הסכם עיבוד נתונים (DPA)
עדכון אחרון: מרץ 2026
הערת שפה: גרסה זו בעברית היא תרגום לנוחיותכם בלבד. במקרה של סתירה בין הגרסה העברית לגרסה האנגלית, הגרסה האנגלית תגבר ותהווה את המסמך המשפטי המחייב. הגרסה האנגלית זמינה בכתובת biz-planner.com/en/dpa.
תוכן עניינים
- מבוא והיקף
- הגדרות
- תפקידי הצדדים
- נושא ופרטי העיבוד
- התחייבויות המעבד
- סודיות
- אמצעי אבטחה
- מעבדי משנה
- סיוע במימוש זכויות נושאי הנתונים
- הודעה על פרצת נתונים
- מחיקת נתונים והחזרתם בסיום ההסכם
- זכות ביקורת
- העברות נתונים בינלאומיות
- אחריות ושיפוי
- תוקף וסיום
- דין וסמכות שיפוטית
- יצירת קשר
1. מבוא והיקף
הסכם עיבוד נתונים זה ("ההסכם" או "DPA") מהווה חלק מהמערכת המשפטית שבין BizPlanner ("המעבד", כמוגדר להלן) לבין כל משתמש, עסק או ארגון ("הבקר") המשתמש בשירותי BizPlanner לעיבוד נתונים אישיים מטעם צדדים שלישיים או הקשורים אליהם.
1.1 מתי חל הסכם זה
הסכם זה חל כאשר אתם משתמשים ב-BizPlanner בהקשר שבו סעיף 28 לתקנות GDPR או תיקון 13 לחוק הגנת הפרטיות הישראלי מחייבים חוזה עיבוד נתונים בינינו. זה כולל, בין היתר:
- שימוש בשרת ה-MCP (Model Context Protocol) של BizPlanner עם עוזרי בינה מלאכותית (Claude, ChatGPT ואחרים), כאשר נתונים אישיים הקשורים למשתמשי הקצה שלכם זורמים דרך השרת שלנו
- שימוש ב-BizPlanner כלי עסקי מטעם לקוחות או עובדים שנתוניהם האישיים מוזנים לפלטפורמה
- כל גישת API או גישה תוכנתית לשירותי BizPlanner
1.2 קבלת התנאים
על ידי גישה לשירותי BizPlanner או שימוש בהם כמתואר לעיל, אתם מסכימים לתנאי הסכם זה. אם אתם פועלים מטעם חברה או ארגון, אתם מאשרים שיש לכם סמכות לחייב את אותו ישות בתנאים אלה.
לקוחות ארגוניים המעוניינים בהסכם DPA חתום הדדית, אנא פנו אלינו בכתובת support@biz-planner.com.
1.3 יחס למסמכים אחרים
הסכם זה משלים את תנאי השימוש ואת מדיניות הפרטיות של BizPlanner. במקרה של סתירה בין הסכם זה לבין אותם מסמכים ביחס לעיבוד נתונים אישיים בהקשר של בקר–מעבד, הסכם זה גובר.
2. הגדרות
בהסכם זה, המונחים הבאים יקבלו את המשמעויות הבאות. מונחים שאינם מוגדרים כאן יפורשו בהתאם ל-GDPR או לחוק הגנת הפרטיות הישראלי (לפי העניין).
-
"BizPlanner" — שי אסולין, עוסק מורשה, ע.מ. 307874974, כ"ט בנובמבר 8, אשקלון, ישראל, המפעיל את הפלטפורמה בכתובת biz-planner.com.
-
"בקר" (Controller) — אדם, חברה או ארגון הקובע את מטרות ואמצעי עיבוד הנתונים האישיים — במקרה זה, אתם, משתמש BizPlanner.
-
"מעבד" (Processor) — הגורם המעבד נתונים אישיים מטעם הבקר — במקרה זה, BizPlanner.
-
"מעבד משנה" (Sub-Processor) — כל צד שלישי שגויס על ידי BizPlanner לסייע בעיבוד נתונים אישיים במסגרת הסכם זה. רשימת מעבדי המשנה הנוכחיים מפורטת בסעיף 8.
-
"נתונים אישיים" — כל מידע הנוגע לאדם טבעי מזוהה או ניתן לזיהוי ("נושא הנתונים"). זה כולל שמות, כתובות דוא"ל, נתונים פיננסיים, תחזיות עסקיות וכל מידע אחר שהבקר מעלה או מייצר דרך השירותים.
-
"עיבוד" — כל פעולה המתבצעת על נתונים אישיים, לרבות איסוף, אחסון, אחזור, שימוש, מסירה, גילוי או מחיקה.
-
"השירותים" — פלטפורמת BizPlanner, לרבות אפליקציית האינטרנט בכתובת biz-planner.com, אפליקציות סלולריות, שרת ה-MCP (biz-planner.com/api/mcp) וכל ממשקי API או אינטגרציות קשורות.
-
"GDPR" — תקנת הגנת המידע הכללית של הפרלמנט האירופי והמועצה (EU) 2016/679.
-
"חוק הפרטיות הישראלי" — חוק הגנת הפרטיות, תשמ"א-1981 ותקנותיו, לרבות תיקון 13.
-
"SCCs" — סעיפים חוזיים סטנדרטיים (Standard Contractual Clauses) שאומצו על ידי הנציבות האירופית להעברת נתונים אישיים למדינות שלישיות (החלטה 2021/914/EU).
-
"פרצת נתונים" — אירוע אבטחה הגורם להרס, אובדן, שינוי, גילוי בלתי מורשה, או גישה בלתי מורשית לנתונים אישיים שהועברו, נשמרו או עובדו בדרך אחרת.
3. תפקידי הצדדים
3.1 BizPlanner כבקר (שימוש רגיל)
עבור רוב משתמשי BizPlanner — יחידים המשתמשים בפלטפורמה לתכנון העסק שלהם — BizPlanner פועלת כבקר ביחס לנתוניו האישיים של אותו משתמש. יחסים אלה מוסדרים על ידי מדיניות הפרטיות, ולא על ידי הסכם זה.
3.2 BizPlanner כמעבד (הסכם זה)
הסכם זה חל כאשר BizPlanner פועלת כמעבד מטעמכם. זה מתרחש כאשר:
- אתם יועץ, רואה חשבון או מלווה עסקי המשתמש ב-BizPlanner לעיבוד נתונים פיננסיים השייכים ללקוחותיכם
- אתם מחברים את BizPlanner לעוזר בינה מלאכותית דרך MCP, ואותו עוזר מעבד נתונים הקשורים למשתמשיכם או לקוחותיכם דרך השרת שלנו
- אתם משתמשים בAPI של BizPlanner לאוטומציה של עיבוד נתונים מטעם אחרים
במקרים אלה, אתם הבקר ו-BizPlanner היא המעבד. BizPlanner תעבד נתונים אישיים רק על פי הוראותיכם, בהתאם להסכם זה.
3.3 תרחישי בקר משותף
במקרים שבהם שני הצדדים קובעים באופן עצמאי מטרות או אמצעי עיבוד (לדוגמה, BizPlanner משתמשת בנתוני פלטפורמה מצטברים ואנונימיים), כל צד פועל כבקר עצמאי למטרותיו שלו ואחראי בנפרד לציות לחוק החל.
4. נושא ופרטי העיבוד
4.1 נושא ההסכם
BizPlanner מעבדת נתונים אישיים מטעם הבקר לצורך מתן השירותים המתוארים בתנאי השימוש.
4.2 משך העיבוד
BizPlanner תעבד נתונים אישיים למשך השימוש הפעיל של הבקר בשירותים, ולפרק זמן נוסף הנדרש על פי החוק החל, כמפורט בסעיף 11 (מחיקת נתונים והחזרתם בסיום ההסכם).
4.3 אופי ומטרת העיבוד
BizPlanner מעבדת נתונים אישיים למטרות הבאות:
| מטרה | תיאור |
|---|---|
| ניהול חשבונות ואימות זהות | יצירה וניהול חשבונות משתמשים, אימות משתמשים דרך דוא"ל, Google או Apple OAuth |
| סימולציה עסקית ומודל פיננסי | אחסון, אחזור וחישוב תחזיות פיננסיות שהוזנו על ידי הבקר או מטעמו |
| ניתוח עסקי מבוסס בינה מלאכותית | העברת נתונים פיננסיים (סוג עסק, הכנסות, עלויות, תחזיות) לספק הבינה המלאכותית לצורך הפקת תובנות עסקיות, תשובות לצ'אט ודוחות |
| הרצת כלי MCP | עיבוד בקשות מעוזרי בינה מלאכותית דרך שרת ה-MCP, לרבות קריאת נתוני פרויקטים, הרצת תרחישי מה-אם, יצירה ועדכון סימולציות |
| הפקת דוחות | הפקת דוחות PDF (דוחות בנק, דוחות למשקיעים) מנתוני הסימולציה |
| שיתוף פעולה | אפשרות שיתוף פרויקטים בין משתמשים שהוזמנו על ידי הבקר |
| תמיכת לקוחות | עיבוד פניות תמיכה וכתבי התכתבות הקשורים לשירותים |
| אבטחה ומניעת הונאה | רישום אירועי גישה וזיהוי שימוש לרעה דרך הגבלת קצב ויומני ביקורת |
| עיבוד תשלומים | עיבוד רשומות עסקאות (לא נתוני כרטיסי אשראי, המטופלים ישירות על ידי ספק התשלומים) |
4.4 סוגי הנתונים האישיים המעובדים
בהתאם לאופן השימוש שלכם בשירותים, BizPlanner עשויה לעבד את הקטגוריות הבאות של נתונים אישיים:
נתוני חשבון:
- כתובת דוא"ל, שם מלא, תמונת פרופיל
- פרטי אימות (מנוהלים על ידי Supabase Auth; BizPlanner אינה שומרת סיסמאות גולמיות)
- העדפות שפה ועיצוב
נתונים עסקיים ופיננסיים:
- שם העסק, סוגו ושלב הפיתוח שלו
- הנחות פיננסיות: הכנסות, עלויות, תמחור, מספר עובדים, שכר, סכומי השקעה
- תחזיות פיננסיות: רווח/הפסד חודשי, תזרים מזומנים, ניתוח נקודת איזון
- התאמות תרחישי מה-אם והיסטוריית גרסאות
- הודעות צ'אט בינה מלאכותית ותשובות מהמערכת (לכל פרויקט)
נתונים ייחודיים ל-MCP:
- שמות פרויקטים ופרמטרי סימולציה
- תוצאות סימולציה פיננסית ונתוני ניתוח
- רשומות יומן ביקורת MCP (שם הכלי, חותמת זמן, מזהה משתמש)
נתוני תשלום ועסקאות:
- רשומות רכישה, מזהי עסקאות, סוגי מוצרים שנרכשו
- חשבוניות ותיעוד מס (נשמרים ל-7 שנים בהתאם לפקודת מס הכנסה הישראלית)
נתונים טכניים:
- כתובת IP (בשימוש לצורכי אבטחה והגבלת קצב)
- סוג מכשיר, דפדפן, מערכת הפעלה
- יומני שימוש ודוחות שגיאות
הערה בנוגע לנתונים רגישים: על פי תיקון 13 לחוק הפרטיות הישראלי, נתונים פיננסיים (תכניות עסקיות, תחזיות הכנסות, מבני עלויות) מסווגים כמידע רגיש. BizPlanner מקבלת הסכמה מפורשת מנושאי הנתונים לפני עיבוד מידע זה דרך תכונות הבינה המלאכותית, בהתאם לדרישות תיקון 13.
4.5 קטגוריות נושאי הנתונים
- משתמשי קצה: אנשים הנרשמים ומשתמשים בחשבונות BizPlanner
- לקוחות יועצים: אנשים או עסקים שנתוניהם מוזנים ל-BizPlanner על ידי יועץ או מלווה עסקי מטעמם
- משתפי פעולה מוזמנים: אנשים שהוזמנו לצפות בפרויקט משותף או לערוך אותו
- פונים לתמיכה: אנשים הפונים ל-BizPlanner דרך מערכת התמיכה
5. התחייבויות המעבד
BizPlanner, בתפקידה כמעבד במסגרת הסכם זה, מתחייבת לדברים הבאים:
5.1 עיבוד על פי הוראות בלבד
BizPlanner תעבד נתונים אישיים רק על פי הוראות מתועדות מהבקר — כמפורט בהסכם זה, בתנאי השימוש, ובכל הוראה כתובה נוספת שנמסרה על ידי הבקר.
אם BizPlanner נדרשת על פי חוק חל (חוק ישראלי, חוק האיחוד האירופי, או חוק מדינת חבר) לעבד נתונים אישיים באופן שאינו עולה בקנה אחד עם הוראות הבקר, BizPlanner תודיע לבקר על דרישה חוקית זו לפני העיבוד, אלא אם הדין אוסר על הודעה כזו.
5.2 הגבלות על העיבוד
BizPlanner לא תבצע את הפעולות הבאות:
- עיבוד נתונים אישיים לכל מטרה שאינה מתן השירותים
- מכירה, השכרה או שיתוף נתונים אישיים עם צדדים שלישיים למטרות מסחריות עצמאיות
- שימוש בנתונים אישיים לאימון מודלי בינה מלאכותית (ראו גם סעיף 8 בנוגע לתנאי ה-API המסחרי של Anthropic)
- העברת נתונים אישיים לכל מדינה או ארגון מחוץ להיקף מנגנוני ההעברה המתוארים בסעיף 13
5.3 שיתוף פעולה
BizPlanner תשתף פעולה עם הבקר ועם רשויות פיקוח, בכל הנוגע לציות לחוק הגנת המידע החל. זה כולל:
- מתן מידע סביר לבקר להוכחת ציות להסכם זה
- הודעה לבקר מיידית אם BizPlanner סבורה שהוראה מהבקר תפר את חוק הגנת המידע החל
- סיוע לבקר בהכנת הערכות השפעה על הגנת המידע (DPIA) ובהתייעצויות מוקדמות עם רשויות פיקוח, בהתאם לצורך
6. סודיות
6.1 סודיות עובדים
BizPlanner מבטיחה כי:
- רק אנשי צוות מורשים הזקוקים לגישה לנתונים אישיים לצורך מילוי תפקידם יהיו בעלי גישה כזו
- כל אנשי הצוות בעלי גישה לנתונים אישיים כפופים לחובות סודיות מתאימות (בין אם על פי חוזה, תנאי העסקה, או חובה חוקית)
- אנשי הצוות מוכשרים בדרישות הגנת המידע החלות
6.2 סודיות המעבד
BizPlanner מתייחסת לכל הנתונים האישיים המעובדים במסגרת הסכם זה כסודיים ולא תגלה אותם לצדדים שלישיים, למעט:
- למעבדי משנה המפורטים בסעיף 8 לצורך מתן השירותים
- כנדרש על פי חוק חל, צו שיפוטי, או רשות ממשלתית (עם הודעה לבקר כשמותר)
- בהסכמה מוקדמת בכתב מהבקר
7. אמצעי אבטחה
7.1 אמצעים טכניים וארגוניים
BizPlanner מיישמת אמצעי אבטחה טכניים וארגוניים המתאימים לרמת הסיכון של העיבוד, לרבות:
הצפנה:
- כל הנתונים המועברים בין משתמשים לשרתי BizPlanner מוצפנים בתעבורה באמצעות TLS 1.2 ומעלה (HTTPS)
- נתונים המאוחסנים בבסיס הנתונים (Supabase) מוצפנים במנוחה באמצעות AES-256 או שווה ערך
- כל הנתונים המועברים למעבדי משנה מוצפנים בתעבורה
בקרות גישה:
- בקרת גישה מבוססת תפקידים (RBAC): משתמשים יכולים לגשת רק לנתונים שלהם
- בקרת גישה ברמת בסיס הנתונים המבטיחה הפרדה בין משתמשים
- OAuth 2.0 עם טוקנים בעלי הרשאות מוגבלות לאינטגרציות MCP, המגבילים גישה רק לנתונים שהבקר מאשר במפורש
- תמיכה באימות רב-שלבי לגישה ניהולית
ניטור ורישום:
- ניטור אבטחה אוטומטי והתראות לפעילות חשודה
- יומן ביקורת MCP המתעד את כל הפעלות הכלים עם חותמת זמן, מזהה משתמש וזהות טוקן
- הגבלת קצב על כל נקודות הקצה של ה-API, לרבות כלי MCP, למניעת שימוש לרעה
זמינות וחוסן:
- גיבויים אוטומטיים שוטפים של בסיס הנתונים לצורך התאוששות מאסון
- תשתית המתארחת בספקי ענן ברמה ארגונית (Supabase, Vercel) עם SLA של זמינות גבוהה
ניהול פגיעויות:
- סקירות אבטחה תקופתיות של הפלטפורמה
- עדכוני תלויות וניהול תיקונים
- תהליך גילוי אחראי לחוקרי אבטחה
7.2 אבטחה לנתונים פיננסיים רגישים
לאחר סיווג הנתונים הפיננסיים כרגישים על פי תיקון 13 לחוק הפרטיות הישראלי, BizPlanner מיישמת בקרות מוגברות עבור קטגוריה זו:
- קבלת הסכמה מפורשת לפני העברת נתונים פיננסיים לספק הבינה המלאכותית
- הגבלת העברת נתוני בינה מלאכותית למינימום הנדרש (ללא מזהים אישיים המועברים לספק הבינה המלאכותית — רק פרמטרים פיננסיים)
- אימות וניקוי קלטים על כל הנתונים שהמשתמש מזין
7.3 אין ערובה מוחלטת
אין מערכת אבטחה שאינה ניתנת לפריצה. BizPlanner אינה מתחייבת שצדדים שלישיים בלתי מורשים לעולם לא יצליחו להתגבר על אמצעי האבטחה שלה. עם זאת, BizPlanner תודיע לבקר במקרה של פרצת נתונים, כמתואר בסעיף 10.
8. מעבדי משנה
8.1 הרשאה
הבקר מאשר ל-BizPlanner לעסוק במעבדי המשנה המפורטים בסעיף 8.2 לצורך סיוע במתן השירותים. BizPlanner תבטיח שכל מעבד משנה כפוף להתחייבויות הגנת מידע לפחות מגנות כמו אלו שבהסכם זה, על פי חוזה בכתב.
8.2 מעבדי משנה נוכחיים
מעבדי המשנה הבאים מועסקים כיום על ידי BizPlanner לעיבוד נתונים אישיים במסגרת הסכם זה:
| מעבד משנה | מדינה | תפקיד | נתונים מעובדים | מנגנון הגנה |
|---|---|---|---|---|
| Supabase Inc. | ארה"ב (נתונים מאוחסנים באיחוד האירופי — פרנקפורט, גרמניה) | בסיס נתונים, אימות, סנכרון בזמן אמת | כל נתוני החשבון, נתוני פרויקטים, סימולציות פיננסיות, יומני ביקורת | SCCs + DPA של Supabase |
| Vercel Inc. | ארה"ב (CDN גלובלי) | אירוח אינטרנט, פונקציות שוליים, API ללא שרת | יומני בקשות, מטמון שוליים (לא מאוחסנים נתונים אישיים בשוליים מעבר לעיבוד בקשות זמני) | SCCs + DPA של Vercel |
| Anthropic PBC | ארה"ב | עיבוד מודל שפה בינה מלאכותית (Claude API) | פרמטרים פיננסיים בלבד: סוג עסק, הנחות הכנסות/עלויות, תחזיות, הודעות צ'אט (ללא מזהים אישיים) | SCCs + מדיניות שימוש של Anthropic |
| Upstash Inc. | ארה"ב (מופע EU — פרנקפורט) | הגבלת קצב, מטמון Redis | כתובות IP, ספירות בקשות, מוני הגבלת קצב (ללא נתוני עסקים) | SCCs |
| Resend Inc. | ארה"ב | משלוח דוא"ל עסקאות | כתובות דוא"ל, תוכן דוא"ל להודעות מערכת (הזמנות, קבלות, התראות אבטחה) | SCCs |
| PostHog Inc. | ארה"ב (מופע EU) | ניתוח מוצר | אירועי שימוש אנונימיים (צפיות בדפים, שימוש בתכונות). מנותב דרך פרוקסי EU (p.biz-planner.com). הקלטת סשן מושבתת. דורש הסכמת משתמש לפני הפעלה. | SCCs + פרוקסי EU |
| Google LLC (Google Analytics 4) | ארה"ב | ניתוח תעבורת אינטרנט | נתוני תעבורה אנונימיים (צפיות בדפים, מקורות הפניה, סוג מכשיר). ללא מידע מזהה אישית. דורש הסכמת משתמש לפני הפעלה. | SCCs |
| Functional Software Inc. (Sentry) | ארה"ב | ניטור שגיאות | יומני שגיאות טכניים, עקבות מחסנית (ללא נתוני עסקים אישיים). הקלטת סשן מושבתת. | SCCs |
| PAID IL בע"מ (PayMe) | ישראל | עיבוד תשלומים | שם לחיוב, דוא"ל, רשומות עסקאות. נתוני כרטיס אשראי מטופלים ישירות על ידי PayMe ואינם נגישים ל-BizPlanner. | חוק הפרטיות הישראלי (הגנה נאותה) |
8.3 הודעה על שינויי מעבדי משנה
BizPlanner תספק לבקר הודעה מוקדמת של לפחות 30 יום לפני הוספת מעבד משנה חדש או החלפת מעבד משנה קיים, כאשר שינוי כזה כולל עיבוד נתונים אישיים. הודעה זו תינתן על ידי:
- עדכון רשימת מעבדי המשנה בעמוד זה (עם תאריך "עדכון אחרון" חדש)
- שליחת הודעת דוא"ל למשתמשים רשומים פעילים
8.4 זכות התנגדות
לאחר קבלת הודעה על שינוי מוצע במעבד משנה, הבקר רשאי להתנגד לשינוי על ידי פנייה ל-BizPlanner בכתובת support@biz-planner.com תוך 30 יום מההודעה. אם הבקר מתנגד ו-BizPlanner אינה יכולה להתאים את עצמה להתנגדות (לדוגמה, כאשר מעבד המשנה נדרש לצורך השירותים), הבקר רשאי לסיים את השירותים הרלוונטיים ללא עונש.
9. סיוע במימוש זכויות נושאי הנתונים
9.1 חובת הסיוע של BizPlanner
כאשר נתונים אישיים המעובדים במסגרת הסכם זה כפופים לבקשת נושא נתונים — לרבות זכויות גישה, תיקון, מחיקה, הגבלה, ניידות, או התנגדות — BizPlanner תסייע לבקר במילוי אותה בקשה, במידה הניתנת טכנית ומתאימה בהתחשב בתפקידה של BizPlanner.
9.2 טיפול בבקשות נושאי נתונים
נושאי הנתונים רשאים לממש את זכויותיהם ישירות אל BizPlanner בכתובת support@biz-planner.com. BizPlanner תפעל כדלקמן:
- אישור קבלה תוך 7 ימי עבודה
- מילוי הבקשה או העברתה לבקר תוך 30 יום (ניתן להארכה ל-60 יום לבקשות מורכבות, עם הודעה)
- לא למלא בקשה שהבקר הנחה במפורש את BizPlanner שלא למלא, אלא אם נדרש על פי חוק
9.3 מנגנוני שירות עצמי מובנים
BizPlanner מספקת את הכלים המובנים הבאים לנושאי הנתונים למימוש זכויותיהם:
- מחיקת חשבון: משתמשים יכולים לבקש מחיקת חשבון ישירות מהגדרות החשבון. תקופת מתן מדי 7 ימים חלה לפני מחיקה קבועה.
- ייצוא נתונים (ניידות): משתמשי Pro יכולים לייצא נתוני פרויקטים בפורמטים JSON, CSV ו-PDF דרך תכונת ייצוא ה-AI.
- תיקון פרופיל: משתמשים יכולים לעדכן שם, דוא"ל והעדפות בהגדרות.
- ביטול הסכמה לבינה מלאכותית: משתמשים יכולים להשבית תכונות בינה מלאכותית לכל פרויקט בנפרד, כדי להפסיק העברת נתונים פיננסיים לספק הבינה המלאכותית.
- ביטול דיוור שיווקי: כל דוא"ל שיווקי כולל קישור לביטול הרשמה.
9.4 בקשות שעל הבקר לטפל בהן
כאשר בקשת נושא הנתונים נוגעת לנתונים שהבקר — ולא BizPlanner — אחראי להם בעיקר (לדוגמה, לקוח שנתוניו הוזנו ל-BizPlanner על ידי יועץ), הבקר אחראי להחליט אם ואיך למלא אותה בקשה. BizPlanner תסייע על ידי מסירת הנתונים הרלוונטיים על פי בקשה כתובה מהבקר.
10. הודעה על פרצת נתונים
10.1 זיהוי והודעה
במקרה שבו BizPlanner תהיה מודעת לפרצת נתונים המשפיעה על נתונים אישיים המעובדים במסגרת הסכם זה, BizPlanner תפעל כדלקמן:
- הודעה לבקר ללא עיכוב בלתי סביר, ובכל מקרה תוך 72 שעות מהרגע שנודעה לה הפרצה (או בהקדם האפשרי אם לא כל הפרטים ידועים עדיין)
- מסירת המידע הבא לבקר, במידת האפשר בזמן ההודעה:
- אופי הפרצה ובמידת האפשר, קטגוריות ומספר נושאי הנתונים המושפעים
- קטגוריות וכמות משוערת של רשומות נתונים אישיות מושפעות
- שם ופרטי קשר של איש הקשר של BizPlanner לקבלת מידע נוסף
- ההשלכות הצפויות של הפרצה
- האמצעים שננקטו או מוצעים לטיפול בפרצה ולהפחתת השפעותיה
10.2 חובות הבקר
הבקר אחראי לכל חובות הודעה לרשויות הפיקוח או לנושאי הנתונים הנובעות מפרצת נתונים על פי החוק החל (לדוגמה, לפי סעיפים 33 ו-34 ל-GDPR, או חוק הפרטיות הישראלי). BizPlanner תשתף פעולה עם הבקר ותסייע לו בכל הודעות הנדרשות.
10.3 אמצעי הודעה
הודעות על פרצות ישלחו לכתובת הדוא"ל המשויכת לחשבון BizPlanner של הבקר. הבקר אחראי להבטיח שכתובת דוא"ל זו עדכנית.
11. מחיקת נתונים והחזרתם בסיום ההסכם
11.1 בעת מחיקת חשבון
כאשר בקר מוחק את חשבון BizPlanner שלו (או כאשר חשבון מסיים עקב הפרה):
- השפעה מיידית: החשבון מסומן למחיקה והגישה מושהית
- תקופת חן (7 ימים): החשבון ניתן לשחזור למשך 7 ימים במקרה שהמחיקה הייתה בשוגג
- מחיקה קבועה (לאחר 7 ימים): כל נתוני הפרויקטים, הסימולציות הפיננסיות, היסטוריית צ'אט הבינה המלאכותית והנתונים האישיים נמחקים לצמיתות מבסיסי הנתונים הפעילים
- הסרת דוא"ל: כתובת הדוא"ל מוסרת מכל רשימות הדיוור השיווקיות והעסקאות
- ניתוב לשמות בדויים: מזהים אישיים ביומני ביקורת הופכים לשמות בדויים לצרכי אבטחה ומניעת הונאה
חריגים (נשמרים על פי חוק):
- רשומות תשלום וחשבוניות מס נשמרות ל-7 שנים מתאריך העסקה, כנדרש על פי פקודת מס הכנסה הישראלית
- נתוני ניתוח מצטברים ואנונימיים (ללא מזהים אישיים) עשויים להישמר ללא הגבלת זמן
- נתונים כפופים לאחסון חוקי פעיל (לדוגמה, אם מעורבים בחקירת הונאה) יישמרו עד להסרת האחסון
11.2 מחיקה מיידית
הבקר יכול לבקש מחיקה מיידית ללא תקופת חן על ידי פנייה לכתובת support@biz-planner.com וויתור מפורש על תקופת השחזור. BizPlanner תשלים את המחיקה תוך 30 יום מקבלת הבקשה.
11.3 אישור מחיקה
על פי בקשה, BizPlanner תספק אישור כתוב שהמחיקה הושלמה, במידה הניתנת לאימות טכנית.
11.4 ניתוק חיבור MCP
אם הבקר מנתק או מבטל אינטגרציית MCP (דרך הגדרות עוזר הבינה המלאכותית שלו), BizPlanner תפעל כדלקמן:
- ביטול מיידי של טוקן ה-OAuth המשויך, למניעת גישה נוספת דרך אינטגרציה זו
- לא שמירת נתונים הקשורים ספציפית לסשן ה-MCP, מעבר למה שכבר מאוחסן בחשבון BizPlanner של המשתמש (בהתאם לתקופות השמירה לעיל)
- מחיקת נתוני סשן MCP זמניים שנשמרו במטמון תוך 30 יום מהביטול
12. זכות ביקורת
12.1 זכות לביצוע ביקורת
לבקר יש הזכות לאמת את ציות BizPlanner להסכם זה. בהתחשב בגודלה הנוכחי של BizPlanner כעוסק מורשה, זכויות הביקורת מממשות באמצעים הבאים:
סקירת תיעוד: הבקר יכול לבקש, ו-BizPlanner תספק:
- הסכם DPA זה וכל עדכוניו
- סיכום אישורי אבטחה רלוונטיים או הערכות שנערכות על ידי מעבדי המשנה של BizPlanner (Supabase, Vercel, וכו')
- מידע על אמצעי האבטחה של BizPlanner, הסכמי מעבדי משנה ופרקטיקות עיבוד נתונים
- ייצוא יומן ביקורת MCP עבור חשבון הבקר עצמו (על פי בקשה)
הערכות צד שלישי: כאשר מעבד משנה מחזיק באישור אבטחה רלוונטי (כגון SOC 2 Type II, ISO 27001 או דומה), BizPlanner תעמיד לרשות הבקר סיכומים של דוחות כאלה על פי בקשה, ובמידה המותרת על ידי תנאי הסודיות של מעבד המשנה.
12.2 בקשות ביקורת
בקשות ביקורת יש להגיש בכתב לכתובת support@biz-planner.com עם הודעה מוקדמת של לפחות 30 יום. BizPlanner תגיב לבקשות ביקורת סבירות תוך 30 יום.
12.3 עלות הביקורת
סקירות תיעוד מסופקות ללא עלות עבור בקשה אחת לשנה קלנדרית. לבקשות נוספות או בקשות הדורשות מאמץ ניהולי משמעותי, BizPlanner שומרת לעצמה את הזכות לגבות עמלה סבירה עבור הזמן שהושקע.
12.4 מגבלות
ביקורות פיזיות במקום אינן זמינות בגודל הנוכחי של BizPlanner. זכויות הביקורת מוגבלות לסקירה מבוססת תיעוד כמתואר לעיל. מעבדי המשנה של BizPlanner כפופים למסגרות הביקורת שלהם, המוסדרות על ידי ה-DPA שלהם עם BizPlanner.
13. העברות נתונים בינלאומיות
13.1 העברות בתוך ישראל ואיחוד האירופי
לישראל יש החלטת נאותות מהנציבות האירופית, כלומר העברת נתונים אישיים מהאיחוד האירופי לישראל מותרת ללא אמצעי הגנה נוספים. הפעילות העיקרית של BizPlanner מבוססת בישראל.
13.2 העברות לארצות הברית
מספר מעבדי המשנה של BizPlanner ממוקמים בארצות הברית, שאין לה החלטת נאותות כלל אירופית. עבור כל העברות כאלה, BizPlanner מסתמכת על אחד או יותר מהמנגנונים הבאים:
-
סעיפים חוזיים סטנדרטיים (SCCs): BizPlanner משלבת את הסעיפים החוזיים הסטנדרטיים של הנציבות האירופית (SCCs מבקר למעבד, החלטה 2021/914/EU) בהסכמיה עם מעבדי משנה מבוססי ארה"ב. עותק של ה-SCCs הרלוונטיים יכול להתבקש בכתובת support@biz-planner.com.
-
אחסון נתונים ב-EU: ככל שניתן מבחינה טכנית, BizPlanner מגדירה את מעבדי המשנה לאחסן נתונים אישיים בתוך האיחוד האירופי:
- בסיס נתוני Supabase: מתארח ב-EU-Central-1 (פרנקפורט, גרמניה)
- PostHog: מופע EU, נגיש דרך פרוקסי EU (p.biz-planner.com)
- Upstash: מופע EU (פרנקפורט)
-
מזעור נתונים לעיבוד בינה מלאכותית: נתונים פיננסיים המועברים ל-Anthropic (ארה"ב) מוגבלים לפרמטרים עסקיים בלבד (ללא מזהים אישיים, ללא פרטי קשר). זה ממזער את סיכון הפרטיות בעיבוד AI חוצה גבולות.
-
הסכמה מפורשת לנתונים רגישים: להעברת נתונים פיננסיים (המסווגים כרגישים על פי תיקון 13 לחוק הפרטיות הישראלי) לספק הבינה המלאכותית, BizPlanner מקבלת הסכמה מפורשת מוקדמת מנושאי הנתונים לפני כל העברה.
13.3 ציות לחוק הפרטיות הישראלי
כל העברות הנתונים הבינלאומיות מציתות לדרישות תקנות הגנת הפרטיות הישראליות (העברת מידע לחוץ לארץ), לרבות הדרישה להגנה נאותה או הסכמה מפורשת לנתונים רגישים.
13.4 בקשות לעותקי SCCs
הבקר יכול לבקש עותק של הסעיפים החוזיים הסטנדרטיים החלים על העברה ספציפית של מעבד משנה על ידי פנייה לכתובת support@biz-planner.com. BizPlanner תספק אלה תוך 30 יום, בכפוף לתנאי הסודיות של מעבד המשנה.
14. אחריות ושיפוי
14.1 אחריות BizPlanner
אחריות BizPlanner במסגרת הסכם זה כפופה למגבלות ולהחרגות הקבועות בתנאי השימוש. אין בהסכם זה כדי ליצור אחריות מעבר למה שנקבע במפורש בתנאי השימוש.
14.2 אחריות הבקר
הבקר אחראי להבטיח כי:
- הנתונים האישיים שהוא מספק ל-BizPlanner נאספו כחוק ועם בסיס משפטי מתאים
- נושאי הנתונים שנתוניהם מעובדים דרך BizPlanner הודעו על עיבוד כזה בהתאם לחוק החל
- כל הנחיות שניתנו ל-BizPlanner לעיבוד מציתות לחוק הגנת המידע החל
14.3 קנסות על המעבד
אם רשות פיקוח מטילה קנס על BizPlanner הנובע ישירות מהפרת BizPlanner את הסכם זה או את חוק הגנת המידע החל (ולא מהוראות הבקר), BizPlanner נושאת באחריות לקנס זה. אם הקנס נובע מהוראות לא חוקיות או מהתנהלות הבקר, הבקר נושא באחריות.
15. תוקף וסיום
15.1 תוקף
הסכם זה בתוקף למשך שימוש הבקר בשירותים ונשאר בתוקף כל עוד BizPlanner מעבדת נתונים אישיים מטעם הבקר.
15.2 סיום
הסכם זה מסתיים אוטומטית עם:
- סיום או תפוגה של חשבון הבקר ב-BizPlanner
- מחיקת כל הנתונים האישיים המעובדים במסגרת הסכם זה בהתאם לסעיף 11
- הסכמה בכתב של שני הצדדים לסיים
15.3 הוראות ששורדות את הסיום
סעיפים 6 (סודיות), 10 (הודעה על פרצת נתונים), 11 (מחיקת נתונים והחזרה), 12 (זכות ביקורת) ו-14 (אחריות) שורדים את סיום הסכם זה.
16. דין וסמכות שיפוטית
16.1 הדין החל
הסכם זה כפוף לדיני מדינת ישראל, לרבות חוק הגנת הפרטיות, תשמ"א-1981 ותקנותיו.
16.2 ציות ל-GDPR
כאשר הבקר או נושאי הנתונים ממוקמים באיחוד האירופי או האזור הכלכלי האירופי, הסכם זה מתפרש כך שיציית לדרישות ה-GDPR. במקרה של אי-עקביות בין הדין הישראלי ל-GDPR שתשפיע על זכויות נושאי הנתונים מהאיחוד האירופי, BizPlanner תחיל את רמת ההגנה הגבוהה יותר.
16.3 סמכות שיפוטית
כל מחלוקת הנובעת מהסכם זה תוגש לבתי המשפט המוסמכים בישראל. לבקרים מבוססי EU, אין בסעיף זה כדי להגביל את זכות נושאי הנתונים מהאיחוד האירופי להגיש תביעות לבתי המשפט המקומיים שלהם או לרשויות פיקוח.
17. יצירת קשר
לכל שאלה הנוגעת להסכם זה, בקשות למימוש זכויות נושאי נתונים, בקשות ביקורת, שאלות בנוגע למעבדי משנה, או לקבלת עותקי סעיפים חוזיים סטנדרטיים:
BizPlanner — פניות בנושא עיבוד נתונים שי אסולין כ"ט בנובמבר 8, אשקלון, ישראל עוסק מורשה מספר 307874974
דוא"ל: support@biz-planner.com אתר: https://biz-planner.com
ללקוחות ארגוניים המעוניינים ב-DPA חתום הדדית או בתנאים חוזיים נוספים, אנא צרו קשר בכתובת support@biz-planner.com עם הנושא "Enterprise DPA Request" (בקשת DPA ארגונית).
מסמכים קשורים:
הסכם זה בתוקף ממרץ 2026. BizPlanner תודיע למשתמשים פעילים על כל שינויים מהותיים לפחות 30 יום לפני כניסתם לתוקף.