شعار GP​​ 
طلب تقديم عرض​​ 

لغة خصوصية MSA​​ 

آخر تحديث: يونيو 26, 2026​​ 

ملحق حماية البيانات​​ 

العميل والطبيب G-P هما طرفان في اتفاقية رئيسية أو في اتفاقية ذات طبيعة وغرض مماثلين (يشار إليها فيما يلي باسم "الاتفاقية الرئيسية"). تُكمل اتفاقية حماية البيانات هذه الشروط والأحكام الواردة في الاتفاقية الرئيسية وتُدمج فيها. في حالة وجود تعارض بين اتفاقية حماية البيانات هذه وأي اتفاقية أخرى بين الطرفين بشأن المسائل المذكورة هنا، فإن اتفاقية حماية البيانات هذه هي التي تسود. إذا كان لدى العميل بالفعل اتفاقية حماية وملحق سارية المفعول مع G-P ، فإن تلك الاتفاقية ستسود على اتفاقية حماية البيانات هذه، ولن يكون لاتفاقية حماية البيانات هذه أي قوة أو أثر، ما لم يتفق العميل وشركة G-P كتابةً على خلاف ذلك.​​ 
 

1. التعريفات​​  

المصطلحات غير المحددة هنا لها المعاني المنصوص عليها في الاتفاقية الرئيسية. تحتوي الكلمات التالية في DPA على المعاني التالية:​​ 
1.1 “​​ المستخدم المصرح له​​ "يعني فرداً مسموحاً له من قبل العميل والذي قد يشمل إما موظفاً أو مقاولاً تابعاً للعميل، للوصول إلى واستخدام برنامج الشراكة العامة نيابة عن العميل، وفقاً لتنفيذ الاتفاقية الرئيسية.​​ 
1.2 “​​ بيانات العملاء​​ " تعني أي بيانات شخصية تتعلق بأي مستخدم مصرح له أو شخص طبيعي يمكن التعرف عليه والتي يتم نقلها أو معالجتها أو تخزينها بواسطة G-P نيابة عن العميل فيما يتعلق بالخدمات لاستخدام GPP من قبل العميل.​​ 
1.3 “​​ حماية البيانات​​  القوانين​​ ” يعني أي قوانين لحماية البيانات والخصوصية يخضع لها أحد أطراف هذه الاتفاقية والتي تنطبق على الخدمات المقدمة، بما في ذلك، حيثما ينطبق ذلك، على سبيل المثال لا الحصر، اللائحة العامة لحماية البيانات، واللائحة العامة لحماية البيانات في المملكة المتحدة، وقوانين حماية البيانات السويسرية، وقوانين الخصوصية الأمريكية (بما في ذلك قوانين الولاية والقوانين الفيدرالية)، وقانون LGPD البرازيلي.​​ 
1.4 “​​ مؤسسة تُدير شؤون الموظفين​​ " تعني مؤسسة تُدير شؤون الموظفين.​​ 
1.5 “​​ اللائحة العامة لحماية البيانات​​ " تعني اللائحة العامة لحماية البيانات (الاتحاد الأوروبي) 2016/679.​​ 
1.6 “​​ GPP​​ "" تعني البرامج الخاصة بشركة G-P، بما في ذلك على سبيل المثال لا الحصر، البرنامج، والإصدار المحمول، وأي برنامج موجود فيه، وأي بيانات متاحة من خلال استخدام البرامج الخاصة بشركة G-P أو خدمات الطرف الثالث، بما في ذلك تحديثاتها وترقياتها ومنصتها كخدمة ووثائقها.​​ 
1.7 “​​ EEA​​ "يعني المنطقة الاقتصادية الأوروبية".​​ 
1.8 “​​ إل جي بي دي​​ «يعني قانون البرازيل رقم. 13.709، القانون العام لحماية البيانات الشخصية، كما قد يتم تعديله أو استبداله أو استبداله.​​ 
1.9 “​​ سياسة الخصوصية​​ " تعني سياسة الخصوصية الخاصة ب G-P، كما يتم تحديثها من وقت لآخر، والمتوفرة على​​   
1.10 “​​ بيانات المحترفين​​ " تعني البيانات الشخصية للمحترفين التي تعالجها G-P خلال تقديم خدمات مؤسسة تُدير شؤون الموظفين للعملاء.​​ 
1.11 "​​ نقل مقيد​​  يعني أي نقل للبيانات الشخصية إلى دولة خارج المنطقة الاقتصادية الأوروبية أو المملكة المتحدة أو سويسرا أو البرازيل لا تخضع لقرار الكفاءة بموجب قوانين حماية البيانات المعمول بها، وبالتالي يتطلب ضمانات مناسبة بموجب قوانين حماية البيانات المعمول بها.​​ 
1.12 “​​ خدمات"​​  يقصد​​  الخدمات​​  سيتم توفيرها من قبل G-P للعميل بموجب الاتفاقية الرئيسية والتي قد تتضمن توفير خدمات مؤسسة تُدير شؤون الموظفين والوصول إلى GPP واستخدامه.​​ 
1.13 "​​ بنود التعاقد القياسية​​  أو​​  "SCCs"​​  يعني (أ) في حال انطباق اللائحة العامة لحماية البيانات (GDPR)، البنود التعاقدية القياسية المرفقة بقرار التنفيذ الصادر عن المفوضية الأوروبية (الاتحاد الأوروبي) 2021/914 بتاريخ 4 يونيو 2021 والبنود التعاقدية القياسية لنقل البيانات الشخصية إلى دول ثالثة وفقًا للائحة (الاتحاد الأوروبي) 2016/679 الصادرة عن البرلمان الأوروبي والمجلس، والمتاحة على​​   ("لجان الاتحاد الأوروبي الجنوبية"); (2) عندما تنطبق اللائحة العامة لحماية البيانات في المملكة المتحدة، فإن بنود حماية البيانات القياسية المعمول بها بموجب المادة 46(2)(ج)، أو (د) حيث تعني المملكة المتحدة اللائحة العامة لحماية البيانات ملحق نقل البيانات الدولي ("الملحق البريطاني") إلى بنود الاتحاد الأوروبي القياسية التعاقدية الصادرة عن مكتب مفوض المعلومات بموجب المادة119أ(1) من قانون حماية البيانات 2018، وبالتالي، يمكن تعديل الملحق البريطاني بموجب القسم 18 فيه ("SCCs البريطانية"); (3) عندما تنطبق قوانين حماية البيانات السويسرية، فإن بنود حماية البيانات القياسية المعمول بها التي تصدر أو توافق عليها أو تعترف بها من قبل هيئة حماية البيانات الفيدرالية السويسرية ومكتب مفوض المعلومات ("SCCs السويسرية"); حيث ينطبق قانون LGPD البرازيلي، فإن البنود التعاقدية القياسية المعمول بها، المرفقة بقرار CD/ANPD رقم 19/2024 تصدرها الهيئة الوطنية لحماية البيانات البرازيلية ("ANPD"), حيث يمكن تعديلها من وقت لآخر ("SCCs البرازيلي").​​ 
1.14 “​​ قوانين حماية البيانات السويسرية​​ " أو​​  "FADP"​​  يعني (1) قانون حماية البيانات الفيدرالي السويسري ("​​ FDPA​​ "); (ii) المرسوم المتعلق بالقانون الاتحادي لحماية البيانات ("​​ FODP​​ "); و (3) أي قوانين وطنية لحماية البيانات تم إصدارها بموجب أو وفقًا أو استبدالها أو خلفها وأي تشريع يحل محل أو يحدّث أيًا مما سبق.​​ 
1.15 “​​ ملحق المملكة المتحدة​​ " تعني ملحق نقل البيانات الدولي في المملكة المتحدة إلى بنود الاتحاد الأوروبي القياسية التعاقدية الصادرة عن مفوض المعلومات البريطاني.​​ 
1.16 “​​ قوانين حماية البيانات في المملكة المتحدة​​  يعني ذلك اللائحة العامة لحماية البيانات كما تم حفظها في قانون المملكة المتحدة بموجب القسم 3 من قانون الاتحاد الأوروبي (الانسحاب) للمملكة المتحدة 2019 ("اللائحة العامة لحماية البيانات في المملكة المتحدة") وقانون حماية البيانات 2018 (معًا، "قوانين حماية البيانات في المملكة المتحدة").​​ 
1.17 “​​ قوانين الخصوصية الأمريكية​​ " تعني قوانين الولايات المتحدة الأمريكية (US) المعمول بها، والأوامر، واللوائح، والتوجيهات التنظيمية المتعلقة بمعالجة البيانات الشخصية بما في ذلك على سبيل المثال لا الحصر: (أ) قانون خصوصية المستهلك في كاليفورنيا (CCPA)؛ (ب) قانون حماية بيانات المستهلك في ولاية فرجينيا؛ (ج) قانون الخصوصية في ولاية كولورادو؛ (د) قانون ولاية كونيتيكت المتعلق بخصوصية البيانات والمراقبة عبر الإنترنت؛ (هـ) قانون خصوصية المستهلك في ولاية يوتا؛ و (و) جميع قوانين الولايات المماثلة.​​ 
1.18 "​​ "المتحكم" "صاحب البيانات" "البيانات الشخصية" "المعلومات الشخصية" "خرق البيانات" "المعالج" "المعالجة" "النقل المقيد" "مقدم الخدمة"​​  و/أو أي مصطلحات ومفاهيم أخرى مماثلة يجب أن يكون لها المعاني المحددة في قوانين حماية البيانات.​​ 
 
 

2. العلاقة بين المراقب المستقل والمراقب​​  

2.1​​  أدوار الأطراف.​​  عندما يقدم G-P للعميل خدمات مؤسسة تُدير شؤون للموظفين، يتولى G-P دور صاحب العمل القانوني لأي فرد يختاره العميل ("المحترفين") لتوظيفهم. فيما يتعلق بالبيانات الشخصية لهؤلاء المهنيين، فإن G-P هو مراقب مستقل خلال فترة علاقة العمل. فيما يتعلق بالبيانات الشخصية للمهنيين التي يجمعها العميل ويستخدمها لأغراضه الخاصة، فإن العميل هو أيضًا جهة تحكم مستقلة ذات التزامات خصوصية مستقلة. عند تقديم خدمات مؤسسة تُدير شؤون الموظفين (Foundation، حيث يتم تبادل البيانات الشخصية للمحترفين بين G-P والعميل ضمن علاقة مستقلة بين المتحكم والمراقب، ويجب تطبيق أحكام هذا القسم 2 ("علاقة المتحكم المستقل-المتحكم المستقل"). لن تقوم الأطراف بأي حال من الأحوال بمعالجة البيانات الشخصية بموجب اتفاقية حماية البيانات هذه بصفتها جهات تحكم مشتركة.​​ 
2.2​​  المسؤوليات والإقرارات​​ يتعين على الأطراف، بصفتهم جهات تحكم، ما يلي:​​ 
2.2.1 الامتثال لقوانين حماية البيانات المعمول بها فيما يتعلق بمعالجة البيانات الشخصية للمهنيين.​​ 
2.2.2 معالجة ومشاركة البيانات الشخصية للمهنيين بشكل عادل وقانوني لغرض (حسب الحالة) أداء أو تلقي خدمات موظفي مؤسسة تدر الإنسانية لمصالحها المشروعة.​​ 
2.2.3 تأكد من وجود أساس قانوني لمعالجة البيانات لأي مشاركة للبيانات الشخصية للمهنيين بين الأطراف.​​ 
2.2.4 مساعدة بعضهم البعض في الامتثال لالتزاماتهم بموجب قوانين حماية البيانات، بما في ذلك على سبيل المثال لا الحصر، مساعدة بعضهم البعض في حالة حدوث خرق للبيانات، والاستجابة لطلبات أصحاب البيانات و/أو الجهات التنظيمية.​​  
 

3. العلاقة بين وحدة التحكم ووحدة المعالجة​​ 

3.1​​  أدوار الأطراف​​ . تقدم G-P أيضا منتجات برمجية كخدمة متنوعة عبر GPP تتيح ل G-P العملاء إدارة العلاقة مع هؤلاء المحترفين. عندما توفر G-P للعميل الوصول إلى GPP، يكون G-P هو المعالج للبيانات الشخصية المتعلقة بالحساب التي يتم رفعها إلى GPP من قبل المستخدمين المخولين المعينين من قبل العميل في GPP، والعميل هو المسؤول عن هذه البيانات، وتنطبق أحكام هذا القسم 3 ("علاقة المتحكم والمعالج").​​ 
3.2​​  تعليمات.​​  ستقوم G-P بمعالجة بيانات العميل وفقًا لتعليمات العميل الموثقة.  يوافق العميل على أن اتفاقية حماية البيانات هذه، والاتفاقية الرئيسية، والملحق الأول المرفق أدناه، تشكل تعليمات العميل الكاملة لشركة G-P فيما يتعلق بمعالجة بيانات العميل.  يجب الاتفاق بين الطرفين كتابةً على أي تعليمات إضافية أو بديلة، بما في ذلك التكاليف (إن وجدت) المرتبطة بالامتثال لهذه التعليمات.  سيضمن العميل أن تعليماته تتوافق مع قوانين حماية البيانات المعمول بها. يقر العميل بأن G-P ليست مسؤولة عن تحديد القوانين التي تنطبق على أعمال العميل. يضمن العميل أن معالجة شركة G-Pلبيانات العميل، عند القيام بها وفقًا لتعليمات العميل، لن تتسبب في انتهاك G-P لأي قانون ساري المفعول، بما في ذلك قوانين حماية البيانات المعمول بها. ومع ذلك، إذا رأت G-P أن تعليمات العميل تنتهك قوانين حماية البيانات المعمول بها، فيجب على G-P إخطار العميل في أقرب وقت ممكن عمليًا، ولن يُطلب منها الامتثال لهذه التعليمات المخالفة.​​  
3.3​​  تفاصيل المعالجة​​ . تفاصيل موضوع المعالجة ومدتها وطبيعتها والغرض منها ونوع بيانات العميل وموضوعات البيانات هي كما هو محدد في الملحق الأول المرفق بهذه الوثيقة.​​   
3.4​​  الامتثال.​​  يتفق العميل وG-P على الامتثال لالتزاماتهما بموجب قوانين حماية البيانات المطبقة على بيانات العميل التي تتم معالجتها كما هو محدد في الملحق الأول. يتحمل العميل المسؤولية الكاملة للامتثال لقوانين حماية البيانات المتعلقة بقانونية معالجة بيانات العملاء قبل الكشف عن أو نقل أو توفير أي بيانات عميل إلى G-P.  لتجنب الشك، في جميع الحالات، يجب على العميل، عند الحاجة، الحصول على أي موافقات من جهات البيانات G-P لمعالجة بيانات العميل حسب توجيهات العميل.​​ 
3.5​​  المعالجات الفرعية​​ . يُفوض العميل G-P بتعيين واستخدام معالجي البيانات ("المعالجين الفرعيين") لمعالجة بيانات العميل فيما يتعلق بالخدمات.  قد يشمل المعالجون الفرعيون أطرافًا ثالثة أو أي عضو في مجموعة شركات G-P . يجوز G-P الاستمرار في استخدام المعالجين الفرعيين الذين سبق لشركة G-P التعاقد معهم اعتبارًا من تاريخ اتفاقية حماية البيانات هذه، وتتوفر قائمة بهؤلاء المعالجين الفرعيين في الملحق الثالث المرفق أدناه. في حالة فشل المعالج الفرعي في الوفاء بالتزاماته المتعلقة بالحماية والحماية كما هو محدد أعلاه، فإن G-P تكون مسؤولة أمام العميل عن أداء التزامات المعالج الفرعي. يتعين على G-P إخطار العميل بأي تغييرات تطرأ على قائمة المعالجات الفرعية الخاصة به من خلال GPP. إذا اعترض العميل بشكل مشروع، في غضون 10 (10) أيام من استلام ذلك الإشعار، على إضافة أو إزالة معالج فرعي لأسباب تتعلق بالحماية، ولم يتمكن G-P من تلبية اعتراض العميل بشكل معقول، فسوف يناقش الطرفان مخاوف العميل بحسن نية بهدف حل المسألة.​​ 
3.6​​  تدابير الأمن الفني والتنظيمي​​ . مع الأخذ في الاعتبار معايير الصناعة، وتكاليف التنفيذ، وطبيعة ونطاقها، وسياق وأغراض المعالجة، وأي ظروف أخرى ذات صلة تتعلق بمعالجة بيانات العملاء، يجب على G-P تنفيذ تدابير أمنية تقنية وتنظيمية مناسبة لضمان الأمان، والسرية، والنزاهة، والتوافر، والمرونة لأنظمة وخدمات المعالجة المشاركة في معالجة بيانات العملاء بما يتناسب مع المخاطر المتعلقة ب مثل بيانات العملاء، كما هو موضح في الملحق الثاني المرفق هنا.  ستقوم G-P بشكل دوري (1) باختبار ومراقبة فعالية الضمانات والضوابط والأنظمة والإجراءات، و(2) تحديد المخاطر الداخلية والخارجية المتوقعة بشكل معقول على أمن وسرية وسلامة بيانات العملاء، وضمان معالجة هذه المخاطر.​​  
3.7​​  السرية​​ . يجب على G-P ضمان أن الأشخاص المصرح لهم بالوصول إلى بيانات العميل (1) قد التزموا بالسرية أو يخضعون لالتزام قانوني مناسب بالسرية و (2) الوصول إلى بيانات العميل فقط بناءً على تعليمات موثقة من G-P ، ما لم يكن ذلك مطلوبًا بموجب القانون المعمول به.​​ 
3.8​​  خرق البيانات الشخصية.​​  ستقوم G-P بإخطار العميل دون تأخير لا مبرر له بمجرد علمها بحدوث خرق للبيانات يتعلق بمعالجة بيانات العميل، وستبذل جهودًا معقولة لمساعدة العميل في التخفيف، قدر الإمكان، من الآثار السلبية لأي خرق للبيانات.​​ .​​ 
3.9​​  حذف البيانات الشخصية.​​   عند انتهاء صلاحية الخدمات (لأي سبب من الأسباب)، يجب على G-P ، في أقرب وقت ممكن عمليًا، إعادة أو حذف بيانات العميل المخزنة في GPP ما لم يتطلب القانون المعمول به تخزين بيانات العميل لفترة أطول. لهذا الاحتفاظ، يستمر تطبيق أحكام DPA هذه على بيانات العميل هذه.​​ 
3.10​​  طلبات موضوع البيانات​​ .  يجب على G-P إبلاغ العميل بسرعة بأي طلبات من أشخاص البيانات بخصوص بيانات العملاء. يتحمل العميل مسؤولية الاستجابة لهذه الطلبات. سيساعد G-P العميل بشكل معقول على الاستجابة لطلبات موضوع البيانات إلى الحد الذي لا يتمكن فيه العميل من الوصول إلى بيانات العميل ذات الصلة أثناء استخدامه ل GPP.​​  
3.11​​  طلبات الطرف الثالث​​ إذا تلقت G-P أي طلبات من أطراف ثالثة أو أمر من أي محكمة أو هيئة قضائية أو جهة تنظيمية أو وكالة حكومية ذات اختصاص قضائي تخضع لها G-P فيما يتعلق بمعالجة بيانات العملاء بموجب الاتفاقية، فسوف تقوم G-P على الفور بإعادة توجيه الطلب إلى العميل. لن تستجيب G-P لمثل هذه الطلبات دون الحصول على إذن مسبق من العميل إلا إذا كانت ملزمة قانونًا بذلك. ستقوم G-P ، ما لم يُحظر عليها قانونًا القيام بذلك، بإبلاغ العميل مسبقًا بأي إفصاح عن بيانات العميل، وستتعاون بشكل معقول مع العميل للحد من نطاق هذا الإفصاح إلى ما هو مطلوب قانونًا.​​   
3.12​​  تقييم تأثير حماية البيانات والاستشارة المسبقة​​ . إلى الحد الذي تتطلبه قوانين حماية البيانات، يجب على G-P تقديم مساعدة معقولة للعميل لإجراء تقييم للحماية والأثر فيما يتعلق بمعالجة بيانات العميل التي تقوم بها G-P و/أو أي استشارة مسبقة مطلوبة مع السلطات الإشرافية. تحتفظ G-P بالحق في فرض رسوم معقولة على العميل مقابل تقديم هذه المساعدة.​​ 
3.13​​  التدقيق.​​   Customer may audit G-P compliance with this DPA and Data Protection Laws by requesting a certificate issued for security verification reflecting the outcome of an audit conducted by a third party auditor (e.g., ISO27001 certification, SOC2 certificate), within twelve (12) months as of the date of Customer’s request. Alternatively, in the event the documentation provided subject to this Section 3.13 is not sufficient for the purpose of demonstrating compliance, the Customer may conduct its own audit in addition to the provided third party certifications or reports, provided that such audit shall be conducted: i) no more than once per each 12 (twelve) months period; ii) during normal business hours and without disrupting G-P’s day-to-day business; iii) with thirty (30) days prior written notice; iv) at the Customer’s sole expense; v) based upon mutually agreed parameters and scope, limited to the specific scope of services, systems in use and/or Processing activities contemplated hereunder; vi) based upon mutually agreed in advance date, subject to reasonable postponement by Customer upon G-P’s reasonable request; and vii) in accordance with all confidentiality obligations and restrictions. Notwithstanding the forgoing, no audit right is granted after termination of the Master Agreement, except for legal obligations that will have to be demonstrated by the Customer. Any third-party representative selected to perform an audit on behalf of Customer must not have an ownership interest in or affiliation with an EOR services company, agency, a related organization or consultant. Nothing in this DPA will require G-P to either disclose to Customer or its third-party auditor, or to allow Customer or its third-party auditor to access: (i) any data of any other G-P’s customer; (ii) G-P’ internal accounting or financial information; (iii) any trade secret of G-P or its affiliates; (iv) any information that, in G-P’ reasonable opinion, could compromise the security of any G-P’s systems or cause any breach of its obligations under applicable law or its security or privacy obligations to any third party; or (v) any information that Customer or its third-party auditor seeks to access for any reason other than the good faith fulfillment of Customer’s obligations under the Data Protection Laws.​​ 
3.14​​  قوانين الخصوصية الأمريكية.​​  بموجب هذا القسم 3، يتفق الطرفان على أن G-P هو "مزود خدمة" أو "معالج" كما تعرف هذه المصطلحات بموجب قوانين الخصوصية الأمريكية المعمول بها. وبناء عليه، وبقدر ما تنطبق قوانين الخصوصية الأمريكية على معالجة بيانات العملاء بواسطة G-P، يجب على G-P ألا تحتفظ (أ) بأي بيانات عميل أو تستخدم أو تكشف عن أي بيانات خارج العلاقة التجارية المباشرة بين G-P والعميل، أو لأي غرض غير الغرض المنصوص عليه في الملحق الأول المرفق هنا، ويجب على G-P معالجة بيانات العملاء فقط طالما أنها تقدم خدمات للعميل؛ (ب) بيع أي بيانات عميل؛ (ج) مشاركة أي بيانات عميل؛ أو (د) دمج بيانات العميل التي يتلقاها G-P من العميل أو نيابة عنه مع "البيانات الشخصية" (كما يعرف هذا المصطلح أو ما يعادلها بموجب قوانين حماية البيانات المعمول بها) التي يتلقاها من شخص آخر أو نيابة عنه، أو تجمعها من تفاعله الخاص مع المستهلك، بشرط أن يدمج G-P بيانات العميل إذا كان ذلك ضمن نطاق تقديم الخدمات للعميل. حيثما ينطبق ذلك، يتعين على كل طرف إخطار الطرف الآخر إذا توصل إلى قرار بأنه لم يعد بإمكانه الوفاء بالتزاماته بموجب قوانين الخصوصية الأمريكية.​​ 
 

4. عمليات نقل البيانات الدولية​​ 

4.1​​  حماية مناسبة​​ . يسمح ل G-P، في سير العمل العادي، بإجراء نقل بيانات العملاء عالميا إلى الشركات التابعة لها و/أو معالجاتها الفرعية.  عند إجراء مثل هذه التحويلات إلى إقليم لم تعترف به السلطات المختصة لحماية البيانات على أنه يوفر مستوى كاف من الحماية للبيانات الشخصية وفقا لقوانين حماية البيانات، يجب على G-P التأكد من وجود الحماية المناسبة لحماية بيانات العملاء المنقولة بموجب أو فيما يتعلق بالاتفاقية الرئيسية.​​ 
4.2​​  إطار عمل خصوصية البيانات.​​  مهنيون​​  ويتم تخزين بيانات العملاء في GPP المستضاف في الولايات المتحدة. وG-P معتمد بموجب إطار عمل خصوصية البيانات الأوروبي-الأمريكي (EU-U.S. DPF)، وحسب الاقتضاء، الامتداد البريطاني لإطار حماية البيانات بين الاتحاد الأوروبي والولايات المتحدة، ونظام سويسرا-الولايات المتحدة. إطار عمل خصوصية البيانات (سويسرا-الولايات المتحدة) DPF). يمكن تأكيد شهادة G-P علنا على موقع DPF الإلكتروني​​   . اعتبرت المفوضية الأوروبية إطار عمل خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة كافيا، حيث كان آلية نقل بيانات قانونية بموجب المادة 45 من اللائحة العامة لحماية البيانات، والمملكة المتحدة اللائحة العامة لحماية البيانات، وFADP على التوالي. إذا تم إبطال أو تعليق إطار عمل بيانات البيانات أو عدم الاعتراف به بأي شكل من الأشكال كتوفير حماية كافية لنقل البيانات الدولية، يوافق المعالج على الدخول في والامتثال للوائح SCC الصادرة أو الموافقة من المفوضية الأوروبية، أو مكتب مفوض المعلومات البريطاني (ICO)، أو المفوض الفيدرالي السويسري لحماية البيانات والمعلومات (FDPIC)، حسب الاقتضاء. يتعين على الطرفين التعاون بحسن نية لتنفيذ أي تدابير تكميلية مطلوبة لضمان مستوى حماية مكافئ بشكل أساسي للبيانات المنقولة.​​ 
4.3​​  البنود التعاقدية القياسية.​​  يتفق الطرفان على أنه عندما يكون نقل البيانات الشخصية من العميل (بصفته "مصدر بيانات") إلى G-P (بصفته "مستورد بيانات") تحويلا مقيدا، وتتطلب قوانين حماية البيانات المعمول بها وضع ضمانات مناسبة، فإن هذا النقل يخضع للبنود التعاقدية القياسية المناسبة، والتي تعتبر مدمجة وجزءا من هذا الاتفاق. كما يلي:​​ 
أ. فيما يتعلق بنقل البيانات الشخصية المحمية من قبل اللائحة العامة لحماية البيانات (GDPR)، يجب أن تطبق قواعد الاتحاد الأوروبي SCCs، مع الانتهاء كما يلي:​​ 
أولاً: ينطبق البندان الأول والثاني؛​​ 
ii. في البند 7 ، سيتم تطبيق بند الإرساء الاختياري؛​​ 
ثالثًا. في البند 9 من الوحدة الثانية، سيتم تطبيق الخيار 2 ، وستكون الفترة الزمنية للإخطار المسبق بتغييرات المعالج الفرعي كما هو موضح في القسم 3.5 من اتفاقية حماية البيانات هذه؛​​ 
رابعاً: في البند 11 ، لن يتم تطبيق اللغة الاختيارية؛​​ 
v. في البند 12 ، تخضع أي مطالبات مقدمة بموجب بنود التعاقد القياسية للاتحاد الأوروبي للشروط والأحكام المنصوص عليها في الاتفاقية الرئيسية؛​​ 
vi. في البند 17 ، سيتم تطبيق الخيار 1 ، وستخضع بنود التعاقد القياسية للاتحاد الأوروبي للقانون الأيرلندي ؛​​ 
vii. في البند 18(ب)، يتم حل النزاعات أمام محاكم أيرلندا؛​​ 
ثامناً. يُعتبر الملحق الأول من بنود التعاقد القياسية للاتحاد الأوروبي مكتملاً بالمعلومات الواردة في الملحق 1 من اتفاقية حماية البيانات هذه؛​​ 
9. يعتبر الملحق الثاني من بنود التعاقد القياسية للاتحاد الأوروبي مكتملاً بالمعلومات الواردة في الملحق 2 من اتفاقية حماية البيانات هذه؛​​ 
x. يعتبر الملحق الثالث من الوحدة الثانية من بنود التعاقد القياسية للاتحاد الأوروبي مكتملاً بالمعلومات الواردة في الملحق 3 من اتفاقية حماية البيانات هذه.​​ 
ب. فيما يتعلق بنقل البيانات الشخصية المحمية بموجب قوانين حماية البيانات في المملكة المتحدة أو قوانين حماية البيانات السويسرية، فإن بنود التعاقد القياسية للاتحاد الأوروبي كما تم تنفيذها بموجب الفقرات الفرعية (أ) أعلاه ستنطبق مع التعديلات التالية:​​ 
i. يجب تفسير الإشارات إلى "اللوائح (الاتحاد الأوروبي) 2016/679" على أنها إشارات إلى قوانين حماية البيانات في المملكة المتحدة أو قوانين حماية البيانات السويسرية (حسب الاقتضاء)؛​​ 
ii. يجب استبدال الإشارات إلى مواد محددة من "اللائحة (الاتحاد الأوروبي) 2016/679" بالمادة أو القسم المكافئ من قوانين حماية البيانات في المملكة المتحدة أو قوانين حماية البيانات السويسرية (حسب الاقتضاء)؛​​ 
ثالثًا: يجب استبدال الإشارات إلى "الاتحاد الأوروبي" و"الاتحاد" و"الدولة العضو" و"قانون الدولة العضو" بالإشارات إلى "المملكة المتحدة" أو "سويسرا" أو "قانون المملكة المتحدة" أو "القانون السويسري" (حسب الاقتضاء)؛​​ 
رابعاً: لا يجوز تفسير مصطلح "الدولة العضو" بطريقة تستبعد أصحاب البيانات في المملكة المتحدة أو سويسرا من إمكانية رفع دعوى قضائية للمطالبة بحقوقهم في مكان إقامتهم المعتاد (أي المملكة المتحدة أو سويسرا)؛​​ 
v. لا يتم استخدام البند 13(أ) والجزء ج من الملحق الأول، و"سلطة الإشراف المختصة" هي مفوض المعلومات في المملكة المتحدة أو مفوض المعلومات الفيدرالي السويسري لحماية البيانات (حسب الاقتضاء)؛​​ 
vi. يجب استبدال الإشارات إلى "سلطة الإشراف المختصة" و "المحاكم المختصة" بالإشارات إلى "مفوض المعلومات" و "محاكم إنجلترا وويلز" أو "مفوض المعلومات الفيدرالي السويسري لحماية البيانات" و "المحاكم السويسرية المختصة" (حسب الاقتضاء)؛​​ 
سابعاً: في البند 17 ، تخضع بنود العقد القياسية لقوانين إنجلترا وويلز أو سويسرا (حسب الاقتضاء)؛ و​​ 
ثامناً. فيما يتعلق بعمليات النقل التي تنطبق عليها قوانين حماية البيانات في المملكة المتحدة، يتم تعديل البند 18 لينص على "أي نزاع ينشأ عن هذه البنود يتم حله من قبل محاكم إنجلترا وويلز". يجوز لصاحب البيانات رفع دعوى قضائية ضد مُصدِّر البيانات و/أو مُستورد البيانات أمام محاكم أي دولة في المملكة المتحدة. "يوافق الطرفان على الخضوع لاختصاص هذه المحاكم"، وفيما يتعلق بعمليات النقل التي تنطبق عليها قوانين حماية البيانات السويسرية، ينص البند 18(ب) على أنه يجب حل النزاعات أمام المحاكم السويسرية المختصة.​​ 
9. فيما يتعلق بالبيانات المحمية بموجب اللائحة العامة لحماية البيانات في المملكة المتحدة، سيتم تطبيق بنود التعاقد القياسية للاتحاد الأوروبي على النحو التالي: (أ) يتم تطبيقها كما تم استكمالها وفقًا للفقرات من (أ) إلى (8) أعلاه؛ و(ب) يتم اعتبارها معدلة على النحو المحدد في الجزء 2 من الملحق البريطاني، والذي سيتم اعتباره جزءًا لا يتجزأ من اتفاقية حماية البيانات هذه. بالإضافة إلى ذلك، يجب استكمال الجداول 1 إلى 3 في الجزء 1 من ملحق المملكة المتحدة على التوالي بالمعلومات الواردة في الملحق الأول والملحق الثاني من اتفاقية حماية البيانات هذه، ويعتبر الجدول 4 في الجزء 1 من ملحق المملكة المتحدة مكتملاً باختيار "لا أحد من الطرفين".​​ 
ج. فيما يتعلق بنقل البيانات الشخصية المحمية بموجب قانون حماية البيانات الشخصية البرازيلي (LGPD)، سواء بشكل مباشر أو عن طريق النقل اللاحق، إلى دولة خارج البرازيل لا تخضع لقرار كفاية صادر عن الوكالة الوطنية لحماية البيانات (ANPD)، فسيتم اعتبار بنود التعاقد القياسية البرازيلية (SCCs) مبرمة ومدمجة في اتفاقية حماية البيانات هذه بالإشارة إليها، وسيتم استكمالها على النحو التالي:​​ 
i. يتم استيفاء البند 2 من بنود التعاقد القياسية البرازيلية من خلال المعلومات الواردة في الملحق الأول، والذي يصف نقل البيانات؛​​ 
ii. في البند 3 من بنود التعاقد القياسية البرازيلية، يتم تطبيق الخيار ب، مع السماح بعمليات النقل اللاحقة وفقًا للقسم 3.5 ("المعالجون الفرعيون") من اتفاقية حماية البيانات هذه. تم تحديد موضوع المعالجة وطبيعتها ومدتها في الملحق الأول من اتفاقية حماية البيانات هذه؛​​ 
ثالثاً. يتم استيفاء البند 4 من بنود التعاقد القياسية البرازيلية من خلال المعلومات الواردة في الملحق الأول من اتفاقية حماية البيانات هذه. عندما تكون G-P جهة تحكم، فإنها ستكون "الطرف المعين"، كما هو محدد في بنود التعاقد القياسية البرازيلية، ولأغراض البند 14 (الشفافية)، والبند 15 (حقوق أصحاب البيانات)، والبند 16 (الإبلاغ عن الحوادث) من بنود التعاقد القياسية البرازيلية. يظل العميل مسؤولاً عن الامتثال للبند 14 (الشفافية)، والبند 15 (حقوق أصحاب البيانات)، والبند 16 (الإبلاغ عن الحوادث) من بنود التعاقد القياسية البرازيلية لأي بيانات شخصية قد يكون هو المتحكم بها بخلاف ذلك؛​​ 
رابعاً. في البند 9 من بنود التعاقد القياسية البرازيلية، لن ينطبق بند الإرساء الاختياري؛ و​​ 
v. يعتبر القسم الثالث (التدابير الأمنية) من البنود التعاقدية القياسية البرازيلية مكتملاً بالمعلومات الواردة في الملحق الثاني من اتفاقية حماية البيانات هذه.​​ 
4.4​​  عمليات نقل البيانات غير المتوقعة​​ إذا اكتشف أي من الطرفين، أثناء تقديم الخدمات، حدوث نقل للبيانات الشخصية أو احتمال حدوثه، وهو نقل لم تتم معالجته بالفعل بالآليات المنصوص عليها في البنود من 4 إلى 1 و 4 3 من اتفاقية حماية البيانات هذه، فعلى الطرفين إخطار بعضهما البعض على الفور والتعاون بحسن نية لتنفيذ آليات نقل إضافية أو تدابير تكميلية، دون تأخير لا مبرر له، حسبما تقتضيه قوانين حماية البيانات المعمول بها لضمان مشروعية هذا النقل. لا يُطلب من أي من الطرفين المضي قدماً في أي عملية نقل غير متوقعة من هذا القبيل حتى يتم الاتفاق على الآلية المناسبة ووضعها موضع التنفيذ.​​ 
 

المرفق الأول​​  

وصف معالجة البيانات​​ 
تفاصيل العلاقة بين المراقب المستقل والمراقب​​ 
(يتعلق هذا القسم بتفاصيل البيانات الشخصية التي يتم تبادلها بين الأطراف بصفتهم جهات تحكم)​​ 
الأطراف​​ 
مصدر البيانات: كيان العميل الذي ينفذ الاتفاقية الرئيسية​​ 
مستورد البيانات: شركة Globalization Partners LLC.​​ 
تفاصيل الاتصال بالأطراف​​ 
تفاصيل الاتصال كما هو موضح في الاتفاقية الرئيسية.​​ 
الأنشطة ذات الصلة بالبيانات المنقولة​​ 
الأنشطة المتعلقة بخدمات إدارة شؤون الموظفين.​​ 
الأدوار​​ 
مُصدِّر البيانات: وحدة التحكم.​​ 
مستورد البيانات: وحدة التحكم.​​ 
أنشطة المعالجة​​ 
قد تخضع البيانات الشخصية المعالجة / المنقولة لأنشطة المعالجة التالية: أي عملية تتعلق بالبيانات الشخصية بغض النظر عن الوسائل والإجراءات المطبقة، وخاصة جمع وتنظيم وتخزين واحتفاظ واستخدام واسترجاع واستشارة وأرشفة ونقل وحظر أو مسح أو تدمير البيانات، وتشغيل وصيانة الأنظمة، والامتثال، والوظائف القانونية والتدقيق.​​ 
مدة المعالجة​​ 
مدة الاتفاقية الرئيسية وبشكل مستمر.​​ 
طبيعة المعالجة والغرض منها​​ 
يجوز للعميل نقل بيانات العميل إلى G-P ، ويتم تحديد نطاق ذلك والتحكم فيه من قبل العميل وفقًا لتقديره الخاص. الغرض من المعالجة هو توفير خدمات إدارة شؤون الموظفين وفقًا للاتفاقية الرئيسية.​​ 
فئات أصحاب البيانات​​ 
محترفون.​​ 
أنواع البيانات الشخصية​​ 
بيانات الاتصال (والتي قد تشمل الاسم والعنوان وعنوان البريد الإلكتروني ورقم الهاتف والفاكس وتفاصيل الاتصال في حالات الطوارئ ومعلومات المنطقة الزمنية المحلية ذات الصلة).​​ 
تفاصيل التوظيف (قد تشمل التعليم، سيرة ذاتية، المسمى الوظيفي، الدرجة، الديموغرافيا، بيانات الموقع، حالة الجنسية والتصدير، راتب، المكافأة).​​ 
محتوى البريد الإلكتروني الخاص بأصحاب البيانات.​​ 
تفاصيل الخدمات المقدمة إلى أو لصالح أصحاب البيانات.​​ 
فئات خاصة من البيانات (إذا كان ذلك مناسبًا)​​  
غير متوفر​​ 
الاحتفاظ​​ 
سيتم الاحتفاظ بالبيانات الشخصية على الأقل ما دامت أي فترة احتفاظ دنيا مفروضة قانونًا، بما يتوافق مع قوانين التقادم المعمول بها ويلبي الممارسات التجارية الجيدة.​​ 
السلطة الإشرافية المختصة​​ 
يتم تحديد السلطة الإشرافية المختصة وفقًا لقوانين حماية البيانات المعمول بها، ويجب أن تشمل: لجنة حماية البيانات الأيرلندية (لائحة اللائحة لحماية البيانات العامة بالاتحاد الأوروبي)؛ المفوض الفيدرالي السويسري لحماية البيانات والمعلومات / FDPIC (بالنسبة لـ FADP السويسرية)؛ مكتب مفوض المعلومات بالمملكة المتحدة / ICO (للمملكة المتحدة اللائحة العامة لحماية البيانات)؛ و Autoridade Nacional de Proteção de Dados / ANPD (لالبرازيل LGPD).​​ 
عمليات النقل إلى المعالجات الفرعية​​  
بالنسبة لعمليات النقل إلى المعالجات، فإن موضوع المعالجة وطبيعتها ومدتها هي نفسها المحددة أعلاه.​​ 
تفاصيل الاتصال بخصوصية G-P​​  
 
Attn: مكتب الخصوصية العالمي.​​  
 
 
 
تفاصيل العلاقة بين وحدة التحكم والمعالج​​ 
(يتعلق هذا القسم بتفاصيل البيانات الشخصية التي تتم معالجتها بواسطة G-P نيابة عن العميل)​​ 
الأطراف​​ 
مصدر البيانات: كيان العميل الذي ينفذ الاتفاقية الرئيسية​​ 
مستورد البيانات: شركة Globalization Partners LLC.​​ 
تفاصيل الاتصال بالأطراف​​ 
تفاصيل الاتصال كما هو موضح في الاتفاقية الرئيسية.​​ 
الأنشطة ذات الصلة بالبيانات المنقولة​​ 
الأنشطة المتعلقة بخدمات إدارة شؤون الموظفين واستخدام GPP المقدمة للعميل كخدمة.​​ 
الأدوار​​ 
مُصدِّر البيانات: وحدة التحكم​​ 
مستورد البيانات: المعالج​​ 
أنشطة المعالجة​​ 
قد تخضع البيانات الشخصية التي تتم معالجتها / نقلها لأنشطة المعالجة التالية: أي عملية تتعلق بالبيانات الشخصية بغض النظر عن الوسائل والإجراءات المطبقة، ولا سيما جمع البيانات وتنظيمها وتخزينها وحفظها واستخدامها واسترجاعها والاستشارات وأرشفتها ونقلها وحظرها ومحوها أو تدميرها، وتشغيل الأنظمة وصيانتها، والامتثال والوظائف القانونية ووظائف التدقيق.​​ 
مدة المعالجة​​ 
مدة الاتفاقية الرئيسية وبشكل مستمر.​​ 
طبيعة المعالجة والغرض منها​​ 
يجوز للعميل نقل بيانات العميل إلى G-P ، ويتم تحديد نطاق ذلك والتحكم فيه من قبل العميل وفقًا لتقديره الخاص. الغرض من المعالجة هو تقديم GPP كخدمة للعميل وفقًا للاتفاقية الرئيسية.​​ 
فئات أصحاب البيانات​​ 
المستخدمون المعتمدون لبرنامج GPP والذين قد يشملون موظفي العميل و/أو المتعاقدين معه.​​ 
أنواع البيانات الشخصية​​ 
تفاصيل الاتصال (مثل رقم الهاتف والبريد الإلكتروني).​​ 
بيانات الموظفين / المتعاقدين (مثل المسمى الوظيفي واسم الشركة).​​ 
بيانات الاستخدام (مثل البيانات حول جهاز المستخدم المعتمد وكيفية تفاعل هذا الجهاز مع GPP).​​ 
بيانات الموقع (مثل الموقع المشتق من عنوان IP).​​ 
بيانات المحتوى (مثل محتوى ملفات العميل المتعلقة بالمحترفين والاتصالات ذات الصلة).​​ 
بيانات الاعتماد (مثل كلمات المرور وتلميحات كلمات المرور ومعلومات الأمان المماثلة المستخدمة للمصادقة والوصول إلى الحساب إلى GPP).​​ 
أي بيانات شخصية يقدمها المستخدمون المصرح لهم.​​ 
فئات خاصة من البيانات (إذا كان ذلك مناسبًا)​​  
غير متوفر​​ 
الاحتفاظ​​ 
سيتم الاحتفاظ بالبيانات الشخصية على الأقل ما دامت أي فترة احتفاظ دنيا مفروضة قانونًا، بما يتوافق مع قوانين التقادم المعمول بها ويلبي الممارسات التجارية الجيدة.​​ 
السلطة الإشرافية المختصة​​ 
يتم تحديد السلطة الإشرافية المختصة وفقًا لقوانين حماية البيانات المعمول بها، ويجب أن تشمل: لجنة حماية البيانات الأيرلندية (لائحة اللائحة لحماية البيانات العامة بالاتحاد الأوروبي)؛ المفوض الفيدرالي السويسري لحماية البيانات والمعلومات / FDPIC (بالنسبة لـ FADP السويسرية)؛ مكتب مفوض المعلومات بالمملكة المتحدة / ICO (للمملكة المتحدة اللائحة العامة لحماية البيانات)؛ و Autoridade Nacional de Proteção de Dados / ANPD (لالبرازيل LGPD).​​ 
عمليات النقل إلى المعالجات الفرعية​​  
بالنسبة لعمليات النقل إلى المعالجات، فإن موضوع المعالجة وطبيعتها ومدتها هي نفسها المحددة أعلاه.​​ 
تفاصيل الاتصال بخصوصية G-P​​  
 
Attn: مكتب الخصوصية العالمي.​​  
 

المرفق الثاني​​ 

التدابير الفنية والتنظيمية​​ 

تم اعتماد وتصديق G-P لتأكيد توافقها مع معايير SOC 2 و ISO 27001 ، من قبل مدققين مستقلين. تُظهر هذه الشهادات التزامنا بتأمين بيانات العملاء. تم تصميم برنامج الأمن الخاص بشركة G-P من أجل:​​ 

حماية سرية وسلامة وتوفر بيانات العملاء التي بحوزتها G-P أو التي يملكها G-P؛​​ 

الحماية من أي تهديدات أو مخاطر متوقعة لسرية بيانات العميل وسلامتها وتوافرها؛​​ 

الحماية من الوصول غير المصرح به أو غير القانوني إلى بيانات العميل أو استخدامها أو الكشف عنها أو تغييرها أو إتلافها؛​​ 

الحماية من الفقد العرضي أو التدمير أو التلف الذي يلحق ببيانات العميل؛ و​​ 

حماية المعلومات وفقًا لما هو منصوص عليه في أي لوائح قد تخضع لها الممارسة G-P .​​ 

يصف ما يلي الوظائف والعمليات والضوابط والأنظمة والإجراءات والتدابير التي اتخذتها G-P لضمان أمن معالجة بيانات العملاء:​​ 

1) التدابير التقنية لضمان خصوصية البيانات وحمايتها​​ 

الخصوصية بالتصميم والافتراضي:​​ 

يأخذ G-P متطلبات المادة 25 اللائحة العامة لحماية البيانات بعين الاعتبار في مرحلة التصميم والتطوير لتطوير المنتج. يتم إعداد العمليات والوظائف بطريقة تراعي مبادئ حماية البيانات مثل الشرعية والشفافية وتحديد الغرض وتقليل البيانات وما إلى ذلك، بالإضافة إلى أمن المعالجة، في مرحلة مبكرة.​​ 

ب) تشفير البيانات الشخصية:​​ 

ضمان تخزين البيانات الشخصية في النظام بطريقة لا تسمح لأطراف ثالثة بتحديد هوية صاحب البيانات.​​ 

تشفير قواعد البيانات والتخزين:​​ 

في جميع قواعد البيانات التي يستخدمها G-P، يتم استخدام تشفير "في حالة راحة" حسب حالة التقنية بحيث لا يمكن قراءة البيانات من قاعدة البيانات إلا بعد المصادقة الصحيحة على نظام قاعدة البيانات المعني.​​ 

تشفير وسائط بيانات الهاتف المحمول:​​ 

لا يُسمح باستخدام شركات نقل البيانات عبر الهاتف المحمول لتخزين بيانات زبون.​​ 

تشفير وسائط تخزين البيانات على أجهزة الكمبيوتر المحمولة:​​ 

تم تثبيت أحدث تقنيات تشفير القرص الصلب المناسبة على جميع أجهزة الكمبيوتر المحمولة الخاصة بالموظفين.​​ 

تبادل المعلومات والملفات بشكل مشفر:​​ 

من حيث المبدأ، يتم تشفير تبادل المعلومات والملفات مباشرة عبر طلب خاص. إذا كان يجب نقل البيانات الشخصية أو المعلومات السرية إلى خوادم لا يمكن إرسالها عبر عمليات تحميل HTTPS المشفرة بتقنية TLS، فسيتم نقلها باستخدام بروتوكول نقل الملفات الآمن (SFTP) أو خدمة المغلف المشفر أو آلية تشفير أخرى وفقًا لأحدث التقنيات.​​ 

تشفير البريد الإلكتروني:​​ 

من حيث المبدأ، يتم تشفير جميع رسائل البريد الإلكتروني التي يرسلها موظفو G-P باستخدام TLS. قد تحدث استثناءات إذا كان خادم البريد المستلم لا يدعم بروتوكول TLS. يجب على العميل التأكد من أن خوادم البريد المستخدمة في نطاق الطلب تدعم تشفير TLS​​ 

ج) مراقبة الدخول​​ 

تهدف ضوابط القبول إلى منع استخدام ومعالجة البيانات المحمية بموجب قوانين حماية البيانات من قبل أشخاص غير مصرح لهم.​​ 

استخدام أساليب المصادقة​​ 

يتم الوصول إلى البيانات الشخصية دائمًا عبر بروتوكولات مشفرة: SSH، SSL/TLS، HTTPS أو بروتوكولات مماثلة. إجراءات المصادقة لنظام تكنولوجيا المعلومات: تسجيل الدخول إلى نظام تكنولوجيا المعلومات باستخدام المصادقة متعددة العوامل.​​ 

حظر تلقائي في حالة عدم النشاط​​ 

أجهزة الكمبيوتر المحمولة التي يستخدمها موظفو G-P مقفلة بكلمة مرور أو رمز PIN عندما لا يستخدمها المستخدم. بالإضافة إلى ذلك، يتم إعداد قفل شاشة تلقائي مع حماية بكلمة مرور بعد 15 دقيقة من عدم النشاط.​​ 

استخدام برامج مكافحة الفيروسات​​ 

أجهزة الكمبيوتر المحمولة التي يستخدمها موظفو G-P مزودة ببرامج مكافحة فيروسات متطورة يتم تحديثها باستمرار على جميع أنظمة تكنولوجيا المعلومات التشغيلية أو التجارية. من حيث المبدأ، لا يجوز تشغيل أي جهاز كمبيوتر بدون حماية من الفيروسات المدمجة إلا إذا تم اتخاذ تدابير أمنية أخرى مكافئة ومتطورة أو لم يكن هناك أي خطر. يجب عدم تعطيل إعدادات الأمان الافتراضية أو التحايل عليها.​​ 

"سياسة المكتب النظيف"​​ 

يطلب من موظفي G-P عدم طباعة أو تخزين البيانات الشخصية لأشخاص البيانات محليا، وعدم ترك مواد العمل في مكان يمكن لأطراف ثالثة رؤيتها فيه، وتخزين جميع مواد العمل بشكل صحيح. الوثائق التي يلزم G-P قانونيا بالاحتفاظ بها في نسخة ورقية تخزن في خزائن مغلقة.​​ 

د) ضوابط الوصول داخل المنصة​​ 

تضمن ضوابط الوصول أن الأشخاص المصرح لهم باستخدام نظام المعالجة لا يمكنهم الوصول إلا إلى البيانات الشخصية التي يغطيها تصريح الوصول الخاص بهم.​​ 

الأدوار والترخيص​​ 

الأدوار والصلاحيات - وصول العملاء: يمكن لمستخدمي العملاء عرض معلومات حساب زبون وتعديلها.​​ 

منصة الأدوار والصلاحيات – الوصول المهني: يمكن للمستخدمين المحترفين عرض وتعديل معلوماتهم المهنية.​​ 

يمكن للمحترفين أيضاً الحصول على دور الوصول إلى العملاء عند استيفاء المتطلبات والموافقة.​​ 

الأدوار ومنصة التفويض – الوصول الداخلي​​ 

يتمتع مستخدمو الوصول الداخلي بأدوار متنوعة. لديهم صلاحيات وصول متنوعة لإنشاء وعرض وتعديل والموافقة على ما يلي:​​ 

معلومات العميل​​ 

معلومات الفواتير​​ 

معلومات الشريك​​ 

معلومات سجلات الموظفين الفنيين​​ 

يقتصر الوصول إلى نظام الإدارة بشكل عام على الموظفين المدربين في مجالات دعم زبون وتطوير المنتجات.​​ 

هـ) جدار الحماية كخدمة​​ 

تستخدم G-P جدار حماية خارجي كخدمة تتيح لها منح أو حظر الوصول إلى المواقع لضمان عدم قدرة الأنظمة على الوصول إلى المحتوى الضار وتقييد الوصول إلى المحتوى غير المناسب.​​ 

و) سجل تسجيل الدخول إلى المنصة​​ 

يحتفظ G-P بسجل لجميع أنشطة تسجيل الدخول.​​ 

ز) قابلية الفصل​​ 

ضمان إمكانية معالجة البيانات الشخصية التي يتم جمعها لأغراض مختلفة بشكل منفصل وفصلها عن البيانات والأنظمة الأخرى بطريقة تمنع الاستخدام غير المخطط لهذه البيانات لأغراض أخرى.​​ 

فصل بيئات التطوير والاختبار والتشغيل​​ 

لا يجوز نقل البيانات من بيئة التشغيل إلى بيئات الاختبار أو التطوير إلا إذا تم إخفاء هوية البيانات بشكل كامل قبل النقل. يجب أن يكون نقل البيانات المجهولة مشفرًا أو عبر شبكة موثوقة.​​ 

يجب أولاً اختبار البرامج المراد نقلها إلى بيئة التشغيل في بيئة اختبار متطابقة ("بيئة تجريبية"). لا يجوز استخدام برامج تحليل الأخطاء أو إنشاء/تجميع البرامج في بيئة التشغيل إلا إذا تعذر تجنب ذلك. ويصدق هذا بشكل خاص إذا كانت حالات الخطأ تعتمد على بيانات سيتم تزييفها بسبب متطلبات إخفاء الهوية عند نقلها إلى بيئات الاختبار.​​ 

الانفصال في الشبكات​​ 

يفصل G-P شبكاته وفقًا للمهام. تُستخدم الشبكات التالية بشكل دائم: بيئة التشغيل ("الإنتاج")، بيئة الاختبار ("التجريب"، "الاختبار")، بيئة التطوير ("التطوير")، موظفو تكنولوجيا المعلومات في المكتب. بالإضافة إلى هذه الشبكات، يتم إنشاء شبكات منفصلة أخرى حسب الحاجة، على سبيل المثال، لاختبارات الاستعادة واختبارات الاختراق. اعتمادًا على الإمكانيات التقنية، يتم فصل الشبكات إما فعليًا أو عن طريق الشبكات الافتراضية.​​ 

ح) التحكم في التوافر​​ 

تتخذ G-P الخطوات التالية لضمان حماية البيانات الشخصية من التلف أو الفقدان العرضي.​​ 

إجراءات حماية البيانات/ النسخ الاحتياطية​​ 

لضمان التوافر الكافي، تقوم G-P بتنفيذ لقطات يومية لقاعدة بياناتها مع النسخ المتماثل إلى منطقة مختلفة. كما يتم اتخاذ تدابير لضمان منح الموظفين الذين لديهم حاجة وظيفية لمراجعة البيانات حق الوصول فقط إلى مجموعات البيانات المكررة.​​ 

التكرار الجغرافي فيما يتعلق بالبنية التحتية للخوادم للبيانات الإنتاجية والنسخ الاحتياطية​​ 

إدارة حوادث تكنولوجيا المعلومات ("إدارة الاستجابة للحوادث")​​ 

يوجد مفهوم وإجراءات موثقة للتعامل مع الحوادث والأحداث المتعلقة بالسلامة. يشمل ذلك تخطيط وإعداد الاستجابة للحوادث، وإجراءات رصد واكتشاف وتحليل الأحداث ذات الصلة بالأمن، وتحديد المسؤوليات المقابلة وقنوات الإبلاغ في حالة انتهاك حماية البيانات الشخصية في إطار المتطلبات القانونية.​​ 

2) التدابير التنظيمية لضمان خصوصية البيانات وحمايتها​​ 

وضعت G-P التدابير التنظيمية التالية لضمان عمل المنظمة بطريقة تلبي متطلبات الأمن والحماية.​​ 

أ) التعليمات التنظيمية​​ 

قامت G-P بتطوير برنامج لحوكمة البيانات، وهي تعمل على تطويره، ويتضمن البرنامج سياسات وإجراءات وإرشادات يجب على الموظفين اتباعها. تتضمن الوثائق كيفية تحديد وإدارة مشكلات خصوصية البيانات، وأفضل الممارسات لضمان الامتثال للخصوصية، وسياسات معالجة حوادث الخصوصية.​​ 

ب) الالتزام بالسرية وحماية البيانات​​ 

قامت G-P بتطوير برنامج لحوكمة البيانات، وهي تعمل على تطويره، ويتضمن البرنامج سياسات وإجراءات وإرشادات يجب على الموظفين اتباعها. يلتزم جميع الموظفين والمتعاقدين كتابياً بالحفاظ على السرية وحماية البيانات بالإضافة إلى القوانين الأخرى ذات الصلة. يتلقى جميع الموظفين تدريباً على الخصوصية والأمن. تُجرى عمليات تدقيق داخلية منتظمة بشأن حماية البيانات وأمن المعلومات. تُجرى عمليات التدقيق على أساس معايير/مخططات اختبار مشتركة. يتم توجيه موظفي ومتعاقدي G-P لمعالجة البيانات الشخصية لأسباب قانونية فقط، وفقًا للعقود المعمول بها مع Zbon والمهنيين، مع مراعاة أي موافقة صريحة مقدمة أو محجوبة من قبل صاحب البيانات، وبما يتماشى مع أي واجب قانوني للمنظمة.​​ 

ج) التدريب على حماية البيانات​​ 

يتلقى جميع الموظفين تدريباً على الخصوصية والأمان، والذي يظل متاحاً للمراجعة في أي وقت على منصة التدريب G-P .​​ 

د) ضوابط الوصول المادي​​ 

لدى G-P الضوابط المادية التالية لمنع الأشخاص غير المصرح لهم من الوصول إلى معدات أنظمة تكنولوجيا المعلومات المستخدمة في المعالجة.​​ 

حماية إلكترونية للأبواب​​ 

أبواب الدخول إلى مباني مكاتب G-P دائما مغلقة ومؤمنة إلكترونيا. يتم فتح الأبواب عبر جهاز إرسال واستقبال إلكتروني شخصي.​​ 

توزيع المفاتيح بشكل منظم​​ 

يتم تخصيص مركزي وموثق للمفاتيح لموظفي G-P. يمكن تعطيل هذه الترانسبوندر/المفاتيح الإلكترونية مركزيا من قبل كل مدير مكتب أو قسم الموارد البشرية.​​ 

الإشراف على الأشخاص الخارجيين ومرافقتهم​​ 

لا يجوز منح مقدمي الخدمات الخارجيين والأطراف الثالثة الأخرى حق الوصول إلى المباني إلا من خلال ترخيص مسبق أو عند مرافقة مسؤول من G-P. يطبق G-P سياسته المكتوبة الخاصة بالزوار عند دعوة الزوار إلى المبنى.​​ 

تأمين المباني مع ازدياد الحاجة إلى الحماية​​ 

يتم تجهيز المباني أو الخزائن ذات متطلبات الحماية المتزايدة، مثل المكاتب القانونية وبعض مواقع العمليات، بخزائن وأدراج قابلة للقفل. يجب إغلاق الخزائن والأدراج التي تحتوي على المستندات القانونية والعقود والوثائق السرية في جميع الأوقات باستثناء وقت استخدامها.​​ 

الأبواب والنوافذ المغلقة​​ 

يتم توجيه الموظفين من قبل المؤسسة بإبقاء النوافذ والأبواب مغلقة أو مقفلة خارج ساعات العمل.​​ 

هـ) إمكانية الاسترداد​​ 

تضمن G-P إمكانية استعادة الأنظمة المستخدمة في حالة حدوث عطل مادي أو تقني.​​ 

اختبارات منتظمة لاستعادة البيانات ("اختبارات الاستعادة")​​ 

تُجرى اختبارات استعادة كاملة منتظمة لضمان إمكانية الاستعادة في حالة الطوارئ/الكوارث.​​ 

خطة الطوارئ ("مفهوم التعافي من الكوارث")​​ 

يوجد مفهوم للتعامل مع حالات الطوارئ/الكوارث وخطة طوارئ مقابلة. يضمن G-P استعادة جميع الأنظمة بناء على النسخ الاحتياطية / النسخ الاحتياطية للبيانات، عادة خلال 48 ساعات.​​ 

إجراءات المراجعة والتقييم​​ 

عرض الإجراءات الخاصة بالمراجعة والتقييم والتقييم المنتظم لفعالية التدابير الفنية والتنظيمية.​​ 

و) فريق الخصوصية​​ 

لدى المنظمة مكتب عالمي لخصوصية البيانات مكلف بتخطيط وتنفيذ وتقييم وتكييف التدابير في مجال حماية البيانات.​​ 

ز) إدارة المخاطر​​ 

توجد عملية لتحليل وتقييم وتخصيص المخاطر، ولاستخلاص التدابير بناءً على هذه المخاطر.​​ 

3) مراجعة مستقلة لأمن المعلومات​​ 

أداء عمليات التدقيق​​ 

تجرى تدقيقات داخلية لحماية البيانات وأمن المعلومات بشكل منتظم. تُجرى عمليات التدقيق على أساس معايير/مخططات اختبار مشتركة.​​ 

ب) مراجعة الامتثال للسياسات والمعايير الأمنية​​ 

يتم التحقق بانتظام من الامتثال لإرشادات ومعايير الأمن المعمول بها ومتطلبات الأمن الأخرى لمعالجة البيانات الشخصية. حيثما أمكن، يتم إجراء هذه الفحوصات بشكل عشوائي وغير متوقع.​​ 

ج) التحقق من الامتثال للمواصفات الفنية​​ 

يتم إجراء عمليات فحص منتظمة للثغرات الأمنية، سواء كانت آلية أو يدوية، بواسطة قسم تكنولوجيا المعلومات أو موظفين مؤهلين آخرين للتحقق من أمان التطبيقات والبنية التحتية، بالإضافة إلى التطوير المنتظم للمنتج. يتم إجراء اختبارات اختراق مفصلة بواسطة مزود خدمة خارجي لفحص التطبيقات والبنية التحتية بحثًا عن الثغرات الأمنية.​​ 

د) المعالجة بناءً على التعليمات​​ 

يطلب من موظفي G-P معالجة البيانات الشخصية لأسباب قانونية فقط، وفقا للعقود المعمول بها مع الزبون والمحترف، مع مراعاة أي موافقة صريحة من جهة المعلومات، وبما يتوافق مع أي واجب قانوني للمنظمة.​​ 

هـ) اختيار الموردين بعناية​​ 

تلتزم G-P بعملية التأهيل المسبق للمورد عند اختيار الموردين والموردين الذين قد يواجهون بيانات محمية. تتضمن هذه العملية ملاحظات من الإدارات المالية والقانونية/الخصوصية، وتشمل تقييم المخاطر والتأهيل الأمني المسبق وخطوات اعتماد الوثائق. سيطلب من الموردين الذين يعالجون البيانات المحمية إثبات التزامهم بقوانين خصوصية البيانات المعمول بها، بما في ذلك المادة 28 اللائحة العامة لحماية البيانات للبيانات المشمولة​​ 

المرفق الثالث​​ 

قائمة المعالجات الفرعية​​ 
معالج فرعي​​ 
الموقع ومعلومات الاتصال​​ 
وصف المعالجة​​ 
3933 ليك واشنطن بوليفارد NE #350، كيركلاند، WA 98033، الولايات المتحدة الأمريكية​​ 
خدمات مالية​​ 
ص. ب. صندوق 81226​​ 
سياتل، واشنطن 98108-1226، الولايات المتحدة الأمريكية​​ 
الاستضافة - مزود الخدمات السحابية​​ 
شركة مايكروسوفت ون مايكروسوفت واي​​ 
ريدموند، واشنطن 98052 الولايات المتحدة الأمريكية هاتف: (+1) 425-882-8080.​​ 
دعم عمليات الأعمال للاتصالات (البريد الإلكتروني) وإدارة الخدمات​​ 
350 شارع بوش الطابق 13​​ 
سان فرانسيسكو، كاليفورنيا 94104، الولايات المتحدة الأمريكية​​ 
+1 415 701 1110​​ 
دعم عمليات الأعمال لإدارة الخدمات​​ 
DocuSign International (EMEA) المحدودة، انتباه: فريق الخصوصية، 5 هانوفر كواي، الطابق الأرضي، دبلن 2، جمهورية أيرلندا​​ 
إدارة المستندات​​ 
برج ساليسفورس، 415 شارع ميشن، 3الطابق الثالث، سان فرانسيسكو، كاليفورنيا 94105، الولايات المتحدة الأمريكية​​ 
1-800-387-3285​​ 
دعم العمليات التجارية لإدارة علاقات العملاء (CRM)​​ 
989 ماركت ستريت​​ 
سان فرانسيسكو، كاليفورنيا 94103، الولايات المتحدة الأمريكية​​ 
888-670-4887​​ 
استفسارات مكتب المساعدة لدعم Z+​​ 
2225 لوسون لين، سانتا كلارا، كاليفورنيا، 95054​​ 
الولايات المتحدة الأمريكية​​ 
دعم عمليات الأعمال لإدارة خدمات وعمليات تكنولوجيا المعلومات، وتجارب الضيافة والتواصل من خلال (​​ سير عمل آلي قائم على الحوسبة السحابية)​​ 
160 شارع سبير، 15الطابق الثاني، سان فرانسيسكو، كاليفورنيا 94105 1-866-330-0121​​ 
الولايات المتحدة الأمريكية​​ 
البنية التحتية لمستودع البيانات السحابية.​​ 
620 8ذ​​  Ave 45​​ ذ​​  أرضية​​ 
نيويورك، نيويورك 10018​​ 
الولايات المتحدة الأمريكية​​ 
أداة مراقبة الخدمة وتصحيح الأخطاء​​ 
شارع لويز 54، الغرفة s52،​​ 
1050 بروكسل​​ 
بلجيكا​​ 
معالج الدفع عبر الإنترنت​​ 
1600 مدرج بوكوي، ماونتن فيو، كاليفورنيا 94043​​ 
دعم عمليات الأعمال للاتصالات (البريد الإلكتروني) وتخزين المستندات الداخلية​​