يشكل اتفاق معالجة البيانات هذا، بما في ذلك الملاحق، ("DPA") جزءًا من الاتفاقية بيننا وبين العميل لشراء خدمات الاتصالات (عبر الإنترنت) منا لتعكس اتفاق الأطراف فيما يتعلق بمعالجة البيانات الشخصية للعميل. في هذه الاتفاقية، تعود الشروط "أنت", "لك", أو "العميل" إليك كعميل لنا (وفقًا للقسم 1.2 أدناه)، وتعود الشروط "نحن", "لنا", أو "مزود الخدمة" إلينا كمزود (كما هو معرّف أدناه). المصطلحات الكبيرة المستخدمة في هذا الاتفاق ولكن لم تُعرف أدناه محددة في الأحكام والشروط العامة أو أي اتفاق آخر معنا يحكم استخدامك للخدمات.
يتفق الطرفان على أن هذا الاتفاق سيحل محل أي ملحق حماية بيانات موجود أو اتفاق مشابه قد يكون الأطراف قد دخلوا فيه مسبقًا فيما يتعلق بالخدمات.
1. النطاق، الفروع التابعة للعميل والمدة
1.1 النطاق. تحكم هذه الاتفاقية في معالجة البيانات الشخصية للعملاء بواسطتنا كمعالج.
1.2 الشركات التابعة للعميل. يدخل العميل في هذه الاتفاقية نيابة عن نفسه، وبالقدر المطلوب بموجب قوانين حماية البيانات، باسم ونيابة عن الشركات التابعة له (كما هو معرف في الشروط)، إذا وفرت مثل هذه الشركات التابعة الوصول إلى الخدمات وعمليات معالجة البيانات الشخصية الخاصة بالعميل التي تؤهل مثل هذه الشركات التابعة كالمتحكم في البيانات (“الشركات التابعة للعميل”). لأغراض هذه الاتفاقية فقط، وباستثناء المواضع التي يُشار فيها بخلاف ذلك، فإن مصطلحي “العميل” و“أنت” يتضمنان العميل والشركات التابعة للعميل.
1.3 المدة. تظل هذه الاتفاقية سارية طالما نحن نعالج البيانات الشخصية للعملاء بموجب هذه الاتفاقية، بغض النظر عن انتهاء أو إنهاء الاتفاقية.
٢. التعاريف
“بيانات الحساب” هي أي بيانات شخصية مقدمة من قبلك أو لنا في ارتباط بتوقيع وإدارة الاتفاقية وحسابك، بما في ذلك، ولكن لا تقتصر على معلومات الاتصال، تفاصيل الفواتير والمراسلات المتعلقة بتوقيع وإدارة الاتفاقية والخدمات ذات الصلة.
“CCPA” تعني قانون خصوصية المستهلك في كاليفورنيا لعام 2018 وأي لوائح تُصدَر بموجبه، في كل حالة، كما يتم تعديله من وقت لآخر.
“بيانات العميل” تعني أي بيانات ومعلومات أو محتوى آخر مقدم من قبلك أو لأجلك (أو من قبل مستخدم تطبيق العميل الخاص بك) بموجب الاتفاقية والمعالجة أو المخزنة بواسطة الخدمات.
“البيانات الشخصية للعميل” تعني البيانات الشخصية الموجودة في بيانات العميل والتي نقوم بمعالجتها كمعالج، ما لم يُحدد خلاف ذلك في هذه الاتفاقية الإضافية.
“قوانين حماية البيانات” تعني جميع القوانين واللوائح في أي ولاية قضائية تكون قابلة للتطبيق على السرية، الخصوصية، الأمان، أو معالجة البيانات الشخصية بموجب الاتفاقية، بما في ذلك، على سبيل المثال وحيثما ينطبق، GDPR أو CCPA.
“EEA” تعني، لأغراض هذه الاتفاقية الإضافية، المنطقة الاقتصادية الأوروبية وسويسرا.
“GDPR” تعني إما (i) اللائحة 2016/679 للبرلمان الأوروبي والمجلس حول حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية والحركة الحرة لمثل هذه البيانات (لائحة حماية البيانات العامة)؛ أو (ii) بشكل خاص فيما يتعلق بالمملكة المتحدة، قانون حماية البيانات 2018.
“البيانات الشخصية” تعني أي معلومات تتعلق بشخص طبيعي معرف أو يمكن التعرف عليه بشكل مباشر أو غير مباشر، سواء بمفرده أو مع معلومات أخرى.
“خرق البيانات الشخصية” يعني أي تدمير عرضي، غير مصرح به أو غير قانوني، أو فقدان، أو تعديل، أو إفشاء، أو الوصول إلى البيانات الشخصية للعميل وأي مصطلح مشابه بموجب قوانين حماية البيانات القابلة للتطبيق مثل "خرق الأمان".
“الخدمات” تعني جميع المنتجات والخدمات التي نقدمها نحن أو الشركات التابعة لنا والتي (أ) تطلبها بموجب أي نموذج طلب؛ أو (ب) تستخدمها أنت.
“المزود” يعني كيان التعاقد الخاص بنا والذي يكون طرفًا في هذه الاتفاقية الإضافية، وهو الكيان المتعاقد المدرج في القسم 15 في الشروط والأحكام العامة (الكيان المتعاقد)، ما لم يُذكر خلاف ذلك في نموذج الطلب الخاص بك. يمكن أن يُشار إليك أو المزود أيضًا فرديًا بـ "طرف" ومجتمعيًا بـ "الأطراف" في هذه الاتفاقية الإضافية.
“الشروط التعاقدية القياسية” تعني مسؤول إلى معالج (الوحدة الثانية) أو معالج إلى معالج (الوحدة الثالثة)، حسب الاقتضاء، من الشروط التعاقدية القياسية لنقل البيانات الشخصية إلى دول ثالثة بموجب لائحة (الاتحاد الأوروبي) 2016/679 الصادرة عن البرلمان الأوروبي والمجلس المعتمدة بموجب قرار التنفيذ الصادر عن المفوضية الأوروبية (الاتحاد الأوروبي) 2021/914 بتاريخ 4 يونيو 2021، كما هو محدد حاليًا في الجريدة الرسمية للاتحاد الأوروبي.
“المعالج الفرعي” يعني كيان طرف ثالث يقوم بمعالجة البيانات الشخصية للعميل نيابة عن المزود حيث يعمل المزود كمعالج بيانات أو معالج فرعي.
“الشروط التعاقدية القياسية للمملكة المتحدة” تعني أيًا أو كل مما يلي: (i) الاتفاق الدولي لنقل البيانات الذي أصدره مفوض المعلومات في المملكة المتحدة بموجب القسم 119A من قانون حماية البيانات 2018؛ (ii) الملحق الدولي لنقل البيانات إلى الشروط التعاقدية القياسية للمفوضية الأوروبية لنقل البيانات الدولية الذي أصدره مفوض المعلومات في المملكة المتحدة بموجب القسم 119A من قانون حماية البيانات 2018؛ أو (iii) الأحكام التعاقدية القياسية التي قد يصدرها مفوض المعلومات في المملكة المتحدة أو المفوضية الأوروبية التي قد تحل محل هذه من وقت لآخر.
المصطلحات مثل "المعالجة"، "مسؤول البيانات"، "معالج البيانات"، "موضوع البيانات"، إلخ. ستأخذ المعنى المعين لها بموجب GDPR. تعريف "مسؤول البيانات" يشمل "الشركة"، "المستهلك"، "المسؤول"، و"المنظمة"؛ "معالج البيانات" يشمل "مزود الخدمة"، "المعالج"، و"وسيط البيانات"؛ "موضوع البيانات" يشمل "المستهلك"، و"الفرد"؛ و"البيانات الشخصية" يشمل "المعلومات الشخصية"، في كل حالة كما هو معرف بموجب CCPA، وقوانين حماية البيانات الأخرى القابلة للتطبيق. المصطلحات "الغرض من العمل"، "الغرض التجاري"، "البيع"، و"المشاركة" ستأخذ نفس المعنى في قوانين حماية البيانات القابلة للتطبيق، وفي كل حالة، يجب تفسير المصطلحات المعبرة عنها بما يلائم ذلك.
3. معالجة البيانات الشخصية للعميل
3.1 الأغراض. سنقوم بمعالجة البيانات الشخصية للعميل فقط بالقدر اللازم (i) لتقديم الخدمات، بما في ذلك نقل الاتصالات، وضمان أمان الخدمات، وتقديم التقارير الفنية وتقارير التسليم، وتقديم الدعم وتطوير وتنفيذ التحسينات والتحديثات وفقًا لتعليماتك الموثقة لنا كمشغل بيانات كما هو موضح في القسم 3.2 من هذه الاتفاقية لحماية البيانات (DPA)، (ii) لأغراض أعمالنا المشروعة كما هو محدد في القسم 3.4 من هذه الاتفاقية لحماية البيانات (DPA) كمراقب بيانات، و(iii) كما هو مطلوب بموجب القانون الساري.
3.2 تعليمات العميل. تعتبر الاتفاقية وهذه الاتفاقية لحماية البيانات (DPA) تعليماتك الكاملة لنا كمشغل بيانات وقت توقيع هذه الاتفاقية لحماية البيانات. سنلتزم بالتعليمات الموثقة الأخرى بشرط أن تتوافق تلك التعليمات مع شروط الاتفاقية.
3.3 تفاصيل المعالجة. تُحدد الملحق الأول، الجزء ب (وصف النقل) في الملحق الأول لهذه الاتفاقية لحماية البيانات (DPA) طبيعة وغرض المعالجة من قبلنا كمشغل بيانات أو معالج بيانات فرعي، وأنشطة المعالجة، وفترة المعالجة، وأنواع البيانات الشخصية، وفئات الأشخاص المعنيين.
3.4 الأغراض التجارية المشروعة. تقر بأننا نقوم بمعالجة البيانات الشخصية للعميل كمراقب بيانات مستقل بالقدر اللازم لأغراض الأعمال المشروعة التالية: الفوترة، وإدارة الحسابات، والتقارير المالية والداخلية، ومكافحة ومنع التهديدات الأمنية، والهجمات الإلكترونية، والجرائم الإلكترونية التي قد تؤثر عليك، أو علينا أو على خدماتنا، ونمذجة الأعمال (مثل التنبؤ، وتخطيط القدرات والإيرادات، واستراتيجية المنتج)، ومنع واكتشاف الاحتيال، والرسائل غير المرغوب فيها، والانتهاك، والتحسين المستمر للمنتجات والخدمات المستخدمة من قبلك، والامتثال لالتزاماتنا القانونية.
٤. التزامات العميل
4.1 قانونية. حيث تقوم بدور مراقب البيانات لبيانات العملاء الشخصية، تضمن أن جميع أنشطة المعالجة قانونية، ولها غرض محدد، وأن أي إشعارات وموافقات مطلوبة أو أساس قانوني مناسب موجودة لتمكين النقل القانوني لبيانات العملاء الشخصية. إذا كنت معالج بيانات (وفي هذه الحالة، سنتصرف كمعالجات فرعية)، ستضمن أن يضمن مراقب البيانات المعني أن الشروط المذكورة في هذا القسم 4.1 قد تم الوفاء بها.
4.2 الامتثال. أنت المسؤول الوحيد عن (أ) ضمان الامتثال لقوانين حماية البيانات التي تنطبق على استخدامك للخدمات ومعالجة بيانات العملاء الشخصية الخاصة بك، (ب) إجراء تقييم مستقل فيما إذا كانت التدابير الفنية والتنظيمية للخدمات تفي بمتطلباتك، و(ج) تنفيذ والحفاظ على تدابير الحماية والخصوصية لمكونات البيانات التي توفرها أو تسيطر عليها (بما في ذلك على سبيل المثال لا الحصر كلمات المرور والأجهزة المستخدمة مع الخدمات وتطبيقات العملاء).
٥. الأمن
5.1 تدابير الأمن. مع الأخذ في الاعتبار حالة الفن وتكاليف التنفيذ وطبيعة ونطاق وسياق وأغراض المعالجة بالإضافة إلى خطر التباين في الاحتمالية والشدة على حقوق وحريات الأشخاص الطبيعيين، سنقوم بتنفيذ والحفاظ على التدابير الأمنية التقنية والتنظيمية المناسبة لحماية بيانات العملاء الشخصية من خروقات البيانات الشخصية وللحفاظ على أمن وسلامة وتوافر ومرونة وسرية بيانات العملاء التي تستخدمها أنظمتنا لمعالجة بيانات العملاء الشخصية. تم وصف التدابير الأمنية التي نطبقها في الملحق الثاني.
5.2 تحديثات تدابير الأمن. أنت مسؤول عن مراجعة المعلومات المقدمة منا المتعلقة بأمن بيانات العملاء الشخصية وإجراء تقييم مستقل عما إذا كانت هذه المعلومات تلبّي متطلباتك والالتزامات القانونية بموجب قوانين حماية البيانات. أنت تقر بأن التدابير الأمنية تخضع للتقدم والتطوير التقني، وأنه يمكننا تحديث أو تعديل تدابيرنا الأمنية من حين لآخر، بشرط ألا تؤدي هذه التحديثات والتعديلات إلى تدهور في الأمن العام لبيانات العملاء الشخصية.
5.3 التحكم في الوصول. نطبق مبادئ "الحاجة إلى المعرفة" و"أقل امتياز" لضمان أن الوصول إلى بيانات العملاء الشخصية مقتصر على الأشخاص الضروريين لتوفير الخدمات ووفقًا للاتفاقية، بما في ذلك هذه DPA.
5.4 سرية المعالجة. سنضمن أن أي شخص أو طرف يكون مخولًا من قبلنا لمعالجة بيانات العملاء الشخصية (بما في ذلك موظفينا، ووكلائنا والمجهزين الفرعيين) يتم إبلاغه بالطبيعة السرية لهذه البيانات وأن يكون تحت التزام مناسب بالحفاظ على السرية (سواء كان واجبًا تعاقديًا أو قانونيًا) الذي يستمر حتى بعد إنهاء ارتباطهم.
5.5 استجابة وإشعار خرق البيانات الشخصية. عند العلم بحدوث خرق للبيانات الشخصية، سنقوم دون تأخير غير مبرر (i) بإخطارك، (ii) بالتحقيق في خرق البيانات الشخصية، (iii) بتوفير معلومات في الوقت المناسب تتعلق بخرق البيانات الشخصية كلما أصبحت معروفة أو متى طُلبت بشكل معقول من قبلك، و(iv) باتخاذ خطوات تجارية معقولة لتخفيف الآثار ومنع تكرار خرق البيانات الشخصية.
٦. المساعدة
6.1 المساعدة في حماية البيانات. سنوفر لك المساعدة المطلوبة بما يعقل من أجل تمكينك من الامتثال لالتزاماتك بموجب قوانين حماية البيانات، بما في ذلك الإبلاغ عن خرق البيانات الشخصية، وتقييم مستوى الأمان المناسب للمعالجة، ومساعدتك في أداء تقييم تأثير حماية البيانات ذات الصلة.
6.2 المساعدة في حقوق موضوعات البيانات. سنقدم لك المساعدة اللازمة بما يعقل لتمكينك من الامتثال لالتزاماتك تجاه موضوعات البيانات الذين يمارسون حقوقهم بموجب قوانين حماية البيانات عن طريق إتاحة التدابير التقنية والتنظيمية عبر حسابك. ولتجنب الشك، فإنك كمسؤول عن البيانات تتحمل مسؤولية معالجة أي طلب أو شكوى من موضوعات البيانات فيما يتعلق ببيانات العميل الشخصية لموضوع البيانات.
7. الإفصاح وطلبات الإفصاح
7.1 قيود على الكشف والوصول. لن نوفر الوصول إلى أو الكشف عن بيانات العملاء الشخصية إلا (i) كما هو موجه من قبلك، (ii) كما هو موضح في الاتفاقية وهذا DPA، أو (iii) كما هو مطلوب بموجب القانون.
7.2 طلبات الكشف. سنقوم بإخطارك في أسرع وقت ممكن إذا تلقينا طلبًا من هيئة حكومية أو تنظيمية للكشف عن بيانات العملاء الشخصية، إلا إذا كان هذا الإشعار محظورًا بموجب القانون. سنقوم بالتعامل مع طلبات الكشف وفقًا لسياسة طلب الكشف، المتاحة على موقعنا الإلكتروني في صفحة سياسة طلب الكشف.
٨. المعالجات الفرعية
8.1 قائمة المعالِجين الفرعيين الحاليين. أنت توافق على الاشتراك في المعالِجين الفرعيين فيما يتعلق بالخدمات، المدرجة في مراجعتنا للمعالِجين الفرعيين، والتي تحتوي أيضًا على إجراء للاشتراك في إشعارات التغييرات على استخدامنا للمعالِجين الفرعيين. إذا اشتركت في مثل هذه الإشعارات، ومع الأخذ في الاعتبار القسم 8.3 من هذا العقد، سنشارك تفاصيل أي تغيير في المعالِجين الفرعيين في أقرب وقت ممكن.
8.2 تعيين المعالِجين الفرعيين. من خلال هذا العقد، تقدم تفويضًا كتابيًا عامًّا لنا للاشتراك في المعالِجين الفرعيين لمعالجة البيانات الشخصية الخاصة بالعميل، خاضعًا للقسم 8.3 من هذا العقد والمتطلبات التالية:
سنقيد الوصول إلى البيانات الشخصية الخاصة بالعميل من قبل المعالِجين الفرعيين بما هو ضروري بشكل صارم لتقديم الخدمات المحددة في اتفاقية المعالج الفرعي;
سنتفق على التزامات حماية البيانات مع المعالِج الفرعي التي تتوافق بشكل كبير مع الالتزامات بموجب هذا العقد; و
نظل مسؤولين لك بموجب هذا العقد عن أداء التزامات حماية البيانات للمعالِج الفرعي.
8.3 إخطار بالتغييرات على المعالِجين الفرعيين وحق الاعتراض. قبل استبدال أو إشراك معالجين فرعيين جدد (“تغيير المعالج الفرعي”), سنمنحك الخيار للاعتراض على تغيير المعالج الفرعي. يمكنك الاعتراض إذا كان (i) الاعتراض مكتوبًا خلال عشرة (10) أيام عمل من إشعارنا بالتغيير و (ii) يستند إلى ويشرح بوضوح الأسباب المعقولة المتعلقة بحماية البيانات الشخصية الخاصة بالعميل. عندما تعترض على تغيير معالج الفرعي المقترح، سنتعاون معك بحسن نية لإجراء تغيير معقول تجاريًّا في تقديم الخدمات التي تتجنب استخدام المعالج الفرعي المعني. إذا لم يكن من الممكن إجراء هذا التغيير بشكل معقول في غضون ثلاثين (30) يومًا من استلامنا لإشعار اعتراضك، أو إذا كان التغيير غير معقول تجاريًّا بالنسبة لنا، يمكن لأي من الطرفين إنهاء الميزات المحددة للخدمات التي لا يمكن توفيرها دون استخدام المعالج الفرعي المعني. هذا الحق في الإنهاء هو التعويض الوحيد والحصري لك إذا اعترضت على تغيير المعالِج الفرعي.
9. نقل البيانات الشخصية للعملاء عبر الحدود
9.1 نقل بيانات العملاء الشخصية. يجوز لنا نقل بيانات العملاء الشخصية بشرط توافر جميع الضمانات المناسبة المطلوبة بموجب قوانين حماية البيانات. قد يشمل ذلك تقييم تأثير نقل البيانات مسبقًا، واعتماد، ومتابعة وتقييم التدابير التقنية، التنظيمية والقانونية الإضافية، حقوق الأفراد القابلة للتنفيذ، وتوافر وسائل الانتصاف القانونية الفعّالة للأفراد.
9.2 البنود التعاقدية القياسية للمعالجين الثانويين. ما لم يكن هناك قرار بتوفير الكفاية أو آلية نقل بديلة، مثل إطار الخصوصية بين الاتحاد الأوروبي والولايات المتحدة، فقد قمنا بعقد وسوف نحافظ على البنود التعاقدية القياسية مع المعالجين الثانويين (بما في ذلك الشركات التابعة لنا) الموجودين خارج المنطقة الاقتصادية الأوروبية، وذلك وفقًا للشروط الموضحة في القسم 9.1 من هذا الملحق.
9.3 آليات نقل بيانات العملاء الشخصية. إلى الحد الذي يتطلب استخدامك للخدمات آلية نقل بيانات عبر الحدود لتصدير بيانات العملاء الشخصية بشكل قانوني من ولاية قضائية (مثل المنطقة الاقتصادية الأوروبية، كاليفورنيا، سنغافورة، سويسرا، أو المملكة المتحدة) إلينا الموجودة خارج تلك الولاية القضائية، ستسري هذه البنود. إذا، عند تنفيذ الخدمات، تم نقل بيانات العملاء الشخصية التي تخضع للائحة العامة لحماية البيانات أو أي قانون آخر يتعلق بحماية أو خصوصية الأفراد الذي ينطبق على هذا الملحق إلى كيان مقدم خدمة في دول لا تضمن مستوى كافٍ من حماية البيانات وفقًا لمعنى قوانين حماية البيانات، فإن آليات النقل المذكورة أدناه ستنطبق على تلك التحويلات ويمكن إنفاذها مباشرة من قبل الأطراف إلى الحد الذي تخضع فيه تلك النقلات لقوانين حماية البيانات.
9.3.1 يتفق الأطراف على أن البنود التعاقدية القياسية ستسري على بيانات العملاء الشخصية التي تُنقل عبر الخدمات من المنطقة الاقتصادية الأوروبية أو سويسرا، إما مباشرة أو عبر تحويل آخر، إلى كيان مقدم خدمات يقع في بلد خارج المنطقة الاقتصادية الأوروبية أو سويسرا غير معترف به من قبل المفوضية الأوروبية (أو، في حالة النقلات من سويسرا، الجهة المخولة في سويسرا) باعتبارها توفر مستوى كافٍ من حماية البيانات الشخصية.
9.3.1.1 عندما تكون أنت تعمل كمتحكم بيانات ونحن كمعالج بيانات، ستنطبق بنود التعاقد القياسية الخاصة بالمتحكم مع المعالج (الوحدة الثانية) على أي تحويل لبيانات العملاء الشخصية من المنطقة الاقتصادية الأوروبية. عندما تكون أنت تعمل كمعالج بيانات ونحن كمعالج ثانوي، ستنطبق بنود التعاقد القياسية الخاصة بالمعالج مع المعالج (الوحدة الثالثة) على أي تحويل لبيانات العملاء الشخصية من المنطقة الاقتصادية الأوروبية.
9.3.1.2 سنُعتبر مستورد البيانات وستُعتبر أنت مُصدّر البيانات تحت البنود التعاقدية القياسية. سيتم اعتبار توقيع كل طرف على هذا الملحق توقيعًا على البنود التعاقدية القياسية المطبقة، والتي سيتم اعتبارها مدرجة في هذا الملحق. التفاصيل المطلوبة تحت الملحق 1 والملحق 2 للبنود التعاقدية القياسية متوفرة في الملحق الأول والملحق الثاني لهذا الملحق. في حال وجود أي تضارب أو تعارض بين هذا الملحق والبنود التعاقدية القياسية، ستسود البنود التعاقدية القياسية فقط فيما يتعلق بنقل بيانات العملاء الشخصية من المنطقة الاقتصادية الأوروبية.
9.3.1.3 حيثما تتطلب البنود التعاقدية القياسية من الأطراف اختيار بين بنود اختيارية وإدخال معلومات، فقد قام الأطراف بذلك كما هو موضح أدناه:
ط. لن يتم اعتماد البنود الاختيارية 7 "بند التوصيل".
ث. بالنسبة إلى البند 9 "استخدام المعالجين الثانويين"، يختار الأطراف الخيار التالي: "الخيار 2 التفويض العام الكتابي: مستورد البيانات لديه تفويض عام من المتحكم بشأن مشاركة معالجين ثانويين من قائمة متفق عليها. يجب على مستورد البيانات إبلاغ المتحكم كتابياً بأي تغييرات مقترحة على هذه القائمة من خلال إضافة أو استبدال معالجين ثانويين قبل 10 أيام عمل على الأقل من التنفيذ، مما يمنح المتحكم وقتًا كافيًا للاعتراض على مثل هذه التغييرات قبل إشراك المعالجين الثانويين. يجب على مستورد البيانات تزويد مُصدّر البيانات بالمعلومات اللازمة لتمكينه من ممارسة حقه في الاعتراض. يجب على مستورد البيانات إبلاغ مُصدّر البيانات بإشراك المعالجين الثانويين."
ثث. بالنسبة إلى البند 11 (أ) "الانتصاف"، لا يتبنى الأطراف الخيار.
ج. بالنسبة إلى البند 17 "القانون المختار"، يختار الأطراف الخيار التالي: "الخيار 1. يُحكم هذا البنود بقانون دولة من دول الاتحاد الأوروبي الأعضاء، بشرط أن تسمح هذه القانون بحقوق الطرف الثالث كمستفيد. يتفق الأطراف على أن يكون هذا قانون هولندا."
ز. بالنسبة إلى البند 18 (ب) "اختيار المنتدى والاختصاص القضائي": "يتفق الأطراف على أن تكون هذه المحاكم هي محاكم هولندا."
9.3.2 يتفق الأطراف على أن البنود التعاقدية القياسية للمملكة المتحدة ستسري على بيانات العملاء الشخصية التي تُنقل عبر الخدمات من المملكة المتحدة، إما مباشرة أو عبر تحويلات أخرى، إلى كيان مقدم خدمات يقع في بلد خارج المملكة المتحدة الذي لا تعترف به السلطة التنظيمية المختصة في المملكة المتحدة أو الهيئة الحكومية للمملكة المتحدة باعتبارها توفر مستوى كافٍ من حماية البيانات الشخصية.
9.3.2.1 سنكون نحن مستورد البيانات وستكون أنت مُصدر البيانات وفقًا للبنود التعاقدية القياسية للمملكة المتحدة. سيتم اعتبار توقيع كل طرف على هذا الملحق توقيعًا على البنود التعاقدية القياسية للمملكة المتحدة التي سيتم اعتبارها مدرجة في هذا الملحق. التفاصيل المطلوبة تحت البنود التعاقدية القياسية للمملكة المتحدة متوفرة في الملحق الأول والملحق الثاني لهذا الملحق. في حال وجود أي تناقض أو تضارب بين هذا الملحق والبنود التعاقدية القياسية للمملكة المتحدة، فإن البنود التعاقدية القياسية للمملكة المتحدة ستسود فقط فيما يتعلق بنقل بيانات العملاء الشخصية من المملكة المتحدة.
١٠. التدقيق
10.1 تقرير التدقيق. سيتم تدقيق منصتنا الاتصالات بانتظام وفقًا لمعيار ISO 27001 (أو ما يعادله). قد يكون التدقيق، وفقًا لتقديرنا الخاص، تدقيقًا داخليًا أو تدقيقًا يجريه طرف ثالث. بناءً على طلب كتابي، سنوفر لك ملخص لتقرير التدقيق (أو "تقرير التدقيق")، حتى تتمكن من التحقق من التزامنا بمعايير التدقيق وهذه الاتفاقية. تقارير التدقيق هذه، بالإضافة إلى أي استنتاجات أو نتائج محددة فيها، تعتبر معلومات سرية تخصنا.
10.2 طلبات معلومات العميل. سنوفر لك جميع المعلومات اللازمة بشكل معقول لإثبات الامتثال للالتزامات الموضوعة في هذه الاتفاقية. سنقدم ردود كتابية على الطلبات المعقولة للمعلومات التي تقدمها، بما في ذلك الردود على استبيانات أمن المعلومات والتدقيق التي تكون معقولة في النطاق واللازمة لتأكيد التوافق مع هذه الاتفاقية، بشرط أن تكون قد قمت أولاً ببذل جهد معقول للحصول على المعلومات المطلوبة من الوثائق، تقارير التدقيق والمعلومات الأخرى المقدمة أو المعلن عنها من قبلنا، وأنك لن تمارس هذا الحق أكثر من مرة في السنة، ما لم يكن هناك خرق للبيانات الشخصية أو تغيير كبير في أنشطتنا المعالجة فيما يتعلق بالخدمات يتطلب إجراء استبيان إضافي. جميع الردود المقدمة تعتبر معلومات سرية تخصنا.
10.3 تدقيق العميل. إذا قدمنا لك تقرير تدقيق يمنحك أسبابًا موضوعية للاعتقاد بأننا قد خرقنا التزاماتنا بموجب هذه الاتفاقية، المتعلقة ببيانات العميل الشخصية المقدمة من قبلك، سنسمح لمُراجع طرف ثالث مستقل ومؤهل يتم تعيينه بواسطتك وموافق عليه من قبلنا، بتدقيق الأنشطة ذات الصلة بمعالجة البيانات الشخصية المطبقة، بشرط أن يتم إلى أقصى حد مسموح به بموجب القوانين المعمول بها، تلبية المتطلبات التالية:
يجب أن تقدم لنا إشعارًا مسبقًا معقولًا لمدة ستين (60) يومًا على الأقل قبل ممارسة حق التدقيق;
يوافق المدقق على التزامات السرية وفقًا للمعايير السوقية معنا;
تتخذ أنت والمدقق إجراءات لتقليل الإزعاج لعملياتنا التجارية;
سيتم إجراء التدقيق خلال ساعات العمل العادية;
لن نكون ملزمين بتوفير الوصول إلى بيانات عملاء آخرين أو الأنظمة غير المعنية بتقديم الخدمات; و
يجب أن تتحمل جميع تكاليف التدقيق.
11. حذف وإرجاع بيانات العميل الشخصية
عند إنهاء أو انتهاء الاتفاقية، سنقوم (بناءً على اختيارك) بحذف أو إعادة جميع البيانات الشخصية للعميل (بما في ذلك النسخ) الموجودة في حوزتنا أو تحت سيطرتنا إليك، باستثناء أن هذا الشرط لن يطبق بقدر ما نكون ملزمين قانوناً بالاحتفاظ ببعض أو كل البيانات الشخصية للعميل. إذا قمت بتوجيهنا لحذف البيانات الشخصية للعميل، سيتم حماية البيانات الشخصية للعميل المؤرشفة على أنظمتنا الاحتياطية من المعالجة الإضافية، وسيتم حذفها عند انتهاء فترة الاحتفاظ المطلوبة.
12. اتصالات وحقوق العملاء التابعين
إن الدخول في هذه الاتفاقية الإضافية باسم وعلى behalf of an شركة تابعة للعميل كما هو موضح في القسم 1.2 يشكل اتفاقية إضافية منفصلة بيننا وبين تلك الشركة التابعة للعميل، مع مراعاة ما يلي:
12.1. الاتصال. يظل العميل الذي هو الطرف المتعاقد في الاتفاقية مسؤولاً عن تنسيق جميع الاتصالات معنا بموجب هذه الاتفاقية الإضافية ويحق له إجراء واستلام أي اتصال يتعلق بهذه الاتفاقية الإضافية نيابة عن شركاته التابعة للعميل.
12.2 حقوق الشركات التابعة للعميل. عندما تصبح شركة تابعة للعميل طرفاً في الاتفاقية الإضافية معنا، يحق لها بقدر ما تتطلبه قوانين حماية البيانات ممارسة الحقوق والبحث عن العلاجات بموجب هذه الاتفاقية الإضافية، مع مراعاة ما يلي:
(i) ما لم تتطلب قوانين حماية البيانات أن تمارس الشركة التابعة للعميل حقًا أو تسعى لعلاج بموجب هذه الاتفاقية الإضافية ضدنا مباشرة بنفسها، يتفق الطرفان على أن (i) يحق فقط للعميل الذي هو الطرف المتعاقد في الاتفاقية أن يمارس هذا الحق أو يسعى للعلاج نيابة عن الشركة التابعة للعميل، و(ii) يحق للعميل الذي هو الطرف المتعاقد في الاتفاقية أن يمارس أي من هذه الحقوق بموجب هذه الاتفاقية الإضافية ليس بشكل منفصل لكل شركة تابعة للعميل بشكل فردي ولكن بطريقة موحدة لنفسه وجميع شركاته التابعة للعميل معًا.
(ii) يتفق الطرفان على أن العميل الذي هو الطرف المتعاقد في الاتفاقية، عند إجراء تدقيق ميداني للإجراءات ذات الصلة بحماية البيانات الشخصية للعميل نيابة عنه كما هو موضح في القسم 10.3 من هذه الاتفاقية الإضافية، يتخذ جميع الإجراءات اللازمة للحد من أي تأثير علينا بجمع، إلى الحد الممكن، عدة طلبات تدقيق يتم إجراؤها نيابة عنه وعن جميع شركاته التابعة للعميل في تدقيق واحد.
للتوضيح، لا تصبح شركة تابعة للعميل طرفاً متعاقدًا في الاتفاقية.
13. قانون خصوصية المستهلك في كاليفورنيا.
قدر الإمكان، نقدم الالتزامات الإضافية التالية لك فيما يتعلق بمعالجة البيانات الشخصية للعميل في نطاق CCPA.
13.1 التزاماتنا بموجب قوانين حماية البيانات الأميركية. المصطلحات "الغرض التجاري"، "الغرض التجاري"، "المستهلك"، "البيع"، و"المشاركة" كما تستخدم في هذا القسم 13.1 لها المعنى المعطى لها في CCPA. بقدر ما هو قابل للتطبيق، سوف نلتزم بـ CCPA ونعامل جميع البيانات الشخصية للعميل الخاضعة لـ CCPA وقوانين حماية البيانات الأميركية الأخرى (البيانات الشخصية الأميركية) وفقًا لأحكام CCPA وغيرها من قوانين حماية البيانات الأميركية. بالنسبة للبيانات الشخصية الأميركية، نحن مقدم خدمة بموجب CCPA ومعالج بيانات بموجب قوانين حماية البيانات الأميركية الأخرى. لن نقوم ببيع البيانات الشخصية الأميركية. لن نحتفظ أو نستخدم أو نكشف عن أي بيانات شخصية أميركية (i) لأي غرض آخر غير الأغراض التجارية المحددة في الاتفاقية (بما في ذلك الاحتفاظ أو استخدام أو كشف البيانات الشخصية الأميركية لأغراض تجارية أخرى غير الغرض التجاري المحدد في الاتفاقية أو كما هو مسموح به من قبل CCPA أو القوانين المعمول بها الأخرى)؛ أو (ii) خارج العلاقة التجارية المباشرة بينك وبيننا.
13.2 التزامات العميل. أنت تقر وتتعهد بأنك قمت بإخطار المستخدم النهائي بأن البيانات الشخصية يتم استخدامها أو مشاركتها وفقًا لقوانين حماية البيانات المعمول بها. أنت مسؤول عن الامتثال لمتطلبات قوانين حماية البيانات بقدر ما تنطبق عليك كمدير بيانات.
١٤. القانون الحاكم وتسوية النزاعات
أي نزاع أو مطالبة أو خلاف (“النزاع”) ينشأ عن أو يتعلق بهذا DPA يجب أن يحكم ويُفسر وفقًا لقوانين هولندا. يوافق كل طرف على أن المحاكم المختصة في أمستردام، هولندا، سيكون لها الاختصاص الحصري لتسوية أي نزاع ينشأ عن أو يتعلق بهذا DPA.
الملحق الأول - تفاصيل المعالجة
عند الاقتضاء، ستعمل هذه الملحق الأول كمرفق الأول للبنود التعاقدية القياسية.
المرفق الأول، الجزء أ. قائمة الأطراف
مصدر البيانات: العميل
تفاصيل اتصال مصدر البيانات: العنوان المُدرج في حساب العميل، أو بريد مالك حساب العميل الإلكتروني، أو إلى العنوان البريدي الذي يختاره العميل لتلقي الإشعارات بموجب الاتفاقية.
دور مصدر البيانات: تم توضيح دور مصدر البيانات في القسم 4 من اتفاقية حماية البيانات (DPA).
التوقيع والتاريخ: إذا ومتى كان ذلك مناسبًا، يُعتبر مصدر البيانات قد وقع البنود التعاقدية القياسية المدمجة هنا اعتبارًا من تاريخ السريان لاتفاقية حماية البيانات.
مستورد البيانات: المزود
تفاصيل اتصال مستورد البيانات: مسؤول حماية البيانات - privacy@bird.com
دور مستورد البيانات: يعمل مستورد البيانات كمعالج بيانات.
التوقيع والتاريخ: إذا ومتى كان ذلك مناسبًا، يُعتبر مستورد البيانات قد وقع البنود التعاقدية القياسية المدمجة هنا اعتبارًا من تاريخ السريان لاتفاقية حماية البيانات.
المرفق الأول، الجزء ب. وصف التحويل
1. فئات الأفراد الذين يتم نقل بياناتهم الشخصية.
المستخدمون. أشخاص الاتصال (الأشخاص الطبيعيون) أو الموظفون أو المقاولون أو العمال المؤقتون (الحاليون، المتوقعون، السابقون) للعميل المستخدمون للخدمات (“المستخدمون”).
المستخدمون النهائيون. أي فرد (1) يتم تضمين تفاصيل الاتصال الخاصة به في قائمة(قوائم) اتصال العميل؛ (2) يتم تخزين معلوماته أو جمعها عبر الخدمات، أو (2) يتم إرسال العميل إليه الاتصالات أو التفاعل معه أو التواصل معه عبر الخدمات (مجتمعة، “المستخدمون النهائيون”). يحدد العميل وحده فئات الأفراد المدرجين في الاتصالات المرسلة عبر منصة الاتصال الخاصة بنا.
2. فئات البيانات الشخصية المنقولة.
البيانات الشخصية للعميل المحتواة في، محتوى الاتصالات، بيانات الحركة، بيانات المستخدم النهائي، وبيانات استخدام العميل.
محتوى الاتصالات، التي قد تتضمن بيانات شخصية أو خصائص مخصصة أخرى، اعتمادًا على محتوى الاتصالات كما يحدده العميل.
بيانات الحركة، التي قد تتضمن بيانات شخصية للعميل عن التوجيه، أو المدة، أو توقيت الاتصالات مثل المكالمات الصوتية أو الرسائل النصية القصيرة أو البريد الإلكتروني، سواء كانت تتعلق بفرد أو شركة.
بيانات المستخدم النهائي، مثل رقم الهاتف، عنوان البريد الإلكتروني، الاسم الأول، الاسم الأخير، اسم الملف الشخصي، الدولة، معرف القناة.
بيانات استخدام العميل، قد تحتوي على بيانات يمكن ربطها بك كفرد في البيانات الإحصائية والمعلومات المتعلقة بحسابك وأنشطتك في الخدمة، ورؤى الخدمة ذات الصلة وتقارير التحليل بخصوص الاتصال المرسل ودعم العملاء.
3. البيانات الحساسة المنقولة (إذا كانت تنطبق) والقيود أو الضمانات المطبقة التي تأخذ بعين الاعتبار طبيعة البيانات والمخاطر المتضمنة، مثلًا القيود الصارمة على الأغراض، وقيود الدخول (بما في ذلك الدخول فقط للموظفين الذين خضعوا لتدريب متخصص)، الاحتفاظ بسجل للوصول إلى البيانات، وقيود النقل المستمر أو التدابير الأمنية الإضافية.
محتوى الاتصالات. قد تتم معالجة البيانات الحساسة من وقت لآخر عبر الخدمات حيث تختار أنت أو مستخدموك النهائيون تضمين بيانات حساسة ضمن الاتصالات التي تُرسل باستخدام الخدمات. تقع على عاتقك مسؤولية التأكد من وجود ضمانات مناسبة قبل الإرسال أو المعالجة، أو قبل السماح لمستخدميك النهائيين بالإرسال أو المعالجة لأي بيانات حساسة عبر الخدمات، وفقًا للقسم 3.2 من الاتفاقية.
بيانات الحركة، بيانات المستخدم النهائي، وبيانات استخدام العميل. لا تتضمن بيانات الحركة، بيانات المستخدم النهائي، أو بيانات استخدام العميل أي بيانات حساسة.
4. تكرار النقل (مثلًا ما إذا كان يتم نقل البيانات لمرة واحدة أو باستمرار): يتم نقل البيانات الشخصية للعميل باستمرار طوال مدة الاتفاقية.
5. طبيعة المعالجة: سنقوم بمعالجة البيانات الشخصية للعميل بالقدر اللازم لتقديم الخدمات بموجب الاتفاقية. نحن لا نبيع أي بيانات شخصية، بما في ذلك البيانات الشخصية للعميل، ولا نشارك البيانات الشخصية مع أطراف ثالثة لمصلحتهم التجارية أو لأغراض تعويضية.
6. غرض (أغراض) نقل البيانات والمعالجة الإضافية: لن نعالج البيانات الشخصية للعميل إلا كمعالج بيانات وفقًا لتعليمات العميل كما هو مذكور في هذه الاتفاقية لحماية البيانات، إلا إذا كان من الضروري للامتثال لالتزام قانوني نخضع له، وفي هذه الحالة سنصنف كالتحكم في البيانات.
محتوى الاتصالات، بيانات الحركة، بيانات المستخدم النهائي، وبيانات استخدام العميل. سيخضع البيانات الشخصية المحتواة في محتوى الاتصالات، بيانات الحركة، بيانات المستخدم النهائي، وبيانات استخدام العميل للأنشطة الأساسية التالية للمعالجة:
محتوى الاتصالات. تقديم منتجات وخدمات اتصالات قابلة للبرمجة، يتم تقديمها في صورة واجهات برمجة التطبيقات (APIs) أو عبر لوحة التحكم، للعميل، بما في ذلك الإرسال إلى أو من تطبيق البرمجيات الخاص بالعميل من أو إلى منصة الاتصال الخاصة بنا، وشبكات الاتصال الأخرى.
بيانات الحركة. تتم معالجة بيانات الحركة بغرض نقل الاتصالات على شبكة الاتصالات الإلكترونية أو لفرض فواتير فيما يتعلق بتلك الاتصالات. قد يشمل هذا بيانات شخصية للعميل بخصوص التوجيه، المدة، أو توقيت اتصال مثل مكالمات صوتية، رسائل نصية قصيرة، أو بريد إلكتروني، سواء كان يتعلق بفرد أو شركة.
بيانات المستخدم النهائي. تتطلب معالجة بيانات المستخدم النهائي من أجل تقديم الخدمات وسيتم معالجتها للأغراض المتعلقة بنقل الاتصالات، دعم العملاء، وضمان الالتزام بالالتزامات القانونية الخاصة بنا.
بيانات استخدام العميل. سيتم معالجة البيانات الشخصية المحتواة في بيانات استخدام العميل ضمن أنشطة المعالجة لتقديم الخدمات بموجب الاتفاقية، بهدف تقديم رؤى الخدمة ذات الصلة لك وتقارير التحليل المتعلقة بالاتصال المرسلة ودعم العميل والتحسين المستمر للخدمات.
7. مدة الاحتفاظ بالبيانات الشخصية، أو إذا لم يكن ذلك ممكنًا، المعايير المستخدمة لتحديد تلك المدة:
محتوى الاتصالات وبيانات الحركة.
بالنسبة لمحتوى الاتصالات وبيانات الحركة المحتواة في خدمات الرسائل النصية القصيرة والصوتية، تطبق مدة احتفاظ ستة أشهر؛
بالنسبة لمحتوى وبيانات الحركة في خدمات الفيديو، يتم الاحتفاظ بها لحد أدنى 30 يومًا حتى المدة المتفق عليها معك؛
بالنسبة لخدمات البريد الإلكتروني، يتم الاحتفاظ بمحتوى الاتصالات وبيانات الحركة لمدة 72 ساعة؛
بالنسبة لبقية الخدمات، يتم الاحتفاظ بمحتوى الاتصالات وبيانات الحركة طوال مدة الخدمات، باستثناء إذا قمت بحذف محتوى الاتصالات أو بيانات الحركة عبر التدابير الفنية والتنظيمية المقدمة لك عبر الخدمات.
بيانات المستخدم النهائي. سيتم معالجة بيانات المستخدم النهائي للمدة التي يحددها العميل، عندما تكون بيانات المستخدم النهائي مدرجة في ملفات الاتصال الخاصة بك، فإن مدة الاحتفاظ الافتراضية هي طوال مدة الخدمات، وفقًا للقسم 6(ج) من هذا المرفق الأول، الجزء ب.
بيانات استخدام العميل. عند انتهاء الاتفاقية، قد نحتفظ ببيانات استخدام العميل ونستخدمها ونفصح عنها للأغراض المحددة في القسم 6(د) من هذا المرفق الأول، الجزء ب، بشرط أن تكون خاضعة للالتزامات السرية المحددة في الاتفاقية. سنقوم بتمويه أو حذف بيانات استخدام العميل عندما لم نعد بحاجة إليها للأغراض المحددة في القسم 6(د) من هذا المرفق الأول، الجزء ب.
8. للعمليات إلى المعالجين الفرعيين، حدد أيضًا الموضوع والمضمون وطبيعة مدة المعالجة: بالنسبة للعمليات إلى المعالجين الفرعيين، يتم تحديد الموضوع وطبيعة المعالجة في نظرة عامة على المعالجين الفرعيين وتكون المدة طوال مدة الاتفاقية.
المرفق الأول، الجزء ج. السلطة الإشرافية المختص
ستكون السلطة الهولندية لحماية البيانات (Autoriteit Persoonsgegevens) السلطة الإشرافية المختصة.
الملحق الثاني - الإجراءات الأمنية التقنية والتنظيمية
حيث ينطبق، ستكون هذه الملحق الثاني بمثابة الملحق الثاني لبنود التعاقد القياسية. توفر النقاط التالية مزيدًا من المعلومات بشأن التدابير الفنية والتنظيمية الأمنية لدينا المشار إليها أدناه.
التدابير الأمنية الفنية والتنظيمية:
تدابير الاستعارة وحماية البيانات الشخصية في التخزين والنقل: يتم تشفير جميع البيانات الشخصية أثناء النقل وفي حالة الثبات، وبقدر ما يكون مناسبًا من منظور الأمان، يتم التعامل معها وكأنها مصنفة كبيانات حساسة. يتم دائمًا نقل المعلومات عبر TLS مع منهجيات التشفير الحديثة بشكل افتراضي.
تدابير لضمان السرية المستمرة والنزاهة والتوافر ومرونة أنظمة وخدمات المعالجة: نقوم بإبرام اتفاقيات تحتوي على شروط السرية مع موظفينا ومقاولينا وبائعينا ومعالجي البيانات الفرعيين. سياسة استمرارية الأعمال لدينا هي إعداد أعمالنا وخدماتنا في حالة انقطاعات طويلة ناتجة عن عوامل خارجة عن سيطرتنا واستعادة الخدمات في أقصى نطاق ممكن في أقصر فترة زمنية. نحن ندرك أن الخدمات التي نقدمها تعتبر مهمة جدًا لعملائنا لذلك لدينا تسامح قليل جدًا مع انقطاعات الخدمة. تم تصميم أطرنا الزمنية للاسترداد لضمان قدرتنا على الوفاء بالتزاماتنا تجاه جميع عملائنا
العمليات لاختبار وتقييم فعالية التدابير الفنية والتنظيمية بشكل منتظم لضمان أمان المعالجة: الهدف من أمن المعلومات ونظام إدارة أمن المعلومات لدينا (ISMS) هو حماية السرية والنزاهة وتوافر المعلومات للمنظمة والموظفين والشركاء والعملاء وأنظمة المعلومات (المصرحة)، وتقليل خطر وقوع الأضرار عن طريق منع حوادث الأمان وإدارة التهديدات الأمنية والضعف. فريقنا القانوني، ومسؤول حماية البيانات، وفريق الأمان يتأكدون من إدخال اللوائح والمعايير المعمول بها في أطرنا الأمنية.
تدابير لتحديد هوية المستخدم والتفويض: نتبع مبادئ "الحاجة إلى المعرفة" و "الأولوية الأقل". نشجع استخدام التحكم في الوصول القائم على الدور. يتم الإشراف على توفير وإلغاء تحديد الوصول من قبل فريق الأمان، مع تسجيل الدخول الموحد والمصادقة الثنائية بشكل افتراضي. تم تعيين مالكين لكل أصل معلومات يكونون مسؤولين عن ضمان وصول أنظمتهم بشكل مناسب ومراجعتها بانتظام. كلما تعاملنا مع معلومات حساسة أو قمنا بإجراء حاسم، نستخدم مبدأ الأربع أعين.
تدابير لضمان تسجيل الأحداث: يتم تخزين سجلات التدقيق مركزياً ومراقبتها بشكل منتظم للأحداث الأمنية ويتم الحفاظ عليها بشكل آمن لتجنب خطر التلاعب. تفرض سياسة إدارة الحوادث خطة الاستجابة للحوادث وإجراءاتها. هذه المبادئ التوجيهية تتبع في حال حدوث أي نوع من الحوادث الأمنية أو التقنية.
تدابير لضمان تهيئة الأنظمة، بما في ذلك التهيئة الافتراضية: نتبع عملية إدارة تغيير موحدة لجميع التغييرات في بيئة الإنتاج لمنصة التواصل كخدمة. لتوضيح أكثر، تحتاج جميع طلبات التغيير (RFC) إلى اعتماد من قبل جهة محددة وتنفيذها وفقًا لعملية التحكم في التغيير الرسمية. تضمن عملية التحكم في التغيير أن المقترحات الخاصة بالتغييرات تتم مراجعتها، والموافقة عليها، واختبارها، وتنفيذها، وإصدارها بنحو يسير. كما يتم متابعة الخطوات الأساسية لتكوين الأنظمة بشكل آمن باتباع أفضل الممارسات. بالإضافة إلى ذلك، ضمن قسم الهندسة، يتم استخدام مؤشر التقنيات لتحديد أي التقنيات (لغات، أدوات نظام، قواعد بيانات وأدوات إدارة البيانات) يمكن تبنيها أو يحتاج تجنبها أثناء التطوير.
التدابير الأمنية المادية: جميع موظفي Bird يعملون عن بعد. بسبب سياسة العمل عن بعد لـ Bird، قامت Bird بتطبيق وتطبيق سياسة العمل عن بعد والتي تضمن عمل الموظفين عن بعد بطريقة آمنة. تفرض السياسة التدابير الدنيا حول الأمن المادي، أمن الوصول، أمن الاتصال والتواصل.
تدابير لحوكمة وإدارة تكنولوجيا المعلومات وأمن تكنولوجيا المعلومات الداخلي: نحافظ على برنامج تقييم أمن يعتمد على المخاطر، الذي يشمل حماية إدارية وتنظيمية وفنية ومادية مصممة لحماية الخدمات وسرية البيانات العميلة وسلامتها وتوفرها. تم إعداد برنامج أمن المعلومات لدينا بطريقة منظمة ومنظمة جيدًا. بالإضافة إلى ذلك، تنطبق المتطلبات القانونية والتنظيمية لضمان سرية المعلومات للمنظمة، الموظفين، الشركاء والعملاء. يتم ترجمة كل ذلك إلى سياساتنا وإجراءاتنا وإرشاداتنا الأمنية للمعلومات . لدينا لجنة توجيهية للأمن تكون مسؤولة عن المستوى التكتيكي لأمن المعلومات. يتضمن ذلك تنسيق أنشطة الأمن المعلومات وترجمة الأنشطة الاستراتيجية إلى أنشطة تشغيلية لأمننا وصيانة التزامنا التنظيمي بشكل مستمر. جميع الموظفين مسؤولون عن حماية أصول الشركة. يتم فحص جميع موظفينا من حيث الخبرة، الخبرة، والنزاهة. يتم إعلام الموظفين حول الأمان وحماية البيانات في مرحلة الشمول، وكذلك من خلال تدريب فرق محددة بانتظام، وتقديمات عامة عن أهمية حماية البيانات والامتثال الأمني. نحن معتمدون من ISO 27001، وهو معيار الأمان المعلومات المعترف به عالميًا لأنظمة إدارة أمن المعلومات (ISMS).
جميع مزودي الخدمة المستضافة لدينا معتمدون من ISO 27001.
كما أننا مسجلون لدى هيئة المستهلك والأسواق الهولندية. وهذا يعني أننا دائمًا مسئولون وشفافون تمامًا مع عملائنا.
نحن دائمًا على اطلاع بآخر المستجدات مع جميع القوانين واللوائح المعمول بها، بما في ذلك اللائحة العامة لحماية البيانات، والإطار الأوروبي الأمريكي لحماية البيانات.
التدابير الخاصة بالشهادات/ضمان العمليات والمنتجات: نخضع للرقابة الدقيقة وكذلك عمليات تدقيق الشهادات كجزء من امتثال ISO/IEC 27001 لدينا، ونقوم بانتظام بإجراء اختبار قابلية التطبيق واختبار اختراق.
تدابير لضمان المساءلة: نقوم بتطبيق سياسات الأمان المعلومات وحماية البيانات وفقًا للقوانين المعمول بها ونشر نظرة عامة على المعلومات ذات الصلة بنظام إدارة أمن المعلومات لدينا في نظرة عامة على أمن MessageBird. لقد قمنا بتعيين مدير أمن متخصص، مسؤول أمن المعلومات، مسؤول الامتثال، ومسؤول حماية البيانات، ونحافظ على وثائق أنشطتنا المعالجة، بما في ذلك تسجيل والإبلاغ عن حوادث الأمان التي تشمل البيانات الشخصية حيثما ينطبق.
التدابير لضمان محو البيانات: نضمن محو البيانات من خلال عملية حذف آلية داخل بيئة التواصل والبنية التحتية لدينا. تضمن عملية حذف البيانات هذه أن جميع البيانات التي لم تعد بحاجة لتحقيق غرض معين يتم إزالتها من أنظمتنا بعد المعالجة.
