يُرجى الملاحظة: لقد نشرنا الشروط الواردة أدناه فيما يتعلق بالبنود التعاقدية القياسية الجديدة المُعتمدة من قبل المفوضية الأوروبية، وتُعتبر سارية المفعول بتاريخ ٢٧ سبتمبر ٢٠٢١

يتم إدخال هذه المواد التعاقدية القياسية حيز التنفيذ بين جهة تصدير البيانات وجهة استيراد البيانات (يطلق على كلٍ منهم "الطرف"؛ ومجتمعين "الطرفين") والمُحدد في الجدول ١ من اتفاقية مشاركة البيانات.

لأغراض البنود:

(أ) يجب أن تحمل المصطلحات "البيانات الشخصية"، "الفئات الخاصة من البيانات / البيانات الحساسة"، "العمليات / المُعالجة"، "المُتحكّم"، "المُعالج"، "صاحب البيانات" و"السلطة / السلطة الرقابية" نفس المعنى الوارد في التوجيه 95/46/EC المفوضية الأوروبية المؤرخ في ٢٤ أكتوبر ١٩٩٥ (والذي يعني بموجبه "السلطة" سلطة حماية البيانات المختصة في المنطقة التي يتم إنشاء جهة تصدير البيانات فيها)؛

(ب) "جهة تصدير البيانات": تعني المُتحكّم الذي ينقل البيانات الشخصية؛

(ج) "جهة استيراد البيانات": تعني المُتحكّم الذي يوافق على تلقي البيانات الشخصية من جهة تصدير البيانات لإجراء مزيد من المعالجة وفق الشروط الخاصة بهذه البنود التي لا تخضع لنظام دولة ثالث لضمان توفير الحماية الكافية؛

(د) "البنود": تعني هذه البنود التعاقدية، وهي وثيقة قائمة بذاتها والتي لا تتضمن شروط الأنشطة التجارية التي يحددها الطرفان بموجب ترتيبات تجارية مستقلة.

إن تفاصيل النقل (بالإضافة إلى البيانات الشخصية التي يتم تغطيتها) مُحدّدة في الملحق (ب)، الذي يشكل جزءًا لا يتجزأ من البنود.

أولًا التزامات جهة تصدير البيانات

تتعهد جهة تصدير البيانات وتلتزم بما يلي:

(أ) تم جمع البيانات الشخصية ومعالجتها ونقلها وفقًا للقوانين السارية على البيانات التي تُطبّق على جهة تصدير البيانات.

(ب) بذلت جهوداً منطقية لتحديد للتأكيد على قدرة جهة استيراد البيانات على الوفاء بالتزاماتها القانونية بموجب هذه البنود.

(ج) ستقوم بتزويد جهة استيراد البيانات، عند طلب ذلك، بنسخ من قوانين حماية البيانات ذات الصلة أو المراجع اللازمة للرجوع إليها (عند الاقتضاء، ولا يشمل ذلك المشورة القانونية) في الدولة التي يتم فيها إنشاء جهة تصدير البيانات.

(د) ستقوم بالرد على استفسارات أصحاب البيانات والسلطة المتعلقة بمعالجة البيانات الشخصية من طرف جهة استيراد البيانات ما لم يتفق الطرفان على أن جهة استيراد البيانات ستستجيب لذلك، وفي هذه ستلتزم جهة تصدير البيانات بالرد إلى الحد الممكن بشكل معقول وبالمعلومات المتاحة بشكل معقول إذا كانت جهة استيراد البيانات غير مستعدة أو غير قادرة على الرد. وسيتم إجراء الردود في غضون وقت معقول.

(هـ) ستوفر، عند الطلب، نسخة من البنود إلى أصحاب البيانات والذين يعتبرون طرف ثالث مستفيد بموجب البند الثالث، ما لم تتضمن البنود معلومات سرية، وفي هذه الحالة يمكنها إزالة هذه المعلومات. عند إزالة المعلومات، يجب على جهة تصدير البيانات إبلاغ أصحاب البيانات كتابيًا بسبب الإزالة وحقهم في لفت انتباه السلطة إلى الإزالة. ومع ذلك، يجب على جهة تصدير البيانات الالتزام بقرار السلطة فيما يتعلق بالوصول إلى النص الكامل للبنود من قبل أصحاب البيانات، طالما أن أصحاب البيانات قد وافقوا على احترام سرية المعلومات السرية التي تمت إزالتها. يجب على جهة تصدير البيانات أيضًا تقديم نسخة من البنود إلى السلطة عند الاقتضاء.

تتعهد جهة استيراد البيانات وتلتزم بما يلي:

(أ) سيكون لديها تدابير تقنية وتنظيمية مناسبة لحماية البيانات الشخصية من التلف العرضي أو غير القانوني أو الفقد العرضي أو التغيير أو الكشف أو الوصول غير المصرح به للبيانات، وتوفر مستوى أمان مناسبًا للمخاطر التي تمثلها المُعالجة و طبيعة البيانات المراد حمايتها.

(ب) سيكون لديها إجراءات مطبّقة بحيث يحترم أي طرف ثالث يصرّح له بالوصول إلى البيانات الشخصية، بما في ذلك القائمين بالمُعالجة، سرية وأمن البيانات الشخصية ويحافظ عليها. ويجب على أي شخص يعمل تحت سلطة جهة استيراد البيانات، بما في ذلك القائمين بمُعالجة البيانات، مُعالجة البيانات الشخصية فقط بناءً على التعليمات المُقدمة من جهة استيراد البيانات. لا ينطبق هذا البند على الأشخاص المُصرّح لهم أو المطلوب منهم بموجب القانون أو اللوائح الوصول إلى البيانات الشخصية.

(ج) ليس لديها سبب للاعتقاد، في وقت الدخول في هذه البنود، بوجود أي قوانين محلية من شأنها أن يكون لها تأثير سلبي كبير على الضمانات المنصوص عليها في هذه البنود وسوف تقوم بإبلاغ جهة تصدير البيانات (التي ستنقل مثل هذا الإخطار إلى السلطة عند الاقتضاء) إذا أصبحت على علم بأي من هذه القوانين.

(د) ستقوم بمُعالجة البيانات الشخصية للأغراض الموضحة في الملحق (ب)، ولديها السلطة القانونية لتقديم الضمانات والوفاء بالتعهدات المنصوص عليها في هذه البنود.

(هـ) ستحدد لجهة تصدير البيانات نقطة اتصال داخل مؤسستها تكون مخولة للرد على الاستفسارات المتعلقة بمُعالجة البيانات الشخصية، وستتعاون بحسن نية مع جهة تصدير البيانات وصاحب البيانات والسلطة فيما يتعلق بجميع هذه الاستفسارات في غضون فترة زمنية معقولة. في حالة الإنهاء القانوني لجهة تصدير البيانات، أو في حالة اتفاق الطرفين على ذلك، تتحمل جهة استيراد البيانات مسؤولية الامتثال لأحكام البند الأول (هـ).

(و) بناءً على طلب جهة تصدير البيانات، ستقوم بتزود جهة تصدير البيانات بدليل عن الموارد المالية الكافية للوفاء بمسؤولياتها بموجب البند الثالث (التي قد تشمل التغطية التأمينية).

(ز) بناءً على طلب معقول من جهة تصدير البيانات، ستقوم بتقديم تسهيلات مُعالجة البيانات وملفات البيانات والوثائق اللازمة للمُعالجة من أجل المراجعة والتدقيق و / أو التصديق من قبل جهة تصدير البيانات (أو أي وكلاء أو مدقّقي تفتيش مستقلّين أو محايدين، يتم اختيارهم بواسطة جهة تصدير البيانات ولم يتم الاعتراض عليهم بشكل معقول من قبل جهة استيراد البيانات) للتأكد من الامتثال للضمانات والتعهدات الواردة في هذه البنود، مع إشعار معقول وخلال ساعات العمل العادية. وسيخضع هذا الطلب لأي موافقة أو موافقة ضرورية من سلطة تنظيمية أو إشرافية داخل بلد جهة استيراد البيانات والذي ستحاول جهة استيراد البيانات الحصول عليه في الوقت المناسب.

(ح) ستقوم بمعالجة البيانات الشخصية، باختيارها، وفقًا لمبادئ مُعالجة البيانات المنصوص عليها في الملحق (أ).

(ط) لن تقوم بالإفصاح عن البيانات الشخصية أو نقلها إلى مُتحكّم في البيانات كطرف ثالث تابع لجهة خارجية تقع خارج المنطقة الاقتصادية الأوروبية (EEA) ما لم تُخطر جهة تصدير البيانات بشأن النقل و

(1) يقوم الطرف الثالث المُتحكّم في البيانات بمعالجة البيانات الشخصية وفقًا لقرار اللجنة الذي يفيد بأن دولة ثالثة توفر الحماية الكافية، أو

(2) يقوم الطرف الثالث المُتحكّم في البيانات بالتوقيع على هذه البنود أو أي اتفاقية نقل بيانات أخرى توافق عليها سلطة مختصة في الاتحاد الأوروبي، أو

(3) يتم منح أصحاب البيانات الفرصة للاعتراض، بعد أن تم إبلاغهم بأغراض النقل، وفئات المستلمين، وحقيقة أن البلدان التي يتم تصدير البيانات إليها قد تكون لديها معايير حماية مختلفة للبيانات، أو

(4) فيما يتعلق بعمليات النقل التوسعي للبيانات الحساسة، فقد أعطى أصحاب البيانات موافقتهم الواضحة على النقل التوسعي.

(أ) يكون كل طرف مسؤولاً أمام الأطراف الأخرى عن الأضرار التي يسببها بسبب أي خرق لهذه البنود. تقتصر المسؤولية بين الطرفين على الأضرار الفعلية التي لحقت بهم. يتم استبعاد الأضرار العقابية (أي الأضرار التي تهدف إلى معاقبة أي من الطرفين على سلوكه الشائن) بشكل خاص. يكون كل طرف مسؤولاً أمام أصحاب البيانات عن الأضرار التي يسببها بسبب أي خرق لحقوق الطرف الثالث بموجب هذه البنود. وهذا لا يؤثر على مسؤولية جهة تصدير البيانات بموجب قانون حماية البيانات الخاصة بها.

(ب) اتفق الطرفان على أن لصاحب البيانات الحق في إنفاذ هذه البنود: البند الأول (ب)، (د) و(هـ) والبند الثاني (أ)، (ج)، (د)، (هـ)، (ح) و(ط) والبند الثالث (أ) والبند الخامس البند السادس (د) والبند السابع ضد جهة استيراد البيانات أو جهة تصدير البيانات مقابل خرق كل منهما لالتزاماتهما التعاقدية، فيما يتعلق ببياناته الشخصية، وقبول الاختصاص لهذا الغرض في دولة إنشاء جهة تصدير البيانات. وفي الحالات التي تنطوي على مزاعم انتهاك جهة استيراد البيانات، يجب أن يطلب صاحب البيانات أولاً من جهة تصدير البيانات اتخاذ الإجراء المناسب لفرض حقوقه ضد جهة استيراد البيانات؛ إذا لم تتّخذ جهة تصدير البيانات مثل هذا الإجراء في غضون فترة معقولة (قد تكون شهرًا واحدًا في الظروف العادية)، يجوز لصاحب البيانات عندئذٍ بإنفاذ حقوقه ضد جهة استيراد البيانات بشكل مباشرةً. يحق لصاحب البيانات برفع دعوى قضائية مباشرةً ضد جهة تصدير البيانات لأنها أخفقت في استخدام الجهود المعقولة لتحديد أن جهة استيراد البيانات قادرة على الوفاء بالتزاماتها القانونية بموجب هذه البنود (يجب أن تتحمل جهة تصدير البيانات عبء إثبات أنها بذلت جهودًا معقولة).

تخضع هذه البنود لقانون الدولة التي تم إنشاء جهة تصدير البيانات فيها، باستثناء القوانين واللوائح المُتعلقة بمُعالجة البيانات الشخصية من قبل جهة استيراد البيانات بموجب البند الثاني (ح)، الذي ينطبق فقط إذا تم تحديده بواسطة جهة استيراد البيانات بموجب هذا البند.

(أ) في حالة وجود نزاع أو مُطالبة مُقدّمة من صاحب البيانات أو السلطة فيما يتعلق بمُعالجة البيانات الشخصية ضد أي من الطرفين أو كليهما، سيُبلغ الطرفان بعضهما البعض بشأن أي نزاعات أو مُطالبات من هذا القبيل وسيتعاونان بهدف تسويتها وديًا في الوقت المناسب.

(ب) يوافق الطرفان على الرد على أي إجراء وساطة غير مُلزم ومتاح بشكل عام وبادر به صاحب البيانات أو السلطة. في حالة مشاركة الطرفان في هذه الإجراءات، فقد يختاروا القيام بذلك عن بُعد (عبر الهاتف أو غيره من الوسائل الإلكترونية، على سبيل المثال). كما وافق الطرفان على النظر في المشاركة في أي تحكيم أو وساطة أو إجراءات تسوية نزاع أخرى تم تطويرها لحماية البيانات.

(ج) يلتزم كل طرف بأي قرار صادر عن محكمة مُختصّة في بلد إنشاء جهة تصدير البيانات أو قرار السلطة الذي يعتبر نهائيًا ولا يمكن استئنافه.

(أ) في حالة انتهاك جهة استيراد البيانات لالتزاماتها بموجب هذه البنود، يجوز لجهة تصدير البيانات تعليق نقل البيانات الشخصية مؤقتًا إلى جهة استيراد البيانات حتى يتم إصلاح الخرق أو إنهاء العقد.

(ب) في حال:

(1) تعليق نقل البيانات الشخصية إلى جهة استيراد البيانات مؤقتًا من قبل جهة تصدير البيانات لمدة تزيد عن شهر واحد وفقًا للفقرة (أ)؛

(2) قد يؤدي امتثال جهة استيراد البيانات لهذه البنود إلى خرق لالتزاماتها القانونية أو التنظيمية في بلد الاستيراد؛

(3) ارتكاب جهة استيراد البيانات انتهاكًا جوهريًا أو مستمرًا لأي ضمانات أو تعهدات قدمتها بموجب هذه البنود؛

(4) قرار نهائي لا يمكن استئنافه أمام محكمة مُختصّة في بلد إنشاء جهة تصدير البيانات أو قواعد السلطة التي تفيد بحدوث خرق للبنود من قبل جهة استيراد البيانات أو جهة تصدير البيانات؛ أو

(5) تقديم التماس للإدارة أو تصفية جهة استيراد البيانات، سواء بصفتها الشخصية أو التجارية، وهذا الالتماس لم يتم رفضه خلال الفترة المعمول بها لهذا الرفض بموجب القانون المعمول به؛ إجراء أمر التصفية؛ تعيين حارس قضائي على أي من أصولها؛ تعيين وصي في حالة الإفلاس إذا كانت جهة استيراد البيانات فردًا؛ إجراء الترتيب الطوعي للشركة؛ أو أي حدث مماثل في أي ولاية قضائية

عندئذٍ يحق لجهة تصدير البيانات، دون المساس بأي حقوق أخرى قد تكون لها ضد جهة استيراد البيانات، إنهاء هذه البنود وفي هذه الحالة يجب إبلاغ السلطة عند الاقتضاء. وفي الحالات التي تغطيها البنود (1)، (2)، أو (4) أعلاه، يجوز لجهة استيراد البيانات أيضًا إنهاء هذه البنود.

(ج) يجوز لأي من الطرفين إنهاء هذه البنود إذا؛ (1) صدر أي قرار كفاية إيجابي بشأن العمولة بموجب المادة ٢٥ (٦) من التوجيه ٩٥/٤٦/EC (أو أي نص بديل) فيما يتعلق بالدولة (أو قطاع منها) التي يتم نقل البيانات إليها ومعالجتها من قبل جهة استيراد البيانات أو (2) يصبح التوجيه ٩٥/٤٦/EC (أو أي نص بديل) ساري بشكل مباشر في هذا البلد.

(د) وافق الطرفان على أن إنهاء هذه البنود في أي وقت، وفي أي ظرف من الظروف ولأي سبب (باستثناء الإنهاء بموجب البند السادس (ج)) لا يعفيهم من الالتزامات و/أو الشروط بموجب البنود فيما يتعلق بمعالجة البيانات الشخصية المنقولة.

لا يجوز للطرفين تعديل هذه البنود باستثناء تحديث أي معلومات في الملحق (ب)، وفي هذه الحالة سيبلغون السلطة عند الاقتضاء. وهذا لا يمنع الطرفين من إضافة بنود تجارية إضافية عند الاقتضاء.

يتم تحديد تفاصيل النقل والبيانات الشخصية في الملحق (ب). حيث وافق الطرفان على أن الملحق (ب) قد يحتوي على معلومات تجارية سرية لن يقوموا بالإفصاح عنها إلى أي طرف ثالث، باستثناء ما يقتضيه القانون أو استجابةً لجهة تنظيمية أو حكومية مختصة، أو على النحو المطلوب بموجب البند الأول (هـ). يجوز للطرفين تنفيذ ملحقات إضافية لتغطية عمليات النقل الإضافية، التي سيتم تقديمها إلى السلطة عند الاقتضاء. وفي المقابل، يجوز صياغة الملحق (ب) لتغطية عمليات نقل مُتعدّدة.

1. تحديد الغرض: قد تتم معالجة البيانات الشخصية واستخدامها لاحقًا أو نقلها مرة أخرى فقط للأغراض الموضحة في المرفق ب أو التصريح بها لاحقًا بواسطة صاحب البيانات.

٢. جودة البيانات وتناسبها: يجب أن تكون البيانات الشخصية دقيقة ومحدثة، عند الضرورة. ويجب أن تكون البيانات الشخصية كافية وذات صلة وليست مفرطة فيما يتعلق بالأغراض التي من أجلها يتم نقلها ومعالجتها.

٣. الشفافية: يجب تزويد أصحاب البيانات بالمعلومات اللازمة لضمان المعالجة العادلة (مثل معلومات حول أغراض المعالجة وحول النقل)، ما لم يتم تقديم هذه المعلومات بالفعل من قبل مُصدّر البيانات.

٤. الأمان والسرية: يجب اتخاذ تدابير أمنية تقنية وتنظيمية مناسبة للمخاطر من قبل المُتحكّم في البيانات، مثل الإتلاف العرضي أو غير القانوني أو الفقد العرضي أو التغيير أو الكشف أو الوصول غير المصرح به، التي تُجريها المعالجة. ويجب على أي شخص يعمل تحت سلطة المُتحكّم في البيانات، بما في ذلك المعالج، عدم معالجة البيانات إلّا بناءً على تعليمات من المُتحكّم في البيانات.

٥. حقوق الوصول والتصحيح والحذف والاعتراض: كما هو منصوص عليه في المادة ١٢ من التوجيه ٤٦/٩٥/EC، يجب تزويد أصحاب البيانات، سواء بصورة مباشرة أو عن طريق طرف خارجي، بالمعلومات الشخصية الخاصة بهم التي تحتفظ بها المنظمة، باستثناء الطلبات التي تعتبر مسيئة على نحوٍ واضح، بناءً على فترات زمنية غير منطقية أو عددها أو طبيعتها المتكررة أو المنهجية، أو التي لا يلزم منح حق الوصول لها بموجب قانون بلد مُصدّر البيانات. شريطة أن تكون السلطة قد أعطت موافقتها المسبقة، ولا يلزم أيضًا منح حق الوصول عندما يُحتمل أن يؤدي ذلك إلى إلحاق ضرر جسيم بمصالح مُستورِد البيانات أو المنظمات الأخرى التي تتعامل مع مُستورِد البيانات، ولا يتم تجاوز هذه المصالح خلال المصالح الأساسية لحقوق وحريات صاحب البيانات. ولا يلزم تحديد مصادر البيانات الشخصية عندما لا يكون ذلك ممكنًا بجهود منطقية، أو عند انتهاك حقوق الأشخاص بخلاف الفرد. ويجب أن يكون أصحاب البيانات قادرين على تصحيح المعلومات الشخصية المتعلقة بهم أو تعديلها أو حذفها عندما تكون غير دقيقة أو تتم معالجتها وفق هذه المبادئ. وإذا كانت هناك أسباب مقنعة للشك في شرعية الطلب، فقد تطلب المنظمة مزيدًا من التبريرات قبل الشروع في التصحيح أو التعديل أو الحذف. لا يلزم تقديم إخطار بأي تصحيح أو تعديل أو حذف لأطراف خارجية تم كشف البيانات لها عندما ينطوي ذلك على جهد غير متكافئ. ويجب أن يكون صاحب البيانات قادرًا على الاعتراض على معالجة البيانات الشخصية المتعلقة به أيضًا إذا كانت هناك أسباب مشروعة ومقنعة تتعلق بوضعه الخاص. حيث يقع عبء إثبات أي رفض على مُستورِد البيانات، وقد يطعن صاحب البيانات دائمًا في الرفض أمام السلطة.

٦. البيانات الحساسة: يجب على مُستورِد البيانات اتخاذ مثل هذه الإجراءات الإضافية (على سبيل المثال المتعلقة بالأمان) اللازمة لحماية هذه البيانات الحساسة وفق التزاماتها بموجب الفقرة الثانية.

٧. البيانات المستخدمة لأغراض التسويق: عند معالجة البيانات لأغراض التسويق المباشر، يجب أن تكون هناك إجراءات فعالة تسمح لصاحب البيانات في أي وقت بـ "الانسحاب" من استخدام بياناته لهذه الأغراض.

٨. القرارات الآلية: لأغراض هذا "القرار الآلي" يعني القرار الصادر عن مُصدّر البيانات أو مُستورِد البيانات، الذي ينتج عنه آثار قانونية تتعلق بصاحب البيانات أو يؤثر بصورة كبيرة على صاحب البيانات ويستند فقط إلى المعالجة الآلية للبيانات الشخصية التي تهدف إلى تقييم بعض الجوانب الشخصية المتعلقة به، مثل أدائه في العمل، والجدارة الائتمانية، والموثوقية، والسلوك، وما إلى ذلك. ولا يجوز لمُستورِد البيانات اتخاذ أي قرارات آلية تتعلق بموضوعات البيانات، إلّا في الحالات التالية:

(أ) (١) يتم اتخاذ مثل هذه القرارات من قبل مُستورِد البيانات عند إبرام أو تنفيذ عقد مع صاحب البيانات، و (٢) (يُمنَح صاحب البيانات فرصة لمناقشة نتائج القرار الآلي ذي الصلة مع ممثل الأطراف التي تتخذ مثل هذا القرار أو لتقديم إقرارات لتلك الأطراف.

أو

(ب) حيث ينص قانون مُصدّر البيانات خلاف ذلك.

ترد التفاصيل المتعلقة بوصف النقل موضحة في الجدول ١ من اتفاقية مشاركة البيانات.