Loading…
تُبرم اتفاقية ملحق معالجة البيانات هذه ("DPA") بين RegulatoryBridge Global Ltd. ("المعالِج" أو "RegulatoryBridge") والعميل الذي يقبل شروط الخدمة أو يوقّع نموذج طلب ("المتحكم" أو "العميل").
ينطبق ملحق معالجة البيانات على معالجة RegulatoryBridge للبيانات الشخصية نيابةً عن العميل فيما يتعلق بالخدمات. العميل هو المتحكم (أو، حيثما ينطبق، معالِج يتصرف نيابةً عن المتحكمين العملاء الخاصين به). RegulatoryBridge هي المعالِج (أو، حسب الاقتضاء، معالج من الباطن). وحيثما تُعالَج البيانات الشخصية من قِبل الطرفين لأغراض مشتركة، سيبرم الطرفان ترتيبًا منفصلًا للتحكم المشترك بموجب المادة 26 من GDPR.
يُقصد بـ "قانون حماية البيانات المعمول به" GDPR؛ وUK GDPR + قانون حماية البيانات لعام 2018؛ وCCPA/CPRA في كاليفورنيا؛ وLGPD في البرازيل؛ وDPDPA في الهند؛ وPDPA في سنغافورة؛ وAPPI في اليابان؛ والقانون الفيدرالي السويسري لحماية البيانات (FADP)؛ وأي قانون خصوصية آخر ينطبق على المعالجة بموجب هذا الملحق.
تحمل المصطلحات المكتوبة بأحرف كبيرة المستخدمة دون تعريف المعاني الواردة في شروط الخدمة أو في قانون حماية البيانات المعمول به (أيهما ينطبق على المصطلح المحدد).
إن موضوع المعالجة وطبيعتها والغرض منها ومدتها وفئات أصحاب البيانات وفئات البيانات الشخصية مبيّنة في الملحق أ.
ستعالج RegulatoryBridge البيانات الشخصية بناءً على تعليمات العميل الموثّقة فقط، كما هو محدد في (أ) نموذج الطلب، و(ب) هذا الملحق، و(ج) أي تعليمات كتابية إضافية تقبلها RegulatoryBridge. سنُخطر العميل إذا كان أحد التعليمات، في رأينا، ينتهك قانون حماية البيانات المعمول به، ويجوز لنا إيقاف المعالجة مؤقتًا في انتظار قرار العميل.
يلتزم جميع موظفي ومتعاقدي RegulatoryBridge الذين يمتلكون صلاحية الوصول إلى البيانات الشخصية بالتزامات سرية كتابية أو يخضعون لواجب قانوني ملائم بالحفاظ على السرية، ويتلقون تدريبًا منتظمًا على حماية البيانات والأمان.
سننفّذ ونحافظ على تدابير تقنية وتنظيمية ملائمة لضمان مستوى أمان يتناسب مع المخاطر، مع مراعاة أحدث ما توصلت إليه التقنية، وتكاليف التنفيذ، وطبيعة المعالجة ونطاقها وسياقها وأغراضها. التدابير الحالية موصوفة في الملحق ب ومتوافقة مع المعيار ISO/IEC 27001:2022 وعائلات ضوابط SOC 2 Type II.
يفوّض العميل RegulatoryBridge بالتعاقد مع معالجي البيانات من الباطن المدرجين في صفحة معالجي البيانات من الباطن (والمبيّنين في الملحق ج). يلتزم كل معالج من الباطن بشروط كتابية توفّر التزامات حماية بيانات لا تقل حماية عن تلك الواردة في هذا الملحق. سنقدّم إشعارًا مسبقًا قبل 30 يومًا على الأقل بشأن معالجي البيانات من الباطن الجدد. يجوز للعميل الاعتراض لأسباب معقولة ضمن هذه الفترة، وسيتفاوض الطرفان بحسن نية؛ وإذا لم يتم التوصل إلى حل، يجوز للعميل إنهاء الخدمة المتأثرة.
مع مراعاة طبيعة المعالجة، ستقدّم RegulatoryBridge مساعدة معقولة من خلال تدابير تقنية وتنظيمية ملائمة لتمكين العميل من الوفاء بالتزامه بالاستجابة لطلبات أصحاب البيانات الذين يمارسون حقوقهم. وحيثما يتواصل أحد أصحاب البيانات مع RegulatoryBridge مباشرةً بطلب يتعلق ببيانات العميل، سنحيل الطلب إلى العميل على الفور.
ستُخطر RegulatoryBridge العميل دون تأخير لا مبرر له — وعلى أي حال خلال 48 ساعة من علمها — بأي خرق للبيانات الشخصية يؤثر على البيانات الشخصية للعميل. سيتضمن الإخطار المعلومات المحددة في المادة 33(3) من GDPR (أو ما يعادلها بموجب قانون حماية البيانات المعمول به الآخر) بالقدر المعروف حينئذٍ. سنقدّم مساعدة معقولة للعميل في الوفاء بالتزاماته الخاصة بالإخطار تجاه السلطات الرقابية وأصحاب البيانات.
حيثما تُنقل البيانات الشخصية من المنطقة الاقتصادية الأوروبية / المملكة المتحدة / سويسرا إلى دولة ثالثة لا تستفيد من قرار كفاية، يدرج الطرفان بالإحالة الشروط التعاقدية النموذجية للاتحاد الأوروبي (قرار التنفيذ الصادر عن المفوضية (الاتحاد الأوروبي) 2021/914)، الوحدة 2 (المتحكم ← المعالج) أو الوحدة 3 (المعالج ← المعالج) حسب الاقتضاء، إلى جانب ملحق نقل البيانات الدولي للمملكة المتحدة لعمليات النقل في المملكة المتحدة، والتعديلات المعترف بها من المفوض الفيدرالي السويسري لحماية البيانات والمعلومات (FDPIC) لعمليات النقل السويسرية.
بالنسبة لعمليات النقل من الهند (DPDPA) والبرازيل (LGPD) واليابان (APPI) وسنغافورة (PDPA)، سيعتمد الطرفان على الآليات المعترف بها بموجب القانون ذي الصلة (الموافقة، الكفاية، الضمانات التعاقدية) وعلى ملاحق خاصة بكل دولة متاحة عند الطلب.
ستتيح RegulatoryBridge للعميل جميع المعلومات اللازمة بشكل معقول لإثبات الامتثال لهذا الملحق، وستسمح بعمليات التدقيق وتسهم فيها، بما في ذلك عمليات التفتيش، التي يجريها العميل أو مدقق يفوّضه العميل. وللحد من الازدواجية والتعطيل التشغيلي:
بناءً على اختيار العميل، وعند إنهاء الخدمات، ستعيد RegulatoryBridge جميع البيانات الشخصية إلى العميل أو تحذفها، بما في ذلك من النسخ الاحتياطية، خلال 90 يومًا، ما لم يكن الاحتفاظ مطلوبًا بموجب قانون حماية البيانات المعمول به. يجوز للعميل تصدير محتوى العميل خلال مدة الاشتراك باستخدام أدوات التصدير القياسية الموصوفة في الوثائق.
تخضع مسؤولية كل طرف بموجب هذا الملحق لحدود المسؤولية المنصوص عليها في شروط الخدمة، باستثناء ما يلزم أن يكون غير محدد السقف بموجب قانون حماية البيانات المعمول به.
يسري هذا الملحق اعتبارًا من تاريخ السريان المبيّن أعلاه ويظل ساريًا طالما تعالج RegulatoryBridge بيانات شخصية نيابةً عن العميل. وستظل الأقسام التي ينبغي بطبيعتها أن تبقى نافذة بعد الإنهاء (الأمان، السرية، التدقيق، الإخطار بالخروقات السابقة للإنهاء) نافذةً على هذا النحو.
يخضع هذا الملحق لقانون Ireland، دون المساس بالقانون الإلزامي لمحل الإقامة المعتاد لصاحب البيانات. وتُحل النزاعات وفقًا لشروط الخدمة.
الموضوع: تقديم الخدمات الموصوفة في نموذج الطلب، بما في ذلك التمثيل الرقابي، وخدمات DPO، والاستجابة للخروقات، والبرمجيات ذات الصلة.
المدة: مدة الاشتراك بالإضافة إلى فترة الاحتفاظ المنصوص عليها في القسم 12 من هذا الملحق.
طبيعة المعالجة والغرض منها: تخزين البيانات الشخصية والوصول إليها وتنظيمها وهيكلتها ونقلها ومعالجتها بطرق أخرى لتقديم الخدمات.
فئات أصحاب البيانات: المستخدمون النهائيون للعميل، وموظفوه، ومتعاقدوه، والعملاء المحتملون، والمورّدون، وأي أشخاص طبيعيين آخرين تُدرج بياناتهم الشخصية ضمن محتوى العميل.
فئات البيانات الشخصية: معرّفات التواصل (الاسم، البريد الإلكتروني المهني، الدور الوظيفي)؛ والبيانات السلوكية (التفاعلات مع الخدمات)؛ والمستندات المتعلقة بالامتثال (سجلات DSAR، حوادث الخروقات، سجلات الموافقة)؛ والمحتوى الذي يرفعه العميل (والذي قد يشمل فئات أخرى، حسب إعدادات العميل).
بيانات الفئات الخاصة: لا شيء بشكل عام. إذا اختار العميل رفع بيانات شخصية من الفئات الخاصة أو حساسة، يتحمّل العميل مسؤولية ضمان وجود شرط قانوني ملائم بموجب المادة 9 من GDPR أو ما يعادلها.
وتيرة المعالجة: مستمرة، طوال مدة الاشتراك.
تُنشر القائمة الحالية لمعالجي البيانات من الباطن المعتمدين ويُحتفظ بها على /sub-processors. وتُدرج القائمة عند قبول نموذج الطلب هنا بالإحالة. ويتم الإبلاغ عن التحديثات كما هو منصوص عليه في القسم 7.
src/lib/legal-entity.ts.