Vera Vera חזרה לדף הבית

מדיניות פרטיות

עדכון אחרון: פברואר 2026

1. מבוא

בקצרה: אנו מגנים על המידע הרפואי שלכם ברמה הגבוהה ביותר. מדיניות זו מפרטת בדיוק מה אנו אוספים, למה ואיך — בשקיפות מלאה.

ב-Vera, הגנת הפרטיות שלכם היא ערך עליון. מדיניות זו מפרטת כיצד אנו אוספים, משתמשים, שומרים ומגנים על המידע האישי והרפואי שלכם בעת השימוש באפליקציית Vera, באתר האינטרנט ובסטיקרי ה-QR הפיזיים (להלן יחד: "השירות").

אנו פועלים בהתאם לחוק הגנת הפרטיות, התשמ"א-1981 (כולל תיקון 13, התשפ"ה-2025), תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, וה-GDPR האירופי (Regulation 2016/679) ככל שחל על משתמשים תושבי האיחוד האירופי.

אנו ממליצים לקרוא מדיניות זו בעיון. השימוש בשירות מהווה הסכמה לאיסוף ולעיבוד מידע כמפורט במדיניות זו, בכפוף למנגנוני הסכמה ייעודיים למידע רפואי רגיש כמפורט בסעיף 7.

2. הגדרות

  • "מידע אישי" — כל מידע המזהה אדם או מאפשר זיהויו, כהגדרתו בחוק הגנת הפרטיות.
  • "מידע רגיש" (Information of Special Sensitivity / ISS) — מידע רפואי, בריאותי או כל מידע שמוגדר כבעל רגישות מיוחדת על פי תיקון 13 לחוק הגנת הפרטיות, ו-"Special Category Data" לפי סעיף 9 ל-GDPR.
  • "עיבוד" — כל פעולה הנעשית במידע, לרבות איסוף, אחסון, עיון, שימוש, העברה, מחיקה או השמדה.
  • "בעל מאגר" (Data Controller) — הגורם הקובע את מטרות ואמצעי עיבוד המידע — Shalhevet Software Solutions.
  • "מעבד מידע" (Data Processor) — גורם המעבד מידע בשם בעל המאגר ובהנחייתו.
  • "סטיקר QR" — מדבקה פיזית עם קוד QR ייחודי המתחברת לפרופיל הרפואי של המשתמש.
  • "סריקה" — הפעולה שבה צד שלישי כלשהו סורק את קוד ה-QR ומקבל גישה למידע הרפואי ששותף.
  • "פרופיל רפואי" — מכלול המידע הרפואי שהמשתמש מזין באפליקציה.

3. זהות בעל המאגר (Data Controller)

Shalhevet Software Solutions

דוא"ל: contact@shalhevet.tech

טלפון: +972-54-681-1111

אתר: www.shalhevet.tech

Shalhevet Software Solutions היא בעלת המאגר והגורם האחראי על עיבוד המידע האישי שלכם.

3.1 ממונה הגנת פרטיות (DPO)

בהתאם לתיקון 13 לחוק הגנת הפרטיות, Vera מינתה ממונה הגנת פרטיות האחראי על הבטחת עמידה בדרישות החוק. לפניות בנושאי פרטיות:

ממונה הגנת פרטיות — Shalhevet Software Solutions

דוא"ל: contact@shalhevet.tech

4. סוגי המידע שאנו אוספים

בקצרה: אנו אוספים רק את המידע הנחוץ להפעלת השירות — מידע אישי בסיסי, מידע רפואי (בהסכמה מפורשת), נתוני תשלום ומידע טכני.

4.1 מידע אישי מזהה

  • שם מלא
  • תאריך לידה
  • מספר טלפון
  • כתובת דוא"ל
  • כתובת למשלוח (עיר, רחוב, דירה, מיקוד)

4.2 מידע רפואי רגיש

מידע זה מסווג כ-"מידע בעל רגישות מיוחדת" (ISS) על פי תיקון 13 לחוק הגנת הפרטיות, ו-"Special Category Data" על פי סעיף 9 ל-GDPR. מידע זה מטופל ברמת ההגנה הגבוהה ביותר ונאסף אך ורק בהסכמה מפורשת, נפרדת וחד-משמעית.

  • תרופות (שמות, מינונים, תדירות נטילה)
  • אלרגיות ורגישויות
  • מחלות רקע ומצבים כרוניים
  • סוג דם
  • אנשי קשר לחירום (שמות, טלפונים, קרבה)
  • מידע רפואי נוסף שהמשתמש בוחר להזין בפרופיל

4.3 מידע תשלום ועסקאות

  • פרטי עסקאות (סכום, תאריך, מוצר שנרכש)
  • פרטי כרטיס אשראי — מעובדים ישירות על ידי Stripe ולא נשמרים בשרתי Vera כלל
  • כתובת חיוב (ככל שונה מכתובת המשלוח)

4.4 מידע טכני ושימוש

  • כתובת IP
  • סוג מכשיר, מערכת הפעלה וגרסת דפדפן
  • מזהה מכשיר (Device ID) ומזהה התקנה (Firebase Installation ID)
  • נתוני שימוש באפליקציה (דפים שנצפו, פעולות, זמני שימוש)
  • יומני סריקות QR (חותמת זמן, IP של הסורק, סוג מכשיר הסורק)
  • העדפת שפה
  • נתוני קריסות ושגיאות (Crash Reports)

4.5 מידע שאיננו אוספים

  • איננו אוספים נתוני מיקום (GPS) מהמכשיר.
  • איננו אוספים מידע ביומטרי (טביעת אצבע, זיהוי פנים).
  • איננו אוספים מידע מאנשי קשר שבמכשיר.

5. כיצד אנו אוספים מידע

  • ישירות מכם — מידע שאתם מזינים באופן פעיל: רישום חשבון, מילוי פרופיל רפואי, ביצוע הזמנה, פנייה לשירות לקוחות.
  • באופן אוטומטי — מידע טכני הנאסף אוטומטית בעת השימוש: כתובת IP, סוג מכשיר, נתוני שימוש, יומני סריקות QR.
  • מספקי שירות — מידע שנוצר על ידי ספקי השירות שלנו: פרטי עסקאות מ-Stripe, נתוני אנליטיקה מ-Firebase.

חובת מסירת מידע: מסירת מידע אישי בסיסי (שם, דוא"ל, טלפון) נדרשת ליצירת חשבון. מסירת מידע רפואי היא וולונטרית לחלוטין אך נדרשת לשימוש בתכונות הליבה של השירות (פרופיל רפואי, סטיקר QR). ללא מידע רפואי, לא ניתן יהיה להפעיל סטיקר QR או להשתמש בתכונות בדיקת הבטיחות.

6. מטרות עיבוד המידע והבסיס החוקי

בקצרה: אנו משתמשים במידע שלכם אך ורק להפעלת השירות, לאבטחתו ולשיפורו. אנחנו לא מוכרים מידע, לא משתמשים בו לפרסום ולא עושים פרופיילינג.

סוג מידע מטרה בסיס חוקי (ישראלי / GDPR)
מידע רפואי יצירת פרופיל רפואי, שיתוף מידע חירום באמצעות QR, בדיקות בטיחות תרופתיות הסכמה מפורשת (סעיף 1 לחוק / Art. 6(1)(a) + Art. 9(2)(a) GDPR)
מידע רפואי (סריקת חירום) הצגת מידע רפואי חיוני לסורק QR במצבי חירום אינטרסים חיוניים (Art. 6(1)(d) + Art. 9(2)(c) GDPR)
מידע תשלום עיבוד רכישת סטיקרים, הפקת חשבוניות ביצוע חוזה (Art. 6(1)(b) GDPR)
כתובת משלוח משלוח סטיקרים פיזיים ביצוע חוזה (Art. 6(1)(b) GDPR)
מידע טכני תפעול האפליקציה, אבטחה, מניעת הונאות, שיפור השירות אינטרס לגיטימי (Art. 6(1)(f) GDPR)
יומני סריקות אבטחה, מניעת שימוש לרעה, הצגת היסטוריית סריקות למשתמש אינטרס לגיטימי (Art. 6(1)(f) GDPR)
פנייה לשירות לקוחות מענה לפניות, טיפול בבעיות ביצוע חוזה / אינטרס לגיטימי

מה אנחנו לא עושים — לעולם:

  • לא מוכרים מידע אישי או רפואי לצדדים שלישיים.
  • לא משתמשים במידע רפואי לפרסום, שיווק ממוקד או פרופיילינג.
  • לא מעבירים מידע לחברות ביטוח, מעסיקים או גורמים מסחריים.

8. שיתוף מידע באמצעות QR

סעיף זה מפרט את אופן חשיפת המידע הרפואי באמצעות סטיקרי QR. אנא קראו בעיון.

8.1 אופן הפעולה

בהפעלת סטיקר QR, המשתמש מסכים במפורש כי:

  • המידע הרפואי שנבחר לשיתוף יהיה נגיש לכל אדם שסורק את קוד ה-QR — ללא צורך בהזדהות, הורדת אפליקציה או אישור מצד המשתמש.
  • מטרת הגישה הפתוחה היא לאפשר גישה מהירה למידע חיוני במצבי חירום, כולל על ידי פרמדיקים, רופאים ועוברי אורח.
  • הבסיס החוקי לגישה זו הוא הסכמה מפורשת (בעת הפעלת הסטיקר) ואינטרסים חיוניים (Art. 9(2)(c) GDPR) במצבים שבהם המשתמש אינו מסוגל לתת הסכמה.

8.2 שליטת המשתמש

  • המשתמש שולט אילו שדות מידע מוצגים בסריקת ה-QR דרך הגדרות האפליקציה.
  • ניתן להשבית סטיקר בכל עת דרך האפליקציה. לאחר השבתה — סריקת הקוד לא תציג מידע.
  • במקרה של אובדן או גניבה של סטיקר — יש להשבית אותו מיד דרך האפליקציה.

8.3 סיכונים מודעים

  • Vera אינה יכולה לשלוט בזהות הסורקים או למנוע סריקות על ידי גורמים לא מורשים.
  • מידע שנצפה על ידי סורק אינו ניתן ל"ביטול" לאחר הצפייה.
  • Vera מתעדת סריקות (חותמת זמן, IP, סוג מכשיר) ומציגה למשתמש יומן סריקות.

9. שיתוף מידע עם צדדים שלישיים

בקצרה: אנו משתפים מידע רק עם ספקי השירות הנדרשים להפעלת Vera, ורק במידה הנדרשת. הסכמי עיבוד מידע (DPA) חתומים עם כל ספק.

9.1 ספקי שירות (Data Processors)

Firebase / Google Cloud Platform

תפקיד: אחסון מידע, אימות משתמשים, אנליטיקה, התראות דחיפה, דיווחי קריסות.

מידע משותף: מידע חשבון, מידע רפואי (מוצפן), מידע טכני, מזהי התקנה.

אבטחה: Google פועלת כמעבד מידע (Data Processor) בכפוף ל-Data Processing Terms ועומדת בתקני SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018 ו-GDPR.

Stripe

תפקיד: עיבוד תשלומים.

מידע משותף: שם, כתובת חיוב, פרטי כרטיס אשראי (מועברים ישירות ל-Stripe, לא עוברים דרך שרתי Vera).

אבטחה: Stripe עומדת בתקן PCI-DSS ברמה 1 ופועלת בכפוף למדיניות הפרטיות של Stripe. Stripe עשויה לאסוף מידע באמצעות Cookies וטכנולוגיות דומות.

Resend

תפקיד: שליחת דוא"ל טרנזקציוני (אישורי הזמנה, התראות שירות).

מידע משותף: כתובת דוא"ל, שם, פרטי הזמנה.

אבטחה: Resend פועלת כמעבד מידע ועומדת בתקני SOC 2 Type II ו-GDPR. הודעות הדוא"ל מועברות בהצפנת TLS.

הסכמי עיבוד מידע (Data Processing Agreements) חתומים עם כל ספקי השירות בהתאם לדרישות סעיף 28 ל-GDPR ולתיקון 13 לחוק הגנת הפרטיות.

9.2 רשויות

Vera עשויה לחשוף מידע אישי לרשויות חוקיות אם נדרש לכך על פי חוק, צו בית משפט, או לצורך הגנה על זכויות, בטיחות או רכוש של Vera, משתמשיה או הציבור.

9.3 מה אנחנו לא עושים

  • לא מוכרים מידע אישי או רפואי לצדדים שלישיים — לעולם לא.
  • לא משתפים מידע רפואי עם גורמי פרסום, שיווק או מתווכי מידע.
  • לא מעבירים מידע לחברות ביטוח, מעסיקים או כל גורם מסחרי אחר.
  • לא מאפשרים לספקי שירות גישה למידע רפואי מעבר לנדרש להפעלת השירות.

10. העברת מידע בינלאומית

  • המידע מאוחסן בשרתי Firebase / Google Cloud, שעשויים להיות ממוקמים בארה"ב, באיחוד האירופי או באזורים אחרים.
  • ישראל מוכרת על ידי האיחוד האירופי כמדינה בעלת רמת הגנת פרטיות נאותה (Adequacy Decision), ולכן העברות מידע בין ישראל לאיחוד האירופי מותרות.
  • העברות מידע לארה"ב ולמדינות נוספות מתבצעות בכפוף ל-Standard Contractual Clauses (SCCs) ולתנאי עיבוד המידע של Google.
  • Stripe מעבדת תשלומים בשרתים עם הסמכת PCI-DSS ברמה הגבוהה ביותר ומיישמת SCCs להעברות בינלאומיות.
  • כל העברות מידע בינלאומיות מתבצעות בכפוף להסכמי העברת נתונים המבטיחים רמת הגנה שוות ערך לדין הישראלי ול-GDPR.

11. תקופות שמירת מידע

סוג מידע תקופת שמירה
פרופיל רפואי כל עוד החשבון פעיל. נמחק תוך 30 יום ממחיקת החשבון או ממשיכת ההסכמה.
מידע חשבון (שם, טלפון, דוא"ל) כל עוד החשבון פעיל. נמחק תוך 30 יום ממחיקת החשבון.
רשומות תשלום 7 שנים מתאריך העסקה (כנדרש בדיני המס הישראלי).
יומני סריקות QR 12 חודשים.
מידע טכני ולוגים 6 חודשים.
גיבויים (backups) עד 90 יום. גיבויים המכילים מידע שנמחק יימחקו במחזור הגיבוי הבא.

בתום תקופת השמירה, המידע יימחק באופן מאובטח או יעבור אנונימיזציה מלאה שאינה מאפשרת שחזור.

Vera מבצעת סקירה שנתית של המידע השמור לוודא עמידה בתקופות השמירה.

12. אבטחת מידע

בקצרה: אנו מיישמים אמצעי אבטחה מתקדמים בהתאם לתקנות אבטחת מידע, 2017, לתיקון 13 ולסטנדרטים בינלאומיים.

  • הצפנה — כל המידע מוצפן הן במנוחה (at rest) והן בהעברה (in transit) באמצעות פרוטוקולי TLS 1.2+ ו-AES-256.
  • בקרת גישה — גישה למידע רפואי מוגבלת לגורמים מורשים בלבד באמצעות הרשאות מדורגות (Role-Based Access Control).
  • תשתית מאובטחת — Firebase / Google Cloud עומדים בתקני SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018.
  • ניטור ולוגים — ניטור רציף של גישה למאגרי מידע, רישום פעולות וזיהוי חריגות.
  • PCI-DSS — תשלומים מעובדים על ידי Stripe בהתאם לתקן PCI-DSS Level 1.
  • מדיניות אבטחת מידע כתובה — Vera מחזיקה מדיניות אבטחת מידע כתובה ומעודכנת כנדרש בתקנות.
  • סקירה שנתית — תכנית אבטחת המידע נסקרת ומעודכנת לפחות אחת לשנה.

למרות מאמצי האבטחה שלנו, אין שיטת אחסון או העברה דיגיטלית שהיא בטוחה ב-100%. אנו מתחייבים לפעול בשקידה סבירה להגנת המידע שלכם ולהודיע על כל אירוע אבטחה משמעותי בהתאם לחוק.

13. זכויות המשתמש

בהתאם לחוק הגנת הפרטיות (כולל תיקון 13) ול-GDPR, עומדות לכם הזכויות הבאות:

זכות עיון

לבקש לראות את כל המידע האישי שאנו מחזיקים עליכם ולקבל עותק ממנו.

זכות תיקון

לבקש לתקן מידע שגוי, לא מעודכן או לא שלם.

זכות מחיקה

"הזכות להישכח" — לבקש מחיקת המידע האישי שלכם, בכפוף לחובות שמירה חוקיות.

זכות ניידות מידע

לקבל את המידע שלכם בפורמט מובנה (JSON/CSV) ולהעבירו לשירות אחר.

זכות הגבלת עיבוד

לבקש הגבלה על עיבוד המידע שלכם בנסיבות מסוימות.

זכות התנגדות

להתנגד לעיבוד מידע המבוסס על אינטרס לגיטימי.

משיכת הסכמה

למשוך הסכמה לעיבוד מידע בכל עת, ללא השפעה על חוקיות עיבוד קודם.

הגשת תלונה

להגיש תלונה לרשות להגנת הפרטיות (PPA) או לרשות פיקוח באיחוד האירופי.

למימוש זכויותיכם — פנו אלינו בדוא"ל contact@shalhevet.tech. נשיב תוך 30 יום. בקשות מורכבות עשויות לדרוש עד 60 יום, ובמקרה כזה נודיע לכם על ההארכה.

לבקשת מחיקת חשבון ונתונים דרך האינטרנט — שלחו דוא"ל לכתובת contact@shalhevet.tech עם נושא "בקשת מחיקת חשבון". ניתן גם למחוק את החשבון ישירות דרך הגדרות האפליקציה.

14. הודעה על הפרת מידע (Data Breach)

  • במקרה של אירוע אבטחה חמור העלול לפגוע בזכויותיכם — נודיע לרשות להגנת הפרטיות (PPA) ללא דיחוי מיותר, בהתאם לתקנות אבטחת מידע.
  • ככל שההפרה עלולה לגרום סיכון גבוה לזכויותיכם — נודיע גם לכם באופן ישיר (דוא"ל, הודעה באפליקציה).
  • לגבי הפרות החוסות תחת ה-GDPR — ההודעה לרשות הפיקוח תישלח תוך 72 שעות (סעיף 33 ל-GDPR). הפרת מידע רפואי תיחשב כמעט תמיד כ"סיכון גבוה" המחייב הודעה לנפגעים.
  • ההודעה תכלול: תיאור ההפרה, סוגי המידע שנחשפו, הצעדים שננקטו למיתון הנזק, ופרטי הקשר למידע נוסף.

15. פרטיות קטינים ופרופילים תלויים

15.1 קטינים

  • השירות מיועד לבני 18 ומעלה בלבד ליצירת חשבון באופן עצמאי.
  • קטינים בגילאי 14-17 רשאים להשתמש בשירות בליווי הסכמת הורה או אפוטרופוס חוקי.
  • אנו לא אוספים ביודעין מידע אישי מקטינים מתחת לגיל 14 ללא הסכמת הורה מאומתת.
  • אם נודע לנו שנאסף מידע של קטין ללא הסכמה מתאימה — המידע יימחק מיד.
  • אם אתם הורה או אפוטרופוס וגיליתם שילדכם השתמש בשירות — אנא צרו קשר ונטפל בכך מיד.

15.2 פרופילים תלויים (בני משפחה)

  • בעלי חשבון רשאים ליצור ולנהל פרופילים רפואיים עבור בני משפחה תלויים (ילדים, הורים קשישים, בני זוג).
  • יצירת פרופיל עבור אדם אחר מחייבת הסכמה מפורשת של אותו אדם, או סמכות חוקית (אפוטרופסות, ייפוי כוח).
  • בעל החשבון נושא באחריות לדיוק המידע ולקבלת ההסכמה הנדרשת.

16. עוגיות (Cookies) וטכנולוגיות מעקב

16.1 סוגי עוגיות

  • עוגיות חיוניות — נדרשות לתפעול בסיסי של האתר (הזדהות, העדפות שפה, מניעת CSRF). לא ניתן לבטלן.
  • עוגיות אנליטיקה — לניתוח דפוסי שימוש ושיפור השירות. מבוססות על Firebase Analytics. אינן מזהות משתמשים באופן אישי.

16.2 במה אנו לא משתמשים

  • אנו לא משתמשים בעוגיות פרסום או רימרקטינג.
  • אנו לא משתמשים בעוגיות מעקב של צדדים שלישיים למטרות שיווק.
  • אנו לא משתמשים ב-Facebook Pixel, Google Ads או כלי פרסום דומים.

16.3 ניהול עוגיות

ניתן לנהל את העדפות העוגיות דרך הגדרות הדפדפן. שימו לב שחסימת עוגיות חיוניות עלולה לפגוע בתפקוד האתר.

16.4 אות Do Not Track

האתר והאפליקציה אינם מגיבים לאותות "Do Not Track" (DNT) מהדפדפן, מאחר ואנו לא מבצעים מעקב פרסומי כלל.

17. קבלת החלטות אוטומטית

  • Vera אינה מבצעת קבלת החלטות אוטומטית (Automated Decision-Making) או פרופיילינג שמשפיעים באופן משמעותי על המשתמשים.
  • בדיקות בטיחות תרופתיות (אינטראקציות בין תרופות, אלרגיות) מבוססות על השוואה אלגוריתמית למאגרי מידע תרופתיים ומוצגות למשתמש כמידע בלבד — אינן מהוות ייעוץ רפואי ואינן מחליפות בדיקה מקצועית.
  • אין שימוש בבינה מלאכותית (AI) לניתוח או עיבוד מידע רפואי של משתמשים.

18. שינויים במדיניות הפרטיות

  • Vera רשאית לעדכן מדיניות זו מעת לעת.
  • על שינויים מהותיים (במיוחד הנוגעים לעיבוד מידע רפואי) — נודיע באפליקציה, באתר או בדוא"ל לפחות 30 יום מראש.
  • שינויים מהותיים באופן עיבוד מידע רפואי ידרשו הסכמה מחודשת — לא ניתן יהיה להמשיך את עיבוד המידע הרפואי ללא אישור פעיל מצדכם.
  • תאריך העדכון האחרון מצוין בראש מסמך זה.

19. שפה ודין חל

  • מדיניות פרטיות זו זמינה בעברית. במקרה שתתורגם לשפות נוספות — הגרסה בעברית היא הגרסה המחייבת.
  • מדיניות זו כפופה לחוקי מדינת ישראל.
  • סמכות השיפוט הבלעדית בכל עניין הנובע ממדיניות זו נתונה לבתי המשפט המוסמכים במחוז תל אביב-יפו.

20. יצירת קשר בנושאי פרטיות

לשאלות, בירורים, בקשות מימוש זכויות או תלונות בנושאי פרטיות:

פניות כלליות

Shalhevet Software Solutions

דוא"ל: contact@shalhevet.tech

טלפון: +972-54-681-1111

אתר: www.shalhevet.tech

ממונה הגנת פרטיות

דוא"ל: contact@shalhevet.tech

ניתן גם להגיש תלונה לרשות להגנת הפרטיות (PPA):

אתר: הרשות להגנת הפרטיות

משתמשים תושבי האיחוד האירופי רשאים לפנות לרשות הפיקוח על הגנת מידע (DPA) במדינת מגוריהם.