Data Processing Agreement (DPA)
Effective: 2026-06-20 · Version 2026-06-20-draft
This DPA forms part of the bott22 Terms of Service (the "Principal Agreement") and governs how bott22 processes personal data on your behalf when you use the Service.
1. Parties & acceptance
bott22 (the "Processor") processes personal data on behalf of the business owner identified in the bott22 account (the "Controller", "you"). You accept this DPA when you accept it in the product or continue using the Service to operate a bot.
2. Definitions
Privacy Law — Israel's Protection of Privacy Law, 5741-1981, as amended, and its regulations. Personal Data — data about an identified or identifiable individual that bott22 processes for you. Data Subject — the individual the data is about (your end customers / contacts). Sub-processor — a third party bott22 engages to process Personal Data on your behalf. Security Incident — a breach leading to accidental or unlawful destruction, loss, alteration, or unauthorized disclosure of, or access to, Personal Data.
3. Roles, scope & purpose
You are the Controller and determine the purposes and means of processing. bott22 acts solely as Processor and processes Personal Data only to provide the Service. Each bot has its own isolated database; this DPA applies to the Personal Data in those databases — end-customer contact identifiers, conversation content, and any business data you provide.
4. Instruction-only processing
bott22 processes Personal Data only on your documented instructions — which include your configuration of the bot and your use of the Service — and as required by applicable law. bott22 will tell you if it believes an instruction conflicts with the Privacy Law.
5. Confidentiality
bott22 ensures that personnel authorized to process Personal Data are bound by confidentiality obligations and access data only on a need-to-know basis.
6. Security measures
bott22 maintains technical and organizational measures appropriate to the risk, including: encryption in transit (enforced TLS) and at rest; private-IP-only databases and network segmentation; identity and secret management (Workload Identity, Secret Manager); least-privilege operator access with tamper-evident logging of privileged access; automated backups with point-in-time recovery; and a documented incident-response process.
7. Sub-processors
You authorize bott22 to engage Sub-processors (e.g. cloud infrastructure and AI model providers) to deliver the Service. bott22 imposes data-protection and security obligations on each Sub-processor and remains responsible for their performance. bott22 will give prior notice of any new or replacement Sub-processor; you may object on reasonable data-protection grounds. The current platform Sub-processors are:
- Google Cloud Platform — hosting, compute, databases, and object storage, i.e. all production infrastructure (europe-west4, Netherlands).
- Anthropic, PBC — LLM inference (the Claude API that powers bot replies) (United States).
- fish.audio — text-to-speech for voice replies.
- Google Cloud Speech-to-Text — transcription of inbound voice messages.
- Stripe, Inc. — payment processing and billing (United States / EU).
A specific bot may engage additional Sub-processors that you enable (for example an alternate voice provider or a calendar/CRM/payment integration); those are disclosed in that bot's own privacy notice.
8. Assistance & Data Subject rights
Taking into account the nature of the processing, bott22 assists you in responding to Data Subject requests — including access, correction, and deletion ("right to be forgotten") — and with your own security, breach-notification, and assessment obligations under the Privacy Law.
9. Retention & deletion
Personal Data is retained only as long as needed to provide the Service or as required by law. On termination or expiry of the Principal Agreement, bott22 will, at your choice, delete or return the Personal Data and delete existing copies, except where law requires retention.
10. Security Incident notification
bott22 notifies you without undue delay after becoming aware of a Security Incident affecting your Personal Data, and provides the information reasonably available to help you meet your own notification obligations.
11. International transfers
Where Personal Data is transferred or processed outside Israel, bott22 ensures an adequate level of protection consistent with the Privacy Law and applicable cross-border transfer rules.
12. Audit & records
bott22 makes available the information reasonably necessary to demonstrate compliance with this DPA and maintains records of its processing activities.
13. Term, liability & governing law
This DPA takes effect on your acceptance and continues while bott22 processes Personal Data for you. Each party's liability under this DPA is subject to the limitations in the Principal Agreement. This DPA is governed by the laws of the State of Israel, with exclusive jurisdiction in the courts of Tel Aviv-Jaffa. Questions: privacy@bott22.com. [Placeholders — confirm with counsel.]
הסכם עיבוד נתונים (DPA)
בתוקף: 2026-06-20 · גרסה 2026-06-20-draft
הסכם עיבוד נתונים זה מהווה חלק מתנאי השימוש של bott22 ("ההסכם העיקרי") ומסדיר את האופן שבו bott22 מעבדת מידע אישי בשמכם בעת השימוש בשירות.
1. הצדדים והסכמה
bott22 ("המעבד") מעבדת מידע אישי בשם בעל/ת העסק המזוהה בחשבון bott22 ("בעל/ת השליטה", "אתם"). אתם מקבלים הסכם זה בעת אישורו במוצר או בהמשך השימוש בשירות להפעלת בוט.
2. הגדרות
דין הפרטיות — חוק הגנת הפרטיות, התשמ"א-1981, כפי שתוקן, ותקנותיו. מידע אישי — מידע על אדם מזוהה או ניתן לזיהוי ש-bott22 מעבדת עבורכם. נושא המידע — האדם שהמידע נוגע אליו (הלקוחות/אנשי הקשר שלכם). מעבד-משנה — צד שלישי ש-bott22 נעזרת בו לעיבוד מידע אישי בשמכם. אירוע אבטחה — פגיעה באבטחה המובילה להשמדה, אובדן, שינוי, חשיפה או גישה — מקריים או בלתי-חוקיים — למידע אישי.
3. תפקידים, היקף ומטרה
אתם בעלי השליטה וקובעים את מטרות העיבוד ואמצעיו. bott22 פועלת אך ורק כמעבד ומעבדת מידע אישי רק לצורך מתן השירות. לכל בוט מסד נתונים מבודד משלו; הסכם זה חל על המידע האישי במסדים אלה — מזהי קשר של לקוחות, תוכן שיחות, וכל מידע עסקי שתספקו.
4. עיבוד לפי הוראות בלבד
bott22 מעבדת מידע אישי רק לפי הוראותיכם המתועדות — לרבות הגדרת הבוט והשימוש שלכם בשירות — וכנדרש לפי דין. bott22 תודיע לכם אם לדעתה הוראה כלשהי מנוגדת לדין הפרטיות.
5. סודיות
bott22 מוודאת שעובדים המורשים לעבד מידע אישי מחויבים בחובת סודיות וניגשים למידע רק על בסיס הצורך לדעת.
6. אמצעי אבטחה
bott22 מקיימת אמצעים טכניים וארגוניים מתאימים לרמת הסיכון, ובהם: הצפנה במעבר (TLS נאכף) ובמנוחה; מסדי נתונים בכתובת IP פרטית בלבד והפרדת רשת; ניהול זהויות וסודות (Workload Identity, Secret Manager); גישת מפעיל בהרשאות מינימום עם תיעוד עמיד-לשינוי של גישה מורשית; גיבויים אוטומטיים עם שחזור לנקודת-זמן; ותהליך מתועד לטיפול באירועים.
7. מעבדי-משנה
אתם מאשרים ל-bott22 להיעזר במעבדי-משנה (למשל ספקי תשתית ענן ומודלי בינה מלאכותית) לצורך מתן השירות. bott22 מטילה על כל מעבד-משנה חובות הגנת מידע ואבטחה ונותרת אחראית לביצועיו. bott22 תיתן הודעה מראש על כל מעבד-משנה חדש או מחליף; אתם רשאים להתנגד מטעמי הגנת מידע סבירים. מעבדי-המשנה הנוכחיים של הפלטפורמה:
- Google Cloud Platform — אחסון, מחשוב, מסדי נתונים ואחסון אובייקטים, קרי כל תשתית הייצור (europe-west4, הולנד).
- Anthropic, PBC — הסקת LLM (ממשק Claude שמפעיל את תשובות הבוט) (ארצות הברית).
- fish.audio — טקסט-לדיבור עבור תשובות קוליות.
- Google Cloud Speech-to-Text — תמלול הודעות קוליות נכנסות.
- Stripe, Inc. — עיבוד תשלומים וחיוב (ארצות הברית / האיחוד האירופי).
בוט מסוים עשוי להיעזר במעבדי-משנה נוספים שאתם מפעילים (למשל ספק קול חלופי או אינטגרציית יומן/CRM/תשלומים); אלה נחשפים בהודעת הפרטיות של אותו בוט.
8. סיוע וזכויות נושא המידע
בהתחשב באופי העיבוד, bott22 מסייעת לכם להיענות לבקשות נושאי מידע — לרבות עיון, תיקון ומחיקה ("הזכות להישכח") — וכן בחובותיכם בנוגע לאבטחה, להודעה על אירועים ולהערכות לפי דין הפרטיות.
9. שמירה ומחיקה
מידע אישי נשמר רק כל עוד הוא נחוץ למתן השירות או כנדרש לפי דין. עם סיום ההסכם העיקרי או פקיעתו, bott22 תמחק או תחזיר את המידע האישי — לפי בחירתכם — ותמחק עותקים קיימים, אלא אם הדין מחייב שמירה.
10. הודעה על אירוע אבטחה
bott22 תודיע לכם ללא דיחוי בלתי-סביר לאחר שנודע לה על אירוע אבטחה הנוגע למידע האישי שלכם, ותספק את המידע הזמין באופן סביר כדי לסייע לכם לעמוד בחובות ההודעה שלכם.
11. העברות בין-לאומיות
כאשר מידע אישי מועבר או מעובד מחוץ לישראל, bott22 מוודאת רמת הגנה הולמת בהתאם לדין הפרטיות ולכללי ההעברה החוצה-גבולית החלים.
12. ביקורת ורישומים
bott22 מעמידה לרשותכם את המידע הנחוץ באופן סביר כדי להוכיח עמידה בהסכם זה ומנהלת רישומים של פעילויות העיבוד שלה.
13. תקופה, אחריות ודין חל
הסכם זה נכנס לתוקף עם אישורכם ונמשך כל עוד bott22 מעבדת עבורכם מידע אישי. אחריות כל צד לפי הסכם זה כפופה למגבלות שבהסכם העיקרי. הסכם זה כפוף לדיני מדינת ישראל, עם סמכות שיפוט ייחודית לבתי המשפט בתל אביב-יפו. שאלות: privacy@bott22.com. [מצייני מקום — לאישור מול יועץ משפטי.]