1. נספח זה, מסדיר את תנאי עיבוד המידע האישי באשר לשימוש בשירותי החברה, ובכפוף לתנאי ההסכם.

2. כל מונח במסמך זה יפורש בהתאם להגדרתו בחוק הגנת הפרטיות, התשמ"א–1981 (להלן: "החוק"), תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז–2017 (להלן: "התקנות"), וכן בהתאמה לעקרונות ה-GDPR ככל שאלו חלים:

2.1 מידע אישי: כל מידע הנוגע לאדם מזוהה או ניתן לזיהוי, לרבות באמצעות מזהים מקוונים, נתוני מיקום או מאפיינים פיזיים/ חברתיים.

2.2 בעל מאגר המידע ו"הבקר:" הלקוח, אשר מהווה הגורם הקובע את תכלית העיבוד, את אופן השימוש במידע ואת האמצעים להשגת מטרות אלו.

2.3 מנהל המאגר: הלקוח או גורם אחראי שמונה מטעמו, האחראי על ניהולו השוטף של המאגר וייזום פעולות בו, כפי שמוגדר בתיקון 13 לחוק.

2.4 מחזיק המידע והמעבד:: החברה או מי מטעמה, אשר אחראית על עיבוד המידע האישי עבור בעל מאגר המידע ובהתאם להוראותיו בלבד, לצורך אספקת השירותים, והכל כפי שנקבע בהסכם.

2.5 נושא המידע: האדם שעל אודותיו קיים מידע במאגר המידע

2.6 רמת אבטחה בסיסית: רמת ההגנה ונוהלי אבטחת המידע, בהתאם לסטנדרט המינימלי הקבוע בדין הישראלי, אלא אם הוגדר אחרת במפורש בין הצדדים.

3. נספח זה, חל על כלל פעולות עיבוד המידע האישי המבוצעות על ידי החברה עבור הלקוח ובשמו, כחלק בלתי נפרד מאספקת השירותים המוגדרים בהסכם.

4. הלקוח כ"בעל מאגר המידע" נושא באחריות הבלעדית והמלאה לביצוע הפעולות הבאות:

4.1 בחינת חובת הרישום: קביעה האם מאגר המידע שברשותו מחייב רישום אצל רשם מאגרי המידע וביצוע הרישום בפועל ככל שנדרש.

4.2 חובת השקיפות והיידוע: הצגת כל הגילויים, הצהרות פרטיות והודעות היידוע הנדרשות לנושאי המידע במועד איסוף הנתונים, תוך הבהרה כי המידע יועבר לחברה לצורך מתן השירותים.

4.3 קבלת הסכמות: הבטחה כי כל עיבוד של מידע אישי נעשה על בסיס הסכמה מפורשת ותקפה של נושאי המידע, או על בסיס חוקי אחר המוכר בדין.

4.4 קביעת תצורת אבטחה: על הלקוח להודיע מראש לחברה ככל שברצונו לשנות את תצורות האבטחה במוצר (כגון: הגבלות כתובות IP, הגדרת תקופת שמירת לוגים, אנונימיזציה של מזהים וכיו"ב), כאמור בסעיף 5 לנספח זה.

4.5 ציות כללי: וידוא כי כל שימוש בשירותי החברה נעשה בהתאם להוראות חוק הגנת הפרטיות, התקנות מכוחו והוראות ההסכם.

5. החברה כ"מחזיקת המידע" תעבד את המידע האישי אך ורק כ"זרוע ביצועית" עבור הלקוח, למטרות אספקת השירותים ובהתאם לבקשתו. במסגרת זו, החברה מתחייבת:

5.1 עיבוד מוגדר מטרה: ביצוע פעולות עיבוד במידע אך ורק ככל שנדרש לצורך אספקת השירותים הטכנולוגיים.

5.2 אבטחה וארגון: יישום ותחזוקה של אמצעי אבטחה טכניים וארגוניים נאותים, כפי שמפורט במדיניות הפרטיות של החברה.

5.3 סיוע בזכויות נושאי מידע: מתן סיוע סביר ללקוח במענה לבקשות של נושאי מידע למימוש זכויותיהם (כגון זכות עיון, תיקון או מחיקה), וזאת ככל שהדבר בר-ביצוע מבחינה טכנית.

5.4 הכשרה וסודיות: הבטחה כי עובדי החברה הנגישים למידע האישי עברו הדרכות רלוונטיות בנושא הגנת פרטיות ואבטחת מידע.

5.5 דיווח על אירועי אבטחה: הודעה ללקוח ללא שיהוי ובכל מקרה לא יאוחר מ-72 שעות מרגע שנודע לחברה על אירוע אבטחת מידע (כגון דלף מידע או גישה ללא הרשאה).

5.6 זכות הדיווח הרגולטורי: החברה שומרת לעצמה את הזכות לדווח לרשות להגנת הפרטיות או לכל גורם מוסמך אחר על אירוע אבטחה, חשד לעיבוד בלתי חוקי, או במקרה של קביעה בתום לב כי הדיווח נחוץ לצורך עמידה בחובות משפטיות או לצמצום סיכונים.

6. הלקוח נותר בכל עת בעל המאגר היחיד והבלעדי לקביעת מדיניות שמירת הנתונים ולעמידה בחובות הפרטיות מול משתמשי הקצה. הלקוח מאשר כי החברה פועלת כ"מחזיקה" לצורך עיבוד נתונים חולף כחלק מאספקת השירותים.

7. החברה עשויה לאפשר העברת קבצים (כגון מסמכים, תמונות או שמע) כחלק מהממשק עם צדדים שלישיים. קבצים אלו מעובדים באופן זמני והחברה אינה מספקת שירותי אחסון או ארכיון לטווח ארוך עבור קבצים אלו.

8. הלקוח נושא באחריות המלאה לבחון, להוריד ולשמור קבצים אלו במערכותיו (כגון: CRM, ארכיון מקומי או ענן פרטי), במידה שהם נדרשים לצרכיו העסקיים או המשפטיים. אי-שמירת המידע מחוץ למערכת החברה עלולה להוביל לאובדנו.

9. החברה מיישמת ומתחזקת אמצעי אבטחה טכנולוגיים וארגוניים התואמים את הסטנדרטים המקובלים בשוק עבור שירותי ענן ואוטומציה. כברירת מחדל, השירותים מסופקים תחת "רמת אבטחה בסיסית", הכוללת את המרכיבים הבאים:

9.1 הצפנת נתונים בתנועה: שימוש בפרוטוקולי SSL/TLS מתקדמים להגנה על תעבורת המידע בין המערכות השונות.

9.2 בקרת גישה וניהול זהויות: גישה למערכות הניהול מוגבלת לאנשי חברה מורשים בלבד, על בסיס הרשאות מוגדרות ותהליכי אימות מאובטחים.

9.3 מזעור נתונים: יישום פרקטיקות במטרה להבטיח כי רק המידע ההכרחי לביצוע האוטומציה יעובד על ידי המערכת.

9.4 ניטור ובקרה: ניהול לוגים (רישומי פעולות) לצורך זיהוי ומניעת ניסיונות גישה בלתי מורשים.

9.5 אבטחה פיזית ולוגית: אירוח המערכות והנתונים מתבצע על גבי תשתיות ענן של ספקים מובילים העומדים בתקני אבטחה בינלאומיים (כגון Hetzner, META, AWS או ספקים דומים בדרגת אבטחה מקבילה).

10. הצדדים מסכימים כי אלא אם נקבע אחרת במפורש ובכתב, השירותים יסופקו תחת "רמת אבטחה בסיסית" כהגדרתה בתקנות. במידה שאופי הפעילות של הלקוח מחייב שינוי ועמידה ברמת אבטחה "בינונית" או "גבוהה," נוכח קיומו של מידע רגיש, על הלקוח:

10.1 להודיע על כך בכתב לחברה, בהקדם האפשרי ומיד עם תחילת ההתקשרות בין הצדדים.

10.2 לקבל אישור רשמי ובכתב מהחברה על היכולת לספק רמת אבטחה בהתאם לנדרש.

10.3 לשאת בעלויות נוספות ודרישות תשתיתיות כפי שייקבעו בין הצדדים

11. הלקוח נושא באחריות מלאה לבחון את צרכיו המשפטיים ואת רגישות המידע המעובד עבורו. במידה שהלקוח זקוק להגדרות אבטחה ספציפיות שאינן מוגדרות כברירת מחדל )כגון: הגבלת גישה לכתובות IP מסוימות, קביעת משך שמירת היסטוריית לוגים או החלת תהליכי אנונימיזציה על פרטים מזהים( ,חלה עליו האחריות לפנות לחברה בכתב בבקשה ליישום הגדרות אלו.

12. יודגש כי יישום בקשות אלו כפוף לבחינת היתכנות טכנית על ידי החברה.

13. הלקוח מאשר כי ביצוע התאמות תצורה מיוחדות עשוי להיות כרוך בתשלום נוסף ובעיכוב בלוחות הזמנים של הקמת השירות.

14. הלקוח מצהיר ומאשר כי פלטפורמת האוטומציה אינה מיועדת, כברירת מחדל, לעיבוד של פרטי מידע ברגישות מיוחדת. עיבוד של מידע מסוג זה מחייב הודעה מראש של הלקוח, הסכם נפרד והתאמות תשתיתיות מיוחדות.

15. החברה לא תהיה אחראית לכל נזק הנובע מעיבוד מידע רגיש כאמור ללא תיאום ואישור בכתב מראש.

16. הלקוח מעניק בזאת לחברה אישור מראש להסתייע במעבדי משנה של צד שלישי להסכם )כגון ספקי תשתיות ענן, פלטפורמות API להודעות וכלי ניהול נתונים( לצורך אספקת השירותים.

17. נספח זה ייכנס לתוקפו במועד החתימה על ההסכם או במועד תחילת מתן השירותים )לפי המוקדם מבניהם,( ויישאר בתוקף כל עוד החברה מעבדת מידע אישי עבור הלקוח, או עד לסיום ההתקשרות בין הצדדים במסגרת ההסכם.

18. במידה שלא התקבלה הנחיה מפורשת מהלקוח בתוך 30 ימים ממועד סיום ההתקשרות על פי ההסכם, החברה תהא רשאית למחוק באופן אוטומטי את כל המידע האישי והגדרות המערכת הקשורות ללקוח. הלקוח מאשר כי לאחר מועד זה לא ניתן יהיה לשחזר את הנתונים.

19. על אף האמור לעיל, החברה תהא רשאית לשמור עותקים של המידע האישי ככל שהדבר נדרש לצורך:

19.1 עמידה בחובות משפטיות החלות עליה לפי הדין הישראלי )כגון חוקי מסחר או דרישות רגולטוריות.(

19.2 הגנה על זכויותיה המשפטיות של החברה במסגרת הליכים משפטיים קיימים או פוטנציאליים.

20. המידע שיישמר בנסיבות אלו ימשיך להיות מוגן תחת תנאי הסודיות והאבטחה של נספח זה עד למחיקתו הסופית.

21. לפי דרישת הלקוח בכתב, החברה תספק אישור רשמי כי פעולות המחיקה והשמדת המידע בוצעו בהתאם להוראות סעיף זה.

22. בשום מקרה לא תהא החברה, או מי מטעמה, אחראים כלפי הלקוח או כל צד שלישי בגין נזקים עקיפים, מקריים, מיוחדים, עונשיים או תוצאתיים. הגבלה זו כוללת, בין היתר: אובדן רווחים עתידיים, פגיעה במוניטין העסקי, הפרעה למהלך העסקים התקין, אובדן מידע עסקי או עלויות שחזור נתונים, וזאת גם אם הובא לידיעת החברה מראש דבר האפשרות לקיומם של נזקים כאמור.

23. האחריות הכוללת, המצטברת והסופית של החברה בגין כל נזק, תביעה או דרישה הנובעים מנספח זה או הקשורים בו )בין אם בעילה חוזית, נזיקית, רשלנות או כל עילה משפטית אחרת,( לא תעלה בשום מקרה על הסכום ששולם בפועל על ידי הלקוח לחברה עבור השירותים במהלך שלושת (3) החודשים הקלנדריים שקדמו למועד האירוע המקים את עילת התביעה.

24. הלקוח מאשר ומסכים כי החברה פועלת באמצעות ממשקים וטכנולוגיות של ספקים חיצוניים (כגון: Meta/WhatsApp, ספקי תשתיות ענן, ספקי API וכיו"ב.) בהתאם לכך:

24.1 החברה לא תישא באחריות לכל שיבוש, תקלה, חשיפת מידע או אובדן נתונים הנובעים ישירות ממעשה או מחדל של צד שלישי שאינו בשליטתה המלאה של החברה.

24.2 החברה לא תהיה אחראית לנזקים הנובעים משינויים במדיניות, בתנאי השימוש או ביכולות הטכנולוגיות של ספקים אלו.

25. לצורך הוכחת עמידתה של החברה בהתחייבויותיה לפי נספח זה, החברה תעמיד לרשות הלקוח, בעקבות בקשה מפורשת ובכתב, מידע ודוחות רלוונטיים. המצאת המידע תיעשה באופן שאינו חושף סודות מסחריים של החברה או מידע השייך לצדדים שלישיים.

26. במידה שהלקוח נדרש לבצע ביקורת מעמיקה יותר מכוח חובה חוקית או רגולטורית החלה עליו, יחולו התנאים הבאים:

26.1 הודעה על כוונה לביצוע ביקורת תימסר לחברה בכתב לפחות 30 ימים מראש.

26.2 הביקורת תבוצע על ידי הלקוח או על ידי מבקר חיצוני מוסכם, אשר יחתום על הסכם סודיות קשיח מול החברה טרם תחילת עבודתו.

26.3 הביקורת תתבצע בשעות העבודה המקובלות ובאופן שימזער ככל הניתן את ההפרעה למהלך העסקים השוטף של החברה.

26.4 הלקוח יישא בכל העלויות הקשורות לביקורת, לרבות תשלום לחברה בגין שעות העבודה של עובדיה, הנדרשים לליווי המבקרים, לפי תעריף שעות הייעוץ המקובל בחברה.

26.5 זכות הביקורת לפי סעיף זה תוגבל לפעם אחת בכל תקופה של 12 חודשים קלנדריים, אלא אם קיים חשד סביר ומבוסס לאירוע אבטחת מידע ודאי במערכות החברה המצדיק בדיקה דחופה.

27. בכל מקרה של סתירה, אי-התאמה או משמעות כפולה בין הוראות נספח זה לבין הוראות ההסכם, או כל מסמך אחר שנחתם בין הצדדים, יגברו הוראות נספח זה בכל הנוגע לעיבוד מידע אישי, אבטחת מידע והגנת הפרטיות.

28. על נספח זה, פרשנותו ואכיפתו, יחולו חוקי מדינת ישראל בלבד.

29. סמכות השיפוט הבלעדית והייחודית בכל סכסוך הנובע מנספח זה, או הקשור בו במישרין או בעקיפין, תהא נתונה לבתי המשפט המוסמכים במחוז תל אביב-יפו בלבד.

30. בהמשך לאמור בסעיף ח' לנספח שכותרתו "הגבלת אחריות," כל צד מתחייב לשפות את הצד השני בגין כל נזק, הפסד או הוצאה שנגרמו לו עקב הפרה יסודית של התחייבויות הצד המשפה לפי נספח זה, וזאת בכפוף לקיום פסק דין חלוט או הסדר פשרה מוסכם בכתב.

31. החברה שומרת לעצמה את הזכות לעדכן או לשנות את הוראות נספח זה מעת לעת, בהתאם לשיקול דעתה הבלעדי ולצרכיה הטכנולוגיים או הרגולטוריים. הנוסח המחייב והעדכני של הנספח יפורסם באתר האינטרנט של החברה ויהיה זמין לעיון הלקוח בכל עת. באחריותו הבלעדית של הלקוח להתעדכן בשינויים ובנוסח הנספח מעת לעת. המשך השימוש בשירותי החברה לאחר עדכון הנספח כאמור, יהווה הסכמה מצד הלקוח לתנאי הנספח המעודכנים.

32. במידה שייקבע על ידי רשות מוסמכת או בית משפט כי הוראה מהוראות נספח זה אינה חוקית או אינה ניתנת לאכיפה, לא יהיה בכך כדי לפגוע בתוקפן של יתר הוראות הנספח, אשר ימשיכו לעמוד בתוקפן המלא.