הסכם עיבוד נתונים

בהתאם לדרישות של תקנה ‎(EU) 2016/679 של הפרלמנט האירופי ושל הוועדה מה-27 באפריל 2016 בנושא ההגנה על בני אדם בכל הקשור לעיבוד נתונים אישיים והעברה של נתונים מסוג זה, המבטלת את תקנה ‎95/46/EC (להלן "GDPR"), הספק (להלן "מעבד") ואתה (להלן "בקרית נתונים") נמצאים בקשר חוזי של עיבוד נתונים על מנת להגדיר את התנאים וההתניות לגבי עיבוד של נתונים אישיים, אופן ההגנה עליהם, וכמו כן כדי להגדיר זכויות והתחייבויות אחרות של שני הצדדים לגבי עיבוד נתונים אישיים של נושאי נתונים בשמה של בקרית הנתונים במהלך ביצוע הפעולות הרלוונטיות מבחינת תנאים אלה בתור החוזה הראשי.

‎1. עיבוד נתונים אישיים. השירותים הניתנים בהתאם לתנאים אלה כוללים עיבוד מידע הנוגע לאדם טבעי, שמזוהה או ניתן לזיהוי, המופיע במדיניות הפרטיות (להלן "הנתונים האישיים").

2. הרשאה. בקרית הנתונים מאשרת למעבד לבצע עיבוד נתונים אישיים, לרבות ההוראות הבאות:

(i) מטרת העיבוד פירושה מתן שירותים בהתאם לתנאים אלה. המעבד רשאי לעבד נתונים אישיים מטעם בקרית הנתונים בלבד בכל הקשור למתן השירותים המבוקשים על ידי בקרית הנתונים. כל המידע שנאסף למטרות נוספות מעובד מחוץ לקשרים החוזיים שבין בקרית הנתונים והמעבד.

(ii) תקופת העיבוד פירושה התקופה ממועד הכניסה לשיתוף פעולה על פי תנאים אלה ועד לסיום השירותים,

(iii) היקף וקטגוריות של נתונים אישיים. השירותים מיועדים לעיבוד נתונים אישיים כלליים בלבד. עם זאת, בקרית הנתונים היא האחראי הבלעדי לקביעת היקף הנתונים האישיים.

(iv) נושא הנתונים פירושו אדם טבעי כמשתמש מורשה במכשירים של בקרית הנתונים,

(v) פעילות עיבוד פירושה כל פעולה הדרושה לעיבוד,

(vi) הוראות מתועדות הן ההוראות המתוארות בתנאים אלה, כולל נספחים, במדיניות הפרטיות ובתיעוד השירות. בקרית הנתונים תהיה אחראית לקבילות המשפטית של עיבוד הנתונים האישיים על ידי המעבד ביחס להוראות החלות בהתאמה בחוק הגנת המידע.

3. התחייבויות המעבד. המעבד יהיה מחויב:

(i) לעבד נתונים אישיים רק על בסיס הוראות מתועדות ולמטרה המוגדרת בתנאים, בנספחים, במדיניות הפרטיות ותיעוד השירות,

(ii) להנחות את האנשים המורשים לעבד את הנתונים האישיים (להלן "האנשים המורשים") לגבי זכויותיהם וחובותיהם בהתאם ל-GDPR, על אחריותם במקרה של הפרה ולהבטיח כי האנשים המורשים התחייבו לסודיות ולפעול לפי ההוראות המתועדות,

(iii) ליישם ולפעול לפי האמצעים המתוארים בתנאים, בנספחים, במדיניות הפרטיות ובתיעוד השירות,

(iv) לסייע לבקרית הנתונים בתגובה לבקשות של נושאי נתונים הקשורות לזכויות שלהם. המעבד לא יתקן, לא ימחק ולא יגביל את עיבוד הנתונים האישיים ללא הוראה של בקרית הנתונים. כל הבקשות של נושא הנתונים הקשורות לנתונים אישיים המעובדים מטעם בקרית הנתונים יועברו אל בקרית הנתונים ללא דיחוי.

(v) לסייע לבקרית הנתונים באמצעות התראה על הפרת נתונים אישיים לרשות הפיקוח ולנושא הנתונים. המעבד יודיע לבקרית הנתונים על כל הפרה של עיבוד נתונים אישיים או אבטחת נתונים אישיים, מיד לאחר הגילוי. המעבד ישתף פעולה במידה סבירה בחקירה ותיקון של הפרה כאמור, וינקוט אמצעים סבירים כדי להגביל השלכות שליליות נוספות.

(vi) על פי בחירתה של בקרית הנתונים למחוק או להחזיר את כל הנתונים האישיים אל בקרית הנתונים לאחר תום תקופת העיבוד. בקרית הנתונים מתחייבת להודיע למעבד על החלטתה תוך עשרה (10) ימים מתום תקופת העיבוד. הוראה זו לא תשפיע על זכותו של המעבד לשמור את הנתונים האישיים במידה הנדרשת למטרות ארכיון לטובת האינטרס הציבורי, למטרות מחקר מדעי, למטרות סטטיסטיות או לצורך יצירה, מימוש או הגנה על תביעות משפטיות.

(vii) לנהל רישום מעודכן של כל הקטגוריות של פעילויות העיבוד המתבצעות מטעם בקרית הנתונים,

(viii) להעמיד לרשות בקרית הנתונים את כל המידע הדרוש להוכחת ציות כחלק מהתנאים, הנספחים, מדיניות הפרטיות ותיעוד השירות הזמינים לבקרית הנתונים. במקרה של ביקורת או בקרה של עיבוד הנתונים האישיים מצד בקרית הנתונים, בקרית הנתונים מחויבת להודיע למעבד בכתב לפחות שלושים (30) יום לפני הביקורת או הבקרה המתוכננת.

4. שילוב מעבד אחר. המעבד רשאי להעסיק מעבד אחר לביצוע פעולות עיבוד ספציפיות, כגון אספקה של אחסון ענן ותשתית לשירות בהתאם לתנאים, הנספחים, מדיניות הפרטיות ותיעוד השירות. נכון לעכשיו, Microsoft מספקת אחסון ותשתית בענן כחלק משירות Azure בענן. במקרה כזה, המעבד יישאר נקודת המגע היחידה והגורם האחראי לתאימות. המעבד מתחייב בזאת ליידע את בקרית הנתונים על כל תוספת או החלפה של מעבד אחר כדי שתהיה לה אפשרות להתנגד לשינוי כאמור.

5. אזור העיבוד. המעבד מבטיח שהעיבוד יתקיים באזור הכלכלי האירופי או במדינה המוגדרת כבטוחה על פי החלטת הנציבות האירופית ובהתאם להחלטה של בקרית הנתונים. סעיפים חוזיים סטנדרטיים יחולו במקרה של העברות ועיבוד מחוץ לאזור הכלכלי האירופי או מדינה שהוגדרה כבטוחה על פי החלטת הנציבות האירופית לפי בקשת בקרית הנתונים.

6. אבטחה. המעבד ISO 27001:2013 מוסמך ומשתמש במסגרת ISO 27001 ליישום אסטרטגיה של אבטחת הגנה שכבתית בעת החלת בקרות אבטחה בשכבת הרשת, מערכות ההפעלה, מסדי הנתונים, היישומים והאפליקציות, כוח האדם ותהליכי ההפעלה. מבוצעת הערכה ובדיקה של העמידה בדרישות הרגולטוריות והחוזיות באופן שוטף בדומה לתשתיות ולפעולות אחרות של המעבד, וננקטים צעדים נחוצים כדי לספק תאימות על בסיס רציף. המעבד ארגן את אבטחת הנתונים באמצעות ISMS ובהתאם ל-ISO 27001. תיעוד האבטחה כולל בעיקר מסמכי מדיניות בנושא אבטחת מידע, אבטחה פיזית, אבטחת ציוד, ניהול אירועים, טיפול בדליפות נתונים ואירועי אבטחה ועוד.

7. אמצעים טכניים וארגוניים. המעבד יגן על הנתונים האישיים מפני נזק והרס מזדמנים ובלתי חוקיים, אובדן מזדמן, שינוי, גישה וחשיפה בלתי מורשים. למטרה זו, המעבד יאמץ אמצעים טכניים וארגוניים נאותים המתאימים לאופן העיבוד ולסיכון שמציג העיבוד לזכויות נושאי הנתונים בהתאם לדרישות ה-GDPR. תיאור מפורט של האמצעים הטכניים והארגוניים כלול במדיניות האבטחה.

8. פרטי הקשר של המעבד. כל ההתראות, הבקשות, הדרישות והתקשורת האחרת הנוגעת להגנה על נתונים אישיים יופנו אל ESET, spol. s.r.o., לתשומת לבם של: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.