التمهيد

حيث يُقدم مُستورد البيانات خدمات برمجية مهنية، وخدمات حاسوب، وخدمات ذات صلة (مثل المتصفحات ذات وظائف البحث المتقدمة)؛

وحيث، وفقًا للعقد، وافق مُستورد البيانات على تقديم الخدمات المحددة في العقد ("الخدمات") لمُصدر البيانات؛

وحيث، من خلال تقديم الخدمات، يتلقى أو يستفيد مُستورد البيانات من الوصول إلى معلومات مُصدر البيانات أو معلومات أشخاص آخرين لهم علاقة (محتملة) بمُصدر البيانات، وقد تُصنف هذه المعلومات على أنها بيانات شخصية بموجب تعريف اللائحة (EU) 2016/679 الصادرة عن البرلمان الأوروبي والمجلس في 27 أبريل 2016 بشأن حماية الأفراد فيما يتعلق بمعالجة البيانات الشخصية وحركة البيانات الحرة ("اللائحة العامة لحماية البيانات") وغيرها من قوانين حماية البيانات المعمول بها.

وحيث، يحتوي هذا الملحق على الشروط والأحكام المطبقة على جمع ومعالجة واستخدام مثل هذه البيانات الشخصية من قبل مُستورد البيانات بصفته الوكيل المعتمد لمعالجة البيانات لمُصدر البيانات، لضمان التزام الأطراف بقوانين حماية البيانات المعمول بها.

لذلك، ولتمكين الأطراف من مواصلة علاقتهما بشكل قانوني، فقد أبرمت الأطراف هذا الملحق على النحو التالي:

الجزء 1

1. هيكل الوثيقة والتعاريف

1.1 الهيكل

يتكون هذا الملحق من أجزاء مختلفة على النحو التالي:

1.2 المصطلحات والتعاريف

لأغراض هذا الملحق، تكون المصطلحات والتعاريف المستخدمة بموجب اللائحة العامة لحماية البيانات سارية (وفي نص عقد البنود النموذجية في الجزء 2، حيث لا تكون المصطلحات المعرفة مكتوبة بأحرف كبيرة). 

2. التزامات مُصدر البيانات

2.1 يلتزم مُصدر البيانات بضمان الامتثال لجميع الالتزامات المعمول بها بموجب اللائحة العامة لحماية البيانات وأي قوانين حماية بيانات أخرى ذات صلة التي تنطبق على مُصدر البيانات، وإظهار هذا الامتثال كما هو مطلوب بموجب المادة 5 (2) من اللائحة. يضمن مُصدر البيانات أن مُستورد البيانات حصل على موافقة مسبقة من أصحاب البيانات وفقًا للمادة 6 (أ) من اللائحة، وأنه التزم بإبلاغ أصحاب البيانات وفقًا للمادتين 13 و14 من اللائحة.

2.2 يجب على مُصدر البيانات تزويد مُستورد البيانات بالملفات الخاصة بأنشطة المعالجة ذات الصلة وفقًا للمادة 30 (1) من اللائحة، بما يتوافق مع الخدمات بموجب هذا الملحق، بالقدر اللازم لتمكين مُستورد البيانات من الامتثال للالتزام بموجب المادة 30 (2) من اللائحة.

2.3 يجب على مُصدر البيانات تعيين مسؤول حماية البيانات أو ممثل، بالقدر المطلوب بموجب قوانين حماية البيانات المعمول بها. ويجب على مُصدر البيانات تزويد مُستورد البيانات بتفاصيل الاتصال بوكيل حماية البيانات أو الممثل، إن وجد.

2.4. يؤكد مُصدر البيانات قبل إتمام المعالجة، من خلال قبول هذا الملحق، أن التدابير الأمنية الفنية والتنظيمية لمُستورد البيانات، كما هو موضح في الملحق 2 من الجزء 2، مناسبة وكافية لحماية حقوق صاحب البيانات ويؤكد أن مُستورد البيانات يوفر ضمانات كافية في هذا الصدد.

3. الامتثال للقانون المحلي

لتلبية متطلبات تنفيذ وكلاء المعالجة وفقًا للمادة 28 من اللائحة، تنطبق التعديلات التالية:

3.1 التعليمات

1. (i) يُوجه مُصدر البيانات مُستورد البيانات بمعالجة البيانات الشخصية فقط نيابة عن مُصدر البيانات. تُقدم تعليمات مُصدر البيانات في هذا الملحق وفي العقد. ويجب على مُصدر البيانات ضمان أن جميع التعليمات المقدمة لمُستورد البيانات تتوافق مع قوانين حماية البيانات المعمول بها. يجب على مُستورد البيانات معالجة البيانات الشخصية فقط وفقًا للتعليمات المقدمة من مُصدر البيانات، إلا إذا تطلب القانون الأوروبي أو قانون الدولة العضو (وفي هذه الحالة، تنطبق الفقرة 3.2 (iv) (ج) من الجزء 1).
2. (ii) يجب أن تتضمن جميع التعليمات الأخرى التي تتجاوز التعليمات في هذا الملحق أو في العقد، في موضوع هذا الملحق والعقد. إذا استلزم تنفيذ هذه التعليمات الإضافية تكاليف على مُستورد البيانات، يجب على مُستورد البيانات إبلاغ مُصدر البيانات بهذه التكاليف وتقديم شرح قبل تنفيذ التعليمات. فقط بعد تأكيد مُصدر البيانات على قبول هذه التكاليف، يجب على مُستورد البيانات تنفيذ التعليمات الإضافية. يجب أن تُعطى التعليمات الإضافية كتابيًا، إلا إذا استدعت الضرورة أو ظروف أخرى خاصة شكلاً آخر (مثل شفوي، إلكتروني). يجب تأكيد التعليمات غير المكتوبة كتابيًا من قبل مُصدر البيانات دون تأخير.
3. 1. ما لم يتمكن مُصدر البيانات من إجراء التصحيح أو الحذف أو تقييد البيانات الشخصية بنفسه، يمكن أن تتعلق التعليمات أيضًا بالتصحيح، الحذف، و/أو تقييد البيانات الشخصية كما هو موضح في الفقرة 3.3 من الجزء 1.
4. 2. يجب على مُستورد البيانات إبلاغ مُصدر البيانات على الفور إذا رأى أن التعليمات تنتهك اللائحة العامة لحماية البيانات أو غيرها من أحكام حماية البيانات المعمول بها في الاتحاد الأوروبي أو دولة عضو ("التعليمات المتنازع عليها"). إذا اعتقد مُستورد البيانات أن التعليمات تنتهك اللائحة أو غيرها من أحكام حماية البيانات، فلا يكون ملزمًا باتباع التعليمات المتنازع عليها. إذا أكد مُصدر البيانات التعليمات المتنازع عليها عند استلامه معلومات من مُستورد البيانات واعترافه بمسؤوليته عنها، يجب على مُستورد البيانات تنفيذ التعليمات المتنازع عليها، إلا إذا كانت تتعلق (1) بتنفيذ تدابير فنية وتنظيمية، (2) بحقوق أصحاب البيانات، أو (3) بمشاركة معالجي البيانات. في الحالات (1) إلى (3)، يجوز لمُستورد البيانات الاتصال بسلطة إشراف مختصة لتقييم التعليمات المتنازع عليها قانونيًا. إذا أعلنت السلطة المختصة أن التعليمات المتنازع عليها قانونية، يجب على مُستورد البيانات تنفيذها. تظل الفقرة 3.1 (ii) من الجزء 1 سارية.

3.2 التزامات مُستورد البيانات

1. (i) يجب على مُستورد البيانات ضمان أن الأشخاص المخولين بمعالجة البيانات نيابة عن مُصدر البيانات، خاصة الموظفين، قد تعهدوا بالحفاظ على السرية أو يخضعون لواجب قانوني مناسب بالسرية، وأن هؤلاء الأشخاص الذين لديهم وصول إلى البيانات الشخصية يعالجونها وفقًا لتعليمات مُصدر البيانات.
2. (ii) يجب على مُستورد البيانات تنفيذ التدابير الأمنية الفنية والتنظيمية كما هو موضح في الملحق 2 من الجزء 2 قبل معالجة البيانات الشخصية نيابة عن مُصدر البيانات. يجوز لمُستورد البيانات تعديل التدابير الأمنية الفنية والتنظيمية من وقت لآخر إذا لم توفر حماية أقل من تلك المحددة في الملحق 2 من الجزء 2.
3. (iii) يجب على مُستورد البيانات تزويد مُصدر البيانات، عند الطلب، بمعلومات تظهر الامتثال لالتزاماته بموجب هذا الملحق. يتفق الطرفان على أن هذا الالتزام يتحقق من خلال تزويد مُصدر البيانات بتقرير تدقيق (يغطي أمن المبادئ، توفر النظام، والسرية) ("تقرير التدقيق"). إذا كانت هناك حاجة إلى أنشطة تدقيق إضافية بموجب القانون، يمكن لمُصدر البيانات طلب إجراء عمليات تفتيش من قبل مُصدر البيانات أو مدقق آخر معين من قبل مُصدر البيانات، بشرط توقيع هذا المدقق على اتفاقية سرية مع مُستورد البيانات لرضا مُصدر البيانات المعقول ("تدقيق"). يخضع هذا التدقيق للشروط التالية: (i) الموافقة الرسمية المسبقة من مُستورد البيانات؛ و (ii) يتحمل مُصدر البيانات جميع التكاليف المتعلقة بالتدقيق الميداني لمُصدر البيانات ومُستورد البيانات. يجب على مُصدر البيانات إعداد تقرير تدقيق يلخص النتائج والملاحظات من التدقيق الميداني ("تقرير التدقيق الميداني"). تعتبر تقارير التدقيق والتقارير الميدانية معلومات سرية لمُستورد البيانات ويجب عدم الكشف عنها لأطراف ثالثة إلا إذا تطلب القانون حماية البيانات المعمول به أو بموافقة مُستورد البيانات.
4. (iv) يجب على مُستورد البيانات إبلاغ مُصدر البيانات دون تأخير مفرط:
   1. a. بشأن أي طلب ملزم قانونيًا للكشف عن البيانات الشخصية من قبل سلطة إنفاذ القانون، إلا إذا كان ذلك ممنوعًا، مثل حظر بموجب القانون الجنائي لحماية سرية التحقيق الشرطي
   2. b. بشأن أي شكوى وطلب يتلقاه مباشرة من صاحب البيانات (مثل الوصول، التصحيح، الحذف، تقييد المعالجة، نقل البيانات، الاعتراض على معالجة البيانات، اتخاذ قرار آلي) دون الرد على ذلك الطلب، إلا إذا كان مُستورد البيانات مخولًا للقيام بذلك
   3. c. إذا كان مُستورد البيانات أو معالج البيانات ملزمًا، بموجب قانون الاتحاد الأوروبي أو قانون الدولة العضو التي يخضع لها، بمعالجة البيانات الشخصية بما يتجاوز تعليمات مُصدر البيانات، قبل تنفيذ تلك المعالجة، إلا إذا كانت قوانين الاتحاد الأوروبي أو الدولة العضو تمنع ذلك لأسباب مصلحة عامة حيوية، ويجب أن يحدد الإشعار لمُصدر البيانات المتطلبات القانونية بموجب ذلك القانون؛ أو
   4. d. إذا أدرك مُستورد البيانات انتهاكًا للبيانات الشخصية، فقط بسبب نفسه أو مقاوله الفرعي، والذي قد يؤثر على بيانات مُصدر البيانات المشمولة بهذا العقد، وفي هذه الحالة، سيساعد مُستورد البيانات مُصدر البيانات في التزامه، وفقًا لقانون حماية البيانات المعمول به، بإبلاغ أصحاب البيانات والسلطات الرقابية عند الاقتضاء، من خلال تقديم المعلومات المتاحة لديه، وفقًا للمادة 33 (3) من اللائحة العامة لحماية البيانات.
   5. (v) بناءً على طلب مُصدر البيانات، يجب على مُستورد البيانات المساعدة في إجراء تقييم أثر حماية البيانات الذي قد يُطلب بموجب المادة 35 من اللائحة، واستشارة مسبقة قد يُطلب بموجب المادة 36 من اللائحة، فيما يتعلق بالخدمات المقدمة من قبل مُستورد البيانات لمُصدر البيانات بموجب هذا الملحق، وتقديم المعلومات اللازمة لمُصدر البيانات. يلتزم مُستورد البيانات فقط بتقديم هذه المساعدة إذا لم يتمكن مُصدر البيانات من الوفاء بالتزامه بوسائل أخرى. يجب على مُستورد البيانات إبلاغ مُصدر البيانات بتكلفة هذه المساعدة. بمجرد أن يؤكد مُصدر البيانات قدرته على تحمل هذه التكاليف، سيقدم مُستورد البيانات المساعدة.
   6. (vi) عند انتهاء تقديم الخدمات، يجوز لمُصدر البيانات طلب إعادة البيانات الشخصية التي عالجها مُستورد البيانات بموجب هذا الملحق خلال شهر واحد بعد انتهاء الخدمات. إلا إذا تطلب تشريعات الدولة العضو أو الاتحاد الأوروبي أن يحتفظ مُستورد البيانات بهذه البيانات أو يخزنها، فسيقوم مُستورد البيانات بحذف جميع البيانات الشخصية أو غير الشخصية بعد مرور الشهر، سواء تم إعادتها لمُصدر البيانات بناءً على طلبه أم لا.

3.3 حقوق المعنيين

1.  
   1. (i) يدير مُصدر البيانات الطلبات المقدمة من أصحاب البيانات ويستجيب لها. غير ملزم مُستورد البيانات بالرد مباشرة على أصحاب البيانات.
   2. (ii) إذا طلب مُصدر البيانات مساعدة مُستورد البيانات في معالجة والرد على طلبات صاحب البيانات، يصدر مُصدر البيانات تعليمات إضافية وفقًا للفقرة 3.1 (ii) من الجزء 1. يُساعد مُستورد البيانات مُصدر البيانات بالإجراءات الفنية والتنظيمية المناسبة للرد على طلبات ممارسة حقوق أصحاب البيانات المنصوص عليها في الفصل الثالث من اللائحة العامة لحماية البيانات على النحو التالي:
   3. a. بخصوص طلبات المعلومات، يزود مُستورد البيانات مُصدر البيانات بالمعلومات المطلوبة بموجب المادتين 13 و14 من اللائحة، إذا لم يتمكن مُصدر البيانات من العثور عليها بنفسه.
   4. b. بخصوص طلبات الوصول (المادة 15 من اللائحة)، يزود مُستورد البيانات مُصدر البيانات بالمعلومات التي يُفترض أن تُقدم لصاحب البيانات بناءً على الطلب، إذا لم يتمكن من العثور عليها بنفسه.
   5. c. بخصوص طلبات التصحيح (المادة 16 من اللائحة)، الحذف (المادة 17 من اللائحة)، تقييد المعالجة (المادة 18 من اللائحة)، أو الطلبات الخاصة بالنقل (المادة 20 من اللائحة)، وفقط إذا لم يتمكن مُصدر البيانات من تصحيح أو حذف البيانات بنفسه، أو تقييدها، أو نقلها لطرف ثالث آخر، يُقدم مُستورد البيانات إمكانية التصحيح أو الحذف أو التقييد أو النقل للبيانات المعنية للطرف الثالث الآخر، وإذا لم يكن ذلك ممكنًا، يُساعد مُستورد البيانات على التصحيح أو الحذف أو التقييد أو النقل للبيانات المعنية.
   6. d. بخصوص الإشعار بالتصحيح أو الحذف أو تقييد المعالجة (المادة 19 من اللائحة)، يُساعد مُستورد البيانات مُصدر البيانات من خلال إخطار جميع المستلمين للبيانات الشخصية الذين يتعامل معهم كمُعالجين إذا طلب مُصدر البيانات ذلك، وإذا لم يتمكن من معالجة الوضع بنفسه.
   7. e. بخصوص حق الاعتراض الذي يمارسه صاحب البيانات (المادتان 21 و22 من اللائحة)، يُحدد مُصدر البيانات ما إذا كان الاعتراض مبررًا وكيفية التعامل معه.
   8. (iii) تقتصر التزامات مساعدة مُستورد البيانات على البيانات الشخصية المعالجة ضمن بنيته التحتية (مثل قواعد البيانات، الأنظمة، التطبيقات المملوكة أو المقدمة من قبل مُستورد البيانات).
   9. (iv) يحدد مُصدر البيانات ما إذا كان يمكن لصاحب البيانات ممارسة حقوق أصحاب البيانات المنصوص عليها في الفقرة 3.1 من الجزء 1، ويُبلغ مُستورد البيانات بمدى ضرورة المساعدة المحددة في الفقرات 3.3 (ii)، (iii).
   10. (v) إذا طلب مُصدر البيانات تدابير فنية وتنظيمية إضافية أو معدلة لتلبية حقوق أصحاب البيانات التي تتجاوز المساعدة المقدمة من قبل مُستورد البيانات بموجب الفقرة 3.3 (ii)، (iii)، يُبلغ مُستورد البيانات مُصدر البيانات بتكاليف تنفيذ هذه التدابير الإضافية أو المعدلة. بمجرد أن يُؤكد مُصدر البيانات قدرته على تحمل هذه التكاليف، يُنفذ مُستورد البيانات هذه التدابير.
   11. (vi) دون تقييد نطاق الفقرة 3.3 (v)، يلتزم مُصدر البيانات بسداد نفقات مُستورد البيانات المعقولة في الرد على طلبات أصحاب البيانات.

3.4 المعالجة الفرعية

1.  
   1. (i) يُخوّل مُصدر البيانات مُستورد البيانات باستخدام المقاولين من الباطن لتقديم الخدمات بموجب هذا الملحق. يجب على مُستورد البيانات اختيار معالجي البيانات بعناية. يُوافق مُصدر البيانات على معالجي البيانات المدرجين في الملحق 1.1 في نهاية الجزء 2.
   2. (ii) يجب على مُستورد البيانات نقل التزاماته بموجب هذا الملحق إلى معالجي البيانات (إن وجد) بما يتوافق مع الخدمات المتعاقد عليها.
   3. (iii) يجوز لمُستورد البيانات أن يُعفي، يُبدل، أو يُعين معالجي بيانات آخرين مناسبين وموثوقين حسب تقديره. إذا طلب مُصدر البيانات ذلك كتابيًا، يجب على مُستورد البيانات اتباع الإجراء التالي:
2.  
   1. a. يُبلغ مُستورد البيانات مُصدر البيانات قبل أي تغييرات في قائمة معالجي البيانات المشار إليهم في الفقرة 3.4 (i) من الجزء 1. إذا لم يعترض مُصدر البيانات خلال ثلاثين يومًا من استلام إشعار مُستورد البيانات، يُعتبر المعالِجون الإضافيون مقبولين.
   2. b. إذا كان لمُصدر البيانات سبب مشروع للاعتراض على معالج بيانات إضافي، يُعطي إشعارًا كتابيًا مسبقًا لمُستورد البيانات خلال ثلاثين يومًا من استلام إشعار مُستورد البيانات وقبل بدء الخدمة. إذا اعترض مُصدر البيانات على استخدام معالج بيانات إضافي، يجوز لمُستورد البيانات إلغاء الاعتراض باستخدام أحد الخيارات التالية (حسب تقديره): (أ) يُلغي خططه لاستخدام معالج إضافي بخصوص بيانات مُصدر البيانات الشخصية؛ (ب) يتخذ التدابير التصحيحية التي طلبها مُصدر البيانات في اعتراضه (إلغاء الاعتراض) ويستخدم المعالج الإضافي بخصوص بيانات مُصدر البيانات؛ (ج) يتوقف عن تقديم الخدمة أو يوافق مُصدر البيانات على عدم استخدام (مؤقتًا أو دائمًا) جانب معين من الخدمة يتطلب استخدام معالج البيانات الإضافي لبيانات مُصدر البيانات الشخصية.
3.  
   1. (iv) إذا كان معالج البيانات مقره خارج الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية في بلد لا يُعتبر يوفر مستوى حماية كافٍ للبيانات وفقًا لقرار من المفوضية الأوروبية، يتخذ مُستورد البيانات التدابير اللازمة للامتثال لمستوى حماية كافٍ للبيانات وفقًا للائحة العامة لحماية البيانات (قد تشمل هذه التدابير - من بين أمور أخرى - استخدام عقود معالجة البيانات استنادًا إلى بنود النموذج الأوروبي، النقل إلى معالجي بيانات معتمدين ذاتيًا في إطار حماية البيانات بين الاتحاد الأوروبي والولايات المتحدة، أو برنامج مماثل).

3.5 انتهاء الصلاحية

تنتهي صلاحية هذا الملحق في نفس تاريخ انتهاء صلاحية العقد المقابل. باستثناء ما هو منصوص عليه خلاف ذلك في هذا الملحق، فإن الحقوق والواجبات المتعلقة بالإنهاء تظل كما هي في العقد.

4. تحديد المسؤولية

4.1 يلتزم كل طرف بمعالجة التزاماته بموجب هذا الملحق وقوانين حماية البيانات المعمول بها.

4.2 أي مسؤولية تتعلق بانتهاك الالتزامات بموجب هذا الملحق أو قوانين حماية البيانات المعمول بها تكون خاضعة وتُحكم بأحكام المسؤولية المنصوص عليها في، أو المطبقة على، العقد، إلا إذا نص على خلاف ذلك في هذا الملحق. إذا كانت المسؤولية محكومة بأحكام العقد، لحساب حدود المسؤولية أو تطبيق قيود أخرى على المسؤولية، يُعتبر أي مسؤولية تنشأ بموجب هذا الملحق تنشأ بموجب العقد.

5. الأحكام العامة

5.1 إذا كانت هناك أي تعارضات أو تناقضات بين الجزء 1 والجزء 2 من هذا الملحق، فإن الجزء 2 هو الذي يسود. على وجه الخصوص، حتى في مثل هذه الحالة، يظل الجزء 1 الذي يتجاوز الجزء 2 (أي شروط البنود القياسية) دون تعارض صحيحًا وفعالًا.

5.2 إذا نشأ أي تناقض بين أحكام هذا الملحق وأحكام عقود أخرى ملزمة للأطراف، فإن هذا الملحق هو الذي يسود فيما يخص التزامات حماية البيانات للأطراف. وفي حال الشك فيما إذا كانت البنود في عقود أخرى تتعلق بالتزامات حماية البيانات، فإن هذا الملحق هو الذي يسود.

5.3 إذا كانت أي مادة من مواد هذا الملحق غير صالحة أو غير قابلة للتنفيذ، فإن باقي هذا الملحق يظل ساريًا وفعالًا بالكامل. سيتم تعديل المادة غير الصالحة أو غير القابلة للتنفيذ لضمان صحتها وقابليتها للتنفيذ، مع الحفاظ على نية الأطراف قدر الإمكان، أو - إذا لم يكن ذلك ممكنًا - تفسيرها كما لو أن الجزء غير الصالح أو غير القابل للتنفيذ لم يكن جزءًا من العقد أبدًا. ينطبق ذلك أيضًا في حال وجود سهو في هذا الملحق.

5.5 إلى الحد اللازم، يجوز للأطراف طلب تعديل الجزء 1، الفقرة 3 (الامتثال للقانون المحلي) أو أجزاء أخرى من الملحق لتلبية التفسيرات أو التوجيهات أو الأوامر الصادرة عن السلطات المختصة في الاتحاد أو الدول الأعضاء، أو الأحكام التنفيذية الوطنية، أو أي تطورات قانونية أخرى تتعلق باللائحة العامة لحماية البيانات أو شروط التفويض لأي كيانات مشاركة في معالجة البيانات، وبشكل خاص فيما يخص استخدام البنود النموذجية في اللائحة العامة لحماية البيانات. لا يجوز تعديل أو استبدال شروط البنود النموذجية إلا بموافقة صريحة من المفوضية الأوروبية (مثل البنود الكافية الجديدة ومعايير حماية البيانات).

5.6 أي إشارة في هذا الملحق إلى "البنود" يُفهم أنها تشير إلى جميع أحكام هذا الملحق إلا إذا تم النص على خلاف ذلك.

5.7 يطبق اختيار القانون في الجزء 2، الفقرة 9 على العقد بأكمله.

6. البيانات الشخصية المنقولة والمعالجة من قبل الأطراف لأغراض شخصية (نقل من مسؤول البيانات إلى مسؤول البيانات)

6.1 يعلم الطرفان تمامًا أن بعض البيانات الشخصية ستُنقل من مُصدر البيانات إلى مُستورد البيانات والعكس، وأن هذه البيانات تتم معالجتها من قبل كل طرف لأغراضه الخاصة. فيما يخص هذه البيانات الشخصية، لا تؤثر على الأحكام الأخرى لهذا الملحق (باستثناء هذه الفقرة 6).

6.2 يجوز لمُصدر البيانات نقل البيانات الشخصية المتعلقة بموظفي مُستورد البيانات إلى مُستورد البيانات، بما في ذلك معلومات عن حوادث الأمان، أو أي مستندات أو ملفات أخرى أنشأها أو أعدها مُصدر البيانات فيما يتعلق بالخدمات المقدمة من قبل موظفي مُستورد البيانات. يجوز لمُستورد البيانات معالجة هذه البيانات الشخصية لأغراضه الخاصة، خاصة في علاقاته المهنية مع موظفي مُستورد البيانات، أو للتحكم في الجودة، أو لأغراض تجارية.

6.3 يجوز لمُستورد البيانات نقل البيانات الشخصية إلى مُصدر البيانات، بما في ذلك اسم وتفاصيل الاتصال بموظفي مُستورد البيانات. يجوز لمُصدر البيانات معالجة هذه البيانات لأغراضه الخاصة.

6.4 يلتزم الطرفان بالامتثال لأي قوانين حماية بيانات سارية، بما في ذلك اللائحة العامة لحماية البيانات، عند جمع، معالجة، واستخدام مثل هذه البيانات الشخصية المستلمة من الطرف الآخر بموجب الفقرة 1 من الجزء 1. على وجه الخصوص، يجب على الطرفين اتخاذ تدابير أمنية مناسبة، توفر مستوى حماية مماثلًا لتدابير الأمان المحددة في الملحق 2 من الجزء 2. يجب أن يقتصر الوصول إلى هذه البيانات على الحاجة إلى معرفتها فقط.

6.5 يجب على الطرفين حذف هذه البيانات الشخصية في أقرب وقت ممكن بعد تحقيق الأهداف.

الجزء 2

قرار المفوضية

بتاريخ 5 فبراير 2010

بشأن البنود التعاقدية النموذجية لنقل البيانات الشخصية إلى معالجي البيانات المنشئين في دول ثالثة بموجب التوجيه 95/46/EC للبرلمان الأوروبي والمجلس

البند 1

التعاريف

بموجب معنى البنود:

a) "البيانات الشخصية"، "الفئات الخاصة من البيانات"، "المعالجة"، "الجهة المسيطرة"، "المعالج"، "صاحب البيانات"، و"السلطة الإشرافية" لها نفس المعنى كما في توجيه 95/46/EC الصادر عن البرلمان الأوروبي والمجلس بتاريخ 24 أكتوبر 1995 بشأن حماية الأفراد فيما يتعلق بمعالجة البيانات الشخصية وحركة البيانات الحرة (1)؛

b) "مُصدر البيانات" هو الجهة المسيطرة على البيانات التي تنقل البيانات الشخصية؛

c) "مُستورد البيانات" هو معالج البيانات الذي يوافق على استلام البيانات الشخصية من مُصدر البيانات بقصد معالجتها نيابة عن مُصدر البيانات بعد النقل وفقًا لتعليماته، وتحت شروط هذه البنود، والذي لا يخضع لآلية دولة ثالثة تضمن حماية كافية بموجب المادة 25 (1) من التوجيه 95/46/EC؛ (د) "معالج البيانات" يعني معالج البيانات الذي يتعاقد معه مُستورد البيانات أو أي معالج آخر لمُستورد البيانات، والذي يوافق على استلام البيانات الشخصية من قبل مُستورد البيانات أو أي معالج آخر لمُستورد البيانات، حصريًا للأنشطة المعالجة التي ستتم نيابة عن مُصدر البيانات بعد النقل وفقًا لتعليمات مُصدر البيانات، وتحت الشروط المنصوص عليها في هذه البنود، وتحت شروط عقد المعالجة الكتابي؛

e) "القانون المعمول به لحماية البيانات" يعني التشريعات التي تحمي الحقوق والحريات الأساسية للأفراد، بما في ذلك الحق في الخصوصية فيما يتعلق بمعالجة البيانات الشخصية، والتي تنطبق على جهة مسيطرة في الدولة العضو التي يوجد فيها مُصدر البيانات؛

f) "التدابير الفنية والتنظيمية المتعلقة بالأمان" تعني التدابير المقصودة لحماية البيانات الشخصية من التدمير العرضي أو غير القانوني أو الفقدان العرضي، أو التغيير، أو الكشف أو الوصول غير المصرح به، خاصة عندما تتضمن المعالجة نقل البيانات عبر الشبكات، وكل أشكال المعالجة غير القانونية الأخرى.

البند 2

تفاصيل النقل

يتم تحديد تفاصيل النقل، بما في ذلك، عند الاقتضاء، الفئات الخاصة من البيانات الشخصية، في الملحق 1، الذي يُشكل جزءًا لا يتجزأ من هذه البنود.

البند 3

بند المستفيد من طرف ثالث

1. يمكن لصاحب البيانات تنفيذ هذا البند، والبنود 4(ب) إلى (ج)، والبنود 5(أ) إلى (هـ) و(ج) إلى (ج)، والبنود 6 (1) و(2)، والبنود 7، و8(2)، والبنود 9 إلى 12 ضد مُصدر البيانات كطرف ثالث مستفيد.

2. يمكن لصاحب البيانات تنفيذ هذا البند، والبنود 5 (أ) إلى (هـ) و(ج)، والبنود 6، والبنود 7، و8 (2)، والبنود 9 إلى 12 ضد مُستورد البيانات حيث اختفى مُصدر البيانات أو توقف عن الوجود قانونيًا، إلا إذا تم نقل جميع التزاماتها القانونية، بموجب عقد أو بموجب القانون، إلى الكيان الخلف، الذي تعود إليه حقوق والتزامات مُصدر البيانات، ويمكن لصاحب البيانات تنفيذ البنود ضد هذا الكيان.

يمكن لصاحب البيانات تنفيذ هذا البند، والبنود 5 (أ) إلى (هـ) و(ج)، والبنود 6، والبنود 7، و8 (2)، والبنود 9 إلى 12 ضد معالج البيانات، ولكن فقط في الحالات التي يختفي فيها مُصدر البيانات أو مُستورد البيانات أو أصبح غير موجود قانونيًا، أو مفلسًا، ويجب أن يكون مسؤولية معالج البيانات محدودة على أنشطته الخاصة بموجب هذه البنود.