נספח עיבוד נתונים זה ("DPA") מהווה חלק מן ההסכם בין ESTIQ (ע.מ. 300944691, רשומה בישראל) לבין הלקוח המשתמש בשירותים ("הלקוח"), ככל ש-ESTIQ מעבדת מידע אישי מטעם הלקוח כמעבדת מידע (Processor) או כספקית שירות. נספח זה משלים את תנאי השימוש, מדיניות הפרטיות וכל טופס הזמנה או הסכם מסחרי כתוב אחר בין הצדדים. במקרה של סתירה בין נספח זה לבין תנאי השימוש ביחס לעיבוד מידע אישי על ידי ESTIQ עבור הלקוח, יחול נספח זה במידה הנוגעת לאותה סתירה.
1. תפקידים והיקף
לצורך דיני הגנת פרטיות החלים, הלקוח פועל כ-בעל שליטה במידע (Controller) או כעסק, ו-ESTIQ פועלת כ-מעבדת מידע (Processor) או כספקית שירות, ביחס למידע אישי של הלקוח המעובד בידי ESTIQ רק מטעם הלקוח במסגרת השירותים. נושא העיבוד, משכו, אופיו, מטרותיו, סוגי המידע האישי וקטגוריות נושאי המידע נגזרים מאופן השימוש של הצדדים בשירותים, ועשויים לכלול מידע אישי הנוגע למשתמשים, עובדים, קבלנים, לקוחות, משקיעים, צדדים נגדיים או אנשים אחרים שהלקוח בוחר להעלות, לאחסן או לעבד באמצעות השירותים.
2. הוראות הלקוח
ESTIQ תעבד מידע אישי של הלקוח רק בהתאם להוראות מתועדות של הלקוח, לרבות ככל שנדרש לצורך אספקת השירותים, קיום ההסכם, יישום תצורות שהלקוח בחר, תמיכה בשימוש מורשה ועמידה בדין החל. הלקוח מורה בזאת ל-ESTIQ לעבד מידע אישי של הלקוח למטרות אלה, ומאשר כי הוראות מסוימות עשויות להינתן באמצעות השימוש של הלקוח או המשתמשים המורשים שלו בשירותים. ESTIQ תודיע ללקוח אם, לדעתה, הוראה מסוימת מפרה את דיני הגנת הפרטיות החלים, אלא אם הדין אוסר עליה לעשות כן.
3. סודיות ואנשי צוות מורשים
ESTIQ תוודא כי אנשים המורשים לעבד מידע אישי של הלקוח כפופים לחובות סודיות מתאימות, וכי הגישה למידע אישי של הלקוח תיעשה רק במידה הנדרשת לביצוע תפקידם.
4. אמצעי אבטחה
ESTIQ תיישם ותתחזק אמצעים טכניים וארגוניים סבירים שנועדו להגן על מידע אישי של הלקוח מפני השמדה, אובדן, שינוי, גילוי לא מורשה או גישה לא מורשית, בשים לב לאופי העיבוד, למצב הטכנולוגי, לעלויות היישום ולסיכונים הכרוכים בעיבוד. אמצעים כאלה כוללים בקרות גישה, מנגנוני אימות, רישום פעולות, הצפנה בתעבורה ובמנוחה, גיבויים, הפרדת סביבות, RLS (Row Level Security) ונהלי תגובה לאירועי אבטחה. אף אמצעי אבטחה אינו מבטיח אבטחה מוחלטת.
5. מעבדי משנה
הלקוח מאשר ל-ESTIQ להסתייע בחברות קשורות ובמעבדי משנה צד שלישי לצורך אספקת השירותים. ESTIQ תטיל על מעבדי המשנה התחייבויות הגנת פרטיות שאינן פחותות מההתחייבויות הקבועות בנספח זה, ככל שהדבר מתאים לאופי השירותים שמספק מעבד המשנה. ESTIQ תישא באחריות למעשי ומחדלי מעבדי המשנה שלה במידה הנדרשת לפי הדין החל וההסכם. לפי בקשה סבירה, ESTIQ תעמיד לרשות הלקוח מידע על קטגוריות של מעבדי משנה או רשימת מעבדי משנה עדכנית, בכפוף לשיקולי סודיות ואבטחה. מעבדי משנה עיקריים נכון לתאריך נספח זה כוללים בין היתר: ספקי תשתית ענן ואחסון, Paddle.com Market Limited (Merchant of Record לתשלומים), ספקי AI ואוטומציה (Lovable AI Gateway), ספקי דוא"ל טרנזקציוני וניתוח שגיאות.
6. סיוע בבקשות נושאי מידע ובציות
בהתחשב באופי העיבוד ובמידע הזמין ל-ESTIQ, ESTIQ תספק ללקוח סיוע סביר, על חשבון הלקוח ככל שהדבר מותר על פי דין ולמעט ככל שהסיוע כבר כלול בשירותים, כדי לסייע ללקוח להגיב לבקשות של נושאי מידע ולתמוך בעמידת הלקוח בחובות החלות עליו בנוגע לאבטחה, דיווחי הפרה, הערכות השפעה והתייעצות עם רשויות מפקחות, ככל שהדבר נדרש לפי דיני הגנת הפרטיות החלים.
7. אירועי מידע אישי
אם ESTIQ תיוודע להפרת מידע אישי מאומתת המשפיעה על מידע אישי של הלקוח המעובד לפי נספח זה, ESTIQ תודיע ללקוח ללא דיחוי בלתי סביר לאחר שנודע לה על ההפרה, אלא אם הדין החל אינו מחייב מסירת הודעה. הודעה כאמור עשויה להינתן בשלבים ככל שמידע נוסף מתברר, ותכלול, ככל שניתן באופן סביר, את המידע הרלוונטי הידוע ל-ESTIQ באותה עת כדי לסייע ללקוח לעמוד בחובות הדיווח החלות עליו.
8. החזרה ומחיקה
עם סיום או פקיעת השירותים, ESTIQ תמחק או תחזיר ללקוח את המידע האישי של הלקוח בהתאם להסכם ולנהלי השמירה והמחיקה הסטנדרטיים שלה, אלא אם שמירת המידע נדרשת לפי דין, או נחוצה לצורך הקמה, מימוש או הגנה מפני תביעות משפטיות, שימור ראיות אבטחת מידע או מחזורי שחזור מגיבויים; במקרה כזה ESTIQ תמשיך להגן על מידע זה בהתאם לנספח זה כל עוד הוא נשמר.
9. העברות בינלאומיות
ככל ש-ESTIQ תעביר מידע אישי של הלקוח למדינה שאינה מספקת רמת הגנה נאותה לפי דיני הגנת הפרטיות החלים, ESTIQ תיישם מנגנון העברה חוקי מתאים ככל שנדרש, אשר עשוי לכלול מנגנונים חוזיים (SCCs), העברות המבוססות על החלטות נאותות או כל מנגנון חוקי אחר המוכר לפי הדין. הצדדים ישתפו פעולה בתום לב כדי ליישם אמצעים משלימים ככל שיידרשו באופן סביר.
10. מידע לביקורת
לפי בקשה סבירה ובכתב, ובכפוף להגנות סודיות מתאימות, ESTIQ תעמיד לרשות הלקוח מידע הנחוץ באופן סביר לצורך הדגמת עמידה בנספח זה. כל זכות ביקורת תבוצע באופן מידתי, לא יותר מפעם אחת בשנה אלא אם אירוע מהותי או דרישת רשות מצדיקים בדיקה תכופה יותר, לא תשבש באופן בלתי סביר את פעילות ESTIQ, וניתן יהיה למלאה באמצעות אישורי צד שלישי, סיכומי ביקורת, מענה לשאלונים או חומרי תאימות אחרים לפי העניין.
11. יצירת קשר
פניות DPA, פרטיות ואבטחה: [email protected].