הסכם עיבוד נתונים
הסכם עיבוד נתונים זה נחתם בין EasyLMS B.V ("המעבד") לבין לקוחותיה (הלקוח הוא ה"בקר") עבורם היא מעבדת נתונים אישיים כמעבד;
להלן כל אחד מהם "צד" וביחד "הצדדים";
והואיל ו:
א. הסכם עיבוד נתונים זה מהווה חלק בלתי נפרד מתנאי השימוש של Easy LMS ("תנאים והגבלות") וכן מההסכם בין המעבד לבקר, ביחס למערכת ניהול הלמידה המקוונת המוצעת על ידי המעבד לבקר ("השירות(ים)");
ב. על מנת שהבקר ומשתתפיו יוכלו לעשות שימוש בשירותים, על המעבד לעבד את הנתונים האישיים ("נתונים אישיים") של עובדי הבקר ו/או משתתפים אחרים (יחד: "נשואי הנתונים") המשתמשים בתוכן שנוצר על ידי הבקר בשירותים;
ג. קטגוריות הנתונים האישיים וכן הפרטים האחרים ביחס לעיבוד הנתונים האישיים מתוארים בנספח 1 להסכם עיבוד נתונים זה;
ד. האסדרה הכללית להגנה על מידע (תקנה (EU) 2016/679 של הפרלמנט האירופי והמועצה מיום 27 באפריל 2016 בנושא הגנה על אנשים טבעיים בכל הנוגע לעיבוד נתונים אישיים ועל תנועה חופשית של נתונים כאלה, וביטול הוראה 95/46/EC (להלן "GDPR"), חלה על עיבוד הנתונים האישיים;
ה. על בסיס GDPR, הצדדים נדרשים לחתום על הסכם עיבוד נתונים זה.
1. הגדרות
1.1. בנוסף למונחים המוגדרים לעיל, למונחים הבאים יהיו המשמעויות הבאות:
1.2. "DPA": רשות מוסמכת להגנה על נתונים.
1.3. "EEA": האזור הכלכלי האירופי.
1.4. "הפרה הנוגעת לנתונים אישיים": הפרת אבטחה המובילה להרס, אובדן, שינוי, חשיפה בלתי מורשית או גישה מקרית או בלתי חוקית לנתונים האישיים.
1.5. "עיבוד": אלה המבצעים פעולות המתבצעות עם הנתונים האישיים כהגדרתם ב-GDPR, לרבות, בין היתר, אחסונם, הצגתם, העברתם, מחיקתם, שינויים, העברתם.
1.6. "נספח": נספח להסכם עיבוד נתונים זה.
1.7. "הסכם השירותים": ההסכם שעל בסיסו מסופקים השירותים, אשר עשוי לכלול את תנאי השימוש ו/או סוג אחר של הסכם.
1.8. "מעבד משנה": צד שלישי שאליו המעבד מעביר בקבלנות משנה את עיבוד הנתונים האישיים, בין אם באופן מלא או חלקי.
2. התחייבויות כלליות
2.1. בנוגע לנתונים האישיים, המעבד ינקוט באמצעים טכניים וארגוניים מתאימים כדי להבטיח ציות ל-GDPR והגנה על זכויותיהם של נושאי הנתונים.
2.2. הבקר מצהיר כי הוא מציית ל-GDPR ביחס לנתונים האישיים המעובדים על ידי המעבד. באחריות הבקר לציית לחוקי הנתונים האישיים הרלוונטיים ביחס לנתונים האישיים שנוצרו בשירות או הועלו אליו. זה כולל, בין היתר, שיש בסיס משפטי לעיבוד (למשל הסכמה תקפה אם נדרשת) הנתונים האישיים, יידוע של נשואי הנתונים על עיבוד הנתונים האישיים שלהם ובדיקה שנשואי הנתונים הינם בגיל החוקי לשליחת הנתונים האישיים שלהם, אם רלוונטי.
3. עיבוד אך ורק על פי הוראות הבקר
3.1. מטרת העיבוד על ידי המעבד היא לאפשר למעבד לספק את השירותים.
3.2. המעבד יעבד את הנתונים האישיים רק על פי ההוראות הכתובות של הבקר, שהן פעילויות העיבוד המפורטות בנספח 1, או ההוראות הסבירות שניתנו אחרת על ידי הבקר בכתב (שניתן להכליל אותן בהודעת אימייל). המעבד יעבד את הנתונים האישיים מעבר להוראות הבקר רק אם יידרש לעשות זאת כדי לעמוד בחובה משפטית רלוונטית. במקרה זה, סעיף 3.3 להלן חל.
3.3. במקרה שהמעבד יהיה מחויב על פי החוק האירופי לחשוף כל אחד מהנתונים האישיים, המעבד יספק לבקר הודעה מיידית ויודיע לו על הדרישה החוקית הרלוונטית, אלא אם כן הדרישה החוקית אוסרת על המעבד לפרסם הודעה כזו מטעמים חשובים של עניין ציבורי. אם המעבד אינו מנוע מלהודיע לבקר, המעבד יימנע מלחשוף נתונים אישיים כלשהם עד שהבקר ינקוט צעדים לקבלת צו הגנה או סעד הולם אחר. אם צו הגנה כזה לא יתקבל, המעבד יספק רק נתונים אישיים בהתאם להודעה בכתב בזמן של הבקר, או, בהיעדר הודעה כזו בזמן, המעבד יספק נתונים אישיים כאלה שהוא רואה כנדרשים בהתאם לדרישה החוקית.
3.4. המעבד יודיע לבקר אם, לדעתו, הוראה שניתנה על ידי הבקר מפרה את ה- GDPR, ובמקרה זה המעבד לא יצטרך לציית להוראה.
4. סיוע לבקר
4.1. המעבד יספק את הסיוע המבוקש באופן סביר על ידי הבקר:
(i) בהתחשב באופי העיבוד, המעבד יסייע לבקר באמצעים טכניים וארגוניים מתאימים, ככל שהדבר אפשרי, למילוי התחייבויותיו של הבקר להגיב לבקשות נושאי הנתונים למימוש זכויותיהם, ככל שהמעבד יכול לעשות זאת עובדתית לאור השירותים. במקרה שהמעבד מקבל בקשה מנושא הנתונים, הוא יעביר בקשה כזו לבקר והבקר ימשיך לטפל בבקשה;
(ii) תוך התחשבות באופי העיבוד והמידע הזמין למעבד, המעבד יסייע לבקר לעמוד בהתחייבויות הבקר הנוגעות לאבטחה, יודיע על הפרות נתונים אישיים (ראו סעיף 5.4), חקירות על ידי DPA, הערכות ההשפעה של הגנת נתונים וייעוץ מוקדם אם הדבר נדרש.
5. אמצעי אבטחה והפרות לגבי נתונים אישיים
5.1. בהתחשב במצב החדשנות, עלויות היישום והאופי, ההיקף, ההקשר והמטרות של העיבוד, כמו גם הסיכון של סבירות וחומרה משתנות לזכויות ולחירויות של אנשים טבעיים, המעבד מיישם אמצעים טכניים וארגוניים מתאימים כדי להבטיח רמת אבטחה המתאימה לסיכון הכרוך בעיבוד.
5.2. בקר הנתונים מתחייב ומבטיח כי לא יבקש מנשואי הנתונים לשלוח לשירות נתונים אישיים הנחשבים לקטגוריה מיוחדת או לנתונים אישיים רגישים על פי החוקים החלים. זה נוגע למשל: נתונים הקשורים לבריאות, אמונות דתיות, דעות פוליטיות, גזע, רקע אתני, העדפה או התנהגות מינית, חברות באיגודים מקצועיים, רישומים פליליים, נתונים ביומטריים למטרות זיהוי, נתונים גנטיים. אמצעי האבטחה של השירותים אינם מתאימים לסוגים אלה של נתונים אישיים.
5.3. המעבד יישם אמצעים טכניים וארגוניים מתאימים כדי להבטיח שניתן יהיה לגשת לנתונים האישיים רק על ידי אותם אנשים בתוך ארגונו הנדרשים לקבל גישה אליהם לצורך מתן השירותים, למשל על ידי הגבלת כמות האנשים בעלי זכויות גישה.
5.4. באתר האינטרנט שלו, המעבד מספק מידע על אמצעי האבטחה שלו. בנוסף, לבקשת הבקר, המעבד יגיש סקירה כללית של אמצעי האבטחה הקיימים בעת הבקשה. בקר רשאי להגיש בקשה כזו פעם בשנה קלנדרית, אלא אם כן יש סיבה מבוססת היטב להגיש את הבקשה בתדירות גבוהה יותר, למשל במקרה של הפרת נתונים אישיים.
5.5. המעבד יודיע לבקר ללא דיחוי מיותר לאחר שנודע לו על הפרת נתונים אישיים. הודעה כאמור:
(i) תכלול את המידע הזמין בנוגע לדליפת הנתונים האישיים, לרבות, בין היתר, תיאור של דליפת הנתונים האישיים, הגורם לה; הקטגוריות, האופי והכמות (המשוערת) של הנתונים האישיים ונשואי הנתונים המושפעים והיקף דליפת הנתונים האישיים;
(ii) תסביר את ההשפעה של הפרת הנתונים האישיים על בקר הנתונים ועל נשואי הנתונים הרלוונטיים;
(iii) תסביר את הפעולה המתקנת שננקטה או שתינקט על ידי המעבד, הבקר ו/או נשואי הנתונים ואת טווח הזמן להשלמת פעולה כזו.
5.6. המעבד יספק את שיתוף הפעולה המבוקש באופן סביר על ידי הבקר, וימסור את המידע שבשליטתו, ביחס להודעה על הפרת נתונים אישיים ל-DPA, ולפי העניין, לנשואי הנתונים.
5.7. לא ניתן לדרוש מהמעבד להודיע על הפרת נתונים אישיים ל-DPA כלשהו, וגם לא לנשואי הנתונים, אלא אם כן המעבד מסכים לכך במפורש בכתב במקרה של הפרה ספציפית של נתונים אישיים.
5.8. כדי להשתמש בשירותים, על הבקר להשתמש בפרטי הכניסה כדי לגשת לחשבון שלו. הבקר חייב לשמור על פרטי כניסה אלה מאובטחים וסודיים, מכיוון שהוא מעניק גישה לנתונים האישיים. כמו כן, באחריות הבקר לוודא שנשואי הנתונים המשתמשים בשירותים שומרים על פרטי הכניסה שלהם מאובטחים וסודיים מכיוון שהם מעניקים גישה לנתונים האישיים שלהם.
6. סודיות
6.1. המעבד ייקח בחשבון סודיות ביחס לנתונים האישיים.
6.2. בגין האמור לעיל, המעבד:
(i) לא יחשוף את הנתונים האישיים לצד שלישי כלשהו, אלא אם כן הדבר מותר במפורש בהסכם עיבוד נתונים זה;
(ii) יישם אמצעים טכניים וארגוניים מתאימים כדי להבטיח שכל אדם שיש לו גישה לנתונים האישיים יקבל מידע על סודיות ויהיה מחויב לה.
7. קבלני משנה
7.1. המעבד משתמש במעבדי משנה המעבדים את הנתונים האישיים. לבקשת הבקר, המעבד ימסור את שמות מעבדי המשנה ואת מיקומם. אם המעבד מתכוון לשכור מעבד משנה אחר או נוסף כדי לעבד את הנתונים האישיים, הוא יודיע על כך לבקר מראש, לרבות תאריך ההתחלה של פעילויות העיבוד של מעבד המשנה. הבקר רשאי להתנגד לשינוי או להוספה בתוך שבעה (7) ימי עבודה לאחר ההודעה. אם עיבוד הנתונים האישיים אינו מושפע לרעה משינוי או הוספה כאלה, בקר הנתונים לא יתנגד באופן סביר כדי שהמעבד יוכל להמשיך להציע את השירותים. במקרה שהבקר יתנגד בזמן והמעבד לא יוכל לתקן את השירותים כדי להתאים להתנגדות הבקר תוך ארבעה עשר (14) יום מהתנגדות כזו, הבקר ו/או המעבד רשאים לסיים את השירותים והסכם השירותים והמעבד יחזיר את התשלומים שהבקר שילם מראש, אם בכלל, עבור תקופת המנוי הנותרת שבמהלכה השירות הופסק. בהתאם לתאריך ההתחלה של פעילויות העיבוד של מעבד המשנה החדש, נספח 2 יעודכן (או ייחשב מעודכן) במידע שנמסר אודות מעבד המשנה החדש; אם זהו מעבד משנה המעבד נתונים אישיים מחוץ לאזור הכלכלי האירופי, סעיף 8 חל גם הוא.
7.2. המעבד מבטיח כי מעבדי המשנה:
(i) מצהירים כי יישמו אמצעים טכניים וארגוניים מתאימים כדי להבטיח ציות ל-GDPR והגנה על זכויותיהם של נשואי הנתונים;
(ii) מחויבים בכתב לעמוד באותן התחייבויות שנקבעו בהסכם עיבוד נתונים זה, הרלוונטיות ביחס לפעילויות העיבוד של מעבד המשנה.
7.3. למען הסר ספק: אם הבקר משתמש בפונקציונליות באמצעות השירותים כאשר נוצר חיבור לשירותים המוצעים לבקר על ידי צדדים שלישיים, צדדים שלישיים אלה אינם מעבדי המשנה של המעבד; לבקר יש קשר משפטי ישיר עם צדדים שלישיים כאלה. לדוגמה, צדדים שלישיים אלה עשויים להיות פלטפורמות מדיה חברתית, ספקי דוא"ל וספקי שירות של הבקר כאשר לבקר יש חשבון משלו המקבל נתונים באמצעות אינטגרציות בפלטפורמה.
8. ייצוא נתונים (העברות מחוץ לאזור הכלכלי האירופי)
8.1. המעבד מעביר נתונים אישיים למדינה או למדינות (אם קיימות) המפורטות בנספח 2.
8.2. המעבד מבטיח שהמדינות או הצדדים שאליהם מועברים הנתונים האישיים מציעים רמה נאותה של הגנה. בהיעדר הגנה כזאת, אם נדרש שיתוף פעולה של הבקר, הבקר מסכים לספק את שיתוף הפעולה המבוקש על ידי המעבד כדי לארגן את אחד ממנגנוני ההעברה המפורטים ב- GDPR להעברה למדינה כזו ללא רמת הגנה נאותה, ובמקרה זה המעבד ו/או מעבד המשנה, במידת הצורך, מיישמים אמצעים משלימים כדי להגן על הנתונים האישיים.
9. דיווח, זכויות ביקורת
9.1. המעבד יאפשר לבקר, בכפוף לתנאי השימוש המפורטים בסעיף זה, גישה למנהלה שלו על מנת שהבקר יוכל לבקר את עמידתו של המעבד בתנאי השימוש של הסכם עיבוד נתונים זה. המעבד אינו מאפשר לבקר לגשת לנתונים אישיים של נשואי נתונים שאינם נשואי הנתונים.
9.2. הבקר רשאי למנות צד שלישי לביצוע הביקורת. הבקר יבטיח במקרה זה שהצד השלישי מחויב לשמור בסודיות את המידע של המעבד שאליו יש לצד השלישי גישה ביחס לביקורת ולא יגלה זאת לצד שלישי כלשהו.
9.3. הבקר לא יעשה שימוש בזכויות הביקורת שלו לפי סעיף זה יותר מפעם אחת בשנה קלנדרית. הבקר יודיע למעבד לפחות שבועיים מראש על הביקורת כדי לאפשר למעבד להתכונן אליה.
9.4. אם הביקורת תוכיח שהמעבד אינו עומד בהתחייבויותיו בהתאם להסכם עיבוד נתונים זה, המעבד ינקוט באמצעים המבוקשים באופן סביר על ידי הבקר כדי לעמוד בהתחייבויות אלה.
10. תקופה וסיום
10.1. תקופת הסכם עיבוד נתונים זה תהיה זהה לתקופה של הסכם השירותים. לפיכך, הסכם עיבוד נתונים זה יסתיים עם סיום הסכם השירותים.
10.2. אם הסכם השירותים אינו מציין את מועד סיומו - ולפיכך אין תאריך סיום להסכם עיבוד נתונים זה - חלות עילות הסיום הבאות: כל צד רשאי לסיים הסכם עיבוד נתונים זה בעתיד, ללא התחייבות לשלם נזקים, במקרה ש:
(i) הצד השני מגיש בקשה להגנה מפני פשיטת רגל, או שהדבר נתבקש על ידי צד שלישי;
(ii) הצד השני מגיש בקשה או מקבל השעיית תשלום;
(iii) הצד השני מגיש בקשה לחדלות פירעון או להליכים דומים לפי הדין החל, או שמונה לו כונס נכסים;
(iv) הצד השני חדל להמשיך בעסקיו.
10.3. הצדדים רשאים בכל עת להחליט במשותף לסיים הסכם עיבוד נתונים זה בהסכם בכתב.
11. סיוע בעת סיום ההסכם
11.1. המעבד יעבד את הנתונים האישיים במהלך השימוש של הבקר בשירותים.
11.2. הבקר חייב לוודא שהוא חילץ ומחק את הנתונים האישיים מחשבונו לפני סיום הסכם השירותים. אם המעבד חוסם את חשבון הבקר עקב אי ציות להסכם השירותים, המעבד, על פי בקשת המעבד, אשר תיעשה בתוך תקופה של עשרה (10) ימים לאחר חסימת החשבון, ועם תשלום תשלומים כלשהם שעדיין יש לשלם במסגרת הסכם השירותים, ימסור לבקר את הנתונים האישיים או, לפי שיקול דעתו של המעבד, יאפשר לבקר גישה לחשבון שלו במהלך תקופה של שלושה (3) ימים אך ורק כדי לחלץ ולמחוק את הנתונים האישיים. אם, לאחר תקופות אלה, הבקר לא מחק את הנתונים האישיים, המעבד שומר לעצמו את הזכות לעשות זאת באופן חד צדדי, ולמחוק את הנתונים האישיים לאחר שנתיים (2), אלא אם כן המעבד נדרש על פי החוקים החלים לשמור נתונים אישיים מסוימים. במקרה האחרון, המעבד ימחק את הנתונים האישיים לאחר תום תקופת השמירה החוקית.
12. שונות
12.1. ההוראות בהסכם השירותים חלות על עיבוד הנתונים האישיים ויגברו ביחס לסעיפים שאינם נוגעים להגנה על נתונים, כגון אחריות. אם הסכם השירותים מכיל הוראות להגנה על נתונים, הסכם עיבוד נתונים זה גובר על הוראות אלה.
12.2. במקרה שפעילויות המעבד ביחס להסכם עיבוד נתונים זה חורגות מהפעילויות הרגילות של המעבד עבור השירותים, המעבד זכאי לפיצוי סביר המבוסס על התשלום הרגיל של המעבד באותה עת. המעבד יספק פירוט של הפיצוי החשבוני.
12.3. מעבד יכול לתקן או לשנות הסכם עיבוד נתונים זה בהתאם להוראות בהסכם השירותים.
12.4. אם הוראה כלשהי בהסכם עיבוד נתונים זה תיקבע כבלתי חוקית או בלתי ניתנת לאכיפה על ידי בית משפט בעל סמכות שיפוטית, החלטה זו לא תשפיע בשום אופן על תוקפה או אכיפתה של כל הוראה אחרת בהסכם זה, והסכם עיבוד נתונים זה יפורש כאילו תנאי או הוראה אלה לא נכללו בו.
12.5. השיקולים תחת "והואיל ו", כמו גם הנספחים מהווים חלק בלתי נפרד מהסכם עיבוד נתונים זה.
13. החוק החל, יישוב סכסוכים
13.1. הסכם עיבוד נתונים זה כפוף באופן בלעדי לחוקי הולנד, למעט חוקים המנוגדים לו.
13.2. סעיף יישוב המחלוקות בהסכם השירותים חל על כל מחלוקת שתתעורר בין הצדדים.
נספח 1 – מידע בנוגע לעיבוד
- תיאור השירותים ופעילויות העיבוד:
סוג השירות: מערכת ניהול למידה מקוונת.
פעולות עיבוד: אחסון, גישה, תיקון ומחיקה לפי בקשת המבקר.
- קטגוריות של נתונים אישיים:
הבקר יכול לבחור את סוגי הנתונים האישיים המבוקשים מנשואי הנתונים, כגון:
- שם
- מספר טלפון
- תפקיד
- מין
- תאריך לידה
- שם רחוב
- מיקוד
- עיר או עיירה
- מדינה
- מספר עובד
- תשובות של נשוא הנתונים לשאלות טקסט חופשי
- תשובות של נשוא הנתונים לשאלות גרירה
נשואי הנתונים יכולים גם ליצור בעצמם נתונים אישיים כתוצאה מגישה ושימוש בתוכן שנוצר על ידי הבקר במערכת Easy LMS, כגון:
- תוצאות הבחינה
- תוצאות המבחן
- הערות שנוספו למערכת
- מסמכי הסמכה
הבקר אינו רשאי לבקש מנשואי הנתונים לשלוח קטגוריות מיוחדות של נתונים אישיים, או להעלות נתונים אישיים כאלה, הנוגעים ל: נתונים הקשורים לבריאות, אמונות דתיות, דעות פוליטיות, גזע, רקע אתני, העדפה או התנהגות מינית, חברות באיגודים מקצועיים, רשומות פליליות, נתונים ביומטריים למטרות זיהוי, נתונים גנטיים.
נספח 2 – מעבדי משנה
הנתונים האישיים מועברים למעבדי המשנה הבאים:
טבלה
מעבדי משנה |
|
|
|
מעבד משנה |
מדינה |
מדינה מחוץ לאזור הכלכלי האירופי ללא רמת הגנה נאותה? |
מנגנון העברה / אמצעי הגנה מתאימים: |
Amazon Web Services (AWS) (שירותי אירוח ודוא"ל) |
גרמניה |
לא, מדינת EEA |
לא ישים |
Intercom (צ'אט תמיכה) |
אירלנד |
לא, מדינת EEA |
לא ישים |
נספח זה ייחשב כמעודכן לאחר הודעה על השינויים לפי סעיף 7.1.