הסכם עיבוד נתונים (DPA)

הסכם עיבוד נתונים זה ("DPA") מהווה חלק מתנאי השירות שבין:

ההסכם מסדיר את עיבוד המידע האישי בידי הספק בשם הלקוח באמצעות שירות TSD. הוא נועד לעמוד בדרישות סעיף 28 של ה-GDPR ובדרישות חוק הגנת הפרטיות הישראלי, חוק הגנת הפרטיות, התשמ"א-1981 (כפי שתוקן, לרבות תיקון מס' 13) ותקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 ("תקנות אבטחת המידע"). מונחים בעלי אות ראשונה גדולה שאינם מוגדרים כאן יישאו את המשמעות הנתונה להם בתנאי השירות.

תאריך תחילה: 2026-06-27


1. הגדרות

2. תפקידים והיקף

2.1 הלקוח הוא בעל השליטה בנתונים (Controller) והספק הוא מעבד הנתונים (Processor) של המידע האישי של הלקוח. מקום שבו הלקוח עצמו הוא מעבד עבור צד שלישי, פועל הספק כמעבד משנה והלקוח מצהיר כי יש בידיו הסמכות להתקשר עמו.

2.2 הספק יעבד את המידע האישי של הלקוח אך ורק לשם אספקת השירות ותמיכה בו, ואך ורק על פי הוראותיו המתועדות של הלקוח, לרבות אלה שבתנאי השירות, ב-DPA זה, בטופס ההזמנה ובבחירות התצורה שהלקוח מבצע בשירות. הספק יודיע ללקוח אם, לדעתו, הוראה כלשהי מפרה את דין הגנת המידע (מבלי שתחול עליו חובה לתת ייעוץ משפטי).

2.3 פרטי העיבוד (נושא ההתקשרות, משך, אופי, מטרה, סוגי המידע וסוגי נושאי המידע) מפורטים בנספח I.

3. חובות הספק (מעבד הנתונים)

הספק:

(א) הוראות — יעבד את המידע האישי של הלקוח אך ורק כאמור בסעיף 2.2; אם הדין מחייב עיבוד החורג מהוראות הלקוח, יודיע ללקוח תחילה אלא אם הודעה כאמור אסורה על פי דין.

(ב) סודיות — יבטיח כי עובדים המורשים לעבד מידע אישי של הלקוח כפופים לחובת סודיות וניגשים אליו על בסיס הצורך לדעת בלבד.

(ג) אבטחה — ייישם ויקיים את האמצעים הטכניים והארגוניים המפורטים בנספח II, התואמים לסיכון ולרמת האבטחה הנדרשת בתקנות אבטחת המידע ובסעיף 32 של ה-GDPR.

(ד) מעבדי משנה — יתקשר עם מעבדי משנה אך ורק לפי סעיף 5.

(ה) בקשות של נושאי מידע — בהתחשב באופי העיבוד, יסייע ללקוח, באמצעים טכניים וארגוניים מתאימים, ככל הניתן, להיענות לבקשות של נושאי מידע לממש את זכויותיהם (עיון, תיקון, מחיקה, התנגדות, ניידות וכו'). אם נושא מידע יפנה לספק במישרין, יפנה אותו הספק אל הלקוח ולא ישיב לגופו של עניין אלא על פי הוראת הלקוח או כנדרש על פי דין.

(ו) סיוע — יסייע ללקוח, בהתחשב במידע הזמין לספק, בעניינים אלה: אבטחת העיבוד; הודעה על אירוע אבטחה הנוגע למידע אישי; תסקירי השפעה על הגנת הפרטיות; והתייעצות מוקדמת עם רשות פיקוח (סעיפים 32–36 ל-GDPR).

(ז) הודעה על אירוע אבטחה — יודיע ללקוח ללא דיחוי בלתי מוצדק (וככל שניתן, בתוך 72 שעות) לאחר שנודע לו על אירוע אבטחה הנוגע למידע אישי הפוגע במידע האישי של הלקוח, תוך מסירת המידע שהלקוח נדרש לו באופן סביר כדי לעמוד בחובות ההודעה שלו (לרבות, לפי הדין הישראלי, לרשות להגנת הפרטיות מקום שבו הדבר חל).

(ח) מחיקה/החזרה — לפי בחירת הלקוח, ימחק או יחזיר את המידע האישי של הלקוח בתום השירות, וימחק עותקים קיימים אלא אם הדין מחייב את שמירתם (ראו סעיף 7).

(ט) ביקורות ורישומים — יעמיד לרשות הלקוח את המידע הדרוש כדי להוכיח עמידה ב-DPA זה ויאפשר ביקורות ויסייע לקיומן כאמור בסעיף 6; ינהל רישומי עיבוד כנדרש על פי דין.

4. חובות הלקוח (בעל השליטה בנתונים)

הלקוח:

(א) יקיים את חובותיו שלו כבעל השליטה בנתונים (Controller) לפי דין הגנת המידע, לרבות מתן כל ההודעות הנדרשות וקיומו של בסיס חוקי תקף (וכל הסכמה נדרשת) לעיבוד בידי הספק;

(ב) יבטיח שהוראותיו לעיבוד הן כדין ושהמידע האישי של הלקוח נאסף כדין;

(ג) יישא באחריות לדיוק, לאיכות ולחוקיות של המידע האישי של הלקוח ולאמצעים שבהם נרכש (מקורו בנתוני הלקוח שבמערכת ERPNext ובפעילות הלקוח);

(ד) יגדיר וישתמש בשירות בהתאם לדין הגנת המידע, לרבות ניהול גישת המפעילים וניתוקם בסיום העסקתם.

5. מעבדי משנה

5.1 הלקוח נותן הרשאה כללית לספק להתקשר עם מעבדי המשנה המנויים בנספח III (ובמרשם מעבדי המשנה).

5.2 הספק יטיל על כל מעבד משנה חובות הגנת מידע שאינן פחותות בהגנתן מאלה שב-DPA זה (לרבות תניות אבטחה והעברה בין-לאומית), ויישאר אחראי כלפי הלקוח למעשיהם ולמחדליהם של מעבדי המשנה שלו.

5.3 הספק ימסור ללקוח הודעה מוקדמת על כל כוונה להוסיף או להחליף מעבד משנה (בדואר אלקטרוני או באמצעות https://kadimasoft.com/legal), ויעניק ללקוח הזדמנות סבירה (של 14 ימים לפחות) להתנגד מטעמים סבירים של הגנת מידע. אם הלקוח יתנגד באופן סביר והצדדים לא יוכלו ליישב את המחלוקת, רשאי הלקוח לסיים את השירות המושפע, וזהו הסעד הבלעדי העומד לרשותו.

6. ביקורות

6.1 הספק יעמיד לרשות הלקוח מידע הדרוש באופן סביר להוכחת עמידה בהתחייבויותיו, כגון תיעוד אבטחה ותמציות בקרות.

6.2 מקום שבו הדבר נדרש לפי דין הגנת המידע, רשאי הלקוח (או מבקר עצמאי שהוא ממנה, הכפוף לחובת סודיות) לבקר את עמידת הספק בהתחייבויותיו פעם אחת בכל 12 חודשים (או לאחר אירוע אבטחה), בכפוף להודעה מוקדמת של 30 ימים לפחות, בשעות העבודה, מבלי לשבש באופן בלתי סביר את פעילות הספק, ועל חשבון הלקוח. הצדדים יסכימו על היקף הביקורת מראש.

7. החזרה ומחיקה

עם סיום השירות או פקיעתו, או על פי בקשה מוקדמת יותר של הלקוח, הספק, לפי בחירת הלקוח, יחזיר או ימחק את המידע האישי של הלקוח בתוך 30 ימים, לרבות אצל מעבדי המשנה, למעט עותקים שיש לשומרם על פי דין (אשר יוסיפו ליהנות מהגנת DPA זה כל עוד הם נשמרים). הלקוח יכול גם למחוק נתונים בעצמו באמצעות פונקציות השירות במקום שבו הן זמינות. עם סגירת החשבון במלואו, תהליך מחיקת השוכר של הספק מסיר את הרשומות המשויכות לשוכר של הלקוח. מקום שבו הספק מארח את ה-ERPNext של הלקוח, ההחזרה/המחיקה חלה על מופע ה-ERPNext המתארח ונתוניו (ייצוא נתונים זמין לפי בקשה לפני המחיקה), והמחיקה משתרעת אל הגיבויים בהתאם למחזור סבב הגיבויים של הספק.

8. העברות בין-לאומיות

8.1 הספק מארח את המידע האישי של הלקוח — לרבות מופע ה-ERPNext המתארח שבו מאוחסנים נתוניו העסקיים של הלקוח, מסד הנתונים license_server, והגיבויים — בעיקר ב-גרמניה (האיחוד האירופי), אצל netcup GmbH.

8.2 חלק ממעבדי המשנה (ובפרט Google, לצורך הודעות דחיפה ודיווח קריסות) עשויים לעבד מידע מוגבל מחוץ לישראל ולאזור הכלכלי האירופי (EEA), לרבות בארצות הברית. ביחס לכל העברה למדינה ללא החלטת נאותוּת (adequacy decision), מסתמכים הצדדים על אמצעי הגנה מתאימים לפי פרק V (Chapter V) של ה-GDPR (למשל, התניות החוזיות הסטנדרטיות (SCC) של האיחוד האירופי, אשר משולבות כאן בדרך ההפניה, ובמקום הנדרש מושלמות בנספח IV), ועל מנגנוני ההעברה החוקית שלפי הדין הישראלי. ישראל נהנית מהחלטת נאותוּת של האיחוד האירופי ביחס להעברות מאזור ה-EEA לישראל.

8.3 ככל שה-SCC של האיחוד האירופי חלות, במקרה של סתירה גוברות ה-SCC על DPA זה לעניין ההעברה הרלוונטית.

9. אחריות

אחריות הצדדים לפי DPA זה כפופה למגבלות ולחריגים שבתנאי השירות (סעיף 12), ככל שהדבר מותר לפי דין הגנת המידע. אין באמור ב-DPA זה כדי לצמצם את זכויותיו של נושא מידע לפי דין הגנת המידע, או את אחריותו של מי מהצדדים שלא ניתן להגבילה לפי אותו דין.

10. תקופה, סתירה ודין חל

10.1 DPA זה יחול כל עוד הספק מעבד מידע אישי של הלקוח.

10.2 בסתירה בין DPA זה לבין תנאי השירות בענייני הגנת מידע, גובר DPA זה; ה-SCC גוברות לעניין ההעברות שהן מכסות.

10.3 DPA זה כפוף לדין ולסמכות השיפוט הקבועים בתנאי השירות, מבלי לגרוע מהוראות כופות של דין הגנת המידע (לרבות זכויותיהם של נושאי מידע ושל רשויות פיקוח).


נספח I — פרטי העיבוד

פריט פירוט
נושא ההתקשרות אספקת מסוף המחסן/המכירות TSD, שרת הסנכרון/ה-proxy license_server, ו — אלא אם הלקוח משתמש ב-ERPNext משלו — אירוח והפעלה של מופע ERPNext ייעודי עבור הלקוח
משך למשך תקופת תנאי השירות / עד למחיקה לפי סעיף 7
אופי ומטרה אירוח והפעלה של מופע ה-ERPNext של הלקוח, שבו מאוחסנים נתוניו העסקיים והאישיים של הלקוח; שיקוף (mirroring), שמירה במטמון (caching), העברת proxy וסנכרון של נתונים אלה אל מכשירים מורשים וממנו; אפשור תהליכי עבודה של מחסן ומכירות (ליקוט, משלוח, הזמנות); קישור זהות עבור בוט עוזר-המנהל מקום שבו הופעל
סוגי נושאי המידע מפעילי הלקוח (מלקטים, נציגי מכירות, נהגים, מנהלי מערכת); לקוחותיו ואנשי הקשר של הלקוח (כפי שהם מוחזקים ב-ERPNext)
סוגי מידע אישי מפעילים: שם משתמש, שם מלא, תפקידים/הרשאות, מזהה מכשיר, כתובת IP, מטא-נתוני מכשיר, נתוני טלמטריה הקשורים למכשיר, רשומות ביקורת, ובאופן אופציונלי מזהה צ'אט/שם משתמש ב-Telegram. לקוחות/אנשי קשר: שם, מזהי לקוח/איש קשר, כתובות (לחיוב/למשלוח), דואר אלקטרוני, טלפון/נייד (לרבות בצורות מנורמלות), שם חברה, אזור/קבוצה; וכן הרשומות המסחריות המאוחסנות ב-ERPNext המתארח — הזמנות מכר, תעודות משלוח, רשימות ליקוט, חשבוניות, מחירים/סכומים, והיסטוריית עסקאות הקשורה לכך
סוגים מיוחדים אין כוונה לעבדם. הלקוח לא יעביר מידע מסוג מיוחד (בריאות, ביומטריה וכו') באמצעות השירות אלא אם הוסכם בכתב בליווי אמצעי הגנה מתאימים
תדירות רציפה / לפי דרישה במהלך השימוש; טלמטריה יומית

נספח II — אמצעי אבטחה טכניים וארגוניים

הספק מקיים אמצעים התואמים לסיכון, לרבות:

  1. הצפנה — TLS בתעבורה; AES-256-GCM בצד המכשיר עבור אישורי גישה/אסימונים, ו-SQLCipher עבור השיקוף (mirror) המקומי; הצפנת Fernet (מאומתת) של סודות בצד השרת (אישורי ERP, אסימוני ערוצים).
  2. בקרת גישה — גישה מבוססת-תפקיד הנאכפת בגבול השרת; אסימוני נושא (bearer tokens); אסימוני רענון הנשמרים כ-hash בלבד, מתחלפים מעת לעת, עם אפשרות לביטול ברמת משפחת מכשירים בחשד לגניבה; הרשאות מזעריות לעובדים.
  3. בידוד שוכריםאבטחה ברמת השורה (row-level security) פר-שוכר במסד הנתונים, כך שמידע של לקוח אחד אינו נגיש לאחר. (על הספק להבטיח שה-RLS נאכפת בסביבת הייצור — ראו רשימת התיוג ב-README.)
  4. בקרות רשת ומניעת שימוש לרעה — הגבלת קצב; טיפול בכתובות IP מ-proxy מהימן; אימות קלט.
  5. תיעוד וניטור — יומני ביקורת של פעולות כתיבה משמעותיות; תיעוד אבטחה; זיהוי אירועים ותגובה להם.
  6. חוסן — גיבויים של מסדי הנתונים ושל ה-ERPNext המתארח, מוצפנים במנוחה במקום שבו הדבר נתמך; נהלי שחזור מתועדים; סבב יומנים (log rotation).
  7. אירוח ומיקום אחסון הנתונים — מופעי ה-ERPNext המתארחים, מסד הנתונים license_server והגיבויים מתארחים אצל netcup GmbH ב-גרמניה (האיחוד האירופי); הגישה לסביבת האירוח מוגבלת, מאומתת ומתועדת.
  8. ארגוני — התחייבויות סודיות; גישה על בסיס הצורך לדעת; בקרת שינויים באמצעות פריסות מנוהלות-גרסה; בדיקת נאותות של מעבדי משנה.
  9. תקנות אבטחת המידע 2017 — בקרות המותאמות לרמת האבטחה שהוערכה למאגר (בסיסית/בינונית/גבוהה), לרבות תיעוד גישה וסקירה תקופתית ברמות הבינונית והגבוהה.

(אמצעים אלה מתפתחים עם השירות; הספק רשאי לעדכנם ובלבד שרמת ההגנה לא תיפחת.)

נספח III — מעבדי משנה מאושרים

מעבד משנה מטרה מיקום
netcup GmbH אירוח הבק-אנד, מסד הנתונים והגיבויים גרמניה (האיחוד האירופי)
Google (Firebase Cloud Messaging) מסירת הודעות דחיפה / טריגרי סנכרון ארה"ב / גלובלי
Google (Firebase Crashlytics) דיווח קריסות ארה"ב / גלובלי
Telegram (Bot API) קישור בוט עוזר-המנהל (בהצטרפות מרצון) גלובלי
GitHub הפצת עדכוני אפליקציה (ללא מידע אישי) ארה"ב

(מתוחזק בהתאמה למרשם. ERPNext היא תוכנת קוד פתוח שהספק מפעיל עבור הלקוח; היא רצה על מעבד המשנה לאירוח המנוי לעיל, ואינה מעבד משנה נפרד של צד שלישי. מקום שבו הלקוח משתמש במופע ERPNext משלו, מופע זה הוא מערכת של הלקוח עצמו.)

נספח IV — תניות חוזיות סטנדרטיות (SCC) (אם רלוונטי)

מקום שבו מידע אישי של נושאי מידע מאזור ה-EEA מועבר למדינה שלישית ללא נאותוּת, התניות החוזיות הסטנדרטיות של נציבות האיחוד האירופי (Decision 2021/914), Module Two (בעל שליטה→מעבד) — או Module Three מקום שבו הספק פועל כמעבד משנה — משולבות כאן בדרך ההפניה, ובהן:

(יש להשלים בליווי יועץ משפטי אם וכאשר יתבצעו העברות שמקורן ב-EEA.)


חתימות. קבלת תנאי השירות מהווה קבלה של DPA זה. מקום שבו נדרש עותק חתום:

בעל השליטה בנתונים (הלקוח) מעבד הנתונים (הספק)
שם: ______ שם: פטר גימפליובסקי
תפקיד: _____ תפקיד: בעלים (עוסק מורשה)
תאריך: ______ תאריך: ______