תוספת לעיבוד נתונים

תוספת זו לעיבוד נתונים (להלן: ״התוספת״ או ״DPA״) מהווה חלק מתנאי השירות שבין Kaligon Ltd, חברה המאוגדת במדינת ישראל (ח״פ 515713865), רחוב יעקב 26, רחובות, 7626237, ישראל (להלן: ״Kaligon״, ״המעבד״), לבין הלקוח (להלן: ״הלקוח״, ״בעל השליטה״). היא חלה בכל מקרה שבו Kaligon מעבדת נתונים אישיים מטעם הלקוח בקשר עם השירותים, ומשקפת את סעיף 28 לתקנה הכללית להגנת נתונים של האיחוד האירופי ושל בריטניה (להלן: ״GDPR״) ואת חוק הגנת הפרטיות, התשמ״א-1981 ותקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017.

1. תפקידים והיקף

ביחס לתוכן הלקוח המכיל נתונים אישיים, הלקוח הוא בעל השליטה (או מעבד הפועל עבור בעל שליטה צד שלישי) ו-Kaligon היא המעבד (או מעבד המשנה). כל צד יציית לדיני הגנת הנתונים החלים עליו. הטיפול הנפרד של Kaligon בנתונים אישיים הנוגעים לחשבון, לחיוב ולאתר — שבו היא פועלת כבעלת שליטה — מתואר במדיניות הפרטיות, ולא בתוספת זו.

2. עיבוד לפי הוראות מתועדות

Kaligon תעבד נתונים אישיים אך ורק לפי הוראותיו המתועדות של הלקוח — לרבות התנאים, תוספת זו, וכן הגדרת השירותים ושימוש הלקוח בהם — וכן כנדרש על פי דין, ובמקרה כזה Kaligon תיידע (במידה שהדבר מותר על פי דין) את הלקוח מראש. Kaligon תודיע ללקוח אם לדעתה הוראה מסוימת מפרה דין הגנת נתונים חל.

3. סודיות

Kaligon מבטיחה כי עובדים המורשים לעבד נתונים אישיים כפופים להתחייבויות סודיות מתאימות ומקבלים הדרכה בנוגע לחובותיהם.

4. אבטחה

Kaligon מיישמת ומקיימת אמצעים טכניים וארגוניים מתאימים שנועדו להבטיח רמת אבטחה ההולמת את הסיכון, בהתחשב בסעיף 32 ל-GDPR ובתקנות אבטחת המידע, התשע״ז-2017. אמצעים אלה מתומצתים בנספח 2 וניתן לעדכנם, ובלבד שרמת ההגנה לא תפחת באופן מהותי.

5. מעבדי משנה

הלקוח מעניק ל-Kaligon הרשאה כללית להעסיק מעבדי משנה לצורך אספקת השירותים. רשימה עדכנית של מעבדי המשנה זמינה לפי דרישה בכתובת hello@kaligon.cloud (ומתומצתת בנספח 3). Kaligon תטיל על כל מעבד משנה התחייבויות להגנת נתונים שאינן פחותות בהגנתן מאלה שבתוספת זו, ותישאר אחראית לביצועי מעבדי המשנה שלה. Kaligon תיתן ללקוח הודעה מוקדמת סבירה על כל כוונה להוסיף או להחליף מעבד משנה, ובמהלך תקופה זו רשאי הלקוח להתנגד מטעמים סבירים הנוגעים להגנת נתונים.

6. בקשות של נושאי המידע

בהתחשב באופי העיבוד, Kaligon תסייע ללקוח באמצעים טכניים וארגוניים מתאימים, ככל הניתן, להיענות לבקשות מצד נושאי מידע המממשים את זכויותיהם. אם Kaligon תקבל בקשה כזו במישרין, היא תפנה את נושא המידע אל הלקוח, במידה שהדבר מותר על פי דין.

7. סיוע

Kaligon תעניק ללקוח סיוע סביר בכל הנוגע לאבטחה, להודעה על אירוע אבטחה, להערכות השפעה על הגנת נתונים ולהיוועצות מוקדמת עם רשויות הפיקוח, בהתחשב באופי העיבוד ובמידע הזמין ל-Kaligon.

8. אירועי אבטחה בנתונים אישיים

Kaligon תודיע ללקוח ללא דיחוי בלתי סביר לאחר שנודע לה על אירוע אבטחה בנתונים אישיים הנוגע לנתונים אישיים של הלקוח, ותספק את המידע הזמין לה באופן סביר כדי לסייע ללקוח לעמוד בחובות ההודעה שלו כלפי הרשויות ונושאי המידע.

9. העברות בינלאומיות

מקום שבו העיבוד כרוך בהעברת נתונים אישיים מחוץ ל-EEA, לבריטניה או לשווייץ אל מדינה שלגביה לא ניתנה החלטת התאמה, יסתמכו הצדדים על מנגנון העברה מתאים — לרבות סעיפי החוזה הסטנדרטיים (Standard Contractual Clauses) של הנציבות האירופית ותוספת ההעברה הבינלאומית של נתונים של בריטניה (UK International Data Transfer Addendum), המשולבים בתוספת זו בדרך של הפניה — בצירוף אמצעים משלימים לפי הצורך.

10. ביקורות ומידע

Kaligon תעמיד לרשות הלקוח מידע הנדרש באופן סביר כדי להוכיח עמידה בתוספת זו, ותאפשר ביקורות, לרבות בדיקות, שיבוצעו על ידי הלקוח או על ידי מבקר מטעמו, ותתרום להן, וזאת לאחר הודעה מוקדמת סבירה, בכפוף לסודיות ולמגבלות המגנות על אבטחת המידע והנתונים של לקוחות אחרים. ככל שזמינים, ניתן יהיה להמציא דוחות ותעודות של צד שלישי לצורך מענה לבקשות ביקורת.

11. מחיקה או החזרה

עם סיום השירותים, ולפי בחירת הלקוח, Kaligon תמחק או תחזיר את הנתונים האישיים של הלקוח ותמחק עותקים קיימים בתוך פרק זמן סביר (ובכל מקרה בתוך חלון המחיקה הנקוב בתנאים), אלא אם שמירת הנתונים נדרשת על פי דין חל.

12. אחריות

אחריותו של כל צד לפי תוספת זו כפופה להגבלות ולחריגי האחריות הקבועים בתנאי השירות.

13. סדר עדיפויות והדין החל

בכל מקרה של סתירה בין תוספת זו לבין התנאים בכל הנוגע לעיבוד נתונים אישיים, תגבר תוספת זו. למעט מקום שבו דין מחייב בתחום הגנת הנתונים (לרבות ה-GDPR או ה-SCC) קובע אחרת, תוספת זו כפופה לדין ולסמכות השיפוט הנקובים בתנאים.

Annex 1 — פרטי העיבוד

• נושא העיבוד ומשכו — אספקת השירותים למשך תקופת התנאים.
• אופי ומטרה — אירוח, אחסון, העברה ועיבוד של תוכן הלקוח כפי שהוגדר על ידי הלקוח.
• סוגי הנתונים האישיים — כל נתון אישי שהלקוח בוחר לכלול בתוכן הלקוח; Kaligon אינה דורשת ואינה שולטת בתוכנו.
• קטגוריות של נושאי המידע — כפי שנקבע על ידי הלקוח (לדוגמה, משתמשי הלקוח, לקוחותיו או עובדיו).

Annex 2 — אמצעי אבטחה

הצפנה במעבר ובמנוחה; בקרות גישה ועקרון ההרשאה המזערית; פילוח רשת ובידוד מבוסס פרויקט; רישום (logging), ניטור ויומן ביקורת של 90 יום; פיתוח מאובטח וניהול שינויים; ותגובה לאירועים. פרטים מלאים זמינים לפי דרישה.

Annex 3 — מעבדי משנה

Stripe (עיבוד תשלומים); שותפי תשתית ומרכזי נתונים באזורים שבהם Kaligon פועלת (Texas ו-New York, ארצות הברית; London, בריטניה; Amsterdam, הולנד); וכן ספק שירות לשליחת דואר אלקטרוני עסקי. רשימה עדכנית ומפורטת זמינה בכתובת hello@kaligon.cloud.

יצירת קשר

לשאלות בנוגע לתוספת זו, או לקבלת רשימת מעבדי המשנה, ה-SCC או תיעוד אבטחה: hello@kaligon.cloud.