תוכן עניינים
1. מבוא ומטרת המדיניות
מדיניות פרטיות זו מתארת כיצד מערכת Work Safety אוספת, מעבדת, שומרת ומגנה על מידע אישי של משתמשים, עובדים, קבלנים ולקוחות.
מדיניות זו נכתבה בהתאם לדרישות תיקון 13 לחוק הגנת הפרטיות, התשמ"א–1981, שנכנס לתוקף ב-14 באוגוסט 2025.
2. הגדרות מרכזיות
- מידע אישי — כל מידע המאפשר זיהוי של אדם: שם, תעודת זהות, טלפון, מייל, מיקום.
- מידע בעל רגישות מיוחדת — מידע רפואי (תוקף בדיקה תעסוקתית) ותעודות זהות.
- נושא מידע — כל אדם שמידע אישי אודותיו מעובד במערכת: עובד, קבלן, מנהל אתר.
- לקוח — חברת בנייה או קבלן ראשי שרכש שירותי WorkSafety.
- עיבוד מידע — כל פעולה עם מידע: איסוף, קריאה, שמירה, שינוי, הפקת דוחות, מחיקה.
3. פרטי בעלת השליטה במאגר
| פרט | ערך |
|---|---|
| שם המערכת | Work Safety |
| שם החברה הרשומה | ברקאי ש. בטיחות בע"מ |
| ח.פ. | 515782050 |
| כתובת | ד.נ.ג.ת, מושב אילניה 1525500 |
| דוא"ל פניות פרטיות | privacy@worksafety.io |
| ממונה הגנת פרטיות (DPO) | ברנרד דהן |
| אתר אינטרנט | worksafety.io |
4. איזה מידע אנו אוספים ולמה
4.1 משתמשי המערכת
- שם מלא, שם משתמש, דוא"ל, טלפון — זיהוי והתחברות
- תפקיד ורמת הרשאות — בקרת גישה
- היסטוריית פעולות (Audit Log) — אבטחה וציות
- כתובת IP ונתוני התחברות — אבטחת חשבון
4.2 עובדים וקבלנים
- שם מלא, תעודת זהות, תאריך לידה — זיהוי לצורכי בטיחות
- טלפון ודוא"ל — תקשורת והתראות
- מקצוע ותפקיד — שיוך הדרכות
- תוקף בדיקה רפואית (מידע רגיש) — עמידה בתקנות הבטיחות
- תוקף הדרכות ורישיונות — ציות רגולטורי
- חתימות דיגיטליות — תיעוד הסכמה ואימות נוכחות בהדרכות
5. הבסיס החוקי לעיבוד המידע
- חובה חוקית — עיבוד מידע בטיחות לעמידה בתקנות תשע"ג-2013.
- הסכם חוזי — עיבוד מידע משתמשים לאספקת השירות.
- הסכמת נושא המידע — לגבי מידע שאינו חובה חוקית (תמונה, מיקום מדויק).
- אינטרס לגיטימי — ניהול אבטחת מידע, מניעת תרמיות.
6. מידע בעל רגישות מיוחדת
WorkSafety מודעת לכך שחלק מהמידע במערכת מסווג בחוק כ"בעל רגישות מיוחדת" ומחייב הגנה מוגברת. הקטגוריות הבאות מטופלות באמצעי הגנה מתקדמים:
- מידע רפואי (תוקף בדיקה תעסוקתית) — נגיש אך ורק למשתמשים מורשים לפי תפקיד (ממונה בטיחות, מנהל החברה ומנהל מערכת), באמצעות מערכת בקרת גישה (RBAC). כל גישה לשדה זה נרשמת בלוג ביקורת.
- תעודות זהות — נגישות אך ורק למשתמשים מורשים לפי תפקיד. כל פעולה על שדה זה נרשמת בלוג ביקורת. הגישה למסד הנתונים מוגנת ברמת השרת באמצעות סיסמה ואינה פתוחה לרשת.
WorkSafety פועלת באופן שוטף לחיזוק אמצעי האבטחה ושוקלת הוספת הצפנה ברמת השדה (Field-Level Encryption) למידע אישי רגיש כחלק ממפת דרכים לאבטחה.
7. העברת מידע לצדדים שלישיים
WorkSafety לא מוכרת ולא משתפת מידע לצורכי שיווק. העברת מידע מתבצעת רק למקרים הבאים:
- ספק אחסון (VPS) — חוזה DPA בתוקף, אחסון בישראל.
- Green-API (WhatsApp) — שליחת התראות בטיחות בלבד.
- SMTP Provider — שליחת התראות ודוחות.
- רשות מוסמכת — בהתאם לדרישה חוקית מפורשת בלבד.
8. משך שמירת המידע
| סוג מידע | משך שמירה |
|---|---|
| מידע עובדים פעילים | כל תקופת ההעסקה + 7 שנים |
| תיעוד הדרכות בטיחות | 7 שנים (דרישה רגולטורית) |
| דוחות ביקורת | 7 שנים |
| חתימות דיגיטליות | 7 שנים |
| לוגי גישה (Audit Trail) | 3 שנים |
| חשבון לקוח שהסתיים | 3 שנים ממועד הסיום |
| גיבויי מסד נתונים יומיים | 30 ימים, מחיקה אוטומטית |
| גיבויי תשתית (VPS) | סיבוב של 7 גיבויים אצל ספק האחסון |
9. זכויות נושאי המידע
בהתאם לתיקון 13, לכל אדם שמידע אישי אודותיו מוחזק במערכת:
| הזכות | לוח זמנים | כיצד לממש |
|---|---|---|
| עיון במידע | 30 יום | בקשה כתובה לממונה פרטיות |
| תיקון מידע | 30 יום | בקשה עם פרטי השגיאה |
| מחיקת מידע | 30 יום | בקשה כתובה עם הסבר |
| הגבלת עיבוד | מיידי | פנייה לממונה |
| התנגדות לעיבוד | מיידי | פנייה לממונה |
פנייה: privacy@worksafety.io
10. אבטחת מידע
אמצעים טכניים
- HTTPS/TLS 1.2+ על כל תקשורת (תעודה תקפה, HSTS מאולץ)
- הצפנת AES-256 לסיסמאות שירותים חיצוניים (SMTP, Aconex) במסד הנתונים
- סיסמאות משתמשים — bcrypt עם cost=12 ומלח אקראי
- בקרת גישה לפי תפקיד (RBAC) — גישה לכל שדה מוגבלת לפי תפקיד המשתמש
- הגבלת ניסיונות התחברות (Rate Limiting) — חסימה אוטומטית לאחר 5 ניסיונות כושלים
- הגנת CSRF Token על כל פעולה ניהולית
- הגנת XSS ו-SQL Injection (PDO Prepared Statements)
- Audit Trail — תיעוד כל פעולה ניהולית במערכת, נשמר 3 שנים
- גיבוי מסד נתונים יומי אוטומטי (mysqldump + דחיסת gzip), נשמר 30 ימים בתיקייה מוגנת על השרת
- גיבוי תשתית מלאה של ה-VPS על ידי ספק האחסון, סיבוב של 7 גיבויים
אמצעים ארגוניים
- עובדי WorkSafety מחויבים לסודיות מוחלטת
- גישה למידע לקוחות מוגבלת לפי תפקיד
- ספקים חיצוניים חתומים על הסכמי DPA
11. אירועי אבטחת מידע
במקרה של פרצה, דליפה, או גישה בלתי מורשית:
- דיווח לרשות להגנת הפרטיות תוך 72 שעות
- הודעה אישית לנושאי המידע שנפגעו
- תיעוד מלא של האירוע, הגורמים ותוצאות החקירה
לדיווח על חשד לאירוע: security@worksafety.io
12. הסכמה ויידוע בהזנת מידע
בכל הזנת עובד חדש — המנהל מאשר כי העובד קיבל הסבר על שמירת מידעו. מידע שאינו חובה חוקית מסומן "אופציונלי" בממשק. בעת יצירת חשבון משתמש — נשמר תיעוד האישור עם תאריך וגרסת המדיניות.
13. אחריות לקוחות WorkSafety
לקוחות המערכת (חברות הבנייה) הם בעלי שליטה משותפים במידע שהם מזינים, ומחויבים לפי תיקון 13 לעמוד בחובות הבאות:
- לידע את עובדיהם על שמירת מידעם ב-WorkSafety
- לוודא הסמכה לאיסוף מידע בעל רגישות מיוחדת
- לא להזין מידע עודף שאינו נדרש
- לטפל בבקשות עיון ומחיקה של עובדיהם
WorkSafety מתחייבת לספק לכל לקוח הסכם עיבוד מידע (DPA) הכולל את הסעיפים הנדרשים על פי תיקון 13. הסכם זה הכרחי לציות בחוק. לקוחות יכולים לפנות אלינו בבקשה לקבלת ה-DPA דרך privacy@worksafety.io.
14. עוגיות (Cookies)
| עוגייה | מטרה |
|---|---|
| PHPSESSID | זיהוי סשן — חיונית, לא ניתן לביטול |
| CSRF Token | הגנת אבטחה — חיונית, לא ניתן לביטול |
| Service Worker Cache | PWA — ניתן לניקוי בהגדרות הדפדפן |
המערכת לא משתמשת בעוגיות שיווקיות, מעקב, או ניתוח (אין Google Analytics, אין Meta Pixel).
15. עדכון המדיניות
בכל עדכון מהותי: הודעה למנהלי החשבונות 30 יום מראש, פרסום הגרסה החדשה בממשק, תיעוד מספר גרסה ותאריך. המשך שימוש לאחר פרסום גרסה מעודכנת יהווה הסכמה לתנאיה.
16. פנייה לרשות להגנת הפרטיות
אם אינך מרוצה מהטיפול בפנייתך, זכותך לפנות לרשות להגנת הפרטיות:
- כתובת: רח' ירמיהו 39, ירושלים 9446722
- אתר: gov.il/privacy
- דוא"ל: ppa@justice.gov.il
- טלפון: 02-5196666