הסכם עיבוד נתונים (DPA)

גרסה 2 עודכן לאחרונה: 10 במאי 2026
למה ההסכם הזה קיים? כשאתם מעלים נתונים של לקוחות-הקצה שלכם למערכת — שמות, טלפונים, תאריכי זימון/אירוע/סשן/תור — אתם הופכים ל"בעל מאגר" (data controller) לפי החוק. אנחנו (shotaf.co.il) הופכים ל"מעבד מאגר" (data processor). ההסכם הזה מגדיר מה אנחנו רשאים ולא רשאים לעשות עם הנתונים האלה.
תוכן עניינים
  1. הצדדים
  2. הגדרות
  3. היקף העיבוד
  4. חובות המעבד
  5. מעבדי משנה
  6. אבטחה טכנית וארגונית
  7. הפרת אבטחה (data breach)
  8. בקשות מאת נושאי המידע
  9. העברות בינלאומיות
  10. סיום ומחיקת נתונים
  11. זכות בדיקה
  12. אחריות

1. הצדדים

הסכם זה הוא חלק בלתי נפרד מתנאי השימוש, ונכרת בין:

2. הגדרות

3. היקף העיבוד

3.1 סוגי מידע שאנחנו מעבדים בעבורכם

3.2 סוגי נושאי מידע

3.3 מטרת העיבוד

אך ורק לתפעל את השירות שאתם משלמים עליו: לשמור את הנתונים, להציגם בדשבורד שלכם, לטפל בטפסים שמגיעים, לשלוח תזכורות שאתם מבקשים. שום שימוש מעבר לזה.

4. חובות המעבד

אנחנו מתחייבים:

5. מעבדי משנה

אנחנו משתמשים במעבדי משנה הבאים, שכולם חתומים על הסכם DPA תקין מולנו:

מעבדשירותמיקוםהגנה
Cloudflareאחסון, שרתים, CDNאיחוד אירופיEU adequacy + DPA
Clerkאימות (login)ארה"בEU-US DPF + DPA
Morning (Greeninvoice)סליקה + חשבוניותישראלחוק ישראלי
Resendשליחת מייליםארה"בEU-US DPF + DPA
Anthropic (Claude API)בוט "השותף שלך" — סיוע בתפעולארה"בEU-US DPF + zero-retention API + ללא אימון מודלים
חשוב — שימוש ב-AI על מידע של לקוחות-הקצה: אם תפעילו פיצ'ר שמערב את הבוט בעיבוד מידע של לקוחות-הקצה שלכם (לדוגמה: "תכין רשימת לקוחות שלא חזרו 3 חודשים"), המידע יישלח ל-Anthropic לצורך עיבוד התשובה בלבד. Anthropic לא שומרת את המידע מעבר לזמן הבקשה (zero-retention) ולא משתמשת בו לאימון מודלים. פיצ'ר זה ניתן לכיבוי בהגדרות החשבון.

הוספת מעבד משנה חדש: נודיע לכם 30 יום מראש בדואר אלקטרוני. אם אתם מתנגדים להוספת מעבד מסוים — תוכלו לבטל את ההתקשרות ללא קנס.

6. אבטחה טכנית וארגונית

אנחנו מיישמים את הצעדים הבאים, התואמים תקנות הגנת הפרטיות (אבטחת מידע) התשע"ז-2017 ברמת אבטחה בינונית:

7. הפרת אבטחה (Data Breach)

אם נגלה הפרת אבטחה הנוגעת למידע של הלקוחות שלכם:

הערה: חובת הדיווח לרשות הגנת הפרטיות מוטלת עליכם כבעלי המאגר, אך אנחנו ניתן את כל הסיוע הנדרש.

8. בקשות מאת נושאי המידע

אם נושא מידע (לקוח שלכם, מבקר בדף שלכם) פונה אלינו ישירות עם בקשה — נעביר אותה אליכם ולא נטפל בעצמנו, מכיוון שאתם בעל המאגר.

אם תפנו אלינו עם בקשה כזו, אנחנו נסייע לכם:

9. העברות בינלאומיות

ישראל מוכרת על ידי האיחוד האירופי כמדינה עם רמת הגנה נאותה (adequacy decision). העברות לארה"ב מוגנות ב-EU-US Data Privacy Framework (DPF) או SCC לפי הצורך.

10. סיום ומחיקת נתונים

בסוף ההתקשרות (ביטול חשבון או סיום השירות):

  1. תקופת חסד 30 יום — הנתונים נשמרים, אפשר לחזור
  2. במהלך 30 יום — אפשר לייצא הכל בלחיצה אחת (JSON + Excel)
  3. אחרי 30 יום — מחיקה מלאה, לרבות מ-backup-ים, תוך 90 יום נוספים
מידע שמוחזק לפי חוק: חשבוניות מס ומסמכי הנהלת חשבונות נשמרים 7 שנים לפי החוק הישראלי, גם אחרי ביטול. שאר המידע נמחק לחלוטין.

11. זכות בדיקה (Audit Rights)

אתם רשאים פעם בשנה (ובהתראה של 30 יום) לבקש:

בדיקה מקיפה יותר תידרש מיד אחרי הפרת אבטחה משמעותית, ללא תשלום.

12. אחריות

אחריות המעבד תחת הסכם זה כפופה לסעיף הגבלת אחריות בתנאי השימוש.

המעבד אחראי בלעדית לנזק הנובע מהפרת חובותיו תחת הסכם זה. בעל המאגר אחראי על עצמו ועל בחירותיו (לדוגמה: איזה מידע לאסוף מלקוחות, האם לדרוש הסכמה מראש לעיבוד).


הסכם זה תקף מרגע שאתם פותחים חשבון ב-שותף. שאלות? support@shotaf.co.il