اتفاقية معالجة البيانات
يسري هذا الاتفاق لمعالجة البيانات عليك إذا قمت بالتسجيل في خدمات MessageBird (بما في ذلك من خلال أي من الشركات التابعة لها) في أو بعد 28 فبراير 2022 وقبل 1 يناير 2024. ساري اعتبارًا من 15 أبريل 2022، سيطبق هذا الاتفاق لمعالجة البيانات أيضًا على العملاء الذين سجلوا في خدمات MessageBird قبل 28 فبراير 2022. يتوفر اتفاق معالجة البيانات المؤرشف الخاص بنا هنا.
Documents
المحتويات
يعد اتفاق معالجة البيانات بما في ذلك الملاحق ("DPA") جزءًا من الاتفاقية بين العميل والجهة المتعاقدة المدرجة في البند 15 (الجهة المتعاقدة) من الشروط والأحكام العامة، ما لم يُذكر خلاف ذلك في نموذج الطلب الخاص بك. في هذه DPA، تشير المصطلحات "أنت", "الخاص بك"، أو "العميل" إليك (حسب البند 1.2 أدناه)، وتشير المصطلحات "نحن", "لنا", "خاصتنا" أو "MessageBird" إلينا.
١. النطاق والشركات التابعة للعملاء والمدة
1.1 النطاق. تحكم هذه الاتفاقية معالجة البيانات الشخصية للعميل من قبل MessageBird كمعالج.
1.2 الشركات التابعة للعميل. يدخل العميل في هذه الاتفاقية نيابة عن نفسه وإلى الحد المطلوب بموجب تشريعات حماية البيانات، باسم ونيابة عن الشركات التابعة له (كما هو معرف في الشروط)، إذا وإلى المدى الذي تقدم فيه هذه الشركات التابعة بالوصول إلى الخدمات ونعالج بيانات شخصية للعميل والتي تعتبر فيها هذه الشركات التابعة كمالك للبيانات (“الشركات التابعة للعميل”). لأغراض هذه الاتفاقية فقط، وباستثناء ما هو مذكور بخلاف ذلك، يجب أن تشمل مصطلحات “العميل” و “أنت” العميل والشركات التابعة.
1.3 المدة. تظل هذه الاتفاقية سارية المفعول طالما تستمر MessageBird في معالجة البيانات الشخصية للعميل الخاضعة لهذه الاتفاقية، بغض النظر عن انتهاء أو إنهاء الاتفاقية.
٢. التعريفات
المصطلحات ذات الحروف الكبيرة المستخدمة ولكن غير معرفة في هذه الاتفاقية تكون لها المعنى المعطى لها في الاتفاقية. يتم استخدام المصطلحات المحددة التالية في هذه الاتفاقية:
2.1 "CCPA" تعني قانون حماية خصوصية المستهلك في كاليفورنيا لعام 2018 وأي لوائح تصدر بموجبه، في كل حالة، كما يتم تعديلها من وقت لآخر.
2.2 "Customer Data" تعني أي بيانات ومعلومات أخرى أو محتوى يتم تقديمه بواسطتك أو من أجلك (أو بواسطة مستخدم لتطبيقك للعميل) بموجب الاتفاقية ويتم معالجتها أو تخزينها بواسطة الخدمات.
2.3 "Customer Personal Data" تعني البيانات الشخصية الواردة في بيانات العميل. بيانات الحساب ليست بيانات شخصية للعميل. بيانات الحساب هي أي بيانات تقدم بواسطة أو من أجلك إلى MessageBird فيما يتعلق بالدخول في وإدارة الاتفاقية وحسابك، بما في ذلك على سبيل المثال لا الحصر المعلومات الاتصال وبيانات الفواتير والمراسلات حول الدخول في وإدارة الاتفاقية.
2.4 "Data Protection Legislation" تعني جميع القوانين واللوائح في أي اختصاص قضائي تطبق على السرية والخصوصية والأمان أو معالجة البيانات الشخصية بموجب الاتفاقية، بما في ذلك، حيثما يكون ذلك مناسبًا، GDPR، CCPA وجميع القوانين واللوائح الأخرى المتعلقة بالخصوصية أو التسويق المباشر أو حماية البيانات.
2.5 "EEA" تعني، لأغراض هذه الاتفاقية، المنطقة الاقتصادية الأوروبية وسويسرا.
2.6 "EU Controller-to-Processor Standard Contractual Clauses" تعني الوحدات "التحكم إلى المعالج" (الوحدة 2) لبنود العقد القياسية لنقل البيانات الشخصية إلى بلدان ثالثة وفقًا لـ GDPR وقرار التنفيذ الخاص بالمفوضية الأوروبية (EU) 2021/914 المؤرخ في 4 يونيو 2021.
2.7 "EU Processor-to-Subprocessor Standard Contractual Clauses" تعني الوحدات "المعالج إلى المعالج الفرعي" (الوحدة 3) لبنود العقد القياسية لنقل البيانات الشخصية إلى بلدان ثالثة وفقًا لـ GDPR وقرار التنفيذ الخاص بالمفوضية الأوروبية (EU) 2021/914 المؤرخ في 4 يونيو 2021.
2.8 "GDPR" تعني إما (i) اللائحة 2016/679 للبرلمان الأوروبي والمجلس بشأن حماية الأفراد فيما يتعلق بمعالجة البيانات الشخصية وحرية نقل تلك البيانات (اللائحة العامة لحماية البيانات)؛ أو (ii) فيما يخص المملكة المتحدة فقط، قانون حماية البيانات 2018.
2.9 "LGPD" تعني Lei Geral de Proteção de Dados لعام 2018 وأي لوائح تصدر بموجبه، في كل حالة، كما يتم تعديلها من وقت لآخر.
2.10 "Personal Data" تعني أي معلومات تتعلق بشخص طبيعي محدد أو يمكن تحديده بشكل مباشر أو غير مباشر.
2.11 "PDPA" تعني قانون حماية البيانات الشخصية لعام 2012 وأي لوائح تصدر بموجبه، في كل حالة، كما يتم تعديلها من وقت لآخر.
2.12 "Privacy Statement" تعني سياسة الخصوصية الحالية للخدمات المتاحة على https://bird.com/legal/privacy.
2.13 "Personal Data Breach" تعني أي تدمير أو فقدان أو تعديل أو إفشاء عرضي أو غير مصرح به أو غير قانوني للبيانات الشخصية للعميل أو الوصول إليها.
2.14 "Services" تعني جميع المنتجات والخدمات التي نقدمها نحن أو الشركات التابعة لنا والتي (أ) تم طلبها بواسطتك بموجب أي نموذج طلب؛ أو (ب) تستخدمها.
2.15 "Standard Contractual Clauses" تعني إما (i) بنود العقد القياسية من الاتحاد الأوروبي للمتحكمين إلى المعالجين؛ أو (ii) بنود العقد القياسية في الاتحاد الأوروبي للمعالجين إلى المعالجين الفرعيين، سواء بشكل فردي أو جماعي، حسب الاقتضاء.
2.16 "Subprocessor" تعني الكيان الذي يعالج البيانات الشخصية للعميل نيابة عن كيان يعمل كمعالج بيانات أو معالج فرعي.
2.17 "UK Controller-to-Processor Standard Contractual Clauses" تعني البنود التعاقدية القياسية لنقل البيانات الشخصية إلى المعالجين الذين تم تأسيسهم في بلدان ثالثة بالشكل المحدد في قرار المفوضية الأوروبية 2010/87/EU، كما يتم تعديله أو تغييره أو استبداله من وقت لآخر من قبل المفوضية الأوروبية.
المصطلحات مثل "المعالجة"، "المتحكم في البيانات"، "معالج البيانات"، "موضوع البيانات"، إلخ. سيكون لها المعنى المعين لها بموجب GDPR. يشمل تعريف "المتحكم في البيانات" كل من "الأعمال التجارية" و"المتحكم" و"المنظمة"؛ في حين يشمل "معالج البيانات" كل من "مزود الخدمة" و"المعالج" و"الوسيط البيانات"؛ ويشمل "موضوع البيانات" كل من "المستهلك" و"الفرد"؛ بينما تشمل "البيانات الشخصية" كل من "المعلومات الشخصية"، حيث تُعرف في كل حالة بموجب CCPA أو LGPD أو PDPA.
3. معالجة البيانات الشخصية للعميل
3.1 الأغراض. سنقوم بمعالجة البيانات الشخصية للعملاء فقط بالقدر الضروري (i) لتقديم الخدمات، بما في ذلك نقل الاتصال، ضمان أمان الخدمات، تقديم التقارير الفنية وتقارير التسليم، تقديم الدعم وتطوير وتنفيذ التحسينات والتحديثات وفقًا لتعليمات موثقة لنا كمُعالج بيانات كما هو محدد في القسم 3.2 من هذه الاتفاقية، و(ii) لأغراض عملنا المشروعة كما هو محدد في القسم 3.4 من هذه الاتفاقية كجهة تحكم بيانات. لا نبيع أي بيانات شخصية، بما في ذلك البيانات الشخصية للعملاء، ولا نشارك البيانات الشخصية مع أطراف ثالثة للحصول على تعويض أو لمصالح الأعمال الخاصة بتلك الأطراف الثالثة.
3.2 التعليمات. تشكل الاتفاقية وهذه الاتفاقية التعليمات الكاملة لك كمُعالج بيانات عند توقيع هذه الاتفاقية. سنلتزم بالتعليمات الموثقة الأخرى المعقولة بشرط أن تكون تلك التعليمات متسقة مع شروط الاتفاقية.
3.3 تفاصيل المعالجة. الملحق I، الجزء B. (وصف النقل) من هذه الاتفاقية يحدد بشكل أكبر طبيعة وغرض المعالجة، أنشطة المعالجة، مدة المعالجة، أنواع البيانات الشخصية وفئات أصحاب البيانات من جانبنا كمُعالج بيانات أو مُعالج فرعي.
3.4 أغراض العمل المشروعة. تقر بأننا نعالج البيانات الشخصية للعملاء كجهة تحكم بيانات مستقلة بالقدر الضروري للأغراض المشروعة التالية: الفوترة، إدارة الحسابات، إعداد التقارير المالية والداخلية، مكافحة ومنع التهديدات الأمنية والهجمات الإلكترونية والجريمة الإلكترونية التي قد تؤثر علينا أو على خدماتنا، نمذجة الأعمال (مثل التنبؤ، تخطيط القدرة والدخل، إستراتيجية المنتجات)، منع واكتشاف الاحتيال، البريد العشوائي، وسوء الاستخدام، تحسين المنتجات، والامتثال لالتزاماتنا القانونية.
4. التزامات العميل
4.1 قانونية. حيث أنك تتصرف كمتصرف بالبيانات الخاصة بالعميل، فإنك تضمن أن جميع أنشطة المعالجة قانونية، لها غرض محدد، وأن أي إشعارات وإقرارات لازمة أو قاعدة قانونية مناسبة أخرى موجودة لتمكين النقل القانوني للبيانات الشخصية الخاصة بالعميل. إذا كنت معالج بيانات (وفي هذه الحالة سنعمل كمعالج فرعي)، فسوف تضمن أن المتحكم بالبيانات المعني يضمن استيفاء الشروط المدرجة في هذا القسم 4.1.
4.2 الامتثال. أنت المسؤول الوحيد عن (أ) ضمان امتثالك لتشريعات حماية البيانات المعمول بها فيما يخص استخدامك للخدمات ومعالجتك الخاصة لبيانات العملاء الشخصية، (ب) إجراء تقييم مستقل عما إذا كانت التدابير التقنية والتنظيمية للخدمات تلبي متطلباتك، و (ج) تنفيذ وصيانة تدابير الخصوصية والأمان للمكونات التي تقدمها أو تتحكم فيها (بما في ذلك وليس على سبيل الحصر كلمات المرور والأجهزة المستخدمة مع الخدمات وتطبيقات العملاء).
5. الأمان
5.1 إجراءات الأمان. مع مراعاة حالة الفن وتكاليف التنفيذ وطبيعة ونطاق وسياق وأغراض المعالجة بالإضافة إلى مخاطر التباين في احتمالية وشدة التأثيرات على حقوق وحريات الأشخاص الطبيعيين، سنقوم بتنفيذ والحفاظ على إجراءات تقنية وتنظيمية مناسبة لحماية البيانات الشخصية للعملاء من خروقات البيانات الشخصية وللحفاظ على أمان وسلامة وتوافر ومرونة وسرية البيانات التي تستخدمها أنظمتنا لمعالجة بيانات العملاء. الإجراءات الأمنية التي نطبقها موصوفة في الملحق الثاني.
5.2 تحديثات على إجراءات الأمان. أنت مسؤول عن مراجعة المعلومات التي نقدمها والمتعلقة بأمن البيانات الشخصية للعملاء واتخاذ قرار مستقل حول ما إذا كانت تلك المعلومات تفي بمتطلباتك والالتزامات القانونية بموجب تشريعات حماية البيانات. أنت تقر بأن إجراءات الأمان عرضة للتقدم والتطور التقني، وأنه قد نقوم بتحديث أو تعديل إجراءات الأمان من وقت لآخر، بشرط ألا تؤدي تلك التحديثات والتعديلات إلى تدهور شامل في أمان البيانات الشخصية للعملاء.
5.3 التحكم في الوصول. نحن نطبق مبادئ "الحاجة إلى المعرفة" والحد الأدنى من الامتيازات.
5.4 سرية المعالجة. سنضمن أن أي شخص أو طرف مفوض من قبلنا لمعالجة البيانات الشخصية للعملاء (بما في ذلك موظفينا ووكلائنا والمعالجات الفرعية) يتم إبلاغه بالطبيعة السرية لمثل هذه البيانات الشخصية وسيكون تحت التزام مناسب بالسرية (سواء كان واجب تعاقدي أو تشريعي) يظل قائماً بعد انتهاء فترة ارتباطهم معنا.
5.5 استجابة خروقات البيانات الشخصية وإخطارها. عند العلم بحدوث اختراق للبيانات الشخصية، سنقوم دون تأخير لا مبرر له (i) بإخطارك، (ii) التحقيق في اختراق البيانات الشخصية، (iii) تقديم معلومات فورية تتعلق باختراق البيانات الشخصية كما يصبح معروفًا أو كما تطلبه بشكل معقول، و(iv) اتخاذ خطوات معقولة تجارية للتخفيف من آثار الاختراق ومنع تكراره.
6. المساعدة
6.1 المساعدة في حماية البيانات. سنقدم لك المساعدة المطلوبة بشكل معقول للسماح لك بالامتثال لالتزاماتك بموجب تشريعات حماية البيانات، بما في ذلك الإبلاغ عن خرق البيانات الشخصية، وتقييم مستوى الأمان المناسب للمعالجة، ومساعدتك في إجراء تقييم تأثير حماية البيانات ذات الصلة.
6.2 المساعدة في طلبات موضوع البيانات. سنقدم لك المساعدة المعقولة للسماح لك بالامتثال لالتزاماتك تجاه موضوعات البيانات الذين يمارسون حقوقهم بموجب تشريعات حماية البيانات عن طريق توفير وسائل تقنية وتنظيمية عبر حسابك. ولإزالة أي شك، فإنك كمسؤول عن البيانات تتحمل مسؤولية معالجة أي طلب أو شكوى من موضوعات البيانات فيما يتعلق بالبيانات الشخصية للعميل لموضوع البيانات.
٧. الإفصاح وطلبات الإفصاح
7.1 قيود على الكشف والوصول. لن نوفر الوصول إلى أو الكشف عن البيانات الشخصية للعميل إلا (i) حسب توجيهك، (ii) كما هو موضح في الاتفاقية وهذه DPA، أو (iii) كما يقتضيه القانون.
7.2 طلبات الكشف. سنقوم بإبلاغك في أقرب وقت ممكن بشكل معقول إذا تلقينا طلبًا من جهة حكومية أو تنظيمية للكشف عن البيانات الشخصية للعميل، ما لم يكن مثل هذا الإشعار محظورًا بموجب القانون. سنتعامل مع طلبات الكشف وفقًا لسياسة طلب الكشف المتاحة على https://bird.com/legal/disclosure-requests.
٨. المعالِجون الفرعيون
8.1 المعالجون الفرعيون الحاليون. أنت توافق على تعيين المعالجين الفرعيين المدرجين على الرابط https://www.bird.com/en/legal/privacy#processorList تحت عنوان "بيانات المستخدم النهائي الشخصية"، والذي يحتوي على إجراء لتتمكن من الاشتراك في إشعارات التغييرات على استخدامنا للمعالجين الفرعيين. إذا اشتركت في مثل هذه الإشعارات، ومع مراعاة القسم 8.3 من هذه الاتفاقية، سنشارك تفاصيل أي تغيير في المعالجين الفرعيين في أقرب وقت معقول.
8.2 استخدام المعالجين الفرعيين. من خلال هذه الاتفاقية، توفر لنا تفويضًا كتابيًا عامًا لتعيين المعالجين الفرعيين لمعالجة البيانات الشخصية للعميل، وذلك وفقًا للقسم 8.3 من هذه الاتفاقية والمتطلبات التالية:
a. سنقصر الوصول إلى البيانات الشخصية للعميل من قبل المعالجين الفرعيين على ما هو ضروري بشكل صارم لتقديم الخدمات المحددة في اتفاقية المعالج الفرعي;
ب. سنوافق على التزامات حماية البيانات مع المعالج الفرعي التي تكون متطابقة بشكل كبير مع الالتزامات بموجب هذه الاتفاقية; و
ج. نظل مسؤولين أمامك بموجب هذه الاتفاقية عن تنفيذ التزامات حماية البيانات من قبل المعالج الفرعي.
8.3 إخطار بالتغييرات على المعالجين الفرعيين وحق الاعتراض. قبل استبدال أو تعيين معالجين فرعيين جدد ("تغيير المعالج الفرعي")، سنمنحك الخيار للاعتراض على تغيير المعالج الفرعي.
يمكنك الاعتراض على تغيير المعالج الفرعي بشرط أن (i) يتم تقديم الاعتراض كتابيًا خلال عشرة (10) أيام عمل من إشعارنا بتغيير المعالج الفرعي و(ii) يستند الاعتراض ويشرح بوضوح الأسس المعقولة المتعلقة بحماية البيانات الشخصية للعميل. عند الاعتراض على تغيير المعالج الفرعي المقترح، سنتعاون معك بنية جيدة لإجراء تغيير معقول تجاريًا في تقديم الخدمات يتجنب استخدام المعالج الفرعي المعني. إذا لم يكن بالإمكان إجراء مثل هذا التغيير بشكل معقول خلال ثلاثين (30) يوم عمل من استلامنا لإشعار اعتراضك، أو إذا كان التغيير غير معقول تجاريًا بالنسبة لنا، يمكن لأي من الطرفين إنهاء الميزات المعنية من الخدمات التي لا يمكن تقديمها بدون استخدام المعالج الفرعي المعني. هذا الحق في الإنهاء هو العلاج الحصري لك إذا كنت تعترض على تغيير المعالج الفرعي.
9. التحويلات عبر الحدود للبيانات الشخصية للعملاء
9.1 نقل بيانات العملاء الشخصية. يجوز لنا نقل بيانات العملاء الشخصية بشرط اتخاذ جميع الضمانات المناسبة المطلوبة بموجب تشريعات حماية البيانات. قد يشمل ذلك إجراء تقييم تأثير لنقل البيانات مسبقًا، واعتماد ورصد وتقييم التدابير الفنية والتنظيمية والقانونية التكميلية، وحقوق موضوع البيانات القابلة للتنفيذ، وتوفر سبل الانتصاف القانونية الفعالة لموضوعات البيانات.
9.2 البنود التعاقدية القياسية للمعالج الفرعي. ما لم يكن هناك قرار كفاية أو آلية نقل بديلة تنطبق، فقد أبرمنا وسنحافظ على البنود التعاقدية القياسية مع المعالجات الفرعية (بما في ذلك الشركات التابعة لنا) الموجودة خارج المنطقة الاقتصادية الأوروبية، وذلك وفقًا للشروط المنصوص عليها في القسم 9.1 من هذه الاتفاقية.
9.3 آليات نقل بيانات العملاء الشخصية. إلى الحد الذي يتطلب فيه استخدامك للخدمات وجود آلية لنقل البيانات عبر الحدود بشكل قانوني لتصدير بيانات العملاء الشخصية من نطاق قضائي (مثل المنطقة الاقتصادية الأوروبية، كاليفورنيا، سنغافورة، سويسرا، أو المملكة المتحدة) إلينا الموجودين خارج ذلك النطاق القضائي، ينطبق هذا القسم. إذا تم، في أداء الخدمات، نقل بيانات العملاء الشخصية الخاضعة للائحة العامة لحماية البيانات أو أي قانون آخر يتعلق بحماية أو خصوصية الأفراد والذي ينطبق على هذه الاتفاقية إلى MessageBird الموجود في بلدان لا تضمن مستوى كاف من حماية البيانات الشخصية بالمعنى المقصود في تشريعات حماية البيانات، يتم تطبيق آليات النقل المدرجة أدناه على تلك النقلات ويمكن إنفاذها مباشرة من قبل الأطراف إلى الحد الذي تخضع فيه تلك النقلات لتشريعات حماية البيانات:
9.3.1 يتفق الأطراف على أن البنود التعاقدية القياسية ستطبق على بيانات العملاء الشخصية التي يتم نقلها عبر الخدمات من المنطقة الاقتصادية الأوروبية أو سويسرا، إما بشكل مباشر أو عبر نقل لاحق، إلى كيان MessageBird الموجود في بلد خارج المنطقة الاقتصادية الأوروبية أو سويسرا والذي لا تعترف به المفوضية الأوروبية (أو، في حالة النقلات من سويسرا، السلطة المختصة في سويسرا) على أنه يقدم مستوى كافٍ من حماية البيانات الشخصية.
9.3.1.1 عندما تكون أنت تعمل كمتحكم بيانات وMessageBird كمحافظ بيانات، سيتم تطبيق البنود التعاقدية القياسية للمتحكم إلى المحافظ على أي نقل لبيانات العملاء الشخصية من المنطقة الاقتصادية الأوروبية. عندما تعمل أنت كمعالج بيانات وMessageBird كمعالج فرعي، سيتم تطبيق البنود التعاقدية القياسية من المعالج إلى المعالج الفرعي على أي نقل لمثل هذه البيانات من المنطقة الاقتصادية الأوروبية.
9.3.1.2 سيتم اعتبار MessageBird مستورداً للبيانات وستكون أنت مصدراً للبيانات بموجب البنود التعاقدية القياسية. سيتم اعتبار توقيع كل من الطرفين لهذه الاتفاقية كتوقيع للبنود التعاقدية القياسية المعمول بها، والتي سيتم اعتبارها مدرجة في هذه الاتفاقية. تتوفر التفاصيل المطلوبة بموجب الملحق 1 وملحق 2 للبنود التعاقدية القياسية في الملحق الأول والملحق الثاني لهذه الاتفاقية. في حال وجود أي تعارض أو عدم تناسق بين هذه الاتفاقية والبنود التعاقدية القياسية، يجب أن تسود البنود التعاقدية القياسية فقط فيما يتعلق بنقل بيانات العملاء الشخصية من المنطقة الاقتصادية الأوروبية.
9.3.1.3 حيثما تتطلب البنود التعاقدية القياسية من الأطراف الاختيار بين البنود الاختيارية وإدخال المعلومات، فقد قام الأطراف بذلك كما هو موضح أدناه:
لن يتم اعتماد البند الاختياري 7 "شرط الربط".
بالنسبة للبند 9 "استخدام المعالجين الفرعيين"، يختار الأطراف الخيار التالي: "الخيار 2 تفويض كتابي عام: يمتلك المستورد للبيانات التفويض العام للمعالج للاعتماد على معالج فرعي من قائمة متفق عليها. يجب على المستورد للبيانات إبلاغ المعالج بأي تغييرات مقترحة على تلك القائمة من خلال إضافة أو استبدال معالج فرعي، على الأقل 10 أيام عمل مسبقًا، مما يتيح للمعالجالوقت الكافي للاعتراض على هذه التغييرات قبل الدخول في العلاقة مع المعالج الفرعي. يجب أن يوفر المستورد للبيانات للمورد للبيانات المعلومات اللازمة لتمكين المورد للبيانات من ممارسة حقه في الاعتراض. يجب على المستورد للبيانات إبلاغ المورد للبيانات بعلاقة المعالج الفرعي.
بالنسبة للبند 11 (أ) "تعويض": لن يعتمد الأطراف البند الاختياري.
بالنسبة للبند 17 "القانون الحاكم": يختار الأطراف الخيار التالي: "الخيار 1. تُحكم هذه البنود بقانون إحدى دول الاتحاد الأوروبي، بشرط أن يسمح هذا القانون بحقوق المستفيد الثالث. يتفق الأطراف أن يكون هذا قانون هولندا."
بالنسبة للبند 18 (ب) "اختيار المنتدى والاختصاص القضائي": "يتفق الأطراف أن تكون تلك في محاكم هولندا."
9.3.2 يتفق الأطراف على أن اتفاقية المعالج إلى المتحكم في المملكة المتحدة القياسية ستطبق على بيانات العملاء الشخصية التي يتم نقلها عبر الخدمات من المملكة المتحدة، إما مباشرة أو عبر نقل لاحق، إلى كيان MessageBird الموجود في بلد خارج المملكة المتحدة الذي لا تعترف به السلطة التنظيمية المعنية في المملكة المتحدة أو الجهة الحكومية للمملكة المتحدة كأنه يوفر مستوى كافٍ من حماية البيانات الشخصية.
9.3.2.1 سيتم اعتبار MessageBird مستورداً للبيانات وستكون أنت مصدراً للبيانات بموجب البنود التعاقدية القياسية المعتمدة من المتحكم إلى المعالج في المملكة المتحدة. سيتم اعتبار توقيع كل من الطرفين لهذه الاتفاقية كتوقيع للبنود التعاقدية القياسية المعتمدة من المتحكم إلى المعالج في المملكة المتحدة، والتي سيتم اعتبارها مدرجة في هذه الاتفاقية. تتوفر التفاصيل المطلوبة بموجب الملحق 1 وملحق 2 للبنود التعاقدية القياسية المعتمدة من المتحكم إلى المعالج في المملكة المتحدة في الملحق الأول والملحق الثاني لهذه الاتفاقية. في حال وجود أي تعارض أو عدم تناسق بين هذه الاتفاقية والبنود التعاقدية القياسية المعتمدة من المتحكم إلى المعالج في المملكة المتحدة، يجب أن ت
١٠. مراجعة الحسابات
10.1 تقرير التدقيق. سيتم تدقيق منصة الاتصالات الخاصة بنا بانتظام وفقًا لمعيار ISO 27001:2013 (أو ما يعادله). قد يكون التدقيق، وفقًا لتقديرنا الخاص، تدقيقًا داخليًا أو تدقيقًا يتم إجراؤه من قبل طرف ثالث. عند الطلب الخطي، سنزودك بملخص لتقرير التدقيق (“تقرير التدقيق”)، حتى تتمكن من التحقق من امتثالنا لمعايير التدقيق وهذه الاتفاقية. تُعتبر هذه تقارير التدقيق، وأي استنتاجات أو نتائج محددة فيها، معلوماتنا السرية.
10.2 طلبات معلومات العميل. سنوفر لك جميع المعلومات الضرورية بشكل معقول لإثبات الامتثال للالتزامات المنصوص عليها في هذه الاتفاقية. سنقدم ردودًا خطية على الطلبات المعقولة للحصول على المعلومات المقدمة من قبلك، بما في ذلك الردود على استبيانات الأمان والمراجعة التي تكون في نطاق معقول وضرورية لتأكيد الامتثال لهذه الاتفاقية، بشرط أنك (i) قد بذلت جهدًا معقولًا في البداية للحصول على المعلومات المطلوبة من التوثيق وتقارير التدقيق والمعلومات الأخرى المقدمة أو المعلنة من قبلنا، و(ii) لن تمارس هذا الحق أكثر من مرة في السنة، ما لم يكن خرق للبيانات الشخصية أو تغيير كبير في أنشطة المعالجة الخاصة بنا فيما يتعلق بالخدمات يتطلب إجراء استبيان إضافي. جميع الردود المقدمة هي معلوماتنا السرية.
10.3 تدقيق العميل. إذا وفرنا لك تقرير تدقيق يمنحك أسبابًا موثوقة للاعتقاد بأننا في خرق لالتزاماتنا بموجب هذه الاتفاقية، المتعلقة بالبيانات الشخصية للعميل المقدمة منك، سنسمح لمراجع حسابات مستقل ومؤهل يتم تعيينه من قبلك ويوافق عليه منا، بتدقيق أنشطة معالجة البيانات الشخصية المعنية، بشرط استيفاء المتطلبات التالية:
a. يجب عليك إعطاؤنا إشعارًا مسبقًا معقولًا لمدة ستين (60) يومًا على الأقل قبل ممارسة حق التدقيق؛
b. يوافق المراجع على التزامات السرية المتعارف عليها في السوق معنا؛
c. تتخذ أنت والمراجع خطوات لتقليل الاضطراب في عملياتنا التجارية؛
d. سيتم إجراء المراجعة خلال ساعات العمل العادية؛
e. لن نكون ملزمين بتوفير الوصول إلى بيانات العملاء لعملاء آخرين أو أنظمة غير معنية بتوفير الخدمات؛ و
f. يجب أن تدفع جميع تكاليف المراجعة.
11. حذف وإرجاع بيانات العميل الشخصية
عند إنهاء أو انتهاء الاتفاقية، سنقوم (بحسب اختيارك) بحذف أو إعادة جميع بيانات العملاء الشخصية الموجودة في حوزتنا أو تحت سيطرتنا إليك، باستثناء أن هذا الشرط لن ينطبق إلى الحد الذي نكون فيه ملزمين قانونيًا بالاحتفاظ ببعض أو كل بيانات العملاء الشخصية. إذا طلبت منا حذف بيانات العملاء الشخصية، فستتم حماية بيانات العملاء الشخصية المؤرشفة على أنظمة النسخ الاحتياطي الخاصة بنا من المزيد من المعالجة، وستُحذف عند انتهاء فترة الاحتفاظ المطلوبة.
12. اتصالات وحقوق العملاء التابعين
إن الدخول في هذه الاتفاقية لحماية البيانات (DPA) باسم ونيابة عن أحد فروع العميل كما هو موضح في القسم 1.2 يشكل اتفاقية DPA منفصلة بيننا وبين ذلك الفرع، وذلك وفقًا لما يلي:
12.1. الاتصال. يظل العميل الذي هو الطرف المتعاقد في الاتفاقية مسؤولاً عن تنسيق جميع الاتصالات معنا بموجب هذه الاتفاقية ويحق له صنع واستقبال أي اتصال يتعلق بهذه الاتفاقية نيابة عن فروعه.
12.2 حقوق فروع العميل. عندما يصبح فرع العميل طرفًا في اتفاقية DPA معنا، يكون له الحق في ممارسة الحقوق ومطالبة بالإنصاف بموجب هذه الاتفاقية إلى الحد المطلوب بموجب تشريعات حماية البيانات، وذلك وفقًا لما يلي:
(i) ما لم تتطلب تشريعات حماية البيانات من الفرع ممارسة حق أو طلب إنصاف بموجب هذه الاتفاقية ضد MessageBird مباشرة بنفسه، تتفق الأطراف على أن (i) العميل الوحيد الذي هو الطرف المتعاقد في الاتفاقية هو الذي يمارس أي حق من هذا القبيل أو يسعى لأي إنصاف من هذا القبيل نيابة عن فرع العميل، و(ii) يمارس العميل الذي هو الطرف المتعاقد في الاتفاقية هذه الحقوق بموجب هذه الاتفاقية وليس بشكل منفصل لكل فرع على حدة، بل بطريقة مجتمعة لنفسه وجميع فروعه مجتمعة.
(ii) تتفق الأطراف على أن العميل الذي هو الطرف المتعاقد في الاتفاقية، عند إجراء تدقيق في الموقع للإجراءات المتعلقة بحماية البيانات الشخصية للعميل كما هو موضح في القسم 10.3 من هذه الاتفاقية، يتخذ جميع التدابير المعقولة لتقليل أي تأثير علينا من خلال دمج، بقدر المستطاع بشكل معقول، عدة طلبات تدقيق تُنفذ نيابة عن نفسه وجميع فروعه في تدقيق واحد.
للتوضيح، الفرع العميل لا يصبح طرفًا متعاقدًا في الاتفاقية.
13. قانون خصوصية المستهلك في كاليفورنيا
نحن نقدم لك الالتزامات الإضافية التالية فيما يتعلق بمعالجة بيانات العملاء الشخصية ضمن نطاق CCPA.
13.1 التزاماتنا. سنلتزم بـ CCPA ونعامل جميع بيانات العملاء الشخصية التي تخضع لـ CCPA (“CCPA Personal Data”) وفقًا لأحكام CCPA. فيما يتعلق ببيانات CCPA الشخصية، نحن مزود خدمة بموجب CCPA. لن نقوم (أ) ببيع بيانات CCPA الشخصية؛ (ب) الاحتفاظ أو استخدام أو كشف أي بيانات CCPA شخصية لأي غرض آخر غير الغرض المحدد لتقديم الخدمات، بما في ذلك الاحتفاظ أو استخدام أو كشف بيانات CCPA الشخصية لغرض تجاري آخر غير تقديم الخدمات؛ أو (ج) الاحتفاظ أو استخدام أو كشف بيانات CCPA الشخصية خارج نطاق علاقتنا التجارية المباشرة معك. تعتبر معالجة بيانات CCPA الشخصية التي تتم بموجب توجيهاتك في الشروط وهذه الاتفاقية المتخصصة جزءًا أساسيًا من تقديمنا للخدمات. تقر وتوافق على أن وصولنا إلى بيانات العملاء لا يشكل جزءًا من المقابل المتبادل بموجب الاتفاقية. إلى الحد الذي تعتبر فيه أي بيانات استخدام بيانات شخصية لـ CCPA، نحن نعتبرها أصولًا وسنقوم بمعالجتها وفقًا لبيان الخصوصية الخاص بنا. وتحتفظ المصطلحات “أعمال”، “غرض تجاري”، “مزود خدمة”، و“بيع” كما هي مستخدمة في القسم 13.1 بالمعاني التي أعطاها إياها CCPA. وكلا الطرفين يؤكدان أنهما يفهمان ويلتزمان بالالتزامات والقيود الواردة في هذه الاتفاقية و CCPA كما هو مطلوب فيها.
13.2 التزامات العملاء. أنت تمثل وتضمن أنك قدمت إشعارًا للمستخدم النهائي بأن البيانات الشخصية يتم استخدامها أو مشاركتها وفقًا للشروط والأحكام المتوقعة في القسم 1798.140(t)(2)(C)(i) من CCPA. أنت مسؤول عن الامتثال لمتطلبات CCPA المطبقة عليك كمتحكم في البيانات.
١٤. القانون الحاكم وتسوية النزاعات
القسم 13 من الشروط يجب أن يطبق على أي نزاعات ناتجة عن أو متعلقة بهذا DPA، ما لم يكن هناك متطلبات أخرى من تشريعات حماية البيانات.
الملحق الأول - تفاصيل المعالجة
عند الاقتضاء، ستعمل هذه الجداول الزمنية كملحق I للبنود التعاقدية القياسية لمنطقة EEA.
الملحق I، الجزء أ. قائمة الأطراف
مُصدر البيانات: العميل
تفاصيل الاتصال بمُصدر البيانات: العنوان المدرج في حساب العميل، أو البريد الإلكتروني لصاحب حساب العميل، أو البريد الإلكتروني/البريد الإلكتروني التي يختار العميل تلقي الإشعارات بموجب الاتفاقية.
دور مُصدر البيانات: يتم تحديد دور مُصدر البيانات في القسم 4 من اتفاقية حماية البيانات (DPA).
التوقيع والتاريخ: إذا كان ذلك قابلاً للتطبيق، يُعتبر مُصدر البيانات قد وقع على البنود التعاقدية القياسية المدمجة هنا اعتباراً من تاريخ بدء نفاذ اتفاقية حماية البيانات (DPA).
مستورد البيانات: MessageBird B.V.
تفاصيل الاتصال بمستورد البيانات: Trompenburgstraat 2-C، 1079TX، أمستردام، هولندا، مسؤول حماية البيانات - privacy@bird.com
دور مستورد البيانات: يعمل مستورد البيانات كمعالج للبيانات.
التوقيع والتاريخ: إذا كان ذلك قابلاً للتطبيق، يُعتبر مستورد البيانات قد وقع على البنود التعاقدية القياسية المدمجة هنا اعتباراً من تاريخ بدء نفاذ اتفاقية حماية البيانات (DPA).
الملحق I، الجزء ب. وصف التحويل
1. فئات الأشخاص الذين يتم نقل بياناتهم الشخصية: المستخدمون. الأشخاص الذين هم جهات اتصال العميل (الأشخاص الطبيعيين) أو الموظفون أو المتعاقدون أو العاملون المؤقتون (الحاليون، المحتملون، السابقون) الذين يستخدمون الخدمات من خلال حساب العميل (“المستخدمون”);المستخدمون النهائيون. أي فرد (i) مدرج بيانات اتصاله في قوائم جهات اتصال العميل؛ (ii) معلوماته مخزنة أو مجمعة عبر الخدمات، أو (ii) الذي يرسل العميل إليه اتصالات أو يتفاعل مع أو يتصل عبر الخدمات (يُشار إليهم جميعاً كـ “المستخدمون النهائيون”). أنت، كالعميل، تحدد وحدك فئات الأشخاص الذين يتم تضمينهم في التواصل المرسل عبر منصة الاتصال الخاصة بنا.
2. فئات البيانات الشخصية المنقولة: البيانات الشخصية للعميل المتضمنة في، محتوى التواصل، بيانات المرور، بيانات المستخدم النهائي، وبيانات استخدام العميل.محتوى التواصل، الذي قد يشمل البيانات الشخصية أو الخصائص الشخصية الأخرى، حسبما يحدد العميل كمحتوى التواصل.بيانات المرور، التي قد تشمل البيانات الشخصية للعميل حول التوجيه، أو المدة، أو توقيت التواصل مثل المكالمة الصوتية أو البريد الإلكتروني، سواء كان ذلك يتعلق بفرد أو شركة.بيانات المستخدم النهائي، مثل رقم الهاتف، البريد الإلكتروني، الاسم الأول، الاسم الأخير، اسم الملف الشخصي، البلد، معرف القناة.بيانات استخدام العميل، قد تحتوي على بيانات يمكن ربطها بك كفرد متضمنة في البيانات الإحصائية والمعلومات المتعلقة بحسابك وأنشطة الخدمة، رؤى الخدمة المتعلقة وتحليلات حول التواصل المرسل ودعم العملاء.
3. البيانات الحساسة المحولة (إذا كان ذلك قابلاً للتطبيق) والقيود أو الضمانات المطبقة التي تأخذ بعين الاعتبار تمامًا طبيعة البيانات والمخاطر المتضمنة، مثل على سبيل المثال القيود الصارمة على الأغراض، قيود الوصول (بما في ذلك الوصول فقط للموظفين الذين تلقوا تدريبًا متخصصًا)، الاحتفاظ بسجل الوصول إلى البيانات، قيود النقل المستقبلي أو إجراءات الأمان الإضافية.
(أ) محتوى التواصل. قد تتم معالجة البيانات الحساسة، من وقت لآخر، عبر الخدمات حين تختار أنت أو مستخدموك النهائيون تضمين بيانات حساسة في الاتصالات التي يتم نقلها عبر الخدمات. تتحمل مسؤولية ضمان وجود الضمانات المناسبة قبل نقل أو معالجة، أو قبل السماح لمستخدميك النهائيين بنقل أو معالجة أي بيانات حساسة عبر الخدمات، وفقًا للمادة 3.2 من الاتفاقية.
(ب) بيانات المرور، بيانات المستخدم النهائي، وبيانات استخدام العميل. لا تحتوي بيانات المرور، بيانات المستخدم النهائي، أو بيانات استخدام العميل على بيانات حساسة.
4. تكرار النقل (على سبيل المثال، ما إذا كان يتم النقل بشكل فردي أو مستمر): يتم نقل البيانات الشخصية للعميل بشكل مستمر طوال مدة الاتفاقية.
5. طبيعة المعالجة: سنقوم بمعالجة البيانات الشخصية للعميل إلى الحد اللازم لتقديم الخدمات بموجب الاتفاقية. لا نقوم ببيع أي بيانات شخصية، بما في ذلك البيانات الشخصية للعميل، ولا نشارك البيانات الشخصية مع أطراف ثالثة مقابل تعويض أو لصالح تلك الأطراف الثالثة من مصالحهم التجارية.
6. الغرض من نقل البيانات والمعالجة الإضافية: سنقوم بمعالجة البيانات الشخصية للعميل كمعالج بيانات وفقًا لتعليمات العميل كما هو موضح في هذه اتفاقية حماية البيانات (DPA)، ما لم تكن المعالجة ضرورية للامتثال لتعهد قانوني نخضع له، وفي هذه الحالة سنعمل كمتجه بيانات.
محتوى التواصل، بيانات المرور, بيانات المستخدم النهائي، وبيانات استخدام العميل. تخضع البيانات الشخصية المتضمنة في محتوى التواصل، بيانات المرور، بيانات المستخدم النهائي، وبيانات استخدام العميل للأنشطة الأساسية التالية للمعالجة:
(أ) محتوى التواصل. تقديم منتجات وخدمات الاتصالات المبرمجة، المقدمة في شكل واجهات برمجة التطبيقات (APIs) أو عبر لوحة التحكم، إلى العميل، بما في ذلك النقل من أو إلى تطبيق العميل البرمجي عبر منصة الاتصال الخاصة بنا، وشبكات الاتصال الأخرى.
(ب) بيانات المرور. تتم معالجة بيانات المرور لغرض نقل الاتصالات عبر شبكة الاتصالات الإلكترونية أو للفوترة المتعلقة بتلك الاتصالات. قد يشمل ذلك البيانات الشخصية للعميل حول التوجيه، أو المدة، أو توقيت اتصال مثل المكالمة الصوتية أو رسالة النص أو البريد الإلكتروني، سواء كان يتعلق بفرد أو شركة.
(ج) بيانات المستخدم النهائي. البيانات الشخصية للمستخدمين النهائيين مطلوبة من أجل تقديم الخدمات ولن تتم معالجتها إلا لأغراض نقل الاتصالات ودعم العملاء وضمان الامتثال للالتزامات القانونية لـMessageBird.
(د) بيانات استخدام العميل. البيانات الشخصية المضمنة في بيانات استخدام العميل ستخضع لأنشطة المعالجة المتمثلة في توفير الخدمات بموجب الاتفاقية، بهدف تقديم رؤى حول الخدمات للعميل وتقارير تحليلية بشأن التواصل المرسل ودعم العملاء والتحسين المستمر للخدمات.
7. الفترة التي سيتم فيها الاحتفاظ بالبيانات الشخصية، أو، إذا لم يكن ذلك ممكنًا، المعايير المستخدمة لتحديد تلك الفترة:
(أ) محتوى التواصل وبيانات المرور. بالنسبة لمحتوى العملاء وبيانات المرور المتضمنة في خدمات الرسائل النصية والصوتية، يتم تطبيق فترة احتفاظ قدرها ستة أشهر؛
بالنسبة لخدمات 24sessions، يتم حفظ محتوى العملاء وبيانات المرور لمدة لا تقل عن 30 يومًا وحتى المدة المتفق عليها معك؛
لبقية الخدمات، يتم الاحتفاظ بمحتوى العملاء وبيانات المرور طوال مدة الخدمات، إلا إذا قمت بحذف محتوى العملاء أو بيانات المرور عبر التدابير التقنية والتنظيمية المقدمة لك عبر الخدمات.
(ب) بيانات المستخدم النهائي. ستتم معالجة بيانات المستخدم النهائي للفترة التي يحددها العميل، عند تضمين بيانات المستخدم النهائي في ملفات الاتصال الخاصة بك، وتكون فترة الاحتفاظ الافتراضية طوال مدة الخدمات، رهناً بالبند 6 (ج) من هذا الملحق I، الجزء ب.
(ج) بيانات استخدام العميل. عند انتهاء الاتفاقية، قد نحتفظ ونستخدم ونفصح عن بيانات استخدام العميل للأغراض الواردة في البند 6 (د) من هذا الملحق I، الجزء ب، تبعاً لالتزامات السرية الواردة في الاتفاقية. سنقوم بإخفاء الهوية أو حذف بيانات استخدام العميل عندما لم نعد بحاجة إليها للأغراض الواردة في البند 6 (د) من هذا الملحق I، الجزء ب.
8. بالنسبة للنقل إلى المعالجات (أو المعالجات الفرعية)، حدد أيضًا موضوع وطبيعة ومدة المعالجة: بالنسبة للنقل إلى المعالجات الفرعية، يتم توضيح موضوع وطبيعة المعالجة على https://www.bird.com/legal/privacy#processorList وتكون المدة طوال مدة الاتفاقية.
الملحق I، الجزء ج. السلطة الإشرافية المختصة
ستكون هيئة حماية البيانات الهولندية (Autoriteit Persoonsgegevens) هي السلطة الإشرافية المختصة.
الملحق الثاني من البنود التعاقدية المعيارية
حيثما كان ذلك مناسباً، ستعمل هذه الملحقية II كملحق II للبنود التعاقدية القياسية. يوفر ما يلي المزيد من المعلومات بخصوص إجراءاتنا الفنية والتنظيمية للأمان الموضحة أدناه.
التدابير الأمنية الفنية والتنظيمية:
تدابير لإغلاق الهوية والحماية لبيانات الشخصية في التخزين والنقل: يتم تشفير جميع البيانات الشخصية أثناء النقل وفي حالة السكون، وبالقدر اللازم من منظور الأمان، تُعامل كما لو كانت مصنفة على أنها بيانات حساسة. يتم دائماً نقل المعلومات عبر TLS باستخدام منهجيات تشفير محدثة بشكل افتراضي.
تدابير لضمان السرية المستمرة، السلامة، والتوافر ومرونة نظم المعالجة والخدمات: نحن ندخل في اتفاقيات تحتوي على أحكام السرية مع موظفينا، ومتعاقدينا، وموردينا، ومعالجي البيانات الفرعية. سياسة استمرارية أعمالنا تهدف إلى إعداد أعمالنا وخدماتنا في حالة حدوث انقطاعات طويلة ناتجة عن عوامل خارج سيطرتنا وإعادة الخدمات لأوسع نطاق ممكن في أقل إطار زمني ممكن. نحن نفهم أن الخدمات التي نقدمها هي مهمة جدًا لعملائنا ولهذا لدينا تسامح ضئيل جداً مع أي تعطيلات في الخدمة. تم تصميم جداولنا الزمنية للاستعادة لضمان قدرتنا على الوفاء بالتزاماتنا تجاه جميع عملائنا.
عمليات الاختبار المنتظمة، التقييم والتقدير لتحديد فعالية التدابير الفنية والتنظيمية لضمان أمان المعالجة: الهدف من أمان المعلومات ونظام إدارة أمن المعلومات لدينا (ISMS) هو حماية السرية والسلامة وتوافر المعلومات للمنظمة، الموظفين، الشركاء، العملاء والنظم المعلوماتية (المصرح بها)، وتقليل مخاطر وقوع أي أضرار من خلال منع الحوادث الأمنية وإدارة التهديدات الأمنية ونقاط الضعف. فريقنا القانوني، مسؤول حماية البيانات، وفريق الأمن والامتثال يتأكدون من إدخال الأنظمة واللوائح السارية في صيغ الأمان الخاصة بنا.
تدابير تحديد هوية المستخدمين والتفويض: نتبع مبادئ “الحاجة إلى المعرفة” و“الحد الأدنى من الامتيازات”. نشجع استخدام التحكم في الوصول على أساس الدور. يتم الإشراف على التوفير وإلغاء التوفير من قبل فريق الأمان، مع تسجيل دخول واحد ومصادقة ثنائية العوامل (2FA) بشكل افتراضي. تم تحديد أصحاب لكل أصل من الأصول المعلوماتية يكونون مسؤولين عن ضمان أن الوصول إلى نظمهم مناسب ويخضع للمراجعة بانتظام. عند التعامل مع المعلومات الحساسة أو اتخاذ إجراء حاسم، نستخدم مبدأ
