اتفاقية معالجة البيانات

اتفاقية معالجة البيانات

تُبرم اتفاقية معالجة البيانات هذه ("الاتفاقية") بين:

• Sonetel AB (publ)، رقم التسجيل 556486-5847 ("المورّد")؛ و
• الشركة أو الكيان الذي تمثله، ("العميل")

يُشار إليهما فيما يلي مجتمعين بـ "الطرفان" أو منفردين بـ "الطرف".

1. الخلفية

1.1 تشكل هذه الاتفاقية جزءاً لا يتجزأ من اتفاقية الخدمات الرئيسية ("الاتفاقية") بين المورّد والعميل. 1.2 عند الدخول في الاتفاقية، سيقوم المورّد بمعالجة البيانات الشخصية نيابةً عن العميل، بصفته معالجاً. العميل هو المتحكم في معالجة البيانات الشخصية. 1.3 إذا كان العميل متحكماً مشتركاً مع طرف آخر في البيانات الشخصية ذات الصلة، فيجب على العميل إبلاغ المورّد بذلك. 1.4 الغرض من هذه الاتفاقية هو ضمان تنفيذ المعالجة وفقاً للمتطلبات المعمول بها لمعالجة البيانات والالتزامات بموجب قواعد حماية البيانات، وضمان الحماية الكافية للخصوصية الشخصية والحقوق الأساسية للأفراد أثناء نقل البيانات الشخصية من العميل إلى المورّد في إطار الخدمات التي يؤديها المورّد بموجب الاتفاقية.

2. التعريفات

2.1 ما لم يُذكر خلاف ذلك، فإن أي مصطلح أو مفهوم آخر يُستخدم بأحرف كبيرة في هذه الاتفاقية (باستثناء بعض الحالات كجزء من عنوان) يكون له المعنى والمفهوم المحدد في قواعد حماية البيانات وفي الاتفاقية، ما لم تتطلب الظروف بوضوح تفسيراً آخر.

3. المسؤوليات والتعليمات

3.1 العميل هو المتحكم في جميع البيانات الشخصية التي يعالجها المورّد نيابةً عن العميل بموجب الاتفاقية. لذلك، يكون العميل مسؤولاً عن الامتثال لقواعد حماية البيانات. يتعهد العميل بإبلاغ المورّد بقواعد حماية البيانات ذات الصلة بتنفيذ المعالجة بموجب هذه الاتفاقية. بالإضافة إلى المتطلبات التي تنطبق مباشرة على المعالج وفقاً لقواعد حماية البيانات، يلتزم المورّد بالامتثال للمتطلبات الأخرى المعمول بها وفقاً لقواعد حماية البيانات وتوصيات السلطة الإشرافية التي أُبلغ بها المورّد من قبل العميل. يجب على العميل أيضاً إبلاغ المورّد باستمرار بإجراءات الأطراف الثالثة، بما في ذلك السلطة الإشرافية وصاحب البيانات، نتيجة للمعالجة. 3.2 لا يجوز للمورّد وأي شخص يعمل تحت سلطة المورّد، ولديه إمكانية الوصول إلى البيانات الشخصية، معالجة تلك البيانات لأي أغراض أخرى غير وفقاً لتعليمات العميل الكتابية أو وفقاً لقواعد حماية البيانات. التعليمات التي تنطبق على هذه الاتفاقية موضحة في الملحق 1. بالإضافة إلى التعليمات الموضحة في الملحق 1، تشكل هذه الاتفاقية والاتفاقية تعليمات العميل إلى المورّد فيما يتعلق بمعالجة البيانات الشخصية. يجب على العميل إبلاغ المورّد فوراً بأي تغييرات تؤثر على التزامات المورّد بموجب هذه الاتفاقية. 3.3 يجوز أيضاً معالجة البيانات الشخصية بموجب هذه الاتفاقية إذا كانت هذه المعالجة مطلوبة بموجب قانون الاتحاد أو بموجب القانون الوطني لدولة عضو يخضع له المورّد أو المعالج الفرعي. إذا كانت هذه المعالجة مطلوبة، فيجب على المورّد أو المعالج الفرعي إبلاغ العميل بالمتطلب القانوني قبل المعالجة، ما لم تكن هذه المعلومات محظورة وفقاً لمصلحة عامة بموجب هذا القانون. 3.4 يحق للمورّد تخزين ومعالجة البيانات المستمدة من العميل بصيغة مجمعة أو مجهولة الهوية، لا تحتوي على بيانات شخصية، بموجب هذه الاتفاقية.

4. الأمن

4.1 يجب على المورّد تنفيذ تدابير تقنية وتنظيمية، حسبما تقتضيه قواعد حماية البيانات، من أجل ضمان مستوى من الأمن يتناسب مع المخاطر ولحماية البيانات الشخصية التي تتم معالجتها من الإتلاف أو الفقدان أو التعديل العرضي أو غير القانوني، أو الإفصاح غير المصرح به عن البيانات الشخصية التي تتم معالجتها أو الوصول إليها. 4.2 يجب على المورّد مساعدة العميل في ضمان الوفاء بالالتزامات بموجب المواد 32-36 من اللائحة العامة لحماية البيانات، مع مراعاة نوع المعالجة والمعلومات المتاحة للمورّد. 4.3 يجب على المورّد إخطار العميل دون تأخير لا مبرر له بعد علمه بحدوث خرق للبيانات الشخصية.

5. الإفصاح عن البيانات الشخصية والمعلومات

5.1 في حالة تلقي المورّد طلباً من صاحب البيانات أو السلطة الإشرافية أو طرف ثالث آخر للحصول على معلومات تتعلق بالبيانات الشخصية التي يعالجها المورّد نيابةً عن العميل، يجب على المورّد إحالة الطلب إلى العميل دون تأخير. لا يجوز للمورّد وأي شخص يعمل تحت سلطة المورّد الإفصاح عن البيانات الشخصية أو معلومات أخرى حول معالجة البيانات الشخصية دون تعليمات صريحة من العميل ما لم يكن هذا الإفصاح مطلوباً وفقاً لقواعد حماية البيانات المعمول بها. 5.2 يجب على المورّد مساعدة العميل في الامتثال لالتزامه بالرد على الطلبات المتعلقة بحق صاحب البيانات في الوصول والتصحيح والمحو، من خلال اتخاذ تدابير تقنية وتنظيمية مناسبة مع مراعاة طبيعة المعالجة والمساعدة في الإفصاح عن البيانات الشخصية عند الاقتضاء بموجب القانون الوطني المعمول به.

6. الاتصال بالسلطة الإشرافية

6.1 يجب على المورّد إبلاغ العميل بأي اتصالات من السلطة الإشرافية تتعلق بمعالجة البيانات الشخصية بموجب هذه الاتفاقية. لا يحق للمورّد تمثيل العميل أو التصرف نيابةً عن العميل فيما يتعلق بالسلطة الإشرافية إذا لم يكن ذلك مطلوباً بموجب قواعد حماية البيانات.

7. المعالجون الفرعيون

7.1 يجوز معالجة البيانات الشخصية من قبل معالج فرعي بشرط أن يبرم المورّد اتفاقية كتابية مع المعالج الفرعي تفرض عليه الالتزامات المقابلة عند معالجة البيانات الشخصية وفقاً لهذه الاتفاقية. 7.2 يتعهد المورّد بإبلاغ العميل بأي خطط للاحتفاظ بمعالجين فرعيين جدد أو استبدال المعالجين الفرعيين. يحق للعميل الاعتراض على هذه التغييرات. لا يجوز أن يتعلق هذا الاعتراض إلا بأسباب موضوعية مرتبطة بالوفاء بمتطلبات الأمن التقنية والتنظيمية عند معالجة البيانات الشخصية بموجب الاتفاقية. 7.3 المورّد مسؤول عن ضمان مراعاة متطلبات استخدام المعالجين الفرعيين بموجب قواعد حماية البيانات وضمان أن يقدم هؤلاء المعالجون الفرعيون ضمانات كافية لتنفيذ التدابير التقنية والتنظيمية المناسبة بحيث تفي المعالجة بمتطلبات قواعد حماية البيانات. 7.4 يجب على المورّد تزويد العميل بقائمة صحيحة ومحدثة بالمعالجين الفرعيين المعينين لمعالجة البيانات الشخصية بموجب هذه الاتفاقية، إلى جانب معلومات الاتصال والموقع الجغرافي للمعالجة. هذه القائمة متاحة للعميل على https://sonetel.com/en/help/help-topics/terms-conditions/sub-processors/. يتعهد المورّد بإخطار العميل بأي تحديث لقائمة المعالجين الفرعيين والتأكد من أنها صحيحة دائماً. 7.5 إذا فشل معالج فرعي في الوفاء بالالتزامات بموجب الاتفاقية وهذه الاتفاقية و/أو وفقاً لقواعد حماية البيانات، فيكون المورّد مسؤولاً عن أداء التزامات المعالج الفرعي فيما يتعلق بالعميل.

8. عمليات التدقيق

8.1 يجب على المورّد تزويد العميل بجميع المعلومات المطلوبة للامتثال للالتزامات وفقاً لهذه الاتفاقية وقواعد حماية البيانات في غضون وقت معقول بعد تقديم هذا الطلب من قبل العميل إلى المورّد. 8.2 يجب على المورّد تمكين والمساهمة في عمليات التدقيق، بما في ذلك عمليات التفتيش التي يجريها العميل أو مدقق مستقل آخر (على نفقة العميل) يختاره العميل، والذي قد يقبله المورّد بشكل معقول. يُطلب من المدقق التوقيع على اتفاقيات سرية كافية يقدمها المورّد قبل عمليات التدقيق. يحق للعميل إجراء عملية تدقيق واحدة سنوياً دون تكلفة. إذا رغب العميل في إجراء عمليات تدقيق إضافية، فيجب على العميل تعويض المورّد عن جميع التكاليف المرتبطة بعملية/عمليات التدقيق. 8.3 يجب على المورّد فيما يتعلق بالالتزامات المنصوص عليها في القسم 8 من هذه الاتفاقية، إبلاغ العميل فوراً إذا اعتبر المورّد أن التعليمات تنتهك قواعد حماية البيانات.

9. نقل البيانات الشخصية خارج الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية

9.1 في حالة قيام المورّد و/أو المعالج الفرعي بنقل البيانات الشخصية إلى موقع خارج الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية، يجب على المورّد و/أو المعالجين الفرعيين التأكد من أن هذا النقل يتوافق مع قواعد حماية البيانات المعمول بها.

10. السرية

10.1 يجب على المورّد، عند الاقتضاء، الامتثال للتشريعات الوطنية المعمول بها للمعلومات السرية أو المصنفة. يتعهد المورّد بضمان أن الموظفين المصرح لهم بمعالجة البيانات الشخصية بموجب هذه الاتفاقية قد تعهدوا بمراعاة السرية للمعالجة أو يخضعون لواجب السرية القانوني المعمول به. 10.2 لا ينطبق القسم 10.1 أعلاه على المعلومات التي تطلبها السلطة الإشرافية وفقاً لقواعد حماية البيانات أو أي التزام قانوني آخر. 10.3 ينطبق التزام السرية أيضاً بعد انتهاء سريان الاتفاقية و/أو هذه الاتفاقية.

11. قابلية نقل البيانات

11.1 يجب على المورّد التأكد من أن العميل قادر على الوفاء بأي التزام يتعلق بقابلية نقل البيانات المتعلقة بالبيانات الشخصية التي يعالجها المورّد نيابةً عن العميل.

12. التعويض

12.1 في حالة أن الالتزامات المفروضة على المورّد وفقاً للأقسام 5 و8 و9 و11 تؤدي إلى عمل مكثف للمورّد، يحق للمورّد الحصول على تعويض معقول من العميل. 12.2 في حالة تقديم العميل اعتراضاً مشروعاً على معالج فرعي جديد وفقاً للقسم 7 ولم يوافق المورّد على استبدال المعالج الفرعي، يحق للمورّد الحصول على تعويض إضافي من العميل عن التكاليف التي تكبدها المورّد بسبب عدم إمكانية استخدام المعالج الفرعي. 12.3 يحق للمورّد الحصول على تعويض معقول عن جميع الأعمال وجميع التكاليف التي تنشأ بسبب تعليمات العميل للمعالجة إذا كانت هذه تتجاوز الميزات ومستوى الأمان بناءً على الخدمات التي يقدمها المورّد عادةً لعملائه، على سبيل المثال في حالة أن نظام/خدمات المورّد أو غير ذلك يتطلب من المورّد إجراء تعديلات خاصة نيابةً عن العميل.

13. المسؤولية

13.1 إذا قام المورّد أو أي شخص يعمل تحت سلطة المورّد أو معالج فرعي بمعالجة البيانات الشخصية بما يخالف هذه الاتفاقية أو تعليمات معالجة البيانات المقدمة من العميل، فيجب على المورّد، مع مراعاة حد المسؤولية الناشئ عن الاتفاقية، تعويض العميل عن الضرر المباشر الذي لحق بالعميل بسبب المعالجة غير القانونية. بغض النظر عن حد المسؤولية في هذه الاتفاقية، تكون مسؤولية المورّد بموجب الفقرة 13.1 محدودة دائماً بمبلغ يعادل الرسوم التي دفعها العميل إلى المورّد بموجب الاتفاقية لمدة اثني عشر (12) شهراً قبل حدوث الضرر. في حالة عدم سريان الاتفاقية خلال سنة تعاقدية كاملة، يُحسب هذا المبلغ على أساس التكاليف التي يُتوقع أن يدفعها العميل خلال سنة تعاقدية بموجب الاتفاقية. 13.2 خلال مدة هذه الاتفاقية وبعدها، يجب على العميل تعويض المورّد وإعفائه من أي ضرر مباشر، بما في ذلك المطالبات من أصحاب البيانات والأطراف الثالثة، التي تكبدها المورّد بسبب تعليمات غير واضحة أو غير كافية أو غير قانونية من العميل، أو بخلاف ذلك، اعتماداً على الظروف الناشئة عن العميل. 13.3 لا ينطبق التزام المورّد بدفع التعويضات، المنصوص عليه في القسم 13.1 أعلاه، إلا بشرط أن: (i) يُبلغ العميل المورّد كتابياً دون تأخير لا مبرر له بأي مطالبات ضد العميل؛ و(ii) يسمح العميل للمورّد بالسيطرة على الدفاع عن المطالبة واتخاذ قرارات مستقلة بشأن التسوية.

14. المدة والإنهاء

14.1 تدخل هذه الاتفاقية حيز التنفيذ عند توقيعها حسب الأصول من قبل الطرفين إما بشكل منفصل كتعديل للاتفاقية أو كجزء من الاتفاقية وتظل سارية المفعول طالما يعالج المورّد البيانات الشخصية نيابةً عن العميل. 14.2 عند إنهاء الاتفاقية أو هذه الاتفاقية (أيهما يحدث أولاً)، يجب على المورّد وفقاً لتعليمات العميل حذف أو إعادة جميع البيانات الشخصية إلى العميل والتأكد من أن جميع المعالجين الفرعيين يفعلون الشيء نفسه. 14.3 إذا لم يطلب العميل إعادة البيانات الشخصية، فيجب على المورّد حذف البيانات في غضون 90 يوماً بعد إنهاء هذه الاتفاقية أو الاتفاقية (أيهما يحدث أولاً). يجب على المورّد حذف أي نسخ موجودة ما لم يكن تخزين البيانات الشخصية مطلوباً بموجب قانون الاتحاد أو القانون الوطني للدولة العضو.

15. التغييرات والإضافات

15.1 إذا تم تغيير قواعد حماية البيانات خلال مدة هذه الاتفاقية، أو إذا أصدرت السلطة الإشرافية مبادئ توجيهية أو قرارات أو لوائح تتعلق بتطبيق قواعد حماية البيانات التي تؤدي إلى عدم استيفاء هذه الاتفاقية لمتطلبات اتفاقية معالجة البيانات، فيجب على الطرفين إجراء التغييرات اللازمة على هذه الاتفاقية، من أجل تلبية هذه المتطلبات الجديدة أو الإضافية. تدخل هذه التغييرات حيز التنفيذ في موعد لا يتجاوز ثلاثين (30) يوماً بعد إرسال أحد الطرفين إشعاراً بالتغيير إلى الطرف الآخر أو في موعد لا يتجاوز ما هو منصوص عليه في قواعد حماية البيانات أو المبادئ التوجيهية أو القرارات أو اللوائح الصادرة عن السلطة الإشرافية. 15.2 يجب أن تتم التغييرات والإضافات الأخرى على هذه الاتفاقية، لكي تكون ملزمة، كتابياً وموقعة حسب الأصول من قبل الطرفين.

16. أحكام متنوعة

16.1 تحل هذه الاتفاقية محل وتستبدل جميع اتفاقيات معالجة البيانات السابقة بين الطرفين وتحل محل أي أحكام منحرفة في الاتفاقية تتعلق بموضوع هذه الاتفاقية، بغض النظر عما إذا كان منصوصاً عليه خلاف ذلك في الاتفاقية. 16.2 تخضع هذه الاتفاقية لنفس القانون ونفس المحكمة المنصوص عليها في الاتفاقية. 16.3 بالإضافة إلى ذلك، تنطبق شروط الاتفاقية أيضاً على معالجة المورّد للبيانات الشخصية والالتزامات بموجب هذه الاتفاقية. ومع ذلك، في حالة وجود تناقضات بين أحكام الاتفاقية وهذه الاتفاقية، فإن أحكام هذه الاتفاقية تسود فيما يتعلق بجميع معالجات البيانات الشخصية. لا يجوز لأحكام الاتفاقية تقييد أو تعديل أي من التزامات هذه الاتفاقية. 16.4 تخضع هذه الاتفاقية لنفس القانون وتخضع لنفس المحكمة المنصوص عليها في الاتفاقية.

الملحق 1 – تعليمات معالجة البيانات

في تعليمات معالجة البيانات هذه، يكون لجميع الكلمات المكتوبة بأحرف كبيرة نفس المعنى المحدد في الاتفاقية، ما لم يُذكر خلاف ذلك صراحةً.

• المعلومات والبيانات التي ينقلها العميل إلى المورّد عند استخدام خدمات المورّد،
• بيانات المستخدم والمعلومات المتعلقة باستخدام خدمات المورّد،
• المحتوى الذي ينشئه المستخدم النهائي، و
• معلومات أخرى ذات صلة بدعم تكنولوجيا المعلومات والخدمات ذات الصلة.

لا يعالج المورّد البيانات الشخصية الحساسة، والعميل مسؤول عن ضمان عدم نقل البيانات الشخصية الحساسة إلى خدمات المورّد ما لم يقدم المورّد للعميل موافقة كتابية مسبقة على هذه المعالجة. فئات أصحاب البيانات يُرجى تحديد فئات أصحاب البيانات الذين ستتم معالجة بياناتهم الشخصية من قبل المورّد بصفته معالج بيانات | يعالج المورّد الفئات التالية من أصحاب البيانات:

• معلومات حول المستخدمين المسجلين، و
• معلومات حول أصحاب البيانات الذين يظهرون في المواد التي ينقلها العميل إلى المورّد من خلال استخدام أي من خدمات المورّد، و
• معلومات المستخدم النهائي.

متطلبات الاحتفاظ يُرجى تحديد مدة الاحتفاظ بالبيانات الشخصية المخزنة لدى المورّد | يجب حذف البيانات الشخصية بناءً على طلب العميل ووفقاً لتعليمات العميل. لدى المورّد فترة احتفاظ مدتها 90 يوماً بعد إنهاء الاتفاقية أو اتفاقية معالجة البيانات.