מדיניות הגנת הפרטיות

גרסה 2.0 עדכון אחרון: 6 בספטמבר 2025

1. כללי

1.1 אודות מדיניות זו

מסמך זה מפרט את מדיניות הגנת הפרטיות של נומוס ליגל טק בע״מ (להלן: "המפעילה", "אנחנו" או "שלנו"). אנו מחויבים להגנה על פרטיות המשתמשים בשירותינו ולעמידה מלאה בהוראות הדין הישראלי בתחום הגנת הפרטיות.

מדיניות זו (להלן: "המדיניות") מסדירה את אופן איסוף, עיבוד, שימוש, אחסון ומחיקת מידע אישי על ידי המפעילה, וכן מפרטת את זכויותיך כנושא מידע ואת האמצעים העומדים לרשותך למימושן.

1.2 הגדרות

לצורך מדיניות זו, יחולו ההגדרות הבאות:

מידע אישי
כל נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי, כהגדרתו בסעיף 3 לחוק הגנת הפרטיות, התשמ"א-1981.
מידע בעל רגישות מיוחדת
מידע אישי כהגדרתו בסעיף 3 לחוק הגנת הפרטיות, לרבות מידע על מצב בריאות, מוצא, דעות פוליטיות, אמונות דתיות, השקפת עולם, מזהה ביומטרי, נתוני מיקום, מידע גנטי, עבר פלילי, פעילות פיננסית ועוד.
הדין
חוק הגנת הפרטיות, התשמ"א-1981, תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר מהאזור הכלכלי האירופי), התשפ"ג-2023, וכל דין רלוונטי אחר.
הפלטפורמה
פלטפורמת הבינה המלאכותית המופעלת על ידי המפעילה לצורך מתן השירותים.
השירותים
כלל השירותים המוצעים על ידי המפעילה, לרבות הפלטפורמה וכל שירות נלווה.
משתמש או אתה
כל אדם הרושם חשבון, משתמש או מבקר באתר או בשירותים.
האתר
אתר האינטרנט של המפעילה בכתובת https://www.nomos.co.il

1.3 תחולה והסכמה

מדיניות זו חלה על כל מידע אישי הנאסף או מעובד על ידי המפעילה בקשר עם:

  • אתר האינטרנט של המפעילה
  • השימוש בפלטפורמה ובשירותים
  • כל אינטראקציה אחרת עם המפעילה

הרישום לשירותים והשימוש בהם כפופים להסכמתך המפורשת לתנאי מדיניות זו, אשר ניתנת על ידך באמצעות סימון תיבת ההסכמה הייעודית בתהליך הרישום.

אם אינך מסכים לתנאי המדיניות, אנא הימנע משימוש באתר ובשירותים.

2. תפקידנו המשפטי - הבחנה בין סוגי מידע

אנו מבחינים באופן ברור בין שני סוגי מידע שאנו מעבדים, כאשר לכל סוג יש מסמך משפטי אחר המסדיר את הטיפול בו:

2.1 מידע תפעולי - המפעילה כ"בעל שליטה"

מדיניות פרטיות זו חלה על המידע התפעולי.

ביחס למידע אישי שאנו אוספים ישירות ממך לצורכי רישום, ניהול חשבון, תקשורת, חיוב, תמיכה ותפעול השירותים (להלן: "מידע תפעולי"), המפעילה משמשת כ"בעל שליטה במאגר מידע" כהגדרתו בחוק הגנת הפרטיות. משמעות הדבר היא שאנו קובעים את מטרות עיבוד המידע ואת האמצעים לעיבודו, ואחראים כלפיך ישירות על עמידה בהוראות הדין ביחס למידע זה.

2.2 נתוני לקוח - המפעילה כ"מעבד מידע"

מדיניות פרטיות זו אינה חלה על נתוני הלקוח.

ביחס לתוכן, מסמכים, נתונים ומידע שהמשתמש (או הארגון מטעמו) מעלה, יוצר או מעבד באמצעות הפלטפורמה (להלן: "נתוני לקוח" או "תוכן"), המשתמש או הארגון מטעמו הם "בעל השליטה" במידע.

המפעילה משמשת אך ורק כ"מעבד מידע" (Data Processor) עבור הלקוח ולפי הוראותיו. תפקידנו הוא לספק את התשתית הטכנולוגית המאובטחת לעיבוד המידע. הטיפול בנתוני הלקוח, לרבות התחייבויותינו לאבטחה, סודיות, ניהול מעבדי משנה ומחיקת הנתונים, מוסדר באופן בלעדי בנספח עיבוד המידע (DPA), המהווה חלק מהסכם השירותים בינינו לבין הלקוח.

שיתוף פנים-ארגוני: בארגונים המנויים על שירותי המערכת, קיימת אפשרות ליצירת "ספריית סגנון משרדי" משותפת. במסגרת זו, מסמכים שהועלו לספרייה עשויים להיות מעובדים על ידי המערכת לצורך התאמת סגנון עבור חברי הארגון, מבלי לחשוף את המסמכים המקוריים. הארגון, באמצעות בעליו ומנהליו, אחראי לניהול ההרשאות ולוודא כי המסמכים מתאימים לשיתוף פנים-ארגוני. פירוט מלא מופיע בתנאי השימוש.

טבלת סיכום להבהרה:

סוג המידעתפקידנו המשפטיהמסמך המסדיר
פרטי חשבון, פרטי חיוב, נתוני אנליטיקה, תקשורת תמיכהבעל שליטהמדיניות פרטיות זו
מסמכים, טיוטות ופרומפטים שהמשתמש יוצר בפלטפורמהמעבד מידענספח עיבוד המידע (DPA)

3. איסוף מידע אישי

3.1 מידע הנמסר ישירות על ידך

3.1.1 מידע רישום וחשבון

  • שם מלא
  • כתובת דואר אלקטרוני ארגונית
  • מספר טלפון
  • תפקיד וארגון
  • פרטי אימות וכניסה מאובטחים
  • העדפות משתמש

3.1.2 מידע תשלום

  • פרטי כרטיס אשראי או אמצעי תשלום אחר
  • כתובת חיוב
  • פרטי חשבונית
  • מספר עוסק מורשה או ח.פ. (לצורכי מס)

3.1.3 מידע תקשורת

  • תוכן פניות לתמיכה טכנית
  • משוב וסקרים
  • התכתבויות עם נציגי המפעילה
  • הקלטות שיחות (בכפוף להודעה מראש)

3.2 מידע הנאסף אוטומטית

3.2.1 נתוני יומן (Log Data)

  • כתובת IP
  • סוג דפדפן וגרסה
  • מערכת הפעלה
  • זמני גישה ופעילות
  • דפים שנצפו
  • מקור הפניה (Referrer)
  • פרמטרי URL

3.2.2 מטא-דאטה של שימוש

  • תדירות שימוש בתכונות
  • משך זמן שימוש
  • דפוסי שימוש (באופן אגרגטיבי)
  • נפח פעילות
  • שגיאות ותקלות שנתקלת בהן

3.2.3 קובצי Cookie וטכנולוגיות מעקב

אנו משתמשים בקובצי Cookie ובטכנולוגיות דומות לצורכים הבאים:

  • קוקיז הכרחיים - לתפעול האתר והשירותים (session cookies)
  • קוקיז פונקציונליים - לשמירת העדפות משתמש
  • קוקיז אנליטיים - לניתוח שימוש (בכפוף להסכמה)
  • קוקיז שיווקיים - למטרות פרסום (בכפוף להסכמה מפורשת)

ניתן לנהל את העדפות הקוקיז באמצעות הגדרות הדפדפן או דרך מנגנון ההעדפות באתר.

3.3 מידע מצדדים שלישיים

אנו עשויים לקבל מידע ממקורות חיצוניים כגון:

  • שותפים עסקיים
  • ספקי שירותי אימות
  • מקורות מידע ציבוריים זמינים
  • רשתות חברתיות (בהסכמתך)

4. מטרות עיבוד המידע והבסיס המשפטי

4.1 טבלת מטרות עיבוד

מטרת העיבודסוג המידעהבסיס המשפטי
יצירה וניהול חשבון משתמשמידע רישום, מידע תקשורתהכרח לביצוע חוזה
אספקת השירותים והפלטפורמהמידע חשבון, נתוני שימושהכרח לביצוע חוזה
עיבוד תשלומים וחיובמידע תשלום, מידע חשבוןהכרח לביצוע חוזה
תמיכה טכנית ושירות לקוחותמידע תקשורת, נתוני יומןהכרח לביצוע חוזה
משלוח הודעות שירות חיוניותמידע חשבוןהכרח לביצוע חוזה
שיווק ופרסום (בכפוף להסכמה)מידע חשבון, העדפותהסכמה מפורשת
ניתוח ושיפור השירותיםנתוני שימוש אגרגטיבייםאינטרס לגיטימי
אבטחת מידע ומניעת הונאותנתוני יומן, מידע מכשיראינטרס לגיטימי
עמידה בחובות חוקיותכל סוג מידע רלוונטיחובה חוקית
הגנה על זכויות משפטיותמידע רלוונטי לפי הענייןאינטרס לגיטימי

4.2 עקרונות עיבוד

  • צמצום מידע - נאסוף רק מידע הנחוץ למטרות המוגדרות
  • דיוק - נעדכן ונתקן מידע לפי הצורך
  • הגבלת תכלית - לא נעבד מידע למטרות שאינן תואמות את המטרה המקורית
  • הגבלת זמן - נשמור מידע רק כל עוד נחוץ למטרות המוגדרות
  • שקיפות - נידע אותך על אופן עיבוד המידע שלך
  • אבטחה - ננקוט באמצעים הולמים להגנה על המידע

5. אבטחת מידע

5.1 מחויבותנו לאבטחה

המפעילה מיישמת מערך אבטחת מידע רב-שכבתי בהתאם לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, ופועלת לפי הסטנדרטים המחמירים ביותר המקובלים בתעשיית ה-Cloud וה-AI. מערך האבטחה כולל:

5.1.1 אמצעים טכניים

  • הצפנה: הצפנת מידע במעבר (TLS 1.2 ומעלה) ובמנוחה (AES-256) על גבי תשתיות AWS הממוקמות בישראל.
  • בקרת גישה ניהולית: גישה לתשתית השרתים מתבצעת באמצעות מפתחות SSH מוצפנים בלבד (RSA/Ed25519) תוך נטרול מוחלט של אפשרות לחיבור מבוסס סיסמה.
  • הגנת רשת: שימוש ב-Security Groups ובמערכת WAF (Web Application Firewall) של Cloudflare לניטור וסינון אקטיבי של תעבורה זדונית ונסיונות חדירה.
  • גיבויים והמשכיות: ביצוע גיבויים אוטומטיים יומיים (Snapshots) ושמירתם למשך 30 יום על גבי תשתית אחסון מבוזרת ונפרדת מהשרת (Object Storage), המבטיחה את שרידות המידע גם במקרה של כשל מערכתי.
  • אימות זהות: אכיפת אימות דו-שלבי (2FA/MFA) על כלל חשבונות הניהול של תשתיות הענן, הקוד והמערכות התפעוליות.
  • הפרדת סביבות: הפרדה לוגית קשיחה בין סביבות הפיתוח והבדיקות לבין סביבת הייצור (Production) המכילה מידע אישי.

5.1.2 אמצעים ארגוניים

  • ניהול הרשאות: יישום עקרון "הצורך לדעת" (Least Privilege) בגישה למערכות הליבה ולמסדי הנתונים, תוך שימוש במפתחות גישה אישיים ומאובטחים.
  • נהלי עבודה: תחזוקת מסמך הגדרות מאגר ונוהל אבטחת מידע מעודכן בהתאם לדרישות תקנות הגנת הפרטיות הישראליות.
  • התחייבויות סודיות: אכיפת הסכמי סודיות (NDA) ונספחי אבטחה מחמירים על כלל העובדים, היועצים והספקים בעלי גישה פוטנציאלית למידע.
  • בקרה וניטור: רישום לוגים (Logs) של גישת מנהלים למערכת וניטור רציף של אירועי תעבורה חריגים באמצעות כלי הניהול של Cloudflare ו-AWS.

5.1.3 אמצעים פיזיים

המידע מאוחסן בחוות השרתים של Amazon Web Services (AWS) באזור ישראל (il-central-1), הנהנות מרמת האבטחה הפיזית הגבוהה ביותר בעולם, לרבות בקרת כניסה ביומטרית, שמירה חמושה 24/7, מיגון מתקדם ומערכות אל-פסק.

5.2 דיווח על אירועי אבטחה

המפעילה מנהלת נוהל תגובה לאירועי אבטחה (Incident Response Plan). במקרה של חשש לאירוע אבטחת מידע הכולל פגיעה במידע אישי, נפעל ללא דיחוי לנטרול האירוע ונדווח לרשות להגנת הפרטיות ולנושאי המידע הרלוונטיים בהתאם להוראות הדין.

6. שיתוף מידע עם צדדים שלישיים

6.1 עקרונות כלליים

המפעילה לא תמכור, תשכיר או תסחר במידע האישי שלך. שיתוף מידע עם צדדים שלישיים יתבצע אך ורק לצורך אספקת השירותים, תפעול הפלטפורמה ועמידה בדרישות הדין.

6.2 ספקי שירות ומעבדי משנה (Sub-processors)

לצורך אספקת השירותים, אנו נעזרים בספקי תשתית וטכנולוגיה מובילים (כגון AWS, Cloudflare וספקי מודלי AI). שיתוף המידע איתם מוגבל למטרות תפעוליות בלבד וכפוף להסכמי אבטחת מידע וסודיות מחמירים.

רשימת המעבדים המלאה: פירוט מעודכן של כלל ספקי המשנה, תפקידם ומיקומם הגיאוגרפי מופיע בנספח המקצועי שלנו: רשימת מעבדי משנה בנספח עיבוד המידע (DPA).

6.3 חובות חוקיות והגנה על זכויות

אנו עשויים לשתף מידע במקרה של צו שיפוטי, חובה חוקית, או לצורך הגנה על זכויותיה המשפטיות של המפעילה וביטחון משתמשיה.

7. העברות בינלאומיות של מידע

7.1 מדינות יעד

מידע אישי עשוי להיות מועבר, מאוחסן ומעובד במדינות הבאות:

  • מדינות האיחוד האירופי - בעלות מעמד Adequacy מהרשות להגנת הפרטיות
  • ארצות הברית - תחת מנגנוני הגנה מתאימים
  • מדינות נוספות - בהן פועלים ספקי השירות שלנו

7.2 מנגנוני הגנה

אנו מבטיחים רמת הגנה נאותה על המידע באמצעות:

  • Standard Contractual Clauses (SCCs) - סעיפים חוזיים סטנדרטיים המאושרים על ידי הרשויות המוסמכות
  • הסכמי עיבוד מידע (DPA) - עם דרישות אבטחה מחמירות וזכויות למשתמשים
  • בחירת ספקים - בעלי הסמכות והתחייבויות מתאימות לפרטיות
  • הצפנה - של כל מידע המועבר בין מדינות
  • ביקורת - תקופתית על עמידת הספקים בהתחייבויותיהם

7.3 זכויותיך

ללא קשר למיקום עיבוד המידע, אתה שומר על כל זכויותיך על פי הדין הישראלי.

8. שמירת מידע ומחיקתו

8.1 תקופות שמירה

סוג מידעתקופת שמירההבסיס לשמירה
מידע חשבון פעילכל עוד החשבון פעילביצוע השירותים
מידע חשבון לא פעיל36 חודשים מהפעילות האחרונהאינטרס לגיטימי
מסמכי חשבונית ותשלומים7 שניםחוק מע"מ ופקודת מס הכנסה
נתוני יומן24 חודשיםאבטחה וניתוח
מידע שיווקיעד משיכת הסכמההסכמה
תכתובות תמיכה24 חודשיםשיפור שירות
נתוני גיבוי30 ימיםהמשכיות עסקית ואבטחת מידע

8.2 תהליך מחיקת מידע

בתום תקופת השמירה או לפי בקשתך (בכפוף לסייגים חוקיים), המידע:

  • יימחק באופן מאובטח - באמצעות מחיקה קריפטוגרפית או פיזית
  • יהפוך לאנונימי - באופן בלתי הפיך כך שלא ניתן לזהותך
  • יועבר לארכיון מאובטח - במקרים המחייבים שמירה חוקית, עם הגבלת גישה

8.3 שמירת מידע למטרות חוקיות

נשמור מידע מעבר לתקופות הרגילות במקרים הבאים:

  • קיומו של סכסוך משפטי פעיל או צפוי
  • צו שמירה משפטי (Legal Hold)
  • חובת שמירה על פי דין
  • בקשה מפורשת שלך לשמירת המידע

9. מידע של קטינים

השירותים מיועדים לשימוש מקצועי ועסקי בלבד ואינם מיועדים לקטינים מתחת לגיל 18.

המפעילה אינה אוספת ביודעין מידע אישי מקטינים. אם נודע לך כי קטין מסר לנו מידע אישי ללא הסכמת אפוטרופוס חוקי, אנא פנה אלינו באופן מיידי לכתובת [email protected], ואנו נפעל למחיקת המידע ללא דיחוי.

10. זכויותיך כנושא מידע

10.1 זכויות על פי חוק הגנת הפרטיות

בהתאם לסעיפים 13-14 לחוק הגנת הפרטיות, עומדות לך הזכויות הבאות:

10.1.1 זכות עיון (סעיף 13 לחוק)

  • לדעת האם מוחזק עליך מידע במאגר
  • לעיין במידע האישי שלך ולקבל העתק ממנו
  • לקבל פירוט על מקורות המידע ומטרות השימוש בו
  • לדעת למי נמסר המידע

10.1.2 זכות תיקון ומחיקה (סעיף 14 לחוק)

  • לתקן מידע שגוי, לא שלם, לא ברור או לא מדויק
  • למחוק מידע שנאסף בניגוד לדין
  • למחוק מידע שאינו נחוץ עוד למטרות האיסוף
  • לקבל הודעה על תיקון או מחיקה שבוצעו

10.1.3 זכויות נוספות

  • התנגדות לדיוור ישיר - לפי סעיף 17ו לחוק
  • משיכת הסכמה - בכל עת, ללא פגיעה בחוקיות העיבוד הקודם
  • הגבלת עיבוד - בנסיבות מסוימות (למשל בזמן בירור דיוק המידע)
  • ניידות מידע - קבלת המידע בפורמט נפוץ וקריא למכונה

10.2 אופן מימוש הזכויות

10.2.1 הגשת בקשה

ניתן להגיש בקשה למימוש זכויות באחת הדרכים הבאות:

  • טופס מקוון - באתר המפעילה
  • דוא"ל - [email protected]
  • דואר רשום - לכתובת המפעילה

10.2.2 תהליך הטיפול

  1. אימות זהות הפונה (לצורך הגנה על פרטיותך)
  2. בדיקת הבקשה והמידע הרלוונטי
  3. מענה תוך 30 ימים (ניתן להארכה ב-30 ימים נוספים במקרים מורכבים)
  4. ללא עלות (אלא אם הבקשה חוזרת או מופרזת)

10.2.3 דחיית בקשה

במקרה של דחיית בקשה, נספק נימוקים בכתב וניידע על זכותך להשיג על ההחלטה.

10.3 סייגים לזכויות

הזכויות אינן מוחלטות וכפופות לסייגים הקבועים בדין, לרבות:

  • הגנה על זכויות וחירויות של אחרים
  • חובות חוקיות לשמירת מידע
  • הגנה על אינטרסים חיוניים
  • משימות בעלות אופי ציבורי
  • הליכים משפטיים

10.4 זכויות ביחס לנתוני לקוח

בקשות למימוש זכויות בנתוני לקוח יש להפנות ישירות ללקוח הרלוונטי (בעל השליטה). אנו נסייע ללקוחותינו במענה לבקשות כאמור בהתאם להסכם עיבוד המידע.

11. קישורים לאתרים חיצוניים

האתר והשירותים עשויים להכיל קישורים לאתרי אינטרנט של צדדים שלישיים. מדיניות זו אינה חלה על אתרים אלה.

איננו אחראים לנהלי הפרטיות או לתוכן של אתרים חיצוניים. אנו ממליצים לעיין במדיניות הפרטיות של כל אתר לפני מסירת מידע אישי.

12. שינויים במדיניות הפרטיות

אנו רשאים לעדכן מדיניות זו מעת לעת בכדי לשקף שינויים טכנולוגיים, עסקיים או דרישות משפטיות חדשות.

הנוסח המחייב והקובע של המדיניות הוא זה המפורסם באתר בכל עת. במידה ונבצע שינויים מהותיים המשפיעים על זכויותיך, נפרסם הודעה על כך באתר או נשלח עדכון בדוא"ל למשתמשים רשומים.

המשך השימוש בשירותים לאחר עדכון המדיניות מהווה הסכמה לתנאים המעודכנים. אנו ממליצים לעיין בדף זה מעת לעת.

13. ממונה על הגנת הפרטיות (DPO)

בהתאם לסעיף 17ב1 לחוק הגנת הפרטיות, מונה במפעילה ממונה על הגנת הפרטיות (Data Protection Officer - DPO).

פרטי התקשרות עם הממונה:

דוא"ל: [email protected]

תפקידי הממונה:

  • מתן ייעוץ והכוונה בנושאי הגנת פרטיות
  • טיפול בבקשות למימוש זכויות
  • טיפול בתלונות ופניות
  • פיקוח על עמידה בהוראות הדין
  • שמירת קשר עם הרשות להגנת הפרטיות

14. תלונות לרשות להגנת הפרטיות

אם אינך מרוצה מהטיפול בפנייתך או סבור שזכויותיך הופרו, זכותך להגיש תלונה לרשות להגנת הפרטיות במשרד המשפטים:

פרטי התקשרות עם הרשות:

  • אתר אינטרנט: www.gov.il/privacy
  • דואר אלקטרוני: [email protected]
  • טלפון: 03-6899765
  • פקס: 02-6467059
  • כתובת: רחוב כנפי נשרים 15, בית התאומים, ירושלים

אנו מעודדים אותך לפנות אלינו תחילה כדי שנוכל לנסות ולפתור את הבעיה באופן ישיר.

15. סמכות שיפוט ודין חל

15.1 הדין החל

על מדיניות זו, פרשנותה וכל סכסוך הנובע ממנה או קשור אליה, יחולו אך ורק דיני מדינת ישראל, ללא תחולת כללי ברירת הדין הבינלאומי.

15.2 סמכות שיפוט

סמכות השיפוט הייחודית והבלעדית בכל עניין הקשור למדיניות זו נתונה לבתי המשפט המוסמכים במחוז חיפה בלבד.

15.3 יישוב סכסוכים

לפני פנייה לערכאות משפטיות, הצדדים ישתדלו ליישב כל מחלוקת בדרך של משא ומתן בתום לב.