ملحق معالجة البيانات

ملحق معالجة البيانات

يتعلق ملحق معالجة البيانات هذا ("DPA") باتفاقية الاستضافة السحابية الأساسية ("الاتفاقية") التي يقدم بموجبها ISVHost ("مزود الخدمة") خدمات الاستضافة السحابية للعميل ("الشركة")، ويشكل جزءًا من الاتفاقية.  

وحيث إن مقدم الخدمة يقدم خدمات معينة للشركة بموجب الاتفاقية ("الخدمات")؛  

وحيث إنه، كجزء من الخدمات التي يقدمها مقدم الخدمة إلى الشركة بموجب الاتفاقية، سيُمنح مقدم الخدمة معلومات شخصية أو سيتمكن من الوصول إليها، وفقًا لاستخدام ومفهوم هذا المصطلح بموجب قوانين خصوصية البيانات (المحددة أدناه)؛

وحيث إن الطرفين يسعيان إلى تنفيذ اتفاقية وقف الملاحقة القضائية (DPA) التي تتوافق مع متطلبات قوانين خصوصية البيانات.  

وبناءً على ذلك، تم الاتفاق على ما يلي:  

1. التعاريف

1. يُقصد بـ«الإعلان السلوكي عبر السياقات» توجيه الإعلانات إلى المستهلك استنادًا إلى معلوماته الشخصية التي يتم الحصول عليها من نشاطه عبر الشركات أو المواقع الإلكترونية ذات العلامات التجارية المتميزة أو التطبيقات أو الخدمات، بخلاف الشركة أو الموقع الإلكتروني ذي العلامة التجارية المتميزة أو التطبيق أو الخدمة التي يتفاعل معها المستهلك عن قصد.  

2. يُقصد بـ«المستهلك» أي فرد مقيم في ولاية قضائية تسري فيها قوانين خصوصية البيانات، بما في ذلك على سبيل المثال لا الحصر «المستهلك» وفقًا للتعريف الوارد في قانون خصوصية المستهلك في كاليفورنيا، بصيغته المعدلة بموجب قانون حقوق الخصوصية في كاليفورنيا، وقانون حماية بيانات المستهلك في فرجينيا، وقانون الخصوصية في كولورادو، وقانون خصوصية البيانات في كونيتيكت، وقانون خصوصية المستهلك في يوتا، وقانون خصوصية وأمن البيانات في تكساس، وقانون خصوصية المستهلك في أوريغون، وغيرها من قوانين الخصوصية المعمول بها على مستوى الولايات.

3. يُقصد بـ«قوانين خصوصية البيانات» جميع القوانين والقواعد واللوائح والمتطلبات القانونية أو التنظيمية الذاتية الأخرى السارية في أي ولاية قضائية فيما يتعلق بالخصوصية، وحماية البيانات، وأمن البيانات، والإبلاغ عن الانتهاكات، أو معالجة المعلومات الشخصية (كما هو محدد أدناه).

4. تشمل "المعلومات الشخصية" جميع المعلومات التي تحدد هوية شخص ما وفقًا لتعريف قوانين خصوصية البيانات المعمول بها.

5. يُقصد بـ«المعالجة» و«المعالجة» أي عملية أو مجموعة من العمليات التي تُجرى فيما يتعلق بالمعلومات الشخصية، بما في ذلك على سبيل المثال لا الحصر جمع المعلومات الشخصية وتخزينها واستخدامها.  

6. يُقصد بـ«التنميط» أي شكل من أشكال المعالجة الآلية للمعلومات الشخصية بهدف تقييم أو تحليل أو التنبؤ بالوضع الاقتصادي للفرد أو حالته الصحية أو تفضيلاته الشخصية أو اهتماماته أو مدى موثوقيته أو سلوكه أو موقعه أو تحركاته.

7. يُقصد بـ«الخرق الأمني» التدمير أو الفقدان أو التغيير أو الكشف أو المعالجة غير المصرح بها أو غير القانونية للمعلومات الشخصية.  

8. يُقصد بمصطلحات «البيع» أو «البيع» أو «الطرف الثالث» المعاني المحددة في المادة 1798.140 من القانون المدني لولاية كاليفورنيا، بصيغتها المعدلة، والتعريفات المماثلة الواردة في قوانين خصوصية البيانات الأخرى السارية.

9. يُقصد بـ«البيانات الحساسة» أو «المعلومات الشخصية الحساسة» المعلومات الشخصية التي تكشف عن الأصل العرقي أو الإثني، أو المعتقدات الدينية، أو التشخيصات المتعلقة بالصحة العقلية أو الجسدية، أو الميل الجنسي، أو الجنسية أو الوضع القانوني المتعلق بالهجرة؛ أو البيانات الجينية أو البيومترية التي تتم معالجتها لغرض تحديد هوية الفرد بشكل فريد؛ أو المعلومات الشخصية التي يتم جمعها من طفل معروف؛ أو بيانات تحديد الموقع الجغرافي الدقيقة، وفقًا للتعريف الوارد في قوانين خصوصية البيانات المعمول بها.

10. يشمل مصطلح «مزود الخدمة» مصطلح «المعالج» والمصطلحات المماثلة، ويكون لهذه المصطلحات المعنى نفسه الذي تحدده قوانين خصوصية البيانات المعمول بها.

11. يُقصد بمصطلحات «مشاركة» أو «تمت مشاركتها» أو «المشاركة» المعاني المحددة في المادة 1798.140 من القانون المدني لولاية كاليفورنيا، بصيغتها المعدلة، والتعريفات المماثلة الواردة في قوانين خصوصية البيانات الأخرى السارية.

12. يُقصد بـ«المعالج الفرعي» أي مقاول من الباطن يقوم بمعالجة المعلومات الشخصية نيابة عن مزود الخدمة.

2. التزامات مزود الخدمة

1. سيقوم مقدم الخدمة بمعالجة المعلومات الشخصية لغرض محدود هو تقديم الخدمات إلى الشركة على النحو المبين في الاتفاقية أو وفقًا لتعليمات الشركة الخطية. ويجب أن تتم جميع عمليات معالجة المعلومات الشخصية من قِبل مقدم الخدمة بما يتوافق مع قوانين خصوصية البيانات.  

2. دون تقييد ما سبق، لا يجوز لمزود الخدمة: (1) بيع المعلومات الشخصية؛ (2) مشاركة المعلومات الشخصية لأغراض الإعلان السلوكي عبر السياقات؛ (3) الاحتفاظ بأي معلومات شخصية أو استخدامها أو الكشف عنها لأي غرض، بما في ذلك أي غرض تجاري، بخلاف الأغراض التجارية المحددة في الاتفاقية أو ما تصرح به الشركة كتابةً بخلاف ذلك؛ (4) الاحتفاظ بأي معلومات شخصية أو استخدامها أو الكشف عنها لأي طرف ثالث خارج نطاق العلاقة التجارية المباشرة بين الشركة ومزود الخدمة؛ (5) انتهاك أي قيود سارية مذكورة في قوانين خصوصية البيانات، بما في ذلك تلك المتعلقة بدمج المعلومات الشخصية التي يتلقاها مزود الخدمة من الشركة أو نيابة عنها مع المعلومات الشخصية التي يتلقاها مزود الخدمة من شخص أو أشخاص آخرين أو نيابة عنهم، أو التي يجمعها مزود الخدمة من أي تفاعل بينه وبين أي فرد؛ شريطة ألا يمنع ما سبق مزود الخدمة من دمج البيانات غير المحددة الهوية (كما هو محدد أدناه) مع بيانات أخرى غير محددة الهوية أو مجهولة الهوية لأغراض التحليل الداخلي أو البحث أو تحسين المنتجات لدى مزود الخدمة؛ أو (vi) الانخراط في أي معالجة للمعلومات الشخصية محظورة أو غير مسموح بها من قبل "المعالجين" أو "مزودي الخدمة" بموجب قوانين خصوصية البيانات.

3. على الرغم مما سبق، يجوز لمزود الخدمة إزالة الهوية عن المعلومات الشخصية التي يتلقاها من الشركة أو جعلها مجهولة المصدر أو تجميعها، شريطة ما يلي: (1) أن تتم عملية إزالة الهوية أو جعل البيانات مجهولة المصدر أو تجميعها وفقًا لقوانين خصوصية البيانات المعمول بها؛ (2) ألا يمكن استخدام البيانات الناتجة ("البيانات التي أُزيلت هويتها") بشكل معقول لتحديد هوية أي فرد أو ربطها بأي فرد؛ (3) يقوم مزود الخدمة بتنفيذ إجراءات وقائية تقنية وعمليات تجارية لمنع إعادة تحديد الهوية؛ و (4) يحظر مزود الخدمة تعاقديًا على أي مستلمين لاحقين محاولة إعادة تحديد هوية البيانات. يجوز لمزود الخدمة استخدام البيانات غير المحددة الهوية والاحتفاظ بها ودمجها لأغراض التحليل الداخلي والبحث والمقارنة المعيارية وتحسين المنتجات أو الخدمات الخاصة به. لا يجوز لمزود الخدمة محاولة إعادة تحديد هوية أي بيانات غير محددة الهوية أو أي معلومات أخرى مستعارة أو مجهولة الهوية أو مجمعة أو غير محددة الهوية.

4. في حالة ما إذا كان مزود الخدمة ملزماً قانوناً بتقديم أي معلومات شخصية إلى طرف ثالث: (1) سيقوم مزود الخدمة على الفور بإتاحة فرصة معقولة للشركة للطعن في هذا الالتزام القانوني أو لطلب الحماية من الكشف عن تلك المعلومات؛ و(2) سيقوم مزود الخدمة، بعد التشاور مع الشركة ومستشارها القانوني، بالكشف عن الحد الأدنى الضروري من المعلومات الشخصية للامتثال لهذا الالتزام القانوني.

5. يجب على مقدم الخدمة، في غضون خمسة (5) أيام عمل، إخطار الشركة إذا ما توصل مقدم الخدمة إلى أنه لم يعد قادراً على الوفاء بالتزاماته بموجب اتفاقية معالجة البيانات هذه أو قوانين خصوصية البيانات، أو أنه أخل بأي من التزاماته الواردة في اتفاقية معالجة البيانات هذه أو انتهك أيًا من قوانين خصوصية البيانات.  

6. باستثناء ما قد يكون ضروريًا للامتثال للالتزامات القانونية، سيقوم مزود الخدمة بحذف جميع المعلومات الشخصية من أنظمته عند انتهاء الخدمات المتعلقة بالمعالجة. وفي حال كان مزود الخدمة ملزمًا قانونًا بالاحتفاظ بهذه المعلومات الشخصية، يتعين عليه إخطار الشركة بذلك. وبعد ذلك، يجوز أن تظل هذه المعلومات الشخصية مخزنة في نظام مزود الخدمة، ولكن لا يجوز معالجتها بأي طريقة أخرى، ويجب أن تمتثل لجميع قوانين خصوصية البيانات المعمول بها.  

7. يمنح مزود الخدمة الشركة الحق، بعد إخطار مسبق معقول، في اتخاذ الإجراءات المعقولة والمناسبة لوقف أي استخدام غير مصرح به للمعلومات الشخصية ومعالجته.  

8. يتعين على الطرفين تقديم تعاونهما المعقول لبعضهما البعض من أجل تعديل أو تغيير اتفاقية معالجة البيانات هذه في حال استلزمت قوانين خصوصية البيانات الجديدة أو المعدلة إجراء مثل هذا التعديل أو التغيير.  

3. البيانات الحساسة والقيود المفروضة على أنشطة تحديد الملامح. تنطبق المتطلبات الإضافية التالية على معالجة مزود الخدمة للبيانات الحساسة وأي أنشطة لتحديد الملامح:

1. لا يجوز لمزود الخدمة معالجة البيانات الحساسة إلا بالقدر الضروري للغاية لتنفيذ الخدمات، وبشرط الحصول على موافقة خطية مسبقة من الشركة تحدد فئات البيانات الحساسة المقرر معالجتها وأغراض هذه المعالجة.

2. يجب على مزود الخدمة تنفيذ وتطبيق تدابير أمنية تقنية وتنظيمية معززة للبيانات الحساسة، بحيث تتناسب مع المخاطر المتزايدة المرتبطة بهذه البيانات، بما في ذلك التشفير أثناء التخزين وأثناء النقل، وضوابط الوصول التي تقصر الوصول على الموظفين المصرح لهم، وتسجيل جميع عمليات الوصول إلى البيانات الحساسة.

3. يقر مزود الخدمة بأن للمستهلكين الحق في تقييد استخدام بياناتهم الحساسة والكشف عنها بموجب قوانين خصوصية البيانات المعمول بها، ويجب عليه الالتزام بأي طلبات تقييد من هذا القبيل ترسلها الشركة.

4. لا يجوز لمزود الخدمة القيام بـ«تصنيف المستهلكين» باستخدام المعلومات الشخصية التي يتلقاها من الشركة، ما لم: (1) يكن هذا التصنيف ضروريًا بشكل صارم لتنفيذ الخدمات؛ (2) تكون الشركة قد قدمت إذنًا كتابيًا مسبقًا بممارسة نشاط التصنيف هذا؛ و(3) لا ينتج عن التصنيف آثار قانونية أو آثار مهمة مماثلة على المستهلكين دون وجود ضمانات مناسبة.

5. يجب على مزود الخدمة تزويد الشركة بالمعلومات الكافية لتمكينها من إجراء أي تقييم مطلوب لتأثير حماية البيانات أو أي تقييم مماثل يتعلق بأنشطة التنميط، وذلك بموجب قوانين خصوصية البيانات المعمول بها.

6. إذا تلقى مقدم الخدمة طلبًا من المستهلك بالانسحاب من عملية تحديد الملامح الشخصية، سواء بشكل مباشر أو من خلال الشركة، يتعين على مقدم الخدمة أن يوقف على الفور جميع أنشطة تحديد الملامح الشخصية المتعلقة بالمعلومات الشخصية لذلك المستهلك، وأن يؤكد هذا التوقف للشركة كتابةً.

4. المساعدة في المعالجة. إذا استعان مقدم الخدمة بأي معالج فرعي أو أي شخص آخر لمساعدته في معالجة المعلومات الشخصية، فعليه إخطار الشركة بهذا الاستعانة، ويجب على هؤلاء المعالجين الفرعيين أو الأشخاص المستعان بهم ما يلي:  

1. تم اختيارهم من خلال إجراءات مصممة بشكل معقول لضمان موثوقية وكفاءة وأمانة هذا المُعالج الفرعي أو هذا الشخص، بما في ذلك إجراء التحريات اللازمة عن خلفيتهما حيثما كان ذلك مسموحًا به قانونًا؛

2. أن يكونوا قد تلقوا التدريب اللازم لتسهيل امتثال مقدم الخدمة لاتفاقية معالجة البيانات هذه؛

3. أن تكون قد أبرمت اتفاقية مكتوبة مناسبة تلزم هذا المُعالج الفرعي أو هذا الشخص بالامتثال لقوانين خصوصية البيانات، وبمعالجة المعلومات الشخصية فقط وفقًا لما تسمح به اتفاقية معالجة البيانات هذه؛ و

4. لا يجوز الحصول على حق الوصول إلى المعلومات الشخصية من مقدم الخدمة إلا بالقدر الذي يكون فيه هذا الوصول ضروريًا لتمكين المقاول من الباطن أو الشخص المعني من الوفاء بالالتزامات التي تم التعاقد معه من أجلها.

5. المساعدة في الامتثال لقوانين خصوصية البيانات. يتعهد الطرفان بالتعاون بشكل معقول ومساعدة بعضهما البعض لضمان الوفاء بالتزامات الامتثال المنوطة بكل منهما بموجب قوانين خصوصية البيانات، مع مراعاة طبيعة المعالجة التي يقوم بها مزود الخدمة والمعلومات المتاحة له. ودون تقييد لما سبق:

1. يجب على مزود الخدمة إخطار الشركة في أقرب وقت ممكن، على ألا يتجاوز ذلك ثلاثة (3) أيام عمل من تاريخ استلام أي طلب أو شكوى تتعلق بأي معلومات شخصية.  

2. لا يجوز لمزود الخدمة الاستجابة لأي طلبات من هذا القبيل ما لم تصرح الشركة له بذلك كتابةً، باستثناء الحالات التي يكون فيها مزود الخدمة ملزماً بموجب القانون المعمول به بالرد مباشرةً.  

3. إذا كان مزود الخدمة ملزماً بموجب القانون المعمول به بالرد مباشرةً، فعليه — ما لم يكن ذلك محظوراً قانونياً — إخطار الشركة بهذا المطلب قبل إرسال الإخطار الأولي، والالتزام بالتعليمات المعقولة التي تصدرها الشركة فيما يتعلق بالرد على هذا الطلب.

4. في حالة طلب الشركة من مقدم الخدمة حذف أو تعديل أي معلومات شخصية، يتعين على مقدم الخدمة القيام بذلك على الفور، كما يتعين عليه إحالة طلبات الحذف أو التعديل تلك إلى الأطراف التابعة وفقًا لقوانين خصوصية البيانات.

6. الأمن. يتعين على مزود الخدمة اتخاذ التدابير الفنية والتنظيمية المناسبة لضمان مستوى من الأمان للمعلومات الشخصية يتناسب مع المخاطر، ويجب أن تتوافق هذه التدابير في جميع الأحوال مع قوانين خصوصية البيانات المعمول بها

7. الانتهاك الأمني. يلتزم مقدم الخدمة بجميع الالتزامات المتعلقة بالانتهاكات الأمنية التي تنطبق عليه بموجب قوانين خصوصية البيانات. ومع مراعاة طبيعة المعالجة والمعلومات المتاحة له، يقدم مقدم الخدمة المساعدة المعقولة للشركة في الوفاء بالتزاماتها المتعلقة بالانتهاكات الأمنية.

يقر الطرفان في الاتفاقية ويؤكدان بموجب هذا أنهما مفوضان حسب الأصول لإلزام الطرف المعني قانونًا بشروط اتفاقية معالجة البيانات هذه.

‍