ملحق معالجة البيانات / اس اتش إل جلوبال
Last Updated: 6 June 2023
يتناول ملحق معالجة البيانات / اس اتش إل جلوبال ومرفقاته (المُشار إليه فيما يلي باسم "الملحق) الاتفاقية المبرمة بين الأطراف حول معالجتنا للبيانات الشخصية نيابة عنك بشأن منتجات وخدمات اس اتش إل بموجب شروط وأحكام اس اتش إل بيننا وبينك (يشار إليها أيضًا في هذا الملحق باسم "الاتفاقية").
يعد هذا الملحق مكملاً للاتفاقية ويشكل جزءًا لا يتجزأ منها ويسري عند دمجه فيها، والذي قد يتم تحديده في الاتفاقية أو أمر أو تعديل مبرم للاتفاقية. وفي حالة وجود أي تعارض أو تناقض مع شروط الاتفاقية، فإن هذا الملحق يسود على شروط الاتفاقية في حدود هذا التعارض أو التضارب.
يتبع المصطلح الوارد في الملحق مصطلحات هذه الاتفاقية. أما بالنسبة للمصطلحات غير المحددة بشكل أو أخر في الملحق، ستحمل المعنى المنصوص عليه في الاتفاقية. ولأغراض هذا الملحق، يُشار إلى الشركة باسم "أنت" وسيشار إلى اس اتش إل باسم "نحن" أو "الضمير نا".
1 التعريفات
"المعلومات الشخصية لولاية كاليفورنيا": البيانات الشخصية المشمولة بحماية قانون حماية خصوصية المستهلك في ولاية كاليفورنيا.
"قانون خصوصية المستهلك في ولاية كاليفورنيا": القانون المدني لولاية كاليفورنيا، القسم 1798.100 وما يليه (المعروف أيضًا باسم قانون خصوصية المستهلك في كاليفورنيا لعام 2018).
"المستهلك" و"الأعمال" و"البيع" و"مقدم الخدمة": تحمل هذه المصطلحات المعاني المسندة لها في قانون حماية خصوصية المستهلك.
"وحدة التحكم في البيانات": الشخص أو الكيان أو أي هيئة أخرى تحدد أغراض ووسائل معالجة البيانات الشخصية، وتشمل بالنسبة لجنوب إفريقيا الطرف المسؤول بموجب قانون حماية البيانات الشخصية (POPIA) وفي جمهورية الصين الشعبية، يُقصد بوحدة التحكم في البيانات في جمهورية الصين الشعبية معالج البيانات على النحو التالي المعرفة بموجب قانون حماية المعلومات الشخصية الصيني.
"معالج البيانات": الشخص أو الكيان أو أي هيئة أخرى (بخلاف موظف وحدة التحكم في البيانات) التي تعالج البيانات الشخصية نيابة عن وحدة التحكم في البيانات، والتي تشمل بالنسبة لجنوب إفريقيا، المشغل بموجب قانون حماية المعلومات الشخصي، وبالنسبة لبيانات جمهورية الصين الشعبية المعالج يعني الطرف المفوض على النحو المحدد في حماية المعلومات الشخصية الصيني.
"قوانين حماية البيانات": جميع التشريعات السارية في جميع أنحاء العالم والمتعلقة بحماية البيانات والخصوصية والتي تنطبق على الطرف المسؤول في دور معالجة البيانات الشخصية المعنية بموجب الاتفاقية، بما في ذلك على سبيل المثال لا الحصر قوانين حماية البيانات الأوروبية وملحقاتها أو إعادة صياغتها أو كلاهما معًا أو ما يتممها أو تعديلها بطريقة أخرى من وقت لآخر.
"موضوع البيانات": الفرد الذي تتعلق به البيانات الشخصية.
"أوروبا" الاتحاد الأوروبي أو المنطقة الاقتصادية الأوروبية أو الدول الأعضاء فيها وسويسرا والمملكة المتحدة.
"البيانات الأوروبية": البيانات الشخصية التي تخضع لحماية قوانين حماية البيانات الأوروبية.
"قوانين حماية البيانات الأوروبية": قوانين حماية البيانات السارية في أوروبا، وتشمل: (1) لائحة 2016/679 للبرلمان الأوروبي والمجلس بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وحرية انتقال هذه البيانات (اللائحة العامة لحماية البيانات)؛ (2) الإرشادات 2002/58 / EC بشأن معالجة البيانات الشخصية وحماية الخصوصية في قطاع الاتصالات الإلكترونية؛ و (3) عمليات التنفيذ الوطنية المطبقة لـ (1) و (2) ؛ أو (3) وبالنسبة للمملكة المتحدة أي تشريع وطني ساري يحل محل أو يُحَول القانون المحلي القانون العام لحماية البيانات أو أي قانون آخر يتعلق بالبيانات والخصوصية نتيجة مغادرة المملكة المتحدة للاتحاد الأوروبي؛ (4) قانون حماية البيانات الفيدرالي السويسري بتاريخ 19 يونيو 1992 والمرسوم الخاص به ؛ في كل حالة ، كما يمكن تعديلها، إعادة صياغتها أو استبدالها.
"التعليمات": التعليمات المكتوبة والموثقة الصادرة عن وحدة التحكم في البيانات إلى معالج البيانات، وتوجيه هذه التعليمات لتنفيذ إجراء محدد أو عام فيما يتعلق بالبيانات الشخصية (بما في ذلك على سبيل المثال لا الحصر؛ إبطال الشخصنة والحظر والحذف والتوفر).
"الشركات التابعة المسموح لها": أيًا من شركاتك التابعة التي (1) يُسمح لها باستخدام المنتجات أو الخدمات أو كلاهما وفقًا للاتفاقية، ولكنها لم توقع اتفاقية منفصلة خاصة بها معنا، (2) مؤهلة بصفة وحدة تحكم في البيانات للبيانات الشخصية التي نُعالجها، و(3) تخضع لقوانين حماية البيانات الأوروبية.
"البيانات الشخصية": أي بيانات أو معلومات مقدمة منكم إلى أو التي نجمعها في سياق توفير المنتجات أو الخدمات أو كلاهما والتي تتعلق بفرد على قيد الحياة يمكن تحديد هويته من تلك البيانات، ولكنها تستثني بيانات البحث المجمعة وقياس الأداء.
"خرق البيانات الشخصية" خرقًا للأمان يؤدي إلى التدمير العرضي أو غير القانوني أو الفقد أو التغيير أو الإفصاح غير المصرح به أو الوصول إلى البيانات الشخصية المنقولة أو المخزنة لدينا أو التي نعالجها أو معالجاتنا الفرعية أو كلاهما فيما يتعلق توفير المنتجات أو الخدمات أو كلاهما. ولن يتضمن "خرق البيانات الشخصية" المحاولات أو الأنشطة غير الناجحة التي لا تعرض أمن البيانات الشخصية للخطر، بما في ذلك محاولات تسجيل الدخول غير الناجحة وعمليات الاتصال ومسح المنافذ وهجمات حجب الخدمة وهجمات الشبكات الأخرى على جدران الحماية أو الأنظمة المتصلة بالشبكة.
"قانون حماية المعلومات الشخصية الصيني": قانون حماية المعلومات الشخصية لجمهورية الصين الشعبية والذي يسري اعتبارًا من 1 نوفمبر 2021 وأي قانون أو لائحة أخرى سارية تتعلق بمعالجة المعلومات الشخصية والخصوصية وعلى هذا النحو يتم تعديل أو إعادة صياغة أو استبدال هذا التشريع من وقت لآخر.
"المعلومات الشخصية المشمولة بقانون حماية المعلومات الشخصية الصيني": المعلومات الشخصية المحمية بقانون حماية المعلومات الشخصية الصيني.
"قانون حماية المعلومات الشخصية": قانون حماية المعلومات الشخصية بجنوب إفريقيا لعام 2013 (القانون 4 لعام 2013) وأي قانون أو لائحة سارية أخرى تتعلق بمعالجة المعلومات الشخصية والخصوصية وعلى هذا النحو يتم تعديل أو إعادة صياغة أو استبدال هذا التشريع من وقت لآخر.
"المعلومات الشخصية المشمولة بقانون حماية البيانات الشخصية ": المعلومات الشخصية المحمية بقانون حماية البيانات الشخصية.
"المعالجة": أي عملية أو سلسلة من العمليات التي تتم على البيانات الشخصية، بما في ذلك الجمع أو التسجيل أو التنظيم أو الهيكلة أو التخزين أو التكيف أو التغيير أو الاسترجاع أو التشاور أو الاستخدام أو الإفصاح عن طريق الإرسال أو النشر أو الإتاحة أو المواءمة بطريقة أخرى أو دمج أو تقييد أو محو البيانات الشخصية. كما تفسر المصطلحات "معالجة" و "يُعالج" و "تمت معالجتها" وفقًا لذلك.
"الشركات التابعة لـ اس اتش إل المسموح لها ": الشركات التابعة لاس اتش إل المسموح لها بمعالجة البيانات الشخصية على النحو الذي يحدده موقع المنصة الذي تحدده عند استخدام خدمات اس اتش إل. وفي الرابط أدناه، يتوفر جدول التابعين المعتمدين من اس اتش إل:
https://www.shl.com/legal/shl-permitted-affiliates/ .
"البنود التعاقدية المعيارية": البنود التعاقدية القياسية لمعالجي البيانات المعتمدة وفقًا للقرار الأوروبي: قرار المفوضية (الاتحاد الأوروبي) 2021/914 المؤرخ 4 يونيو 2021، بالصيغة الموضحة في www.shl.com/legal/terms-and-conditions/shl-pre-signed-european-standard-contractual-clauses كما يمكن تعديلها أو استبدالها.
الطرف الثالث المعالج الفرعي": أي معالج بيانات مشترك لدينا أو من خلال الشركات التابعة لنا للمساعدة في الوفاء بالتزاماتنا فيما يتعلق بتوفير المنتجات أو الخدمات أو كلاهما بموجب لجهات خارجية: https://www.shl.com/legal/security-and-compliance/platforms-sub-processors/. الاتفاقية. وفيما يلي القائمة الحالية للمعالجات الفرعية التابعة
2. مسؤوليات الشركة
أ. الامتثال للقوانين. ضمن نطاق الاتفاقية وفي استخدامك للمنتجات أو الخدمات أو كلاهما، تقع على عاتقك مسؤولية الامتثال لجميع المتطلبات التي تنطبق عليك بموجب قوانين حماية البيانات السارية والتعليمات التي تصدرها لنا. لا سيما ولكن دون المساس بعموم ما سبق ، تقر وتوافق على تحمل المسؤولية الحصرية تجاه: (1) دقة ممتلكات الشركة وجودتها وقانونيتها والوسائل التي حصلت من خلالها على البيانات الشخصية؛ (2) الامتثال لجميع متطلبات الشفافية والقانونية اللازمة بموجب قوانين حماية البيانات السارية لجمع البيانات الشخصية واستخدامها، بما في ذلك الحصول على أي موافقات وتصاريح ضرورية؛ (3) تأكيد حقك في نقل البيانات الشخصية إلينا أو توفير الوصول إليها للمعالجة وفقًا لشروط الاتفاقية (بما في ذلك الملحق؛ (4) ضمان امتثال تعليماتك لنا للقوانين السارية بشأن معالجة البيانات الشخصية بما في ذلك قوانين حماية البيانات؛ و(5) الامتثال لجميع القوانين السارية (بما في ذلك قوانين حماية البيانات). إخطارنا دون تأخير ، حال لم تكن قادرًا على الامتثال لمسؤولياتك بموجب هذا البند الفرعي (أ). ب. تعليمات وحدة التحكم في البيانات. يتفق الطرفان على أن الاتفاقية (بالإضافة إلى ملحق معالجة البيانات)، جنبًا إلى جنب مع استخدامك للمنتجات أو الخدمات أو كلاهما وفقًا للاتفاقية، تشكل تعليماتك الكاملة والنهائية إلينا فيما يتعلق بمعالجة البيانات الشخصية، وتتطلب التعليمات الإضافية خارج نطاق التعليمات اتفاقًا مكتوبًا مسبقًا بيننا وبينك.
3. مسؤوليات الشركة
أ. الامتثال للتعليمات. نحن نعالج البيانات الشخصية فقط للأغراض الموضحة في هذا الملحق أو على النحو المتفق عليه بطريقة أخرى في نطاق التعليمات القانونية الخاصة بك، باستثناء متى تطلب القانون ذلك وإلى الحد الذي يتطلبه القانون الساري. ولسنا مسؤولين عن الامتثال لأي قوانين حماية البيانات المطبقة عليك أو على مجال عملك والتي لا تنطبق علينا بشكل عام. وبدورنا سنتعاون مع أي طلب منك للحصول على بيانات شخصية مقدمة من جانبك أو من خلالك إلينا، حسب الاقتضاء، بشرط ألا ينتهك هذا الطلب شروط الاتفاقية. ب. تضارب القوانين. إذا علمنا أنه لا يمكننا معالجة البيانات الشخصية وفقًا لتعليماتك بسبب متطلبات قانونية بموجب أي قانون ساري، فسنقوم (1) بإخطارك على الفور بهذا المطلب القانوني فقط في نطاق وإلى الحد الذي يسمح به القانون الواجب التطبيق؛ و(2) عند الضرورة، إيقاف كل عمليات المعالجة (بخلاف مجرد تخزين البيانات الشخصية المتأثرة والحفاظ عليها) حتى يحين الوقت الذي تصدر فيه تعليمات جديدة يمكننا الامتثال لها. وفي حالة تفعيل هذا البند، فلن نكون مسؤولين تجاهك بموجب الاتفاقية عن أي إخفاق في تقديم أو أداء المنتجات أو الخدمات السارية أو جميع ما سبق حتى يحين الوقت الذي تصدر فيه تعليمات قانونية جديدة للمعالجة. ج. الحماية. سننفذ ونحافظ على برنامج فعال لأمن المعلومات يتضمن: (1) ضمانات إدارية وفنية ومادية و (2) يشمل تدابير تقنية وتنظيمية مناسبة لحماية البيانات الشخصية من انتهاكات البيانات الشخصية، كما هو موضح في المرفق 2 من ملحق معالجة البيانات (المُشار إليها فيما يلي باسم "التدابير الأمنية"). التدابير الأمنية كافية لضمان أمن وسرية البيانات الشخصية وتحمي من: (1) التهديدات أو الأخطار المتوقعة لأمن أو سلامة البيانات الشخصية، (2) الوصول غير المصرح به إلى البيانات الشخصية أو استخدامها، (3) المعالجة غير القانونية أو المعالجة بخلاف ما يتوافق مع الاتفاقية، و (4) الفقد العرضي أو التدمير أو التلف أو التغيير أو الإفصاح عن البيانات الشخصية. وتشمل التدابير الأمنية (كحد أدنى): (1) تنفيذ التدابير المنصوص عليها في تشريع حماية البيانات أو الاتفاقية أو كلاهما؛ (2) اتخاذ خطوات معقولة لضمان موثوقية الأفراد الذين يمكنهم الوصول إلى البيانات الشخصية؛ و (3) تنفيذ والحفاظ على تدابير التخلص المعقولة وتدريب الأفراد الذين يصلون إلى البيانات الشخصية. بغض النظر عن أي حكم مخالف، يجوز لنا تعديل أو تحديث التدابير الأمنية بحسب لتقديرنا؛ شريطة ألا يؤدي هذا التعديل أو التحديث إلى تدهور مادي في الحماية التي توفرها التدابير الأمنية. د. السرية. نضمن أن أي فرد نصرح
له بمعالجة البيانات الشخصية نيابة عنا يخضع لالتزامات السرية المناسبة (سواء كان ذلك واجبًا تعاقديًا أو قانونيًا) فيما يتعلق بتلك البيانات الشخصية. ه. خروقات البيانات الشخصية. نلتزم (1) بإخطارك دون تأخير ، وفي غضون 48 ساعة على الأكثر من علمنا بأي خرق للبيانات الشخصية، وتقديم معلومات في الوقت المناسب تتعلق بخرق البيانات الشخصية كما هو معروف أو مطلوب منك بشكل معقول؛ و (2) عدم إخطار أي طرف ثالث بتدخل البيانات الشخصية للشركة في خرق البيانات الشخصية دون إذن مسبق من الشركة، وعدم حجب هذه الموافقة بشكل غير معقول. وسنحقق على الفور ونتخذ الإجراءات التصحيحية المناسبة للتخفيف من آثار خرق البيانات الشخصية وفقًا للقوانين واللوائح السارية ومعايير الصناعة. وبناءً على طلبك، سنقدم لك (1) المساعدة المعقولة على الفور حسب الضرورة لتمكينك من إبلاغ السلطات المختصة أو الأشخاص المعنيين بالبيانات المتأثرة أو كلاهما بانتهاكات البيانات الشخصية ذات الصلة، في حال مطالبتك بالقيام بذلك بموجب قوانين حماية البيانات؛ و (2) تزويدك بتقرير موجز عن أنشطة التحقيق والعلاج التي قمنا بها.
و. حذف أو إعادة البيانات الشخصية. سنحذف أو نعيد جميع ممتلكات الشركة، بما في ذلك البيانات الشخصية (ونسخها) التي تمت معالجتها وفقًا لملحق معالجة البيانات، بناءً على تعليمات مكتوبة منك، باستثناء أن هذا المطلب لن ينطبق إلى الحد الذي يتطلبه القانون الساري للاحتفاظ ببعض أو كل ممتلكات الشركة أو ممتلكات الشركة المحفوظة على أنظمة النسخ الاحتياطي، والتي سنقوم بعزلها وحمايتها بشكل آمن من أي معالجة أخرى وحذفها وفقًا لممارسات الحذف الخاصة بها.
4. طلبات موضوع البيانات
بناءً على طلبك الكتابي، سنقدم لك مساعدة معقولة للرد على أي طلبات موضوع بيانات أو طلبات من سلطات حماية البيانات فيما يتعلق بمعالجة البيانات الشخصية بموجب الاتفاقية. يجب عليك تعويضنا عن التكاليف المعقولة تجاريًا الناشئة عن هذه المساعدة. إذا تم إرسال طلب موضوع البيانات أو أي اتصال آخر يتعلق بمعالجة البيانات الشخصية بموجب الاتفاقية إلينا مباشرة، فسنقدم ردودنا الموحدة والاعتيادية على موضوع البيانات والتي ستنصح صاحب البيانات بإرسال طلبها إليك. وتتحمل المسؤولية الفردية عن الرد بشكل جوهري على أي طلبات أو اتصالات متعلقة بموضوع البيانات تتضمن بيانات شخصية.
5. المعالجون الفرعيون
توافق على أنه يجوز لنا إشراك معالجات فرعية تابعة لجهات خارجية وشركات تابعة معتمدة من اس اتش إل (يشار إليها معًا باسم "المعالجون الفرعيون") لمعالجة البيانات الشخصية نيابة عنك. وسنبلغك حال أضفنا أو أزلنا المعالجين الفرعيين قبل أي تغييرات من هذا القبيل، وفي حال اخترت تلقي إشعارات البريد الإلكتروني هذه عن طريق إكمال النموذج المتاح على الرابط https://www.shl.com/legal/security-and-compliance/. وفي حالة الاستعانة بمعالجين فرعيين؛ سنفرض شروط حماية البيانات التي توفر على الأقل نفس مستوى الحماية للبيانات الشخصية كتلك الواردة في ملحق معالجة البيانات (بما في ذلك، عند الاقتضاء، البنود التعاقدية القياسية)، إلى الحد الذي ينطبق على طبيعة الخدمات المقدمة من هؤلاء المعالجون الفرعيون. وسنظل مسؤولين عن امتثال كل معالج فرعي لالتزامات هذا الملحق وعن أي أفعال أو إغفالات من هذا المعالج الفرعي والتي تجعلنا نخرق أيًا من التزاماته بموجب هذا الملحق.
6. نقل البيانات
تقر وتوافق على أنه يجوز لنا الوصول إلى البيانات الشخصية ومعالجتها على أساس عالمي حسب الضرورة لتوفير المنتجات أو الخدمات أو كلاهما وفقًا للاتفاقية، ولا سيما، نقل البيانات الشخصية ومعالجتها من قبل اس اتش إل في ولايات قضائية أخرى حيث تتضمن أعمالًا للمعالجين الفرعيين. ونضمن إجراء عمليات النقل هذه وفقًا لمتطلبات قوانين حماية البيانات.
7. أحكام إضافية للبيانات الأوروبية
أ. نطاق البند 7. ينطبق بند "الأحكام الإضافية للبيانات الأوروبية" هذا فقط فيما يتعلق بالبيانات الأوروبية.
ب. أدوار الأطراف. عند معالجة البيانات الأوروبية وفقًا لتعليماتك، يقر الطرفان ويوافقان على أنك وحدة تحكم في البيانات بالنسبة للبيانات الأوروبية وأننا معالجو البيانات.
ج. تعليمات. إذا اعتقدنا أن تعليماتك تنتهك قوانين حماية البيانات الأوروبية (حيثما ينطبق ذلك)، فسنعلمك دون تأخير، فقط في نطاق قوانين حماية البيانات الأوروبية وإلى الحد الذي تسمح به قوانين حماية البيانات الأوروبية.
د. الإشعار والاعتراض على المعالجات الفرعية الجديدة. سنبلغك بأي تغييرات تطرأ على المعالجين الفرعيين بوسيلة الإشعار المنصوص عليها في البند 5 من ملحق معالجة البيانات وسنمنحك الفرصة للاعتراض على مشاركة المعالج الفرعي الجديد لأسباب معقولة تتعلق بحماية البيانات الشخصية في غضون 30 يومًا بعد تقديم هذا الإشعار. وفي حال إبلاغك لنا بمثل هذا الاعتراض، فسيقوم الطرفان بمناقشة مخاوفك بحسن نية بهدف التوصل إلى حل معقول تجاريًا. وإذا تعذر الوصول إلى مثل هذا القرار، فسنقوم-وفقًا لتقديرنا الخاص-إما بعدم تعيين المعالج الفرعي الجديد، أو السماح لك بتعليق أو إنهاء المنتجات أو الخدمة أو كلاهما والمتأثرة وفقًا لأحكام الإنهاء الواردة في الاتفاقية دون أي مسؤولية. إلى أي من الطرفين (ولكن دون المساس بأي رسوم تتحملها قبل التعليق أو الإنهاء).
ه. تقييمات تأثير حماية البيانات والتشاور مع السلطات الإشرافية. سنقدم لك المساعدة المعقولة، في الحالات التي تكون فيه المعلومات المطلوبة متاحة لنا بشكل معقول، ولا يمكنك الوصول إليها بطريقة أخرى وفي غضون النطاقات الزمنية التي تطلبها بشكل معقول، جنبًا إلى جنب مع أي تقييمات لتأثير حماية البيانات وقبل التشاور مع السلطات الإشرافية أو غيرها من سلطات خصوصية البيانات المختصة إلى الحد الذي يستلزمه قوانين حماية البيانات الأوروبية.
و. آليات نقل البيانات لناقلي البيانات
(أ) لا يجوز لـ اس اتش إل نقل البيانات الأوروبية إلى أي بلد أو مستلم غير معترف به على أنه يوفر مستوى مناسبًا من الحماية للبيانات الشخصية (بالمعنى المقصود في قوانين حماية البيانات الأوروبية السارية)، ما لم تتخذ أولاً جميع الإجراءات الضرورية لضمان توافق النقل مع قوانين حماية البيانات الأوروبية السارية. وقد تشمل هذه التدابير (على سبيل المثال لا الحصر) نقل هذه البيانات إلى مستلم مشمول بإطار عمل مناسب أو آلية نقل أخرى مناسبة قانونًا معترف بها من السلطات أو المحاكم ذات الصلة على أنها توفر مستوى مناسبًا من الحماية للبيانات الشخصية، إلى مستلم حاصل على ترخيص قواعد الشركة الملزمة وفقًا لقوانين حماية البيانات الأوروبية، أو إلى المستلم الذي نفذ البنود التعاقدية القياسية المناسبة في كل حالة على النحو المعتمد أو المعتمد وفقًا لقوانين حماية البيانات الأوروبية السارية.
(ب) يقر الطرفان ويوافقان على ما يلي:
(1) البنود التعاقدية القياسية: توافق اس اتش إل على الالتزام بالبيانات الأوروبية ومعالجتها بما يتوافق مع البنود التعاقدية القياسية. دخلت مجموعة اس اتش إل في اتفاقية مبرمة بين المجموعات تتضمن البنود التعاقدية القياسية لمعالجة البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية. وبناءً على طلب الشركة، تدخل اس اتش إل والشركات التابعة لـ اس اتش إل المسموح لها، في البنود التعاقدية القياسية بصفتهما وكيل نيابة عن الشركة لنقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية.
(2) يتفق الطرفان على (1) لأغراض الأوصاف الواردة في البنود التعاقدية القياسية فقط، تُعد" اس اتش إل "جهة استيراد البيانات" بينما تُعد الشركة "جهة تصدير البيانات" (على الرغم من إمكانية تواجدك بنفسك خارج أوروبا أو العمل بصفتك معالجًا نيابة عن الطرف الثالث المتحكم في البيانات أو كلاهما)؛ و(2) في حالة تعارض البنود التعاقدية القياسية (عند الاقتضاء) مع أي حكم من أحكام اتفاقية حماية البيانات هذه وإلى الحد الذي يتم فيه التعارض ، تسود البنود التعاقدية القياسية إلى حد هذا التعارض.
ز. تأكيد الامتثال. سنوفر جميع المعلومات ضرورية بشكل معقول لإثبات الامتثال للالتزامات المنصوص عليها في المادة 29 (المعالج) من القانون العام لحماية البيانات. وتقر وتوافق على استخدام شهادة معيار أمن المعلومات " ISO 27001 "الحالية الخاصة بنا لتلبية أي طلبات تدقيق أو فحص من جانبك أو نيابة عنك، وسنوفر هذه التقارير لك عند الطلب. علاوة على ذلك، بناءً على طلبك المكتوب، سنقدم ردودًا مكتوبة (على أساس سري) لجميع الطلبات المعقولة للحصول على المعلومات التي قدمتها والضرورية لتأكيد امتثالنا لـهذا الملحق، بشرط ألا تمارس هذا الحق أكثر من مرة واحدة في السنة.
8. أحكام إضافية للمعلومات الشخصية في ولاية كاليفورنيا
أ. نطاق البند 8. ينطبق قسم "الأحكام الإضافية للمعلومات الشخصية لولاية كاليفورنيا" من ملحق معالجة البيانات فقط فيما يتعلق بالمعلومات الشخصية لولاية كاليفورنيا.
ب. أدوار الأطراف. عند معالجة معلومات كاليفورنيا الشخصية وفقًا لتعليماتك، يقر الطرفان ويوافقان على أنك شركة تجارية وأننا مقدم خدمة لأغراض قانون خصوصية المستهلك في كاليفورنيا.
ج. المسؤوليات. يتفق الطرفان على أننا سنعالج معلومات كاليفورنيا الشخصية بصفتنا مقدم خدمة بشكل صارم لغرض أداء المنتجات أو الخدمات أو كلاهما بموجب الاتفاقية (المُشار إليه فيما يلي باسم "الغرض التجاري") أو على النحو الذي تسمح به قانون حماية خصوصية المستهلك.
9. أحكام إضافية للمعلومات الشخصية المحمية بقانون حماية المعلومات الشخصية
أ. نطاق البند 9. ينطبق قسم "الأحكام الإضافية للمعلومات الشخصية المحمية بموجب قانون حماية المعلومات الشخصية" من ملحق معالجة البيانات فيما يتعلق بالمعلومات الشخصية المحمية بموجب قانون حماية المعلومات الشخصية.
ب. أدوار الأطراف. عند معالجة معلومات الشخصية المحمية بموجب قانون حماية المعلومات الشخصية وفقًا لتعليماتك، ويقر الطرفان ويوافقان على أنك الطرف المسؤول وأن اس اتش إل هي المشغل لأغراض قانون حماية المعلومات الشخصية.
ج. المسؤوليات. يتفق الطرفان على أن اس اتش إل ستعالج المعلومات الشخصية المحمية بموجب قانون حماية المعلومات الشخصية باعتبارها المشغل بشكل صارم لغرض توفير المنتجات أو الخدمات أو كلاهما بموجب الاتفاقية (المُشار إليه فيما يلي باسم "الغرض التجاري") أو كما هو مسموح بموجب قانون حماية المعلومات الشخصية.
10. أحكام إضافية للمعلومات الشخصية المحمية بقانون حماية المعلومات الشخصية الصيني
أ. نطاق البند 10. ينطبق قسم "الأحكام الإضافية للمعلومات الشخصية المحمية بقانون حماية المعلومات الشخصية الصيني" في ملحق معالجة البيانات فقط فيما يتعلق بالمعلومات الشخصية المحمية بقانون حماية المعلومات الشخصية الصيني.
ب. أدوار الأطراف. عند معالجة المعلومات الشخصية المحمية بقانون حماية المعلومات الشخصية الصيني وفقًا لتعليماتك، تقر الأطراف وتوافق على أنك معالج البيانات وأن اتش اس إل هي الطرف المفوض لأغراض قانون حماية المعلومات الشخصية الصيني.
ج. المسؤوليات. يتفق الطرفان على أن شركة اس اتش إل ستعالج المعلومات الشخصية المحمية بقانون حماية المعلومات الشخصية الصيني بصفتها الطرف المفوض بشكل صارم لغرض توفير المنتجات أو الخدمات أو كلاهما بموجب الاتفاقية (المُشار إليه فيما يلي باسم "الغرض التجاري") أو على النحو الذي يسمح به قانون حماية المعلومات الشخصية الصيني.
11. أحكام عامة
أ. التعديلات. بصرف النظر عن أي شيء آخر يتعارض مع ذلك في الاتفاقية ودون المساس ببندي "الامتثال للتعليمات" أو "الأمان" في هذا الملحق، فإننا نحتفظ بالحق في إجراء أي تحديثات وتغييرات على ملحق معالجة البيانات.
ب. الاستقلالية. في حالة تحديد أي أحكام فردية من هذا الملحق على أنها غير صالحة أو غير قابلة للتنفيذ، فلن تتأثر صلاحية وقابلية تنفيذ الأحكام الأخرى للملحق.
ج. تحديد المسؤولية. وفقًا للاتفاقية، تقتصر المسؤولية الإجمالية لشركة اس اتش إل الناشئة عن خرقها لالتزاماتها بصفتها معالج بيانات بموجب هذا الملحق على المبلغ المنسوب مباشرةً إلى إجراءات اس اتش إل أو عدم الامتثال لهذا الملحق في توفير المنتجات أو أداء الخدمات أو كلاهما. ويُعد ما يلي أضرارًا مباشرة قابلة للاسترداد بموجب الاتفاقية إلى الحد الذي ينتج بشكل مباشر عن خرج اس اتش إل لهذا الملحق: (1) أي تكاليف ونفقات تتحملها للتحقيق في تلف البيانات الشخصية وإصلاحها؛ (2) أي تكاليف تتحملها فيما يتعلق بالإشعارات المطلوبة قانونًا؛ (3) الغرامات والعقوبات والفوائد المقدرة عليك بسبب الانتهاك؛ و(4) أتعاب المحاماة المعقولة.
د. القانون الساري. يخضع هذا الملحق ويُفسر وفقًا للقوانين والاختصاص القضائي المنصوص عليه في الاتفاقية ما لم يكن مطلوبًا بخلاف ذلك بموجب ملحق معالجة البيانات.
12. أطراف هذا الملحق
الشركات التابعة المسموح لها. بتوقيعك على الاتفاقية، تبرم هذا الملحق بالأصالة عن نفسك، وبالقدر المطلوب بموجب القوانين السارية لحماية البيانات، باسم الشركات التابعة المسموح لها وبالنيابة عنها، وبالتالي إنشاء ملحق منفصل بيننا وبين كل شركة تابعة المسموح لها بالاتفاقية و "الأحكام العامة" وبنود "أطراف هذا الملحق" الواردة في هذا الملحق. وتوافق كل شركة تابعة مسموح لها على الالتزام بالمسؤوليات المنصوص عليها في هذا الملحق، وإلى الحد الذي يمكن تطبيقه في الاتفاقية. ولأغراض هذا الملحق فقط، وما لم يُذكر خلاف ذلك، فإن مصطلحات "الشركة" و "أنت" و "والضمير ك" ستشملك أنت والشركات التابعة المسموح لها.
ب. التفويض. يقر الكيان القانوني الذي يوافق على هذا الملحق بصفته الشركة أنه مخول بالموافقة على هذا الملحق وإبرامه والدخول فيه بالأصالة عن نفسه، وإن أمكن، كل من الشركات التابعة المسموح بها.
سبل الانتصاف. باستثناء الحالات التي تتطلب فيها قوانين حماية البيانات السارية أن تقوم شركة تابعة مصرح لها بممارسة حق أو السعي في الحصول على أي تعويض بنفسها بموجب هذا الملحق ضدنا مباشرة، يتفق الطرفان على أن (1) كيان الشركة الوحيد الذي هو الطرف المتعاقد في الاتفاقية سيمارس أي حق أو يسعى إلى الحصول على أي تعويض قد يكون لدى أي شركة تابعة مسموح لها بموجب هذا الملحق نيابةً عن الشركات التابعة لها، و(2) يمارس كيان الشركة الذي هو الطرف المتعاقد في الاتفاقية أي حقوق من هذا القبيل بموجب هذا الملحق ليس بشكل منفصل لكل شركة تابعة مسموح لها على حدة ولكن بطريقة مجمعة لنفسها وجميع الشركات التابعة المسموح بها معًا. يكون كيان الشركة الذي يمثل الكيان المتعاقد مسؤولاً عن تنسيق جميع الاتصالات معنا بموجب هذا الملحق ويحق له إجراء واستلام أي اتصالات تتعلق بهذا الملحق هذا نيابةً عن الشركات التابعة لها المسموح لها.
الحقوق الأخرى. يتفق الطرفان على أنك ستقوم، عند مراجعة امتثالنا لهذا الملحق وفقًا لقسم "تأكيد الامتثال"، باتخاذ جميع التدابير المعقولة للحد من أي تأثير علينا وعلى الشركات التابعة لنا من خلال الجمع بين العديد من طلبات التدقيق التي تتم نيابة عن كيان الشركة وهي الطرف المتعاقد في الاتفاقية وجميع الشركات التابعة المسموح لها في تدقيق واحد.
المرفق 1 من ملحق معالجة البيانات-تفاصيل البيانات
يُشكل هذا المرفق جزءًا من الملحق
1. موضوع المعالجة
منتجات وخدمات اس اتش إل، وهي خدمات تقييم المواهب.
2. طبيعة البيانات والغرض منها
سنعالج البيانات الشخصية عند الضرورة لتوفير المنتجات أو الخدمات أو كلاهما وفقًا للاتفاقية، كما هو محدد في نموذج الطلب، ووفقًا لتعليماتك الإضافية في استخدامك للمنتجات أو الخدمات أو كلاهما.
يخضع موضوع البيانات للتقييم باستخدام أنظمة التقييم عبر الإنترنت الخاصة بـ اس اتش إل. وتُقدر استجابات التقييم لإعداد تقرير تقييم بالنتائج المقدمة من اس اتش إل إلى الشركة. ويجوز لشركة اس اتش إل إجراء استبيانات أو عمليات معالجة أخرى بناءً على طلب الشركة. وتستطيع الشركة الوصول إلى بيانات المرشح، بما في ذلك نتائج التقييم وواجهة النظام الأساسي.
3. مدة المعالجة
مع مراعاة قسم "حذف البيانات الشخصية أو استعادتها" في هذا الملحق، سنعالج البيانات الشخصية طوال مدة الاتفاقية، ما لم يتم الاتفاق على خلاف ذلك كتابةً.
4. فئات موضوعات البيانات
يجوز لك وللمستخدمين النهائيين إرسال بيانات شخصية أثناء استخدام المنتجات أو الخدمات أو كلاهما، والتي تحدد أنت أو هم نطاقها وتتحكم فيها وفقًا لتقديرك أو تقديرهم الخاص، والتي قد تشمل، على سبيل المثال لا الحصر، البيانات الشخصية المتعلقة بالفئات التالية من موضوعات البيانات:
المرشحين للتوظيف في الشركة أو الموظفين أو كلاهما.
5. فئات البيانات الشخصية
يجوز لك وللمستخدمين النهائيين إرسال بيانات شخصية أثناء استخدام المنتجات أو الخدمات أو كلاهما، والتي تحدد نطاقها وتتحكم فيها أنت أو هم وفقًا لتقديرك أو تقديرهم الخاص، والتي قد تشمل على سبيل المثال لا الحصر الفئات التالية من بيانات شخصية:
- الاسم وعنوان البريد الإلكتروني والجنس واللغة ومعرف الشركة والمعلومات الديموغرافية للموظف والردود على التقييمات أو أو الخدمات أو كلاهما
- أي بيانات شخصية أخرى تطلبها أو تقدمها أو ترسلها أو تتلقاها أو المستخدمون النهائيون لديك، أثناء استخدام المنتجات أو الخدمات أو كلاهما.
6. الفئات الخاصة للبيانات (إن أمكن)
لا يتوقع الأطراف نقل فئات خاصة من البيانات.
7. عمليات المعالجة
تخضع معالجة البيانات الشخصية وفقًا للاتفاقية (بالإضافة إلى الملحق) لأنشطة المعالجة التالية:
- التخزين والمعالجة الأخرى اللازمة لتوفير وصيانة وتحسين المنتجات أو الخدمات المقدمة لك أو كلاهما.
- الإفصاح وفقًا للاتفاقية (بما في ذلك الملحق) والقوانين السارية المفروضة أو كلاهما.
المرفق 2 من الملحق، التدابير الأمنية
نلاحظ حاليًا الإجراءات الأمنية الموضحة في سياسة أمن المعلومات الخاصة بـ اس اتش إل والمتوفرة هنا
: https://www.shl.com/legal/security-and-compliance/information-security/