הסכמי עיבוד נתונים (DPA)
רשימת ספקי משנה · תאימות תיקון 13 לחוק הגנת הפרטיות · עדכון 18.5.2026
תקציר: בהתאם לתיקון 13 לחוק הגנת הפרטיות (החל מ-14.8.2025), אנו מתחזקים הסכם עיבוד נתונים (DPA) חתום עם כל ספק שלישי שעשוי לעבד מידע אישי בשמנו. ספקים אלה כפופים להתחייבויות סודיות, אבטחת מידע והגבלת שימוש.
1. מטרת המסמך
דף זה מציג שקיפות מלאה אודות הספקים השלישיים שאיתם קליניקת ארגמן מתקשרת לצורך הפעלת האתר והשירותים. כל ספק מקבל גישה למידע מינימלי ובהתאם לעיקרון הצורך (data minimization), ומחויב לאבטח את המידע ולא להשתמש בו למטרות אחרות.
2. בעל המאגר (Data Controller)
- קליניקת ארגמן — גל ממן
- 📍 דרך יצחק רבין 8, בית שמש, ישראל
- 📧 argamanclinic@gmail.com (DPO)
- 📞 050-641-5222
- תעודת מאגר: בהליך רישום במאגרי המידע
3. ספקי משנה (Data Processors) פעילים
3.1 תשתית אחסון ושרת
| ספק | סוג מידע | מיקום שרת | DPA |
|---|---|---|---|
|
Netlify, Inc.
San Francisco, CA
|
קבצי HTML/CSS/JS סטטיים, לוגי גישה (IP, User-Agent), טפסי מילוי | ארה"ב EU edge |
DPA ↗ SCC EU 2021/914 |
|
Supabase Inc.
San Francisco, CA
|
תוכן אתר ניתן לעריכה (מאמרים, FAQ, מחירים), הכל מוצפן AES-256-GCM בצד הלקוח לפני שליחה | Frankfurt, DE | DPA ↗ GDPR compliant |
|
jsDelivr (Cloudflare)
CDN ספריות JS
|
בקשות לקבצים סטטיים בלבד — Supabase JS, AOS, Quill | Global CDN | Cloudflare DPA ↗ |
3.2 אנליטיקה ומדידה
| ספק | סוג מידע | מיקום שרת | DPA |
|---|---|---|---|
|
Google LLC — Analytics 4
Mountain View, CA
|
נתוני גלישה אנונימיים: דפים, משך, מקור הגעה, IP מקוטע (anonymizeIp) | ארה"ב EU mirror |
Google DPA ↗ SCC + IP anonymization |
|
Microsoft Corporation — Clarity
Redmond, WA
|
heatmaps אנונימיים, session replays ללא PII (מסיכת אוטומטית של טפסים) | ארה"ב | Microsoft Trust ↗ |
3.3 גופנים וריסורסים
| ספק | סוג מידע | מיקום שרת | DPA |
|---|---|---|---|
|
Google Fonts
|
בקשת font.woff2 בלבד (IP זמני) | Google CDN | Google Privacy ↗ |
3.4 תקשורת ו-CRM
| ספק | סוג מידע | מיקום שרת | DPA |
|---|---|---|---|
|
FormSubmit
|
שדות טפסי קשר (שם, טלפון, נושא הפנייה) → העברה למייל | ארה"ב | Privacy ↗ |
|
Meta / WhatsApp
Menlo Park, CA
|
שיחת WhatsApp רגילה (כאשר משתמש בוחר ליצור קשר) | Global | DPA ↗ |
|
Google — Gmail
|
קבלת מיילים מטפסים → תיבת argamanclinic@gmail.com | ארה"ב | Workspace DPA ↗ |
4. עיבוד פנים-מערכתי (לא ספקים)
נתונים שעוברים עיבוד פנימי בלבד בקליניקה, ללא העברה לצד שלישי:
- תיק לקוח דיגיטלי — נשמר ב-Supabase (מוצפן בצד לקוח לפני שליחה), נגישות בלעדית של DPO
- רשומות פגישה (SOAP) — מוצפנות AES-256-GCM, גישה רק לאחר אימות סיסמה + DEK
- הקלטות קוליות — מוצפנות זהה. לא משותפות עם אף ספק.
- מדדים קליניים (PHQ-9/GAD-7) — נשמרים מקומית ב-localStorage + Supabase מוצפן
5. ערבויות אבטחה משותפות עם כל ספק
כל ספק שלישי שאיתו אנו מתקשרים מחויב חוזית ל:
- אבטחת מידע בסטנדרט SOC 2 / ISO 27001 (או שוויו)
- אי-העברת המידע לצד שלישי ללא הסכמה
- מחיקת מידע בסיום החוזה
- דיווח על אירוע אבטחה תוך 24-48 שעות
- שיתוף פעולה במימוש זכויות סובייקט (עיון/מחיקה)
6. העברת מידע אל מחוץ לישראל
חלק מהספקים פועלים מארה"ב/אירופה. ההעברה מתבצעת על בסיס:
- EU SCC (Standard Contractual Clauses 2021/914) — לספקים אמריקאיים
- החלטת התאמה (Adequacy Decision) — לספקים באירופה
- הסכמת הסובייקט — בעת שימוש פעיל באתר
על פי הרשות להגנת הפרטיות, ישראל מוכרת על ידי האיחוד האירופי כמדינה בעלת רמת הגנה הולמת. ההעברות נעשות לפי סעיף 36 לחוק הגנת הפרטיות.
7. סובייקט המבקש עיון או מחיקה
אם אתה סובייקט שמידע אישי שלו עובד דרך אחד מספקי המשנה — תוכל לפנות ישירות אלינו (DPO) ואנו נטפל בבקשתך מול הספק. אין צורך לפנות לספק ישירות.
זמן תגובה ממוצע: 14 ימי עסקים.
📧 פנייה: argamanclinic@gmail.com
8. שינויים ב-DPA
במקרה של:
- החלפת ספק משנה
- שינוי בסוג המידע המעובד
- שינוי במיקום שרת
נעדכן דף זה ונודיע במייל לסובייקטים פעילים תוך 30 יום מהשינוי.
שאלות לגבי DPA?
📧 פנייה ל-DPO · 📞 050-641-5222
עדכון אחרון: 18 במאי 2026 · גרסה 1.0 · מדיניות פרטיות · תנאי שימוש