اتفاقية معالجة البيانات
وفقاً لمتطلبات اللائحة 2016/679 للبرلمان الأوروبي والمجلس المؤرخ 27 أبريل 2016 بشأن حماية الأفراد الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية والحركة الحرة لهذه البيانات، وإلغاء التوجيه 95/46/EC (يُشار إليها فيما بعد باسم "اللائحة العامة لحماية البيانات")، يدخل مقدم الخدمة (يُشار إليه فيما بعد باسم "المعالج") وأنت (يُشار إليك فيما بعد باسم "الجهة المتحكمة") في علاقة تعاقدية من أجل تحديد الشروط والأحكام الخاصة بمعالجة البيانات الشخصية، وطريقة حمايتها، بالإضافة إلى تحديد الحقوق والالتزامات الأخرى لكلا الطرفين فيما يخص معالجة البيانات الشخصية للأشخاص المعنيين بالبيانات نيابة عن الجهة المتحكمة وذلك خلال مدة تنفيذ موضوع هذه الشروط باعتبارها العقد الرئيسي.
1. الإدارة عن بُعد معالجة. تشتمل الخدمات المقدمة بموجب هذه الشروط على معالجة المعلومات ذات الصلة بشخص طبيعي محدد الهوية أو يمكن تحديد هويته مذكور في سياسة الخصوصية (يُشار إليها فيما بعد باسم "البيانات الشخصية").
2. التخويل. تخول الجهة المتحكمة المعالج لمعالجة البيانات الشخصية، بما في ذلك الإرشادات التالية:
(i) يعني "غرض المعالجة" تقديم الخدمات بما يتوافق مع هذه الشروط، يُسمح للمعالج فقط بمعالجة البيانات الشخصية نيابة عن الجهة المتحكمة فيما يتعلق بتوفير الخدمات التي تطلبها الجهة المتحكمة. تتم معالجة جميع المعلومات التي تم جمعها لأغراض إضافية خارج العلاقة التعاقدية بين الجهة المتحكمة والمعالج.
(ii) تعني فترة المعالجة المدة التي تبدأ من الدخول في التعاون المتبادل بموجب هذه الشروط وتنتهي بانتهاء الخدمات،
(iii) يشتمل نطاق البيانات الشخصية وفئاتها على البيانات الشخصية العامة، باستثناء أي فئات خاصة لتلك البيانات الشخصية،
(iv) يعني "الشخص المعني بالبيانات" الشخص الطبيعي كمستخدم مخوّل لأجهزة الجهة المتحكمة،
(v) تعني عمليات المعالجة جميع العمليات الضرورية لأغراض المعالجة،
(vi) تعني "الإرشادات الموثقة" تلك الإرشادات الموضحة في هذه الشروط، وملحقاتها، وسياسة الخصوصية ووثائق الخدمة. تكون الجهة المتحكمة مسؤولة عن المقبولية القانونية لمعالجة البيانات الشخصية من قبل المعالج فيما يتعلق بالأحكام السارية ذات الصلة لقانون حماية البيانات.
3. التزامات المعالج. يلتزم المعالج بما يلي:
(1) معالجة البيانات الشخصية فقط على أساس الإرشادات الموثقة وللغرض المحدد في الشروط وملحقاتها وسياسة الخصوصية ووثائق الخدمة،
(2) ضمان أن الأشخاص المخولين بمعالجة البيانات الشخصية ملتزمون بالسرية واتباع الإرشادات الموثقة،
(3) تنفيذ واتباع الإجراءات المذكورة في الشروط، وملحقاتها وسياسة الخصوصية ووثائق الخدمة،
(4) مساعدة الجهة المتحكمة في الاستجابة للطلبات الواردة من أصحاب البيانات المتعلقة بحقوقهم. لا يحق للمعالج تصحيح أو حذف أو تقييد معالجة البيانات الشخصية دون تعليمات من الجهة المتحكمة. يجب إرسال جميع الطلبات الواردة من صاحب البيانات المتعلقة بالبيانات الشخصية التي تتم معالجتها نيابة عن الجهة المتحكمة إلى الجهة المتحكمة دون تأخير.
(5) مساعدة الجهة المتحكمة في إعلام انتهاك البيانات الشخصية إلى الهيئة المشرفة وصاحب البيانات،
(6) حذف أو إرجاع جميع البيانات الشخصية إلى الجهة المتحكمة بعد نهاية فترة المعالجة،
(vii) الاحتفاظ بسجل مُحدَّث لجميع فئات أنشطة المعالجة التي قام بها نيابة عن الجهة المتحكمة،
(8) إتاحة جميع المعلومات اللازمة لإثبات الالتزام كجزء من الشروط وملحقاتها وسياسة الخصوصية ووثائق الخدمة للجهة المتحكمة.
4. الاستعانة بمعالج آخر. للمعالج الحق في الاستعانة بمعالج آخر لتنفيذ أنشطة معالجة معينة مثل تقديم خدمة التخزين السحابي والبنية الأساسية للخدمة بما يتوافق مع هذه الشروط وملحقاتها وسياسة الخصوصية ووثائق الخدمة. في الوقت الحالي، توفر Microsoft التخزين السحابي والبنية الأساسية كجزء من خدمة Azure السحابية. وحتى في هذه الحالة، يظل المعالج هو نقطة الاتصال الوحيدة والطرف المسوؤل عن الالتزام.
5. منطقة المعالجة. يضمن المعالجة أن المعالجة تتم في المنطقة الاقتصادية الأوروبية أو بلد يتم تعيينه باعتباره آمناً بقرار من المفوضية الأوروبية استناداً إلى قرار الجهة المتحكمة. تسري البنود التعاقدية القياسية في حالة عمليات النقل والمعالجة خارج المنطقة الاقتصادية الأوروبية أو بلد يتم تعيينه باعتباره آمناً بقرار من المفوضية الأوروبية استناداً إلى طلب الجهة المتحكمة.
6. الأمان. المعالج حاصل على اعتماد الأيزو ISO 27001:2013 ويستخدم إطار عمل الأيزو ISO 27001 لتنفيذ إستراتيجية دفاع متعدد الطبقات عند تطبيق ضوابط الأمان على طبقة الشبكة، وأنظمة التشغيل، وقواعد البيانات، والتطبيقات، والأشخاص وعمليات التشغيل. يتم بشكل دوري تقييم ومراجعة الالتزام بالمتطلبات التنظيمية والتعاقدية بشكل مماثل للبنية الأساسية والعمليات الأخرى الخاصة بالمعالج، ويتم اتخاذ الخطوات الضرورية لتحقيق الالتزام على أساس مستمر. قام المعالج بتنظيم أمان البيانات باستخدام نظام إدارة أمن المعلومات (ISMS) استناداً إلى ISO 27001. تشتمل مستندات الأمان بشكل أساسي على وثائق السياسة الخاصة بأمان المعلومات، والأمن المادي وأمن الأجهزة، وإدارة الأحداث، ومعالجة حالات تسرّب البيانات وأحداث الأمان، وغيرها.
7. معلومات اتصال المعالج. يتم توجيه جميع الإعلامات والتقارير والطلبات والرسائل الأخرى التي تخص حماية البيانات الشخصية إلى شركة ESET, spol. s.r.o.، عناية: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.