הסכם עיבוד נתונים (DPA): מתי העסק שלך צריך את זה?

מהו הסכם עיבוד נתונים (DPA)?

הסכם עיבוד נתונים (Data Processing Agreement – DPA) הוא חוזה מחייב שנדרש בהתאם לחוקי הגנת הפרטיות, המסדיר את היחסים בין "בעל המאגר, " (Data Controller) או בעל השליטה במאגר, לבין "מעבד הנתונים" (Data Processor). הסכם זה קובע כיצד הספק מעבד את הנתונים בשם העסק, מהן החובות וההתחייבויות שלו, וכיצד הוא מגן על המידע בהתאם לרגולציה.

חובת החתימה על DPA לפי הדין הישראלי

בהתאם לתקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), בעל מאגר מידע המתקשר עם גורם חיצוני לצורך קבלת שירות הכרוך במתן גישה למאגר המידע – מחויב לערוך עמו הסכם עיבוד נתונים (DPA). מטרת ההסכם היא לוודא שהגורם החיצוני פועל בהתאם לדרישות החוק, ולמנוע עיבוד מידע אישי שלא כדין.

מי צריך להחתים את מי על  DPA?

בכל פעם שעסק, עמותה או כל גוף אחר אוסף מידע אישי ומעביר אותו לצד שלישי לצורך עיבוד – נדרש הסכם עיבוד נתונים. לרוב, בעל המאגר (כגון חברה או עמותה שאוספת את הנתונים) מחויב להחתים את ספק השירות כגון ספק SaaS, שירותי ענן, סוכנויות שיווק וכד' על   DPA .

דוגמאות למצבים בהם DPA נדרש:

• שירותי ענן – חברה שמשתמשת בשירותי ענן לאחסון נתונים חייבת להבטיח שהספק פועל בהתאם לחוקי הגנת הפרטיות.
• ספקי שיווק ודיוור – אם העסק משתמש בפלטפורמת דיוור לשליחת מיילים ללקוחות, עליו לוודא שהנתונים מטופלים בהתאם לדרישות הרגולציה.
• שירותי עיבוד נתונים חיצוניים – כל שימוש בספקים שמבצעים ניתוח נתונים, AI או אוטומציה על בסיס מידע אישי מחייב חוזה עיבוד נתונים.

סעיפים עיקריים בהסכם עיבוד נתונים לפי הדין הישראלי:

1. תיאור עיבוד הנתונים – פירוט המידע שהגורם החיצוני רשאי לעבד ומטרות השימוש המותרות בו לצורכי ההתקשרות.
2. גישה למערכות המאגר – ציון מערכות המאגר שהגורם החיצוני רשאי לגשת אליהן.
3. סוגי עיבוד נתונים מורשים – פירוט סוג העיבוד או הפעולות שהגורם החיצוני רשאי לבצע.
4. סיום ההתקשרות – משך ההתקשרות, אופן השבת המידע לידי בעל המאגר, השמדתו מרשות הגורם החיצוני ודיווח על כך.
5. אבטחת מידע – חובות בתחום אבטחת המידע שהגורם החיצוני חייב לעמוד בהן, וכן הנחיות נוספות לעניין אמצעי אבטחת מידע שקבע בעל המאגר.
6. חובת סודיות והתחייבות עובדים – חובתו של הגורם החיצוני להחתים את בעלי ההרשאות שלו על התחייבות לשמור על סודיות המידע, להשתמש במידע רק לפי האמור בהסכם, וליישם את אמצעי האבטחה הקבועים בהסכם.

מה קורה אם אין הסכם עיבוד נתונים?

אי-חתימה על DPA עשויה להוביל להפרת תקנות הגנת הפרטיות ולחשיפה משפטית משמעותית, כולל הטלת עיצומים כספיים משמעותיים, וזאת במיוחד לאור תיקון 13 לחוק הגנת הפרטיות שיכנס לתוקף בחודש אוגוסט 2025. אם בעל המאגר אינו מבטיח שספקיו פועלים בהתאם לדרישות החוק, הוא עלול לשאת באחריות במקרה של דליפת מידע או הפרת פרטיות. בנוסף, ללא DPA, קשה להגדיר בבירור את אחריות הצדדים במקרה של מחלוקת.

סיכום: האם העסק שלך צריך DPA   ?

אם העסק שלך אוסף מידע אישי ומעביר אותו לעיבוד אצל ספקים חיצוניים – התשובה היא כן. בין אם אתה מנהל חברת טכנולוגיה, עמותה או עסק שמשתמש בשירותי ענן – חשוב להבטיח שהשירותים שבהם אתה משתמש עומדים בדרישות החוק, ולוודא שהיחסים שלך עם הספקים מוסדרים באמצעות הסכם עיבוד נתונים ברור ומפורט.

מוזמנים לעיין גם במדריך של רשות הגנת הפרטיות בנושא.

זקוקים לייעוץ או לעריכת הסכם עיבוד נתונים שמתאים לעסק שלכם? פנו אלינו לקבלת ליווי משפטי מקצועי בתחום הגנת הפרטיות ואבטחת המידע.