פרטיות

תנאי עיבוד מידע אישי על ידי הספק

הגדרות:  

בנספח זה יפורשו המונחים הבאים כמפורט להלן:

"הדין החל" – פירושו חוק הגנת הפרטיות, התשמ"א-1981 והתקנות שהותקנו על פיו, וכן הנחיות רשם מאגרי המידע, ככל ואלו חלים על הספק בקשר עם מתן השירותים.

"מידע אישי" או "מידע" – מידע שניתן לזהות באמצעותו, במישרין או בעקיפין, אדם פרטי באופן ישיר העולה כדי "מידע" או "מידע רגיש" תחת הדין החל; האמור בהסכם זה יחול על מידע אישי שבשליטת המזמין אך לא יחול על מידע סטטיסטי או מצרפי הנגזר מעיבוד המידע האישי, ושאינו מזהה אדם.

"מאגר מידע" או "המאגר" – אוסף נתוני מידע אישי בשליטת המזמין, המוחזק על ידי הספק, באמצעי פיזי, מגנטי או אופטי. הגדרה זו לא תכלול מאגרי מידע, הכוללים מידע אישי, ונמצאים בחזקתו של המזמין.

מסמכים ונהלי אבטחה

הספק מצהיר כי הוא מקיים נהלי אבטחת מידע ("הנהלים") ביחס לעיבוד המידע על ידיו. אין באמור בהסכם זה כדי לגרוע מזכותו של הספק לעדכן את הנהלים מעת לעת בהתאם להתפתחויות בתחום אבטחת המידע. 

הספק מנהל מסמך מיפוי מערכות המידע שבחזקתו ("מערכות המאגר") הכוללות את המידע או ניגשות למידע, לרבות רשימת מצאי הכוללת את מערכות המידע, תוכנות, ממשקים, תשתיות רכיבי חומרה ורכיבי תקשורת שהספק מפעיל לשם תפעולן השוטף של מערכות המידע.

מטרות העיבוד והשימוש

הספק יעבד מידע אישי עבור המזמין אך ורק לצורך מתן השירותים. על אף האמור, הספק יהיה רשאי לעבד מידע אישי למטרה אחרת במקרה בו נתקבלה הסכמה של המזמין ו/או במקרה של עיבוד מידע סטטיסטי או מצרפי שאינו מזהה אדם, אף ללא הסכמת המזמין. 

בכפוף לאמור בסעיף ‎4.2 להלן, הספק לא יעביר לצדדים שלישיים מידע אישי לכל מטרה אחרת מלבד מתן השירותים למזמין, אלא אם נתקבלה לכך הסכמת המזמין.

הרשאת גישה למידע

הספק יעניק גישה למידע אישי למשתמשים שקיבלו הרשאה ספציפית לכך על ידי הספק אשר תפקידם מחייב גישה למידע אישי, על בסיס הרשאות מינימליות (Least Privileged) וצורך לדעת (Need to Know). הספק רשאי לשנות בכל עת רשימה זו. 

הספק לא ימסור, לא יעביר, לא יגלה ולא ירשה שיתגלה לכל צד שלישי שהוא, כל חלק מהמידע, אלא במקרים הבאים: (א) לגורמים מטעמו הנדרשים למידע לצורך מתן השירותים, לרבות עובדיו, יועציו וקבלני משנה; (ב) לרשות מוסמכת או לפי צו שיפוטי; (ג) במסגרת הליכים משפטיים המתנהלים בין הספק לבין המזמין; (ד) העברת מידע סטטיסטי או מצרפי, שאינו מזהה אדם.

הספק מחתים את עובדיו, יועציו או מי מטעמו הניגש למידע האישי על כתב סודיות ושמירה על פרטיות המידע, המכיל חובות ברמה שאינה פחותה מהחובות המוטלות על הספק תחת נספח זה. 

הספק מנהל רישום מעודכן של בעלי הרשאה הניגשים למידע האישי הכולל תפקידים והרשאות הגישה שניתנו להם. הקבלן ידאג לביטול ההרשאות של בעל הרשאה מטעמו שסיים את תפקידו ובמידת האפשר לשינוי סיסמאות למערכות המאגר, שבעל ההרשאה עשוי היה לדעת, מיד עם סיום תפקידו של בעל ההרשאה.

הספק מקיים הדרכות תקופתיות לבעלי הרשאה מטעמו בנושא חובות הגנת הפרטיות ואבטחת מידע שחלות מתוקף הדין החל ו/או נספח זה. הדרכה כאמור תתקיים אחת לשנתיים לפחות, ולגבי בעל הרשאה חדשסמוך ככל האפשר למועד תחילת הסמכתו. הספק יעניק הרשאה למידע אישי לגורמים מטעמו אך ורק לאחר שנקט אמצעים סבירים, המקובלים בהליכי מיון עובדים ושיבוצם, כדי לברר שאין חשש כי בעל ההרשאה אינו מתאים לקבלת גישה למידע האישי.

הספק נוקט באמצעים הנדרשים בנסיבות העניין כדי לוודא כי הגישה למערכות המאגר הכוללות מידע אישי נעשית בידי בעל הרשאה המורשה לכך בלבד לפי רשימת ההרשאות התקפות. לספק נהלים המבטיחים כי גישה למידע תהיה מאובטחת, לרבות על ידי קביעת זיהוי המבוסס על סיסמאות, ונהלים המתייחסים, בין היתר, לחוזק הסיסמה, מספר הניסיונות השגויים, ניתוק אוטומטי לאחר פרק זמן של איפעילות תדירות החלפת הסיסמאות שתיעשה בהתאם לתפקיד בעל ההרשאה.

הספק יהיה רשאי להעביר מידע אישי אל קבלני משנה מטעמו, בכפוף לכך שהספק יתקשר מול קבלן המשנה בהסכם כתוב הכולל תנאים דומים במהותם לתנאים המופיעים בנספח זה. 

הספק יעשה שימוש במנגנוני הצפנה מקובלים עבור כל העברה של מידע אישי לצד שלישי באמצעות רשת האינטרנט ו/או רשת ציבורית אחרת ועבור כל התחברות מרחוק למערכות המאגר. 

שמירה והחזרה של מידע אישי

מערכות המאגר נשמרות במקום מוגן, המונע חדירה וכניסה אליו בלא הרשאה, והתואם את אופי פעילות המאגר ורגישות המידע בו. הספק נוקט באמצעים לבקרה ולתיעוד של הכניסה והיציאה מאתרים שבהם מצויות מערכות המאגר ושל הכנסה והוצאה של ציוד אל מערכות המאגר ומהן.

הספק מפריד, בהיקף ובמידה הסבירים האפשריים, בין מערכות המאגר הכוללות מידע אישי לבין מערכות מחשוב אחרות המשמשות את הספק לכל צורך שאינו קשור במישרין למתן השירותים. הספק ידאג לכך שייערכו עדכונים שוטפים של מערכות המאגר, לרבות חומר המחשב הנדרש לפעולתן וכי לא ייעשה שימוש במערכות שהיצרן לא תומך בהיבטי אבטחה שלהן אלא אם כן ניתן מענה אבטחתי מתאים.

בכל חיבור של מערכות המאגר לרשת האינטרנט או לרשת ציבורית אחרת, יתקין הספק אמצעי הגנה מתאימים מפני חדירה לא מורשית, הרצת תוכנות ריגול, והחדרת נוזקות אחרות העלולות לגרום נזק ו/או שיבוש למידע האישי. 

הספק יטמיע אמצעי הגנה מתאימים להגנה על המידע האישי במקרה של חיבור התקנים ניידים למערכות המאגר, במתכונת ההולמת את רמת אבטחת המידע החלה על מאגר המידע, את רגישות המידע ואת הסיכונים המיוחדים למערכות המאגר למידע הנובעים מחיבור ההתקן הנייד. 

הספק ישמור את המידע האישי של המזמין אך ורק כל עוד יש צורך בכך על מנת להגשים את המטרות שלשמן הועבר המידע לספק, בהתאם לאמור בנספח זה או כפי שיידרש על פי הדין החל.

בתוך 30 יום מדרישתו בכתב של המזמין, הספק יחזיר, ימחק או יבער את כל המידע האישי שעליו חל נספח זה ומצוי ברשותו, ויספק למזמין, לפי בקשתו, תצהיר על פיו כל המידע האישי כאמור נמחק או הושמד. על אף האמור, הספק יהיה רשאי לשמור עותק של המידע האישי לצורך קיום חובותיו החוקיות ו/או התגוננות מפני תביעות משפטיות והאמור בהסכם זה יחול על עותק כאמור, כל עוד מצוי ברשות הספק. מבלי לגרוע מהאמור, הספק יהיה רשאי לשמור כל תוצר מידע סטטיסטי ו/או מצרפי שאינו מזהה אדם, הנגזר מהמידע האישי, ללא מגבלה.

זכויות נושאי המידע

הספק יודיע למזמין לאחר שנודע לו על כך, על כל פניה, הודעה, או תלונה שהתקבלה אצל ספק על ידי:

(1) כל אדם בקשר למידע אישי של אותו אדם; או 

(2) כל רשות משפטית או רגולטורית, המתייחסת לעיבוד מידע אישי על ידי הספק.

המזמין מתחייב לקיים אחר כל הוראות הדין החל בקשר עם פניות מאת נושאי המידע ו/או רשות רגולטוריות בקשר עם המידע ולספק לא תהיה כל אחריות בעניין, למעט כאמור לעיל. 

ביקורת, תיעוד וניטור

הספק יתעד את הפעילות הנעשית במערכות המאגר, לרבות ניסיונות הגישה למערכות המאגר, מחיקה ו/או שינוי של מידע אישי, פעולות פיתוח במאגר ושינוי של הרשאות הגישה למערכות המאגר ("מנגנון התיעוד"). מנגנון התיעוד יאסוף לפחות את הנתונים הבאים: זהות המשתמש, התאריך והשעה של הפעולה, מקור ביצוע הפעולה (כתובת אינטרנט או שם מחשב), רכיב המערכת בו בוצעה הפעולה, סוג הפעולה, האם הפעולה הצליחה או נכשלה.

הספק יקיים ביקורת פנימית או חיצונית עלידי גורם בעל הכשרה מתאימה לביקורת בנושא אבטחת מידע, ושאינו ממונה אבטחת המידע של הספק, כדי לוודא את מנגנון התיעוד.

ככל ונדרש על פי הדין החל, הספק יבצע מבדקי חדירות וסקר סיכוני אבטחת מידע למערכות המאגר אחת לשמונה עשרה (18) חודשים.

הספק ישמור את הנתונים הנצברים במסגרת יישום הוראות תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז – 2017 ("תקנות אבטחת מידע") למשך תקופה שלא תפחת מ-24 חודשים מיום היווצרם ואף יגבה אותם באופן שיבטיח שיהיה ניתן, בכל עת, לשחזר את הנתונים האמורים למצבם המקורי.

פגיעה באבטחת המידע

הספק יודיע למזמין על כל חשש לאירוע אבטחת מידע חמור, כהגדרתו בתקנות אבטחת מידע. 

הספק יתעד כל מקרה של אירוע אבטחה חמור, וככל האפשר תיעוד זה יסתמך על מנגנון התיעוד. 

בכל מקרה של אירוע אבטחה חמור שמקורו במערכות המאגר של הספק, הספק:

(1) ישתף פעולה באופן סביר עם המזמין ו/או מי מטעמו לחקירת האירוע כאמור;

(2) ינקוט באמצעים מתאימים לתיקון ליקויים.