ادخل ألمس

الموافقة على ملفات تعريف الارتباط

نحن نستخدم «ملفات تعريف الارتباط» والتقنيات ذات الصلة للمساعدة في التعرف عليك وعلى أجهزتك، لتشغيل موقعنا، وتحسين تجربتك وإجراء الإعلانات والتحليلات. بعض ملفات تعريف الارتباط هذه اختيارية ولا يتم استخدامها إلا عندما توافق عليها. يمكنك الموافقة على جميع ملفات تعريف الارتباط الاختيارية الخاصة بنا مرة واحدة، أو إدارة تفضيلاتك الخاصة من خلال رابط «تفضيلات ملفات تعريف الارتباط». يمكنك قراءة المزيد حول الاستخدامات في موقعنا سياسة ملفات تعريف الارتباط.

التفضيلاتأنكراقبل

اتفاقية معالجة بيانات المورد

قم بتنزيل اتفاقية معالجة بيانات البائع PDF

تنزيل

اتفاقية معالجة البيانات هذه (»وكالة حماية البيانات«)، اعتبارًا من 21 ديسمبر 2023 من قبل Eton و Vendor وفيما بينهما، تحدد الشروط والأحكام المتعلقة بخصوصية وسرية وأمن وحماية البيانات الشخصية (على النحو المحدد أدناه) المرتبطة بالخدمات المقدمة و/أو المنتجات المقدمة من قبل البائع إلى Eton (و/أو الشركات التابعة لها) وفقًا لأي اتفاقية بين Eton والمورد (و/أو الشركات التابعة له)، بغض النظر عما إذا كانت هذه الاتفاقية موجودة اعتبارًا من أو بعد تاريخ السريان (مثل هذه الاتفاقية، حسب الاقتضاء)، «الخدمات» الاتفاقية»)، والتي، إلى جانب اتفاقية DPA هذه، «الاتفاقية») .

يجب أيضًا الإشارة إلى البائع وإيتون بشكل جماعي باسم»الأطراف«وبشكل فردي باسم»حفلة».

يتفق الطرفان على ما يلي:

1. تعريفات
في اتفاقية DPA هذه، يكون للمصطلحات التالية المعاني التالية:

1.1. »الأشخاص المرخص لهم» يعني جميع الأشخاص المخولين رسميًا وبشكل مناسب لأداء واجبات محددة مرتبطة بمكتب أو اتفاقية أو عقد ويجب أن يشمل في هذا السياق موظفي البائع ووكلائه ومقاوليه من الباطن.

1.2. »وحدة التحكم«يعني الشخص الطبيعي أو الاعتباري أو السلطة العامة أو الوكالة أو أي هيئة أخرى تحدد، بمفردها أو بالاشتراك مع آخرين، أغراض ووسائل معالجة البيانات الشخصية.

1.3. »قوانين حماية البيانات«يعني، حسب الاقتضاء على الأطراف، جميع قوانين حماية البيانات والقواعد واللوائح والتوجيهات والمتطلبات الحكومية المعمول بها حاليًا وعندما تصبح سارية فيما يتعلق بأي شكل من الأشكال بخصوصية البيانات الشخصية أو سريتها أو أمنها أو حمايتها، ويجب أن تشمل اللائحة العامة لحماية البيانات و PDPA و CCPA و CPRA.

1.4. »موضوع البيانات«يعني شخصًا طبيعيًا محددًا أو يمكن التعرف عليه. الشخص الطبيعي القابل للتحديد هو الشخص الذي يمكن تحديد هويته، بشكل مباشر أو غير مباشر، ولا سيما بالرجوع إلى معرف مثل الاسم أو رقم التعريف أو بيانات الموقع أو معرف الإنترنت أو إلى عامل واحد أو أكثر من العوامل المحددة للهوية الجسدية أو الفسيولوجية أو الجينية أو العقلية أو الاقتصادية أو الثقافية أو الاجتماعية لذلك الشخص الطبيعي.

1.5. »البيانات الشخصية«تعني أي معلومات تتعلق بموضوع البيانات.

1.6. »خرق البيانات الشخصية«يعني خرقًا للأمن يؤدي إلى التدمير العرضي أو غير القانوني أو الخسارة أو التغيير أو الكشف غير المصرح به أو الوصول إلى البيانات الشخصية المنقولة أو المخزنة أو المعالجة بطريقة أخرى.

1.7. »المعالج«يعني الشخص الطبيعي أو الاعتباري أو السلطة العامة أو الوكالة أو أي هيئة أخرى تعالج البيانات الشخصية نيابة عن وحدة التحكم.

1.8. »خدمات«يعني العمل الذي يقوم به البائع لشركة Eton على النحو المنصوص عليه في اتفاقية الخدمات.

1.9. «اتفاقية الخدمات» يعني الاتفاق بين البائع وإيتون الذي يصف ويحكم الخدمات التي سيقدمها البائع إلى إيتون.

1.10. «المعالجة/المعالجة» يعني أي عملية أو مجموعة من العمليات التي يتم إجراؤها على البيانات الشخصية، سواء بوسائل تلقائية أم لا، مثل الجمع أو التسجيل أو التنظيم أو التخزين أو التكييف أو التغيير أو الاسترجاع أو الاستشارة أو الاستخدام أو الكشف عن طريق الإرسال أو النشر أو الإتاحة أو المحاذاة أو الدمج أو الحظر أو المحو أو التدمير.

2. معالجة البيانات

2.1. فيما يتعلق بتقديم الخدمات إلى Eton، يقر المورد ويوافق على أنه يجوز له معالجة البيانات الشخصية فقط عند الضرورة لأداء التزاماته بموجب اتفاقية الخدمات ووفقًا للتعليمات الموثقة من Eton (»الغرض المسموح به«) على النحو الوارد في DPA هذه، في هذه الحالة، يجب على البائع إبلاغ Eton بهذا المطلب القانوني قبل المعالجة، ما لم يحظر القانون ذلك لأسباب مهمة تتعلق بالمصلحة العامة.

2.2. يقر المورد بأن Eton قد تكون إما وحدة التحكم أو معالج البيانات الشخصية وعندما تكون Eton هي المعالج، يقر المورد بأنها ستكون معالجًا فرعيًا لشركة Eton. يجب على كل طرف الالتزام والامتثال للالتزامات التي تنطبق عليه بموجب قوانين حماية البيانات المعمول بها.

2.3. المعالجة الفرعية: يوافق كل من Eton و Vendor على قائمة المعالجات الفرعية في الجدول C والتي يمكن للبائع المشاركة فيها. يجب على المورد الحصول على موافقة كتابية صريحة من Eton قبل إضافة أو إزالة معالج فرعي تابع لجهة خارجية لمعالجة البيانات الشخصية بشرط أن: (1) يحصل المورد على موافقة Eton قبل 15 يومًا على الأقل من إضافة أو إزالة أي معالج فرعي (بما في ذلك تفاصيل المعالجة التي يقوم بها أو سيقوم بها) إلى أو من قائمة المعالجات الفرعية الموجودة في الجدول C هنا؛ (2) يقوم المورد بإشراك معالجات فرعية تابعة لجهات خارجية عن طريق عقد يفرض على المعالج الفرعي، من حيث الجوهر، نفس التزامات حماية البيانات مثل تلك المفروضة على المورد وفقًا لـ DPA هذا، ويضمن امتثال المعالج الفرعي للالتزامات التي يخضع لها البائع بموجب DPA وبموجب قوانين حماية البيانات المعمول بها. يجب على البائع التأكد من أن المعالجات الفرعية لن تقوم بمزيد من إشراك أي معالجات فرعية تابعة لجهات خارجية. بناءً على طلب Eton، يجب على البائع تقديم نسخة من اتفاقية المعالج الفرعي هذه وأي تعديلات لاحقة على Eton. إلى الحد الضروري لحماية أسرار العمل أو المعلومات السرية الأخرى، بما في ذلك البيانات الشخصية، يجوز للمورد تنقيح نص الاتفاقية قبل مشاركة النسخة. يجب أن يوافق البائع على شرط المستفيد من طرف ثالث مع المعالج الفرعي والذي بموجبه، في حالة اختفاء البائع فعليًا أو توقفه عن الوجود بموجب القانون أو إعساره، يحق لشركة Eton إنهاء عقد المعالج الفرعي وتوجيه المعالج الفرعي لمحو البيانات الشخصية أو إعادتها؛ و (3) يظل البائع مسؤولاً بالكامل عن أي خرق لـ DPA هذا ناتج عن فعل أو خطأ أو إغفال من المعالج الفرعي الخاص به. إذا رفضت Eton الموافقة على تعيين المورد لمعالج فرعي تابع لجهة خارجية لأسباب معقولة تتعلق بحماية البيانات الشخصية، فقد تختار Eton تعليق أو إنهاء اتفاقية الخدمات دون عقوبة.

2.4. سرية المعالجة: سيقيد البائع موظفيه من معالجة البيانات الشخصية دون إذن. سيفرض البائع التزامات تعاقدية مناسبة على موظفيه، بما في ذلك الالتزامات ذات الصلة فيما يتعلق بالسرية وحماية البيانات وأمن البيانات. يجب على المورد التأكد من أنه ينقل التزاماته إلى أي شخص يأذن له بمعالجة البيانات الشخصية (بما في ذلك موظفي المورد تحت أي صفة وموظفي المورد والمقاولين من الباطن) (و»شخص مفوّض«) يجب أن يخضع لواجب السرية الصارم (سواء كان واجبًا تعاقديًا أو واجبًا قانونيًا) ولن يسمح لأي شخص بمعالجة البيانات الشخصية التي لا تخضع لواجب السرية هذا. يجب على المورد التأكد من أن جميع الأشخاص المصرح لهم يعالجون البيانات الشخصية فقط عند الضرورة للغرض المسموح به.

2.5. ولتجنب الشك، فإن أي تعليمات من شأنها أن تؤدي إلى المعالجة خارج نطاق DPA هذه (على سبيل المثال، بسبب إدخال غرض معالجة جديد) ستتطلب اتفاقًا مسبقًا بين الطرفين، وستخضع، عند الاقتضاء، لإجراءات تغيير العقد بموجب الاتفاقية المعنية.

2.6. يجب على البائع، دون تأخير لا مبرر له، إبلاغ إيتون كتابيًا إذا كان الأمر، في رأي البائع، ينتهك قوانين حماية البيانات، وأن يقدم شرحًا تفصيليًا لأسباب رأيه كتابيًا.

3. أمان البيانات

يجب على المورد تنفيذ التدابير الفنية والتنظيمية المناسبة لضمان أمان البيانات الشخصية وحماية البيانات من خرق البيانات الشخصية، على النحو المحدد في الجدول B هنا. عند تقييم المستوى المناسب من الأمان، يجب على الأطراف مراعاة أحدث ما توصلت إليه التكنولوجيا وطبيعة ونطاق وسياق وأغراض المعالجة والمخاطر التي تنطوي عليها موضوعات البيانات.

4. المدة والإنهاء

4.1. تصبح DPA هذه فعالة عند التوقيع. وستظل سارية المفعول بالكامل طالما أن البائع يعالج البيانات الشخصية وفقًا لاتفاقية الخدمات.

4.2. عندما تكون التعديلات مطلوبة لضمان امتثال DPA لقوانين حماية البيانات هذه، يجب على الأطراف بذل جهود معقولة للاتفاق على هذه التعديلات بناءً على طلب المراقب المالي. عندما لا يتمكن الطرفان من الاتفاق على مثل هذه التعديلات، يجوز لشركة Eton إنهاء اتفاقية الخدمات وهذه DPA بإشعار كتابي مسبق [●] يومًا إلى البائع.

4.3. دون المساس بأي أحكام بموجب قوانين حماية البيانات المعمول بها، في حالة خرق البائع لالتزاماته بموجب اتفاقية حماية البيانات هذه، يجوز لشركة Eton توجيه البائع لتعليق معالجة البيانات الشخصية حتى يمتثل الأخير لـ DPA أو يتم إنهاء اتفاقية الخدمات. يجب على البائع إبلاغ Eton على الفور في حالة عدم قدرته على الامتثال لـ DPA، لأي سبب من الأسباب.

4.4. يحق لشركة Eton إنهاء اتفاقية الخدمات بقدر ما يتعلق الأمر بمعالجة البيانات الشخصية وفقًا لـ DPA هذه إذا:

أ. تم تعليق معالجة البيانات الشخصية من قبل البائع من قبل Eton وفقًا للبند 4.3 وإذا لم تتم استعادة الامتثال لـ DPA في غضون فترة زمنية معقولة وعلى أي حال خلال [●] شهرًا بعد التعليق؛

ب. ينتهك البائع بشكل كبير أو مستمر اتفاقية DPA هذه أو التزاماته بموجب قوانين حماية البيانات المعمول بها؛

ج. فشل البائع في الامتثال لقرار ملزم صادر عن محكمة مختصة أو سلطة/سلطات إشرافية مختصة فيما يتعلق بالتزاماته وفقًا لـ DPA أو قوانين حماية البيانات المعمول بها.

4.5. يجب على البائع إخطار Eton إذا لم يكن قادرًا على الاستمرار في تقديم الخدمات بموجب اتفاقية الخدمات والتي بموجبها يحق لشركة Eton إنهاء DPA هذه.

4.6. يحق للبائع إنهاء اتفاقية الخدمات بقدر ما يتعلق الأمر بمعالجة البيانات الشخصية بموجب DPA هذه حيث تصر Eton، بعد إبلاغ Eton بأن تعليماتها تنتهك المتطلبات القانونية المعمول بها وفقًا للبند 2.6، على الامتثال للتعليمات.

5. الإجراءات وطلبات الوصول

5.1. يجب على البائع مساعدة Eton في حالة اتخاذ أي إجراء من قبل سلطات حماية البيانات. يمنح المورد بموجب هذا الإذن لشركة Eton بالإفصاح، وفقًا لتقديرها الخاص، عن محتويات DPA هذه مع عملائها و/أو أي سلطات لحماية البيانات بناءً على طلبهم. بناءً على طلب إيتون، يجب على المورد تزويد إيتون بجهة اتصال مخصصة لجميع الاستفسارات المتعلقة بالخصوصية.

5.2. يجب على البائع تقديم كل المساعدة المعقولة وفي الوقت المناسب إلى Eton لتمكين Eton من الاستجابة لما يلي:

(i) أي طلب من موضوع البيانات لممارسة أي من حقوقه بموجب القوانين المعمول بها (بما في ذلك حقوقه في الوصول والتصحيح والاعتراض والمحو وقابلية نقل البيانات، حسب الاقتضاء)؛ و

(ii) أي مراسلات أو استفسارات أو شكوى أخرى يتم تلقيها من موضوع البيانات أو المنظم أو أي طرف ثالث فيما يتعلق بمعالجة البيانات الشخصية. في حالة تقديم أي طلب أو مراسلة أو استفسار أو شكوى من هذا القبيل مباشرة إلى البائع، يجب على البائع إبلاغ Eton على الفور، وعند الاقتضاء، المراقب المالي، مع تقديم التفاصيل الكاملة عن ذلك.

5.3. يجب على البائع التعاون مع Eton ومساعدتها، حتى تمتثل Eton لالتزاماتها بموجب قوانين حماية البيانات بما في ذلك طلبات حقوق موضوع البيانات، مع مراعاة طبيعة المعالجة والمعلومات المتاحة للبائع.

6. التحويلات الدولية

يجب على Eton and Vendor تنفيذ التدابير الفنية والتنظيمية بطريقة تضمن حماية أي عمليات نقل للبيانات الشخصية عبر الحدود بتدابير مناسبة لقوانين حماية البيانات بما في ذلك على سبيل المثال لا الحصر تقييم الملاءمة وتقييم تأثير النقل وهيكل إدارة البيانات وما إلى ذلك أو أي تدابير أخرى كما هو مذكور في الجدول B من DPA. يوضح هذا أن التدابير الفنية والتنظيمية الواردة في الجدول باء ذات طبيعة إرشادية ولا ينبغي اعتبارها مستنفدة. قد يتفق الطرفان بشكل متبادل على تعديل التدابير وفقًا لأفضل الممارسات الصناعية السائدة و/أو القوانين المعمول بها.

7. إشعار الاختراق

7.1. في حالة خرق البيانات الشخصية فيما يتعلق بالبيانات التي تمت معالجتها من قبل البائع أو المعالج الفرعي، يجب على البائع إخطار Eton بخرق البيانات الشخصية دون تأخير لا داعي له وعلى أي حال في غضون 48 ساعة من علم البائع بالخرق. يجب أن يتضمن هذا الإخطار، على الأقل:

(أ) وصف لطبيعة الخرق (بما في ذلك، حيثما أمكن، الفئات والعدد التقريبي لموضوعات البيانات وسجلات البيانات المعنية)؛

(ب) تفاصيل نقطة الاتصال حيث يمكن الحصول على مزيد من المعلومات المتعلقة بخرق البيانات الشخصية؛

(ج) عواقبه المحتملة والتدابير المتخذة أو المقترح اتخاذها لمعالجة الخرق، بما في ذلك التخفيف من آثاره السلبية المحتملة.

7.2. وفي الحالات التي يتعذر فيها تقديم جميع هذه المعلومات في الوقت نفسه، يجب أن يحتوي الإخطار الأولي على المعلومات المتاحة حينئذ، كما يجب تقديم المزيد من المعلومات، عندما تصبح متاحة، في وقت لاحق دون تأخير لا مبرر له.

7.3. يجب على الأطراف أن تحدد في الجدول C جميع العناصر الأخرى التي يجب أن يقدمها البائع عند مساعدة Eton في الامتثال لالتزامات Eton بموجب قوانين حماية البيانات المعمول بها.

8. حذف البيانات أو إرجاعها

في أي وقت خلال مدة اتفاقية الخدمات بناءً على طلب مكتوب من إيتون أو عند إنهاء اتفاقية الخدمات أو انتهاء صلاحيتها لأي سبب من الأسباب، يجب على البائع توجيه جميع الأشخاص المصرح لهم بالتخلص الآمن من جميع نسخ البيانات الشخصية والتصديق كتابيًا إلى إيتون بأن هذه البيانات الشخصية قد تم التخلص منها بشكل آمن. يجب على البائع الامتثال لجميع التوجيهات المقدمة من Eton فيما يتعلق بإعادة البيانات الشخصية أو التخلص منها ويجب أن يقدم شهادة الإرجاع/الحذف عند إعادة التخلص من البيانات الشخصية. يوافق البائع على أنه سيكون خرقًا لـ DPA إذا وجد أن هناك نسخًا من البيانات الشخصية في حوزة البائع بعد إصدار هذه الشهادة. حتى يتم حذف البيانات أو إرجاعها، يجب على المورد الاستمرار في ضمان الامتثال لـ DPA هذه.

9. حقوق التدقيق

يجب أن يكون البائع قادرًا على إثبات الامتثال لـ DPA هذه. يجب على البائع الاحتفاظ بسجلات كاملة ودقيقة فيما يتعلق بأداء البائع بموجب سياسة الخصوصية هذه والاحتفاظ بهذه السجلات للفترة التي قد ترسلها Eton وفقًا للقانون المعمول به في اتفاقية الخدمات. يجب على البائع السماح لشركة Eton (أو مدققي الحسابات المعينين من طرف ثالث) بمراجعة امتثال البائع لـ DPA هذه، ويجب أن يوفر لشركة Eton جميع المعلومات والأنظمة والموظفين اللازمين لشركة Eton (أو مدققي الحسابات التابعين لها) لإجراء مثل هذا التدقيق. يقر البائع بأن إيتون (أو مدققي الحسابات التابعين لها) قد يدخلون مبانيها لأغراض إجراء هذا التدقيق، شريطة أن تعطي إيتون البائع إشعارًا مسبقًا معقولاً بعزمها على التدقيق، وتجري تدقيقها خلال ساعات العمل العادية، وتتخذ جميع التدابير المعقولة لمنع حدوث أي تعطيل غير ضروري لعمليات البائع. ستكون Eton مسؤولة عن تكاليف عمليات التدقيق هذه ما لم يتبين أن البائع قد انتهك DPA هذه. يوافق البائع، على تكلفته، على إجراء أي تغييرات تطلبها Eton لتصحيح أوجه القصور المكتشفة في عمليات التدقيق أو الاختبارات هذه.

10. تقييم تأثير حماية البيانات

يجب على البائع تزويد Eton بكل المساعدة المعقولة وفي الوقت المناسب التي قد تطلبها Eton من أجل إجراء تقييم تأثير حماية البيانات، وإذا لزم الأمر، للتشاور مع سلطات حماية البيانات ذات الصلة.

11. التعويض

سوف يقوم المورد بتعويض شركة إيتون والشركات التابعة لها ومساهميها والمديرين والمسؤولين والموظفين والوكلاء والدفاع عنهم وإبراء ذمتهم من جميع النفقات والالتزامات والأضرار والتكاليف (بما في ذلك تكاليف التسوية وأتعاب المحاماة المعقولة) الناشئة عن مطالبة طرف ثالث تتعلق بخرق المورد لالتزاماته بموجب اتفاقية DPA هذه.

12. متنوع

12.1. في حالة وجود أي تعارض، تكون لأحكام DPA هذه الأسبقية على اتفاقية الخدمات أو أحكام أي اتفاقية أخرى بين Eton والمورد. في حالة وجود أي تعارض بين DPA وقوانين حماية البيانات المعمول بها، تكون لقوانين حماية البيانات المعمول بها الأسبقية على أحكام بقية DPA.

12.2. لن يتلقى أي طرف أي مكافأة مقابل أداء التزاماته بموجب DPA باستثناء ما هو منصوص عليه صراحة في اتفاقية الخدمات.

12.3. عندما تتطلب DPA هذه «إشعارًا كتابيًا»، يمكن أيضًا إرسال هذا الإشعار عبر البريد الإلكتروني إلى الطرف الآخر.

12.4. يجب أن تكون أي اتفاقيات تكميلية أو تعديلات على DPA هذه مكتوبة وموقعة من قبل الطرفين.

12.5. إذا أصبحت الأحكام الفردية من اتفاقية DPA هذه باطلة أو غير صالحة أو غير قابلة للتطبيق، فلن يؤثر ذلك على صلاحية الشروط المتبقية من اتفاقية DPA هذه.

يوافق العميل وإيتون، كل من خلال ممثله المفوض حسب الأصول، على شروط وأحكام DPA هذه اعتبارًا من تاريخ السريان.

 

الجدول أ

أ. قائمة الأطراف

إيتون: [تفاصيل الهوية والاتصال بشركة Eton، وعند الاقتضاء، لمسؤول حماية البيانات و/أو ممثلها]

1. الاسم: ____________________________________________

العنوان: ____________________________________________

اسم جهة الاتصال ومنصبها وتفاصيل الاتصال بها: ____________________________________________________

الأنشطة ذات الصلة بالبيانات المنقولة بموجب هذه البنود: كما هو موضح في الجزء ب.

التوقيع والتاريخ: ____________________________________________________

الدور (وحدة التحكم/المعالج): وحدة التحكم/المعالج

البائع (الموردون): [تفاصيل الهوية والاتصال الخاصة بالمورد (البائعين)، بما في ذلك أي جهة اتصال مسؤولة عن حماية البيانات]

1. الاسم: ____________________________________________

العنوان: ____________________________________________

اسم جهة الاتصال ومنصبها وتفاصيل الاتصال بها: ____________________________________________________

الأنشطة ذات الصلة بالبيانات المنقولة بموجب هذه البنود: ____________________________________________________

التوقيع والتاريخ: ____________________________________________________

الدور (وحدة التحكم/المعالج): المعالج/المعالج الفرعي

ب. وصف النقل

فئات موضوعات البيانات التي يتم نقل بياناتها الشخصية

قد تقدم Eton البيانات الشخصية إلى الخدمات، والتي يتم تحديد مداها والتحكم فيه من قبل Eton وفقًا لتقديرها الخاص، والتي قد تشمل، على سبيل المثال لا الحصر، البيانات الشخصية المتعلقة بالفئات التالية من موضوعات البيانات [لإدراج موضوعات البيانات التي يتم نقل بياناتها الشخصية (على سبيل المثال، HNI، الموظف، إلخ.)]

فئات البيانات الشخصية المنقولة

قد تقدم Eton البيانات الشخصية إلى المورد، والتي يتم تحديد مداها والتحكم فيه من قبل Eton وفقًا لتقديرها الخاص، والتي قد تشمل، على سبيل المثال لا الحصر، الفئات التالية من البيانات الشخصية: (الأسماء...)، والألقاب، والوظيفة، وصاحب العمل، ومعلومات الاتصال (البريد الإلكتروني، والهاتف، والفاكسات، والعنوان الفعلي وما إلى ذلك)، وبيانات التعريف، وبيانات الاتصال، أو بيانات التعريب (بما في ذلك عناوين IP)، وبيانات التطبيق الخاصة بعملاء Eton. [لملء البيانات الشخصية التي تتم مشاركتها مع البائع (على سبيل المثال - الاسم والبريد الإلكتروني ورقم الهاتف وما إلى ذلك)] البيانات الحساسة المنقولة (إن وجدت) والقيود أو الضمانات المطبقة التي تأخذ في الاعتبار تمامًا طبيعة البيانات والمخاطر التي تنطوي عليها، مثل القيود الصارمة على الغرض، وقيود الوصول (بما في ذلك الوصول فقط للموظفين الذين تلقوا تدريبًا متخصصًا)، والاحتفاظ بسجل للوصول إلى البيانات، والقيود المفروضة على عمليات النقل إلى الأمام أو التدابير الأمنية الإضافية [لإدراج فئات البيانات الحساسة المنقولة، إن وجدت] وتيرة النقل (على سبيل المثال، ما إذا كانت البيانات تُنقل لمرة واحدة أو بشكل مستمر) يتم نقل البيانات الشخصية على أساس مستمر

الغرض (الأغراض) من نقل البيانات والمعالجة الإضافية

يتم نقل البيانات الشخصية في سياق الوصول والاستخدام من قبل Eton للخدمات حتى يتمكن البائع من تقديم الخدمات. الفترة التي سيتم الاحتفاظ فيها بالبيانات الشخصية، أو، إذا لم يكن ذلك ممكنًا، المعايير المستخدمة لتحديد تلك الفترة عند إنهاء حساب Eton، سيحذف البائع جميع البيانات الشخصية وفقًا للبند 8 من DPA. لا ينطبق هذا الشرط إلى الحد الذي يسمح فيه القانون المعمول به للبائع بالاحتفاظ ببعض أو كل البيانات الشخصية، وفي هذه الحالة يجب على إيتون عزل البيانات الشخصية وحمايتها من أي معالجة أخرى. بالنسبة لعمليات النقل إلى المعالجات (الفرعية)، حدد أيضًا موضوع المعالجة وطبيعتها ومدتها كما هو موضح في الجدول C.

الجدول ب

التدابير الفنية والتنظيمية لضمان أمن البيانات

وصف التدابير الفنية والتنظيمية التي ينفذها البائع (البائعون) (بما في ذلك أي شهادات ذات صلة) لضمان مستوى مناسب من الأمان، مع مراعاة طبيعة ونطاق وسياق وغرض المعالجة والمخاطر على حقوق وحريات الأشخاص الطبيعيين.

الأشخاص

  • الوعي بالأمن السيبراني والنظافة
  • التحقق من الخلفية (الجنائية، التعليم، العمل السابق، فحوصات الائتمان على سبيل المثال لا الحصر)
  • دليل الموظف
  • النشرات الإخبارية ورسائل البريد الإلكتروني لتعزيز الوعي بالأمن السيبراني.

عملية

  • سياسة وإجراءات أمن المعلومات
  • سياسة الاستخدام المقبول
  • عملية تأديبية للمخالفات
  • سياسة إدارة التغيير
  • سياسة الاستجابة للحوادث
  • ممارسات BCP و DR
  • سياسة إدارة الطرف الثالث (البائع)
  • سياسة تصنيف البيانات
  • مبدأ الوصول إلى البيانات بأقل الامتيازات:
  • تحتاج إلى القيام به
  • حق المعرفة
  • سياسة مسح الشاشة المكتبية.

تقنية

  • عناصر التحكم في الوصول المادي
  • عناصر التحكم في الوصول القائمة على الأدوار مع تعريف الدور الدقيق.
  • تشفير البيانات أثناء الراحة وأثناء المعالجة وأثناء النقل
  • تشفير الكمبيوتر المحمول باستخدام تشفير Windows Bit Locker.
  • كل الوصول عن بعد من خلال VPN
  • حماية الشبكة متعددة الطبقات باستخدام أجهزة التوجيه والخوادم الوكيلة وجدار الحماية L7 و WAF
  • نظام كشف التسلل
  • مراقبة السجلات واكتشاف الحوادث والاستجابة لها
  • سياسة تقوية الجهاز.
  • النسخ الاحتياطي والاسترداد
  • مركز الأمان
  • خزينة المفاتيح
  • إدارة التصحيح
  • مكافحة البرامج الضارة ومحرك AV

الجدول ج

قائمة المعالجات الفرعية

سمحت Eton باستخدام المعالجات الفرعية التالية:

1. الاسم: ____________________________________________

العنوان: ____________________________________________

اسم جهة الاتصال ومنصبها وتفاصيل الاتصال بها: ____________________________________________________

وصف المعالجة (بما في ذلك التحديد الواضح للمسؤوليات في حالة اعتماد العديد من المعالجات الفرعية): ____________________________________________________

2. الاسم: ____________________________________________

العنوان: ____________________________________________

اسم جهة الاتصال ومنصبها وتفاصيل الاتصال بها: ____________________________________________________

وصف المعالجة (بما في ذلك التحديد الواضح للمسؤوليات في حالة اعتماد العديد من المعالجات الفرعية): ____________________________________________________

3. إلخ.