מדיניות פרטיות
עדכון אחרון: אפריל 2026
מדיניות פרטיות זו מתארת כיצד JumpStart, מוצר מבית Otomator (להלן: "החברה", "אנחנו", "שלנו"), אוספת, משתמשת, מאחסנת, משתפת ומגינה על המידע האישי שלכם בעת השימוש בפלטפורמה, באתר ובשירותים הנלווים.
אנו מחויבים להגנה על פרטיותכם בהתאם לחוק הגנת הפרטיות, התשמ"א-1981, תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, וכל דין רלוונטי אחר, לרבות GDPR עבור משתמשים באירופה. מדיניות זו מהווה חלק בלתי נפרד מתנאי השימוש שלנו.
1. מידע שאנו אוספים
1.1 מידע שאתם מספקים לנו ישירות
| סוג מידע | דוגמאות | מטרה |
|---|---|---|
| פרטי הרשמה | שם מלא, כתובת דוא"ל, מספר טלפון, שם עסק, תחום פעילות | יצירת חשבון, אימות זהות, תקשורת, התאמת השירות |
| פרטי תשלום | פרטי כרטיס אשראי (מעובדים ע"י SUMIT — לא מאוחסנים אצלנו), מזהה עסקה, היסטוריית חיובים | עיבוד תשלומים, ניהול מנויים, הנפקת חשבוניות |
| תוכן עסקי | אנשי קשר, חברות, עסקאות, הערות, משימות, אירועים, קבצים, טפסים | אספקת השירות — CRM, ניהול אירועים, משימות |
| נתוני לקוחות קצה | פרטי לקוחות שאתם מעלים (שמות, טלפונים, מיילים, היסטוריית אינטראקציות) | ניהול CRM, תקשורת, פורטל לקוחות |
| תוכן תקשורת | הודעות WhatsApp ואימייל שנשלחות דרך הפלטפורמה, תבניות הודעה | שליחת הודעות, תיעוד, מעקב מסירה |
| העדפות חשבון | הגדרות שפה, אזור זמן, העדפות תצוגה, הגדרות התראות | התאמה אישית של חוויית השימוש |
| פניות תמיכה | תוכן שיחות, פניות, דיווחי באגים, בקשות תכונות | מתן מענה, שיפור השירות, עדכוני מוצר |
1.2 מידע שנאסף אוטומטית
| סוג מידע | דוגמאות | מטרה |
|---|---|---|
| נתוני שימוש | דפים שנצפו, פעולות שבוצעו, זמני שימוש, תדירות כניסה, תכונות בשימוש | שיפור השירות, ניתוח שימוש, אבחון תקלות, פיתוח תכונות |
| נתוני מכשיר | סוג דפדפן, גרסה, מערכת הפעלה, רזולוציית מסך, שפת דפדפן | תאימות, אופטימיזציה, אבחון |
| נתוני רשת | כתובת IP, מיקום גאוגרפי משוער (ברמת מדינה/עיר), ספק אינטרנט | אבטחה, מניעת הונאות, תאימות אזורית |
| עוגיות ומזהים | עוגיות הכרחיות (אימות, העדפות), עוגיות אנליטיקה, מזהי סשן | שמירת סשן, ניתוח שימוש, שיפור חוויה |
| יומני שרת (Logs) | בקשות API, קודי תשובה, שגיאות, ביצועים, זמני תגובה | אבטחת מידע, אבחון תקלות, ניטור ביצועים |
| נתוני אינטראקציה | קליקים, גלילות, זמן שהייה בעמוד, נתיבי ניווט | שיפור UX, זיהוי בעיות שימושיות |
1.3 מידע מצדדים שלישיים
אנו עשויים לקבל מידע מספקי שירות חיצוניים, כגון:
- ספקי תשלומים (SUMIT) — אישור/דחיית עסקאות, פרטי חיוב, סטטוס הוראת קבע
- WhatsApp / Meta — סטטוס מסירת הודעות, חסימות, דיווחי ספאם
- ספקי אימייל (Resend, SendGrid) — שיעורי פתיחה, bounce rates, unsubscribes
- Google Calendar — נתוני אירועים ויומן (בהרשאת המשתמש)
- שירותי ייבוא נתונים (CRM חיצוני, Monday.com, קבצי CSV) — על פי הוראת המשתמש בלבד
2. כיצד אנו משתמשים במידע
אנו משתמשים במידע שנאסף למטרות הבאות בלבד:
- אספקת השירות — הפעלת הפלטפורמה, ניהול חשבונות, עיבוד תשלומים, שליחת הודעות, סנכרון יומן, הפעלת אוטומציות
- שיפור השירות — ניתוח דפוסי שימוש, זיהוי תקלות, פיתוח תכונות חדשות, אופטימיזציית ביצועים
- אבטחה — גילוי ומניעת הונאות, ניסיונות חדירה, שימוש לרעה, זיהוי פעילות חשודה
- תקשורת עמכם — שליחת עדכוני מוצר, הודעות שירות, חשבוניות, תמיכה טכנית, ודיווחי סטטוס
- עמידה בדרישות חוק — מענה לצווים משפטיים, רגולציה, ודרישות רשויות מוסמכות
- AI ואוטומציה — עיבוד נתונים עסקיים לצורך תכונות AI מובנות (ניתוח, סיכום, המלצות, חיזוי)
- ניתוח מצטבר — יצירת דוחות סטטיסטיים ותובנות על בסיס נתונים אנונימיים
אנו לא נמכור, נשכיר, או נסחור את המידע האישי שלכם לצדדים שלישיים לצורכי פרסום, שיווק, או כל מטרה מסחרית אחרת.
3. הבסיס החוקי לעיבוד (Legal Basis)
| בסיס חוקי | סוגי עיבוד |
|---|---|
| ביצוע חוזה | אספקת השירות, עיבוד תשלומים, ניהול חשבון |
| הסכמה | עוגיות אנליטיקה, שליחת הודעות שיווקיות (מאיתנו אליכם), תכונות AI |
| אינטרס לגיטימי | אבטחת מידע, שיפור השירות, מניעת הונאות, ניתוח מצטבר |
| חובה חוקית | שמירת רשומות מס, מענה לצווים, דיווח לרשויות |
4. שיתוף מידע עם צדדים שלישיים
אנו משתפים מידע אך ורק בנסיבות הבאות ובהיקף המינימלי הנדרש:
4.1 ספקי שירות (Data Processors)
| ספק | שירות | סוג מידע | מיקום שרתים |
|---|---|---|---|
| Supabase | מסד נתונים, אימות, Edge Functions | כל נתוני החשבון | EU (Frankfurt) |
| Cloudflare | אירוח אתר, CDN, אחסון קבצים (R2) | קבצים, נתוני תעבורה | גלובלי (Edge), אחסון EU |
| SUMIT | סליקת כרטיסי אשראי | פרטי תשלום (מוצפן, PCI-DSS) | ישראל |
| WhatsApp / Meta | שליחת הודעות WhatsApp | מספר טלפון, תוכן הודעה | גלובלי (Meta servers) |
| Resend | שליחת אימייל טרנזקשנלי | כתובת דוא"ל, תוכן הודעה | ארה"ב |
| SendGrid | שליחת אימייל שיווקי | כתובת דוא"ל, תוכן הודעה | ארה"ב |
| Make.com | אוטומציות ותהליכים | נתונים לפי תרחיש ספציפי | EU |
| ספקי AI | מנוע AI מובנה | נתונים עסקיים (ללא מידע מזהה כשאפשר) | ארה"ב / EU |
כל ספקי השירות מחויבים להסכמי עיבוד נתונים (DPA) ולסטנדרטי אבטחה נאותים. אנו בוחרים ספקים שעומדים ב-SOC 2 ו/או ISO 27001 ככל שניתן.
4.2 דרישה חוקית
אנו עשויים לשתף מידע אם נדרש לכך על פי צו בית משפט, דרישת רשות מוסמכת (כגון רשות הגנת הפרטיות, רשות המסים), או כאשר אנו מאמינים בתום לב שהדבר נחוץ להגנה על זכויותינו, בטיחות משתמשים, מניעת הונאה, או אכיפת תנאי השימוש.
4.3 העברה עסקית
במקרה של מיזוג, רכישה, ארגון מחדש, או מכירת נכסים — מידע המשתמשים עשוי להיות מועבר לצד הרוכש, בכפוף להודעה מראש ולהמשך עמידה בתנאי מדיניות זו או מדיניות חלופית שלא תפחית את רמת ההגנה.
4.4 נתונים מצטברים
אנו עשויים לשתף נתונים אנונימיים ומצטברים (שאינם ניתנים לזיהוי) עם שותפים עסקיים לצורכי מחקר, ניתוח שוק, או שיפור השירות. נתונים אלה אינם מכילים מידע מזהה.
5. אבטחת מידע
אנו נוקטים באמצעי אבטחה מתקדמים ורב-שכבתיים להגנה על המידע שלכם:
5.1 אמצעים טכניים
- הצפנה בתעבורה: כל התעבורה מוצפנת ב-TLS 1.2/1.3 (HTTPS). תעודות SSL מנוהלות ומתחדשות אוטומטית
- הצפנה באחסון: מסד הנתונים מוצפן ב-AES-256 at rest. גיבויים מוצפנים
- הפרדת נתונים: ארכיטקטורת Row Level Security (RLS) מבטיחה שכל ארגון רואה אך ורק את הנתונים שלו. מנגנון זה נאכף ברמת ה-database policy
- אימות: אימות מבוסס JWT עם Supabase Auth. סיסמאות מוצפנות ב-bcrypt. תמיכה ב-MFA (אימות דו-שלבי)
- הרשאות מבוססות תפקידים (RBAC): גישה לתכונות ונתונים מוגבלת לפי תפקיד המשתמש בארגון
- הגנת DDoS: Cloudflare WAF ו-DDoS protection פעילים על כל תעבורה
- Content Security Policy: headers מגבילים שמונעים XSS ו-injection attacks
5.2 אמצעים ארגוניים
- גישה מוגבלת: גישה למסד הנתונים מוגבלת לצוות המורשה בלבד, עם תיעוד פעולות (audit log)
- עקרון המינימום: עובדים ניגשים רק למידע הנדרש לתפקידם (least privilege)
- ניטור: מערכות ניטור וגילוי חריגות פועלות 24/7
- גיבויים: גיבויים אוטומטיים יומיים עם שמירה של 30 יום. גיבויים מוצפנים ומאוחסנים באזור גאוגרפי נפרד
- סקירות אבטחה: סקירות אבטחה תקופתיות ועדכוני תלויות (dependencies)
חרף האמור, אין שיטת אבטחה מושלמת. אנו פועלים לפי תקני אבטחה מקובלים ומעדכנים את אמצעי ההגנה באופן שוטף. אם גיליתם חולשת אבטחה, אנא דווחו לנו מיידית ל-security@jumpstart.co.il.
6. שמירת מידע ומחיקה
6.1 תקופות שמירה
| סוג מידע | תקופת שמירה | הערות |
|---|---|---|
| נתוני חשבון | כל עוד החשבון פעיל + 30 יום לאחר ביטול | כולל פרטי הרשמה, הגדרות, היסטוריה |
| תוכן עסקי | כל עוד החשבון פעיל + 30 יום | אנשי קשר, עסקאות, אירועים, משימות |
| נתוני תשלום | 7 שנים מיום העסקה | חובה לפי חוקי מס בישראל |
| רשומות חשבוניות | 7 שנים | חובה לפי פקודת מס הכנסה |
| יומני שרת (logs) | 90 יום | לצורכי אבטחה ואבחון |
| יומני אבטחה | שנה | לצורכי חקירת אירועים |
| גיבויים | 30 יום מיום יצירתם | נמחקים אוטומטית |
| נתוני אנליטיקה | 24 חודשים | מצטברים ואנונימיים לאחר 12 חודשים |
| הודעות WhatsApp/אימייל | כל עוד החשבון פעיל | סטטוס מסירה נשמר 90 יום |
6.2 מחיקת חשבון
ניתן לבקש מחיקת חשבון מלאה בפנייה ל-hello@jumpstart.co.il או דרך הגדרות החשבון. לאחר בקשת מחיקה:
- תקבלו אישור בדוא"ל תוך 48 שעות
- תוכלו לייצא את הנתונים שלכם (CSV/JSON) למשך 30 יום
- לאחר 30 יום, כל הנתונים יימחקו לצמיתות מהמערכת הפעילה
- גיבויים הכוללים את נתוניכם יימחקו תוך 60 יום נוספים
- מידע שאנו מחויבים לשמור על פי חוק (רשומות מס, יומני אבטחה) יישמר בהתאם לתקופה הנדרשת
6.3 מחיקה סלקטיבית
ניתן למחוק רשומות ספציפיות (אנשי קשר, הודעות, קבצים) מתוך הפלטפורמה. פריטים שנמחקו מוסרים מהמערכת הפעילה מיידית ומהגיבויים תוך 30 יום.
7. עוגיות (Cookies) וטכנולוגיות מעקב
7.1 סוגי עוגיות
| סוג | שם | מטרה | תקופת שמירה | ניתן לביטול? |
|---|---|---|---|---|
| הכרחיות | sb-auth-token | אימות משתמש וסשן | עד סגירת דפדפן / 30 יום | לא (נדרשות לתפקוד) |
| הכרחיות | user-preferences | שפה, אזור זמן, מצב תצוגה | שנה | לא |
| פונקציונליות | sidebar-state | מצב תפריט צד, סינונים אחרונים | שנה | כן |
| אנליטיקה | _analytics_id | ניתוח שימוש אנונימי, מדידת ביצועים | שנה | כן |
7.2 ניהול עוגיות
ניתן לנהל את העדפות העוגיות בהגדרות הדפדפן שלכם או באמצעות הגדרות החשבון. שימו לב שחסימת עוגיות הכרחיות תמנע כניסה לחשבון.
7.3 Do Not Track
אנו מכבדים את אות Do Not Track (DNT) הנשלח מדפדפנים. כאשר DNT מופעל, לא נשתמש בעוגיות אנליטיקה.
8. זכויות המשתמש
בהתאם לחוק הגנת הפרטיות הישראלי ולנהלים שלנו, עומדות לכם הזכויות הבאות:
| זכות | תיאור | כיצד לממש |
|---|---|---|
| עיון | לעיין במידע האישי השמור אודותיכם | בקשה בדוא"ל או דרך הגדרות חשבון |
| תיקון | לבקש תיקון מידע שגוי או לא מעודכן | עריכה עצמית בפלטפורמה או בקשה בדוא"ל |
| מחיקה | לבקש מחיקת המידע (בכפוף לחריגים חוקיים) | בקשה בדוא"ל או דרך הגדרות חשבון |
| ייצוא (ניידות) | לקבל עותק של הנתונים בפורמט מכונה-קריא (CSV/JSON) | כלי ייצוא בהגדרות חשבון |
| התנגדות | להתנגד לשימוש במידע למטרות מסוימות | בקשה בדוא"ל |
| הגבלת עיבוד | לבקש הגבלת עיבוד המידע שלכם | בקשה בדוא"ל |
| ביטול הסכמה | לבטל הסכמה שניתנה בעבר (למשל, עוגיות אנליטיקה) | הגדרות חשבון או דפדפן |
לבקשת מימוש זכויות, פנו אלינו בכתובת hello@jumpstart.co.il. נאמת את זהותכם ונשיב לפנייתכם תוך 30 יום. בקשות מורכבות עשויות לארוך עד 60 יום, עם עדכון ביניים.
9. משתמשים אירופאים (GDPR)
JumpStart פועלת גם מול לקוחות באירופה (כולל הולנד). עבור משתמשים הכפופים ל-GDPR:
- בסיס חוקי: ביצוע חוזה, הסכמה, אינטרס לגיטימי, וחובה חוקית (ראו סעיף 3)
- אחסון: הנתונים מאוחסנים בשרתים ב-EU (Frankfurt) דרך Supabase
- העברה מחוץ ל-EU: מתבצעת בכפוף ל-Standard Contractual Clauses (SCCs) ו/או החלטות נאותות
- DPO: לפניות בנושא GDPR, פנו ל-privacy@jumpstart.co.il
- תלונות: יש לכם זכות להגיש תלונה לרשות פיקוח מקומית (Supervisory Authority) במדינתכם
- DPA: הסכם עיבוד נתונים זמין לבקשה עבור לקוחות Business
10. פרטיות ילדים
השירות אינו מיועד לילדים מתחת לגיל 16 (או גיל ההסכמה הנמוך יותר במדינתכם, אם רלוונטי). אנו לא אוספים ביודעין מידע אישי מילדים. אם נודע לנו כי נאסף מידע של קטין ללא הסכמת הורה, נמחק אותו ללא דיחוי. אם אתם הורים ומאמינים שילדכם סיפק לנו מידע אישי, אנא צרו קשר מיידית.
11. שימוש ב-AI ועיבוד נתונים
הפלטפורמה כוללת תכונות מבוססות בינה מלאכותית ("JumpStart AI"). בהקשר של פרטיות:
- תכונות AI מעבדות את הנתונים העסקיים שלכם כדי לספק תובנות, סיכומים, המלצות, וחיזויים
- הנתונים שלכם לא משמשים לאימון מודלי AI של צדדים שלישיים
- עיבוד AI מתבצע על שרתים מאובטחים באמצעות ספקי AI מובילים, בהתאם להסכמי DPA
- נתונים הנשלחים ל-AI מועברים בהצפנה ולא נשמרים לאחר העיבוד (stateless)
- אנו עשויים להשתמש בנתונים אנונימיים ומצטברים (שאינם ניתנים לזיהוי) לשיפור מודלים ואלגוריתמים פנימיים
- ניתן לבטל תכונות AI לחלוטין בהגדרות החשבון
- לא מתקבלות החלטות אוטומטיות בעלות השפעה משמעותית ללא מעורבות אנושית
12. העברת מידע בינלאומית
מסד הנתונים הראשי מאוחסן באירופה (EU Central — Frankfurt). עם זאת, חלק מספקי השירות שלנו פועלים במדינות אחרות:
| יעד | ספקים | מנגנון הגנה |
|---|---|---|
| ארה"ב | Resend, SendGrid, ספקי AI | Standard Contractual Clauses (SCCs) |
| גלובלי (Edge) | Cloudflare CDN | תוכן סטטי בלבד; נתונים רגישים נשמרים ב-EU |
| ישראל | SUMIT | דין מקומי + PCI-DSS |
בכל מקרה של העברת מידע בינלאומית, אנו מוודאים שקיימים אמצעי הגנה נאותים ושספקי השירות מחויבים לרמת הגנה שאינה נופלת מהרמה הנדרשת על פי הדין החל.
13. אירועי אבטחה (Data Breach)
במקרה של אירוע אבטחה שעלול לפגוע בפרטיותכם:
- הודעה: נודיע לכם ולרשויות הרלוונטיות (רשות הגנת הפרטיות, ובמקרה של GDPR — ה-Supervisory Authority) תוך 72 שעות מגילוי האירוע
- תוכן ההודעה: אופי האירוע, סוג ואומדן המידע שנחשף, הצעדים שננקטו להכלה ותיקון, המלצות לפעולות שאתם יכולים לנקוט, ופרטי יצירת קשר לשאלות
- תיעוד: נתעד כל אירוע, כולל ממצאים, השפעה, וצעדי תיקון
- שיפור: ניישם שינויים למניעת אירועים דומים בעתיד
14. אחריותכם כמעלי מידע
כאשר אתם מעלים לפלטפורמה מידע אישי של לקוחות הקצה שלכם (אנשי קשר, רשומות CRM, וכו'):
- אתם ה-Data Controller ואנחנו ה-Data Processor עבור מידע זה
- עליכם לוודא שיש לכם בסיס חוקי לאיסוף ועיבוד המידע
- עליכם ליידע את לקוחות הקצה שמידעם מאוחסן בפלטפורמת JumpStart
- אם לקוח קצה שלכם מבקש עיון, תיקון, או מחיקה — האחריות לטפל בבקשה חלה עליכם, ואנו נסייע טכנית
- בשליחת הודעות WhatsApp/אימייל — עליכם לוודא הסכמת הנמענים
15. שינויים במדיניות
אנו עשויים לעדכן מדיניות זו מעת לעת. שינויים מהותיים (כגון שינוי בסוגי מידע שנאסף, שינוי ספקים, או שינוי מטרות עיבוד) יפורסמו באתר ויישלחו בהודעה לדוא"ל שלכם לפחות 30 יום מראש. שינויים לא מהותיים (הבהרות) ייכנסו לתוקף מיד עם פרסומם. המשך שימוש בשירות מהווה הסכמה.
אנו ממליצים לעיין במדיניות זו מדי פעם. תאריך העדכון האחרון מוצג בראש המסמך.
16. רשם מאגרי מידע
מאגר המידע של JumpStart רשום אצל רשם מאגרי המידע ברשות להגנת הפרטיות, ככל שנדרש בהתאם לחוק הגנת הפרטיות, התשמ"א-1981.
17. יצירת קשר
לשאלות, בירורים, או בקשות בנוגע לפרטיותכם:
- פניות כלליות: hello@jumpstart.co.il
- פניות פרטיות ו-GDPR: privacy@jumpstart.co.il
- דיווח אבטחה: security@jumpstart.co.il
- אתר: jumpstart.co.il
- חברה: Otomator — אוטומטור
אנו מתחייבים להשיב לפניות בנושאי פרטיות תוך 30 יום לכל היותר.
© 2026 JumpStart. מוצר מבית Otomator — כל הזכויות שמורות.