הסכם עיבוד נתונים (Data Processing Addendum)

עדכון אחרון: מאי 2026

מסמך זה מהווה תוספת לתנאי השימוש ולמדיניות הפרטיות של Tamit. הוא חל אוטומטית על כל לקוח שמעבד באמצעות המערכת מידע אישי של צדדים שלישיים (לקוחות, עובדים, ספקים) — בהתאם ל-GDPR (Art. 28) ולחוק הגנת הפרטיות (ישראל) תשמ"א-1981.

1. הצדדים

בקר המידע (Controller): הלקוח (העסק) שמשתמש ב-Tamit.
מעבד המידע (Processor): Tamit — מספקת התשתית והכלים שמאפשרים ללקוח לעבד את הנתונים.
נושאי המידע (Data Subjects): לקוחות הקצה של הלקוח, עובדיו, ספקיו.

2. סוגי הנתונים

Tamit עשויה לעבד עבור הלקוח את הסוגים הבאים של מידע אישי:

קטגוריה	דוגמאות
פרטי קשר	שם, טלפון, אימייל, כתובת
מסמכים פיננסיים	חשבוניות, הצעות מחיר, קבלות (כולל סכומים)
תורים ושירותים	מועדי ביקור, שירותים שניתנו
נוכחות עובדים	שעות כניסה ויציאה, ימי חופש
חתימות דיגיטליות	תמונת חתימה, IP, חתימה ידנית, מספר זהות
תקשורת	היסטוריית הודעות WhatsApp (Tami), שיחות צ'אטבוט

איננו מעבדים מספרי כרטיסי אשראי — אלה עוברים ישירות לספק הסליקה (ZCredit/Tranzila) ולא נשמרים אצלנו.

3. מטרת העיבוד

Tamit מעבדת מידע אישי רק לצורך אספקת השירות ללקוח — לפי הוראותיו. אנו לא משתמשים בנתוני לקוחות הקצה למטרות שיווק, סטטיסטיקה כלל-מערכתית, או אימון מודלים — אלא אם הלקוח אישר זאת מפורשות.

4. אבטחה

Tamit מיישמת אמצעי אבטחה טכניים וארגוניים סבירים, המתוארים בפירוט במסמך אבטחת מידע. הם כוללים:

הצפנת תעבורה (TLS 1.3) ואחסון (AES-256)
בידוד מלא בין לקוחות (multi-tenancy ברמת schema)
גיבויים יומיים, off-site retention
בקרת גישה role-based + 2FA
ניטור 24/7 ולוגים מרכזיים

5. תתי-מעבדים (Sub-processors)

Tamit נעזרת בספקי שירות חיצוניים לתמיכה בפעילות. ספקים אלה מהווים תתי-מעבדים:

ספק	שירות	מיקום
Hostinger	שרת אפליקציה (VPS)	הולנד (EU)
Resend	שליחת אימיילים	EU/US
Anthropic	שירותי AI (Claude)	US
Replicate	יצירת תמונות AI	US
Meta (WAHA)	WhatsApp Business API	US
Cloudflare	CDN + Email Routing	גלובלי
Google Cloud	OAuth (Google sign-in, Calendar)	US

כל שינוי ברשימה יפורסם כאן 30 יום מראש. הלקוח רשאי להתנגד למינוי תת-מעבד חדש.

6. העברות בין-לאומיות

נתונים עשויים להיות מועברים מחוץ ל-EEA/ישראל לצורך שימוש בשירותים האמורים. כל ספק חתום על תנאי SCC (Standard Contractual Clauses) או שווה-ערך, או פועל בתחום ה-EEA/ה-Adequacy Decision.

7. זכויות נושאי המידע

הלקוח אחראי על מימוש זכויות נושאי המידע (גישה, תיקון, מחיקה, ניוד). Tamit תסייע ככל הנדרש:

גישה: ייצוא מלא של דאטא לקוחות הקצה מהדאשבורד (JSON/CSV)
תיקון: עריכת רשומות ישירות מהדאשבורד
מחיקה: דרך הדאשבורד או בבקשה ל-[email protected]
ניוד: ייצוא לפורמטים סטנדרטיים

8. דיווח על תקרית אבטחה

במקרה של תקרית אבטחה שעלולה להשפיע על מידע אישי, Tamit תיידע את הלקוח תוך 72 שעות מרגע הגילוי, עם תיאור התקרית, ההשפעה הצפויה, וצעדי הצמצום שננקטו.

9. סיום השירות והחזרת/מחיקת נתונים

בעת סיום השירות, הלקוח יכול לייצא את כל הנתונים מהדאשבורד (JSON מלא + קבצי מדיה).
הנתונים נשמרים 30 יום נוספים במצב סגור, לצורך אפשרות חזרה.
לאחר 30 יום — הנתונים נמחקים סופית, כולל גיבויים.
תעודת מחיקה (Certificate of Erasure) תינתן ע"פ בקשה.

10. ביקורת

הלקוח רשאי להוכיח את עמידתה של Tamit בהסכם זה באמצעות:

שאלון ביקורת שנתי (אנחנו נענה תוך 30 יום)
סקר כתוב של בקרות אבטחה (יתבצע פעם בשנה)
במקרה של תקרית — ביקורת בלתי-מתוכננת בתיאום

11. צור קשר ל-DPO

בכל שאלה הקשורה ל-DPA ולעיבוד נתונים אישיים, צרו קשר עם ה-DPO שלנו: [email protected].

12. שפת המקור

גרסת המקור של מסמך זה בעברית. במקרה של סתירה בין תרגום לעברית — הגרסה העברית גוברת.