בקצרה: DPA הוא הסכם משפטי בין בעל מידע ומעבד מידע. קובע תנאים לעיבוד בטוח, סוגי מידע, מיקום שרתים, זכויות נושא וחובות דיווח דליפות. חיוני בהגנת פרטיות.

ההסכם עיבוד מידע ו"מעבד" לעומת "בקר"

בחוק הגנת הפרטיות והנתונים האישיים, התשפ״א-2021, סעיפים 5-6, מופיעות הגדרות של "בקר מידע" (data controller) ו"מעבד מידע" (data processor). בקר היא הגוף (חברה, משרד ממשלה, ארגון בלתי-רווחי) שקבעה את תכניות עיבוד המידע — למשל, מאגר נתונים של חברת שירות סלולארי. מעבד היא גוף שלישי המעבדת מידע בשם הבקר — למשל, חברת ענן (Amazon AWS, Google Cloud) או ספקית זיקוק נתונים (data analytics company).

הסכם עיבוד מידע (Data Processing Agreement, DPA) הוא חוזה משפטי שחייב להיקיים בין בקר לבין מעבד. החוק דורש שהחוזה יכלול סעיפים מפורשים הקובעים את זכויות וחובות כל צד. עדר הסכם כזה, או הסכם לא שלם, יכול להוביל לקנס של עד 500,000 שקל ללא קשר אם היה בעיה פיזית בעיבוד.

בישראל, דוגמה טיפוסית היא סדקה שדורשת שירותי אחסון בענן (cloud storage) לעובדיה וללקוחותיה. לפני שסוד פוקד את Google Drive או Microsoft OneDrive, עליה לחתום DPA עם ספק הענן, או להשתמש בדפי קשר שספק הענן מעניק. אם לא עשתה זאת, היא בוטלה בניסיון עם הרגולטור.

המרכיבים החובה של DPA בדין הישראלי

סעיף 6 לחוק הגנת הפרטיות קובע שה-DPA חייב לכלול את הנושאים הבאים:

תיאור של מטרות וטיבן של עיבוד: ברור מה המעבד יעשה עם הנתונים. לא אפשר לכתוב "אנחנו נעבד מידע" בלבד. צריך לכתוב "אנחנו נשמור נתוני נוסחתות על שרתים, נביצע backup יומי, ונמחק נתונים כשיוסך הוג־כנסון הסדקה ממשלתי".

סוג המידע שינוהל: תעודה זהות, מספר סוציאלי, נתוני בריאות, קבלות מימון. צריך להיות מדויק.

זמן עיבוד: עד כמה זמן המעבד יקיים את המידע. החוק לא דורש משך ספציפי, אך זה צריך להיות מוגדר בחוזה. דוגמה: "מידע יישמר למשך שלוש שנים מתום חוזה, אחרי כן יחוקק".

חובות אבטחה: המעבד צריך לקום צעדים סבירים להגן על הנתונים. צריך לציין: הצפנה, בקרת גישה, firewall, בדיקות חדירה. אם המעבד משתמש בתת-מעבדים (sub-processors — למשל, Amazon משתמשת בספקים לבניית בסיסי נתונים), צריך לציין זאת בחוזה.

זכויות בקרה: הבקר צריכה להיות רשאית לעשות ביקורות אצל המעבד, לבדוק עדים, ולהעביר בקשות שינוי מידע או מחיקה. אם המעבד מסרב, הבקר צריכה להיות רשאית להתפטר מן החוזה ללא קנס.

חובות שמוריות: המעבד לא רשאי להעביר מידע לצדדים שלישיים ללא אישור כתוב מהבקר.

זכויות פרטי: הבקר צריכה להבטיח שהמעבד משחרר למשתמשים את הזכות להוריד את הנתונים שלהם (data portability), ואפילו להחזקה נתוני עצמי (self-delete) אם המעבד לא עובד יותר.

כשלים נפוצים בהסכמי DPA

בתיקיות שנבדקו על ידי פקיד הגנת הנתונים, נמצאו כשלים חוזרים ונשנים:

DPA חסר לגמרי: חברה משתמשת בספק שירותי ענן ללא שום הסכם. זה הכשל הנפוץ ביותר, ובעיקר אצל סטארטאפים קטנים שחושבים "מישהו כבר חתם עם גוגל".

DPA ספציפי לישראל אבל לא מכיל פרטי מחובים: לדוגמה, חברה חתמה DPA עם ספק שרתים בחו״ל, אך לא צוינו היכן בעיקר שרים יסומנו. התוקף של כללים בעניין זה ניתן עדיפות גבוהה בדיני בנק וביטוח.

אין ניהול של תת-מעבדים: המעבד משתמש בספקי טצוטו (sub-contractors), אך הבקר אינה יודעת מיהם. החוק דורש שהבקר תדע בדיוק מי מטפל בנתונים.

דוגמה לטעות סטנדרטית: בקר (סדקה) חתמה DPA עם Microsoft 365, אך ספק טענה "אנחנו משתמשים בתת-קבלנים בארה״ב וחוקי ארה״ב חלים". זה כשל, כי דין ישראלי חייב לחול על כל הנתונים של ישראלים, ללא קשר למקום ההשקעה הפיזי של השרתים.

תבחינים לבדיקת DPA

בעל ארגון צריך לשאול עצמו:

אם התשובה ל"לא" על אחת מאלה, עלי להוציא הסכם שדה תיקון מיד.

תהליך קבלת או שיפור DPA

קודם כל, הבקר צריכה לזהות כל מעבד. זה כוללות יועצים משפטיים, רואי חשבון, ספקי ענן, קבלנים, והנהלה נתונים. אחרי זה, הבקר שואלת כל מעבד "הלו, האם יש לך DPA?".

כמעט תמיד, מעבדים גדולים — כמו Amazon, Microsoft, Google — כבר הגדירו DPA טפטוי (standard template) שניתן להוריד מאתרם. חברות קטנות יותר יתבקשו לחתום על DPA של הבקר עצמה, או לעבוד עם עורך דין כדי לעמוד בדרישות.

עם הוצא DPA, הבקר צריכה לשמור עותקים ברשימה מרכזית (דוגמה: "מאגר מעבדים") וזו צריכה להיות מעודכנת מדי שנה. הפקיד או יועץ משפטי בחברה צריך לבדוק שינויים ב-DPA אם משהו משתנה (למשל, מעבד משנה את תוקף הביטוח שלו).

DPA וחוקים בין-לאומיים (GDPR)

לחברות הפועלות בישראל ובאירופה, יש גם דרישת GDPR (הדרישה של הרגולטור האירופאי). GDPR דורש DPA שנקרא "Standard Contractual Clauses" (SCC). זה שם מפוצה של הסכם שהעצרו בעצמו בנושא להעביר נתונים מאירופה לחוץ לאירופה. ישראל לא נחשבת "מדינת הגנה מספקת" על פי GDPR, אך בעל דוא״ל או מידע יכול לעבור בין-מדינית אם הסכם כזה קיים.

בעלי חברות שיש להן כל בגרות גרמנית או צרפתית צריכים לבדוק שב-DPA שלהם יש SCC. זה סכם ארוך וטכני, אך זה חשוב בעבור credibility בקרב כל טבעות גדולות בחו״ל.

📌 זווית מקצועית — לעורכי דין

הבהרה משפטית: המידע במאמר זה נועד לצרכי מידע כללי בלבד ואינו מהווה ייעוץ משפטי, חוות דעת או תחליף להתייעצות עם עורך דין. כל מקרה ייחודי ויש לבחון אותו לגופו. אין ליישם את המידע ללא ייעוץ משפטי פרטני.