# בקרת ספקים ושאלוני פרטיות | DPA, Vendor Privacy Assessment ו-Transfer Impact

> בקרת ספקים בתחום הפרטיות לארגונים בישראל: שאלוני פרטיות לספקים, נספחי עיבוד מידע (Data Processing Agreement / DPA) בעברית ובאנגלית, Vendor Privacy Assessments, Transfer Impact Assessment ל-Cross-border, בדיקת התקשרויות חדשות וניטור מחזור חיים של חוזים.

**Canonical:** https://dpoisrael.com/services/vendor-privacy/  
**Locale:** he-IL

---
ו-DPA שעובד.

**שרשרת הספקים** שלכם היא הנקודה הכי שכיחה לדליפת מידע. **בקרת ספקים** מקצועית: שאלוני פרטיות מותאמים, נספחי **DPA** (Data Processing Agreement) בעברית ובאנגלית, Vendor Privacy Assessments, **Transfer Impact Assessment** ל-Cross-border, ומעקב מחזור חיים של חוזה — מהיום הראשון של ההתקשרות ועד הסיום והמחיקה.

## Vendor Privacy — מה צריך לדעת

- **ארגון ממוצע:** 60-150 ספקי תוכנה ושירותים
- **ספקים שמטפלים במידע אישי:** 15-40 בארגון בינוני
- **דרישת תיקון 13:** DPA לכל ספק שעיסוקו במידע אישי
- **דרישת תקנות 2017:** תיעוד הסכמי ספק ובדיקת אבטחה
- **דרישת GDPR Art. 28:** DPA מפורט לכל Processor
- **דרישת SCCs / Data Privacy Framework:** בעת העברה חוץ-EU
- **מודל תמחור:** 3,500-9,000 ₪ לחבילה / לסבב
- **אופציה ב-ריטיינר:** כלול ב-DPO + GRC

## שישה שירותים בחבילה

01

### שאלון פרטיות לספק

שאלון של 30-80 שאלות (לפי רמת סיכון), בעברית ובאנגלית. בודק טיפול במידע, אבטחת מידע, הסמכות, היסטוריית אירועים, וזכויות נושאי מידע.

02

### נספח DPA

Data Processing Agreement עם כל הסעיפים שדורש תיקון 13 + GDPR Article 28 (כשרלוונטי). תבניות בעברית ובאנגלית, עם adjustments לפי תפקיד הספק.

03

### Transfer Impact Assessment

בעת העברת מידע ל-Vendor שמעבד מחוץ למדינה — בדיקת רמת ההגנה במדינת היעד, וסעיפי הגנה משלימים אם נדרשים.

04

### Vendor Risk Tiering

סיווג ספקים ל-tier-ים: ספקי טיפול מידע רגיש, ספקי מידע בסיסי, ספקי תשתית. כל tier מקבל מפלס שונה של בדיקה ובקרה.

05

### אישור התקשרות

תהליך מובנה לאישור ספק חדש לפני חתימה — בדיקת DPA, סיווג, שאלון, חתימה משולבת. עוצר חוזים בעייתיים לפני שנכנסים.

06

### מעקב חוזים תקופתי

תזכורות לחידוש שאלונים, בדיקת ספקים שעברו מיזוג / אקזיט, ניטור ש-DPA עדיין רלוונטי, וסגירת התקשרויות שאינן בשימוש.

## 12 הסעיפים החיוניים בכל DPA

DPA רע גורם להפסד תיק משפטי שנים אחרי. DPA טוב מציל אתכם בעת אירוע, ביקורת, או דרישת לקוח Enterprise. אלה הסעיפים שאנחנו דורשים בכל DPA.

| סעיף | פירוט |
| --- | --- |
| הגדרת תפקיד הספק | Processor / Sub-processor / Joint controller / Controller — לפי תיקון 13 ו-GDPR |
| מטרת העיבוד | בדיוק לאיזו מטרה הספק מותר לעבד את המידע — לא מעבר |
| סוגי מידע ונושאי מידע | איזה מידע אישי, של מי, וכמה |
| משך עיבוד | תקופה מוגדרת, וחובת מחיקה / החזרה בסיומה |
| אבטחת מידע (תקנות 2017 / Article 32) | רמת אבטחה, ביקורות, הסמכות נדרשות (ISO 27001/27701) |
| דיווח אירועים | חובת הספק להודיע ללקוח על אירוע אבטחת מידע תוך לוח זמנים מוגדר (24-72 שעות) |
| קבלני משנה (Sub-processors) | אישור מראש / רשימה דינמית, חובת זכות תגובה ללקוח |
| זכויות נושאי מידע | חובת הספק להעביר ללקוח כל בקשת עיון / תיקון / מחיקה |
| העברה חוצת גבולות | מנגנונים מותרים — Standard Contractual Clauses, BCRs, או החלטת התאמה |
| ביקורות | זכות הלקוח לבקר את הספק או לקבל דוח SOC 2 / ISO |
| ביטול חוזה ומחיקת מידע | איך מתבצעת ההחזרה / מחיקה בסוף ההתקשרות, ובאיזו תיעוד |
| אחריות וביטוח | גובה אחריות, פוליסה לסייבר / privacy liability, ופיצוי במקרה של הפרה |

## לא כל ספק זהה — מודל ה-Tiers

חברה שמשתמשת ב-150 ספקים לא יכולה להפעיל DPA מלא + ביקורת שנתית על כולם. אנחנו מסווגים את הספקים לשלושה Tiers, ולכל Tier מערכת דרישות מותאמת.

### Tier 1 — קריטי

ספק שמעבד מידע רגיש מיוחד או היקפים נרחבים. דוגמאות: מערכת CRM ראשית, מערכת תיקים רפואיים, ספק עיבוד תשלומים.

דרישות: DPA מלא + שאלון מורחב (80 שאלות) + ISO 27001/27701 או SOC 2 + ביקורת שנתית

### Tier 2 — בינוני

ספק עם גישה למידע אישי אבל לא רגיש. דוגמאות: מערכת דיוור, מערכת ניהול משאבי אנוש, ספק לוגיסטיקה.

דרישות: DPA מקוצר + שאלון 30-50 שאלות + תיעוד אבטחה בסיסי

### Tier 3 — נמוך

ספק עם מינימום נגיעה למידע אישי. דוגמאות: ספק שירותי ענן בלי גישה לתוכן, ספק תוכנה קוד פתוח עם תמיכה.

דרישות: DPA סטנדרטי קצר + הצהרה

## שאלות נפוצות על בקרת ספקים

### למה חשוב DPA?

תיקון 13 מטיל אחריות על **בעל המאגר**, גם כאשר עיבוד המידע נעשה בידי ספק. בלי DPA, אם ספק יפר את חובות הפרטיות — האחריות נופלת עליכם. DPA הוא הכלי המשפטי שמגדיר את חובות הספק ואת זכויות הלקוח. גם תקנות אבטחת מידע 2017 דורשות תיעוד הסכמי ספק.

### כמה ספקים יש לארגון ממוצע?

בארגון בינוני (50-300 עובדים) — בדרך כלל 60-150 ספקי תוכנה ושירותים. מתוכם 15-40 מטפלים במידע אישי. כך שגם אם רק ל-15 נדרש DPA — זו עבודה רצינית.

### יש שאלון פרטיות סטנדרטי?

יש מסגרות (Standardized Information Gathering / SIG, CAIQ של CSA), אבל מסגרת אחת לא מתאימה לכל סוגי הספקים. אצלנו יש שאלונים מותאמים לפי סוג ספק וסוג מידע — לא שאלון "אחד לכולם".

### מה ההבדל בין DPA לחוזה ראשי?

החוזה הראשי מגדיר את **השירות** שהספק מספק. ה-DPA הוא נספח שמגדיר את **חובות הפרטיות** בלבד. הם משלימים אבל לא תחליף זה לזה. בלי DPA, חוזה ראשי לא מספיק תחת תיקון 13.

### מה אם הספק מסרב לחתום על ה-DPA שלנו?

קלאסי. רוב הספקים הגדולים (Microsoft, Google, AWS, Salesforce) יש להם DPA משלהם — בדרך כלל טוב מספיק עם התאמות. ספקים קטנים בדרך כלל לא רוצים לעסוק בזה. אנחנו עוזרים לנהל את המשא ומתן — לחתום על ה-DPA של הספק (אחרי בדיקה), לדחוף DPA משלנו, או למצוא ספק חלופי.

### יש לכם מערכת לניהול?

אנחנו לא מוכרים פלטפורמת SaaS. אבל יש לנו תבניות Excel וטמפלטים מסודרים, וכן ידע איך להגדיר ב-CRM הקיים שלכם, או ב-Notion / Airtable, מערכת ניהול ספקים. ב-[DPO as a Service](/services/dpo) אנחנו עוזרים גם להפעיל את המעקב השוטף.

### מה לגבי GDPR ו-Cross-border transfers?

אם הארגון פעיל באירופה או בארה"ב, או משתמש ב-vendor אמריקאי / אסיאתי — Transfer Impact Assessment הוא חלק מהשירות. אנחנו מטפלים ב-SCCs, ב-Data Privacy Framework (EU-US), וב-BCRs לחברות גדולות.

## כמה ספקים יש לכם בלי DPA?

שיחה של 30 דקות, מיפוי ראשוני, והצעה כתובה תוך 48 שעות.

[לדבר על הספקים שלי](/contact)