أمان البيانات

آخر تحديث: 13 يناير 2025

أمان البيانات

آخر تحديث: 13 يناير 2025

  1. موضوع وفترة اتفاقية حماية البيانات

    1.1 الموضوع

    • 1.1.1 موضوع اتفاقية حماية البيانات يتأتى من شروط الاستخدام المبرمة بين المعالج والمتحكم حول توفير تطبيق Beam (ويشار إليه هنا فيما بعد بـ "العقد الرئيسي").

    1.2 الفترة

    • 1.2.1 تحدد فترة اتفاقية حماية البيانات هذه بناءً على العقد الرئيسي. يظل الحق في إنهاء هذه الاتفاقية بدون إشعار ولسبب وجيه دون أن يتأثر. يجب أن تكون الإنهاءات مكتوبة لتكون فعالة. يتم تنفيذ معالجة البيانات بموجب هذه الاتفاقية خارج الاتحاد الأوروبي والمنطقة الاقتصادية الأوروبية، شريطة أن يتم الوفاء بمتطلبات حماية البيانات اللازمة بموجب المادة 44 وما يليها من اللائحة العامة لحماية البيانات.


  2. تحديد نطاق اتفاقية حماية البيانات

    2.1 طبيعة وغرض معالجة البيانات المقصودة

    • 2.1.1 سيتم معالجة بيانات المتحكم من قبل المعالج بغرض تنفيذ العقد الرئيسي.

    2.2 نوع البيانات وفئات مواضيع البيانات

    • 2.2.1 موضوع معالجة البيانات الشخصية هو الأنواع/الفئات المحددة في المرفق 1 وفئات الأشخاص المحددة فيها.

  1. التدابير الفنية والتنظيمية

    3.1 يجب على المعالج أن ينشئ الأمن وفقاً للمادتين 28 (3) (ج) و32 من اللائحة العامة لحماية البيانات، خاصة فيما يتعلق بالمادتين 5 (1) و(2) من اللائحة العامة لحماية البيانات.

    3.2 قام المعالج بتوثيق تنفيذ التدابير الفنية والتنظيمية المطلوبة قبل بدء المعالجة، خاصة فيما يخص التنفيذ المحدد لاتفاقية حماية البيانات في المرفق 2. يوافق المتحكم على التدابير المدرجة في المرفق 2 وقد قبلها كملائمة. بقدر ما يكشف الفحص/التدقيق الخاص بالمتحكم عن حاجة إلى تكييف، ستُنفَذ التكييفات الضرورية بشكل ودي.

    3.3 تخضع التدابير الفنية والتنظيمية للتقدم الفني والتطوير المستمر. في هذا الصدد، سيسمح للمعالج بتنفيذ تدابير بديلة كافية. وعند القيام بذلك، يجب عدم تخفيض مستوى الأمن للتدابير المحددة. سيتم توثيق التغييرات المهمة.

    3.4 يُسمح بمعالجة البيانات من قبل موظفي المعالج خارج مقرات المعالج (العمل المتنقل). يعترف المتحكم بأنه في هذه الحالات لا تناسب التدابير الفنية والتنظيمية الموصوفة في المرفق 2 بشكل كامل. ومع ذلك، يضمن المعالج أنه سيأخذ أيضاً التدابير الفنية والتنظيمية المناسبة لمعالجة البيانات بموجب هذه الاتفاقية خارج مقار عمله الخاصة. سيوفر المعالج دليل الشركة الخاصة بالعمل المتنقل إلى المتحكم بناءً على طلب الأخير.

  1. تصحيح البيانات، تقييدها وحذفها

    4.1 لا يجوز للمعالج تصحيح أو حذف أو تقييد معالجة البيانات التي تم معالجتها بموجب هذه الاتفاقية بناءً على سُلطته الخاصة، وإنما فقط وفقاً لتعليمات المتحكم. في حال تواصل موضوع البيانات مع المعالج مباشرةً للمطالبة بحق التصحيح أو الحذف أو التقييد، يجب على المعالج تحويل الطلب إلى المتحكم.


  2. ضمان الجودة والتزامات أخرى للمعالج

    5.1 بالإضافة إلى الالتزام بأحكام هذه الاتفاقية، للمعالج التزامات قانونية بموجب المواد 28 إلى 33 من اللائحة العامة لحماية البيانات؛ وفي هذا الصدد، يضمن المعالج بشكل خاص الامتثال للمتطلبات التالية:

    • 5.1.1 يعلم المعالج أن المعالج يمكن أن يقوم بمعالجة بيانات الشركة التي تتطلب سرية خاصة، وإذا كان ذلك كممكناً، أسرار تجارية خاصة بالمتحكم. عند أداء المعالجة، سوف يقوم المعالج بتوظيف فقط الموظفين الذين قد ألزموا بالحفاظ على السرية وقد تم تعريفهم مسبقاً بأحكام حماية البيانات ذات الصلة لهم. سوف يخبر المعالج موظفيه عن الطبيعة السرية للغاية لهذه البيانات وسوف يمنح جميع الموظفين التدريب والتنوير وفقاً لذلك. يحق للمعالج وأي شخص تحت سيطرته لديه حق الوصول إلى البيانات الشخصية معالجة هذه البيانات حصرياً وفقاً لتوجيهات المتحكم، بما في ذلك الأذونات الممنوحة في هذه الاتفاقية، ما لم تكن هناك حاجة قانونية لمعالجتها. ستبقى التزامات السرية الأوسع طبقاً للمادة 9 غير متأثرة.

    • 5.1.2 يجب على المتحكم والمعالج، بناءً على طلب، التعاون مع السلطة الإشرافية في أداء الواجبات.

    • 5.1.3 يجب إبلاغ المتحكم دون تأخير غير مبرر بشأن إجراءات الرقابة والتدابير من قبل السلطة الإشرافية، بقدر ما تتعلق هذه الاتفاقية. يجب أن ينطبق هذا أيضاً بقدر ما تحقق السلطة المختصة في سياق مخالفة إدارية أو إجراءات جنائية فيما يتعلق بمعالجة البيانات الشخصية في إطار هذه الاتفاقية من قبل المعالج.

    • 5.1.4 بقدر ما يخضع المتحكم لفحص من قبل السلطة الإشرافية، إجراءات إدارية أو جنائية، مطالبة بالمسؤولية من موضوع البيانات أو طرف ثالث أو أي مطالبة أخرى فيما يتعلق بمعالجة البيانات الشخصية من قبل المعالج نيابة عن المتحكم، يجب على المعالج دعم المتحكم بأفضل الجهود.

    • 5.1.5 يجب على المعالج مراقبة العمليات الداخلية بانتظام وكذلك التدابير الفنية والتنظيمية لضمان أن المعالجة في منطقة مسؤولية المعالج تُجرى وفقاً لمتطلبات قانون حماية البيانات القابل للتطبيق وتضمن حماية حقوق مواضيع البيانات.

    5.2 يجب على المعالج دعم المتحكم في الالتزام بالالتزامات المقررة في المادتين 32 إلى 36 من اللائحة العامة لحماية البيانات بما يتعلق بأمن البيانات الشخصية، التزامات إشعار الانتهاك، تقييمات تأثير حماية البيانات والمشاورات المسبقة. يتضمن ذلك، على سبيل المثال لا الحصر، الالتزام بـ:

    • 5.2.1 ضمان مستوى ملائم من حماية البيانات من خلال التدابير الفنية والتنظيمية التي تتناول الظروف والأغراض من المعالجة، وكذلك الاحتمال المتوقع وشدة خرق الأمان المحتمل، والسماح بالكشف الفوري عن الحوادث ذات الصلة.

    • 5.2.2 الإبلاغ عن اختراقات البيانات الشخصية إلى المتحكم دون تأخير غير مبرر

    • 5.2.3 دعم المتحكم في تنفيذ التزام المتحكم بتوفير المعلومات إلى موضوع البيانات وتزويد المتحكم بجميع المعلومات ذات الصلة في هذا السياق دون تأخير غير مبرر

    • 5.2.4 دعم المتحكم في تقييمات تأثير حماية البيانات

    • 5.2.5 دعم المتحكم في التشاورات المسبقة مع السلطة الإشرافية.

    5.3 للخدمات الداعمة التي لم يتم الاتفاق عليها في العقد الرئيسي أو بسبب سوء تصرف المعالج، قد يطالب المعالج بتعويض معقول.


  3. المعالجون الفرعيون

    6.1 يُقصد بـ "المعالجون الفرعيون" بموجب هذا الحكم مقدمو الخدمات الذين يقدمون خدمات ترتبط مباشرة بأداء الخدمة الرئيسية بموجب هذه الاتفاقية. لا يغطي مصطلح المعالج الفرعي مقدمو الخدمات الذين يقدمون خدمات مساعدة للمعالج، مثل خدمات الاتصالات و البريد/خدمات النقل وصيانة المستخدم أو التخلص من وسائل نقل البيانات بالإضافة إلى تدابير أخرى لضمان السرية والتوافر وسلامة ومرونة الأجهزة والبرمجيات لأنظمة معالجة البيانات. ومع ذلك، فإن المعالج ملزم بتنفيذ الاتفاقيات التعاقدية المناسبة والممتثلة قانونياً بالإضافة إلى إجراءات الرقابة لضمان حماية البيانات وأمن بيانات المتحكم حتى في حالة خدمات الدعم المُسندة.

    6.2 يوافق المتحكم على تكليف المعالجين الفرعيين المدرجين في المرفق 3، بشرط أن يتم إبرام اتفاق تعاقدي بين المعالج والمعالج الفرعي المعني وفقًا للمادة 28 (2) إلى (4) من اللائحة العامة لحماية البيانات.

    6.3 يجوز توظيف خدمات معالجة البيانات إلى معالجين فرعيين إضافيين أو تغيير المعالجين الفرعيين المفوضين، شريطة أن:

    • 6.3.1 يُخطر المعالج المتحكم بتكليف المعالجين الفرعيين كتابيًا أو بشكل نصي خلال فترة زمنية معقولة مسبقاً

    • 6.3.2 المتحكم لا يعترض كتابيًا و

    • 6.3.3 يتم استخدام اتفاق تعاقدي وفقًا للمادة 28 (2) إلى (4) من اللائحة العامة لحماية البيانات كأساس تعاقدي.

    6.4 يجب تقديم الاعتراض وفقًا للبند 6.3.2 خلال فترة مدتها شهر واحد بعد تقديم المعلومات. في حالة الاعتراض، يتحمل المتحكم النتائج (مثل الاستحالة الذاتية للأداء) وأي تكاليف إضافية تنتج عن عدم تكليف المعالج الفرعي. إذا لم يتمكن المعالج من تقديم الخدمة المتفق عليها في العقد الرئيسي بسبب الاعتراض أو لا يمكنه القيام بذلك بتكلفة معقولة اقتصاديًا، فسيكون للمعالج الحق في إنهاء استثنائي.

    6.5 لا يجوز نقل البيانات الشخصية للمتـحكم للمعالج الفرعي وتكليف المعالجين الفرعيين بشكل أولي إلا بعد استيفاء جميع الشروط لتوظيف معالجة البيانات للمعالجين الفرعيين.

    6.6 في حالة تقديم المعالج الفرعي للخدمة المتفق عليها خارج الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية، يضمن المعالج أن الخدمة المقدمة من المعالج الفرعي متوافقة مع قانون حماية البيانات باتخاذ التدابير المناسبة. ينطبق نفس الأمر في حالة تعيين مقدمي الخدمات الذين يقدمون خدمات مساعدة ضمن معنى القسم 6.1.

    6.7 يسمح بالتوظيف الإضافي من قبل المعالج الفرعي فقط في إطار الأحكام القانونية.


  4. حقوق السيطرة للمتـحكم

    7.1 يحق للمتـحكم، بالتشاور مع المعالج، إجراء عمليات فحص في مقرات عمل المعالج أو تكليف مفتشين يتم تسميتهم في الحالات الفردية بإجراء الفحوص. يحق للمتـحكم التحقق من امتثال المعالج لهذه الاتفاقية في مقرات المعالج خلال ساعات العمل الرسمية من خلال فحوصات مفاجئة يتم إخطارها قبل أربعة أسابيع على الأقل. لا تجري مثل هذه الفحوصات أكثر من مرة في السنة.

    7.2 يجب على المعالج ضمان أن يتمكن المتـحكم من إقناعه بمدى امتثال المعالج لالتزاماته بموجب المادة 28 من اللائحة العامة لحماية البيانات. يلتزم المعالج بتزويد المتـحكم بالمعلومات الضرورية عند الطلب وتقديم الدليل على تنفيذ التدابير الفنية والتنظيمية المتفق عليها تعاقديًا.

    7.3 يمكن إثبات تلك التدابير، ليس فقط المتعلقة بمعالجة البيانات المحددة بموجب هذه الاتفاقية، من خلال:

    • 7.3.1 الامتثال لمدونات السلوك المعتمدة وفقًا للمادة 40 من اللائحة العامة لحماية البيانات

    • 7.3.2 الشهادات المعتمدة وفقًا لإجراء شهادة معتمد وفقًا للمادة 42 من اللائحة العامة لحماية البيانات

    • 7.3.3 التصديقات الحالية أو التقارير أو مقتطفات من تقارير من منظمات مستقلة (مثل المدققين، مسؤولي حماية البيانات، أقسام أمن المعلومات، مدققي حماية البيانات، مدققي الجودة)

    • 7.3.4 شهادة مناسبة من خلال تدقيق لأمن تكنولوجيا المعلومات أو حماية البيانات (مثل وفقًا للمعايير الخاصة بأمن تكنولوجيا المعلومات للمكتب الفيدرالي لأمن المعلومات).

    7.4 قد يطالب المعالج بتعويض معقول للسماح للمتـحكم بإجراء عمليات الفحص.


  5. تفويض المتـحكم لإصدار التعليمات

    8.1 يجب على المتـحكم تأكيد التعليمات الشفهية فورًا على الأقل بشكل نصي (تعليمات موثقة). لا يجوز للمتـحكم استنباط أي مطالبة من التعليمات التي لم يتم تأكيدها في الوقت المناسب بشكل نصي.

    8.2 يجب على المعالج إخطار المتـحكم في حال كان المعالج يعتقد أن تعليمات تنتهك لوائح حماية البيانات. يحق للمعالج تعليق تنفيذ التعليمات ذات الصلة حتى يتم تأكيد أو تعديل التعليمات من قبل المتـحكم.

    8.3 يجب على المعالج الالتزام بالحفاظ على سرية جميع المعرفة بالبيانات الشخصية، الأسرار التجارية وتدابير أمان البيانات للمتـحكم التي حصل عليها في إطار العلاقة التعاقدية.

  1. السرية

    9.1 يتعين على المعالج الحصول على معرفة بالمعلومات السرية فقط بقدر ما يكون ذلك ضروريًا لأداء مهامه تجاه المتـحكم. بقدر ما يستخدم المعالج موظفين أو مقدمي خدمات لتنفيذ العقد، يتعين على المعالج فرض نفس الالتزامات من هذه الاتفاقية على هؤلاء الأشخاص. ستقدم الإقرارات المعنية إلى المتحكم بناءً على طلب المـتحكم. قد يقدم المعالج أيضًا إقرارات نموذجية، شريطة أن يكون تقديم جميع الإقرارات غير متناسب لأسباب قانونية أو واقعية في الحالة الفردية وشريطة أن يؤكد المعالج كتابيًا بأن جميع الموظفين / مقدمي الخدمات ذوي الصلة قد تم إلزامهم وفقًا لهذا النموذج. سيظل القسم 6، وخاصة القسم 6.1، غير متأثر في أي حال.

    9.2 بقدر ما تم الاتفاق بالفعل على التزام بالسرية بين المتحكم والمعالج في العقد الرئيسي أو في أماكن أخرى، تنطبق أحكام السرية من هذا القسم 9 بالإضافة إلى التزام السرية هذا. في حالة نشوب تعارض بشأن وضع معين، تنطبق الأحكام الأكثر صرامة على المعالج.

    9.3 ستظل الالتزام بالسرية المشار إليها في هذا القسم 9 سارية لفترة غير محددة بعد انتهاء العلاقة التعاقدية.

  1. حذف وعودة البيانات الشخصية

    10.1 لا يجب إنشاء نسخ أو مكررات من البيانات دون علم المتحكم. لا ينطبق هذا على النسخ الاحتياطية بقدر ما تكون مطلوبة لضمان التعامل السليم مع البيانات وكذلك معالجة البيانات التي يتطلبها الامتثال لالتزامات الاحتفاظ القانونية.

    10.2 بعد إتمام الخدمات المتفق عليها في العقد أو في وقت مبكر بناءً على طلب من المتحكم - في موعد أقصاه عند إنهاء العقد الرئيسي - يلتزم المعالج بإعادة البيانات أو، بعد موافقة مسبقة، بتدميرها وفقًا للقانون المعني بحماية البيانات جميع الوثائق ونتائج المعالجة والاستخدام التي تم إنشاؤها، وكذلك ملفات البيانات المتعلقة بالعلاقة التعاقدية التي وصلت إلى حوزته. ينطبق نفس الأمر على المواد التجريبية والمرفوضة. سيتم تقديم السجل الخاص بالحذف بناءً على الطلب.

    10.3 يجب الاحتفاظ بالتوثيق الذي يخدم كدليل على التعامل الصحيح مع البيانات وفقًا لهذه الاتفاقية من قبل المعالج بعد انتهاء الاتفاقية وفقًا لفترات الاحتفاظ المعنية. قد يسلمها المعالج إلى المتحكم في نهاية مدة الاتفاقية لتخفيف العبء على المعالج.

  1. المسؤولية

    11.1 في حال كان هناك تهديد بفرض مطالبات بالتعويض بمعنى المادة 82 من اللائحة العامة لحماية البيانات، وغرامات بمعنى المادة 83 من اللائحة العامة لحماية البيانات و/أو عقوبات أخرى بمعنى المادة 84 من اللائحة العامة لحماية البيانات ضد طرف في سياق الأنشطة المعالجة التي تغطيها هذه الاتفاقية، يتعين على الطرف المعني إبلاغ الطرف الآخر كتابيًا دون تأخير غير مبرر. يلتزم المتحكم والمعالج بدعم بعضهما البعض في الدفاع ضد المطالبات المذكورة أعلاه.

    11.2 يتحمل المتحكم والمعالج المسؤولية عن معالجة البيانات في العلاقة الخارجية وفقاً للقوانين ذات الصلة. يتم تنظيم المسؤولية في العلاقة الداخلية بين المتحكم والمعالج وفقًا لأحكام العقد الرئيسي.

  1. الأحكام الختامية

    12.1 تنطبق أحكام هذه الاتفاقية فقط على معالجة البيانات الشخصية وفقًا للمادة 28 من اللائحة العامة لحماية البيانات وتأخذ الأولوية على أي مقررات متعارضة أو متناقضة من العقد الرئيسي إلى هذا النطاق.

    12.2 يجب إجراء جميع التعديلات على هذه الاتفاقية كتابيًا. ينطبق هذا أيضًا على أي تعديل على عبارة الشكل الكتابي هذه. يمكن الامتثال للشكل الكتابي أيضاً من خلال تبادل الرسائل (باستثناء إخطارات الإنهاء) أو من خلال توقيعات مرسلة إلكترونيًا (الفاكس، نقل التوقيعات الممسوحة ضوئيًا عبر البريد الإلكتروني). ومع ذلك، لا تنطبق المادتان 127 (2) و(3) من القانون المدني الألماني ("BGB") في جميع النواحي الأخرى.

المرفق 1: فئات مواضيع البيانات وفئات البيانات الشخصية

a) فئات مواضيع البيانات

  • موظفو المتحكم

  • المساهمون وأعضاء مجلس الإدارة للمتحكم

  • الشركاء التجاريون للمتـحكم

  • عملاء الـمتحكم

  • الموردون/مزودو الخدمات (بما في ذلك موظفيهم)

b) البيانات المتعلقة بالطلبات

جميع بيانات العملاء الخاصة اللازمة لتنفيذ الطلب الرئيسي

الملاحق 2: التدابير التقنية والتنظيمية 


السرية

a) التحكم في الوصول

لا يوجد وصول غير مصرح به إلى أنظمة معالجة البيانات، يضمن من خلال:

  • بطاقات مغناطيسية أو بحسب الشرائح

  • فتاح أبواب كهربائي

  • الحراسة أو موظف الأمن

  • أنظمة الإنذار

  • أنظمة المراقبة بالفيديو

b) التحكم في النظام

لا يوجد استخدام نظام غير مصرح به، يضمن من خلال:

  • كلمات المرور (الأمانة)

  • المصادقة الثنائية

c) التحكم في الوصول

لا يوجد قراءة غير مصرح بها، نسخ، تعديل أو إزالة ضمن النظام، يضمن من خلال:

  • مفاهيم التصريح

  • حقوق الوصول المستندة إلى الاحتياجات

  • تسجيل عمليات الوصول

d) التحكم في الفصل

معالجة منفصلة للبيانات المجمعة لأغراض مختلفة، يضمن من خلال:

  • القدرة على تعدد المستخدمين

  • منع التشغيل المتداخل

e) إخفاء الهوية

معالجة البيانات الشخصية بطريقة لا يمكن إرجاعها إلى موضوع بيانات محدد دون الرجوع إلى معلومات إضافية، شريطة أن يتم تخزين هذه المعلومات الإضافية بشكل منفصل وتخضع لتدابير فنية وتنظيمية مناسبة.

السلامة

a) التحكم في النقل

لا يوجد قراءة غير مصرح بها، نسخ، تعديل أو إزالة أثناء النقل الإلكتروني أو المواصلات، يضمن من خلال:

  • التشفير

  • الشبكات الافتراضية الخاصة (VPN)

  • التوقيع الإلكتروني

b) التحكم في الإدخال

تحديد ما إذا كان ومن قد تم إدخال البيانات الشخصية في أنظمة معالجة البيانات أو تعديلها أو إزالتها، يضمن من خلال:

  • التسجيل

  • إدارة الوثائق


التوافر والمرونة

a) التحكم في التوافر

الحماية ضد الدمار العرضي أو المتعمد أو الفقدان، يضمن من خلال استراتيجية النسخ الاحتياطي (عبر الإنترنت/غير المتصل؛ في الموقع/خارج الميدان)

  • مجال تغطية عدم انقطاع الطاقة (UPS)

  • الحماية من الفيروسات

  • الجدران النارية

  • قنوات الإبلاغ

  • خطط الطوارئ

b) القدرة على الاستعادة السريعة

القدرة على الاستعادة السريعة يضمن من خلال    

  • النسخ الاحتياطية الدورية واستراتيجية النسخ الاحتياطي المناسبة (عبر الإنترنت / غير المتصل؛ في الموقع/خارج الموقع).


إجراءات المراجعة الدورية والتقييم

a) إدارة حماية البيانات

b) إدارة الاستجابة للحوادث

c) الإعدادات الافتراضية الملائمة للخصوصية

d) التحكم في العقود

لا معالجة للبيانات بمعنى المادة 4 (8)، 28 من اللائحة العامة لحماية البيانات دون تعليمات مناسبة من المتحكم، يضمن من خلال:

  • تصميم العقود الواضح

  • الإدارة الرسمية

  • الاختيار الصارم لمقدم الخدمة

  • الالتزام بالإقناع مسبقاً

  • البحث فيما بعد الفحوصات

المرفق 3: المعالجين الفرعيين 

يوافق المتحكم على تكليف المعالجين الفرعيين المدرجين في هذا المرفق 3، بشرط أن يتم إبرام اتفاق تعاقدي بين المعالج الفرعي المعني وفقًا للمادة 28 (2) – (4) من اللائحة العامة لحماية البيانات.

  • Amazon Web Services - استضافة السحاب (قياسية) - ألمانيا

  • Google Cloud Platform - الدخول الموحد (قياسية) - ألمانيا

  • Azure OpenAI Service - عمليات نشر النموذج الخاص لـ OpenAI (قياسية) - سويسرا، فرنسا، السويد، ألمانيا

  • Nango - التكاملات (قياسية) - الولايات المتحدة الأمريكية