מדיניות פרטיות זו מסבירה אילו נתונים נאספים במסגרת השימוש בשירות "רשימתי" — אפליקציית האנדרואיד ואפליקציית הווב בכתובת reshimati.co.il/app (יחד: "השירות") — כיצד נעשה בהם שימוש, וכיצד ניתן לממש את זכויותיכם. בעל השירות: שמעון (עוסק פטור, ישראל), פניות: [email protected].
1. מהם הנתונים שאנו אוספים
1.1 חשבון Google
- מזהה ייחודי (sub) של חשבון Google
- כתובת דוא"ל
- שם תצוגה (אופציונלי)
- תמונת פרופיל (אופציונלי)
1.2 תוכן תזכורות ורשימות שיצרת
- כותרת תזכורת, תיאור / הערה, זמן ותאריך, הגדרות חזרה (recurrence).
- פריטי רשימות קניות (שם הפריט, כמות, יחידה, סימון "הושלם").
- תזכורות שנתיות יהודיות (יארצייט) כוללות שם של אדם יקר ותאריך פטירה — נשמרות מקומית במכשיר בלבד.
- תזכורות שנה שעברה (חדש בגרסה 0.2): כעשרה ימים לפני חג מרכזי בלוח השנה העברי (פסח, ראש השנה, יום כיפור, סוכות, חנוכה, פורים או שבועות), האפליקציה משווה במכשיר את התזכורות שהיו לך בחלון הלוח-העברי המקביל בשנה הקודמת ומציגה אותן ככרטיס תזכורת במסך היום. כל ההשוואה מתבצעת מקומית מול מסד הנתונים שבמכשיר; שום נתון אינו נשלח לשרת לצורך פיצ'ר זה.
1.2א שמירת טיוטה אוטומטית (חדש בגרסה 0.1.14)
- בעת ניסיון לצרף קובץ או הקלטה לתזכורת חדשה שעדיין לא נשמרה, האפליקציה תיצור עבורך באופן אוטומטי טיוטה (תזכורת עם הכותרת "טיוטה") במסד הנתונים המקומי במכשיר בלבד. הטיוטה אינה נשלחת לשרת ואינה נחשפת לאחרים. ניתן למחוק טיוטות כמו כל תזכורת רגילה.
1.3 רשימות משותפות (אופציונלי)
- בעת יצירת רשימה משותפת — שם הרשימה, סוג הרשימה וקוד שיתוף בן 8 תווים נשמרים בשרתי Cloudflare D1.
- פריטי הרשימה המשותפת זמינים לכל מי שמחזיק את קוד השיתוף.
- כאשר משתמש מצטרף לרשימה משותפת, שם התצוגה וכתובת הדוא"ל שלו נחשפים לכל שאר חברי אותה רשימה. כל חבר ברשימה רואה מי הוסיף — ומי מחק — כל פריט, מזוהה לפי שם או דוא"ל. חשיפה זו היא בעיצוב מכוון, מתוך הנחה שרשימות משותפות משמשות בני משפחה או שותפים שמכירים זה את זה. החל מגרסה 0.1.20, מסך הרשימה המשותפת כולל פאנל ייעודי המציג את רשימת כל החברים (שם תצוגה ודוא"ל) הזמין לכל חבר ברשימה.
- תיעוד אחריות מורחב: לכל פריט ברשימה משותפת האפליקציה רושמת בשרת מי הוסיף אותו ומתי (added_by / added_at), מי סימן אותו כהושלם ומתי (checked_by / checked_at), ומי מחק אותו ומתי (deleted_by / deleted_at) — בכל מקרה נרשמים שם או דוא"ל יחד עם חותמת זמן. הרישום גלוי לכל חברי הרשימה. שלושת אוספי הנתונים האלה משמשים להצגת מד תרומה שמראה לכל חבר את חלקו בכל אחת משלוש הפעולות (הוספה, סימון, מחיקה) ב-14 הימים האחרונים. המד הוא תצוגה משוערת ואין לבסס עליו טענות עובדתיות מחייבות.
- כיבוי מד התרומה: כל משתמש יכול לכבות את מד התרומה לחלוטין דרך הגדרות → רשימות וקטגוריות. הכיבוי מסתיר את המד מהמסך אצל אותו משתמש בלבד; הנתונים עצמם (added_by/checked_by/deleted_by) ממשיכים להישמר בשרת כל עוד הרשימה משותפת, מאחר שהם נדרשים לחישוב המד אצל שאר החברים שלא כיבו אותו.
- שמירה ומחיקה ברישומי השיתוף: רישומי "מי הוסיף / מי סימן / מי מחק" נשמרים כל עוד הרשימה קיימת. כאשר חבר עוזב רשימה משותפת, זיהויו ברישומים ההיסטוריים עובר אנונימיזציה ומוחלף בערך "חבר לשעבר" (former member) באופן אוטומטי. בקשה למחיקת חשבון לפי סעיף 5 שלהלן מסירה את כל הרישומים ההיסטוריים שאותו משתמש מופיע בהם, וגורמת לחישוב מחדש של מד התרומה.
- המשתף הוא שבוחר למי למסור את קוד השיתוף, והוא האחראי הבלעדי לכך. כל מי שמחזיק קוד תקף יכול לקרוא ולערוך את הרשימה. האפליקציה מספקת קוד אקראי וארוך; שמירתו מפני גורמים בלתי-מורשים היא באחריות המשתמש בלבד.
1.4 כספים — רישומי תכנון תקציב
- במסך "כספים" באפשרותך לרשום רישומי תכנון תקציב אישיים, הכוללים סכום, סוג (הוצאה או הכנסה), קטגוריה, תאריך והערה אופציונלית.
- אלה רישומים שאתה יוצר בעצמך. הם אינם כוללים פרטי בנק, מספרי חשבון, אמצעי תשלום או כרטיסי אשראי, ואין באפליקציה כל חיבור לבנק או למוסד פיננסי. מדובר במספרים ובקטגוריות שאתה מקליד בלבד.
- הרישומים נשמרים במכשירך. באפליקציית הווב (reshimati.co.il/app), כאשר אתה מחובר לחשבונך, הם מסונכרנים גם לחשבונך האישי בשרתי Cloudflare D1 — בדומה לתזכורות ולרשימות — כדי שיהיו זמינים בין סשנים ובין מכשירים. גם באפליקציית הטלפון רישומי הכספים מסתנכרנים לשרתי Cloudflare D1 — עבור מנויי פרימיום ועבור משתמשים חינמיים שהם חברים בקבוצת תקציב משותף (אצל מצטרף חינמי מסונכרנים נתוני הכספים בלבד).
- הסנכרון מיועד למשתמשים מחוברים בלבד. אם אינך מחובר, הרישומים נשמרים במכשירך בלבד.
- איננו משתפים נתונים אלה עם צדדים שלישיים, איננו עושים בהם שימוש לצורכי פרסום, איננו משתמשים בהם לאימון מודלי בינה מלאכותית ואיננו מנתחים אותם.
- תקציב משפחתי משותף (אופציונלי): באפשרותך לשתף את התקציב הראשי עם בני משפחה בעזרת קוד שיתוף, בדומה לרשימות משותפות (סעיף 1.3). בעת יצירת תקציב משותף — שם התקציב, סכום היעד וקוד השיתוף בן 8 התווים נשמרים בשרתי Cloudflare D1. יצירת תקציב משותף והפקת קוד שיתוף דורשות מנוי פרימיום; הצטרפות באמצעות קוד היא חינם — אצל מצטרף חינמי מסונכרנים נתוני הכספים בלבד. ההצטרפות מתבצעת אך ורק באמצעות קוד חד-פעמי בן 8 תווים (אין קישור הצטרפות), והקוד פג תוקף לאחר 48 שעות. כל תנועה שמוסיף חבר (סכום, סוג, קטגוריה, תאריך והערה) זמינה לכל חברי אותו תקציב. לכל תנועה נרשמים בשרת מי הוסיף אותה (added_by) וגם מי ערך או מחק אותה לאחרונה (last_actor), מזוהים לפי שם התצוגה או הדוא"ל, והרישום גלוי לכל חברי התקציב. מיזוג היסטוריות בעת הצטרפות: עם ההצטרפות לקבוצת תקציב, כל תנועות התקציב הקודמות של המצטרף הופכות גלויות לכל חברי הקבוצה, וכל היסטוריית הקבוצה הופכת גלויה למצטרף. חשיפה זו היא בעיצוב מכוון, מתוך הנחה שתקציב משותף משמש בני משפחה או שותפים שמכירים זה את זה. המשתף הוא שבוחר למי למסור את קוד השיתוף והוא האחראי הבלעדי לכך. עזיבת הקבוצה מסירה את רישום חברותך ואת גישתך לקבוצה ומפסיקה את הסנכרון המשותף מכאן ואילך; עותק מלא של הנתונים נשאר במכשירך, ואילו תנועות שכבר מוזגו להיסטוריית הקבוצה — לרבות רישומי הזיהוי (added_by / last_actor) שעליהן — נשארות חלק מהיסטוריית הקבוצה הממשיכה. מחיקת החשבון (סעיף 5) מסירה גם את רישומי התקציב המשותף שיצרת.
- מחיקת רישום מבקשת ממך אישור ומעבירה את הרישום לארכיון ניתן-לשחזור בשם "תנועות שנמחקו"; הרישום נשמר בארכיון ללא הגבלת זמן, עד שתשחזר אותו או עד מחיקת החשבון. בתקציב משותף, מחיקה ושחזור מסתנכרנים ומשתקפים אצל כל חברי הקבוצה. מחיקת חשבונך (כמפורט בסעיף 5) מוחקת גם את רישומי הכספים, כולל אלה שבארכיון.
1.5 מיקום (אופציונלי — צירוף מיקום לתזכורת)
- ניתן לצרף לתזכורת מיקום (שם מקום, כתובת וקואורדינטות), כדי שניתן יהיה לפתוח אותו לאחר מכן באפליקציית מפות. שם המקום, הכתובת והקואורדינטות נשמרים יחד עם התזכורת במכשיר בלבד.
- אם תבחר להשתמש באפשרות "המיקום הנוכחי שלי" בעת צירוף מיקום, האפליקציה תבקש הרשאת מיקום (ACCESS_FINE_LOCATION ו-ACCESS_COARSE_LOCATION) כדי לזהות פעם אחת את מיקומך באותו רגע. ההרשאות מבוקשות אך ורק עבור פעולת איתור חד-פעמית זו.
- המיקום הנוכחי שלך אינו נשלח לשרת או לכל צד שלישי. אין מעקב מיקום ברקע ואין שימוש בגדרות גאוגרפיות (geofencing). בדיקת קרבה לצורך פיצ'ר "כשאתה כבר בחוץ" (סעיף 1.5א) מתבצעת רגעית, רק בעת השלמת תזכורת, ולא ברקע.
- סידורים לפי מיקום + פתיחת מסלול ב-Google Maps (מגרסה 0.1.20): מסך "סידורים לפי מיקום" מציג את התזכורות הפתוחות שיש להן מיקום שמור, מקובצות לפי רדיוס שאתה בוחר. בלחיצה על "פתח מסלול במפות", האפליקציה מעבירה את הקואורדינטות (lat/lng) של אותם פריטים אל Google Maps באמצעות Android Intent — כלומר, ה-URL הנפתח כולל את הקואורדינטות, ולכן ברגע פתיחת Google Maps חלה עליו מדיניות הפרטיות של Google. ההעברה היא local-only (intent בין אפליקציות במכשיר); אנחנו לא שולחים את הקואורדינטות לאף שרת שלנו.
- ניתן לבטל את ההרשאה בכל עת בהגדרות אנדרואיד.
1.5א שירשור משימות לפי קרבה — "כשאתה כבר בחוץ" (חדש בגרסה 0.2, אופציונלי)
- כאשר תסמן תזכורת עם מיקום שמור כ"הושלמה", האפליקציה תבדוק במכשיר בלבד אילו תזכורות פתוחות אחרות נמצאות בטווח של כ-2 ק"מ מהמקום, או כ-1 ק"מ מקו אווירי אל "הבית" שלך, ותציע אותן כהצעה.
- כתובת הבית: אם תגדיר כתובת בית בהגדרות, היא נשמרת במכשיר בלבד — לא מועברת לשרת, לא מסונכרנת בין מכשירים, ואינה נכללת בקובץ ה-ZIP של הגיבוי האוטומטי או בייצוא ה-JSON הידני. ניתן לערוך או למחוק אותה בכל עת בהגדרות.
- סיווג רגישות: כתובת הבית מסווגת כמידע אישי בעל רגישות מוגברת לפי תיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981. בחירתנו לשמור אותה במכשיר בלבד נועדה לצמצם את החשיפה.
- הבדיקה משתמשת אך ורק בקואורדינטות שכבר שמורות בתזכורות עצמן (ראה סעיף 1.5) ובכתובת הבית. היא אינה מפעילה את ה-GPS בעת ההשלמה ואינה כוללת קריאת מיקום נוספת.
1.6 סנכרון יומן Google (אופציונלי)
- אם תפעיל סנכרון יומן, האפליקציה תבקש הרשאות WRITE_CALENDAR ו-READ_CALENDAR, ובמידת הצורך גם את הסכמת ה-OAuth המפורשת שלך להרשאת ה-scope
https://www.googleapis.com/auth/calendar.events.
- כתיבה ליומן: כאשר אתה יוצר תזכורת מתוזמנת, האפליקציה יוצרת עבורה אירוע מקביל ביומן Google הראשי שלך. כאשר אתה עורך או מוחק תזכורת מסונכרנת — האפליקציה מעדכנת או מוחקת בהתאם את האירוע התואם ביומן Google. כותרת התזכורת, התיאור, זמני ההתחלה והסיום, אזור הזמן, וכן תווית המיקום שצירפת לתזכורת (אם צירפת) — נכתבים אל האירוע ביומן Google.
- קריאה מהיומן: האפליקציה קוראת את אירועי יומן Google שלך (כותרת, זמנים, מיקום) כדי להציג אותם בתצוגת היומן ובמסך "היום" שבתוך האפליקציה, לצד התזכורות שלך. הקריאה מתבצעת באמצעות Google Calendar API או באמצעות ספק היומן של המכשיר.
- האפליקציה אינה שומרת את אירועי יומן Google בשום שרת — הם נשלפים ומוצגים על המכשיר בלבד. הסתרת אירוע או סימונו כ"הושלם" בתוך האפליקציה נשמרים אך ורק במכשיר שלך ואינם משנים את האירוע ביומן Google עצמו.
- שימוש מוגבל (Limited Use): השימוש של רשימתי במידע שמתקבל מממשקי Google API תואם את מדיניות נתוני המשתמש של שירותי Google API, לרבות דרישות ה-Limited Use. נתוני יומן Google משמשים אך ורק לתכונות הגלויות למשתמש שתוארו לעיל. נתוני יומן Google אינם נמסרים או נמכרים לצדדים שלישיים, אינם משמשים לפרסום או להתאמת פרסומות, ואינם משמשים לאימון מודלים של בינה מלאכותית. אף גורם אנושי אינו קורא את אירועי היומן שלך, למעט במקרים שהמדיניות מתירה (הסכמתך המפורשת, צורכי אבטחה, או חובה חוקית).
- ביטול הגישה: ניתן לכבות את סנכרון היומן בכל עת בהגדרות האפליקציה, ולבטל את הרשאת ה-OAuth לחלוטין בכתובת myaccount.google.com/connections.
1.6א גישה ליומן Google מאפליקציית הווב (אופציונלי)
- גם באפליקציית הווב (reshimati.co.il/app) ניתן לחבר את יומן Google. החיבור מתבצע בהגדרות האתר ומבקש את הסכמת ה-OAuth המפורשת שלך להרשאת ה-scope
https://www.googleapis.com/auth/calendar.events.
- למה משמשת ההרשאה: ליצירה, עדכון ומחיקה של אירועי היומן המשקפים את התזכורות שלך (תזכורת עם שעה נכתבת כאירוע ביומן Google שלך), ולקריאת אירועי היומן שלך לצורך הצגתם בלוח השנה שבאתר. לא נעשה בהרשאה כל שימוש אחר.
- אסימון הגישה מוחזק באחסון הסשן של הדפדפן (sessionStorage): אסימון ה-OAuth אינו נכתב ל-localStorage, אינו נשלח לשרתים שלנו ואינו נשמר בהם בשום צורה. הוא נשמר לאורך סשן הגלישה כדי שהחיבור ליומן יישאר יציב בין רענוני דף ומעבר בין מסכים, ונמחק אוטומטית עם סגירת הלשונית; סגירת הלשונית ופתיחתה מחדש מצריכות חיבור מחדש ליומן.
- ביטול ההרשאה: ניתן לנתק את היומן בהגדרות האתר בכל עת, ולבטל את הרשאת ה-OAuth לחלוטין בכתובת myaccount.google.com/permissions.
- הוראות השימוש המוגבל (Limited Use) המפורטות בסעיף 1.6 חלות במלואן גם על הגישה ליומן מהדפדפן.
1.11 כתובת IP — מניעת שימוש לרעה והגבלת קצב
- בעת ביצוע פעולות מול השרת הקשורות לרשימות משותפות או לתקציב משותף — יצירה או שיתוף של רשימה או תקציב, או הצטרפות אליהם באמצעות קוד שיתוף — שרת ה-Cloudflare Worker שלנו רושם באופן זמני מפתח הגבלת-קצב בטבלת
rate_limits במסד הנתונים: את כתובת ה-IP שלך (כפי שמדווחת על-ידי Cloudflare בכותרת CF-Connecting-IP) או את מזהה חשבונך, בהתאם לסוג הבקשה.
- מטרת העיבוד: אבטחה ומניעת שימוש לרעה בלבד — אכיפת הגבלת קצב (rate limiting) על בקשות יצירה, שיתוף והצטרפות (לרשימות משותפות ולתקציב משותף), כדי למנוע ניחוש שיטתי (brute-force) של קודי שיתוף, הצפת השרת ופעולות אוטומטיות זדוניות.
- בסיס חוקי: אינטרס לגיטימי של מפעיל השירות באבטחת המערכת ובהגנה על משתמשיו, בהתאם לחוק הגנת הפרטיות, התשמ"א-1981 (לרבות תיקון 13), ולתקנון הגנת המידע האירופי (GDPR).
- שמירה: הרישום הוא זמני (transient) ומשמש אך ורק לחישוב חלון הזמן של הגבלת הקצב; רשומות שפג תוקפן נמחקות. כתובת ה-IP אינה משמשת לפרסום, לפרופיילינג, למעקב או לכל מטרה שיווקית, ואינה משויכת לתוכן התזכורות או הרשימות שלך.
1.12 מצב מילואים (חדש בגרסה 0.2, אופציונלי)
- אם תפעיל מצב מילואים ותזין טווח תאריכים, האפליקציה תדחה את זמן ההתראה של תזכורות חד-פעמיות שתבחר לזמן שאחרי תאריך החזרה, ותשמור את הזמן המקורי בעמודה מקומית במכשיר בשם
miluim_original_due_at. בלחיצה על "חזרתי" התזכורות משוחזרות לזמנן המקורי.
- אינו מסונכרן לשרת: עצם הפעלת מצב המילואים, טווח התאריכים שהזנת והעמודה
miluim_original_due_at נשמרים אך ורק במכשיר ולא מועברים לשרתים שלנו בשום שלב — לא בסנכרון רגיל ולא במשיכת נתונים ממכשיר אחר. זוהי בחירת עיצוב מודעת.
- סיווג רגישות: העובדה שמשתמש משרת במילואים מסווגת לפי תיקון 13 לחוק הגנת הפרטיות כמידע בעל רגישות מוגברת. לכן בחרנו במכוון שלא לסנכרן אותה.
- תזכורות מחזוריות אינן מושפעות במכוון — הקפאתן תשבש את סדרת ההתראות. אם אינך רוצה לקבל תזכורת חוזרת בעת השירות, יש לכבותה ידנית.
- אם תזכורת מוקפאת מקושרת לאירוע ביומן Google שלך, האירוע יידחה גם הוא יחד עם זמן ההתראה.
- מחשבון מענק המילואים — מקומי בלבד: הנתונים שתזין למחשבון (ימים, ברוטו, מדרג וכד') וההערכה המתקבלת מחושבים במכשיר בלבד, אינם נשמרים ואינם נשלחים אלינו או לכל צד שלישי. אם תבחר "הוסף להכנסות", רק סכום ההערכה נרשם כתנועת הכנסה ברישומי הכספים שלך (ככל נתון כספי אחר).
1.13 אחסון מקומי בדפדפן — אפליקציית הווב
- אפליקציית הווב (reshimati.co.il/app) משתמשת ב-localStorage של הדפדפן לאחסון תפעולי בלבד. אלה המפתחות ומטרתם:
rw_session — אסימון ההתחברות לחשבונך (משמש לזיהוי מול השרת). נמחק אוטומטית בעת התנתקות מהאתר.
rw_lang — שפת הממשק שבחרת באתר.
rw_theme — ערכת הנושא שבחרת (בהיר / כהה).
rw_zcity — העיר שנבחרה לחישוב זמני היהדות באתר.
rw_gcal — דגל ("1") המציין שחיברת את יומן Google באתר (נשמר בנפרד לכל חשבון מחובר).
rw_gcal_map — מיפוי בין מזהה תזכורת למזהה האירוע שנוצר עבורה ביומן Google, למניעת יצירת אירועים כפולים (נשמר בנפרד לכל חשבון מחובר).
rw_gcal_deleted, rw_gcal_done — מזהי אירועי יומן שמחקת או סימנת כבוצעו בתצוגת האתר (מצב תצוגה מקומי בלבד, בנפרד לכל חשבון מחובר).
- למעט
rw_session, הנמחק בעת התנתקות, שאר המפתחות הם העדפות מקומיות הנשמרות בדפדפן בלבד. ניתן למחוק את כולם בכל עת דרך ניקוי נתוני האתר בדפדפן. אין באתר עוגיות מעקב, פרסום או אנליטיקה.
1.7 גיבוי אוטומטי (אופציונלי)
- אם תפעיל גיבוי אוטומטי, האפליקציה תיצור פעם בשבוע קובץ ZIP עם כל הנתונים שלך (תזכורות, קטגוריות, רשימות) ועם המסמכים המצורפים שלך בזיכרון הזמני של המכשיר.
- אנו לא מעבירים את הקובץ לשום מקום אוטומטית. אתה בלבד יכול לשתף אותו ידנית (לדוגמה, ל-Google Drive שלך) דרך ממשק שיתוף הקבצים של אנדרואיד.
- ייצוא ידני (חדש בגרסה 0.1.14): ניתן לייצא קובץ JSON עם כל התזכורות והקטגוריות שלך אל תיקיית "הורדות" של המכשיר (reshimati-backup-<timestamp>.json). הקובץ נוצר בבקשתך בלבד, נשאר במכשיר, ומכיל את הכותרות, התיאורים, התאריכים, הקטגוריות והרשימות שלך. הקבצים המצורפים נשמרים בייבוא חוזר.
1.7א מסמכים מצורפים (אופציונלי — חדש בגרסה 0.1.14)
- מסמכים מצורפים: קבצים שהמשתמש מצרף לתזכורות (PDF, תמונות) נשמרים אך ורק על המכשיר, בתיקייה מוגנת של האפליקציה. הקבצים אינם מועלים לשרתי החברה ואינם מסונכרנים עם משתמשים אחרים גם ברשימות משותפות. הגיבוי האוטומטי (אם הופעל) שומר אותם בקובץ ZIP בכרטיס ה-SD של המכשיר בלבד.
- בגרסה 0.1.14 נוסף כפתור הפעלה/פתיחה בשורת התזכורת ברשימה הראשית, המאפשר להאזין להקלטה או לפתוח קובץ מצורף בלי לפתוח את עורך התזכורת. הנתונים הניגשים זהים — הגישה היא בתוך המכשיר בלבד.
- קבלות ואחריות בכספים (חדש בגרסה 0.2): צילום קבלה (דרך המצלמה, ללא הרשאת מצלמה קבועה — הצילום נכתב ישירות לתיקייה המוגנת של האפליקציה) או קובץ שתצרף לתנועת הוצאה, וכן כתב אחריות, נשמרים במכשיר בלבד באותה תיקייה מוגנת, בדיוק כמו מסמכים מצורפים לתזכורת. הם אינם מועלים לשרת ואינם מסונכרנים בין מכשירים או ברשימות משותפות; הגיבוי (אם הופעל) כולל אותם בקובץ ה-ZIP שלך בלבד. תאריך תום האחריות נשמר אף הוא מקומית; אם תבחר ליצור תזכורת "האחריות מסתיימת בקרוב", התזכורת עצמה — ורק היא — מסתנכרנת ככל תזכורת רגילה.
1.8 הקלטות קוליות (אופציונלי)
- אם תוסיף הערה קולית לתזכורת, האודיו נשמר במכשיר שלך בלבד.
- הקלטות קוליות מוגבלות ל-60 שניות לכל היותר; ההקלטה נעצרת אוטומטית בתום הזמן (חדש בגרסה 0.1.14).
- בגרסה 0.1.14 נוסף כפתור הפעלה/פתיחה בשורת התזכורת ברשימה הראשית, המאפשר להאזין להקלטה או לפתוח קובץ מצורף בלי לפתוח את עורך התזכורת. הנתונים הניגשים זהים — הגישה היא בתוך המכשיר בלבד.
- קלט קולי לחיפוש (Voice Capture) משתמש במנוע ההמרה מקול-לטקסט המובנה באנדרואיד שלך. אם יצרן המכשיר משתמש במנוע ענן (כמו Google), הקול עובר דרכו לפי מדיניותם.
1.9 מידע מכשיר ופרסום
- פרסומות מוצגות אך ורק למשתמשים ללא מנוי בתשלום (המסלול החינמי). משתמשים בעלי מנוי פרימיום או מנוי ללא פרסומות אינם רואים פרסומות כלל, ועבורם ערכת AdMob אינה מגישה פרסומות.
- במסלול החינמי בלבד: נתונים אנונימיים מ-Google AdMob, לרבות שימוש ב-Topics API של Android 13+ ו-Privacy Sandbox.
- במסלול החינמי, ערכת הפרסום Google AdMob עשויה לגשת למזהה הפרסום של המכשיר (Android Advertising ID) לצורך הצגת פרסומות ומדידתן. מזהה זה נפרד מחשבון Google שלך ומנתוני יומן Google שלך ואינו מקושר אליהם. נתוני יומן Google אינם משמשים לעולם לפרסום.
- אין מעקב חוצה-אפליקציות (cross-app tracking).
- בקשת הסכמה לפרסומות מותאמות אישית (UMP) מוצגת בעת ההפעלה הראשונה לפי GDPR.
1.10 דיווח קריסות, אבחון והתראות דחיפה (Push)
- רשימתי אינה משלבת כל ערכת SDK של דיווח קריסות או אנליטיקה (אין Crashlytics, אין Sentry, אין Firebase Analytics), והאפליקציה אינה משדרת נתוני קריסה לשרתי החברה.
- סנכרון בזמן-אמת (Firebase Cloud Messaging): כדי שרשימה משותפת תתעדכן אצל שאר החברים תוך שניות ולא בהמתנה למחזור הסנכרון הבא, האפליקציה משתמשת ב-Firebase Cloud Messaging (FCM) לקבלת "הודעת דחיפה" שקטה. לשם כך נשמר בשרתינו מזהה דחיפה (FCM token) המקושר לחשבונך, ומשמש אך ורק לניתוב הודעת-הדחיפה למכשירך. תוכן ההודעה הוא מזהה-רשימה (איזו רשימה להסתנכרן) או סוג אירוע של קבוצת תקציב משותף (הצטרפות לקבוצה — budget_join — או אירוע פעילות בתקציב) — ללא תוכן הפריטים או התנועות עצמן. הודעות סנכרון של רשימות אינן מוצגות כהתראה נראית; לעומת זאת, אירועי תקציב משותף כן מוצגים כהתראה נראית: התראת הצטרפות כאשר מישהו מממש את קוד השיתוף, והתראות פיקוח כאשר חבר קבוצה מוסיף, עורך, מוחק או משחזר תנועה. תוכן ההתראה כולל את זהות המבצע (שם תצוגה או דוא"ל), את סוג הפעולה ואת סכום התנועה, והיא מוגדרת לנראות פרטית במסך הנעילה. את התראות הפיקוח על פעילות ניתן לכבות בהגדרות (מופעלות כברירת מחדל); התראת ההצטרפות, בהיותה רלוונטית לאבטחת הקבוצה, מוצגת תמיד. השירות אינו משמש לאנליטיקה או לפרסום. מזהה הדחיפה נמחק מהשרת כאשר הוא מתיישן.
- Google Play עשויה לאסוף נתוני קריסה ו-ANR מצרפיים ברמת הפלטפורמה עבור כלל אפליקציות אנדרואיד, בכפוף למדיניות של Google ולהגדרות האבחון שבמכשירך.
1.14 שיפור הקטלוג — שמות מוצרים חסרים (אופציונלי, חדש בגרסה 0.1.29)
- כאשר מוסיפים לרשימת קניות פריט שאינו קיים בקטלוג המוצרים שלנו, אנו עשויים לאסוף את שם הפריט בלבד (טקסט), באופן אנונימי, כדי להרחיב ולשפר את הקטלוג עבור כלל המשתמשים.
- איננו אוספים מי כתב את הפריט, לאיזו רשימה הוא שייך, או כל פרט מזהה אחר. המידע אינו מקושר לחשבון או לזהותכם ונשמר באופן מצרפי בלבד.
- ניתן לבטל בכל עת בהגדרות (פרטיות ואבטחה ← "עזרה בשיפור הקטלוג"). התכונה דלוקה כברירת מחדל.
1.15 סורק ברקוד, השוואת מחירים וחיסכון חכם (חדש בגרסה 0.1.31)
- סורק ברקוד: סורק הברקוד באפליקציה מבוסס על Google Code Scanner ופועל מקומית במכשיר. הוא אינו דורש הרשאת מצלמה, מזהה את קוד המוצר על המכשיר בלבד, ואינו אוסף או משדר מידע אישי כלשהו.
- מקורות נתוני המחירים — ישראל: השוואת המחירים בין הרשתות (26 רשתות) מבוססת על מקורות נתוני שקיפות המחירים הציבוריים הזמינים לפי חוק שקיפות מחירים (חוק להגנת הצרכן בנושא פרסום מחירים), התשע"ה-2014. אלה נתונים ציבוריים ואינם מידע אישי שלך.
- מקורות נתוני המחירים — מחוץ לישראל (משתמשי מטבע שאינו ₪): זהות המוצר נשאבת מ-Open Food Facts ומחיר משוער/קהילתי נשאב מ-Open Prices. בעת הקלדת שם-מוצר או סריקת ברקוד נשלח דרך השרת שלנו אך ורק מונח החיפוש או הברקוד — לא מידע אישי, לא חשבון ולא מיקום. ראה גם סעיף 4. תכונה זו אינה פעילה במטבע ₪.
- חיסכון חכם — נשמר במכשיר בלבד: תכונות החיסכון החכם (סל חכם, בדיקת "מחיר טוב?" בסריקה, והתראות על ירידת מחיר) מסתמכות על רשימת מעקב ועל בסיס מחיר (price baseline) הנשמרים אך ורק במכשיר. רשימת המעקב ובסיס המחיר אינם נשלחים לשרת ואינם מסונכרנים בין מכשירים.
- עגלה חכמה — נשמרת במכשיר בלבד: העגלה החכמה (סריקה בסופר עם סכום משוער מתעדכן והשוואה לרשתות) נשמרת אך ורק במכשיר. הסריקה משתמשת באותו סורק מקומי ללא הרשאת מצלמה, ובדיקת המחיר נעשית מול אותם מקורות שקיפות מחירים. אם בוחרים לרשום עגלה כהוצאה, היא נשמרת באזור הכספים שלכם בלבד.
הסתייגות לגבי דיוק המחירים: נתוני המחירים מגיעים ממקורות ציבוריים וצדדים שלישיים, מתעדכנים מעת לעת, ועשויים להיות שונים מהמחיר בפועל על המדף. הם מוצגים לצורך הכוונה כללית בלבד, ללא אחריות לדיוקם או לעדכניותם; המחיר הקובע הוא זה שבנקודת המכירה.
1.16 מחשבוני תכנון תקציב — קלט מעובד במכשיר בלבד (חדש בגרסה 0.2.0)
- במסך "כספים" זמינים מחשבוני תכנון תקציב: בדיקת החזר מס, מחשבון מס וניכויים ומענק עבודה (מס הכנסה שלילי) — למנויי פרימיום; מחשבון מענק המילואים זמין בחינם, ומעשר כספים זמין בחינם דרך מתג היהדות.
- הקלט מעובד במכשיר בלבד. הנתונים שאתה מזין למחשבונים — לרבות סכומי שכר/ברוטו, ניכויים, מספר נקודות זיכוי, ימי עבודה או מילואים, מצב משפחתי וכל ערך אחר — מעובדים במכשירך בלבד, אינם נשמרים בשרתינו ואינם נשלחים אלינו או לכל צד שלישי. תוצאת ההערכה מחושבת מקומית.
- טבלאות שנתיות. כדי לחשב, האפליקציה מורידה מהשרת שלנו טבלאות מס ושיעורים שנתיים ציבוריים (מדרגות, ניכויים, ערכי EITC). אלה נתונים כלליים, זהים לכל המשתמשים, ואינם כוללים מידע אישי שלך — בקשת ההורדה אינה כוללת את הערכים שהקלדת.
- הקשר גאוגרפי. במצב שקל (₪) משמשות טבלאות המס הישראליות; במצב דולר ($) משמשים מס ההכנסה הפדרלי בארה"ב, ניכויי FICA וזיכוי ה-EITC. ראה גם סעיף 5יד בתקנון.
- רישום כתנועה (לבחירתך). אם תבחר "הוסף להכנסות/להוצאות", רק הסכום שבחרת לרשום יישמר ברישומי הכספים שלך (ובמשתמשים מחוברים — יסונכרן ככל רישום כספים אחר, כמתואר בסעיף 1.4). שאר ערכי הקלט אינם נשמרים.
1.17 מצב יהדות ומעשר כספים — מידע בעל אופי דתי (חדש בגרסה 0.2.0, אופציונלי)
- מהו הנתון: מצב היהדות באפליקציה כולל מתג ראשי (master toggle) המפעיל את תכונות היהדות, ובכללן מחשבון מעשר כספים והפיכת המעשר להוצאה אוטומטית מתוך ההכנסות שרשמת. המתג כבוי כברירת מחדל — הפעלתו היא בחירה אקטיבית של המשתמש.
- סיווג כמידע רגיש בעל אופי דתי: עצם הפעלת מצב היהדות ו/או מחשבון המעשר עשוי ללמד על השתייכותך הדתית או על אמונתך. לפיכך אנו מסווגים נתון זה כמידע בעל רגישות מיוחדת — מידע על דתו או אמונתו של אדם — לפי תיקון 13 לחוק הגנת הפרטיות, התשמ"א-1981, ובמקביל כ"קטגוריה מיוחדת" של מידע אישי לפי סעיף 9 ל-GDPR.
- בסיס משפטי — הסכמה מפורשת: מאחר שהמתג כבוי כברירת מחדל, הפעלתו היא הסכמה מפורשת ומדעת (opt-in) לעיבוד מידע זה לצורך אספקת תכונות היהדות בלבד. ביטול ההסכמה אפשרי בכל עת על ידי כיבוי המתג בהגדרות.
- מצב המתג כן מסונכרן לשרת: בשונה מהקלט שמזינים למחשבונים (שאינו יוצא מהמכשיר), מצב ההפעלה של מתג היהדות מסונכרן לחשבונך בשרתי Cloudflare D1, כדי שהעדפת התצוגה תישמר עקבית בין מכשיריך ובאפליקציית הווב. סכומי המעשר עצמם, ככל שתבחר לרשום אותם, נשמרים כתנועות כספים רגילות (סעיף 1.4); אנו איננו עושים בנתון הדתי שימוש פרסומי, איננו משתפים אותו עם צד שלישי ואיננו מנתחים אותו לכל מטרה אחרת.
- מחיקה: כיבוי המתג מפסיק את התצוגה; מחיקת החשבון (סעיף 5) מסירה את מצב המתג ואת תנועות המעשר הקשורות.
1.18 חנות קרובה — טיפול במיקום (חדש בגרסה 0.2.0, אופציונלי)
- במסגרת השוואת המחירים, תכונת "החנות הקרובה" עשויה להציע את סניף הרשת הקרוב אליך. לשם כך, אם תבחר להשתמש בה, האפליקציה תבקש את מיקומך הנוכחי באמצעות הרשאת המיקום — קריאה חד-פעמית ברגע הבקשה בלבד, ללא מעקב ברקע וללא גדרות גאוגרפיות (geofencing).
- ההתאמה מתבצעת במכשיר. קואורדינטות הסניפים (store-coords) הן נתונים ציבוריים, ובחירת הסניף הקרוב מחושבת מקומית מול מיקומך. מיקומך הנוכחי אינו נשמר בשרתינו ואינו נשלח לצד שלישי לצורך תכונה זו.
- ניתן לבטל את הרשאת המיקום בכל עת בהגדרות אנדרואיד; ללא הרשאה ניתן לבחור עיר/סניף ידנית. ראה גם סעיף 1.5 (מיקום).
1.19 סטטיסטיקת שימוש אנונימית (חדש בגרסה 0.2.0, ניתן לכיבוי)
- מה נאסף: מונים יומיים מצטברים בלבד — לדוגמה "כמה פעמים נפתחה האפליקציה היום" או "כמה השוואות סל בוצעו היום", מתוך רשימה סגורה של שמות אירועים. המונה נצבר במכשיר ונשלח לשרתינו (Cloudflare) לכל היותר אחת ליום.
- מה איננו אוספים במסגרת זו: שום מזהה — לא מזהה משתמש, לא מזהה התקנה, לא כתובת IP נשמרת ולא דגם מכשיר. הבקשה נשלחת ללא אסימון הזדהות בכוונה, והשרת שומר אך ורק שלוש עמודות: תאריך, שם אירוע, ומונה. לא ניתן לקשר את הרשומות לאדם — גם לא לנו.
- מטרה: להבין אילו תכונות מועילות ולשפר את המוצר. אין שימוש פרסומי ואין העברה לצד שלישי.
- שליטה: ניתן לכבות בכל עת בהגדרות > פרטיות ואבטחה > "סטטיסטיקת שימוש אנונימית". הכיבוי גם מוחק מיידית כל מונה שטרם נשלח מהמכשיר.
1.20 קישורי הזמנה והפניה — Google Play Install Referrer (חדש בגרסה 0.2.0)
- כאשר מתקינים את רשימתי דרך קישור הזמנה לרשימה משותפת או קישור "חבר מביא חבר", חנות Google Play מעבירה לאפליקציה, בהפעלה הראשונה, מחרוזת הפניה (Install Referrer) המכילה את קוד ההזמנה לרשימה ו/או קוד ההפניה שהיו בקישור.
- שימוש חד-פעמי: הקודים משמשים אך ורק להצטרפות אוטומטית לרשימה המשותפת ו/או למימוש הטבת ההפניה לאחר ההתחברות, ונמחקים מהמכשיר לאחר המימוש (או אם התבררו כלא תקפים). איננו קוראים או שומרים נתוני שיווק/קמפיין אחרים ממחרוזת ההפניה.
- מימוש ההטבה עצמו נרשם בחשבונך ככל מימוש הפניה רגיל (ראה תקנון — תוכנית "חבר מביא חבר").
2. שימוש בנתונים
- אספקת השירות (יצירה, שמירה ושליחה של תזכורות).
- זיהוי משתמש ואבטחת חשבון.
- חיובי מנוי עבור מסלולי המנוי בתשלום דרך Google Play Billing.
- הצגת פרסומות לא-מותאמות אישית במסלול החינמי בלבד (משתמשים ללא מנוי פרימיום או מנוי ללא פרסומות).
- שיפור יציבות ותיקון תקלות.
3. אחסון ושמירת מידע
רוב הנתונים נשמרים מקומית במכשיר שלך בלבד (Room database). נתונים שמחייבים סנכרון בין מכשירים או שיתוף עם משתמשים אחרים — תזכורות (אם נכנסת ל-Google Sign-In), קטגוריות מותאמות, רשימות משותפות, פריטי רשימה משותפת, רישומי כספים (מאפליקציית הווב, וכן מאפליקציית הטלפון עבור מנויי פרימיום וחברי קבוצת תקציב משותף — סעיף 1.4), קבוצות תקציב משותף (שם, סכום יעד וקוד שיתוף), אירועי פעילות בתקציב המשותף, ומצב הפעלת מתג היהדות/מעשר (סעיף 1.17) — נשמרים ב-Cloudflare D1 בשרתים באיחוד האירופי וארה"ב.
אפליקציית הווב (reshimati.co.il/app) והאפליקציה בטלפון חולקות את אותם נתונים המסונכרנים בענן — תזכורות, רשימות ולוח השנה. חלק מהנתונים (התראות מקדימות, הקלטות קוליות, קבצים מצורפים, כתובת הבית, הגדרות וידג'טים, התראות זמני יהדות, רשימת המעקב ובסיס המחיר של החיסכון החכם, והקלט שמוזן למחשבוני תכנון התקציב — החזר מס, מס וניכויים, מענק עבודה, מענק מילואים ומעשר כספים, סעיף 1.16) נשמרים או מעובדים מקומית במכשיר בלבד, זמינים באפליקציה בטלפון בלבד ואינם מגיעים לאפליקציית הווב או לשרתינו בשום שלב. שים לב: סכום הערכה שתבחר לרשום כתנועת כספים, וכן מצב מתג היהדות/מעשר, כן מסונכרנים (כאמור לעיל).
הנתונים נשמרים כל עוד החשבון פעיל, ונמחקים תוך 30 יום מבקשת מחיקה או מסגירת החשבון. ניתן לבקש מחיקה דרך הגדרות > פרטיות ואבטחה > מחיקת נתונים, או בפנייה לדוא"ל.
רשומות כתובת ה-IP בטבלת הגבלת הקצב (סעיף 1.11) הן זמניות מטבען ונמחקות עם פקיעת חלון הזמן של הגבלת הקצב; הן אינן חלק מנתוני החשבון ואינן נשמרות לאורך זמן.
גיבוי המערכת של אנדרואיד ("גיבוי אוטומטי" / Backup by Google One) עשוי, בהתאם להגדרות הגיבוי שבחרת במכשירך, להעתיק עותק של נתוני האפליקציה המקומיים אל הגיבוי שבחשבון Google שלך. זוהי התנהגות סטנדרטית של מערכת ההפעלה אנדרואיד, בשליטתך המלאה דרך הגדרות הגיבוי של המכשיר.
בגרסה 0.1.14, מחיקת תזכורת (כולל "סל המחזור") גוררת מחיקה אוטומטית של כל הקבצים המצורפים אליה מאחסון האפליקציה במכשיר. כך אין שאריות מידע אישי על הדיסק.
4. צדדים שלישיים
- Google — Sign-In (אימות), Play Billing (חיובי מנוי), AdMob (פרסומות), Calendar (קריאה וכתיבה, אם הופעל סנכרון יומן), Firebase Cloud Messaging (הודעת דחיפה שקטה לסנכרון בזמן-אמת; ראו סעיף 1.10).
- Cloudflare — Workers + D1 (אחסון ועיבוד נתונים בענן). Cloudflare מספקת גם את כותרת
CF-Connecting-IP שבה אנו עושים שימוש לצורך הגבלת קצב ומניעת שימוש לרעה (ראו סעיף 1.11).
- KosherJava — ספרייה לחישוב זמני יהדות; פועלת מקומית במכשיר ולא מעבירה מידע לרשת.
- Google Fonts — אפליקציית הווב ודפי האתר טוענים גופנים משרתי Google (fonts.googleapis.com / fonts.gstatic.com); בעת טעינתם נמסרת כתובת ה-IP של הדפדפן ל-Google בכפוף למדיניות הפרטיות של Google. הגופנים משמשים לתצוגה בלבד.
- Open Food Facts / Open Prices — לזיהוי מוצרים ומחירים בארה"ב ובעולם (משתמשי מטבע שאינו ₪): כשאתה מקליד שם-מוצר או סורק ברקוד, המונח או הברקוד נשלחים דרך השרת שלנו אל Open Food Facts (זיהוי המוצר) ואל Open Prices (מחיר קהילתי). נשלח אך ורק מונח החיפוש או הברקוד — לא מידע אישי, לא חשבון ולא מיקום. הסורק עצמו פועל מקומית במכשיר (ללא הרשאת מצלמה). תכונה זו אינה פעילה במטבע ₪.
אנו לא מוכרים ולא משכירים את המידע לצדדים שלישיים למטרות שיווק.
5. זכויותיכם
על פי חוק הגנת הפרטיות, התשמ"א-1981, ותקנון הגנת המידע האירופי (GDPR):
- זכות עיון — לקבל עותק של המידע שנשמר.
- זכות תיקון — לבקש תיקון נתון שגוי.
- זכות מחיקה — לבקש מחיקה מוחלטת של החשבון והנתונים.
- זכות התנגדות וניידות נתונים (למשתמשי האיחוד האירופי).
6. ילדים
השירות מיועד לבני 16 ומעלה בלבד. אם נודע לנו על איסוף מידע מקטין מתחת לגיל זה — נמחק אותו לאלתר.
7. עוגיות ומעקב
האפליקציה אינה משתמשת בעוגיות דפדפן. AdMob עושה שימוש ב-Topics API ו-Privacy Sandbox של אנדרואיד; אין מעקב חוצה-אפליקציות באמצעות מזהה פרסום אישי.
אפליקציית הווב (reshimati.co.il/app) שומרת אסימון התחברות בעל תוקף של עד 60 יום ב-localStorage של הדפדפן, לצורך שמירה על מצב מחובר בלבד. זהו אחסון פונקציונלי-תפעולי; אין עוגיות מעקב, פרסום או אנליטיקה. ניתן למחקו דרך ניקוי נתוני האתר בדפדפן. פירוט מלא של מפתחות האחסון המקומי בדפדפן — בסעיף 1.13.
8. אבטחת מידע
הגישה למידע מוגבלת, כל התעבורה מוצפנת ב-HTTPS/TLS, וסיסמאות אינן נשמרות (אימות מתבצע דרך Google). השרת מפעיל מנגנון הגבלת קצב (rate limiting) המבוסס על כתובת IP זמנית כדי להגן מפני שימוש לרעה וניחוש קודי שיתוף, כמתואר בסעיף 1.11.
9. עדכונים למדיניות
במקרה של שינוי מהותי, נודיע על כך בתוך האפליקציה ובדוא"ל לפחות 30 יום מראש.
10. יצירת קשר
בעל האפליקציה: שמעון, עוסק פטור, ישראל.
דוא"ל: [email protected]
This Privacy Policy explains what data is collected when you use the "Reshimati" service — the Android app and the web app at reshimati.co.il/app (together: "the Service") — how it is used, and how you can exercise your rights. Service owner: Shimon (Osek Patur, Israel). Contact: [email protected].
1. Data We Collect
1.1 Google Account
- Google account unique identifier (sub)
- Email address
- Display name (optional)
- Profile picture (optional)
1.2 Reminders & Lists Content You Create
- Reminder title, description / notes, time and date, recurrence settings.
- Shopping list items (name, quantity, unit, "checked" status).
- Jewish annual reminders (yahrzeit) — name of a deceased loved one and date — stored locally on device only.
- Last-year recall (new in 0.2): about ten days before a major Jewish holiday, the app compares — on-device — the reminders you had in the matching Hebrew-calendar window a year earlier and surfaces them as a card on the Today screen. The entire comparison runs locally against the on-device database; no data is sent to any server for this feature.
1.2a Automatic Draft Saving (new in 0.1.14)
- When you attempt to attach a file or voice note to a new reminder you have not yet saved, the app will automatically create a draft (a reminder titled "Draft") in the local on-device database. The draft is not transmitted to any server and is not visible to anyone else. You can delete drafts like any other reminder.
1.3 Shared Lists (optional)
- When you create a shared list — list name, type and an 8-character share code are stored on Cloudflare D1.
- Items in a shared list are accessible to anyone holding the share code.
- When a user joins a shared list, their display name and email address become visible to all other members of that list. Every member sees who added — and who deleted — each item, identified by name or email. This visibility is by design, on the assumption that shared lists are used by family members or partners who know one another. Starting from version 0.1.20, the shared-list screen includes a dedicated members panel that lists every member (display name and email) and is available to every member of the list.
- Extended accountability log: for each item in a shared list the app records on the server who added it and when (
added_by / added_at), who marked it complete and when (checked_by / checked_at), and who deleted it and when (deleted_by / deleted_at) — in each case the name or email together with a timestamp. The log is visible to all members of the list. All three datasets feed a contribution meter showing each member's share of each of the three actions (additions, completions, deletions) over the last 14 days. The meter is a display tool only and should not be used to make binding factual claims about any member's contribution.
- Disabling the contribution meter: any user can turn the contribution meter off completely via Settings → Lists & Categories. Disabling hides the meter from that user's screen only; the underlying records (
added_by / checked_by / deleted_by) continue to be stored on the server as long as the list is shared, because they are still required to compute the meter for other members who have not disabled it.
- Retention and erasure in shared-list records: the "who added / who checked / who deleted" records persist as long as the list exists. When a member leaves a shared list, their identity in the historical records is automatically anonymized to "former member". An account-deletion request under section 5 below fully removes all historical records containing that user and causes the contribution meter to be recomputed accordingly.
- The person who shares a list chooses who receives the share code and is solely responsible for who they give it to. Anyone holding a valid code can read and edit the list. The app provides a long, random code; safeguarding it from unauthorized parties is the user's responsibility.
1.4 Finance — Budget-Planning Entries
- The Finance screen lets you record personal budget-planning entries: an amount, a type (expense or income), a category, a date, and an optional note.
- You type these figures yourself: the entries contain no bank details, account numbers, payment methods or credit-card data, and there is no connection to any bank or financial institution — only the amounts and categories you enter.
- Storage: entries are stored on the device. In the web app (reshimati.co.il/app), when you are signed in, they are also synced to your own account on Cloudflare D1 — exactly like reminders and lists — so they are available across sessions and devices. In the phone app, too, finance entries sync to Cloudflare D1 — for Premium subscribers and for free users who are members of a shared budget group (for a free joiner, only the finance data is synced).
- Syncing applies to signed-in users only; if you are not signed in, the entries remain on the device only.
- This data is not shared with third parties, is not used for advertising, is not used to train artificial-intelligence models, and we do not analyze it.
- Shared family budget (optional): you can share your main budget with family members using a share code, much like shared lists (section 1.3). When a shared budget is created, its name, target amount and 8-character share code are stored on Cloudflare D1. Creating a shared budget and issuing its share code require a Premium subscription; joining with a code is free — for a free joiner, only the finance data is synced. Joining is done solely with a one-time 8-character code (there is no join link), and the code expires after 48 hours. Every transaction a member adds (amount, type, category, date and note) is available to all members of that budget. For each transaction the server records who added it (added_by) and also who last edited or deleted it (last_actor), identified by display name or email, and both records are visible to all members of the budget. History merge on join: when you join a budget group, all of your past budget transactions become visible to every group member, and the group's entire history becomes visible to you. This disclosure is by design, on the assumption that a shared budget is used by family members or partners who know one another. The person sharing chooses who receives the share code and is solely responsible for it. Leaving the group removes your membership record and your access to the group and stops shared sync from that point on; a full copy of the data remains on your device, while transactions already merged into the group's history — including their attribution records (added_by / last_actor) — remain part of the group's continuing history. Deleting your account (section 5) also removes the shared-budget records you created.
- Deleting an entry asks for your confirmation and moves the entry to a restorable archive named "Deleted transactions"; the entry is kept in the archive indefinitely, until you restore it or until account deletion. In a shared budget, deletions and restores sync and are reflected for all group members. An account-deletion request under section 5 below also deletes your finance entries, including archived ones.
1.5 Location (optional — attaching a location to a reminder)
- You can attach a location (a place name, address and coordinates) to a reminder so it can later be opened in a maps app. The place name, address and coordinates are stored together with the reminder on the device only.
- If you choose the "my current location" option while attaching a location, the app requests the location permissions (ACCESS_FINE_LOCATION and ACCESS_COARSE_LOCATION) in order to detect your location once, at that moment. These permissions are requested solely for this one-shot location pick.
- Your current location is not sent to our server or any third party. There is no background location tracking and no geofencing. The proximity check for the "While you're already out" feature (section 1.5a) is performed momentarily, only when you complete a reminder, and never in the background.
- Errands by Location + opening a route in Google Maps (as of version 0.1.20): the "Errands by Location" screen displays your open reminders that have a saved location, clustered by a radius you choose. When you tap "Open route in Maps", the app passes those items' coordinates (lat/lng) to Google Maps via an Android Intent — that is, the URL opened contains the coordinates, so once Google Maps opens, Google's own Privacy Policy applies. The handoff is local-only (an inter-app intent on your device); we do not send the coordinates to any server of ours.
- You may revoke the permission at any time in Android Settings.
1.5a Errand Chaining — "While You're Already Out" (new in 0.2, optional)
- When you mark a reminder that has a saved location as completed, the app checks on-device only which other open reminders are within ~2 km of that place, or within ~1 km of a linear corridor toward your "home", and suggests them as a recommendation card.
- Home address: if you set a home address in Settings, it is stored on-device only — not transmitted to any server, not synced between devices, and not included in the automatic backup ZIP or the manual JSON export. You may edit or delete it at any time from Settings.
- Sensitivity classification: the home address is classified as heightened-sensitivity personal data under Amendment 13 to the Israeli Privacy Protection Law, 1981. Our choice to keep it on-device only is intended to minimize exposure.
- The proximity check uses only the coordinates already stored within the reminders themselves (see section 1.5) and the home address. It does not activate the GPS upon completion and does not perform any additional location read.
1.6 Google Calendar Sync (optional)
- If enabled, the app requests the WRITE_CALENDAR and READ_CALENDAR permissions and, where applicable, your explicit OAuth consent to the
https://www.googleapis.com/auth/calendar.events scope.
- Writing to the calendar: when you create a timed reminder, the app creates a matching event in your primary Google Calendar. When you edit or delete a synced reminder, the app updates or deletes the corresponding Google Calendar event accordingly. The reminder's title, description, start and end times, time zone, and the location label attached to the reminder (if any) are written to the Google Calendar event.
- Reading the calendar: the app reads your Google Calendar events (title, times, location) to display them in the app's Calendar and Today views alongside your reminders. Reading is performed via the Google Calendar API or via the device's calendar provider.
- The app does not store Google Calendar events on any server — they are fetched and shown on-device only. Hiding an event or marking it complete within the app is stored on your device only and does not change the event in Google Calendar itself.
- Limited Use: Reshimati's use of information received from Google APIs adheres to the Google API Services User Data Policy, including the Limited Use requirements. Google Calendar data is used solely for the user-facing features described above. Google Calendar data is not transferred or sold to third parties, is not used for advertising or ad personalization, and is not used to train artificial-intelligence models. No human reads your calendar events, except as the policy permits (your explicit consent, security needs, or legal compliance).
- Revoking access: you can turn calendar sync off at any time in the app's settings, and fully revoke the OAuth grant at myaccount.google.com/connections.
1.6a Google Calendar Access from the Web App (optional)
- The web app (reshimati.co.il/app) can also connect to Google Calendar. The connection is made in the site's settings and requests your explicit OAuth consent to the
https://www.googleapis.com/auth/calendar.events scope.
- What the permission is used for: creating, updating and deleting the calendar events that mirror your reminders (a timed reminder is written as an event in your Google Calendar), and reading your calendar events in order to display them in the site's calendar. The permission is used for nothing else.
- The access token is held in the browser's session storage (sessionStorage): the OAuth token is never written to localStorage and is never sent to or stored on our servers in any form. It persists for your browsing session so the calendar connection stays stable across page reloads and screen navigation, and is cleared automatically when you close the tab; closing and reopening the tab requires reconnecting the calendar.
- Revoking access: you can disconnect the calendar in the site's settings at any time, and fully revoke the OAuth grant at myaccount.google.com/permissions.
- The Limited Use commitments described in section 1.6 apply in full to browser access as well.
1.11 IP Address — Abuse Prevention and Rate Limiting
- When you perform server actions related to shared lists or the shared budget — creating or sharing a list or a budget, or joining one with a share code — our Cloudflare Worker server temporarily records a rate-limit key in a
rate_limits table in the database: your IP address (as reported by Cloudflare in the CF-Connecting-IP header) or your account identifier, depending on the request type.
- Purpose of processing: security and abuse prevention only — enforcing rate limits on create, share and join requests (for shared lists and the shared budget), to prevent brute-forcing of share codes, server flooding and malicious automated activity.
- Legal basis: the legitimate interest of the service operator in securing the system and protecting its users, under the Israeli Protection of Privacy Law, 1981 (including Amendment 13), and the EU GDPR.
- Retention: the record is transient and is used solely to compute the rate-limiting time window; expired records are deleted. The IP address is not used for advertising, profiling, tracking or any marketing purpose, and is not associated with the content of your reminders or lists.
1.12 Miluim (Reserve-Duty) Mode (new in 0.2, optional)
- If you enable Miluim mode and enter a date range, the app shifts the due time of non-recurring reminders you select past your return date, and stores the original time in a local on-device column named
miluim_original_due_at. Tapping "I'm back" restores the reminders to their original time.
- Not synced to the server: the fact that Miluim mode is enabled, the date range you entered, and the
miluim_original_due_at column are stored on-device only and are never transmitted to our servers at any stage — neither during regular sync nor when pulling data from another device. This is a deliberate design choice.
- Sensitivity classification: the fact that a user serves in the reserves is classified as heightened-sensitivity personal data under Amendment 13 to the Israeli Privacy Protection Law. We therefore chose deliberately not to sync it.
- Recurring reminders are intentionally not affected — freezing them would corrupt the alert series. If you do not want to receive a recurring reminder during your duty period, you must silence it manually.
- If a frozen reminder is linked to a Google Calendar event, that event is shifted as well, in step with the reminder's due time.
- The reserve-duty grant estimator is local-only: the data you enter (days, gross income, unit grade, etc.) and the resulting estimate are computed on your device only; they are not stored and are not sent to us or any third party. If you choose "Add to income", only the estimated amount is recorded as an income transaction in your finance records (like any other financial entry).
1.13 Browser Local Storage — Web App
- The web app (reshimati.co.il/app) uses the browser's localStorage for functional storage only. These are the keys and their purposes:
rw_session — your sign-in session token (used to identify you to the server). Removed automatically when you sign out of the site.
rw_lang — the interface language you chose on the site.
rw_theme — the theme you chose (light / dark).
rw_zcity — the city selected for computing Jewish times on the site.
rw_gcal — a flag ("1") indicating you connected Google Calendar on the site (stored separately per signed-in account).
rw_gcal_map — a mapping between a reminder's identifier and the identifier of the event created for it in Google Calendar, used to prevent duplicate events (stored separately per signed-in account).
rw_gcal_deleted, rw_gcal_done — identifiers of calendar events you deleted or marked done in the site's display (local display state only, stored separately per signed-in account).
- Except for
rw_session, which is removed on sign-out, the remaining keys are local preferences stored in your browser only. All of them can be removed at any time by clearing the site's data in your browser. The site sets no tracking, advertising or analytics cookies.
1.7 Auto-Backup (optional)
- Creates a weekly ZIP file with your data and your attached documents in the device cache.
- We do not transmit it anywhere automatically. You may manually share it (e.g. to your Google Drive) via Android's file sharing.
- Manual export (new in 0.1.14): you can export a JSON file containing all your reminders and categories to the device's Downloads folder (reshimati-backup-<timestamp>.json). The file is created only on your request, stays on the device, and contains your titles, descriptions, dates, categories and lists. Attachments are preserved on re-import.
1.7a Attached Documents (optional — new in 0.1.14)
- Attached documents: files attached to reminders (PDF, images) are stored ONLY on the device, in the app's protected storage area. The files are NOT uploaded to our servers and NOT synced with other users even on shared lists. Auto-backup (if enabled) writes them to a ZIP file on the device's local storage only.
- Version 0.1.14 adds inline play/open affordances on list rows, letting you play a voice note or open an attachment without opening the reminder editor. The underlying data and on-device-only access are unchanged.
- Finance receipts & warranty (new in 0.2): a receipt photo (taken via the camera with no persistent camera permission — the photo is written straight into the app's protected folder) or a file you attach to an expense, and any warranty document, are stored on the device only, in that same protected folder, exactly like reminder attachments. They are not uploaded to our servers and not synced across devices or shared lists; backup (if enabled) includes them in your ZIP only. The warranty end-date is also stored locally; if you choose to create a "warranty ends soon" reminder, only that reminder syncs, like any ordinary reminder.
1.8 Voice Recordings (optional)
- Voice notes attached to a reminder are stored on your device only.
- Voice recordings are capped at 60 seconds and auto-stop at the limit (new in 0.1.14).
- Version 0.1.14 adds inline play/open affordances on list rows, letting you play a voice note or open an attachment without opening the reminder editor. The underlying data and on-device-only access are unchanged.
- Voice search input uses Android's built-in speech-to-text. If your manufacturer uses a cloud engine, audio passes through it under their policy.
1.9 Device & Advertising Information
- Ads are shown only to users without a paid subscription (the free tier). Users on the Premium plan or the Ad-Free plan see no ads at all, and for them the AdMob SDK does not serve ads.
- Free tier only: anonymous data from Google AdMob, including Android 13+ Topics API and Privacy Sandbox.
- In the free tier, the Google AdMob advertising SDK may access the device's advertising identifier (Android Advertising ID) to deliver and measure ads. This identifier is separate from your Google account and your Google Calendar data and is never linked to them. Google Calendar data is never used for advertising.
- No cross-app tracking.
- UMP consent shown on first launch per GDPR.
1.10 Crash Reporting, Diagnostics & Push
- Reshimati does not embed any crash-reporting or analytics SDK (no Crashlytics, no Sentry, no Firebase Analytics), and the app does not transmit crash data to our servers.
- Real-time sync (Firebase Cloud Messaging): so a shared list updates on other members' devices within seconds instead of waiting for the next sync cycle, the app uses Firebase Cloud Messaging (FCM) to receive a silent "push" message. For this we store a push identifier (FCM token) linked to your account, used solely to route the push to your device. The message payload is a list identifier (which list to sync) or a shared-budget-group event type (a group join — budget_join — or a budget-activity event) — no item contents and no transaction contents. List-sync messages are not shown as a visible notification; shared-budget events, by contrast, are shown as visible notifications: a join notification when someone redeems the share code, and oversight notifications when a group member adds, edits, deletes or restores a transaction. The notification content includes the actor's identity (display name or email), the action type and the transaction amount, and it is set to private visibility on the lock screen. Activity oversight notifications can be turned off in Settings (on by default); the join notification, being relevant to the group's security, is always shown. The service is never used for analytics or advertising. The push token is deleted from our servers when it becomes stale.
- Google Play may collect aggregated crash and ANR diagnostics at the platform level for all Android apps, subject to Google's own policy and your device's diagnostics settings.
1.14 Improving the Catalog — Missing Product Names (optional, new in 0.1.29)
- When you add an item to a shopping list that is not in our product catalog, we may collect the item name only (text), anonymously, to expand and improve the catalog for all users.
- We do not collect who added the item, which list it belongs to, or any other identifying detail. The data is not linked to your account or identity and is stored only in aggregate.
- You can turn this off at any time in Settings (Privacy & Security → "Help improve the catalog"). The feature is on by default.
1.15 Barcode Scanner, Price Comparison and Smart Savings (new in 0.1.31)
- Barcode scanner: the in-app barcode scanner is based on the Google Code Scanner and runs locally on the device. It requires no camera permission, recognizes the product code on-device only, and collects or transmits no personal data whatsoever.
- Price-data sources — Israel: the cross-chain price comparison (26 chains) is based on the public price-transparency data feeds available under the Israeli Price Transparency Law (Consumer Protection — Price Publication), 5775-2014. This is public data and is not your personal data.
- Price-data sources — outside Israel (non-₪ currency users): product identity is sourced from Open Food Facts and an estimated/community price from Open Prices. When you type a product name or scan a barcode, only the search term or barcode is sent through our server — no personal data, account or location. See also section 4. This feature is not active for ₪ currency.
- Smart Savings — stored on-device only: the Smart Savings features (Smart Basket, the "good price?" scan check, and price-drop alerts) rely on a watch list and a price baseline that are stored on the device only. The watch list and the price baseline are not sent to any server and are not synced between devices.
- Smart Cart — stored on-device only: the Smart Cart (in-store scanning with a running estimated total and cross-chain comparison) is stored on the device only. It uses the same on-device scanner with no camera permission, and price checks use the same price-transparency sources. If you choose to log a cart as an expense, it is saved only in your Finance area.
Price-accuracy disclaimer: Price data comes from public and third-party sources, is updated periodically, and may differ from the actual shelf price. It is provided for general guidance only, with no warranty as to its accuracy or timeliness; the governing price is the one at the point of sale.
1.16 Budget-Planning Calculators — Inputs Processed On-Device Only (new in 0.2.0)
- In the "Finance" screen, budget-planning calculators are available: a Tax-refund check, a Tax & deductions calculator and a Work grant (EITC) — for Premium subscribers; the Reserve-duty grant calculator is free, and the Maaser (tithe) calculator is free via the Judaism toggle.
- Inputs are processed on-device only. The data you enter into the calculators — including salary/gross amounts, deductions, number of credit points, work or reserve-duty days, family status and any other value — is processed on your device only, is not stored on our servers, and is not sent to us or to any third party. The estimate is computed locally.
- Annual tables. To compute, the app downloads public annual tax tables and rates from our server (brackets, deductions, EITC values). These are general data, identical for all users, and contain none of your personal information — the download request does not include the values you typed.
- Geographic scope. In shekel (₪) mode the Israeli tax tables are used; in dollar ($) mode U.S. federal income tax, FICA deductions and the EITC credit are used. See also section 5n of the Terms.
- Recording as a transaction (your choice). If you choose "Add to income/expenses", only the amount you chose to record is saved to your finance records (and, for signed-in users, synced like any other finance entry, as described in section 1.4). The remaining input values are not saved.
1.17 Judaism Mode and Maaser — Religious-Nature Data (new in 0.2.0, optional)
- What the data is: Judaism mode in the app includes a master toggle that enables the Jewish features, among them the Maaser (tithe) calculator and the automatic conversion of the tithe into an expense drawn from the income you recorded. The toggle is off by default — enabling it is an active choice by the user.
- Classification as sensitive, religious-nature data: the very act of enabling Judaism mode and/or the Maaser calculator may reveal your religious affiliation or belief. We therefore classify this datum as special-sensitivity information — information about a person's religion or belief — under Amendment 13 to the Israeli Privacy Protection Law, 1981, and concurrently as a "special category" of personal data under Article 9 of the GDPR.
- Legal basis — explicit consent: because the toggle is off by default, enabling it is your explicit, informed consent (opt-in) to processing this datum solely to provide the Jewish features. You may withdraw consent at any time by turning the toggle off in Settings.
- The toggle state does sync to the server: unlike the calculator inputs (which never leave the device), the on/off state of the Judaism toggle is synced to your account on Cloudflare D1, so that the display preference stays consistent across your devices and in the web app. The Maaser amounts themselves, if you choose to record them, are stored as ordinary finance transactions (section 1.4); we do not use the religious datum for advertising, do not share it with any third party, and do not analyze it for any other purpose.
- Erasure: turning the toggle off stops the display; deleting your account (section 5) removes the toggle state and the associated Maaser transactions.
1.18 Nearest Store — Location Handling (new in 0.2.0, optional)
- As part of price comparison, the "nearest store" feature may suggest the chain branch closest to you. For this, if you choose to use it, the app requests your current location via the location permission — a one-shot read at the moment of the request only, with no background tracking and no geofencing.
- The matching is done on-device. Branch coordinates (store-coords) are public data, and selecting the nearest branch is computed locally against your location. Your current location is not stored on our servers and is not sent to any third party for this feature.
- You may revoke the location permission at any time in Android Settings; without the permission you can choose a city/branch manually. See also section 1.5 (Location).
1.19 Anonymous Usage Statistics (new in 0.2.0, can be turned off)
- What is collected: daily aggregate counters only — for example "how many times the app was opened today" or "how many basket comparisons ran today", from a closed allowlist of event names. Counters accumulate on your device and are sent to our server (Cloudflare) at most once a day.
- What we do NOT collect here: no identifier of any kind — no user id, no install id, no stored IP address, no device model. The request is deliberately sent without an authentication token, and the server stores exactly three columns: date, event name, and a counter. The records cannot be linked to a person — not even by us.
- Purpose: understanding which features help and improving the product. No advertising use and no sharing with third parties.
- Control: you can turn this off at any time in Settings > Privacy & Security > "Anonymous usage statistics". Turning it off also immediately deletes any counters not yet sent from the device.
1.20 Invite & Referral Links — Google Play Install Referrer (new in 0.2.0)
- When you install Reshimati through a shared-list invite link or a "refer a friend" link, the Google Play Store passes the app, on first launch, an Install Referrer string containing the list invite code and/or referral code that were in the link.
- One-time use: the codes are used solely to auto-join the shared list and/or apply the referral benefit after you sign in, and are deleted from the device once applied (or if found invalid). We do not read or store any other marketing/campaign data from the referrer string.
- The applied benefit itself is recorded on your account like any regular referral redemption (see the Terms — "refer a friend" program).
2. How We Use Data
- Providing the service (creating, storing and delivering reminders).
- User authentication and account security.
- Subscription billing for the paid subscription plans via Google Play Billing.
- Showing non-personalized ads in the free tier only (users without a Premium or Ad-Free subscription).
- Improving stability and fixing bugs.
3. Storage & Retention
Most data is stored locally on your device only (Room database). Data that requires sync between devices or sharing with other users — reminders (if you signed in with Google), custom categories, shared lists and shared list items, finance entries (from the web app, and from the phone app for Premium subscribers and shared-budget-group members — section 1.4), shared budget groups (name, target amount and share code), budget-activity events, and the on/off state of the Judaism/Maaser toggle (section 1.17) — is stored on Cloudflare D1 in EU and US data centers.
The web app (reshimati.co.il/app) and the phone app share the same cloud-synced data — reminders, lists and the calendar. Some data (pre-alerts, voice recordings, attachments, the home address, widget settings, Jewish-time alerts, the Smart Savings watch list and price baseline, and the inputs entered into the budget-planning calculators — Tax-refund check, Tax & deductions, Work grant, Reserve-duty grant and Maaser, section 1.16) is stored or processed on-device only, is available in the phone app only, and never reaches the web app or our servers. Note: an estimated amount you choose to record as a finance transaction, and the Judaism/Maaser toggle state, do sync (as stated above).
Data is retained for as long as your account is active, and deleted within 30 days of a deletion request or account closure. You can request deletion via Settings > Privacy & Security > Delete Data, or by emailing us.
IP address records in the rate-limiting table (section 1.11) are transient by nature and are deleted when the rate-limiting time window expires; they are not part of your account data and are not retained long-term.
Android's system backup ("Auto Backup" / Backup by Google One) may, depending on the backup settings you have chosen on your device, copy a copy of the app's local data to your own Google account backup. This is standard Android operating-system behavior, fully under your control via your device's backup settings.
As of version 0.1.14, deleting a reminder (including from the Trash) automatically deletes its attached files from the app's on-device storage, ensuring no residual personal data remains on disk.
4. Third Parties
- Google — Sign-In (auth), Play Billing (subscription), AdMob (ads), Calendar (read and write, if calendar sync enabled), Firebase Cloud Messaging (silent push message for real-time sync; see section 1.10).
- Cloudflare — Workers + D1 (cloud storage and processing). Cloudflare also provides the
CF-Connecting-IP header we use for rate limiting and abuse prevention (see section 1.11).
- KosherJava — Jewish-times computation library; runs locally on device, transmits no data.
- Google Fonts — the web app and the website pages load fonts from Google's servers (fonts.googleapis.com / fonts.gstatic.com); when they load, the browser's IP address is disclosed to Google subject to Google's Privacy Policy. The fonts are used for display only.
- Open Food Facts / Open Prices — for US/global product identity and prices (non-₪ currency users): when you type a product name or scan a barcode, the term or barcode is sent through our server to Open Food Facts (product identity) and Open Prices (community price). Only the search term or barcode is sent — no personal data, account, or location. The scanner itself runs locally on the device (no camera permission). This feature is not active for ₪ currency.
We do not sell or rent your information to third parties for marketing.
5. Your Rights
Under the Israeli Protection of Privacy Law (1981) and the EU GDPR, you have the right to:
- Access — receive a copy of your stored data.
- Rectification — request correction of inaccurate data.
- Erasure — request full deletion of your account and data.
- Object and data portability (EU users).
6. Children
The service is intended for users aged 16 and over only. If we learn we have collected data from a minor under that age, we will delete it promptly.
7. Cookies & Tracking
The app does not use browser cookies. AdMob uses Android's Topics API and Privacy Sandbox; there is no cross-app tracking via a personal advertising identifier.
The web app (reshimati.co.il/app) stores a sign-in token valid for up to 60 days in the browser's localStorage, solely to keep you signed in. This is functional-operational storage; there are no tracking, advertising or analytics cookies. You can remove it by clearing the site's data in your browser. A full list of the browser localStorage keys appears in section 1.13.
8. Security
Access to data is restricted, all traffic is encrypted via HTTPS/TLS, and we do not store passwords (authentication is handled by Google). The server applies an IP-based rate-limiting mechanism using a transient IP address to protect against abuse and share-code guessing, as described in section 1.11.
9. Policy Updates
For material changes, we will notify you in-app and by email at least 30 days in advance.
10. Contact
App owner: Shimon, Osek Patur, Israel.
Email: [email protected]