הסכם עיבוד נתונים
עדכון אחרון: מרץ 2026
1. מבוא
הסכם עיבוד נתונים זה (“ההסכם”) מהווה חלק מתנאי השימוש בין A.M.T.H DIGITAL LTD (“המעבד”, “WebGPT”) לבין הישות או הפרט המקבלים תנאים אלה (“הבקר”, “הלקוח”).
הסכם זה חל כאשר WebGPT מעבדת נתונים אישיים בשם הלקוח במסגרת מתן השירות באתר webgpt.com, בהתאם לתקנה (EU) 2016/679 (התקנה הכללית להגנת מידע, “GDPR”) ולחוקי הגנת מידע רלוונטיים אחרים.
2. הגדרות
- נתונים אישיים: כל מידע הנוגע לאדם טבעי מזוהה או ניתן לזיהוי, כמוגדר בסעיף 4(1) של ה-GDPR.
- עיבוד: כל פעולה המבוצעת על נתונים אישיים, לרבות איסוף, אחסון, אחזור, שימוש, העברה, מחיקה או השמדה.
- נושא מידע: האדם הטבעי המזוהה או הניתן לזיהוי שאליו מתייחסים הנתונים האישיים.
- מעבד-משנה: צד שלישי שהמעבד מעסיק לעיבוד נתונים אישיים בשם הבקר.
- השירות: פלטפורמת ניהול התוכן המבוססת בינה מלאכותית המופעלת באתר webgpt.com.
3. היקף ומטרת העיבוד
3.1 קטגוריות נושאי מידע
- עובדי הלקוח ומשתמשים מורשים
- משתמשי קצה של צ׳אטבוטים ותוכן שפורסם על ידי הלקוח
- אנשים שהנתונים שלהם מופיעים בתוכן שהועלה על ידי הלקוח
3.2 סוגי נתונים אישיים מעובדים
- פרטי חשבון (דוא״ל, שם, שם משתמש)
- נתוני תוכן (מאמרים, הנחיות, שיחות AI, תצורות צ׳אטבוט)
- מסמכי בסיס ידע RAG והטמעות
- נתונים טכניים (כתובות IP, מידע מכשיר, נתוני הפעלה)
- מידע חיוב (מעובד דרך מעבד תשלומים צד שלישי)
- אישורי אינטגרציה (מפתחות API מוצפנים, אסימוני OAuth)
3.3 מטרת העיבוד
נתונים אישיים מעובדים אך ורק לצורך מתן השירות, לרבות: יצירת תוכן AI, הפעלת צ׳אטבוטים, פרסום תוכן לפלטפורמות מחוברות, ניתוח חיפוש, מעקב שימוש וניהול חשבון.
4. חובות המעבד
WebGPT תפעל כדלקמן:
- תעבד נתונים אישיים רק על פי הוראות מתועדות מהבקר, אלא אם נדרש על פי חוק
- תבטיח שאנשים המורשים לעבד נתונים אישיים התחייבו לסודיות
- תיישם אמצעים טכניים וארגוניים מתאימים להבטחת רמת אבטחה המתאימה לסיכון
- תסייע לבקר במילוי חובות מענה לבקשות נושאי מידע
- תסייע לבקר בהבטחת עמידה בחובות הודעה על הפרה, הערכות השפעה והתייעצות מוקדמת
- לבחירת הבקר, תמחק או תחזיר את כל הנתונים האישיים עם סיום השירות
- תעמיד לרשות כל מידע נדרש להוכחת עמידה ותאפשר ביקורות
5. אמצעי אבטחה
WebGPT מיישמת את אמצעי האבטחה הבאים:
- הצפנה במנוחה: כל מפתחות ה-API מוצפנים באמצעות AES-256-GCM
- הצפנה בהעברה: כל הנתונים מועברים באמצעות TLS/SSL
- אבטחת סיסמאות: סיסמאות מגובבות באמצעות bcrypt
- בקרת גישה: גישה מבוססת תפקידים, בידוד חשבונות, ניהול הפעלות עם אימות מכשיר
- הגנת CSRF: אימות אסימון CSRF על כל בקשות שינוי מצב
- הגבלת קצב: הגבלת קצב בקשות לכל משתמש ותכונה
- אבטחת הפעלה: טביעת אצבע מכשיר, ניהול הפעלות מקבילות, פקיעה אוטומטית
- אבטחת מסד נתונים: MongoDB Atlas עם בקרות גישה וחיבורים מוצפנים
6. מעבדי משנה
הבקר מאשר את השימוש במעבדי המשנה הבאים. WebGPT תודיע לבקר לפני הוספה או החלפה של מעבדי משנה.
| מעבד משנה | מטרה | נתונים מעובדים | מיקום |
|---|---|---|---|
| MongoDB Atlas | אירוח מסד נתונים | כל נתוני האפליקציה | ענן |
| OpenAI | יצירת טקסט AI, הטמעות, OCR | הנחיות, תוכן, מסמכים | ארה״ב |
| Anthropic | יצירת טקסט AI (Claude) | הנחיות, תוכן | ארה״ב |
| Google Cloud | AI (Gemini), OCR | הנחיות, תוכן, מסמכים | ארה״ב / EU |
| DeepSeek | יצירת טקסט AI | הנחיות, תוכן | סין |
| xAI | יצירת טקסט AI (Grok) | הנחיות, תוכן | ארה״ב |
| Mistral AI | יצירת טקסט AI | הנחיות, תוכן | EU (צרפת) |
| Amazon Web Services | OCR (Textract) | מסמכים | ארה״ב |
| Tranzila | עיבוד תשלומים | נתוני כרטיס, פרטי חיוב | ישראל |
| GreenInvoice | הפקת חשבוניות | פרטי חשבונית | ישראל |
| Cloudflare | CDN, DNS, הגנה | נתוני דומיין, תנועה | גלובלי |
| Google Workspace | משלוח דוא״ל (SMTP) | כתובות דוא״ל, תוכן | גלובלי |
| DataForSEO | נתוני מנועי חיפוש | שאילתות חיפוש | ארה״ב |
| Pexels, Pixabay, Unsplash | חיפוש תמונות | שאילתות חיפוש | גלובלי |
| Bright Data | שירותי פרוקסי | בקשות HTTP | גלובלי |
אינטגרציות שהופעלו על ידי הלקוח (WordPress, Telegram, X/Twitter, Facebook, Blogger, WordPress.com, Google Analytics) כפופות ליחסי הלקוח עם שירותים אלה.
7. העברות נתונים בינלאומיות
כאשר נתונים אישיים מועברים מחוץ ל-EEA, WebGPT מבטיחה אמצעי הגנה מתאימים:
- העברות למדינות עם החלטת התאמה של EU מתבצעות על בסיס זה
- העברות למדינות אחרות מתבססות על סעיפים חוזיים סטנדרטיים (SCCs)
- ספקי AI בארה״ב מעבדים נתונים במסגרת EU-U.S. Data Privacy Framework במידת האפשר
הלקוח מאשר שאופי שירותי ה-AI מחייב העברת הנחיות ותוכן לספקי AI בתחומי שיפוט שונים.
8. הודעה על הפרת נתונים
במקרה של הפרת נתונים אישיים, WebGPT:
- תודיע לבקר ללא דיחוי ולא יאוחר מ-48 שעות
- תספק מידע על אופי ההפרה, נושאי מידע שנפגעו, השלכות צפויות ואמצעי טיפול
- תשתף פעולה בחקירה, הפחתה ותיקון ההפרה
- תתעד את כל ההפרות
9. זכויות נושאי מידע
WebGPT תסייע לבקר במענה לבקשות נושאי מידע על פי GDPR:
- זכות גישה (סעיף 15) — בקשת עותק של נתונים אישיים
- זכות תיקון (סעיף 16) — תיקון נתונים לא מדויקים
- זכות מחיקה (סעיף 17) — מחיקת נתונים אישיים
- זכות הגבלה (סעיף 18) — הגבלת עיבוד
- זכות ניידות (סעיף 20) — קבלת נתונים בפורמט מובנה
- זכות התנגדות (סעיף 21) — התנגדות לעיבוד
השירות מספק ניהול חשבון בשירות עצמי כולל עריכת פרופיל ומחיקת חשבון. ניתן להגיש בקשות גם דרך טופס יצירת הקשר.
10. שמירת נתונים ומחיקה
נתונים אישיים נשמרים בהתאם ללוח הזמנים הבא:
- יומני שימוש: 90 ימים
- רשומות חיוב: 7 שנים (דרישה חוקית)
- תוכן: עד למחיקה על ידי הלקוח
- נתוני חשבון: עד למחיקת החשבון
- יומני שרת: 90 ימים
עם סיום השירות או לפי בקשה בכתב, WebGPT תמחק את כל הנתונים תוך 30 ימים, למעט מקרים בהם שמירה נדרשת על פי חוק.
11. זכויות ביקורת
הבקר רשאי, בהודעה סבירה מראש ולא יותר מפעם בשנה, לערוך ביקורת לאימות עמידה בהסכם זה. WebGPT תשתף פעולה ותעמיד תיעוד רלוונטי לרשות.
12. אחריות
אחריות כל צד כפופה למגבלות המפורטות בתנאי השימוש. אין בהסכם זה כדי להגביל אחריות להפרות הגנת מידע שלא ניתן להגבילן על פי חוק.
13. תוקף וסיום
הסכם זה בתוקף למשך השימוש בשירות. חובות הגנת הנתונים ישרדו את סיום ההסכם. עם סיום יחולו הוראות סעיף 10.
14. יצירת קשר
לשאלות או למימוש זכויות:
- ישות: A.M.T.H DIGITAL LTD
- דוא״ל: [email protected]
- כתובת: מבצע חורב 9, פתח תקווה 2806352, ישראל