تعتبر اتفاقية معالجة البيانات هذه، بما في ذلك الملاحق، ("DPA") جزءًا من الاتفاق بيننا وبين العميل لشراء خدمات الاتصال (عبر الإنترنت) منا لتعكس اتفاق الأطراف بشأن معالجة بيانات العميل الشخصية. في هذه الاتفاقية، تشير المصطلحات "أنت"، "لك"، أو "العميل" إليك كعميل لنا (مع مراعاة القسم 1.2 أدناه)، وتشير المصطلحات "نحن"، "نا", أو "خاصتنا" إلينا كمقدم خدمة (كما هو معرف أدناه). تُعرف المصطلحات المكتوبة بالأحرف الكبيرة المستخدمة في هذه الاتفاقية ولكن غير المعرفة أدناه في الشروط والأحكام العامة الخاصة بنا أو أي اتفاق آخر بيننا يحكم استخدامك للخدمات.
يتفق الطرفان على أن هذه الاتفاقية ستحل محل أي ملحق قائم لحماية البيانات أو أي اتفاق مشابه قد يكون قد تم الدخول فيه من قبل الأطراف فيما يتعلق بالخدمات.
1. النطاق، الشركات التابعة للعميل والمدَّة الزمنية
1.1 النطاق. ينظم هذا العقد معالجة بيانات الشخصية للعميل بواسطة نحن كمعالج.
1.2 الشركات التابعة للعميل. يدخل العميل في هذا العقد نيابة عن نفسه، وإلى الحد المطلوب بموجب قوانين حماية البيانات، باسم ومن نيابة عن الشركات التابعة له (كما هو محدد في الشروط)، إذا كنت وبالقدر الذي توفر فيه هذه الشركات التابعة الوصول إلى الخدمات ونقوم بمعالجة بيانات الشخصية للعميل التي تأهلت فيها هذه الشركات التابعة كجهة تحكم البيانات (“الشركات التابعة للعميل”). لأغراض هذا العقد فقط، واستثناءً حيث يتم الإشارة إلى خلاف ذلك، يمكن أن تشمل المصطلحات “العميل” و “أنت” العميل والشركات التابعة للعميل.
1.3 المدة. سيبقى هذا العقد ساري المفعول طالما نحن نقوم بمعالجة بيانات الشخصية للعميل الخاضعة لهذا العقد، بغض النظر عن انتهاء أو إنهاء الاتفاق.
2. التعريفات
“بيانات الحساب” هي أي بيانات شخصية مقدمة من قبلك أو لك إلينا فيما يتعلق بالدخول إلى وإدارة الاتفاقية وحسابك، بما في ذلك على سبيل المثال لا الحصر، معلومات الاتصال، تفاصيل الفوترة والمراسلات حول الدخول إلى وإدارة الاتفاقية والخدمات ذات الصلة.
“CCPA” تعني قانون خصوصية المستهلك في كاليفورنيا لعام 2018 وأي لوائح تم إصدارها بناءً عليه، في كل حالة، كما يتم تعديلها من وقت لآخر.
“بيانات العميل” تعني أي بيانات ومعلومات أخرى أو محتوى مقدم من قبلك أو لك (أو بواسطة مستخدم تطبيق العميل الخاص بك) بموجب الاتفاقية والتي تتم معالجتها أو تخزينها بواسطة الخدمات.
“البيانات الشخصية للعميل” تعني البيانات الشخصية الموجودة في بيانات العميل التي تتم معالجتها بواسطة نحن كمعالج، ما لم ينص بخلاف ذلك في هذا DPA.
“قوانين حماية البيانات” تعني جميع القوانين واللوائح في أي ولاية قضائية تنطبق على السرية، الخصوصية، الأمان، أو معالجة البيانات الشخصية بموجب الاتفاقية، بما في ذلك، على سبيل المثال وعندما يكون ذلك ممكنًا، اللائحة العامة لحماية البيانات (GDPR) أو CCPA.
“EEA” تعني، لأغراض هذا DPA، المنطقة الاقتصادية الأوروبية وسويسرا.
“GDPR” تعني إما (i) اللائحة 2016/679 من البرلمان الأوروبي والمجلس بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية بشأن حرية حركة هذه البيانات (اللائحة العامة لحماية البيانات)؛ أو (ii) فقط بالنسبة للمملكة المتحدة، قانون حماية البيانات لعام 2018.
“البيانات الشخصية” تعني أي معلومات تتعلق بشخص طبيعي تم التعرف عليه مباشرة أو بشكل غير مباشر، سواء بشكل فردي أو بالاشتراك مع معلومات أخرى.
“خرق البيانات الشخصية” يعني أي تدمير أو فقدان أو تغيير أو إفشاء غير مصرح به أو غير قانوني، أو وصول إلى البيانات الشخصية للعميل وأي مصطلحات مشابهة بموجب قوانين حماية البيانات المعمول بها مثل “خرق الأمان”.
“الخدمات” تعني جميع المنتجات والخدمات المقدمة من قبلنا أو من قبل شركاتنا التابعة والتي هي (أ) تم طلبها من قبلك بموجب أي نموذج طلب؛ أو (ب) تستخدم من قبلك.
“الجهة الموردة” تعني كياننا المتعاقد الذي هو طرف في هذا DPA، وهو الكيان المتعاقد المدرج في القسم 15 من الشروط والأحكام العامة (الكيان المتعاقد)، ما لم يتم الإشارة إلى خلاف ذلك في نموذج الطلب الخاص بك. يمكنك أو يمكن الإشارة إلى الجهة الموردة بمفردها كـ “طرف” ومعًا كـ “أطراف” في هذا DPA.
“بنود التعاقد القياسية” تعني المراقب إلى المعالج (الوحدة الثانية) أو المعالج إلى المعالج (الوحدة الثالثة)، حسب الاقتضاء، من بنود التعاقد القياسية لنقل البيانات الشخصية إلى الدول الثالثة وفقًا للائحة (الاتحاد الأوروبي) 2016/679 من البرلمان الأوروبي والمجلس المعتمدة من قبل قرار تنفيذ المفوضية الأوروبية (الاتحاد الأوروبي) 2021/914 بتاريخ 4 يونيو 2021، كما هو موضح حاليًا في المجلة الرسمية للاتحاد الأوروبي.
“معالج فرعي” يعني كيان طرف ثالث يقوم بمعالجة البيانات الشخصية للعميل نيابة عن الجهة الموردة حيث تقوم الجهة الموردة بدور المعالج أو المعالج الفرعي.
“بند التعاقد القياسي في المملكة المتحدة” يعني أي أو كل ما يلي: (i) اتفاقية نقل البيانات الدولية الصادرة عن مفوض المعلومات في المملكة المتحدة بموجب القسم 119A من قانون حماية البيانات لعام 2018؛ (ii) ملحق نقل البيانات الدولية للبنود التعاقدية القياسية للمفوضية الأوروبية لنقل البيانات الدولية الصادرة عن مفوض المعلومات في المملكة المتحدة بموجب القسم 119A من قانون حماية البيانات لعام 2018؛ أو (iii) أي أحكام تعاقدية قياسية تصدر عن مفوض المعلومات في المملكة المتحدة أو المفوضية الأوروبية والتي قد تستبدل هذه من وقت لآخر.
المصطلحات مثل “المعالجة”، “الجهة المسيطرة على البيانات”، “معالج البيانات”، “موضوع البيانات”، إلخ، سيكون لها المعنى المخصص لها بموجب GDPR. تعريف “الجهة المسيطرة على البيانات” يتضمن “عمل”، “مستهلك”، “مسيطر”، و”منظمة”؛ “المعالج” يتضمن “مزود الخدمة”، “المعالج”، و”وسيط البيانات”؛ “موضوع البيانات” يتضمن “مستهلك”، و”فرد”؛ و”البيانات الشخصية” تشمل “معلومات شخصية”، في كل حالة كما هو معرف بموجب CCPA، وقوانين حماية البيانات الأخرى المطبقة. المصطلحات “غرض تجاري”، “غرض تجاري”، “بيع”، و”مشاركة” سيكون لها نفس المعنى كما هو الحال في قوانين حماية البيانات المطبقة، وفي كل حالة، يجب تفسير مصطلحاتها المقابلة وفقًا لذلك.
3. معالجة البيانات الشخصية للعميل
3.1 الأغراض. سنعالج بيانات العملاء الشخصية فقط بالقدر اللازم (i) لتقديم الخدمات، بما في ذلك نقل الاتصال، وضمان أمان الخدمات، وتقديم تقارير فنية وتسليم، وتقديم الدعم وتطوير وتنفيذ التحسينات والتحديثات وفقًا لتعليماتك الموثقة لنا كمعالج بيانات كما هو محدد في القسم 3.2 من اتفاقية معالجة البيانات هذه، (ii) لأغراضنا التجارية المشروعة كما هو محدد في القسم 3.4 من اتفاقية معالجة البيانات هذه كجهة تحكم للبيانات، و(iii) كما هو مطلوب بخلاف ذلك بموجب القانون المعمول به.
3.2 تعليمات العملاء. إن الاتفاقية وهذه اتفاقية معالجة البيانات تشكل تعليماتك الكاملة لنا كمعالج بيانات في وقت توقيع هذه الاتفاقية. سنمتثل للتعليمات الأخرى الموثقة بشكل معقول شريطة أن تكون تلك التعليمات متوافقة مع شروط الاتفاقية.
3.3 تفاصيل المعالجة. يحدد الملحق I، الجزء B (وصف النقل) من الملحق I لهذه الاتفاقية طبيعة وهدف المعالجة من قبلنا كمعالج بيانات أو كمعالج ثانوي، وأنشطة المعالجة، ومدتها، وأنواع البيانات الشخصية، وفئات الأشخاص المعنيين.
3.4 الأغراض التجارية المشروعة. تدرك أننا نعالج بيانات العملاء الشخصية كجهة تحكم مستقلة للبيانات بالقدر اللازم للأغراض التجارية المشروعة التالية: الفوترة، وإدارة الحسابات، والتقارير المالية والداخلية، ومكافحة ومنع التهديدات الأمنية، والهجمات السيبرانية، والجرائم السيبرانية التي قد تؤثر عليك أو علينا أو على خدماتنا، ونمذجة الأعمال (مثل التنبؤ، وتخطيط السعة والعائد، واستراتيجية المنتج)، والاحتيال، ومنع واكتشاف الرسائل غير المرغوب فيها، والتحسين المستمر للمنتجات والخدمات التي تستخدمها، والامتثال لالتزاماتنا القانونية.
4. التزامات العميل
4.1 الشرعية. حيث تعمل كجهة تحكم بيانات للعميل، تضمن أن جميع أنشطة المعالجة قانونية، ولها غرض محدد، وأن أي إشعارات وموافقات مطلوبة أو أي أساس قانوني مناسب موجود لتمكين النقل القانوني لبيانات العميل الشخصية. إذا كنت معالج بيانات (وفي هذه الحالة سنتصرف كمعالج ثانوي)، فسوف تضمن أن جهة التحكم المعنية تضمن أن الشروط المذكورة في هذا القسم 4.1 قد تم الوفاء بها.
4.2 الامتثال. أنت المسؤول الوحيد عن (أ) ضمان امتثالك لقوانين حماية البيانات المعمول بها لاستخدامك للخدمات ولعلاجك الخاص لبيانات العميل الشخصية، (ب) إجراء تقييم مستقل لما إذا كانت التدابير الفنية والتنظيمية للخدمات تلبي متطلباتك، و(ج) تنفيذ والحفاظ على تدابير الحماية والأمن للبيانات للمكونات التي تقدمها أو تتحكم بها (بما في ذلك على سبيل المثال لا الحصر كلمات المرور، والأجهزة المستخدمة مع الخدمات وتطبيقات العملاء).
5. الأمان
5.1 تدابير الأمن. مع أخذ أحدث التطورات في الاعتبار، وتكاليف التنفيذ وطبيعة ونطاق وسياق وأغراض المعالجة، فضلاً عن خطر احتمال وتفاوت شدة الحقوق والحرية للأشخاص الطبيعيين، سنقوم بتنفيذ وصيانة تدابير أمن تقنية وتنظيمية مناسبة لحماية بيانات العملاء الشخصية من انتهاكات بيانات الشخصية وللحفاظ على الأمن والسلامة والتوافر والمرونة وسرية بيانات العملاء التي تستخدمها أنظمتنا لمعالجة بيانات العملاء الشخصية. التدابير الأمنية التي نعتمدها موصوفة في الملحق الثاني.
5.2 التحديثات على تدابير الأمن. أنت مسؤول عن مراجعة المعلومات المتاحة لنا المتعلقة بأمن بيانات العملاء الشخصية وإجراء تقييم مستقل حول ما إذا كانت هذه المعلومات تلبي متطلباتك والالتزامات القانونية بموجب قوانين حماية البيانات. تقر بأن التدابير الأمنية تخضع للتقدم والتطوير التقني، وأنه يمكننا تحديث أو تعديل تدابيرنا الأمنية من وقت لآخر، شريطة ألا تؤدي هذه التحديثات والتعديلات إلى تدهور الأمن العام لبيانات العملاء الشخصية.
5.3 ضوابط الوصول. نطبق مبادئ
6. المساعدة
6.1 المساعدة في حماية البيانات. سنقدم لك المساعدة المطلوبة بصورة معقولة تمكّنك من الامتثال لالتزاماتك بموجب قوانين حماية البيانات، بما في ذلك إخطار خرق البيانات الشخصية، وتقييم مستوى الأمان المناسب للمعالجة، ومساعدتك في أداء تقييم تأثير حماية البيانات ذي الصلة.
6.2 المساعدة في حقوق موضوعات البيانات. سنوفر لك المساعدة المعقولة لتمكينك من الامتثال لالتزاماتك تجاه موضوعات البيانات الذين يمارسون حقوقهم بموجب قوانين حماية البيانات من خلال توفير تدابير تقنية وتنظيمية عبر حسابك. ولتجنب أي شك، يُعتبرك بصفتك المتحكم في البيانات مسؤولاً عن معالجة أي طلب أو شكوى من موضوعات البيانات فيما يتعلق بالبيانات الشخصية للعميل.
7. الإفصاح وطلبات الإفصاح
7.1 قيود على الكشف والوصول. لن نقدم الوصول إلى أو نكشف عن بيانات العميل الشخصية إلا (i) بناءً على توجيهاتك، (ii) كما هو مذكور في الاتفاقية وهذه المذكرة، أو (iii) كما يتطلبه القانون.
7.2 طلبات الكشف. سنقوم بإخطارك في أقرب وقت ممكن إذا تلقينا طلبًا من هيئة حكومية أو تنظيمية لكشف بيانات العميل الشخصية، ما لم يكن هذا الإشعار محظورًا بموجب القانون. سنتعامل مع طلبات الكشف وفقًا لسياسة طلبات الكشف، المتاحة على موقعنا الإلكتروني في صفحة سياسة طلب الكشف.
8. المعالجات الفرعية
8.1 قائمة المعالجات الفرعية الحالية. أنت توافق على إشراك المعالجات الفرعية فيما يتعلق بالخدمات، المدرجة في نظرة عامة على المعالجات الفرعية، والتي تحتوي أيضًا على إجراء لك للاشتراك في إشعارات التغييرات على استخدامنا للمعالجات الفرعية. إذا قمت بالاشتراك في مثل هذه الإشعارات، ومع مراعاة القسم 8.3 من هذه الاتفاقية، سوف نتشارك تفاصيل أي تغيير في المعالجات الفرعية في أقرب وقت ممكن.
8.2 تعيين المعالجات الفرعية. بموجب هذه الاتفاقية، أنت تقدم تفويضًا كتابيًا عامًا لنا لإشراك المعالجات الفرعية لمعالجة بيانات العملاء الشخصية، وفقًا للقسم 8.3 من هذه الاتفاقية والمتطلبات التالية:
سنقيد الوصول إلى بيانات العملاء الشخصية من قبل المعالجات الفرعية إلى ما هو ضروري بشكل صارم لتقديم الخدمات المحددة في اتفاقية المعالجات الفرعية;
سنتفق على التزامات حماية البيانات مع المعالج الفرعي تكون إلى حد كبير مثل الالتزامات المنصوص عليها في هذه الاتفاقية؛ و
نظل ملزمين لك بموجب هذه الاتفاقية فيما يتعلق بأداء الالتزامات المتعلقة بحماية البيانات للمعالج الفرعي.
8.3 إخطار التغييرات في المعالجات الفرعية وحق الاعتراض. قبل استبدال أو إشراك معالجات فرعية جديدة (“تغيير المعالج الفرعي”)، سنعطيك الخيار للاعتراض على تغيير المعالج الفرعي. يمكنك الاعتراض على تغيير المعالج الفرعي بشرط (i) أن يكون الاعتراض مكتوبًا خلال عشرة (10) أيام عمل من إشعارنا بتغيير المعالج الفرعي و (ii) أن يكون الاعتراض قائمًا على أسباب معقولة تتعلق بحماية بيانات العملاء الشخصية. عندما تعترض على تغيير معالج فرعي مقترح، سنعمل معك بحسن نية لإجراء تغيير معقول تجاريًا في تقديم الخدمات الذي يتجنب استخدام المعالج الفرعي المعني. إذا لم يكن من الممكن إجراء مثل هذا التغيير بشكل معقول خلال ثلاثين (30) يومًا من استلامنا لإشعار اعتراضك، أو إذا كان التغيير غير معقول تجاريًا لنا، يمكن لأي طرف من الطرفين إنهاء الميزات المعنية من الخدمات التي لا يمكن تقديمها بدون استخدام المعالج الفرعي المعني. هذا الحق في إنهاء هو علاجك الوحيد والحصري إذا اعترضت على تغيير المعالج الفرعي.
9. التحويلات عبر الحدود للبيانات الشخصية للعملاء
9.1 نقل بيانات العميل الشخصية. قد نقوم بنقل بيانات العميل الشخصية بشرط أن تكون جميع الضمانات المناسبة المطلوبة بموجب قوانين حماية البيانات موضوعة. قد يتضمن ذلك تقييم مسبق لتأثير نقل البيانات، وتبني ورصد وتقييم التدابير الفنية والتنظيمية والقانونية التكميلية، وحقوق قابلة للتنفيذ للأطراف المعنية، وأنه تتوفر سبلاً قانونية فعالة للأطراف المعنية.
9.2 بنود العقد القياسية لمقدمي الخدمات الفرعية. ما لم يكن هناك قرار مناسب أو آلية نقل بديلة تنطبق، مثل إطار الخصوصية بين الاتحاد الأوروبي والولايات المتحدة، فقد دخلنا في بنود عقد قياسية وسنظل نحافظ عليها مع مقدمي الخدمات الفرعية (بما في ذلك الشركات التابعة لنا) الموجودة خارج المنطقة الاقتصادية الأوروبية، وفقًا للشروط المنصوص عليها في القسم 9.1 من هذه الاتفاقية.
9.3 آليات النقل لعمليات نقل بيانات العميل الشخصية. إلى الحد الذي يتطلب فيه استخدامك للخدمات آلية نقل بيانات عبر الحدود لتصدير بيانات العميل الشخصية بشكل قانوني من ولاية قضائية (مثل المنطقة الاقتصادية الأوروبية، كاليفورنيا، سنغافورة، سويسرا، أو المملكة المتحدة) إلى شركتنا الموجودة خارج تلك الولاية القضائية فسيتم تطبيق هذا القسم. إذا كان، في تنفيذ الخدمات، تم نقل بيانات العميل الشخصية التي تخضع للائحة العامة لحماية البيانات أو أي قانون آخر يتعلق بحماية أو خصوصية الأفراد التي تنطبق على هذه الاتفاقية إلى كيان مزود يقع في دول لا تضمن مستوىً كافيًا من الحماية للبيانات بمعنى قوانين حماية البيانات، فإن آليات النقل المدرجة أدناه ستنطبق على تلك النقلات ويمكن فرضها مباشرةً بواسطة الأطراف إلى الحد الذي تخضع فيه تلك النقلات لقوانين حماية البيانات.
9.3.1 يتفق الطرفان على أن البنود التعاقدية القياسية ستطبق على بيانات العميل الشخصية التي يتم نقلها عبر الخدمات من المنطقة الاقتصادية الأوروبية أو سويسرا، سواء بشكل مباشر أو عبر النقل المستمر، إلى كيان مزود موجود في بلد خارج المنطقة الاقتصادية الأوروبية أو سويسرا والذي لا تعترف به المفوضية الأوروبية (أو، في حالة النقلات من سويسرا، الجهة المختصة في سويسرا) على أنه يوفر مستوى كافياً من الحماية للبيانات الشخصية.
9.3.1.1 عندما تعمل كجهة تحكم للبيانات ونحن معالج بيانات، ستنطبق وحدة التحكم في البيانات إلى المعالجة (النموذج الثاني) من البنود التعاقدية القياسية على أي نقل من هذا القبيل لبيانات العميل الشخصية من المنطقة الاقتصادية الأوروبية. عندما تعمل كمعالج بيانات ونحن معالج فرعي ستنطبق وحدة المعالجة لمعالجة البيانات (النموذج الثالث) للبنود التعاقدية القياسية على أي نقل من هذا القبيل لبيانات العميل الشخصية من المنطقة الاقتصادية الأوروبية.
9.3.1.2 سيتم اعتبارنا كجهة مستوردة للبيانات وستعتبر أنت كجهة مصدرة للبيانات بموجب البنود التعاقدية القياسية. سيتم اعتبار توقيع كل من الطرفين على هذه الاتفاقية كتوقيع البنود التعاقدية القياسية المعمول بها، والتي ستعتبر مدمجة في هذه الاتفاقية. التفاصيل المطلوبة بموجب الملحق 1 و الملحق 2 للبنود التعاقدية القياسية متاحة في الملحق I والملحق II لهذه الاتفاقية. في حالة حدوث أي صراع أو عدم توافق بين هذه الاتفاقية والبنود التعاقدية القياسية، فإن البنود التعاقدية القياسية ستسود فقط فيما يتعلق بنقل بيانات العميل الشخصية من المنطقة الاقتصادية الأوروبية.
9.3.1.3 حيث تتطلب البنود التعاقدية القياسية من الأطراف اختيار بين بنود اختيارية وإدخال معلومات، فقد قامت الأطراف بذلك كما هو مبين أدناه:
i. لن يتم اعتماد البند الاختياري 7 "بند الربط".
ii. بالنسبة للبند 9 "استخدام مقدمي الخدمات الفرعية"، تختار الأطراف الخيار التالي: "الخيار 2: تفويض كتابي عام: لدى الجهة المستوردة تفويض عام من الجهة المراقبة للانخراط مع مقدمي الخدمات الفرعية من قائمة متفق عليها. يجب على الجهة المستوردة أن تُعلم الجهة المراقبة كتابيًا بأي تغييرات مقصودة في تلك القائمة من خلال إضافة أو استبدال مقدمي الخدمات الفرعية قبل 10 أيام عمل على الأقل، مما يعطي الجهة المراقبة الوقت الكافي للاعتراض على هذه التغييرات قبل الانخراط مع مقدمي الخدمات الفرعية. يجب على الجهة المستوردة أن تقدم للجهة المصدِّرة المعلومات اللازمة لتمكين الجهة المصدِّرة من ممارسة حقها في الاعتراض. يجب على الجهة المستوردة أن تُعلم الجهة المصدِّرة بشأن الانخراط مع مقدمي الخدمات الفرعية."
iii. بالنسبة للبند 11 (أ) "التعويض"، فإن الأطراف لا تعتمد الخيار.
iv. بالنسبة للبند 17 "القانون الحاكم"، تختار الأطراف الخيار التالي: "الخيار 1. ستخضع هذه البنود لقانون إحدى الدول الأعضاء في الاتحاد الأوروبي، شريطة أن يسمح هذا القانون بحقوق المستفيدين من الطرف الثالث. يتفق الطرفان على أن هذا سيكون قانون هولندا."
v. بالنسبة للبند 18 (ب) "اختيار المنتدى والاختصاص": "يتفق الطرفان على أن هذه ستكون محاكم هولندا."
9.3.2 يتفق الطرفان على أن البنود التعاقدية القياسية للمملكة المتحدة ستطبق على بيانات العميل الشخصية التي يتم نقلها عبر الخدمات من المملكة المتحدة، سواء بشكل مباشر أو عبر النقل المستمر، إلى كيان مزود موجود في بلد خارج المملكة المتحدة والذي لا تعترف به الجهة التنظيمية المختصة في المملكة المتحدة أو الهيئة الحكومية في المملكة المتحدة باعتبارها توفر مستوىً كافيًا من الحماية للبيانات الشخصية.
9.3.2.1 سيتم اعتبارنا كجهة مستوردة للبيانات وستعتبر أنت كجهة مصدرة للبيانات بموجب البنود التعاقدية القياسية للمملكة المتحدة. سيتم اعتبار توقيع كل من الطرفين على هذه الاتفاقية كتوقيع البنود التعاقدية القياسية للمملكة المتحدة، والتي سيتم اعتبارها مدمجة في هذه الاتفاقية. التفاصيل المطلوبة بموجب البنود التعاقدية القياسية للمملكة المتحدة متاحة في الملحق I والملحق II لهذه الاتفاقية. في حالة حدوث أي صراع أو عدم توافق بين هذه الاتفاقية والبنود التعاقدية القياسية للمملكة المتحدة، فإن البنود التعاقدية القياسية للمملكة المتحدة ستسود فقط فيما يتعلق بنقل بيانات العميل الشخصية من المملكة المتحدة.
10. تدقيق
10.1 تقرير التدقيق. سيتم تدقيق منصة الاتصال الخاصة بنا بانتظام وفقًا لمعيار ISO 27001 (أو ما يعادله). قد يكون التدقيق، وفقًا لتقديرنا الخاص، تدقيقًا داخليًا، أو تدقيقًا يتم بواسطة طرف ثالث. عند الطلب الكتابي، سنقدم لك ملخصًا لتقرير (تقريري) التدقيق (“تقرير التدقيق”)، حتى تتمكن من التحقق من امتثالنا لمعايير التدقيق وهذا DPA. تعتبر تقارير التدقيق هذه، وكذلك أي استنتاجات أو نتائج موضحة فيها، معلومات سرية لنا.
10.2 طلبات معلومات العملاء. سنجعل جميع المعلومات اللازمة بشكل معقول متاحة لك لإظهار الامتثال للالتزامات المنصوص عليها في هذا DPA. سنقدم ردودًا كتابية على الطلبات المعقولة للمعلومات المقدمة من قبلك، بما في ذلك ردود على استبيانات أمن المعلومات والتدقيق التي تكون معقولة في نطاقها وضرورية لتأكيد الامتثال لهذا DPA، بشرط أن (i) تكون قد بذلت أولاً جهدًا معقولًا للحصول على المعلومات المطلوبة من الوثائق وتقارير التدقيق وغيرها من المعلومات المقدمة أو التي تم نشرها من قبلنا، و(ii) لن تمارس هذا الحق أكثر من مرة واحدة في السنة، ما لم يتطلب حدوث خرق لبيانات شخصية أو تغيير كبير في أنشطتنا المعالجة فيما يتعلق بالخدمات إجراء استبيان إضافي. جميع الردود المقدمة هي معلومات سرية لنا.
10.3 تدقيق العملاء. إذا قدم تقرير تدقيق صادر من قبلنا إليك أسبابًا مثبتة للاعتقاد بأننا نخرق التزاماتنا بموجب هذا DPA، المتعلقة ببيانات العملاء الشخصية المقدمة من قبلك، سنسمح لمراجع ثالث مستقل ومؤهل تم تعيينه من قبلك والموافقة عليه من قبلنا، بتدقيق الأنشطة المتعلقة بمعالجة بيانات الشخصية المطبقة ذات الصلة، شريطة أنه إلى أقصى حد يسمح به القانون المعمول به، يتم استيفاء المتطلبات التالية:
يجب أن تخطرنا قبل ممارسة حق التدقيق بمدة لا تقل عن ستون (60) يومًا.
يوافق المدقق على الالتزامات القياسية للسرية معنا.
تتخذ أنت والمدقق تدابير لتقليل الاضطراب لعملياتنا التجارية.
سيتم إجراء التدقيق خلال ساعات العمل العادية.
لن نكون ملزمين بتوفير الوصول إلى بيانات العملاء لعملاء آخرين أو أنظمة غير متعلقة بتقديم الخدمات.
يجب عليك دفع جميع تكاليف التدقيق.
11. حذف وإرجاع بيانات العميل الشخصية
عند إنهاء أو انتهاء الاتفاقية، سنقوم (حسب اختيارك) بحذف أو إرجاع جميع بيانات العملاء الشخصية (بما في ذلك النسخ) التي في حوزتنا أو تحت سيطرتنا، باستثناء أن هذا الشرط لن ينطبق بالقدر الذي يفرضه القانون علينا للاحتفاظ ببعض أو كل بيانات العملاء الشخصية. إذا طلبت منا حذف بيانات العملاء الشخصية، ستظل بيانات العملاء الشخصية المؤرشفة على أنظمة النسخ الاحتياطي لدينا محمية من المعالجة الإضافية، وسيتم حذفها عندما تنقضي مدة الاحتفاظ المطلوبة.
12. التواصل وحقوق الشركاء العملاء
إن الدخول في هذه الاتفاقية باسم وعلى behalf من تابع العميل كما هو موضح في القسم 1.2 يشكل اتفاقية منفصلة بيننا وبين ذلك التابع للعميل، خاضعة لما يلي:
12.1. الاتصال. يجب على العميل الذي هو الطرف المتعاقد في الاتفاقية أن يظل مسؤولاً عن تنسيق جميع الاتصالات معنا بموجب هذه الاتفاقية وأن يكون له الحق في القيام بأي اتصال أو تلقيه فيما يتعلق بهذه الاتفاقية نيابة عن تابعيه من العملاء.
12.2 حقوق تابعين العملاء. حيث يصبح تابع للعميل طرفًا في هذه الاتفاقية معنا، فإنه يحق له، بالقدر المطلوب بموجب قوانين حماية البيانات، ممارسة الحقوق وطلب التعويضات بموجب هذه الاتفاقية، خاضعًا لما يلي:
(i) ما لم تتطلب قوانين حماية البيانات من تابع العميل ممارسة حق أو طلب تعويض بموجب هذه الاتفاقية ضدنا مباشرة بنفسه، يتفق الأطراف على أن (i) فقط العميل الذي هو الطرف المتعاقد في الاتفاقية سوف يمارس أي حق من هذا القبيل أو يسعى لأي تعويض من هذا القبيل نيابة عن تابع العميل، و (ii) سيقوم العميل الذي هو الطرف المتعاقد في الاتفاقية بممارسة أي حقوق من هذا القبيل بموجب هذه الاتفاقية ليس بشكل منفصل لكل تابع عميل بشكل فردي ولكن بطريقة مجمعة لنفسه ولكل تابعيه من العملاء معًا.
(ii) يتفق الأطراف على أن العميل الذي هو الطرف المتعاقد في الاتفاقية يجب أن يتخذ، عندما يتم إجراء تدقيق في الموقع للإجراءات المتعلقة بحماية البيانات الشخصية للعملاء نيابة عنه كما هو موضح في القسم 10.3 من هذه الاتفاقية، جميع التدابير المعقولة للحد من أي تأثير علينا من خلال دمج، بالقدر الممكن بشكل معقول، العديد من طلبات التدقيق التي تم القيام بها نيابة عن نفسه وجميع تابعيه من العملاء في تدقيق واحد فقط.
للتوضيح، لا يصبح تابع العميل طرفًا متعاقدًا في الاتفاقية.
13. قانون خصوصية المستهلك في كاليفورنيا.
إلى الحد الذي ينطبق، نحن نقدم الالتزامات الإضافية التالية لك فيما يتعلق بمعالجة بيانات العملاء الشخصية ضمن نطاق CCPA.
13.1 التزاماتنا بموجب قوانين حماية البيانات في الولايات المتحدة. تمثل المصطلحات "الغرض التجاري"، "الغرض التجاري"، "المستهلك"، "بيع"، و"مشاركة" كما هو مستخدم في هذا القسم 13.1 المعنى المعطى لها في CCPA. بقدر ما ينطبق، سنلتزم بـ CCPA ونعامل جميع بيانات العملاء الشخصية الخاضعة لـ CCPA وغيرها من قوانين حماية البيانات الأمريكية المعمول بها ("البيانات الشخصية الأمريكية") وفقًا لأحكام CCPA وغيرها من قوانين حماية البيانات الأمريكية. فيما يتعلق بالبيانات الشخصية الأمريكية، نحن مزود خدمة بموجب CCPA ومعالج بيانات بموجب قوانين حماية البيانات الأمريكية الأخرى. لن نقوم ببيع البيانات الشخصية الأمريكية. لن نحتفظ أو نستخدم أو نفصح عن أي بيانات شخصية أمريكية (i) لأي غرض بخلاف الأغراض التجارية المحددة في الاتفاقية (بما في ذلك الاحتفاظ أو الاستخدام أو الإفصاح عن البيانات الشخصية الأمريكية لغرض تجاري بخلاف الغرض التجاري المحدد في الاتفاقية أو كما هو مسموح به بخلاف ذلك بموجب CCPA أو القوانين المعمول بها)؛ أو (ii) خارج العلاقة التجارية المباشرة بينك وبيننا.
13.2 التزامات العملاء. أنت تمثل وتضمن أنك قد قدمت إشعارًا للمستخدم النهائي بأن البيانات الشخصية يتم استخدامها أو مشاركتها وفقًا لقوانين حماية البيانات المعمول بها. أنت مسؤول عن الامتثال لمتطلبات قوانين حماية البيانات بالقدر الذي ينطبق عليك كجهة تحكم بيانات.
14. القانون الحاكم وحل النزاعات
أي نزاع أو مطالبة أو جدل (“نزاع”) ينشأ عن أو يتعلق بهذه الاتفاقية سيتم تنظيمه وتفسيره وفقاً لقوانين هولندا. يتفق كل طرف على أن المحاكم المختصة في أمستردام، هولندا سيكون لديها الولاية الحصرية لحل أي نزاع ينشأ عن أو يتعلق بهذه الاتفاقية.
الملحق الأول - تفاصيل المعالجة
حيثما ينطبق، ستعمل هذه الملحق I كملحق I لبنود العقد القياسية.
الملحق I، الجزء A. قائمة الأطراف
مصدر البيانات: العميل
تفاصيل الاتصال بمصدر البيانات: العنوان المدرج في حساب العميل، أو عنوان البريد الإلكتروني لمالك حساب العميل، أو إلى عنوان البريد الإلكتروني الذي يختاره العميل لتلقي الإشعارات بموجب الاتفاقية.
دور مصدر البيانات: تم توضيح دور مصدر البيانات في القسم 4 من DPA.
التوقيع والتاريخ: إذا كان ذلك ممكناً، يُعتبر مصدر البيانات قد وقع على بنود العقد القياسية المدمجة هنا اعتبارًا من تاريخ سريان DPA.
مستورد البيانات: المزود
تفاصيل الاتصال بمستورد البيانات: مسؤول حماية البيانات - privacy@bird.com
دور مستورد البيانات: يعمل مستورد البيانات كمعالج بيانات.
التوقيع والتاريخ: إذا كان ذلك ممكناً، يُعتبر مستورد البيانات قد وقع على بنود العقد القياسية المدمجة هنا اعتبارًا من تاريخ سريان DPA.
الملحق I، الجزء B. وصف النقل
1. فئات موضوعات البيانات التي يتم نقل البيانات الشخصية لها.
المستخدمون. الأشخاص المطلوبون (الأشخاص الطبيعيون) أو الموظفون أو المقاولون أو العمال المؤقتون (الحاليون، أو الذين يتم النظر في توظيفهم، أو السابقون) للعميل الذين يستخدمون الخدمات (“المستخدمون”).
المستخدمون النهائيون. أي فرد (i) تفاصيل الاتصال به مدرجة في قائمة جهات اتصال العميل؛ (ii) معلوماته مخزنة أو تم جمعها عبر الخدمات، أو (ii) الذي يرسل له العميل اتصالات أو يتفاعل أو يتواصل معه عبر الخدمات (مجتمعة، “المستخدمون النهائيون”). أنت كعميل تحدد بشكل حصري فئات موضوعات البيانات المضمنة في الاتصالات المرسلة عبر نظام الاتصالات الخاص بنا.
2. فئات البيانات الشخصية التي يتم نقلها.
البيانات الشخصية للعميل المحتوية على، محتوى الاتصالات، بيانات الحركة، بيانات المستخدم النهائي، وبيانات استخدام العملاء.
محتوى الاتصالات، الذي قد يتضمن بيانات شخصية أو خصائص مخصصة أخرى، اعتمادًا على محتوى الاتصالات كما تحدده أنت كعميل.
بيانات الحركة، التي قد تتضمن بيانات شخصية للعميل تتعلق بالتوجيه، أو المدة أو توقيت الاتصال، مثل المكالمات الصوتية، أو الرسائل النصية القصيرة، أو البريد الإلكتروني، سواء كانت تتعلق بفرد أو شركة.
بيانات المستخدم النهائي، مثل رقم الهاتف، وعنوان البريد الإلكتروني، والاسم الأول، واسم العائلة، واسم الملف الشخصي، والدولة، ومعرف القناة.
بيانات استخدام العميل، قد تحتوي على بيانات يمكن ربطها بك كفرد مدرج في بيانات وإحصاءات تتعلق بحسابك وأنشطة الخدمة، والأفكار المتعلقة بالخدمة وتقارير التحليل حول الاتصالات المرسلة ودعم العملاء.
3. البيانات الحساسة المنقولة (إن وجدت) والقيود أو الضمانات المعمول بها التي تأخذ بالاعتبار طبيعة البيانات والمخاطر المتعلقة بها، مثل على سبيل المثال القيود الصارمة على الأغراض، قيود الوصول (بما في ذلك الوصول فقط للموظفين الذين خضعوا لتدريب متخصص)، الحفاظ على سجل للوصول إلى البيانات، قيود على النقل لاحقًا أو تدابير أمنية إضافية.
محتوى الاتصالات. قد تتم معالجة البيانات الحساسة من حين لآخر عبر الخدمات عندما تختار أنت أو المستخدمون النهائيون تضمين بيانات حساسة ضمن الاتصالات التي يتم نقلها باستخدام الخدمات. أنت مسؤول عن ضمان وجود ضمانات مناسبة قبل النقل أو المعالجة، أو قبل السماح للمستخدمين النهائيين بنقل أو معالجة أي بيانات حساسة عبر الخدمات، وفقًا للقسم 3.2 من الاتفاقية.
بيانات الحركة، وبيانات المستخدم النهائي، وبيانات استخدام العملاء. لا تحتوي بيانات الحركة، أو بيانات المستخدم النهائي، أو بيانات استخدام العملاء على بيانات حساسة.
4. تكرار النقل (مثل ما إذا كانت البيانات يتم نقلها على أساس مرة واحدة أو بشكل مستمر): يتم نقل البيانات الشخصية للعميل على أساس مستمر طوال مدة الاتفاقية.
5. طبيعة المعالجة: سنقوم بمعالجة البيانات الشخصية للعميل بالقدر اللازم لتقديم الخدمات بموجب الاتفاقية. نحن لا نبيع أي بيانات شخصية، بما في ذلك البيانات الشخصية للعميل، ولا نشارك البيانات الشخصية مع جهات خارجية مقابل تعويض أو لمصالح تجارية تلك الجهات.
6. الغرض(أ) من نقل البيانات والمعالجة اللاحقة: سنقوم بمعالجة البيانات الشخصية للعميل كمعالج بيانات وفقًا لتعليمات العميل كما هو موضح في هذه DPA، ما لم تكن المعالجة ضرورية للامتثال لالتزام قانوني نتعرض له، وفي هذه الحالة سنقوم بتصنيفها كجهة تحكم في البيانات.
محتوى الاتصالات، وبيانات الحركة، وبيانات المستخدم النهائي، وبيانات استخدام العملاء. ستكون البيانات الشخصية المحتواة في محتوى الاتصالات، وبيانات الحركة، وبيانات المستخدم النهائي، وبيانات استخدام العملاء خاضعة لأنشطة المعالجة الأساسية التالية:
محتوى الاتصالات. توفير منتجات وخدمات الاتصالات القابلة للبرمجة، المقدمة في شكل واجهات برمجة التطبيقات (APIs) أو عبر لوحة التحكم، للعميل، بما في ذلك النقل إلى أو من تطبيق برنامج العميل من أو إلى منصة الاتصالات الخاصة بنا، وشبكات الاتصالات الأخرى.
بيانات الحركة. تتم معالجة بيانات الحركة لغرض نقل الاتصال عبر شبكة الاتصالات الإلكترونية أو لفواتير ذلك الاتصال. قد تشمل ذلك بيانات شخصية للعميل تتعلق بتوجيه، أو مدة أو توقيت الاتصال، مثل المكالمات الصوتية، أو الرسائل النصية القصيرة، أو البريد الإلكتروني، سواء كانت تتعلق بفرد أو شركة.
بيانات المستخدم النهائي. تحتاج بيانات المستخدمين النهائيين للقيام بالخدمات وستتم معالجتها فقط لأغراض نقل الاتصالات، ودعم العملاء، وضمان الامتثال لالتزاماتنا القانونية.
بيانات استخدام العميل. ستكون البيانات الشخصية المحتواة في بيانات استخدام العميل خاضعة لأنشطة المعالجة المتعلقة بتوفير الخدمات بموجب الاتفاقية، بهدف تزويد العميل برؤى تتعلق بالخدمات وتقارير تحليلية بخصوص الاتصالات المرسلة، ودعم العملاء، وتحسين مستمر للخدمات.
7. الفترة التي ستحتفظ فيها بالبيانات الشخصية، أو، إذا لم يكن ذلك ممكنًا، المعايير المستخدمة لتحديد تلك الفترة:
محتوى الاتصالات وبيانات الحركة.
بالنسبة لمحتوى الاتصالات وبيانات الحركة المحتواة في خدمات الرسائل القصيرة والمكالمات الصوتية، ينطبق فترة احتفاظ قدرها ستة أشهر;
بالنسبة لخدمات الفيديو، يتم الاحتفاظ بمحتوى الاتصالات وبيانات الحركة لمدة لا تقل عن 30 يومًا حتى المدة المتفق عليها معك;
بالنسبة لخدمات البريد الإلكتروني، يتم الاحتفاظ بمحتوى الاتصالات وبيانات الحركة لمدة 72 ساعة;
بالنسبة لجميع الخدمات الأخرى، يتم الاحتفاظ بمحتوى الاتصالات وبيانات الحركة طوال مدة الخدمات، باستثناء إذا قمت بحذف محتوى الاتصالات أو بيانات الحركة عبر التدابير الفنية والتنظيمية المقدمة لك عبر الخدمات.
بيانات المستخدم النهائي. ستتم معالجة بيانات المستخدم النهائي لمدة يحددها العميل، عندما يتم تضمين بيانات المستخدم النهائي في ملفات جهات اتصالك، فإن فترة الاحتفاظ الافتراضية هي طوال مدة الخدمات، مع مراعاة القسم 6(c) من هذا الملحق I، الجزء B.
بيانات استخدام العميل. عند إنهاء الاتفاقية، قد نقوم بالاحتفاظ، واستخدام، والإفصاح عن بيانات استخدام العملاء للأغراض المحددة في القسم 6(d) من هذا الملحق I، الجزء B، مع مراعاة الالتزامات المتعلقة بالسرية المنصوص عليها في الاتفاقية. سنقوم بإ anonymize أو حذف بيانات استخدام العميل عندما لم نعد بحاجة إليها للأغراض المحددة في القسم 6(d) من هذا الملحق I، الجزء B.
8. بالنسبة لنقل البيانات إلى (المعالجين الفرعيين)، حدد أيضًا الموضوع، الطبيعة ومدة المعالجة: بالنسبة للنقل إلى المعالجين الفرعيين، الموضوع وطبيعة المعالجة موضحة في نظرة عامة على المعالجين الفرعيين ومدة المعالجة هي طوال مدة الاتفاقية.
الملحق I، الجزء C. السلطة الرقابية المختصة
ستكون الهيئة الهولندية لحماية البيانات (Autoriteit Persoonsgegevens) هي الهيئة الرقابية المختصة.
الملحق الثاني - التدابير الأمنية الفنية والتنظيمية
حيثما كان ذلك مناسبًا، ستعمل هذه الملحق II كملحق II لبنود العقد القياسية. توفر المعلومات التالية مزيدًا من المعلومات بشأن تدابيرنا الفنية والتنظيمية للأمان المدرجة أدناه.
التدابير الفنية والتنظيمية للأمان:
تدابير التسمية المستعارة وحماية البيانات الشخصية في التخزين والنقل: يتم تشفير جميع البيانات الشخصية أثناء النقل وعند الراحة، وإلى الحد الذي ينطبق فيه ذلك من وجهة نظر الأمان، يتم التعامل معها كما لو كانت مصنفة على أنها بيانات حساسة. يتم دائمًا نقل المعلومات عبر TLS باستخدام منهجيات تشفير محدثة بشكل افتراضي.
التدابير لضمان الاستمرار في السرية والنزاهة والتوافر ومرونة أنظمة المعالجة والخدمات: ندخل في اتفاقيات تتضمن أحكامًا للسرية مع موظفينا ومتعهدينا وبائعي الخدمات ومقدمي الخدمات الفرعية. سياسة استمرارية الأعمال لدينا هي إعداد أعمالنا وخدماتنا في حالة حدوث انقطاعات طويلة ناجمة عن عوامل خارجة عن سيطرتنا واستعادة الخدمات إلى أقصى حد ممكن في أقل فترة زمنية. نفهم أن الخدمات التي نقدمها ضرورية لعملائنا ومن ثم لدينا تحمل ضئيل جدًا لاضطرابات الخدمة. تم تصميم الجداول الزمنية لدينا للاسترداد للتأكد من أننا نستطيع الوفاء بالتزاماتنا تجاه جميع عملائنا
العمليات للاختبار والتقييم الدوري وتقييم فاعلية التدابير الفنية والتنظيمية من أجل ضمان أمان المعالجة: الهدف من أمان المعلومات ونظام إدارة أمان المعلومات لدينا (ISMS) هو حماية السرية والنزاهة والتوافر للمعلومات للمنظمة والموظفين والشركاء والعملاء وأنظمة المعلومات (المصرح بها)، وتقليل مخاطر الأضرار الحادثة من خلال منع الحوادث الأمنية وإدارة التهديدات والثغرات الأمنية. يتأكد فريقنا القانوني ومسؤول حماية البيانات وفريق الأمان من أن اللوائح والمعايير المعمول بها قد تم أخذها في الاعتبار في إطارات الأمان لدينا.
التدابير لتحديد هوية المستخدم والتفويض: نتبع مبادئ
