اتفاقية معالجة البيانات
يسري اعتباراً من 29 سبتمبر 2023 | راجع الإصدار السابق من اتفاقية معالجة البيانات | مقارنة التغييرات
وفقاً لمتطلبات اللائحة 2016/679 للبرلمان الأوروبي والمجلس المؤرخ 27 أبريل 2016 بشأن حماية الأفراد الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية والحركة الحرة لهذه البيانات، وإلغاء التوجيه 95/46/EC (يُشار إليها فيما بعد باسم "اللائحة العامة لحماية البيانات")، يدخل مقدم الخدمة (يُشار إليه فيما بعد باسم "المعالج") وأنت (يُشار إليك فيما بعد باسم "الجهة المتحكمة") في علاقة تعاقدية من أجل تحديد الشروط والأحكام الخاصة بمعالجة البيانات الشخصية، وطريقة حمايتها، بالإضافة إلى تحديد الحقوق والالتزامات الأخرى لكلا الطرفين فيما يخص معالجة البيانات الشخصية للأشخاص المعنيين بالبيانات نيابة عن الجهة المتحكمة وذلك خلال مدة تنفيذ موضوع هذه الشروط باعتبارها العقد الرئيسي.
1. الإدارة عن بُعد معالجة. تشتمل الخدمات المقدمة بموجب هذه الشروط على معالجة المعلومات ذات الصلة بشخص طبيعي محدد الهوية أو يمكن تحديد هويته مذكور في سياسة الخصوصية (يُشار إليها فيما بعد باسم "البيانات الشخصية").
2. التخويل. تخول الجهة المتحكمة المعالج لمعالجة البيانات الشخصية، بما في ذلك الإرشادات التالية:
(1) يعني "غرض المعالجة" تقديم الخدمات بما يتوافق مع هذه الشروط، يُسمح للمعالج فقط بمعالجة البيانات الشخصية نيابة عن الجهة المتحكمة فيما يتعلق بتوفير الخدمات التي تطلبها الجهة المتحكمة. تتم معالجة جميع المعلومات التي تم جمعها لأغراض إضافية خارج العلاقة التعاقدية بين الجهة المتحكمة والمعالج.
(2) تعني فترة المعالجة المدة التي تبدأ من الدخول في التعاون المتبادل بموجب هذه الشروط وتنتهي بانتهاء الخدمات،
(3) نطاق وفئات البيانات الشخصية. الخدمات مخصصة لمعالجة البيانات الشخصية العامة فقط. ومع ذلك، فإن الجهة المتحكمة هي المسؤولة الوحيدة عن تحديد نطاق البيانات الشخصية.
(4) يعني "الشخص المعني بالبيانات" الشخص الطبيعي كمستخدم مخوّل لأجهزة الجهة المتحكمة،
(5) تعني عمليات المعالجة جميع العمليات الضرورية للمعالجة.
(6) تعني "الإرشادات الموثقة" تلك الإرشادات الموضحة في هذه الشروط، وملحقاتها، وسياسة الخصوصية ووثائق الخدمة. تكون الجهة المتحكمة مسؤولة عن المقبولية القانونية لمعالجة البيانات الشخصية من قبل المعالج فيما يتعلق بالأحكام السارية ذات الصلة لقانون حماية البيانات.
3. التزامات المعالج. يلتزم المعالج بما يلي:
(1) معالجة البيانات الشخصية فقط على أساس الإرشادات الموثقة وللغرض المحدد في الشروط وملحقاتها وسياسة الخصوصية ووثائق الخدمة،
(2) لإرشاد الأشخاص المخولين بمعالجة البيانات الشخصية (المشار إليهم فيما يلي باسم "الأشخاص المخولين") حول حقوقهم وواجباتهم وفقاً للائحة العامة لحماية البيانات (GDPR)، ومسؤوليتهم في حالة الخرق والتأكد من التزام الأشخاص المصرح لهم بالسرية واتباع التعليمات الموثقة.
(3) تنفيذ واتباع الإجراءات المذكورة في الشروط، وملحقاتها وسياسة الخصوصية ووثائق الخدمة،
(4) مساعدة الجهة المتحكمة في الاستجابة للطلبات الواردة من أصحاب البيانات المتعلقة بحقوقهم. لا يحق للمعالج تصحيح أو حذف أو تقييد معالجة البيانات الشخصية دون تعليمات من الجهة المتحكمة. يجب إرسال جميع الطلبات الواردة من صاحب البيانات المتعلقة بالبيانات الشخصية التي تتم معالجتها نيابة عن الجهة المتحكمة إلى الجهة المتحكمة دون تأخير.
(5) مساعدة الجهة المتحكمة في إعلام انتهاك البيانات الشخصية إلى الهيئة المشرفة وصاحب البيانات، يجب على المعالج إخطار الجهة المتحكمة بأي خرق لمعالجة البيانات الشخصية أو أمن البيانات الشخصية فور الاكتشاف. يجب على المعالج التعاون إلى حد معقول في التحقيق ومعالجة هذا الخرق، واتخاذ تدابير معقولة للحد من الآثار السلبية الأخرى.
(6) بناءً على اختيار الجهة المتحكمة لحذف أو إرجاع جميع البيانات الشخصية إلى الجهة المتحكمة بعد نهاية فترة المعالجة. تتعهد الجهة المتحكمة بإبلاغ المعالج بقرارها في غضون عشرة (10) أيام من نهاية فترة المعالجة. لا يؤثر هذا الحكم في حق المعالج في الاحتفاظ بالبيانات الشخصية بالقدر اللازم لأغراض الأرشفة من أجل المصلحة العامة أو أغراض البحث العلمي أو الأغراض الإحصائية أو لغرض إنشاء المطالبات القانونية أو ممارستها أو الدفاع عنها.
(7) الاحتفاظ بسجل مُحدَّث لجميع فئات أنشطة المعالجة التي قام بها نيابة عن الجهة المتحكمة،
(8) إتاحة جميع المعلومات اللازمة لإثبات الالتزام كجزء من الشروط وملحقاتها وسياسة الخصوصية ووثائق الخدمة للجهة المتحكمة. في حالة التدقيق أو التحكم في معالجة البيانات الشخصية من جانب الجهة المتحكمة، يجب على المراقب إبلاغ المعالج كتابياً قبل ثلاثين (30) يوماً على الأقل من التدقيق أو التحكم المخطط له.
4. الاستعانة بمعالج آخر. للمعالج الحق في الاستعانة بمعالج آخر لتنفيذ أنشطة معالجة معينة مثل تقديم خدمة التخزين السحابي والبنية الأساسية للخدمة بما يتوافق مع هذه الشروط وملحقاتها وسياسة الخصوصية ووثائق الخدمة. في الوقت الحالي، توفر Microsoft التخزين السحابي والبنية الأساسية كجزء من خدمة Azure السحابية. وحتى في هذه الحالة، يظل المعالج هو نقطة الاتصال الوحيدة والطرف المسوؤل عن الالتزام. يتعهد المعالج بموجب هذا بإبلاغ الجهة المتحكمة بأي إضافة أو استبدال لمعالج آخر لأغراض إمكانية الاعتراض على هذا التغيير.
5. منطقة المعالجة. يضمن المعالجة أن المعالجة تتم في المنطقة الاقتصادية الأوروبية أو بلد يتم تعيينه باعتباره آمناً بقرار من المفوضية الأوروبية استناداً إلى قرار الجهة المتحكمة. تسري البنود التعاقدية القياسية في حالة عمليات النقل والمعالجة خارج المنطقة الاقتصادية الأوروبية أو بلد يتم تعيينه باعتباره آمناً بقرار من المفوضية الأوروبية استناداً إلى طلب الجهة المتحكمة.
6. الأمان. المعالج حاصل على اعتماد الأيزو ISO 27001:2013 ويستخدم إطار عمل الأيزو ISO 27001 لتنفيذ إستراتيجية دفاع متعدد الطبقات عند تطبيق ضوابط الأمان على طبقة الشبكة، وأنظمة التشغيل، وقواعد البيانات، والتطبيقات، والأشخاص وعمليات التشغيل. يتم بشكل دوري تقييم ومراجعة الالتزام بالمتطلبات التنظيمية والتعاقدية بشكل مماثل للبنية الأساسية والعمليات الأخرى الخاصة بالمعالج، ويتم اتخاذ الخطوات الضرورية لتحقيق الالتزام على أساس مستمر. قام المعالج بتنظيم أمان البيانات باستخدام نظام إدارة أمن المعلومات (ISMS) استناداً إلى ISO 27001. تشتمل مستندات الأمان بشكل أساسي على وثائق السياسة الخاصة بأمان المعلومات، والأمن المادي وأمن الأجهزة، وإدارة الأحداث، ومعالجة حالات تسرّب البيانات وأحداث الأمان، وغيرها.
7. التدابير الفنية والتنظيمية. يجب على المعالج حماية البيانات الشخصية من التلف العرضي وغير القانوني والتدمير والخسارة العرضية والتغيير والوصول غير المصرح به والإفصاح. لهذا الغرض، يجب على المعالج اعتماد تدابير فنية وتنظيمية مناسبة تتوافق مع طريقة المعالجة والمخاطر التي تشكلها المعالجة لحقوق أصحاب البيانات وفقاً لمتطلبات اللائحة العامة لحماية البيانات. يوجد وصف تفصيلي للتدابير الفنية والتنظيمية في نهج الأمان.
8. معلومات اتصال المعالج. يتم توجيه جميع الإعلامات والتقارير والطلبات والرسائل الأخرى التي تخص حماية البيانات الشخصية إلى شركة ESET, spol. s.r.o.، عناية: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.