נספח עיבוד מידע ואבטחת מידע (DPA) – מערכת TAZMAN
נספח זה מהווה חלק בלתי נפרד מתנאי השימוש ו/או מהסכם ההתקשרות בין וליגר אייפי בע״מ (להלן: ״תאזמן״ או ״החברה״) לבין הלקוח העסקי המשתמש בשירותי תאזמן (להלן: ״הלקוח״)
נספח זה מסדיר את אופן עיבוד המידע האישי על אודות נושאי המידע (לקוחות הקצה ו/או אנשי הצוות של הלקוח, לפי העניין), במסגרת שימוש הלקוח במערכת בהתאם לדין הישראלי.
1. הגדרות
למונחים בנספח זה תהא המשמעות שלהלן, אלא אם משתמע אחרת מהקשר הדברים. מונחים שלא הוגדרו במפורש יפורשו לפי הדין החל:
1.1. ״החוק״ – חוק הגנת הפרטיות, התשמ״א–1981.
1.2. ״תקנות אבטחת מידע״ – תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז–2017.
1.3. ״מידע אישי״ – כהגדרתו בחוק, לרבות מידע בעל רגישות מיוחדת, ככל ונכלל במידע המעובד במסגרת השימוש במערכת.
1.4. ״נושא מידע״ – אדם שמידע אישי על אודותיו מעובד במסגרת השימוש במערכת, לרבות לקוחות קצה של הלקוח ו/או אנשי צוות מטעמו.
1.5. ״השירותים״ – מערכת תאזמן לניהול פעילות עסקית, לרבות ניהול לקוחות ומנויים, הרשמות לשיעורים ומפגשים, ניהול תשלומים, חשבוניות ודוחות, תקשורת תפעולית עם לקוחות קצה ותמיכה, וכפי שמתואר בתנאי השימוש.
למען הסר ספק, נספח זה אינו נועד להחיל רגולציה זרה כלשהי, אלא אם הוסכם אחרת במפורש ובכתב.
2. תפקידים ומעמד הצדדים
2.1. ביחס למידע אישי על אודות נושאי המידע:
(א) הלקוח פועל, ככלל, כ-“בעל השליטה” במאגרי המידע, והוא הקובע את מטרות עיבוד המידע ואת אופן העיבוד;
(ב) תאזמן פועלת כ-״מחזיק״ ו/או כמעבד מידע מטעם הלקוח, ומבצעת עיבוד של מידע אישי על אודות נושאי המידע לצורך מתן השירותים ובהתאם להוראות הלקוח, לתנאי השימוש/ההסכם ולנספח זה.
2.2. ביחס למידע אישי אחר (לרבות מידע על בעלי עסקים, פניות, לידים ומבקרי אתר) תאזמן עשויה לפעול כבעלת שליטה, בהתאם למדיניות הפרטיות. מידע כאמור אינו מוסדר בנספח זה, אלא אם צוין אחרת במפורש.
3. היקף העיבוד ומטרותיו
3.1. תאזמן תעבד מידע אישי על אודות נושאי המידע אך ורק לצורך:
(א) מתן השירותים ותפעולם השוטף;
(ב) תמיכה, תחזוקה, טיפול בתקלות, אבטחה ושיפור המערכת;
(ג) עמידה בהוראות דין החלות על תאזמן כמחזיק מידע;
(ד) ביצוע גיבויים, שחזור, התאוששות, ניטור ולוגים תפעוליים ואבטחתיים;
(ה) הפקת נתונים סטטיסטיים וניתוחים אנליטיים – תוך העדפה, במידת האפשר, לשימוש בנתונים מצרפיים או אנונימיים.
3.2. תאזמן אינה קובעת אילו קטגוריות מידע אישי יוזנו למערכת ואינה אחראית לתוכן המידע שהוזן על ידי הלקוח או מי מטעמו, בכפוף לחובותיה כמחזיק לפי הדין.
4. מידע ומאפייני העיבוד
4.1. בהתאם לשימוש הלקוח במערכת, המידע האישי המעובד עשוי לכלול, בין היתר:
פרטי זיהוי ויצירת קשר (שם, טלפון, דוא״ל), נתוני הרשמה ושימוש (תאריכים, סטטוס הגעה), מידע על מנויים וכרטיסיות, היסטוריית חיובים וחשבוניות, תמונת פרופיל (אם הועלתה), קבצים ושדות טקסט חופשיים.
4.2. פרטי כרטיס אשראי אינם נשמרים אצל תאזמן כטקסט ברור; עיבוד רכיבי סליקה נעשה באמצעות ספקי סליקה חיצוניים ובטוקניזציה, בהתאם למדיניות הפרטיות.
4.3. ככל שהלקוח בוחר להזין או לאחסן מידע בעל רגישות מיוחדת – הדבר נעשה באחריותו כבעל שליטה, לרבות קביעת בסיס משפטי מתאים, מסירת הודעות וקבלת הסכמות ככל שנדרש לפי דין.
5. התחייבות הלקוח כבעל שליטה
5.1. הלקוח מצהיר ומתחייב כי:
(א) קיים בידיו בסיס משפטי תקף לעיבוד מידע אישי על אודות נושאי המידע;
(ב) נמסרו לנושאי המידע ההודעות הנדרשות לפי דין, והתקבלו הסכמות ככל שנדרש;
(ג) העיבוד נעשה בהתאם לעקרונות צמידות מטרה, מידתיות ושמירה לתקופה שאינה עולה על הנדרש;
(ד) כל העלאה, הזנה או ייבוא של מידע למערכת נעשים בהרשאה ובאחריותו;
(ה) נקבעו הרשאות גישה למשתמשים מטעמו וננקטו אמצעים סבירים למניעת גישה בלתי מורשית.
5.2. הוראות עיבוד מיוחדות או חריגות יחייבו את תאזמן רק אם ניתנו בכתב ואושרו על ידה.
6. אבטחת המידע
6.1. תאזמן תיישם אמצעים טכניים וארגוניים סבירים ומקובלים להגנת המידע האישי, בהתאם לתקנות אבטחת מידע ולהוראות הדין החלות עליה כמחזיק, ובכלל זה:
- בקרות הרשאה לפי תפקיד;
- הפרדה לוגית בין רכיבי מערכת וסביבות רלוונטיות;
- הצפנה בפרוטוקולים מקובלים בעת העברה ובמידת הצורך גם במנוחה;
- לוגים, ניטור וזיהוי חריגות;
- התחייבויות סודיות ואבטחה מול עובדים וספקים;
6.2. הלקוח מאשר כי אין מערכת חסינה לחלוטין, ותאזמן תפעל באמצעים סבירים למניעת אירועים ולטיפול בהם בהתאם לדין.
7. אירועי אבטחת מידע
7.1. במקרה של אירוע אבטחת מידע הנוגע למידע אישי על אודות נושאי המידע המצוי אצל תאזמן, תפעל תאזמן לצמצום הפגיעה ולתחקור האירוע.
7.2. תאזמן תמסור ללקוח הודעה על אירוע כאמור ככל שהדין מחייב זאת, ותשתף פעולה במידה סבירה לצורך טיפול, תיעוד ומענה לרשויות או לנושאי מידע – בהתאם לדרישות הדין.
7.3. תאזמן לא תידרש למסור מידע שחשיפתו עלולה לפגוע באבטחת המערכת, בסודיות מסחרית או בזכויות צדדים שלישיים, אלא אם קיימת חובה מפורשת לפי דין.
8. ספקי משנה
8.1. תאזמן רשאית להסתייע בספקי משנה לצורך מתן השירותים (לרבות תשתיות ענן, סליקה, דיוור, חשבוניות ותמיכה).
8.2. ספקי המשנה כפופים להתחייבויות סודיות ואבטחת מידע מתאימות.
8.3. הלקוח מאשר כי שימוש בספקי משנה מהווה חלק אינהרנטי ומהותי מהשירות.
9. עיבוד והעברת מידע מחוץ לישראל
9.1. המידע האישי עשוי להיות מעובד או מאוחסן בשרתים מחוץ לישראל (לרוב באירופה ו/או בארה״ב).
9.2. תאזמן תפעל לכך שעיבוד כאמור ייעשה בכפוף לאמצעי אבטחה מתאימים ולהתחייבויות חוזיות הולמות, ובהתאם לדרישות הדין הישראלי.
10. שמירה, גיבויים, מחיקה וייצוא
10.1. מידע אישי יישמר במהלך תקופת ההתקשרות.
10.2. לאחר סיומה, תאזמן רשאית לשמור מידע למשך תקופה סבירה לצורכי גיבוי, אבטחה, המשכיות עסקית והגנה משפטית ו/או בהתאם לדין.
10.3. לבקשת הלקוח ובכפוף לכלים הנגישים ללקוח במערכת, יתאפשר ייצוא מידע אישי על פי חוק הגנת הפרטיות בפורמט אקסל.
10.4. מחיקה ממערכי גיבוי תיעשה על פי דרישות החוק.
10.5. מידע אנונימי או מצרפי אינו נחשב מידע אישי.
11. זכויות נושאי מידע
11.1. הלקוח אחראי לטיפול בבקשות נושאי מידע.
11.2. במקרים הנובעים ממגבלות מערכת תאזמן, בהם אין ללקוח אפשרות טכנית לבצע בקשה מסויימת של נושא המידע, תאזמן תספק סיוע טכני סביר לביצוע הבקשות ככל שניתן.
12. פיקוח וביקורת
ביקורת תתאפשר רק אם וככל שהדין מחייב זאת, בתיאום מראש, ובאופן שלא יפגע באבטחת המערכת או בזכויות צדדים שלישיים.
13. אחריות
הלקוח נושא באחריות לחובותיו כבעל שליטה. תאזמן נושאת באחריות לחובות החלות עליה כמחזיק לפי הדין ובהתאם לנספח זה.
14. סתירה בין מסמכים
במקרה של סתירה בין נספח זה לבין תנאי השימוש או ההסכם, יגבר נספח זה בכל הנוגע לעיבוד מידע ואבטחת מידע.
15. עדכון
תאזמן רשאית לעדכן נספח זה מעת לעת. הגרסה המעודכנת תחייב ממועד פרסומה, והמשך שימוש בשירותים יהווה הסכמה לה.
