מדיניות פרטיות

מבוא ותפקידים בעיבוד

פורטל Alice GRC ("המערכת") מופעל על ידי AliceSolutionsGroup ("אנחנו", "Alice") עבור ארגונים לקוחות במסגרת שירותי מיפוי, ניהול סיכונים, ציות והיערכות בנושאי ממשל ו-AI. במסגרת מתן השירות, לעיתים קרובות הארגון הלקוח הוא בעל הסמכות לקבוע את מטרות העיבוד של מידע אישי ביחס לעובדיו ולנתוני העסק שלו ("בקר" לפי תקנה האיחוד האירופית להגנה על מידע מספר (EU) 2016/679 — "GDPR"), ואילו Alice פועלת כ"מעבד" מטעמו בהתאם להוראות החוזה והוראות הבקר. כאשר החוק חל אחרת או נקבע אחרת בהסכם מפורש — יחול האמור בהסכם.

מסמך זה מספק שקיפות כללית. התחייבויות מפורטות בדבר סוגי נתונים, זמני שמירה, העברות בין־לאומיות, תתי־מעבדים והטיפול בזכויות נקבעות בדרך כלל בהסכם עיבוד נתונים (DPA), בהסכם השירות ובנספחים הרגולטוריים החתומים מול הארגון שלך.

איזה מידע עשוי להיטען ולהיעבד במערכת

• פרטי זיהוי והתחברות — למשל דוא״ל ארגוני, מזהה משתמש ופרטים בסיסיים שנדרשים להזדהות ולניהול הרשאות (RBAC).
• תוכן תפעולי — תשובות לשאלונים (כולל שדות חופשיים), תיעוד העלאות וקבצים שהארגון בוחר להעלות במסגרת המיפוי והערכות.
• נתונים שנגזרים מהפעילות במערכת — למשל סטטוס התקדמות, חותמות זמן, יומני ביקורת טכניים ונתוני אבטחה מינימליים לצורך תפעול, מניעת הונאה ותמיכה.

העלאת מידע רגיש או מיוחד (כגון קטגוריות מוגנות לפי GDPR או דין ישראלי) טעונה הסדר תואם בהסכם ובהנחיות הארגון. על הארגון לאשר שהוא רשאי לאסוף ולהזין למערכת את הנתונים הנדרשים.

בסיסים משפטיים ומטרות עיבוד (כולל GDPR)

העיבוד נעשה ככלל על בסיס ביצוע הסכם מול הארגון הלקוח, עניין לגיטימי בתפעול מאובטח של השירות והיעדר פגיעה מדי בזכויות נושאי המידע, ולפי צווים חוקיים כשחלים. כאשר GDPR חל על העיבוד, זכויות נושאי המידע כוללות — בהתאם לנסיבות — זכות עיון, תיקון, מחיקה ("להישכח"), הגבלת עיבוד, התנגדות, ניידות נתונים וביטול הסכמה במקרים שנסמכים על הסכמה (כמתואר בתקנות GDPR ובפרשנות הרשויות המוסמכות).

פנייה למימוש זכויות מטעם עובדי הארגון או גורמים אחרים מתבצעת בדרך כלל דרך נציג הארגון ("בקר") שמוסמך על פי דין ופנימה ארגונית; ניתן גם לפנות אלינו בכתובת המצוינת בסוף המסמך ונעביר את הפנייה ככל הנדרש בהתאם לחוק ולהסכם.

שימוש ביכולות AI ובספקי חישוב (כולל OpenAI)

Alice אינה מפעילה באופן עצמאי מודלי AI ציבוריים על תוכן הארגון ללא הסדר מפורש.

כל שימוש ביכולות המבוססות על מודלי שפה או שירותים דומים במערכת — ככל ויהיו זמינות — ייעשה רק לאחר אישור והפעלה מפורשים מצד הארגון הלקוח (למשל בהגדרות פרויקט, בהסכם השירות או בהסכמת מנהל מערכת), ובכפוף להנחיות האבטחה והפרטיות שהארגון קובע.

כאשר הארגון בוחר להשתמש בשירותים שמסופקים על ידי ספק חיצוני כגון OpenAI, הסדר החוזי, תנאי העיבוד והתחייבויות הספק החיצוני חלים בין הארגון לבין אותו ספק ("בין הארגון ל-OpenAI") ובין הארגון לבין ספקים נוספים ככל שנקבע — בהתאם להסכמי Enterprise או תנאי שימוש הרלוונטיים לאותו ארגון. Alice תפעל ככל הנדרש כמעבד או צד תומך בהתאם לתיעוד שנחתם מול הלקוח, ולא תיסגר בשם הארגון על תנאים מול OpenAI שלא אושרו על ידי הארגון.

• תוצרים אוטומטיים אינם מהווים ייעוץ משפטי, רגולטורי או תחליף לשיקול דעת אנושי; עלולות להופיע טעויות ("הזיות") או חוסר עדכניות — יש לאמת כל החלטה מהותית מול נותני החלטה בארגון ומומחים חיצוניים כנדרש.
• לא נעשה שימוש בתוכן הארגון לצורך שיווק ציבורי או למכירת נתונים לצד שלישי דרך המערכת; כל דיווח על תתי־מעבדים נכלל בהסכם/DPA ובשקיפות הרגילה של פרויקט הלקוח.

העברות בין־לאומיות ותתי־מעבדים

שירותי הענן, התשתית והגיבויים עשויים לכלול העברת מידע מחוץ למדינת המושב של הארגון או מחוץ לאיחוד האירופי. במקרים שנדרש GDPR, ההעברות יבוצעו עם הסדר הגנה מתאים — למשל הסכמי העברת נתונים תקניים של האיחוד ("SCC") או מנגנון תואם אחר כפי שנקבע בהסכם ובתיעוד העיבוד.

שמירה ואבטחה

אנו מיישמים אמצעים ארגוניים וטכניים סבירים להגנה על סודיות, שלמות וזמינות המידע — בהתאם לאופי הסיכון והוראות ההסכם. תקופות שמירה, מדיניות גיבוי והפרדת סביבות נקבעות מול הארגון ומתועדות ב-DPA או בנספח אבטחה.

זכויות נושאי מידע ופנייה לרשות פיקוח

נושאי מידע רשאים — בהתאם לדין החל ולחריגים שנקבעו בו — לפנות לבקר (בדרך כלל הארגון הלקוח) או אלינו לצורך מימוש זכויותיהם. ניתן להגיש תלונה לרשות הגנת הפרטיות הרלוונטית (בישראל או באיחוד, בהתאם לסמכות החלה).

דוא״ל לפניות פרטיות כלליות: [email protected]