נספח מס' 3 לתנאים של שימוש: הסכם עיבוד נתונים

בתוקף החל מ-26 בנובמבר 2025

הסכם עיבוד נתונים זה חל בינך לבין ESET בכל פעם שאתה מעבד נתונים אישיים כמעבד נתונים באמצעות השימוש בשירותי ESET המסופקים תחת התנאים, ו-ESET מעבדת נתונים אישיים כאלה בשמך כמעבד נתונים.

בהתאם לדרישות של תקנה ‎(EU) 2016/679 של הפרלמנט האירופי ושל הוועדה מה-27 באפריל 2016 בנושא ההגנה על בני אדם בכל הקשור לעיבוד נתונים אישיים והעברה של נתונים מסוג זה, המבטלת את תקנה ‎95/46/EC (להלן "GDPR"), הספק (להלן "מעבד") ואתה (להלן "בקרית נתונים") נמצאים בקשר חוזי של עיבוד נתונים על מנת להגדיר את התנאים וההתניות לגבי עיבוד של נתונים אישיים, אופן ההגנה עליהם, וכמו כן כדי להגדיר זכויות והתחייבויות אחרות של שני הצדדים לגבי עיבוד נתונים אישיים של נושאי נתונים בשמה של בקרית הנתונים במהלך ביצוע הפעולות הרלוונטיות מבחינת תנאים אלה בתור החוזה הראשי.

‎1. עיבוד נתונים אישיים. השירותים הניתנים בהתאם לתנאים אלה כוללים עיבוד מידע הנוגע לאדם טבעי, שמזוהה או ניתן לזיהוי, המופיע במדיניות הפרטיות (להלן "הנתונים האישיים"), בשמה של בקרית הנתונים.

2. הרשאה. בקרית הנתונים מאשרת למעבד לבצע עיבוד נתונים אישיים, לרבות ההוראות הבאות:

(i) 'מטרת העיבוד' פירושה מתן שירותים בהתאם לתיעוד ולתנאים אלה. המעבד רשאי לעבד נתונים אישיים מטעם בקרית הנתונים בלבד בכל הקשור לאספקת השירותים המבוקשים על ידי בקרית הנתונים. כל המידע שנאסף למטרות נוספות מעובד מחוץ לקשרים החוזיים שבין בקרית הנתונים והמעבד.

(ii) תקופת העיבוד פירושה התקופה ממועד הכניסה לשיתוף פעולה בהתאם לתנאים אלה ועד לסיום,

(iii) היקף וקטגוריות של נתונים אישיים פירושו כל נתונים אישיים המסופקים או נעשים זמינים על ידי בקרית הנתונים במהלך אספקת השירותים. השירותים מיועדים לעיבוד נתונים אישיים כלליים בלבד. עם זאת, בקרית הנתונים היא האחראי הבלעדי לקביעת היקף הנתונים האישיים.

(iv) 'נושא הנתונים' פירושו אדם טבעי בתור משתמש מורשה במכשירים של בקרית הנתונים, שעבורם השירותים מסופקים,

(v) פעילות עיבוד פירושה כל פעולה הדרושה לעיבוד,

(vi) 'הוראות מתועדות' הן ההוראות המתוארות בתנאים אלה, כולל נספחים, מדיניות הפרטיות ותיעוד השירות. בקרית הנתונים תהיה אחראית לקבילות המשפטית של עיבוד הנתונים האישיים על ידי המעבד ביחס להוראות החלות בהתאמה בחוק הגנת המידע.

3. התחייבויות המעבד. המעבד יהיה מחויב:

(i) עיבוד נתונים אישיים רק על בסיס הוראות מסומנות ובהתאם למטרת העיבוד,

(ii) להנחות את האנשים המורשים לעבד את הנתונים האישיים (להלן "האנשים המורשים") לגבי זכויותיהם וחובותיהם בהתאם ל-GDPR, על אחריותם במקרה של הפרה במטרה להבטיח כי האנשים המורשים התחייבו לסודיות ולפעול לפי ההוראות המתועדות,

(iii) לנקוט בכל האמצעים הקשורים לאבטחת העיבוד כפי הנדרש על פי סעיף 32 של ה-GDPR, תוך התחשבות במצב של אמנות, עלויות היישום והאופי, היקף, הקשר והמטרות של העיבוד, כמו גם הסיכון של סבירות ודרגות שונות לזכויות וחירויות של אנשים טבעיים, כדי להבטיח רמה של אבטחה בעת עיבוד הנתונים האישיים של בקרית המידע המתאימה לסיכון,

(iv) בהתחשב באופי העיבוד, לסייע לבקרית הנתונים בתגובה לבקשות של נושאי נתונים הקשורות לזכויות שלהם. המעבד לא יתקן, לא ימחק ולא יגביל את עיבוד הנתונים האישיים ללא הוראה של בקרית הנתונים. כל הבקשות של נושא הנתונים הקשורות לנתונים אישיים המעובדים מטעם בקרית הנתונים יועברו אל בקרית הנתונים ללא דיחוי.

(v) לסייע לבקרית הנתונים באמצעות התראה על הפרת נתונים אישיים לרשות הפיקוח ולנושא הנתונים. המעבד יודיע לבקרית הנתונים על כל הפרה של עיבוד נתונים אישיים או אבטחת נתונים אישיים, מיד לאחר הגילוי. המעבד ישתף פעולה במידה סבירה בחקירה ותיקון של הפרה כאמור, וינקוט אמצעים סבירים כדי להגביל השלכות שליליות נוספות.

(vi) על פי בחירתה של בקרית הנתונים למחוק או להחזיר את כל הנתונים האישיים אל בקרית הנתונים לאחר תום תקופת העיבוד. בקרית הנתונים מתחייבת להודיע למעבד על החלטתה תוך עשרה (10) ימים מתום תקופת העיבוד. הוראה זו לא תשפיע על זכותו של המעבד לשמור את הנתונים האישיים במידה הנדרשת למטרות ארכיון לטובת האינטרס הציבורי, למטרות מחקר מדעי, למטרות סטטיסטיות או לצורך יצירה, מימוש או הגנה על תביעות משפטיות.

(vii) לנהל רישום מעודכן של כל הקטגוריות של פעילויות העיבוד המתבצעות מטעם בקרית הנתונים,

(viii) להעמיד לרשות בקרית הנתונים את כל המידע הדרוש להוכחת ציות כחלק מהתנאים, הנספחים, מדיניות הפרטיות ותיעוד השירות שזמינים לבקרית הנתונים. במקרה של ביקורת או בקרה של עיבוד הנתונים האישיים מצד בקרית הנתונים, בקרית הנתונים מחויבת להודיע למעבד בכתב לפחות שלושים (30) יום לפני הביקורת או הבקרה המתוכננת.

4. שילוב מעבד אחר. המעבד רשאי להעסיק מעבד אחר לצורך ביצוע פעולות עיבוד ספציפיות, כגון אספקה של אחסון בענן ותשתית לשירות בהתאם לתנאים, לנספחים, למדיניות הפרטיות ולתיעוד. במקרה כזה, המעבד יישאר נקודת המגע היחידה והגורם האחראי לתאימות. המעבד מתחייב בזאת ליידע את בקרית הנתונים על כל תוספת או החלפה של מעבד אחר כדי שתהיה לה אפשרות להתנגד לשינוי כאמור. מעבדי המשנה הנוכחיים שמעורבים מוגדרים במדיניות הפרטיות של המעבד.

5. אזור העיבוד. המעבד מבטיח שהעיבוד יתקיים באזור הכלכלי האירופי או במדינה המוגדרת כבטוחה על פי החלטת הנציבות האירופית ובהתאם להחלטה של בקרית הנתונים. סעיפים חוזיים סטנדרטיים יחולו במקרה של העברות ועיבוד מחוץ לאזור הכלכלי האירופי או מדינה שהוגדרה כבטוחה על פי החלטת הנציבות האירופית לפי בקשת בקרית הנתונים.

6. אבטחה. המעבד ISO 27001 מוסמך ומשתמש במסגרת ISO 27001 ליישום אסטרטגיה של אבטחת הגנה שכבתית בעת החלת בקרות אבטחה בשכבת הרשת, מערכות ההפעלה, מסדי הנתונים, היישומים והאפליקציות, כוח האדם ותהליכי ההפעלה. מבוצעת הערכה ובדיקה של העמידה בדרישות הרגולטוריות והחוזיות באופן שוטף בדומה לתשתיות ולפעולות אחרות של המעבד, וננקטים צעדים נחוצים כדי לספק תאימות על בסיס רציף. המעבד ארגן את אבטחת הנתונים באמצעות ISMS ובהתאם ל-ISO 27001. תיעוד האבטחה כולל בעיקר מסמכי מדיניות בנושא אבטחת מידע, אבטחה פיזית, אבטחת ציוד, ניהול אירועים, טיפול בדליפות נתונים ואירועי אבטחה ועוד.

7. אמצעים טכניים וארגוניים. המעבד יגן על הנתונים האישיים מפני נזק והרס מזדמנים ובלתי חוקיים, אובדן מזדמן, שינוי, גישה וחשיפה בלתי מורשים. למטרה זו, המעבד יאמץ אמצעים טכניים וארגוניים נאותים המתאימים לאופן העיבוד ולסיכון שמציג העיבוד לזכויות נושאי הנתונים בהתאם לדרישות ה-GDPR. תיאור מפורט של האמצעים הטכניים והארגוניים כלול במדיניות האבטחה.

8. פרטים של המעבד ליצירת קשר. כל ההתראות, הבקשות, הדרישות והתקשורת האחרת הנוגעת להגנה על נתונים אישיים יופנו אל ESET, spol. s.r.o., לתשומת לבם של: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.