מסמכי תקנון ותקינה

מדיניות פרטיות

מדיניות זו מתארת אילו פרטים נאספים אודותיך בעת השימוש בפורטל גביש, למה הם משמשים, עם מי הם מועברים, וכן את זכויותיך החוקיות. המדיניות נכתבה בהתאם לחוק הגנת הפרטיות, התשמ״א-1981, על תיקוניו - לרבות תיקון 13 שנכנס לתוקף באוגוסט 2025.

עודכן לאחרונה: 25 במאי 2026

1. כללי

קרן רש״י (להלן: ״הקרן״) מפעילה את פורטל גביש כחלק מפעילותה הציבורית עבור קהילת מנהלי ומנהלות מחלקות הנוער ברשויות בישראל. הקרן מחויבת לשמירה על פרטיותך, ופועלת לאיסוף ולעיבוד מידע אישי במידה הנדרשת ולמטרה לגיטימית בלבד.

״מידע אישי״ - כל מידע הניתן לקשירה אליך כאדם מזוהה, כהגדרתו בחוק הגנת הפרטיות.

2. אילו פרטים נאספים

בהתאם לדרישת תיקון 13, להלן פירוט מפורש של סוגי המידע שהפורטל אוסף:

2.1 מידע שנמסר ביוזמתך

  • שם מלא.
  • כתובת דואר אלקטרוני.
  • שיוך ארגוני (שם הרשות המקומית שבה אתה מועסק) - אופציונלי.
  • סיסמה (מאוחסנת בצורה מוצפנת חד-כיוונית, איננו רואים אותה).
  • תוכן שאתה מפרסם באזור הקהילתי: פוסטים, תגובות, תמונות.

2.2 מידע שנאסף אוטומטית בעת השימוש

  • כתובת IP.
  • סוג הדפדפן, גרסת מערכת ההפעלה ופרטי המכשיר (User-Agent).
  • תאריך ושעת הגלישה והדפים שבהם ביקרת בפורטל.
  • קובץ Cookie של מערכת ההזדהות (לצורך שמירת סשן בלבד).

2.3 מידע שאיננו אוספים

  • איננו מבקשים מספר תעודת זהות, תאריך לידה, מצב משפחתי, פרטי בריאות או מידע פיננסי.
  • איננו מפעילים שירותי פרסום, רימרקטינג או פיקסל של רשתות חברתיות.
  • איננו עורכים פרופיל גולש לצרכים שיווקיים.

3. מסירת מידע - חובה או רשות?

על פי תיקון 13, אתה זכאי לדעת אילו מהפרטים שאנו מבקשים הם חובה ואילו רשות. במעמד ההרשמה לפורטל:

  • חובה: שם מלא, כתובת דואר אלקטרוני. ללא פרטים אלה לא נוכל לפתוח עבורך חשבון.
  • רשות: שיוך ארגוני. סירוב למסור פרט זה לא ימנע ממך להירשם, אך הקהילה תוכל לזהות אותך פחות בהקשרה המקצועי.
  • רשות מובהקת: הצטרפות לרשימת תפוצה לדיוור. אי-מתן הסכמה לא ימנע ממך כל שירות אחר.

4. מטרות השימוש בפרטים

כל פריט מידע נאסף למטרה ספציפית. להלן הפירוט:

  • ניהול חשבונך - שם, אימייל, סיסמה מוצפנת.
  • זיהוי במהלך השימוש - Cookie של סשן.
  • אפשור פעילות הקהילה - שם, ארגון, תוכן שאתה מעלה.
  • שיפור הפורטל ובדיקת תקלות - מידע טכני מצטבר (IP, User-Agent, נתיב גלישה), בתצורה שאינה מאפשרת זיהוי אישי כאשר מתאפשר.
  • אבטחת מידע ומניעת ניסיונות חדירה - לוגים של ניסיונות התחברות.
  • יצירת קשר תפעולית - הודעות הקשורות לחשבונך, לתחזוקת הפורטל ולפעילות הקהילה.
  • דיוור שיווקי - רק אם נתת הסכמה מפורשת ונפרדת לכך.

6. צדדים שלישיים המעבדים נתונים עבורנו

הפעלת הפורטל נעזרת בספקי תשתית טכנולוגית. המידע מועבר אליהם רק בכמות ובמסגרת הנדרשות לתפקודם:

  • Supabase, Inc. - אירוח בסיס הנתונים ומערכת ההזדהות. כלל הנתונים האישיים והתוכן הקהילתי מאוחסנים בשרתי הספק (אזור: האיחוד האירופי / ארה״ב). הספק התחייב לעמוד בתקני אבטחה בינלאומיים (SOC 2 Type II).
  • Vercel, Inc. - אירוח קוד הפורטל ורשת הפצת תוכן (CDN). מקבלת מידע טכני בלבד (IP, User-Agent) לצרכי הגשת הדפים.
  • Google LLC - שירות גופנים (Google Fonts) להצגת הגופנים העבריים Heebo ו-Assistant. עשוי לקבל את כתובת ה-IP שלך בעת הטעינה הראשונה של הגופן.

הקרן אינה מוכרת ואינה מעבירה לצרכי מסחר מידע אישי לצדדים שלישיים. העברה תיעשה רק במקרים אלה: עמידה בחובה חוקית, צו שיפוטי, או מקרה של איום על שלום הציבור או חיי אדם.

7. העברת מידע אל מחוץ לישראל

חלק מהשרתים של ספקי השירות שלנו ממוקמים מחוץ לישראל - בעיקר באיחוד האירופי ובארה״ב. בעצם השימוש בפורטל אתה מסכים להעברה זו.

הקרן מבטיחה כי ההעברה מתבצעת תוך שמירה על הגנה הולמת:

  • חתימה על Data Processing Agreements (DPA) עם הספקים.
  • סעיפי חוזה סטנדרטיים (Standard Contractual Clauses) של נציבות האיחוד האירופי.
  • בחירת ספקים העומדים בתקני אבטחת מידע בינלאומיים.

8. משך שמירת המידע

אנו שומרים את המידע לתקופות הבאות, בהתאם למטרה:

  • פרטי חשבון ותוכן קהילתי - כל עוד החשבון פעיל.
  • לאחר מחיקת החשבון על ידך - 12 חודשים בארכיון חירום למקרי שחזור או חובה משפטית, ולאחר מכן מחיקה מלאה.
  • לוגים טכניים (IP, User-Agent) - עד 90 יום, לצרכי אבטחת מידע ואיתור תקלות.
  • תיעוד לצורך עמידה בדרישות חוקיות - בהתאם לתקופה הקבועה בחוק (בדרך כלל 7 שנים לתיעוד פיננסי).
  • הסכמות שיווק - עד למשיכת ההסכמה, ולאחר מכן 12 חודשים נוספים לתיעוד ראייתי בלבד.

9. Cookies וטכנולוגיות מעקב

הפורטל משתמש במספר מצומצם של עוגיות (Cookies), כולן הכרחיות לתפקוד השירות. איננו משתמשים בעוגיות פרסום, מעקב צד שלישי, או פיקסלים של רשתות חברתיות.

  • עוגיית התחברות (Session) - מערכת ההזדהות של Supabase מציבה עוגייה מאובטחת לזיהוי הסשן שלך. ללא עוגייה זו לא ניתן להישאר מחובר.
  • עוגיית העדפת ניווט - שומרת את מצב התפריט וטעמים בסיסיים של תצוגה.

תוכל למחוק עוגיות או לחסום אותן באמצעות הגדרות הדפדפן. חסימת עוגיית ההתחברות תמנע כניסה לאזור הקהילתי.

10. זכויות המשתמש

על פי חוק הגנת הפרטיות ותיקון 13, עומדות לך הזכויות הבאות:

  • זכות עיון - לקבל ממנו עותק של המידע הנוגע אליך השמור במאגרי הפורטל.
  • זכות תיקון - לבקש תיקון של פרט שגוי או לא מעודכן.
  • זכות מחיקה - לבקש את מחיקת חשבונך וכלל הנתונים הקשורים אליו.
  • זכות ניוד - לקבל את הנתונים שלך בפורמט מובנה הניתן לקריאה במכונה (CSV / JSON), לצורך העברה לשירות אחר.
  • זכות חזרה מהסכמה - לבטל הסכמה שניתנה, בכל עת ובלי לפגוע בחוקיות עיבוד שבוצע לפני הביטול.
  • זכות התנגדות - להתנגד לעיבוד מידע על בסיס אינטרס לגיטימי.
  • זכות תלונה - להגיש תלונה לרשות להגנת הפרטיות במשרד המשפטים.

מימוש הזכויות: פנייה לרכזת הפרטיות בדואר gavish@rashi.org.il. מענה יינתן בתוך עד 30 יום ממועד הפנייה. במקרים מורכבים, התקופה עשויה להתארך בעד 30 יום נוספים, בכפוף להודעה מנומקת אליך.

11. אבטחת מידע

הקרן נוקטת באמצעי אבטחה טכניים, ארגוניים ופיזיים לשמירה על המידע:

  • תעבורה מוצפנת בלבד (HTTPS / TLS 1.3).
  • הצפנת סיסמאות חד-כיוונית (Hash + Salt).
  • בקרת גישה מבוססת תפקיד (RLS - Row Level Security) על בסיס הנתונים.
  • הפרדת סביבות פיתוח וייצור.
  • אימות דו-שלבי (2FA) על חשבונות מנהלי המערכת.
  • כותרי אבטחה תקניים (HSTS, X-Frame-Options, X-Content-Type-Options, CSP).
  • ניטור שוטף של ניסיונות גישה חריגים.
  • סקירת אבטחה תקופתית של הקוד.

על אף מאמצינו, איננו יכולים להבטיח אבטחה מוחלטת. במקרה של אירוע אבטחתי המשפיע על המידע שלך, נדווח לך וגם לרשות להגנת הפרטיות בהתאם להוראות תיקון 13.

12. מידע על קטינים

הפורטל מיועד לבוגרים בלבד (גיל 18 ומעלה), חברי קהילת גביש המקצועית. איננו אוספים ביודעין מידע על קטינים. במקרה שמשתמש מפרסם תוכן הכולל ילדים או נוער (לדוגמה, תמונה מאירוע נוער ברשות), חלה עליו האחריות לוודא קיומה של הסכמת הורים או אפוטרופוס כנדרש בחוק.

13. שינויים במדיניות

מדיניות זו עשויה להתעדכן מעת לעת. שינויים מהותיים יודגשו בהודעה בולטת בפורטל ובדיוור ישיר לחברי הקהילה, לפחות 14 ימים לפני כניסתם לתוקף. תוכל לעיין בכל עת בנוסח העדכני בדף זה, יחד עם תאריך העדכון בראשו.

14. יצירת קשר ופנייה לרכז/ת הפרטיות

בכל שאלה, בקשה, מימוש זכות או חשד לפגיעה בפרטיות, ניתן לפנות:

מחלקת השיווק, קרן רש״י

בנושאי פרטיות והגנת מידע

דואר אלקטרוני: gavish@rashi.org.il

טלפון: 08-9146629

כתובת: כפר הנוער בן שמן, 7311200

בנוסף, אתה רשאי לפנות לרשות להגנת הפרטיות במשרד המשפטים: gov.il - הרשות להגנת הפרטיות.