טיוטה משפטית — מסמך זה הוא טיוטה שהוכנה על ידי צוות המוצר ואינה מהווה ייעוץ משפטי. לפני סיום Beta היא תוחלף בגרסה מקצועית של עו״ד מוסמך. שאלות: hello@alma-ads.co.il.
הסכם עיבוד מידע (DPA)
עודכן לאחרונה: 2026-04-21
מסמך זה הוא Data Processing Agreement לפי Article 28 של General Data Protection Regulation (GDPR). הוא חל כאשר אתה, כבעל עסק, משתמש ב-My Special Offer כדי לעבד מידע אישי של הלקוחות שלך (לדוגמה, שמות, טלפונים, אימיילים של לקוחותיך). בסיטואציה זו — אתה ה-Controller, ו-My Special Offer היא ה-Processor.
§1הצדדים
• Controller (בקר המידע) — אתה, בעל העסק הרשום במערכת, או החברה שבבעלותך
• Processor (מעבד המידע) — My Special Offer, המופעל על ידי Niv Einy
• Sub-processors — הספקים המשניים המפורטים ב-§4
ההסכם חל על עיבוד מידע אישי של לקוחותיך (לא שלך כבעל עסק — מידע זה מכוסה במדיניות הפרטיות הראשית).
§2הגדרות
• "מידע אישי" — כהגדרתו ב-GDPR Art. 4(1)
• "עיבוד" — כהגדרתו ב-GDPR Art. 4(2)
• "נושא המידע" — לקוחותיך, המשאירים מידע שלהם בהצעות שאתה יוצר
• "אירוע אבטחה" — כהגדרתו ב-GDPR Art. 4(12)
• "רשות פיקוח" — רשות הגנת הפרטיות הרלוונטית
§3היקף, משך, מהות ומטרה של העיבוד
• היקף — מידע אישי של לקוחותיך שנכלל בהצעות: שם, טלפון, דוא״ל, פרטי עסק, פרטי תשלום
• משך — תקופת השימוש שלך בשירות
• מהות — אחסון, יצירה, שינוי, שיתוף דרך קישור ציבורי, חתימה דיגיטלית
• מטרה — אספקת השירות שהזמנת (יצירת הצעות מחיר, שליחה ללקוחות, ניהול חשבון)
§4ספקים משניים
הרשימה המעודכנת של ספקים משניים שאנו מסתייעים בהם. אתה מאשר בזאת את השימוש בהם כ-Processor. שינוי או הוספת ספק יודעו 30 יום מראש, ויש לך זכות להתנגד (התנגדות עלולה להוביל לסיום השירות).
| שם ספק | תפקיד | מיקום | DPA |
|---|---|---|---|
| Supabase | אחסון מידע, בסיס נתונים, אימות | EU-West (Ireland) | DPA |
| Vercel | אחסון אתר, CDN, middleware | Global CDN | DPA |
| Google Gemini | תמלול וחילוץ AI | Global (US-central) | DPA |
| Resend | שליחת מיילים | USA | DPA |
| PostHog | אנליטיקה (רק בהסכמה) | EU-West (Frankfurt) | DPA |
| Paddle.com Market Limited | עיבוד תשלומים ומס (Merchant of Record). מוצג אליהם: מייל, כתובת חיוב (מדינה, קוד דואר), סכום ומטבע, ו-tenant_id פנימי (UUID). נדרש לחישוב מע"מ וחשבונית לפי GDPR Art. 6(1)(b,c) ו-13(1)(e). | Dublin, Ireland (EU) | DPA |
§5סיוע במימוש זכויות נושאי המידע
אנו נסייע לך, ה-Controller, במענה לבקשות של נושאי המידע שלך (הלקוחות שלך) לפי GDPR Art. 15-22.
לוח זמנים:
• בקשת גישה, תיקון או ניידות — 30 יום מקבלת הבקשה
• בקשת מחיקה — 30 יום, כפוף לחובות שמירה חוקיות של הצעות חתומות
• עלות — ללא תשלום עבור בקשה סבירה. בקשות חוזרות וגדולות עלולות לעלות עד 30 ₪
§6אמצעי אבטחה
אנו מיישמים אמצעי אבטחה טכניים וארגוניים:
• Row-Level Security (RLS) בבסיס הנתונים
• הצפנה בשכבת תעבורה (HTTPS / TLS 1.3)
• הצפנת מידע במנוחה (AES-256 של Supabase)
• ניהול גישה מבוקר — פחות מ-3 אנשים עם הרשאת service role
• גיבויים יומיים
• ניטור אירועים חריגים
• פגיעות-סריקה תקופתית
איננו מתחייבים שהמערכת בלתי חדירה. במקרה של אירוע — ראה §8.
§7העברות מידע בין-לאומיות
חלק מהספקים המשניים פועלים מחוץ לאיחוד האירופי. העברות אלה מבוצעות תחת Standard Contractual Clauses (SCCs) של הנציבות האירופית — Commission Decision 2021/914, מודול 2 (Controller-to-Processor).
לא מועבר מידע למדינות ללא החלטת הלימה (Adequacy Decision) או SCCs מתאימים.
§8דיווח על אירועי אבטחה
במקרה של אירוע אבטחה המשפיע על מידע אישי של לקוחותיך, אנו נודיע לך ללא עיכוב — ובכל מקרה לא יאוחר מ-24 שעות מרגע שנודע לנו, כדי לאפשר לך לעמוד בחובות ההודעה שלך לפי GDPR Art. 33 (72 שעות לרשות הפיקוח).
ההודעה תכלול: תיאור האירוע, סוג ומספר המידע שנחשף, השלכות צפויות, אמצעים שננקטו להכלה.
§9ביקורת
אתה רשאי לבקש ביקורת שנתית על פעילות העיבוד, בהתראה מראש של 30 יום. הביקורת תתבצע בימי עסקים ולא תפריע לפעילות השירות.
עבור ביקורת מקיפה (on-site) יגבה תשלום לפי עלותנו. עבור ביקורת דרך שאלונים / מסמכים — ללא עלות.
ניתן להסתמך על דוחות של צד שלישי (SOC 2, ISO 27001) במקום ביקורת עצמאית כאשר זמינים.
§10החזרה או מחיקה של מידע
בסיום ההסכם (ביטול החבילה או סגירת חשבון), אנו נבצע לפי בחירתך:
• החזרת המידע — ייצוא בפורמט JSON + קבצי הצעות ב-HTML
• מחיקה מלאה — בתוך 30 יום, פרט להצעות חתומות הכפופות לחובת שמירה של 7 שנים
החלטת ברירת מחדל — מחיקה אם לא התקבלה הוראה תוך 30 יום.
§11אחריות
האחריות שלנו כ-Processor מוגבלת בהתאם לתנאי השירות הראשיים. אנו אחראים אך ורק למעשינו שלנו — לא לשגיאות שלך כ-Controller.
כל אחד מהצדדים יישא באחריותו לפי חלקו באירוע אבטחה בהתאם ל-GDPR Art. 82.
§12דין חל
הסכם זה כפוף לחוק מדינת ישראל. סמכות השיפוט — בית המשפט המוסמך בתל אביב.
§13חתימה
הסכם זה נכנס לתוקף אוטומטית עם השימוש בשירות כעסק. לא נדרשת חתימה ידנית.
אם ארגונך דורש DPA חתום פיזית, פנה ל-hello@alma-ads.co.il ונספק גרסה חתומה PDF במייל תוך 5 ימי עסקים.