מידע משפטי
הסכם עיבוד נתונים (DPA) – חברת פרסייס שירותי ניהול כלכליים בע"מ
הסכם עיבוד נתונים זה (ההסכם" או "הDPA ) מהווה חלק בלתי נפרד מן ההסכם המסחרי הראשי, הסכם המנוי, או כל הסכם רלוונטי אחר ("ההסכם הראשי") שנחתם בין חברת פרסייס שירותי ניהול כלכליים בע"מ, לבין הלקוח ("שם הלקוח").
פרסייס והלקוח ייקראו כל אחד להלן "צד" וביחד "הצדדים".
רקע והצהרות
הגדרות
מדינה נאותה – מדינה שהוכרזה על ידי נציבות האיחוד האירופי או רשות הגנת מידע מוסמכת אחרת כמדינה המעניקה רמת הגנה נאותה למידע אישי.
נתוני לקוח – כל מידע אישי שמעובד על ידי פרסייס בשם הלקוח במהלך מתן השירותים, כמפורט בנספח א' להסכם זה.
"חקיקת פרטיות המידע" פירושה כל החוקים והתקנות החלים על הגנת הפרטיות ואבטחת מידע במדינת ישראל, לרבות, ללא הגבלה, חוק הגנת הפרטיות, התשמ"א -1981 (להלן: "החוק"), תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 (להלן: "התקנות"), תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001 (להלן: "תקנות העברת מידע") כפי שיתוקנו או יוחלפו מעת לעת, לרבות כל פרשנות שיפוטית ו/או מנהלית חלוטה ומחייבת של הנ"ל, וכן הוראות והנחיות הרשות להגנת הפרטיות.
"נושא המידע" פירושו כמשמעותו אשר נקבעה בחקיקת פרטיות המידע, ובהסכם זה יתייחס לנושאי המידע אשר מידע לגביהם שמור במערכות החברה אליהם לספק השירותים תתאפשר גישה, ושעשויים לכלול את לקוחות החברה ו/או עובדיה וכדומה.
"מידע אישי" או "מידע" בהסכם זה פירושו כל מידע ו/או פרט מידע, אשר יש בו כדי לזהות אדם מסוים, לרבות כל "מידע" ו/או "מידע רגיש", כהגדרתם בחקיקת הגנת הפרטיות, וכן הכולל מידע ותצלומי פנים העלולים להיחשב כמידע ביומטרי לפי דין, ואשר ספק השירותים יעבד במסגרת השירותים, בין אם יועבר על ידי החברה ו/או לספק השירותים תינתן אליו גישה ו/או ייאסף ישירות על ידי ספק השירותים.
"בעל מאגר מידע"- מי שקובע את מטרות המאגר והשימוש בו, והוא האחראי על עיבוד המידע ועל קיום הוראות הדין הנוגעות להגנת הפרטיות. לעניין הסכם זה, הלקוח ישמש כבעל מאגר המידע.
"מעבד מידע" –מי שמבצע עיבוד מידע אישי בעבור בעל המאגר לצורך מטרותיו בלבד, בהתאם להוראותיו ובלא שיהיה לו כל זכות עצמאית במידע.
"אירוע אבטחה" כל אירוע המעלה חשש מהותי לפגיעה בשלמות המידע של החברה, לשימוש בו בלא
הרשאה או לחריגה מהרשאה ו/או כניסה ללא הרשאה ו/או עלול לגרום להרס, אובדן, שינוי, גילוי או גישה לא מורשית למידע, לרבות ללא הגבלה כהגדרתו בסעיף 11(א) לתקנות וכן "אירוע אבטחה חמור" כהגדרתו בתקנות.
תפקידי הצדדים ופרטי העיבוד
הצדדים מאשרים כי לעניין עיבוד נתוני הלקוח, הלקוח משמש כ־בעל המאגר ופרסייס שירותי ניהול כלכליים משמשת כ־מעבד מידע מטעמו.
כל אחד מהצדדים יישא באחריות עצמאית לעמידה בהוראות הדין החל עליו. הלקוח אחראי לוודא כי הוראותיו לפרסייס שירותי ניהול כלכליים תואמות את דיני הגנת הפרטיות, לרבות קבלת הסכמות נדרשות והעברת הודעות לנושאי מידע, ככל שנדרש.
נושאי המידע, סוגי הנתונים, מטרות העיבוד, ואופי השירותים מפורטים בנספח א' להסכם זה.
אם במסגרת השירותים יעובדו נתונים רגישים (למשל נתוני בריאות, מידע פיננסי אישי, או מידע ביומטרי), על הלקוח להודיע על כך מראש לפרסייס שירותי ניהול כלכליים ולוודא קיומן של התחייבויות חוזיות ורגולטוריות נוספות לפי הצורך.
עיבוד מידע אישי
עיבוד בהתאם להוראות הלקוח
פרסייס שירותי ניהול כלכליים תעבד את נתוני הלקוח אך ורק לצורך מתן השירותים ולפי הוראות הלקוח כפי שנקבעו בהסכם הראשי ובהסכם זה, אלא אם חלה עליה חובה חוקית אחרת לפי דין מחייב. במקרה כזה, תודיע פרסייס שירותי ניהול כלכליים ללקוח על החובה (ככל שהדבר מותר לפי דין) לפני תחילת העיבוד.
שימושים אסורים
פרסייס שירותי ניהול כלכליים מתחייבת כי לא תעשה במידע שימוש החורג מהוראות הלקוח, ובפרט:
(א) לא תמכור או תעביר את נתוני הלקוח לצדדים שלישיים, אלא אם נדרשת לכך לפי דין או לפי הסכמה מפורשת בכתב של הלקוח;
(ב) לא תעבד את הנתונים לצרכים עצמאיים של פרסייס שירותי ניהול כלכליים ;
(ג) לא תשלב נתוני לקוחות שונים;
(ד) לא תעביר את הנתונים לגורם אחר אלא לצורך מתן השירותים ובכפוף להוראות הסכם זה.
נתונים שאינם ניתנים לזיהוי
ככל שפרסייס שירותי ניהול כלכליים מעבדת מידע במתכונת אנונימית (ללא אפשרות לזיהוי נושא המידע), היא תעשה כן בהתאם להוראות הדין ולא תנסה לשחזר או לזהות מחדש את נושאי המידע.
הוראות הסותרות את הדין
אם פרסייס שירותי ניהול כלכליים סבורה כי הוראות שניתנו לה על ידי הלקוח אינן תואמות את הוראות הדין, עליה ליידע את הלקוח ללא דיחוי, והיא רשאית לעכב את העיבוד הרלוונטי עד לתיקון ההוראות.
סיוע ללקוח
פרסייס שירותי ניהול כלכליים תעניק ללקוח סיוע סביר לצורך עמידה בחובותיו על פי דין, לרבות:
(א) עריכת הערכות השפעה על הגנת הפרטיות
(ב) התייעצות עם הרשות להגנת הפרטיות או רשות מוסמכת אחרת
(ג) ניהול אירועי אבטחה וזיהוי סיכונים.
הסיוע יינתן במידה הדרושה בלבד ובהתאם לאופי השירותים הניתנים על ידי פרסייס.
חובת סודיות
פרסייס שירותי ניהול כלכליים תוודא כי עובדיה וכל גורם מטעמה המטפל בנתוני הלקוח חתם על התחייבות לשמירה על סודיות המידע, וקיבל הכשרה מתאימה בכל הנוגע לחובותיו על פי דין.
זכויות נושאי מידע ובקשות רשויות
פניות נושאי מידע
אם פרסייס שירותי ניהול כלכליים תקבל פנייה מנושא מידע או מרשות מוסמכת בנוגע למידע המעובד מטעם הלקוח, היא תודיע על כך ללקוח ללא דיחוי (אם לא נאסר עליה לפי דין), ותפנה את נושא המידע ללקוח לצורך מענה ישיר לפנייה.
שיתוף פעולה
פרסייס שירותי ניהול כלכליים תעניק ללקוח סיוע סביר לצורך מענה לפניות נושאי מידע לפי הדין (למשל בקשות לעיון, תיקון, מחיקה או הגבלת עיבוד), כאשר הלקוח אינו יכול לטפל בכך בכוחות עצמו באמצעים שסופקו לו.
בקשות רשויות ואכיפה
אם רשות שלטונית או גורם אכיפה דורשים מפרסייס שירותי ניהול כלכליים להעביר מידע אישי המעובד מטעמו של הלקוח, תודיע על כך פרסייס ללקוח מיידית (ככל שהדבר מותר על פי דין), ותמסור אך ורק את המידע הנדרש לפי הוראות החוק.
תתי־מעבדים (Sub-Processors)
אישור כללי
הלקוח מאשר בזאת כי פרסייס שירותי ניהול כלכליים רשאית להיעזר בקבלני משנה ובנתוני שירות צד שלישי ("תתי־מעבדים") לצורך עיבוד נתוני הלקוח, ובלבד שהדבר נעשה בהתאם לתנאי הסכם זה ובכפוף לדין.
תתי־מעבדים חדשים או חלופיים
פרסייס שירותי ניהול כלכליים רשאית להוסיף או להחליף תת־מעבד, ובלבד שתמסור על כך הודעה מוקדמת ללקוח לפני כניסת השינוי לתוקף.
הלקוח רשאי להתנגד לשינוי מטעמים ענייניים הקשורים להגנת מידע, ובמקרה כזה תנסה פרסייס שירותי ניהול כלכליים למצוא חלופה הולמת. אם לא תימצא חלופה, רשאי כל אחד מהצדדים לסיים את ההתקשרות לגבי השירותים הרלוונטיים.
חובת התקשרות חוזית
פרסייס שירותי ניהול כלכליים תוודא כי כל תת־מעבד מחויב בחוזה בכתב הכולל חובות זהות או שקולות לאלה הקבועות בהסכם זה, לרבות התחייבות לשמירה על סודיות, אבטחת מידע, והגבלת השימוש בנתוני הלקוח אך ורק לצורך מתן השירותים.
אמצעים טכניים וארגוניים (אבטחת מידע)
חובת אבטחה
פרסייס שירותי ניהול כלכליים תנקוט באמצעים טכניים וארגוניים מתאימים כדי להגן על נתוני הלקוח מפני גישה, שימוש, שינוי או השמדה בלתי מורשים, הכל בהתאם לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז–2017 ולסטנדרטים מקובלים בתעשייה.
סטנדרטים ונהלים
לצורך שמירה על אבטחת נתוני הלקוח, פרסייס תיישם נהלים הכוללים, בין היתר:
סודיות – הגבלת הגישה למידע אך ורק לעובדים ולנציגים המורשים לצורך מתן השירותים;
שלמות המידע – הגנה על נתונים מפני שינוי, מחיקה או השחתה בלתי מורשית;
זמינות – שמירה על רציפות השירות ואפשרות גישה למידע במועד נדרש;
תגובה לאירועים – איתור, תיעוד ודיווח על אירועי אבטחה בזמן אמת.
עדכון אמצעים
פרסייס שירותי ניהול כלכליים רשאית לעדכן את האמצעים הטכניים והארגוניים מעת לעת, ובלבד שהשינוי לא יפחית מרמת ההגנה הניתנת לנתוני הלקוח.
פירוט אמצעי האבטחה המעודכנים מפורט בנספח ב' להסכם זה.
אירועי אבטחה
דיווח
במקרה שבו תתגלה לפרסייס שירותי ניהול כלכליים אינדיקציה לאירוע אבטחה הנוגע לנתוני הלקוח, תודיע פרסייס שירותי ניהול כלכליים ללקוח ללא דיחוי מיותר ולא יאוחר מ־72 שעות ממועד גילוי האירוע.
ההודעה תכלול, ככל הידוע: תיאור האירוע, סוג המידע המעורב, ההשפעות האפשריות והצעדים שננקטו למזעור הנזק.
ניהול האירוע
פרסייס שירותי ניהול כלכליים תפעל באופן מידי לבדיקת נסיבות האירוע, למניעת הישנותו, ולתיקון הליקויים שהתגלו.
ככל שיידרש, תשתף פעולה עם הלקוח לצורך עמידה בדרישות החוק, לרבות מתן הודעות לנושאי מידע או לרשות להגנת הפרטיות.
הבהרה
הודעה על אירוע אבטחה מצד פרסייס שירותי ניהול כלכליים אינה מהווה הודאה באחריות או באשמה מצדה.
זכויות ביקורת ובקרה
רישומים ודוחות
פרסייס שירותי ניהול כלכליים תנהל בקרה על פעולות העיבוד המבוצעות מטעמה ותעמידם לעיון הלקוח לפי בקשה סבירה ובכפוף להודעה מוקדמת של30 ימים לפחות ולא יותר מפעם אחת ב־12 חודשים.
הלקוח רשאי להסתפק בדוחות תקופתיים של פרסייס שירותי ניהול כלכליים , לרבות דוחות ביקורת פנימיים או אישורי תקינה.
ביקורת באתר
ככל שהדוחות אינם מספקים, הלקוח רשאי לערוך ביקורת עצמאית באמצעות גורם חיצוני מקצועי ובלתי תלוי, על חשבונו, בכפוף לתיאום מראש של 30 ימים לפחות.
זהות המבקר נדרשת להיות מאושרת על ידי פרסייס שירותי ניהול כלכליים .
הביקורת תיערך בשעות עבודה רגילות, תימנע מפגיעה בפעילות פרסייס שירותי ניהול כלכליים , ותוגבל לבדיקת עיבוד נתוני הלקוח בלבד.
חובת סודיות בביקורת
כל מידע שיועבר ללקוח או למבקר מטעמו במסגרת ביקורת ייחשב מידע סודי של פרסייס שירותי ניהול כלכליים , ויחולו עליו הוראות הסודיות שבהסכם הראשי.
העברת מידע לחו"ל
העברות בינלאומיות
הלקוח מאשר כי פרסייס שירותי ניהול כלכליים ותתי־המעבדים שלה עשויים לעבד נתונים מחוץ למדינת ישראל, לרבות באיחוד האירופי ובמדינות נוספות כדוגמת ארצות הברית, לצורך מתן השירותים.
כל העברה תבוצע בהתאם לתקנות הגנת הפרטיות (העברת מידע לחו"ל), התשס"א–2001 ולדין החל.
העברה ממדינות האיחוד האירופי
במקרים שבהם דיני ה־GDPR חלים, יבוצעו העברות נתונים למדינות שאינן נחשבות "מדינות נאותות" רק לפי אחד מהמנגנונים הבאים:
(א) חתימה על תבניות חוזיות סטנדרטיות (SCCs);
(ב) העברה למדינה שאושרה על ידי הנציבות האירופית;
(ג) שימוש במסגרת הסמכה או תקן הגנה על פרטיות שאושרו לפי דין.
מנגנונים חלופיים
פרסייס שירותי ניהול כלכליים רשאית להסתמך על מנגנון אחר המאושר לפי דין להעברת מידע לחו"ל, ובלבד שתבטיח רמת הגנה שוות ערך לזו הקבועה בחוק.
תוקף, סיום ותחולה
תקופת ההסכם
ההסכם ייכנס לתוקף במועד תחילת ההתקשרות בין הצדדים ויישאר בתוקף כל עוד פרסייס שירותי ניהול כלכליים מעבדת נתוני לקוח מטעמו.
הפסקת עיבוד בשל אי־חוקיות
אם פרסייס שירותי ניהול כלכליים סבורה כי העיבוד המבוקש נוגד את הוראות הדין, רשאית היא להשעות את העיבוד או להביא לסיום ההתקשרות, אלא אם הלקוח יתאים את הוראותיו בתוך 10 ימים ממועד קבלת ההודעה.
השבת או מחיקת מידע
עם סיום ההתקשרות או ביטול ההסכם, פרסייס שירותי ניהול כלכליים תמחק או תחזיר ללקוח את כל נתוני הלקוח לפי בחירתו, ותאשר בכתב את השלמת המחיקה.
על אף האמור, פרסייס שירותי ניהול כלכליים רשאית לשמור נתונים ככל שנדרש על פי דין או לצורך גיבויים, ובלבד שלא תעשה בהם כל שימוש נוסף.
עדיפות ההסכם
במקרה של סתירה בין הוראות הסכם זה להוראות ההסכם הראשי, יגברו הוראות הסכם זה.
במקרה שנחתמו בין הצדדים תבניות חוזיות סטנדרטיות (SCCs) הן תגברנה על הוראות הסכם זה ככל שקיימת סתירה.
