מדיניות פרטיות

1. מבוא

מדיניות פרטיות זו מסבירה כיצד Workraft בע״מ (יחד עם חברות הבת והקשורות שלה, “Workraft”, “אנחנו”, “אנו” או “שלנו”) אוספת, משתמשת, משתפת ומגינה על מידע אישי בקשר לאתר Workraft בכתובת workraft.ai (“האתר”) ולפלטפורמת ניהול כוח האדם של Workraft (“השירות”).

Workraft התאגדה בישראל. משרדנו הרשום נמצא בתל אביב, ישראל.

מדיניות זו חלה על:

• מבקרים באתר, כולל מי שממלאים את טופס יצירת הקשר, מבקשים הדגמה או נרשמים ליומן
• לקוחות, כולל עובדים ומנהלים של ארגונים שמשתמשים בשירות
• משתמשי קצה שהמידע שלהם מועלה על ידי לקוחות — כגון עובדי שטח שהמשמרות, הנוכחות או המסמכים שלהם מנוהלים דרך השירות — במקרים אלה Workraft פועלת כמעבדת נתונים בשם הלקוח ולא כבעלת שליטה

אנחנו ממליצים לקרוא את המדיניות במלואה. לכל שאלה, צרו קשר ב-legal@workraft.ai.

2. שני התפקידים שלנו: בעל שליטה ומעבד

כאשר Workraft היא בעלת השליטה: אנחנו קובעים את המטרה והאמצעים לעיבוד. זה כולל מידע אישי של מבקרים באתר, לידים שיווקיים, הרשמות ניסיון, מנהלי חשבונות לקוחות וכל מי שמקיים אינטראקציה ישירה עם Workraft. קבוצת הזכויות המלאה המתוארת במדיניות זו חלה עליכם בהקשר זה.

כאשר Workraft היא מעבדת: הלקוחות שלנו מעלים מידע אישי על משתמשי הקצה שלהם (עובדים, מפקחים, מטופלים בהקשרי סיעוד וכן הלאה) אל תוך הסביבה שלהם ב-Workraft. Workraft מעבדת מידע זה רק על פי הוראות מתועדות של הלקוח, בכפוף לתנאי הסכם עיבוד הנתונים שלנו. אם אתם משתמשי קצה ורוצים לממש זכויות על המידע שלכם, עליכם בדרך כלל לפנות ללקוח שהעלה אותו. אנחנו נסייע ללקוח בתגובה לבקשה שלכם.

Workraft איננה גוף מכוסה תחת HIPAA או שותף עסקי. השירות לא תוכנן לאחסן מידע בריאותי מוגן כפי שהוא מוגדר ב-HIPAA, ולקוחות אינם רשאים להעלות PHI ל-Workraft ללא הסכם כתוב נפרד.

3. מידע שאנחנו אוספים

3.1 מידע שאתם מספקים ישירות

• פרטי חשבון: שם, כתובת אימייל, מספר טלפון, שם חברה, תפקיד, ופרטי הזדהות לכניסה לשירות
• פניות דרך טופס הקשר: תוכן הפניה ופרטי הקשר שמסרתם
• תוכן לקוח: מידע שאתם מעלים לשירות בשם הארגון שלכם, כולל פרופילים של עובדים, לוחות משמרות, רשומות נוכחות, מסמכים, תמונות ומידע תפעולי אחר
• פרטי תשלום (כאשר השירות יעבור לתוכניות בתשלום): כתובת חיוב, מזהי מס ופרטי אמצעי תשלום, שיעובדו על ידי מעבד התשלומים העתידי שלנו ולא יאוחסנו ישירות ב-Workraft
• פניות תמיכה: הודעות שאתם שולחים לצוות התמיכה שלנו וכל מידע שאתם חולקים בהתנדבות כדי לפתור בעיה

3.2 מידע שאנחנו אוספים באופן אוטומטי

• מידע טכני ומכשיר: כתובת IP, סוג הדפדפן וגרסתו, מערכת ההפעלה, העדפות שפה, וכתובת ה-URL המפנה
• נתוני שימוש: הדפים בהם ביקרתם, תכונות עימן יצרתם אינטראקציה, משך ההפעלה, והתאריך והשעה של הביקורים
• עוגיות וטכנולוגיות דומות: ראו את סעיף 4 למטה לרשימה המלאה ולמידע על ניהול ההעדפות
• נתוני מיקום ממשתמשי קצה של לקוחות: כאשר לקוח מפעיל תכונות GPS של השירות, Workraft מעבדת אירועי מיקום בשמו של אותו לקוח. הלקוח נשאר בעל השליטה על המידע הזה ועליו לעמוד בחובות המתן-הודעה וההסכמה של דיני העבודה בתחום השיפוט שלו

3.3 מידע מצדדים שלישיים

• מעבדי תשלומים: כאשר נציג תוכניות בתשלום, מעבד התשלומים שלנו ישלח לנו את המידע הדרוש לעיבוד המנוי
• ספקי אנליטיקה: מידע שימוש אגרגטיבי מספקי אנליטיקה, בכפוף להסכמתכם
• מקורות פומביים: במקרים מוגבלים, מידע ממדריכי עסקים פומביים כדי לשפר את פעילות המכירות והתמיכה שלנו

אנחנו לא רוכשים מידע אישי מברוקרי נתונים.

4. עוגיות וטכנולוגיות דומות

עוגיות הן קבצי טקסט קטנים שאתרי אינטרנט ממקמים על המכשיר שלכם כשאתם מבקרים בהם. הן משמשות רבות כדי שאתרים יעבדו ביעילות, כדי לזכור את ההעדפות שלכם ולספק מידע לבעלי האתר. סעיף זה מסביר אילו עוגיות Workraft משתמשת, למה, וכיצד תוכלו לנהל את הבחירות שלכם.

אנחנו מכבדים את אות Global Privacy Control (GPC). אם הדפדפן שלכם שולח אות GPC, אנחנו מתייחסים אליו כחוסר הסכמה לעוגיות אנליטיקה ושיווק כברירת מחדל. נבקש את הסכמתכם שוב אם נבצע שינוי מהותי בקטגוריות העוגיות שאנחנו משתמשים בהן.

4.1 הכרחיות בהחלט (תמיד מופעלות)

עוגיות אלה נדרשות לתפקוד האתר ולא ניתן לבטל אותן. הן נקבעות רק בתגובה לפעולות שאתם נוקטים, כגון הגדרת העדפת השפה או שמירת העדפות הנגישות שלכם. הבסיס המשפטי הוא שהן הכרחיות בהחלט לשירות שביקשתם.

4.2 פונקציונליות

עוגיות אלה היו מאפשרות תכונות אופציונליות המשפרות את החוויה אך אינן הכרחיות בהחלט. הן נטענות רק אם נתתם הסכמה. נכון לרגע הכתיבה, Workraft לא משתמשת בעוגיות פונקציונליות. קטגוריה זו שמורה לשימוש עתידי ותתועד כאן לפני שנפעיל כל עוגייה בה.

4.3 אנליטיקה

עוגיות אלה עוזרות לנו להבין כיצד מבקרים מתקשרים עם האתר. הן נטענות רק אם נתתם הסכמה.

Vercel Analytics תוכנן עם פרטיות בראש — הוא לא משתמש בעוגיות לזיהוי, לא בונה פרופילים חוצי-אתרים, ולא מוכר נתונים לצדדים שלישיים. כשאתם מסתייגים, שום סקריפט אנליטיקה לא נטען כלל.

4.4 שיווק

עוגיות אלה היו מאפשרות לנו למדוד את יעילות קמפיינים שיווקיים ולספק פרסום רלוונטי יותר. הן נטענות רק אם נתתם הסכמה. נכון לרגע הכתיבה, Workraft לא משתמשת בעוגיות שיווקיות או פרסומיות. קטגוריה זו שמורה לשימוש עתידי ותתועד כאן לפני שנפעיל כל עוגייה בה.

4.5 ניהול ההעדפות שלכם

תוכלו לנהל את העדפות העוגיות שלכם בכמה דרכים:

• מרכז ההעדפות של Workraft: לחצו על “הגדרות עוגיות” בכותרת התחתונה של כל דף כדי לפתוח מחדש את מודל ההעדפות
• הדפדפן שלכם: רוב הדפדפנים מאפשרים לכם לחסום או למחוק עוגיות דרך ההגדרות שלהם. שימו לב שחסימת עוגיות הכרחיות בהחלט עלולה למנוע מחלקים מהאתר לעבוד כראוי
• Global Privacy Control: הפעילו את GPC בדפדפן שלכם או התקינו הרחבת דפדפן ששולחת אות GPC

רשימה של צדדים שלישיים שעשויים לעבד נתונים דרך עוגיות זמינה בנספח ב’ של הסכם עיבוד הנתונים.

5. כיצד אנחנו משתמשים במידע

אנחנו משתמשים במידע אישי למטרות הבאות, כל אחת עם בסיס משפטי תואם כמתואר בסעיף 5:

• אספקת והפעלת השירות: יצירת חשבונות, אימות משתמשים, הפעלת תכונות, אחסון מאובטח של מידע ותחזוקת שלמות השירות
• תקשורת איתכם: שליחת התראות תפעוליות, התראות אבטחה, הודעות חיוב ותגובות לבקשות התמיכה שלכם
• שיפור השירות: אבחון באגים, ניתוח דפוסי שימוש אגרגטיביים ופיתוח תכונות חדשות
• תקשורת שיווקית: בהסכמתכם המפורשת, שליחת עדכוני מוצר, ניוזלטרים והצעות מדי פעם
• אבטחה ומניעת שימוש לרעה: זיהוי הונאות, גישה בלתי מורשית ושימוש לרעה בשירות
• ציות משפטי ורגולטורי: עמידה בחוק החל, בצווי בית משפט ובבקשות לגיטימיות של רשויות
• תכונות AI: הפעלת התכונות שלנו AI Shift Manager, AI Shift Analyzer ו-AI View Builder. נתוני הלקוח מעובדים באופן מובנה בגבולות הסביבה של הלקוח ולעולם לא מעורבבים עם נתוני לקוחות אחרים או משמשים לאימון מודלים משותפים

6. בסיסים משפטיים לעיבוד (EU/UK/EEA)

תחת רגולציית הגנת הנתונים הכללית של האיחוד האירופי (GDPR) וה-UK GDPR, אנחנו מעבדים מידע אישי על הבסיסים המשפטיים הבאים:

• ביצוע חוזה (סעיף 6(1)(b)): כדי לספק לכם את השירות ולקיים את חובותינו תחת תנאי השירות
• הסכמה (סעיף 6(1)(a)): לתקשורת שיווקית, עוגיות לא הכרחיות וכל עיבוד שאינו הכרחי לשירות הליבה. תוכלו לחזור בכם מההסכמה בכל עת
• אינטרסים לגיטימיים (סעיף 6(1)(f)): לאבטחת השירות, מניעת הונאות, שיפור איכות המוצר והבנת אופן השימוש בשירות. אנחנו מבצעים מבחני איזון כדי לוודא שהאינטרסים שלנו לא גוברים על זכויותיכם
• חובה משפטית (סעיף 6(1)(c)): לעמידה בחוקי מס, חשבונאות, תעסוקה וחוקים חלים אחרים
• אינטרסים חיוניים (סעיף 6(1)(d)): במצבי חירום נדירים שבהם העיבוד דרוש להגנה על חיי אדם

היכן שמעובד מידע מקטגוריה מיוחדת (למשל, בשימושי סיעוד שבהם לקוח מעלה מידע שקשור לבריאות), אנחנו מסתמכים על ההסכמה המתועדת של הלקוח או על תנאי סעיף 9 אחרים, ומעבדים מידע כזה רק כמעבדת בשם הלקוח.

7. שיתוף וחשיפה

אנחנו לא מוכרים את המידע האישי שלכם. אנחנו משתפים מידע אישי רק בנסיבות הבאות:

• מעבדי משנה: אנחנו שוכרים ספקי שירות של צד שלישי שמעבדים מידע אישי בשמנו תחת הסכמים כתובים המתואמים עם סעיף 28 GDPR. הרשימה הנוכחית מתוחזקת בנספח ב’ של הסכם עיבוד הנתונים
• יועצים מקצועיים: רואי חשבון, מבקרים ועורכי דין, תחת חובות סודיות
• חשיפות משפטיות ורגולטוריות: היכן שאנחנו מחויבים משפטית לחשוף מידע, כולל בתגובה לצו תקף מבית משפט, זימון או בקשה חוקית מרשות ממשלתית
• עסקאות חברות: בקשר למיזוג, רכישה, ארגון מחדש או מכירת נכסים, בכפוף להגנות פרטיות סטנדרטיות לכל מידע מועבר
• בהסכמתכם: היכן שהורתם לנו במפורש לשתף מידע עם צד שלישי (למשל, שותף אינטגרציה)

8. העברות מידע בינלאומיות

Workraft פועלת גלובלית, והמידע האישי שלכם עשוי להיות מועבר ומעובד במדינות מחוץ לאזור הכלכלי האירופי, הממלכה המאוחדת וישראל. כאשר אנחנו מעבירים מידע אישי בינלאומית, אנחנו מסתמכים על אחד המנגנונים הבאים:

• החלטות התאמה: הנציבות האירופית הכירה בישראל כמספקת רמת הגנת נתונים מתאימה. העברות בין ה-EEA לישראל מסתמכות על החלטה זו
• סעיפים חוזיים סטנדרטיים (SCCs): להעברות לתחומי שיפוט ללא החלטת התאמה (כמו ארצות הברית), אנחנו משתמשים ב-SCCs של הנציבות האירופית, מודול 2 (בעל שליטה למעבד) או מודול 3 (מעבד למעבד), לפי העניין
• אמצעים משלימים: הצפנה במעבר ובמנוחה, בקרות גישה, והתחייבויות חוזיות להגביל בקשות גישה למידע מרשויות ציבוריות

הרשימה הנוכחית של היכן נתוני הלקוח מאוחסנים זמינה בנספח ב’ של ה-DPA.

9. שמירת נתונים

אנחנו שומרים מידע אישי רק למשך הזמן הדרוש למטרות המתוארות במדיניות זו ולעמידה בחוק החל. לוח הזמנים הדיפולטי שלנו לשמירה:

• חשבונות פעילים: נשמרים למשך חיי החשבון
• חשבונות שבוטלו: נשמרים למשך 90 יום לאחר הביטול כדי לאפשר שחזור, ואז נמחקים לצמיתות (למעט נתונים שאנחנו מחויבים משפטית לשמור זמן רב יותר)
• רשומות חיוב ומס: נשמרות למשך 7 שנים, כנדרש על פי חוקי המס של ישראל וחוקים אחרים החלים
• יומני אבטחה: נשמרים למשך שנה
• רשומות הסכמה שיווקית: נשמרות עד שההסכמה מבוטלת, ואז נמחקות באופן מיידי
• הגשות טופס קשר: נשמרות עד שנתיים למעקב מכירות, ואז נמחקות

לקוחות יכולים לבקש מחיקה מוקדמת יותר על ידי פנייה ל-legal@workraft.ai. משתמשי קצה צריכים לפנות ללקוח ששולט על המידע שלהם.

10. הזכויות שלכם

10.1 זכויות אוניברסליות שאנחנו מכבדים

ללא קשר למקום המגורים שלכם, אנחנו מכבדים את הזכויות הבאות על פי בקשה:

• זכות גישה: תוכלו לבקש מאיתנו לאשר אם אנחנו מעבדים את המידע האישי שלכם ולבקש עותק
• זכות לתיקון: תוכלו לבקש מאיתנו לתקן מידע לא מדויק או חלקי
• זכות למחיקה: תוכלו לבקש מאיתנו למחוק את המידע שלכם, בכפוף לדרישות שמירה משפטיות
• זכות לניידות: תוכלו לבקש מאיתנו לייצא את המידע שלכם בפורמט מובנה ונפוץ
• זכות להתנגד: תוכלו להתנגד לעיבוד המסתמך על אינטרסים לגיטימיים
• זכות לחזור בכם מהסכמה: היכן שהעיבוד מסתמך על הסכמה, תוכלו לחזור בכם בכל עת

למימוש כל אחת מזכויות אלה, פנו ל-legal@workraft.ai. נגיב תוך 30 יום.

10.2 תושבי האיחוד האירופי, בריטניה וה-EEA (GDPR)

בנוסף לזכויות האוניברסליות, יש לכם את הזכות להגיש תלונה לרשות הפיקוח במדינה החברה של מגוריכם הקבועים, מקום עבודתכם או מקום ההפרה לכאורה, תחת סעיף 77 GDPR.

ל-Workraft אין כיום נציג באיחוד האירופי שמונה תחת סעיף 27 GDPR. [TBD — בהמתנה למינוי לפני ההשקה הציבורית]

10.3 תושבי קליפורניה (CCPA / CPRA)

אם אתם תושבי קליפורניה, חוק הפרטיות של הצרכן בקליפורניה וחוק זכויות הפרטיות של קליפורניה נותנים לכם זכויות ספציפיות ביחס למידע האישי שלכם. אלה כוללות:

• זכות לדעת את הקטגוריות ופריטי המידע האישי הספציפיים שאספנו, המקורות מהם אספנו, המטרה העסקית של האיסוף, והקטגוריות של צדדים שלישיים עימם אנחנו משתפים
• זכות למחיקה של מידע אישי שאספנו, בכפוף לחריגים מסוימים
• זכות לתיקון של מידע אישי לא מדויק
• זכות לסרב למכירה או שיתוף של מידע אישי לפרסום התנהגותי חוצה הקשרים
• זכות להגביל את השימוש והחשיפה של מידע אישי רגיש
• זכות לאי-אפליה בגין מימוש זכויות הפרטיות שלכם

למימוש זכויות הפרטיות שלכם בקליפורניה, פנו ל-legal@workraft.ai עם “בקשת פרטיות קליפורניה” בנושא. אנחנו נאמת את זהותכם לפני שנגיב. תוכלו למנות סוכן מורשה להגיש בקשה בשמכם בהתאם לדרישות ה-CCPA.

10.4 תושבי מדינות אחרות בארה״ב

תושבי וירג׳יניה, קולורדו, קונטיקט, יוטה, טקסס, אורגון, מונטנה, דלאוור, איווה, אינדיאנה, ניו ג׳רזי וטנסי יש להם זכויות דומות במהותן תחת חוקי הפרטיות של המדינות שלהם. אנחנו מכבדים בקשות גישה, תיקון, מחיקה, ניידות וסירוב לפרסום ממוקד מתושבי המדינות האלה. צרו קשר ב-legal@workraft.ai למימוש זכויות אלה.

10.5 תושבי ישראל

תחת חוק הגנת הפרטיות, תשמ״א-1981, כפי שתוקן בתיקון 13 (בתוקף מאוגוסט 2025), לתושבי ישראל יש זכויות גישה, תיקון, ניידות ומחיקה של המידע האישי שלהם, וכן הגנות ביחס לניהול מאגרי מידע ואבטחת מידע.

תוכלו לפנות לקצין הגנת הפרטיות שלנו ב-legal@workraft.ai. אם אתם סבורים שעיבדנו את המידע שלכם באופן בלתי חוקי, תוכלו להגיש תלונה לרשות להגנת הפרטיות הישראלית (PPA).

11. אבטחה

אנחנו מיישמים אמצעים טכניים וארגוניים שנועדו להגן על מידע אישי מפני גישה בלתי מורשית, חשיפה, שינוי והשמדה. אמצעים אלה כוללים:

• הצפנה של נתונים במעבר (TLS 1.2 ומעלה) ובמנוחה
• בקרות גישה המבוססות על עקרון ההרשאה המינימלית
• אימות וניהול הפעלות עם גיבוב סיסמאות מאובטח ואימות רב-שלבי אופציונלי
• הפרדת רשת והגנות חומת אש
• סקירות אבטחה קבועות של הקוד, התלויות והתשתית שלנו
• נהלי תגובה לאירועים לזיהוי, חקירה ודיווח על אירועי אבטחה
• הכשרת צוות על הגנת נתונים, סודיות ופרקטיקות פיתוח מאובטח

תיאור מלא של האמצעים הטכניים והארגוניים שלנו זמין בנספח להסכם עיבוד הנתונים.

דיווח על הפרת נתונים

במקרה של הפרת מידע אישי שעלולה להביא לסיכון לזכויות ולחירויות של נושאי הנתונים, נודיע לרשות הפיקוח המוסמכת ללא עיכוב בלתי מוצדק, ובכל מקרה במידת האפשר תוך 72 שעות מרגע שנודע לנו על ההפרה, בהתאם לסעיף 33 GDPR והוראות תיקון 13 הישראלי המקבילות. היכן שההפרה עלולה להביא לסיכון גבוה, נודיע גם לאנשים המושפעים.

12. פרטיות ילדים

השירות לא מכוון לילדים מתחת לגיל 16. אנחנו לא אוספים במודע מידע אישי מילדים. אם נודע לכם שילד סיפק לנו מידע אישי ללא הסכמת הורים, צרו קשר ב-legal@workraft.ai ואנחנו נמחק את המידע.

13. קבלת החלטות אוטומטית ותכונות AI

השירות כולל תכונות אוטומטיות ומונעות AI, כולל ה-AI Shift Manager (שמציע או מבצע שיבוצי משמרות), ה-AI Shift Analyzer (שחושף דפוסים וסיכונים), וה-AI View Builder (שיוצר לוחות בקרה מותאמים אישית לפי דרישה).

תחת סעיף 22 GDPR, לנושאי נתונים יש זכות לא להיות כפופים להחלטות המבוססות אך ורק על עיבוד אוטומטי שמביאות להשפעות משפטיות או משמעותיות דומות. היכן שתכונות ה-AI שלנו תומכות בהחלטה משמעותית (למשל, שיבוץ משמרת שמשפיע על הכנסת עובד), הלקוחות נשארים אחראים להבטחת פיקוח אנושי משמעותי. Workraft מספקת כלים לתמיכה בפיקוח זה אך אינה מקבלת בעצמה החלטות מחייבות על נושא נתונים כלשהו.

נתוני הלקוח מעובדים באופן מובנה בגבולות הסביבה של הלקוח ולעולם לא מעורבבים עם נתוני לקוחות אחרים או משמשים לאימון מודלים משותפים של AI.

14. שינויים במדיניות זו

אנחנו עשויים לעדכן את מדיניות הפרטיות הזו מדי פעם. כאשר נבצע שינויים מהותיים, נודיע לכם באימייל (אם יש לכם חשבון) או בהודעה בולטת באתר לפחות 30 יום לפני שהשינויים ייכנסו לתוקף, אלא אם כן נדרשת הודעה קצרה יותר על פי החוק. שימוש מתמשך בשירות לאחר תאריך הכניסה לתוקף מהווה קבלה של המדיניות המעודכנת.

הגרסה הנוכחית, תאריך התוקף וקישור לגרסה הקודמת (היכן שזמין) מופיעים בראש מסמך זה.

15. צרו איתנו קשר

לכל שאלה, דאגה או בקשה ביחס למדיניות פרטיות זו או למידע האישי שלכם, פנו:

Workraft בע״מ תל אביב, ישראל אימייל: legal@workraft.ai

נציג באיחוד האירופי: [TBD — בהמתנה למינוי לפני ההשקה הציבורית]