Omora

מדיניות פרטיות

מסמך זה מסביר כיצד Omora — חברת טכנולוגיה — מטפלת במידע אישי. ההסבר נחלק לשני חלקים: (א) מידע שאנו אוספים ישירות כבעלי האתר (Controller); (ב) מידע שאנו מטפלים בו עבור לקוחותינו (גופים פיננסיים) כמעבד מידע (Processor). ערוכה בהתאם לחוק הגנת הפרטיות, התשמ״א‑1981 ותקנות הגנת הפרטיות (אבטחת מידע), התשע״ז‑2017.

עדכון אחרון: 2026-06-02תוקף החל מ‑: 2026-06-02גרסה: 1.0

1. רקע ותקציר

Omora Technologies Ltd. (אומורה טכנולוגיות בע״מ), ח.פ 51-6789012, מרחוב רחוב יגאל אלון 94, תל אביב‑יפו 6789139, ישראל (להלן: ״Omora״) היא חברת טכנולוגיה. Omora איננה גוף פיננסי, איננה נותנת אשראי ואיננה מתווך אשראי. היא מפעילה מערכת חיתום אשראי מבוססת AI (SaaS) הנמכרת לגופים פיננסיים מורשים (להלן: ״הלקוח הפיננסי״).

בקצרה: ביחס למבקרי האתר ולפניות B2B — Omora היא בעלת המידע (Controller). ביחס למשתמשי קצה שמשתמשים במערכת בפלטפורמה של לקוח פיננסי — הלקוח הפיננסי הוא בעל המידע, ו‑Omora מטפלת בו טכנית בלבד כמעבד מידע מטעמו.

2. תפקידי החברה לעניין מידע

הקשרתפקיד Omoraלמי שייך המידע
אתר תדמית — מבקר, טופס יצירת קשרבעלת המידע (Controller)Omora
אתר תדמית — מחשבון להמחשהבעלת המידע (Controller)Omora
פורטל לקוחות B2B (לקוחות פיננסיים)בעלת המידע (Controller)Omora
משתמש קצה בבקשת אשראי דרך מערכת הלקוח הפיננסימעבד מידע (Processor)הלקוח הפיננסי

3. מבקרי אתר התדמית (Controller)

3.1 איזה מידע אנו אוספים

  • טכני: כתובת IP, סוג מכשיר/דפדפן, מע״ה, שפה, מזהי סשן.
  • שימוש: עמודים נצפים, זמני שהייה, מקור הגעה.
  • טופס יצירת קשר: שם, אימייל, טלפון, שם החברה, תוכן הפנייה.
  • זיהוי הונאה: device fingerprint, ניסיונות חשודים, BotID.

3.2 מטרת העיבוד

  • מענה לפנייה ושירות לקוחות.
  • שיווק B2B, ובמקרים מתאימים — שיווק ישיר באישורך.
  • שיפור האתר ומדידה אנונימית של ביצועי שיווק.
  • אבטחה ומניעת זיוף.

3.3 בסיס משפטי

  • הסכמתך — לטופס יצירת קשר ולקבלת תקשורת.
  • אינטרס לגיטימי — אבטחה ושיפור המוצר.
  • חובת ציות — לפי דין החל.

4. משתמשי קצה דרך לקוח פיננסי (Processor)

אם הגעת למערכת חיתום של Omora דרך פלטפורמה של גוף פיננסי (״הלקוח הפיננסי״) — שים לב:

  • הלקוח הפיננסי הוא בעל המידע (Controller). הוא קבע אילו פרטים לאסוף, למה, ולכמה זמן.
  • Omora משמשת רק כספק טכנולוגיה ומעבד מידע. אינה עושה במידע שימוש משלה למעט מתן השירות ללקוח הפיננסי, ובכפוף להסכם עיבוד מידע (DPA).
  • מדיניות הפרטיות החלה במקרה זה היא מדיניות הפרטיות של הלקוח הפיננסי, ולא מדיניות זו.
  • למימוש זכויותיך (עיון, תיקון, מחיקה) — יש לפנות ישירות ללקוח הפיננסי. אם פנית אלינו — אנו נעביר לו ונחזיר אליו בהתאם להוראתו.

על אף שאיננו ה‑Controller, אנו מחויבים להחזיק את המידע ברמת אבטחה גבוהה ולפעול לפי הוראות ה‑Controller, וזאת לפי DPA.

5. מידע ביומטרי במערכת החיתום

חלק ממוצרי Omora כוללים יכולת אימות זהות באמצעות צילום ת״ז וסלפי, כולל הפקת ווקטור מתמטי מהפנים (face embedding). כאשר רכיב זה מופעל ע״י לקוח פיננסי, הוא פועל כך:

  • הלקוח הפיננסי הוא ה‑Controller, וקובע אם להפעיל את הרכיב.
  • ההסכמה הביומטרית של משתמש הקצה ניתנת בפלטפורמת הלקוח הפיננסי, לא ב‑Omora, וכפופה להוראות חוק הגנת הפרטיות ולכל דין מיוחד לעניין מאגרים ביומטריים.
  • הצילום והווקטור מטופלים זמנית במערכת Omora ונמחקים לפי הגדרת השמירה של הלקוח הפיננסי. הגדרת ברירת המחדל המוצעת: עד 90 ימים לצילום, עד 24 חודשים לווקטור.
  • המידע הביומטרי מוצפן במפתח ייעודי בנפרד ממידע מזהה.
  • למימוש זכויות מחיקה / עיון — יש לפנות ללקוח הפיננסי שעימו ביצעת את התהליך.
Omora אינה מנהלת ״מאגר ביומטרי״ עצמאי לציבור. כל מאגר ביומטרי שעולה מתפעול שלנו עבור לקוח פיננסי הוא של הלקוח הפיננסי, והוא האחראי לרישומו ולעמידתו בדין.

6. מטרות העיבוד (סיכום)

  1. תפעול האתר, ניהול הקשר עם לקוחות B2B ושיווק כלפיהם.
  2. מענה לפניות מבקרי האתר.
  3. אספקת שירותי SaaS ללקוחות פיננסיים — לפי הוראתם.
  4. שיפור איכות המודלים והמערכת, באמצעות נתונים מצורפים/מאוגדים.
  5. אבטחה ומניעת הונאה.
  6. עמידה בחובות חוקיות.

7. שיתוף מידע עם צדדים שלישיים

  • ספקי תשתית טכנולוגית: Supabase (אחסון/מסדי נתונים), Vercel (הוסטינג), Anthropic / OpenAI (דרך AI Gateway), ספקי OCR ושירותי ביומטריה, WhatsApp Business. הם כפופים להסכמי עיבוד (DPA) ולמדיניות הגבלת שימוש.
  • לקוח פיננסי: כשעיבדנו מידע עבורו — המידע מועבר אליו לפי הסכם ה‑DPA. אנו לא מעבירים מידע אל לקוחות פיננסיים אחרים שאינם צד להסכם הספציפי.
  • רשויות מוסמכות: רק אם נדרש בצו שיפוטי או חוק.
  • במקרה של עסקה תאגידית — בכפוף להמשך עמידה במדיניות זו.

Omora לא מוכרת מידע אישי ולא משתמשת במידע של משתמשי קצה לטובת מטרות שיווקיות שלה.

8. AI וההחלטה הסופית

המערכת מבצעת חישובים אלגוריתמיים (סקור אשראי, זיהוי הונאה, התאמה). חישובים אלה הם תוצרת טכנולוגית של Omora, אך ההחלטה הסופית האם להעמיד אשראי, באילו תנאים, או לדחות — נמצאת בידי הלקוח הפיננסי בלבד.

  • למשתמש קצה זכאות להסבר הוגן על ההחלטה — מימושה דרך הלקוח הפיננסי.
  • הלקוח הפיננסי אחראי להבטיח שאין הפליה אסורה בהחלטה הסופית.
  • Omora מבצעת בדיקות איכות, הוגנות וביצועים תקופתיות במודלים שלה.

9. תקופות שמירה

מבקרי אתר ופונים B2B — אנו שומרים את המידע כל עוד הוא נחוץ לקשר עסקי, ולא יותר מ‑5 שנים מאז התקשורת האחרונה, אלא אם הסכמת אחרת. בכל מקרה תוכל לדרוש מחיקה לפי סעיף 11.

נתוני משתמשי קצה במערכות לקוח פיננסי — תקופת השמירה נקבעת על ידי הלקוח הפיננסי בהסכם DPA. Omora פועלת לפי ההגדרה שלו.

לוגי תפעול ואבטחה — עד 24 חודשים. חשבוניות וחוזים — 7 שנים לפי דיני מס.

10. אבטחת מידע

אנו מיישמים אמצעי אבטחה ארגוניים וטכנולוגיים ברמת אבטחה גבוהה כהגדרתה בתקנות הגנת הפרטיות (אבטחת מידע), התשע״ז‑2017:

  • הצפנה במנוחה (AES‑256) ובמעבר (TLS 1.3).
  • הפרדת מפתחות הצפנה לביומטריה ולנתונים אישיים.
  • בקרת גישה לפי תפקיד (RBAC) ועקרון מינימום הרשאות.
  • Row Level Security (RLS) במסדי הנתונים.
  • תיעוד גישות וניסיונות אימות שגויים (audit trail).
  • סקרי חדירה (PT) וניהול פגיעויות.
  • הדרכת מודעות לעובדים והתחייבות לסודיות.
  • נוהל תגובה לאירועי אבטחה ויידוע ה‑Controller ב‑48 שעות.

לדיווח על פירצה: privacy@omora.co.il.

11. זכויותיך

אם המידע שלך שייך ל‑Omora (מבקר אתר / פונה B2B):

  • זכות עיון, תיקון ומחיקה לפי חוק הגנת הפרטיות.
  • ביטול הסכמה לדיוור או לשיווק ישיר בכל עת.
  • פנייה ל‑ privacy@omora.co.il — נשיב בתוך 30 ימים.

אם המידע שלך שייך ללקוח פיננסי (השתמשת במערכת דרך לקוח פיננסי):

  • פנה ישירות ללקוח הפיננסי שעימו ביצעת את התהליך.
  • אם פנית אלינו — נעביר את הבקשה לידי הלקוח הפיננסי או נפעל לפי הוראתו.

ניתן להגיש תלונה לרשות להגנת הפרטיות במשרד המשפטים: gov.il.

12. העברות מידע אל מחוץ לישראל

חלק מספקי התשתית שלנו פועלים מחוץ לישראל. ההעברות כפופות ל‑(א) החלטות הלימות (Adequacy) כאשר זמינות; (ב) סעיפים חוזיים סטנדרטיים (SCC); (ג) תקנות הגנת הפרטיות (העברת מידע אל מאגרים שמחוץ לגבולות המדינה), התשס״א‑2001.

13. קטינים

האתר אינו מיועד לקטינים. אם נתקלנו במידע על קטין שנמסר ללא הסכמה — נמחק אותו מיד.

14. שינויים

נעדכן את המדיניות מעת לעת. שינוי מהותי יפורסם בעמוד זה. תאריך עדכון אחרון מופיע בראש המסמך.

15. יצירת קשר