اتفاقية معالجة البيانات

Ver 1.0 Last updated: 21 December 2023

Download the Data Processing Agreement PDF

تنزيل

تحدد اتفاقية معالجة البيانات هذه ("DPA ")،اعتبارًا من 21 ديسمبر 2023 بين العميل "العميل" (“البيانات "المراقب"أو"العميل"وإيتون إيتون سوليوشنز، إل بي (“معالج البياناتأوإيتونوتحدد الشروط والأحكام المتعلقة بالخصوصية والسرية والأمان وحماية البيانات الشخصية (كما هو محدد أدناه) المرتبطة بالخدمات المقدمة من قبل، و/أو المنتجات المقدمة من قبل، المعالج إلى المراقب (و/أو الشركات التابعة له) وفقًا لأي اتفاقية بين إيتون والعميل (و/أو الشركات التابعة له)، بغض النظر عما إذا كانت هذه الاتفاقية موجودة اعتبارًا من أو بعد تاريخ السريان (تسمى هذه الاتفاقية حسب الاقتضاء "اتفاقية الخدمات")، والتي، مع هذه الاتفاقية، تشكل "الاتفاقية"). تسري اتفاقية معالجة البيانات هذه ("DPA")، اعتبارًا من 21 ديسمبر 2023 بين العميل ("مراقب البيانات" أو "العميل") وإيتون سوليوشنز، إل بي. ("معالج البيانات" أو "إيتون") تحدد الشروط والأحكام المتعلقة بخصوصية وسرية وأمن وحماية البيانات الشخصية (كما هو محدد أدناه) المرتبطة بالخدمات المقدمة من قبل و/أو المنتجات المقدمة من قبل المعالج إلى المراقب (و/أو الشركات التابعة له) وفقًا لأي اتفاقية بين إيتون والعميل (و/أو الشركات التابعة له)، بغض النظر عما إذا كانت هذه الاتفاقية موجودة اعتبارًا من أو بعد تاريخ السريان (مثل هذه"اتفاقية الخدمات"والتي، جنبًا إلى جنب مع اتفاقية معالجة البيانات هذهالاتفاقية"..

1. التعريفات

."الشركات التابعة"تعني أي كيان يتحكم الآن أو في المستقبل بشكل مباشر أو غير مباشر، أو يخضع لسيطرة أو ملكية مشتركة طالما كانت هذه السيطرة موجودة، حيث تعني "السيطرة" (بما في ذلك المصطلحات "التي يسيطر عليها" و "تحت سيطرة مشتركة مع ") امتلاك، بشكل مباشر أو غير مباشر، القدرة على توجيه أو التأثير أو التسبب في توجيه سياسات الإدارة للكيان، سواء من خلال ملكية الأوراق المالية التصويتية، عن طريق العقد، أو غير ذلك.

."التجميع"يعني الجمع بين المعلومات التي تتعلق بمجموعة أو فئة من الأفراد، والتي تمت إزالة الهويات الفردية منها، والتي لا ترتبط أو يمكن ربطها بشكل معقول بأي فرد أو أسرة، بما في ذلك عبر جهاز.

."إخفاء الهوية"له المعنى المنسوب إليه في اللائحة العامة لحماية البيانات ويجب أن يشمل أيضًا "إلغاء التعريف" على النحو المحدد في قانون خصوصية المستهلك وقانون حماية الحقوق المدنية.

.قانون خصوصية المستهلك في كاليفورنيايعني قانون خصوصية المستهلك في كاليفورنيا لعام 2018 واللوائح التنفيذية الخاصة به.قانون حقوق الخصوصية في كاليفورنيايعني قانون حقوق الخصوصية في كاليفورنيا لعام 2020 واللوائح التنفيذية الخاصة به.

."البيانات الشخصية للعميل"تعني البيانات الشخصية التي تتم معالجتها بواسطة إيتون كمعالج نيابة عن العميل أو الشركة التابعة له وفقًا لاتفاقية الخدمات.

." التعاقدية القياسية من المراقب إلى المعالج " تعنيالبنود البنود التعاقدية القياسية (المعالجات) في ملحق قرار المفوضية الأوروبية بتاريخ 5 فبراير 2010، كما يمكن تعديلها أو استبدالها من وقت لآخر.

 مراقب البيانات” يعني الكيان الذي يحدد أغراض ووسائل معالجة البيانات الشخصية.

معالج البيانات” يعني الكيان الذي يعالج البيانات الشخصية نيابة عن مراقب البيانات.

.قوانين حماية البيانات"تعني - حسبما ينطبق على الأطراف – جميع القوانين واللوائح والأنظمة والتوجيهات والمتطلبات الحكومية المعمول بها حاليًا، وأي تعديلات تطرأ عليها مستقبلاً، والمتعلقة بأي شكل من الأشكال بخصوصية البيانات أو سريتها أو أمنها أو حمايتها. وتشمل هذه القوانين، على سبيل المثال لا الحصر: اللائحة العامة لحماية البيانات (GDPR)، قانون حماية البيانات الشخصية في سنغافورة (PDPA)، قانون خصوصية المستهلك في كاليفورنيا (CCPA)، قانون حقوق الخصوصية في كاليفورنيا (CPRA)

.الفرد المعني البياناتيعني شخصًا طبيعيًا محددًا أو قابلاً للتحديد تتعلق به البيانات الشخصية.

."أوروبا"أو"الاتحاد الأوروبي"تعني المنطقة الاقتصادية الأوروبية بالإضافة إلى سويسرا والمملكة

."اللائحة العامة لحماية البيانات "تعني بشكل جماعي اللائحة العامة لحماية البيانات 2016/679 الصادرة عن البرلمان الأوروبي والمجلس بتاريخ 27 أبريل 2016 بصيغتها المعدلة أو المستبدلة من وقت لآخر، وقانون حماية البيانات في المملكة المتحدة لعام 2018 (" اللائحة العامة لحماية البيانات في المملكة المتحدة "لأنها تشكل جزءًا من قانون الاتحاد الأوروبي المحتفظ به (كما هو محدد في قانون الاتحاد الأوروبي (الانسحاب) لعام 2018)).

."قانون حماية البيانات الشخصية "يعني قانون حماية البيانات الشخصية لعام 2012.

البيانات الشخصية"” " تعني أي بيانات أو معلومات أو سجل تتم معالجته فيما يتعلق باتفاقية الخدمات (1) المتعلقة بشخص طبيعي محدد أو يمكن تحديد هويته، أو (2) التي تحدد أو تتعلق أو تصف أو يمكن ربطها بشكل معقول أو يمكن ربطها بشكل معقول، بشكل مباشر أو غير مباشر، بفرد أو أسرة معينة، بغض النظر عن الوسائط التي يتم الاحتفاظ بها.

.انتهاك البيانات الشخصية"يعني (1) خرق الأمان الذي يؤدي إلى التدمير العرضي أو غير القانوني أو الفقدان أو التغيير أو الكشف غير المصرح به أو الوصول غير المصرح به إلى البيانات الشخصية للعميل التي تتم معالجتها بموجب اتفاقية الخدمات، أو (2) حادث مماثل يتعلق بالبيانات الشخصية للعميل.

العمليـة,” “أو "المعالجة"أو"تمت المعالجة” تعني أي عملية أو مجموعة من العمليات التي يتم إجراؤها على البيانات الشخصية أو على مجموعات من البيانات الشخصية، سواء بوسائل آلية أم لا، مثل الجمع أو التسجيل أو التنظيم أو الهيكلة أو التخزين أو التكيف أو التغيير أو الاسترجاع أو التشاور أو الاستخدام أو الكشف عن طريق الإرسال أو النشر أو الإتاحة أو المحاذاة أو الجمع أو التقييد أو المحو أو التدمير. 

."البيع” يكون له المعنى المنسوب إليه في قانون المنافسة وحماية المستهلك.

حساس شخصي البيانات” يشير إلى المعنى المنسوب إليه في كل من اللائحة العامة لحماية البيانات (GDPR)، وقانون حماية البيانات الشخصية (PDPA)، وقانون خصوصية المستهلك في كاليفورنيا (CCPA).

."البنود التعاقدية القياسية"” أو ."البنود التعاقدية القياسية"تعني، حسب الاقتضاء، البنود التعاقدية القياسية من المراقب إلى المعالج المبرمة بين الطرفين.

."السلطة الإشرافية"تعني الجهة التنظيمية الحكومية أو سلطة الإنفاذ التي لديها سلطة تنظيمية أو إنفاذ فيما يتعلق بخصوصية البيانات الشخصية أو سريتها أو أمنها أو حمايتها.

2. طبيعة معالجة البيانات

2.1 Processing Limitations2.1 قيود المعالجة. تقوم إيتون فقط بمعالجة البيانات الشخصية للعميل والبيانات الشخصية الحساسة وفقًا لجدول المعالجة المنصوص عليه في الملحق 1 (القسم أ)، نيابة عن تعليمات العميل المكتوبة ووفقًا لها على النحو المنصوص عليه في اتفاقية الخدمات أو وفقًا لها. تتعامل إيتون مع البيانات الشخصية للعميل على أنها معلومات سرية وتفرض التزامات السرية على جميع الموظفين الذين يعالجون البيانات الشخصية للعميل. لن تقوم إيتون (1) ببيع البيانات الشخصية للعميل أو البيانات الشخصية الحساسة؛ ولا (2) الاحتفاظ بالبيانات الشخصية للعميل أو استخدامها أو الكشف عنها (أ) لأي غرض آخر غير الأغراض المحددة للأداء بموجب الاتفاقية، أو (ب) خارج علاقة العمل المباشرة بين إيتون والعميل (والشركات التابعة لها).

إذا كان القانون المعمول به يتطلب من إيتون (أو، لتجنب الشك، أي معالج فرعي) إجراء معالجة تتعارض أو يمكن تفسيرها على أنها تتعارض مع تعليمات العميل، ستقوم إيتون بإخطار العميل على الفور بهذا التعارض قبل بدء (أو مواصلة) المعالجة، ما لم يكن الإخطار محظورًا بموجب القانون.

2.2 دور الأطراف.فيما بين إيتون والعميل (والشركات التابعة لها)، يكون العميل (أو الشركة التابعة له) هو مراقب البيانات للبيانات الشخصية للعميل، وتكون إيتون هي معالج البيانات، الذي يعالج البيانات الشخصية للعميل نيابة عن العميل (أو الشركة التابعة له) ولن يكون له حقوق ملكية أو مصلحة في البيانات الشخصية للعميل. يقر الطرفان ويوافقان على أن (1) البيانات الشخصية للعميل، التي يفصح عنها العميل أو الشركة التابعة له إلى إيتون يتم تقديمها إلى إيتون لغرض تجاري، ولا يبيع العميل البيانات الشخصية إلى إيتون فيما يتعلق بالاتفاقية ؛ و(2) خلال الوقت الذي تتم فيه معالجة البيانات الشخصية للعميل والبيانات الشخصية الحساسة من قبل إيتون، لا يكون لدى العميل (أو الشركة التابعة له) أي معرفة أو سبب للاعتقاد بأن إيتون غير قادرة على الامتثال لأحكام اتفاقية معالجة البيانات هذه لإبلاغ العميل (أو الشركة التابعة له) إذا كان غير قادر على تقديم الخدمات.

2.3 إخفاء الهوية أو تجميع البيانات.لا يجوز لشركة إيتون إخفاء هوية البيانات الشخصية للعميل والبيانات الشخصية الحساسة كجزء من أدائها بموجب اتفاقية الخدمات أو لأي غرض آخر، ما لم تحصل على موافقة خطية مسبقة من العميل لمثل هذه الأنشطة. إذا تم تقديم هذه الموافقة من قبل العميل، فلا يمكن تنفيذ إخفاء الهوية أو التجميع، حسب مقتضى الحال، إلا إلى الحد الذي يفي فيه هذا النشاط بالمعيار المعمول به المطلوب بموجب قوانين حماية البيانات المعمول بها. يجوز لشركة إيتون تجميع البيانات الشخصية للعميل والبيانات الحساسة كجزء من أدائها بموجب اتفاقية الخدمات لإظهار إحصاءات أداء البيانات المالية.

3. الامتثال للقانون المعمول به

يجب على الأطراف الامتثال لقوانين حماية البيانات. لا تهدف اتفاقية معالجة البيانات هذه إلى تقليل مستوى الحماية المطبقة على كل موضوع بيانات. إذا كان هناك أي تعارض بين اتفاقية معالجة البيانات واتفاقية الخدمات، تسود شروط اتفاقية معالجة البيانات. إذا كان هناك أي تعارض بين قانون حماية البيانات هذا وقوانين حماية البيانات، فسيتم تطبيق أحكام (أحكام) قوانين حماية البيانات المعمول بها. وفقًا للقسم 5 أدناه، تلتزم إيتون بمعايير ومتطلبات الصناعة التي تنطبق على إيتون وتتعلق بالخصوصية أو السرية أو الأمن أو الحماية أو التخزين الإلكتروني للبيانات الشخصية للعميل. إذا اعتقدت إيتون أن أي تعليمات من العميل تنتهك أو ستؤدي إلى معالجة تنتهك القانون المعمول به، فستقوم إيتون بإخطار العميل على الفور.

4. المعالجات الفرعية

4.1 Appointment of Sub-Processors4.1 تعيين المعالجات الفرعية. لن تتعاقد إيتون من الباطن على أي من حقوقها أو التزاماتها بموجب الاتفاقية دون موافقة خطية مسبقة من العميل. وما لم يتم الاتفاق على خلاف ذلك في اتفاقية الخدمات، يوافق العميل بموجب هذه الاتفاقية على استخدام إيتون للشركات التابعة لها كمعالجات فرعية وأي أطراف ثالثة أخرى كمعالجات فرعية إذا تم تحديد هذه الأطراف الثالثة على وجه التحديد في اتفاقية الخدمات (بما في ذلك أي بيان عمل أو نموذج طلب معمول به). يجب على إيتون تزويد العميل بإشعار كتابي بأي تغييرات مقصودة على المعالجات الفرعية المصرح بها ويجب على العميل إخطار إيتون على الفور كتابيًا بأي اعتراض على هذه التغييرات المعقولة والمتعلقة بحماية البيانات. عندما تقوم إيتون، بموافقة العميل والتي لن يتم حجب هذه الموافقة إلا بسبب اعتراض كما هو موضح أعلاه، بالتعاقد من الباطن على التزاماتها بموجب اتفاقية الخدمات مع معالج فرعي تم اعتباره قادرًا على حماية البيانات الشخصية للعميل، تقوم إيتون بذلك فقط عن طريق اتفاقية مكتوبة مع هذا المعالج الفرعي الذي يفرض التزامات الخصوصية والسرية والأمن وحماية البيانات على المعالج الفرعي على الأقل بما يعادل تلك المنصوص عليها في اتفاقية معالجة البيانات هذه، بما في ذلك الالتزام بفرض هذه الالتزامات على أي معالج فرعي آخر.

4.2 المسؤولية. تظل إيتون مسؤولة تجاه العميل عن (1) التزاماتها بموجب الاتفاقية حتى لو تم تفويض هذه الالتزامات إلى معالج فرعي، بما في ذلك الأداء السليم وفي الوقت المناسب للخدمات، و (2) أفعال أو إغفالات أي شخص أو كيان تفوض إليه إيتون أي التزام من هذا القبيل.

5. الأمن 

5.1 برنامج الأمن. مع الأخذ في الاعتبار أحدث التطورات وتكاليف التنفيذ وطبيعة المعالجة ونطاقها وسياقها وأغراضها، بالإضافة إلى خطر تباين الاحتمالات والشدة لحقوق وحريات أصحاب البيانات، تحافظ إيتون أو تتسبب في الحفاظ على برنامج أمن معلومات معقول ومناسب يتوافق مع قوانين حماية البيانات ومصمم لضمان سرية وسلامة وتوافر ومرونة جميع البيانات الشخصية للعميل بشكل معقول.

5.2 التدابير الأمنيةيجب على إيتون الحفاظ على تدابير أمنية إدارية ومادية وتقنية (بما في ذلك الإلكترونية) وتنظيمية معقولة ومناسبة بما في ذلك، حسب الاقتضاء: (1) التشفير والاسم المستعار؛ (2) القدرة على ضمان السرية المستمرة لنظم وخدمات المعالجة وسلامتها وتوافرها ومرونتها؛ (3) القدرة على استعادة توافر البيانات الشخصية للعميل والوصول إليها في الوقت المناسب في حالة وقوع حادث مادي أو تقني؛ و (4) عملية لاختبار فعالية تلك التدابير وتقييمها وتقييمها بانتظام. تقر إيتون وتضمن أنها قد نفذت التدابير الأمنية الإدارية والمادية والتقنية والتنظيمية الموضحة في الملحق 2 المرفق لحماية البيانات الشخصية للعميل. توافق إيتون على تخزين البيانات الشخصية للعميل وفقًا لاتفاقية الخدمات في الولايات المتحدة وتقر كذلك بأنها لن تجمع البيانات الشخصية مع البيانات الشخصية للشركات التابعة لها.

5.3 الوصول إلى البيانات الشخصية للعميل.تضمن إيتون أن البيانات الشخصية للعميل متاحة فقط لموظفي إيتون الذين لديهم حاجة عمل مشروعة للوصول إلى البيانات الشخصية للعميل، والذين يلتزمون بالتزامات السرية القابلة للتنفيذ قانونًا، والذين تلقوا تدريبًا على سياسات وإجراءات حماية البيانات المعمول بها، والذين سيعالجون البيانات الشخصية للعميل فقط وفقًا لتعليمات العميل. إذا كانت إيتون غير قادرة على المعالجة وفقًا لتعليمات العميل أثناء معالجة البيانات الشخصية للعميل، فستقوم إيتون بإبلاغ العميل على الفور.

5.4 الاستجابة لخرق البيانات الشخصية والإشعار.. تقوم إيتون على الفور في غضون 72 ساعة، ودون تأخير لا مبرر له، بإخطار العميل بأي خرق للبيانات الشخصية التي تصبح إيتون على علم بإرسال إشعار كتابي بها عبر البريد الإلكتروني ستقدم إيتون إشعارًا إضافيًا حسب المتاح والذي سيلخص بالتفصيل المعقول طبيعة خرق البيانات الشخصية، بما في ذلك الفئات والأعداد التقريبية لأصحاب البيانات المتأثرين؛ ما إذا كانت البيانات الشخصية للعميل قد فقدت أو سرقت أو تعرضت للخطر، إن وجدت؛ تقييم إيتون لعواقب خرق البيانات الشخصية؛ الإجراء التصحيحي الذي اتخذته أو ستتخذه إيتون؛ أي نقطة (نقاط) اتصال داخلية مسؤولة عن إدارة الخرق أو الاستجابة له؛ ومسؤول حماية البيانات في إيتون أو ما يعادله بموجب قوانين حماية البيانات المعمول بها، إن وجدت. تتخذ إيتون على الفور جميع الإجراءات التصحيحية اللازمة والمستصوبة وتتعاون بشكل كامل مع العميل في جميع الجهود المعقولة والقانونية لمنع أو تخفيف أو تصحيح خرق البيانات الشخصية هذا. إذا كان وفقًا لتقييم العميل، يجب الكشف عن خرق البيانات الشخصية الذي يؤثر على البيانات الشخصية للعميل أو الإبلاغ عنه إلى طرف ثالث، بما في ذلك أصحاب البيانات أو السلطات الإشرافية أو السلطات الحكومية، تتعاون إيتون بشكل كامل مع العميل وتساعده في هذا الإبلاغ أو الكشف في غضون 72 ساعة.

6. التدقيق/ التفتيش

توفر إيتون للعميل جميع المعلومات اللازمة لإثبات الامتثال لالتزامات اتفاقية معالجة البيانات هذه. يحق للعميل التحقق من امتثال شركة إيتون وأي معالج فرعي لشروط اتفاقية معالجة البيانات هذه فيما يتعلق بمعالجة البيانات الشخصية للعميل أو تعيين مدقق خارجي (غير منافس لشركة إيتون) بموجب التزامات معقولة بالسرية للتحقق من ذلك نيابة عن العميل. تمنح إيتون العميل أو وكلائه حق الوصول بالقدر اللازم لإنجاز فحص ومراجعة جميع مرافق معالجة البيانات وملفات البيانات والوثائق الأخرى فيما يتعلق بمعالجة البيانات الشخصية للعميل وفقًا للاتفاقية. توافق إيتون على تقديم مساعدة معقولة للعميل في تسهيل وظيفة التفتيش هذه. يقدم العميل إشعارًا كتابيًا مسبقًا قبل 30 يومًا من نية التدقيق ولن يقدم مثل هذا الطلب أكثر من مرة واحدة في السنة التقويمية (ما لم يكن هناك خرق للبيانات الشخصية يؤثر على البيانات الشخصية للعميل). في حالة عدم امتلاك إيتون الحق في تدقيق (أو إنفاذ حق العميل في تدقيق) أي معالج فرعي، يجب على إيتون بدلاً من ذلك إتاحة نسخ من الشهادات أو التقارير التي توضح امتثال هذا المعالج الفرعي لمعايير أمن البيانات السائدة المطبقة على معالجة البيانات الشخصية للعميل لمراجعتها من قبل العميل. بصرف النظر عن أي حكم مخالف في اتفاقية معالجة البيانات هذه، يتفق الطرفان على أن عمليات التدقيق الموضحة في البنود التعاقدية القياسية من المراقب إلى المعالج المعمول بها يجب أن تتم وفقًا لهذا القسم.

7. التزام إيتون بالتعاون

7.1 التعاون التعاون. تقدم إيتون مساعدة معقولة للعميل من خلال (1) الاستجابة أصحاب البيانات لممارسة حقوقهم بموجب قوانين حماية البيانات؛ (2) المساعدة في أداء العميل لتقييم تأثير حماية البيانات فيما يتعلق بمعالجة البيانات الشخصية للعميل بموجب اتفاقية معالجة البيانات هذه؛ و(3) طلبات أو تحقيقات العميل من قبل سلطة إشرافية فيما يتعلق بمعالجة البيانات الشخصية للعميل بموجب الاتفاقية. يحق لشركة إيتون فرض رسوم معقولة للوفاء بالتزاماتها بموجب هذا القسم بالإضافة إلى سداد جميع التكاليف والنفقات المتكبدة.‍

7.2 طلبات وشكاوى وصول الطرف الثالث. تقوم إيتون بإخطار العميل على الفور في غضون 72 ساعة بأي طلب أو شكوى من أي سلطة إشرافية أو مسؤول حكومي أو صاحب البيانات أو أي طرف ثالث آخر يتعلق بالبيانات الشخصية للعميل أو التزامات العميل بموجب قوانين حماية البيانات. تقوم إيتون بإخطار العميل بأي أمر أو أمر استدعاء أو أي طلب مماثل آخر إلى إيتون فيما يتعلق بأي بيانات شخصية للعميل في موعد لا يتجاوز خمسة (5) أيام عمل بعد الاستلام، ما لم يحظر القانون المعمول به ذلك. تمتثل إيتون لأي طلبات استبقاء من العميل فيما يتعلق بالبيانات الشخصية للعميل وتقدم الدعم المطلوب حتى يتمكن العميل من الامتثال لطلبات الطرف الثالث إذا لم يتمكن العميل من الحصول على هذه المعلومات بشكل معقول.

8. الاحتفاظ بالبيانات وإعادتها وحذفها

8.1 الاحتفاظ.لن تحتفظ إيتون بالبيانات الشخصية للعميل لفترة أطول مما هو ضروري بشكل معقول لتحقيق الأغراض المقصودة التي تمت من أجلها معالجة البيانات الشخصية للعميل وفقًا للاتفاقية.

8.2 الإعادة والحذفعندما لم تعد البيانات الشخصية للعميل ضرورية للأغراض المنصوص عليها في اتفاقية الخدمات المعمول بها أو على الفور عند انتهاء أو إنهاء الاتفاقية، أيهما أسبق، أو في وقت سابق كما يطلب العميل كتابيًا، تقوم إيتون (1) بإعادة إلى العميل، بالتنسيق وعلى الوسائط التي يطلبها العميل، كل أو، إذا تم تحديده من قبل العميل، أي جزء من البيانات الشخصية للعميل؛ و(2) تدمير كل، أو إذا تم تحديده من قبل العميل، أي جزء من البيانات الشخصية للعميل في حوزة أو سيطرة إيتون؛ شريطة أن: (أ) في حالة طلب العميل مثل هذه الإعادة أو التدمير، إلى الحد الذي يتم فيه منع إيتون أو تأخيرها في الوفاء بالتزاماتها بموجب اتفاقية الخدمات دون هذه البيانات الشخصية للعميل، فإن هذا الإخفاق أو التأخير لا يشكل خرقًا لتلك الالتزامات؛ و (ب) يجوز الاحتفاظ بنسخ من هذه البيانات الشخصية للعميل إلى الحد الذي يتم تخزينها فيه إلكترونيًا وفقًا لإجراءات النسخ الاحتياطي العادية الخاصة بإيتون (بما في ذلك، على سبيل المثال لا الحصر، تلك المتعلقة بالاتصالات الإلكترونية) طالما يتم الحفاظ على سرية البيانات الشخصية للعميل كما هو مطلوب بموجب اتفاقية معالجة البيانات هذه. تنطبق الالتزامات السابقة أيضًا على البيانات الشخصية للعميل التي يحتفظ بها المعالجات الفرعية إلى الحد الذي تسمح به اتفاقية إيتون مع هذه المعالجات الفرعية. تقدم إيتون شهادة التدمير إذا طُلب منها ذلك. إذا كان القانون المعمول به لا يسمح لشركة إيتون بالامتثال لإعادة أو إتلاف البيانات الشخصية للعميل، فإن إيتون توافق على أن تظل هذه البيانات الشخصية للعميل المحتفظ بها في حوزة إيتون وفقًا لشروط اتفاقية معالجة البيانات هذه ويجب أن تعيد أو تدمر هذه البيانات الشخصية للعميل عندما يسمح بها القانون المعمول به.

9. عمليات نقل البيانات الدولية

9.1 آلية النقل. إذا كانت الخدمات و/أو المنتجات التي تقدمها إيتون بموجب اتفاقية الخدمات تنطوي على نقل دولي للبيانات الشخصية للعميل التي تحكمها قوانين حماية البيانات، فإن هذا النقل لا يحدث إلا إذا (حسب الاقتضاء): (1) البلد أو الإقليم الذي سيتم النقل إليه داخل المنطقة الاقتصادية الأوروبية أو سويسرا ؛ (2) اعتبرت المفوضية الأوروبية أو السلطة الإشرافية المعمول بها البلد أو الإقليم الذي يتم نقل البيانات إليه مناسبًا لأغراض حماية البيانات؛ أو (3) يمكن لشركة إيتون توفير الضمانات المناسبة وفقًا لقوانين حماية البيانات المعمول بها. قد تشمل هذه الضمانات المناسبة، على سبيل المثال لا الحصر، وجود قواعد مؤسسية ملزمة، من خلال المعالجة بطريقة تتفق مع نظام قواعد الخصوصية عبر الحدود الخاص بمنتدى التعاون الاقتصادي لآسيا والمحيط الهادئ، أو من خلال الالتزام بآلية اعتماد أو آلية تعاقدية أو مدونة قواعد سلوك تمت الموافقة عليها من قبل السلطة الإشرافية المعمول بها.

9.2 البنود التعاقدية القياسية. إذا لم تنطبق أي من الآليات السابقة في القسم 9.1 على نقل البيانات الشخصية خارج أوروبا، فسيخضع نقل البيانات الشخصية للعميل لنسخة الاتحاد الأوروبي دون تغيير بالبنود التعاقدية القياسية المعمول بها من المراقب إلى المعالج على التوالي. تعتبر البنود التعاقدية القياسية مدمجة بالإشارة إليها هنا (يعتبر التوقيع على اتفاقية معالجة البيانات هذه توقيعًا على البنود التعاقدية القياسية المعمول بها). فيما يتعلق بأغراض البنود التعاقدية القياسية: (1) يعتبر العميل مصدر البيانات وتعتبر إيتون مستوردًا للبيانات. يتم قراءة أي إشارات إلى التوجيه 95/46/EC في البنود التعاقدية القياسية كإشارات إلى الأحكام المناسبة للائحة العامة لحماية البيانات أو قانون حماية البيانات في المملكة المتحدة لعام 2018 أو قانون حماية البيانات الفيدرالي السويسري لعام 1992، حيثما كان ذلك ممكنًا وحسب الاقتضاء. لا يجوز تفسير أي شيء في اتفاقية معالجة البيانات هذه على أنه يسود على أي بند متعارض من البنود التعاقدية القياسية ما لم ينص حكم في اتفاقية معالجة البيانات هذه على ضمانات إضافية بالإضافة إلى تلك الواردة في البند المتعارض في البنود التعاقدية القياسية وفي هذه الحالة يعتبر حكم اتفاقية معالجة البيانات هذه مكملاً لبند البنود التعاقدية القياسية ولا يتعارض معه. تقر إيتون بأنها أتيحت لها الفرصة لمراجعة الشروط والأحكام العامة المعمول بها.

9.3 البنود التعاقدية القياسية من المراقب إلى المعالج. لأغراض البنود التعاقدية القياسية من المراقب إلى المعالج: (1) يكون القانون الساري في البند 9 هو قانون الولاية القضائية التي يقع فيها مصدر البيانات؛ (2) يعتبر بند التعويض التوضيحي في البنود التعاقدية القياسية من المراقب إلى المعالج لا ينطبق بموجب هذا القسم؛ و (3) ما لم يتفق الطرفان على خلاف ذلك، ينطبق الملحقان 1 (القسم أ) و2 من اتفاقية معالجة البيانات هذه ويعتبران الملحقين 1 و2 من البنود التعاقدية القياسية من المراقب إلى المعالج.

9.4 الآليات البديلة لنقل البيانات. يمكن الاعتماد على آليات النقل، بخلاف تلك الموضحة في القسم 9.1 – 9.3 أعلاه والتي تمت الموافقة عليها بموجب قوانين حماية البيانات إن وجدت. يتفق الطرفان على بذل جهود معقولة لوضع هذه الآليات البديلة، عند الاقتضاء، وتعديل اتفاقية معالجة البيانات هذه حسب الضرورة لضمان آليات النقل المتوافقة في حالة حدوث تغيير في قانون حماية البيانات. على وجه الخصوص، إذا تم تعديل أو استبدال أو إلغاء العقود قصيرة الأجل من قبل المفوضية الأوروبية أو بموجب قوانين حماية البيانات، فسيعمل الطرفان معًا بحسن نية للدخول في أي نسخة محدثة من العقود قصيرة الأجل أو التفاوض بحسن نية على حل لتمكين إجراء نقل دولي للبيانات الشخصية وفقًا لقوانين حماية البيانات المتوافقة.

9.5 النقل الدولي للبيانات الشخصية للعميل من إيتون إلى أطراف ثالثة.لن تقوم إيتون بنقل البيانات الشخصية للعميل، داخليًا أو إلى المعالجات الفرعية، من أي ولاية قضائية تقيد النقل الدولي للبيانات الشخصية إلى مناطق خارج تلك الولاية القضائية دون موافقة مسبقة من العميل وفقط بعد اتخاذ خطوات، على أساس مستمر، لضمان توافق هذا النقل مع قوانين حماية البيانات. إذا اكتشفت إيتون أو اعتقدت بشكل معقول أن أي بيانات شخصية للعميل قد تمت معالجتها أو تتم معالجتها في ولاية قضائية دون تنفيذ اتفاقية نقل البيانات اللازمة، فستقوم إيتون على الفور بوضع اتفاقية النقل هذه وتقديم إشعار فوري للعميل.

9.6 9.6 نقل البيانات الشخصية خارج سنغافورة: لن تقوم إيتون بنقل البيانات الشخصية للعميل إلى مكان خارج سنغافورة دون موافقة كتابية مسبقة من العميل. يقدم العميل الموافقة، وستقدم إيتون تعهدًا كتابيًا للعميل بأن البيانات الشخصية للعميل المنقولة خارج سنغافورة تتم حمايتها وفقًا لمعيار مماثل لذلك الوارد في قانون حماية البيانات الشخصية. إذا نقلت إيتون البيانات الشخصية للعميل إلى أي طرف ثالث أو معالج فرعي، فيجب على إيتون الحصول على نفس التعهد الكتابي من هذا الطرف الثالث أو المعالج الفرعي. 

9.7 تقييمات التحويل الدولي. تقوم إيتون طوال مدة اتفاقية معالجة البيانات بإجراء والحفاظ على تقييم دولي لنقل البيانات يوضح امتثالها لشروط اتفاقية معالجة البيانات هذه، وإذا كان ذلك ممكنًا، فيما يتعلق بعمليات المعالجة المحددة، بما في ذلك من قبل الشركات التابعة لها والمعالجات الفرعية، وموضوع (موضوعات) البيانات وفئات البيانات الشخصية للعميل التي تتم معالجتها بموجب اتفاقية معالجة البيانات هذه، وستجعل هذا التقييم متاحًا للعميل عند الطلب. تؤكد إيتون أنها ستراقب في جميع الأوقات قدرتها على إجراء عمليات نقل دولية للبيانات الشخصية للعميل والحفاظ على تقييمها الدولي لنقل البيانات. تتعاون إيتون مع العميل وتقدم له المساعدة المعقولة فيما يتعلق بتقديم هذا التقييم إلى السلطة الإشرافية. ‍

9.8 التكاليف المتعلقة بالتحويلات الدولية للبيانات الشخصية إلى دول ثالثة. باستثناء ما هو منصوص عليه خلاف ذلك، يتحمل كل طرف التكاليف الناجمة عن أي إجراءات أو تدابير يتخذها بموجب هذا القسم.

10. أحكام متنوعة

10.1 معيار الحماية. تحل اتفاقية معالجة البيانات هذه محل أي حكم في اتفاقية الخدمات إلى الحد الذي يتعلق فيه هذا الحكم بخصوصية البيانات الشخصية أو سريتها أو أمنها أو حمايتها؛ ومع ذلك، شريطة أنه في حالة وجود أي تعارض بين اتفاقية معالجة البيانات هذه واتفاقية الخدمات، تلتزم إيتون بالالتزامات التي توفر أكبر قدر من الحماية للبيانات الشخصية للعميل.

10.2 القانون الساري.تخضع اتفاقية معالجة البيانات هذه وجميع المطالبات أو أسباب الدعوى (سواء في العقد أو المسؤولية التقصيرية) التي قد تستند إلى اتفاقية معالجة البيانات هذه أو تنشأ عنها أو تتعلق بها بأي شكل من الأشكال، وتفسر وفقًا للقوانين المحددة في اتفاقية الخدمات، باستثناء الحد الذي تتطلبه قوانين حماية البيانات خلاف ذلك. في مثل هذه الحالة، وإلى الحد المطلوب، يخضع اتفاق حماية البيانات هذا لقوانين حماية البيانات هذه، وإذا كان ذلك ممكنًا، سيخضع للاختصاص القضائي للجهة المصدرة للبيانات ذات الصلة التي قامت بتصدير البيانات الشخصية.

10.3 التغييرات في قانون حماية البيانات.تبرم إيتون أي اتفاقية أخرى يطلبها العميل بشكل معقول لأغراض الامتثال لقوانين حماية البيانات. في حالة وجود أي تعارض بين اتفاقية معالجة البيانات هذه وأي اتفاقية مكتوبة أخرى للخصوصية أو السرية أو الأمن أو حماية البيانات، تسود هذه الاتفاقية المكتوبة الإضافية فيما يتعلق بمعالجة البيانات الشخصية التي تنطبق عليها.

10.4 مجمل الاتفاقية/التعديلات.تتكون اتفاقية معالجة البيانات هذه من الاتفاقية الكاملة بين العميل وإيتون فيما يتعلق بموضوع هذه الاتفاقية، ولا توجد اتفاقيات أو تفاهمات أو شروط أو إقرارات أخرى، شفهية أو مكتوبة، صريحة أو ضمنية، تتعلق بموضوع هذه الاتفاقية، والتي لم يتم دمجها في اتفاقية معالجة البيانات هذه أو تحل محلها. لن يكون أي تعديل على اتفاقية معالجة البيانات هذه ساريًا ما لم يتم إجراؤه كتابيًا وتوقيعه من قبل الممثلين المفوضين لجميع الأطراف.

10.5 المستفيدون من الأطراف الثالثة. إلى الحد الذي تستفيد فيه اتفاقية معالجة البيانات هذه و/أو تتعلق بالشركات التابعة للعميل، يجب أن تكون هذه الشركات التابعة مستفيدة من طرف ثالث من اتفاقية معالجة البيانات هذه لجميع الأغراض، بما في ذلك، على سبيل المثال لا الحصر، إنفاذ أحكام هذه الاتفاقية.

10.6 النسخ/ التوقيع الإلكتروني.يجوز تحرير هذا الاتفاق على شكل نسخ متماثلة، ويعتبر كل منها نسخة أصلية، ولكنها تشكل جميعها معاً صكاً واحداً. ويمكن تبادل اتفاقية معالجة البيانات هذه أو أي نسخة مماثلة إلكترونيًا أو تخزينها إلكترونيًا كنسخة (كما هو الحال بتنسيق .pdf). يتفق الطرفان على أن هذه النسخ المتبادلة أو المخزنة إلكترونيًا ستكون قابلة للتنفيذ كمستندات أصلية. يوافق الطرفان بموجب هذه الاتفاقية على استخدام التوقيعات الإلكترونية و/أو الرقمية لتنفيذ اتفاقية معالجة البيانات هذه ويوافقان كذلك على أن استخدام التوقيعات الإلكترونية و/أو الرقمية سيكون ملزمًا وقابل للتنفيذ ومقبولًا كدليل في أي نزاع يتعلق باتفاقية معالجة البيانات هذه.

يوافق العميل وإيتون، كل من خلال ممثله المفوض حسب الأصول، على شروط وأحكام اتفاقية معالجة البيانات هذه اعتبارًا من تاريخ السريان.

الملحق 1 جدول المعالجة

يجوز نقل البيانات الشخصية التالية للعميل ومعالجتها للأغراض التالية. إذا كان ذلك ممكنًا، يجب أن يشكل هذا الملحق جزءًا من البنود التعاقدية القياسية، والتي تعتبر موقعة من قبل الأطراف عند التوقيع على اتفاقية الخدمات. حسب الاقتضاء، يجب أن يشكل القسم أ أدناه جزءًا من البنود التعاقدية القياسية من المراقب إلى المعالج.

مُصدر البيانات:يشير مصدر البيانات بشكل فردي وجماعي إلى العميل والشركات التابعة له (كما هو محدد في اتفاقية الخدمات المعمول بها)، المنشأة في المنطقة الاقتصادية الأوروبية (EEA) وسويسرا والمملكة المتحدة.

مستورد البياناتمستورد البيانات هو إيتون إذا تم تأسيسه خارج المنطقة الاقتصادية الأوروبية وسويسرا والمملكة المتحدة. يتم اعتبار إيتون أيضًا مستوردًا للبيانات عند نقل البيانات الشخصية من المنطقة الاقتصادية الأوروبية أو سويسرا إلى المملكة المتحدة.

القسم أ (معالجة البيانات الشخصية للعميل)

الموضوعيجوز لمُصدر البيانات نقل البيانات الشخصية للعميل إلى مستورد البيانات فيما يتعلق بالخدمة و/أو المنتج الذي تقدمه إيتون بموجب اتفاقية الخدمات.

مدة المعالجةطوال مدة اتفاقية الخدمات.

الأفراد المعنيون بالبياناتقد تتعلق البيانات الشخصية للعميل المنقولة بالفئات التالية من الأفراد المعنيون بالبيانات (يُرجى التحديد):

  • بائعون وموردون من أطراف ثالثة، بما في ذلك المستشارون والاستشاريون والخبراء المهنيون وجهات الاتصال التسويقية (الأشخاص الطبيعيون) وموظفوهم.
  • يمكن تحديد موضوعات البيانات الإضافية في بيان أو عمل أو أمر شراء أو نموذج طلب بموجب اتفاقية الخدمات.

فئات البيانات:قد تتعلق البيانات الشخصية للعميل المنقولة بفئات البيانات التالية (أو مجموعة فرعية منها) (يرجى التحديد):

  • الأسماء ومعلومات الاتصال (بما في ذلك عنوان المنزل والعمل)
  • معلومات الهوية المالية والحكومية
  • المعلومات المصرفية
  • يمكن تحديد فئات البيانات الإضافية في بيان أو عمل أو أمر شراء أو نموذج طلب بموجب اتفاقية الخدمات. 

فئات خاصة من البيانات (إذا كان ذلك مناسبًا):قد تتعلق البيانات الشخصية للعميل المنقولة بالفئات الخاصة التالية من البيانات (يرجى التحديد):

  • لا شيء متوقع.

طبيعة عمليات المعالجة والتجهيز والغرض منها:تخضع البيانات الشخصية للعميل المنقولة لأنشطة المعالجة الأساسية التالية (يرجى التحديد): 

يعالج مستورد البيانات البيانات الشخصية لعميل مصدر البيانات على النحو المنصوص عليه في اتفاقية الخدمات فيما يتعلق بتقديم خدماته و/أو منتجاته. قد يشمل ذلك أي عملية مثل نقل البيانات وأي جمع أو تسجيل أو تنظيم أو هيكلة أو تخزين أو تكييف أو تغيير أو استرجاع أو استشارة أو استخدام أو الكشف عن طريق الإرسال أو النشر أو إتاحة أو محاذاة أو دمج أو تقييد أو محو أو إتلاف البيانات الشخصية للعميل (سواء بوسائل آلية أم لا).‍

الملحق 2

التدابير الأمنية

فيما يلي تفاصيل التدابير الأمنية الإدارية والمادية والتقنية والتنظيمية لشركة إيتون فيما يتعلق بمعالجة البيانات الشخصية. إذا كان ذلك ممكنًا، يشكل هذا الملحق جزءًا من البنود التعاقدية القياسية ويعتبر موقعًا من قبل الأطراف عند التوقيع على اتفاقية الخدمات.

نفّذت شركة إيتون عدة طبقات من الضوابط تتماشى مع معيار SSAE SOC 2 Type 2 لحماية أصول المعلومات (Information Assets).

الأشخاص

  • الوعي بالأمن السيبراني والنظافة
  • التحقق من الخلفية (جنائي، تعليمي، عمل سابق، شيكات ائتمانية على سبيل المثال لا الحصر)
  • دليل الموظفين
  • النشرات الإخبارية ورسائل البريد الإلكتروني لتعزيز الوعي بالأمن السيبراني.

العمليـة

  • سياسة وإجراءات أمن المعلومات
  • سياسة الاستخدام المسموح بها
  • الإجراءات التأديبية للمخالفات
  • سياسة إدارة التغيير
  • سياسة الاستجابة للأحداث
  • ممارسات خطة استمرارية الأعمال والتعافي من الكوارث
  • سياسة إدارة الطرف الثالث (البائع)
  • سياسة تصنيف البيانات
  • الوصول إلى البيانات المتعلقة بمبدأ أقل الامتيازات:
  • ما يجب القيام به
  • الحق في المعرفة
  • سياسة المكتب النظيف والشاشة النظيفة

التقنية

  • ضوابط الوصول المادي
  • ضوابط الوصول القائمة على الدور مع تعريف الدور الدقيق.
  • تشفير البيانات أثناء الراحة والعملية والنقل
  • تشفير الكمبيوتر المحمول باستخدام تشفير ويندوز بت لوكر.
  • كل الوصول عن بعد من خلال شبكة في بي إن
  • الحماية الشبكية متعددة الطبقات باستخدام أجهزة التوجيه، خوادم البروكسي، جدار الحماية من الطبقة السابعة (L7 Firewall)، وجدار حماية تطبيقات الويب (WAF):
  • نظام كشف التسلل
  • رصد السجلات والكشف عن الحوادث والاستجابة لها
  • سياسة تقوية الجهاز.
  • النسخ الاحتياطي والتعافي
  • مركز أمن أزور
  • مخزن مفاتيح أزور
  • إدارة التصحيح
  • محرك مكافحة البرامج الضارة والمركبات السمعية والبصرية