודשים.
• חשבון לקוח שבוטל: anonymization (אנונימיזציה) של פרטים אישיים תוך 30 יום מקבלת בקשת המחיקה. נתונים חשבונאיים (חשבוניות, הזמנות) יישמרו 7 שנים כנדרש בחוק.
• טיוטות (drafts) של פניות שלא נשלחו: עד 30 יום מהשמירה האחרונה.

אבטחת מידע

אנו נוקטים באמצעי אבטחה סבירים, מתעדכנים ומקובלים, התואמים את תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017:

• הצפנת תקשורת באמצעות SSL/TLS עם HSTS preload.
• הצפנת סיסמאות באמצעות bcrypt.
• בקרת גישה מבוססת שורות (RLS — Row Level Security) על כל טבלאות מסד הנתונים.
• אימות משתמשים מאובטח (סיסמה / OTP טלפוני) + Turnstile למניעת בוטים.
• Content Security Policy (CSP) במצב אכיפה + מצב דיווח להתרעה על אנומליות.
• Rate limiting על פעולות רגישות (איפוס סיסמה, OTP).
• חסימת כתובות IP חשודות.
• יומן מיילים יוצאים ויומן ביקורת לכל פעולת התחברות, איפוס סיסמה, ייצוא נתונים ובקשת מחיקה.
• גיבויי מסד נתונים שוטפים (דרך Supabase).
• סקירות אבטחה תקופתיות וניטור אירועי CSP.

עם זאת, אין אמצעי אבטחה המספק הגנה מוחלטת. במקרה של אירוע אבטחה מהותי, אנו מתחייבים לדווח לנפגעים ולרשות הגנת הפרטיות תוך 72 שעות מגילוי האירוע, בהתאם לתקנות.

עוגיות (Cookies) ומזהים מקוונים

האתר משתמש בשתי קטגוריות של עוגיות:

• עוגיות הכרחיות (תמיד פעילות) — נדרשות לתפקוד האתר ולא ניתנות לכיבוי. כוללות: sb-* (Supabase auth), aridesk-cookie-consent (תיעוד בחירת העוגיות שלך), aridesk-portal-scope (העדפת תצוגה בפורטל).
• עוגיות אנליטיקה (אופציונליות, נטענות רק לאחר אישור) — Google Analytics: _ga, _ga_*. עם anonymize_ip מופעל.

בכניסה הראשונה לאתר מוצג באנר ובו תוכל/י לבחור: קבלה מלאה, רק הכרחיות, או התאמה אישית. ניתן לעדכן את הבחירה בכל עת דרך הקישור "הגדרות עוגיות" בפוטר של האתר. בנוסף, ניתן לחסום עוגיות גם דרך הגדרות הדפדפן — אך חסימת עוגיות הכרחיות עשויה לפגוע בתפקוד האתר.

זכויותיך כנושא המידע

בהתאם לחוק הגנת הפרטיות (לרבות תיקון 13), עומדות לך הזכויות הבאות:

• זכות עיון (סע' 13 לחוק) — לעיין במידע האישי שלך.
• זכות תיקון (סע' 14) — לבקש תיקון מידע שגוי או לא מדויק.
• זכות מחיקה ("להישכח") (תיקון 13) — לבקש מחיקת המידע האישי שלך, בכפוף למגבלות חוקיות (כגון שמירת רשומות חשבונאיות).
• זכות התנגדות לדיוור ישיר (סע' 17ו) — להסיר עצמך ממאגר הדיוור בלחיצה אחת.
• זכות ניידות מידע — לקבל את המידע שלך בפורמט מובנה (JSON) להעברה לגורם אחר.
• זכות לפנות לרשות הגנת הפרטיות — אם נדמה לך שזכויותיך הופרו: רשות הגנת הפרטיות.

מימוש מהיר (Self-Service): לקוחות רשומים יכולים לממש את הזכויות שלהם ישירות מהפורטל בכתובת /portal/privacy.html — צפייה במידע, ייצוא JSON, הסרה מדיוור, ובקשת מחיקת חשבון.

פנייה ידנית: ניתן לפנות אלינו במייל privacy@aridesk.co.il. נשיב לפנייתך תוך 30 ימים.

קטינים

האתר והשירותים אינם מיועדים לקטינים מתחת לגיל 18. אנו לא אוספים ביודעין מידע אישי מקטינים. אם נודע לנו שנאסף מידע של קטין, נפעל למחוק אותו בהקדם. הורים שמזהים פעילות של ילדם באתר מוזמנים לפנות אלינו ב-privacy@aridesk.co.il.

שינויים במדיניות הפרטיות

אנו רשאים לעדכן מדיניות זו מעת לעת. במקרה של שינויים מהותיים נודיע לך באמצעות הודעה בולטת באתר ו/או במייל, ונבקש מחדש את הסכמתך כאשר הדבר נדרש על פי חוק. תאריך העדכון האחרון מופיע בראש העמוד.

יצירת קשר

לכל שאלה, בקשה או תלונה בנוגע למדיניות הפרטיות או לטיפול במידע האישי שלך, ניתן לפנות אלינו: