נספח אבטחת מידע והגנת הפרטיות

נספח זה הוא חלק בלתי נפרד מההסכם למתן שירותי סליקה ותשלומים (להלן: “ההסכם  העיקרי” ו-“השירותים“, בהתאמה) שנחתמו בין הלקוח החתום על הסכם העיקרי(להלן: “בעל השליטה” או “הלקוח“) לבין אר איי פי ווי די תשלומים ישראל בע”מ חברה רשומה בישראל (להלן: “המחזיק” או “החברה“, וביחד “הצדדים“).

הואיל ובמסגרת מתן השירותים, החברה עשויה להיחשף למידע אישי של לקוחות הלקוח ו/או עובדיו ו/או צדדים שלישיים אחרים (להלן: “המידע“); 

והואיל והצדדים מעוניינים להסדיר את חובותיהם בכל הנוגע לאבטחת מידע והגנת פרטיות המידע:

1. הגדרות

1.1. “דיני הגנת הפרטיות” – חוק הגנת הפרטיות, התשמ”א-1981, התקנות שהותקנו ויותקנו מכוחו, לרבות תקנות הגנת הפרטיות (אבטחת מידע), התשע”ז-2017, כפי שיעודכנו מעת לעת.

1.2. “מידע” – “מידע אישי” ו/או “מידע בעל רגישות מיוחדת” כהגדרת מונחים אלה בחוקי הגנת הפרטיות;

1.3. “מידע אישי” – כל מידע המתייחס לאדם מזוהה או ניתן לזיהוי, לרבות מידע רגיש. “אדם ניתן לזיהוי” הוא אדם שניתן לזהותו, במישרין או בעקיפין, באמצעות מאמץ סביר, לרבות באמצעות פרט מזהה כגון שם, מספר זיהוי, מזהה ביומטרי, נתוני מיקום, מזהה מקוון, או אחד או יותר מגורמים הספציפיים למעמדו הפיזי, הבריאותי, הכלכלי, החברתי או התרבותי של אותו אדם, הכל בהתאם להגדרת מונח זה בדיני הגנת הפרטיות.

1.4. “מידע בעל רגישות מיוחדת” – מידע אישי על צנעת חיי המשפחה של אדם, צנעת אישותו, נטייתו המינית, מצבו הבריאותי והנפשי, מוצא, עבר פלילי, דעות פוליטיות, אמונות דתיות, השקפת עולם, הערכת אישיות שנערכה מטעם גורם מקצועי או באמצעי שמיועד לביצוע הערכה של מאפייני אישיות מהותיים, נתוני מיקום ותעבורה, נתונים על שכר ופעילות פיננסית, מידע גנטי, מידע שהוא מזהה ביומטרי ומידע שחלה עליו חובת סודיות על-פי דין, והכל בהתאם להגדרת מונח זה בחוקי הגנת הפרטיות;

1.5. “נושאי המידע” – האנשים שהמידע נוגע אליהם.

1.6. “עיבוד” – כל פעולה המבוצעת על המידע, לרבות קבלתו, איסופו, אחסונו, העתקתו, עיון בו, גילויו, חשיפתו, העברתו, מסירתו או מתן גישה אליו.

2. התחייבויות הצדדים

2.1. התחייבויות בעל השליטה (המאגד)

2.1.1. בעל השליטה מצהיר כי הוא מקיים את חובותיו לפי דיני הגנת הפרטיות, לרבות רישום מאגרי מידע או דיווח לרשות להגנת הפרטיות, ככל שחלה עליו חובה כזו.

2.1.2. בעל השליטה מתחייב להודיע למחזיק על כל חובת רישום או דיווח החלה על מאגר המידע שבו מוחזק המידע, ומצהיר ומתחייב למסור פרטים מדויקים ועדכניים לרשות להגנת הפרטיות לאורך כל תקופת ההסכם והתחייבות זו, כנדרש על פי דיני הגנת הפרטיות.

2.1.3. בעל השליטה מתחייב לקבל את הסכמת נושאי המידע לעיבוד המידע האישי שלהם, בהתאם לדרוש לפי דיני הגנת הפרטיות, ולהודיע להם על העברת המידע למחזיק ועל מטרות העיבוד. כאשר הבסיס המשפטי עליו נסמך בעל השליטה הוא הסכמה, עליו להודיע למחזיק על כל ביטול של הסכמה זו בהקדם האפשרי. 

2.1.4. הלקוח מצהיר כי מאגר המידע שממנו מועבר מידע לחברה אינו חייב בהודעה או ברישום אצל הרשות להגנת הפרטיות וחלה עליו רמת האבטחה הבינונית או הבסיסית. ככל שהמידע יגיע ממאגר שחייב ברישום או בהודעה כאמור או שהוא ברמת אבטחה גבוהה, יודיע על כך הלקוח לחברה באופן מיידי בכתובת [email protected]. 

2.2. התחייבויות המחזיק (החברה)

2.2.1. המחזיק מתחייב לעבד את המידע אך ורק בהתאם להוראות בעל השליטה ולמטרת מתן השירותים המפורטים בהסכם העיקרי. על אף האמור לעיל, המחזיק רשאי לסרב לעבד מידע בהתאם להוראות בעל השליטה אם המחזיק סבור, על פי שיקול דעתו הסביר, כי עיבוד כאמור עלול להפר את דיני הגנת הפרטיות או כל דין אחר החל על המחזיק. במקרה כזה, המחזיק יודיע לבעל השליטה בכתב על סירובו ועל הסיבות לכך, והצדדים ישתפו פעולה בתום לב כדי למצוא פתרון מוסכם שיאפשר את מתן השירותים בהתאם לדין החל.

2.2.2. המחזיק מתחייב לציית להוראות דיני הגנת הפרטיות בכל הנוגע לעיבוד המידע.

2.2.3. המחזיק מתחייב להחתים מורשי הגישה מטעמו למידע האישי על התחייבות לשמירת סודיות המידע, לשימוש במידע אך ורק בהתאם להסכם העיקרי ולהתחייבות זו, ולפעול בהתאם להוראות אבטחת המידע בהתחייבות זו ובדיני הגנת הפרטיות.

3. מגבלות על השימוש במידע

3.1. המחזיק מתחייב לעבד את המידע אך ורק לצורך ביצוע השירותים, בהיקף ובמידה הנדרשים למטרה זו.

3.2. במקרה שהמחזיק נדרש להעביר את המידע לצדדים שלישיים לצורך מתן השירותים, המחזיק מתחייב להעביר את המידע רק לאותם עובדים, קבלני משנה, נציגים ו/או צדדים שלישיים אחרים מטעמו הזקוקים למידע אך ורק לצורך ביצוע השירותים, ורק להם (להלן: “מקבלי המידע“), לרבות מקבלי מידע הנמצאים מחוץ לישראל, ובלבד שהעברת המידע כאמור תהיה בהתאם לדיני הגנת הפרטיות. העברות למקבלי מידע כאמור מאושרות בזאת על ידי בעל השליטה.

3.3. על אף כל הוראה אחרת בהתחייבות זו, מובהר ומוסכם בזאת כי כאשר אדם משתמש בשירותי המחזיק לצורכי תשלום בבתי עסק (“הסוחר“), אותו אדם מספק את המידע שלו ישירות לסוחר, והסוחר ייחשב כבעל שליטה עצמאי במאגר המידע הרלוונטי. לפיכך, בעל השליטה מסכים בזאת כי כל העברת מידע כאמור על ידי אדם לסוחר תהיה מחוץ לתחולת התחייבות זו וההוראות המפורטות בה לא יחולו.

3.4. המחזיק רשאי, לפי שיקול דעתו הבלעדי, להעסיק מעבדי משנה לצורך עיבוד המידע. בעל השליטה מאשר בזאת את השימוש במעבדי משנה על ידי המחזיק, בכפוף לתנאים הבאים: (א) המחזיק יפרסם באתר האינטרנט שלו או יספק לבעל השליטה, לפי בקשתו, רשימה של מעבדי המשנה המעבדים את המידע; (ב) המחזיק יתקשר עם מעבדי המשנה בהסכמים לאבטחת מידע. 

4. אבטחת מידע

4.1. בעלי תפקידים

4.1.1. ככל שנדרש על פי הוראות דיני הגנת הפרטיות, המחזיק מתחייב למנות ממונה אבטחת מידע שיהיה אחראי למילוי כל חובות אבטחת המידע של המחזיק על פי דיני הגנת הפרטיות, ככל שחלות, ולמנות איש קשר שיהיה אחראי ליישום דרישות אבטחת המידע המפורטות בהסכם העיקרי ובהתחייבות זו.

4.1.2. ככל שנדרש על פי הוראות דיני הגנת הפרטיות, המחזיק מתחייב למנות ממונה על הגנת הפרטיות שיהיה אחראי למילוי התפקידים המוגדרים של ממונה על הגנת הפרטיות בהתאם לדיני הגנת הפרטיות.

4.2. מדיניות ונהלים

המחזיק אימץ ומיישם נהלי אבטחת מידע מתאימים בהתאם להוראות דיני הגנת הפרטיות והתחייבות זו.

4.3. דיווח וביקורת

4.3.1. המחזיק מתחייב לספק לבעל השליטה, לפי דרישתו אך לא יותר מפעם בשנה קלנדרית, דוחות כתובים עדכניים בנוגע לביצוע ההסכם העיקרי והתחייבות זו, ועמידת המחזיק בהוראות דיני הגנת הפרטיות.

4.3.2. ככל שנדרש בהתאם לדיני הגנת הפרטיות, המחזיק יערוך ביקורת פנימית או חיצונית בנושא אבטחת מידע, על ידי גורם בעל הכשרה מתאימה , אחת ל-24 חודשים.

4.4. בקרת גישה; אימות וזיהוי

4.4.1. המחזיק מתחייב להפעיל בקרת גישה למידע באופן שיאפשר לכל אחד מעובדיו המורשים של המחזיק לגשת למידע רק על בסיס צורך לדעת, לשמור רישום מעודכן של אותם עובדים מורשים לגשת למידע של בעל השליטה, ולבטל גישה באופן מיידי לאדם שאינו זקוק עוד לגישה למידע.

4.4.2. המחזיק מתחייב ליישם מנגנון בקרה המנהל ומתעד יומני פעילות (לוגים) המתעדים את פעילות המחזיק ביחס למידע.

4.4.3. המחזיק מתחייב לאפשר גישה למערכות שבהן מאוחסן המידע רק באמצעות שמות משתמש וסיסמאות אישיים וייחודיים. כל סיסמת משתמש תורכב משילוב של אותיות ומספרים, תהיה באורך של לפחות שמונה תווים, ותהיה בעלת תקופת תוקף שאינה עולה על 180 ימים.

4.5. כוח אדם

4.5.1. בדיקות רקע – המחזיק מצהיר כי טרם מתן גישה למידע, הוא בחן באופן סביר את התאמת עובדיו למטרות אלה.

4.5.2. הדרכה ומודעות עובדים – המחזיק יבצע פעילויות הדרכה תקופתיות לעובדיו המעורבים בביצוע השירותים, בדבר נהלי אבטחת מידע בהתאם לדיני הגנת הפרטיות והתחייבות זו, בהיקף ובתדירות הנדרשים לצורך ביצוע תפקידיהם. הדרכה כאמור תבוצע לפחות אחת לשנתיים, ולצורך הרשאת עובד חדש לתפקיד חדש – בסמוך ככל האפשר למועד הרשאתו.

4.6. אבטחת מערכות מידע

המחזיק מתחייב לאבטח את מערכות המידע שלו כדלקמן:

4.6.1. טכנולוגיות אבטחת מידע – להטמיע טכנולוגיות ואמצעי אבטחת מידע מתאימים לרשת הארגונית, ולהגן על מערכות המידע של המחזיק, לרבות תחנות עבודה, שרתים, מערכות רשת, ציוד משתמש קצה וציוד נייד, באמצעות טכנולוגיות אבטחת מידע מתאימות ושמירה על עדכוני אבטחה.

4.6.2. עדכון מערכות – לעדכן באופן סדיר את המערכות המשמשות את המחזיק לביצוע ההסכם העיקרי, וכן את חומרת המחשב הנדרשת להפעלתן. מובהר כי לא ייעשה שימוש במערכות שהיצרן אינו מספק להן תמיכת אבטחה, אלא אם כן מיושמים אמצעי אבטחה מתאימים.

4.6.3. הפרדת מערכות – להפריד, באמצעים פיזיים ו/או לוגיים, במידה סבירה האפשרית, בין מערכות המחזיק המספקות גישה למידע לבין מערכות אחרות המשמשות את המחזיק.

4.6.4.הצפנת מידע בתקשורת – לא לאפשר גישה לתשתיות מאגרי המידע מרשת האינטרנט, ולא להעביר את המידע על גבי רשת האינטרנט או רשת ציבורית אחרת, אלא אם המידע מוצפן בשיטת הצפנה המקובלת בתעשייה, והמשתמש מזדהה על בסיס אמצעי פיסי הנתון לשליטתו הבלעדית.

4.6.5.תקנים ניידים – לא להוציא מחצרי המחזיק אמצעי אחסון המכילים מידע של הלקוח, לא לשמור מידע השייך ללקוח על גבי התקנים ניידים מבלי להצפין אותו באמצעי הצפנה המקובלים בתעשייה.

4.6.6. שמירת נתוני אבטחה – המחזיק ישמור את נתוני האבטחה הנאספים במסגרת יישום הוראות נספח זה, כנדרש לפי הדין, באופן מאובטח.

4.7. אבטחה פיזית

במקרים המתאימים, המחזיק מתחייב לנקוט באמצעי אבטחה פיזיים כדלקמן:

4.7.1. לאפשר גישה פיזית למתחמי הלקוח לגורמים מורשים בלבד.

 4.7.2. להגן על חדרי השרתים ומערכות המידע המרכזיות של הלקוח באמצעי אבטחה פיסיים ולנהל בקרה ותיעוד ממוחשבים של הגישה או של ניסיונות גישה לחדרים אלו.

4.7.3 במקרה של מתן השירותים בחצרי הלקוח, לשמור בסודיות את סיסמת ההרשאה (ככל שתינתן לעובדי המחזיק), לנעול את המסכים ותחנות עבודה בכל עת בה עובדי המחזיק עוזבים את תחנת העבודה.

5. אירועי אבטחת מידע

5.1. בכל מקרה שבו אירע אירוע אבטחת מידע, כהגדרתו בהוראות דיני הגנת הפרטיות, המשפיע על המידע שנאסף, אוחסן או עובד על ידי המחזיק או מטעמו עבור בעל השליטה (“אירוע אבטחת מידע“), המחזיק ידווח על כך בכתב לבעל השליטה בהקדם האפשרי, ובכל מקרה לא יאוחר מ-72 שעות מהמועד שבו המחזיק נודע לו על אירוע אבטחת המידע כאמור.

5.2. המחזיק לא יפרסם, בכל צורה שהיא, מידע על אירוע אבטחת המידע לצד שלישי כלשהו, אלא בהסכמה מראש ובכתב של בעל השליטה, למעט כנדרש במפורש על ידי רשות מוסמכת או על פי דין החל.

6. תקופת שמירת המידע; ביעור המידע

6.1. מיד עם סיום ההסכם העיקרי, המחזיק ישיב (אם התקבל כמידע “פיזי”) או ימחק וישמיד, לפי שיקול דעתו הבלעדי של בעל השליטה, את כל המידע שהועבר למחזיק (למעט גיבויים) ו/או שנמצא ברשותו בכל מדיה שהיא, לרבות פלטים וחומרים שהוכנו, עובדו או פותחו על ידי המחזיק תוך שימוש במידע במסגרת מתן השירותים, וימחק חומרים כאמור מכל המדיה שברשותו מבלי להשאיר בידי המחזיק כל עותק של מידע כאמור, למעט עותק אחד שנחוץ להגנה על האינטרסים הלגיטימיים של המחזיק, לרבות לצורכי הגנה משפטית או עותקים בגיבויים שוטפים שגרתיים. אם קיימת הוראה בהתאם לדין החל המחייבת את המחזיק לשמור את המידע, אזי המחזיק מתחייב לשמור את המידע בהתאם להתחייבות זו ולהוראות דיני הגנת הפרטיות למשך תקופת השמירה כאמור.

7. כללי

7.1. הוראות נספח זה חלות אך ורק על פעולות החברה כמחזיק במידע במסגרת מתן השירותים ללקוח, ולא על פעולות החברה כבעלת שליטה במאגר.

7.2. המחזיק מודע לכך שלרשות להגנת הפרטיות יש סמכות לפקח על פעולותיו במסגרת ההסכם העיקרי, והוא מתחייב לשתף פעולה עם הרשות אם יידרש לכך.

7.3. בעל השליטה מתחייב לשפות ולפצות את המחזיק, עובדיו, מנהליו ונציגיו בגין כל נזק, הפסד, הוצאה, קנס או חבות (לרבות הוצאות משפטיות סבירות) שייגרמו למחזיק כתוצאה מתביעות או דרישות של צד שלישי הנובעות מ: (א) הפרה של בעל השליטה את התחייבויותיו על פי התחייבות זו או על פי דיני הגנת הפרטיות; (ב) עיבוד מידע על ידי המחזיק בהתאם להוראות בעל השליטה, כאשר עיבוד כאמור כשלעצמו מהווה הפרה של דיני הגנת הפרטיות; או (ג) כל מעשה או מחדל של בעל השליטה בקשר עם המידע. חובת השיפוי כאמור תחול בתנאי שהמחזיק יודיע לבעל השליטה בהקדם האפשרי על כל תביעה או דרישה כאמור, יאפשר לבעל השליטה לנהל את ההגנה ולא יתפשר בכל תביעה או דרישה כאמור ללא הסכמת בעל השליטה מראש ובכתב.

7.4. אחריות המחזיק על פי התחייבות זו תהיה כפופה להוראות הגבלת האחריות הקבועות בהסכם העיקרי.

7.5. התחייבות זו תהיה כפופה באופן בלעדי לדין הישראלי. לבית המשפט המוסמך בתל אביב-יפו תהיה סמכות שיפוט בלעדית וייחודית על המחלוקות שיתעוררו בקשר עם התחייבות זו.