נספח עיבוד נתונים

נספח עיבוד נתונים זה (להלן “DPA”) מצורף להסכם השירותים הראשי בינך לבין Esimatrix (להלן “MSA”), והוא מהווה חלק בלתי נפרד ממנו. הוא נכנס לתוקף באופן מיידי עם השימוש שלך בכל שירות (להלן “תאריך התחולה”). מונחים שהוגדרו באותיות רישיות אך לא הוגדרו במפורש ב־DPA זה, יהיו להם המשמעויות המופיעות ב־MSA.

  1. הגדרות (Definitions). מונחים שהוגדרו באותיות רישיות ומשמשים לאורך כל DPA זה מוגדרים בסעיף שבו הם מופיעים לראשונה או מפורטים במפורש כך:
    1. “Covered Data Breach” משמעותו פרצת אבטחה במערכות של Esimatrix אשר (i) גורמת ישירות לאובדן לא מכוון או חשיפה לא מורשית של Covered PII במערכות המנוהלות או נשלטות על ידי Esimatrix, ו-(ii) אינה נובעת מפעולה או מחדל רשלניים, פזיזים או מכוונים של משתמש מכוס כלשהו.
    2. “Covered PII” פירושו כל PII שנעשה בו עיבוד (Processing) כתוצאה מהשירותים.
    3. “Data Subject” פירושו כל אדם טבעי שניתן לזהותו, במישרין או בעקיפין, בייחוד על ידי התייחסות למספר זיהוי או לאחד או יותר ממאפיינים המיוחסים לזהותו התרבותית, הדיגיטלית, הכלכלית, הפיננסית, הנפשית, הגופנית, הפיזיולוגית או החברתית.
    4. “Personal Identifiable Information” או “PII” משמעותם נתונים המזהים, מתייחסים או מתארים, מסוגלים להיות מקושרים, או עשויים להיות מקושרים בצורה סבירה, ישירות או בעקיפין, לאדם טבעי (Data Subject). זאת למעט נתונים ש-(i) זמינים לציבור באופן חוקי ממאגרי מידע ממשלתיים פדרליים, מדינתיים או מקומיים, (ii) זמינים לציבור באופן חוקי על ידי ה-Data Subject הרלוונטי, (iii) עברו תהליך הסרה או הסוואה של זהות באופן סביר, או (iv) אוגדו (aggregated).
  2. הנחיות (Instructions). אתה מנחה את Esimatrix לבצע עיבוד (Processing) ל-Covered PII באופן העולה בקנה אחד עם הוראות ההסכם (Agreement). במידה ותרצה ש-Esimatrix תעבד את ה-Covered PII באופן שאינו תואם או מוסיף על תנאי תנאי השימוש (Terms of Service), עליך לספק הנחיות כתובות ומפורטות ל-Esimatrix לפחות 30 (שלושים) ימים קלנדריים מראש. תהיה זו אחריותך הבלעדית לוודא שהנחיותיך ל-Esimatrix בנוגע לעיבוד ה-Covered PII תואמות את תנאי השימוש ואת החוק החל.
  3. סמכות (Authority). Esimatrix רשאית לעבד (Process) את ה-Covered PII בהתאם להנחיותיך, בתנאי ש-Esimatrix:
    1. מיישמת ותמשיך ליישם אמצעים טכניים וארגוניים באופן שבו מתן השירותים על ידה עומד, לכל הפחות, בדרישות DPA זה;
    2. מעסיקה ספקי שירות צד שלישי (TSPs) לעיבוד Covered PII רק לאחר קבלת התחייבויות לעמידה בחוק החל;
    3. במקרה של Covered Data Breach, תודיע לך (i) בהודעה כתובה בהקדם האפשרי וללא עיכוב בלתי סביר לאחר ש-Esimatrix תאמת את פרצת האבטחה המכוסה; ו-(ii) תספק מידע סביר הדרוש לך על מנת לעמוד בחובות דיווח על פרצות נתונים.
  4. עיבוד כללי של PII (General Processing of PII). עיבוד ה-Covered PII על ידי Esimatrix ייעשה כדי לספק לך את השירותים ולמטרות נוספות המותרות בתנאי השימוש. חל איסור על Esimatrix לחשוף או להעביר Covered PII לכל גוף או גורם שאינו Esimatrix, למעט (i) בקשר לעיבוד הרגיל וההכרחי של Covered PII על ידי נציג או ספק שירות צד שלישי (TSP) של Esimatrix אשר חתם על הסכם המחייב עמידה בתנאים המהותיים של DPA זה טרם עיבוד כזה; או (ii) כאשר נדרש על פי חוק.
  5. עיבוד Covered PII אירופי (Processing European Covered PII)
    1. תחולה (Applicability). סעיף 5 זה יחול רק על עיבוד European Covered PII הנובע או קשור ל-DPA זה.
    2. הגדרות נוספות (Additional Definitions).
      1. “Data Controller” ו-“Data Exporter” יהיו בעלי המשמעות המוגדרת בהסכם ה-EU Model Contract.
      2. “Data Importer” ו-“Data Processor” יהיו בעלי המשמעות המוגדרת בהסכם ה-EU Model Contract.
      3. “EU Model Contract” פירושו הסכם מעבד הנתונים וסעיפי החוזה הסטנדרטיים C(2010)593 שהונפקו על ידי נציבות האיחוד האירופי, מנהלת המשפט הכללי, כפי שסופקו לך על ידי Esimatrix במהלך תהליך ההצטרפות שלך.
      4. “European Covered PII” פירושו כל Covered PII שמקורו באחת או יותר מהמדינות הבאות: אוסטריה, בלגיה, בולגריה, קרואטיה, רפובליקת קפריסין, צ'כיה, דנמרק, אסטוניה, פינלנד, צרפת, גרמניה, יוון, הונגריה, איסלנד, אירלנד, איטליה, לטביה, ליכטנשטיין, ליטא, לוקסמבורג, מלטה, הולנד, נורבגיה, פולין, פורטוגל, רומניה, סלובקיה, סלובניה, ספרד, שבדיה, הממלכה המאוחדת (UK), או כל מדינה אחרת באיחוד האירופי.
      5. “GDPR” פירושו תקנה 2016/679 של הפרלמנט האירופי ושל המועצה להגנה על אנשים טבעיים בנוגע לעיבוד של נתונים אישיים ולתנועה החופשית של נתונים, כפי שמופיעה בקישור זה (או, עבור הממלכה המאוחדת, כל חקיקה לאומית רלוונטית המחליפה או ממירה בדין המקומי את ה-GDPR או כל חוק אחר הנוגע לנתונים ולפרטיות בעקבות עזיבת הממלכה המאוחדת את האיחוד האירופי), וכל התקנות המיישמות אותה.
      6. “Subprocessor” תהיה בעלת המשמעות הקבועה ב-GDPR.
    3. הסכם EU Model Contract. עליך לעיין בהסכם ה-EU Model Contract הזמין כאן ולתת את הסכמתך לו, אם שימושך בשירותים, על ידי כל משתמש מכוס, דורש מ-Esimatrix או מכל משתמש מכוס לעבד (Process) European Covered PII.
    4. יחסי המשתמשים המכוסים ו-Esimatrix. הטבלה הבאה נועדה להגדיר ולקבוע את המעמד המשפטי והעסקי של המשתמשים המכוסים ושל Esimatrix, בכל הנוגע לעיבוד European Covered PII, כדלקמן:
      Blank You and Your End Users You and Esimatrix Your End Users and Esimatrix Data Exporter End User You and Your Representatives None, direct transactions and interactions between End User and Esimatrix prohibited. Data Controller End User You and Your Representatives Data Importer You and Your Representatives Esimatrix Data Processor You and Your Representatives You and Your Representatives Subprocessor Your TSPs Esimatrix Blank
    5. תנאים מקדימים לשימוש (Conditions Precedent to Use). כל צד, בנפרד ובמשותף, מצהיר, מתחייב ומאשר כי (i) הצד קרא, מבין ומסכים להסכם ה-EU Model Contract ול-GDPR בנוגע לעיבוד European Covered PII; (ii) אתה נחשב לגורם היחיד השולט, האחראי והחב בעיבוד European Covered PII על ידי המשתמשים המכוסים; (iii) Esimatrix נחשבת למעבד (Processor) בכל הנוגע לעיבוד ה-European Covered PII שלך; (iv) Esimatrix נחשבת ל-Subprocessor שלך בכל הנוגע לעיבוד European Covered PII של כל משתמש מכוס אחר; (v) Esimatrix אינה מקיימת שום קשר משפטי ישיר או מעורבות עסקית ישירה עם כל משתמש קצה (End User); (vi) Esimatrix נדרשת לאבטח ולשמור על סודיות European Covered PII הנמצא ברשותה של Esimatrix באופן עקבי עם ה-EU Model Contract וה-GDPR; (vii) Esimatrix תעבד European Covered PII רק בהתאם להנחיות המוגדרות בתנאי השימוש (Terms of Service); (viii) כל צד ישתף פעולה באופן סביר עם התחייבויות הצד האחר בנוגע למענה לבקשות חשיפת נתונים תקפות; (ix) כל צד ישמיד, ימסור או יחזיר את כל ה-European Covered PII לצד המתאים בתוך 30 (שלושים) ימים מסיום ה-DPA, אלא אם הדבר מותר לפי ה-GDPR או תנאי השימוש.
  6. עיבוד Covered PII בקליפורניה (Processing California Covered PII)
    1. תחולה (Applicability). סעיף 6 זה יחול רק על עיבוד של California Covered PII הנובע או קשור ל-DPA זה.
    2. הגדרות נוספות (Additional Definitions).
      1. “California Covered PII” פירושו כל Covered PII שמקורו במדינת קליפורניה, ארצות הברית.
      2. “CCPA” פירושו חוק הגנת הפרטיות של צרכני קליפורניה (California Consumer Protection Act), לפי Cal. Civ. Code § 1798.100 et seq., הזמין כאן, לרבות התקנות המיישמות אותו.
      3. “Data Controller” תהא בעלת המשמעות של “business” כהגדרתו ב-CCPA.
      4. “Data Processor” תהא בעלת המשמעות של “service provider” כהגדרתו ב-CCPA.
      5. “Subprocessor” פירושו כל Data Processor המעבד California Covered PII מטעם Data Processor אחר (שאינו צרכן), לצורך עסקי, בהקשר ל-CCPA.
    3. יחסי המשתמשים המכוסים ו-Esimatrix. הטבלה הבאה נועדה להגדיר ולקבוע את המעמד המשפטי והעסקי של המשתמשים המכוסים ושל Esimatrix, בכל הנוגע לעיבוד California Covered PII, כדלקמן:
      Blank You and Your End Users You and Esimatrix Your End Users and Esimatrix Data Controller End User You and Your Representatives None, direct transactions and interactions between End User and Esimatrix prohibited. Data Processor You and Your Representatives You and Your Representatives Subprocessor Your TSPs Esimatrix Blank
    4. תנאים מקדימים לשימוש (Conditions Precedent to Use). כל צד, בנפרד ובמשותף, מצהיר, מתחייב ומאשר כי (i) הצד קרא, מבין ומסכים ל-CCPA בנוגע לעיבוד California Covered PII; (ii) החברה (Company) נחשבת לגורם היחיד השולט, האחראי והחב בעיבוד California Covered PII על ידי כל משתמש מכוס; (iii) Esimatrix נחשבת ל-Subprocessor של החברה בכל הנוגע לעיבוד כל California Covered PII הנובע או הקשור לשימושך בשירותים; (iv) Esimatrix אינה מקיימת שום קשר משפטי ישיר או מעורבות עסקית ישירה עם כל משתמש קצה; (v) Esimatrix נדרשת לאבטח ולשמור על סודיות California Covered PII שבחזקתה של Esimatrix באופן התואם את ה-CCPA; (vi) Esimatrix תעבד California Covered PII רק בהתאם להנחיות הנקבעות בהסכם (Agreement); (vii) כל צד ישתף פעולה באופן סביר עם התחייבויות הצד האחר בנוגע למענה לבקשות חשיפת נתונים תקפות; (viii) כל צד ישמיד, ימסור או יחזיר את כל ה-California Covered PII לצד הרלוונטי בתוך 30 (שלושים) ימים מסיום ה-DPA, אלא אם הדבר מותר לפי ה-CCPA או ה-MSA.
  7. תיקון (Amendment). DPA זה מצורף להסכם ומתקן אותו אך ורק בכל הנוגע לנושאים המפורטים במסמך זה. במקרה של סתירה בין (i) DPA זה לבין (ii) ה-MSA, ה-NDA, ו/או כל SLA, SPA, SUP או Service Order שנחתמו בהסכמה הדדית, DPA זה ייחשב לבעל עדיפות ולגובר ללא יוצא מן הכלל.