GPDR - Noor Education

ملحق حماية البيانات GPDR

آخر تحديث: 24 مايو 2018

يتم إدخال ملحق حماية البيانات هذا – الذي يشار إليه فيما بعد باسم “الملحق” – بين شركة domain.com المحدودة – والمشار إليها فيما بعد باسم “domain.com” –  والعميل الموافق على هذا الملحق – المشار إليه فيما بعد باسم “العميل”.

سيكون هذا الملحق سارياً اعتباراً من تاريخ سريان الملحق (كما هو محدد أدناه) وسيحل محل أي ملحق لحماية البيانات كان معمولاً به من قبل.

إذا كنت توافق على هذا الملحق نيابة عن العميل/الشركة التابع لها، فإنك تقر وتضمن ما يلي:

  • أنك قد قرأت هذا الملحق وفهمته
  • لديك سلطة قانونية كاملة لإلزام نفسك – أو الكيان المعني – بهذه الشروط
  • أنك توافق – نيابة عن الطرف الذي تمثله – على هذا الملحق.

إذا لم تكن لديك السلطة القانونية لإلزام العميل، فرجاءاً عدم “التوقيع أو القبول أو الاشتراك”.

  1. مقدمة:

يحدد هذا الملحق الشروط التي سيتم تطبيقها على معالجة domain.com للبيانات الشخصية الخاصة بالعميل بموجب اتفاقية سياسة الخصوصية بين domain.com والعميل.

  1. تعريفات:

الشروط المحددة في اللائحة العامة لحماية البيانات :(GDPR)

  • ‌أ. يتم تعريف “تاريخ سريان الملحق” على أنه التاريخ الذي قام فيه العميل بالضغط فوق قبول هذا الملحق أو الاشتراك فيه.
  • ‌ب. يتم تعريف “البلد الملائمة” على أنها بلد تعتبرها اللجنة الأوروبية ملائمة بموجب المادة 25(6) من تعليمات اللجنة الأوروبية 95/46/EC  أو المادة 45 من اللائحة العامة لحماية البيانات.
  • ‌ج. يتم تعريف “صاحب البيانات” على أنه الشخص المحدد أو الذي يمكن التعرف عليه والمعني بتلك البيانات الشخصية.
  • ‌د. يتم تعريف “البيانات الشخصية” على أنها أي معلومات مدرجة في بيانات العميل تتعلق بشخص طبيعي محدد أو يمكن التعرف عليه – الشخص الذي يمكن التعرف عليه هو الشخص الذي يمكن تحديده بشكل مباشر أو غير مباشر – بشكل خاص وذلك بالرجوع إلى رقم الهوية أو إلى عامل أو أكثر خاص بهويته البدنية أو الفسيولوجية أو العقلية أو الاقتصادية أو الثقافية أو الاجتماعية.
  • ‌ه. يتم تعريف “المعالجة” بموجب قانون حماية البيانات المعمول به في الاتحاد الأوروبي، وسيتم تفسير “عمليات المعالجة” و”االعمليات التي يتم معالجتها” و “العمليات التي قد تم معالجتها” وفقاً لذلك.
  • ‌و. يُعرَّف “مراقب البيانات” بأنه الطرف الذي يحدد أغراض ووسائل معالجة البيانات الشخصية.
  • ‌ز. يُعرَّف “معالج البيانات” بأنه الطرف الذي يقوم بمعالجة البيانات الشخصية نيابة عن – أو بموجب تعليمات – مراقب البيانات.
  • ‌ح. يتم تعريف “آلية نقل البيانات” على أنها حل بديل لتصدير بيانات العميل بشكل قانوني (على النحو المعترف به بموجب قانون حماية البيانات في الاتحاد الأوروبي) خارج المنطقة الاقتصادية الأوروبية.
  • ‌ط. يتم تعريف “قوانين حماية البيانات” بأنها هي جميع القوانين المتعلقة بطرف ما وسياسات الخصوصية وحماية البيانات الخاصة به والقوانين المتعلقة بأمن المعلومات وغيرها من القوانين واللوائح السارية على هذا الطرف بما في ذلك – عند الاقتضاء – قانون حماية البيانات في الاتحاد الأوروبي.
  • ‌ي. تُعرَّف “هيئة حماية البيانات” بأنها الهيئة المختصة بإنفاذ قانون حماية البيانات المعمول به في الولاية القضائية المكلفة.
  • ‌ك. “EEA” تعني المنطقة الاقتصادية الأوروبية والمملكة المتحدة وسويسرا.
  • ‌ل. يُقصد بـ “قانون حماية البيانات في الاتحاد الأوروبي”
    • قبل 25 مايو 2018 ، تعليمات الاتحاد الأوروبي 95/46/EC؛ و
    • في 25 مايو 2018 وبعده ، لائحة الاتحاد الأوروبي 2016/679 (“GDPR”)
  • ‌م. “التعليمات المكتوبة” والمصطلحات المتعلقة بها تشير إلى تعليمات مراقب البيانات الخاصة بمعالجة بيانات العميل، والتي تتكون من
    • شروط الاتفاقية وهذا الملحق
    • المعالجة من قبل مراقب البيانات
    • تعليمات مكتوبة أخرى من مراقب البيانات ملائمة بما يتوافق مع شروط الاتفاقية.
  • ‌ن. يتم تعريف “العقود النموذجية” على أنها البنود التعاقدية القياسية للمعالجات على النحو الذي وافقت عليه اللجنة الأوروبية بموجب المقرر 2010/87 EU/ بالشكل المتاح في .domain.com
  • ‌س. يتم تعريف “الحوادث الأمنية” على أنها أي خرق غير مصرح به أو غير قانوني لأمن البيانات يؤدي إلى تدمير البيانات الشخصية أو فقدانها أو تغييرها أو الكشف عنها أو الوصول إليها بشكل عرضي أو غير مصرح به داخل وحدة تحكم معالجة البيانات.
  • ‌ع. يُعرّف “المعالج من الباطن” بأنه أي جهة خارجية تعاقدت مع معالج البيانات الرئيسي أو الشركات التابعة له لمعالجة أي بيانات خاصة بالعميل وفقاً للاتفاقية أو لهذا الملحق.
  • ‌ف. يُقصد بـ “الجهة الخارجية” أي شخص طبيعي أو اعتباري أو سلطة عامة أو وكالة أو أي هيئة شرعية أخرى غير صاحب البيانات أو مراقب البيانات أو معالج البيانات أو المعالجين من الباطن أو الأشخاص الآخرين الذين يخضعون للسلطة المباشرة لمراقب البيانات أو معالج البيانات وتم التصريح لهم بمعالجة البيانات.
  • ‌ص. المصطلحات الأخرى المكتوبة بحروف كبيرة والتي لم يتم تعريفها هنا لها المعاني الواردة في الاتفاقية.

المصطلحات التي حددتها domain.com فيما يتعلق باللائحة العامة لحماية البيانات:

  • ‌أ. يتم تعريف “أصحاب البيانات” على أنهم الأفراد الذين يقدمون بتقديم البيانات الخاصة بهم إلىinfo عبر الخدمات بواسطة (أو بتوجيه من) العميل.
  • ‌ب. يتم تعريف “معالجة محتوى البيانات” على أنه معالجة محتوى بيانات العميل بموجب هذا الملحق.
  • ‌ج. يتم تعريف “مدة المعالجة” على أنها مدة معالجة البيانات بموجب هذا الملحق حتى إنهاء الاتفاقية، بالإضافة إلى الفترة من انتهاء صلاحية الاتفاقية حتى حذف جميع بيانات العميل بواسطةinfo وفقاً لشروط هذا الملحق.
  • ‌د. يتم تعريف “طبيعة المعالجة والغرض منها” على أنها الغرض من المعالجة بموجب هذا الملحق من حيث توفير الخدمة للعميل وأداء التزاماتinfo بموجب الاتفاقية (بما في ذلك هذا الملحق) أو على النحو المتفق عليه من قبل الأطراف.
  • ‌ه. يتم تعريف “فئات البيانات” على أنها البيانات المتعلقة بالأفراد والتي تم تقديمها إلىinfo عند قيام العملاء بالتسجيل بالنوقع وتسجيل الدخول واستخدام المنتج والتفاعل مع موقع الويب والتفاعل مع الإعلانات.
  • ‌و. يتم تعريف “الإجراءات الأمنية” على أنها الإجراءات التي يوافقinfo على استخدامها، وهي إجراءات تقنية وتنظيمية مصممة لمنع الوصول غير المصرح به أو الاستخدام أو التغيير أو الكشف عن الخدمة أو بيانات العميل.
  1. الإنهاء
  • ‌أ. يشكل هذا الملحق جزءًا من الاتفاقية، وباستثناء ما ورد صراحة في هذا الملحق، تظل الاتفاقية دون تغيير وسارية المفعول وداخل حيز النفاذ، وإذا كان هناك أي تعارض بين هذا الملحق والاتفاقية، يسود هذا الملحق في حدود التعارض في ما يتعلق بمعالجة بيانات العميل الشخصية.
  • ‌ب. تظل جميع الأنشطة الواردة في هذا الملحق (بما في ذلك على سبيل المثال لا الحصر معالجة بيانات العميل) خاضعة لقيود المسؤولية المعمول بها والمنصوص عليها في الاتفاقية.
  • ‌ج. سيخضع هذا الملحق ويفسر وفقاً للقانون الحاكم وأحكام الولاية القضائية بالاتفاقية، ما لم تكن القوانين السارية لحماية البيانات تنص على خلاف ذلك.
  • ‌د. سيتم إنهاء هذا الملحق ونموذج العقود تلقائياً عند انتهاء أو إنهاء الاتفاقية.
  1. نطاق هذا الملحق وإمكانية تطبيقه:
  • ‌أ. تنطبق هذه اللائحة على معالجة البيانات الشخصية في إطار إنشاء وحدة مراقبة أو معالجة داخل الإتحاد الأوروبي.
  • ‌ب. ينطبق هذا الملحق حيثما وبقدر ما يعالجinfo بيانات العملاء التي تنشأ من حدود المنطقة الاقتصادية الأوروبية أو التي تخضع بخلاف ذلك لقانون حماية البيانات الأوروبي أثناء تقديم الخدمة وفقاً للاتفاقية.
  1. دور ونطاق المعالجة:
  • ‌أ. سيعمل العميل كمتحكم في البيانات وسيعملinfo كمعالج البيانات بموجب هذا الملحق، ويخضع كل من العميل و domain.com لقوانين حماية البيانات المعمول بها عند تنفيذ مسؤولياتهما على النحو المنصوص عليه في هذا الملحق.
  • ‌ب. يحتفظ العميل بجميع حقوق الملكية المختصة ببيانات العملاء على النحو المنصوص عليها في الاتفاقية، ولا يحق لـinfo بشكل مباشر أو غير مباشر – باستثناء ما يصرح به العميل صراحةً خطياً أو وفقاً لتوجيهات العميل – بيع أو تأجير أو دمج أو عرض أو تعديل أو نقل أو الكشف عن بيانات العميل أو أي عمل مشتق منها، حيث يعمل domain.com فقط وفقاً لتعليمات العميل المتعلقة بمعالجة البيانات باستثناء الحد الذي تحظره قوانين حماية البيانات المعمول بها.
  • ‌ج. تتطلب التعليمات الإضافية التي لا تتوافق مع نطاق الاتفاقية موافقة خطية مسبقة من الأطراف، بما في ذلك اتفاقية على أي رسوم إضافية يسددها العميل.
  • ‌د. على الرغم مما سبق، يقر العميل بأنinfo يحق لها استخدام “بيانات مجهولة المصدر مجمعة” كما هو مبين في بند الاتفاقية 4.4.
  • ‌ه. لا يجوز لموقعinfo الإفصاح عن أي بيانات للعميل لأي جهة خارجية تحت أي ظرف من الظروف بخلاف الامتثال لتعليمات العميل أو الامتثال لالتزام قانوني بالإفصاح عنها، كما يجب على domain.com إبلاغ العميل كتابياً قبل الإفصاح عن أي من هذه المعلومات المطلوبة قانونياً وبالقدر الذي تسمح به قوانين حماية البيانات.
  • ‌و. للتوضيح لا يوجد في هذا الملحق ما يحدinfo من نقل بيانات العميل (بما في ذلك على سبيل المثال لا الحصر البيانات الشخصية) وفقاً لتعليمات العميل أثناء تقديم الخدمة.
  1. المعالجة من الباطن:
  • ‌أ. تنطبق التزاماتinfo بموجب هذا الملحق على موظفي domain.com ووكلائها والمعالجين من الباطن الذين قد يكون لديهم حق الوصول إلى البيانات الشخصية.
  • ‌ب. يوافق العميل على أنinfo مصرح لها باستخدام معالجين متعاقدين من الباطن (بما في ذلك على سبيل المثال لا الحصر موفري البنية التحتية السحابية) لمعالجة البيانات الشخصية بشرط أن :domain.com
    • تدخل في اتفاقية كتابية مع أي معالج من الباطن، مع فرض التزامات لحماية البيانات مماثلة إلى حد كبير لهذا الملحق
    • تظل مسؤولة عن الامتثال للالتزامات الواردة في هذا الملحق وعن أي أفعال أو إغفالات صادرة عن المعالج من الباطن والتي قد تتسبب في قيامinfo بانتهاك لي من التزاماتها بموجب هذا الملحق.
  • ‌ج. يجب توفر معلومات حول المعالجين من الباطن – بما في ذلك مهامهم ومواقعهم – عند الطلب مع تحديثها بواسطةinfo من وقت لآخر وفقاً لهذا الملحق.
  1. الأمن:
  • ‌أ. يقومinfo بتطبيق الإجراءات الأمنية التقنية والتنظيمية المناسبة والمحافظة عليها لحماية البيانات الشخصية من الحوادث الأمنية والحفاظ على أمن وسرية البيانات الشخصية وفقاً لمعايير الأمان الخاصة بـ .domain.com
  • ‌ب. يتحمل العميل مسؤولية مراجعة المعلومات التي تقدمهاinfo والمتعلقة بأمن البيانات واتخاذ قرار حول ما إذا كانت الخدمة تلبي متطلبات العميل والتزاماته القانونية بموجب قوانين حماية البيانات، ويقر العميل بأن الإجراءات الأمنية تخضع للتقدم التقني وأن domain.com قد تقوم بتحديث أو تعديل الإجراءات الأمنية من وقت لآخر بشرط ألا تؤدي هذه التحديثات والتعديلات إلى تدهور الأمن العام للخدمة التي اشتراها العميل.
  • ‌ج. يجب أن يضمنinfo أن أي شخص مخول من قبل العميل بمعالجة البيانات الشخصية (بما في ذلك موظفوه ووكلائه والمعالجون من الباطن) يخضع لالتزام تعاقدي أو قانوني بالسرية بشكل ملائم.
  1. نقل أو إفشاء البيانات الى أطراف أخرى:
  • ‌أ. يجوز لشركةinfo – وفقاً للامتثال لهذا البند 8 – بتخزين بيانات العميل ومعالجتها في أي مكان في العالم حيث تقوم domain.com والشركات التابعة لها أو المعالجون من الباطن بصيانة عمليات معالجة البيانات.
  • ‌ب. يجب على الأطراف التوقيع على العقود النموذجية داخل إطار ما تقوم بهinfo بمعالجة أي بيانات شخصية محمية بموجب اللائحة العامة لحماية البيانات و/أو الصادرة من المنطقة الاقتصادية الأوروبية في الولايات المتحدة أو أي دولة أخرى خارج حدود المنطقة الاقتصادية الأوروبية يتم تحديدها كدولة ملائمة،
  • ‌ج. يتفق الطرفان على أنinfo هي “جهة استيراد بيانات” وأن العميل هو “مصدر بيانات” بموجب العقود النموذجية (على الرغم من أن العميل قد يكون كياناً يقع خارج المنطقة الاقتصادية الأوروبية).
  • ‌د. يتفق الطرفان على أن طريقة تصدير البيانات المحددة في القسم 8-ب لا يتم تطبيقها إذا كانinfo تعتمد آلية نقل بديلة وبالقدر الذي تعتمد به ذلك، وفي هذه الحالة تطبق آلية النقل البديلة بدلاً من ذلك.
  1. الامتثال للوائح التنظيمية
  • ‌أ. بناءً على طلب العميل وعلى نفقته، يقوم موقعinfo بمساعدة العميل بشكل مناسب عند الضرورة للوفاء بالتزاماته تجاه السلطات التنظيمية بما في ذلك سلطات حماية البيانات.
  • ‌ب. يقومinfo (على نفقة العميل) بمساعدة العميل بشكل مناسب في الاستجابة لطلبات الأفراد أو الكيانات فيما يخص الوصول إلى البيانات وتصحيحها أو مسحها أو تقييدها أو نقلها أو الاعتراض عليها، وفي حالة تقديم هؤلاء الأفراد أو الكيانات أي طلب من هذا القبيل مباشرةً من إلىdomain.com، لا يجب على domain.com الرد على هذا مثل هذا الاتصال مباشرةً دون الحصول على إذن مسبق من العميل ما لم يكن ذلك مطلوباً بموجب قوانين حماية البيانات.
  1. استعراض عملية معالجة البيانات:
  • ‌أ. بناءً على طلب العميل، يجب على info تزويد العميل بردود كتابية على جميع طلباته في الحصول على المعلومات المتعلقة بمعالجة البيانات الشخصية بموجب هذا الملحق، بما في ذلك المعلومات التي يتطليها للرد على الاستبيانات المتعلقة بأمن البيانات ومراجعة الحسابات للتأكيد على امتثال domain.com لهذا الملحق.
  • ‌ب. ستقدم info هذه المعلومات في غضون ثلاثين (30) يوماً من طلب العميل الكتابي، ما لم تطلب السلطات التنظيمية من العميل إشعاراً بوقت أقصر.
  • ‌ج. باستثناء ما تنص عليه قوانين حماية البيانات صراحة، فإن أي مراجعة بموجب البند 10 هذا سوف:
    • لن يتم إجراؤها أكثر من مرة واحدة سنوياً خلال ساعات العمل العادية لـ domain.com بطريقة لا تتداخل مع إجراءات تشغيل أعمالها.
    • أن تخضع للقيود الأمنية والسرية الخاصة بـ domain.com.
    • أن يتم إجراؤها على نفقة العميل
    • ألا تشمل أي معلومات أو أنظمة خاصة بعملاء domain.com الآخرين أو مقدمي خدمات البنية التحتية التابعين لجهات خارجية.
  • ‌د. أي معلومات مقدمة منinfo بموجب البند 10 هذا تعتبر معلومات سرية لشركة domain.com بموجب الاتفاقية.
  1. إرجاع البيانات أو حذفها:
  1. يجب أن يقوم domain.com – في غضون تسعين (90) يوماً من طلب العميل عند إنهاء الاتفاقية أو انتهاء صلاحيتها – بإرجاع جميع البيانات الشخصية أو حذفها من أنظمة domain.com بناءً على اختيار العميل، وفي غضون فترة معقولة بعد الحذف – بناءً على طلب العميل – سوف يقدم domain.com تأكيداً كتابياً بأن التزامات domain.com بحذف البيانات أو إتلافها قد تم الوفاء بها.
  2. على الرغم مما سبق ذكره، يدرك العميل أن domain.com قد يحتفظ ببيانات العملاء كما هو مطلوب بموجب قوانين حماية البيانات، والتي ستظل خاضعة لاشتراطات هذا الملحق.
  1. الحوادث الأمنية:
  • ‌أ. يجب علىinfo عند علمه بوقوع حادث أمني مؤكد بإخطار العميل دون تأخير لا داعي له وفقاً للإجراءات الأمنية، وعلى الرغم مما سبق ذكره فإن domain.com غير ملزمة بتقديم مثل هذا الإشعار إلى الحد الذي تحظره قوانين حماية البيانات، وقد يؤخر domain.com هذا الإشعار على النحو الذي تطلبه أجهزة إنفاذ القانون و/أو في ضوء احتياجات domain.com المشروعة للتحقق من معالجة الأمر قبل تقديم الإشعار.
  • ‌ب. سيتضمن كل إشعار بالحوادث الأمنية ما يلي:
    • مدى استخدام البيانات الشخصية أو الوصول إليها أو الحصول عليها أو الكشف عنها أثناء الحادث الأمني، أو مدى الاعتقاد باستخدامها.
    • وصف لما حدث، بما في ذلك تاريخ الحادث الأمني وتاريخ اكتشاف الحادث الأمني إذا كان معروفاً.
    • نطاق الحادث الأمني، حسب قدر معرفتنا به.
    • وصف لاستجابة domain.com للحادث الأمني ، بما في ذلك الخطوات التي اتخذتها  domain.com للتخفيف من الضرر الناجم عن الحادث الأمني.
  • ‌ج. يجب علىinfo اتخاذ تدابير مناسبة للتخفيف من الآثار الضارة الناتجة عن الحادث الأمني ومنع المزيد من الوصول أو الكشف غير المصرح به.
  1. التغييرات على المعالجين من الباطن:

عند تعاقد أي معالج من الباطن جديد، ستقوم domain.com قبل أسبوع على الأقل – من معالجة المعالج من الباطن الجديد بمعالجة أي بيانات للعميل – بإبلاغ العميل بذلك التعاقد عن طريق إرسال بريد إلكتروني أو عبر الإخطار داخل التطبيق.

  1. مزيد من التعاون:
  • ‌أ. سيقومinfo بتقديم المعلومات المتعلقة بمعالجته للبيانات الشخصية لسلطات حماية البيانات المعنيين حيثما ومتى اقتضت قوانين حماية البيانات ذلك، ويوافق domain.com أيضاً على أنه سيحتفظ ببيانات التسجيل هذه المطلوبة ويجددها عند الضرورة. يجب إخطار العميل – خلال مدة هذا الملحق – بأي تغييرات تطرأ على domain.com في هذا الصدد إما عبر البريد الإلكتروني أو من خلال الإخطارات داخل التطبيق.
  • ‌ب. يوفرinfo (على نفقة العميل) معلومات مطلوبة بشكل ملائم بشأن الخدمة أو أي مشاورات سابقة مع سلطات حماية البيانات – إلى الحد المتطلب منه بموجب قوانين حماية البيانات – لتمكين العميل من إجراء تقييمات لمدى تأثير حماية البيانات.

Pin It on Pinterest