הסכמה לעיבוד נתונים ביומטריים
1. למה מסמך זה נחוץ
לפי ה-GDPR (תקנת הגנת המידע של האיחוד האירופי), סעיף 9, נתונים ביומטריים הם קטגוריה מיוחדת של מידע אישי. עיבוד נתונים כאלה מותר רק על בסיס הסכמה מפורשת שלך (סעיף 9(2)(א)).
מסמך זה מסביר בדיוק אילו נתונים ביומטריים מעובדים, למה, על ידי מי, ומה הזכויות שלך — ומבקש את הסכמתך לפני שהתהליך מתחיל.
ללא הסכמתך — לא יתבצע עיבוד נתונים ביומטריים כלל.
2. מהו תהליך אימות הזהות (KYC)
כדי להגביר את האמון והבטיחות בקהילת Swapli, אנו דורשים אימות זהות מתקדם (Know Your Customer — KYC) מכל חבר שמעוניין לבצע החלפות בתים.
התהליך כולל:
- צילום או העלאת תעודה מזהה ממשלתית — דרכון, תעודת זהות, או רישיון נהיגה.
- צילום סלפי — תמונת פנים חיה (עם בדיקת חיות).
- השוואה ביומטרית — הספק החיצוני משווה בין הפנים בסלפי לתמונה בתעודה המזהה.
- קבלת תוצאה — Swapli מקבלת תוצאת אימות בלבד (עבר / לא עבר) ופרטים בסיסיים מהמסמך.
3. אילו נתונים ביומטריים מעובדים
3.1 נתונים שמעובדים במהלך האימות
| סוג הנתון | תיאור | מי מעבד |
|---|---|---|
| זיהוי פנים | תבנית ביומטרית של מאפייני הפנים שלך | ספק צד שלישי בלבד (Didit או Stripe) |
| בדיקת חיות (liveness check) | אימות שאתה אדם חי (ולא תמונה או וידאו) | ספק צד שלישי בלבד |
| תמונת סלפי | צילום הפנים שלך לצורך ההשוואה | ספק צד שלישי בלבד |
| תמונת תעודה מזהה | צילום התעודה כולל תמונת הפנים | ספק צד שלישי בלבד |
3.2 מה Swapli שומרת
Swapli שומרת אך ורק את תוצאות האימות, ולא את הנתונים הביומטריים עצמם:
- תוצאת האימות (עבר / לא עבר)
- שם כפי שמופיע במסמך
- תאריך לידה
- סוג המסמך (דרכון, תעודת זהות וכדומה)
- מספר מסמך (מוצפן חלקית)
- מדינה מנפיקה
- חותמת זמן של האימות
- זיהוי הספק שביצע את האימות
3.3 מה Swapli לא שומרת — בשום מקרה
- תמונות סלפי
- תמונות תעודה מזהה
- הקלטות וידאו
- תבניות ביומטריות (facial templates)
- נתוני זיהוי פנים גולמיים
- כל נתון ביומטרי אחר
4. מי מעבד את הנתונים הביומטריים
הנתונים הביומטריים מעובדים אך ורק על ידי ספק צד שלישי — Didit או Stripe Identity (בהתאם לצרכי המערכת). Swapli אינה מעבדת נתונים ביומטריים בעצמה.
| ספק | תפקיד | מדיניות פרטיות |
|---|---|---|
| Stripe Identity | אימות זהות KYC | stripe.com/privacy |
| Didit | אימות זהות KYC | didit.me/privacy |
הנתונים הביומטריים מועברים ישירות מהמכשיר שלך לספק, נשמרים בהתאם למדיניות השמירה שלו, ונמחקים בהתאם לתנאי השימוש שלו. Swapli אינה מתווכת, שומרת, או מעבדת את הנתונים הביומטריים הגולמיים בשום שלב.
5. למה אנחנו צריכים את ההסכמה שלך
5.1 הבסיס המשפטי
עיבוד נתונים ביומטריים דורש הסכמה מפורשת לפי GDPR סעיף 9(2)(א). זהו הבסיס המשפטי היחיד שעליו אנו מסתמכים לעיבוד נתונים ביומטריים.
שים לב: פרטים אחרים מתהליך ה-KYC (שם, תאריך לידה, פרטי מסמך) מעובדים על בסיס ביצוע הסכם (סעיף 6(1)(ב)) ואינטרס לגיטימי (סעיף 6(1)(ו)), ואינם תלויים בהסכמה זו.
5.2 המטרות
הסכמתך מאפשרת את עיבוד הנתונים הביומטריים למטרות הבאות בלבד:
- אימות זהותך — אישור שהאדם שמגיש את הבקשה הוא אכן בעל התעודה המזהה.
- מניעת הונאה — וידוא שלא נעשה שימוש בתעודות מזויפות או גנובות.
- בדיקת חיות — אישור שמדובר באדם חי ולא בתמונה, מסכה, או הקלטת וידאו.
6. שמירה ומחיקה
6.1 תוצאות האימות (מה ש-Swapli שומרת)
- תקופת שמירה: שנה מתאריך האימות.
- סיבה: תקופת התיישנות חוקית (5 שנים לפי החוק ההולנדי) + הגנה משפטית.
- לאחר מחיקת חשבון: תוצאות האימות נשמרות עד תום תקופת 5 השנים, גם אם החשבון נמחק קודם.
6.2 נתונים ביומטריים גולמיים (מה שהספק שומר)
- Swapli אינה שומרת נתונים ביומטריים גולמיים — כלל.
- הספק (Didit או Stripe) שומר את הנתונים בהתאם למדיניות השמירה שלו.
- לפרטים מלאים, עיין במדיניות הפרטיות של הספק (קישורים בסעיף 4).
7. הזכויות שלך
7.1 זכות למשוך הסכמה
יש לך זכות למשוך את הסכמתך בכל עת. משיכת ההסכמה:
- לא תשפיע על חוקיות העיבוד שכבר התבצע לפני המשיכה.
- תמנע עיבוד ביומטרי חדש בעתיד.
- עלולה להשפיע על יכולתך להשתמש בשירותים הדורשים אימות זהות (לא תוכל לבצע החלפות חדשות).
כיצד למשוך הסכמה:
- דרך הגדרות החשבון שלך → פרטיות → נתונים ביומטריים
- בפנייה ל-DPO בכתובת: dpo@swapli.net
7.2 זכות גישה
יש לך זכות לבקש גישה לכל הנתונים שנשמרו אודותיך, כולל תוצאות האימות. פנה אל DPO בכתובת dpo@swapli.net.
7.3 זכות מחיקה
יש לך זכות לבקש מחיקת תוצאות האימות, בכפוף לחובות שמירה חוקיות (ראה סעיף 6.1). לגבי הנתונים הביומטריים הגולמיים — יש לפנות ישירות לספק (Didit או Stripe).
7.4 זכות הגשת תלונה
אם אתה סבור שהנתונים שלך מעובדים שלא כדין, תוכל להגיש תלונה ל:
- Autoriteit Persoonsgegevens (רשות הגנת הפרטיות ההולנדית): autoriteitpersoonsgegevens.nl
- כל רשות פיקוח אחרת במדינת האיחוד האירופי שלך.
8. פרטי קשר
ממונה הגנת מידע (DPO): Daniel דוא"ל: dpo@swapli.net
מפעילת הפלטפורמה: Webguy BV KVK: 72381647 Amsterdam, The Netherlands
לפרטים מלאים על אופן הטיפול במידע שלך, עיין במדיניות הפרטיות ובתנאי השימוש שלנו.
9. שפה גוברת
מסמך זה נכתב בעברית ובאנגלית. במקרה של סתירה בין הגרסאות, הגרסה האנגלית גוברת.
מסמך זה מהווה חלק בלתי נפרד ממדיניות הפרטיות ומתנאי השימוש של Swapli.
מה השתנה בגרסה זו
עדכון תקופת שמירת תוצאות אימות לשנה, עדכון סיבת שמירה (התיישנות + הגנה משפטית)