נספח אבטחת מידע והגנת פרטיות (מיקור חוץ)

  • Home
  • נספח אבטחת מידע והגנת פרטיות (מיקור חוץ)

בין :

• ג׳י קליק פתרונות גיבוי בע״מ, ח.פ. 514660661 (להלן: “ספק השירותי ם”)
• הלקוח (להלן "החברה")

והואיל ובהתאם להסכם השירותים בין הצדדים, ספק השירותים מספק לחברה שירותים שבמסגרתם, ולצורך אספקתם, ספק השירותים עשוי לעבד מידע אישי ומידע פיננסי )כהגדרתם להלן( מטעם החברה;
והואיל והצדדים מעוניינים להסדיר בהסכם זה את חובות והתחייבויותיהם בכל הנוגע לעיבוד המידע, לרבות השימוש במידע, העברתו, וכן אבטחת המידע, לכל אורך תקופת ההתקשרות ולאחר סיומה;
לפיכך הוצהר, הותנה והוסכם בין הצדדים כדלקמן:

1. הגדרות

המונחים “אירוע אבטחה”, “אירוע אבטחה חמור”, “אבטחת מידע”, “בעל שליטה במאגר מידע”, “מחזיק”, “מידע אישי”, “מידע בעל רגישות מיוחדת”, “עיבוד”, “שימוש”, “שירותי דיוור ישיר”, ושלמו ת המידע” – כהגדרתם בחוק הגנת הפרטיות.
במסמך זה המונח “מידע אישי” כולל גם “מידע בעל רגישות מיוחדת”, לרבות מידע פיננסי.
“חוקי הגנת הפרטיות” – כל החוקים, התקנות וההנחיות החלים בישראל, לרבות:
• חוק הגנת הפרטיות, התשמ”א- 1981 (לרבות תיקון 13 , מיום 14.8.2024)
• תקנות הגנת הפרטיות (אבטחת מידע), תשע”ז- 2017 .
• תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע מחוץ לגבולות המדינה), תשס”א- 2001 .
• כל שינוי ו/או תיקון עתידי.

2. הצהרות והתחייבויות לגבי עיבוד מידע אישי

• החברה היא בעלת השליטה במאגר המידע; ספק השירותים הינו המחזיק.
• ספק השירותים מתחייב לעבד את המידע האישי בהתאם לחוקי הגנת הפרטיות ולהסכם זה בלבד.
• גישה תינתן רק לעובדים שהוסמכו ושחתמו על התחייבות סודיות.
• מידע לא יועבר לצדדים שלישיים אלא בהסכמת החברה או לפי חוק.

3. ספקי מיקור חוץ

ספק השירותים רשאי להיעזר בספקי משנה רק בהסכם בכתב המחייב אותם לעמוד בדרישות זהות להסכם זה,
בהתאם לתקנה 15 לתקנות אבטחת מידע.

4. התחייבויות אבטחת מידע

• יישום אמצעי אבטחה טכנולוגיים וארגוניים מתקדמים.
• הדרכות תקופתיות לעובדים.
• מינוי ממונה אבטחת מידע, ככל שנדרש.
• הפרדה לוגית בין מאגרי מידע של לקוחות שונים.
• שימוש בתקשורת מוצפנת בפרוטוקולים עדכניים.
• ניהול לוגים ותיעוד גישה.

5. אירוע אבטחה

• דיווח מיידי לחברה על אירוע אבטחה חמור .
• מסירת מידע מלא אודות האירוע, הנסיבות והמידע שנפגע.
• שיתוף פעולה מלא עם החברה בטיפול ובמניעה.

6. זכויות נושאי מידע ובקשות רשויות ספק השירותים יעדכן את החברה על כל פנייה של נושא מידע או רשות מוסמכת, ויסייע לה בעמידה בחובות הדין.

7. דיווח ובקרה

ספק השירותים ידווח לחברה אחת לשנה (או לפי בקשה סבירה) על עמידתו בהתחייבויותיו, ויספק מידע נוסף ככל שנדרש.

8. ביעור מידע

עם סיום ההתקשרות או לפי דרישת החברה, ספק השירותים יחזיר או ימחק את כל המידע האישי. ניתן לשמור עותק רק לצורך התגוננות משפטית או לפי דרישות דין.

9. העברת מידע אישי מחוץ לישראל

העברת מידע מחוץ לישראל תתבצע אך ורק בהתאם לתקנות העברת מידע, ורק למדינות המספקות רמת הגנה נאותה ובעלי תקן SOC2.

10. כללי

הוראות נספח זה גוברות על הוראות ההסכם הכללי בכל הנוגע לעיבוד מידע אישי ואבטחת מידע.

11. עמידה בתיקון 13 לחוק הגנת הפרטיות ותקנה 15

• ספק השירותים מתחייב לעמוד בכל ההוראות שנקבעו בתיקון 13, לרבות חובת דיווח על אירועי אבטחה חמורים, מינוי ממונה אבטחת מידע, ניהול לוגים והקשחת מערכות.
• בהתאם לתקנה 15 , כל ספק משנה מחויב באותן דרישות. ספק השירותים נושא באחריות מלאה לפעולות ספקי המשנה.
• במקרה של סתירה – הוראות הדין גוברות, והספק יעדכן את החברה בכל שינוי רגולטורי.

נספח “א” – מידע מורשה, עיבוד ושימוש מורשים, מערכות החברה, מורשי גישה, ספקי משנה ואנשי קשר

1. מידע מורשה ורמת אבטחה

1.1 רמת האבטחה של מאגר המידע הינה בהתאם לכמות נושאי המידע במאגר, וכפי שנקבע לפי שיקול דעתה הבלעדי של החברה ובהתאם להוראות הדין.

1.2 המידע שספק השירותים מורשה לעבד במסגרת מתן השירותים כולל מידע הנוגע לעובדי החברה, לספקי החברה, ללקוחות החברה ו/או לכל גורם אחר שהחברה מעבירה את נתוניו לספק השירותים לצורך אספקת השירותים. מידע זה יכול לכלול, בין היתר, פרטי קשר )שם מלא, מספר תעודת זהות, מספרי טלפון, כתובת דוא”ל, תאריך לידה, (מידע תעסוקתי) כגון נתוני שכר, שעות עבודה/נוכחות (וכן מידע פיננסי) כגון פרטי חשבון בנק, נתונים פיננסיים רלוונטיים וכד’), הכל בהתאם ובכפוף לשירותים שאותם מספק ספק השירותים ולמידע שהחברה בחרה או תבחר להעביר לספק השירותים לצורך אותם שירותים.

2. עיבוד ושימוש מורשים

2.1 השימוש במידע המורשה ייעשה אך ורק לצורך מתן השירותים כפי שהוסכם על ידי הצדדים ובהתאם להסכם השירותים. ספק השירותים לא יעשה במידע כל שימוש אחר מלבד למטרה זו.

2.2 שירותי דיוור ישיר – ספק השירותים לא יעשה שימוש במידע האישי לצורך דיוור ישיר ופעולות שיווק ישיר (כמשמען בחוק הגנת הפרטיות), אלא אם כן קיבל לכך הרשאה מפורשת בכתב מהחברה ומילא אחר כל דרישות הדין בנדון.

2.3 ספק השירותים רשאי לבצע במידע המורשה את פעולות העיבוד הנדרשות לצורך אספקת השירותים, ובהן:
איסוף, שמירה/אחסון, ארגון, ניתוח, שינוי, עדכון/תיקון, גיבוי ושחזור, העברה, עיון, מחיקה, גילוי לצד שלישי (למשל, העברה לספקי משנה מאושרים), וכל פעולת עיבוד נוספת שהינה הכרחית למתן השירותים על פי ההסכם בין הצדדים ובהתאם להוראות הדין.

3. מערכות החברה ומורשי גישה

3.1 ככל שהחברה תידרש להעניק לספק השירותים גישה למערכותיה במסגרת מתן השירותים, היא תעשה זאת לפי שיקול דעתה ועל-פי הצורך, ובהתאם לממשקים/האינטגרציות הקיימות בין מערכות החברה למערכות ספק השירותים (ככל שקיימות). ספק השירותים יפעל בהתאם להנחיות החברה לגבי הגישה למערכותיה.

3.2 הרשאות הגישה של ספק השירותים למערכות החברה יוגבלו על בסיס עקרון “ Need-to-Know ” – רק למידע ולמערכות הנדרשים לצורך מתן השירותים – ובהתאם להוראות הסכם עיבוד מידע זה. החברה רשאית לבטל או לשנות את הרשאות הגישה בכל עת, על פי שיקול דעתה.

4. ספקי משנה ספק השירותים עושה שימוש בספקי המשנה הבאים לצורך אספקת השירותים (באישור החברה):
1. טריו טכנולוגיות ענן – תקן ISO-27001
2. פרטנר קלאוד – תקן ISO-27001

על ספקי משנה אלו חלות כל ההתחייבויות הקבועות בהסכם עיבוד מידע זה, בהתאם לסעיף 3.1 לעיל.

5. איש קשר מטעם ספק השירותים
לצורך פניות בנושאי אבטחת מידע והגנת פרטיות מטעם החברה, פרטי איש הקשר המוסמך מטעם ספק

השירותים הינם:
ברוך בן ארוי ה
Info@gclick.co.il
הספק מתחייב להודיע לחברה על כל שינוי בפרטי איש הקשר.

Footer

מפת אתר

שירותים

הפתרונות שלנו