מדיניות פרטיות
תחילת תוקף: 14 באוגוסט 2025
שפת המסמך: עברית ואנגלית — הנוסח העברי גובר
📋 תוכן עניינים
1. מבוא
Maximizer AI Ltd. (להלן: "החברה", "אנו") מפעילה פלטפורמת Active Intelligence Layer לתעשיית ביטוח הנכסים והאחריות (P&C). הפלטפורמה מספקת ניתוח שיחות בזמן אמת, ניהול תביעות ואינטליגנציה פורנזית לחברות ביטוח.
מדיניות פרטיות זו מתארת כיצד אנו אוספים, מעבדים ומגנים על מידע אישי בהתאם לחוק הגנת הפרטיות, התשמ"א–1981 בנוסחו המעודכן ("החוק"), לרבות תיקון מס׳ 13 שנכנס לתוקף ב-14.8.2025, ובהתאם לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז–2017.
2. זהות החברה ופרטי קשר
| פרט | מידע |
|---|---|
| שם החברה | Maximizer AI Ltd. |
| כתובת | ישראל |
| אתר האינטרנט | https://maximizer.ai |
| דוא"ל לענייני פרטיות | privacy@maximizer.ai |
| ממונה על הגנת הפרטיות | Data Protection Officer — privacy@maximizer.ai |
החברה הינה "בעל השליטה במאגר המידע" כמשמעותו בחוק לגבי מידע אישי של לקוחות, משתמשי הפלטפורמה ומשתמשי האתר. ביחס לנתוני מבוטחים שמסרו לנו לקוחות ביטוח (חברות ביטוח), החברה פועלת כ"מחזיק" (מעבד נתונים) בשמם.
3. מידע אישי שנאסף
3.1 מידע שאנו אוספים ישירות
- פרטי זיהוי: שם, כתובת דוא"ל, מספר טלפון, תפקיד בארגון
- פרטי חשבון: שם משתמש, סיסמה מוצפנת, הגדרות גישה
- נתוני שימוש בפלטפורמה: פעולות משתמש, לוגים, עדפות
- נתוני תקשורת: כל פנייה לתמיכה או למחלקת פרטיות
3.2 מידע שמעבדים לקוחות הביטוח שלנו
במסגרת מתן שירות ללקוחות הביטוח, אנו מעבדים מידע אישי של מבוטחיהם בהתאם להוראות חוזה ההתקשרות, לרבות:
- הקלטות שיחות ותמלילים
- פרטי תביעות (מספר תביעה, סוג אירוע, סכומים)
- נתונים ביומטריים — ניתוח קולי לצורכי זיהוי דפוסי סיכון בלבד (ראו §3.3)
- תוצרי ניתוח AI: ציוני סיכון, סיכומים, המלצות
3.3 מידע בעל רגישות מיוחדת
תיקון 13 מגדיר קטגוריית "מידע בעל רגישות מיוחדת" הדורשת הגנה מוגברת. ניתוח קולי ביומטרי עשוי להיכנס לקטגוריה זו. אנו מיישמים את האמצעים הבאים:
- עיבוד למטרה מוגדרת בלבד: זיהוי אינדיקטורים לסיכון תביעה — לא לזיהוי אישי
- הצפנה ברמה גבוהה בעת שמירה ובעת העברה
- מחיקה אוטומטית של הנתונים הגולמיים לאחר השלמת הניתוח
- גישה מוגבלת לכוח אדם מורשה בלבד
4. בסיס המשפטי לעיבוד
בהתאם לחוק הגנת הפרטיות המתוקן, אנו מסתמכים על הבסיסים המשפטיים הבאים:
| מטרת העיבוד | בסיס משפטי | סעיף חוק |
|---|---|---|
| מתן שירותי פלטפורמה ללקוחות | הסכם חוזי | חוק עסקאות אזרחיות; חוק הגנת הפרטיות |
| ניהול חשבון משתמש | חוזה + הסכמה | תיקון 13 §5א |
| זיהוי מרמה ודפוסי סיכון | אינטרס לגיטימי של לקוח הביטוח | חוק הביטוח, התשמ"א–1981 |
| ציות לחוק ורגולציה | חובה חוקית | חוק הגנת הפרטיות, תקנות אבטחת מידע |
| שיפור ופיתוח הפלטפורמה | הסכמה + אינטרס לגיטימי | תיקון 13 |
5. זכויות נושאי המידע
תיקון 13 מחזק את זכויות נושאי המידע. הזכויות הבאות עומדות לכם:
| זכות | תיאור |
|---|---|
| זכות עיון | לקבל עותק של המידע האישי שנאסף עליכם |
| זכות תיקון | לדרוש תיקון מידע שגוי או חסר |
| זכות מחיקה | לדרוש מחיקת מידע בהתאם לתנאים שבחוק |
| זכות התנגדות | להתנגד לעיבוד מידע המבוסס על אינטרס לגיטימי |
| זכות להגביל עיבוד | לדרוש הגבלת עיבוד במקרים הקבועים בחוק |
| פיצוי ללא הוכחת נזק | תיקון 13 מאפשר לבית המשפט לפסוק פיצוי גם ללא הוכחת נזק |
לממש את זכויותיכם, פנו לממונה על הגנת הפרטיות: privacy@maximizer.ai. אנו מחויבים לטפל בבקשות תוך 30 ימים (ניתן להאריך ל-60 ימים בנסיבות מורכבות בהודעה מוקדמת).
6. אבטחת מידע, אירוח ובידוד טננטים
הפלטפורמה מסווגת ברמת אבטחה גבוהה בהתאם לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז–2017, ומאובטחת על פי ת"י ISO/IEC 27001:2022 (אישור IQC מס׳ I33153). אמצעי האבטחה כוללים:
- הצפנת AES-256 לנתונים בשמירה; TLS 1.3 לנתונים בתעבורה
- אימות רב-שלבי (MFA) לכל משתמשי הפלטפורמה
- בקרת גישה מבוססת תפקיד (RBAC) והפעלת עיקרון ההרשאה המינימלית (least privilege)
- אירוח רב-ענני: Google Cloud Platform (ראשי), Amazon Web Services, או Microsoft Azure — באזור שהלקוח בוחר
- רישום ביקורת בלתי-ניתן לשינוי לכל גישה לנתונים רגישים
- בדיקות חדירה עצמאיות (Comm-IT); בדיקה מעודכנת במסגרת תהליך ה-SOC 2 Type II עם Scytale
6.1 בידוד טננטים (Single-Tenant)
כל לקוח פועל בסביבה ייעודית (Single-Tenant) ברשת וירטואלית פרטית (VPC) ללא גישה יוצאת לאינטרנט. משאבי מחשוב, אחסון ומשקולות מודל אינם משותפים בין לקוחות. קובצי קלט ותוצרים עוברים דרך Cloud Storage מבודד; ממשק המשתמש מוגן באמצעות Google Cloud Armor עם סינון לפי אזור וכתובת IP.
6.2 אי-שימוש בנתוני לקוח לאימון מודלים
נתוני לקוח אינם משמשים לאימון מודלים כלליים או משותפים. היכן שלקוח מבקש התאמה-אישית (fine-tuning) של מודל עבור הטננט שלו, התהליך מתבצע אך ורק בתוך סביבת הלקוח המבודדת, מחייב הסכמה בכתב, וכולל הסכם מעובד נתונים (DPA). התחייבות זו היא חוזית ולא רק מדיניות.
במקרה של אירוע אבטחת מידע שעלול לפגוע בנושאי מידע, נדווח לרשות להגנת הפרטיות ולנושאי המידע הרלוונטיים בהתאם לדרישות החוק.
8. העברת מידע לחו"ל
הפלטפורמה מאוחסנת בישראל ובאיחוד האירופי (אזור europe-west4). העברת מידע לגורמים מחוץ לאיחוד האירופי מוגנת בסעיפי חוזה סטנדרטיים (SCCs) ובהתאם לסמכות הלימות שניתנה לישראל על ידי האיחוד האירופי.
9. שמירת מידע
| סוג מידע | תקופת שמירה | הצדקה |
|---|---|---|
| הקלטות שיחות | בהתאם להוראות לקוח הביטוח | מחזיק / Processor — client governs |
| נתוני ניתוח AI | 7 שנים | תקופת התיישנות תיקון 13 |
| נתוני חשבון משתמש | 3 שנים לאחר סיום ההתקשרות | ציות חוזי ורגולטורי |
| לוגי ביקורת | 7 שנים | ISO/IEC 27001:2022 ודרישות רגולטוריות |
| נתונים ביומטריים גולמיים | מחיקה לאחר הניתוח | עיבוד למטרה מוגדרת |
10. ממונה על הגנת הפרטיות
בהתאם לתיקון 13, מינינו ממונה על הגנת הפרטיות (DPO). הממונה אחראי על:
- הבטחת ציות הארגון לדיני הפרטיות
- טיפול בפניות ובקשות של נושאי מידע
- קשר מול הרשות להגנת הפרטיות
- ניהול תכניות הדרכה ובקרה פנימית
לפנייה לממונה: privacy@maximizer.ai
12. עדכונים למדיניות
אנו עשויים לעדכן מדיניות פרטיות זו מעת לעת. שינויים מהותיים יפורסמו 30 ימים לפני כניסתם לתוקף. שימוש מתמשך בפלטפורמה לאחר מועד התחולה מהווה הסכמה לשינויים.
13. הגשת תלונה
אם אתם סבורים שמידע אישי שלכם טופל שלא כדין, תוכלו לפנות:
- ממונה הגנת הפרטיות של החברה: privacy@maximizer.ai
- הרשות להגנת הפרטיות: https://www.gov.il/he/departments/the_privacy_protection_authority
תקופת ההתיישנות להגשת תביעה אזרחית לפי חוק הגנת הפרטיות הוארכה ל-7 שנים בעקבות תיקון 13.
לפנייה בענייני פרטיות: privacy@maximizer.ai