מסמך משפטי

מדיניות פרטיות

בתוקף החל מ־22 במאי 2026 · גרסה 1.0

מדיניות זו מתארת כיצד אקטיבייטד דיגיטל בע"מ (להלן: "החברה"), מפעילת השירות irua.app, אוספת, משתמשת, מאחסנת ומשתפת מידע אישי. המסמך נכתב בהתאם לדרישות חוק הגנת הפרטיות, התשמ"א-1981, תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, וברוח עקרונות ה־GDPR ככל שרלוונטיים ללקוחות אירופיים.

הסבר בקצרה: כשמארגן (לקוח שלנו) מעלה אורחים לרשימה — המידע הזה שייך למארגן. אקטיבייטד דיגיטל מטפלת בו בשבילו בלבד. כשמשתמש פותח חשבון בעצמו, מבקר באתר או רוכש כרטיס — חלק מהמידע נאסף ישירות על ידינו. המסמך הזה מסביר בדיוק מה, למה, ולמי.

1. תפקידים: מי בעל מאגר המידע?

ההבחנה הבאה חשובה להבנת המסמך כולו. ביחס למידע שונה — לחברה תפקיד שונה:

מידע על המארגן (הלקוח של irua.app): שם החברה, פרטי איש קשר, פרטי חיוב, נתוני שימוש בפלטפורמה. כאן אקטיבייטד דיגיטל היא בעלת מאגר המידע (Controller) — אנחנו מחליטים מה לאסוף ולמה.
מידע על אורחי האירוע (המוזמנים של המארגן): שמות, טלפונים, כתובות מייל, תשובות לטפסים, אישורי הגעה, נתוני סריקה בכניסה. כאן המארגן הוא בעל מאגר המידע, ואקטיבייטד דיגיטל פועלת בשמו כמחזיקה (Processor) בלבד.
מידע על גולשים אנונימיים באתר: כתובת IP, סוג דפדפן, דפים שנצפו. כאן אקטיבייטד דיגיטל היא בעלת מאגר המידע.

ההבחנה הזו משפיעה על מי הכתובת לפניות זכויות עיון/מחיקה: ביחס לרשומת אורח — הכתובת היא המארגן; ביחס לחשבון שלך אצלנו — הכתובת היא אקטיבייטד דיגיטל.

2. סוגי המידע שאנחנו אוספים

פרטי חשבון מארגן

שם פרטי ומשפחה, כתובת דוא"ל, מספר טלפון.
שם החברה או העסק, ח.פ., כתובת לחשבונית.
סיסמה מוצפנת (bcrypt) — איננו רואים את הסיסמה בכל שלב.
הרשאות תפקיד בתוך החשבון (Owner, Admin, Hostess וכד').

נתוני אירועים ואורחים

שמות אורחים, מספרי טלפון, כתובות מייל וכל שדה נוסף שהוגדר על ידי המארגן.
סטטוס RSVP, מספר משתתפים, קבוצה, הערות.
מטא־דאטה של הודעות SMS שנשלחו (תאריך, סטטוס מסירה, תוכן ההודעה).
פעולות סריקה בכניסה (תאריך/שעה, מכשיר סורק).

נתוני עסקה (כשרלוונטי)

סכום, סוג כרטיס, תאריך, מזהה עסקה אצל ספק הסליקה.
פרטי כרטיס אשראי אינם נשמרים אצלנו — הסליקה מתבצעת ישירות מול PayMe, ואנחנו רואים רק את התוצאה (אישור/דחייה) ומזהה העסקה.

נתונים טכניים ושימוש

כתובת IP, סוג דפדפן, מערכת הפעלה, רזולוציה.
דפים שנצפו, פעולות שבוצעו, חותמות זמן.
מזהה הפעלה (Session) וקובץ "זכור אותי" (gl_remember, תוקף 30 יום).
לוגי שגיאות וטעויות בצד שרת — לצרכי איתור באגים בלבד.

3. דרכי איסוף

אנחנו אוספים מידע באחת מארבע הדרכים הבאות: (א) מסירה ישירה — בעת רישום, מילוי טפסים או רכישת חבילה; (ב) מהמארגן — כשהמארגן מעלה רשימת מוזמנים, מייבא קובץ Excel, או משתמש ב־API המתועד; (ג) אוטומטית — בעת הגלישה באתר (Cookies, לוגי שרת); (ד) מצדדים שלישיים — לדוגמה תוצאת אישור עסקה מספק הסליקה, או סטטוס מסירה מספק ה־SMS.

4. מטרות השימוש

אספקת השירות עצמו — ניהול חשבון, אירועים, אורחים והודעות.
תקשורת תפעולית — אישורי תשלום, חשבוניות, התראות אבטחה.
חיוב והפקת מסמכי מס.
שיפור השירות — ניתוח דפוסי שימוש מצרפיים (לא אישיים).
אבטחת מידע ומניעת הונאות.
עמידה בחובות חוקיות — דרישות רשויות, צווי בית משפט, חוק העונשין.
שליחת חומר שיווקי שלנו ללקוחות קיימים, על בסיס הסכמה ובאפשרות הסרה בכל עת. שיווק כלפי אורחי המארגן הוא באחריות המארגן בלבד — ראו מדיניות שליחת SMS.

5. בסיסים חוקיים לעיבוד

עיבוד המידע מתבצע על בסיס אחת מהקטגוריות הבאות, בהתאם למטרת העיבוד:

הסכמה — בעת פתיחת חשבון, מילוי טופס הרשמה לאירוע, או הסכמה לדיוור.
ביצוע חוזה — אספקת השירות שעבורו שילם המנוי.
חובה חוקית — שמירת רשומות מס, היענות לדרישת רשות.
אינטרס לגיטימי — אבטחת המערכת, מניעת הונאות, שיפור השירות.

6. שיתוף עם צדדים שלישיים

אנחנו לא מוכרים מידע אישי לאף צד שלישי, בשום נסיבות. שיתוף מוגבל מתבצע רק עם נותני השירותים שבלעדיהם הפלטפורמה לא יכולה לתפקד — ספקי תשתית, סליקה, ושליחת SMS. כל ספק כזה כפוף להתחייבות חוזית לשמור על סודיות המידע ולא להשתמש בו לכל מטרה חיצונית.

הרשימה המעודכנת של כל הצדדים השלישיים שמקבלים מידע, סוג המידע שהם מקבלים, ומיקום השרתים שלהם — מתפרסמת בנפרד וניתן לעיין בה כאן: רשימת מעבדי המשנה.

כמו כן ייתכן שנמסור מידע מכוח צו חוקי תקף, או במקרה של שינוי מבני בחברה (מיזוג, מכירת פעילות) — ובלבד שהצד המקבל יהיה כפוף לאותה רמת הגנה.

7. העברת מידע אל מחוץ לישראל

חלק מספקי המשנה שלנו מאחסנים מידע מחוץ לישראל (לדוגמה Amazon CloudFront ו־Twilio בארה"ב, MessageBird באיחוד האירופי). העברה כזו תיעשה רק למדינות אשר רמת הגנת הפרטיות בהן עומדת בדרישות תקנות הגנת הפרטיות (העברת מידע למאגרי מידע שמחוץ לגבולות המדינה), התשס"א-2001, או בכפוף לערבויות חוזיות מקובלות (Standard Contractual Clauses, ככל הניתן).

8. תקופות שמירה

סוג מידע	תקופת שמירה ברירת מחדל	הערה
חשבון מארגן פעיל	למשך החשבון	נמחק תוך 30 יום מסגירת חשבון, פרט לרשומות חיוב
אורחים באירוע	בשליטת המארגן	המארגן יכול לייצא ולמחוק בכל עת מתוך המערכת
חשבוניות ורשומות מס	7 שנים	בהתאם לדרישת פקודת מס הכנסה
לוגי שרת ולוגי SMS	עד 24 חודשים	לצרכי איתור באגים ויישוב מחלוקות
Cookies של זיהוי מתמשך	עד 30 יום	קובץ "זכור אותי" — מבוטל אוטומטית בהתנתקות

9. אבטחת מידע

הפלטפורמה מיישמת אמצעי אבטחה התואמים את החובות שבתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, בדרגת אבטחה המתאימה לסוג המאגר ולסוג המידע השמור בו. בכלל זה — הצפנת תעבורה (HTTPS/TLS), הצפנת סיסמאות (bcrypt), חתימות HMAC על קריאות API, הפרדת הרשאות, גיבוי מסד נתונים, ולוגים של פעולות אדמיניסטרטיביות. עם זאת, אין מערכת מחשב שיכולה להבטיח אבטחה מוחלטת.

במקרה של אירוע אבטחת מידע חמור הפוגע במידע אישי של מנויים — נפעל בהתאם לחובת הדיווח שבתקנות, ונודיע ליחידה להגנת הפרטיות במשרד המשפטים ולבעלי החשבון הרלוונטיים בלוחות הזמנים הקבועים בדין.

10. זכויות המשתמש

ביחס למידע שאנחנו בעלי המאגר שלו, עומדות לך הזכויות הבאות:

זכות עיון — לקבל עותק של המידע שאנו מחזיקים עליך.
זכות תיקון — לבקש לתקן מידע שגוי או חלקי.
זכות מחיקה — לבקש להסיר את המידע ("הזכות להישכח"), בכפוף לחובות שמירה חוקיות (לדוגמה רשומות מס).
זכות לניידות — לקבל את המידע שלך בפורמט מובנה, ניתן לקריאה על ידי מכונה.
זכות התנגדות — להפסיק לקבל דיוור שיווקי בכל עת, באמצעות קישור "הסרה" בכל הודעה.

ביחס למידע על אורח באירוע — הפנייה היא תחילה למארגן (בעל מאגר המידע). אם המארגן לא מטפל בפנייה, ניתן לפנות אלינו והאינטראקציה תיעשה במשותף.

כל בקשת מימוש זכות תיענה תוך 30 יום, כנדרש לפי חוק. הפנייה לכתובת: info@activated.digital.

11. קובצי Cookie וטכנולוגיות מעקב

אנחנו עושים שימוש מצומצם בעוגיות, אך ורק לצרכים תפעוליים:

עוגיית הפעלה (Session): חיונית להתחברות ולשמירת הקשר עם השרת. נמחקת בסגירת הדפדפן.
עוגיית "זכור אותי" (gl_remember): אופציונלית, נכתבת רק אם סימנת את התיבה בעת ההתחברות. תוקף 30 יום, מבוטלת בהתנתקות מפורשת.
עוגיית CSRF: חיונית להגנה מפני התקפות זיוף בקשה.

איננו עושים שימוש בעוגיות פרסום צד שלישי, ב־Pixel של רשתות חברתיות או בכלי מעקב בין־אתרי. השבתה של עוגיות חיוניות (Session, CSRF) תפגע ביכולתך להשתמש בשירות.

12. קטינים

השירות אינו מיועד לקטינים מתחת לגיל 18 ולא ניתן לפתוח חשבון מתחת לגיל זה. אם נודע לנו כי נאסף מידע מקטין ללא הסכמת אפוטרופוס, אנחנו נמחק אותו לאלתר. אורחי אירוע — אינם פותחים חשבון אצלנו ואינם נדרשים לחשוף את גילם.

13. שינויים במדיניות

מדיניות זו עשויה להתעדכן מעת לעת. שינויים מהותיים יודעו במייל לבעלי החשבון לכל הפחות 15 יום לפני כניסתם לתוקף. המשך שימוש בשירות לאחר מועד התחילה מהווה הסכמה למדיניות המעודכנת.

14. פרטי קשר וממונה הגנת הפרטיות

לשאלות, בקשות מימוש זכויות, או דיווח על אירוע אבטחת מידע, ניתן לפנות אל:

אקטיבייטד דיגיטל בע"מ
ח.פ. 514400597
דוא"ל ייעודי לפרטיות: info@activated.digital
טלפון: 03-52-444-11

זכותך לפנות גם לרשות להגנת הפרטיות במשרד המשפטים אם לדעתך פעלנו בניגוד לחוק: gov.il/הרשות להגנת הפרטיות.

מסמכים קשורים

מדיניות זו נוסחה בלשון זכר מטעמי נוחות בלבד ופונה לכל המגדרים כאחד.