הסכם עיבוד נתונים (DPA)
סטטוס מסמך: יוני 2026
הסכם זה ("הסכם עיבוד הנתונים" או "DPA") נערך בין הלקוח ("בעל השליטה") לבין Spotix ("המעבד"), ומהווה חלק בלתי נפרד מהסכם השירות הראשי (תנאי השימוש). הסכם זה נערך בהתאם ל-GDPR Article 28(3) ולחוק הגנת הפרטיות הישראלי (תיקון 13).
לתיאום חתימה על הסכם זה: [email protected]
סעיף 1: היקף, משך ופירוט העיבוד
הסכם זה חל על עיבוד נתוני שחקנים בלבד. לגבי נתוני חשבון יוצר, Spotix פועלת כבעלת שליטה עצמאית.
משך ההסכם: כל עוד ההתקשרות בין הצדדים בתוקף.
| # | מטרה | נושאי מידע | קטגוריות נתונים | נמענים | העברה לחו"ל | מועד מחיקה |
|---|---|---|---|---|---|---|
| 1 | הצטרפות לפעילות | שחקנים | מזהה מכשיר (UUID), שם צוות, תשובת אבטחה (טקסט גלוי) | יוצר הסיור, תמיכה | לא | עם מחיקת הפעילות או החשבון |
| 2 | מהלך המשחק | שחקנים | תשובות לשאלות, ניקוד, התקדמות, אירועי התנהגות | יוצר הסיור | לא | עם מחיקת הפעילות או החשבון |
| 3 | העלאת מדיה | שחקנים | תמונות, סרטונים, הקלטות שמע | יוצר הסיור, צפייה ציבורית (URL) | לא | עד מחיקה ע"י היוצר |
| 4 | ניווט ומפות | שחקנים | קואורדינטות GPS (עיבוד מקומי בלבד, לא נשמר) | - | Mapbox (tiles בלבד, לא קואורדינטות) | מיידי (transient) |
| 5 | סטטיסטיקות ואנליטיקה | שחקנים | אירועי התנהגות אנונימיים (מקושרים ל-UUID צוות) | יוצר הסיור | לא | עם מחיקת הפעילות |
| 6 | סקר אופציונלי | שחקנים | גודל צוות, סוג קבוצה, ביקור ראשון | יוצר הסיור | לא | עם מחיקת הפעילות |
סעיף 2: תחום אחריות ותפקידים
- הלקוח (ארגון, מוזיאון, יוצר) הוא "בעל השליטה" (Controller) לפי GDPR Article 4(7).
- Spotix היא "המעבד" (Processor).
- בעל השליטה אחראי לחוקיות העיבוד, לרבות בסיס משפטי לאיסוף נתונים מהשחקנים.
- הוראות העיבוד הראשוניות כמפורט בהסכם זה. בעל השליטה רשאי לשנות הוראות בכתב.
סעיף 3: חובות המעבד (Spotix)
- עיבוד לפי הוראות בלבד: עיבוד אך ורק בהתאם להוראות בעל השליטה (Article 28(3)(a)). אם הוראה נוגדת חוק, Spotix תודיע מיידית.
- אמצעי אבטחה: יישום אמצעי אבטחה טכניים וארגוניים (Article 32) כמפורט בנספח 1.
- סיוע בזכויות נושאי מידע: סיוע בטיפול בפניות נושאי מידע (Articles 15-21). מענה תוך 30 יום.
- סודיות: כל אדם המורשה לעבד נתונים מחויב בסודיות.
- דיווח על אירוע אבטחה: הודעה ללא עיכוב, ובכל מקרה תוך 72 שעות (Articles 33-34). נקיטת אמצעים מיידיים לצמצום נזק.
- הערכת השפעה (DPIA): סיוע בהערכת השפעה וייעוץ מוקדם (Articles 35-36) לפי בקשה.
- תיקון ומחיקה: תיקון או מחיקת נתונים לפי הוראת בעל השליטה.
- סיום התקשרות: בסיום ההתקשרות: מחיקת כל הנתונים תוך 30 יום, או החזרה בפורמט מובנה, לפי בחירת בעל השליטה.
- הגנה מפני תביעות: סיוע בהגנה מפני תביעות (Article 82).
- בדיקה תקופתית: בדיקה תקופתית של יעילות אמצעי האבטחה (Article 32(1)(d)).
סעיף 4: חובות בעל השליטה (הלקוח)
- הודעה מיידית על כל ליקוי או אי-סדירות שמתגלים.
- ציון איש קשר לנושאי הגנת מידע.
סעיף 5: פניות מנושאי מידע
- אם נושא מידע פונה ישירות ל-Spotix, הפנייה תועבר לבעל השליטה.
- Spotix מסייעת לפי הוראות ויכולת.
- Spotix לא אחראית אם בעל השליטה לא מגיב לפנייה.
סעיף 6: תיעוד וביקורת
- Spotix מתעדת ומוכיחה עמידה באמצעות נספח 1 (אמצעים טכניים וארגוניים).
- זכות ביקורת: בעל השליטה רשאי לבצע ביקורת (או למנות מבקר), בתיאום מראש, בשעות עבודה, ללא פגיעה בפעילות. Spotix רשאית לדרוש הסכם סודיות ולפסול מבקרים שהם מתחרים.
- ביקורת של רשות פיקוח: אותם תנאים, ללא צורך בהסכם סודיות.
סעיף 7: קבלני משנה (Sub-processors)
הלקוח מאשר בזאת את השימוש בקבלני המשנה המפורטים בנספח 2.
- שינוי או הוספה: הודעה מראש של 30 יום.
- זכות התנגדות: בעל השליטה רשאי להתנגד מטעמים מהותיים. אם לא מושגת הסכמה, לבעל השליטה זכות סיום.
- Spotix מתחייבת שהתחייבויות הגנת המידע חלות גם על קבלני משנה (Article 28(2)-(4)).
סעיף 8: הוראות כלליות
- הודעה מיידית אם נתונים נתונים לתפיסה, עיקול או הליך פשיטת רגל.
- שינויים בהסכם: בכתב בלבד.
- הסכם זה גובר על ההסכם הראשי בנושאי הגנת מידע.
- דין חל: חוקי מדינת ישראל.
סעיף 9: אחריות ופיצויים
- אחריות כלפי נושאי מידע לפי Article 82 GDPR.
- הוראות האחריות בהסכם הראשי (תנאי השימוש) חלות גם על עיבוד זה.
חתימות
בעל השליטה (הלקוח)
שם הארגון: _______________
שם מורשה חתימה: _______________
תפקיד: _______________
תאריך: _______________
חתימה: _______________
המעבד (Spotix)
דורון יושע
תאריך: _______________
חתימה: _______________
נספח 1: אמצעים טכניים וארגוניים (TOM) לפי Article 32 GDPR
בקרת גישה פיזית
נתונים מאוחסנים ב-Supabase (פרנקפורט, מרכזי נתונים של AWS eu-central-1) ו-Cloudflare R2. אין שרתים פיזיים בבעלות Spotix. הגנה פיזית באחריות ספקי התשתית (AWS ISO 27001, Cloudflare ISO 27001).
בקרת גישה לוגית
- אימות יוצרים: JWT (Supabase Auth) + בדיקת תפקיד בשרת
- הפרדת הרשאות: service_role (שרת בלבד) מול anon key (לקוח)
- Row Level Security (RLS): יוצר רואה רק נתוני הסיורים שלו
- סיסמאות מוצפנות bcrypt (Supabase Auth)
- אין גישת admin ישירה למסד הנתונים בייצור
בקרת גישה לנתונים
- שחקנים אנונימיים: אין endpoint למחיקה או עריכה. רק היוצר מנהל נתוני שחקנים
- יוצרים: CRUD מוגבל לסיורים שבבעלותם
- פעולות admin מתועדות ב-admin_audit_log
בקרת העברת נתונים
- כל התעבורה מוצפנת HTTPS/TLS
- מפתחות API מאוחסנים כמשתני סביבה (לא בקוד מקור)
- אין העברת נתוני שחקנים לצדדים שלישיים מעבר לקבלני המשנה המאושרים
בקרת קלט נתונים
- אירועי אנליטיקה מתועדים עם timestamp שרת
- שינויי ניקוד מתועדים ב-admin_score_log עם זהות המבצע
- פעולות admin מתועדות ב-admin_audit_log
בקרת זמינות
- גיבוי יומי אוטומטי (pg_dump), שמירה 60 יום ב-Cloudflare R2
- Supabase: replication + point-in-time recovery
- Cloudflare Pages: רשת CDN גלובלית עם redundancy
- ניטור: system_daily_snapshots עם מדדי בריאות מערכת
הפרדת נתונים
- נתוני כל סיור מופרדים לוגית (tour_id foreign key בכל טבלה)
- RLS אוכף הפרדה: יוצר לא יכול לגשת לנתוני סיור של יוצר אחר
- סביבות פיתוח וייצור מופרדות לחלוטין
נספח 2: רשימת קבלני משנה מאושרים
| ספק | מיקום עיבוד | תפקיד | הסמכות | מנגנון העברה |
|---|---|---|---|---|
| Supabase Inc. | פרנקפורט, EU (eu-central-1) | מסד נתונים, אימות, Realtime | SOC 2 Type II | EU - לא נדרשת העברה |
| Cloudflare Inc. | רשת קצה גלובלית (locality אוטומטי) | אחסון קבצים (R2), אירוח (Pages), CDN | ISO 27001, SOC 2 Type II | SCC |
| Mapbox Inc. | ארה"ב | תשתית מפות וניווט | SOC 2 Type II | SCC |
| Resend Inc. | ארה"ב | שליחת דוא"ל טרנזקציוני | SOC 2 Type II | SCC |
| Google LLC | ארה"ב | Gemini API (תרגום, אופציונלי), Fonts (חלקית) | ISO 27001 | SCC, שכבת API בתשלום |