اتفاقية معالجة البيانات

المبرمة بين:

Harmony Inc. ومقرها المسجل في الولايات المتحدة، ديلاوير، 8 The Green, Ste. R., في مدينة Dover بمقاطعة Kent، الرمز البريدي 19901، ممثلة بواسطة Grzegorz Kazulak

يتم الإشارة إليها فيما يلي باسم "المعالج"

و

الشركة، أي عميل من Harmony, Inc.

يتم الإشارة إليها فيما يلي باسم "مراقب البيانات"

يُشار إليهما أيضًا مجتمعين باسم "الطرفان".

§1. التعريفات

المصطلحات المستخدمة في هذه الاتفاقية لها المعاني التالية:

1. Harmony – منصة تسمح لك بتفريغ المحادثات (من الصوت والفيديو) وتوحيد وتحليل المحادثات عبر منصات الاتصال المختلفة، المتاحة على: Harmony

2. GDPR – اللائحة (EU) 2016/679 الصادرة عن البرلمان الأوروبي والمجلس بتاريخ 27 أبريل 2016 بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وحرية انتقال هذه البيانات وإلغاء التوجيه 95/46/EC (اللائحة العامة لحماية البيانات) (OJ EU.L رقم 119، ص. 1)؛

3. الاتفاقية – اتفاقية معالجة البيانات الحالية؛

4. الاتفاقية الرئيسية – اتفاقية بين مراقب البيانات، وهو مستخدم لـ Harmony، والمعالج؛

5. البيانات الشخصية الحساسة – يكون لها المعنى المخصص للمصطلحات "البيانات الحساسة"، "المعلومات الحساسة"، "فئات خاصة من البيانات الشخصية"، أو مصطلحات مماثلة بموجب قوانين حماية البيانات المعمول بها، وتشمل البيانات الشخصية التي تكشف عن الأصل العرقي أو الإثني، أو الآراء السياسية، أو المعتقدات الدينية أو الفلسفية، أو الانتماء النقابي، أو البيانات الجينية أو البيانات البيومترية لغرض تحديد هوية الشخص الطبيعي بشكل فريد، أو البيانات المتعلقة بالصحة أو البيانات المتعلقة بالحياة الجنسية أو التوجه الجنسي للشخص الطبيعي.

§2. موضوع الاتفاقية

بموجب الاتفاقية، يكلف مراقب البيانات المعالج، بموجب المادة 28(3) من GDPR، بمعالجة البيانات الشخصية إلى الحد المحدد في §3.

§3. نطاق التكليف

1. موضوع التكليف بموجب الاتفاقية هو أي بيانات شخصية سيعالجها المعالج نيابة عن مراقب البيانات فيما يتعلق بتنفيذ الاتفاقية الرئيسية، حيث يكون مراقب البيانات هو مراقب البيانات أو المعالج لها بموجب معنى GDPR.

2. تشمل البيانات المشار إليها في الفقرة 1، على وجه الخصوص، البيانات العادية – أي البيانات الشخصية للموظفين والشركاء لمراقب البيانات والأشخاص المخولين من قبل مراقب البيانات لاستخدام Harmony وعملاء النهاية – أي أفراد يتواصلون مع مراقب البيانات أو يتم الاتصال بهم من قبله باستخدام الخدمات، أو يتم معالجة بياناتهم الشخصية من قبل مراقب البيانات بطريقة أخرى من خلال الخدمات، بموجب الاتفاقية الرئيسية، مثل:

أ) بيانات الهوية: تشمل الاسم، واسم العائلة، والاسم الأوسط أو اسم الأب، واللقب؛

ب) بيانات الاتصال: تشمل عنوان البريد الإلكتروني ورقم الهاتف؛

ج) البيانات المالية: تشمل معلومات عن المعاملات المالية، مثل تفاصيل الحساب المصرفي ومعلومات بطاقة الائتمان وسجل الدفع؛

د) البيانات البيومترية: تشمل تسجيلات الصوت؛

هـ) البيانات التقنية: تشمل المعلومات المجمعة عبر وسائل آلية، مثل عناوين IP ومعلومات الجهاز وسجل التصفح وملفات تعريف الارتباط؛

و) بيانات التوظيف: تشمل المسمى الوظيفي ومعلومات صاحب العمل؛

ز) بيانات الصحة: تشمل البيانات الشخصية التي تتعلق بالصحة الجسدية أو النفسية للفرد – بما في ذلك استخدام خدمات الرعاية الصحية – والتي تكشف معلومات عن صحتهم؛

ح) التفضيلات الشخصية: تشمل التفضيلات الشخصية والاهتمامات والخصائص، مثل تفضيلات اللغة وتفضيلات التسويق؛

ط) وبيانات أخرى ناتجة عن خصوصية الخدمات المقدمة من المعالج، والتي يستخدمها مراقب البيانات بموجب الاتفاقية الرئيسية.

3. سيعالج المعالج جميع فئات البيانات الشخصية التي يقدمها مراقب البيانات إلى Harmony. نظرًا لأن تراكم البيانات الشخصية على خوادمنا يحدث تلقائيًا أثناء استخدامك للخدمة، فإن المعالج لا يملك تحكمًا فوريًا في كيفية تصنيف مراقب البيانات لمثل هذه المعلومات الشخصية.

4. لا يقدم مراقب البيانات البيانات الشخصية الحساسة إلى المعالج دون موافقة خطية مسبقة من المعالج أو على أساس الاتفاقية الرئيسية.

§4. تحديد الغرض والطبيعة ومدة تكليف معالجة البيانات

1. تتم معالجة البيانات الشخصية بموجب الاتفاقية بتكليف بموافقة وتعليمات موثقة من مراقب البيانات (كما هو مذكور في المادة 28(3)(a) من GDPR والمادة 29 من GDPR)، لغرض استخدام مراقب البيانات لخدمات المعالج بموجب الاتفاقية الرئيسية، على وجه الخصوص: استخدام Harmony، ومعالجة الطلبات والشكاوى المتعلقة باستخدام Harmony.

2. يُعتبر إبرام الاتفاقية الرئيسية والاتفاقية، وكذلك اختيار مراقب البيانات لخدمات المعالج بموجب الاتفاقية الرئيسية، من قبل الطرفين الأمر الموثق المشار إليه في الفقرة 1.

3. ستتم معالجة البيانات المكلفة من مراقب البيانات من قبل المعالج خلال مدة الاتفاقية الرئيسية على أساس دائم أو عرضي، اعتمادًا على طبيعة النشاط أو الخدمة المحددة المنفذة بموجب الاتفاقية الرئيسية.

4. خلال ثلاثة أشهر من تاريخ إنهاء الاتفاقية أو استلام طلب موثق بحذف البيانات الشخصية من مراقب البيانات، يقوم المعالج بـ:

أ) حذف البيانات المكلفة بها من جميع وسائط التخزين والبرامج والتطبيقات، بما في ذلك أي نسخ منها، أو

ب) إخفاء هوية البيانات المشمولة بطلب الحذف بشكل لا رجعة فيه،

ما لم ينتج عن القانون التزام بمعالجتها بشكل إضافي.

§5. حقوق والتزامات الطرفين

1. يتعهد مراقب البيانات بأن أي بيانات شخصية مكلفة للمعالج بموجب الاتفاقية ستتم معالجتها من قبل مراقب البيانات:

أ) على أحد الأسس القانونية ذات الصلة المنصوص عليها في المادة 6(1) من GDPR، أو

ب) نيابة عن مراقب بيانات آخر، ويتعهد مراقب البيانات آنذاك للمعالج بأن:

1) ستتم معالجة البيانات من قبل مراقب بياناتهم على أحد الأسس القانونية ذات الصلة المحددة في المادة 6(1) من GDPR؛

2) مخول بتعيين معامل فرعي (تكليف إضافي) لمعالجة هذه البيانات الشخصية.

2. يتعهد المعالج:

أ) بموجب المادة 28(3)(e) من GDPR، بالتعاون مع مراقب البيانات، إلى أقصى حد ممكن، من خلال التدابير التقنية والتنظيمية المناسبة، في الاستجابة لطلبات صاحب البيانات الشخصية في ممارسة حقوقه المنصوص عليها في الفصل الثالث من GDPR، ولا سيما فيما يتعلق بالمعلومات والاتصال الشفاف، والوصول إلى البيانات، والتزام الإعلام، والحق في التصحيح والحذف وتقييد المعالجة وقابلية نقل البيانات، والحق في الاعتراض؛ يحق للمعالج الحصول على تعويض إضافي في حالة هذا التعاون مع مراقب البيانات؛

ب) وفقًا للمادة 28(3)(f) من GDPR، مساعدة مراقب البيانات في الامتثال للالتزامات المنصوص عليها في المواد 32-36 من GDPR، ولا سيما التزام ضمان أمان المعالجة، والإبلاغ عن خرق حماية البيانات الشخصية إلى السلطة الرقابية، وإبلاغ صاحب البيانات بخرق حماية البيانات الشخصية، وإجراء تقييم تأثير حماية البيانات الشخصية؛

ج) بموجب المادة 28(3)(g) من GDPR، عند إنهاء خدمات المعالجة اعتمادًا على قرار مراقب البيانات، حذف أو إرجاع جميع البيانات الشخصية إلى مراقب البيانات وحذف جميع النسخ الموجودة منها، ما لم تتطلب الأحكام القانونية الإلزامية تخزين البيانات الشخصية، وفي هذه الحالة تنطبق §4(4) من الاتفاقية؛

د) وفقًا للمادة 28(3)(h) من GDPR، توفير جميع المعلومات اللازمة لمراقب البيانات لإثبات الامتثال للالتزامات المنصوص عليها في المادة 28 من GDPR وتمكين مراقب البيانات أو المدقق المخول من قبله من إجراء وإجراء عمليات التدقيق، بما في ذلك عمليات التفتيش؛

هـ) إبلاغ مراقب البيانات فورًا إذا، في رأي المعالج، يشكل الأمر الصادر إليه انتهاكًا لـ GDPR أو لوائح وطنية أو أوروبية أخرى؛

و) ضمان أن جميع المعالجين الذين سيستخدمهم المعالج مطلوب منهم الامتثال لالتزامات حماية البيانات نفسها كما في المعالج بموجب الاتفاقية.

3. يمكن ممارسة حق التدقيق المشار إليه في الفقرة 2.4 خلال ساعات عمل المعالج، أي من الاثنين إلى الجمعة، من 9 صباحًا إلى 5 مساءً، باستثناء العطلات الرسمية، ومع إشعار مسبق لا يقل عن أسبوعين ولا يجب أن يتداخل مع عمل المعالج. أثناء التدقيق، يقدم المعالج لمراقب البيانات المعلومات اللازمة لإثبات الامتثال للالتزامات المنصوص عليها في المادة 28 من GDPR. لا يتم إجراء التدقيق أكثر من مرة واحدة في السنة التقويمية ولا تستغرق أكثر من 3 أيام عمل. تتحمل مراقب البيانات جميع التكاليف المرتبطة بإجراء هذه التدقيقات.

4. إذا تم اكتشاف أوجه قصور أثناء التدقيق، يوافق المعالج على تصحيحها خلال الإطار الزمني المتفق عليه من قبل الطرفين.

5. المعالج مخول بمعالجة وتكليف معالجة البيانات الشخصية المشمولة بالاتفاقية للمعالجة الفرعية لكيانات خارجية، خارج المنطقة الاقتصادية الأوروبية (EEA):

أ) سيعطي مراقب البيانات الموافقة عبر البريد الإلكتروني لتكليف كيانات أخرى بمعالجة البيانات خارج المنطقة الاقتصادية الأوروبية؛

ب) في حالة التزام المعالج بنقل البيانات الشخصية بموجب القوانين المعمول بها عمومًا، يُعلم المعالج مراقب البيانات بهذا الالتزام قبل النقل، ما لم يحظر القانون صراحةً على المعالج القيام بذلك بسبب مصلحة عامة مهمة.

6. نظرًا لأن المعالج ينقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية، سيتمثل المعالج في المتطلبات المحددة المنصوص عليها في الفصل الخامس من اللائحة "نقل البيانات الشخصية إلى دول ثالثة أو منظمات دولية"، وعلى وجه الخصوص، ضمان أن يتم نقل البيانات الشخصية على أساس آليات قانونية مناسبة، ولا سيما قرارات التنفيذ الصادرة عن المفوضية، والبنود التعاقدية القياسية أو الأدوات القانونية المماثلة الأخرى المنصوص عليها في GDPR. قائمة البنود القياسية المستخدمة مرفقة كالملحق 1 للاتفاقية.

7. يتعهد مراقب البيانات، بموجب المادة 13(1)(f) من GDPR أو المادة 14(1)(f) من GDPR، بإبلاغ الأشخاص الذين ستكلف بياناتهم للمعالج بنيته نقل بياناتهم الشخصية خارج المنطقة الاقتصادية الأوروبية.

8. وفقًا للمادة 27(1) من GDPR، عين مراقب البيانات ممثلًا في المنطقة الاقتصادية الأوروبية: Agnieszka Pilarska ([email protected], Reja 12/26, 31-216, Cracow) الممثل مخول من قبل المعالج بالاتصال به – بالإضافة إلى أو بدلاً من المعالج – ولا سيما من قبل السلطات الرقابية وأصحاب البيانات، ولا سيما، فيما يتعلق بجميع المسائل المتعلقة بالمعالجة، لغرض ضمان الامتثال لـ GDPR.

§6. الإبلاغ عن الحوادث

1. يتعهد المعالج، عند اكتشاف خرق لحماية البيانات الشخصية، بالإبلاغ عنه إلى مراقب البيانات دون تأخير غير مبرر.

2. تتضمن المعلومات المقدمة لمراقب البيانات على الأقل:

أ) وصفًا لطبيعة الخرق، وإذا أمكن، الإشارة إلى فئة وعدد تقريبي للأشخاص الذين تم خرق بياناتهم وكذلك مقدار/نوع البيانات المتأثرة؛

ب) وصفًا للعواقب المحتملة للخرق؛

ج) وصفًا للتدابير المطبقة أو المقترح تطبيقها من قبل المعالج لمعالجة الخرق، بما في ذلك تقليل آثاره السلبية.

§7. استخدام المعالجين الفرعيين

1. يوافق مراقب البيانات، أي يعطي موافقته العامة المشار إليها في المادة 28(2) من GDPR، على استخدام المعالج لمعالجين آخرين (أي المعالجين الفرعيين).

2. يتعهد المعالج بإبلاغ مراقب البيانات بأي تغييرات مقصودة فيما يتعلق بإضافة أو استبدال المعالجين الفرعيين، مما يمنح مراقب البيانات الفرصة للاعتراض على هذه التغييرات. يقدم المعالج معلومات عن التغيير عن طريق رسالة مرسلة إلى المراقب باستخدام البريد الإلكتروني.

3. يتعهد مراقب البيانات بالتعبير عن الاعتراضات المشار إليها في الفقرة 2، تحت طائلة البطلان، كتابةً أو بشكل موثق خلال 7 أيام من تاريخ استلام معلومات عن التغييرات المذكورة أعلاه وتقديم أسباب لها. يتفق الطرفان على أن عدم الاعتراض خلال هذه الفترة سيُعتبر موافقة مراقب البيانات على تغيير المعالج الفرعي. يتعهد مراقب البيانات بعدم الاعتراض على التغييرات أعلاه دون أسباب وجيهة.

4. إذا اعترض مراقب البيانات على تغيير يتضمن إضافة أو استبدال المعالجين الفرعيين وفقًا للفقرتين 2 و 3 أعلاه، فقد لا يكون من الممكن معالجة البيانات للأغراض التي تم تكليف البيانات لأجلها للمعالج. في مثل هذه الحالة، يحق للمعالج إنهاء الاتفاقية دون إشعار، ويتم استبعاد أي مسؤولية للمعالج عن عدم التنفيذ أو التنفيذ غير السليم للاتفاقية أو الاتفاقية الرئيسية الناجمة عن عدم إمكانية معالجة البيانات للأغراض التي تم تكليف البيانات لأجلها للمعالج من قبل الطرفين.

§8. التدابير التقنية والتنظيمية المعلنة

1. بموجب المادة 28(3)(b) من GDPR، يتعهد المعالج بأن أي شخص ينفذ الاتفاقية نيابة عنه سيُطلب منه ضمان سرية البيانات الشخصية المعالجة التي سيحصل على الوصول إليها، وعلى وجه الخصوص أنه لن ينقل أو يكشف أو يشارك هذه البيانات مع أشخاص غير مصرح لهم.

2. بموجب المادة 28(3)(c) من GDPR، يتعهد المعالج بتطبيق التدابير التقنية والتنظيمية المطلوبة بموجب المادة 32 من GDPR، أي على وجه الخصوص، مناسبة لمخاطر انتهاك حقوق أو حريات البيانات الشخصية المكلفة المحددة.

§9. إجراء خرق البيانات. التبادل المتبادل للمعلومات

1. يتفق الطرفان على إبلاغ بعضهما البعض فورًا بأي خروقات محتملة لحماية البيانات. في حالة الاشتباه في خرق البيانات، يتفق الطرفان على التعاون، وفقًا لأحكام GDPR.

2. يتفق الطرفان على أنهما سيتشاوران حول ضرورة ومحتوى إشعارات خرق البيانات إلى السلطة الرقابية.

3. كلما قدم الطرفان بعضهما البعض معلوماتًا وبياناتٍ فيما يتعلق بالبيانات المعالجة بموجب الاتفاقية، يتم تقديم هذه المعلومات والبيانات إلى عناوين البريد الإلكتروني المشار إليها أدناه:

أ) لمراقب البيانات: [عنوان البريد الإلكتروني، رقم الهاتف]؛

ب) للمعالج: [email protected].

§10. المسؤولية

تقتصر المسؤولية الإجمالية للمعالج عن عدم التنفيذ أو التنفيذ غير السليم للاتفاقية في أي حالة على نصف مجموع الرسوم الصافية المدفوعة من مراقب البيانات بموجب الاتفاقية الرئيسية خلال آخر 12 شهرًا، السابقة للحدث الذي أدى إلى المطالبة المعنية وفقط على قيمة الضرر الفعلي، أي باستثناء الأرباح الضائعة (lucrum cessans). حدود مسؤولية المعالج المشار إليها في الاتفاقية والاتفاقية الرئيسية لا تتضافر. في حالة مطالبة المعالج بالتحمل بمسؤولية بموجب الاتفاقية، تقلل المطالبة المعنية من حد المسؤولية المشار إليه في الاتفاقية الرئيسية.

§11. أحكام ختامية. إنهاء الاتفاقية

1. تُبرم الاتفاقية لمدة الاتفاقية الرئيسية، أي، تُنهى الاتفاقية دون الحاجة إلى تصريحات إضافية، نتيجة لإنهاء أو انتهاء الاتفاقية الرئيسية.

2. تدخل الاتفاقية حيز التنفيذ عند تنفيذ الاتفاقية الرئيسية.

3. التعديل أو الإكمال أو إنهاء الاتفاقية تحت طائلة البطلان يكون كتابةً/بشكل موثق.

4. في حالة:

أ) المعالج، على الرغم من المطلوب لمعالجة أوجه القصور المحددة أثناء التدقيق، يفشل في معالجتها خلال الإطار الزمني المتفق عليه من قبل الطرفين، أو يعالج البيانات الشخصية بشكل غير متسق مع الاتفاقية الرئيسية، أو

ب) المعالج يعالج البيانات الشخصية المكلفة بانتهاك الاتفاقية أو القوانين المعمول بها (بما في ذلك GDPR)،

يجوز لمراقب البيانات إنهاء الاتفاقية فورًا دون إشعار عند انتهاء فترة إضافية لوقف الانتهاكات غير المثمرة، والمحددة من قبل مراقب البيانات، ولا تقل عن أربعة عشر يومًا من تاريخ استلام الإشعار.

5. يجوز للمعالج إنهاء الاتفاقية فورًا، دون إشعار، إذا تم تحديد أن مراقب البيانات يعالج البيانات المكلفة للمعالج بشكل ينتهك §5(1) من الاتفاقية، على وجه الخصوص، بمعالجة البيانات المكلفة للمعالج دون الأساس القانوني المحدد في المادة 6(1) من GDPR.

6. الملحق 1 للاتفاقية – البنود التعاقدية القياسية، هو جزء لا يتجزأ من الاتفاقية.

7. تم حفظ الاتفاقية على وسيط إلكتروني مخزن على خوادم المعالج وإرسالها إلى عنوان البريد الإلكتروني المقدم من مراقب البيانات بصيغة PDF / تم توقيع الاتفاقية في نسختين – واحدة لكل طرف.