1. הצדדים
הסכם זה הוא חלק בלתי נפרד מתנאי השימוש, ונכרת בין:
- בעל המאגר (Data Controller): אתם — העוסק / העצמאי/ת / החברה שפתחה חשבון שותף (DJ, צלם/ת, מאפר/ת, מאמן/ת, מתכנן/ת, שף פרטי, מורה, מטפל/ת, אומן/ית, סוחר/ת וכו')
- מעבד המאגר (Data Processor): רן משה (ע.מ 021661715), מ-ורדיה 55, חיפה, להלן "shotaf.co.il" / "המעבד"
2. הגדרות
- "מידע אישי" — כל מידע על אדם בר-זיהוי בהתאם לחוק הגנת הפרטיות התשמ"א-1981 (כולל תיקון 13) ולתקנת GDPR.
- "נושא המידע" — אדם שהמידע נוגע לו (לדוגמה: זוג מתחתן, לקוחה בסשן צילום, מתאמן, מטופלת, תלמיד, רוכש — מי שמילא טופס בדף הציבורי שלכם או שאתם הזנתם ידנית למערכת).
- "עיבוד" — כל פעולה הנעשית במידע: איסוף, שמירה, צפייה, שינוי, גילוי, מחיקה.
- "מעבד משנה" — צד שלישי שאנחנו משתמשים בו כדי לתפעל חלק מהשירות (לדוגמה: Cloudflare).
3. היקף העיבוד
3.1 סוגי מידע שאנחנו מעבדים בעבורכם
- מידע על לקוחות-הקצה שלכם: שם, טלפון, אימייל, תאריך זימון/אירוע/סשן/תור, סוג שירות, הערות
- טפסים שמולאו בדף הציבורי שלכם
- סטטוס חוזה (לא תוכן), סטטוס חשבונית (לא סכום) — בין הלקוח-קצה לבינכם
- תמונות וסרטונים מהשירות שלכם שהעליתם (גלריה, before/after, behind-the-scenes)
- המלצות שייבאתם (מ-Google, Mit4Mit, Booksy, פייסבוק וכו') או הוזנו ידנית
3.2 סוגי נושאי מידע
- הלקוחות-קצה שלכם — בהתאם לתחום שלכם: זוגות מתחתנים / חוגגי בר/בת מצווה / חברות / לקוחות בסשן צילום / מתאמני כושר / מטופלים / תלמידים פרטיים / רוכשי מוצרים / וכו'
- מבקרים אנונימיים בדף הציבורי שלכם
3.3 מטרת העיבוד
אך ורק לתפעל את השירות שאתם משלמים עליו: לשמור את הנתונים, להציגם בדשבורד שלכם, לטפל בטפסים שמגיעים, לשלוח תזכורות שאתם מבקשים. שום שימוש מעבר לזה.
4. חובות המעבד
אנחנו מתחייבים:
- לעבד את המידע אך ורק לפי הוראותיכם או לפי חובה חוקית
- לא להשתמש במידע לשיווק שלנו, מכירה לצדדים שלישיים, אימון מודלי AI, או כל מטרה שאינה הפעלת השירות עבורכם
- לא לחשוף את המידע לצדדים שלישיים מעבר למעבדי המשנה (סעיף 5)
- לוודא סודיות של מי שיש לו גישה למידע
- לסייע לכם במילוי חובותיכם תחת תיקון 13 ו-GDPR
- למחוק או להחזיר את כל המידע בסוף ההתקשרות (סעיף 10)
5. מעבדי משנה
אנחנו משתמשים במעבדי משנה הבאים, שכולם חתומים על הסכם DPA תקין מולנו:
| מעבד | שירות | מיקום | הגנה |
|---|---|---|---|
| Cloudflare | אחסון, שרתים, CDN | איחוד אירופי | EU adequacy + DPA |
| Clerk | אימות (login) | ארה"ב | EU-US DPF + DPA |
| Morning (Greeninvoice) | סליקה + חשבוניות | ישראל | חוק ישראלי |
| Resend | שליחת מיילים | ארה"ב | EU-US DPF + DPA |
| Anthropic (Claude API) | בוט "השותף שלך" — סיוע בתפעול | ארה"ב | EU-US DPF + zero-retention API + ללא אימון מודלים |
הוספת מעבד משנה חדש: נודיע לכם 30 יום מראש בדואר אלקטרוני. אם אתם מתנגדים להוספת מעבד מסוים — תוכלו לבטל את ההתקשרות ללא קנס.
6. אבטחה טכנית וארגונית
אנחנו מיישמים את הצעדים הבאים, התואמים תקנות הגנת הפרטיות (אבטחת מידע) התשע"ז-2017 ברמת אבטחה בינונית:
- הצפנת תעבורה (TLS 1.3) על כל החיבורים
- הצפנה במנוחה (encryption at rest) לכל המידע במאגר
- בידוד בין לקוחות — שאילתות חייבות מזהה לקוח
- audit log — רישום כל גישה למידע רגיש
- אימות חזק + 2FA אופציונלי דרך Clerk
- גיבויים יומיים מוצפנים
- בדיקות אבטחה תקופתיות + עדכוני תוכנה
- הגבלת גישה לפי עיקרון "צריך לדעת"
7. הפרת אבטחה (Data Breach)
- נודיע לכם ללא דיחוי, ובכל מקרה תוך 72 שעות מהתגלית; באירועים חמורים — מהר ככל הניתן
- נספק את כל המידע הדרוש לכם לצורך דיווח לרשות הגנת הפרטיות (אם נדרש לפי תיקון 13)
- נשתף פעולה עם החקירה
- נתעד את האירוע ואת הצעדים שננקטו
- נסייע בהערכת השפעה על פרטיות (DPIA) כשנדרש (GDPR Art 28(3)(f))
הערה: חובת הדיווח לרשות הגנת הפרטיות מוטלת עליכם כבעלי המאגר, אך אנחנו ניתן את כל הסיוע הנדרש.
8. בקשות מאת נושאי המידע
אם נושא מידע (לקוח שלכם, מבקר בדף שלכם) פונה אלינו ישירות עם בקשה — נעביר אותה אליכם ולא נטפל בעצמנו, מכיוון שאתם בעל המאגר.
אם תפנו אלינו עם בקשה כזו, אנחנו נסייע לכם:
- לייצא את כל המידע על נושא מסוים (תוך 14 יום)
- למחוק נתונים ספציפיים (תוך 14 יום)
- לעדכן נתונים שגויים (מיידי דרך הדשבורד)
9. העברות בינלאומיות
ישראל מוכרת על ידי האיחוד האירופי כמדינה עם רמת הגנה נאותה (adequacy decision). העברות לארה"ב מוגנות ב-EU-US Data Privacy Framework (DPF) או SCC לפי הצורך.
10. סיום ומחיקת נתונים
בסוף ההתקשרות (ביטול חשבון או סיום השירות):
- תקופת חסד 30 יום — הנתונים נשמרים, אפשר לחזור
- במהלך 30 יום — אפשר לייצא הכל בלחיצה אחת (JSON + Excel)
- אחרי 30 יום — מחיקה מלאה, לרבות מ-backup-ים, תוך 90 יום נוספים
11. זכות בדיקה (Audit Rights)
אתם רשאים פעם בשנה (ובהתראה של 30 יום) לבקש:
- תיעוד טכני של מערכות האבטחה שלנו
- לוגי גישה לחשבון שלכם
- פירוט מעבדי משנה ומיקומיהם
בדיקה מקיפה יותר תידרש מיד אחרי הפרת אבטחה משמעותית, ללא תשלום.
12. אחריות
אחריות המעבד תחת הסכם זה כפופה לסעיף הגבלת אחריות בתנאי השימוש.
המעבד אחראי בלעדית לנזק הנובע מהפרת חובותיו תחת הסכם זה. בעל המאגר אחראי על עצמו ועל בחירותיו (לדוגמה: איזה מידע לאסוף מלקוחות, האם לדרוש הסכמה מראש לעיבוד).
הסכם זה תקף מרגע שאתם פותחים חשבון ב-שותף. שאלות? support@shotaf.co.il