הסכם עיבוד נתונים

מסמכי החבילה החוזית

• הסכם עיבוד נתונים (DPA). תנאים דו‑צדדיים מצד המעבד המסדירים את הטיפול של Syncanix בנתונים האישיים של הלקוח לפי סעיף 28 של ה‑GDPR. מגדיר את מטרות העיבוד, קטגוריות הנתונים, מעבדי המשנה, אמצעי האבטחה והסכמי רמת השירות (SLA) להודעה על הפרה.
• סעיפים חוזיים סטנדרטיים (SCCs) — מודול שתיים. החלטת היישום 2021/914 של הנציבות האירופית, מודול שתיים (ממעבד למעבד). מסדיר העברות של נתונים אישיים אל מחוץ ל‑EEA אל מעבדי משנה הפועלים ממדינות שלישיות.
• נספח העברת נתונים בינלאומית (IDTA) של רשות ה‑ICO הבריטית. נספח המרחיב את SCCs מודול שתיים כך שיכסה העברות של נתונים אישיים מבריטניה, בהתאם לתבנית שפרסמה רשות ה‑ICO הבריטית.
• תוספת FADP השווייצרית. תוספת גישור המרחיבה את ה‑SCCs כך שיכסו העברות של נתונים אישיים הכפופים לחוק הפדרלי השווייצרי להגנת נתונים (FADP), כפי שנדרש בהנחיות ה‑FDPIC.
• נספחים אזוריים. נספחים קלים עבור UAE PDPL, KSA PDPL (סעודיה), חוק הגנת הפרטיות הישראלי + תיקון 13, חוק מצרי 151/2020 ואזורי שיפוט נוספים ב‑MENA כאשר הפריסה של לקוח מפעילה אותם.

היקף ה‑DPA (חובות סעיף 28)

ה‑DPA כולל כל חובה שסעיף 28(3) של ה‑GDPR מטיל על מעבד:

• על פי הוראות בלבד (סעיף 28 § 3(a)). Syncanix מעבדת נתונים אישיים של הלקוח אך ורק על פי הוראות מתועדות של הלקוח, לרבות העברות למדינות שלישיות.
• סודיות (סעיף 28 § 3(b)). כל עובד או קבלן של Syncanix בעל גישה לנתונים אישיים של הלקוח מחויב בחובת סודיות.
• אבטחה (סעיף 28 § 3(c) + סעיף 32). הצפנה במנוחה באמצעות AWS KMS, הצפנה במעבר באמצעות TLS 1.3, IAM בעקרון ההרשאה המזערית, והבקרות המתועדות ב עמוד האבטחה →.
• העסקת מעבדי משנה (סעיף 28 § 2 + § 4). אישור מראש של הלקוח לשינויים במעבדי משנה; מדיניות הודעת שינוי בת 30 יום ב עמוד מעבדי המשנה →; אותן חובות לפי סעיף 28 מועברות לכל מעבד משנה.
• סיוע בבקשות מימוש זכויות (סעיף 28 § 3(e)). Syncanix מסייעת ללקוחות בבקשות גישה של נושאי מידע (DSARs) (סעיפים 15–22, הכוללים גישה, תיקון, מחיקה, הגבלה, ניידות והתנגדות) במסגרת ה‑SLA של אישור קבלה תוך 24 שעות / מימוש תוך 30 יום.
• הודעה על הפרה (סעיף 33). הודעה ללקוח בתוך 24 שעות מאישור הפרת נתונים אישיים הפוגעת בנתוניו. הלקוח (הבקר) נושא בחובה להודיע לרשויות הפיקוח ולנושאי המידע.
• שיתוף פעולה בביקורות (סעיף 28 § 3(h)). חלון ביקורת שנתי וראיות לפי דרישה (דוחות SOC 2, תעודת ISO 27001 כאשר היא זמינה) לביסוס חובות המעבד.
• מחיקה / החזרה (סעיף 28 § 3(g)). עם הסיום, הנתונים האישיים של הלקוח מוחזרים או נמחקים בהתאם להוראת הלקוח בתוך 30 יום, וכל עותקי הגיבוי מנוקים בתוך 90 יום נוספים. נשמר חוצץ מחיקה רכה קצר בהתאם לסעיף 17 (מחיקה) כדי להתאושש מבקשות שנעשו בטעות.

סעיפים חוזיים סטנדרטיים (SCCs)

העברות חוצות גבולות מ‑EEA אל מעבד משנה במדינה שלישית (ארצות הברית, קנדה וכו') כפופות ל‑SCCs מודול שתיים — תבנית ממעבד למעבד של הנציבות האירופית (החלטת יישום 2021/914, בתוקף מאז 27 June 2021). הנספחים המתעדים את קטגוריות הנתונים, מטרות העיבוד ואמצעי האבטחה ממולאים לכל מעבד משנה, כמפורט ב עמוד מעבדי המשנה →. הלקוח חותם על ה‑SCCs כיצואן הנתונים; Syncanix חותמת כיבואן הנתונים.

נספח IDTA של רשות ה‑ICO הבריטית

להעברות של נתונים אישיים מבריטניה, ה‑SCCs לבדם אינם מספיקים לאחר הברקזיט. נספח העברת הנתונים הבינלאומית (IDTA) של רשות ה‑ICO הבריטית, שפורסם ב‑21 March 2022, מרחיב את ה‑SCCs לכלל מכשיר התואם לדיני הגנת הנתונים של בריטניה. הנספח של Syncanix הוא התבנית שפרסמה ה‑ICO, ממולאת באותם נספחים כמו ה‑SCCs.

תוספת FADP השווייצרית

החוק הפדרלי להגנת נתונים (FADP, גרסה מתוקנת בתוקף מ‑1 September 2023) חל על נתונים אישיים שווייצריים. התוספת השווייצרית של Syncanix היא גשר דק — היא מחליפה את "האיחוד האירופי" ב"שווייץ" בסעיפים הרלוונטיים של ה‑SCCs, קובעת את ה‑FDPIC (הנציב הפדרלי להגנת נתונים ומידע) כרשות הפיקוח, ומשלבת זכויות נושאי מידע הייחודיות לדין השווייצרי.

נספחים אזוריים

אזורי השיפוט של MENA מטילים דרישות חוזיות משלהם מצד המעבד, המטופלות באמצעות נספחים אזוריים קלים המופעלים על ידי הפריסה של הלקוח:

• UAE PDPL (צו‑חוק פדרלי 45/2021 + DIFC DP Law 5/2020 + ADGM). מבוסס הסכמה; העברות חוצות גבולות מחייבות החלטת התאמה או חוזה.
• Saudi PDPL. אכיפה מלאה מאז 14 Sep 2024. הודעת הפרה תוך 72 שעות ל‑SDAIA. העברות חוצות גבולות מחייבות אישור SDAIA. נדרש נציג מקומי כאשר נחצים סף ההכנסות.
• חוק הגנת הפרטיות הישראלי + תיקון 13 (בתוקף 15 Aug 2025). מותאם ל‑GDPR; הגדרה מורחבת של "מידע אישי"; ממונה הגנת פרטיות חובה; קנסות עד 5% מהמחזור.
• חוק מצרי 151/2020. רישיון להעברה חוצת גבולות + הסכמה כברירת מחדל.
• חוק קטר 13/2016 PDPPL. משטר הסכמה + הודעה.
• Bahrain PDPL 30/2018. רישום בקרים; הסכמה.
• צו מלכותי עומאני 6/2022 PDPL. רישיון להעברה חוצת גבולות.
• Jordan PDPL 24/2023. ממונה הגנת מידע (DPO) מותנה; זכויות נושאי מידע.

סקירת היועץ המשפטי

תבנית ה‑DPA, SCCs מודול שתיים, נספח IDTA הבריטי, תוספת FADP השווייצרית והנספחים האזוריים נסקרים על ידי היועץ המשפטי לפרטיות באיחוד האירופי לפני כל שחרור מסחרי. האישור מתועד ב docs/legal/counsel-sign-off.md עם שם היועץ המשפטי, תאריך הסקירה וההיקף. סקירת היועץ המשפטי היא שער החוסם את ההשקה. עד שהיועץ המשפטי יאשר, עותקי עבודה של החבילה החוזית משותפים דו‑צדדית לפי בקשה באמצעות admin@syncanix.com.

כיצד לבקש את החבילה

1. שלחו דוא"ל אל admin@syncanix.com עם שם הישות המשפטית שלכם, אזורי השיפוט של הפריסה, ואילו נספחים אתם צריכים (בריטניה, שווייץ, KSA, UAE, ישראל וכו').
2. Syncanix מחזירה את עותק העבודה בתוך 2 ימי עסקים, ממולא בנספחים של מעבדי המשנה החלים על הפריסה שלכם.
3. המשא ומתן והחתימה הנגדית מתבצעים בדוא"ל או באמצעות תהליך DocuSign / Adobe-Sign לפי העדפת הלקוח.
4. לאחר קבלת אישור היועץ המשפטי, עמוד זה יקשר ישירות כאן את התבניות החתומות שפורסמו כקובצי הורדה .pdf .

קישורים קשורים

• רשימת מעבדי המשנה → — הגופים שאליהם מפנים נספחי ה‑SCCs.
• סקירת אבטחה → — אמצעי סעיף 32 המעוגנים ב‑DPA.
• הודעת פרטיות → — היקף הוראת הבקר לפי סעיף 28 § 3(a).
• סטטוס ציות → — ראיות SOC 2 / ISO 27001 המבססות את סעיף 32.