DPO DPO Israel
פתח כ-Markdown

בקרת ספקים
ו-DPA שעובד.

שרשרת הספקים שלכם היא הנקודה הכי שכיחה לדליפת מידע. בקרת ספקים מקצועית: שאלוני פרטיות מותאמים, נספחי DPA (Data Processing Agreement) בעברית ובאנגלית, Vendor Privacy Assessments, Transfer Impact Assessment ל-Cross-border, ומעקב מחזור חיים של חוזה — מהיום הראשון של ההתקשרות ועד הסיום והמחיקה.

מה כלול

שישה שירותים בחבילה

01

שאלון פרטיות לספק

שאלון של 30-80 שאלות (לפי רמת סיכון), בעברית ובאנגלית. בודק טיפול במידע, אבטחת מידע, הסמכות, היסטוריית אירועים, וזכויות נושאי מידע.

02

נספח DPA

Data Processing Agreement עם כל הסעיפים שדורש תיקון 13 + GDPR Article 28 (כשרלוונטי). תבניות בעברית ובאנגלית, עם adjustments לפי תפקיד הספק.

03

Transfer Impact Assessment

בעת העברת מידע ל-Vendor שמעבד מחוץ למדינה — בדיקת רמת ההגנה במדינת היעד, וסעיפי הגנה משלימים אם נדרשים.

04

Vendor Risk Tiering

סיווג ספקים ל-tier-ים: ספקי טיפול מידע רגיש, ספקי מידע בסיסי, ספקי תשתית. כל tier מקבל מפלס שונה של בדיקה ובקרה.

05

אישור התקשרות

תהליך מובנה לאישור ספק חדש לפני חתימה — בדיקת DPA, סיווג, שאלון, חתימה משולבת. עוצר חוזים בעייתיים לפני שנכנסים.

06

מעקב חוזים תקופתי

תזכורות לחידוש שאלונים, בדיקת ספקים שעברו מיזוג / אקזיט, ניטור ש-DPA עדיין רלוונטי, וסגירת התקשרויות שאינן בשימוש.

מה בתוך ה-DPA

12 הסעיפים החיוניים בכל DPA

DPA רע גורם להפסד תיק משפטי שנים אחרי. DPA טוב מציל אתכם בעת אירוע, ביקורת, או דרישת לקוח Enterprise. אלה הסעיפים שאנחנו דורשים בכל DPA.

סעיף פירוט
הגדרת תפקיד הספק Processor / Sub-processor / Joint controller / Controller — לפי תיקון 13 ו-GDPR
מטרת העיבוד בדיוק לאיזו מטרה הספק מותר לעבד את המידע — לא מעבר
סוגי מידע ונושאי מידע איזה מידע אישי, של מי, וכמה
משך עיבוד תקופה מוגדרת, וחובת מחיקה / החזרה בסיומה
אבטחת מידע (תקנות 2017 / Article 32) רמת אבטחה, ביקורות, הסמכות נדרשות (ISO 27001/27701)
דיווח אירועים חובת הספק להודיע ללקוח על אירוע אבטחת מידע תוך לוח זמנים מוגדר (24-72 שעות)
קבלני משנה (Sub-processors) אישור מראש / רשימה דינמית, חובת זכות תגובה ללקוח
זכויות נושאי מידע חובת הספק להעביר ללקוח כל בקשת עיון / תיקון / מחיקה
העברה חוצת גבולות מנגנונים מותרים — Standard Contractual Clauses, BCRs, או החלטת התאמה
ביקורות זכות הלקוח לבקר את הספק או לקבל דוח SOC 2 / ISO
ביטול חוזה ומחיקת מידע איך מתבצעת ההחזרה / מחיקה בסוף ההתקשרות, ובאיזו תיעוד
אחריות וביטוח גובה אחריות, פוליסה לסייבר / privacy liability, ופיצוי במקרה של הפרה
Tiering

לא כל ספק זהה — מודל ה-Tiers

חברה שמשתמשת ב-150 ספקים לא יכולה להפעיל DPA מלא + ביקורת שנתית על כולם. אנחנו מסווגים את הספקים לשלושה Tiers, ולכל Tier מערכת דרישות מותאמת.

Tier 1 — קריטי

ספק שמעבד מידע רגיש מיוחד או היקפים נרחבים. דוגמאות: מערכת CRM ראשית, מערכת תיקים רפואיים, ספק עיבוד תשלומים.

דרישות: DPA מלא + שאלון מורחב (80 שאלות) + ISO 27001/27701 או SOC 2 + ביקורת שנתית

Tier 2 — בינוני

ספק עם גישה למידע אישי אבל לא רגיש. דוגמאות: מערכת דיוור, מערכת ניהול משאבי אנוש, ספק לוגיסטיקה.

דרישות: DPA מקוצר + שאלון 30-50 שאלות + תיעוד אבטחה בסיסי

Tier 3 — נמוך

ספק עם מינימום נגיעה למידע אישי. דוגמאות: ספק שירותי ענן בלי גישה לתוכן, ספק תוכנה קוד פתוח עם תמיכה.

דרישות: DPA סטנדרטי קצר + הצהרה

שאלות נפוצות על בקרת ספקים

למה חשוב DPA?
תיקון 13 מטיל אחריות על בעל המאגר, גם כאשר עיבוד המידע נעשה בידי ספק. בלי DPA, אם ספק יפר את חובות הפרטיות — האחריות נופלת עליכם. DPA הוא הכלי המשפטי שמגדיר את חובות הספק ואת זכויות הלקוח. גם תקנות אבטחת מידע 2017 דורשות תיעוד הסכמי ספק.

כמה ספקים יש לארגון ממוצע?
בארגון בינוני (50-300 עובדים) — בדרך כלל 60-150 ספקי תוכנה ושירותים. מתוכם 15-40 מטפלים במידע אישי. כך שגם אם רק ל-15 נדרש DPA — זו עבודה רצינית.

יש שאלון פרטיות סטנדרטי?
יש מסגרות (Standardized Information Gathering / SIG, CAIQ של CSA), אבל מסגרת אחת לא מתאימה לכל סוגי הספקים. אצלנו יש שאלונים מותאמים לפי סוג ספק וסוג מידע — לא שאלון "אחד לכולם".

מה ההבדל בין DPA לחוזה ראשי?
החוזה הראשי מגדיר את השירות שהספק מספק. ה-DPA הוא נספח שמגדיר את חובות הפרטיות בלבד. הם משלימים אבל לא תחליף זה לזה. בלי DPA, חוזה ראשי לא מספיק תחת תיקון 13.

מה אם הספק מסרב לחתום על ה-DPA שלנו?
קלאסי. רוב הספקים הגדולים (Microsoft, Google, AWS, Salesforce) יש להם DPA משלהם — בדרך כלל טוב מספיק עם התאמות. ספקים קטנים בדרך כלל לא רוצים לעסוק בזה. אנחנו עוזרים לנהל את המשא ומתן — לחתום על ה-DPA של הספק (אחרי בדיקה), לדחוף DPA משלנו, או למצוא ספק חלופי.

יש לכם מערכת לניהול?
אנחנו לא מוכרים פלטפורמת SaaS. אבל יש לנו תבניות Excel וטמפלטים מסודרים, וכן ידע איך להגדיר ב-CRM הקיים שלכם, או ב-Notion / Airtable, מערכת ניהול ספקים. ב-DPO as a Service אנחנו עוזרים גם להפעיל את המעקב השוטף.

מה לגבי GDPR ו-Cross-border transfers?
אם הארגון פעיל באירופה או בארה"ב, או משתמש ב-vendor אמריקאי / אסיאתי — Transfer Impact Assessment הוא חלק מהשירות. אנחנו מטפלים ב-SCCs, ב-Data Privacy Framework (EU-US), וב-BCRs לחברות גדולות.

כמה ספקים יש לכם בלי DPA?

שיחה של 30 דקות, מיפוי ראשוני, והצעה כתובה תוך 48 שעות.

לדבר על הספקים שלי