מדיניות פרטיות

מסמך ציות – תיקון 13 לחוק הגנת הפרטיות

עמותת ניקה ספורט וקהילה | 580697720

עדכון אחרון: 15/09/25

סעיף 1: חובת רישום מאגרי מידע

 1.1 בהתאם לתיקון 13 לחוק הגנת הפרטיות, חלה חובה על מחזיקי מאגרי מידע הכוללים מידע רגיש או מידע על יותר מ־10 נושאי מידע, לבחון את חובת רישום המאגר אצל רשם מאגרי המידע ברשות להגנת הפרטיות.

1.2  עמותת ניקה מפעילה מערכת ניהול מידע באמצעות פלטפורמת Base44, במסגרתה נאספים ונשמרים פרטי עובדים, מאמנים, לקוחות, מועמדים, ספקים, ונתונים פיננסיים. מידע זה כולל גם פרטים רגישים (כגון מספרי תעודות זהות, פרטי בנק, טפסי היעדר עבירות מין, מסמכים משפטיים).

1.3  לפיכך, קיימת אפשרות ממשית כי המאגר יידרש לרישום כדין. מומלץ לבצע בחינה משפטית מול עורך דין מומחה בתחום פרטיות המידע והרגולציה.

 

סעיף 2: מטרות שימוש ובסיס משפטי לעיבוד מידע

2.1  מטרות השימוש במידע

המידע שנאסף ומנוהל במערכת Base44 ובמערכות נלוות (Google Drive, דוא"ל ארגוני) משמש את העמותה למטרות הבאות:

(א) ניהול עובדים ומאמנים

  • ניהול פרופיל אישי לכל מאמן ועובד מטה הכולל פרטים אישיים, מסמכים נדרשים (חוזה, ביטוחים, טופס היעדר עבירות מין, אישורי בנק, קורות חיים, המלצות).
  • ניהול סטטוס העסקה (עצמאי/שכיר/מתנדב), תנאי תשלום, תעריפים כלליים ותעריפים לפי סוג לקוח.
  • מיפוי גיאוגרפי ומקצועי של מאמנים לשם שיבוץ במוקדי פעילות, בהתאם לאזורים, לימים פנויים ולדרישות מקצועיות.
  • תיעוד והערכת ביצועי מאמנים (דוחות תצפית, דירוג איכות A-B-C, הערות ניהול מקצועי).
  • ניהול תהליך קליטה (Onboarding) והדרכות מקצועיות.
  • תיעוד קשרי עבודה, התכתבויות פנימיות, ותיעוד אירועים משמעתיים או אישיים רלוונטיים.
  • רווחת עובדים – תיעוד ימי הולדת, אירועים אישיים, ותוכניות רווחה לעובדים.

(ב) ניהול צוות מטה

  • ניהול פרופיל אישי הכולל פרטים אישיים, מסמכים נדרשים, ותנאי העסקה.
  • הגדרת הרשאות מערכת בהתאם לתפקיד (מנכ"ל, מנהלת משרד, רכז תוכנית וכו').
  • ניהול אחריות תפעולית, מקצועית ופיננסית לפי תחומי תפקיד.
  • תקשורת פנים ארגונית – התראות, חלוקת משימות, ותיעוד החלטות.

(ג) ניהול לקוחות

  • קליטת לקוחות חדשים במערכת וניהול סטטוס פעילות (פעיל/לא פעיל).
  • תיעוד התקשרויות: חוזים, הזמנות עבודה, מסמכים נלווים.
  • תיעוד מתן השירות: סיורי שטח, פגישות חתך, משובי איכות, שיחות סיכום, איתותי נטישה, חידושי התקשרות.
  • שיבוץ מאמנים ותוכניות במערכת שעות שבועית לפי מוקד, תוכנית וכיתה.
  • תיעוד אנשי קשר ונתוני התקשרות – לרבות פרטי מנהלות בתי ספר, רכזי צהרונים, מנהלי פרויקטים.
  • ניהול מחירים ותמחור לפי תוכנית ומוקד פעילות.
  • מעקב אחר תקבולים וגבייה.
  • ניהול מסמכים רלוונטיים ב־Google Drive, כולל תיקיות לקוח.

(ד) ניהול לידים (CRM)

  • יצירת קשר עם מתעניינים ושימור תקשורת יזומה.
  • ניהול סטטוס התקדמות (ליד חדש, ענה, פגישה, הצעת מחיר, חתימה, סגירה).
  • תיעוד מקור הליד (אתר, סושיאל, טופס מקוון, המלצה).
  • ניהול יומן שיחות ופגישות – כולל פולו אפ ונוטיפיקציות.
  • העברת לידים לסטטוס "לקוח פעיל" בעת סגירת התקשרות.

(ה) ניהול פיננסי

  • הפקת דרישות תשלום ללקוחות על בסיס שיבוצים בפועל.
  • ניהול מאזני רווח והפסד חודשיים/שנתיים.
  • תיעוד הוצאות והכנסות לפי קטגוריות (שכר מאמנים, ציוד, רווחה, שיווק, שכירות, התחייבויות קבועות).
  • ניהול תשלומים לספקים, כולל תיעוד הסכמים, תנאי תשלום ומעקב תקבולים.
  • תשלומי שכר לעובדי מטה בהתאם לדיני עבודה.
  • דיווחים לרשויות (מס הכנסה, ביטוח לאומי, פנסיה).
  • שמירת חשבוניות, קבלות ודוחות כספיים במערכת וב־Google Drive.

(ו) ניהול פנים ארגוני ותקשורת

  • הקצאת משימות לצוות מטה, מעקב אחר סטטוס ביצוע, ותיעוד פעולות.
  • ניהול דיונים והחלטות פנים ארגוניות.
  • ניהול תקלות ובעיות במוקדים ותיעוד טיפול בהן.
  • קידום יוזמות מקצועיות ותפעוליות.
  • תקשורת פנים ארגונית באמצעות המערכת, דוא"ל ושיחות מתועדות.

 

2.2  בסיס משפטי לעיבוד המידע

העמותה מסתמכת על מספר עילות משפטיות לצורך איסוף, שמירה ועיבוד מידע:

  1. קיום חוזה (Contractual Necessity):
    • מול מאמנים ועובדים – לצורך העסקתם, תשלום שכרם, והבטחת תנאי עבודה הולמים.
    • מול לקוחות – לצורך עמידה בהתחייבויות חוזיות, מתן שירותי הדרכה ותוכניות חינוכיות.
    • מול ספקים – לצורך עמידה בהתחייבויות חוזיות ותשלום תמורה.
  2. קיום חובה חוקית (Legal Obligation):
    • דיווחים לרשויות המס, ביטוח לאומי, משרד החינוך.
    • שמירת טפסים נדרשים על פי דין (טפסי היעדר עבירות מין, ביטוח מקצועי, תלושי שכר).
  3. אינטרס לגיטימי (Legitimate Interest):
    • ניהול תהליכי עבודה פנימיים, פיקוח ובקרה על איכות השירות.
    • שימור עובדים ולקוחות.
    • שיפור תהליכים ארגוניים ושירות ללקוחות.
  4. הסכמה מפורשת (Explicit Consent):
    • ניתנת על ידי לידים ומתעניינים בעת השארת פרטים ביוזמתם (באמצעות אתר אינטרנט, דפי נחיתה, סושיאל, וואטסאפ, שיחה טלפונית או המלצות מלקוחות קיימים).
    • ההסכמה ניתנת לצורך קבלת מידע שיווקי, הצעות מחיר והצטרפות לשירותי העמותה.

 

סעיף 2.3  – חובת ניהול סיכוני פרטיות ואבטחת מידע

2.3.1 הערכת סיכונים (Privacy Risk Assessment) :
העמותה ביצעה מיפוי מידע מלא של כלל הישויות המנוהלות במערכת Base44 ובמערכות הנלוות (Google Drive, דוא"ל ארגוני). נמצא כי המערכת כוללת מנגנוני הצפנה, בקרת גישה מבוססת תפקיד, וכלי ניטור אבטחה. עם זאת, נוכח חשיפה אבטחתית שתוקנה בשנת 2025 בפלטפורמה, הוחלט להטמיע בקרת סיכונים מתמדת.

 2.3.2 נוהלי אבטחת מידע פנימיים – מחייבים ותקפים:

  • הרשאות גישה: ניהול הרשאות מבוצע על ידי מנכ"ל העמותה בלבד. כל עובד מקבל גישה לנתונים הרלוונטיים לתפקידו. מאמנים וגורמים חיצוניים אינם בעלי הרשאות למערכת.
  • ניהול מסמכים: כלל מסמכי העמותה נשמרים ב־Google Drive, בגישה ייחודית באמצעות חשבון המייל של המנכ"ל. בעלי תפקידים מקבלים הרשאות למסמכים לפי תחום אחריותם בלבד.
  • חובת סודיות: כלל בעלי התפקידים מחויבים לשמור על סודיות המידע ולמנוע הפצתו לצד ג'. ההתחייבות מעוגנת בהסכמי העבודה.
  • בקרת גישה: אחת לשנה מבוצעת ביקורת הרשאות מקיפה על ידי המנכ"ל, עם תיעוד מלא.
  • תגובה לאירועי אבטחה: כל חשד לאירוע ידווח מיידית למנכ"ל. המנכ"ל יתעד וידווח לרשות להגנת הפרטיות, במידת הצורך, ויפעל לתיקון מיידי.

 

סעיף 3: ניהול מחזור חיי המידע

סעיף3.1  – שמירת מידע לפי סוגי נתונים

 3.1.1 שמירת מידע – מאמנים ועובדים (לרבות פרילנסרים/ספקים)

העמותה שומרת מידע אישי, מקצועי ופיננסי של מאמנים ועובדים בהתאם להוראות הדין ולצרכים הלגיטימיים של פעילותה, כמפורט להלן:

  1. מסמכי התקשרות והעסקה – לרבות חוזי עבודה/מתן שירות, טפסי קליטה, תיאומי מס, אישורי עוסק – יישמרו לתקופה של 7 שנים ממועד סיום ההתקשרות, לצורך עמידה בדרישות מס, ביטוח לאומי, או הליכים משפטיים אפשריים.
  2. טפסי רגולציה – לרבות טפסי היעדר עבירות מין, ביטוח אחריות מקצועית, אישורי עזרה ראשונה – יישמרו לתקופה של שנתיים ממועד סיום ההתקשרות, אלא אם המאמן חוזר לפעילות, ובמקרה כזה יעודכנו מחדש בהתאם לתוקף.
  3. פרטי חשבון בנק – יישמרו במאגר המידע כל עוד ישנה סבירות סבירה לחידוש ההתקשרות, ובכל מקרה לא יותר מ־שלוש שנים ממועד סיום הפעילות, אלא אם קיימת הצדקה חוזית או הסכמה מפורשת אחרת. בתום התקופה תבוצע מחיקה מבוקרת.
  4. תיעוד מקצועי, הערכות פנימיות ודירוגי איכות – יישמרו לתקופה של שנתיים ממועד סיום הפעילות, וזאת לשם שימור ידע מקצועי רלוונטי והבטחת יכולת הערכה מהירה במקרה של חידוש ההתקשרו.

3.1.2 שמירת מידע – מועמדים שלא נקלטו

 

העמותה שומרת מידע אישי, מסמכים ותיעוד תהליך גיוס של מועמדים שלא נקלטו לתקופה של שנתיים ממועד סיום הליך הגיוס. מטרת השמירה היא לאפשר בחינה מחודשת של מועמדותם למשרות עתידיות ולהבטיח גמישות תפעולית בגיוס עובדים ומאמנים.
בתום התקופה יימחק המידע ממערכות העמותה, אלא אם התקבלה הסכמה מפורשת מהמועמד להמשך שמירה, או שקיימת דרישה חוקית אחרת המחייבת שמירה ארוכה יותר.

3.1.3  שמירת מידע – לקוחות

  1. לקוחות פעילים – מידע נשמר במלואו, לרבות פרטים אישיים, פרטי קשר, מסמכים משפטיים ופיננסיים, ותיעוד פעילות, לצורך ניהול ההתקשרות, מתן השירות, פיקוח ובקרה.
  2. לקוחות לשעבר – לאחר סיום ההתקשרות, סטטוס הלקוח במערכת ישונה ל־"לא פעיל".
    • במצב זה, המידע והמסמכים נשמרים אך אינם בשימוש שוטף, ויונגשו רק במקרה של צורך פיננסי, משפטי או תפעולי.
    • מסמכים פיננסיים ומשפטיים (חוזים, דרישות תשלום, חשבוניות, קבלות) – יישמרו במערכת לתקופה של 7 שנים לפחות, בהתאם לדיני מס והנהלת חשבונות.
    • מידע מקצועי ותיעוד פעילות – יישמר במערכת לתקופה של עד 3 שנים מתום ההתקשרות, לשם בקרה, הפקת לקחים, ובחינה מחודשת של חידוש קשרים.
    • פרטי קשר – יישמרו במערכת עד 3 שנים מתום ההתקשרות, ויעמדו במצב "לא פעיל", אלא אם נתקבלה בקשה מפורשת למחיקתם.

3.1.4  שמירת מידע – לידים (לקוחות פוטנציאליים)

  1. שמירת נתונים: העמותה שומרת נתוני לידים (פרטי קשר, מקור פנייה, תחומי עניין ותיעוד אינטראקציות) במערכת ה־CRM לתקופה של עד 3 שנים ממועד יצירת הקשר האחרון. במהלך תקופה זו הליד עשוי להיות מסווג כליד "חם" או "קר", והמערכת מאפשרת לעמותה לחדש ניסיונות התקשרות או לשקול המרה ללקוח פעיל.
  2. שילוב ברשימות דיוור: כל ליד שנכנס למערכת מתווסף באופן אוטומטי לרשימת התפוצה במערכת הדיוור (Smoove).
    • המטרה היא לספק לליד מידע, עדכונים ותכנים בעלי ערך הקשורים לפעילות העמותה.
    • הליד רשאי בכל עת לבצע הסרה עצמית מרשימת התפוצה באמצעות מנגנון ה־opt-out הקיים במערכת Smoove, בהתאם לחוק הספאם (תיקון 40 לחוק התקשורת).
  3. מחיקה/הגבלת שימוש: בתום תקופת שלוש השנים, או אם הליד ביקש הסרה מלאה, המידע יימחק ממערכות העמותה, למעט מידע הדרוש לעמידה בחובות חוקיות (לדוגמה: תיעוד הסכמה למשלוח דיוור).
  4. המרה ללקוח: אם הליד הופך ללקוח פעיל, המידע נשמר במערכת בהתאם למדיניות סעיף 3.1.3.

 3.1.5 שמירת מידע – ספקים

3.1.5.1  ספקים פעילים

  • נשמרים פרטים מזהים (שם מלא/שם עסק, מספר עוסק, פרטי קשר, כתובת), פרטי תשלום (פרטי חשבון בנק, תנאי תשלום), מסמכים חוזיים (חוזי התקשרות, טפסי הזמנת עבודה), ותיעוד התנהלות שוטפת (חשבוניות, קבלות, תכתובות).
  • הנתונים נשמרים כל עוד קיימת התקשרות פעילה עם הספק או חובות כספיים הדדיים.

3.1.5.2  ספקים לשעבר

  • עם סיום ההתקשרות, סטטוס הספק ישונה ל־"לא פעיל", אך המידע לא יימחק מיידית אלא יעבור למצב של שמירה מוגבלת.
  • מסמכים פיננסיים (חשבוניות, קבלות, חוזים, טפסי הזמנות עבודה) – יישמרו 7 שנים לפחות בהתאם לדרישות רשות המסים ולחובות ניהול ספרים.
  • פרטי קשר ותיעוד פעילות – יישמרו לתקופה של עד 3 שנים מתום ההתקשרות, לצורך פיקוח, הפקת לקחים ובחינה של חידוש אפשרי של ההתקשרות.
  • פרטי חשבון בנק – יישמרו לתקופה של עד שנתיים מתום ההתקשרות, כדי לאפשר חידוש התקשרות או סגירת חובות, ולאחר מכן יימחקו אלא אם קיים צורך חוקי או חשבונאי להמשיך ולהחזיק בהם.

3.1.5.3  מאמנים פרילנסרים

  • מאמנים הפועלים כעצמאים נכללים הן כעובדים זמניים/נותני שירות והן כספקים.
  • לגביהם תחולנה ההוראות גם של סעיף 3.1.1 (עובדים ומאמנים) וגם של סעיף זה (ספקים), בהתאם לנסיבות.

3.1.6  שמירת מידע – מסמכים כלליים / חומרי עמותה

3.1.6.1  סוגי מסמכים

  • מסמכים משפטיים ורגולטוריים: תקנון העמותה, רישום ברשם העמותות, אישורי ניהול תקין, מסמכי מבקר עמותה, דו"חות שנתיים לרשויות.
  • מסמכים פיננסיים כלליים: דוחות כספיים מבוקרים, מאזנים שנתיים, דו"חות רווח והפסד.
  • מסמכי ניהול פנימי: פרוטוקולים מישיבות הנהלה/ועד מנהל, נהלים, תרשימי תהליכים, מסמכי כלליים.
  • תכתובות רשמיות: מכתבים לבנקים, לרשויות המס, למשרדי ממשלה, לחברות עירוניות.

3.1.6.2  משך שמירה

  • מסמכים משפטיים ורגולטוריים: יישמרו לתקופה בלתי מוגבלת, כל עוד העמותה קיימת, לצורך בקרה ופיקוח של רשם העמותות ורשויות המדינה.
  • דו"חות כספיים מבוקרים ומאזנים שנתיים: יישמרו לתקופה של 7 שנים לפחות, בהתאם לדרישות הדין. מומלץ לשמור עותק דיגיטלי גם מעבר לכך לצורכי שקיפות פנימית.
  • נהלים, פרוטוקולים ותיעוד ניהולי: יישמרו לתקופה של 5 שנים לפחות, אלא אם הוחלפו בנהלים מעודכנים או שאינם רלוונטיים עוד.
  • תכתובות רשמיות עם בנקים ורשויות: יישמרו לתקופה של  7 שנים לפחות, בדומה למסמכים פיננסיים.

3.1.6.3  אופן השמירה

  • כלל המסמכים נשמרים במערכת Google Drive  של העמותה, בחשבון המרכזי של המנכ"ל.
  • הרשאות גישה למסמכים ניתנות לבעלי תפקידים בהתאם להגדרת תפקידם, וניתן להסירן בכל עת.
  • בעלי התפקידים מחויבים לשמירה על סודיות המסמכים, מניעת הפצתם לגורמים חיצוניים, ושמירה על פרטיות בהתאם לחוק.

סעיף 3.2 – אבטחת מידע

 3.2.1 הגנות טכניות

  1. Base44:
    • המערכת פועלת בסביבת ענן מאובטחת, עם הצפנת מידע במנוחה (at rest) ובתנועה (in transit).
    • יש שימוש במנגנוני הרשאות מבוססי תפקיד (Role Based Access Control).
    • הגישה מנוהלת ע"י אדמין יחיד (מנכ"ל העמותה).
    • ניהול סשנים כולל ניתוק אוטומטי לאחר זמן חוסר פעילות.
  2. Google Drive:
    • גישה למסמכים מוגבלת לחשבון המנכ"ל בלבד, עם אפשרות הענקת הרשאות נקודתיות לפי תפקיד.
    • ניתן להסיר הרשאות בכל עת.
    • גוגל מיישמת הצפנה, ניהול זהויות דו-שלבי (2FA) ובקרת גישה מתקדמת.
  3. דוא"ל ארגוני:
    • מנוהל ע"י חברה חיצונית, עם אפשרות ניהול משתמשים והסרת גישה לעובדים לשעבר.
    • תקשורת מוצפנת בפרוטוקול TLS.
    • חשבונות הארגון כוללים אימות דו שלבי (2FA).
  4. Smoove  מערכת דיוור:
    • כוללת מנגנון opt-out מובנה (הסרת משתמש מרשימת תפוצה).
    • ניהול הרשאות פנימי לפי משתמש.
    • מאובטחת לפי תקני אבטחת מידע של ספק השירות.

3.2.2  הגנות ארגוניות וניהול הרשאות

  1. ניהול הרשאות לפי תפקיד (Role-Based Access):
    • לכל עובד מטה ניתנת גישה רק ליישויות ולמסמכים הנחוצים לתפקידו.
    • אין לעובדים גישה ליישויות שאינן רלוונטיות לתחום אחריותם.
    • המנכ"ל משמש כ־Admin יחיד בעל שליטה מלאה על כלל המערכת.
  2. בקרה על גישה ל־Google Drive:
    • הגישה לחשבון הראשי מוגבלת למנכ"ל בלבד.
    • הרשאות נוספות ניתנות לעובדי מטה בהתאם לתפקידם, וניתן להסירן בכל עת.
    • בעלי תפקידים מחויבים לשמירה על פרטיות, סודיות ואי־הפצת מסמכים מחוץ לארגון.
  3. ניהול סיום העסקה:
    • עם סיום תפקידו של עובד/ספק, גישתו למערכת Base44 ולדוא״ל הארגוני מוסרת באופן מיידי.
    • כך מובטח כי לא תיוותר גישה של גורמים שאינם חלק מהעמותה.
  4. התחייבות לסודיות:
    • כל בעלי התפקידים נדרשים לעמוד בחובת סודיות ושמירה על פרטיות בהתאם להוראות חוק הגנת הפרטיות ולנהלי העמותה.
    • מדיניות זו חלה על כל סוגי המסמכים והמידע המאוחסנים, בין אם במערכת  Base44  ובין אם ב־Google Drive או בדוא״ל הארגוני.

 

3.2.3  בקרה, ניטור ותגובה לאירועים

  1. בקרה שוטפת:
    • מערכת Base44 מספקת יומני פעילות (logs) לניהול ובקרה של פעולות משתמשים, לרבות יצירה, עריכה ומחיקה של נתונים.
    • ב־Google Drive אין מעקב ישיר אחר מועדי כניסה של משתמשים מורשים, אך כן קיימת אפשרות לצפות במועד ובזהות המשתמש שביצע שינויים בקובץ.
    • דוא״ל ארגוני ואתר הבית מנוהלים ע"י ספק חיצוני הכולל ניטור מובנה לניסיונות פריצה, כניסות חריגות, הודעות זבל (spam) וניסיונות פישינג.
  2. איתור חריגות:
    • העמותה טרם קבעה מנגנון פורמלי לאיתור אוטומטי של גישה לא מורשית או דליפת מידע.
    • כיום, ההתבססות היא על המנגנונים שמספקים ספקי השירות עצמם (Base44, Google, ספק הדוא״ל והאתר).
    • יש לבחון הטמעת נוהל מסודר לזיהוי חריגות באופן פרואקטיבי, לרבות קבלת התראות יזומות.
  3. תגובה לאירועים (Incident Response):
    • במקרה של אירוע אבטחת מידע, האדמין אחראי ל:
      • ניתוק מיידי של המשתמש הרלוונטי (אם מדובר בחשבון פנים־ארגוני).
      • תיעוד האירוע (תאריך, שעה, גורם מעורב, היקף הפגיעה).
      • הערכת היקף הנזק ונקיטת צעדי תיקון.
      • פנייה וביצוע פעולות מנע או צמצום נזק בעזרת איש מקצוע רלוונטי המשמש כספק העמותה (כגון מנהל האתר, היועץ לתפעול Base44 או החברה המתחזקת את הדוא"ל הארגוני).
    • במקרים בהם קיימת חובת דיווח, תימסר הודעה לרשויות המוסמכות ולנושאי המידע, בהתאם לתיקון 13 לחוק.
  4. מנגנוני גיבוי ושחזור:
    • Base44 כוללת מנגנוני גיבוי פנימיים.
    • מסמכים המאוחסנים ב־Google Drive מגובים אוטומטית בענן Google, עם אפשרות שחזור לגרסאות קודמות של מסמכים.

 

3.2.4  שימוש במערכות צד , Google Drive, דוא״ל, אתר הבית Smoove,  

  1. Google Drive
    • מסמכי העמותה נשמרים בענן Google Drive.
    • הרשאות גישה ניתנות אך ורק דרך חשבון הדוא״ל הארגוני, תחת שליטה מלאה של המנכ״ל (Admin).
    • ניתן להסיר או לשנות הרשאות בכל עת בהתאם לצורך.
    • קיימת אפשרות מעקב אחר שינויי קבצים (מועד, משתמש שביצע שינוי), אך לא אחר עצם הכניסה של משתמש מורשה ללא פעולה.
    • המסמכים מגובים באופן מובנה בשרתי Google, כולל שחזור גרסאות קודמות.
  2. דוא״ל ארגוני
    • הדוא״ל הארגוני מתוחזק ע"י חברה חיצונית המספקת שירותי תחזוקה, ניטור ואבטחה.
    • המערכת כוללת מנגנוני סינון מפני דואר זבל (spam), פישינג וניסיונות חדירה.
    • הרשאות גישה ניתנות בהתאם לתפקיד העובד, וניתנות להסרה בכל עת.
    • עם סיום תפקידו של עובד, חשבונו מוסר מידית.
  3. אתר הבית
    • האתר מהווה מקור לאיסוף פניות של מתעניינים (לידים).
    • כל פרטי ההתקשרות שהושארו באתר מועברים באופן אוטומטי למערכת Base44 ו/או למערכת הדיוור Smoove.
    • האתר מנוטר ע"י ספק חיצוני לניסיונות פריצה, Malware ואיומים אחרים.
    • האתר פועל תחת פרוטוקול SSL מוצפן, בהתאם לסטנדרטים הנהוגים.
  4. מערכת Smoove דיוור שיווקי
    • לידים שנאספו מוזנים גם לרשימות התפוצה במערכת Smoove לצורך עדכון שוטף במידע שיווקי.
    • כל ליד רשאי להסיר את עצמו מרשימת התפוצה באמצעות מנגנון "הסר" (Opt-out) המובנה במערכת.
    • הנתונים נשמרים בשרתי Smoove בהתאם למדיניות השמירה שלהם, והעמותה מוודאת כי היא פועלת בהתאם לתנאי השימוש של הספק.

סעיף 3.3 – בקרה ודיווח

  1. בקרות פנימיות תקופתיות:
  • העמותה מבצעת בדיקה חצי־שנתית של הרשאות המשתמשים במערכת Base44 וב־Google Drive, כדי לוודא שאין חשבונות עודפים או משתמשים שכבר אינם בתפקיד אך עדיין יש להם גישה.
  • אחת לשנה מתבצעת סקירה כוללת של כלל תהליכי אבטחת המידע, לרבות בדיקת אמצעי אבטחה טכנולוגיים, בחינת נהלים ומעקב אחר תיקון ליקויים שהתגלו בעבר.
  • מנהל/ת המערכת (Admin) אחראי/ת לתעד בכתב את ביצועי הביקורות והלקחים שהופקו.
  1. דיווח פנימי להנהלה:
  • תוצאות הביקורות התקופתיות מדווחות להנהלת העמותה (מנכ"ל וחברי ועד מנהל) במסמך מסכם.
  • המסמך כולל: ממצאים עיקריים, חריגות שהתגלו (אם יש), פעולות מתקנות שננקטו, והמלצות להמשך.
  1. ניהול אירועים והפקת לקחים:
  • במקרה של אירוע אבטחת מידע (למשל גישה לא מורשית, אובדן מסמך, חשש לדליפה), האירוע יתועד בכתב, כולל תאריך, שעת גילוי, אופי האירוע והפעולות שננקטו.
  • לאחר טיפול באירוע, תיערך סקירת Lessons Learned שתשמש לשיפור הנהלים ולהפחתת סיכון לאירועים חוזרים.
  1. דיווח לרשויות המוסמכות:
  • אם יתגלה אירוע חמור של פגיעה בזכויות נושאי המידע, העמותה תדווח לרשות להגנת הפרטיות בהתאם לדרישות תיקון 13 לחוק.
  • הדיווח יכלול: תיאור האירוע, סוגי המידע שנפגעו, צעדי טיפול שננקטו, ותכנית למניעת הישנות מקרים דומים.

 

 3.4 אחריות ותפקידים

  1. מנכ״ל העמותה משמש גם כ־ Admin במערכת  Base44
    • הגורם העליון האחראי על יישום תיקון 13 לחוק הגנת הפרטיות בעמותה.
    • קובע את מתווה המדיניות לאבטחת מידע ולשמירה על פרטיות, ומפקח על יישומה.
    • מאשר הרשאות גישה לכלל המערכות (Base44, Google Drive, דוא״ל, אתר, Smoove).
    • נושא באחריות לדיווח לרשות להגנת הפרטיות במקרה של אירוע חמור.
    • עובד בצוותא עם מנהלת המשרד בניהול שוטף של הרשומות והמסמכים.
  2. מנהלת המשרד:
    • פועלת בצוותא עם המנכ״ל בביצוע המדיניות שנקבעה.
    • אחראית לניהול המסמכים, תיאום מול הנהלת החשבונות, המבקרת והיועצים החיצוניים.
    • מנהלת בפועל את תהליכי גבייה, דרישות תשלום ותיעוד מסמכים פיננסיים.
    • מוודאת כי מסמכים נשמרים בהתאם לדרישות החוק (7 שנים לפחות למסמכים פיננסיים).
  3. מנהל/ת משאבי אנוש:
    • אחראי/ת על ניהול מידע אישי של מאמנים ועובדים (כולל חוזים, ביטוחים, טפסים).
    • מבצע/ת מעקב אחר תוקף מסמכים (טופס היעדר עבירות מין, ביטוח מקצועי, הכשרות).
    • מדריך/ה עובדים חדשים בנושאי פרטיות ושמירה על מידע.
  4. המנהל המקצועי:
    • אחראי על תיעוד והערכה מקצועית של מאמנים במערכת.
    • מוודא כי מידע מקצועי רגיש נשמר בצורה מאובטחת ומוגבלת לגורמים מורשים בלבד.
    • עובד בשיתוף פעולה עם מנהל/ת משאבי אנוש והמנכ״ל ליישום סטנדרטים לשמירה על פרטיות.
  5. מנהלת קשרי קהילה וגיוס משאבים:
    • אחראית על ניהול לידים, תורמים ולקוחות פוטנציאליים במערכות Base44 ו־Smoove.
    • מוודאת כי איסוף המידע מתבצע על בסיס הסכמה כדין (כגון השארת פרטים באתר, טפסי נחיתה וכו').
    • אחראית לשמירה על סודיות המידע של תורמים וגופים מממנים.
  6. צוות מטה כללי:
    • מקבל הרשאות גישה מצומצמות בהתאם לתחום תפקידו בלבד (עקרון ה־Least Privilege).
    • מחויבים לשמירה על סודיות, אי־הפצת מידע ושימוש בו אך ורק לצורך התפקיד.
    • במקרה של עזיבת תפקיד – חשבונם במערכות מוסר באופן מיידי.
  7. ועד מנהל ויו"ר העמותה:
    • נושאים באחריות כוללת לפיקוח על עמידת העמותה בדרישות הדין, כולל שמירה על פרטיות.
    • מאשרים את מדיניות אבטחת המידע במסגרת דיוני הוועד.
    • מקבלים דיווח תקופתי מהמנכ״ל אודות יישום ההוראות והביקורות הפנימיות.
  8. ספקים חיצוניים:
    • גישה ניתנת רק לספקים שהוחלט במפורש כי היא הכרחית, כגון:
      • מנהל האתר.
      • יועץ תפעול של Base44.
      • החברה המתחזקת את הדוא״ל הארגוני.
      • מבקרת העמותה.
      • הנהלת חשבונות.
    • כל ספק כזה נחשב מעבד מידע (Processor) והעמותה היא בעלת המידע (Controller).
    • ההתקשרות כוללת סעיף מפורש בדבר חובת שמירה על סודיות ואבטחת מידע.

 

3.5  הכשרות והעלאת מודעות

  1. הדרכות חובה לאנשי צוות מטה:
    • אחת לשנה מתקיימת ישיבת ריענון ייעודית לאנשי צוות המטה בלבד.
    • בישיבה זו עוברים מחדש על נהלי אבטחת המידע והפרטיות של העמותה, בהתאם להוראות תיקון 13 לחוק.
    • מטרת הריענון: לוודא שכל בעלי התפקידים המנהלים מידע (מנכ״ל, מנהלת משרד, מנהל/ת משאבי אנוש, מנהל מקצועי, מנהלת קשרי קהילה וגיוס משאבים) מודעים לחובותיהם.
  2. קליטת אנשי מטה חדשים:
    • כל עובד מטה חדש נדרש לחתום על טופס התחייבות לשמירה על פרטיות המידע כחלק מתהליך הקליטה.
    • הטופס כולל התחייבות לשמירה על סודיות, אי־הפצת מידע, ושימוש במידע רק לצורך התפקיד.
  3. מאמנים:
    • המאמנים אינם מחויבים בריענון שנתי של נהלים.
    • הצהרת הסודיות והתחייבות לשמירה על פרטיות המידע כבר כלולות בהסכמי ההעסקה או בהסכמי הזמנת העבודה שעליהם הם חותמים.
  4. ספקים חיצוניים ומתנדבים:
    • ככל שניתנת להם גישה למסמכים או מידע רגיש, הם מחויבים בהצהרת סודיות כתובה ייעודית.
    • הצהרה זו נחתמת במסגרת ההתקשרות עמם.

 

 3.6 ניהול אירועי אבטחת מידע ודיווח

  1. הגדרת אירוע אבטחת מידע:
    אירוע אבטחת מידע מוגדר כאחד מהמקרים הבאים:
    • גישה לא מורשית למידע אישי או מקצועי במערכות העמותה (Base44, Google Drive, דוא״ל ארגוני).
    • מחיקת מידע בשגגה או כתוצאה מפריצה.
    • דליפת מסמכים או נתונים לגורם חיצוני לא מורשה.
    • שימוש במידע בניגוד למטרה שלשמה נאסף.
  2. דיווח פנימי מיידי:
    • כל עובד מטה שנחשף לאירוע אבטחת מידע או חושד בכך, מחויב לדווח באופן מיידי למנכ״ל ולמנהלת המשרד.
    • הדיווח יתבצע בכתב (מייל/טופס ייעודי) ויכלול:
      • תיאור האירוע
      • סוג המידע שנפגע
      • מועד האירוע
      • זהות המשתמש/המערכת המעורבת
  3. ניהול ותחקור האירוע:
    • המנכ״ל ומנהלת המשרד יבחנו את חומרת האירוע ויחליטו אם נדרש דיווח חיצוני לרשות להגנת הפרטיות בהתאם לחוק.
    • במידת הצורך, ייעשה שימוש ביועצים מקצועיים חיצוניים (מנהל האתר, יועץ תפעול Base44, החברה המתחזקת את שרתי הדוא״ל) לצורך טיפול מיידי או מניעת נזק.
  4. תיעוד ובקרה:
    • כל אירוע יתועד במסמך מסודר (Incident Report) הכולל: פרטי האירוע, פעולות שננקטו, מסקנות ותיקונים.
    • מסמכי התיעוד יישמרו ב־Google Drive בתיקייה ייעודית תחת הרשאת מנהלת המשרד והמנכ״ל בלבד.
  5. פעולות מנע ושיפור:
    • לאחר כל אירוע תיערך בחינה האם יש צורך בעדכון נהלים, חיזוק הרשאות, או שדרוג אבטחת המידע במערכות.
    • פעולות מנע יבוצעו בשיתוף פעולה עם ספקים חיצוניים הרלוונטיים לנושא (למשל, מנהל האתר, יועץ תפעול Base44).

3.7  בקרה ודיווח תקופתי

  1. ביקורת פנימית שוטפת:
    • אחת לשנה תיערך בדיקה פנימית בידי מנהלת המשרד, מנהל מש"א והמנכ״ל כדי לוודא:
      • שהרשאות הגישה למערכות (Base44, Google Drive, דוא״ל ארגוני) תואמות את תפקידי העובדים בפועל.
      • שמחיקת/הסרת גישה של עובדים שסיימו תפקידם בוצעה כנדרש.
      • שמידע אישי נשמר אך ורק בהתאם למדיניות שפורטה בסעיף 3.1.
    • תוצאות הבדיקה יתועדו במסמך ייעודי (“דו״ח בקרה פנימית”) שישמר ב־Google Drive תחת הרשאת המנכ״ל בלבד.
  2. בקרה מול ספקים חיצוניים:
    • אחת לשנה תבוצע בחינה של עמידת הספקים המרכזיים במדיניות אבטחת המידע:
      • Base44 – בדיקת עמידה בסטנדרטים של אבטחת מידע ועדכונים מהחברה.
      • Google – בהתאם לסטנדרטים של Google Workspace.
      • מערכת Smoove לדיוור – עמידה בסטנדרטים של פרטיות ואפשרות הסרה תקינה למשתמשים.
    • ככל שיידרש, תבוצע פנייה רשמית לספקים לקבלת אישור או הצהרת אבטחת מידע עדכנית.
  3. דיווח להנהלה:
    • דו״ח סיכום שנתי יובא לדיון בישיבת ועד מנהל, ובמידת הצורך גם בפני יו״ר העמותה.
    • הדו״ח יכלול: ליקויים שהתגלו, פעולות תיקון שבוצעו, והמלצות לשנה הקרובה.
  4. דיווח לרשות להגנת הפרטיות (במקרה חמור):
    • במידה ומתגלה אירוע אבטחת מידע חמור (כפי שהוגדר בסעיף 3.6), המנכ״ל יבחן עם ייעוץ משפטי אם נדרש דיווח חיצוני לרשות להגנת הפרטיות.
    • הדיווח יבוצע תוך עמידה בהנחיות החוק ובמסגרת הזמן שנקבעה בחוק (לרוב 72 שעות).

 3.8 ניהול ספקים ושיתופי פעולה

  1. עקרון אחריות העמותה:
    • גם כאשר מידע אישי של מאמנים, עובדים, לקוחות או לידים נמצא בידי ספק חיצוני, האחריות להגנת המידע מוטלת בראש ובראשונה על העמותה.
    • לפיכך, על העמותה לוודא שהספקים החיצוניים עומדים בדרישות אבטחת המידע והפרטיות, בהתאם לחוק.
  2. ספקי שירות מרכזיים:
    • Base44  משמשת כמערכת ניהול המידע המרכזית. ניהול ההרשאות במערכת מבוצע על ידי המנכ"ל בלבד, ותיעוד השימוש נשמר. העמותה מצהירה על עמידה בסטנדרטים מקובלים של אבטחת מידע.
    • Google Workspace (Drive, Gmail, Calendar): מאובטח תחת סטנדרטים של Google, עם גישה מוגבלת למשתמשים שהוגדרו על פי תפקידם.
    •  Smoove  מערכת לדיוור ולניהול רשימות תפוצה, מאפשרת לכל נמען להסיר עצמו בלחיצת כפתור ומצוידת בהצהרת עמידה ב־GDPR.
    • הנהלת חשבונות ומבקרת עמותה – נדרשים לקבל גישה אך ורק למסמכים פיננסיים רלוונטיים, בכפוף להסכמי התקשרות הכוללים סעיפי סודיות.
    • בנק וחברות סליקה –  גישה למידע פיננסי בלבד, בכפוף לרגולציה בנקאית.
    • ספקי אתר האינטרנט – מנהלים את האתר ומחוייבים לטפל בתקלות תוך שמירה על אבטחת המידע, כולל מניעת פריצות ושדרוגי אבטחה.
  3. הסכמי התקשרות עם ספקים:
    • בכל הסכם התקשרות עם ספק חיצוני יכללו סעיפים המחייבים:
      • שמירה על סודיות מידע.
      • הגבלת שימוש במידע רק למטרות שהוגדרו בהתקשרות.
      • התחייבות לעמידה בתקנות אבטחת מידע.
    • ההסכם ינוהל על ידי המנכ"ל ומנהלת המשרד.
  4. פיקוח ובקרה:
    • אחת לשנה, מנהלת המשרד תבחן מחדש את ההתקשרויות עם הספקים ותוודא כי לא חלו שינויים במדיניות אבטחת המידע שלהם.
    • ככל שיידרש, ידרשו מהספקים אישורי אבטחת מידע או תצהירים כתובים.
  5. אירועי אבטחה אצל ספקים:
    • במקרה בו מתרחש אירוע אבטחת מידע אצל ספק (למשל פריצה ל־ Base44 או ל־  Google Drive), האחריות הראשונית על טיפול ושיקום היא של הספק.
    • עם זאת, על העמותה לוודא קבלת דיווח מהספק, ולבצע ניתוח סיכונים פנימי והשלכות על המידע שבניהולה.

 

3.9  זכויות נושאי המידע

  1. עקרון יסוד:
    לכל אדם שהעמותה אוספת עליו מידע יש זכויות חוקיות לעיין בנתוניו האישיים, לתקנם או לבקש את מחיקתם, בכפוף למגבלות הדין ולצרכי העמותה.
  2. היקף הזכות לעיון:
    • נושא מידע זכאי לקבל עותק מהמידע האישי הישיר הנוגע לו, הכולל: נתונים מזהים (שם, כתובת, טלפון, תעודת זהות), מסמכים פורמליים שנמסרו לעמותה (קורות חיים, טפסים, חוזים), ותיעוד עובדות אובייקטיביות הנוגעות להעסקתו או להתקשרותו.
    • החרגות מפורשות: הערכות פנימיות, חוות דעת ניהוליות, שיקולים מקצועיים או הערות פנימיות של צוות העמותה (למשל Observations או Personal Documentations במערכת Base44) אינם נכללים בזכות לעיון, שכן מדובר במידע פנימי של העמותה המשמש לניהול ולבקרה.
  3. זכות לתיקון נתונים:
    כל נושא מידע רשאי לבקש תיקון אם מצא שהמידע האישי עליו אינו נכון או אינו עדכני.
  4. זכות למחיקה:
    בקשה למחיקת מידע תישקל בכפוף לחובות חוקיות (כגון שמירת מסמכים פיננסיים או רגולטוריים). במקרים בהם לא ניתן למחוק את המידע, העמותה תסמן אותו כלא פעיל ותמנע שימוש שוטף בו.
  5. זכות להגבלת שימוש:
    נושא מידע רשאי לבקש שלא יעשה שימוש בפרטיו למטרות שיווקיות, ובקשה כזו תכובד במלואה (למשל באמצעות מערכת Smoove להסרה מרשימות תפוצה).
  6. הליך מימוש הזכויות:
    • בקשות יוגשו בכתב למייל הרשמי של העמותה או בטופס ייעודי באתר.
    • הטיפול בבקשות יתבצע ע"י מנהלת המשרד ובאישור המנכ"ל.
    • מענה יינתן תוך 30 יום, אלא אם יש הצדקה משפטית או רגולטורית לסירוב.