הסכם עיבוד נתונים (DPA)
עודכן לאחרונה: מאי 2026 · גרסת טיוטה
1. רקע
הסכם זה ("DPA") נחתם בין הלקוח ("בקר הנתונים") לבין MyLobby בע״מ ("מעבד הנתונים"), במסגרת השימוש בשירות MyLobby Screen, ומשלים את תנאי השירות הכלליים.
2. הגדרות
המונחים "נתונים אישיים", "עיבוד", "בקר", "מעבד", "נושא נתונים", "הפרת אבטחה" - כהגדרתם ב-GDPR ובחוק הגנת הפרטיות הישראלי, התשמ״א-1981.
3. נושא העיבוד וטבעו
- סוג הנתונים: שם, דוא״ל, טלפון, תוכן שהועלה למסך, יומני שימוש.
- קטגוריות נושאי נתונים: נציגי לקוח, משתמשים מורשים, אנשי קשר בארגון.
- משך העיבוד: כל עוד הסכם השירות בתוקף, ועוד 90 יום לאחר סיומו.
- מטרת העיבוד: מתן השירות בלבד.
4. חובות המעבד
- לעבד נתונים אך ורק לפי הוראות הבקר ולמטרות השירות.
- לוודא שכל מי שניגש לנתונים מחויב לסודיות.
- ליישם אמצעי אבטחה טכניים וארגוניים נאותים (TLS, הצפנה במנוחה, הרשאות, ביקורת).
- לעזור לבקר במילוי בקשות נושאי נתונים.
- להודיע על הפרת אבטחה תוך 72 שעות מרגע גילוי.
- למחוק או להחזיר את הנתונים בסיום ההסכם, לפי בחירת הבקר.
5. מעבדי משנה (Sub-processors)
המעבד עושה שימוש במעבדי משנה הבאים, שכל אחד פועל לפי חוזה עיבוד נתונים מקביל:
| ספק | שירות | מיקום |
|---|---|---|
| Stripe | תשלומים | EU/US |
| Cardcom | תשלומים בישראל | ישראל |
| Resend | דוא״ל טרנזקציוני | EU |
| Cloudflare | CDN/DNS | Global |
שינוי במעבדי המשנה יידע ללקוחות 30 יום מראש. הלקוח רשאי להתנגד.
6. העברות בינלאומיות
העברות נתונים אל מחוץ לשטח האיחוד האירופי או לישראל מתבצעות לפי Standard Contractual Clauses (SCC) של ה-EU Commission, או לפי החלטות התאמה רלוונטיות.
7. ביקורת
הבקר רשאי לבצע ביקורת אבטחה אחת לשנה, בהודעה מוקדמת של 30 יום, על חשבונו. לחילופין יקבל דו״ח SOC 2 Type II כאשר זה יהיה זמין.
8. אחריות
אחריות הצדדים מוגבלת כפי שנקבע בהסכם השירות הראשי.
9. דין וסמכות
דין מדינת ישראל. סמכות שיפוט בלעדית בתל אביב-יפו.
הערה: מסמך זה הוא טיוטה. נדרש אישור משפטי לפני חתימה כהסכם מחייב.