הסכם עיבוד נתונים של QR Code AI

הסכם עיבוד נתונים (DPA)

עודכן לאחרונה ב-2 במרץ 2026

הסכם עיבוד נתונים זה ("DPA") מהווה חלק מתנאי השימוש ("ההסכם") בין Supernovae, חברה הרשומה בצרפת בכתובת 27 Rue Wurtz, Juvisy-sur-Orge 91260, מספר מע"מ FR67948452891 ("המעבד", "אנחנו", "אנו"), לבין הגורם המסכים ל-DPA זה ("הבקר", "אתה"), המכונים יחד "הצדדים".

ה-DPA חל כאשר אנו מעבדים נתונים אישיים בשמך בקשר לשירותי QR Code AI, כולל דרך ה-API.

1. הגדרות

• "נתונים אישיים" משמעם כל מידע הנוגע לאדם טבעי מזוהה או ניתן לזיהוי, כהגדרתו בסעיף 4(1) של ה-GDPR.
• "עיבוד" משמעו כל פעולה או מערכת פעולות המבוצעות על נתונים אישיים, כהגדרתו בסעיף 4(2) של ה-GDPR.
• "נושא הנתונים" משמעו האדם הטבעי המזוהה או הניתן לזיהוי שאליו מתייחסים הנתונים האישיים.
• "מעבד משנה" משמעו כל צד שלישי שהמעבד מעסיק לעיבוד נתונים אישיים בשם הבקר.
• "GDPR" משמעו תקנה (EU) 2016/679 של הפרלמנט האירופי והמועצה.
• "UK GDPR" משמעו ה-GDPR כפי שהוטמע בחוק בריטי על ידי חוק הגנת הנתונים 2018.
• "SCCs" משמען סעיפים חוזיים סטנדרטיים שאושרו על ידי הנציבות האירופית להעברת נתונים אישיים למדינות שלישיות.
• "פרצת נתונים" משמעה הפרת אבטחה המובילה להרס מקרי או בלתי חוקי, אובדן, שינוי, חשיפה בלתי מורשית של, או גישה לנתונים אישיים.

2. היקף ותפקידים

2.1 בקר ומעבד

לצורכי DPA זה:

• אתה (הבקר): אתה קובע את מטרות ואמצעי עיבוד הנתונים האישיים כאשר אתה משתמש בשירותים שלנו, במיוחד כאשר אתה משתמש ב-API שלנו ליצירת קודי QR עבור לקוחותיך שלך או משלב את השירותים שלנו במוצריך.
• אנחנו (המעבד): אנו מעבדים נתונים אישיים בשמך בהתאם להוראותיך, כמתואר ב-DPA זה ובהסכם.

2.2 מתי ה-DPA חל

ה-DPA חל כאשר:

• אתה משתמש ב-API של QR Code AI ליצירת קודי QR המעבדים נתונים של משתמשי הקצה שלך (לדוגמה, כתובות URL המכילות מידע אישי, נתוני vCard, פרטי קשר מקודדים בקודי QR).
• אתה משתמש בתכונות המעקב והאנליטיקס של QR Code AI שאוספות נתוני סריקה ממשתמשי הקצה שלך.
• כל תרחיש אחר שבו אנו מעבדים נתונים אישיים בשמך כמעבד נתונים.

כאשר אתה משתמש ב-QR Code AI כמשתמש פרטי למטרותיך שלך, אנו פועלים כבקר נתונים עצמאי ומדיניות הפרטיות שלנו חלה על עיבוד הנתונים.

3. פרטי עיבוד הנתונים

3.1 נושא ומשך

אנו מעבדים נתונים אישיים לאורך תקופת ההסכם כדי לספק את שירותי QR Code AI, כולל יצירת קוד QR, מעקב, אנליטיקס ופונקציונליות קשורה.

3.2 אופי ומטרת העיבוד

• יצירת קודי QR על בסיס נתוני קלט שסיפק הבקר
• מעקב אחר סריקות קוד QR ואיסוף נתוני אנליטיקס
• אחסון תצורות קוד QR ומטא-נתונים משויכים
• עיבוד בקשות לקוד QR אמנותי שנוצר בבינה מלאכותית
• מתן דוחות ולוחות מחוונים של אנליטיקס

3.3 סוגי נתונים אישיים

סוגי הנתונים האישיים המעובדים עשויים לכלול:

• פרטי קשר (שמות, כתובות אימייל, מספרי טלפון) מקודדים בקודי QR
• כתובות URL וכתובות אינטרנט
• נתוני מיקום מסריקות קוד QR
• מידע על מכשיר וכתובות IP מסריקות קוד QR
• הנחיות טקסט ותמונות שסופקו ליצירת קוד QR בבינה מלאכותית
• כל נתון אחר שהבקר בוחר לקודד בקודי QR

3.4 קטגוריות של נושאי נתונים

• משתמשי קצה הסורקים קודי QR שנוצרו על ידי הבקר
• אנשים שפרטי הקשר שלהם מקודדים בקודי QR
• משתמשי המוצרים או השירותים של הבקר המתקשרים עם קודי QR

4. חובות המעבד

4.1 הוראות עיבוד

אנו נעבד נתונים אישיים רק על פי הוראותיך המתועדות, אלא אם נדרש לעשות כן על פי חוק האיחוד האירופי או חוק מדינת חבר שחל עלינו. במקרה כזה, נודיע לך על הדרישה החוקית לפני העיבוד, אלא אם החוק אוסר על מסירת מידע כזה מטעמי אינטרס ציבורי חשוב.

4.2 סודיות

אנו מבטיחים שאנשים המורשים לעבד נתונים אישיים התחייבו לסודיות או כפופים לחובת סודיות סטטוטורית מתאימה.

4.3 אמצעי אבטחה

אנו מיישמים אמצעים טכניים וארגוניים מתאימים כדי להבטיח רמת אבטחה המתאימה לסיכון, כולל:

• הצפנת נתונים אישיים בזמן העברה (TLS/HTTPS) ובמנוחה
• בקרות גישה ואימות מבוסס תפקידים למערכות פנימיות
• הערכות אבטחה סדירות וסריקת פגיעויות
• תשתית המתארחת אצל ספקים בעלי אישור ISO 27001
• הגנת DDoS וחומת אש לאפליקציות אינטרנט (Cloudflare)
• גיבויים סדירים עם אחסון מוצפן
• רישום ומעקב אחר גישה לנתונים אישיים

4.4 מעבדי משנה

אנו משתמשים במעבדי המשנה המפורטים בדף מעבדי המשנה שלנו. נודיע לך על כל שינוי מתוכנן במעבדי המשנה על ידי עדכון אותו דף. תוכל להתנגד למעבד משנה חדש על ידי פנייה אלינו בכתובת [email protected] תוך 30 יום מהעדכון. אם תתנגד ולא נוכל להתאים את עצמנו להתנגדותך באופן סביר, כל אחד מהצדדים רשאי לסיים את החלק המושפע של השירותים.

אנו כורתים הסכמים בכתב עם כל מעבדי המשנה המטילים חובות הגנת נתונים שאינן פחות מגנות מאלה שב-DPA זה.

4.5 זכויות נושאי נתונים

נסייע לך במענה לבקשות מנושאי נתונים המממשים את זכויותיהם לפי חוק הגנת הנתונים החל (גישה, תיקון, מחיקה, הגבלה, ניידות, התנגדות). אם נקבל בקשה ישירות מנושא נתונים, נפנה אותו אליך מיידית אלא אם הורית אחרת.

4.6 סיוע בעמידה בדרישות

נסייע לך בהבטחת עמידה בחובותיך לפי סעיפים 32 עד 36 של ה-GDPR, תוך התחשבות באופי העיבוד ובמידע העומד לרשותנו.

5. הודעה על פרצת נתונים

5.1 לוח זמנים להודעה

נודיע לך על פרצת נתונים ללא עיכוב מיותר, ובכל מקרה תוך 72 שעות מרגע שנודע לנו על הפרצה. ההודעה תישלח לכתובת האימייל המשויכת לחשבונך.

5.2 תוכן ההודעה

ההודעה תכלול, במידה שהמידע זמין:

• תיאור אופי פרצת הנתונים, כולל קטגוריות ומספר משוער של נושאי הנתונים והרשומות שנפגעו.
• שם ופרטי קשר של איש הקשר שלנו לענייני הגנת נתונים.
• תיאור ההשלכות הצפויות של פרצת הנתונים.
• תיאור האמצעים שננקטו או המוצעים לטיפול בפרצת הנתונים, כולל אמצעים להפחתת השפעותיה השליליות האפשריות.

5.3 שיתוף פעולה מתמשך

נשתף פעולה איתך ונספק סיוע סביר בחקירה, הפחתה ותיקון של כל פרצת נתונים, ובהגשת כל הודעות לרשויות פיקוח או לנושאי נתונים שאתה נדרש לבצע.

6. העברות נתונים בינלאומיות

6.1 מיקום הנתונים

נתונים אישיים מאוחסנים ומעובדים בעיקר באיחוד האירופי:

• צרפת (EU) דרך Scaleway
• הולנד (EU) דרך DigitalOcean

6.2 העברות מחוץ ל-EU/EEA

חלק ממעבדי המשנה שלנו ממוקמים מחוץ ל-EU/EEA, בעיקר בארצות הברית. להעברות אלה, אנו מסתמכים על:

• מסגרת פרטיות הנתונים EU-US: במקרים הרלוונטיים, להעברות לספקים מבוססי ארה"ב המאושרים במסגרת זו.
• סעיפים חוזיים סטנדרטיים (SCCs): אנו משלבים את ה-SCCs שאושרו על ידי הנציבות האירופית (החלטת יישום הנציבות (EU) 2021/914) בהסכמים שלנו עם מעבדי משנה הממוקמים מחוץ ל-EU/EEA שבהם מסגרת פרטיות הנתונים אינה חלה.

6.3 הערכת השפעת העברה

אנו מבצעים הערכות השפעת העברה להעברות למדינות שלישיות ומיישמים אמצעים משלימים במידת הצורך כדי להבטיח רמת הגנת נתונים נאותה.

7. ביקורות ובדיקות

7.1 זכויות ביקורת

יש לך זכות לבקר את עמידתנו ב-DPA זה. נעמיד לרשותך את כל המידע הדרוש להוכחת עמידה בדרישות ונאפשר ביקורות, כולל בדיקות, שתבצע אתה או מבקר שמינית.

7.2 תהליך הביקורת

ביקורות כפופות לתנאים הבאים:

• עליך לספק הודעה בכתב של לפחות 30 יום לפני כל ביקורת.
• ניתן לבצע ביקורות לא יותר מפעם אחת בשנה, אלא אם נדרש על ידי רשות פיקוח או בעקבות פרצת נתונים.
• ביקורות חייבות להתבצע בשעות עסקים רגילות ואסור שיפריעו באופן בלתי סביר לפעילותנו.
• אתה אחראי לעלויות כל ביקורת, אלא אם הביקורת חושפת הפרה מהותית של DPA זה.
• מידע סודי של לקוחותינו האחרים אסור שייחשף במהלך הביקורת.

8. שמירת נתונים ומחיקה

8.1 במהלך ההסכם

אנו שומרים נתונים אישיים לאורך תקופת ההסכם במידה הנדרשת לאספקת השירותים.

8.2 עם סיום ההסכם

עם סיום ההסכם או לפי בקשתך בכתב:

• נמחק נתונים אישיים מהמערכות הפעילות שלנו תוך 30 יום.
• נתונים אישיים בארכיוני גיבוי יימחקו תוך 6 חודשים.
• אנו רשאים לשמור נתונים אישיים במידה הנדרשת על פי חוק החל (לדוגמה, חובות מס וחשבונאות), ובמקרה כזה נבודד ונגן על נתונים אלה ונגביל את העיבוד הנוסף למה שנדרש על פי חוק.

8.3 אישור

לפי בקשתך, נספק אישור בכתב שהנתונים האישיים נמחקו בהתאם לסעיף זה.

9. אחריות

אחריותו של כל צד לפי DPA זה כפופה למגבלות האחריות המפורטות בהסכם. אין בDPA זה כדי להגביל את אחריות מי מהצדדים כלפי נושאי נתונים או רשויות פיקוח לפי חוק הגנת הנתונים החל.

10. הדין החל

DPA זה כפוף לחוקי צרפת. לגבי נושאי נתונים באיחוד האירופי, חל ה-GDPR. לגבי נושאי נתונים בבריטניה, חל ה-UK GDPR. כל מחלוקת הנובעת מ-DPA זה תיושב בהתאם להוראות יישוב הסכסוכים שבהסכם.

11. כיצד לחתום על DPA זה

DPA זה משולב ומהווה חלק מתנאי השימוש. על ידי שימוש בשירותי QR Code AI, אתה מסכים ל-DPA זה.

אם אתה זקוק לעותק חתום בנפרד של DPA זה לרשומותיך, פנה אלינו בכתובת [email protected] ונספק אותו תוך 10 ימי עסקים.

12. יצירת קשר

לשאלות בנוגע ל-DPA זה או לנוהלי עיבוד הנתונים שלנו:

Supernovae 27 Rue Wurtz Juvisy-sur-Orge, Ile-de-France 91260 France [email protected]