אתר זה מופעל על ידי דניאל משקוב, עוסק מורשה, ישראל. מדיניות זו מסבירה כיצד אני אוסף, משתמש, שומר ומגן על מידע אישי בהתאם לחוק הגנת הפרטיות התשמ״א-1981, תיקון 13 (בתוקף מ-2025) ותקנות הגנת הפרטיות (אבטחת מידע) התשע״ז-2017. הגנת פרטיות במבט אחד — שמירת נתוני פניות: 24 חודשים. TTL של כתובת IP: 60 שניות. דיווח על פרצת נתונים: 72 שעות. מענה לבקשת DSR: 30 ימים. ציות: תיקון 13 לחוק הגנת הפרטיות, CCPA / CPRA 2026, GDPR-Aware.
1. מידע שאני אוסף
1.1 מידע שאתם מספקים ישירות
- טופס יצירת קשר: שם, כתובת אימייל, מספר טלפון (אופציונלי), תוכן ההודעה, ונתוני ייחוס (כתובת הפניה, נתיב עמוד, UTM source/medium/campaign). נשמר ב-Supabase (טבלת leads).
- טופס מגנט לידים: שם, כתובת אימייל, הסכמה לתנאים, ונתוני ייחוס (כתובת הפניה, נתיב עמוד, UTM source/medium/campaign). נשמר ב-Supabase (טבלת leads, עם מנגנון מניעת כפילויות 24 שעות).
- טופס אפיון פרויקט: שם, כתובת אימייל, חברה, אתר נוכחי, מטרות הפרויקט, קהל יעד, פיצ׳רים מבוקשים, תקציב, לוח זמנים, פרטים נוספים, ונתוני ייחוס (כתובת הפניה, נתיב עמוד, UTM source/medium/campaign). נשמר ב-Supabase (טבלת leads, lead_type: intake).
- מחשבון עלות: שם, כתובת אימייל, חברה (אופציונלי), סוג פרויקט, תכונות נבחרות, מספר עמודים, רמת שירות, ונתוני ייחוס (כתובת הפניה, נתיב עמוד, UTM source/medium/campaign). נשמר ב-Supabase (טבלת leads, lead_type: estimator).
- מחשבון ROI (עמוד שירותים): מספר מבקרים חודשי, אחוז המרה, מהירות טעינת עמוד וערך הזמנה ממוצע — מוזנים לפי שיקול דעתכם בלבד. כל החישובים מבוצעים בצד הלקוח בדפדפן שלכם. אין שידור נתוני קלט לשרתינו, אין שמירה במסד נתונים ואין שיתוף עם צדדים שלישיים. הכלי אינו אוסף ואינו מעבד מזהים אישיים.
1.2 מידע הנאסף אוטומטית
- כתובת IP: נאספת ונשמרת זמנית ב-Upstash Redis להגבלת קצב בקשות (rate limiting) למשך 60 שניות. לפי הנחיות רשות ה-PPA (Q4 2025), כתובת IP מהווה מידע אישי.
- Google Analytics 4: אירועי שימוש, עמוד הפניה, מידע על דפדפן ומכשיר. מבקרים מישראל: פעיל כברירת מחדל (הודעה ואפשרות ביטול, תיקון 13). מבקרים מחו״ל: נאסף רק לאחר הסכמה מפורשת. GA4 מוגדר עם anonymize_ip: true.
- נתוני UTM: משמשים לייחוס פנימי בלבד. אינם משותפים עם פלטפורמות פרסום.
- Cookies ואחסון מקומי: cookie-consent (localStorage, פונקציונלי) שומר את סטטוס ההסכמה שלך ('all', 'il-notice' או 'essential'), המתועד במאגר הנתונים לצרכי ביקורת לפי חוק הגנת הפרטיות; cookie-consent-gpc מתעד כיבוד אות Global Privacy Control; __vcountry (HTTP cookie, שעה אחת) מזהה מדינת המבקר לצורך בחירת מודל ההסכמה המתאים — ללא שמירה או שיתוף.
- Cookie לוקאל: next-intl מגדיר HTTP cookie מוגבל לסשן לזכירת שפת הממשק (en/he). לא מאוחסן מידע אישי ב-cookie זה.
- Session storage: exit_intent_shown ו-converted_this_session מונעים חזרה על חלונות קופצים בתוך טאב. calculator_intent שומר את סוג הפרויקט האחרון שנבחר. כל המפתחות פגים עם סגירת הטאב.
- Vercel Speed Insights: מדדי ביצועים (Core Web Vitals) נשלחים ל-Vercel ללא הסכמה נדרשת — אינם כוללים מזהי משתמש אישיים.
1.3 מידע רגיש במיוחד — סעיף 3 לחוק הגנת הפרטיות, תיקון 13
הגדרה חוקית — הגנה מוגברת לפי רשות הגנת הפרטיות.
- כתובת IP: לפי הנחיות רשות הגנת הפרטיות הישראלית (PPA, Q4 2025), גישת ה-CJEU בפרשת Breyer, ומתודולוגיות אכיפה ישראליות עדכניות — כתובת IP מסווגת כ"מידע אישי רגיש במיוחד" כאשר ניתן לשייכה לאדם ספציפי. ב-danielmashkov.com: נשמרת ב-Upstash Redis עם TTL של 60 שניות בלבד, ללא תיעוד בלוגים, וללא העברה לגורמי שיווק.
- נתוני מיקום גיאוגרפי: נתוני מיקום גסים (מדינה/עיר) הנגזרים מ-IP ומ-GA4 מסווגים כ"נתוני מיקום" לפי תיקון 13. GA4 מוגדר עם anonymize_ip: true ו-IP masking — מצמצמים את הדיוק לשני אוקטטים אחרונים בלבד.
בסיס חוקי: חוק הגנת הפרטיות התשמ"א-1981, סעיף 3 — רשימת "מידע רגיש", תיקון 13 (2025). עיבוד מידע בקטגוריה זו מחייב תיעוד בספר הפעולות (ROPA), ביצוע הערכת סיכונים (DPIA), ואמצעי הגנה מוגברים.
2. שימוש במידע
- מענה לפניות ומתן שירותים שהתבקשו
- מניעת שימוש לרעה בטפסים (rate limiting — 3–5 בקשות / 60 שניות לכל IP, תלוי בנקודת הקצה)
- שיפור האתר על בסיס נתוני שימוש אנונימיים
- ייחוס פנימי של מקורות תנועה
איננו מוכרים, משכירים, או משתפים מידע אישי עם צדדים שלישיים לצרכי שיווק.
3. תת-מעבדים (Subprocessors)
אני עושה שימוש בשירותי הצד השלישי הבאים לצורך עיבוד מידע:
- Vercel Inc.: אחסון האתר, CDN, edge functions — ארה״ב / EU.
- Supabase Inc.: פניות ולידים מטפסי האתר (contact / lead magnet / intake / estimator, טבלת leads, RLS מופעל) — ארה"ב / EU-West.
- Airtable Inc.: סנכרון לידים ל-CRM — רשומות Account + Engagement עבור פניות contact / intake / estimator — ארה״ב.
- Resend Inc.: שליחת אימיילי עסקה — ארה״ב.
- Upstash Inc.: הגבלת קצב (Redis, TTL 60 שניות) — ארה״ב.
- Google LLC (GA4): ניתוח שימוש (לאחר הסכמה) — ארה״ב.
- Sentry Inc.: ניטור שגיאות וביצועים — ארה״ב.
- Vercel Speed Insights: ניטור ביצועים — Core Web Vitals (תמיד פעיל) — ארה״ב.
- Calendly Inc.: תיאום פגישות (לפי בקשת המשתמש) — ארה״ב.
העברות מידע חוצות-גבולות מתועדות לכל ספק בנפרד. כאשר ספק מציע DPA ו-SCCs הן מיושמות; כאשר הדבר אינו זמין בתכנית החינמית (כגון Airtable / Resend), המגבלה נחשפת במפורש במלאי הפרטיות ובמסמכי הציות.
4. שמירת מידע
- 24 חודשים — שליחות מטפסי האתר (Supabase): נמחקות אוטומטית לאחר תקופה זו.
- 24 חודשים — רשומות לידים ב-Airtable CRM (Accounts + Engagements): ניקוי חודשי מוחק לידים ישנים מטפסי האתר; פעילות שטופלה נשמרת.
- 60 שניות — כתובות IP (Upstash Redis): נמחקות אוטומטית על ידי Redis TTL.
- 14 חודשים — נתוני GA4: הגדרת ברירת מחדל של Google.
- עד מחיקה ידנית — הסכמת Cookie: מאוחסנת ב-localStorage.
- 5 שנים — יומן הסכמות (consent_logs, Supabase): רשומות ביקורת אנונימיות לפי סעיף 7 לתקנת GDPR וחוק הגנת הפרטיות תיקון 13 — ללא IP, ללא אימייל.
- 5 שנים — בקשות DSR (dsr_requests, Supabase): שמירה לצרכי ביקורת חוקית — ללא IP.
5. זכויותיכם — תיקון 13 לחוק הגנת הפרטיות
- זכות עיון: לקבל מידע על הנתונים שנאספו אודותיכם — מענה תוך 30 יום.
- זכות תיקון: לבקש תיקון מידע שגוי.
- זכות מחיקה: לבקש מחיקת מידע אישי לפני תום תקופת השמירה.
- זכות התנגדות: להתנגד לעיבוד מידע לצרכי שיווק.
למימוש זכויות אלו, השתמש בטופס המאובטח שלנו — ראו כפתור הגש בקשת DSR למטה.
6. אבטחת מידע
- הצפנת HTTPS על כל החיבורים
- מדיניות CSP מחמירה מבוססת nonce
- הגבלת קצב גישה על כל נקודות ה-API של הטפסים (3–5 בקשות / 60 שניות לכל IP, תלוי בנקודת הקצה)
- Row-Level Security (RLS) ב-Supabase — גישה אנונימית מוגבלת ל-INSERT בלבד
- תיקוף קלט ו-HTML escaping על כל תוכן שמשתמשים מזינים
- גישה לנתונים אישיים מוגבלת לדניאל משקוב בלבד
7. Cookie ים והסכמה
פונקציונליות חיונית משתמשת ב-cookie לוקאל (next-intl, HTTP session cookie) ומפתחות localStorage לניהול הסכמה (cookie-consent) וזיהוי GPC (cookie-consent-gpc). מפתחות session storage פגים עם סגירת הטאב. עוגיות אנליטיות (GA4) נטענות בהתאם למיקומך: מבקרים מישראל מקבלים מודל הודעה ואפשרות ביטול (analytics פעיל כברירת מחדל, בהתאם לתיקון 13 לחוק הגנת הפרטיות); מבקרים מהאיחוד האירופי ושאר העולם מקבלים דיאלוג הסכמה מפורשת. ניתן לשנות או לבטל הסכמה בכל עת על ידי לחיצה על "הגדרות עוגיות" בתחתית האתר.
8. אי-מכירת מידע אישי (CCPA 2026 — מבקרים מקליפורניה)
אני לא מוכר, משכיר, או משתף מידע אישי של מבקרים מקליפורניה עם צדדים שלישיים לצרכי פרסום. מבקרים מקליפורניה זכאים ל: עיון, מחיקה, תיקון, אי-שיתוף, ואי-אפליה בגין מימוש הזכויות. השתמשו בכפתור הגש בקשת DSR למטה כדי לבטל את ההסכמה.
9. פרוטוקול דיווח על פרצת נתונים — 72 שעות
תיקון 13 לחוק הגנת הפרטיות (סעיף 17ג) מחייב דיווח לרשות הגנת הפרטיות תוך 72 שעות. להלן הפרוטוקול הפנימי:
שלב 1 — גילוי ובלימה (0–4 שעות)
- בידוד מיידי של המערכות הנגועות
- תיעוד ראשוני של היקף האירוע
- הפעלת נהלי תגובה לאירועי אבטחה
שלב 2 — הערכת חומרה (4–24 שעות)
- זיהוי קטגוריות המידע שנפגעו ומספר הנפגעים
- הערכת רמת הסיכון לזכויות הנפגעים
- תיעוד ב-ROPA ובספר אירועי האבטחה הפנימי
שלב 3 — דיווח לרשות (24–72 שעות)
- הגשת דיווח לרשות הגנת הפרטיות (PPA) בהתאם לטופס הרשמי
- כולל: מהות האירוע, קטגוריות מידע, מספר נפגעים, צעדים שננקטו
- העתק לדניאל משקוב כנושא אחריות אישית לפי CPRA § 1798.199.90
שלב 4 — הודעה לנפגעים (בהקדם ככל האפשר)
- הודעה אישית לנפגעים שנחשפו לסיכון גבוה
- כולל: מה אירע, מידע שנחשף, צעדים מומלצים, איש קשר
- דיווח ל-CERT-IL במקרה של אירוע תשתית קריטית
פרוטוקול זה עומד בדרישות סעיף 17ג לחוק הגנת הפרטיות (תיקון 13), תקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017, ונהלי CERT-IL לדיווח על אירועי סייבר.
10. עדכונים למדיניות ויצירת קשר
אני עשוי לעדכן מדיניות זו מעת לעת. עדכונים מהותיים יפורסמו בדף זה עם תאריך עדכון חדש. המשך השימוש באתר לאחר עדכון מהווה הסכמה למדיניות החדשה.
יצירת קשר
לכל שאלה בנושא פרטיות, השתמשו בכפתור הגש בקשת DSR למטה, או שלחו אימייל ל-privacy@danielmashkov.com.
כתובת זו מוגדרת ועשויה להיות בתהליך הפעלה. לפניות דחופות: info@danielmashkov.com.