logo

اتفاقية معالجة البيانات

تاريخ النفاذ: ٢٥ يوليو ٢٠٢٣

إشعار تحكيم: إنّك ملزم ببند التحكيم المنصوص عليه في شروط خدمات الأنشطة التجارية. في حال تعاقدك مع شركة سناب، فإنّك وشركة سناب تتنازلان عن أي حق في المشاركة في أي دعوى جماعية أو أي تحكيم جماعي.

مقدمة

تُشكّل اتفاقية معالجة البيانات هذه ("الاتفاقية") عقدًا مُلزمًا قانونيًا بينك وبين سناب، وتنطبق إلى الحد الذي تعالج سناب فيه بيانات العميل الشخصية نيابةً عنك عندما تكون أنت المتحكم في البيانات، وتكون مدرجة في شروط خدمات النشاط التجاري. بعض الشروط المستخدمة في هذه الاتفاقية معرّفة في شروط خدمات النشاط التجاري.

باختصار: تنطبق هذه الاتفاقية عندما تعالج سناب البيانات الشخصية لعملائك عندما تكون أنت المتحكم في البيانات وتكون سناب هي جهة معالجة البيانات.

1. التعريفات

"بيانات العميل الشخصية" تعني البيانات الشخصية الخاصة بالمنطقة الاقتصادية الأوروبية وسويسرا والمملكة المتحدة والبرازيل المقدمة إلى سناب بواسطتك أو نيابةً عنك عندما تكون مراقب البيانات.

"المتحكم في البيانات" يعني المتحكم على النحو المحدد في اللائحة العامة لحماية البيانات GDPR أو القانون العام لحماية البيانات في المملكة المتحدة UK GDPR أو القانون العام لحماية البيانات الشخصية LGPD، حسب الاقتضاء، الذي يحدد بمفرده أو بالاشتراك مع آخرين أغراض ووسائل معالجة بيانات العميل الشخصية.

"قانون حماية البيانات" يعني قوانين حماية البيانات في المنطقة الاقتصادية الأوروبية وسويسرا والمملكة المتحدة والبرازيل السارية على معالجة بيانات العميل الشخصية بموجب هذه الاتفاقية، بما في ذلك القانون العام لحماية البيانات GDPR وقوانين حماية البيانات في المملكة المتحدة والقانون العام لحماية البيانات الشخصية LGPD.

يشير اختصار (EEA) إلى المنطقة الاقتصادية الأوروبية.

تشير اللائحة العامة لحماية البيانات (GDPR) إلى لائحة الاتحاد الأوروبي (EU) رقم 2016/679 الخاصة بالبرلمان الأوروبي للمجلس بتاريخ 27 أبريل 2016 بشأن حماية الأشخاص الطبيعيين، فيما يتعلق بمعالجة البيانات الشخصية وحرية حركة هذه البيانات، وإلغاء التوجيه رقم 95/46/EC.

يُشير قانون حماية البيانات العامة (LGPD) إلى قانون حماية البيانات العامة البرازيلي (Lei Geral de Proteção de Dados Pessoais).

"خرق البيانات الشخصية" يعني التلف العرضي أو غير القانوني أو الفقد أو التغيير أو الكشف غير المصرح به عن بيانات العميل الشخصية أو الوصول إليها على الأنظمة التي تديرها أو تتحكم فيها سناب.

"المعالجات الفرعية" تعني الجهات الخارجية المصرح لها بموجب هذه الاتفاقية بالوصول إلى بيانات العميل الشخصية ومعالجتها من أجل توفير أجزاء من خدمات الأنشطة التجارية.

تُشير (UK) إلى المملكة المتحدة.

تُشير "قوانين حماية البيانات في المملكة المتحدة" إلى اللائحة العامة لحماية البيانات (GDPR) حيث تُشكّل جزءًا من قانون إنجلترا وويلز وإسكتلندا وأيرلندا الشمالية بموجب المادة رقم 3 من قانون الاتحاد الأوروبي (الإلغاء) لعام 2018 في المملكة المتحدة (اللائحة العامة لحماية البيانات في المملكة المتحدة) وقانون حماية البيانات لعام 2018.

المصطلحات "البيانات الشخصية" و"موضوع البيانات" و"المعالجة" و"المتحكم" و"المعالج" و"الممثل" و"السلطة الإشرافية"، كل منها على النحو المستخدم في هذه الاتفاقية، لها المعاني الواردة في اللائحة العامة لحماية البيانات GDPR أو القانون العام لحماية البيانات في المملكة المتحدة UK GDPR أو القانون العام لحماية البيانات الشخصية LGPD، حسب الاقتضاء، في كل حالة بغض النظر عمّا إذا كان قانون حماية البيانات ينطبق أمْ لا.

2. معالجة بيانات العميل الشخصية

أ. أدوار الأطراف. تُعالج سناب بيانات العميل الشخصية نيابةً عن المُتحكّم في البيانات ووفق تعليماتها، وفق المادة 28 (1) من اللائحة العامة لحماية البيانات GDPR، والقانون العام لحماية البيانات في المملكة المتحدة UK GDPR، والقانون العام لحماية البيانات الشخصية LGPD، حسب الاقتضاء.

ب. التعيين. يُعيّن المُتحكّم في البيانات سناب لمعالجة بيانات العميل الشخصية نيابةً عن وحدة التحكم في البيانات فقط بالقدر الضروري لتوفير خدمات الأعمال وكما قد يتم الاتفاق عليه لاحقاً من قبل الطرفين كتابةً.

ج. شرعية معالجة البيانات. يُعتبر المُتحكّم في البيانات مسؤولاً عن ضمان سريان الأساس القانوني الصحيح لمعالجة البيانات الشخصية للعميل.

د. تفاصيل معالجة البيانات. تم توضيح الموضوع وتفاصيل معالجة البيانات في الجدول رقم 1 في هذه الاتفاقية.

هـ. الامتثال للقانون. يوافق كل طرف على الامتثال بالتزاماته بموجب قانون حماية البيانات فيما يتعلّق بأيٍ من بيانات العميل الشخصية التي تتم معالجتها بموجب هذه الاتفاقية أو فيما يتعلّق بها. ودون الإخلال بما سبق، لن تعالج سناب بيانات العميل الشخصية بطريقة تؤدي أو يُحتمل أن تؤدي إلى خرق المتحكم في البيانات لالتزاماتها بموجب قانون حماية البيانات. وتُبلغ سناب المُتحكّم في البيانات على الفور إذا رأت سناب أن تعليمات المُتحكّم في البيانات تنتهك قانون حماية البيانات.

باختصار: إنّك تُعيّن سناب لمعالجة البيانات الشخصية للعميل نيابةً عنك. وتظل مسؤولًا عن إنشاء أساس قانوني صالح لمعالجة البيانات الشخصية، وتوافق أنت وسناب على الامتثال لجميع قوانين حماية البيانات.

3. التزامات سناب

أ. معالجة بيانات العميل الشخصية. لن تُعالج سناب بيانات العميل الشخصية إلا وفقًا لشروط الخدمات التجارية وهذه الاتفاقية، ولن تستخدم بيانات العميل الشخصية أو تعالجها لأي غرض بخلاف كونها جهة معالجة بيانات مُعينة من طرف المتحكم في البيانات.

ب. أمن البيانات. وفقًا للمادة 32 من اللائحة العامة لحماية البيانات (GDPR) واللائحة العامة لحماية البيانات (GDPR) بالمملكة المتحدة والقانون العام لحماية البيانات الشخصية (LGPD)، حسب الاقتضاء، وعلى النحو الوارد في الجدول رقم 2 من هذه الاتفاقية، ستنفذ سناب جميع التدابير التقنية والإدارية والتنظيمية المناسبة اللازمة وتلتزم بها بهدف: (1) ضمان مستوى السرية والأمان بما يناسب المخاطر التي تمثلها معالجة وطبيعة بيانات العميل الشخصية؛ و (2) منع المعالجة غير المصرح بها أو غير القانونية لبيانات العميل الشخصية أو الفقد العرضي أو الكشف عن البيانات الشخصية للعميل أو تدميرها أو إتلافها.

ج. عدم الإفصاح. لن تنشر سناب أو تُفصح أو تفشي (وستتأكد من عدم قيام موظفيها بالنشر أو الإفصاح أو الإفشاء) بيانات العميل الشخصية لطرف ثالث ما لم يمنح المتحكم في البيانات موافقة كتابية مُسبقة.

د. السرية. ستضمن سناب اقتصار إمكانية الوصول إلى بيانات العميل الشخصية على الموظفين الذين قد يُطلب منهم المساعدة في الوفاء بالتزاماتها بموجب شروط الخدمات التجارية أو هذه الاتفاقية، وستضمن التزام هؤلاء الموظفين بالتزامات السرية المناسبة، وستتخذ جميع الخطوات المعقولة بما يتوافق مع أفضل الممارسات الصناعية لضمان سرية بيانات العميل الشخصية.

هـ. التعاون. توفر سناب التعاون والمساعدة المعقولة للمتحكم في البيانات عند تقديم المتحكم في البيانات طلبًا معقولاً بذلك حتى يستطيع الامتثال لالتزاماته بموجب المواد من 32 إلى 36 من اللائحة العامة لحماية البيانات (GDPR) واللائحة العامة لحماية البيانات (GDPR) بالمملكة المتحدة والقانون العام لحماية البيانات الشخصية (LGPD)، حسب الاقتضاء، بما في ذلك ما يتعلّق بأمن البيانات، إشعار انتهاك البيانات وتقييمات تأثير حماية البيانات، والتشاور المسبق مع الجهات الرقابية والوفاء بحقوق أصحاب البيانات وأي استفسار أو إشعار أو تحقيق من طرف جهة رقابية، على النحو المُفصل في هذه الاتفاقية.

و. صاحب البيانات وطلبات الإشراف. تُبلغ سناب المتحكم في البيانات على الفور، خلال يومي عمل في أي حال من الأحوال، بأي استفسار أو شكوى تتلقاها من صاحب البيانات أو الجهة الرقابية فيما يتعلّق ببيانات العميل الشخصية. ستساعد سناب المتحكم في البيانات، بالقدر المعقول تجاريًا، للوفاء بالتزام المتحكم في البيانات بالاستجابة لطلبات أصحاب البيانات والجهة الرقابية وفقًا لما يقتضيه قانون حماية البيانات.

ز. تقييم تأثير حماية البيانات. ستُزود سناب، عند الطلب، المتحكم في البيانات بالمساعدة والمعلومات المعقولة تجاريًا، مع مراعاة طبيعة نشاط معالجة البيانات والمعلومات المتاحة لـ سناب، بهدف مساعدة المتحكم في البيانات في إجراء تقييم لتأثير حماية البيانات وفقًا لما يقتضيه قانون حماية البيانات.

ح. تقديم الأدلّة. توفر سناب، خلال مدة هذه الاتفاقية ولمدة عام واحد بعد ذلك، للمتحكم في البيانات، أو أي شركة مراجعة معترف بها دوليًا تعمل نيابةً عن المتحكم في البيانات، وجميع المعلومات الضرورية المعقولة لإثبات امتثال سناب لهذه الاتفاقية، وتسمح سناب بالمراجعات التي يجريها المتحكم في البيانات أو المندوبون عنه الملتزمون بالتزامات السرية المناسبة؛ إذا: (1) قدّم المتحكم في البيانات إشعارًا كتابيًا مسبقًا قبل عشرة أيام عمل على الأقل إلى سناب؛ (2) أُجريت هذه المراجعة خلال ساعات العمل العادية في سناب وبطريقة لا تتعارض بشكلٍ غير معقول مع عمليات النشاط التجاري العادية في سناب؛ (3) لم تستغرق هذه المراجعة أكثر من ثلاثة أيام عمل إجمالًا؛ (4) لم يكن المتحكم في البيانات، بأي حال من الأحوال (أو لمنع اللبس، أي مراجع خارجي معتمد) قادرًا على الوصول إلى أو تلقي المعلومات السرية أو المملوكة لسناب، إلّا بالقدر الضروري للغاية لإثبات الامتثال لهذه الاتفاقية؛ و(5) التزم المتحكم في البيانات بتعويض سناب عن التكاليف المعقولة الموثقة الخاصة بسناب إذا أثبتت المراجعة التزام سناب بهذه الاتفاقية. إذا أثبتت المراجعة عدم التزام سناب بهذه الاتفاقية، فستلتزم سناب بدفع جميع التكاليف المعقولة لتلك المراجعة.

ط. إعادة أو إتلاف بيانات العميل الشخصية. عند اكتمال التزامات سناب فيما يتعلّق بمعالجة بيانات العميل الشخصية بموجب هذه الاتفاقية أو بناءً على طلب المتحكم في البيانات في أي وقت خلال مدة هذه الاتفاقية، (وإذا طلب المتحكم في البيانات ذلك، على فترات منتظمة يحددها المتحكم في البيانات)، حيث تعمل سناب على إمّا: (1) إعادة كل بيانات العميل الشخصية التي بحوزتها، أو أي مجموعات فرعية منها، إلى المتحكم في البيانات؛ أو (2) جعل كل بيانات العميل الشخصية، أو جزء منها، مجهولة بحيث لا تُعتبر البيانات بيانات شخصية؛ أو (3) حذف كل بيانات العميل الشخصية، أو أجزاء منها، أو جعلها غير قابلة للقراءة نهائيًا. يجب على سناب، بناءً على طلب المتحكم في البيانات، تقديم تأكيد كتابي إلى المتحكم في البيانات على إخفاء بيانات العميل الشخصية وإعادتها وحذفها.

ي. بيانات العميل الشخصية المجزّأة. إذا استلمت سناب بيانات العميل الشخصية بتنسيق مجزّأ أو مشوش، فلن تعمل سناب على: (1) محاولة إجراء هندسة عكسية أو محاولة إعادة تحديد البيانات الشخصية المجزّأة أو المشوشة للمتحكم في البيانات ما لم يطلب المتحكم في البيانات منها عمل ذلك؛ و(2) مشاركة بيانات العميل الشخصية إلا بالتنسيق الذي استلمته سناب من المتحكم في البيانات.

باختصار: تلتزم سناب بعدد من الالتزامات، بعضها متطلبات قانونية، عند معالجة البيانات الشخصية للعميل التي قدمتها، كما هو موضّح أعلاه.

4. انتهاك البيانات الشخصية

أ. الإشعار. وفق المادة 33 من اللائحة العامة لحماية البيانات (GDPR) واللائحة العامة لحماية البيانات (GDPR) في المملكة المتحدة والقانون العام لحماية البيانات الشخصية (LGPD)، حسب الاقتضاء، تُخِطر سناب المتحكم في البيانات دون تأخير غير مبرر، وحيثما يكون ذلك ممكنًا، لا يزيد عن 72 ساعة بعد أن تكون على علم بانتهاك البيانات الشخصية. كما توفر سناب أيضاً للمُتحكّم في البيانات وصفاً لخرق البيانات الشخصية ونوع البيانات التي استهدفها خرق البيانات الشخصية (إلى الحد المعروف لسناب) وفئات أصحاب البيانات المتأثرة والمعلومات الأخرى المطلوبة من قبل قانون حماية البيانات المعمول به، بمجرد إمكانية جمع هذه المعلومات أو إتاحتها بطريقة أخرى، تتعاون سناب مع أي طلب منطقي يقدمه المُتحكّم في البيانات فيما يتعلق بخرق البيانات الشخصية.

ب. التحقيق. توافق سناب على اتخاذ إجراء فوري للتحقيق في خرق البيانات الشخصية، لتحديد ومنع وتخفيف آثار أي خرق للبيانات الشخصية، وبموافقة مُسبقة من المُتحكّم في البيانات، للقيام بأي استرداد أو أي إجراء آخر ضروري لمعالجة خرق البيانات الشخصية.

باختصار: إذا كان هناك أي انتهاك للبيانات، فستخطرك سناب في غضون 72 ساعة كي تصبح على علم بالانتهاك، وتزودك بالمعلومات ذات الصلة، وستتّخذ على الفور إجراء للتحقيق في الانتهاك والتخفيف من آثاره.

5. جهات معالجة البيانات الفرعية

أ. جهات معالجة البيانات الفرعية المُفوضة. يُفوَّض المتحكم في البيانات على وجه التحديد مشاركة الشركات التابعة لسناب لمعالجة البيانات الشخصية للعميل، ويُفوَّض المتحكم في البيانات بوجهٍ عام مشاركة أي أطراف خارجية أخرى كمعالجين فرعيين لمعالجة البيانات الشخصية للعميل.

ب. التزامات جهات معالجة البيانات الفرعية. وفق المادة 28 (4) من اللائحة العامة لحماية البيانات GDPR، والقانون العام لحماية البيانات في المملكة المتحدة UK GDPR، والقانون العام لحماية البيانات الشخصية LGPD، حسب الاقتضاء، تفرض سناب شروطاً تعاقدية ملزمة قانونياً على كل معالج فرعي، وتكون مقيدة مثل تلك الواردة في هذه الاتفاقية.

ج. الوصول المقيد. تضمن سناب أن كل معالج فرعي يصل فقط إلى بيانات العميل الشخصية ويستخدمها بالقدر المطلوب لأداء الالتزامات التي تم التعاقد عليها من الباطن ووفق هذه الاتفاقية.

د. تحديثات جهات معالجة البيانات الفرعية. وفق المادة 28 (2) من اللائحة العامة لحماية البيانات GDPR، والقانون العام لحماية البيانات في المملكة المتحدة UK GDPR (حسب الاقتضاء)، ترد هنا قائمة محدثة بما يلي: (1) جميع المعالجات الفرعية المشاركة في معالجة بيانات العميل الشخصية؛ (2) الأغراض التي من أجلها يعالج المعالجون الفرعيون بيانات العميل الشخصية؛ و(3) موقع كل معالج فرعي. تُخطر سناب المتحكم في البيانات قبل إضافة جهة معالجة بيانات فرعية جديدة بمدة لا تقل عن 30 يوماً.

هـ. حق الاعتراض. من حق المتحكم في البيانات الاعتراض على إضافة أي معالج فرعي جديد، كما هو موضح في هذا القسم. وفي حالة اعتراض المتحكم في البيانات على معالجة بيانات العميل الشخصية من قبل أي معالج فرعي معين حديثاً، فإنّه يُبلّغ سناب على الفور، وبعد ذلك تفعل سناب أحد ما يلي: (1) توجيه المعالج الفرعي لإيقاف أي معالجة إضافية لبيانات العميل الشخصية، وعلي أي حالة يجب أن تستمر هذه الاتفاقية دون أن تتأثر؛ أو (2) السماح لمراقب البيانات بإنهاء هذه الاتفاقية على الفور.

باختصار: بالإضافة إلى تفويض سناب بالعمل كجهة معالجة بيانات، فإنّك تفوض أيضًا الشركات التابعة لسناب بمعالجة البيانات الشخصية للعميل بصفتها جهات معالجة فرعية. وستدخل سناب في اتفاقية ملزمة قانونًا مع جميع جهات معالجة البيانات الفرعية وتحتفظ بقائمة من المعينين. لديك الحق في الاعتراض على تعيين سناب لأي معالج فرعي.

6. عمليات نقل البيانات

أ. إذا كان المتحكم في البيانات مؤسّسًا في المنطقة الاقتصادية الأوروبية (EEA) أو سويسرا أو المملكة المتحدة ونقل البيانات الشخصية إلى شركة سناب، فيجب أن تكون اتفاقية نقل البيانات:

(1) سارية على عمليات النقل هذه؛

(2) لها الأسبقية على جميع الشروط الأخرى، بما في ذلك شروط هذه الاتفاقية، وذلك فيما يتعلق بعمليات النقل هذه؛

(3) بمثابة عقد ملزم قانونًا بينك بصفتك جهة تصدير البيانات وسناب بصفتها جهة استيراد البيانات أو بالنيابة عن جهة استيراد البيانات؛

(4) جزءًا من شروط خدمات الأنشطة التجارية.

ب. فيما يتعلق بالبيانات الشخصية للمنطقة الاقتصادية الأوروبية EEA وسويسرا والمملكة المتحدة، يوافق المُتحكّم في البيانات و سناب على أنه يجوز لسناب معالجة البيانات الشخصية للعميل خارج المنطقة الاقتصادية الأوروبية EEA وسويسرا والمملكة المتحدة حيث تنطبق متطلبات قانون حماية البيانات (بما في ذلك، عند الاقتضاء، المواد 44 حتى 47 اللائحة العامة لحماية البيانات GDPR)، أو يُستثنى (بما في ذلك، عند الاقتضاء، تلك المدرجة في المادة 49 من اللائحة العامة لحماية البيانات GDPR).

ج. فيما يتعلق بالبيانات الشخصية لأصحاب البيانات في البرازيل، يوافق المُتحكّم في البيانات على أنّه يجوز لسناب معالجة بيانات العميل الشخصية خارج البرازيل، ويقر ويضمن أن هذا النقل لبيانات العميل الشخصية يتوافق مع القانون العام لحماية البيانات الشخصية LGPD.

باختصار: إذا كنت تقيم في المنطقة الاقتصادية الأوروبية (EEA) أو سويسرا أو المملكة المتحدة، تنطبق اتفاقية نقل البيانات على جميع عمليات نقل البيانات الشخصية إلى سناب. وفيما يتعلّق بالبيانات الشخصية في المنطقة الاقتصادية الأوروبية (EEA) وسويسرا والمملكة المتحدة، فإنّك توافق أنت وسناب على الامتثال للأحكام المتعلّقة بعمليات النقل الدولية بموجب اللائحة العامة لحماية البيانات (GDPR). وفيما يتعلّق بالبيانات الشخصية لأصحاب البيانات البرازيليين، فإنّك تؤكّد لسناب أن معالجة هذه البيانات الشخصية خارج البرازيل ستمتثل لقانون حماية البيانات العام البرازيلي. 

7. التعويض؛ مسؤولية قانونية للمعالج الفرعي

أ. التعويض. توافق سناب على تعويض مراقب البيانات ضد جميع شكاوى الطرف الخارجي، والتكاليف، والمطالبات، والأضرار، والخسائر، والمصاريف، والمسؤوليات، والنفقات الناتجة عن، أو الناشئة عن، أو المتعلقة بأي شكلٍ من الأشكال بانتهاك سناب لهذه الاتفاقية.

ب. عملية التعويض. يُخطر المتحكم في البيانات سناب كتابيًا على الفور بأي مطالبة تعويضية، ولكن أي إخفاق في إخطار سناب لن يعفيها من أي مسؤولية أو التزام بالتعويض قد يقع عليها، باستثناء الحد الذي تتعرض فيه للانحياز المادي بسبب هذا الإخفاق. ويتعاون المتحكم في البيانات بصورةٍ منطقية مع سناب، على نفقتها، فيما يتعلّق بالدفاع أو التسوية أو تسوية أي مطالبة تعويضية. لن تتنازل سناب عن أي مطالبة أو تسويها بأي شكلٍ من الأشكال، ولن تقدّم أي إقرار بالمسؤولية دون موافقة كتابية مسبقة من المتحكم في البيانات، الذي قد يقدمها المتحكم في البيانات وفق تقديره الخاص. ويجوز لمراقب البيانات المشاركة (على نفقته) في الدفاع والتسوية وتسوية الدعوى مع المستشار القانوني الذي يختاره مراقب البيانات.

ج. المسؤولية القانونية لمُعالج البيانات الفرعي. تقر سناب وتوافق على أنها تظل مسؤولة أمام مراقب البيانات عن خرق شروط هذه الاتفاقية من قبل معالج فرعي وأي معالجات تابعة لجهات خارجية لاحقة عينتها.

باختصار: إذا كنت تعاني من أي خسائر طرف ثالث فيما يتعلّق بخرق سناب لهذه الاتفاقية، فسوف تعوضك سناب. 

8. الإنهاء

أ. الإنهاء. ستنتهي هذه الاتفاقية تلقائيًا عند انتهاء شروط خدمات النشاط التجاري.

ب. الاستمرارية. تظل التزامات سناب المتعلقة بإعادة البيانات الشخصية للعميل أو حذفها سارية المفعول بعد إنهاء شروط خدمات الأعمال وهذه الاتفاقية حتى تقوم سناب بإعادة أو حذف بيانات العميل الشخصية وفق هذه الاتفاقية.

باختصار: سيتم إنهاء هذه الاتفاقية في نفس الوقت الذي يتم فيه إنهاء شروط خدمات الأعمال، ولكن ستستمر سناب في الالتزام بإعادة أو حذف البيانات الشخصية للعميل. 

9. التعارضات

إذا كان هناك تعارض أو تضارب بين هذه الاتفاقية، أو اتفاقية نقل البيانات، أو شروط خدمات الأعمال، أو أي شروط وسياسات تكميلية سارية، أو شروط خدمة سناب، يكون ترتيب الأولوية: اتفاقية نقل البيانات (ولكن فقط إلى مدى انطباقها بموجب القسم 6.أ الوارد أعلاه)، وهذه الاتفاقية، والشروط والسياسات التكميلية، وشروط خدمات الأعمال، وشروط خدمة سناب.

باختصار: إذا كان هناك تعارض ما بين أي أحكام في شروط وسياسات سناب المختلفة، يكون ترتيب الأسبقية كما هو موضّح أعلاه. 

الجدول 1: تفاصيل معالجة البيانات
أ. قائمة الأطراف
مُصدِّر (مُصدِّري) البيانات

يجب أن يكون مُصدّر البيانات هو المتحكم في بيانات، كما هو محدد في هذه الاتفاقية، الاسم والعنوان وتفاصيل الاتصال على النحو المنصوص عليه من قبل سناب عبر خدمات الأنشطة التجارية. وتشمل الأنشطة ذات الصلة بالبيانات المنقولة بموجب هذه المواد استخدام خدمات الأنشطة التجارية ذات الصلة وفق شروط خدمات الأنشطة التجارية والشروط والسياسات التكميلية المعمول بها. يجب أن يكون مُصدّر البيانات في دور المتحكم.

مستورد (مستوردي) البيانات

يجب أن يكون مُستورِد البيانات:

شركة سناب، وعنوانها 3000 31st Street, Santa Monica, California 90405

وتشمل الأنشطة ذات الصلة بالبيانات المنقولة بموجب هذه المواد توفير خدمات الأنشطة التجارية ذات الصلة وفق شروط خدمات الأنشطة التجارية والشروط والسياسات التكميلية المعمول بها. يجب أن يكون مُستورِد البيانات في دور المعالج.

ب. وصف النقل

أنشطة معالجة البيانات التي تنفذها سناب بموجب هذه الاتفاقية هي كما يلي:

الموضوع

ما تقدّمه سناب لخدمات الأنشطة التجارية للمتحكم في البيانات.

مدة المعالجة والاحتفاظ

بالنسبة إلى مدة هذه الاتفاقية بالإضافة إلى الفترة من انتهاء مدة هذه الاتفاقية حتى إخفاء هوية البيانات أو إرجاعها أو حذفها وفق هذه الاتفاقية.

الطبيعة والغرض

تعالج سناب بيانات العميل الشخصية لأغراض تقديم خدمات الأنشطة التجارية إلى المتحكم في البيانات وفق شروط خدمات الأنشطة التجارية وهذه الاتفاقية وكما هو موضح في هذه الشروط.

فئات البيانات

قد تشمل بيانات العميل الشخصية المتعلقة بالأفراد المقدَّمة إلى سناب عبر خدمات الأعمال، بواسطة (أو بتوجيه من) المتحكم في البيانات:

  • عنوان البريد الإلكتروني

  • رقم الهاتف

  • رقم إعلان الهاتف (معرّف إعلان أجهزة IDFA" iOS"/معرّف إعلان أجهزة AAID" Android")

  • عنوان IP

  • معرف ملفات تعريف الارتباط

  • وكيل مستخدم المتصفح

  • الإجراءات والأحداث التي يتم اتخاذها على المواقع والتطبيقات، بما في ذلك الصفحات التي تم عرضها وعمليات الشراء وعمليات البحث وأحداث تسجيل المغادرة وقوائم الرغبات وعمليات التثبيت وطرق تسجيل المستخدم

البيانات الحساسة التي يتم نقلها

غير قابل للتطبيق

تكرار النقل

مستمر

أصحاب البيانات

تشمل أصحاب البيانات المنطقة الاقتصادية الأوروبية EEA وسويسرا والمملكة المتحدة والبرازيل، الذين يتم تقديم بيانات شخصية عنهم إلى ستاب عبر خدمات الأنشطة التجارية بواسطة (أو بتوجيه من) المتحكم في البيانات.

ج. الجهة الرقابية المختصة

الجهة الإشرافية المختصة هي هيئة حماية البيانات الهولندية (Autoriteit Persoonsgegevens, AP).

باختصار: تم تحديد موضوع وتفاصيل المعالجة أعلاه.

الجدول 2 - تدابير سناب الأمنية

1. تنفيذ والامتثال لبرنامج أمن معلومات مكتوب بما يتوافق مع معايير الصناعة المعمول بها، بما في ذلك الضمانات الإدارية والفنية والمادية المناسبة لطبيعة بيانات العميل الشخصية والمصمّمة لحماية هذه المعلومات من: الوصول غير المصرح به أو الإتلاف أو الاستخدام أو التعديل أو الكشف؛ والوصول غير المصرح به أو الاستخدام الذي قد يؤدي إلى ضرر أو إزعاج كبير للمتحكّم في البيانات أو عملاء متحكّم البيانات أو موظفي متحكّم البيانات؛ وأي تهديدات أو مخاطر متوقعة على أمن أو سلامة هذه المعلومات.

2. اعتماد وتنفيذ سياسات ومعايير منطقية تتعلق بالأمن.

3. إسناد مسؤولية إدارة أمن المعلومات.

4. تكريس موارد بشرية كافية لأمن المعلومات.

5. إجراء عمليات تحقق صحة الموظفين الدائمين الذين يتمكنون من الوصول إلى البيانات الشخصية للعميل.

6. إجراء فحوصات خلفية مناسبة ومطالبة الموظفين والبائعين وغيرهم ممّن لديهم إمكانية الوصول إلى البيانات الشخصية للعميل بالدخول في اتفاقيات مكتوبة لحفظ السرّية.

7. إجراء تدريب لجعل الموظفين وغيرهم ممّن لديهم إمكانية الوصول إلى بيانات العميل الشخصية على دراية بمخاطر أمن المعلومات ولتعزيز امتثال سياسات ومعايير سناب المتعلقة بحماية البيانات.

8. منع الوصول غير المصرح به إلى بيانات العميل الشخصية خلال الاستخدام حسب الاقتضاء، لضوابط الدخول المادية والمنطقية (كلمات المرور)، والمناطق الآمنة لمعالجة البيانات، وإجراءات مراقبة استخدام مرافق معالجة البيانات، ومسارات تدقيق النظام المدمجة، واستخدام كلمات المرور الآمنة، وتقنية اكتشاف اختراق الشبكة، وتقنية التشفير والمصادقة، وإجراءات تسجيل الدخول الآمنة، والحماية من الفيروسات، ومراقبة امتثال سياسات ومعايير سناب المتعلّقة بحماية البيانات بصورةٍ مستمرة. وعلى وجه الخصوص، لقد نفذت سناب والتزمت، حسب الاقتضاء ودون قيود، بما يلي:

  • تدابير التحكم في الوصول المادي لمنع الوصول غير المصرح به إلى أنظمة معالجة البيانات (على سبيل المثال، بطاقات هوية الوصول، وقارئات البطاقات، وموظفي المكاتب، وأنظمة الإنذار، وكاشفات الحركة، وأجهزة الإنذار ضد السرقة، والمراقبة بالفيديو، والأمن الخارجي)؛

  • إجراءات التحكم في رفض الاستخدام لمنع الاستخدام غير المصرح به لأنظمة حماية البيانات (على سبيل المثال، تعقيد كلمة المرور المفروضة تلقائيًا ومتطلبات التغيير وجدران الحماية.) ؛

  • ونظام التفويض وحقوق الوصول المستند إلى المتطلبات، ومراقبة الوصول إلى النظام وتسجيله للتأكد من أن الأشخاص الذين يحق لهم استخدام نظام معالجة البيانات لا يمكنهم الوصول إلّا إلى البيانات التي يحق لهم الوصول إليها، وأن البيانات الشخصية للعميل لا يمكن كذلك قراءتها أو نسخها أو تعديلها أو إزالتها دون إذن؛

  • تدابير التحكّم في نقل البيانات لضمان عدم إمكانية قراءة بيانات العميل الشخصية أو نسخها أو تعديلها أو إزالتها دون إذن أثناء النقل الإلكتروني أو النقل أو التخزين على وسائط البيانات ونقل السجلات واستلامها. وعلى وجه الخصوص، يتم تصميم برنامج أمن المعلومات الخاص بسناب:

    • لتشفير أي مجموعات بيانات ضمن حوزة سناب في التخزين، بما في ذلك البيانات الشخصية الحساسة، باستخدام مستويات التشفير المناسبة بناءً على معايير التشفير الرائدة في الصناعة، بما في ذلك نظام التصدير الآلي 256 (AES -256)، وتخزين هويات المستخدم على النظام باستخدام زوج المفتاح والقيمة مثل ghost_id لمنع تخزين مُعرّف المستخدم الفعلي؛ و

    • للتأكد من أن أي بيانات شخصية حساسة يتم إرسالها إلكترونيًا (بخلاف الفاكس) إلى شخص خارج نظام تكنولوجيا المعلومات سناب أو يتم نقلها عبر شبكة عامة يتم تشفيرها، باستخدام أحدث الإصدارات المدعومة من بروتوكول أمن طبقة النقل 1.2 (TLS 1.2)، لحماية أمان الإرسال؛

  • وتدابير التحكم في إدخال البيانات لضمان قدرة سناب على التحقق وتحديد ما إذا كان قد تم إدخال البيانات الشخصية للعميل في أنظمة معالجة البيانات أو تعديلها أو إزالتها ومن قام بذلك؛

  • وإجراءات اختبار الأمان المستمرة لضمان بقاء ممارسات أمن المعلومات ملائمة وفعالة ومحدثة، بما في ذلك اختبارات الاختراق السنوية، وبرنامج مكافأة الأخطاء، واستخدام أدوات فحص النظام، وتمارين الطاولة النقاشية، واختبارات الاستعادة الاحتياطية، وإخفاق ما قبل الإنتاج، وإجراء التشريح على أي حوادث فعلية من أجل تحديث خطط التعافي من الكوارث ذات الصلة؛

  • وتدابير إشراف المعالج الفرعي لضمان أنّه، في حالة السماح لسناب باستخدام المعالجات الفرعية، تتم معالجة البيانات الشخصية للعميل بصورة صارمة وفق تعليمات المُتحكّم في البيانات بما في ذلك، حسب الاقتضاء:

    • تدابير ضمان حماية بيانات العميل الشخصية من التلف أو الضياع العرضي، بما في ذلك حسب الاقتضاء وعلى سبيل المثال لا الحصر، النسخ الاحتياطي للبيانات، وسياسات الاحتفاظ والإتلاف الآمن؛ والتخزين الآمن خارج الموقع للبيانات الكافية للتعافي من الكوارث؛ وإمدادات الطاقة غير المنقطعة، وبرامج التعافي من الكوارث؛ و

    • وتدابير ضمان إمكانية معالجة البيانات التي تم جمعها لأغراض مختلفة بوجهٍ منفصل بما في ذلك، حسب الاقتضاء، الفصل المادي أو المنطقي الكافي لبيانات العميل الشخصية.

9. اتخاذ مثل هذه الخطوات الأخرى التي قد تكون مناسبة تبعًا للظروف.

باختصار: اعتمدت سناب عددًا من التدابير لضمان أمن بيانات العملاء، كما هو موضّح أعلاه.