מדיניות פרטיות — רשימתי / Privacy Policy

מדיניות פרטיות זו מסבירה אילו נתונים נאספים במסגרת השימוש באפליקציית "רשימתי" (להלן: "האפליקציה"), כיצד נעשה בהם שימוש, וכיצד ניתן לממש את זכויותיכם. בעל האפליקציה: שמעון (עוסק פטור, ישראל), פניות: reshimati.il@gmail.com.

1. מהם הנתונים שאנו אוספים

1.1 חשבון Google

מזהה ייחודי (sub) של חשבון Google
כתובת דוא"ל
שם תצוגה (אופציונלי)
תמונת פרופיל (אופציונלי)

1.2 תוכן תזכורות ורשימות שיצרת

כותרת תזכורת, תיאור / הערה, זמן ותאריך, הגדרות חזרה (recurrence).
פריטי רשימות קניות (שם הפריט, כמות, יחידה, סימון "הושלם").
תת-משימות וקישוריהן למשימת-אב.
תזכורות שנתיות יהודיות (יארצייט) כוללות שם של אדם יקר ותאריך פטירה — נשמרות מקומית במכשיר בלבד.

1.2א שמירת טיוטה אוטומטית (חדש בגרסה 0.1.14)

בעת ניסיון לצרף קובץ או הקלטה לתזכורת חדשה שעדיין לא נשמרה, האפליקציה תיצור עבורך באופן אוטומטי טיוטה (תזכורת עם הכותרת "טיוטה") במסד הנתונים המקומי במכשיר בלבד. הטיוטה אינה נשלחת לשרת ואינה נחשפת לאחרים. ניתן למחוק טיוטות כמו כל תזכורת רגילה.

1.3 רשימות משותפות (אופציונלי)

בעת יצירת רשימה משותפת — שם הרשימה, סוג הרשימה וקוד שיתוף בן 8 תווים נשמרים בשרתי Cloudflare D1.
פריטי הרשימה המשותפת זמינים לכל מי שמחזיק את קוד השיתוף.
כאשר משתמש מצטרף לרשימה משותפת, שם התצוגה וכתובת הדוא"ל שלו נחשפים לכל שאר חברי אותה רשימה. כל חבר ברשימה רואה מי הוסיף — ומי מחק — כל פריט, מזוהה לפי שם או דוא"ל. חשיפה זו היא בעיצוב מכוון, מתוך הנחה שרשימות משותפות משמשות בני משפחה או שותפים שמכירים זה את זה.
תיעוד אחריות: לכל פריט ברשימה משותפת האפליקציה רושמת מי הוסיף אותו ומי מחק אותו (שם או דוא"ל יחד עם חותמת זמן), והרישום גלוי לכל חברי הרשימה — לצורך אחריותיות בתוך הרשימה המשפחתית.
המשתף הוא שבוחר למי למסור את קוד השיתוף, והוא האחראי הבלעדי לכך. כל מי שמחזיק קוד תקף יכול לקרוא ולערוך את הרשימה. האפליקציה מספקת קוד אקראי וארוך; שמירתו מפני גורמים בלתי-מורשים היא באחריות המשתמש בלבד.

1.4 פיצ'ר יצירת רשימה ב-AI (אופציונלי)

הטקסט החופשי שאתה מקליד (לדוגמה: "ארוחת שבת ל-8 אנשים") מועבר לשרת שלנו, ומשם ל-Anthropic (Claude API).
אנו לא משתמשים בתוצאות לאימון מודלים. Anthropic מתחייבת שלא להשתמש בנתונים העוברים דרך ה-API לאימון המודלים שלה.
הבקשות נשמרות זמנית במערכת הלוגים של Anthropic לזמן קצר ונמחקות.

1.5 מיקום (אופציונלי — צירוף מיקום לתזכורת)

ניתן לצרף לתזכורת מיקום (שם מקום, כתובת וקואורדינטות), כדי שניתן יהיה לפתוח אותו לאחר מכן באפליקציית מפות. שם המקום, הכתובת והקואורדינטות נשמרים יחד עם התזכורת במכשיר בלבד.
אם תבחר להשתמש באפשרות "המיקום הנוכחי שלי" בעת צירוף מיקום, האפליקציה תבקש הרשאת מיקום (ACCESS_FINE_LOCATION ו-ACCESS_COARSE_LOCATION) כדי לזהות פעם אחת את מיקומך באותו רגע. ההרשאות מבוקשות אך ורק עבור פעולת איתור חד-פעמית זו.
המיקום הנוכחי שלך אינו נשלח לשרת או לכל צד שלישי. אין מעקב מיקום ברקע ואין שימוש בגדרות גאוגרפיות (geofencing).
ניתן לבטל את ההרשאה בכל עת בהגדרות אנדרואיד.

1.6 סנכרון יומן Google (אופציונלי)

אם תפעיל סנכרון יומן, האפליקציה תבקש הרשאות WRITE_CALENDAR ו-READ_CALENDAR.
תזכורות מתוזמנות תיכתבנה ליומן Google הראשי שלך כאירועים, כל אחד באורך 30 דקות.
האפליקציה גם קוראת את אירועי יומן Google שלך כדי להציג אותם בתצוגת היומן שבתוך האפליקציה (לקריאה בלבד, לצד התזכורות שלך). הקריאה מתבצעת באמצעות Google Calendar API (בכפוף להסכמת OAuth מפורשת שלך להרשאת ה-scope ‏calendar.events) או באמצעות ספק היומן של המכשיר בכפוף להרשאת READ_CALENDAR.
האפליקציה אינה שומרת את אירועי יומן Google בשום שרת — הם נשלפים ומוצגים על המכשיר בלבד.
באפשרותך להסתיר או לסמן כהושלם אירוע יומן Google בתוך האפליקציה; פעולה זו נשמרת אך ורק במכשיר שלך ואינה משנה את האירוע ביומן Google עצמו.

1.11 כתובת IP — מניעת שימוש לרעה והגבלת קצב

בעת ביצוע פעולות מול השרת הקשורות לרשימות משותפות — יצירת רשימה משותפת או הצטרפות לרשימה באמצעות קוד שיתוף — שרת ה-Cloudflare Worker שלנו רושם באופן זמני את כתובת ה-IP שלך (כפי שמדווחת על-ידי Cloudflare בכותרת CF-Connecting-IP) בטבלת rate_limits במסד הנתונים.
מטרת העיבוד: אבטחה ומניעת שימוש לרעה בלבד — אכיפת הגבלת קצב (rate limiting) על בקשות יצירה והצטרפות, כדי למנוע ניחוש שיטתי (brute-force) של קודי שיתוף, הצפת השרת ופעולות אוטומטיות זדוניות.
בסיס חוקי: אינטרס לגיטימי של מפעיל השירות באבטחת המערכת ובהגנה על משתמשיו, בהתאם לחוק הגנת הפרטיות, התשמ"א-1981 (לרבות תיקון 13), ולתקנון הגנת המידע האירופי (GDPR).
שמירה: הרישום הוא זמני (transient) ומשמש אך ורק לחישוב חלון הזמן של הגבלת הקצב; רשומות שפג תוקפן נמחקות. כתובת ה-IP אינה משמשת לפרסום, לפרופיילינג, למעקב או לכל מטרה שיווקית, ואינה משויכת לתוכן התזכורות או הרשימות שלך.

1.7 גיבוי אוטומטי (אופציונלי)

אם תפעיל גיבוי אוטומטי, האפליקציה תיצור פעם בשבוע קובץ ZIP עם כל הנתונים שלך (תזכורות, קטגוריות, רשימות) ועם המסמכים המצורפים שלך בזיכרון הזמני של המכשיר.
אנו לא מעבירים את הקובץ לשום מקום אוטומטית. אתה בלבד יכול לשתף אותו ידנית (לדוגמה, ל-Google Drive שלך) דרך ממשק שיתוף הקבצים של אנדרואיד.
ייצוא ידני (חדש בגרסה 0.1.14): ניתן לייצא קובץ JSON עם כל התזכורות והקטגוריות שלך אל תיקיית "הורדות" של המכשיר (reshimati-backup-<timestamp>.json). הקובץ נוצר בבקשתך בלבד, נשאר במכשיר, ומכיל את הכותרות, התיאורים, התאריכים, הקטגוריות והרשימות שלך. הקבצים המצורפים נשמרים בייבוא חוזר.

1.7א מסמכים מצורפים (אופציונלי — חדש בגרסה 0.1.14)

מסמכים מצורפים: קבצים שהמשתמש מצרף לתזכורות (PDF, תמונות) נשמרים אך ורק על המכשיר, בתיקייה מוגנת של האפליקציה. הקבצים אינם מועלים לשרתי החברה ואינם מסונכרנים עם משתמשים אחרים גם ברשימות משותפות. הגיבוי האוטומטי (אם הופעל) שומר אותם בקובץ ZIP בכרטיס ה-SD של המכשיר בלבד.
בגרסה 0.1.14 נוסף כפתור הפעלה/פתיחה בשורת התזכורת ברשימה הראשית, המאפשר להאזין להקלטה או לפתוח קובץ מצורף בלי לפתוח את עורך התזכורת. הנתונים הניגשים זהים — הגישה היא בתוך המכשיר בלבד.

1.8 הקלטות קוליות (אופציונלי)

אם תוסיף הערה קולית לתזכורת, האודיו נשמר במכשיר שלך בלבד.
הקלטות קוליות מוגבלות ל-60 שניות לכל היותר; ההקלטה נעצרת אוטומטית בתום הזמן (חדש בגרסה 0.1.14).
בגרסה 0.1.14 נוסף כפתור הפעלה/פתיחה בשורת התזכורת ברשימה הראשית, המאפשר להאזין להקלטה או לפתוח קובץ מצורף בלי לפתוח את עורך התזכורת. הנתונים הניגשים זהים — הגישה היא בתוך המכשיר בלבד.
קלט קולי לחיפוש (Voice Capture) משתמש במנוע ההמרה מקול-לטקסט המובנה באנדרואיד שלך. אם יצרן המכשיר משתמש במנוע ענן (כמו Google), הקול עובר דרכו לפי מדיניותם.

1.9 מידע מכשיר ופרסום

נתונים אנונימיים מ-Google AdMob, לרבות שימוש ב-Topics API של Android 13+ ו-Privacy Sandbox.
אין מעקב חוצה-אפליקציות (cross-app tracking).
בקשת הסכמה לפרסומות מותאמות אישית (UMP) מוצגת בעת ההפעלה הראשונה לפי GDPR.

1.10 לוגים של קריסות (Firebase Crashlytics)

סוג מכשיר, גרסת מערכת הפעלה, stack trace בלבד. אין מידע אישי.
מטרה: זיהוי תקלות ושיפור יציבות.

2. שימוש בנתונים

אספקת השירות (יצירה, שמירה ושליחה של תזכורות).
זיהוי משתמש ואבטחת חשבון.
חיובי מנוי דרך Google Play Billing.
הצגת פרסומות לא-מותאמות אישית במסלול החינמי.
שיפור יציבות ותיקון תקלות.
במהלך תקופת בדיקה פנימית (Internal Testing) של Google Play, פיצ'רים בתשלום מופעלים גלובלית למטרות QA בלבד; אין חיוב, אין רכישה ואין שינוי בנתונים שנאספים.

3. אחסון ושמירת מידע

רוב הנתונים נשמרים מקומית במכשיר שלך בלבד (Room database). נתונים שמחייבים סנכרון בין מכשירים או שיתוף עם משתמשים אחרים — תזכורות (אם נכנסת ל-Google Sign-In), קטגוריות מותאמות, רשימות משותפות ופריטי רשימה משותפת — נשמרים ב-Cloudflare D1 בשרתים באיחוד האירופי וארה"ב.

הנתונים נשמרים כל עוד החשבון פעיל, ונמחקים תוך 30 יום מבקשת מחיקה או מסגירת החשבון. ניתן לבקש מחיקה דרך הגדרות > פרטיות ואבטחה > מחיקת נתונים, או בפנייה לדוא"ל.

רשומות כתובת ה-IP בטבלת הגבלת הקצב (סעיף 1.11) הן זמניות מטבען ונמחקות עם פקיעת חלון הזמן של הגבלת הקצב; הן אינן חלק מנתוני החשבון ואינן נשמרות לאורך זמן.

בגרסה 0.1.14, מחיקת תזכורת (כולל "סל המחזור") גוררת מחיקה אוטומטית של כל הקבצים המצורפים אליה מאחסון האפליקציה במכשיר. כך אין שאריות מידע אישי על הדיסק.

4. צדדים שלישיים

Google — Sign-In (אימות), Play Billing (חיובי מנוי), AdMob (פרסומות), Calendar (קריאה וכתיבה, אם הופעל סנכרון יומן).
Cloudflare — Workers + D1 (אחסון ועיבוד נתונים בענן). Cloudflare מספקת גם את כותרת CF-Connecting-IP שבה אנו עושים שימוש לצורך הגבלת קצב ומניעת שימוש לרעה (ראו סעיף 1.11).
Anthropic — אם השתמשת בפיצ'ר יצירת רשימה ב-AI; הטקסט שהקלדת מועבר ל-Claude API לעיבוד יחיד ומיידי.
Firebase (Google) — Crashlytics לדוחות קריסה אנונימיים.
KosherJava — ספרייה לחישוב זמני יהדות; פועלת מקומית במכשיר ולא מעבירה מידע לרשת.

אנו לא מוכרים ולא משכירים את המידע לצדדים שלישיים למטרות שיווק.

5. זכויותיכם

על פי חוק הגנת הפרטיות, התשמ"א-1981, ותקנון הגנת המידע האירופי (GDPR):

זכות עיון — לקבל עותק של המידע שנשמר.
זכות תיקון — לבקש תיקון נתון שגוי.
זכות מחיקה — לבקש מחיקה מוחלטת של החשבון והנתונים.
זכות התנגדות וניידות נתונים (למשתמשי האיחוד האירופי).

למימוש זכויותיכם: שלחו דוא"ל ל-reshimati.il@gmail.com. נשיב תוך 30 יום.

6. ילדים

השירות מיועד לבני 16 ומעלה בלבד. אם נודע לנו על איסוף מידע מקטין מתחת לגיל זה — נמחק אותו לאלתר.

7. עוגיות ומעקב

האפליקציה אינה משתמשת בעוגיות דפדפן. AdMob עושה שימוש ב-Topics API ו-Privacy Sandbox של אנדרואיד; אין מעקב חוצה-אפליקציות באמצעות מזהה פרסום אישי.

8. אבטחת מידע

הגישה למידע מוגבלת, כל התעבורה מוצפנת ב-HTTPS/TLS, וסיסמאות אינן נשמרות (אימות מתבצע דרך Google). השרת מפעיל מנגנון הגבלת קצב (rate limiting) המבוסס על כתובת IP זמנית כדי להגן מפני שימוש לרעה וניחוש קודי שיתוף, כמתואר בסעיף 1.11.

9. עדכונים למדיניות

במקרה של שינוי מהותי, נודיע על כך בתוך האפליקציה ובדוא"ל לפחות 30 יום מראש.

10. יצירת קשר

בעל האפליקציה: שמעון, עוסק פטור, ישראל.
דוא"ל: reshimati.il@gmail.com

This Privacy Policy explains what data is collected when you use the "Reshimati" application ("the App"), how it is used, and how you can exercise your rights. App owner: Shimon (Osek Patur, Israel). Contact: reshimati.il@gmail.com.

1. Data We Collect

1.1 Google Account

Google account unique identifier (sub)
Email address
Display name (optional)
Profile picture (optional)

1.2 Reminders & Lists Content You Create

Reminder title, description / notes, time and date, recurrence settings.
Shopping list items (name, quantity, unit, "checked" status).
Sub-tasks and their links to a parent task.
Jewish annual reminders (yahrzeit) — name of a deceased loved one and date — stored locally on device only.

1.2a Automatic Draft Saving (new in 0.1.14)

When you attempt to attach a file or voice note to a new reminder you have not yet saved, the app will automatically create a draft (a reminder titled "Draft") in the local on-device database. The draft is not transmitted to any server and is not visible to anyone else. You can delete drafts like any other reminder.

1.3 Shared Lists (optional)

When you create a shared list — list name, type and an 8-character share code are stored on Cloudflare D1.
Items in a shared list are accessible to anyone holding the share code.
When a user joins a shared list, their display name and email address become visible to all other members of that list. Every member sees who added — and who deleted — each item, identified by name or email. This visibility is by design, on the assumption that shared lists are used by family members or partners who know one another.
Accountability log: for each item in a shared list the app records who added it and who deleted it (name or email together with a timestamp), and this log is visible to all members of the list — for accountability within the family list.
The person who shares a list chooses who receives the share code and is solely responsible for who they give it to. Anyone holding a valid code can read and edit the list. The app provides a long, random code; safeguarding it from unauthorized parties is the user's responsibility.

1.4 AI List Generator (optional)

The free text you type (e.g. "Shabbat dinner for 8 people") is sent to our server, then to Anthropic (Claude API).
We do not use results to train models. Anthropic commits not to use API data for training their models.
Requests are temporarily logged at Anthropic for a short period and then deleted.

1.5 Location (optional — attaching a location to a reminder)

You can attach a location (a place name, address and coordinates) to a reminder so it can later be opened in a maps app. The place name, address and coordinates are stored together with the reminder on the device only.
If you choose the "my current location" option while attaching a location, the app requests the location permissions (ACCESS_FINE_LOCATION and ACCESS_COARSE_LOCATION) in order to detect your location once, at that moment. These permissions are requested solely for this one-shot location pick.
Your current location is not sent to our server or any third party. There is no background location tracking and no geofencing.
You may revoke the permission at any time in Android Settings.

1.6 Google Calendar Sync (optional)

If enabled, the app requests WRITE_CALENDAR and READ_CALENDAR permissions.
Timed reminders are written to your primary Google Calendar as 30-minute events.
The app also reads your Google Calendar events in order to display them inside the app's calendar view (read-only, shown alongside your reminders). Reading is performed via the Google Calendar API (subject to your explicit OAuth consent to the calendar.events scope) or via the device's calendar provider, subject to the READ_CALENDAR permission.
The app does not store Google Calendar events on any server — they are fetched and shown on-device only.
You may hide or mark as complete a Google Calendar event within the app; this action is stored on your device only and does not change the event in Google Calendar itself.

1.11 IP Address — Abuse Prevention and Rate Limiting

When you perform server actions related to shared lists — creating a shared list or joining a list with a share code — our Cloudflare Worker server temporarily records your IP address (as reported by Cloudflare in the CF-Connecting-IP header) in a rate_limits table in the database.
Purpose of processing: security and abuse prevention only — enforcing rate limits on create and join requests, to prevent brute-forcing of share codes, server flooding and malicious automated activity.
Legal basis: the legitimate interest of the service operator in securing the system and protecting its users, under the Israeli Protection of Privacy Law, 1981 (including Amendment 13), and the EU GDPR.
Retention: the record is transient and is used solely to compute the rate-limiting time window; expired records are deleted. The IP address is not used for advertising, profiling, tracking or any marketing purpose, and is not associated with the content of your reminders or lists.

1.7 Auto-Backup (optional)

Creates a weekly ZIP file with your data and your attached documents in the device cache.
We do not transmit it anywhere automatically. You may manually share it (e.g. to your Google Drive) via Android's file sharing.
Manual export (new in 0.1.14): you can export a JSON file containing all your reminders and categories to the device's Downloads folder (reshimati-backup-<timestamp>.json). The file is created only on your request, stays on the device, and contains your titles, descriptions, dates, categories and lists. Attachments are preserved on re-import.

1.7a Attached Documents (optional — new in 0.1.14)

Attached documents: files attached to reminders (PDF, images) are stored ONLY on the device, in the app's protected storage area. The files are NOT uploaded to our servers and NOT synced with other users even on shared lists. Auto-backup (if enabled) writes them to a ZIP file on the device's local storage only.
Version 0.1.14 adds inline play/open affordances on list rows, letting you play a voice note or open an attachment without opening the reminder editor. The underlying data and on-device-only access are unchanged.

1.8 Voice Recordings (optional)

Voice notes attached to a reminder are stored on your device only.
Voice recordings are capped at 60 seconds and auto-stop at the limit (new in 0.1.14).
Version 0.1.14 adds inline play/open affordances on list rows, letting you play a voice note or open an attachment without opening the reminder editor. The underlying data and on-device-only access are unchanged.
Voice search input uses Android's built-in speech-to-text. If your manufacturer uses a cloud engine, audio passes through it under their policy.

1.9 Device & Advertising Information

Anonymous data from Google AdMob, including Android 13+ Topics API and Privacy Sandbox.
No cross-app tracking.
UMP consent shown on first launch per GDPR.

1.10 Crash Logs (Firebase Crashlytics)

Device model, OS version, stack trace only. No personal data.

2. How We Use Data

Providing the service (creating, storing and delivering reminders).
User authentication and account security.
Subscription billing via Google Play Billing.
Showing non-personalized ads in the free tier.
Improving stability and fixing bugs.
During Google Play Internal Testing, premium features are enabled globally for QA purposes only; no charge, no purchase and no change to the data collected.

3. Storage & Retention

Most data is stored locally on your device only (Room database). Data that requires sync between devices or sharing with other users — reminders (if you signed in with Google), custom categories, shared lists and shared list items — is stored on Cloudflare D1 in EU and US data centers.

Data is retained for as long as your account is active, and deleted within 30 days of a deletion request or account closure. You can request deletion via Settings > Privacy & Security > Delete Data, or by emailing us.

IP address records in the rate-limiting table (section 1.11) are transient by nature and are deleted when the rate-limiting time window expires; they are not part of your account data and are not retained long-term.

As of version 0.1.14, deleting a reminder (including from the Trash) automatically deletes its attached files from the app's on-device storage, ensuring no residual personal data remains on disk.

4. Third Parties

Google — Sign-In (auth), Play Billing (subscription), AdMob (ads), Calendar (read and write, if calendar sync enabled).
Cloudflare — Workers + D1 (cloud storage and processing). Cloudflare also provides the CF-Connecting-IP header we use for rate limiting and abuse prevention (see section 1.11).
Anthropic — only if you used the AI list generator; the text you typed is sent to Claude API for one-time, immediate processing.
Firebase (Google) — Crashlytics for anonymous crash reports.
KosherJava — Jewish-times computation library; runs locally on device, transmits no data.

We do not sell or rent your information to third parties for marketing.

5. Your Rights

Under the Israeli Protection of Privacy Law (1981) and the EU GDPR, you have the right to:

Access — receive a copy of your stored data.
Rectification — request correction of inaccurate data.
Erasure — request full deletion of your account and data.
Object and data portability (EU users).

To exercise your rights: email reshimati.il@gmail.com. We respond within 30 days.

6. Children

The service is intended for users aged 16 and over only. If we learn we have collected data from a minor under that age, we will delete it promptly.

7. Cookies & Tracking

The app does not use browser cookies. AdMob uses Android's Topics API and Privacy Sandbox; there is no cross-app tracking via a personal advertising identifier.

8. Security

Access to data is restricted, all traffic is encrypted via HTTPS/TLS, and we do not store passwords (authentication is handled by Google). The server applies an IP-based rate-limiting mechanism using a transient IP address to protect against abuse and share-code guessing, as described in section 1.11.

9. Policy Updates

For material changes, we will notify you in-app and by email at least 30 days in advance.

10. Contact

App owner: Shimon, Osek Patur, Israel.
Email: reshimati.il@gmail.com