נספח הגנת הפרטיות

1.1 הספק מצהיר כי במסגרת מתן השירותים ללקוח הספק עשוי להיחשף למידע אישי של הלקוח. 1.2 הספק מצהיר ומתחייב כי בעת מתן השירותים ללקוח הוא יעמוד בכל הוראות הדין החל. בכלל זה מצהיר הספק כי הוא מתמצא בדין וכי יבצע את כל החובות והדרישות שנקבעו על ידי רשות הגנת הפרטיות. 1.3 הלקוח הוא הבעלים הבלעדי של מאגרי המידע, ואין באמור בהסכם או בנספח כדי להעניק לספק זכויות קנייניות במידע האישי. הלקוח רשאי אך לא מחויב להנחות את הספק בנוגע לאופן העיבוד. 1.4 הספק מצהיר ומתחייב להקצות את כל המשאבים הנדרשים לצורך מילוי הוראות הדין החל ונספח זה. 1.5 הספק מצהיר כי הוא בעל ניסיון ויכולת מקצועית בעיבוד מידע, וכי יש לו את הידע והרקע הנדרש לביצוע השירותים. 1.6 עבור שירות סליקת כרטיסי אשראי, הספק מוסמך לתקן PCI הבינלאומי. 1.7 הספק מתחייב שקבלני משנה מהותיים, בארץ ובעולם, יפעלו בהתאם לתקנות אבטחת מידע והגנת הפרטיות ברמה שאינה פחותה מהתקנות בישראל.

2.1 הספק יעבד את המידע האישי עבור הלקוח רק לצורך מתן השירותים לפי ההסכם, ורק באופן שנקבע בהסכם ובנספח זה. 2.2 הספק יבצע גישה אך ורק למערכות שהגישה אליהן הכרחית לצורך מתן השירות. 2.3 הספק ינהל הרשאות גישה למידע אישי תוך הקפדה על עקרון ההרשאות המינימליות (Least Privileged) ועל בסיס הצורך לדעת (Need to Know). 2.4 הספק יעניק הרשאות גישה למאגר מידע רק לבעלי תפקידים שעברו הדרכות תקופתיות כנדרש על פי הדין ונספח זה. 2.5 הספק מתחייב ליישם מנגנוני אבטחת מידע העומדים בהוראות הדין ובסטנדרטים מקצועיים מקובלים. 2.6 הספק ישמור מידע אישי רק כל עוד יש צורך בכך לצורך המטרות שלשמן הועבר, או כפי שנדרש על פי דין. 2.7 הספק מתחייב לדווח ללקוח באופן מיידי על כל אירוע אבטחה, ולאפשר ללקוח לבצע פעולות מתקנות לרבות דיווח לרשות במקרה של אירוע חמור.

3.1 הלקוח ימסור לספק פירוט מלא של סוגי המידע האישי, מטרות העיבוד ומשך השמירה. 3.2 הלקוח מצהיר כי הוא בעל מאגר רשום כחוק וכי המאגר דווח לרשות להגנת הפרטיות בהתאם לתיקון 13. 3.3 הלקוח מתחייב לספק לספק מסמך הגדרת המאגר. 3.4 הלקוח יספק לספק הוראות בנוגע לאופן העיבוד, השימוש והגישה למידע, ויעדכן על כל שינוי במטרות או בהיקף המאגר. 3.5 הלקוח ירכז פניות של נושאי מידע (עיון, תיקון, מחיקה), ויעביר לספק רק את המידע הדרוש לצורך ביצוע טכני. 3.6 הלקוח מתחייב להפעיל מנגנון ניהול פנימי לטיפול בפניות של נושאי מידע. 3.7 הלקוח ידווח לספק מיידית על כל אירוע אבטחה, ולאפשר נקיטת פעולות מתקנות לרבות דיווח לרשות במקרה של אירוע חמור.

4.1 הספק יספק ללקוח מידע וסיוע הנדרש לעמידה בדרישות הדין בנושא עיון, תיקון ומחיקה של מידע אישי, בהתאם ליכולות הטכניות של מערכת המידע. 4.2 מבלי לגרוע מהאמור בהסכם, הספק ישיב, ימחק או יבער את כל המידע האישי שעליו חל נספח זה, כולל כל העותקים, בכל מדיה שהיא, בתוך 30 ימים מבקשת הלקוח בכתב. 4.3 לאחר המחיקה או ההעברה, הספק ימציא ללקוח אישור המאמת את ביצוע הפעולות. 4.4 אם קיימת חובה בדין לשמור עותק של מידע אישי, יעשה הספק מאמץ לשמור אותו בצורה אנונימית. אם לא ניתן – הספק יודיע ללקוח מראש ובכתב, ויפרט את מקור החובה ואת המועדים החלים. 4.5 כאשר הדין מחייב שמירת מידע אצל הספק, הספק מתחייב שאמצעי האבטחה שהוגדרו בהתקשרות יישארו בתוקף עד סיום התקופה המתחייבת, ולאחריה יפעל בהתאם לדין.