מסמך פרטיות

מדיניות פרטיות

גרסה 3.1 | עדכון מרץ 2026 — תיקון 13 לחוק הגנת הפרטיות ו-CCPA 2026

הגנת פרטיות במבט אחד

24חודשים

שמירת נתוני פניות

60שניות

TTL של כתובת IP

72שעות

דיווח על פרצת נתונים

30ימים

מענה לבקשת DSR

תיקון 13 לחוק הגנת הפרטיותCCPA / CPRA 2026GDPR-Aware

אתר זה מופעל על ידי דניאל משקוב, עוסק מורשה, ישראל. מדיניות זו מסבירה כיצד אנו אוספים, משתמשים, שומרים ומגנים על מידע אישי בהתאם לחוק הגנת הפרטיות התשמ״א-1981, תיקון 13 (בתוקף מ-2025) ותקנות הגנת הפרטיות (אבטחת מידע) התשע״ז-2017.

1מידע שאני אוסף

1.1 מידע שאתם מספקים ישירות

טופס יצירת קשר: שם, כתובת אימייל, מספר טלפון (אופציונלי), תוכן ההודעה, ונתוני ייחוס (כתובת הפניה, נתיב עמוד, UTM source/medium/campaign). נשמר ב-Supabase (טבלת leads).
טופס מגנט לידים: שם, כתובת אימייל, הסכמה לתנאים, ונתוני ייחוס (כתובת הפניה, נתיב עמוד, UTM source/medium/campaign). נשמר ב-Supabase (טבלת leads, עם מנגנון מניעת כפילויות 24 שעות).
טופס אפיון פרויקט: שם, כתובת אימייל, חברה, אתר נוכחי, מטרות הפרויקט, קהל יעד, פיצ׳רים מבוקשים, תקציב, לוח זמנים, פרטים נוספים, ונתוני ייחוס (כתובת הפניה, נתיב עמוד, UTM source/medium/campaign). נשמר ב-Supabase (טבלת leads, lead_type: intake).
מחשבון עלות: שם, כתובת אימייל, חברה (אופציונלי), סוג פרויקט, תכונות נבחרות, מספר עמודים, רמת שירות, ונתוני ייחוס (כתובת הפניה, נתיב עמוד, UTM source/medium/campaign). נשמר ב-Supabase (טבלת leads, lead_type: estimator).
מחשבון ROI (עמוד שירותים): מספר מבקרים חודשי, אחוז המרה, מהירות טעינת עמוד וערך הזמנה ממוצע — מוזנים לפי שיקול דעתכם בלבד. כל החישובים מבוצעים בצד הלקוח בדפדפן שלכם. אין שידור נתוני קלט לשרתינו, אין שמירה במסד נתונים ואין שיתוף עם צדדים שלישיים. הכלי אינו אוסף ואינו מעבד מזהים אישיים.

1.2 מידע הנאסף אוטומטית

כתובת IP: נאספת ונשמרת זמנית ב-Upstash Redis להגבלת קצב בקשות (rate limiting) למשך 60 שניות. לפי הנחיות רשות ה-PPA (Q4 2025), כתובת IP מהווה מידע אישי.
Google Analytics 4: אירועי שימוש, עמוד הפניה, מידע על דפדפן ומכשיר. מבקרים מישראל: פעיל כברירת מחדל (הודעה ואפשרות ביטול, תיקון 13). מבקרים מחו״ל: נאסף רק לאחר הסכמה מפורשת. GA4 מוגדר עם anonymize_ip: true.
נתוני UTM: משמשים לייחוס פנימי בלבד. אינם משותפים עם פלטפורמות פרסום.
Cookies ואחסון מקומי: cookie-consent (localStorage, פונקציונלי) שומר את סטטוס ההסכמה שלך ('all', 'il-notice' או 'essential'), המתועד במאגר הנתונים לצרכי ביקורת לפי חוק הגנת הפרטיות; cookie-consent-gpc מתעד כיבוד אות Global Privacy Control; __vcountry (HTTP cookie, שעה אחת) מזהה מדינת המבקר לצורך בחירת מודל ההסכמה המתאים — ללא שמירה או שיתוף.
Cookie לוקאל: next-intl מגדיר HTTP cookie מוגבל לסשן לזכירת שפת הממשק (en/he). לא מאוחסן מידע אישי ב-cookie זה.
Session storage: exit_intent_shown ו-converted_this_session מונעים חזרה על חלונות קופצים בתוך טאב. calculator_intent שומר את סוג הפרויקט האחרון שנבחר. כל המפתחות פגים עם סגירת הטאב.
Vercel Speed Insights: מדדי ביצועים (Core Web Vitals) נשלחים ל-Vercel ללא הסכמה נדרשת — אינם כוללים מזהי משתמש אישיים.

1.3 מידע רגיש במיוחד — סעיף 3 לחוק הגנת הפרטיות, תיקון 13

הגדרה חוקית — הגנה מוגברת לפי רשות הגנת הפרטיות

כתובת IP: לפי הנחיות רשות הגנת הפרטיות הישראלית (PPA, Q4 2025), גישת ה-CJEU בפרשת Breyer, ומתודולוגיות אכיפה ישראליות עדכניות — כתובת IP מסווגת כ"מידע אישי רגיש במיוחד" כאשר ניתן לשייכה לאדם ספציפי. ב-danielmashkov.com: נשמרת ב-Upstash Redis עם TTL של 60 שניות בלבד, ללא תיעוד בלוגים, וללא העברה לגורמי שיווק.
נתוני מיקום גיאוגרפי: נתוני מיקום גסים (מדינה/עיר) הנגזרים מ-IP ומ-GA4 מסווגים כ"נתוני מיקום" לפי תיקון 13. GA4 מוגדר עם anonymize_ip: true ו-IP masking — מצמצמים את הדיוק לשני אוקטטים אחרונים בלבד.

בסיס חוקי: חוק הגנת הפרטיות התשמ"א-1981, סעיף 3 — רשימת "מידע רגיש", תיקון 13 (2025). עיבוד מידע בקטגוריה זו מחייב תיעוד בספר הפעולות (ROPA), ביצוע הערכת סיכונים (DPIA), ואמצעי הגנה מוגברים.

2שימוש במידע

מענה לפניות ומתן שירותים שהתבקשו
מניעת שימוש לרעה בטפסים (rate limiting — 3–5 בקשות / 60 שניות לכל IP, תלוי בנקודת הקצה)
שיפור האתר על בסיס נתוני שימוש אנונימיים
ייחוס פנימי של מקורות תנועה

איננו מוכרים, משכירים, או משתפים מידע אישי עם צדדים שלישיים לצרכי שיווק.

3תת-מעבדים (Subprocessors)

אנו עושים שימוש בשירותי הצד השלישי הבאים לצורך עיבוד מידע:

שירות	מטרה	מיקום
Vercel Inc.	אחסון האתר, CDN, edge functions	ארה״ב / EU
Supabase Inc.	פניות ולידים מטפסי האתר (contact / lead magnet / intake / estimator, טבלת leads, RLS מופעל)	ארה"ב / EU-West
Airtable Inc.	סנכרון לידים ל-CRM — רשומות Account + Engagement עבור פניות contact / intake / estimator	ארה״ב
Resend Inc.	שליחת אימיילי עסקה	ארה״ב
Upstash Inc.	הגבלת קצב (Redis, TTL 60 שניות)	ארה״ב
Google LLC (GA4)	ניתוח שימוש (לאחר הסכמה)	ארה״ב
Sentry Inc.	ניטור שגיאות וביצועים	ארה״ב
Vercel Speed Insights	ניטור ביצועים — Core Web Vitals (תמיד פעיל)	ארה״ב
Calendly Inc.	תיאום פגישות (לפי בקשת המשתמש)	ארה״ב

העברות מידע חוצות-גבולות מתועדות לכל ספק בנפרד. כאשר ספק מציע DPA ו-SCCs הן מיושמות; כאשר הדבר אינו זמין בתכנית החינמית (כגון Airtable / Resend), המגבלה נחשפת במפורש במלאי הפרטיות ובמסמכי הציות.

4שמירת מידע

24 חודשים

שליחות מטפסי האתר (Supabase)

נמחקות אוטומטית לאחר תקופה זו

24 חודשים

רשומות לידים ב-Airtable CRM (Accounts + Engagements)

ניקוי חודשי מוחק לידים ישנים מטפסי האתר; פעילות שטופלה נשמרת

60 שניות

כתובות IP (Upstash Redis)

נמחקות אוטומטית על ידי Redis TTL

14 חודשים

נתוני GA4

הגדרת ברירת מחדל של Google

עד מחיקה ידנית

הסכמת Cookie

מאוחסנת ב-localStorage

5 שנים

יומן הסכמות (consent_logs, Supabase)

רשומות ביקורת אנונימיות לפי סעיף 7 לתקנת GDPR וחוק הגנת הפרטיות תיקון 13 — ללא IP, ללא אימייל

5 שנים

בקשות DSR (dsr_requests, Supabase)

שמירה לצרכי ביקורת חוקית — ללא IP

5זכויותיכם — תיקון 13 לחוק הגנת הפרטיות

זכות עיון: לקבל מידע על הנתונים שנאספו אודותיכם — מענה תוך 30 יום.
זכות תיקון: לבקש תיקון מידע שגוי.
זכות מחיקה: לבקש מחיקת מידע אישי לפני תום תקופת השמירה.
זכות התנגדות: להתנגד לעיבוד מידע לצרכי שיווק.

למימוש זכויות אלו, השתמש בטופס המאובטח שלנו: הגש בקשת DSR

6אבטחת מידע

הצפנת HTTPS על כל החיבורים
מדיניות CSP מחמירה מבוססת nonce
הגבלת קצב גישה על כל נקודות ה-API של הטפסים (3–5 בקשות / 60 שניות לכל IP, תלוי בנקודת הקצה)
Row-Level Security (RLS) ב-Supabase — גישה אנונימית מוגבלת ל-INSERT בלבד
תיקוף קלט ו-HTML escaping על כל תוכן שמשתמשים מזינים
גישה לנתונים אישיים מוגבלת לדניאל משקוב בלבד

7Cookie ים והסכמה

פונקציונליות חיונית משתמשת ב-cookie לוקאל (next-intl, HTTP session cookie) ומפתחות localStorage לניהול הסכמה (cookie-consent) וזיהוי GPC (cookie-consent-gpc). מפתחות session storage פגים עם סגירת הטאב. עוגיות אנליטיות (GA4) נטענות בהתאם למיקומך: מבקרים מישראל מקבלים מודל הודעה ואפשרות ביטול (analytics פעיל כברירת מחדל, בהתאם לתיקון 13 לחוק הגנת הפרטיות); מבקרים מהאיחוד האירופי ושאר העולם מקבלים דיאלוג הסכמה מפורשת. ניתן לשנות או לבטל הסכמה בכל עת על ידי לחיצה על "הגדרות עוגיות" בתחתית האתר.

8אי-מכירת מידע אישי (CCPA 2026 — מבקרים מקליפורניה)

אנו לא מוכרים, משכירים, או משתפים מידע אישי של מבקרים מקליפורניה עם צדדים שלישיים לצרכי פרסום. מבקרים מקליפורניה זכאים ל: עיון, מחיקה, תיקון, אי-שיתוף, ואי-אפליה בגין מימוש הזכויות.

שלח בקשת DSR

9פרוטוקול דיווח על פרצת נתונים — 72 שעות

תיקון 13 לחוק הגנת הפרטיות (סעיף 17ג) מחייב דיווח לרשות הגנת הפרטיות תוך 72 שעות. להלן הפרוטוקול הפנימי:

שלב 1 — גילוי ובלימה (0–4 שעות)

בידוד מיידי של המערכות הנגועות
תיעוד ראשוני של היקף האירוע
הפעלת נהלי תגובה לאירועי אבטחה

שלב 2 — הערכת חומרה (4–24 שעות)

זיהוי קטגוריות המידע שנפגעו ומספר הנפגעים
הערכת רמת הסיכון לזכויות הנפגעים
תיעוד ב-ROPA ובספר אירועי האבטחה הפנימי

שלב 3 — דיווח לרשות (24–72 שעות)

הגשת דיווח לרשות הגנת הפרטיות (PPA) בהתאם לטופס הרשמי
כולל: מהות האירוע, קטגוריות מידע, מספר נפגעים, צעדים שננקטו
העתק לדניאל משקוב כנושא אחריות אישית לפי CPRA § 1798.199.90

שלב 4 — הודעה לנפגעים (בהקדם ככל האפשר)

הודעה אישית לנפגעים שנחשפו לסיכון גבוה
כולל: מה אירע, מידע שנחשף, צעדים מומלצים, איש קשר
דיווח ל-CERT-IL במקרה של אירוע תשתית קריטית

פרוטוקול זה עומד בדרישות סעיף 17ג לחוק הגנת הפרטיות (תיקון 13), תקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017, ונהלי CERT-IL לדיווח על אירועי סייבר.

10. עדכונים למדיניות

אנו עשויים לעדכן מדיניות זו מעת לעת. עדכונים מהותיים יפורסמו בדף זה עם תאריך עדכון חדש. המשך השימוש באתר לאחר עדכון מהווה הסכמה למדיניות החדשה.

11. יצירת קשר

לכל שאלה בנושא פרטיות:

הגש בקשת DSR

או שלח אימייל: privacy@danielmashkov.com

כתובת זו מוגדרת ועשויה להיות בתהליך הפעלה. לפניות דחופות: info@danielmashkov.com