يُرجى الملاحظة: نشرنا الشروط الواردة أدناه فيما يتعلق بالبنود التعاقدية القياسية الجديدة المعتمدة من قبل المفوضية الأوروبية، وتُعتبر سارية المفعول بتاريخ 27 سبتمبر 2021

(أ) إنّ الغرض من هذه البنود التعاقدية القياسية هو ضمان الامتثال لمتطلبات لائحة الاتحاد الأوروبي (EU) /٦٧٩/٢٠١٦ الصادرة عن البرلمان الأوروبي والمجلس بتاريخ ٢٧ أبريل ٢٠١٦ بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وحرية نقل هذه البيانات (اللائحة العامة لحماية البيانات) (١) عند نقل البيانات الشخصية إلى دولة خارجية.

(ب) الطرفان:

(١) الشخص (الأشخاص) الطبيعي أو الاعتباري، أو السلطة/السلطات العامة، أو الوكالة/الوكالات، أو أي هيئة/هيئات أخرى (يُشار إليها فيما يلي باسم "الكيان/الكيانات") التي تنقل البيانات الشخصية، كما هو مدرج في المرفق ١.أ (يُشار إليه فيما يلي باسم "مُصدّر بيانات")، و

(٢) الكيان/الكيانات في بلد خارجي تتلقى البيانات الشخصية من مُصدّر البيانات، بصورة مباشرة أو غير مباشرة عبر كيان آخر يُعتبر أيضًا طرف في هذه البنود، كما هو مدرج في المرفق ١.أ (يُشار إليه فيما بعد باسم "مُصدّر البيانات")

قد وافقا على هذه البنود التعاقدية القياسية (يُشار إليها فيما يلي بـ "البنود").

(ج) تسري هذه البنود فيما يتعلق بنقل البيانات الشخصية على النحو المحدد في المرفق ١.ب.

(د) يُشكل ملحق هذه المواد، الذي يحتوي على المرفقات المشار إليها فيها، جزءًا لا يتجزأ من تلك المواد.

(أ) تحدد هذه البنود الضمانات المناسبة، بما في ذلك حقوق أصحاب البيانات القابلة للتنفيذ والتعويضات القانونية السارية، وفقًا للمادة ٤٦(١) والمادة ٤٦(٢)(ج) من لائحة الاتحاد الأوروبي (EU) ٦٧٩/٢٠١٦، وفيما يتعلق بنقل البيانات من المُصدّرين إلى المعالجين و/أو من المعالجين إلى المعالجين، والبنود التعاقدية القياسية وفقًا للمادة ٢٨(٧) من لائحة الاتحاد الأوروبي (EU) ٦٧٩/٢٠١٦، بشرط عدم تعديلها، باستثناء الوحدات المُحددة المناسبة أو إضافة أو تحديث المعلومات في الملحق. لا يمنع ذلك الطرفان من تضمين البنود التعاقدية القياسية المنصوص عليها في هذه البنود في عقد أوسع و/أو إضافة بنود أخرى أو ضمانات إضافية، بشرط ألا تتعارض، بشكل مباشر أو غير مباشر، مع هذه البنود أو تخل بالحقوق الأساسية أو حريات أصحاب البيانات.

(ب) لا تخل هذه البنود بالالتزامات التي يخضع لها مُصدّر البيانات بموجب لائحة الاتحاد الأوروبي (EU) ٦٧٩/٢٠١٦.

(أ) يجوز لأصحاب البيانات الاحتجاج بهذه البنود وإنفاذها، بصفتهم أطراف خارجية مستفيدة، ضد مُصدّر البيانات و/أو مُستورِد البيانات، مع وجود الاستثناءات التالية:

(١) البند ١، البند ٢، البند ٣، البند ٦، البند ٧؛

(٢) البند ٨: البند ٥.٨ (هـ) والبند ٩.٨ (ب)؛

(٤) البند ١٢: البند ١٢(أ) و(د)؛

(٥) البند ١٣؛

(٦) البند ١.١٥ (ج) و(د) و(هـ)؛

(٧) البند ١٦ (هـ)؛

(٨) البند ١٨: البند ١٨(أ) و(ب)؛

(ب) لا تُخل الفقرة (أ) بحقوق أصحاب البيانات بموجب لائحة الاتحاد الأوروبي (EU) ٦٧٩/٢٠١٦.

(أ) عند استخدام هذه البنود للمصطلحات الواردة في لائحة الاتحاد الأوروبي (EU) ٦٧٩/٢٠١٦، تُشير تلك المصطلحات إلى نفس المعنى الوارد في تلك اللائحة.

(ب) تُفهم هذه البنود وتُفسر في ضوء بنود لائحة الاتحاد الأوروبي (EU) ٦٧٩/٢٠١٦.

(ج) لا يجوز تفسير هذه البنود بطريقة تتعارض مع الحقوق والالتزامات المنصوص عليها في لائحة الاتحاد الأوروبي (EU) ٦٧٩/٢٠١٦.

عند وجود تناقض بين هذه البنود وبنود الاتفاقيات ذات الصلة بين الطرفين، الموجودة في وقت الاتفاق على هذه البنود أو أُبرمت بعد ذلك، تكون السيادة لهذه البنود.

تم تحديد تفاصيل عمليات النقل، ولا سيما فئات البيانات الشخصية المنقولة والغرض (الأغراض) من نقلها، في المرفق ١.ب.

(أ) يجوز لأي كيان ليس طرفًا في هذه البنود، وبموافقة الطرفين، الانضمام إلى هذه البنود في أي وقت، سواء كمُصدّر أو مُستورِد للبيانات، وذلك عبر استكمال الملحق والتوقيع على المرفق ١.أ.

(ب) بمجرد الانتهاء من الملحق والتوقيع على المرفق ١.أ، يصبح الكيان المنضم طرفاً في هذه البنود ويتمتع بحقوق والتزامات مُصدّر أو مُستورِد البيانات وفقًا لتخصيصه في المرفق ١.أ.

(ج) لن يكون للكيان المنضم أي حقوق أو التزامات ناشئة بموجب هذه البنود خلال الفترة السابقة قبل أن يصبح طرفًا.

تتعهد جهة تصدير البيانات بأنها بذلت جهودًا معقولة لتحديد قدرة جهة استيراد البيانات، من خلال تنفيذ التدابير التقنية والتنظيمية المناسبة، على تلبية التزاماتها بموجب هذه البنود.

لن تُجري جهة استيراد البيانات معالجة للبيانات الشخصية إلا للغرض (الأغراض) المحددة لعملية النقل، على النحو المبين في الملحق 1 ب. لا يجوز لها معالجة البيانات الشخصية لغرض آخر إلا:

(1) عند حصولها على موافقة مسبقة من صاحب البيانات؛

(2) عند الضرورة لرفع الدعاوى القانونية أو ممارستها أو الدفاع عنها في سياق إجراءات إدارية أو تنظيمية أو قضائية محددة؛

(3) عند الضرورة من أجل حماية المصالح الحيوية لصاحب البيانات أو لشخص طبيعي آخر.

(أ) بهدف تمكين أصحاب البيانات من ممارسة حقوقهم بفعالية وفقًا للبند 10، تُبلغهم جهة استيراد البيانات، مباشرة أو من خلال جهة تصدير البيانات:

(1) بهويتها وتفاصيل الاتصال بها؛

(2) بفئات البيانات الشخصية التي تُعالج؛

(3) بالحق في الحصول على نسخة من هذه البنود؛

(4) بعزمها على نقل البيانات الشخصية إلى أي طرف/أطراف ثالثة، أو بالمستلم أو بفئات المستلمين (حسب الاقتضاء بهدف تقديم معلومات ذات مغزى)، وبالغرض من هذا النقل التوسعي وبأسبابه وفقًا للبند 8.7.

(ب) لا تنطبق الفقرة (أ) عند امتلاك صاحب البيانات للمعلومات بالفعل، بما في ذلك عند تقديم جهة تصدير البيانات لهذه المعلومات بالفعل، أو عند ثبوت استحالة تقديم المعلومات أو قد ينطوي على جهد غير متناسب من جهة استيراد البيانات. في الحالة الأخيرة، تُتيح جهة استيراد البيانات، إلى أقصى حد ممكن، المعلومات للعامة.

(ج) يجب على الطرفين، عند الطلب، تقديم نسخة من هذه البنود، بما في ذلك الملحقات على النحو الذي استكملاه، لصاحب البيانات مجانًا. يجوز للطرفين تنقيح جزء من نص الملحق قبل مشاركة نسخة منه، وذلك إلى الحد الضروري لحماية الأسرار التجارية أو غيرها من المعلومات السرية، بما في ذلك البيانات الشخصية، ولكن يجب تقديم ملخص له دلالة بحيث يستطيع صاحب البيانات فهم محتواه أو ممارسة حقوقه. يجب على الطرفين، عند الطلب، إعلام صاحب البيانات بأسباب التنقيح، إلى أقصى حد ممكن دون الكشف عن المعلومات المنقحة.

(د) لا تخل الفقرات من (أ) إلى (ج) بالتزامات جهة تصدير البيانات بموجب المادة 13 والمادة 14 من اللائحة (EU) 2016/679.

(أ) يضمن كل طرف دقة البيانات الشخصية وتحديثها عند الضرورة. تتخذ جهة استيراد البيانات جميع الخطوات المعقولة للتأكد من محو البيانات الشخصية غير الدقيقة، مع مراعاة أغراض مُعالجة البيانات، أو تصحيحها بدون تأخير.

(ب) إذا علم أحد الطرفين بعدم دقة البيانات الشخصية التي نقلها أو استلمها، أو بأنها أصبحت قديمة، يجب عليه إبلاغ الطرف الآخر بدون تأخير غير مبرر.

(ج) يجب على جهة استيراد البيانات التأكد من كون البيانات الشخصية كافية وذات صلة ومحدودة بالنسبة لما هو ضروري فيما يتعلق بأغراض مُعالجة البيانات.

لن تحتفظ جهة استيراد البيانات الاحتفاظ بالبيانات الشخصية لمدة تزيد عن اللازم للأغراض التي تتم معالجتها من أجلها. يجب عليها تنفيذ تدابير تقنية أو تنظيمية مناسبة لضمان الامتثال لهذا الالتزام، بما في ذلك محو البيانات، أو إخفاء هويتها، وجميع النسخ الاحتياطية في نهاية فترة الاحتفاظ.

(أ) يجب على جهة استيراد البيانات، وكذلك جهة تصدير البيانات، أثناء النقل، تنفيذ التدابير التقنية والتنظيمية المناسبة لضمان أمن البيانات الشخصية، بما في ذلك الحماية من الانتهاك الأمني الذي يتسبب في حدوث فقد أو تغيير أو تدمير عرضي أو غير قانوني أو وصول أو إفصاح غير مصرح به (المشار إليه فيما يلي بـ "انتهاك البيانات الشخصية"). عند تقييم المستوى الأمني المناسب، يجب أن تأخذا في الاعتبار أحدث التطورات وتكاليف التنفيذ وطبيعة معالجة البيانات ونطاقها وسياقها وأغراضها والمخاطر التي تنطوي عليها بالنسبة لصاحب البيانات. يتعين على الطرفين اعتبار اللجوء إلى التشفير أو الأسماء المستعارة، على وجه الخصوص، بما في ذلك أثناء الإرسال، بحيث يمكن تحقيق الغرض من المعالجة بهذه الطريقة.

(ب) اتفق الطرفان على التدابير التقنية والتنظيمية الواردة في الملحق 2. تُجري جهة استيراد البيانات فحوصات منتظمة لضمان استمرار هذه التدابير في توفير مستوى أمني مناسب.

(ج) يجب على جهة استيراد البيانات التأكد من التزام الأشخاص المصرح لهم بمعالجة البيانات الشخصية بالسرية أو من خضوعهم لالتزام قانوني مناسب بالسرية.

(د) عند حدوث انتهاك للبيانات الشخصية فيما يتعلق بالبيانات الشخصية التي تُعالجها جهة استيراد البيانات بموجب هذه البنود، يجب على جهة استيراد البيانات اتخاذ التدابير المناسبة لمعالجة انتهاك البيانات الشخصية، بما في ذلك التدابير اللازمة للتخفيف من آثاره السلبية المحتملة.

(هـ) عند حدوث انتهاك للبيانات الشخصية على نحو قد يُشكل خطرًا على حقوق وحريات الأشخاص الطبيعيين، يجب على جهة استيراد البيانات إخطار كل من جهة تصدير البيانات والجهة الرقابية المختصة بدون تأخير غير مُبرر وفقًا للبند 13. يجب أن يحتوي هذا الإشعار على 1) وصف لطبيعة الانتهاك (بما في ذلك الفئات والعدد التقريبي لأصحاب البيانات وسجلات البيانات الشخصية المعنية، حيثما أمكن ذلك)، 2) عواقبه المحتملة، 3) التدابير المتخذة أو المقترحة لمعالجة الانتهاك، و4) تفاصيل نقطة الاتصال التي يمكن معرفة معلومات أكثر من خلالها. تستطيع جهة استيراد البيانات القيام بذلك على مراحل بدون مزيد من التأخير غير المبرر، إلى الحد الذي يتعذر فيه عليها توفير جميع المعلومات في نفس الوقت.

(و) عند حدوث انتهاك للبيانات الشخصية على نحو قد يُشكل مخاطر عالية على حقوق وحريات الأشخاص الطبيعيين، يجب على جهة استيراد البيانات أيضًا إخطار أصحاب البيانات المعنيبن بانتهاك البيانات الشخصية وطبيعته بدون تأخير غير مبرر، بالتعاون مع جهة تصدير البيانات إذا لزم الأمر، بالإضافة إلى المعلومات المشار إليها في الفقرة (هـ)، النقاط من 2) إلى 4)، إلا إذا نفذت جهة استيراد البيانات تدابير للحد بشكل كبير من المخاطر الواقعة على حقوق أو حريات الأشخاص الطبيعيين، أو إشعار ينطوي على جهود غير متكافئة. بدلاً من ذلك، يجب على جهة استيراد البيانات في الحالة الأخيرة إصدار إعلام عام أو اتخاذ إجراء مماثل لإبلاغ العامة بانتهاك البيانات الشخصية.

(ز) يجب على جهة استيراد البيانات توثيق جميع الحقائق ذات الصلة المتعلقة بانتهاك البيانات الشخصية، بما في ذلك آثاره وأي إجراء علاجي تم اتخاذه، مع الاحتفاظ بسجل لها.

إذا تضمنت عملية النقل بيانات شخصية تكشف عن الأصل العرقي أو الإثني أو الآراء السياسية أو المعتقدات الدينية أو الفلسفية أو عضوية النقابات العمالية أو البيانات الجينية أو البيانات البيومترية بغرض تحديد هوية الشخص الطبيعي بشكل فريد أو البيانات المتعلقة بالصحة أو الحياة الجنسية أو التوجه الجنسي للفرد أو البيانات المتعلقة بالإدانات أو الجرائم الجنائية (يشار إليها فيما يلي باسم "البيانات الحساسة")، يجب على جهة استيراد البيانات تطبيق قيود محددة و/أو ضمانات إضافية تتكيف مع الطبيعة المحددة للبيانات والمخاطر التي تنطوي عليها. قد يشمل ذلك تقييد الأفراد المسموح لهم بالوصول إلى البيانات الشخصية و/أو تدابير أمنية إضافية (مثل الأسماء المستعارة) و/أو قيود إضافية فيما يتعلق بالإفصاح الإضافي.

يجب ألا تفصح جهة استيراد البيانات عن البيانات الشخصية لطرف ثالث موجود خارج الاتحاد الأوروبي (في نفس دولة جهة استيراد البيانات أو في دولة ثالثة آخر، يشار إليها فيما يلي باسم "النقل التوسعي") ما لم يكن الطرف الثالث ملزمًا بهذه البنود أو موافقًا على الالتزام بها، في إطار الوحدة المناسبة. خلافًا لذلك، لا تستطيع جهة استيراد البيانات إجراء النقل التوسعي إلا في الحالات التالية:

(1) يكون النقل إلى دولة تستفيد من أحد قرارات الكفاية وفقًا للمادة 45 من اللائحة (EU) 2016/679 التي تتناول النقل التوسعي؛

(2) يضمن الطرف الثالث وجود الضمانات المناسبة وفقًا للمادة 46 أو المادة 47 من اللائحة (EU) 2016/679 فيما يتعلق بمعالجة البيانات المعنية؛

(3) يبرم الطرف الثالث اتفاقية ملزمة مع جهة استيراد البيانات لضمان نفس مستوى حماية البيانات على النحو الوارد في هذه البنود، وتُقدم جهة استيراد البيانات نسخة من هذه الضمانات إلى جهة تصدير البيانات؛

(4) عند الضرورة لرفع الدعاوى القانونية أو ممارستها أو الدفاع عنها في سياق إجراءات إدارية أو تنظيمية أو قضائية محددة؛

(5) عند الضرورة من أجل حماية المصالح الحيوية لصاحب البيانات أو لشخص طبيعي آخر؛

(6) عند انعدام سريان أي من الشروط الأخرى، تكون جهة استيراد البيانات قد حصلت على موافقة صريحة من صاحب البيانات على نقلها نقلاً توسعيًا في موقف معين، وذلك بعد إبلاغه بالأغراض وهوية المستلم والمخاطر المحتملة لمثل هذا النقل بسبب عدم وجود ضمانات مناسبة لحماية البيانات. يجب على جهة استيراد البيانات في هذه الحالة إبلاغ جهة تصدير البيانات؛ وبناءً على طلب هذه الأخيرة، يجب عليها إرسال نسخة من المعلومات المُقدمة إلى صاحب البيانات.

يخضع أي نقل توسعي لامتثال جهة استيراد البيانات لجميع الضمانات الأخرى بموجب هذه البنود، ولا سيما تقييد الغرض.

يجب على جهة استيراد البيانات التأكد من عدم قيام أي شخص يعمل تحت سلطتها، بما في ذلك جهة معالجة البيانات، بمعالجة البيانات إلا وفق تعليماتها.

(أ) يجب على كل طرف إثبات امتثاله لالتزاماته بموجب هذه البنود. على وجه التحديد، يجب على جهة استيراد البيانات الاحتفاظ بالوثائق المناسبة الخاصة بأنشطة معالجة البيانات المُنفذة تحت مسؤوليتها.

(ب) يجب على جهة استيراد البيانات إتاحة هذه الوثائق للجهة الرقابية المختصة عند الطلب.

غير قابل للتطبيق

(أ) يجب على جهة استيراد البيانات، بمساعدة جهة تصدير البيانات عند الاقتضاء، الاستجابة لأي استفسارات وطلبات تتلقاها من صاحب البيانات، فيما يتعلق بمعالجة بياناته الشخصية وممارسة حقوقه بموجب هذه البنود، بدون تأخير غير مبرر وفي غضون شهر واحد على الأكثر من استلام الاستفسار أو الطلب. يجب على جهة استيراد البيانات اتخاذ التدابير المناسبة لتيسير هذه الاستفسارات والطلبات وممارسة حقوق صاحب البيانات. أي معلومات تُقدم إلى صاحب البيانات يجب أن تكون واضحة ويسهل الوصول إليها، وبلغة واضحة وسهلة.

(ب) على وجه التحديد، وبناءً على طلب صاحب البيانات، تلتزم جهة استيراد البيانات بالآتي مجانًا:

(1) تقديم تأكيد إلى صاحب البيانات بخصوص ما إذا كانت بياناته الشخصية تتم معالجتها، وتُقدم في هذه الحالة نسخة من بياناته والمعلومات الواردة في الملحق 1؛ وفي حال نقل البيانات الشخصية، أو سيتم نقلها، نقلاً توسعيًا، تُقدم معلومات عن المستلمين أو فئات المستلمين (حسب الاقتضاء بهدف تقديم معلومات ذات دلالة) التي تُنقل أو ستنُقل إليها البيانات الشخصية نقلاً توسعيًا والغرض من عمليات النقل التوسعي وسببها وفقًا للبند 8.7؛ وتقديم معلومات عن الحق في تقديم شكوى إلى الجهة الرقابية وفقًا للبند 12 (ج) (1)؛

(2) تصحيح البيانات غير الدقيقة أو غير الكاملة المتعلقة بصاحب البيانات؛

(3) محو البيانات الشخصية المتعلقة بصاحب البيانات في حال مُعالجة هذه البيانات، في السابق أو حاليًا، بشكل ينتهك أيًا من هذه البنود التي تضمن حقوق الطرف الثالث المستفيد، أو في حال رجوع صاحب البيانات عن الموافقة التي تستند إليها معالجة البيانات.

(ج) عند قيام جهة استيراد البيانات بمعالجة البيانات الشخصية لأغراض التسويق المباشر، يجب عليها التوقف عن معالجة البيانات لهذه الأغراض في حال اعتراض صاحب البيانات على ذلك.

(د) لا يحق لجهة استيراد البيانات اتخاذ قرار لا يعتمد إلا على معالجة البيانات الآلية للبيانات الشخصية المنقولة (المُشار إليها فيما يلي باسم "القرار الآلي")، مما يُحدث آثارًا قانونية تتعلق بصاحب البيانات أو يؤثرًا على صاحب البيانات تأثيرًا كبيرًا، إلا في حال وجود موافقة صريحة من صاحب البيانات أو إذا كان ذلك مصرحًا به بموجب قوانين الدولة المقصد، شريطة أن تُطبق هذه القوانين تدابير مناسبة لحماية حقوق صاحب البيانات ومصالحه المشروعة. يجب على جهة استيراد البيانات في هذه الحالة، عند الضرورة وبالتعاون مع جهة تصدير البيانات:

(1) إبلاغ صاحب البيانات بالقرار الآلي المتصور والعواقب المتصورة والمنطق المتضمَن؛

(2) تنفيذ الضمانات المناسبة، من خلال تمكين صاحب البيانات من الاعتراض على القرار والتعبير عن وجهة نظره والحصول على مراجعة بشرية، وذلك على أقل تقدير.

(هـ) إذا كانت طلبات صاحب البيانات مُبالغ فيها، لا سيما بسبب طبيعتها المتكررة، تستطيع جهة استيراد البيانات إما فرض رسوم معقولة، مع مراعاة التكاليف الإدارية لتنفيذ الطلب، أو رفض التصرف بناءً على الطلب.

(و) تستطيع جهة استيراد البيانات رفض طلب صاحب البيانات عندما يكون هذا الرفض مسموحًا به بموجب قوانين الدولة المقصد وضروريًا ومتناسبًا في مجتمع ديمقراطي بهدف حماية أحد الأهداف المدرجة في المادة 23 (1) من اللائحة (EU) 2016/679.

(ز) إذا عزمت جهة استيراد البيانات على رفض طلب صاحب البيانات، يجب عليها إبلاغ صاحب البيانات بأسباب الرفض وإمكانية تقديم شكوى إلى الجهة الرقابية المختصة و/أو السعي للحصول على تعويض قضائي.

(أ) يجب على جهة استيراد البيانات إبلاغ أصحاب البيانات بنقطة اتصال مُخول لها النظر في الشكاوى، ويكون ذلك بتنسيق شفاف ويسهل الوصول إليه، من خلال إشعار فردي أو على موقعها الإلكتروني. يجب عليها التعامل الفوري مع أي شكاوى تتلقاها من أحد أصحاب البيانات.

(ب) عند نشوب نزاع بين صاحب بيانات وأحد الطرفين فيما يتعلق بالامتثال لهذه البنود، يجب على هذا الطرف بذل قصارى جهده لحل المشكلة وديًا وفي الوقت المناسب. يُعلم الطرفان بعضهما بمثل هذه النزاعات، ويتعاونان في حلها، عند الاقتضاء.

(ج) إذا طالب صاحب البيانات بحق طرف ثالث مستفيد وفقًا للبند 3، يجب على جهة استيراد البيانات قبول قرار صاحب البيانات بـ:

(1) تقديم شكوى إلى الجهة الرقابية في الدولة العضو المُقيم فيها أو يوجد مكان عمله فيها، أو إلى الجهة الرقابية المختصة وفقًا للبند 13؛

(2) إحالة النزاع إلى المحاكم المختصة وفق المعنى المقصود في البند 18.

(د) يقبل الطرفان تمثيل صاحب البيانات من قبل هيئة أو منظمة أو جمعية غير هادفة للربح بموجب الشروط المنصوص عليها في المادة 80 (1) من اللائحة (EU) 2016/679.

(هـ) تلتزم جهة استيراد البيانات بالقرارات الملزمة بموجب قانون الاتحاد الأوروبي أو قانون الدولة العضو الساري.

(و) توافق جهة استيراد البيانات على أن اختيار صاحب البيانات لن يخل بحقوقه الموضوعية والإجرائية في طلب الجزاءات وفقًا للقوانين السارية.

(أ) يتحمل كل طرف المسؤولية القانونية أمام الأطراف الأخرى عن أي أضرار تتسبب فيها الأطراف الأخرى بسبب أي خرق لهذه البنود.

(ب) يتحمل كل طرف المسؤولية القانونية أمام صاحب البيانات، ويحق لصاحب البيانات الحصول على تعويض عن أي أضرار مادية أو غير مادية يتسبب فيها الطرف لصاحب البيانات نتيجة انتهاك حقوق الطرف الثالث المستفيد بموجب هذه البنود. لا يُخل ذلك بالمسؤولية القانونية لجهة تصدير البيانات بموجب اللائحة (EU) 2016/679.

(ج) عند وجود أكثر من طرف واحد مسؤول عن أي ضرر يلحق بصاحب البيانات نتيجة خرق هذه البنود، تتحمل جميع الأطراف المسؤولة المسؤولية القانونية مجتمعين ومنفردين، ويحق لصاحب البيانات رفع دعوى أمام المحكمة ضد أي من هذه الأطراف.

(د) اتفق الطرفان على أنه إذا كان أحد الأطراف مسؤولاً قانونًا بموجب الفقرة (ج)، يحق له مطالبة الأطراف الأخرى بذلك الجزء من التعويض الناجم عن مسؤوليتهم عن الضرر.

(هـ) لا يحق لجهة استيراد البيانات الاحتجاج بسلوك جهة معالجة البيانات أو جهة معالجة البيانات الفرعية لإخلاء مسؤوليتها القانونية الخاصة.

(أ) اتفق الطرفان على اعتبار هيئة حماية البيانات الهولندية (Autoriteit Persoonsgegevens) الجهة الرقابية المسؤولة عن ضمان امتثال جهة تصدير البيانات للائحة (EU) 2016/679 فيما يتعلق بنقل البيانات، وستتصرف باعتبارها الجهة الرقابية المختصة.

(ب) توافق جهة استيراد البيانات على الخضوع للاختصاص القضائي والتعاون مع الجهة الرقابية المختصة في أي إجراءات تهدف إلى ضمان الامتثال لهذه البنود. على وجه التحديد، توافق جهة استيراد البيانات على الرد على الاستفسارات وتقديم عمليات التدقيق والامتثال للتدابير المتخذة من قبل الجهة الرقابية، بما في ذلك التدابير الإصلاحية والتعويضية. يجب على جهة استيراد البيانات تقديم تأكيد كتابي إلى الجهة الرقابية بأنه قد تم اتخاذ الإجراءات اللازمة.

(أ) يتعهد الطرفان بعدم وجود سبب يستدعي الاعتقاد بأن القوانين والممارسات الموجودة في دولة مقصد الطرف الثالث، والسارية على معالجة البيانات الشخصية من طرف جهة استيراد البيانات، بما في ذلك أي متطلبات للإفصاح عن البيانات الشخصية أو التدابير التي تمنح إمكانية الوصول من طرف السلطات العامة، تمنع جهة استيراد البيانات من الوفاء بالتزاماتها بموجب هذه البنود. يعتمد ذلك على المعرفة بعدم تعارض القوانين والممارسات، التي تحترم جوهر الحقوق والحريات الأساسية ولا تتجاوز ما هو ضروري ومتناسب في مجتمع ديمقراطي بهدف حماية أحد الأهداف المدرجة في المادة 23 (1) من اللائحة (EU) 2016/679، مع هذه البنود.

(ب) يقر الطرفان أنهما، عند تقديم الضمان الوارد في الفقرة (أ)، قد راعيا على النحو الواجب العناصر التالية تحديدًا:

(1) الظروف المحددة لعملية النقل، بما في ذلك طول سلسلة معالجة البيانات وعدد الجهات الفاعلة المشاركة وقنوات الإرسال المستخدمة؛ وعمليات النقل التوسعي المزمعة؛ ونوع المتلقي؛ والغرض من معالجة البيانات؛ وفئات البيانات الشخصية المنقولة وتنسيقها؛ والقطاع الاقتصادي الذي يتم فيه النقل؛ وموقع تخزين البيانات المنقولة؛

(2) قوانين وممارسات دولة مقصد الطرف الثالث - بما في ذلك تلك التي تتطلب الإفصاح عن البيانات للسلطات العامة أو السماح لهذه السلطات بالوصول إليها - في ضوء الظروف المحددة للنقل، والقيود والضمانات السارية؛

(3) أي ضمانات تعاقدية أو تقنية أو تنظيمية ذات صلة تم وضعها لتكملة الضمانات بموجب هذه البنود، بما في ذلك التدابير المطبقة أثناء الإرسال وعلى معالجة البيانات الشخصية في دولة المقصد.

(ج) تتعهد جهة استيراد البيانات، عند إجراء التقييم بموجب الفقرة (ب)، ببذل قصارى جهدها لتزويد جهة تصدير البيانات بالمعلومات ذات الصلة، وتوافق على استمرارها في التعاون مع جهة تصدير البيانات بشأن ضمان الامتثال لهذه البنود.

(د) وافق الطرفان على توثيق التقييم بموجب الفقرة (ب) وإطلاع الجهة الرقابية المختصة عليه عند الطلب.

(هـ) توافق جهة استيراد البيانات على إخطار جهة تصدير البيانات على الفور إذا ظهر لديها، بعد الموافقة على هذه البنود وطوال مدة العقد، سبب يستدعي الاعتقاد بأنها تخضع أو أصبحت تخضع لقوانين أو ممارسات تتعارض مع المتطلبات المنصوص عليها في الفقرة (أ)، بما في ذلك بعد حدوث تغيير في قوانين دولة الطرف الثالث أو حدوث إجراء (مثل طلب الإفصاح) يشير إلى تطبيق هذه القوانين على الممارسة بما يتعارض مع المتطلبات الواردة في الفقرة (أ).

(و) بعد الإشعار وفقًا للفقرة (هـ)، أو إذا وجد لدى جهة تصدير البيانات سبب آخر يستدعي الاعتقاد بأن جهة استيراد البيانات لم تعد قادرة على الوفاء بالتزاماتها بموجب هذه البنود، يجب على جهة تصدير البيانات تحديد التدابير المناسبة على الفور (على سبيل المثال التدابير التقنية أو التنظيمية لضمان الأمن والسرية) التي يجب على جهة تصدير البيانات و/أو جهة استيراد البيانات اتباعها لمعالجة الموقف. يجب على جهة تصدير البيانات تعليق نقل البيانات في حال عدم تأكدها من وجود أي ضمانات مناسبة لمثل هذا النقل، أو إذا طلبت منها الجهة الرقابية المختصة القيام بذلك. يحق لجهة تصدير البيانات في هذه الحالة إنهاء العقد، بقدر ما يتعلق بمعالجة البيانات الشخصية بموجب هذه البنود. إذا اشتمل العقد على أكثر من طرفين، لا يجوز لجهة تصدير البيانات ممارسة هذا الحق في الإنهاء إلا فيما يتعلق بالطرف المعني، ما لم يتفق الطرفان على خلاف ذلك. عند إنهاء العقد وفقًا لهذا البند، يتم تطبيق البند 16 (د) و(هـ).

(أ) توافق جهة استيراد البيانات على إخطار جهة تصدير البيانات وصاحب البيانات، حيثما أمكن، على الفور (وبمساعدة جهة تصدير البيانات عند الضرورة) إذا:

(1) تلقت طلبًا ملزمًا قانونًا من سلطة عامة، بما في ذلك السلطات القضائية، بموجب قوانين الدولة المقصد للإفصاح عن البيانات الشخصية المنقولة وفقًا لهذه البنود؛ ويجب أن يتضمن هذا الإشعار معلومات عن البيانات الشخصية المطلوبة والسلطة الطالبة والأساس القانوني للطلب والاستجابة المقدمة؛

(2) علمت بأي إمكانية وصول مباشر من طرف السلطات العامة إلى البيانات الشخصية المنقولة وفقًا لهذه البنود وفقًا لقوانين الدولة المقصد؛ ويجب أن يتضمن هذا الإشعار جميع المعلومات المتاحة لجهة استيراد البيانات.

(ب) في حال منع جهة استيراد البيانات من إخطار جهة تصدير البيانات و/أو صاحب البيانات بموجب قوانين الدولة المقصد، توافق جهة استيراد البيانات على بذل قصارى جهدها للحصول على تنازل عن المنع، بهدف توصيل أكبر قدر ممكن من المعلومات، في أسرع وقت ممكن. توافق جهة استيراد البيانات على توثيق أفضل جهودها حتى تتمكن من إثباتها بناءً على طلب جهة تصدير البيانات.

(ج) توافق جهة استيراد البيانات، حيثما يكون ذلك مسموحًا به بموجب قوانين الدولة المقصد، على تزويد جهة تصدير البيانات بأكبر قدر ممكن من المعلومات ذات الصلة الخاصة بالطلبات المستلمة، وذلك على فترات منتظمة طوال مدة العقد (على وجه التحديد، عدد الطلبات، ونوع البيانات المطلوبة، والسلطة/السلطات الطالبة، وما إذا كانت الطلبات قد تم الطعن فيها ونتائج هذه الطعون، وما إلى ذلك).

(د) توافق جهة استيراد البيانات على الاحتفاظ بالمعلومات وفقًا للفقرات من (أ) إلى (ج) طوال مدة العقد وإتاحتها للجهة الرقابية المختصة عند الطلب.

(هـ) لا تخل الفقرات من (أ) إلى (ج) بالتزام جهة استيراد البيانات، وفقًا للبند 14 (هـ) والبند 16، بإبلاغ جهة تصدير البيانات على الفور في حال عدم قدرتها على الامتثال لهذه البنود.

(أ) توافق جهة استيراد البيانات على مراجعة شرعية طلب الإفصاح، لا سيما ما إذا كان لا يزال ضمن الصلاحيات الممنوحة للسلطة العامة الطالبة، وعلى الطعن في الطلب إذا استنتجت، بعد التقييم الدقيق، وجود أسباب معقولة لاعتبار كون الطلب غير قانوني بموجب قوانين الدولة المقصد والالتزامات السارية بموجب القانون الدولي ومبادئ المجاملة الدولية. يتعين على جهة استيراد البيانات، في ظل نفس الظروف، متابعة إمكانيات الاستئناف. عند الطعن في أحد الطلبات، يجب على جهة استيراد البيانات السعي إلى اتخاذ تدابير مؤقتة بهدف تعليق آثار الطلب لحين بت السلطة القضائية المختصة في مَوْضُوع الدّعْوَى. لا يجوز لها الكشف عن البيانات الشخصية المطلوبة حتى يُطلب منها ذلك بموجب القواعد الإجرائية السارية. لا تخل هذه المتطلبات بالتزامات جهة استيراد البيانات بموجب البند 14 (هـ).

(ب) توافق جهة استيراد البيانات على توثيق تقييمها القانوني وأي طعن في طلب الإفصاح وإطلاع جهة تصدير البيانات على الوثائق إلى الحد المسموح به بموجب قوانين الدولة المقصد. كما يجب إطلاع الجهة الرقابية المختصة عليها عند الطلب.

(ج) توافق جهة استيراد البيانات على تقديم الحد الأدنى من المعلومات المسموح به عند الاستجابة لطلب الإفصاح، بناءً على تفسير معقول للطلب.

(أ) يجب على جهة استيراد البيانات إبلاغ جهة تصدير البيانات على الفور إذا تعذر عليها الامتثال لهذه البنود، أيًا كان السبب.

(ب) إذا انتهكت جهة استيراد البيانات هذه البنود أو تعذر عليها الامتثال لهذه البنود، يجب على جهة تصدير البيانات تعليق نقل البيانات الشخصية إلى جهة استيراد البيانات، إلى أن يتم ضمان الامتثال مرة أخرى، أو إنهاء العقد. لا يخل ذلك بالبند ١٤ (و).

(ج) يحق لجهة تصدير البيانات إنهاء العقد بقدر ما يتعلق بمعالجة البيانات الشخصية بموجب هذه البنود إذا:

(١) علقت جهة تصدير البيانات نقل البيانات الشخصية إلى جهة استيراد البيانات وفقًا للفقرة (ب) ولم يُعاد الامتثال لهذه البنود في غضون فترة زمنية معقولة، في خلال شهر واحد من التعليق في أي حال من الأحوال؛

(٢) انتهكت جهة استيراد البيانات هذه البنود انتهاكًا جوهريًا أو مستمرًا؛

(٣) تعذر على جهة استيراد البيانات في الامتثال لقرار مُلزم صادر عن محكمة مختصة أو جهة رقابية فيما يتعلق بالتزاماتها بموجب هذه البنود.

يجب عليها، في هذه الحالات، إبلاغ الجهة الرقابية المختصة بعدم الامتثال. إذا اشتمل العقد على أكثر من طرفين، لا يجوز لجهة تصدير البيانات ممارسة هذا الحق في الإنهاء إلا فيما يتعلق بالطرف المعني، ما لم يتفق الطرفان على خلاف ذلك.

(د) تُعاد البيانات الشخصية التي تم نقلها قبل إنهاء العقد وفقًا للفقرة (ج)، فورًا وبناءً على اختيار جهة تصدير البيانات، إلى جهة تصدير البيانات أو تُحذف بالكامل. وينطبق الأمر نفسه على أي نسخ من البيانات. يجب على جهة استيراد البيانات الإقرار بحذف البيانات إلى جهة تصدير البيانات. يجب على جهة استيراد البيانات الاستمرار في ضمان الامتثال لهذه البنود إلى أن يتم حذف البيانات أو إعادتها. في حال وجود قوانين محلية سارية تحظر على جهة استيراد البيانات إعادة البيانات الشخصية المنقولة أو حذفها، تتعهد جهة استيراد البيانات بأنها ستستمر في ضمان الامتثال لهذه البنود وبأنها لن تقوم بمعالجة البيانات إلا إلى الحد اللازم وطالما يكون ذلك لازمًا بموجب ذلك القانون المحلي.

(هـ) يجوز لأي من الطرفين سحب موافقته على الالتزام بهذه البنود إذا (1) اعتمدت المفوضية الأوروبية قرارًا وفقًا للمادة ٤٥ (٣ ) من اللائحة (EU) 2016/679 التي تتناول نقل البيانات الشخصية الذي تنطبق عليه البنود؛ أو (٢) أصبحت اللائحة (EU) 2016/679 جزءًا من الإطار القانوني للدولة التي تُنقل البيانات الشخصية إليها. لا يخل ذلك بالالتزامات الأخرى التي تنطبق على معالجة البيانات المعنية بموجب اللائحة (EU) 2016/679.

تخضع هذه البنود لقانون إحدى الدول الأعضاء في الاتحاد الأوروبي، بشرط أن يسمح هذا القانون بحقوق الطرف الثالث المستفيد. اتفق الطرفان على اعتبار قانون هولندا هو ذلك القانون.

(أ) عند نشوب أي نزاع بخصوص هذه البنود، يتم حله عن طريق محاكم إحدى الدول الأعضاء في الاتحاد الأوروبي.

(ب) اتفق الطرفان على اعتبار محاكم هولندا هي تلك المحاكم.

(ج) يحق لصاحب البيانات أيضًا رفع دعاوى قانونية ضد جهة تصدير البيانات و/أو جهة استيراد البيانات أمام محاكم الدولة العضو التي يقيم فيها بانتظام.

(د) اتفق الطرفان على الخضوع لاختصاص هذه المحاكم.

للحصول على معلومات في الملحقين الأول والثاني، ارجع إلى الجدولين ۱ و۲ من اتفاقية نشر البيانات.