هذه الترجمة هي لأغراض إعلامية فقط وقد لا تعكس بدقة معنى الأصل الإنجليزي. تخضع معاني المصطلحات والشروط والأحكام والضمانات الواردة في هذه الوثيقة للتعريفات والتفسيرات الخاصة بها في اللغة الإنجليزية. في حالة وجود أي تعارض أو تضارب بين النسخة الإنجليزية من هذا النص وأي ترجمات، تسود النسخة الإنجليزية.

اتفاقية معالجة البيانات

بين

العميل وفقًا لشروط وأحكام الاتفاقية العامة بصفته مراقبًا (يُشار إليه فيما يلي بـ المراقب),

و

Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Deutschland بصفتها معالج البيانات (يُشار إليها فيما يلي بـ "معالج البيانات"، والمراقب ومعالج البيانات معًا "الأطراف")

الديباجة

قامت الجهة المالكة بتكليف معالج البيانات في اتفاقية الشروط والأحكام العامة (يُشار إليها فيما يلي باسم "الاتفاقية الرئيسية") بالخدمات المحددة فيها. جزء من تنفيذ العقد هو معالجة البيانات الشخصية. وعلى وجه الخصوص، تفرض المادة تفرض المادة 28 من اللائحة العامة لحماية البيانات متطلبات محددة على مثل هذه المعالجة المفوض بها. للامتثال لهذه المتطلبات، يُبرم الطرفان اتفاقية معالجة البيانات التالية (يُشار إليها فيما يلي باسم "الاتفاقية")، والتي لا يجوز دفع أجر مقابل تنفيذها بشكل منفصل ما لم يتم الاتفاق صراحةً على ذلك.

§ الفقرة 1 التعاريف

(1) وفقًا للمادة. المادة 4 (7) من اللائحة العامة لحماية البيانات، المراقب هو الكيان الذي يحدد بمفرده أو بالاشتراك مع المراقبين الآخرين أغراض ووسائل معالجة البيانات الشخصية.

(2) وفقًا للمادة. المادة 4 (8) من اللائحة العامة لحماية البيانات، معالج البيانات هو شخص طبيعي أو اعتباري أو سلطة أو مؤسسة أو هيئة أخرى تعالج البيانات الشخصية نيابةً عن المراقب.

(3) وفقًا للمادة. المادة 4 (1) من اللائحة العامة لحماية البيانات (4) تعني البيانات الشخصية أي معلومات تتعلق بشخص طبيعي محدد أو يمكن تحديد هويته (يُشار إليه فيما يلي بـ "صاحب البيانات")؛ والشخص الطبيعي القابل للتحديد هو الشخص الذي يمكن تحديد هويته، بشكل مباشر أو غير مباشر، لا سيما بالرجوع إلى مُعرِّف مثل الاسم أو رقم التعريف أو بيانات الموقع أو مُعرِّف عبر الإنترنت أو إلى عامل أو أكثر من العوامل الخاصة بالهوية البدنية أو الفسيولوجية أو الجينية أو العقلية أو الاقتصادية أو الثقافية أو الاجتماعية لذلك الشخص الطبيعي.

(4) البيانات الشخصية التي تتطلب حماية خاصة هي البيانات الشخصية وفقًا للمادة. المادة 9 من اللائحة العامة لحماية البيانات التي تكشف عن الأصل العرقي أو الإثني أو الآراء السياسية أو المعتقدات الدينية أو الفلسفية أو العضوية النقابية لأصحاب البيانات، والبيانات الشخصية وفقًا للمادة 10 اللائحة العامة لحماية البيانات المتعلقة بالإدانات الجنائية والجرائم الجنائية أو التدابير الأمنية ذات الصلة، وكذلك البيانات الوراثية وفقًا للمادة المادة 4 (13) من اللائحة العامة لحماية البيانات، والبيانات البيومترية وفقًا للمادة. 4 (14) اللائحة العامة لحماية البيانات، والبيانات الصحية وفقًا للمادة 4 (14) من اللائحة العامة لحماية البيانات. المادة 4 (15) من اللائحة العامة لحماية البيانات، والبيانات المتعلقة بالحياة الجنسية أو التوجه الجنسي للشخص الطبيعي.

(5) وفقًا للمادة 4 (2) من اللائحة العامة لحماية البيانات، فإن المعالجة هي أي عملية أو مجموعة من العمليات التي تتم على البيانات الشخصية، سواء كانت بوسائل آلية أم لا، مثل الجمع أو التسجيل أو التنظيم أو الحفظ أو التخزين أو التكييف أو التعديل أو الاسترجاع أو الاسترجاع أو الاستشارة أو الاستخدام أو الإفصاح عن طريق النقل أو النشر أو الإتاحة بأي طريقة أخرى أو المواءمة أو الجمع أو التقييد أو المحو أو التدمير.

(6) وفقًا للمادة 4 (21) من اللائحة العامة لحماية البيانات، فإن السلطة الإشرافية هي هيئة حكومية مستقلة أنشأتها الدولة العضو وفقًا للمادة 51 من اللائحة العامة لحماية البيانات.

§ الفقرة 2 موضوع العقد

(1) يوفر معالج البيانات الخدمات المحددة في العقد الرئيسي لصالح المراقب المالي. وعند القيام بذلك، يحصل معالج البيانات على حق الوصول إلى البيانات الشخصية التي يعالجها معالج البيانات لصالح المراقب حصريًا نيابةً عن المراقب ووفقًا لتعليمات المراقب. يتم تحديد نطاق وغرض معالجة البيانات من قِبل معالج البيانات في العقد الرئيسي وأي توصيفات خدمة مرتبطة به. يكون المراقب المالي مسؤولاً عن تقييم مقبولية معالجة البيانات.

(2) يبرم الطرفان هذه الاتفاقية لتحديد الحقوق والالتزامات المتبادلة بموجب قانون حماية البيانات. وفي حالة الشك، تكون لأحكام هذه الاتفاقية الأسبقية على أحكام العقد الرئيسي.

(3) تنطبق أحكام هذا العقد على جميع الأنشطة المتعلقة بالعقد الرئيسي التي يتعامل فيها معالج البيانات وموظفيه أو الأشخاص المفوضين من قبل معالج البيانات مع البيانات الشخصية الصادرة من الجهة المالكة أو التي تم جمعها لصالح الجهة المالكة.

(4) تسري مدة هذه الاتفاقية على مدة العقد الرئيسي ما لم يترتب على الأحكام التالية التزامات أخرى أو حقوق إنهاء العقد.

§ الفقرة 3 حق التعليمات

(1) لا يجوز لمعالج البيانات جمع البيانات أو معالجتها أو استخدامها إلا في نطاق العقد الرئيسي ووفقًا لتعليمات المراقب. إذا كان مطلوبًا من معالج البيانات إجراء المزيد من المعالجة بموجب قانون الاتحاد الأوروبي أو الدول الأعضاء التي يخضع لها، فيجب عليه إخطار المراقب بهذه المتطلبات القانونية قبل المعالجة.

(2) تحدد تعليمات المراقب المالي في البداية بموجب هذه الاتفاقية. ويجوز بعد ذلك أن يعدلها المراقب المالي أو يستكملها أو يستبدلها كتابة أو نصاً بتعليمات فردية (تعليمات فردية). يحق للمراقب المالي إصدار مثل هذه التعليمات في أي وقت. ويشمل ذلك التعليمات المتعلقة بتصحيح البيانات وحذفها وحظرها.

(3) يجب توثيق جميع التعليمات الصادرة من قبل المراقب المالي. وتعامل التعليمات التي تتجاوز الخدمة المتفق عليها في العقد الرئيسي على أنها طلب تغيير في الخدمة.

(4) إذا رأى معالج البيانات أن تعليمات المراقب المالي تنتهك أحكام حماية البيانات، فعليه إخطار المراقب المالي بذلك دون تأخير لا مبرر له. يحق لمعالج البيانات تعليق تنفيذ التعليمات ذات الصلة حتى يتم تأكيدها أو تعديلها من قبل المراقب. يجوز لمعالج البيانات رفض تنفيذ تعليمات من الواضح أنها غير قانونية.

§ الفقرة 4 أنواع البيانات التي تتم معالجتها، مجموعة أصحاب البيانات، الدولة الثالثة

(1) في نطاق تنفيذ العقد الرئيسي، يجب أن يكون لدى معالج البيانات إمكانية الوصول إلى البيانات الشخصية المحددة بمزيد من التفصيل في الملحق 1.

(2) مجموعة أصحاب البيانات المتأثرين بمعالجة البيانات مدرجة في الملحق 1.

(3) قد يتم نقل البيانات الشخصية إلى دولة ثالثة بموجب شروط المادة. 44 وما يليها. اللائحة العامة لحماية البيانات.

§ الفقرة 5 تدابير الحماية الخاصة بمعالج البيانات

(1) يلتزم معالج البيانات بمراعاة الأحكام القانونية المتعلقة بحماية البيانات وعدم إفشاء المعلومات التي يتم الحصول عليها من نطاق المراقب إلى الغير أو تعريضها لاطلاعهم عليها. يجب تأمين المستندات والبيانات ضد الإفصاح عنها لأشخاص غير مصرح لهم بالاطلاع عليها، مع مراعاة أحدث ما توصلت إليه التكنولوجيا.

(2) يجب على معالج البيانات تنظيم التنظيم الداخلي في مجال مسؤوليته بطريقة تفي بالمتطلبات الخاصة لحماية البيانات. ويجب أن يكون قد اتخذ التدابير التقنية والتنظيمية المحددة في الملحق 2 لحماية بيانات المراقب بشكل كافٍ وفقًا للمادة. 32 من اللائحة العامة لحماية البيانات، والتي يقر المراقب بأنها كافية. يحتفظ معالج البيانات بالحق في تغيير التدابير الأمنية المتخذة مع ضمان عدم الانتقاص من مستوى الحماية المتفق عليه تعاقديًا.

(3) يُحظر على الأشخاص العاملين في معالجة البيانات من قِبل معالج البيانات جمع البيانات الشخصية أو معالجتها أو استخدامها دون تصريح. ويلتزم معالج البيانات بإلزام جميع الأشخاص الذين يعهد إليهم بمعالجة وتنفيذ هذا العقد (يُشار إليهم فيما يلي ب "الموظفون") وفقًا لذلك (الالتزام بالسرية، المادة. 28 (3) مضاءة (ب) من اللائحة العامة لحماية البيانات) ويجب عليه ضمان الامتثال لهذا الالتزام بالعناية الواجبة.

(4) قام معالج البيانات بتعيين مسؤول حماية البيانات. مسؤول حماية البيانات لدى معالج البيانات هو heyData GmbH, Schützenstr. 5, 10117 برلين, [email protected], www.heydata.eu.

§ الفقرة 6 التزامات المعلومات الخاصة بمعالج البيانات

(1) في حالة حدوث أعطال أو الاشتباه في حدوث انتهاكات لحماية البيانات أو انتهاكات للالتزامات التعاقدية لمعالج البيانات أو الاشتباه في وقوع حوادث متعلقة بالأمن أو غيرها من المخالفات في معالجة البيانات الشخصية من قبل معالج البيانات أو من قبل الأشخاص الذين يستخدمهم في نطاق العقد أو من قبل أطراف ثالثة، يجب على معالج البيانات إبلاغ المراقب دون تأخير لا مبرر له. وينطبق الأمر نفسه على عمليات تدقيق معالج البيانات من قبل السلطة الإشرافية لحماية البيانات. يجب أن يتضمن الإخطار بخرق البيانات الشخصية المعلومات التالية على الأقل:

(أ) وصفًا لطبيعة خرق البيانات الشخصية، بما في ذلك، قدر الإمكان، فئات أصحاب البيانات المتأثرين وعددهم، والفئات المتأثرة وعدد سجلات البيانات الشخصية المتأثرة;

(ب) وصفًا للتدابير المتخذة أو المقترحة من قبل معالج البيانات لمعالجة الانتهاك، وعند الاقتضاء، تدابير للتخفيف من آثاره السلبية المحتملة;

(ج) وصف للعواقب المحتملة لخرق البيانات الشخصية.

(2) يجب على معالج البيانات أن يتخذ على الفور التدابير اللازمة لتأمين البيانات والتخفيف من أي عواقب سلبية محتملة على أصحاب البيانات، وإبلاغ المراقب بذلك وطلب المزيد من التعليمات.

(3) بالإضافة إلى ذلك، يجب أن يكون معالج البيانات ملزمًا بتزويد المراقب بالمعلومات في أي وقت تتأثر فيه بيانات المراقب بخرق ما وفقًا للفقرة 1.

(4) يجب على معالج البيانات إبلاغ المراقب بأي تغييرات مهمة في التدابير الأمنية وفقًا للقسم 5 (2).

§ الفقرة 7 حقوق التحكم الخاصة بالمراقب المالي

(1) يجوز للمراقب أن يتأكد من التدابير الفنية والتنظيمية لمعالج البيانات قبل بدء معالجة البيانات وبعد ذلك بانتظام على أساس سنوي. ولهذا الغرض، يجوز للمراقب، على سبيل المثال، الحصول على معلومات من معالج البيانات، أو الحصول على الشهادات الموجودة من الخبراء أو الشهادات أو عمليات التدقيق الداخلي أو، بعد التنسيق في الوقت المناسب، أن يقوم شخصيًا بفحص التدابير الفنية والتنظيمية لمعالج البيانات خلال ساعات العمل العادية أو أن يقوم طرف ثالث مختص بفحصها، شريطة ألا يكون الطرف الثالث على علاقة تنافسية مع معالج البيانات. يجب على المراقب إجراء عمليات التفتيش بالقدر الضروري فقط ولا يجوز له تعطيل عمليات معالج البيانات بشكل غير متناسب في هذه العملية.

(2) يتعهد معالج البيانات بتزويد المراقب، بناءً على طلب شفهي أو كتابي من الأخير وفي غضون فترة زمنية معقولة، بجميع المعلومات والأدلة المطلوبة لإجراء فحص للتدابير الفنية والتنظيمية لمعالج البيانات.

(3) يجب على المراقب توثيق نتائج الفحص وإخطار معالج البيانات بذلك. وفي حالة وجود أخطاء أو مخالفات يكتشفها المراقب، لا سيما أثناء فحص نتائج التفتيش، يجب على المراقب إبلاغ معالج البيانات دون تأخير لا مبرر له. إذا تم العثور على حقائق أثناء عملية الفحص، والتي يتطلب تجنبها في المستقبل إجراء تغييرات في الإجراء المطلوب، يجب على المراقب إخطار معالج البيانات بالتغييرات الإجرائية اللازمة دون تأخير.

§ الفقرة 8 استخدام مقدمي الخدمات

(1) تُؤدَّى الخدمات المتفق عليها تعاقديًا بمشاركة مقدمي الخدمات الواردة أسماؤهم في الملحق 3 (يُشار إليهم فيما يلي ب المعالجات الفرعية). يمنح المراقب معالج البيانات تفويضًا عامًا لمعالج البيانات بالمعنى المقصود في المادة 28 (2) البند 1 من اللائحة العامة لحماية البيانات (GDPR) للاستعانة بمعالجين فرعيين إضافيين في نطاق التزاماته التعاقدية أو استبدال المعالجين الفرعيين المشاركين بالفعل.

(2) يجب على معالج البيانات إبلاغ المراقب قبل أي تغيير مقصود فيما يتعلق بمشاركة أو استبدال معالج فرعي. يمكن للمراقب الاعتراض على المشاركة المقصودة أو استبدال المعالج الفرعي لسبب مهم بموجب قانون حماية البيانات.

(3) يجب إبداء الاعتراض على المشاركة المزمعة أو استبدال معالج فرعي في غضون أسبوعين من تلقي المعلومات حول التغيير. إذا لم يتم إبداء أي اعتراض، تُعتبر المشاركة أو الاستبدال موافقًا عليها. إذا كان هناك سبب مهم بموجب قانون حماية البيانات ولم يكن من الممكن التوصل إلى حل ودي بين المراقب والمعالج، يحق للمراقب إنهاء الخدمة في نهاية الشهر التالي للاعتراض.

(4) عند إشراك معالجي البيانات من الباطن، يجب على معالج البيانات إلزامهم وفقًا لأحكام هذه الاتفاقية.

(5) لا توجد علاقة معالج من الباطن بالمعنى المقصود في هذه الأحكام إذا قام معالج البيانات بتكليف أطراف ثالثة بخدمات تعتبر خدمات ثانوية بحتة. ويشمل ذلك، على سبيل المثال، الخدمات البريدية وخدمات النقل والشحن وخدمات التنظيف وخدمات الاتصالات السلكية واللاسلكية دون أي إشارة محددة إلى الخدمات التي يقدمها معالج البيانات إلى المراقب المالي وخدمات الحراسة. وتشكل خدمات الصيانة والاختبار علاقات المعالج الفرعي التي تتطلب الموافقة بقدر ما يتم تقديمها لأنظمة تكنولوجيا المعلومات التي تُستخدم أيضًا فيما يتعلق بتقديم الخدمات للمراقب.

§ الفقرة 9 طلبات أصحاب البيانات وحقوقهم

(1) يجب على معالج البيانات دعم المراقب بالتدابير التقنية والتنظيمية المناسبة للوفاء بالتزامات المراقب وفقًا للمواد 12-22 و32 إلى 36 من اللائحة العامة لحماية البيانات.

(2) إذا طالب أحد أصحاب البيانات بحقوق، مثل الحق في الوصول إلى بياناته أو تصحيحها أو حذفها، مباشرةً ضد معالج البيانات، لا يجوز لهذا الأخير أن يتصرف بشكل مستقل، بل يحيل صاحب البيانات إلى المراقب وينتظر تعليمات المراقب.

§ الفقرة 10 المسؤولية

(1) في العلاقة الداخلية مع معالج البيانات، يكون المراقب وحده مسؤولاً تجاه صاحب البيانات عن التعويض عن الضرر الذي يلحق بصاحب البيانات بسبب معالجة البيانات غير المقبولة أو غير الصحيحة بموجب قوانين حماية البيانات أو استخدامها في نطاق المعالجة المفوض بها.

(2) يتحمل معالج البيانات مسؤولية غير محدودة عن الضرر بقدر ما يكون سبب الضرر مستندًا إلى إخلال متعمد أو إهمال جسيم بالواجب من جانب معالج البيانات أو ممثله القانوني أو وكيله بالنيابة.

(3) لا يكون معالج البيانات مسؤولاً إلا عن سلوك الإهمال في حالة الإخلال بالتزام، والذي يعد الوفاء به شرطًا أساسيًا لحسن تنفيذ العقد ومراعاته التي يعتمد عليها المراقب بانتظام وقد يعتمد عليها، ولكن تقتصر على متوسط الضرر المعتاد للعقد. في جميع النواحي الأخرى، تُستثنى مسؤولية المعالج - بما في ذلك مسؤولية وكلائه بالنيابة -.

(4) لا يسري تحديد المسؤولية بموجب المادة 10-3 على المطالبات بالتعويض عن الأضرار الناشئة عن الإضرار بالحياة أو الجسم أو الصحة أو عن تحمل الضمان.

§ الفقرة 11 إنهاء العقد الرئيسي

(1) بعد إنهاء العقد الرئيسي، يجب على معالج البيانات أن يعيد إلى المراقب المالي جميع المستندات والبيانات وناقلات البيانات المقدمة إليه أو - بناءً على طلب المراقب المالي، ما لم يكن هناك التزام بتخزين البيانات الشخصية بموجب قانون الاتحاد أو قانون جمهورية ألمانيا الاتحادية - حذفها. ينطبق هذا أيضًا على أي نسخ احتياطية للبيانات لدى معالج البيانات. يجب على معالج البيانات عند الطلب تقديم دليل موثق على الحذف الصحيح لأي بيانات.

(2) يحق للمراقب التحكم في الإرجاع الكامل والتعاقدي للبيانات أو حذفها لدى معالج البيانات بطريقة مناسبة.

(3) يلتزم معالج البيانات بالحفاظ على سرية البيانات التي أصبح على علم بها فيما يتعلق بالعقد الرئيسي حتى بعد انتهاء العقد الرئيسي. وتظل هذه الاتفاقية سارية المفعول بعد انتهاء العقد الرئيسي طالما أن معالج البيانات لديه بيانات شخصية تحت تصرفه تم إرسالها إليه من قبل المراقب أو قام بجمعها لصالح المراقب.

§ الفقرة 12 أحكام ختامية

(1) إلى الحد الذي لا يقوم فيه معالج البيانات صراحةً بتنفيذ إجراءات الدعم بموجب هذه الاتفاقية مجانًا، يجوز له أن يفرض رسومًا معقولة على المراقب المالي مقابل ذلك، ما لم تكن إجراءات معالج البيانات أو إغفالاته هي التي جعلت هذا الدعم ضروريًا بشكل مباشر.

(2) يجب أن تتم التعديلات والملاحق لهذه الاتفاقية كتابةً. وينطبق ذلك أيضاً على أي تنازل عن هذا الشرط الرسمي. ولا تتأثر أولوية الاتفاقات التعاقدية الفردية.

(3) إذا كانت الأحكام الفردية في هذه الاتفاقية باطلة كليًا أو جزئيًا أو غير قابلة للتنفيذ، فإن ذلك لا يؤثر على صلاحية الأحكام المتبقية.

(4) تخضع هذه الاتفاقية للقانون الألماني.

الملحق 1 - وصف البيانات/فئات البيانات وموضوع البيانات المتأثر/مجموعات موضوعات البيانات المتأثرة

نوع العميل فئات مواضيع البيانات فئات البيانات
حسابات الشركة الموظفون الاسم، وتفاصيل الاتصال، والمنصب، والقسم، والصورة، وتفاصيل الشركة، وروابط وسائل التواصل الاجتماعي
حسابات الشركات والمستخدمين الأفراد الأطراف المهتمة عنوان IP (المدينة، البلد)، تفاصيل الاتصال، الاسم، الشركة، الرسالة (اختياري)

الملحق 2 - التدابير التقنية والتنظيمية لمعالج البيانات

1. مقدمة

يلخص هذا المستند التدابير الفنية والتنظيمية التي اتخذتها جهة المعالجة بالمعنى المقصود في المادة الفقرة 32 من المادة. 1 اللائحة العامة لحماية البيانات. هذه هي التدابير التي اتخذها المعالج لحماية البيانات الشخصية. الغرض من الوثيقة هو دعم المراقب في الوفاء بالتزاماته المتعلقة بالمساءلة بموجب المادة. الفقرة 2 من المادة 5 من اللائحة العامة لحماية البيانات.

2. السرية (المادة 32 الفقرة 1 مضاءة (ب) من المادة 32 من اللائحة العامة لحماية البيانات)

2.1 التحكم في الدخول

تمنع التدابير المطبقة التالية الأشخاص غير المصرح لهم من الوصول إلى أنظمة معالجة البيانات:

  • العمل من المنزل: لا يُسمح للأشخاص غير المصرح لهم بالدخول إلى منازل الموظفين

  • العمل في المكتب المنزلي: تعليمات للموظفين بالعمل في مكتب منفصل عن غرف معيشتهم إن أمكن

2.2 مراقبة القبول

تمنع التدابير المطبقة التالية الأشخاص غير المصرح لهم من الوصول إلى أنظمة معالجة البيانات:

  • المصادقة باستخدام المستخدم وكلمة المرور

  • استخدام جدران الحماية

  • استخدام إدارة الأجهزة المحمولة

  • تشفير ناقلات البيانات

  • قفل تلقائي لسطح المكتب

  • إدارة تفويضات المستخدم

  • إنشاء ملفات تعريف المستخدمين

  • قواعد كلمة المرور المركزية

  • استخدام المصادقة الثنائية العامل 2

  • سياسة الشركة لكلمات المرور الآمنة

  • تعليمات عامة لقفل سطح المكتب يدويًا عند مغادرة محطة العمل

2.3 التحكم في الوصول

تضمن التدابير المنفذة التالية عدم وصول الأشخاص غير المصرح لهم إلى البيانات الشخصية:

  • تسجيل الوصول إلى التطبيقات (خاصة عند إدخال البيانات وتغييرها وحذفها)

  • يتم الإبقاء على عدد المسؤولين صغيراً قدر الإمكان

  • إدارة حقوق المستخدم من قبل مسؤولي النظام

  • تعليمات للموظفين بأن البيانات لن يتم حذفها إلا بعد التشاور

2.4 التحكم في الفصل

تضمن التدابير التالية معالجة البيانات الشخصية التي يتم جمعها لأغراض مختلفة بشكل منفصل:

  • تخزين منفصل فعليًا على أنظمة منفصلة أو ناقلات بيانات منفصلة

  • الفصل بين نظام الإنتاج والاختبار

  • الفصل المنطقي للعميل (على جانب البرنامج)

  • تعريف حقوق قاعدة البيانات

  • التعليمات الداخلية لإخفاء الهوية/الاسم المستعار للبيانات الشخصية في حالة الكشف عن البيانات الشخصية أو بعد انتهاء فترة الحذف القانونية، إن أمكن.

3. النزاهة (المادة 32 الفقرة 1 مضاءة (ب) من المادة 32 من اللائحة العامة لحماية البيانات)

3.1 التحكم في النقل

يتم التأكد من أنه لا يمكن قراءة البيانات الشخصية أو نسخها أو تغييرها أو إزالتها دون إذن أثناء نقلها أو تخزينها على ناقلات البيانات وأنه من الممكن التحقق من الأشخاص أو الهيئات التي تلقت البيانات الشخصية. وقد تم تنفيذ التدابير التالية لضمان ذلك:

  • تشفير WLAN (WPA2 مع كلمة مرور قوية)

  • تسجيل عمليات الوصول والاسترجاع

  • توفير البيانات عبر اتصالات مشفرة مثل SFTP أو HTTPS

  • حظر تحميل بيانات الشركة على خوادم خارجية

3.2 التحكم في الإدخال

تضمن التدابير التالية إمكانية التحقق من الأشخاص الذين قاموا بمعالجة البيانات الشخصية في أنظمة معالجة البيانات وفي أي وقت:

  • تسجيل إدخال البيانات وتعديلها وحذفها

  • التحكم اليدوي أو التلقائي في السجلات

  • إمكانية تتبع إدخال البيانات وتعديلها وحذفها من خلال أسماء المستخدمين الأفراد (وليس مجموعات المستخدمين)

  • مسؤوليات واضحة عن عمليات الحذف

legal.dpa.latest.annexes.2.3.2.text.6

4. التوافر والمرونة (المادة 32 الفقرة 1 مضاءة (ب) من اللائحة العامة لحماية البيانات)

تضمن التدابير التالية حماية البيانات الشخصية من التلف العرضي أو الفقدان العرضي وإتاحتها دائمًا للعميل:

  • طفايات الحريق في غرف الخوادم

  • أجهزة لمراقبة درجة الحرارة والرطوبة في غرف الخوادم

  • تكييف الهواء في غرف الخادم

  • شرائط المقابس الواقية في غرف الخوادم

  • مزود الطاقة غير المنقطعة (UPS)

  • المراقبة بالفيديو في غرف الخوادم

  • رسالة إنذار للدخول غير المصرح به إلى غرف الخادم

  • النسخ الاحتياطية المنتظمة

  • التحقق من عملية النسخ الاحتياطي

  • تخزين النسخ الاحتياطية للبيانات في موقع آمن خارج الموقع

  • اختبارات استرداد البيانات المنتظمة وتسجيل النتائج

  • لا توجد مرافق صحية في غرفة الخادم أو فوقها

  • الاستضافة (على الأقل للبيانات الأكثر أهمية) مع مضيف محترف

5. إجراءات المراجعة والتقييم والتقييم المنتظمين (الفقرة 1(د) من المادة 32 من اللائحة العامة لحماية البيانات؛ والفقرة 1 من المادة 25 من اللائحة العامة لحماية البيانات)

5.1 إدارة حماية البيانات

تهدف التدابير التالية إلى ضمان تلبية المنظمة للمتطلبات الأساسية لقانون حماية البيانات:

  • استخدام منصة هاي داتا لإدارة حماية البيانات

  • تعيين مسؤول حماية البيانات heyData

  • التزام الموظفين بالحفاظ على سرية البيانات

  • التدريب المنتظم على حماية البيانات للموظفين

  • الاحتفاظ بلمحة عامة عن أنشطة المعالجة (المادة 30 من اللائحة العامة لحماية البيانات)

5.2 إدارة الاستجابة للحوادث

تهدف التدابير التالية إلى ضمان تفعيل عمليات الإبلاغ في حالة حدوث انتهاكات لحماية البيانات:

  • عملية الإبلاغ عن انتهاكات حماية البيانات وفقًا للمادة. المادة 4 رقم 12 من اللائحة العامة لحماية البيانات إلى السلطات الإشرافية (المادة 33 من اللائحة العامة لحماية البيانات)

  • عملية الإخطار بانتهاكات البيانات وفقًا للمادة. المادة 4 رقم 12 من اللائحة العامة لحماية البيانات إلى أصحاب البيانات (المادة 34 من اللائحة العامة لحماية البيانات)

  • إشراك مسؤول حماية البيانات في الحوادث الأمنية وانتهاكات البيانات

  • استخدام جدران الحماية

5.3 الإعدادات الافتراضية الملائمة لحماية البيانات (المادة 25 الفقرة 2 من اللائحة العامة لحماية البيانات)

تهدف التدابير التالية إلى ضمان تفعيل عمليات الإبلاغ في حالة حدوث انتهاكات لحماية البيانات:

  • عملية الإبلاغ عن انتهاكات حماية البيانات وفقًا للمادة. المادة 4 رقم 12 من اللائحة العامة لحماية البيانات إلى السلطات الإشرافية (المادة 33 من اللائحة العامة لحماية البيانات)

  • عملية الإخطار بانتهاكات البيانات وفقًا للمادة. المادة 4 رقم 12 من اللائحة العامة لحماية البيانات إلى أصحاب البيانات (المادة 34 من اللائحة العامة لحماية البيانات)

5.4 مراقبة الطلبات

تضمن التدابير التالية عدم معالجة البيانات الشخصية إلا وفقًا للتعليمات:

  • تعليمات مكتوبة للمقاول أو تعليمات في شكل نصي (على سبيل المثال من خلال اتفاقية معالجة البيانات)

  • التأكد من إتلاف البيانات بعد الانتهاء من الطلب، على سبيل المثال عن طريق طلب التأكيدات المقابلة

  • تأكيد من المتعاقدين على التزام موظفيهم بسرية البيانات (عادةً في اتفاقية معالجة البيانات)

  • الاختيار الدقيق للمقاولين (خاصة فيما يتعلق بأمن البيانات)

  • المراجعة المستمرة للمقاولين وأنشطتهم

  • التأكد من إتلاف البيانات بعد الانتهاء من الطلب، على سبيل المثال عن طريق طلب التأكيدات المقابلة

المرفق 3 - المعالجات الفرعية الحالية

جميع المعالجات الفرعية الأمريكية معتمدة بموجب إطار خصوصية البيانات.

الاسم العنوان الوظيفة موقع الخادم
Hetzner Online GmbH Industriestr. 25, 91710 Gunzenhausen, Germany الاستضافة والبنية التحتية الاتحاد الأوروبي
Cloudflare, Inc. 101 Townsend Street, San Francisco, CA 94107, USA شبكة توصيل المحتوى والأمان عالمي، حسب موقع المستخدم
ActiveCampaign, LLC 1 N Dearborn St., 5th Floor, Chicago, Illinois 60602, USA توصيل البريد الإلكتروني الولايات المتحدة الأمريكية
Functional Software, Inc. 132 Hawthorne Street San Francisco, CA 94107, USA الإبلاغ عن الأخطاء ومراقبتها الاتحاد الأوروبي
Microsoft Ireland Operations, Ltd. One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland خدمة العملاء والاتصالات الاتحاد الأوروبي
HubSpot, Inc. 25 1st Street Cambridge, MA 0214, USA خدمة العملاء والاتصالات الاتحاد الأوروبي

الإصدار 1.3، اعتباراً من 10 أبريل 2024

هل تريد الحصول على نسخة موقعة من اتفاقية معالجة البيانات الخاصة بنا؟
اطبع اتفاقية معالجة البيانات هذه وأرسل نسخة موقعة منها إلى [email protected] مع إرفاق رقم العميل الخاص بك. سوف تتلقى نسخة موقعة منا خلال أيام العمل التالية.