اتفاقية معالجة البيانات فبراير 2024
ينطبق اتفاق معالجة البيانات هذا عليك إذا قمت بالتسجيل في خدماتنا (بما في ذلك من خلال أي من الشركات التابعة لنا) قبل أو في أو بعد 1 فبراير 2024 الساعة 1 مساءً بتوقيت وسط أوروبا. يتوفر اتفاق معالجة البيانات المؤرشف لدينا هنا.
Documents
المحتويات
يشكل هذا الاتفاق على معالجة البيانات، بما في ذلك الملاحق، ("DPA") جزءًا من الاتفاقية بيننا وبين العميل لشراء خدمات الاتصال (عبر الإنترنت) منا ليعكس اتفاق الأطراف فيما يتعلق بمعالجة بيانات العميل الشخصية. في هذه الاتفاقية، تشير المصطلحات "أنت" و"لك" أو "العميل" إليك كعميلنا (وفقًا للقسم 1.2 أدناه)، وتشير المصطلحات "نحن" و"إيانا" أو "ملكنا" إلينا كمزود (كما هو معرف أدناه). المصطلحات الكبيرة المستخدمة في هذه الاتفاقية ولكن لم تُعرف أدناه تُعرف في الشروط والأحكام العامة الخاصة بنا أو أي اتفاقية أخرى معنا تحكم استخدامك للخدمات.
١.١ النطاق
تحكم هذه الاتفاقية معالجة البيانات الشخصية للعميل من قبلنا كمعالج.
1.2 فروع العملاء
يدخل العميل في هذا DPA نيابة عن نفسه، وبالقدر المطلوب بموجب قوانين حماية البيانات، بأسمائهم ونيابة عن فروعه (كما هو معرف في الشروط)، إذا وبالقدر الذي تقوم فيه بتزويد هذه الفروع بإمكانية الوصول إلى الخدمات ونقوم بمعالجة البيانات الشخصية للعميل التي تؤهل هذه الفروع كمسؤول عن البيانات ("فروع العميل"). لأغراض هذا DPA فقط، و باستثناء الحالات التي يشار فيها إلى غير ذلك، فإن مصطلحي "عميل" و "أنت" يشملان العميل وفروع العميل.
١.٣ الشروط
يظل هذا الملحق الخاص بمعالجة البيانات ساريًا طالما نقوم بمعالجة البيانات الشخصية للعميل الخاضعة لهذا الملحق، بغض النظر عن انتهاء أو إنهاء الاتفاقية.
٢. التعريفات
بيانات الحساب
"بيانات الحساب" هي أي بيانات شخصية تقدمها أنت أو نيابة عنك إلينا فيما يتعلق بالدخول في اتفاقية وإدارة حسابك، بما في ذلك، على سبيل المثال لا الحصر، معلومات الاتصال، تفاصيل الفواتير والمراسلات المتعلقة بالدخول في إدارة الاتفاقية والخدمات المرتبطة.
CCPA
"CCPA" تعني قانون خصوصية المستهلك في كاليفورنيا لعام 2018 وأي لوائح صادرة بموجبه، في كل حالة، كما تم تعديلها من وقت لآخر.
بيانات العميل
"بيانات العميل" تعني أي بيانات أو معلومات أو محتوى آخر يتم تقديمها بواسطتك أو نيابة عنك (أو بواسطة مستخدم لتطبيق العميل الخاص بك) بموجب الاتفاقية والتي يتم معالجتها أو تخزينها بواسطة الخدمات.
البيانات الشخصية للعميل
"البيانات الشخصية للعميل" تعني البيانات الشخصية التي تحتويها بيانات العميل والتي تتم معالجتها من قبلنا كمشغل بيانات، ما لم يحدد غير ذلك في هذه الاتفاقية.
قوانين حماية البيانات
"قوانين حماية البيانات" تعني جميع القوانين واللوائح في أي دولة تختص بالسرية، الخصوصية، الأمان، أو معالجة البيانات الشخصية بموجب الاتفاقية، بما في ذلك، على سبيل المثال وحيثما ينطبق، GDPR أو CCPA.
EEA
"EEA" تعني، لأغراض هذه الاتفاقية، المنطقة الاقتصادية الأوروبية وسويسرا.
GDPR
"GDPR" تعني إما (i) اللائحة (EU) 2016/679 للبرلمان الأوروبي ومجلس حماية الأفراد فيما يتعلق بمعالجة البيانات الشخصية والتحرك الحر لهذه البيانات (اللائحة العامة لحماية البيانات)؛ أو (ii) فيما يتعلق بالمملكة المتحدة فقط، قانون حماية البيانات لعام 2018.
البيانات الشخصية
"البيانات الشخصية" تعني أي معلومات تتعلق بشخص طبيعي مباشر أو غير مباشر أو يمكن تحديده بشكل مباشر أو غير مباشر، سواء بمفرده أو بالتعاون مع معلومات أخرى.
خرق البيانات الشخصية
"خرق البيانات الشخصية" تعني أي تدمير أو فقدان أو تعديل أو إفشاء أو وصول غير مصرح به إلى البيانات الشخصية للعميل وأي مصطلح مشابه آخر بموجب قوانين حماية البيانات السارية مثل "خرق الأمان".
الخدمات
"الخدمات" تعني جميع المنتجات والخدمات التي نقدمها نحن أو الشركات التابعة لنا التي (a) تطلبها أنت بموجب أي نموذج طلب؛ أو (b) تستخدمها أنت.
المزود
"المزود" يعني كيان التعاقد الخاص بنا الذي هو طرف في هذه الاتفاقية، وهو كيان التعاقد المذكور في القسم 15 في الشروط والأحكام العامة (كيان التعاقد)، ما لم يذكر غير ذلك في نموذج الطلب الخاص بك. يمكن أن تتم الإشارة إليك أو إلى المزود بشكل فردي كـ "طرف" وبشكل مشترك كـ "الأطراف" في هذه الاتفاقية.
البنود التعاقدية القياسية
"البنود التعاقدية القياسية" تعني وحدة التحكم إلى المشغل (الوحدة الثانية) أو المشغل إلى المشغل (الوحدة الثالثة)، حسب ما ينطبق، من البنود التعاقدية القياسية لنقل البيانات الشخصية إلى دول ثالثة وفقًا للائحة (EU) 2016/679 للبرلمان الأوروبي والمجلس والتي تمت الموافقة عليها بواسطة قرار تنفيذ المفوضية الأوروبية (EU) 2021/914 في 4 يونيو 2021، كما تم تعيين ذلك حاليًا على الموقع https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.
المعالجون الفرعيون
"المعالج الفرعي" يعني كيانًا ثالثًا يعالج البيانات الشخصية للعميل نيابة عن المزود حيث يعمل المزود كمشغل بيانات أو كمعالج فرعي.
البنود التعاقدية القياسية في المملكة المتحدة
"البنود التعاقدية القياسية في المملكة المتحدة" تعني أيًا من التالي أو جميعهم: (i) اتفاقية نقل البيانات الدولية الصادرة عن مفوض المعلومات في المملكة المتحدة بموجب القسم 119A لقانون حماية البيانات لعام 2018؛ (ii) الملحق الدولي لنقل البيانات إلى البنود التعاقدية القياسية للمفوضية الأوروبية لنقل البيانات الدولية الصادر عن مفوض المعلومات في المملكة المتحدة بموجب القسم 119A لقانون حماية البيانات لعام 2018؛ أو (iii) الأحكام التعاقدية القياسية التي قد يصدرها مفوض المعلومات في المملكة المتحدة أو المفوضية الأوروبية لتحل محل ذلك من وقت لآخر. يجب أن يكون للمصطلحات مثل "المعالجة"، "مراقب البيانات"، "معالج البيانات"، "موضوع البيانات"، إلخ، التعريف المعين لها بموجب GDPR. يشمل تعريف "مراقب البيانات" "الأعمال", "المستهلك", "التحكم", و "المنظمة"؛ ويشمل "معالج البيانات" "مزود الخدمة", "المعالج", و "الوسيط البياناتي"؛ ويشمل "موضوع البيانات" "المستهلك" و "الفرد"؛ وتشمل "البيانات الشخصية" "المعلومات الشخصية", في كل حالة كما هو معرف بموجب CCPA ، والقوانين الأخرى لحماية البيانات السارية. يكون للمصطلحات "الغرض التجاري", "الغرض التجاري", "البيع," و "المشاركة" نفس المعنى كما هو في قوانين حماية البيانات السارية وفي كل حالة يتم تفسير مصطلحاتها المشابهة وفقًا لذلك.
3. معالجة البيانات الشخصية للعميل
3.1 الأغراض
سنقوم بمعالجة البيانات الشخصية للعميل فقط إلى الحد الضروري (i) لتقديم الخدمات، بما في ذلك نقل الاتصالات، وضمان أمان الخدمات، وتقديم التقارير الفنية وتقارير التسليم، وتقديم الدعم وتطوير وتنفيذ التحسينات والتحديثات وفق تعليماتك الموثقة لنا كمعالج بيانات كما هو محدد في القسم 3.2 من اتفاقية معالجة البيانات هذه، (ii) لأغراضنا التجارية المشروعة كما هو محدد في القسم 3.4 من اتفاقية معالجة البيانات هذه كمراقب بيانات، و(iii) كما هو مطلوب بموجب القانون المعمول به.
3.2 تعليمات العميل
تشكل الاتفاقية وهذه الاتفاقية تعليماتك الكاملة لنا كمعالج بيانات في وقت توقيع اتفاقية معالجة البيانات هذه. سنلتزم بتعليمات أخرى موثقة بشكل معقول بشرط أن تكون تلك التعليمات متوافقة مع شروط الاتفاقية.
3.3 تفاصيل المعالجة
الملحق الأول، الجزء ب (وصف النقل) من الملحق الأول إلى اتفاقية معالجة البيانات هذه تحدد طبيعة وهدف المعالجة التي نقوم بها كمعالج بيانات أو معاون معالج، وأنشطة المعالجة، ومدة المعالجة، وأنواع البيانات الشخصية، وفئات المواضيع.
3.4 الأغراض التجارية المشروعة
تقر بأننا نعالج البيانات الشخصية للعميل كمراقب بيانات مستقل إلى الحد الضروري للأغراض التجارية المشروعة التالية: الفوترة، إدارة الحسابات، التقارير المالية والداخلية، مكافحة ومنع التهديدات الأمنية، الهجمات الإلكترونية، والجرائم الإلكترونية التي قد تؤثر عليك، علينا أو على خدماتنا، النمذجة التجارية (مثل التنبؤ والتخطيط للسعة والدخل، واستراتيجية المنتج)، منع واكتشاف الاحتيال، الرسائل غير المرغوب فيها، والإساءة، تحسين مجموعتنا من المنتجات والخدمات، والامتثال لالتزاماتنا القانونية.
٤. التزامات العميل
4.1 قانونية
حيثما تتصرف كمسؤول بيانات لبيانات العملاء الشخصية، فإنك تضمن أن جميع أنشطة المعالجة قانونية وذات غرض محدد، وأن جميع الإشعارات والموافقات المطلوبة أو أي أساس قانوني آخر مناسب موجود لتمكين النقل القانوني لبيانات العملاء الشخصية. إذا كنت معالج بيانات (حيث أننا سنتصرف كمعالج فرعي)، فسوف تضمن أن مسؤول البيانات المعني يضمن تحقيق الشروط المذكورة في هذا القسم 4.1.
4.2 الامتثال
أنت المسؤول الوحيد عن (أ) التأكد من الامتثال لقوانين حماية البيانات المطبقة على استخدامك للخدمات ومعالجتك الخاصة لبيانات العملاء الشخصية، (ب) إجراء تقييم مستقل ما إذا كانت التدابير الفنية والتنظيمية للخدمات تلبي متطلباتك، و(ج) تنفيذ والحفاظ على تدابير الخصوصية والأمان للمكونات التي توفرها أو تتحكم فيها (بما في ذلك على سبيل المثال لا الحصر كلمات المرور، والأجهزة المستخدمة مع الخدمات وتطبيقات العميل).
5. الأمان
5.1 تدابير الأمن
مع مراعاة الحالة الفنية، وتكاليف التنفيذ وطبيعة ونطاق وسياق وأغراض المعالجة بالإضافة إلى خطر التباين في الاحتمالية والشدة على حقوق وحريات الأشخاص الطبيعيين، سنقوم بتنفيذ والحفاظ على التدابير الأمنية التقنية والتنظيمية المناسبة لحماية البيانات الشخصية للعملاء من خروقات البيانات الشخصية وللحفاظ على أمن وسلامة وإتاحة ومرونة وسرية بيانات العملاء التي تستخدمها أنظمتنا لمعالجة البيانات الشخصية للعملاء. تم وصف التدابير الأمنية التي نطبقها في الملحق الثاني.
5.2 تحديثات التدابير الأمنية
أنت مسؤول عن مراجعة المعلومات المتاحة من قبلنا المتعلقة بأمان البيانات الشخصية للعملاء وإجراء تقييم مستقل لتحديد ما إذا كانت هذه المعلومات تلبي متطلباتك والالتزامات القانونية بموجب قوانين حماية البيانات. وأنت تقر بأن التدابير الأمنية تخضع للتقدم التقني والتطوير، وأنه يمكننا تحديث أو تعديل تدابيرنا الأمنية من وقت لآخر، شريطة ألا تؤدي هذه التحديثات والتعديلات إلى تدهور الأمان الإجمالي للبيانات الشخصية للعملاء.
5.3 ضوابط الوصول
نحن نطبق مبادئ "الحاجة إلى المعرفة" و"أقل امتياز" لضمان أن يوضع الوصول إلى البيانات الشخصية للعملاء محدودًا على الأفراد الضروريين لتوفير الخدمات ووفقًا للاتفاق، بما في ذلك هذا DPA.
5.4 سرية المعالجة
سنضمن أن أي شخص أو طرف معتمد من قبلنا لمعالجة البيانات الشخصية للعملاء (بما في ذلك موظفينا، ووكلائنا ومزودي الخدمات الثانوية) يطلع على الطبيعة السرية لهذه البيانات الشخصية للعملاء وسيكون تحت التزام مناسب بالسرية (سواء كان التزامًا تعاقديًا أو قانونيًا) الذي يستمر بعد انتهاء ارتباطهم.
5.5 استجابة وإخطار خرق البيانات الشخصية
عند علمنا بخرق البيانات الشخصية، سنقوم دون تأخير غير مبرر
(i) بإخطارك،
(ii) التحقيق في خرق البيانات الشخصية،
(iii) تقديم معلومات متعلقة بخرق البيانات الشخصية في الوقت المناسب حيث تصبح معروفة أو حسب ما تُطلب منك بشكل معقول، و (iv) اتخاذ خطوات تجارية معقولة للتخفيف من آثاره ومنع تكرار خرق البيانات الشخصية.
6. المساعدة
6.1 المساعدة في حماية البيانات
سوف نقدم لك المساعدة اللازمة بناءً على طلباتك المعقولة لتمكينك من الوفاء بالتزاماتك بموجب قوانين حماية البيانات، بما في ذلك إخطار خرق البيانات الشخصية، تقييم المستوى المناسب لأمان المعالجة، ومساعدتك في إجراء تقييم التأثير لحماية البيانات ذات الصلة.
6.2 المساعدة في حقوق مواضيع البيانات
سنقدم لك المساعدة المعقولة لتمكينك من الوفاء بالتزاماتك تجاه مواضيع البيانات الذين يمارسون حقوقهم بموجب قوانين حماية البيانات من خلال توفير الوسائل الفنية والتنظيمية عبر حسابك. لتجنب الشك، تقع على عاتقك كالمتحكم في البيانات مسؤولية معالجة أي طلب أو شكوى من مواضيع البيانات فيما يتعلق ببيانات العميل الشخصية لموضوع البيانات.
٧. الإفصاح وطلبات الإفصاح
7.1 قيود على الكشف والوصول
لن نوفر الوصول إلى أو نكشف عن البيانات الشخصية للعملاء إلا (i) وفقًا لتوجيهاتك، (ii) كما هو محدد في الاتفاقية وهذه الاتفاقية المتعلقة بحماية البيانات، أو (iii) كما هو مطلوب بموجب القانون.
7.2 طلبات الكشف
سوف نخطرك بأسرع ما يمكن بشكل معقول إذا تلقينا طلبًا من جهة حكومية أو تنظيمية للكشف عن البيانات الشخصية للعملاء، ما لم يكن يمنع مثل هذا الإشعار بموجب القانون. سنتعامل مع طلبات الكشف وفقًا لسياسة طلبات الكشف المتاحة على موقعنا الإلكتروني هنا.
8. المعالجون الفرعيون
8.1 قائمة المعالجات الفرعية الحالية
أنت توافق على تعيين المعالجات الفرعية فيما يتعلق بالخدمات، المدرجة في نظرة عامة على المعالجات الفرعية، والتي تحتوي أيضًا على إجراء للاشتراك في الإشعارات بالتغييرات في استخدامنا للمعالجات الفرعية. إذا اشتركت في مثل هذه الإشعارات، ومع الأخذ في الاعتبار القسم 8.3 من هذه الاتفاقية، سنقوم بمشاركة تفاصيل أي تغيير في المعالجات الفرعية في أقرب وقت ممكن.
8.2 تعيين المعالجات الفرعية
عن طريق هذه الاتفاقية، تقدم تفويضًا مكتوبًا عامًا لنا لتعيين المعالجات الفرعية لمعالجة بيانات العميل الشخصية، وذلك مع مراعاة القسم 8.3 من هذه الاتفاقية والمتطلبات التالية:
سنقوم بتقييد الوصول إلى بيانات العميل الشخصية بواسطة المعالجات الفرعية فقط لما هو ضروري تمامًا لتقديم الخدمات المحددة في اتفاقية المعالج الفرعي;
سنوافق على التزامات حماية البيانات مع المعالجات الفرعية التي تكون مماثلة بشكل كبير للالتزامات بموجب هذه الاتفاقية;
نحن نظل مسؤولين أمامك بموجب هذه الاتفاقية عن أداء التزامات حماية البيانات للمعالج الفرعي.
8.3 إشعار التغييرات في المعالجات الفرعية وحق الاعتراض
قبل استبدال أو تعيين معالجات فرعية جديدة (“تغيير المعالج الفرعي”)، سنمنحك الخيار للاعتراض على تغيير المعالج الفرعي. يمكنك الاعتراض على تغيير المعالج الفرعي بشرط أن (i) يُقدّم الاعتراض كتابةً في غضون عشرة (10) أيام عمل من إشعارنا بتغيير المعالج الفرعي و(ii) يستند الاعتراض بوضوح إلى أسباب معقولة تتعلق بحماية بيانات العميل الشخصية. عندما تعترض على تغيير معالج فرعي مقترح، سنتعاون معك بصدق لتحقيق تغيير معقول تجاريًا في تقديم الخدمات يتجنب استخدام المعالج الفرعي المعني. إذا لم يكن من الممكن بشكل معقول تحقيق هذا التغيير في غضون ثلاثين (30) يوم عمل من استلامنا لإشعار اعتراضك، أو إذا كان التغيير غير معقول تجاريًا بالنسبة لنا، يجوز لأي طرف إنهاء الميزات التطبيقية للخدمات التي لا يمكن تقديمها بدون استخدام المعالج الفرعي المعني. هذا الحق في الإنهاء هو الحل الوحيد والحصري لك إذا اعترضت على تغيير المعالج الفرعي.
9. التحويلات عبر الحدود للبيانات الشخصية للعملاء
9.1 تحويل البيانات الشخصية للعميل
يمكننا نقل البيانات الشخصية للعميل بشرط أن تكون جميع الضمانات المناسبة المطلوبة بموجب قوانين حماية البيانات موجودة. قد يشمل ذلك تقييم تأثير نقل البيانات السابق، واعتماد، ومراقبة وتقييم التدابير الفنية والتنظيمية والقانونية التكميلية، وحقوق موضوع البيانات القابلة للتنفيذ، وتوافر سبل الانتصاف القانونية الفعّالة لموضوعات البيانات.
9.2 البنود التعاقدية للمعالج الفرعي
ما لم ينطبق قرار الملاءمة أو آلية نقل بديلة، مثل إطار عمل الخصوصية بين الولايات المتحدة والاتحاد الأوروبي، فقد دخلنا وحافظنا على بنود تعاقدية معيارية مع المعالجين الفرعيين (بما في ذلك الشركات التابعة لدينا) الموجودة خارج المنطقة الاقتصادية الأوروبية، وفقًا للشروط المنصوص عليها في القسم 9.1 من هذا الترتيب الوصفي للبيانات.
9.3 آليات النقل لتحويل البيانات الشخصية للعملاء
إلى حد ما تتطلب استخدام الخدمات آلية نقل بيانات عبر الحدود لتصدير البيانات الشخصية للعملاء بشكل قانوني من ولاية قضائية (مثل المنطقة الاقتصادية الأوروبية، كاليفورنيا، سنغافورة، سويسرا، أو المملكة المتحدة) إلينا الموجودين خارج تلك الولاية القضائية، فسيطبق هذا القسم. إذا، في أداء الخدمات، تم نقل البيانات الشخصية العميل إلى كيان مقدم موجود في دول لا تضمن مستوى مناسبًا من حماية البيانات وفقًا لمعنى قوانين حماية البيانات، ستطبق آليات النقل المدرجة أدناه على مثل هذه التحويلات ويمكن إنفاذها مباشرة من قبل الأطراف إلى المدى تُخضع مثل هذه التحويلات لقوانين حماية البيانات.
9.3.1
يتفق الطرفان على أن البنود التعاقدية المعيارية ستطبق على البيانات الشخصية للعميل التي يتم نقلها عبر الخدمات من المنطقة الاقتصادية الأوروبية أو سويسرا، إما بشكل مباشر أو عبر نقل لاحق، إلى كيان مزود يقع في دولة خارج المنطقة الاقتصادية الأوروبية أو سويسرا التي لا يعترف بها من قبل المفوضية الأوروبية (أو، في حالة نقل من سويسرا، السلطة المختصة في سويسرا) على أنها توفر مستوى كافٍ من الحماية للبيانات الشخصية.
9.3.1.1
عندما تتصرف كمسؤول بيانات ونكون نحن معالج بيانات، ستطبق المعيار الثاني من البنود التعاقدية للمعالج-إلى-المعالج (الوحدة الثانية) لأي تحويل من هذا القبيل للبيانات الشخصية للعميل من المنطقة الاقتصادية الأوروبية. عندما تتصرف كمعالج بيانات ونكون نحن المعالج الفرعي، ستطبق المعيار الثالث من البنود التعاقدية للحاسوب-إلى-المعالج (الوحدة الثالثة) لأي تحويل من هذا القبيل للبيانات الشخصية للعميل من المنطقة الاقتصادية الأوروبية.
9.3.1.2
سنعتبر مستورد البيانات وستعتبر أنت مصدر البيانات بموجب البنود التعاقدية المعيارية. توقيع كل طرف على هذا الترتيب الوصفي للبيانات، سيتم معاملته كتوقيع على البنود التعاقدية المعيارية المعمول بها، التي ستعتبر مضمنة في هذا الترتيب الوصفي للبيانات. تفاصيل مطلوبة بموجب الملحق 1 والملحق 2 للبنود التعاقدية المعيارية متوفرة في الملحق الأول والملحق الثاني لهذا الترتيب الوصفي للبيانات. في حالة وجود أي تعارض أو عدم اتساق بين هذا الترتيب الوصفي للبيانات والبنود التعاقدية المعيارية، يجب أن تسود البنود التعاقدية المعيارية فقط فيما يتعلق بنقل البيانات الشخصية للعميل من المنطقة الاقتصادية الأوروبية.
9.3.1.3
حيث تتطلب البنود التعاقدية المعيارية أن يختار الأطراف بين البنود الاختيارية وملء المعلومات، فقد قام الأطراف بذلك على النحو الموضح أدناه:
i. لن يتم تبني البند الاختياري 7 "بند الرسو".
ii. بالنسبة للبند 9 "استخدام المعالجين الفرعيين"، يختار الأطراف الخيار التالي: "الخيار الثاني: الموافقة الكتابية العامة: يملك مستورد البيانات الموافقة العامة للمراقب لاستخدام المعالجين الفرعيين من قائمة متفق عليها. يجب على مستورد البيانات إعلام المراقب كتابيًا بأي تغييرات مقترحة على تلك القائمة من خلال إضافة أو استبدال المعالجين الفرعيين قبل 10 أيام عمل على الأقل، مما يعطي المراقب وقتًا كافيًا لتقديم اعتراض على مثل هذه التغييرات قبل توظيف المعالجين الفرعيين. يجب على مستورد البيانات تقديم المعلومات اللازمة للمصدر البيانات لتمكين مصدر البيانات من ممارسة حقه في الاعتراض. يجب على مستورد البيانات إعلام مصدر البيانات بتوظيف المعالجين الفرعيين."
iii. بالنسبة للبند 11 (a) "التعويض"، لا يتبنى الأطراف الخيار.
iv. بالنسبة للبند 17 "القانون المنظم"، يختار الأطراف الخيار التالي: "الخيار الأول: يحكم هذه البنود قانون أحد الدول الأعضاء في الاتحاد الأوروبي، بشرط أن يسمح هذا القانون بحقوق المستفيدين من الطرف الثالث. يتفق الأطراف على أن يكون ذلك القانون من هولندا."
v. بالنسبة للبند 18 (b) "اختيار المنتدى والاختصاص القضائي": "يتفق الأطراف على أن تكون تلك محاكم هولندا."
9.3.2
يتفق الطرفان على أن البنود التعاقدية المعيارية للمملكة المتحدة ستطبق على البيانات الشخصية للعملاء التي يتم نقلها عبر الخدمات من المملكة المتحدة، سواء بشكل مباشر أو عبر نقل لاحق، إلى كيان مزود يقع في دولة خارج المملكة المتحدة التي لا يعترف بها من قبل السلطة التنظيمية المختصة في المملكة المتحدة أو الجسم الحكومي للمملكة المتحدة على أنها توفر مستوى كافٍ من الحماية للبيانات الشخصية.
9.3.2.1
سنعتبر مستورد البيانات وستعتبر أنت مصدر البيانات بموجب البنود التعاقدية المعيارية للمملكة المتحدة. توقيع كل طرف على هذا الترتيب الوصفي للبيانات، سيعتبر كتوقيع على البنود التعاقدية المعيارية للمملكة المتحدة، التي ستعتبر مضمنة في هذا الترتيب الوصفي للبيانات. تفاصيل مطلوبة بموجب البنود التعاقدية المعيارية للمملكة المتحدة متوفرة في الملحق الأول والملحق الثاني لهذا الترتيب الوصفي للبيانات. في حالة وجود أي تعارض أو عدم اتساق بين هذا الترتيب الوصفي للبيانات والبنود التعاقدية المعيارية للمملكة المتحدة، يجب أن تسود البنود التعاقدية المعيارية للمملكة المتحدة فقط فيما يتعلق بنقل البيانات الشخصية للعميل من المملكة المتحدة.
١٠. مراجعة الحسابات
10.1 تقرير التدقيق
سوف يتم تدقيق منصتنا للاتصال بانتظام وفقًا لمعيار ISO 27001 (أو ما يعادله). قد يكون التدقيق، وفقًا لتقديرنا الخاص، تدقيقًا داخليًا، أو تدقيقًا يتم تنفيذه بواسطة طرف ثالث. عند الطلب الخطي، سنوفر لك ملخصًا عن تقرير التدقيق ("تقرير التدقيق")، حتى تتمكن من التحقق من امتثالنا لمعايير التدقيق وDPA هذا. تشكل تقارير التدقيق هذه، وكذلك أي نتائج أو خلاصة محددة فيها، معلومات سرية تخصنا.
10.2 طلبات معلومات العميل
سنوفر لك جميع المعلومات الضرورية بشكل معقول لإثبات الامتثال للالتزامات المنصوص عليها في هذا DPA. سنقدم ردودًا خطية على الطلبات المعقولة للحصول على المعلومات المقدمة منك، بما في ذلك الردود على استبيانات الأمان والمراجعة التي تكون معقولة النطاق وضرورية للتأكيد على الامتثال مع هذا DPA، بشرط أنك (i) قمت بمحاولة معقولة أولاً للحصول على المعلومات المطلوبة من الوثائق، تقارير التدقيق، والمعلومات الأخرى المقدمة أو المتاحة علنًا من قبلنا، و(ii) لن تمارس هذا الحق أكثر من مرة في السنة، ما لم تتطلب خرق البيانات الشخصية أو تغيير كبير في أنشطة المعالجة الخاصة بنا في ما يتعلق بالخدمات أن يتم تنفيذ استبيان إضافي. جميع الردود المقدمة هي معلومات سرية تخصنا.
10.3 تدقيق العميل
إذا قدمنا لك تقرير تدقيق يمنحك أسبابًا موثوقة للاعتقاد بأننا نخالف التزاماتنا بموجب هذا DPA، المتعلقة بـ البيانات الشخصية للعميل التي قدمتها، سنسمح لمحقق خارجي مؤهل ومستقل تعينه ويوافق عليه من قبلنا، لتدقيق الأنشطة المتعلق بالمعالجة الخاصة بالبيانات الشخصية المعمول بها، شريطة أنه إلى أقصى حد مسموح به بموجب القانون المعمول به، يتم استيفاء المتطلبات التالية:
a) يجب عليك إعطاؤنا إشعارًا مسبقًا معقولاً لا يقل عن ستين (60) يومًا قبل ممارسة حق التدقيق;
b) يوافق المدقق على الالتزامات السرية القياسية في السوق معنا;
c) أنت والمدقق تتخذان تدابير لتقليل تعطل أعمالنا;
d) سيتم إجراء التدقيق خلال ساعات العمل العادية;
e) لن نكون ملزمين بتوفير الوصول إلى بيانات عملاء آخرين أو أنظمة غير متورطة في توفير الخدمات;
f) وستدفع أنت جميع تكاليف التدقيق.
11. حذف وإرجاع بيانات العميل الشخصية
عند إنهاء أو انتهاء الاتفاقية، سنقوم (بحسب اختيارك) بحذف أو إعادة جميع بيانات العملاء الشخصية الموجودة في حوزتنا أو تحت سيطرتنا إليك، باستثناء أن هذا الشرط لن ينطبق إلى الحد الذي نكون فيه ملزمين قانونيًا بالاحتفاظ ببعض أو كل بيانات العملاء الشخصية. إذا طلبت منا حذف بيانات العملاء الشخصية، فستتم حماية بيانات العملاء الشخصية المؤرشفة على أنظمة النسخ الاحتياطي الخاصة بنا من المزيد من المعالجة، وستُحذف عند انتهاء فترة الاحتفاظ المطلوبة.
12. اتصالات وحقوق العملاء التابعين
يعتبر الانضمام إلى هذه الاتفاقية المكونة لبيانات العملاء (DPA) باسم ونيابة عن الشريك التابع للعميل كما هو موضح في القسم 1.2 اتفاقية DPA منفصلة بيننا وبين ذلك الشريك التابع للعميل، مع مراعاة ما يلي:
12.1. التواصل
يظل العميل الذي يكون الطرف المتعاقد في الاتفاقية مسؤولاً عن تنسيق جميع الاتصالات معنا بموجب هذه الاتفاقية المكونة لبيانات العملاء (DPA) وله الحق في إجراء واستلام أي اتصال يتعلق بهذه الاتفاقية نيابة عن الشركاء التابعين للعميل.
12.2 حقوق الشركاء التابعين للعميل
عندما يصبح شريك تابع للعميل طرفًا في الاتفاقية المكونة لبيانات العملاء (DPA) معنا، يكون له إلى الحد المطلوب بموجب قوانين حماية البيانات الحق في ممارسة الحقوق وطلب التعويضات بموجب هذه الاتفاقية، مع مراعاة ما يلي: (i) ما لم تطلب قوانين حماية البيانات من الشريك التابع للعميل ممارسة حق أو طلب تعويض تحت هذه الاتفاقية مباشرة بنفسه، يتفق الأطراف على أن
(i) يقوم فقط العميل الذي يكون الطرف المتعاقد في الاتفاقية بممارسة أي حق من هذا النوع أو طلب أي تعويض من هذا النوع نيابة عن الشريك التابع للعميل، و
(ii) يقوم العميل الذي يكون الطرف المتعاقد في الاتفاقية بممارسة أي حقوق من هذا النوع بموجب هذه الاتفاقية ليس بشكل منفصل لكل شريك تابع للعميل على حدة بل بطريقة مجمعة لنفسه ولجميع شركائه التابعين معًا. (ii) يتفق الأطراف على أن العميل الذي يكون الطرف المتعاقد في الاتفاقية، عندما يتم إجراء تدقيق ميداني للإجراءات ذات الصلة بحماية البيانات الشخصية للعميل نيابة عنه كما هو موضح في القسم 10.3 من هذه الاتفاقية، سيتخذ جميع التدابير المعقولة لتقليل أي تأثير علينا من خلال جمع، بقدر الإمكان بشكل معقول، عدة طلبات تدقيق يتم إجراؤها نيابة عن نفسه وعن جميع شركائه التابعين في تدقيق واحد.
لتوضيح الأمر، لا يصبح الشريك التابع للعميل طرفًا متعاقدًا في الاتفاقية.
13. قانون خصوصية المستهلك في كاليفورنيا
إلى الحد الذي ينطبق فيه، نقدم لك الالتزامات الإضافية التالية فيما يتعلق بمعالجة البيانات الشخصية للعملاء ضمن نطاق CCPA.
13.1 التزاماتنا بموجب قوانين حماية البيانات الأمريكية
للمصطلحات "الغرض التجاري"، "الغرض التجاري"، "المستهلك"، "البيع"، و"المشاركة" كما هو مستخدم في هذا القسم 13.1 المعاني الموضحة لها في CCPA. بقدر ما هو قابل للتطبيق، سنلتزم بـ CCPA ونتعامل مع جميع البيانات الشخصية للعملاء الخاضعة لـ CCPA والقوانين الأخرى لحماية البيانات الأمريكية («البيانات الشخصية الأمريكية») وفقًا لأحكام CCPA وقوانين حماية البيانات الأمريكية الأخرى. فيما يتعلق بالبيانات الشخصية الأمريكية، نحن مقدم خدمة بموجب CCPA ومعالج بيانات بموجب قوانين حماية البيانات الأمريكية الأخرى. لن نقوم ببيع البيانات الشخصية الأمريكية. لن نحتفظ بأي بيانات شخصية أمريكية أو نستخدمها أو نكشف عنها (i) لأي غرض غير الأغراض التجارية المحددة في الاتفاقية (بما في ذلك الاحتفاظ أو استخدام أو كشف البيانات الشخصية الأمريكية لغرض تجاري غير الغرض التجاري المحدد في الاتفاقية أو كما هو مسموح به خلاف ذلك من قبل CCPA أو القوانين المعمول بها)؛ أو (ii) خارج العلاقة التجارية المباشرة معك ومعنا.
13.2 التزامات العميل
أنت تقر وتضمن بأنك قد قدمت إشعارًا إلى المستخدم النهائي بأن البيانات الشخصية يتم استخدامها أو مشاركتها وفقًا لقوانين حماية البيانات المعمول بها. أنت مسؤول عن الامتثال لمتطلبات قوانين حماية البيانات إلى الحد الذي ينطبق عليك كمتعهد بيانات.
١٤. القانون الحاكم وتسوية النزاعات
أي نزاع أو مطالبة أو خلاف (“النزاعات”) تنشأ عن أو تتعلق باتفاقية حماية البيانات هذه يجب أن تخضع وتحكم وفقًا لقوانين هولندا. يوافق كل طرف على أن المحاكم المختصة في أمستردام سيكون لها الاختصاص الحصري لحل أي نزاعات تنشأ عن أو تتعلق بهذه الاتفاقية.
13.1 التزاماتنا بموجب قوانين حماية البيانات الأمريكية
المصطلحات “الغرض التجاري”، “الغرض التجاري”، “المستهلك”، “البيع”، و“المشاركة” كما تُستخدم في هذا البند 13.1 تحمل المعاني المحددة لها في قانون حماية خصوصية المستهلك في كاليفورنيا (CCPA). بقدر ما هو قابل للتطبيق، فإننا سنلتزم بالقانون CCPA ونعامل جميع بيانات العميل الشخصية الخاضعة للقانون CCPA وغيرها من القوانين الأمريكية لحماية البيانات (“البيانات الشخصية الأمريكية”) بحسب أحكام القانون CCPA وغيره من قوانين حماية البيانات الأمريكية. فيما يتعلق بالبيانات الشخصية الأمريكية، نحن مقدم خدمة بموجب القانون CCPA ومعالج بيانات بموجب قوانين حماية البيانات الأمريكية الأخرى. لن نقوم ببيع البيانات الشخصية الأمريكية. لن نحتفظ، نستخدم أو نفصح عن أي بيانات شخصية أمريكية (i) لأي غرض بخلاف الأغراض التجارية المحددة في الاتفاقية (بما في ذلك الاحتفاظ، استخدام أو الإفصاح عن البيانات الشخصية الأمريكية لأغراض تجارية بخلاف الغرض التجاري المحدد في الاتفاقية أو كما هو مسموح به بموجب القانون CCPA أو القوانين السارية الأخرى)؛ أو (ii) خارج العلاقة التجارية المباشرة بينك وبيننا.
الملحق الأول - تفاصيل المعالجة
حيثما ينطبق، سيعمل هذا الملحق الأول كملحق I للاتحاد الأوروبي النموذجي للشروط التعاقدية.
الملحق I، الجزء أ. قائمة الأطراف
المصطلحات "الغرض التجاري"، "الغرض التجاري"، "المستهلك"، "البيع"، و"المشاركة" المستخدمة في هذا القسم 13.1 لديها المعاني التي تم تقديمها لهم في CCPA. بقدر ما هو قابل للتطبيق، سنلتزم بـ CCPA ونعامل جميع البيانات الشخصية للعميل الخاضعة لـ CCPA وغيرها من قوانين حماية البيانات الأمريكية المعمول بها ("البيانات الشخصية الأمريكية") وفقًا لأحكام CCPA وغيرها من قوانين حماية البيانات الأمريكية. فيما يتعلق بالبيانات الشخصية الأمريكية، نحن مزود خدمة بموجب CCPA ومعالج بيانات بموجب قوانين حماية البيانات الأمريكية الأخرى. لن نقوم ببيع البيانات الشخصية الأمريكية. لن نحتفظ أو نستخدم أو نكشف أي بيانات شخصية أمريكية (i) لأي غرض آخر بخلاف الأغراض التجارية المحددة في الاتفاقية (بما في ذلك الاحتفاظ أو الاستخدام أو الكشف عن البيانات الشخصية الأمريكية لأغراض تجارية أخرى بخلاف الغرض التجاري المحدد في الاتفاقية أو كما هو مسموح به بخلاف ذلك من قبل CCPA أو القوانين المعمول بها)؛ أو (ii) خارج العلاقة التجارية المباشرة بينك وبيننا.
مصدِّر البيانات
العميل
تفاصيل الاتصال بمصدِّر البيانات
العنوان المدرج في حساب العميل، أو عنوان البريد الإلكتروني لمالك حساب العميل، أو إلى البريد الإلكتروني الذي يختاره العميل لتلقي الإشعارات بموجب الاتفاقية.
دور مصدِّر البيانات
دور مصدِّر البيانات موضح في القسم 4 من DPA.
التوقيع والتاريخ
إذا ومتى كان ذلك قابلاً للتطبيق، يعتبر مصدِّر البيانات قد وقع على الشروط التعاقدية الموحدة المدرجة هنا اعتبارًا من تاريخ سريان DPA.
مستورد البيانات
المزود
تفاصيل الاتصال بمستورد البيانات
مسؤول حماية البيانات - privacy@bird.com
دور مستورد البيانات
يعمل مستورد البيانات كمعالج بيانات.
التوقيع والتاريخ
إذا ومتى كان ذلك قابلاً للتطبيق، يعتبر مستورد البيانات قد وقع على الشروط التعاقدية الموحدة المدرجة هنا اعتبارًا من تاريخ سريان DPA.
الملحق I، الجزء ب. وصف النقل
1. فئات الأشخاص المعنيين بالبيانات الذين يتم نقل بياناتهم الشخصية.
المستخدمون. الأشخاص المعنيين بالاتصال (الأفراد الطبيعيين) أو الموظفين، أو المتعاقدين أو العمال المؤقتين (الحاليين، المحتملين، السابقين) للعملاء الذين يستخدمون الخدمات ("المستخدمون");
المستخدمون البالغون. أي فرد (i) تفاصيل اتصاله مدرجة في قائمة الاتصالات الخاصة بالعميل؛ (ii) معلوماته مخزنة أو مجمعة عبر الخدمات، أو (ii) الذي يرسل له العميل الاتصالات أو يتواصل أو يتفاعل معه عبر الخدمات (جماعيًا، "المستخدمون البالغون"). أنت كعميل تحدد وحدك فئات الأفراد المدرجة في التواصل المرسل عبر منصة الاتصال الخاصة بنا.
2. فئات البيانات الشخصية المنقولة
البيانات الشخصية للعميل الموجودة في المحتوى الاتصالي، بيانات الحركية، بيانات المستخدم البالغ، وبيانات الاستخدام للعميل.
محتوى التواصل، الذي قد يتضمن بيانات شخصية أو خصائص مخصصة أخرى، بناءً على محتوى الاتصال كما تحدده أنت كعميل.
بيانات الحركية، التي قد تتضمن بيانات شخصية للعميل حول توجيه، مدة أو توقيت التواصل مثل المكالمات الصوتية، الرسائل القصيرة أو البريد الإلكتروني، سواء كانت مرتبطة بفرد أو شركة.
بيانات المستخدم البالغ، مثل رقم الهاتف، عنوان البريد الإلكتروني، الاسم الأول، اسم العائلة، اسم الملف التعريفي، البلد، معرف القناة.
بيانات استخدام العميل، قد تحتوي على بيانات يمكن ربطها بك كفرد مدرج في البيانات الإحصائية والمعلومات المتعلقة بحسابك وأنشطة الخدمة، واستخبارات الخدمة ذات الصلة وتحليلات بشأن التواصل المرسل ودعم العملاء.
3. البيانات الحساسة المنقولة
البيانات الحساسة المنقولة (إذا كانت قابلة للتطبيق) والقيود أو الاحتياطات المطبقة التي تأخذ بعين الاعتبار طبيعة البيانات والمخاطر المرتبطة بها، مثل على سبيل المثال تحديد الغرض بدقة، قيود الوصول (بما في ذلك الوصول فقط للموظفين الذين خضعوا لتدريب متخصص)، الاحتفاظ بسجل للوصول إلى البيانات، قيود على التحويلات اللاحقة أو التدابير الأمنية الإضافية.
a) محتوى التواصل. قد تتم معالجة البيانات الحساسة من وقت لآخر عبر الخدمات حيث تختار أنت أو المستخدمون البالغون تضمين البيانات الحساسة في التواصل الذي يتم نقله باستخدام الخدمات. أنت مسؤول عن ضمان وجود الحمايات المناسبة قبل نقل أو معالجة، أو قبل السماح للمستخدمين البالغين بنقل أو معالجة أي بيانات حساسة عبر الخدمات، وفقًا للقسم 3.2 من الاتفاقية.
b) بيانات الحركية، بيانات المستخدم البالغ، وبيانات الاستخدام للعميل. لا توجد بيانات حساسة في بيانات الحركية، بيانات المستخدم البالغ، أو بيانات الاستخدام للعميل.
4. تكرار النقل
تكرار النقل (على سبيل المثال ما إذا كانت البيانات تُنقل مرة واحدة أو بشكل مستمر): يتم نقل البيانات الشخصية للعميل بشكل مستمر طوال مدة الاتفاقية.
5. طبيعة المعالجة
سنقوم بمعالجة البيانات الشخصية للعميل بالقدر اللازم لتقديم الخدمات بموجب الاتفاقية. نحن لا نبيع أي بيانات شخصية، بما في ذلك البيانات الشخصية للعميل، ولا نشارك البيانات الشخصية مع أطراف خارجية مقابل تعويض أو لمصالحهم التجارية الخاصة.
6. الغرض (الأغراض) من نقل البيانات والمعالجة الإضافية
سنقوم بمعالجة البيانات الشخصية للعميل كمعالج بيانات وفقًا لتعليمات العميل كما هو منصوص عليه في هذا DPA، ما لم تكن المعالجة ضرورية للامتثال لالتزام قانوني نحن مطالبون به، وفي هذه الحالة سنصنف كمتعقب للبيانات.
محتوى التواصل، بيانات الحركية، بيانات المستخدم البالغ، وبيانات الاستخدام للعميل. سيتم إخضاع البيانات الشخصية الموجودة في محتوى التواصل، بيانات الحركية، بيانات المستخدم البالغ، وبيانات الاستخدام للعميل للأنشطة الأساسية التالية للمعالجة:
a) محتوى التواصل. توفير منتجات وخدمات الاتصالات القابلة للبرمجة، المقدمة في شكل واجهات برمجة تطبيقات (APIs) أو عبر لوحة التحكم، للعميل، بما في ذلك النقل إلى أو من تطبيق البرنامج الخاص بالعميل إلى أو من منصة الاتصال الخاصة بنا، والشبكات الاتصالية الأخرى.
b) بيانات الحركية. تتم معالجة بيانات الحركية لغراض نقل التواصل عبر الشبكة الاتصالية الإلكترونية أو للفوترة فيما يتعلق بهذا التواصل. قد يتضمن هذا بيانات شخصية للعميل حول توجيه، مدة أو توقيت التواصل مثل المكالمات الصوتية، الرسائل القصيرة أو البريد الإلكتروني، سواء كانت متعلقة بفرد أو شركة.
c) بيانات المستخدم البالغ. تتطلب معالجة بيانات المستخدمين البالغين الشخصية لأداء الخدمات وستُعالج فقط لأغراض نقل التواصل، دعم العملاء، وضمان الامتثال لالتزاماتنا القانونية.
d) بيانات استخدام العميل. سيتم إخضاع البيانات الشخصية الواردة في بيانات استخدام العميل لأنشطة معالجة تقديم الخدمات بموجب الاتفاقية، بهدف تزويد العميل بأفكار الخدمة ذات الصلة وتقارير تحليلية حول التواصل المرسل، دعم العميل والتحسين المستمر للخدمات.
7. فترة الاحتفاظ بالبيانات الشخصية
المدة التي سيتم الاحتفاظ بها للبيانات الشخصية، أو إذا لم يكن ذلك ممكنًا، المعايير المستخدمة لتحديد تلك الفترة: محتوى التواصل وبيانات الحركية. لشركة SMS وخدمات الصوت فترة احتفاظ لمدة ستة أشهر; لخدمات الفيديو يتم الاحتفاظ بمحتوى التواصل وبيانات الحركية لمدة لا تقل عن 30 يومًا حتى المدة المتفق عليها معك; لخدمات البريد الإلكتروني يحتفظ بمحتوى التواصل وبيانات الحركية لمدة 72 ساعة; لجميع الخدمات الأخرى، يحتفظ بمحتوى التواصل وبيانات الحركية لمدة الخدمات، باستثناء إذا قمت بحذف محتوى التواصل أو بيانات الحركية عبر التدابير التقنية والتنظيمية المقدمة لكمن خلال الخدمات. بيانات المستخدم البالغ. يتم معالجة بيانات المستخدم البالغ للمدة المحددة بواسطة العميل، عند تضمين بيانات المستخدم البالغ في ملفات الاتصال الخاصة بك تكون فترة الاحتفاظ الافتراضية لمدة الخدمات، تخضع لقسم 6(c) من هذا الملحق I، الجزء B. بيانات استخدام العميل. عند إنهاء الاتفاقية، قد نحتفظ ونستخدم ونكشف بيانات استخدام العميل للأغراض المنصوص عليها في قسم 6(d) من هذا الملحق I، الجزء B، رهنا بالتزامات السرية المنصوص عليها في الاتفاقية. سنقوم بإخفاء الهوية أو حذف بيانات استخدام العميل عندما لا نعود بحاجة إليها للأغراض المنصوص عليها في قسم 6(d) من هذا الملحق I، الجزء B.
7. الاحتفاظ بالبيانات الشخصية
المدة التي سيتم الاحتفاظ بها للبيانات الشخصية، أو إذا لم يكن ذلك ممكنًا، المعايير المستخدمة لتحديد تلك الفترة:
محتوى التواصل وبيانات الحركية;
لشركة SMS وخدمات الصوت فترة احتفاظ لمدة ستة أشهر;
لخدمات الفيديو يتم الاحتفاظ بمحتوى التواصل وبيانات الحركية لمدة لا تقل عن 30 يومًا حتى المدة المتفق عليها معك;
لخدمات البريد الإلكتروني يحتفظ بمحتوى التواصل وبيانات الحركية لمدة 72 ساعة;
لجميع الخدمات الأخرى، يحتفظ بمحتوى التواصل وبيانات الحركية لمدة الخدمات، باستثناء إذا قمت بحذف محتوى التواصل أو بيانات الحركية عبر التدابير التقنية والتنظيمية المقدمة لك من خلال الخدمات.
سيتم معالجة بيانات المستخدم البالغ للمدة المحددة من قبل العميل، عند إدراج بيانات المستخدم البالغ في ملفات الاتصال الخاصة بك تكون فترة الاحتفاظ الافتراضية لمدة الخدمات، تخضع لقسم 6(c) من هذا الملحق I، الجزء B.
بيانات استخدام العميل: عند إنهاء الاتفاقية، قد نحتفظ ونستخدم ونكشف بيانات استخدام العميل للأغراض المنصوص عليها في قسم 6(d) من هذا الملحق I، الجزء B، رهناً بالتزامات السرية المنصوص عليها في الاتفاقية. سنقوم بإخفاء الهوية أو حذف بيانات استخدام العميل عندما لا نعود بحاجة إليها للأغراض المنصوص عليها في قسم 6(d) من هذا الملحق I، الجزء B.
8. لنقل (Sub-) المعالجات الفرعية
لنقل المعالجات الفرعية، حدد أيضًا موضوع ونوع ومدة المعالجة: لنقل المعالجات الفرعية، يتم تحديد موضوع ونوع المعالجة في نظرتنا العامة على المعالجات الفرعية ومدة الاتفاقية.
الملحق I، الجزء ج. السلطة الرقابية المختصة
سيكون المراقب المختص هو هيئة حماية البيانات الهولندية (Autoriteit Persoonsgegevens).
الملحق الثاني - التدابير الفنية والتنظيمية للأمن
عند الاقتضاء، ستعمل هذه الملحق الثاني كتذييل للملحق الثاني للبنود التعاقدية الموحدة. يوضح ما يلي مزيدًا من المعلومات حول تدابيرنا الأمنية التقنية والتنظيمية المبينة أدناه.
التدابير الأمنية التقنية والتنظيمية
تدابير التشفير والحماية لبيانات الشخصية في التخزين والنقل:
يتم تشفير جميع البيانات الشخصية أثناء النقل وأثناء التخزين، وبقدر ما هو ذو صلة من الناحية الأمنية، يتم التعامل معها كما لو كانت مصنفة على أنها بيانات حساسة. يتم دائمًا نقل المعلومات عبر TLS مع منهجيات تشفير محدثة كافتراضية.
تدابير لضمان السرية والتكامل وتوفر واستمرارية مرونة نظم المعالجة والخدمات:
نحن ندخل في اتفاقيات تحتوي على أحكام السرية مع موظفينا ومقاولينا وموردينا والمعالجات الثانوية. سياسة استمرارية أعمالنا هي إعداد أعمالنا وخدماتنا في حالة حدوث انقطاعات طويلة الأمد ناتجة عن عوامل خارجة عن إرادتنا واستعادة الخدمات إلى أقصى حد ممكن في إطار زمني قصير. نحن نفهم أن الخدمات التي نقدمها حاسمة لعمليات عملائنا وبالتالي لدينا تسامح قليل جداً مع انقطاعات الخدمة. تم تصميم أوقات استعادة الخدمة لضمان أننا نستطيع الوفاء بالتزاماتنا تجاه جميع عملائنا.
عمليات الاختبار والتقييم المنتظمة لفعالية التدابير التقنية والتنظيمية لضمان أمان المعالجة:
هدف أمن المعلومات ونظام إدارة أمن المعلومات (ISMS) الخاص بنا هو حماية سرية وسلامة وتوافر المعلومات للمنظمة والموظفين والشركاء والعملاء والأنظمة المعلوماتية (المصرح بها)، وتقليل مخاطر الأضرار من خلال منع الحوادث الأمنية وإدارة تهديدات الأمن ونقاط الضعف. يضمن فريقنا القانوني، ومسؤول حماية البيانات، وفريق الأمن أن اللوائح والمعايير المعمول بها يتم تضمينها في أطر الأمان الخاصة بنا.
تدابير التعرف على المستخدم والتفويض:
نتبع مبادئ "الحاجة إلى المعرفة" و"أقل الامتيازات". نروج لاستخدام التحكم في الوصول القائم على الأدوار. يتم الإشراف على التوفير والإلغاء من قبل فريق الأمن، مع Single-Sign-On و2FA كافتراضية. تم تعريف الملاك لكل مورد معلومات، الذين هم مسؤولون عن ضمان الوصول إلى أنظمتهم بشكل مناسب ويتم مراجعته بشكل منتظم. عندما نتعامل مع معلومات حساسة أو نقوم بإجراءات حاسمة، نستخدم مبدأ الأربعة أعين.
تدابير لضمان تسجيل الأحداث:
يتم تخزين سجلات التدقيق مركزيًا ومراقبتها بانتظام للأحداث الأمنية ويتم الحفاظ عليها بشكل آمن لتجنب خطر العبث. تفرض سياسة إدارة الحوادث خطة الاستجابة للحوادث وإجراءاتها. يتم اتباع هذه الإرشادات إذا وقع أي نوع من الحوادث الأمنية أو التقنية.
تدابير لضمان تكوين النظم، بما في ذلك التكوين الافتراضي:
نتبع عملية إدارة تغييرات متسقة لجميع التغييرات في بيئة إنتاج منصة الاتصالات كخدمة. لتوضيح الأمر أكثر، يجب أن تتم الموافقة على جميع طلبات التغيير (RFC) من قبل طرف معين وتنفيذها وفقًا لعملية التحكم في التغيير الرسمية. تضمن عملية التحكم أن التغييرات المقترحة يتم مراجعتها، وتفويضها، واختبارها، وتنفيذها، وإصدارها بطريقة منظمة؛ وأن حالة كل تغيير مقترح يتم مراقبتها. يتم اتباع الأساسيات التكوينية لضمان تكوين النظم بأمان من خلال اتباع أفضل الممارسات. أيضًا، داخل قسم الهندسة، يتم استخدام "رادار التكنولوجيا" لتحديد التقنيات (اللغات، أدوات المنصة، قواعد البيانات وأدوات إدارة البيانات) التي يمكن اعتمادها أو تحتاج إلى تجنبها أثناء التطوير.
تدابير للأمن المادي:
نحن نشجع بنشاط سياسة "العمل من أي مكان" بحيث يكون لموظفينا حرية العمل من أي مكان يريدونه. ومع ذلك، لا تزال لدينا مكاتبنا. ليس لدينا مناطق آمنة / مركز بيانات في مكاتبنا لأننا شركة قائمة بالكامل على السحابة. طوابق مكاتبنا محمية بعناصر تحكم الوصول الفيزيائي، وكاميرات المراقبة، وأمن مسؤول.
تدابير لحوكمة وإدارة تكنولوجيا المعلومات والأمن الداخلي:
نحتفظ ببرنامج أمان يعتمد على التقييم الاحتمالي، والذي يتضمن وسائل إدارية وتنظيمية وتقنية وفيزيائية مصممة لحماية الخدمات وبيانات العملاء من حيث السرية والسلامة وتوافرها. تم تكوين برنامج أمن المعلومات لدينا في طريقة نظامية ومنظمة بشكل جيد. بالإضافة إلى ذلك، يتم تطبيق المتطلبات القانونية والتنظيمية لضمان سرية وسلامة وتوافر المعلومات للمنظمة، الموظفين، الشركاء والعملاء. جميع هذه المواضيع يتم ترجمتها إلى سياسات أمن المعلومات والإجراءات والإرشادات التي نعتمدها. لدينا لجنة توجيه أمني مسؤولة عن المستوى التكتيكي لأمن المعلومات. يشمل ذلك تنسيق الأنشطة الأمنية المعلوماتية وترجمة الأنشطة الاستراتيجية إلى أنشطة تشغيلية لأمننا والمحافظة المستمرة على الامتثال التنظيمي. جميع الموظفين مسؤولون عن حماية أصول الشركة. جميع موظفينا يخضعون للفحص للتأكد من الخبرة والخبرة والنزاهة. يتم إعلام الموظفين عن الأمن وحماية البيانات في مرحلة التوديع، وكذلك من خلال التدريب المنتظم الخاص بالفريق، وعروض الشركة الشاملة حول أهمية حماية البيانات والامتثال الأمني. نحن معتمدون وفقًا لمعيار ISO 27001، المعايير العالمية المعترف بها لنظم إدارة أمن المعلومات (ISMS).
جميع مقدمي خدمات الاستضافة لدينا معتمدين وفقًا لمعيار ISO 27001.
نحن أيضًا مسجلون لدى السلطة الهولندية للمستهلكين والأسواق. وهذا يعني أننا دائمًا مسئولون وشفافون بشكل كامل مع عملائنا.
نحن عضو مشارك في جمعية Groupe Speciale Mobile Association (GSMA). تمثل GSMA مصالح مشغلي الهاتف المحمول في جميع أنحاء العالم.
نحن دائمًا مواكبون لجميع القوانين واللوائح المعمول بها، بما في ذلك اللائحة العامة لحماية البيانات (GDPR) وإطار حماية البيانات بين الاتحاد الأوروبي والولايات المتحدة.
التدابير الخاصة بالحصول على الشهادات/ضمان العمليات والمنتجات:
نخضع لمراجعات تطويعية صارمة وكذلك تدقيقات الحصول على الشهادات كجزء من امتثالنا لـ ISO/IEC 27001، وننفذ بانتظام اختبار لاختبار التطبيقات ونقاط الاختراق.
التدابير لضمان المساءلة:
ننفذ سياسات أمن المعلومات وحماية البيانات وفقًا للقوانين المعمول بها وننشر نظرة عامة على المعلومات ذات الصلة بنظام ISMS الخاص بنا (الرابط). عيننا مديرًا مخصصًا للأمن، ومسؤول أمن المعلومات، ومسؤول الامتثال، ومسؤول حماية البيانات، ونحتفظ بوثائق أنشطة المعالجة الخاصة بنا، بما في ذلك تسجيل والإبلاغ عن الحوادث الأمنية التي تشمل البيانات الشخصية عند الاقتضاء.
التدابير لضمان محو البيانات:
نضمن محو البيانات من خلال عملية حذف تلقائية داخل بيئتنا التواصلية والبنية التحتية. هذه العملية تضمن إزالة كافة البيانات التي لم تعد هناك حاجة إليها لتحقيق غرض معين من أنظمتنا بعد المعالجة.
