הסכם פרטיות ואבטחת מידע
1. הגדרות:
1.1. "הקבוצה" – קבוצת יד 2 הכוללת את חברת קורל תל בע"מ, ח.פ. 512676289, המפעילה את אתר יד2 ואת חברת שקנאי בע"מ, ח.פ. 513775593, המפעילה אתר דרושים ודה וורקר, וכל חברה קשורה, חברה אחות, חברת בת וכל חברה מסונפת או קשורה ו/או המצויה בכל עת תחת שליטת הקבוצה.
1.2. "החברה" – ספק השירותים המקבל גישה למידע של הקבוצה לפי תנאי הסכם שירותים שנחתם בין הקבוצה לחברה.
1.3. "חוקי הגנת הפרטיות" – חוק הגנת הפרטיות, התשמ"א-1981, התקנות שהותקנו ו/או שיותקנו מכוחו לרבות תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, וכן הנחיות הרשות להגנת הפרטיות, כפי שיהיו בתוקף מעת לעת.
1.4. "המידע" – "מידע אישי" ו/או "מידע בעל רגישות מיוחדת", ולרבות כל מידע על או בקשר עם הקבוצה לרבות אך מבלי לגרוע מכלליות האמור: (א) מידע השמור במאגרי המידע של הקבוצה, וכן מידע אישי, לרבות מידע כאמור הנוגע לעובדים, ספקים ולקוחות, כל מידע של הקבוצה ו/או מי מטעמה שיימצא על גבי מערכות הנוכחות ו/או השכר של החברה וכל דו"ח ו/או פלט שיופקו מהן; (ב) מידע טכני וטכנולוגי, לרבות מידע הנוגע לקניינה (הפיסי או הרוחני) של הקבוצה, תכניות פיתוח, מידע על חומרים, מפרטים, תהליכי עבודה, מוצרי תוכנה בפיתוח או בשימוש הקבוצה (לרבות קוד יעד וקוד מקור) וכל מסמך או רשומה בכל מדיום שהוא הנוגעים לנכסים הטכנולוגיים של הקבוצה; (ג) מידע שיווקי, עסקי, ומסחרי, לרבות מידע בקשר עם התקשרויותיה המסחריות של הקבוצה, עסקיה ויחסיה עם עובדים, חברות וגופים מסונפים, מידע לגבי ספקים ולקוחות, כל מידע הקשור להתחייבויותיה ולמצבה הפיננסי ו/או הכלכלי של הקבוצה; (ד) מידע על תביעות והליכים משפטיים שהקבוצה היא צד להם; ו-(ה) כל מידע אחר שעשוי להוות סוד מסחרי כהגדרתו של מונח זה בחוק עוולות מסחריות, תשנ"ט-1999; והכל (ביחס לסעיפים (א)-(ה) לעיל) בין אם נמסר או נחשף בכתב, בעל-פה, באמצעים דיגיטליים או בכל מדיום אחר, ובין אם נמסר לחברה או נחשף בפניה טרם החתימה על כתב זה או אחריה. למען הסר ספק, למעט ביחס למידע אישי, הגדרה זו לא תכלול מידע ש: (א) הינו נחלת הכלל או ייהפך כזה (שלא עקב הפרת התחייבות לשמירת סודיות כלפי הקבוצה); (ב) חובה לגלותו על פי כל דין ו/או צו של רשות שיפוטית (ובתנאי שנתנה על כך הודעה מוקדמת בכתב לקבוצה על מנת שזו תוכל להתגונן מפני דרישה שכזו, ובתנאי שבמקרה שכזה תגלה החברה רק את המידע המינימאלי המתחייב מהדין ולצורך האמור לעיל בלבד); (ג) הקבוצה אישרה בכתב כי אינו מהווה מידע כהגדרתו לעיל.
1.5. "מידע אישי" – כל נתון הנוגע לאדם מזוהה או לאדם הניתן לזיהוי, ובכלל זה מידע בעל רגישות מיוחדת. "אדם הניתן לזיהוי" הוא מי שניתן לזהותו במאמץ סביר, במישרין או בעקיפין, ובכלל זה באמצעות פרט מזהה, כגון שם, מספר זהות, מזהה ביומטרי, נתוני מיקום, מזהה מקוון, או נתון אחד או יותר הנוגע למצבו הפיזי, הבריאותי, הכלכלי, החברתי או התרבותי, והכל בהתאם להגדרת מונח זה בחוקי הגנת הפרטיות.
1.6. "מידע בעל רגישות מיוחדת" – מידע אישי על צנעת חיי המשפחה של אדם, צנעת אישותו, נטייתו המינית, מצבו הבריאותי והנפשי, מוצא, עבר פלילי, דעות פוליטיות, אמונות דתיות, השקפת עולם, הערכת אישיות שנערכה מטעם גורם מקצועי או באמצעי שמיועד לביצוע הערכה של מאפייני אישיות מהותיים, נתוני מיקום ותעבורה, נתונים על שכר ופעילות פיננסית, מידע גנטי, מידע שהוא מזהה ביומטרי ומידע שחלה עליו חובת סודיות על-פי דין, והכל בהתאם להגדרת מונח זה בחוקי הגנת הפרטיות;
1.7. "נושאי המידע" – אנשים שמידע אישי ו/או מידע בעל רגישות מיוחדת נוגע אליהם.
1.8. "עיבוד" / "שימוש" – כל פעולה שמבוצעת במידע, לרבות קבלתו, איסופו, אחסונו, העתקתו, עיון בו, גילויו, חשיפתו, העברתו, מסירתו או מתן גישה אליו.
2. סודיות, שלמות וזמינות המידע
2.1. ידוע לחברה שהמידע שייחשף בפניה או שאליו היא תקבל גישה כחלק מביצוע ההסכם הינו מידע רגיש וכי סוגי מידע אחרים שיחשפו בפניה הינם סודות מסחריים של הקבוצה. המידע יועבר לחברה אך ורק בהסתמך על הצהרותיה והתחייבויותיה כמפורט בכתב התחייבות זה.
2.2. החברה תשמור בכל עת על המידע בסודיות מלאה ומוחלטת, ולא תבצע כל עיבוד במידע שאינו דרוש במישרין לצורך מתן השירותים. כמו כן החברה לא תעתיק, תשכפל, תפרסם, תוציא מרשותה, תעביר ו/או תחשוף אותו או כל חלק ממנו, לרבות עצם דבר קיומו לכל צד שלישי כלשהו (למעט לעובדים, ליועצים ולקבלני-משנה הפועלים מטעמה ועבורה המורשים לכך באופן מפורש, אשר גישתם למידע נדרשת במישרין לצורך מתן השירותים), במישרין או בעקיפין, בתמורה או שלא בתמורה, כל מידע שיגיע לידיעתה ו/או לרשותה בקשר עם השירותים וההסכם שלא למטרת ביצוע השירותים ובכפוף להוראות ההסכם וכתב התחייבות זה.
2.3. בכל עת שיהיה מידע ברשות החברה, החברה תגרום לכך שהמידע ישמר באופן נאות שלא יפחת מהאמצעים המשמשים אותה לשמירת המידע הסודי שלה, ובכל מקרה תוך שימוש באמצעים קפדניים מקובלים שלא יפחתו מהאמצעים המפורטים בהוראות חוקי הגנת הפרטיות, על מנת שלא יתאפשר עיון במידע למי שלא קיבל רשות לכך ושהמידע לא יתגלה לאחרים. בכל מקרה, מתחייבת כי העברת המידע לכל צד שלישי תיעשה על ידיה אך ורק בהתאם להוראות כתב התחייבות זה, לצורך ביצוע השירותים בלבד ובכפוף לכך שהקבוצה תאשר זאת, מראש ובכתב.
2.4. מבלי לגרוע מכלליות האמור לעיל, החברה מתחייבת להפריד בין השימוש במידע של הקבוצה לבין השימוש במידע של צדדים שלישיים, וכן להפריד את הגישה הפיזית והלוגית למידע כאמור (על ידי שמירתו במאגרי מידע נפרדים, שימוש באמצעי גישה נפרדים, מתן הרשאות גישה נפרדת ובכל דרך פיזית או לוגית אחרת המאפשרת הפרדה בין סוגי המידע השונים).
2.5. החברה מתחייבת לשמור על שלמות וזמינות המידע אשר נמסר או יימסר לה או שהיא תיחשף אליו מעת לעת בקשר עם השירותים, אלא אם אושר אחרת על-ידי הקבוצה מראש ובכתב. לפי דרישת הקבוצה, בהתאם לשיקול דעתה הבלעדי, תמסור החברה לקבוצה בתוך שני ימי עסקים ממועד דרישתה את כל המידע שהועבר לחברה וכל עותק ממנו בכל מדיום שהוא, כמו גם את כל העיבודים והתוצרים ש�נעשו בהסתמך על המידע כאמור.
2.6. להסרת ספק מובהר בזאת כי התחייבויות החברה לפי כתב התחייבות זה, לרבות ביחס להפרות שיבוצעו על-ידי מקבלי המידע כמפורט בסעיף 4.2 להלן, אינן מוגבלות בזמן, והן יחולו על החברה הן בתקופת ההסכם והן לאחר סיומו מכל סיבה שהיא.
3. עמידה בהוראות חוקי הגנת הפרטיות
3.1. מבלי לגרוע מהתחייבות החברה לנהוג על פי כל דין, בכל הקשור למידע אישי ולמידע בעל רגישות מיוחדת, החברה מתחייבת לפעול ביישום הוראות ההסכם וכתב התחייבות זה בהתאם להוראות חוקי הגנת הפרטיות. בכלל זה, החברה מאשרת כי היא תיחשב לכל דבר ועניין כ"מחזיקה" של מאגר מידע כהגדרתו של מונח זה בחוק הגנת הפרטיות, וכי תמלא את כל החובות המוטלות עליה לפי �כל דין כמחזיקה במאגרי המידע של הקבוצה.
3.2. מבלי לגרוע מהאמור לעיל, החברה מתחייבת, מצהירה ומאשרת, שלא תעבד בכל צורה שהיא מידע אישי ומידע בעל רגישות מיוחדת עבור הקבוצה, אלא בהסכמת הקבוצה מראש ובכתב. ככל שתתבקש החברה לעבד מידע כאמור עבור הקבוצה, והקבוצה תאשר זאת כאמור לעיל, החברה מתחייבת לעבד אותו אך ורק בהתאם להוראות חוקי הגנת הפרטיות. למען הסר ספק, האמור בכתב זה בא להוסיף על כל חובה לשמירה על סודיות על פי כל דין, הסכם, כללי אתיקה או מכל מקור אחר, ולא לגרוע ממנה.
3.3. החברה מתחייבת לסייע ולאפשר לנושאי המידע הזכאים לכך לממש את זכויותיהם מכוח חוקי הגנת הפרטיות, לרבות לעניין זכות העיון והתיקון ביחס למידע אישי ומידע בעל רגישות מיוחדת שנשמר עליהם, ולפעול אך ורק בהתאם לנהלי הקבוצה כפי שיהיו מפעם לפעם לעניין זכויות נושאי המידע כאמור. מבלי לגרוע מהאמור לעיל, החברה מתחייבת להודיע לקבוצה מיד עם קבלת דרישה מצד נושא מידע לעיין או לתקן את המידע שנשמר עליו, ולפעול על פי הוראותי�ה בלבד בעניין זה.
4. הגבלת השימוש במידע
4.1. החברה מתחייבת להשתמש במידע אך ורק לצורך ביצוע השירותים, בהיקף ובמידה הנחוצים לשם כך.
4.2. במקרה בו תידרש החברה להעביר את המידע לצדדים שלישיים לצורך ביצוע השירותים, והקבוצה אישרה מראש ובכתב את ההעברה כאמור, החברה מתחייבת להעביר את המידע רק לאותם עובדים, קבלני משנה, נציגים ו/או צדדים שלישיים אחרים מטעמה הזקוקים לו אך ורק לצורך ביצוע השירותים במישרין, ולהם בלבד ("מקבלי המידע").
4.3. החברה מצהירה ומאשרת כי תוודא שהמקבלי המידע מקיימים את הוראות הדין, לרבות חוקי הגנת הפרטיות.
4.4. ככל שהחברה תעביר את המידע למקבלי המידע, בהתאם לתנאי כתב התחייבות זה, החברה מתחייבת כי המידע יועבר בתוך גבולות ישראל או אל מדינות האיחוד האירופי בלבד, וכי המידע לא יועבר (בין על ידי החברה ובין על ידי מי מטעמה, לרבות על ידי מקבלי המידע) לכל מדינה אחרת ללא קבלת הסכמה מפורשת מהקבוצה, מראש ובכתב.
4.5. החברה תהיה אחראית כלפי הקבוצה וכלפי נושאי המידע ותוודא כי מקבלי המידע כאמור (לרבות קבלני משנה, ככל שיועסקו על ידי החברה בביצוע השירותים) יקפידו על שמירת הסודיות ואבטחת המידע כמתחייב מהוראות כתב זה, ויחתמו על כתב התחייבות התואם את הוראות כתב התחייבות זה. החברה תישא באחריות מלאה לכל מעשה או מחדל של מקבלי המידע, והפרה כלשהי של הוראות כתב התחייבות זה או של זכויות נושאי המידע על-ידי מקבלי המידע תיחשב להפרה של החברה לכל דבר ועניין.
5. אבטחת מידע
5.1. כללי
החברה מתחייבת למלא אחר כל דרישות הקבוצה לעניין אבטחת מידע המפורטות בהסכם ובכתב התחייבות זה, וכפי שיהיו מעת לעת, לנקוט אמצעי זהירות קפדניים, ולבצע כל הדרוש מכל ההיבטים לצורכי שמירת אבטחת מידע של המידע שימצא ברשותנו כמפורט בכתב התחייבות זה ובהתאם להוראות חוקי הגנת הפרטיות, כפי שיהיו בתוקף מעת לעת וכפי שיעודכנו ו/או יתווספו להם מעת לעת.
5.2. בעלי תפקידים
5.2.1. ככל שנדרש לפי הוראות חוקי הגנת הפרטיות, החברה מצהירה ומאשרת כי מינתה ממונה אבטחת מידע שיהיה אחראי למילוי וליישום כל המוטל על החברה מכח חוקי הגנת ה�פרטיות.
5.2.2. ככל שנדרש לפי הוראות חוקי הגנת הפרטיות, החברה מצהירה ומאשרת כי מינתה ממונה הגנת פרטיות, אשר יהיה אחראי ליישום דרישות תפקידו בהתאם להוראות הדין.
5.2.3. החברה תמנה איש קשר שיהיה אחראי למילוי וליישום דרישות אבטחת המידע המפורטות בהסכם ובכתב התחייבות זה.
5.3. מדיניות ונהלים
החברה מצהירה כי אימצה והטמיעה באופן הולם את כל נהלי אבטחת המידע הנדרשים בין היתר ביחס למערכות המידע בהן נשמר המידע בחברה, לרבות לצורך ביצוע השירותים, והכל בהתאם להוראות חוקי הגנת הפרטיות וכתב התחייבות זה.
5.4. דיווחים וביקורות
5.4.1. החברה תספק לקבוצה, לפי דרישתה, דיווחים שוטפים בכתב, בכל הנוגע לאופן ניהול המידע, עיבודו ואמצעי ההגנה המוטמעים ביחס אליו. בנוסף, תעביר החברה דוח שנתי מסכם, אודות אופן ביצוע ההסכם וכתב התחייבות זה, ועמידתה בחוקי הגנת הפרטיות לעניין אבטחת מידע, כפי שיהיו בתוקף מעת לעת.
5.4.2. טרם תחילת ביצוע השירותים, החברה תאפשר לקבוצה או לצד שלישי מטעמה לבצע ביקורות אבטחת מידע ביחס לביצוע התחייבויותיה מכח ההסכם וכתב התחייבות זה. בנוסף, בהתראה של 48 שעות (למעט בקרות אירוע אבטחת מידע), החברה תאפשר לקבוצה או מי מטעמה לבצע ביקורות אבטחת מידע הכוללות גישה למערכות המחשב ולחומרי המחשב שבשליטת החברה הכוללים מידע של הקבוצה, ולטפל בליקויים שיימצאו בתוך זמן סביר על פי דרישת הקבוצה. מבלי לגרוע מהאמור, ידוע לחברה והיא מסכימה כי הקבוצה תבצע מעקב ובקרה שוטפים על ביצוע פעולות החברה לפי ההסכם ולפי כתב התחייבות זה (לרבות באמצעות מערכות ניטור ובקרה שיתחברו למערכות המידע של החברה), והחברה תשתף פעולה עם הקבוצה בכל הקשור לכך. לצורך כך, מתחייבת החברה לשמור לוגים, נתוני גישה ונתוני מערכת של כלל מערכות המידע שהמידע נשמר בהן למשך 24 חודשים לפחות, בהתאם להתחייבויותיה לפי כתב התחייבות זה, ולאפשר לקבוצה גישה אליהם מיד עם דרישתה.
5.4.3. ידוע לחברה והיא מסכימה כי במסגרת הביקורות הנ"ל, תהיה הקבוצה רשאית לערוך ביקורות כאמור גם על פעילות קבלני המשנה המועסקים על ידיה בביצוע השירותים. החברה מתחייבת כי בהסכמים עם קבלני משנה יכללו הוראות מתאימות המאפשרות ביצוע ביקורות כאמור על ידי הקבוצה ועל ידי החברה (או על ידי מי מטעמן). ככל שהחברה ערכה ביקורות על קבלני המשנה, ומבלי לגרוע מהתחייבות כלשהי המוטלת עליה מכח חוקי הגנת הפרטיות ו/או כתב התחייבות זה, היא תמציא לקבוצה לפי דרישתה את דוחות הבדיקה. בכל מקרה, החברה מתחייבת כי קבלני המשנה יטפלו בכל ליקוי שיימצא (אם וככל שיימצא) במסגרת הביקורות הנ"ל בתוך זמן סביר שייקבע על-ידי הקבוצה.
5.5. הרשאות גישה; אימות וזיהוי
5.5.1. החברה תנהל הרשאות גישה למידע באופן שיאפשר לעובדים מורשים מטעמה לגשת אך ורק למידע �הרלוונטי אליהם, לנהל רישום עדכני של מורשי הגישה למידע של הקבוצה ולשלול גישה באופן מיידי מכל אדם שאין עוד צורך שייחשף למידע, לרבות בשל החלפת תפקיד, תחום ואף במקרה של סיום העסקה/התקשרות עם אותו גורם.
5.5.2. החברה מתחייבת להפעיל מנגנון בקרה ולנהל ולתעד לוגים של כל הפעולות שבוצעו על-ידי מורשי הגישה מטעמה ביחס למידע.
5.5.3. החברה תאפשר כניסת משתמשים מורשים למערכות בהן יישמר המידע אך ורק באמצעות שימוש בשם משתמש וסיסמה אישיים וייחודיים, וככל הניתן גם על בסיס אמצעי פיזי הנתון לשליטתו של המשתמש, כאשר סיסמת המשתמש תהיה מורכבת משילוב של אותיות, ספרות ותווים מיוחדים, אורכה שמונה תווים לפחות, ותוקפה לא יעלה על 90 יום.
5.5.4. החברה תגן על תחנות העבודה באמצעות שומר מסך עם סיסמא, שיופעל לאחר לא יותר מ-20 דקות ללא פעילות.
5.5.5. החברה הטמיעה ותקיים בכל עת מנגנוני זיהוי ואימות באמצעות Two Factor Authentication, על בסיס שם משתמש, סיסמא ומזהה חד ערכי נוסף (OTP) בהתחברות למערכות בהן נשמר מידע של הקבוצה.
5.6. כוח אדם
5.6.1. בדיקות רקע – החברה מצהירה כי מקבלי המידע אשר יקבלו גישה למידע של הקבוצה לא הורשעו ו/או נחשדו בביצוע עבירות אמינות או עבירות הקשורות לשימוש לרעה בנתונים ממאגרי מידע וכן לבצע בדיקות מהימנות לכל מורשה גישה שיקבל גישה למידע של הקבוצה, ומצהירה כי מתן הגישה למידע מותנה בכך שמורשה הגישה עומד בהוראות סעיף זה ועבר את הבדיקות בהצלחה.
5.6.2. הדרכות ומודעות עובדים – החברה תקיים פעילות הדרכה תקופתית לעובדיה המעורבים בביצוע השירותים, בדבר נהלי האבטחה והוראות אבטחת המידע לפי חוקי הגנת הפרטיות וכתב התחייבות זה, בהיקף הנדרש לצורך ביצוע תפקידם. הדרכה כאמור תבוצע אחת לשנה לפחות, ולגבי הסמכה של עובד חדש לתפקיד חדש – סמוך ככל האפשר למועד הסמכתו. החברה תשמור על תיעוד אודות ההדרכות, לרבות רשימת המשתתפים בהן, אשר יוצג לקבוצה או לצד שלישי מטעמה לפי דרישה.
5.7. אבטחת מערכות מידע
החברה מתחייבת לאבטח את מערכות המידע שלה כדלקמן:
5.7.1. סקרי סיכונים ומבדקי חדירות – לערוך ביקורות תקופתיות, מבדקי חולשות, מבדקי חדירות וסקרי סיכונים תקופתיים, ביחס למערכות המידע שעל גביהן נשמר המידע של הקבוצה, מעת לעת ובאופן סביר, ובכל מקרה בתדירות שלא תפחת מאחת ל-18 חודשים, ולבצע, באופן מיידי, את כל הפעולות הנדרשות לצורך תיקון ליקויים שיתגלו בעקבות ביקורות ומבדקים אלו. על החברה לעדכן את הקבוצה לפי דרישתה בכל ביצוע של סקרי סיכונים ומבדקי חדירות ובסיומם להעביר לקבוצה דו"ח ממצאים מלא ודו"ח המאשר כי הממצאים טופלו תוך זמן סביר לאחר מכן.
5.7.2. החברה תציג כתנאי להתקשרותה עם הקבוצה מבדקי חולשות, מבדקי חדירות וסקרי סיכונים שבוצעו בתקופה של עד 18 חודשים טרם ההתקשרות של החברה בהסכם עם הקבוצה וכן דו"ח המאשר כי כל הממצאים טופלו טרם ההתקשרות.
5.7.3. טכנולוגיות אבטחת מידע – לקיים אבטחת מידע נאותה לרשת הארגונית שתמנע חדירה מקרית או מכוונת למערכות המידע של החברה, ולהגן על מערכות המידע של החברה בהן מצוי או מהן ניתן לגשת למידע של הקבוצה, לרבות תחנות העבודה, השרתים, מערכות הרשת, ציוד הקצה וציוד נייד, באמצעות טכנולוגיות אבטחת מידע מקובלות למניעת חדירות ושימוש בלתי מורשה במידע ובמערכות המידע, לרבות מנגנוני ניטור, תיעוד והתראה על ניסיונות חדירה ושימוש בלתי מורשה.
5.7.4. הפרדת מערכות – להפריד הפרדה לוגית את הפעילות המתבצעת עבור הקבוצה מפעילויות עיבוד אחרות המבוצעות על ידי החברה. החברה מתחייבת לשמור על המידע רק במערכות המרכזיות הייעודיות של החברה ולא במחשבים אישיים.
5.7.5. עדכוני מערכות ואבטחה – לעדכן באופן שוטף את המערכות המשמשות את החברה, לרבות אלה המשמשות לצורך ביצוע הסכם זה, בין היתר לפי הגדרות והנחיות היצרן. מובהר כי בכל מקרה לא ייעשה שימוש במערכות שהיצרן לא תומך בהיבטי האבטחה שלהן.
5.7.6. הצפנת מידע בתקשורת – לא לאפשר גישה לתשתיות מערכות המידע ומאגרי המידע מרשת האינטרנט, ולא להעביר את המידע על גבי רשת האינטרנט או כל רשת ציבורית אחרת, אלא אם המידע מוצפן בשיטת הצפנה מקובלת וסבירה והמשתמש מזדהה על בסיס אמצעי פיסי הנתון לשליטתו הבלעדית. החברה מתחייבת כי באם נדרשת העברת מידע בין הקבוצה לבינה, תתבצע העברה באופן מוגן ומוצפן שיאושר על-ידי מחלקת אבטחת מידע של הקבוצה.
5.7.7. התקנים ניידים – לא להוציא מתוך החברה (למטרת תיקון או לכל מטרה אחרת) אמצעי אחסון של מידע דיגיטלי השמור בשרתי החברה או מחשביה, המכילים מידע של הקבוצה, לא לשמור מידע השייך לקבוצה על גבי התקנים ניידים מבלי להצפין אותו באמצעי הצפנה סבירים ומקובלים ולהטמיע אמצעי הזדהות חכמים, ולא להוציא מידע השייך לקבוצה מתוך החברה על גבי מדיות נתיקות, כוננים קשיחים, ואמצעי גיבוי ללא אישור מהקבוצה מראש ובכתב.
5.8. אבטחה פיסית
החברה מתחייבת לנקוט באמצעי האבטחה הפיסיים כדלקמן:
5.8.1. לאחסן חומרים כתובים והתקנים ניידים המכילים מידע אך ורק בכספת או בארונות נעולים המצויים במשרדי החברה.
5.8.2. לדאוג לכך שבמשרדי החברה ובמשרדי מקבלי המידע, ככל שיועסקו על ידי החברה בביצוע השירותים, תהא מותקנת מערכת הגנה טובה ותקינה כנגד פריצה.
5.8.3. לאפשר גישה פיזית למתחמי החברה לגורמים מורשים בלבד.
5.8.4. להגן על חדרי השרתים ומערכות המידע המרכזיות של החברה באמצעי אבטחה פיסיים ולנהל בקרה ותיעוד ממוחשבים של הגישה או של ניסיונות גישה לחדרים אלה, לרבות שם מבקש הגישה, תאריך ושעת ניסיון הגישה, ולשמור נתונים אלו לתקופה של 24 חודשים לפחות.
5.8.5. במקרה של מתן השירותים בחצרי הקבוצה, לשמור בסודיות על סיסמת הרשאה (ככל שתינתן לעובדי החברה), לנעול א�ת מסכי ותחנות עבודה בכל עת בה עובדי החברה עוזבים את תחנת העבודה ולכבות מחשבים בסיום יום העבודה.
5.8.6. להקפיד על יישום מדיניות "שולחן נקי" בסוף יום עבודה.
5.9. מידע עודף
5.9.1. החברה מתחייבת לקיים דיון ביחס לצמצום מידע במסגרתו תבחן אם המידע שהתקבל מהחברה או שאליו ניתנה לה גישה במסגרת ההסכם נדרש במישרין לצורך ביצועו, לרבות תכולתו והיקפו, או שמא מדובר במידע רב מן הנדרש, ובמקרה האחרון, תדאג למחיקת המידע העודף כאמור.
5.9.2. החברה תתעד את קיום הדיון כאמור ואת המסקנות שנתקבלו במסגרתו.
6. אירועי אבטחת מידע
6.1. בכל מקרה בו הופרה או קיים חשש כי הופרה התחייבות הקשורה באבטחת המידע, וכן בכל מקרה של חשש לדליפת מידע, שיבוש מידע, אי-זמינות של המידע או שימוש החורג מהרשאות הגישה למידע, ולרבות בקרות "אירוע אבטחה" ו/או "אירוע אבטחה חמור" (כהגדרתם בחוקי הגנת הפרטיות), והכל בקשר למידע או כל חלק ממנו (ביחד "אירוע אבטחת מידע"), תדווח על כך החברה לקבוצה מיידית, ובכל מקרה לא יאוחר מ-12 שעות מהמועד בו נודע לחברה על כל אירוע כאמור. יש להעביר ולתעד את הדיווח בכתב ל- .privacy@yad2.co.il
6.2. כל אירוע אבטחת מידע יתועד על-ידי החברה. בקרות אירוע אבטחת מידע, החברה תבצע תחקור ראשוני של אירוע אבטחת המידע, ותעביר לקבוצה, ביחד עם הדיווח כאמור לעיל או בסמוך לאחריו, דו"ח המתאר את ההיבטים הטכניים של אירוע אבטחת המידע ואת פעולות התגובה וההתאוששות שביצעה החברה. בנוסף, תעמיד החברה לרשות הקבוצה גישה למערכות הניטור והתיעוד שלה, ותסייע לקבוצה ככל הנדרש בטיפול, במזעור הסיכונים ובהתמודדות עם אירוע אבטחת המידע.
6.3. בהתאם להוראות הקבוצה, החברה תנקוט בכל פעולה נדרשת לצורך תגובה, התאוששות, מזעור סיכונים ושחזור בקשר עם אירוע אבטחת המידע, ותישא בכל עלות הנובעת מפעולות אלה.
6.4. החברה לא תפרסם, בכל צורה שהיא, מידע אודות אירוע אבטחת המידע לכל צד שלישי אלא באישור מראש ובכתב של הקבוצה.
7. משך שמירת המידע; ביעור המידע
7.1. ככלל, החברה מתחייבת לשמור את המידע אך ורק למשך הזמן הנדרש לצורך ביצוע השירותים, ובכפוף לדרישתה ואישורה של הקבוצה להשמיד כל מידע שאינו נחוץ עוד לצורך מתן השירותים לקבוצה בהתאם כתב התחייבות זה להלן.
7.2. מיד עם סיומו של הסכם זה או על פי דרישתה הראשונה של הקבוצה, לפי המוקדם, תחזיר החברה לקבוצה או תעביר לכל צד שלישי שתמנה הקבוצה לעניין זה, תוך נקיטת אמצעי זהירות קפדניים, ואשר לא יפחתו מאמצעי הזהירות המפורטים בחוקי הגנת הפרטיות, את כל המידע שנמסר לחברה ו/או אשר מצוי בחזקתה בכל מדיום שהוא, לרבות תוצרים וחומרים שהוכנו, עובדו או פותחו על ידי החברה תוך שימוש במידע כאמור במסגרת מתן השירותים, ותמחק אותם מכל אמצעי המדיה שברשותה, וזאת מבלי להשאיר בידי החברה או מקבלי המידע כל העתק, צילום, תעתיק, שחזור, טיוטה ו/או רישום סופי או כל צורה אחרת של אגירת מידע בכל דרך שהיא, מהמידע או מכל חלק ממנו או מתוצרים כאמור. החברה מתחייבת להמציא לקבוצה, לפי דרישתה, תצהיר המאמת את ביצוע פעולות המחיקה והביעור הנ"ל ולהפסיק להשתמש במידע או לשמור אותו בכל דרך שהיא לאחר דרישתה של הקבוצה לפי סעיף זה. ככל שקיימת הוראה בדין המחייבת את שמירת המידע בחברה, החברה מתחייבת לשמור את המידע בהתאם להוראות כתב התחייבות זה וחוקי הגנת הפרטיות לאורך כל תקופת השמירה.
8. כללי
8.1. החברה מסכימה שהקבוצה תהא רשאית לעדכן את דרישות אבטחת המידע בכתב התחייבות זה ככל שיידרש, לרבות בהתאם לשינויים ו/או עדכונים שיחולו במהלך תקופת ההתקשרות בחוקי הגנת הפרטיות, ומתחייבת לקיים, למלא ולעמוד בכל עדכון או שינוי כאמור, מבלי שתהיה לחברה כל טענה, דרישה ו/או עילת תביעה כלפי הקבוצה בשל כך (לרבות דרישה לתשלום נוסף). ידוע לחברה כי כל עדכון/שינוי כאמור יחייב אותה ממועד פרסומו.
8.2. ידוע לחברה כי לרשות להגנת הפרטיות סמכויות פיקוח על פעולותיה לפי ההסכם, והיא מתחייבת כי תשתף פעולה עם הרשות ככל שיידרש, תוך עדכון שוטף של הקבוצה בכתב.
8.3. החברה מסכימה שהקבוצה תהיה זכאית כלפיה לכל סעד ו/או תרופה, לרבות צו מניעה וצו אכיפה, במידה והחברה או מקבלי המידע יפרו התחייבות זו הפרה כלשהי מההתחייבויות המפורטות בכתב התחייבות זה, והחברה לא תתנגד למתן סעד ו/או תרופה כאמור. הסעד ו/או התרופה האמורים יהיו בנוסף על כל סעד ו/או תרופה אחרת לפי דין.
8.4. החברה מסכימה כי כל איחור או חוסר מעש מצד הקבוצה במימוש זכות הנתונה לה לפי ההסכם או כתב התחייבות זה לא יהוו ויתור על אותה זכות וכן, כי מימוש חלקי של זכות כאמור לא תמנע המשך זכות המימוש במלואה.
8.5. על כתב התחייבות זה יחול הדין הישראלי בלבד. לבית המשפט המוסמך בתל-אביב-יפו תהיה הסמכות הייחודית והבלעדית בקשר לכל מחלוקת אשר תתגלע בקשר עם כתב התחייבות זה.