ميثاق قوانين الخصوصية

التاريخ – صدر في 01/01/2020

آخر تعديل في – 12/06/2023

القابلية للتطبيق:

تشكل هذه الوثيقة ("المتطلبات") جزءًا لا يتجزأ وملزمًا قانونًا من أي اتفاقية خدمات رئيسية أو بيان عمل أو عقد آخر ("الاتفاقية") بين Shaip ("الشركة") ومقدم الخدمة ("البائع/المستقل/المستشارين").

1. تعريفات

ولأغراض هذه المتطلبات، فإن المصطلحات التالية لها المعاني الموضحة أدناه:

  • "قوانين حماية البيانات المعمول بها" تعني جميع القوانين والقواعد واللوائح الدولية والفيدرالية والولائية والمحلية المعمول بها فيما يتعلق بمعالجة البيانات الشخصية، بما في ذلك على سبيل المثال لا الحصر اللائحة العامة لحماية البيانات، واللائحة العامة لحماية البيانات في المملكة المتحدة، وقانون خصوصية المستهلك في كاليفورنيا (CCPA/CPRA)، وقانون التأمين الصحي المحمول والمساءلة (HIPAA)، وقانون حماية المعلومات الشخصية والإلكترونيات (PIPEDA)، وقانون حماية البيانات العامة (LGPD).
  • "بيانات الشركة" تعني جميع البيانات والمعلومات والمواد، بأي شكل أو وسيلة، المُقدمة للبائع من قِبل الشركة أو نيابةً عنها، أو التي جُمعت أو وُلدت أو اشتققت أو أُخفيت هويتها أو أُخفيت هويتها (إذا كان العكس ممكنًا)، أو عالجها البائع نيابةً عن الشركة. ويشمل ذلك بيانات المشروع وأي بيانات شخصية.
  • "خرق البيانات" يعني أي خرق فعلي أو مشتبه به للأمن يؤدي إلى التدمير العرضي أو غير القانوني أو الخسارة أو التغيير أو الكشف غير المصرح به أو الوصول إلى بيانات الشركة.
  • "الناتج المحلي الإجمالي" تعني اللائحة العامة لحماية البيانات (الاتحاد الأوروبي) 2016/679.
  • "بيانات شخصية" تعني أي معلومات تتعلق بشخص طبيعي محدد أو قابل للتحديد ("صاحب البيانات") موجودة ضمن بيانات الشركة.
  • "البيانات الشخصية الحساسة" تعني أي فئة من البيانات التي تعتبر حساسة بموجب قوانين حماية البيانات المعمول بها، بما في ذلك على سبيل المثال لا الحصر الأصل العرقي أو الإثني، والآراء السياسية، والمعتقدات الدينية أو الفلسفية، وعضوية النقابات العمالية، والبيانات الجينية، والبيانات البيومترية، والبيانات المتعلقة بالصحة، أو البيانات المتعلقة بالحياة الجنسية للشخص الطبيعي أو التوجه الجنسي.
  • "معالجة" تعني أي عملية يتم إجراؤها على بيانات الشركة، مثل التجميع أو التسجيل أو التنظيم أو التخزين أو التعديل أو الاسترجاع أو الاستخدام أو الإفصاح أو النشر أو التدمير.
  • "بيانات المشروع" تعني البيانات المحددة (على سبيل المثال الصوت أو الصورة أو النص) التي تم جمعها أو إنشاؤها بواسطة البائع كجزء من الخدمات المقدمة للشركة.
  • "المعالج الفرعي" يعني أي طرف ثالث يتم تعيينه من قبل البائع لمعالجة بيانات الشركة.

2. دور البائع والتزاماته

2.1 الدور كمعالج/معالج فرعي. يُقرّ البائع بأنه يعمل، عند معالجة بيانات الشركة، "معالجًا" أو "معالجًا فرعيًا" نيابةً عن الشركة. ولا يملك البائع أي ملكية أو حقوق مستقلة على بيانات الشركة.

2.2 المعالجة بناءً على التعليمات. يُلزم البائع بمعالجة بيانات الشركة فقط وفقًا لتعليمات الشركة القانونية والموثقة، بما في ذلك تلك المنصوص عليها في الاتفاقية وبيانات العمل ذات الصلة. ويُحظر على البائع صراحةً معالجة بيانات الشركة لأغراضه الخاصة أو لأي غرض لم تُحدده الشركة صراحةً. يجب أن تتضمن التعليمات متطلبات الاحتفاظ بالبيانات والتخلص منها. إذا رأى البائع أن أي تعليمات تُخالف قوانين حماية البيانات المعمول بها، فعليه إبلاغ الشركة فورًا.

2.3 الامتثال للقوانين. يضمن البائع ويقر بأنه سوف يمتثل لجميع قوانين حماية البيانات المعمول بها في أدائه للاتفاقية ويجب عليه إخطار الشركة على الفور إذا كان هناك أي قانون يمنع الامتثال أو يتطلب الكشف عن بيانات الشركة (على سبيل المثال، طلبات الوصول الحكومية).

3. التدابير الأمنية التقنية والتنظيمية

3.1 معايير الأمن. يلتزم البائع بتطبيق وصيانة إجراءات أمنية تقنية وتنظيمية مناسبة لحماية بيانات الشركة من أي خرق للبيانات. ويجب أن تتناسب هذه الإجراءات مع مستوى المخاطر وطبيعة البيانات، وأن تشمل، كحد أدنى، ما يلي:

  1. التشفير: تشفير كافة بيانات الشركة أثناء السكون والنقل.
  2. صلاحية التحكم صلاحية الدخول: ضوابط وصول صارمة على أساس الحد الأدنى من الامتيازات، مما يضمن أن يكون لدى الموظفين المصرح لهم فقط إمكانية الوصول إلى بيانات الشركة.
  3. تقليل البيانات: جمع ومعالجة الحد الأدنى فقط من البيانات الشخصية اللازمة للمشروع المحدد.
  4. البيئات الآمنة: ضمان تكوين جميع الأنظمة المستخدمة لمعالجة بيانات الشركة وتصحيحها وتسجيلها ومراقبتها بشكل آمن.
  5. الحذف الآمن: تنفيذ عمليات الحذف الآمن والدائم لبيانات الشركة بناءً على تعليمات الشركة، بما في ذلك الحذف من النسخ الاحتياطية.
  6. الأمان المادي: تأمين جميع المواقع والأجهزة المادية التي يتم تخزين بيانات الشركة أو الوصول إليها.
  7. الاختبار والمراقبة: اختبار الاختراق بشكل منتظم، وتقييم الثغرات الأمنية، والمراقبة المستمرة.
  8. استمرارية الأعمال: الحفاظ على خطط الاستجابة للحوادث والتعافي من الكوارث واستمرارية الأعمال.

4. المعالجة الفرعية

4.1 مطلوب موافقة مسبقة. لا يجوز للبائع إشراك أي معالج فرعي لمعالجة بيانات الشركة دون الحصول على موافقة كتابية مسبقة ومحددة من الشركة.

4.2 تدفق الالتزامات. إذا تم منح الموافقة، يجب على البائع إبرام اتفاقية مكتوبة مع المعالج الفرعي تفرض على المعالج الفرعي نفس التزامات حماية البيانات أو التزامات أكثر صرامة مثل تلك المفروضة على البائع بموجب هذه المتطلبات.

4.3 قائمة المعالجات الفرعية. يلتزم البائع بالاحتفاظ بقائمة مُحدَّثة بالمعالجات الفرعية، وتقديمها للشركة عند الطلب. وتحتفظ الشركة بحق الاعتراض على أي معالج فرعي في أي وقت.

4.4 المسؤولية الكاملة. يظل البائع مسؤولاً بشكل كامل أمام الشركة عن أداء التزامات المعالج الفرعي وعن أي فعل أو إغفال من جانب المعالج الفرعي.

5. إخطار وإدارة خرق البيانات

5.1 الإخطار الفوري. يتعين على البائع إخطار الشركة كتابيًا دون تأخير غير مبرر، وفي أي حال من الأحوال في موعد لا يتجاوز أربع وعشرين (24) ساعة بعد أول علم له بأي خرق للبيانات.

5.2 تفاصيل الخرق. يجب أن يتضمن الإخطار على الأقل ما يلي:

  1. وصف طبيعة خرق البيانات، بما في ذلك الفئات والعدد التقريبي لأصحاب البيانات وسجلات البيانات المعنية.
  2. قم بتوفير اسم وتفاصيل الاتصال الخاصة بمسؤول حماية البيانات لدى البائع أو أي نقطة اتصال أخرى ذات صلة.
  3. وصف العواقب المحتملة لخرق البيانات.
  4. وصف التدابير التي اتخذها البائع أو المقترح اتخاذها لمعالجة خرق البيانات والتخفيف من آثاره.

5.3 التحديثات المستمرة. يتعين على البائع تقديم تحديثات منتظمة حتى يتم حل الحادث بالكامل.

5.4 التعاون. يلتزم البائع بالتعاون الكامل مع الشركة في التحقيق في أي خرق للبيانات ومعالجته والإبلاغ عنه. ويتحمل البائع جميع التكاليف المرتبطة بأي خرق للبيانات، وذلك بقدر ما ينجم عن انتهاكه لهذه المتطلبات.

6- عمليات نقل البيانات الدولية

6.1 لا يجوز للبائع نقل بيانات الشركة عبر الحدود الدولية دون موافقة كتابية مسبقة من الشركة. ويجب على البائع تحديد جميع الدول التي سيُعالج فيها بيانات الشركة.

6.2 عند الاقتضاء، يوافق البائع على الدخول في البنود التعاقدية القياسية (SCCs)، والقواعد الملزمة للشركات (BCRs)، والملحق الخاص بالمملكة المتحدة، أو أي آلية أخرى مفروضة من قبل الشركة لضمان عمليات نقل البيانات القانونية.

6.3 يتعين على البائع الامتثال لمتطلبات إقامة البيانات المحلية حيثما كان ذلك مناسبًا.

7. عمليات التدقيق والتفتيش

للشركة، أو مدقق حساباتها الخارجي المُعيَّن، الحق في إجراء عمليات تدقيق، على نفقتها الخاصة، للتحقق من امتثال البائع لهذه المتطلبات. ويتعين على البائع توفير جميع المعلومات والوثائق اللازمة، وإمكانية الوصول إلى المرافق والموظفين.

يجب على البائع الخضوع لشهادات خارجية منتظمة (على سبيل المثال، ISO 27001، SOC 2) و/أو التقييمات الذاتية، وإصلاح أي أوجه قصور يتم تحديدها في عمليات التدقيق أو التقييمات على الفور ضمن إطار زمني متفق عليه بشكل متبادل.

8. مساعدة حقوق أصحاب البيانات

يلتزم البائع بإخطار الشركة فورًا، وفي موعد لا يتجاوز ثمانية وأربعين (48) ساعة، بأي طلب وارد من صاحب البيانات لممارسة حقوقه (مثل: الوصول، التصحيح، المحو، إمكانية النقل). ولا يلتزم البائع بالرد مباشرةً على هذه الطلبات إلا بناءً على تعليمات من الشركة، ويلتزم بتقديم كل المساعدة اللازمة لتمكين الشركة من الاستجابة.

9. إرجاع البيانات وحذفها

عند إنهاء الاتفاقية أو بناءً على طلب الشركة، يلتزم البائع، بناءً على اختيار الشركة، بحذف جميع بيانات الشركة بشكل آمن أو إعادتها خلال ثلاثين (30) يومًا. ويلتزم البائع بضمان الحذف من النسخ الاحتياطية وتقديم شهادة خطية بهذا الحذف.

10. فئات خاصة من البيانات

10.1 بيانات الرعاية الصحية (HIPAA): إذا عالج البائع أي معلومات صحية محمية (PHI)، فإنه يُقر بأنه "شريك تجاري" (أو مقاول فرعي لشريك تجاري) بموجب قانون HIPAA. يجب على البائع الامتثال لمتطلبات HIPAA وتنفيذ اتفاقية شراكة الأعمال (BAA) الخاصة بالشركة.

10.2 بيانات حساسة أخرى: بالنسبة للمشاريع التي تتضمن بيانات شخصية حساسة (بما في ذلك البيانات البيومترية أو بيانات الأطفال)، يجب على البائع الحصول على موافقة الشركة والالتزام ببروتوكولات الأمان والمعالجة المشددة كما هو محدد من قبل الشركة.

11. التعويض والمسؤولية

يوافق البائع على الدفاع عن الشركة والشركات التابعة لها ومسؤوليها وعملائها وتعويضهم وحمايتهم من أي مطالبات أو التزامات أو أضرار أو خسائر أو غرامات أو عقوبات أو نفقات (بما في ذلك أتعاب المحاماة المعقولة) الناشئة عن أو المتعلقة بأي خرق لهذه المتطلبات من قبل البائع أو موظفيه أو المعالجات الفرعية لديه.

لا يتم تحديد المسؤولية عن الخروقات التي تنطوي على خروقات البيانات، أو الغرامات التنظيمية، أو سوء السلوك المتعمد، أو الاحتيال.

12. الأحكام العامة

12.1 الأولوية. في حالة وجود أي تعارض بين شروط الاتفاقية وهذه المتطلبات، تسود هذه المتطلبات فيما يتعلق بحماية البيانات.

12.2 التعديل. لا يجوز تعديل هذه المتطلبات إلا بموجب تعديل مكتوب موقع من قبل الممثلين المعتمدين لكلا الطرفين.

12.3 البقاء على قيد الحياة. تظل الالتزامات المتعلقة بالسرية وحذف البيانات والمسؤولية وحقوق التدقيق سارية بعد انتهاء الاتفاقية.

12.4 القانون الحاكم. تخضع هذه المتطلبات للقانون الحاكم المنصوص عليه في الاتفاقية ويتم تفسيرها وفقًا له.