أمان البيانات

آخر تحديث: 13 يناير 2025

أمان البيانات

آخر تحديث: 13 يناير 2025

  1. موضوع ومسار اتفاقية معالجة البيانات

    1.1 موضوع

    • 1.1.1 موضوع اتفاقية معالجة البيانات (DPA) ناتج عن شروط الاستخدام المتفق عليها بين المعالج و المسيطر على توفير تطبيق Beam (والتي يشار إليها فيما بعد باسم "العقد الرئيسي").

    1.2 المدة

    • 1.2.1 يتم تحديد مدة اتفاقية معالجة البيانات (DPA) بواسطة مدة العقد الرئيسي. يظل الحق في إنهاء هذه الاتفاقية دون إشعار مسبق لسبب وجيه غير متأثر. يجب أن تكون الإنهاءات مكتوبة لتكون فعالة. يجب تنفيذ معالجة البيانات بموجب هذه الاتفاقية خارج الاتحاد الأوروبي والمنطقة الاقتصادية الأوروبية، شريطة الوفاء بالمتطلبات الضرورية لحماية البيانات حسب المادة 44 وما يليها من اللائحة العامة لحماية البيانات (GDPR).


  2. تحديد نطاق اتفاقية معالجة البيانات

    2.1 طبيعة وهدف معالجة البيانات المقصودة

    • 2.1.1 سيتم معالجة بيانات المسيطر بواسطة المعالج لغرض تنفيذ العقد الرئيسي.

    2.2 نوع البيانات وفئات موضوعات البيانات

    • 2.2.1 موضوع معالجة البيانات الشخصية هي الأنواع/ الفئات المحددة للبيانات في الملحق 1 وفئات الأشخاص المحددة فيها.

  1. التدابير الفنية والتنظيمية

    3.1 يجب على المعالج إنشاء الأمان وفقًا للمادتين 28 (3) (ج) و 32 من اللائحة العامة لحماية البيانات، خاصة فيما يتعلق بالمادة 5 (1)، (2) من اللائحة العامة لحماية البيانات.

    3.2 قام المعالج بتوثيق تنفيذ التدابير التقنية والتنظيمية المطلوبة قبل بدء المعالجة، وخاصة فيما يتعلق بتنفيذ اتفاقية معالجة البيانات المحددة في الملحق 2. يوافق المسيطر على التدابير المدرجة في الملحق 2 وقد قبلها على أنها مناسبة. وفي حال أظهر الفحص/ التدقيق للمسيطر حاجة للتكيف، يتم تنفيذ التكيفات اللازمة بالإجماع.

    3.3 تخضع التدابير التقنية والتنظيمية لتقدم تقني وتطوير إضافي. في هذا الصدد، يُسمح للمعالج بتنفيذ تدابير بديلة ملائمة. يجب ألا يقل مستوى الأمان للتدابير المحددة. يتم توثيق التغييرات الكبيرة.

    3.4 يُسمح بمعالجة البيانات بواسطة موظفي المعالج خارج مقرات المعالج (العمل المتنقل). يعترف المسيطر أنه في هذه الحالات لا تتناسب التدابير الفنية والتنظيمية الموصوفة في الملحق 2 بالكامل. ومع ذلك، يضمن المعالج أيضًا اتخاذ تدابير تقنية وتنظيمية مناسبة لمعالجة البيانات بموجب هذه الاتفاقية خارج مقراته الخاصة. يقدم المعالج إرشادات الشركة الخاصة بالعمل المتنقل إلى المسيطر بناءً على طلب الأخير.

  1. تصحيح البيانات وتقييدها ومحوها

    4.1 لا يجوز للمعالج تصحيح البيانات أو محوها أو تقييد معالجتها بموجب هذه الاتفاقية من تلقاء نفسه، لكن فقط وفقًا لتعليمات المسيطر. في حال اتصل أحد موضوعات البيانات بالمعالج مباشرة ليطالب بحق التصحيح أو المحو أو التقييد، يقوم المعالج بتحويل الطلب إلى المسيطر.


  2. ضمان الجودة والالتزامات الأخرى للمعالج

    5.1 بالإضافة إلى الامتثال لأحكام هذه الاتفاقية، يتحمل المعالج التزامات قانونية وفقًا للمادة 28 إلى 33 من اللائحة العامة لحماية البيانات؛ في هذا الصدد، يلتزم المعالج خصوصًا بضمان الامتثال للمتطلبات التالية:

    • 5.1.1 يدرك المعالج أنه ربما يعالج بيانات الشركة التي تحتاج إلى سرية خاصة، وربما أيضًا أسرار تجارية للمسيطر. عند إجراء المعالجة، يجب أن يوظف المعالج فقط الموظفين الذين تم إلزامهم بالحفاظ على السرية والذين تم تعريفهم مسبقًا بأحكام حماية البيانات المتعلقة بهم. يطلع المعالج موظفيه على الطبيعة غير العادية للبيانات المذكورة ويدربهم وفقًا لذلك. يمكن للأشخاص الخاضعين لسيطرته الوصول إلى البيانات الشخصية والقيام بمعالجتها حصريًا وفقًا لتعليمات المسيطر، بما في ذلك الأذونات الممنوحة في هذه الاتفاقية، ما لم يُطلب منهم قانونًا معالجتها. تبقى الالتزامات الأوسع نطاقًا بالسرية وفقًا للقسم 9 دون أن تتأثر.

    • 5.1.2 يجب على المسيطر والمعالج التعاون مع السلطة الإشرافية بناءً على طلبها في أداء المهام.

    • 5.1.3 يجب تقديم معلومات دون تأخير غير مبرر للمسيطر حول إجراءات الرقابة والتدابير الخاصة بالسلطة الإشرافية، بقدر ما تتعلق بهذه الاتفاقية. ينطبق ذلك أيضًا بقدر ما تبدأ هيئة مختصة في التحقيق في سياق جرائم إدارية أو جنائية متعلقة بمعالجة البيانات الشخصية في إطار هذه الاتفاقية بواسطة المعالج.

    • 5.1.4 بقدر ما يخضع المسيطر لعملية تفتيش من قبل السلطة الإشرافية، أو لإجراءات إدارية أو جنائية، أو لمطالبات تعويض من موضوع بيانات أو طرف ثالث أو لأي مطالبات أخرى تتعلق بمعالجة البيانات الشخصية من قبل المعالج نيابة عن المسيطر، يجب على المعالج دعم المسيطر بأقصى الجهود.

    • 5.1.5 يجب على المعالج مراقبة العمليات الداخلية بانتظام وكذلك التدابير التقنية والتنظيمية لضمان أن تتم المعالجة في منطقة مسؤولية المعالج وفقًا لمتطلبات قانون حماية البيانات المعمول به وضمان حماية حقوق موضوعات البيانات.

    5.2 يجب على المعالج دعم المسيطر في الامتثال للالتزامات المنصوص عليها في المواد 32 إلى 36 من اللائحة العامة لحماية البيانات بخصوص سلامة البيانات الشخصية والالتزامات المتعلقة بالإعلام عن خروق البيانات وتقييمات تأثير حماية البيانات والمشاورات المسبقة. يشمل ذلك، وليس محدودًا به، الالتزام بـ:

    • 5.2.1 ضمان مستوى كافٍ من حماية البيانات بواسطة التدابير التقنية والتنظيمية التي تتناول الظروف وأهداف المعالجة، وكذلك الاحتمالية المتوقعة وشدة خرق الأمان المحتمل، والسماح بالكشف الفوري عن الحوادث المتعلقة.

    • 5.2.2 الإبلاغ عن خروقات البيانات الشخصية إلى المسيطر دون تأخير غير مبرر

    • 5.2.3 دعم المسيطر في تحقيق امتثال المسيطر لالتزامات تقديم المعلومات لموضوع البيانات، وتزويد المسيطر بكل المعلومات ذات الصلة في هذا السياق دون تأخير غير مبرر

    • 5.2.4 دعم المسيطر في تقييمات تأثير حماية البيانات

    • 5.2.5 دعم المسيطر في المشاورات المسبقة مع السلطة الإشرافية.

    5.3 للخدمات الداعمة غير المتفق عليها في العقد الرئيسي أو الناتجة بسبب سوء تصرف من قبل المعالج، يجوز للمعالج المطالبة بتعويض معقول.


  3. المعالجون الفرعيون

    6.1 "المعالجون الفرعيون" في سياق هذا الحكم هم مقدمو الخدمات الذين يقدمون خدمات تتعلق مباشرة بأداء الخدمة الرئيسية بموجب هذه الاتفاقية. لا يغطي مصطلح المعالج الفرعي مقدمي الخدمات الذين يوفرون خدمات فرعية للمعالج، مثل خدمات الاتصالات السلكية واللاسلكية، وخدمات البريد/النقل، والخدمات الداعمة والصيانة أو التخلص من وسائط البيانات وكذلك التدابير الأخرى لضمان السرية والتوافر والنزاهة والمرونة للأجهزة والبرمجيات لأنظمة معالجة البيانات. ومع ذلك، يكون المعالج ملزمًا بتنفيذ اتفاقيات قانونية وملائمة وكذلك تدابير رقابية لضمان حماية البيانات وأمن بيانات المسيطر حتى في حالة الخدمة الخارجية.

    6.2 يوافق المسيطر على تكليف المعالجين الفرعيين المدرجين في الملحق 3، شريطة أن يتم إبرام اتفاق تعاقدي بين المعالج والمعالج الفرعي المعني وفقًا للمادة 28 (2) إلى (4) من اللائحة العامة لحماية البيانات.

    6.3 يُسمح بالاستعانة بمعالجة البيانات لمزيد من المعالجين الفرعيين أو تغيير المعالجين الفرعيين المكلفين، شريطة أن:

    • 6.3.1 يقوم المعالج بإخطار المسيطر بالاستعانة بمعالجين فرعيين كتابة أو بنص محدد داخل فترة زمنية كافية مسبقًا

    • 6.3.2 لا يعترض المسيطر كتابة و

    • 6.3.3 يتم استخدام اتفاق تعاقدي وفقًا للمادة 28 (2) إلى (4) من اللائحة العامة لحماية البيانات كأساس تعاقدي.

    6.4 يجب تقديم الاعتراض وفقًا للمادة 6.3.2 خلال فترة شهر واحد بعد تقديم المعلومات. في حالة الاعتراض، يتحمل المسيطر العواقب (مثل عدم إمكانية الأداء الشخصية) وأية تكاليف إضافية ناتجة عن عدم إمكانية التعاقد مع المعالج الفرعي. إذا لم يتمكن المعالج من تقديم الخدمة المتفق عليها في العقد الرئيسي بسبب الاعتراض أو يمكنه فعل ذلك بتكلفة اقتصادية غير معقولة، يملك المعالج حق إنهاء استثنائي.

    6.5 لا يُسمح بنقل البيانات الشخصية للمسيطر إلى المعالج الفرعي وبدء توظيف المعالجين الفرعيين إلا بعد استيفاء جميع المتطلبات للاستعانة بمعالجة البيانات للمعالجين الفرعيين.

    6.6 في حالة تقديم المعالج الفرعي للخدمة المتفق عليها خارج منطقة الاتحاد الأوروبي / المنطقة الاقتصادية الأوروبية، يجب على المعالج أن يضمن توافق الخدمة المقدمة من قبل المعالج الفرعي مع قانون حماية البيانات باتخاذ الإجراءات المناسبة. ينطبق نفس الشيء إذا تم تخصيص موفري الخدمات الذين يقدمون خدمات فرعية في سياق المادة 6.1.

    6.7 يُسمح بالاستعانة الإضافية من قبل المعالج الفرعي فقط ضمن نطاق الأحكام القانونية.


  4. حقوق السيطرة للمسيطر

    7.1 يحق للمسيطر، بالتشاور مع المعالج، بإجراء عمليات تفتيش في أماكن عمل المعالج أو تفتيشها بواسطة مفتشين يتم تسميتهم في حالات فردية. يملك المسيطر الحق في التأكد من امتثال المعالج لهذه الاتفاقية في أماكن عمل المعالج خلال ساعات العمل من خلال التفتيش المفاجئ، الذي يجب الإبلاغ عنه قبل أربعة أسابيع على الأقل. تُجرى هذه الفحوصات مرة واحدة في السنة على الأكثر.

    7.2 يضمن المعالج أن يتمكن المسيطر من التأكد من امتثال المعالج لالتزاماته وفقًا للمادة 28 من اللائحة العامة لحماية البيانات. يتعهد المعالج بتزويد المسيطر بالمعلومات الضرورية حسب الطلب، وخاصة تقديم دليلاً على تنفيذ التدابير التقنية والتنظيمية المتفق عليها تعاقديًا.

    7.3 يمكن تقديم دليل تلك التدابير، ليس فقط المتعلق بعمليات معالجة البيانات المحددة بموجب هذه الاتفاقية، بواسطة

    • 7.3.1 الامتثال للقواعد السلوكية المعتمدة وفقًا للمادة 40 من اللائحة العامة لحماية البيانات

    • 7.3.2 الشهادة وفقًا لإجراء الاعتماد المعتمد وفقًا للمادة 42 من اللائحة العامة لحماية البيانات

    • 7.3.3 الشهادات الحالية، التقارير أو مقتطفات من التقارير من المنظمات المستقلة (مثل المراجعين، مسؤولي حماية البيانات، أقسام أمن تكنولوجيا المعلومات، مراقبي حماية البيانات، مراقبي الجودة)

    • 7.3.4 اعتماد ملائم لتدقيق أمان تكنولوجيا المعلومات أو حماية البيانات (مثل، وفقًا للمعايير لأمان تكنولوجيا المعلومات لمكتب الأمن المعلوماتي الفيدرالي).

    7.4 يمكن للمعالج المطالبة بتعويض معقول لتسهيل تنفيذ التفتيش من قبل المسيطر.


  5. تفويض المسيطر لإصدار التعليمات

    8.1 يجب على المسيطر تأكيد التعليمات الشفوية فورًا على الأقل في شكل نصي (تعليمات موثقة). لا يمكن للمسيطر استخلاص أي مطالبة من التعليمات التي لم يتم تأكيدها في شكل نصي في الوقت المناسب.

    8.2 يجب على المعالج إبلاغ المسيطر في حالة اعتقاده بأن تعليمات تنتهك لوائح حماية البيانات. يُسمح للمعالج بتعليق تنفيذ التعليمات ذات الصلة حتى يتم تأكيد التعليمات أو تعديلها من قبل المسيطر.

    8.3 يلتزم المعالج بمعاملة جميع المعلومات التي يحصل عليها من البيانات الشخصية والأسرار التجارية وإجراءات أمان البيانات للمسيطر بسرية ضمن إطار العلاقة التعاقدية.

  1. السرية

    9.1 يلتزم المعالج بالحصول على معلومات سرية فقط بقدر ما يكون ذلك ضروريًا لأداء مهامه تجاه المسيطر. بقدر ما يستخدم المعالج موظفين أو مقدمي خدمات لتنفيذ العقد، يفرض المعالج نفس الالتزامات من هذه الاتفاقية على هؤلاء الأشخاص. يتم تقديم التصريحات المقابلة إلى المسيطر بناءً على طلب المسيطر. يمكن للمعالج أيضًا تقديم نماذج للتصريحات، شريطة أن يكون من غير المتناسب لأسباب قانونية أو واقعية في الحالة الفردية تقديم جميع التصريحات المقدمة شريطة أن يضمن المعالج كتابة أن جميع الموظفين / مقدمي الخدمات المعنيين قد تم التزامهم وفقًا لهذا النموذج. تظل المادة 6 وبخاصة المادة 6.1 غير متأثرة في أي حال.

    9.2 بقدر ما تم الاتفاق مسبقًا على التزام السرية بين المسيطر والمعالج في العقد الرئيسي أو في مكان آخر، تنطبق أحكام السرية من هذا البند 9 بالإضافة إلى هذا الالتزام بالسرية. في حال نشوء تعارض بشأن وضع معين، تنطبق اللوائح الأكثر صرامة على المعالج.

    9.3 يظل الالتزام بالسرية المنصوص عليه في هذا البند 9 ساريًا لفترة غير محدودة بعد انتهاء العلاقة التعاقدية.

  1. محو وإرجاع البيانات الشخصية

    10.1 لا يجوز إنشاء نسخ أو نسخ مكررة من البيانات دون علم المسيطر. لا ينطبق ذلك على النسخ الاحتياطية إلى الحد الذي يكون ضروريًا لضمان معالجة البيانات بشكل سليم وكذلك المعالجة الضرورية للامتثال لالتزامات الاحتفاظ القانونية.

    10.2 عند إكمال الخدمات المتفق عليها تعاقديًا أو في وقت سابق بناءً على طلب من المسيطر - على الأقل عند إنهاء العقد الرئيسي - يكون المعالج ملزمًا بإعادة الوثائق ونتائج المعالجة والستخدام التي تم إنشاؤها، وكذلك ملفات البيانات المتعلقة بالعلاقة التعاقدية التي وقعت في حيازته إلى المسيطر أو، بعد الحصول على الموافقة المسبقة، تدميرها وفقًا لقانون حماية البيانات. ينطبق نفس الشيء على المواد التجريبية ومواد الرفض. يتم تقديم سجل محو البيانات عند الطلب.

    10.3 يتم الاحتفاظ بالوثائق التي تخدم كدليل على معالجة البيانات السليمة وفقًا لهذه الاتفاقية من قبل المعالج بعد انتهاء مدة الاتفاقية وفقًا لفترات الاحتفاظ المعنية. يمكن للمعالج تسليمها إلى المسيطر في نهاية مدة الاتفاقية للتخفيف من على المعالج.

  1. المسؤولية القانونية

    11.1 في حال وجود تهديدات بفرض مطالبات لتعويضات ضمن المعنى من المادة 82 من اللائحة العامة لحماية البيانات أو غرامات ضمن المعنى من المادة 83 من اللائحة العامة لحماية البيانات و/أو عقوبات أخرى ضمن المعنى من المادة 84 من اللائحة العامة لحماية البيانات ضد طرف يتعلق بأنشطة المعالجة المغطاة بموجب هذه الاتفاقية، يجب على هذا الطرف إبلاغ الطرف الآخر بلا عناء في شكل نصي دون تأخير غير مبرر. يلتزم المسيطر والمعالج بدعم بعضهم البعض في الدفاع ضد المطالبات المذكورة أعلاه.

    11.2 يلتزم المسيطر والمعالج بالمسؤولية القانونية عن معالجة البيانات في العلاقة الخارجية وفقًا للقوانين ذات الصلة. ويتم تحديد المسؤولية القانونية في العلاقة الداخلية بين المسيطر والمعالج من خلال أحكام العقد الرئيسي.

  1. الأحكام النهائية

    12.1 تنطبق أحكام هذه الاتفاقية فقط على معالجة البيانات الشخصية بموجب المادة 28 من اللائحة العامة لحماية البيانات ويجب أن تكون لها الأولوية على أي أحكام متعارضة أو متباينة من العقد الرئيسي إلى هذا الحد.

    12.2 يجب أن تكون جميع التعديلات على هذه الاتفاقية مكتوبة. ينطبق ذلك أيضًا على أي تعديل لبند الشكل الكتابي هذا. يمكن الامتثال للشكل الكتابي بواسطة تبادل الرسائل (مع استثناء إشعارات الإنهاء) أو بإرسال التوقيعات إلكترونيًا (فاكس، إرسال التوقيعات الممسوحة ضوئيًا عبر البريد الإلكتروني). ومع ذلك، لا تُطبق المادتان 127 (2) و (3) من القانون المدني الألماني ("BGB") في جميع الجوانب الأخرى.

المرفق 1: فئات موضوعات البيانات وفئات البيانات الشخصية

أ) فئات موضوعات البيانات

  • موظفو المسيطر

  • الشركاء وأعضاء مجلس إدارة المسيطر

  • شركاء الأعمال للمسيطر

  • عملاء المسيطر

  • الموردون / مقدمو الخدمات (بما في ذلك الموظفين)

ب) البيانات المتعلقة بالطلب

جميع البيانات الخاصة بالعملاء التي تكون ضرورية للوفاء بالطلب الرئيسي

المرفق 2: التدابير التقنية والتنظيمية 


السرية

أ) التحكم في الوصول

لا يوجد وصول غير مصرح به لأنظمة معالجة البيانات، مضمون بواسطة:

  • بطاقات ممغنطة أو بطاقات الشرائح

  • فتاحة الباب الكهربائية

  • الأمن أو الحارس

  • أنظمة الإنذار

  • أنظمة الفيديو

ب) التحكم في الوصول

لا يوجد استخدام غير مصرح به للنظام، مضمون بواسطة:

  • كلمات مرور (آمنة)

  • المصادقة الثنائية

ج) التحكم في الوصول

لا توجد قراءة أو نسخ أو تعديل أو إزالة غير مصرح بها داخل النظام، مضمون بواسطة:

  • مفاهيم الأذونات

  • حقوق الوصول حسب الحاجة

  • تسجيل الوصولات

د) التحكم في الفصل

معالجة منفصلة للبيانات التي تم جمعها لأغراض مختلفة، مضمون بواسطة:

  • القدرة متعددة العملاء

  • التشغيل داخل بيئة اختبار

ه) تكتيك التظاهر

معالجة البيانات الشخصية بطريقة تجعل البيانات لا يمكن عزوها إلى موضوع بيانات معين دون الرجوع إلى معلومات إضافية، بشرط أن يتم تخزين هذه المعلومات الإضافية بشكل منفصل وتخضع لتدابير تقنية وتنظيمية مناسبة.

النزاهة

أ) التحكم في التحويل

لا توجد قراءة أو نسخ أو تعديل أو إزالة غير مصرح بها أثناء الإرسال الإلكتروني أو النقل، مضمون بواسطة:

  • التشفير

  • شبكات خاصة افتراضية (VPN)

  • التوقيع الإلكتروني

ب) التحكم في الإدخال

تحديد ما إذا كانت البيانات الشخصية قد أُدخلت في أنظمة معالجة البيانات وتعديلها أو إزالتها، مضمون بواسطة:

  • التسجيل

  • إدارة الوثائق


التوفر والمرونة

أ) التحكم في التوفر

الحماية من التلف العارض أو المتعمد أو الخسارة، مضمون بواسطة استراتيجية النسخ الاحتياطي (أونلاين / غير متصل؛ في المقر / خارج المقر)

  • إمداد طاقة غير قابل للإيقاف (UPS)

  • حماية من الفيروسات

  • جدار ناري

  • قنوات تقارير

  • خطط الطوارئ

ب) إمكانية الاسترداد السريع

ضمان الاسترداد السريع بواسطة    

  • عمل نسخ احتياطية بانتظام واستراتيجية النسخ الاحتياطي المناسبة (أونلاين / غير متصل؛ في الموقع / خارج الموقع).


إجراءات للمراجعة والتقييم والتقييم المنتظمة

أ) إدارة حماية البيانات

ب) إدارة استجابة الحوادث

ج) الإعدادات الافتراضية الملائمة لخصوصية البيانات

د) التحكم في العقد

لا توجد معالجة للبيانات بمعنى المادة 4 (8)، 28 من اللائحة العامة لحماية البيانات دون تعليمات متوافقة مع توجيهات المسيطر، مضمون بواسطة:

  • تصميم العقد الواضح

  • إدارة مؤسسية رسمية

  • اختيار دقيق لمقدم الخدمة

  • الالتزام بالاقناع مسبقاً

  • إجراءات التفتيش اللاحقة

المرفق 3: المعالجون الفرعيون 

يوافق المسيطر على تكليف المعالجين الفرعيين المدرجين في الملحق 3، شريطة أن يتم إبرام اتفاق تعاقدي بين المعالج والمعالج الفرعي المعني وفقًا للمادة 28 (2) - (4) من اللائحة العامة لحماية البيانات.

  • خدمات أمازون ويب - استضافة السحابية- (قياسي)

  • منصة جوجل السحابية - تسجيل دخول وحيد (قياسي)

  • خدمة Azure OpenAI - عمليات نشر نموذج OpenAI الخاص (قياسي)