اتفاقية معالجة البيانات

تشكل اتفاقية معالجة البيانات هذه ("الاتفاقية") جزءًا من الشروط والأحكام ("الاتفاقية الرئيسية") بين:

  • العميل ("المتحكم في البيانات")
  • Textintel FZE ("معالج البيانات")

(ويُشار إليهما مجتمعين بـ"الطرفين").

1. الخلفية

1.1 يعمل العميل بوصفه متحكمًا في البيانات ويرغب في إسناد بعض الخدمات التي تتضمن معالجة البيانات الشخصية إلى معالج البيانات.

1.2 يسعى الطرفان إلى تنفيذ اتفاقية لمعالجة البيانات تتوافق مع قوانين حماية البيانات المعمول بها، بما في ذلك:

  • اللائحة (الاتحاد الأوروبي) 2016/679 الصادرة في 27 أبريل 2016 عن البرلمان الأوروبي والمجلس بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وحرية حركة هذه البيانات (اللائحة العامة لحماية البيانات، GDPR).
  • أي قوانين أخرى مطبقة لحماية البيانات أو الخصوصية تحكم معالجة البيانات الشخصية.

1.3 تحدد هذه الاتفاقية حقوق والتزامات الطرفين فيما يتعلق بحماية البيانات والخصوصية.

2. التعاريف & التفسير

2.1 ما لم يُنص على خلاف ذلك، يكون للمصطلحات الواردة بأحرف كبيرة في هذه الاتفاقية المعاني التالية:

  • "الاتفاقية" – اتفاقية معالجة البيانات هذه بما في ذلك جميع الملاحق والجداول.
  • "البيانات الشخصية للعميل" – أي بيانات شخصية تتم معالجتها بواسطة معالج البيانات نيابةً عن العميل بموجب الاتفاقية الرئيسية.
  • "قوانين حماية البيانات" – جميع قوانين الخصوصية وحماية البيانات المعمول بها، بما في ذلك GDPR وأي قوانين وطنية تكمل أو تُنفذ GDPR.
  • "المعالجة" – أي عملية تُجرى على البيانات الشخصية مثل الجمع أو التخزين أو الإرسال أو الحذف.
  • "المعالج الفرعي" – أي طرف ثالث مخوَّل من قِبل معالج البيانات لمعالجة البيانات الشخصية نيابةً عن العميل.

2.2 يكون لأي مصطلحات واردة في هذه الاتفاقية ولم تُعرَّف فيها المعنى المنسوب إليها بموجب GDPR.

3. نطاق معالجة البيانات

3.1 يوجّه العميل معالج البيانات إلى معالجة البيانات الشخصية للعميل وفقًا لما يلي بدقة:

  • التعليمات الموثقة من العميل.
  • الاتفاقية الرئيسية وهذه الاتفاقية لمعالجة البيانات.
  • قوانين حماية البيانات المعمول بها.

3.2 لا يجوز لمعالج البيانات معالجة البيانات الشخصية للعميل لأي أغراض غير تلك المحددة في هذه الاتفاقية والاتفاقية الرئيسية.

4. مسؤوليات معالج البيانات

4.1 يلتزم معالج البيانات بما يلي:

  • ضمان الامتثال لقوانين حماية البيانات المعمول بها.
  • معالجة البيانات بشكل آمن وفق أفضل الممارسات المتبعة في الصناعة.
  • تقييد الوصول إلى الموظفين المخولين فقط.
  • ضمان خضوع جميع الموظفين الذين يتعاملون مع البيانات الشخصية للعميل لالتزامات السرية.

5. تدابير الأمان

5.1 يتعين على معالج البيانات تنفيذ التدابير التقنية والتنظيمية المناسبة لضمان أمن البيانات الشخصية للعميل، مع مراعاة:

  • أحدث ما توصلت إليه تقنيات الأمان.
  • طبيعة ونطاق وسياق معالجة البيانات.
  • المخاطر المحتملة بما في ذلك الوصول غير المصرح به، وتسريبات البيانات، والفقدان.

5.2 تشمل تدابير الأمان، حيثما ينطبق:

  • تشفير البيانات أثناء النقل وفي حالة السكون.
  • ضوابط الوصول وآليات المصادقة.
  • عمليات تدقيق أمني منتظمة وتقييمات للمخاطر.

6. المعالجة الفرعية

6.1 لا يجوز لمعالج البيانات إشراك أي معالج فرعي دون موافقة خطية مسبقة من العميل.

6.2 يقر العميل ويصرح لمعالج البيانات باستخدام المعالِجين الفرعيين المعتمدين التاليين:

  • Amazon Web Services
  • Meta
  • Google
  • Amplitude
  • Firebase Analytics
  • Stripe

6.3 يتعين على معالج البيانات التأكد من أن أي معالج فرعي يمتثل لنفس الالتزامات المنصوص عليها في هذه الاتفاقية.

7. حقوق أصحاب البيانات

7.1 يساعد معالج البيانات العميل في الوفاء بالتزاماته المتعلقة بحقوق أصحاب البيانات، بما في ذلك:

  • الوصول إلى البيانات الشخصية.
  • تصحيح أو حذف البيانات غير الدقيقة.
  • طلبات نقل البيانات.

7.2 إذا تلقى معالج البيانات طلبًا من صاحب بيانات، فإنه يجب عليه:

  • إخطار العميل على وجه السرعة.
  • عدم الرد إلا إذا تم تفويضه من قِبل العميل.

8. إخطار خرق البيانات

8.1 في حالة حدوث خرق للبيانات الشخصية، يتعين على معالج البيانات أن:

  • يخطر العميل دون تأخير غير مبرر.
  • يقدم جميع التفاصيل اللازمة لتمكين العميل من الامتثال لالتزامات الإبلاغ القانونية.
  • يتخذ التدابير المعقولة للتخفيف من آثار الخرق ومعالجته.

9. نقل البيانات

9.1 لا يجوز لمعالج البيانات نقل البيانات الشخصية للعميل خارج الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية ما لم:

  • يقدم العميل موافقة خطية مسبقة.
  • تكون هناك ضمانات مناسبة مثل البنود التعاقدية القياسية (SCCs).

10. الاحتفاظ بالبيانات & الحذف

10.1 عند إنهاء الاتفاقية الرئيسية، يجوز للعميل أن يطلب:

  • حذف جميع البيانات الشخصية للعميل خلال 10 أيام عمل.
  • شهادة حذف تؤكد الامتثال.

11. حقوق التدقيق

11.1 يحق للعميل:

  • طلب معلومات لإثبات الامتثال.
  • إجراء عمليات تدقيق وتفتيش على معالج البيانات.

12. السرية

12.1 يلتزم كل طرف بالحفاظ على سرية جميع المعلومات المتبادلة بموجب هذه الاتفاقية ولا يجوز له كشفها دون موافقة خطية من الطرف الآخر، باستثناء الحالات التي: