הסכם עיבוד נתונים (DPA) — קליניקה ↔ MyTipul
טיוטה לעיון משפטי. מסמך זה נכתב על בסיס אופן הפעולה בפועל של המערכת, אך טרם עבר ביקורת של עורך/ת דין ישראלי/ת המתמחה בהגנת הפרטיות. אין להחתים עליו או להסתמך עליו כמסמך מחייב לפני עיון משפטי. גרסה 1.0 · עודכן 19 ביוני 2026.
הקשר
הסכם זה מסדיר את עיבוד המידע האישי של מטופלי הקליניקה ועובדיה, המתבצע על-ידי MyTipul במסגרת מתן השירות. הקליניקה היא בעלת מאגר המידע של מטופליה לפי חוק הגנת הפרטיות, התשמ"א-1981, ו-MyTipul פועלת כמעבדת מידע מטעמה ובהתאם להוראותיה.
ההסכם משלים את תנאי השימוש ומדיניות הפרטיות, ובמקרה של סתירה לעניין עיבוד מידע מטופלים — יגבר הסכם זה.
1. הצדדים
- בעלת המאגר ("הקליניקה") — המשתמש/ת או הגוף שנרשם למערכת ומנהל בה מידע על מטופלים.
- המעבדת ("MyTipul") — אסתר גשייד, ת.ז. 204083315, אוהב ישראל 32/5, דוא"ל: aag2618@gmail.com.
2. הגדרות
המונחים "מידע אישי", "מידע רגיש", "מטופל", "עיבוד" ו-"תוכן קליני" יפורשו כמשמעותם במדיניות הפרטיות של MyTipul ובחוק הגנת הפרטיות.
3. נושא העיבוד ומשכו
- נושא העיבוד: ניהול מטופלים, תיעוד קליני, פגישות, תשלומים, מסמכים ותקשורת.
- סוגי נושאי המידע: מטופלי הקליניקה, ובעלי תפקידים מטעמה (מטפלים, מזכירות).
- סוגי המידע: פרטי קשר, מידע רפואי/קליני רגיש, מידע פיננסי, מסמכים ותקשורת.
- משך העיבוד: לכל אורך תקופת ההתקשרות, ובכפוף לתקופות השמירה החוקיות לאחריה.
4. תפקידים וחלוקת אחריות
- הקליניקה אחראית לחוקיות איסוף המידע, ליידוע המטופלים ולקבלת ההסכמות הנדרשות, ולנכונות המידע שהיא מזינה.
- MyTipul מעבדת את המידע אך ורק לפי הוראות הקליניקה ולמטרת מתן השירות, ולא לכל מטרה אחרת.
5. חובות המעבדת (MyTipul)
MyTipul מתחייבת:
- לעבד את המידע רק לצורך מתן השירות ולפי הוראות הקליניקה.
- לשמור על סודיות המידע, ולהחיל חובת סודיות על כל מי שמטעמה ניגש אליו.
- ליישם אמצעי אבטחה בהתאם לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 (ראו נספח א').
- לא להעביר את המידע לצד שלישי, אלא למעבדי המשנה המנויים בסעיף 6, או כנדרש על-פי דין.
- לסייע לקליניקה לקיים את חובותיה כלפי נושאי המידע (זכויות עיון, תיקון ומחיקה).
- להודיע לקליניקה ללא דיחוי, ולא יאוחר מ-24 שעות, על כל אירוע אבטחה או חשש לחשיפת מידע, ולשתף פעולה בטיפול בו.
- למחוק או להחזיר את המידע בתום ההתקשרות, כאמור בסעיף 8.
6. מעבדי משנה (Sub-Processors)
הקליניקה מאשרת ל-MyTipul להיעזר במעבדי המשנה הבאים, הדרושים לתפעול השירות:
- Render — אירוח שרתים ומסד נתונים (ארה"ב).
- Cardcom — סליקת תשלומים והפקת חשבוניות (ישראל).
- Resend — שליחת דואר אלקטרוני (ארה"ב / האיחוד האירופי).
- Pulseem — שליחת הודעות SMS (ישראל).
- Google — סנכרון יומן והתחברות, לפי בחירת המשתמש (גלובלי).
- Cloudflare / אחסון ענן — אחסון קבצים מוצפנים (גלובלי).
MyTipul תיידע את הקליניקה על הוספה או החלפה מהותית של מעבד משנה, ותחיל עליו חובות אבטחה וסודיות מקבילות.
7. העברת מידע אל מחוץ לישראל
חלק ממעבדי המשנה מאחסנים מידע מחוץ לישראל (בעיקר ארה"ב). העברה זו נעשית בהתאם לתקנות הגנת הפרטיות (העברת מידע אל מאגרים שמחוץ לגבולות המדינה), התשס"א-2001, ובכפוף לאמצעי אבטחה מתאימים.
8. החזרת מידע ומחיקתו בתום ההתקשרות
בתום ההתקשרות, ולבקשת הקליניקה, MyTipul תעמיד לרשותה את המידע בקובץ מובנה (ייצוא), ולאחר מכן תמחק את המידע ממערכותיה — למעט מידע שחלה עליו חובת שמירה חוקית (כגון מסמכים פיננסיים הנשמרים 7 שנים).
9. זכויות נושאי המידע
MyTipul מספקת כלים המאפשרים לקליניקה לממש את זכויות מטופליה: עיון במלוא המידע, תיקונו, מחיקתו, וקבלת עותק מלא בקובץ מובנה — בכל עת ובאופן עצמאי.
10. אחריות
כל צד אחראי להפרת חובותיו לפי הסכם זה ולפי הדין. תקרת האחריות הכוללת של MyTipul לא תעלה על הסכום ששילמה הקליניקה בעבור השירות בשנים-עשר החודשים שקדמו לאירוע, למעט במקרים שאינם ניתנים להגבלה לפי דין.
11. כללי
- על הסכם זה יחולו דיני מדינת ישראל. סמכות השיפוט הבלעדית נתונה לבתי המשפט המוסמכים בישראל.
- שינוי בהסכם ייעשה בכתב. הודעה על עדכון תימסר דרך המערכת.
נספח א' — אמצעי אבטחה
- הצפנת תוכן קליני רגיש במנוחה בתקן AES-256-GCM.
- הצפנת תעבורה (HTTPS/TLS).
- אימות דו-שלבי (2FA).
- בקרת גישה מבוססת תפקיד והרשאה.
- יומן פעילות (Audit Log) חסין-שינוי לכל גישה לרשומה קלינית.
- הגבלת גישה ישירה למסד הנתונים לכתובות מורשות בלבד; המסד סגור לאינטרנט.
- גיבוי עם יכולת שחזור לנקודת זמן (Point-in-Time Recovery).