מדיניות הגנת פרטיות ארגונית –כל ישראל חברים (ע"ר)

1. הקדמה ומחויבות הארגון

​ כל ישראל חברים (ע"ר) רואה בשמירה על פרטיותם של תלמידיה, תורמיה, עובדיה וספקיה נושא חשוב. הארגון מחויב לפעול בהתאם לחוק הגנת הפרטיות, התשמ"א-1981, ותקנותיו, ובהתאם לעקרונות תיקון 13 המדגישים את האחריות המוגברת של בעל המאגר על המידע המופקד בידיו.

2. עקרונות היסוד של המדיניות

​העמותה וכל הפועלים מטעמה יפעלו על פי העקרונות הבאים:

​מטרה מוגדרת: מידע ייאסף ויעובד אך ורק למטרות הלגיטימיות והתפעוליות של העמותה ולא ייעשה בו שימוש למטרות זרות.

​צמצום נתונים (Data Minimization): נאסוף אך ורק את המידע הנחוץ לביצוע המשימה. לא יישמר מידע עודף שאין בו צורך חינוכי, תפעולי או חוקי.

​שקיפות: נושאי המידע יקבלו מידע ברור על אופן השימוש בנתוניהם ועל זכויותיהם.

3. אבטחת מידע וניהול גישה

​הגנה על המידע היא אחריות משותפת של כלל העובדים:

​זיהוי אישי: כל גישה למערכות הארגוניות (Salesforce, SharePoint, Hargal וכו') תתבצע באמצעות משתמש אישי מאובטח.

​הגנה טכנולוגית: הארגון יטמיע אמצעי הגנה מתקדמים, לרבות אימות דו-שלבי (MFA) ובקרת גישה מרחוק.

​עבודה על קבצים: קבצים המכילים מידע רגיש, כגון: ת.ז. וציונים של תלמידים יישמרו אך ורק בשרתי ה-SharePointהארגוניים ולא יועתקו למחשבים אישיים או להתקנים ניידים.

4. ניהול ספקים ומיקור חוץ (תיקון 13)

​העמותה מוודאת כי כל ספק חיצוני המקבל גישה למידע (כמו חברות מחשוב ושכר) חתום על נספח אבטחה מחייב. העמותה נשארת האחראית הבלעדית כלפי נושאי המידע, גם אם המידע מאוחסן בשרתי ענן של צד ג'.

5. זכויות נושאי המידע

​העמותה מכבדת את זכויותיהם של הפרטים: זכות העיון במידע והזכות לתיקונו (בכפוף למגבלות חוקיות, כגון חובת שמירת נתוני שכר), ​זכות להסרה מרשימות תפוצה (דיוור ישיר) באופן מיידי וכדומה. כמו כן, העמותה מחויבת להגן על פרטיות המשתמשים המבקרים באתר האינטרנט שלה ובפלטפורמות הדיגיטליות השונות.

זכות עיון במידע ותיקונו: ​בהתאם לחוק הגנת הפרטיות, התשמ"א-1981, כל אדם זכאי לעיין במידע המוחזק עליו במאגר מידע.

​הגשת בקשת עיון: במידה ואדם מעוניין לעיין במידע המוחזק אצלנו אודותיו, יוכל להגיש בקשה בכתב לראש מטה העמותה בכתובת המייל: rachel@kiah.org.il

​תהליך הזיהוי: לצורך הגנה על פרטיותך ועל מידע של צדדים שלישיים, בקשת העיון תטופל רק לאחר הליך זיהוי הולם (כגון הצגת תעודת זהות).

​זכות העיון והתיקון: לאחר העיון במידע, אם מצאת כי המידע המוחזק עליך אינו נכון, אינו שלם, אינו ברור או אינו מעודכן, הנך רשאי לפנות אלינו בבקשה לתקן את המידע (בכפוף לכל דין).

​לוחות זמנים: העמותה תשיב לפנייתך ותפעל למימוש זכותך תוך 21 ימים ממועד קבלת הבקשה, אלא אם נדרש זמן נוסף בהתאם לנסיבות המפורטות בחוק.

​סירוב לבקשה: ככל שסירובנו לבקשת עיון או תיקון אינו מקובל עליך, עומדת לך הזכות להגיש ערעור לבית משפט השלום, בהתאם לתקנות הגנת הפרטיות (תנאים לעיון במידע וסדרי הדין בערעור על סירוב לבקשת עיון).

6. פעילות דיגיטלית ואתרי האינטרנט של העמותה

• אתרי האינטרנט של העמותה

​לעמותה מספר אתרי האינטרנט, כאשר בחלק מהם ישנה מדיניות הגנת פרטיות אשר מותאמת לאתר הספציפי בו היא מפורסמת.

• שקיפות באיסוף מידע (Privacy Notice)

​בכל אתר בו המשתמש מתבקש למסור מידע אישי (כגון: טופס "צור קשר", הרשמה לניוזלטר, או טופס הצטרפות לתוכנית), תופיע במדיניות הפרטיות של האתר הסבר ברור על מטרת איסוף המידע, האם קיימת חובה חוקית למסור אותו (בדרך כלל לא) וכיצד המידע יישמר.

• ​מידע שייאסף דרך האתר יועבר ישירות למערכות הארגוניות המאובטחות (לדוגמה: פרטי תורמים ל-Salesforce) ולא יישמר על גבי פלטפורמת האתר עצמה ללא צורך.
• עוגיות (Cookies) וטכנולוגיות ניטור

​האתר עשוי להשתמש ב"עוגיות" (Cookies) לצורך תפעולו השוטף, שיפור חוויית המשתמש ואיסוף נתונים סטטיסטיים (למשל באמצעות Google Analytics).

​המשתמש יוכל לבחור בכל עת לחסום או למחוק את העוגיות דרך הגדרות הדפדפן שלו.

​העמותה תשתמש בפיקסלים (כגון Meta Pixel) לצורכי פרסום וגיוס משאבים אך ורק אם המשתמש נתן לכך הסכמה מתאימה, ותאפשר למשתמשים לבטל את הסכמתם (Opt-out).

• אבטחת האתר

​האתר מוגן באמצעות פרוטוקול הצפנה תקני (SSL/HTTPS) להבטחת מעבר נתונים מאובטח בין המשתמש לבין שרתי האתר.

​העמותה תוודא כי ספק אחסון האתר (Hosting) עומד בסטנדרטים של אבטחת מידע וכי השרתים ממוקמים במדינות המקנות הגנה הולמת על הפרטיות (ישראל, ארה"ב או האיחוד האירופי).

• תשלומים ותרומות אונליין

​אף שהעמותה אינה שומרת פרטי אשראי במערכותיה, היא מתחייבת כי כל סליקה המתבצעת דרך האתר תעשה באמצעות ספקים מורשים העומדים בתקן אבטחה מקובל.

​דף התרומות באתר יהיה "מוטמע" או יפנה לספק סליקה חיצוני, כך שפרטי האשראי כלל לא יעברו בשרתי העמותה.

• קישורים לצדדים שלישיים

​האתר עשוי להכיל קישורים לאתרים חיצוניים (כגון רשתות חברתיות או אתרי ממשל). העמותה אינה אחראית על מדיניות הפרטיות של אתרים אלו, ועל המשתמש לקרוא את מדיניות הפרטיות שלהם בנפרד.

7. מצלמות אבטחה

הארגון עושה שימוש במערכת צילום המותקנת במשרדי הארגון במקווה ישראל וכן במכון כרם (ירושלים) הפועלת 24/7. מטרת הפעלת המערכת הינה שמירה על רכוש העמותה ומניעת ונדליזם או הסגת גבול.

8. דיווח על אירועי אבטחה

​העמותה דוגלת בתרבות של דיווח פתוח. כל עובד המזהה חשש לדליפת מידע, גניבת ציוד מחשוב או גישה לא מורשת, מחויב לדווח על כך מיידית לנציג העמותה. העמותה תדווח לרשויות בהתאם לדין במקרה של אירוע אבטחה חמור.

9. אחריות ומשמעת

​עובד או מתנדב הפועל בניגוד למדיניות זו חושף את העמותה לסיכונים משפטיים ופוגע באמון הציבור. הפרת המדיניות עשויה לגרור צעדים משמעתיים ועלולה להוות עילה לסיום העסקה.

10. שינויים

הארגון עשוי לשנות את מדיניותו מעת לעת. במידה ויעשה כן, תישלח על כך הודעה לכלל העובדים.