اتفاقية معالجة البيانات (DPA)
إشعار الترجمة
⚠️ إشعار مهم: تمت ترجمة هذه الوثيقة من اللغة التركية. في حالة وجود أي تعارض بين هذه الترجمة والنسخة التركية الأصلية، تسود النسخة التركية.
يمكنك العثور على الوثيقة التركية الأصلية على: https://evaste.co/tr/legal-center/data-processing-agreement
1. الأطراف والتعريفات
1.1. الأطراف
المتحكم في البيانات: شركة العميل (يُشار إليها فيما بعد بـ "المتحكم في البيانات" أو "العميل")
المعالج: Evaste (ضمن Group Taiga)، ليفينت، إسطنبول، تركيا، البريد الإلكتروني: dpa@evaste.co (يُشار إليه فيما بعد بـ "المعالج" أو "Evaste")
1.2. التعريفات
"تشريعات حماية البيانات المعمول بها": قانون KVKK رقم 6698، اللائحة العامة لحماية البيانات (GDPR) في الاتحاد الأوروبي، توجيه الخصوصية الإلكترونية وجميع التشريعات الوطنية ذات الصلة.
"البيانات الشخصية": أي معلومات تتعلق بشخص طبيعي محدد أو قابل للتحديد.
"المعالجة": أي عملية يتم إجراؤها على البيانات الشخصية مثل الجمع والتسجيل والتنظيم والتخزين والتعديل والنقل والحذف.
"المتحكم في البيانات": الشخص الطبيعي أو الاعتباري الذي يحدد أغراض ووسائل معالجة البيانات الشخصية.
"المعالج": الشخص الطبيعي أو الاعتباري الذي يعالج البيانات الشخصية نيابة عن المتحكم في البيانات.
"المعالج الفرعي": طرف ثالث يتم تكليفه من قبل المعالج لتنفيذ جزء من أنشطة المعالجة.
"خرق البيانات": التدمير العرضي أو غير القانوني للبيانات الشخصية أو فقدانها أو تغييرها أو الإفصاح غير المصرح به عنها أو الوصول إليها.
"سلطة الرقابة": هيئة حماية البيانات الشخصية (KVKK) و/أو سلطة حماية البيانات في الدولة العضو ذات الصلة في الاتحاد الأوروبي.
"البنود التعاقدية القياسية (SCC)": البنود التعاقدية القياسية المعتمدة من مفوضية الاتحاد الأوروبي لنقل البيانات الدولي.
2. موضوع العقد
2.1. النطاق
تعد اتفاقية معالجة البيانات هذه ("DPA") جزءاً لا يتجزأ من اتفاقية الخدمات الرئيسية ("الاتفاقية الرئيسية") المبرمة بين المتحكم في البيانات والمعالج، وتنظم حقوق والتزامات الأطراف فيما يتعلق بمعالجة البيانات الشخصية.
2.2. الغرض
الغرض من هذه الاتفاقية:
- استيفاء متطلبات المادة 28 من GDPR ومتطلبات KVKK
- ضمان معالجة البيانات الشخصية بشكل آمن وقانوني
- تحديد مسؤوليات الأطراف بوضوح
- حماية حقوق أصحاب البيانات
2.3. الأولوية
في حالة وجود تعارض بين الاتفاقية الرئيسية وهذه الاتفاقية، تسود أحكام هذه الاتفاقية فيما يتعلق بحماية البيانات الشخصية.
3. طبيعة وغرض المعالجة
3.1. غرض المعالجة
يقوم المعالج بمعالجة البيانات الشخصية نيابة عن المتحكم في البيانات للأغراض التالية فقط:
- تقديم خدمات إدارة موافقة ملفات تعريف الارتباط
- جمع وتخزين والإبلاغ عن سجلات الموافقة
- خدمات مسح وتصنيف ملفات تعريف الارتباط
- خدمات إنشاء سياسة الخصوصية ونصوص الإفصاح
- خدمات تقارير الامتثال
- تقديم دعم العملاء
- الخدمات الأخرى المشمولة في الاتفاقية الرئيسية
3.2. مدة المعالجة
ستستمر المعالجة طوال مدة الاتفاقية الرئيسية ووفقاً للشروط المحددة في هذه الاتفاقية.
3.3. طبيعة المعالجة
تشمل أنشطة المعالجة: الجمع، التسجيل، التنظيم، الهيكلة، التخزين، التكييف، التعديل، الاسترجاع، الاستشارة، الاستخدام، الإفصاح عن طريق النقل، النشر، الإتاحة، المواءمة، الدمج، التقييد، الحذف، الإتلاف.
4. فئات البيانات الشخصية وأصحاب البيانات
4.1. فئات البيانات الشخصية المعالجة
| الفئة | الوصف |
|---|---|
| بيانات التعريف | عنوان IP، معرف ملف تعريف الارتباط، معرف الجهاز |
| بيانات الموافقة | تفضيلات الموافقة، وقت الموافقة |
| البيانات التقنية | نوع المتصفح، نظام التشغيل |
| البيانات السلوكية | زيارات الصفحات، التفاعلات |
| البيانات الجغرافية | البلد، المنطقة (تقريبية بناءً على IP) |
4.2. البيانات الشخصية ذات الطبيعة الخاصة
لا يتم معالجة البيانات الشخصية ذات الطبيعة الخاصة (المادة 6 من KVKK، المادة 9 من GDPR) بموجب هذه الاتفاقية. يتعهد المتحكم في البيانات بعدم جمع مثل هذه البيانات من خلال خدمات Evaste.
4.3. فئات أصحاب البيانات
تنتمي البيانات الشخصية المعالجة إلى الأشخاص التالين:
- زوار موقع المتحكم في البيانات
- مستخدمي تطبيق الجوال للمتحكم في البيانات
- عملاء المتحكم في البيانات والعملاء المحتملين
4.4. حجم السجلات المعالجة
حجم السجلات المعالجة المقدر: يختلف وفقاً لخطة الاشتراك المحددة في الاتفاقية الرئيسية.
5. التزامات المعالج
يتحمل المعالج الالتزامات التالية:
5.1. الامتثال للتعليمات
- سيعالج البيانات الشخصية فقط وفقاً للتعليمات المكتوبة من المتحكم في البيانات.
- سيبلغ المتحكم في البيانات فوراً إذا اعتقد أن أي تعليمات تنتهك تشريعات حماية البيانات المعمول بها.
- تشكل الاتفاقية الرئيسية وهذه الاتفاقية التعليمات المكتوبة السارية.
5.2. السرية
- سيضمن أن الموظفين الذين لديهم حق الوصول إلى البيانات الشخصية ملتزمون بالسرية.
- سيضمن أن الموظفين يصلون فقط إلى البيانات اللازمة لأداء واجباتهم.
5.3. تدابير الأمان
- سيطبق التدابير الأمنية التقنية والتنظيمية المناسبة المنصوص عليها في المادة 32 من GDPR.
- سيقيم مدى كفاية تدابير الأمان بشكل منتظم.
- تفصيل تدابير الأمان في الملحق أ.
5.4. استخدام المعالجين الفرعيين
- لن يستخدم معالجين فرعيين دون موافقة مكتوبة مسبقة من المتحكم في البيانات.
- سيبرم عقوداً مكتوبة مع المعالجين الفرعيين تتضمن التزامات حماية بيانات معادلة.
5.5. طلبات أصحاب البيانات
- سيساعد المتحكم في البيانات في الرد على طلبات أصحاب البيانات.
- سيوجه الطلبات المستلمة مباشرة إلى المتحكم في البيانات.
5.6. الإخطار بخرق البيانات
- سيبلغ المتحكم في البيانات دون تأخير (خلال 24 ساعة كحد أقصى) عند اكتشاف خرق للبيانات.
- سيقدم جميع المعلومات والوثائق المتعلقة بالخرق.
5.7. دعم التدقيق
- سيستجيب لطلبات التدقيق المعقولة من المتحكم في البيانات أو ممثله المفوض.
- سيتعاون مع فحوصات سلطات الرقابة.
5.8. نهاية العقد
- عند انتهاء العقد، سيعيد أو يتلف البيانات الشخصية وفقاً لتعليمات المتحكم في البيانات.
- تظل الالتزامات القانونية بالاحتفاظ سارية.
6. التزامات المتحكم
يتحمل المتحكم في البيانات الالتزامات التالية:
6.1. الامتثال القانوني
- يقر ويضمن أن لديه أساساً قانونياً صالحاً لجمع واستخدام البيانات الشخصية.
- يقر أنه قد أبلغ أصحاب البيانات بشكل صحيح و/أو حصل على الموافقات اللازمة.
6.2. قانونية التعليمات
- يضمن أن التعليمات المقدمة للمعالج تتوافق مع تشريعات حماية البيانات المعمول بها.
- يتحمل المتحكم في البيانات مسؤولية ضمان أن خدمات إدارة موافقة ملفات تعريف الارتباط من Evaste تلبي المتطلبات القانونية.
6.3. الإعلام
- سيقدم إشعار خصوصية مناسباً للمستخدمين النهائيين حول معالجة البيانات من خلال خدمات Evaste.
- سيوضح Evaste أو المعالجين الفرعيين ذوي الصلة في سياسة ملفات تعريف الارتباط.
6.4. دقة البيانات
- سيضمن دقة وحداثة البيانات الشخصية المقدمة إلى Evaste.
- سيحدث البيانات عند الضرورة.
7. استخدام المعالجين الفرعيين
7.1. التفويض العام
يمنح المتحكم في البيانات موافقة مسبقة على استخدام المعالجين الفرعيين المدرجين في الملحق ب (تفويض كتابي عام).
7.2. الإخطار بالمعالج الفرعي الجديد
- ستقدم Evaste إشعاراً كتابياً للمتحكم في البيانات قبل 30 (ثلاثين) يوماً على الأقل من إضافة معالج فرعي جديد.
- سيتم إرسال الإشعار إلى عنوان البريد الإلكتروني المسجل للمتحكم في البيانات.
- يتم نشر قائمة المعالجين الفرعيين الحالية على https://evaste.co/legal-center/sub-processors
7.3. حق الاعتراض
- يجوز للمتحكم في البيانات الاعتراض على المعالج الفرعي الجديد خلال 15 (خمسة عشر) يوماً بأسباب معقولة.
- في حالة الاعتراض، ستجري الأطراف مفاوضات بحسن نية.
- إذا لم يتم التوصل إلى حل، يجوز للمتحكم في البيانات إنهاء العقد.
7.4. عقود المعالج الفرعي
- ستبرم Evaste عقوداً مكتوبة مع المعالجين الفرعيين تتضمن التزامات معادلة لهذه الاتفاقية.
- ستظل مسؤولة أمام المتحكم في البيانات عن أفعال المعالجين الفرعيين.
8. نقل البيانات الدولي
8.1. النقل خارج المنطقة الاقتصادية الأوروبية
في حالة نقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية (EEA):
- قرار الكفاية: يمكن النقل إلى البلدان التي لديها قرار كفاية من مفوضية الاتحاد الأوروبي.
- البنود التعاقدية القياسية (SCC): سيتم تطبيق البنود التعاقدية القياسية المعتمدة من مفوضية الاتحاد الأوروبي بتاريخ 4 يونيو 2021.
- التدابير الإضافية: سيتم اتخاذ التدابير التقنية والتنظيمية الإضافية اللازمة وفقاً لقرار Schrems II.
8.2. تقييم تأثير النقل
- أجرت Evaste تقييم تأثير النقل (TIA) للنقل إلى الولايات المتحدة أو دول ثالثة أخرى.
- يمكن مشاركة نتائج TIA مع المتحكم في البيانات عند الطلب.
8.3. النقل من تركيا
للنقل إلى الخارج وفقاً للمادة 9 من KVKK:
- النقل إلى البلدان ذات الحماية الكافية
- النقل بموجب عقد يتضمن تعهداً بالحماية الكافية
- النقل بموافقة صريحة
سيتم تطبيق الطريقة المناسبة من هذه الطرق.
9. تدابير الأمان
9.1. التدابير التقنية
تطبق Evaste تدابير الأمان التقنية التالية:
- التشفير: TLS 1.3 أثناء النقل، AES-256 أثناء التخزين
- التحكم في الوصول: التحكم في الوصول القائم على الدور (RBAC)، المصادقة متعددة العوامل (MFA)، مبدأ الحد الأدنى من الصلاحيات
- أمان الشبكة: جدار الحماية (WAF)، أنظمة IDS/IPS، حماية DDoS
- أمان التطبيقات: حماية OWASP Top 10، فحوصات أمان منتظمة، اختبارات الاختراق
9.2. التدابير التنظيمية
- اتفاقيات السرية (لجميع الموظفين)
- تدريبات التوعية الأمنية
- إجراءات تفويض الوصول
- خطط الاستجابة للحوادث
9.3. تقييم تدابير الأمان
- يتم مراجعة تدابير الأمان سنوياً.
- يتم تحديثها وفقاً لتقييم المخاطر.
- يتم التحقق منها من خلال عمليات تدقيق مستقلة.
10. حقوق التدقيق
10.1. نطاق التدقيق
يحق للمتحكم في البيانات إجراء تدقيق للتحقق من الامتثال لالتزامات هذه الاتفاقية.
10.2. الإخطار بالتدقيق
- يجب تقديم طلبات التدقيق كتابياً قبل 30 (ثلاثين) يوماً على الأقل.
- يجب تحديد نطاق ومدة التدقيق مسبقاً.
- يجب إجراء عمليات التدقيق خلال ساعات العمل العادية.
10.3. طرق التدقيق
- التدقيق الميداني: من قبل المتحكم في البيانات أو ممثله المفوض، من قبل مدقق مستقل، يتحمل المتحكم في البيانات التكاليف المعقولة
- التدقيق عن بعد: مراجعة تقارير الأمان والشهادات، جلسات الأسئلة والأجوبة، مشاركة الوثائق
10.4. تقارير التدقيق المتاحة
يمكن لـ Evaste تقديم تقارير التدقيق التالية عند الطلب:
- تقرير SOC 2 Type II
- شهادة ISO 27001
- تقرير موجز لاختبار الاختراق
10.5. السرية
سيتم الحفاظ على سرية المعلومات التي يتم الحصول عليها أثناء عملية التدقيق واستخدامها فقط لغرض تقييم الامتثال.
11. طلبات أصحاب البيانات
11.1. توجيه الطلبات
- سيتم توجيه طلبات أصحاب البيانات التي تصل مباشرة إلى Evaste إلى المتحكم في البيانات دون التحقق من الهوية.
- ستقوم Evaste بإبلاغ المتحكم في البيانات على الفور.
11.2. التزام الدعم
ستساعد Evaste المتحكم في البيانات في الرد على الطلبات المتعلقة بالحقوق التالية:
- حق الوصول
- حق التصحيح
- حق الحذف ("حق النسيان")
- حق تقييد المعالجة
- حق نقل البيانات
- حق الاعتراض
11.3. أوقات الاستجابة
ستقدم Evaste الدعم التقني اللازم لتلبية طلبات أصحاب البيانات خلال 10 (عشرة) أيام عمل.
11.4. الإمكانيات التقنية
توفر منصة Evaste ميزات الخدمة الذاتية التالية:
- تصدير سجلات الموافقة
- حذف بيانات زائر معين
- تقارير الوصول إلى البيانات
12. الإخطار بخرق البيانات
12.1. التعريف
يعني "خرق البيانات" بموجب هذه الاتفاقية التدمير العرضي أو غير القانوني للبيانات الشخصية المعالجة من قبل Evaste أو فقدانها أو تغييرها أو الإفصاح غير المصرح به عنها أو الوصول إليها.
12.2. مهلة الإخطار
- ستبلغ Evaste المتحكم في البيانات خلال 24 (أربع وعشرين) ساعة كحد أقصى من علمها بخرق البيانات.
- سيتم الإخطار على: dpa@evaste.co وعنوان البريد الإلكتروني المسجل للمتحكم في البيانات.
12.3. محتوى الإخطار
سيتم تقديم المعلومات التالية في الإخطار الأولي:
- طبيعة الخرق
- فئات البيانات المتأثرة
- العدد التقديري للسجلات المتأثرة
- النتائج الأولية والتدابير الطارئة المتخذة
- نقطة الاتصال
12.4. التقرير المفصل
سيتم تقديم تقرير مفصل خلال 72 ساعة من الإخطار الأولي يتضمن:
- التسلسل الزمني للخرق
- تحليل السبب الجذري
- تقييم العواقب المحتملة
- التدابير التصحيحية المتخذة والمخطط لها
- القائمة الكاملة للبيانات المتأثرة (إن أمكن)
12.5. التعاون
ستقوم Evaste بـ:
- التعاون الكامل مع المتحكم في البيانات في التحقيق في الخرق.
- تقديم المعلومات اللازمة للإخطار لسلطات الرقابة.
- تقديم الدعم لإخطار أصحاب البيانات المتأثرين.
13. مدة العقد والإنهاء
13.1. المدة
تسري هذه الاتفاقية طوال فترة سريان الاتفاقية الرئيسية.
13.2. الإنهاء
- تنتهي هذه الاتفاقية تلقائياً بإنهاء الاتفاقية الرئيسية.
- في حالة الإخلال الجسيم، يجوز لأي من الطرفين الإنهاء بإشعار كتابي مدته 30 يوماً.
13.3. الالتزامات المستمرة
تستمر الالتزامات التالية بعد الإنهاء:
- التزامات السرية (غير محددة المدة)
- التزامات إتلاف/إعادة البيانات (خلال 90 يوماً)
- التزامات الاحتفاظ القانونية (طوال الفترة ذات الصلة)
14. إتلاف البيانات عند انتهاء العقد
14.1. خيارات إعادة/إتلاف البيانات
عند انتهاء العقد، وفقاً لتعليمات المتحكم في البيانات:
- إعادة البيانات: نقل البيانات بتنسيق شائع (CSV، JSON)، طرق نقل آمنة، الإكمال خلال 30 يوماً
- إتلاف البيانات: طرق حذف آمنة، متوافقة مع معايير NIST، تقديم شهادة إتلاف
14.2. استثناءات الاحتفاظ
يمكن الاحتفاظ بالبيانات حتى نهاية الفترة القانونية في الحالات التالية:
- متطلبات التشريع الضريبي
- الإجراءات القانونية النشطة
- طلبات سلطات الرقابة
14.3. شهادة الإتلاف
عند اكتمال إتلاف البيانات، ستقدم Evaste شهادة مكتوبة تحدد البيانات المدمرة والطرق المستخدمة.
15. المسؤولية والتعويض
15.1. توزيع المسؤولية
- يكون كل طرف مسؤولاً عن الأضرار الناجمة عن إخلاله بالتزاماته.
- يكون المعالج مسؤولاً فقط بقدر عدم امتثاله للتعليمات المقدمة له أو انتهاكه للالتزامات المفروضة مباشرة على المعالج بموجب GDPR.
15.2. التعويض
- يعوض الأطراف بعضهم البعض عن الغرامات الإدارية وطلبات أصحاب البيانات الناجمة عن انتهاك تشريعات حماية البيانات المعمول بها.
- تتحدد طلبات التعويض وفقاً لدرجة الخطأ.
15.3. حدود المسؤولية
تنطبق قيود المسؤولية الواردة في الاتفاقية الرئيسية على هذه الاتفاقية أيضاً؛ ومع ذلك:
- لا تنطبق في حالة القصد أو الإهمال الجسيم.
- لا تنطبق في الحالات المقيدة بالتشريعات القانونية.
16. السرية
16.1. التزام السرية
- يحافظ الأطراف على سرية جميع المعلومات التي يحصلون عليها بموجب هذه الاتفاقية.
- تُستخدم المعلومات السرية فقط لأغراض العقد.
16.2. الاستثناءات
لا ينطبق التزام السرية في الحالات التالية:
- المعلومات المتاحة للعامة
- المعلومات المفصح عنها بموجب إلزام قانوني
- المعلومات المشتركة بإذن كتابي مسبق
16.3. المدة
تستمر التزامات السرية طوال مدة العقد وإلى أجل غير مسمى بعد انتهائه.
17. الأحكام العامة
17.1. القانون الواجب التطبيق
تخضع هذه الاتفاقية لقوانين جمهورية تركيا. تنطبق أيضاً تشريعات حماية البيانات في الاتحاد الأوروبي على أنشطة المعالجة المشمولة بـ GDPR.
17.2. الاختصاص القضائي
تختص محاكم ودوائر التنفيذ في إسطنبول بالنزاعات.
17.3. التعديلات
- يجب أن تكون التعديلات على هذه الاتفاقية مكتوبة.
- سيتم تطبيق التحديثات اللازمة بسبب التغييرات التشريعية على الفور.
17.4. قابلية الفصل
لا يؤثر بطلان أي حكم على الأحكام الأخرى.
17.5. عدم التنازل
لا يعني عدم ممارسة أي حق التنازل عن هذا الحق.
17.6. الاتفاقية الكاملة
تشكل هذه الاتفاقية وملاحقها الاتفاقية الكاملة بشأن معالجة البيانات الشخصية.
18. الملاحق
الملاحق التي تشكل جزءاً لا يتجزأ من هذه الاتفاقية:
- الملحق أ: تدابير الأمان التقنية والتنظيمية
- الملحق ب: قائمة المعالجين الفرعيين المعتمدين
- الملحق ج: البنود التعاقدية القياسية للاتحاد الأوروبي (SCC)
للبنود التعاقدية القياسية: تم إدراج البنود التعاقدية القياسية بموجب قرار التنفيذ (EU) 2021/914 الصادر عن مفوضية الاتحاد الأوروبي بتاريخ 4 يونيو 2021 في هذه الاتفاقية. الوحدة المختارة: الوحدة 2 (المتحكم في البيانات → المعالج)
معلومات الاتصال
Evaste (Group Taiga)
العنوان: ليفينت، إسطنبول، تركيا
استفسارات DPA: dpa@evaste.co
مسؤول حماية البيانات: dpo@evaste.co
عام: info@evaste.co
الموقع: https://evaste.co
اتفاقية معالجة البيانات (DPA)
إشعار الترجمة
⚠️ إشعار مهم: تمت ترجمة هذه الوثيقة من اللغة التركية. في حالة وجود أي تعارض بين هذه الترجمة والنسخة التركية الأصلية، تسود النسخة التركية.
يمكنك العثور على الوثيقة التركية الأصلية على: https://evaste.co/tr/legal-center/data-processing-agreement
1. الأطراف والتعريفات
1.1. الأطراف
المتحكم في البيانات: شركة العميل (يُشار إليها فيما بعد بـ "المتحكم في البيانات" أو "العميل")
المعالج: Evaste (ضمن Group Taiga)، ليفينت، إسطنبول، تركيا، البريد الإلكتروني: dpa@evaste.co (يُشار إليه فيما بعد بـ "المعالج" أو "Evaste")
1.2. التعريفات
"تشريعات حماية البيانات المعمول بها": قانون KVKK رقم 6698، اللائحة العامة لحماية البيانات (GDPR) في الاتحاد الأوروبي، توجيه الخصوصية الإلكترونية وجميع التشريعات الوطنية ذات الصلة.
"البيانات الشخصية": أي معلومات تتعلق بشخص طبيعي محدد أو قابل للتحديد.
"المعالجة": أي عملية يتم إجراؤها على البيانات الشخصية مثل الجمع والتسجيل والتنظيم والتخزين والتعديل والنقل والحذف.
"المتحكم في البيانات": الشخص الطبيعي أو الاعتباري الذي يحدد أغراض ووسائل معالجة البيانات الشخصية.
"المعالج": الشخص الطبيعي أو الاعتباري الذي يعالج البيانات الشخصية نيابة عن المتحكم في البيانات.
"المعالج الفرعي": طرف ثالث يتم تكليفه من قبل المعالج لتنفيذ جزء من أنشطة المعالجة.
"خرق البيانات": التدمير العرضي أو غير القانوني للبيانات الشخصية أو فقدانها أو تغييرها أو الإفصاح غير المصرح به عنها أو الوصول إليها.
"سلطة الرقابة": هيئة حماية البيانات الشخصية (KVKK) و/أو سلطة حماية البيانات في الدولة العضو ذات الصلة في الاتحاد الأوروبي.
"البنود التعاقدية القياسية (SCC)": البنود التعاقدية القياسية المعتمدة من مفوضية الاتحاد الأوروبي لنقل البيانات الدولي.
2. موضوع العقد
2.1. النطاق
تعد اتفاقية معالجة البيانات هذه ("DPA") جزءاً لا يتجزأ من اتفاقية الخدمات الرئيسية ("الاتفاقية الرئيسية") المبرمة بين المتحكم في البيانات والمعالج، وتنظم حقوق والتزامات الأطراف فيما يتعلق بمعالجة البيانات الشخصية.
2.2. الغرض
الغرض من هذه الاتفاقية:
- استيفاء متطلبات المادة 28 من GDPR ومتطلبات KVKK
- ضمان معالجة البيانات الشخصية بشكل آمن وقانوني
- تحديد مسؤوليات الأطراف بوضوح
- حماية حقوق أصحاب البيانات
2.3. الأولوية
في حالة وجود تعارض بين الاتفاقية الرئيسية وهذه الاتفاقية، تسود أحكام هذه الاتفاقية فيما يتعلق بحماية البيانات الشخصية.
3. طبيعة وغرض المعالجة
3.1. غرض المعالجة
يقوم المعالج بمعالجة البيانات الشخصية نيابة عن المتحكم في البيانات للأغراض التالية فقط:
- تقديم خدمات إدارة موافقة ملفات تعريف الارتباط
- جمع وتخزين والإبلاغ عن سجلات الموافقة
- خدمات مسح وتصنيف ملفات تعريف الارتباط
- خدمات إنشاء سياسة الخصوصية ونصوص الإفصاح
- خدمات تقارير الامتثال
- تقديم دعم العملاء
- الخدمات الأخرى المشمولة في الاتفاقية الرئيسية
3.2. مدة المعالجة
ستستمر المعالجة طوال مدة الاتفاقية الرئيسية ووفقاً للشروط المحددة في هذه الاتفاقية.
3.3. طبيعة المعالجة
تشمل أنشطة المعالجة: الجمع، التسجيل، التنظيم، الهيكلة، التخزين، التكييف، التعديل، الاسترجاع، الاستشارة، الاستخدام، الإفصاح عن طريق النقل، النشر، الإتاحة، المواءمة، الدمج، التقييد، الحذف، الإتلاف.
4. فئات البيانات الشخصية وأصحاب البيانات
4.1. فئات البيانات الشخصية المعالجة
| الفئة | الوصف |
|---|---|
| بيانات التعريف | عنوان IP، معرف ملف تعريف الارتباط، معرف الجهاز |
| بيانات الموافقة | تفضيلات الموافقة، وقت الموافقة |
| البيانات التقنية | نوع المتصفح، نظام التشغيل |
| البيانات السلوكية | زيارات الصفحات، التفاعلات |
| البيانات الجغرافية | البلد، المنطقة (تقريبية بناءً على IP) |
4.2. البيانات الشخصية ذات الطبيعة الخاصة
لا يتم معالجة البيانات الشخصية ذات الطبيعة الخاصة (المادة 6 من KVKK، المادة 9 من GDPR) بموجب هذه الاتفاقية. يتعهد المتحكم في البيانات بعدم جمع مثل هذه البيانات من خلال خدمات Evaste.
4.3. فئات أصحاب البيانات
تنتمي البيانات الشخصية المعالجة إلى الأشخاص التالين:
- زوار موقع المتحكم في البيانات
- مستخدمي تطبيق الجوال للمتحكم في البيانات
- عملاء المتحكم في البيانات والعملاء المحتملين
4.4. حجم السجلات المعالجة
حجم السجلات المعالجة المقدر: يختلف وفقاً لخطة الاشتراك المحددة في الاتفاقية الرئيسية.
5. التزامات المعالج
يتحمل المعالج الالتزامات التالية:
5.1. الامتثال للتعليمات
- سيعالج البيانات الشخصية فقط وفقاً للتعليمات المكتوبة من المتحكم في البيانات.
- سيبلغ المتحكم في البيانات فوراً إذا اعتقد أن أي تعليمات تنتهك تشريعات حماية البيانات المعمول بها.
- تشكل الاتفاقية الرئيسية وهذه الاتفاقية التعليمات المكتوبة السارية.
5.2. السرية
- سيضمن أن الموظفين الذين لديهم حق الوصول إلى البيانات الشخصية ملتزمون بالسرية.
- سيضمن أن الموظفين يصلون فقط إلى البيانات اللازمة لأداء واجباتهم.
5.3. تدابير الأمان
- سيطبق التدابير الأمنية التقنية والتنظيمية المناسبة المنصوص عليها في المادة 32 من GDPR.
- سيقيم مدى كفاية تدابير الأمان بشكل منتظم.
- تفصيل تدابير الأمان في الملحق أ.
5.4. استخدام المعالجين الفرعيين
- لن يستخدم معالجين فرعيين دون موافقة مكتوبة مسبقة من المتحكم في البيانات.
- سيبرم عقوداً مكتوبة مع المعالجين الفرعيين تتضمن التزامات حماية بيانات معادلة.
5.5. طلبات أصحاب البيانات
- سيساعد المتحكم في البيانات في الرد على طلبات أصحاب البيانات.
- سيوجه الطلبات المستلمة مباشرة إلى المتحكم في البيانات.
5.6. الإخطار بخرق البيانات
- سيبلغ المتحكم في البيانات دون تأخير (خلال 24 ساعة كحد أقصى) عند اكتشاف خرق للبيانات.
- سيقدم جميع المعلومات والوثائق المتعلقة بالخرق.
5.7. دعم التدقيق
- سيستجيب لطلبات التدقيق المعقولة من المتحكم في البيانات أو ممثله المفوض.
- سيتعاون مع فحوصات سلطات الرقابة.
5.8. نهاية العقد
- عند انتهاء العقد، سيعيد أو يتلف البيانات الشخصية وفقاً لتعليمات المتحكم في البيانات.
- تظل الالتزامات القانونية بالاحتفاظ سارية.
6. التزامات المتحكم
يتحمل المتحكم في البيانات الالتزامات التالية:
6.1. الامتثال القانوني
- يقر ويضمن أن لديه أساساً قانونياً صالحاً لجمع واستخدام البيانات الشخصية.
- يقر أنه قد أبلغ أصحاب البيانات بشكل صحيح و/أو حصل على الموافقات اللازمة.
6.2. قانونية التعليمات
- يضمن أن التعليمات المقدمة للمعالج تتوافق مع تشريعات حماية البيانات المعمول بها.
- يتحمل المتحكم في البيانات مسؤولية ضمان أن خدمات إدارة موافقة ملفات تعريف الارتباط من Evaste تلبي المتطلبات القانونية.
6.3. الإعلام
- سيقدم إشعار خصوصية مناسباً للمستخدمين النهائيين حول معالجة البيانات من خلال خدمات Evaste.
- سيوضح Evaste أو المعالجين الفرعيين ذوي الصلة في سياسة ملفات تعريف الارتباط.
6.4. دقة البيانات
- سيضمن دقة وحداثة البيانات الشخصية المقدمة إلى Evaste.
- سيحدث البيانات عند الضرورة.
7. استخدام المعالجين الفرعيين
7.1. التفويض العام
يمنح المتحكم في البيانات موافقة مسبقة على استخدام المعالجين الفرعيين المدرجين في الملحق ب (تفويض كتابي عام).
7.2. الإخطار بالمعالج الفرعي الجديد
- ستقدم Evaste إشعاراً كتابياً للمتحكم في البيانات قبل 30 (ثلاثين) يوماً على الأقل من إضافة معالج فرعي جديد.
- سيتم إرسال الإشعار إلى عنوان البريد الإلكتروني المسجل للمتحكم في البيانات.
- يتم نشر قائمة المعالجين الفرعيين الحالية على https://evaste.co/legal-center/sub-processors
7.3. حق الاعتراض
- يجوز للمتحكم في البيانات الاعتراض على المعالج الفرعي الجديد خلال 15 (خمسة عشر) يوماً بأسباب معقولة.
- في حالة الاعتراض، ستجري الأطراف مفاوضات بحسن نية.
- إذا لم يتم التوصل إلى حل، يجوز للمتحكم في البيانات إنهاء العقد.
7.4. عقود المعالج الفرعي
- ستبرم Evaste عقوداً مكتوبة مع المعالجين الفرعيين تتضمن التزامات معادلة لهذه الاتفاقية.
- ستظل مسؤولة أمام المتحكم في البيانات عن أفعال المعالجين الفرعيين.
8. نقل البيانات الدولي
8.1. النقل خارج المنطقة الاقتصادية الأوروبية
في حالة نقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية (EEA):
- قرار الكفاية: يمكن النقل إلى البلدان التي لديها قرار كفاية من مفوضية الاتحاد الأوروبي.
- البنود التعاقدية القياسية (SCC): سيتم تطبيق البنود التعاقدية القياسية المعتمدة من مفوضية الاتحاد الأوروبي بتاريخ 4 يونيو 2021.
- التدابير الإضافية: سيتم اتخاذ التدابير التقنية والتنظيمية الإضافية اللازمة وفقاً لقرار Schrems II.
8.2. تقييم تأثير النقل
- أجرت Evaste تقييم تأثير النقل (TIA) للنقل إلى الولايات المتحدة أو دول ثالثة أخرى.
- يمكن مشاركة نتائج TIA مع المتحكم في البيانات عند الطلب.
8.3. النقل من تركيا
للنقل إلى الخارج وفقاً للمادة 9 من KVKK:
- النقل إلى البلدان ذات الحماية الكافية
- النقل بموجب عقد يتضمن تعهداً بالحماية الكافية
- النقل بموافقة صريحة
سيتم تطبيق الطريقة المناسبة من هذه الطرق.
9. تدابير الأمان
9.1. التدابير التقنية
تطبق Evaste تدابير الأمان التقنية التالية:
- التشفير: TLS 1.3 أثناء النقل، AES-256 أثناء التخزين
- التحكم في الوصول: التحكم في الوصول القائم على الدور (RBAC)، المصادقة متعددة العوامل (MFA)، مبدأ الحد الأدنى من الصلاحيات
- أمان الشبكة: جدار الحماية (WAF)، أنظمة IDS/IPS، حماية DDoS
- أمان التطبيقات: حماية OWASP Top 10، فحوصات أمان منتظمة، اختبارات الاختراق
9.2. التدابير التنظيمية
- اتفاقيات السرية (لجميع الموظفين)
- تدريبات التوعية الأمنية
- إجراءات تفويض الوصول
- خطط الاستجابة للحوادث
9.3. تقييم تدابير الأمان
- يتم مراجعة تدابير الأمان سنوياً.
- يتم تحديثها وفقاً لتقييم المخاطر.
- يتم التحقق منها من خلال عمليات تدقيق مستقلة.
10. حقوق التدقيق
10.1. نطاق التدقيق
يحق للمتحكم في البيانات إجراء تدقيق للتحقق من الامتثال لالتزامات هذه الاتفاقية.
10.2. الإخطار بالتدقيق
- يجب تقديم طلبات التدقيق كتابياً قبل 30 (ثلاثين) يوماً على الأقل.
- يجب تحديد نطاق ومدة التدقيق مسبقاً.
- يجب إجراء عمليات التدقيق خلال ساعات العمل العادية.
10.3. طرق التدقيق
- التدقيق الميداني: من قبل المتحكم في البيانات أو ممثله المفوض، من قبل مدقق مستقل، يتحمل المتحكم في البيانات التكاليف المعقولة
- التدقيق عن بعد: مراجعة تقارير الأمان والشهادات، جلسات الأسئلة والأجوبة، مشاركة الوثائق
10.4. تقارير التدقيق المتاحة
يمكن لـ Evaste تقديم تقارير التدقيق التالية عند الطلب:
- تقرير SOC 2 Type II
- شهادة ISO 27001
- تقرير موجز لاختبار الاختراق
10.5. السرية
سيتم الحفاظ على سرية المعلومات التي يتم الحصول عليها أثناء عملية التدقيق واستخدامها فقط لغرض تقييم الامتثال.
11. طلبات أصحاب البيانات
11.1. توجيه الطلبات
- سيتم توجيه طلبات أصحاب البيانات التي تصل مباشرة إلى Evaste إلى المتحكم في البيانات دون التحقق من الهوية.
- ستقوم Evaste بإبلاغ المتحكم في البيانات على الفور.
11.2. التزام الدعم
ستساعد Evaste المتحكم في البيانات في الرد على الطلبات المتعلقة بالحقوق التالية:
- حق الوصول
- حق التصحيح
- حق الحذف ("حق النسيان")
- حق تقييد المعالجة
- حق نقل البيانات
- حق الاعتراض
11.3. أوقات الاستجابة
ستقدم Evaste الدعم التقني اللازم لتلبية طلبات أصحاب البيانات خلال 10 (عشرة) أيام عمل.
11.4. الإمكانيات التقنية
توفر منصة Evaste ميزات الخدمة الذاتية التالية:
- تصدير سجلات الموافقة
- حذف بيانات زائر معين
- تقارير الوصول إلى البيانات
12. الإخطار بخرق البيانات
12.1. التعريف
يعني "خرق البيانات" بموجب هذه الاتفاقية التدمير العرضي أو غير القانوني للبيانات الشخصية المعالجة من قبل Evaste أو فقدانها أو تغييرها أو الإفصاح غير المصرح به عنها أو الوصول إليها.
12.2. مهلة الإخطار
- ستبلغ Evaste المتحكم في البيانات خلال 24 (أربع وعشرين) ساعة كحد أقصى من علمها بخرق البيانات.
- سيتم الإخطار على: dpa@evaste.co وعنوان البريد الإلكتروني المسجل للمتحكم في البيانات.
12.3. محتوى الإخطار
سيتم تقديم المعلومات التالية في الإخطار الأولي:
- طبيعة الخرق
- فئات البيانات المتأثرة
- العدد التقديري للسجلات المتأثرة
- النتائج الأولية والتدابير الطارئة المتخذة
- نقطة الاتصال
12.4. التقرير المفصل
سيتم تقديم تقرير مفصل خلال 72 ساعة من الإخطار الأولي يتضمن:
- التسلسل الزمني للخرق
- تحليل السبب الجذري
- تقييم العواقب المحتملة
- التدابير التصحيحية المتخذة والمخطط لها
- القائمة الكاملة للبيانات المتأثرة (إن أمكن)
12.5. التعاون
ستقوم Evaste بـ:
- التعاون الكامل مع المتحكم في البيانات في التحقيق في الخرق.
- تقديم المعلومات اللازمة للإخطار لسلطات الرقابة.
- تقديم الدعم لإخطار أصحاب البيانات المتأثرين.
13. مدة العقد والإنهاء
13.1. المدة
تسري هذه الاتفاقية طوال فترة سريان الاتفاقية الرئيسية.
13.2. الإنهاء
- تنتهي هذه الاتفاقية تلقائياً بإنهاء الاتفاقية الرئيسية.
- في حالة الإخلال الجسيم، يجوز لأي من الطرفين الإنهاء بإشعار كتابي مدته 30 يوماً.
13.3. الالتزامات المستمرة
تستمر الالتزامات التالية بعد الإنهاء:
- التزامات السرية (غير محددة المدة)
- التزامات إتلاف/إعادة البيانات (خلال 90 يوماً)
- التزامات الاحتفاظ القانونية (طوال الفترة ذات الصلة)
14. إتلاف البيانات عند انتهاء العقد
14.1. خيارات إعادة/إتلاف البيانات
عند انتهاء العقد، وفقاً لتعليمات المتحكم في البيانات:
- إعادة البيانات: نقل البيانات بتنسيق شائع (CSV، JSON)، طرق نقل آمنة، الإكمال خلال 30 يوماً
- إتلاف البيانات: طرق حذف آمنة، متوافقة مع معايير NIST، تقديم شهادة إتلاف
14.2. استثناءات الاحتفاظ
يمكن الاحتفاظ بالبيانات حتى نهاية الفترة القانونية في الحالات التالية:
- متطلبات التشريع الضريبي
- الإجراءات القانونية النشطة
- طلبات سلطات الرقابة
14.3. شهادة الإتلاف
عند اكتمال إتلاف البيانات، ستقدم Evaste شهادة مكتوبة تحدد البيانات المدمرة والطرق المستخدمة.
15. المسؤولية والتعويض
15.1. توزيع المسؤولية
- يكون كل طرف مسؤولاً عن الأضرار الناجمة عن إخلاله بالتزاماته.
- يكون المعالج مسؤولاً فقط بقدر عدم امتثاله للتعليمات المقدمة له أو انتهاكه للالتزامات المفروضة مباشرة على المعالج بموجب GDPR.
15.2. التعويض
- يعوض الأطراف بعضهم البعض عن الغرامات الإدارية وطلبات أصحاب البيانات الناجمة عن انتهاك تشريعات حماية البيانات المعمول بها.
- تتحدد طلبات التعويض وفقاً لدرجة الخطأ.
15.3. حدود المسؤولية
تنطبق قيود المسؤولية الواردة في الاتفاقية الرئيسية على هذه الاتفاقية أيضاً؛ ومع ذلك:
- لا تنطبق في حالة القصد أو الإهمال الجسيم.
- لا تنطبق في الحالات المقيدة بالتشريعات القانونية.
16. السرية
16.1. التزام السرية
- يحافظ الأطراف على سرية جميع المعلومات التي يحصلون عليها بموجب هذه الاتفاقية.
- تُستخدم المعلومات السرية فقط لأغراض العقد.
16.2. الاستثناءات
لا ينطبق التزام السرية في الحالات التالية:
- المعلومات المتاحة للعامة
- المعلومات المفصح عنها بموجب إلزام قانوني
- المعلومات المشتركة بإذن كتابي مسبق
16.3. المدة
تستمر التزامات السرية طوال مدة العقد وإلى أجل غير مسمى بعد انتهائه.
17. الأحكام العامة
17.1. القانون الواجب التطبيق
تخضع هذه الاتفاقية لقوانين جمهورية تركيا. تنطبق أيضاً تشريعات حماية البيانات في الاتحاد الأوروبي على أنشطة المعالجة المشمولة بـ GDPR.
17.2. الاختصاص القضائي
تختص محاكم ودوائر التنفيذ في إسطنبول بالنزاعات.
17.3. التعديلات
- يجب أن تكون التعديلات على هذه الاتفاقية مكتوبة.
- سيتم تطبيق التحديثات اللازمة بسبب التغييرات التشريعية على الفور.
17.4. قابلية الفصل
لا يؤثر بطلان أي حكم على الأحكام الأخرى.
17.5. عدم التنازل
لا يعني عدم ممارسة أي حق التنازل عن هذا الحق.
17.6. الاتفاقية الكاملة
تشكل هذه الاتفاقية وملاحقها الاتفاقية الكاملة بشأن معالجة البيانات الشخصية.
18. الملاحق
الملاحق التي تشكل جزءاً لا يتجزأ من هذه الاتفاقية:
- الملحق أ: تدابير الأمان التقنية والتنظيمية
- الملحق ب: قائمة المعالجين الفرعيين المعتمدين
- الملحق ج: البنود التعاقدية القياسية للاتحاد الأوروبي (SCC)
للبنود التعاقدية القياسية: تم إدراج البنود التعاقدية القياسية بموجب قرار التنفيذ (EU) 2021/914 الصادر عن مفوضية الاتحاد الأوروبي بتاريخ 4 يونيو 2021 في هذه الاتفاقية. الوحدة المختارة: الوحدة 2 (المتحكم في البيانات → المعالج)
معلومات الاتصال
Evaste (Group Taiga)
العنوان: ليفينت، إسطنبول، تركيا
استفسارات DPA: dpa@evaste.co
مسؤول حماية البيانات: dpo@evaste.co
عام: info@evaste.co
الموقع: https://evaste.co