מדיניות פרטיות
עודכן לאחרונה: 6 במאי 2026
המסמך הזה מסביר אילו נתונים Talbot אוספת, למה היא משתמשת בהם, עם מי היא חולקת אותם, וכיצד תוכל/י לממש את הזכויות שמוקנות לך לפי חוק הגנת הפרטיות, התשמ״א-1981 ותיקון מס׳ 13 לחוק (שנכנס לתוקף ב-14 באוגוסט 2025). ניסחנו אותו בעברית פשוטה — אבל כל הסעיפים מחייבים. אם משהו לא ברור, כתבו לנו ל-contact@shalhevet.tech.
תוכן עניינים (16 סעיפים)
1. על מי המסמך הזה חל
המסמך חל על שני סוגי משתמשים:
- בעלי עסקים שנרשמים לחשבון ב-Talbot ועושים שימוש בלוח הבקרה, בסוכן ה-AI ובשאר רכיבי השירות. ביחס אליהם Talbot פועלת כבעלת שליטה במאגר (controller) במשמעות חוק הגנת הפרטיות.
- לקוחות הקצה שמדברים עם הסוכן בעמוד הציבורי של העסק (/c/<handle>). ביחס לתוכן השיחות שלהם, בעל העסק הוא בעל השליטה במאגר, ואילו Talbot פועלת כמחזיקה (processor) של המידע בשמו ולפי הוראותיו בלבד.
המסמך אינו חל על אתרים או שירותים של צד שלישי שמקושרים מתוכו — אלה כפופים למדיניות הפרטיות שלהם.
2. פרטי בעל השליטה במאגר
השירות מופעל על-ידי Shalhevet software solutions (להלן: ״Talbot״ או ״אנחנו״).
- איש קשר לפניות פרטיות: contact@shalhevet.tech
- אתר השירות: talbot.run
לפי תיקון 13, חובת היידוע (§11) כוללת גם את זהות בעל השליטה ופרטי הקשר אליו, וכן את זכויות העיון והתיקון של נושא המידע (להלן בסעיף 11).
3. המידע שאנחנו אוספים
אנחנו אוספים את המידע הבא, בהיקף הנדרש לתפעול השירות:
| קטגוריה | שדות עיקריים | מקור | חובה / רשות |
|---|---|---|---|
| פרטי בעל העסק | שם מלא, כתובת מייל, תמונת פרופיל | Google OAuth | חובה (לזיהוי וההתחברות) |
| פרטי העסק | שם, קטגוריה, תיאור, לוגו, כתובת, טלפון | מוזן על-ידי בעל העסק | חובה (לתפעול הסוכן) |
| שירותים וזמינות | שמות שירותים, מחירים, משך, שעות פעילות | מוזן על-ידי בעל העסק | חובה |
| תוכן ידע (RAG) | תיאורי שירותים שהומרו ל-embeddings | נגזר מתוכן בעל העסק | חובה (אופי השירות) |
| שיחות הצ׳אט | טקסט הודעות בין הלקוח לסוכן | לקוחות הקצה בעמוד הציבורי | תלוי בלקוח |
| בקשות פגישה | שם הלקוח, טלפון, מועד, שירות מבוקש | נאסף בצ׳אט כשהלקוח מבקש פגישה | תלוי בלקוח |
| מטא-נתוני אמצעי תשלום | ארבע ספרות אחרונות, מותג, תוקף | Stripe (מספרי כרטיס מלאים אינם מגיעים אלינו) | חובה לפעולת המנוי |
| חשבוניות | מספר, תאריך, סכום, סטטוס | Stripe | חובה (חובת מס) |
| מטא-נתונים טכניים | כתובת IP, סוג דפדפן, זמני בקשה (אנונימי) | Vercel Analytics + יומני שרת | חובה לאבטחה ולתחקור תקלות |
אנחנו איננו אוספים מידע ביומטרי, מידע גנטי, מידע רפואי, נטייה מינית, השקפה פוליטית או דתית, ומידע פלילי — אלה קטגוריות ״מידע בעל רגישות מיוחדת״ לפי תיקון 13, ואינן רלוונטיות לפעילות Talbot.
4. המטרות והבסיס המשפטי לעיבוד
לפי §11 לחוק הגנת הפרטיות, להלן מטרות העיבוד והבסיס המשפטי לכל אחת מהן:
| מטרה | נתונים שבשימוש | בסיס משפטי |
|---|---|---|
| ניהול חשבון בעל העסק | פרטי בעל העסק, פרטי העסק | ביצוע חוזה (תנאי השימוש) |
| הפעלת הסוכן והשבת תשובות | תוכן שיחות, ידע העסק | ביצוע חוזה + הסכמה מדעת |
| תיאום בקשות פגישה | שם הלקוח, טלפון, מועד, שירות | ביצוע חוזה (השירות הליבתי) |
| חיוב ועיבוד תשלומים | מטא-נתוני אמצעי תשלום, חשבוניות | ביצוע חוזה + חובה חוקית (חובות מס) |
| אבטחת מידע ותחקור תקלות | מטא-נתונים טכניים, יומני גישה | אינטרס לגיטימי + חובה חוקית (תקנות אבטחת מידע 5777-2017) |
| תקשורת תפעולית | כתובת מייל של בעל העסק | ביצוע חוזה (התראות שירות, חשבוניות, תזכורות מנוי) |
| שיפור מוצר | מצרפים אנונימיים בלבד | אינטרס לגיטימי |
איננו מבצעים פרופיילינג שיווקי, לא יוצרים פרופילים חוצי-עסקים, ולא מוכרים מידע לצדדים שלישיים בשום מקרה.
5. השלכות של אי-מסירת מידע
חלק מהשדות נדרשים לתפעול השירות; בלעדיהם לא נוכל לספק לך את הסוכן:
- ללא פרטי הזיהוי מ-Google אין אפשרות להיכנס לחשבון.
- ללא פרטי העסק והשירותים הסוכן לא יוכל לענות ללקוחות.
- ללא אמצעי תשלום בתום תקופת הניסיון, המנוי יסתיים והעמוד הציבורי של העסק יושבת זמנית.
שדות רשות (כתובת, קישור לאתר, לוגו, צבע ראשי, פרסונה מותאמת) ניתן לדלג עליהם — והשירות ימשיך לעבוד.
6. שימוש בבינה מלאכותית
Talbot מציעה סוכן צ׳אט מבוסס בינה מלאכותית. בהתאם להנחיות הרשות להגנת הפרטיות (טיוטת אפריל 2025 בנושא AI ותיקון 13):
- גילוי מפורש: בכל שיחה עם הסוכן, הלקוח מוצג כמדבר עם מערכת אוטומטית, לא עם בן אדם.
- ספקי ה-AI: הודעות הצ׳אט מועברות ל-Anthropic (Claude) להפקת תגובה. טקסטים קצרים מועברים ל-OpenAI לצורך יצירת embeddings (וקטורי חיפוש סמנטי בתוך ידע העסק).
- תמלול קולי: כשלקוח משתמש בכפתור המיקרופון בצ׳אט, ההקלטה הקצרה (עד דקה) נשלחת ל-OpenAI Whisper לתמלול. ההקלטה אינה נשמרת בשרתים שלנו — היא מועברת לתמלול ונמחקת מיידית. הטקסט המתומלל בלבד נכנס לשיחה.
- אי-אימון מודלים: לפי תנאי ה-API העסקיים של Anthropic ו-OpenAI שאנחנו פועלים תחתיהם, השיחות שלך אינן משמשות לאימון מודלים. Anthropic שומרת את התוכן זמנית (כ-30 ימים) לצורכי בקרת שימוש לרעה בלבד.
- אין החלטות אוטומטיות בעלות השפעה משפטית על הלקוח — הסוכן רק מאסף בקשת פגישה ומציג אותה לבעל העסק לאישור ידני.
- זכות תיקון: אם הסוכן ענה תשובה שגויה לגביך, ניתן לבקש תיקון או הסרה (ראה סעיף 11).
7. עם מי אנחנו משתפים — מעבדי משנה
הספקים הבאים פועלים בתפקיד מחזיק (processor) לפי תיקון 13. מולם חתומים הסכמי DPA המחייבים אותם לרמת הגנה שאינה נופלת מזו של הדין הישראלי.
| ספק | תפקיד | מיקום | מידע מועבר |
|---|---|---|---|
| Anthropic | מודל Claude — תגובות הסוכן | ארה״ב | תוכן שיחות הצ׳אט (ללא אימון מודלים) |
| OpenAI | מודל embeddings — חיפוש סמנטי | ארה״ב | תיאורי שירותי העסק לצורך יצירת וקטורים |
| Stripe | תשלומים, חשבוניות, ניהול אמצעי תשלום | ארה״ב / אירלנד | פרטי כרטיס נשמרים אצל Stripe בלבד; אצלנו רק 4 ספרות + מותג |
| Resend | שליחת מיילים תפעוליים | ארה״ב | כתובת מייל + תוכן ההתראה |
| Vercel | אירוח ופלטפורמת ריצה | ארה״ב (קצה גלובלי) | כל הבקשות לשרת + אנליטיקה אנונימית |
| אימות OAuth | ארה״ב | פרטי הזדהות מינימליים (שם, מייל, תמונה) | |
| Supabase | מסד נתונים ואחסון קבצים | האיחוד האירופי | כלל הנתונים בענן EU |
8. העברת מידע אל מחוץ לישראל
חלק מהמעבדים שלעיל ממוקמים מחוץ לישראל. ההעברה נעשית בהתאם לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס״א-2001, על שני בסיסים חלופיים:
- תקנה 2(4) — הגנות חוזיות: עם כל ספק חתומים הסכמי DPA שמחילים על המידע רמת הגנה שאינה נופלת מזו הנדרשת בדין הישראלי, לרבות איסור העברה הלאה ללא הסכמתנו ושמירה על זכויות נושא המידע.
- תקנה 2(2) — הסכמתך: באישור תנאי השימוש ומדיניות הפרטיות אתה מאשר את ההעברה לספקים המפורטים בסעיף 7.
העברות לאיחוד האירופי (Supabase) מותרות גם מכוח תקנה 2(8) — האיחוד נכלל ברשימת היעדים שהוכרו ככאלה שרמת ההגנה בהם תואמת. ארצות הברית אינה נכללת ברשימה זו; ההעברה אליה מתבצעת בהסתמך על תקנות 2(2) ו-2(4) בלבד, ללא הסתמכות על מסגרת ה-EU-US Data Privacy Framework (שלא הוכרה רשמית על-ידי הרשות להגנת הפרטיות).
10. שמירת מידע ומחיקה
| קטגוריה | תקופת שמירה | סיבה |
|---|---|---|
| פרטי בעל העסק ופרטי העסק | כל עוד החשבון פעיל | תפעול שוטף |
| תוכן שיחות וצ׳אט עם לקוחות | 24 חודשים מהפעילות האחרונה | היסטוריה תפעולית לבעל העסק |
| בקשות פגישה | 24 חודשים | מעקב היסטורי |
| מטא-נתוני אמצעי תשלום | כל עוד יש מנוי פעיל; נמחקים מ-Stripe לפי בקשה | תפעול חיוב |
| חשבוניות | 7 שנים | תקנות מס הכנסה (חובה חוקית — לא ניתנת למחיקה לפי בקשה) |
| יומני גישה ואבטחה | 12 חודשים | תקנות אבטחת מידע 5777-2017 |
| תוכן בצד Anthropic | כ-30 ימים (לבקרת שימוש לרעה בלבד) | תנאי ה-API העסקיים של Anthropic |
בעת ביטול חשבון: הנתונים נשמרים באחסון קר למשך 30 ימים, ובחלוף תקופה זו נמחקים מלבד רשומות שחובה חוקית לשמרן (חשבוניות).
11. זכויותיך לפי חוק הגנת הפרטיות
סעיפים 13 ו-14 לחוק הגנת הפרטיות, התשמ״א-1981, מקנים לך את הזכויות הבאות, ללא תשלום:
- זכות עיון (§13) — לקבל עותק מהמידע שמוחזק עליך, בעברית, בערבית או באנגלית, לבחירתך.
- זכות תיקון (§14) — לבקש תיקון מידע שאינו נכון, אינו שלם, אינו מעודכן או אינו ברור.
- זכות מחיקה (§14) — לבקש את הסרת המידע, בכפוף לחובות שמירה לפי דין (חשבוניות, ראיות).
- חזרה מהסכמה — לחזור בך מהסכמה שניתנה לעיבוד שאינו חיוני לקיום השירות.
- התנגדות לדיוור — להפסיק לקבל מיילים שאינם תפעוליים, באמצעות קישור unsubscribe או פנייה אלינו.
אנחנו מתחייבים לתשובה תוך 30 ימים מקבלת הפנייה. הפנייה ב-contact@shalhevet.tech.
אם תשובתנו לא תספק אותך, ניתן להגיש תלונה להרשות להגנת הפרטיות במשרד המשפטים.
הערה: הדין הישראלי אינו כולל זכות ניידות נתונים כללית (Data Portability) או ״זכות להישכח״ כפי שהן מעוגנות ב-GDPR האירופי. אנחנו לא מבטיחים זכויות אלה כדי שלא נטעה אותך באשר להיקף ההתחייבויות החוקיות שלנו.
12. אבטחת מידע
Talbot פועלת ברמת אבטחה בסיסית לפי תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017. אנחנו מקיימים בין השאר:
- הצפנת תקשורת מקצה לקצה ב-TLS.
- הפרדת נתונים בין עסקים באמצעות Row Level Security במסד הנתונים — בעל עסק רואה רק את הנתונים של העסק שלו.
- תשלומים מתבצעים באמצעות Stripe Elements (iframe מבודד); פרטי כרטיס מלאים אינם עוברים בשרתי Talbot. היקף ה-PCI שלנו הוא SAQ A.
- מפתחות API נשמרים בסביבת ניהול מאובטחת ואינם נחשפים בצד הלקוח.
- הסכמי DPA מול כל מעבד משנה (סעיף 7), כולל התחייבות לדיווח על אירועי אבטחה.
- נוהל אבטחת מידע ונוהל תגובה לאירועים מתועדים פנימית.
13. טיפול באירוע אבטחה
במקרה של אירוע אבטחה חמור (חשד לחשיפה בלתי-מורשית של מידע אישי), ננקוט בצעדים הבאים:
- דיווח לרשות להגנת הפרטיות בתוך 72 שעות מגילוי האירוע, בהתאם להנחיות הרשות.
- הודעה ישירה למשתמשים שנפגעו במקרה שהרשות תורה על כך, או ביוזמתנו אם נראה זאת לנכון בנסיבות העניין.
- תיקון מיידי של פרצת האבטחה ותיעוד פנימי של הפעולות שננקטו.
- דיווח על תוצאות התחקיר ועל אמצעי המנע שננקטו.
14. קטינים
השירות מיועד לבעלי עסקים בגירים (בני 18 ומעלה). איננו מאמתים את גילם של לקוחות הקצה שמדברים עם הסוכן בעמוד הציבורי של העסק.
אם אתה הורה / אפוטרופוס וברצונך לבקש מחיקת תוכן שיחה של קטין, פנה ל-contact@shalhevet.tech ונפעל למחיקה תוך 30 ימים, בכפוף לזיהוי הסביר של הזיקה לקטין.
איננו מבצעים פרופיילינג של משתמשים, איננו מציגים פרסומות, ואיננו אוספים מידע מעבר לנדרש לפעולת הסוכן.
15. שינויים במדיניות
ייתכן שנעדכן את המדיניות הזו מעת לעת. שינוי מהותי (תוספת מטרה, הוספת מעבד משנה משמעותי, צמצום זכויות) ייכנס לתוקף לאחר 14 ימים מיום פרסומו, ויישלח ללקוחותינו בדואר אלקטרוני. שינויים שאינם מהותיים (תיקוני ניסוח, עדכוני קישורים) ייכנסו לתוקף עם פרסומם, מבלי להפחית מהזכויות שלך.
התאריכים ״עודכן לאחרונה״ ו״תאריך כניסה לתוקף״ מופיעים בראש העמוד.
16. יצירת קשר
לכל שאלה, בקשה לעיון/תיקון/מחיקה, או בירור בנושא פרטיות — כתבו לנו ל-contact@shalhevet.tech. אנחנו משיבים תוך 30 ימים, ובדרך כלל מהר בהרבה.