כללי
iForms מכבדת את פרטיות הלקוחות ומחויבת להגן על המידע האישי שנמסר על ידם ונשמר אצלה.
מומלץ לקרוא מסמך מדיניות זה במלואו, ובמידה שמתעוררת שאלה – ניתן ליצור קשר בכתובת הדוא"ל: [email protected] או בטלפון: 077-6048515.
המדיניות עשויה להשתנות בהתאם לדינמיות של הטכנולוגיה ופעילות החברה. במידה ונשנה באופן מהותי את אופן השימוש או השיתוף במידע האישי שנאסף מהלקוח במסגרת שרותינו, יפורסם הדבר באתר ובהפצה בדוא"ל לכל לקוחותנו.
תשתית ופעולת המערכות
החברה עושה שימוש בשרתים וירטואליים המתארחים בחוות מחשבים של ספקים בישראל ו/או באירופה, המספקת, בין היתר:
קבצים נלווים ל-Data, בפורמט ויזואלי - PDF או אחר - אלה נשמרים בשרת S3 של חברת Amazon באירלנד - בעל שרידות של 99.9% בנפח אחסון שנרכש מהספק AWS Hybrid Cloud Solutions, אשר הגישה אליו מוגבלת.
ניתן להגביל את הגישה לקבצים אך ורק לרשימה בלעדית וסגורה של כתובות IP בחברה.
ספק זה עומד בתקנים מחמירים של אבטחת מידע - PCI-DSS, HIPAA/HITECH, FedRAMP תקנות הגנת המידע של האיחוד האירופי (GDPR) ו- FISMA, ומאפשר לחברה וללקוחות להיענות לדרישות הרגולציה החלות. כמו כן, הספק תומך במספר יכולות ביקורת לפיקוח על בקשות הגישה למשאבי ה-S3 של החברה.
פרטים נוספים ראה באתר האינטרנט של AWS, ביחס לניהול הגישה למידע ואבטחתו בכתובת: https://aws.amazon.com/s3/features/#Access_management_and_security, וביחס לציות AWS בכתובת: https://aws.amazon.com/compliance.
איסוף מידע מלקוחות
החברה עשויה לאסוף ולקבל מידע אודות הלקוח בשירות ממקורות שונים לצורך מתן שרות יעיל ואיכותי, למטרות הבאות:
בנוסף, עשוי להיאסף מידע עקיף במהלך השימוש בשירותינו באופן אוטומטי, המאפשר לשרתי החברה זיהוי/אימות הלקוח/לקוח המסוים והעדפותיו:
החברה מספקת ללקוחותיה פלטפורמה ממוחשבת תפעולית ומובהר בזאת כי אינה מודעת, ואף לא חייבת להיות מודעת, לתוכן או לסוג המידע שהלקוח מזין - מידע זה עשוי להיחשב אישי או רגיש, ע"פ הגדרות החוק להגנת הפרטיות, תשמ"א-1981 (להלן - החוק) ו/או תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 (להלן – התקנות), וכולל, בין היתר, מידע ישיר שלקוח מספק דרך חשבונו בעת הרישום – לרבות שם, מספר זיהוי, כתובת, טלפון/פקס, דוא"ל, כרטיס אשראי/פרטי בנק. כמו כן, נתוני תוכן ארגוני הנמסר לעיבוד/אחסון אצלנו במסגרת הסכם השירות, בהסכמה מודעת מראש.
החברה מסתמכת על כך שפעולות הלקוח הן כדין ובהרשאה מלאה כדין, והלקוח מסכים בחתימה על הסכם השירות עמה שהיא אינה אחראית בשום צורה לשימוש לרעה העלול להיעשות בפלטפורמה שהיא מספקת ללקוח. במידה שלקוח המשתמש בשירותי החברה אוסף או מעבד נתונים אישיים עליו לפעול בכפוף להוראות החוק והתקנות, למען הסר ספק - הלקוח יהיה אחראי לאיסוף כחוק של המידע שבבעלותו, העיבוד והשימוש בו ולדיוק הנתונים האישיים, כמו גם לשמירת זכויותיהם של האנשים הנוגעים בדבר, כמפורט להלן:
- בקרת הרשאות הגישה למערכות המאגרים המכילים נתונים אישיים.
- אנונימיזציה והצפנה של נתונים פרטניים – כדי למנוע זיהוי או חשיפה של מידע רגיש אודות
אנשים הכלולים במאגר.
- הבטחת סודיות, שלמות, זמינות והמשכיות/שרידות מערכות ושירותי עיבוד ואחסון.
- שחזור זמינות מערכות המידע והגישה לנתונים אישיים בטווח זמן רצוי/נאות במקרה של כשל פיזי/טכני.
- מנגנון ארגוני מתמשך/תקופתי לביקורת והערכת יעילותם של האמצעים הטכניים והארגוניים.
במידה והלקוח מוסר פרטים של אדם אחר בשמו או מטעמו - מחובתו ליידע את האחר מראש על מסירת הפרטים לחברה, ולקבל את הסכמתו לכך שהמידע אודותיו ישמר במאגריה בהתאם למדיניות פרטיות זו.
למען הסר ספק - החברה לא תסחר במידע של הלקוחות ולא תעבירו לצד שלישי ללא ידיעתם ואישורם מראש, ואיסופו מותנה בכך שישמש למטרות תפעוליות הנחוצות למתן שירות מיטבי.
העברת מידע לצד ג' בארץ/חו"ל
מידע המתקבל מלקוח עשוי להיות מועבר אל גורם שלישי, כאשר הדבר מותר מבחינה חוקית – חלק מהלקוחות בענן מהווים חשבון צד ג' שהחברה עשויה לקשר במידת הצורך ובאופן זמני אל ספק האירוח לעיבוד/אחסון שלה, וכן החברה עשויה לשתף מידע מצטבר על שימוש ולקוח עם ספק באופן מותמם (שלא ניתן באמצעותו באופן סביר לזהות את הלקוח).
יובהר כי החברה רשאית באופן חוקי לגלות מידע ו/או להעביר בדרך אחרת לכל רוכש, יורש או זוכה פוטנציאלי, במסגרת כל הצעה למיזוג, רכישה, מימון חוב, מכירת נכסים, או עסקה דומה. כמו כן, הדבר ניתן במקרה של חדלות פירעון, פשיטת רגל או כינוס בו מידע מועבר לרשויות מוסמכות ו/או צדדים שלישיים והלאה, במקרה שהמדובר באחד מהנכסים העסקיים.
בכפוף לחובה חוקית של גילוי מידע, אנו עשויים גם לשתף מידע בנוסף:
אבטחת המידע
החברה מחויבת להגן על מידע של הלקוח/לקוח, ונוקטת לשם כך במגוון טכנולוגיות ואמצעי אבטחה שנועדו להגן על מערכותיה מפני גישה, שימוש או חשיפה בלתי מורשים – הללו נועדו לספק רמת אבטחה סבירה בהתאם לסיכון המוערך בעיבוד/אחסון המידע האישי שלך, אך יודגש, כי לא ניתן להבטיח באינטרנט רמת בטחון של 100%.
להלן האמצעים העיקריים שנוקטת החברה במערכותיה, לאבטחת המידע במאגריה:
אחסון ושמירת נתונים מן הלקוחות
יובהר בזאת כי הלקוח הוא בעל המאגר והמידע בו – עם זאת, החברה שומרת מידע אישי הנאסף מן הלקוח/לקוח כאשר קיים צורך עסקי לגיטימי ומתמשך לעשות זאת, למשל כדי לספק לו שירות מבוקש או לעמוד בדרישות חוק, מיסוי או חשבונאות החלים.
כאשר אין עוד צורך בשמירת המידע האישי כאמור החברה תאחסן אותו באופן מאובטח ומבודד מכך עיבוד נוסף עד למחיקה אפשרית, כמפורט:
זיהוי ואימות גישת המשתמש
לקוח רשום יכול לגשת למידע מסוים המשויך לחשבונו ע"י כניסה לשירותי החברה במערכת באמצעות שם משתמש וסיסמה (לא במנגנון 2 Factor Authentication) - כדי להגן על פרטיותו וביטחונו, אנו עשויים לנקוט בצעדים סבירים כדי לאמת את זהותו בטרם ישנה או יסיר נתונים בגדר המידע שלו.
מעל האמור, המידע שנמסר לחברה עשוי להישמר בארכיון או באחסון מעת לעת ע"פ תהליכי גיבוי המתנהלים במהלך העסקים הרגיל למטרות המשכיות עסקית והתאוששות מאסון – מובהר ומוסכם בזאת, כי היכולת לגשת אל המידע עשויה להיות מוגבלת באופן זמני מפאת תקלה טכנית במערכות החברה, ועשויה לעכב את יכולת החברה אף לעמוד בהתחייבות משפטית.
גיבויים
ספקי החברה מבצעים גיבוי נתונים מלא אחת לשבוע.
בנוסף, בשרת פיזי בהנהלת החברה מבוצע גיבוי יומי של כלל נתוני המערכות לקובץ, אשר מגובה בעצמו אחת לשבוע אל דיסק קשיח חיצוני אשר נשמר בכספת במיקום אחר - אחת לשבוע מבוצע בחברה תרגול של שיחזור הנתונים.
זכויות הגנת נתוני המידע בתקנה הכללית להגנת מידע של האיחוד האירופי (GDPR)
אם ברצון לקוח לצפות, לתקן, לעדכן או לבקש מחיקה של המידע האישי שלך – הוא זכאי לפנות לחברה בכל עת, באמצעות הדוא"ל: [email protected].
בנוסף, לקוח רשאי להתנגד לעיבוד המידע האישי שלו, לבקש מהחברה להגביל את עיבוד המידע האישי שלך, או לבקש ניוד של המידע האישי שלו – וניתן לממש זאת באמצעות משלוח דוא"ל אל: [email protected].
זכותו של הלקוח לבטל את הסכמתו לתקשורת שיווקית שהחברה שולחת אליו בכל עת, ויכול לממש זכות זו ע"י לחיצה על קישור "ביטול הרשמה"/"ביטול הסכמה" בגוף הודעות הדוא"ל השיווקיות שהוא מקבל, וכן באמצעות פניה לדוא"ל: [email protected].
באופן דומה, גם אם החברה אוספת ו/או מעבדת מידע אישי של לקוח בהסכמתו, הוא רשאי לחזור בו ממנה בכל עת – הדבר לא ישפיע על החוקיות של כל עיבוד שהחברה ביצעה לפני ביטול ההסכמה, וגם לא תשפיע על עיבוד מידע אישי שלו שבוצע בהסתמך על עילות עיבוד כדין שאינן הסכמה.
לקוח הסבור שנפגעו זכויותיו, זכאי להתלונן בפני רשות להגנת פרטיות בדבר איסוף המידע האישי שלו והשימוש שנעשה בו.
מידע נוסף ראה באתר הנציבות האירופית, בכתובת: https://ec.europa.eu/info/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules/eu-data-protection-rules_en.
העדפות פרטיות אישיות
לקוח יכול להשתמש בחלק מתכונות השירותים של החברה מבלי להירשם, ובכך להגביל את סוג המידע האישי שעשוי להיאסף אודותיו.
לדפדפנים רבים יש אפשרות להשבית את ה-cookies – הדבר עלול למנוע קבלת cookies חדשים, או לאפשר שימוש סלקטיבי ב-cookies. יצוין, כי במידה שתבחר בכך יתכן שתכונות מסוימות וההתאמה האישית של שירותי החברה לא יפעלו עבור. כמו כן, הלקוח עשוי להמשיך לקבל חומר פרסומי אך הוא לא יהיה מותאם לצרכיו.
פרטיות ילדים
החברה אינה אוספת ביודעין מידע מילדים מתחת לגיל 13, אשר עליהם נאסר להשתמש בשירותיה.
אם נודע ללקוח כי ילד סיפק לחברה מידע אישי תוך הפרה של מדיניות פרטיות זו – עליו להתריע בדוא"ל לכתובת: [email protected].
העברות נתונים בינלאומיות
החברה היא עסק בינלאומי, ומידע אישי אשר מתקבל מהלקוח עשוי להיות מועבר למדינות אחרות, מלבד המקום בו נאסף במקור - יתכן כי במדינות אלה לא יחולו אותם חוקים להגנת נתונים כמו המדינה בה נמסרו בתחילה, אולם כאשר החברה תעביר מידע אישי של הלקוח למדינות אחרות היא מחויבת להגן עליו כמתואר במדיניות פרטיות זו.
העברת מידע בין האיחוד האירופי-ארה"ב ושוויץ-ארה"ב – תכנית מגן הפרטיות
עבור נתונים אישיים המתקבלים מן האיחוד האירופי ו/או שוויץ, החברה אישרה את התאמתם במסגרת תכנית Privacy Shield - כפי שנקבעה ע"י משרד המסחר של ארה"ב ביחס לאיסוף, שימוש ושמירה של נתונים אישיים ממדינות אלה. למידע נוסף על הסמכת החברה רשימה מפורסמת, בכתובת: https://www.privacyshield.gov.
לכל שאלה, ניתן ליצור קשר, בכתובת הדוא"ל: [email protected] או בטלפון: 077-6048515.