הקדמה
הסכם עיבוד נתונים זה (להלן "ה-DPA" או "ההסכם") נספח לתנאי השימוש של פלטפורמת SaaS (SaaS Terms) וחל על כל לקוח שמשתמש בפלטפורמה לעיבוד מידע אישי על אנשים פיזיים (להלן "אנשי הקצה" / "Data Subjects").
ה-DPA מהווה את הסכם הצדדים לפי GDPR Article 28 ובהתאם לתקנות הגנת הפרטיות (אבטחת מידע) התשע"ז-2017.
1. הצדדים
- Controller (לקוח) — אתה, הגוף המנהל את נתוני אנשי הקצה דרך הפלטפורמה.
- Processor (SoulBe) — מספקת השירות, פועלת בהוראתך.
- Sub-processors — ספקי המשנה ש-SoulBe משתמשת בהם (פירוט בנספח א').
2. נושא העיבוד
מטרת העיבוד: מתן שירותי CRM, אוטומציית שיווק, ניהול תקשורת ולידים ללקוח.
משך העיבוד: למשך תקופת מנוי הלקוח לפלטפורמה + 90 יום לאחר סיום (לייצוא וגיבוי).
סוגי מידע אישי שעשויים להיות מעובדים:
- פרטי זיהוי: שם, מייל, טלפון, כתובת.
- פרטי תקשורת: היסטוריית מיילים/SMS/וואטסאפ.
- מידע פרופיל: תפקיד, חברה, תחומי עניין.
- נתוני אינטראקציה: לחיצות, פתיחות, ביקורים.
- (כל סוג נוסף שהלקוח מכניס לפלטפורמה).
קטגוריות אנשי הקצה:
- לידים, אנשי קשר ולקוחות פוטנציאליים של הלקוח.
- לקוחות קיימים של הלקוח.
- מבקרי אתרי לנדינג של הלקוח.
- (כל קבוצה נוספת שהלקוח מנהל בפלטפורמה).
3. חובות הלקוח (Controller)
הלקוח מתחייב:
- להיות הבסיס החוקי לעיבוד (הסכמה, חוזה, אינטרס לגיטימי וכו').
- לקבל את כל ההסכמות הנדרשות מאנשי הקצה.
- לספק לאנשי הקצה את מדיניות הפרטיות שלו ולענות על בקשותיהם.
- לוודא שהמידע שהוא מעלה לפלטפורמה הוא מדויק ולגיטימי.
- לא להעלות נתונים רגישים (Special Category Data לפי GDPR Art. 9) ללא בסיס חוקי מפורש.
4. חובות SoulBe (Processor)
SoulBe מתחייבת:
- לעבד מידע אישי אך ורק לפי הוראות מתועדות של הלקוח, כפי שהן באות לידי ביטוי בתנאי השימוש ובפעולות הלקוח בפלטפורמה.
- לעבד רק לשם מתן השירות, אבטחתו ותחזוקתו.
- לא להשתמש במידע אישי לצרכים שלה (כגון שיווק עצמי, יצירת פרופילים).
- לוודא שעובדים מורשים מחויבים לסודיות.
- ליישם אמצעי אבטחה מתאימים (סעיף 6).
- לסייע ללקוח במילוי חובותיו (סעיף 7).
- לדווח על breach תוך 72 שעות (סעיף 8).
- למחוק או להחזיר מידע בסיום (סעיף 9).
- לאפשר ביקורת (audit) בכפוף לתנאים (סעיף 10).
5. Sub-processors
5.1 הסכמה כללית
הלקוח מאשר במפורש את השימוש ב-sub-processors המפורטים בנספח א'.
5.2 שרשור התחייבויות
SoulBe תוודא שכל sub-processor כפוף להתחייבויות סביבתיות זהות לאלה ב-DPA זה.
5.3 הוספת sub-processor חדש
- הודעה מראש של 30 יום במייל ובלוח מודעות בפלטפורמה.
- הלקוח רשאי להתנגד מטעמים מבוססים ולסיים את השירות אם ההתנגדות לא נפתרה.
5.4 אחריות
SoulBe נושאת באחריות מלאה לפעולות של sub-processors שלה.
6. אמצעי אבטחה (Article 32)
SoulBe מיישמת לפחות:
- הצפנה — TLS 1.2+ בהעברה, AES-256 במנוחה לנתונים רגישים.
- בקרות גישה — אימות חזק, role-based, principle of least privilege.
- חוסן ו-DR — גיבויים יומיים, תוכנית התאוששות מאסון.
- בדיקות אבטחה — פן-טסט תקופתי, סקירת קוד אבטחתית.
- לוגים — אחסון מאובטח, מעקב חריגות.
- תהליכי תגובה — נוהל תגובה לאירוע, צוות מוגדר.
- הדרכות — לעובדים בעניין הגנה על מידע.
אמצעי האבטחה עשויים להתעדכן בהתאם להתפתחויות טכנולוגיות ולאיומים, ובכפוף לעמידה בסטנדרטים שווי-ערך או טובים יותר.
7. סיוע ללקוח
SoulBe תסייע ללקוח (בעיקר באמצעות פונקציונליות הפלטפורמה) ב:
- מימוש בקשות אנשי קצה — עיון, תיקון, מחיקה, ניוד, התנגדות.
- DPIA (Data Protection Impact Assessment) — לפי בקשה, ובמידה סבירה.
- שיתוף פעולה עם רשויות במקרה של חקירה רגולטורית.
גישה ישירה של אנשי קצה ל-SoulBe — אם נקבל פנייה ישירה מאיש קצה של הלקוח, נפנה אותו ללקוח ונודיע ללקוח על הפנייה תוך 5 ימי עסקים.
8. דיווח על Breach
- התראה ראשונית — תוך 72 שעות מהזמן בו SoulBe נודעת על הפרת אבטחה שעלולה להשפיע על מידע אישי של הלקוח (תואם GDPR Art. 33).
- תכולת התראה: אופי ההפרה, קטגוריות וכמות מידע משוערות שנפגעו, השלכות צפויות, צעדים שננקטו.
- שיתוף פעולה עם הלקוח להודעה לרשויות ולאנשי קצה אם נדרש לפי דין.
9. סיום ההסכם
- בסיום מנוי הלקוח:
- שימור חוקי — מידע מסוים יישמר על פי חובות חוקיות (חשבונאות, מס) או הוראת רשות.
- 30 יום לייצוא נתונים בפורמט CSV/JSON. - לאחר 90 יום — מחיקה מלאה מ-Production. - גיבויים נמחקים תוך 30 יום נוספים.
10. ביקורת (Audit Rights)
- הלקוח רשאי לבקש דוחות תקופתיים על האבטחה (פעם בשנה).
- ביקורת on-site על ידי הלקוח או צד ג' מוסמך — בכפוף ל:
- חלופה: SoulBe תספק SOC 2 / ISO 27001 reports של sub-processors מרכזיים אם זמינים.
- הודעה מראש של 30 יום. - תיאום מועד שלא יפגע בפעילות. - חתימת NDA. - מימון על חשבון הלקוח (אלא אם הביקורת חשפה הפרה מהותית).
11. העברות בינלאומיות
- העברות מ-EEA מבוצעות בהגנות:
- העברות מישראל בהתאם לתקנות הגנת הפרטיות (העברת מידע לחו"ל) תשס"א-2001.
- Standard Contractual Clauses (SCCs) של הנציבות. - Data Privacy Framework (לספקי ארה"ב מוסמכים).
12. אחריות
- אחריות SoulBe — כפופה למגבלות הקבועות ב-SaaS Terms (סעיף 11).
- אחריות הלקוח — שיפוי SoulBe מפני תביעות שמקורן באי-מילוי חובותיו לפי DPA זה.
13. סתירות
במקרה של סתירה בין DPA זה ל-SaaS Terms — ה-DPA גובר ביחס לעיבוד מידע אישי. ביחס לכל יתר הנושאים — ה-SaaS Terms גוברים.
14. שינוי
SoulBe רשאית לעדכן את ה-DPA כדי לעמוד בדרישות רגולציה משתנות. שינויים מהותיים יוכרזו במייל ובפלטפורמה 30 יום מראש.
15. הדין החל
דיני מדינת ישראל ו-GDPR (ככל שחל על אנשי קצה ב-EU). סמכות שיפוט בלעדית — בתי המשפט המוסמכים במחוז תל אביב-יפו.
---
נספח א' — רשימת Sub-processors
| ספק | תפקיד | מיקום | בסיס העברה | |---|---|---|---| | GoHighLevel / LeadConnector | תשתית CRM, אחסון | ארה"ב | SCCs + DPF | | Cloudflare / Ludicrous Cloud | CDN, אבטחה | גלובלי | SCCs | | AWS | אחסון נלווה | ארה"ב / EU | SCCs + DPF | | Vercel | אירוח עמודי לנדינג | ארה"ב / EU | SCCs + DPF | | Stripe | סליקת תשלומים | ארה"ב | SCCs + DPF | | Mailgun / SendGrid | שליחת מיילים | ארה"ב | SCCs + DPF | | Twilio | שליחת SMS | ארה"ב / EU | SCCs + DPF | | Meta WhatsApp Business | שליחת WhatsApp | ארה"ב / EU | SCCs + DPF |
(רשימה זו עשויה להתעדכן לפי סעיף 5.3)
---
נספח ב' — איש קשר לעניין הגנת מידע
- DPO/איש קשר Soulbe: hello@soulbe.io
- דיווח breach: hello@soulbe.io (יש לציין "DATA BREACH" בכותרת)
- רשות הגנת הפרטיות בישראל: privacyprotection.gov.il
---
חתימה (אופציונלי)
חוזה זה אינו דורש חתימה פיזית בנפרד — קבלת תנאי השירות וההצטרפות לפלטפורמה מהווים הסכמה ל-DPA זה. לקוחות שדורשים חתימה נפרדת (לצורכי compliance פנימי) יכולים לפנות ל-hello@soulbe.io.