اتفاقية معالجة بيانات PhotoRobot (DPA)

تمثل هذه الوثيقة اتفاقية معالجة بيانات PhotoRobot: الإصدار 1.0 — إصدار PhotoRobot، يوني-روبوت المحدودة، جمهورية التشيك.

‍

‍

1. الأحزاب

يتم إبرام اتفاقية معالجة البيانات هذه ("DPA") بين:

المتحكم (العميل)
الفرد أو الكيان القانوني الذي أدخل في شروط خدمة PhotoRobot ويستخدم الخدمة.

و

المعالج:
يوني-روبوت المحدودة.
فوديتشكوفا 710/31
110 00 براغ 1
جمهورية التشيك
رقم الشركة: 01478061
رقم ضريبة القيمة المضافة: CZ01478061
البريد الإلكتروني: legal@photorobot.com

ويشار إليهم فيما بعد جماعيا باسم "الأطراف".

تكمل هذه الاتفاقية شروط خدمة PhotoRobot وتنطبق عندما يعالج PhotoRobot البيانات الشخصية نيابة عن العميل.

‍

‍

2. الموضوع وطبيعة المعالجة

يوفر PhotoRobot ("المعالج") خدمات سحابية، وامتدادات برمجية محلية، وإدارة البرمجيات الثابتة، والبنية التحتية للاستضافة اللازمة لمعالجة الصور والبيانات الوصفية والمحتوى الرقمي المرتبط الذي يرفعه العميل ("المتحكم").

تشمل المعالجة:

• المجموعة
• التخزين
• انتقال المرض
• استخراج البيانات الوصفية
• المزامنة بين CL ↔ Cloud
• استضافة المحتوى الذي يرفعه العملاء
• إنشاء السجلات والتشخيصات
• عمليات النسخ الاحتياطي

تجرى المعالجة فقط نيابة عن المراقب، وفقا لتعليماتهم الموثقة.

‍

‍

3. المدة

يظل هذا الاتفاق ساري المفعول طوال مدة العلاقة التعاقدية بين الأطراف، وبعد ذلك طالما أن المعالج يخزن أو يعالج أي بيانات شخصية نيابة عن المراقب.

‍

‍

4. البيانات الشخصية وفئات الأشخاص

4.1. أنواع البيانات الشخصية

اعتمادا على كيفية استخدام الخدمة، قد تشمل البيانات المعالجة ما يلي:

• بيانات الهوية (الاسم، اللقب، الشركة)
• بيانات الاتصال (البريد الإلكتروني، الهاتف)
• المحتوى البصري (صور، فيديوهات)
• البيانات الوصفية المرتبطة بالمحتوى المرفوع
• بيانات السجل، عناوين IP، المعرفات الفنية
• بيانات على مستوى المشروع
• بيانات الاعتماد (المفشأة)، رموز الوصول

لا يتطلب المعالج أو يعالج عمدا فئات خاصة من البيانات (المادة 9 من اللائحة العامة لحماية البيانات).

‍

4.2. فئات الأشخاص الذين يحصلون على البيانات

• موظفو العميل
• عملاء أو شركاء العميل
• المستخدمون المصرح لهم
• أي أفراد يعرضون في محتوى بصري يرفعه العميل

العميل مسؤول وحده عن ضمان جمع البيانات بشكل قانوني من مستخدمي البيانات.

‍

‍

5. تعليمات من وحدة التحكم

المعالج يعالج البيانات الشخصية فقط:

1. وفقا لتعليمات المراقب الموثقة،
2. كما هو مطلوب لتقديم الخدمة،
3. لضمان الأمان والسلامة وتوفر الأنظمة،
4. كما يقتضي القانون الأوروبي أو التشيك.

إذا اعتبر المعالج تعليما غير قانوني، يجب على المعالج إخطار وحدة التحكم.

‍

‍

6. السرية

يضمن المعالج أن جميع الأشخاص المخولين بمعالجة البيانات الشخصية:

• يخضعون لالتزامات السرية،
• تلقت التدريب المناسب،
• معالجة البيانات فقط تحت تعليمات من وحدة التحكم.

‍

‍

7. المعالجات الفرعية

يستخدم المعالج أطراف ثالثة معينة ("المعالجات الفرعية") لدعم الخدمة.

‍

7.1. المعالجات الفرعية المعتمدة

يمنح المتحكم تفويضا عاما للمعالج لاستخدام الفئات التالية من المعالجات الفرعية:

• مزودو البنية التحتية السحابية (مثل منصة Google Cloud Platform)
• مزودو خدمة توصيل البريد الإلكتروني
• مزودو التحليلات
• أنظمة التذاكر
• خدمات مراقبة الأمن
• أنظمة النسخ الاحتياطي والتعافي من الكوارث

يتم الاحتفاظ بقائمة كاملة في قائمة المعالجات الفرعية PhotoRobot وقد يتم تحديثها.

‍

7.2. إشعار التغييرات

يجب على المعالج إخطار المراقب بأي تغييرات مقصودة على المعالجات الفرعية قبل 15 يوما على الأقل، مما يسمح للمراقب بالاعتراض على أساس معقول.

‍

‍

8. نقل البيانات الدولية

عندما تقع المعالجات الفرعية أو البنية التحتية خارج المنطقة الاقتصادية الأوروبية، يضمن المعالج:

• تطبيق البنود التعاقدية القياسية (SCC 2021)،
• الضمانات التقنية والتنظيمية التكميلية،
• تقليل الوصول والتشفير،
• تدقيقات الامتثال من قبل المزود الأساسي.

توفر منصة Google Cloud Platform:

• ISO 27001، ISO 27017، ISO 27018
• تقارير SOC 1/2/3
• وثائق الامتثال للائحة البيانات العامة لحماية البيانات

التفاصيل متوفرة على https://cloud.google.com/security.

‍

‍

9. إجراءات الأمان

يجب على المعالج تنفيذ تدابير تقنية وتنظيمية بمعايير الصناعة (TOMs)، بما في ذلك:

‍

9.1. الإجراءات الفنية

• تشفير TLS للبيانات أثناء النقل
• التخزين الآمن مع رموز الوصول المشفر
• بيئات المعالجة المعزولة
• تجزئة كلمات المرور
• حدود المعدل وأنظمة كشف التسلل
• الجدار الناري متعدد الطبقات
• أمان مراكز البيانات الفيزيائية (عبر Google Cloud)

‍

9.2. الإجراءات التنظيمية

• التحكم في الوصول القائم على الأدوار
• تسجيل الوصول والمراقبة
• السياسات الداخلية لمعالجة البيانات
• التزامات سرية الموظفين
• التدريب الأمني الدوري
• إدارة مخاطر الموردين

تتوفر قائمة كاملة ب TOMs عند الطلب.

‍

‍

10. حقوق موضوع البيانات

يساعد المعالج وحدة التحكم في الاستجابة ل:

• طلبات الوصول
• التصحيح
• الحذف
• القيد
• قابلية نقل البيانات
• الاعتراضات

يجب على المعالج تحويل أي طلب مباشر من موضوع البيانات إلى المراقب دون تأخير غير مبرر.

‍

‍

11. إشعار اختراق البيانات

في حالة حدوث اختراق للبيانات الشخصية، يجب على المعالج إبلاغ المراقب:

• دون تأخير غير مبرر،
• بما في ذلك جميع المعلومات المطلوبة بموجب المادة 33 من اللائحة العامة لحماية البيانات (GDPR),
• وتقديم تحديثات مستمرة حتى اكتمال الإصلاح.

يظل مراقب المراقب مسؤولا عن إبلاغ السلطات والأفراد المتضررين.

‍

‍

12. حذف أو إرجاع البيانات

عند إنهاء العقد:

• يقوم المعالج بحذف بيانات العملاء بعد 30 يوما،
• ما لم يأمر المراقب بخلاف ذلك،
• إلا إذا كان الاحتفاظ يتطلب قانونا.

يتم استبدال النسخ الاحتياطية خلال دورة حياتها الطبيعية.

‍

‍

13. التدقيقات

لوحدة التحكم الحق في:

• الحصول على وثائق تثبت الامتثال لقانون حماية البيانات العامة
• طلب تقرير عن TOMs
• إجراء تدقيقات معقولة، مع اقتصار مرة واحدة في السنة
• الاعتماد على شهادات الطرف الثالث (تقارير ISO/SOC لجوجل كلاود)

يجب ألا تعرض التدقيقات الأمن للخطر أو تعطل العمليات.

‍

‍

14. المسؤولية

مسؤولية الأطراف تتبع شروط الخدمة.
المعالج مسؤول فقط عن الانتهاكات الناتجة عن انتهاكه الخاص لالتزامات GDPR.

‍

‍

15. القانون الحاكم والاختصاص القضائي

تخضع هذه الخطة لقوانين جمهورية التشيك.

تحل النزاعات من قبل المحاكم في براغ، جمهورية التشيك.

‍

‍

16. البنود التعاقدية القياسية (SCC)

عند الحاجة، يطبق SCC 2021 (الوحدة 2: وحدة التحكم → المعالج) كملحق لهذه الDPA.

PhotoRobot:

• يدمج SCC بالمرجعية،
• يشمل جميع البنود الإلزامية،
• ينفذ تدابير تقنية تكميلية
• يضمن الامتثال للتحويلات إلى المعالجات الفرعية خارج المنطقة الاقتصادية الأوروبية.

يمكن تقديم شهادة SCC كاملة عند الطلب.

‍

‍

17. الاتصال

يوني-روبوت المحدودة.
فوديتشكوفا 710/31
110 00 براغ 1
جمهورية التشيك

البريد الإلكتروني: legal@photorobot.com

‍