الملحق الأول: اتفاقية معالجة البيانات
تنظم اتفاقية معالجة البيانات هذه كيفية قيام ILOVEPDF بمعالجة البيانات الشخصية نيابةً عن جهة التحكم وفقًا للائحة (الاتحاد الأوروبي) 2016/679 (اللائحة العامة لحماية البيانات).
تشكل اتفاقية معالجة البيانات ("اتفاقية معالجة البيانات") الاتفاقية المطبقة على معالجة البيانات الشخصية التي تقوم بها ILOVEPDF ("ILOVEPDF")، برقم التعريف الضريبي B66921552 والمكتب المسجل في Calle Sabino de Arana, 60, 08028 Barcelona، نيابةً عنك فيما يتعلق بالبيانات الشخصية التي تعالجها وفقًا للأحكام أدناه.
في هذا السياق، ستوفر ILOVEPDF لك بعض الخدمات التي يتم تنفيذها من خلال البرمجيات أو البرامج الكمبيوتريه المملوكة لـ ILOVEPDF. ستتطلب استخدام الخدمات السماح بالوصول إلى بعض البيانات الشخصية ومعالجتها بواسطة ILOVEPDF، حيث تعمل كمُعالج (ويشار إليها لاحقًا باسم "المعالج") للبيانات التي تتحكم أنت فيها (ويشار إليك لاحقًا باسم "المتحكم").
هذا الاتفاق لمعالجة البيانات يشكل جزءًا من شروط وأحكام ILOVEPDF وسيُطبق عند قبول الشروط والأحكام. في حال وجود أي تعارض أو معارضة أو تناقض بين الشروط والأحكام واتفاق المعالجة، فإن اتفاق المعالجة يسود على الشروط والأحكام.
كي تلتزم بأحكام اللائحة العامة لحماية البيانات الصادرة عن الاتحاد الأوروبي 2016/679 الصادرة عن البرلمان الأوروبي والمجلس في 27 أبريل 2016 والمتعلقة بحماية الأفراد الطبيعيين ومعالجة البيانات الشخصية وحركة تداول هذه المعلومات ( "اللائحة العامة لحماية البيانات"), يُوقع كل من المسؤول والمعالج على اتفاق المعالجة هذا وفقًا لما يلي:
البنود
البند 1
الغرض والنطاق
- الغرض من اتفاق معالجة البيانات هو ضمان الامتثال للمادتين 28 (3) و (4) من اللائحة العامة لحماية البيانات.
- وافق المسؤول والمعالج على الالتزام بهذا الاتفاق لضمان الامتثال للمادتين 28 (3) و(4) من اللائحة العامة لحماية البيانات.
- ينطبق هذا الاتفاق على معالجة البيانات الشخصية المحددة في الملحق الأول.
- الملحقان الأول والثاني جزء لا يتجزأ من اتفاقية المعالجة.
- هذه الشروط والأحكام لا تؤثر في الالتزامات التي يجب على المراقب الالتزام بها بموجب اللائحة العامة لحماية البيانات.
- لا تضمن هذه الشروط والأحكام بمفردها الامتثال للالتزامات المتعلقة بعمليات النقل الدولية وفقًا للفصل الخامس من اللائحة العامة لحماية البيانات.
البند 2
التفسير
- عند استخدام المصطلحات المعرفة في اللائحة العامة لحماية البيانات (GDPR) في اتفاقية المعالجة هذه، فإنها تُفهم بالمعنى نفسه المحدد في اللائحة العامة لحماية البيانات.
- يجب قراءة وتفسير هذه الاتفاقية الخاصة بالمعالجة في ضوء أحكام اللائحة العامة لحماية البيانات.
- لا ينبغي تفسير هذا الاتفاق بطريقة تتعارض مع الحقوق والالتزامات المنصوص عليها في اللائحة العامة لحماية البيانات و/أو بطريقة تضر بالحقوق والحريات الأساسية لأصحاب البيانات.
البند 3
التسلسل الهرمي
في حالة وجود تناقض بين هذا الاتفاق وأحكام الاتفاقيات ذات الصلة بين الأطراف الموجودة في الوقت الذي تم الاتفاق على هذه الشروط والأحكام أو المبرمة بعد ذلك، يسود هذا الاتفاق لمعالجة البيانات.
البند 4
وصف عمليات المعالجة
يحدد الملحق الأول تفاصيل عمليات المعالجة، خاصة فئات البيانات الشخصية والأغراض التي يتم من أجلها معالجة البيانات الشخصية نيابةً عن المسؤول.
البند 5
التزامات الأطراف
5.1. التعليمات
- سيقوم المعالج بمعالجة البيانات الشخصية فقط بناءً على تعليمات موثقة من الجهة المتحكمة، ما لم تكن هناك متطلبات من قوانين الاتحاد الأوروبي أو دولة عضو تُلزم المعالج بخلاف ذلك. في هذه الحالة، يجب على المعالج إبلاغ المتحكم بذلك الشرط القانوني قبل المعالجة، إلا إذا كان القانون يحظر ذلك لأسباب مهمة تتعلق بالمصلحة العامة. كما يمكن توجيه تعليمات لاحقة من قِبل الجهة المتحكمة طوال مدة معالجة البيانات الشخصية. يجب توثيق هذه التعليمات دائمًا.
- يجب على المعالج إبلاغ المتحكم فورًا إذا رأى أن التعليمات الصادرة عن المتحكم، تتعارض مع اللائحة العامة لحماية البيانات أو مع القوانين الخاصة بحماية البيانات في الاتحاد أو الدول الأعضاء.
5.2. تقييد الغرض
سيقوم المعالج بمعالجة البيانات الشخصية فقط للأغراض المحددة في الملحق الأول، ما لم يتلقَّ تعليمات أخرى من المسؤول.
5.3. مدة معالجة البيانات الشخصية
تتم المعالجة بواسطة المعالج فقط خلال المدة المحددة في الملحق الأول.
5.4. أمان عمليات المعالجة
- ينبغي للمعالج أن يطبق، على الأقل، التدابير التقنية والتنظيمية المذكورة في الملحق الثاني لضمان أمن البيانات الشخصية. يشمل ذلك حماية البيانات من أي خرق أمني يؤدي إلى التدمير العرضي أو غير القانوني أو الفقدان أو التغيير أو الكشف غير المصرح به أو الوصول إلى البيانات (خرق البيانات الشخصية). عند تقييم المستوى المناسب للأمان، يجب على الأطراف مراعاة أحدث التقنيات، وتكاليف التنفيذ، وطبيعة ونطاق وسياق وأغراض المعالجة، والمخاطر التي تنطوي عليها بالنسبة لأصحاب البيانات.
- ينبغي للمعالج توفير حق الدخول للمعلومات الشخصية قيد المعالجة لأعضاء موظفيه بقدر ما هو ضروري فقط لتنفيذ وإدارة ومراقبة العقد. على المعالج التأكد من أن الأشخاص المخولين بمعالجة البيانات الشخصية المستلمة قد التزموا بالحفاظ على السرية أو أنهم يخضعون لالتزام قانوني مناسب يحافظ على السرية.
5.5. البيانات الحساسة
إذا كانت المعالجة تتضمن بيانات شخصية تكشف عن الأصل العرقي أو الإثني، أو الآراء السياسية، أو المعتقدات الدينية أو الفلسفية، أو العضوية في النقابات العمالية، أو البيانات الجينية أو البيانات البيومترية لغرض تحديد هوية شخص طبيعي بشكل معين، أو البيانات المتعلقة بالصحة أو الحياة الجنسية لشخص أو توجهه الجنسي، أو البيانات المتعلقة بالإدانات الجنائية والجرائم ("البيانات الحساسة")، يجب على المعالج تطبيق قيود محددة و/أو ضمانات إضافية.
5.6. التوثيق والامتثال
- يجب أن تكون لدى الأطراف القدرة على إثبات الامتثال لهذه الاتفاقية الخاصة بمعالجة البيانات.
- يتعين على المعالج التعامل بسرعة وفعالية مع الاستفسارات الواردة من المسؤول بشأن معالجة البيانات بما يتفق مع هذا الاتفاق لمعالجة البيانات.
- على المعالج أن يقدم إلى المتحكم أو إلى طرف ثالث مستقل، جميع المعلومات اللازمة لإثبات الامتثال للالتزامات المنصوص عليها في اتفاقية المعالجة هذه والتي تنبع مباشرة من اللائحة العامة لحماية البيانات. عند طلب الجهة المعنية، يجب على المعالج أيضًا السماح وإجراء تدقيقات للأنشطة المعالجة التي يتناولها هذا الاتفاق لمعالجة البيانات. ستقتصر عمليات التدقيق على ما هو ضروري بشكل مادي وزمني، بحيث يتمكن المتحكم من القيام بالفحوصات الضرورية في حال وجود شك معين -يتم تبريره مسبقًا كتابيًا- بعدم الالتزام بأي من بنود اتفاقية معالجة البيانات من قِبل المعالج. في كل الأحوال، ستكون عمليات التدقيق مخصصة حصرًا للتحقق من ظروف عدم الامتثال، وستقتصر على عملية تدقيق واحدة (1) كحد أقصى في السنة، ويجب الإخطار بها قبل شهر واحد (1) على الأقل. في كل الأحوال، سيتحمل المتحكم في البيانات تكلفة عمليات التدقيق.
- يتعين على الأطراف توفير المعلومات المشار إليها في هذا البند للسلطات الرقابية المختصة عند طلبها، خصوصًا نتائج التدقيق.
5.7. استخدام المعالجات الفرعية
- المعالج لديه تفويض عام من قِبل المتحكم لاستخدام المعالجين الفرعيين. يجب على المعالج تزويد الجهة المتحكمة بالمعلومات اللازمة لتمكينها من ممارسة حق الاعتراض.
- عندما يقوم المعالج بتوظيف معالج فرعي لتنفيذ أنشطة معالجة معينة (نيابة عن المتحكم)، يجب عليه القيام بذلك عبر عقد يفرض على المعالج الفرعي التزامات حماية البيانات نفسها المفروضة على المعالج وفقًا لهذه البنود. يجب على المعالج ضمان امتثال المعالج الفرعي للالتزامات التي يخضع لها المعالج بموجب اتفاقية المعالجة هذه واللائحة العامة لحماية البيانات.
- يظل المعالج مسؤولاً بشكل كامل أمام المتحكم عن أداء التزامات المعالج الفرعي وفقًا لعقده مع المعالج. يجب على المعالج إبلاغ المتحكم بأي إخفاق من قِبل المعالج الفرعي في الوفاء بالتزاماته التعاقدية.
5.8. عمليات النقل الدولية
- سيتم نقل البيانات إلى بلد ثالث أو إلى مؤسسة دولية من قبل المعالج وفقًا للفصل الخامس من اللائحة العامة لحماية البيانات (GDPR).
- يوافق المتحكم على أنه عندما يقوم المعالج بتعيين معالج فرعي وفقًا للبند 5.7 لأداء أنشطة معالجة محددة (نيابة عن المتحكم) وتشترط هذه الأنشطة نقل البيانات الشخصية وفقًا للفصل الخامس من اللائحة العامة لحماية البيانات، يمكن للمعالج والمعالج الفرعي ضمان الامتثال للفصل الخامس من اللائحة العامة لحماية البيانات من خلال: (1) نقل البيانات الشخصية إلى الدول التي اعتمدت فيها المفوضية الأوروبية قرارًا بشأن الكفاية وفقًا للمادة 45 من اللائحة العامة لحماية البيانات؛ أو (2) استخدام البنود التعاقدية النموذجية المعتمدة من قبل المفوضية وفقًا للمادة 46(2) من اللائحة العامة لحماية البيانات، شريطة أن تكون شروط استخدام البنود التعاقدية النموذجية مستوفاة. كقاعدة عامة، وباستثناء أن يكون المتحكم قد اختار خلاف ذلك، تتم معالجة بياناتك الشخصية ضمن المنطقة الاقتصادية الأوروبية. على الرغم مما سبق، وبالنسبة للمتحكمين من خارج المنطقة الاقتصادية الأوروبية، ومن أجل تحسين أداء وكفاءة خدماتنا، قد يقوم المعالج بمعالجة بياناتك الشخصية في المناطق الجغرافية الأقرب لموقعك، شريطة تنفيذ الضمانات المذكورة أعلاه.
- بالإضافة إلى ذلك، إذا كان هناك اتصال بنقل البيانات الشخصية من المعالج إلى المتحكم يكشف عن نقل للبيانات الشخصية حسب الفصل الخامس من اللائحة العامة لحماية البيانات، على المعالج والمتجكم توقيع البنود التعاقدية القياسية (الوحدة 4) المشار إليها كالملحق الثاني.
البند 6
تقديم المساعدة إلى المتحكم
- يجب على المعالج إبلاغ المتحكم فورًا بأي طلب يرده من صاحب البيانات. لن يرد المعالج على الطلب بنفسه، إلا إذا تم تخويله بذلك من قِبل المتحكم.
- سيقوم المعالج بإحالة أي طلبات لممارسة حقوق أصحاب البيانات التي يتلقاها إلى المتحكم، والتي يكون الرد عليها مسؤوليته، لأنها تتعلق ببيانات شخصية يُعدّ هو المتحكم في بياناتها.
- بالإضافة إلى التزام المعالج بمساعدة المتحكم وفقًا للبند
6(ب)، يجب على المعالج أيضًا مساعدة المتحكم في ضمان الامتثال للالتزامات التالية، آخذًا في الاعتبار طبيعة معالجة البيانات والمعلومات المتوفرة للمعالج:
- الالتزام بإجراء تقييم لتأثير عمليات المعالجة المتوقعة على حماية البيانات الشخصية ('تقييم تأثير حماية البيانات') عند وجود احتمال بأن يؤدي نوع معين من المعالجة، إلى مخاطر عالية على حقوق الأفراد وحرياتهم؛
- الالتزام بالتشاور مع السلطة/السلطات الرقابية المختصة قبل الشروع في المعالجة، في حال أظهر تقييم تأثير حماية البيانات أن المعالجة قد تؤدي إلى مخاطر كبيرة دون تدابير تخفيف الخطر؛
- الالتزام بضمان دقة البيانات الشخصية وتحديثها، عن طريق إخطار المتحكم دون تأخير إذا اكتشف المعالج أن البيانات الشخصية التي يعالجها غير دقيقة أو أصبحت قديمة؛
- الالتزامات الواردة في المادة 32 من اللائحة العامة لحماية البيانات.
- تضع الأطراف في الملحق الثاني التدابير التقنية والتنظيمية المناسبة، التي يتعين على المعالج أن يستخدمها لمساعدة المتحكم في تطبيق هذه الفقرة، بالإضافة إلى تحديد نطاق المساعدة المطلوبة ومداها.
البند 7
إشعار خرق البيانات الشخصية
- في حالة حدوث خرق للبيانات الشخصية، يجب على المعالج التعاون مع المتحكم ومساعدته على الامتثال لالتزاماته بموجب المادتين 33 و34 من اللائحة العامة لحماية البيانات، مع مراعاة طبيعة المعالجة والمعلومات المتاحة للمعالج.
- في حال حدوث خرق لأمن البيانات الشخصية المعالجة من قبل المعالج نيابةً عن المتحكم، يتعين على المعالج إبلاغ المتحكم دون تأخير غير مبرر بمجرد أن يصبح المعالج مدركًا له. يجب أن يتضمن هذا الإخطار على الأقل:
- وصف لطبيعة الخرق (بما في ذلك، إن أمكن، الفئات والتقديرات التقريبية لأعداد أصحاب البيانات وسجلات البيانات المعنية)؛
- التفاصيل الخاصة بنقطة الاتصال حيث يمكن الحصول على المزيد من المعلومات المتعلقة بانتهاك البيانات الشخصية.
- عواقبها المحتملة والإجراءات المتخذة أو المقترح اتخاذها لمعالجة الخرق، بما في ذلك الحد من آثارها السلبية المحتملة.
- في حال تعذر توفير جميع المعلومات دفعة واحدة، يجب تقديم المعلومات المتاحة في الإخطار الأولي، ومع تقديم المزيد من المعلومات فور توفرها دون تأخير غير مبرر.
الملحق الأول: وصف المعالجة
الفئات من أصحاب البيانات الشخصية المُعالجة
تلك الفئات من الأفراد الذين تتضمن ملفاتهم البيانات التي يرفعها المتحكم عند استخدام الخدمات المقدمة من iLovePDF (مثل: الموظفين، العملاء، الموردين، وغيرهم).
فئات البيانات الشخصية المعالجة
تشمل تلك الفئات من البيانات الشخصية التي تتضمنها الملفات التي يرفعها المتحكم عند استخدام الخدمات المقدمة من قِبل iLovePDF.
البيانات الحساسة المعالجة (إن وُجدت) والقيود أو الإجراءات الوقائية المطبقة التي تأخذ في عين الاعتبار طبيعة البيانات والمخاطر المرتبطة بها بشكل كامل، مثل تقييد الغرض بصرامة، وفرض قيود على الوصول (بما في ذلك السماح بالوصول فقط للموظفين الذين خضعوا لتدريب متخصص)، والاحتفاظ بسجل للوصول إلى البيانات، وفرض قيود على عمليات النقل اللاحقة أو تنفيذ تدابير أمنية إضافية.
ستتم معالجة الفئات الخاصة من البيانات الشخصية/ بالقدر الذي تتضمن فيه الملفات التي يقوم المتحكم برفعها عند استخدام الخدمات المقدمة من ILOVEPDF مثل هذه الفئات الخاصة من البيانات الشخصية.
طبيعة المعالجة
سيقوم المعالج بتنفيذ كل الإجراءات اللازمة لتقديم الخدمات الضرورية (مثل التحويل، تحرير الملف وضغط المستند الذي يحتوي على البيانات الشخصية).
الأغراض التي تُعالج من أجلها البيانات الشخصية نيابةً عن المتحكم
لتقديم الخدمات نيابةً عن ILOVEPDF.
مدة المعالجة
بالقدر الضروري فقط لتوفير الخدمات.
المعالجات الفرعية ونوع الخدمات المقدمة
في سياق تقديم خدماتها، تستخدم ILOVEPDF مقدمي خدمة من طرف ثالث يعملون كـ معالجين فرعيين للبيانات الشخصية. من بينهم، تعتمد ILOVEPDF على Cloudscale، و Digital Ocean، و Hetzner، و OVHcloud، و Vultr، بصفتهم مقدمي حلول الاستضافة السحابية والحوسبة السحابية، الذين يوفرون خدمات البنية التحتية التكنولوجية لضمان معالجة آمنة وتخزين مؤقت للبيانات واستمرار التشغيل للمنصة.
تعمل جهات المعالجة الفرعية وفقًا لتعليمات ILOVEPDF، مع تطبيق تدابير تقنية وتنظيمية مناسبة لضمان حماية البيانات الشخصية وفقًا للوائح (الاتحاد الأوروبي) 2016/679 (اللائحة العامة لحماية البيانات) والأنظمة المعمول بها الأخرى المتعلقة بحماية البيانات.
لمزيد من المعلومات حول معالجي iLovePDF الفرعيين، يمكنك الوصول لها بالضغط هنا.
الملحق الثاني: التدابير الفنية والتنظيمية بما في ذلك التدابير الفنية والتنظيمية لضمان أمان البيانات
ينبغي للمعالج تطبيق التدابير الأمنية التقنية والتنظيمية التالية على الأنشطة المعالجة التي يتم تنفيذها بموجب اتفاقية المعالجة هذه:
- الإجراءات التقنية لحماية المعلومات المنقولة من الاستراق، والنسخ، والتعديل، وأخطاء التوجيه، والتدمير.
- الإجراءات الفنية والسياسات الداخلية للكشف عن التطبيقات الضارة (البرامج الضارة) التي يمكن نقلها عبر الاتصالات الإلكترونية، وحماية المستخدمين منها، والتخفيف من آثارها.
- الحماية التقنية للمعلومات الحساسة عند إرسالها كمرفقات.
- السياسة الداخلية للاستخدام المقبول لموارد الاتصالات.
- التدابير التنظيمية لضمان مسؤولية جميع المستخدمين (الموظفين والجهات الخارجية) الذين لديهم حق الوصول المصرح به إلى موارد المعالج فيما يتعلق بمعلوماتهم الخاصة.
- استخدام تقنيات التشفير لحماية سرية ونزاهة وأصالة المعلومات.
- إرشادات تنظيمية للاحتفاظ بجميع المراسلات في العمل والتخلص منها، بما في ذلك الرسائل، وفقًا للقوانين واللوائح الوطنية والمحلية ذات الصلة.
- توفير معلومات دورية وإنشاء سياسات داخلية للموظفين بشأن عدم الكشف عن المعلومات السرية، مثل: عدم ترك رسائل تحتوي على معلومات حساسة على أجهزة الرد الآلي، وعدم إجراء محادثات سرية في الأماكن العامة، وعدم استخدام قنوات اتصال غير آمنة، وعدم إجراء محادثات سرية في المكاتب المفتوحة، وغيرها.
تحكم الإصدار: الخميس، ١٩ فبراير ٢٠٢٦