מדיניות פרטיות
תאריך תחילה: 22 באפריל 2026
גרסה: 2
1. הקדמה
Mediora היא כלי מבוסס בינה מלאכותית שעוזר למבוגרים להבין את תוצאות בדיקות המעבדה
האישיות שלהם. השירות מופעל על ידי SLAtech Ltd, חברה ישראלית, כתובת רשומה:
[to be confirmed]. "אנחנו", "אנו", "Mediora" או "השירות" במסמך זה
מתייחסים ל-SLAtech Ltd בתפקיד בקר (Controller) של הנתונים האישיים שלך.
מסמך זה מסביר אילו נתונים אישיים אנו אוספים, למה אנו משתמשים בהם, למי אנו מעבירים
אותם ואילו זכויות יש לך מכוח ה-GDPR של האיחוד האירופי ומכוח חוק הגנת הפרטיות,
התשמ"א-1981 (להלן "חוק הגנת הפרטיות").
2. אילו נתונים אנו אוספים
נתוני חשבון. כתובת אימייל, שפה מועדפת, שם פרטי / שם משפחה (אופציונלי), תאריך
לידה, מין, טלפון, מצבים כרוניים ותרופות שאתה בוחר לשתף בפרופיל. תאריך הלידה נדרש
לשער הגיל 18+.
נתונים רפואיים (קטגוריה מיוחדת לפי סעיף 9 ל-GDPR). דוחות מעבדה שאתה מעלה
(PDF / תמונה), ערכי סמנים שנחלצים מהם, ניתוחים ונרטיבים של מגמות שנוצרו על ידי AI,
הודעות שאתה מחליף עם הסוכן בצ'אט, וסימון אם הודעה הפעילה אחד ממסנני הבטיחות שלנו.
נתונים טכניים. כתובת IP, מחרוזת User-Agent, שפת דפדפן, מיקום גיאוגרפי משוער
שנגזר מה-IP, ו-cookies כמפורט במדיניות ה-Cookies שלנו.
נתוני שימוש. אילו תכונות אתה משתמש (העלאות, צפיות בדוחות, אינטראקציות בצ'אט),
היסטוריית שליחת מיילים (ברוך הבא, ניתוח מוכן, התראה קריטית), ורשומות יומן ביקורת
של מנהל הקשורות לחשבונך.
3. בסיס משפטי לעיבוד (סעיפים 6 ו-9 ל-GDPR)
אנו מעבדים את נתוניך האישיים על הבסיסים הבאים:
- ביצוע חוזה — ס' 6(1)(b). אספקת ליבת השירות: ניתוח הדוחות שלך, יצירת ניתוחים,
שליחת התראות, ניהול ההיסטוריה. - הסכמה — ס' 6(1)(a). עוגיות אנליטיקה, מיילים שיווקיים (opt-in בפרופיל),
תכונות רשות כגון "מקרים דומים". - אינטרס חיוני — ס' 6(1)(d). התראות על סמנים קריטיים — אנו רואים בכך סוגיית
בטיחות ולא ערוץ שיווקי. - הסכמה מפורשת לקטגוריה מיוחדת — ס' 9(2)(a). עיבוד נתונים רפואיים מחייב הסכמה
נפרדת, והיא נלכדת בהרשמה דרך סימון "אני מסכים למדיניות הפרטיות". ניתן לבטל
הסכמה זו בכל עת על ידי מחיקת החשבון (סעיף 8).
במסגרת חוק הגנת הפרטיות הישראלי, אנו נשענים על §11 לעיבוד בהסכמת נושא המידע, ועל
§2(9) לעיבוד הנדרש לצורך מתן השירות שביקשת.
4. כיצד אנו משתמשים בנתונים
- הפעלת פייפליין הניתוח: עיבוד דוחות המעבדה שלך והפקת הדוח שמוצג באפליקציה.
- שליחת מיילים עסקיים: ברוך הבא, ניתוח מוכן, התראה קריטית, הזמנה חוזרת.
- מעקב ארוך-טווח אחר מגמות בסמנים לאורך העלאות חוזרות.
- שיפור השירות דרך מדדים מצורפים ולא-מזהים. איננו משתמשים בנתונים מזהים לאימון
מודלי AI. - זיהוי ניצול לרעה (rate limit, ספאם, הפעלות חוזרות של מסנני בטיחות).
5. קטגוריות של מעבדים
אנו מעבירים את הנתונים המינימליים הנדרשים לקטגוריות הבאות של מעבדים למטרת מתן
השירות. שמות המעבדים הספציפיים זמינים לפי דרישה — ראו את סעיף הגילוי בסוף הסעיף.
| קטגוריה | מטרה | מיקום עיקרי | בקרות |
|---|---|---|---|
| ספקי שירותי AI | ניתוח דוחות מעבדה, תגובות צ'אט, חיפוש סמנטי בהיסטוריה | ארה"ב | הסכם עיבוד נתונים עם סעיף "ללא אימון על הנתונים שלך"; תניות חוזיות סטנדרטיות (SCC) להעברות נתונים מה-EU |
| ספקי תשתית ענן | אחסון קבצים מאובטח ושליחת מיילים עסקיים | ארה"ב | הצפנה בצד שרת; הסכם עיבוד נתונים; SCC להעברות מה-EU |
| שירותי חיפוש וקטורי | חיפוש סמנטי בהיסטוריית הניתוחים שלך | [to be confirmed] | בידוד ברמת המשתמש: כל שאילתה מסוננת למשתמש המאומת בלבד |
| התשתית המאובטחת שלנו | מסד נתונים ראשי וחישוב | ישראל | בקרות גישה, הצפנה, מנוהל תחת מדיניות זו |
כל המעבדים מחויבים חוזית:
- לעבד את הנתונים שלך אך ורק למטרת מתן השירות.
- ליישם אמצעי אבטחה טכניים וארגוניים מתאימים.
- לעולם לא להשתמש בנתונים הרפואיים שלך לאימון מודלי AI.
- להחזיר או למחוק את הנתונים שלך בסיום החוזה עמם.
איננו מוכרים נתונים אישיים ואיננו משתפים אותם עם מפרסמים.
שמות מעבדים ספציפיים זמינים לפי דרישה — שלח מייל ל[email protected] או
ממש את זכות הגישה לפי ס' 15 ל-GDPR והשמות ייכללו בדוח הגישה לנתונים שלך (ראו
סעיף 8).
6. העברה בין-לאומית של נתונים
כאשר אנו משתמשים במעבדים מחוץ לארצך, אנו מיישמים את הבקרות הנדרשות על פי ה-GDPR
וחוק הגנת הפרטיות הישראלי:
- משתמשי EU: העברות לארה"ב מכוסות על ידי תניות חוזיות סטנדרטיות (SCC) של
הנציבות האירופית [to be confirmed]. - כל המשתמשים: ישראל מוכרת נכון לעכשיו על ידי הנציבות האירופית כמדינה המספקת
רמת הגנה נאותה (Decision 2011/61/EU) [to be confirmed]. - מעבדים במדינות אחרות: מחויבים תחת הסכם עיבוד הנתונים שלנו עם בקרות שקולות.
מנגנוני העברה ספציפיים זמינים לפי דרישה דרך [email protected].
7. תקופות שמירה
- חשבון פעיל: שמירת נתונים כל עוד החשבון פעיל.
- חשבון שנמחק ביוזמת המשתמש: תקופת חסד של 30 ימים שבה ניתן לבטל, ולאחריה מחיקה
קשה (סעיף 8). לאחר המחיקה הקשה נשמרים רק מדדים מצורפים ולא-ניתנים-לזיהוי. - היסטוריית צ'אט: נשמרת כל עוד החשבון פעיל; ניתן למחוק הודעות בודדות בסיידבר.
- גיבויים: סבב מוצפן של 90 יום; מחיקות קשות מגיעות לגיבוי הנוכחי תוך 24 שעות
ונושרות מהסבב תוך 90 יום.
8. זכויותיך לפי GDPR
בכל עת וללא עלות ניתן לממש את הזכויות הבאות:
- זכות עיון (ס' 15). בדף Profile קיים כפתור "הורד את הנתונים שלי" שמפיק ייצוא
JSON קריא-מכונה של כל הנתונים שברשותנו, כולל שמות המעבדים שאליהם הועברו
הנתונים. - תיקון (ס' 16). עריכת הפרופיל ישירות; ערכי סמנים ניתנים לעריכה בעורך הניתוח.
- מחיקה (ס' 17). כפתור "מחק את החשבון שלי" בדף Profile מפעיל את תהליך 30 הימים
שתואר בסעיף 7. - הגבלה (ס' 18). פנה אל [email protected].
- ניידות (ס' 20). אותו כפתור ייצוא.
- התנגדות (ס' 21). פנה אל [email protected].
- ביטול הסכמה. כל הסכמה שניתנה (עוגיות אנליטיקה, מיילים שיווקיים) ניתנת לביטול
דרך הפרופיל, בלי לפגוע בחוקיות העיבוד הקודם.
9. זכויות לפי חוק הגנת הפרטיות
לנושא מידע ישראלי יש זכות עיון מקבילה מכוח §13 לחוק, וזכות לדרוש תיקון מידע שגוי
מכוח §14. למימוש הזכויות יש לשלוח מייל ל[email protected] מהכתובת הרשומה בחשבון
Mediora.
10. אמצעי אבטחה
- תעבורה: הצפנה סטנדרטית בתעשייה לכל חיבור דפדפן ↔ שרת.
- אימות: אסימוני הפעלה קצרי-טווח + התחברות בקוד חד-פעמי (סיסמה לא נשמרת במכשיר).
- תשתית: פילוח רשת פרטי, מסד נתונים מאחורי חומת אש, חשבונות שירות עם הרשאות
מינימליות, לוגים מוצפנים. - בטיחות צ'אט: מסנן תוכן רב-שכבתי (סינון קלט, תבניות דחייה, בקרת פלט) כדי
שהסוכן לא יפיק מרשמים או אבחנות.
[חוב טכני — הצפנת PII at rest תושלם בספרינט 2.5.] מזהי מטופל שחולצו (שם, תאריך
לידה, רופא) נשמרים כרגע במסד הנתונים הראשי שלנו בצורה לא מוצפנת. העמודות מסומנות
בקוד ויוצפנו באמצעות סכימת מפתחות מנוהלים לפני 1 באוקטובר 2026.
11. ילדים
Mediora מיועדת למבוגרים בלבד. איננו אוספים ביודעין נתונים של אנשים מתחת לגיל 18.
במהלך הרשמה יש לאשר את הסימון "אני בן 18 ומעלה", והשירות יסרב לשמור פרופיל שבו
תאריך הלידה מעיד על גיל נמוך מ-18. אם נודע לך שקטין פתח חשבון, אנא פנה ל-
[email protected] ואנחנו נמחק אותו.
12. שינויים במדיניות
נודיע במייל לפחות 30 ימים לפני כניסת שינוי מהותי לתוקף. עבור שינויים הנוגעים לבסיס
המשפטי לעיבוד או להוספת קטגוריית נתונים חדשה, נבקש הסכמה חדשה לפני המשך העיבוד
לפי התנאים החדשים.
13. יצירת קשר
- בקר: SLAtech Ltd [to be confirmed].
- איש קשר לפרטיות: [email protected].
14. רשות פיקוח
משתמשים בתוך ה-EU זכאים להגיש תלונה לרשות הגנת הנתונים הלאומית במקום מגוריהם או
עבודתם. [to be confirmed]
משתמשים בישראל רשאים לפנות לרשות להגנת הפרטיות (משרד המשפטים).