מסמך משפטי

מדיניות פרטיות

תאריך כניסה לתוקף: 20 במאי 2026 · עדכון אחרון: 20 במאי 2026

מדיניות זו מסבירה כיצד Polaris Brands ("Polaris", "אנחנו"), המפעילה את פלטפורמת Polaris B2B Marketplace בכתובת b2b.polaris-brands.com, אוספת, משתמשת, ומעבירה נתונים אישיים. המדיניות כתובה בהתאם ל חוק הגנת הפרטיות, התשמ״א-1981 ולתקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017, ומיישמת באופן וולונטרי גם עקרונות מתוך תקנת ה-GDPR האירופית עבור משתמשים במדינות הרלוונטיות.

בעל המאגר ("Data Controller"): Polaris Brands. נציג פניות פרטיות: support@polaris-brands.com.

1. אילו נתונים אנחנו אוספים

1.1 נתונים שספקים מספקים בהרשמה

  • שם מלא + שם עסק
  • מספר ע.מ. או ח.פ.
  • מספר טלפון נייד
  • כתובת אימייל
  • פרטי כרטיס אשראי (מתויקנים דרך Cardcom — לא נשמרים אצלנו)
  • צמדי עיר × מקצוע מבוקשים
  • תקרת לידים יומית רצויה

1.2 נתונים שלקוחות מספקים בטופס

  • שם פרטי
  • מספר טלפון
  • עיר
  • מקצוע נדרש
  • תיאור חופשי של הצורך (טקסט קצר)

1.3 נתונים שנאספים אוטומטית

  • כתובת IP, סוג דפדפן, ומערכת הפעלה — לצורך אבטחה ולוגינג של פעולות חשודות.
  • דפי אתר שביקרת בהם בתוך הפלטפורמה, ומקור ההגעה (UTM, referrer).
  • עוגיות session המאפשרות לזכור שאתה מחובר ולשמור את העדפות הפורטל.
  • היסטוריית הלידים שקיבלת, כולל זמני תגובה ותוצאות (לצורך אופטימיזציה של ההתאמה).

2. למה אנחנו אוספים את הנתונים

  • אספקת השירות: חיבור לקוחות לספקים, אימות מספרי טלפון, חיוב פר ליד.
  • חיוב + חשבונאות: הפקת חשבוניות, ניהול כסף, עמידה בחובות דיווח לרשויות המס.
  • אבטחה ולוגינג: זיהוי חשבונות מזוייפים, ניסיונות spam, ושימוש לרעה.
  • שיפור המוצר: ניתוח אגרגטיבי (לא אישי) של מקצועות חמים, ערים, ומקורות לידים.
  • תקשורת תפעולית: שליחת הליד עצמו ב-WhatsApp, חשבוניות במייל, התראות על תקלות.

אנחנו לא משתמשים בנתונים אישיים של לקוחות לצרכי שיווק כללי, ולא מוכרים נתונים אישיים לצדדים שלישיים.

3. למי אנחנו מעבירים נתונים (Sub-processors)

אנחנו משתמשים בספקי תשתית הבאים, שכל אחד מהם מקבל רק את המינימום הנדרש כדי לבצע את הפונקציה שלו:

  • Wati (WhatsApp Business API gateway) — שליחת הודעות WhatsApp ללקוחות ולספקים, ואימות OTP. מקבל: מספרי טלפון + תוכן ההודעה. מיקום הנתונים: AWS שרתי Wati.
  • Cardcom (מערכת סליקה ישראלית מאושרת PCI-DSS Level 1) — סליקת אשראי + הפקת חשבוניות מס/קבלה. מקבל: שם, סכום חיוב, ופרטי כרטיס מסומכים (tokenized). אנחנו עצמנו לא רואים מספר כרטיס מלא.
  • Resend (transactional email) — שליחת אימיילי חשבוניות, אישורי הרשמה, והתראות. מקבל: כתובת אימייל + תוכן ההודעה.
  • Google (Ads + Analytics) — קמפיינים ממומנים לאקוויזיציה של לקוחות. מקבל: אגרגטים סטטיסטיים של מקור ההגעה. אנחנו משתמשים ב-Google Ads conversion tracking ללא העברת פרטים אישיים של לקוחות לגוגל.
  • Meta (Facebook / Instagram Business) — בעתיד, לצורך אקוויזיציית ספקים בלבד. אנחנו לא מטמיעים pixel של Meta באתר עצמו נכון להיום.
  • Cloudflare — DNS + CDN לעמודי הנחיתה הציבוריים. לוגינג של בקשות HTTP אגרגטיביות, לא אישיות.
  • Anthropic Claude API — מודל שפה שמעבד את ההודעות של הקונסיירז' שלנו. מקבל: תוכן ההודעות, ללא PII כשניתן להפיק את התשובה בלי. לא מאמן את המודל על הנתונים שלנו (per Anthropic's commercial data policy).

כל ספק מהרשימה כפוף להסכם עיבוד נתונים (DPA) חתום, או לתנאי שירות עסקיים שכוללים סעיפי אבטחה ופרטיות שווי ערך.

4. תקופת שמירה

  • נתוני ספק פעיל: כל עוד החשבון פעיל + 90 יום מהביטול, למעט מידע שחובה עלינו לשמור לפי החוק (ראה הבא).
  • נתוני חשבונאות (חשבוניות, חיובים): 7 שנים, לפי דרישות פקודת מס הכנסה ומע״מ.
  • פרטי לקוחות שהגישו טופס: 12 חודשים מהגשת הטופס, ואז נמחקים אוטומטית.
  • לוגים תפעוליים (IP, request logs): 90 יום, ואז מוצנעים (anonymised) או נמחקים.

5. זכויות נושאי המידע

לפי חוק הגנת הפרטיות הישראלי + GDPR (כשרלוונטי), אתה זכאי:

  • זכות עיון — לדעת אילו נתונים אנחנו מחזיקים עליך.
  • זכות תיקון — לבקש תיקון של נתון שגוי. נטפל בבקשה תוך 30 יום.
  • זכות מחיקה — לבקש מחיקת הנתונים, בכפוף לחובות שמירה חוקיות (סעיף 4).
  • זכות ניוד — לקבל את הנתונים שלך בקובץ מובנה (JSON) שאפשר להעביר לפלטפורמה אחרת.
  • זכות התנגדות — להפסיק את עיבוד הנתונים שלך לצרכי שיווק.
  • זכות הגשת תלונה — לרשות הגנת הפרטיות במשרד המשפטים, או לרשות מקבילה במדינה שלך.

כדי לממש זכות — שלח אימייל ל-support@polaris-brands.com עם נושא "בקשת פרטיות" + תיאור הבקשה. נאמת את זהותך ונחזיר תשובה מהותית תוך 30 יום.

6. עוגיות וטכנולוגיות מעקב

הפלטפורמה משתמשת בעוגיות (cookies) ל צורך תפעולי בלבד:

  • עוגיית session — מאפשרת לך להישאר מחובר בפורטל. נמחקת ביציאה.
  • עוגיית CSRF — מגינה על טפסים מפני זיופים.
  • Google Ads conversion cookie — אם הגעת מ-Google Ads, אנחנו מודדים שהקליק הוביל להרשמה. ללא מידע אישי. ניתן לחסום ב-Do Not Track של הדפדפן.

אנחנו לא משתמשים בעוגיות מעקב לצרכי פרסום מחדש (remarketing) דרך-אתרי.

7. אבטחת מידע

אנחנו מיישמים אמצעי אבטחה תקניים, כולל:

  • הצפנה ב-transit — כל התעבורה מוצפנת ב-TLS 1.3.
  • הצפנה at-rest — מסד הנתונים של Polaris מוצפן ברמת ה-disk.
  • Row-Level Security (RLS) + RBAC — גישת ספק מוגבלת רק לנתונים שלו עצמו. ספק לא רואה את נתוני ספק אחר.
  • גיבויים יומיים — נשמרים מוצפנים על שרת נפרד למשך 30 יום.
  • לוגינג של גישה — כל פעולה אדמיניסטרטיבית רשומה ב-audit log בלתי-מתעדכן.
  • 2FA — חובה לחשבונות מנהל. אופציונלי לספקים (יהיה חובה בעתיד).

במקרה של חשד לדליפת מידע, נדווח לרשות הגנת הפרטיות תוך 24 שעות מהזיהוי, ולנושאי המידע הרלוונטיים תוך 72 שעות, בהתאם לתקנות הישראליות.

8. שינויים במדיניות

אנחנו רשאים לעדכן את המדיניות. שינוי משמעותי (הוספת ספק חדש שמקבל נתונים, שינוי בתקופת שמירה, וכד׳) יישלח לכתובת האימייל הרשומה לפחות 14 יום לפני כניסתו לתוקף. השימוש ב-Polaris לאחר תאריך הכניסה לתוקף = הסכמה לגרסה החדשה.

9. יצירת קשר

לכל שאלה הקשורה לפרטיות, או למימוש זכות — support@polaris-brands.com. מיועד הפניות (DPO contact) של Polaris.

רשות הגנת הפרטיות בישראל: gov.il — רשות הגנת הפרטיות

תאריך כניסה לתוקף: 20 במאי 2026. עדכון אחרון: 20 במאי 2026.