דלג לתוכן

הסכם עיבוד נתונים

Last updated: · Version 1.0

1. מבוא

הסכם עיבוד נתונים זה (“DPA”) מהווה חלק מההסכם בין Godfrey Engineering Ltd (“מעבד”, “אנחנו”, “לנו”) לבין הישות או האדם המסכימים לו (“בקר”, “אתה”) לספקת שירותים כמתואר בתנאי השירות (“ההסכם”).

ה-DPA זה חל כאשר ורק במידה ש-Godfrey Engineering עוסק בעיבוד נתונים אישיים בשם הבקר במהלך ספקת השירותים, וכאשר נתונים אישיים אלו כפופים ל-UK General Data Protection Regulation (UK GDPR), ל-EU General Data Protection Regulation (EU GDPR), או לכל חקיקה אחרת רלוונטית להגנת נתונים.

למונחים המשמשים ב-DPA זה יש המשמעויות שניתנו ב-UK GDPR אלא אם צוין אחרת בכאן.

2. הגדרות

  • “חוק הגנת נתונים רלוונטי” פירושו כל חוקים וכללים הקשורים לעיבוד נתונים אישיים, כולל UK GDPR, Data Protection Act 2018, EU GDPR, ו-Privacy and Electronic Communications Regulations 2003 (PECR), לפי העניין.
  • “בקר” פירושו הישות המקבעת את המטרות והאמצעים של עיבוד נתונים אישיים.
  • “נושא נתונים” פירושו האדם אליו מתייחסים הנתונים האישיים.
  • “נתונים אישיים” פירושו כל מידע הקשור לאדם טבעי מזוהה או ניתן לזיהוי.
  • “עיבוד” פירושו כל פעולה או סט פעולות המבוצעות על נתונים אישיים, כולל איסוף, אחסון, שימוש, גילוי ומחיקה.
  • “מעבד” פירושו הישות העוסקת בעיבוד נתונים אישיים בשם הבקר.
  • “תת-מעבד” פירושו צד שלישי המעורב על ידי המעבד לעיבוד נתונים אישיים בשם הבקר.
  • “תקadvent אבטחה” פירושו הפרת אבטחה הגורמת להשמדה בשוגג או בלתי חוקית, אובדן, שינוי, גילוי לא מורשה או גישה לנתונים אישיים.

3. היקף ומטרת עיבוד

3.1 נושא העניין

המעבד יעבד נתונים אישיים בשם הבקר למטרת ספקת השירותים המתוארים בהסכם, כולל:

  • אירוח והעברה של חשבון וטעות נתונים של הבקר
  • עיבוד חישובים והנתחות הנדסיות דרך ChainSolve
  • שליחת תקשורת עסקאתית בשם הבקר
  • ספקת תמיכה ללקוחות

3.2 קטגוריות של נושאי נתונים

  • עובדים ונציגים של הבקר
  • משתמשים סופיים והלקוחות של הבקר
  • כל אדם אחר אשר נתוניו האישיים הוגשו לשירותים על ידי הבקר

3.3 סוגי נתונים אישיים

  • שמות ופרטי קשר (כתובות דוא”ל, מספרי טלפון)
  • דים של חשבון (סיסמאות מוקדשות)
  • נתוני שימוש (דפים בהם בקרו, תכונות שבהן נעשה שימוש, חותמות זמן)
  • נתונים הנדסיים (תשומות ופלטים של חישובים)
  • מידע תשלום וחיוב (מעובד על ידי Stripe)
  • תוכן תקשורת (הודעות תמיכה, הגשות טפסי יצירת קשר)

3.4 משך עיבוד

המעבד יעבד נתונים אישיים למשך ההסכם, אלא אם סוכם אחרת בכתב. לאחר סיום ההסכם, המעבד יטפל בנתונים אישיים בהתאם לסעיף 10 של ה-DPA זה.

4. התחייבויות של המעבד

המעבד יהא:

  • יעבד נתונים אישיים בהתאם להנחיות מתועדות של הבקר בלבד, אלא אם נדרש על פי חוק לפעול אחרת. במקרה כזה, המעבד יודיע לבקר על הדרישה החוקית לפני עיבוד, אלא אם אסור על פי חוק לעשות כן.
  • יבטיח שאנשים המורשים לעבד נתונים אישיים התחייבו לסודיות או כפופים לחובת סודיות חוקית מתאימה.
  • ליישם אמצעים טכניים וארגוניים מתאימים כדי להבטיח רמת אבטחה מתאימה לסיכון, כמתואר בסעיף 7.
  • לא להעסיק תת-מעבד אחר (Sub-Processor) ללא הרשאה כתובה מוקדמת של הבקר, בהתאם לסעיף 6.
  • סהיות בעזרת הבקר בהבטחת תאימות להתחייבויות הקשורות לאבטחת עיבוד, הודעה על תקני אבטחה, הערכות השפעת הגנת נתונים, ויעוץ מוקדם עם רשויות פיקוח.
  • לפי בחירת הבקר, למחוק או להחזיר את כל הנתונים האישיים לאחר סיום השירותים, ולמחוק עותקים קיימים אלא אם החוק החל דורש אחסון.
  • להעמיד לרשות הבקר את כל המידע הדרוש כדי להוכיח תאימות להתחייבויות המפורטות ב-DPA זה ולאפשר ולתרום לביקורות בדיקות שנערכו על ידי הבקר או מבקר מורשה שלו.

5. התחייבויות של הבקר

הבקר יהא:

  • יבטיח שעיבוד הנתונים האישיים תחת ה-DPA זה הוא חוקי, הוגן ושקוף בהתאם לחוק הגנת נתונים רלוונטי.
  • יספק למעבד הנחיות מתועדות לעיבוד נתונים אישיים, ויבטיח שהנחיות כאלה מתאימות לחוק הגנת נתונים רלוונטי.
  • יבטיח שנושאי נתונים קיבלו מידע אודות עיבוד הנתונים האישיים שלהם על ידי המעבד וכל הסכמה הדרושה לכך.

6. תת-מעבדים

6.1 תת-מעבדים מורשים

הבקר מספק הרשאה כתובה כללית למעבד להעסיק את תת-המעבדים הבאים:

תת-מעבדמטרהמיקום נתונים
Cloudflare, Inc.אירוח, CDN, אבטחהGlobal (EU/US)
Supabase, Inc.בסיס נתונים, אימותEU (Frankfurt)
Stripe, Inc.עיבוד תשלומיםEU
Resend, Inc.דוא”ל עסקאתיUS (with SCCs)
PostHog, Inc.ניתוח מוצרEU (Frankfurt)

6.2 שינויים בתת-מעבדים

המעבד יודיע לבקר לפחות 14 ימים מראש על כל שינוי מיועד לתת-המעבדים שלו (הוספות או החלפות). הבקר רשאי להתנגד לשינויים כאלה תוך 14 ימים מההודעה. אם הבקר התנגד והצדדים לא יכולים לפתור את ההתנגדות, הבקר רשאי להסיים את ההסכם.

6.3 התחייבויות תת-מעבדים

המעבד יבטיח שכל תת-מעבד כפוף להתחייבויות הגנת נתונים לא פחות מגנות מאלו המפורטות ב-DPA זה.

7. אמצעי אבטחה

המעבד יישם ויגן על אמצעים טכניים וארגוניים הבאים:

  • הצפנה בהעברה: TLS 1.3 לכל נתונים בהעברה
  • הצפנה במנוחה: הצפנה AES-256 לנתונים מאוחסנים
  • בקרות גישה: בקרת גישה מבוססת תפקיד עם עקרון הפחות הרשאה
  • אימות: אימות רב-גורמי לכל גישה ניהולית
  • האשת סיסמה: bcrypt עם גורם עבודה של 12
  • ניטור: ניטור רציף דרך Cloudflare לאבטחת תשתיות וניהול עיקול בעלי ביקוש
  • גיבוי: גיבויים אוטומטיים תקופתיים של נתוני היישום עם הצפנה
  • תגובה לתקני: הליכי תגובה מתועדים לתקני אבטחה עם תפקידים מוגדרים ודרכי הסלמה

8. תקני אבטחה

8.1 הודעה

המעבד יודיע לבקר ללא דיחוי לא סביר, וביותר מ-48 שעות, לאחר שהודע לו על תקץ אבטחה המשפיע על הנתונים האישיים של הבקר.

8.2 תוכן הודעה

ההודעה תכלול:

  • תיאור של טיבו של תקץ האבטחה, כולל הקטגוריות ומספר משוער של נושאי נתונים וטעויות נתונים שנוגעות להם
  • שם ופרטי קשר של נקודת יצירת הקשר של המעבד
  • תיאור של ההשלכות הסבירות של תקץ האבטחה
  • תיאור של האמצעים שנוקטו או מוצעים לטיפול בתקץ האבטחה

8.3 שיתוף פעולה

המעבד ישתף פעולה עם הבקר ויקח צעדים סביריים כדי לסייע בחקירה, הפחתה ותיקון תקץ האבטחה.

9. העברות נתונים בינלאומיות

כאשר המעבד מעביר נתונים אישיים לתת-מעבד הממוקם מחוץ לממלכה המאוחדת או ל-EEA, המעבד יבטיח שאחד מהמגנים הבאים בעמדה:

  • החלטת הולמות על ידי סוכן הממלכה המאוחדת או הנציבות האירופאית
  • הסכם ההעברה הבינלאומי של הממלכה המאוחדת (IDTA) או סעיפים חוזיים סטנדרטיים של האיחוד האירופי (SCCs)
  • הסמכה תחת מנגנון העברה מאושר (כגון EU-US Data Privacy Framework)

פרטים על אמצעי ההעברה לכל תת-מעבד זמינים בבקשה.

10. החזרה והשמדת נתונים

10.1 לאחר סיום

לאחר סיום ההסכם, המעבד יהא, לפי בחירת הבקר:

  • להחזיר את כל הנתונים האישיים לבקר בתבנית מובנית, בשימוש נפוץ וקריאה על ידי מכונה (JSON או CSV); או
  • למחוק בבטחה את כל הנתונים האישיים ולהסמיך את המחיקה בכתב

10.2 חריגות לשמירה

המעבד רשאי להיחזק בנתונים אישיים בגבולות הנדרשים על פי חוק הגנת נתונים רלוונטי, בתנאי שהמעבד יבטיח סודיות של נתונים כאלה וישנים אותם רק למטרת התאימה להתחייבות החוקית.

11. ביקורות בדיקות

11.1 זכות ביקורת

לבקר תהא הזכות לבדוק את תאימות המעבד ל-DPA זה, בהתאם להודעה סבירה (לפחות 30 ימים) ובשעות עבודה רגילות.

11.2 היקף ביקורת

ביקורות בדיקות עשויות להכלול בדיקה של מתקני, מערכות ורשומות של המעבד הקשורות לעיבוד נתונים אישיים, וראיונות עם כוח הקיבוץ של המעבד.

11.3 עלויות

הבקר יישא בעלויות של כל ביקורת, אלא אם הביקורת חושפת עבירה משמעותית של DPA זה על ידי המעבד.

12. אחריות

האחריות של כל צד תחת ה-DPA זה תהיה בהתאם למגבלות ולהרחקות של אחריות המפורטות בהסכם.

13. חוק שליטה

ה-DPA זה יהא לפי החוקים של אנגליה וויילס. כל סכסוך הנובע מ-DPA זה או הקשור אליו יהא כפוף לתיקחון בעלי אך ורק של בתי הדין של אנגליה וויילס.

14. יצירת קשר

לשאלות לגבי DPA זה או להזמנת עותק חתום, אנא צור קשר:

Godfrey Engineering Ltd
United Kingdom

כל המסמכים המשפטיים legal@godfreyengineering.com