בקצרה: שימוש ב-SaaS שמעבד נתונים אישיים של לקוחות מחייב חוזה DPA עם הספק. ללא DPA — אתם בסיכון משפטי לפי GDPR וחוק הגנת הפרטיות הישראלי.
למה נתונים ב-SaaS הם בעיה משפטית
כשאתם משתמשים ב-CRM, בכלי שיווק, או בפלטפורמת HR מבוססת ענן — אתם מעבירים נתונים אישיים של הלקוחות, העובדים, והספקים שלכם לגורם שלישי. זה לא מותר בלי הסדרה משפטית מתאימה.
מהו DPA: Data Processing Agreement
DPA (הסכם עיבוד נתונים) הוא חוזה בין בעל הנתונים (אתם) לבין מעבד הנתונים (ספק ה-SaaS). הוא מחויב לפי:
- GDPR (תקנת הגנת הנתונים האירופית) — סעיף 28
- חוק הגנת הפרטיות הישראלי — ועל פי תקנותיו
ללא DPA — אתם מפרים את החוק, ועשויים להיות אחראים לנזקים שגרם הספק.
מה חייב להיות ב-DPA
- הגדרת מטרת העיבוד ומשך הזמן
- האם הספק רשאי להשתמש בנתונים לצרכיו שלו (כמו אימון AI)?
- תנאי העברת נתונים למדינות שלישיות
- חובת הספק לדווח לכם על פרצות אבטחה
- זכות ביקורת של הלקוח
- מחיקת נתונים בסיום ההסכם
סיכוני GDPR בשימוש ב-SaaS
ארגונים שמעבדים נתונים של אזרחי EU חייבים לעמוד ב-GDPR — גם אם הם בישראל. הסיכונים:
- קנסות עד 4% מהמחזור השנתי הגלובלי
- חשיפה לתביעות של נושאי הנתונים
- פגיעה במוניטין בעקבות דיווח על פרצת אבטחה
מה לבדוק אצל ספק ה-SaaS
- האם יש לספק תעודת SOC 2 Type II או ISO 27001?
- האם הספק כפוף ל-GDPR באופן עצמאי?
- היכן מאוחסנים הנתונים — ישראל, EU, ארה"ב?
- האם ספק המשנה (sub-processor) של ספק ה-SaaS גם מאובטח?
ישראל כ-adequate country
ישראל מוכרת על ידי האיחוד האירופי כ"מדינה עם הגנה מספיקה" על נתונים. פירוש: ניתן להעביר נתונים מה-EU לישראל ללא מנגנון הגנה נוסף — אבל עדיין נדרש DPA.
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: כשמייצגים חברה שמשתמשת ב-SaaS — ערכו מיפוי של כל ספקי ה-SaaS שמעבדים נתונים אישיים, ובדקו האם יש DPA חתום עם כל אחד.
- פסיקה רלבנטית: קיימים מקרים שבהם רשויות הגנת נתונים אירופיות הטילו קנסות על חברות שהשתמשו בכלי SaaS ללא DPA תקין.
- טעות נפוצה: להסתמך על 'Privacy Policy' של ספק ה-SaaS כ-DPA — זה לא מספיק. נדרש הסכם עיבוד נתונים נפרד וחתום.
- נקודה טקטית: בעסקאות Due Diligence — תמיד בדקו אם לחברה יש DPA חתום עם ספקי ה-SaaS העיקריים. חוסר DPA הוא ממצא סיכון גבוה.
הבהרה משפטית: המידע במאמר זה נועד לצרכי מידע כללי בלבד ואינו מהווה ייעוץ משפטי, חוות דעת או תחליף להתייעצות עם עורך דין. כל מקרה ייחודי ויש לבחון אותו לגופו. אין ליישם את המידע ללא ייעוץ משפטי פרטני.