Ora Med · מדיניות פרטיות והודעה על איסוף מידע

תוכן עניינים

מי אנחנו ופרטי בעלת המאגר
איזה מידע אנחנו אוספים
מטרות העיבוד והבסיס החוקי
מידע רגיש ובריאותי (Article 9)
בינה מלאכותית ויצירת אודיו
ספקי שירות וצדדים שלישיים
העברת מידע לחו״ל
תקופת שמירת המידע
הזכויות שלך
דיוור ושיווק
קוקיז ואחסון מקומי
קישורי גישה ואסימוני שיחה
תשלומים
אבטחת מידע
רישום מאגר וסטטוס רגולטורי
שינויים במדיניות
יצירת קשר

1. מי אנחנו ופרטי בעלת המאגר

Ora Med (להלן: ״אנחנו״, ״השירות״) הוא שירות יצירת מדיטציה אישית בעברית, מבוסס בינה מלאכותית. בעלת המאגר והאחראית לעיבוד המידע היא [OPERATOR_NAME], מענה [OPERATOR_ADDRESS]. לפניות בנושאי פרטיות: orna@oramed.co.

לצורך מימוש זכויותייך תחת חוק הגנת הפרטיות, GDPR או חקיקה רלוונטית אחרת, אנחנו עשויים לבקש פרטים שיאפשרו לאמת את זהותך ולאתר את חשבונך וקבצי המדיטציה שיוצרו עבורך.

2. איזה מידע אנחנו אוספים

אנחנו אוספים את הנתונים שאת מוסרת ביוזמתך באמצעות הטפסים והשירות:

פרטי זיהוי בסיסיים: שם פרטי, ולעיתים שם פרטי באנגלית או שם משפחה.
פרטי התקשרות: כתובת אימייל. במקרים מסוימים מספר טלפון.
העדפות אישיות: מגדר נבחר, שפת ממשק (עברית/אנגלית).
תוכן השאלון האישי: תשובות לגבי תחושות גופניות, מצב רגשי, אזורי קושי או מיקוד, משפט מחזק וצעד מבוקש. תשובות אלו עשויות להיחשב כמידע רגיש (ראי סעיף 4).
תוצרי השירות: סקריפטים מותאמים, פרומפטים פנימיים, מזהי jobs, קבצי האודיו שנוצרו וקישורי הצריכה שלהם.
נתוני תשלום: מטא-דאטה של עסקה — מזהה עסקה, סטטוס, סכום, מטבע, מוצר וחשבונית. איננו שומרים מספרי כרטיס מלאים או קוד CVV; אלה מעובדים ישירות אצל ספק הסליקה (Cardcom).
נתונים טכניים: כתובת IP, חותמות זמן של בקשות, מאפייני דפדפן/מכשיר, אסימוני סשן או קישורי כניסה חד-פעמיים, אירועי הגבלת קצב (rate-limit).
נתוני דיוור: מידע מספק האימייל על מסירה, פתיחה, הקלקה או הסרה (אם מאופשר).

3. מטרות העיבוד והבסיס החוקי

אנחנו מעבדים את המידע למטרות הבאות, על בסיסי החוק הבאים:

יצירת המדיטציה האישית. בסיס: ביצוע חוזה (GDPR סעיף 6(1)(b)) והסכמה מפורשת לעיבוד תוכן השאלון (GDPR סעיף 6(1)(a) ובמידת הצורך 9(2)(a) — ראי סעיף 4).
סליקה, חשבוניות ואכיפת תשלום. בסיס: ביצוע חוזה (6(1)(b)) ועמידה בחובות חוקיות בנושאי מס וחשבונות (6(1)(c)).
שליחת מיילים תפעוליים — קישור למדיטציה, אישור תשלום, קישור כניסה, תמיכה. בסיס: ביצוע חוזה (6(1)(b)) ואינטרס לגיטימי בהפעלת השירות (6(1)(f)).
שליחת תוכן שיווקי / נורצ'ר רק אם נתת לכך הסכמה נפרדת. בסיס: הסכמה (6(1)(a)) וסעיף 30א לחוק התקשורת (בזק ושידורים), התשמ״ב-1982.
אבטחה, מניעת הונאה, יציבות ושיפור. בסיס: אינטרס לגיטימי (6(1)(f)).
עמידה בחובות חוקיות, אכיפת תנאי שימוש ומענה לבקשות רשויות. בסיס: חובה חוקית (6(1)(c)) ואינטרס לגיטימי (6(1)(f)).

4. מידע רגיש ובריאותי (Article 9)

תשובות השאלון עוסקות בתחושות גופניות, מצב רגשי, כאב, או אתגרים אישיים. נתונים אלו עלולים להיחשב כמידע בריאותי או נפשי במשמעות סעיף 9 ל-GDPR, או כ״מידע בעל רגישות מיוחדת״ במשמעות חוק הגנת הפרטיות.

בשל כך, אנחנו פועלים על בסיס הסכמה מפורשת שלך (GDPR סעיף 9(2)(a)), שניתנת באמצעות תיבת אישור נפרדת בעת ההרשמה. ניתן לחזור בך מההסכמה בכל עת בפנייה ל-orna@oramed.co; ביטול ההסכמה ימנע יצירת מדיטציה חדשה אך לא ישפיע על עיבוד שכבר בוצע.

חשוב: אנחנו ממליצים לא למסור פרטים רפואיים מזהים (כגון אבחנות, תרופות או פרטי ביטוח). השירות אינו תחליף לטיפול רפואי או נפשי מקצועי.

5. בינה מלאכותית ויצירת אודיו

כדי לייצר את הטקסט והאודיו, חלק מתוכן השאלון, השם הפרטי, המגדר ושפת הממשק נשלחים לספקי בינה מלאכותית ושירותי המרה לדיבור (TTS) — בעיקר Google Gemini, ובהמשך גם ElevenLabs כשהשירות יופעל. איננו מעבירים אימייל, טלפון או נתוני תשלום למודלים אלו.

אנחנו ממזערים את היקף המידע שנשלח לכל ספק (data minimization) אך לא מסווגים את העיבוד כ״אנונימי״, מאחר שהשם והתיאור האישי עשויים להיחשב מזהים עקיפים. ספקי ה-AI מחויבים בהסכמי עיבוד נתונים (DPA) ואינם מורשים להשתמש בתוכן שלך לאימון מודלים שלהם.

תוכן שנוצר על-ידי AI הוא לצרכי רוגע, מיקוד וחיזוק עצמי בלבד. הוא אינו ייעוץ רפואי, פסיכולוגי, פסיכיאטרי, אבחוני או חירום.

6. ספקי שירות וצדדים שלישיים

אנחנו מעבירים מידע לצדדים שלישיים רק במידה הנדרשת לתפעול השירות:

אחסון ותשתית: Hetzner (איחוד אירופי, גרמניה/פינלנד), Supabase (אחסון נתונים וקבצים).
בינה מלאכותית והקראה: Google Gemini (Google Ireland Ltd / Google LLC), ElevenLabs (ארה״ב) — כשמופעל.
שליחת מיילים: Brevo (צרפת/איחוד אירופי). בעת הצורך גם Resend (ארה״ב) כספק גיבוי.
סליקה והנפקת חשבוניות: Cardcom Ltd (ישראל).
שירותי גופנים: Google Fonts (טעינת גופן Assistant ו-Frank Ruhl Libre).
יועצים, רואי חשבון ועו״ד במידת הצורך.
רשויות וצדדים שלישיים כאשר הדבר מחויב על-פי חוק או נדרש להגנת זכויות, אבטחה ובריאות הציבור.

אנחנו דורשים מכל ספק עיבוד למידע (processor) הסכם עיבוד נתונים (DPA) המעגן התחייבויות אבטחה, חיסיון, מטרת עיבוד מצומצמת ומחיקה. רשימה מעודכנת של DPAs נשמרת אצלנו פנימית. איננו מוכרים מידע אישי לצד שלישי.

7. העברת מידע לחו״ל

הנתונים מאוחסנים בעיקר במרכזי נתונים באירופה (Hetzner). חלק מהספקים מעבדים את המידע בארה״ב או במקומות אחרים.

ביחס לישראל — הנציבות האירופית הכירה בה כמעניקה רמת הגנה הולמת על-פי החלטת ההלימות 2011/61/EU. ביחס לארה״ב ולמדינות אחרות שאינן זכאיות להחלטת הלימות, אנחנו פועלים על-פי Standard Contractual Clauses (SCCs) או מנגנון העברה חוקי אחר, כפי שמעוגן בהסכמי ה-DPA עם הספקים.

8. תקופת שמירת המידע

אנחנו שומרים מידע אישי רק כל עוד הוא נחוץ למטרות שתוארו במדיניות זו. ברירת המחדל התפעולית היא שמירה של עד 180 ימים מהפעילות האחרונה שלך, ולאחר מכן מחיקה לפי בקשה או במסגרת ניקוי תקופתי.

הערה תפעולית: נכון לעדכון מדיניות זו, מחיקה אוטומטית מתוזמנת מצויה כברירת מחדל במצב off בקובץ התצורה הניהולי, ומחיקה מבוצעת ידנית לפי בקשה. אנחנו פועלים להפעלת מנגנון מחיקה אוטומטי במלואו.

רשומות תשלום, חשבוניות וחובות מס נשמרות לתקופות הנדרשות על-פי חוק (לרוב 7 שנים). גיבויים מוצפנים נמחקים על-פי לוח הזמנים של מחזור הגיבוי.

9. הזכויות שלך

על-פי חוק הגנת הפרטיות (סעיפים 13-14) ו-GDPR (סעיפים 15-22), עומדות לרשותך הזכויות הבאות:

זכות עיון: לדעת איזה מידע מוחזק עליך.
זכות תיקון: לעדכן או לתקן מידע שגוי.
זכות מחיקה: לבקש את מחיקת המידע (״הזכות להישכח״), בכפוף לשמירה הנדרשת בחוק.
זכות הגבלה והתנגדות: להגביל עיבוד או להתנגד אליו במקרים מסוימים.
זכות ניוד: לקבל עותק מובנה של נתונייך.
זכות לחזרה מהסכמה: בכל עת, לגבי כל עיבוד שנשען על הסכמה.
זכות להתנגד לדיוור ישיר: בכל עת, ללא נימוק.
זכות תלונה: לרשות להגנת הפרטיות בישראל או לרשות הגנת הנתונים במדינתך.

איך לממש: כיום זכויות אלו מתבצעות ידנית באמצעות פנייה לכתובת orna@oramed.co. ננסה להשיב תוך 30 ימים ממועד אימות זהותך, בהתאם לסעיף 12(3) ל-GDPR וסעיפים 13-14 לחוק הגנת הפרטיות. אנחנו פועלים לפיתוח כלי שירות עצמי לעיון, ייצוא ומחיקה.

אודיו שנוצר עבורך כלול בייצוא ובמחיקה. ייתכן שבשלב הנוכחי שיוך הקבצים למשתמש לצורך מחיקה מתבצע בעיקר דרך מטא-דאטה צד שרת; הצוות הטכני פועל להבטחת כיסוי מלא של כל הנכסים.

10. דיוור ושיווק

אנחנו שולחים מיילים תפעוליים שנדרשים למתן השירות (קישור למדיטציה, אישור תשלום, קישור כניסה, תמיכה). מיילים אלה נשלחים מתוקף החוזה ואינם דורשים הסכמה שיווקית נפרדת.

מיילים שיווקיים, נורצ'ר ועדכוני תוכן נשלחים רק לאחר אישור מפורש שלך בתיבת סימון ייעודית, בהתאם לסעיף 30א לחוק התקשורת (בזק ושידורים), התשמ״ב-1982. בכל הודעה שיווקית קיים קישור הסרה בלחיצה אחת. הסרה מההסכמה השיווקית אינה משפיעה על מיילים תפעוליים הנדרשים למתן המוצר.

11. קוקיז ואחסון מקומי

האתר משתמש כיום ב-localStorage בדפדפן בלבד, ולא ב-cookies מצד השרת. המפתחות שאנחנו שומרים:

oramed_a11y_v1 — העדפות נגישות (פונקציונלי-חיוני).
oramed_admin_token, oramed_admin_token_exp, oramed_api_base — גישת מנהלת לאזור הניהולי בלבד (חיוני).
cookie_consent — הבחירה שלך לגבי אחסון (חיוני).

אין באתר עוקבי פרסום, פיקסלים או כלי אנליטיקה נכון לעדכון מדיניות זו. אם נוסיף כלים כאלה בעתיד — נבקש את הסכמתך מראש דרך באנר ההסכמה. ניתן לפתוח מחדש את הגדרות הפרטיות דרך כפתור ״ניהול הגדרות פרטיות״ בפוטר. צדדים שלישיים שאתם מקיימים תקשורת איתם (Cardcom בעמוד התשלום, Google Fonts לטעינת גופנים) עשויים להגדיר אחסון משלהם בהתאם למדיניות הפרטיות שלהם.

12. קישורי גישה ואסימוני שיחה

בחלק מהזרימות (אישור תשלום, כניסה ל-studio, קישור claim ב-B2B) מועבר אסימון גישה במחרוזת ה-URL. אנחנו ממליצים לא לשתף קישורים אלה עם אחרים. אנחנו פועלים להחליף בהקדם מנגנון זה במנגנון בטוח יותר (cookie HttpOnly קצר-מועד או החלפת אסימון מיידית בעת הכניסה), בהתאם להמלצת ביקורת האבטחה הפנימית שלנו.

13. תשלומים

התשלום עבור חבילת ״שלוש מדיטציות״ במחיר 10 דולר ארה״ב מבוצע ישירות מול ספק הסליקה Cardcom Ltd. איננו רואים, מקבלים או שומרים מספרי כרטיס מלאים או קודי CVV. מטא-דאטה של העסקה (סטטוס, סכום, מספר אישור) נשמרת אצלנו לצורך הוכחת רכישה ולעמידה בחובות חשבונאיות.

תנאי הרכישה, החזרים והאחריות מוגדרים בתנאי השימוש.

14. אבטחת מידע

אנחנו מיישמים אמצעי אבטחה טכנולוגיים וארגוניים סבירים, ובכללם: HTTPS לכל התעבורה, בקרת גישה מבוססת תפקיד, אימות לשני שלבים לאזור הניהולי, אסימונים מוגנים-סוד לאנדפוינטים פנימיים, הצפנה במנוחה (at-rest) באחסון, גיבויים מוצפנים, ניהול לוגים והפרדת סביבות.

אף שירות מקוון אינו חסין לחלוטין. במקרה של אירוע אבטחה מהותי שעלול לפגוע בזכויותייך, נדווח לרשות להגנת הפרטיות ונודיע לך כנדרש על-פי החוק (תקנות הגנת הפרטיות [אבטחת מידע], התשע״ז-2017, ו-GDPR סעיפים 33-34).

15. רישום מאגר וסטטוס רגולטורי

המאגר מנוהל בהתאם לחוק הגנת הפרטיות, התשמ״א-1981. בעלת המאגר: [OPERATOR_NAME]. רישום המאגר ברשות להגנת הפרטיות — [בתהליך / יבוצע לפני 60 יום מהשקה ציבורית, בהתאם לחובות הרישום על-פי חוק].

בכל הנוגע לחובות גילוי, ביקורת ודיווח על-פי תיקון 13 לחוק (אוגוסט 2025), אנחנו פועלים לעמידה מלאה. שאלות תיוועצנה לרשות להגנת הפרטיות: www.gov.il/he/Departments/the_privacy_protection_authority.

16. שינויים במדיניות

ייתכן שנעדכן את המדיניות מעת לעת. בעת שינוי מהותי נציין תאריך תוקף חדש בראש המסמך, ובמידה הנדרשת על-פי חוק נשלח הודעה גם במייל. המשך השימוש בשירות לאחר העדכון מהווה קבלת המדיניות המעודכנת, אלא אם נדרשת הסכמה חוזרת על-פי חוק.

הצהרת הסרת אחריות רפואית: Ora Med הוא שירות רוגע, מיקוד ורווחה אישית בלבד. הוא אינו מערכת רפואית, ואינו תחליף לאבחון, ייעוץ או טיפול רפואי או נפשי מקצועי. במקרה של מצב חירום רפואי או נפשי, יש לפנות מיידית לשירותי העזרה המתאימים (101, 1201 ער״ן, או רופא/ה).

17. יצירת קשר

בכל שאלה, בקשה או תלונה בנושאי פרטיות, אבטחת מידע או מימוש זכויות — orna@oramed.co. נשתדל להשיב תוך 30 ימים.