يكمل ملحق حماية البيانات هذا ("الملحق") الشروط والأحكام الواردة في الاتفاقية الرئيسية وهو مدمج فيها. في حالة وجود تعارض بين هذا الملحق وأي اتفاقية أخرى بين الطرفين بشأن المسائل المنصوص عليها في هذا الملحق، يسري العمل بهذا الملحق.
ملحق حماية البيانات
1. التعريفات
1.1. تحمل المصطلحات غير المعرّفة هنا المعاني المنصوص عليها في اتفاقية الخدمات الرئيسية. تحمل الكلمات التالية في هذا الملحق المعاني التالية:
1.2. "المستخدم المصرح له" يعني الفرد الذي يسمح له العميل والذي قد يشمل إما أو موظف العميل و/أو مقاوله بالوصول إلى النظام الأساسي واستخدامه نيابة عن العميل، وفقًا لتنفيذ الاتفاقية الرئيسية.
1.3. "CCPA" يعني قانون خصوصية المستهلك في كاليفورنيا.
1.4. "بيانات العميل"تعني أي بيانات شخصية أو معلومات شخصية تتعلق بأي مستخدم مصرح له أو شخص طبيعي يمكن تحديده يتم نقلها أو معالجتها أو تخزينها بواسطة Globalization Partners نيابة عن العميل لاستخدام النظام الأساسي من قبل العميل.
1.5. "قوانين حماية البيانات" تعني أي قوانين لحماية البيانات والخصوصية يخضع لها طرف في هذه الاتفاقية والتي تنطبق على الخدمات المقدمة، بما في ذلك، عند الاقتضاء، على سبيل المثال لا الحصر، اللائحة العامة لحماية البيانات، واللائحة العامة لحماية البيانات في المملكة المتحدة، وقوانين الخصوصية الأمريكية (بما في ذلك قوانين الولاية والقوانين الفيدرالية) وقانون حماية البيانات الشخصية في سنغافورة.
1.6. "اللائحة العامة لحماية البيانات" تعني اللائحة العامة لحماية البيانات (الاتحاد الأوروبي) 2016/679 و/أو اللائحة العامة لحماية البيانات في المملكة المتحدة.
1.7. "EEA" تعني المنطقة الاقتصادية الأوروبية.
1.8. "اللوائح التنظيمية لمراقبة البيانات الخاصة بالاتحاد الأوروبي" تعني البنود التعاقدية القياسية لنقل البيانات الشخصية إلى دول ثالثة وفقًا للائحة (الاتحاد الأوروبي) 2016/679 الصادرة عن البرلمان الأوروبي والمجلس المعتمد بموجب القرار التنفيذي للمفوضية الأوروبية (الاتحاد الأوروبي) 2021/914 الصادر عن 4 2021 يونيو.
1.9. "خدمات EOR" تعني صاحب العمل الذي يقدم خدمات السجلات التي سيقدمها Globalization Partners إلى العميل وفقًا للاتفاقية الرئيسية.
1.10. "الاتفاقية الرئيسية" تعني الاتفاقية المبرمة بين العميل وشركاء Globalization Partners لتقديم خدمات EOR.
1.11. "المنصة" تعني البرامج المملوكة Globalization Partners، بما في ذلك على سبيل المثال لا الحصر، البرنامج وإصدار الهاتف المحمول وأي برامج واردة فيه وأي بيانات يتم توفيرها من خلال استخدام أي من البرامج المملوكة Globalization Partners أو خدمات الأطراف الثالثة، بما في ذلك تحديثاتهم وترقياتهم ومنصة كخدمة ووثائق يرد وصفها في https://www.globalization-partners.com/goglobal/.
1.12. "ملحق المملكة المتحدة" يعني ملحق نقل البيانات الدولي للمملكة المتحدة للبنود التعاقدية القياسية للاتحاد الأوروبي الصادرة عن مفوض المعلومات في المملكة المتحدة والمرفقة بهذه الوثيقة باسم الملحق الرابع.
1.13. "المراقب" و"صاحب البيانات" و"البيانات الشخصية" و"المعلومات الشخصية" و"اختراق البيانات" و"المعالج" و"المعالجة/المعالجة" و"النقل المقيد" و"مقدم الخدمة" و/أو أي مصطلحات ومفاهيم أخرى مماثلة تحمل المعاني المحددة لها في قوانين حماية البيانات
2. علاقة الأطراف والأدوار
2.1. أدوار الأطراف وتفاصيل المعالجة. يقوم Globalization Partners بمعالجة البيانات الشخصية كمراقب مستقل عندما يقدم Globalization Partners خدمات EOR. لن يقوم الطرفان بأي حال من الأحوال بمعالجة البيانات الشخصية بموجب هذا الملحق كمراقبين مشتركين. عندما يعمل Globalization Partners كمراقب مستقل، يجب على Globalization Partners الامتثال لالتزامات المراقب بموجب قوانين حماية البيانات عند معالجة البيانات الشخصية ويجب عليهم معالجة البيانات الشخصية كما هو موضح في سياسة خصوصية Globalization Partners المتاحة على https://www.globalization-partners.com/privacy-policy/. يمتثل العميل لالتزاماته بموجب قوانين حماية البيانات عند معالجة البيانات الشخصية بصفته مراقبًا. إلى الحد الذي يعمل فيه Globalization Partners كمعالج أثناء معالجة بيانات العميل، يجب تنفيذ هذه المعالجة وفقًا للقسم 3 ("معالجة البيانات الشخصية") أدناه.
2.2. المسؤوليات والإقرارات. يجوز لكل طرف معالجة البيانات الشخصية بموجب هذا الملحق فيما يتعلق بالبيانات الشخصية كمراقبي بيانات مستقلين. يوافق الطرفان على الامتثال لالتزامات كل منهما ومعالجة أي بيانات شخصية بشكل عادل وقانوني وفقًا لهذا الملحق وجميع قوانين حماية البيانات المعمول بها في عمليات معالجة البيانات الشخصية لهذا الطرف. يضمن كل طرف أن معالجته للبيانات الشخصية تقتصر على الغرض من خدمات EOR التي يقدمها Globalization Partners وأنها تستند إلى أساس قانوني للمعالجة القانونية. سيساعد الطرفان بعضهما البعض في الامتثال لالتزامات كل منهما بموجب قوانين حماية البيانات، بما في ذلك، على سبيل المثال لا الحصر، مساعدة بعضهما البعض في حالة حدوث خرق للبيانات، والاستجابة لطلبات الأشخاص موضوع البيانات و/أو الجهات التنظيمية.
3. معالجة البيانات الشخصية
3.1. النطاق. قد يستلزم استخدام النظام الأساسي من جانب العميل وعلاقة إدارة العميل معالجة بيانات العميل من جانب Globalization Partners بصفته المعالج أو مقدم الخدمة نيابة عن العميل.
3.2. التعليمات. يقوم Globalization Partners بمعالجة بيانات العميل وفقًا لتعليمات العميل الموثقة. يوافق العميل على أن هذا الملحق والاتفاقية الرئيسية والملحق 1 المرفقين هنا يشكلان تعليمات العميل الكاملة Globalization Partners فيما يتعلق بمعالجة بيانات العميل. يجب الاتفاق على أي تعليمات إضافية أو بديلة بين الطرفين كتابيًا، بما في ذلك التكاليف (إن وجدت) المرتبطة بالامتثال لهذه التعليمات. لا يتحمل Globalization Partners مسؤولية تحديد ما إذا كانت تعليمات العميل متوافقة مع القانون المعمول به. ومع ذلك، إذا رأى Globalization Partners أن تعليمات العميل تنتهك قوانين حماية البيانات المعمول بها، فيجب على Globalization Partners إخطار العميل في أقرب وقت ممكن عمليًا ولا يُطلب منهم الامتثال لهذه التعليمات المخالفة.
3.3. تفاصيل المعالجة. تفاصيل موضوع المعالجة ومدتها وطبيعتها والغرض منها ونوع بيانات العميل وأصحاب البيانات هي كما هو محدد في الملحق 1 المرفق بهذه الوثيقة.
3.4. الامتثال. يوافق العميل Globalization Partners على الامتثال لالتزاماتهم بموجب قوانين حماية البيانات المعمول بها على بيانات العميل التي تتم معالجتها على النحو المحدد في الملحق 1. يتحمل العميل وحده مسؤولية الامتثال لقوانين حماية البيانات فيما يتعلق بمشروعية معالجة بيانات العميل قبل الإفصاح عن أي بيانات عميل أو نقلها أو إتاحتها Globalization Partners. ولتجنب الشك، في جميع الحالات، يحصل العميل، عند الاقتضاء، على أي موافقات من أصحاب البيانات Globalization Partners لمعالجة بيانات العميل وفقًا لتوجيهات العميل.
3.5. المعالجون الفرعيون. يفوض العميل Globalization Partners بتعيين المعالجين ("المعالجين من الباطن") واستخدامهم لمعالجة بيانات العميل فيما يتعلق بالخدمات. قد يشمل المعالجون الفرعيون أطرافًا ثالثة أو أي عضو في مجموعة شركات Globalization Partners. ويجوز Globalization Partners الاستمرار في استخدام هؤلاء المعالجين الفرعيين الذين تم إشراكهم بالفعل من قبل Globalization Partners اعتبارًا من تاريخ هذا الملحق، وتتوفر قائمة بهؤلاء المعالجين الفرعيين في الملحق 3 المرفق أدناه. في حالة إخفاق المعالج الفرعي في الوفاء بالتزاماته المتعلقة بحماية البيانات على النحو المحدد أعلاه، يتحمل Globalization Partners المسؤولية تجاه العميل عن أداء التزامات المعالج الفرعي. يجب على Globalization Partners إخطار العميل بأي تغييرات تطرأ على قائمة المعالجين الفرعيين لديه. إذا اعترض العميل بشكل مشروع، في غضون 10 (عشرة) أيام من استلام هذا الإشعار، على إضافة معالج فرعي أو إزالته لأسباب تتعلق بحماية البيانات ولم يتمكن Globalization Partners من تلبية اعتراض العميل بشكل معقول، فسيناقش الطرفان مخاوف العميل بحسن نية بهدف حل المسألة.
3.6. التدابير الأمنية الفنية والتنظيمية. مع الأخذ في الاعتبار معايير الصناعة، تكاليف التنفيذ، الطبيعة، النطاق، سياق المعالجة وأغراضها، وأي ظروف أخرى ذات صلة تتعلق بمعالجة بيانات العميل داخل النظام الأساسي، يجب على Globalization Partners تنفيذ التدابير الأمنية الفنية والتنظيمية المناسبة لضمان الأمن، السرية، النزاهة، مدى توافر ومرونة أنظمة وخدمات المعالجة المتضمنة في معالجة بيانات العميل تتناسب مع المخاطر المتعلقة ببيانات العميل هذه. يقوم Globalization Partners دوريًا بما يلي: (1) اختبار ومراقبة فعالية الضمانات والضوابط والأنظمة والإجراءات الخاصة بها، و(2) تحديد المخاطر الداخلية والخارجية المتوقعة بشكل معقول على أمن بيانات العميل وسريتها وسلامتها، وضمان معالجة هذه المخاطر.
3.7. السرية. يضمن Globalization Partners أن الأشخاص المصرح لهم بالوصول إلى بيانات العميل (1) قد التزموا بالسرية أو يخضعون لالتزام قانوني مناسب بالسرية و(2) عدم الوصول إلى بيانات العميل إلا بناءً على تعليمات موثقة من Globalization Partners، ما لم يتطلب القانون المعمول به ذلك.
3.8. خرق البيانات الشخصية. يقوم Globalization Partners بإخطار العميل دون تأخير غير مبرر بعد علمهم بحدوث خرق للبيانات فيما يتعلق بمعالجة بيانات العميل، كما يبذلون جهودًا معقولة لمساعدة العميل في الحد من الآثار السلبية لأي خرق للبيانات، حيثما أمكن.
3.9. التحويلات الدولية . يُسمح Globalization Partners، في سياق العمل المعتاد، بإجراء عمليات نقل لبيانات العميل في جميع أنحاء العالم إلى الشركات التابعة لها و/أو المعالجين الفرعيين. عند إجراء عمليات النقل هذه، يضمن Globalization Partners وجود حماية مناسبة لحماية بيانات العميل المنقولة بموجب الاتفاقية الرئيسية أو فيما يتعلق بها، على النحو التالي:
- 3.9.1. عندما تنقل العولمة بيانات العملاء إلى دول خارج المنطقة الاقتصادية الأوروبية (والتي لا تخضع لقرار كفاية بموجب قوانين الخصوصية)، يجب على Globalization Partners تنفيذ التزاماتهم والامتثال لها بموجب قوانين العقوبات المفروضة على العملاء الخاصة بالاتحاد الأوروبي، والتي يتم تضمينها في هذا الملحق من خلال هذا المرجع وتُكمل على النحو التالي:
-
- سيتم تطبيق الوحدة 2 (المراقب إلى المعالج) عندما يكون العميل مراقبًا للبيانات الشخصية ويكون Globalization Partners معالجًا للبيانات الشخصية؛
- في البند 7، يسري بند الإرساء الاختياري؛
- في البند 9، 2 يسري الخيار مع 10 الأيام؛
- في البند 11، لا تنطبق اللغة الاختيارية؛
- في البند 12، تخضع أي مطالبات يتم تقديمها بموجب قواعد السلوك المهني للاتحاد الأوروبي للشروط والأحكام المنصوص عليها في الاتفاقية؛
- في البند 17، ينطبق الخيار 1، وتخضع مراكز التحكم في الأوراق المالية التابعة للاتحاد الأوروبي للقانون الأيرلندي؛
- في البند 18(ب)، يتم حل النزاعات أمام محاكم أيرلندا؛
- يُعتبر الملحق 1 من الشروط والأحكام الخاصة بالاتحاد الأوروبي مكتملاً بالمعلومات المنصوص عليها في الملحق 1 من هذا الملحق؛
- يُعتبر الملحق الثاني من الشروط والأحكام الخاصة بالاتحاد الأوروبي مكتملاً بالمعلومات المنصوص عليها في الملحق الثاني من هذا الملحق؛ و
- يُعتبر الملحق الثالث من شروط الخدمة الخاصة بالاتحاد الأوروبي مكتملاً بالمعلومات المنصوص عليها في الملحق الثالث من هذا الملحق.
- 3.9.2. فيما يتعلق ببيانات العميل المحمية بموجب اللائحة العامة لحماية البيانات في المملكة المتحدة، يُسمح للطرفين قانونًا بالاعتماد على قواعد السلوك المهني في الاتحاد الأوروبي لعمليات النقل المقيدة من المملكة المتحدة وفقًا لملحق المملكة المتحدة المدمج في هذا الملحق بهذه الإشارة والمكتمل على النحو المحدد في الملحق الرابع المرفق بهذه الوثيقة. إذا 3.9.2 لم ينطبق هذا القسم، فيجب على Globalization Partners والشركة المصدرة للعميل التعاون بحسن نية لتنفيذ الضمانات المناسبة لنقل هذه البيانات الشخصية على النحو المطلوب أو المسموح به بموجب اللائحة العامة لحماية البيانات في المملكة المتحدة دون تأخير غير مبرر.
- 3.9.3. لا يوجد في التفسيرات الواردة في هذا القسم ما 3.9 يُقصد به أن يتعارض مع حقوق أي من الطرفين أو مسؤولياته بموجب قواعد السلوك المهني للاتحاد الأوروبي و/أو ملحق المملكة المتحدة، وفي حالة وجود أي تعارض من هذا القبيل، تسود قواعد السلوك المهني للاتحاد الأوروبي و/أو ملحق المملكة المتحدة، حسب الاقتضاء.
3.10. حذف البيانات الشخصية. عند إنهاء الخدمات (لأي سبب) وإذا طلب العميل ذلك كتابيًا، يقوم Globalization Partners، في أقرب وقت ممكن عمليًا، بإعادة بيانات العميل المخزنة في النظام الأساسي أو حذفها ما لم يتطلب القانون المعمول به تخزين بيانات العميل لفترة أطول. وبالنسبة لهذا الاحتفاظ، تظل أحكام هذا الملحق سارية على بيانات العميل هذه.
3.11. طلبات الشخص موضوع البيانات. يجب على Globalization Partners إبلاغ العميل على الفور بأي طلبات من الأشخاص موضوع البيانات فيما يتعلق ببيانات العميل. يتحمل العميل مسؤولية الرد على هذه الطلبات. وسيساعد Globalization Partners العميل بشكل معقول على الاستجابة لطلبات صاحب البيانات هذه إلى الحد الذي لا يتمكن فيه العميل من الوصول إلى بيانات العميل ذات الصلة عند استخدامه للنظام الأساسي.
3.12. طلبات الأطراف الثالثة. إذا تلقى Globalization Partners أي طلبات من أطراف ثالثة أو أمر من أي محكمة أو هيئة قضائية أو جهة تنظيمية أو وكالة حكومية ذات اختصاص قضائي يخضع لها Globalization Partners فيما يتعلق بمعالجة بيانات العميل بموجب الاتفاقية، فسيقوم Globalization Partners على الفور بإعادة توجيه الطلب إلى العميل. ولن يرد Globalization Partners على هذه الطلبات دون الحصول على إذن مسبق من العميل ما لم يكونوا ملزمين قانونًا بذلك. يقوم Globalization Partners، ما لم يُحظر عليهم قانونًا القيام بذلك، بإبلاغ العميل قبل إجراء أي إفصاح عن بيانات العميل والتعاون بشكل معقول مع العميل لقصر نطاق هذا الإفصاح على ما هو مطلوب قانونًا.
3.13. تقييم أثر حماية البيانات والاستشارة المسبقة. إلى الحد الذي تقتضيه قوانين حماية البيانات، يقدم Globalization Partners المساعدة المعقولة للعميل لإجراء تقييم تأثير حماية البيانات فيما يتعلق بمعالجة بيانات العميل التي يقوم بها Globalization Partners و/أو أي استشارة (مشاورات) مسبقة مطلوبة مع السلطات الإشرافية. يحتفظ Globalization Partners بالحق في فرض رسوم معقولة على العميل مقابل تقديم هذه المساعدة.
3.14. إظهار الامتثال. يُجري Globalization Partners بانتظام عمليات تدقيق خارجية بشأن ضوابط الأمن والتوافر ونزاهة المعالجة والسرية والخصوصية الخاصة بالمؤسسة، وسيزودون العميل بنسخة من أحدث تقرير تدقيق موجز أو شهادة بناءً على طلب كتابي. إذا كان العميل يفضل إجراء التدقيق الخاص به بالإضافة إلى شهادات أو تقارير الطرف الثالث المقدمة، يجب إجراء هذا التدقيق: ط) لا تزيد عن مرة واحدة لكل فترة 12 (اثني عشر) شهرًا؛ 2) خلال ساعات العمل العادية ودون تعطيل الأعمال اليومية Globalization Partners؛ 3) بموجب إخطار كتابي مسبق مدته ثلاثين (30) يومًا؛ 4) على نفقة العميل وحده (بما في ذلك الوقت الذي يقضيه شريك العولمة في مساعدة العميل أثناء التدقيق بناءً على المعدل اليومي لمدير الأمن)؛ 5) استنادًا إلى المعايير والنطاق المتفق عليهما بشكل متبادل، يقتصر على نطاق الخدمات المحدد، الأنظمة قيد الاستخدام و/أو أنشطة المعالجة المتوخاة والمحددة للمتطلبات الفعلية؛ 6) استنادًا إلى التاريخ المتفق عليه مسبقًا، رهنًا بتأجيل معقول من جانب العميل بناءً على طلب معقول من Globalization Partners؛ و7) وفقًا لجميع التزامات وقيود السرية. بصرف النظر عما سبق، لا يتم منح أي حق تدقيق بعد إنهاء الاتفاقية الرئيسية، باستثناء الالتزامات القانونية التي يجب على العميل إثباتها. يجب ألا يكون لدى أي ممثل لطرف ثالث يتم اختياره لإجراء تدقيق نيابة عن العميل حصة ملكية في وكالة خدمات EOR أو مؤسسة ذات صلة أو مستشار أو انتساب إليه.
3.15. لا يوجد بيع للمعلومات. لا يجوز Globalization Partners اشتقاق أو ممارسة أي حقوق أو مزايا تتعلق بالبيانات الشخصية باستثناء ما هو منصوص عليه في هذا الملحق. ولتجنب الشك، لن يحتفظ Globalization Partners ببيانات العميل أو يستخدمها أو يشاركونها أو يفصحون عنها لأي غرض بخلاف الغرض المحدد المتمثل في تقديم المنصة إلى العميل وفقًا للاتفاقية الرئيسية. لا يجوز Globalization Partners بيع أي بيانات شخصية، حسب تعريف مصطلح "البيع" في قانون خصوصية المستهلك في كاليفورنيا. يقر Globalization Partners ويضمنون أنهم يفهمون قواعد ومتطلبات وتعريفات قانون خصوصية المستهلك في كاليفورنيا ويوافقون على الامتناع عن اتخاذ أي إجراء من شأنه أن يتسبب في تأهيل أي عمليات نقل للبيانات الشخصية إلى Globalization Partners أو منهم على أنها "بيع للمعلومات الشخصية" بموجب قانون خصوصية المستهلك في كاليفورنيا.
الملحق 1 - وصف معالجة البيانات
| الأطراف | المراقب/مصدر البيانات: كيان العميل الذي ينفذ معالج الزراعة الرئيسي/مستورد البيانات: كيان Globalization Partners الذي ينفذ الاتفاقية الرئيسية. |
| تفاصيل الاتصال بالأطراف | تفاصيل الاتصال بالعميل على النحو المنصوص عليه في الاتفاقية الرئيسية. تفاصيل الاتصال Globalization Partners كما هو موضح في الاتفاقية الرئيسية. |
| الأنشطة ذات الصلة بالبيانات المنقولة | الأنشطة المتعلقة بالمنصة المقدمة كخدمة. |
| أنشطة المعالجة | سيقوم Globalization Partners بمعالجة بيانات العميل في إطار تقديمها للنظام كخدمة للعميل. |
| مدة المعالجة | يقوم Globalization Partners بمعالجة بيانات العميل طوال مدة الاتفاقية الرئيسية وعلى أساس مستمر. |
| طبيعة المعالجة والغرض منها | يجوز للعميل نقل بيانات العميل إلى Globalization Partners، ويتم تحديد مدى ذلك والتحكم فيه من قبل العميل وفقًا لتقديره الخاص. يقوم Globalization Partners بمعالجة بيانات العميل حسب الضرورة لأغراض توفير المنصة كخدمة للعميل وفقًا للاتفاقية الرئيسية. |
| فئات الأشخاص موضوع البيانات | تتعلق بيانات العميل بالمستخدمين المصرح لهم للنظام الأساسي الذين قد يشملون موظفي العميل و/أو المتعاقدين معه، بالإضافة إلى الأفراد الذين يتم توفير بياناتهم الشخصية من قبل المستخدمين المصرح لهم للنظام الأساسي. |
| أنواع البيانات الشخصية | قد تتضمن بيانات العميل المنقولة فئات البيانات التالية:
|
| فئات خاصة من البيانات (إذا كان ذلك مناسبًا) | لا ينطبق |
| الاحتفاظ | سيتم الاحتفاظ ببيانات العميل على الأقل طالما أن أي فترة احتفاظ دنيا معمول بها ينص عليها القانون، تتوافق مع قوانين التقادم المعمول بها وتلبي ممارسات الأعمال الجيدة. |
| السلطة الإشرافية المختصة | لجنة حماية البيانات الأيرلندية |
| عمليات النقل إلى المعالجين الفرعيين | بالنسبة لعمليات النقل إلى المعالجين، فإن موضوع المعالجة وطبيعتها ومدتها هي نفسها المحددة أعلاه. |
| تفاصيل الاتصال الخاصة بخصوصية Globalization Partners | privacy@globalization-partners.com عناية: مكتب الخصوصية العالمي. |
الملحق الثاني - التدابير الفنية والتنظيمية
وقد تم اعتماد Globalization Partners والتصديق عليهم لتأكيد الامتثال 2 لمعايير شركة نفط الجنوب، من قبل مدققين مستقلين. تُظهر تقارير ضوابط تنظيم الخدمة (SOC) التزامنا بتأمين بيانات العميل. صُمم برنامج أمن Globalization Partners من أجل:
- حماية سرية وسلامة وتوافر بيانات العميل في Globalization Partners أو التي يمكن Globalization Partners الوصول إليها؛
- الحماية من أي تهديدات أو مخاطر متوقعة على سرية بيانات العميل وسلامتها وتوافرها؛
- الحماية من الوصول غير المصرح به أو غير القانوني إلى بيانات العميل أو استخدامها أو الإفصاح عنها أو تغييرها أو إتلافها؛
- الحماية من الفقدان أو التدمير العرضي لبيانات العميل أو تلفها؛ و
- حماية المعلومات على النحو المنصوص عليه في أي لوائح يمكن من خلالها تنظيم Globalization Partners.
فيما يلي وصف للوظائف والعمليات والضوابط والأنظمة والإجراءات والتدابير التي اتخذها Globalization Partners لضمان أمن معالجة بيانات العميل:
1) التدابير الفنية لضمان خصوصية البيانات وحمايتها
أ) الخصوصية حسب التصميم والافتراض:
يضع Globalization Partners متطلبات المادة 25 GDPR في الاعتبار في مرحلة وضع تصور وتطوير تطوير المنتجات. يتم إعداد العمليات والوظائف بطريقة تراعي مبادئ حماية البيانات مثل القانونية والشفافية وتحديد الغرض وتقليل البيانات إلى الحد الأدنى وما إلى ذلك بالإضافة إلى أمن المعالجة في مرحلة مبكرة.
ب) تشفير البيانات الشخصية:
ضمان عدم تخزين البيانات الشخصية إلا في النظام بطريقة لا تسمح للأطراف الثالثة بتحديد هوية صاحب البيانات.
- تشفير قاعدة البيانات والتخزين:
في جميع قواعد البيانات التي يستخدمها Globalization Partners، يتم استخدام تشفير "قيد السكون" وفقًا لأحدث التقنيات بحيث لا يمكن قراءة البيانات من قاعدة البيانات إلا بعد المصادقة المناسبة على نظام قاعدة البيانات المعني. - تشفير وسائط بيانات المحمول:
لا يُسمح باستخدام شركات نقل بيانات المحمول لتخزين بيانات العملاء. - تشفير شركات نقل البيانات على أجهزة الكمبيوتر المحمولة:
يتم تثبيت تشفير حديث مناسب للأقراص الصلبة على جميع أجهزة الكمبيوتر المحمولة الخاصة بالموظفين. - التبادل المشفر للمعلومات والملفات:
من حيث المبدأ، يتم تشفير تبادل المعلومات والملفات مباشرة عبر تطبيق خاص. إذا كان يجب نقل البيانات الشخصية أو المعلومات السرية إلى خوادم لا يمكن إرسالها عبر تحميلات HTTPS المشفرة ببروتوكول TLS، فسيتم نقلها باستخدام بروتوكول نقل الملفات الآمن (SFTP) أو خدمة المظروف المشفر أو آلية مشفرة أخرى وفقًا لأحدث التقنيات. - تشفير البريد الإلكتروني:
من حيث المبدأ، يتم تشفير جميع رسائل البريد الإلكتروني التي يرسلها موظفو Globalization Partners باستخدام TLS. قد تكون هناك استثناءات إذا كان خادم البريد المستلم لا يدعم TLS. يضمن العميل أن خوادم البريد المقابلة المستخدمة في نطاق الطلب تدعم تشفير TLS
ج) التحكم في الدخول
تهدف ضوابط القبول إلى وضعها وتطبيقها لمنع استخدام البيانات المحمية بقوانين حماية البيانات ومعالجتها من قبل أشخاص غير مصرح لهم.
- استخدام طرق المصادقة
يكون الوصول إلى البيانات الشخصية دائمًا عبر بروتوكولات مشفرة: SSH أو SSL/TLS أو HTTPS أو بروتوكولات مماثلة. إجراء المصادقة لنظام تقنية المعلومات: تسجيل الدخول إلى نظام تقنية المعلومات للمصادقة متعددة العوامل. - الحظر التلقائي في حالة عدم نشاط
أجهزة الكمبيوتر المحمولة التي يستخدمها موظفو Globalization Partners والمقفلة بحماية كلمة المرور أو PIN عندما لا يكون المستخدم قيد الاستخدام. بالإضافة إلى ذلك، يتم إعداد قفل شاشة تلقائي مع حماية بكلمة مرور بعد 15 دقائق من عدم النشاط. - إن استخدام أجهزة الكمبيوتر المحمولة الخاصة ببرامج مكافحة الفيروسات
التي يستخدمها موظفو Globalization Partners مجهزة بأحدث برامج مكافحة الفيروسات التي يتم تحديثها باستمرار على جميع أنظمة تكنولوجيا المعلومات التشغيلية أو التجارية. من حيث المبدأ، لا يجوز تشغيل أجهزة الكمبيوتر دون حماية المقيم من الفيروسات ما لم يتم اتخاذ تدابير أمنية أخرى مماثلة أو لا يوجد خطر. يجب عدم إلغاء تنشيط إعدادات الأمان الافتراضية أو التحايل عليها. - "سياسة المكتب النظيف"
يُطلب من موظفي Globalization Partners عدم طباعة البيانات الشخصية لأصحاب البيانات أو تخزينها محليًا، وعدم ترك مواد العمل في مكان يمكن أن تطلع عليه أطراف ثالثة، وتخزين جميع مواد العمل بشكل صحيح. يتم تخزين الوثائق التي يُطلب من Globalization Partners بموجب القانون الاحتفاظ بها في نسخة ورقية في خزانات مغلقة.
د) ضوابط الوصول داخل المنصة
تضمن ضوابط الوصول أن الأشخاص المصرح لهم باستخدام نظام معالجة لا يمكنهم الوصول إلا إلى البيانات الشخصية التي يغطيها تصريح الوصول الخاص بهم.
- الأدوار والتفويض
- الأدوار ومنصة التخويل - يمكن لمستخدمي العميل الوصول إلى العميل عرض معلومات حساب العميل وتحريرها.
- الأدوار ومنصة الترخيص – يمكن لمستخدمي Professional Access Professional عرض معلوماتهم المهنية الخاصة وتحريرها.
يمكن للمحترفين أيضًا الحصول على دور الوصول إلى العملاء بناءً على المتطلبات + الموافقة - الأدوار ومنصة الترخيص - الوصول الداخلي
لمستخدمي الوصول الداخلي أدوار مختلفة. لديهم إمكانية وصول متنوعة لإنشاء ما يلي وعرضه وتحريره واعتماده:- معلومات العميل
- معلومات الفوترة
- معلومات الشريك
- معلومات سجلات الموظفين المهنيين
يقتصر الوصول إلى نظام الإدارة بشكل عام على الموظفين المدربين في مجالات دعم العملاء وتطوير المنتجات.
هـ) جدار الحماية كخدمة
يستخدم Globalization Partners جدار حماية خارجي كخدمة تسمح له بمنح أو حظر الوصول إلى المواقع الإلكترونية للتأكد من أن الأنظمة لا يمكنها الوصول إلى المحتوى الضار وتقييد الوصول إلى المحتوى غير المناسب.
و) سجل تسجيل الدخول إلى المنصة
يحتفظ Globalization Partners بسجل لجميع أنشطة تسجيل الدخول.
ز) قابلية الفصل
ضمان إمكانية معالجة البيانات الشخصية التي تم جمعها لأغراض مختلفة بشكل منفصل وفصلها عن البيانات والأنظمة الأخرى بطريقة تستبعد الاستخدام غير المخطط له لهذه البيانات لأغراض أخرى.
- لا يجوز نقل البيانات من
بيئة التشغيل إلى بيئات الاختبار أو التطوير إلا إذا تم جعلها مجهولة الهوية تمامًا قبل النقل. يجب تشفير نقل البيانات مجهولة الهوية أو عبر شبكة موثوقة. - يفصل
Globalization Partners بين شبكاتهم وفقًا للمهام. تُستخدم الشبكات التالية بشكل دائم: بيئة التشغيل ("الإنتاج")، وبيئة الاختبار ("المراحل"، و"Sandbox")، وبيئة التطوير ("Dev") وموظفي تكنولوجيا المعلومات بالمكتب. بالإضافة إلى هذه الشبكات، يتم إنشاء شبكات منفصلة أخرى حسب الحاجة، على سبيل المثال، لاختبارات الاستعادة واختبارات الاختراق. بناءً على الاحتمالات الفنية، يتم فصل الشبكات إما ماديًا أو عن طريق الشبكات الافتراضية.
ح) التحكم في التوافر
يتخذ Globalization Partners الخطوات التالية لضمان حماية البيانات الشخصية من التدمير أو الفقدان العرضي.
- إجراءات حماية البيانات/النسخ الاحتياطية
لضمان التوافر الكافي، يقوم Globalization Partners بتنفيذ لقطات يومية لقاعدة بياناتها مع النسخ المتماثل إلى منطقة مختلفة. كما يتم اتخاذ تدابير لضمان منح الموظفين الذين لديهم حاجة قائمة على الوظيفة لمراجعة البيانات إمكانية الوصول فقط إلى مجموعات البيانات المتماثلة. - التكرار الجغرافي فيما يتعلق بالبنية التحتية للخوادم للبيانات الإنتاجية والنسخ الاحتياطية
- إدارة حوادث تكنولوجيا المعلومات ("إدارة الاستجابة للحوادث")
هناك مفهوم وإجراءات موثقة للتعامل مع الحوادث والأحداث المتعلقة بالسلامة. ويشمل ذلك تخطيط وإعداد الاستجابة للحوادث وإجراءات مراقبة الأحداث ذات الصلة بالأمن والكشف عنها وتحليلها وتحديد المسؤوليات المقابلة وقنوات الإبلاغ في حالة انتهاك حماية البيانات الشخصية في إطار المتطلبات القانونية.
2) التدابير التنظيمية لضمان خصوصية البيانات وحمايتها
لقد وضع Globalization Partners التدابير التنظيمية التالية لضمان عمل المؤسسة بطريقة تلبي متطلبات خصوصية البيانات وحمايتها.
أ) التعليمات التنظيمية
لقد وضع Globalization Partners برنامجًا لحوكمة البيانات ويطورونه، بما في ذلك السياسات والإجراءات والمبادئ التوجيهية التي يجب على الموظفين اتباعها. تشمل الوثائق كيفية تحديد وإدارة مشكلات خصوصية البيانات، وأفضل الممارسات لضمان الامتثال للخصوصية، وسياسات معالجة حوادث الخصوصية.
ب) الالتزام بالسرية وحماية البيانات
لقد وضع Globalization Partners برنامجًا لحوكمة البيانات ويطورونه، بما في ذلك السياسات والإجراءات والمبادئ التوجيهية التي يجب على الموظفين اتباعها. يلتزم جميع الموظفين والمقاولين كتابيًا بالسرية وحماية البيانات وكذلك القوانين الأخرى ذات الصلة. يتلقى جميع الموظفين تدريبًا على الخصوصية والأمن. تُجرى عمليات التدقيق الداخلي بشأن حماية البيانات وأمن المعلومات بانتظام. يتم إجراء عمليات التدقيق على أساس معايير/مخططات الاختبار الشائعة. يُطلب من موظفي ومقاولي Globalization Partners معالجة البيانات الشخصية لأسباب قانونية فقط، وفقًا للعقود المعمول بها مع العميل والمهني، مع مراعاة أي موافقة صريحة يقدمها أو يحجبها صاحب البيانات، وبما يتماشى مع أي واجب قانوني للمؤسسة.
ج) التدريب على حماية البيانات
يتلقى جميع الموظفين تدريبًا على الخصوصية والأمن يظل متاحًا للمراجعة في أي وقت في منصة تدريب Globalization Partners.
د) ضوابط الوصول المادي
لدى Globalization Partners الضوابط المادية التالية المعمول بها لمنع الأشخاص غير المصرح لهم من الوصول إلى معدات أنظمة تكنولوجيا المعلومات المستخدمة للمعالجة.
- حماية الأبواب الإلكترونية
أبواب الدخول إلى مقرات مكاتب Globalization Partners مقفلة دائمًا ومؤمنة إلكترونيًا. يتم فتح الأبواب عبر جهاز إرسال واستقبال إلكتروني شخصي. - التوزيع المتحكم به للمفاتيح
يحدث توزيع مركزي وموثق للمفاتيح لموظفي Globalization Partners. يمكن إلغاء تنشيط أجهزة الإرسال والاستقبال الإلكترونية هذه مركزيًا من قبل كل مدير مكتب أو إدارة الموارد البشرية. - لا يجوز لمقدمي الخدمات الخارجيين والأطراف الثالثة الأخرى الإشراف على الأشخاص الخارجيين ومرافقتهم
إلا بتصريح مسبق أو عندما يكونون بصحبة موظف لدى Globalization Partners. يطبق Globalization Partners سياسة الزوار المكتوبة عندما تتم دعوة الزوار إلى المبنى. - تأمين المباني ذات الحاجة المتزايدة للحماية
المباني أو الخزائن ذات متطلبات الحماية المتزايدة، مثل المكاتب القانونية ومواقع عمليات معينة، مجهزة بخزائن وأدراج قفل. يجب قفل الخزانات والأدراج التي يتم الاحتفاظ فيها بالوثائق القانونية والعقود والوثائق السرية في جميع الأوقات إلا عندما تكون قيد الاستخدام. - الأبواب والنوافذ المغلقة
يُطلب من الموظفين تنظيميًا إبقاء النوافذ والأبواب مغلقة أو مغلقة خارج ساعات العمل.
هـ) قابلية الاسترداد
يضمن Globalization Partners إمكانية استعادة الأنظمة المستخدمة في حالة حدوث عطل مادي أو فني.
- الاختبارات المنتظمة لاسترداد البيانات ("اختبارات الاستعادة")
يتم إجراء اختبارات الاستعادة الكاملة المنتظمة لضمان إمكانية الاسترداد في حالة الطوارئ/الكوارث. - خطة الطوارئ ("مفهوم التعافي من الكوارث")
هناك مفهوم لعلاج الطوارئ/الكوارث وخطة طوارئ مماثلة. يضمن Globalization Partners استرداد جميع الأنظمة على أساس النسخ الاحتياطية/النسخ الاحتياطية للبيانات، عادةً في غضون 48 ساعات. - مراجعة وتقييم التدابير
عرض الإجراءات للمراجعة المنتظمة وتقييم وتقييم فعالية التدابير الفنية والتنظيمية.
و) فريق الخصوصية
لدى المؤسسة مكتب عالمي لخصوصية البيانات مكلف بتخطيط التدابير وتنفيذها وتقييمها وتكييفها في مجال حماية البيانات.
ز) إدارة المخاطر
هناك عملية لتحليل المخاطر وتقييمها وتخصيصها واستخلاص التدابير على أساس هذه المخاطر.
3) مراجعة مستقلة لأمن المعلومات
أ) أداء عمليات التدقيق
تُجرى عمليات التدقيق الداخلي بشأن حماية البيانات وأمن المعلومات بانتظام. يتم إجراء عمليات التدقيق على أساس معايير/مخططات الاختبار الشائعة.
ب) مراجعة الامتثال للسياسات والمعايير الأمنية
يتم التحقق بانتظام من الامتثال للمبادئ التوجيهية والمعايير الأمنية المعمول بها والمتطلبات الأمنية الأخرى لمعالجة البيانات الشخصية. حيثما أمكن، يتم إجراء هذه الفحوصات على أساس عشوائي وغير متوقع.
ج) التحقق من الامتثال للمواصفات الفنية
يتم إجراء عمليات المسح الآلي واليدوي المنتظمة للثغرات الأمنية بواسطة قسم تكنولوجيا المعلومات أو غيره من الموظفين المؤهلين للتحقق من أمن التطبيقات والبنية التحتية، بالإضافة إلى التطوير المنتظم للمنتج. يتم إجراء اختبارات الاختراق التفصيلية بواسطة مقدم خدمة خارجي لفحص التطبيقات والبنية التحتية على وجه التحديد بحثًا عن نقاط الضعف.
د) المعالجة بناءً على التعليمات
يُطلب من موظفي Globalization Partners معالجة البيانات الشخصية لأسباب قانونية فقط، وفقًا للعقود المعمول بها مع العميل والمهني، مع مراعاة أي موافقة صريحة يقدمها أو يحجبها صاحب البيانات، وبما يتماشى مع أي واجب قانوني للمؤسسة.
هـ) اختيار الموردين بعناية
يلتزم Globalization Partners بعملية التأهيل المسبق للموردين عند اختيار الموردين والبائعين الذين قد يواجهون بيانات محمية. تتضمن هذه العملية تعقيبات من إدارات الشؤون المالية والشؤون القانونية/الخصوصية وتشمل تقييم المخاطر والتأهيل الأمني المسبق وخطوات اعتماد الوثائق. سيُطلب من الموردين الذين سيعالجون البيانات المحمية إثبات التزامهم بقوانين خصوصية البيانات المعمول بها، بما في ذلك المادة 28 GDPR للبيانات المشمولة.
الملحق الثالث - قائمة المعالجين الفرعيين
| المعالج الفرعي | معلومات جهة الاتصال | وصف المعالجة | الموقع |
|---|---|---|---|
| الشركات التابعة Globalization Partners | https://www.globalization- partners.com/contact-us/ | توفير المنصة وإدارة علاقات العملاء | الولايات المتحدة |
| Acumatica | 3933 Lake Washington Blvd NE #350، كيركلاند، واشنطن98033، الولايات المتحدة الأمريكية | الخدمات المالية | الولايات المتحدة |
| خدمة Amazon Web | ص.ب. 81226 سياتل، واشنطن98108-1226، الولايات المتحدة الأمريكية https://aws.amazon.com/contact-us/ |
الاستضافة - موفر الخدمات السحابية | الولايات المتحدة |
| Microsoft | هاتف واحد من Microsoft Way Redmond, Washington 98052 USA : (+1) 425-882-8080. |
اتصالات دعم عمليات الأعمال (البريد الإلكتروني)؛ إدارة الخدمات | الولايات المتحدة |
| أطلسي | 350 بوش ستريت فلور 13 سان فرانسيسكو، كاليفورنيا94104، الولايات المتحدة الأمريكية +1 415 701 1110 |
دعم عمليات الأعمال لإدارة الخدمات | الولايات المتحدة |
| كونجا | https://conga.com/contact-us 62 شارع مارجريت، الطابق الثالث لندن المملكة W1W8TF المتحدة |
إدارة العقود | المملكة المتحدة |
| DocuSign | DocuSign International (EMEA) Ltd، عناية: فريق الخصوصية، 5 Hanover Quay، الطابق الأرضي، دبلن2، جمهورية أيرلندا | إدارة الوثائق | أيرلندا |
| غونغ | 265 Cambridge Ave, Suite 60717 Palo Alto, CA 94306, الولايات المتحدة الأمريكية | خدمات الاتصالات | الولايات المتحدة |
| iCertis | 2 Kingdom Street Paddington London W2 6BD المملكة المتحدة | إدارة العقود | المملكة المتحدة |
| Salesforce.com | Salesforce Tower, 415 Mission Street, 3rd Floor, San Francisco, CA 94105, الولايات المتحدة الأمريكية 1-800-387-3285 |
دعم عمليات الأعمال لإدارة علاقات العملاء (CRM) | الولايات المتحدة |
| زين فيس | 989 سوق سانت سان فرانسيسكو، كاليفورنيا94103، الولايات المتحدة الأمريكية zendesk.com 888-670-4887 |
استفسارات مكتب الدعم بشأن دعم العملاء | الولايات المتحدة |
الملحق الرابع - ملحق المملكة المتحدة للبنود التعاقدية القياسية للاتحاد الأوروبي
الجزء 1: الطاولات
الجدول 1: الأطراف
| تاريخ البدء | تاريخ سريان هذا الملحق | |
|---|---|---|
| الأطراف | المصدّر (الذي يرسل التحويل المقيّد) | المستورد (الذي يتلقى التحويل المقيد) |
| تفاصيل الأطراف | تفاصيل كيان العميل كما هو موضح في الاتفاقية الرئيسية. | تفاصيل كيان Globalization Partners كما هو موضح في الاتفاقية الرئيسية. |
| جهات الاتصال الرئيسية | تفاصيل الاتصال بالعميل على النحو المنصوص عليه في الاتفاقية الرئيسية. | تفاصيل الاتصال Globalization Partners على النحو المبين في الاتفاقية الرئيسية وتفاصيل الاتصال الخاصة Globalization Partners على النحو المحدد في الملحق الأول أعلاه. |
الجدول 2: SCCs والوحدات والبنود المحددة
| الملحق الخاص بـ EU SCCs | نسخة من قواعد السلوك المهني المعتمدة في الاتحاد الأوروبي المدرجة في قسم 3.9 الملحق، بما في ذلك معلومات الملحق المرفقة بهذا الملحق. |
الجدول 3: معلومات الملحق
"معلومات الملحق" تعني المعلومات التي يجب تقديمها للوحدات المحددة على النحو المنصوص عليه في ملحق قواعد السلوك المهني للاتحاد الأوروبي المعتمدة (بخلاف الأطراف)، والتي يرد بيانها لهذا الملحق في:
- الملحق 1A: قائمة الأطراف: الملحق 1
- الملحق 1B: وصف النقل: الملحق 1
- الملحق 2: التدابير الفنية والتنظيمية بما في ذلك التدابير الفنية والتنظيمية لضمان أمن البيانات: الملحق 2
- الملحق 3: قائمة المعالجين الفرعيين: الملحق 3
الجدول 4: إنهاء هذا الملحق عند تغيير الملحق المعتمد
| إنهاء هذا الملحق عند تغيير الملحق المعتمد | أي الأطراف قد تنهي هذا الملحق على النحو المنصوص عليه في القسم 19: ☐ المستورد ☒ المصدّر ☐ لا طرف |
الجزء 2: البنود الإلزامية
| البنود الإلزامية | الجزء 2: البنود الإلزامية للملحق المعتمد، وهو نموذج الملحق ب الصادر1.0 عن ICO والمقدم إلى البرلمان وفقًا لقانون حماية s119A البيانات 2018 بتاريخ 2 2022 فبراير، حيث تتم مراجعته بموجب القسم 18 من هذه البنود الإلزامية. |