דלג לתוכן הראשי
LLUMINATE
משפטי8 דקות קריאה7 בפברואר 2025

הסכם עיבוד מידע (DPA) - מדריך ותבנית

הכל על הסכמי עיבוד מידע: מתי צריך, מה לכלול, ותבנית להורדה. חובה לכל התקשרות עם ספק.

הסכם עיבוד מידע (DPA) - כל מה שצריך לדעת

כשאתם נותנים לספק גישה למידע אישי, אתם חייבים הסכם עיבוד מידע.

מתי צריך DPA?

צריך DPA כאשר:

  • ספק ענן מאחסן מידע שלכם
  • חברת IT מתחזקת מערכות
  • שירות ניוזלטר שולח מיילים
  • רואה חשבון מקבל נתוני עובדים
  • שירות גיבוי
  • CRM כשירות
  • כל SaaS עם מידע אישי

לא צריך DPA:

  • ספק שלא נחשף למידע אישי
  • שירותים אנונימיים
  • ספק שהוא "בעל מאגר" עצמאי (לא "מעבד")

מה חייב להיות בהסכם?

1. הגדרת השירות

  • מה בדיוק הספק עושה
  • איזה מידע מועבר אליו
  • למה הוא משתמש בו

2. חובות הספק

אבטחה:

  • רמת אבטחה נדרשת
  • הצפנה
  • בקרת גישה
  • גיבויים

סודיות:

  • התחייבות לסודיות
  • הגבלה על עובדים
  • איסור שימוש למטרות אחרות

תת-קבלנים:

  • איסור או אישור מראש
  • אותן חובות על תת-קבלן

3. זכויות הלקוח

  • גישה ללוגים
  • ביקורות
  • דיווח על אירועים
  • סיום והחזרת מידע

4. העברה בינלאומית

  • היכן המידע מאוחסן
  • מנגנון העברה חוקי (אם רלוונטי)

5. תגובה לאירועים

  • חובת דיווח מיידית
  • שיתוף פעולה בחקירה
  • סיוע בהודעה לנפגעים

תבנית בסיסית

הסכם עיבוד מידע

בין: [שם החברה] ("הלקוח")
לבין: [שם הספק] ("המעבד")

1. הגדרות
"מידע אישי" - כל מידע הנוגע לאדם מזוהה...
"עיבוד" - כל פעולה הנעשית במידע...

2. תיאור העיבוד
המעבד יעבד מידע אישי עבור הלקוח לצורך: [תיאור]
סוגי המידע: [פירוט]
קטגוריות נושאי מידע: [לקוחות/עובדים/וכו']

3. חובות המעבד
3.1 לעבד רק לפי הוראות הלקוח
3.2 להבטיח סודיות
3.3 ליישם אמצעי אבטחה: [פירוט]
3.4 לא להעסיק תת-מעבד ללא אישור
3.5 לסייע בקיום זכויות נושאי מידע
3.6 להודיע על אירוע אבטחה תוך [24/48] שעות

4. ביקורות
ללקוח הזכות לבצע ביקורת בהודעה של [14] יום מראש

5. העברה בינלאומית
המידע יאוחסן ב: [מיקום]
[אם חו"ל: מנגנון העברה]

6. סיום
בסיום ההסכם, המעבד ימחק/יחזיר את המידע תוך [30] יום

7. אחריות
[סעיפי אחריות]

חתימות:
_______________    _______________
הלקוח              המעבד

טיפים לניהול DPAs

1. תיעוד מרכזי שמרו את כל ה-DPAs במקום אחד עם תאריכי תפוגה.

2. סקירה תקופתית בדקו שנתית שהספקים עומדים בהתחייבויות.

3. עדכון לפי שינויים שינוי בשירות = עדכון DPA.

4. ספקי ענן גדולים AWS, Google, Microsoft - יש להם DPA מוכן. בדקו שמתאים.

טעויות נפוצות

1. שכחו לחתום הספק עובד כבר שנה, אין הסכם.

2. DPA גנרי מדי לא מותאם לשירות הספציפי.

3. לא בודקים תת-קבלנים הספק משתמש ב-10 תת-קבלנים ולא ידעתם.

4. אין תאריך סיום מה קורה עם המידע כשמפסיקים?

סיכום

DPA הוא לא סתם ניירת - זו הגנה משפטית חיונית. ללא DPA תקין, אתם אחראים לכל מה שהספק עושה עם המידע.

צריכים עזרה בכתיבת DPA? LLUMINATE מספקת תבניות מותאמות וסקירת הסכמים קיימים.

צריכים עזרה מקצועית?

צוות המומחים של LLUMINATE מספק ליווי מלא בהיערכות לתיקון 13, מינוי DPO, וכל היבטי הגנת הפרטיות.

שירותי DPOמחשבון עמידה
פורסם: 7 בפברואר 2025מאת: LLUMINATE Privacy Experts
חזרה לכל המאמרים