הסכם לעיבוד נתונים

הסכם לעיבוד נתונים ("DPA") זה מהווה חלק מתנאי השירות שבין O.Dev ("המעבד") ובין הלקוח ("הבקר"). הוא חל בכל מקום שבו המעבד מעבד מידע אישי בשם הבקר בהקשר לשירות, ומסדיר את ההתחייבויות לפי חוק הגנת הפרטיות, תשמ"א-1981 (כולל תיקון 13), ובמקרים הרלוונטיים לפי תקנות האיחוד האירופי להגנת המידע (GDPR).

נושא ההסכם ומשכו. המעבד מעבד מידע אישי לצורך אספקת תכונות תקשורת רב-ערוצית ללקוחות ב-WhatsApp, Messenger, Instagram, Telegram ו-Microsoft Teams, למשך תקופת המנוי של הבקר ועד 30 יום לאחר סיומו — תקופה שבה מתבצעת מחיקה או ייצוא.

סוגי המידע האישי המעובדים. מזהי קשר (טלפון, דוא"ל, מזהי רשתות חברתיות), תוכן תקשורת (הודעות, מדיה), מטא-נתונים (חותמות זמן, סטטוס מסירה), פרטי פרופיל (שמות, תמונות פרופיל, העדפות שפה), וכל נתון נוסף שהבקר או משתמשי הקצה שלו שולחים דרך השירות. נושאי המידע הם בעיקר לקוחות הבקר ומשתמשי הקצה שלו, ועובדי הבקר שמשתמשים בלוח הבקרה.

התחייבויות הבקר. הבקר מוודא בסיס חוקי תקף לכל קטגוריה של מידע אישי שנשלח, מספק הודעות מתאימות לנושאי המידע, נותן הוראות עיבוד חוקיות, ושומר רישומי פעילות עיבוד משלו.

התחייבויות המעבד. עיבוד רק לפי הוראות מתועדות; סודיות לעובדים; יישום אמצעי אבטחה טכניים וארגוניים (ראו נספח א'); התקשרות עם ספקי משנה רק עם הרשאה כללית מוקדמת והודעה של 14 ימים לפחות על שינויים (ראו נספח ב'); סיוע במימוש זכויות נושאי המידע; הודעה לבקר תוך 72 שעות מגילוי אירוע אבטחה; העמדת מידע סביר להוכחת עמידה בהסכם תוך הודעה מוקדמת של 30 יום.

העברות נתונים בינלאומיות. מידע מאוחסן בעיקר בתשתית הממוקמת בתחום ה-EEA או במדינות שהוכרו כמעניקות רמת הגנה נאותה. בהעברה למדינות אחרות, מיושמות ערובות מתאימות כגון סעיפי חוזה סטנדרטיים (SCCs). הבקר מכיר בכך שפלטפורמות הודעות של צד שלישי (Meta, Telegram, Microsoft) מעבדות מידע בתנאים שלהן.

מחיקה והחזרה. בתום ההתקשרות, המידע האישי נשמר עד 30 יום לצורך ייצוא. לאחר מכן, המידע נמחק או עובר אנונימיזציה בלתי הפיכה, אלא אם שמירה ארוכה יותר נדרשת על פי דין. אישור כתוב על המחיקה יינתן לבקשה.

אמצעי אבטחה (נספח א'). הצפנה TLS 1.2+ בתעבורה ו-AES-256 באחסון; בקרת גישה מבוססת תפקידים עם אימות דו-שלבי בסביבת הייצור; רשת פרטית ו-HMAC-SHA256 לאימות webhook; בידוד מסד נתונים לכל לקוח; ניטור שגיאות ב-Sentry; גיבויים תקופתיים; נוהל תגובה לאירועי אבטחה מתועד.

ספקי משנה מורשים (נספח ב'). Supabase (מסדי נתונים), Redis Cloud (תור וזיכרון מטמון), Google Cloud Run (שרת האפליקציה), Fly.io (Worker וזמן אמת), Vercel (ממשק משתמש), Cloudflare (DNS/TLS/CDN/R2), Meta Platforms (מסירת WhatsApp/Messenger/Instagram), Telegram Messenger (מסירת Telegram), Microsoft (מסירת Teams), Sentry (ניטור שגיאות — אין שליחה של תוכן הודעות).

דין חל. הסכם זה כפוף לחוקי מדינת ישראל. כאשר הבקר כפוף ל-GDPR, הסכם זה נועד לעמוד בדרישות סעיף 28 של GDPR, וכל סתירה תיפתר לטובת עמידה ב-GDPR.

באמצעות קבלת תנאי השירות, שמאגדים הסכם זה בהפניה, הבקר מסכים להיות מחויב להסכם לעיבוד נתונים זה. עותק PDF לחתימה זמין לבקשה בדוא"ל legal@oshri.dev.