ادخل ألمس

الموافقة على ملفات تعريف الارتباط

نحن نستخدم «ملفات تعريف الارتباط» والتقنيات ذات الصلة للمساعدة في التعرف عليك وعلى أجهزتك، لتشغيل موقعنا، وتحسين تجربتك وإجراء الإعلانات والتحليلات. بعض ملفات تعريف الارتباط هذه اختيارية ولا يتم استخدامها إلا عندما توافق عليها. يمكنك الموافقة على جميع ملفات تعريف الارتباط الاختيارية الخاصة بنا مرة واحدة، أو إدارة تفضيلاتك الخاصة من خلال رابط «تفضيلات ملفات تعريف الارتباط». يمكنك قراءة المزيد حول الاستخدامات في موقعنا سياسة ملفات تعريف الارتباط.

التفضيلاتأنكراقبل

اتفاقية معالجة البيانات

قم بتنزيل اتفاقية معالجة البيانات PDF

تنزيل

 اتفاقية معالجة البيانات هذه (»وكالة حماية البيانات«)، اعتبارًا من 21 ديسمبر 2023 بين عامي العميل البيانات وحدة التحكم«أو»العميل») و Eton Solutions, L.P. معالج البيانات«أو»إيتون«) تحدد الشروط والأحكام المتعلقة بخصوصية وسرية وأمن وحماية البيانات الشخصية (على النحو المحدد أدناه) المرتبطة بالخدمات التي يقدمها و/أو المنتجات التي يقدمها المعالج إلى وحدة التحكم (و/أو الشركات التابعة له) وفقًا لأي اتفاقية بين Eton والعميل (و/أو الشركات التابعة لها)، بغض النظر عما إذا كانت هذه الاتفاقية موجودة اعتبارًا من تاريخ السريان أو بعده (مثل هذه الاتفاقية، حسب الاقتضاء،»اتفاقية الخدمات»)، والتي، إلى جانب اتفاق سلام دارفور هذا، فإن»اتفاقية»).

1. تعريفات

»الشركات التابعة«يعني أي كيان يتحكم الآن أو في المستقبل بشكل مباشر أو غير مباشر أو يخضع لسيطرة أو ملكية مشتركة طالما كانت هذه السيطرة موجودة، حيث تعني كلمة «السيطرة» (بما في ذلك المصطلحان «يسيطر عليها» و «تحت السيطرة المشتركة مع») امتلاك، بشكل مباشر أو غير مباشر، سلطة توجيه سياسات إدارة الكيان أو التأثير عليها أو التسبب في توجيهها، سواء من خلال ملكية أوراق التصويت أو عن طريق العقد أو غير ذلك.

»مجموع«يعني الجمع بين المعلومات التي تتعلق بمجموعة أو فئة من الأفراد، تمت إزالة الهويات الفردية منها، والتي لا ترتبط أو يمكن ربطها بشكل معقول بأي فرد أو أسرة، بما في ذلك عبر الجهاز.

»إخفاء الهوية«يجب أن يكون له المعنى المنسوب إليه في اللائحة العامة لحماية البيانات ويجب أن يتضمن أيضًا «إلغاء التعريف» على النحو المحدد في CCPA و CPRA.

»CCPA«يعني قانون خصوصية المستهلك في كاليفورنيا لعام 2018 ولوائحه التنفيذية. »CPRA«يعني قانون حقوق الخصوصية في كاليفورنيا لعام 2020 ولوائحه التنفيذية.

»بيانات العميل الشخصية«تعني البيانات الشخصية التي تتم معالجتها بواسطة Eton كمعالج نيابة عن العميل أو الشركة التابعة له وفقًا لاتفاقية الخدمات.

»SCCs من وحدة تحكم إلى معالج«يعني البنود التعاقدية القياسية (المعالجات) في ملحق قرار المفوضية الأوروبية الصادر في 5 فبراير 2010، حيث يمكن تعديلها أو استبدالها من وقت لآخر.

 «وحدة تحكم البيانات« يعني الكيان الذي يحدد أغراض ووسائل معالجة البيانات الشخصية.

«معالج البيانات« يعني الكيان الذي يعالج البيانات الشخصية نيابة عن وحدة التحكم في البيانات.

»قوانين حماية البيانات«يعني، حسب الاقتضاء على الأطراف، جميع قوانين حماية البيانات والقواعد واللوائح والتوجيهات والمتطلبات الحكومية المعمول بها حاليًا وعندما تصبح سارية فيما يتعلق بأي شكل من الأشكال بخصوصية البيانات الشخصية أو سريتها أو أمنها أو حمايتها، ويجب أن تشمل اللائحة العامة لحماية البيانات و PDPA و CCPA و CPRA،

»موضوع البيانات«يعني الشخص الطبيعي المحدد أو القابل للتحديد الذي تتعلق به البيانات الشخصية.

»أوروبا«أو»الاتحاد الأوروبي«تعني المنطقة الاقتصادية الأوروبية بالإضافة إلى سويسرا والمملكة المتحدة.

»GDPR«يعني بشكل جماعي اللائحة العامة لحماية البيانات 2016/679 للبرلمان الأوروبي والمجلس بتاريخ 27 أبريل 2016 بصيغتها المعدلة أو المستبدلة من وقت لآخر، وقانون حماية البيانات في المملكة المتحدة لعام 2018 («GDPR في المملكة المتحدة» لأنه يشكل جزءًا من قانون الاتحاد الأوروبي المحتفظ به (على النحو المحدد في قانون الاتحاد الأوروبي (الانسحاب) 2018)).

»PDPA«يعني قانون حماية البيانات الشخصية لعام 2012.

«البيانات الشخصية« يعني أي بيانات أو معلومات أو سجل تتم معالجته فيما يتعلق باتفاقية الخدمات (1) المتعلقة بشخص طبيعي محدد أو قابل للتحديد، أو (2) يحدد، أو يرتبط، أو يصف، أو يمكن بشكل معقول أن يرتبط به، أو يمكن ربطه بشكل معقول، بشكل مباشر أو غير مباشر، بفرد أو أسرة معينة، بغض النظر عن الوسائط التي يتم الاحتفاظ بها فيها.

»خرق البيانات الشخصية«يعني (1) خرق الأمن الذي يؤدي إلى التدمير العرضي أو غير القانوني أو الخسارة أو التغيير أو الكشف غير المصرح به أو الوصول غير المصرح به إلى بيانات العميل الشخصية التي تتم معالجتها بموجب اتفاقية الخدمات، أو (2) حادث مماثل يتضمن بيانات العميل الشخصية.

«عملية،»»المعالجة«أو»تمت معالجتها« يعني أي عملية أو مجموعة من العمليات التي يتم إجراؤها على البيانات الشخصية أو على مجموعات من البيانات الشخصية، سواء كان ذلك بوسائل آلية أم لا، مثل الجمع أو التسجيل أو التنظيم أو الهيكلة أو التخزين أو التكييف أو التغيير أو الاسترجاع أو الاستشارة أو الاستخدام أو الكشف عن طريق الإرسال أو النشر أو الإتاحة أو المحاذاة أو الجمع أو التقييد أو المحو أو التدمير.

»بيع» يجب أن يكون لها المعنى المنسوب إليها في CCPA.

«حساس شخصي البيانات« يجب أن يكون للوسائل المعنى على النحو المنسوب في GDPR و PDPA و CPRA.

»البنود التعاقدية القياسية» أو »SCCs«يعني، حسب الاقتضاء، وحدات SCCs من وحدة تحكم إلى معالج التي تم الدخول إليها بين الطرفين.

»السلطة الإشرافية«يعني المنظم الحكومي أو سلطة الإنفاذ التي لديها سلطة تنظيمية أو تنفيذية فيما يتعلق بالخصوصية أو السرية أو الأمن أو حماية البيانات الشخصية.


2. طبيعة معالجة البيانات

2.1 قيود المعالجة. ستقوم Eton بمعالجة البيانات الشخصية للعميل والبيانات الشخصية الحساسة فقط وفقًا لجدول المعالجة المنصوص عليه في الملحق 1 (القسم أ)، نيابة عن تعليمات العميل المكتوبة ووفقًا لها على النحو المنصوص عليه في اتفاقية الخدمات أو وفقًا لها. ستتعامل Eton مع البيانات الشخصية للعميل كمعلومات سرية وتفرض التزامات السرية على جميع الموظفين الذين يعالجون بيانات العميل الشخصية. لن تقوم إيتون (1) ببيع البيانات الشخصية للعميل أو البيانات الشخصية الحساسة؛ ولا (2) الاحتفاظ ببيانات العميل الشخصية أو استخدامها أو الكشف عنها (أ) لأي غرض بخلاف الأغراض المحددة للأداء بموجب الاتفاقية، أو (ب) خارج علاقة العمل المباشرة بين إيتون والعميل (والشركات التابعة لها).

إذا كان القانون المعمول به يتطلب من Eton (أو، لتجنب الشك، أي معالج فرعي) إجراء معالجة لا تتوافق أو يمكن تفسيرها على أنها غير متوافقة مع تعليمات العميل، فسوف تقوم Eton بإخطار العميل على الفور بهذا التناقض قبل بدء (أو متابعة) المعالجة، ما لم يكن الإخطار محظورًا بموجب القانون.

2.2 دور الأطراف. فيما بين Eton والعميل (والشركات التابعة له)، فإن العميل (أو الشركة التابعة له) هو المتحكم في بيانات العميل الشخصية، وإيتون هو معالج البيانات، الذي يعالج البيانات الشخصية للعميل نيابة عن العميل (أو الشركة التابعة له) ولن يكون له حقوق ملكية أو مصلحة في البيانات الشخصية للعميل. يقر الطرفان ويوافقان على أن (1) البيانات الشخصية للعميل، التي يفصح عنها العميل أو الشركة التابعة له لشركة إيتون، يتم تقديمها إلى إيتون لغرض تجاري، ولا يبيع العميل البيانات الشخصية إلى إيتون فيما يتعلق بالاتفاقية؛ و (2) خلال الوقت الذي تتم فيه معالجة البيانات الشخصية للعميل والبيانات الشخصية الحساسة من قبل إيتون، لا يكون لدى العميل (أو الشركة التابعة له) أي معرفة أو سبب للاعتقاد بأن إيتون غير قادرة على الامتثال لأحكام قانون حماية البيانات هذا. العميل (أو الشركة التابعة له) إذا لم يتمكن من تقديم الخدمات.

2.3 إخفاء هوية البيانات أو تجميعها. لا يجوز لشركة Eton إخفاء هوية البيانات الشخصية للعميل والبيانات الشخصية الحساسة كجزء من أدائها بموجب اتفاقية الخدمات أو لأي غرض آخر، ما لم تحصل على موافقة كتابية مسبقة من العميل لمثل هذه الأنشطة. إذا تم تقديم هذه الموافقة من قبل العميل، فلا يمكن إجراء إخفاء الهوية أو التجميع، حسب الحالة، إلا بالقدر الذي يفي فيه هذا النشاط بالمعيار المعمول به المطلوب بموجب قوانين حماية البيانات المعمول بها. قد تقوم Eton بتجميع البيانات الشخصية للعميل والبيانات الحساسة كجزء من أدائها بموجب اتفاقية الخدمات لعرض إحصائيات أداء البيانات المالية.


3. الامتثال للقانون المعمول به

يجب على الأطراف الامتثال لقوانين حماية البيانات. لا تهدف DPA هذه إلى تقليل مستوى الحماية المطبقة على كل موضوع بيانات. في حالة وجود أي تعارض بين DPA واتفاقية الخدمات، تسري شروط DPA. إذا كان هناك أي تعارض بين قانون حماية البيانات هذا وقوانين حماية البيانات، فسوف تسري أحكام قوانين حماية البيانات المعمول بها. وفقًا للقسم 5 أدناه، ستلتزم Eton بمعايير ومتطلبات الصناعة التي تنطبق على Eton وتتعلق بالخصوصية أو السرية أو الأمان أو الحماية أو التخزين الإلكتروني لبيانات العميل الشخصية. إذا اعتقدت إيتون أن أي تعليمات من العميل تنتهك أو ستؤدي إلى معالجة تنتهك القانون المعمول به، فستقوم إيتون بإخطار العميل على الفور.


4. معالجات فرعية

4.1 تعيين المعالجين الفرعيين. لن تتعاقد Eton من الباطن على أي من حقوقها أو التزاماتها بموجب الاتفاقية دون موافقة كتابية مسبقة من العميل. ما لم يتم الاتفاق على خلاف ذلك في اتفاقية الخدمات، يوافق العميل بموجب هذا على استخدام Eton للشركات التابعة لها كمعالجين فرعيين وأي أطراف ثالثة أخرى كمعالجين فرعيين إذا تم تحديد هذه الأطراف الثالثة على وجه التحديد في اتفاقية الخدمات (بما في ذلك أي بيان عمل أو نموذج طلب قابل للتطبيق). يجب على Eton تزويد العميل بإشعار كتابي بأي تغييرات مقصودة على المعالجات الفرعية المعتمدة ويجب على العميل إخطار Eton كتابيًا على الفور بأي اعتراض على هذه التغييرات المعقولة والمتعلقة بحماية البيانات. عندما تقوم شركة Eton، بموافقة العميل على عدم حجب هذه الموافقة إلا بسبب اعتراض كما هو موضح أعلاه، بالتعاقد من الباطن على التزاماتها بموجب اتفاقية الخدمات مع معالج فرعي تم اعتباره قادرًا على حماية البيانات الشخصية للعميل، فإن Eton لن تفعل ذلك إلا عن طريق اتفاقية مكتوبة مع هذا المعالج الفرعي الذي يفرض التزامات الخصوصية والسرية والأمن وحماية البيانات على المعالج الفرعي بما يعادل على الأقل تلك المنصوص عليها في DPA هذه، بما في ذلك الالتزام لفرض هذه الالتزامات على أي معالج فرعي إضافي.

4.2 المسؤولية. ستظل إيتون مسؤولة أمام العميل عن (1) التزاماتها بموجب الاتفاقية حتى إذا تم تفويض هذه الالتزامات إلى معالج فرعي، بما في ذلك الأداء المناسب وفي الوقت المناسب للخدمات، و (2) أفعال أو إغفالات أي شخص أو كيان تفوض إيتون إليه أي التزام من هذا القبيل.


5. الأمان

5.1 برنامج الأمان. مع الأخذ في الاعتبار أحدث التطورات وتكاليف التنفيذ وطبيعة ونطاق وسياق وأغراض المعالجة، بالإضافة إلى مخاطر اختلاف الاحتمالية والشدة بالنسبة لحقوق وحريات موضوعات البيانات، ستحافظ إيتون أو تتسبب في الحفاظ على برنامج أمن معلومات معقول ومناسب يتوافق مع قوانين حماية البيانات ومصمم لضمان سرية وسلامة وتوافر ومرونة جميع البيانات الشخصية للعميل بشكل معقول.
 

5.2 تدابير الأمان. يجب أن تحافظ إيتون على تدابير أمنية إدارية ومادية وتقنية معقولة ومناسبة (بما في ذلك الإلكترونية) والتنظيمية بما في ذلك، حسب الاقتضاء: (1) التشفير والاسم المستعار؛ (2) القدرة على ضمان استمرار السرية والنزاهة والتوافر والمرونة لأنظمة المعالجة والخدمات؛ (3) القدرة على استعادة توافر البيانات الشخصية للعميل والوصول إليها في الوقت المناسب في حالة وقوع حادث مادي أو تقني؛ و (4) عملية للاختبار المنتظم، تقييم وتقييم فعالية هذه التدابير. تمثل إيتون وتضمن أنها نفذت التدابير الأمنية الإدارية والمادية والتقنية والتنظيمية الموضحة في الملحق 2 المرفق لحماية البيانات الشخصية للعميل. توافق Eton على تخزين البيانات الشخصية للعميل وفقًا لاتفاقية الخدمات في الولايات المتحدة وتقر أيضًا بأنها لن تجمع البيانات الشخصية مع البيانات الشخصية للشركات التابعة لها.

5.3 الوصول إلى البيانات الشخصية للعميل. ستضمن Eton أن البيانات الشخصية للعميل متاحة فقط لموظفي Eton الذين لديهم حاجة تجارية مشروعة للوصول إلى البيانات الشخصية للعميل، والذين يلتزمون بالتزامات السرية القابلة للتنفيذ قانونًا، والذين تلقوا تدريبًا على سياسات وإجراءات حماية البيانات المعمول بها، والذين سيعالجون بيانات العميل الشخصية فقط وفقًا لتعليمات العميل. إذا كانت Eton غير قادرة على المعالجة وفقًا لتعليمات العميل أثناء معالجة البيانات الشخصية للعميل، فستقوم Eton بإبلاغ العميل على الفور.

5.4 الاستجابة والإخطار بخرق البيانات الشخصية. ستقوم إيتون على الفور في غضون 72 ساعة، ودون تأخير لا مبرر له، بإخطار العميل بأي خرق للبيانات الشخصية تصبح إيتون على علم به بإرسال إشعار خطي عبر البريد الإلكتروني، وستقدم إيتون إشعارًا إضافيًا حسب التوفر والذي سيلخص بتفاصيل معقولة طبيعة خرق البيانات الشخصية، بما في ذلك الفئات والأعداد التقريبية لموضوعات البيانات المتأثرة؛ ما إذا كانت البيانات الشخصية للعميل مفقودة أو مسروقة أو معرضة للخطر، إذا كانت معروفة؛ تقييم إيتون لعواقب خرق البيانات الشخصية؛ الإجراء التصحيحي المتخذ أو الذي سيتم اتخاذه تم التقاطها بواسطة إيتون؛ أي نقطة (جهات) الاتصال الداخلية المسؤولة عن إدارة الخرق أو الاستجابة له؛ ومسؤول حماية البيانات في Eton أو ما يعادله بموجب قوانين حماية البيانات المعمول بها، إن وجدت. ستتخذ Eton على الفور جميع الإجراءات التصحيحية اللازمة والمستحسنة وستتعاون بشكل كامل مع العميل في جميع الجهود المعقولة والقانونية لمنع أو تخفيف أو تصحيح مثل هذا الخرق للبيانات الشخصية. وفقًا لتقييم العميل، إذا كان يجب الكشف عن خرق البيانات الشخصية الذي يؤثر على البيانات الشخصية للعميل أو الإبلاغ عنه إلى طرف ثالث، بما في ذلك موضوعات البيانات أو السلطات الإشرافية أو السلطات الحكومية، فإن Eton ستتعاون بشكل كامل مع العميل وتساعده في مثل هذا الإبلاغ أو الكشف في غضون 72 ساعة.


6. عمليات التدقيق/التفتيش

ستوفر Eton للعميل جميع المعلومات اللازمة لإثبات الامتثال لالتزامات DPA هذه. سيكون للعميل الحق في التحقق من امتثال Eton وأي معالج فرعي لشروط DPA هذه فيما يتعلق بمعالجة البيانات الشخصية للعميل أو تعيين مدقق طرف ثالث (غير منافس لـ Eton) بموجب التزامات معقولة بالسرية للتحقق من ذلك نيابة عن العميل. ستمنح Eton العميل أو وكلائه إمكانية الوصول إلى الحد اللازم لإنجاز فحص ومراجعة جميع مرافق معالجة البيانات وملفات البيانات والوثائق الأخرى فيما يتعلق بمعالجة البيانات الشخصية للعميل وفقًا للاتفاقية. توافق Eton على تقديم مساعدة معقولة للعميل في تسهيل وظيفة الفحص هذه. سيقدم العميل إلى Eton إشعارًا كتابيًا قبل 30 يومًا بنية التدقيق ولن يقدم مثل هذا الطلب أكثر من مرة في السنة التقويمية (ما لم يكن هناك خرق للبيانات الشخصية يؤثر على البيانات الشخصية للعميل). في حالة عدم امتلاك Eton الحق في تدقيق (أو فرض حق العميل في التدقيق) على أي معالج فرعي، يجب على Eton بدلاً من ذلك إتاحة نسخ من الشهادات أو التقارير لمراجعة العميل التي توضح امتثال هذا المعالج الفرعي لمعايير أمان البيانات السائدة المطبقة على معالجة بيانات العميل الشخصية. بغض النظر عن أي حكم مخالف في DPA هذه، يتفق الطرفان على أن عمليات التدقيق الموضحة في SCCs المعمول بها من وحدة تحكم إلى معالج يجب أن تتم وفقًا لهذا القسم.


7. التزام إيتون بالتعاون

7.1 تعاون. ستقدم Eton مساعدة معقولة للعميل في (1) الاستجابة لطلبات أصحاب البيانات لممارسة حقوقهم بموجب قوانين حماية البيانات؛ (2) المساعدة في أداء العميل لتقييم تأثير حماية البيانات فيما يتعلق بمعالجة البيانات الشخصية للعميل بموجب اتفاقية DPA هذه؛ و (3) طلبات أو تحقيقات العميل من قبل سلطة إشرافية فيما يتعلق بمعالجة البيانات الشخصية للعميل بموجب الاتفاقية. يحق لشركة Eton فرض رسوم معقولة للوفاء بالتزاماتها بموجب هذا القسم بالإضافة إلى سداد جميع التكاليف والنفقات المتكبدة.

7.2 طلبات وشكاوى وصول الطرف الثالث. ستقوم Eton بإخطار العميل على الفور في غضون 72 ساعة بأي طلب أو شكوى من أي سلطة إشرافية أو مسؤول حكومي أو موضوع بيانات أو أي طرف ثالث يتعلق بالبيانات الشخصية للعميل أو التزامات العميل بموجب قوانين حماية البيانات. ستقوم Eton بإخطار العميل بأي أمر أو استدعاء أو أي طلب آخر مماثل إلى Eton فيما يتعلق بأي بيانات شخصية للعميل في موعد لا يتجاوز خمسة (5) أيام عمل بعد الاستلام، ما لم يكن ذلك محظورًا بموجب القانون المعمول به. ستمتثل Eton لأي طلبات استبقاء من العميل فيما يتعلق بالبيانات الشخصية للعميل وستقدم الدعم المطلوب حتى يتمكن العميل من الامتثال لطلبات الطرف الثالث إذا لم يتمكن العميل من الحصول على هذه المعلومات بشكل معقول.


8. الاحتفاظ بالبيانات وإعادتها وحذفها

8.1 استبقاء. لن تحتفظ Eton بالبيانات الشخصية للعميل لفترة أطول مما هو ضروري بشكل معقول لتحقيق الأغراض المقصودة التي تمت معالجة البيانات الشخصية للعميل من أجلها وفقًا للاتفاقية.
 

8.2 الإرجاع والحذف. عندما لا تكون البيانات الشخصية للعميل ضرورية للأغراض المنصوص عليها في اتفاقية الخدمات المعمول بها أو فور انتهاء الاتفاقية أو إنهائها، أيهما أسبق، أو في وقت سابق حسب طلب العميل كتابيًا، ستقوم إيتون بما يلي: (1) العودة إلى العميل، بالشكل وعلى الوسائط التي طلبها العميل، كلها أو، إذا حددها العميل، أي جزء من البيانات الشخصية للعميل؛ و (2) تدمير كل البيانات الشخصية للعميل، أو إذا حددها العميل، أي منها جزء من البيانات الشخصية للعميل في حوزة إيتون أو سيطرتها؛ شريطة أن: (أ) في حالة العميل تطلب مثل هذه الإعادة أو التدمير، إلى الحد الذي يتم فيه استبعاد إيتون أو تأخيرها في الوفاء بالتزاماتها بموجب اتفاقية الخدمات بدون هذه البيانات الشخصية للعميل، ولا يشكل هذا الفشل أو التأخير خرقًا لتلك الالتزامات؛ و (ب) يمكن الاحتفاظ بنسخ من هذه البيانات الشخصية للعميل إلى الحد الذي يتم تخزينها فيه إلكترونيًا وفقًا لإجراءات النسخ الاحتياطي للدورة العادية لشركة إيتون (بما في ذلك، على سبيل المثال لا الحصر، تلك المتعلقة بالاتصال الإلكتروني) طالما أن هذه البيانات الشخصية للعميل تظل سرية حسب الاقتضاء بموجب اتفاقية DPA هذه. ستنطبق الالتزامات السابقة أيضًا على البيانات الشخصية للعميل التي يحتفظ بها المعالجون الفرعيون إلى الحد الذي تسمح به اتفاقية Eton مع هؤلاء المعالجين الفرعيين. ستقدم إيتون شهادة التدمير إذا طُلب ذلك. إذا كان القانون المعمول به لا يسمح لشركة Eton بالامتثال لإعادة البيانات الشخصية للعميل أو إتلافها، فإن Eton توافق على أن تظل هذه البيانات الشخصية للعميل المحتفظ بها في حوزة Eton وفقًا لشروط DPA هذه وستعيد أو تدمر هذه البيانات الشخصية للعميل عندما يسمح القانون المعمول به.


9. عمليات نقل البيانات الدولية

9.1 آلية النقل. إذا كانت الخدمات و/أو المنتجات التي تقدمها Eton بموجب اتفاقية الخدمات تنطوي على نقل دولي لبيانات العميل الشخصية التي تحكمها قوانين حماية البيانات، فلن يحدث هذا النقل إلا إذا (حسب الاقتضاء): (1) البلد أو الإقليم الذي سيتم النقل إليه يقع داخل المنطقة الاقتصادية الأوروبية أو سويسرا؛ (2) اعتبرت المفوضية الأوروبية أو السلطة الإشرافية المعمول بها أن البلد أو الإقليم الذي يتم نقل البيانات إليه مناسب لأغراض حماية البيانات؛ أو (3) يمكن أن توفر إيتون الضمانات المناسبة وفقًا لقوانين حماية البيانات المعمول بها. قد تشمل هذه الضمانات المناسبة، على سبيل المثال لا الحصر، وجود قواعد مؤسسية ملزمة، أو من خلال المعالجة بطريقة تتفق مع نظام قواعد الخصوصية عبر الحدود التابع لمنظمة التعاون الاقتصادي لآسيا والمحيط الهادئ، أو من خلال الالتزام بآلية إصدار الشهادات أو الآلية التعاقدية أو مدونة السلوك التي تمت الموافقة عليها من قبل السلطة الإشرافية المعمول بها.

9.2 البنود التعاقدية القياسية. إذا لم تنطبق أي من الآليات السابقة في القسم 9.1 على نقل البيانات الشخصية خارج أوروبا، فسيخضع نقل البيانات الشخصية للعميل لإصدار الاتحاد الأوروبي غير المتغير من SCCs المعمول بها من وحدة التحكم إلى المعالج على التوالي. تعتبر SCCs مدمجة بالإشارة هنا (يعتبر التوقيع على DPA هذا توقيعًا على SCCs المعمول بها). لأغراض SCCs: (1) يجب اعتبار العميل مصدر البيانات وسيتم اعتبار Eton مستوردًا للبيانات. ستتم قراءة أي إشارات إلى التوجيه 95/46/EC في SCCs كمراجع للأحكام المناسبة من GDPR أو قانون حماية البيانات في المملكة المتحدة 2018 أو قانون حماية البيانات الفيدرالي السويسري 1992، حيثما أمكن ذلك وحسب الاقتضاء. لا يجوز تفسير أي شيء في DPA هذا على أنه يسود على أي بند متضارب من SCCs ما لم ينص أحد أحكام DPA هذه على ضمانات إضافية تتجاوز تلك الواردة في البند المتعارض في SCC وفي هذه الحالة يعتبر حكم DPA هذا مكملاً وإضافيًا ولا يتعارض مع شرط SCC هذا. تقر إيتون بأنها أتيحت لها الفرصة لمراجعة SCCs المعمول بها.

9.3 SCCS من وحدة تحكم إلى معالج. لأغراض SCCs من وحدة تحكم إلى معالج: (1) يجب أن يكون القانون الحاكم في الفقرة 9 هو قانون الولاية القضائية التي يقع فيها مصدر البيانات؛ (2) سيُعتبر بند التعويض التوضيحي في مراكز SCCs من وحدة تحكم إلى معالج غير منطبق بموجب هذا القسم؛ و (3) ما لم يتفق الطرفان على خلاف ذلك، ينطبق الملحقان 1 (القسم أ) و2 من اتفاقية حماية البيانات هذه ويُعتبران كما يلي: يكون الملحقان 1 و2 من وحدات SCCs من وحدة تحكم إلى معالج.

9.4 آليات نقل البيانات البديلة. يمكن الاعتماد على آليات النقل، بخلاف تلك الموضحة في القسم 9.1 - 9.3 أعلاه والتي تمت الموافقة عليها بموجب قوانين حماية البيانات، إن وجدت. يوافق الطرفان على بذل جهود معقولة لوضع هذه الآليات البديلة، عند الاقتضاء، وتعديل DPA هذا حسب الضرورة لضمان آليات النقل المتوافقة في حالة حدوث تغيير في قانون حماية البيانات. على وجه الخصوص، إذا تم تعديل SCCs أو استبدالها أو إلغاؤها من قبل المفوضية الأوروبية أو بموجب قوانين حماية البيانات، فسيعمل الطرفان معًا بحسن نية للدخول في أي نسخة محدثة من SCCs أو التفاوض بحسن نية على حل لتمكين النقل الدولي للبيانات الشخصية وفقًا لقوانين حماية البيانات.

9.5 النقل الدولي لبيانات العميل الشخصية من Eton إلى أطراف ثالثة. لن تقوم Eton بنقل البيانات الشخصية للعميل، داخليًا أو إلى معالجين فرعيين، من أي ولاية قضائية تقيد النقل الدولي للبيانات الشخصية إلى مناطق خارج تلك الولاية القضائية دون موافقة مسبقة من العميل وفقط بعد اتخاذ خطوات، على أساس مستمر، لضمان امتثال هذا النقل لقوانين حماية البيانات. إذا اكتشفت إيتون أو اعتقدت بشكل معقول أن أي بيانات شخصية للعميل قد تمت معالجتها أو تتم معالجتها في ولاية قضائية دون تنفيذ اتفاقية نقل البيانات اللازمة، فستضع إيتون اتفاقية النقل هذه على الفور وتقدم إشعارًا فوريًا للعميل.

9.6 نقل البيانات الشخصية خارج سنغافورة: لن تقوم Eton بنقل البيانات الشخصية للعميل إلى مكان خارج سنغافورة دون موافقة كتابية مسبقة من العميل. يقدم العميل الموافقة، وستقدم Eton تعهدًا كتابيًا للعميل بأن البيانات الشخصية للعميل المنقولة خارج سنغافورة ستتم حمايتها وفقًا لمعايير PDPA. إذا قامت Eton بنقل البيانات الشخصية للعميل إلى أي طرف ثالث أو معالج فرعي، فيجب على Eton الحصول على نفس التعهد الكتابي من هذا الطرف الثالث أو المعالج الفرعي. 

9.7 تقييمات النقل الدولية. ستجري Eton وتحافظ طوال فترة DPA على تقييم دولي لنقل البيانات يوضح امتثالها لشروط DPA هذه، وقواعد SCCs، إن أمكن، فيما يتعلق بعمليات المعالجة المحددة، بما في ذلك من قبل الشركات التابعة لها والمعالجات الفرعية، وموضوع (مواضيع) البيانات وفئات البيانات الشخصية للعميل التي تتم معالجتها بموجب DPA هذه، وستجعل هذا التقييم متاحًا للعميل عند الطلب. تؤكد Eton أنها ستراقب في جميع الأوقات قدرتها على إجراء عمليات نقل دولية لبيانات العميل الشخصية والحفاظ على تقييمها الدولي لنقل البيانات. ستتعاون Eton مع العميل وتقدم له مساعدة معقولة فيما يتعلق بتقديم مثل هذا التقييم إلى السلطة الإشرافية.

9.8 التكاليف المتعلقة بالنقل الدولي للبيانات الشخصية إلى بلدان ثالثة. باستثناء ما هو منصوص عليه بخلاف ذلك، يتحمل كل طرف التكاليف الناجمة عن أي إجراءات أو تدابير يتخذها بموجب هذا القسم.


 

10. متنوع

10.1 معيار الحماية. تحل DPA هذه محل أي شرط في اتفاقية الخدمات إلى الحد الذي يتعلق فيه هذا الحكم بالخصوصية أو السرية أو الأمان أو حماية البيانات الشخصية؛ ولكن بشرط أنه في حالة وجود أي تعارض بين DPA واتفاقية الخدمات، ستمتثل Eton للالتزامات التي توفر أكبر قدر من الحماية للبيانات الشخصية للعميل.

10.2 القانون الحاكم. ستخضع اتفاقية DPA هذه وجميع المطالبات أو أسباب الدعوى (سواء في العقد أو المسؤولية التقصيرية) التي قد تستند إلى DPA هذه أو تنشأ عنها أو تتعلق بها بأي شكل من الأشكال، ويتم تفسيرها وفقًا للقوانين المحددة في اتفاقية الخدمات، باستثناء الحد الذي تتطلب فيه قوانين حماية البيانات خلاف ذلك. في مثل هذه الحالة، وإلى الحد المطلوب، ستخضع DPA هذه وفقًا لقوانين حماية البيانات هذه، وستخضع، إن أمكن، للولاية القضائية لمصدر البيانات ذي الصلة الذي قام بتصدير البيانات الشخصية.

10.3 التغييرات في قانون حماية البيانات. ستدخل Eton في أي اتفاقية أخرى يطلبها العميل بشكل معقول لأغراض الامتثال لقوانين حماية البيانات. في حالة وجود أي تعارض بين اتفاقية DPA هذه وأي اتفاقية مكتوبة أخرى تتعلق بالخصوصية أو السرية أو الأمان أو حماية البيانات، تسود هذه الاتفاقية المكتوبة الإضافية فيما يتعلق بمعالجة البيانات الشخصية التي تنطبق عليها.

10.4 الاتفاقية الكاملة/التعديلات. تشتمل اتفاقية DPA هذه على الاتفاقية الكاملة بين العميل وإيتون فيما يتعلق بموضوع هذه الاتفاقية، ولا توجد اتفاقيات أو تفاهمات أو شروط أو إقرارات أخرى، شفهية أو مكتوبة، صريحة أو ضمنية، تتعلق بموضوع هذه الاتفاقية، والتي لم يتم دمجها في DPA هذه أو استبدالها بها. لن يكون أي تعديل على DPA صالحًا ما لم يتم كتابيًا وموقعًا من قبل ممثلين مفوضين من جميع الأطراف.

10.5 المستفيدون من الطرف الثالث. إلى الحد الذي تستفيد فيه DPA و/أو تتعلق بالشركات التابعة للعميل، يجب أن تكون هذه الشركات التابعة طرفًا ثالثًا مستفيدًا من DPA لجميع الأغراض، بما في ذلك، على سبيل المثال لا الحصر، تطبيق أحكام هذه الاتفاقية.

10.6 النظراء/التوقيع الإلكتروني. يمكن تنفيذ DPA هذا في نظائر، سيتم اعتبار كل منها أصليًا، ولكن جميعها ستشكل معًا نفس الأداة. يمكن تبادل DPA أو أي نظير إلكترونيًا أو تخزينه إلكترونيًا كنسخة (مثل تنسيق.pdf). يتفق الطرفان على أن هذه النسخ المتبادلة أو المخزنة إلكترونيًا ستكون قابلة للتنفيذ كمستندات أصلية. يوافق الطرفان بموجب هذا على استخدام التوقيعات الإلكترونية و/أو الرقمية لتنفيذ اتفاقية DPA هذه ويوافقون أيضًا على أن استخدام التوقيعات الإلكترونية و/أو الرقمية سيكون ملزمًا ونافذًا ومقبولًا كدليل في أي نزاع يتعلق بـ DPA.

يوافق العميل وإيتون، كل من خلال ممثله المفوض حسب الأصول، على شروط وأحكام DPA هذه اعتبارًا من تاريخ السريان.

 

الملحق 1 جدول المعالجة

قد يتم نقل البيانات الشخصية التالية للعميل ومعالجتها للأغراض التالية. عند الاقتضاء، يشكل هذا الملحق جزءًا من SCCs، والتي تعتبر موقعة من قبل الأطراف عند التوقيع على اتفاقية الخدمات. حسب الاقتضاء، يجب أن يشكل القسم أ أدناه جزءًا من SCCs من وحدة تحكم إلى معالج.

مُصدّر البيانات: تشير جهة تصدير البيانات بشكل فردي وجماعي إلى العميل والشركات التابعة له (على النحو المحدد في اتفاقية الخدمات المعمول بها)، والتي تم تأسيسها في المنطقة الاقتصادية الأوروبية (EEA) وسويسرا والمملكة المتحدة.

مستورد البيانات: مستورد البيانات هو Eton إذا تم تأسيسه خارج المنطقة الاقتصادية الأوروبية وسويسرا والمملكة المتحدة. سيتم اعتبار Eton أيضًا مستوردًا للبيانات عندما يتم نقل البيانات الشخصية من المنطقة الاقتصادية الأوروبية أو سويسرا إلى المملكة المتحدة.

القسم أ (معالجة البيانات الشخصية للعميل)

الموضوع: يجوز لمصدر البيانات نقل البيانات الشخصية للعميل إلى مستورد البيانات فيما يتعلق بالخدمة و/أو المنتج الذي تقدمه Eton بموجب اتفاقية الخدمات.

مدة المعالجة: طوال مدة اتفاقية الخدمات.

موضوعات البيانات: قد تتعلق البيانات الشخصية للعميل المنقولة بالفئات التالية من موضوعات البيانات (يرجى التحديد):

  • البائعون والموردون الخارجيون، بما في ذلك المستشارون والاستشاريون والخبراء المحترفون وجهات الاتصال التسويقية (من الأشخاص الطبيعيين) وموظفيهم.
  • يمكن تحديد موضوعات البيانات الإضافية في بيان أو عمل أو طلب شراء أو نموذج طلب بموجب اتفاقية الخدمات.

فئات البيانات: قد تتعلق البيانات الشخصية للعميل المنقولة بالفئات التالية من البيانات (أو مجموعة فرعية من) (يرجى التحديد):

  • الأسماء ومعلومات الاتصال (بما في ذلك عنوان المنزل والعمل)
  • معلومات الهوية المالية والحكومية
  • معلومات مصرفية
  • يمكن تحديد فئات البيانات الإضافية في بيان أو عمل أو طلب شراء أو نموذج طلب بموجب اتفاقية الخدمات.

فئات خاصة من البيانات (إذا كان ذلك مناسبًا): قد تتعلق البيانات الشخصية للعميل المنقولة بالفئات الخاصة التالية من البيانات (يرجى التحديد):

  • لا شيء متوقع.

الطبيعة والغرض من عمليات المعالجة والمعالجة: ستخضع البيانات الشخصية للعميل المنقولة لأنشطة المعالجة الأساسية التالية (يرجى التحديد):

سيقوم مستورد البيانات بمعالجة البيانات الشخصية للعميل الخاص بمصدر البيانات على النحو المنصوص عليه في اتفاقية الخدمات فيما يتعلق بتقديم خدماته و/أو منتجاته. قد يشمل ذلك أي عملية مثل نقل البيانات وأي جمع أو تسجيل أو تنظيم أو هيكلة أو تخزين أو تكييف أو تغيير أو استرجاع أو استشارة أو استخدام أو الكشف عن طريق الإرسال أو النشر أو إتاحتها بطريقة أخرى أو المواءمة أو الجمع أو التقييد أو المحو أو إتلاف البيانات الشخصية للعميل (سواء كان ذلك بوسائل آلية أم لا).

 

 

الملحق 2

تدابير الأمان

فيما يلي تفاصيل الإجراءات الأمنية الإدارية والمادية والتقنية والتنظيمية لشركة Eton فيما يتعلق بمعالجة البيانات الشخصية. يشكل هذا الملحق، إن أمكن، جزءًا من البنود التعاقدية القياسية ويعتبر موقعًا من قبل الأطراف عند التوقيع على اتفاقية الخدمات.

نفذت Eton طبقات متعددة من التحكم المتوافقة مع SSAE SOC 2 Type 2 لحماية أصول المعلومات.

الأشخاص

  • الوعي بالأمن السيبراني والنظافة
  • التحقق من الخلفية (الجنائية، التعليم، العمل السابق، فحوصات الائتمان على سبيل المثال لا الحصر)
  • دليل الموظف
  • النشرات الإخبارية ورسائل البريد الإلكتروني لتعزيز الوعي بالأمن السيبراني.

عملية

  • سياسة وإجراءات أمن المعلومات
  • سياسة الاستخدام المقبول
  • عملية تأديبية للمخالفات
  • سياسة إدارة التغيير
  • سياسة الاستجابة للحوادث
  • ممارسات BCP و DR
  • سياسة إدارة الطرف الثالث (البائع)
  • سياسة تصنيف البيانات
  • مبدأ الوصول إلى البيانات بأقل الامتيازات:
  • تحتاج إلى القيام به
  • حق المعرفة
  • سياسة مسح الشاشة المكتبية.

تقنية

  • عناصر التحكم في الوصول المادي
  • عناصر التحكم في الوصول القائمة على الأدوار مع تعريف الدور الدقيق.
  • تشفير البيانات أثناء الراحة وأثناء المعالجة وأثناء النقل
  • تشفير الكمبيوتر المحمول باستخدام تشفير Windows Bit Locker.
  • كل الوصول عن بعد من خلال VPN
  • حماية الشبكة متعددة الطبقات باستخدام أجهزة التوجيه والخوادم الوكيلة وجدار الحماية L7 و WAF
  • نظام كشف التسلل
  • مراقبة السجلات واكتشاف الحوادث والاستجابة لها
  • سياسة تقوية الجهاز.
  • النسخ الاحتياطي والاسترداد
  • مركز أمان Azure
  • مخزن مفاتيح أزور
  • إدارة التصحيح
  • مكافحة البرامج الضارة ومحرك AV