ملحق معالجة البيانات

الشروط والأحكام أدناه ("ملحق معالجة البيانات") تُكمل وتعدل شروط الخدمة ("شروط الخدمة")، بالقدر الذي تعالج فيه إديانوت أي بيانات شخصية originates من المنطقة الاقتصادية الأوروبية، والمملكة المتحدة، وسويسرا نيابةً عنك كعميل.

التعبيرات ذات الحروف الكبيرة غير المعرفة في ملحق معالجة البيانات لها المعنى المحدد في شروط الخدمة. الكلمات والتعبيرات المستخدمة في هذا الملحق والتي لم تُعرف فيه أو في شروط الخدمة تحمل المعاني التي تعطى لتلك الكلمات والتعبيرات في توجيه الاتحاد الأوروبي 95/46/EC أو، من 25 مايو 2018، اللائحة العامة لحماية البيانات (2016/679) ("اللائحة العامة"), بما في ذلك أي تشريعات تنفيذية أو فرعية، وللتحويلات لنا ("القانون المعمول به لحماية البيانات").

تدخل الأطراف بهذا في هذا الملحق للامتثال للالتزامات المنصوص عليها في قوانين حماية البيانات المعمول بها. "القوانين المعمول بها لحماية البيانات" تعني أي قوانين، أنظمة أو لوائح قابلة للتطبيق يمكن تعديلها أو تمديدها أو إعادة سنّها من وقت لآخر، أو أي قوانين خلف تستهدف البيانات الشخصية بما في ذلك: (1) اللائحة 2016/679 للبرلمان الأوروبي ومجلس الاتحاد لحماية الأشخاص الطبيعية فيما يتعلق بمعالجة البيانات الشخصية وتنقلها الحر (اللائحة العامة لحماية البيانات "EU GDPR"); (2) اللائحة العامة كما تم حفظها في قانون المملكة المتحدة بموجب القسم 3 من قانون انسحاب المملكة المتحدة من الاتحاد الأوروبي 2018 وقانون حماية البيانات بالمملكة المتحدة 2018 (مجتمعة، "UK GDPR"); (3) توجيه خصوصية الاتحاد الأوروبي الإلكترونية (Directive 2002/58/EC); و (4) أي قوانين وطنية قابلة للحماية من البيانات تُسن أو تُطبق بالاشتراك مع أي من (1)، (2) أو (3)؛ مع إمكانية تعديلها أو استبدالها من وقت لآخر؛

1. معالج البيانات

يجب اعتبار إديانوت فقط كمعالج نيابةً عن عملائه ومستخدميه فيما يتعلق بأي بيانات عميل تحتوي على بيانات شخصية تخضع لمتطلبات اللائحة العامة لحماية البيانات. باستثناء ما هو منصوص عليه في هذا الملحق، لا يؤدي إديانوت بشكل مستقل إلى نقل بيانات العميل التي تحتوي على بيانات شخصية المرتبطة بالخدمات أو إتاحتها لطرف ثالث، إلا إلى معالجي فرعيين قد يعالجون هذه البيانات نيابة عن إديانوت فيما يتعلق بتقديم إديانوت للخدمة للعملاء.

يتم تنفيذ هذه الإجراءات أو تفويضها فقط من قبل العميل المعمول به. العميل هو المتحكم بالبيانات بموجب اللائحة لأي بيانات عميل تحتوي على بيانات شخصية، مما يعني أن هذا الطرف يتحكم في كيفية جمع واستخدام هذه البيانات الشخصية فضلاً عن تحديد أغراض ووسائل معالجة هذه البيانات الشخصية.

إديانوت غير مسؤول عن محتوى البيانات الشخصية المحتواة في بيانات العميل أو المعلومات الأخرى المخزنة على خوادمه أو خوادم المعالِجين الفرعيين بناءً على تقدير العميل، كما لا يتحمل إديانوت المسؤولية عن كيفية جمع العميل أو المستخدم لتلك المعلومات أو التعامل معها أو الإفصاح عنها أو توزيعها أو معالجتها بأي شكل آخر.

أثناء تقديم الخدمات للعميل بموجب شروط الخدمة، قد يعالج إديانوت بيانات شخصية نيابة عن العميل. يوافق إديانوت على الامتثال للأحكام التالية بالنسبة لأي بيانات شخصية يقدمها العميل أو تُجمع وتُعالج نيابة عنه من خلال الخدمة.

2. عام

1. تؤكد أنك تقبل هذا الملحق بصفتك إما عميلًا شخصيًا أو عميلًا تجاريًا.
2. إذا كنت تقبل هذا الملحق كعميل تجاري، فتؤكد أن لديك السلطة لربط الكيان الذي تمثله كعميل بهذا الملحق.
3. تحدد اتفاقية معالجة البيانات هذه الحقوق والالتزامات التي تنطبق على تعامل إديانوت مع البيانات الشخصية نيابة عن العميل.
4. تتم معالجة البيانات الشخصية من قبل إديانوت لأغراض تنفيذ شروط الخدمة، بدءًا من التاريخ الذي تقبل فيه إلكترونيًا أو توافق بخلاف ذلك على شروط الخدمة الخاصة بنا.
5. تتوافق مدة هذا الطلب أو العقد مع مدة شروط الخدمة. هذا لا يؤثر على الحق في إنهاء العقد لأسباب دون إشعار. توجد هذه الأسباب بشكل خاص إذا تم انتهاك الالتزام بموجب هذه الاتفاقية أو أحكام اللائحة العامة عمدًا أو بإهمال جسيم.
6. يأخذ ملحق معالجة البيانات هذا الأولوية على أي أحكام مماثلة واردة في اتفاقيات أخرى بين الأطراف، بما في ذلك شروط الخدمة. يجب أن تسود شروط العقد النموذجي القياسية للاتحاد الأوروبي، إذا كان ذلك قابلاً للتطبيق.
7. ترفق ثلاثة ملاحق بهذه الاتفاقية لمعالجة البيانات. تشكل الملاحق جزءًا لا يتجزأ من اتفاقية معالجة البيانات هذه.
8. يحتوي الملحق أ من اتفاقية معالجة البيانات على تفاصيل حول المعالجة بالإضافة إلى الغرض وطبيعة المعالجة، ونوع البيانات الشخصية، وفئات موضوع البيانات ومدة المعالجة.
9. يتضمن الملحق ب من اتفاقية معالجة البيانات الشروط والأحكام التي تنطبق على استخدام إديانوت للمعالِجين الفرعيين وقائمة المعالِجين الفرعيين المعتمدين.
10. يحتوي الملحق ج من اتفاقية معالجة البيانات على تعليمات حول المعالجة التي يتعين على إديانوت تنفيذها نيابة عن العميل (موضوع المعالجة)، والتدابير الأمنية الدنيا وكيفية إجراء التفتيش مع إديانوت وأي معالِج فرعي.
11. لا يعفي ملحق معالجة البيانات هذا إديانوت من الالتزامات الموكلة إليه بموجب اللائحة العامة لحماية البيانات أو تشريعات أخرى.
12. المُلحق أ، الشروط التعاقدية القياسية للاتحاد الأوروبي تُعتبر جزءًا من اتفاقية معالجة البيانات هذه. إذا كنت تقع في دولة خارج الاتحاد الأوروبي (EU) والمنطقة الاقتصادية الأوروبية (EEA) ولم تكن معالجة بياناتك الشخصية خاضعة للائحة العامة، تنطبق الشروط التعاقدية القياسية (SCCs).
13. المُلحق ب، الملحق البريطاني يُعتبر جزءًا من اتفاقية معالجة البيانات هذه إذا كنت عميلًا تجاريًا مقيمًا في المملكة المتحدة.

3. حقوق والتزامات العميل كمتحكم بالبيانات

1. يكون العميل مسؤولًا تجاه العالم الخارجي (بما في ذلك موضوع البيانات) عن ضمان أن تتم معالجة البيانات الشخصية ضمن إطار اللائحة العامة لحماية البيانات والقانون المعمول به لحماية البيانات.
2. لذلك يحق للعميل ويلزمه اتخاذ قرارات بشأن أغراض ووسائل معالجة البيانات الشخصية.
3. يتحمل العميل مسؤولية ضمان قانونية المعالجة التي يُطلب من إديانوت تنفيذها.

4. إديانوت تتصرف وفقًا للتعليمات

1. يُسمح لإديانوت بمعالجة البيانات الشخصية فقط بناءً على تعليمات موثقة من العميل، إلا إذا كانت المعالجة مطلوبة بموجب قوانين الاتحاد أو الدولة العضو التي يخضع لها إديانوت؛ في هذه الحالة، يجب على إديانوت إبلاغ العميل بهذا المطلب القانوني قبل المعالجة، ما لم يمنع القانون ذلك لأسباب هامة تتعلق بالمصلحة العامة، وفقًا للمادة 28، الفقرة 3، البند أ.
2. يجب على إديانوت إبلاغ العميل فورًا إذا رأت أن التعليمات تخالف اللائحة العامة لحماية البيانات أو أحكام حماية البيانات الأخرى الواردة في قانون الاتحاد أو الدولة العضو.
3. يجب على إديانوت توفير جميع المعلومات اللازمة للعميل لإثبات الالتزام بالالتزامات المنصوص عليها في هذا الملحق وفي المادة 28 من اللائحة العامة، ويجب أن تسمح وتساهم في عمليات التدقيق، بما في ذلك التفتيشات، التي يجريها العميل أو مدقق آخر مفوض من قبل العميل، وفقًا للملحق ج، قسم "تقارير التفتيش والتدقيق".

5. السرية

1. يجب على إديانوت ضمان أن الأشخاص المخولين حاليًا فقط هم القادرون على الوصول إلى البيانات الشخصية التي تُعالج نيابة عن العميل. لذا يجب أن يُرفض الوصول إلى البيانات على الفور إذا تم سحب هذا التفويض أو انتهت صلاحيته.
2. يُمنح التفويض فقط للأشخاص الذين يحتاجون الوصول إلى البيانات الشخصية للوفاء بالتزامات إديانوت تجاه العميل. للتوضيح، يعتمد الوصول على مبدأ "الحاجة إلى المعرفة" و"أقل صلاحيات ممكنة"، وأن هؤلاء الأشخاص قد تلقوا التدريب والتعليمات المناسبة بشأن معالجة البيانات الشخصية. يجب على إديانوت توفير إثبات تنفيذ اتفاقيات السرية مع الموظفين الذين قد يصلون إلى بيانات العميل الشخصية، وكذلك إثبات التدريب الدوري في مجال حماية البيانات الشخصية، عند طلب العميل.
3. يجب على إديانوت ضمان أن الأشخاص المخولين بمعالجة البيانات الشخصية نيابة عن العميل قد تعهدوا بالحفاظ على السرية أو يخضعون لالتزام قانوني مناسب بالسرية.

6. أمن المعالجة

1. يجب على إديانوت اتخاذ جميع التدابير المطلوبة وفقًا للمادة 32 من اللائحة العامة لحماية البيانات التي تنص على أنه بالنظر إلى المستوى الحالي، وتكاليف التنفيذ، وطبيعة النطاق والسياق وأغراض المعالجة، وخطر الاحتمالية والشدة المختلفة لحقوق وحريات الأشخاص الطبيعيين، يجب على العميل والمعالج تنفيذ تدابير تقنية وتنظيمية مناسبة لضمان مستوى أمان ملائم للمخاطر.
2. اعتمادًا على صلتها، قد تشمل التدابير ما يلي:
3. التعمية والتشفير للبيانات الشخصية
4. القدرة على ضمان السرية والسلامة والاتاحة والثبات المستمر لنظم وخدمات المعالجة.
5. القدرة على استعادة الاتاحة والوصول إلى البيانات الشخصية بشكل سريع في حالة حدوث حادث مادي أو فني.
6. عملية لاختبار وتقييم منتظم وفعال للتدابير التقنية والتنظيمية لضمان أمن المعالجة.
7. عند ضمان ما سبق، يجب على إديانوت تطبيق على الأقل مستوى الأمان والتدابير المحددة في الملحق ج لاتفاقية معالجة البيانات هذه.

7. المساعدة للعميل

1. مع مراعاة طبيعة المعالجة، يجب على إديانوت مساعدة العميل بشكل معقول بالتدابير التقنية والتنظيمية الملائمة في الوفاء بالتزامات العميل للرد على طلبات ممارسة حقوق موضوعي البيانات وفقًا للفصل 3 من اللائحة العامة لحماية البيانات.

وهذا يعني أن على إديانوت مساعدة العميل بشكل معقول في الامتثال لـ:

1. واجب الإبلاغ عند جمع البيانات الشخصية من موضوع البيانات
2. واجب الإبلاغ إذا لم تُحصل البيانات الشخصية من موضوع البيانات
3. حق الوصول من موضوع البيانات
4. الحق في التصحيح
5. الحق في المسح ("الحق في النسيان")
6. الحق في تقييد المعالجة
7. واجب الإبلاغ بشأن التصحيح أو المسح أو تقييد المعالجة
8. الحق في نقل البيانات
9. الحق في الاعتراض
10. الحق في الاعتراض على نتيجة اتخاذ القرار الفردي الآلي، بما في ذلك التنميط

للتوضيح، يجب على إديانوت إخطار العميل على الفور وتزويده بكافة المعلومات ذات الصلة في حال: (1) طلبات أو شكاوى من أي طرف ثالث (بما في ذلك المؤسسات أو الجمعيات) بشأن معالجة البيانات الشخصية من قبل إديانوت نيابة عن العميل؛ أو (2) طلبات من سلطة إشراف أو حكومة للوصول إلى معلومات أو تدقيق يتعلق بمعالجة البيانات الشخصية التي يقوم بها إديانوت في سياق اتفاقية الخدمات. في حال استلام إديانوت مباشرةً مثل هذا الطلب أو الشكوى، يجب على إديانوت إبلاغ العميل فورًا ولا يجوز له الرد مباشرة إلا بتعليمات كتابية مسبقة من العميل.

2. سيساعد إديانوت العميل مع مراعاة طبيعة المعالجة في ضمان الامتثال لالتزامات العميل بموجب المواد 32-36 من اللائحة العامة لحماية البيانات، مع الأخذ بعين الاعتبار المادة 28، الفقرة 3، البند ف.

وهذا يعني أن على إديانوت، مع مراعاة طبيعة المعالجة، مساعدة العميل بشكل معقول في الامتثال لـ:

1. الالتزام بتنفيذ تدابير تقنية وتنظيمية مناسبة لضمان مستوى أمان ملائم للمخاطر المرتبطة بالمعالجة
2. الالتزام بالإبلاغ عن خروقات البيانات الشخصية إلى سلطة الإشراف دون تأخير غير مبرر وإذا أمكن خلال 72 ساعة من اكتشاف العميل لتلك الخروقات، ما لم يكن من غير المحتمل أن تؤدي خروقات البيانات إلى خطر على حقوق وحريات الأشخاص الطبيعيين
3. الالتزام - دون تأخير غير مبرر - بإبلاغ موضوع البيانات بخصوص خرق البيانات الشخصية عندما يكون الخرق مرجحًا أن يؤدي إلى مخاطر عالية على حقوق وحريات الأشخاص الطبيعيين
4. الالتزام بإجراء تقييم لتأثير حماية البيانات إذا كان نوع المعالجة مرجحًا أن يؤدي إلى مخاطر عالية على حقوق وحريات الأشخاص الطبيعيين
5. الالتزام بالتشاور مع سلطة الإشراف قبل المعالجة إذا أظهر تقييم تأثير حماية البيانات أن المعالجة ستسبب مخاطر عالية في غياب التدابير التي يتخذها العميل للحد من الخطر

8. إخطار خرق البيانات الشخصية

عند اكتشاف خرق بيانات شخصية في مرافق إديانوت أو مرافق المعالج الفرعي، يجب على إديانوت إخطار العميل دون تأخير غير مبرر. يجب أن يتم الإخطار خلال 48 ساعة بعد اكتشاف الخرق إن أمكن لتمكين العميل من الامتثال لالتزامه بالإبلاغ للسلطة المختصة خلال 72 ساعة على الفور وبأي حال.

قد يتعين على إديانوت مساعدة العميل في الحصول على المعلومات التالية التي يجب تضمينها في تقرير العميل إلى سلطة الإشراف وفقًا للمادة 33، الفقرة 3 من اللائحة العامة:

1. طبيعة خرق البيانات الشخصية، بما في ذلك إن أمكن، فئات وعدد تقريبي لموضوعي البيانات المتضررين، وفئات وعدد تقريبي للسجلات الشخصية المتأثرة
2. العواقب المحتملة لخرق البيانات الشخصية
3. التدابير التي تم اتخاذها أو المقترح اتخاذها لمعالجة خرق البيانات الشخصية، بما في ذلك التدابير المحدودة للأضرار المحتملة

9. المسح وإعادة البيانات

عند إنهاء خدمات المعالجة، يجب على إديانوت، بناءً على خيار العميل، مسح أو إعادة جميع البيانات الشخصية إلى العميل ومسح النسخ الموجودة ما لم يتطلب القانون الأوروبي أو الوطني تخزين البيانات الشخصية.

10. بدء وإنهاء

1. تصبح اتفاقية معالجة البيانات هذه سارية المفعول عند التاريخ الذي يوافق فيه العميل إلكترونيًا أو يوافق بأي طريقة أخرى على شروط الخدمة الخاصة بنا.
2. يمكن إنهاء اتفاقية معالجة البيانات هذه وفقًا لشروط وأحكام الإنهاء، بما في ذلك إشعار الإنهاء، المنصوص عليها في شروط الخدمة، مع مراعاة القسم 2.6 (انظر أعلاه).
3. تطبق اتفاقية معالجة البيانات هذه طالما استمرت عمليات المعالجة. بصرف النظر عن إنهاء شروط الخدمة و/أو اتفاقية معالجة البيانات هذه، تظل اتفاقية معالجة البيانات سارية المفعول حتى انتهاء المعالجة ومسح البيانات بواسطة إديانوت وأي معالِج فرعي.
4. تُعامل خروقات هذا الملحق كخروقات لاتفاقية الخدمات. يكون كل طرف مسؤولاً عن أخطائه في قانون حماية البيانات المعمول به ويعوض الطرف الآخر في حال تكبد أضرار نتيجة ذلك.

11. جهة الاتصال لمتحكم البيانات ومعالج البيانات

1. يمكن للعميل الاتصال بإديانوت عبر legal@ideanote.io
2. يمكن لإديانوت الاتصال بالعميل باستخدام معلومات الاتصال المخزنة في حسابه.

الملحق أ

يحتوي الملحق أ من اتفاقية معالجة البيانات على تفاصيل حول المعالجة بالإضافة إلى الغرض وطبيعة المعالجة، ونوع البيانات الشخصية، وفئات موضوع البيانات ومدة المعالجة.

1. متحكم البيانات

متحكم البيانات هو عميل لبرمجيات وخدمات وأنظمة وتقنيات إديانوت للاتصالات والإنتاجية.

2. معالج البيانات

معالج البيانات هو شركة إديانوت ApS، كمزود برمجيات وخدمات وأنظمة وتقنيات الاتصالات والإنتاجية.

3. موضوعو البيانات

تتعلق البيانات الشخصية المعالجة لأغراض اتفاقية الخدمات بالفئات التالية من موضوعي البيانات:

مستخدمي الخدمة

4. فئات البيانات

البيانات الشخصية المنقولة تتعلق بالفئات التالية من البيانات:

للمستخدمين النهائيين

قد نجمع البيانات الشخصية التالية لمستخدمي العملاء النهائيين

تسجيل المستخدم النهائي ومعلومات الاتصال

• اسم المستخدم النهائي
• البريد الإلكتروني للمستخدم النهائي

بيانات خدمة المستخدم النهائي

• عنوان الـ IP للمستخدم النهائي
• رابط URL للمستخدم النهائي
• مرجع المستخدم النهائي
• متصفح المستخدم النهائي
• جهاز المستخدم النهائي
• أحداث المستخدم النهائي
• إعدادات المستخدم النهائي

محتوى المستخدم النهائي

كل البيانات والمعلومات التي يقدمها المستخدمون النهائيون إلى الخدمات وتشمل نص الرسائل والملفات والتعليقات والروابط، لكنها لا تشمل منتجات الطرف الثالث أو الخدمة نفسها.

للعملاء

قد نجمع البيانات الشخصية التالية من العملاء.

معلومات العميل الشخصية

• اسم جهة اتصال العميل
• بريد جهة اتصال العميل الإلكتروني

معلومات الدفع الخاصة بالعميل:

• بيانات بطاقة الائتمان
• عنوان الـ IP لجهة اتصال العميل
• عنوان العميل

5. فئات خاصة من البيانات

البيانات الشخصية المنقولة تتعلق بفئات خاصة من البيانات التالية:

• لا شيء

قد يقدم مُصدّر البيانات بيانات شخصية إلى مستورد البيانات من خلال الخدمات، والتي يحددها ويضبطها مُصدّر البيانات بما يتوافق مع القانون المعمول به لحماية البيانات، وقد تتعلق بفئات خاصة من البيانات التالية، إن وجدت:

• الأصل العرقي أو الإثني؛
• الآراء السياسية؛
• المعتقدات الدينية أو الفلسفية؛
• العضوية في الاتحاد النقابي؛
• البيانات الجينية أو البيومترية؛
• الصحة؛ و
• الحياة الجنسية

6. عمليات المعالجة

البيانات الشخصية المنقولة ستكون خاضعة لأنشطة المعالجة الأساسية التالية:

• حسب الحاجة لإتمام عقد الخدمة

7. طبيعة وغرض المعالجة

بمزيد من التفصيل، يقدم إديانوت خدمته للعميل ويخزن ويعالج البيانات الشخصية المتعلقة بالعميل على بنيتنا التحتية لتسهيل المصادقة السريعة، والاتصالات، ومستوى من الأمان لمستخدمي الخدمة.

يرسل إديانوت رسائل بريد إلكتروني للأشخاص المدعوين للمنصة، ويسمح للأشخاص بأن يصبحوا أعضاء في المساحة وفقا لتقدير العميل، ويسمح للأعضاء بمشاركة المحتوى على المساحة بهدف تعزيز الابتكار وتبادل الأفكار للعميل.

يمكن للعميل استخدام خدمتنا المملوكة والمطورة والتي تديرها إديانوت لتسهيل مشاركة الأفكار وجمعها والتعليق عليها وتقييمها وترتيب أولوياتها وتعيينها وتتبعها. في هذا الإطار، تتم معالجة بيانات العميل الشخصية وأي محتوى يقدمه العميل بواسطة إديانوت نيابة عن العميل.

سيتم معالجة البيانات الشخصية المنقولة وفقًا لشروط الخدمة وقد تخضع لأنشطة المعالجة التالية:

• التخزين والتشفير وفك التشفير والنسخ الاحتياطي والاستعادة والتخزين المؤقت اللازمة لتوفير وتحسين وصيانة وتحديث الخدمات المقدمة لمُصدّر البيانات؛
• تقديم الدعم الفني ودعم العملاء لمُصدّر البيانات؛ و
• الإفصاحات وفقًا للاتفاقية، كما يُلزم بها القانون
• ستستمر معالجة البيانات حتى يطلب العميل حذفها

يوافق العميل على أن موظفي إديانوت يمكنهم استخدام النتائج المجملة عن الأنشطة والمحتوى على الخدمة لتحسين أداء الخدمة وعرضها باستمرار. نحتفظ بالحق في نشر نتائجنا على مستوى مجمع مجهول الهوية. مثال على نتيجة مجهولة الهوية هو دراسة حول عدد الأشخاص الذين يعلقون عادة على فكرة أعجبتهم. نحتفظ أيضًا بالحق، لكن ليس الالتزام، في الوصول مباشرةً إلى بيانات حساب العميل أو مساحة العمل بدعوة من أحد أعضاء مساحة العمل لأغراض الصيانة الفنية، أو مراقبة المحتوى أو التحقيق، بالإضافة إلى الدعم العام للعميل. يمكن استخدام أي ملاحظات أو أدلة تحليلية عرضية معطاة عمدًا أو ناتجة عن استخدام خدمتنا بحرية من قبلنا لتحسين خدمتنا أو التكنولوجيا دون أن يؤدي ذلك إلى حصول العميل على أي حقوق أو ملكية على تلك البيانات.

الملحق ب

1. شروط استخدام إديانوت للمعالِجين الفرعيين

يحصل إديانوت على موافقة عامة من العميل لاستخدام المعالِجين الفرعيين الذين تم تعيينهم بالفعل في تاريخ هذا الملحق والذين تم سردهم في الملحق ب هذا.

2. المعالِجون الفرعيون

بصفته معالج بيانات، يضمن إديانوت أن المعالِجين الفرعيين يخضعون لالتزامات حماية البيانات لا تقل حماية عن تلك المنصوص عليها في اتفاقية معالجة البيانات هذه على أساس عقد أو وثيقة قانونية أخرى بموجب قانون الاتحاد الأوروبي أو قانون الدول الأعضاء الوطني، مع توفير الضمانات اللازمة لتنفيذ التدابير التقنية والتنظيمية المناسبة بحيث تلبي المعالجة متطلبات اللائحة العامة لحماية البيانات.

يقر العميل ويوافق على أن (1) قد يتم الاحتفاظ بالشركات التابعة لإديانوت كمعالِجين فرعيين؛ و(2) يجوز لإديانوت وشركاتها التابعة تعيين معالِجين فرعيين من طرف ثالث فيما يتعلق بتقديم الخدمات. أبرم إديانوت أو شركة تابعة له اتفاقًا خطيًا مع كل معالِج فرعي يحتوي على التزامات حماية البيانات لا تقل حماية عن تلك الواردة في هذه الاتفاقية والقانون المطبق فيما يتعلق بحماية بيانات العميل حسب نطاق الخدمات المقدمة من ذلك المعالج الفرعي. إذا نقل إديانوت أي بيانات شخصية إلى معالِج فرعي يقع خارج المنطقة الاقتصادية الأوروبية أثناء أداء هذا الملحق، يجب على إديانوت، قبل أي نقل من هذا القبيل، التأكد من وجود آلية قانونية لتحقيق الكفاية في هذا النقل.

3. قائمة المعالِجين الفرعيين

يجب على إديانوت توفير قائمة محدثة بالمعالِجين الفرعيين الحاليين للخدمات للعميل. يجب أن تتضمن هذه القائمة تحديد الكيان القانوني لكل معالِج فرعي وموقع بيانات العميل. تتوفر هذه القائمة عبر الإنترنت على https://ideanote.io/legal/sub-processors.

4. التغييرات في المعالِجين الفرعيين

يجب على إديانوت إخطار العميل كتابيًا بأي تغييرات مقصودة بشأن إضافة أو استبدال معالِجين فرعيين قبل 30 يومًا على الأقل.

5. حق الاعتراض

سيمنح إديانوت العميل الفرصة للاعتراض على توظيف المعالِجين الجدد خلال 30 يومًا من الإعلام. يجب أن يستند الاعتراض إلى أسباب معقولة. إذا تعذر على إديانوت والعميل حل هذه الاعتراضات، يجوز لأي طرف إنهاء الاتفاقية بإشعار كتابي للطرف الآخر. سيحصل العميل على رصيد مقابل أي رسوم مدفوعة مقدمًا ولكن غير مستخدمة لفترة ما بعد تاريخ الإنهاء الفعلي.

عندما يعين إديانوت معالِجًا فرعيًا للقيام بمعالجة محددة نيابة عن العميل، يضمن إديانوت فرض الالتزامات نفسها المتعلقة بحماية البيانات المنصوص عليها في هذا الملحق على ذلك المعالج الفرعي، خاصةً توفير الضمانات الكافية لتنفيذ التدابير التقنية والتنظيمية المناسبة بحيث تلبي المعالجة متطلبات هذا الملحق والقانون المعمول به لحماية البيانات.

عند الطلب، يُتاح نسخة من اتفاقية المعالج الفرعي والتعديلات اللاحقة للعميل، مع استثناء البنود المتعلقة بالقضايا التجارية التي لا تؤثر على المحتوى القانوني لحماية البيانات لاتفاقية المعالج الفرعي.

يحتفظ إديانوت دائمًا بقائمة محدثة بجميع المعالِجين الفرعيين المستخدمين، بما في ذلك التفاصيل المطلوبة بموجب هذا الملحق ب، ويجعل هذه القائمة متاحة للعميل عند الطلب.

يكون إديانوت مسؤولاً عن أفعال أو إهمال أي من هؤلاء المعالِجين الفرعيين بنفس القدر وكأنها أفعال أو إهمال قام به إديانوت. لا يؤثر هذا على حقوق موضوعي البيانات بموجب القانون المعمول به لحماية البيانات.

6. التحويلات الدولية

قد ينقل إديانوت ويعالج بيانات العميل في أي مكان في العالم حيث تحتفظ إديانوت أو شركاتها التابعة أو المعالِجين الفرعيين بعمليات معالجة البيانات، بعد إعلام العميل مسبقًا والحصول على موافقته. يجب على إديانوت ضمان مستوى حماية ملائم لبيانات العميل المعالجة، وفقًا لمتطلبات قوانين حماية البيانات. يجب على إديانوت تحديد أساس قانوني صالح لأي نقل من هذا القبيل، وفقًا للفصل 5 من اللائحة العامة والمواد 45-49 منها.

دون المساس بإجراءات الإخطار والموافقة السابقة، يجوز لإديانوت إدخال نقل البيانات إلى دول ثالثة تقع خارج المنطقة الاقتصادية الأوروبية ("EEA")، إذا كان لدى إديانوت حل نقل يتوافق مع قانون حماية البيانات المعمول به.

عندما يستند حل النقل إلى الشروط النموذجية للمفوضية الأوروبية، يجب على إديانوت تزويد العميل بتقييم تأثير النقل، متضمناً تفاصيل مواقع المعالجة، وأنشطة المعالجة التي سيتم تنفيذها، وأنواع البيانات، وأي ضمانات وتدابير إضافية (تقنية وتنظيمية وتعاقدية) سيتم تنفيذها، بالإضافة إلى تقييم إديانوت للمخاطر المتعلقة بالمعالج الفرعي المقصود و/أو النقل.

يجب تنفيذ هذا الإخطار قبل تطبيق النقل، ويُمنح العميل على الأقل 30 يومًا لمراجعته. يجوز للعميل رفض النقل جزئيًا أو كليًا، وفي هذه الحالة لا يجوز لإديانوت تنفيذ النقل المرتقب. إذا تعذر أداء الخدمات المتعاقد عليها بدون النقل المذكور، يحق للعميل إنهاء اتفاقية الخدمات والملحق كليًا أو جزئيًا حسب الضرورة، دون أي عقوبة. 

يتفق الطرفان على أن شروط الشروط التعاقدية القياسية، كما هو وارد في الملحق 2 من هذا الملحق، مشمولة وتطبق على أي نقل بيانات شخصية إلى دولة ثالثة، سواء مباشرة أو عبر نقل لاحق، غير مغطى بإطار مناسب معترف به بموجب قانون حماية البيانات المعمول به ويوفر مستوى حماية ملائم للبيانات الشخصية، بما في ذلك القواعد المنظمة الملزمة للشركات المعالِجة.

الملحق ج

يحتوي الملحق ج من اتفاقية معالجة البيانات على تعليمات حول المعالجة التي يتعين على إديانوت تنفيذها نيابة عن العميل (موضوع المعالجة)، والتدابير الأمنية التقنية والتنظيمية التي ينفذها مستورد البيانات وفقًا للبندين 4(د) و5(ج) وكيفية إجراء التفتيش مع إديانوت وأي معالِج فرعي.

نفذ إديانوت برنامجًا داخليًا لأمن المعلومات يغطي أمن البيانات والشبكات، وضوابط الوصول والموقع، وأمن الموظفين والمعالِجين الفرعيين.

1. ضوابط الأمان في إديانوت

• الأمن الفيزيائي - تستخدم إديانوت مراكز بيانات آمنة فعليًا. تلتزم جميع مراكز البيانات بمتطلبات أمان أو تتجاوز متطلبات SOC2. جميع مراكز البيانات مجهزة بنظام مراقبة بالكاميرات، وحراسة في الموقع 24/7، ونظام دخول بواسطة بطاقات مفاتيح. تستخدم إديانوت مراكز بيانات جغرافية موزعة للنسخ الاحتياطية.
• الاحتياطيات - تسمح بنية إديانوت التحتية بالصيانة والتحسينات مع توقف تشغيل منخفض جدا.
• مزود الطاقة - مراكز بيانات إديانوت مجهزة بإمدادات طاقة احتياطية ولا منقطعة يمكن أن تستمر لأيام.
• التحديثات البرمجية - لدى إديانوت سياسة للحفاظ على تحديث الأنظمة مع التصحيحات الأمنية الضرورية.
• استمرارية الأعمال - تُنسخ البيانات وتُحتفظ بها عبر أنظمة متعددة للحماية من الفقدان أو التدمير غير المرغوب. يتم اختبار إجراءات استعادة النسخ الاحتياطية وخطط استمرارية الأعمال سنويًا.
• البيانات أثناء النقل - تستخدم إديانوت طرق تشفير معيارية لصناعية لتشفير نقل البيانات بين مراكز البيانات.
• كشف الاقتحام - تستخدم إديانوت نظام كشف اقتحام يوفر رؤية على أنشطة الهجوم الجارية ويساعد في معالجتها بسرعة أكبر.
• الاستجابة للحوادث - لدى إديانوت بروتوكولات للتعامل مع حوادث خرق الأمان وستُعلم الأطراف المعنية.
• التشفير - تستخدم إديانوت طرق تشفير معيارية لتشفير البيانات أثناء النقل وأثناء التخزين.
• مراقبة الوصول - يجب على موظفي إديانوت المصادقة عبر نظام مركزي أو نظام تسجيل دخول موحد لإدارة الخدمات.
• أمان كلمات المرور - تتطلب إديانوت استخدام معرفات فريدة، كلمات مرور قوية، والمصادقة الثنائية. 
• مراجعة الوصول - يتم توجيه الوصول بسياسة خاصة بأقل الامتيازات ويتم إجراء مراجعات منتظمة للوصول.
• سجل التدقيق - تسجل إديانوت الوصول إلى أنظمتها عبر سجل تدقيق لا يمكن تغييره.
• فصل البيانات - تفصل إديانوت بيانات العملاء في بيئة متعددة المستأجرين باستخدام مفاتيح تشفير منفصلة.
• محو الأقراص - تُمسح الأقراص المخرجة من الخدمة بأمان بعد استخدامها أو تُدمر بأمان في حال تعطلها.
• الموظفون - يلتزم موظفو إديانوت بسياسات الشركة المتعلقة بالخصوصية والأمان والأخلاقيات والمدونة المهنية. 
• التحقق من الخلفية - تجري إديانوت فحوصات خلفية على الموظفين الجدد.
• الوصول إلى البيانات - لا يصل موظفو إديانوت إلى محتوى العميل أو يعالجونه بدون ترخيص صريح من العميل إلا إذا طلب القانون ذلك.
• أمان المعالج الفرعي - تجري إديانوت مراجعات لممارسات الأمان والخصوصية للمعالِجين الفرعيين قبل إدخالهم لضمان مستوى مناسب من الأمان والخصوصية للبيانات ونطاق الخدمات المقدمة. بعد إجراء مراجعة المعالج الفرعي وتقييم المخاطر المرتبطة، يبرم المعالج الفرعي شروطًا مناسبة للخصوصية والسرية والأمان في العقد.

2. الحدود في التخزين والمحو

لا تكون المعالجة محدودة زمنياً، وتُنفذ حتى يتم إنهاء هذه الاتفاقية أو إلغاؤها من قِبل أحد الطرفين.

تُخزن البيانات الشخصية لدى إديانوت حتى يطلب العميل أو عضو أن تُحذف أو تُعاد بياناتهم. تتيح Ideanote للعملاء تصدير بياناتهم الخام في أي وقت بتنسيق JSON القياسي للصناعة. بالإضافة إلى ذلك، يمكن حذف بيانات العملاء عند الطلب عند الإنهاء أو سيتم حذفها وفقًا لسياسات الاحتفاظ بالبيانات الداخلية الخاصة بـ Ideanote.

3. تقارير الفحص والتدقيق

يحق للعملاء الذين لديهم اشتراك سنوي نشط في المؤسسة طلب تدقيق امتثال مرة واحدة في السنة لتأكيد امتثال Ideanote لالتزامات حماية البيانات ضمن هذا الملحق الخاص بمعالجة البيانات. استجابةً لطلب العميل بالتدقيق، توافق Ideanote على تقديم المعلومات اللازمة، بما في ذلك استبيانات الأمان والتدقيق، على أساس سري.

يجب أن تتضمن طلبات التدقيق خطة مفصلة ويجب تقديمها قبل شهرين على الأقل، إلا في حالات حدوث حادث أمني حيث يمكن بدء التدقيق دون تأخير. لـ Ideanote الحق في الاعتراض على مدققي الطرف الثالث الذين هم منافسون أو غير مناسبين.

يمكن لتقارير التدقيق القائمة أن تحل محل الحاجة إلى تدقيق جديد إذا ظلت ضوابط Ideanote دون تغيير جوهري.

يحق للعملاء الذين لديهم اشتراك سنوي نشط في المؤسسة إجراء تدقيقات عن بعد أو في الموقع لأنشطة معالجة Ideanote المتعلقة بالبيانات الشخصية للعميل مرة واحدة في السنة. تتحمل تكلفة التدقيق، بما في ذلك أي مساعدة من Ideanote، العميل وفقًا لأسعار الخدمة القياسية لـ Ideanote.

قبل أي تدقيق في الموقع، يتفق الطرفان على النطاق والوقت والمدة. يقتصر كل تدقيق على مرة واحدة سنويًا مع إشعار مسبق لمدة شهرين لـ Ideanote، إلا إذا استدعى حادث أمني إجراء التدقيق بشكل أسرع. يجب الإبلاغ عن نتائج عدم الامتثال على الفور لـ Ideanote.

4. تشفير محتوى العميل

عندما يستخدم المستخدم خدمة Ideanote، يتم التقاط تفاصيل تفاعلاتهم وإرسالها إلى Ideanote عبر مكالمات API عبر HTTPS. جميع واجهات برمجة التطبيقات ومواقعنا الأخرى تستخدم HTTPS حصريًا. كل ما يرسله العميل والمستخدم إلى Ideanote، وكل ما ترسله Ideanote إلى العميل والمستخدم يتم إرساله عبر قنوات مشفرة بالكامل. تستخدم Ideanote بروتوكول أمان طبقة النقل (TLS 1.2) مع تشفير RSA-2048 للحفاظ على خصوصية اتصالاتنا.

يقوم Google Cloud Platform بتشفير بيانات العملاء المخزنة في الحالة الساكنة بشكل افتراضي. يتم تقسيم البيانات في Google Cloud Platform إلى أجزاء فرعية للتخزين، ويتم تشفير كل جزء على مستوى التخزين بمفتاح تشفير فردي. المفتاح المستخدم لتشفير البيانات في الجزء يسمى مفتاح تشفير البيانات (DEK). نظرًا لحجم المفاتيح الكبير في Google، وضرورة الاستجابة السريعة وتوفرية عالية، يتم تخزين هذه المفاتيح بالقرب من البيانات التي تُشفر. يتم تشفير DEKs (أو "تغليفها" بواسطة) مفتاح تشفير المفتاح (KEK). للمزيد من المعلومات، يرجى زيارة https://cloud.google.com/security/#dataencryption.

5. فصل بيانات العميل

يتم منح الوصول من خلال إرسال رمز مصادقة في الطلبات. يحمل هذا الرمز مجموعة من الصلاحيات بناءً على رتبة المستخدم والمساحات، المهمات، وجميع المحتويات التي يمكن للمستخدم الوصول إليها.

يوفر هذا الفصل المنطقي بين البيانات التي تخص عدة مستخدمين. Ideanote هي المستأجر الوحيد على بنيتنا التحتية. قد تقيم بيانات العميل على أنظمة قواعد البيانات التي تحتوي على بيانات تخص عملاء آخرين، لكن ضوابطنا المنطقية (الرمز، المفتاح والسر) تفصل بين بيانات مستخدم وآخر.

6. تسجيل الدخول الأحادي والمصادقة متعددة العوامل

تدعم Ideanote تسجيل الدخول الأحادي عن طريق SAML. اعتمادًا على مزود تسجيل الدخول الأحادي الخاص بالعميل، يمكن للعميل تفعيل المصادقة متعددة العوامل مع مزود تسجيل الدخول الأحادي الخاص به. يمكن العثور على تفاصيل كيفية تفعيل الدخول الأحادي في إعدادات الوصول.

7. موقع وتخزين بيانات العميل

لا يشترط اللائحة العامة لحماية البيانات (GDPR) بقاء البيانات الشخصية داخل الاتحاد الأوروبي طالما يوجد إطار قانوني يبرر نقل البيانات؛ تعترف GDPR بعدة أطر منها البنود التعاقدية النموذجية للاتحاد الأوروبي.

تقع خوادم تطبيق وقواعد بيانات Ideanote داخل الاتحاد الأوروبي. هذا يعني أنه في حالة التخزين، لن يغادر محتوى العميل الاتحاد الأوروبي أبدًا.

قد يتم تقديم الخدمة نفسها باستخدام معدات أو منشآت تقع في الاتحاد الأوروبي أو الولايات المتحدة. قام المشتركون الفرعيون في الولايات المتحدة بتنفيذ البنود التعاقدية النموذجية (الموافقة عليها من المفوضية الأوروبية) التي توفر الأسس القانونية لضمان أن البيانات الشخصية لمواطني الاتحاد الأوروبي التي تُعالج باستخدام الخدمة في الولايات المتحدة ستحصل على مستوى حماية كافٍ بموجب المادة 46 من التنظيم (EU) 2016/679 (اللائحة العامة لحماية البيانات). يتم تخزين ومعالجة البيانات الشخصية جزئيًا من قبل هؤلاء المشتركون الفرعيون.

Google هو مزود استضافة الإنتاج لدينا. تعتمد أقراص Google تقنيات مثل تشفير القرص الكامل (FDE) وقفل القرص، لحماية البيانات أثناء التخزين. عندما يتم تقاعد قرص صلب، يتحقق الأفراد المخولون من محو القرص بكتابة أصفار عليه وإجراء عملية تحقق متعددة الخطوات لضمان خلو القرص من البيانات. إذا تعذر مسح القرص لسبب ما، يتم تخزينه بأمان حتى يمكن تدميره ماديًا. تدمير الأقراص الفيزيائي هو عملية متعددة المراحل تبدأ بآلة سحق تشوه القرص، تليها مفرمة تكسر القرص إلى قطع صغيرة، والتي يتم إعادة تدويرها في منشأة آمنة. يلتزم كل مركز بيانات بسياسة التخلص الصارمة ويتم معالجة أي انحرافات فورًا.

8. فحوصات ومسح الأمان

تقوم Ideanote بإجراء فحوصات أمان منتظمة عبر خدمة طرف ثالث، ويتم فحص شفرتنا المصدرية تلقائيًا عند كل عملية إيداع. كلما قامت Ideanote بتحديث أي من تبعيات الشفرات الخارجية، تقوم Ideanote بإجراء تدقيق أمني كامل للتحقق من عدم وجود ثغرات أمنية دخلت قاعدة الشفرات. تشترك Ideanote أيضًا في قوائم بريدية أمنية متنوعة للبرمجيات التي تستخدمها. هذا يضمن أن Ideanote تكون على علم دائم بالثغرات المكتشفة حديثًا ويمكنها اتخاذ حلول بديلة أو تطبيق التصحيحات المتاحة.

9. التعامل مع بيانات العملاء من قبل الموظفين

الوصول إلى قاعدة البيانات مقصور على عدد قليل جدًا من الأشخاص، ولا توجد طريقة لـ Ideanote لـ "انتحال شخصية" أو مشاهدة المحتوى عبر واجهة تبديل الحساب أو واجهة المستخدم الإدارية.

في الحالات التي تحتاج فيها Ideanote لاستكشاف الأخطاء وإصلاحها، ستختبر إما في بيئة تطوير أو تحصل على إذن صريح من العميل للوصول إلى الحساب (عادةً من خلال دعوة العميل يدويًا لحساب الدعم الخاص بنا كمستخدم في مساحة عمل العميل، والتي يمكن إزالتها في أي وقت) أو عن طريق طلب مشاركة الشاشة. يتم تسجيل الوصول وطلبات الوصول إلى قواعد بيانات Ideanote وبنية الخوادم وجميع عمليات تغيير الشفرات لأغراض الأمان.

كما هو موضح في شروط الخدمة لدينا، يتمتع موظفو الدعم بالوصول إلى بعض معلومات الاتصال وسجلات النشاط بشكل افتراضي ليتمكنوا من خدمة العميل بأفضل شكل ممكن. يتم تقييد الوصول إلى هذا النوع من البيانات بالمصادقة الثنائية في جميع الأوقات ولا يتم بيع البيانات الشخصية لأطراف ثالثة.

10. تكرار بيانات العميل

تقوم Ideanote بإنشاء نسخ احتياطية من بيانات العملاء ثلاث مرات في اليوم وتحتفظ بهذه النسخ لمدة تصل إلى شهر. في حالة وقوع حادث أمني أو فني أو مادي أو فقدان للبيانات، يمكن بدء استرجاع بيانات العملاء في الوقت المناسب.

المرفق 2 - البنود التعاقدية النموذجية (SCCs)

البند 1

الغرض والنطاق

(أ) الغرض من هذه البنود التعاقدية النموذجية هو ضمان الامتثال لمتطلبات التنظيم (EU) 2016/679 للبرلمان الأوروبي والمجلس بتاريخ 27 أبريل 2016 بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وحركة هذه البيانات بحرية (اللائحة العامة لحماية البيانات) لنقل البيانات الشخصية إلى دولة ثالثة.

(ب) الأطراف:

ط. الشخص أو الأشخاص الطبيعيون أو الاعتباريون، السلطات العامة، الوكالات أو الهيئات الأخرى (يشار إليهم فيما يلي بـ "الكيان/الكيانات") التي تنقل البيانات الشخصية، كما هو مذكور في الملحق I.A. (يشار إليهم فيما يلي بـ "مصدر البيانات" لكل منهم)، و

ث. الكيان/الكيانات في الدولة الثالثة التي تستلم البيانات الشخصية من مصدر البيانات، مباشرة أو عبر كيان آخر طرف في هذه البنود، كما هو مذكور في الملحق I.A. (يشار إليهم فيما يلي بـ "مستورد البيانات" لكل منهم).

لقد وافقوا على هذه البنود التعاقدية النموذجية (التي يشار إليها فيما يلي بـ "البنود").

(ج) تنطبق هذه البنود فيما يتعلق بنقل البيانات الشخصية المحددة في الملحق I.B.

(د) يشكل الملحق لهذه البنود الذي يحتوي على الملاحق المشار إليها جزءًا لا يتجزأ من هذه البنود.

البند 2

تأثير وثبات البنود

(أ) تحدد هذه البنود ضمانات مناسبة، بما في ذلك حقوق قابلة للإنفاذ لموضوع البيانات ووسائل قانونية فعالة، وفقًا للمادة 46(1) والمادة 46 (2)(ج) من التنظيم (EU) 2016/679، وبالنسبة لنقل البيانات من المتحكمين إلى المعالجات و/أو المعالجات إلى المعالجات، البنود التعاقدية النموذجية وفقًا للمادة 28(7) من التنظيم (EU) 2016/679، شريطة ألا يتم تعديلها، باستثناء اختيار الوحدة المناسبة أو إضافة أو تحديث المعلومات في الملحق. لا يمنع هذا الأطراف من إدراج البنود التعاقدية النموذجية الواردة في هذه البنود ضمن عقد أوسع، و/أو إضافة بنود أو ضمانات إضافية بشرط ألا تتعارض، بشكل مباشر أو غير مباشر، مع هذه البنود أو تضر بالحقوق أو الحريات الأساسية لموضوعات البيانات.

(ب) هذه البنود لا تؤثر على الالتزامات التي يتحملها مصدر البيانات بموجب التنظيم (EU) 2016/679.

البند 3

المستفيدون من الطرف الثالث

(أ) يجوز لموضوعات البيانات اللجوء إلى هذه البنود وتنفيذها، كمستفيدين من الطرف الثالث، ضد مصدر البيانات و/أو مستورد البيانات، باستثناء الحالات التالية:

ط. البند 1، البند 2، البند 3، البند 6، البند 7؛

ث. البند 8.1(ب)، 8.9(أ)، (ج)، (د) و(هـ)؛

ج. البند 9(أ)، (ج)، (د) و(هـ)

د. البند 12(أ)، (د) و(و)؛

ه. البند 13؛

و. البند 15.1(ج)، (د) و(هـ)؛

ز. البند 16(هـ)؛ و

ح. البند 18(أ) و(ب).

(ب) الفقرة (أ) لا تؤثر على حقوق موضوعات البيانات بموجب التنظيم (EU) 2016/679.

البند 4

التفسير

(أ) حيث تستخدم هذه البنود مصطلحات معرفّة في التنظيم (EU) 2016/679، يجب أن يكون لهذه المصطلحات نفس المعنى الوارد في ذلك التنظيم.

(ب) يجب قراءة وتفسير هذه البنود في ضوء أحكام التنظيم (EU) 2016/679.

(ج) لا يجب تفسير هذه البنود بطريقة تتعارض مع الحقوق والالتزامات المنصوص عليها في التنظيم (EU) 2016/679.

البند 5

تسلسل الأولويات

في حالة وجود تعارض بين هذه البنود وأحكام الاتفاقيات ذات الصلة بين الأطراف، القائمة في وقت الموافقة على هذه البنود أو التي تدخل حيز التنفيذ بعدها، تسود هذه البنود.

البند 6

وصف النقل (النقل)

يتم تحديد تفاصيل النقل (النقلات)، وبشكل خاص فئات البيانات الشخصية المنقولة والغرض (الأغراض) من نقلها، في الملحق I.B.

البند 7

بند الالتحام

(أ) يجوز لكيان ليس طرفًا في هذه البنود، وبموافقة الأطراف، الانضمام إلى هذه البنود في أي وقت، إما كمصدر بيانات أو كمستورد بيانات، عن طريق إكمال الملحق وتوقيع الملحق I.A.

(ب) بمجرد إكماله للملحق وتوقيع الملحق I.A، يصبح الكيان المنضم طرفًا في هذه البنود وله الحقوق والالتزامات كمصدر بيانات أو مستورد بيانات وفقًا لتصنيفه في الملحق I.A.

(ج) لا يكون للكيان المنضم ما من حقوق أو التزامات ناشئة عن هذه البنود قبل أن يصبح طرفًا.

القسم الثاني – التزامات الأطراف

البند 8

ضمانات حماية البيانات

يضمن مصدر البيانات أنه بذل جهودًا معقولة للتأكد من أن مستورد البيانات قادر من خلال تنفيذ تدابير تقنية وتنظيمية مناسبة على الوفاء بالتزاماته بموجب هذه البنود.

8.1 تعليمات

(أ) يجب على مستورد البيانات معالجة البيانات الشخصية فقط بناءً على تعليمات موثقة من مصدر البيانات. يجوز لمصدر البيانات إعطاء مثل هذه التعليمات طوال مدة العقد.

(ب) يجب على مستورد البيانات إبلاغ مصدر البيانات فورًا إذا لم يتمكن من اتباع تلك التعليمات.

8.2 تقييد الأغراض

يجب على مستورد البيانات معالجة البيانات الشخصية فقط للأغراض المحددة للنقل، كما هو موضح في الملحق I.B، ما لم يُعط تعليمات أخرى من مصدر البيانات.

8.3 الشفافية

عند الطلب، يجب على مصدر البيانات تقديم نسخة من هذه البنود، بما في ذلك الملحق المكتمل من قبل الأطراف، إلى موضوع البيانات مجانًا. قدر الضرورة لحماية الأسرار التجارية أو المعلومات السرية الأخرى، بما في ذلك التدابير الموضحة في الملحق II والبيانات الشخصية، يجوز لمصدر البيانات حذف جزء من نص الملحق قبل مشاركة النسخة، ولكن يجب تقديم ملخص ذي معنى حيث لا يمكن لموضوع البيانات فهم المحتوى أو ممارسة حقوقه. عند الطلب، يجب على الأطراف تقديم أسباب الحذف لموضوع البيانات قدر الإمكان دون الكشف عن المعلومات المحذوفة. لا تؤثر هذه الفقرة على التزامات مصدر البيانات بموجب المادتين 13 و14 من التنظيم (EU) 2016/679.

8.4 الدقة

إذا أصبح لدى مستورد البيانات علم بأن البيانات الشخصية التي تلقاها غير دقيقة أو أصبحت قديمة، يجب عليه إبلاغ مصدر البيانات دون تأخير غير مبرر. في هذه الحالة، يجب على مستورد البيانات التعاون مع مصدر البيانات لمسح أو تصحيح البيانات.

8.5 مدة المعالجة ومسح أو إعادة البيانات

يجب أن تتم المعالجة من قبل مستورد البيانات فقط للفترة المحددة في الملحق I.B. بعد انتهاء توفير خدمات المعالجة، يجب على مستورد البيانات، حسب اختيار مصدر البيانات، حذف كل البيانات الشخصية المعالجة نيابة عن مصدر البيانات وتقديم شهادة بذلك، أو إعادة كافة البيانات الشخصية المعالجة نيابة عنه وحذف النسخ الموجودة. حتى تُحذف البيانات أو تُعاد، يجب على مستورد البيانات الاستمرار في ضمان الامتثال لهذه البنود. في حالة وجود قوانين محلية تطبق على مستورد البيانات تحظر إعادة أو حذف البيانات الشخصية، يضمن مستورد البيانات أنه سيستمر في ضمان الامتثال لهذه البنود ولن يعالجها إلا بالقدر والمدة اللازمة بموجب ذلك القانون المحلي. هذا دون الإخلال بالبند 14، لا سيما الالتزام بموجب البند 14(هـ) بإخطار مصدر البيانات طوال مدة العقد إذا كان لديه سبب للاعتقاد بأنه أصبح خاضعًا لقوانين أو ممارسات لا تتوافق مع متطلبات البند 14(أ).

8.6 أمن المعالجة

(أ) يجب على مستورد البيانات، وأثناء النقل أيضًا مصدر البيانات، تنفيذ تدابير تقنية وتنظيمية مناسبة لضمان أمن البيانات، بما في ذلك الحماية من اختراق أمني يتسبب في تدمير أو فقدان أو تعديل عرضي أو غير قانوني، أو إفشاء أو وصول غير مصرح إليه لتلك البيانات («اختراق البيانات الشخصية»). عند تقييم مستوى الأمان المناسب، يجب أن يأخذ الطرفان في الاعتبار الحالة الفنية الحالية، وتكاليف التنفيذ، وطبيعة ونطاق وسياق وأغراض المعالجة والمخاطر المتعلقة بمعالجة البيانات لموضوعات البيانات. ينبغي للأطراف على وجه الخصوص النظر في اللجوء إلى التشفير أو التلبيس، بما في ذلك أثناء النقل، إذا كان الغرض من المعالجة يمكن تحقيقه بهذه الطريقة. في حالة التلبيس، يجب أن تبقى المعلومات الإضافية التي تسمح بنسب البيانات الشخصية لموضوع بيانات معين، حيثما أمكن، تحت السيطرة الحصرية لمصدر البيانات. في الامتثال لالتزاماته بموجب هذه الفقرة، يجب على مستورد البيانات تنفيذ التدابير التقنية والتنظيمية المحددة في الملحق II على الأقل. يجب على مستورد البيانات إجراء فحوصات دورية للتأكد من أن هذه التدابير تستمر في توفير مستوى مناسب من الأمن.

(ب) يجب على مستورد البيانات منح إمكانية الوصول إلى البيانات الشخصية لأفراد موظفيه بقدر الضرورة فقط لتنفيذ وإدارة ومراقبة العقد. يجب ضمان أن الأشخاص المخولين بمعالجة البيانات الشخصية قد التزموا بالسرية أو يخضعون لالتزام قانوني مناسب بالسرية.

(ج) في حالة حدوث انتهاك للبيانات الشخصية المتعلقة بالبيانات التي يعالجها مستورد البيانات بموجب هذه البنود، يجب على مستورد البيانات اتخاذ تدابير مناسبة لمعالجة الاختراق، بما في ذلك التدابير لتخفيف آثاره السلبية. يجب على مستورد البيانات الإبلاغ عن الاختراق لمصدر البيانات دون تأخير غير مبرر بمجرد أن يصبح على علم به. يجب أن يحتوي الإبلاغ على تفاصيل نقطة اتصال يمكن الحصول من خلالها على مزيد من المعلومات، ووصف لطبيعة الاختراق (بما في ذلك، حيثما أمكن، فئات وعدد تقريبي لموضوعات البيانات والسجلات الشخصية المتأثرة)، وعواقبه المحتملة، والتدابير المتخذة أو المقترحة لمعالجة الاختراق، بما في ذلك، عند الاقتضاء، التدابير لتخفيف الآثار السلبية المحتملة. عندما، وبقدر ما، لا يمكن توفير كل المعلومات في وقت واحد، يجب أن يحتوي الإشعار الأولي على المعلومات المتاحة حينها، ويجب تقديم معلومات إضافية لاحقًا دون تأخير غير مبرر.

(د) يجب على مستورد البيانات التعاون مع مساعدة مصدر البيانات لتمكينه من الامتثال لالتزاماته بموجب التنظيم (EU) 2016/679، وخصوصاً إخطار السلطة الإشرافية المختصة وموضوعات البيانات المتأثرة، مع الأخذ في الاعتبار طبيعة المعالجة والمعلومات المتاحة لمستورد البيانات.

8.7 البيانات الحساسة

لا تسمح Ideanote بمعالجة البيانات الحساسة.

8.8 النقل التالي

لا يجوز لمستورد البيانات الكشف عن البيانات الشخصية لطرف ثالث إلا وفقًا لتعليمات موثقة من مصدر البيانات. بالإضافة إلى ذلك، يجوز الكشف عن البيانات فقط لطرف ثالث يقع خارج الاتحاد الأوروبي (في نفس بلد مستورد البيانات أو في دولة ثالثة أخرى، ويشار إليه بـ "النقل التالي") إذا كان الطرف الثالث ملزمًا بهذه البنود أو إذا:

ط. كان النقل التالي إلى بلد يتمتع بقرار كفاية وفقًا للمادة 45 من التنظيم (EU) 2016/679 الذي يغطى النقل التالي؛

ث. يضمن الطرف الثالث ضمانات مناسبة وفقًا للمادة 46 أو 47 من التنظيم (EU) 2016/679 فيما يتعلق بالمعالجة المعنية؛

ج. يكون النقل التالي ضروريًا لتأسيس أو ممارسة أو الدفاع عن المطالبات القانونية في سياق إجراءات إدارية أو تنظيمية أو قضائية محددة؛ أو

د. يكون النقل التالي ضروريًا لحماية المصالح الحيوية لموضوع البيانات أو شخص طبيعي آخر.

أي نقل لاحق يخضع لامتثال مستورد البيانات لجميع الضمانات الأخرى بموجب هذه البنود، لا سيما تقييد الغرض.

8.9 التوثيق والامتثال

(أ) يجب على مستورد البيانات التعامل بسرعة وبشكل ملائم مع استفسارات مصدر البيانات المتعلقة بالمعالجة بموجب هذه البنود.

(ب) يجب أن يكون الطرفان قادرين على إثبات الامتثال لهذه البنود. على وجه الخصوص، يجب على مستورد البيانات الاحتفاظ بالوثائق المناسبة المتعلقة بأنشطة المعالجة التي تم تنفيذها نيابة عن مصدر البيانات.

يجب على مستورد البيانات توفير كافة المعلومات اللازمة لمصدر البيانات لإثبات الامتثال للالتزامات المنصوص عليها في هذه البنود، وعند طلب مصدر البيانات، السماح بالمساهمة في عمليات تدقيق أنشطة المعالجة المشمولة بهذه البنود، بفواصل زمنية معقولة أو إذا كانت هناك مؤشرات على عدم الامتثال، كما هو موضح في الملحق ج، قسم "تقارير الفحص والتدقيق" في ملحق معالجة البيانات. عند النظر في مراجعة أو تدقيق، يجوز لمصدر البيانات أن يأخذ في الاعتبار الشهادات ذات الصلة التي يحملها مستورد البيانات.

(ج) يجوز لمصدر البيانات اختيار إجراء التدقيق بنفسه أو تعيين مدقق مستقل. يجوز أن يشمل التدقيق عمليات تفتيش في مرافق أو مواقع مستورد البيانات وعلى أن تُجرى، عند الاقتضاء، بإشعار معقول.

(هـ) يجب أن توفر الأطراف المعلومات المشار إليها في الفقرتين (ب) و(ج)، بما في ذلك نتائج أي تدقيق، إلى السلطة الإشرافية المختصة عند الطلب.

البند 9

استخدام المشتركون الفرعيون

(أ) يمتلك مستورد البيانات تفويضًا عامًا من مصدر البيانات للتعاقد مع مشتركون فرعيون من قائمة متفق عليها. يجب على مستورد البيانات إبلاغ مصدر البيانات كتابيًا عن أي تغييرات مقصودة في تلك القائمة عن طريق إضافة أو استبدال المشتركون الفرعيون قبل ثلاثين (30) يومًا على الأقل، مما يمنح مصدر البيانات وقتًا كافيًا للاعتراض. يجب على مستورد البيانات تزويد مصدر البيانات بالمعلومات اللازمة لتمكينه من ممارسة حقه في الاعتراض.

(ب) عند تعاقد مستورد البيانات مع مشترك فرعي لأداء أنشطة معالجة محددة (نيابة عن مصدر البيانات)، يجب أن يتم ذلك بواسطة عقد مكتوب ينص في مضمونه على نفس التزامات حماية البيانات التي تحكم مستورد البيانات بموجب هذه البنود، بما في ذلك حقوق مستفيد الطرف الثالث لموضوعات البيانات. يوافق الطرفان على أن الامتثال لهذا البند يفي بالتزامات مستورد البيانات بموجب البند 8.8. يجب على مستورد البيانات التأكد من أن المشترك الفرعي يلتزم بالالتزامات التي يخضع لها مستورد البيانات بموجب هذه البنود.

(ج) يجب على مستورد البيانات، بناءً على طلب مصدر البيانات، توفير نسخة من عقد المشترك الفرعي وأي تعديلات لاحقة لمصدر البيانات. قدر الضرورة لحماية الأسرار التجارية أو المعلومات السرية الأخرى، بما في ذلك البيانات الشخصية، يجوز لمستورد البيانات حذف نص الاتفاق قبل مشاركة نسخة منه.

(د) يظل مستورد البيانات مسؤولاً بالكامل أمام مصدر البيانات عن أداء التزامات المشترك الفرعي بموجب عقده مع مستورد البيانات. يجب على مستورد البيانات إبلاغ مصدر البيانات بأي فشل من المشترك الفرعي في الوفاء بالتزاماته بموجب ذلك العقد.

(هـ) يجب على مستورد البيانات الاتفاق على بند الفائدة لطرف ثالث مع المشترك الفرعي حيث - في حال اختفاء مستورد البيانات فعليًا، أو توقف وجوده القانوني، أو إعلانه إفلاسًا - يحق لمصدر البيانات إنهاء عقد المشترك الفرعي وتوجيه المشترك الفرعي لمسح أو إعادة البيانات الشخصية.

البند 10

حقوق موضوع البيانات

(أ) يجب على مستورد البيانات إخطار مصدر البيانات سريعًا بأي طلب يتلقاه من موضوع بيانات. يجب ألا يستجيب لطلب موضوع البيانات بنفسه إلا إذا تم تفويضه من مصدر البيانات.

(ب) يجب على مستورد البيانات مساعدة مصدر البيانات في الوفاء بالتزاماته للرد على طلبات موضوعات البيانات لممارسة حقوقهم بموجب التنظيم (EU) 2016/679. في هذا الصدد، يجب أن يحدد الطرفان في الملحق II التدابير التقنية والتنظيمية المناسبة، مع الأخذ في الاعتبار طبيعة المعالجة، التي ستُقدم بها المساعدة، بالإضافة إلى نطاق ومدى المساعدة المطلوبة.

(ج) عند الوفاء بالتزاماته بموجب الفقرتين (أ) و(ب)، يجب على مستورد البيانات الامتثال لتعليمات مصدر البيانات.

البند 11

التعويض

(أ) يجب على مستورد البيانات إبلاغ موضوعات البيانات بشكل شفاف وسهل الوصول إليه، من خلال إشعار فردي أو على موقعه الإلكتروني، عن نقطة اتصال مخولة للتعامل مع الشكاوى. يجب أن يتعامل بسرعة مع أي شكاوى يتلقاها من موضوع بيانات.

(ب) في حالة وجود نزاع بين موضوع بيانات وأحد الأطراف بخصوص الامتثال لهذه البنود، يجب على ذلك الطرف بذل كل جهد ممكن لحل القضية وديًا وفي الوقت المناسب. يجب على الأطراف إبقاء بعضها البعض على اطلاع بشأن تلك النزاعات والتعاون عند الاقتضاء في حلها.

(ج) عندما يستخدم موضوع البيانات حق مستفيد الطرف الثالث وفقًا للبند 3، يجب على مستورد البيانات قبول قرار موضوع البيانات بـ:

ط. تقديم شكوى إلى السلطة الإشرافية في دولة إقامة عمله المعتادة أو مكان عمله، أو السلطة الإشرافية المختصة وفقًا للبند 13؛

ث. إحالة النزاع إلى المحاكم المختصة بموجب البند 18.

(د) يوافق الأطراف على أن يتم تمثيل موضوع البيانات من قبل هيئة، منظمة أو جمعية غير ربحية وفقًا للشروط المنصوص عليها في المادة 80(1) من التنظيم (EU) 2016/679.

(هـ) يجب على مستورد البيانات الالتزام بقرار ملزم بموجب القانون الأوروبي أو قانون دولة العضو المعمول به.

(و) يوافق مستورد البيانات على أن الخيار الذي يتخذه موضوع البيانات لن يؤثر على حقوقه الجوهرية والإجرائية في السعي للحصول على تعويضات وفقًا للقوانين المعمول بها.

البند 12

المسؤولية

(أ) يكون كل طرف مسؤولاً تجاه الطرف/الأطراف الأخرى عن أي أضرار يسببها للخلاف بسبب أي انتهاك لهذه البنود.

(ب) يجب على مستورد البيانات أن يكون مسؤولاً تجاه موضوع البيانات، ويكون موضوع البيانات مخولًا لتلقي تعويض عن أي أضرار مادية أو معنوية يسببها مستورد البيانات أو المشترك الفرعي له عن انتهاك حقوق مستفيد الطرف الثالث بموجب هذه البنود.

(ج) بغض النظر عن الفقرة (ب)، يكون مصدر البيانات مسؤولاً تجاه موضوع البيانات، ويكون موضوع البيانات مخولًا لتلقي تعويض عن أي أضرار مادية أو معنوية يسببها مصدر البيانات أو مستورد البيانات (أو المشترك الفرعي له) عن انتهاك حقوق مستفيد الطرف الثالث بموجب هذه البنود. وهذا لا يمس مسؤولية مصدر البيانات وحيثما كان مصدر البيانات معالجًا يعمل نيابة عن متحكم، مسؤولية المتحكم بموجب التنظيم (EU) 2016/679 أو التنظيم (EU) 2018/1725، حسب الاقتضاء.

(د) يتفق الأطراف أنه إذا تم تحميل مصدر البيانات المسؤولية بموجب الفقرة (ج) عن الأضرار التي تسبب بها مستورد البيانات (أو المشترك الفرعي له)، يحق له طلب التعويض من مستورد البيانات عن الجزء من التعويض الذي يعكس مسؤولية مستورد البيانات عن الضرر.

(هـ) عندما يكون أكثر من طرف مسؤول عن أي ضرر مُلحق بموضوع البيانات نتيجة خرق لهذه البنود، يتحمل جميع الأطراف المسؤولية بالتضامن والتكافل ويحق لموضوع البيانات رفع دعوى أمام المحكمة ضد أي من هذه الأطراف.

(و) يتفق الأطراف أنه إذا تم تحميل أحد الأطراف المسؤولية بموجب الفقرة (هـ)، يحق له طلب التعويض من الطرف/الأطراف الأخرى عن الجزء من التعويض الذي يعكس مسؤوليتهم عن الضرر.

(ز) لا يجوز لمستورد البيانات التذرع بسلوك المشترك الفرعي لتجنب مسؤوليته الخاصة.

البند 13

الرقابة

(أ) عندما يكون مصدر البيانات مقيمًا في دولة عضو بالاتحاد الأوروبي: تكون السلطة الإشرافية المسؤولة عن ضمان امتثال مصدر البيانات للتنظيم (EU) 2016/679 فيما يتعلق بنقل البيانات، كما هو موضح في الملحق I.C، هي السلطة الإشرافية المختصة.

عندما لا يكون مصدر البيانات مقيمًا في دولة عضو بالاتحاد الأوروبي، ولكن يقع ضمن النطاق الترابي المطبق للتنظيم (EU) 2016/679 وفقًا لمادته 3(2) وقد عين ممثلًا وفقًا للمادة 27(1) من التنظيم (EU) 2016/679: تتولى السلطة الإشرافية للدولة العضو التي يقع فيها الممثل، كما هو موضح في الملحق I.C، العمل كسلطة إشرافية مختصة.

عندما لا يكون مصدر البيانات مقيمًا في دولة عضو بالاتحاد الأوروبي، ولكن يقع ضمن المجال الترابي للتنظيم (EU) 2016/679 وفقًا لمادته 3(2) دون الحاجة إلى تعيين ممثل وفقًا للمادة 27(2) من التنظيم (EU) 2016/679: تتولى السلطة الإشرافية لإحدى الدول الأعضاء التي يتواجد فيها موضوعات البيانات التي تُنقل بياناتها بموجب هذه البنود، فيما يتعلق بتقديم السلع أو الخدمات لهم أو مراقبة سلوكهم، كما هو موضح في الملحق I.C، العمل كسلطة إشرافية مختصة.

(ب) يوافق مستورد البيانات على الخضوع لاختصاص وسلطات السلطة الإشرافية المختصة والتعاون معها في أي إجراءات تهدف إلى ضمان الامتثال لهذه البنود. وعلى وجه الخصوص، يوافق مستورد البيانات على الرد على الاستفسارات، والخضوع للتدقيق، والامتثال للإجراءات التي تتخذها السلطة الإشرافية، بما في ذلك التدابير العلاجية والتعويضية. ويجب عليه تقديم تأكيد خطي للسلطة الإشرافية بأن الإجراءات اللازمة قد تم اتخاذها.

القسم الثالث – القوانين المحلية والإجراءات في حال وصول السلطات العامة

البند 14

القوانين المحلية التي تؤثر على الامتثال للبنود.

(أ) يضمن الطرفان أنه لا أسباب لديهما للاعتقاد بأن القوانين والممارسات في الدولة الثالثة المعنية بمعالجة البيانات الشخصية من قبل مستورد البيانات، بما في ذلك أي متطلبات للكشف عن البيانات الشخصية أو تدابير تفويض الوصول من السلطات العامة، تمنع مستورد البيانات من الوفاء بالتزاماته بموجب هذه البنود. يستند ذلك إلى الفهم أن القوانين والممارسات التي تحترم جوهر الحقوق والحريات الأساسية ولا تتجاوز ما هو ضروري ومناسب في مجتمع ديمقراطي للحفاظ على أحد الأهداف المذكورة في المادة 23(1) من التنظيم (EU) 2016/679، ليست في تعارض مع هذه البنود.

(ب) يعلن الطرفان أنهما عند تقديم الضمان في الفقرة (أ) أخذوا في الاعتبار بشكل خاص العناصر التالية:

ط. الظروف الخاصة بالنقل، بما في ذلك طول سلسلة المعالجة، عدد الجهات المشاركة وقنوات النقل المستخدمة؛ النقل التالي المقصود؛ نوع المستلم؛ الغرض من المعالجة؛ فئات وتنسيق البيانات الشخصية المنقولة؛ القطاع الاقتصادي الذي يحدث فيه النقل؛ موقع تخزين البيانات المنقولة؛

ث. القوانين والممارسات في دولة الوجهة الثالثة - بما في ذلك تلك التي تتطلب الكشف عن البيانات للسلطات العامة أو تلك التي تسمح بالوصول من قبل هذه السلطات - ذات الصلة في ضوء الظروف الخاصة بالتحويل، والقيود والضمانات المعمول بها;

iii. أي تدابير حماية تعاقدية أو تقنية أو تنظيمية ذات صلة تم وضعها لتكملة الضمانات المنصوص عليها في هذه البنود، بما في ذلك التدابير المطبقة أثناء النقل وعلى معالجة البيانات الشخصية في دولة الوجهة.

(ج) يضمن مستورد البيانات، عند إجراء التقييم وفقًا للفقرة (ب)، أنه بذل قصارى جهده لتزويد المصدر البيانات بالمعلومات ذات الصلة ويتفق على أنه سيواصل التعاون مع المصدر لضمان الامتثال لهذه البنود.

(د) يوافق الطرفان على توثيق التقييم الوارد في الفقرة (ب) وجعله متاحًا للسلطة الإشرافية المختصة عند الطلب.

(هـ) يوافق مستورد البيانات على إخطار مصدر البيانات على الفور إذا كان لديه سبب للاعتقاد، بعد الموافقة على هذه البنود وطوال مدة العقد، بأنه يخضع أو أصبح خاضعًا لقوانين أو ممارسات لا تتماشى مع المتطلبات المحددة في الفقرة (أ)، بما في ذلك بعد تغيير في قوانين الدولة الثالثة أو إجراء (مثل طلب الكشف) يشير إلى تطبيق هذه القوانين فعليًا بطريقة لا تتماشى مع متطلبات الفقرة (أ).

(و) بعد الإخطار وفقًا للفقرة (هـ)، أو إذا كان لدى مصدر البيانات سبب للاعتقاد بأن مستورد البيانات لم يعد قادرًا على الوفاء بالتزاماته بموجب هذه البنود، سيحدد مصدر البيانات على الفور التدابير المناسبة (مثل التدابير التقنية أو التنظيمية لضمان الأمان والسرية) التي يجب أن يتبناها المصدر و/أو المستورد لمعالجة الوضع. يعليق مصدر البيانات نقل البيانات إذا اعتبر أنه لا يمكن ضمان وجود الضمانات المناسبة لمثل هذا النقل، أو إذا وجهته السلطة الإشرافية المختصة بذلك. في هذه الحالة، يحق لمصدر البيانات إنهاء العقد، بقدر ما يتعلق بمعالجة البيانات الشخصية بموجب هذه البنود. إذا كان العقد يشمل أكثر من طرفين، يجوز لمصدر البيانات ممارسة هذا الحق في الإنهاء فقط فيما يتعلق بالطرف المعني، ما لم يتفق الأطراف خلاف ذلك. عندما يتم إنهاء العقد وفقًا لهذه الفقرة، تنطبق الفقرتان 16(د) و(هـ).

البند 15

واجبات مستورد البيانات في حالة الوصول من قبل السلطات العامة

15.1 الإخطار

(أ) يوافق مستورد البيانات على إخطار مصدر البيانات، وحيثما أمكن، موضوع البيانات على الفور (إذا لزم الأمر بمساعدة مصدر البيانات) إذا:

i. يتلقى طلبًا ملزمًا قانونيًا من سلطة عامة، بما في ذلك السلطات القضائية، بموجب قوانين دولة الوجهة للكشف عن البيانات الشخصية المنقولة وفقًا لهذه البنود؛ يجب أن يتضمن هذا الإخطار معلومات حول البيانات الشخصية المطلوبة، السلطة الطالبة، الأساس القانوني للطلب والاستجابة المقدمة؛ أو

ii. يدرك أي وصول مباشر من السلطات العامة إلى البيانات الشخصية المنقولة وفقًا لهذه البنود وطبقًا لقوانين دولة الوجهة؛ يجب أن يتضمن هذا الإخطار كافة المعلومات المتاحة للمستورد.

(ب) إذا كان مستورد البيانات ممنوعًا من إخطار مصدر البيانات و/أو موضوع البيانات بموجب قوانين دولة الوجهة، يوافق مستورد البيانات على بذل قصارى جهده للحصول على استثناء من الحظر، بهدف إيصال أكبر قدر ممكن من المعلومات في أقرب وقت ممكن. يوافق مستورد البيانات على توثيق جهوده القصوى ليتمكن من إثباتها عند طلب المصدر.

(ج) حيثما يسمح ذلك بموجب قوانين دولة الوجهة، يوافق مستورد البيانات على تزويد مصدر البيانات، بشكل دوري طوال مدة العقد، بأكبر قدر ممكن من المعلومات ذات الصلة بشأن الطلبات المستلمة (على وجه الخصوص، عدد الطلبات، نوع البيانات المطلوبة، السلطة/السلطات الطالبة، ما إذا كانت الطلبات قد تم الطعن فيها ونتائج هذه التحديات، إلخ).

(د) يوافق مستورد البيانات على حفظ المعلومات بموجب الفقرات (أ) إلى (ج) طوال مدة العقد وجعلها متاحة للسلطة الإشرافية المختصة عند الطلب.

(هـ) الفقرات (أ) إلى (ج) لا تؤثر على التزام مستورد البيانات وفقًا للبند 14(هـ) والبند 16 بإخطار مصدر البيانات فورًا عندما يعجز عن الامتثال لهذه البنود.

15.2 مراجعة الشرعية وتقليل البيانات

(أ) يوافق مستورد البيانات على مراجعة قانونية طلب الكشف، لا سيما ما إذا كان لا يزال ضمن الصلاحيات الممنوحة للسلطة العامة الطالبة، والطعن في الطلب إذا خلص، وبعد تقييم دقيق، إلى وجود أسباب معقولة للاعتقاد بأن الطلب غير قانوني بموجب قوانين دولة الوجهة، والالتزامات الدولية المعمول بها، ومبادئ المجاملة الدولية. يجب على مستورد البيانات، تحت نفس الشروط، متابعة إمكانيات الاستئناف. عند الطعن في الطلب، يجب على مستورد البيانات السعي للحصول على تدابير مؤقتة بهدف تعليق الآثار المترتبة على الطلب حتى تقرر السلطة القضائية المختصة في جوهر القضية. لا يجوز الكشف عن البيانات الشخصية المطلوبة حتى يُطلب منه ذلك بموجب القواعد الإجرائية المعمول بها. هذه المتطلبات لا تؤثر على التزامات مستورد البيانات بموجب البند 14(هـ).

(ب) يوافق مستورد البيانات على توثيق تقييمه القانوني وأي طعن في طلب الكشف، وبقدر ما يسمح به قانون دولة الوجهة، يجعل هذه الوثائق متاحة لمصدر البيانات. يجب عليه أيضًا جعلها متاحة للسلطة الإشرافية المختصة عند الطلب.

(ج) يوافق مستورد البيانات على تقديم الحد الأدنى من المعلومات المسموح بها عند الرد على طلب الكشف، استنادًا إلى تفسير معقول للطلب.

القسم الرابع – الأحكام النهائية

البند 16

عدم الامتثال للبنود والإنهاء

(أ) يجب على مستورد البيانات إخطار مصدر البيانات فورًا إذا لم يتمكن من الامتثال لهذه البنود، لأي سبب كان.

(ب) في حالة إخلال مستورد البيانات بهذه البنود أو عدم قدرته على الامتثال لها، يجب على مصدر البيانات تعليق نقل البيانات الشخصية إلى مستورد البيانات حتى يتم ضمان الامتثال مرة أخرى أو يتم إنهاء العقد. وهذا دون المساس بالبند 14(و).

(ج) يحق لمصدر البيانات إنهاء العقد، بقدر ما يتعلق بمعالجة البيانات الشخصية بموجب هذه البنود، في الحالات التالية:

i. قام مصدر البيانات بتعليق نقل البيانات الشخصية إلى مستورد البيانات بموجب الفقرة (ب) ولم يُستعاد الامتثال لهذه البنود خلال فترة زمنية معقولة وعلى أي حال خلال شهر واحد من التعليق؛

ii. يكون مستورد البيانات في خرق جسيم أو مستمر لهذه البنود؛ أو

iii. يفشل مستورد البيانات في الامتثال لقرار ملزم صادر عن محكمة مختصة أو سلطة إشرافية فيما يتعلق بالتزاماته بموجب هذه البنود.

في هذه الحالات، يجب عليه إخطار السلطة الإشرافية المختصة بهذا الخرق. إذا شمل العقد أكثر من طرفين، يجوز لمصدر البيانات ممارسة هذا الحق في الإنهاء فقط فيما يتعلق بالطرف المعني، ما لم يتفق الأطراف خلاف ذلك.

(د) يجب أن تُعاد البيانات الشخصية التي تم نقلها قبل إنهاء العقد وفقًا للفقرة (ج)، أو تُحذف بالكامل، حسب اختيار مصدر البيانات، فورًا. وينطبق الشيء ذاته على أي نسخ من البيانات. يجب على مستورد البيانات إثبات حذف البيانات لمصدر البيانات. حتى يتم حذف البيانات أو إعادتها، يجب على مستورد البيانات الاستمرار في ضمان الامتثال لهذه البنود. في حالة القوانين المحلية السارية على مستورد البيانات التي تحظر إعادة البيانات الشخصية المنقولة أو حذفها، يضمن مستورد البيانات أنه سيستمر في ضمان الامتثال لهذه البنود ولن يعالج البيانات إلا بالقدر والمدة المطلوبة بموجب ذلك القانون المحلي.

(هـ) يجوز لأي طرف أن يلغي موافقته على التقيّد بهذه البنود حيثما (ط) تعتمد المفوضية الأوروبية قرارًا بموجب المادة 45(3) من اللائحة (الاتحاد الأوروبي) 2016/679 والذي يشمل نقل البيانات الشخصية التي تنطبق عليها هذه البنود؛ أو (٢) تصبح اللائحة (الاتحاد الأوروبي) 2016/679 جزءًا من الإطار القانوني للبلد الذي يتم نقل البيانات الشخصية إليه. وهذا دون المساس بالالتزامات الأخرى المتعلقة بمعالجة البيانات المنصوص عليها في اللائحة (الاتحاد الأوروبي) 2016/679.

البند 17

القانون الحاكم

تُحكم هذه البنود بقانون دولة عضو في الاتحاد الأوروبي التي يقع فيها مقر مصدر البيانات. عندما لا يسمح ذلك القانون بحقوق المستفيدين من الأطراف الثالثة، تحكم هذه البنود بقانون دولة عضو أخرى في الاتحاد الأوروبي يسمح بهذه الحقوق. يتفق الأطراف على أن يكون هذا القانون هو قانون الدنمارك.

البند 18

اختيار المحكمة والولاية القضائية

(أ) تُحل أي نزاعات ناشئة عن هذه البنود من قبل محاكم دولة عضو في الاتحاد الأوروبي.

(ب) يتفق الأطراف على أن تكون هذه المحاكم هي محاكم الدنمارك.

(ج) يجوز لموضوع البيانات أيضًا رفع دعوى قضائية ضد مصدر البيانات و/أو مستورد البيانات أمام محاكم دولة العضو التي يقيم فيها عادةً.

(د) يوافق الأطراف على الخضوع لولاية هذه المحاكم.

الملحق الأول

أ. قائمة الأطراف

مصدر البيانات. مصدر البيانات هو الزبون، كما هو معرف في الاتفاقية و/أو الطلبات.

مستورد البيانات. مستورد البيانات هو إديانوت، كما هو معرف في الاتفاقية و/أو الطلبات.

ب. وصف النقل

1. فئات مواضيع البيانات التي يتم نقل بياناتها الشخصية:

تشمل مواضيع البيانات ممثلي زبون المصدر للمعلومات والمستخدمين النهائيين، ويشمل ذلك الموظفين، والمقاولين، والبائعين، والعملاء لدى المصدر، حسب حالة الاستخدام.

2. فئات البيانات الشخصية المنقولة:

تشمل البيانات الشخصية المنقولة الأسماء وعناوين البريد الإلكتروني في شكل إلكتروني، وكل ذلك في سياق الخدمات.

3. البيانات الحساسة المنقولة (إذا كان ذلك ممكنًا) والقيود أو الضمانات المطبقة التي تأخذ كامل الاعتبار لطبيعة البيانات والمخاطر المعنية، مثل تحديد الغرض الصارم، والقيود على الوصول (بما في ذلك الوصول فقط للموظفين الذين تلقوا تدريبًا متخصصًا)، وتسجيل الوصول إلى البيانات، والقيود على النقل اللاحق أو تدابير أمنية إضافية:

لا شيء.

4. تكرار النقل (على سبيل المثال، ما إذا كانت البيانات تُنقل مرة واحدة أو بشكل مستمر):

مستمر.

5. طبيعة المعالجة:

معالجة سحابية، وصول بين خوادم عبر واجهة برمجة التطبيقات.

6. غايات نقل البيانات والمعالجة الإضافية:

تسهيل مشاركة الأفكار والابتكار.

7. الفترة التي ستحتفظ خلالها البيانات الشخصية، أو إذا لم يكن ذلك ممكنًا، المعايير المستخدمة لتحديد تلك الفترة:

لمدة شروط استخدام إديانوت.

8. بالنسبة للنقل إلى المعالجات الفرعية، يجب أيضًا تحديد الموضوع والطبيعة والمدة للمعالجة:

طبيعة أي معالجة من قبل المعالجات الفرعية هي لتسهيل الخدمات. المدة هي لمدة شروط استخدام إديانوت بين الزبون وإديانوت.

‍

ج. السلطة الإشرافية المختصة

السلطة الدنماركية لحماية الخصوصية (Datatilsynet)

الملحق الثاني 

التدابير التقنية والتنظيمية بما في ذلك التدابير التقنية والتنظيمية لضمان أمان البيانات

يمكن العثور على تفاصيل التدابير التقنية والتنظيمية المطبقة على خدمات البرمجيات المقدمة من إديانوت للزبون في الملحق ج من اتفاقية معالجة البيانات لإديانوت.

الملحق الثالث

قائمة المعالجات الفرعية

أذن الزبون بإديانوت باستخدام المعالجات الفرعية المفصلة على https://ideanote.io/legal/sub-processors والتي تنطبق على خدمات البرمجيات المقدمة من إديانوت للزّبون.

المرفق 3 - الملحق الخاص بالمملكة المتحدة

في حالات نقل البيانات من وإلى المملكة المتحدة، تنطبق الأحكام التالية، المرفق 3 هذا بجانب البنود التعاقدية القياسية في المرفق 2 من اتفاقية معالجة البيانات لإديانوت.

الجزء 1: الجداول

الجدول 1: الأطراف

تاريخ البدء

­­­تاريخ النفاذ (تصبح هذه الاتفاقية لمعالجة البيانات سارية في تاريخ قبول الزبون إلكترونيًا أو الموافقة بطريقة أخرى على شروط الاستخدام الخاصة بنا). )

الأطراف

المصدر (الذي يرسل النقل المقيد)

المستورد (الذي يستلم النقل المقيد)

تفاصيل الأطراف

الاسم القانوني الكامل يمكن العثور عليه في نموذج الطلب أو حساب مالك مساحة العمل

الاسم التجاري (إذا كان مختلفًا) يمكن العثور عليه في نموذج الطلب أو إعدادات فواتير مساحة العمل.

العنوان الرئيسي (إذا كان عنوان تسجيل الشركة) يمكن العثور عليه في نموذج الطلب أو إعدادات فواتير مساحة العمل.

الرقم الرسمي للتسجيل وأي رقم شركة أو معرف مشابه يمكن العثور عليه في نموذج الطلب أو حساب مالك مساحة العمل

الاسم القانوني الكامل: إديانوت ApS

الاسم التجاري (إن وجد): إديانوت

العنوان الرئيسي: Soengen 1, 2840, Holte

الرقم الرسمي للتسجيل: رقم التعريف الضريبي: DK37118796

جهة الاتصال الرئيسية

المسمى الوظيفي وتفاصيل الاتصال بما في ذلك البريد الإلكتروني يمكن العثور عليها في نموذج الطلب أو حساب مالك مساحة العمل

المسمى الوظيفي: مسؤول معالجة البيانات

تفاصيل الاتصال بما في ذلك البريد الإلكتروني: DPO@ideanote.io

الجدول 2: البنود، الوحدات والبنود المختارة

إضافة إلى البنود التعاقدية القياسية للاتحاد الأوروبي

إصدار البنود التعاقدية القياسية المعتمدة للاتحاد الأوروبي المدرجة أعلاه، التي يُلحَق بها هذا الملحق.

الجدول 3: معلومات الملحق

"معلومات الملحق" تعني المعلومات التي يجب توفيرها للوحدات المختارة كما هو موضح في ملحق البنود التعاقدية القياسية المعتمدة للاتحاد الأوروبي (بخلاف الأطراف)، والمحددة لهذا الملحق في اتفاقية معالجة البيانات أعلاه.

الجدول 4: إنهاء هذا الملحق عند تغير الملحق المعتمد

إنهاء هذا الملحق عند تغيّر الملحق المعتمد

الأطراف التي قد تنهي هذا الملحق:

المستورد والمصدر

الجزء 2: البنود الإلزامية

الدخول في هذا الملحق

(أ.) يوافق كل طرف على الالتزام بالشروط والأحكام المنصوص عليها في هذا الملحق، مقابل موافقة الطرف الآخر أيضًا على الالتزام به.

(ب.) على الرغم من أن الملحق 1أ والبند 7 من البنود التعاقدية القياسية المعتمدة للاتحاد الأوروبي تتطلب التوقيع من قبل الأطراف، للاستخدام لأغراض النقل المقيد، يمكن للأطراف الدخول في هذا الملحق بأي وسيلة تجعلهم ملزمين قانونيًا وتسمح لموضوعات البيانات بإنفاذ حقوقهم كما هو محدد في هذا الملحق. سيكون للدخول في هذا الملحق نفس الأثر المترتب على توقيع البنود التعاقدية القياسية المعتمدة للاتحاد الأوروبي وأي جزء منها.

تفسير هذا الملحق

(أ.) عندما يستخدم هذا الملحق مصطلحات معرّفة في البنود التعاقدية القياسية المعتمدة للاتحاد الأوروبي، يجب أن تحمل هذه المصطلحات نفس المعنى. بالإضافة إلى ذلك، للمصطلحات التالية المعاني التالية:

الملحق

إضافة نقل البيانات الدولي التي تتكون من هذا الملحق الذي يدمج البنود التعاقدية القياسية للاتحاد الأوروبي.

البنود التعاقدية القياسية للاتحاد الأوروبي

الإصدار (الإصدارات) من البنود التعاقدية القياسية المعتمدة للاتحاد الأوروبي التي يُلحَق بها هذا الملحق، كما هو موضح في الجدول 2، بما في ذلك معلومات الملحق.

معلومات الملحق

كما هو محدد في الجدول 3.

الضمانات المناسبة

مستوى الحماية للبيانات الشخصية وحقوق موضوعات البيانات، المطلوب بموجب قوانين حماية البيانات في المملكة المتحدة عند إجراء نقل محدود يعتمد على البنود التعاقدية القياسية بموجب المادة 46(2)(د) من النظام العام لحماية البيانات في المملكة المتحدة.

الملحق المعتمد

نموذج الملحق الصادر عن مكتب مفوض المعلومات وتم عرضه أمام البرلمان وفقًا لقسم 119إ من قانون حماية البيانات 2018 في 2 فبراير 2022، كما يتم تعديله بموجب القسم 18

البنود التعاقدية القياسية المعتمدة للاتحاد الأوروبي

البنود التعاقدية القياسية التي وضعها قرار تنفيذ المفوضية (الاتحاد الأوروبي) 2021/914 بتاريخ 4 يونيو 2021.

مكتب مفوض المعلومات

مفوض المعلومات.

النقل المقيد

نقل يقع تحت الفصل الخامس من نظام حماية البيانات الخاص بالمملكة المتحدة.

المملكة المتحدة

المملكة المتحدة لبريطانيا العظمى وأيرلندا الشمالية.

قوانين حماية البيانات في المملكة المتحدة

جميع القوانين المتعلقة بحماية البيانات، ومعالجة البيانات الشخصية، والخصوصية و/أو الاتصالات الإلكترونية السارية في المملكة المتحدة وقتًا بعد وقت، بما في ذلك نظام حماية البيانات في المملكة المتحدة وقانون حماية البيانات 2018.

نظام حماية البيانات في المملكة المتحدة

كما هو معرف في القسم 3 من قانون حماية البيانات 2018.

(ب.) يجب تفسير هذا الملحق دائمًا بطريقة تتوافق مع قوانين حماية البيانات في المملكة المتحدة وتفي بالتزام الأطراف بتوفير الضمانات المناسبة.

(ج.) إذا عدلت الأحكام المضمنة في البنود التعاقدية القياسية للاتحاد الأوروبي المرفقة بأي طريقة غير مسموح بها بموجب تلك البنود أو الملحق المعتمد، فلن تُدرج هذه التعديلات في هذا الملحق وسيتم استبدالها بالبند المكافئ في البنود الأصلية.

(د.) إذا كان هناك أي تناقض أو تعارض بين قوانين حماية البيانات في المملكة المتحدة وهذا الملحق، تُطبق قوانين حماية البيانات في المملكة المتحدة.

(هـ.) إذا كان معنى هذا الملحق غير واضح أو له أكثر من معنى واحد، يُطبق المعنى الذي يقترب أكثر من قوانين حماية البيانات في المملكة المتحدة.

(و.) أي إشارات إلى التشريعات (أو أحكام محددة من التشريعات) تعني تلك التشريعات (أو الأحكام المحددة) كما قد تتغير مع مرور الوقت. يشمل ذلك عندما يتم دمج تلك التشريعات (أو الأحكام المحددة) أو إعادة صياغتها و/أو استبدالها بعد دخول هذا الملحق حيز التنفيذ.

التسلسل الهرمي

(أ.) على الرغم من أن البند 5 من البنود التعاقدية القياسية المعتمدة للاتحاد الأوروبي ينص على أن تلك البنود تسود على جميع الاتفاقات المتعلقة بين الأطراف، يتفق الأطراف على أن التسلسل الهرمي في القسم 10 هو السائد للنقل المقيد.

(ب.) عندما يكون هناك أي تناقض أو تعارض بين الملحق المعتمد والبنود التعاقدية القياسية للاتحاد الأوروبي (حسب الاقتضاء)، يتفوق الملحق المعتمد على البنود التعاقدية القياسية، إلا عندما تتضمن البنود التعاقدية القياسية مصطلحات توفر حماية أكبر لموضوعات البيانات، ففي هذه الحالة تسود تلك المصطلحات على الملحق المعتمد.

(ج.) عندما يدمج هذا الملحق البنود التعاقدية القياسية للاتحاد الأوروبي التي تم إبرامها لحماية النقل الخاضع للائحة العامة لحماية البيانات (EU) 2016/679، يقر الأطراف بأن هذا الملحق لا يؤثر على تلك البنود.

دمج وتعديلات البنود التعاقدية القياسية للاتحاد الأوروبي

يدمج هذا الملحق البنود التعاقدية القياسية للاتحاد الأوروبي مع تعديلها بالقدر اللازم بحيث:

(أ.) تعمل معًا من أجل النقل الذي يقوم به مصدر البيانات إلى مستورد البيانات، بالقدر الذي تنطبق فيه قوانين حماية البيانات في المملكة المتحدة على معالجة مصدر البيانات عند إجراء ذلك النقل، وتوفر ضمانات مناسبة لتلك النقلات؛

(ب.) يتجاوز القسم 9 إلى 11 البند 5 (التسلسل الهرمي) من البنود التعاقدية القياسية؛ و

(ج.) يكون هذا الملحق (بما في ذلك البنود التعاقدية القياسية المدمجة فيه) (1) محكومًا بقوانين إنجلترا وويلز و(2) أي نزاع ينشأ منه يتم حله بواسطة محاكم إنجلترا وويلز، في كلتا الحالتين ما لم يتم اختيار القوانين و/أو المحاكم في اسكتلندا أو أيرلندا الشمالية صراحةً من قبل الأطراف.

ما لم يتفق الأطراف على تعديلات بديلة تلبي متطلبات القسم 12، تنطبق أحكام القسم 15.

لا يجوز إجراء تعديلات على البنود التعاقدية القياسية المعتمدة للاتحاد الأوروبي بخلاف تلك التي تلبي متطلبات القسم 12.

التعديلات التالية على البنود التعاقدية القياسية للاتحاد الأوروبي (لغرض القسم 12) هي كما يلي:

(أ.) تشير "البنود" إلى هذا الملحق، الذي يدمج البنود التعاقدية القياسية للاتحاد الأوروبي؛

(ب.) في البند 2، حذف الكلمات:

"و، فيما يتعلق بنقل البيانات من المتحكمين إلى المعالجين و/أو من المعالجين إلى المعالجين، البنود التعاقدية القياسية وفقًا للمادة 28(7) من اللائحة (الاتحاد الأوروبي) 2016/679"؛

(ج.) يتم استبدال البند 6 (وصف النقل) بـ:

"تفاصيل النقل (وخاصة فئات البيانات الشخصية التي يتم نقلها والغرض من نقلها) هي تلك المحددة في الملحق الأول ب حيث تنطبق قوانين حماية البيانات في المملكة المتحدة على معالجة مصدر البيانات عند إجراء ذلك النقل."؛

(د.) يتم استبدال البند 8.7(ط) من الوحدة 1 بـ:

"هي إلى دولة تستفيد من تشريعات كفاية بموجب القسم 17أ من نظام حماية البيانات في المملكة المتحدة التي تغطي النقل اللاحق"؛

(هـ.) يتم استبدال البند 8.8(ط) من الوحدتين 2 و3 بـ:

"النقل اللاحق إلى دولة تستفيد من تشريعات كفاية بموجب القسم 17أ من نظام حماية البيانات في المملكة المتحدة التي تغطي النقل اللاحق؛"

(و.) يتم استبدال الإشارات إلى "اللائحة (الاتحاد الأوروبي) 2016/679"، و"اللائحة (الاتحاد الأوروبي) 2016/679 للبرلمان الأوروبي والمجلس بتاريخ 27 أبريل 2016 بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وحركة تلك البيانات الحرة (اللائحة العامة لحماية البيانات)" و"تلك اللائحة" بـ "قوانين حماية البيانات في المملكة المتحدة". يتم استبدال الإشارات إلى مقالات محددة من "اللائحة (الاتحاد الأوروبي) 2016/679" بالمقال أو القسم المكافئ في قوانين حماية البيانات في المملكة المتحدة؛

(ز.) تمت إزالة الإشارات إلى اللائحة (الاتحاد الأوروبي) 2018/1725؛

(ح.) تم استبدال الإشارات إلى "الاتحاد الأوروبي" و"الاتحاد" و"الاتحاد الأوروبي" و"دولة عضو في الاتحاد الأوروبي" و"الدولة العضو" و"الاتحاد أو الدولة العضو" بـ "المملكة المتحدة"؛

(ط.) تم استبدال الإشارة إلى "البند 12(ج)(ط)" في البند 10(ب)(ط) من الوحدة الأولى بـ "البند 11(ج)(ط)"؛

(ي.) لا يتم استخدام البند 13(أ) والجزء ج من الملحق الأول؛

(ك.) تم استبدال "السلطة الإشرافية المختصة" و"السلطة الإشرافية" بـ "مفوض المعلومات"؛

(ل.) في البند 16(هـ)، تم استبدال الفقرة الفرعية (ط) بـ:

"يضع وزير الدولة اللوائح بموجب القسم 17أ من قانون حماية البيانات 2018 التي تغطي نقل البيانات التي تنطبق عليها هذه البنود؛"؛

(م.) تم استبدال البند 17 بـ:

"تخضع هذه البنود لقوانين إنجلترا وويلز."؛

(ن.) تم استبدال البند 18 بـ:

"يتم حل أي نزاع ناشئ عن هذه البنود من قبل محاكم إنجلترا وويلز. يمكن لموضوع البيانات أيضًا رفع دعاوى قانونية ضد مصدر البيانات و/أو مستورد البيانات أمام محاكم أي بلد في المملكة المتحدة. يوافق الأطراف على الخضوع لولاية تلك المحاكم."