מדיניות פרטיותPrivacy Policy

תאריך עדכון: 19.05.2026

במקרה של סתירה בין הגרסה העברית לתרגום האנגלי, הגרסה העברית היא הקובעת.

1. כללי

1.1 ניר דוכס, בעל ומפעיל האפליקציה SHULAM! ושירות האינטרנט הקשור בה בכתובת shulam-app.com (להלן: "SHULAM" או "אנחנו"), מכבד את פרטיות המשתמשים באפליקציה ובאתר (להלן: "השירות").

1.2 SHULAM! היא אפליקציה ישראלית חינמית לניהול הוצאות משותפות לשותפים לדירה, חלוקת חשבונות (שכר דירה, חשמל, ארנונה, מכולת ועוד), סריקת קבלות, ניהול מקרר משותף וניהול מטלות הבית. השירות הוא ספר חשבונות בלבד ואינו מעביר כספים בין משתמשים. הכסף עובר בין השותפים ישירות באמצעות ביט, פייבוקס, או כל אמצעי אחר.

1.3 מדיניות פרטיות זו (להלן: "מדיניות הפרטיות") ותנאי השימוש המפורטים בהמשך מבהירים כיצד SHULAM! אוספת, משתמשת, שומרת ומגנה על מידע אישי הנמסר או נאסף במסגרת השימוש בשירות. השימוש בשירות מהווה הסכמה למדיניות זו ולתנאי השימוש.

1.4 מדיניות זו עודכנה בהתאם לדרישות תיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981, אשר נכנס לתוקפו ביום 14.08.2025, ולתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. מדיניות זו משקפת את העקרונות החדשים שנקבעו בתיקון 13, לרבות הגדרת מידע מורחבת הכוללת מזהים דיגיטליים (כתובות IP, נתוני מיקום), חובות שקיפות, וזכויות נושא המידע.

1.5 עליך לקרוא בעיון את מדיניות זו ואת תנאי השימוש, המהווים הסכם משפטי מחייב בין המשתמש (להלן: "המשתמש") לבין SHULAM!.

1.6 SHULAM! שומרת לעצמה את הזכות לעדכן מדיניות פרטיות זו מעת לעת, בהתאם לשינויים בדין או בצורכי השירות. תאריך העדכון האחרון יצוין בראש המסמך, והמשתמשים מתבקשים לעיין במדיניות זו מעת לעת.

1.7 האמור במדיניות זו מתייחס באופן שווה לכל המינים. כל שימוש בלשון זכר נעשה מטעמי נוחות בלבד.

2. הגדרות

2.1 דיני הגנת הפרטיות: חוק הגנת הפרטיות, התשמ"א-1981, התקנות והנחיות של הרשות להגנת הפרטיות, כפי שיתעדכנו מעת לעת, וכל חוק ישראלי אחר הנוגע לפרטיות.

2.2 משתמש: כל אדם המשתמש בשירות, לרבות מי שמילא טופס רשימת המתנה באתר, מי שיצר חשבון באפליקציה, או מי שהוזמן להצטרף למשק בית קיים.

2.3 מידע אישי: נתון שנוגע לאדם מזוהה או הניתן לזיהוי במאמץ סביר, הכולל שם, כתובת דוא"ל, נתוני שימוש, מזהה ביומטרי (במקרים שבהם הופעלה אימות ביומטרי), מזהה מקוון, כתובת IP, נתוני מיקום של מכשיר, או מזהי מכשיר. ההגדרה כוללת גם תוכן שהמשתמש העלה באופן יזום, לרבות פרטי הוצאות וקבלות.

2.4 משק בית (Household): קבוצת משתמשים שהצטרפו יחד באפליקציה לצורך ניהול הוצאות משותפות. חברי משק בית רואים את ההוצאות המשותפות ביניהם, אך לא של משתמשים מחוץ למשק הבית.

2.5 הוצאה: רשומה שנוצרה באפליקציה לתיעוד תשלום או חיוב, הכוללת קטגוריה, סכום, תאריך, ומחלקת ההוצאה בין חברי משק הבית. לא נאסף כל מידע על אמצעי תשלום (כרטיסי אשראי, פרטי בנק, אסמכתאות תשלום).

2.6 קבלה: תמונה של קבלת רכישה שהמשתמש מעלה לשירות לצורך זיהוי אוטומטי של פריטים וסכומים. הקבלה מאוחסנת בענן R2 של Cloudflare ומועברת לזיהוי אוטומטי באמצעות שירות צד שלישי (Google Gemini), כמפורט בסעיף 4 להלן.

2.7 בעל המאגר: ניר דוכס, יזם ובעל השירות. כתובת לפנייה: [email protected].

2.8 מחזיק מאגר מידע: ספקי תשתיות הענן והעיבוד שמחזיקים את המידע מטעם SHULAM!, לרבות Cloudflare, Render, ו-Google Cloud (לעיבוד OCR בלבד).

3. איסוף ושימוש במידע אישי

3.1 סוגי המידע הנאספים

מידע שנמסר על ידי המשתמש:

• בעת הרשמה לרשימת המתנה באתר: כתובת דוא"ל, ובאופן רשות גודל משק הבית והכלי הנוכחי לחלוקת הוצאות.
• בעת יצירת חשבון באפליקציה: שם תצוגה, כתובת דוא"ל, סיסמה (נשמרת בצורה מוצפנת באמצעות bcrypt ולעולם לא בטקסט גלוי).
• תוכן שהועלה: רשומות הוצאות, רשימות קניות, תמונות קבלות שהוזנו על ידי המשתמש, פריטי מקרר ומזווה, מטלות בית, הערות, ותמונת פרופיל (אווטאר) אם הועלתה.
• מידע פיננסי: סכומי הוצאות ואופן חלוקתן, מאזנים, והתחשבנויות בין חברי משק הבית (מי חייב למי). מידע זה נחשב מידע פיננסי לפי הדין.
• פעילות במשק הבית: ביצוע וחלוקה של מטלות בית בין החברים, ותזכורות משותפות.
• מידע במהלך אינטראקציה: בקשות פנייה לתמיכה, פידבק, ודיווחי באגים.

מידע הנאסף באופן אוטומטי:

• נתוני שימוש מצרפיים ואנונימיים: דרך שירות Cloudflare Web Analytics, המבוסס על איסוף נתונים ללא קובצי Cookie וללא מזהה משתמש קבוע. נאסף סוג מכשיר כללי, מערכת הפעלה כללית, ומדינת מקור.
• כתובת IP ונתונים טכניים: נשמרים זמנית בלוגים של השרת לצורכי אבטחה ואיתור תקלות, וכוללים סוג דפדפן, מערכת הפעלה ופרטי חיבור. הלוגים נמחקים לאחר 30 יום.
• מזהי מכשיר ואסימוני התראות (Push Tokens): כאשר המשתמש בוחר להפעיל התראות באפליקציה, נשמר אסימון מכשיר המסופק על ידי Apple Push Notification Service או Firebase Cloud Messaging.

בהתאם לתיקון 13 לחוק הגנת הפרטיות, מזהים אלו (כתובת IP, מזהי מכשיר, נתוני מיקום מבוסס IP) נחשבים מידע אישי.

3.2 מטרות השימוש במידע

המידע שנאסף משמש למטרות הבאות בלבד:

• מתן השירות: הפעלת החשבון, סנכרון בין מכשירים, אפשרות חלוקת הוצאות בין חברי משק בית, וזיהוי קבלות באמצעות OCR.
• תקשורת עם המשתמש: שליחת הודעות מערכת חיוניות (אימות דוא"ל, איפוס סיסמה), עדכוני שירות, ועדכונים על שותפים שהזמנת למשק הבית.
• תקשורת שיווקית: עדכון לגבי עליית האפליקציה לאוויר, רק למי שאישר זאת במפורש בעת ההצטרפות לרשימת ההמתנה.
• אבטחת השירות: זיהוי ומניעת פעילות חשודה, התקפות סייבר וניצול לרעה.
• שיפור השירות: ניתוח מצרפי ואנונימי של דפוסי שימוש לצורך שיפור ממשק המשתמש והתכונות. ניתוח זה אינו מבוסס על מידע מזהה.
• עמידה בחובות חוקיות: היענות לדרישות חוקיות מרשויות, ככל שתתעוררנה.

3.3 חיוב למסירת מידע והשלכות סירוב

מסירת מידע אישי לצורך השימוש בשירות תלויה ברצון המשתמש. עם זאת, סירוב למסור מידע בסיסי (דוא"ל וסיסמה) ימנע את האפשרות ליצור חשבון ולהשתמש באפליקציה. אם המדיניות אינה תואמת את השקפתך או את רצונותיך, זכותך המלאה להימנע מהשימוש בשירות.

4. שיתוף והעברת מידע

4.1 עיקרון כללי

SHULAM! אינה מוכרת, משכירה או מעבירה מידע אישי לצד שלישי לצרכים שיווקיים תחת אף תנאי. מידע אישי מועבר אך ורק לספקי תשתיות עיבוד הענן שהשירות מסתמך עליהם, כמפורט להלן.

4.2 ספקי תשתית וספקי שירות

SHULAM! משתמשת בספקי שירותי ענן הבאים. עם כל אחד מהם קיים הסכם מחייב הכולל התחייבות לסודיות, אבטחת מידע ועמידה בדרישות הדין:

• Cloudflare: אירוח האתר, הגנת DDoS, אנליטיקת אינטרנט, ואחסון תמונות קבלות בשירות R2 (אזור האיחוד האירופי).
• Render: אירוח שרת ה-API ובסיס הנתונים הראשי.
• Google Cloud (Gemini): עיבוד טקסט ותמונות באמצעות בינה מלאכותית, לרבות: זיהוי אוטומטי של תוכן קבלות (OCR); שמות וכמויות פריטים במקרר/מזווה לצורך הצעות מתכונים ואומדן חיי מדף; ותמונות, טקסט וקישורים של מתכונים שהמשתמש מייבא. המידע מועבר לעיבוד חד פעמי; Google Cloud מתחייבת שלא להשתמש בו לאימון מודלים. ראו cloud.google.com.
• Expo (Expo Application Services): שליחת התראות Push לאפליקציה דרך שירותי Apple Push Notification Service ו-Google Firebase Cloud Messaging. אסימוני המכשיר ותוכן ההתראה (כגון כותרות תזכורות ומשימות) עוברים דרך Expo.
• Sentry: ניטור שגיאות ותקלות. מקבל הקשר טכני של תקלות, כתובת IP ומזהה משתמש פסבדונימי (UUID). אינו מקבל מידע פיננסי או אישי מזהה.
• Resend: שליחת הודעות דוא"ל לאיפוס סיסמה. מקבל את כתובת הדוא"ל וקוד האיפוס.

4.3 העברת מידע אל מחוץ למדינת ישראל

חלק מספקי השירות פועלים מחוץ לישראל. בהתאם לחוק הגנת הפרטיות ולתקנות שיתופי פעולה בין-לאומיים:

• Cloudflare R2 – אזור איחסון מוגדר כ-EUR (אירופה), שם חל הסדר הלימות לישראל.
• Render – שרתים בארה"ב. העברה מותרת על בסיס הסכמת המשתמש המפורשת ושימוש בהגנות חוזיות.
• Google Cloud – שרתים בארה"ב. ההעברה מתבצעת מכוח הסכם עיבוד נתונים סטנדרטי של Google הכולל סעיפים חוזיים סטנדרטיים (SCCs).
• Apple ו-Google – שירותי התראות, ארה"ב. אסימון המכשיר אינו כולל מידע אישי מעבר למזהה הטכני של ההתראה.

4.4 דרישות חוקיות

מידע עשוי להימסר לרשויות בהתאם לדרישה חוקית בלתי כפויה, צו בית משפט, או חקירה משטרתית. במקרים אלה, SHULAM! תפעל במסגרת הצרה ביותר האפשרית על פי דין.

5. שמירה ואבטחת המידע

5.1 SHULAM! מסווגת את עצמה כמאגר ברמת אבטחה בינונית בהתאם לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, בשל אופי המידע (פיננסי-משק בית) ועלייתה הצפויה של כמות הרשומות.

5.2 אמצעי אבטחה ננקטים כוללים:

• הצפנת נתונים בתעבורה באמצעות TLS 1.2 ומעלה (HTTPS חובה).
• הצפנת סיסמאות באמצעות bcrypt. הסיסמאות לעולם אינן נשמרות בטקסט גלוי ואינן נגישות לצוות.
• הצפנת נתונים במנוחה (encryption at rest) בכל ספקי האחסון.
• בקרת גישה הדוקה: רק חשבונות מורשים יכולים לגשת לנתוני המערכת, ופעולות גישה נרשמות בלוג ביקורת (audit log).
• גיבוי תקופתי של בסיס הנתונים.
• חומת אש (WAF) של Cloudflare להגנה מפני התקפות נפוצות.

5.3 על אף כל האמור, אנו מבהירים כי אבטחת מידע מוחלטת אינה אפשרית. SHULAM! אינה מתחייבת שהמידע יהיה חסין לחלוטין. המשתמש אחראי לשמור על סודיות שם המשתמש והסיסמה שלו ולנקוט אמצעי הגנה בסיסיים על מכשירו.

5.4 דיווח על אירוע אבטחה: בהתאם לתקנות 2017, במקרה של אירוע אבטחה חמור הפוגע במידע אישי, SHULAM! תדווח לרשות להגנת הפרטיות "ללא דיחוי" ותעדכן את המשתמשים שעלולים להיפגע ממנו פגיעה משמעותית.

6. זכויות נושא המידע

בהתאם לחוק הגנת הפרטיות ולתיקון 13, למשתמש זכויות מוקנות במידע האישי שלו:

זכות	תיאור
עיון במידע	לבקש לראות את המידע האישי שאנו מחזיקים עליך.
תיקון מידע	לבקש לתקן מידע שאינו נכון, שלם או מעודכן.
מחיקת מידע	לבקש מחיקה של חשבון המשתמש וכל המידע הקשור אליו, בכפוף לדרישות חוקיות לשמירת מידע. מחיקה מתבצעת תוך 30 יום.
הגבלת שימוש	להתנגד לעיבוד נתוני המשתמש למטרות שיווק או ניתוח מצרפי.
ניידות מידע (תיקון 13)	לקבל את נתוני המשתמש בפורמט מובנה (JSON), הניתן להעברה לשירות אחר.
הסרה מדיוור	לבקש בכתב מחיקה ממאגר הדיוור הישיר.
משיכת הסכמה	לבטל את הסכמתך לעיבוד המידע בכל עת. הביטול לא ישפיע על חוקיות עיבוד שבוצע לפני המשיכה.

פנייה למימוש זכויות אלו תיעשה באמצעות [email protected]. זמן המענה הוא עד 30 יום, עם אפשרות הארכה ל-60 יום בנסיבות מוצדקות, בהתאם לחוק.

7. עיבוד מידע באמצעות טכנולוגיות מתקדמות

7.1 זיהוי אוטומטי של קבלות (OCR): כאשר המשתמש מעלה תמונת קבלה, התמונה מעובדת על ידי שירות Google Gemini Vision כדי לזהות אוטומטית את המוצרים, הסכומים והחנות. תמונת הקבלה אינה משמשת לאימון מודלים. תוצאות הזיהוי מאוחסנות בחשבון המשתמש כהוצאה עם פרטיה.

7.2 ניתוח מצרפי אנונימי: לצורך שיפור השירות, אנו אוספים נתוני שימוש מצרפיים שלא ניתנים לקישור למשתמש ספציפי (לדוגמה: כמות המשתמשים שסרקו קבלה בשבוע נתון, אחוז המשתמשים המשתמשים בתכונה מסוימת).

7.3 SHULAM! אינה מקבלת החלטות אוטומטיות בעלות השפעה משפטית או דומה משמעותית על המשתמש. כל פעולה משפטית, פיננסית או הסכמית מתבצעת בידי המשתמש בלבד.

8. שימוש בקובצי Cookie ואחסון מקומי

8.1 SHULAM! משתמשת באחסון מקומי מינימלי (localStorage) של הדפדפן לצורך זכירת העדפות פונקציונליות (שפת ממשק נבחרת). אחסון זה הוא חיוני לתפעול ואינו דורש הסכמה לפי תיקון 13.

8.2 SHULAM! משתמשת ב-Cloudflare Web Analytics, שירות ניתוח ללא קובצי Cookie וללא מזהי משתמש. השירות אינו עוקב אחר משתמשים בין אתרים ואינו דורש באנר הסכמה לפי הנחיות הרשות להגנת הפרטיות.

8.3 לא נעשה כל שימוש בקובצי Cookie של צד שלישי לצורכי פרסום או מעקב.

9. דיוור ישיר

9.1 SHULAM! תשלח הודעות שיווקיות (כגון עדכון על השקה רשמית, תכונות חדשות) רק למשתמשים שאישרו זאת במפורש בעת ההרשמה לרשימת ההמתנה או בעת יצירת החשבון.

9.2 כל הודעה שיווקית תכלול מנגנון הסרה (unsubscribe). ניתן גם לפנות לכתובת [email protected] בבקשה להסרה.

9.3 SHULAM! לעולם לא תמכור, תשכיר או תעביר את כתובת הדוא"ל שלך לצד שלישי לצורכי דיוור.

10. קטינים

10.1 השירות מיועד למשתמשים בגירים בלבד, מגיל 18 ומעלה. אנו לא אוספים ביודעין מידע אישי ממי שטרם מלאו לו 18.

10.2 במידה שנודע לנו כי משתמש קטין מסר לנו מידע אישי, נמחק את המידע ללא דיחוי וננתק את החשבון. הורה או אפוטרופוס המאמין כי קטין בחזקתו מסר לנו מידע מתבקש לפנות אל [email protected].

11. יצירת קשר

Last updated: May 19, 2026

In case of any conflict between the Hebrew and English versions, the Hebrew version is authoritative.

1. General

1.1 Nir Dukas, owner and operator of the SHULAM! mobile application and the related web service at shulam-app.com (hereafter: "SHULAM" or "we"), respects the privacy of service users.

1.2 SHULAM! is a free Israeli application for managing shared household expenses among roommates, splitting bills (rent, electricity, Arnona, groceries, etc.), receipt scanning, shared fridge management, and household chore tracking. The service is a ledger only and does not move money between users. Money flows directly between roommates via Bit, Paybox, or other means.

1.3 This Privacy Policy and the Terms of Use detailed below explain how SHULAM! collects, uses, stores, and protects personal information provided or collected through the service. Using the service constitutes acceptance of this policy and the Terms of Use.

1.4 This policy has been updated in accordance with Amendment 13 to the Privacy Protection Law, 5741-1981 (effective August 14, 2025), and the Privacy Protection Regulations (Data Security), 5777-2017. The policy reflects the new principles set by Amendment 13, including the expanded definition of personal data covering digital identifiers (IP addresses, geolocation), transparency obligations, and data subject rights.

1.5 You should read this policy and the Terms of Use carefully. They constitute a binding legal agreement between the User and SHULAM!.

1.6 SHULAM! reserves the right to update this Privacy Policy from time to time, in accordance with changes in law or operational needs. The last update date is shown at the top, and users are asked to review this policy periodically.

1.7 References in this policy to one gender apply equally to all genders. Singular grammatical forms are used for readability only.

2. Definitions

2.1 Privacy Protection Laws: the Privacy Protection Law, 5741-1981, regulations and guidelines of the Privacy Protection Authority as updated from time to time, and any other Israeli law concerning privacy.

2.2 User: any person using the service, including those who completed the waitlist form on the website, created an account in the application, or were invited to join an existing household.

2.3 Personal Information: any data relating to an identified or identifiable individual, including name, email address, usage data, biometric identifier (where biometric authentication is used), online identifier, IP address, device geolocation, or device identifiers. The definition also includes content uploaded by the user, including expense and receipt data.

2.4 Household: a group of users who joined together in the application to manage shared expenses. Members of a household can view shared expenses among themselves, but not those of users outside the household.

2.5 Expense: a record created in the application to document a payment or charge, including category, amount, date, and the split among household members. No information about payment methods (credit cards, bank details, payment references) is collected.

2.6 Receipt: an image of a purchase receipt uploaded by the user for automatic identification of items and amounts. The receipt is stored on Cloudflare R2 and processed for automatic identification by a third-party service (Google Gemini), as detailed in Section 4.

2.7 Database Owner: Nir Dukas, founder and operator. Contact for inquiries: [email protected].

2.8 Database Holders: cloud infrastructure and processing providers that hold information on SHULAM's behalf, including Cloudflare, Render, and Google Cloud (for OCR processing only).

3. Collection and Use of Personal Information

3.1 Types of Information Collected

Information provided by the user:

• When signing up to the waitlist on the website: email address, and optionally household size and current expense-splitting tool.
• When creating an account in the application: display name, email address, password (stored encrypted via bcrypt and never in plaintext).
• Uploaded content: expense records, shopping lists, receipt images, fridge and pantry items, household tasks, notes, and a profile photo (avatar) if uploaded.
• Financial information: expense amounts and how they are split, balances, and settlements between household members (who owes whom). This is treated as financial data under applicable law.
• Household activity: completion and assignment of household chores among members, and shared reminders.
• Information during interaction: support contact requests, feedback, and bug reports.

Information collected automatically:

• Aggregated, anonymous usage data: through Cloudflare Web Analytics, a cookieless analytics service with no persistent user identifier. General device type, general operating system, and country of origin are collected.
• IP address and technical data: temporarily stored in server logs for security and troubleshooting purposes, including browser type, operating system, and connection details. Logs are deleted after 30 days.
• Device identifiers and push tokens: when the user opts in to notifications, a device token from Apple Push Notification Service or Firebase Cloud Messaging is stored.

In accordance with Amendment 13, these identifiers (IP address, device IDs, IP-based geolocation) are considered personal information.

3.2 Purposes of Use

Information collected is used solely for the following purposes:

• Service provision: account operation, cross-device sync, household expense splitting, and receipt OCR.
• User communication: essential system messages (email verification, password reset), service updates, notifications about roommates you invited to your household.
• Marketing communications: launch updates, only to those who explicitly consented during waitlist signup.
• Service security: detection and prevention of suspicious activity, cyberattacks, and abuse.
• Service improvement: aggregated, anonymous analysis of usage patterns. This analysis is not based on identifying information.
• Legal obligations: compliance with legal demands from authorities, where applicable.

3.3 Obligation to Provide Information and Consequences of Refusal

Providing personal information for service use depends on the user's will. Refusing to provide basic information (email and password) will prevent account creation and service use. If this policy does not align with your views or wishes, you have every right to refrain from using the service.

4. Information Sharing and Transfer

4.1 General Principle

SHULAM! does not sell, rent, or transfer personal information to third parties for marketing purposes under any circumstances. Personal information is transferred only to the cloud infrastructure providers the service relies on, as detailed below.

4.2 Infrastructure and Service Providers

SHULAM! uses the following cloud service providers. Each has a binding agreement including confidentiality, information security, and legal compliance commitments:

• Cloudflare: website hosting, DDoS protection, web analytics, and receipt image storage on R2 (EU region).
• Render: API server and primary database hosting.
• Google Cloud (Gemini): AI text and image processing, including: automatic receipt content recognition (OCR); fridge/pantry item names and quantities for recipe suggestions and shelf-life estimation; and photos, text, and links of recipes the user imports. Data is sent for one-time processing; Google Cloud commits not to use it for model training. See cloud.google.com.
• Expo (Expo Application Services): delivering push notifications to the app via Apple Push Notification Service and Google Firebase Cloud Messaging. Device tokens and notification content (such as reminder and chore titles) pass through Expo.
• Sentry: error and crash monitoring. Receives technical error context, IP address, and a pseudonymous user identifier (UUID). Does not receive financial or directly-identifying data.
• Resend: sending password-reset emails. Receives the email address and the reset code.

4.3 Transfer of Information Outside Israel

Some service providers operate outside Israel. In accordance with the Privacy Protection Law and cross-border cooperation regulations:

• Cloudflare R2 – storage region is set to EUR (Europe), where an adequacy decision for Israel applies.
• Render – servers in the US. Transfer is permitted based on explicit user consent and contractual safeguards.
• Google Cloud – servers in the US. Transfer is conducted under Google's standard data processing agreement including standard contractual clauses (SCCs).
• Apple and Google – notification services, US. The device token does not include personal information beyond the technical notification identifier.

4.4 Legal Requirements

Information may be disclosed to authorities pursuant to a legal demand, court order, or police investigation. In such cases, SHULAM! will act within the narrowest scope possible under law.

5. Information Storage and Security

5.1 SHULAM! classifies itself as a medium-security level database under the Privacy Protection Regulations (Data Security), 5777-2017, due to the nature of the information (household financial) and the expected growth in record count.

5.2 Security measures include:

• Encryption of data in transit via TLS 1.2 and above (HTTPS mandatory).
• Password encryption via bcrypt. Passwords are never stored in plaintext and are not accessible to staff.
• Encryption at rest across all storage providers.
• Strict access controls: only authorized accounts can access system data, and access actions are recorded in an audit log.
• Periodic database backups.
• Cloudflare WAF (Web Application Firewall) protecting against common attacks.

5.3 Notwithstanding the above, we clarify that absolute information security is not possible. SHULAM! does not guarantee that information will be entirely impervious. The user is responsible for maintaining the confidentiality of their username and password and taking basic protective measures on their device.

5.4 Security Incident Reporting: Pursuant to the 2017 regulations, in the event of a serious security incident affecting personal information, SHULAM! will report to the Privacy Protection Authority "without delay" and notify users who may be significantly harmed.

6. Data Subject Rights

In accordance with the Privacy Protection Law and Amendment 13, users have rights regarding their personal information:

Right	Description
Access	Request to see the personal information we hold about you.
Correction	Request correction of inaccurate, incomplete, or outdated information.
Deletion	Request deletion of the user account and all related information, subject to legal retention requirements. Deletion is completed within 30 days.
Use limitation	Object to processing of user data for marketing or aggregate analysis purposes.
Data portability (Amendment 13)	Receive user data in a structured format (JSON), transferable to another service.
Direct mail removal	Request in writing to be removed from the direct mail database.
Consent withdrawal	Withdraw consent to processing at any time. Withdrawal does not affect the lawfulness of processing prior to withdrawal.

To exercise these rights, contact [email protected]. Response time is up to 30 days, with possible extension to 60 days in justified circumstances, in accordance with law.

7. Processing Information with Advanced Technologies

7.1 Automatic receipt recognition (OCR): when the user uploads a receipt image, the image is processed by the Google Gemini Vision service to automatically identify items, amounts, and store. The receipt image is not used for model training. Recognition results are stored in the user's account as an expense with details.

7.2 Aggregated, anonymous analysis: to improve the service, we collect aggregated usage data that cannot be linked to a specific user (for example: the number of users who scanned a receipt in a given week, the percentage of users using a specific feature).

7.3 SHULAM! does not make automated decisions with legal or similarly significant impact on the user. Any legal, financial, or contractual action is taken by the user only.

8. Use of Cookies and Local Storage

8.1 SHULAM! uses minimal browser localStorage for remembering functional preferences (selected interface language). This storage is essential for operation and does not require consent under Amendment 13.

8.2 SHULAM! uses Cloudflare Web Analytics, an analytics service without cookies and without user identifiers. The service does not track users across sites and does not require a consent banner under Privacy Protection Authority guidance.

8.3 No third-party cookies are used for advertising or tracking.

9. Direct Mail

9.1 SHULAM! will send marketing messages (such as official launch announcement, new features) only to users who explicitly consented during waitlist signup or account creation.

9.2 Every marketing message will include an unsubscribe mechanism. You may also contact [email protected] with a removal request.

9.3 SHULAM! will never sell, rent, or transfer your email address to a third party for mailing purposes.

10. Minors

10.1 The service is intended for adult users only, aged 18 and over. We do not knowingly collect personal information from anyone under 18.

10.2 If we learn that a minor user has provided us with personal information, we will delete the information without delay and terminate the account. A parent or guardian who believes that a minor in their care has provided us with information is asked to contact [email protected].

11. Contact