اتفاقية معالجة البيانات

تاريخ النفاذ: ٢١ سبتمبر ٢٠٢٢

إشعار التحكيم: إنّك ملزم ببند التحكيم المنصوص عليه في شروط خدمات النشاط التجاري. في حال تعاقدك مع .Snap Inc، فإنّك وSnap Inc. تتنازلا عن أي حق للدخول في أي دعوى لقضية فئوية أو تحكيم جماعي.

مقدمة

تُشكّل اتفاقية معالجة البيانات هذه ("الاتفاقية") عقدًا ملزمًا قانونيًا بينك وبين Snap، وتنطبق إلى الحد الذي تعالج فيه بيانات العميل الشخصية نيابةً عن Snap عندما تكون Snap هي المُتحكّم في البيانات، وتكون مدرجة في شروط خدمات النشاط التجاري. بعض الشروط المستخدمة في هذه الاتفاقية معرّفة في شروط خدمات النشاط التجاري. تعمل .Snap Inc كمُتحكّم في البيانات بموجب هذه الاتفاقية بغض النظر عن كيان Snap الذي تتعاقد معه لخدمات النشاط التجاري.

١. التعريفات

مُصطلح "البيانات الشخصية للعميل" يعني البيانات الشخصية الخاصة بموضوعات البيانات في المنطقة الاقتصادية الأوروبية وسويسرا والمملكة المتحدة والبرازيل التي تقدمها لك Snap عندما تكون Snap هي المُتحكّم في البيانات.

"المُتحكّم في البيانات" يعني المُتحكّم على النحو المحدد في اللائحة العامة لحماية البيانات GDPR أو القانون العام لحماية البيانات في المملكة المتحدة UK GDPR أو القانون العام لحماية البيانات الشخصية LGPD، حسب الاقتضاء، الذي يحدد بمفرده أو بالاشتراك مع آخرين أغراض ووسائل معالجة بيانات العميل الشخصية. وفي هذه الاتفاقية .Snap Inc هي المُتحكّم في البيانات.

"قانون حماية البيانات" يعني قوانين حماية البيانات في المنطقة الاقتصادية الأوروبية وسويسرا والمملكة المتحدة والبرازيل السارية على معالجة بيانات العميل الشخصية بموجب هذه الاتفاقية، بما في ذلك القانون العام لحماية البيانات GDPR وقوانين حماية البيانات في المملكة المتحدة والقانون العام لحماية البيانات الشخصية LGPD.

يشير اختصار (EEA) إلى المنطقة الاقتصادية الأوروبية.

تشير اللائحة العامة لحماية البيانات (GDPR) إلى لائحة الاتحاد الأوروبي (EU) رقم ۲۰۱٦/٦۷۹ الخاصة بالبرلمان الأوروبي للمجلس بتاريخ ۲۷ أبريل ۲۰۱٦ بشأن حماية الأشخاص الطبيعيين، فيما يتعلق بمعالجة البيانات الشخصية وحرية حركة هذه البيانات، وإلغاء التوجيه رقم ٤٦/۹٥/EC.

يُشير قانون حماية البيانات العامة (LGPD) إلى قانون حماية البيانات العامة البرازيلي (Lei Geral de Proteção de Dados Pessoais).

مُصطلح "خرق البيانات الشخصية" يعني التلف العرضي أو غير القانوني أو الفقد أو التغيير أو الكشف غير المصرح به عن بيانات العميل الشخصية أو الوصول إليها على الأنظمة التي تديرها أو تتحكم فيها.

مصطلح "المعالجات الفرعية" يعني الأطراف الثالثة المُصرّح لها بالوصول إلى البيانات الشخصية للعميل ومعالجتها بموجب هذه الاتفاقية.

تُشير (UK) إلى المملكة المتحدة.

تُشير "قوانين حماية البيانات في المملكة المتحدة" إلى اللائحة العامة لحماية البيانات (GDPR) حيث تُشكّل جزءًا من قانون إنجلترا وويلز وإسكتلندا وأيرلندا الشمالية بموجب المادة رقم ٣ من قانون الاتحاد الأوروبي (الإلغاء) لعام ٢٠١٨ في المملكة المتحدة (اللائحة العامة لحماية البيانات في المملكة المتحدة) وقانون حماية البيانات لعام ٢٠١٨.

المصطلحات "البيانات الشخصية" و"موضوع البيانات" و"المعالجة" و"المتحكم" و"المعالج" و"الممثل" و"السلطة الإشرافية"، كل منها على النحو المستخدم في هذه الاتفاقية، لها المعاني الواردة في اللائحة العامة لحماية البيانات GDPR أو القانون العام لحماية البيانات في المملكة المتحدة UK GDPR أو القانون العام لحماية البيانات الشخصية LGPD، حسب الاقتضاء، في كل حالة بغض النظر عمّا إذا كان قانون حماية البيانات ينطبق أمْ لا.

٢. معالجة البيانات الشخصية للعميل

أ. أدوار الأطراف. ستُعالج البيانات الشخصية للعميل كجهة معالجة نيابةً عن وكما هو محدد من قبل المتحكم في البيانات، ووفقًا للمادة ٢٨ (١) من اللائحة العامة لحماية البيانات (GDPR) واللائحة العامة لحماية البيانات (GDPR) بالمملكة المتحدة وقانون حماية البيانات الشخصية العام (LGPD) حسب الاقتضاء.

ب. التعيين. يُعيّنك المُتحكّم في البيانات لمعالجة البيانات الشخصية للعميل نيابةً عن المُتحكّم في البيانات فقط حسب الضرورة لدعم مُعلني Snap وكما قد يتم الاتفاق عليه فيما بعد من قبل الطرفين كتابةً.

ج. شرعية معالجة البيانات. يُعتبر المُتحكّم في البيانات مسؤولاً عن ضمان سريان الأساس القانوني الصحيح لمعالجة البيانات الشخصية للعميل.

د. تفاصيل معالجة البيانات. تم توضيح الموضوع وتفاصيل معالجة البيانات في الجدول رقم ١ في هذه الاتفاقية.

هـ. امتثال القانون. يوافق كل طرف على امتثال التزاماته بموجب قانون حماية البيانات فيما يتعلق بأيٍ من بيانات العميل الشخصية التي تتم معالجتها بموجب هذه الاتفاقية أو فيما يتعلق بها. دون الإخلال بما سبق، لن تُعالج بيانات العميل الشخصية بطريقة تؤدي أو من المحتمل أن تؤدي إلى انتهاك المُتحكّم في البيانات التزاماته بموجب قانون حماية البيانات. ستُبلّغ المُتحكّم في البيانات على الفور إذا كنت ترى أن تعليمات المُتحكّم في البيانات تنتهك قانون حماية البيانات.

٣. التزامات Snap

أ. معالجة بيانات العميل الشخصية. إنّك لن تُعالِج بيانات العميل الشخصية إلّا وفق شروط خدمات النشاط التجاري وهذه الاتفاقية، ولن تستخدم بيانات العميل الشخصية أو تعالجها لأي غرض آخر بخلاف صفتك كجهة لمعالجة البيانات، ومعينة من قبل المُتحكِّم في البيانات.

ب. أمن البيانات. وفق المادة ۳۲ من القانون العام لحماية البيانات (GDPR)، واللائحة العامة لحماية البيانات (GDPR) في المملكة المتحدة، وقانون حماية البيانات العامة (LGPD)، حسب مقتضى الحال، وكما هو موضح في جدول ۲ من هذه الاتفاقية، فإنّك تنفذ وتحافظ على جميع التدابير الفنية والإدارية والتنظيمية المناسبة اللازمة من أجل: (۱) ضمان مستوى السرية والأمان بما يناسب المخاطر التي تمثلها معالجة وطبيعة بيانات العميل الشخصية؛ و (۲) منع المعالجة غير المصرح بها أو غير القانونية لبيانات العميل الشخصية أو الفقد العرضي أو الكشف عن البيانات الشخصية للعميل أو تدميرها أو إتلافها.

ج. عدم الإفصاح. إنّك لن تنشر أو تكشف أو تفشي (وتضمن عدم نشر موظفيك بيانات العميل الشخصية أو الكشف عنها أو إفشاؤها) لأي طرف خارجي ما لم يمنحك المُتحكِّم في البيانات موافقته الكتابية المسبقة.

د. السرية. إنّك تضمن أن الأفراد الذين قد يُطلب منهم المساعدة في الوفاء بالتزاماتهم بموجب شروط خدمات النشاط التجاري أو هذه الاتفاقية هم فقط من يمكنهم الوصول إلى البيانات الشخصية للعميل، وأن هؤلاء الأفراد ملزمون بالالتزامات المناسبة الخاصة بالسرية، واتخاذ جميع الخطوات المعقولة وفق أفضل ممارسات الصناعة لضمان سرية البيانات الشخصية للعميل.

هـ. التعاون. إنّك تقدِّم التعاون والمساعدة الرشيدة إلى المُتحكِّم في البيانات حيث قد يطلب المُتحكِّم في البيانات بصورة معقول السماح للمُتحكِّم في البيانات امتثال التزاماته بموجب المواد من ۳۲ إلى ۳٦ من القانون العام لحماية البيانات (GDPR)، والقانون العام لحماية البيانات (GDPR) في المملكة المتحدة، وقانون حماية البيانات العامة (LGPD)، حسب الاقتضاء، بما في ذلك ما يتعلق بأمن البيانات، وإشعار خرق البيانات، وتقييمات تأثير حماية البيانات، والتشاور المسبق مع السلطات الإشرافية، والوفاء بحقوق أصحاب البيانات، وأي استفسار أو إشعار أو تحقيق من قبل أي سلطة إشرافية، كما هو مفصل في هذه الاتفاقية.

و. صاحب البيانات والطلبات الإشرافية. إنّك تُبلّغ المتحكم في البيانات على الفور، وفي أي حال من الأحوال في غضون يومين عمل، بأي استفسار أو شكوى تتلقاها من صاحب البيانات أو السلطة الإشرافية فيما يتعلق بالبيانات الشخصية للعميل. وإنّك تُساعد المُتحكِّم في البيانات بقدر ما هو معقول تجاريًا، للوفاء بالتزام المُتحكِّم في البيانات بالاستجابة للطلبات الواردة من أصحاب البيانات والسلطات الإشرافية وفق ما يقتضيه قانون حماية البيانات.

ز. تقييم تأثير حماية البيانات. عند الطلب، تزود المُتحكِّم في البيانات بالمعلومات والمساعدة المعقولة تجاريًا، مع مراعاة طبيعة نشاط المعالجة والمعلومات المتاحة لك، لمساعدة المُتحكِّم في البيانات في إجراء تقييم لتأثير حماية البيانات وفق ما يقتضيه قانون حماية البيانات.

ح. تقديم الأدلّة. خلال مدة هذه الاتفاقية ولمدة عام واحد بعد ذلك، توفر للمُتحكِّم في البيانات، أو أي شركة تدقيق معترف بها دوليًا تعمل نيابةً عن المُتحكِّم في البيانات، جميع المعلومات اللازمة بصورة معقولة لإثبات امتثالك هذه الاتفاقية، وتسمح وتساهم في عمليات التدقيق التي يجريها المُتحكِّم في البيانات أو من يمثله من الملتزمين بقيود السرية المناسبة؛ إذا: (۱) قدّم المُتحكِّم في البيانات لك إشعارًا كتابيًا مسبقًا خلال ما لا يقل عن عشرة أيام عمل؛ (۲) يتم إجراء هذا التدقيق خلال ساعات العمل العادية وبطريقة لا تتعارض بصورة غير منطقية مع عمليات عملك العادية؛ (۳) لا تستغرق هذه المراجعة أكثر من ثلاثة أيام عمل إجمالية؛ (٤) لا يحق للمُتحكِّم في البيانات بأي حالٍ من الأحوال (أو، لتجنب الشك، أي مدقق خارجي معتمد) الوصول إلى أو تلقي معلوماتك الخاصة أو السرية، إلّا بالقدر الضروري للغاية لإثبات امتثال هذه الاتفاقية؛ و(٥) يلتزم المُتحكِّم في البيانات بتعويضك عن تكاليفك المعقولة والموثقة إذا حددت المراجعة أنّك ملتزم بهذه الاتفاقية. وفي حالة ما إذا قررت المراجعة أنّك غير ملتزم بهذه الاتفاقية، فتكون ملزمًا بدفع جميع التكاليف المعقولة لمثل هذا التدقيق.

ط. إعادة أو إتلاف بيانات العميل الشخصية. عند الانتهاء من التزاماتك فيما يتعلق بمعالجة بيانات العميل الشخصية بموجب هذه الاتفاقية أو بناءً على طلب المُتحكِّم في البيانات في أي وقت خلال مدة هذه الاتفاقية (وفي حالة طلب المُتحكِّم في البيانات ذلك، على فترات منتظمة يحددها المُتحكِّم في البيانات)، فإنّك أمّا (١) تعيد كل أو المجموعات الفرعية من بيانات العميل الشخصية التي بحوزتك إلى المُتحكِّم في البيانات؛ أو (٢) تجعل كل أو جزء من بيانات العميل الشخصية مجهولة بحيث لا تُشكّل البيانات أي بيانات شخصية؛ أو (٣) تحذف أو تجعل كل أو أجزاء من بيانات العميل الشخصية غير قابلة للقراءة بصورة دائمة. وبناءً على طلب المُتحكِّم في البيانات، يجب عليك تقديم تأكيد كتابي إلى المُتحكِّم في البيانات لإخفاء بيانات العميل الشخصية وإعادتها وحذفها.

ي. بيانات العميل الشخصية المجزّأة. إذا تلقيت بيانات شخصية للعميل بتنسيق مجزّأ أو مبهمة بأي طريقة أخرى، فعليك ما يلي: (۱) عدم محاولة إجراء هندسة عكسية أو محاولة إعادة تحديد البيانات الشخصية للعميل التي تم تجزئتها أو تعتيمها ما لم يوجهك المُتحكِّم في البيانات لفعل ذلك؛ و(٢) مشاركة البيانات الشخصية للعميل فقط بالتنسيق الذي تلقيته من المُتحكِّم في البيانات.

٤. خرق البيانات الشخصية

أ. الإشعار وفقًا للمادة ٣٣ من اللائحة العامة لحماية البيانات (GDPR) واللائحة العامة لحماية البيانات (GDPR) في المملكة المتحدة، فإنّك تُخطر المُتحكّم في البيانات دون تأخير غير مبرر وحيثما أمكن ذلك، خلال مدة لا تزيد عن ٧٢ ساعة بعد علمك بانتهاك البيانات الشخصية. كما ستُقدم أيضًا إلى المُتحكّم في البيانات وصفًا لخرق البيانات الشخصية ونوع البيانات التي كانت معرّضة لخرق البيانات الشخصية (إلى الحد الذي تعرفه) وفئات البيانات المتأثرة والمعلومات الأخرى المطلوبة بموجب قانون حماية البيانات المعمول به، وبمجرد أن تتوفر إمكانية جمع هذه المعلومات أو أن تكون متاحة وستتعاون مع أي طلب معقول يقدمه المُتحكّم في البيانات فيما يتعلق بخرق البيانات الشخصية.

ب. التحقيق. كما إنّك توافق على اتخاذ إجراء فوري للتحقيق في خرق البيانات الشخصية، لتحديد ومنع وتخفيف آثار أي خرق للبيانات الشخصية، وبموافقة مُسبقة من المُتحكّم في البيانات، للقيام بأي استرداد أو أي إجراء آخر ضروري لمعالجة خرق البيانات الشخصية.

٥. جهات المعالجة الفرعية

أ. جهات معالجة البيانات الفرعية المُفوضة. يُفوض المتحكم في البيانات على وجه التحديد مشاركة شركاتك التابعة لمعالجة بيانات العميل الشخصية.

ب. التزامات جهات معالجة البيانات الفرعية. وفقًا للمادة ۲۸ (٤) من اللائحة العامة لحماية البيانات (GDPR) واللائحة العامة لحماية البيانات (GDPR) بالمملكة المتحدة والتزامات جهات معالجة البيانات الفرعية في القانون العام لحماية البيانات الشخصية (LGPD)، حسب الاقتضاء، ستفرض شروط تعاقدية ملزمة قانونًيا على كل جهة معالجة بيانات فرعية بحيث تكون مقيدة على غرار تلك الواردة في هذه الاتفاقية.

ج. الوصول المقيد. ستضمن عدم وصول كل جهة معالجة بيانات فرعية إلى بيانات العميل الشخصية واستخدامها إلا بالقدر المطلوب لتأدية الالتزامات المتعاقد عليها من الباطن معها ووفقًا لهذه الاتفاقية.

د. تحديثات جهات معالجة البيانات الفرعية. وفقًا للمادة ۲۸ (۲) من اللائحة العامة لحماية البيانات (GDPR) واللائحة العامة لحماية البيانات (GDPR) بالمملكة المتحدة (حسب الاقتضاء)، تُقدم في صفحة متاحة للجمهور قائمة محدثة تضم: (۱) جميع جهات معالجة البيانات الفرعية المُشاركة في معالجة بيانات العميل الشخصية؛ (۲) أغراض معالجة جهات معالجة البيانات الفرعية لبيانات العميل الشخصية؛ و(۳) موقع كل جهة معالجة فرعية للبيانات. ستُخطر المتحكم في البيانات قبل إضافة جهة معالجة بيانات فرعية جديدة بمدة أقلها 30 يومًا.

هـ. حق الاعتراض. يحق للمُتحكّم في البيانات الاعتراض على إضافة جهة معالجة بيانات فرعية جديدة، على النحو الوارد في هذا القسم.يحق للمتحكم في البيانات الاعتراض على إضافة جهة معالجة بيانات فرعية جديدة، على النحو الوارد في هذا القسم. إذا اعترض المتحكم في البيانات على معالجة بيانات العميل الشخصية من قبل أي جهة معالجة بيانات فرعية تم تعيينها حديثًا، فسيُبلغك على الفور، وبعدئذ ستقوم بأي ما يلي: (۱) إصدار تعليمات إلى جهة معالجة البيانات الفرعية بالتوقف عن أي معالجة أخرى لبيانات العميل الشخصية، وتظل هذه الاتفاقية في هذه الحالة غير متأثرة؛ أو (۲) السماح للمتحكم في البيانات بإنهاء هذه الاتفاقية على الفور.

٦. التعويض؛ مسؤولية المعالج الفرعي

أ. التعويض. أنّك توافق على تعويض المُتحكّم في البيانات ضد جميع شكاوى الطرف الخارجي، والرسوم، والمطالبات، والأضرار، والخسائر، والتكاليف، والمسؤوليات، والمصروفات الناتجة من أو الناشئة عن أو المتعلقة بأي صورة من الصور بانتهاك هذه الاتفاقية.

ب. عملية التعويض. يُخطرك المُتحكّم في البيانات كتابيًا على الفور بأي مطالبة تعويضية، لكن أي إخفاق في إخطارك لن يعفيك من أي مسؤولية أو التزام بالتعويض قد يقع عليك، باستثناء الحد الذي تتعرض فيه للانحياز المادي بسبب هذا الإخفاق. ويتعاون المُتحكّم في البيانات معك بصورة منطقية على نفقتك الخاصة، فيما يتعلق بالدفاع أو التسوية أو تسوية أي مطالبة تعويضية. ولن تحل أو تسوي أي مطالبة بأي صورة من الصور أو تقرّ بالمسؤولية، دون الحصول على الموافقة الخطية المسبقة من المُتحكّم في البيانات، التي قد يقدّمها المُتحكّم في البيانات حسب تقديره الخاص. ويجوز لمراقب البيانات المشاركة (على نفقته) في الدفاع والتسوية وتسوية الدعوى مع المستشار القانوني الذي يختاره مراقب البيانات.

ج. المسؤولية القانونية لمُعالج البيانات الفرعي. تُقر وتوافق على أنّك تظل مسؤولاً أمام المُتحكّم في البيانات عن أي خرق لشروط هذه الاتفاقية من قبل أي معالج فرعي وأي معالجات تابعة لجهات خارجية لاحقة تحددها.

٧. الإنهاء

أ. الإنهاء. تنتهي هذه الاتفاقية تلقائيًا عند إنهاء شروط خدمات الأعمال.

ب. الاستمرارية. تظل التزاماتك المتعلقة بإعادة البيانات الشخصية للعميل أو حذفها سارية المفعول بعد إنهاء شروط خدمات الأعمال وهذه الاتفاقية حتى تُعيد أو تحذف بيانات العميل الشخصية وفق هذه الاتفاقية.

٨. النزاعات

إذا كان هناك تعارض أو تضارب بين هذه الاتفاقية، أو شروط خدمات الأعمال، أو أي شروط وسياسات تكميلية سارية، أو شروط خدمة Snap، فسيكون ترتيب الأولوية كما يلي: هذه الاتفاقية، والشروط والسياسات التكميلية، و شروط خدمات الأعمال، وشروط خدمة Snap.

الجدول ١ - تفاصيل معالجة البيانات

الموضوع

تقديمك خدمات معينة لمعلني Snap الذين أصدروا تعليمات لـ Snap لجمع بيانات توليد عملاء محتملين معينة فيما يتعلق بإعلانات هؤلاء المعلنين على منصة (منصات) Snapchat، ونقل هذه البيانات إليك كوسيط للمعالجة.

مدة المعالجة والاحتفاظ

بالنسبة إلى مدة هذه الاتفاقية بالإضافة إلى الفترة من انتهاء مدة هذه الاتفاقية حتى إخفاء الهوية أو إرجاعها أو حذفها وفق هذه الاتفاقية.

الطبيعة والغرض

سوف تعالج بيانات العميل الشخصية لصالح معلني Snap واستخدامها لأغراض توفير خدمات الأعمال لمعلني Snap الذين وجهوا Snap إلى جمع بعض بيانات إنشاء قوائم العملاء المحتملين فيما يتعلق بإعلانات هؤلاء المعلنين على منصة (منصات) Snapchat، و لنقل هذه البيانات إليك كوسيط للمعالجة، وفق ما هو موصوف في شروط خدمات الأعمال وهذه الاتفاقية.

فئات البيانات

بيانات العميل الشخصية المتعلقة بالأفراد الذين يكمّلون نموذج إنشاء قوائم العملاء المحتملين لمُعلني Snap على منصة Snapchat، التي قد تشمل:

الاسم
عنوان البريد الإلكتروني
رقم الهاتف
عنوان المنزل
تاريخ الميلاد
رقم إعلان الهاتف (معرّف إعلان أجهزة IDFA" iOS"/معرّف إعلان أجهزة AAID" Android")
مُعرّف الطرف الخارجي
المسمى الوظيفي
اسم الشركة

البيانات الحساسة

غير قابلة للتطبيق

أصحاب البيانات

يشمل أصحاب البيانات جميع الأفراد الذين يكملون نموذج إنشاء قوائم العملاء المحتملين لمُعلني Snap على منصة Snapchat.

الجدول ٢ - التدابير الأمنية

١. تنفيذ وامتثال برنامج أمن معلومات مكتوب بما يتوافق مع معايير الصناعة المعمول بها، بما في ذلك الضمانات الإدارية والفنية والمادية المناسبة لطبيعة البيانات الشخصية للعميل والمصممة لحماية هذه المعلومات من: الوصول غير المصرح به أو الإتلاف أو الاستخدام أو التعديل أو الكشف؛ والوصول غير المصرح به أو الاستخدام الذي قد يؤدي إلى ضرر أو إزعاج كبير للمتحكّم في البيانات أو عملاء متحكّم البيانات أو موظفي متحكّم البيانات؛ وأي تهديدات أو مخاطر متوقعة على أمن أو سلامة هذه المعلومات.

٢. اعتماد وتنفيذ سياسات ومعايير منطقية تتعلق بالأمن.

٣. إسناد مسؤولية إدارة أمن المعلومات.

٤. تكريس موارد بشرية كافية لأمن المعلومات.

٥. إجراء عمليات تحقق صحة الموظفين الدائمين الذين يتمكنون من الوصول إلى البيانات الشخصية للعميل.

٦. إجراء فحوصات خلفية مناسبة ومطالبة الموظفين والبائعين وغيرهم ممّن لديهم إمكانية الوصول إلى البيانات الشخصية للعميل بالدخول في اتفاقيات مكتوبة لحفظ السرّية.

٧. إجراء تدريب لجعل الموظفين وغيرهم ممّن لديهم إمكانية الوصول إلى بيانات العميل الشخصية على دراية بمخاطر أمن المعلومات ولتعزيز امتثال سياساتك ومعاييرك المتعلقة بحماية البيانات.

٨. منع الوصول غير المصرح به إلى البيانات الشخصية للعميل خلال الاستخدام حسب الاقتضاء، لضوابط الدخول المادية والمنطقية (كلمات المرور)، والمناطق الآمنة لمعالجة البيانات، وإجراءات مراقبة استخدام مرافق معالجة البيانات، ومسارات تدقيق النظام المدمجة، واستخدام كلمات المرور الآمنة، وتقنية اكتشاف اختراق الشبكة، وتقنية التشفير والمصادقة، وإجراءات تسجيل الدخول الآمنة، والحماية من الفيروسات، ومراقبة امتثال سياسات ومعايير Snap المتعلقة بحماية البيانات بصورة مستمرة. وعلى وجه الخصوص، تُنفذ وتلتزم بما يلي، حسب الاقتضاء ودون قيود:

تدابير التحكم في الوصول المادي لمنع الوصول غير المصرح به إلى أنظمة معالجة البيانات (على سبيل المثال، بطاقات هوية الوصول، وقارئات البطاقات، وموظفي المكاتب، وأنظمة الإنذار، وكاشفات الحركة، وأجهزة الإنذار ضد السرقة، والمراقبة بالفيديو، والأمن الخارجي)؛
وتدابير مراقبة رفض الاستخدام لمنع الاستخدام غير المصرح به لأنظمة حماية البيانات (على سبيل المثال، تعقيد كلمة المرور المفروضة تلقائيًا ومتطلبات التغيير وجدران الحماية)؛
ونظام التفويض وحقوق الوصول المستند إلى المتطلبات، ومراقبة الوصول إلى النظام وتسجيله للتأكد من أن الأشخاص الذين يحق لهم استخدام نظام معالجة البيانات لا يمكنهم الوصول إلّا إلى البيانات التي يحق لهم الوصول إليها، وأن البيانات الشخصية للعميل لا يمكن كذلك قراءتها أو نسخها أو تعديلها أو إزالتها دون إذن؛
وتدابير التحكم في نقل البيانات لضمان عدم إمكانية قراءة بيانات العميل الشخصية أو نسخها أو تعديلها أو إزالتها دون إذن في أثناء النقل الإلكتروني أو النقل أو التخزين على وسائط البيانات ونقل السجلات واستلامها. وعلى وجه الخصوص، يتم تصميم برنامج أمن المعلومات الخاص بك:
- لتشفير أي مجموعات بيانات في حوزتك في التخزين، بما في ذلك البيانات الشخصية الحساسة، باستخدام مستويات التشفير المناسبة بناءً على معايير التشفير الرائدة في الصناعة، مثل AES -256، وتخزين هويات المستخدم على النظام باستخدام زوج المفتاح والقيمة مثل ghost_id لمنع تخزين مُعرّف المستخدم الفعلي؛ و
- للتأكد من أن أي بيانات شخصية حساسة يتم إرسالها إلكترونيًا (بخلاف الفاكس) إلى شخص خارج نظام تكنولوجيا المعلومات الخاص بك أو يتم نقلها عبر شبكة عامة يتم تشفيرها، مثل استخدام أحدث الإصدارات المدعومة من بروتوكول TLS 1.2، لحماية أمان الإرسال؛

وتدابير التحكم في إدخال البيانات للتأكد من أنّه يمكنك التحقق وتحديد ما إذا كان قد تم إدخال البيانات الشخصية للعميل في أنظمة معالجة البيانات أو تم تعديلها أو إزالتها ومن قام بذلك؛
وإجراءات اختبار الأمان المستمرة لضمان بقاء ممارسات أمن المعلومات ملائمة وفعالة ومحدثة، بما في ذلك اختبارات الاختراق السنوية، وبرنامج مكافأة الأخطاء، واستخدام أدوات فحص النظام، وتمارين الطاولة النقاشية، واختبارات الاستعادة الاحتياطية، وإخفاق ما قبل الإنتاج، وإجراء التشريح على أي حوادث فعلية من أجل تحديث خطط التعافي من الكوارث ذات الصلة؛
وتدابير إشراف المعالج الفرعي لضمان معالجة البيانات الشخصية للعميل بصورة صارمة وفق تعليمات المتحكّم في البيانات بما في ذلك، حسب الاقتضاء:
- تدابير ضمان حماية بيانات العميل الشخصية من التلف أو الضياع العرضي، بما في ذلك حسب الاقتضاء وعلى سبيل المثال لا الحصر، النسخ الاحتياطي للبيانات، وسياسات الاحتفاظ والإتلاف الآمن؛ والتخزين الآمن خارج الموقع للبيانات الكافية للتعافي من الكوارث؛ وإمدادات الطاقة غير المنقطعة، وبرامج التعافي من الكوارث؛ و
- وتدابير ضمان إمكانية معالجة البيانات التي تم جمعها لأغراض مختلفة بوجهٍ منفصل بما في ذلك، حسب الاقتضاء، الفصل المادي أو المنطقي الكافي لبيانات العميل الشخصية.

٩. اتخاذ مثل هذه الخطوات الأخرى التي قد تكون مناسبة تبعًا للظروف.