מדיניות פרטיות

עדכון אחרון: מאי 2026 · ClawFlow by Flowmatic

תוכן עניינים

מי אנחנו
אילו מידע אנחנו אוספים
מה אנחנו לא אוספים
אינטגרציות צד-שלישי דרך OAuth
תקופות שמירה (Data Retention)
מעבדי משנה (Sub-processors)
העברות נתונים בינלאומיות
תאימות לחוק הגנת הפרטיות (תיקון 2025)
איפה המידע מאוחסן
שיתוף מידע עם צד שלישי
אבטחת מידע
הזכויות שלכם
בקרת משתמש
יצירת קשר — DPO + פניות פרטיות
שינויים במדיניות

1. מי אנחנו

ClawFlow by Flowmatic · עוסק מורשה 324503853, שלמה המלך 18, נתניה, ישראל. אימייל: support@flowmatic.co.il

ClawFlow היא פלטפורמת מודיעין שיווקי ואוטומציה לעסקים קטנים ובינוניים בישראל. הפלטפורמה עוזרת למשתמשים לייעל פרסום ממומן (Google Ads, Meta Ads) ושיווק אורגני (SEO, תוכן) באמצעות קריאת נתוני ביצועים, זיהוי בעיות והפקת המלצות + תוכניות טקטיות.

2. אילו מידע אנחנו אוספים

סוג מידע	מה אוספים	למה
פרטי חשבון	אימייל, שם, טלפון (אופציונלי)	ניהול חשבון, תקשורת
חיוב	פרטי עסקה (לא כרטיס אשראי — AllPay מטפל)	חשבוניות, היסטוריית תשלומים
שימוש	סוג תוכנית, רכיבים שנבחרו, סטטוס שרת	ניהול השירות
טכני	כתובת IP של השרת, DNS records	הפעלת השירות
OAuth tokens	refresh + access tokens של חשבונות שחיברתם (Google, Meta, וכו')	גישה לנתונים שאישרתם — ראו סעיף 4
נתונים נגזרים	aggregated metrics, IDs של properties/containers שבחרתם, event logs של פעולות שלנו	הצגת המלצות, audit + troubleshooting

3. מה אנחנו לא אוספים

פרטי כרטיס אשראי — AllPay מטפל בסליקה. אין לנו גישה לפרטי כרטיס.
תוכן השיחות שלכם עם הסוכן — רץ על ה-VPS שלכם, לא אצלנו.
API Keys שלכם — מוזנים ישירות ל-VPS, לא עוברים דרכנו.
Cookies מעקב — אין Google Analytics על האתר שלנו, אין פיקסלים שיווקיים.
נתונים של tenants אחרים — בידוד מלא במצב agency.
נתונים של ילדים מתחת לגיל 16 — השירות לא מיועד לקטינים. אם נגלה שאספנו נתונים של קטין בטעות, נמחק תוך 7 ימים.
תוכן OAuth scopes שלא ביקשנו — Google/Meta מגבילים אותנו ל-scopes שביקשנו בלבד.

4. אינטגרציות צד-שלישי דרך OAuth

ClawFlow מאפשרת לכם לחבר חשבונות צד-שלישי כדי שהפלטפורמה תוכל לקרוא נתונים, להציע המלצות ולבצע פעולות אוטומציה בשמכם. כל אינטגרציה דורשת אישור מפורש דרך OAuth של ספק השירות. אנו מבקשים את הרשאות המינימום הנדרשות בלבד (principle of least privilege).

4.1 שירותי Google (Google APIs)

כאשר אתם מחברים את חשבון Google שלכם, אתם עשויים להעניק לנו את ההרשאות הבאות (לפי שירות):

Scope	מטרה	קריאה / כתיבה	שמירת נתונים
`analytics.readonly`	קריאת נתוני Google Analytics 4 (אירועי המרה, מקורות תנועה, פילוח קהל) להצגת המלצות אופטימיזציה	קריאה בלבד	aggregated metrics בלבד, 90 ימים
`tagmanager.readonly`	קריאת תצורת Google Tag Manager (containers, tags, triggers, variables) להצגת סטטוס התקנה ודיאגנוסטיקה	קריאה בלבד	metadata בלבד, 30 ימים
`tagmanager.edit.containers`	יצירה אוטומטית של tags קריטיים (Conversion Linker, GCLID Capture, Google Ads, GA4) כשאתם לוחצים על כפתור "Mazhir GTM Auto-Setup". אנחנו לא מבצעים versioning ולא מפרסמים — אתם מפרסמים workspace בעצמכם דרך ממשק GTM	יצירה (לא מחיקה / שינוי tags שלכם)	event log של פעולות שלנו, 90 ימים
`adwords` (Google Ads API)	קריאת ביצועי קמפיינים (קליקים, חשיפות, המרות, search terms) והכנת campaign drafts. ביצוע (השקה / שינוי תקציב) דורש אישור מפורש בכל פעם	קריאה + יצירה (campaigns ב-PAUSED state)	aggregated metrics, 90 ימים
`webmasters.readonly` (Search Console)	קריאת ביצועי חיפוש אורגני (impressions, clicks, CTR, position per query) להצגת המלצות SEO	קריאה בלבד	aggregated metrics, 90 ימים
`userinfo.email` + `openid`	זיהוי החשבון המחובר (להציג איזה Google Account מחובר)	קריאה בלבד	email בלבד, עד ניתוק
`calendar`, `gmail.readonly`, `gmail.send`, `drive.readonly`	(אופציונלי — לסוכן OpenClaw Personal) ניהול לוח שנה, קריאת/שליחת מיילים, גישה לקבצים. רק אם תפעילו את הסוכן ותעניקו את ההרשאות במפורש	משתנה לפי scope	אופציונלי, 30 ימים

Property/Container Picker: לאחר OAuth, אנחנו מציגים בורר שמאפשר לכם לבחור מפורשות איזה GA4 property ואיזה GTM container שייכים ל-tenant הנוכחי. זאת מניעת זליגת נתונים בין לקוחות במצב agency.

4.2 שירותי Meta (Facebook + Instagram)

Scope	מטרה	שמירת נתונים
`pages_read_engagement`, `pages_manage_posts`, `pages_manage_metadata`	פרסום אורגני בדפי Facebook, קריאת תגובות ואנליטיקס	aggregated metrics, 30 ימים
`instagram_basic`, `instagram_content_publish`, `instagram_manage_insights`	פרסום ב-Instagram Business, קריאת ביצועים	aggregated metrics, 30 ימים
`ads_read`, `ads_management`	קריאת/יצירת קמפיינים ב-Meta Ads (Facebook + Instagram). יצירה תמיד ב-PAUSED state	aggregated metrics + campaign metadata, 90 ימים
`business_management`	גישה לחשבון Meta Business Manager שלכם	metadata בלבד
`leads_retrieval`	קריאת לידים מטופסי Lead Ads ל-CRM שלכם	event log, 30 ימים
`whatsapp_business_management`, `whatsapp_business_messaging`	(אופציונלי) ניהול WhatsApp Business משולב	מסרים נשמרים ב-VPS שלכם בלבד

Pixel + Conversion API (CAPI): ClawFlow עשויה להתקין במידת הצורך — לפי בחירתכם — Meta Pixel + CAPI server-side events. הנתונים נשלחים ישירות מ-VPS שלכם ל-Meta, לא דרך השרתים שלנו.

4.3 שירותי Microsoft (Bing/LinkedIn)

Microsoft Advertising (Bing Ads): קריאת/יצירת קמפיינים בחיפוש Bing
LinkedIn Marketing: קריאת ביצועי LinkedIn organic + Ads (B2B)

4.4 פלטפורמות נוספות (במידה ותחברו)

TikTok Business: קריאת קמפיינים אורגניים + ממומנים
YouTube Data API: ניהול ערוץ + ניתוח ביצועי וידאו
CRM (HubSpot, Salesforce, Pipedrive, Monday, Zoho): סנכרון לידים ועסקאות
Email platforms (Mailchimp, Klaviyo, ActiveCampaign): ניהול רשימות תפוצה ואוטומציות
E-commerce (Shopify, WooCommerce): סנכרון קטלוג מוצרים + רכישות
Call tracking (CallRail, WhatConverts): ייחוס שיחות טלפון לקמפיינים
Payment processors (Pelecard, Cardcom, Tranzilla, Stripe, PayPal): קריאת אירועי תשלום ל-conversion attribution. אנחנו לא נוגעים בפרטי כרטיס אשראי — רק metadata של עסקאות (סכום, תאריך, מזהה)

4.5 עקרונות גישה לכלל האינטגרציות

Least Privilege: אנחנו מבקשים תמיד את ה-scope הצר ביותר שמאפשר את הפיצ'ר. למשל, ל-Tag Manager אנחנו מבקשים edit.containers ולא publish — אתם מפרסמים בעצמכם.
Property Picker: בכל אינטגרציה שמעניקה גישה לכמה משאבים (GA4 properties, GTM containers, Ads accounts), אנחנו מציגים בורר שמאפשר לכם לבחור מפורשות איזה משאב שייך ל-tenant הזה.
מצב agency: אם אתם מפעילים את ClawFlow במצב agency (ניהול מספר tenants), כל tenant מקבל בידוד מלא — אנחנו לא מחליפים נתונים בין tenants. ה-operator של ה-agency מוצהר במפורש בפני המשתמש בכל אינטגרציה.
ניתוק: תוכלו לנתק כל אינטגרציה בכל זמן דרך לוח הבקרה או דרך הגדרות חשבון Google/Meta/Microsoft. הניתוק מבטל את ה-OAuth tokens שלנו תוך 24 שעות ומוחק את הנתונים שנאספו תוך 30 ימים.
אישור מפורש לפעולות כתיבה: כל פעולה שמשנה משהו (יצירת tag ב-GTM, השקת קמפיין ב-Google Ads, פרסום פוסט ב-Facebook) דורשת אישור שלכם בלוח הבקרה. אנחנו לא מבצעים פעולות כתיבה אוטומטית בלי הסכמתכם.

5. תקופות שמירה (Data Retention)

סוג נתון	תקופת שמירה	סיבה
OAuth refresh tokens	עד ניתוק / 24 חודשים inactivity	חידוש access tokens
Aggregated metrics (GA4, Ads, Search Console)	30-90 ימים	היסטוריית המלצות
Event log (פעולות שלנו)	90 ימים	audit + troubleshooting
Conversion data	90 ימים	bid strategy optimization
Property/Container IDs נבחרים	עד ניתוק	תצורה
חשבונית + פרטי חיוב	7 שנים	חוק מס הכנסה (חובה רגולטורית)
Email + נתוני חשבון	עד מחיקת חשבון + 30 ימים	התאוששות מחיקה בטעות

מחיקה מיידית לבקשתכם: תוכלו לבקש מחיקה מלאה של כל הנתונים שלכם בכל זמן ב-support@flowmatic.co.il. נבצע מחיקה תוך 30 ימים (למעט נתונים שאנחנו חייבים לשמור לפי חוק).

6. מעבדי משנה (Sub-processors)

ClawFlow משתמשת בשירותי צד שלישי לעיבוד נתונים. כל אחד מהם מחויב לעמוד בסטנדרטים שלנו (SOC 2 / GDPR / DPA חתום):

ספק	שירות	מיקום	תפקיד
Hetzner Cloud	Hosting	Helsinki, Finland	אחסון שרת הניהול + DB
Cloudflare	DNS + CDN	Global	DNS records לתת-דומיינים
AllPay	Payments	Israel	עיבוד תשלומים
Anthropic Claude API	AI inference	USA	יצירת המלצות, ניתוח נתונים, יצירת תוכן. הנתונים לא נשמרים אצלם (אין training)
DataForSEO	SEO data API	EU	נתוני חיפוש, נפחים, CPC
Firecrawl	Web scraping	USA	סריקה של אתרים פומביים (מתחרים, האתר שלכם)
Brave Search API	Search API	USA	חיפוש SERP results
ElevenLabs	TTS (Hebrew voice)	UK	יצירת voiceover לתוכן (אופציונלי)
fal.ai	Image/video gen	USA	יצירת תוכן ויזואלי (אופציונלי)

אנחנו לא משתפים את הנתונים שלכם עם רשתות פרסום / רשתות social אלא אם אתם מחברים אותן במפורש דרך OAuth (סעיף 4).

7. העברות נתונים בינלאומיות

חלק מהמעבדים שלנו ממוקמים מחוץ למדינת ישראל. ההעברות מבוצעות תחת:

Standard Contractual Clauses (SCC) של האיחוד האירופי (לעיבוד נתונים ב-USA)
Adequacy decisions רלוונטיות
DPA חתום עם כל מעבד משנה
הצפנה ב-transit (TLS 1.3) ו-at rest (AES-256)

8. תאימות לחוק הגנת הפרטיות (תיקון 2025)

תיקון חוק הגנת הפרטיות הישראלי 2025 (בתוקף Q1 2026) דורש הסכמה מפורשת לעיבוד נתונים אישיים, מינוי DPO, ודיווח על אירועי דליפה. ClawFlow מיישמת:

הסכמה מפורשת: כל OAuth + כל איסוף PII דורש הסכמה אקטיבית
Consent Mode v2: באתרים שאנחנו מקימים עבורכם (אם רלוונטי), אנחנו מטמיעים Consent Mode v2 של Google
DPO: ניתן ליצור קשר ב-dpo@flowmatic.co.il (ראו סעיף 14)
דיווח על דליפות: תוך 72 שעות לרשם מאגרי המידע + הודעה למשתמשים מושפעים
זכויות משתמש: access, rectification, erasure, portability, restriction, objection — כל הזכויות לפי GDPR Article 15-22

9. איפה המידע מאוחסן

שרת הניהול שלנו נמצא ב-Hetzner Cloud, אירופה (הלסינקי, פינלנד). ה-VPS שלכם נמצא גם ב-Hetzner Cloud. Hetzner עומד בתקני GDPR ו-ISO 27001.

10. שיתוף מידע עם צד שלישי

אנחנו משתפים מידע מינימלי הכרחי עם:

Hetzner Cloud — יצירת שרתי VPS (כתובת IP, שם שרת)
Cloudflare — ניהול DNS (שם תת-דומיין, כתובת IP)
AllPay — עיבוד תשלומים (אימייל, שם, טלפון)
Anthropic + שאר sub-processors — ראו סעיף 6
אינטגרציות OAuth שאישרתם — ראו סעיף 4

אנחנו לא מוכרים, משכירים או משתפים מידע אישי לצורכי שיווק.

11. אבטחת מידע

כל התקשורת מוצפנת ב-SSL/TLS 1.3
סיסמאות, tokens ונתונים רגישים מוצפנים at rest (AES-256)
גישה לשרת הניהול רק דרך SSH key
ה-VPS שלכם מבודד לחלוטין — אין לנו גישה לתוכן
OAuth tokens מוצפנים בנפרד, ניתנים לרענון/ביטול בכל זמן
Audit log של כל פעולת כתיבה דרך אינטגרציות

12. הזכויות שלכם

על פי חוק הגנת הפרטיות הישראלי, תיקון 2025, ותקנות GDPR, יש לכם זכות:

לבקש עותק של המידע שלכם (Right to Access — Article 15)
לתקן מידע שגוי (Right to Rectification — Article 16)
לבקש מחיקת המידע (Right to Erasure / "to be forgotten" — Article 17)
להגביל עיבוד (Right to Restriction — Article 18)
לקבל את המידע בפורמט נייד (Right to Data Portability — Article 20)
להתנגד לעיבוד (Right to Object — Article 21)

13. בקרת משתמש

תוכלו תמיד:

לצפות בכל ההגדרות + נתונים בלוח הבקרה
לערוך או למחוק parts of data
לייצא העתק מלא (JSON / CSV) דרך request ל-support
לבטל הרשאות OAuth דרך הגדרות חשבון Google/Meta/וכו', או דרך לוח הבקרה
למחוק את חשבון ה-ClawFlow לחלוטין → VPS נמחק → כל הנתונים נמחקים תוך 30 ימים

14. יצירת קשר — DPO + פניות פרטיות

שאלות, בקשות אקסס, מחיקה, או דיווח על אירוע פרטיות:

Email: support@flowmatic.co.il
DPO: dpo@flowmatic.co.il
כתובת: Flowmatic, רחוב שלמה המלך 18, נתניה

זמן תגובה: עד 7 ימי עסקים (חירום — 24 שעות).

15. שינויים במדיניות

שינויים מהותיים יפורסמו באימייל 30 יום מראש. שינויים שאינם מהותיים יתפרסמו בדף זה. המשך השימוש לאחר 30 יום מהווה הסכמה למדיניות המעודכנת.