ملحق معالجة البيانات

 

 يشكل هذا الملحق جزءًا لا يتجزأ من العقد ويتم الدخول فيه عن طريق:

 

    • . (١) العميل ("جهة تصدير البيانات")
    • . (٢)  اكواليف ("مستورد البيانات")

 

كل منها "طرف" وبشكل عام "أطراف".

 

مقدمة

حيث يوفر برنامج استيراد البيانات خدمات برمجية احترافية وجهاز كمبيوتر والخدمات التابعة لها (مثل المتصفحات ذات وظائف البحث المتقدمة) ؛

حيث يكون بموجب العقد، قد وافق مستورد البيانات على تزويد جهة تصدير البيانات بالخدمات المحددة في العقد ("الخدمات")

حيث ، من خلال توفير الخدمات ، يتلقى مستورد البيانات أو يستفيد من الوصول إلى معلومات جهة تصدير البيانات أو معلومات الأشخاص الآخرين الذين لديهم علاقة (محتملة) مع جهة تصدير البيانات ، يمكن اعتبار هذه المعلومات بيانات شخصية بالمعنى المقصود في اللائحة (الاتحاد الأوروبي) 2016/679 للبرلمان الأوروبي ومجلس 27 أبريل 2016 بشأن حماية الأفراد فيما يتعلق بمعالجة البيانات الشخصية وحرية حركة هذه البيانات ("اللائحة العامة لحماية البيانات")  وغيرها من قوانين حماية البيانات المعمول بها.

حيث يحتوي هذا الملحق على الأحكام والشروط المطبقة على جمع ومعالجة واستخدام هذه البيانات الشخصية من قبل جهة استيراد البيانات بصفتها وكيل معالجة البيانات المعتمد من جهة تصدير البيانات ، وذلك لضمان امتثال الأطراف لقانون حماية البيانات المعمول به .

 

لذلك ، ولتمكين الطرفين من مواصلة علاقتهما بشكل قانوني ، اختتم الطرفان هذا الملحق على النحو التالي:

الجزء ١

 

1. هيكل الوثيقة والتعاريف

١.١ الهيكل

يتكون هذا الملحق من أجزاء مختلفة على النحو التالي:

 

الجزء ١ 

يحتوي على أحكام عامة ، على سبيل المثال فيما يتعلق بالتعاريف المستخدمة في هذا الملحق ، والامتثال للقوانين المحلية والتوقيت والإنهاء

 

الجزء ٢ 

يحتوي على نص وثيقة الأحكام التعاقدية القياسية غير المعدلة

 

الملحق ١.١ من الجزء ٢

يحتوي على تفاصيل عمليات المعالجة المقدمة من قبل جهة استيراد البيانات إلى جهة تصدير البيانات باعتبارها وكيل معالجة البيانات المعتمد (بما في ذلك المعالجة والطبيعة والغرض من المعالجة ونوع البيانات الشخصية وفئات مواضيع البيانات) بموجب هذا الملحق

 

الملحق ٢ من الجزء ٢

يحتوي على وصف لتدابير الأمان التقنية والتنظيمية الخاصة بمورد البيانات ، والتي يتم تطبيقها فيما يتعلق بجميع أنشطة المعالجة الموضحة في الملحق ١.١ من الجزء ٢

 

الجزء ٣

يحتوي على توقيعات الأطراف للالتزام بهذا الملحق ويحدد جهة استيراد البيانات

 

 

 

١.٢ المصطلحات والتعاريف

لأغراض هذا الملحق، تنطبق المصطلحات والتعاريف المستخدمة من قبل اللائحة العامة لحماية البيانات (في نص مستند البند التعاقدي القياسي في الجزء 2، حيث لا تتم كتابة المصطلحات المحددة بأحرف كبيرة).

"دولة عضو"

تعني دولة تنتمي إلى الاتحاد الأوروبي أو المنطقة الاقتصادية الأوروبية

"فئات خاصة من البيانات (الشخصية)"

يشير إلى البيانات الشخصية التي تكشف عن الأصل العنصري أو العرقي،  الآراء السياسية، المعتقدات الدينية أو الفلسفية، عضوية النقابات العمالية ، البيانات الوراثية، بيانات القياسات الحيوية، إذا تمت معالجتها لغرض تحديد هوية الشخص بشكل فريد، البيانات المتعلقة بالصحة، والبيانات المتعلقة بجنس الشخص الحياة أو التوجه الجنسي

"الشروط التعاقدية القياسية"

مصطلح يشير إلى الشروط التعاقدية القياسية لنقل البيانات الشخصية لوكلاء المعالجة المنشأة في دول ثالثة، بموجب قرار المفوضية ٢٠١٠/٨٧ / الاتحاد الأوروبي في الخامس من فبراير ٢٠١٠، والذي تم تعديله بموجب القرار التنفيذي للمفوضية (الاتحاد الأوروبي) ٢٠١٦/٢٢٩٧ في السادس عشر من ديسمبر ٢٠١٦

"معالجة البيانات "

مصطلح يشير إلى أي وكيل معالجة ، موجود داخل أو خارج الاتحاد الأوروبي / المنطقة الاقتصادية الأوروبية، يوافق على تلقي بيانات شخصية من جهة استيراد البيانات أو أي معالج آخر تابع لمورد البيانات، البيانات الشخصية هي لغرض حصري هو أنشطة المعالجة التي يتعين على جهة تصدير البيانات تنفيذها بعد النقل وفقًا لتعليمات جهة تصدير البيانات، وشروط هذا الملحق والعقد المبرم مع جهة استيراد البيانات

 

٢. التزامات جهة تصدير البيانات

١.٢ تلتزم جهة تصدير البيانات بضمان الامتثال لجميع الالتزامات السارية بموجب اللائحة العامة لحماية البيانات وأي قانون حماية بيانات آخر معمول به ينطبق على جهة تصدير البيانات وإظهار هذا الامتثال على النحو المطلوب بموجب المادة 5 (2) من القانون العام لحماية البيانات. تتعهد جهة تصدير البيانات بأن مستورد البيانات قد حصل على الموافقة المسبقة لأصحاب البيانات وفقًا للمادة 6 (أ) من اللائحة العامة لحماية البيانات وامتثل لالتزامه بإبلاغ أصحاب البيانات وفقًا للمادتين 13 و 14 من اللائحة العامة لحماية البيانات.

٢.٢ يجب على جهة تصدير البيانات تزويد جهة استيراد البيانات بالملفات ذات الصلة لأنشطة المعالجة وفقًا للمادة ٣٠ (١) من القانون العام لحماية البيانات (اللائحة العامة لحماية البيانات ) المتعلقة بالخدمات بموجب هذا الملحق، إلى الحد اللازم لامتثال جهة استيراد البيانات للالتزام بموجب المادة ٣٠ (٢) من اللائحة العامة لحماية البيانات.

٢.٣ يجب على جهة تصدير البيانات تعيين مسؤول حماية البيانات أو ممثل إلى الحد الذي يتطلبه قانون حماية البيانات المعمول به. تلتزم جهة تصدير البيانات بتقديم تفاصيل الاتصال الخاصة بوكيل حماية البيانات أو ممثلها، إن وجد، إلى جهة استيراد البيانات.

٢.٤ تؤكد جهة تصدير البيانات قبل اكتمال المعالجة، بقبول هذا الملحق، أن تدابير الأمان الفنية والتنظيمية لمورد البيانات، على النحو المبين في الملحق ٢ بالجزء ٢، مناسبة وكافية لحماية حقوق موضوع البيانات ويؤكد أن جهة استيراد البيانات توفر ضمانات كافية في هذا الصدد.

 

٣.الامتثال للقانون المحلي

من أجل تلبية متطلبات تنفيذ وكلاء المعالجة وفقًا للمادة 28 من القانون العام لحماية البيانات (اللائحة العامة لحماية البيانات) ، تسري التعديلات التالية:

 

١.٣ التعليمات

1. (1) يوجه "مصدر البيانات" جهة استيراد البيانات لمعالجة البيانات الشخصية فقط نيابة عن جهة تصدير البيانات. يتم توفير إرشادات جهة تصدير البيانات في هذا الملحق وفي العقد. تلتزم جهة تصدير البيانات بضمان أن جميع التعليمات التي تم تقديمها إلى جهة استيراد البيانات تتوافق مع قوانين حماية البيانات المعمول بها. يجب على جهة استيراد البيانات معالجة البيانات الشخصية فقط وفقًا للتعليمات المقدمة من جهة تصدير البيانات ما لم يطلب الاتحاد الأوروبي أو قانون الدولة العضو خلاف ذلك (في الحالة الأخيرة ، ينطبق الجزء ١ ، الفقرة ٢.٣ (٤) (ج)) .

2. (2) يجب تضمين جميع التعليمات الأخرى التي تتجاوز التعليمات الواردة في هذا الملحق أو في العقد في موضوع هذا الملحق والعقد. إذا تضمن تنفيذ هذه التعليمات الإضافية تكاليف على جهة استيراد البيانات، فيجب على جهة استيراد البيانات إبلاغ جهة تصدير البيانات بهذه التكاليف وتقديم توضيح قبل تنفيذ التعليمات. فقط بعد أن تؤكد جهة تصدير البيانات قبول هذه التكاليف لتنفيذ التعليمات، يجب على جهة استيراد البيانات تنفيذ هذه التعليمات الإضافية. يجب أن تقدم جهة تصدير البيانات تعليمات إضافية كتابية ما لم تتطلب الاستعجال أو ظروف محددة أخرى نموذجًا آخر (على سبيل المثال شفهيًا أو إلكترونيًا). التعليمات المصاغة بطريقة غير كتابية يجب تأكيدها كتابياً ودون تأخير من قبل جهة تصدير البيانات.

3. 2. ما لم تتمكن جهة تصدير البيانات من إجراء تصحيح البيانات الشخصية أو محوها أو تقييدها بنفسها ، فقد تتعلق التعليمات أيضًا بتصحيح البيانات الشخصية و / أو محوها و / أو تقييدها على النحو المنصوص عليه في الجزء ١ الفقرة ٣.٣ .

4. 2. يجب على جهة استيراد البيانات إبلاغ جهة تصدير البيانات فورًا إذا كانت هناك ، باعتقادها، تعليمات تنتهك اللائحة العامة لحماية البيانات أو غيرها من أحكام حماية البيانات المعمول بها في الاتحاد الأوروبي أو دولة عضو ("التعليمات المتنازع عليها"). إذا اعتقدت جهة استيراد البيانات أن تعليمات ما تنتهك اللائحة العامة لحماية البيانات أو غيرها من أحكام حماية البيانات المعمول بها في الاتحاد الأوروبي أو دولة عضو ، فإن جهة استيراد البيانات ليست ملزمة باتباع التعليمات المتنازع عليها. إذا أكدت جهة تصدير البيانات على التعليمات المتنازع عليها عند استلام المعلومات من جهة استيراد البيانات وأقرت بمسؤوليتها عن التعليمات المتنازع عليها ، فيجب على جهة استيراد البيانات تنفيذ التعليمات المتنازع عليها ، ما لم تتعلق التعليمات المتنازع عليها بـ (١) تنفيذ التدابير التقنية والتنظيمية أو (٢) حقوق موضوعات البيانات أو (٣) إشراك معالجي البيانات. في الحالات من (١) إلى (٣) ، يجوز لمستورد البيانات الاتصال بسلطة إشرافية مختصة لتقييم التعليمات المتنازع عليها قانونيًا من قبل هذه السلطة. إذا أعلنت السلطة الإشرافية أن التعليمات المعترض عليها قانونية ، فيجب على جهة استيراد البيانات تنفيذ التعليمات المعترض عليها. الجزء ١ الفقرة ١.٣ (٢) تظل سارية.

٢.٣ التزامات جهة استيراد البيانات  

1. (1) يجب على جهة استيراد البيانات التأكد من أن الأشخاص المصرح لهم من قبل جهة استيراد البيانات لمعالجة البيانات الشخصية نيابة عن جهة تصدير البيانات ، ولا سيما موظفي جهة استيراد البيانات وموظفي المقاولة الفرعية ، قد تعهدوا بمراعاة السرية أو الخضوع  لواجب قانوني مناسب يتعلق بالسرية ، وأن يقوم هؤلاء الأشخاص الذين لديهم إمكانية الوصول إلى البيانات الشخصية بمعالجتها وفقًا لتعليمات جهة تصدير البيانات.

2. (2) يجب على جهة استيراد البيانات تنفيذ إجراءات الأمان التقنية والتنظيمية كما هو موضح في الملحق ٢ بالجزء ٢ قبل معالجة البيانات الشخصية نيابةً عن جهة تصدير البيانات. يجوز لجهة استيراد البيانات تغيير إجراءات الأمان التقنية والتنظيمية من وقت لآخر إذا لم توفر حماية أقل من تلك المنصوص عليها في الملحق ٢ بالجزء ٢.

3. (3) يجب على جهة استيراد البيانات توفير معلومات لمُصدِّر البيانات ، بناءً على طلب جهة تصدير البيانات ، لإظهار الامتثال لالتزامات جهة استيراد البيانات بموجب هذا الملحق. يتفق الطرفان على الوفاء بهذا الالتزام المتعلق بالمعلومات من خلال تزويد جهة تصدير البيانات بتقرير تدقيق (يغطي أمن المبادئ وتوافر النظام والسرية) ("تقرير التدقيق"). إذا كانت أنشطة التدقيق الإضافية مطلوبة قانونًا ، يجوز لجهة تصدير البيانات أن تطلب إجراء عمليات التفتيش بواسطة جهة تصدير البيانات أو مدقق آخر يعينه جهة تصدير البيانات ، مع مراعاة تنفيذ هذا المدقق لاتفاقية سرية مع جهة استيراد البيانات بالرضا المعقول إلى جهة استيراد البيانات  ("التدقيق"). يخضع هذا التدقيق للشروط التالية: (1) الموافقة الخطية المسبقة من جهة استيراد البيانات ؛ و (2) يتحمل مصدر البيانات جميع التكاليف المتعلقة بالتدقيق في الموقع لمصدر البيانات ومستورد البيانات. يجب على جهة تصدير البيانات إنشاء تقرير تدقيق يلخص نتائج وملاحظات التدقيق في الموقع ("تقرير التدقيق في الموقع"). تعد تقارير التدقيق في الموقع وتقارير التدقيق معلومات سرية خاصة بجهة استيراد البيانات ويجب عدم الكشف عنها لأطراف ثالثة ما لم يكن ذلك مطلوبًا بموجب قانون حماية البيانات المعمول به أو وفقًا لموافقة جهة استيراد البيانات.

4. (4) تلتزم جهة استيراد البيانات بإخطار جهة تصدير البيانات دون تأخير لا داعي له:

١ . أ. بخصوص أي طلب ملزم قانونًا للإفصاح عن البيانات الشخصية من قبل سلطة إنفاذ القانون ، ما لم يُحظر خلاف ذلك ، مثل الحظر بموجب القانون الجنائي لحماية سرية تحقيق إنفاذ القانون

2. ب. بخصوص أي شكوى وطلب تم تلقيه مباشرة من صاحب البيانات (على سبيل المثال فيما يتعلق بالوصول ، التصحيح ، الحذف ، تقييد المعالجة ، إمكانية نقل البيانات ، الاعتراض على معالجة البيانات واتخاذ القرار الآلي) دون الرد على هذا الطلب ، ما لم يتم تفويض جهة استيراد البيانات القيام بذلك

3 . ج. إذا كان مستورد البيانات أو معالج البيانات ملزمًا ، بموجب قانون الاتحاد الأوروبي أو الدولة العضو التي يخضع لها مستورد البيانات أو معالج البيانات ، بمعالجة البيانات الشخصية بما يتجاوز تعليمات جهة تصدير البيانات ، قبل تنفيذ هذه المعالجة بعد التعليمات ، ما لم تحظر قوانين الاتحاد الأوروبي أو الدولة العضو مثل هذه المعالجة لأسباب حيوية تتعلق بالمصلحة العامة ، وفي هذه الحالة يجب أن يحدد الإخطار إلى جهة تصدير البيانات المتطلبات القانونية بموجب قانون الاتحاد الأوروبي أو قانون الدولة العضو ؛ أو

4. د. إذا أدركت جهة استيراد البيانات انتهاكًا للبيانات الشخصية ، فقط بسبب نفسها أو بسبب المتعاقد معها فرعياً ، مما قد يؤثر على البيانات الشخصية لمصدر البيانات التي يغطيها العقد الحالي ، وفي هذه الحالة سيساعد مستورد البيانات جهة تصدير البيانات في التزامها فيما يتعلق بقانون حماية البيانات المعمول به ، إبلاغ أصحاب البيانات ، وعند الاقتضاء ، السلطات الرقابية من خلال توفير المعلومات المتاحة لها ، وفقًا للمادة ٣٣ (٣) من اللائحة العامة للبيانات.

5. (5) بناءً على طلب جهة تصدير البيانات ، يجب على جهة استيراد البيانات مساعدة جهة تصدير البيانات في التزامها بإجراء تقييم تأثير حماية البيانات الذي قد تتطلبه المادة 35 من اللائحة العامة لحماية البيانات  والاستشارات المسبقة التي قد تتطلبها المادة 36 من اللائحة العامة لحماية البيانات المتعلقة بالخدمات التي يقدمها مستورد البيانات لمصدر البيانات بموجب هذا الملحق ، مع توفير المعلومات الضرورية لمصدر البيانات. ستكون جهة استيراد البيانات ملزمة فقط بتقديم هذه المساعدة إذا لم تستطع جهة تصدير البيانات الوفاء بالتزاماتها بوسائل أخرى. ستبلغ جهة استيراد البيانات جهة تصدير البيانات بتكلفة هذه المساعدة. بمجرد أن تؤكد جهة تصدير البيانات قدرتها على تحمل هذه التكلفة ، ستزود جهة استيراد البيانات جهة تصدير البيانات بهذه المساعدة.

6. (6) في نهاية تقديم الخدمات ، يجوز لجهة تصدير البيانات أن تطلب إعادة البيانات الشخصية التي تمت معالجتها بواسطة جهة استيراد البيانات بموجب هذا الملحق في غضون شهر واحد بعد تقديم الخدمات. ما لم تتطلب تشريعات الدولة العضو أو الاتحاد الأوروبي من جهة استيراد البيانات تخزين هذه البيانات الشخصية أو الاحتفاظ بها ، فإن جهة استيراد البيانات ستحذف جميع هذه البيانات الشخصية أو غير الشخصية بعد فترة شهر واحد ، سواء تم إرجاعها إلى مصدر البيانات بناءً على طلبه أم لا.

٣.٣ حقوق الأشخاص المعنيين

  1.  

1. (1) يقوم مُصدِّر البيانات بإدارة الطلبات المقدمة من أصحاب البيانات والاستجابة لها. جهة استيراد البيانات ليست ملزمة بالرد مباشرة على أصحاب البيانات.

2. (2) في حالة طلب جهة تصدير البيانات مساعدة جهة استيراد البيانات في معالجة طلبات موضوع البيانات والاستجابة لها ، يجب على جهة تصدير البيانات إصدار تعليمات إضافية وفقًا للفقرة ٣.١ (٢) من الجزء ١. سيساعد جهة استيراد البيانات جهة تصدير البيانات مع التدابير التنظيمية المناسبة والتقنية التالية للاستجابة لطلبات ممارسة حقوق مواضيع البيانات المنصوص عليها في الفصل الثالث من القانون العام لحماية البيانات على النحو التالي:

3. أ. فيما يتعلق بطلبات الحصول على المعلومات ، لن يزود جهة استيراد البيانات جهة تصدير البيانات إلا بالمعلومات المطلوبة بموجب المادتين ١٣ و ١٤ من اللائحة العامة لحماية البيانات التي قد تكون تحت تصرفها إذا لم يتمكن مصدر البيانات من العثور عليها بمفرده.

4. ب. فيما يتعلق بطلبات الوصول (المادة 15 من القانون العام لحماية البيانات) ، فإن جهة استيراد البيانات ستزود جهة تصدير البيانات فقط بالمعلومات التي من المفترض تقديمها إلى صاحب البيانات لطلب الوصول المذكور ، والذي قد يكون تحت تصرفه إذا كان الأخير لا يمكن العثور عليه بمفرده.

5. ج. فيما يتعلق بطلبات التصحيح (المادة 16 من اللائحة العامة لحماية البيانات) ، وطلبات الحذف (المادة 17 من اللائحة العامة لحماية البيانات) ، وتقييد طلبات المعالجة (المادة 18 من اللائحة العامة لحماية البيانات) ، أو طلبات قابلية النقل (المادة 20 من اللائحة العامة لحماية البيانات) ، وفقط إذا تعذر على جهة تصدير البيانات بنفسها تصحيح البيانات الشخصية أو محوها أو تقييدها أو نقلها إلى جهة خارجية أخرى ، فإن جهة استيراد البيانات ستعرض على جهة تصدير البيانات إمكانية تصحيح البيانات الشخصية المعنية أو محوها أو تقييدها أو نقلها إلى الطرف الثالث ، أو إذا لم يكن ذلك ممكنًا ، فسيقدم المساعدة لتصحيح البيانات الشخصية المعنية أو محوها أو تقييدها أو نقلها إلى الطرف الثالث الآخر.

6. د. فيما يتعلق بالإخطار المتعلق بالتصحيح أو المحو أو تقييد المعالجة (المادة 19 من القانون العام لحماية البيانات) ، فإن جهة استيراد البيانات ستساعد جهة تصدير البيانات عن طريق إخطار جميع المستلمين بالبيانات الشخصية التي تستخدمها جهة استيراد البيانات بصفتهم معالجين إذا طلب مصدر البيانات ذلك و إذا تعذر على جهة تصدير البيانات معالجة الوضع بمفردها.

7. ه. فيما يتعلق بحق المعارضة الذي يمارسه صاحب البيانات (المادتان 21 و 22 من اللائحة العامة لحماية البيانات)، سيحدد مصدر البيانات ما إذا كانت المعارضة شرعية وكيفية التعامل معها.

8. (3) تقتصر التزامات مساعدة مستورد البيانات على البيانات الشخصية التي تتم معالجتها داخل بنيته الأساسية (مثل قواعد البيانات والأنظمة والتطبيقات التي يمتلكها أو يوفرها مستورد البيانات).

9. (4) يجب على جهة تصدير البيانات تحديد ما إذا كان يجوز لصاحب البيانات ممارسة حقوق موضوعات البيانات المنصوص عليها في الفقرة 3.1 من هذا الجزء 1 وإبلاغ جهة استيراد البيانات بمدى المساعدة المحددة في البنود 3.3 (٢) ، (٣) من الجزء 1 ضروري.

10. (٥) إذا طلب مصدر البيانات إجراءات تقنية وتنظيمية إضافية أو معدلة لتلبية حقوق موضوعات البيانات التي تتجاوز المساعدة المقدمة من قبل جهة استيراد البيانات بموجب الفقرة الفرعية 3.3 (٢)، (٣) من الجزء 1 ، يجب على جهة استيراد البيانات إبلاغ جهة تصدير البيانات بتكاليف تنفيذ هذه الإجراءات التقنية والتنظيمية الإضافية أو المعدلة. بمجرد أن تؤكد جهة تصدير البيانات قدرتها على تحمل هذه التكاليف ، يجب على جهة استيراد البيانات تنفيذ هذه الإجراءات التقنية والتنظيمية الإضافية أو المعدلة لمساعدة جهة تصدير البيانات في الاستجابة لطلبات أصحاب البيانات.

11. (6) دون تقييد نطاق البند 3.3 (٥) من الجزء 1، يجب على جهة تصدير البيانات أن تسدد إلى جهة استيراد البيانات نفقاتها المعقولة التي تكبدتها في الاستجابة لطلبات أصحاب البيانات.

٣.٤ المعالجة الفرعية

  1.  

 (1) يصرح مصدر البيانات باستخدام مستورد البيانات للمقاولين الفرعيين لتقديم الخدمات بموجب هذا الملحق. يجب على جهة استيراد البيانات تحديد معالج (معالجات) البيانات هذه بعناية. يوافق مُصدِّر البيانات على معالج (معالجات) البيانات المدرجة في الملحق 1.1 في نهاية الجزء 2.

2. (2) يجب على جهة استيراد البيانات نقل التزاماتها بموجب هذا الملحق إلى معالج (معالجات) البيانات إلى الحد الذي ينطبق على الخدمات الفرعية المتعاقد عليها .

3. (3) يجوز لجهة استيراد البيانات استبعاد أو استبدال أو تعيين معالج (معالجات) بيانات أخرى مناسبة وموثوقة وفقًا لتقديرها. إذا طلبت جهة تصدير البيانات ذلك كتابيًا ، يجب على جهة استيراد البيانات اتباع الإجراء الموضح أدناه:

  1.  

1. أ. يجب على جهة استيراد البيانات إبلاغ جهة تصدير البيانات قبل إجراء أي تغييرات على قائمة معالجات البيانات المشار إليها في الفقرة 3.4 (1) من الجزء 1. إذا لم تعترض جهة تصدير البيانات بموجب الفقرة 3.4. (ب) من الجزء الأول بعد ثلاثين يومًا من تلقي إشعار من جهة استيراد البيانات ، سيتم اعتبار معالجي البيانات الإضافيين مقبولين.

2. ب. إذا كان لدى جهة تصدير البيانات سبب مشروع للاعتراض على معالج بيانات إضافي ، فسوف تقدم إشعارًا كتابيًا مسبقًا إلى جهة استيراد البيانات في غضون ثلاثين يومًا من استلام إشعار مستورد البيانات وقبل تشغيل خدمة مستورد البيانات. إذا اعترضت جهة تصدير البيانات على استخدام معالج بيانات إضافي ، فيجوز لجهة استيراد البيانات إلغاء الاعتراض بأحد الخيارات التالية (يتم اختيارها وفقًا لتقديرها): (أ) سيلغي مستورد البيانات خططه لاستخدام معالج إضافي فيما يتعلق البيانات الشخصية لمصدر البيانات ؛ (ب) ستتخذ جهة استيراد البيانات الإجراءات التصحيحية التي طلبتها جهة تصدير البيانات في اعتراضها (إلغاء الاعتراض) وتستخدم المعالج الإضافي فيما يتعلق بالبيانات الشخصية لمصدر البيانات ؛ (ج) يجوز لجهة استيراد البيانات التوقف عن تقديم أو قد توافق جهة تصدير البيانات على عدم استخدام (بشكل مؤقت أو دائم) جانب معين من الخدمة والذي قد يتضمن استخدام المعالج الإضافي لجهة تصدير البيانات للبيانات الشخصية لمصدر البيانات.

  1.  

1. (4) إذا كان معالج البيانات موجودًا خارج الاتحاد الأوروبي - المنطقة الاقتصادية الأوروبية في بلد غير معترف به على أنه يقدم مستوى مناسبًا من حماية البيانات بعد قرار من المفوضية الأوروبية ، فسيتخذ مستورد البيانات التدابير للامتثال لـ مستوى مناسب من حماية البيانات وفقًا للائحة العامة لحماية البيانات (قد تشمل هذه التدابير - من بين أمور أخرى - استخدام عقود معالجة البيانات بناءً على بنود نموذج الاتحاد الأوروبي ، والنقل إلى معالجي البيانات المعتمدين ذاتيًا في إطار عمل الاتحاد الأوروبي والولايات المتحدة درع الحماية أو برنامج مشابه).

 

٣.٥ انتهاء الصلاحية

انتهاء صلاحية هذا الملحق مطابق لتاريخ انتهاء صلاحية العقد المقابل. باستثناء ما هو منصوص عليه بخلاف ذلك في هذا الملحق، فإن الحقوق والواجبات المتعلقة بالإنهاء يجب أن تكون هي نفسها تلك الواردة في العقد.

 

٤. تحديد المسؤولية

١.٤ يعالج كل طرف التزاماته بموجب هذا الملحق وتشريعات حماية البيانات المعمول بها.

٢.٤ أي مسؤولية تتعلق بخرق الالتزامات بموجب هذا الملحق أو تشريعات حماية البيانات المعمول بها يجب أن تخضع وتحكمها أحكام المسؤولية المنصوص عليها في العقد أو المنطبقة عليه ، باستثناء ما هو منصوص عليه في هذا الملحق. إذا كانت المسؤولية تحكمها أحكام المسؤولية المنصوص عليها في العقد أو المنطبقة عليه ، لحساب حدود المسؤولية أو تحديد تطبيق قيود أخرى على المسؤولية ، فإن أي مسؤولية تنشأ بموجب هذا الملحق تعتبر ناشئة بموجب العقد.

 

٥. أحكام عامة

١.٥ إذا كان هناك أي تناقضات أو تعارض بين الجزأين 1 و 2 من هذا الملحق ، يسود الجزء 2. على وجه التحديد ، حتى في مثل هذه الحالة ، فإن الجزء 1 الذي يتجاوز الجزء 2 (أي شروط الأحكام القياسية) دون تعارضه يظل صالحًا.

٢.٥ إذا نشأ أي تناقض بين أحكام هذا الملحق وأحكام العقود الأخرى الملزمة للأطراف ، فإن هذا الملحق يسود فيما يتعلق بالتزامات حماية البيانات الخاصة بالطرفين. في حالة الشك فيما إذا كانت البنود الواردة في العقود الأخرى تتعلق بالتزامات حماية البيانات للأطراف ، فإن هذا الملحق يسود.

٣.٥ إذا كان أي حكم من هذا الملحق غير صالح أو غير قابل للتنفيذ ، فإن بقية هذا الملحق تظل سارية المفعول والتأثير الكامل. سيتم تعديل الحكم غير الصالح أو غير القابل للتنفيذ (1) لضمان صلاحيته وقابليته للتنفيذ ، مع الحفاظ قدر الإمكان على نية الأطراف ، أو - إذا لم يكن ذلك ممكنًا - (2) يتم تفسيره كما لو كان الجزء غير الصالح أو غير القابل للتنفيذ لم يكن جزءًا من العقد. ينطبق ما تقدم أيضًا إذا كان هناك إغفال في هذا الملحق.

٥.٥ إلى الحد الضروري ، يجوز للأطراف طلب تعديلات على الجزء 1 ، الفقرة 3 (الامتثال للقانون المحلي) أو أجزاء أخرى من الملحق من أجل الامتثال للتفسيرات أو التوجيهات أو الأوامر الصادرة عن السلطات المختصة في الاتحاد أو الدول الأعضاء أو أحكام الإنفاذ الوطنية أو أي تطورات قانونية أخرى تتعلق باللائحة العامة لحماية البيانات أو غيرها من شروط التفويض إلى أي كيانات معنية بمعالجة البيانات وعلى وجه التحديد فيما يتعلق باستخدام الشروط التعاقدية القياسية في القانون العام لحماية البيانات. لا يجوز تعديل أو استبدال شروط البنود التعاقدية القياسية ما لم توافق عليها المفوضية الأوروبية صراحة (على سبيل المثال ، من خلال البنود الملائمة الجديدة ومعايير حماية البيانات).

٥.٦ أي إشارة في هذا الملحق إلى "البنود" يجب أن يُفهم على أنها تشير إلى جميع أحكام هذا الملحق ما لم ينص على خلاف ذلك.

٥.٧ اختيار القانون في الجزء 2 ، الفقرة 9 ينطبق على العقد بأكمله.

6. البيانات الشخصية التي يتم إرسالها ومعالجتها من قبل الأطراف للأغراض الشخصية (نقل من مراقب البيانات إلى مراقب البيانات)

١.٦ يعلم الطرفان تمامًا أنه سيتم نقل بيانات شخصية معينة من جهة تصدير البيانات إلى جهة استيراد البيانات والعكس صحيح ، وأن هذه البيانات تتم معالجتها من قبل كل طرف لأغراضه الخاصة. فيما يتعلق بهذه البيانات الشخصية ، فإنها لا تؤثر على الأحكام الأخرى لهذا الملحق (باستثناء هذه الفقرة 6).

٢.٦ يجوز لجهة تصدير البيانات نقل البيانات الشخصية المتعلقة بموظفي جهة استيراد البيانات إلى جهة استيراد البيانات ، بما في ذلك المعلومات المتعلقة بالحوادث الأمنية أو أي مستندات أو ملفات أخرى تم إنشاؤها أو إنشائها بواسطة جهة تصدير البيانات فيما يتعلق بالخدمات المقدمة من قبل موظفي مستورد البيانات. يجوز لجهة استيراد البيانات معالجة هذه البيانات الشخصية لأغراضها الخاصة ، ولا سيما في علاقاتها المهنية مع موظفي مستورد البيانات ، أو لمراقبة الجودة والتدريب ، أو لأغراض تجارية.

٣.٦ يجوز لجهة استيراد البيانات نقل البيانات الشخصية إلى جهة تصدير البيانات ، بما في ذلك الاسم وتفاصيل الاتصال لموظفي جهة استيراد البيانات. يجوز لجهة تصدير البيانات معالجة هذه البيانات الشخصية لأغراضها الخاصة.

٤.٦ يجب على كلا الطرفين الامتثال لأية قوانين حماية البيانات المعمول بها ، بما في ذلك القانون العام لحماية البيانات ، في جمع ومعالجة واستخدام هذه البيانات الشخصية الواردة من الطرف الآخر بموجب الفقرة 1 من الجزء 1. وعلى وجه الخصوص ، يجب على كلا الطرفين اتخاذ تدابير أمنية كافية ، بشرط مستوى مماثل من الحماية للتدابير الأمنية المنصوص عليها في الملحق 2 من الجزء 2. أي وصول إلى هذه البيانات الشخصية يجب أن يقتصر على الحاجة إلى معرفتها.

٥.٦ يجب على كلا الطرفين حذف هذه البيانات الشخصية في أقرب وقت ممكن بعد تحقيق الأهداف.

الجزء ٢

 

قرار اللجنة   

في الخامس من فبراير ٢٠١٠

بشأن البنود التعاقدية القياسية لنقل البيانات الشخصية إلى معالجات البيانات المنشأة في بلدان الطرف الثالث بموجب توجيه 95/46 / EC الصادر عن البرلمان الأوروبي والمجلس

 

 

 

 

الفقرة ١

التعاريف

بالمعنى المقصود في البنود :

 

أ) "البيانات الشخصية" و "الفئات الخاصة من البيانات" و "المعالجة / المعالجة" و "المتحكم" و "المعالج" و "موضوع البيانات" و "السلطة الإشرافية" يجب أن يكون لها نفس المعنى كما في 95/46 / الاتحاد الأوروبي  توجيهات البرلمان الأوروبي والمجلس بتاريخ 24 أكتوبر 1995 بشأن حماية الأفراد فيما يتعلق بمعالجة البيانات الشخصية وحرية نقل هذه البيانات (1) ؛

ب) "جهة تصدير البيانات" هي المتحكم في البيانات الذي ينقل البيانات الشخصية ؛

 

 

ج) "جهة استيراد البيانات" هي معالج البيانات الذي يوافق على استلام البيانات الشخصية من جهة تصدير البيانات التي يُراد معالجتها نيابةً عن جهة تصدير البيانات بعد النقل وفقًا لتعليماتها ووفقًا لشروط هذه البنود ومن لا يكون كذلك تخضع لآلية دولة ثالثة تضمن الحماية الكافية بالمعنى المقصود في المادة 25 (1) من التوجيه 95/46 / الاتحاد الأوروبي  ؛

 

د) يُقصد بـ "معالج البيانات" معالج البيانات المُشترك بواسطة جهة استيراد البيانات أو أي معالج بيانات آخر تابع لمورد البيانات الذي يوافق على تلقي البيانات الشخصية من جهة استيراد البيانات أو أي معالج بيانات آخر خاص بجهة استيراد البيانات حصريًا لأنشطة المعالجة إلى يتم تنفيذها نيابة عن جهة تصدير البيانات بعد النقل وفقًا لتعليمات جهة تصدير البيانات ، وفقًا للشروط المنصوص عليها في هذه البنود وبموجب شروط التعاقد الفرعي المكتوب لعقد معالجة البيانات ؛

 

ه) "قانون حماية البيانات المعمول به" يعني التشريع الذي يحمي الحقوق والحريات الأساسية للأفراد ، بما في ذلك الحق في الخصوصية فيما يتعلق بمعالجة البيانات الشخصية ، والتطبيق على مراقب في الدولة العضو حيث تم إنشاء جهة تصدير البيانات ؛

و) "التدابير التقنية والتنظيمية المتعلقة بالأمن" تعني التدابير التي تهدف إلى حماية البيانات الشخصية من التلف العرضي أو غير القانوني أو الفقد العرضي أو التغيير أو الكشف أو الوصول غير المصرح به ، لا سيما عندما تتضمن المعالجة نقل البيانات عبر الشبكات وضد جميع أشكال المعالجة غير القانونية الأخرى.

الفقرة ٢

تفاصيل النقل 

يتم تحديد تفاصيل النقل ، بما في ذلك ، عند الاقتضاء ، الفئات الخاصة من البيانات الشخصية ، في الملحق 1 ، والذي يشكل جزءًا لا يتجزأ من هذه البنود.

الفقرة ٣

شرط الطرف الثالث المستفيد 

  1. يجوز لصاحب البيانات أن يفرض هذه المادة على جهة تصدير البيانات ، البنود 4 (ب) إلى (1) ، والبند 5 (أ) إلى (هـ) و (ز) إلى (ي) ، والبند 6 (1) و (2) ) والمادة 7 والمادة 8 (2) والبنود من 9 إلى 12 بصفتك طرفًا ثالثًا مستفيدًا
  2. يجوز لصاحب البيانات أن يفرض هذه الفقرة ، والبند 5 (أ) إلى (هـ) و (ز) ، والمادة 6 ، والمادة 7 ، والمادة 8 (2) والبنود من 9 إلى 12 ضد جهة استيراد البيانات ، حيث اختفى أو لم يعد له وجود في القانون ، ما لم يتم نقل جميع التزاماته القانونية ، بموجب عقد أو بموجب القانون ، إلى الكيان اللاحق ، وبالتالي تعود إليه حقوق والتزامات جهة تصدير البيانات ، والتي تستند إليها البيانات وبالتالي يمكن للموضوع فرض البنود المذكورة.

 

  1. يمكن لصاحب البيانات فرض هذه الفقرة ، والبند 5 (أ) إلى (هـ) و (ز) ، والمادة 6 ، والبند 7 ، والفقرة 8 (2) والبنود من 9 إلى 12 ضد معالج البيانات ، ولكن فقط في الحالات التي اختفى مُصدِّر البيانات ومستورد البيانات فعليًا ، أو لم يعد لهما وجود في القانون أو أصبحا مفلسين ، ما لم يتم نقل جميع الالتزامات القانونية الخاصة بجهة تصدير البيانات ، بموجب عقد أو بموجب القانون ، إلى الخلف القانوني الذي له وبالتالي ، تُمنح حقوق والتزامات جهة تصدير البيانات ، وبالتالي يجوز لصاحب البيانات فرض هذه البنود ضدها. يجب أن تقتصر مسؤولية معالج البيانات على أنشطة المعالجة الخاصة به بموجب هذه البنود.
  2. لا تعترض الأطراف على تمثيل موضوع البيانات من قبل جمعية أو هيئة أخرى إذا رغب أو رغبت في ذلك وإذا كان القانون الوطني يسمح بذلك.

الفقرة ٤

التزامات جهة تصديرالبيانات

تقبل جهة تصدير البيانات وتضمن ما يلي:

أ) المعالجة ، بما في ذلك النقل الفعلي للبيانات الشخصية ، قد تمت وستستمر وفقًا للأحكام ذات الصلة من قانون حماية البيانات المعمول به (وعند الاقتضاء ، تم إخطار السلطات المختصة في الدولة العضو التي يوجد بها جهة تصدير البيانات) ولا تنتهك الأحكام ذات الصلة لتلك الدولة

 ب) قد أصدروا تعليمات ، وسيصدرون تعليمات خلال مدة خدمات معالجة البيانات الشخصية ، إلى مستورد البيانات               لمعالجة البيانات الشخصية المنقولة نيابة عن جهة تصدير البيانات ووفقًا لقانون حماية البيانات المعمول به وهذه البنود

ج) ستوفر جهة استيراد البيانات ضمانات كافية فيما يتعلق بإجراءات الأمان الفنية والتنظيمية المحددة في الملحق 2    من العقد الحالي ؛

د) بعد تقييم متطلبات قانون حماية البيانات المعمول به ، تكون التدابير الأمنية كافية لحماية البيانات الشخصية من التلف العرضي أو غير القانوني أو الفقد أو التغيير أو الكشف غير المصرح به أو الوصول ، لا سيما عندما تتضمن المعالجة نقل البيانات عبر الشبكة وضد جميع أشكال المعالجة غير القانونية الأخرى وضمان مستوى من الأمان مناسب للمخاطر التي تمثلها المعالجة وطبيعة البيانات المطلوب حمايتها ، مع مراعاة مستوى التكنولوجيا وتكلفة التنفيذ ؛

هـ) سيضمنون الامتثال للتدابير الأمنية

و) إذا كان النقل يتعلق بفئات خاصة من البيانات ، فقد تم إبلاغ صاحب البيانات أو سيتم إبلاغه قبل النقل ، أو في أقرب وقت ممكن بعد النقل ، حيث يمكن نقل بياناته إلى دولة ثالثة لا تقدم مستوى كافٍ من الحماية بالمعنى المقصود في التوجيه 95/46 / الاتحاد الأوروبي ؛

ز) سيقومون بإعادة توجيه أي إشعار تم تلقيه من جهة استيراد البيانات أو أي معالج بيانات بموجب البندين 5 (ب) و 8 (3) إلى السلطة الإشرافية لحماية البيانات إذا قررت مواصلة النقل أو رفع تعليقها ؛

ح) يجب أن يوفروا لأصحاب البيانات ، إذا طلبوا ذلك ، نسخة من هذه البنود ، باستثناء الملحق 2 ، ووصفًا موجزًا للتدابير الأمنية ، ونسخة من أي اتفاقية تعاقد فرعية أخرى ، تم إبرامها بموجب هذه البنود ما لم تحتوي البنود أو الاتفاقية على معلومات تجارية ، وفي هذه الحالة يجوز له سحب هذه المعلومات ؛

ط ) في حالة التعاقد من الباطن على عملية معالجة البيانات ، يتم تنفيذ نشاط المعالجة وفقًا للمادة 11 بواسطة معالج بيانات يوفر على الأقل نفس مستوى حماية البيانات الشخصية وحقوق صاحب البيانات مثل جهة استيراد البيانات بموجب هذه البنود ؛ و

ي) سيضمن الامتثال للبند 4 (أ) إلى (ط).

الفقرة ٥

التزامات جهة استيراد البيانات

يقبل برنامج استيراد البيانات ويضمن ما يلي:

أ) سيقومون بمعالجة البيانات الشخصية فقط بالنيابة عن جهة تصدير البيانات وبموجب تعليمات جهة تصدير البيانات وهذه البنود ؛ إذا لم تستطع الامتثال لأي سبب من الأسباب ، فإنها توافق على إبلاغ جهة تصدير البيانات بعدم قدرتها في أقرب وقت ممكن ، وفي هذه الحالة يجوز لمصدر البيانات تعليق نقل البيانات و / أو إنهاء العقد ؛

ب) ليس لديهم سبب للاعتقاد بأن القانون الساري عليهم يمنعه من الوفاء بالتعليمات المقدمة من جهة تصدير البيانات والالتزامات التي تقع على عاتقه بموجب العقد ، وإذا كان هذا القانون خاضعًا لتغيير قد يكون له آثار سلبية تأثيرًا على الضمانات والالتزامات بموجب البنود ، يجب عليه إخطار جهة تصدير البيانات بالتغيير دون تأخير بعد علمه بذلك ، وفي هذه الحالة يجوز لمصدر البيانات تعليق نقل البيانات و / أو إنهاء العقد ؛

ج) قاموا بتنفيذ تدابير الأمان الفنية والتنظيمية المحددة في الملحق 2 قبل معالجة البيانات الشخصية المنقولة ؛

د) سيقومون بإخطار جهة تصدير البيانات دون تأخير:

١) أي طلب ملزم للإفصاح عن البيانات الشخصية من سلطة إنفاذ القانون ، ما لم ينص على خلاف ذلك، مثل الحظر الجنائي الذي يهدف إلى الحفاظ على سرية تحقيق الشرطة ؛

٢ ) أي وصول عرضي أو غير مصرح به ؛ و

٣) أي طلب يتم تلقيه مباشرة من الأشخاص المعنيين دون الرد عليه ما لم يكن مفوضًا بذلك ؛ المسؤولين

هـ) سوف يتعاملون على الفور وبشكل صحيح مع جميع الاستفسارات الواردة من جهة تصدير البيانات فيما يتعلق بمعالجتها للبيانات الشخصية التي يتم نقلها، وسوف يتصرفون بموجب رأي السلطة الإشرافية فيما يتعلق بمعالجة البيانات المنقولة ؛

و) بناءً على طلب جهة تصدير البيانات، ستخضع مرافق معالجة البيانات الخاصة بها لمراجعة أنشطة المعالجة التي تغطيها هذه البنود التي يتعين تنفيذها بواسطة جهة تصدير البيانات أو هيئة إشرافية مكونة من أعضاء مستقلين لديهم المؤهلات المهنية المطلوبة، تخضع لالتزام بالسرية ويختارها مصدر البيانات، عند الاقتضاء بموافقة السلطة الإشرافية ؛

ز) سيوفرون لصاحب البيانات ، إذا طلب ذلك، نسخة من هذه البنود، أو أي تعاقد فرعي قائم على عقد معالجة البيانات، ما لم تحتوي البنود أو العقد على معلومات تجارية، وفي هذه الحالة يجوز له إزالة هذه المعلومات، باستثناء الملحق 2، والتي سيتم استبدالها بوصف موجز للتدابير الأمنية، حيث لا يمكن لصاحب البيانات الحصول على نسخة من مصدر البيانات ؛

ح) في حالة التعاقد الفرعي على مزيد من السرية مع معالجة البيانات، سيضمن أنه سوف يبلغ مصدر البيانات مقدمًا ويحصل على موافقة كتابية من جهة تصدير البيانات؛

ط ) يجب أن تتوافق خدمات المعالجة التي يقدمها معالج البيانات مع البند 11 ؛

ي) سيرسلون على الفور نسخة من أي تعاقد فرعي لاتفاقية معالجة البيانات التي أبرمتها بموجب هذه البنود إلى جهة تصدير البيانات.

الفقرة ٦

المسؤولية

1. يتفق الطرفان على أن أي موضوع بيانات عانى من ضرر بسبب خرق الالتزامات المشار إليها في البند 3 أو البند 11 من قبل طرف واحد أو بواسطة معالج البيانات قد يحصل على تعويض من جهة تصدير البيانات عن الضرر الذي لحق به.

٢. إذا تم منع صاحب البيانات من رفع دعوى تعويضات على النحو المشار إليه في الفقرة 1 ضد جهة تصدير البيانات بسبب إخفاق جهة استيراد البيانات أو معالج البيانات لديها في الامتثال لأي من التزاماتها بموجب البند 3 أو البند 11 لأن مصدر البيانات إذا اختفى فعليًا أو لم يعد له وجود في القانون أو أصبح مفلسا، يوافق مستورد البيانات على أنه يجوز لصاحب البيانات تقديم شكوى ضده كما لو كان مصدر البيانات ما لم يتم نقل جميع الالتزامات القانونية الخاصة بجهة تصدير البيانات، بموجب عقد أو بموجب القانون، إلى الكيان الذي يخلفه، والذي يمكن لصاحب البيانات أن يفرض حقوقه ضده. لا يجوز لجهة استيراد البيانات الاعتماد على أي خرق لالتزاماتها من قبل معالج البيانات لتجنب مسؤوليتها الخاصة.

٣. إذا تم منع صاحب البيانات من اتخاذ الإجراء المشار إليه في الفقرتين 1 و 2 ضد جهة تصدير البيانات أو جهة استيراد البيانات لخرق معالج البيانات لالتزاماته بموجب البند 3 أو البند 11 لأن جهة تصدير البيانات ومستورد البيانات اختفت فعليا أو لم تعد موجودة في القانون أو أصبحت مفلسة ، يوافق معالج البيانات على أنه يجوز لصاحب البيانات تقديم شكوى ضده فيما يتعلق بأنشطة المعالجة الخاصة به وفقًا لهذه البنود كما لو كان مصدر البيانات أو مستورد البيانات ما لم يكن كل شيء تم نقل الالتزامات القانونية الخاصة بجهة تصدير البيانات أو مستورد البيانات، بموجب عقد أو بموجب القانون، إلى الخلف القانوني، والذي قد يفرض صاحب البيانات حقوقه ضده. يجب أن تقتصر مسؤولية معالج البيانات على أنشطة المعالجة الخاصة به وفقًا لهذه البنود.

 

الفقرة ٧

الوساطة والاختصاص

١. يوافق مستورد البيانات على أنه في حالة قيام صاحب البيانات، بموجب البنود، بالاستدعاء ضده بحق الطرف الثالث المستفيد و / أو المطالبة بالتعويض عن الضرر الذي لحق به، فإنه سيقبل قرار صاحب البيانات:

أ) تقديم النزاع للوساطة من قبل شخص مستقل أو، عند الاقتضاء، السلطة الرقابية ؛

ب) رفع النزاع أمام محاكم الدولة العضو التي يقع مقر مصدر البيانات فيها.

2. يتفق الطرفان على أن الاختيار الذي قام به صاحب البيانات لن يؤثر على الحق الإجرائي أو الموضوعي للبيانات الخاضعة للحصول على تعويض وفقًا لأحكام أخرى من القانون الوطني أو الدولي.

الفقرة ٨

التعاون مع السلطة الرقابية

١. توافق جهة تصدير البيانات على إيداع نسخة من العقد الحالي لدى السلطة الإشرافية إذا كانت الأخيرة تتطلب ذلك أو إذا كان هذا الإيداع منصوصًا عليه بموجب قانون حماية البيانات المعمول به.

2. يتفق الطرفان على أنه يجوز للسلطة الإشرافية إجراء فحوصات في جهة استيراد البيانات وأي معالج بيانات بنفس القدر وبنفس الشروط كما هو الحال مع عمليات الفحص التي يتم إجراؤها في جهة تصدير البيانات وفقًا لقانون حماية البيانات المعمول به.

3. يجب على جهة استيراد البيانات إبلاغ جهة تصدير البيانات في أقرب وقت ممكن بوجود تشريع يتعلق بجهة استيراد البيانات أو أي معالج بيانات يمنع التحقق من جهة استيراد البيانات أو أي معالج بيانات وفقًا للفقرة 2. وفي هذه الحالة، يجوز لجهة تصدير البيانات اتخاذ الإجراءات المنصوص عليها في البند 5 (ب).

الفقرة ٩

القانون الواجب التطبيق

تنطبق البنود وتخضع لقانون الدولة العضو التي يقع مقر جهة تصدير البيانات فيها.

الفقرة ١٠

تعديل العقد

يتعهد الطرفان بعدم تعديل هذه البنود. يبقى للأطراف الحرية في تضمين البنود التجارية الأخرى التي يرونها ضرورية، بشرط ألا تتعارض مع هذه البنود.

الفقرة ١١

التعاقد الفرعي اللاحق

١. لا يجوز لجهة استيراد البيانات أن تتعاقد فرعيا مع أي من أنشطة المعالجة الخاصة بها نيابة عن جهة تصدير البيانات بموجب هذه البنود دون موافقة كتابية مسبقة من جهة تصدير البيانات. يجب على جهة استيراد البيانات التعاقد من الباطن مع التزاماتها بموجب هذه البنود فقط ، بموافقة جهة تصدير البيانات، من خلال اتفاقية مكتوبة مع معالج البيانات تفرض على معالج البيانات نفس الالتزامات المفروضة على جهة استيراد البيانات بموجب هذه البنود.) إذا لم يتمكن معالج البيانات الامتثال لالتزامات حماية البيانات بموجب تلك الاتفاقية المكتوبة، عندها يجب أن تظل جهة استيراد البيانات مسؤولة بالكامل أمام جهة تصدير البيانات عن الوفاء بهذه الالتزامات.

2. يجب أن تشتمل الاتفاقية المكتوبة المسبقة بين جهة استيراد البيانات ومعالج البيانات أيضًا على شرط الطرف الثالث المستفيد على النحو المنصوص عليه في البند 3 للحالات التي يُمنع فيها صاحب البيانات من رفع دعوى التعويض المشار إليها في البند 6 (1)، ضد جهة تصدير البيانات أو جهة استيراد البيانات لأن جهة تصدير البيانات أو جهة استيراد البيانات قد اختفت فعليًا أو لم تعد موجودة في القانون أو أصبحت مفلسة ولم يتم نقل جميع الالتزامات القانونية الخاصة بجهة تصدير البيانات أو جهة استيراد البيانات، بموجب عقد أو القانون إلى كيان خلف آخر. يجب أن تقتصر مسؤولية معالج البيانات على أنشطة المعالجة الخاصة به وفقًا لهذه البنود.

3. تخضع الأحكام المتعلقة بجوانب حماية البيانات للتعاقد الفرعي لمعالجة بيانات العقد المشار إليها في الفقرة 1 لقانون الدولة العضو التي تم إنشاء جهة تصدير البيانات فيها.

4. يجب على جهة تصدير البيانات الاحتفاظ بقائمة التعاقد الفرعي لاتفاقيات معالجة البيانات المبرمة بموجب هذه البنود وإخطارها من قبل جهة استيراد البيانات وفقًا للبند 5 (ي)، والتي يجب تحديثها مرة واحدة على الأقل كل عام. يجب أن تكون هذه القائمة متاحة للسلطة الإشرافية على حماية البيانات في جهة تصدير البيانات.

الفقرة ١٢

الالتزام بعد إنهاء خدمات معالجة البيانات الشخصية

1. يتفق الطرفان على أنه عند الانتهاء من خدمات معالجة البيانات، سيقوم مستورد البيانات ومعالج البيانات، حسب ما يناسبه مصدر البيانات، بإعادة جميع البيانات الشخصية المنقولة ونسخ منها إلى جهة تصدير البيانات، أو إتلاف كل هذه البيانات وتقديم دليل تدمير جهة تصدير البيانات، ما لم تمنعه التشريعات المفروضة على جهة استيراد البيانات من إعادة أو إتلاف كل أو جزء من البيانات الشخصية المنقولة. في هذه الحالة، يضمن برنامج استيراد البيانات أنه سيضمن سرية البيانات الشخصية المنقولة وأنه لن يقوم بمعالجة البيانات بشكل نشط.

2. يجب على جهة استيراد البيانات ومعالج البيانات التأكد من أنه إذا طلب ذلك من قبل جهة تصدير البيانات و / أو السلطة الإشرافية، فإنها ستخضع وسائلها في معالجة البيانات للتحقق من الإجراءات المشار إليها في الفقرة 1.

 

الملحق ١.١ إلى الجزء ٢

تفاصيل النقل

 

جهة تصدير البيانات

جهة تصدير البيانات هي العميل المحدد في الاتفاقية التعاقدية.

جهة استيراد البيانات

جهة استيراد البيانات هي أكواليف وتم تعيينها لمعالجة البيانات وتقديم الخدمات لجهة تصدير البيانات.

 

موضوعات البيانات

تتعلق البيانات الشخصية المنقولة بالفئات التالية من موضوعات البيانات:

مشتركو الهاتف المدرجون في الدليل العالمي

أخرى وتشمل:

 

فئات البيانات

تتعلق البيانات الشخصية المنقولة بفئات البيانات التالية:

فئات البيانات الشخصية لموضوعات بيانات جهة تصدير البيانات على وجه الخصوص ،

الاسم الكامل

العنوان البريدي

تفاصيل الاتصال (البريد الإلكتروني، الهاتف، عنوان بروتوكول الانترنت، الخ. )

تفاصيل الأنشطة التسويقية المتعلقة بمشترك الهاتف

أخرى ، بما في ذلك نوع السكن، والدخل، ومتوسط الأعمار حسب المدينة دون الكشف عن هويتها

 

 

 

 

 

فئات خاصة من البيانات (إن وجدت)

تتعلق البيانات الشخصية المنقولة بالفئات الخاصة التالية من البيانات:

نقل فئات خاصة من البيانات غير متوقع

العرق أو الأصل العرقي

المعتقدات الدينية أو الفلسفية

العضوية النقابية

وجهات النظر السياسية

المعلومات الجينية

المعلومات البيومترية

معلومات عن الميول الجنسية أو الحياة الجنسية

البيانات الصحية

 

أنشطة المعالجة

ستخضع البيانات الشخصية المنقولة لأنشطة المعالجة الأساسية التالية:

  • الغرض من المعالجة

تعتمد المعالجة التي تتم نيابة عن جهة تصدير البيانات على الموضوعات التالية، على وجه الخصوص:

تولي مسؤولية المنتجات أو الخدمات التي تقدمها جهة تصدير البيانات

عرض منتج أو خدمة يمكن للشخص المطلوب الاتصال به

أوامر مأخوذة من الأشخاص المدعوين والمعالجة الإضافية لهذه الأوامر

دراسة الاستبيانات والتحليلات

  التسويق عبر الهاتف

أخرى وتشمل:

  • طبيعة والغرض من المعالجة

تعالج جهة استيراد البيانات البيانات الشخصية لأصحاب البيانات نيابة عن جهة تصدير البيانات، من أجل توفير الخدمات التالية، وعلى الأخص:

المبيعات والتسويق

أخرى، بما في ذلك تحديث قواعد البيانات الخاصة بالمدينة والأحزاب السياسية

  • تقديم الخدمات وتوظيف مقدمي الخدمات

أكواليف يجمع ويمركز ويقدم الخدمات بشكل أساسي لمصدر البيانات. يمكن تنظيم الخدمات التي يقدمها مزود الخدمة المحدد (من بين أمور أخرى حسب الاقتضاء) حول الخدمات المساعدة التالية: (1) توفير التطبيقات والأدوات والأنظمة والبنية التحتية لتكنولوجيا المعلومات فيما يتعلق بمراكز معالجة البيانات المستخدمة ، من أجل توفير ودعم الخدمات، بما في ذلك معالجة البيانات الشخصية لأصحاب البيانات كما هو موضح أعلاه ، عبر هذه التطبيقات والأدوات والأنظمة، (2) توفير دعم تكنولوجيا المعلومات والصيانة والخدمات الأخرى المتعلقة بهذه التطبيقات والأدوات والأنظمة والبنية التحتية لتكنولوجيا المعلومات ، بما في ذلك الوصول المحتمل إلى البيانات الشخصية المخزنة في مثل هذه التطبيقات والأدوات والأنظمة، و (3) توفير خدمات حماية البيانات ومراقبة الحماية وخدمات الاستجابة للحوادث ، بما في ذلك الوصول المحتمل إلى البيانات الشخصية عند تقديم خدمات الحماية هذه. أكواليف قد تشرك معالجي البيانات على النحو المبين أدناه لتقديم الخدمات، بما في ذلك الخدمات الإضافية.

 

  • مقدمو خدمات الطرف الثالث الخارجيون ككيانات فرعية مخصصة لمعالجة البيانات

تقوم اكواليف بإشراك موفري الخدمات الخارجيين والجهات الخارجية ، والذين ليسوا شركات تابعة لـ اكواليف ، لدعم توفير الخدمات لمصدر البيانات. يوافق مُصدِّر البيانات على موفري الخدمات الخارجيين مثل الكيانات الفرعية المعينة لمعالجة البيانات.

إذا كان الكيان الفرعي المعني بمعالجة البيانات موجودًا خارج الاتحاد الأوروبي / المنطقة الاقتصادية الأوروبية ، في بلد لا يتمتع بمستوى كافٍ من حماية البيانات بموجب قرار صادر عن المفوضية الأوروبية ، فإن جهة استيراد البيانات ستتخذ خطوات للحصول على مستوى مناسب من حماية البيانات وفقًا للائحة العامة لحماية البيانات والقسم 3.4 (4) من الجزء الأول.

 

الملحق ٢، الجزء ٢

  إجراءات الحماية التقنية والتنظيمية

 

يجب على جهة استيراد البيانات اتخاذ إجراءات الحماية الفنية والتنظيمية التالية التي أكدها مصدر البيانات، من أجل ضمان مستوى مناسب من الأمان لحقوق وحريات الأفراد، اعتمادًا على المخاطر. عند تقييم مستوى الحماية المعني، أخذ مصدر البيانات في الاعتبار، على وجه الخصوص، المخاطر التي تنطوي عليها المعالجة، بما في ذلك التدمير العرضي أو غير القانوني أو التغيير أو الكشف غير المصرح به أو الوصول إلى البيانات الشخصية المنقولة أو المخزنة أو المعالجة بأي طريقة أخرى. للتوضيح: لا تنطبق إجراءات الحماية الفنية والتنظيمية هذه على التطبيقات، والأدوات، والأنظمة، و / أو البنية التحتية لتكنولوجيا المعلومات التي توفرها جهة تصدير البيانات.

١ تدابير الحماية التقنية والتنظيمية العامة

١.١ المعلومات العامة واستراتيجيات حماية البيانات

يجب اتخاذ الخطوات التالية لاتباع استراتيجيات حماية البيانات والمعلومات العامة:

  • أ) اتخاذ تدابير لتقييم تلك المتخذة بشأن الحماية الفنية والتنظيمية ؛
  • ب) توفير التدريب لزيادة الوعي بين الموظفين.
  • ج) أن يكون لديه وصف للأنظمة المعنية ومنح الوصول للموظفين؛
  • د) إنشاء عملية توثيق رسمية كلما تم تنفيذ الأنظمة أو تعديلها؛
  • ه) توثيق الهيكل التنظيمي والعمليات والمسؤوليات والتقييمات ذات الصلة؛
 

1.2 تنظيم حماية المعلومات

ينبغي اتخاذ التدابير التالية من أجل تنسيق أنشطة حماية البيانات والمعلومات:

  • أ) مسؤوليات محددة لحماية المعلومات والبيانات (على سبيل المثال من خلال سياسة إدارة حماية البيانات)
  • ب) الخبرة اللازمة لحماية المعلومات والبيانات المتبقية المتوفرة؛
  • ج) يلتزم جميع الموظفين بضمان الحفاظ على سرية البيانات الشخصية وتنبيههم بالعواقب المحتملة لانتهاك هذا الالتزام.
 

1.3 ضوابط الدخول إلى مناطق المعالجة 

يجب اتخاذ التدابير التالية لمنع الأشخاص غير المصرح لهم من الوصول إلى أنظمة معالجة البيانات (وخاصة البرامج والأجهزة) عند معالجة البيانات الشخصية أو تخزينها أو إرسالها:

  • أ) إنشاء مناطق آمنة
  • ب) حماية وتقييد الوصول إلى أنظمة معالجة البيانات؛
  • ج) تحديد أذن الوصول للموظفين والأطراف الأخرى، بما في ذلك المستندات ذات الصلة؛
  • د) يجب تسجيل أي وصول إلى مراكز معالجة البيانات التي يتم فيها تخزين البيانات الشخصية.
 

1.4 ضوابط الدخول إلى أنظمة معالجة البيانات

يجب اتخاذ التدابير التالية لمنع الوصول غير المصرح به إلى نظم معالجة البيانات:

  • أ) سياسات وإجراءات مصادقة المستخدم؛
  • ب) استخدام كلمات المرور على كافة أنظمة الحاسوب؛
  • ج) يتطلب الوصول عن بُعد إلى الشبكة مصادقة متعددة العوامل، ويتم منحه للشخص المعني وفقًا لمسؤولياته وموافقته؛
  • د) يعتمد الوصول إلى وظائف محددة على وظائف و/أو سمات معينة بشكل فردي لحساب المستخدم؛
  • هـ) تتم مراجعة حقوق الوصول المرتبطة بالبيانات الشخصية بشكل منتظم؛
  • و) يتم تحديث سجلات التغيير التي طرأت على حقوق الوصول.
 

1.5 ضوابط الدخول إلى مناطق معينة من استخدام بيانات أنظمة المعالجة

يجب اتخاذ التدابير التالية لضمان ألا يتمكن الأشخاص المخوّلون الذين لهم حق استخدام نظام معالجة البيانات من الوصول إلى البيانات إلا ضمن مسؤولياتهم وأذونات الوصول الخاصة بهم، وضمان عدم إمكانية قراءة البيانات الشخصية أو نسخها أو تعديلها أو حذفها بدون تصريح:

1.

1. أ)السياسات والتعليمات وتدريب الموظفين فيما يتعلق بالتزامات كل منهم بشأن السرية وحقوق الوصول إلى البيانات الشخصية ونطاق معالجة البيانات الشخصية؛

  • ب) اتخاذ تدابير تأديبية ضد الأشخاص الذين يقومون بالوصول إلى البيانات الشخصية دون تصريح؛
  • ج) لا يسمح بالوصول إلى البيانات الشخصية إلا للأشخاص المصرح لهم، على أساس الحاجة إلى المعرفة؛
  • د) الاحتفاظ بقائمة من مسؤولي النظام واتخاذ التدابير المناسبة لمراقبة المسؤولين عن النظام؛
  • هـ) عدم نسخ أو إعادة إنتاج البيانات الشخصية على أي نظام تخزين لتمكين الأشخاص غير المصرح لهم من إزالة معلومات المنشئ؛
  • و) حذف البيانات أو إتلافها بشكل محكم وموثق؛
  • ز) تخزين كل البيانات الشخصية التي يجب الاحتفاظ بها لأسباب قانونية أو تنظيمية بشكل آمن (مثل الالتزام في الاحتفاظ بالبيانات)، وذلك في حال كان القانون يتطلب ذلك فقط.
 

1.6 التحكم في ناقلات الحركة

يجب اتخاذ التدابير التالية لمنع قراءة البيانات الشخصية أو نسخها أو تعديلها أو حذفها من قبل أطراف ثالثة غير مصرح لها أثناء نقل أو تحويل أجهزة تخزين البيانات (وفقًا لمعالجة البيانات الشخصية التي يتم إجراؤها):

1.

              1. أ) استخدام جدران الحماية؛

  • ب) تجنب تخزين البيانات الشخصية على أجهزة التخزين المحمولة لأغراض النقل، أو تشفير الأجهزة؛
  • ج) الاستخدام على أجهزة الكمبيوتر المحمولة والأجهزة المحمولة الأخرى فقط بعد تنشيط حماية التشفير؛
  • د) تسجيل عمليات إرسال البيانات الشخصية.
 

1.7 التحكم في إدخال البيانات

يجب اتخاذ التدابير التالية لضمان إمكانية التحقق من صحة البيانات الشخصية التي تم إدخالها أو حذفها من نظم معالجة البيانات ومن يقوم بها:

1.

1.   أ) سياسة الإذن بقراءة البيانات المخزنة وتعديلها وحذفها؛

  • ب) تدابير الحماية فيما يتعلق بقراءة البيانات المخزنة وتعديلها وحذفها.
 

1.8 ضوابط العمل

في حالة تفويض معالجة البيانات الشخصية، يجب اتخاذ التدابير التالية لضمان معالجة هذه البيانات وفقاً لتعليمات المشرف:

1.

                  1. أ) الأجهزة أو الأجهزة الفرعية المكلفة بمعالجة البيانات، المختارة بعناية (مقدمو الخدمات الذين يعالجون البيانات الشخصية بالنيابة عن المراقب).

  • ب) تعليمات تتعلق بنطاق أي معالجة للبيانات الشخصية للموظفين أو الأجهزة أو الأجهزة الفرعية المعينة لمعالجة البيانات؛
  • ج) حقوق المراجعة المتفق عليها مع المؤسسات أو المؤسسات الفرعية المكلفة بمعالجة البيانات؛
  • د) الاتفاقيات المبرمة مع المؤسسات أو المؤسسات الفرعية المكلفة بمعالجة البيانات.
 

1.9 الانفصال عن المعالجة لأغراض أخرى

يجب اتخاذ التدابير التالية لضمان إمكانية معالجة البيانات التي يتم جمعها لأغراض أخرى بشكل منفصل:

  1.  

                1. أ) الوصول المنفصل إلى البيانات الشخصية وفقاً للحقوق القائمة للمستخدمين.

    • ب) إن الواجهات، والمعالجة بالدفعات، وإعداد التقارير هي لأغراض ووظائف أخرى، بحيث يمكن معالجة البيانات التي يتم جمعها لأغراض أخرى بشكل منفصل.
 

1.10 إخفاء الهوية

يجب اتخاذ التدابير التالية فيما يتعلق بإخفاء البيانات الشخصية كالأسماء المستعارة:

1.

           1.. أ) إذا طلب مستورد البيانات عملية معالجة معينة أو إذا اعتبر مستورد البيانات ذلك مناسباً وفقاً لقوانين حماية البيانات السارية فيما يتعلق بأنشطة معالجة معينة، فإنه سيتم معالجة البيانات الشخصية بطريقة لا يمكن فيها بعد ذلك أن تُعزى البيانات إلى شخص معين دون استخدام معلومات إضافية. وسيتم الاحتفاظ بهذه المعلومات الإضافية بشكل منفصل.

  • ب) استخدام تقنيات إخفاء هوية مستعارة، بما في ذلك قائمة التخصيص العشوائي؛ وإنشاء القيم في هيئة مشاركة.
 

1.11 التشفير

يجب اتخاذ الخطوات التالية لتشفير البيانات الشخصية في التطبيقات وعمليات الإرسال التي تدعم التشفير:

 1.

       1.  أ) استخدام تقنيات التشفير؛

  • ب) إنشاء إدارة التشفير لدعم تقنيات التشفير المسموح باستخدامها.
  • ج) دعم استخدام التشفير من خلال الإجراءات والبروتوكولات الخاصة بإنشاء مفاتيح التشفير وتعديلها وإلغائها وتدميرها وتوزيعها والتصديق عليها وتخزينها والتقاطها واستخدامها وأرشفتها للحماية من التعديل غير المصرح به والكشف عنها.
 

1-12 اكتمال نظم وخدمات تجهيز البيانات

يجب اتخاذ التدابير التالية لضمان اكتمال نظم وخدمات تجهيز البيانات:

  1. أ) حماية نظم تجهيز البيانات من التلاعب او التدمير بوسائل مناسبة (مثل برامج مكافحة الفيروسات وبرامج منع فقدان البيانات والبرامج من البرامج الضارة وتصحيحات البرامج وجدران الحماية وحماية سطح المكتب المدارة).
  • ب) حظر تثبيت أي خدمة أو برنامج ضار بأنظمة معالجة البيانات أو الخدمات أو معالجة البيانات الشخصية؛
  •  ج) استخدام نظام كشف التدخل في الشبكة ومنعه في بنية الشبكة نفسها.
 

1-13 توافر نظم وخدمات تجهيز البيانات وإمكانية استعادة إمكانية الوصول إلى البيانات الشخصية واستخدامها في حالة وقوع حادث مادي أو تقني.

يجب اتخاذ التدابير التالية لضمان توافر نظم تجهيز البيانات، بالإضافة إلى القدرة على استعادة توفر البيانات الشخصية والوصول إليها بسرعة، في حالة وقوع حادث مادي أو تقني (خاصة عن طريق ضمان حماية البيانات الشخصية من التلف العرضي أو الفقدان):

  • أ) وسائل التحكم في الاحتفاظ بنسخ احتياطية واستعادة البيانات المفقودة أو المحذوفة.
  • ب) تكرار البنية الأساسية واختبار الأداء.
  • ج) الحماية المادية لموارد الحاسوب.
  • د) استخدام الأدوات لمراقبة حالة الشبكة الداخلية ومدى توفرها.
  • هـ) الإبلاغ عن الحوادث وسياسات الاستجابة التي تحكم إجراء إدارة الحوادث، وإعادة التأكيد على الالتزام بهذه السياسات كجزء من التدريب المنتظم.
  • و) النسخ الاحتياطي (خارج الموقع في بعض الأحيان) لاستعادة النظام لتمكينه من أداء وظائفه مرة أخرى.
  • ز) استمرارية الأعمال/خطط استعادة البيانات بعد الكوارث.
 

1.14 مرونة أنظمة وخدمات معالجة البيانات

يجب اتخاذ التدابير التالية لضمان مرونة أنظمة وخدمات معالجة البيانات:

  • أ) الأنظمة وتكوينها بانسجام وذلك باستخدام معلمات الأمان المعتمدة؛
  • ب) تكرار الشبكة؛
  • ج) حماية احتواء الأنظمة الحيوية.
 

1-15 إجراءات اختبار وتقييم وتقدير  فعالية التدابير التقنية والتنظيمية لضمان أمن إجراءات تجهيز البيانات .

من أجل اختبار وتقييم وتقدير فعالية التدابير التقنية والتنظيمية الرامية إلى حماية تجهيز البيانات بصورة منتظمة، يجب القيام:

  • أ) اتخاذ الخطوات اللازمة لتقييم المخاطر واستراتيجيات التخفيف.
  • ب) اجتماعات تحليل الخدمات التي يعقدها قسم تكنولوجيا المعلومات لمعالجة المشاكل الحالية.
  • ج) تحديث خطط استمرارية الأعمال/استعادة الكوارث بانتظام.

 

الجزء 3

تواقيع الأطراف وقائمة مستوردي البيانات

 عند ملء نموذج الطلب عبر الإنترنت والمصادقة عليه من خلال وضع علامة على المربع الذي يقبل الأحكام والشروط العامة للاستخدام. آنذاك يتم إنشاء العقد الذي يحكم العلاقة بين العميل وشركة IQUAIF .

وسينظر إرسال المستحقات إلى شركة IQUALIF في العقد المتفق عليه والقائم.

 

 ملاحظة: تمت ترجمة هذا النص من الفرنسية. النسخة الفرنسية الأصلية ، الصالحة والمقيدة قانونًا ، متوفرة هنا