DPA – נספח עיבוד נתונים – JTOOLS

עודכן לאחרונה: אוקטובר 2025 · חל על כלל השירותים ב־ jtools.co.il

נספח זה (“הנספח” או “DPA”) מהווה חלק בלתי נפרד מהסכם השירות בין JTOOLS (“המעבד”, “אנחנו”) לבין הלקוח החותם (“בעל המאגר”, “הלקוח”). הנספח מסדיר את עיבוד המידע האישי שמבצע המעבד עבור הלקוח בהתאם לחוק הגנת הפרטיות, התשמ״א-1981, לתיקון 13 (אוגוסט 2025), לתקנות הגנת הפרטיות (אבטחת מידע), תשע״ז-2017, ולהנחיות הרשות להגנת הפרטיות.

1. הגדרות

“מידע אישי” – כהגדרתו בחוק; לרבות “מידע רגיש” (מזהה ייחודי, בריאות וכו׳).
“בעל המאגר” – הלקוח; “המעבד” – JTOOLS.
“דין חל” – כל דין רלוונטי לישראל והנחיות רגולטוריות מחייבות.

2. נושא העיבוד ותכולתו

המעבד מספק תשתיות SaaS להפעלת מערכות הלקוח (גיוס, טפסים דיגיטליים, “תיק שומר”, סידורי עבודה וכיו״ב), ומעבד מידע אישי של עובדים/מועמדים/נותני שירותים של הלקוח לצורך מתן השירות, כפי שמפורט בנספח א׳.

3. תפקידי הצדדים

הלקוח הוא בעל המאגר וקובע את מטרות ואמצעי העיבוד. המעבד פועל אך ורק לפי הוראות הלקוח ובהתאם לנספח זה.

4. הוראות לקוח והיקף העיבוד

5. אבטחת מידע ובקרות

המעבד מיישם אמצעים טכניים וארגוניים סבירים וראויים בהתאם לתקנות אבטחת מידע, לרבות: בקרות גישה, ניהול זהויות והרשאות, הצפנה במעבר (TLS) ובמודולים רגישים גם במנוחה, רישום גישה (Audit), גיבויים ושחזור, הפרדת סביבות, הקשחה ועדכונים תקופתיים, בדיקות חדירה והדרכות עובדים. פירוט מפורט מופיע בנספח ב׳ (TOMs).

6. ספקי משנה (Sub-Processors)

הלקוח מאשר כי המעבד רשאי להסתייע בספקי משנה המספקים תשתיות/אירוח/דיוור/גיבוי/אנליטיקה, לרבות Verpex כספק אירוח מחוץ לישראל, ובלבד שנחתם עימם הסכם עיבוד נתונים המחייב אמצעי אבטחת מידע והתחייבויות שוות ערך או מחמירות. רשימת קטגוריות ספקי המשנה זמינה לבקשת הלקוח.

7. העברות מידע מחוץ לישראל

העברות יתבצעו בהתאם לתיקון 13 והדין החל, לרבות מנגנונים חוזיים מתאימים, הערכת התאמה, ובדיקה כי מדינת היעד מספקת הגנה נאותה, או שבהסכמים מיושמים אמצעי הגנה מספקים.

8. סודיות והתחייבויות עובדים

המעבד יאפשר גישה למידע אישי רק לעובדים/קבלנים אשר נדרשים לכך לצורך מתן השירות, בכפוף להתחייבות סודיות ואבטחת מידע.

9. סיוע בבקשות נושאי מידע

המעבד יסייע ללקוח, במידה הסבירה, למלא אחר בקשות נושאי מידע (עיון/תיקון/מחיקה/הגבלה), ככל שהדבר ניתן ומבלי לפגוע בסודיות צדדים שלישיים.

10. ביקורת, הצהרות והתאמה

לפי בקשת הלקוח הסבירה ובתדירות שאינה בלתי סבירה (לרוב אחת לשנה), יספק המעבד הצהרת עמידה/דוח אבטחה. ביקורת באתרי המעבד, אם נתבקשה, תתואם מראש ותבוצע בשעות עבודה רגילות, ללא חשיפת מידע של לקוחות אחרים, ותוך שמירה על סודיות וביטחון המידע.

11. אירועי אבטחת מידע והודעות

במקרה של חשד/אירוע אבטחת מידע העלול להשפיע על מידע אישי, המעבד יפעל מיידית לבלימה, תיחום ותיעוד האירוע, ויעדכן את הלקוח ללא דיחוי בלתי סביר בפרטי האירוע הידועים באותה עת. המעבד יסייע ללקוח בהערכה, בתיקון ובדיווח לרשות/לנושאי מידע, ככל שנדרש בדין. תבנית הודעה ללקוח — בנספח ג׳.

12. שמירת מידע, מחיקה והחזרה

המעבד ישמור את המידע האישי רק למשך תקופת ההתקשרות ולפי הנחיות הלקוח או חובות דין. עם סיום ההתקשרות, המידע יימחק או יוחזר ללקוח בתוך 30 יום, למעט עותקים הנדרשים לשמירה לפי דין/יישוב מחלוקות ועותק אחזור (Backups) עד למחיקתם המחזורית.

13. אחריות, שיפוי והגבלת אחריות

כל צד יישא באחריות להפרה הנובעת ממעשיו/מחדליו. במידה המרבית המותרת בדין, האחריות המצטברת של המעבד לפי נספח זה מוגבלת לסכום ששילם הלקוח למעבד בשלושה (3) חודשים שקדמו לאירוע, ואינה כוללת נזקים תוצאתיים/עקיפים, למעט ככל שאינם ניתנים להגבלה בדין.

14. תקופה וסיום

הנספח יישאר בתוקף לכל אורך תקופת ההתקשרות ולמשך הזמן הדרוש להשלמת הסופית של פעולות מחיקה/השבה לפי סעיף 12.

15. קדימות מסמכים

בסתירה בין ההסכם הראשי לבין נספח זה, יגבר הנספח בכל הנוגע להגנת פרטיות ואבטחת מידע.

16. דין וסמכות שיפוט

חל דין מדינת ישראל; סמכות שיפוט בלעדית בבתי המשפט המוסמכים בתל-אביב-יפו.

17. פרטי קשר

נספח א׳ – פרטי העיבוד לפי מערכות

גיוס כוח אדם (/jobs/)

נושאי מידע: מועמדים. קטגוריות: פרטי קשר, קו״ח, מסמכים נלווים, מזהה ייחודי. מטרה: תהליך גיוס וקליטה. בסיס משפטי: הסכמה/אינטרס לגיטימי של הלקוח.

בקשות עובדים (/ben/)

נושאי מידע: עובדים. קטגוריות: בקשות חופשה/מחלה/מילואים, מסמכים תומכים. מטרה: ניהול תהליכי משא״נ. בסיס משפטי: חובה בדין/חוזה עם עובד/אינטרס לגיטימי.

WhatsApp (/ben/whatsapp/)

נושאי מידע: עובדים/לקוחות. קטגוריות: מספרי טלפון, תוכן הודעה, לוגים. מטרה: תקשורת תפעולית. בסיס משפטי: אינטרס לגיטימי/הסכמה לפי צורך.

משמרת בדרך (/go/)

נושאי מידע: עובדים. קטגוריות: פרטי נסיעות/מסלול, תזמונים. מטרה: הסעות/החזרי נסיעה. בסיס משפטי: חוזה/חובה בדין.

תיק שומר (/guardian/)

נושאי מידע: מאבטחים. קטגוריות: מסמכי רישוי נשק, ת״ז, אישורים. מטרה: עמידה ברגולציית חימוש. בסיס משפטי: חובה רגולטורית.

חתימות דיגיטליות (/docs/)

נושאי מידע: עובדים/ספקים. קטגוריות: PDF, נתוני מילוי וחתימה, חותמות זמן. מטרה: החלפת טפסי נייר, הוכחת הסכמה. בסיס משפטי: חוזה/חובה בדין.

דפי נחיתה (/lp/)

נושאי מידע: פונים/לידים. קטגוריות: שם, טלפון, דוא״ל, תוכן פנייה. מטרה: יצירת קשר/מכירות. בסיס משפטי: הסכמה מפורשת.

“המוח” (/brain/)

נושאי מידע: משתמשים בארגון. קטגוריות: פריטים אישיים/ארגוניים, תזכורות, קבצים. מטרה: ארגון מידע ותזכורות. בסיס משפטי: אינטרס לגיטימי/חוזה.

סידורי עבודה (/scheduler/)

נושאי מידע: עובדים. קטגוריות: זמינות, אילוצים, משמרות, נוכחות. מטרה: הפקת סידור. בסיס משפטי: חוזה/אינטרס לגיטימי.

טופס יצירת קשר

נושאי מידע: פונים. קטגוריות: פרטי קשר ותוכן פנייה. מטרה: מענה ושירות. בסיס משפטי: אינטרס לגיטימי.

נספח ב׳ – אמצעים טכניים וארגוניים (TOMs)

נספח ג׳ – תבנית הודעת אירוע (דוגמה לצורכי שקיפות בלבד)

להלן תבנית כללית ודוגמת שדות להודעה על אירוע אבטחת מידע. תבנית זו מוצגת לצורכי שקיפות בלבד ואינה מהווה התחייבות לתוכן או ללוחות זמנים קבועים. הנוסח בפועל של הודעה על אירוע ייקבע לפי נסיבות המקרה, הדין החל והסכמות עם הלקוח.

לקבלת תבנית מלאה בפורמט Word לשימוש חוזי, ניתן לפנות אלינו בכתובת mdg1306@gmail.com