מדיניות פרטיות עולמית – פורטל KALKALI
עודכן לאחרונה: 28 ביוני 2025 – גרסה 2.2.1
מסמך זה נערך בלשון זכר מטעמי נוחות בלבד, והוא מיועד ונכון לכל המינים והמגדרים כאחד.
הקדמה, היקף וקבלה
ברוכים הבאים לפורטל KALKALI (להלן: ה"אתר"). מטרתה של מדיניות פרטיות זו – אשר מהווה חלק בלתי נפרד ובלתי נפרד מתנאי השימוש וההסכמים האחרים בינך לבין האתר (יחדיו: "ההסכמים") – היא להסדיר, בשפה משפטית ברורה ומקיפה, את כל ההיבטים הנוגעים לאיסוף, עיבוד, שימוש, מסירה, אחסון, מחיקה ואבטחה של מידע אישי ושאינו אישי אודותיך, בכל פעילותך באתר או בשירותים הנלווים אליו, לרבות ברישום, בתשלום, בפרסום, בשיווק, בהפצה, באינטראקציה עם משתמשים אחרים, בביקור פסיבי ובכל תרחיש אחר.
הנך מתבקש לקרוא את מדיניות פרטיות זו בקפידה. המשך שימושך באתר או בשירותים ייחשב כקבלה בלתי חוזרת ומוחלטת של כלל הוראות המסמך, לרבות התנאים המקיפים להלן, והנך מצהיר כי אינך מסתמך על כל מצג או התחייבות אחרת שלא נכללה בו במפורש. אם אינך מסכים – הנך נדרש להימנע משימוש, למחוק את חשבונך ולהודיע לנו על כך.
הנחיות ציות כלל־עולמי – האתר פועל ומעבד מידע ממדינות רבות. אנו שואפים לעמוד במכלול החקיקה הרלוונטית, ובכלל זה General Data Protection Regulation (EU) 2016/679, UK-GDPR, California Consumer Privacy Act ("CCPA"), California Privacy Rights Act ("CPRA"), חקיקת פרטיות קנדה (PIPEDA), אוסטרליה (APPs), ברזיל (LGPD), דרום‑אפריקה (POPIA) וחוקי הגנת הפרטיות במדינת ישראל (חוק הגנת הפרטיות, תשמ"א‑1981 ותקנותיו). במידה וקיימת סתירה בין החוקים – יבוצע האיזון הנדרש בכפוף לעקרונות המשפט הבינלאומי הפרטי, תוך מזעור הפגיעה בזכויותיך.
1. הגדרות נוספות
בנוסף למונחים שכבר הוגדרו במסמך הקודם, יפורשו להלן גם המונחים הבאים:
-
"מידע רגיש" – קטגוריות מיוחדות של נתונים כמוגדרות ב‑Article 9 ל‑GDPR (לרבות נתוני בריאות, ביומטריה ייחודית, נטיות דתיות או פוליטיות) ו/או כל מידע שהגדרתו כמוגן במיוחד לפי דין מדינת מושבו של נושא הנתונים.
-
"עיבוד" – כל פעולה או סדרת פעולות במידע אישי, לרבות איסוף, רישום, ארגון, אחסון, התאמה, שינוי, שליפה, עיון, שימוש, מסירה או כל פעולה מקבילית.
-
"בקר הנתונים" (Controller) – Hi‑Tech Index Ltd., חברה ישראלית פרטית, המפעילה את הפורטל, מרח' המסחר 10, תל‑אביב 678910.
-
"מעבד נתונים" (Processor) – צד‑שלישי המעבד מידע אישי בשם הבקר ועל‑פי הוראותיו (למשל, ספק‑ענן, שירות SMTP).
-
"חברות קשורות" – כל גוף משפטי בשליטה ישירה או עקיפה של הבקר, או השולט בו.
2. קטגוריות מידע שאנו אוספים (מורחב)
-
נתוני הרשמה וכשירות – שם מלא, כינוי עסקי, כתובת דוא"ל, טלפון, סיסמה מוצפנת (bcrypt או שקול), מדינת מגורים, תחום מומחיות, הוכחות הסמכה מקצועית, וכיוצא באלו.
-
נתוני תשלום – ארבע ספרות אחרונות של כרטיס אשראי, תאריך תפוגה, מזהה אסימון (Token) מאובטח מספק התשלומים (PCI DSS Level 1), חשבוניות וכתובת לחיוב. אין אנו שומרים את פרטי הכרטיס המלאים בשרתינו.
-
נתוני פעילות ותקשורת – פניות שירות, צ'אט, הטפסות, הקלטות שיחות (כפוף לדין), טיקטי תמיכה, תרומות קוד או תיעוד, חוות דעת משתמשים.
-
זיהוי דיגיטלי – Device ID, קואורדינטות GPS (אם העברת), סוג מכשיר, מערכת הפעלה, zone זמן, דגם, רזולוציה, מאפייני רשת, אימות דו‑שלבי, כתובות MAC (hashed), מפתחות FIDO/WebAuthn.
-
ניתוח נתונים מצטבר – נתונים שאינם מזהים אישית (Non‑PII) כמו סטטיסטיקות, נתוני טרנדים, דוחות אנליטיים שאנו מפיקים לאחר פסאודונימיזציה או אנונימיזציה מלאה (k‑anonymity ≥ 5).
-
מידע שנאסף מצד‑שלישי – מדירוגי Trustpilot, Crunchbase, ZoomInfo, ו‑API של LinkedIn, בכפוף להרשאות OAuth מפורשות.
הערה: איננו מבקשים מידע רגיש כמשמעו בחוק. אם בחרת לפרסם מרצונך מידע כזה, אתה עושה זאת באחריותך הבלעדית, והפרסום כפוף לסעיפי הוויתור והאחריות שלהלן.
3. מטרות העיבוד והבסיס המשפטי (מורחב)
מבלי לגרוע מכלליות הסעיפים הקודמים, נרחיב כדלקמן:
-
ביצוע ההסכם – הקמת חשבון, הפעלת מנוי, גבייה, החזר כספי, מתן תמיכה טכנית והפקת חשבוניות.
-
אינטרס לגיטימי (Article 6(1)(f) GDPR) – הגדלת חשיפת בעלי מקצוע בפלטפורמות חוץ, ביצוע ניתוחי שוק, שמירה על אבטחת המערכת, איתור הונאה, ניהול הליך משפטי פוטנציאלי.
-
הסכמה (Article 6(1)(a)) – שליחת דיוור ישיר ב‑Email/SMS/Push, הצגת מודעות מותאמות‑אישית (רימרקטינג), העברת מידע לא‑הכרחי לשותפים.
-
ציות לחובה משפטית (Article 6(1)(c)) – דיווחים לרשויות מס, מילוי צווי חיפוש, שמירת לוגים על‑פי תקנות תקשורת‑בזק או חוק שמירת נתוני תקשורת.
-
שמירה על אינטרסים חיוניים (Article 6(1)(d)) – במקרים חריגים של מניעת נזק גופני, הונאה חמורה או פעולה פלילית.
4. מסירת מידע לצד‑שלישי (מורחב)
| קטגוריית מקבל | דוגמאות | אמצעי הגנה |
|---|---|---|
| ספקי תשתית | AWS (גרמניה, ארה"ב), GCP (בריסל), Cloudflare WAF/CDN | SCC, ISO 27001, הצפנה בהעברה ובמנוחה. |
| ספקי תשלומים | Stripe, PayPal, Isracard | Tokenization, PCI DSS Level 1, DPA. |
| כלי אנליטיקה | Google Analytics 4, Mixpanel | IP Masking, עיבוד פסאודו. |
| פלטפורמות פרסום | Meta Ads, LinkedIn Campaign Manager, Google Ads | ״הסכם מעבד״ + Option Opt‑Out. |
| יועצים מקצועיים | רואי חשבון, משרדי עורכי דין | חובת סודיות מקצועית. |
| רשויות אכיפה | משטרת ישראל, IRS, Europol | רק לפי צו מחייב וביקורת משפטית פנימית. |
| חברות קשורות | Hi‑Tech Index B.V. (NL) | BCR (Binding Corporate Rules). |
אין אנו "מוכרים" (Sell) מידע אישי לתאגידים למטרות רווח במובן CCPA.
5. שמירת נתונים ומחיקה (Data Retention)
-
כללי – נתונים נשמרים לכל הפחות למשך קיום היחסים החוזיים ועוד שבע (7) שנים לצורכי מס, חשבונאות ויישוב תביעות.
-
דאטה גיבוי – עותקי גיבוי מוצפנים (AES‑256) נשמרים עד 90 יום ואז נמחקים אוטומטית.
-
Log Files – נשמרים ל‑12 חודשים; חריגות אבטחה נשמרות ל‑24 חודשים.
-
ביקורות מערכת – דוחות חדירה (Pen‑Test) ו‑Vulnerability Assessments נשמרים ל‑36 חודשים לצורכי תאימות.
-
מחיקה – בקשת מחיקה תתבצע תוך 30 יום לכל המאוחר, למעט מידע שנדרש לשמירה לפי חוק (למשל חשבוניות) או ליישוב מחלוקות תלויות ועומדות.
6. אבטחת מידע (Technical & Organisational Measures)
-
הצפנת נתונים – TLS 1.3 בהעברה, AES‑256 במנוחה.
-
מדיניות הרשאות מינימלית (Least Privilege) – בקרת גישה מבוססת תפקיד (RBAC).
-
פיירוולים ו‑WAF – Cloudflare Enterprise, ריבוי שכבות.
-
DDoS Protection – Anycast עם Rate Limiting.
-
Authentication – SSO/SAML 2.0 למנהלי מערכת, MFA (TOTP/FIDO2) למשתמשים.
-
Incident Response Plan – צוות ייעודי, הודעה לרשות/נושא מידע תוך 72 שעות בהתאם ל‑GDPR Art 33.
-
בדיקות Pen‑Test – רבעוניות, ע״י חברה חיצונית מוסמכת CREST.
7. זכויות נושאי הנתונים
| זכות | דרך מימוש | SLA תגובה |
|---|---|---|
| עיון | שליחת דוא"ל ל‑privacy@kalkali.com כולל צילום תעודה מזהה | 30 יום (או 45 במקרים מורכבים). |
| תיקון | "עריכת פרופיל" דרך הדשבורד או פנייה בכתב | 30 יום. |
| מחיקה | כפתור "מחק חשבון" + אימות סיסמה, או בקשה בדוא"ל מאומת | 30 יום. |
| הגבלה | בקשה כתובה עם נימוק חוקי | 30 יום. |
| התנגדות לשיווק | לינק "הסר" בכל דיוור, או בקשה במרכז ההעדפות | מידי (אוטומטי). |
| ניידות | ייצוא JSON/CSV חתום דיגיטלית | 30 יום. |
תושב האיחוד האירופי רשאי להגיש תלונה למפקח הגנת המידע המקומי (DPA). תושב קליפורניה רשאי לפנות ל‑California Attorney General.
8. Cookies, SDK & Tracking Pixels (מורחב)
-
Strictly Necessary – הפעלת דפדוף בטוח, אימות משתמש.
-
Functional – התאמת שפה, העדפות.
-
Performance – GA4, Hotjar (ללא הקלטת מקלדת).
-
Marketing – Meta Pixel, LinkedIn Insight.
-
Consent Management – CMP מותאם IAB TCF v2.2, מאפשר Opt‑In/Opt‑Out אזורי.
9. חשיפת פרופיל, שיווק חוצה פלטפורמות וויתור גורף (Legal Release)
-
בהעלאת פרופילך וכל תוכן אחר לאתר, אתה מעניק לאתר, לבעליו, לחברות הקשורות ולמי מטעמם רישיון עולמי, בלתי בלעדי, חינמי, נצחי וללא תמלוגים (Royalty‑Free) להעתיק, להפיץ, לשנות, ליצור יצירות נגזרות, לבצע פומבית, להציג פומבית ולעשות שימוש שיווקי – ברשתות חברתיות, מנועי חיפוש, קמפיינים דיגיטליים, תצוגות פרוגרמטיות, תכני EDM וכיוצא בזאת.
-
אתה משחרר ומשפה (Indemnify) את האתר, בעליו, עובדיו, מנהליו, נציגיו, קבלניו, ספקיו וחברותיו הקשורות מכל תביעה, דרישה, חובה, נזק, הפסד, אחריות, הוצאה או עלות (לרבות שכר טרחת עורכי דין סביר) הנובעים מפרסום הפרופיל, שימוש לא נכון בתוכן, הפרת מדיניות זו או כל צעד מצד‑שלישי.
-
ויתור תביעה קולקטיבית/ייצוגית – בכפוף לכל דין מחייב, אתה מסכים כי לא תצטרף להליך ייצוגי נגד האתר, וכי כל תביעה תידון באופן אישי בלבד.
10. הגבלת אחריות (Limitation of Liability)
במידה המרבית המותרת לפי דין קוגנטי:
-
האתר והחברות הקשורות לא יהיו אחראים לכל נזק עקיף, מיוחד, תוצאתי, מקרי, עונשי, אבדן רווחים, מוניטין, נתונים או הזדמנויות, גם אם נמסרה הודעה על אפשרות נזק כזה.
-
סך האחריות המצטברת בגין כל תביעה מכל עילה (ח contract, tort, negligence וכו׳) מוגבל לסכום ששילמת לנו בתקופה של שנים‑עשר (12) החודשים שקדמו לאירוע המקנה עילה או ₪500 – הנמוך מביניהם.
-
אין באמור לגרוע מתרופות סטטוטוריות שאינן ניתנות להתניה בכפוף לדין המדינה הרלוונטית.
11. העברות בינלאומיות (International Transfers)
-
אנו עושים שימוש במנגנונים מוכרים: SCC 2021 בלבד, BCR מאושרות או TIA (Transfer Impact Assessment) לשם עמידה בהוראות Schrems II.
-
כאשר תושבי EEA/UK מועברים לשרתים בארה"ב, אנו נוודא כי הספק משתתף EU‑US Data Privacy Framework או חותם על SCC.
12. פרטיות קטינים
השירות אינו מיועד לילדים מתחת לגיל 18. אם יתברר לנו כי קטין מסר מידע ללא הסכמת אפוטרופוס, נמחק את המידע ונחסום את הגישה.
13. קישורים חיצוניים ושירותי צד‑שלישי
האתר עשוי להכיל קישורים לשירותים שאינם בשליטתנו. איננו אחראים לנוהלי פרטיות או אבטחה שלהם. השימוש בהם באחריותך. מומלץ לעיין במדיניות שלהם.
14. Force Majeure
לא נהיה אחראים לכל אי‑קיומה של התחייבות הנובע מאירועים שאינם בשליטתנו הסבירה: מלחמה, טרור, כוח עליון, שביתות, תקלות חשמל, תקנות ממשלתיות, או אירועי סייבר רחבי‑היקף.
15. שינויים במדיניות
אנו רשאים לעדכן מסמך זה לפי הצורך. בעדכון מהותי (כגון שינוי בסעיפי ויתור או בזכויות משתמש) תישלח הודעה מוקדמת של 30 יום בדוא"ל. המשך שימושך לאחר מועד זה מהווה הסכמה.
16. דין, שיפוט והליך יישוב סכסוכים
-
דין חל – בכפוף להגבלות דין מקומי קוגנטי, יחולו דיני מדינת ישראל.
-
סמכות שיפוט – בית משפט מחוזי תל‑אביב‑יפו. אנו שומרים לעצמנו הזכות להגיש תביעה גם במקום מושבך במקרים מסוימים (forum non conveniens).
-
במדינות המחייבות בוררות חובה – יחול חוק הבוררות הרלוונטי, ו‑UNCITRAL Rules 2021, מקום הבוררות תל‑אביב, שפת הבוררות עברית/אנגלית, הבורר ימנה עו"ד בעל ותק ≥ 10 שנים בדין המסחרי.
17. יצירת קשר
| מטרה | דוא"ל ייעודי | |
|---|---|---|
| בקשות פרטיות כלליות | privacy@kalkali.com | |
| DPO (EEA/UK) | dpo@kalkali.com | |
| פרטיות ארה"ב | usprivacy@kalkali.com |
כתובת רשמית למשלוח מסמכים משפטיים רח' המסחר 10, תל‑אביב 678910, ישראל.
הצהרת סיום
בשימושך באתר ובשירותיו הינך מאשר/ת כי קראת, הבנת והסכמת ללא סייג לכל ההוראות המפורטות במסמך מדיניות פרטיות זה, וכי הינך מסכים/ה להיות כפוף/ה להן ולעמוד בהן, הן בשמך והן בשם כל מי שאתה מייצג.
