משפטי

הסכם עיבוד נתונים (DPA)

גרסת תבנית 1.0 — תאריך תחילה 13 במאי 2026

הורד PDF

הסכם עיבוד נתונים זה ('DPA') הוא חלק מתנאי השירות של DueVestor בין DueVestor ('המעבד') לבין הלקוח ('הבקר'). הוא מסדיר את עיבוד הנתונים האישיים המתואר להלן וכולל את ה-Standard Contractual Clauses בהיקף הנדרש.

1. נושא העיבוד

המעבד יעבד נתונים אישיים בשם הבקר אך ורק לצורך אספקת פלטפורמת DueVestor לבדיקת נאותות, בהתאם לתנאי השירות. נתונים אישיים: מידע על משתמשי הקצה של הבקר ועל הנושאים שהוא בוחר לחקור.

2. משך

העיבוד נמשך לאורך תקופת תנאי השירות וחלונות השמירה המתועדים במדיניות הפרטיות. כל צד רשאי לסיים לפי התנאים; עם סיום ימחק או יחזיר המעבד נתונים אישיים תוך 30 ימים אלא אם נדרש להמשיך לפי דין.

3. אופי ומטרת העיבוד

אחסון, חיפוש וניתוח מבוסס LLM של נושאי חקירה מול מקורות רשומים ציבוריים, יצירת דוחות, חיוב, תמיכה ויומן ביקורת.

4. קטגוריות של נושאי מידע ונתונים אישיים

נושאי מידע: משתמשי הקצה של הבקר ונושאי החקירה שהבקר מגיש. קטגוריות: זיהוי, רקע מקצועי, רשימות סנקציות, רישומים משפטיים, תקשורת שלילית, וכל הערה חופשית שהבקר מצרף.

5. חובות המעבד

לעבד נתונים רק לפי הוראות מתועדות. לשמור על סודיות. לסייע לבקר במימוש זכויות נושאי מידע (נקודות הקצה לייצוא ומחיקה הן בשירות עצמי). להודיע לבקר על אירוע אבטחת מידע תוך 72 שעות מהגילוי. להעמיד מידע ביקורת לפי דרישה.

6. מעבדי-משנה

המעבד משתמש במעבדי-המשנה המופיעים ב-/security. תינתן הודעה של 30 ימים מראש לפני הוספת מעבד חדש המעבד נתוני EU; הבקר רשאי לסיים ללא קנס אם הוא מתנגד.

7. העברות בינלאומיות

כאשר נתונים אישיים מועברים מ-EEA / UK למדינה ללא החלטת התאמה, הצדדים משלבים בהפניה את ה-SCC של האיחוד האירופי (Module 2). הערכת השפעת העברה זמינה לפי דרישה.

8. אמצעי אבטחה

הצפנה בהעברה ובמנוחה, מפעיל יחיד עם הרשאות מינימליות תחת Cloudflare Access, יומן ביקורת בלתי-ניתן-לשינוי לשנתיים, סנדבוקס מחשוב חולף לדוח, גיבויים יומיים מוצפנים עם נוהל שחזור מתועד. דוח SOC 2 Type I מתוכנן לרבעון 4/2026.

9. הודעה על אירוע אבטחת מידע

המעבד יודיע לבקר ללא דיחוי ובכל מקרה תוך 72 שעות מגילוי אירוע המשפיע על נתוני הבקר, ובכלל זה — ככל הידוע — מהות האירוע, קטגוריות וכמות מקורבת של רשומות מושפעות, השלכות צפויות ופעולות שננקטו או מוצעות.

10. החזרה ומחיקה בסיום

עם סיום, יחזיר או ימחק המעבד את כל הנתונים האישיים תוך 30 ימים לפי בחירת הבקר, בכפוף לחובת שמירה חוקית שהמעבד יתעד בכתב אם הופעלה.