الملحق الخاص بحماية البيانات SparkPost
Documents
المحتويات
في سياق تقديم خدمة SparkPost لعملائنا، قد تقوم SparkPost بمعالجة البيانات الشخصية نيابة عن عميلنا حيث تخضع هذه البيانات الشخصية لقوانين حماية البيانات في الاتحاد الأوروبي مثل اللائحة العامة لحماية البيانات (GDPR). لهذا الغرض، نقدم ملحق حماية البيانات (DPA) كما هو موضح أدناه. لن يكون الملحق ملزمًا قانونيًا وفعالًا إلا إذا: (1) تم تنفيذه هنا; و(2) كنت أحد عملاء SparkPost في التاريخ الذي يتم فيه التنفيذ بالكامل. يرجى ملاحظة أنه نظرًا لوجود العديد من العملاء لدينا، فإننا غير قادرين على تغيير الملحق لأي عميل معين. ومع ذلك، إذا كان لديك أي أسئلة حول الملحق، يرجى الاتصال بنا على privacy@sparkpost.com.
تعريفات
“الفرع” يعني أي كيان يسيطر بشكل مباشر أو غير مباشر أو تسيطر عليه أو يقع تحت السيطرة المشتركة مع الكيان المعني. “السيطرة”، لأغراض هذا التعريف، تعني امتلاك أو السيطرة المباشرة أو غير المباشرة لأكثر من 50% من المصالح التصويتية للكيان المعني.
“الاتفاقية” تشير إلى شروط الاستخدام والأمر المتعلق، التي معاً تحكم تقديم واستخدام الخدمة.
“CCPA” يعني قانون خصوصية المستهلك في كاليفورنيا لعام 2018 وأي لوائح تصدر بموجبه، في كل حالة، كما يتم تعديلها من وقت لآخر.
“الشروط التعاقدية القياسية للمتحكم/المعالج” تعني وحدات “المتحكم إلى المعالج” (الوحدة 2) من الشروط التعاقدية القياسية لنقل البيانات الشخصية إلى دول ثالثة بموجب GDPR وقرار تنفيذ المفوضية الأوروبية (EU) 2021/914 بتاريخ 4 يونيو 2021.
“قوانين حماية البيانات” تعني جميع القوانين واللوائح في أي ولاية قضائية المعمول بها فيما يخص السرية والخصوصية والأمان أو معالجة البيانات الشخصية بموجب الاتفاقية، بما في ذلك، حيثما ينطبق، GDPR، والـ CCPA وجميع القوانين واللوائح الأخرى المتعلقة بالخصوصية أو التسويق المباشر أو حماية البيانات. “متحكم البيانات” يعني كياناً، وحده أو بالاشتراك مع الآخرين، يحدد أغراض ووسائل معالجة البيانات الشخصية.
“معالج البيانات” يعني كيانًا يقوم بمعالجة البيانات الشخصية نيابةً عن متحكم البيانات. “موضوع البيانات” يعني الفرد الذي تتعلق به البيانات الشخصية.
“طلب موضوع البيانات” يعني طلب موضوع البيانات لممارسة حقوق ذلك الشخص بموجب قوانين حماية البيانات فيما يخص بياناته الشخصية، بما في ذلك، دون حصر، الحق في الوصول أو التصحيح أو التعديل أو النقل أو الحصول على نسخة من، أو الاعتراض على معالجة، أو حظر، أو حذف، أو عدم المشاركة في بيع مثل هذه البيانات الشخصية. “EEA” يعني المنطقة الاقتصادية الأوروبية وسويسرا.
“GDPR” يعني إما (i) اللائحة 2016/679 للبرلمان الأوروبي والمجلس بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية والحركة الحرة لمثل هذه البيانات (اللائحة العامة لحماية البيانات)؛ أو (ii) فقط فيما يتعلق بالمملكة المتحدة، قانون حماية البيانات لعام 2018.
“البيانات الشخصية” تعني أي معلومات تحدد أو تتعلق أو تصف أو تكون قادرة بشكل معقول على الارتباط بشخص طبيعي معلوم أو قابل للتحديد أو أسرة.
“المعالجة” تعني أي عملية أو مجموعة من العمليات التي تتم على البيانات الشخصية أو على مجموعات من البيانات الشخصية، سواء بوسائل آلية أم لا، مثل الجمع أو التسجيل أو التنظيم أو الهيكلة أو التخزين أو التكيف أو التعديل أو الاسترجاع أو التشاور أو الاستخدام أو الإفشاء بالنقل أو النشر أو الإتاحة بطريقة أخرى، أو التوافق أو الجمع، أو التقييد أو المحو أو التدمير.
“الشروط التعاقدية القياسية للمعالج/المعالج المساعد” تعني وحدات “المعالج إلى المعالج” (الوحدة 3) من الشروط التعاقدية القياسية لنقل البيانات الشخصية إلى دول ثالثة بموجب GDPR وقرار تنفيذ المفوضية الأوروبية (EU) 2021/914 بتاريخ 4 يونيو 2021.
“المنظم” يعني سلطة حماية البيانات الأوروبية أو أي سلطة تنظيمية أو حكومية أو إشرافية أخرى تتمتع بسلطة على جزئين أو أكثر من (أ) توفير أو استقبال الخدمة؛ (ب) معالجة البيانات الشخصية فيما يتعلق بالخدمة؛ أو (ج) عمل أو موظفي SparkPost فيما يتعلق بالخدمة.
“الحادث الأمني” يعني أي تدمير أو فقدان أو تغيير عرضي أو غير مصرح به أو غير قانوني أو إفشاء أو وصول أو تشفير للبيانات الشخصية.
“الخدمة” تعني أي منتج أو خدمة مقدمة من SparkPost للعميل بموجب الاتفاقية.
“الشروط التعاقدية القياسية للمنطقة الاقتصادية الأوروبية” تعني إما (i) شروط المعالج/المعالج القياسية؛ أو (ii) شروط المعالج/المعالج المساعد القياسية، سواء بشكل فردي أو جماعي، كما ينطبق.
“المعالج المساعد” يعني الكيان الذي يقوم بمعالجة البيانات الشخصية نيابةً عن كيان يعمل كمعالج أو معالج مساعد.
“الشروط التعاقدية القياسية للمملكة المتحدة” تعني الشروط التعاقدية القياسية لنقل البيانات الشخصية إلى المعالجين المتواجدين في دول ثالثة بالشكل المحدد بواسطة قرار المفوضية الأوروبية 2010/87/الاتحاد الأوروبي، كما يجوز أن تعدل أو تعدل أو تستبدل من قبل المفوضية الأوروبية.
العلاقة مع الاتفاقية
يتفق الطرفان على أن هذه الاتفاقية الإضافية لمعالجة البيانات (DPA) ستحل محل أي اتفاقية إضافية لحماية البيانات أو اتفاقية مماثلة قد يكون الطرفان قد دخلا فيها سابقًا فيما يتعلق بالخدمات.
تنطبق هذه الاتفاقية الإضافية حيث تعالج SparkPost البيانات الشخصية التي تخضع لقوانين حماية البيانات أثناء تقديم الخدمة وفقًا للاتفاقية.
باستثناء التغييرات التي أجرتها هذه الاتفاقية الإضافية، تظل الاتفاقية دون تغيير وسارية بالكامل وفعالة. إذا كان هناك أي تعارض بين شروط هذه الاتفاقية الإضافية وشروط الاتفاقية، فإن هذه الاتفاقية الإضافية ستسود بالقدر الذي يتعارض فيه. في ظروف حيث تعتمد SparkPost على بنود تعاقدية موحدة للمنطقة الاقتصادية الأوروبية أو بنود تعاقدية موحدة للمملكة المتحدة (معًا، “البنود التعاقدية الموحدة”)، حسب الاقتضاء، لنقل البيانات الشخصية، فإن البنود التعاقدية الموحدة السارية ستسود في حالة تعارض مع هذه الاتفاقية الإضافية.
أي مطالبات تُرفع بموجب أو فيما يتعلق بهذه الاتفاقية الإضافية ستخضع للشروط والأحكام، بما في ذلك، على سبيل التوضيح لا الحصر، الاستثناءات والقيود الواردة في الاتفاقية. يتفق الطرفان على أنه لا تطبق أي قيود على المسؤولية الواردة في الاتفاقية بشأن مسؤولية أي طرف تجاه الجهات المعينة بموجب الأحكام الخاصة بالمستفيدين الثالثين للبنود التعاقدية الموحدة بقدر ما يحظر الحد من تلك المسؤولية بموجب قوانين حماية البيانات.
تخضع هذه الاتفاقية الإضافية وتفسر وفقًا لأحكام القانون والاختصاص القضائي المنصوص عليها في الاتفاقية، ما لم يقتضِ ذلك خلاف ذلك بموجب قوانين حماية البيانات السارية. تظل هذه الاتفاقية الإضافية سارية طالما تعالج SparkPost البيانات الشخصية، بصرف النظر عن انتهاء صلاحية الاتفاقية أو إنهائها. الأدوار ونطاق المعالجة.
دور الأطراف.
يعترف الطرفان ويوافقان على أنه، بين SparkPost والعميل: بالنسبة للبيانات الشخصية لأي فرد يصل و/أو يستخدم الخدمة من خلال حساب العميل (“المستخدمين”)، العميل هو المتحكم وSparkPost هو المُعالج للبيانات الشخصية للمستخدمين؛ وبالنسبة للبيانات الشخصية التي تخص أي فرد: (i) عنوان بريده الإلكتروني مدرج في قائمة المستلمين لدى العميل؛ (ii) المعلومات الخاصة به مخزنة أو مجمعة عبر الخدمة، أو (ii) مَن يرسل لهم المستخدمون البريد الإلكتروني أو يتفاعلون أو يتواصلون معهم عبر الخدمة (جميعاً، “المتلقيين”)، العميل هو المعالج وSparkPost هو المعالج الفرعي لبيانات المتلقيين الشخصية.
معالجة العملاء للبيانات الشخصية.
يوافق العميل على أنه سيلتزم بالتزاماته بموجب قوانين حماية البيانات السارية فيما يتعلق بمعالجة البيانات الشخصية فيما يتصل بالخدمة وفيما يتعلق بأي تعليمات معالجة موثقة يقدمها إلى SparkPost.
معالجة SparkPost للبيانات الشخصية. يُوجِّه العميل SparkPost لمعالجة البيانات الشخصية وفقًا للاتفاقية (بما في ذلك، على سبيل التوضيح لا الحصر، الوفاء بالتزاماته الأخرى وممارسة حقوقه بموجب الاتفاقية) والامتثال لتعليمات العميل الأخرى المعقولة (مثال: عبر البريد الإلكتروني) حيث تكون هذه التعليمات متسقة مع الاتفاقية. يتعين على SparkPost: (i) معالجة البيانات الشخصية فقط نيابة عن العميل ووفقاً لتعليمات قانونية موثقة من العميل وعليها معاملة البيانات الشخصية كمعلومات سرية تخضع لأحكام السرية في الاتفاقية؛ (ii) إخطار العميل كتابياً على الفور إذا، وفقًا لرأي SparkPost المعقول، تعتقد SparkPost أن أي تعليمات صادرة من العميل تنتهك قوانين حماية البيانات؛ (iii) الوفاء بالخدمة ومعالجة البيانات الشخصية وفقاً لقوانين حماية البيانات والاتفاقية؛ (iv) إخطار العميل فورًا بأي عدم امتثال لهذه الاتفاقية الإضافية. يتفق الطرفان على أن هذه الاتفاقية الإضافية والاتفاقية تحددان تعليمات العميل الكاملة والنهائية لـSparkPost فيما يتعلق بمعالجة البيانات الشخصية وأن أي معالجة خارج نطاق هذه التعليمات (إن وجدت) ستتطلب اتفاقًا كتابيًا مسبقًا بين العميل وSparkPost.
تفاصيل معالجة البيانات.
الموضوع: موضوع معالجة البيانات بموجب هذه الاتفاقية الإضافية هو البيانات الشخصية.المدة: بالنسبة لـSparkPost والعميل، مدة معالجة البيانات بموجب هذه الاتفاقية الإضافية هي حتى انتهاء الاتفاقية وفقًا لشروطها.
الغرض: الغرض من معالجة البيانات بموجب هذه الاتفاقية الإضافية هو تقديم الخدمة للعميل وأداء SparkPost وفقا للاتفاقية (بما في ذلك هذه الاتفاقية الإضافية) أو كما تم الاتفاق عليه بين الأطراف.
طبيعة المعالجة: توفر SparkPost خدمة توصيل البريد الإلكتروني والتحليلات والاستخبارات والخدمات ذات الصلة الأخرى، كما هو موضح في الاتفاقية.فئات موضوعات البيانات: المستخدمون والمتلقيون.
أنواع البيانات الشخصية:
العميل والمستخدمون: بيانات التعريف والاتصال (الاسم، العنوان، العنوان الوظيفي، تفاصيل الاتصال، اسم المستخدم)؛ المعلومات المالية (تفاصيل الحساب، معلومات الدفع)؛ تفاصيل التوظيف (صاحب العمل، العنوان الوظيفي، الموقع الجغرافي، مجال المسؤولية)؛
المتلقيون: بيانات التعريف والاتصال (الاسم، عنوان البريد الإلكتروني، وغيرها من البيانات الديموغرافية والتجزئة المقدمة من العميل)؛ المعلومات التقنية (عناوين IP، بيانات الاستخدام، بيانات الكوكيز، بيانات التصفح عبر الإنترنت، بيانات الموقع، بيانات المتصفح).
قانون خصوصية المستهلك في كاليفورنيا.
ستلتزم SparkPost بقانون خصوصية المستهلك في كاليفورنيا (CCPA) وتعامل جميع البيانات الشخصية الخاضعة لـCCPA (“CCPA Personal Data”) وفقاً لأحكام CCPA. فيما يتعلق بالبيانات الشخصية لـCCPA، فإن SparkPost هي مزود الخدمة بموجب CCPA. لن تقوم SparkPost (a) ببيع البيانات الشخصية لـCCPA؛ (b) الاحتفاظ أو استخدام أو الكشف عن أي بيانات شخصية لـCCPA لأي غرض آخر غير الغرض المحدد لتقديم الخدمات، بما في ذلك الاحتفاظ أو استخدام أو الكشف عن البيانات الشخصية لـCCPA لغرض تجاري غير تقديم الخدمات؛ أو (c) الاحتفاظ أو استخدام أو الكشف عن البيانات الشخصية لـCCPA خارج العلاقة التجارية المباشرة بين SparkPost والعميل. يقر الطرفان ويتفقان على أن معالجة البيانات الشخصية لـCCPA المخولة من قبل تعليمات العميل الموصوفة في الاتفاقية وهذه الاتفاقية الإضافية هي جزء لا يتجزأ وشامل من تقديم SparkPost للخدمات والعلاقة التجارية المباشرة بين الطرفين. يقر الطرفان ويوافقان على أن وصول SparkPost إلى بيانات العميل لا يشكل جزءًا من الاعتبار المتبادل بين الطرفين بشأن الاتفاقية. إلى الحد الذي تعتبر فيه أي بيانات استخدام بيانات شخصية لـCCPA، فإن SparkPost هي الجهة المالكة لذلك البيانات وستعالج تلك البيانات وفقًا لسياسة الخصوصية الخاصة بها، والتي يمكن العثور عليها في https://www.sparkpost.com/policies/privacy/. المصطلحات “عمل”، “غرض تجاري”، “مقدم الخدمة”، و
المعالجة الفرعية
المعالجون الفرعيون المفوضون. يوافق العميل على أن SparkPost قد تستخدم المعالجين الفرعيين لمعالجة بيانات العميل نيابة عن العميل. المعالجين الفرعيين الذين تم التعاقد معهم من قبل SparkPost والمفوضين من قبل العميل اعتبارًا من تاريخ السريان مذكورون في: https://www.sparkpost.com/policies/subprocessors. التزامات المعالج الفرعي. ستقوم SparkPost بـ: (i) الدخول في اتفاقية مكتوبة مع المعالج الفرعي تفرض شروط حماية البيانات التي تتطلب من المعالج الفرعي حماية بيانات العميل وفقًا للمعايير المطلوبة بموجب قوانين حماية البيانات؛ و (ii) تبقى مسؤولة عن الامتثال لالتزامات هذه الاتفاقية وعن أي أفعال أو إغفالات للمعالج الفرعي التي تتسبب في انتهاك SparkPost لأي من التزاماتها بموجب هذه الاتفاقية.
الإخطار. سوف تقوم SparkPost (i) بتوفير قائمة محدثة بالمعالجين الفرعيين الذين قامت بتعيينهم بناءً على طلب خطي من العميل؛ و (ii) إخطار العميل (ويكفي البريد الإلكتروني لهذا الغرض) إذا أضافت معالجًا فرعيًا قبل عشرة (10) أيام على الأقل من أي تغييرات من هذا القبيل.
الاعتراض. قد يكتب العميل اعتراضًا على تعيين SparkPost لمُعالج فرعي جديد خلال خمسة (5) أيام من هذا الإخطار، بشرط أن يكون هذا الاعتراض مبنيًا على أسباب معقولة تتعلق بحماية البيانات. في مثل هذه الحالة، سيناقش الطرفان هذه المخاوف بصدق بهدف تحقيق حل. إذا لم يتم تحقيق حل في غضون فترة زمنية معقولة، قد ينهي العميل الطلبات ذات الصلة فقط بالخدمة التي لا يمكن أن تقدمها SparkPost دون استخدام المعالج الفرعي الجديد المعترض عليه، من خلال تقديم إشعار خطي إلى SparkPost.
الأمن
سياسة الأمن.
مع مراعاة حالة الفن، وتكاليف التنفيذ وطبيعة ونطاق وسياق الفوائد ومعالجة المخاطر، وكذلك خطر تغير الاحتمال والشدة لحقوق وحريات الأشخاص الطبيعيين، سوف تقوم SparkPost بتطبيق والحفاظ على التدابير الأمنية الفنية والتنظيمية المناسبة لحماية البيانات الشخصية من الحوادث الأمنية والحفاظ على أمان ونزاهة وتوافر ومرونة وسرية البيانات الشخصية وأنظمة SparkPost المستخدمة لمعالجة البيانات الشخصية.
تحديثات تدابير الأمن.
العميل مسؤول عن مراجعة المعلومات المتاحة من قبل SparkPost المتعلقة بأمن البيانات واتخاذ قرار مستقل بشأن ما إذا كانت تلك المعلومات تلبي متطلبات العميل والتزاماته القانونية بموجب قوانين حماية البيانات. يقر العميل بأن سياسة الأمن خاضعة للتقدم والتطوير الفني وأن SparkPost قد تقوم بتحديث أو تعديل سياسة الأمن من وقت لآخر بشرط ألا تؤدي هذه التحديثات والتعديلات إلى انخفاض شامل في أمان الخدمة التي اشتراها العميل.
مسؤوليات العميل.
على الرغم مما سبق، يوافق العميل على أنه مسؤول عن تأمين بيانات المصادقة لحسابه في عهدته أو سيطرته وحماية أمان البيانات الشخصية أثناء نقلها إلى ومن الخدمة إلى المدى الذي تكون فيه تلك البيانات الشخصية في عهدة العميل أو سيطرته.
موظفو SparkPost.
سوف تضمن SparkPost أن موظفيها المشاركين في معالجة البيانات الشخصية على علم بالطبيعة السرية للبيانات الشخصية وقد تلقوا التدريب المناسب على مسؤولياتهم ووقعوا اتفاقيات سرية مكتوبة فيما يتعلق بالبيانات الشخصية تبقى سارية بعد إنهاء ارتباطهم بالوظيفة.
تقارير التدقيق والتدقيقات
تقرير التدقيق.
تخضع SparkPost بانتظام للتدقيق وفق ضوابط SOC 2 Type II (أو ما يعادلها) من قبل مدققين مستقلين من جهات خارجية. بناءً على الطلب، ستوفر SparkPost نسخة مختصرة من تقرير تدقيقها (“تقرير التدقيق”) للعميل، حتى يتمكن العميل من التحقق من امتثال SparkPost لمعايير التدقيق التي تم تقييمها ضدها، وDPA. تُعد تقارير التدقيق هذه، بالإضافة إلى أي استنتاجات أو نتائج محددة فيها، معلومات سرية لشركة SparkPost.
التدقيق.
ستوفر SparkPost للعميل جميع المعلومات الضرورية لإثبات الامتثال لالتزامات معالجي البيانات المنصوص عليها في المادة 28 من اللائحة العامة لحماية البيانات (“متطلبات المادة 28”). لهذا الغرض، ستقدم SparkPost ردودًا مكتوبة على جميع الطلبات المعقولة للحصول على المعلومات المقدمة من العميل، بما في ذلك الردود على استبيانات الأمن المعلوماتي والتدقيق الضرورية لتأكيد امتثال SparkPost لمتطلبات المادة 28، شريطة ألا يمارس العميل هذا الحق أكثر من مرة في السنة. تُعد تلك الردود معلومات سرية لشركة SparkPost. إذا لم تتمكن SparkPost من توفير جميع المعلومات اللازمة لإثبات الامتثال لمتطلبات المادة 28 من خلال الردود المكتوبة، فستسمح SparkPost بإجراء عمليات تدقيق والمساهمة فيها، بما في ذلك عمليات الفحص، التي يقوم بها العميل أو مدقق آخر يمثل العميل. جميع المعلومات التي يتم الحصول عليها من SparkPost خلال هذا التدقيق أو الفحص تُعد معلومات سرية لـ SparkPost.
التحويلات الدولية
مواقع المعالجة.
قد تقوم SparkPost بنقل ومعالجة بيانات العملاء في أي مكان في العالم حيث تحتفظ SparkPost أو الشركات التابعة لها أو المعالجات الفرعية بعمليات معالجة البيانات. ستوفر SparkPost دائمًا مستوى مناسبًا من الحماية لبيانات العملاء المعالجة، وفقًا لمتطلبات قوانين حماية البيانات.
البنود التعاقدية القياسية.
إلى الحد الذي تقوم فيه SparkPost بمعالجة أي بيانات شخصية بموجب الاتفاقية التي تتطلب آلية نقل لاحقة لنقل البيانات الشخصية بشكل قانوني من المنطقة الاقتصادية الأوروبية أو المملكة المتحدة ("المملكة المتحدة") إلى بلد أو إقليم آخر لم يتم تحديده كمقدم لمستوى ملائم من الحماية لحقوق وحريات موضوعات البيانات من قبل المفوضية الأوروبية (أو، بشكل خاص فيما يتعلق بالمملكة المتحدة، كما يمكن تحديده من قبل الهيئات التنظيمية في المملكة المتحدة) ("النقل المقيد")، يتفق الأطراف على ما يلي:
البنود التعاقدية القياسية للمنطقة الاقتصادية الأوروبية.
يتفق الأطراف على الامتثال للبنود التعاقدية القياسية للمنطقة الاقتصادية الأوروبية لأي نقل مقيد من المنطقة الاقتصادية الأوروبية ("نقل مقيد من المنطقة الاقتصادية الأوروبية"). عندما يكون العميل مراقبًا وSparkPost هي المعالج كما هو موضح بشكل أكثر في القسم 3.1، ستطبق البنود التعاقدية القياسية للمراقب/المعالج على أي نقل من هذا النوع للمنطقة الاقتصادية الأوروبية المقيدة. عندما يكون العميل معالجًا وSparkPost هي المعالجة الفرعية كما هو موضح بشكل أكثر في القسم 3.1، ستطبق البنود التعاقدية القياسية للمعالج/المعالجة الفرعية على أي نقل مقيد من هذا النوع للمنطقة الاقتصادية الأوروبية. ستُعتبر SparkPost كمستورد البيانات وسيُعتبر العميل كمصدر للبيانات بموجب البنود التعاقدية القياسية للمنطقة الاقتصادية الأوروبية. سيتم اعتبار توقيع كل طرف على هذه الاتفاقية كالتوقيع على البنود التعاقدية القياسية للمنطقة الاقتصادية الأوروبية المعمول بها، والتي سيتم اعتبارها مضمنة في هذه الاتفاقية. تتوافر التفاصيل المطلوبة بموجب الملحق 1 والملحق 2 للبنود التعاقدية القياسية للمنطقة الاقتصادية الأوروبية في الجدول 1 والجدول 2 لهذه الاتفاقية. في حالة حدوث أي تناقض أو عدم التناسق بين هذه الاتفاقية والبنود التعاقدية القياسية للمنطقة الاقتصادية الأوروبية، ستسود البنود التعاقدية القياسية للمنطقة الاقتصادية الأوروبية فقط فيما يتعلق بالنقل المقيد من المنطقة الاقتصادية الأوروبية. حيث تتطلب البنود التعاقدية القياسية للمنطقة الاقتصادية الأوروبية من الأطراف الاختيار بين البنود الاختيارية وتقديم المعلومات، فقد قام الطرفان بذلك كما هو موضح أدناه:
لن يتم تبني البنود الاختيارية البند 7 "بند الاتصال".
بالنسبة للبند 9 "استخدام المعالجات الفرعية"، يختار الطرفان الخيار التالي: "الخيار 2: الترخيص الكتابي العام: يتمتع مستورد البيانات بترخيص المراقب العام لاستخدام المعالج الفرعي(المعالجون الفرعيون) من قائمة متفق عليها. سيقوم مستورد البيانات بإبلاغ المراقب كتابيًا بأي تغييرات مقترحة لتلك القائمة من خلال إضافة أو استبدال المعالجات الفرعية قبل 30 يومًا على الأقل، ما يوفر للمراقب الوقت الكافي للاعتراض على هذه التغييرات قبل الانخراط بالمعالجين الفرعيين. سيوفر مستورد البيانات للمراقب المعلومات اللازمة لتمكين المراقب من ممارسة حقه في الاعتراض. سيقوم مستورد البيانات بإبلاغ مصدّر البيانات بشأن انخراط المعالجين الفرعيين.
"بالنسبة للبند 11 (أ) "الاعتراض"، لا يتبنى الأطراف الخيار.
بالنسبة للبند 17 "القانون الحاكم"، تختار الأطراف الخيار التالي: "الخيار 1. سيتم حكم هذه البنود بقانون إحدى دول أعضاء الاتحاد الأوروبي، شريطة أن يسمح هذا القانون بحقوق المستفيدين الطرف الثالث. اتفق الأطراف على أن يكون هذا القانون هولندا.
"بالنسبة للبند 18 (ب) "اختيار المنتدى والاختصاص القانوني": "اتفق الأطراف على أن تكون تلك محاكم هولندا.
"البنود التعاقدية القياسية للمملكة المتحدة. يتفق الأطراف على الامتثال للبنود التعاقدية القياسية للمملكة المتحدة لأي نقل مقيد من المملكة المتحدة ("نقل مقيد من المملكة المتحدة"). ستُعتبر SparkPost كمستورد البيانات وسيُعتبر العميل كمصدر بيانات بموجب البنود التعاقدية القياسية للمملكة المتحدة. سيتم اعتبار توقيع كل طرف على هذه الاتفاقية كالتوقيع على البنود التعاقدية القياسية للمملكة المتحدة، التي سيتم اعتبارها مضمنة في هذه الاتفاقية. تتوافر التفاصيل المطلوبة بموجب الملحق 1 والملحق 2 للبنود التعاقدية القياسية للمملكة المتحدة في الجدول 1 والجدول 2 لهذه الاتفاقية. في حالة حدوث أي تضارب أو عدم التناسق بين هذه الاتفاقية والبنود التعاقدية القياسية للمملكة المتحدة، ستسود البنود التعاقدية القياسية للمملكة المتحدة فقط فيما يتعلق بالنقل المقيد من المملكة المتحدة.
التعاون.
إذا كانت SparkPost غير قادرة على الامتثال لهذا الشرط أو إذا لم تعترف السلطات أو المحاكم المعنية بالبنود التعاقدية القياسية للمنطقة الاقتصادية الأوروبية أو البنود التعاقدية القياسية للمملكة المتحدة، على النحو المعمول به، كمقدمة لمستوى مناسب من الحماية، ستقوم SparkPost بإبلاغ العميل والتعاون بشكل معقول مع العميل لضمان أن أي معالجة للبيانات الشخصية تتوافق مع قوانين حماية البيانات وأي قيود نقل تنبثق عنها، بما في ذلك من خلال تحقيق الشهادات البديلة، بما هو ملائم وضروري.
آلية النقل البديلة.
تتفق الأطراف على أن حل تصدير البيانات المحدد في القسم 7.2 (البنود التعاقدية القياسية) لن ينطبق إذا وإلى الحد الذي تتبنى فيه أو تحتفظ SparkPost بتطبيق حل بديل لتصدير البيانات من أجل النقل القانوني للبيانات الشخصية (كما هو معترف به بموجب قوانين حماية البيانات) خارج المنطقة الاقتصادية الأوروبية و/أو المملكة المتحدة، والذي تمت الموافقة عليه من قبل العميل كتابيًا قبل أي نقل أو معالجة أخرى للبيانات الشخصية ("آلية النقل البديلة")، والتي ستنطبق في هذا الحد (ولكن فقط إلى الحد الذي يمتد فيه آلية النقل البديلة إلى الأقاليم التي يتم نقل البيانات الشخصية إليها).
الأمان الإضافي
سرية المعالجة.
ستضمن SparkPost أن أي شخص مصرح له من قبل SparkPost بمعالجة البيانات الشخصية (بما في ذلك موظفيها ووكلائها والمقاولين الفرعيين) سيكون تحت التزام مناسب بالسرية (سواء كان التزامًا تعاقديًا أو قانونيًا).
الاستجابة للحوادث الأمنية والإبلاغ عنها.
عند العلم بحادث أمني، ستقوم SparkPost بإخطار العميل دون تأخير غير مبرر وستقدم معلومات في الوقت المناسب تتعلق بالحادث الأمني عندما تصبح معروفة أو حسب ما يُطلب بشكل معقول من قبل العميل.
إرجاع أو حذف البيانات
عند إنهاء أو انتهاء الاتفاقية، ستقوم SparkPost بحذف أو إعادة (بناءً على اختيار العميل) جميع البيانات الشخصية (بما في ذلك النسخ) إلى العميل في حوزته أو تحت سيطرته، مع الأخذ في الاعتبار أن هذا المتطلب لن ينطبق إلى الحد الذي تُلزم فيه SparkPost بموجب القانون الساري بالاحتفاظ ببعض أو كل البيانات الشخصية، أو على البيانات الشخصية التي أرشفتها في أنظمة النسخ الاحتياطي، والتي ستقوم SparkPost بعزلها وحمايتها بأمان من أي معالجة أخرى، إلا إلى الحد الذي يطلبه القانون الساري. التعاون.
التعويض.
يتفق الطرفان على الدفاع وتعويض الطرف الآخر (بما في ذلك مديريه وموظفيه ووكلائه) من وضد أي مطالبة من طرف ثالث (بما في ذلك من السلطات الحكومية والمستلمين) والرسوم والنفقات المتعلقة (بما في ذلك أتعاب المحاماة المعقولة) الناجمة عن خرق فعلي أو مزعوم لهذه الاتفاقية الإضافية لحماية البيانات (DPA).
طلبات موضوع البيانات.
تقدم الخدمة للعميل عددًا من الضوابط التي يمكن للعميل استخدامها لاسترداد أو تصحيح أو حذف أو تقييد بيانات العميل، والتي يمكن للعميل استخدامها لمساعدته في إطار التزاماته بموجب قوانين حماية البيانات بما في ذلك، على سبيل المثال، التزاماته المتعلقة بالاستجابة لطلبات موضوع البيانات. إلى الحد الذي لا يمكن للعميل من الوصول بشكل مستقل إلى بيانات العميل ذات الصلة داخل الخدمة، ستوفر SparkPost التعاون اللازم لمساعدة العميل في الاستجابة بشكل مناسب وفي الوقت المناسب لأي طلب موضوع البيانات يتعلق بمعالجة البيانات الشخصية بموجب الاتفاقية ضمن أي مواعيد نهائية تفرضها قوانين حماية البيانات. في حال تم تقديم أي طلب مباشر إلى SparkPost، يجب على SparkPost إخطار العميل كتابيًا بذلك الطلب فور استلامه.
سجلات المعالجة.
عند الطلب من العميل، ستوفر SparkPost في الوقت المناسب المعلومات المطلوبة من قبل العميل لإظهار امتثال SparkPost لالتزاماتها بموجب قوانين حماية البيانات وضمن هذه الاتفاقية الإضافية لحماية البيانات (DPA).
طلبات الحكومة.
إذا أرسلت وكالة إنفاذ القانون طلبًا إلى SparkPost للحصول على البيانات الشخصية (على سبيل المثال، من خلال مذكرة استدعاء أو أمر محكمة)، فسوف تحاول SparkPost إعادة توجيه وكالة إنفاذ القانون لطلب هذه البيانات مباشرة من العميل. كجزء من هذا الجهد، قد توفر SparkPost معلومات الاتصال الأساسية للعميل إلى وكالة إنفاذ القانون. إذا أُجبرت على الكشف عن بيانات العميل إلى وكالة إنفاذ القانون، فستقوم SparkPost بإعطاء العميل إشعارًا معقولًا للطلب للسماح للعميل بالسعي للحصول على أمر حماية أو علاج مناسب آخر إلا إذا كانت SparkPost محظورة قانونيًا من القيام بذلك.
تقييمات تأثير حماية البيانات.
إلى الحد الذي تُطلب فيه SparkPost بموجب قوانين حماية البيانات السارية، ستوفر SparkPost المعلومات المطلوبة بشكل معقول فيما يتعلق بالخدمة لتمكين العميل من إجراء تقييمات تأثير حماية البيانات أو مشاورات مسبقة مع سلطات حماية البيانات كما يقتضي القانون أو بموجب المادتين 35 و36 أو اللائحة العامة لحماية البيانات (GDPR).
***
الجدول 1
الملحق الأول لبنود العقد القياسية للمنطقة الاقتصادية الأوروبية (EEA)
عند الاقتضاء، سيكون هذا الجدول 1 بمثابة الملحق الأول لبنود العقد القياسية للمنطقة الاقتصادية الأوروبية (EEA).
الملحق 1، الجزء أ: قائمة الأطراف
مصدر البيانات: العميل
تفاصيل الاتصال بمصدر البيانات: العنوان المذكور في خانة توقيع العميل أعلاه، أو عنوان البريد الإلكتروني لمالك حساب العميل، أو عنوان/عناوين البريد الإلكتروني الذي يختاره العميل لتلقي الإشعارات بموجب الاتفاقية.
دور مصدر البيانات: دور مصدر البيانات مفصل في القسم 3 من اتفاقية حماية البيانات (DPA).
التوقيع والتاريخ: يعتبر مصدر البيانات قد وقع على بنود العقد القياسية للمنطقة الاقتصادية الأوروبية المدرجة هنا اعتبارًا من تاريخ سريان اتفاقية حماية البيانات (DPA).
مستورد البيانات: شركة Message Systems, Inc. (تحت علامتها التجارية SparkPost)
تفاصيل الاتصال بمستورد البيانات: مسؤول حماية البيانات الخاص بـ SparkPost – privacy@sparkpost.com
دور مستورد البيانات: دور مستورد البيانات مفصل في القسم 3 من اتفاقية حماية البيانات (DPA).
التوقيع والتاريخ: يعتبر مستورد البيانات قد وقع على بنود العقد القياسية للمنطقة الاقتصادية الأوروبية المدرجة هنا اعتبارًا من تاريخ سريان اتفاقية حماية البيانات (DPA).
الملحق 1، الجزء ب: وصف التحويل
توصيف فئات مواضيع البيانات التي تم نقل بياناتها الشخصية كما هو موضح في القسم 3.4 من اتفاقية حماية البيانات (DPA). توصيف فئات البيانات الشخصية المنقولة كما هو موضح في القسم 3.4 من اتفاقية حماية البيانات (DPA). البيانات الحساسة المنقولة (إن وجدت) والقيود أو الضمانات المطبقة التي تأخذ في الاعتبار بشكل كامل طبيعة البيانات والمخاطر المتضمنة، مثل على سبيل المثال تحديد الغرض الصارم، قيود الوصول (بما في ذلك الوصول فقط للموظفين الذين تعقبهم تدريب متخصص)، حفظ سجل الوصول إلى البيانات، قيود للتحويلات اللاحقة أو تدابير أمان إضافية:
لا شيء. تكرار التحويل (على سبيل المثال، ما إذا كانت البيانات تُنقل مرة واحدة أو على أساس مستمر): تُنقل البيانات على أساس مستمر طوال مدة الاتفاقية.
طبيعة المعالجة موصوفة في القسم 3.4 من اتفاقية حماية البيانات (DPA). الغرض من نقل البيانات والمعالجة الإضافية موصوف في القسم 3.4 من اتفاقية حماية البيانات (DPA).
الفترة التي ستُحتفظ فيها البيانات الشخصية، أو إذا لم يكن ذلك ممكنًا، المعايير المستخدمة لتحديد تلك الفترة:
طوال مدة الاتفاقية أو لفترة أطول كما يقتضيها القانون المعمول به وكما تسمح به الاتفاقية.
لنقل البيانات إلى المعالجات الفرعية، حدد أيضًا موضوع التحويل، الطبيعة والمدة للمعالجة:
لنقل البيانات إلى المعالجات الفرعية، موضوع وطبيعة المعالجة موضحان في https://www.sparkpost.com/policies/subprocessors/ وتكون المدة لطوال مدة الاتفاقية.
الملحق 1، الجزء ج: السلطة الإشرافية المختصة
ستكون السلطة الهولندية لحماية البيانات (Autoriteit Persoonsgegevens) هي السلطة الإشرافية المختصة.
***
الجدول 2 الملحق الثاني للشروط التعاقدية القياسية للمنطقة الاقتصادية الأوروبية
عند الاقتضاء، ستعمل هذه الجدول 2 كمرفق II للبنود التعاقدية القياسية. توفر الفقرات التالية مزيدًا من المعلومات حول التدابير الفنية والتنظيمية لأمان SparkPost الموضحة أدناه.
لمزيد من المعلومات حول التدابير الفنية والتنظيمية لأمان SparkPost لحماية بيانات العميل، يتوفر ملخص عنها على: https://www.sparkpost.com/policies/security/ ("سياسة الأمان").
التدابير الفنية والتنظيمية للأمن:
تدابير إخفاء هوية وتشفير البيانات الشخصية: تحتفظ SparkPost ببيانات العملاء في شكل مشفر أثناء السكون وفي التنقل باستخدام SSL وHTTPS وTLS الفرصة كما هو مناسب.
تدابير لضمان السرية المستمرة، والنزاهة، والتوفر، ومرونة نظم المعالجة والخدمات: توافق SparkPost على التزامات السرية في اتفاقياتها مع عملائها. كما تدخل SparkPost في اتفاقيات تحتوي على أحكام سرية مماثلة مع موظفي SparkPost، والمقاولين، والبائعين، والمعالجات الفرعية. تحتفظ SparkPost بتوافرية عالية ومرونة للنظم والخدمات من خلال مناطق توفر مراكز البيانات المتعددة والمستقلة عن الأعطال. بالإضافة إلى ذلك، قامت SparkPost بتنفيذ وتحافظ على خطة استمرارية الأعمال والتعافي من الكوارث لضمان حفظ بيانات العملاء واستمرار تقديم الخدمات.
تدابير لضمان القدرة على استعادة التوفر والوصول إلى البيانات الشخصية بشكل سريع في حالة حدوث حالة جسدية أو تقنية: تستضيف بيانات العملاء أمازون ويب سيرفيسز (“AWS”)، التي تقدم تكرارًا عبر مناطق توفر متعددة. كما هو مذكور أعلاه، قامت SparkPost بتنفيذ وتحافظ على خطة استمرارية الأعمال والتعافي من الكوارث.
عمليات لاختبار وتقييم وتقييم فعالية التدابير التقنية والتنظيمية بانتظام لضمان أمان المعالجة: تُحافظ SparkPost على برنامج أمان معلومات مكتوب ومنظم يشمل ضوابط مادية وتقنية وإدارية مناسبة لحماية الأمان والنزاهة وسرية وتوافر بيانات العملاء، بما في ذلك دون تقييد، حماية بيانات العملاء من أي اكتساب غير مرخص أو غير قانوني أو وصول أو استخدام أو إفشاء أو تدمير. تم تصميم هذا البرنامج الأمني مع مراعاة نوع الخدمات التي تقدمها SparkPost وحجم وتعقيد أعمال SparkPost. بالإضافة إلى فريق الأمن الداخلي لدينا الذي يراقب أماننا بشكل مستمر داخليًا، تستخدم SparkPost طرفًا ثالثًا لإجراء اختبارات الضعف والاختراق الداخلي والخارجي من أجل التحقق من الموقف الدفاعي للحدود الداخلية والخارجية بشكل منتظم.
تدابير لتحديد هوية المستخدم وتخويله: يتعين على موظفي SparkPost استخدام بيانات اعتماد وصول مستخدم فريدة وكلمات المرور للتخويل. تستخدم SparkPost مبادئ الحد الأدنى من صلاحيات الوصول عند تجهيز الدخول إلى النظام، مع مراعاة وظيفة العمل لكل موظف، ودوره وواجباته عند تحديد المستوى المناسب ومدة الوصول. يتطلب الوصول موافقة مسبقة قبل التجهيز، ويتم إزالة الوصول فورًا عقب التغيير الوظيفي أو الإنهاء.
تدابير لحماية البيانات أثناء النقل: يتم تشفير بيانات العملاء عند التنقل بين العملاء وخدمات SparkPost باستخدام HTTPS. يتم تشفير بيانات العملاء عند التنقل بين SparkPost والمستقبل باستخدام TLS الفرصة. تدابير لحماية البيانات أثناء التخزين: تُخزن بيانات العملاء مشفرة باستخدام معيار التشفير المتقدم.
تدابير لضمان أمان المواقع البدنية حيث تُعالج البيانات الشخصية: يوفر مقر SparkPost ومساحات المكاتب (i) مراقبة أمنية مادية ومراقبة؛ (ii) ضوابط دخول للحد من الدخول الفعلي؛ و (iii) سجلات الزوار. يُطلب من جميع المتعاقدين والزوار تسجيل دخولهم وخروجهم من المكاتب. تعمل الخدمات على AWS وتتم حمايتها بواسطة الضوابط الفيزيائية والتقنية والتنظيمية والإدارية لشركة أمازون. تُتاح معلومات مفصلة عن أمان AWS عبر https://aws.amazon.com/security/, https://aws.amazon.com/security/sharing-the-security-responsibility/, وhttps://aws.amazon.com/compliance/iso-27001-faqs/. للحصول على تقارير AWS SOC، يُرجى رؤية https://aws.amazon.com/compliance/soc-faqs/.
تدابير لضمان تسجيل الأحداث: يتم جمع أنشطة البنية التحتية الإنتاجية لـ SparkPost مركزيًا وتؤمن في محاولة لمنع العبث ويتم مراقبتها بحثًا عن الشذوذ بواسطة فريق أمني مدرب.
تدابير لضمان تكوين الأنظمة، بما في ذلك التكوين الافتراضي: تقوم SparkPost بتقييم التغييرات في منصتها، وتطبيقاتها، وبنيتها التحتية الإنتاجية بطريقة تقلل من المخاطر، ويتم تنفيذ هذه التغييرات فقط وفقًا لسياسة الأمان. تقوم SparkPost بتنفيذ العديد من الأنشطة المتعلقة بالأمان للخدمات عبر مراحل مختلفة من دورة حياة إنشاء المنتجات من إنشاء متطلبات الوثائق وتصميم المنتج الكامل وصولاً إلى مرحلة التشغيل. وتشمل هذه الأنشطة أداء (i) مراجعات الأمان الداخلية قبل نشر الخدمات الجديدة؛ (ii) اختبارات اختراق سنوية بواسطة أطراف ثالثة مستقلة؛ و (iii) تحليل التهديدات للخدمات الجديدة لاكتشاف أي تهديدات أمنية محتملة والضعف. تلتزم SparkPost بعملية إدارة التغيير لإدارة التغييرات في بيئة الإنتاج للخدمات، بما في ذلك التغييرات في البرمجيات والتطبيقات والأنظمة الأساسية لها. تمت مراقبة الإخطارات لإبلاغ فريق الأمان بالتغييرات التي أُجريت على البنية التحتية النقدية والخدمات التي لا تتوافق مع عمليات إدارة التغيير.
تدابير لإدارة وحوكمة تكنولوجيا المعلومات والأمن الداخلي لتكنولوجيا المعلومات: تحتفظ SparkPost ببرنامج تقييم أمان قائم على المخاطر، يشمل إجراءات إدارية وتنظيمية وتكنولوجية وفيزيائية مصممة بشكل معقول لحماية الخدمات وضمان سرية ونزاهة وتوافر بيانات العملاء. تم تصميم برنامج الأمان الخاص بـ SparkPost مع مراعاة طبيعة الخدمات وحجم وتعقيد أعمال SparkPost. يمتلك SparkPost فريق أمني مخصص يدير برنامج معلومات أمان SparkPost ويسهل ويدعم عمليات التدقيق والتقييم المستقلة التي تتم بواسطة أطراف ثالثة. يتبع إطار عمل الأمن لـ SparkPost تصديق SOC2 Type II ويشمل معايير خدمات الثقة التالية: الأمن، التوفر، السرية، الخصوصية. يدار الأمن على أعلى مستويات الشركة، مع المدير التنفيذي للامتثال وأمن تكنولوجيا المعلومات الذي يجتمع بانتظام مع الإدارة التنفيذية لمناقشة القضايا وتنسيق المبادرات الأمنية وتكنولوجيا المعلومات على مستوى الشركة. يتم مراجعة واعتماد سياسات ومعايير الأمان من قبل الإدارة على الأقل سنويًا وتتاح لجميع موظفي SparkPost المعنيين للرجوع إليها.
تدابير للحصول على الشهادات/الضمان من العمليات والمنتجات: تقوم SparkPost بإجراء العديد من عمليات التدقيق التابعة لأطراف ثالثة لإثبات الامتثال لإطارات عمل مختلفة تشمل SOC 2 Type II واختبارات اختراق التطبيقات بانتظام. تدابير لضمان تقليل البيانات: لا تخزن SparkPost جسم الرسالة للبريد الإلكتروني بعد تسليمه إما إلى المستلم أو إذا تم رفضه من قبل منسق البريد، والذي يحدث عادة في غضون ثواني. في حالة الرفض أو الارتداد، ستحتفظ SparkPost بجسم الرسالة لفترة محدودة للسماح بإعادة محاولة إرسال البريد الإلكتروني. إذا استمر عدم نجاح الإرسال، يتم حذف جسم الرسالة بشكل دائم. تخزن SparkPost فقط بيانات شخصية للمستلم في شكل خام لفترة محدودة بعد إرسال البريد الإلكتروني إلى المستلم. بعد فترة الاحتفاظ الأولية، تُبنى البيانات الشخصية من خلال رمز تجزئة أحادي الاتجاه ويتم تخزينها فقط في شكل مبني للهويات المستعارة. لمزيد من المعلومات عن هذه العملية، يُرجى رؤية أسئلة الأجوبة الخاصة ببياناتنا المتاحة على: https://www.sparkpost.com/policies/data-faq/. بالإضافة إلى ذلك، أُدرجت SparkPost وظائف الخدمة الذاتية في الخدمات التي تسمح للعملاء بحذف بيانات العملاء المحددة، مثل عناوين البريد الإلكتروني للمستلمين والأحداث المرتبطة بالرسائل، حسب الطلب، والتي يتوفر توثيق لهذه الوظيفة على: https://developers.sparkpost.com/api/data-privacy/.
تدابير لضمان المساءلة: اعتمدت SparkPost تدابير لضمان المساءلة بما في ذلك إجراء عمليات تدقيق منتظمة بواسطة أطراف ثالثة لضمان الامتثال لمعايير الخصوصية والأمان لدينا. تطبق SparkPost أيضًا سياسات حماية البيانات وفقًا للقانون الساري وتنشر نظرة عامة على سياسة الأمان (الرابط أعلاه). قامت SparkPost بتعيين مسؤول حماية البيانات وتحافظ على وثائق أنشطتها المتعلقة بالمعالجة، بما في ذلك تسجيل والإبلاغ عن الحوادث الأمنية المتعلقة بالبيانات الشخصية حيثما كان ذلك متاحًا.
تدابير للسماح بنقل البيانات وضمان الإزالة الكاملة: لدى العملاء علاقات مباشرة مع مستلميهم وهم مسؤولون عن الاستجابة لطلبات المستخدمين النهائيين الذين يرغبون في ممارسة حقوقهم بموجب قوانين حماية البيانات. تضمنت SparkPost وظيفة الخدمة الذاتية في الخدمات التي تسمح للعملاء بحذف بيانات العملاء المحددة، مثل عناوين البريد الإلكتروني للمستلمين والأحداث المرتبطة بالرسائل عند الطلب، والتي يتوفر توثيق لهذه الوظيفة على: https://developers.sparkpost.com/api/data-privacy/. بالإضافة إلى ذلك، أدرجت SparkPost وظيفة الخدمة الذاتية لقمع البريد الإلكتروني المستقبلي إلى المستلمين (أي إلغاء الاشتراك)، والتي يتوفر توثيق لهذه الوظيفة على https://developers.sparkpost.com/api/suppression-list/. بقدر ما يكون العميل غير قادر على الوصول إلى بيانات العملاء ذات الصلة ضمن الخدمة بشكل مستقل، ستوفر SparkPost التعاون المعقول لمساعدة العميل في الاستجابة في الوقت المناسب لأي طلب متعلق بموضوع البيانات متعلق بمعالجة البيانات الشخصية بموجب الاتفاقية ضمن أي مهلة زمنية تفرضها قوانين حماية البيانات. في حالة تقديم أي طلب من هذا القبيل مباشرة لـ SparkPost، سيقوم SparkPost بنصح موضوع البيانات بتقديم طلبه إلى العميل، وسيكون العميل مسؤولاً عن الاستجابة لأي طلب من هذا القبيل.
للتحويلات إلى [معالجات فرعية]، صف أيضًا التدابير التقنية والتنظيمية المحددة التي يجب اتخاذها من قبل المعالجة الفرعية لتوفير المساعدة للمتحدث، وللتحويلات من معالج إلى معالج فرعي، لمصدر البيانات: عندما تقوم SparkPost بإشراك مزود معالجة فرعي بموجب هذه الاتفاقية، تدخل SparkPost والمعالجة الفرعية في اتفاق مع شروط حماية البيانات مشابهة إلى حد كبير لتلك الموجودة هنا.
الإصدار 2.0 بتاريخ 2 نوفمبر 2021