DPA · גרסה 1.0 · 15 באפריל 2026

הסכם עיבוד נתונים

Data Processing Agreement (DPA)

הסמכה לרבנות | Smicha One

Controller / מפקח נתונים
פתרונות טכנולוגיה והלכה rnra
ישראל
smichaone@gmail.com
Sub-processors / מעבדי נתונים
SupabaseGoogle GeminiSentryExpo
📌 מסמך זה הוא נספח למדיניות הפרטיות ולתנאי השימוש של smichaone. הוא מגדיר את יחסי עיבוד הנתונים בין מפעיל השירות לבין ספקי התשתית. הגרסה הקנונית היא בעברית.
1

הגדרות

במסמך זה, המונחים הבאים יפורשו כמפורט:

"Controller / מפקח נתונים"
פתרונות טכנולוגיה והלכה rnra, מפעילת שירות smichaone, ישראל. הגורם הקובע את מטרות ואמצעי עיבוד הנתונים האישיים.
"Processor / מעבד נתונים"
כל ספק צד שלישי המעבד נתונים אישיים מטעם ה-Controller, בהתאם להוראותיו בלבד. ראה רשימת Sub-processors בסעיף 4.
"נתונים אישיים"
כל מידע המאפשר זיהוי ישיר או עקיף של משתמש: אימייל, שם מלא, ציוני מבחנים, היסטוריית לימוד, שיחות צ'אט, טוקני Push, ונתוני אבחון המשויכים לזהות.
"עיבוד נתונים"
כל פעולה בנתונים אישיים: איסוף, אחסון, שימוש, העברה, מחיקה.
"הפרה" (Data Breach)
גישה לא מורשית, אובדן, שינוי, או חשיפה של נתונים אישיים.
"EEA"
האזור הכלכלי האירופי.
"GDPR"
General Data Protection Regulation (EU) 2016/679.
"חוק הפרטיות"
חוק הגנת הפרטיות, התשמ"א-1981 (ישראל).
2

מטרת ההסכם

הסכם זה נועד להגדיר את זכויות וחובות הצדדים בעיבוד נתונים אישיים של משתמשי smichaone, בהתאם ל-GDPR, ל-CCPA, ולחוק הגנת הפרטיות הישראלי.

ה-Controller מפעיל פלטפורמת למידה הלכתית (Smicha One) המשתמשת בשירותי תשתית של ספקים חיצוניים (Sub-processors) לאחסון נתונים, עיבוד AI, ניטור שגיאות, והפצת התראות.

כל Sub-processor מעבד נתונים אך ורק לפי הוראות ה-Controller, ואינו רשאי לעשות שימוש עצמאי בנתונים.

3

פירוט עיבוד הנתונים

3.1 סוגי נתונים אישיים המעובדים

  • פרטי זיהוי: אימייל, שם מלא (אופציונלי)
  • תוכן לימודי: תשובות מבחנים, שאלות צ'אט, פעולות חזרה מרווחת
  • נתוני ביצועים: ציוני מבחנים, אחוזי שליטה, היסטוריית לימוד
  • מזהי מכשיר: טוקני Push (APNs/FCM), משויכים ל-user_id
  • נתוני אבחון: crash reports, performance traces, device info (דרך Sentry)
  • נתוני אימות: JWT tokens, session data (דרך Supabase Auth)

3.2 קטגוריות נושאים (Data Subjects)

  • משתמשי קצה — תלמידי סמיכה המשתמשים ישירות באפליקציה
  • בני 18 ומעלה בלבד — אין עיבוד ידוע של נתוני קטינים
📌 האפליקציה עוסקת בתוכן הלכתי יהודי — פעילות המשתמש עשויה לשקף השתייכות דתית. זהו מידע רגיש לפי GDPR Art. 9, אך אינו מעובד לצורכי פרופיל או פרסום.

3.3 מטרות העיבוד

  • ניהול חשבון משתמש וזיהוי (Authentication)
  • ספקת שירות הלמידה: מבחנים, חזרה מרווחת, צ'אט AI
  • ניתוח ביצועים ומשוב מותאם אישית
  • שליחת התראות Push לתזכורות לימוד
  • ניטור תקלות ושיפור אמינות השירות (Sentry)

3.4 בסיס חוקי (Lawful Basis)

ביצוע חוזהArt. 6(1)(b)ניהול חשבון, מבחנים, חזרות, צ'אט
הסכמהArt. 6(1)(a)Push Notifications — ניתן לבטל בכל עת
אינטרס לגיטימיArt. 6(1)(f)ניטור תקלות Sentry — לאמינות השירות
4

רשימת Sub-processors מורשים

ה-Controller מאשר את השימוש בספקי המשנה הבאים. כל שינוי ברשימה זו ידרוש עדכון מסמך זה ומדיניות הפרטיות.

4.1
Supabase Inc.
Database · Authentication · Storage
  • נתונים: כל נתוני המשתמש (חשבון, ציונים, חזרות, צ'אט, push tokens)
  • מיקום שרת: לפי הגדרות הפרויקט (EU/US)
  • הגנה: DPA + Standard Contractual Clauses (SCC)
  • Row Level Security (RLS) מופעל — משתמש ניגש רק לנתוניו
4.2
Google LLC
Gemini AI — עיבוד AI
  • תפקיד: ניתוח תשובות מבחן ומתן משוב, צ'אט הלכתי
  • אופן עיבוד: server-to-server בלבד — אין SDK של Google באפליקציה
  • נתונים: תשובות מבחן, שאלות צ'אט — ללא זיהוי אישי ישיר
  • מיקום: שרתי Google (US בעיקר)
  • הגנה: Google Cloud Data Processing Addendum
📌 Google עשויה לשמור prompt data לפי תנאי Gemini API. ניתן לבקש אי-שימוש בנתונים לאימון מודל — פנה לנו ב-smichaone@gmail.com.
4.3
Functional Software Inc.
Sentry — Error Monitoring · Performance Tracking
  • נתונים: crash reports, stack traces, device info, app version
  • שיוך לזהות: Sentry.setUser({ id, email }) נקרא בכניסה
  • שמירה: 90 יום (מדיניות ברירת מחדל של Sentry)
  • מיקום: שרתי Sentry (EU/US לפי הגדרות)
4.4
Expo Inc.
Push Notification Relay
  • נתונים: טוקן APNs/FCM — מועבר לשירות Push של Apple/Google
  • Expo אינה שומרת את תוכן ההתראות
5

חובות ה-Controller

  1. לספק הוראות ברורות לכל Sub-processor לגבי מטרות העיבוד
  2. לוודא שמדיניות הפרטיות מעודכנת ומשקפת את רשימת ה-Sub-processors
  3. לנהל בקשות זכויות משתמש (גישה, מחיקה, תיקון) תוך 30 יום
  4. להודיע ל-Sub-processors על מחיקת נתוני משתמש שביקש זאת
  5. לבצע DPA digitally עם Supabase דרך ה-Dashboard
  6. לשמור תיעוד של פעילויות עיבוד נתונים (GDPR Art. 30)
6

חובות ה-Sub-processors

כל Sub-processor מתחייב (דרך הסכמי DPA שלו):

  1. לעבד נתונים אך ורק לפי הוראות ה-Controller ולמטרות המפורטות
  2. לא לחשוף נתונים לצדדים שלישיים ללא אישור
  3. ליישם אמצעי אבטחה מתאימים (הצפנה, RLS, בקרת גישה)
  4. להודיע ל-Controller על הפרת אבטחה בתוך 48 שעות מגילויה
  5. לאפשר ביקורת ועיון ברשומות עיבוד לפי דרישה
  6. למחוק נתונים בתום ההסכם או לפי הוראת ה-Controller
7

העברת נתונים בינלאומית

חלק מהנתונים מועבר מחוץ ל-EEA (לשרתי Supabase, Google, Sentry). העברות אלו מוגנות על ידי:

  • Standard Contractual Clauses (SCC) — לפי החלטת נציבות האירופית 2021/914
  • DPA חתומים עם כל ספק
  • הגנות נוספות בהתאם לדרישות GDPR Chapter V
📌 Israel recognized as adequate by EU Commission — נתונים המועברים מ-EU לישראל נהנים מהכרת נאותות מלאה.
8

אבטחת מידע

ה-Controller מיישם את אמצעי האבטחה הבאים:

🔐
Row Level Security (RLS)
על כל טבלאות Supabase — משתמש ניגש רק לנתוניו
🔒
TLS/HTTPS
הצפנת תעבורה בכל החיבורים
🪙
JWT Authentication
אימות מוצפן לכל API call
🔑
Supabase Auth
סיסמאות מוצפנות (bcrypt), לא נגישות לאיש
🛡️
ניטור שגיאות
Sentry מזהה בעיות בזמן אמת
👁
בקרת גישה
רק ה-Controller ניגש לנתוני הייצור
9

נוהל הפרת אבטחה (Data Breach)

במקרה של הפרה מהותית:

חובות ה-Sub-processor
  1. להודיע ל-Controller בתוך 48 שעות מגילוי ההפרה
  2. לספק פרטים מלאים: אופי ההפרה, נתונים שנחשפו, מספר משתמשים מושפעים
  3. לנקוט צעדים מיידיים לבלימה
חובות ה-Controller
  1. להעריך חומרת ההפרה
  2. להודיע לרשות הגנת הפרטיות המוסמכת בתוך 72 שעות (GDPR Art. 33)
  3. להודיע למשתמשים שנפגעו, ללא דיחוי מיותר, כאשר הסיכון גבוה (Art. 34)
  4. לתעד את ההפרה ואת הצעדים שננקטו
10

שמירה ומחיקת נתונים

נתוני חשבון30 יום מביטול חשבון
ציוני מבחנים והיסטוריית חזרותעם סגירת החשבון
שיחות צ'אטניתן למחוק בכל עת; נמחקות עם סגירת החשבון
טוקני Pushעם התנתקות או ביטול הרשאה
Sentry logs90 יום (מדיניות Sentry)
גיבויי Supabaseעד 7 ימים נוספים לאחר מחיקה

ה-Controller רשאי לדרוש מכל Sub-processor אישור בכתב על מחיקת נתוני משתמש מסוים.

11

זכויות נושאי נתונים

ה-Controller מתחייב לאפשר למשתמשים לממש את זכויותיהם:

Art. 15
גישה
קבלת עותק מלא של הנתונים תוך 30 יום
Art. 16
תיקון
עדכון מידע שגוי
Art. 17
מחיקה
מחיקת חשבון וכל הנתונים
Art. 18
הגבלה
הקפאת עיבוד בנסיבות מסוימות
Art. 20
ניידות
קבלת נתונים בפורמט JSON/CSV
Art. 21
התנגדות
לעיבוד על בסיס אינטרס לגיטימי
✉️פניות ממשתמשים: smichaone@gmail.com — מענה בתוך 30 יום.
12

תקופת ההסכם ושינויים

הסכם זה נכנס לתוקף במועד הפרסום הראשון של האפליקציה ותקף כל עוד השירות פעיל.

שינוי מהותי ברשימת ה-Sub-processors (הוספה/הסרה) יידרש עדכון מסמך זה ועדכון מדיניות הפרטיות — עם הודעה מראש של 14 יום למשתמשים.

בסיום השירות — כל הנתונים יימחקו מכל ה-Sub-processors בהתאם למדיניות שמירת הנתונים בסעיף 10.

13

דין וסמכות שיפוטית

הסכם זה כפוף לחוק הישראלי. סכסוכים יידונו בבתי המשפט בירושלים.

ביחס למשתמשים מאיחוד האירופי — הסכם זה כפוף גם ל-GDPR, ומשתמש אירופי רשאי לפנות לרשות הפיקוח (DPA) בארצו.

📌 Israel recognized as adequate jurisdiction by EU Commission (2011) — העברות EU → ישראל אינן מצריכות SCC נוספות.
14

רשימת פעולות נדרשות (Action Items)

לפני השקת האפליקציה, יש להשלים את הפעולות הבאות:

☑ Supabase DPA
כנס ל: Supabase Dashboard → Settings → Legal → Data Processing Agreement → Sign DPA. זו לחיצה אחת — ללא זה, אין לך DPA רשמי מול Supabase.
☑ Google Cloud DPA
כנס ל: Google Cloud Console → IAM & Admin → Data Processing Terms → Review and Accept.
☑ Sentry DPA
כנס ל: Sentry → Settings → Legal → Data Processing Addendum → Accept.
☑ עמוד פרטיות ציבורי
פרסם את מדיניות הפרטיות בכתובת נגישה לציבור לפני הגשה ל-App Store. כתובת מוצעת: https://smichaone.com/privacy
☑ עדכון אימייל
שקול ליצור כתובת מקצועית כמו privacy@smichaone.com במקום Gmail — זה משדר אמינות ל-App Store Review ולמשתמשים.
15

חתימה

אני החתום מטה מאשר כי קראתי, הבנתי, ואני מסכים להסכם עיבוד הנתונים כמפורט לעיל.

שם
תאריך
חתימה
Controller: פתרונות טכנולוגיה והלכה rnra
שירות: smichaone | Smicha One
אימייל: smichaone@gmail.com
מיקום: ירושלים, ישראל