מדיניות פרטיות — מערכת תמר

נוסח תקף החל מיום: [נא להזין תאריך] · גרסה ראשונית — טרם אושר סופית על-ידי עורך דין

מערכת "תמר" (להלן: "המערכת"), אשר פותחה, נוסדה ומופעלת בבלעדיות על ידי משרד רון פישמן, רואי חשבון (להלן: "מפעיל המערכת" ו/או "המשרד"), משמשת ככלי טכנולוגי וחישובי מתקדם עבור מוסדות חינוך, בעלויות וגופים מפעילים (להלן ביחד: "הלקוח" ו/או "מוסד החינוך").

מפעיל המערכת רואה בשמירה על פרטיותם של עובדי ההוראה, התלמידים והמשתמשים ערך עליון. מסמך זה מהווה הסכם משפטי מחייב ומפרט את מדיניות הפרטיות של המערכת בהתאם לחוק הגנת הפרטיות, התשמ"א-1981, תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, והנחיות הרשות להגנת הפרטיות הרלוונטיות.

1. הגדרות יסוד

"מידע" ו-"מידע רגיש": כהגדרתם בסעיף 7 לחוק הגנת הפרטיות, לרבות נתוני שכר, נתונים כספיים, נתוני בריאות, אפיון מוגבלויות, צרכים מיוחדים ונתוני קטינים.
"הספק" או "מעבד המידע": משרד רון פישמן, רואי חשבון, המעניק את שירותי המערכת ומשמש כ"מחזיק" במאגר המידע מטעם הלקוח.
"בעל המאגר": המוסד החינוכי או הבעלות המעבירים את המידע למערכת ואשר המידע נאסף עבורם ובאחריותם.

2. המידע הנאסף והמעובד במערכת

לצורך מתן השירותים וביצוע החישובים, המערכת קולטת, מעבדת ומאחסנת את סוגי המידע הבאים:

מידע אודות עובדי הוראה: שמות מלאים, מספרי תעודות זהות, תלושי שכר, דרגות אופק חדש/עוז לתמורה, נתוני ותק, היקפי משרה, רכיבי תגמול, קרנות פנסיה והשתלמות, וכל נתון תעסוקתי אחר המשפיע על השכר והתקצוב.
מידע רגיש אודות תלמידים (לרבות תלמידי חינוך מיוחד): שמות, מספרי תעודות זהות, שיוך מוסדי וכיתתי, ועדות אפיון וזכאות, סוגי מוגבלויות או צרכים מיוחדים, זכאות לסייעות, סל אישי, שעות שילוב ונתונים פדגוגיים-תקציביים המשפיעים על מנגנוני התקצוב.

3. מטרת עיבוד המידע – הגבלת מטרה קשיחה ובלעדית

      מפעיל המערכת מתחייב, בהצהרה משפטית מוחלטת, כי המידע הנאסף במערכת ישמש אך ורק למטרות הבאות:
    

בדיקת זכאות למקסימום תקצוב והצבת נתונים מול קריטריוני משרד החינוך.
סימולציות ותכנון אופטימלי של תקציב הגוף המפעיל (הלקוח) למיקסום המשאבים המגיעים לו כדין.

חל איסור מוחלט על מפעיל המערכת לעשות שימוש במידע, במישרין או בעקיפין, לכל מטרה אחרת שאינה מנויה לעיל, לרבות: מטרות מסחריות, שיווקיות, פילוח עסקי, או העברת המידע לצדדים שלישיים שאינם קשורים למטרה המוגדרת.

4. הצהרת הלקוח (מוסד החינוך) וקבלת הסכמות חוקיות

הואיל ומערכת "תמר" משמשת ככלי עיבוד עבור הלקוח:

הלקוח מצהיר ומאשר כי הוא בעל הזכויות והסמכויות החוקיות להעביר את המידע (הן של המורים והן של התלמידים וקטינים באמצעות הוריהם) למערכת.
הלקוח נושא באחריות הבלעדית לקבלת כל ההסכמות הנדרשות על פי דין (לרבות חוק הגנת הפרטיות וחוק זכויות התלמיד) לצורך העברת המידע ומחשובו במערכת.

5. סודיות, אחסון בענן והעברת מידע לצדדים שלישיים

מפעיל המערכת מתחייב לשמור על סודיות מוחלטת של המידע. המידע לא ייחשף, לא יועבר ולא יימסר לשום גורם חיצוני, למעט:

אחסון וספקי תשתית: כלל המידע והנתונים במערכת מאוחסנים ומגובים בשרתי ענן מאובטחים של חברת Amazon Web Services (AWS), העומדת בתקני אבטחת המידע המחמירים ביותר בעולם (לרבות ISO 27001 ו-SOC 2) ותחת הסכם עיבוד נתונים קשיח (DPA).
למשתמשים מורשים מטעם הלקוח (המוסד החינוכי) שקיבלו הרשאה מפורשת.
ככל שהדבר נדרש באופן ישיר לצורך הגשת דוחות וממשקים מול משרד החינוך, וזאת בהנחיית הלקוח ובאישורו.
בהתאם לצו שיפוטי או דרישה חוקית מחייבת מאת רשות שלטונית מוסמכת.

6. אבטחת מידע קפדנית (רמת רגישות גבוהה)

בשל רגישות המידע (נתוני קטינים, מידע רפואי/חינוך מיוחד, ונתוני שכר), מפעיל המערכת מצהיר כי הוא עומד בהוראות תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, ומיישם מנגנוני הגנה מתקדמים הכוללים:

הצפנה: הצפנת המידע הן במצב מנוחה (At Rest) והן בעת העברתו ברשת (In Transit).
ניהול הרשאות: מנגנון הזדהות חזק (אימות דו-שלבי — 2FA) והפרדת הרשאות קפדנית, כך שכל משתמש חשוף אך ורק למידע המינימלי הנדרש לו.
תיעוד ובקרה: ניהול רישום אוטומטי (Log) של גישות ופעולות במערכת לאיתור ומניעה של אירועי אבטחה.
מבדקי חדירות: ביצוע מבדקי חדירות (Penetration Tests) תקופתיים על ידי חברות אבטחה חיצוניות.

7. זכויות עיון, תיקון ומחיקת מידע לפי דרישה

כל אדם (עובד הוראה, או הורה/אפוטרופוס של תלמיד קטין) שהמידע שלו נמצא במערכת, זכאי לעיין במידע בהתאם לסעיף 13 לחוק הגנת הפרטיות.

מנגנון מחיקה לפי דרישה: מפעיל המערכת מתחייב כי המידע יימחק לחלוטין משרתי המערכת והגיבויים בהתאם לדרישתם המפורשת של המשתמשים או בעלי המידע. בקשת מחיקה תבוצע בכפוף להוראות הדין ותוך פרק זמן סביר מקבלת הדרישה בכתב.

מאחר והמשרד משמש כמחזיק המידע מטעם המוסד החינוכי, פניות לעיון, תיקון או מחיקה של מידע יופנו אל המוסד החינוכי (בעל המאגר), והמשרד יסייע ללקוח ביישום פניות אלו ומחיקת המידע משרתי AWS ככל הנדרש על פי דין.

8. שינויים במדיניות

מפעיל המערכת רשאי לעדכן את הוראות מדיניות זו מעת לעת, בהתאם לשינויים טכנולוגיים או רגולטוריים. הודעה על שינויים מהותיים תימסר ללקוחות המערכת מראש.

9. יצירת קשר ובירורים

בכל שאלה, השגה, בקשת מחיקה או דיווח על חשש לאירוע אבטחת מידע, ניתן לפנות לממונה אבטחת המידע במשרד רון פישמן, רואי חשבון:

כתובת דואר אלקטרוני: [נא להשלים]
טלפון פניות: [נא להשלים]
כתובת המשרד: [נא להשלים]

מדיניות פרטיות ותנאי הגנת מידע