תאריך העדכון האחרון: 8 באוגוסט 2023 | גרסאות קודמות
Jibe והצד השני שמסכים לנספח הזה (השותף) חתמו על הסכם לאספקת שירותי המעבד (כפי שתוקן מעת לעת, ההסכם).
נספח זה בנושא עיבוד נתונים (כולל הנספח 'נספח בנושא עיבוד נתונים') נחתם על ידי Jibe והשותף, ומהווה גם הוא תוספת להסכם. נספח עיבוד הנתונים הזה יהיה בתוקף ויחלף את כל התנאים הקודמים שחלים על הנושאים הרלוונטיים (כולל תנאים של עיבוד נתונים ואבטחה שקשורים לשירותי מעבד המידע), החל ממועד כניסת התנאים לתוקף.
אישור הנספח הזה לעיבוד נתונים בשם השותף יפורש כהצהרה וכהתחייבות מצידך כי: (א) יש לך סמכות משפטית מלאה להתחייב בשם השותף לנספח הזה לעיבוד נתונים, (ב) קראת והבנת את הנספח הזה לעיבוד נתונים, וכי (ג) את/ה מאשר/ת בזאת את הנספח הזה לעיבוד נתונים בשם השותף. אם אין לך סמכות משפטית לחייב את השותף, אל תאשר את הנספח הזה בנושא עיבוד נתונים.
1. מבוא
הנספח הזה לעיבוד נתונים משקף את ההסכם של הצדדים בנוגע לתנאים שמסדירים את העיבוד ואת האבטחה של נתונים מסוימים בהקשר לחקיקה האירופית להגנה על נתונים ולחקיקה שאינה אירופית להגנה על נתונים.
2. הגדרות ופרשנות
2.1 בנספח הזה לעיבוד נתונים:
'מוצר נוסף' הוא מוצר, שירות או אפליקציה שסופקו על ידי Jibe או על ידי צד שלישי, ושהם: (א) לא חלק משירותי מעבד המידע, ו-(ב) זמינים לשימוש בממשק המשתמש של שירותי מעבד המידע או משולבים בשירותי מעבד המידע בדרך אחרת.
"תנאים נוספים לחקיקה שאינה אירופית להגנה על מידע" הם התנאים הנוספים שמופיעים בנספח 3, המשקפים את ההסכם של הצדדים בנוגע לתנאים המסדירים עיבוד של נתונים מסוימים בהקשר לחקיקה מסוימת שאינה אירופית להגנה על מידע.
"מדינה הולמת" פירושה:
(א) לגבי נתונים שמעובדים בכפוף ל-GDPR של האיחוד האירופי: האזור הכלכלי האירופי (EEA), או מדינה או אזור שידועים בהבטחת רמה הולמת של הגנה על הנתונים בכפוף ל-GDPR באיחוד האירופי;
(ב) לגבי נתונים שמעובדים בכפוף ל-GDPR של בריטניה: בריטניה או מדינה או אזור שידועים בהבטחת רמה הולמת של הגנה על הנתונים בכפוף ל-GDPR של בריטניה ולחוק הגנת הנתונים 2018; ו/או
(ג) לגבי נתונים שמעובדים בכפוף ל-FDPA השווייצרי: שווייץ, או מדינה או אזור (1) שכלולים ברשימת המדינות שהחקיקה שלהן מבטיחה רמת הגנה נאותה, כפי שפורסם על ידי הנציב הפדרלי לענייני מידע והגנה על נתונים בשווייץ, או (2) שידועים בהבטחת רמה הולמת של הגנה על נתונים על ידי המועצה הפדרלית של שווייץ בכפוף ל-FDPA השווייצרי, בכל מקרה, מלבד על סמך מסגרת אופציונלית להגנה על נתונים.
"פתרון העברה חלופי" הוא פתרון, מלבד הסכמי SCC, שמאפשר העברה חוקית של מידע אישי למדינה שלישית בהתאם לחקיקה האירופית להגנה על מידע. לדוגמה, מסגרת להגנה על מידע שמוכרת כמספקת ערובה לכך שהישויות המקומיות המשתתפות מספקות הגנה מספקת.
"אירוע אבטחת מידע" פירושו פרצה באבטחה של Jibe שמובילה להשמדה לא חוקית או בלתי מכוונת, לאובדן, לשינוי או לחשיפה בלתי מורשית של המידע האישי של השותף, או לגישה אליו, במערכות שמנוהלות על ידי Jibe או שנמצאות בשליטתה באופן אחר. "אירועי אבטחת מידע" לא יכללו פעילויות או ניסיונות כושלים שלא פוגעים באבטחה של מידע אישי של השותף, כולל פעולות כושלות מהסוגים הבאים: ניסיונות התחברות, פינגים, סריקות של יציאות, התקפות מסוג מניעת שירות (DoS) והתקפות רשת אחרות על חומות אש או מערכות רשת.
'כלי לאנשים שאליהם מתייחס המידע' הוא כלי (אם קיים) שגוף Jibe מספק לאנשים שאליהם מתייחס המידע, ומאפשר ל-Jibe להשיב ישירות ובאופן סטנדרטי לבקשות מסוימות מאנשים שאליהם מתייחס המידע בנוגע למידע אישי של שותפים (לדוגמה, הגדרות פרסום אונליין או פלאגין לדפדפן לביטול ההסכמה).
"EEA" פירושו האזור הכלכלי האירופי.
"ה-GDPR של האיחוד האירופי" פירושו תקנה (EU) 2016/679 של הפרלמנט האירופי ושל המועצה האירופית מיום 27 באפריל 2016, המסדירה את ההגנה על אנשים פרטיים בכל הנוגע לעיבוד מידע אישי ולתנועה החופשית של מידע מסוג זה, והמבטלת את דירקטיבה 95/46/EC.
"החקיקה האירופאית להגנה על נתונים" פירושה, לפי הדין החל: (א) ה-GDPR ו/או (ב) החוק השווייצרי FDPA.
"חוקי האיחוד האירופי" פירושם, לפי ההקשר: (א) חוק של מדינה החברה באיחוד האירופי או חוק של האיחוד האירופי (אם ה-GDPR של האיחוד האירופי חל על עיבוד מידע אישי של שותפים); וכן (ב) החוק של הממלכה המאוחדת (בריטניה) או של חלק ממנה (אם ה-GDPR הבריטי חל על עיבוד מידע אישי של שותפים).
"GDPR" פירושו, לפי ההקשר: (א) ה-GDPR של האיחוד האירופי ו/או (ב) ה-GDPR של בריטניה.
'Jibe' פירושו הישות של Jibe שהיא צד בהסכם.
"ישות של Jibe" פירושה Jibe Mobile, Inc., Jibe Mobile Limited או כל ישות אחרת שבאופן ישיר או עקיף שולטת ב-Jibe Mobile, Inc., נמצאת בשליטתה או חולקת עימה בעל שליטה משותף.
"אישור תאימות לתקן ISO 27001": אישור ISO/IEC 27001:2013 או אישור דומה לשירותי המעבד.
"קבלן משנה חדש" פירושו כפי שמוגדר בסעיף 11.1 (הסכמה לשימוש בקבלן משנה).
"חקיקה שאינה אירופית להגנה על נתונים" פירושה חוקי הגנה על נתונים או חוקי פרטיות שחלים מחוץ לאזור הכלכלי האירופי (EEA), לשווייץ ולבריטניה.
"כתובת אימייל לקבלת התראות" היא כתובת האימייל (אם יש כזו): (1) ששותף העניק ל-Jibe או (2) ששותף הגדיר, דרך ממשק המשתמש של שירותי המעבד או באמצעים אחרים ש-Jibe מספקת, לצורך קבלת התראות מסוימות מ-Jibe שקשורות לתוספת הזו בנושא עיבוד נתונים. חשוב להבהיר: באחריות השותף לספק ל-Jibe כתובת אימייל לקבלת הודעות, ולהודיע ל-Jibe על כל עדכון בכתובת האימייל לקבלת הודעות.
"מידע אישי של שותף" פירושו מידע אישי ש-Jibe מעבדת בשם השותף במסגרת מתן שירותי המעבד על ידי Jibe.
"סעיפים חוזיים סטנדרטיים (SCC) של שותפים" פירושם הסעיפים החוזיים הסטנדרטיים (SCC) לנאמני מידע (מנאמן מידע למעבד), הסעיפים החוזיים הסטנדרטיים (SCC) לנאמני מידע (ממעבד לנאמן מידע) ו/או הסעיפים החוזיים הסטנדרטיים (SCC) לנאמני מידע (ממעבד למעבד), לפי העניין.
"שירותי מעבד" פירושם שירותי RCS Business Messaging (כפי שמתואר בכתובת developers.google.com/business-communications/rcs-business-messaging).
"SCC" פירושו הסעיפים החוזיים הסטנדרטיים (SCC) של השותף ו/או הסעיפים החוזיים הסטנדרטיים (SCC) (מעבד למעבד, Jibe Exporter), לפי העניין.
"סעיפים חוזיים סטנדרטיים (SCC) (נאמן מידע למעבד)" פירושם התנאים המפורטים בכתובת business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa.
"סעיפים חוזיים סטנדרטיים (SCC) (מעבד לנאמן מידע)" פירושם התנאים המפורטים בכתובת business.safety.google/gdprprocessorterms/sccs/p2c.
"סעיפים חוזיים סטנדרטיים (SCC) (מעבד למעבד)" פירושם התנאים המפורטים בכתובת business.safety.google/gdprprocessorterms/sccs/eu-p2p-dpa.
"סעיפים חוזיים סטנדרטיים (SCC) (מעבד למעבד, ייצוא של Jibe)" פירושם התנאים המפורטים בכתובת business.safety.google/gdprprocessorterms/sccs/eu-p2p-intra-group.
"מסמכי אבטחה" הם אישור ISO 27001 וכל מסמך או אישור אבטחה אחר ש-Jibe עשויה להעמיד לרשותכם בקשר לשירותי המעבד.
"אמצעי אבטחה" – משמעות המונח זה מפורטת בסעיף 7.1.1 (אמצעי האבטחה של Jibe).
"מעבדי משנה" הם צדדים שלישיים שמוסמכים בכפוף לנספח הזה בנושא עיבוד נתונים לקבל גישה לוגית למידע האישי של השותפים ולעבד אותו, כדי לספק חלקים משירותי המעבד וכל תמיכה טכנית קשורה.
"רשות מפקחת" פירושה, לפי ההקשר: (א) "רשות מפקחת" כפי שמוגדר ב-GDPR של האיחוד האירופי; ו/או (ב) "הגוף הממונה" (Commissioner) כפי שמוגדר ב-GDPR הבריטי ו/או ב-FADP של שווייץ.
"החוק השווייצרי FDPA" פירושו החוק הפדרלי להגנה על נתונים שנכנס לתוקף ב-19 ביוני 1992 (שווייץ).
"תקופת ההסכם" פירושה התקופה שבין מועד כניסת התנאים לתוקף לבין סיום מתן שירותי המעבד על ידי Jibe בכפוף להסכם.
"מועד כניסתם של התנאים לתוקף" פירושו מועד הכניסה לתוקף של ההסכם.
"ה-GDPR של בריטניה" פירושו ה-GDPR של האיחוד האירופי כפי שתוקן והותאם לחוק הבריטי בהתאם לחוק UK European Union (Withdrawal) Act 2018 (הפרישה של בריטניה מהאיחוד האירופי), ולכל חקיקה משנית רלוונטית שבוצעה על פי החוק הזה.
2.2 המונחים נאמן מידע, האדם שאליו מתייחס המידע, מידע אישי, עיבוד ומעבד מידע, כפי שנעשה בהם שימוש בנספח הזה בנושא עיבוד נתונים, פירושם זהה לפירוש שניתן להם ב-GDPR, והמשמעויות של המונחים כלי לייבוא נתונים וכלי לייצוא נתונים מפורטות בסעיפים החוזיים הסטנדרטיים (SCC) הרלוונטיים.
2.3 המילים כולל ובכלל זה פירושם 'כולל, בין היתר'. כל הדוגמאות בנספח הזה לעיבוד נתונים מובאות להמחשה בלבד, והן לא הדוגמאות היחידות לרעיונות שהן מדגימות.
2.4 כל התייחסות להסדר משפטי, לחוק או לחקיקה אחרת היא התייחסות להסדר, לחוק או לחקיקה האלה כפי שיתוקנו, יורחבו או ייחקקו מחדש מעת לעת.
2.5 אם הגרסה המתורגמת של הנספח הזה לעיבוד נתונים לא תואמת לגרסה האנגלית, תינתן עדיפות לגרסה האנגלית.
3. משך הזמן של הנספח הזה לעיבוד נתונים
הנספח הזה לעיבוד נתונים ייכנס לתוקף במועד כניסת התנאים לתוקף, ויישאר בתוקף, ללא קשר לתפוגת התקופה, עד למחיקת כל המידע האישי של השותף על ידי Jibe, כפי שמתואר בנספח הזה לעיבוד נתונים.
4. יישום הנספח הזה לעיבוד נתונים
4.1 תחולת החקיקה האירופית להגנה על מידע. סעיפים 5 (עיבוד נתונים) עד 12 (יצירת קשר עם Jibe, עיבוד רשומות) (כולל) יחולו רק במידה שהחקיקה האירופית להגנה על מידע חלה על עיבוד של מידע אישי של שותפים, כולל אם:
(א) העיבוד הוא בהקשר של הפעילויות של שותף שנמצא ב-EEA או בבריטניה; ו/או
(ב) מידע אישי של שותף הוא מידע אישי שקשור לנושאי מידע שנמצאים ב-EEA או בבריטניה, והעיבוד קשור להצעה של מוצרים או שירותים לאותם נושאי מידע או לניטור התנהגותם ב-EEA או בבריטניה.
4.2 בקשה לשירותי עיבוד. הנספח הזה בנושא עיבוד נתונים יחול רק על שירותי המעבד שלגביהם הצדדים הסכימו לנספח הזה בנושא עיבוד נתונים (לדוגמה: (א) שירותי המעבד שלגביהם השותף לחץ על הלחצן לאישור הנספח הזה בנושא עיבוד נתונים, או (ב) אם הנספח הזה בנושא עיבוד נתונים משולב בהסכם באמצעות הפניה, שירותי המעבד שהם הנושא של ההסכם).
4.3 שילוב תנאים נוספים לחקיקה שאינה אירופית להגנה על מידע. התנאים הנוספים בנוגע לחקיקה שאינה אירופית להגנה על מידע הם תוספת לנספח הזה בנושא עיבוד נתונים.
5. עיבוד נתונים
5.1 תפקידים ותאימות לתקנות; הרשאה
5.1.1 תחומי האחריות של מעבד המידע ונאמן המידע. הצדדים מאשרים ומסכימים:
(א) בנספח 1 מתוארים גופו של העניין והפרטים לגבי העיבוד של מידע אישי של שותף;
(ב) Jibe היא מעבדת מידע אישי של שותפים בכפוף לחקיקה האירופית להגנה על נתונים;
(ג) השותף הוא נאמן מידע או מעבד מידע (לפי ההקשר) של מידע אישי של השותף בכפוף לחקיקה האירופית להגנה על נתונים.
(ד) כל צד יעמוד בהתחייבויות החלות עליו בכפוף לחקיקה האירופית להגנה על מידע בכל הנוגע לעיבוד המידע האישי של השותף.
5.1.2 שותפי מעבדים. אם השותף הוא מעבד מידע:
(א) השותף מתחייב באופן קבוע שנאמן המידע הרלוונטי אישר: (1) את ההוראות, (2) את המינוי של Jibe כמעבדת מידע נוספת על ידי השותף, וכן (3) את ההעסקה של מעבדי משנה על ידי Jibe כפי שמתואר בסעיף 11 (מעבדי משנה);
(ב) השותף יעביר באופן מיידי לנאמן המידע הרלוונטי כל הודעה ש-Jibe תספק לפי סעיפים 5.4 (התראות על הוראות), 7.2.1 (הודעה על אירוע), 11.4 (הזדמנות להתנגד לשינויים בקבלן משנה) או הודעה שמפנה לסעיפי SCC כלשהם.
(ג) השותף רשאי למסור לנאמן המידע הרלוונטי כל מידע ש-Jibe מסרה לפי סעיפים 7.4 (אישור אבטחה), 10.5 (מידע על מרכז הנתונים) ו-11.2 (מידע על מעבדי משנה).
5.2 הוראות לשותף בחתימה על נספח זה בנושא עיבוד נתונים, השותף מורה ל-Jibe לעבד את המידע האישי של השותף רק בהתאם לחוק החל: (א) כדי לספק את שירותי המעבד וכל תמיכה טכנית קשורה, (ב) כפי שמפורט בהמשך באמצעות השימוש של השותף בשירותי המעבד (כולל בהגדרות ובפונקציונליות אחרת של שירותי המעבד) וכל תמיכה טכנית קשורה, (ג) כפי שמופיע בהסכם, כולל נספח זה בנושא עיבוד נתונים, (ד) כפי שמופיע בהמשך בהוראות כתובות אחרות שהשותף נתן ו-Jibe אישרה כהוראות לצורכי נספח זה בנושא עיבוד נתונים (יחד, ההוראות).
5.3 התאמת Jibe להוראות Jibe תפעל בהתאם להוראות, אלא אם הן אסורות על פי חוקי האיחוד האירופי.
5.4 התראות לגבי הוראות. Jibe תודיע מיד לשותף אם, לדעתה: (א) חוקים אירופאיים אוסרים על Jibe לציית להוראה, (ב) הוראה לא תואמת לחקיקה האירופית בנושא הגנה על נתונים, או (ג) Jibe לא יכולה לציית להוראה מסיבה אחרת, בכל מקרה, אלא אם הודעה כזו אסורה על פי חוק אירופי. סעיף 5.4 (הודעות על הוראות) לא מצמצם את הזכויות וההתחייבויות של כל אחד מהצדדים בכל מקום אחר בהסכם.
5.5 מוצרים נוספים. אם השותף משתמש במוצר נוסף כלשהו, שירותי המעבד עשויים לאפשר למוצר הנוסף הזה לגשת למידע האישי של השותף כנדרש לצורך הפעולה ההדדית של המוצר הנוסף עם שירותי המעבד. במקרה הצורך, הצדדים יחתמו על תנאים נפרדים לעיבוד נתונים כדי להסדיר את האופן שבו המוצר הנוסף יעבד מידע אישי של שותפים.
6. מחיקת נתונים
6.1 מחיקה במהלך תקופת ההסכם
6.1.1 שירותי מעבד עם פונקציונליות מחיקה. במהלך תקופת ההסכם, אם:
(א) הפונקציונליות של שירותי מעבד המידע כוללת את האפשרות של השותף למחוק את המידע האישי של השותף.
(ב) השותף משתמש בשירותי המעבדים כדי למחוק מידע אישי מסוים של השותף; וגם
(ג) השותף לא יכול לשחזר את המידע האישי שנמחק (למשל, מה'אשפה'), אז Jibe תמחק את המידע האישי של השותף מהמערכות שלה בהקדם האפשרי הסביר, אלא אם חוקים של האיחוד האירופי מחייבים לשמור את המידע.
6.1.2 שירותי מעבדים ללא פונקציונליות של מחיקה. במהלך תקופת ההסכם, אם הפונקציונליות של שירותי המעבד לא כוללת אפשרות לשותף למחוק מידע אישי של השותף, Jibe תעמוד בכל בקשה סבירה של השותף לסייע במחיקה כזו, ככל האפשר, תוך התחשבות בטבע ובפונקציונליות של שירותי המעבד, אלא אם חוקים של האיחוד האירופי מחייב שמירה. Jibe עשויה לגבות עמלה (על סמך העלויות הסבירות של Jibe) על כל מחיקה של נתונים בכפוף לסעיף 6.1.2 הזה (שירותי מעבד בלי פונקציונליות מחיקה). Jibe תספק לשותף פרטים נוספים על כל עמלה רלוונטית, ועל הבסיס לחישובה, לפני כל מחיקה כזו של נתונים.
6.2 מחיקת הנתונים בסיום תקופת ההסכם. בתום תקופת ההסכם, השותף מורה ל-Jibe למחוק את כל המידע האישי של השותף (כולל עותקים קיימים) מהמערכות של Jibe בהתאם לדין החל. Jibe תציית להוראה הזו בהקדם האפשרי שהוא מעשי באופן סביר, אלא אם נדרשת שמירה של המידע על פי חוקי האיחוד האירופי.
7. אבטחת מידע
7.1 אמצעי האבטחה והסיוע של Jibe בנושאי אבטחה
7.1.1 אמצעי האבטחה של Jibe. Jibe תחיל ותתחזק אמצעים טכניים וארגוניים כדי להגן על המידע האישי של השותפים מפני השמדה, אובדן, שינוי, חשיפה או גישה לא חוקיים או לא מכוונים, כפי שמתואר בנספח 2 (אמצעי האבטחה). כפי שמתואר באישור 2, אמצעי האבטחה כוללים: (א) הצפנה של מידע אישי, (ב) אמצעי עזרה להבטחת הסודיות, השלמות, הזמינות והעמידות המתמשכים של המערכות והשירותים של Jibe, (ג) אמצעי עזרה לשחזור מהיר של הגישה למידע אישי לאחר אירוע, וכן (ד) בדיקות שוטפות של היעילות. Jibe רשאית לעדכן או לשנות את אמצעי האבטחה מעת לעת, בתנאי שעדכונים ושינויים כאלה לא יובילו לירידה ברמת האבטחה הכוללת של שירותי המעבד.
7.1.2 גישה ותאימות. Jibe (א) תתיר לעובדים, לקבלני המשנה ולמעבדי המשנה שלה לגשת למידע האישי של השותף רק במידה הנדרשת לצורך ציות להוראות, (ב) תבצע את הפעולות המתאימות כדי להבטיח שהעובדים, קבלני המשנה ומעבדי המשנה שלה יעמדו בדרישות של אמצעי האבטחה, במידה הרלוונטית להיקף הביצועים שלהם, וכן (ג) תבצע את הפעולות המתאימות כדי להבטיח שכל האנשים שמורשים לעבד את המידע האישי של השותף התחייבו לסודיות או שחלה עליהם מחויבות מתאימה לסודיות על פי החוק.
7.1.3 סיוע של Jibe בנושאי אבטחה. בהתחשב בטבע העיבוד של המידע האישי של השותף ובמידע שזמין ל-Jibe, Jibe תעזור לשותף לוודא שהוא עומד בהתחייבויות שלו (או, אם השותף הוא מעבד מידע, בהתחייבויות של נאמן המידע הרלוונטי) בנוגע לאבטחת מידע אישי ולפריצות למידע אישי, כולל ההתחייבויות של השותף (או, אם השותף הוא מעבד מידע, של נאמן המידע הרלוונטי) בכפוף לסעיפים 32 עד 34 (כולל) ב-GDPR, באמצעות:
(א) הטמעה ותחזוקה של אמצעי האבטחה בהתאם לסעיף 7.1.1 (אמצעי האבטחה של Jibe).
(ב) תאימות לתנאים בסעיף 7.2 (אירועי אבטחת מידע); וכן
(ג) לספק לשותף את המסמכים בנושא אבטחה בהתאם לסעיף 7.5.1 (בדיקות של מסמכים בנושא אבטחה) ולמידע שמופיע בנספח הזה בנושא עיבוד נתונים.
7.2 אירועי אבטחת מידע
7.2.1 הודעה על אירוע. אם נודע ל-Jibe על אירוע אבטחת מידע, Jibe: (א) תודיע לשותף על אירוע אבטחת המידע באופן מיידי וללא עיכובים מיותרים, וכן (ב) תנקוט במהירות צעדים סבירים כדי למזער נזקים ולהגן על אבטחת המידע האישי של השותף.
7.2.2 פרטי אירוע אבטחת המידע. ההתראות שיישלחו בכפוף לסעיף 7.2.1 (הודעה על אירוע) יתארו את אופי אירוע אבטחת המידע, כולל המשאבים של השותף שהושפעו ממנו, את הפעולות שביצעה Jibe או מתכננת לבצע כדי לטפל באירוע אבטחת המידע ולצמצם את הסיכון הפוטנציאלי שלו, את הפעולות, אם יש כאלה, ש-Jibe ממליצה לשותף לבצע כדי לטפל באירוע אבטחת המידע, ואת פרטי איש הקשר שאליו אפשר לפנות כדי לקבל מידע נוסף. אם לא ניתן לספק את כל המידע הזה בו-זמנית, ההודעה הראשונית של Jibe תכלול את המידע שזמין באותו זמן, ומידע נוסף יסופק ללא דיחוי בלתי סביר ברגע שהוא יהיה זמין.
7.2.3 מסירת ההודעה. Jibe תודיע על כל אירוע אבטחת מידע לכתובת האימייל לקבלת התראות, או, לפי שיקול דעתה (כולל אם השותף לא סיפק כתובת אימייל לקבלת התראות), באמצעות תקשורת ישירה אחרת (למשל, שיחת טלפון או פגישה פנים אל פנים). השותף נושא באחריות הבלעדית לספק את כתובת האימייל לקבלת הודעות ולוודא שכתובת האימייל לקבלת הודעות עדכנית ותקינה.
7.2.4 הודעות של צד שלישי. השותף נושא באחריות הבלעדית לפעול בהתאם לחוקים בדבר הודעות על אירועים שחלים על השותף, ולמלא כל התחייבות לגבי הודעות לצד שלישי בקשר לכל אירוע אבטחת מידע.
7.2.5 אי-הודאה של Jibe באשמה. הודעה של Jibe על אירוע אבטחת מידע או תגובה שלה לאירוע כזה בכפוף לסעיף 7.2 הזה (אירועי אבטחת מידע) לא תפורש כהודאה של Jibe באשמה או באחריות כלשהן ביחס לאירוע אבטחת המידע.
7.3 תחומי האחריות של השותף בנוגע לאבטחה, והערכת רמת האבטחה על ידי השותף
7.3.1 תחומי האחריות של השותף בנוגע לאבטחה. השותף מסכים לאמור בסעיפים הבאים, מבלי לפגוע בהתחייבויות של Jibe לפי סעיפים 7.1 (אמצעי האבטחה של Jibe והסיוע שלה בנושאי אבטחה) ו-7.2 (אירועי אבטחת מידע):
(א) השותף אחראי לשימוש שלו בשירותי מעבד המידע, כולל:
(1) שימוש הולם בשירותי המעבדים כדי להבטיח רמת אבטחה שמתאימה לסיכונים למידע האישי של השותף.
(2) לאבטח את פרטי הכניסה, המערכות והמכשירים לאימות החשבון שבהם השותף משתמש כדי לגשת לשירותי המעבד.
(ב) ל-Jibe אין כל מחויבות להגן על מידע אישי של השותף אם השותף בוחר לאחסן את המידע הזה מחוץ למערכות של Jibe ושל קבלני המשנה שלה או להעביר אותו אל מחוץ למערכות האלה.
7.3.2 הערכת האבטחה של השותף. השותף מאשר שאמצעי האבטחה שהוחלו על ידי Jibe ונמצאים בתחזוקתה, כפי שמתואר בסעיף 7.1.1 (אמצעי האבטחה של Jibe), מספקים רמת אבטחה שמתאימה לסיכונים למידע האישי של השותף, בהתחשב בטבע, בהיקף, בהקשר ובמטרות של עיבוד המידע האישי של השותף, במצב הטכנולוגיה, בעלויות ההטמעה ובסיכונים לאנשים פרטיים.
7.4 הסמכה באבטחת מידע כדי להעריך את היעילות המתמשכת של אמצעי האבטחה ולעזור להבטיח אותה, Jibe תשמור על אישור ISO 27001 או על אמצעי מתאימים אחרים להפגנת היעילות של אמצעי האבטחה.
7.5 בדיקות וביקורות של תאימות
7.5.1 בדיקות של מסמכי אבטחה. כדי להוכיח ש-Jibe פועלת בהתאם להתחייבויות שלה בכפוף לנספח הזה לעיבוד נתונים, Jibe תספק לשותף את מסמכי האבטחה לבדיקה.
7.5.2 זכויות הביקורת של השותף.
(א) Jibe תאפשר לשותף או למבקר מצד שלישי שמונה על ידי השותף לערוך ביקורות (כולל בדיקות) כדי לאמת ש-Jibe פועלת בהתאם להתחייבויותיה בכפוף לנספח הזה בנושא עיבוד נתונים, בהתאם לסעיף 7.5.3 (תנאים עסקיים נוספים לבדיקות). במהלך הביקורות, Jibe תספק את כל המידע הדרוש כדי להוכיח שהיא פועלת בהתאם להתחייבויות האלה, ותשתתף בביקורות כפי שמתואר בסעיף 7.4 (אישור אבטחה) ובסעיף הזה 7.5 (בדיקות וביקורות של תאימות).
(ב) אם הסעיפים החוזיים הסטנדרטיים (SCC) חלים במסגרת סעיף 10.2 (העברות מוגבלות באירופה), Jibe תאפשר לשותף (או למבקר מצד שלישי שמונה על ידי השותף) לערוך ביקורות כפי שמתואר בסעיפים החוזיים הסטנדרטיים הרלוונטיים, ובמהלך הבדיקות האלה תספק את כל המידע שנדרש לפי הסעיפים החוזיים הסטנדרטיים האלה, כל אחד בהתאם לסעיף 7.5.3 (תנאים עסקיים נוספים לבדיקות).
(ג) השותף רשאי גם לערוך ביקורת כדי לאמת ש-Jibe פועלת בהתאם להתחייבויותיה בכפוף לנספח הזה בנושא עיבוד נתונים, על ידי בדיקת אישורים שהונפקו ל-Jibe על ידי מבקרים מצד שלישי (למשל, אישור ISO 27001, אם רלוונטי).
7.5.3 תנאים עסקיים נוספים לבדיקות.
(א) השותף ישלח כל בקשה לבדיקת חשבון בכפוף לסעיפים 7.5.2(א) או 7.5.2(ב) אל Jibe כפי שמתואר בסעיף 12.1 (יצירת קשר עם Jibe).
(ב) לאחר ש-Jibe תקבל בקשה בהתאם לסעיף 7.5.3(א), Jibe והשותף ידונו ויסכימו מראש על תאריך התחלה, היקף ומשך סבירים של כל ביקורת בהתאם לסעיף 7.5.2(א) או 7.5.2(ב), ובקרות אבטחה וסודיות אשר רלוונטיות לביקורת.
(ג) Jibe רשאית לגבות עמלה (על סמך העלויות הסבירות של Jibe) בגין כל ביקורת בכפוף לסעיף 7.5.2(א) או 7.5.2(ב). Jibe תספק לשותף פרטים נוספים על כל עמלה רלוונטית, ועל הבסיס לחישובה, לפני כל ביקורת כזו. השותף יישא באחריות על כל העמלות שיגבה כל מבקר מצד שלישי שימונה על ידי השותף לביצוע ביקורת כזו.
(ד) Jibe רשאית להתנגד לכל בודק צד שלישי שמונה על ידי השותף לבצע ביקורת בכפוף לסעיף 7.5.2(א) או 7.5.2(ב), אם לדעת Jibe הבודק לא עומד בדרישות הסף או לא עצמאי, הוא מתחרה של Jibe או שהוא לא מתאים מסיבה אחרת באופן מובהק. כל התנגדות כזו מצד Jibe תחייב את השותף למנות מבקר אחר או לבצע את הביקורת בעצמו.
(ה) בנספח הזה בנושא עיבוד נתונים אין דבר שיחייב את Jibe לחשוף ל-Partner או למבקר מצד שלישי מטעמו את הפרטים הבאים, או לאפשר ל-Partner או למבקר מצד שלישי מטעמו לגשת אליהם:
(1) נתונים של שותף או לקוח אחר של ישות של Jibe;
(2) מידע חשבונאי או פיננסי פנימי של ישות של Jibe
(3) סודות מסחריים של ישות של Jibe;
(4) מידע שלדעת Jibe עלול: (א) לפגוע באבטחה של המערכות או המבנים של ישות כלשהי של Jibe, או (ב) לגרום לכך שישות כלשהי של Jibe תפרה את ההתחייבויות שלה במסגרת החקיקה האירופית להגנה על נתונים או את ההתחייבויות שלה לאבטחה ו/או לפרטיות כלפי השותף או כל צד שלישי, או
(v) כל מידע שהשותף או המבקר מצד שלישי מטעמו מבקשים לגשת אליו מכל סיבה שהיא שאינה מילוי בתום לב של התחייבויות השותף במסגרת החקיקה האירופית להגנה על המידע.
8. הערכות השפעה ופגישות ייעוץ
בהתאם לאופי העיבוד ולמידע שזמין ל-Jibe, Jibe תסייע לשותף לוודא שהוא עומד בהתחייבויות שלו (או, אם השותף הוא מעבד, בהתחייבויות של נאמן המידע הרלוונטי) לגבי הערכות השפעה על הגנה על נתונים ותיאום מראש, כולל (אם רלוונטי) בהתחייבויות של השותף או של נאמן המידע הרלוונטי בכפוף לסעיפים 35 ו-36 של ה-GDPR, באמצעות:
(א) מסירת המסמכים בנושא אבטחה בהתאם לסעיף 7.5.1 (בדיקות של מסמכים בנושא אבטחה);
(ב) מסירת המידע שמופיע בנספח הזה לעיבוד נתונים; וכן
(ג) מסירת חומרים אחרים בנוגע לאופי של שירותי המעבד והעיבוד של מידע אישי של השותף (למשל, חומרים ממרכז העזרה), או חשיפה של חומרים כאלה באופן אחר, בהתאם לשיטות הסטנדרטיות של Jibe.
9. הזכויות של האנשים שאליהם מתייחס המידע
9.1 תשובות לבקשות של אנשים שאליהם מתייחס המידע אם Jibe תקבל בקשה מהאדם שאליו מתייחס מידע אישי של השותף, השותף מאשר ל-Jibe ו-Jibe מודיעה בזאת לשותף שהיא:
(א) להשיב ישירות לבקשה של האדם שאליו מתייחס המידע בהתאם לפונקציות הסטנדרטיות של הכלי לאנשים שאליהם מתייחס המידע (אם הבקשה נשלחת דרך הכלי לאנשים שאליהם מתייחס המידע).
(ב) תציע לאדם שאליו מתייחס המידע להגיש את הבקשה לשותף, והשותף יישא באחריות להשיב לבקשה כזו (אם הבקשה לא נשלחת באמצעות כלי לאנשים שאליהם מתייחס המידע).
9.2 הסיוע של Jibe בנוגע לבקשות של אנשים שאליהם מתייחס המידע. Jibe תעזור לשותף (או, אם השותף הוא מעבד מידע, לנאמן המידע הרלוונטי) לעמוד בהתחייבויות שלו בכפוף ל-GDPR להשיב לבקשות לשימוש בזכויות של האנשים שאליהם מתייחס המידע, בכל המקרים תוך התחשבות בטבע העיבוד של המידע האישי של השותף, ובמקרים הרלוונטיים, בסעיף 11 של ה-GDPR, כולל (אם רלוונטי):
(א) מתן הפונקציונליות של שירותי המעבד.
(ב) תאימות להתחייבויות שמפורטות בסעיף 9.1 (תשובות לבקשות של אנשים שאליהם מתייחס המידע); וכן
(ג) מתן כלים לאנשים שאליהם מתייחס המידע, במקרים הרלוונטיים לשירותי מעבד המידע.
9.3 תיקון. אם נודע לשותף שמידע אישי כלשהו של השותף לא מדויק או לא עדכני, השותף יישא באחריות לתקן או למחוק את המידע הזה אם הדבר נדרש על פי החקיקה האירופית להגנה על נתונים, כולל (במקרים הרלוונטיים) שימוש בפונקציונליות של שירותי המעבד.
10. העברת נתונים
10.1 מתקנים לאחסון ולעיבוד נתונים בכפוף לשאר סעיף 10 הזה (העברות נתונים), Jibe רשאית לעבד מידע אישי של שותפים בכל מדינה שבה Jibe או אחד ממעבדי המשנה שלה מפעילים מתקנים.
10.2 העברות מוגבלות באירופה. הצדדים מאשרים שלפי החקיקה האירופית להגנה על נתונים, אין צורך בהסכמי SCC או בפתרון העברה חלופי כדי לעבד מידע אישי של שותף במדינה הולמת או להעביר אותו אליה.
אם מידע אישי של שותף מועבר למדינה אחרת, והחקיקה האירופית להגנה על נתונים חלה על ההעברות האלה (העברה מוגבלת באירופה), אז:
(א) אם Jibe תשתמש בפתרון חלופי להעברת נתונים לגבי העברות מוגבלות באירופה, Jibe תודיע לשותף על הפתרון הרלוונטי ותבטיח שההעברות המוגבלות באירופה יתבצעו בהתאם לפתרון הזה. ו/או
(ב) אם Jibe לא משתמשת בפתרון העברה חלופי בהעברות מוגבלות באירופה או אם Jibe הודיעה לשותף שהיא כבר לא משתמשת בפתרון חלופי כזה, אז:
(1) אם הכתובת של Jibe נמצאת במדינה מתאימה:
(א) הסעיפים החוזיים הסטנדרטיים (SCC) (מעבד למעבד, Jibe Exporter) יחולו על העברות מוגבלות כאלה באירופה מ-Jibe למעבדי משנה.
(ב) בנוסף, אם הכתובת של השותף לא נמצאת במדינה מתאימה, הסעיפים החוזיים הסטנדרטיים (SCC) (מעבד למאגר) יחולו על העברות מוגבלות באירופה בין Jibe לשותף (ללא קשר לשאלה אם השותף הוא מאגר ו/או מעבד).
(2) אם הכתובת של Jibe לא נמצאת במדינה מתאימה:
הסעיפים החוזיים הסטנדרטיים (SCC) לנאמני מידע (מנאמן מידע למעבד מידע) ו/או הסעיפים החוזיים הסטנדרטיים (SCC) לנאמני מידע (ממעבד מידע למעבד מידע) יחולו (בהתאם לסטטוס של השותף כנאמן מידע ו/או כמעבד מידע) לגבי העברות מוגבלות כאלה באירופה בין השותף ל-Jibe.
(ג) הפניות ל-Google LLC או ל-Google ולך בכל אחד מהסעיפים החוזיים הסטנדרטיים (SCC) יהיו למעשה הפניות ל-Jibe ולשותף, בהתאמה.
10.3 אמצעים ומידע משלימים. Jibe תספק לשותף מידע רלוונטי לגבי העברות מוגבלות באירופה, כולל מידע על אמצעי הגנה נוספים להגנה על המידע האישי של השותף, כפי שמתואר בקטע 7.5.1 (בדיקות של מסמכי אבטחה), בנספח 2 (אמצעי אבטחה) ובחומרים אחרים בנוגע לאופי של שירותי המעבד והעיבוד של המידע האישי של השותף (למשל, מאמרים במרכז העזרה).
10.4 סיום. אם השותף יגיע למסקנה, על סמך השימוש הנוכחי או המיועד שלו בשירותי המעבד, שהפתרון החלופי להעברה ו/או הסכמי ה-SCC, לפי העניין, לא מספקים אמצעי הגנה מתאימים על המידע האישי של השותף, הוא רשאי לסיים את ההסכם באופן מיידי ולצורך נוחות, על ידי שליחת הודעה בכתב ל-Jibe.
10.5 פרטי מרכז הנתונים. מידע על המיקומים של מרכזי הנתונים של Google LLC זמין בכתובת www.google.com/about/datacenters/locations/index.html.
11. מעבדי משנה
11.1 הסכמה לשימוש במעבדים משניים. השותף מאשר באופן ספציפי את ההתקשרות עם ספקי השירות המשניים שמפורטים בסעיף 11.2 (מידע על ספקי שירות משניים) החל ממועד כניסת התנאים לתוקף. בנוסף, השותף מאשר באופן כללי את ההתקשרות עם צדדים שלישיים אחרים כמעבדי משנה (מעבדי משנה חדשים), בכפוף לסעיף 11.4 (הזדמנות להתנגד לשינויים במעבדי משנה).
11.2 מידע על קבלני משנה. בהתאם לבקשה בכתב של השותף, Jibe תספק מידע לגבי ספקי המשנה והמיקומים שלהם. כל בקשה כזו צריכה להישלח אל Jibe באמצעות הפרטים ליצירת קשר שמפורטים בקטע 12.1 (יצירת קשר עם Jibe).
11.3 דרישות ליצירת קשר עם קבלן משנה. במקרה של העסקת קבלן משנה:
(א) להבטיח באמצעות חוזה בכתב את הדברים הבאים:
(1) מעבד המשנה ניגש למידע האישי של השותף ומשתמש בו רק במידה הנדרשת כדי לבצע את ההתחייבויות שהועברו אליו במסגרת חוזה המשנה, ועושה זאת בהתאם להסכם (כולל נספח עיבוד הנתונים הזה).
(2) אם העיבוד של מידע אישי של שותפים כפוף לחקיקה האירופית להגנה על מידע, ההתחייבויות להגנה על מידע שמפורטות בנספח הזה בנושא עיבוד נתונים (כפי שמפורט בסעיף 28(3) של ה-GDPR, אם רלוונטי) חלות על מעבד המשנה.
(ב) Google תישא באחריות המלאה לכל ההתחייבויות של קבלן המשנה במסגרת חוזה המשנה שהוא חתום עליו, ולכל הפעולות והמחדלים שלו.
11.4 הזדמנות להתנגד לשינויים במעבדים משנה.
(א) אם יבוצע שיתוף פעולה עם קבלן משנה חדש במהלך תקופת ההסכם, לפחות 30 יום לפני שקבלן המשנה החדש יעבד מידע אישי של השותף, Jibe תודיע לשותף על שיתוף הפעולה (כולל השם והמיקום של קבלן המשנה הרלוונטי והפעילויות שהוא יבצע) על ידי שליחת אימייל לכתובת האימייל לקבלת התראות.
(ב) השותף יכול להתנגד לכל קבלן משנה חדש על ידי סיום ההסכם מטעמי נוחות באופן מיידי לאחר שליחת הודעה בכתב ל-Jibe, בתנאי שהשותף יפרסם את ההודעה הזו תוך 90 יום ממועד ההודעה על העסקה עם קבלן המשנה החדש, כפי שמתואר בסעיף 11.4(א).
12. יצירת קשר עם Jibe; עיבוד רשומות
12.1 יצירת קשר עם Jibe כשהשותף יבקש לממש את הזכויות שלו בכפוף לתוספת הזו בנושא עיבוד נתונים, הוא יוכל ליצור קשר עם Jibe דרך איש הקשר של Jibe בנושא הגנה על נתונים ב-RCS. אפשר ליצור איתו קשר דרך issuetracker.google.com או באמצעים אחרים ש-Jibe תספק.
12.2 רשומות העיבוד של Jibe Jibe תשמור תיעוד מתאים של פעילויות העיבוד שלה, כפי שנדרש על פי ה-GDPR. השותף מאשר ש-Jibe מחויבת בכפוף ל-GDPR: (א) לאסוף ולתחזק רשומות של מידע מסוים, כולל: (1) השם והפרטים ליצירת קשר של כל מעבד ו/או נאמן מידע בשם שאליו פועלת Jibe, וכן (אם רלוונטי) של הנציג המקומי ושל קצין הגנת המידע של אותו מעבד או נאמן מידע, וכן (2) אם רלוונטי בכפוף להסכמים הסטנדרטיים הרלוונטיים, הרשות המפקחת של השותף. וכן (ב) להפוך את המידע הזה לזמין לכל רשות פיקוח. לפיכך, אם השותף יתבקש למסור ל-Jibe פרטים כאלה בהתאם לחוק החל עליו, הוא ימסור אותו באמצעות ממשק המשתמש של שירותי המעבד או באמצעים אחרים ש-Jibe תספק. כמו כן, הוא ישתמש בממשק המשתמש הזה או באמצעים אחרים כדי להבטיח שכל הפרטים שנמסרו מדויקים ועדכניים.
12.3 בקשות של בעלי אפליקציות. אם Jibe תקבל בקשה או הוראה מצד שלישי שמתיימר להיות נאמן מידע של מידע אישי של שותף, Jibe תודיע לצד השלישי לפנות לשותף.
13. חבות
אם ההסכם כפוף לחוקים:
(א) אחת ממדינות ארצות הברית, אז ללא קשר לכל דבר אחר בהסכם, החבות הכוללת של כל צד כלפי הצד השני בכפוף לנספח הזה לעיבוד נתונים או בקשר אליו תהיה מוגבלת לסכום הכספי המקסימלי או לסכום המבוסס על תשלום שבו החבות של אותו צד מוגבלת במסגרת ההסכם (ולכן כל החרגה של תביעות בנושא סודיות או תביעות פיצויים מהגבלת החבות בהסכם לא תחול על תביעות במסגרת ההסכם שקשורות לחקיקה האירופית בנושא הגנה על נתונים או לחקיקה בנושא הגנה על נתונים מחוץ לאירופה).
(ב) בסמכות שיפוט שאינה אחת ממדינות ארצות הברית, אז החבות המשולבת הכוללת של הצדדים והחברות המסונפות שלהם בכפוף לנספח הזה לעיבוד נתונים או בקשר אליו תהיה כפופה להסכם.
14. ההשפעה של הנספח הזה לעיבוד נתונים
14.1 סדר הקדימות. במקרה של סתירה או חוסר עקביות בין הסעיפים החוזיים הסטנדרטיים (SCC), התנאים הנוספים בנוגע לחקיקה שאינה אירופית להגנה על מידע, הנספח הזה לעיבוד נתונים ושאר תנאי ההסכם, יחול סדר העדיפויות הבא:
(א) הסעיפים החוזיים הסטנדרטיים (SCCs);
(ב) התנאים הנוספים לחקיקה שאינה אירופית להגנה על מידע
(ג) שאר הנספח הזה לעיבוד נתונים.
(ד) שאר ההסכם.
בכפוף לתיקונים שבנספח הזה בנושא עיבוד נתונים, ההסכם ממשיך להיות תקף ולחול במלואו.
14.2 לא נעשו שינויים בסעיפים החוזיים הסטנדרטיים (SCC). שום דבר שנאמר בהסכם (כולל הנספח הזה לעיבוד נתונים) לא נועד לשנות או לסתור סעיפים חוזיים סטנדרטיים (SCC) כלשהם או לפגוע בחירויות או בזכויות הבסיסיות של האנשים שאליהם מתייחס המידע לפי החוקים האירופאיים להגנה על נתונים.
14.3 אין השפעה על התנאים לנאמני מידע. נספח עיבוד הנתונים הזה לא ישפיע על תנאים נפרדים בין Jibe לבין השותף, שמשקפים יחסים בין נאמני מידע בשירות שאינו שירותי המעבד.
14.4 סעיפי חוזיים סטנדרטיים (SCC) קודמים בבריטניה. החל מ-21 בספטמבר 2022 או מהתאריך שבו ההסכם נכנס לתוקף, המאוחר מביניהם, ייכנסו לתוקף התנאים הנוספים של הסעיפים החוזיים הסטנדרטיים (SCC) להעברה בכפוף ל-GDPR של בריטניה, והם יחליפו ויבטלו כל סעיף חוזי סטנדרטי שאושר בכפוף ל-GDPR של בריטניה ולחוק הגנת הנתונים 2018 ונחתם בעבר על ידי השותף ו-Jibe ("SCCs מדור קודם בבריטניה"). סעיף 14.4 (הסכמי SCC קודמים בבריטניה) לא ישפיע על הזכויות של אף אחד מהצדדים או של אנשים שקשורים למידע, שנצברו במסגרת הסכמי ה-SCC הקודמים בבריטניה בזמן שהם היו בתוקף.
15. שינויים בנספח הזה לעיבוד נתונים
15.1 שינויים בכתובות URL. מדי פעם, Jibe עשויה לשנות כל כתובת URL שמצוינת בנספח הזה לעיבוד נתונים ואת התוכן בכל כתובת URL כזו, למעט שינוי של הסעיפים החוזיים הסטנדרטיים (SCCs) בהתאם לסעיפים 15.2(ב) עד 15.2(ד) (שינויים בנספח לעיבוד נתונים) או לשילוב של גרסה חדשה של הסעיפים החוזיים הסטנדרטיים (SCCs) שתאושר בכפוף לחקיקה האירופית להגנה על נתונים, בכל מקרה באופן שלא משפיע על התוקף של הסעיפים החוזיים הסטנדרטיים (SCCs) בכפוף לחקיקה האירופית להגנה על נתונים.
15.2 שינויים בתיקון לעיבוד נתונים. Jibe רשאית לשנות את הנספח הזה לעיבוד נתונים במקרים הבאים:
(א) מותר במפורש במסגרת התיקון הזה לעיבוד נתונים, כולל כפי שמתואר בסעיף 15.1 (שינויים בכתובות URL);
(ב) השינוי בתנאים משקף שינוי בשם או בצורה של ישות משפטית;
(ג) הכרחי כדי לציית לדין החל, לתקנה רלוונטית, לצו בית משפט או להנחיות מטעם רגולטור ממשלתי או סוכנות ממשלתית, או כדי לשקף את השימוש של Jibe בפתרון העברה חלופי; או
(ד) לא (1) גורם לירידה ברמת האבטחה הכוללת של שירותי המעבד, (2) מרחיב את היקף ההגבלות או מסיר אותן, (x) במקרה של התנאים הנוספים בנושא חקיקה להגנה על מידע מחוץ לאירופה, הזכויות של Jibe להשתמש בנתונים או לעבד אותם בדרך אחרת במסגרת התנאים הנוספים בנושא חקיקה להגנה על מידע מחוץ לאירופה, או (y) במקרה של שאר הנספח הזה לעיבוד נתונים, העיבוד של Jibe של מידע אישי של שותף, כפי שמתואר בסעיף 5.3 (ציות Jibe להוראות), וכן (3) לא משפיע באופן שלילי מהותי על הזכויות של השותף בכפוף לנספח הזה לעיבוד נתונים, כפי שנקבע באופן סביר על ידי Jibe.
15.3 הודעה על שינויים. אם Jibe מתכוונת לשנות את התוספת הזו לעיבוד נתונים בהתאם לסעיף 15.2(ג) או (ד), היא תודיע לשותף לפחות 30 יום (או תקופה קצרה יותר ככל שיידרש כדי לציית לדין החל, לתקנות החלות, לפסק דין או להנחיה שהונפקה על ידי רשות רגולטורית או סוכנות ממשלתית) לפני שהשינוי ייכנס לתוקף, באחת מהדרכים הבאות: (א) שליחת אימייל לכתובת האימייל לקבלת התראות, או (ב) שליחת התראה לשותף דרך ממשק המשתמש של שירותי המעבד. אם השותף יתנגד לשינוי כזה, הוא יוכל לסיים את ההסכם מטעמי נוחות על ידי שליחת הודעה בכתב ל-Jibe תוך 90 יום ממועד ההודעה על השינוי מ-Jibe.
נספח 1: הנושא הנדון והפרטים לגבי עיבוד הנתונים
Subject Matter
מתן השירותים של מעבד המידע וכל תמיכה טכנית שקשורה לכך לשותף על ידי Jibe.
משך העיבוד
תקופת ההסכם בתוספת התקופה ממועד סיום ההסכם עד למחיקת כל המידע האישי של השותף על ידי Jibe בהתאם לנספח הזה בנושא עיבוד נתונים.
אופי העיבוד והמטרה שלו
Jibe תעבד מידע אישי של השותף, כולל (בהתאם לאופי של שירותי המעבד וההוראות) איסוף, הקלטה, ארגון, בנייה, אחסון, שינוי, אחזור, שימוש, חשיפת, שילוב, מחיקה והשמדה של מידע אישי של השותף, למטרות של מתן שירותי המעבד וכל תמיכה טכנית קשורה לשותף, בהתאם לתוספת הזו בנושא עיבוד נתונים.
סוגים של מידע אישי
מידע אישי שקשור לאנשים פרטיים, שסופק ל-Jibe דרך שירותי העיבוד על ידי השותף (או על פי הוראותיו) או על ידי משתמשי הקצה של השותף.
קטגוריות של אנשים שאליהם מתייחס המידע
נושאי המידע כוללים את האנשים שאליהם מתייחסים הנתונים שסופקו ל-Jibe דרך שירותי המעבד על ידי השותף (או על פי הנחיה שלו).
נספח 2: אמצעי אבטחה
החל ממועד כניסת התנאים לתוקף, Jibe תחיל ותתחזק את אמצעי האבטחה שמפורטים בנספח 2 הזה. Jibe רשאית לעדכן או לשנות את אמצעי האבטחה האלה מעת לעת, בתנאי שעדכונים ושינויים כאלה לא יובילו לירידה ברמת האבטחה הכוללת של שירותי המעבד.
1. אבטחת רשתות ומרכזי נתונים
(א) מרכזי נתונים.
תשתית. ל-Jibe יש מרכזי נתונים שמפוזרים באזורים גיאוגרפיים שונים. כל נתוני הייצור של Jibe מאוחסנים במרכזי נתונים מאובטחים פיזית.
יתירות. מערכות התשתית תוכננו כך שלא יהיו בהן נקודות כשל בודדות, וכדי לצמצם את ההשפעה של סיכונים סביבתיים צפויים. מעגלים כפולים, מתגים, רשתות או מכשירים נחוצים אחרים עוזרים לספק את היתירות הזו. שירותי המעבד נועדו לאפשר ל-Jibe לבצע סוגים מסוימים של תחזוקה מונעת ותיקון ללא הפרעה. לכל הציוד והמתקנים הסביבתיים יש תהליכי תחזוקה מונעת מתועדים, שמפרטים את התהליך ואת תדירות הביצוע בהתאם למפרטים הפנימיים או למפרטים של היצרן. תחזוקה מונעת ותיקון של ציוד מרכז הנתונים מתבצעים בתהליך סטנדרטי בהתאם לנהלי עבודה מתועדים.
כוח. מערכות החשמל במרכזי הנתונים תוכננו כך שיהיו עודפות וניתן יהיה לתחזק אותן בלי להשפיע על הפעילות השוטפת, 24 שעות ביממה, 7 ימים בשבוע. ברוב המקרים, רכיבים קריטיים בתשתית במרכז הנתונים מקבלים ספק כוח ראשי וחלופי, עם קיבולת זהה לכל אחד מהם. אספקת החשמל לגיבוי מתבצעת באמצעות מנגנונים שונים, כמו סוללות של ספקי חשמל ללא הפסקות (UPS), שמספקות הגנה אמינה ועקבית על אספקת החשמל במהלך הפסקות חשמל זמניות, הפסקות חשמל מלאות, מתח גבוה, מתח נמוך ותנאי תדר שחורגים מהתווית. אם אספקת החשמל של חברת החשמל מופסקת, אספקת החשמל לגיבוי נועדה לספק חשמל זמני למרכז הנתונים, בקיבולת מלאה, למשך עד 10 דקות עד שמערכת הגנרטורים לגיבוי תשתלט. הגנרטורים יכולים להתחיל לפעול באופן אוטומטי תוך שניות כדי לספק מספיק חשמל לשעת חירום כדי להפעיל את מרכז הנתונים בקיבולת מלאה, בדרך כלל למשך כמה ימים.
מערכות הפעלה לשרתים. שרתי Jibe משתמשים במערכות הפעלה מוקשחות שמותאמות אישית לצרכים הייחודיים של העסק. הנתונים מאוחסנים באמצעות אלגוריתמים קנייניים כדי לשפר את האבטחה והיתירות של הנתונים. Jibe משתמשת בתהליך בדיקות קוד כדי להגביר את האבטחה של הקוד שמשמש למתן שירותי המעבד וכדי לשפר את מוצרי האבטחה בסביבות ייצור.
המשכיות עסקית. Jibe מעתיק את הנתונים במספר מערכות כדי להגן מפני הרס או אובדן מקריים. ב-Jibe תכננו את התוכניות שלהם להתאוששות מאסון ולשמירה על הפעילות העסקית השוטפת, וגם מתכננים ובודקים אותן באופן קבוע.
טכנולוגיות הצפנה. מדיניות האבטחה של Jibe מחייבת הצפנה במנוחה של כל נתוני המשתמשים, כולל נתונים אישיים. לרוב הנתונים מוצפנים בכמה רמות ב-Jibe, בסטאק האחסון בסביבת הייצור במרכזי הנתונים, כולל ברמת החומרה, בלי שהשותפים או הלקוחות צריכים לבצע פעולה כלשהי. שימוש כזה מקנה הגנה נוספת על הנתונים ומאפשר ל-Jibe לבחור את שיטת ההגנה האופטימלית על סמך דרישות האפליקציה. כל הנתונים האישיים מוצפנים ברמת האחסון, בדרך כלל באמצעות AES256. Jibe משתמשת בספריות קריפטוגרפיות משותפות שכוללות את המודול המאומת FIPS 140-2 של Jibe, כדי להטמיע הצפנה באופן עקבי בשירותי המעבד.
(ב) רשתות והעברה.
העברת נתונים. בדרך כלל, מרכזי הנתונים מחוברים באמצעות קישורים פרטיים במהירות גבוהה כדי לספק העברת נתונים מאובטחת ומהירה בין מרכזי הנתונים. המטרה של הפרוטוקול היא למנוע קריאה, העתקה, שינוי או הסרה של נתונים ללא הרשאה במהלך העברה אלקטרונית. Jibe מעביר נתונים באמצעות פרוטוקולים סטנדרטיים של האינטרנט.
שטח התקפה חיצוני. כדי להגן על שטח ההתקפה החיצוני שלה, Jibe משתמשת בכמה שכבות של מכשירי רשת וזיהוי פריצות. ב-Jibe מביאים בחשבון כיווני התקפה פוטנציאליים ומשלבים טכנולוגיות מתאימות שנועדו למטרה הזו במערכות הפונות החוצה.
זיהוי פריצות. זיהוי פריצות נועד לספק תובנות לגבי פעילויות התקפה מתמשכות ולספק מידע מספיק כדי להגיב לתקריות. זיהוי פריצות האבטחה של Jibe כולל:
בקרה קפדנית על הגודל וההרכב של שטח ההתקפה של Jibe באמצעות אמצעי מניעה.
שימוש באמצעי בקרה חכמים לזיהוי בנקודות של הזנת נתונים.
שימוש בטכנולוגיות שמטפלות באופן אוטומטי במצבים מסוימים שעלולים להיות מסוכנים.
תגובה לאירועי אבטחה. Jibe עוקבת אחרי מגוון ערוצי תקשורת כדי לזהות אירועי אבטחה, וצוותי האבטחה של Jibe יגיבו במהירות לאירועים ידועים.
טכנולוגיות הצפנה. ב-Jibe זמינה הצפנת HTTPS (שנקראת גם חיבור TLS). שרתי Jibe תומכים בחילופי מפתחות קריפטוגרפיים זמניים מסוג elliptic curve Diffie Hellman, החתומים באמצעות RSA ו-ECDSA. שיטות הסודיות המושלמת להעברה (PFS) האלה עוזרות להגן על התנועה ולצמצם את ההשפעה של מפתח שנפרץ או פריצת דרך קריפטוגרפית.
2. אמצעי בקרה לגישה לאתרים
(א) אמצעי בקרה לאתר.
פעולות אבטחה במרכז הנתונים באתר. במרכזי הנתונים של Jibe פועלות צוותי אבטחה באתר שאחראים על כל הפונקציות הפיזיות של אבטחת מרכז הנתונים 24 שעות ביממה, 7 ימים בשבוע. צוות האבטחה באתר עוקב אחרי מצלמות טלוויזיה במעגל סגור (CCTV) ואחרי כל מערכות ההתראה. אנשי אבטחה באתר מבצעים סיורים פנימיים וחיצוניים במרכז הנתונים באופן קבוע.
נוהלי הגישה למרכז הנתונים. ב-Jibe יש תהליכי גישה רשמיים שמאפשרים גישה פיזית למרכזי הנתונים. מרכזי הנתונים ממוקמים במתקנים שנדרש להם מפתח אלקטרוני כדי להיכנס אליהם, עם אזעקות שמקושרות לפעילות האבטחה באתר. כל מי שנכנס למרכז הנתונים חייב להזדהות ולהציג תעודה מזהה לצוותי האבטחה במקום. רק עובדים, קבלנים ומבקרים מורשים רשאים להיכנס למרכזי הנתונים. רק עובדים וקבלנים מורשים רשאים לבקש גישה למפתחות כרטיס אלקטרוניים למתקנים האלה. בקשות גישה למפתחות כרטיס אלקטרוניים של מרכז הנתונים צריכות להישלח מראש ובכתב, וצריך לקבל אישור מצוות המורשה של מרכז הנתונים. כל שאר הנכנסים שזקוקים לגישה זמנית למרכז הנתונים חייבים: (1) לקבל מראש אישור מהמנהלים של מרכז הנתונים לגבי מרכז הנתונים הספציפי והאזורים הפנימיים שבהם הם רוצים לבקר, (2) להיכנס לחשבון בשירותי האבטחה באתר, ו-(3) להציג תיעוד מאושר של גישה למרכז הנתונים, שבו מצוין שהאדם אושר.
מכשירי אבטחה של מרכזי נתונים באתר. במרכזי הנתונים של Jibe נעשה שימוש במפתח כרטיס אלקטרוני ובמערכת בקרת גישה ביומטרית שמקושרת לאזעקה של המערכת. מערכת בקרת הגישה עוקבת אחרי מפתח הכרטיס האלקטרוני של כל אדם ומתעדת את הזמנים שבהם הוא נכנס לדלתות ההיקפיות, למחלקות השליחויות והקבלה ולאזורים קריטיים אחרים. פעילות לא מורשית וניסיונות גישה שנכשלו מתועדים ביומן של מערכת בקרת הגישה ונבדקים בהתאם. הגישה המורשית בפעילות העסקית ובמרכזי הנתונים מוגבלת על סמך תחומים והסמכות עבודה של כל אדם. דלתות האש במרכזי הנתונים מופעלות על ידי אזעקה. מצלמות CCTV פועלות גם בתוך מרכזי הנתונים וגם מחוץ להם. מיקום המצלמות תוכנן כך שיכלול אזורים אסטרטגיים, כולל, בין היתר, את ההיקף, הדלתות לבניין של מרכז הנתונים ואת קבלת המשלוח/שליחת המשלוח. צוות האבטחה באתר מנהל את הציוד לניטור, להקלטה ולשליטה במצלמות הווידאו. כבלים מאובטחים במרכזי הנתונים מקשרים את ציוד ה-CCTV. המצלמות מתעדות באתר באמצעות מכשירי הקלטת וידאו דיגיטליים 24 שעות ביממה, 7 ימים בשבוע. רשומות המעקב נשמרות למשך 7 ימים לפחות, בהתאם לפעילות.
(ב) בקרת גישה.
אנשי אבטחת התשתית. ל-Jibe יש מדיניות אבטחה לעובדים, והיא שומרת עליה. בנוסף, היא דורשת הדרכה בנושאי אבטחה כחלק מחבילת ההדרכה לעובדים. צוות אבטחת התשתית של Jibe אחראי על המעקב המתמשך אחרי תשתית האבטחה של Jibe, על בדיקת שירותי המעבד ועל התגובה לאירועי אבטחה.
בקרת גישה וניהול הרשאות. כדי להשתמש בשירותי המעבד, האדמינים והמשתמשים של השותף חייבים לבצע אימות באמצעות מערכת אימות מרכזית או מערכת כניסה יחידה.
תהליכים ומדיניות פנימיים לגישה לנתונים – מדיניות גישה. התהליכים והמדיניות הפנימיים של Jibe לגישה לנתונים נועדו למנוע מאנשים ו/או ממערכות לא מורשים לקבל גישה למערכות שמשמשות לעיבוד מידע אישי. Jibe שואפת לתכנן את המערכות שלה כך: (1) רק לאנשים מורשים תהיה גישה לנתונים שיש להם הרשאה לגשת אליהם, ו-(2) לא ניתן יהיה לקרוא, להעתיק, לשנות או להסיר מידע אישי ללא הרשאה במהלך העיבוד, השימוש וההקלטה. המערכות נועדו לזהות גישה בלתי הולמת. ב-Jibe נעשה שימוש במערכת מרכזית לניהול הרשאות גישה כדי לשלוט בגישה של אנשי הצוות לשרתים בסביבת הייצור, והגישה ניתנת רק למספר מוגבל של אנשי צוות מורשים. כדי לספק ל-Jibe מנגנוני גישה מאובטחים וגמישיים, אנחנו משתמשים ב-LDAP, ב-Kerberos ובמערכת קניינית שמשתמשת באישורים דיגיטליים. המנגנונים האלה נועדו להעניק רק הרשאות גישה שאושרו למארחי אתרים, ליומנים, לנתונים ולפרטי ההגדרה. כדי למזער את הסיכון לשימוש לא מורשה בחשבון, ב-Jibe נדרש שימוש במזהי משתמשים ייחודיים, סיסמאות חזקות, אימות דו-שלבי ורשימות גישה שמנוטרות בקפידה. הענקת הרשאות הגישה או השינוי שלהן מבוססים על: תחומי האחריות של אנשי הצוות המורשים, הדרישות של תפקידיהם הנדרשות לביצוע המשימות המורשות, ועל בסיס הצורך לדעת. הענקת הרשאות הגישה או שינוי שלהן חייבים להתבצע גם בהתאם למדיניות ולהדרכה הפנימית של Jibe בנושא גישה לנתונים. האישורים מנוהלים באמצעות כלים של תהליכי עבודה שמתעדים ביקורות לגבי כל שינוי. הגישה למערכות מתועדת ביומן כדי ליצור נתיב ביקורת למעקב אחר האחריות. במקרים שבהם סיסמאות משמשות לאימות (למשל, כניסה למחשבים), אנחנו מטמיעים מדיניות סיסמאות שתואמת לפחות לשיטות הסטנדרטיות בתחום. הסטנדרטים האלה כוללים הגבלות על שימוש חוזר בסיסמאות ועוצמה מספקת של סיסמאות.
3. נתונים
(א) אחסון, בידוד ואימות של נתונים.
נתוני Jibe מאוחסנים בסביבה עם כמה דיירים (multi-tenant) בשרתים שבבעלות Google LLC. הנתונים, מסד הנתונים של Processor Services וארכיטקטורת מערכת הקבצים משכפלים בין כמה מרכזי נתונים שמפוזרים גיאוגרפית. Jibe מבודדת באופן לוגי את הנתונים של כל שותף או לקוח. מערכת אימות מרכזית משמשת בכל שירותי המעבד כדי לשפר את האבטחה של הנתונים באופן אחיד.
(ב) הנחיות לגבי דיסקים שהוצאו משימוש והרס של דיסקים.
יכול להיות שדיסקים מסוימים שמכילים נתונים ייתקלו בבעיות בביצועים, בשגיאות או בכשלים בחומרה, וכתוצאה מכך הם יושהו (דיסק מושעה). כל דיסק שהוצא משימוש עובר סדרה של תהליכי השמדת נתונים (הנחיות להשמדת נתונים) לפני שהוא יוצא מהמתחם של Jibe לשימוש חוזר או להשמדה. דיסקים שהוצאו משימוש נמחקים בתהליך רב-שלבי, ויש לפחות שני מאמתים עצמאיים שמאשרים את השלמת המחיקה. תוצאות המחיקה נרשמות ביומן לפי המספר הסידורי של הדיסק שהוצא משימוש, לצורך מעקב. בסיום, הדיסק שנמחק משוחרר למלאי לשימוש חוזר ולפריסה מחדש. אם לא ניתן למחוק את הדיסק שהוצא משימוש בגלל כשל בחומרה, הוא מאוחסן באופן מאובטח עד שאפשר יהיה להשמיד אותו. כל מתקן נבדק באופן קבוע כדי לעקוב אחרי התאימות להנחיות להשמדת נתונים.
(ג) נתונים אנונימיים.
נתוני פרסום אונליין משויכים בדרך כלל למזהים אונליין שנחשבים 'אנונימיים' בפני עצמם (כלומר, אי אפשר לשייך אותם לאדם ספציפי בלי להשתמש במידע נוסף). ב-Jibe יש מדיניות חזקה ומגוון אמצעי בקרה טכניים וארגוניים כדי להבטיח את ההפרדה בין נתונים שמכילים כינוי לבין פרטים אישיים מזהים של משתמשים (כלומר מידע שיכול לשמש בפני עצמו כדי לזהות אדם כלשהו בצורה ישירה, ליצור איתו קשר או לאתר את המיקום המדויק שלו), כמו נתוני חשבון Jibe של משתמש. המדיניות של Jibe מאפשרת העברת מידע בין פרטים אנונימיים לבין פרטים אישיים מזהים רק בנסיבות מוגבלות מאוד.
(ד) ביקורות על השקה.
צוות Jibe מבצע בדיקות השקה של מוצרים ותכונות חדשים לפני ההשקה. הבדיקה כוללת בדיקת פרטיות שמתבצעת על ידי מהנדסי פרטיות שעברו הכשרה מיוחדת. במסגרת בדיקות הפרטיות, מהנדסי הפרטיות מוודאים שכל ההנחיות והמדיניות הרלוונטיות של Jibe מתקיימים, כולל, בין היתר, מדיניות בנושא אנונימיזציה, שמירה ומחיקה של נתונים.
4. אבטחת עובדים
אנשי Jibe נדרשים לפעול בהתאם להנחיות של החברה בנושאי סודיות, אתיקה עסקית, שימוש הולם וסטנדרטים מקצועיים. Jibe מבצעת בדיקות רקע מתאימות במידה המותרת על פי החוק, בהתאם לחוקי העבודה המקומיים ולתקנות הסטטוטוריות החלות.
העובדים נדרשים לחתום על הסכם סודיות, ולאשר את קבלת מדיניות הסודיות והפרטיות של Jibe ותאימות אליה. העובדים מקבלים הדרכה בנושאי אבטחה. אנשי הצוות שמטפלים במידע אישי של שותפים נדרשים למלא דרישות נוספות בהתאם לתפקיד שלהם. הצוות של Jibe לא יעבד פרטים אישיים של שותפים ללא הרשאה.
5. אבטחה של מעבד מידע משני
לפני הצירוף של מעבדי מידע משניים, Jibe מבצעת ביקורת של נוהלי האבטחה והפרטיות שלהם כדי לוודא שהם מעניקים רמת אבטחה ופרטיות שמתאימה לגישה לנתונים ולהיקף השירותים שהם נדרשים לספק. לאחר ש-Jibe מבצעת הערכת סיכונים לעבודה עם קבלן משנה, הוא נדרש לחתום על חוזים בתחומי אבטחה, סודיות ופרטיות, בכפוף לדרישות שמפורטות בסעיף 11.3 (דרישות לעבודה עם קבלן משנה).
נספח 3: תנאים נוספים לחקיקה שאינה אירופית להגנה על מידע
התנאים הנוספים הבאים בנוגע לחקיקה שאינה אירופית להגנה על מידע הם תוספת לנספח הזה בנושא עיבוד נתונים:
- נספח בנושא מעבדים בכפוף ל-LGPD בכתובת business.safety.google/processorterms/lgpd (מתאריך 27 באוגוסט 2020)
- נספח בנושא חוקי מדינות ארה"ב בכתובת business.safety.google/processorterms/us-state-laws (תאריך: 12 בדצמבר 2022)
ההתייחסויות ל-Google LLC או ל-Google בנספח בנושא מעבדי מידע בכפוף ל-LGPD ובנספח בנושא חוקי המדינות בארה"ב יהיו ל-Jibe.
נספח לעיבוד נתונים של Jibe, גרסה 4.0