VyBeing | Joyful Employee Experiences

הסכם עיבוד נתונים זה ("DPA") מהווה חלק מתנאי השירות בין VyBeing Technologies Ltd. ("VyBeing", "מעבד") לבינך ("לקוח", "בקר") ומסדיר את עיבוד הנתונים האישיים בהתאם לחוקי הפרטיות הישראליים ול-GDPR כאשר רלוונטי.

1. הגדרות

נתונים אישיים: כל מידע המתייחס לאדם טבעי מזוהה או ניתן לזיהוי
עיבוד: כל פעולה המבוצעת על נתונים אישיים, כולל איסוף, אחסון, שימוש ומחיקה
בקר: הישות שקובעת את המטרות והאמצעים של העיבוד (הלקוח)
מעבד: הישות שמעבדת נתונים בשם הבקר (VyBeing)
תת-מעבד: מעבדים של צד שלישי שמועסקים על ידי VyBeing

2. היקף ותפקידים

בקר נתונים

הלקוח משמש כבקר נתונים עבור נתוני עובדים ומשתמשי קצה המעובדים דרך השירות. הלקוח קובע את המטרות והאמצעים של העיבוד.

מעבד נתונים

VyBeing משמשת כמעבד נתונים, מעבדת נתונים אישיים בשם הלקוח בהתאם להוראות המתועדות של הלקוח ול-DPA זה.

3. עקרונות עיבוד נתונים

VyBeing תעבד נתונים אישיים בהתאם ל:

חוק הגנת הפרטיות הישראלי, תשמ״א-1981 ותיקון מס' 13
התקנה הכללית להגנת מידע (GDPR) של האיחוד האירופי כאשר רלוונטית
הוראות מתועדות של הלקוח
DPA זה ותנאי השירות

הוראות עיבוד

VyBeing תעבד נתונים רק כפי שהורה הלקוח
העיבוד מוגבל למה שנדרש למתן השירות
VyBeing לא תעבד נתונים למטרות עצמה ללא הסכמה
VyBeing תודיע מיד ללקוח אם הוראות מפרות חוק חל

4. זכויות נושא הנתונים

VyBeing תסייע ללקוח במילוי בקשות לזכויות נושאי נתונים:

גישה: מתן גישה לנושא הנתונים לנתונים האישיים שלו
תיקון: תיקון נתונים לא מדויקים או לא שלמים
מחיקה: מחיקת נתונים אישיים ("הזכות להישכח")
הגבלה: הגבלת עיבוד בנסיבות מסוימות
ניידות: מתן נתונים בפורמט הניתן לקריאה במכונה
התנגדות: התנגדות לעיבוד למטרות ספציפיות

5. אמצעי אבטחה

VyBeing מיישמת אמצעים טכניים וארגוניים מתאימים:

אמצעים טכניים

הצפנה במעבר (TLS 1.3) ובמנוחה (AES-256)
אימות רב-גורמי
בדיקות אבטחה סדירות והערכות פגיעות
מערכות זיהוי ומניעת חדירה
נהלי פיתוח תוכנה מאובטחים

אמצעים ארגוניים

בקרות גישה מבוססות תפקיד
הסכמי סודיות עובדים
הדרכת אבטחה סדירה
נהלי תגובה לאירועים
תכניות המשכיות עסקית ושחזור מאסון

6. תת-מעבדים

תת-מעבדים מורשים

הלקוח מאשר ל-VyBeing להעסיק את תת-המעבדים הבאים:

Amazon Web Services (AWS): אחסון בענן ותשתית
Google Cloud Platform: שירותי ענן וניתוח
Stripe: עיבוד תשלומים
SendGrid: שירותי משלוח דואר אלקטרוני
Intercom: פלטפורמת תמיכת לקוחות

התחייבויות תת-מעבד

VyBeing מבטיחה שתת-מעבדים מחויבים להתחייבויות הגנת מידע שוות ערך ל-DPA זה
VyBeing נותרת אחראית לציות תת-מעבדים
הלקוח יקבל הודעה על תת-מעבדים חדשים בהודעה של 30 יום
הלקוח רשאי להתנגד לתת-מעבדים חדשים במהלך תקופת ההודעה

7. הודעת הפרת נתונים

במקרה של הפרת נתונים אישיים:

VyBeing תודיע ללקוח ללא עיכוב מיותר (תוך 72 שעות מהגילוי)
ההודעה תכלול טבע ההפרה, קטגוריות נתונים מושפעות ואמצעי הפחתה
VyBeing תשתף עם הלקוח לחקור ולתקן את ההפרה
VyBeing תתעד את כל ההפרות ומאמצי התיקון

8. העברות נתונים

העברות חוצות גבולות

נתונים אישיים עשויים להיות מועברים למדינות מחוץ לישראל ול-EEA. VyBeing מבטיחה שמתקיימות הגנות מתאימות:

סעיפי חוזה סטנדרטיים (SCCs) מאושרים על ידי רשויות רלוונטיות
החלטות התאמה המכירות בהגנת מידע שוות ערך
כללים תאגידיים מחייבים כאשר רלוונטי

9. ביקורות וציות

הלקוח רשאי לבקר את הציות של VyBeing ל-DPA זה בהודעה סבירה
VyBeing תספק מידע ושיתוף פעולה נחוצים
ביקורות יבוצעו לא יותר מפעם בשנה אלא אם נדרש על פי חוק או הפרה
הלקוח יישא בעלויות הביקורת אלא אם נמצא אי-ציות משמעותי

10. שמירה ומחיקת נתונים

שמירה

VyBeing שומרת נתונים אישיים רק כל עוד נחוץ למתן שירות
תקופות שמירה מצוינות במדיניות הפרטיות שלנו
הלקוח רשאי לבקש מחיקה מוקדמת יותר בכפוף להתחייבויות משפטיות

מחיקה

עם סיום או בקשת לקוח, VyBeing:

תמחק או תחזיר את כל הנתונים האישיים תוך 30 יום
תאשר מחיקה לפי בקשת הלקוח
תשמור נתונים רק כפי שנדרש על פי חוק עם הצדקה מתועדת

11. אחריות ושיפוי

כל צד אחראי לציות שלו לחוקי הגנת מידע
VyBeing אחראית לנזקים שנגרמו על ידי עיבוד שמפר DPA זה
האחריות מוגבלת כפי שמצוין בתנאי השירות
VyBeing תשפה את הלקוח עבור תביעות צד שלישי הנובעות מהפרת VyBeing

12. תקופה וסיום

DPA זה נשאר בתוקף למשך תקופת תנאי השירות
הוראות הנוגעות למחיקת נתונים וסודיות שורדות את הסיום
כל צד רשאי לסיים אם השני מפר באופן מהותי DPA זה

13. תיקונים

DPA זה עשוי להיות מתוקן כדי לשקף שינויים בחוק או בנהלים עסקיים. שינויים מהותיים דורשים הסכמת לקוח או הודעה של 30 יום עם זכות לסיום.

הסכם עיבוד נתונים