מדיניות פרטיות

מדיניות פרטיות – קבוצת צבירן

עודכן לאחרונה בתאריך _________

מדיניות פרטיות זו (להלן: "המדיניות") מפרטת כיצד קבוצת צבירן, על כלל חברותיה – גאידו צבירן, גונן את גלזנר, ג'יי.טי.ג'י יעוץ משאבי אנוש, ג'יי.טי.ג'י סוכנות לביטוח פנסיוני (2016), צבירן ייעוץ וסקרים, (להלן: "צבירן", "החברה", "אנחנו"), אוספת, משתמשת, מעבדת, שומרת, משתפת ומגינה על מידע אישי במסגרת כלל פעילויותיה – המקוונות והלא‑מקוונות. מדיניות זו חלה על כלל פעילויות החברה ובכלל זה שירותי ייעוץ פנסיוני וביטוחי בריאות, סקרי שכר והטבות, שירותי ייעוץ בתחומי השכר וההטבות, הפעלת מערכות דיגיטליות(ComProcess, Aequitas)  פעילות בתחום ה-Pay Data, BenFits, פעילות אנליטית ומקצועית, וכן על פעילות האתר והתקשרויות עם משתמשים, לקוחות, ספקים וגורמים מקצועיים.

צבירן מחויבת לפעול על פי הוראות חוק הגנת הפרטיות, התשמ״א–1981, תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז–2017, ועל פי עקרונות הגנת המידע הבינלאומיים המקובלים ככל שהם רלוונטיים לאופי השירותים ול‑DPA של צבירן החלים ביחסים עם לקוחות ארגוניים.

המסמך כתוב בלשון זכר מטעמי נוחות בלבד, אך מיועד לכל המגדרים.

 

  1. מבוא

קבוצת צבירן מספקת שירותים מתקדמים בתחום השכר והתגמול, לרבות ניתוחי שכר, פיתוח מודלי תגמול, בדיקות שוויון שכר מגדרי, יעוץ פנסיוני, יעוץ בריאות, ניתוחי נתונים, והפעלת מערכות דיגיטליות ייעודיות.
במסגרת פעילויות אלו מטפלת צבירן במידע אישי במספר הקשרים: מידע שמקורו באתר האינטרנט, מידע שנמסר במסגרת התקשרות עסקית או פרטית, מידע שמקורו בלקוחות ארגוניים ומידע תפעולי הנדרש להפעלת מערכותיה.

צבירן מעניקה חשיבות עליונה להגנה על פרטיות המידע, לשמירה על סודיותו, לעיבודו באופן מידתי ומוגבל למטרה, וליישום סטנדרטים גבוהים של אבטחת מידע ושקיפות.

  1. הגדרות

"מידע אישי" כל מידע על אדם מזוהה או הניתן לזיהוי, במישרין או בעקיפין.

"מידע לקוח" – מידע אישי הנמסר לצבירן לצורך ביצוע שירותים עבור לקוח ארגוני, אשר לגביו הלקוח משמש כ"בעל המאגר" וצבירן כ"מעבד" או "מחזיק".

"עיבוד מידע" – כל פעולה במידע: איסוף, קבלה, אחסון, שימוש, גילוי, שיתוף, התאמה, מחיקה או השמדה.

"בעל מאגר" – הגורם שקובע את מטרות ואמצעי העיבוד.

"מעבד / מחזיק מידע" – הגורם המבצע עיבוד עבור בעל המאגר.

"יצרן"- גוף מוסדי המחזיק ברישיון של רשות שוק ההון לנהל מוצרים פנסיוניים.

"ספק משנה" – צד שלישי המספק לצבירן שירותים מקצועיים, טכנולוגיים או תפעוליים.

"אירוע אבטחה חמור" – אירוע כמשמעו בתקנות הגנת הפרטיות.

 

 

  1. מטרת המדיניות

מטרות מדיניות זו הן:

  • להגדיר מהם סוגי המידע שנאספים;
  • להציג את מטרות העיבוד והשימוש;
  • להסביר למי מועבר מידע ובאילו תנאים;
  • להציג את אמצעי ההגנה והאבטחה המרכזיים;
  • להבהיר את משכי השמירה והמחיקה של מידע אישי;
  • ליידע את נושאי המידע על זכויותיהם וכיצד לממש;
  • להשלים את מסמך ה‑DPA החל מול לקוחות החברה.
  1. סוגי המידע הנאסף

4.1 מידע הנאסף באמצעות אתר האינטרנט של צבירן

בעת שימוש באתרי האינטרנט של צבירן עשויים להיאסף:

  • כתובת IP ומידע טכני על מכשיר ודפדפן;
  • נתוני שימוש באתר, תנועות גלישה, דפים שנצפו, זמני פעולה;
  • נתונים הנמסרים בטפסים: שם, תפקיד, ארגון, דוא״ל, טלפון, תוכן פניה;
  • מידע הנאסף באמצעות עוגיות (Cookies) וטכנולוגיות דומות.

איסוף מידע באמצעות האתר, לרבות סוגי העוגיות המופעלות, מתבצע בהתאם למדיניות זו — ובכפוף למסמך תנאי השימוש באתר, אשר מפרט באופן מעמיק את אופן פעולת האתר, טכנולוגיות הניטור המופעלות בו, מטרותיהן וסוגי קבצי העוגיות.

בכל מקרה שבו קיים הבדל בין תנאי השימוש לבין מדיניות זו בנוגע לפעילות האתר — יקבע המפורט במסמך תנאי השימוש שבאתר החברה.

4.2  מידע הנאסף במסגרת שירותי יעוץ

בעת ביצוע פרויקטים כגון יעוץ בנושאי שכר, יעוץ בנושא פנסיה ובריאות, ניתוחים ארגוניים וכדומה נאסף מידע כגון:

  • נתוני תפקיד, ותק, דרג
  • נתוני שכר, תגמול ונתוני משרה
  • טבלאות ואקסלים המועברים על‑ידי הלקוח או צד ג' כגון: יצרנים ומנהלי הסדר
  • מבנה ארגוני ומיפוי תפקידים
  • קבצי נתונים ומידע המיועד לניתוחים מקצועיים
  • נתוני הפקדות פנסיוניות, מצב משפחתי, כיסויים ביטוחים
  • נתוני תביעות המועברים על-ידי היצרן

 

4.3  מידע במסגרת שימוש במערכות הדיגיטליות

4.3.1 ComProcess (SaaS / On‑Prem)

נתוני עובדים ותגמול הנדרשים לניהול תהליכי תגמול.
ב‑On‑Prem  הנתונים נשמרים אצל הלקוח בלבד.

4.3.2 Aequitas – פערי שכר

שמות, נתוני מגדר, שכר, שיוך ארגוני ותפקיד לצורך בדיקת פערי שכר.
לצבירן אין גישה למידע זה אלא בעת תמיכה נדרשת.

4.3.3. PayData

נתוני שכר ותפקיד ללא מזהים אישיים. במקרים מסוימים, כאשר מדובר במידע אודות בעלי תפקיד יחיד בחברות, פריטי מידע מסוימים עשויים לענות על ההגדרה של מידע אישי.

4.3.4 BeneFits

הנתונים בחלק הזה אינם כוללים מידע אישי אלא מדיניות של החברה בנושא הטבות.

יודגש, כי שירותים מסוימים של קבוצת צבירן כוללים עיבוד מידע רגיש יותר (כגון נתוני שכר מפורטים, מידע תעסוקתי מלא ומידע פנסיוני), בהתאם לצורך המקצועי של השירות ולפי הנחיות הלקוח. פירוט מלא של סוגי הנתונים, תתי‑קטגוריות המידע, תדירות העיבוד ומשך השמירה מצוי ב‑DPA החוזי בין צבירן ללקוח. במקרה של סתירה – הוראות ה‑DPA גוברות.

4.4  מידע במסגרת קשר עסקי

  • פרטי נציגי לקוחות;
  • תכתובות;
  • סיכומי פגישות;
  • פרטי הזמנות ופרויקטים.

4.5 ספקים ויועצים

  • פרטי ספק;
  • פרטי חשבוניות;
  • מסמכי התקשרות.

4.6 קטינים

צבירן אינה אוספת מידע על קטינים.

  1. מטרות שימוש במידע

5.1  אספקת שירותים מקצועיים

ביצוע יעוץ בנושאי תגמול עובדים, Benchmark, ניתוחי שכר, בדיקות פערי שכר, הפקת דוחות מקצועיים.

5.2  תפעול מערכות ושיפורן

ניטור ביצועים, תמיכה טכנית, ניהול הרשאות, שיפור מוצרים.

5.3  תקשורת עם לקוחות

מענה לפניות, ניהול תיאומים, עדכונים מקצועיים (בהסכמה).

5.4  אנליטיקה ומחקר

עיבוד נתונים לצורך מחקר שוק ושיפור מקצועי.

5.5  עמידה בדרישות דין

לרבות תיעוד, רישום, מענה לרשויות.

  1. מסירת מידע לצדדים שלישיים

6.1  ספקי משנה

צבירן משתמשת בספקי משנה לצורך:

  • תשתיות ענן ואחסון;
  • שירותי IT;
  • מערכות SaaS;
  • אבטחת מידע;
  • שירותים מקצועיים;
  • תמיכה טכנית.

ספקי המשנה מתחייבים:

  • לשמירה על סודיות;
  • הגבלת שימוש במידע;
  • עמידה במנגנוני אבטחה מחייבים;
  • מחיקה/השבה של מידע לפי הצורך;
  • עמידה מלאה ב‑DPA.

צבירן רשאית לעדכן, להחליף או להוסיף ספקים בהתאם לצרכיה העסקיים.

6.2 העברות מידע בתוך קבוצת צבירן

קבוצת צבירן פועלת במבנה עבודה אינטגרטיבי, שבו עובדים מצוותים למשימות ולתחומי פעילות בהתאם למומחיותם ולצרכי הלקוחות, ללא תלות בשיוך התאגידי הפורמלי של כל עובד. בהתאם לכך, חברות הקבוצה משתפות פעולה באופן שוטף בביצוע פרויקטים, בהפעלת מערכות, בתמיכה מקצועית ובתפעול שירותים.

לצורך מתן השירותים ועמידה בהתחייבויות כלפי לקוחותינו, ייתכן שמידע אישי יועבר בין חברות הקבוצה, וזאת רק בהיקף הדרוש לצורך מתן השירות, ותוך יישום העקרונות הבאים:

  • צמצום מידע (Data Minimization);
  • גישה לפי צורך (Need‑to‑Know);
  • הגבלת שימוש למטרות שנקבעו;
  • שמירה על סודיות ואבטחת מידע מלאה.

כל עובדי הקבוצה כפופים למדיניות אבטחת מידע אחידה, להסכמי סודיות, ולהדרכות מחייבות בנושא פרטיות; והעברות מידע בין החברות מבוצעות בהתאם להוראות הדין ול‑DPA החוזי החל מול הלקוח, ככל שהוא רלוונטי.

6.3 העברות ללקוח

במקרה של "מידע לקוח", צבירן פועלת לפי הנחיותיו ומחזירה או מוחקת את המידע או התוצרים (למעט מה שעשוי להידרש לצורך הגנה משפטית במקרה של תביעה) בהתאם ל‑DPA.

6.4 העברה לרשויות

כאשר קיימת חובה חוקית.

 6.5 שינוי מבני

במקרה של מיזוג, רכישה או העברת פעילות — תוך שמירה על תנאי הגנת הפרטיות.

  1. אבטחת מידע ודיווח על אירועים

צבירן מיישמת אמצעי אבטחה הכוללים:

  • בקרות גישה והרשאות;
  • הצפנת מידע בהעברה ובמנוחה;
  • תיעוד גישה;
  • סקרי אבטחה תקופתיים;
  • גיבוי ושחזור;
  • ניטור סיכונים והפקת דוחות.

במקרה של אירוע אבטחה חמור — צבירן תפעל:

  • לאיתור, הכלה ותיקון;
  • לדיווח ללקוחות הרלוונטיים, ככל שנדרש;
  • לדיווח לרשות (כאשר נדרש וככל שנדרש).
  1. זכויות נושאי מידע

נושא מידע רשאי לבקש (באמצעות פניה בכתב לצבירן):

  • עיון במידע השמור לגביו;
  • תיקון במידע השמור לגביו;
  • מחיקה של מידע השמור לגביו (ככל שהדין מאפשר);
  • הגבלת עיבוד מידע שלו;
  • מידע על שימוש במידע שלו.

כאשר צבירן מעבדת מידע עבור לקוח, יש להפנות את הבקשה ללקוח – המהווה בעלי המידע, שיקבל את ההחלטה בנושא. צבירן תפעל בהתאם להנחיות שיתקבלו מבעל המידע.

במסגרת יעוץ אישי, מידע שנאסף ישירות מנשוא המידע או בעקבות חתימת נשוא המידע על הסכם יפוי-כוח מול החברה, יימחק בהתאם לבקשתו של בעל המידע.

  1. שימוש בעוגיות (Cookies)

אתרי צבירן משתמשים בעוגיות לצרכים הבאים:

  • תפעול אתר החברה;
  • אבטחה;
  • מדידה ואנליטיקה;
  • ובהסכמה — התאמה ושיווק.

השימוש באתר האינטרנט ובכלל זה, אופן איסוף ושימוש ב"עוגיות" מוסדר ומפורט במסמך תנאי השימוש המהווה את תקנון השימוש באתר האינטרנט של החברה.

  1. שמירת מידע

אנו מחויבים לעקרון צמצום המידע המעוגן בחוק הגנת הפרטיות.

ניתן למצוא את פרקי הזמן לשמירת המידע ברשותנו ועד למחיקתו במסמך ה-DPA של החברה.

  1. תיעוד עיבוד

צבירן מנהלת רישום מסודר (ROPA) הכולל:

  • סוגי מידע;
  • מקורות המידע;
  • מטרות;
  • בסיסים חוקיים;
  • אמצעי אבטחה;
  • העברות בין מדינתיות (למעט גיבויים אוטומטיים בשרותי ענן);
  • משכי שמירה.
  1. עדכון המדיניות

מדיניות זו עשויה להתעדכן ולהשתנות מעת לעת. תאריך עדכון אחרון מופיע בראש המסמך.

אם יבוצע שינוי מהותי של המדיניות, עדכון בנושא יועבר ללקוחותינו.

  1. יצירת קשר

לעניין פרטיות:

דוא״ל: [email protected]

כתובת: דבורה הנביאה 121, פארק עתידים בניין 8 תל אביב.