المركز القانوني

ملحق معالجة البيانات

لاستخدام Microblink التكنولوجيا وخدمات الدعم

تم دمج ملحق معالجة البياناتهذا (“ملحق معالجة البيانات“) في شروط وأحكام الاتفاقية المبرمة بين المراقب والمعالج، كما هو محدد في الملحق الأول (يُشار إليهما معًا باسم “الأطراف“)، أو شروط الاستخدام أو شروط وأحكام استخدام تقنية المعالج التي يقبلها المراقب، والتي تحكم استخدام المراقب لتقنية المعالج أو خدمات الدعم (“الاتفاقية“) وتخضع لها.

يكون لجميع المصطلحات المكتوبة بأحرف كبيرة غير المعرفة في اتفاقية الدوحة للسلامة هذه المعاني المنصوص عليها في الاتفاقية.

عندما تستخدم وحدة التحكم تقنية المعالج، سواءً في مرحلة الاختبار أو الإنتاج، أو عندما تستخدم وحدة التحكم خدمات دعم المعالج، فإن المعالج يعالج البيانات الشخصية (المحددة أدناه). يتفق الطرفان على الامتثال للأحكام التالية فيما يتعلق بأي معالجة للبيانات الشخصية ويتم الاتفاق على ما يلي:

القسم الأول – عام

المادة 1

التعاريف

في هذا الاتفاقية، يكون للمصطلحات التالية المعاني التالية:

a. “المراقب” و”المعالج” و”صاحب البيانات” و” البياناتالشخصية ” و”المعالجة” و”المعالجة” لها المعاني الواردة في القانون الأوروبي لحماية البيانات;

b. يعني “قانون حماية البيانات الأوروبي“: (1) اللائحة 2016/679 الصادرة عن البرلمان الأوروبي والمجلس الأوروبي بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وحرية حركة هذه البيانات (اللائحة العامة لحماية البيانات) (“اللائحة العامة لحماية البياناتفي الاتحاد الأوروبي“)؛ و(2) اللائحة العامة لحماية البيانات في الاتحاد الأوروبي كما تم حفظها في قانون المملكة المتحدة بموجب المادة 3 من قانون الاتحاد الأوروبي (الانسحاب) لعام 2018 في المملكة المتحدة (“اللائحة العامةلحمايةالبيانات في المملكة المتحدة“);

c. “قانون حماية البيانات المعمول به” يعني جميع القوانين واللوائح العالمية لحماية البيانات والخصوصية، بالقدر الذي ينطبق على الأطراف وطبيعة البيانات الشخصية التي تتم معالجتها بموجب الاتفاقية، بما في ذلك، حيثما ينطبق ذلك، قانون حماية البيانات الأوروبي، وقانون خصوصية المستهلك في كاليفورنيا لعام 2018، بصيغته المعدلة بموجب قانون حقوق الخصوصية في كاليفورنيا لعام 2020 (يشار إليها مجتمعة باسم “CPRA”)، وأي وجميع القوانين الوطنية المعمول بها لحماية البيانات التي تم وضعها بموجب قانون حماية البيانات الأوروبي أو بموجبها أو التي تنطبق بالاقتران مع قانون حماية البيانات الأوروبي؛ وفي كل حالة كما قد يتم تعديلها أو استبدالها من وقت لآخر;

d. تعني “البيانات الشخصية“، بصرف النظر عن المعنى الوارد في القانون الأوروبي لحماية البيانات، أي معلومات تحدد هوية الشخص، والتي يتم مسحها ضوئيًا وتحميلها ومشاركتها مع المعالج باستخدام تقنية المعالج أو وفقًا لاستخدام خدمات الدعم من قبل المراقب أو الشركات التابعة للمراقب أو من قبل أطراف ثالثة تعمل نيابةً عن المراقب;

e. “خرق البيانات الشخصية” يعني أي خرق للأمن يؤدي إلى إتلاف عرضي أو غير قانوني أو فقدان أو تغيير أو إفشاء غير مصرح به أو الوصول إلى البيانات الشخصية التي تم الكشف عنها ومشاركتها من قبل المراقب ومعالجتها من قبل المعالج بموجب هذا الملحق;

f. “النقل المقيّد” يعني: (1) في حالة تطبيق اللائحة العامة لحماية البيانات في الاتحاد الأوروبي، نقل البيانات الشخصية من الاتحاد الأوروبي أو المنطقة الاقتصادية الأوروبية إلى بلد خارج الاتحاد الأوروبي أو المنطقة الاقتصادية الأوروبية لم تعترف به المفوضية الأوروبية على أنه ملائم وفقًا للمادة 45 من اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (“بلد ثالث”)؛ و(2) في حالة تطبيق اللائحة العامة لحماية البيانات في المملكة المتحدة، نقل البيانات الشخصية من المملكة المتحدة إلى بلد آخر لا يستند إلى لوائح الكفاية وفقًا للمادة 45 من اللائحة العامة لحماية البيانات في المملكة المتحدة;

g. “قرار الملاءمة” يعني قرارًا رسميًا صادرًا عن الاتحاد الأوروبي أو المملكة المتحدة يعترف بأن بلدًا أو إقليمًا أو قطاعًا أو منظمة دولية أخرى توفر مستوى حماية للبيانات الشخصية مكافئًا لما يوفره الاتحاد الأوروبي أو المملكة المتحدة;

h. تعني “البنود التعاقدية القياسية” أو “البنود التعاقديةالموحدة” البنود التعاقدية التي اعتمدتها المفوضية الأوروبية في قرارها التنفيذي للمفوضية (الاتحاد الأوروبي) 2021/914 المؤرخ 4 يونيو 2021 بشأن البنود التعاقدية الموحدة لنقل البيانات الشخصية إلى دول ثالثة وفقًا للائحة (الاتحاد الأوروبي) 2016/679 للبرلمان الأوروبي والمجلس الأوروبي (متاح على الرابط: https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en);

i. تعني “البنود التعاقدية الموحدة داخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية” أو “البنود التعاقديةالموحدةداخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية” البنود التعاقدية التي اعتمدتها المفوضية الأوروبية في قرار المفوضية (الاتحاد الأوروبي) 2021/915 المؤرخ 4 يونيو 2021 بشأن البنود التعاقدية الموحدة بين وحدات التحكم والمعالجات بموجب المادة 28 (7) من اللائحة (الاتحاد الأوروبي) 2016/679 الصادرة عن البرلمان الأوروبي والمجلس الأوروبي والمادة 29 (7) من اللائحة (الاتحاد الأوروبي) 2018/1725 الصادرة عن البرلمان الأوروبي والمجلس الأوروبي (متاح على الرابط: https://commission.europa.eu/publications/standard-contractual-clauses-controllers-and-processors-eueea_en);

j. “اتفاقية النقل الدولي للبيانات” أو “IDTA” تعني الاتفاقية الصادرة عن مفوض المعلومات للأطراف التي تقوم بعمليات نقل مقيدة بموجب اللائحة العامة لحماية البيانات في المملكة المتحدة (متاحة على الرابط: https://ico.org.uk/media/for-organisations/documents/4019538/international-data-transfer-agreement.pdf);

k. “المعالج الفرعي” يعني أي معالج تابع لجهة خارجية يستعين به المعالج لمعالجة أي بيانات شخصية نيابةً عنه فيما يتعلق بالتكنولوجيا أو الخدمات المقدمة إلى وحدة التحكم.

المادة 2

علاقة الأطراف

1. سيعالج المعالج، كما هو محدد في الملحق الأول من ملحق ملحق حماية البيانات الشخصية هذا، البيانات الشخصية نيابةً عن المراقب، كما هو موضح في الملحق الثاني من ملحق حماية البيانات الشخصية هذا. حيث Microblink Ltd. (الطابق السادس، 9 شارع أبولد، لندن، المملكة المتحدة، EC2A 2AP) أو Microblink USA, LLC (10 Grand Street, STE 2400, Brooklyn, NY 11249) هي الموقعة على الاتفاقية والمعالج، فإن شركة Microblink LLC (Trg Drage Iblera 10, 10000، زغرب، جمهورية كرواتيا) ستعتبر شركة تابعة ومعالجًا فرعيًا.

2. يجب على كل طرف الامتثال للالتزامات التي تنطبق عليه بموجب قانون حماية البيانات المعمول به.

المادة 3

التسلسل الهرمي

1. في حالة وجود تعارض بين هذا الاتفاق وأحكام الاتفاقات ذات الصلة بين الطرفين القائمة وقت الاتفاق على هذا الاتفاق أو التي تم إبرامها بعد ذلك، تسود أحكام هذا الاتفاق.

2. حيثما ينطبق ذلك، فإن أحكام اتفاقيةCCSCCs أو اتفاقية المسؤولية المدنية بين الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية أو اتفاقية التجارة الدولية في التجارة الدولية ستكمل اتفاقية الدوحة للمبيعات. في حالة وجود تعارض بين هذا الاتفاق السياسي DPA هذا والاتفاقيات التجارية قصيرة الأجل أو الاتفاقيات التجارية الموحدة بين الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية أو اتفاقية التجارة الدولية بين دول الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية أو اتفاقية التجارة الدولية بين دول الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية.

3. في حالة وجود أي تعارض أو عدم اتساق بين هذا الاتفاق أو الاتفاقية، تسود أحكام الوثائق التالية (حسب ترتيب الأسبقية): (أ) حيثما ينطبق ذلك، اتفاقية البيع بالتجزئة أو اتفاقية البيع بالتجزئة بين الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية أو اتفاقية التجارة الدولية؛ ثم (ب) هذا الاتفاق؛ ثم (ج) متن الاتفاقية. باستثناء التغييرات التي تم إجراؤها بموجب هذا الاتفاقية، تظل الاتفاقية دون تغيير وبكامل قوتها وسريانها.

4. ينطبق قانون حماية البيانات الشخصية هذا على معالجة البيانات الشخصية على النحو المحدد في الملحق الثاني.

5. تعتبر المرفقات من الأول إلى الرابع جزءاً لا يتجزأ من هذا الاتفاق.

المادة 4

معالجة البيانات الشخصية بموجب اللائحة العامة لحماية البيانات الشخصية للاتحاد الأوروبي

1. عندما يكون الطرفان خاضعين للائحة العامة لحماية البيانات في الاتحاد الأوروبي ولا يتم نقل البيانات الشخصية خارج الاتحاد الأوروبي أو المنطقة الاقتصادية أو البلدان التي لا تتمتع بقرارات الكفاية بموجب المادة 45 من اللائحة العامة لحماية البيانات في الاتحاد الأوروبي، تُطبق اتفاقية حماية البيانات الشخصية داخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية مكتملة على النحو التالي

أ. حيثما يوجد خيار لاختيار لائحة تنظيمية، تطبق لائحة (الاتحاد الأوروبي) 2016/679;

ب. يطبق البند 5 الاختياري (شرط الإرساء);

ج. في البند 7-7. الخيار 2: يطبق الإذن الكتابي العام بفترة زمنية محددة بثلاثين يوماً;

d. يُعتبر الملحق الأول من الملحق الأول من الملحق الأول من اتفاقية المسؤولية الاجتماعية للشركات داخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية مستكملاً بالمعلومات الواردة في الملحق الأول من هذا الملحق;

e. يُعتبر الملحق الثاني من الملحق الثاني من الملحق الثاني من اتفاقية المسؤولية الموحدة داخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية مستكملاً بالمعلومات الواردة في الملحق الثاني من هذا الملحق;

f. يُعتبر الملحق الثالث من الملحق الثالث من الملحق الثالث من اتفاقية المسؤولية المدنية داخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية مستكملاً بالمعلومات الواردة في الملحق الثالث من هذا الملحق؛

g. يُعتبر الملحق الرابع من الملحق الرابع من الملحق الرابع من اتفاقية المسؤولية الاجتماعية للشركات داخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية مستكملاً بالمعلومات الواردة في الملحق الرابع من هذا الملحق.

المادة 5

المعالجة بموجب اللائحة العامة لحماية البيانات في المملكة المتحدة

فيما يتعلق بعمليات نقل البيانات الشخصية المحمية بموجب اللائحة العامة لحماية البيانات في المملكة المتحدة، سيتم تطبيق اتفاقية حماية البيانات الشخصية داخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية مع التعديلات التالية:

أ. حيثما كان هناك خيار لاختيار لائحة تنظيمية، يتم تطبيق اللائحة العامة لحماية البيانات في المملكة المتحدة;

ب. يجب استبدال الإشارات إلى “الاتحاد الأوروبي” و”الاتحاد” و”الدولة العضو” و”قانون الدولة العضو” بإشارات إلى “المملكة المتحدة” أو “القانون المحلي”;

ج. يستعاض عن الإشارة إلى “المحاكم المختصة” بالإشارة إلى “المحاكم المختصة في المملكة المتحدة”;

د. يطبق البند 5 الاختياري (شرط الإرساء);

هـ. في البند 7-7. الخيار 2: يطبق الإذن الكتابي العام بفترة زمنية محددة بثلاثين يوماً;

f. يُعتبر الملحق الأول من الملحق الأول من الملحق الأول من اتفاقية المسؤولية الاجتماعية للشركات داخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية مستكملاً بالمعلومات الواردة في الملحق الأول من هذا الملحق;

g. يُعتبر الملحق الثاني من الملحق الثاني من الملحق الثاني من اتفاقية المسؤولية الموحدة داخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية مستكملاً بالمعلومات الواردة في الملحق الثاني من هذا الملحق;

h. يُعتبر الملحق الثالث من الملحق الثالث من اتفاقية السلع والخدمات داخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية مستكملاً بالمعلومات الواردة في الملحق الثالث من هذا الملحق؛

i. يُعتبر الملحق الرابع من الملحق الرابع من الملحق الرابع من اتفاقية المسؤولية الاجتماعية للشركات داخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية مستكملاً بالمعلومات الواردة في الملحق الرابع من هذا الملحق.

المادة 6

التحويلات الدولية

6.1. عمليات النقل المقيدة بموجب اللائحة العامة لحماية البيانات العامة للاتحاد الأوروبي

1. عندما يُعتبر نقل البيانات الشخصية نقلًا مقيّدًا ويتطلب النظام الأوروبي العام لحماية البيانات العامة وضع ضمانات مناسبة، يجب أن يخضع هذا النقل إلى اتفاقية المسؤولية الاجتماعية للشركات التي يجب أن تُدرج بالإشارة وتشكل جزءًا لا يتجزأ من هذا الاتفاق. يجب تحديد الوحدة القابلة للتطبيق من SCCs اعتمادًا على موقع المراقب والمعالج، وأدوارهم كمصدر للبيانات ومستورد للبيانات فيما يتعلق بالبيانات الشخصية المعالجة.

2. فيما يتعلق بالبيانات الشخصية المحمية بموجب اللائحة العامة لحماية البيانات في الاتحاد الأوروبي، عندما يكون المعالج موجودًا في الاتحاد الأوروبي ويعمل كمصدر للبيانات ويكون المراقب الذي يعمل كمستورد للبيانات موجودًا في بلد ثالث، تطبق الوحدة الرابعة من النظام الأساسي للمركزية على النحو التالي:

أ. يطبق البند الاختياري 7 (شرط الإرساء);

b. في البند 9، الخيار 2: في البند 9، الخيار 2: يطبق التفويض الكتابي العام بفترة زمنية محددة بثلاثين يوماً;

c. في البند 11، لا يسري شرط الخيار;

d. في البند 17، يكون القانون الحاكم هو قانون جمهورية كرواتيا;

e. في البند 18، لحل المنازعات الناشئة عن هذه البنود يتم حلها من قبل محاكم جمهورية كرواتيا;

f. يُعتبر الملحق الأول (أ) و(ب) من الملحق الأول (أ) و(ب) من اتفاقية الاتحاد الأوروبي الخاصة بالبيانات الشخصية للاتحاد الأوروبي مستكملاً بالمعلومات الواردة في الملحق الأول والثاني من هذا الملحق، وتعتبر الوكالة الكرواتية لحماية البيانات الشخصية هي السلطة الإشرافية المختصة;

g. يُعتبر الملحق الثاني من الملحق الثاني من اتفاقية الاتحاد الأوروبي للاتفاقيات التجارية الموحدة مستكملاً بالمعلومات الواردة في الملحق الثالث من هذا الملحق؛

h. يُعتبر الملحق الثالث من الملحق الثالث من الملحق الثالث من اتفاقية المسؤولية الاجتماعية للشركات في الاتحاد الأوروبي مستكملاً بالمعلومات الواردة في الملحق الرابع من هذا الملحق.

3. فيما يتعلق بالبيانات الشخصية المحمية بموجب اللائحة العامة لحماية البيانات في الاتحاد الأوروبي، عندما يكون المراقب موجودًا في الاتحاد الأوروبي ويعمل كمصدر للبيانات ويكون المعالج موجودًا في بلد ثالث ويعمل كمستورد للبيانات، تطبق الوحدة الثانية من النظام الأساسي للمركزية على النحو التالي:

أ. يطبق البند الاختياري 7 (شرط الإرساء);

b. في البند 9، الخيار 2: في البند 9، الخيار 2: يطبق التفويض الكتابي العام بفترة زمنية محددة بثلاثين يوماً;

c. في البند 11، لا يسري شرط الخيار;

d. في البند 17، يكون القانون الحاكم هو قانون جمهورية كرواتيا;

e. في البند 18، لحل المنازعات الناشئة عن هذه البنود يتم حلها من قبل محاكم جمهورية كرواتيا;

f. يُعتبر الملحق الأول (أ) والأول (ب) من الملحق الأول (أ) و(ب) من الملحق الأول (ب) من اتفاقية حماية البيانات الشخصية مستكملاً بالمعلومات الواردة في الملحق الأول والثاني من هذا الملحق، أما الملحق الأول (ج) فتكون الوكالة الكرواتية لحماية البيانات الشخصية هي السلطة الإشرافية المختصة;

g. يُعتبر الملحق الثاني من الملحق الثاني من اتفاقية الاتحاد الأوروبي للاتفاقيات التجارية الموحدة مستكملاً بالمعلومات الواردة في الملحق الثالث من هذا الملحق؛

h. يُعتبر الملحق الثالث من الملحق الثالث من الملحق الثالث من اتفاقية المسؤولية الاجتماعية للشركات في الاتحاد الأوروبي مستكملاً بالمعلومات الواردة في الملحق الرابع من هذا الملحق.

6.2. عمليات النقل الدولية بموجب اللائحة العامة لحماية البيانات العامة في المملكة المتحدة

1. في حالة انطباق اللائحة العامة لحماية البيانات في المملكة المتحدة على المعالجة، وحيثما يبادر المعالج ويوافق على نقل البيانات الشخصية إلى معالج فرعي خارج المملكة المتحدة أو إلى بلد ليس لديه قرار كفاية، سيوقع المعالج اتفاقية نقل بيانات دولية مع هذا المعالج الفرعي وسيمتثل لقواعد النقل.

2. عندما تنطبق اللائحة العامة لحماية البيانات في المملكة المتحدة على المراقب، يظل المراقب مسؤولاً عن جميع عمليات نقل البيانات الشخصية التي يبدأها أو يوافق عليها.

3. فيما يتعلق بعمليات نقل البيانات الشخصية المحمية بموجب اللائحة العامة لحماية البيانات في المملكة المتحدة، يقر الطرفان بأن النقل الذي يعيد فيه المعالج البيانات الشخصية المعالجة إلى المراقب، شريطة أن يكون قد بدأه المراقب ووافق عليه، لا يعتبر نقلًا مقيدًا بموجب اللائحة العامة لحماية البيانات في المملكة المتحدة.

6.3. عمليات النقل إلى الأمام

1. يجب ألا يشارك المعالج في (ولا يسمح لأي معالج فرعي بالمشاركة في) أي عمليات نقل مقيدة أخرى للبيانات الشخصية (سواء كمصدر أو مستورد للبيانات الشخصية) ما لم يتم النقل المقيد وفقًا لقانون حماية البيانات المعمول به وأحكام هذا الملحق (DPA).

2. قد تشمل هذه التدابير (على سبيل المثال لا الحصر) نقل البيانات الشخصية إلى مستلم في بلد قررت المفوضية الأوروبية أنه يوفر حماية كافية للبيانات الشخصية، أو إلى مستلم حصل على ترخيص قواعد الشركات الملزمة وفقًا لقانون حماية البيانات المعمول به، أو وفقًا لاتفاقيات SCCS المطبقة بين المصدر والمستورد ذي الصلة للبيانات الشخصية.

القسم الثاني – التزامات الأطراف

المادة 7

وصف المعالجة (المعالجات)

يتم تحديد تفاصيل عمليات المعالجة، ولا سيما فئات البيانات الشخصية وأغراض المعالجة التي تتم معالجة البيانات الشخصية من أجلها نيابةً عن المراقب، في الملحق الثاني.

المادة 8

التزامات الأطراف

8.1. التعليمات

1. لا يجب على المعالج معالجة البيانات الشخصية إلا بناءً على تعليمات موثقة من المراقب، ما لم يكن ذلك مطلوبًا بموجب المتطلبات القانونية المعمول بها التي يخضع لها المعالج. في هذه الحالة، يجب على المعالج إبلاغ المراقب بهذا الشرط القانوني قبل المعالجة، ما لم يحظر القانون ذلك لأسباب مهمة تتعلق بالمصلحة العامة. يجوز أيضًا إعطاء تعليمات لاحقة من قبل المراقب طوال مدة معالجة البيانات الشخصية. يجب توثيق هذه التعليمات دائمًا.

2. يجب على المعالج إبلاغ المراقب على الفور إذا رأى المعالج أن التعليمات الصادرة عن المراقب تنتهك أحكام قانون حماية البيانات المعمول به.

8.2. تحديد الغرض

يجب على المعالج معالجة البيانات الشخصية، وفقًا لتعليمات المراقب المالي الموثقة، فقط للغرض (الأغراض) المحددة للمعالجة، على النحو المبين في الملحق الثاني، ما لم يتلق تعليمات أخرى من المراقب المالي أو إذا تم التوقيع على وثائق معالجة بيانات إضافية بين الطرفين.

8.3. مدة معالجة البيانات الشخصية

تتم المعالجة بواسطة المعالج فقط للمدة المحددة في الملحق الثاني.

8.4. أمان المعالجة

1. يجب على المعالج على الأقل تنفيذ التدابير التقنية والتنظيمية المحددة في الملحق الثالث لضمان أمن البيانات الشخصية. ويشمل ذلك حماية البيانات من أي خرق للأمن يؤدي إلى التدمير العرضي أو غير القانوني أو الفقدان أو التغيير أو الإفصاح غير المصرح به أو الوصول إلى البيانات (خرق البيانات الشخصية). عند تقييم المستوى المناسب للأمن، يجب على الأطراف أن تأخذ في الاعتبار على النحو الواجب أحدث ما توصلت إليه التكنولوجيا وتكاليف التنفيذ وطبيعة ونطاق وسياق وأغراض المعالجة والمخاطر التي ينطوي عليها ذلك بالنسبة لأصحاب البيانات.

2. لا يمنح القائم بالمعالجة إمكانية الوصول إلى البيانات الشخصية قيد المعالجة لأفراد من موظفيه إلا بالقدر الضروري للغاية لتنفيذ العقد وإدارته ومراقبته. يجب على المعالج التأكد من أن الأشخاص المصرح لهم بمعالجة البيانات الشخصية التي يتلقونها قد التزموا بالسرية أو أنهم يخضعون لالتزام قانوني مناسب بالسرية. يجب على المعالج التأكد من أن جميع الأشخاص المصرح لهم بمعالجة البيانات الشخصية فقط عند الضرورة للغرض المسموح به.

8.5. البيانات الحساسة

إذا كانت المعالجة تنطوي على بيانات شخصية تكشف عن الأصل العرقي أو الإثني أو الآراء السياسية أو المعتقدات الدينية أو الفلسفية أو العضوية النقابية، أو البيانات الوراثية أو البيانات البيومترية لغرض تحديد هوية الشخص الطبيعي بشكل فريد، أو البيانات المتعلقة بالصحة أو الحياة الجنسية أو التوجه الجنسي للشخص، أو البيانات المتعلقة بالإدانات الجنائية والجرائم (“البيانات الحساسة”)، يجب على الأطراف تحديث فئات البيانات الشخصية المعالجة في الملحق الثاني ويجب على المعالج تطبيق قيود محددة و/أو ضمانات إضافية.

8.6. التوثيق والامتثال

1. يجب أن يكون الطرفان قادرين على إثبات الامتثال لاتفاق الدوحة للسلامة هذا.

2. يجب على المعالج الاحتفاظ بسجلات لأنشطة المعالجة التي تتم بموجب هذا الملحق (DPA) تتضمن فئات الأشخاص المعنيين بالمعالجة وفئات البيانات الشخصية التي تمت معالجتها وطبيعة المعالجة ومدتها والغرض منها، وقائمة التدابير التقنية والتنظيمية، وتقييم أثر حماية البيانات.

3. يجب على المعالج التعامل بشكل سريع وكافٍ مع استفسارات المراقب بشأن معالجة البيانات وفقًا لاتفاق حماية البيانات هذا.

4. يجب على المعالج أن يتيح للمراقب جميع المعلومات اللازمة لإثبات الامتثال للالتزامات المنصوص عليها في هذا الملحق (DPA) والنابعة مباشرةً من قانون حماية البيانات المعمول به. بناءً على طلب المراقب، يجب على المعالج أيضًا أن يسمح ويساهم في عمليات تدقيق أنشطة المعالجة التي يغطيها هذا الاتفاق، على فترات زمنية معقولة أو إذا كانت هناك مؤشرات على عدم الامتثال. عند اتخاذ قرار بشأن المراجعة أو التدقيق، يجب على المراقب أن يأخذ في الاعتبار الشهادات ذات الصلة التي يحملها المعالج.

5. ويجوز للمراقب المالي أن يختار إجراء المراجعة بنفسه أو أن يكلف مراجع حسابات مستقل. ويجوز أن تشمل عمليات التدقيق أيضا إجراء عمليات تفتيش في أماكن العمل أو المرافق المادية للمجهِّز ويجب أن تتم، عند الاقتضاء، بإشعار معقول، قبل 30 يوما على الأقل.

6. يتيح الطرفان المعلومات المشار إليها في هذه المادة، بما في ذلك نتائج أي عمليات تدقيق، للسلطة/الهيئات الإشرافية المختصة عند الطلب.

8.7. استخدام المعالجات الفرعية

1. يحصل المعالج على تفويض عام من المراقب المالي لإشراك المعالجات الفرعية من قائمة متفق عليها. يجب على المعالج إبلاغ المراقب كتابيًا على وجه التحديد بأي تغييرات مزمع إجراؤها على تلك القائمة من خلال إضافة أو استبدال المعالجات الفرعية قبل 30 يومًا على الأقل، مما يمنح المراقب وقتًا كافيًا ليتمكن من الاعتراض على هذه التغييرات قبل إشراك المعالج الفرعي المعني (المعالجين الفرعيين المعنيين). يجب على المعالج تزويد المراقب بالمعلومات اللازمة لتمكين المراقب من ممارسة الحق في الاعتراض.

2. عندما يقوم المعالج بالتعاقد مع معالج فرعي لتنفيذ أنشطة معالجة محددة (نيابةً عن المراقب المالي)، فإنه يجب أن يقوم بذلك عن طريق عقد يفرض على المعالج الفرعي، من حيث الجوهر، نفس التزامات حماية البيانات المفروضة على المعالج وفقًا لهذه البنود. يجب على المعالج أن يضمن امتثال المعالج الفرعي للالتزامات التي يخضع لها المعالج وفقًا لملحق حماية البيانات هذا ولقانون حماية البيانات المعمول به.

3. وبناءً على طلب المراقب المالي، يجب على المعالج تقديم نسخة من اتفاق المعالج الفرعي هذا وأي تعديلات لاحقة إلى المراقب المالي. ويجوز للمعالج، بالقدر اللازم لحماية سر العمل أو المعلومات السرية الأخرى، بما في ذلك البيانات الشخصية، أن يقوم المعالج بتنقيح نص الاتفاقية قبل مشاركة النسخة.

4. يظل المعالج مسؤولاً مسؤولية كاملة أمام المراقب المالي عن أداء المعالج الفرعي لالتزاماته وفقاً للعقد المبرم بينه وبين المعالج. ويجب على المعالج إخطار المراقب بأي إخفاق من جانب المعالج الفرعي في الوفاء بالتزاماته التعاقدية.

5. يجب أن يتفق المعالج على شرط الطرف الثالث المستفيد مع المعالج الفرعي الذي يحق للمراقب – في حالة اختفاء المعالج فعليًا أو لم يعد موجودًا في القانون أو أصبح معسرًا – أن يكون للمراقب الحق في إنهاء عقد المعالج الفرعي وإصدار تعليمات إلى المعالج الفرعي بمحو البيانات الشخصية أو إعادتها.

8.8. إخطارات إلى المراقب المالي

1. بالإضافة إلى الإخطارات الأخرى المتوخاة في ملحق حماية البيانات هذا، سيقوم المعالج بإبلاغ المراقب، دون تأخير لا مبرر له، ولكن ليس أكثر من خمسة أيام عمل، إذا علم المعالج بما يلي

a. أي عدم امتثال من قبل المعالج أو موظفيه للالتزامات بموجب ملحق حماية البيانات هذا أو متطلبات قانون حماية البيانات المعمول به فيما يتعلق بحماية البيانات الشخصية التي تتم معالجتها بموجب ملحق حماية البيانات هذا;

b. أي طلب ملزم قانونًا للإفصاح عن البيانات الشخصية من قبل سلطة إنفاذ القانون مثل المحاكم أو الهيئات القضائية أو السلطات الإدارية، ما لم يكن المعالج ممنوعًا بموجب القانون إبلاغ المراقب (على سبيل المثال للحفاظ على سرية التحقيق من قبل سلطات إنفاذ القانون). يجب أن يكون المعالج قادرًا على تقديم معلومات عن الكشف المحتمل الملزم قانونًا عن البيانات الشخصية;

c. أي إشعار أو استفسار أو تحقيق من قبل سلطة إشرافية فيما يتعلق بالبيانات الشخصية التي يشاركها المراقب؛ أو

d. أي شكوى أو طلب يتم استلامه مباشرةً من أصحاب البيانات من المراقب. لن يستجيب المعالج بشكل جوهري لأي طلب من هذا القبيل دون إذن كتابي مسبق من المراقب.

3. قبل إجراء أي إفصاح عن البيانات الشخصية أو تقديم أي معلومات أخرى تتعلق بالبيانات الشخصية، يجب على المعالج التشاور مع المراقب إلا في الحالات الموضحة في البند 1 (ب) من هذه المادة.

8.9. الخصوصية حسب التصميم والافتراض

يجب أن يدمج المعالج اعتبارات الخصوصية في أنشطة المعالجة الخاصة به منذ البداية، بما في ذلك تصميم أنظمته وتطبيقاته وخدماته وتطويرها وتنفيذها وصيانتها المستمرة. يجب أن تعطي الإعدادات الافتراضية للمعالج للأنظمة والتطبيقات والخدمات الأولوية لأعلى مستوى من حماية الخصوصية، مما يحد من معالجة البيانات الشخصية بشكل افتراضي. يجب أن يوفر المعالج آليات تسمح للمراقب وأصحاب البيانات بإدارة تفضيلات الخصوصية الخاصة بهم وممارسة حقوقهم بسهولة.

المادة 9

مساعدة المراقب المالي

1. يجب على المعالج مساعدة المراقب في الوفاء بالتزاماته في الاستجابة لطلبات أصحاب البيانات لممارسة حقوقهم، مع مراعاة طبيعة المعالجة.

2. يجب على القائم بالمعالجة مساعدة المراقب المالي في الوفاء بالتزاماته بالرد على طلبات أصحاب البيانات لممارسة حقوقهم، مع مراعاة طبيعة المعالجة. عند الوفاء بالتزاماته وفقًا للمادتين (1) و(2)، يجب على المعالج الامتثال لتعليمات المراقب المالي.

3. بالإضافة إلى التزام المعالج بمساعدة المراقب المالي عملاً بالبند 9.2، يجب على المعالج كذلك مساعدة المراقب المالي في ضمان الامتثال للالتزامات التالية، مع مراعاة طبيعة معالجة البيانات والمعلومات المتاحة للمعالج:

أ. الالتزام بإجراء تقييم لأثر عمليات المعالجة المتوخاة على حماية البيانات الشخصية (“تقييم أثر حماية البيانات”)، حيثما يُحتمل أن يؤدي نوع المعالجة إلى مخاطر كبيرة على حقوق وحريات الأشخاص الطبيعيين. يجب على المعالج تقديم المساعدة للمراقب لتمكينه من إجراء تقييم أثر حماية البيانات. عند تقديم المساعدة، يجوز للمعالج تنقيح المعلومات بالقدر اللازم لحماية سر العمل أو المعلومات السرية الأخرى;

ب. الالتزام بالتشاور مع السلطة/الهيئات الإشرافية المختصة قبل المعالجة عندما يشير تقييم أثر حماية البيانات إلى أن المعالجة ستؤدي إلى مخاطر عالية في حالة عدم اتخاذ المراقب تدابير للتخفيف من المخاطر;

ج. الالتزام بضمان دقة البيانات الشخصية وتحديثها، من خلال إبلاغ المراقب دون تأخير إذا علم المُعالِج بأن البيانات الشخصية التي يعالجها غير دقيقة أو أصبحت قديمة;

د. الالتزامات بتنفيذ التدابير التقنية والتنظيمية المناسبة والحفاظ عليها لضمان مستوى من أمن البيانات الشخصية يتناسب مع المخاطر. يجب أن تراعي هذه التدابير أحدث ما توصلت إليه التكنولوجيا وتكاليف التنفيذ وطبيعة المعالجة ونطاقها وسياقها وأغراضها بالإضافة إلى المخاطر المتفاوتة الاحتمالية والشدة على حقوق وحريات الأشخاص الطبيعيين وتشمل حسب الاقتضاء:

ط. إخفاء الأسماء المستعارة للبيانات الشخصية وتشفيرها;

ب. القدرة على ضمان السرية والسلامة والتوافر والمرونة المستمرة لأنظمة وخدمات المعالجة;

ج. القدرة على استعادة توافر البيانات الشخصية والوصول إليها في الوقت المناسب في حالة وقوع حادث مادي أو تقني;

رابعا: عملية اختبار وتقييم وتقدير وتقييم فعالية التدابير التقنية والتنظيمية لضمان أمن المعالجة بانتظام.

4. يحدد الطرفان التدابير التقنية والتنظيمية المناسبة في المرفق الثالث التي يتعين على المعالج بموجبها مساعدة المراقب في تطبيق هذه المادة وكذلك نطاق ومدى المساعدة المطلوبة. يقر المراقب بأن التدابير الأمنية تخضع للتقدم والتطوير التقني وأنه يجوز للمعالج تحديث أو تعديل التدابير الأمنية من وقت لآخر، شريطة ألا تؤدي هذه التحديثات والتعديلات إلى إضعاف أو تقليل الأمن العام للمعالجة.

المادة 10

الإخطار بخرق البيانات الشخصية

في حالة حدوث خرق للبيانات الشخصية، يجب أن يتعاون المعالج مع المراقب المالي ويساعده على امتثال المراقب المالي لالتزاماته بموجب قانون حماية البيانات المعمول به، حيثما ينطبق ذلك، مع مراعاة طبيعة المعالجة والمعلومات المتاحة للمعالج.

10.1. خرق البيانات المتعلقة بالبيانات التي يعالجها المراقب المالي

في حالة حدوث خرق للبيانات الشخصية المتعلقة بالبيانات التي تتم معالجتها من قِبل المراقب، يجب على المعالج مساعدة المراقب:

أ. في إبلاغ السلطة/الهيئات الإشرافية المختصة بخرق البيانات الشخصية، دون تأخير لا مبرر له بعد أن يصبح المراقب على علم به، حيثما كان ذلك مناسبًا (ما لم يكن من غير المحتمل أن يؤدي خرق البيانات الشخصية إلى خطر على حقوق وحريات الأشخاص الطبيعيين);

ب. في الحصول على المعلومات التالية التي يجب أن تُذكر في إخطار المراقب المالي، ويجب أن تتضمن على الأقل:

ط. طبيعة البيانات الشخصية بما في ذلك، حيثما أمكن، الفئات والعدد التقريبي لأصحاب البيانات المعنيين والفئات والعدد التقريبي لسجلات البيانات الشخصية المعنية;

ب. العواقب المحتملة لخرق البيانات الشخصية;

ج. التدابير المتخذة أو المقترح اتخاذها من قبل المراقب لمعالجة خرق البيانات الشخصية، بما في ذلك، عند الاقتضاء، تدابير التخفيف من آثاره السلبية المحتملة.

وحيثما يتعذر تقديم جميع هذه المعلومات في نفس الوقت، وبقدر ما يكون من غير الممكن تقديم جميع هذه المعلومات في نفس الوقت، يجب أن يتضمن الإخطار الأولي المعلومات المتاحة في ذلك الوقت، على أن يتم تقديم معلومات إضافية لاحقًا عندما تصبح متاحة دون تأخير لا مبرر له.

ج. في الامتثال للالتزام بالإبلاغ دون تأخير لا مبرر له عن خرق البيانات الشخصية لصاحب البيانات، عندما يُحتمل أن يؤدي خرق البيانات الشخصية إلى خطر كبير على حقوق وحريات الأشخاص الطبيعيين.

10.2. خرق البيانات المتعلقة بالبيانات التي يعالجها المعالج

1. في حالة حدوث خرق للبيانات الشخصية المتعلقة بالبيانات التي يعالجها المعالج، يجب على المعالج إخطار المراقب دون تأخير لا مبرر له بعد أن يصبح المعالج على علم بالخرق. ويجب أن يتضمن هذا الإخطار، على الأقل:

أ. وصفًا لطبيعة الخرق (بما في ذلك، حيثما أمكن، الفئات والعدد التقريبي لأصحاب البيانات وسجلات البيانات المعنية);

ب. تفاصيل نقطة الاتصال حيث يمكن الحصول على مزيد من المعلومات المتعلقة بخرق البيانات الشخصية;

ج. عواقبه المحتملة والتدابير المتخذة أو المقترح اتخاذها لمعالجة الانتهاك، بما في ذلك التخفيف من آثاره السلبية المحتملة.

وحيثما يتعذر تقديم جميع هذه المعلومات في نفس الوقت، وبقدر ما يكون من غير الممكن تقديم جميع هذه المعلومات في نفس الوقت، يجب أن يتضمن الإخطار الأولي المعلومات المتاحة في ذلك الوقت، على أن يتم تقديم معلومات إضافية لاحقًا عندما تصبح متاحة دون تأخير لا مبرر له.

2. يحدد الطرفان في الملحق الثالث جميع العناصر الأخرى التي يتعين على المعالج تقديمها عند مساعدة المراقب في الامتثال لالتزامات المراقب بموجب المادتين 33 و34 من اللائحة (الاتحاد الأوروبي) 2016/679.

القسم الثالث – أحكام ختامية

المادة 11

عدم الامتثال لاتفاقية حماية البيانات الشخصية هذه وإنهائها

1. دون الإخلال بأي أحكام من أحكام قانون حماية البيانات المعمول به، في حالة إخلال المعالج بالتزاماته بموجب هذا الاتفاق، يجوز للمراقب أن يوعز إلى المعالج بتعليق معالجة البيانات الشخصية إلى أن يمتثل الأخير لهذا الاتفاق أو يتم إنهاء الاتفاقية. يجب على المعالج إبلاغ المراقب على الفور في حالة عدم قدرته على الامتثال لهذا الاتفاق، لأي سبب من الأسباب.

2. يحق للمراقب إنهاء الاتفاقية بقدر ما يتعلق الأمر بمعالجة البيانات الشخصية وفقًا لاتفاق حماية البيانات الشخصية هذا إذا:

أ. إذا تم تعليق معالجة البيانات الشخصية من قبل المعالج من قبل المراقب وفقًا للحكم 1. من هذه المادة، وإذا لم تتم استعادة الامتثال لهذا الاتفاق في غضون فترة زمنية معقولة وفي أي حال في غضون شهر واحد بعد التعليق;

ب. إذا كان المعالج في حالة خرق جوهري أو مستمر لاتفاق حماية البيانات هذا أو التزاماته بموجب قانون حماية البيانات المعمول به;

ج. إخفاق المعالج في الامتثال لقرار ملزم صادر عن محكمة مختصة أو السلطة/السلطات الإشرافية المختصة فيما يتعلق بالتزاماته بموجب هذا الملحق أو قانون حماية البيانات المعمول به.

3. يحق للمعالج إنهاء الاتفاقية بقدر ما يتعلق الأمر بمعالجة البيانات الشخصية بموجب ملحق حماية البيانات الشخصية هذا إذا أصر المراقب، بعد إبلاغه المراقب بأن تعليماته تنتهك المتطلبات القانونية المعمول بها وفقًا للمادة 8.1.2، على الامتثال للتعليمات.

4. بعد انتهاء الاتفاقية، يجب على المعالج، بناءً على اختيار المراقب المالي، حذف جميع البيانات الشخصية التي تمت معالجتها نيابةً عن المراقب المالي والتصديق للمراقب المالي على أنه قام بذلك، أو إعادة جميع البيانات الشخصية إلى المراقب المالي وحذف النسخ الموجودة ما لم يتطلب قانون حماية البيانات المعمول به تخزين البيانات الشخصية. وإلى أن يتم حذف البيانات أو إعادتها، يجب على المعالج الاستمرار في ضمان الامتثال لقانون حماية البيانات الشخصية هذا.

المادة 12

متفرقات

1. يمثل هذا الاتفاق جزءًا لا يتجزأ من الاتفاقية المبرمة بين الطرفين ويصبح ساريًا عندما يوقع الطرفان على الاتفاقية.

2. إذا كان قانون حماية البيانات المعمول به أو اللوائح الأخرى المعمول بها تتطلب من المراقب التوقيع على اتفاقية حماية البيانات أو التوقيع على اتفاقية حماية البيانات الشخصية أو اتفاقية حماية البيانات داخل الاتحاد الأوروبي أو اتفاقية التجارة الدولية المطبقة على معالجة معينة أو نقل مقيد للبيانات الشخصية إلى المعالج كاتفاقية منفصلة، فإن المعالج، بناءً على طلب المراقب، سيقوم بتنفيذ هذه الوثيقة على الفور.

3. يتفق الطرفان على أن يحل اتفاق حماية البيانات هذا محل أي اتفاقية معالجة بيانات قائمة أو وثيقة مماثلة قد يكون الطرفان قد أبرماها سابقًا فيما يتعلق بتكنولوجيا المعالج وخدماته.

4. بصرف النظر عن أي شيء يخالف ذلك في الاتفاقية ودون الإخلال بالقسم 8.2 (“تحديد الغرض”)، يجوز للمعالج إجراء تعديلات دورية على ملحق حماية البيانات هذا حسبما تقتضيه الحاجة للامتثال لقانون حماية البيانات المعمول به ولتحسين مستوى أمان البيانات الشخصية. سيتم نشر التعديلات على ملحق حماية البيانات هذا على المركز القانوني للمعالج (متاح على الرابط: https://mb.wpstaging.uk/dpa-for-the-use-of-microblink-technology-and-support-services/) وسيقوم المعالج بإبلاغ المراقب بأي تغييرات جوهرية على ملحق حماية البيانات هذا كتابيًا.

المرفق الأول: قائمة الأطراف

وحدة التحكم:

الإسم المرخص له

العنوان: كما هو محدد في الاتفاقية المنفذة.

اسم مسؤول الاتصال ومنصبه وتفاصيل الاتصال به: كما هو محدد في الاتفاقية المنفذة.

المعالج:

الاسم: Microblink الكيان كما هو محدد في الاتفاقية المنفذة.

العنوان: كما هو محدد في الاتفاقية المنفذة.

بيانات الاتصال بمسؤول حماية البيانات: privacy@microblink.com.

المرفق الثاني: وصف المعالجة

فئات أصحاب البيانات الذين تتم معالجة بياناتهم الشخصية

الأشخاص الطبيعيون – المستخدمون النهائيون لوحدة التحكم، بما في ذلك، إن أمكن، المستخدمون النهائيون للشركات التابعة لوحدة التحكم.

فئات البيانات الشخصية التي تتم معالجتها

البيانات الشخصية الموجودة في الوثيقة المعالجة بما في ذلك، على سبيل المثال لا الحصر، الاسم الأول والاسم الأوسط واسم العائلة وتاريخ الميلاد ومكان الميلاد وعنوان المنزل ومحل الإقامة والجنس والجنس والجنسية والجنسية والمواطنة ورقم الوثيقة ورقم الضمان الاجتماعي ورقم التعريف الشخصي ورمز التعريف الشخصي ورمز تأمين البطاقة ونوع البطاقة وتاريخ الإصدار وتاريخ انتهاء الصلاحية، وسلطة الإصدار، وحالة المتبرع بالأعضاء، وحالة الإقامة، والبيانات البيومترية (التي لم تتم معالجتها لغرض تحديد هوية الشخص الطبيعي بشكل فريد) مثل صورة الوجه أو لون العين أو بصمة الإصبع أو التوقيع أو الوزن أو الطول، وفئات أخرى من البيانات الموجودة في وثائق الهوية المنقولة أو البطاقات أو المستندات الأخرى التي تتم مشاركتها مع المعالج.

البيانات الحساسة التي تمت معالجتها

لا توجد بيانات حساسة مخصصة للمعالجة. إذا تم نقل أي بيانات حساسة، ستقوم وحدة التحكم بإخطار المعالج وسيقوم المعالج بتطبيق القيود والضمانات اللازمة.

طبيعة المعالجة

تنطبق إذا كانت وحدة التحكم تستخدم خدمة التحقق الخاصة بالمعالج: باستخدام الحل الخاص بوحدة التحكم، يقوم موضوع البيانات بمسح الوجه الأمامي و/أو الخلفي لوثيقة الهوية. يتم إرسال عمليات المسح إلى البنية التحتية السحابية للمعالج على منصة Google Cloud Platform، حيث يتم، باستخدام تقنية المعالج، استخراج البيانات الشخصية من المسح الضوئي، ويتم التحقق من وجود ميزات الأمان و/أو تحليل السمات المادية للمستند الممسوح ضوئيًا. بمجرد اكتمال عملية التحقق، يقوم المعالج بإرجاع استجابة التحقق إلى وحدة التحكم، وبعد انتهاء جلسة التحقق، يتم حذف البيانات الشخصية من البنية الأساسية السحابية للمعالج.

قابل للتطبيق إذا كانت وحدة التحكم تستخدم خدمة الاستخراج الخاصة بالمعالج: باستخدام الحل الخاص بوحدة التحكم، يقوم موضوع البيانات بمسح مستند الهوية من الأمام و/أو الخلف. يتم إرسال عمليات المسح إلى البنية التحتية السحابية للمعالج على منصة Google Cloud Platform، حيث يتم استخراج البيانات الشخصية من المسح باستخدام تقنية المعالج. يقوم المعالج بإرسال نتائج الاستخراج و/أو الصور الممسوحة ضوئيًا إلى وحدة التحكم عند اكتمال عملية الاستخراج، ويتم حذف البيانات الشخصية من البنية الأساسية السحابية للمعالج.

قابل للتطبيق إذا كانت وحدة التحكم تستخدم خدمات دعم المعالج: للنقل الآمن لصور المستندات التي تواجه وحدة التحكم مشكلات بها إلى المعالج، تستخدم وحدة التحكم خدمة التحميل الآمن للصور الخاصة بالمعالج. يقوم المعالج بتحليل المشكلة وفقًا لطلب وحدة التحكم للحصول على الدعم لتقديم خدمات الدعم. واعتماداً على طلب الدعم المقدم من وحدة التحكم، يمكن أن يتضمن تقديم خدمات الدعم تصحيح الأخطاء في نوع مستند مدعوم بالفعل، ودعم إصدار جديد من مستند مدعوم، وتحسين دقة نوع مستند مدعوم بالفعل، إذا كان المنتج لا يعمل. قد يشمل تقديم خدمات الدعم، بناءً على طلب دعم وحدة التحكم، إعادة تدريب النماذج.

الغرض (الأغراض) التي تتم من أجلها معالجة البيانات الشخصية نيابةً عن المراقب

تنطبق إذا كانت وحدة التحكم تستخدم خدمة التحقق الخاصة بالمعالج: الغرض من المعالجة هو التحقق من وجود ميزات الأمان في مستند الهوية وإرجاع رد التحقق إلى وحدة التحكم، وفقًا للاتفاقية.

تنطبق إذا كانت وحدة التحكم تستخدم خدمة الاستخراج الخاصة بالمعالج: الغرض من المعالجة هو استخراج البيانات من مستند الهوية وإرسال نتائج الاستخراج إلى وحدة التحكم، وفقًا للاتفاقية.

تنطبق إذا كانت وحدة التحكم تستخدم خدمات دعم المعالج: الغرض من المعالجة هو توفير خدمات الدعم لوحدة التحكم، وفقًا للاتفاقية.

مدة المعالجة

تنطبق إذا كانت وحدة التحكم تستخدم خدمة التحقق و/أو الاستخراج الخاصة بالمعالج: المعالجة مستمرة (طالما تستخدم وحدة التحكم التقنية أو الخدمات). يحتفظ المعالج ببيانات المدخلات أثناء جلسات التحقق أو الاستخراج، حسب الاقتضاء، ولكنه لا يخزن البيانات المعالجة، ما لم يتم الاتفاق على فترة احتفاظ مختلفة كتابيًا مع المراقب.

قابل للتطبيق إذا كانت وحدة التحكم تستخدم خدمات دعم المعالج: يحتفظ المعالج بالصور حتى يتم حل المشكلة.

بالنسبة للمعالجة بواسطة المعالجات (الفرعية)، حدد أيضًا موضوع المعالجة وطبيعتها ومدتها

منصة جوجل السحابية – سيتم استخدام البنية التحتية السحابية لشركة Microblink LLC على منصة جوجل السحابية لتشغيل تقنية المعالج. تتم معالجة البيانات الشخصية بشكل مستمر، طالما أن وحدة التحكم تستخدم التقنية.

Microblink شركة ذات مسؤولية محدودة هي كيان مقدم للدعم Microblink وتعمل كمعالج فرعي عندما لا تكون كيانًا موقعًا على العقد. يجب معالجة البيانات على النحو الموضح أعلاه، ويجب تطبيق التدابير الأمنية كما هو موضح في الملحق الثالث.

الملحق الثالث التدابير التقنية والتنظيمية بما في ذلك التدابير التقنية والتنظيمية لضمان أمن البيانات

تدابير ضمان السرية والسلامة والتوافر والمرونة المستمرة لأنظمة وخدمات المعالجة

لدى المعالج سياسة محددة بشأن التعامل مع البيانات السرية، والتي تحدد تصنيف البيانات والكشف عنها وحمايتها. يُطلب من جميع موظفي المعالج التوقيع على بنود السرية التي تنص على أن الأسرار التجارية والمعلومات السرية يجب أن تظل سرية إلى الأبد وأن يتم تسليمها بعد انتهاء العقد، بينما يعتبر كل خرق لها انتهاكًا خطيرًا. علاوةً على ذلك، سيضمن المعالج أن واجهة برمجة التطبيقات محمية ومراقبة بشكل كافٍ باستخدام جدار حماية تطبيقات الويب وحماية DDoS.

سيقوم المعالج بتطبيق مفهومي “الأقل امتيازاً” و”الحاجة إلى المعرفة” وضمان الفصل بين الواجبات. سيضمن المعالج وجود إجراءات مناسبة لتسجيل المستخدمين الجدد/حقوق الوصول الإضافية وإلغاء تسجيل المستخدمين. سيضمن القائم بالمعالجة مراقبة إدارة الوصول إلى الامتيازات عن كثب واستنادًا إلى مراجعة منتظمة لحقوق الوصول، مع سحب حقوق الوصول إذا لم تعد هناك حاجة إليها.

تدابير لضمان القدرة على استعادة توافر البيانات الشخصية والوصول إليها في الوقت المناسب في حالة وقوع حادث مادي أو تقني

فيما يتعلق بموضوع هذه الاتفاقية، سيقوم المعالج بالإبلاغ عن أي حادث (قريب) متعلق بأمن المعلومات في أقرب وقت ممكن ووفقًا للاتفاقية إلى جهة اتصال المراقب بما في ذلك التدابير الوقائية المتخذة للتخفيف من تأثير الحادث، والتدابير الوقائية المقترحة لمنع وقوع الحادث (القريب) في المستقبل وتقدير الأثر المترتب على الحادث. حدد المعالج سياسة بشأن إدارة حوادث أمن المعلومات تحدد الأدوار والمسؤوليات في عملية إدارة الحوادث. تصف السياسة أيضًا تصنيف الحوادث والخطوات التي يجب أن يتخذها فريق الاستجابة للحوادث، مثل تقييم الحوادث واحتوائها والقضاء على التهديدات والتعافي منها والإبلاغ والتعلم من الحوادث. يجب على المعالج ضمان انتشار المعرفة والخبرة لضمان توافر الأشخاص المهرة حتى في حالة وقوع كارثة.

عمليات الاختبار والتقييم والتقييم المنتظم لفعالية التدابير التقنية والتنظيمية من أجل ضمان أمن المعالجة والتدابير اللازمة لضمان المساءلة

وفقًا لتقدير المعالج الكامل، سيتم استكمال عملية التصديق الذاتي الدورية من قبل المعالج لضمان استمرار تطبيق جميع السياسات والإجراءات المتعلقة بالأمن. وعلاوة على ذلك، سيجري المعالج بانتظام تقييمات دورية لنقاط الضعف في الخدمات ذات الصلة من خلال اختبار الاختراق ونقاط الضعف. لدى المعالج سياسات وقواعد وإجراءات داخلية معمول بها لضمان مساءلة الموظفين عن معالجة البيانات الشخصية بمسؤولية. يضمن المعالج إطلاع موظفيه على المتطلبات الأمنية للمعالج والسياسات والتطورات في مجال أمن المعلومات. يتحمل المعالج المسؤولية الكاملة عن سلوك موظفيه.

تدابير ضمان الأمن المادي للمواقع التي تتم فيها معالجة البيانات الشخصية

تشمل تدابير المعالج الفرعي (منصة Google Cloud Platform) لأمن المباني المادية، التي توفر خدمة البنية التحتية السحابية الخاصة، طبقات أمنية مادية متعددة لحماية مراكز البيانات، مثل تحديد الهوية البيومترية، والكشف عن المعادن، والكاميرات، وحواجز المركبات، وأنظمة كشف التسلل المعتمدة على الليزر.(https://www.google.com/about/datacenters/data-security/)

في حالة حدوث معالجة البيانات الشخصية على البنية التحتية للمعالج أو الشركة التابعة للمعالج، سيضمن المعالج أيضًا الأمن المادي الكافي من خلال استخدام الكاميرات وبطاقات الدخول وحراس الأمن.

تدابير ضمان تسجيل الأحداث

يتم تمكين جميع وظائف تسجيل النظام والتطبيقات المتعلقة بالخدمات المقدمة من قبل المعالج ومراجعة أحداث أمن المعلومات بانتظام.

تدابير ضمان تكوين النظام، بما في ذلك التكوين الافتراضي

سيقوم المعالج بتطبيق تقوية النظام على جميع الخدمات التي تواجه الإنترنت من خلال الإدارة المركزية للتهيئة والمسح المنتظم للثغرات ومراجعة التهيئة.

تدابير الحوكمة والإدارة الداخلية لتكنولوجيا المعلومات وأمن تكنولوجيا المعلومات

يحافظ المعالج على نظام فعال لإدارة أمن المعلومات لضمان التنظيم السليم لمسؤوليات أمن المعلومات ويتم إجراء تقييم للمخاطر الأمنية على أساس دوري لضمان تحديد المخاطر الجديدة أو المتغيرة.

يجب على المعالج تخصيص الموارد والموظفين الذين لديهم الخبرة المطلوبة لتنفيذ أي مهمة محددة فيما يتعلق بمسؤولياته الأمنية بموجب هذه الاتفاقية.

سيضمن المعالج وجود حماية مناسبة لجميع الأصول التي تحتوي على بيانات شخصية مقدمة من المراقب في سياق هذه الاتفاقية.

تدابير اعتماد/ضمان العمليات والمنتجات

وفقًا لتقدير المعالج الكامل، سيتم إكمال عملية التصديق الذاتي الدورية من قبل المعالج لضمان استمرار تطبيق جميع السياسات والإجراءات المتعلقة بالأمن.

تدابير تحديد هوية المستخدم وتفويضه

قابل للتطبيق إذا كانت وحدة التحكم تستخدم خدمة التحقق و/أو الاستخراج الخاصة بالمعالج: يتم منح حق الوصول إلى الخدمة للمستخدمين المصرح لهم فقط من خلال بيانات اعتماد العميل الفريدة التي يمكن إبطالها وتجديدها في أي وقت من قبل المتحكم.

تدابير إخفاء الأسماء المستعارة وتشفير البيانات الشخصية وحماية البيانات أثناء الإرسال

قابل للتطبيق إذا كانت وحدة التحكم تستخدم خدمة التحقق و/أو الاستخراج الخاصة بالمعالج: سيستخدم المعالج طرق تشفير قوية مثل TLS (أحدث الإصدارات المدعومة) للبيانات أثناء النقل.

تنطبق إذا كانت وحدة التحكم تستخدم خدمات دعم المعالج: لنقل البيانات الشخصية إلى المعالج بشكل آمن، يجب على وحدة التحكم استخدام خدمة التحميل الآمن للصور الخاصة بالمعالج.

تدابير ضمان تقليل البيانات إلى الحد الأدنى، والاحتفاظ المحدود بالبيانات ومحوها

ينطبق ذلك إذا كانت وحدة التحكم تستخدم خدمة التحقق و/أو الاستخراج الخاصة بالمعالج: لا يقوم المعالج بتخزين البيانات الشخصية بعد إجراء عملية التحقق.

ينطبق ذلك إذا كانت وحدة التحكم تستخدم خدمة دعم المعالج: يجب على المعالج تنفيذ جداول الاحتفاظ بالبيانات وحذف البيانات بشكل لا رجعة فيه وفقًا للجدول الزمني.

تدابير ضمان جودة البيانات

تنطبق إذا كانت وحدة التحكم تستخدم خدمة التحقق و/أو الاستخراج الخاصة بالمعالج: يكون المراقب مسؤولاً عن البيانات التي يتم إرسالها إلى المعالج، بما في ذلك جودتها. سوف يرسل المعالج إلى المراقب البيانات الشخصية المستخرجة من المستندات التي يرسلها المراقب إلى جانب بيانات معلومات التعريف الشخصية (PII) والبيانات الوصفية التي تم كشطها من المستندات.

تنطبق في حالة استخدام المراقب المالي لخدمات الدعم: سيحدد المراقب والمعالج نوعية البيانات التي يجب مشاركتها لحل المشكلة التي أثارها المراقب.

تدابير حماية البيانات أثناء التخزين

قابل للتطبيق إذا كانت وحدة التحكم تستخدم خدمة دعم المعالج: Microblink يستخدم خدمة إدارة المفاتيح لتشفير البيانات في حالة السكون.

تدابير إخفاء الأسماء المستعارة وتشفير البيانات الشخصية وحماية البيانات أثناء الإرسال

قابل للتطبيق إذا كانت وحدة التحكم تستخدم خدمة التحقق و/أو الاستخراج الخاصة بالمعالج: سيستخدم المعالج طرق تشفير قوية مثل TLS (أحدث الإصدارات المدعومة) للبيانات أثناء النقل.

ينطبق في حالة استخدام المراقب لخدمات دعم المعالج: للنقل الآمن للبيانات الشخصية إلى Microblink ، يجب على المرخص له استخدام Microblink’التحميل الآمن للصور.

بالنسبة لعمليات النقل إلى معالجات (فرعية)، أيضًا وصف التدابير الفنية والتنظيمية المحددة التي يجب أن يتخذها المعالج (الفرعي) ليكون قادرًا على تقديم المساعدة للمراقب المالي

يجب أن يكون لدى المعالج اتفاقيات معالجة بيانات مع معالجين فرعيين لضمان مساعدة المراقب المالي.

وصف التدابير الفنية والتنظيمية المحددة التي يجب أن يتخذها المعالج ليكون قادرًا على تقديم المساعدة للمراقب.

تنطبق إذا كانت وحدة التحكم تستخدم خدمات دعم المعالج: يجب على المراقب أن يتأكد من أن بإمكانه تحديد هوية المستخدمين النهائيين لديه، وفي حالة طلب صاحب البيانات، يجب عليه تسليم معرفاتهم إلى المعالج. يجب على المعالج تقديم المساعدة للمراقب في تنفيذ طلب صاحب البيانات وفقًا لإجراءات حذف البيانات.

المرفق الرابع: قائمة المعالجات الفرعية

أجازت وحدة التحكم استخدام المعالجات الفرعية التالية:

1. الاسم: Microblink شركة ذات مسؤولية محدودة (إذا كان الموقع هو Microblink Ltd. أو Microblink USA LLC)

العنوان: ترغ دراغ إبليرا 10، 10000 زغرب، كرواتيا

اسم مسؤول الاتصال ومنصبه وتفاصيل الاتصال به: إينا أورسيتش، معاون قانوني ومسؤول حماية البيانات

وصف المعالجة: تقديم خدمات الدعم.

2. الاسم: منصة جوجل السحابية

العنوان: كما هو محدد على الرابط التالي.

اسم مسؤول الاتصال ومنصبه وتفاصيل الاتصال به: كما هو محدد على الرابط التالي.

وصف المعالجة: سيتم استخدام منصة المعالج الفرعي لتشغيل تقنية المعالج لمعالجة البيانات الشخصية أثناء جلسة الاستخراج و/أو التحقق. بعد انتهاء الجلسة، لن يتم تخزين البيانات.

ملحق معالجة البيانات

لاستخدام Microblink التكنولوجيا وخدمات الدعم

تم دمج ملحق معالجة البياناتهذا (“ملحق معالجة البيانات“) في شروط وأحكام الاتفاقية المبرمة بين المراقب والمعالج، كما هو محدد في الملحق الأول (يُشار إليهما معًا باسم “الأطراف“)، أو شروط الاستخدام أو شروط وأحكام استخدام تقنية المعالج التي يقبلها المراقب، والتي تحكم استخدام المراقب لتقنية المعالج أو خدمات الدعم (“الاتفاقية“) وتخضع لها.

يكون لجميع المصطلحات المكتوبة بأحرف كبيرة غير المعرفة في اتفاقية الدوحة للسلامة هذه المعاني المنصوص عليها في الاتفاقية.

عندما تستخدم وحدة التحكم تقنية المعالج، سواءً في مرحلة الاختبار أو الإنتاج، أو عندما تستخدم وحدة التحكم خدمات دعم المعالج، فإن المعالج يعالج البيانات الشخصية (المحددة أدناه). يتفق الطرفان على الامتثال للأحكام التالية فيما يتعلق بأي معالجة للبيانات الشخصية ويتم الاتفاق على ما يلي:

القسم الأول – عام

المادة 1

التعاريف

في هذا الاتفاق، يكون للمصطلحات التالية المعاني التالية:

a. “المراقب” و”المعالج” و”صاحب البيانات” و” البياناتالشخصية ” و”المعالجة” و”المعالجة” لها المعاني الواردة في القانون الأوروبي لحماية البيانات;

b. يعني “قانون حماية البيانات الأوروبي“: (1) اللائحة 2016/679 الصادرة عن البرلمان الأوروبي والمجلس الأوروبي بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وحرية حركة هذه البيانات (اللائحة العامة لحماية البيانات) (“اللائحة العامة لحماية البياناتفي الاتحاد الأوروبي“)؛ و(2) اللائحة العامة لحماية البيانات في الاتحاد الأوروبي كما تم حفظها في قانون المملكة المتحدة بموجب المادة 3 من قانون الاتحاد الأوروبي (الانسحاب) لعام 2018 في المملكة المتحدة (“اللائحة العامةلحمايةالبيانات في المملكة المتحدة“);

c. “قانون حماية البيانات المعمول به” يعني جميع القوانين واللوائح العالمية لحماية البيانات والخصوصية، بالقدر الذي ينطبق على الأطراف وطبيعة البيانات الشخصية التي تتم معالجتها بموجب الاتفاقية، بما في ذلك، حيثما ينطبق ذلك، قانون حماية البيانات الأوروبي، وقانون خصوصية المستهلك في كاليفورنيا لعام 2018، بصيغته المعدلة بموجب قانون حقوق الخصوصية في كاليفورنيا لعام 2020 (يشار إليها مجتمعة باسم “CPRA”)، وأي وجميع القوانين الوطنية المعمول بها لحماية البيانات التي تم وضعها بموجب قانون حماية البيانات الأوروبي أو بموجبها أو التي تنطبق بالاقتران مع قانون حماية البيانات الأوروبي؛ وفي كل حالة كما قد يتم تعديلها أو استبدالها من وقت لآخر;

d. تعني “البيانات الشخصية“، بصرف النظر عن المعنى الوارد في القانون الأوروبي لحماية البيانات، أي معلومات تحدد هوية الشخص، والتي يتم مسحها ضوئيًا وتحميلها ومشاركتها مع المعالج باستخدام تقنية المعالج أو وفقًا لاستخدام خدمات الدعم من قبل المراقب أو الشركات التابعة للمراقب أو من قبل أطراف ثالثة تعمل نيابةً عن المراقب;

e. “خرق البيانات الشخصية” يعني أي خرق أمني يؤدي إلى إتلاف عرضي أو غير قانوني أو فقدان أو تغيير أو إفشاء غير مصرح به أو الوصول إلى البيانات الشخصية التي تم الكشف عنها ومشاركتها من قبل المراقب ومعالجتها من قبل المعالج بموجب هذا الملحق;

f. “النقل المقيّد” يعني: (1) في حالة تطبيق اللائحة العامة لحماية البيانات في الاتحاد الأوروبي، نقل البيانات الشخصية من الاتحاد الأوروبي أو المنطقة الاقتصادية الأوروبية إلى بلد خارج الاتحاد الأوروبي أو المنطقة الاقتصادية الأوروبية لم تعترف به المفوضية الأوروبية على أنه ملائم وفقًا للمادة 45 من اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (“بلد ثالث”)؛ و(2) في حالة تطبيق اللائحة العامة لحماية البيانات في المملكة المتحدة، نقل البيانات الشخصية من المملكة المتحدة إلى بلد آخر لا يستند إلى لوائح الكفاية وفقًا للمادة 45 من اللائحة العامة لحماية البيانات في المملكة المتحدة;

g. “قرار الملاءمة” يعني قرارًا رسميًا صادرًا عن الاتحاد الأوروبي أو المملكة المتحدة يعترف بأن بلدًا أو إقليمًا أو قطاعًا أو منظمة دولية أخرى توفر مستوى حماية للبيانات الشخصية مكافئًا لما يوفره الاتحاد الأوروبي أو المملكة المتحدة;

h. تعني “البنود التعاقدية القياسية” أو “البنود التعاقديةالموحدة” البنود التعاقدية التي اعتمدتها المفوضية الأوروبية في قرارها التنفيذي للمفوضية (الاتحاد الأوروبي) 2021/914 المؤرخ 4 يونيو 2021 بشأن البنود التعاقدية الموحدة لنقل البيانات الشخصية إلى دول ثالثة وفقًا للائحة (الاتحاد الأوروبي) 2016/679 للبرلمان الأوروبي والمجلس الأوروبي (متاح على الرابط: https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en);

i. تعني “البنود التعاقدية الموحدة داخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية” أو “البنود التعاقديةالموحدةداخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية” البنود التعاقدية التي اعتمدتها المفوضية الأوروبية في قرار المفوضية (الاتحاد الأوروبي) 2021/915 المؤرخ 4 يونيو 2021 بشأن البنود التعاقدية الموحدة بين وحدات التحكم والمعالجات بموجب المادة 28 (7) من اللائحة (الاتحاد الأوروبي) 2016/679 الصادرة عن البرلمان الأوروبي والمجلس الأوروبي والمادة 29 (7) من اللائحة (الاتحاد الأوروبي) 2018/1725 الصادرة عن البرلمان الأوروبي والمجلس الأوروبي (متاح على الرابط: https://commission.europa.eu/publications/standard-contractual-clauses-controllers-and-processors-eueea_en);

j. “اتفاقية النقل الدولي للبيانات” أو “IDTA” تعني الاتفاقية الصادرة عن مفوض المعلومات للأطراف التي تجري عمليات نقل مقيدة بموجب اللائحة العامة لحماية البيانات في المملكة المتحدة (متاحة على الرابط: https://ico.org.uk/media/for-organisations/documents/4019538/international-data-transfer-agreement.pdf);

k. “المعالج الفرعي” يعني أي معالج تابع لجهة خارجية يستعين به المعالج لمعالجة أي بيانات شخصية نيابةً عنه فيما يتعلق بالتكنولوجيا أو الخدمات المقدمة إلى وحدة التحكم.

المادة 2

علاقة الأطراف

1. سيعالج المعالج، كما هو محدد في الملحق الأول من ملحق ملحق حماية البيانات الشخصية هذا، البيانات الشخصية نيابةً عن المراقب، كما هو موضح في الملحق الثاني من ملحق حماية البيانات الشخصية هذا. حيث Microblink Ltd. (الطابق السادس، 9 أبولد ستريت، لندن، المملكة المتحدة، EC2A 2AP) أو Microblink الولايات المتحدة (10 Grand Street, STE 2400, Brooklyn, NY 11249) هي الموقعة على الاتفاقية والمعالج، فإن شركة Microblink LLC (Trg Drage Iblera 10, 10000، زغرب، جمهورية كرواتيا) ستعتبر شركة تابعة ومعالجًا فرعيًا.

2. يجب على كل طرف الامتثال للالتزامات التي تنطبق عليه بموجب قانون حماية البيانات المعمول به.

المادة 3

التسلسل الهرمي

1. في حالة وجود تعارض بين هذا الاتفاق وأحكام الاتفاقات ذات الصلة بين الطرفين القائمة وقت الاتفاق على هذا الاتفاق أو التي تم إبرامها بعد ذلك، تسود أحكام هذا الاتفاق.

2. حيثما ينطبق ذلك، فإن أحكام اتفاقيةCCSCCs أو اتفاقية المسؤولية المدنية بين الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية أو اتفاقية التجارة الدولية في التجارة الدولية ستكمل اتفاقية الدوحة للمبيعات. في حالة وجود تعارض بين هذا الاتفاق السياسي DPA هذا والاتفاقيات التجارية قصيرة الأجل أو الاتفاقيات التجارية الموحدة بين الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية أو اتفاقية التجارة الدولية بين دول الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية أو اتفاقية التجارة الدولية بين دول الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية.

3. في حالة وجود أي تعارض أو عدم اتساق بين هذا الاتفاق أو الاتفاقية، تسود أحكام الوثائق التالية (حسب ترتيب الأسبقية): (أ) حيثما ينطبق ذلك، اتفاقية البيع بالتجزئة أو اتفاقية البيع بالتجزئة بين الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية أو اتفاقية التجارة الدولية؛ ثم (ب) هذا الاتفاق؛ ثم (ج) متن الاتفاقية. باستثناء التغييرات التي تم إجراؤها بموجب هذا الاتفاقية، تظل الاتفاقية دون تغيير وبكامل قوتها وسريانها.

4. ينطبق قانون حماية البيانات الشخصية هذا على معالجة البيانات الشخصية على النحو المحدد في الملحق الثاني.

5. تعتبر المرفقات من الأول إلى الرابع جزءاً لا يتجزأ من هذا الاتفاق.

المادة 4

معالجة البيانات الشخصية بموجب النظام الأوروبي العام لحماية البيانات (GDPR)

1. عندما يكون الطرفان خاضعين للائحة العامة لحماية البيانات في الاتحاد الأوروبي ولا يتم نقل البيانات الشخصية خارج الاتحاد الأوروبي أو المنطقة الاقتصادية أو البلدان التي لا تتمتع بقرارات الكفاية بموجب المادة 45 من اللائحة العامة لحماية البيانات في الاتحاد الأوروبي، تُطبق اتفاقية حماية البيانات الشخصية داخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية مكتملة على النحو التالي

أ. حيثما يوجد خيار لاختيار لائحة تنظيمية، تطبق لائحة (الاتحاد الأوروبي) 2016/679;

ب. يطبق البند 5 الاختياري (شرط الإرساء);

ج. في البند 7-7. الخيار 2: يطبق الإذن الكتابي العام بفترة زمنية محددة بثلاثين يوماً;

d. يُعتبر الملحق الأول من الملحق الأول من الملحق الأول من اتفاقية المسؤولية الاجتماعية للشركات داخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية مستكملاً بالمعلومات الواردة في الملحق الأول من هذا الملحق;

e. يُعتبر الملحق الثاني من الملحق الثاني من الملحق الثاني من اتفاقية المسؤولية الموحدة داخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية مستكملاً بالمعلومات الواردة في الملحق الثاني من هذا الملحق;

f. يُعتبر الملحق الثالث من الملحق الثالث من الملحق الثالث من اتفاقية المسؤولية المدنية داخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية مستكملاً بالمعلومات الواردة في الملحق الثالث من هذا الملحق؛

g. يُعتبر الملحق الرابع من الملحق الرابع من الملحق الرابع من اتفاقية المسؤولية الاجتماعية للشركات داخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية مستكملاً بالمعلومات الواردة في الملحق الرابع من هذا الملحق.

المادة 5

المعالجة بموجب اللائحة العامة لحماية البيانات في المملكة المتحدة

فيما يتعلق بعمليات نقل البيانات الشخصية المحمية بموجب اللائحة العامة لحماية البيانات في المملكة المتحدة، سيتم تطبيق اتفاقية حماية البيانات الشخصية داخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية مع التعديلات التالية:

أ. حيثما كان هناك خيار لاختيار لائحة تنظيمية، يتم تطبيق اللائحة العامة لحماية البيانات في المملكة المتحدة;

ب. يُستعاض عن الإشارات إلى “الاتحاد الأوروبي” و”الاتحاد” و”الدولة العضو” و”قانون الدولة العضو” بإشارات إلى “المملكة المتحدة” أو “القانون المحلي”;

ج. يستعاض عن الإشارة إلى “المحاكم المختصة” بالإشارة إلى “المحاكم المختصة في المملكة المتحدة”;

د. يطبق البند 5 الاختياري (شرط الإرساء);

هـ. في البند 7-7. الخيار 2: يطبق الإذن الكتابي العام مع فترة زمنية محددة بثلاثين يوماً;

f. يُعتبر الملحق الأول من الملحق الأول من الملحق الأول من اتفاقية المسؤولية الاجتماعية للشركات داخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية مستكملاً بالمعلومات الواردة في الملحق الأول من هذا الملحق;

g. يُعتبر الملحق الثاني من الملحق الثاني من الملحق الثاني من اتفاقية المسؤولية الاجتماعية للشركات داخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية مستكملاً بالمعلومات الواردة في الملحق الثاني من هذا الملحق;

h. يُعتبر الملحق الثالث من الملحق الثالث من اتفاقية السلع والخدمات داخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية مستكملاً بالمعلومات الواردة في الملحق الثالث من هذا الملحق؛

i. يُعتبر الملحق الرابع من الملحق الرابع من الملحق الرابع من اتفاقية المسؤولية الاجتماعية للشركات داخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية مستكملاً بالمعلومات الواردة في الملحق الرابع من هذا الملحق.

المادة 6

التحويلات الدولية

6.1. عمليات النقل المقيدة بموجب اللائحة العامة لحماية البيانات العامة للاتحاد الأوروبي

1. عندما يُعتبر نقل البيانات الشخصية نقلًا مقيّدًا ويتطلب النظام الأوروبي العام لحماية البيانات العامة وضع ضمانات مناسبة، يجب أن يخضع هذا النقل إلى اتفاقية المسؤولية الاجتماعية للشركات التي يجب أن تُدرج بالإشارة وتشكل جزءًا لا يتجزأ من هذا الاتفاق. يجب تحديد الوحدة القابلة للتطبيق من SCCs اعتمادًا على موقع المراقب والمعالج، وأدوارهم كمصدر للبيانات ومستورد للبيانات فيما يتعلق بالبيانات الشخصية المعالجة.

2. فيما يتعلق بالبيانات الشخصية المحمية بموجب اللائحة العامة لحماية البيانات في الاتحاد الأوروبي، عندما يكون المعالج موجودًا في الاتحاد الأوروبي ويعمل كمصدر للبيانات ويكون المراقب الذي يعمل كمستورد للبيانات موجودًا في بلد ثالث، تطبق الوحدة الرابعة من النظام الأساسي للمركزية على النحو التالي:

أ. يطبق البند الاختياري 7 (شرط الإرساء);

b. في البند 9، الخيار 2: في البند 9، الخيار 2: يطبق التفويض الكتابي العام بفترة زمنية محددة بثلاثين يوماً;

c. في البند 11، لا يسري شرط الخيار;

d. في البند 17، يكون القانون الحاكم هو قانون جمهورية كرواتيا;

e. في البند 18، لحل المنازعات الناشئة عن هذه البنود يتم حلها من قبل محاكم جمهورية كرواتيا;

f. يُعتبر الملحق الأول (أ) و(ب) من الملحق الأول (أ) و(ب) من اتفاقية الاتحاد الأوروبي الخاصة بالبيانات الشخصية للاتحاد الأوروبي مستكملاً بالمعلومات الواردة في الملحق الأول والثاني من هذا الملحق، أما الملحق الأول (ج) فتكون الوكالة الكرواتية لحماية البيانات الشخصية هي السلطة الإشرافية المختصة;

g. يُعتبر الملحق الثاني من الملحق الثاني من اتفاقية الاتحاد الأوروبي للاتفاقيات التجارية الموحدة مستكملاً بالمعلومات الواردة في الملحق الثالث من هذا الملحق؛

h. يُعتبر الملحق الثالث من الملحق الثالث من الملحق الثالث من اتفاقية المسؤولية الاجتماعية للشركات في الاتحاد الأوروبي مستكملاً بالمعلومات الواردة في الملحق الرابع من هذا الملحق.

6.2. عمليات النقل الدولية بموجب اللائحة العامة لحماية البيانات العامة في المملكة المتحدة

1. في حالة انطباق اللائحة العامة لحماية البيانات في المملكة المتحدة على المعالجة، وحيثما يبادر المعالج ويوافق على نقل البيانات الشخصية إلى معالج فرعي خارج المملكة المتحدة أو إلى بلد ليس لديه قرار كفاية، سيوقع المعالج اتفاقية نقل بيانات دولية مع هذا المعالج الفرعي وسيمتثل لقواعد النقل.

2. عندما تنطبق اللائحة العامة لحماية البيانات في المملكة المتحدة على المراقب، يظل المراقب مسؤولاً عن جميع عمليات نقل البيانات الشخصية التي يبدأها أو يوافق عليها.

3. فيما يتعلق بعمليات نقل البيانات الشخصية المحمية بموجب اللائحة العامة لحماية البيانات في المملكة المتحدة، يقر الطرفان بأن النقل الذي يعيد فيه المعالج البيانات الشخصية المعالجة إلى المراقب، شريطة أن يكون قد بدأه المراقب ووافق عليه، لا يعتبر نقلًا مقيدًا بموجب اللائحة العامة لحماية البيانات في المملكة المتحدة.

6.3. عمليات النقل إلى الأمام

1. يجب ألا يشارك المعالج في (ولا يسمح لأي معالج فرعي بالمشاركة في) أي عمليات نقل مقيدة أخرى للبيانات الشخصية (سواء كمصدر أو مستورد للبيانات الشخصية) ما لم يتم النقل المقيد وفقًا لقانون حماية البيانات المعمول به وأحكام هذا الملحق (DPA).

2. قد تتضمن هذه التدابير (على سبيل المثال لا الحصر) نقل البيانات الشخصية إلى مستلم في بلد قررت المفوضية الأوروبية أنه يوفر حماية كافية للبيانات الشخصية، أو إلى مستلم حصل على ترخيص قواعد الشركات الملزمة وفقًا لقانون حماية البيانات المعمول به، أو وفقًا لاتفاقيات SCCS المطبقة بين المصدر والمستورد ذي الصلة للبيانات الشخصية.

القسم الثاني – التزامات الأطراف

المادة 7

وصف المعالجة (المعالجات)

يتم تحديد تفاصيل عمليات المعالجة، ولا سيما فئات البيانات الشخصية وأغراض المعالجة التي تتم معالجة البيانات الشخصية من أجلها نيابةً عن المراقب، في الملحق الثاني.

البند 8

التزامات الأطراف

8.1. التعليمات

1. لا يجب على المعالج معالجة البيانات الشخصية إلا بناءً على تعليمات موثقة من المراقب، ما لم يكن ذلك مطلوبًا بموجب المتطلبات القانونية المعمول بها التي يخضع لها المعالج. في هذه الحالة، يجب على المعالج إبلاغ المراقب بهذا الشرط القانوني قبل المعالجة، ما لم يحظر القانون ذلك لأسباب مهمة تتعلق بالمصلحة العامة. يجوز أيضًا إعطاء تعليمات لاحقة من قبل المراقب طوال مدة معالجة البيانات الشخصية. يجب توثيق هذه التعليمات دائمًا.

2. يجب على المعالج إبلاغ المراقب على الفور إذا رأى المعالج أن التعليمات الصادرة عن المراقب تنتهك أحكام قانون حماية البيانات المعمول به.

8.2. تحديد الغرض

يجب على المعالج معالجة البيانات الشخصية، وفقًا لتعليمات المراقب المالي الموثقة، فقط للغرض (الأغراض) المحددة للمعالجة، على النحو المبين في الملحق الثاني، ما لم يتلق تعليمات أخرى من المراقب المالي أو إذا تم التوقيع على وثائق معالجة بيانات إضافية بين الطرفين.

8.3. مدة معالجة البيانات الشخصية

تتم المعالجة بواسطة المعالج فقط للمدة المحددة في الملحق الثاني.

8.4. أمان المعالجة

1. يجب على المعالج على الأقل تنفيذ التدابير التقنية والتنظيمية المحددة في الملحق الثالث لضمان أمن البيانات الشخصية. ويشمل ذلك حماية البيانات من أي خرق للأمن يؤدي إلى التدمير العرضي أو غير القانوني أو الفقدان أو التغيير أو الإفصاح غير المصرح به أو الوصول إلى البيانات (خرق البيانات الشخصية). عند تقييم المستوى المناسب للأمن، يجب على الأطراف أن تأخذ في الاعتبار على النحو الواجب أحدث ما توصلت إليه التكنولوجيا وتكاليف التنفيذ وطبيعة ونطاق وسياق وأغراض المعالجة والمخاطر التي ينطوي عليها ذلك بالنسبة لأصحاب البيانات.

2. لا يمنح القائم بالمعالجة إمكانية الوصول إلى البيانات الشخصية قيد المعالجة لأفراد من موظفيه إلا بالقدر الضروري للغاية لتنفيذ العقد وإدارته ومراقبته. يجب على المعالج التأكد من أن الأشخاص المصرح لهم بمعالجة البيانات الشخصية التي يتلقونها قد التزموا بالسرية أو أنهم يخضعون لالتزام قانوني مناسب بالسرية. يجب على المعالج التأكد من أن جميع الأشخاص المصرح لهم بمعالجة البيانات الشخصية فقط عند الضرورة للغرض المسموح به.

8.5. البيانات الحساسة

إذا كانت المعالجة تنطوي على بيانات شخصية تكشف عن الأصل العرقي أو الإثني أو الآراء السياسية أو المعتقدات الدينية أو الفلسفية أو العضوية النقابية، أو البيانات الوراثية أو البيانات البيومترية لغرض تحديد هوية الشخص الطبيعي بشكل فريد، أو البيانات المتعلقة بالصحة أو الحياة الجنسية أو التوجه الجنسي للشخص، أو البيانات المتعلقة بالإدانات الجنائية والجرائم (“البيانات الحساسة”)، يجب على الأطراف تحديث فئات البيانات الشخصية المعالجة في الملحق الثاني ويجب على المعالج تطبيق قيود محددة و/أو ضمانات إضافية.

8.6. التوثيق والامتثال

1. يجب أن يكون الطرفان قادرين على إثبات الامتثال لاتفاق الدوحة للسلامة هذا.

2. يجب على المعالج الاحتفاظ بسجلات لأنشطة المعالجة التي تتم بموجب هذا الملحق (DPA) تتضمن فئات الأشخاص المعنيين بالمعالجة وفئات البيانات الشخصية التي تمت معالجتها، وطبيعة المعالجة ومدتها والغرض منها، وقائمة التدابير التقنية والتنظيمية، وتقييم أثر حماية البيانات.

3. يجب على المعالج التعامل بشكل سريع وكافٍ مع استفسارات المراقب بشأن معالجة البيانات وفقًا لاتفاق حماية البيانات هذا.

4. يجب على المعالج أن يوفر للمراقب جميع المعلومات اللازمة لإثبات الامتثال للالتزامات المنصوص عليها في هذا الملحق (DPA) والنابعة مباشرةً من قانون حماية البيانات المعمول به. وبناءً على طلب المراقب، يجب على المعالج أيضًا أن يسمح ويساهم في عمليات تدقيق أنشطة المعالجة التي يغطيها هذا الاتفاق، على فترات زمنية معقولة أو إذا كانت هناك مؤشرات على عدم الامتثال. عند اتخاذ قرار بشأن المراجعة أو التدقيق، يجب على المراقب أن يأخذ في الاعتبار الشهادات ذات الصلة التي يحملها المعالج.

5. ويجوز للمراقب المالي أن يختار إجراء المراجعة بنفسه أو أن يكلف مراجع حسابات مستقل. ويجوز أن تشمل عمليات التدقيق أيضا إجراء عمليات تفتيش في أماكن العمل أو المرافق المادية للمجهِّز ويجب أن تتم، عند الاقتضاء، بإشعار معقول، قبل 30 يوما على الأقل.

6. يتيح الطرفان المعلومات المشار إليها في هذه المادة، بما في ذلك نتائج أي عمليات تدقيق، للسلطة/الهيئات الإشرافية المختصة عند الطلب.

8.7. استخدام المعالجات الفرعية

1. يحصل المعالج على تفويض عام من المراقب المالي لإشراك المعالجات الفرعية من قائمة متفق عليها. يجب على المعالج إبلاغ المراقب كتابيًا على وجه التحديد بأي تغييرات مزمع إجراؤها على تلك القائمة من خلال إضافة أو استبدال المعالجات الفرعية قبل 30 يومًا على الأقل، مما يمنح المراقب وقتًا كافيًا ليتمكن من الاعتراض على هذه التغييرات قبل إشراك المعالج الفرعي المعني (المعالجين الفرعيين المعنيين). يجب على المعالج تزويد المراقب بالمعلومات اللازمة لتمكين المراقب من ممارسة الحق في الاعتراض.

2. عندما يقوم المعالج بالتعاقد مع معالج فرعي لتنفيذ أنشطة معالجة محددة (نيابةً عن المراقب المالي)، فإنه يجب أن يقوم بذلك عن طريق عقد يفرض على المعالج الفرعي، من حيث الجوهر، نفس التزامات حماية البيانات المفروضة على المعالج وفقًا لهذه البنود. يجب على المعالج أن يضمن امتثال المعالج الفرعي للالتزامات التي يخضع لها المعالج وفقًا لملحق حماية البيانات هذا ولقانون حماية البيانات المعمول به.

3. وبناءً على طلب المراقب المالي، يجب على المعالج تقديم نسخة من اتفاق المعالج الفرعي هذا وأي تعديلات لاحقة إلى المراقب المالي. ويجوز للمعالج، بالقدر اللازم لحماية سر العمل أو المعلومات السرية الأخرى، بما في ذلك البيانات الشخصية، أن يقوم المعالج بتنقيح نص الاتفاقية قبل مشاركة النسخة.

4. يظل المعالج مسؤولاً مسؤولية كاملة أمام المراقب المالي عن أداء المعالج الفرعي لالتزاماته وفقاً للعقد المبرم بينه وبين المعالج. ويجب على المعالج إخطار المراقب بأي إخفاق من جانب المعالج الفرعي في الوفاء بالتزاماته التعاقدية.

5. يجب أن يتفق المعالج على شرط الطرف الثالث المستفيد مع المعالج الفرعي الذي يحق للمراقب – في حالة اختفاء المعالج فعليًا أو لم يعد موجودًا في القانون أو أصبح معسرًا – أن يكون للمراقب الحق في إنهاء عقد المعالج الفرعي وإصدار تعليمات إلى المعالج الفرعي بمحو البيانات الشخصية أو إعادتها.

8.8. إخطارات إلى المراقب المالي

1. بالإضافة إلى الإخطارات الأخرى المتوخاة في ملحق حماية البيانات هذا، سيقوم المعالج بإبلاغ المراقب، دون تأخير لا مبرر له، ولكن ليس أكثر من خمسة أيام عمل، إذا علم المعالج بما يلي

a. أي عدم امتثال من قبل المعالج أو موظفيه للالتزامات بموجب هذا الملحق أو متطلبات قانون حماية البيانات المعمول به فيما يتعلق بحماية البيانات الشخصية التي تتم معالجتها بموجب هذا الملحق;

b. أي طلب ملزم قانونًا للإفصاح عن البيانات الشخصية من قبل سلطة إنفاذ القانون مثل المحاكم أو الهيئات القضائية أو السلطات الإدارية، ما لم يكن المعالج ممنوعًا بموجب القانون إبلاغ المراقب (على سبيل المثال للحفاظ على سرية التحقيق من قبل سلطات إنفاذ القانون). يجب أن يكون المعالج قادرًا على تقديم معلومات عن الكشف المحتمل الملزم قانونًا عن البيانات الشخصية;

c. أي إشعار أو استفسار أو تحقيق من قبل سلطة إشرافية فيما يتعلق بالبيانات الشخصية التي يشاركها المراقب؛ أو

d. أي شكوى أو طلب يتم استلامه مباشرةً من أصحاب البيانات من المراقب. لن يستجيب المعالج بشكل جوهري لأي طلب من هذا القبيل دون إذن كتابي مسبق من المراقب.

3. قبل إجراء أي إفصاح عن البيانات الشخصية أو تقديم أي معلومات أخرى تتعلق بالبيانات الشخصية، يجب على المعالج التشاور مع المراقب إلا في الحالات الموضحة في البند 1 (ب) من هذه المادة.

8.9. الخصوصية حسب التصميم والافتراض

يجب أن يدمج المعالج اعتبارات الخصوصية في أنشطة المعالجة الخاصة به منذ البداية، بما في ذلك تصميم أنظمته وتطبيقاته وخدماته وتطويرها وتنفيذها وصيانتها المستمرة. يجب أن تعطي الإعدادات الافتراضية للمعالج للأنظمة والتطبيقات والخدمات الأولوية لأعلى مستوى من حماية الخصوصية، مما يحد من معالجة البيانات الشخصية بشكل افتراضي. يجب على المعالج توفير آليات تسمح للمراقب وأصحاب البيانات بإدارة تفضيلات الخصوصية الخاصة بهم وممارسة حقوقهم بسهولة.

المادة 9

مساعدة المراقب المالي

1. يجب على المعالج مساعدة المراقب في الوفاء بالتزاماته في الاستجابة لطلبات أصحاب البيانات لممارسة حقوقهم، مع مراعاة طبيعة المعالجة.

2. يجب على القائم بالمعالجة مساعدة المراقب المالي في الوفاء بالتزاماته بالرد على طلبات أصحاب البيانات لممارسة حقوقهم، مع مراعاة طبيعة المعالجة. عند الوفاء بالتزاماته وفقًا للمادتين (1) و(2)، يجب على المعالج الامتثال لتعليمات المراقب المالي.

3. بالإضافة إلى التزام المعالج بمساعدة المراقب المالي عملاً بالبند 9.2، يجب على المعالج كذلك مساعدة المراقب المالي في ضمان الامتثال للالتزامات التالية، مع مراعاة طبيعة معالجة البيانات والمعلومات المتاحة للمعالج:

أ. الالتزام بإجراء تقييم لأثر عمليات المعالجة المتوخاة على حماية البيانات الشخصية (“تقييم أثر حماية البيانات”)، حيثما يُحتمل أن يؤدي نوع المعالجة إلى مخاطر كبيرة على حقوق وحريات الأشخاص الطبيعيين. يجب على المعالج تقديم المساعدة للمراقب لتمكينه من إجراء تقييم أثر حماية البيانات. عند تقديم المساعدة، يجوز للمعالج تنقيح المعلومات بالقدر اللازم لحماية سر العمل أو المعلومات السرية الأخرى;

ب. الالتزام بالتشاور مع السلطة/الهيئات الإشرافية المختصة قبل المعالجة عندما يشير تقييم أثر حماية البيانات إلى أن المعالجة ستؤدي إلى مخاطر عالية في حالة عدم اتخاذ المراقب تدابير للتخفيف من المخاطر;

ج. الالتزام بضمان دقة البيانات الشخصية وتحديثها، من خلال إبلاغ المراقب دون تأخير إذا علم المُعالِج بأن البيانات الشخصية التي يعالجها غير دقيقة أو أصبحت قديمة;

د. التزامات تنفيذ التدابير التقنية والتنظيمية المناسبة والحفاظ عليها لضمان مستوى من أمن البيانات الشخصية يتناسب مع المخاطر. يجب أن تراعي هذه التدابير أحدث ما توصلت إليه التكنولوجيا وتكاليف التنفيذ وطبيعة المعالجة ونطاقها وسياقها وأغراضها بالإضافة إلى المخاطر المتفاوتة الاحتمالية والشدة على حقوق وحريات الأشخاص الطبيعيين وتشمل حسب الاقتضاء:

ط. إخفاء الأسماء المستعارة للبيانات الشخصية وتشفيرها;

ب. القدرة على ضمان السرية والسلامة والتوافر والمرونة المستمرة لأنظمة وخدمات المعالجة;

ج. القدرة على استعادة توافر البيانات الشخصية والوصول إليها في الوقت المناسب في حالة وقوع حادث مادي أو تقني;

رابعا: عملية اختبار وتقييم وتقدير وتقييم فعالية التدابير التقنية والتنظيمية لضمان أمن المعالجة بانتظام.

4. يحدد الطرفان التدابير التقنية والتنظيمية المناسبة في المرفق الثالث التي يتعين على المعالج بموجبها مساعدة المراقب في تطبيق هذه المادة وكذلك نطاق ومدى المساعدة المطلوبة. يقر المراقب بأن التدابير الأمنية تخضع للتقدم والتطوير التقني وأنه يجوز للمعالج تحديث أو تعديل التدابير الأمنية من وقت لآخر، شريطة ألا تؤدي هذه التحديثات والتعديلات إلى إضعاف أو تقليل الأمن العام للمعالجة.

البند 10

الإخطار بخرق البيانات الشخصية

في حالة حدوث خرق للبيانات الشخصية، يجب أن يتعاون المعالج مع المراقب المالي ويساعده على امتثال المراقب المالي لالتزاماته بموجب قانون حماية البيانات المعمول به، حيثما ينطبق ذلك، مع مراعاة طبيعة المعالجة والمعلومات المتاحة للمعالج.

10.1. خرق البيانات المتعلقة بالبيانات التي يعالجها المراقب المالي

في حالة حدوث خرق للبيانات الشخصية المتعلقة بالبيانات التي تتم معالجتها من قِبل المراقب، يجب على المعالج مساعدة المراقب:

أ. في إبلاغ السلطة/الهيئات الإشرافية المختصة بخرق البيانات الشخصية، دون تأخير لا مبرر له بعد أن يصبح المراقب على علم به، حيثما كان ذلك مناسبًا (ما لم يكن من غير المحتمل أن يؤدي خرق البيانات الشخصية إلى خطر على حقوق وحريات الأشخاص الطبيعيين);

ب. في الحصول على المعلومات التالية التي يجب أن تُذكر في إخطار المراقب المالي، ويجب أن تتضمن على الأقل:

ط. طبيعة البيانات الشخصية بما في ذلك، حيثما أمكن، الفئات والعدد التقريبي لأصحاب البيانات المعنيين والفئات والعدد التقريبي لسجلات البيانات الشخصية المعنية;

ب. العواقب المحتملة لخرق البيانات الشخصية;

ج. التدابير المتخذة أو المقترح اتخاذها من قبل المراقب لمعالجة خرق البيانات الشخصية، بما في ذلك، عند الاقتضاء، تدابير التخفيف من آثاره السلبية المحتملة.

وحيثما يتعذر تقديم جميع هذه المعلومات في نفس الوقت، وبقدر ما يكون من غير الممكن تقديم جميع هذه المعلومات في نفس الوقت، يجب أن يتضمن الإخطار الأولي المعلومات المتاحة في ذلك الوقت، على أن يتم تقديم معلومات إضافية لاحقًا عندما تصبح متاحة دون تأخير لا مبرر له.

ج. في الامتثال للالتزام بالإبلاغ دون تأخير لا مبرر له عن خرق البيانات الشخصية لصاحب البيانات، عندما يُحتمل أن يؤدي خرق البيانات الشخصية إلى خطر كبير على حقوق وحريات الأشخاص الطبيعيين.

10.2. خرق البيانات المتعلقة بالبيانات التي يعالجها المعالج

1. في حالة حدوث خرق للبيانات الشخصية المتعلقة بالبيانات التي يعالجها المعالج، يجب على المعالج إخطار المراقب دون تأخير لا مبرر له بعد أن يصبح المعالج على علم بالخرق. ويجب أن يتضمن هذا الإخطار، على الأقل:

أ. وصفًا لطبيعة الخرق (بما في ذلك، حيثما أمكن، الفئات والعدد التقريبي لأصحاب البيانات وسجلات البيانات المعنية);

ب. تفاصيل نقطة الاتصال حيث يمكن الحصول على مزيد من المعلومات المتعلقة بخرق البيانات الشخصية;

ج. عواقبه المحتملة والتدابير المتخذة أو المقترح اتخاذها لمعالجة الانتهاك، بما في ذلك التخفيف من آثاره السلبية المحتملة.

وحيثما يتعذر تقديم جميع هذه المعلومات في نفس الوقت، وبقدر ما يكون من غير الممكن تقديم جميع هذه المعلومات في نفس الوقت، يجب أن يتضمن الإخطار الأولي المعلومات المتاحة في ذلك الوقت، على أن يتم تقديم معلومات إضافية لاحقًا عندما تصبح متاحة دون تأخير لا مبرر له.

2. يحدد الطرفان في الملحق الثالث جميع العناصر الأخرى التي يتعين على المعالج تقديمها عند مساعدة المراقب في الامتثال لالتزامات المراقب بموجب المادتين 33 و34 من اللائحة (الاتحاد الأوروبي) 2016/679.

القسم الثالث – أحكام ختامية

المادة 11

عدم الامتثال لاتفاقية حماية البيانات الشخصية هذه وإنهائها

1. دون الإخلال بأي أحكام من أحكام قانون حماية البيانات المعمول به، في حالة إخلال المعالج بالتزاماته بموجب هذا الاتفاق، يجوز للمراقب أن يوعز إلى المعالج بتعليق معالجة البيانات الشخصية إلى أن يمتثل الأخير لهذا الاتفاق أو يتم إنهاء الاتفاقية. يجب على المعالج إبلاغ المراقب على الفور في حالة عدم قدرته على الامتثال لهذا الاتفاق، لأي سبب من الأسباب.

2. يحق للمراقب إنهاء الاتفاقية بقدر ما يتعلق الأمر بمعالجة البيانات الشخصية وفقًا لاتفاق حماية البيانات الشخصية هذا إذا:

أ. إذا تم تعليق معالجة البيانات الشخصية من قبل المعالج من قبل المراقب وفقًا للحكم 1. من هذه المادة، وإذا لم تتم استعادة الامتثال لهذا الاتفاق في غضون فترة زمنية معقولة وفي أي حال في غضون شهر واحد بعد التعليق;

ب. إذا كان المعالج في حالة خرق جوهري أو مستمر لاتفاق حماية البيانات هذا أو التزاماته بموجب قانون حماية البيانات المعمول به;

ج. إخفاق المعالج في الامتثال لقرار ملزم صادر عن محكمة مختصة أو السلطة/السلطات الإشرافية المختصة فيما يتعلق بالتزاماته بموجب هذا الملحق أو قانون حماية البيانات المعمول به.

3. يحق للمعالج إنهاء الاتفاقية بقدر ما يتعلق الأمر بمعالجة البيانات الشخصية بموجب ملحق حماية البيانات الشخصية هذا إذا أصر المراقب، بعد إبلاغه المراقب بأن تعليماته تنتهك المتطلبات القانونية المعمول بها وفقًا للمادة 8.1.2، على الامتثال للتعليمات.

4. بعد إنهاء الاتفاقية، يجب على المعالج، بناءً على اختيار المراقب المالي، حذف جميع البيانات الشخصية التي تمت معالجتها نيابةً عن المراقب المالي والتصديق للمراقب المالي على أنه قام بذلك، أو إعادة جميع البيانات الشخصية إلى المراقب المالي وحذف النسخ الموجودة ما لم يتطلب قانون حماية البيانات المعمول به تخزين البيانات الشخصية. وإلى أن يتم حذف البيانات أو إعادتها، يجب على المعالج الاستمرار في ضمان الامتثال لقانون حماية البيانات الشخصية هذا.

المادة 12

متفرقات

1. يمثل هذا الاتفاق جزءًا لا يتجزأ من الاتفاقية المبرمة بين الطرفين ويصبح ساريًا عندما يوقع الطرفان على الاتفاقية.

2. إذا كان قانون حماية البيانات المعمول به أو اللوائح الأخرى المعمول بها تتطلب من المراقب التوقيع على اتفاقية حماية البيانات أو التوقيع على اتفاقية حماية البيانات الشخصية أو اتفاقية حماية البيانات داخل الاتحاد الأوروبي أو اتفاقية التجارة الدولية المطبقة على معالجة معينة أو نقل مقيد للبيانات الشخصية إلى المعالج كاتفاقية منفصلة، فإن المعالج، بناءً على طلب المراقب، سيقوم بتنفيذ هذه الوثيقة على الفور.

3. يتفق الطرفان على أن يحل اتفاق حماية البيانات هذا محل أي اتفاقية معالجة بيانات قائمة أو وثيقة مماثلة قد يكون الطرفان قد أبرماها سابقًا فيما يتعلق بتكنولوجيا المعالج وخدماته.

4. بصرف النظر عن أي شيء يخالف ذلك في الاتفاقية ودون الإخلال بالقسم 8.2 (“تحديد الغرض”)، يجوز للمعالج إجراء تعديلات دورية على ملحق حماية البيانات هذا حسبما تقتضيه الحاجة للامتثال لقانون حماية البيانات المعمول به ولتحسين مستوى أمان البيانات الشخصية. سيتم نشر التعديلات على ملحق حماية البيانات هذا على المركز القانوني للمعالج (متاح على الرابط: https://mb.wpstaging.uk/dpa-for-the-use-of-microblink-technology-and-support-services/) وسيقوم المعالج بإبلاغ المراقب بأي تغييرات جوهرية على ملحق حماية البيانات هذا كتابيًا.

المرفق الأول: قائمة الأطراف

وحدة التحكم:

الإسم المرخص له

العنوان: كما هو محدد في الاتفاقية المنفذة.

اسم مسؤول الاتصال ومنصبه وتفاصيل الاتصال به: كما هو محدد في الاتفاقية المنفذة.

المعالج:

الاسم: Microblink الكيان كما هو محدد في الاتفاقية المنفذة.

العنوان: كما هو محدد في الاتفاقية المنفذة.

بيانات الاتصال بمسؤول حماية البيانات: privacy@microblink.com.

المرفق الثاني: وصف المعالجة

فئات أصحاب البيانات الذين تتم معالجة بياناتهم الشخصية

الأشخاص الطبيعيون – المستخدمون النهائيون لوحدة التحكم، بما في ذلك، إن أمكن، المستخدمون النهائيون للشركات التابعة لوحدة التحكم.

فئات البيانات الشخصية التي تتم معالجتها

الاسم واللقب، والعنوان، والعنوان، وتاريخ ومكان الميلاد، والجنس، والجنس، والجنسية، والجنسية، وبلد الإقامة، والتوقيع، ورقم جواز السفر، ورقم الضمان الاجتماعي، ورقم رخصة القيادة، ورقم بطاقة الهوية الوطنية أو الحكومية، ورقم بطاقة الهوية الوطنية، ورقم بطاقة الهوية الأخرى، ورقم الهوية الشخصية، وصورة الوجه، ولون العين، والوزن، والطول، وحالة المتبرع بالأعضاء، وفئات أخرى من البيانات الموجودة في وثائق الهوية المنقولة، والبيانات البيومترية (لا تستخدم لتحديد هوية الفرد بشكل لا يمكن إنكاره).

البيانات الحساسة التي تمت معالجتها

لا توجد بيانات حساسة مخصصة للمعالجة. إذا تم نقل أي بيانات حساسة، ستقوم وحدة التحكم بإخطار المعالج وسيقوم المعالج بتطبيق القيود والضمانات اللازمة.

طبيعة المعالجة

تنطبق إذا كانت وحدة التحكم تستخدم خدمة التحقق الخاصة بالمعالج: باستخدام الحل الخاص بوحدة التحكم، يقوم موضوع البيانات بمسح الوجه الأمامي و/أو الخلفي لوثيقة الهوية. يتم إرسال عمليات المسح إلى البنية التحتية السحابية للمعالج على منصة Google Cloud Platform، حيث يتم، باستخدام تقنية المعالج، استخراج البيانات الشخصية من المسح الضوئي، ويتم التحقق من وجود ميزات الأمان و/أو تحليل السمات المادية للمستند الممسوح ضوئيًا. بمجرد اكتمال عملية التحقق، يقوم المعالج بإرجاع استجابة التحقق إلى وحدة التحكم، وبعد انتهاء جلسة التحقق، يتم حذف البيانات الشخصية من البنية الأساسية السحابية للمعالج.

قابل للتطبيق إذا كانت وحدة التحكم تستخدم خدمة الاستخراج الخاصة بالمعالج: باستخدام الحل الخاص بوحدة التحكم، يقوم موضوع البيانات بمسح مستند الهوية من الأمام و/أو الخلف. يتم إرسال عمليات المسح إلى البنية التحتية السحابية للمعالج على منصة Google Cloud Platform، حيث يتم استخراج البيانات الشخصية من المسح باستخدام تقنية المعالج. يقوم المعالج بإرسال نتائج الاستخراج و/أو الصور الممسوحة ضوئيًا إلى وحدة التحكم عند اكتمال عملية الاستخراج، ويتم حذف البيانات الشخصية من البنية الأساسية السحابية للمعالج.

قابل للتطبيق إذا كانت وحدة التحكم تستخدم خدمات دعم المعالج: للنقل الآمن لصور المستندات التي تواجه وحدة التحكم مشكلات بها إلى المعالج، تستخدم وحدة التحكم خدمة التحميل الآمن للصور الخاصة بالمعالج. يقوم المعالج بتحليل المشكلة وفقًا لطلب وحدة التحكم للحصول على الدعم لتقديم خدمات الدعم. واعتماداً على طلب الدعم المقدم من وحدة التحكم، يمكن أن يتضمن تقديم خدمات الدعم تصحيح الأخطاء في نوع مستند مدعوم بالفعل، ودعم إصدار جديد من مستند مدعوم، وتحسين دقة نوع مستند مدعوم بالفعل، إذا كان المنتج لا يعمل. قد يشمل تقديم خدمات الدعم، بناءً على طلب دعم وحدة التحكم، إعادة تدريب النماذج.

الغرض (الأغراض) التي تتم من أجلها معالجة البيانات الشخصية نيابةً عن المراقب

تنطبق إذا كانت وحدة التحكم تستخدم خدمة التحقق الخاصة بالمعالج: الغرض من المعالجة هو التحقق من وجود ميزات الأمان في مستند الهوية وإرجاع رد التحقق إلى وحدة التحكم، وفقًا للاتفاقية.

تنطبق إذا كانت وحدة التحكم تستخدم خدمة الاستخراج الخاصة بالمعالج: الغرض من المعالجة هو استخراج البيانات من مستند الهوية وإرسال نتائج الاستخراج إلى وحدة التحكم، وفقًا للاتفاقية.

تنطبق إذا كانت وحدة التحكم تستخدم خدمات دعم المعالج: الغرض من المعالجة هو توفير خدمات الدعم لوحدة التحكم، وفقًا للاتفاقية.

مدة المعالجة

تنطبق إذا كانت وحدة التحكم تستخدم خدمة التحقق و/أو الاستخراج الخاصة بالمعالج: المعالجة مستمرة (طالما تستخدم وحدة التحكم التقنية أو الخدمات). يحتفظ المعالج بالبيانات المدخلة أثناء جلسات التحقق أو الاستخراج، حسب الاقتضاء، ولكنه لا يخزن البيانات المعالجة، ما لم يتم الاتفاق على فترة احتفاظ مختلفة كتابيًا مع المراقب.

قابل للتطبيق إذا كانت وحدة التحكم تستخدم خدمات دعم المعالج: يحتفظ المعالج بالصور حتى يتم حل المشكلة.

بالنسبة للمعالجة بواسطة المعالجات (الفرعية)، حدد أيضًا موضوع المعالجة وطبيعتها ومدتها

منصة جوجل السحابية – سيتم استخدام البنية التحتية السحابية لشركة Microblink LLC على منصة جوجل السحابية لتشغيل تقنية المعالج. تتم معالجة البيانات الشخصية بشكل مستمر، طالما أن وحدة التحكم تستخدم التقنية.

Microblink شركة ذات مسؤولية محدودة هي كيان مقدم للدعم Microblink وتعمل كمعالج فرعي عندما لا تكون كيانًا موقعًا على العقد. يجب معالجة البيانات على النحو الموضح أعلاه، ويجب تطبيق التدابير الأمنية كما هو موضح في الملحق الثالث.

الملحق الثالث التدابير التقنية والتنظيمية بما في ذلك التدابير التقنية والتنظيمية لضمان أمن البيانات

تدابير ضمان استمرار سرية أنظمة وخدمات المعالجة وسلامتها وتوافرها ومرونتها

لدى المعالج سياسة محددة بشأن التعامل مع البيانات السرية، والتي تحدد تصنيف البيانات والكشف عنها وحمايتها. يُطلب من جميع موظفي المعالج التوقيع على بنود السرية التي تنص على أن الأسرار التجارية والمعلومات السرية يجب أن تظل سرية إلى الأبد وأن يتم تسليمها بعد انتهاء العقد، بينما يعتبر كل خرق لها انتهاكًا خطيرًا. علاوةً على ذلك، سيضمن المعالج أن واجهة برمجة التطبيقات محمية ومراقبة بشكل كافٍ باستخدام جدار حماية تطبيقات الويب وحماية DDoS.

سيقوم المعالج بتطبيق مفهومي “الأقل امتيازاً” و”الحاجة إلى المعرفة” وضمان الفصل بين الواجبات. سيضمن المعالج وجود إجراءات مناسبة لتسجيل المستخدمين الجدد/حقوق الوصول الإضافية وإلغاء تسجيل المستخدمين. سيضمن القائم بالمعالجة مراقبة إدارة الوصول إلى الامتيازات عن كثب واستنادًا إلى مراجعة منتظمة لحقوق الوصول، مع سحب حقوق الوصول إذا لم تعد هناك حاجة إليها.

تدابير ضمان القدرة على استعادة إتاحة البيانات الشخصية والوصول إليها في الوقت المناسب في حالة وقوع حادث مادي أو تقني

فيما يتعلق بموضوع هذه الاتفاقية، سيقوم المعالج بالإبلاغ عن أي حادث (قريب) متعلق بأمن المعلومات في أقرب وقت ممكن ووفقًا للاتفاقية إلى جهة اتصال المراقب بما في ذلك التدابير الوقائية المتخذة للتخفيف من تأثير الحادث، والتدابير الوقائية المقترحة لمنع وقوع الحادث (القريب) في المستقبل وتقدير الأثر المترتب على الحادث. حدد المعالج سياسة بشأن إدارة حوادث أمن المعلومات تحدد الأدوار والمسؤوليات في عملية إدارة الحوادث. تصف السياسة أيضًا تصنيف الحوادث والخطوات التي يجب أن يتخذها فريق الاستجابة للحوادث، مثل تقييم الحوادث واحتوائها والقضاء على التهديدات والتعافي منها والإبلاغ والتعلم من الحوادث. يجب على المعالج ضمان انتشار المعرفة والخبرة لضمان توافر الأشخاص المهرة حتى في حالة وقوع كارثة.

عمليات الاختبار والتقييم والتقييم المنتظم لفعالية التدابير التقنية والتنظيمية من أجل ضمان أمن المعالجة والتدابير اللازمة لضمان المساءلة

وفقًا لتقدير المعالج الكامل، سيتم استكمال عملية التصديق الذاتي الدورية من قبل المعالج لضمان استمرار تطبيق جميع السياسات والإجراءات المتعلقة بالأمن. وعلاوة على ذلك، سيجري المعالج بانتظام تقييمات دورية لنقاط الضعف في الخدمات ذات الصلة من خلال اختبار الاختراق ونقاط الضعف. لدى المعالج سياسات وقواعد وإجراءات داخلية معمول بها لضمان مساءلة الموظفين عن معالجة البيانات الشخصية بمسؤولية. يضمن المعالج إطلاع موظفيه على المتطلبات الأمنية للمعالج والسياسات والتطورات في مجال أمن المعلومات. يتحمل المعالج المسؤولية الكاملة عن سلوك موظفيه.

تدابير ضمان الأمن المادي للمواقع التي تتم فيها معالجة البيانات الشخصية

تشمل تدابير المعالج الفرعي (منصة Google Cloud Platform) لأمن المباني المادية، التي توفر خدمة البنية التحتية السحابية الخاصة، طبقات أمنية مادية متعددة لحماية مراكز البيانات، مثل تحديد الهوية البيومترية، والكشف عن المعادن، والكاميرات، وحواجز المركبات، وأنظمة كشف التسلل المعتمدة على الليزر.(https://www.google.com/about/datacenters/data-security/)

في حالة حدوث معالجة البيانات الشخصية على البنية التحتية للمعالج أو الشركة التابعة للمعالج، سيضمن المعالج أيضًا الأمن المادي الكافي من خلال استخدام الكاميرات وبطاقات الدخول وحراس الأمن.

تدابير ضمان تسجيل الأحداث

يتم تمكين جميع وظائف تسجيل النظام والتطبيقات المتعلقة بالخدمات المقدمة من قبل المعالج ومراجعة أحداث أمن المعلومات بانتظام.

تدابير ضمان تكوين النظام، بما في ذلك التكوين الافتراضي

سيقوم المعالج بتطبيق تقوية النظام على جميع الخدمات التي تواجه الإنترنت من خلال الإدارة المركزية للتهيئة والمسح المنتظم للثغرات ومراجعة التهيئة.

تدابير الحوكمة والإدارة الداخلية لتكنولوجيا المعلومات وأمن تكنولوجيا المعلومات

يحافظ المعالج على نظام فعال لإدارة أمن المعلومات لضمان التنظيم السليم لمسؤوليات أمن المعلومات ويتم إجراء تقييم للمخاطر الأمنية على أساس دوري لضمان تحديد المخاطر الجديدة أو المتغيرة.

يجب على المعالج تخصيص الموارد والموظفين الذين لديهم الخبرة المطلوبة لتنفيذ أي مهمة محددة فيما يتعلق بمسؤولياته الأمنية بموجب هذه الاتفاقية.

سيضمن المعالج وجود حماية مناسبة لجميع الأصول التي تحتوي على بيانات شخصية مقدمة من المراقب في سياق هذه الاتفاقية.

تدابير اعتماد/ضمان العمليات والمنتجات

وفقًا لتقدير المعالج الكامل، سيتم إكمال عملية التصديق الذاتي الدورية من قبل المعالج لضمان استمرار تطبيق جميع السياسات والإجراءات المتعلقة بالأمن.

تدابير تحديد هوية المستخدم وتفويضه

قابل للتطبيق إذا كانت وحدة التحكم تستخدم خدمة التحقق و/أو الاستخراج الخاصة بالمعالج: يتم منح حق الوصول إلى الخدمة للمستخدمين المصرح لهم فقط من خلال بيانات اعتماد العميل الفريدة التي يمكن إبطالها وتجديدها في أي وقت من قبل المتحكم.

تدابير إخفاء الأسماء المستعارة وتشفير البيانات الشخصية وحماية البيانات أثناء الإرسال

قابل للتطبيق إذا كانت وحدة التحكم تستخدم خدمة التحقق و/أو الاستخراج الخاصة بالمعالج: سيستخدم المعالج طرق تشفير قوية مثل TLS (أحدث الإصدارات المدعومة) للبيانات أثناء النقل.

تنطبق إذا كانت وحدة التحكم تستخدم خدمات دعم المعالج: لنقل البيانات الشخصية إلى المعالج بشكل آمن، يجب على وحدة التحكم استخدام خدمة التحميل الآمن للصور الخاصة بالمعالج.

تدابير ضمان تقليل البيانات إلى الحد الأدنى، والاحتفاظ المحدود بالبيانات ومحوها

ينطبق ذلك إذا كانت وحدة التحكم تستخدم خدمة التحقق و/أو الاستخراج الخاصة بالمعالج: لا يقوم المعالج بتخزين البيانات الشخصية بعد إجراء عملية التحقق.

ينطبق ذلك إذا كانت وحدة التحكم تستخدم خدمة دعم المعالج: يجب على المعالج تنفيذ جداول الاحتفاظ بالبيانات وحذف البيانات بشكل لا رجعة فيه وفقًا للجدول الزمني.

تدابير ضمان جودة البيانات

تنطبق إذا كانت وحدة التحكم تستخدم خدمة التحقق و/أو الاستخراج الخاصة بالمعالج: يكون المراقب مسؤولاً عن البيانات التي يتم إرسالها إلى المعالج، بما في ذلك جودتها. سوف يرسل المعالج إلى المراقب البيانات الشخصية المستخرجة من المستندات التي يرسلها المراقب إلى جانب بيانات معلومات التعريف الشخصية (PII) والبيانات الوصفية التي تم كشطها من المستندات.

تنطبق في حالة استخدام المراقب المالي لخدمات الدعم: سيحدد المراقب والمعالج نوعية البيانات التي يجب مشاركتها لحل المشكلة التي أثارها المراقب.

تدابير حماية البيانات أثناء التخزين

قابل للتطبيق إذا كانت وحدة التحكم تستخدم خدمة دعم المعالج: Microblink يستخدم خدمة إدارة المفاتيح لتشفير البيانات في حالة السكون.

تدابير إخفاء الأسماء المستعارة وتشفير البيانات الشخصية وحماية البيانات أثناء الإرسال

قابل للتطبيق إذا كانت وحدة التحكم تستخدم خدمة التحقق و/أو الاستخراج الخاصة بالمعالج: سيستخدم المعالج أساليب تشفير قوية مثل TLS (أحدث الإصدارات المدعومة) للبيانات أثناء النقل.

ينطبق في حالة استخدام المراقب لخدمات دعم المعالج: للنقل الآمن للبيانات الشخصية إلى Microblink ، يجب على المرخص له استخدام Microblink’التحميل الآمن للصور.

بالنسبة لعمليات النقل إلى معالجات (فرعية)، أيضًا وصف التدابير الفنية والتنظيمية المحددة التي يجب أن يتخذها المعالج (الفرعي) ليكون قادرًا على تقديم المساعدة للمراقب المالي

يجب أن يكون لدى المعالج اتفاقيات معالجة بيانات مع معالجين فرعيين لضمان مساعدة المراقب المالي.

وصف التدابير الفنية والتنظيمية المحددة التي يجب أن يتخذها المعالج ليكون قادرًا على تقديم المساعدة للمراقب.

تنطبق إذا كانت وحدة التحكم تستخدم خدمات دعم المعالج: يجب على المراقب أن يتأكد من أن بإمكانه تحديد هوية المستخدمين النهائيين لديه، وفي حالة طلب صاحب البيانات، يجب عليه تسليم معرفاتهم إلى المعالج. يجب على المعالج تقديم المساعدة للمراقب في تنفيذ طلب صاحب البيانات وفقًا لإجراءات حذف البيانات.

المرفق الرابع: قائمة المعالجات الفرعية

أجازت وحدة التحكم استخدام المعالجات الفرعية التالية:

1. الاسم: Microblink شركة ذات مسؤولية محدودة (إذا كان الموقع هو Microblink Ltd. أو Microblink USA LLC)

العنوان: ترغ دراغ إبليرا 10، 10000 زغرب، كرواتيا

اسم مسؤول الاتصال ومنصبه وتفاصيل الاتصال به: إينا أورسيتش، معاون قانوني ومسؤول حماية البيانات

وصف المعالجة: تقديم خدمات الدعم.

2. الاسم: منصة جوجل السحابية

العنوان: كما هو محدد على الرابط التالي.

اسم مسؤول الاتصال ومنصبه وتفاصيل الاتصال به: كما هو محدد على الرابط التالي.

وصف المعالجة: سيتم استخدام منصة المعالج الفرعي لتشغيل تقنية المعالج لمعالجة البيانات الشخصية أثناء جلسة الاستخراج و/أو التحقق. بعد انتهاء الجلسة، لن يتم تخزين البيانات.