SST – מדיניות פרטיות

⚖️ תיקון 13 לחוק הגנת הפרטיות: מדיניות זו מנוסחת בהתאם לחוק הגנת הפרטיות, תשמ"א-1981, כפי שתוקן בתיקון 13 (תשפ"ד-2024) שנכנס לתוקף ב-14 באוגוסט 2025. המדיניות נועדה להבטיח שקיפות מלאה, הסכמה מדעת ומימוש זכויותיך.

1. כללי

1.1 Smart Salon Tech (להלן: "אנחנו" או "החברה") — המופעלת על ידי שלומי שם-טוב, ע.מ 301612453, מכתובת כצנלסון 97, גבעתיים — מפעילה את אתר sst.co.il ומערכת ניהול המספרות. מדיניות זו מפרטת אילו נתונים אישיים אנו אוספים, למה, כיצד אנו משתמשים בהם, למי הם מועברים, וכיצד תוכלו לממש את זכויותיכם.

1.2 מדיניות זו חלה על כל משתמשי האתר והמערכת — מנהלים (בעלי עסקים) ולקוחות (מזמיני תורים) כאחד.

1.3 השימוש באתר ו/או במערכת מהווה הסכמה למדיניות זו. אם אינך מסכים — אל תשתמש בשירות.

2. אילו נתונים אנו אוספים

2.1 מידע שהמנהל (בעל העסק) מוסר

פרטי הרשמה: שם מלא, שם העסק, כתובת אימייל, מספר טלפון, סיסמה (מוצפנת)
כתובת URL: כתובת ייחודית שנבחרה לעמוד ההזמנות של העסק
פרטי עסק: שירותים, מחירים, שעות פעילות, פרטי עובדים
פרטי תשלום: כאשר תופעל סליקה — תעובד דרך ספק סליקה מוסמך PCI-DSS, ופרטי כרטיס לעולם לא יישמרו אצלנו

מסירת פרטי ההרשמה היא חובה לשם הפעלת השירות. מסירת שאר הפרטים היא רשות ומשפרת את חוויית השימוש.

2.2 מידע שהלקוח (מזמין תור) מוסר

פרטי הזמנה: שם מלא, מספר טלפון
פרטים אופציונליים: כתובת אימייל, תאריך לידה (לצורך הטבות)

מסירת שם וטלפון היא חובה לצורך קביעת תור. שאר הפרטים הם רשות.

2.3 מידע שנוצר אוטומטית

נתוני תורים: תאריכים, שעות, שירותים, סטטוסים (מאושר/בוטל)
נתוני נאמנות: נקודות צבורות, קופונים, כרטיסיית נאמנות
נתוני דיוור: הודעות שנשלחו, תגובות, הסרות
נתוני שימוש: כתובת IP, סוג דפדפן, זמני גישה, עמודים שנצפו
עוגיות: ראה מדיניות עוגיות

3. למה אנו אוספים את המידע

מטרה	בסיס חוקי	סוגי מידע
אספקת השירות	ביצוע חוזה	פרטי הרשמה, נתוני תורים, תשלום
תזכורות תורים (SMS/WhatsApp)	ביצוע חוזה	שם, טלפון, פרטי תור
תמיכה טכנית	ביצוע חוזה	פרטי חשבון, לוגים
שיפור השירות	אינטרס לגיטימי	נתוני שימוש אנונימיים
דיוור שיווקי למנהלים	הסכמה (opt-in)	אימייל
דיוור שיווקי ללקוחות (בשם המנהל)	הסכמת הלקוח (opt-in)	טלפון, אימייל
חיוב ותשלום	ביצוע חוזה	פרטי תשלום (דרך ספק סליקה מוסמך PCI-DSS)
עמידה בחוק	חובה חוקית	כל מידע הנדרש על פי דין

אנו לא נשתמש במידע למטרה אחרת מזו שלשמה נאסף, אלא אם ניתנה הסכמה נפרדת ומפורשת.

4. בעל שליטה ומעבד מידע

⚖️ הבחנה חשובה לפי תיקון 13: בהתאם לחוק, קיימת הבחנה בין "בעל מאגר מידע" (מי שקובע את מטרת עיבוד המידע) לבין "מחזיק" (מי שמעבד את המידע בפועל). חשוב להבין מי אחראי למה.

13.1 לגבי מידע של לקוחות (מזמיני תורים) — המנהל (בעל העסק) הוא בעל המאגר והוא הקובע את מטרות איסוף המידע. החברה משמשת כמעבד מידע (מחזיק) המעבד את המידע בשם המנהל ובהתאם להוראותיו.

10.2 לגבי מידע של מנהלים (בעלי עסקים) — החברה היא בעלת המאגר ומעבדת את המידע לצורך אספקת השירות וניהול ההתקשרות.

4.3 אחריות המנהל: המנהל אחראי לוודא שהוא אוסף מידע מלקוחותיו כדין, לרבות: קבלת הסכמה מפורשת לדיוור שיווקי (opt-in); מתן הודעת פרטיות ללקוחותיו; ומענה לבקשות עיון, תיקון ומחיקה של לקוחותיו.

4.4 החברה מתחייבת לעבד את מידע הלקוחות אך ורק בהתאם להוראות המנהל ולצורך אספקת השירות, ולא תשתמש בו למטרה אחרת.

5. נתוני תוכנית נאמנות (נקודות, חותמות, קופונים)

14.1 המערכת שומרת נתוני נאמנות של לקוחות, הכוללים: נקודות שנצברו; חותמות שנאספו; קופונים שהונפקו ומומשו; הטבות במסגרת "חבר מביא חבר"; והיסטוריית מימושים.

11.2 נתונים אלה שייכים למנהל (בעל העסק) ומנוהלים על ידו. החברה אינה עושה שימוש בנתוני הנאמנות מלבד לצורך אספקת השירות.

8.3 בעת ביטול חשבון, נתוני הנאמנות ניתנים לייצוא כחלק מייצוא הנתונים הכללי (ראה סעיף 8 — זכויות נושא מידע).

6. נתוני עובדים

6.1 המנהל רשאי להוסיף למערכת פרטי עובדים (שם, שירותים, שעות עבודה). המנהל אחראי לקבל הסכמת עובדיו להכללת פרטיהם במערכת ולידע אותם על השימוש בנתונים.

6.2 נתוני עובדים מוגנים באותה רמת אבטחה כמו שאר הנתונים במערכת ולא ייחשפו ללקוחות מעבר לשם ושירותים (כפי שמופיע בעמוד ההזמנות).

7. שיתוף מידע עם צדדים שלישיים

13.1 אנו משתמשים בספקים חיצוניים לצורך אספקת השירות בלבד:

ספק	מטרה	מידע שמועבר	מיקום שרתים
Railway (PostgreSQL)	אחסון נתונים, hosting	נתוני חשבון, תורים, סיסמאות מוצפנות	ארה"ב / אירופה
Twilio	שליחת SMS / WhatsApp	טלפון, תוכן הודעה	ארה"ב
Google Analytics	ניתוח שימוש (לאחר הסכמה לעוגיות)	נתוני גלישה אנונימיים, IP מקוצר	ארה"ב
Google OAuth	התחברות חברתית	שם, אימייל, תמונת פרופיל	ארה"ב
SMTP (שירות אימייל)	שליחת מיילי שירות (OTP, אישורי תור)	אימייל, תוכן הודעה	תלוי ספק

10.2 אנו לא מוכרים, משכירים או מעבירים מידע אישי לצדדים שלישיים לצרכי פרסום או שיווק.

10.3 אנו עשויים למסור מידע אם נידרש לכך על פי צו בית משפט, דרישת רשות מוסמכת, או לצורך הגנה על זכויותינו המשפטיות.

8. אבטחת מידע

14.1 אנו מיישמים אמצעי אבטחה מתקדמים בהתאם לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017:

הצפנה בהעברה: כל התקשורת מוצפנת ב-TLS/SSL (HTTPS)
הצפנה באחסון: PostgreSQL encryption at rest על שרתי Railway
סיסמאות: מוצפנות בהצפנה חד-כיוונית (bcrypt) — לא ניתנות לשחזור
בידוד נתונים: כל עסק מבודד לחלוטין מעסקים אחרים (multi-tenant isolation)
הרשאות גישה: בקרת גישה מבוססת תפקידים (RBAC)
גיבוי אוטומטי: גיבוי יומי בתוכניות Pro ו-Premium
ניטור: זיהוי חריגות וניסיונות גישה לא מורשים

11.2 למרות מאמצינו, אין מערכת מחשוב בטוחה ב-100%. אנו מתחייבים לפעול בהתאם לסטנדרטים המקובלים בתעשייה.

9. זכויותיך כנושא מידע

⚖️ זכויות על פי חוק: בהתאם לחוק הגנת הפרטיות ותיקון 13, עומדות לך הזכויות הבאות. אנו מחויבים לטפל בבקשתך תוך 30 ימים.

👁 זכות עיון

לבקש לדעת אילו נתונים אישיים שלך שמורים אצלנו ולקבל עותק שלהם.

✏️ זכות תיקון

לבקש תיקון מידע שגוי או חסר המוחזק אצלנו.

🗑 זכות מחיקה

לבקש מחיקת מידע שאינו נחוץ עוד או שאין עילה חוקית להמשיך לשמור אותו.

🚫 זכות התנגדות

להתנגד לשימוש במידע שלך למטרה שלא הסכמת לה.

📦 זכות ייצוא

לקבל את הנתונים שלך בפורמט מובנה (CSV/JSON) להעברה לשירות אחר.

↩️ ביטול הסכמה

לבטל הסכמה שנתת בכל עת — לא ישפיע על חוקיות עיבוד שכבר בוצע.

כיצד לממש את זכויותיך: שלח אימייל ל-shlomibusiness@gmail.com עם בקשתך. נאמת את זהותך ונטפל בבקשה תוך 30 ימים. אם נידרש זמן נוסף — נודיע לך מראש.

10. שמירת מידע ומחיקה

13.1 אנו שומרים את המידע כל עוד החשבון פעיל ולפרק זמן סביר לאחר סגירתו (עד 30 יום), אלא אם הדין מחייב שמירה ארוכה יותר (למשל: מסמכי חשבוניות — 7 שנים).

10.2 מידע אנונימי ומצברי (Google Analytics, לוגים) עשוי להישמר לתקופה ארוכה יותר לצרכי שיפור השירות, ללא יכולת זיהוי אישי.

7.3 מדיניות מחיקה: 30 יום לאחר סגירת חשבון — הנתונים האישיים נמחקים. גיבויים — נמחקים תוך 90 יום נוספים.

11. העברת מידע מחוץ לישראל

11.1 הנתונים מאוחסנים בשרתי Railway (PostgreSQL) הממוקמים בארה"ב ו/או באירופה. שירותים נוספים (Twilio, Google Analytics, Google OAuth, SMTP) פועלים מארה"ב.

11.2 ישראל מוכרת על ידי האיחוד האירופי כמדינה עם רמת הגנה נאותה על מידע. העברת נתונים לארה"ב מתבצעת בהתאם למנגנוני הגנה מקובלים (Standard Contractual Clauses).

12. דיוור שיווקי וחוק הספאם

15.1 המערכת מאפשרת למנהלים לשלוח הודעות שיווקיות (מבצעים, קמפיינים) ללקוחותיהם. שליחת הודעות אלה מותנית בהסכמה מפורשת (opt-in) של הלקוח בלבד.

12.2 תזכורות תורים הן הודעות שירות (לא שיווקיות) ואינן דורשות הסכמה נפרדת — הן חלק מביצוע השירות.

12.3 כל הודעה שיווקית תכלול קישור הסרה ברור ומיידי, בהתאם לחוק התקשורת (בזק ושידורים), תשמ"ב-1982.

9.4 האחריות לקבלת הסכמת opt-in מהלקוחות חלה על המנהל (בעל העסק) המשתמש במערכת. החברה מספקת את הכלים הטכניים — אך אינה אחראית לשימוש לרעה בהם.

13. אירועי אבטחה

13.1 במקרה של אירוע אבטחה חמור (דליפת מידע, פריצה), אנו נודיע לרשות להגנת הפרטיות בהתאם לדין, ונודיע למשתמשים המושפעים בהקדם האפשרי.

14. קטינים

14.1 השירות אינו מיועד לקטינים מתחת לגיל 18. אנו לא אוספים ביודעין מידע אישי מקטינים. אם נודע לנו שנאסף מידע של קטין — נמחק אותו מיידית.

15. שינויים במדיניות

15.1 אנו רשאים לעדכן מדיניות זו. שינויים מהותיים יפורסמו באתר ובדוא"ל למנהלים לפחות 14 ימים לפני כניסתם לתוקף.

16. יצירת קשר — ממונה פרטיות

לכל שאלה, בקשת עיון, תיקון, מחיקה או תלונה בנושא פרטיות:

אימייל פרטיות: shlomibusiness@gmail.com
אימייל תמיכה: shlomibusiness@gmail.com
WhatsApp: 054-4491467
זמן מענה: עד 7 ימי עסקים

אם לא קיבלת מענה מספק, ניתן לפנות לרשות להגנת הפרטיות.