נספח עיבוד נתונים

עודכן לאחרונה: 15 במאי 2026

נספח DPA זה משולב בדרך של הפניה בתנאי השירות העסקיים ונכנס לתוקף עם קבלת הלקוח את תנאי השירות העסקיים, או עם השימוש הראשון בשירות לאחר התאריך הנ"ל, לפי המוקדם מביניהם. לקוח הזקוק לעותק חתום שכנגד של נספח DPA זה על נייר מכתבים של חברתו רשאי לבקשו בפנייה בכתב אל privacy@easyweek.io. EasyWeek תחתום שכנגד ללא שינויים במהות תבנית זו.

1. הגדרות

מונחים המופיעים באותיות גדולות אך אינם מוגדרים בנספח עיבוד נתונים זה יהיו בעלי המשמעות הנקובה בתנאי השירות לעסקים או בחוק הגנת הפרטיות הישראלי (PPL). בפרט:

• „PPL" — חוק הגנת הפרטיות 5741-1981, ולפי הצורך, עם ההתאמות הנדרשות.
• „בקר", „מעבד", „נושא מידע", „מידע אישי", „פרצת מידע אישי", „עיבוד", „מעבד משנה", „רשות פיקוח" — כמוגדר בחוק הגנת הפרטיות הישראלי (PPL).
• „מידע אישי של הלקוח" — מידע אישי שהלקוח או משתמשיו המורשים מגישים לשירות או מייצרים דרכו, ואשר מעובד על ידי EasyWeek מטעם הלקוח.
• „SCCs" — הסעיפים החוזיים הסטנדרטיים להעברת מידע אישי למדינות שלישיות, שאומצו בהחלטת ביצוע של הנציבות האירופית (EU) 2021/914 מיום 4 ביוני 2021, המשמשים כמנגנון להעברה חוצת גבולות של מידע אישי הנוגע לנושאי מידע באזור האירופי (EEA).

2. תפקידים

הלקוח הוא הבקר של מידע אישי של הלקוח. EasyWeek הוא המעבד ומעבד מידע אישי של הלקוח אך ורק על פי הוראות מתועדות של הלקוח ובהתאם להסכם עיבוד נתונים זה, תנאי השירות העסקיים, והדין החל.

הצדדים מכירים בכך ש-EasyWeek הוא הבקר לקטגוריות מוגבלות של מידע אישי שאותן EasyWeek מעבד למטרותיו הוא — לדוגמה, אישורי כניסה לחשבון של משתמשים מורשים, נתוני חיוב וטלמטריית שימוש בשירות. עיבוד זה כפוף למדיניות הפרטיות העסקית, ולא להסכם עיבוד נתונים זה.

3. נושא, משך, מטרה

נושא ההסכם, מהותו, מטרתו, משכו, קטגוריות המידע האישי וקטגוריות נושאי המידע מתוארים בנספח I.

ה-DPA יהיה בתוקף כל עוד EasyWeek מעבד מידע אישי של הלקוח בשמו של הלקוח, ויישאר בתוקף גם לאחר סיום תנאי השירות העסקיים למשך הזמן הנדרש לציות לסעיף 13.

4. הוראות הלקוח

השירות עצמו, התצורה שהוחלה על-ידי הלקוח דרך ממשק המשתמש וה-API של השירות, תנאי השירות העסקיים ו-DPA זה מהווים את הוראות הלקוח המלאות והסופיות המתועדות ל-EasyWeek בנוגע לעיבוד נתונים אישיים של הלקוח. כל הוראות נוספות או שונות מחייבות הסכמה בכתב ועשויות לגרור עמלות נוספות.

EasyWeek תודיע ללקוח ללא עיכוב בלתי סביר אם, לדעתה, הוראה מפרה את חוק הגנת הפרטיות הישראלי (PPL) או הוראת הגנת מידע אחרת החלה על-פי הדין הישראלי, ורשאית להשעות את ההוראה השנויה במחלוקת עד לקבלת אישורו הכתוב של הלקוח.

5. סודיות

EasyWeek מבטיחה כי כוח האדם המורשה לעבד מידע אישי של לקוחות התחייב לשמירה על סודיות (או כפוף לחובת סודיות סטטוטורית מתאימה), וכפוף לבקרות גישה ועקרונות הרשאה מינימלית. הגישה למידע האישי של לקוחות מוגבלת לכוח האדם הזקוק לה לצורך תפעול השירות או שיפורו.

6. אבטחה (TOMs)

EasyWeek מיישמת אמצעים טכניים וארגוניים מתאימים להבטחת רמת אבטחה ההולמת את הסיכון, כמפורט בנספח II. EasyWeek רשאית לעדכן את ה-TOMs שלה מעת לעת, ובלבד שרמת ההגנה לא תופחת.

7. מעבדי משנה

הלקוח מעניק בזאת ל-EasyWeek הרשאה כתובה כללית לשיתוף מעבדי משנה. רשימת מעבדי המשנה המאושרים נכון למועד הסכם עיבוד נתונים זה מפורטת ב-נספח III ומתוחזקת בכתובת /business/subprocessors.

EasyWeek תודיע ללקוח לפחות שלושים (30) ימים מראש על כל כוונה להוסיף מעבד משנה או להחליפו, באמצעות מרכז ההתראות באפליקציה, ובמקרים שבהם הלקוח נרשם לכך, גם בדואר אלקטרוני. הלקוח רשאי להגיש התנגדות מנומקת ומתועדת על בסיס עילות הגנת מידע סבירות, בתוך שלושים (30) ימים ממועד ההודעה. אם הצדדים אינם מגיעים להסכמה על פתרון, הלקוח רשאי לבטל את תנאי השירות העסקיים בנוגע לאותו חלק מהשירות הדורש את מעבד המשנה השנוי במחלוקת, תוך קבלת החזר יחסי של דמי השימוש ששולמו מראש עבור יתרת התקופה.

EasyWeek מטילה על כל מעבד משנה חובות הגנת מידע בחוזה בכתב שאינן פחות מגנות מאלו הקבועות בהסכם עיבוד נתונים זה. EasyWeek נשארת אחראית במלואה כלפי הלקוח לביצוע התחייבויות מעבדי המשנה מטעמה.

8. העברות בינלאומיות

נתונים אישיים של הלקוח מעובדים בעיקר באזור הכלכלי האירופי. כאשר נתונים אישיים של הלקוח מועברים למדינה מחוץ לאזור הכלכלי האירופי ללא החלטת נאותות של הנציבות האירופית, חלים הסעיפים החוזיים הסטנדרטיים (SCC) עם הבחירות הבאות:

• מודול שניים (בקר למעבד) מאוגד על דרך ההפניה להעברות מהלקוח (או מהבקר שלו באזור הכלכלי האירופי) אל EasyWeek, כאשר EasyWeek מעבד נתונים אישיים של הלקוח במדינה שלישית.
• מודול שלוש (מעבד למעבד) מאוגד על דרך ההפניה להעברות מתמשכות מ-EasyWeek אל מעבדי משנה במדינה שלישית.
• סעיף 7 (סעיף עגינה) כלול.
• סעיף 9(א) — אפשרות 2 (אישור כתוב כללי, הודעה של 30 יום) חלה.
• סעיף 11(א) — גוף ליישוב סכסוכים עצמאי אינו נבחר.
• סעיף 17 — הדין החל הוא דין גרמניה.
• סעיף 18 — בתי המשפט המוסמכים הם בתי המשפט של דיסלדורף, גרמניה.
• נספח I של ה-SCC מולא על דרך ההפניה לנספח I של הסכם עיבוד נתונים זה.
• נספח II של ה-SCC מולא על דרך ההפניה לנספח II של הסכם עיבוד נתונים זה.
• נספח III של ה-SCC מולא על דרך ההפניה לנספח III של הסכם עיבוד נתונים זה.

הערכת השפעת העברה המסכמת את הערכת EasyWeek לגבי חוקי מדינת היעד וכל אמצעים טכניים, חוזיים או ארגוניים משלימים עומדת לרשות המבקשים לקבלה מ-privacy@easyweek.io.

להעברות לבריטניה, חלה תוספת העברת הנתונים הבינלאומית של בריטניה לסעיפים החוזיים הסטנדרטיים (שהונפקה על ידי ה-ICO ובתוקף מיום 21 במרץ 2022). להעברות לשווייץ, הסעיפים החוזיים הסטנדרטיים נקראים תוך ביצוע ההחלפות הנדרשות על ידי ה-FDPIC.

9. בקשות נושאי המידע

השירות מספק תכונות שירות עצמי המאפשרות ללקוח למלא בקשות נושאי מידע לגישה, תיקון, מחיקה, הגבלה, ניידות והתנגדות. כאשר נושא מידע פונה ל-EasyWeek ישירות, EasyWeek תעביר את הבקשה ללקוח ללא עיכוב מיותר ולא תשיב לנושא המידע, פרט לאישור קבלת הבקשה והפנייתה ללקוח.

EasyWeek תסייע ללקוח, תוך התחשבות באופי העיבוד, באמצעים טכניים וארגוניים מתאימים, במילוי חובת הלקוח להשיב לבקשות נושאי המידע מכוח חוק הגנת הפרטיות הישראלי (PPL) סעיפים 13–14 וכל הוראה רלוונטית אחרת בחוק.

10. פרצת נתונים אישיים

EasyWeek תודיע ללקוח ללא עיכוב בלתי סביר, ובכל מקרה תוך שבעים ושתיים (72) שעות מרגע שנודע לה על פרצת נתונים אישיים הפוגעת בנתוני הלקוח האישיים. ההודעה תכלול, לכל הפחות, את המידע הנדרש לפי חוק הגנת הפרטיות הישראלי (PPL) ותקנות אבטחת מידע מכוחו , ככל שידוע: אופי הפרצה, קטגוריות ומספר משוער של נושאי המידע ורשומות שנפגעו, ההשלכות הסבירות, והאמצעים שננקטו או המוצעים.

EasyWeek תנקוט בצעדים סבירים לבלום ולתקן את הפרצה ולספק ללקוח את המידע הדרוש לו כדי שהלקוח יוכל למלא את חובות ההודעה שלו כלפי רשות הפיקוח המוסמכת שלו וכלפי נושאי המידע שנפגעו.

11. הערכת השפעה על הגנת המידע (DPIA) וייעוץ מוקדם

EasyWeek יספק ל״לקוח״ סיוע סביר בכל הערכת השפעה על הגנת המידע או ייעוץ מוקדם שה״לקוח״ נדרש לבצע מכוח חוק הגנת הפרטיות הישראלי (PPL), במידה שסיוע כאמור נדרש באופן סביר והמידע מצוי בידי EasyWeek.

12. ביקורת

EasyWeek יעמיד לרשות הלקוח את כל המידע הנדרש להוכחת עמידה בהוראות ה-DPA זה, לרבות:

• עותקים עדכניים של ההסמכות ודוחות הביקורת הרלוונטיים ביותר (כגון ISO 27001 היכן שזמין, דוחות SOC 2 Type II של תת-מעבדים רלוונטיים).
• תשובות בכתב לשאלון אבטחה סביר, פעם אחת בכל תקופה של שנים עשר חודשים, ללא תשלום.

במקרה שהמידע האמור לעיל אינו מספיק והלקוח נדרש על ידי רשות הפיקוח שלו לביצוע ביקורת באתר, רשאי הלקוח לבצע או להסמיך מבקר עצמאי לביצוע ביקורת על חשבון הלקוח, בהודעה מוקדמת בכתב של לפחות שישים (60) יום, במהלך שעות העסקים, לא יותר מפעם אחת בכל תקופה של שנים עשר חודשים (אלא אם אירעה פרצת נתונים אישיים), תחת התחייבויות סודיות סבירות, ומבלי לשבש את פעילות העסק של EasyWeek או את אבטחת לקוחות אחרים. היקף הביקורת מוגבל לאימות עמידתה של EasyWeek בהוראות ה-DPA זה.

13. החזרה ומחיקה

תוך שלושים (30) יום ממועד סיום תנאי השירות העסקיים, רשאי הלקוח לייצא נתונים אישיים של הלקוח באמצעות כלי הייצוא בשירות עצמי המסופקים על ידי השירות. לאחר תקופת החסד של שלושים ימים, EasyWeek תמחק או תבצע אנונימיזציה של נתונים אישיים של הלקוח בתוך זמן סביר, ובכל מקרה תוך תשעים (90) יום, למעט במידה ש-EasyWeek מחויבת על פי הדין החל, לרבות חוק הגנת הפרטיות הישראלי (PPL), הדין הגרמני, או כל דין אחר החל, לשמור חלק מהם או את כולם (ובמקרה כזה, הנתונים השמורים ממשיכים להיות כפופים לחובות הסודיות והאבטחה של הסכם עיבוד נתונים זה).

גיבויים המכילים נתונים אישיים של הלקוח מוחלפים על בסיס מתגלגל בתוך תקופת שמירת הגיבויים הסטנדרטית וממשיכים להיות כפופים להסכם עיבוד נתונים זה עד לפקיעתו.

14. אחריות והוראות שונות

אחריותה של כל צד במסגרת נספח עיבוד הנתונים (DPA) זה או בקשר אליו כפופה למגבלות האחריות ולהחרגות האחריות המפורטות בתנאי השימוש לעסקים.

נספח עיבוד הנתונים (DPA) זה מהווה חלק מתנאי השימוש לעסקים. במקרה של כל סתירה בין נספח עיבוד הנתונים (DPA) זה לבין תנאי השימוש לעסקים בנוגע לעיבוד נתונים אישיים של הלקוח, גובר נספח עיבוד הנתונים (DPA). במקרה של כל סתירה בין נספח עיבוד הנתונים (DPA) לבין התנאים החוזיים הסטנדרטיים (SCCs), גוברים התנאים החוזיים הסטנדרטיים (SCCs).

נספח עיבוד הנתונים (DPA) זה כפוף לדיני הרפובליקה הפדרלית של גרמניה. לבתי המשפט בדיסלדורף, גרמניה, תהא סמכות שיפוט בלעדית, מבלי לגרוע מהגנות חובה של נושאי הנתונים מכוח מקום מגוריהם הרגיל.

נספח I – תיאור העיבוד

נושא העיבוד העיבוד הנדרש לצורך מתן שירות EasyWeek Business ללקוח.

משך הזמן לתקופת תנאי שירות ה-Business וכל תקופת שמירה לאחר הסיום הנדרשת לביצוע סעיף 13.

אופי העיבוד ומטרתו אירוח, אחסון, אחזור, ארגון, שינוי, העברה, מחיקה, אנונימיזציה, ניתוח סטטיסטי ופעולות עיבוד נוספות הנדרשות לצורך מתן שירותי הזמנה מקוונת, ניהול קשרי לקוחות, פיננסים וחשבוניות, אוטומציית שיווק, בניית אתרים, תזכורות והתראות, רישום בשוק, תכונות בסיוע בינה מלאכותית ופונקציות נלוות.

קטגוריות של נושאי המידע

• לקוחות הקצה של הלקוח ולקוחות פוטנציאליים
• עובדי הלקוח, עצמאיים, קבלנים ומשתמשים מורשים אחרים
• מבקרים בדפי ההזמנה המקוונת של הלקוח ובווידג'טים המוטמעים
• שולחים ומקבלים של תקשורת המנותבת דרך השירות

קטגוריות של מידע אישי

• נתוני זיהוי (שם, תמונה, מגדר)
• נתוני קשר (דואר אלקטרוני, טלפון, כתובת)
• פרטי גישה לחשבון של משתמשי הלקוח המורשים
• היסטוריית הזמנות ותורים
• הערות, קבצים, תמונות ומסמכים שהועלו על ידי הלקוח
• נתוני תוכנית נאמנות, יתרות כרטיסי מתנה ופלחי לקוחות
• תוכן תקשורת (SMS, WhatsApp, גוף הדואר האלקטרוני, גוף הודעות push, צ'אט באפליקציה)
• נתונים פיננסיים (רשומות חשבוניות, סטטוס תשלום, 4 ספרות אחרונות של כרטיסי תשלום — נתוני הכרטיס המלאים מעובדים ישירות על ידי Stripe ואינם מאוחסנים על ידי EasyWeek)
• נתונים טכניים (כתובת IP, מזהה מכשיר, דפדפן, שפה, חותמות זמן)
• כאשר הלקוח בוחר לתעד אותם: הערות הקשורות לבריאות (בהקשרי יופי, בריאות, רפואה או רפואת שיניים). הלקוח אחראי להבטיח שיש לו בסיס חוקי תקף לפי חוק הגנת הפרטיות הישראלי (PPL) ותקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017 לעיבוד "מידע רגיש" לפני תיעוד נתונים כאמור.

תדירות ההעברות רציפה.

שמירת מידע מידע אישי של הלקוח נשמר כל עוד הלקוח מורה כך וכמתואר בסעיף 13.

נספח ב' – אמצעים טכניים וארגוניים

EasyWeek מיישמת לפחות את האמצעים הבאים, אשר היא רשאית לעדכן מעת לעת, ובלבד שרמת ההגנה לא תפחת:

• פסאודונימיזציה והצפנה — TLS 1.3 עבור נתונים בתנועה ברשתות ציבוריות; AES-256 עבור נתונים במנוחה (אחסון מסד נתונים, אחסון אובייקטים, גיבויים); מפתחות הצפנה ייחודיים לדייר עבור שדות רגישים, ככל שישים.
• סודיות — בקרת גישה מבוססת-תפקידים עם עקרון הרשאות מינימליות, אימות רב-גורמי נדרש לכל גישה ניהולית, פסק זמן אוטומטי להפעלה, בקרות גישה מבוססות-IP עבור מערכות ייצור, התחייבויות סודיות בכתב לכל הצוות.
• שלמות — ניהול שינויים, סקירת קוד, סריקת תלויות אוטומטית, ארטיפקטים חתומים לפריסה, בדיקות שלמות על גיבויים.
• זמינות ועמידות — אירוח ייצור במרכזי נתונים של Hetzner בגרמניה עם חשמל ורשת כפולים, תזמור Kubernetes עם התאוששות אוטומטית, גיבויים יומיים עם שכפול בין-אזורי, תוכנית התאוששות מאסון מתועדת עם תרגילי שולחן שנתיים, דף סטטוס בכתובת status.easyweek.io.
• שחזור — שמירת גיבויים מספקת לשחזור השירות בעקבות אירוע פיזי או טכני; בדיקות שחזור רבעוניות.
• בדיקה והערכה — בדיקת חדירה שנתית של צד שלישי לסביבת הייצור, בדיקות אבטחת יישומים סטטיות ודינמיות רציפות ב-CI/CD, תהליך ניהול פגיעויות עם SLA מוגדרים לתיקון.
• הפרדת רשתות — סביבות ייצור, staging ופיתוח מופרדות באופן לוגי ופיזי; גישה ניהולית דרך שרתי מצודה בלבד.
• רישום ומעקב — יומני ביקורת מרכזיים עבור אירועי אימות, הרשאות, שינויי תצורה וייצוא נתונים, הנשמרים לפחות שנה אחת; ניטור מידע אבטחה ואירועים עם התראות על חריגות.
• פיתוח מאובטח — SDLC עם מודלינג איומים, סקירת עמיתים, סריקת סודות, ציות לרישיונות ותקני קידוד מיושרים עם OWASP.
• ניהול ספקים — חוזים בכתב עם כל מעבדי-המשנה המטילים חובות שקולות; סקירה תקופתית.
• אבטחת כוח אדם — בדיקות רקע ככל שמותר על פי דין; הדרכות מודעות אבטחה והגנת מידע עם קבלה לעבודה ומדי שנה לאחר מכן.
• ניהול אירועים — תורנות כוננות 24/7; ספר תגובה לאירועים מתועד; הודעה על הפרה תוך 72 שעות בהתאם לסעיף 10.
• אבטחה פיזית — גישה פיזית למתקני העיבוד נשלטת על ידי מעבד-המשנה המפעיל את המתקן (Hetzner, Google Cloud) תחת בקרות מוסמכות ISO 27001 / SOC 2.

נספח III – תת-מעבדים מאושרים

הרשימה העדכנית של תת-המעבדים של EasyWeek מפורסמת ומתוחזקת בכתובת /business/subprocessors. הרשימה בכתובת URL זו משולבת בזאת בדרך של הפניה ל-DPA זה ולנספח III.