يُرجى الملاحظة: نشرنا الشروط الواردة أدناه فيما يتعلق بالبنود التعاقدية القياسية الجديدة المعتمدة من قبل المفوضية الأوروبية، وتُعتبر سارية المفعول بتاريخ 27 سبتمبر 2021

(أ) إنّ الغرض من هذه البنود التعاقدية القياسية هو ضمان الامتثال لمتطلبات لائحة الاتحاد الأوروبي (EU) /٦٧٩/٢٠١٦ الصادرة عن البرلمان الأوروبي والمجلس بتاريخ ٢٧ أبريل ٢٠١٦ بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وحرية نقل هذه البيانات (اللائحة العامة لحماية البيانات) (١) عند نقل البيانات الشخصية إلى دولة خارجية.

(ب) الطرفان:

(١) الشخص (الأشخاص) الطبيعي أو الاعتباري، أو السلطة/السلطات العامة، أو الوكالة/الوكالات، أو أي هيئة/هيئات أخرى (يُشار إليها فيما يلي باسم "الكيان/الكيانات") التي تنقل البيانات الشخصية، كما هو مدرج في المرفق ١.أ (يُشار إليه فيما يلي باسم "مُصدّر بيانات")، و

(٢) الكيان/الكيانات في بلد خارجي تتلقى البيانات الشخصية من مُصدّر البيانات، بصورة مباشرة أو غير مباشرة عبر كيان آخر يُعتبر أيضًا طرف في هذه البنود، كما هو مدرج في المرفق ١.أ (يُشار إليه فيما بعد باسم "مُصدّر البيانات")

قد وافقا على هذه البنود التعاقدية القياسية (يُشار إليها فيما يلي بـ "البنود").

(ج) تسري هذه البنود فيما يتعلق بنقل البيانات الشخصية على النحو المحدد في المرفق ١.ب.

(د) يُشكل ملحق هذه المواد، الذي يحتوي على المرفقات المشار إليها فيها، جزءًا لا يتجزأ من تلك المواد.

(أ) تحدد هذه البنود الضمانات المناسبة، بما في ذلك حقوق أصحاب البيانات القابلة للتنفيذ والتعويضات القانونية السارية، وفقًا للمادة ٤٦(١) والمادة ٤٦(٢)(ج) من لائحة الاتحاد الأوروبي (EU) ٦٧٩/٢٠١٦، وفيما يتعلق بنقل البيانات من المُصدّرين إلى المعالجين و/أو من المعالجين إلى المعالجين، والبنود التعاقدية القياسية وفقًا للمادة ٢٨(٧) من لائحة الاتحاد الأوروبي (EU) ٦٧٩/٢٠١٦، بشرط عدم تعديلها، باستثناء الوحدات المُحددة المناسبة أو إضافة أو تحديث المعلومات في الملحق. لا يمنع ذلك الطرفان من تضمين البنود التعاقدية القياسية المنصوص عليها في هذه البنود في عقد أوسع و/أو إضافة بنود أخرى أو ضمانات إضافية، بشرط ألا تتعارض، بشكل مباشر أو غير مباشر، مع هذه البنود أو تخل بالحقوق الأساسية أو حريات أصحاب البيانات.

(ب) لا تخل هذه البنود بالالتزامات التي يخضع لها مُصدّر البيانات بموجب لائحة الاتحاد الأوروبي (EU) ٦٧٩/٢٠١٦.

(أ) يجوز لأصحاب البيانات الاحتجاج بهذه البنود وإنفاذها، بصفتهم أطراف خارجية مستفيدة، ضد مُصدّر البيانات و/أو مُستورِد البيانات، مع وجود الاستثناءات التالية:

(١) البند ١، البند ٢، البند ٣، البند ٦، البند ٧؛

(٢) البند ١.٨(ب)، و٩.٨(أ)، و(ج)، و(د)، و(هـ)؛

(٣) البند ٩ - البند ٩(أ)، و(ج)، و(د)، و(هـ)؛

(٤) البند ١٢ - البند ١٢(أ), و(د)، و(و)؛

(٥) البند ١٣؛

(٦) البند ١.١٥(ج)، و(د)، و(هـ)؛

(٧) البند ١٦(هـ)؛

(٨) البند ١٨ - البند ١٨(أ) و(ب)؛

(ب) لا تُخل الفقرة (أ) بحقوق أصحاب البيانات بموجب لائحة الاتحاد الأوروبي (EU) ٦٧٩/٢٠١٦.

(أ) عند استخدام هذه البنود للمصطلحات الواردة في لائحة الاتحاد الأوروبي (EU) ٦٧٩/٢٠١٦، تُشير تلك المصطلحات إلى نفس المعنى الوارد في تلك اللائحة.

(ب) تُفهم هذه البنود وتُفسر في ضوء بنود لائحة الاتحاد الأوروبي (EU) ٦٧٩/٢٠١٦.

(ج) لا يجوز تفسير هذه البنود بطريقة تتعارض مع الحقوق والالتزامات المنصوص عليها في لائحة الاتحاد الأوروبي (EU) ٦٧٩/٢٠١٦.

عند وجود تناقض بين هذه البنود وبنود الاتفاقيات ذات الصلة بين الطرفين، الموجودة في وقت الاتفاق على هذه البنود أو أُبرمت بعد ذلك، تكون السيادة لهذه البنود.

تم تحديد تفاصيل عمليات النقل، ولا سيما فئات البيانات الشخصية المنقولة والغرض (الأغراض) من نقلها، في المرفق ١.ب.

(أ) يجوز لأي كيان ليس طرفًا في هذه البنود، وبموافقة الطرفين، الانضمام إلى هذه البنود في أي وقت، سواء كمُصدّر أو مُستورِد للبيانات، وذلك عبر استكمال الملحق والتوقيع على المرفق ١.أ.

(ب) بمجرد الانتهاء من الملحق والتوقيع على المرفق ١.أ، يصبح الكيان المنضم طرفاً في هذه البنود ويتمتع بحقوق والتزامات مُصدّر أو مُستورِد البيانات وفقًا لتخصيصه في المرفق ١.أ.

(ج) لن يكون للكيان المنضم أي حقوق أو التزامات ناشئة بموجب هذه البنود خلال الفترة السابقة قبل أن يصبح طرفًا.

تتعهد جهة تصدير البيانات بأنها بذلت جهودًا معقولة لتحديد قدرة جهة استيراد البيانات، من خلال تنفيذ التدابير التقنية والتنظيمية المناسبة، على تلبية التزاماتها بموجب هذه البنود.

(أ) يجب على جهة استيراد البيانات عدم معالجة البيانات الشخصية إلا بناءً على تعليمات موثقة من جهة تصدير البيانات. يجوز لجهة تصدير البيانات تقديم مثل هذه التعليمات طوال مدة العقد.

(ب) يجب على جهة استيراد البيانات إبلاغ جهة تصدير البيانات على الفور إذا تعذر عليها اتباع هذه التعليمات.

لن تُجري جهة استيراد البيانات معالجة للبيانات الشخصية إلا للغرض (الأغراض) المحددة لعملية النقل، على النحو المبين في الملحق 1 ب، ما لم يكن بناءً على تعليمات أخرى من جهة تصدير البيانات.

يجب على جهة تصدير البيانات، عند الطلب، تقديم نسخة من هذه البنود، بما في ذلك الملحقات على النحو الذي استكمله الطرفان، لصاحب البيانات مجانًا. يجوز لجهة تصدير البيانات تنقيح جزء من نص ملحقات هذه البنود قبل مشاركة نسخة منه، وذلك إلى الحد الضروري لحماية الأسرار التجارية أو غيرها من المعلومات السرية، بما في ذلك التدابير الموضحة في الملحق 2 والبيانات الشخصية، ولكن يجب تقديم ملخص له دلالة بحيث يستطيع صاحب البيانات فهم محتواه أو ممارسة حقوقه. يجب على الأطراف، عند الطلب، إعلام صاحب البيانات بأسباب التنقيح، إلى أقصى حد ممكن دون الكشف عن المعلومات المنقحة. لا يخل هذا البند بالتزامات جهة تصدير البيانات بموجب المادة 13 والمادة 14 من اللائحة (EU) 2016/679.

إذا علمت جهة استيراد البيانات بعدم دقة البيانات الشخصية التي استلمتها، أو بأنها أصبحت قديمة، يجب عليها إبلاغ جهة تصدير البيانات بدون تأخير غير مبرر. يجب على جهة استيراد البيانات في هذه الحالة التعاون مع جهة تصدير البيانات لمسح البيانات أو تصحيحها.

يجب على جهة استيراد البيانات عدم معالجة البيانات إلا للمدة المحددة في الملحق 1 ب. بعد انتهاء تقديم خدمات معالجة البيانات، يجب على جهة استيراد البيانات، بناءً على اختيار جهة تصدير البيانات، حذف جميع البيانات الشخصية التي تمت معالجتها نيابةً عن جهة تصدير البيانات وتُقر جهة تصدير البيانات بقيامها بذلك، أو تُعيد جهة استيراد البيانات إلى جهة تصدير البيانات جميع البيانات الشخصية التي تمت مُعالجتها نيابة عنها وتحذف النسخ الموجودة. يجب على جهة استيراد البيانات الاستمرار في ضمان الامتثال لهذه البنود إلى أن يتم حذف البيانات أو إعادتها. في حال وجود قوانين محلية سارية تحظر على جهة استيراد البيانات إعادة البيانات الشخصية أو حذفها، تتعهد جهة استيراد البيانات بأنها ستستمر في ضمان الامتثال لهذه البنود وبأنها لن تقوم بمعالجة تلك البيانات إلا إلى الحد اللازم وطالما يكون ذلك لازمًا بموجب ذلك القانون المحلي. يكون ذلك بدون الإخلال بالبند 14، وخصوصًا شرط جهة استيراد البيانات بموجب البند 14 (هـ) بإخطار جهة تصدير البيانات طوال مدة العقد في حال وجود سبب يستدعي الاعتقاد بأنها تخضع أو أصبحت تخضع لقوانين أو ممارسات لا تتماشى مع المتطلبات المنصوص عليها في البند 14 (أ).

(أ) يجب على جهة استيراد البيانات، وكذلك جهة تصدير البيانات، أثناء النقل، تنفيذ التدابير التقنية والتنظيمية المناسبة لضمان أمن البيانات الشخصية، بما في ذلك الحماية من الانتهاك الأمني الذي يتسبب في حدوث فقد أو تغيير أو تدمير عرضي أو غير قانوني أو وصول أو إفصاح غير مصرح به عن البيانات (المشار إليه فيما يلي بـ "انتهاك البيانات الشخصية"). عند تقييم المستوى الأمني المناسب، يجب على الطرفين الأخذ في الاعتبار أحدث التطورات وتكاليف التنفيذ وطبيعة معالجة البيانات ونطاقها وسياقها وأغراضها والمخاطر التي تنطوي عليها بالنسبة لأصحاب البيانات. يتعين على الطرفين اعتبار اللجوء إلى التشفير أو الأسماء المستعارة، على وجه الخصوص، بما في ذلك أثناء الإرسال، بحيث يمكن تحقيق الغرض من المعالجة بهذه الطريقة. عند استخدام أسماء مستعارة، تظل المعلومات الإضافية الخاصة بنسب البيانات الشخصية إلى صاحب بيانات معين، حيثما أمكن، تحت السيطرة الحصرية لجهة تصدير البيانات. يجب على جهة استيراد البيانات، في إطار الامتثال لالتزاماته بموجب هذه الفقرة، تنفيذ التدابير التقنية والتنظيمية المُحددة في الملحق 2 على أقل تقدير. تُجري جهة استيراد البيانات فحوصات منتظمة لضمان استمرار هذه التدابير في توفير مستوى أمني مناسب.

(ب) لا تمنح جهة استيراد البيانات إمكانية الوصول إلى البيانات الشخصية إلا لموظفيها وبالقدر الضروري جدًا لتنفيذ العقد وإدارته ومراقبته. يجب عليها التأكد من التزام الأشخاص المصرح لهم بمعالجة البيانات الشخصية بالسرية أو من خضوعهم لالتزام قانوني مناسب بالسرية.

(ج) عند حدوث انتهاك للبيانات الشخصية فيما يتعلق بالبيانات الشخصية التي تُعالجها جهة استيراد البيانات بموجب هذه البنود، يجب على جهة استيراد البيانات اتخاذ التدابير المناسبة لمعالجة الانتهاك، بما في ذلك التدابير اللازمة للتخفيف من آثاره السلبية. كما يجب على جهة استيراد البيانات إخطار جهة تصدير البيانات بعد علمها بالانتهاك بدون تأخير غير مبرر. يجب أن يحتوي هذا الإشعار على تفاصيل نقطة اتصال يُمكن من خلالها معرفة معلومات أكثر، ووصف لطبيعة الانتهاك (بما في ذلك، الفئات والعدد التقريبي لأصحاب البيانات وسجلات البيانات الشخصية المعنية، حيثما أمكن ذلك) وعواقبه المحتملة والتدابير المتخذة أو المقترحة لمعالجة الانتهاك، بما في ذلك تدابير للتخفيف من آثاره السلبية المحتملة عند الاقتضاء. عند تعذر تقديم جميع المعلومات في نفس الوقت، يجب أن يحتوي الإشعار الأولي على المعلومات المتاحة في ذلك الوقت، ويجب تقديم معلومات أكثر، عند توفرها، في وقت لاحق بدون تأخير غير مبرر.

(د) يجب على جهة استيراد البيانات التعاون مع جهة تصدير البيانات ومساعدتها لتمكين جهة تصدير البيانات من الامتثال لالتزاماتها بموجب اللائحة (EU) 2016/679، وخصوصًا إخطار الجهة الرقابية المختصة وأصحاب البيانات المتأثرين، مع مراعاة طبيعة معالجة البيانات والمعلومات المتاحة لجهة استيراد البيانات.

إذا تضمنت عملية النقل بيانات شخصية تكشف عن الأصل العرقي أو الإثني أو الآراء السياسية أو المعتقدات الدينية أو الفلسفية أو عضوية النقابات العمالية أو البيانات الجينية أو البيانات البيومترية بغرض تحديد هوية الشخص الطبيعي بشكل فريد أو البيانات المتعلقة بالصحة أو الحياة الجنسية أو التوجه الجنسي للفرد أو البيانات المتعلقة بالإدانات أو الجرائم الجنائية (يشار إليها فيما يلي باسم "البيانات الحساسة")، يجب على جهة استيراد البيانات تطبيق قيود محددة و/أو ضمانات إضافية على النحو الوارد في الملحق 1 ب.

يجب على جهة استيراد البيانات عدم الإفصاح عن البيانات الشخصية إلى طرف ثالث إلا بناءً على تعليمات موثقة من جهة تصدير البيانات. علاوة على هذا، يجب عدم الإفصاح عن البيانات الشخصية لطرف ثالث غير موجود خارج الاتحاد الأوروبي (في نفس دولة جهة استيراد البيانات أو في دولة ثالثة أخرى، يشار إلى ذلك فيما يلي باسم "النقل التوسعي") ما لم يكن الطرف الثالث ملزمًا بهذه البنود أو موافقًا على الالتزام بها، في إطار الوحدة المناسبة، أو إذا:

(أ) كان النقل التوسعي إلى دولة تستفيد من أحد قرارات الكفاية وفقًا للمادة 45 من اللائحة (EU) 2016/679 التي تتناول النقل التوسعي؛

(ب) ضمن الطرف الثالث وجود الضمانات المناسبة وفقًا للمادة 46 أو المادة 47 من اللائحة (EU) 2016/679 فيما يتعلق بمعالجة البيانات المعنية؛

(ج) كان النقل التوسعي ضروريًا لرفع الدعاوى القانونية أو ممارستها أو الدفاع عنها في سياق إجراءات إدارية أو تنظيمية أو قضائية محددة؛

(د) كان النقل التوسعي ضروريًا من أجل حماية المصالح الحيوية لصاحب البيانات أو لشخص طبيعي آخر.

يخضع أي نقل توسعي لامتثال جهة استيراد البيانات لجميع الضمانات الأخرى بموجب هذه البنود، ولا سيما تقييد الغرض.

(أ) يجب على جهة استيراد البيانات التعامل بسرعة وبشكل مناسب مع استفسارات جهة تصدير البيانات المتعلقة بمعالجة البيانات بموجب هذه البنود.

(ب) يجب على الطرفين إثبات امتثالهما لهذه البنود. على وجه التحديد، يجب على جهة استيراد البيانات الاحتفاظ بالوثائق المناسبة الخاصة بأنشطة معالجة البيانات المُنفذة بالنيابة عن جهة تصدير البيانات.

(ج) يجب على جهة استيراد البيانات إطلاع جهة تصدير البيانات على جميع المعلومات اللازمة لإثبات الامتثال للالتزامات المنصوص عليها في هذه البنود، بالإضافة إلى، وبناءً على طلب جهة تصدير البيانات، السماح بالمراجعة والمساهمة في عمليات مراجعة أنشطة معالجة البيانات بموجب هذه البنود، وذلك على فترات زمنية معقولة أو عند وجود مؤشرات على عدم الامتثال. عند اتخاذ قرار بشأن المراجعة أو التدقيق، تستطيع جهة تصدير البيانات الأخذ في الاعتبار الشهادات ذات الصلة التي تحتفظ بها جهة استيراد البيانات.

(د) يحق لجهة تصدير البيانات اختيار إجراء المراجعة بنفسها أو تكليف مراجع مستقل. قد تشمل عمليات المراجعة عمليات تفتيش للمباني أو المرافق المادية التابعة لجهة استيراد البيانات ويجب تنفيذ ذلك بعد إرسال إشعار معقول، عند الاقتضاء.

(هـ) يجب على الطرفين إطلاع الجهة الرقابية المختصة، عند الطلب، على المعلومات المشار إليها في الفقرة (ب) والفقرة (ج)، بما في ذلك نتائج أي عمليات مراجعة.

(أ) تمتلك جهة استيراد البيانات تفويضًا عامًا من جهة تصدير البيانات لاستخدام جهة (جهات) معالجة بيانات فرعية من قائمة متفق عليها. يجب على جهة استيراد البيانات إبلاغ جهة تصدير البيانات كتابيًا بأي تغييرات مزعمة في تلك القائمة من خلال إضافة جهات معالجة بيانات فرعية، أو تبديلها، قبل أربعة عشر يومًا على الأقل، بحيث تحصل جهة تصدير البيانات على وقت كاف لتكون قادرة على الاعتراض على هذه التغييرات قبل إشراك جهة (جهات) معالجة البيانات الفرعية. يجب على جهة استيراد البيانات تزويد جهة تصدير البيانات بالمعلومات اللازمة لتمكين جهة تصدير البيانات من ممارسة حقها في الاعتراض.

(ب) عند استخدام جهة استيراد البيانات لجهة معالجة بيانات فرعية للقيام بأنشطة معالجة بيانات مُحددة (نيابةً عن جهة تصدير البيانات)، يجب عليها القيام بذلك عن طريق عقد مكتوب ينص جوهره على نفس التزامات حماية البيانات الواجبة على جهة استيراد البيانات بموجب هذه البنود، بما في ذلك حقوق الطرف الثالث المستفيد لأصحاب البيانات. (8) اتفق الطرفان على أنه عند الامتثال لهذا البند، تكون جهة استيراد البيانات ممتثلة لالتزاماتها بموجب البند 8.8. يجب على جهة استيراد البيانات التأكد من امتثال جهة معالجة البيانات الفرعية للالتزامات الواجبة على جهة استيراد البيانات بموجب هذه البنود.

(ج) يجب على جهة استيراد البيانات، بناءً على طلب جهة تصدير البيانات، تقديم نسخة من اتفاقية جهة معالجة البيانات الفرعية وأي تعديلات لاحقة إلى جهة تصدير البيانات. يجوز لجهة استيراد البيانات تنقيح نص الاتفاقية قبل مشاركة نسخة منها، إلى الحد الضروري لحماية الأسرار التجارية أو غيرها من المعلومات السرية، بما في ذلك البيانات الشخصية.

(د) تظل جهة استيراد البيانات مسؤولة مسؤولية كاملة أمام جهة تصدير البيانات عن أداء التزامات جهة معالجة البيانات الفرعية بموجب عقدها مع جهة استيراد البيانات. يجب على جهة استيراد البيانات إخطار جهة تصدير البيانات بأي إخفاق من جانب جهة معالجة البيانات الفرعية في الوفاء بالتزاماتها بموجب هذا العقد.

(هـ) يجب على جهة استيراد البيانات الموافقة على بند الطرف الثالث المستفيد مع جهة معالجة البيانات الفرعية بحيث - في حال اختفاء جهة استيراد البيانات فعليًا أو لم يعد لها وجود بموجب القانون أو أصبحت معسرة - يحق لجهة تصدير البيانات إنهاء عقد جهة معالجة البيانات الفرعية وإصدار تعليمات لجهة معالجة البيانات الفرعية بمسح البيانات الشخصية أو إعادتها.

(أ) يجب على جهة استيراد البيانات إخطار جهة تصدير البيانات، على الفور، بأي طلب يأتيها من أحد أصحاب البيانات. ولن تستجيب لهذا الطلب بنفسها ما لم تُصرح لها جهة تصدير البيانات بفعل ذلك.

(ب) يجب على جهة استيراد البيانات مساعدة جهة تصدير البيانات في الوفاء بالتزاماتها بهدف الاستجابة لطلبات أصحاب البيانات لممارسة حقوقهم بموجب اللائحة (EU) 2016/679. وفي هذا الصدد، يتعين على الطرفين، من خلال الملحق 2، تحديد التدابير التقنية والتنظيمية المناسبة، مع مراعاة طبيعة معالجة البيانات، والتي يتم من خلالها تقديم المساعدة، فضلاً عن نطاق ومدى المساعدة اللازمة.

(ج) عند وفاء جهة استيراد البيانات بالتزاماتها بموجب الفقرة (أ) والفقرة (ب)، يجب عليها الامتثال لتعليمات جهة تصدير البيانات.

(أ) يجب على جهة استيراد البيانات إبلاغ أصحاب البيانات بنقطة اتصال مُخول لها النظر في الشكاوى، ويكون ذلك بتنسيق شفاف ويسهل الوصول إليه، من خلال إشعار فردي أو على موقعها الإلكتروني. يجب عليها التعامل الفوري مع أي شكاوى تتلقاها من أحد أصحاب البيانات.

(ب) عند نشوب نزاع بين صاحب بيانات وأحد الطرفين فيما يتعلق بالامتثال لهذه البنود، يجب على هذا الطرف بذل قصارى جهده لحل المشكلة وديًا وفي الوقت المناسب. يُعلم الطرفان بعضهما بمثل هذه النزاعات، ويتعاونان في حلها، عند الاقتضاء.

(ج) إذا طالب صاحب البيانات بحق طرف ثالث مستفيد وفقًا للبند 3، يجب على جهة استيراد البيانات قبول قرار صاحب البيانات بـ:

(1)     تقديم شكوى إلى الجهة الرقابية في الدولة العضو المُقيم فيها أو يوجد مكان عمله فيها، أو إلى الجهة الرقابية المختصة وفقًا للبند 13؛

(2)     إحالة النزاع إلى المحاكم المختصة وفق المعنى المقصود في البند 18.

(د) يقبل الطرفان تمثيل صاحب البيانات من قبل هيئة أو منظمة أو جمعية غير هادفة للربح بموجب الشروط المنصوص عليها في المادة 80 (1) من اللائحة (EU) 2016/679.

(هـ) تلتزم جهة استيراد البيانات بالقرارات الملزمة بموجب قانون الاتحاد الأوروبي أو قانون الدولة العضو الساري.

(و) توافق جهة استيراد البيانات على أن اختيار صاحب البيانات لن يخل بحقوقه الموضوعية والإجرائية في طلب الجزاءات وفقًا للقوانين السارية.

(أ) يتحمل كل طرف المسؤولية القانونية أمام الأطراف الأخرى عن أي أضرار تتسبب فيها الأطراف الأخرى بسبب أي خرق لهذه البنود.

(ب) تتحمل جهة استيراد البيانات المسؤولية القانونية أمام صاحب البيانات، ويحق لصاحب البيانات الحصول على تعويض عن أي أضرار مادية أو غير مادية تتسبب فيها جهة استيراد البيانات، أو جهة معالجة البيانات الفرعية التابعة لها، لصاحب البيانات نتيجة انتهاك حقوق الطرف الثالث المستفيد بموجب هذه البنود.

(ج) بالرغم من الفقرة (ب)، تتحمل جهة استيراد البيانات المسؤولية القانونية أمام صاحب البيانات، ويحق لصاحب البيانات الحصول على تعويض عن أي أضرار مادية أو غير مادية تتسبب فيها جهة استيراد البيانات، أو جهة معالجة البيانات الفرعية التابعة لها، لصاحب البيانات نتيجة انتهاك حقوق الطرف الثالث المستفيد بموجب هذه البنود. لا يُخل ذلك بالمسؤولية القانونية لجهة تصدير البيانات ولا بالمسؤولية القانونية المتحكم بموجب اللائحة (EU) 2016/679 أو اللائحة (EU) 2018/1725، حسب الاقتضاء، وذلك عندما تتولى جهة تصدير البيانات معالجة البيانات نيابةً عن المتحكم.

(د) اتفق الطرفان على أنه عند تحمل جهة تصدير البيانات المسؤولية القانونية بموجب الفقرة (ج) عن الأضرار التي تسببها جهة استيراد البيانات (أو جهة معالجة البيانات الفرعية التابعة لها)، يحق لها مطالبة جهة استيراد البيانات برد ذلك الجزء من التعويض، بما يتوافق مع مسؤولية جهة استيراد البيانات عن الضرر.

(هـ) عند وجود أكثر من طرف واحد مسؤول عن أي ضرر يلحق بصاحب البيانات نتيجة خرق هذه البنود، تتحمل جميع الأطراف المسؤولة المسؤولية القانونية مجتمعين ومنفردين، ويحق لصاحب البيانات رفع دعوى أمام المحكمة ضد أي من هذه الأطراف.

(و) اتفق الطرفان على أنه إذا كان أحد الأطراف مسؤولاً قانونًا بموجب الفقرة (هـ)، يحق له مطالبة الأطراف الأخرى بذلك الجزء من التعويض الناجم عن مسؤوليتهم عن الضرر.

(ز) لا يحق لجهة استيراد البيانات الاحتجاج بسلوك جهة معالجة البيانات الفرعية لإخلاء مسؤوليتها القانونية الخاصة.

(أ) اتفق الطرفان على اعتبار هيئة حماية البيانات الهولندية (Autoriteit Persoonsgegevens) الجهة الرقابية المسؤولة عن ضمان امتثال جهة تصدير البيانات للائحة (EU) 2016/679 فيما يتعلق بنقل البيانات، وستتصرف باعتبارها الجهة الرقابية المختصة.

(ب) توافق جهة استيراد البيانات على الخضوع للاختصاص القضائي والتعاون مع الجهة الرقابية المختصة في أي إجراءات تهدف إلى ضمان الامتثال لهذه البنود. على وجه التحديد، توافق جهة استيراد البيانات على الرد على الاستفسارات وتقديم عمليات التدقيق والامتثال للتدابير المتخذة من قبل الجهة الرقابية، بما في ذلك التدابير الإصلاحية والتعويضية. يجب على جهة استيراد البيانات تقديم تأكيد كتابي إلى الجهة الرقابية بأنه قد تم اتخاذ الإجراءات اللازمة.

(أ) يتعهد الطرفان بعدم وجود سبب يستدعي الاعتقاد بأن القوانين والممارسات الموجودة في دولة مقصد الطرف الثالث، والسارية على معالجة البيانات الشخصية من طرف جهة استيراد البيانات، بما في ذلك أي متطلبات للإفصاح عن البيانات الشخصية أو التدابير التي تمنح إمكانية الوصول من طرف السلطات العامة، تمنع جهة استيراد البيانات من الوفاء بالتزاماتها بموجب هذه البنود. يعتمد ذلك على المعرفة بعدم تعارض القوانين والممارسات، التي تحترم جوهر الحقوق والحريات الأساسية ولا تتجاوز ما هو ضروري ومتناسب في مجتمع ديمقراطي بهدف حماية أحد الأهداف المدرجة في المادة 23 (1) من اللائحة (EU) 2016/679، مع هذه البنود.

(ب) يقر الطرفان أنهما، عند تقديم الضمان الوارد في الفقرة (أ)، قد راعيا على النحو الواجب العناصر التالية تحديدًا:

(1) الظروف المحددة لعملية النقل، بما في ذلك طول سلسلة معالجة البيانات وعدد الجهات الفاعلة المشاركة وقنوات الإرسال المستخدمة؛ وعمليات النقل التوسعي المزمعة؛ ونوع المتلقي؛ والغرض من معالجة البيانات؛ وفئات البيانات الشخصية المنقولة وتنسيقها؛ والقطاع الاقتصادي الذي يتم فيه النقل؛ وموقع تخزين البيانات المنقولة؛

(2) قوانين وممارسات دولة مقصد الطرف الثالث - بما في ذلك تلك التي تتطلب الإفصاح عن البيانات للسلطات العامة أو السماح لهذه السلطات بالوصول إليها - في ضوء الظروف المحددة للنقل، والقيود والضمانات السارية (12)؛

(3) أي ضمانات تعاقدية أو تقنية أو تنظيمية ذات صلة تم وضعها لتكملة الضمانات بموجب هذه البنود، بما في ذلك التدابير المطبقة أثناء الإرسال وعلى معالجة البيانات الشخصية في دولة المقصد.

(ج) تتعهد جهة استيراد البيانات، عند إجراء التقييم بموجب الفقرة (ب)، ببذل قصارى جهدها لتزويد جهة تصدير البيانات بالمعلومات ذات الصلة، وتوافق على استمرارها في التعاون مع جهة تصدير البيانات بشأن ضمان الامتثال لهذه البنود.

(د) وافق الطرفان على توثيق التقييم بموجب الفقرة (ب) وإطلاع الجهة الرقابية المختصة عليه عند الطلب.

(هـ) توافق جهة استيراد البيانات على إخطار جهة تصدير البيانات على الفور إذا ظهر لديها، بعد الموافقة على هذه البنود وطوال مدة العقد، سبب يستدعي الاعتقاد بأنها تخضع أو أصبحت تخضع لقوانين أو ممارسات تتعارض مع المتطلبات المنصوص عليها في الفقرة (أ)، بما في ذلك بعد حدوث تغيير في قوانين دولة الطرف الثالث أو حدوث إجراء (مثل طلب الإفصاح) يشير إلى تطبيق هذه القوانين على الممارسة بما يتعارض مع المتطلبات الواردة في الفقرة (أ).

(و) بعد الإشعار وفقًا للفقرة (هـ)، أو إذا وجد لدى جهة تصدير البيانات سبب آخر يستدعي الاعتقاد بأن جهة استيراد البيانات لم تعد قادرة على الوفاء بالتزاماتها بموجب هذه البنود، يجب على جهة تصدير البيانات تحديد التدابير المناسبة على الفور (على سبيل المثال التدابير التقنية أو التنظيمية لضمان الأمن والسرية) التي يجب على جهة تصدير البيانات و/أو جهة استيراد البيانات اتباعها لمعالجة الموقف. يجب على جهة تصدير البيانات تعليق نقل البيانات في حال عدم تأكدها من وجود أي ضمانات مناسبة لمثل هذا النقل، أو إذا طلبت منها الجهة الرقابية المختصة القيام بذلك. يحق لجهة تصدير البيانات في هذه الحالة إنهاء العقد، بقدر ما يتعلق بمعالجة البيانات الشخصية بموجب هذه البنود. إذا اشتمل العقد على أكثر من طرفين، لا يجوز لجهة تصدير البيانات ممارسة هذا الحق في الإنهاء إلا فيما يتعلق بالطرف المعني، ما لم يتفق الطرفان على خلاف ذلك. عند إنهاء العقد وفقًا لهذا البند، يتم تطبيق البند 16 (د) و(هـ).

(أ) توافق جهة استيراد البيانات على إخطار جهة تصدير البيانات وصاحب البيانات، حيثما أمكن، على الفور (وبمساعدة جهة تصدير البيانات عند الضرورة) إذا:

(1) تلقت طلبًا ملزمًا قانونًا من سلطة عامة، بما في ذلك السلطات القضائية، بموجب قوانين الدولة المقصد للإفصاح عن البيانات الشخصية المنقولة وفقًا لهذه البنود؛ ويجب أن يتضمن هذا الإشعار معلومات عن البيانات الشخصية المطلوبة والسلطة الطالبة والأساس القانوني للطلب والاستجابة المقدمة؛

(2) علمت بأي إمكانية وصول مباشر من طرف السلطات العامة إلى البيانات الشخصية المنقولة وفقًا لهذه البنود وفقًا لقوانين الدولة المقصد؛ ويجب أن يتضمن هذا الإشعار جميع المعلومات المتاحة لجهة استيراد البيانات.

(ب) في حال منع جهة استيراد البيانات من إخطار جهة تصدير البيانات و/أو صاحب البيانات بموجب قوانين الدولة المقصد، توافق جهة استيراد البيانات على بذل قصارى جهدها للحصول على تنازل عن المنع، بهدف توصيل أكبر قدر ممكن من المعلومات، في أسرع وقت ممكن. توافق جهة استيراد البيانات على توثيق أفضل جهودها حتى تتمكن من إثباتها بناءً على طلب جهة تصدير البيانات.

(ج) توافق جهة استيراد البيانات، حيثما يكون ذلك مسموحًا به بموجب قوانين الدولة المقصد، على تزويد جهة تصدير البيانات بأكبر قدر ممكن من المعلومات ذات الصلة الخاصة بالطلبات المستلمة، وذلك على فترات منتظمة طوال مدة العقد (على وجه التحديد، عدد الطلبات، ونوع البيانات المطلوبة، والسلطة/السلطات الطالبة، وما إذا كانت الطلبات قد تم الطعن فيها ونتائج هذه الطعون، وما إلى ذلك).

(د) توافق جهة استيراد البيانات على الاحتفاظ بالمعلومات وفقًا للفقرات من (أ) إلى (ج) طوال مدة العقد وإتاحتها للجهة الرقابية المختصة عند الطلب.

(هـ) لا تخل الفقرات من (أ) إلى (ج) بالتزام جهة استيراد البيانات، وفقًا للبند 14 (هـ) والبند 16، بإبلاغ جهة تصدير البيانات على الفور في حال عدم قدرتها على الامتثال لهذه البنود.

(أ) توافق جهة استيراد البيانات على مراجعة شرعية طلب الإفصاح، لا سيما ما إذا كان لا يزال ضمن الصلاحيات الممنوحة للسلطة العامة الطالبة، وعلى الطعن في الطلب إذا استنتجت، بعد التقييم الدقيق، وجود أسباب معقولة لاعتبار كون الطلب غير قانوني بموجب قوانين الدولة المقصد والالتزامات السارية بموجب القانون الدولي ومبادئ المجاملة الدولية. يتعين على جهة استيراد البيانات، في ظل نفس الظروف، متابعة إمكانيات الاستئناف. عند الطعن في أحد الطلبات، يجب على جهة استيراد البيانات السعي إلى اتخاذ تدابير مؤقتة بهدف تعليق آثار الطلب لحين بت السلطة القضائية المختصة في مَوْضُوع الدّعْوَى. لن تُفصح عن البيانات الشخصية المطلوبة حتى يُطلب منها ذلك بموجب القواعد الإجرائية السارية. لا تخل هذه المتطلبات بالتزامات جهة استيراد البيانات بموجب البند 14 (هـ).

(ب) توافق جهة استيراد البيانات على توثيق تقييمها القانوني وأي طعن في طلب الإفصاح وإطلاع جهة تصدير البيانات على الوثائق إلى الحد المسموح به بموجب قوانين الدولة المقصد. كما يجب إطلاع الجهة الرقابية المختصة عليها عند الطلب.

(ج) توافق جهة استيراد البيانات على تقديم الحد الأدنى من المعلومات المسموح به عند الاستجابة لطلب الإفصاح، بناءً على تفسير معقول للطلب.

(أ) يجب على مُستورِد البيانات إبلاغ مُصدّر البيانات على الفور إذا تعذر عليه امتثال هذه المواد، أيًا كان السبب.

(ب) إذا انتهكت مُصدّر البيانات هذه المواد أو تعذر عليه امتثال هذه المواد، يجب على مُصدّر البيانات تعليق نقل البيانات الشخصية إلى مُستورِد البيانات، إلى أن يتم ضمان الامتثال مرة أخرى، أو إنهاء العقد. لا يخل ذلك بالمادة ١٤(و).

(ج) يحق لمُصدّر البيانات إنهاء العقد بقدر ما يتعلق بمعالجة البيانات الشخصية بموجب هذه المواد إذا:

(١) علًق مُصدّر البيانات نقل البيانات الشخصية إلى مُستورِد البيانات وفق الفقرة (ب) ولم يُعاد امتثال هذه المواد في غضون فترة زمنية منطقية، في خلال شهر واحد من التعليق في أي حال من الأحوال؛

(٢) انتهك مُستورِد البيانات هذه المواد انتهاكاً جوهرياً أو مستمراً؛

(٣) تعذر على مُستورِد البيانات امتثال قرار مُلزم صادر عن محكمة مختصة أو جهة رقابية فيما يتعلق بالتزاماته بموجب هذه المواد.

وعليه في هذه الحالات، إبلاغ الجهة الرقابية المختصة بعدم الامتثال. إذا اشتمل العقد على أكثر من طرفين، لا يجوز لمُصدّر البيانات ممارسة هذا الحق في الإنهاء إلّا فيما يتعلق بالطرف المعني، ما لم يتفق الطرفان على خلاف ذلك.

(د) تُعاد البيانات الشخصية التي تم نقلها قبل إنهاء العقد وفق الفقرة (ج)، فوراً وبناءً على اختيار مُصدّر البيانات، إلى مُصدّر البيانات أو تُحذَف بالكامل. وينطبق الأمر نفسه على أي نسخ من البيانات. وعلى مُصدّر البيانات الإقرار بحذف البيانات إلى مُصدّر البيانات. وعلى مُستورِد البيانات الاستمرار في ضمان امتثال هذه المواد إلى أن تُحذَف البيانات أو تُعاد. وفي حال وجود قوانين محلية سارية تحظر على مُستورِد البيانات إعادة البيانات الشخصية المنقولة أو حذفها، يتعهد مُستورِد البيانات بأنه يستمر في ضمان امتثال هذه المواد وبأنه لن يعالج البيانات إلّا إلى الحد اللازم وحيثما يكون ذلك لازماً بموجب ذلك القانون المحلي.

(هـ) يجوز لأي من الطرفين سحب موافقته على الالتزام بهذه المواد إذا (١) اعتمدت المفوضية الأوروبية قرارًا وفقًا للمادة ٤٥ (٣) من لائحة الاتحاد الأوروبي EU ٦٧٩/٢٠١٦ التي تتناول نقل البيانات الشخصية وتنطبق عليها المواد؛ أو (٢) أصبحت لائحة الاتحاد الأوروبي EU ٦٧٩/٢٠١٦ جزءاً من الإطار القانوني للدولة التي تُنقل البيانات الشخصية إليها. ولا يخل ذلك بالالتزامات الأخرى التي تنطبق على معالجة البيانات المعنية بموجب لائحة الاتحاد الأوروبي EU ٦٧٩/٢٠١٦.

تخضع هذه المواد لقانون الدولة العضو في الاتحاد الأوروبي EU التي تم إنشاء البيانات فيها. وعندما لا يسمح هذا القانون بحقوق الطرف الخارجي المستفيد، يجب أن تخضع لقانون دولة أخرى عضو في الاتحاد الأوروبي EU غير التي لا تسمح بحقوق الطرف الخارجي المستفيد. وقد اتفق الطرفان على اعتبار قانون هولندا هو ذلك القانون.

(أ) عند نشوب أي نزاع بخصوص هذه المواد، يتم حله عن طريق محاكم إحدى الدول الأعضاء في الاتحاد الأوروبي EU.

(ب) اتفق الطرفان على اعتبار محاكم هولندا هي تلك المحاكم.

(ج) يحق لصاحب البيانات أيضاً رفع دعاوى قانونية ضد مُصدّر البيانات و/أو مُستورِد البيانات أمام محاكم الدولة العضو التي يقيم فيها على نحو اعتيادي.

(د) اتفق الطرفان على الخضوع لاختصاص هذه المحاكم.

للحصول على معلومات في المُلحقين الأول والثاني، ارجع إلى الجدولين ۱ و۲ من اتفاقية معالجة البيانات.