اتفاقية معالجة البيانات

الملحق رقم 3 بموجب اتفاقية الترخيص («الاتفاقية») المبرمة بين SIA ATOM Tech ورقم التسجيل: 40203185808 («المرخص») و «المرخص له».

‍

تم إبرام اتفاقية معالجة البيانات هذه بواسطة شركة SIA ATOM Tech وفيما بينها، رقم التسجيل: 40203185808، العنوان: Aldaru iela 10-4، LV-1050، ريغا، لاتفيا («المرخص») ومستخدم خدمات المرخص («المرخص له») الذي وافق على الالتزام باتفاقية معالجة البيانات هذه («اتفاقية معالجة البيانات»).

‍

1. تعريفات

1.1. «الاتفاقية» تعني العلاقة التعاقدية بين المرخص والمرخص له والتي تحكمها الاتفاقية التي تم إرفاق اتفاقية معالجة البيانات بها؛

1.2. «GDPR» تعني اللائحة (الاتحاد الأوروبي) 2016/679 للبرلمان الأوروبي والمجلس بتاريخ 27 أبريل 2016 بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وحرية حركة هذه البيانات، وإلغاء التوجيه 95/46/EC؛

1.3. حزمة «موضوع الترخيص» من البرامج التي تم تطويرها وصيانتها من قبل المرخص والتي تم ترخيصها للمرخص له بموجب الاتفاقية؛

1.4. «الخدمات» تعني الخدمات المقدمة بموجب الاتفاقية المبرمة بين المرخص والمرخص له والتي تنظمها اتفاقية معالجة البيانات هذه؛

1.5. يجب أن يكون للمصطلحات الأخرى المستخدمة في هذا الملحق نفس المعنى كما في اللائحة العامة لحماية البيانات، بما في ذلك مصطلحات مثل «مراقب البيانات» و «معالج البيانات» و «البيانات الشخصية» و «موضوع البيانات» و «المعالجة» وغيرها من المصطلحات حيث يتطلب السياق ذلك.

‍

2. النطاق والأدوار

2.1. في نطاق الخدمات المقدمة بموجب الاتفاقية، بما في ذلك ترخيص موضوع الترخيص، سيحصل المرخص على حق الوصول إلى البيانات الشخصية لمستخدمي موضوع الترخيص. يلتزم المرخص بمعالجة البيانات الشخصية فقط على النحو المطلوب للوفاء بالاتفاقية بهدف نهائي هو دعم مشاركة المركبات والتأجير الرقمي وأعمال النقل الخاصة بالمرخص له من خلال استخدام موضوع الترخيص.

2.2. لأغراض هذه الاتفاقية، يعتبر المرخص معالج البيانات، بينما يجب أن يكون المرخص له هو مراقب البيانات.

2.3. يحتفظ المرخص له، بصفته مراقب البيانات، بالمسؤولية والمسؤولية الوحيدة عن البيانات الشخصية التي تتم معالجتها باستخدام موضوع الترخيص. كمراقب بيانات، يحدد المرخص له البيانات الشخصية التي يجب جمعها عن عملائه، وكيفية استخدامها، ولأي أغراض.

2.4. المرخص له بصفته مراقب البيانات مسؤول عن إخطار موضوعات البيانات المعنية بمعالجة البيانات كما هو مطلوب بموجب القوانين المعيارية المعمول بها، بما في ذلك المادتان 13 و 14 من اللائحة العامة لحماية البيانات. يجوز للمرخص له استخدام الترخيص الخاضع لتسليم إشعارات الخصوصية ذات الصلة للعملاء الذين يستخدمون خدمته عبر موضوع الترخيص.

‍

3. البيانات الشخصية

3.1. البيانات الشخصية التي تتم معالجتها هي تلك الخاصة بمستخدمي تطبيق الهاتف المحمول الخاضع للترخيص وتتضمن الأنواع التالية من البيانات الشخصية: بيانات التعريف الشخصية بما في ذلك الاسم واللقب وبيانات الاتصالات (مثل الهاتف وعنوان البريد الإلكتروني) وسجل المشاوير والجهاز الذي يستخدمه المستخدمون واللغة والرصيد المدفوع للمشاوير. يمكن معالجة البيانات الشخصية الأخرى بناءً على طلب المرخص له.

3.2. يمكن للمرخص له الوصول إلى جميع البيانات الشخصية التي تم إنشاؤها ومعالجتها من قبل المرخص.

‍

4. معالجة البيانات الشخصية

4.1. قد يقوم المرخص بمعالجة البيانات الشخصية:

4.1.1. للحفاظ على عمل موضوع الترخيص الذي يمكّن المستخدمين من استئجار المركبات وطلب المشاوير باستخدام تطبيق الهاتف المحمول؛

4.1.2. السماح للمرخص له بمراقبة الرحلات وسجل الرحلات وإدارة العملاء والحصول على الإحصاءات؛

4.1.3. تنظيم جمع المركبات وصيانتها؛

4.1.4. مراقبة المدفوعات الواردة والكشف عن المدينين؛

4.1.5. تحديد أي حوادث والتحقيق فيها، وتحسين أداء موضوع الترخيص.

4.2. يمكن للمرخص استخدام البيانات التي تمت معالجتها لتنفيذ الاتفاقية لحساب الرسوم المفروضة بموجب الاتفاقية.

4.3. مع الأخذ في الاعتبار تكاليف التنفيذ وطبيعة ونطاق وسياق وأغراض معالجة البيانات الشخصية بالإضافة إلى مخاطر اختلاف الاحتمالية والشدة، يجب على المرخص تنفيذ التدابير الفنية والتنظيمية لحماية البيانات الشخصية، والتي تشمل:

4.3.1. الأمن المادي: يحمي المرخص البيانات الشخصية من الضرر الناشئ عن الوصول إلى مرافق المرخص أو أجهزته أو شبكته من خلال حماية المرافق من الوصول غير المصرح به، وتقييد الوصول إلى هذه المرافق للموظفين المعتمدين فقط؛

4.3.2. الوصول: يضمن المرخص أن الموظفين المصرح لهم فقط يمكنهم الوصول إلى البيانات الشخصية التي تتم معالجتها بموجب الاتفاقية وفقط بالقدر المطلوب لإنجاز المهام بموجب الاتفاقية؛

4.3.3. التشفير: يتيح المرخص إجراءات الأمان التي توفرها Amazon Web Services لحماية البيانات الشخصية، بما في ذلك تشفير البيانات الشخصية المخزنة على Amazon Web Services؛

4.3.4. معالجة حركة المرور: لضمان توفر البيانات والخدمات، يتم استخدام موازن التحميل لموازنة الأحمال المتغيرة لحركة المرور الواردة.

4.4. تخضع التدابير الفنية والتنظيمية للتقدم التقني والمزيد من التطورات. وفي هذا الصدد، يُسمح للمرخص بتنفيذ تدابير بديلة مناسبة. يجب أن يكون مستوى الأمان للتدابير المحددة مناسبًا.

4.5. لا يجوز للمرخص تصحيح أو مسح أو تقييد معالجة البيانات الشخصية التي تتم معالجتها نيابة عن المرخص له وفقًا لسلطته الخاصة، ولكن فقط وفقًا لتعليمات موثقة من المرخص له. إذا اتصل الشخص المعني بالمرخص مباشرة، يجب على المرخص إرسال هذا الطلب على الفور إلى المرخص له.

4.6. بقدر ما يشمل نطاق الاتفاقية، يجب ضمان مفهوم الحذف، والحق في النسيان، والتصحيح، ونقل البيانات، والمعلومات مباشرة من قبل المرخص له، في حين يجوز للمرخص تقديم مساعدته عند الضرورة لتنفيذ هذا الطلب.

4.7. يجب على المرخص الحفاظ على سرية البيانات الشخصية. عند تنفيذ العمل، يجب على المرخص أن يستخدم حصريًا الموظفين الملتزمين بالسرية، والذين سبق أن تم إطلاعهم على أحكام حماية البيانات ذات الصلة. يجوز للمرخص وأي شخص تحت سيطرته لديه حق الوصول إلى البيانات الشخصية معالجة هذه البيانات حصريًا وفقًا لتعليمات المرخص له، بما في ذلك الصلاحيات الممنوحة في هذه الاتفاقية ما لم يكونوا ملزمين قانونًا بمعالجتها.

4.8. عند الطلب، يجب على المرخص له والمرخص التعاون مع السلطة الإشرافية في أداء واجباتهم وإبلاغ بعضهم البعض دون تأخير بأي طلبات أو إخطارات تتعلق بموضوع الترخيص. ينطبق هذا أيضًا على التحقيقات في نطاق المخالفات الإدارية وكذلك على مطالبات المسؤولية للأشخاص المتضررين أو الأطراف الثالثة أو المطالبات الأخرى المتعلقة بموضوع الترخيص.

4.9. يجب على المرخص مراقبة العمليات الداخلية والتدابير الفنية والتنظيمية بانتظام لضمان تنفيذ المعالجة في منطقة مسؤوليته وفقًا لمتطلبات تشريعات حماية البيانات المعمول بها وحماية حقوق موضوع البيانات.

4.10. يجب فهم علاقات التعاقد من الباطن بالمعنى المقصود في هذا الحكم على أنها تعني تلك الخدمات التي تتعلق مباشرة بتقديم الخدمة وتسليم موضوع الترخيص. قد يقوم المرخص بالتعاقد من الباطن على بعض عمليات معالجة البيانات الشخصية مع مقاولين فرعيين آخرين. تسمح وحدة التحكم في البيانات بموجب هذا للمرخص باستخدام أي مقاولين من الباطن وفقًا لتقدير المرخص بقدر ما هو ضروري لأداء الاتفاقية. قد يشمل هؤلاء المقاولون من الباطن مقاولين فرعيين من خارج الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية، بما في ذلك، على سبيل المثال لا الحصر، Amazon Web Services. يقوم المرخص بإبلاغ المرخص له بأي تغييرات مقصودة تتعلق بإضافة أو استبدال المقاولين من الباطن الآخرين.

‍

5. الحقوق والواجبات

5.1. يجب على المرخص دعم المرخص له في الامتثال للالتزامات المحددة في المواد من 32 إلى 36 من اللائحة العامة لحماية البيانات فيما يتعلق بأمن البيانات الشخصية والتزامات الإبلاغ في حالة تسرب البيانات وتقييمات تأثير حماية البيانات والمشاورات المسبقة. وتشمل هذه، على سبيل المثال لا الحصر:

5.1.1. الالتزام بالإبلاغ عن انتهاكات البيانات الشخصية إلى المرخص له دون تأخير؛

5.1.2. الالتزام بدعم المرخص له في سياق واجبه بإبلاغ موضوع البيانات وإتاحة جميع المعلومات ذات الصلة له في هذا الصدد دون تأخير؛

5.1.3. دعم المرخص له في تقييم تأثير حماية البيانات؛

5.1.4. دعم المرخص له في المشاورات المسبقة مع السلطة الإشرافية.

5.2. يحق للمرخص الحصول على مكافأة مقابل خدمات الدعم غير المدرجة في مواصفات الخدمة.

5.3. يتمتع المرخص له بسلطة إصدار التعليمات المتعلقة بمعالجة البيانات الشخصية.

‍

6. حذف البيانات الشخصية وإعادتها

6.1. لا يجوز إنشاء نسخ أو نسخ مكررة من البيانات الشخصية دون علم المرخص له. يستثني هذا النسخ الاحتياطية وكذلك البيانات المطلوبة للامتثال لمتطلبات الاحتفاظ القانونية.

6.2. أثناء صلاحية الاتفاقية وكذلك عند إنهاء الاتفاقية، يجوز للمرخص له نسخ أو استخراج البيانات الشخصية المخزنة في موضوع الترخيص والبرامج المقابلة. عند إنهاء الاتفاقية، قد يطلب المرخص له من المرخص حذف البيانات الشخصية المخزنة أو المعالجة بطريقة أخرى باستخدام موضوع الترخيص.

6.3. قد يحتفظ المرخص بالوثائق التي تعمل كدليل على المعالجة السليمة للبيانات الشخصية والمتوافقة مع الطلب وفقًا لفترات الاحتفاظ ذات الصلة بعد مدة الاتفاقية. ومع ذلك، من أجل الإغاثة الخاصة به، يجوز للمرخص أيضًا إعادتها إلى المرخص له في نهاية الاتفاقية.

6.4. بناءً على طلب المرخص له، يتيح المرخص للمرخص له جميع المعلومات اللازمة لإثبات الامتثال للالتزامات المنصوص عليها في هذا الملحق والسماح بعمليات التدقيق والمساهمة فيها، بما في ذلك عمليات التفتيش التي يجريها مراقب البيانات أو مدقق آخر مفوض من قبل مراقب البيانات.

‍

7. التغييرات في اتفاقية معالجة البيانات

7.1. قد تخضع اتفاقية معالجة البيانات هذه للتغييرات من وقت لآخر. يجب على المرخص إبلاغ المرخص له بأي تغييرات جوهرية في اتفاقية معالجة البيانات هذه قبل حدوث التغييرات.