NeuroCRMملحق معالجة البيانات
يشكّل ملحق معالجة البيانات هذا («DPA») جزءًا من شروط الخدمة المبرمة بينك («العميل»، المتحكّم) وEmpire Luxury International Corporation (DBA Neuro Empire) («NeuroCRM»، المعالِج)، وينظّم معالجة البيانات الشخصية الواردة في محتوى العميل. وعند وجود تعارض في المسائل المتعلقة بحماية البيانات، تكون لهذا الملحق الأسبقية على الشروط.
1. الأدوار والنطاق
فيما يخصّ محتوى العميل، يكون العميل هو المتحكّم (أو معالِجًا يتصرّف نيابةً عن عملائه)، وتكون NeuroCRM هي المعالِج (أو المعالِج الفرعي). وتعالج NeuroCRM محتوى العميل فقط لتقديم الخدمة وبناءً على تعليمات العميل الموثّقة، التي تشمل الشروط وهذا الملحق واستخدام ميزات الخدمة. ولا تتصرّف NeuroCRM كمتحكّم مستقلّ إلا فيما يخصّ البيانات المحدودة المتعلقة بالحساب والفوترة والأمن الموصوفة في سياسة الخصوصية.
2. تفاصيل المعالجة
الموضوع: تقديم خدمة NeuroCRM. المدّة: مدّة اشتراك العميل مضافًا إليها أي فترة إنهاء تدريجي. طبيعة المعالجة وغرضها: عمليات الاستضافة والتخزين والمعالجة اللازمة لتقديم الخدمة على النحو الذي يُعِدّه العميل. فئات أصحاب البيانات: جهات اتصال العميل وعملاؤه المحتملون وعملاؤه وموظفوه وغيرهم من الأفراد الذين يُدخل العميل بياناتهم. فئات البيانات الشخصية: على نحو ما يحدّده العميل، وعادةً ما تشمل بيانات التعريف وبيانات الاتصال والسجلات التجارية والمراسلات؛ ولا يجوز للعميل إدخال بيانات من الفئات الخاصة ما لم يُتَّفق على ذلك كتابةً.
3. تعليمات العميل والامتثال
تعالج NeuroCRM محتوى العميل فقط بناءً على تعليمات موثّقة، بما في ذلك ما يخصّ عمليات النقل، ما لم يقتضِ القانون المعمول به خلاف ذلك (وفي تلك الحالة تُبلِغ NeuroCRM العميلَ ما لم يكن ذلك محظورًا). وستُخطِر NeuroCRM العميلَ إذا رأت أن تعليمةً ما تنتهك قانون حماية البيانات المعمول به. ويتحمّل العميل مسؤولية مشروعية محتوى العميل وامتلاك جميع الإشعارات والموافقات المطلوبة.
4. سرّية الموظفين
تضمن NeuroCRM أن الموظفين المخوّلين بمعالجة محتوى العميل ملتزمون بالتزامات السرّية وأنهم يعالجون البيانات وفق التعليمات فقط.
5. التدابير الأمنية
تنفّذ NeuroCRM تدابير تقنية وتنظيمية مناسبة لضمان مستوى من الأمن يتناسب مع المخاطر، بما في ذلك التشفير أثناء النقل وتشفير رموز الوصول عند التخزين، والعزل المنطقي للمستأجرين، وضوابط الوصول والتسجيل، والمرونة والنسخ الاحتياطي، والمراجعة الدورية. ويتوفّر ملخّص عند الطلب وفي سياسة الخصوصية.
6. مقدّمو المعالجة الفرعيون
يمنح العميل تفويضًا عامًّا لـNeuroCRM للاستعانة بمقدّمي معالجة فرعيين. وتتوفّر قائمة محدّثة على /legal/subprocessors. وتفرض NeuroCRM على كل مقدّم معالجة فرعي التزامات بشأن حماية البيانات لا تقلّ حمايةً عمّا في هذا الملحق، وتظلّ مسؤولةً عن أدائه. وستوافي NeuroCRM بإشعار لا تقلّ مدته عن 30 يومًا بشأن أي مقدّم معالجة فرعي جديد أو بديل؛ ويحقّ للعميل الاعتراض استنادًا إلى أسباب معقولة تتعلق بحماية البيانات، وإذا تعذّر على الطرفين تسوية الاعتراض، جاز للعميل إنهاء الخدمة المتأثرة والحصول على استرداد الرسوم المدفوعة مقدّمًا وغير المستخدَمة.
7. طلبات أصحاب البيانات والمساعدة
مع مراعاة طبيعة المعالجة، ستساعد NeuroCRM العميلَ، بتدابير مناسبة وبالقدر المعقول تجاريًا، في الاستجابة لطلبات أصحاب البيانات وفي الوفاء بالتزاماته المتعلقة بالأمن والإخطار بالخروقات وتقييمات الأثر على حماية البيانات والتشاور المسبق. وإذا تلقّت NeuroCRM طلبًا مباشرةً من أحد أصحاب البيانات، فستحيله إلى العميل ولن تردّ عليه إلا وفق التعليمات أو كما يقتضي القانون.
8. الإخطار بخرق البيانات الشخصية
ستُخطِر NeuroCRM العميلَ دون تأخير لا مبرّر له، وفي جميع الأحوال خلال 24 ساعة من علمها بخرق مؤكَّد أو مشتبه به بصورة معقولة للبيانات الشخصية يمسّ محتوى العميل، وستقدّم المعلومات المتاحة لمساعدة العميل على الوفاء بالتزاماته في الإخطار، مع تحديثات مع تقدّم التحقيق. ولا يُعدّ هذا الإخطار إقرارًا بالخطأ أو بالمسؤولية. ويقع تحديد ما إذا كان ينبغي إخطار الجهات التنظيمية أو أصحاب البيانات، وكذلك القيام بتلك الإخطارات، على عاتق العميل بصفته المتحكّم؛ وتقدّم NeuroCRM تعاونًا معقولًا.
9. عمليات النقل الدولية
حيثما تنطوي المعالجة على نقل بيانات شخصية خارج المنطقة الاقتصادية الأوروبية أو المملكة المتحدة أو سويسرا إلى بلد لا يتمتّع بقرار كفاية، يدرج الطرفان البنود التعاقدية النموذجية للمفوضية الأوروبية (2021/914)، الوحدة الثانية (من المتحكّم إلى المعالِج)، مستكمَلةً بالمعلومات الواردة في هذا الملحق، إلى جانب ملحق اتفاقية نقل البيانات الدولية للمملكة المتحدة (UK IDTA Addendum) والتعديلات السويسرية حسب الاقتضاء؛ أو يجوز لـNeuroCRM بدلًا من ذلك الاعتماد على إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة (EU-US Data Privacy Framework) حيثما تكون معتمَدة. وتطبّق NeuroCRM تدابير تكميلية حسب الاقتضاء. وعند وجود تعارض، تكون للبنود التعاقدية النموذجية (SCCs) الأسبقية بالقدر اللازم فحسب.
10. النطاق الروسي للبيانات (152-FZ)
بالنسبة إلى البيانات الشخصية للأفراد في الاتحاد الروسي، تُبقي NeuroCRM نطاقًا روسيًّا معزولًا مع تسجيل وتخزين أوّليّ على خوادم موجودة في روسيا، وفقًا للقانون الاتحادي رقم 152-FZ، وتعالج هذه البيانات بناءً على تعليمات العميل بموجب المادة 6(3) من القانون 152-FZ. ويعمل هذا النطاق ومسار الإخطار بالخروقات الخاص به (إشعار أولي خلال 24 ساعة والنتائج خلال 72 ساعة إلى Roskomnadzor) بصورة مستقلّة عن سلسلة GDPR. انظر سياسة معالجة البيانات الشخصية (روسيا).
11. التدقيق
ستتيح NeuroCRM المعلومات اللازمة لإثبات الامتثال لهذا الملحق وتسمح بإجراء عمليات تدقيق. ولتقليل التعطيل، يجوز لـNeuroCRM تلبية طلبات التدقيق عبر تقديم شهادات أو تقارير حديثة صادرة عن أطراف خارجية (مثل ISO 27001 أو SOC 2 Type II) حيثما تتوفّر. وتقتصر عمليات التدقيق الميدانية أو التفصيلية على مرّة واحدة سنويًّا (باستثناء ما يلي وقوع خرق)، وتتطلّب إشعارًا لا تقلّ مدته عن 30 يومًا، ونطاقًا متّفقًا عليه بين الطرفين، والسرّية، وتُجرى خلال ساعات العمل دون تدخّل غير معقول.
12. الإعادة والحذف
عند الإنهاء، وبناءً على اختيار العميل الذي يتمّ خلال 30 يومًا، ستعيد NeuroCRM محتوى العميل بصيغة شائعة الاستخدام أو تحذفه، وبناءً على الطلب تشهد بالحذف خلال مدة معقولة، إلا بالقدر الذي يقتضي فيه القانون الاحتفاظ بها. وتُستبدَل النسخ الاحتياطية الاعتيادية ضمن دورة التناوب المعتادة.
13. المسؤولية والأسبقية
تخضع مسؤولية كل طرف بموجب هذا الملحق للقيود والاستثناءات الواردة في شروط الخدمة، بما في ذلك السقف المعزَّز لخروقات حماية البيانات. ويكون لهذا الملحق، بما في ذلك البنود التعاقدية النموذجية (SCCs) المدرجة فيه، الأسبقية على الأحكام المتعارضة في الشروط فيما يخصّ مسائل حماية البيانات. ويخضع الملحق للقانون وأحكام تسوية النزاعات الواردة في الشروط والمنطبقة على العميل.