1.التعريفات

لأغراض اتفاقية معالجة البيانات هذه ("DPA")، يكون للمصطلحات التالية المعاني المبينة أدناه:

•المتحكم: الجهة التي تحدد أغراض ووسائل معالجة البيانات الشخصية. في هذه الاتفاقية، المتحكم هو العميل الذي أبرم اتفاقية اشتراك مع قواعد.

•المعالج: الجهة التي تعالج البيانات الشخصية نيابة عن المتحكم. في هذه الاتفاقية، المعالج هو قواعد ("قواعد" أو "نحن" أو "لنا").

•المعالج الفرعي: أي جهة خارجية يستعين بها المعالج للمساعدة في معالجة البيانات الشخصية نيابة عن المتحكم.

•البيانات الشخصية: أي معلومات تتعلق بشخص طبيعي محدد أو يمكن تحديده ("صاحب البيانات")، وفقاً لما تحدده قوانين حماية البيانات المعمول بها بما في ذلك المادة 4(1) من اللائحة العامة لحماية البيانات.

2.النطاق والغرض

تنطبق هذه الاتفاقية على جميع عمليات معالجة البيانات الشخصية التي تقوم بها قواعد نيابة عن العميل فيما يتعلق بتقديم منصة محرك قواعد والخدمات ذات الصلة.

الغرض من هذه الاتفاقية هو ضمان معالجة البيانات الشخصية وفقاً لتشريعات حماية البيانات المعمول بها، بما في ذلك على سبيل المثال لا الحصر اللائحة العامة لحماية البيانات (الاتحاد الأوروبي) 2016/679 ("GDPR") وقانون حماية البيانات في المملكة المتحدة لعام 2018 وقوانين حماية البيانات الأخرى المعمول بها.

تشكل هذه الاتفاقية جزءاً من شروط الخدمة المتفق عليها بين قواعد والعميل وتكملها. في حالة وجود أي تعارض بين هذه الاتفاقية وشروط الخدمة فيما يتعلق بمسائل حماية البيانات، تسود هذه الاتفاقية.

3.تفاصيل معالجة البيانات

تصف التفاصيل التالية نطاق أنشطة المعالجة التي تقوم بها قواعد نيابة عن العميل:

•أنواع البيانات الشخصية: معلومات الحساب (الاسم، البريد الإلكتروني، المسمى الوظيفي)، بيانات الاستخدام (استدعاءات API، تقييمات القواعد، السجلات)، البيانات التقنية (عناوين IP، معلومات المتصفح، معرفات الأجهزة)، وأي بيانات شخصية واردة في تكوينات القواعد أو جداول القرارات التي أنشأها العميل.

•فئات أصحاب البيانات: موظفو العميل والمستخدمون المصرح لهم لمنصة قواعد، والمستخدمون النهائيون الذين قد تتم معالجة بياناتهم من خلال تقييمات القواعد، وجهات اتصال العميل لأغراض الفوترة والتواصل.

•غرض المعالجة: تقديم وصيانة وتحسين منصة قواعد؛ وتنفيذ تقييمات القواعد والبحث في جداول القرارات وفقاً لما يحدده العميل؛ وإنشاء التحليلات وتقارير الاستخدام؛ وتقديم دعم العملاء.

•مدة المعالجة: ستتم معالجة البيانات الشخصية طوال مدة اتفاقية الاشتراك بين قواعد والعميل، بالإضافة إلى أي فترة احتفاظ سارية كما هو موضح في القسم 8 من هذه الاتفاقية.

4.التزامات المعالج

تلتزم قواعد، بصفتها المعالج، بالالتزامات التالية:

•التدابير الأمنية: تنفيذ والحفاظ على التدابير التقنية والتنظيمية المناسبة لضمان مستوى أمان يتناسب مع المخاطر، بما في ذلك تشفير البيانات أثناء النقل (TLS 1.3) وأثناء التخزين (AES-256)، وضوابط الوصول، والتقييمات الأمنية المنتظمة، وأنظمة كشف التسلل.

•السرية: ضمان أن جميع الموظفين المصرح لهم بمعالجة البيانات الشخصية قد التزموا بالتزامات السرية أو يخضعون لالتزام قانوني مناسب بالسرية. يقتصر الوصول إلى البيانات الشخصية على أساس الحاجة إلى المعرفة.

•إدارة المعالجين الفرعيين: عدم إشراك أي معالج فرعي دون تصريح كتابي مسبق محدد أو عام من المتحكم. في حالة منح تصريح عام، تقوم قواعد بإبلاغ المتحكم بأي تغييرات مقصودة تتعلق بإضافة أو استبدال المعالجين الفرعيين، مع إعطاء المتحكم فرصة الاعتراض.

•مساعدة المتحكم: مساعدة المتحكم في الوفاء بالتزاماته للرد على طلبات أصحاب البيانات لممارسة حقوقهم بموجب قوانين حماية البيانات المعمول بها، بما في ذلك حقوق الوصول والتصحيح والمحو والتقييد وقابلية النقل والاعتراض.

•حذف البيانات وإعادتها: عند إنهاء الخدمات أو بناءً على الطلب، حذف أو إعادة جميع البيانات الشخصية إلى المتحكم وحذف النسخ الموجودة، ما لم يكن التخزين مطلوباً بموجب القانون المعمول به. تم وصف تفاصيل عملية الحذف في القسم 8.

•حقوق التدقيق: إتاحة جميع المعلومات اللازمة للمتحكم لإثبات الامتثال لهذه الاتفاقية والسماح بالتدقيق والمساهمة فيه، بما في ذلك عمليات التفتيش التي يجريها المتحكم أو مدقق مفوض من قبل المتحكم. تُجرى عمليات التدقيق بإشعار معقول وخلال ساعات العمل العادية.

•إخطار الانتهاك: إخطار المتحكم دون تأخير غير مبرر بعد علمه بانتهاك البيانات الشخصية. تم وصف عملية الإخطار ومتطلبات المحتوى في القسم 7.

5.المعالجون الفرعيون

تتعامل قواعد حالياً مع المعالجين الفرعيين التاليين للمساعدة في تقديم خدماتها. تم فحص كل معالج فرعي وهو ملتزم باتفاقيات معالجة البيانات التي تضمن مستوى مكافئاً من حماية البيانات:

•Stripe (Stripe, Inc.): معالجة المدفوعات وإدارة الفوترة. البيانات المعالجة: معلومات الفوترة، تفاصيل طريقة الدفع، سجل المعاملات. الموقع: الولايات المتحدة (معتمد بدرع الخصوصية، مع وجود بنود تعاقدية قياسية).

•SendGrid (Twilio Inc.): تسليم البريد الإلكتروني للمعاملات والتسويق. البيانات المعالجة: عناوين البريد الإلكتروني، الأسماء، محتوى البريد الإلكتروني. الموقع: الولايات المتحدة (مع وجود بنود تعاقدية قياسية).

•Seq (Datalust Pty Ltd): إدارة السجلات المنظمة ومراقبة التطبيقات. البيانات المعالجة: سجلات التطبيقات التي قد تحتوي على معرفات المستخدمين وعناوين IP وبيانات الطلبات الوصفية. الموقع: مستضاف ذاتياً ضمن بنية قواعد التحتية.

•Keycloak (مستضاف ذاتياً / Red Hat): إدارة الهوية والوصول للمصادقة والتفويض. البيانات المعالجة: بيانات اعتماد المستخدمين، رموز المصادقة، بيانات الجلسات. الموقع: مستضاف ضمن بنية قواعد التحتية.

يمكن للعميل الاشتراك في إشعارات تغييرات المعالجين الفرعيين عبر التواصل مع dpa@qawaid.ai. ستوفر قواعد إشعاراً قبل 30 يوماً على الأقل من إشراك أي معالج فرعي جديد، مما يتيح للعميل فرصة الاعتراض.

6.حقوق أصحاب البيانات

تساعد قواعد المتحكم في الرد على طلبات أصحاب البيانات الذين يمارسون حقوقهم بموجب قوانين حماية البيانات المعمول بها:

•حق الوصول: يجوز لأصحاب البيانات طلب الوصول إلى بياناتهم الشخصية. ستوفر قواعد للمتحكم الأدوات والمعلومات اللازمة لتلبية هذه الطلبات من خلال المنصة.

•حق التصحيح: يجوز لأصحاب البيانات طلب تصحيح البيانات الشخصية غير الدقيقة. يمكن للمتحكم تحديث بيانات المستخدم مباشرة من خلال لوحة إدارة قواعد.

•حق المحو: يجوز لأصحاب البيانات طلب حذف بياناتهم الشخصية. توفر قواعد إمكانيات حذف البيانات من خلال المنصة وواجهة برمجة التطبيقات.

•حق تقييد المعالجة: يجوز لأصحاب البيانات طلب تقييد المعالجة. ستنفذ قواعد التدابير التقنية لدعم هذه القيود عندما يوجهها المتحكم.

•حق نقل البيانات: يجوز لأصحاب البيانات طلب بياناتهم بتنسيق منظم وقابل للقراءة آلياً. تدعم قواعد تصدير البيانات بتنسيقات JSON وCSV.

•حق الاعتراض: يجوز لأصحاب البيانات الاعتراض على المعالجة القائمة على المصالح المشروعة. يتحمل المتحكم مسؤولية تقييم هذه الاعتراضات وتوجيه قواعد وفقاً لذلك.

ستستجيب قواعد لطلبات المتحكم المتعلقة بحقوق أصحاب البيانات دون تأخير غير مبرر وضمن الأطر الزمنية التي يتطلبها القانون المعمول به.

7.التدابير الأمنية

تنفذ قواعد وتحافظ على تدابير أمنية تقنية وتنظيمية شاملة، تشمل على سبيل المثال لا الحصر:

•التشفير: جميع البيانات مشفرة أثناء النقل باستخدام TLS 1.3 وأثناء التخزين باستخدام AES-256. تستخدم اتصالات قاعدة البيانات قنوات مشفرة. يتم تخزين مفاتيح API والأسرار في خزائن مشفرة.

•ضوابط الوصول: التحكم في الوصول القائم على الأدوار (RBAC) مع مبدأ الحد الأدنى من الامتيازات. المصادقة متعددة العوامل (MFA) للوصول الإداري. مراجعات الوصول المنتظمة وإلغاء الامتيازات غير الضرورية.

•أمان الشبكة: جدار حماية تطبيقات الويب (WAF)، حماية من هجمات DDoS، تقسيم الشبكة، وأنظمة كشف/منع التسلل (IDS/IPS).

•أمان التطبيقات: تقييمات الثغرات الأمنية واختبارات الاختراق المنتظمة. ممارسات دورة حياة التطوير الآمن (SDLC). فحص التبعيات ومراجعات الأمان البرمجية.

•الأمان المادي: مراكز بيانات مع أمان مادي على مدار الساعة، ضوابط وصول بيومترية، مراقبة بالفيديو، وضوابط بيئية.

•استمرارية الأعمال: نسخ احتياطية منتظمة مع إجراءات استعادة مختبرة. خطة استرداد الكوارث مع أهداف RPO وRTO محددة. تكرار جغرافي للأنظمة الحيوية.

•المراقبة والتسجيل: مراقبة أمنية مركزية عبر Seq. تنبيهات فورية للأحداث الأمنية. تسجيل تدقيق شامل مع تخزين مقاوم للتلاعب.

8.إخطار انتهاك البيانات

في حالة حدوث انتهاك للبيانات الشخصية، تلتزم قواعد بمتطلبات الإخطار التالية:

•إخطار خلال 72 ساعة: تقوم قواعد بإخطار المتحكم دون تأخير غير مبرر، وفي أي حال في موعد لا يتجاوز 72 ساعة بعد علمها بانتهاك البيانات الشخصية. يتم الإخطار إلى جهة الاتصال المعينة من قبل المتحكم عبر البريد الإلكتروني، وحيثما ينطبق، من خلال لوحة إدارة قواعد.

•محتوى الإخطار: يتضمن إخطار الانتهاك: (أ) وصف طبيعة الانتهاك، بما في ذلك الفئات والعدد التقريبي لأصحاب البيانات والسجلات المعنية؛ (ب) اسم وتفاصيل الاتصال بمسؤول حماية البيانات في قواعد؛ (ج) وصف العواقب المحتملة للانتهاك؛ (د) وصف التدابير المتخذة أو المقترحة لمعالجة الانتهاك، بما في ذلك تدابير التخفيف من آثاره السلبية المحتملة.

•التواصل المستمر: تقدم قواعد تحديثات في الوقت المناسب عند توفر معلومات إضافية، وتتعاون بشكل كامل مع تحقيق المتحكم، وتساعد المتحكم في الوفاء بالتزاماته الخاصة بالإخطار تجاه السلطات الرقابية وأصحاب البيانات.

•التوثيق: تقوم قواعد بتوثيق جميع انتهاكات البيانات الشخصية، بما في ذلك الحقائق المتعلقة بالانتهاك وآثاره والإجراءات العلاجية المتخذة. يتم إتاحة هذا التوثيق للمتحكم والسلطات الرقابية عند الطلب.

9.حذف البيانات

عند إنهاء أو انتهاء اتفاقية الاشتراك، أو بناءً على طلب المتحكم، تتعامل قواعد مع البيانات الشخصية على النحو التالي:

•فترة التصدير لمدة 30 يوماً: يحق للمتحكم فترة 30 يوماً من تاريخ الإنهاء لتصدير جميع البيانات الشخصية من منصة قواعد. خلال هذه الفترة، يحتفظ المتحكم بحق الوصول الكامل للقراءة لبياناته، بما في ذلك تكوينات القواعد وجداول القرارات وسجلات التقييم ومعلومات الحساب.

•الحذف الدائم: بعد انتهاء فترة التصدير البالغة 30 يوماً، تقوم قواعد بحذف جميع البيانات الشخصية بشكل دائم ولا رجعة فيه من أنظمتها الإنتاجية وأنظمة النسخ الاحتياطي وبيئات استرداد الكوارث. يتم إكمال الحذف في غضون 90 يوماً من نهاية فترة التصدير.

•شهادة الحذف: عند اكتمال عملية الحذف، تزود قواعد المتحكم بشهادة مكتوبة تؤكد أن جميع البيانات الشخصية قد تم حذفها بشكل آمن وفقاً لهذه الاتفاقية. تحدد الشهادة تاريخ الحذف والطرق المستخدمة.

•الاستثناءات: قد يتم الاحتفاظ ببعض البيانات بعد الجدول الزمني للحذف حيثما يتطلب القانون المعمول به أو اللوائح أو أمر ملزم قانونياً. في مثل هذه الحالات، تقوم قواعد بإبلاغ المتحكم بمتطلبات الاحتفاظ والبيانات المحددة المتأثرة، وتضمن الحماية المستمرة لهذه البيانات.

10.عمليات نقل البيانات الدولية

عندما يتم نقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية (EEA) أو المملكة المتحدة أو الولايات القضائية الأخرى التي تفرض قيوداً على نقل البيانات، تضمن قواعد وجود ضمانات مناسبة:

•البنود التعاقدية القياسية (SCCs): تدمج قواعد البنود التعاقدية القياسية للمفوضية الأوروبية (الوحدة 2: من المتحكم إلى المعالج) في اتفاقياتها مع المعالجين الفرعيين الموجودين خارج المنطقة الاقتصادية الأوروبية. تنطبق أحدث نسخة من البنود التعاقدية القياسية المعتمدة بموجب قرار التنفيذ (الاتحاد الأوروبي) 2021/914.

•قرارات الملاءمة: حيثما كان ذلك متاحاً، قد تعتمد عمليات النقل على قرارات الملاءمة الصادرة عن المفوضية الأوروبية التي تعترف بأن بلد المقصد يوفر مستوى كافياً من حماية البيانات.

•ضمانات إضافية: حيثما يتطلب حكم Schrems II، تنفذ قواعد تدابير تكميلية تشمل التشفير والتسمية المستعارة والالتزامات التعاقدية للطعن في طلبات الوصول الحكومية.

•تقييمات تأثير النقل: تجري قواعد تقييمات تأثير النقل لكل معالج فرعي لتقييم الإطار القانوني لبلد المقصد وفعالية الضمانات المعمول بها.

11.المدة والإنهاء

تظل هذه الاتفاقية سارية طوال مدة اتفاقية الاشتراك بين قواعد والعميل:

•البدء: تدخل هذه الاتفاقية حيز التنفيذ في التاريخ الذي يصل فيه العميل لأول مرة إلى منصة قواعد أو يستخدمها بموجب اتفاقية اشتراك صالحة.

•المدة: تظل هذه الاتفاقية سارية طالما تعالج قواعد البيانات الشخصية نيابة عن العميل. تبقى الالتزامات المتعلقة بالسرية وحذف البيانات سارية بعد الإنهاء.

•الإنهاء بسبب الإخلال: يجوز لأي من الطرفين إنهاء هذه الاتفاقية فوراً بإشعار كتابي إذا أخل الطرف الآخر إخلالاً جوهرياً بأي حكم من أحكام هذه الاتفاقية ولم يعالج هذا الإخلال في غضون 30 يوماً من تلقي الإشعار الكتابي.

•أثر الإنهاء: عند إنهاء هذه الاتفاقية، تنطبق أحكام حذف البيانات الواردة في القسم 9. تتوقف قواعد عن جميع عمليات معالجة البيانات الشخصية نيابة عن المتحكم، باستثناء ما يتطلبه القانون المعمول به.

12.معلومات الاتصال

لأي أسئلة أو مخاوف أو طلبات تتعلق باتفاقية معالجة البيانات هذه، يرجى التواصل معنا من خلال القنوات التالية:

•استفسارات الاتفاقية: dpa@qawaid.ai

•مسؤول حماية البيانات: dpo@qawaid.ai

•فريق الأمان: security@qawaid.ai

•العنوان البريدي: قواعد، الإدارة القانونية، دبي، الإمارات العربية المتحدة.

لطلب نسخة موقعة من هذه الاتفاقية أو للإبلاغ عن انتهاك بيانات، يرجى التواصل مع dpa@qawaid.ai مع سطر الموضوع "طلب اتفاقية" أو "تقرير انتهاك بيانات" على التوالي.

اتفاقية معالجة البيانات

جدول المحتويات