ملحق معالجة البيانات العالمية
قد اتفقت الأطراف في اتفاقية الاشتراك الرئيسية لشركة Palmfairs LLC (“الاتفاقية”) بشكل متبادل على هذا الملحق لمعالجة البيانات (“الملحق” أو “DPA”) لتعزيز شروط تلك الاتفاقية.
“العميل” أو “الزبون”) لـ ____________________________________
وكذلك
بالمرز LLC (“الشركة”).
أي مصطلحات غير محددة في هذا الملحق سيكون لها المعنى الوارد في الاتفاقية أو، في حالة عدم وجود مثل هذا التعريف، في قانون حماية البيانات المعني. تتضمن هذه الإضافة شروط الاتفاقية.
بالنظر إلى ذلك،
(أ) العميل هو إما المتحكم في البيانات نفسه أو معالج بيانات شخص آخر.
(ب) العميل مهتم بالتعاقد مع الشركة (معالج البيانات) لتقديم خدمات محددة تتضمن معالجة البيانات الشخصية.
(ج) يتطلب الإطار القانوني الحالي فيما يتعلق بمعالجة البيانات وأي قوانين وأنظمة أمنية وخصوصية قابلة للتطبيق من الأطراف تنفيذ اتفاقية معالجة بيانات تتوافق مع هذه المتطلبات. يشمل ذلك، ولكن لا يقتصر على، قانون خصوصية المستهلك في كاليفورنيا (CCPA) ولائحة حماية البيانات العامة للاتحاد الأوروبي 2016/679 (“GDPR”).
(د) ترغب الأطراف في تحديد حقوقها ومسؤولياتها.
مكونات هذه الاتفاقية هي كما يلي: (أ) النص الرئيسي للوثيقة؛ و(ب) البنود التعاقدية القياسية، التي هي جزء من الوحدة 2: من المتحكم إلى المعالج والوحدة 3: من معالج إلى معالج، إلى جانب الملحقات I و II و III.
1) التعريفات
1.1 “بيانات حساب العميل” تشير إلى المعلومات الشخصية القابلة للتحديد المرتبطة بتفاعل العميل مع الشركة، مثل أسماء وتفاصيل الاتصال بالأشخاص الذين منحهم العميل الوصول إلى حسابه، بالإضافة إلى معلومات الفوترة لهؤلاء الأشخاص. من أجل إدارة علاقتها مع العميل، والتحقق من هوية العميل، أو الامتثال للقوانين واللوائح ذات الصلة، قد تحتاج الشركة إلى جمع بيانات إضافية تُعتبر بيانات حساب العميل.
1.2 “بيانات استخدام العملاء” تشير إلى المعلومات حول كيفية استخدام العملاء للخدمات التي تجمعها الشركة وتعالجها كجزء من تقديم تلك الخدمات. يشمل ذلك تفاصيل مثل عنوان IP وبلد المنشأ للتواصل، بالإضافة إلى سجلات النشاط والبيانات الأخرى المستخدمة لتحسين الخدمة والصيانة والتحقيق في الإساءة ومنعها.
وفقًا للمادة 17014 من العنوان 18 من لائحة كاليفورنيا، يُعرَّف “المستهلك” بأنه شخص طبيعي يقيم في كاليفورنيا في سياق قانون حماية خصوصية المستهلك في كاليفورنيا (CCPA).
1.4 “مركز البيانات” هو منشأة تحتوي على شبكة معقدة، وبنية تحتية للحوسبة والتخزين، مما يتيح الوصول المشترك إلى التطبيقات والبيانات.
1.5 “مُصدِّر البيانات” يشير إلى العميل.
مصطلح “مستورد البيانات” يشير إلى عمل تجاري.
1.7 تشير “قوانين حماية البيانات” إلى جميع القوانين واللوائح ذات الصلة التي تحكم استخدام أو معالجة البيانات الشخصية. يشمل ذلك، ولكن لا يقتصر على: (i) قانون خصوصية المستهلك في كاليفورنيا (“CCPA”)، (ii) اللائحة العامة لحماية البيانات (اللائحة (الاتحاد الأوروبي) 2016/679) (“GDPR” أو “اللائحة العامة لحماية البيانات للاتحاد الأوروبي”)، (iii) القانون الفيدرالي السويسري لحماية البيانات، (iv) اللائحة العامة لحماية البيانات للاتحاد الأوروبي كما تم دمجها في قانون إنجلترا وويلز بموجب القسم 3 من قانون انسحاب الاتحاد الأوروبي لعام 2018 (“GDPR المملكة المتحدة”)، (v) قانون حماية البيانات في المملكة المتحدة لعام 2018؛ و(vi) لوائح الخصوصية والاتصالات الإلكترونية (توجيه الاتحاد الأوروبي) لعام 2003، كما يتم تعديلها أو استبدالها من وقت لآخر. النص للترجمة: التعريفات الواردة في اللائحة العامة لحماية البيانات (GDPR) ستنطبق على المصطلحات التالية: “موضوع البيانات”، “البيانات الشخصية”، “خرق البيانات الشخصية”، “المعالجة”، “المعالج”، “التحكم”، و”السلطة الإشرافية”. 1.
8 “موضوع البيانات” هو فرد يتم التعامل مع معلوماته الشخصية من قبل مراقب البيانات أو معالج البيانات.
1.9 يحدث “خرق البيانات الشخصية” عندما يكون هناك تغيير غير مصرح به، أو حذف، أو فقدان، أو تعديل، أو إفشاء، أو وصول غير مصرح به إلى المعلومات الشخصية التي تم نقلها أو تخزينها أو معالجتها بأي شكل من الأشكال.
يشير مصطلح “المعالجة” إلى أي إجراء أو سلسلة من الإجراءات المتخذة على البيانات الشخصية، سواء كانت يدوية أو تلقائية، بما في ذلك على سبيل المثال لا الحصر: الجمع، التسجيل، التنظيم، الهيكلة، التخزين، الاسترجاع، الاستشارة، الاستخدام، الكشف من خلال النقل، النشر، أو أي توافر آخر، التوافق أو الدمج، التقييد، المسح، أو التدمير.
1.11 “البيانات الشخصية” تشير إلى أي معلومات تتعلق بفرد معين، سواء تم تحديد هذا الفرد بشكل محدد أم لا. يمكن العثور على فرد يمكن التعرف عليه باستخدام وسائل مختلفة للتعريف، مثل الاسم، الرقم، بيانات الموقع، معرف عبر الإنترنت، أو أي مجموعة من الخصائص التي تميز خصائصه الجسدية، الفسيولوجية، الجينية، العقلية، الاقتصادية، الثقافية، أو الاجتماعية.
1.12 “النقل المقيد” يشير إلى (i) طلب نقل البيانات الشخصية للمت controller من المت controller إلى المعالج، أو (ii) طلب نقل البيانات الشخصية للمت controller من المعالج إلى معالج آخر، أو بين موقعين للمعالج، في كل حالة يكون فيها النقل محظورًا بموجب قوانين حماية البيانات أو اتفاقيات نقل البيانات.
1.13 تشير “البنود التعاقدية القياسية” إلى مجموعة من الشروط والأحكام التي يجب على الشركات والمنظمات اتباعها عند نقل المعلومات الشخصية إلى البلدان التي حددتها المفوضية الأوروبية بأنها لا توفر مستوى كافٍ من الحماية لهذه البيانات (كما يتم تعديلها وتحديثها من وقت لآخر).
1.4 “المعالج الفرعي” يشير إلى طرف ثالث يتم تفويضه لاحقًا بموجب الفقرة 9 من SCCs المضمنة في هذا الملحق أو هو إما (1) مدرج في الملحق الثالث أو (2) لديه حاجة مشروعة لمعرفة أو الوصول إلى البيانات الشخصية للعميل من أجل أن تفي الشركة بالتزاماتها بموجب الاتفاقية أو هذا الملحق.
1.5 كما هو محدد في الاتفاقية، فإن “الخدمات” سيكون لها المعنى المعين لها.
2) معالجة البيانات الشخصية
2.1 يوافق الطرفان على أن Palmfairs هي معالج البيانات وأن العميل هو إما المتحكم في البيانات أو معالج للبيانات لصالح المتحكم في البيانات فيما يتعلق بمعالجة البيانات الشخصية للعميل.
2.2 ما لم يكن محظورًا بموجب القانون، ستقوم Palmfairs بإخطار العميل بأي متطلبات قانونية لمعالجة بياناتهم الشخصية قبل أن يقوم أي معالج فرعي بمعالجتها. سيقوم المعالجون الفرعيون بمعالجة بيانات العميل فقط بناءً على التعليمات الموثقة من العميل أو كما تتطلبه القوانين المعمول بها التي تخضع لها Palmfairs أو المعالجون الفرعيون.
2.3 يمنح العميل شركة Palmfairs تعليمات لمعالجة بياناتهم الشخصية، ونقلها إلى أي دولة أو إقليم طالما أنها تتوافق مع القسم 10 (التحويلات عبر الحدود) أدناه، وتوظيف أي معالجي بيانات فرعي طالما أنها تتوافق مع القسم 9 (المعالجة الفرعية) أدناه. كما يمنح العميل Palmfairs السلطة اللازمة لتوجيه كل معالج فرعي. سيتم تخزين بيانات العميل في مركز بيانات في الاتحاد الأوروبي إذا تم الطلب ووفقًا لما هو محدد في اتفاقية من قبل Palmfairs. وفقًا لما هو مذكور في الاتفاقية ذات الصلة أو ما يتم إبلاغ العميل به بخلاف ذلك، قد تكون هناك قيود تقنية تنطبق على استخدام مركز بيانات في الاتحاد الأوروبي.
2.4 امتثالاً لقانون خصوصية المستهلك في كاليفورنيا (CCPA)، ستقوم Palmfairs بمعالجة البيانات الشخصية للعميل حسب الحاجة لتقديم الخدمات الموضحة في الاتفاقية وللأغراض المحددة حصريًا من قبل العميل بطريقة تتوافق مع هذا الملحق. للتوضيح، لا يُسمح لشركة Palmfairs بالاحتفاظ أو الاستخدام أو الكشف عن بيانات العميل الشخصية لأي سبب آخر غير تنفيذ الخدمات. يشمل ذلك أي سبب غير متعلق بالعلاقة التجارية المباشرة بين العميل وبالمفيرز، وكذلك أي غرض تجاري آخر. مقابل أي اعتبارات مالية أو قيمة أخرى، لن تشارك Palmfairs أو تبيع أو تؤجر أو تطلق أو تكشف أو تنشر أو تنقل أو تتواصل بأي شكل من الأشكال مع أي طرف خارجي أي من المعلومات الشخصية لعملائنا. تؤكد Palmfairs أنها على دراية بالقيود الموضحة في هذا القسم 2.4 وستلتزم بها. من أجل تشغيل وتحسين خدمات Palmfairs وعملياتها، وكذلك لأغراض البحث والتحليل والأغراض ذات الصلة، يوافق العميل على أن Palmfairs قد تجمع أو تحذف هوية البيانات الشخصية للعميل والبيانات الأخرى المرتبطة بالخدمات لجعلها بيانات مجهولة الهوية. لن ينطبق الاتفاق وهذه الإضافة على البيانات المجهولة التي تختار Palmfairs الاحتفاظ بها لسجلاتها ومعلوماتها الخاصة. “البيانات المجهولة” تشير إلى المعلومات التي تم إزالة أي معلومات تعريف شخصية منها و/أو دمجها مع مجموعات بيانات أخرى بطريقة لا يمكن استخدامها لتحديد أي عميل أو شخص معين.
2.5 يقر العميل ويوافق على أن (أ) القوانين المتعلقة بحماية البيانات سيتم اتباعها عندما يقدم العميل بياناته الشخصية وتعليمات معالجة تلك البيانات، و(ب) سيكون لدى العميل دائمًا التفويض المناسب لإعطاء التعليمات لمعالجة تلك البيانات. (ب) من خلال استخدام الخدمات، يجب على العميل معالجة البيانات الشخصية بما يتوافق مع قوانين حماية البيانات.
(ج) فيما يتعلق بمعالجة البيانات الشخصية للعميل، يجب على العميل إبلاغ والحصول على موافقة من أصحاب البيانات كما هو محدد في هذا الملحق والاتفاقية، أو كما هو موضح من قبل العميل.
٢.٦ الملحق 1 لهذا الملحق يحدد موضوع ومدة المعالجة، وطبيعة وغرض المعالجة، وفئات البيانات الشخصية والأشخاص المعنيين، كما هو مطلوب بموجب المادة 28(3) من اللائحة العامة لحماية البيانات (GDPR). يجوز لأي من الطرفين إجراء تعديلات معقولة على الملحق 1 حسبما يعتبرانه ضروريًا لتلبية متطلبات المادة 28(3) من اللائحة العامة لحماية البيانات (GDPR) من خلال تزويد الطرف الآخر بملحق 1 محدث أو إضافي.
3) موظفو Palmfairs
إذا كان لدى موظف أو وكيل أو مقاول من شركة Palmfairs حق الوصول إلى بيانات العميل الشخصية، ستتخذ الشركة احتياطات معقولة للتحقق من موثوقيتهم وإلزامهم بالتزاماتهم المهنية أو القانونية بالسرية.
4) الأمن
من أجل حماية البيانات الشخصية للعميل من المخاطر المرتبطة بمعالجتها، ستلتزم Palmfairs بالإجراءات التقنية والتنظيمية الموضحة في الملحق 2 (الإجراءات التقنية والتنظيمية). المخاطر المرتبطة بالمعالجة، مثل التدمير العرضي أو غير القانوني، الفقدان، التغيير، الكشف غير المصرح به، أو الوصول إلى البيانات الشخصية أثناء النقل، التخزين، أو المعالجة، ستؤخذ بعين الاعتبار بعناية من قبل Palmfairs عند تحديد المستوى المناسب من الأمان.
5) خرق البيانات الشخصية
في حال علمت Palmfairs بوجود خرق للبيانات الشخصية يؤثر على بيانات العميل، ستقوم بإبلاغ العميل دون تأخير غير مبرر وتقديم المعلومات (عند توفرها) لمساعدة العميل في الوفاء بأي متطلبات تقريرية تفرضها قوانين حماية البيانات. ستساعد Palmfairs في التحقيق والتخفيف والتعويض عن كل خرق للبيانات من خلال التعاون مع العميل واتخاذ الخطوات المعقولة كما تم الاتفاق عليها بحسن نية من قبل الطرفين. يوافق العميل على دفع جميع النفقات المعقولة والمناسبة لشركة بالمفيرز، بما في ذلك التكاليف الداخلية وتكاليف الأطراف الثالثة، بما في ذلك الرسوم القانونية، التي تكبدتها بالمفيرز في أداء التزاماتها بموجب هذا القسم، إلى الحد الذي يكون فيه العميل مسؤولاً عن خرق البيانات الشخصية.
6) حقوق موضوع البيانات وحقوق المستهلك
إذا تلقى أي موضوع بيانات أو مستهلك يحق له تقديم طلب بموجب القانون المعمول به طلبًا يتعلق ببيانات العميل الشخصية المتعلقة بذلك الموضوع أو المستهلك، ستقوم Palmfairs بإخطار العميل على الفور. لمساعدة العميل في الوفاء بالتزاماته القانونية في الاستجابة للطلبات المتعلقة ببياناتهم الشخصية، ستقدم Palmfairs المساعدة المعقولة عند الطلب. مساعدة العميل في الاستجابة بفعالية لهذه الطلبات قد تتطلب، اعتمادًا على طبيعة المعالجة، تنفيذ تدابير تنظيمية وتقنية معقولة ومناسبة.
7) تقييم تأثير حماية البيانات والتشاور المسبق
يمكن للعميل أن يطلب ويتلقى المساعدة المعقولة من Palmfairs في إجراء تقييمات تأثير حماية البيانات والمشاورات المسبقة مع أي سلطة إشرافية كما هو مطلوب بموجب قانون حماية البيانات المعمول به، اعتمادًا على نوع المعالجة والمعلومات المتاحة لـ Palmfairs.
يجب على العميل دفع المبلغ الكامل لأي وجميع النفقات، سواء كانت داخلية أو خارجية، بما في ذلك الرسوم القانونية، التي تتحملها بالمناسبة وبشكل معقول بالمناسبات في أداء واجباتها بموجب هذا القسم.
2.4 الاسترداد من الفشل الكبير
8.1 استجابةً لطلب كتابي من العميل، ستقوم Palmfairs بتزويد العميل بالمعلومات اللازمة لإثبات أن Palmfairs تمتثل لهذا الملحق. بالإضافة إلى ذلك، ستتعاون Palmfairs مع وتسهّل عمليات التفتيش التي يجريها مدقق خارجي مستقل ومؤهل تم تعيينه من قبل العميل لمراجعة كيفية معالجة Palmfairs أو معالجيها الفرعيين للبيانات الشخصية للعملاء.
8.2 في حالة إجراء تدقيق أو تفتيش وفقًا لهذا القسم، يجب على العميل إبلاغ Palmfairs بإشعار كافٍ. يجب على العميل أيضًا اتخاذ جميع الاحتياطات المعقولة لضمان عدم تسبب التدقيق في أي ضرر أو إزعاج أو تلف لممتلكات أو معدات أو موظفي أو أعمال Palmfairs أو أي معالج فرعي. أي تدقيق أو تفتيش سيتم فقط خلال ساعات العمل العادية بحد أقصى مرة واحدة في السنة التقويمية، ما لم تفرضه السلطات الإشرافية المعنية أو القانون بخلاف ذلك. العميل مسؤول بالكامل عن سداد أي نفقات لشركة بالمفيرز، سواء كانت تتعلق بالعمليات الداخلية، أو الأطراف الثالثة (بما في ذلك الرسوم القانونية)، أو تدقيقات المعالجات الفرعية الأخرى، التي تتحملها بالمفيرز بشكل معقول وصحيح في تنفيذ التزاماتها بموجب هذا القسم. يجب على العميل أن يضمن أن أي مدقق أو وكيل أو موظف أو أي فرد أو كيان آخر مشارك في التدقيق ملزم بالتزامات سرية مكتوبة مناسبة، وأنه لا يكشف عن أي معلومات تم الحصول عليها بموجب هذا القسم لأي طرف ثالث دون الحصول على موافقة خطية مسبقة من Palmfairs.
9) المعالجة الفرعية
9.1 يمنح العميل Palmfairs الإذن لتعيين المعالجات الفرعية، ويُمنح كل معالج فرعي يتم تعيينه بموجب هذا القسم أيضًا السلطة لتعيين المعالجات الفرعية. يعترف العميل ويوافق على أن Palmfairs حرة في الاحتفاظ بخدمات أي معالجات فرعية أخرى تعاقدت معها حتى تاريخ هذا الملحق.
9.2 في حال اعترض العميل على تعيين أي معالجي بيانات فرعيين، سيبذل الطرفان جهودهما لحل هذه الاعتراضات بحسن نية. من الممكن أن تتأثر الخدمات خلال هذه الفترة؛ يفهم العميل ويوافق على أن بالمفيرز لن تتحمل أي مسؤولية عن أي تأثير من هذا القبيل. في غضون 90 يومًا من اعتراض العميل، قد تُصرح Palmfairs بأنها لا تستطيع تقديم الخدمات بدون المعالج الفرعي الذي تم الاعتراض عليه؛ في هذه الحالة، يمكن للعميل إنهاء الاتفاقية دون عقوبة وستقوم Palmfairs برد أي مبالغ مدفوعة مسبقًا للجزء من الاتفاقية الذي لم يُستخدم؛ وإلا، ستظل الاتفاقية سارية المفعول بالكامل.
9.3 فيما يتعلق بكل معالج فرعي، ستقوم Palmfairs بما يلي: (أ) ممارسة عناية معقولة تجاريًا في تقييم وتعيين والإشراف على أنشطة المعالجة ذات الصلة للمعالجين الفرعيين؛ (ب) تضمين شروط في العقد بين Palmfairs وكل معالج فرعي توفر مستوى مكافئًا من الحماية لبيانات العميل الشخصية كما هو موضح في هذا الملحق، مع مراعاة طبيعة الخدمات التي يؤديها المعالج الفرعي؛ (ج) إذا كانت الترتيبات تتضمن نقلًا مقيدًا لبيانات العميل الشخصية، فستضمن Palmfairs دمج البنود التعاقدية القياسية في جميع الأوقات ذات الصلة في الاتفاقية بين Palmfairs والمعالج الفرعي؛ و(د) تظل مسؤولة أمام العميل عن أي فشل من جانب كل معالج فرعي في الوفاء بالتزاماته فيما يتعلق بمعالجة بيانات العميل الشخصية كما لو كان هذا الفشل من جانبها.
10) التحويلات عبر الحدود
لحماية المعلومات الشخصية للعميل في حالة النقل المقيد، اتفق العميل وPalmfairs، في دوريهما كمصدر ومستورِد للبيانات، على البنود التعاقدية القياسية المرفقة بهذا البريد الإلكتروني. في البنود التعاقدية القياسية، يتم استخدام “الاختصاص” بدلاً من “دولة عضو” أو “دولة” لبيانات العميل الشخصية الخاضعة لقوانين حماية البيانات بخلاف تلك الخاصة بالمنطقة الاقتصادية الأوروبية أو المملكة المتحدة التي تنطبق على التحويلات المقيدة. يشير مصطلح “السلطة الإشرافية” إلى الجهة التنظيمية المعنية بحماية البيانات أو أي هيئة حكومية أخرى لديها السلطة لإنفاذ قوانين حماية البيانات. يتم استبدال مصطلحي “قوانين حماية البيانات السارية” و”التوجيه 95/46/EC” بـ “قوانين حماية البيانات السارية” كما هو محدد هنا.
11) حذف أو إرجاع البيانات الشخصية
ما لم يُنص على خلاف ذلك في اتفاق لاحق، وإلى أقصى حد يسمح به القانون، يجب على Palmfairs، خلال 90 يومًا بعد انتهاء أو إنهاء الاتفاق، إما إعادة البيانات الشخصية للعميل أو التوقف عن معالجتها. سيُعتبر العميل قد اختار الحذف إذا لم يتم إبلاغ Palmfairs بتفضيل العميل لإعادة أو حذف بياناته الشخصية خلال 30 يومًا بعد انتهاء أو انتهاء الاتفاقية. في نهاية الاتفاقية، لا يُطلب من أي من الطرفين من الطرف الآخر إعادة أو حذف أي بيانات مجهولة.
12) تحديد المسؤولية
ستُطبق حدود المسؤولية في الاتفاقية على المسؤولية الإجمالية لشركة Palmfairs الناشئة عن أو المتعلقة بهذا الملحق، سواء في العقد أو المسؤولية التقصيرية أو أي نظرية أخرى للمسؤولية. ستكون المسؤولية بين الشركة والعميل في البنود التعاقدية القياسية خاضعة لقيود المسؤولية بين الطرفين، بالقدر الذي يسمح به قانون حماية البيانات. ومع ذلك، فإن هذا النص لن يؤثر على المسؤولية تجاه موضوع البيانات كما هو موضح في البنود التعاقدية القياسية.
13) متنوعات.
13.1 كيفية فهمه. ستكون شروط وأحكام الاتفاقية لها الأسبقية على شروط وأحكام هذه الاتفاقية لحماية البيانات، ولكن إذا كان هناك تناقض واضح بين الاثنين فيما يتعلق بحماية البيانات، فستكون هذه الاتفاقية لحماية البيانات لها الأسبقية.
13.2 التعديلات. ما لم يوقع ممثلو الطرفين المخولون على التغيير كتابيًا، يظل هذا الاتفاق ساري المفعول وكامل الأثر.
13.3 عدم الامتثال. سيتم استبدال الحكم غير الصالح أو غير القابل للتنفيذ في هذا الاتفاق ببديل صالح وقابل للتنفيذ يتبع النية الأصلية عن كثب، وستظل الأحكام المتبقية من الاتفاق سارية المفعول، إن وجدت، وفقًا للقانون المعمول به.
13:4 الإطار الزمني. سيكون هذا الاتفاق ساري المفعول اعتبارًا من تاريخ سريان الاتفاقية أو، إذا تم إكماله بعد ذلك التاريخ، اعتبارًا من تاريخ توقيع الطرف الأخير عليه. حتى يتم إنهاء الاتفاقية، سيظل DPA ساريًا.
13.5 الاستمرار في الحياة. باستثناء ما هو منصوص عليه صراحة في هذا الاتفاق ليظل ساريًا بعد إنهائه، ستظل حقوق والتزامات الأطراف هنا سارية المفعول وكاملة.
13.6.1 لا توجد مستفيدون من الأطراف الثالثة – باستثناء ما هو محدد بشكل خاص بموجب قوانين حماية البيانات للموضوعات في البنود التعاقدية القياسية، لا يُقصد بأي جزء من هذا الملحق أن يستفيد منه أي شخص ليس طرفًا فيه. وبالمثل، لا يحق لأي شخص ليس طرفًا في هذا الملحق أن يسعى إلى تنفيذ أو استرداد أي تعويض يتعلق به.
الموافقة على هذا الاتفاق، قام الأطراف الموقعون أدناه بتنفيذه.
بالنيابة عن شركة بالمفيرز، ذ.م.م:
العميل:
التوقيعات:________________________
اسم:______________________
السياق: العنوان:__________________________ النص للترجمة: العنوان:__________________________
التاريخ:_________________________
التوقيعات:________________________
اسم:______________________
العنوان:___________________________ النص للترجمة: العنوان:___________________________
التاريخ:__________________________
بُنود تعاقدية قياسية
القسم رقم I
بند 1
الغرض والنطاق
(أ) عند نقل البيانات إلى دولة ثالثة، ستضمن هذه البنود التعاقدية القياسية أن كل شيء يتوافق مع اللائحة العامة لحماية البيانات (الاتحاد الأوروبي) 2016/679، التي تحمي حقوق الأفراد فيما يتعلق ببياناتهم الشخصية وتسمح بحركتها الحرة.
(ب) جميع المعنيين:
بموجب عنوان تجاري في [ _______________________ ]، [اسم العميل] هو كيان قانوني منظم بموجب قوانين [ ________________].
في الحالات التي يكون فيها مصدر البيانات معالجًا بموجب اللائحة (الاتحاد الأوروبي) 2016/679 يعمل نيابة عن مؤسسة أو هيئة من الاتحاد كمراقب، فإن الاعتماد على هذه البنود عند الاستعانة بمعالج آخر (المعالجة الفرعية) الذي لا يخضع للائحة (الاتحاد الأوروبي) 2016/679 يضمن أيضًا الامتثال للمادة 29(4) من اللائحة (الاتحاد الأوروبي) 2018/1725 للبرلمان الأوروبي والمجلس بتاريخ 23 أكتوبر 2018 بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية من قبل مؤسسات وهيئات ومكاتب ووكالات الاتحاد، وكذلك بشأن حرية حركة هذه البيانات. يلغي هذا التنظيم اللائحة (EC) رقم 45/2001 والقرار رقم 1247/2002/EC (OJ L 295، 21.11.2018، ص. 39)، بقدر ما تشمل هذه البنود والتزامات حماية البيانات كما هو موضح في العقد أو أي عمل قانوني آخر بين المتحكم والمعالج. سيتم الاعتماد على البنود التعاقدية القياسية المدرجة في القرار 2021/915 من قبل المتحكم والمعالج في هذه الحالات.
أيضًا
الاسم القانوني لهذه الشركة هو Palmfairs LLC، ومقرها في 1510 شارع راندولف، جناح 208، كارولتون، تكساس 75006.
(ط) الكيان أو الكيانات (سواء كانت طبيعية أو قانونية)، السلطة العامة، الوكالة، أو أي هيئة أخرى (المشار إليها فيما بعد بـ “الكيان” أو “مُصدِّر البيانات”) التي تقوم بنقل البيانات الشخصية، كما هو محدد في الملحق I.A، و
(ii) الكيان أو الكيانات في دولة ثالثة [المشار إليها فيما بعد بـ “مستورد البيانات”] التي تتلقى البيانات الشخصية من مصدر البيانات، إما مباشرة أو بشكل غير مباشر من خلال كيان آخر يكون أيضًا طرفًا في هذه البنود، كما هو مدرج في الملحق I.A.
يتفقون مع الأحكام التعاقدية القياسية التالية (المشار إليها فيما بعد بـ “الأحكام”).
(ج) يخضع نقل البيانات الشخصية الموصوف في الملحق I.B. لهذه البنود.
(د) تُكمل هذه البنود وتتكون بالكامل من الملحق الذي يحتوي على الملاحق المذكورة فيه.
بند 2
أثر وثبات البنود
أ) وفقًا للمادة 46(1) والمادة 46(2)(ج) من اللائحة (الاتحاد الأوروبي) 2016/679، تحدد هذه البنود الحمايات ذات الصلة، مثل حقوق موضوع البيانات والسبل القانونية الفعالة، وفيما يتعلق بنقل البيانات من المتحكمين إلى المعالجات و/أو من المعالجات إلى المعالجات، البنود التعاقدية القياسية وفقًا للمادة 28(7) من اللائحة (الاتحاد الأوروبي) 2016/679. ستظل هذه الأحكام دون تغيير، باستثناء أي تعديلات تُجرى لاختيار الوحدة (الوحدات) الصحيحة أو لإضافة أو تحديث المعلومات في الملحق. يحق للأطراف دمج البنود التعاقدية القياسية الموضحة في هذه البنود في عقد أوسع و/أو إضافة ضمانات أخرى، طالما أنها لا تتعارض بشكل مباشر أو غير مباشر مع هذه البنود أو تنتهك الحقوق أو الحريات الأساسية للأشخاص المعنيين.
(ب) لا تتأثر الالتزامات التي يرتبط بها مُصدِّر البيانات بموجب اللائحة (الاتحاد الأوروبي) 2016/679 بهذه البنود.
بند 3
المستفيدون من الطرف الثالث
(أ) يجوز للأشخاص المعنيين بالبيانات الاستناد إلى هذه البنود وإنفاذها، كطرف ثالث مستفيد، ضد مصدر البيانات و/أو مستورد البيانات، مع الاستثناءات التالية:
(ط) البند 1، البند 2، البند 3، البند 6، البند 7؛
(ب) البند 8 – الوحدة الأولى: البند 8.5 (هـ) والبند 8.9 (ب)؛ الوحدة الثانية: البند 8.1 (ب)، 8.9 (أ)، (ج)، (د) و(هـ)؛ الوحدة الثالثة: البند 8.1 (أ)، (ج) و(د) والبند 8.9 (أ)، (ج)، (د)، (هـ)، (و) و(ز)؛ الوحدة الرابعة: البند 8.1 (ب) والبند 8.3 (ب)؛
(iii) البند 9 – الوحدة الثانية: البند 9(أ)، (ج)، (د) و(هـ)؛ الوحدة الثالثة: البند 9(أ)، (ج)، (د) و(هـ)؛
(رابعاً) البند 12 – الوحدة الأولى: البند 12(أ) و(د)؛ الوحدتان الثانية والثالثة: البند 12(أ) و(د) و(و)؛
(و) البند 13؛
(vi) البند 15.1(ج)، (د) و(هـ)؛
(السابع) البند 16(هـ)؛
(ثامناً) البند 18 – الوحدات الأولى والثانية والثالثة: البند 18(أ) و(ب)؛ الوحدة الرابعة: البند 18.
(ب) الفقرة (أ) لا تمس بحقوق أصحاب البيانات بموجب اللائحة (الاتحاد الأوروبي) 2016/679.
بند 4
تفسير
(أ) يجب أن تحمل المصطلحات المحددة في اللائحة (الاتحاد الأوروبي) 2016/679 نفس المعنى كما في تلك اللائحة كلما تم استخدامها في هذه البنود.
(ب) يجب قراءة هذه البنود وتفسيرها وفقًا للائحة (الاتحاد الأوروبي) 2016/679.
(ج) لا يمكن قراءة هذه البنود بطريقة تتعارض مع الواجبات والحقوق المنصوص عليها في اللائحة (الاتحاد الأوروبي) 2016/679.
بند 5
الهرمية
إذا تعارضت هذه البنود مع شروط الاتفاقيات ذات الصلة بين الأطراف التي كانت سارية في الوقت الذي تم فيه الاتفاق على هذه البنود أو التي تم الدخول فيها لاحقًا، فإن هذه البنود ستأخذ الأولوية.
بند 6
وصف النقل(ات)
الملحق I.B. يوثق تفاصيل النقل أو النقلات، بما في ذلك أنواع البيانات الشخصية التي يتم نقلها والغرض أو الأغراض التي من أجلها يتم نقلها.
بند 7 – اختياري
بند الإرساء
(أ) يمكن للمنظمة التي ليست طرفًا في هذه البنود أن تنضم إليها في أي وقت كجهة مستوردة أو مصدرة للبيانات بموافقة الأطراف من خلال ملء الملحق وتوقيع الملحق الأول.
(ب) ستصبح الكيان المنضم طرفًا في هذه البنود وستتمتع بحقوق والتزامات مصدر البيانات أو مستورد البيانات وفقًا لتصنيفه في الملحق I.A. بعد إكمال الملحق وتوقيع الملحق I.A.
(ج) من الوقت قبل أن تصبح طرفًا، لن يكون للكيان المنضم أي حقوق أو التزامات تنشأ بموجب هذه البنود.
القسم الثاني – التزامات الأطراف
بند 8 – اختياري
بند الإرساء
يضمن مُصدِّر البيانات أنه بذل جهدًا حسن النية للتأكد من أن مُستورِد البيانات يمكنه الوفاء بمسؤولياته بموجب هذه البنود من خلال وضع التدابير التنظيمية والتقنية اللازمة.
الوحدة 2: نقل وحدة التحكم إلى المعالج
8.1 إرشادات
(أ) يجب أن تتم معالجة البيانات الشخصية من قبل مستورد البيانات فقط وفقًا للتعليمات المكتوبة من مصدر البيانات. يمكن إعطاء هذه التعليمات من قبل مصدر البيانات في أي وقت خلال مدة العقد.
(ب) إذا كان مُصدِّر البيانات غير قادر على الامتثال لتلك التعليمات، يجب على مُستورد البيانات إبلاغه على الفور.
8.2 تحديد الغرض
ما لم يتم توجيه خلاف ذلك من قبل مصدر البيانات، يجوز لمستورد البيانات معالجة البيانات الشخصية فقط للغرض أو الأغراض المحددة للنقل كما هو محدد في الملحق I.B.
8.3 الشفافية
سيتم توفير نسخة مجانية من هذه البنود، بما في ذلك الملحق المكتمل للأطراف، للشخص المعني عند الطلب من المصدر البيانات. قبل مشاركة نسخة، يجوز للجهة المصدرة للبيانات حذف أجزاء من الملحق لهذه البنود إذا لزم الأمر لحماية الأسرار التجارية أو المعلومات السرية الأخرى، بما في ذلك التدابير الموضحة في الملحق الثاني والبيانات الشخصية. ومع ذلك، في الحالات التي لا يتمكن فيها موضوع البيانات من فهم المحتوى أو ممارسة حقوقه، يجب على مصدر البيانات تقديم ملخص ذو مغزى. إذا طلب ذلك موضوع البيانات، ستقوم الأطراف، إلى أقصى حد ممكن، بشرح السبب وراء الحذف دون الكشف عن المعلومات التي تم حذفها. لا تؤثر هذه الفقرة على مسؤوليات مصدر البيانات بموجب المادتين 13 و14 من اللائحة (الاتحاد الأوروبي) 2016/679.
8.4 الدقة
يجب على مستورد البيانات إبلاغ مصدر البيانات على الفور إذا علم أن المعلومات الشخصية التي تلقاها غير صحيحة أو قديمة. في هذه الحالة، يجب على مستورد البيانات العمل مع مصدر البيانات لإزالة أو تصحيح البيانات.
8.5 مدة المعالجة أو الحذف أو إرجاع البيانات
فقط خلال الإطار الزمني المذكور في الملحق I.B. يمكن لمستورد البيانات معالجة البيانات. بعد الانتهاء من خدمات المعالجة، يجب على مستورد البيانات إما إعادة جميع البيانات الشخصية المعالجة إلى مصدر البيانات وإزالة أي نسخ لا تزال موجودة، أو يمكن لمصدر البيانات أن يطلب من مستورد البيانات حذف جميع البيانات الشخصية المعالجة نيابة عنه وتقديم شهادة لمصدر البيانات بأنه قد فعل ذلك. المستورد للبيانات مسؤول عن الحفاظ على الالتزام بهذه البنود حتى يتم إزالة البيانات أو إعادتها. يضمن مستورد البيانات أنه سيواصل ضمان الامتثال لهذه البنود وأنه سيعالج البيانات الشخصية فقط بالقدر والمدة المطلوبة بموجب أي قوانين محلية سارية تحظر إعادة أو حذف هذه البيانات. هذا لا يؤثر على البند 14، وبالتحديد الالتزام بموجب البند 14(هـ) على مستورد البيانات بإبلاغ مصدر البيانات خلال مدة العقد إذا كان لديه شك معقول بأنه هو أو أصبح خاضعًا لقوانين أو ممارسات لا تتوافق مع المتطلبات بموجب البند 14(أ).
8.6 أمان المعالجة
(أ) يجب على مستورد البيانات ومصدر البيانات أثناء النقل وضع التدابير التنظيمية والتقنية المناسبة لضمان أمان البيانات، بما في ذلك الدفاع ضد خرق أمني قد يؤدي إلى التدمير غير المقصود أو غير القانوني، الفقدان، الت alteration، الكشف غير المصرح به، أو الوصول (المشار إليه فيما بعد بـ “خرق البيانات الشخصية”). يجب على الأطراف أن تأخذ في الاعتبار أحدث التقنيات، وتكاليف التنفيذ، وطبيعة ونطاق وسياق وأغراض المعالجة، فضلاً عن المخاطر المرتبطة بالمعالجة بالنسبة للأشخاص المعنيين، عند تحديد المستوى المناسب من الأمان. عندما يمكن تحقيق هدف المعالجة بهذه الطريقة، ستأخذ الأطراف في الاعتبار بشكل خاص استخدام التشفير أو إخفاء الهوية، حتى أثناء النقل. عند حدوث التمويه، سيحتفظ مصدر البيانات، إن أمكن، بالتحكم الكامل في المعلومات الإضافية اللازمة لربط البيانات الشخصية بموضوع بيانات معين. يجب على مستورد البيانات أن يضع على الأقل التدابير التنظيمية والتقنية المذكورة في الملحق الثاني موضع التنفيذ من أجل الوفاء بمسؤولياته بموجب هذه الفقرة. لضمان استمرار هذه الاحتياطات في تقديم درجة مناسبة من الأمان، يجب على مستورد البيانات إجراء فحوصات دورية.
(ب) يجب على مستورد البيانات السماح بالوصول إلى البيانات الشخصية للموظفين فقط عندما يكون ذلك ضروريًا تمامًا لتنفيذ العقد وإدارته والإشراف عليه. سوف تتأكد من أن الذين يُسمح لهم بالتعامل مع البيانات الشخصية قد تعهدوا بالحفاظ على سريتها أو يخضعون لواجب قانوني مناسب للقيام بذلك.
(ج) في حال حدوث خرق يتعلق بالبيانات الشخصية التي يعالجها مستورد البيانات وفقًا لهذه البنود، يُطلب من المستورد اتخاذ الإجراءات اللازمة لحل الخرق، بما في ذلك الخطوات لتقليل عواقبه السلبية. بالإضافة إلى ذلك، بمجرد أن يتعلم مستورد البيانات عن الخرق، يجب عليه إبلاغ مصدر البيانات على الفور. يجب أن تتضمن هذه الإشعار وصفًا لطبيعة الخرق (بما في ذلك، إذا كان ذلك ممكنًا، الفئات والعدد التقريبي للأشخاص المعنيين وسجلات البيانات الشخصية المتورطة)، وعواقبه المحتملة، والإجراءات المتخذة أو المخطط لها لمعالجة الخرق—بما في ذلك، عند الاقتضاء، الخطوات اللازمة للتخفيف من آثاره السلبية المحتملة—بالإضافة إلى معلومات الاتصال للحصول على مزيد من المعلومات. إذا كان من غير الممكن توفير جميع المعلومات دفعة واحدة، ستتضمن الإخطار الأول المعلومات المتاحة حاليًا، وسيتم توفير أي معلومات إضافية بمجرد توفرها.
(د) بالنظر إلى طبيعة المعالجة والمعلومات المتاحة لدى مستورد البيانات، يجب على مستورد البيانات التعاون ودعم مصدر البيانات لتمكين مصدر البيانات من الوفاء بمسؤولياته بموجب اللائحة (الاتحاد الأوروبي) 2016/679، وخاصة إبلاغ السلطة الإشرافية المعنية والأشخاص المتأثرين.
8.7 البيانات الحساسة
يجب على مستورد البيانات تنفيذ القيود الخاصة و/أو التدابير الإضافية الموضحة في الملحق I.B. في الحالات التي تتضمن فيها عملية النقل بيانات شخصية تكشف عن الأصل العرقي أو الإثني، الآراء السياسية، المعتقدات الدينية أو الفلسفية، عضوية النقابات العمالية، البيانات الجينية أو البيومترية لغرض التعرف الفريد على الشخص الطبيعي، المعلومات الصحية، الحياة الجنسية للشخص أو ميوله الجنسية، أو المعلومات المتعلقة بالإدانات والجرائم الجنائية (مجتمعة، “البيانات الحساسة”).
8.8 التحويلات إلى الأمام
يسمح لمستورد البيانات بمشاركة المعلومات الشخصية مع طرف ثالث فقط بناءً على طلب كتابي من مصدر البيانات. علاوة على ذلك، فقط إذا كان الطرف الثالث ملزمًا أو وافق على الالتزام بهذه البنود، بموجب الوحدة ذات الصلة، يجوز الإفصاح عن البيانات لطرف ثالث يقع خارج الاتحاد الأوروبي (في نفس الدولة التي يقع فيها مستورد البيانات أو في دولة ثالثة أخرى، المشار إليها فيما بعد بـ “النقل اللاحق”).
(i) وفقًا للمادة 45 من اللائحة (الاتحاد الأوروبي) 2016/679، التي تتناول النقل المستمر، يتم النقل إلى دولة تستفيد من قرار الملاءمة؛
(ii) الطرف الثالث، وفقًا للمادتين 46 أو 47 من لائحة (الاتحاد الأوروبي) 2016/679، يوفر حماية مناسبة للمعالجة المعنية؛
(iii) في سياق إجراءات إدارية أو تنظيمية أو قضائية معينة، يتطلب النقل اللاحق لإقامة أو ممارسة أو الدفاع عن المطالبات القانونية؛ أو
(iv) يجب أن يتم حماية المصالح الحيوية للموضوع المعني أو لشخص طبيعي آخر من خلال النقل اللاحق.
أي نقل لاحق مشروط بالتزام مستورد البيانات بجميع الحمايات الأخرى المنصوص عليها في هذه البنود، بما في ذلك تحديد الغرض.
(2) سيتم توسيع السوق الداخلية للاتحاد الأوروبي لتشمل آيسلندا وليختنشتاين والنرويج بموجب اتفاقية المنطقة الاقتصادية الأوروبية (اتفاقية المنطقة الاقتصادية الأوروبية). تشمل اللائحة (الاتحاد الأوروبي) 2016/679 وغيرها من قوانين حماية البيانات التابعة للاتحاد في الملحق الحادي عشر من اتفاقية المنطقة الاقتصادية الأوروبية وهي مشمولة بها. هنا علاوة على ذلك، لأغراض هذه البنود، فإن أي إفصاح يقوم به مستورد البيانات لطرف ثالث يقع داخل المنطقة الاقتصادية الأوروبية لا يُعتبر نقلًا لاحقًا. 8.9
التوثيق والامتثال
(أ) يجب على مستورد البيانات الرد على استفسارات مصدر البيانات بشأن المعالجة بموجب هذه البنود في الوقت المناسب وبطريقة كافية.
(ب) يجب أن يكون كلا الطرفين قادرين على إثبات امتثالهما لهذه البنود. في على وجه الخصوص، يُطلب من مستورد البيانات الاحتفاظ بالسجلات المناسبة لعمليات المعالجة التي تُجرى نيابة عن مُصدِر البيانات.
ج) في فترات معقولة أو إذا كانت هناك علامات على عدم الامتثال، يجب على مستورد البيانات تزويد مصدر البيانات بجميع المعلومات المطلوبة لإثبات الامتثال للواجبات الموضحة في هذه البنود. بالإضافة إلى ذلك، يجب على مستورد البيانات السماح والمساعدة في تدقيق أنشطة المعالجة المشمولة بهذه البنود بناءً على طلب مصدر البيانات. في قد يأخذ مصدر البيانات في اعتباره الشهادات ذات الصلة التي يحملها مستورد البيانات عند الاختيار بين المراجعة والتدقيق.
د) يحق لمصدر البيانات توظيف مدقق خارجي أو إجراء التدقيق بنفسه. قد تشمل التدقيقات عمليات تفتيش في مقرات أو مرافق البيانات المستوردة، ويجب، عند الاقتضاء، أن تُجرى بإشعار معقول.
(هـ) يتعين على الأطراف تقديم المعلومات المشار إليها في الفقرتين (ب) و(ج)، بما في ذلك نتائج أي تدقيق، إلى السلطة الإشرافية المختصة عند الطلب.
الوحدة الثالثة: نقل المعالج من معالج إلى معالج
8.1 التعليمات
(أ) أخطر مصدر البيانات مستورد البيانات بأنه يعالج البيانات وفقًا لتوجيهات من المتحكم أو المتحكمين، والتي يجب على مصدر البيانات تقديمها للمستورد قبل المعالجة.
(ب) يمكن للمستورد البيانات استخدام التعليمات الموثقة فقط من المتحكم، كما تم نقلها إلى مستورد البيانات من قبل المصدر البيانات، وأي تعليمات موثقة إضافية من المصدر البيانات. يجب ألا تتعارض هذه التعليمات الإضافية مع التعليمات الصادرة عن المتحكم. يمكن تقديم التعليمات الإضافية الموثقة حول معالجة البيانات من قبل المتحكم أو مصدر البيانات خلال مدة العقد.
ج) يجب على مستورد البيانات إبلاغ مصدر البيانات على الفور إذا كان غير قادر على اتباع تلك التعليمات. عندما يكون مستورد البيانات غير قادر على اتباع التعليمات من المتحكم، يجب على مصدر البيانات إبلاغ المتحكم على الفور.
(د) يضمن مصدر البيانات أنه قد فرض نفس التزامات حماية البيانات على مستورد البيانات كما هو منصوص عليه في العقد أو أي عمل قانوني آخر بموجب قانون الاتحاد أو قانون الدولة العضو بين المتحكم والبيانات. (5)
(5) انظر المادة 28(4) من اللائحة (الاتحاد الأوروبي) 2016/679، وعندما يكون المتحكم مؤسسة أو هيئة من الاتحاد الأوروبي، انظر المادة 29(4) من اللائحة (الاتحاد الأوروبي) 2018/1725.
8.2 تحديد الغرض
يجب على مستورد البيانات معالجة البيانات الشخصية فقط للأغراض المحددة للنقل، كما هو موضح في الملحق I. ب، ما لم يتم توجيه تعليمات إضافية من المتحكم، كما تم إبلاغ مستورد البيانات بها من قبل مصدر البيانات، أو من مصدر البيانات.
8.3 الشفافية
عند الطلب، يجب على مصدر البيانات أن يجعل نسخة من هذه البنود، بما في ذلك الملحق المكتمل من قبل الأطراف، متاحة للموضوع المعني مجانًا. بقدر ما هو ضروري لحماية أسرار الأعمال أو المعلومات السرية الأخرى، بما في ذلك البيانات الشخصية، يجوز لمصدر البيانات حذف جزء من نص الملحق قبل مشاركة نسخة منه، ولكنه يجب أن يقدم ملخصًا ذا مغزى حيث لا يتمكن موضوع البيانات من فهم محتواه أو ممارسة حقوقه. عند الطلب، يجب على الأطراف تزويد موضوع البيانات بأسباب الحذف، بقدر الإمكان دون الكشف عن المعلومات المحذوفة.
8.4 الدقة
يجب على مستورد البيانات إبلاغ مصدر البيانات على الفور إذا علم أن المعلومات الشخصية التي تلقاها غير صحيحة أو قديمة. في هذه الحالة، يجب على المستورد والمصدر للبيانات العمل معًا لتصحيح أو إزالة البيانات.
.5 مدة المعالجة أو الحذف أو إعادة البيانات
فقط خلال الإطار الزمني المذكور في الملحق I.B. يمكن لمستورد البيانات معالجة البيانات. بعد الانتهاء من خدمات المعالجة، يجب على مستورد البيانات إما إعادة جميع البيانات الشخصية المعالجة نيابة عن المتحكم إلى مصدر البيانات وحذف أي نسخ لا تزال موجودة، أو يجب عليه حذف جميع البيانات الشخصية المعالجة نيابة عن المتحكم وتأكيد لمصدر البيانات أنه قد فعل ذلك. المستورد للبيانات مسؤول عن الحفاظ على الالتزام بهذه البنود سواء تم مسح البيانات أو إعادتها. القوانين المحلية المطبقة على مستورد البيانات التي تحظر إعادة أو حذف البيانات الشخصية، يضمن مستورد البيانات أنه سيواصل الامتثال لهذه البنود وأنه سيعالجها فقط بالقدر وطوال المدة المطلوبة بموجب تلك القوانين المحلية. هذا دون الإخلال بالمادة 14، وبشكل خاص متطلبات المستورد للبيانات بموجب المادة 14(هـ) لإخطار المصدر للبيانات طوال مدة العقد إذا كان لديه سبب للاعتقاد بأنه هو أو أصبح خاضعًا لقوانين أو ممارسات لا تتماشى مع المتطلبات بموجب المادة 14(أ).
8.6 أمان المعالجة
(أ) يجب على مستورد البيانات وأثناء النقل، وكذلك مصدر البيانات، تنفيذ التدابير الفنية والتنظيمية المناسبة لضمان أمان البيانات، بما في ذلك الحماية ضد خرق الأمان الذي يؤدي إلى التدمير العرضي أو غير القانوني، الفقدان، التغيير، الكشف غير المصرح به، أو الوصول إلى تلك البيانات (المشار إليها فيما بعد بـ “خرق البيانات الشخصية”). عند تقييم المستوى المناسب للأمان، يجب عليهم أن يأخذوا بعين الاعتبار أحدث التقنيات، وتكاليف التنفيذ، وطبيعة ونطاق وسياق وأغراض المعالجة، والمخاطر المرتبطة بالمعالجة بالنسبة للموضوع المعني بالبيانات. يجب على الأطراف أن تأخذ في الاعتبار بشكل خاص اللجوء إلى التشفير أو التمويه، بما في ذلك أثناء النقل، حيث يمكن تحقيق الغرض من المعالجة بهذه الطريقة. في حالة التمويه، يجب أن تظل المعلومات الإضافية المنسوبة إلى موضوع البيانات المحدد تحت السيطرة الحصرية للجهة المصدرة للبيانات أو المتحكم، حيثما أمكن ذلك. في الامتثال لالتزاماته بموجب هذه الفقرة، يجب على مستورد البيانات على الأقل تنفيذ التدابير الفنية والتنظيمية المحددة في الملحق الثاني. يجب على مستورد البيانات إجراء فحوصات منتظمة لضمان استمرار هذه التدابير في توفير مستوى مناسب من الأمان.
(ب) يجب على مستورد البيانات منح الوصول إلى البيانات لأعضاء طاقمه فقط بالقدر الضروري لتنفيذ العقد وإدارته ومراقبته. يجب أن تضمن أن الأشخاص المخولين بمعالجة البيانات الشخصية قد التزموا بالسرية أو يخضعون لالتزام قانوني مناسب بالسرية.
(c) في حالة حدوث خرق للبيانات الشخصية المتعلقة بالبيانات الشخصية التي يعالجها المستورد للبيانات بموجب هذه البنود، يجب على المستورد للبيانات اتخاذ التدابير المناسبة لمعالجة الخرق، بما في ذلك التدابير للتخفيف من آثاره السلبية. يجب على المستورد للبيانات أيضًا إبلاغ المصدر للبيانات، دون تأخير غير مبرر، والمراقب، عند الاقتضاء والإمكان، بعد أن يصبح على علم بالخرق. يجب أن تحتوي هذه الإشعار على تفاصيل نقطة اتصال يمكن الحصول على مزيد من المعلومات منها، ووصف لطبيعة الخرق (بما في ذلك، حيثما أمكن، الفئات والعدد التقريبي للأشخاص المعنيين وسجلات البيانات الشخصية المعنية)، وعواقبه المحتملة، والتدابير المتخذة أو المقترحة لمعالجة خرق البيانات، بما في ذلك التدابير لتخفيف تأثيراته السلبية المحتملة. حيثما كان، وبقدر ما كان، من غير الممكن تقديم جميع المعلومات في نفس الوقت، يجب أن تحتوي الإخطار الأولي على المعلومات المتاحة حينها، ويجب تقديم مزيد من المعلومات كلما أصبحت متاحة دون تأخير غير مبرر.
(د) يجب على مستورد البيانات التعاون مع ومساعدة مصدر البيانات لتمكين مصدر البيانات من الامتثال لالتزاماته بموجب اللائحة (الاتحاد الأوروبي) 2016/679، وبشكل خاص لإخطار المتحكم لديه حتى يتمكن الأخير من إبلاغ السلطة الإشرافية المختصة والأشخاص المعنيين المتأثرين، مع الأخذ في الاعتبار طبيعة المعالجة والمعلومات المتاحة لمستورد البيانات.
8.7 البيانات الحساسة
حيثما ينطوي النقل على بيانات شخصية تكشف عن الأصل العرقي أو الإثني، أو الآراء السياسية، أو المعتقدات الدينية أو الفلسفية، أو عضوية النقابات العمالية؛ أو البيانات الجينية أو البيانات البيومترية لغرض التعرف الفريد على شخص طبيعي؛ أو البيانات المتعلقة بالصحة أو الحياة الجنسية للشخص أو التوجه الجنسي؛ أو البيانات المتعلقة بالإدانات والجرائم الجنائية (المشار إليها فيما بعد بـ “البيانات الحساسة”)، يجب على مستورد البيانات تطبيق القيود المحددة و/أو الحماية الإضافية المنصوص عليها في الملحق I.B.
8.8 التحويلات اللاحقة
يجب على مستورد البيانات الكشف عن البيانات الشخصية لطرف ثالث فقط بناءً على تعليمات موثقة من المتحكم، كما تم إبلاغ مستورد البيانات بها من قبل مصدر البيانات. بالإضافة إلى ذلك، لا يجوز الكشف عن البيانات لطرف ثالث يقع خارج الاتحاد الأوروبي (6).
(6) ينص اتفاق المنطقة الاقتصادية الأوروبية (اتفاقية المنطقة الاقتصادية الأوروبية) على توسيع السوق الداخلية للاتحاد الأوروبي لتشمل الدول الثلاث في المنطقة الاقتصادية الأوروبية: آيسلندا، ليختنشتاين، والنرويج. تشمل تشريعات حماية البيانات في الاتحاد، بما في ذلك اللائحة (الاتحاد الأوروبي) 2016/679، اتفاقية المنطقة الاقتصادية الأوروبية وقد تم دمجها في الملحق الحادي عشر لها. لذلك، فإن أي إفصاح من قبل مستورد البيانات إلى طرف ثالث يقع في المنطقة الاقتصادية الأوروبية لا يُعتبر نقلًا لاحقًا لأغراض هذه البنود. (في نفس البلد الذي يقع فيه مستورد البيانات أو في دولة ثالثة أخرى، المشار إليها فيما بعد بـ “النقل اللاحق”) إذا كان الطرف الثالث ملزمًا أو يوافق على الالتزام بهذه البنود بموجب الوحدة المناسبة، أو إذا
(i) النقل المستقبلي يتم إلى دولة تستفيد من قرار كفاية وفقًا للمادة 45 من اللائحة (الاتحاد الأوروبي) 2016/679 الذي يغطي النقل المستقبلي؛
(ii) الطرف الثالث يضمن خلاف ذلك تدابير الحماية المناسبة وفقًا للمادتين 46 أو 47 من اللائحة (الاتحاد الأوروبي) 2016/679؛
(iii) النقل اللاحق ضروري لإنشاء أو ممارسة أو الدفاع عن المطالبات القانونية في سياق إجراءات إدارية أو تنظيمية أو قضائية محددة؛ أو
(iv) النقل اللاحق ضروري لحماية المصالح الحيوية للموضوع المعني أو لشخص طبيعي آخر.
أي نقل لاحق يخضع لامتثال مستورد البيانات لجميع الضمانات الأخرى بموجب هذه البنود، وخاصة تحديد الغرض.
8.9 الوثائق والامتثال
(أ) يجب على المستورد للبيانات التعامل مع الاستفسارات من المتحكم أو مصدر البيانات بشأن المعالجة بموجب هذه البنود بسرعة وبشكل مناسب.
(ب) سيكون بإمكان الأطراف إثبات أنهم امتثلوا لهذه الاتفاقيات. على وجه الخصوص، يجب على مستورد البيانات الاحتفاظ بالوثائق المناسبة حول أنشطة المعالجة التي يتم تنفيذها نيابة عن المتحكم.
(ج) يجب على مستورد البيانات تقديم جميع المعلومات اللازمة لإثبات الامتثال للالتزامات المحددة في هذه البنود إلى مصدر البيانات، الذي يجب عليه بعد ذلك تسليمها إلى المتحكم. (د)
يجب على مستورد البيانات السماح ودعم مصدر البيانات في تدقيق أنشطة المعالجة المشمولة بهذه البنود إذا كانت هناك مؤشرات على عدم الامتثال أو على فترات معقولة. ينطبق نفس الشيء عندما يطلب مصدر البيانات تدقيقًا بناءً على تعليمات المتحكم. عند اتخاذ قرار بشأن التدقيق، يجوز لمصدر البيانات أن يأخذ في الاعتبار الشهادات ذات الصلة التي يحملها مستورد البيانات.
(هـ) إذا تم إجراء التدقيق كما هو موجه من قبل المراقب، يُطلب من مُصدِّر البيانات منح المراقب الوصول إلى النتائج.
قد يكون من الضروري وجود مدقق مستقل، أو قد يقرر مصدر البيانات إجراء التدقيق بشكل مستقل. قد تشمل التدقيقات فحص المرافق المادية في موقع مستورد البيانات، وإذا كان ذلك مناسبًا، يجب أن يتم إجراؤها بإشعار كافٍ.
يجب على الأطراف أن تجعل المعلومات المشار إليها في الفقرتين (ب) و(ج)، بما في ذلك نتائج أي تدقيق، متاحة للسلطة الإشرافية المختصة عند الطلب.
بند 9
استخدام المعالجات الفرعية
الوحدة الثانية: نقل وحدة التحكم إلى المعالج
(أ) التفويض الكتابي العام: لدى مستورد البيانات التفويض العام من مصدر البيانات لتوظيف المعالجين الفرعيين من القائمة المتفق عليها. يجب على مستورد البيانات إبلاغ مصدر البيانات كتابيًا عن أي تغييرات مخطط لها في قائمة المعالجات الفرعية، مثل إضافتها أو استبدالها، قبل 30 يومًا على الأقل، حتى يكون لدى مصدر البيانات وقت كافٍ لرفع أي اعتراضات قبل الانخراط في المعالجات الفرعية. يجب على مستورد البيانات تزويد مصدر البيانات بالمعلومات اللازمة لتمكين مصدر البيانات من ممارسة حقه في الاعتراض.
(ب) حيث يقوم مستورد البيانات بتكليف معالج فرعي للقيام بأنشطة معالجة محددة (نيابة عن مصدر البيانات)، يجب أن يتم ذلك من خلال عقد مكتوب ينص، في جوهره، على نفس التزامات حماية البيانات التي تلزم مستورد البيانات بموجب هذه البنود، بما في ذلك حقوق المستفيدين من الأطراف الثالثة بالنسبة لموضوعات البيانات. (3) يتفق الطرفان على أنه من خلال الامتثال لهذا البند، يفي مستورد البيانات بالتزاماته بموجب البند 8.8. يجب على مستورد البيانات أن يضمن أن المعالج الفرعي يمتثل للالتزامات التي يخضع لها مستورد البيانات وفقًا لهذه البنود.
(ج) يجب على مستورد البيانات أن يقدم، بناءً على طلب مصدر البيانات، نسخة من اتفاقية المعالج الفرعي وأي تعديلات لاحقة لمصدر البيانات. بقدر ما هو ضروري لحماية أسرار العمل أو المعلومات السرية الأخرى، بما في ذلك البيانات الشخصية، يجوز لمستورد البيانات حذف نص الاتفاقية قبل مشاركة نسخة منها.
(د) يظل مستورد البيانات مسؤولاً بالكامل أمام مصدر البيانات عن أداء التزامات المعالج الفرعي بموجب عقده مع مستورد البيانات. يجب على مستورد البيانات إبلاغ مصدر البيانات بأي حالات يفشل فيها المعالج الفرعي في الوفاء بالتزاماته بموجب ذلك العقد.
(هـ) يجب على مستورد البيانات تضمين بند مع المعالج الفرعي يسمح لمصدر البيانات بإنهاء عقد المعالج الفرعي وإبلاغ المعالج الفرعي بحذف أو إعادة البيانات الشخصية إذا لم يعد مستورد البيانات موجودًا، أو توقف عن الوجود قانونيًا، أو أفلس.
٣) يمكن تلبية هذا الشرط من خلال انضمام المعالج الفرعي إلى هذه البنود تحت الوحدة المناسبة، وفقًا للبند ٧.
الوحدة الثالثة: نقل المعالج من معالج إلى معالج
التفويض الكتابي العام لدى مستورد البيانات التفويض العام من المتحكم لاستخدام المعالجين الفرعيين من القائمة المتفق عليها. يجب على مستورد البيانات إبلاغ المتحكم كتابيًا عن أي تغييرات مقصودة في قائمة المعالجات الفرعية، بما في ذلك الإضافات أو الاستبدالات، قبل [حدد الفترة الزمنية] على الأقل. سيتيح هذا الإشعار للمت controller الوقت الكافي للاعتراض على هذه التغييرات قبل أن يتم الاستعانة بالمعالجين الفرعيين. يجب على مستورد البيانات تزويد المتحكم بالمعلومات اللازمة لتمكينه من ممارسة حقه في الاعتراض. يجب على مستورد البيانات إبلاغ مصدر البيانات بتعاقد المعالج الفرعي(ين).
(ب) حيث يقوم مستورد البيانات بتكليف معالج فرعي للقيام بأنشطة معالجة محددة (نيابة عن المتحكم)، يجب أن يتم ذلك من خلال عقد مكتوب ينص، من حيث الجوهر، على نفس التزامات حماية البيانات التي تلزم مستورد البيانات بموجب هذه البنود، بما في ذلك حقوق المستفيدين من الأطراف الثالثة للأشخاص المعنيين بالبيانات. (9)
(9) يمكن تلبية هذا الشرط من خلال انضمام المعالج الفرعي إلى هذه البنود بموجب الوحدة المناسبة، وفقًا للبند 7. يتفق الطرفان على أنه من خلال الامتثال لهذا البند، يفي مستورد البيانات بالتزاماته بموجب البند 8.8. يجب على مستورد البيانات التأكد من أن المعالج الفرعي يمتثل للالتزامات التي يخضع لها مستورد البيانات بموجب هذه البنود.
(ج) يجب على مستورد البيانات أن يقدم، بناءً على طلب مصدر البيانات أو المتحكم، نسخة من اتفاقية المعالج الفرعي وأي تعديلات لاحقة. بقدر ما هو ضروري لحماية أسرار العمل أو المعلومات السرية الأخرى، بما في ذلك البيانات الشخصية، يجوز لمستورد البيانات حذف نص الاتفاقية قبل مشاركة نسخة منها.
(د) يظل مستورد البيانات مسؤولاً بالكامل أمام مصدر البيانات عن أداء التزامات المعالج الفرعي بموجب عقده مع مستورد البيانات. يجب على مستورد البيانات إبلاغ مصدر البيانات بأي حالات يفشل فيها المعالج الفرعي في الوفاء بالتزاماته بموجب العقد.
(هـ) يجب على مستورد البيانات الاتفاق على بند المستفيد الثالث مع المعالج الفرعي بحيث—في حالة اختفاء مستورد البيانات فعليًا، أو توقفه عن الوجود قانونيًا، أو إفلاسه—يكون لمصدر البيانات الحق في إنهاء عقد المعالج الفرعي وتوجيه المعالج الفرعي لمسح أو إعادة البيانات الشخصية.
البند 10
حقوق موضوع البيانات
الوحدة الثانية: نقل وحدة التحكم إلى المعالج
(أ) يُطلب من مستورد البيانات إبلاغ مُصدِر البيانات على الفور في حال طلب موضوع البيانات شيئًا ما. لن يجيب على هذا الطلب بمفرده ما لم يمنحه مصدر البيانات الإذن للقيام بذلك.
(ب) يجب على مستورد البيانات مساعدة مصدر البيانات في الوفاء بالتزاماته للرد على طلبات أصحاب البيانات لممارسة حقوقهم بموجب اللائحة (الاتحاد الأوروبي) 2016/679. في هذا الصدد، يجب على الأطراف تحديد التدابير التقنية والتنظيمية المناسبة في الملحق الثاني، مع الأخذ في الاعتبار طبيعة المعالجة التي سيتم تقديم المساعدة من خلالها، وكذلك نطاق ومدى المساعدة المطلوبة.
(ج) في الوفاء بالتزاماته بموجب الفقرتين (أ) و(ب)، يجب على مستورد البيانات الامتثال لتعليمات مصدر البيانات.
الوحدة الثالثة: نقل المعالج من معالج إلى معالج
(أ) يجب على مستورد البيانات إبلاغ مصدر البيانات على الفور، وعند الاقتضاء، المراقب بأي طلب يتلقاه من موضوع البيانات، دون الرد على ذلك الطلب ما لم يكن قد حصل على إذن للقيام بذلك من المراقب.
(ب) سيساعد مستورد البيانات المصدر البيانات والجهة المسؤولة عن معالجة البيانات في الاستجابة لطلبات أصحاب البيانات بشأن حقوقهم بموجب اللائحة (الاتحاد الأوروبي) 2016/679 أو اللائحة (الاتحاد الأوروبي) 2018/1725، إذا لزم الأمر. في هذا الصدد، يجب على الأطراف تحديد التدابير الفنية والتنظيمية المناسبة في الملحق الثاني، مع الأخذ في الاعتبار طبيعة المعالجة التي سيتم تقديم المساعدة من خلالها، وكذلك نطاق ومدى المساعدة المطلوبة.
(ج) في الوفاء بالتزاماته بموجب الفقرتين (أ) و
بند 11
تصحيح
(أ) يجب على مستورد البيانات إبلاغ أصحاب البيانات بطريقة شفافة وسهلة الوصول، من خلال إشعار فردي أو على موقعه الإلكتروني، بنقطة اتصال مخولة للتعامل مع الشكاوى. سوف تتعامل بسرعة مع أي شكاوى تتلقاها من موضوع البيانات.
[الخيار: يوافق مستورد البيانات على أن يمكن للأشخاص المعنيين تقديم شكوى إلى هيئة مستقلة لتسوية المنازعات (4) دون أي تكلفة على الشخص المعني.] يجب أن تُبلغ أصحاب البيانات، بالطريقة المحددة في الفقرة (أ)، عن آلية التعويض هذه وأنهم غير ملزمين باستخدامها، أو اتباع تسلسل معين في السعي للحصول على التعويض.
(ب) في حالة وجود نزاع بشأن الامتثال لهذه البنود، يجب على الطرف المعني بذل قصارى جهده لحل المشكلة وديًا وفي الوقت المناسب مع صاحب البيانات. يجب على الأطراف أن تبقي بعضها البعض على اطلاع بشأن هذه النزاعات، وعند الاقتضاء، التعاون في حلها.
(ج) حيث يستند موضوع البيانات إلى حق المستفيد من طرف ثالث وفقًا للبند 3، يجب على مستورد البيانات قبول قرار موضوع البيانات بـ:
(i) تقديم شكوى إلى السلطة الإشرافية في دولة العضو التي يقيم فيها عادةً أو يعمل بها، أو إلى السلطة الإشرافية المختصة وفقًا للبند 13؛
(ii) إحالة النزاع إلى المحاكم المختصة بمعنى البند 18.
(د) يوافق الطرفان على أن يكون موضوع البيانات ممثلاً من قبل هيئة غير ربحية أو منظمة أو جمعية وفقًا للشروط المنصوص عليها في المادة 80(1) من اللائحة (الاتحاد الأوروبي) 2016/679.
(هـ) يجب على مستورد البيانات الالتزام بقرار ملزم بموجب القانون المعمول به في الاتحاد الأوروبي أو الدولة العضو.
(و) يوافق مستورد البيانات على أن الخيار الذي يتخذه موضوع البيانات لن يضر بحقوقه الجوهرية والإجرائية في السعي للحصول على التعويضات وفقًا للقوانين المعمول بها.
(4) يجوز لمستورد البيانات تقديم تسوية مستقلة للنزاعات من خلال هيئة تحكيم فقط إذا كانت هذه الهيئة موجودة في بلد قد صدق على اتفاقية نيويورك بشأن تنفيذ أحكام التحكيم.
بند 12
المسؤولية
(أ) تكون كل طرف مسؤولاً تجاه الطرف/الأطراف الأخرى عن أي أضرار تسببها للطرف/الأطراف الأخرى نتيجة أي خرق لهذه البنود.
(ب) يجب على مستورد البيانات دفع تعويض للموضوع البيانات عن أي ضرر يتسبب فيه مستورد البيانات أو معالجه الفرعي إذا انتهكوا حقوق الموضوع البيانات المنصوص عليها في هذه البنود.
(ج) ومع ذلك، سيكون المصدر للبيانات مسؤولاً أيضاً أمام موضوع البيانات، ويمكن لموضوع البيانات الحصول على تعويض عن أي أضرار مادية أو غير مادية تسبب فيها المصدر للبيانات أو المستورد للبيانات (أو معالجه الفرعي) نتيجة انتهاك حقوق المستفيدين من الأطراف الثالثة بموجب هذه البنود. هذا لا يؤثر على مسؤولية مصدر البيانات، وإذا كان مصدر البيانات يعمل كمعالج نيابة عن المتحكم، فإنه لا يؤثر أيضًا على مسؤولية ذلك المتحكم بموجب اللائحة (الاتحاد الأوروبي) 2016/679 أو اللائحة (الاتحاد الأوروبي) 2018/1725، حسب الاقتضاء.
(د) يتفق الطرفان على أنه إذا تم تحميل المصدر للبيانات المسؤولية بموجب الفقرة (ج) عن الأضرار التي تسببها المستورد للبيانات (أو معالجه الفرعي)، فإنه يحق له المطالبة من المستورد للبيانات بتعويض الجزء من التعويض الذي يتناسب مع مسؤولية المستورد للبيانات عن الضرر.
(هـ) حيثما كان هناك أكثر من طرف مسؤول عن أي ضرر يلحق بالموضوع المعني نتيجة انتهاك هذه البنود، فإن جميع الأطراف المسؤولة ستكون مسؤولة بالتضامن والتكافل، ويحق للموضوع المعني رفع دعوى في المحكمة ضد أي من هذه الأطراف.
(و) يتفق الطرفان على أنه إذا تم تحميل أحد الطرفين المسؤولية بموجب الفقرة (هـ)، فإنه يحق له المطالبة من الطرف/الأطراف الأخرى بتعويض الجزء من التعويض الذي يتناسب مع مسؤوليته/مسؤولياتهم عن الضرر.
(ز) لا يجوز لمستورد البيانات الاستناد إلى تصرفات المعالج الفرعي لتجنب مسؤوليته الخاصة.
بند 13
الإشراف
[حيث تكون دولة عضو في الاتحاد الأوروبي هي موقع مصدر البيانات:] السلطة الإشرافية المختصة هي التي ستتولى التأكد من امتثال مُصدِّر البيانات للائحة (الاتحاد الأوروبي) 2016/679 فيما يتعلق بنقل البيانات، كما هو مذكور في الملحق I.C.
[حيث قام مصدر البيانات بتعيين ممثل وفقًا للمادة 27(1) من اللائحة (الاتحاد الأوروبي) 2016/679 وليس مقره في دولة عضو في الاتحاد الأوروبي ولكنه يقع ضمن نطاق تطبيق اللائحة (الاتحاد الأوروبي) 2016/679 وفقًا للمادة 3(2) منها:] كما هو مذكور في الملحق I.C، ستكون السلطة الإشرافية المختصة هي السلطة الإشرافية للدولة العضو التي يقع فيها الممثل المنشأ بموجب المادة 27(1) من اللائحة (الاتحاد الأوروبي) 2016/679.
[حيث أن مصدر البيانات غير موجود في دولة عضو في الاتحاد الأوروبي، ولكنه يقع ضمن نطاق تطبيق اللائحة (الاتحاد الأوروبي) 2016/679 وفقًا للمادة 3(2) منها دون الحاجة إلى تعيين ممثل وفقًا للمادة 27(2) من اللائحة (الاتحاد الأوروبي) 2016/679:] ستكون السلطة الإشرافية في إحدى الدول الأعضاء التي يقع فيها الأشخاص المعنيون الذين يتم نقل بياناتهم الشخصية بموجب هذه البنود فيما يتعلق بتقديم السلع أو الخدمات لهم، أو الذين يتم مراقبة سلوكهم، كما هو موضح في الملحق I.C، هي السلطة الإشرافية المختصة.
(ب) يوافق مستورد البيانات على الخضوع لسلطة الاختصاص والتعاون مع السلطة الإشرافية المختصة في أي إجراءات تهدف إلى ضمان الامتثال لهذه البنود. على وجه الخصوص، يوافق مستورد البيانات على الرد على الاستفسارات، والخضوع للتدقيقات، والامتثال للإجراءات التي تتبناها السلطة الإشرافية، بما في ذلك التدابير التصحيحية والتعويضية. يجب أن يقدم للسلطة الإشرافية تأكيدًا كتابيًا بأن الإجراءات اللازمة قد تم اتخاذها.
القسم الثالث – القوانين المحلية والالتزامات في حالة وصول السلطات العامة
بند 14
القوانين والممارسات المحلية التي تؤثر على الامتثال للبنود
(أ) يضمن الطرفان أنه ليس لديهما أي سبب للاشتباه في أن قوانين وعادات دولة الوجهة الثالثة المتعلقة بمعالجة المستورد للبيانات للبيانات الشخصية، مثل أي متطلبات إفصاح أو تدابير تمنح السلطات العامة الوصول، ستعيق قدرة المستورد للبيانات على الوفاء بمسؤولياته بموجب هذه البنود. هذا يعتمد على المعرفة بأن القوانين والممارسات التي تدعم المبادئ الأساسية للحريات والحقوق الأساسية ولا تتجاوز ما هو مطلوب ومناسب في مجتمع ديمقراطي لحماية أحد الأهداف المحددة في المادة 23(1) من اللائحة (الاتحاد الأوروبي) 2016/679 لا تتعارض مع هذه الأحكام.
(ب) يصرح الطرفان أنهما عند تقديم الضمان في الفقرة (أ)، قد أخذا بعين الاعتبار بشكل خاص العناصر التالية:
(i) الظروف المحددة للنقل، بما في ذلك طول سلسلة المعالجة، عدد الأطراف المعنية والقنوات المستخدمة في النقل؛ التحويلات المقصودة لاحقًا؛ نوع المستلم؛ الغرض من المعالجة؛ الفئات وصيغة البيانات الشخصية المنقولة؛ القطاع الاقتصادي الذي يحدث فيه النقل؛ موقع تخزين البيانات المنقولة؛
(ii) القوانين والممارسات في دولة المقصد الثالثة—بما في ذلك تلك التي تتطلب الكشف عن البيانات للسلطات العامة أو تفويض الوصول من قبل هذه السلطات—ذات صلة في ضوء الظروف الخاصة بالنقل، والقيود والضمانات المطبقة(5);
(iii) أي ضمانات تعاقدية أو تقنية أو تنظيمية ذات صلة تم وضعها لتكملة الضمانات بموجب هذه البنود، بما في ذلك التدابير المطبقة أثناء النقل ومعالجة البيانات الشخصية في بلد الوجهة.
(ج) يضمن مستورد البيانات أنه، عند إجراء التقييم بموجب الفقرة (ب)، قد بذل قصارى جهده لتزويد مصدر البيانات بالمعلومات ذات الصلة ويوافق على أنه سيواصل التعاون مع مصدر البيانات لضمان الامتثال لهذه البنود.
(د) يتفق الطرفان على توثيق التقييم الوارد في الفقرة (ب) وجعله متاحًا للسلطة الإشرافية المختصة عند الطلب.
(هـ) يوافق مستورد البيانات على إبلاغ مصدر البيانات على الفور إذا كان لديه سبب للاعتقاد بأنه هو أو أصبح خاضعًا لقوانين أو ممارسات لا تتماشى مع المتطلبات الواردة في الفقرة (أ)، بما في ذلك بعد تغيير في قوانين الدولة الثالثة أو إجراء (مثل طلب الإفصاح) يشير إلى تطبيق هذه القوانين في الممارسة العملية الذي لا يتماشى مع المتطلبات في الفقرة (أ).
(و) بعد الإخطار وفقًا للفقرة (هـ)، أو إذا كان لدى مصدر البيانات سبب للاعتقاد بأن مستورد البيانات لم يعد قادرًا على الوفاء بالتزاماته بموجب هذه البنود، يجب على مصدر البيانات تحديد التدابير المناسبة على الفور (مثل التدابير التقنية أو التنظيمية لضمان الأمن والسرية) التي يجب أن يتبناها مصدر البيانات و/أو مستورد البيانات لمعالجة الوضع. يجب على مُصدِّر البيانات تعليق نقل البيانات إذا اعتبر أنه لا يمكن ضمان أي تدابير أمان مناسبة لهذا النقل أو إذا طُلب منه ذلك من قبل السلطة الإشرافية المختصة. في هذه الحالة، يحق لمصدر البيانات إنهاء العقد بقدر ما يتعلق بمعالجة البيانات الشخصية بموجب هذه البنود. إذا كان العقد ينطوي على أكثر من طرفين، يجوز لمصدر البيانات ممارسة هذا الحق في الإنهاء فقط بالنسبة للطرف المعني، ما لم يتفق الأطراف على خلاف ذلك. عندما يتم إنهاء العقد وفقًا لهذا البند، سيتم تطبيق البندين 16(د) و(هـ).
(5) قد يأخذ التقييم الشامل لتأثير هذه القوانين والممارسات على الامتثال لهذه الأحكام في الاعتبار عددًا من العوامل. قد يتضمن ذلك خبرة واقعية موثقة ذات صلة مع حالات سابقة من طلبات الإفصاح من السلطات العامة، أو عدم وجود مثل هذه الطلبات، على مدى فترة زمنية تمثل بشكل كافٍ. يشير بشكل خاص إلى السجلات الداخلية أو الوثائق الأخرى، التي تم إعدادها بشكل مستمر وفقًا للعناية الواجبة والمصادقة عليها على مستوى الإدارة العليا، بشرط أن يمكن مشاركة هذه المعلومات بشكل قانوني مع الأطراف الثالثة. عندما يُعتمد على هذه الخبرة العملية لاستنتاج أن مستورد البيانات لن يُمنع من الامتثال لهذه البنود، يجب أن تكون مدعومة بعناصر أخرى ذات صلة وموضوعية، ويتعين على الأطراف أن تأخذ بعين الاعتبار بعناية ما إذا كانت هذه العناصر معًا تحمل وزنًا كافيًا، من حيث موثوقيتها وتمثيلها، لدعم هذا الاستنتاج. على وجه الخصوص، يتعين على الأطراف أن تأخذ في الاعتبار ما إذا كانت تجربتهم العملية مدعومة وغير متناقضة مع المعلومات الموثوقة المتاحة للجمهور أو القابلة للوصول إليها بشأن وجود أو عدم وجود طلبات ضمن نفس القطاع و/أو تطبيق القانون في الممارسة العملية، مثل الأحكام القضائية والتقارير الصادرة عن الهيئات الرقابية المستقلة.
بند 15
التزامات مستورد البيانات في حالة وصول السلطات العامة
15.1 الإخطار
(أ) يوافق مستورد البيانات على إبلاغ مصدر البيانات، وعند الإمكان، موضوع البيانات على الفور (إذا لزم الأمر بمساعدة مصدر البيانات) إذا:
(i) يتلقى طلبًا ملزمًا قانونيًا من سلطة عامة، بما في ذلك السلطات القضائية، بموجب قوانين دولة الوجهة لكشف البيانات الشخصية المنقولة وفقًا لهذه البنود؛ يجب أن يتضمن هذا الإخطار معلومات عن البيانات الشخصية المطلوبة، والسلطة الطالبة، والأساس القانوني للطلب، والاستجابة المقدمة؛ أو
(ii) يصبح على علم بأي وصول مباشر من قبل السلطات العامة إلى البيانات الشخصية المنقولة وفقًا لهذه البنود وفقًا لقوانين دولة الوجهة؛ يجب أن تتضمن هذه الإخطار جميع المعلومات المتاحة للمستورد.
(ب) إذا كان مستورد البيانات ممنوعًا من إبلاغ مصدر البيانات و/أو الموضوع البيانات بموجب قوانين دولة الوجهة، يوافق مستورد البيانات على بذل قصارى جهده للحصول على تنازل عن الحظر، بهدف التواصل بأكبر قدر ممكن من المعلومات في أقرب وقت ممكن. يوافق مستورد البيانات على توثيق جهوده القصوى ليكون قادرًا على إثباتها عند طلب المصدر البيانات.
(ج) حيثما كان ذلك مسموحًا به بموجب قوانين دولة الوجهة، يوافق مستورد البيانات على تزويد مصدر البيانات، على فترات منتظمة طوال مدة العقد، بأكبر قدر ممكن من المعلومات ذات الصلة حول الطلبات المستلمة (بشكل خاص، عدد الطلبات، نوع البيانات المطلوبة، السلطة/السلطات الطالبة، ما إذا كانت الطلبات قد تم الطعن فيها ونتيجة هذه الطعون، إلخ).
(د) يوافق مستورد البيانات على الحفاظ على المعلومات وفقًا للفقرتين (أ) إلى (ج) طوال مدة العقد وجعلها متاحة للسلطة الإشرافية المختصة عند الطلب.
(هـ) الفقرات (أ) إلى (ج) لا تمس بالتزام مستورد البيانات وفقًا للبند 14(هـ) والبند 16 بإبلاغ مصدر البيانات على الفور عندما يكون غير قادر على الامتثال لهذه البنود.
15.2 مراجعة الشرعية وتقليل البيانات
(أ) يوافق مستورد البيانات على مراجعة قانونية طلب الإفصاح، لا سيما ما إذا كان لا يزال ضمن الصلاحيات الممنوحة للسلطة العامة الطالبة، وتحدي الطلب إذا خلص بعد تقييم دقيق إلى أن هناك أسبابًا معقولة للاعتقاد بأن الطلب غير قانوني بموجب قوانين دولة الوجهة، والالتزامات المطبقة بموجب القانون الدولي، ومبادئ المجاملة الدولية. يجب على مستورد البيانات، بنفس الشروط، السعي إلى إمكانيات الاستئناف. عند الطعن في الطلب، يجب على مستورد البيانات السعي للحصول على تدابير مؤقتة بهدف تعليق آثار الطلب حتى تقرر السلطة القضائية المختصة في جوهره. لن يكشف عن البيانات الشخصية المطلوبة حتى يُطلب منه ذلك بموجب القواعد الإجرائية المعمول بها. هذه المتطلبات لا تمس التزامات مستورد البيانات بموجب البند 14(e).
(ب) يوافق مستورد البيانات على توثيق تقييمه القانوني وأي تحدٍ لطلب الكشف، وإلى الحد المسموح به بموجب قوانين دولة الوجهة، جعل الوثائق متاحة لمصدر البيانات. يجب أيضًا أن يجعلها متاحة للسلطة الإشرافية المختصة عند الطلب.
(ج) يوافق مستورد البيانات على تقديم الحد الأدنى من المعلومات المسموح بها عند الاستجابة لطلب الكشف، بناءً على تفسير معقول للطلب.
القسم الرابع – الأحكام النهائية
بند 16
عدم الامتثال للبنود وإنهاء العقد
(أ) إذا كان المستورد للبيانات غير قادر على الامتثال لهذه البنود لأي سبب من الأسباب، يجب عليه إبلاغ المصدر للبيانات على الفور.
(ب) إذا انتهك مستورد البيانات هذه الشروط أو لم يتمكن من الامتثال لها، سيتوقف مصدر البيانات عن إرسال المعلومات الشخصية إلى مستورد البيانات حتى يتم استعادة الامتثال أو إلغاء العقد. تظل أحكام البند 14(و) دون تأثير.
(ج) بقدر ما تتعلق هذه البنود بمعالجة البيانات الشخصية، يجوز لمصدر البيانات إنهاء الاتفاقية في الحالات التالية:
(i) تم إيقاف نقل البيانات الشخصية إلى مستورد البيانات من قبل مصدر البيانات وفقًا للفقرة (ب)، ولم يتم استعادة الامتثال لهذه البنود في غضون فترة زمنية معقولة—على الأقل ليس خلال شهر بعد الإيقاف؛
(ii) هناك انتهاك كبير أو مستمر لهذه البنود من قبل مستورد البيانات؛ أو
(iii) يفشل مستورد البيانات في الامتثال لقرار ملزم صادر عن محكمة مختصة أو سلطة إشرافية بشأن التزاماته بموجب هذه البنود.
في هذه الحالات، يجب عليها إبلاغ السلطة الإشرافية المختصة بهذا الامتثال غير المتوافق. عندما يتضمن العقد أكثر من طرفين، يجوز لمصدر البيانات ممارسة هذا الحق في الإنهاء فقط فيما يتعلق بالطرف المعني، ما لم يتفق الأطراف على خلاف ذلك.
(د) يجب، وفقًا لاختيار مُصدِّر البيانات، إعادة البيانات الشخصية التي تم نقلها قبل إنهاء العقد وفقًا للفقرة (ج) إلى مُصدِّر البيانات على الفور أو حذفها بالكامل. ينطبق نفس الشيء على أي نسخ من البيانات. يجب على مستورد البيانات أن يشهد بحذف البيانات للمصدر البيانات. حتى يتم حذف البيانات أو إعادتها، يجب على مستورد البيانات الاستمرار في ضمان الامتثال لهذه البنود. في حالة وجود قوانين محلية تنطبق على مستورد البيانات تمنع إعادة أو حذف البيانات الشخصية المنقولة، يضمن مستورد البيانات أنه سيستمر في ضمان الامتثال لهذه البنود وأنه سيعالج البيانات فقط بالقدر والمدة المطلوبة بموجب تلك القوانين المحلية.
(هـ) يجوز لأي طرف إلغاء اتفاقه بالالتزام بهذه البنود في حالة (i) تبني المفوضية الأوروبية قرارًا وفقًا للمادة 45(3) من اللائحة (الاتحاد الأوروبي) 2016/679 الذي يغطي نقل البيانات الشخصية التي تنطبق عليها هذه البنود؛ أو (ii) تصبح اللائحة (الاتحاد الأوروبي) 2016/679 جزءًا من الإطار القانوني للدولة التي يتم نقل البيانات الشخصية إليها. هذا دون الإخلال بالالتزامات الأخرى التي تنطبق على المعالجة المعنية بموجب اللائحة (الاتحاد الأوروبي) 2016/679.
بند 17
القانون الحاكم
ستطبق قوانين إحدى دول الاتحاد الأوروبي على هذه البنود، طالما أن تلك القوانين تسمح بحقوق المستفيدين من الأطراف الثالثة. يتفق الطرفان على أن يكون هذا هو قانون الدولة العضو في الاتحاد الأوروبي التي يقع فيها مقر المصدر البيانات.
بند 18
اختيار المنتدى والاختصاص القضائي
(أ) أي نزاع ينشأ من هذه البنود يجب أن يُحل من قبل محاكم دولة عضو في الاتحاد الأوروبي.
(ب) يتفق الطرفان على أن تكون تلك هي محاكم الدولة العضو في الاتحاد الأوروبي التي يقع فيها مقر المصدر للبيانات.
(ج) يجوز للموضوع البيانات أيضًا رفع دعاوى قانونية ضد مصدر البيانات و/أو مستورد البيانات أمام محاكم الدولة العضو التي يقيم فيها عادةً.
(د) يوافق الطرفان على الخضوع لاختصاص هذه المحاكم.
ملحق
ملاحظة توضيحية:
يجب أن تكون المعلومات التي تنطبق على كل عملية نقل أو فئة من عمليات النقل متميزة بسهولة، وبهذه الطريقة، يجب تحديد الأدوار الخاصة بالأطراف كجهات مستوردة و/أو مصدرة للبيانات. يمكن لملحق واحد أن يوفر هذه الشفافية، مما يلغي الحاجة إلى ملء وتوقيع ملاحق منفصلة لكل عملية نقل أو فئة نقل أو علاقة تعاقدية. ومع ذلك، يجب استخدام ملاحق منفصلة عند الضرورة لضمان وضوح كافٍ.
الملحق الأول
- قائمة الأطراف
| إجراء أمني تقني وتنظيمي | التفاصيل |
| إجراءات إخفاء الهوية وتشفير البيانات الشخصية | قامت الشركة بتطبيق طرق وبروتوكولات لنقل المعلومات السرية أو الحساسة بشكل آمن عبر الشبكات العامة. قواعد البيانات التي تحتوي على بيانات العملاء الشخصية مشفرة في حالة السكون. تستخدم الشركة فقط مجموعات التشفير والبروتوكولات الآمنة الموصى بها لتشفير جميع حركة المرور أثناء النقل، ويتم تشفير بيانات العملاء باستخدام تشفيرات قوية وتكوينات عند السكون. |
| إجراءات لضمان السرية المستمرة والنزاهة والتوافر والمرونة لأنظمة وخدمات المعالجة | تحتوي اتفاقيات العملاء الخاصة بالشركة على التزامات صارمة بالسرية. بالإضافة إلى ذلك، تتطلب الشركة من كل معالج فرعي لاحق توقيع أحكام السرية التي تشبه إلى حد كبير تلك الواردة في اتفاقيات عملاء شركة Segment. لقد خضعت الشركة لتدقيق SOC 2 من النوع الثاني الذي يشمل معايير خدمة الثقة للأمان وسلامة المعالجة. |
| إجراءات لضمان القدرة على استعادة توفر والوصول إلى البيانات الشخصية في الوقت المناسب في حالة حدوث حادث مادي أو تقني | يتم أخذ نسخ احتياطية يومية وأسبوعية لمخازن بيانات الإنتاج. يتم اختبار النسخ الاحتياطية بشكل دوري وفقًا لسياسات أمن المعلومات وإدارة البيانات. |
| عمليات الاختبار والتقييم والتقييم المنتظمة لفعالية التدابير التقنية والتنظيمية لضمان أمان المعالجة | لقد خضعت الشركة لتدقيق SOC 2 من النوع الثاني الذي يشمل معايير خدمة الثقة للأمان وسلامة المعالجة. |
| إجراءات تحديد هوية المستخدم والتفويض | تستخدم الشركة بروتوكولات وعمليات وصول آمنة وتتبع الممارسات القياسية في الصناعة للمصادقة، بما في ذلك المصادقة متعددة العوامل وتسجيل الدخول الموحد (SSO). يتطلب الوصول إلى جميع بيئات الإنتاج استخدام المصادقة الثنائية، ويتم تكوين بنية الشبكة وفقًا لممارسات البائع والصناعة لحظر جميع المنافذ والخدمات وحركة المرور الشبكية غير المصرح بها. |
| إجراءات لحماية البيانات أثناء النقل | قامت الشركة بنشر طرق وبروتوكولات لنقل المعلومات السرية أو الحساسة بشكل آمن عبر الشبكات العامة. تستخدم الشركة فقط مجموعات التشفير والبروتوكولات الآمنة الموصى بها لتشفير جميع حركة المرور أثناء النقل (مثل TLS 1.2). |
| إجراءات لحماية البيانات أثناء التخزين | يتم أتمتة التشفير أثناء السكون باستخدام تشفير القرص الشفاف من AWS، الذي يستخدم تشفير AES-256 القياسي في الصناعة لتأمين جميع بيانات الحجم (القرص). |
| إجراءات لضمان الأمن المادي للأماكن التي تتم فيها معالجة البيانات الشخصية | نستخدم AWS لاستضافة بنيتنا التحتية. تدير AWS الأمن الفيزيائي لمراكز بياناتها باستخدام أنظمة تحكم متطورة. https://aws.amazon.com/compliance/data-center/controls/ |
| إجراءات لضمان تسجيل الأحداث | تراقب الشركة الوصول إلى التطبيقات والأدوات والموارد التي تعالج أو تخزن بيانات العملاء، بما في ذلك خدمات السحابة. إدارة مراقبة سجلات الأمان تتم من قبل فرق الأمن والهندسة. يتم التحقيق في أنشطة السجلات عند الضرورة وتصعيدها بشكل مناسب. |
| إجراءات لضمان تكوين النظام، بما في ذلك التكوين الافتراضي | تلتزم الشركة بعملية إدارة التغيير لإدارة التغييرات في بيئة الإنتاج للخدمات، بما في ذلك التغييرات في البرمجيات والتطبيقات والأنظمة الأساسية. جميع التغييرات في بيئة الإنتاج مؤتمتة من خلال أدوات CI/CD لضمان تكوينات متسقة. |
| إجراءات حوكمة وإدارة تكنولوجيا المعلومات والأمن السيبراني الداخلي | تحافظ الشركة على برنامج حوكمة أمن المعلومات قائم على المخاطر. إطار برنامج الأمان الخاص بالشركة يشمل تدابير إدارية وتنظيمية وتقنية وبدنية مصممة بشكل معقول لحماية الخدمات وسرية وسلامة وتوافر بيانات العملاء. |
| إجراءات التصديق/التأكيد على العمليات والمنتجات | تخضع الشركة لتدقيق سنوي من نوع SOC 2 Type II. |
| إجراءات لضمان تقليل البيانات | يحدد عملاء الشركة بشكل أحادي البيانات الشخصية للعميل التي يوجهونها عبر الخدمات. وبذلك، تعمل الشركة وفق نموذج المسؤولية المشتركة. تمنح الشركة العملاء السيطرة الكاملة على البيانات الشخصية التي تدخل المنصة. بالإضافة إلى ذلك، قامت الشركة بدمج وظيفة الخدمة الذاتية في الخدمات التي تتيح للعملاء حذف وإخفاء البيانات الشخصية حسب تقديرهم. |
| إجراءات لضمان جودة البيانات | تتبنى الشركة نهجًا متعدد المستويات لضمان جودة البيانات. تشمل هذه التدابير: (i) اختبار الوحدة لضمان جودة المنطق المستخدم لمعالجة مكالمات واجهة برمجة التطبيقات (API)، (ii) قواعد التحقق من صحة مخطط قاعدة البيانات التي تُنفذ على البيانات قبل حفظها في قاعدة بياناتنا، (iii) تصميم واجهة برمجة التطبيقات (API) باستخدام GraphQL والتTyping القوي لفرض عقد صارم بين العملاء الرسميين وحلولي واجهة برمجة التطبيقات. تطبق الشركة هذه التدابير بشكل شامل، لضمان جودة أي بيانات استخدام تجمعها الشركة ولضمان أن منصة الشركة تعمل ضمن المعايير المتوقعة. تضمن الشركة الحفاظ على جودة البيانات من لحظة إرسال العميل لبياناته إلى الخدمات وحتى تقديم تلك البيانات أو تصديرها. |
| إجراءات لضمان الاحتفاظ المحدود بالبيانات | يحدد عملاء الشركة البيانات التي يوجهونها عبر الخدمات. وبالتالي، تعمل الشركة وفقًا لنموذج المسؤولية المشتركة. إذا كان العميل غير قادر على حذف بيانات التعريف الشخصية الخاصة بالعميل عبر وظيفة الخدمات الذاتية للخدمات، فإن الشركة تحذف بيانات العميل بناءً على طلب مكتوب من العميل، ضمن الإطار الزمني المحدد في ملحق حماية البيانات ووفقًا لقانون حماية البيانات المعمول به. يتم حذف جميع بيانات العميل من الخدمات بعد إنهاء الخدمة. |
| إجراءات لضمان المساءلة | لقد اعتمدت الشركة تدابير لضمان المساءلة، مثل تنفيذ سياسات حماية البيانات وأمن المعلومات عبر الأعمال، وتسجيل وتقرير الحوادث الأمنية التي تتضمن البيانات الشخصية، وتعيين الأدوار والمسؤوليات بشكل رسمي لوظائف أمن المعلومات وخصوصية البيانات. بالإضافة إلى ذلك، تجري الشركة تدقيقات منتظمة من قبل طرف ثالث لضمان الامتثال لمعايير الخصوصية والأمان لدينا. |
| إجراءات للسماح بنقل البيانات وضمان الحذف | يمكن حذف جميع المعلومات الشخصية في الخدمات من قبل العميل أو بناءً على طلب العميل. |
| المعلومات الشخصية هي عرضية لخدمات الشركة. استنادًا إلى مبادئ الخصوصية حسب التصميم وتقليل البيانات، تحدد الشركة بشدة حالات جمع ومعالجة المعلومات الشخصية ضمن الخدمات. معظم حالات الاستخدام لنقل المعلومات الشخصية من الشركة غير قابلة للتطبيق. ومع ذلك، ستستجيب الشركة لجميع طلبات نقل البيانات لتلبية احتياجات العملاء. التدابير التقنية والتنظيمية للمعالجات الفرعية | تدخل الشركة في اتفاقيات معالجة البيانات مع معالجي البيانات الفرعيين المعتمدين لديها، مع التزامات حماية البيانات التي تشبه إلى حد كبير تلك الواردة في هذا الملحق. |
- الاسم: أمازون AWS، الولايات المتحدة الأمريكية
- الاسم: زووم، الولايات المتحدة الأمريكية
- الاسم: Pubnub، الولايات المتحدة الأمريكية
- الاسم: فيميو، الولايات المتحدة الأمريكية
- الاسم: ويرباي، النرويج