מדיניות פרטיות

1. הקדמה
1.1 לשם מתן שירות ללקוחותיה, החברה אוספת נתונים אישיים מלקוחות, מועמדים לעבודה ועובדים.
המטרה בכך היא להבטיח רמת הגנה גבוהה על פרטיות הלקוחות, שכן שמירה על סודיות מהווה גורם מרכזי בבניית אמון בין החברה לעובדיה, ספקיה ולקוחותיה.
הבטחת רמת הגנה גבוהה על נתונים אישיים מושגת באמצעות צעדים ארגוניים וטכניים מתאימים. לפיכך הנהיגה החברה שורה של מדיניות פנימיות וחיצוניות להגנת מידע, המחייבות את כל עובדיה.
החברה אחראית לתעד, לבחון ולפקח על עמידה במדיניות ההגנה על נתונים ובהוראות הדין הרלוונטיות, לרבות תקנות הגנת הפרטיות של האיחוד האירופי (GDPR).
החברה מחויבת לנקוט בכל האמצעים הנדרשים על מנת להבטיח עמידה מלאה בדרישות ההגנה על נתונים, לרבות הקצאת אחריות, הדרכת עובדים המעורבים בעיבוד נתונים, ופיקוח שוטף.
המסמך יעודכן מעת לעת בהתאם לנסיבות חדשות, אך עיבוד ושמירת הנתונים האישיים יתבצעו לפי הנוסח העדכני ביותר של מדיניות פרטיות זו.
1.2 "נתונים אישיים" פירושם כל מידע המתייחס לאדם מזוהה או שניתן לזהותו – כגון שם, כתובת, מספר טלפון, גיל, מין, מיקום, או כל מאפיין אישי אחר.
נתונים אלה עשויים להתייחס ללקוחות, עובדים, מועמדים, ספקים ושותפים עסקיים, וכוללים גם נתונים רגישים כגון מספרי חשבון, נתוני בריאות, נתונים גנטיים או כל מידע מזהה אחר.
1.3 מידע על תאגידים או ישויות עסקיות אינו נחשב למידע אישי, אך פרטי קשר אישיים של נציגי אותן ישויות – כמו שם, תפקיד, דוא"ל או מספר טלפון – כן נחשבים כמידע אישי.
1.4 החברה אוספת נתונים אישיים אך ורק למטרות עסקיות לגיטימיות, כגון:
הקמת ושמירה על קשרי עבודה עם לקוחות וספקים, ביצוע הזמנות, ניהול עובדים, עמידה בדרישות משפטיות, מתן שירות לקוחות ועוד.
1.5 הנתונים האישיים ייעובדו בהתאם לעקרונות הבאים:
•	עיבוד חוקי, הוגן ושקוף כלפי נושא המידע;
•	שימוש רק למטרות שהוגדרו מראש;
•	שמירה על רלוונטיות ומידתיות של הנתונים;
•	תיקון או מחיקה של נתונים שגויים תוך זמן סביר;
•	שמירה על נתונים לתקופה הדרושה בלבד;
•	הגנה על הנתונים מפני שימוש בלתי מורשה, אובדן או נזק, באמצעות אמצעים טכניים וארגוניים מתאימים.
________________________________________
2. בסיס משפטי לעיבוד נתונים אישיים
2.1 העיבוד יתבסס על אחד או יותר מהבאים:
•	חובה או דרישה חוקית;
•	ביצוע חוזה בו נושא המידע הוא צד;
•	הסכמת נושא המידע למטרה מסוימת;
•	אינטרסים לגיטימיים של החברה.
2.2 הסכמה
2.2.1 איסוף, רישום ועיבוד נוסף של נתונים אישיים יתבצעו רק על בסיס הסכמת האדם המזוהה, למטרות מוגדרות וברורות.
2.2.2 ההסכמה חייבת להיות ספציפית, חד-משמעית, מרצון, לאחר מתן הסבר ברור.
2.2.3 בקשה להסכמה תינתן בשפה פשוטה וברורה.
2.2.4 עיבוד נתונים רגישים יתאפשר רק בהסכמה מפורשת של הלקוח.
2.2.5 נושא המידע רשאי לחזור בו מהסכמתו בכל עת, והחברה תחדל מהמשך עיבוד הנתונים, למעט במקרים בהם קיימת חובה חוקית לשימורם.
2.3 ביצוע תנאי חוזה
2.3.1 עיבוד נתונים אישי נדרש לצורך מילוי התחייבויות חוזיות או פעולות טרום־חוזיות שביקש הלקוח, והוא נחשב לעיבוד חוקי.
2.4 עמידה בחובות חוקיות
2.4.1 החברה מחויבת לעמוד בכל החוקים והתקנות החלים עליה במדינות האיחוד האירופי ובמדינות פעילותה.
2.4.2 חובות אלה כוללות איסוף ודיווח נתונים על עובדים ולקוחות בהתאם לדין, ומהוות בסיס חוקי לעיבוד הנתונים.
2.5 אינטרסים לגיטימיים
2.5.1 עיבוד נתונים יתבצע גם כאשר הוא נדרש לצורך אינטרס לגיטימי של החברה, כל עוד אינטרס זה גובר מבחינה משפטית על זכויות נושא המידע.
2.5.2 לדוגמה, עיבוד נתוני לקוחות פוטנציאליים לצורכי פיתוח עסקי ושיווק ייחשב אינטרס לגיטימי. החברה תוודא כי האינטרס אינו פוגע בזכויות הפרט.
________________________________________
3. עקרונות עיבוד והעברת נתונים אישיים
3.1 החברה משמשת כגורם האחראי על עיבוד הנתונים האישיים של לקוחותיה.
3.2 החברה רשאית להיעזר בגורמי צד שלישי (מעבדי נתונים) לצורך ביצוע פעולות טכניות – לדוגמה: ספקי שירותי IT, מערכות משאבי אנוש וכדומה – בתנאי שהם מחויבים לשמירה על סודיות.
3.3 לפני כל העברת נתונים תיחתם הסכם עיבוד נתונים כתוב בין החברה למעבד הנתונים.
3.4 אם המעבד נמצא מחוץ לאיחוד האירופי (EU/EEA), ההעברה תתבצע רק בכפוף להסכם העברת נתונים בהתאם ל־EU Model Clauses.
3.5 החברה תוודא שהעברת נתונים תבוצע רק לצורך לגיטימי, במידה המינימלית הנדרשת ותוך הערכת סיכונים מתאימה.
4. זכויות נושאי המידע
4.1 כאשר החברה אוספת או רושמת נתונים אישיים, עליה לספק לנושאי המידע את המידע הבא:
•	מטרות העיבוד והבסיס המשפטי לעיבוד;
•	סוגי הנתונים האישיים המעובדים;
•	האינטרסים הלגיטימיים של החברה, אם העיבוד מבוסס על איזון אינטרסים;
•	זהות הנמענים או קטגוריות הנמענים של הנתונים;
•	אם הנתונים יועברו למדינה שלישית, פירוט בסיס ההעברה וההגנות הננקטות;
•	תקופת שמירת הנתונים או הקריטריונים לקביעתה;
•	זכויות נושא המידע לעיין, לתקן, למחוק, להגביל או להתנגד לעיבוד;
•	הזכות למשוך הסכמה בכל עת, ללא השפעה על עיבוד שנעשה בעבר כדין;
•	הזכות להגיש תלונה לחברה או לרשות פיקוח;
•	האם מסירת הנתונים מהווה חובה חוקית או חוזית והשלכות סירוב למסור אותם;
•	קיומו של עיבוד אוטומטי או פרופילינג ומשמעותו האפשרית עבור נושא המידע.
4.2 לכל אדם שהנתונים האישיים שלו נשמרים בידי החברה — לרבות עובדים, מועמדים, ספקים, לקוחות ושותפים עסקיים — קיימת הזכות לבקש גישה למידע זה ולברר את מטרות העיבוד.
4.3 החברה מתחייבת לתקן ללא דיחוי כל נתון אישי שגוי לפי בקשת נושא המידע.
4.4 נושא המידע רשאי לדרוש את מחיקת נתוניו ("הזכות להישכח"), והחברה תמחקם מיד, אלא אם קיימת חובה חוקית לשמרם לתקופה מוגדרת לפי דין.
4.5 במקרים המתאימים, נושא המידע רשאי לבקש הגבלת עיבוד של נתוניו האישיים.
4.6 נושא המידע זכאי לקבל את נתוניו האישיים בפורמט ממוחשב, קריא ובר-העברה לגורם אחר לפי בקשתו ("ניידות מידע").
4.7 נושא המידע רשאי להתנגד לעיבוד נתוניו אם העיבוד מבוסס על אינטרס לגיטימי של החברה, לרבות עיבוד לצורכי פרופילינג.
4.8 החברה מתחייבת להשיב לכל בקשה הנוגעת למימוש זכויות אלה תוך 30 יום ממועד קבלתה.
________________________________________
5. אמצעי הגנה על נתונים
5.1 החברה תפתח את מוצריה, שירותיה ופתרונותיה הטכנולוגיים כך שיעמדו בעקרונות הגנת פרטיות בעיצוב (Privacy by Design) ו־הגנת פרטיות כברירת מחדל (Privacy by Default).
5.2 כבר בשלב התכנון, יושם דגש על צמצום נתונים, אנונימיזציה, בקרת גישה והטמעת אמצעים טכניים וארגוניים שיבטיחו את הגנת הפרטיות.
5.3 החברה תתחשב באופי העיבוד, בהיקפו, במטרותיו וברמת הסיכון לזכויות הפרט, ותיישם את כל האמצעים הנדרשים למניעת גישה בלתי מורשית, אובדן, שינוי או פגיעה בנתונים.
5.4 ברירת המחדל של מערכות החברה תהיה לעבד רק את הנתונים ההכרחיים למטרה הספציפית לשמה נאספו.
הגישה לנתונים תינתן אך ורק לאחר בחינה ואישור מפורש.
________________________________________
6. שלבי עיבוד הנתונים האישיים
6.1 החברה משמשת כגורם מפקח על עיבוד הנתונים האישיים ומתחייבת לשמור על סודיות מלאה לאורך כל תהליך העיבוד.
6.2 החברה תנהל רישום מפורט הכולל:
•	שם ופרטי קשר של החברה;
•	מטרות העיבוד;
•	תיאור סוגי הנתונים ונושאי המידע;
•	זהות הנמענים להם נמסרו או יימסרו הנתונים, לרבות במדינות אחרות;
•	פרטים על העברות נתונים בינלאומיות וההגנות הננקטות;
•	מועדים למחיקת נתונים בהתאם לסוגם;
•	תיאור כללי של האמצעים הארגוניים והטכניים להגנת מידע.
6.3 רישומי העיבוד יועמדו לרשות רשויות הפיקוח על פי דרישה.
________________________________________
7. מחיקת נתונים אישיים
7.1 החברה תמחק נתונים אישיים כאשר לא קיימת עוד עילה חוקית לעיבודם או לשמירתם.
7.2 מדיניות שמירת הנתונים של החברה מגדירה את תקופות השמירה לכל סוג מידע.
7.3 לקוחות, מועמדים ולקוחות פוטנציאליים רשאים, עם סיום ההתקשרות עמם, לדרוש מחיקה מלאה או אנונימיזציה של פרטיהם.
7.4 לפני תחילת שיתוף פעולה, החברה תוודא עמידה בדרישות ההגנה על נתוני הלקוחות בהתאם לחוקים פיננסיים, תקנות חשבונאיות וסטנדרטים של הגנת הצרכן.
7.5 הנתונים יימחקו אם אין בסיס חוקי להמשך שמירתם. הנתונים יישמרו עד חמש שנים לאחר סיום היחסים עם החברה, בהתאם לדרישות הדין.
7.6 נתוני לקוחות פוטנציאליים יימחקו או ייעשו אנונימיים לפי בקשתם, בדרך כלל תוך חודש אחד.
7.7 נתוני לקוחות שגרמו לחברה נזקים כספיים עשויים להישמר לתקופה ארוכה יותר לשם הגנה משפטית או הגשת תביעה.
7.8 עם סיום כל שיתוף פעולה, החברה תבצע מחיקה או אנונימיזציה מלאה של כל הנתונים האישיים הקשורים אליו.
8. סיכונים אפשריים
8.1 אם עיבוד הנתונים האישיים עלול לחשוף את נושאי המידע לרמת סיכון גבוהה, החברה תבצע הערכת השפעת פרטיות (DPIA).
8.1.1 במסגרת הערכת ההשפעה, החברה תבחן את היקף, הקשר, מטרת העיבוד והסיכונים האפשריים לזכויות הפרט, ותיישם אמצעים טכניים וארגוניים מתאימים כדי להבטיח עמידה בדרישות הגנת המידע ותוכל להציג הוכחות לכך.
8.2 האמצעים הטכניים והארגוניים להגנת הנתונים ייבדקו ויעודכנו לפחות אחת לשישה חודשים, כדי לוודא עמידה ברמות האבטחה הנדרשות ובשינויים רגולטוריים.
8.2.1 לצורך הוכחת עמידה בדרישות, גם החברה וגם ספקיה יחויבו לפעול בהתאם לכללי התנהלות תקינים או מנגנוני הסמכה מוכרים.
________________________________________
9. פרופילינג
9.1 במסגרת מדיניות פרטיות זו, המונח "פרופילינג" פירושו תהליך אוטומטי של ניתוח נתונים אישיים לשם הערכת או חיזוי התנהגות עתידית של אדם בהקשר העסקי.
החברה רשאית להשתמש בפרופילינג במקרים הבאים:
•	להערכת כשירות אשראי של לקוחות;
•	למתן מידע מותאם אישית על מוצרים ושירותים שעשויים לעניין את הלקוחות או הלקוחות הפוטנציאליים;
•	לזיהוי ומניעת מקרים אפשריים של הונאה פיננסית או פשיעה כלכלית.
________________________________________
10. דרישות בינלאומיות
10.1 החברה מתחייבת לעמוד בכל הוראות תקנות הגנת הפרטיות של האיחוד האירופי (GDPR) ובחוקי הגנת המידע של המדינות בהן היא פועלת.
10.2 אם הדין המקומי במדינה כלשהי מחייב רמת הגנה גבוהה יותר מזו שהחברה יכולה לספק, החברה תפעל בהתאם לדרישות החוק המקומי.
אם מדיניות החברה או הנחיותיה קפדניות יותר מהדין המקומי — תחול המדיניות הפנימית של החברה.
________________________________________
11. פרטי קשר
11.1 לקוחות או לקוחות פוטנציאליים המעוניינים לשאול שאלות בנוגע למדיניות זו, רשאים לפנות לקצין הגנת המידע של החברה בכתובת הדוא"ל:
support@zionglobal.online
82a James Carter Road, Mildenhall, United Kingdom, IP28 7DE - +447418379098