הסכם עיבוד נתונים (DPA) – Memories AI

הסכם עיבוד נתונים זה (להלן: "ההסכם" או "DPA") נכרת בין בעל המאגר/הצלם המקצועי (להלן: "הבקר" / "Controller") לבין Memories AI – גלריות לאירועים (עוסק פטור 206901787, להלן: "החברה" או "המעבד" / "Processor").

ההסכם מסדיר את עיבוד הנתונים האישיים שמבצעת החברה מטעם הבקר, בהתאם לחוק הגנת הפרטיות, תשמ"א-1981, ותקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, וברוח עקרונות ה-GDPR.

הסכם זה משלים את תנאי השימוש ואת מדיניות הפרטיות הזמינים באתר, ולא גורע מהם.

• "בקר" (Controller): צלם מקצועי / בעל אירוע / לקוח עסקי שקובע את מטרות ואמצעי עיבוד הנתונים האישיים של נושאי המידע (אורחי האירוע).
• "מעבד" (Processor): Memories AI, המעבדת נתונים אישיים מטעם הבקר ובהתאם להוראותיו.
• "נתונים אישיים": כל מידע על אדם מזוהה או מזהה - לרבות שם, מספר טלפון, כתובת מייל, תמונות, וקטורי פנים ביומטריים.
• "נושא המידע": אורח אירוע או משתמש קצה שהמידע האישי שלו מעובד במערכת.
• "סבפרוססור" (Subprocessor): ספק חיצוני (כגון AWS, Cloudflare, Supabase) שהחברה משתמשת בו לצורך מתן השירות.
• "אירוע אבטחה": כל גישה בלתי מורשית, אובדן, גילוי או שינוי של נתונים אישיים.

3.1 הצלם / בעל האירוע = בקר נתונים

הצלם המקצועי או בעל האירוע נחשב לבקר הנתונים (Data Controller) של נתוני האורחים (תמונות, שמות, פרטי קשר, וקטורי פנים). הוא קובע את מטרות העיבוד ואת אמצעי העיבוד.

3.2 Memories AI = מעבד נתונים

החברה פועלת אך ורק כמעבד נתונים מטעם הבקר. החברה לא תעבד נתונים אישיים מעבר להוראות הבקר ומעבר למה שנדרש לצורך מתן השירות.

3.3 הסכמת נושאי המידע

הבקר אחראי לקבלת ההסכמות הנדרשות מנושאי המידע (אורחי האירוע) לעיבוד נתוניהם, לרבות צילום, שיתוף תמונות, ושימוש בזיהוי פנים.

4.1 מטרות העיבוד

• אחסון תמונות שהועלו על ידי הבקר
• שיתוף תמונות עם אורחי האירוע באמצעות גלריה דיגיטלית
• זיהוי פנים מבוסס AI לצורך פיצ'ר "מצא את התמונות שלי"
• שליחת הודעות (WhatsApp/SMS/מייל) הקשורות לאירוע
• הפקת חשבוניות וניהול תשלומים

4.2 סוגי הנתונים המעובדים

• פרטי זיהוי: שם, כתובת מייל, מספר טלפון
• תוכן: תמונות (JPEG)
• נתונים ביומטריים: וקטורי פנים מתמטיים (כאשר הופעל זיהוי פנים)
• נתונים טכניים: לוגי גישה, IP, סוג מכשיר

4.3 קטגוריות נושאי המידע

• אורחי אירועים (עיקר הנתונים)
• בעלי אירועים / לקוחות עסקיים
• צלמים מקצועיים

4.4 משך העיבוד

משך העיבוד תלוי בסוג החבילה (3-24 חודשים), ומפורט במלואו במדיניות האספקה ובמדיניות הביטולים.

החברה מתחייבת:

• 5.1 לעבד נתונים אישיים אך ורק על פי הוראות מתועדות של הבקר ובהתאם לתנאי הסכם זה.
• 5.2 להבטיח שכל הצוות המורשה לגישה לנתונים מחויב לחובות סודיות.
• 5.3 ליישם אמצעי אבטחה טכניים וארגוניים סבירים, כמפורט בסעיף 8.
• 5.4 להעסיק סבפרוססורים אך ורק בהתאם לתנאי סעיף 7.
• 5.5 לסייע לבקר במימוש בקשות נושאי המידע (זכות עיון, מחיקה, ניידות) - ראה סעיף 10.
• 5.6 להודיע לבקר על אירוע אבטחה תוך 72 שעות מגילויו - ראה סעיף 9.
• 5.7 למחוק או להשיב את כל הנתונים האישיים בסיום ההסכם, לפי בחירת הבקר - ראה סעיף 11.
• 5.8 להעמיד לרשות הבקר את כל המידע הנדרש להוכחת עמידה בהסכם זה.

הבקר מתחייב:

• 6.1 להבטיח כי קיימת לו עילה משפטית תקפה לעיבוד הנתונים האישיים (הסכמה, חוזה, אינטרס לגיטימי, וכו').
• 6.2 ליידע את נושאי המידע על העיבוד ולקבל את הסכמתם כנדרש בחוק (לרבות הסכמה ספציפית לזיהוי פנים ולהעברת נתונים לחו"ל).
• 6.3 שלא להעלות תכנים בלתי-חוקיים, פוגעניים, פורנוגרפיים, או המפרים זכויות צד שלישי.
• 6.4 לא לכלול בגלריה תמונות של קטינים ללא הסכמת הוריהם.
• 6.5 לעדכן את החברה במקרה של בקשות נושאי מידע שדורשות סיוע מצד החברה.
• 6.6 לרשום מאגר מידע אצל הרשם, אם נדרש לפי חוק (תלוי בהיקף ובאופי העיבוד).

7.1 הסכמה כללית

הבקר נותן בזאת הסכמה כללית להעסקת הסבפרוססורים הבאים על ידי החברה. החברה תיידע את הבקר על כל שינוי או תוספת לרשימה זו, באמצעות עדכון מסמך זה.

7.2 רשימת סבפרוססורים פעילה

7.3 הסכמי DPA עם סבפרוססורים

החברה אישרה כי יש בידיה הסכם DPA תקף עם כל הסבפרוססורים, המטיל עליהם חובות הגנת מידע מקבילות לאלו שבהסכם זה.

7.4 שינויים ברשימה

החברה רשאית להחליף או להוסיף סבפרוססורים. שינויים יוצגו בעדכון מסמך זה. הבקר רשאי להתנגד לשינוי תוך 30 יום מהפרסום, ובמקרה זה הצדדים יעבדו במאמץ סביר על מציאת פתרון חלופי.

החברה מיישמת אמצעי אבטחה טכניים וארגוניים סבירים, כדלקמן:

• הצפנה במנוחה (Encryption at Rest): AES-256 על כל המידע המאוחסן
• הצפנה בהעברה (Encryption in Transit): TLS 1.2+ על כל התעבורה
• בקרת גישה (RBAC): גישה מבוססת תפקידים, מוגבלת לעובדים מורשים בלבד
• אימות דו-שלבי: נדרש לכל גישה אדמיניסטרטיבית
• תיעוד וניטור (Audit Logs): תיעוד מלא של כל פעולות הגישה
• גיבויים: Supabase מבצע גיבויים יומיים של מסד הנתונים
• סבפרוססורים מאושרים: כולם מחזיקים באישורי ISO 27001 ו/או SOC 2 Type II
• בדיקות אבטחה תקופתיות

הערה חשובה: החברה אינה מבצעת גיבוי של תמונות שהועלו על ידי המשתמשים. הגיבוי הוא באחריות הבקר. ראה מדיניות אחריות לפרטים נוספים.

9.1 חובת הודעה

החברה תיידע את הבקר על כל אירוע אבטחה שמשפיע על נתוניו האישיים, תוך 72 שעות מרגע גילוי האירוע.

9.2 תכן ההודעה

ההודעה תכלול, ככל הניתן:

• תיאור האירוע (מה קרה, מתי, היכן)
• קטגוריות וכמויות הנתונים שהושפעו
• השלכות צפויות על נושאי המידע
• אמצעים שננקטו לטיפול באירוע ולמניעת הישנותו
• פרטי איש הקשר במצבי משבר

9.3 דיווח לרשות להגנת הפרטיות

החברה תסייע לבקר בהכנת דיווח לרשות להגנת הפרטיות במשרד המשפטים, אם הדבר נדרש לפי חוק.

9.4 הודעה לנושאי המידע

אם האירוע מחייב הודעה ישירה לנושאי המידע - האחריות על מתן ההודעה חלה על הבקר. החברה תספק את כל המידע הנדרש לצורך כך.

החברה תסייע לבקר במימוש הבקשות הבאות שמתקבלות מנושאי מידע:

• זכות עיון: מתן עותק של כל הנתונים האישיים השמורים על נושא המידע
• זכות תיקון: תיקון נתונים שגויים או לא מדויקים
• זכות מחיקה ("Right to be Forgotten"): מחיקת כל הנתונים האישיים
• זכות סגיגה מהסכמה: ביטול הסכמה לעיבוד (במיוחד לזיהוי פנים)
• זכות ניידות הנתונים: מתן נתונים בפורמט מובנה ונקרא-מכונה
• זכות התנגדות: התנגדות לעיבוד מסוים

זמן מענה: בקשות אלה יטופלו תוך 30 יום, בהתאם לחוק הגנת הפרטיות.

צינור פנייה: בקשות יישלחו לכתובת hello@mymemorie.com.

11.1 בחירת הבקר

בסיום ההסכם (ביטול מנוי / סיום חבילה / סיום שירות), הבקר יבחר בין:

• החזרת הנתונים: החברה תספק עותק של הנתונים בפורמט סטנדרטי (JSON / ZIP של תמונות) בתוך 30 יום
• מחיקה לצמיתות: החברה תמחק את כל הנתונים בתוך 30 יום מהבקשה

11.2 מחיקה אוטומטית

בהיעדר בחירת הבקר, החברה תמחק את כל הנתונים האישיים בהתאם לתקופות השמירה המפורטות במדיניות האספקה.

11.3 גיבויים

גיבויים שמכילים נתונים אישיים יימחקו במחזור הגיבוי הסטנדרטי (עד 90 יום לאחר המחיקה הראשונית).

11.4 חריגים משפטיים

החברה תשמור נתונים מסוימים מעבר לתקופה הנדרשת אם הדבר נדרש לפי חוק (לדוגמה: חשבוניות לפי חוק מס הכנסה - 7 שנים).

חלק מהעיבוד מתבצע מחוץ לישראל. ראה מדיניות הפרטיות לפירוט מלא של ההעברות הבינלאומיות.

12.1 ערבויות

• סבפרוססורים מאושרים תחת תקנים בינלאומיים (ISO 27001, SOC 2)
• הסכמי DPA עם כל הספקים
• ספקים אירופאיים עומדים בדרישות GDPR
• הצפנה מלאה במנוחה ובהעברה

12.2 הסכמת הבקר

חתימה על הסכם זה מהווה הסכמה מצד הבקר להעברת הנתונים לסבפרוססורים הרשומים בסעיף 7, במיקומים המצוינים בו.

13.1 הגבלת אחריות

אחריות החברה כפופה למגבלות המפורטות במדיניות האחריות. אחריות החברה מוגבלת לסכום ששולם על ידי הבקר ב-12 החודשים שקדמו לאירוע.

13.2 פיצוי הדדי

כל צד יפצה את הצד השני על נזקים שייגרמו עקב הפרת התחייבויותיו לפי הסכם זה, בכפוף למגבלות סעיף 13.1.

13.3 חריגים

הגבלת האחריות אינה חלה על מקרים של רשלנות חמורה, מעשה זדוני, או הפרה מכוונת של חוקי הגנת פרטיות.

14.1 כניסה לתוקף

הסכם זה נכנס לתוקף עם הרשמת הבקר לשירות ותחילת השימוש בפועל.

14.2 משך

ההסכם תקף כל עוד הבקר מקבל שירותים מהחברה.

14.3 ביטול

ביטול ההסכם מתבצע באמצעות סיום השירות בהתאם למדיניות הביטולים.

14.4 הוראות שורדות

סעיפים הנוגעים לסודיות, אבטחה, מחיקת נתונים והגבלת אחריות, ימשיכו לחול גם לאחר סיום ההסכם.

על הסכם זה יחולו דיני מדינת ישראל בלבד. סמכות השיפוט הבלעדית נתונה לבית המשפט המוסמך בתל אביב-יפו.

במקרה של סתירה בין הגרסה העברית לגרסה האנגלית של הסכם זה - הגרסה העברית מחייבת.

ממונה הגנת המידע של החברה הוא נדב בנודיז, בעל העסק.

פניות בנושאי הגנת מידע, אירועי אבטחה, או בקשות נושאי מידע:

📧 hello@mymemorie.com

📞 053-7592050

📍 תל אביב, ישראל

זמן מענה לפניות הגנת מידע: עד 30 יום, בהתאם לחוק.

פניות לרשות: אם הבקר או נושא מידע סבורים שזכויותיהם הופרו, ניתן לפנות לרשות להגנת הפרטיות במשרד המשפטים.