Sagur
חזרה לדף הבית

מדיניות פרטיות

תאריך עדכון אחרון: [תאריך]

1. מבוא והיקף המסמך

מסמך זה (להלן: "מדיניות הפרטיות") מסדיר את האופן שבו AutoGrow AI (להלן: "החברה", "אנו" או "אנחנו"), המפעילה את שירות פקידת הקבלה החכמה Sagur (להלן: "השירות" או "הפלטפורמה"), אוספת, מעבדת, שומרת ומעבירה מידע אישי הקשור למשתמשי השירות, הזמין באמצעות הדומיין sagur.app.

השימוש בשירות, לרבות התקשרות עם סוכן ה-AI באמצעות וואטסאפ, מהווה הסכמה מודעת, מפורשת ומדעת מצדך (להלן: "המשתמש" או "אתה") לכל התנאים המפורטים במסמך זה. מדיניות פרטיות זו נערכה בהתאם להוראות חוק הגנת הפרטיות, התשמ"א-1981 ותקנותיו, הוראות תקנות הגנת המידע הכללית של האיחוד האירופי (GDPR) ככל שהן חלות, וכן בהתאם לדרישות הסף של תוכנית Meta WhatsApp Business API.

2. מידע שאנו אוספים

במסגרת מתן השירות, החברה אוספת ומעבדת את סוגי המידע האישי הבאים:

2.1 מספרי טלפון של וואטסאפ

אנו אוספים ושומרים את מספר הטלפון הסלולרי המשויך לחשבון הוואטסאפ של המשתמש. מזהה זה חיוני לצורך ניתוב הודעות, אישור הזמנות תורים ושמירת תיעוד מסודר של אינטראקציות עם הלקוחות במערכת.

2.2 שמות פרופיל בוואטסאפ

אנו אוספים את שם התצוגה המופיע בפרופיל הוואטסאפ של המשתמש, כפי שמועבר אלינו דרך ממשק ה-WhatsApp Business API. מידע זה משמש להתאמה אישית של תגובות ה-AI ולשיוך נכון של תורים בלוח הניהול של בעל העסק.

2.3 תמלילי שיחות ותוכן הודעות

התוכן המלא של ההודעות הטקסטואליות המוחלפות בין המשתמש לבין סוכן ה-AI של Sagur נאסף, מועבר לעיבוד אצל שותף ה-AI שלנו (Anthropic) ונשמר במערכותינו לצרכים תפעוליים, לצורכי בקרת איכות וטיוב השירות. תוכן זה כולל, בין היתר, בקשות לקביעת תורים, בקשות לשינוי מועד, ביטולים והתכתבויות כלליות הקשורות לשירות.

2.4 הודעות קוליות (אודיו)

ככל שהמשתמש שולח הודעות קוליות, הקלטות או תוכן מולטימדיה אחר באמצעות וואטסאפ, קבצים אלו נאספים, מעובדים לצורך תמלול אוטומטי כאשר ניתן מבחינה טכנית, ונשמרים באופן מאובטח בתשתית הענן שלנו. נתוני אודיו נחשבים מידע אישי רגיש וכפופים לאמצעי האבטחה המוגברים המפורטים בסעיף 7 להלן.

2.5 פרטי תורים

אנו אוספים ושומרים את כלל הנתונים הקשורים לתורים שנקבעים באמצעות השירות, לרבות תאריך התור ושעתו, סוג השירות המבוקש, איש הצוות הנבחר, אישורים, שינויים, ביטולים והיסטוריית אי-הגעות. מידע זה מהווה מידע אישי וכן מידע עסקי תפעולי החיוני לפעולתו התקינה של השירות.

2.6 נתונים טכניים ויומני מערכת

אנו אוספים באופן אוטומטי יומני שרתים, כתובות IP (אנונימיות במקומות הנדרשים על-פי דין), חותמות זמן, סוגי מכשירים ודיווחי שגיאות. מידע טכני זה משמש אך ורק לצרכים של יציבות הפלטפורמה, מניעת הונאות והתמודדות עם אירועי אבטחת מידע.

3. מטרת איסוף המידע והשימוש בו

כל המידע האישי הנאסף על ידינו מעובד אך ורק למטרות מוגדרות, מפורשות ולגיטימיות, כמפורט להלן:

הפעלת סוכן ה-AI לקביעת תורים

הבנת כוונת המשתמש, פירוש בקשות בשפה טבעית בעברית ובשפות נתמכות נוספות, התאמה של זמינות מול יומן העסק וביצוע אוטונומי של פעולות תזמון.

הבנת כוונת המשתמש

שימוש במודלי שפה גדולים (LLM) לצורך ניתוח הקשר שיחתי, פתרון התייחסויות זמן עמומות, טיפול בבקשות לשינוי תור וניהול דיאלוג רב-תפניות הדרוש להשלמת הזמנה.

מימוש קביעת התור

יצירה, שינוי, אישור וביטול של רישומי תורים; סנכרון זמינות בין אנשי הצוות; אכיפת כללי תזמון (למשל, זמן הזמנה מינימלי); ושמירה על תיעוד מבוקר של כל פעולות התזמון.

תקשורת אוטומטית עם הלקוח

שליחת אישורי תורים, תזכורות והודעות מעקב באמצעות וואטסאפ, לרבות התראות רגישות-זמן שמטרתן להפחית את שיעור אי-ההגעות (No-Show).

שיפור הפלטפורמה ובקרת איכות

ניתוח אנונימי של דפוסי שיחה לצורך שיפור ביצועי מודל ה-AI, צמצום שגיאות וטיוב איכות השירות הכוללת.

החברה לא תעשה שימוש במידע האישי לצרכים אחרים החורגים מהמטרות המפורטות לעיל, ולא תעבד את המידע למטרות שאינן עולות בקנה אחד עם מטרות אלו, ללא קבלת הסכמה מפורשת ומחודשת מהמשתמש.

4. שיתוף מידע עם צדדים שלישיים (מעבדי משנה)

לצורך אספקת השירות, החברה נעזרת במעבדי משנה ובספקי שירות מהשורה הראשונה (להלן: "שותפים"). כלל ההתקשרויות עם שותפים אלו כפופות להסכמי עיבוד מידע (DPA) הכוללים התחייבויות לסודיות, אבטחת מידע והגנת פרטיות התואמות את הוראות מדיניות זו:

AIAnthropic / Claude AI

תמלילי השיחות ותוכן ההודעות מועברים באופן מאובטח לחברת Anthropic, PBC (להלן: "Anthropic") לצורך עיבוד שפה טבעית והפקת תגובות AI. Anthropic פועלת כמעבדת משנה תחת הסכם עיבוד מידע ייעודי ואינה משתמשת בנתונים המועברים אליה דרך ה-API לצורך אימון מודלי היסוד שלה. למידע נוסף ניתן לעיין בתנאי השימוש המסחריים של Anthropic.

DBספק תשתית ענן — Supabase

כל המידע המובנה — לרבות מספרי טלפון, שמות פרופיל, רישומי תורים ונתוני חשבון — נשמר במאגרי מידע המאוחסנים אצל Supabase, Inc. (להלן: "Supabase"), ספק תשתית ענן מוסמך SOC 2 Type II. Supabase מספקת הצפנה של מידע במנוחה (At-Rest) ומנגנוני בקרת גישה מבוססי תפקידים (RBAC). שליטה ניהולית מלאה על מופעי המערכת מצויה בידי החברה בלבד.

WAMeta Platforms, Inc. (WhatsApp API)

השירות משתלב עם ממשק WhatsApp Business API של חברת Meta Platforms, Inc. (להלן: "Meta"). כמשתתפת בתוכנית פתרונות העסקים של WhatsApp, החברה כפופה לתנאי השימוש ולתנאי עיבוד המידע של Meta. Meta פועלת כבקרת מידע עצמאית ביחס לנתוני פלטפורמה מסוימים וכמעבדת מידע ביחס למשלוח הודעות. אינטראקציות באמצעות וואטסאפ כפופות גם למדיניות הפרטיות של Meta.

בסיס משפטי: הבסיס המשפטי להעסקת מעבדי משנה הוא סעיף 28 ל-GDPR (מינוי מעבד), וככל שרלוונטי — האינטרס הלגיטימי הגובר של החברה בפריסת תשתיות AI ותשתיות ענן מתקדמות לצורך מתן שירות אמין ומאובטח (סעיף 6(1)(f) ל-GDPR).

5. אי-מכירת מידע לצדדים שלישיים

התחייבות מוחלטת לאי-מסחור במידע אישי

החברה אינה מוכרת — ולא תמכור לעולם — לא תשכיר, לא תחכיר, לא תעניק רישיון שימוש, לא תסחר ולא תפיק תועלת מסחרית בכל דרך אחרת ממידע אישי של משתמשים, ממספרי טלפון, מהיסטוריות שיחה או ממאגרי מידע נגזרים, לטובת צדדים שלישיים, סוחרי מידע, רשתות פרסום או ספקי אנליטיקה.

איסור זה משתרע גם על: (i) קבלת תמורה כספית ישירה בעד מידע; (ii) הסדרי חליפין הכוללים העברת מידע; (iii) מתן רישיון על מאגרים אגרגטיביים, מפוסבדים או מצוטטים-זהות אשר אפשרות לזיהוי חוזר שלהם קיימת באופן סביר; ו-(iv) כל הסדר אחר שבמסגרתו צד שלישי מקבל גישה למידע משתמש מעבר למידת ההכרח הדרושה לאספקת השירות.

המודל העסקי של החברה מבוסס מנויים בלבד. אנו מפיקים הכנסות אך ורק מדמי מנוי המשולמים על ידי בעלי עסקים העושים שימוש בפלטפורמה. אין לנו כל תמריץ עסקי, מנגנון חוזי או צינור טכני המאפשרים את מסחורו של מידע אישי של משתמשי קצה.

6. זכויות המשתמש ומחיקת מידע

6.1 תקופות שמירה

תמלילי שיחות ומידע אישי נשמרים למשך תקופת המנוי הפעיל של בעל העסק, בתוספת תקופת ארכוב מתגלגלת של 12 חודשים, אלא אם חל דין מחייב הקובע תקופה קצרה יותר או שהתקבלה בקשה תקפה למחיקה. מידע סטטיסטי אנונימי ובלתי מזהה עשוי להישמר ללא הגבלת זמן לצרכי אנליטיקה תפעולית.

6.2 זכויותיך כנשוא מידע

עומדות לך הזכויות הסטטוטוריות הבאות, אותן ניתן לממש ללא עלות:

זכות עיון במידע (סעיף 15 ל-GDPR)
זכות לתיקון מידע (סעיף 16)
הזכות להישכח / מחיקת מידע (סעיף 17)
זכות להגבלת עיבוד (סעיף 18)
זכות לניידות נתונים (סעיף 20)
זכות התנגדות (סעיף 21)

6.3 מימוש "הזכות להישכח" ומחיקת מידע

על מנת לבקש מחיקה מלאה של המידע האישי, היסטוריית השיחות וכל רישומי התורים המשויכים אליך מהמערכות שלנו, יש לפעול על-פי הנוהל הבא:

  1. יש לשלוח בקשת מחיקה מהמספר הרשום בשירות לכתובת legal@sagur.app, עם הכותרת: "בקשת מחיקה — [מספר הטלפון שלך]".
  2. יש לצרף הוכחת בעלות על המספר (לדוגמה, קוד אישור שיישלח אליך) על מנת למנוע בקשות מחיקה כוזבות.
  3. אנו נאשר את קבלת הבקשה תוך 72 שעות ונשלים את המחיקה תוך 30 ימים, או נודיע על כל מניעה משפטית או טכנית למחיקה מיידית.
  4. עם השלמת ההליך, תקבל אישור בכתב על השלמת המחיקה.

7. אבטחת מידע

החברה מיישמת ארכיטקטורת אבטחה רב-שכבתית (Defense-in-Depth) התואמת לסטנדרטים מקובלים בתעשייה, לרבות ISO/IEC 27001, SOC 2 ו-OWASP Top 10. בין האמצעים הטכניים והארגוניים שבהם אנו משתמשים:

הצפנה בתעבורה (TLS 1.3)

כל המידע המועבר בין המשתמשים, ממשק ה-WhatsApp של Meta, השרתים שלנו ומעבדי המשנה — מוגן באמצעות הצפנת TLS 1.3 עם Forward Secrecy, המונעת יירוט בלתי מורשה והתקפות "אדם בתווך" (MITM).

שמירה על הצפנה מקצה-לקצה

ככל שהדבר נתמך מבחינה טכנית בפלטפורמת WhatsApp, ההצפנה מקצה-לקצה בין המשתמש לבין תשתית WhatsApp נשמרת. החברה מפענחת תוכן הודעות אך ורק לאחר העברה מאובטחת באמצעות תשתית ה-Webhook המאומתת של Meta.

אבטחה ברמת השורה (Row-Level Security)

הגישה למאגר המידע מוסדרת באמצעות מדיניות RLS, המבטיחה שבעל עסק יוכל לגשת אך ורק למידע השייך לעסק שלו, ושמידע של משתמשי קצה לא ייחשף בין דיירים שונים במערכת.

ניהול סודות ומפתחות

מפתחות API, אסימוני אימות ופרטי גישה לשירותים נשמרים בכספות מוצפנות (כדוגמת Supabase Vault) ולעולם אינם משובצים בקוד המקור ואינם נחשפים ליישומי צד-לקוח.

בקרת גישה ותיעוד פעולות

כל גישה ניהולית למערכות הייצור מותנית באימות רב-שלבי (MFA). יומני הגישה נשמרים לצורכי ביקורת אבטחה ותגובה לאירועים.

בדיקות חדירה תקופתיות

החברה מבצעת הערכות אבטחה עצמאיות ובדיקות פגיעות במרווחי זמן קבועים. פגיעויות קריטיות מתוקנות בתוך 72 שעות ממועד גילוין.

הסתייגות: על אף שהחברה מיישמת אמצעי אבטחה מתקדמים, אין מערכת כלשהי יכולה להבטיח אבטחה מוחלטת. במקרה של אירוע אבטחת מידע העלול ליצור סיכון לזכויות וחירויות של יחידים, נדווח לרשות הפיקוח הרלוונטית תוך 72 שעות, ובמידת הצורך נעדכן גם את המשתמשים המושפעים ללא דיחוי בלתי סביר.

8. עוגיות (Cookies) וטכנולוגיות מעקב

יישום ה-Web של Sagur עושה שימוש בעוגיות חיוניות בלבד ובאסימוני אחסון מקומי, אך ורק לצורכי אימות, ניהול הפעלות (Sessions) ושמירת מצב ממשק. אנו אינם מטמיעים עוגיות פרסום של צדדים שלישיים, פיקסלים של מעקב חוצה-אתרים או יישומונים של רשתות חברתיות המשתפים מידע עם פלטפורמות חיצוניות. ניתן להגדיר את הדפדפן לדחות עוגיות, אם כי הדבר עלול לפגוע בפונקציונליות מסוימת.

9. פרטיות קטינים

השירות אינו מיועד ליחידים מתחת לגיל 16. אנו אינם אוספים במכוון מידע אישי מקטינים. הורה או אפוטרופוס המאמין שילדו מסר לנו מידע אישי, מתבקש לפנות אלינו באופן מיידי לכתובת legal@sagur.app, ואנו ננקוט בצעדים למחיקת המידע.

10. שינויים במדיניות זו

החברה שומרת לעצמה את הזכות לעדכן מדיניות זו מעת לעת על מנת לשקף שינויים בדרישות החוק, בנוהלי עיבוד המידע שלנו או בהתפתחויות טכנולוגיות. שינויים מהותיים יובאו לידיעת בעלי עסקים רשומים באמצעות הודעת דוא"ל וכן באמצעות הודעה בולטת באתר sagur.app לפחות 30 ימים טרם כניסתם לתוקף. המשך שימוש בשירות לאחר עדכון המדיניות מהווה הסכמה לתנאיה המעודכנים.

11. יצירת קשר

לכל שאלה בנושאי פרטיות, בקשה למימוש זכויות נשוא מידע או תלונה, ניתן לפנות לממונה הגנת הפרטיות שלנו:

legal@sagur.app

AutoGrow AI · ישראל