מדיניות עיבוד נתונים

1. מבוא

מדיניות זו מסדירה את עיבוד המידע האישי על ידי חברת רדבו בע״מ (להלן: ״החברה״, ״אנו״, ״שלנו״) בהפעלת האתר, פורטל הניהול ורכיב הצ׳אט המוטמע. המדיניות נכתבה בהתאם לחוק הגנת הפרטיות, התשמ״א-1981, ולתקנות שמכוחו.

2. הגדרות

במדיניות זו:

• ״מידע אישי״ — מידע הנוגע לאדם מזוהה או הניתן לזיהוי.
• ״עיבוד״ — כל פעולה או מערך פעולות המבוצעות על מידע אישי.
• ״נושא המידע״ — האדם שאליו מתייחס המידע האישי.
• ״בעל השליטה״ (Controller) — הגוף הקובע את מטרות העיבוד ואת אמצעיו.
• ״מעבד״ / ״ספק שירות״ (Processor) — הגוף המעבד מידע אישי בשם בעל השליטה.
• ״מעבד-משנה״ (Sub-Processor) — צד שלישי המועסק על ידי המעבד לצורך עיבוד מידע אישי במסגרת אספקת השירות.
• ״מקורות מחוברים״ — אתרים, מאגרי ידע, מסמכים ותכנים אחרים שהלקוח מחבר לשירות.

3. תפקידים: בעל שליטה ומעבד

ביחס למקורות מחוברים ולתוכן הלקוח המסופק לשירות, הלקוח הוא בעל השליטה (Controller) ורדבו פועלת כמעבד / ספק שירות (Processor) — המעבד את המידע מטעם הלקוח ובהתאם להוראותיו המתועדות. ביחס לפעילותה התאגידית של רדבו עצמה (כגון טיפול במידע חשבון של לקוחות, פרטי קשר ופניות), רדבו פועלת כבעלת השליטה של אותם רישומים.

4. מטרות עיבוד המידע

אנו מעבדים מידע אישי למטרות הבאות:

• אספקת השירות ותכונות ה-AI שלו
• תקשורת עם לקוחות ומענה לפניות
• עמידה בהתחייבויות חוזיות
• שיפור השירותים והמוצרים שלנו
• עמידה בדרישות חוק ורגולציה
• הגנה על זכויותינו ועל רכושנו

5. סוגי המידע שאנו מעבדים

אנו עשויים לעבד את סוגי המידע הבאים:

• פרטי זיהוי: שם, כתובת דוא״ל, מספר טלפון
• מידע מקצועי: תפקיד, חברה, תחום פעילות
• מידע טכני: כתובת IP, סוג הדפדפן, מערכת ההפעלה
• מידע תפעולי: שפה, הדף האחרון בו ביקרתם, אירועי שימוש בסיסיים
• תוכן שמסופק על ידי הלקוח: מקורות מחוברים ושיחות עם העוזר החכם

6. בסיס חוקי לעיבוד

אנו מעבדים מידע אישי על בסיס אחד או יותר מהבסיסים החוקיים הבאים:

• הסכמה: כאשר נתתם הסכמה מפורשת לעיבוד המידע
• ביצוע חוזה: כאשר העיבוד הכרחי לקיום חוזה עמכם
• אינטרס לגיטימי: כאשר יש לנו אינטרס לגיטימי בעיבוד המידע
• חובה חוקית: כאשר אנו מחויבים על פי דין לעבד את המידע

7. בקרות רידוקציה של מידע מזהה (PII)

לפני שתוכן המסופק על ידי הלקוח נשמר או נשלח למודל AI חיצוני, השירות מפעיל בקרות רידוקציה (PII redaction) המזהות וממסכות סוגים כגון מספרי זהות, פרטי תשלום, פרטי קשר ומזהים אישיים אחרים. בקרות אלה מהוות חלק מהגבול הארכיטקטוני בין האחסון הפנימי של השירות לבין ספקי AI חיצוניים.

8. מעבדי-משנה (Sub-Processors)

לצורך אספקת השירות אנו מעסיקים מעבדי-משנה וספקי תשתית מהימנים תחת הסכמי סודיות והגנת מידע בכתב. הקטגוריות הנוכחיות כוללות:

• ספק AI: OpenAI (היסק LLM) — הבקשות נשלחות עם store:false; איננו מסתמכים על זיכרון שיחה בצד הספק, וההקשר רב-תורי משוחזר מהיסטוריית השיחה המוטמנת אצלנו לאחר רידוקציה. על פי תנאי ה-API של הספק, תוכן הנשלח דרך ה-API אינו משמש לאימון או fine-tuning של המודלים, אלא אם הדבר מופעל באופן מפורש בתנאי הספק או בהגדרות הארגון — ואיננו מפעילים אפשרויות אלו.
• ספקי תשתית: ספקי אחסון בענן, מסד נתונים מנוהל, אחסון אובייקטים ו-CDN המופעלים לשם תפעול השירות.
• ספקים תפעוליים: שירותי משלוח דוא״ל, ניטור שגיאות וכלים תפעוליים מקבילים.

9. שיתוף מידע עם צדדים שלישיים

מעבר למעבדי-המשנה לעיל, אנו עשויים לשתף מידע אישי אך ורק עם:

• יועצים מקצועיים (עורכי דין, רואי חשבון) תחת חובת סודיות
• רשויות, כאשר הדבר נדרש על פי דין או צו בית משפט
• חליפים, במקרה של מיזוג, רכישה או מכירת נכסים

10. אבטחת מידע

אנו מיישמים אמצעי אבטחה טכניים וארגוניים מתאימים להגנה על מידע אישי, ובכלל זה:

• הצפנת מידע רגיש במעבר וכאשר ישים גם במנוחה
• הגבלת גישה למידע לעובדים מורשים בלבד
• ביצוע גיבויים שוטפים
• עדכון רציף של מערכות האבטחה
• הכשרת עובדים בנושא אבטחת מידע

11. שמירת מידע ותהליך בחינה ידני

אנו שומרים מידע אישי למשך הזמן הנדרש למטרות שלשמן נאסף, או כפי שנדרש על פי דין. הקפאת מנוי, השעיה או סיום התקשרות אינם כשלעצמם מובילים למחיקה אוטומטית של נתוני הלקוח. מחיקה, אנונימיזציה, החזרה או העברה לארכיון של נתוני הלקוח מטופלות באמצעות תהליך בחינה ואישור ידני, עם תיעוד או רישום ביומני ביקורת ככל שרלוונטי. גישה זו נועדה למנוע אובדן בלתי מכוון של מידע שהלקוח עשוי עדיין להידרש אליו לאחר שינוי חיוב או סטטוס. תקופות השמירה נקבעות על בסיס הבאים:

• מטרת איסוף המידע
• דרישות חוק ורגולציה
• צרכים עסקיים לגיטימיים
• זכויותיהם של נושאי המידע

12. זכויות נושאי המידע

בהתאם לחוק הגנת הפרטיות, עומדות לכם הזכויות הבאות:

• זכות עיון: לקבל מידע בנוגע לעיבוד המידע האישי שלכם
• זכות לתיקון: לתקן מידע שגוי או לא מדויק
• זכות למחיקה: למחוק מידע בנסיבות מסוימות
• זכות להגבלה: להגביל את עיבוד המידע
• זכות להתנגדות: להתנגד לעיבוד המידע
• זכות לחזור בכם מהסכמה: לבטל הסכמה שניתנה בעבר

13. העברת מידע אל מחוץ לישראל

במקרים מסוימים, אנו עשויים להעביר מידע אישי אל מחוץ לישראל. במקרים כאלה, נוודא שהמידע מוגן כראוי באמצעות:

• העברה למדינות בעלות רמת הגנה הולמת
• חתימה על הסכמי העברת מידע סטנדרטיים
• יישום אמצעי אבטחה נוספים

14. שינויים במדיניות

אנו עשויים לעדכן מדיניות זו מעת לעת. שינויים מהותיים יפורסמו באתרנו בהודעה מתאימה. המשך השימוש בשירותינו לאחר הפרסום מהווה הסכמה למדיניות המעודכנת.

15. יצירת קשר

לשאלות, הבהרות או בקשות בנוגע למדיניות עיבוד נתונים זו או לטיפול במידע האישי שלכם, ניתן לפנות אלינו באמצעות:

• טופס יצירת הקשר באתר
• אימייל או טלפון (פרטים זמינים באתר)

16. תלונות

אם יש לכם תלונה בנוגע לעיבוד המידע האישי שלכם, אנא פנו אלינו תחילה. אם התלונה לא תיפתר לשביעות רצונכם, ניתן לפנות לרשות להגנת הפרטיות.