6. החברה היא חברה ישראלית, ופעילותה כפופה לחוקי מדינת ישראל, לרבות חוק הגנת הפרטיות, התשמ"א-1981 (להלן: "החוק") ותקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 (להלן: "תקנות").

7. המונחים "מידע אישי", "מידע רגיש" ו"בעל מאגר" יפורשו בהתאם להגדרתם בדין הישראלי. המונח "מחזיק" בחוק הישראלי יקביל למונח "מעבד נתונים" כפי שהוא מקובל בשיח הטכנולוגי הבינלאומי.

8. החברה מבהירה כי ככל שהיא פועלת כ"מחזיקת מידע", היא עושה זאת אך ורק לצורך עיבוד נתונים חולף כחלק בלתי נפרד מאספקת שירותי האוטומציה. הלקוח נותר "בעל המאגר" היחיד והבלעדי, והוא האחראי הבלעדי לקביעת מדיניות שמירת הנתונים, מענה לזכויות נושאי המידע ועמידה בכלל החובות החוקיות.

9. נספח עיבוד נתונים (DPA) אשר נכתב על ידי החברה, מפרט את אופן הטיפול במידע אישי בהתאם לדרישות החוק הישראלי. ה-DPA מהווה חלק בלתי נפרד מההסכמות המשפטיות בין החברה ללקוחותיה העסקיים.

10. אלא אם הוסכם אחרת ובכתב בין הצדדים, רמת אבטחת המידע המוגדרת כברירת מחדל לשירותי החברה היא "רמת אבטחה בסיסית" כהגדרתה בתקנות. במידה שדרישות הלקוח מחייבות סיווג אבטחה גבוה יותר (כגון רמה "בינונית" או "גבוהה"), על הלקוח להודיע על כך לחברה בכתב, לקבל את אישורה ולשאת בעלויות הכרוכות בהתאמות הנדרשות.

11. החברה אוספת מידע אישי וטכני במספר צמתים במהלך ההתקשרות:

11.1 מידע שנמסר באופן פעיל בעת הרשמה לשירותים, יצירת קשר (באמצעות דוא"ל, טפסים מקוונים, ממשקי צ'אט או טלפון), או בעת הגדרת הגדרות משתמש במערכות האוטומציה. מידע זה כולל, בין היתר: שם מלא, כתובת דוא"ל, פרטי התקשרות, נתוני תשלום (ככל שרלוונטי), שמות משתמש וסיסמאות.

11.2 בעת השימוש בתוכנה או ביקור באתר, המערכות אוספות באופן אוטומטי נתונים כגון כתובת IP, סוג המכשיר, סוג הדפדפן, נתוני מיקום כלליים ופרטי פרוטוקול תקשורת.

11.3 נתוני שימוש: החברה עשויה לאסוף מידע סטטיסטי אנונימי (שאינו מזהה את המשתמש באופן אישי) הנוגע לאופן השימוש בתכונות ספציפיות של התוכנה, יעילות האוטומציות וביצועי המערכת, וזאת לצורך שיפור ושדרוג השירותים.

11.4 לצורך אספקת השירותים שנרכשו, החברה עשויה לשתף את המידע הרלוונטי עם שותפים עסקיים או סוכנים המעורבים בתהליך (כגון ספקי שירותי סליקה או ספקי תשתיות).

12. החברה מעבדת את המידע בהסתמך על העילות המשפטיות הבאות:

12.1 ביצוע הסכם: עיבוד המידע נדרש לצורך קיום התחייבויותיה החוזיות של החברה כלפי הלקוח. ללא עיבוד נתונים אלו (כגון פרטי גישה ו-API Tokens), לא ניתן לספק, לנהל או לתפעל את שירותי האוטומציה והדיגיטל.

12.2 אינטרסים לגיטימיים: עיבוד הנתונים נדרש לצורך הגנה על אבטחת המידע ומניעת הונאות, לצרכים אדמיניסטרטיביים, וכן לצורך שיפור חוויית המשתמש, ייעול השירותים והתאמת התכנים באתר ובדיוור המקצועי.

12.3 הסכמה: במידת הצורך, החברה תסתמך על הסכמתו המפורשת של המשתמש לצורך שימוש במידע אישי למטרות שיווק ישיר, משלוח ניוזלטרים או הצעות ערך מותאמות אישית. המשתמש רשאי לבטל את הסכמתו בכל עת.

13. החברה עושה שימוש בטכנולוגיות מתקדמות של בינה מלאכותית (AI) במסגרת שירותיה, לרבות בממשקי הצ'אט באתר, ביישום מסרים מיידיים (כגון WhatsApp) ובתכתובות דואר אלקטרוני.

14. המשתמש מאשר ומסכים כי חלק מהתגובות והתכנים הנמסרים לו בערוצי התקשורת האמורים מיוצרים, מעובדים או נתמכים על ידי כלי בינה מלאכותית. מענה זה עשוי להתבסס על פלטפורמות של ספקי צד שלישי, לרבות אך לא רק: OpenAI, Google Gemini, Anthropic Claude וספקים דומים, בהתאם לנתונים ולשאילתות המוזנים על ידי המשתמש.

15. הלקוח המטמיע שירותי AI באמצעות החברה מתחייב:

15.1 לתת גילוי נאות למשתמשי הקצה על השימוש בבינה מלאכותית (למשל: "שיחה זו מנוהלת על ידי AI").

15.2 להטמיע הצהרות אי-אחריות מתאימות לגבי דיוק התוכן המופק.

15.3 לקבל את כל ההסכמות הנדרשות לפי דין עבור עיבוד המידע על ידי ספקי ה-AI.

16. החברה אינה מאמתת או מתקפת את תוצרי ה-AI ואינה אחראית לדיוקם, אמינותם או חוקיותם של התכנים המופקים על ידי ספקים אלו. השימוש בפיצ'רים אלו כפוף לתנאי השימוש ומדיניות הפרטיות של ספקי ה-AI עצמם.

17. מידע הנמסר על ידי המשתמש בערוצים אלו (לרבות שם, כתובת דוא"ל, מספר טלפון ותוכן הפנייה) עשוי להיות מעובד לצורך טיפול בבקשה, שיפור איכות השירות, והפקת מענה אוטומטי רלוונטי.

18. תוכן המיוצר על ידי בינה מלאכותית אינו מובטח להיות מדויק, עדכני או חסין משגיאות. אין לראות בתכנים המופקים על ידי ה-AI משום ייעוץ משפטי, רפואי, פיננסי או עסקי מקצועי, והשימוש בהם הוא על אחריותו הבלעדית של המשתמש. החברה לא תישא באחריות לכל נזק, ישיר או עקיף, הנובע מהסתמכות על פלט של כלי בינה מלאכותית.

19. המשתמש מתבקש להימנע ממסירת מידע אישי רגיש (כגון נתונים רפואיים, כלכליים או פרטי זיהוי ממשלתיים) במסגרת השימוש בכלי ה-AI, אלא אם הדבר נדרש מפורשות לצורך מתן השירות. פנייה לחברה בערוצים אלו מהווה הסכמה מפורשת לעיבוד המידע כאמור בסעיף זה.

20. במסגרת אספקת השירותים, החברה מעבדת מידע הנובע מאינטראקציות בין הלקוח לבין לקוחותיו, פונים פוטנציאליים, או משתמשים אחרים בשירותי הלקוח (להלן: "משתמשי הקצה").

21. החברה אוספת ומתעדת תמלולי שיחות ונתוני תקשורת המיוצרים בערוצי הדיגיטל השונים (צ'אט באתר, WhatsApp, הודעות מערכת וכיו"ב). מידע זה עשוי לכלול נתונים שנמסרו באופן וולונטרי על ידי משתמשי הקצה, כגון: שם, כתובת דוא"ל, מספר טלפון, פרטים אודות מוצרים או הזמנות, תוכן פניות תמיכה, כתובת IP ונתוני מכשיר ודפדפן.

22. המידע נאסף לצורך אספקת השירותים ללקוח, לרבות הפקת דוחות, ניתוח ביצועי הבוט, ניהול שיחות בזמן אמת ומתן מענה אוטומטי. תמלולי השיחות והנתונים מועברים ללקוח כחלק בלתי נפרד מהשירות. החברה רשאית לעשות שימוש במידע אנונימי ומצטבר לצורך שיפור ביצועי המערכות והאוטומציות שלה.

23. החברה עושה שימוש בחלק מהמידע (כגון כתובות IP) לצורך מנגנונים אוטומטיים של קבלת החלטות, שמטרתם זיהוי וחסימה של תכני ספאם, ניסיונות הונאה או שימוש לרעה במערכת. פעולות אלו מתבצעות לתקופות קצובות ונועדו להגן על תקינות השירות.

24. חובות גילוי וציות:

24.1 בהתאם לדין הישראלי, הלקוח העסקי העושה שימוש בשירותי החברה נחשב כ"בעל מאגר המידע". הלקוח נושא באחריות הבלעדית לרישום המאגר (ככל שנדרש), למתן הודעות פרטיות כדין למשתמשי הקצה ולרבות קבלת הסכמתם המפורשת לעיבוד המידע בהתאם לתיקון 13 לחוק הגנת הפרטיות.

24.2 החברה פועלת כ"מחזיקת ומעבדת מידע" בלבד ואינה נושאת באחריות לעמידת הלקוח בחובותיו החוקיות כלפי משתמשי הקצה שלו. הלקוח יפצה וישפה את החברה בגין כל טענה או תביעה שתופנה כלפיה מצד משתמש קצה עקב מחדליו של הלקוח במילוי חובות אלו.

25. החברה עשויה למסור מידע של משתמשי קצה לצדדים שלישיים במידה והדבר נדרש לצורך ציות לדרישות חוקיות, לרבות צווי בית משפט, הליכי אכיפת חוק או דרישות של רשויות ביטחון לאומי.

26. החברה פועלת בסביבה טכנולוגית גלובלית. המידע האישי המעובד על ידי החברה עשוי להישמר, להיות מועבר או להיות נגיש בשרתים הממוקמים מחוץ למדינת ישראל, לרבות בארה"ב, באיחוד האירופי ובמדינות אחרות בהן פועלת החברה או ספקי התשתית שלה.

27. החברה שואפת לאחסן את המידע על גבי תשתיות הממוקמות בטריטוריות המקנות רמת הגנה נאותה בהתאם לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שחשובים מחוץ לגבולות המדינה), התשס"א-2001, ובמידת האפשר במדינות המוכרות על ידי האיחוד האירופי כבעלות רמת הגנה הולמת.

28. המשתמש נותן בזאת את הסכמתו המפורשת להעברת המידע אל מחוץ לגבולות ישראל, לצורך אספקת השירותים ומימוש המטרות המפורטות במדיניות זו.

29. החברה מצהירה כי אינה מוכרת, משכירה או סוחרת במידע האישי של משתמשיה לצדדים שלישיים למטרות רווח.

30. המידע משמש את החברה אך ורק לצורך תפעול, שיפור והתאמה אישית של השירותים; מענה לפניות תמיכה; ביצוע מחקרי שוק פנימיים וקידום מוצרים רלוונטיים.

31. לצורך מתן השירותים, החברה מתקשרת עם ספקי צד שלישי נבחרים המעבדים מידע עבורה. ספקים אלו מחויבים חוזית להשתמש במידע אך ורק למטרה שלשמה נמסר להם.

31.1 תשתיות ענן ואחסון: Amazon Web Services (AWS), Google Cloud Platform (GCP), Hetzner, Cloudflare וספקי שרתים ייעודיים.

31.2 ממשקי תקשורת ו-APIs: Meta (WhatsApp, Messenger, Instagram), Twilio, Vonage, MessageBird וספקים דומים לצורך ניהול ערוצי הודעות.

31.3 בינה מלאכותית (Generative AI): OpenAI, Anthropic ו-Google Gemini לצורך עיבוד שפה טבעית ואוטומציות חכמות.

31.4 פלטפורמות אוטומציה וזרימת עבודה: Zapier, Make (Integromat) או n8n.

31.5 שירותי סליקה ותשלומים: PayPal, ישראכארט, Finbot וספקי סליקה מורשים אחרים. המידע המועבר לספקים אלו מוגבל לנתונים ההכרחיים לביצוע העסקה ובירור תביעות בלבד.

31.6 אנליטיקה: Google Analytics לצורך ניתוח ביצועי האתר והשירות.

32. החברה תמסור מידע לצדדים שלישיים אם תאמין בתום לב כי הדבר נדרש לצורך: (א) ציות לצו שיפוטי או הליך משפטי; (ב) הגנה על זכויותיה, רכושה או בטיחותה של החברה או של צדדים שלישיים; (ג) חקירת הונאה או מניעת אירועי אבטחת מידע.

33. כל משתמש המורשה על ידי הלקוח לגשת לחשבונו יוכל לצפות במידע המאוחסן בו. האחריות על ניהול הרשאות הגישה בתוך הארגון חלה על הלקוח בלבד.

34. החברה עושה שימוש בטכנולוגיות מעקב, לרבות קבצי "עוגיות" (Cookies), במטרה לשפר את חוויית השימוש בתוכנה ובאתר, להתאימם אישית לצרכי המשתמש ולהבטיח את תקינות המערכות. טכנולוגיות אלו נחלקות לשתי קטגוריות מרכזיות.

34.1 עוגיות חיוניות: קבצים אלו הכרחיים לתפעול השוטף של השירותים ואינם ניתנים לנטרול. הקבצים כוללים עוגיות אימות המאפשרות כניסה מאובטחת לחשבון המשתמש ושמירה על רציפות ה-Session, עוגיות אבטחה המיועדות למניעת הונאות ושימוש לרעה, ועוגיות פונקציונליות השומרות על העדפות שפה וממשק. ממשקי הצ'אט והאוטומציה המוטמעים באתרים עושים שימוש בעוגיות זמניות לצורך ניהול מצב השיחה. עוגיות אלו נועדו אך ורק כדי להבטיח רציפות של התקשורת מול המשתמש במעבר בין דפים, והן אינן משמשות למטרות מעקב פרסומי או שיווקי מחוץ לחלון השירות.

34.2 עוגיות שאינן חיוניות: קבצים אלו מסייעים לחברה להבין את דפוסי השימוש של המשתמשים ולשפר את שירותיה, אך אינם הכרחיים לעצם פעולת המערכת. אלו כוללים:

34.2.1 שימוש ב-Google Analytics לצורך ניתוח תעבורה והתנהגות משתמשים.

34.2.2 שיווק ופרסום: שימוש ב-Meta Pixel או Google Ads לצורך מדידת אפקטיביות של קמפיינים והצגת תכנים רלוונטיים (Retargeting).

35. המשתמש מודע לכך שכלים אלו מופעלים על ידי צדדים שלישיים הפועלים לפי מדיניות פרטיות עצמאית, וביכולתו לנהל או לחסום עוגיות אלו דרך הגדרות הדפדפן.

36. החברה רואה באבטחת המידע נדבך יסודי בפעילותה ומיישמת אמצעי הגנה טכנולוגיים וארגוניים מתקדמים למניעת אובדן, השמדה, שימוש לרעה או גישה בלתי מורשית למידע.

37. החברה פועלת בהתאם לסטנדרטים המקובלים בתעשייה להגנה על מידע אישי בעת העברתו ובזמן אחסונו. הגישה לפאנל הניהול של התוכנה והשימוש בשירותים באתרים מאובטחים (HTTPS) מוצפנים באופן אוטומטי באמצעות פרוטוקולי SSL/TLS.

38. החברה מחייבת את כל אנשי הצוות המורשים לגשת למידע לצורך מתן השירות לעמוד בחובת סודיות קפדנית. גורמים אלו עוברים הדרכות תקופתיות בנושאי דיני הגנת הפרטיות ואבטחת מידע.

39. המשתמש נושא באחריות בלעדית ומלאה לשמירה על סודיות פרטי הגישה לחשבונו (שם משתמש וסיסמה). כל פעילות המתבצעת תחת חשבונו של המשתמש תיחשב כפעילותו שלו, והוא מתחייב להודיע לחברה באופן מיידי על כל חשש לשימוש בלתי מורשה או פריצה לחשבון.

40. הלקוח נושא באחריות בלעדית לוודא כי איסוף המידע והזנתו למערכות החברה (לרבות פרטי צדדים שלישיים, לקוחות קצה או עובדים) מתבצעים כדין ועל בסיס הסכמה מפורשת ומדעת של נושאי המידע. חל איסור על המשתמש לעשות שימוש בשירותי החברה לצורך איסוף או עיבוד של מידע רגיש (כגון פרטי כרטיסי אשראי מלאים או מידע רפואי חסוי) ללא קבלת אישור מפורש ובכתב מהחברה ובכפוף להטמעת אמצעי הגנה מתאימים.

41. אם הוסכם אחרת במפורש ובכתב בין החברה ללקוח, כלל פעולות עיבוד הנתונים ושירותי האחסון במסגרת פעילות החברה מתבצעים תחת "רמת אבטחה בסיסית", כהגדרתה בתקנות.

42. במידה ואופי המידע המעובד על ידי הלקוח או דרישות הרגולציה החלות עליו מחייבים סיווג אבטחה גבוה יותר (כגון רמה "בינונית" או "גבוהה"), על הלקוח מוטלת האחריות הבלעדית להודיע על כך לחברה מראש ובכתב.

43. יישום של רמת אבטחה מוגברת מותנה בבחינה טכנית של החברה, קבלת אישור רשמי ובחתימה על נספח תנאים מסחריים וטכניים ייעודי. הלקוח מודע לכך שדרישות אלו עשויות להיות כרוכות בעלויות נוספות, בהטמעת כלים טכנולוגיים משלימים ובעדכון ארכיטקטורת האוטומציה.

44. החברה אינה בוחנת את תוכן המידע המוזן למערכותיה על ידי הלקוח ואינה קובעת את רמת הרגישות שלו. לפיכך, הלקוח נושא באחריות המלאה לוודא כי רמת האבטחה הפעילה במועד מתן השירות תואמת את סוג המידע המועבר על ידו.

45. בכפוף לסוג השירות ולתיאום מראש, החברה עשויה לאפשר ללקוח להטמיע הגדרות פרטיות מחמירות כגון הגבלת גישה למורשים בלבד, הגדרת מדיניות מחיקת נתונים או אנונימיזציה של פרטים מזהים, וזאת בתיאום מול צוות התמיכה הטכנית בכתובת: obot.system@gmail.com.

46. השירותים והתוכנה של החברה מיועדים לשימוש על ידי משתמשים בני 18 ומעלה, או כאלו שהם בעלי כשירות משפטית מלאה לפי חוקי מקום מושבם.

47. החברה אינה אוספת ביודעין מידע אישי מקטינים. במידה והלקוח עושה שימוש בשירותים לצורך איסוף מידע מקטינים (למשל במסגרת בוטים המיועדים לנוער), עליו לציין זאת מפורשות בפני החברה, לקבל את אישורה ולדאוג לכלל ההסכמות ההוריות הנדרשות על פי דין.

48. מדיניות פרטיות זו חלה אך ורק על פעילותה של החברה ועל המידע המעובד במערכותיה. המדיניות אינה מכסה את נהלי הפרטיות של ספקים אחרים, מפרסמים, אתרי אינטרנט חיצוניים או חברות שאינן בבעלותה או בשליטתה הישירה של החברה.

49. המשתמש מודע לכך שקישורים חיצוניים המופיעים באתר או בתוכנה, וכן שירותים המקושרים באמצעות אינטגרציות (APIs), כפופים למדיניות הפרטיות של אותם גורמים. החברה לא תישא בכל אחריות לנזק הנובע מהתנהלותם של צדדים שלישיים אלו.

50. החברה רשאית להעביר את המידע שברשותה לצד שלישי במקרה של מיזוג, רכישה, או ארגון מחדש של פעילותה, ובלבד שהגוף הנעבר יקבל על עצמו את הוראות מדיניות פרטיות זו כלפי המשתמשים.

51. פלטפורמת החברה ותהליכי העבודה שלה תוכננו בהתאם לסטנדרטים המקובלים בשוק הישראלי. החברה אינה מתחייבת כי השירותים עומדים בדרישות רגולטוריות ספציפיות של תחומי שיפוט מחוץ לישראל, לרבות אך לא רק: GDPR (אירופה), CCPA (קליפורניה), LGPD (ברזיל), או רגולציות מגזריות כגון HIPAA (בריאות) או FERPA (חינוך).

52. באחריות הלקוח בלבד לוודא כי השימוש בשירותי החברה תואם את הדרישות המשפטיות החלות עליו או על משתמשי הקצה שלו במדינות שאינן ישראל. החברה לא תישא באחריות בגין אי-התאמה רגולטורית הנובעת משימוש בשירותיה מחוץ לישראל.

53. החברה מכירה בזכויותיהם של נושאי המידע לעיון, תיקון או מחיקת מידע אישי. משתמש המעוניין לממש זכויות אלו לגבי המידע האישי שלו המוחזק על ידי החברה, יגיש בקשה רשמית ובכתב באמצעות פרטי ההתקשרות המופיעים במדיניות זו. החברה תבחן את הבקשה ותפעל למימושה בהתאם להוראות הדין ובכפוף לאימות זהות המשתמש.

54. מאחר שהחברה פועלת כמעבדת מידע עבור לקוחותיה, משתמשי קצה המעוניינים לממש את זכות העיון או המחיקה שלהם מתבקשים לפנות ישירות לבית העסק (הלקוח) מולו התנהלו. פנייה שתגיע לחברה ממשתמש קצה תועבר לטיפולו של הלקוח הרלוונטי.

55. יובהר כי מחיקה או הגבלה של השימוש במידע אישי עלולה לפגוע ביכולת המערכת לספק את השירותים באופן תקין או מלא.