الملحق الإضافي لمعالجة البيانات
الملخص
يُعدّ هذا الملحق الإضافي لمعالجة البيانات ("DPA") مكمِّلًا لأي اتفاقية بين Netradyne وبين أي شخص أو جهة ("العميل") تنظّم استخدام العميل لمنتجات وخدمات Netradyne، سواء كان هذا الاستخدام (1) بموجب اتفاق مباشر مع Netradyne، أو (2) من خلال موزّع، أو (3) بموجب أي شروط خدمة أو اتفاق آخر يتيح هذا الاستخدام (ويُشار إليها مجتمعة بـ "الاتفاقية"). عندما يصل العميل إلى المنتجات والخدمات من خلال موزّع، يمكن أن يتم قبول هذا الملحق الإضافي لمعالجة البيانات من جانب العميل عبر وسائل إلكترونية أو من خلال تفعيل المنتج أو الاستمرار في استخدام المنتجات والخدمات. يُمثّل هذا الملحق الإضافي لمعالجة البيانات اتفاقًا بين العميل (وجميع الشركات التابعة له التي تستخدم المنتجات والخدمات بموجب الاتفاقية) وبين Netradyne (ويُشار إلى كل منهما بـ "طرف" وإلى كليهما بـ "الطرفان").
1. التعريفات
في هذا الملحق، تحمل المصطلحات التالية المعاني الموضَّحة أدناه:
1.1. تعني «البيانات الشخصية الخاصة بالعميل» أي بيانات شخصية خاضعة لقوانين حماية البيانات واردة ضمن بيانات العميل يقدّمها العميل إلى Netradyne أو يتيحها لها، وتُعالَج بواسطة Netradyne نيابةً عن العميل بموجب الاتفاقية.
1.2. تعني «قوانين حماية البيانات»، بحسب الاقتضاء: (1) اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (EU 2016/679) (EU GDPR) وإدماجها في قوانين إنجلترا وويلز واسكتلندا وآيرلندا الشمالية بموجب قانون الانسحاب من الاتحاد الأوروبي لعام 2018 في المملكة المتحدة (UK GDPR)، و(2) القانون الاتحادي السويسري لحماية البيانات (FADP)، و(3) القوانين الفدرالية و/أو قوانين الولايات في الولايات المتحدة الخاصة بحماية البيانات أو الخصوصية، بما في ذلك على سبيل المثال لا الحصر قانون خصوصية المستهلك في كاليفورنيا لعام 2018 كما عُدِّل بقانون حقوق خصوصية كاليفورنيا لعام 2020 مع لوائحه التنفيذية (CPRA)، و(4) قانون حماية البيانات البلجيكي الصادر في 30 يوليو 2018 (BDPA)، و/أو (5) أي تشريعات وطنية أخرى معمول بها في المنطقة الاقتصادية الأوروبية أو المملكة المتحدة تُكمّل EU GDPR أو UK GDPR (بحسب الاقتضاء)، و/أو القوانين المعمول بها لخصوصية البيانات و/أو حماية البيانات في أي بلد؛ وفي جميع الأحوال، حسبما يجري تعديلها أو استبدالها أو إحلالها من حين لآخر.
1.3. تعني «الجهة المتحكِّمة» الكيان الذي يحدِّد وسائل وأغراض معالجة البيانات الشخصية.
1.4. تعني «صاحب البيانات» الفرد الذي تُعنى به البيانات الشخصية.
1.5. تعني «الشروط التعاقدية المعيارية للاتحاد الأوروبي (EU SCCs)» البنود التعاقدية المعيارية المرفقة بقرار المفوضية الأوروبية التنفيذي رقم 2021/914 بتاريخ 4 يونيو 2021 بشأن البنود التعاقدية المعيارية لنقل البيانات الشخصية إلى دولٍ ثالثة وفقًا للائحة (EU) 2016/679 الصادرة عن البرلمان الأوروبي والمجلس.
1.6. تعني «البيانات الشخصية» أي «بيانات شخصية» أو «معلومات شخصية» أو «معلومات يمكن من خلالها تحديد هوية شخص» أو أي مصطلح مشابه بموجب قوانين حماية البيانات، كما هي محددة في تلك القوانين.
1.7. تعني «خرق البيانات الشخصية» أي خرق أمني تُلزم قوانين حماية البيانات بموجبه (1) قيام Netradyne بإبلاغ العميل، أو (2) قيام العميل بإبلاغ هيئة إشرافية أو الأفراد المتأثرين أو الاحتفاظ بسجل يتعلق بذلك، إذا كان هذا الخرق يشمل بيانات شخصية خاضعة لهذا الملحق.
1.8. «المعالجة» تعني أي عملية أو مجموعة من العمليات التي تُنفَّذ على البيانات الشخصية أو على مجموعات من البيانات الشخصية.
1.9. «المُعالِج» يعني الكيان الذي يُعالج البيانات الشخصية نيابةً عن الجهة المتحكّمة.
1.10. «السلطة الإشرافية» تعني جهة حكومية أو تنظيمية مسؤولة عن إدارة ومتابعة الالتزام بقوانين حماية البيانات و/أو إنفاذها.
1.11. المصطلحات المكتوبة بحروف كبيرة وغير المعرَّفة هنا سيكون لها المعنى الوارد في الاتفاقية.
2. تطبيق هذا الملحق الإضافي لمعالجة البيانات
يُطبَّق هذا الملحق الإضافي لمعالجة البيانات فقط في الحالات التي تقوم فيها Netradyne بمعالجة البيانات الشخصية الخاصة بالعميل نيابةً عنه بصفتها «مُعالِجًا» (أو مُعالِجًا فرعيًا)، وبما يتوافق مع قانون CPRA بصفتها «مزود خدمة» أو «متعاقدًا» أثناء تقديم المنتجات والخدمات بموجب الاتفاقية.
في حال وجود أي تعارض بين بنود الاتفاقية وهذا الملحق الإضافي لمعالجة البيانات، تسود أحكام هذا الملحق. في حال وجود أي تعارض بين شروط هذا الملحق وSCCs أو الملحق الخاص بالمملكة المتحدة، تسود الـ SCCs أو الملحق الخاص بالمملكة المتحدة (حسب الاقتضاء) بالقدر المتعلق بهذا التعارض. باستثناء ما تم تعديله صراحةً في هذا المستند، تظل أحكام الاتفاقية الأخرى سارية ونافذة بكامل قوتها.
3. الأدوار ونطاق المعالجة
3.1. دور الأطراف
بين الطرفين، تؤدي Netradyne دور «المُعالِج» (أو المُعالِج الفرعي، أو مزوّد الخدمة، أو المتعاقد) لبيانات العميل الشخصية.
3.2. تعليمات العميل
3.2.1. ستُعالج Netradyne بيانات العميل الشخصية وفقًا لما هو محدّد صراحةً في الاتفاقية، وهذا الملحق الإضافي لمعالجة البيانات، و/أو تعليمات العميل الموثَّقة، أو على النحو المطلوب بخلاف ذلك بموجب القانون المعمول به الذي تخضع له Netradyne («تعليمات العميل»). إذا طُلِب من Netradyne بموجب القانون المعمول به معالجة بيانات العميل الشخصية بطريقةٍ لا تتفق مع تعليمات العميل، فستُبلِغ Netradyne العميل بذلك الالتزام القانوني قبل تلك المعالجة بالقدر الذي يسمح به القانون المعمول به، ما لم يحظر ذلك القانون تقديم هذه المعلومات لأسبابٍ مهمة تتعلق بالمصلحة العامة.
3.2.2. ستُخطِر Netradyne العميل على الفور إذا رأت—وفقًا لتقديرها—أن تعليمات العميل تُخالف القانون المعمول به، أو إذا تبيّن لها أنها لم تَعُد قادرة على الوفاء بالتزاماتها بموجب ذلك القانون. من حق Netradyne تعليق تنفيذ تلك التعليمات الخاصة بالعميل.
3.2.3. يجب على العميل التأكد من أن تعليماته لا تُعرّض Netradyne لانتهاك أي قوانين أو لوائح معمول بها.
4. موظفو Netradyne
4.1. تلتزم Netradyne بضمان أن موظفيها ووكلاءها والمتعاقدين معها وغيرهم من الأفراد الذين يمكنهم الوصول إلى البيانات الشخصية: (أ) يفعلون ذلك فقط بالقدر الضروري لتقديم الخدمات؛ و(ب) يخضعون لالتزامات سرية مُلزِمة توفر مستوى من الحماية لا يقل عن المستوى المنصوص عليه في الاتفاقية
5. الأمان
5.1. ستطبّق Netradyne وتُحافظ على تدابير أمان تقنية وتنظيمية مناسبة تهدف إلى حماية البيانات الشخصية للعميل. ستطبّق Netradyne التدابير الواردة في الجدول الثاني. يجوز لـ Netradyne تعديل تلك التدابير من حينٍ لآخر، شريطة ألا تؤدي هذه التعديلات إلى تقليل مستوى الأمان العام للبيانات الشخصية الخاصة بالعميل.
6. المعالجة الفرعية
6.1. يمنح العميل بموجب هذا تفويضًا عامًا لشركات Netradyne التابعة، وكذلك للأطراف الثالثة الأخرى المُدرجة في الجدول 3، لتكون معالِجين فرعيين (كلٌّ منها «معالِج فرعي»). يجوز لـ Netradyne الإفصاح عن البيانات الشخصية الخاصة بالعميل إلى المعالِجين الفرعيين لديها لأغراض تقديم المنتجات والخدمات، شريطة أن يلتزم هؤلاء المعالِجون الفرعيون بالتزامات حماية بيانات مُلزِمة لا تقل صرامةً عمّا هو منصوص عليه في اتفاقية حماية البيانات هذه (DPA).
6.2. يحق للعميل الاعتراض على أي تغيير في المعالِجين الفرعيين على النحو الذي تُخطِر به Netradyne من حينٍ لآخر، وذلك خلال ثلاثين (30) يومًا تقويميًا من تاريخ ذلك الإخطار. إذا لم يعترض العميل على هذا التغيير خلال تلك المدة، عُدَّ ذلك موافقةً منه على التغيير. إذا وُجد سبب جوهري لهذا الاعتراض وقدّم إلى Netradyne كتابةً، وتعذّر على الطرفين التوصّل إلى حلٍّ ودي لهذه المسألة (مع تصرّف كل طرف بشكل معقول وبحسن نية)، فيجوز للعميل إنهاء نموذج/نماذج الطلب المعمول بها فيما يخصّ الميزات أو الوظائف المتأثّرة فقط من المنتجات والخدمات.
6.3. ستظل Netradyne مسؤولة عن أفعال أو إغفالات المعالِجين الفرعيين بالقدر نفسه الذي تقتضيه قوانين حماية البيانات، كما لو أن هذه الأفعال أو الإغفالات قد ارتكبتها Netradyne نفسها، ويُسمح لها بإعادة تنفيذ أي التزامات أو الترتيب لإعادة تنفيذها. يُقرّ العميل ويقبل بأن إعادة التنفيذ هذه ستحدّ من أي مطالبة يملكها ضد Netradyne فيما يتعلق بأي مسؤولية على معالِج فرعي.
7. طلبات أصحاب البيانات
7.1. تقوم Netradyne بإخطار العميل وتقديم المساعدة له إذا تلقت طلبات من أصحاب البيانات لممارسة حقوقهم (طلبات أصحاب البيانات)، شريطة أن تتمكن Netradyne على نحو معقول، استنادًا إلى المعلومات المقدَّمة من أصحاب البيانات، من تحديد أن ذلك الطلب يتعلق بالعميل أو بالبيانات الشخصية الخاصة بالعميل. لا تردّ Netradyne على أي من هذه الطلبات إلا إذا ألزمها القانون المعمول به بذلك. يجوز لـ Netradyne أن تطلب من العميل تحمّل التكاليف الفعلية الناشئة عن المساعدة المقدَّمة وفقًا لهذا القسم، وذلك استنادًا إلى أسعار الخدمات السارية لدى Netradyne في حينه.
7.2. تأكيدًا لرفع أي لبس، يتحمّل العميل بصفته المتحكِّم مسؤولية الرد على طلبات أصحاب البيانات. تتضمن منتجات وخدمات Netradyne تدابير تقنية وتنظيمية صُمِّمت لمساعدة العميل في الاستجابة لطلبات أصحاب البيانات.
8. طلبات الأطراف الثالثة
تلتزم Netradyne بما يلي:
(أ) ما لم يكن القانون يمنع ذلك، إخطار العميل فورًا ودون تأخير غير مبرَّر (وفي جميع الأحوال خلال 72 ساعة) بأي طلب معلومات أو شكوى واردة من جهة رقابية أو منظم أو جهة إنفاذ قانون أو جهة تقارير ائتمانية، فيما يتعلق بالبيانات الشخصية التي تعالجها Netradyne بموجب الاتفاقية؛ و
(ب) عند طلب العميل، مناقشة ذلك والتعاون في إعداد أي رد على هذا الطلب؛
(ج) عدم الرد على هذا الطلب من دون الحصول على موافقة خطية مسبقة من العميل، ما لم يُلزمها القانون بذلك.
ما لم يحظر القانون ذلك، تقوم Netradyne أولًا بإخطار العميل قبل أي إشعار أو إفصاح لأي طرف ثالث يتعلق بخرقٍ للبيانات الشخصية، والحصول على موافقة خطية مسبقة من العميل.
9. خرق البيانات الشخصية
9.1. ستُخطِر Netradyne العميل دون تأخير غير مبرَّر بمجرد علمها بوقوع خرقٍ للبيانات الشخصية يؤثّر في البيانات الشخصية الخاصة بالعميل. رفعًا لأي لبس، لا يشمل خرق البيانات الشخصية: (1) الأفعال أو الإغفالات التي لا تُنسب مباشرةً إلى Netradyne أو معالِجيها الفرعيين؛ أو (2) أي وصول إلى البيانات الشخصية الخاصة بالعميل أو أي «معالجة» لها بما يتوافق مع تعليمات العميل. بناءً على طلب العميل، ستُقدِّم Netradyne مساعدةً وتعاونًا معقولين لمساندة العميل في الوفاء بأي التزامات إشعار واجبة بموجب قوانين حماية البيانات المعمول بها فيما يخصّ خرق البيانات الشخصية. لا يُعدّ إشعار Netradyne بخرق البيانات الشخصية أو استجابتها له إقرارًا منها، أو إن لزم، من معالِجيها الفرعيين، بأي خطأ أو مسؤولية تتعلق بأداء المنتجات والخدمات. يجوز لـ Netradyne أن تطلب من العميل تحمّل التكاليف الفعلية الناشئة عن المساعدة المقدَّمة وفقًا لهذا القسم، وذلك استنادًا إلى أسعار الخدمات السارية لدى Netradyne في حينه.
10. تقييم أثر حماية البيانات & التشاور المسبق
10.1. بناءً على طلب العميل، ستقدّم Netradyne مساعدة معقولة للعميل في أي تقييمات لأثر حماية البيانات وأي مشاورات مسبقة مع الجهات الإشرافية المطلوبة بموجب قوانين حماية البيانات، وذلك في كل حالة حصراً فيما يتعلّق بمعالجة Netradyne للبيانات الشخصية الخاصة بالعميل بموجب الاتفاقية، مع مراعاة طبيعة المعالجة والمعلومات المتاحة لدى Netradyne. تحتفظ Netradyne بالحق في تقاضي رسوم معقولة لقاء هذه المساعدة المطلوبة، في حدود ما يسمح به القانون المعمول به.
11. حقوق التدقيق
11.1. عند طلبٍ خطي ومن دون أي تكلفة إضافية على العميل، تُتيح Netradyne للعميل و/أو لممثله الطرف الثالث المؤهَّل على النحو المناسب (ويُشار إليهما معًا بـ “Auditor”) الوصول إلى المستندات التي تُثبت امتثال Netradyne لالتزاماتها بموجب هذه DPA، وذلك في صورة تقارير للتدقيقات أو الشهادات ذات الصلة، مثل ISO 27001 أو الاستبيانات المعيارية المكتملة الخاصة بالصناعة (ويُشار إليها مجتمعةً بـ “Reports”). تُعد هذه “Reports” معلومات سرّية تخص Netradyne بموجب أحكام السرية الواردة في الاتفاقية. يوافق العميل على استخدام “Reports” لتلبية أي طلب تدقيق أو تفتيش من قِبل العميل أو نيابةً عنه فيما يتعلّق بقوانين حماية البيانات وهذه DPA و/أو الاتفاقية.
11.2. إذا كان المُدقّق طرفًا ثالثًا، فقد يُطلب من المُدقّق إبرام اتفاقية سرّية منفصلة مع Netradyne قبل أي مراجعة لـ Reports أو أي تدقيق يتعلق بـ Netradyne. يجوز لـ Netradyne الاعتراض كتابيًا على ذلك المُدقّق إذا رأت، على نحوٍ معقول، أنه غير مؤهَّل بما يكفي أو أنه منافس لـ Netradyne. يقتضي أي اعتراض من Netradyne أن يقوم العميل إمّا بتعيين مُدقّق آخر أو إجراء التدقيق بنفسه. تتحمّل جهة التدقيق وحدها أي نفقات يتكبدها المُدقّق فيما يتعلق بأي مراجعة لـ Reports أو بأي تدقيق.
11.3. إذا لم تكن هناك Report متاحة، يجوز للعميل—بعد إشعارٍ خطي مُسبق مدته 30 يومًا وبما لا يزيد عن مرة واحدة في السنة التقويمية—أن يطلب إجراء مراجعة على نفقته الخاصة، تشمل نطاقًا وتواريخ ومدّة وجهة تدقيق وأي ضوابط أمن و/أو سرّية يتم الاتفاق عليها بين الطرفين، وذلك للسياسات والإجراءات ذات الصلة لدى Netradyne التي تحكم تعاملها مع البيانات الشخصية الخاصة بالعميل فيما يتصل بالمنتجات، بغرض التحقق من امتثال Netradyne لهذه DPA. تُجرى هذه المراجعة بطريقة لا تخلّ بالتزامات السرية الواقعة على Netradyne تجاه عملاء Netradyne الآخرين. يقر الطرفان ويوافقان على أن سياسات وإجراءات Netradyne وجميع نتائج مراجعة العميل تُعتبر معلومات سرّية تخص Netradyne بموجب أحكام السرية الواردة في الاتفاقية.
11.4. بالقدر الذي تقتضيه قوانين حماية البيانات، يحق للعميل، بعد تقديم إشعار خطي إلى Netradyne، اتخاذ الخطوات المعقولة والمناسبة لإيقاف أي استخدام لبيانات العميل الشخصية أو معالجتها بما يخالف أحكام الاتفاقية.
12. نقل البيانات
12.1. يجوز لـ Netradyne نقل بيانات العميل الشخصية إلى أي دولة أو إقليم بالقدر اللازم لتقديم المنتجات والخدمات، بما يتوافق مع اتفاقية معالجة البيانات (DPA). وبالقدر الذي يتضمّن فيه هذا النقل بيانات العميل الشخصية الخاضعة لقوانين حماية البيانات المعمول بها في الاتحاد الأوروبي أو المملكة المتحدة و/أو سويسرا، يتفق كل من Netradyne والعميل على الالتزام بمعالجة بيانات العميل الشخصية بما يتوافق مع آليات النقل المحددة أدناه.
12.1.1. بالقدر الذي تكون فيه Netradyne متلقيًا لبيانات العميل الشخصية — بصفتها معالج بيانات — المحمية بموجب EU GDPR («EU Data») في دولة خارج المنطقة الاقتصادية الأوروبية (EEA) لا تعترف بها قوانين حماية البيانات كمستوى مناسب لحماية البيانات الشخصية، يوافق العميل (بصفته «مُصدِّر البيانات») وNetradyne (بصفتها «مستورد البيانات») على الالتزام بـ EU SCCs ومعالجة EU Data امتثالًا لها، على أن تُعد هذه البنود مُدمجة في هذه الاتفاقية ومكوّنة لجزءٍ منها على النحو الآتي:
- تُطبَّق الوحدة الثانية؛
- في البند 7، لا يسري بند الربط الاختياري؛
- في البند 9، يسري الخيار 2، وتكون مدة الإخطار المسبق بتغييرات المعالِجين الفرعيين وفق ما ورد في القسم 6.2 من هذه الاتفاقية؛
- في البند 11، لا تسري الصياغة الاختيارية؛
- في البند 13 (أ)، تنطبق الفقرة الأولى؛
- في البند 13(أ)، تسري الفقرة الأولى؛
- في البند 18(ب)، تُحلّ النزاعات أمام محاكم مملكة هولندا؛
- يُعدّ الملحق الأول من EU SCCs مُستكملًا بالمعلومات الواردة في الجدول 1 من هذه الاتفاقية؛ و
- مع مراعاة القسم 5. 1 من هذه الاتفاقية، يُعدّ الملحق الثاني من EU SCCs مُستكملًا بالمعلومات الواردة في الجدول 2 من هذه الاتفاقية.
- يُعدّ الملحق الثالث من SCC (قائمة المعالِجين الفرعيين) مُستكملًا بالمعلومات الواردة في الجدول 3 من هذه الاتفاقية.
12.1.2. بالقدر الذي تكون فيه Netradyne متلقيًا لبيانات العميل الشخصية المحمية بموجب Swiss DPA («Swiss Data») في دولة خارج سويسرا لا تعترف بها قوانين حماية البيانات كمستوى مناسب لحماية البيانات الشخصية، يوافق العميل (بصفته «مُصدِّر البيانات») وNetradyne (بصفتها «مستورد البيانات») على الالتزام بـ EU SCCs ومعالجة Swiss Data امتثالًا لها، على أن تُعد هذه البنود مُدمجة في هذه الاتفاقية وجزءًا منها وفقًا للقسم 12.1.1 أعلاه، ومع التعديلات الواردة في القسم أدناه.
12.1.3. بالقدر الذي تكون فيه Netradyne متلقيًا لبيانات العميل الشخصية المحمية بموجب UK Data Protection Laws («UK Data») في دولة خارج المملكة المتحدة لا تعترف بها المملكة المتحدة كمستوى مناسب لحماية البيانات الشخصية، يوافق العميل («مُصدِّر البيانات») وNetradyne («مستورد البيانات») على الالتزام بـ EU SCCs ومعالجة UK Data امتثالًا لها وفق ما نُفِّذ بموجب القسم 12.1.1 أعلاه، ومع التعديلات الواردة في القسم أدناه. وبالقدر الذي يتعذّر فيه استخدام EU SCCs المنفَّذة وفق هذه الاتفاقية لنقل بيانات العميل الشخصية إلى Netradyne بصورة مشروعة طبقًا لـ UK Data Protection Laws، تُعد UK SCCs مُدمجة في هذه الاتفاقية وجزءًا منها، وتُطبَّق على عمليات النقل الخاضعة لـ UK GDPR. ولغايات UK SCCs، يُعدّ أن الملاحق والملاحق التكميلية أو الجداول ذات الصلة قد تم ملؤها بالمعلومات الواردة في الجداول 1 و2 من هذه الاتفاقية.
12.1.4. فيما يتعلق بعمليات نقل UK Data أو Swiss Data، تسري EU SCCs المنفَّذة بموجب القسم 12.1.1 أعلاه مع التعديلات التالية (حسب ما يُعدَّل من وقت لآخر وفق إرشادات UK Information Commissioner’s Office أو Swiss Federal Data Protection Information Commissioner).
12.1.4.1. تُفسَّر الإشارات إلى "Regulation (EU) 2016/679" على أنها إشارات إلى UK Data Protection Laws أو Swiss DPA (حسب ما ينطبق)؛
12.1.4.2. تُستبدَل الإشارات إلى مواد بعينها من "Regulation (EU) 2016/679" بالمادة أو القسم المكافئ في UK Data Protection Laws أو Swiss DPA (حسب ما ينطبق)؛
12.1.4.3. تُستبدَل الإشارات إلى "EU" و"Union" و"Member State" و"Member State law" بإشارات إلى "UK" أو "Switzerland"، أو "UK law" أو "Swiss law" (حسب ما ينطبق)؛
12.1.4.4. لا يجوز تفسير مصطلح "member state" على نحوٍ يستبعد أصحاب البيانات في UK أو Switzerland من إمكانية رفع دعاوى للمطالبة بحقوقهم في موطن إقامتهم المعتاد (أي في UK أو Switzerland)؛
12.1.4.5. لا يُعمل بالبند 13(أ) من EU SCCs ولا بالجزء C من الملحق I، وتكون "الجهة الرقابية المختصة" هي United Kingdom Information Commissioner أو Swiss Federal Data Protection Information Commissioner (حسب ما ينطبق)؛
12.1.4.6. تُستبدَل الإشارات إلى "الجهة الرقابية المختصة" و"المحاكم المختصة" بإشارات إلى "Information Commissioner" و"courts of England and Wales" أو إلى "Swiss Federal Data Protection Information Commissioner" و"applicable courts of Switzerland" (حسب ما ينطبق)؛
12.1.4.7. في البند 17، تخضع EU SCCs لقوانين إنجلترا وويلز أو سويسرا (حسب ما ينطبق)؛ و
12.1.4.8. فيما يتعلق بعمليات النقل التي تسري عليها UK Data Protection Laws، يُعدَّل البند 18 لينصّ على: «يُفصل في أي نزاع ينشأ عن هذه البنود أمام محاكم إنجلترا وويلز». ويجوز لصاحب البيانات رفع دعوى قضائية ضد مُصدِّر البيانات و/أو مستورد البيانات أمام محاكم أي بلد داخل المملكة المتحدة. «ويوافق الطرفان على الخضوع لاختصاص تلك المحاكم»، وفيما يخصّ عمليات النقل التي تسري عليها Swiss DPA، ينصّ البند 18(ب) على أن يُفصل في النزاعات أمام المحاكم المختصة في سويسرا.
12.2. يجوز لـ Netradyne نقل بيانات العميل الشخصية إلى معالِجٍ فرعي خارج الاتحاد الأوروبي أو سويسرا أو المملكة المتحدة، شريطة أن تُنفّذ Netradyne تدابير تضمن قانونية نقل البيانات. قد تقتضي هذه التدابير أن تقوم Netradyne بـ(أ) التأكّد من أن الطرف الثالث يُبرم البنود التعاقدية القياسية؛ أو (ب) اعتماد أي آلية قانونية بديلة لنقل البيانات (بحسب ما تعترف به قوانين حماية البيانات).
12.3. إذا لم يعد بالإمكان الاعتماد على آليات النقل المستخدمة لنقل البيانات الشخصية بشكلٍ مشروع بين الولايات القضائية بموجب قوانين حماية البيانات المعمول بها، يجتمع الطرفان على وجه السرعة لمناقشة والاتفاق على آلية نقل بديلة أو تدابير تكميلية بديلة تُمكّن من النقل المشروع للبيانات، في أقرب وقت ممكن عمليًا.
13. استرجاع & حذف بيانات العميل الشخصية
13.1. يوافق العميل على أن سياسات الاحتفاظ بالبيانات وحذفها تخضع للأحكام والشروط الواردة في الاتفاقية. عند تلقي طلب من العميل بحذف بياناته الشخصية، تقوم Netradyne دون تأخير بحذف جميع البيانات الشخصية أو إعادتها إلى العميل عند الطلب. ما لم يُخطر العميل شركة Netradyne بخلاف ذلك، تقوم Netradyne عند إنهاء الاتفاقية بحذف جميع البيانات الشخصية خلال 30 يومًا. دون الإخلال بما سبق، يجوز لـ Netradyne الاحتفاظ بالبيانات الشخصية بالقدر الذي تقتضيه قوانين حماية البيانات بخلاف ذلك.
13.2. بالقدر الذي تسمح به قوانين حماية البيانات المعمول بها، يجوز لـ Netradyne نزع الهوية أو إجراء إخفاء الهوية لبيانات العميل الشخصية بغرض الاحتفاظ بها لاحقًا واستخدامها، وذلك وفق التزام Netradyne العلني بالحفاظ على المعلومات واستخدامها في صورة منزوعة الهوية أو مجهولة الهوية، ودون محاولة لإعادة تحديد الهوية. توضيحًا ولرفع أي لُبس، وبالقدر الذي تسمح به قوانين حماية البيانات المعمول بها، يُعدّ نزع الهوية أو إخفاء الهوية لبيانات العميل الشخصية وفاءً لالتزامات Netradyne بحذف البيانات بموجب الاتفاقية وهذه الاتفاقية الخاصة بمعالجة البيانات (DPA) والقوانين السارية.
14. المسؤولية
14.1. . تخضع أي دعاوى تُرفع بموجب هذه الاتفاقية الخاصة بمعالجة البيانات (بما في ذلك بموجب البنود التعاقدية القياسية) للأحكام والشروط الواردة في الاتفاقية، بما يشمل — دون حصر — الاستثناءات وحدود المسؤولية المنصوص عليها فيها.
15. أحكام إضافية متعلقة بولاية كاليفورنيا
15.1. بالقدر الذي تتعلّق فيه بيانات العميل الشخصية بمقيمي ولاية كاليفورنيا، لن تحتفظ Netradyne ببيانات العميل الشخصية ولن تستخدمها أو تبيعها أو تشاركها أو تُفصح عنها بأي صورة (بما في ذلك لأي غرض تجاري أو أي غرض خارج علاقة الأعمال المباشرة بين الطرفين) إلا بما يسمح به القانون أو حسب الحاجة لتقديم المنتجات والخدمات ودعمها وفقًا لما هو منصوص عليه في الاتفاقية.
15.2. بالقدر الذي تتعلّق فيه بيانات العميل الشخصية بمقيمي ولاية كاليفورنيا، تلتزم Netradyne بالقيود المنطبقة بموجب CPRA على دمج تلك البيانات الشخصية التي تتلقّاها Netradyne من العميل أو بالنيابة عنه مع بيانات شخصية تتلقّاها Netradyne من شخص آخر أو أكثر أو بالنيابة عنه/عنهم، أو تجمعها Netradyne من أي تفاعل بينها وبين صاحب بيانات.
15.3. بالقدر الذي تتعلّق فيه بيانات العميل الشخصية بمقيمي ولاية كاليفورنيا، تمتثل Netradyne لـ CPRA، ومع مراعاة دور Netradyne في المعالجة، توفّر مستوى الحماية المطلوب بموجب CPRA لبيانات العميل الشخصية ذات الصلة.
16. التغييرات في قوانين حماية البيانات
16.1. إذا دخل قانون جديد لحماية البيانات حيّز التنفيذ وكان ساريًا على Netradyne، فستتخذ Netradyne والعميل جميع الخطوات المعقولة المطلوبة بموجب هذا القانون لضمان قدرة الطرفين على الامتثال لالتزاماتهما بموجب القوانين المعمول بها وضمان امتثال Netradyne لجميع قوانين حماية البيانات المطبقة عليها.
17. القانون الحاكم والاختصاص القضائي
17.1. باستثناء ما تقتضيه البنود التعاقدية القياسية أو قوانين حماية البيانات المعمول بها، يخضع هذا الاتفاق لمعالجة البيانات وأي نزاع أو مطالبة تنشأ عنه أو تتعلق بموضوعه أو تكوينه لقوانين ولاية كاليفورنيا، دون الاعتداد بمبادئ تعارض القوانين الخاصة بها. لتفادي أي لبس، عندما تسري البنود التعاقدية القياسية، فإنها تخضع للقوانين وللاختصاص القضائي المحدّد فيها.
الجدول 1
وصف المعالجة / النقل
البند | التفاصيل |
مُصدر البيانات | العميل هو مُصدر البيانات |
مستورد البيانات | Netradyne, Inc. تفاصيل جهات الاتصال: |
وصف المعالجة / النقل
البند | التفاصيل |
أصحاب البيانات: | موظفو العميل أو المتعاقدون المستقلون معه، ومزوّدو خدمات العميل، بما في ذلك الذين يقودون المركبات («السائقون»). أفراد من الجمهور أو المارّة. |
فئات البيانات الشخصية: | تتضمن البيانات الشخصية التي تتم معالجتها ما يلي:
|
فئات خاصة من البيانات الشخصية: | غير منطبق |
طبيعة، الغرض وتكرار المعالجة: | ستُجري Netradyne معالجةً لبيانات العميل الشخصية طوال المدة اللازمة لتقديم المنتجات والخدمات للعميل وفقًا للاتفاق، وحسبما يجيزه الاتفاق، وكذلك لأي إفصاحات يفرضها القانون. |
المدة: | طوال ما يلزم لتحقيق الأغراض التجارية أو كما هو منصوص عليه في الاتفاق، وذلك مع الخضوع للقسم 13 من اتفاق معالجة البيانات هذا. |
المعالِجون الفرعيون المعتمدون (إن وُجدوا): | كما هو مذكور في الجدول 3 |
آلية النقل المعتمدة: | البنود التعاقدية القياسية: راجع القسم 12 من اتفاق معالجة البيانات (DPA). |
السلطة الإشرافية المختصة: | تُحدَّد وفقًا لقوانين حماية البيانات. |
الجدول 2
التدابير التقنية والتنظيمية بما في ذلك التدابير التقنية والتنظيمية لضمان أمن البيانات
التدابير التقنية والتنظيمية، بما في ذلك التدابير التقنية والتنظيمية لضمان أمن البيانات يجب أن تمتثل التدابير الأمنية، كحد أدنى، لقوانين حماية البيانات المعمول بها. مع مراعاة أحدث ما وصل إليه الفنّ، وتكاليف التنفيذ، وطبيعة ونطاق وسياق وأغراض المعالجة، وكذلك مخاطر تغير الاحتمالية والخطورة على المصالح المحمية قانونًا للأشخاص الطبيعيين، تُنفِّذ Netradyne التدابير التقنية والتنظيمية اللازمة («تدابير السلامة») لضمان مستوى أمانٍ مناسب للمخاطر عند معالجة البيانات الشخصية.
ستحافظ Netradyne على تدابير السلامة بما يتوافق مع أفضل الممارسات المقبولة في الصناعة (بما في ذلك معايير منظمة التوحيد القياسي الدولية ISO 27001 وISO 27002). يتضمن برنامج أمن المعلومات لدى Netradyne، كحد أدنى، الضمانات والضوابط التالية:
البند | التفاصيل |
تدابير إسناد أسماء مستعارة للبيانات وتشفير البيانات الشخصية. | تعتمد Netradyne تقنيات التشفير لحماية بيانات العملاء.
|
تدابير لضمان استمرارية السرّية والسلامة والتوافُرية والمرونة لأنظمة وخدمات المعالجة. | تطبّق Netradyne ضوابط وصول صارمة لتقييد الوصول إلى معلومات العميل. تشمل ضوابط الوصول الاستخدام المنضبط لصلاحيات الإدارة، وتطبيق سياسات إدارة الحسابات وكلمات المرور، والمصادقة متعددة العوامل (MFA) للخوادم وأنظمة الإنتاج. قامت Netradyne بتنفيذ ضوابط أمان الشبكات، وتقييم الثغرات الأمنية، وإدارة التحديثات، وإجراءات المراقبة المجدولة لتحديد التهديدات الأمنية وتقييمها ومعالجتها والحماية منها. تُجدول التحديثات ذات الخطورة الحرجة ليتم مراجعتها وتقييمها ونشرها فورًا أو خلال 5 أيام. تُجدول التحديثات ذات الخطورة الحرجة ليتم مراجعتها وتقييمها ونشرها فورًا أو خلال 5 أيام. تُراجع التحديثات متوسطة ومنخفضة الخطورة كجزء من عملية التدقيق الداخلي، وتُنشر عادةً خلال 3 إلى 12 شهرًا حسب الأهمية ومستوى الخطورة. تتيح ميزة الفحص العميق للحزم في جدار الحماية الخاص بـ Netradyne حجب حركة المرور الضارة. تتيح ميزة الفحص العميق للحزم في جدار الحماية الخاص بـ Netradyne حجب حركة المرور الضارة. فصل البيانات. نفذت Netradyne تدابير لعزل بيانات العملاء منطقيًا عن بياناتها الداخلية أو بيانات الأطراف الثالثة. الأمن المادي. نفّذت Netradyne ضوابط أمان مادية (بطاقات دخول، مراقبة CCTV، وحُرّاس أمن) لمراقبة الوصول المادي إلى مرافقها والتحكّم فيه. تُجري Netradyne اختبارات أداء، ومراقبة منتظمة لصحة الأجهزة، ونسخًا احتياطيًا للبيانات لضمان توافُر منصّاتها وخدماتها ومرونتها. |
تدابير لضمان القدرة على استعادة التوافُر والوصول إلى البيانات الشخصية في الوقت المناسب عند وقوع حادث مادي أو تقني. | تخزّن Netradyne جميع البيانات على سحابة AWS (Elastic Block Storage – EBS) المُهيّأة للسماح بإجراء نسخ احتياطي منتظم للبيانات أو استعادتها. تُدير Netradyne فريق استجابة لحوادث الأمن (SIRT) لتنسيق الجهود اللازمة لاحتواء الحوادث وتمكين استعادة البيانات. |
عمليات للاختبار والتقييم والمراجعة بانتظام لفعالية التدابير التقنية والتنظيمية بهدف ضمان أمن المعالجة. | تُجري Netradyne تدقيقًا داخليًا لضوابطها الأمنية والخصوصية مرة واحدة على الأقل سنويًا. تُجرى كذلك عمليات مسح دورية للثغرات واختبارات اختراق بواسطة مراجعين خارجيين. |
تدابير لتعريف المستخدمين وتفويضهم بالوصول. | تُسنِد Netradyne رقم تعريف مستخدم لجميع المستخدمين. تشمل ضوابط الوصول الاستخدام المنضبط لصلاحيات الإدارة، وتطبيق سياسات إدارة الحسابات وكلمات المرور، والمصادقة متعددة العوامل (MFA) للخوادم وأنظمة الإنتاج. يجب أن تستوفي كلمات المرور متطلبات تعقيد كلمات المرور الموضَّحة في سياسة كلمات المرور لدى Netradyne. تُمنَح قدرات الحسابات ذات الامتياز لعددٍ محدود من موظفي Netradyne ممّن يحتاجون هذا المستوى من الوصول لأداء مهامهم. |
تدابير لضمان الأمان المادي للأماكن التي تُعالَج فيها البيانات الشخصية. | تُحمى مراكز بيانات الإنتاج والتطوير لدى Netradyne من التهديدات البيئية والأمنية باستخدام ضوابط أمنية تقنية وإدارية ومادية. لضمان التوافُرية العالية، يشمل ذلك مزوّدات طاقة غير منقطعة احتياطية، وأنظمة كشف ومكافحة الحريق والدخان، وتهوية احتياطية، وتكييف هواء، وغير ذلك. تخضع جميع الأنظمة لصيانة وقائية متكرّرة ومنتظمة. تخضع جميع الأنظمة لصيانة وقائية متكرّرة ومنتظمة. يُنشر فريق من حُرّاس الأمن عند المدخل وفي أنحاء المرفق. يُتحكَّم بالوصول إلى المبنى عبر بطاقات مفاتيح أمنية. |
تدابير لضمان تسجيل الأحداث. | تُدار أنظمة Netradyne مركزيًا وتُراقَب باستخدام آليات تسجيل متوافقة مع معايير الصناعة. تُهيَّأ تطبيقات Netradyne لتسجيل تفاصيل جلسات المستخدمين والإجراءات التي ينفذونها. كما تُسجِّل أحداث الإدارة مثل العمليات المتعلقة بحسابات المستخدمين. وتُسجَّل أيضًا أحداث الإدارة مثل إنشاء أو إلغاء تنشيط حساب مستخدم، قفل الحساب أو انتهاء صلاحيته، تغييرات كلمات المرور، إسناد أو إزالة دور مستخدم، وإضافة مستخدم إلى مجموعة أو إزالته منها. |
تدابير لضمان ضبط النظام، بما في ذلك التهيئة الافتراضية. | وضعت Netradyne خطّ أساس موحّدًا لتكوين محطات العمل بهدف تحقيق الأهداف الأمنية. جرى تهيئة أنظمة خوادم Netradyne لتحقيق الأداء والاستقرار وقابلية التوسُّع والأمان. تُبنى جميع أنظمة الخوادم، بما في ذلك خوادم الويب والتطبيقات وقواعد البيانات، وفق معايير التهيئة. يتم تحصين جميع خدمات SQL Server عبر تعطيل كل الخدمات غير المستخدمة من قِبل تطبيق Netradyne. تتضمن عملية التحصين الأهداف التالية:
إزالة كل الوظائف غير الضرورية مثل السكربتات، وبرامج التشغيل، والميزات، والأنظمة الفرعية، وأنظمة الملفات، وخوادم الويب غير الضرورية. |
تدابير الحوكمة والإدارة الداخلية لتقنية المعلومات وأمن تقنية المعلومات. | لدى Netradyne فريقٌ مخصصٌ لأمن المعلومات (InfoSec) وقد اعتمدت سياسة وإجراءات لأمن تقنية المعلومات. يشمل ذلك عمليةً رسمية لإدارة التغيير وسياسة الاستخدام المقبول. |
تدابير للتصديق/الضمان على العمليات والمنتجات. | تُشغِّل Netradyne مدقّقين أمنيين مستقلين لإجراء تقييمات دورية لضوابط الأمن والخصوصية لديها، وذلك ضمن إطار شهادتي ISO 27001 وPrivacy by Design. ISO 27001 - https://gmsintercert.com/verify/single-cert-verify.php?cRegName=ISMS2020025 Privacy by Design - https://msecb.com/certifications-granted < |
تدابير لضمان تقليل البيانات (Data minimization). | يمكن تفعيل أوضاع خصوصية وتهيئات خصوصية مختلفة لتقليل كمية البيانات التي تعالجها Netradyne. تبقى غالبية لقطات الفيديو المسجّلة على جهاز Driver.i على الجهاز نفسه، ويتم الكتابة فوقها عند امتلاء ذاكرة الجهاز. لا تُرفع لقطات الفيديو إلى سحابة Netradyne إلا عند اكتشاف حدث. في المتوسط، يُرفَع أقلّ من %1 من اللقطات إلى السحابة. بحسب نوع الحدث، تُرفَع إلى السحابة اللقطات ذات الصلة بالحدث فقط (سواء لقطات خارجية أو لقطات داخل المقصورة). لجميع الأحداث، يرفع الجهاز بيانات الحدث إلى السحابة. |
تدابير لضمان تقليص مدة الاحتفاظ بالبيانات. | احتفاظ البيانات الافتراضي يوازن بين الاحتفاظ بالبيانات لمدةٍ كافية لتكون مفيدةً لمصدِّر البيانات، وبين ضمان عدم الاحتفاظ بها بعد تلك المدة المفيدة. متطلبات الاحتفاظ بالبيانات وحذفها منصوصٌ عليها في الاتفاق أو في اتفاق معالجة البيانات (DPA). |
تدابير لضمان المساءلة. | تحتفظ Netradyne بأدلة على الخطوات المتخذة للامتثال للائحة العامة لحماية البيانات في الاتحاد الأوروبي (EU GDPR). تعتمد Netradyne تدابير تقنية وتنظيمية مناسبة، مثل: (i) اعتماد وتنفيذ سياسات لحماية البيانات (عند الملاءمة)، (ii) إبرام عقود خطيّة مع مزوّدي الخدمات، (iii) الاحتفاظ بتوثيق أنشطة المعالجة، (iv) تنفيذ تدابير أمان مناسبة، (v) تسجيل حوادث خرق البيانات الشخصية والإبلاغ عنها عند اللزوم، (vi) إجراء تقييمات أثر حماية البيانات لاستخدامات البيانات الشخصية التي يُحتمل أن تُحدث مخاطر عالية على مصالح الأفراد، و(vii) تنفيذ ضوابط التسجيل والمراقبة. |
تدابير لإتاحة قابلية نقل البيانات وضمان محوها. | تُمكّن Netradyne أصحابَ البيانات من ممارسة حقوقهم عبر التواصل مع نقاط الاتصال المعيّنة. تقع المسؤولية الأساسية عن الاستجابة لطلبات أصحاب البيانات على عاتق العميل. ستساعد Netradyne العميل في الاستجابة لطلبات أصحاب البيانات. |
الجدول 3
قائمة المعالِجين الفرعيين المعتمدين
قام المتحكِّم في البيانات بالموافقة على استخدام المعالِجين الفرعيين التاليين:
المعالج الفرعي | غرض المعالجة | الموقع |
شركة Netradyne Technology India Private Limited («Netradyne India») | الهندسة والدعم | الهند |
Amazon Web Services (AWS) | استضافة البيانات | الولايات المتحدة |
شركة Elancer IT Solutions Private Limited | خدمات توصيف البيانات (تصنيف البيانات) | الهند |
Gainsight, Inc. | منصة نجاح العملاء | الولايات المتحدة |
Mixpanel, Inc. | نشاط المستخدم/تجربة المستخدم (تحليلات البيانات) | الولايات المتحدة |
VVDN Technologies | إعادة تأهيل الأجهزة | الهند |
هل تريد حماية السائقين وخفض التكاليف؟
هذا ليس سؤالًا خادعًا. شاهد بنفسك مع العرض التوضيحي.