DATA PROCESSING AGREEMENT [Last Updated January 2026] This Data Processing Agreement (“DPA”) is incorporated and forms an integral part of the Software as a Service Agreement and any Service Order (collectively “Agreement”) executed by and between Wevo Energy LTD (“Wevo”), a wholly owned subsidiary of Solaredsge technologies, and the customer identified under the Service Order (“Customer”). Wevo and the Customer shall each be referred to as a “party” and collectively the “parties”. All capitalized terms not defined herein shall have the meaning set forth in the Agreement. The parties have agreed to enter into this DPA to address the compliance obligations imposed upon Wevo and the Customer pursuant to the Data Protection Laws (as defined below). Therefore, this DPA sets forth the parties’ responsibilities and obligations regarding the Processing of Users’ Personal Data during the course of the engagement.
1.1 "Angemessenes Land" ist ein Land, das von der Europäischen Kommission eine Angemessenheitsentscheidung erhalten hat.
1.2 "CCPA" bezeichnet den California Consumer Privacy Act (Cal. Civ. Code §§ 1798.100 - 1798.199) von 2018, einschließlich der durch den California Privacy Rights Act ("CPRA") geänderten Fassung, sowie alle von Zeit zu Zeit in diesem Rahmen erlassenen Vorschriften.
1.3 The terms “Controller”, “Processor”, “Data Subject”, “Processing” (and “Process“), “Personal Data”, “Personal Data Breach”, “Special Categories of Personal Data” and “Supervisory Authority”, shall all have the same meanings as ascribed to them in the EU Data Protection Law. The terms “Business”, “Business Purpose”, “Consumer”, “Service Provider”, “Contractor”, “Third Party Business”, “Sale”, “Sell” and “Share” shall have the same meaning as ascribed to them in the CCPA. ““Data Subject” shall also mean and refer to “Consumer”, as such term defined under the CCPA, “Personal Data” shall include “Personal Information” under this DPA.
1.4 "Datenschutzrecht" bedeutet alle anwendbaren Gesetze und Vorschriften zum Schutz der Privatsphäre und des Datenschutzes (einschließlich, falls zutreffend, EU-Datenschutzrecht, britisches Datenschutzrecht, schweizerisches Datenschutzrecht und CCPA) in der jeweils gültigen Fassung oder ersetzt.
1.5 "Europäisches Datenschutzrecht" bezeichnet (i) die EU-Datenschutzgrundverordnung (Verordnung 2016/679) ("DSGVO"); (ii) die Verordnung 2018/1725; (iii) die EU-Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) in ihrer geänderten Fassung ("e-Privacy Law"); (iv) alle nationalen Datenschutzgesetze, die im Rahmen von, gemäß, zur Ersetzung, Annahme oder Nachfolge von (i) und (ii) erlassen wurden, einschließlich des Data Protection Act 2018 (DPA 2018) in seiner geänderten Fassung, und der GDPR, wie sie im Vereinigten Königreich aufgrund von Abschnitt 3 des European Union (Withdrawal) Act 2018 ("UK GDPR") Teil des nationalen Rechts ist, und des Schweizerischen Bundesgesetzes über den Datenschutz (vom 19. Juni 1992, Stand 1. März 2019) ("DSG") sowie der Verordnung zum Bundesgesetz über den Datenschutz ("BDSG"); (v) alle Rechtsvorschriften, die die vorgenannten Vorschriften ersetzen oder aktualisieren; und (vi) alle gerichtlichen oder administrativen Auslegungen der vorgenannten Vorschriften, einschließlich aller verbindlichen Leitlinien, Richtlinien, Verhaltenskodizes, genehmigten Verhaltenskodizes oder genehmigten Zertifizierungsmechanismen, die von einer zuständigen Aufsichtsbehörde herausgegeben werden.
1.6 "Sicherheitsvorfall" bezeichnet jede versehentliche oder unrechtmäßige Zerstörung, jeden Verlust, jede Änderung, jede unbefugte Offenlegung von oder jeden unbefugten Zugriff auf personenbezogene Daten. Jede Verletzung des Schutzes personenbezogener Daten stellt einen Sicherheitsvorfall dar.
1.7 “Standard Contractual Clauses” mean, collectively and as applicable: (i) the standard contractual clauses for the transfer of Personal Data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council adopted by the European Commission Decision 2021/914 of 4 June 2021, which may be found at: Standard Contractual Clauses; (ii) the UK “International Data Transfer Addendum to The European Commission Standard Contractual Clauses” available HERE as adopted, amended or updated by the UK Information Commissioner Office, Parliament or Secretary of State; and (iii) the applicable standard data protection clauses issued, approved or recognized by the Swiss Federal Data Protection and Information Commissioner.
2.1 Die Parteien vereinbaren und erkennen an, dass sie im Rahmen der Erfüllung ihrer Verpflichtungen aus dem Vertrag und in Bezug auf die Verarbeitung der personenbezogenen Daten der Nutzer:
- In Bezug auf: (i) die persönlichen Daten der autorisierten Nutzer; (ii) die persönlichen Daten der Nutzer, die von den autorisierten Nutzern auf die Plattform hochgeladen werden; und (iii) die persönlichen Daten der Endnutzer, die bei der Nutzung einer Marken-App gesammelt werden (zusammen "Kundendaten") - handelt Wevo als Verarbeiter und Dienstleister und der Kunde als Verantwortlicher und Unternehmen.
- In Bezug auf die persönlichen Daten von Endnutzern, die bei der Nutzung einer Wevo-App erhoben werden, handeln die Parteien als unabhängige Co-Controller ("ICC") und jede als Unternehmen in Bezug auf bestimmte Datensätze, wie in Abschnitt 10 näher erläutert. Personenbezogene Daten, die von Wevo in seiner Rolle als ICC verarbeitet werden, werden im Folgenden als "Wevo-Daten" bezeichnet. Jede Partei ist einzeln und gesondert für die Einhaltung der Verpflichtungen verantwortlich, die für diese Partei nach dem geltenden Datenschutzrecht gelten.
2.2 Der Gegenstand und die Dauer der vom Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen durchgeführten Verarbeitung, die Art und der Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen sind in dem beigefügten Anhang I beschrieben.
2.3 Wenn das CCPA auf die Verarbeitung von Kundendaten durch Wevo als Dienstleister Anwendung findet, darf Wevo nicht:
(i) die Kundendaten zu verkaufen oder weiterzugeben; (ii) die Kundendaten für einen anderen als den in der Vereinbarung festgelegten geschäftlichen Zweck aufzubewahren, zu verwenden oder offenzulegen; (iii) die Kundendaten mit anderen persönlichen Informationen zu kombinieren, die Wevo von oder im Namen eines anderen Kunden erhält oder die es aus seiner eigenen Interaktion mit in Kalifornien ansässigen Personen (mit Ausnahme der Benutzer des Kunden, die die Wevo-App verwenden) sammelt, sofern dies nicht anderweitig durch das CCPA gestattet ist; (iv) Wevo gestattet dem Kunden, seine Einhaltung gemäß Abschnitt 8 des DPA "Audit-Rechte" zu überwachen; (v) Wevo erklärt sich bereit, den Kunden zu benachrichtigen, wenn Wevo feststellt, dass es seinen Verpflichtungen gemäß diesem DPA oder dem CCPA nicht mehr nachkommen kann;
(vi) Wevo unterstützt den Kunden in angemessener Weise bei der Erfüllung seiner Verpflichtung, auf Anfragen zur Ausübung der Rechte eines Verbrauchers gemäß dem CCPA zu reagieren. Darüber hinaus erkennt Wevo an und bestätigt, dass sie keine Kundendaten als Gegenleistung für Dienstleistungen erhält oder verarbeitet, die Wevo dem Kunden im Rahmen der Vereinbarung erbringt.
3.1 Wevo sichert zu und gewährleistet, dass sie Kundendaten im Namen des Kunden (vorbehaltlich Artikel 28 der DSGVO) ausschließlich zum Zweck der Erbringung der Dienstleistung und in Übereinstimmung mit den schriftlichen Anweisungen des Kunden im Rahmen der Vereinbarung und dieser DPA verarbeitet. Ungeachtet des Vorstehenden wird Wevo für den Fall, dass Wevo nach geltendem Recht, einschließlich Datenschutzrecht, verpflichtet ist, Kundendaten anders als vom Kunden angewiesen zu verarbeiten, sich nach besten Kräften bemühen, den Kunden vor der Verarbeitung solcher Kundendaten über diese Anforderung zu informieren, es sei denn, dies ist nach geltendem Recht verboten.
3.2 Wevo wird den Kunden in angemessener Weise bei der Einhaltung seiner Verpflichtung zur Durchführung von Datenschutz-Folgenabschätzungen in Bezug auf die Verarbeitung seiner Kundendaten und zur Konsultation der Aufsichtsbehörde (falls zutreffend) unterstützen und begleiten.
3.3 Gegebenenfalls unterstützt Wevo den Kunden bei der Sicherstellung der Richtigkeit und Aktualität der verarbeiteten Kundendaten, indem sie den Kunden informiert, wenn sie feststellt, dass die von ihr verarbeiteten Kundendaten unrichtig oder veraltet sind. Wevo ergreift angemessene Maßnahmen, um sicherzustellen: (i) die Zuverlässigkeit seiner Mitarbeiter und aller anderen unter seiner Aufsicht handelnden Personen, die mit den Kundendaten in Kontakt kommen oder anderweitig Zugang zu ihnen haben und sie verarbeiten; (ii) dass die zur Verarbeitung der Kundendaten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen; und (iii) dass dieses Personal sich seiner Verantwortung im Rahmen dieser DPA und aller anwendbaren Datenschutzgesetze bewusst ist.
4.1 Es wird vereinbart, dass Wevo, wenn Wevo eine Anfrage von einer betroffenen Person oder einer zuständigen Behörde in Bezug auf Kundendaten erhält, die betroffene Person oder die zuständige Behörde an den Kunden verweist, damit der Kunde direkt auf die Anfrage der betroffenen Person oder der zuständigen Behörde reagieren kann, sofern die geltenden Gesetze nichts anderes vorschreiben. Die Parteien gewähren einander eine wirtschaftlich angemessene Zusammenarbeit und Unterstützung bei der Bearbeitung der Anfrage einer betroffenen Person oder einer zuständigen Behörde, soweit dies nach dem Datenschutzgesetz zulässig ist.
5.1 Der Kunde nimmt zur Kenntnis und erklärt sich damit einverstanden, dass Wevo Kundendaten an dritte Datenverarbeiter ("Unterauftragsverarbeiter") übermitteln und mit diesen auf andere Weise zusammenarbeiten kann.
5.2 Where the European Data Protection Laws apply – the Customer hereby authorizes Wevo to engage and appoint such Sub-Processors as listed in Annex II, to Process Customer Data, as well as permits each Sub-Processor to appoint a Sub-Processor on its behalf. Where Wevo may engage an additional or replace an existing Sub-Processors to process Customer Data, subject to the provision of a ten (10) days prior notice of its intention to do so to the Customer. In case the Customer has not objected to the adding or replacing of a Sub-Processor within the aforesaid prior notice period, such Sub-Processor shall be considered approved by the Customer. In the event the Customer objects to the adding or replacing of a Sub-Processor, where such objection can be made solely on reasonably grounds related to non-compliance with Data Protection Laws, Wevo may, under Wevo’ sole discretion, suggest the engagement of a different Sub-Processor, or otherwise terminate the Agreement.
5.3 Wevo wird bei der Beauftragung eines Unterauftragsverarbeiters durch einen rechtsverbindlichen Vertrag Datenschutzverpflichtungen auferlegen, die den in dieser DPA festgelegten entsprechen. Wevo bleibt gegenüber dem Kunden für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters gemäß dieser DPA verantwortlich.
6.1 Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen und unbeschadet anderer von den Parteien vereinbarter Sicherheitsstandards wird Wevo angemessene physische, technische und organisatorische Maßnahmen zum Schutz der Kundendaten gemäß den Datenschutzgesetzen ergreifen und aufrechterhalten.
7.1 Wevo wird den Kunden benachrichtigen, sobald sie Kenntnis von einem bestätigten Sicherheitsvorfall erhält, der die Kundendaten im Besitz oder unter der Kontrolle von Wevo betrifft. Die Benachrichtigung von Wevo über einen Sicherheitsvorfall oder die Reaktion darauf ist nicht als Anerkenntnis eines Fehlers oder einer Haftung von Wevo in Bezug auf den Sicherheitsvorfall auszulegen.
7.2 Wevo will: (i) take necessary steps to remediate, minimize any effects of and investigate any Security Incident and to identify its cause; (ii) co-operate with the Customer and provide the Customer with such reasonable assistance and information as it may reasonably require in connection with the containment, investigation, remediation or mitigation of the Security Incident; and (iii) reasonably co- operate with the Customer and assist Customer with its obligation to notify the affected individuals in the case of a Security Incident.
8.1 Wevo führt Aufzeichnungen über die Verarbeitung von Kundendaten im Rahmen dieser DPA und stellt diese Aufzeichnungen dem Kunden und den zuständigen Aufsichtsbehörden auf schriftliche Anfrage zur Verfügung. Die zur Verfügung gestellten Aufzeichnungen gelten als vertrauliche Informationen von Wevo und unterliegen der Geheimhaltungspflicht.
8.2 Für den Fall, dass die Aufzeichnungen und Unterlagen, die gemäß Abschnitt 8.1 nicht ausreichen, stellt Wevo einem vom Kunden benannten angesehenen Prüfer ausschließlich nach vorheriger angemessener schriftlicher Ankündigung und nicht öfter als einmal pro Jahr die Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieser DSGVO in der Rolle von Wevo als Auftragsverarbeiter angemessen nachzuweisen, und ermöglicht Audits, einschließlich Inspektionen, durch einen solchen angesehenen Prüfer ausschließlich in Bezug auf die Verarbeitung der Kundendaten (unter der Voraussetzung, dass der Kunde nicht berechtigt ist, auf die Systeme von Wevo zuzugreifen) ("Audit") in Übereinstimmung mit den Bestimmungen und Bedingungen dieser Vereinbarung. Der Prüfer unterliegt den Bestimmungen dieser DPA und den üblichen Geheimhaltungspflichten (auch gegenüber Dritten). Wevo kann gegen einen vom Kunden ernannten Prüfer Einspruch erheben, wenn Wevo vernünftigerweise davon ausgeht, dass der Prüfer nicht ausreichend qualifiziert oder unabhängig ist, ein Konkurrent von Wevo ist oder anderweitig ungeeignet ist ("Einspruchserklärung"). Der Kunde wird einen anderen Prüfer ernennen oder das Audit selbst durchführen, sobald er eine Einspruchsmitteilung von Wevo erhält. Der Kunde trägt alle mit dem Audit verbundenen Kosten und muss es vermeiden (und sicherstellen, dass jeder seiner Prüfer dies tut), Schäden, Verletzungen oder Störungen an den Räumlichkeiten, der Ausrüstung, dem Personal und dem Geschäft von Wevo zu verursachen, während sich sein Personal im Rahmen eines solchen Audits in diesen Räumlichkeiten aufhält. Alle Schlussfolgerungen eines solchen Audits sind vertraulich zu behandeln und unverzüglich an Wevo zu melden.
9.1 Where the GDPR, UK GDPR or the Swiss FADP is applicable, if the Processing of Personal Data by Wevo in its role as a Processor to a Sub-Processor includes transfer of Personal Data to a third country outside the European Economic Area (“EEA”), the UK and Switzerland that is not an Adequate Country, such transfer shall only occur if an appropriate safeguard approved by the applicable Data Protection Law (the GDPR (Article 46), UK GDPR (Article 46) or Swiss FADP (as applicable)) for the lawful transfer of Personal Data under is in place.
10.1 Wenn Parteien ICC sind: (i) Es wird hiermit klargestellt, dass die Parteien die Daten in keinem Fall als gemeinsam für die Verarbeitung Verantwortliche verarbeiten werden. Jede Partei ist einzeln und gesondert für die Einhaltung der für sie geltenden Verpflichtungen gemäß den Datenschutzgesetzen verantwortlich; (ii) Wenn eine Partei eine Anfrage einer betroffenen Person oder einer zuständigen Behörde in Bezug auf personenbezogene Daten erhält, die von den Parteien als ICC verarbeitet werden, wird sie die andere Partei über eine solche Anfrage informieren und gegebenenfalls die betroffene Person oder die zuständige Behörde an die andere Partei verweisen; (iii) Jede Partei informiert die andere Partei, sobald sie von einem Sicherheitsvorfall Kenntnis erlangt, der die von ihr als ICC verarbeiteten personenbezogenen Daten betrifft.
11.1 This DPA shall be effective as of the Effective Date (as defined in the agreement) and shall remain in force until the Agreement terminates. Wevo shall be entitled to terminate this DPA or terminate the Processing of Customer Data in the event that Processing of Customer Data under the Customer’s instructions or this DPA infringe applicable legal requirements. Following the termination of this DPA, Wevo shall, at the choice of the Customer, delete all Customer Data processed on behalf of the Customer and certify to the Customer that it has done so, or, return all Customer Data to the Customer and delete existing copies, unless applicable law or regulatory requirements requires that Wevo continue to store Customer Data.
11.2 In the event of a conflict between the terms and conditions of this DPA and the Agreement, this DPA shall prevail. For the avoidance of doubt, in the event Standard Contractual Clauses have been executed between the parties, the terms of the Standard Contractual Clauses shall prevail over those of this DPA. Except as set forth herein, all of the terms and conditions of the Terms shall remain in full force and effect. ANNEX I – DETAILS OF PROCESSING This Annex includes certain details of the Processing of Customer Data as required by Article 28(3) GDPR. Categories of Data Subjects: Authorized Users and Users, as defined under the Agreement. Categories of Personal Data processed: Credentials; contact information; authentication and security credentials; online identifiers; address and parking space; payment information; Charger’s usage information. Special Categories of Personal Data: None. Nature of the processing: Collection, storage, organization, communication, transfer, host and other uses in performance of the Services as set out in the Agreement. Purpose(s) of Processing: To provide the Service. Retention Period: For as long as is necessary to provide the Service by Wevo; provided there is no legal obligation to retain the Personal Data past termination or unless otherwise requested by the Customer. Process Frequency: Continuous basis ANNEX II – LIST OF SUB-PROCESSORS Name Servers Address Description of the processing Amazon Web Services (AWS) EU hosting and storage Intercom, inc. EU/US Cloud based customer support and messaging. Coralogix Ltd EU Analytics Pipedrive EU/US CRM sales tool Stripe EU/US Payment processing Grow EU Payment processing Retell AI US AI support agent
Dieser Anhang enthält bestimmte Einzelheiten der Verarbeitung von Kundendaten, wie sie in Artikel 28 Absatz 3 DSGVO vorgeschrieben sind.
Categories of Data Subjects:
Authorized Users and Users, as defined under the Agreement.
Categories of Personal Data processed:
Credentials; contact information; authentication and security credentials; online identifiers; address and parking space; payment information; Charger’s usage information.
Special Categories of Personal Data:
None.
Nature of the processing:
Collection, storage, organization, communication, transfer, host and other uses in performance of the Services as set out in the Agreement.
Purpose(s) of Processing:
To provide the Service.
Retention Period:
For as long as is necessary to provide the Service by Wevo; provided there is no legal obligation to retain the Personal Data past termination or unless otherwise requested by the Customer.
Process Frequency:
Continuous basis
|
Name |
Adresse des Servers |
Beschreibung der Verarbeitung |
|
Amazon Web Services (AWS) |
EU |
Hosting und Speicherung |
|
Intercom, Inc. |
EU/USA |
Cloud-basierter Kundensupport und Messaging. |
|
Coralogix GmbH |
EU |
Analytik |
|
Pipedrive |
EU/USA |
CRM-Verkaufsinstrument |
|
Streifen |
EU/USA |
Zahlungsabwicklung |
|
Wachsen |
EU |
Zahlungsabwicklung |
|
Retell AI |
US |
AI support agent |
Last Updated: December 2025
This Annex forms part of the Data Processing Agreement (“DPA”) between Wevo Energy Ltd. (“Processor”) and the Customer (“Controller”).
1.1 Information Security Management
Wevo Energy maintains an Information Security Management System (ISMS) certified to the following international standards:
| Certification | Scope | Certification Body |
| ISO/IEC 27001 | Information Security Management System | SII (Standards Institution of Israel) |
| ISO/IEC 27017 | Cloud Security Controls | SII (Standards Institution of Israel) |
| ISO/IEC 27018 | Protection of PII in Public Clouds | SII (Standards Institution of Israel) |
Certificates are available upon request and are subject to annual surveillance audits and triennial recertification.
2.1 Encryption
| Measure | Implementation |
| Data at Rest | AES-256 encryption for all stored Personal Data |
| Data in Transit | TLS 1.2 or higher for all data transmissions |
| Key Management | Encryption keys managed through AWS KMS with automatic rotation |
| Database Encryption | Transparent Data Encryption (TDE) enabled on all production databases |
2.2 Access Control
| Measure | Implementation |
| Authentication | Multi-factor authentication (MFA) required for all administrative access |
| Authorization | Role-based access control (RBAC) with principle of least privilege |
| Password Policy | Minimum 12 characters, complexity requirements, 90-day rotation |
| Session Management | Automatic session timeout after 15 minutes of inactivity |
| Privileged Access | Just-in-time privileged access for administrative functions |
| Access Reviews | Quarterly access reviews for all systems containing Personal Data |
2.3 Network Security
| Measure | Implementation |
| Firewalls | Web Application Firewall (WAF) and network firewalls (AWS security groups) with default-deny policies |
| Segmentation | Network segmentation between production, development, and corporate environments |
| Intrusion Detection | IDS/IPS monitoring with 24/7 alerting (AWS GuardDuty) |
| DDoS Protection | AWS Shield and CloudFront for DDoS mitigation |
| VPN | Encrypted VPN required for all remote administrative access |
2.4 Application Security
| Measure | Implementation |
| Secure Development | Secure Software Development Lifecycle (SSDLC) practices |
| Code Reviews | Mandatory peer code reviews before production deployment |
| Vulnerability Scanning | Automated vulnerability scanning in CI/CD pipeline |
| Penetration Testing | Annual third-party penetration testing |
| Dependency Mgmt | Automated scanning for vulnerable dependencies |
2.5 Infrastructure Security
| Measure | Implementation |
| Cloud Provider | Amazon Web Services (AWS) EU Region (Frankfurt) |
| Hardening | CIS Benchmark hardening standards applied |
| Patch Management | Critical patches applied within 72 hours; routine patches within 30 days |
| Logging | Centralized logging with minimum 12-month retention |
| Monitoring | Real-time security monitoring via Coralogix SIEM (AWS Ireland) |
2.6 Security Assessments
| Measure | Implementation |
| Internal Audits | Annual internal ISMS audits |
| Vulnerability Assessments | Quarterly vulnerability assessments |
| Penetration Testing | Annual penetration testing by qualified third parties |
| Third-Party Audits | Annual ISO 27001/27017/27018 surveillance audits |
| SOC 2 Report | SOC 2 Type II report available upon request under NDA |
3.1 Information Security Governance
| Measure | Implementation |
| Security Leadership | Designated Chief Security Officer (CSO) |
| ISMS Framework | Documented ISMS policies and procedures aligned with ISO 27001 |
| Risk Management | Annual risk assessments with documented risk treatment plans |
| Policy Review | Annual review and update of all security policies |
3.2 Personnel Security
| Measure | Implementation |
| Confidentiality | NDAs and confidentiality clauses in all employment contracts |
| Security Training | Mandatory annual security awareness training |
| Specialized Training | Role-specific security training for technical personnel |
| Termination Procedures | Immediate access revocation upon termination; exit procedures documented |
3.3 Physical Security
| Measure | Implementation |
| Data Center Security | AWS data centers with SOC 2 Type II certification |
| Physical Access | Badge access, visitor logging, CCTV monitoring at office locations |
| Clean Desk Policy | Enforced clean desk policy for all personnel |
| Media Disposal | Secure destruction of media containing Personal Data |
4.1 Data Segregation
Personal Data is logically segregated by customer using:
Unique tenant identifiers
Application-level access controls
4.2 Data Backup and Recovery
| Measure | Implementation |
| Backup Frequency | Daily automated backups with point-in-time recovery |
| Backup Encryption | All backups encrypted at rest using AES-256 |
| Backup Testing | Quarterly backup restoration testing |
| Geographic Redundancy | Backups replicated across multiple AWS Availability Zones |
| Retention | Backup retention per contractual requirements (minimum 30 days) |
4.3 Data Deletion
Upon termination of the Agreement or upon Controller’s request:
Personal Data is deleted within 30 days.
Deletion is confirmed via written certification.
Backups are purged according to retention schedule (maximum 90 days).
Data Protection Officer:
SolarEdge Technologies Ltd.
Email: DPO@solaredge.com
Security Inquiries:
Wevo Energy Ltd.
Email: info@wevo.energy
This Annex is subject to periodic review and update. The Processor shall notify the Controller of any material changes to the security measures described herein.
Sprechen Sie mit unserem Spezialisten
