تحدد اتفاقية معالجة البيانات هذه ("DPA ")،السارية اعتبارًا من 21 ديسمبر 2023 بين إيتون والبائع، الشروط والأحكام المتعلقة بخصوصية وسرية وأمن وحماية البيانات الشخصية (كما هو محدد أدناه) المرتبطة بالخدمات المقدمة من قبل و/أو المنتجات المقدمة من قبل البائع إلى إيتون (و/أو الشركات التابعة لها) بموجب أي اتفاقية بين إيتون والبائع (و/أو الشركات التابعة لها)، بغض النظر عما إذا كانت هذه الاتفاقية موجودة اعتبارًا من تاريخ السريان أو بعده (مثل هذه الاتفاقية حسب الاقتضاء، "اتفاقية الخدمات ")، والتي، جنبًا إلى جنب مع اتفاقية معالجة البيانات هذه،" الاتفاقية ").
يشار إلى البائع وإيتون معًا باسم"الأطراف"وبشكل فردي باسم"الطرف”.
ولذ وبناء عليه، اتفق الطرفان فيما بينهما على ما يلي:
1. التعريفات
لأغراض اتفاقية معالجة البيانات هذه، يكون للمصطلحات التالية المعاني المبينة قرين كل منها:
1.1."الأشخاص المصرح لهم" يعني أي أشخاص مخولين رسميًا وبشكل صحيح لأداء واجبات محددة مرتبطة بمكتب أو اتفاقية أو عقد ويجب أن يشملوا في هذا السياق موظفي البائع ووكلائه ومقاوليه من الباطن.
1.2"المراقب"يعني الشخص الطبيعي أو الاعتباري أو السلطة العامة أو الوكالة أو أي هيئة أخرى تحدد، بمفردها أو بالاشتراك مع الآخرين، أغراض ووسائل معالجة البيانات الشخصية.
1.3. “قوانين حماية البيانات"تعني - حسبما ينطبق على الأطراف – جميع القوانين واللوائح والأنظمة والتوجيهات والمتطلبات الحكومية المعمول بها حاليًا، وأي تعديلات تطرأ عليها مستقبلاً، والمتعلقة بأي شكل من الأشكال بخصوصية البيانات أو سريتها أو أمنها أو حمايتها. وتشمل هذه القوانين، على سبيل المثال لا الحصر: اللائحة العامة لحماية البيانات (GDPR)، قانون حماية البيانات الشخصية في سنغافورة (PDPA)، قانون خصوصية المستهلك في كاليفورنيا (CCPA)، قانون حقوق الخصوصية في كاليفورنيا (CPRA)
1.4. “الفرد المعني البياناتيعني شخصًا طبيعيًا محددًا أو يمكن التعرف عليه. يُعتبر الشخص الطبيعي قابلاً للتحديد، بشكل مباشر أو غير مباشر، خاصةً بالرجوع إلى مُعرّف مثل الاسم أو رقم التعريف أو بيانات الموقع أو مُعرّف عبر الإنترنت أو لواحد أو أكثر من الخصائص الخاصة التي تعبر عن الخصائص المادية أو الفسيولوجية أو الوراثية، الهوية العقلية والاقتصادية والثقافية والاجتماعية لهذا الشخص الطبيعي.
1.5. “البيانات الشخصية"تعني أي معلومات تتعلق بموضوع البيانات.
1.6. “انتهاك البيانات الشخصية"يُقصد به أي انتهاك أمني يؤدي إلى التدمير العرضي أو غير القانوني للبيانات الشخصية التي يتم نقلها أو تخزينها أو معالجتها بطريقة أخرى أو ضياعها أو تغييرها أو الإفصاح غير المصرح به عنها أو الوصول إليها.
1.7. “"المعالج"يعني شخصًا طبيعيًا أو اعتباريًا أو سلطة عامة أو وكالة أو هيئة أخرى تعالج البيانات الشخصية نيابة عن المراقب.
1.8. "الخدمات" تعني العمل الذي يؤديه البائع لشركة إيتون على النحو المنصوص عليه في اتفاقية الخدمات.
1.9. "اتفاقية الخدمات" تعني الاتفاقية بين البائع وإيتون التي تصف وتحكم الخدمات التي سيقدمها البائع إلى إيتون.
1.10. "المعالجة/ للمعالجة" تعني أي عملية أو مجموعة من العمليات التي يتم إجراؤها على البيانات الشخصية، سواء بوسائل تلقائية أم لا، مثل الجمع أو التسجيل أو التنظيم أو التخزين أو التعديل أو التغيير أو الاسترجاع أو التشاور أو الاستخدام أو الكشف عن طريق الإرسال أو النشر أو الإتاحة أو المحاذاة أو الجمع أو الحجب أو المحو أو التدمير.
2. معالجة البيانات
2.1. فيما يتعلق بتقديم الخدمات إلى إيتون، يقر البائع ويوافق على أنه يجوز له معالجة البيانات الشخصية فقط حسب الضرورة لأداء التزاماته بموجب اتفاقية الخدمات ووفقًا لتعليمات إيتون الموثقة (" الغرض المسموح به ") كما هو وارد في اتفاقية معالجة البيانات هذه، وفي هذه الحالة، يجب على البائع إبلاغ إيتون بهذا الشرط القانوني قبل المعالجة، ما لم يحظر القانون ذلك لأسباب مهمة تتعلق بالمصلحة العامة.
2.2. يقر البائع بأن إيتون قد تكون إما المتحكم أو معالج البيانات الشخصية وحيثما تكون إيتون هي المعالج، يقر البائع بأنها ستكون معالجًا فرعيًا لشركة إيتون. يجب على كل طرف الالتزام والامتثال للالتزامات التي تنطبق عليه بموجب قوانين حماية البيانات المعمول بها.
2.3. المعالجة الفرعية: توافق إيتون والبائع على قائمة المعالجات الفرعية في الملحق ج والتي يمكن إشراكها من قبل البائع. يجب على البائع الحصول على موافقة كتابية صريحة من إيتون قبل إضافة أو إزالة معالج فرعي تابع لجهة خارجية لمعالجة البيانات الشخصية شريطة أن: (1) يحصل البائع على موافقة إيتون قبل 15 يومًا على الأقل من إضافة أو إزالة أي معالج فرعي (بما في ذلك تفاصيل المعالجة التي يقوم بها أو سيقوم بها) من أو إلى قائمة المعالجات الفرعية الحالية في الملحق ج من هذه الاتفاقية؛ (2) يقوم البائع بإشراك معالجات فرعية تابعة لجهات خارجية عن طريق عقد يفرض على المعالج الفرعي، من حيث الجوهر، نفس التزامات حماية البيانات المفروضة على البائع وفقًا لاتفاقية معالجة البيانات هذه، ويضمن امتثال المعالج الفرعي للالتزامات التي يخضع لها البائع بموجب اتفاقية معالجة البيانات هذه وبموجب قوانين حماية البيانات المعمول بها. يجب على البائع التأكد من أن المعالجات الفرعية لن تشرك أي معالجات فرعية تابعة لجهات خارجية. بناءً على طلب إيتون، يجب على البائع تقديم نسخة من اتفاقية المعالج الفرعي هذه وأي تعديلات لاحقة على إيتون. إلى الحد اللازم لحماية أسرار العمل أو المعلومات السرية الأخرى، بما في ذلك البيانات الشخصية، يجوز للبائع تنقيح نص الاتفاقية قبل مشاركة النسخة. يوافق البائع على بند مستفيد من طرف ثالث مع المعالج الفرعي حيث، في حالة اختفاء البائع فعليًا أو توقفه عن الوجود بموجب القانون أو أصبح معسرًا، يحق لشركة إيتون إنهاء عقد المعالج الفرعي وإصدار تعليمات إلى المعالج الفرعي بمحو البيانات الشخصية أو إعادتها؛ و (3) يظل البائع مسؤولاً مسؤولية كاملة عن أي خرق لاتفاقية معالجة البيانات هذه ناتج عن فعل أو خطأ أو إغفال من جانب المعالج الفرعي. إذا رفضت إيتون الموافقة على تعيين البائع لمعالج فرعي تابع لجهة خارجية لأسباب معقولة تتعلق بحماية البيانات الشخصية، فقد تختار إيتون تعليق أو إنهاء اتفاقية الخدمات دون غرامة.
2.4. سرية المعالجة: يقيّد البائع موظفيه من معالجة البيانات الشخصية دون إذن. يفرض البائع التزامات تعاقدية مناسبة على موظفيه، بما في ذلك الالتزامات المتعلقة بالسرية وحماية البيانات وأمن البيانات. يجب على البائع التأكد من أنه ينقل التزاماته إلى أي شخص مخول لمعالجة البيانات الشخصية (بما في ذلك موظفي البائع بأي صفة، وموظفي البائع، والمقاولين من الباطن).("الشخص المخول")الذي يخضع لواجب سرية صارم (سواء كان تعاقديًا أو قانونيًا) ولا يسمح لأي شخص بمعالجة البيانات الشخصية الذي لا يخضع لهذا الواجب السري. يجب على البائع التأكد من أن جميع الأشخاص المصرح لهم يعالجون البيانات الشخصية فقط عند الضرورة للغرض المسموح به.
2.5. لتجنب الشك، فإن أي تعليمات من شأنها أن تؤدي إلى المعالجة خارج نطاق اتفاقية معالجة البيانات هذه (على سبيل المثال، بسبب تقديم غرض معالجة جديد) ستتطلب اتفاقية مسبقة بين الطرفين، وعند الاقتضاء، ستخضع لإجراءات تغيير العقد بموجب الاتفاقية المعنية..
2.6. يجب على البائع، دون تأخير لا مبرر له، إبلاغ إيتون كتابيًا إذا رأى البائع أن التعليمات تنتهك قوانين حماية البيانات، وتقديم شرح مفصل لأسباب رأيه كتابيًا.
3. أمن البيانات
يجب على البائع تنفيذ التدابير الفنية والتنظيمية المناسبة لضمان أمن البيانات الشخصية وحماية البيانات من خرق البيانات الشخصية، كما هو محدد في الملحق ب من هذه الاتفاقية. عند تقييم المستوى المناسب من الأمان، يجب على الأطراف إيلاء الاعتبار الواجب لحالة الفن وطبيعة المعالجة ونطاقها وسياقها وأغراضها والمخاطر التي ينطوي عليها أصحاب البيانات.
4. المدة والإنهاء
4.1. تصبح اتفاقية معالجة البيانات هذه سارية المفعول عند التوقيع. يجب أن تظل سارية المفعول والتأثير الكامل طالما أن البائع يقوم بمعالجة البيانات الشخصية وفقًا لاتفاقية الخدمات.
4.2. عندما تكون التعديلات مطلوبة لضمان امتثال اتفاقية معالجة البيانات هذه لقوانين حماية البيانات، يجب على الأطراف بذل جهود معقولة للاتفاق على هذه التعديلات بناءً على طلب المراقب. عندما يتعذر على الأطراف الاتفاق على هذه التعديلات، يجوز لشركة إيتون إنهاء اتفاقية الخدمات واتفاقية معالجة البيانات هذه بإشعار كتابي مسبق مدته [●] يومًا إلى البائع
4.3. مع عدم الإخلال بأي أحكام بموجب قوانين حماية البيانات المعمول بها، في حالة خرق البائع لالتزاماته بموجب اتفاقية معالجة البيانات هذه، يجوز لشركة إيتون أن تطلب من البائع تعليق معالجة البيانات الشخصية حتى يمتثل الأخير لاتفاقية معالجة البيانات هذه أو يتم إنهاء اتفاقية الخدمات. يجب على البائع إبلاغ إيتون على الفور في حالة عدم قدرته على الامتثال لاتفاقية معالجة البيانات هذه، لأي سبب من الأسباب.
4.4. يحق لشركة إيتون إنهاء اتفاقية الخدمات بقدر ما يتعلق الأمر بمعالجة البيانات الشخصية وفقًا لاتفاقية معالجة البيانات هذه إذا:
أ. تم تعليق معالجة البيانات الشخصية من قبل البائع من قبل إيتون وفقًا للبند 4.3 وإذا لم يتم استعادة الامتثال لاتفاقية معالجة البيانات هذه في غضون فترة زمنية معقولة وعلى أي حال في غضون [●] شهر بعد التعليق؛
ب. إذا كان البائع في حالة خرق جوهري أو مستمر لاتفاقية معالجة البيانات هذه أو التزاماته بموجب قوانين حماية البيانات المعمول بها؛
ج. إخفاق البائع في الامتثال لقرار ملزم صادر عن محكمة مختصة أو السلطة/ السلطات الإشرافية المختصة فيما يتعلق بالتزاماته بموجب اتفاقية معالجة البيانات هذه أو قوانين حماية البيانات المعمول بها.
4.5. يجب على البائع إخطار إيتون إذا لم يكن قادرًا على الاستمرار في تقديم الخدمات بموجب اتفاقية الخدمات التي بموجبها يحق لإيتون إنهاء اتفاقية معالجة البيانات هذه.
4.6. يحق للبائع إنهاء اتفاقية الخدمات بقدر ما يتعلق الأمر بمعالجة البيانات الشخصية بموجب اتفاقية معالجة البيانات هذه حيث تصر إيتون، بعد إبلاغ إيتون بأن تعليماتها تنتهك المتطلبات القانونية المعمول بها وفقًا للبند 2.6، على الامتثال للتعليمات.
5. الإجراءات وطلبات الوصول
5.1. يجب على البائع مساعدة إيتون في حالة اتخاذ أي إجراء من قبل سلطات حماية البيانات. يمنح البائع بموجب هذه الاتفاقية الإذن لشركة إيتون بالكشف، وفقًا لتقديرها الخاص، عن محتويات اتفاقية معالجة البيانات هذه مع عملائها و/أو أي سلطات لحماية البيانات بناءً على طلبهم. بناءً على طلب إيتون، يجب على البائع تزويد إيتون بجهة اتصال مخصصة لجميع الاستفسارات المتعلقة بالخصوصية.
5.2. يجب على البائع تقديم كل المساعدة المعقولة وفي الوقت المناسب إلى إيتون لتمكين إيتون من الاستجابة لما يلي:
(1) أي طلب من صاحب البيانات لممارسة أي من حقوقه بموجب القوانين المعمول بها (بما في ذلك حقوقه في الوصول والتصحيح والاعتراض والمحو ونقل البيانات، حسب الاقتضاء )؛ و
(2) أي مراسلات أو استفسارات أو شكاوى أخرى يتم تلقيها من صاحب البيانات أو المنظم أو أي طرف ثالث آخر فيما يتعلق بمعالجة البيانات الشخصية. وفي حالة تقديم أي طلب أو مراسلات أو استفسارات أو شكاوى مباشرة إلى البائع، يجب على البائع إبلاغ إيتون على الفور، وعند الاقتضاء، المراقب، مع تقديم التفاصيل الكاملة لذلك.
5.3. يجب على البائع التعاون مع إيتون ومساعدتها، لكي تمتثل إيتون لالتزاماتها بموجب قوانين حماية البيانات بما في ذلك طلبات حقوق صاحب البيانات، مع مراعاة طبيعة المعالجة والمعلومات المتاحة للبائع.
6. التحويلات الدولية
يجب على إيتون والبائع تنفيذ التدابير الفنية والتنظيمية بطريقة تضمن حماية أي عمليات نقل للبيانات الشخصية عبر الحدود بتدابير مناسبة لقوانين حماية البيانات بما في ذلك على سبيل المثال لا الحصر تقييم الكفاية وتقييم تأثير النقل وهيكل إدارة البيانات وما إلى ذلك أو أي تدابير أخرى كما هو مذكور في الملحق ب من اتفاقية معالجة البيانات. تم توضيح أن التدابير الفنية والتنظيمية الواردة في الملحق ب ذات طبيعة إرشادية ولا ينبغي اعتبارها مستنفدة. يجوز للطرفين الاتفاق بشكل متبادل على تعديل التدابير وفقًا لأفضل الممارسات السائدة في الصناعة و / أو القوانين المعمول بها.
7. الإخطار بالخرق
7.1. في حالة حدوث خرق للبيانات الشخصية فيما يتعلق بالبيانات التي يعالجها البائع أو المعالج الفرعي، يجب على البائع إخطار إيتون بخرق البيانات الشخصية دون تأخير لا مبرر له وعلى أي حال في غضون 48 ساعة من علم البائع بالخرق. يجب أن يتضمن هذا الإخطار، على الأقل:
(أ) وصف لطبيعة الخرق (بما في ذلك، حيثما أمكن، الفئات والعدد التقريبي لأصحاب البيانات وسجلات البيانات المعنية)؛
(ب) تفاصيل نقطة الاتصال حيث يمكن الحصول على مزيد من المعلومات المتعلقة بانتهاك البيانات الشخصية؛
(ج) نتائجه المحتملة والتدابير المتخذة أو المقترح اتخاذها لمعالجة الخرق، بما في ذلك التخفيف من آثاره السلبية المحتملة.
7.2. عندما يتعذر تقديم جميع هذه المعلومات في نفس الوقت، وبقدر ما يتعذر ذلك، يجب أن يحتوي الإخطار الأولي على المعلومات المتاحة في ذلك الوقت، ويجب تقديم المزيد من المعلومات، عندما تصبح متاحة، لاحقًا دون تأخير لا مبرر له.
7.3. يجب على الأطراف أن تحدد في الملحق ج جميع العناصر الأخرى التي سيقدمها البائع عند مساعدة إيتون في الامتثال لالتزامات إيتون بموجب قوانين حماية البيانات المعمول بها.
8. حذف البيانات أو إعادتها
في أي وقت خلال مدة اتفاقية الخدمات بناءً على طلب كتابي من شركة إيتون أو عند إنهاء أو انتهاء اتفاقية الخدمات لأي سبب من الأسباب، يجب على البائع توجيه جميع الأشخاص المصرح لهم بالتخلص الآمن من جميع نسخ البيانات الشخصية والتصديق كتابيًا لشركة إيتون على أن هذه البيانات الشخصية قد تم التخلص منها بشكل آمن. يجب على البائع الامتثال لجميع التوجيهات التي تقدمها إيتون فيما يتعلق بإعادة البيانات الشخصية أو التخلص منها ويجب أن يقدم شهادة إرجاع / حذف عند إعادة التخلص من البيانات الشخصية. يوافق البائع على أنه ينتهك اتفاقية معالجة البيانات هذه إذا تبين أن هناك نسخًا من البيانات الشخصية في حوزة البائع بعد إصدار هذه الشهادة. حتى يتم حذف البيانات أو إعادتها، يجب على البائع الاستمرار في ضمان الامتثال لاتفاقية معالجة البيانات هذه.
9. حقوق التدقيق
يجب أن يكون البائع قادرًا على إثبات الامتثال لاتفاقية معالجة البيانات هذه. يجب على البائع الاحتفاظ بسجلات كاملة ودقيقة فيما يتعلق بأداء البائع بموجب اتفاقية معالجة البيانات هذه ويجب أن يحتفظ بهذه السجلات للفترة التي قد تبلغها إيتون وفقًا للقانون المعمول به في اتفاقية الخدمات. يجب على البائع السماح لشركة إيتون (أو مدققي الحسابات الخارجيين المعينين) بمراجعة امتثال البائع لاتفاقية معالجة البيانات هذه، ويجب أن يوفر لشركة إيتون جميع المعلومات والأنظمة والموظفين اللازمين لشركة إيتون (أو مدققي الحسابات الخارجيين) لإجراء مثل هذا التدقيق. يقر البائع بأنه يجوز لشركة إيتون (أو مدققيها الخارجيين) دخول مبانيها لأغراض إجراء هذا التدقيق، شريطة أن تقدم إيتون للبائع إشعارًا مسبقًا معقولاً بنيتها في التدقيق، وتجري تدقيقها خلال ساعات العمل العادية، وتتخذ جميع التدابير المعقولة لمنع التعطيل غير الضروري لعمليات البائع. تكون إيتون مسؤولة عن تكاليف عمليات التدقيق هذه ما لم يتبين أن البائع ينتهك اتفاقية معالجة البيانات هذه. يوافق البائع، على نفقته الخاصة، على إجراء أي تغييرات تطلبها شركة إيتون لتصحيح أوجه القصور المكتشفة في عمليات التدقيق أو الاختبارات هذه.
10. تقييم تأثير حماية البيانات
يجب على البائع تزويد إيتون بكل المساعدة المعقولة وفي الوقت المناسب التي قد تطلبها إيتون من أجل إجراء تقييم لأثر حماية البيانات، وإذا لزم الأمر، للتشاور مع سلطات حماية البيانات ذات الصلة.
11. التعويض
يقوم البائع بتعويض شركة إيتون والشركات التابعة لها ومساهميها ومديريها ومسؤوليها وموظفيها ووكلائها والدفاع عنهم وإبراء ذمتهم من وضد جميع النفقات والالتزامات والأضرار والتكاليف (بما في ذلك تكاليف التسوية وأتعاب المحاماة المعقولة) الناشئة عن مطالبة طرف ثالث تتعلق بخرق البائع لالتزاماته بموجب اتفاقية معالجة البيانات هذه.
12. أحكام متنوعة
12.1. في حالة وجود أي تعارض، تكون لأحكام اتفاقية معالجة البيانات هذه الأسبقية على اتفاقية الخدمات أو أحكام أي اتفاقية أخرى بين إيتون والبائع. في حالة وجود أي تعارض بين اتفاقية معالجة البيانات هذه وقوانين حماية البيانات المعمول بها، تكون لقوانين حماية البيانات المعمول بها الأسبقية على أحكام بقية اتفاقية معالجة البيانات.
12.2. لا يجوز لأي طرف الحصول على أي أجر مقابل أداء التزاماته بموجب اتفاقية معالجة البيانات هذه باستثناء ما هو منصوص عليه صراحة في اتفاقية الخدمات.
12.3. عندما تتطلب اتفاقية معالجة البيانات هذه "إشعارًا كتابيًا"، يمكن أيضًا إرسال هذا الإشعار عبر البريد الإلكتروني إلى الطرف الآخر.
12.4. يجب أن تكون أي اتفاقيات تكميلية أو تعديلات على اتفاقية معالجة البيانات هذه مكتوبة وموقعة من قبل الطرفين.
12.5. إذا أصبحت الأحكام الفردية لاتفاقية معالجة البيانات هذه باطلة أو غير صالحة أو غير قابلة للتطبيق، فلن يؤثر ذلك على صلاحية الشروط المتبقية من اتفاقية معالجة البيانات هذه.
يوافق العميل وإيتون، كل من خلال ممثله المفوض حسب الأصول، على شروط وأحكام اتفاقية معالجة البيانات هذه اعتبارًا من تاريخ السريان.
الملحق (أ)
أ. قائمة الأطراف
إيتون [[هوية وتفاصيل الاتصال بشركة إيتون، وعند الاقتضاء، مسؤول حماية البيانات و/أو ممثلها]]
1. الاسم: ____________________________________________________
العنوان: ____________________________________________________
اسم مسؤول الاتصال ومنصبه وتفاصيل الاتصال: ____________________________________________________
الأنشطة المتعلقة بالبيانات المنقولة بموجب هذه البنود: كما هو موضح في الجزء ب.
التوقيع والتاريخ: ____________________________________________________
الدور (المراقب/المعالج): المراقب / المعالج
البائع (البائعون): [[هوية وتفاصيل الاتصال بالبائع(البائعين)، بما في ذلك أي شخص اتصال مسؤول عن حماية البيانات]]
1. الاسم: ____________________________________________________
العنوان: ____________________________________________________
اسم مسؤول الاتصال ومنصبه وتفاصيل الاتصال: ____________________________________________________
الأنشطة المتعلقة بالبيانات المنقولة بموجب هذه البنود: ____________________________________________________
التوقيع والتاريخ: ____________________________________________________
الدور (المراقب/المعالج): المعالج/المعالج الفرعي
ب. وصف نقل البيانات
فئات الأشخاص الذين تُنقل بياناتهم الشخصية
يجوز لشركة إيتون تقديم البيانات الشخصية إلى الخدمات، والتي يتم تحديدها والتحكم فيها من قبل إيتون وفقًا لتقديرها الخاص، والتي قد تشمل، على سبيل المثال لا الحصر، البيانات الشخصية المتعلقة بالفئات التالية من موضوعات البيانات [لإدراج موضوعات البيانات التي يتم نقل بياناتها الشخصية (على سبيل المثال، الفرد ذو الثروة الصافية العالية، الموظف، إلخ)]
فئات البيانات الشخصية المنقولة
Eton may submit Personal Data to Vendor, the extent of which is determined and controlled by Eton in its sole discretion, and which may include, but is not limited to, the following categories of Personal Data: (Names….), titles, position, employer, contact information (email, phone, fax, physical address etc.), identification data, connection data, or localization data (including IP addresses), application data of Eton’s customers. [To fill in personal data which is being shared with vendor (Eg – name, email, phone number, etc.)] Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures [To list the categories of sensitive data transferred, if any] The frequency of the transfer (e.g., whether the data is transferred on a one-off or continuous basis) Personal Data is transferred on a continuous basis
أغراض نقل البيانات ومعالجتها
يتم نقل البيانات الشخصية في سياق الوصول إلى الخدمات واستخدامها من قبل شركة إيتون بحيث يمكن للبائع تقديم الخدمات. الفترة التي سيتم فيها الاحتفاظ بالبيانات الشخصية، أو، إذا لم يكن ذلك ممكنًا، المعايير المستخدمة لتحديد تلك الفترة عند إنهاء حساب إيتون، سيقوم البائع بحذف جميع البيانات الشخصية وفقًا للبند 8 من اتفاقية شراء البيانات. لا ينطبق هذا الشرط إلى الحد الذي يسمح فيه القانون المعمول به للبائع بالاحتفاظ ببعض أو كل البيانات الشخصية، وفي هذه الحالة يجب على إيتون عزل وحماية البيانات الشخصية من أي معالجة أخرى. For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing As described in Schedule C.
الملحق (ب)
التدابير الفنية والتنظيمية لضمان أمن البيانات
وصف التدابير الفنية والتنظيمية التي ينفذها البائع (البائعون) (بما في ذلك أي شهادات ذات صلة) لضمان مستوى مناسب من الأمن، مع مراعاة طبيعة المعالجة ونطاقها وسياقها والغرض منها، والمخاطر التي تتعرض لها حقوق الأشخاص الطبيعيين وحرياتهم.
الأشخاص
- الوعي بالأمن السيبراني والنظافة
- التحقق من الخلفية (جنائي، تعليمي، عمل سابق، شيكات ائتمانية على سبيل المثال لا الحصر)
- دليل الموظفين
- النشرات الإخبارية ورسائل البريد الإلكتروني لتعزيز الوعي بالأمن السيبراني.
العمليـة
- سياسة وإجراءات أمن المعلومات
- سياسة الاستخدام المسموح بها
- الإجراءات التأديبية للمخالفات
- سياسة إدارة التغيير
- سياسة الاستجابة للأحداث
- ممارسات خطة استمرارية الأعمال والتعافي من الكوارث
- سياسة إدارة الطرف الثالث (البائع)
- سياسة تصنيف البيانات
- الوصول إلى البيانات المتعلقة بمبدأ أقل الامتيازات:
- ما يجب القيام به
- الحق في المعرفة
- سياسة المكتب النظيف والشاشة النظيفة
التقنية
- ضوابط الوصول المادي
- ضوابط الوصول القائمة على الدور مع تعريف الدور الدقيق.
- تشفير البيانات أثناء الراحة والعملية والنقل
- تشفير الكمبيوتر المحمول باستخدام تشفير ويندوز بت لوكر.
- كل الوصول عن بعد من خلال شبكة في بي إن
- الحماية الشبكية متعددة الطبقات باستخدام أجهزة التوجيه، خوادم البروكسي، جدار الحماية من الطبقة السابعة (L7 Firewall)، وجدار حماية تطبيقات الويب (WAF):
- نظام كشف التسلل
- رصد السجلات والكشف عن الحوادث والاستجابة لها
- سياسة تقوية الجهاز.
- النسخ الاحتياطي والتعافي
- مركز الأمان
- خزينة المفاتيح
- إدارة التصحيح
- محرك مكافحة البرامج الضارة والمركبات السمعية والبصرية
الملحق ج
قائمة معالجي البيانات من الباطن
أذنت إيتون باستخدام المعالجات الفرعية التالية:
1. الاسم: ____________________________________________________
العنوان: ____________________________________________________
اسم مسؤول الاتصال ومنصبه وتفاصيل الاتصال: ____________________________________________________
وصف المعالجة (بما في ذلك تحديد واضح للمسؤوليات في حالة السماح لعدة معالجات فرعية): ____________________________________________________
2. الاسم: ____________________________________________________
العنوان: ____________________________________________________
اسم مسؤول الاتصال ومنصبه وتفاصيل الاتصال: ____________________________________________________
وصف المعالجة (بما في ذلك تحديد واضح للمسؤوليات في حالة السماح لعدة معالجات فرعية): ____________________________________________________
3 ... إلخ).