מדיניות פרטיות

• פרטי חשבון: כתובת מייל, שם תצוגה, סיסמא (כ-hash בלבד), טלפון (אופציונלי).
• פרטי זהות שמילאתם ב-onboarding: מגדר, צורת פנייה, נטייה מינית (אופציונלי), מבנה זוגיות (אופציונלי).
• תוכן שיחה: כל ההודעות בצ׳אט הפרטי, הצ׳אט המשותף, ובסשני הווידאו. מוצפן ב-AES-256-GCM עם מפתח ייעודי לזוג שלכם.
• הקלטות קוליות: קבצי האודיו עצמם נשמרים זמנית; התמלול שלהם מוצפן כמו שאר התוכן.
• שאלוני פתיחה ופרופיל מזוקק: התשובות שלכם ומסקנות שהמערכת הסיקה — מוצפנים.
• אירועי בטיחות (CrisisIncident): כשהמערכת מזהה תוכן רגיש (אובדנות, אלימות, פגיעה בקטין), היא יוצרת רשומה עם metadata + ראיה מוצפנת. רשומות אלו נשמרות גם לאחר מחיקת חשבון — ראו סעיף 6.
• לוגי גישה (audit log): רישום של פעולות מרכזיות (התחברות, ייצוא נתונים, גישה של מייעצת קלינית) — לצורכי ביקורת.

כל מידע אישי רגיש מוצפן ב-AES-256-GCM. לכל זוג יש מפתח ייעודי (DEK) שמופק פעם אחת, ועטוף במפתח-אב (master key) שאנחנו שומרים נפרד מהמסד.

משמעות: גם אם תופר ההגנה על המסד, הנתונים עצמם אינם קריאים בלי המפתח-אב; וגם בעלי המפתח-אב לא יכולים לקרוא נתוני זוג ספציפי בלי לטעון את ה-DEK שלהם (פעולה שמתועדת ב-audit log).

• לא משתמשים בתוכן שלכם לאימון מודלים — לא של OpenAI, לא של אף ספק AI אחר, לא של עצמנו.
• לא חולקים תוכן שלכם עם בן/בת הזוג מהמרחב הפרטי שלכם. רק תובנות שאתם מאשרים במפורש לשתף, ושמקבלות הסכמה דו-צדדית, עוברות למרחב המשותף.
• לא מוכרים נתונים לצדדים שלישיים. נקודה.
• לא יוצרים פרופיל פרסומי עליכם.

לפני שתוכן עובר ל-OpenAI לעיבוד, אנחנו מבצעים pseudonymization: כל שם פרטי, שם משפחה, שם של ילד, שם מקום עבודה, או שם של מקום מגורים מוחלף ב-token שאינו קריא ([PARTNER_A], [CHILD_1], וכו׳). כך שמות אמיתיים לא יוצאים מהמערכת שלנו. ה-token מוחלף בחזרה בשם האמיתי כשהתשובה חוזרת אלינו, לפני שתראו אותה.

בכל עת, בעצמכם דרך /settings/privacy, תוכלו:

• לייצא את כל הנתונים שלכם כקובץ JSON.
• לייצא שיחה ספציפית כקובץ נפרד (לקחת לעו״ס, מטפל/ת, או עו״ד).
• לבקש מחיקת חשבון. המחיקה אינה מיידית — היא מתחילה תקופת גרייס של 30 יום שבה תוכלו לבטל. אחרי 30 יום, מפתח ההצפנה של הזוג נמחק קריפטוגרפית — והתוכן שלכם הופך לבלתי קריא לעולם, גם מגיבויים.
• לעדכן או לתקן פרטי זהות, צורת פנייה, ופרופיל בכל עת.

רשומות מסוג CrisisIncident (אובדנות, אלימות, פגיעה בקטין, וכו׳) נשמרות גם לאחר מחיקת חשבון. הסיבה: חוק העונשין § 368ד קובע חובת תיעוד בנושאים אלו, גם אחרי שהמשתמש ביקש מחיקה. אבל:

• פרטי המשתמש (userId, coupleId) נמחקים מהרשומה — הופכת לאנונימית.
• התוכן של הראיה היה מוצפן עם מפתח הזוג, ועם מחיקת המפתח — התוכן הופך לבלתי קריא לעולם.
• נשמר רק metadata: קטגוריה (אובדנות / DV / וכו׳), severity, תאריך. בלי אפשרות לקשר חזרה אל אדם ספציפי.

אנחנו לא קוראים את התוכן שלכם במהלך פעילות שגרתית. גישה לתוכן מתרחשת רק במקרים האלה:

• מייעצת קלינית מורשית סוקרת אירועי בטיחות (CrisisIncident) בדשבורד פנימי. כל פתיחת רשומה מתועדת ב-audit log עם זהותה.
• תקלות טכניות: במקרה של תקלה שדורשת ניפוי, מהנדס/ת רשאי/ת לראות נתונים בלי-תוכן (metadata, מבנה, שגיאות). גישה לתוכן עצמו דורשת אישור מפורש שלכם.

• OpenAI — מקבלים תוכן pseudonymized (בלי שמות אמיתיים). לפי תנאי השימוש העסקיים שלנו עם OpenAI, התוכן אינו משמש לאימון.
• Neon (EU) — מסד הנתונים שלנו. הנתונים בתוכו מוצפנים אצלנו, וגם Neon מוצפן at-rest ו-in-transit ע״י Neon עצמם.
• Vercel — תשתית האירוח. רואים רק נתוני infra (כתובת IP, headers); לא רואים את תוכן הבסיס.
• Resend — שולח אלינו מיילים בלבד (magic link, הזמנות, התראות פנימיות). אינו רואה תוכן שיחה.
• Vercel Blob — אחסון קבצים זמני (הקלטות, ייבואים). מוצפן at-rest; נמחק לאחר עיבוד.

במהלך onboarding תוכלו לסמן הסכמה לאפשר ל-Trust & Safety Officer שלנו ליצור איתכם קשר תוך 4 שעות במצב חירום קליני שזיהינו (severity 5 — אובדנות אקטיבית, פגיעה בקטין שלכם, איום מיידי). הסכמה זו אופציונלית לגמרי, ניתנת לביטול בכל עת ב-/settings/privacy.

אם לא נתתם הסכמה: אנחנו לא יוצרים איתכם קשר. אנחנו מציעים לכם משאבי עזרה דרך המסך (distress modal, /distress page) — אבל לא מעבר לכך.

עדכון מהותי במדיניות הפרטיות יישלח אליכם במייל ויסומן בעמוד הזה. המשך השימוש לאחר עדכון נחשב להסכמה.

כל פנייה בנושאי פרטיות, אבטחה, בקשת גישה למידע, או בקשת מחיקה — תוכלו לטפל באופן עצמאי ב-/settings/privacy. לכל שאלה חורגת, ניתן לפנות אלינו דרך פרטי הקשר שיתפרסמו בעת השקת הגרסה הציבורית.