מדיניות פרטיות — אפליקציית עסק זעיר

גרסה 1.6 · תחילה: 2026-05-21 · עדכון אחרון: 2026-06-14

1. כללי

מדיניות פרטיות זו ("המדיניות") מתארת כיצד אנו אוספים, משתמשים, שומרים, משתפים ומאבטחים מידע אישי שלך כאשר את/ה משתמש/ת באפליקציה לנייד "עסק זעיר" (להלן: "האפליקציה") ובלוח־הניהול שלנו ("הדשבורד"), שמיועד אך ורק לאנשי הצוות שלנו.

האפליקציה נועדה לעוסקים פטורים ועוסקים מורשים בישראל ומסייעת להם להקים את העסק הזעיר שלהם, לעקוב אחר התקדמותם בתהליך, ולנהל את התקשורת מולנו.

אנו מחויבים לשמור על פרטיותך. המסמך כתוב בעברית פשוטה. אם משהו אינו ברור — אנא פנו אלינו בכתובת maya@ethikaltd.co.il ונסביר.

שלושת המסמכים המשפטיים שלנו — איך הם מתחלקים:

מדיניות פרטיות (זה המסמך) — איסוף, שימוש ושיתוף מידע אישי + זכויותיך לפי חוק הגנת הפרטיות, התשמ"א–1981.
תקנון ותנאי שימוש — מסדיר את ההתקשרות המסחרית: מהות השירות, תשלום, ביטולים, אחריות מוגבלת, סמכות שיפוט.
הצהרת נגישות — מחויבות הנגישות שלנו לפי תקנה 35 לתקנות שוויון זכויות לאנשים עם מוגבלות, התשע"ג–2013.

שלושת המסמכים זמינים זה לצד זה במסכי האפליקציה ובלוח־הניהול, ומטופלים על־ידי אותו אדם (מיה זינו) — אך עם תפקידים נפרדים (ממונה הגנת פרטיות / רכזת נגישות / נציגת שירות) ועם זמני־מענה נפרדים, כפי שמוסכם בכל מסמך בנפרד.

2. למי המדיניות חלה ועל אילו שירותים

המדיניות חלה על:

לקוחות/ות שמשתמשים/ות באפליקציית עסק זעיר לנייד (iOS ו־Android).
נציגי המפעילה ("אדמינים") שמשתמשים/ות בדשבורד הניהול שלנו לצורך מתן השירות.
מתעניינים/ות שמשאירים/ות פרטים דרך מסלול "עסק קיים" באפליקציה (Leads).
מבקרים/ות באתר השיווקי / דף ההרשמה לרשימת ההמתנה (waitlist) שלנו — ביחס לאיסוף נתוני שימוש בסיסיים ופרטי הרשמה לרשימת ההמתנה (ראו סעיף 4.13).

3. זהות המפעילה (בעל/ת מאגר המידע) ופרטי קשר

פרט	ערך
שם המפעילה	אתיקה שירותי חשבונאות ויעוץ בע"מ
מספר תאגיד (ח.פ.)	514385996
כתובת רשומה	לאה גולדברג 1, קריית מוצקין
דוא"ל לפניות פרטיות	maya@ethikaltd.co.il
טלפון לתמיכה	058-408-7061
ממונה הגנת פרטיות (DPO)	מיה זינו — maya@ethikaltd.co.il

לכל פנייה בנושאי פרטיות, מימוש זכויותיך לפי המדיניות והדין, או בקשות עיון/תיקון/מחיקה — אנא פנו לכתובת הדוא"ל לעיל. נשתדל להשיב תוך 30 ימים מקבלת הפנייה.

4. סוגי המידע שאנו אוספים

הערה לגבי "מידע בעל רגישות מיוחדת": חלק ניכר מהמידע שאנו אוספים מסווג לפי חוק הגנת הפרטיות כ"מידע בעל רגישות מיוחדת" (מצב כלכלי, מידע רפואי, מצב משפחתי, מספר תעודת זהות בצירוף מידע מזהה נוסף ועוד). נסמן זאת לאורך הסעיף בסימן ⚠️.

4.1 מידע מזהה ויצירת קשר

שם מלא ושם מועדף.
מין (לצורך התאמת לשון פנייה בעברית — זכר/נקבה).
מספר טלפון נייד ישראלי (פורמט E.164 — לדוגמה: +972541234567).
כתובת דוא"ל (אופציונלי).
מספר תעודת זהות — ת"ז ⚠️.
כתובת מגורים ⚠️.

4.2 מצב משפחתי ואישי ⚠️

מצב משפחתי (נשוי/אה, רווק/ה, אלמן/ה, גרוש/ה).
מספר ילדים מתחת לגיל 18 (ספירה בלבד — אין שמירת פרטי הילדים עצמם).
האם הורה יחיד.
האם משלם/ת מזונות.

4.3 מצב כלכלי ועיסוקי ⚠️

תחום העיסוק וסוג העסק.
האם שכיר/ה, האם משלם/ת ביטוח לאומי כעצמאי/ת.
הכנסות נוספות ופירוט מילולי שלהן.
סכומי הוראת קבע למס הכנסה ו/או ביטוח לאומי שהוגדרו בתהליך.
היסטוריית תשלומים בפועל ופרטי החיוב ב־Cardcom (סכום, תאריך, מס' עסקה).

4.4 מידע רפואי, נכות ושירות מילואים ⚠️

האם זכאי/ת לפטור ממס מטעמים רפואיים.
האם הורה לילד/ה עם מוגבלות.
האם משרת/ת במילואים פעילים בקרבי במהלך 30 הימים האחרונים.

4.5 דגלי זכאות הטבות מס

עולה חדש/ה בשלוש השנים האחרונות.
חייל/ת משוחרר/ת בשלוש השנים האחרונות.
סטודנט/ית במוסד אקדמי בשלוש השנים האחרונות.
הנחת תושב/ת ביישוב.

4.6 מסמכים שאת/ה מעלה לאפליקציה

קבצים בפורמטים PDF, JPEG, PNG ו־WebP — לדוגמה: צילומי תעודות, אישורי הכנסה, אישורי ניכוי, חוזים, חתימות.
מטא־דאטה של הקובץ (שם המקור, גודל, סוג MIME, תאריך העלאה, מי העלה).

אחריות שלך ביחס למידע של צדדים שלישיים שמופיע במסמכים: מסמכים שאת/ה מעלה (לדוגמה: אישור הכנסה הכולל את שם המעסיק, חוזה הכולל פרטי בן/בת זוג, קבלות שכוללות שמות ספקים) עשויים להכיל מידע אישי של אנשים אחרים. ביחס למידע זה את/ה משמש/ת כ"בעל מאגר" והאחריות החוקית לאיסופו, להחזקתו ולמסירתו אלינו היא שלך. בעצם העלאת מסמך את/ה מצהיר/ה שאת/ה רשאי/ת לשתף אותו איתנו ושאין בכך פגיעה בפרטיות צדדים שלישיים. אנחנו מעבדים מסמכים אלה אך ורק לטובת השירות שאנו מספקים לך. אם צד שלישי יפנה אלינו בבקשה לעיון/תיקון/מחיקה של פרטים שלו שמופיעים במסמך שהעלית, נפנה אותו אלייך לתיאום.

4.7 רישומי תקשורת

היסטוריית ההודעות שנשלחו אליך מאיתנו בערוצים האוטומטיים: התראות פוש (push) והודעות בתוך־האפליקציה.
סטטוס מסירה לכל הודעת פוש (נשלח/נמסר/נכשל) והמזהה שמערכת היעד מחזירה (Receipt Token של Expo).
לגבי WhatsApp: איננו עושים שימוש בממשק (Cloud API) של WhatsApp ואיננו שולחים הודעות אוטומטיות. נציג/ת החברה פותח/ת שיחת WhatsApp מולך באופן ידני דרך אפליקציית WhatsApp (קישור "wa.me"), ולכן איננו מקבלים מ־Meta אישורי מסירה או מזהי הודעות, ואיננו שומרים לוג אוטומטי של תוכן הודעות ה־WhatsApp. ראו גם סעיף 8 וסעיף 14.2.

4.8 מידע טכני על המכשיר

אסימון push (Expo Push Token) — מזהה ייחודי שמאפשר לנו לשלוח התראות לאפליקציה במכשיר שלך.
סוג המערכת (iOS / Android) ושם מודל המכשיר.
שעת השימוש האחרון באפליקציה.
שעת הכניסה האחרונה לאפליקציה.

4.9 מידע על אימות וכניסה לחשבון

האסימון הסודי לאימות חד־פעמי (OTP) שנשלח בעת ההרשמה — נשמר בצורה מוצפנת (Hash) למשך 10 דקות בלבד, ואז נמחק.
"דגל" המעיד שהפעלת נעילה ביומטרית (Face ID / Touch ID / טביעת אצבע). לא שומרים מידע ביומטרי כלשהו — האימות הביומטרי מתבצע על־המכשיר עצמו על־ידי מערכת ההפעלה (ראו סעיף 15).

4.10 לוג פעולות (audit log)

רישום של כל שינוי במצב הצעדים שלך בתהליך, כל גישה לקובץ שלך, כל עדכון בשאלון, וכל בקשה למחיקת חשבון.
שדה זה מטרתו תיעוד פנימי לצורך אבטחת מידע, חקירת תקלות, וביצוע ביקורת.

4.11 מידע שנאסף מצוות המפעילה (לא ממך)

לצורך תפעול המערכת אנו שומרים על נציגי הצוות שלנו (אדמינים) גם: שם, דוא"ל, סיסמה מוצפנת, תפקיד, וכן כתובת IP ושם הדפדפן של נציג/ת הצוות בעת ביצוע פעולות רגישות. מידע זה אינו כולל אותך כלקוח/ה.

4.12 מידע אבחון תקלות וקריסות (crash diagnostics)

לצורך איתור ותיקון תקלות אנו משתמשים במערכת ניטור שגיאות (Sentry). כאשר מתרחשת תקלה או קריסה באפליקציה, בדשבורד או בשרת, נאסף מידע טכני בלבד: עקבת השגיאה (stack trace), סוג המכשיר ומערכת ההפעלה, גרסת האפליקציה, ורצף הפעולות שקדם לתקלה. המערכת מוגדרת אצלנו שלא לאסוף כתובת IP ולא מידע אישי (PII) כברירת מחדל. ייתכן שבמקרים נדירים יופיע מידע מזהה אגב בתוך טקסט של הודעת שגיאה; מידע כזה נשמר לכל היותר 90 ימים ואז נמחק אוטומטית. ראו גם סעיף 17.3.

4.13 מידע על שימוש ומדדי מוצר (product analytics)

לצורך שיפור השירות והבנת המסע של המשתמש/ת בתהליך (היכן נרשמים, היכן מתקדמים והיכן נתקעים), אנו אוספים מידע על אופן השימוש שלך באמצעות כלי אנליטיקת מוצר (PostHog). המידע כולל:

אירועי שימוש מוגדרים מראש — לדוגמה: התחלת הרשמה, אימות OTP, השלמת הרשמה, השלמת צעדים בתהליך, פתיחת מסך תשלום או חתימה.
נתוני הגעה ומקור — כתובת הדף שממנו הגעת, פרמטרי קמפיין (UTM), מפנה (referrer) ודפים שנצפו — בעיקר באתר השיווקי / דף ההרשמה.
מידע טכני בסיסי — סוג מכשיר/דפדפן, מערכת הפעלה, גרסת אפליקציה, ומזהה שימוש פסבדונימי (distinct id).
כתובת IP — נאספת לצורך זיהוי מיקום משוער (מדינה/אזור) וסינון בוטים, בעיקר באתר השיווקי.
כתובת הדוא"ל שלך — משמשת לאיחוד הזהות שלך בין האתר השיווקי לבין האפליקציה, כדי שנוכל להבין את המסע השלם ממקור ההגעה ועד ללקוח/ה.

אנו משתמשים במידע זה אך ורק לשיפור המוצר וזיהוי נקודות נטישה — לא לפרסום ממוקד, לא למכירה, ולא לקבלת החלטות אוטומטיות לגביך (ראו סעיפים 6, 10 ו־17.4). באפליקציה הניידת איסוף אוטומטי רחב (autocapture) של מסכים ולחיצות אינו מופעל — נאספים רק האירועים המוגדרים לעיל. נתוני האנליטיקה נשמרים באזור האיחוד האירופי (ראו סעיף 9.1).

5. כיצד אנו אוספים את המידע

ישירות ממך — בעת ההרשמה (שם, טלפון, מין) ובמהלך התהליך, כאשר את/ה ממלא/ת את השאלון, מעלה מסמכים, או מעדכן/ת העדפות.
באמצעות נציג/ת הצוות שלנו — חלק ניכר מהשאלון (סעיף 4.2–4.5) מתועד על־ידי נציג/ת צוות בעקבות שיחה איתך, ולא בקלידה עצמית שלך.
באופן אוטומטי מהמכשיר שלך — אסימון push, סוג המכשיר, שעת השימוש האחרון.
באופן אוטומטי דרך כלי אנליטיקת המוצר — אירועי שימוש, נתוני הגעה ומקור (UTM/מפנה/דפים) ומידע טכני בסיסי, באפליקציה ובאתר השיווקי (ראו סעיף 4.13).
מצדדים שלישיים — אישורי תשלום וחשבוניות שמתקבלים מ־Cardcom לאחר שאת/ה משלם/ת, ואישורי חתימה אלקטרונית שמתקבלים מ־EasyDo לאחר שאת/ה חותם/ת על מסמך.

אנו לא רוכשים מידע אישי עליך מגורמים חיצוניים, ולא משתמשים בכלי "העשרת מידע" (data enrichment).

6. מטרות העיבוד והבסיס החוקי

מטרה	הבסיס החוקי (לפי חוק הגנת הפרטיות)	סוגי מידע שמשמשים
יצירת חשבון משתמש/ת ואימות זהותך	ביצוע ההסכם בינינו	שם, טלפון, ת"ז
מתן השירות עצמו (הקמת עסק זעיר, מעקב התקדמות, ייצוג מול רשויות)	ביצוע ההסכם בינינו	כל המידע בסעיף 4.1–4.6
חישוב זכאות להטבות מס וקביעת רשימת המסמכים הנדרשים	ביצוע ההסכם בינינו	סעיף 4.2–4.5
גביית התשלום עבור השירות והפקת חשבונית מקור	חובה חוקית (פקודת מס הכנסה, חוק מע"מ) + ביצוע ההסכם	שם, דוא"ל, סכום, פרטי עסקה
שליחת תזכורות ועדכוני סטטוס בערוצי תקשורת שבחרת בהם	הסכמה (כל ערוץ — הסכמה נפרדת)	טלפון, שם, מזהי הודעות
תפעול שוטף, אבטחת מידע, ביקורת ועמידה בדרישות הדין	אינטרס לגיטימי + חובה חוקית	לוג פעולות, מטא־דאטה טכנית
שיפור השירות וניתוח שימוש (מדדי שימוש, משפך הרשמה ומקורות הגעה)	אינטרס לגיטימי	אירועי שימוש, נתוני הגעה ומקור, דוא"ל לאיחוד זהות (סעיף 4.13)
ענייה על תלונות, פניות ותביעות	אינטרס לגיטימי	כל מידע רלוונטי לפנייה

שום מטרה מעבר לרשימה לעיל לא תמומש ללא הסכמה מפורשת ונוספת שלך. במיוחד: אין אצלנו פרסום ממוקד (targeted advertising), אין מכירת מידע לצדדים שלישיים, ואין שיתוף המידע שלך עם רשתות פרסום. ניתוח השימוש והמשפך שאנו מבצעים (ראו שורת "שיפור השירות וניתוח שימוש" בטבלה לעיל ו־סעיף 4.13) נועד אך ורק לשיפור המוצר וזיהוי נקודות נטישה בתהליך — ולא לפרסום, לפילוח שיווקי חיצוני או למכירה. את/ה רשאי/ת להתנגד לעיבוד זה בכל עת (סעיף 13.5).

7. חובת מסירת המידע והשלכות סירוב

מסירת המידע אינה חובה חוקית, אולם מבלעדיה לא נוכל להעניק את השירות במלואו.

שדה	חובה?	מה קורה אם לא תמסור/י
שם מלא	כן	לא נוכל לפתוח חשבון.
טלפון נייד ישראלי	כן	אין כניסה לאפליקציה (האימות מבוסס OTP בלבד).
מין	כן	האפליקציה משתמשת בלשון מותאמת מגדר, ולכן נדרש לבחור אחת מהאופציות.
מס' תעודת זהות	כן (במהלך השאלון)	לא נוכל להגיש מסמכי הקמה מולנו.
כתובת מגורים	כן (במהלך השאלון)	לא נוכל למלא טפסי רישום ברשות המסים בשמך.
כתובת דוא"ל	לא	לא נוכל לשלוח אישורים בדוא"ל; כל התקשורת תהיה בטלפון.
העדפות התקשורת (WhatsApp/Push/In‑App)	לא	תקבל/י רק תקשורת חיונית; ייתכן שתחמיץ/י תזכורות.
מידע על מצב כלכלי, רפואי, מילואים, מצב משפחתי	לא	ייתכן שלא נזהה זכאות להטבות מס שמגיעות לך.

7.1 שמירת אבטחת החשבון — אחריות משותפת

חלק מאבטחת המידע שלך תלוי בנו, וחלק תלוי בך. אנא הקפד/י על הכללים הבאים:

אל תשתפ/י את קוד ה־OTP שאת/ה מקבל/ת ב־SMS עם אף אחד — לא איתנו ולא עם גורם אחר. אנחנו לעולם לא נבקש ממך את הקוד בטלפון או בהודעה.
אל תשתפ/י את הטלפון שלך כאמצעי הזדהות (לדוגמה: השאלת המכשיר לאדם אחר שיכול להיכנס לאפליקציה במקומך).
בטל/י את ההסכמה לנעילה ביומטרית (ראו סעיף 15) אם המכשיר שלך עובר לאחזקת אדם אחר.
דווח/י לנו מיד לכתובת maya@ethikaltd.co.il אם את/ה חושד/ת שמישהו אחר השיג גישה לחשבונך.

אנחנו נחקור כל דיווח כזה ונפעל לחסום את הגישה לפי הצורך. אבטחת המידע מהצד שלנו (הצפנה, בקרות גישה, ניטור) מתוארת בסעיף 11.

8. ספקי משנה ושיתוף מידע עם צדדים שלישיים

אנו אינם מוכרים, משכירים או סוחרים במידע האישי שלך לצדדים שלישיים.

לצורך הפעלת השירות אנו נעזרים בספקי משנה ("Sub‑processors") כדלקמן. ספק משנה רשאי להשתמש במידע אך ורק כדי לספק לנו את השירות הספציפי שלשמו הוא הופעל, בכפוף להסכם עיבוד נתונים (DPA) שמטיל עליו חובות סודיות ואבטחה דומות לאלו שאנו מחויבים בהן.

8.1 רשימת ספקי המשנה הפעילים

ספק	מטרה	סוגי מידע שמועברים	מיקום השרתים	קישור
Supabase Inc.	מסד נתונים, אימות, אחסון קבצים, פונקציות שרת	כל המידע המתואר בסעיף 4	האיחוד האירופי (אירלנד/פרנקפורט)	supabase.com/privacy
Cardcom בע"מ	סליקת כרטיסי אשראי והפקת חשבונית מקור	שם, דוא"ל, סכום, פירוט פריט החשבונית	ישראל	cardcom.solutions
איזידו טפסים ותהליכים חכמים בע"מ (EasyDo, ח.פ. 515972123)	החתמה אלקטרונית של המשתמש/ת על מסמכים המוגשים לרשויות (ייפויי כוח, טפסי רשות המסים)	שם מלא, מספר ת"ז, דוא"ל/טלפון לקבלת קישור החתימה, ותוכן המסמכים הנחתמים	האיחוד האירופי (אחסון ענן)	easydo.co.il/privacy-policy
SMS4Free	משלוח OTP ב־SMS בעברית	מספר טלפון, קוד OTP זמני	ישראל	sms4free.co.il
Expo (650 Industries, Inc.)	משלוח התראות פוש לאפליקציה	אסימון push, כותרת ההודעה וגוף ההודעה	ארה"ב (מעבירה ל־Apple APNs ו־Google FCM)	expo.dev/privacy
Apple Inc. (APNs)	מסירת ההתראה בפועל למכשיר iOS	אסימון מכשיר, גוף ההתראה	ארה"ב	apple.com/legal/privacy
Google LLC (Firebase Cloud Messaging)	מסירת ההתראה בפועל למכשיר Android	אסימון מכשיר, גוף ההתראה	ארה"ב	policies.google.com/privacy
Resend, Inc.	משלוח קודי אימות 2FA לדוא"ל נציגי הצוות, ומשלוח דוא"ל אישור הרשמה למתעניינים שנרשמו לרשימת ההמתנה באתר השיווקי	דוא"ל של נציג צוות (+ קוד אימות), או דוא"ל של נרשם/ת לרשימת המתנה (+ תוכן אישור ההרשמה)	ארה"ב	resend.com/legal
Vercel Inc.	אירוח הדשבורד הפנימי והאתר השיווקי / דף ההרשמה, וגישה דרך דפדפן	בקשות שרת ולוגים של נציגי הצוות ושל מבקרי האתר השיווקי	ארה"ב	vercel.com/legal
Functional Software, Inc. (Sentry)	ניטור תקלות וקריסות באפליקציה, בדשבורד ובשרת (error monitoring)	נתוני תקלה טכניים בלבד: עקבת שגיאה (stack trace), סוג מכשיר/מערכת הפעלה, גרסת אפליקציה, ופעולות שקדמו לתקלה. מוגדר ללא איסוף כתובת IP וללא מידע אישי (PII) כברירת מחדל	האיחוד האירופי (פרנקפורט, גרמניה)	sentry.io/privacy
PostHog, Inc.	אנליטיקת מוצר — מדידת שימוש, משפך הרשמה ומקורות הגעה לשיפור השירות (באפליקציה ובאתר השיווקי בלבד; לא בדשבורד)	אירועי שימוש מוגדרים, נתוני הגעה (UTM/מפנה/דפים שנצפו), סוג מכשיר/דפדפן ומערכת הפעלה, כתובת IP (למיקום משוער), ודוא"ל לאיחוד זהות	האיחוד האירופי (PostHog EU Cloud — פרנקפורט, גרמניה)	posthog.com/privacy

הערה על WhatsApp: איננו עושים שימוש בממשק העסקי (Cloud API) של WhatsApp ואיננו מעבירים את המידע שלך ל־Meta דרך ממשק כזה. השימוש ב־WhatsApp נעשה אך ורק באמצעות קישור "wa.me" שפותח את אפליקציית WhatsApp במכשיר (שלך או של נציג/ת החברה) לצורך שיחה ישירה. ככל שתבחר/י לתקשר ב־WhatsApp, התקשורת כפופה למדיניות הפרטיות של Meta/WhatsApp — בדומה לכל שיחת WhatsApp רגילה — ואין בינינו לבין Meta יחסי "ספק משנה" ביחס לתקשורת זו. ולכן Meta אינה מופיעה בטבלת ספקי המשנה לעיל.

8.2 אבטחה ותקלות אצל ספקי משנה

אנו בוחרים את ספקי המשנה שלנו בקפידה ובאמצעות הסכמי עיבוד נתונים (DPA) המטילים עליהם חובות סודיות, אבטחה והודעה במקרה של אירוע. עם זאת — אירועים שמקורם בתשתית של ספק משנה (השבתת שירות אצל Supabase, אי־זמינות זמנית של דף החתימה ב־EasyDo, כשל באישור תשלום ב־Cardcom וכדומה) אינם בשליטתנו הישירה. במקרים כאלה אנחנו פועלים בהקדם האפשרי לפי הכללים הבאים:

נעדכן אותך באמצעי תקשורת זמין (התראה באפליקציה, דוא"ל, או הודעת WhatsApp) אם האירוע משפיע על השירות שלך באופן מהותי.
נקבל מהספק את כל המידע הנדרש כדי להעריך אם אירעה פגיעה במידע אישי שלך, ונדווח לך ולרשויות בהתאם לסעיף 11.1.
במקרים חמורים נשקול החלפת הספק או שינוי הארכיטקטורה כך שהשירות יהיה עמיד יותר.

8.3 מסירת מידע לרשויות

אנו עשויים למסור מידע לרשויות מוסמכות (רשות המסים, ביטוח לאומי, משטרת ישראל) כאשר:

אנו מחויבים בכך מכוח הדין או צו שיפוטי.
הדבר נדרש כדי להתגונן בהליך משפטי.
הדבר נדרש לצורך מניעת רעה גופנית או פגיעה חמורה אחרת.

נודיע לך מראש אם הדבר אפשרי מבחינה משפטית.

9. העברת מידע אל מחוץ לישראל

חלק מספקי המשנה שלנו מאחסנים מידע מחוץ לישראל. אנו מבצעים זאת בהתאם לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א–2001:

9.1 העברה לאיחוד האירופי

Supabase (אירלנד / גרמניה), EasyDo (אחסון ענן באירופה), Sentry (פרנקפורט, גרמניה) ו־PostHog (פרנקפורט, גרמניה) — האיחוד האירופי הוגדר על־ידי הרשות להגנת הפרטיות כעונה על דרישות החוק הישראלי בדבר רמת הגנה נאותה (Adequacy). העברה זו מבוצעת על־בסיס תקנה 2(2) לתקנות (העברה למדינה שכוללת חוקים שמבטיחים הגנה ברמה דומה לישראל). הערה: חברת Sentry (Functional Software, Inc.) מאוגדת בארה"ב, אך אזור הנתונים שהוגדר עבור החשבון שלנו ממוקם פיזית בגרמניה — כך שנתוני התקלות נשמרים באיחוד האירופי בלבד. באותו אופן, חברת PostHog, Inc. מאוגדת בארה"ב אך אזור הנתונים שבחרנו (PostHog EU Cloud) ממוקם בפרנקפורט, גרמניה — כך שנתוני האנליטיקה נשמרים באיחוד האירופי בלבד.

9.2 העברה לארצות הברית

Expo, Apple, Google, Resend, Vercel — מדובר במידע מצומצם והכרחי לתפעול השירות. ההעברה מבוצעת על־בסיס תקנה 2(4)(א) לתקנות (הסכמת נושא המידע) בכל הנוגע למשלוח תקשורת, ועל־בסיס תקנה 2(8) (הסכם בין מעביר המידע למקבלו שמטיל עליו חובות הגנה דומות לאלה שבדין הישראלי) ביחס לספקים האחרים. עם כל ספק כאמור יש לנו, או יהיה לנו לפני תחילת הפעילות המלאה, הסכם עיבוד נתונים (DPA) הולם.

יש לך זכות להתנגד להעברת מידע לחו"ל; במקרה כזה לא נוכל להציע לך חלק מן השירות (למשל התראות פוש), אך נוכל להמשיך לספק את התהליך הבסיסי דרך תקשורת בטלפון ובאפליקציה בלבד.

10. קבלת החלטות אוטומטית ופרופיילינג

האפליקציה אינה מבצעת קבלת החלטות אוטומטית בעלת השלכה משפטית או השלכה משמעותית דומה עליך. רשימת המסמכים שתידרש להעלות נגזרת ישירות מהתשובות שלך לשאלון על־פי "מנוע כללים" שקוף שעובד לפי לוגיקה גלויה (לדוגמה: מי שדיווחה שהיא מקבלת אישור הכנסה — תתבקש להעלות אישור הכנסה).

אין אצלנו דירוג סיכון אלגוריתמי, אין שימוש בבינה מלאכותית לעיבוד מידע אישי שלך, ואין פרופיילינג צרכני.

מדדי השימוש וניתוח המשפך שאנו אוספים (סעיף 4.13) הם כלי תפעולי לשיפור המוצר וזיהוי נקודות נטישה — הם אינם משמשים לקבלת החלטות אוטומטיות לגביך, לדירוג, או לפרופיילינג צרכני.

11. אבטחת מידע

אנו מתחייבים לעמוד בכל הדרישות של רמת האבטחה הבינונית הקבועה בתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז–2017, וזאת מאחר שמאגר המידע שלנו כולל מידע בעל רגישות מיוחדת (ת"ז + מידע פיננסי + מידע משפחתי/רפואי). אם בעתיד היקף המאגר יחצה את הסף הקבוע בתקנות (100,000 נושאי מידע עם מידע רגיש), נשדרג את המאגר לרמת אבטחה גבוהה ונעדכן את המדיניות.

האמצעים הטכניים והארגוניים שאנו נוקטים כוללים:

הצפנה בהעברה (TLS) — כל תעבורה בין האפליקציה/הדשבורד לשרתים שלנו מוצפנת ב־HTTPS.
הצפנה במנוחה — מסד הנתונים והקבצים מאוחסנים בצורה מוצפנת בתשתית Supabase/AWS.
הרשאות גישה לפי עיקרון המינימום (Row‑Level Security) — כל נציג/ת צוות רואה רק את הנתונים שדרושים לתפקידו/ה. לקוחות רואים רק את הנתונים שלהם עצמם.
אימות דו־שלבי לנציגי צוות — לפעולות רגישות בדשבורד (שינוי תפקיד, ביטול חשבון) נדרשת הזנת קוד נוסף שמתקבל בדוא"ל ותקף ל־10 דקות בלבד.
גיבוי הצפנה (bcrypt/SHA‑256) של קודי האימות ב־DB.
לוג פעולות מלא של כל גישה למידע רגיש, של כל שינוי בו, ושל כל מחיקה — לצרכי ביקורת וחקירת תקלות.
הגבלת קצב והגנה מפני brute‑force על מנגנון ה־OTP ועל מנגנון האימות הדו־שלבי.
ביקורת תקופתית של מערך אבטחת המידע, של ספקי המשנה ושל מדיניות זו — לפחות אחת לשנתיים.
הפרדת סביבות בין סביבת פיתוח, סביבת בדיקות וסביבת ייצור.
ניטור תקלות ללא מידע אישי — מערכת ניטור הקריסות (Sentry) מוגדרת שלא לאסוף כתובות IP או מידע אישי (PII) כברירת מחדל, אוספת נתוני תקלה טכניים בלבד, ושומרת אותם ל־90 ימים בלבד (ראו סעיפים 4.12 ו־17.3).
אנליטיקת מוצר ממוזערת — כלי אנליטיקת המוצר (PostHog) מוגדר לאיסוף אירועים מוגדרים בלבד (ללא autocapture באפליקציה), נתוניו נשמרים באזור האיחוד האירופי, ואינם משמשים לפרסום או למעקב שיווקי (ראו סעיפים 4.13 ו־17.4).

על אף שאנו עושים מאמצים סבירים, אין מערכת בטוחה לחלוטין. אם תגלה/י חשד לפגיעה במידע שלך — אנא פנו אלינו מיד.

11.1 הודעה על אירוע אבטחה

במידה ומאגר המידע שלנו ייפגע באופן שעלול להוביל לפגיעה בפרטיותך, נפעל לפי הנחיות הרשות להגנת הפרטיות ונעדכן אותך באמצעי מהיר וזמין (דוא"ל, SMS, התראת פוש או הודעה באפליקציה) באופן מיידי וללא דיחוי בלתי סביר, בהתאם להוראות הדין שיהיו בתוקף באותה עת.

11.2 דיווח אחראי על חולשות אבטחה (Responsible Disclosure)

אם זיהית/ה חולשת אבטחה או באג שעלולים לפגוע בפרטיות משתמשים, אנו מבקשים שלא לפרסם את הממצא בפומבי לפני שתפנו אלינו ותינתן לנו הזדמנות סבירה לתקן את הליקוי. דיווחים יש לשלוח לכתובת maya@ethikaltd.co.il בצירוף תיאור הבעיה, צעדים לשחזור, ופרטי קשר. אנו מתחייבים:

לאשר את קבלת הדיווח תוך 2 ימי עסקים.
להציג ציר זמן לטיפול תוך שבועיים מקבלת הדיווח.
לאפשר לך, אם תרצה/י, אזכור (credit) בעדכוני אבטחה לאחר תיקון הליקוי.

אנו מצפים שדיווחים יבוצעו בתום לב ובלי לנצל לרעה את הליקוי.

12. תקופות שמירת המידע

סוג מידע	תקופת שמירה	הבסיס
מסמכי הכנסה, חשבוניות, מסמכי תשלום	7 שנים מתום שנת המס הרלוונטית	פקודת מס הכנסה, חוק מע"מ
פרטי החשבון הבסיסיים (שם, טלפון, דוא"ל, ת"ז)	כל עוד החשבון פעיל + 7 שנים	חובה חוקית להחזיק תיעוד לפעולות מס
תשובות לשאלון ההיכרות	כל עוד החשבון פעיל + 7 שנים	חובה חוקית להחזיק תיעוד לפעולות מס
היסטוריית הודעות (WhatsApp/Push/In‑App)	24 חודשים מתאריך השליחה	אינטרס לגיטימי + ביקורת
מדדי שימוש ואירועי מוצר (PostHog)	24 חודשים ואז מחיקה או אגרגציה אנונימית	אינטרס לגיטימי (שיפור המוצר)
לוג פעולות (audit log)	7 שנים	אבטחת מידע, ביקורת, חקירת תקלות
אסימוני push	עד שתבטל/י את ההתראות או תסיר/י את האפליקציה	תפקודית
קודי OTP וקודי אימות 2FA	10 דקות ואז נמחק/ים אוטומטית	תפקודית
חשבונות שנמחקו לבקשת המשתמש/ת	מחיקה מיידית ובלתי הפיכה של זהות הכניסה והמידע האישי עם אישור הבקשה; רשומות שחובה לשמור לפי דין נשמרות בנפרד בצורה מנותקת־זהות לתקופה הקבועה בדין	זכות המחיקה (כפוף לחריגי שמירה לפי דין)

בתום תקופת השמירה אנו מוחקים את המידע באופן בלתי הפיך מהמסד הראשי ומהגיבויים.

13. זכויותיך לפי הדין

לפי חוק הגנת הפרטיות, תשמ"א–1981, ובכפוף לתנאים הקבועים בדין:

13.1 זכות עיון (סעיף 13 לחוק)

את/ה זכאי/ת לעיין במידע האישי שלנו אודותיך. נגיב לפנייתך תוך 30 ימים ונספק את המידע בפורמט קריא (PDF / JSON / CSV — לפי בחירתך).

13.2 זכות תיקון (סעיף 14 לחוק)

אם המידע אצלנו אינו נכון, שלם, ברור או מעודכן — את/ה זכאי/ת לדרוש את תיקונו. אנו נתקן אותו תוך 30 ימים, או נמסור לך הודעה מנומקת אם נסבור כי המידע נכון כפי שהוא.

13.3 זכות מחיקה

את/ה זכאי/ת לבקש מחיקה של המידע שלך. את הבקשה ניתן להגיש דרך מסך "הפרופיל" באפליקציה או בפנייה לכתובת maya@ethikaltd.co.il.

איך מתבצעת המחיקה:

עם אישור בקשת המחיקה (במסך "הפרופיל" באפליקציה או בפנייה אלינו), אנו מוחקים מיד ולצמיתות את זהות הכניסה ואת המידע האישי שלך. המחיקה אינה הפיכה ולא ניתן לשחזר את המידע שנמחק. מאחר שזהות הכניסה נמחקת, לא תתאפשר עוד כניסה לחשבון שנמחק — אך אותו מספר טלפון יכול להירשם מחדש מאפס ולפתוח חשבון חדש.

מה נמחק מיד ולצמיתות: פרטי הקשר שלך (שם, מספר טלפון, דוא"ל, מין), העדפות התקשורת, תשובות השאלון, אסימוני push, דגלי העדפה, ומזהי האנליטיקה ואירועי השימוש שלך בכלי אנליטיקת המוצר (PostHog).

מה אנו חייבים להמשיך לשמור גם לאחר המחיקה, ולמה: רשומות מסוימות שאנו מחויבים לשמור על־פי דין אינן נמחקות במועד המחיקה, אך הן מנותקות מזהותך (anonymized) ואינן משויכות עוד אליך באופן אישי:

סוג מידע	תקופת שמירה לאחר המחיקה	הבסיס החוקי
חשבוניות, אישורי תשלום, מסמכים שהועברו לרשות המסים בשמך	7 שנים מתום שנת המס הרלוונטית	פקודת מס הכנסה, חוק מע"מ
לוג פעולות (audit log) של הפעולות שבוצעו בחשבון	7 שנים	אבטחת מידע וביקורת

בתום תקופות השמירה לעיל, המידע נמחק באופן בלתי הפיך גם מהרשומות המנותקות־זהות. איננו רשאים על־פי דין לוותר על שמירת מסמכי המס בתקופה זו, גם אם את/ה מתנגד/ת לשמירה.

13.4 זכות לחזור בך מהסכמה

את/ה זכאי/ת בכל עת לחזור בך מהסכמתך לקבלת תקשורת לא־חיונית (WhatsApp שיווקי, התראות פוש שאינן קריטיות). את/ה יכול/ה לעשות זאת ישירות במסך "הפרופיל" באפליקציה או על־ידי פנייה ל־maya@ethikaltd.co.il. שינוי זה ייכנס לתוקף מיידית ולא יחול אצלנו רטרואקטיבית על תקשורת ששלחנו עד אז.

13.5 זכות התנגדות לעיבוד

את/ה זכאי/ת להתנגד לעיבוד מידע ספציפי על־ידינו (לדוגמה: להתנגד להעברת מידע אל מחוץ לישראל). נשקול את ההתנגדות באופן ענייני; אם נסבור שעיבוד המידע נחוץ למתן השירות, נאפשר לך להפסיק את השירות במקום.

13.6 זכות תלונה לרשות להגנת הפרטיות

אם את/ה סבור/ה שזכויותיך לפי חוק הגנת הפרטיות נפגעו ולא קיבלת מענה הולם מאיתנו — את/ה זכאי/ת להגיש תלונה לרשות להגנת הפרטיות במשרד המשפטים:

אתר: www.gov.il/he/departments/the_privacy_protection_authority
דוא"ל: ppa@justice.gov.il
טלפון: 073‑3927778

נוסף על כך, את/ה רשאי/ת לפנות לבית המשפט.

13.7 איך לממש זכות

שלח/י אלינו פנייה ל־maya@ethikaltd.co.il עם:

שמך המלא ומספר הטלפון שאיתו נרשמת.
תיאור הבקשה (עיון/תיקון/מחיקה/חזרה מהסכמה/התנגדות).
אם רלוונטי — צילום מסמך מזהה ממשלתי (לאימות זהותך).

נשיב תוך 30 ימים, ובמקרים מורכבים נעדכן אותך אם נצטרך אורכה נוספת ומדוע.

14. תקשורת מאיתנו אליך — הבחנה בין חיוני לעדכוני

14.1 תקשורת חיונית (תפעולית) — תמיד מופעלת

אימות בעת הרשמה וכניסה (OTP ב־SMS).
אישור תשלום וחשבונית.
הודעות על תקלות שיש להן השפעה ישירה עליך (לדוגמה: כשל בעלאת מסמך).

תקשורת זו אינה ניתנת לבחירה — בלעדיה לא ניתן להעניק את השירות.

14.2 תזכורות ועדכוני סטטוס — דורש הסכמה

תזכורות לצעדים שטרם השלמת בתהליך.
עדכון כאשר נציג/ת הצוות שלנו מסיים/ת חלק בתהליך עבורך.
בקשה להעלות מסמך נוסף.

ערוצי המסירה:

התראות באפליקציה (push) — דורש הסכמה נפרדת בעת ההתקנה ו/או בפרופיל באפליקציה. ניתן לבטל בכל עת דרך הגדרות המכשיר וגם דרך הפרופיל באפליקציה.
התראות בתוך האפליקציה (in‑app) — ניתן לבטל בפרופיל.
הודעות WhatsApp — נשלחות באופן ידני על־ידי נציג/ת החברה מתוך אפליקציית WhatsApp (דרך קישור "wa.me"), ולא באמצעות ממשק אוטומטי. הן נשלחות רק אם הפעלת את מתג "התראות בוואטסאפ" בפרופיל באפליקציה (מתג זה אינו מסומן מראש), וכוללות רק תזכורות ועדכונים הנובעים מהתהליך שלך. ניתן לבטל בכל עת על־ידי כיבוי המתג בפרופיל, או על־ידי בקשה מאיתנו להפסיק לפנות אליך ב־WhatsApp.

הסכמה אחת אינה הסכמה לאחרת. את/ה יכול/ה לבחור לקבל push ולא WhatsApp, או להפך. ביטול הסכמה ייכנס לתוקף מיידית ולא יחול רטרואקטיבית על הודעות ששלחנו עד מועד הביטול.

חשוב להבחין בין תזכורות אלה (סעיף 14.2) — שדורשות הסכמה — לבין תקשורת חיונית (סעיף 14.1), שאינה ניתנת לביטול כל עוד החשבון פעיל, מאחר שבלעדיה לא ניתן להעניק את השירות.

14.3 תקשורת שיווקית

נכון לתאריך תחילת המדיניות, אנחנו לא שולחים תקשורת שיווקית. אם נחליט לעשות זאת בעתיד — נבקש ממך הסכמה מפורשת ונפרדת, נצרף אפשרות הסרה (Unsubscribe) קלה לחיצה אחת, ונפעל לפי סעיף 30א לחוק התקשורת (בזק ושידורים), תשמ"ב–1982 ("חוק הספאם").

15. אימות ביומטרי (Face ID / Touch ID / טביעת אצבע)

האפליקציה מציעה לך אפשרות לנעול את הגישה אליה בעזרת זיהוי ביומטרי של המכשיר שלך. חשוב להבין:

הזיהוי הביומטרי מתבצע על־המכשיר עצמו, על־ידי מערכת ההפעלה של Apple או Google.
אנחנו לא מקבלים, לא מעבדים, ולא מאחסנים שום מידע ביומטרי (טביעת אצבע, מבנה פנים וכדומה).
אנחנו שומרים רק "דגל" בוליאני שמעיד שהפעלת את האפשרות, ולא יותר מזה.
ניתן לכבות את האפשרות בכל עת דרך הפרופיל באפליקציה או דרך הגדרות המכשיר.

16. קטינים (מתחת לגיל 18)

השירות מיועד רק לבגירים (בני 18 ומעלה) שמתכוונים לפתוח עסק זעיר. אנחנו לא מציעים את האפליקציה למי שמתחת לגיל 18, לא משווקים אותה לקטינים, ולא אוספים מידע ביודעין על קטינים.

אם הגיע לידינו מידע שמשתמש/ת הוא/היא קטין/ה, נמחק את החשבון ואת המידע הקשור בתוך פרק זמן סביר, אלא אם הדין מחייב אחרת.

(הערה: בשאלון אנו שואלים על מספר ילדים מתחת לגיל 18 — מדובר במספר בלבד, ללא פרטים מזהים על הילדים עצמם. מדובר בנתון נדרש לחישוב נקודות זיכוי.)

17. עוגיות וזיהויים שמוטמעים בדפדפן/באפליקציה

17.1 באפליקציה הניידת

האפליקציה משתמשת באחסון מאובטח של המכשיר (Secure Store של iOS/Android) כדי לשמור את אסימון הכניסה שלך, וב־AsyncStorage לשמירת העדפות (ערכת נושא, שפה) ומזהה שימוש פסבדונימי לאנליטיקת המוצר (ראו סעיף 17.4). אנחנו לא משתמשים בעוגיות צד שלישי לצרכים שיווקיים.

17.2 בדשבורד (נציגי צוות בלבד)

עוגיות session של Supabase Auth — לצורך כניסה.
עוגיות session של Vercel — לצורך תפעול שרת ה־Next.js.

אנחנו לא משתמשים ב־Google Analytics, ב־Facebook Pixel, או בכל כלי פרסום/מעקב שיווקי (ad‑tracking) — לא באפליקציה, לא באתר השיווקי ולא בדשבורד. אנו כן משתמשים בכלי אנליטיקת מוצר (PostHog) לשיפור השירות באפליקציה ובאתר השיווקי (לא בדשבורד) — ראו סעיף 17.4; כלי זה אינו משמש לפרסום או למעקב שיווקי.

17.3 ניטור תקלות — אינו מעקב שיווקי

לצורך יציבות השירות אנו משתמשים במערכת ניטור תקלות (Sentry, ראו סעיף 4.12). זהו כלי הנדסי לאיתור באגים וקריסות בלבד — הוא אינו כלי מעקב שיווקי, אינו בונה פרופיל צרכני, ואינו אוסף כתובת IP או מידע אישי (PII) כברירת מחדל. איננו משתמשים בנתוני הניטור לפרסום, לשיווק או לפילוח התנהגות, אלא אך ורק לאיתור ותיקון תקלות טכניות.

17.4 אנליטיקת מוצר — אינה מעקב שיווקי

לצורך שיפור השירות וזיהוי נקודות שבהן משתמשים נתקעים בתהליך, אנו משתמשים בכלי אנליטיקת מוצר (PostHog, ראו סעיף 4.13). הכלי פועל באפליקציה הניידת ובאתר השיווקי / דף ההרשמה שלנו בלבד — לא בדשבורד. באתר השיווקי הוא עשוי להשתמש בעוגיה או במזהה מקומי כדי לזהות ביקור חוזר ולמדוד את מקור ההגעה (UTM, מפנה). כלי זה אינו כלי מעקב שיווקי או פרסומי, אינו משמש לפרסום ממוקד, ואיננו מוכרים או משתפים את נתוני השימוש עם רשתות פרסום. הנתונים נשמרים באזור האיחוד האירופי (ראו סעיף 9.1), ואת/ה רשאי/ת להתנגד לעיבוד זה בכל עת (סעיף 13.5).

18. שינויים במדיניות זו

נעדכן את המדיניות מעת לעת. כל גרסה תכיל מספר גרסה ותאריך עדכון בחלקה העליון.

שינויים מהותיים (למשל: הוספת ספק משנה חדש, איסוף סוג מידע חדש, שינוי בתקופת השמירה) — נודיע לך עליהם לפחות 30 ימים מראש, באמצעות הודעה באפליקציה, ב־WhatsApp ובדוא"ל (אם נמסר לנו).
שינויים שאינם מהותיים (תיקוני ניסוח, הבהרות) — ייכנסו לתוקף מיד עם פרסומם.

המשך השימוש שלך בשירות לאחר עדכון מהותי מהווה הסכמה לגרסה החדשה. אם אינך מסכים/ה — תוכל/י לבטל את חשבונך באותו מועד.

19. הדין החל וסמכות שיפוט

מדיניות זו כפופה אך ורק לדיני מדינת ישראל. סמכות השיפוט הייחודית והבלעדית לכל מחלוקת הקשורה במדיניות זו מוקנית לבתי המשפט המוסמכים במחוז תל אביב–יפו.

20. יצירת קשר ותלונות

20.1 פנייה אלינו

דוא"ל לפניות פרטיות: maya@ethikaltd.co.il
טלפון לתמיכה: 058-408-7061
כתובת למשלוח דואר: לאה גולדברג 1, קריית מוצקין
ממונה הגנת פרטיות (DPO): מיה זינו — maya@ethikaltd.co.il
רכזת נגישות (לפניות בנושאי נגישות בלבד): מיה זינו — maya@ethikaltd.co.il, 058-408-7061. פרטים נוספים והתחייבויות זמני־מענה — ראו את הצהרת הנגישות המלאה שלנו.

נשתדל להגיב לפניות פרטיות תוך 30 ימים. פניות נגישות מטופלות לפי סדר זמנים מהיר יותר המפורט בהצהרת הנגישות (אישור קבלה תוך 2 ימי עסקים, פתרון או ציר זמן תוך 14 ימי עסקים).

20.2 קישורים לאתרים חיצוניים

מדיניות זו וחלקים מהאפליקציה כוללים קישורים לאתרי צד שלישי (ספקי המשנה המפורטים בסעיף 8, אתר הרשות להגנת הפרטיות וכדומה). הקישורים מובאים לנוחותך בלבד. אנחנו לא אחראים לתוכן, לדיוק או למדיניות הפרטיות של אתרים אלה. כשאת/ה מבקר/ת בהם, מדיניות הפרטיות שלהם — ולא שלנו — חלה עליך.

20.3 פנייה לרשות להגנת הפרטיות

אם לא קיבלת מענה מספק מאיתנו, את/ה זכאי/ת לפנות לרשות להגנת הפרטיות במשרד המשפטים:

אתר: www.gov.il/he/departments/the_privacy_protection_authority
דוא"ל: ppa@justice.gov.il
טלפון: 073‑3927778

נספח א' — היסטוריית גרסאות

גרסה	תאריך	שינוי
1.0	2026-05-21	טיוטה ראשונית — לפני פרסום פומבי.
1.1	2026-05-21	חוזק שכבות הגנה: אחריות שמירה על אבטחת חשבון (7.1), אחריות ביחס למידע צד שלישי במסמכים שהועלו (4.6), אבטחה ותקלות אצל ספקי משנה (8.2), דיווח אחראי על חולשות אבטחה (11.2), הבהרה על תהליך מחיקה רכה/קשה ועל מה שנשמר לאחר מחיקה (13.3), חידוד הסכמת WhatsApp כעצמאית ולא מסומנת מראש (14.2), הסתייגות מאתרי צד שלישי (20.2).
1.2	2026-05-21	הפניית־צולבת להצהרת הנגישות שלנו (סעיף 1) וציון רכזת הנגישות בערוצי הפנייה (סעיף 20.1) — עם זמני־מענה נפרדים לפניות פרטיות (30 ימים) ולפניות נגישות (2/14 ימי עסקים).
1.3	2026-05-21	סעיף 1 הורחב להכיל מפת־דרכים של שלושת המסמכים המשפטיים: מדיניות פרטיות + תקנון ותנאי שימוש + הצהרת נגישות, עם הבהרה כיצד לפנות לכל מסמך לפי סוג הפנייה.
1.4	2026-06-01	הוספת שני ספקי משנה לסעיף 8.1: EasyDo (איזידו — חתימה אלקטרונית, מחליף את ספק החתימה הקודם) ו־Sentry (ניטור תקלות) — שניהם שומרים נתונים באיחוד האירופי (סעיף 9.1). נוסף סעיף 4.12 (מידע אבחון תקלות וקריסות), בולט אבטחה על ניטור ללא PII (סעיף 11), והבהרה שניטור התקלות אינו מעקב שיווקי (סעיף 17.3). כן עודכן סעיף ה־WhatsApp כך שישקף את השימוש הנוכחי: תקשורת WhatsApp נעשית ידנית דרך קישור "wa.me" ולא דרך ה־Cloud API של Meta — ובהתאם, Meta הוסרה מטבלת ספקי המשנה (סעיף 8.1) ומרשימת ההעברות לארה"ב (סעיף 9.2), ועודכנו סעיפים 4.7 ו־14.2.
1.6	2026-06-14	עדכון תיאור מנגנון מחיקת החשבון כך שישקף את ההתנהגות בפועל של המערכת: מחיקה מיידית ובלתי הפיכה של זהות הכניסה והמידע האישי (שם, טלפון, דוא"ל, מין, תשובות שאלון, העדפות, אסימוני push ומזהי אנליטיקה) במקום מודל "מחיקה רכה 30 ימים ואז מחיקה קשה". רשומות שחובה לשמור לפי דין (חשבוניות, מסמכים שהוגשו לרשויות, לוג פעולות) נשמרות בנפרד ומנותקות־זהות לתקופה הקבועה בדין. עודכנו סעיף 12 (שורת חשבונות שנמחקו) וסעיף 13.3 (גוף ותת־טבלה). הוסרה שורת "מספר טלפון כמספר שביקש מחיקה" — אותו מספר יכול להירשם מחדש לאחר מחיקה.
1.5	2026-06-04	הוספת ספק המשנה PostHog (אנליטיקת מוצר, PostHog EU Cloud — פרנקפורט) לסעיף 8.1 ולרשימת ההעברות לאיחוד האירופי (סעיף 9.1). נוסף סעיף 4.13 (מידע על שימוש ומדדי מוצר), שורת מטרה ובסיס חוקי (סעיף 6), אופן איסוף (סעיף 5), שורת שמירה למשך 24 חודשים (סעיף 12), הבהרה בסעיף 10 (אנליטיקה אינה פרופיילינג), בולט אבטחה (סעיף 11), הבהרה שאנליטיקת המוצר אינה מעקב שיווקי (סעיף 17.4, ועדכוני 17.1–17.2), ועדכון רשימת המחיקה (סעיף 13.3). כן נוסף לסעיף 2 קהל ה'מבקרים באתר השיווקי / דף ההרשמה' שעליו חל הכלי, ועודכנו שורות Resend ו־Vercel בסעיף 8.1 כך שישקפו את האתר השיווקי / דף ההרשמה לרשימת ההמתנה (אישורי הרשמה ואירוח) — שהושק לאחר גרסה קודמת.

המדיניות הזו נוסחה בעברית כשפה המחייבת. בכל מקרה של אי־התאמה בין נוסח זה לכל תרגום שיופיע בעתיד — הנוסח העברי גובר.