اتفاقية معالجة البيانات
آخر تحديث: 21 نوفمبر 2024
تنطبق اتفاقية معالجة البيانات هذه عليك لأي خدمات تقوم بالتسجيل لها (بما في ذلك من خلال أي من الشركات التابعة لنا):
من اليوم الذي تسجل فيه لخدماتنا، إذا كان في أو بعد 21 نوفمبر 2024.
من 22 ديسمبر 2024، إذا قمت بالتسجيل لخدماتنا قبل 21 نوفمبر 2024.
يمكنك العثور على اتفاقية معالجة البيانات المؤرشفة الخاصة بنا هنا.
Documents
المحتويات
يشكل اتفاق معالجة البيانات هذا، بما في ذلك الملاحق، ("DPA") جزءًا من الاتفاقية بيننا وبين العميل لشراء خدمات الاتصالات (عبر الإنترنت) منا لتعكس اتفاق الأطراف فيما يتعلق بمعالجة البيانات الشخصية للعميل. في هذه الاتفاقية، تعود الشروط "أنت", "لك", أو "العميل" إليك كعميل لنا (وفقًا للقسم 1.2 أدناه)، وتعود الشروط "نحن", "لنا", أو "مزود الخدمة" إلينا كمزود (كما هو معرّف أدناه). المصطلحات الكبيرة المستخدمة في هذا الاتفاق ولكن لم تُعرف أدناه محددة في الأحكام والشروط العامة أو أي اتفاق آخر معنا يحكم استخدامك للخدمات.
يتفق الطرفان على أن هذا الاتفاق سيحل محل أي ملحق حماية بيانات موجود أو اتفاق مشابه قد يكون الأطراف قد دخلوا فيه مسبقًا فيما يتعلق بالخدمات.
1. النطاق، الفروع التابعة للعميل والمدة
1.1 النطاق. تحكم هذه الاتفاقية في معالجة البيانات الشخصية للعملاء بواسطتنا كمعالج.
1.2 الشركات التابعة للعميل. يدخل العميل في هذه الاتفاقية نيابة عن نفسه، وبالقدر المطلوب بموجب قوانين حماية البيانات، باسم ونيابة عن الشركات التابعة له (كما هو معرف في الشروط)، إذا وفرت مثل هذه الشركات التابعة الوصول إلى الخدمات وعمليات معالجة البيانات الشخصية الخاصة بالعميل التي تؤهل مثل هذه الشركات التابعة كالمتحكم في البيانات (“الشركات التابعة للعميل”). لأغراض هذه الاتفاقية فقط، وباستثناء المواضع التي يُشار فيها بخلاف ذلك، فإن مصطلحي “العميل” و“أنت” يتضمنان العميل والشركات التابعة للعميل.
1.3 المدة. تظل هذه الاتفاقية سارية طالما نحن نعالج البيانات الشخصية للعملاء بموجب هذه الاتفاقية، بغض النظر عن انتهاء أو إنهاء الاتفاقية.
٢. التعاريف
“بيانات الحساب” تعني أي بيانات شخصية تقدمها أو تُقدم من أجلك لنا فيما يتعلق بالدخول في وإدارة الاتفاقية وحسابك، بما في ذلك على سبيل المثال لا الحصر معلومات الاتصال، وتفاصيل الفوترة والمراسلات حول الدخول في وإدارة الاتفاقية والخدمات ذات الصلة.
“CCPA” تعني قانون خصوصية المستهلك في كاليفورنيا لعام 2018 وأي لوائح يتم إصدارها تحته، في كل حالة، كما يتم تعديلها من وقت لآخر.
“بيانات العميل” تعني أي بيانات ومعلومات أو محتوى آخر يتم تقديمه بواسطة أو لأجلك (أو من قبل مستخدم لتطبيق العميل الخاص بك) بموجب الاتفاقية وتتم معالجتها أو تخزينها بواسطة الخدمات.
“البيانات الشخصية للعميل” تعني البيانات الشخصية الواردة في بيانات العميل التي نعالجها كمعالج، ما لم يتم تحديد خلاف ذلك في هذا الإتفاق.
“قوانين حماية البيانات” تعني جميع القوانين واللوائح لأي ولاية قضائية تنطبق على السرية، الخصوصية، الأمن، أو معالجة البيانات الشخصية بموجب الاتفاقية، بما في ذلك، على سبيل المثال وحيثما ينطبق، اللائحة العامة لحماية البيانات أو CCPA.
“EEA” تعني، لأغراض هذا الإتفاق، المنطقة الاقتصادية الأوروبية وسويسرا.
“اللائحة العامة لحماية البيانات (GDPR)” تعني إما (i) اللائحة 2016/679 للبرلمان الأوروبي ومجلس حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وحرية حركة تلك البيانات (اللائحة العامة لحماية البيانات)؛ أو (ii) فيما يتعلق بالمملكة المتحدة فقط، قانون حماية البيانات 2018.
“البيانات الشخصية” تعني أي معلومات تتعلق بفرد يتم التعرف عليه أو يمكن التعرف عليه بطريقة مباشرة أو غير مباشرة، سواء كانت بمفردها أو بالاشتراك مع معلومات أخرى.
“خرق البيانات الشخصية” يعني أي تدمير عرضي أو غير مصرح به أو غير قانوني، فقدان، تغيير، إفشاء أو وصول إلى البيانات الشخصية للعميل وأي مصطلح مشابه آخر بموجب قوانين حماية البيانات المعمول بها مثل “خرق الأمان”.
“الخدمات” تعني جميع المنتجات والخدمات التي نقدمها نحن أو شركاؤنا والتي (أ) تطلبها تحت أي نموذج طلب؛ أو (ب) تستخدمها أنت.
“الموفر” يعني كيان التعاقد الخاص بنا الذي يكون طرفا في هذا الإتفاق، وهو الكيان المدرج في القسم 15 في الشروط والأحكام العامة (كيان التعاقد)، ما لم يتم التصريح بخلاف ذلك في نموذج الطلب الخاص بك. يمكن الإشارة إليك أو إلى الموفر بشكل فردي بوصفكم “طرفا” وبشكل جماعي بوصفكم “أطراف” في هذا الإتفاق.
“البنود التعاقدية القياسية” تعني المراقب إلى المعالج (الوحدة الثانية) أو المعالج إلى المعالج (الوحدة الثالثة)، حسب الاقتضاء، الخاصة بالبنود التعاقدية القياسية لنقل البيانات الشخصية إلى دول ثالثة بموجب لائحة (الاتحاد الأوروبي) 2016/679 الصادرة عن البرلمان الأوروبي والمجلس المعتمدة من قبل قرار التنفيذ 2021/914 للاتحاد الأوروبي المؤرخ 4 يونيو 2021، كما هو محدد حاليًا في https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.
“المعالج الفرعي” يعني كيان طرف ثالث يعالج البيانات الشخصية للعميل نيابة عن الموفر حيث يعمل الموفر كمعالج بيانات أو معالج فرعي.
“بنود التعاقد القياسية الخاصة بالمملكة المتحدة” تعني أي أو جميع ما يلي: (i) اتفاق نقل البيانات الدولي الصادر عن مفوض المعلومات في المملكة المتحدة بموجب البند 119A من القانون 2018 DPA؛ (ii) الإضافة الخاصة بنقل البيانات الدولية على البنود التعاقدية القياسية للمفوضية الأوروبية الخاصة بنقل البيانات الدولية الصادرة عن مفوض المعلومات في المملكة المتحدة بموجب البند 119A من القانون 2018 DPA؛ أو (iii) الأحكام التعاقدية القياسية الصادرة عن مفوض المعلومات أو المفوضية الأوروبية والتي قد تحل محل هذه البنود من وقت لآخر.
المصطلحات مثل “المعالجة”، “المتحكم في البيانات”، “المعالج البيانات”، “موضوع البيانات”، إلخ، يجب أن يكون لها المعنى الخاص بها تحت اللائحة العامة لحماية البيانات (GDPR). يشمل تعريف “المتحكم في البيانات” أيضا “الأعمال”، “المستهلك”، “المتحكم”، و “المنظمة”; ويشمل “معالج البيانات” “مقدم الخدمة”، “المعالج”، و “وسيط البيانات”; “موضوع البيانات” يشمل “المستهلك” و “الفرد”; و “البيانات الشخصية” يشمل “المعلومات الشخصية”، في كل حالة كما هو معرّف ضمن قانون CCPA، والقوانين الأخرى الخاصة بحماية البيانات المعمول بها. يجب أن يكون للمصطلحات “الغرض التجاري”، “الغرض التجاري”، “البيع”، و “المشاركة” نفس المعنى كما هو في قوانين حماية البيانات المعمول بها، وفي كل حالة يجب تفسير مصطلحاتهم المشابهة وفقا لذلك.
3. معالجة البيانات الشخصية للعميل
3.1 الأغراض. سنقوم بمعالجة البيانات الشخصية للعميل فقط بالقدر اللازم (i) لتقديم الخدمات، بما في ذلك نقل الاتصالات، وضمان أمان الخدمات، وتقديم التقارير الفنية وتقارير التسليم، وتقديم الدعم وتطوير وتنفيذ التحسينات والتحديثات وفقًا لتعليماتك الموثقة لنا كمشغل بيانات كما هو موضح في القسم 3.2 من هذه الاتفاقية لحماية البيانات (DPA)، (ii) لأغراض أعمالنا المشروعة كما هو محدد في القسم 3.4 من هذه الاتفاقية لحماية البيانات (DPA) كمراقب بيانات، و(iii) كما هو مطلوب بموجب القانون الساري.
3.2 تعليمات العميل. تعتبر الاتفاقية وهذه الاتفاقية لحماية البيانات (DPA) تعليماتك الكاملة لنا كمشغل بيانات وقت توقيع هذه الاتفاقية لحماية البيانات. سنلتزم بالتعليمات الموثقة الأخرى بشرط أن تتوافق تلك التعليمات مع شروط الاتفاقية.
3.3 تفاصيل المعالجة. تُحدد الملحق الأول، الجزء ب (وصف النقل) في الملحق الأول لهذه الاتفاقية لحماية البيانات (DPA) طبيعة وغرض المعالجة من قبلنا كمشغل بيانات أو معالج بيانات فرعي، وأنشطة المعالجة، وفترة المعالجة، وأنواع البيانات الشخصية، وفئات الأشخاص المعنيين.
3.4 الأغراض التجارية المشروعة. تقر بأننا نقوم بمعالجة البيانات الشخصية للعميل كمراقب بيانات مستقل بالقدر اللازم لأغراض الأعمال المشروعة التالية: الفوترة، وإدارة الحسابات، والتقارير المالية والداخلية، ومكافحة ومنع التهديدات الأمنية، والهجمات الإلكترونية، والجرائم الإلكترونية التي قد تؤثر عليك، أو علينا أو على خدماتنا، ونمذجة الأعمال (مثل التنبؤ، وتخطيط القدرات والإيرادات، واستراتيجية المنتج)، ومنع واكتشاف الاحتيال، والرسائل غير المرغوب فيها، والانتهاك، والتحسين المستمر للمنتجات والخدمات المستخدمة من قبلك، والامتثال لالتزاماتنا القانونية.
٤. التزامات العميل
4.1 قانونية. حيث تقوم بدور مراقب البيانات لبيانات العملاء الشخصية، تضمن أن جميع أنشطة المعالجة قانونية، ولها غرض محدد، وأن أي إشعارات وموافقات مطلوبة أو أساس قانوني مناسب موجودة لتمكين النقل القانوني لبيانات العملاء الشخصية. إذا كنت معالج بيانات (وفي هذه الحالة، سنتصرف كمعالجات فرعية)، ستضمن أن يضمن مراقب البيانات المعني أن الشروط المذكورة في هذا القسم 4.1 قد تم الوفاء بها.
4.2 الامتثال. أنت المسؤول الوحيد عن (أ) ضمان الامتثال لقوانين حماية البيانات التي تنطبق على استخدامك للخدمات ومعالجة بيانات العملاء الشخصية الخاصة بك، (ب) إجراء تقييم مستقل فيما إذا كانت التدابير الفنية والتنظيمية للخدمات تفي بمتطلباتك، و(ج) تنفيذ والحفاظ على تدابير الحماية والخصوصية لمكونات البيانات التي توفرها أو تسيطر عليها (بما في ذلك على سبيل المثال لا الحصر كلمات المرور والأجهزة المستخدمة مع الخدمات وتطبيقات العملاء).
٥. الأمن
5.1 تدابير الأمن. مع الأخذ في الاعتبار حالة الفن وتكاليف التنفيذ وطبيعة ونطاق وسياق وأغراض المعالجة بالإضافة إلى خطر التباين في الاحتمالية والشدة على حقوق وحريات الأشخاص الطبيعيين، سنقوم بتنفيذ والحفاظ على التدابير الأمنية التقنية والتنظيمية المناسبة لحماية بيانات العملاء الشخصية من خروقات البيانات الشخصية وللحفاظ على أمن وسلامة وتوافر ومرونة وسرية بيانات العملاء التي تستخدمها أنظمتنا لمعالجة بيانات العملاء الشخصية. تم وصف التدابير الأمنية التي نطبقها في الملحق الثاني.
5.2 تحديثات تدابير الأمن. أنت مسؤول عن مراجعة المعلومات المقدمة منا المتعلقة بأمن بيانات العملاء الشخصية وإجراء تقييم مستقل عما إذا كانت هذه المعلومات تلبّي متطلباتك والالتزامات القانونية بموجب قوانين حماية البيانات. أنت تقر بأن التدابير الأمنية تخضع للتقدم والتطوير التقني، وأنه يمكننا تحديث أو تعديل تدابيرنا الأمنية من حين لآخر، بشرط ألا تؤدي هذه التحديثات والتعديلات إلى تدهور في الأمن العام لبيانات العملاء الشخصية.
5.3 التحكم في الوصول. نطبق مبادئ "الحاجة إلى المعرفة" و"أقل امتياز" لضمان أن الوصول إلى بيانات العملاء الشخصية مقتصر على الأشخاص الضروريين لتوفير الخدمات ووفقًا للاتفاقية، بما في ذلك هذه DPA.
5.4 سرية المعالجة. سنضمن أن أي شخص أو طرف يكون مخولًا من قبلنا لمعالجة بيانات العملاء الشخصية (بما في ذلك موظفينا، ووكلائنا والمجهزين الفرعيين) يتم إبلاغه بالطبيعة السرية لهذه البيانات وأن يكون تحت التزام مناسب بالحفاظ على السرية (سواء كان واجبًا تعاقديًا أو قانونيًا) الذي يستمر حتى بعد إنهاء ارتباطهم.
5.5 استجابة وإشعار خرق البيانات الشخصية. عند العلم بحدوث خرق للبيانات الشخصية، سنقوم دون تأخير غير مبرر (i) بإخطارك، (ii) بالتحقيق في خرق البيانات الشخصية، (iii) بتوفير معلومات في الوقت المناسب تتعلق بخرق البيانات الشخصية كلما أصبحت معروفة أو متى طُلبت بشكل معقول من قبلك، و(iv) باتخاذ خطوات تجارية معقولة لتخفيف الآثار ومنع تكرار خرق البيانات الشخصية.
٦. المساعدة
6.1 المساعدة في حماية البيانات. سنوفر لك المساعدة المطلوبة بما يعقل من أجل تمكينك من الامتثال لالتزاماتك بموجب قوانين حماية البيانات، بما في ذلك الإبلاغ عن خرق البيانات الشخصية، وتقييم مستوى الأمان المناسب للمعالجة، ومساعدتك في أداء تقييم تأثير حماية البيانات ذات الصلة.
6.2 المساعدة في حقوق موضوعات البيانات. سنقدم لك المساعدة اللازمة بما يعقل لتمكينك من الامتثال لالتزاماتك تجاه موضوعات البيانات الذين يمارسون حقوقهم بموجب قوانين حماية البيانات عن طريق إتاحة التدابير التقنية والتنظيمية عبر حسابك. ولتجنب الشك، فإنك كمسؤول عن البيانات تتحمل مسؤولية معالجة أي طلب أو شكوى من موضوعات البيانات فيما يتعلق ببيانات العميل الشخصية لموضوع البيانات.
7. الإفصاح وطلبات الإفصاح
7.1 القيود على الإفصاح والوصول. لن نقدم الوصول إلى بيانات العميل الشخصية أو نفصح عنها إلا (i) بتوجيه منك، (ii) كما هو موضح في الاتفاقية وهذه المعاهدة، أو (iii) كما يتطلبه القانون.
7.2 طلبات الإفصاح. سنقوم بإخطارك في أقرب وقت ممكن إذا تلقينا طلبًا من هيئة حكومية أو تنظيمية للكشف عن بيانات العميل الشخصية، إلا إذا كان هذا الإخطار محظورًا بموجب القانون. سنقوم بالتعامل مع طلبات الإفصاح وفقًا لسياسة طلبات الإفصاح، والمتاحة على موقعنا الإلكتروني هنا.
٨. المعالجات الفرعية
8.1 قائمة المعالِجين الفرعيين الحاليين. أنت توافق على الاشتراك في المعالِجين الفرعيين فيما يتعلق بالخدمات، المدرجة في مراجعتنا للمعالِجين الفرعيين، والتي تحتوي أيضًا على إجراء للاشتراك في إشعارات التغييرات على استخدامنا للمعالِجين الفرعيين. إذا اشتركت في مثل هذه الإشعارات، ومع الأخذ في الاعتبار القسم 8.3 من هذا العقد، سنشارك تفاصيل أي تغيير في المعالِجين الفرعيين في أقرب وقت ممكن.
8.2 تعيين المعالِجين الفرعيين. من خلال هذا العقد، تقدم تفويضًا كتابيًا عامًّا لنا للاشتراك في المعالِجين الفرعيين لمعالجة البيانات الشخصية الخاصة بالعميل، خاضعًا للقسم 8.3 من هذا العقد والمتطلبات التالية:
سنقيد الوصول إلى البيانات الشخصية الخاصة بالعميل من قبل المعالِجين الفرعيين بما هو ضروري بشكل صارم لتقديم الخدمات المحددة في اتفاقية المعالج الفرعي;
سنتفق على التزامات حماية البيانات مع المعالِج الفرعي التي تتوافق بشكل كبير مع الالتزامات بموجب هذا العقد; و
نظل مسؤولين لك بموجب هذا العقد عن أداء التزامات حماية البيانات للمعالِج الفرعي.
8.3 إخطار بالتغييرات على المعالِجين الفرعيين وحق الاعتراض. قبل استبدال أو إشراك معالجين فرعيين جدد (“تغيير المعالج الفرعي”), سنمنحك الخيار للاعتراض على تغيير المعالج الفرعي. يمكنك الاعتراض إذا كان (i) الاعتراض مكتوبًا خلال عشرة (10) أيام عمل من إشعارنا بالتغيير و (ii) يستند إلى ويشرح بوضوح الأسباب المعقولة المتعلقة بحماية البيانات الشخصية الخاصة بالعميل. عندما تعترض على تغيير معالج الفرعي المقترح، سنتعاون معك بحسن نية لإجراء تغيير معقول تجاريًّا في تقديم الخدمات التي تتجنب استخدام المعالج الفرعي المعني. إذا لم يكن من الممكن إجراء هذا التغيير بشكل معقول في غضون ثلاثين (30) يومًا من استلامنا لإشعار اعتراضك، أو إذا كان التغيير غير معقول تجاريًّا بالنسبة لنا، يمكن لأي من الطرفين إنهاء الميزات المحددة للخدمات التي لا يمكن توفيرها دون استخدام المعالج الفرعي المعني. هذا الحق في الإنهاء هو التعويض الوحيد والحصري لك إذا اعترضت على تغيير المعالِج الفرعي.
9. نقل البيانات الشخصية للعملاء عبر الحدود
9.1 نقل بيانات العملاء الشخصية. يجوز لنا نقل بيانات العملاء الشخصية بشرط توافر جميع الضمانات المناسبة المطلوبة بموجب قوانين حماية البيانات. قد يشمل ذلك تقييم تأثير نقل البيانات مسبقًا، واعتماد، ومتابعة وتقييم التدابير التقنية، التنظيمية والقانونية الإضافية، حقوق الأفراد القابلة للتنفيذ، وتوافر وسائل الانتصاف القانونية الفعّالة للأفراد.
9.2 البنود التعاقدية القياسية للمعالجين الثانويين. ما لم يكن هناك قرار بتوفير الكفاية أو آلية نقل بديلة، مثل إطار الخصوصية بين الاتحاد الأوروبي والولايات المتحدة، فقد قمنا بعقد وسوف نحافظ على البنود التعاقدية القياسية مع المعالجين الثانويين (بما في ذلك الشركات التابعة لنا) الموجودين خارج المنطقة الاقتصادية الأوروبية، وذلك وفقًا للشروط الموضحة في القسم 9.1 من هذا الملحق.
9.3 آليات نقل بيانات العملاء الشخصية. إلى الحد الذي يتطلب استخدامك للخدمات آلية نقل بيانات عبر الحدود لتصدير بيانات العملاء الشخصية بشكل قانوني من ولاية قضائية (مثل المنطقة الاقتصادية الأوروبية، كاليفورنيا، سنغافورة، سويسرا، أو المملكة المتحدة) إلينا الموجودة خارج تلك الولاية القضائية، ستسري هذه البنود. إذا، عند تنفيذ الخدمات، تم نقل بيانات العملاء الشخصية التي تخضع للائحة العامة لحماية البيانات أو أي قانون آخر يتعلق بحماية أو خصوصية الأفراد الذي ينطبق على هذا الملحق إلى كيان مقدم خدمة في دول لا تضمن مستوى كافٍ من حماية البيانات وفقًا لمعنى قوانين حماية البيانات، فإن آليات النقل المذكورة أدناه ستنطبق على تلك التحويلات ويمكن إنفاذها مباشرة من قبل الأطراف إلى الحد الذي تخضع فيه تلك النقلات لقوانين حماية البيانات.
9.3.1 يتفق الأطراف على أن البنود التعاقدية القياسية ستسري على بيانات العملاء الشخصية التي تُنقل عبر الخدمات من المنطقة الاقتصادية الأوروبية أو سويسرا، إما مباشرة أو عبر تحويل آخر، إلى كيان مقدم خدمات يقع في بلد خارج المنطقة الاقتصادية الأوروبية أو سويسرا غير معترف به من قبل المفوضية الأوروبية (أو، في حالة النقلات من سويسرا، الجهة المخولة في سويسرا) باعتبارها توفر مستوى كافٍ من حماية البيانات الشخصية.
9.3.1.1 عندما تكون أنت تعمل كمتحكم بيانات ونحن كمعالج بيانات، ستنطبق بنود التعاقد القياسية الخاصة بالمتحكم مع المعالج (الوحدة الثانية) على أي تحويل لبيانات العملاء الشخصية من المنطقة الاقتصادية الأوروبية. عندما تكون أنت تعمل كمعالج بيانات ونحن كمعالج ثانوي، ستنطبق بنود التعاقد القياسية الخاصة بالمعالج مع المعالج (الوحدة الثالثة) على أي تحويل لبيانات العملاء الشخصية من المنطقة الاقتصادية الأوروبية.
9.3.1.2 سنُعتبر مستورد البيانات وستُعتبر أنت مُصدّر البيانات تحت البنود التعاقدية القياسية. سيتم اعتبار توقيع كل طرف على هذا الملحق توقيعًا على البنود التعاقدية القياسية المطبقة، والتي سيتم اعتبارها مدرجة في هذا الملحق. التفاصيل المطلوبة تحت الملحق 1 والملحق 2 للبنود التعاقدية القياسية متوفرة في الملحق الأول والملحق الثاني لهذا الملحق. في حال وجود أي تضارب أو تعارض بين هذا الملحق والبنود التعاقدية القياسية، ستسود البنود التعاقدية القياسية فقط فيما يتعلق بنقل بيانات العملاء الشخصية من المنطقة الاقتصادية الأوروبية.
9.3.1.3 حيثما تتطلب البنود التعاقدية القياسية من الأطراف اختيار بين بنود اختيارية وإدخال معلومات، فقد قام الأطراف بذلك كما هو موضح أدناه:
ط. لن يتم اعتماد البنود الاختيارية 7 "بند التوصيل".
ث. بالنسبة إلى البند 9 "استخدام المعالجين الثانويين"، يختار الأطراف الخيار التالي: "الخيار 2 التفويض العام الكتابي: مستورد البيانات لديه تفويض عام من المتحكم بشأن مشاركة معالجين ثانويين من قائمة متفق عليها. يجب على مستورد البيانات إبلاغ المتحكم كتابياً بأي تغييرات مقترحة على هذه القائمة من خلال إضافة أو استبدال معالجين ثانويين قبل 10 أيام عمل على الأقل من التنفيذ، مما يمنح المتحكم وقتًا كافيًا للاعتراض على مثل هذه التغييرات قبل إشراك المعالجين الثانويين. يجب على مستورد البيانات تزويد مُصدّر البيانات بالمعلومات اللازمة لتمكينه من ممارسة حقه في الاعتراض. يجب على مستورد البيانات إبلاغ مُصدّر البيانات بإشراك المعالجين الثانويين."
ثث. بالنسبة إلى البند 11 (أ) "الانتصاف"، لا يتبنى الأطراف الخيار.
ج. بالنسبة إلى البند 17 "القانون المختار"، يختار الأطراف الخيار التالي: "الخيار 1. يُحكم هذا البنود بقانون دولة من دول الاتحاد الأوروبي الأعضاء، بشرط أن تسمح هذه القانون بحقوق الطرف الثالث كمستفيد. يتفق الأطراف على أن يكون هذا قانون هولندا."
ز. بالنسبة إلى البند 18 (ب) "اختيار المنتدى والاختصاص القضائي": "يتفق الأطراف على أن تكون هذه المحاكم هي محاكم هولندا."
9.3.2 يتفق الأطراف على أن البنود التعاقدية القياسية للمملكة المتحدة ستسري على بيانات العملاء الشخصية التي تُنقل عبر الخدمات من المملكة المتحدة، إما مباشرة أو عبر تحويلات أخرى، إلى كيان مقدم خدمات يقع في بلد خارج المملكة المتحدة الذي لا تعترف به السلطة التنظيمية المختصة في المملكة المتحدة أو الهيئة الحكومية للمملكة المتحدة باعتبارها توفر مستوى كافٍ من حماية البيانات الشخصية.
9.3.2.1 سنكون نحن مستورد البيانات وستكون أنت مُصدر البيانات وفقًا للبنود التعاقدية القياسية للمملكة المتحدة. سيتم اعتبار توقيع كل طرف على هذا الملحق توقيعًا على البنود التعاقدية القياسية للمملكة المتحدة التي سيتم اعتبارها مدرجة في هذا الملحق. التفاصيل المطلوبة تحت البنود التعاقدية القياسية للمملكة المتحدة متوفرة في الملحق الأول والملحق الثاني لهذا الملحق. في حال وجود أي تناقض أو تضارب بين هذا الملحق والبنود التعاقدية القياسية للمملكة المتحدة، فإن البنود التعاقدية القياسية للمملكة المتحدة ستسود فقط فيما يتعلق بنقل بيانات العملاء الشخصية من المملكة المتحدة.
١٠. التدقيق
10.1 تقرير التدقيق. سيتم تدقيق منصتنا الاتصالات بانتظام وفقًا لمعيار ISO 27001 (أو ما يعادله). قد يكون التدقيق، وفقًا لتقديرنا الخاص، تدقيقًا داخليًا أو تدقيقًا يجريه طرف ثالث. بناءً على طلب كتابي، سنوفر لك ملخص لتقرير التدقيق (أو "تقرير التدقيق")، حتى تتمكن من التحقق من التزامنا بمعايير التدقيق وهذه الاتفاقية. تقارير التدقيق هذه، بالإضافة إلى أي استنتاجات أو نتائج محددة فيها، تعتبر معلومات سرية تخصنا.
10.2 طلبات معلومات العميل. سنوفر لك جميع المعلومات اللازمة بشكل معقول لإثبات الامتثال للالتزامات الموضوعة في هذه الاتفاقية. سنقدم ردود كتابية على الطلبات المعقولة للمعلومات التي تقدمها، بما في ذلك الردود على استبيانات أمن المعلومات والتدقيق التي تكون معقولة في النطاق واللازمة لتأكيد التوافق مع هذه الاتفاقية، بشرط أن تكون قد قمت أولاً ببذل جهد معقول للحصول على المعلومات المطلوبة من الوثائق، تقارير التدقيق والمعلومات الأخرى المقدمة أو المعلن عنها من قبلنا، وأنك لن تمارس هذا الحق أكثر من مرة في السنة، ما لم يكن هناك خرق للبيانات الشخصية أو تغيير كبير في أنشطتنا المعالجة فيما يتعلق بالخدمات يتطلب إجراء استبيان إضافي. جميع الردود المقدمة تعتبر معلومات سرية تخصنا.
10.3 تدقيق العميل. إذا قدمنا لك تقرير تدقيق يمنحك أسبابًا موضوعية للاعتقاد بأننا قد خرقنا التزاماتنا بموجب هذه الاتفاقية، المتعلقة ببيانات العميل الشخصية المقدمة من قبلك، سنسمح لمُراجع طرف ثالث مستقل ومؤهل يتم تعيينه بواسطتك وموافق عليه من قبلنا، بتدقيق الأنشطة ذات الصلة بمعالجة البيانات الشخصية المطبقة، بشرط أن يتم إلى أقصى حد مسموح به بموجب القوانين المعمول بها، تلبية المتطلبات التالية:
يجب أن تقدم لنا إشعارًا مسبقًا معقولًا لمدة ستين (60) يومًا على الأقل قبل ممارسة حق التدقيق;
يوافق المدقق على التزامات السرية وفقًا للمعايير السوقية معنا;
تتخذ أنت والمدقق إجراءات لتقليل الإزعاج لعملياتنا التجارية;
سيتم إجراء التدقيق خلال ساعات العمل العادية;
لن نكون ملزمين بتوفير الوصول إلى بيانات عملاء آخرين أو الأنظمة غير المعنية بتقديم الخدمات; و
يجب أن تتحمل جميع تكاليف التدقيق.
11. حذف وإرجاع بيانات العميل الشخصية
عند إنهاء أو انتهاء الاتفاقية، سنقوم (بناءً على اختيارك) بحذف أو إعادة جميع البيانات الشخصية للعميل (بما في ذلك النسخ) الموجودة في حوزتنا أو تحت سيطرتنا إليك، باستثناء أن هذا الشرط لن يطبق بقدر ما نكون ملزمين قانوناً بالاحتفاظ ببعض أو كل البيانات الشخصية للعميل. إذا قمت بتوجيهنا لحذف البيانات الشخصية للعميل، سيتم حماية البيانات الشخصية للعميل المؤرشفة على أنظمتنا الاحتياطية من المعالجة الإضافية، وسيتم حذفها عند انتهاء فترة الاحتفاظ المطلوبة.
12. اتصالات وحقوق العملاء التابعين
إن الدخول في هذه الاتفاقية الإضافية باسم وعلى behalf of an شركة تابعة للعميل كما هو موضح في القسم 1.2 يشكل اتفاقية إضافية منفصلة بيننا وبين تلك الشركة التابعة للعميل، مع مراعاة ما يلي:
12.1. الاتصال. يظل العميل الذي هو الطرف المتعاقد في الاتفاقية مسؤولاً عن تنسيق جميع الاتصالات معنا بموجب هذه الاتفاقية الإضافية ويحق له إجراء واستلام أي اتصال يتعلق بهذه الاتفاقية الإضافية نيابة عن شركاته التابعة للعميل.
12.2 حقوق الشركات التابعة للعميل. عندما تصبح شركة تابعة للعميل طرفاً في الاتفاقية الإضافية معنا، يحق لها بقدر ما تتطلبه قوانين حماية البيانات ممارسة الحقوق والبحث عن العلاجات بموجب هذه الاتفاقية الإضافية، مع مراعاة ما يلي:
(i) ما لم تتطلب قوانين حماية البيانات أن تمارس الشركة التابعة للعميل حقًا أو تسعى لعلاج بموجب هذه الاتفاقية الإضافية ضدنا مباشرة بنفسها، يتفق الطرفان على أن (i) يحق فقط للعميل الذي هو الطرف المتعاقد في الاتفاقية أن يمارس هذا الحق أو يسعى للعلاج نيابة عن الشركة التابعة للعميل، و(ii) يحق للعميل الذي هو الطرف المتعاقد في الاتفاقية أن يمارس أي من هذه الحقوق بموجب هذه الاتفاقية الإضافية ليس بشكل منفصل لكل شركة تابعة للعميل بشكل فردي ولكن بطريقة موحدة لنفسه وجميع شركاته التابعة للعميل معًا.
(ii) يتفق الطرفان على أن العميل الذي هو الطرف المتعاقد في الاتفاقية، عند إجراء تدقيق ميداني للإجراءات ذات الصلة بحماية البيانات الشخصية للعميل نيابة عنه كما هو موضح في القسم 10.3 من هذه الاتفاقية الإضافية، يتخذ جميع الإجراءات اللازمة للحد من أي تأثير علينا بجمع، إلى الحد الممكن، عدة طلبات تدقيق يتم إجراؤها نيابة عنه وعن جميع شركاته التابعة للعميل في تدقيق واحد.
للتوضيح، لا تصبح شركة تابعة للعميل طرفاً متعاقدًا في الاتفاقية.
13. قانون خصوصية المستهلك في كاليفورنيا.
قدر الإمكان، نقدم الالتزامات الإضافية التالية لك فيما يتعلق بمعالجة البيانات الشخصية للعميل في نطاق CCPA.
13.1 التزاماتنا بموجب قوانين حماية البيانات الأميركية. المصطلحات "الغرض التجاري"، "الغرض التجاري"، "المستهلك"، "البيع"، و"المشاركة" كما تستخدم في هذا القسم 13.1 لها المعنى المعطى لها في CCPA. بقدر ما هو قابل للتطبيق، سوف نلتزم بـ CCPA ونعامل جميع البيانات الشخصية للعميل الخاضعة لـ CCPA وقوانين حماية البيانات الأميركية الأخرى (البيانات الشخصية الأميركية) وفقًا لأحكام CCPA وغيرها من قوانين حماية البيانات الأميركية. بالنسبة للبيانات الشخصية الأميركية، نحن مقدم خدمة بموجب CCPA ومعالج بيانات بموجب قوانين حماية البيانات الأميركية الأخرى. لن نقوم ببيع البيانات الشخصية الأميركية. لن نحتفظ أو نستخدم أو نكشف عن أي بيانات شخصية أميركية (i) لأي غرض آخر غير الأغراض التجارية المحددة في الاتفاقية (بما في ذلك الاحتفاظ أو استخدام أو كشف البيانات الشخصية الأميركية لأغراض تجارية أخرى غير الغرض التجاري المحدد في الاتفاقية أو كما هو مسموح به من قبل CCPA أو القوانين المعمول بها الأخرى)؛ أو (ii) خارج العلاقة التجارية المباشرة بينك وبيننا.
13.2 التزامات العميل. أنت تقر وتتعهد بأنك قمت بإخطار المستخدم النهائي بأن البيانات الشخصية يتم استخدامها أو مشاركتها وفقًا لقوانين حماية البيانات المعمول بها. أنت مسؤول عن الامتثال لمتطلبات قوانين حماية البيانات بقدر ما تنطبق عليك كمدير بيانات.
١٤. القانون الحاكم وتسوية النزاعات
أي نزاع أو مطالبة أو خلاف (“النزاع”) ينشأ عن أو يتعلق بهذا DPA يجب أن يحكم ويُفسر وفقًا لقوانين هولندا. يوافق كل طرف على أن المحاكم المختصة في أمستردام، هولندا، سيكون لها الاختصاص الحصري لتسوية أي نزاع ينشأ عن أو يتعلق بهذا DPA.
الملحق الأول - تفاصيل المعالجة
عند الاقتضاء، ستعمل هذه الملحق الأول كمرفق الأول للبنود التعاقدية القياسية.
المرفق الأول، الجزء أ. قائمة الأطراف
مصدر البيانات: العميل
تفاصيل اتصال مصدر البيانات: العنوان المُدرج في حساب العميل، أو بريد مالك حساب العميل الإلكتروني، أو إلى العنوان البريدي الذي يختاره العميل لتلقي الإشعارات بموجب الاتفاقية.
دور مصدر البيانات: تم توضيح دور مصدر البيانات في القسم 4 من اتفاقية حماية البيانات (DPA).
التوقيع والتاريخ: إذا ومتى كان ذلك مناسبًا، يُعتبر مصدر البيانات قد وقع البنود التعاقدية القياسية المدمجة هنا اعتبارًا من تاريخ السريان لاتفاقية حماية البيانات.
مستورد البيانات: المزود
تفاصيل اتصال مستورد البيانات: مسؤول حماية البيانات - privacy@bird.com
دور مستورد البيانات: يعمل مستورد البيانات كمعالج بيانات.
التوقيع والتاريخ: إذا ومتى كان ذلك مناسبًا، يُعتبر مستورد البيانات قد وقع البنود التعاقدية القياسية المدمجة هنا اعتبارًا من تاريخ السريان لاتفاقية حماية البيانات.
المرفق الأول، الجزء ب. وصف التحويل
1. فئات الأفراد الذين يتم نقل بياناتهم الشخصية.
المستخدمون. أشخاص الاتصال (الأشخاص الطبيعيون) أو الموظفون أو المقاولون أو العمال المؤقتون (الحاليون، المتوقعون، السابقون) للعميل المستخدمون للخدمات (“المستخدمون”).
المستخدمون النهائيون. أي فرد (1) يتم تضمين تفاصيل الاتصال الخاصة به في قائمة(قوائم) اتصال العميل؛ (2) يتم تخزين معلوماته أو جمعها عبر الخدمات، أو (2) يتم إرسال العميل إليه الاتصالات أو التفاعل معه أو التواصل معه عبر الخدمات (مجتمعة، “المستخدمون النهائيون”). يحدد العميل وحده فئات الأفراد المدرجين في الاتصالات المرسلة عبر منصة الاتصال الخاصة بنا.
2. فئات البيانات الشخصية المنقولة.
البيانات الشخصية للعميل المحتواة في، محتوى الاتصالات، بيانات الحركة، بيانات المستخدم النهائي، وبيانات استخدام العميل.
محتوى الاتصالات، التي قد تتضمن بيانات شخصية أو خصائص مخصصة أخرى، اعتمادًا على محتوى الاتصالات كما يحدده العميل.
بيانات الحركة، التي قد تتضمن بيانات شخصية للعميل عن التوجيه، أو المدة، أو توقيت الاتصالات مثل المكالمات الصوتية أو الرسائل النصية القصيرة أو البريد الإلكتروني، سواء كانت تتعلق بفرد أو شركة.
بيانات المستخدم النهائي، مثل رقم الهاتف، عنوان البريد الإلكتروني، الاسم الأول، الاسم الأخير، اسم الملف الشخصي، الدولة، معرف القناة.
بيانات استخدام العميل، قد تحتوي على بيانات يمكن ربطها بك كفرد في البيانات الإحصائية والمعلومات المتعلقة بحسابك وأنشطتك في الخدمة، ورؤى الخدمة ذات الصلة وتقارير التحليل بخصوص الاتصال المرسل ودعم العملاء.
3. البيانات الحساسة المنقولة (إذا كانت تنطبق) والقيود أو الضمانات المطبقة التي تأخذ بعين الاعتبار طبيعة البيانات والمخاطر المتضمنة، مثلًا القيود الصارمة على الأغراض، وقيود الدخول (بما في ذلك الدخول فقط للموظفين الذين خضعوا لتدريب متخصص)، الاحتفاظ بسجل للوصول إلى البيانات، وقيود النقل المستمر أو التدابير الأمنية الإضافية.
محتوى الاتصالات. قد تتم معالجة البيانات الحساسة من وقت لآخر عبر الخدمات حيث تختار أنت أو مستخدموك النهائيون تضمين بيانات حساسة ضمن الاتصالات التي تُرسل باستخدام الخدمات. تقع على عاتقك مسؤولية التأكد من وجود ضمانات مناسبة قبل الإرسال أو المعالجة، أو قبل السماح لمستخدميك النهائيين بالإرسال أو المعالجة لأي بيانات حساسة عبر الخدمات، وفقًا للقسم 3.2 من الاتفاقية.
بيانات الحركة، بيانات المستخدم النهائي، وبيانات استخدام العميل. لا تتضمن بيانات الحركة، بيانات المستخدم النهائي، أو بيانات استخدام العميل أي بيانات حساسة.
4. تكرار النقل (مثلًا ما إذا كان يتم نقل البيانات لمرة واحدة أو باستمرار): يتم نقل البيانات الشخصية للعميل باستمرار طوال مدة الاتفاقية.
5. طبيعة المعالجة: سنقوم بمعالجة البيانات الشخصية للعميل بالقدر اللازم لتقديم الخدمات بموجب الاتفاقية. نحن لا نبيع أي بيانات شخصية، بما في ذلك البيانات الشخصية للعميل، ولا نشارك البيانات الشخصية مع أطراف ثالثة لمصلحتهم التجارية أو لأغراض تعويضية.
6. غرض (أغراض) نقل البيانات والمعالجة الإضافية: لن نعالج البيانات الشخصية للعميل إلا كمعالج بيانات وفقًا لتعليمات العميل كما هو مذكور في هذه الاتفاقية لحماية البيانات، إلا إذا كان من الضروري للامتثال لالتزام قانوني نخضع له، وفي هذه الحالة سنصنف كالتحكم في البيانات.
محتوى الاتصالات، بيانات الحركة، بيانات المستخدم النهائي، وبيانات استخدام العميل. سيخضع البيانات الشخصية المحتواة في محتوى الاتصالات، بيانات الحركة، بيانات المستخدم النهائي، وبيانات استخدام العميل للأنشطة الأساسية التالية للمعالجة:
محتوى الاتصالات. تقديم منتجات وخدمات اتصالات قابلة للبرمجة، يتم تقديمها في صورة واجهات برمجة التطبيقات (APIs) أو عبر لوحة التحكم، للعميل، بما في ذلك الإرسال إلى أو من تطبيق البرمجيات الخاص بالعميل من أو إلى منصة الاتصال الخاصة بنا، وشبكات الاتصال الأخرى.
بيانات الحركة. تتم معالجة بيانات الحركة بغرض نقل الاتصالات على شبكة الاتصالات الإلكترونية أو لفرض فواتير فيما يتعلق بتلك الاتصالات. قد يشمل هذا بيانات شخصية للعميل بخصوص التوجيه، المدة، أو توقيت اتصال مثل مكالمات صوتية، رسائل نصية قصيرة، أو بريد إلكتروني، سواء كان يتعلق بفرد أو شركة.
بيانات المستخدم النهائي. تتطلب معالجة بيانات المستخدم النهائي من أجل تقديم الخدمات وسيتم معالجتها للأغراض المتعلقة بنقل الاتصالات، دعم العملاء، وضمان الالتزام بالالتزامات القانونية الخاصة بنا.
بيانات استخدام العميل. سيتم معالجة البيانات الشخصية المحتواة في بيانات استخدام العميل ضمن أنشطة المعالجة لتقديم الخدمات بموجب الاتفاقية، بهدف تقديم رؤى الخدمة ذات الصلة لك وتقارير التحليل المتعلقة بالاتصال المرسلة ودعم العميل والتحسين المستمر للخدمات.
7. مدة الاحتفاظ بالبيانات الشخصية، أو إذا لم يكن ذلك ممكنًا، المعايير المستخدمة لتحديد تلك المدة:
محتوى الاتصالات وبيانات الحركة.
بالنسبة لمحتوى الاتصالات وبيانات الحركة المحتواة في خدمات الرسائل النصية القصيرة والصوتية، تطبق مدة احتفاظ ستة أشهر؛
بالنسبة لمحتوى وبيانات الحركة في خدمات الفيديو، يتم الاحتفاظ بها لحد أدنى 30 يومًا حتى المدة المتفق عليها معك؛
بالنسبة لخدمات البريد الإلكتروني، يتم الاحتفاظ بمحتوى الاتصالات وبيانات الحركة لمدة 72 ساعة؛
بالنسبة لبقية الخدمات، يتم الاحتفاظ بمحتوى الاتصالات وبيانات الحركة طوال مدة الخدمات، باستثناء إذا قمت بحذف محتوى الاتصالات أو بيانات الحركة عبر التدابير الفنية والتنظيمية المقدمة لك عبر الخدمات.
بيانات المستخدم النهائي. سيتم معالجة بيانات المستخدم النهائي للمدة التي يحددها العميل، عندما تكون بيانات المستخدم النهائي مدرجة في ملفات الاتصال الخاصة بك، فإن مدة الاحتفاظ الافتراضية هي طوال مدة الخدمات، وفقًا للقسم 6(ج) من هذا المرفق الأول، الجزء ب.
بيانات استخدام العميل. عند انتهاء الاتفاقية، قد نحتفظ ببيانات استخدام العميل ونستخدمها ونفصح عنها للأغراض المحددة في القسم 6(د) من هذا المرفق الأول، الجزء ب، بشرط أن تكون خاضعة للالتزامات السرية المحددة في الاتفاقية. سنقوم بتمويه أو حذف بيانات استخدام العميل عندما لم نعد بحاجة إليها للأغراض المحددة في القسم 6(د) من هذا المرفق الأول، الجزء ب.
8. للعمليات إلى المعالجين الفرعيين، حدد أيضًا الموضوع والمضمون وطبيعة مدة المعالجة: بالنسبة للعمليات إلى المعالجين الفرعيين، يتم تحديد الموضوع وطبيعة المعالجة في نظرة عامة على المعالجين الفرعيين وتكون المدة طوال مدة الاتفاقية.
المرفق الأول، الجزء ج. السلطة الإشرافية المختص
ستكون السلطة الهولندية لحماية البيانات (Autoriteit Persoonsgegevens) السلطة الإشرافية المختصة.
الملحق الثاني - الإجراءات الأمنية التقنية والتنظيمية
حيثما ينطبق، ستعمل هذه الملحق الثاني كملحق II للبنود التعاقدية القياسية. يوفر ما يلي مزيدًا من المعلومات حول تدابيرنا الأمنية التقنية والتنظيمية موضحة أدناه.
التدابير الأمنية التقنية والتنظيمية:
تدابير التخفي وحماية البيانات الشخصية في التخزين والعبور: جميع البيانات الشخصية مشفرة أثناء العبور وبحالة الراحة، وبقدر ما يتعلق الأمر بأمانها، تعامل كما لو كانت بيانات حساسة. يتم دائمًا نقل المعلومات عبر TLS مع تقنيات التشفير الحديثة بشكل افتراضي.
تدابير لضمان السرية المستمرة، والسلامة، وتوافر ورشاقة نظم وخدمات المعالجة: نحن ندخل في اتفاقيات تحتوي على بنود السرية مع موظفينا، المتعاقدين، الموردين، والمُعالِجون الفرعيون. سياستنا لاستمرارية الأعمال هي إعداد أعمالنا وخدماتنا في حالة الانقطاعات المطولة الناجمة عن عوامل خارجة عن سيطرتنا واستعادة الخدمات إلى أوسع نطاق ممكن في أقل إطار زمني ممكن. نحن نفهم أن الخدمات التي نقدمها حيوية لعملائنا وبالتالي لدينا تحمل قليل جدًا لتعطل الخدمة. صممت جداول زمنية للتعافي لضمان أننا يمكننا الوفاء بالتزاماتنا تجاه جميع عملائنا
العمليات لاختبار، تقييم وتقدير فعالية التدابير الفنية والتنظيمية لضمان أمان المعالجة: الهدف من أمان المعلومات ونظام إدارة أمن المعلومات لدينا (ISMS) هو حماية السرية، السلامة والتوافر للمعلومات الخاصة بالمؤسسة، الموظفين، الشركاء، العملاء ونظم المعلومات (المصرح بها)، وتقليل مخاطر الأضرار التي قد تحدث عن طريق منع حوادث الأمان وإدارة التهديدات والثغرات الأمنية. يضمن فريقنا القانوني، مسؤول حماية البيانات، وفريق الأمان أن اللوائح والمعايير المعمول بها تؤخذ في الاعتبار في أطر الأمان الخاصة بنا.
التدابير لتحديد هوية المستخدم والتفويض: نتبع مبادئ "الحاجة إلى المعرفة" و"الامتياز الأدنى". نحن نشجع استخدام التحكم بالوصول بناءً على الدور. يقوم فريق الأمان بمراقبة الإعداد والإزالة، مع اعتماد تسجيل واحد وتحقق من خطوتين بشكل افتراضي. تم تعريف مالكين لكل أصل معلوماتي المسؤولون عن ضمان أن الوصول إلى أنظمتهم مناسب ويتم مراجعته بانتظام. في كل مرة نتعامل مع معلومات حساسة أو نقوم بإجراء حركات حاسمة، نستخدم مبدأ الأربع حواس.
التدابير لضمان تسجيل الأحداث: يتم تخزين السجلات التدقيقية ومراقبتها بشكل مركزي بانتظام للأحداث الأمنية وتحفظ آمنة لتجنب مخاطر التلاعب. تفرض سياسة إدارة الحوادث خطة الاستجابة للحوادث وإجراءاتها. يتم اتباع هذه الإرشادات عند حدوث أي نوع من الحوادث الأمنية أو الفنية.
التدابير لضمان تكوين الأنظمة، بما في ذلك التكوين الافتراضي: نتبع عملية إدارة التغييرات الثابتة لجميع التغييرات في بيئة الإنتاج لمنصة الاتصالات كخدمة. لتوضيح ذلك أكثر، يجب الموافقة على جميع طلبات التغيير (RFC) من قبل طرف معين وتنفيذها وفقًا لعملية التحكم في التغيير الرسمية. تضمن عملية التحكم أن التغييرات المقترحة يتم مراجعتها، تخويلها، اختبارها، تنفيذها وإطلاقها بطريقة خاضعة للرقابة؛ وأن حالة كل تغيير مقترح يتم مراقبته. تتبع خطوط الأساس للتكوين لتكوين الأنظمة بشكل آمن وفقًا لأفضل الممارسات. أيضًا، داخل قسم الهندسة، يتم استخدام رادار تقني لتحديد التقنيات (اللغات، أدوات المنصة، قواعد البيانات وأدوات إدارة البيانات) التي يمكن تبنيها أو يجب تجنبها أثناء التطوير.
التدابير للأمان المادي: جميع موظفي Bird يعملون عن بُعد. نظرًا لسياستها في العمل عن بُعد، قامت Bird بتنفيذ وتطبيق سياسة العمل عن بعد التي تضمن أن الموظفين يعملون عن بُعد بطريقة آمنة. تفرض السياسة حدًا أدنى من التدابير حول الأمان المادي، أمان الوصول، وأمن الاتصال والاتصالات.
التدابير لحوكمة وإدارة تكنولوجيا المعلومات وأمن تكنولوجيا المعلومات الداخلي: نحافظ على برنامج أمني قائم على التقييم المرتبط بالمخاطر، والذي يتضمن احترازات إدارية، تنظيمية، تقنية، ومادية مصممة لحماية الخدمات وسرية، سلامة وتوافر بيانات العملاء. برنامج أمن المعلومات لدينا مُنشأ بطريقة منظمة ومنظمة. بالإضافة إلى ذلك، تنطبق المتطلبات القانونية والتنظيمية لضمان السرية، السلامة، وتوافر المعلومات للمؤسسة، الموظفين، الشركاء والعملاء. كل هذه تترجم إلى سياسات أمن المعلومات لدينا، إرشاداتها وتوجيهاتها. لدينا لجنة توجيهية للأمان مسؤولة عن المستوى التكتيكي لأمن المعلومات. ينطوي ذلك على تنسيق الأنشطة الأمنية للمعلومات وترجمة الأنشطة الاستراتيجية إلى أنشطة تشغيلية للأمان الخاص بنا، وصيانتنا المستمرة للامتثال التنظيمي. كل الموظفين مسؤولون عن حماية أصول الشركة. يتم فحص جميع موظفينا من حيث الخبرة، والخبرة، والنزاهة. يتم إبلاغ الموظفين حول الأمان وحماية البيانات في مرحلة التدريب الأولي، وكذلك من خلال التدريب المنتظم الخاص بالفريق، وعروض الشركة بالكامل حول أهمية حماية البيانات والامتثال الأمني. نحن حاصلون على شهادة ISO 27001، وهو المعيار المعروف عالميًا لإدارة أمن المعلومات (ISMS).
جميع مزودي الاستضافة لدينا حاصلون على شهادة ISO 27001.
نحن أيضًا مسجلون لدى هيئة المستهلكين والأسواق الهولندية. هذا يعني أننا دائمًا مسؤولون وشفافون تمامًا مع عملائنا.
نحن عضو مرتبط برابطة مجموعة سبيسيالي موبيلي (GSMA). تمثل GSMA مصالح مشغلي الهاتف المحمول حول العالم.
نحن دائمًا على استعداد مع جميع القوانين واللوائح المعمول بها، بما في ذلك اللائحة العامة لحماية البيانات، إطار حماية البيانات بين الاتحاد الأوروبي والولايات المتحدة.
التدابير للشهادات/ضمان العمليات والمنتجات: نخضع لمراقبة صارمة وكذلك عمليات تدقيق الشهادات كجزء من امتثالنا لـ ISO/IEC 27001، ونقوم بانتظام بتنفيذ اختبار للضعف وتحليل الاختراق.
التدابير لضمان المساءلة: نقوم بتنفيذ سياسات الأمان المعلوماتي وحماية البيانات وفقًا للقوانين المطبقة وننشر نظرة عامة لمعلومات نظام إدارة الأمن المعلوماتي الخاص بنا (link). قمنا بتعيين مدير أمني مخصص، ومسؤول أمني للمعلومات، ومسؤول امتثال، ومسؤول حماية البيانات، ونحافظ على توثيق أنشطتنا المعالجة، بما في ذلك تسجيل والإبلاغ عن الحوادث الأمنية المتعلقة بالبيانات الشخصية حيثما ينطبق.
التدابير لضمان محو البيانات: نضمن محو البيانات من خلال عملية حذف تلقائية داخل بيئة الاتصالات والبنية التحتية الخاصة بنا. تضمن عملية حذف البيانات هذه أن جميع البيانات التي لم يعد هناك حاجة إليها لتحقيق غرض معين تتم إزالتها من أنظمتنا بعد المعالجة.
