הסכם עיבוד נתונים (DPA)
Englishעודכן לאחרונה: 16/03/2026
1. הצדדים
הסכם עיבוד נתונים זה ("ההסכם" או "DPA") נכרת בין:
- Levor Technologies Ltd. ("לבאור טכנולוגיות בע"מ"), ח.פ. _________, שכתובתה _________, ישראל ("המעבד");
- הלקוח, כפי שמוגדר בהסכם השירות ("בעל השליטה במידע").
הסכם זה מהווה נספח להסכם השירות הראשי (Master Service Agreement) ומסדיר את עיבוד המידע האישי על ידי המעבד עבור בעל השליטה במידע בהקשר לשירותי פלטפורמת LevoRustDesk.
2. הגדרות
| מונח | הגדרה |
|---|---|
| מידע אישי | כל מידע הנוגע לאדם מזוהה או ניתן לזיהוי, כהגדרתו בחוק הגנת הפרטיות, התשמ"א-1981, וב-GDPR. |
| עיבוד | כל פעולה המבוצעת במידע אישי, לרבות איסוף, רישום, אחסון, שינוי, שליפה, העברה ומחיקה. |
| נושא המידע | האדם שאליו מתייחס המידע האישי (עובדי הלקוח, טכנאים, משתמשי קצה). |
| בעל שליטה במידע | הגורם הקובע את מטרות ואמצעי עיבוד המידע האישי (הלקוח). |
| מעבד | הגורם המעבד מידע אישי בשם בעל השליטה (Levor Technologies Ltd.). |
| מעבד-משנה | צד שלישי שהמעבד מעסיק לצורך עיבוד מידע אישי בשם בעל השליטה. |
| הפרת מידע | הפרת אבטחה המובילה להשמדה, אובדן, שינוי, חשיפה או גישה בלתי מורשית למידע אישי. |
| סעיפי חוזה סטנדרטיים (SCCs) | סעיפים חוזיים סטנדרטיים שאושרו על ידי נציבות האיחוד האירופי להעברת מידע בינלאומית. |
3. היקף ומטרת העיבוד
המעבד יעבד מידע אישי אך ורק למטרת אספקת שירותי פלטפורמת LevoRustDesk, הכוללים:
- ניהול מכשירים מרחוק וניטור טלמטריה
- חיבור שולחן עבודה מרחוק
- ניהול תמיכה טכנית ומוקד שירות
- צ'אטבוט AI לשירות לקוחות
- ניהול חשבונות, מנויים וחיוב
- ניתוח חיבורים ודוחות
המעבד לא יעבד מידע אישי לכל מטרה אחרת, אלא אם כן נדרש לעשות כן על פי חוק, ובמקרה כזה יודיע לבעל השליטה מראש (ככל שהחוק מאפשר זאת).
4. קטגוריות מידע מעובד
| קטגוריה | פרטים |
|---|---|
| נתוני חשבון משתמש | שם מלא, כתובת דוא"ל, מספר טלפון, שם חברה, תפקיד |
| טלמטריה של מכשירים | מפרט חומרה (CPU, RAM, GPU), תוכנות מותקנות, שימוש בדיסק, מידע רשת |
| לוגים של חיבורים | נתוני הפעלה (session), חותמות זמן, כתובות IP, משך חיבור |
| פניות תמיכה והודעות צ'אט | תוכן פניות, הודעות צ'אט עם טכנאים ועם צ'אטבוט AI |
| מידע תשלום | מעובד על ידי ICount; המעבד אינו מאחסן פרטי כרטיס אשראי |
נושאי מידע: עובדי הלקוח, טכנאים, משתמשי קצה של מכשירים מנוהלים.
5. חובות המעבד
5.1 הוראות מתועדות
המעבד יעבד מידע אישי אך ורק על בסיס הוראות מתועדות של בעל השליטה, כפי שמפורט בהסכם זה ובהסכם השירות הראשי.
5.2 סודיות
המעבד מבטיח כי כל אנשי הצוות המורשים לעבד מידע אישי מחויבים בהתחייבות לסודיות או כפופים לחובת סודיות חוקית מתאימה.
5.3 אמצעי אבטחה
המעבד מיישם את אמצעי האבטחה הטכניים והארגוניים הבאים:
- הצפנת תקשורת: TLS 1.2+ לכל התקשורת
- הצפנת סיסמאות: bcrypt עם salt ייחודי
- אימות דו-שלבי (2FA): TOTP עם אפליקציית מאמת
- בקרת גישה מבוססת תפקידים (RBAC): ארבע רמות הרשאה
- יומני ביקורת: רישום מלא של כל הפעולות
- הצפנה במנוחה: הצפנת בסיס נתונים ונתונים רגישים
- נעילת חשבון: נעילה אוטומטית לאחר ניסיונות כושלים
- הגבלת קצב: הגנה מפני מתקפות brute-force
5.4 ניהול מעבדי-משנה
המעבד לא יעסיק מעבד-משנה נוסף ללא אישור כללי מראש בכתב של בעל השליטה. המעבד יודיע לבעל השליטה על כל שינוי מתוכנן במעבדי-המשנה לפחות 30 יום מראש, ויעניק לבעל השליטה הזדמנות להתנגד.
5.5 סיוע בזכויות נושאי מידע
המעבד יסייע לבעל השליטה במילוי בקשות של נושאי מידע לגישה, תיקון, מחיקה, הגבלת עיבוד, ניידות מידע והתנגדות לעיבוד, בתוך פרק זמן סביר.
5.6 הודעה על הפרת מידע
במקרה של הפרת מידע אישי, המעבד יודיע לבעל השליטה תוך 72 שעות ממועד שנודע לו על ההפרה. ההודעה תכלול:
- תיאור אופי ההפרה, כולל קטגוריות ומספר נושאי המידע המושפעים
- שם ופרטי איש הקשר של ממונה הגנת המידע
- תיאור ההשלכות הצפויות של ההפרה
- תיאור הצעדים שננקטו או מוצעים לטיפול בהפרה
5.7 השבה ומחיקה
בתום תקופת השירות, ולפי בחירת בעל השליטה, המעבד ישיב את כל המידע האישי או ימחק אותו תוך 30 יום, אלא אם נדרש לשמור מידע על פי חוק. המעבד ימסור אישור מחיקה בכתב לפי דרישה.
6. מעבדי-משנה
בעל השליטה מאשר את מעבדי-המשנה הבאים:
| מעבד-משנה | מיקום | מטרה | מידע מעובד |
|---|---|---|---|
| ICount Ltd. | ישראל | עיבוד תשלומים | שם, אימייל, פרטי חיוב |
| OpenAI Inc. | ארה"ב | צ'אטבוט AI | הודעות צ'אט, שמות מכשירים, מזהי מכשיר, מידע תמיכה (עשוי לכלול PII) |
| RustDesk Infrastructure | ישראל / גרמניה | שרת ממסר חיבורים | מזהי מכשיר, נתוני חיבור, כתובות IP |
| ספק אירוח (Hosting) | בהתאם לתצורה | אירוח שרתים | כל המידע המאוחסן בפלטפורמה |
רשימה עדכנית של מעבדי-משנה זמינה בכל עת לפי בקשה באמצעות פנייה ל- dpa@levor.io.
7. העברות מידע בינלאומיות
המידע האישי מאוחסן בעיקר בישראל. ישראל מוכרת על ידי נציבות האיחוד האירופי כמדינה המספקת רמת הגנה נאותה למידע אישי.
במקרה של העברת מידע למדינות מחוץ לישראל/האזור הכלכלי האירופי (EEA) שאינן מוכרות כבעלות רמת הגנה נאותה, המעבד יבטיח אחת מהבטחות אלה:
- סעיפי חוזה סטנדרטיים (SCCs) שאושרו על ידי נציבות האיחוד האירופי
- החלטת התאמה (Adequacy Decision) של הנציבות
- מנגנוני הגנה מתאימים אחרים המוכרים ב-GDPR
לגבי OpenAI: הנתונים המועברים ל-OpenAI עשויים לכלול תוכן הודעות צ'אט, שמות מכשירים, מזהי מכשירים, ומידע תמיכה שהמשתמש מזין בשיחה. אנו פועלים לצמצום חשיפת מידע מזהה אישי ומיישמים SCCs בינינו לבין OpenAI.
8. זכויות נושאי מידע
בעל השליטה רשאי לממש את זכויות נושאי המידע הבאות באמצעות הפורטל או בפנייה ישירה:
- זכות גישה: צפייה בכל המידע האישי המאוחסן
- זכות תיקון: עדכון ותיקון מידע שגוי
- זכות מחיקה: בקשה למחיקת המידע ("הזכות להישכח")
- זכות הגבלת עיבוד: הגבלת העיבוד בנסיבות מסוימות
- זכות ניידות: קבלת המידע בפורמט מובנה (ייצוא GDPR)
- זכות התנגדות: התנגדות לעיבוד בנסיבות מסוימות
ניתן לשלוח בקשות באמצעות פנייה ל- dpa@levor.io או דרך לוח הבקרה בפורטל (פרופיל → ייצוא נתונים / מחיקת חשבון).
9. זכויות ביקורת
בעל השליטה רשאי לבצע ביקורת על עמידת המעבד בהתחייבויותיו לפי הסכם זה, בכפוף לתנאים הבאים:
- הודעה מראש של 30 יום לפחות בכתב
- הביקורת תתבצע בשעות העבודה הרגילות
- בעל השליטה ישא בעלויות הביקורת
- הביקורת לא תפגע באבטחת המידע או בפרטיות לקוחות אחרים
- ניתן להסתמך על ביקורת צד שלישי (SOC 2, ISO 27001) כחלופה
המעבד יספק מידע ותיעוד סביר המוכיחים עמידה בהסכם זה.
10. תקופה וסיום
הסכם זה נכנס לתוקף עם תחילת השימוש בשירות ונשאר בתוקף כל עוד המעבד מעבד מידע אישי בשם בעל השליטה.
עם סיום הסכם השירות:
- המעבד יפסיק את עיבוד המידע האישי
- המידע האישי יוחזר או יימחק תוך 30 יום, לפי בחירת בעל השליטה
- מידע הנדרש לשמירה על פי חוק ישמר בהתאם לדרישות החוק בלבד
11. אחריות
אחריות כל צד לפי הסכם זה כפופה להגבלות האחריות המפורטות בהסכם השירות הראשי, ככל שמותר על פי הדין החל.
כל צד ישפה את הצד השני בגין נזקים, הוצאות ותביעות הנובעים מהפרת התחייבויותיו לפי הסכם זה.
12. דין חל וסמכות שיפוט
הסכם זה כפוף לדיני מדינת ישראל, לרבות חוק הגנת הפרטיות, התשמ"א-1981, ותקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017.
ככל שהשירות ניתן לנושאי מידע באיחוד האירופי, יחולו גם הוראות ה-GDPR (General Data Protection Regulation, EU 2016/679).
סמכות השיפוט הבלעדית תהיה לבתי המשפט המוסמכים במחוז תל-אביב, ישראל.
13. יצירת קשר
לשאלות, בקשות או התנגדויות בנושא עיבוד מידע אישי:
- דוא"ל: dpa@levor.io
- פרטיות: privacy@levor.io
- חברה: Levor Technologies Ltd. (לבאור טכנולוגיות בע"מ)