لغة خصوصية MSA

 ملحق حماية البيانات

أبرم العميل اتفاقية رئيسية أو اتفاقية ذات طبيعة وهدف مماثلين (يُشار إليها فيما يلي بـ "الاتفاقية الرئيسية") مع G-P. قد يستلزم تنفيذ هذه الاتفاقية الرئيسية معالجة البيانات الشخصية. يتفق كل من العميل وشركة G-P (يُشار إليهما معًا بـ "الطرفين") على أن ملحق حماية البيانات هذا ("ملحق حماية البيانات") يحدد التزاماتهما فيما يتعلق بمعالجة البيانات الشخصية وأمنها فيما يخص الخدمات التي تقدمها G-P للعميل بموجب الاتفاقية الرئيسية، ويوافق الطرفان على الالتزام بهذا الملحق. يُكمّل هذا الملحق الشروط والأحكام الواردة في الاتفاقية الرئيسية ويُدمج فيها. في حال وجود تعارض بين هذا الملحق وأي اتفاقية أخرى بين الطرفين بشأن المسائل المذكورة فيه، يُعتدّ بهذا الملحق. إذا كان لدى العميل بالفعل ملحق حماية بيانات ساري المفعول مع G-P ، فإن تلك الاتفاقية تُعتدّ بها، ولا يكون لهذا الملحق أي أثر قانوني، ما لم يتفق العميل وشركة G-P كتابةً على خلاف ذلك.

 

في حين أن:

1. عندما يقوم G-P بتزويد العميل بخدمات سجلات صاحب العمل ("مؤسسة مدير شؤون الموظفين")، G-P يتولى دور صاحب العمل القانوني لأي أفراد يختارهم العميل ("المهنيون") لتوظيفهم.
2. فيما يتعلق بالبيانات الشخصية لهؤلاء المهنيين، G-P هو المتحكم في البيانات خلال فترة علاقة العمل.
3. فيما يتعلق بالبيانات الشخصية للمحترفين التي تم جمعها واستخدامها من قبل العميل لأغراضه الخاصة، فإن العميل هو أيضًا مراقب له التزامات خصوصية مستقلة.
4. عند تقديم خدمات إدارة شؤون الموظفين، يكون تبادل البيانات الشخصية للمحترفين بين G-P والعميل بموجب علاقة مستقلة بين المراقب المالي و تنطبق شروط وحدة التحكم إلى وحدة التحكم المحددة في القسم 2 أدناه.
5. كما تقدم G-P منتجات برمجية متنوعة كخدمة عبر منصة G-P("GPP")، والتي من خلالها تمكن G-P العميل من إدارة العلاقة مع هؤلاء المحترفين.
6. من خلال تزويد العميل بإمكانية الوصول إلى منصة GPP، تُعتبر G-P هي الجهة المعالجة للبيانات المتعلقة بالحساب التي يتم تحميلها إلى منصة GPP من قبل المستخدمين المعتمدين المعينين من قبل العميل لمنصة GPP و تنطبق شروط وحدة التحكم إلى المعالج المحددة في القسم 3 أدناه.

 

اتفق كل G-P والعميل على ما يلي:

 

1. DEFINITIONS

1.1. المصطلحات غير المحددة هنا لها المعاني المنصوص عليها في الاتفاقية الرئيسية. تحتوي الكلمات التالية في DPA على المعاني التالية:

1.2. "المستخدم المعتمد " يعني فردًا يسمح له العميل، والذي قد يشمل موظفًا أو مقاولًا تابعًا للعميل، بالوصول إلى واستخدام GPP نيابة عن العميل، وفقًا لتنفيذ الاتفاقية الرئيسية.

1.3. "بيانات العميل " تعني أي بيانات شخصية تتعلق بأي مستخدم مصرح له أو شخص طبيعي يمكن التعرف عليه والتي يتم نقلها أو معالجتها أو تخزينها بواسطة G-P نيابة عن العميل لاستخدامها من قبل العميل في GPP.

1. .4 " قوانين حماية البيانات " تعني أي قوانين حماية البيانات والخصوصية التي يخضع لها أحد أطراف هذه الاتفاقية والتي تنطبق على الخدمات المقدمة، بما في ذلك حيثما ينطبق ذلك، على سبيل المثال لا الحصر، اللائحة العامة لحماية البيانات، واللائحة العامة لحماية البيانات في المملكة المتحدة، وقوانين حماية البيانات السويسرية، وقوانين الخصوصية الأمريكية (بما في ذلك قوانين الولاية والقوانين الفيدرالية)، وقانون LGPD البرازيلي.

1.5. "اللائحة العامة لحماية البيانات " تعني اللائحة العامة لحماية البيانات (الاتحاد الأوروبي) 2016/679.

1.6. يشير مصطلح "GPP " إلى البرامج المملوكة لشركة G-P، بما في ذلك على سبيل المثال لا الحصر، البرامج، والإصدار المخصص للهواتف المحمولة، وأي برامج مضمنة فيها، وأي بيانات متاحة من خلال استخدام البرامج المملوكة لشركة G-P أو خدمات الطرف الثالث، بما في ذلك تحديثاتها وترقياتها ومنصتها كخدمة ووثائقها.

1.7. «EEA» تعني المنطقة الاقتصادية الأوروبية.

1.8. «LGPD» تعني رقم القانون البرازيلي. 13.709، القانون العام لحماية البيانات الشخصية، كما قد يتم تعديله أو استبداله أو استبداله.

1. .9 " الاتفاقيةالرئيسية "تعني الاتفاقية المبرمة بين G-P العميل لتقديم الخدمات.

1.10. تعني "سياسة الخصوصية "سياسة خصوصيةG-P، بصيغتها المحدثة من وقت لآخر، والمتاحة على https://www.globalization-partners.com/privacy-policy/

1.11. "بيانات المحترفين " تعني البيانات الشخصية للمحترفين التي تعالجها G-P في سياق تقديم خدمات شؤون الموظفين إلى العميل.

1.12. "النقل المقيد" يعني أي نقل للبيانات الشخصية إلى دولة خارج المنطقة الاقتصادية الأوروبية أو المملكة المتحدة أو سويسرا أو البرازيل والتي لا تخضع لقرار كفاية بموجب قوانين حماية البيانات المعمول بها، وبالتالي تتطلب ضمانات مناسبة بموجب قوانين حماية البيانات المعمول بها.

1.13. "الخدمات" تعني الخدمات التي ستقدمها G-P للعميل بموجب الاتفاقية الرئيسية والتي قد تشمل خدمات موظفي مؤسسة تدر الخدمات والوصول إلى واستخدام GPP.

1.14. "البنود التعاقدية القياسية" أو "البنود التعاقدية النموذجية" تعني (1) حيث تنطبق اللائحة العامة لحماية البيانات، البنود التعاقدية القياسية المرفقة بالقرار التنفيذي للمفوضية الأوروبية (الاتحاد الأوروبي) 2021/914 بتاريخ 4 يونيو 2021 البنود التعاقدية القياسية لنقل البيانات الشخصية إلى دول ثالثة وفقًا للائحة (الاتحاد الأوروبي) 2016/679 الخاصة بالبرلمان الأوروبي والمجلس، والمتوفرة على https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN ("الاتحاد الأوروبي" الشروط التعاقدية النموذجية"); (2) حيثما تنطبق اللائحة العامة لحماية البيانات في المملكة المتحدة، فإن بنود حماية بيانات البيانات القياسية المعمول بها والمعتمدة وفقًا للمادة 46(2)(ج)، أو (د) حيث تعني اللائحة العامة لحماية البيانات في المملكة المتحدة ملحق نقل البيانات الدولي ("ملحق المملكة المتحدة") إلى البنود التعاقدية القياسية للاتحاد الأوروبي الصادرة عن مكتب مفوض المعلومات بموجب ق.119أ(1) من قانون حماية البيانات 2018 ، على هذا النحو، يجوز مراجعة الملحق البريطاني بموجب القسم 18 منه ("البنود التعاقدية القياسية البريطانية")؛ (ثالثًا) في حالة تطبيققوانين حماية البياناتالسويسرية ، البنود التعاقدية القياسية المعمول بها الصادرة أو المعتمدة أو المعترف بها من قبل الهيئة الفيدرالية السويسرية لحماية البيانات ومكتب مفوض المعلومات ("البنود التعاقدية القياسية السويسرية")؛ في حالة تطبيق قانون حماية البيانات العامة البرازيلي، البنود التعاقدية القياسية المعمول بها، المرفقة بالقرار CD/ANPD رقم 19/2024 الصادر عن الهيئة الوطنية البرازيلية لحماية البيانات ("ANPD")، بصيغتها المعدلة من وقت لآخر ("البنود التعاقدية القياسية البرازيلية").

1.15. "قوانين حماية البيانات السويسرية" أو "FADP" تعني (1) قانون حماية البيانات الفيدرالي السويسري (المؤرخ في يونيو 19 ، 1992 ، اعتبارًا من مارس 1 ، 2019) ("FDPA ")؛ (2) المرسوم المتعلق بالقانون الفيدرالي لحماية البيانات ("FODP ")؛ و(3) أي قوانين وطنية لحماية البيانات صادرة بموجب أو وفقًا أو تحل محل أو تلي أي تشريع يحل محل أو يحدّث أيًا مما سبق.

1.16. "الملحق البريطاني " يعني ملحق نقل البيانات الدولي للمملكة المتحدة لبنود التعاقد القياسية للاتحاد الأوروبي الصادرة عن مفوض المعلومات في المملكة المتحدة.

1.17. "قوانين حماية البيانات في المملكة المتحدة" تعني اللائحة العامة لحماية البيانات كما تم حفظها في قانون المملكة المتحدة بموجب القسم 3 من قانون الاتحاد الأوروبي (الانسحاب) للمملكة المتحدة 2019 ("اللائحة العامة لحماية البيانات في المملكة المتحدة") وقانون حماية البيانات 2018 (معًا، "قوانين حماية البيانات في المملكة المتحدة").

1.18. «قوانين الخصوصية الأمريكية» تعني قوانين الولايات المتحدة والأوامر واللوائح والإرشادات التنظيمية المعمول بها فيما يتعلق بمعالجة البيانات الشخصية بما في ذلك على سبيل المثال لا الحصر: (أ) CCPA؛ (ب) قانون حماية بيانات المستهلك في فرجينيا؛ (ج) قانون خصوصية كولورادو؛ (د) قانون كونيتيكت بشأن خصوصية البيانات والمراقبة عبر الإنترنت؛ (هـ) قانون خصوصية المستهلك في ولاية يوتا؛ و (و) جميع قوانين الولاية المماثلة

1.19. " وحدة التحكم " " موضوع البيانات "، " البيانات الشخصية "، «المعلومات الشخصية» «خرق البيانات»، " المعالج "، " المعالجة/المعالجة "،» «النقل المقيد» أو «مزود الخدمة» و/أو أي مصطلحات ومفاهيم أخرى مماثلة يجب أن يكون لها المعاني المحددة في قوانين حماية البيانات.

 

 

2. CONTROL OF PERSONAL DATA

2.1. أدوار الأطراف. عندما تعمل G-P كجهة تحكم مستقلة، تلتزم G-P بواجباتها كجهة تحكم بموجب قوانين حماية البيانات عند معالجة البيانات الشخصية، وتعالج هذه البيانات وفقًا لما هو موضح في سياسة الخصوصية G-Pبها والمتاحة على الرابط https://www.globalization-partners.com/privacy-policy/. يلتزم العميل بواجباته بموجب قوانين حماية البيانات عند معالجة البيانات الشخصية كجهة تحكم. لا يجوز بأي حال من الأحوال أن تعالج الأطراف البيانات الشخصية بموجب اتفاقية حماية البيانات هذه كجهة تحكم مشتركة.

2.2. المسؤوليات والإقرارات. يجوز لكل طرف معالجة البيانات الشخصية بموجب اتفاقية حماية البيانات هذه فيما يتعلق ببيانات المهنيين بصفتهم جهات تحكم مستقلة في البيانات. يوافق الطرفان على الالتزام بالتزاماتهما ومعالجة أي بيانات شخصية بشكل عادل وقانوني وفقًا لهذه الاتفاقية وجميع قوانين حماية البيانات السارية على عمليات معالجة البيانات الشخصية لكل طرف. يضمن كل طرف أن تقتصر معالجته للبيانات الشخصية على الغرض من خطة الممارسة العامة المقدمة من قبل G-P وأن تستند إلى أساس قانوني للمعالجة المشروعة. سيتعاون الطرفان في الوفاء بالتزاماتهما بموجب قوانين حماية البيانات، بما في ذلك، على سبيل المثال لا الحصر، تقديم المساعدة لبعضهما البعض في حالة حدوث خرق للبيانات، والاستجابة لطلبات أصحاب البيانات و/أو الجهات التنظيمية. 

 

3. PROCESSING OF PERSONAL DATA

 

3.1. النطاق. قد ينطوي استخدام GPP على معالجة بيانات العميل بواسطة G-P كمعالج أو مزود خدمة نيابة عن العميل.

3.2. التعليمات. ستقوم G-P بمعالجة بيانات العميل وفقًا لتعليمات العميل الموثقة. يوافق العميل على أن اتفاقية حماية البيانات هذه، والاتفاقية الرئيسية، و يتضمن الملحق الأول المرفق أدناه تعليمات العميل الكاملة إلى G-P فيما يتعلق بمعالجة بيانات العميل. يجب الاتفاق بين الطرفين كتابةً على أي تعليمات إضافية أو بديلة، بما في ذلك التكاليف (إن وجدت) المرتبطة بالامتثال لهذه التعليمات. يضمن العميل امتثال تعليماته لقوانين حماية البيانات المعمول بها. ويقرّ العميل بأن G-P ليست مسؤولة عن تحديد القوانين التي تنطبق على أعماله. كما يضمن العميل أن معالجة G-Pلبيانات العميل، عند إجرائها وفقًا لتعليمات العميل، لن تتسبب في انتهاك G-P لأي قانون سارٍ، بما في ذلك قوانين حماية البيانات المعمول بها. ومع ذلك، إذا رأتG-P G-P أن تعليمات العميل تنتهك قوانين حماية البيانات المعمول بها، فيجب على G-P إخطار العميل في أقرب وقت ممكن عمليًا، ولن يُطلب منها الامتثال لهذه التعليمات المخالفة.

3.3. تفاصيل المعالجة. تفاصيل موضوع المعالجة ومدتها وطبيعتها والغرض منها ونوع بيانات العميل وموضوعات البيانات هي كما هو محدد في الملحق الأول المرفق بهذه الوثيقة. 

3.4. الامتثال. يوافق كل من العميل والطبيب G-P على الامتثال لالتزاماتهما بموجب قوانين حماية البيانات السارية على بيانات العميل التي تتم معالجتها كما هو محدد في الملحق الأول. يتحمل العميل وحده مسؤولية الامتثال لقوانين حماية البيانات فيما يتعلق بمشروعية معالجة بيانات العميل قبل الكشف عن أي بيانات للعميل أو نقلها أو إتاحتها بأي شكل من الأشكال G-P. ولتجنب أي لبس، في جميع الحالات، يجب على العميل الحصول، عند الاقتضاء، على أي موافقات من أصحاب البيانات لكي يقوم G-P بمعالجة بيانات العميل وفقًا لتوجيهات العميل.

3.5. المعالجون الفرعيون. يُفوض العميل G-P بتعيين واستخدام المعالجين ("المعالجون الفرعيون") لمعالجة بيانات العميل فيما يتعلق بالخدمات. قد يشمل المعالجون الفرعيون أطرافًا ثالثة أو أي عضو في مجموعة شركات G-P . ويجوز G-P الاستمرار في استخدام المعالجين الفرعيين المتعاقدين G-P بالفعل اعتبارًا من تاريخ اتفاقية حماية البيانات هذه، وتتوفر قائمة بهؤلاء المعالجين الفرعيين في الملحق الثالث المرفق أدناه. في حال إخفاق أي معالج فرعي في الوفاء بالتزاماته المتعلقة بالحماية والبيانات كما هو محدد أعلاه، تكون G-P مسؤولة أمام العميل عن أداء التزامات المعالج الفرعي. تُخطر G-P العميل بأي تغييرات تطرأ على قائمة المعالجين الفرعيين لديها من خلال GPP. إذا اعترض العميل، خلال 10 (9) أيام من استلام هذا الإخطار، اعتراضًا مشروعًا على إضافة أو إزالة أي معالج فرعي لأسباب تتعلق بالحماية والبيانات، ولم تتمكن G-P من تلبية اعتراض العميل بشكل معقول، فسيتناقش الطرفان في مخاوف العميل بحسن نية بهدف حل المسألة.

3.6. التدابير الأمنية التقنية والتنظيمية. مع مراعاة معايير الصناعة، وتكاليف التنفيذ، وطبيعة ونطاق وسياق وأغراض المعالجة، وأي ظروف أخرى ذات صلة بمعالجة بيانات العميل، ستقوم G-P بتنفيذ تدابير أمنية تقنية وتنظيمية مناسبة لضمان أمن وسرية وسلامة وتوافر ومرونة أنظمة وخدمات المعالجة المشاركة في معالجة بيانات العميل بما يتناسب مع المخاطر المتعلقة بهذه البيانات، كما هو مفصل في الملحق الثاني المرفق بهذا. ستقومG-P بشكل دوري (1) باختبار ومراقبة فعالية الضمانات والضوابط والأنظمة والإجراءات الخاصة بها و (2) تحديد المخاطر الداخلية والخارجية المتوقعة بشكل معقول لأمن وسرية وسلامة بيانات العميل، وضمان معالجة هذه المخاطر.

3.7. السرية. يجب على G-P ضمان أن الأشخاص المصرح لهم بالوصول إلى بيانات العميل (1) قد التزموا بالسرية أو يخضعون لالتزام قانوني مناسب بالسرية و (2) لا يصلون إلى بيانات العميل إلا بناءً على تعليمات موثقة من G-P ، ما لم يكن ذلك مطلوبًا بموجب القانون المعمول به.

3.8. خرق البيانات الشخصية. ستقومG-P بإخطار العميل دون تأخير لا مبرر له بعد علمها بخرق البيانات فيما يتعلق بمعالجة بيانات العميل، وستبذل جهودًا معقولة لمساعدة العميل في التخفيف، قدر الإمكان، من الآثار السلبية لأي خرق للبيانات.

3.9. حذف البيانات الشخصية. عند إنهاء الخدمات (لأي سبب كان)، يتعين على G-P ، في أقرب وقت ممكن عمليًا، إعادة أو حذف بيانات العميل المخزنة في GPP، ما لم ينص القانون المعمول به على الاحتفاظ ببيانات العميل لفترة أطول. وفي حالة الاحتفاظ بهذه البيانات، تظل أحكام اتفاقية حماية البيانات هذه سارية عليها.

3.10. طلبات أصحاب البيانات. يتعين علىG-P إبلاغ العميل فورًا بأي طلبات من أصحاب البيانات فيما يتعلق ببيانات العميل. ويتحمل العميل مسؤولية الرد على هذه الطلبات. وستقدم G-P مساعدة معقولة للعميل في الرد على طلبات أصحاب البيانات هذه، وذلك في حال تعذر على العميل الوصول إلى بيانات العميل ذات الصلة أثناء استخدامه لـ GPP.

3.11. طلبات الأطراف الثالثة. إذا تلقت G-P أي طلبات من أطراف ثالثة أو أمرًا من أي محكمة أو هيئة قضائية أو جهة تنظيمية أو وكالة حكومية مختصة تخضع لها G-P فيما يتعلق بمعالجة بيانات العميل بموجب الاتفاقية، فستقوم G-P على الفور بإعادة توجيه الطلب إلى العميل. ولن تستجيب G-P لهذه الطلبات دون إذن مسبق من العميل إلا إذا كان ذلك مطلوبًا قانونًا. وستقوم G-P ، ما لم يمنعها القانون من ذلك، بإبلاغ العميل مسبقًا بأي إفصاح عن بيانات العميل، وستتعاون معه بشكل معقول للحد من نطاق هذا الإفصاح إلى ما هو مطلوب قانونًا. 

3.12. تقييم أثر حماية البيانات والتشاور المسبق. بقدر ما تقتضيه قوانين حماية البيانات، ستقدم G-P مساعدة معقولة للعميل لإجراء تقييم للأثر والحماية فيما يتعلق بمعالجة بيانات العميل التي تقوم بها G-P ، و/أو أي مشاورات مسبقة مطلوبة مع السلطات الإشرافية. وتحتفظ G-P بحقها في تحصيل رسوم معقولة من العميل مقابل تقديم هذه المساعدة.

3.13. مراجعة. يجوز للعميل تدقيق امتثال G-P لقانون حماية البيانات هذا، وذلك بطلب شهادة صادرة للتحقق الأمني تعكس نتائج تدقيق أجراه مدقق طرف ثالث (مثل شهادة ISO27001 ، أو شهادة SOC2 )، في غضون اثني عشر (12) شهرًا من تاريخ طلب العميل. وبدلاً من ذلك، في حال عدم كفاية الوثائق المقدمة بموجب هذا البند 3 13 لإثبات الامتثال،يجوز للعميل إجراء تدقيقه الخاص بالإضافة إلى شهادات أو تقارير الطرف الثالث المقدمة، شريطة أن يتم هذا التدقيق: (أ) مرة واحدة على الأكثر كل 12 (12) شهرًا؛ (ب) خلال ساعات العمل الرسمية ودون تعطيل سير العمل اليومي لشركة G-P؛ (ج) مع إشعار كتابي مسبق مدته 30 (30) يومًا؛ (د) على نفقة العميل وحده؛ (هـ) بناءً على معايير ونطاق متفق عليهما، يقتصر على النطاق المحدد للخدمات والأنظمة المستخدمة و/أو أنشطة المعالجة المنصوص عليها في هذه الاتفاقية. سادساً) بناءً على تاريخ متفق عليه مسبقاً، مع مراعاة إمكانية تأجيله من قبل العميل بناءً على طلب معقول من G-P؛ وسابعاً) وفقاً لجميع التزامات وقيود السرية. على الرغم مما سبق، لا يُمنح أي حق في التدقيق بعد فسخ اتفاقية الإطار، باستثناء الالتزامات القانونية التي يجب على العميل إثباتها. يجب ألا يكون لأي طرف ثالث يتم اختياره لإجراء تدقيق نيابة عن العميل مصلحة أو انتماء لشركة خدمات موظفي مؤسسة تُدير شؤون الموظفين، أو وكالة، أو منظمة ذات صلة، أو مستشار. لا يُلزم أي بند في اتفاقية حماية البيانات هذه G-P بالكشف للعميل أو مدقق حساباته من الطرف الثالث، أو السماح للعميل أو مدقق حساباته من الطرف الثالث بالوصول إلى: (أ) أي بيانات لأي شركة أخرى تابعة لشركة G-P؛ (ب) معلومات المحاسبة أو المالية الداخلية G-P؛ (ج) أي سر تجاري لشركة G-P أو الشركات التابعة لها؛ (د) أي معلومات، في رأي G-Pالمعقول، قد تُعرّض أمن أي من أنظمة G-Pللخطر أو تتسبب في أي خرق لالتزاماتها بموجب القانون المعمول به أو التزاماتها الأمنية أو المتعلقة بالخصوصية تجاه أي طرف ثالث؛ أو (خامساً) أي معلومات يسعى العميل أو مدقق حساباته الخارجي إلى الوصول إليها لأي سبب آخر غير الوفاء بحسن نية بالتزامات العميل بموجب قوانين حماية البيانات.

3.14. قوانين الخصوصية الأمريكية. بموجب هذا البند 3 ("معالجة البيانات الشخصية")،يتفق الطرفان على أن G-P هي "مُقدِّم خدمة" أو "مُعالِج" وفقًا لتعريف هذه المصطلحات في قوانين الخصوصية الأمريكية السارية. وبناءً على ذلك، وإلى الحد الذي تنطبق فيه قوانين الخصوصية الأمريكية على معالجة بيانات العملاء من قِبل G-P ، لا يجوز G-P ما يلي: (أ) الاحتفاظ بأي بيانات للعملاء أو استخدامها أو الكشف عنها خارج نطاق العلاقة التجارية المباشرة بين G-P والعميل، أو لأي غرض آخر غير الغرض المنصوص عليه في الملحق الأول المرفق بهذا الاتفاق، ولا يجوز G-P معالجة بيانات العملاء إلا طالما أنها تُقدِّم خدماتها للعميل؛ (ب) بيع أي بيانات للعملاء؛ (ج) مشاركة أي بيانات للعملاء؛ أو (د) دمج بيانات العملاء التي تتلقاها G-P من العميل أو نيابةً عنه مع "البيانات الشخصية" (كما هو مُعرَّف في قوانين حماية البيانات السارية) التي تتلقاها من شخص آخر أو نيابةً عنه، أو التي تجمعها من تفاعلها الخاص مع المستهلك، شريطة أن يجوز لشركة G-P دمج بيانات العملاء إذا كان ذلك في نطاق تقديم الخدمات للعميل. حيثما ينطبق ذلك، يتعين على كل طرف إخطار الطرف الآخر إذا توصل إلى قرار بأنه لم يعد بإمكانه الوفاء بالتزاماته بموجب قوانين الخصوصية الأمريكية.

 

 

4. International Data Transfers

4.1. الحماية المناسبة. يحق G-P ، في سياق العمل المعتاد، إجراء عمليات نقل بيانات العملاء على مستوى العالم إلى الشركات التابعة لها و/أو المعالجات الفرعية. عند إجراء عمليات نقل البيانات هذه إلى منطقة لم تعترف بها السلطات المختصة بأنها توفر مستوى كافياً من الحماية للبيانات الشخصية وفقاً لقوانين حماية البيانات، يجب على G-P ضمان وجود حماية مناسبة لحماية بيانات العميل المنقولة بموجب أو فيما يتعلق بالاتفاقية الرئيسية.

4.2. إطار خصوصية البيانات. يتم تخزين بيانات المهنيين والعملاء في GPP التي تستضيفها الولايات المتحدة. G-P معتمدة بموجب إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة (EU-US DPF)، وحسب الاقتضاء، بموجب امتداد المملكة المتحدة لإطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة، وإطار خصوصية البيانات بين سويسرا والولايات المتحدة (Swiss-US DPF). يمكن التحقق من شهادة G-P´ علنًا على موقع DPF الإلكترونيhttps://www.dataprivacyframework.gov/list. اعتبرت المفوضية الأوروبية إطار حماية البيانات بين الاتحاد الأوروبي والولايات المتحدة كافيًا، كونه آلية قانونية لنقل البيانات وفقًا للمادة 45 من اللائحة العامة لحماية البيانات (GDPR)، واللائحة العامة لحماية البيانات في المملكة المتحدة، وقانون حماية البيانات الفيدرالي السويسري (FADP)، على التوالي. في حال إبطال إطار حماية البيانات، أو تعليقه، أو عدم الاعتراف به كحماية كافية لعمليات نقل البيانات الدولية، يوافق المعالج على إبرام بنود التعاقد القياسية ( SCCs ) والامتثال لها، الصادرة أو المعتمدة من قبل المفوضية الأوروبية، أو مكتب مفوض المعلومات في المملكة المتحدة (ICO)، أو المفوض الفيدرالي السويسري لحماية البيانات والمعلومات (FDPIC)، حسب الاقتضاء. ويتعاون الطرفان بحسن نية لتنفيذ أي تدابير تكميلية لازمة لضمان مستوى حماية مكافئ للبيانات المنقولة.

4.3. البنود التعاقدية القياسية. يتفق الطرفان على أنه عندما يكون نقل البيانات الشخصية من العميل (بصفته "مصدر البيانات") إلى G-P (بصفته "مستورد البيانات") نقلًا مقيدًا، وتتطلب قوانين حماية البيانات المعمول بها وضع ضمانات مناسبة، فإن هذا النقل يخضع للبنود التعاقدية القياسية المناسبة، والتي تُعتبر جزءًا لا يتجزأ من اتفاقية حماية البيانات هذه، على النحو التالي:

1. فيما يتعلق بنقل البيانات الشخصية المحمية بموجب اللائحة العامة لحماية البيانات، تنطبق الشروط التعاقدية الخاصة بالاتحاد الأوروبي، ويتم استكمالها على النحو التالي:

1. تطبق الوحدتان الأولى والثانية؛
2. في البند 7، سيتم تطبيق شرط الإرساء الاختياري؛
3. في الفقرة 9 من الوحدة الثانية، سيتم تطبيق الخيار 2 ، وستكون الفترة الزمنية للإشعار المسبق بتغييرات المعالج الفرعي كما هو موضح في القسم 3.5 من اتفاقية DPA هذه؛
4. في البند 11، لن يتم تطبيق اللغة الاختيارية؛
5. في البند 12، تخضع أي مطالبات مقدمة بموجب اتفاقيات الاتحاد الأوروبي SCCs للشروط والأحكام المنصوص عليها في الاتفاقية الرئيسية؛
6. في البند 17، سيتم تطبيق الخيار 1 ، وستخضع مراكز SCCs التابعة للاتحاد الأوروبي للقانون الأيرلندي؛
7. في البند 18(ب)، يجب حل النزاعات أمام محاكم أيرلندا؛
8. يعتبر الملحق الأول من SCCs التابعة للاتحاد الأوروبي مكتملاً بالمعلومات الواردة في الملحق 1 من اتفاقية DPA هذه؛ و
9. يعتبر الملحق الثاني من SCCs التابعة للاتحاد الأوروبي مكتملاً بالمعلومات الواردة في الملحق 2 من اتفاقية DPA هذه؛
10. يعتبر الملحق الثالث من الوحدة الثانية من SCCs التابعة للاتحاد الأوروبي مكتملاً بالمعلومات الواردة في الملحق 3 لاتفاقية DPA هذه.

ب. فيما يتعلق بنقل البيانات الشخصية المحمية بموجب قوانين حماية البيانات في المملكة المتحدة أو قوانين حماية البيانات السويسرية، سيتم تطبيق SCCs في الاتحاد الأوروبي كما هو مطبق بموجب الفقرات الفرعية (أ) أعلاه مع التعديلات التالية:

1. يجب تفسير الإشارات إلى لائحة " (الاتحاد الأوروبي) 2016/679" على أنها إشارات إلى قوانين حماية البيانات في المملكة المتحدة أو قوانين حماية البيانات السويسرية (حسب الاقتضاء)؛
2. سيتم استبدال الإشارات إلى مواد محددة من لائحة " (الاتحاد الأوروبي) 2016/679" بالمادة أو القسم المقابل من قوانين حماية البيانات في المملكة المتحدة أو قوانين حماية البيانات السويسرية (حسب الاقتضاء)؛
3. يُستعاض عن الإشارات إلى " الاتحاد الأوروبي " و " الاتحاد " و " الدولة العضو " و " قانون الدولة العضو " بإشارات إلى " UK " أو " سويسرا "، أو " قانون المملكة المتحدة " أو " القانون السويسري " (حسب الاقتضاء)؛
4. لا يجوز تفسير مصطلح الدولة العضو " " بطريقة تستبعد موضوعات البيانات في المملكة المتحدة أو سويسرا من إمكانية رفع دعوى للحصول على حقوقهم في مكان إقامتهم المعتاد (أي المملكة المتحدة أو سويسرا)؛
5. لا يتم استخدام البند 13(أ) والجزء ج من الملحق الأول والسلطة الإشرافية المختصة " " هي مفوض المعلومات في المملكة المتحدة أو المفوض الفيدرالي السويسري لمعلومات حماية البيانات (حسب الاقتضاء)؛
6. يُستعاض عن الإشارات إلى السلطة الإشرافية المختصة " " و " والمحاكم المختصة " بإشارات إلى مفوض المعلومات " " ومحاكم " في إنجلترا وويلز " أو " معلومات حماية البيانات الفيدرالية السويسرية المفوض " و " للمحاكم المعمول بها في سويسرا " (حسب الاقتضاء)؛
7. في البند 17، تخضع البنود التعاقدية القياسية لقوانين إنجلترا وويلز أو سويسرا (حسب الاقتضاء)؛ و
8. فيما يتعلق بعمليات النقل التي تنطبق عليها قوانين حماية البيانات في المملكة المتحدة، سيتم تعديل البند 18 ليصبح " يجب حل أي نزاع ينشأ عن هذه البنود من قبل محاكم إنجلترا وويلز. يجوز لصاحب البيانات رفع دعوى قضائية ضد مُصدِّر البيانات و/أو مُستورد البيانات أمام محاكم أي دولة في المملكة المتحدة. يوافق الطرفان على الخضوع للاختصاص القضائي لهذه المحاكم "، وفيما يتعلق بعمليات النقل التي تنطبق عليها قوانين حماية البيانات السويسرية، ينص البند 18(ب) على أنه يجب حل النزاعات أمام المحاكم المعمول بها في سويسرا.
9. فيما يتعلق بالبيانات المحمية بموجب اللائحة العامة لحماية البيانات في المملكة المتحدة، سيتم تطبيق بنود التعاقد القياسية للاتحاد الأوروبي على النحو التالي: (أ) يتم تطبيقها كما تم استكمالها وفقًا للفقرات من (أ) إلى (8) أعلاه؛ و(ب) يتم اعتبارها معدلة على النحو المحدد في الجزء 2 من الملحق البريطاني، والذي سيتم اعتباره جزءًا لا يتجزأ من اتفاقية حماية البيانات هذه. بالإضافة إلى ذلك، يجب استكمال الجداول من 1 إلى 3 في الجزء 1 من إضافة المملكة المتحدة على التوالي بالمعلومات الواردة في الملحق الأول والمرفق الثاني من DPA والجدول 4 في الجزء 1 من ملحق المملكة المتحدة سيتم اعتباره مكتملاً باختيار " لا أحد الطرفين ".

ج. فيما يتعلق بنقل البيانات الشخصية المحمية بموجب قانون حماية البيانات الشخصية البرازيلي،سواء بشكل مباشر أو عن طريق النقل اللاحق، إلى دولة خارج البرازيل لا تخضع لقرار كفاية صادر عن الوكالة الوطنية لحماية البيانات، فسيتم اعتبار بنود التعاقد القياسية البرازيلية مبرمة ومدمجة في اتفاقية حماية البيانات هذه بالإشارة إليها، وسيتم استكمالها على النحو التالي:

1. يتم استيفاء البند 2 من SCCs البرازيلية بالمعلومات الواردة في الملحق الأول، الذي يصف نقل البيانات؛
2. أنافي البند 3 من SCCs البرازيلية، ينطبق الخيار B، مع السماح بالتحويلات القادمة وفقًا للقسم 3.5 («المعالجات الفرعية») من DPA هذا. يتم تحديد موضوع المعالجة وطبيعتها ومدتها في الملحق الأول من اتفاقية DPA هذه؛
3. يتم استيفاء البند 4 من SCCs البرازيلية بالمعلومات الواردة في الملحق الأول من اتفاقية DPA هذه. عندما تكون G-P جهة تحكم، فإنها ستكون "الطرف المعين"، كما هو محدد في بنود التعاقد القياسية البرازيلية، ولأغراض البند 14 (الشفافية)، والبند 15 (حقوق أصحاب البيانات)، والبند 16 (الإبلاغ عن الحوادث) من بنود التعاقد القياسية البرازيلية. يظل العميل مسؤولاً عن الامتثال للبند 14 (الشفافية)، والبند 15 (حقوق أصحاب البيانات)، والبند 16 (الإبلاغ عن الحوادث) من بنود التعاقد القياسية البرازيلية لأي بيانات شخصية قد يكون هو المتحكم بها بخلاف ذلك؛
4. في البند 9 من SCCs البرازيلية، لن يتم تطبيق شرط الإرساء الاختياري؛ و
5. سيُعتبر القسم الثالث (التدابير الأمنية) من مراكز SCCs البرازيلية مكتملاً بالمعلومات الواردة في المرفق الثاني من اتفاقية DPA هذه.

 

المرفق الأول

وصف معالجة البيانات

 

الأطراف	مصدر البيانات: كيان العميل الذي ينفذ الاتفاقية الرئيسية مستورد البيانات: كيان G-P الذي ينفذ الاتفاقية الرئيسية.
تفاصيل الاتصال بالأطراف	تفاصيل الاتصال كما هو موضح في الاتفاقية الرئيسية.
الأنشطة ذات الصلة بالبيانات المنقولة	الأنشطة المتعلقة بخدمات إدارة شؤون الموظفين واستخدام GPP المقدمة للعميل كخدمة.
أنشطة المعالجة	قد تخضع البيانات الشخصية التي تتم معالجتها / نقلها لأنشطة المعالجة التالية: أي عملية تتعلق بالبيانات الشخصية بغض النظر عن الوسائل والإجراءات المطبقة، ولا سيما جمع البيانات وتنظيمها وتخزينها وحفظها واستخدامها واسترجاعها والاستشارات وأرشفتها ونقلها وحظرها ومحوها أو تدميرها، وتشغيل الأنظمة وصيانتها، والامتثال والوظائف القانونية ووظائف التدقيق.
مدة المعالجة	ستقوم G-P بمعالجة بيانات العملاء طوال مدة الاتفاقية الرئيسية وبشكل مستمر.
طبيعة المعالجة والغرض منها	يجوز للعميل نقل بياناته إلى G-P ، ويخضع نطاق هذا النقل لتقدير العميل المطلق. والغرض من هذه المعالجة هو تقديم الخدمات وفقًا للاتفاقية الرئيسية.
فئات موضوعات البيانات	أ) البيانات الشخصية التي يتبادلها الطرفان كمراقبين مستقلين فيما يتعلق بالبيانات الشخصية للمهنيين. ب) تتعلق بيانات العملاء التي تعالجها G-P بصفتها معالج بيانات بالمستخدمين المصرح لهم بـ GPP الذي قد يشمل موظفي العميل و/أو المتعاقدين معه.
أنواع البيانات الشخصية	· تفاصيل الاتصال (مثل رقم الهاتف والبريد الإلكتروني). · بيانات الموظفين / المتعاقدين (مثل المسمى الوظيفي واسم الشركة). · بيانات الاستخدام (مثل البيانات حول جهاز المستخدم المعتمد وكيفية تفاعل هذا الجهاز مع GPP). · بيانات الموقع (مثل الموقع المشتق من عنوان IP). · بيانات المحتوى (مثل محتوى ملفات العميل المتعلقة بالمحترفين والاتصالات ذات الصلة). · بيانات الاعتماد (مثل كلمات المرور وتلميحات كلمات المرور ومعلومات الأمان المماثلة المستخدمة للمصادقة والوصول إلى الحساب إلى GPP). · أي بيانات شخصية مقدمة من المستخدمين المعتمدين.
فئات خاصة من البيانات (إذا كان ذلك مناسبًا)	غير متوفر
الاحتفاظ	سيتم الاحتفاظ بالبيانات الشخصية على الأقل ما دامت أي فترة احتفاظ دنيا مفروضة قانونًا، بما يتوافق مع قوانين التقادم المعمول بها ويلبي الممارسات التجارية الجيدة.
السلطة الإشرافية المختصة	لجنة حماية البيانات الأيرلندية
عمليات النقل إلى المعالجات الفرعية	بالنسبة لعمليات النقل إلى المعالجات، فإن موضوع المعالجة وطبيعتها ومدتها هي نفسها المحددة أعلاه.
تفاصيل الاتصال بخصوصية G-P	privacy@G-P.com Attn: مكتب الخصوصية العالمي.

 

 

المرفق الثاني

التدابير الفنية والتنظيمية

 

حصلتG-P على شهادات اعتماد من مدققين مستقلين تؤكد التزامها بمعايير SOC 2 وISO 27001 وتُظهر هذه الشهادات التزامنا بحماية بيانات العملاء. صُمم برنامج أمن G-Pلتحقيق ما يلي:

• حماية سرية وسلامة وتوافر بيانات العملاء الموجودة في حوزة G-Pأو التي يمكن لـ G-P الوصول إليها؛
• الحماية من أي تهديدات أو مخاطر متوقعة لسرية بيانات العميل وسلامتها وتوافرها؛
• الحماية من الوصول غير المصرح به أو غير القانوني إلى بيانات العميل أو استخدامها أو الكشف عنها أو تغييرها أو إتلافها؛
• الحماية من الفقد العرضي أو التدمير أو التلف الذي يلحق ببيانات العميل؛ و
• حماية المعلومات وفقًا لما هو منصوص عليه في أي لوائح قد تخضع لها الممارسة G-P .

 

يصف ما يلي الوظائف والعمليات والضوابط والأنظمة والإجراءات والتدابير التي اتخذتها G-P لضمان أمن معالجة بيانات العملاء:

1) التدابير الفنية لضمان خصوصية البيانات وحمايتها 

1. الخصوصية حسب التصميم والافتراضي: يأخذ G-P متطلبات المادة 25 اللائحة العامة لحماية البيانات بعين الاعتبار في مرحلة التصور والتطوير لتطوير المنتج. يتم إعداد العمليات والوظائف بطريقة تراعي مبادئ حماية البيانات مثل الشرعية والشفافية وتحديد الغرض وتقليل البيانات وما إلى ذلك، بالإضافة إلى أمن المعالجة، في مرحلة مبكرة.

2. تشفير البيانات الشخصية: التأكدمن تخزين البيانات الشخصية فقط في النظام بطريقة لا تسمح لأطراف ثالثة بتحديد موضوع البيانات.

   1. تشفير قواعد البيانات والتخزين: في جميع قواعد البيانات التي تستخدمها G-P يتم استخدام تشفير "في حالة السكون" وفقًا لأحدث التقنيات بحيث لا يمكن قراءة البيانات من قاعدة البيانات إلا بعد المصادقة المناسبة على نظام قاعدة البيانات المعني.

   2. تشفير وسائط بيانات الهاتف المحمول: لا يُسمح باستخدام وسائط بيانات الهاتف المحمول لتخزين بيانات زبون.

   3. تشفير ناقلات البيانات على أجهزة الكمبيوتر المحمولة: يتم تثبيت تشفير القرص الصلب الحديث المناسب على جميع أجهزة الكمبيوتر المحمولة للموظفين.

   4. تبادل المعلومات والملفات المشفر: من حيث المبدأ، يتم تشفير تبادل المعلومات والملفات مباشرة عبر طلب خاص. إذا كان يجب نقل البيانات الشخصية أو المعلومات السرية إلى خوادم لا يمكن إرسالها عبر تحميلات HTTPS المشفرة بـ TLS، فسيتم نقلها باستخدام بروتوكول نقل الملفات الآمن (SFTP) أو خدمة المغلف المشفر أو أي آلية مشفرة أخرى وفقًا لأحدث ما توصلت إليه التكنولوجيا.

   5. تشفير البريد الإلكتروني: من حيث المبدأ، يتم تشفير جميع رسائل البريد الإلكتروني التي يرسلها موظفو G-P باستخدام TLS. قد تكون الاستثناءات إذا كان خادم البريد المستلم لا يدعم TLS. يجب على العميل التأكد من أن خوادم البريد المقابلة المستخدمة في نطاق الطلب تدعم تشفير TLS.

3. مراقبة الدخول: تهدف ضوابط الدخول إلى منع استخدام ومعالجة البيانات المحمية بموجب قوانين حماية البيانات من قبل أشخاص غير مصرح لهم.

   1. استخدام طرق المصادقة: يتم الوصول إلى البيانات الشخصية دائمًا عبر البروتوكولات المشفرة: SSH أو SSL/TLS أو HTTPS أو البروتوكولات المماثلة. إجراء المصادقة لنظام تكنولوجيا المعلومات: المصادقة متعددة العوامل تسجيل الدخول إلى نظام تكنولوجيا المعلومات.

   2. الحظر التلقائي في حالة عدم النشاط: يتم قفل أجهزة الكمبيوتر المحمولة المستخدمة من قبل موظفي G-P بكلمة مرور أو حماية برقم تعريف شخصي عندما لا يستخدمها المستخدم. بالإضافة إلى ذلك، يتم إعداد قفل الشاشة التلقائي مع الحماية بكلمة مرور بعد 15 دقيقة من عدم النشاط.

   3. استخدام برامج مكافحة الفيروسات: أجهزة الكمبيوتر المحمولة التي يستخدمها موظفو G-P مزودة ببرامج مكافحة فيروسات متطورة يتم تحديثها باستمرار على جميع أنظمة تكنولوجيا المعلومات التشغيلية أو التجارية. من حيث المبدأ، لا يجوز تشغيل أي أجهزة كمبيوتر بدون حماية من الفيروسات المقيمة ما لم يتم اتخاذ تدابير أمنية مماثلة حديثة أو عدم وجود خطر. يجب عدم إلغاء تنشيط إعدادات الأمان الافتراضية أو التحايل عليها.

   4. "سياسة المكتب النظيف": يتم توجيه موظفي G-P بعدم طباعة أو تخزين البيانات الشخصية لأصحاب البيانات محليًا، وعدم ترك مواد العمل في مكان يمكن أن يطلع عليه أطراف ثالثة، وتخزين جميع مواد العمل بشكل صحيح. يتم تخزين المستندات التي يُلزم القانون G-P بالاحتفاظ بها في نسخ ورقية في خزائن مقفلة.

4. ضوابط الوصول داخل المنصة: تضمن ضوابط الوصول أن الأشخاص المصرح لهم باستخدام نظام المعالجة لا يمكنهم الوصول إلا إلى البيانات الشخصية التي يغطيها تصريح الوصول الخاص بهم.

   1. الأدوار والترخيص

      1. الأدوار والصلاحيات - وصول العميل: يمكن لمستخدمي العملاء عرض معلومات حساب زبون وتعديلها.

      2. منصة الأدوار والصلاحيات – الوصول المهني: يمكن للمستخدمين المحترفين عرض وتعديل معلوماتهم المهنية الخاصة. يمكن للمحترفين أيضًا الحصول على دور الوصول إلى العملاء بناءً على المتطلبات + الموافقة

      3. الأدوار ومنصة التفويض - الوصول الداخلي: يتمتع مستخدمو الوصول الداخلي بأدوار متنوعة. لديهم وصول متنوع لإنشاء ما يلي وعرضه وتحريره والموافقة عليه:

         • معلومات العميل

         • معلومات الفواتير

         • معلومات الشريك

         • معلومات سجلات الموظفين الفنيين

      4. يقتصر الوصول إلى نظام الإدارة بشكل عام على الموظفين المدربين في مجالات دعم زبون وتطوير المنتجات.

5. جدار الحماية كخدمة: تستخدمG-P جدار حماية خارجي كخدمة يسمح لها بمنح أو حظر الوصول إلى مواقع الويب للتأكد من أن الأنظمة لا يمكنها الوصول إلى المحتوى الضار وتقييد الوصول إلى المحتوى غير اللائق.

6. سجل تسجيل الدخول إلى الشبكة: يحتفظG-P بسجل لجميع أنشطة تسجيل الدخول.

7. قابلية الفصل: ضمان إمكانية معالجة البيانات الشخصية التي تم جمعها لأغراض مختلفة بشكل منفصل وفصلها عن البيانات والأنظمة الأخرى بطريقة تستبعد الاستخدام غير المخطط لهذه البيانات لأغراض أخرى.

   1. فصل بيئات التطوير والاختبار والتشغيل: لا يجوز نقل البيانات من بيئة التشغيل إلا إلى بيئات الاختبار أو التطوير إذا تم جعلها مجهولة تمامًا قبل النقل. يجب أن يتم تشفير نقل البيانات المجهولة أو عبر شبكة جديرة بالثقة. يجب أولاً اختبار البرنامج الذي سيتم نقله إلى بيئة التشغيل في بيئة اختبار متطابقة (" staging "). لا يجوز استخدام برامج تحليل الأخطاء أو إنشاء/تجميع البرامج إلا في بيئة التشغيل إذا كان ذلك لا يمكن تجنبه. هذا هو الحال بشكل خاص إذا كانت حالات الخطأ تعتمد على البيانات التي سيتم تزويرها بسبب متطلبات إخفاء الهوية عند النقل إلى بيئات الاختبار.

   2. الفصل في الشبكات: يقوم G-P بفصل شبكاته وفقًا للمهام. يتم استخدام الشبكات التالية بشكل دائم: بيئة التشغيل (" Production ")، وبيئة الاختبار (" Staging "، «Sandbox»)، وبيئة التطوير («Dev»)، وموظفو تكنولوجيا المعلومات بمكتب التطوير («Dev»). بالإضافة إلى هذه الشبكات، يتم إنشاء شبكات منفصلة أخرى حسب الحاجة، على سبيل المثال، لاختبارات الاستعادة واختبارات الاختراق. اعتمادًا على الإمكانيات التقنية، يتم فصل الشبكات إما ماديًا أو عن طريق الشبكات الافتراضية.

8. التوافر التحكم: تتخذG-P الخطوات التالية لضمان حماية البيانات الشخصية من التلف أو الفقدان العرضي.

   1. إجراءات حماية البيانات / النسخ الاحتياطي: لضمان التوافر الكافي، تقوم G-P بتنفيذ لقطات يومية لقاعدة بياناتها مع النسخ المتماثل إلى منطقة مختلفة. يتم أيضًا اتخاذ تدابير لضمان منح الموظفين ذوي الاحتياجات الوظيفية لمراجعة البيانات حق الوصول فقط إلى مجموعات البيانات المتماثلة.

   2. التكرار الجغرافي فيما يتعلق بالبنية التحتية للخوادم للبيانات الإنتاجية والنسخ الاحتياطية

   3. إدارة حوادث تكنولوجيا المعلومات (" إدارة الاستجابة للحوادث "): هناك مفهوم وإجراءات موثقة للتعامل مع الحوادث والأحداث المتعلقة بالسلامة. ويشمل ذلك تخطيط وإعداد الاستجابة للحوادث، وإجراءات مراقبة وكشف وتحليل الأحداث ذات الصلة بالأمن وتحديد المسؤوليات المقابلة وقنوات الإبلاغ في حالة انتهاك حماية البيانات الشخصية في إطار المتطلبات القانونية.

2) التدابير التنظيمية لضمان خصوصية البيانات وحمايتها

وضعت G-P التدابير التنظيمية التالية لضمان عمل المنظمة بطريقة تلبي متطلبات الأمن والحماية.

1. التعليمات التنظيمية: قامتG-P بتطوير برنامج لحوكمة البيانات، وهي تعمل على تطويره، ويتضمن البرنامج سياسات وإجراءات وإرشادات يجب على الموظفين اتباعها. تتضمن الوثائق كيفية تحديد وإدارة مشكلات خصوصية البيانات، وأفضل الممارسات لضمان الامتثال للخصوصية، وسياسات معالجة حوادث الخصوصية.
2. الالتزام بالسرية وحماية البيانات: قامتG-P بتطوير برنامج لحوكمة البيانات، بما في ذلك السياسات والإجراءات والمبادئ التوجيهية التي يجب على الموظفين اتباعها، وهي تعمل على تطويره حاليًا. يلتزم جميع الموظفين والمتعاقدين كتابياً بالحفاظ على السرية وحماية البيانات بالإضافة إلى القوانين الأخرى ذات الصلة. يتلقى جميع الموظفين تدريبًا أمنيًا على الخصوصية &. تُجرى عمليات تدقيق داخلية منتظمة بشأن حماية البيانات وأمن المعلومات. تتم عمليات التدقيق على أساس معايير/مخططات الاختبار الشائعة. يتم توجيه موظفي ومتعاقدي G-P لمعالجة البيانات الشخصية لأسباب قانونية فقط، وفقًا للعقود المعمول بها مع Zbon والمهنيين، مع مراعاة أي موافقة صريحة مقدمة أو محجوبة من قبل صاحب البيانات، وبما يتماشى مع أي واجب قانوني للمنظمة.
3. التدريب على حماية البيانات: يتلقى جميع الموظفين تدريبًا على الخصوصية والأمان، والذي يظل متاحًا للمراجعة في أي وقت على منصة التدريب G-P .
4. ضوابط الوصول المادي: لدىG-P الضوابط المادية التالية لمنع الأشخاص غير المصرح لهم من الوصول إلى معدات أنظمة تكنولوجيا المعلومات المستخدمة في المعالجة.
   1. حماية الأبواب الإلكترونية: أبواب الدخول إلى مباني مكاتب G-P مغلقة دائمًا ومؤمنة إلكترونيًا. يتم فتح الأبواب عبر جهاز إرسال إلكتروني شخصي.
   2. التوزيع المتحكم به للمفاتيح: يتم تخصيص المفاتيح لموظفي G-P بشكل مركزي وموثق. يمكن تعطيل هذه الأجهزة/المفاتيح الإلكترونية مركزياً من قبل كل مدير مكتب أو قسم الموارد البشرية.
   3. الإشراف على الأشخاص الخارجيين ومرافقتهم: لا يجوز منح مقدمي الخدمات الخارجيين والأطراف الثالثة الأخرى حق الوصول إلى المباني إلا من خلال تصريح مسبق أو عند مرافقتهم من قبل مسؤول G-P. يطبق G-P سياسته المكتوبة الخاصة بالزوار عند دعوة الزوار إلى المبنى.
   4. تأمين المباني ذات الحاجة المتزايدة للحماية: المباني أو الخزانات ذات متطلبات الحماية المتزايدة، مثل المكاتب القانونية ومواقع عمليات معينة، مجهزة بخزائن وأدراج قابلة للقفل. يجب قفل الخزانات والأدراج التي يتم فيها الاحتفاظ بالمستندات القانونية والعقود والوثائق السرية في جميع الأوقات باستثناء عندما تكون قيد الاستخدام.
   5. الأبواب والنوافذ المغلقة: يتم توجيه الموظفين تنظيميًا لإبقاء النوافذ والأبواب مغلقة أو مقفلة خارج ساعات العمل.
5. إمكانية الاستعادة: يضمن G-P إمكانية استعادة الأنظمة المستخدمة في حالة حدوث عطل مادي أو تقني.

   1. اختبارات منتظمة لاستعادة البيانات (" Restore-Tests "): يتم إجراء اختبارات الاستعادة الكاملة المنتظمة لضمان إمكانية الاسترداد في حالة الطوارئ/الكوارث.

   2. خطة الطوارئ (" مفهوم التعافي من الكوارث "): هناك مفهوم لعلاج حالات الطوارئ/الكوارث وخطة الطوارئ المقابلة. تضمن G-P استعادة جميع الأنظمة بناءً على النسخ الاحتياطية للبيانات، عادةً في غضون 48 ساعة.

   3. تدابير الاستعراض والتقييم: عرض إجراءات الاستعراض والتقييم المنتظم لفعالية التدابير التقنية والتنظيمية.

6. فريق الخصوصية: لدى المنظمة مكتب عالمي لخصوصية البيانات مكلف بتخطيط وتنفيذ وتقييم وتكييف التدابير في مجال حماية البيانات.

7. إدارة المخاطر: هناك عملية لتحليل وتقييم وتخصيص المخاطر ولاشتقاق التدابير على أساس هذه المخاطر.

3) مراجعة مستقلة لأمن المعلومات

1. أداء عمليات التدقيق: يتم إجراء عمليات التدقيق الداخلي المتعلقة بحماية البيانات وأمن المعلومات بانتظام. تتم عمليات التدقيق على أساس معايير/مخططات الاختبار الشائعة.
2. مراجعة الامتثال لسياسات ومعايير الأمن: يتم التحقق بانتظام من الامتثال لإرشادات ومعايير الأمن المعمول بها ومتطلبات الأمن الأخرى لمعالجة البيانات الشخصية. حيثما أمكن، يتم إجراء هذه الفحوصات على أساس عشوائي وغير متوقع.
3. التحقق من الامتثال للمواصفات الفنية: يتم إجراء عمليات فحص منتظمة للثغرات الأمنية، سواء كانت آلية أو يدوية، بواسطة قسم تكنولوجيا المعلومات أو موظفين مؤهلين آخرين للتحقق من أمان التطبيقات والبنية التحتية، بالإضافة إلى التطوير المنتظم للمنتج. يتم إجراء اختبارات الاختراق التفصيلية من قبل مزود خدمة خارجي لفحص التطبيقات والبنية التحتية على وجه التحديد بحثًا عن نقاط الضعف.
4. المعالجة بناءً على التعليمات: يتم توجيه موظفي G-P لمعالجة البيانات الشخصية لأسباب قانونية فقط، وفقًا للعقود المعمول بها مع Zbon والمهنيين، مع مراعاة أي موافقة صريحة مقدمة أو محجوبة من قبل صاحب البيانات، وبما يتوافق مع أي واجب قانوني للمنظمة.
5. اختيار دقيق للموردين: تلتزم G-P بعملية التأهيل المسبق للموردين عند اختيار البائعين والموردين الذين قد يتعاملون مع البيانات المحمية. تتضمن هذه العملية تعليقات من أقسام الشؤون المالية والقانونية/الخصوصية وتتضمن تقييم المخاطر والتأهيل الأمني المسبق وخطوات اعتماد الوثائق. سيُطلب من الموردين الذين سيقومون بمعالجة البيانات المحمية إثبات التزامهم بقوانين خصوصية البيانات المعمول بها، بما في ذلك المادة 28 من اللائحة العامة لحماية البيانات (GDPR) للبيانات المشمولة.

 

المرفق الثالث 

قائمة المعالجات الفرعية

 

معالج فرعي	الموقع ومعلومات الاتصال	وصف المعالجة
الشركات التابعة G-P	https://www.globalization-partners.com/اتصل بنا/	توفير المنصة وإدارة علاقات العملاء
أكوماتيكا	3933 ليك واشنطن بوليفارد NE #350، كيركلاند، WA 98033، الولايات المتحدة الأمريكية	خدمات مالية
خدمة أمازون ويب	ص. ب. صندوق 81226 سياتل، واشنطن 98108-1226، الولايات المتحدة الأمريكية	الاستضافة - مزود الخدمات السحابية
مايكروسوفت	شركة مايكروسوفت ون مايكروسوفت واي ريدموند، واشنطن 98052 الولايات المتحدة الأمريكية هاتف: (+1) 425-882-8080.	دعم عمليات الأعمال للاتصالات (البريد الإلكتروني) وإدارة الخدمات
أطلسي	350 شارع بوش الطابق 13 سان فرانسيسكو، كاليفورنيا 94104، الولايات المتحدة الأمريكية +1 415 701 1110	دعم عمليات الأعمال لإدارة الخدمات
دوكوساين	DocuSign International (EMEA) المحدودة، انتباه: فريق الخصوصية، 5 هانوفر كواي، الطابق الأرضي، دبلن 2، جمهورية أيرلندا	إدارة المستندات
سيلزفورس. كوم	برج ساليسفورس، 415 شارع ميشن، 3الطابق الثالث، سان فرانسيسكو، كاليفورنيا 94105، الولايات المتحدة الأمريكية 1-800-387-3285	دعم العمليات التجارية لإدارة علاقات العملاء (CRM)
زيندسك	989 ماركت ستريت سان فرانسيسكو، 94103 كاليفورنيا ، الولايات المتحدة الأمريكية zendesk.com 888-670-4887	استفسارات مكتب المساعدة لدعم Z+
Workday	6110 ستونريدج مول رود بليسانتون، كاليفورنيا 94588، الولايات المتحدة الأمريكية	دعم عمليات الأعمال لإدارة كشوف المرتبات والمزايا والموارد البشرية وبيانات الموظفين.
الخدمة الآن	2225 لوسون لين سانتا كلارا، كاليفورنيا، 95054 الولايات المتحدة الأمريكية	دعم عمليات الأعمال لإدارة خدمات تكنولوجيا المعلومات والعمليات، وتجارب الموظف والزبون من خلال (سير عمل آلي قائم على السحابة)
قواعد البيانات	160 شارع سبير، الطابق 15في سان فرانسيسكو، كاليفورنيا 94105 1-866-330-0121 الولايات المتحدة الأمريكية	البنية التحتية لمستودع البيانات السحابية.
داتادوج	620 8الشارع 45الطابق الثاني نيويورك، نيويورك 10018 الولايات المتحدة الأمريكية	أداة مراقبة الخدمة وتصحيح الأخطاء
Wise	شارع لويز 54، الغرفة s52، 1050 بروكسل بلجيكا	معالج الدفع عبر الإنترنت
جوجل	1600 مدرج بوكوي، ماونتن فيو، كاليفورنيا 94043	دعم عمليات الأعمال للاتصالات (البريد الإلكتروني) وتخزين المستندات الداخلية