מדיניות אבטחת מידע ופרטיות – DPA
לסה ויז’ן מערכות בע”מ (להלן: “לסה ויז’ן“) הינה המפתחת והמפעילה של מערכת Timewatch לניהול נוכחות עובדים ומספקת שירותי תמיכה ותחזוקה הקשורים בכך (להלן: “מערכת Timewatch” ו”השירותים” בהתאמה).
מדיניות אבטחת מידע ופרטיות זו מהווה חלק בלתי נפרד מכל הסכם שבין לסה ויז’ן ובין הלקוח של לסה ויז’ן העושה שימוש במערכת ובשירותים (להלן: “ההסכם” “המזמין“), ונועדה לפרט ולהביא בפני המזמין את התחייבויותיה של לסה ויז’ן בקשר עם רגולציית הגנת הפרטיות החלה, לרבות חוק הגנת הפרטיות, התשמ”א-1981 והתקנות והדינים שפורסמו מכוחו (“חוק הגנת הפרטיות“) והוראות ה-General Data Protection Regulation (EU) 2016/679 (להלן: “GDPR“) ככל והיא רלבנטית למתן השירותים (יחדיו ובהתאם לרלבנטיות “רגולציית הגנת הפרטיות“).
מדיניות זו תחול על כל מידע אישי שמעבדת לסה ויז’ן בעבורו ובשמו של המזמין, כהגדרתם של מונחים אלו ברגולציית הגנת הפרטיות (“מידע אישי” או “מידע“).
התחייבויות והצהרות המזמין
1. המזמין מאשר כי לפי דרישתו ולצורך ניהול כוח האדם שלו, מעמידה לסה ויז’ן לרשותו תוכנה לניהול נוכחות עובדים, נתוני שכר ומשאבי אנוש (מערכת Timewatch), וכן שירותי תמיכה תחזוקה, ואחסון של המערכת וכלל המידע הכרוך בכך. המזמין הינו הבעלים של המידע והוא קובע את התכליות והאמצעים של השימוש במידע, ואין ללסה ויז’ן כל זכות לעשות שימוש כלשהו במידע האישי של המזמין שלא לצורך מתן השירותים למזמין. מבלי לגרוע מחובותיה של לסה ויז’ן לפי דין ולפי מדיניות זו, המזמין יישא באחריות ישירה לקיום כלל הוראות הדין הנובעות מכך שהוא הבעלים של המידע.
2. המידע שמזין המזמין למערכת Timewatch עלול להכיל, בין היתר “מידע אישי בעל רגישות מיוחדת” כהגדרתו ברגולציית הגנת הפרטיות, וכן פרטי זיהוי, פרטי נוכחות, מידע אודות ימי מחלה וחופשה, אישורי מחלה, טפסים שונים, מידע הקשור לשכר עובדי המזמין ומידע נוסף הקשור במזמין ובעובדיו.
3. המזמין מתחייב לעשות שימוש במערכת Timewatch בהתאם להוראות הדין. בין היתר, מתחייב המזמין כי טרם הזנת מידע אישי למערכת Timewatch , הוא קיבל ויקבל את ההסכמות וההרשאות הנדרשות לפי כל דין.
4. המזמין יהיה אחראי באופן בלעדי לנכונות ועדכניות המידע השמור במערכת Timewatch, ולסה ויז’ן לא תשא באיזו אחריות ישירה הקשורה לזכויות מושאי המידע של הלקוח (בקשות למחיקת מידע, תיקונו וכו’), למעט אם קבוע אחרת ברגולציית הגנת הפרטיות וכקבוע להלן. לסה ויז’ן לא תהיה רשאית לעדכן ו/או להשיב לצדדים שלישיים בכל הנוגע למידע של המזמין, ובכל מקרה בו תתקבל פנייה הנוגעת למידע של המזמין המוחזק במערכת Timewatch, תנחה לסה ויז’ן את הפונה לפנות למזמין (למעט אם קיימת חובה אחרת לפי כל דין).
5. ככל שלמזמין שעוני נוכחות הכוללים זיהוי ביומטרי, לרבות כאלו שנמכרו למזמין על ידי לסה ויז’ן, הרי ששעונים אלו והמידע השמור בהם הינם בבעלותו המלאה של המזמין או מי מטעמו, ולסה ויז’ן מספקת למזמין שירותי תחזוקה ותמיכה נקודתיים מעת לעת ולפי הצורך.
6. המזמין יודע ומסכים כי לצורך פעילותה התקינה של מערכת Timewatch ולצורך שליחת הודעות ועדכונים הקשורים במערכת, ייתכן ולסה ויז’ן תשמור במערכת Timewatch או באיזה ממערכותיה האחרות פרטים מזהים ופרטי קשר של המזמין ו/או עובדיו הרלבנטיים המשמשים כאנשי קשר ללסה ויז’ן מטעם המזמין.
התחייבויות והצהרות לסה ויז’ן בקשר עם המידע האישי
7. מבלי לגרוע מהתחייבויותיה לפי כל דין ולפי ההסכם, לסה ויז’ן מתחייבת לספק את השירותים באופן העולה עם הוראות הדין לרבות, תקנות הגנת הפרטיות.
8. לסה ויז’ן מתחייבת שלא לעשות שימוש במידע האישי, לא לבצע בו כל פעולה ולא לאחסן אותו לשום צורך החורג ממתן השירותים למזמין לפי ההסכם. בכל מקרה של ספק, לסה ויז’ן מתחייבת לפנות למזמין ולקבל הבהרות טרם ביצועה של כל פעולה. למען הסר ספק יובהר כי האמור לא יחול ביחס לשימוש מקובל ב”נתוני שימוש” אגרטיביים, סטטיסטיים ובלתי מזוהים לצורך תחזוקת והפעלת השירותים.
9. לסה ויז’ן תספק למזמין כניסה והרשאות לשליטה מלאה בחשבון המזמין במערכת Timewatch (גישת אדמין), והגישה של לסה ויז’ן ועובדיה למידע האישי של המזמין תהיה על בסיס צורך נקודתי ולצורך מתן השירותים בלבד. ככל שלסה ויז’ן, במסגרת שירותי התמיכה והתחזוקה למזמין, תתבקש לסייע למזמין בהגדרת וניהול הרשאות הגישה, לסה ויז’ן לא תהיה אחראית מבחינה מהותית להגדרת המשתמשים וההרשאות השונות, ובלבד שביצעה את הוראות המזמין כפי שהועברו אליה. המזמין מתחייב לנקוט באמצעים הנדרשים מצידו למניעת גישה של גורמים בלתי מורשים למידע אישי.
10. לפי הצורך ובהתאם לקבלת פנייה מטעמם, לסה ויז’ן תספק לעובדי המזמין תמיכה טכנית בכל הקשור לשימוש באפליקציית הסלולר של מערכת Timewatch, אך כאמור לא תהיה רשאית להשיב לעובדי המזמין, כמו גם לכל גורם אחר, בכל הקשור למידע המוחזק במערכת.
11. לסה ויז’ן לא תגלה מידע אישי של המזמין לכל אדם או גוף ללא הסכמה של המזמין למעט אם (א) הדבר נדרש לצורך מתן השירותים לפי ההסכם; (ב) גילוי כאמור נדרש לפי דין, והודעה על מסירת המידע האישי לפי דין הועברה למזמין מראש.
12. לסה ויז’ן מתחייבת לשמור ולעבד את המידע האישי של המזמין בהפרדה לוגית ממידע של לקוחות אחרים של לסה ויז’ן וממערכות אחרות המשמשות את לסה ויז’ן במסגרת עסקיה.
13. לסה ויז’ן מתחייבת לשמור את המידע האישי בסודיות, ותוך נקיטת אמצעי אבטחה טכנולוגיים וארגוניים מתאימים, ההולמים את רמת הסיכון הכרוכה במידע האישי המסוים, ומבטיחים את שלמותו, סודיותו, זמינותו ושרידותו. אמצעים אלו יכללו בין היתר:
א. מינימליזציה בשמירת ואיחסון מידע אישי בהתאם לנדרש לצורך מתן השירותים למזמין ובהתאם להגדרות שייקבעו על ידו במערכת (מערכת Timewatch מאפשרת למזמין לשלוט במשך שמירת המידע במערכת, בכפוף להוראות הדין);
ב. קביעת נהלים ופרוצדורות ארגוניות הכוללות בקרות מתאימות, לרבות נהלי אבטחת מידע ומדיניות ארגונית הנוגעת לשימוש באמצעי אחסון ניידים ונתיקים;
ג. ניהול הרשאות מחמיר בכל הקשור לגישה למידע האישי;
ד. שימוש באמצעים טכנולוגיים שתכליתם מניעת חדירה למערכות לסה ויז’ן וסיכון של המידע של המזמין;
ה. תיעוד אוטומטי ושוטף של הגישה למידע האישי ופעולות אבטחה הקשורות בו, בהתאם לדרישות הדין;
ו. גיבוי שוטף של המידע של המזמין והחזקת יכולת שחזור מלאה שלו כמקובל;
ז. הסמכה לפי תקן ISO 27001:2022.
14. לסה ויז’ן תקיים הדרכות לעובדיה, הנוגעות לחובות הגנת הפרטיות ואבטחת מידע החלות עליה ועל עובדיה, בהתאם לדרישות הדין. עובדים חדשים המקבלים גישה למידע של המזמין יעברו הדרכה שכזו סמוך למועד תחילת עבודתם.
15. לסה ויז’ן מתחייבת כי כל עובד שלה ו/או גורם מטעמה שיקבל גישה למידע של המזמין, חייב בהתחייבות לשמירה על סודיות ואבטחת המידע האישי.
16. לסה ויז’ן, באמצעות מערכת Timewatch, תעמיד ללקוח ממשקים מתאימים שיאפשרו לו למלא אחר חובותיו הקשורות בזכויות העובדים בקשר עם המידע האישי שלהם, ובכלל זה ממשקים המאפשרים מחיקה והסרה של עובדים ממערכת Timewatch, בכפוף להוראות הדין.
17. בכל מקרה של פגיעה באבטחת המידע של המזמין שיש בה כדי לסכן את שלמות, סודיות ו/או עדכניות המידע האישי השמור אצלו ומוחזק במערכותיו (להלן: “אירוע אבטחת מידע”), לסה ויז’ן תפעל בהתאם לנוהל עדכני ומסודר שהטמיעה, ובין היתר תפעל כדלקמן:
א. תודיע למזמין על אירוע אבטחת המידע מיד בסמוך לאחר שנודע לה עליו, ותוך לא יותר מ- 48 שעות ממועד שנודע לה על האירוע כאמור;
ב. תתעד (ככל האפשר) את אירוע אבטחת המידע ואת הפעולות שבוצעו במסגרתו;
ג. תנקוט באמצעים נדרשים לתיקון ו/או צמצום הפגיעה העלולה להיגרם לפרטיותם של אנשים כתוצאה מאירוע אבטחת המידע;
ד. תשתף פעולה עם המזמין בכל הקשור לבדיקת אירוע אבטחת המידע ומילוי חובותיו של המזמין בקשר עם האירוע, לרבות בדרך של מסירת דוחות;
ה. תבצע כל פעולה אחרת הנדרשת בהתאם לחובותיה לפי דין ובהתאם לדרישת הרשויות המתאימות ככל שיהיו.
18. לסה ויז’ן מתחייבת לשמור ולאחסן את המידע האישי בישראל ו/או באחת מהמדינות הכלולות בשטחי האיחוד האירופאי הכלכלי (EEA). החברה תהיה רשאית להעביר את המידע מחוץ לשטחים אלו, ובלבד שהעברה זו אושרה על ידי המזמין מראש ובכתב, ועומדת באחד התנאים המפורטים להלן:
א. עיבוד במדינה אחרת לגביה התקבלה adequacy decision מאת האיחוד האירופי בהתאם להוראות הפרק החמישי ל- GDPR (לרבות תוכניות ייעודיות כדוגמת ה- EU US DPF);
ב. עיבוד של מידע בכפוף להחתמת הגורם אליו מועבר המידע על ה- Standard Contractual Clauses המפורסמים על ידי האיחוד האירופי, כפי שיהיו מעת לעת;
ג. כל מתווה אחר העומד בדרישות הדין, לרבות הוראות ה- GDPR והוראות תקנות הגנת הפרטיות (העברת מידע למאגרי מידע מחוץ לגבולות המדינה), תשס”א-2001.
19. לסה ויז’ן הסדירה והטמיעה נוהל מסודר וברור לניהול רכש וספקים הקשורים במערכות מידע ו/או מקבלים גישה למידע של לסה ויז’ן ו/או מי מלקוחותיה. היה ולצורך מתן השירותים לפי ההסכם לסה ויז’ן תעשה שימוש בספקים חיצוניים מטעמה, ואותם ספקים יקבלו גישה רציפה למידע האישי של המזמין, לסה ויז’ן מתחייבת בזאת כי מתן גישה כאמור ייעשה רק לאחר שתוודא כי אותו ספק חיצוני נוטל על עצמו התחייבויות שאינן נופלות מהתחייבויות לסה ויז’ן לפי הסכם זה, באופן המבטיח את שלמות, אבטחת וסודיות המידע. בכפוף לעמידה בנהלים ובהתחייבויות אלו, כמו גם הוראות תקנות הגנת הפרטיות, המזמין מתיר ומרשה ללסה ויז’ן להתקשר עם ספקים כאמור.
20. לסה ויז’ן מתחייבת כי תסייע למזמין ותשתף עימו פעולה, לרבות בדרך של הצגת דוחות ואישורים, בכל מקרה בו יידרש המזמין להוכיח את עמידתו בהוראות הדין החלות עליו והנוגעות למידע האישי. ככל והאישורים והדוחות האמורים לא יספקו את דרישות אבטחת המידע וחובות המזמין לפי דין, המזמין יהיה רשאי לערוך ביקורת אבטחת מידע ביחס לפעילות לסה ויז’ן בכפוף לתנאים המפורטים להלן (“ביקורת”): (א) תיאום מראש של לפחות 14 ימי עסקים; (ב) הביקורת תיערך בימים א-ה בין השעות 09:00-16:00 תוך הפרעה מינימאלית לפעילות הרגילה של לסה ויז’ן; (ג) ככל והמזמין יבקש לערוך את הביקורת על ידי גורם צד ג’ מטעמו, לסה ויז’ן תאשר את זהות הגורם מראש (ובלבד שלא תתנגד אלא מטעמים סבירים); (ד) הביקורת תתייחס אך ורק למידע האישי של המזמין ולא תתייחס למידע אחר של לסה ויז’ן ו/או של לקוחותיה האחרים; (ה) למזמין ו/או לעורך הביקורת מטעמו לא תינתן גישה ישירה לתשתיות המחשוב של לסה ויז’ן והוא לא יהיה רשאי לבצע כל מבדק חדירות ו/או סריקת פגיעויות על תשתיות לסה ויז’ן (למעט אם הדבר תואם מראש ובכתב); (ו) הביקורת וממצאיה יהיו כפופות לחתימה על כתב סודיות סטנדרטי; (ז) ביקורת כאמור לא תיערך יותר מפעם בשנה קלדנארית למעט אם אירע אירוע אבטחת מידע או קיימת דרישה רגולטורית מפורשת.
21. לסה ויז’ן מתחייבת למסור למזמין, אחת לשנה לפחות ובכפוף לקבלת דרישה כתובה מהמזמין, דיווח על אודות ביצוע חובותיה לפי תקנות הגנת הפרטיות.
22. לסה ויז’ן מתחייבת להחזיק ביטוח אחריות מקצועית המתאים לפעילותה.
כללי
23. כל הוראות ההסכם שלא תוקנו במפורש בהתאם להוראות מדיניות זו נשארות בעינן ללא כל שינוי. בכל מקום בו קיימת סתירה בין הוראות ההסכם ובין הוראות מדיניות זו בכל הקשור לעיבוד מידע אישי, יגברו הוראותיה של מדיניות זו.
24. התחייבויותיה של לסה ויז’ן לפי מדיניות זו, יהיו כפופות להוראות ההסכם הנוגעות לשיפוי והגבלת אחריות.
25. האמור במדיניות זו אינו בא לגרוע מחובתו של מי מהצדדים לעמוד באיזו חובה חוקית אחרת ו/או נוספת הנגזרת מהחזקת ועיבוד המידע האישי.
אנא הזינו את פרטיכם ונשוב אליכם במהרה!
