Great Place To Work®, Inc.
مركز اتفاقية المنتجات والخدمات

١١فبراير، ٢٠٢٢

جدول المحتويات

١. التعريفات

٢. التزامات العميل

التعاون والمساعدة بخدمات الاتصالات والإنترنت

٣. الرسوم

الرسوم

الفواتير والدفع والخصومات للخدمات المستقبلية

الخدمات المستقبلية

٤ . ملكية واستخدام البيانات

بيانات العميل

البيانات المجمعة والبيانات الخام

٥. معاملة الملكية الفكرية

٦. سرية أمن البيانات

٧. خصوصية البيانات

٨. حقوق أصحاب البيانات

حقوق التدقيق والتفتيش

تقييمات تأثير حماية البيانات

التشاور المسبق الأجر و التكاليف وحذف بيانات العميل الشخصية و المعالجون الفرعيون و انتهاك البيانات الشخصية

الاستشارات

التعويض والتكاليف

حذف بيانات العملاء الشخصية

المعالجون الفرعيون

خرق البيانات الشخصية

٩. التصريحات والضمانات الإضافية من GPTW

الامتثال لـ HIPAA و Gramm-Leach-Biley وما إلى ذلك

الامتثال للبرامج الصحية الفيدرالية

الامتثال للبرامج الصحية والمشتريات الفيدرالية

الامتثال لقوانين الهجرة

الامتثال لعنوان ٤٢ من قانون الولايات المتحدة

تقرير الشفافية GPTW ونقل البيانات من الاتحاد الأوروبي

١٠. المدة والإنهاء

مدة الإنهاء بسبب الحقوق والالتزامات عند انتهاء الصلاحية أو عدم البقاء

١١. الاعتذار

١٢. حد الالتزام العام

رسوم إضافية عن العمل غير المدرج في نموذج طلب GPTW

التنازل عن الإشعارات

التفويض المقاول المستقل القابل للفصل

التعديلات باستخدام الأسماء / الشعار

الرسوم القانونية التأمين القوة القاهرة

الورثة والمتنازلون

النسخ المضاعفة

العناوين والترجمات الفرعية

النزاعات

الوسائل العلاجية

لا يوجد مستفيدون من طرف ثالث

الاتفاق الكامل للتنسيق الرقمي

الملحق

اتفاقية المنتجات والخدمات

اتفاقية المنتجات والخدمات (هذه “الاتفاقية”) مدمجة عن طريق الإشارة في نموذج طلب GPTW أو بيان العمل مع GPTW الموقع بالكامل (بشكل جماعي، “اتفاقية الأساسية”) بين: (ط) GPTW التي تعمل نيابة عن نفسها وكممثل لكل منشأة تابعة GPTW ؛ و (ث) العميل الذي يعمل نيابة عن نفسه وربما لكل منشأة تابعة للعميل. كل من GPTW والعميل طرف “وهم “الأطراف” في هذه الاتفاقية.حيث تقدم GPTW منتجات وخدمات لتقييم ثقافة مكان العمل والأداء والاعتماد لمساعدة المنشآت في تقييم وتحسين أماكن عملها ؛ حيث يرغب العميل في التعاقد مع GPTW لأداء الخدمات (المُعرَّفة أدناه) وفقًا لشروط هذه الاتفاقية.الآن، لذلك، في ضوء الوعود والعهود المتبادلة الواردة هنا ولأجل اعتبارات أخرى جيدة وقيمة، يتفق الطرفان على النحو التالي:

١. التعريفات
المصطلحات المكتوبة بحروف كبيرة التي لم يتم تعريفها في هذا القسم ١ لها معنى خاص عند استخدامها في الاتفاقية.

١٫١ “المنشأة التابعة” تعني المنشآت التابعة المملوكة بالكامل والأغلبية لمنشأة GPTW ومرخصي Great Place To Work Institute, Inc. بدون أي حصة ملكية من GPTW.

١٫٢ “البيانات المجمعة” تعني (أ) المعلومات والبيانات والمحتوى المحدد للعميل الوارد في أي تقرير (تقارير) يتم تسليمها من GPTW إلى العميل وفقًا لهذه الاتفاقية؛ و (ب) أي بيانات مجمعة أخرى مشتقة من البيانات الخام يتم تسليمها من GPTW إلى العميل وفقًا لهذه الاتفاقية. لتجنب الشك، لا تشمل البيانات المجمعة أي بيانات خام أو بيانات العميل.

١٫٣ “التقييم” يعني أي تقييم يتم إجراؤه بواسطة GPTW كجزء من الخدمات. وفقًا لذلك تستخدم GPTW أدواتها ومنهجياتها لتقييم وقياس ثقافة مكان العمل (بما في ذلك استخدام مسح مؤشر الثقة، ومراجعة الثقافة، وإيجاز الثقافة، نموذج الثقة ومنهجيته).

١٫٤ “الاعتماد” تعني العملية التي من خلالها يمكن للعملاء قياس تجارب موظفيهم والتي يمكن “اعتمادها” من خلال التأكيد والأداء مع نماذج Great Place To Work.

١٫٥ “المنشأة التابعة للعميل” تعني المنشآت التابعة المملوكة بالكامل والأغلبية للعميل.

١٫٦ “بيانات العميل” تعني البيانات والمعلومات الخاصة بالعميل التي يقدمها إلى GPTW حتى تتمكن GPTW، كجزء من الخدمات، من إجراء تقييم (مثل المعلومات الديموغرافية والمنشأة اللازمة لتوزيع الاستبيان على المشاركين مثل عنوان البريد الإلكتروني، معرف الموظف، ومعلومات التعريف الشخصية الأخرى) والبيانات الخاصة التي قد يتم تقديمها من قبل العميل إلى GPTW لمراجعة الثقافة أو إيجاز الثقافة). لتجنب الشك، لا تشمل بيانات العميل أي بيانات مجمعة أو بيانات خام.

١٫٧ “بيانات العميل الشخصية” تعني أي بيانات شخصية معالجتها من قبل معالج نيابة عن العميل وفقًا للاتفاقية الرئيسية أو فيما يتعلق بها.

١٫٨ “موافقة” موضوع البيانات تعني أي إشارة محددة ومستنيرة ومبهمة مقدمة بحرية من موضوع البيانات التي من خلالها، من خلال بيان أو إجراء تأكيدي واضح، تعبر عن موافقتها على معالجة البيانات الشخصية المتعلقة به أو بها.

١٫٩ “المتحكم” يعني الشخص القانوني أو السلطة العامة أو الوكالة أو أي هيئة أخرى تحدد وحدها أو بالاشتراك مع الآخرين أغراض ووسائل معالجة البيانات الشخصية.

١٫١٠ “البيانات” تعني البيانات الخام والبيانات المجمعة.

١٫١١ “قوانين حماية البيانات” تعني لائحة حماية البيانات العامة (GDPR) التابعة للاتحاد الأوروبي (EU) ٢٠١٦، وقانون حماية المستهلك في كاليفورنيا لعام ٢٠١٨ AB 375 (CCPA)، وقوانين حماية البيانات لجميع الدول أو الولايات أو الهيئات التنظيمية الأخرى.

١٫١٢ “الرسوم” تعني الرسوم التي يجب على العميل دفعها إلى GPTW كما هو منصوص عليه في هذه الاتفاقية، بما في ذلك في الاتفاقية الرئيسية المطبقة.

١٫١٣ “GDPR” تعني اللائحة (الاتحاد الأوروبي) 2016/679 للبرلمان الأوروبي ومجلس ٢٧ أبريل ٢٠١٦ (اللائحة العامة لحماية البيانات).

١٫١٤ “الملكية الفكرية GPTW” تعني (أ) جميع الأعمال القابلة للحماية بموجب حقوق الطبع والنسخ المملوكة لشركة Great Place To Work (بما في ذلك دون قيود الكتب والمقالات والنشرات والدراسات الاستقصائية، ودراسات مؤشر الثقة، ومراجعة الثقافة، وإيجازات الثقافة، والمنهجية، وشكل وهيكل التقارير، والمواد والوسائل والمنهجيات الأخرى)، سواء تم تسجيل حقوق الطبع والنسخ في هذه الأعمال في الولايات المتحدة أو أي ولاية قضائية أخرى؛ (ب) جميع المعلومات والمواد السرية التي تنتمي إلى Great Place To Work؛ (ج) جميع أسماء Great Place To Work والعلامات الخدمية والرموز والشعارات؛ (د) جميع التقنيات والخوارزميات والطرق أو الحقوق المتعلقة بها المملوكة لشركة Great Place To Work أو المرخصة لها خلال مدة هذه الاتفاقية والمستخدمة من قبل Great Place To Work فيما يتعلق بخدمات GPTW المقدمة للعميل؛ (هـ) البيانات الخام وبيانات GPTW المجمعة؛ (و) خدمات GPTW؛ و (ز) التطبيقات.

١٫١٥ “مواد GPTW” تعني جميع التقنيات والخوارزميات والطرق أو الحقوق المتعلقة بها المملوكة لشركة GPTW أو المرخصة لها خلال مدة هذه الاتفاقية والمستخدمة من قبل GPTW فيما يتعلق بالخدمات المقدمة للعميل.

١٫١٦ “الفترة الأولية” لها المعنى المحدد في المادة ٩٫١.

١٫١٧ “حقوق الملكية الفكرية” تعني حقوق البراءات (بما في ذلك دون قيود طلبات البراءات والافصاحات)، وحقوق الطبع والنسخ، والأسرار التجارية، والحقوق الأخلاقية، والمعرفة، وأي حقوق أخرى للملكية الفكرية المعترف بها في أي بلد أو ولاية قضائية في العالم.

١٫١٨ “التأخيرات في الدفع” لها المعنى المحدد في المادة ٣٫٢

١٫١٩ “البيانات الشخصية” تعني أي معلومات تتعلق بشخص محدد أو يمكن تحديده (‘الموضوع البيانات’) ؛ يمكن تحديد شخص بشكل مباشر أو غير مباشر، على وجه الخصوص من خلال الإشارة إلى معرف مثل الاسم أو رقم تعريف الموقع أو معرف عبر الإنترنت أو واحد أو أكثر من العوامل المحددة للهوية البدنية، أو الفيزيولوجية، أو الوراثية، أو العقلية أو الاقتصادية أو الثقافية أو الاجتماعية لهذا الشخص الطبيعي. لأغراض هذه الاتفاقية، تستثني البيانات الشخصية المعلومات التي يقدمها فرد مباشرة إلى GPTW طالما أن GPTW لم تكن تجمع هذه المعلومات نيابة عن العميل أو من أجل إكمال المعاملات وفقًا لما هو مطلوب بموجب هذه الاتفاقية.

١٫٢٠ “خرق البيانات الشخصية” يعني خرق الأمن الذي يؤدي إلى التدمير العرضي، أو غير القانوني أو الفقد أو التغيير أو الإفصاح غير المصرح به أو الوصول إلى البيانات الشخصية المنقولة أو المخزنة أو المعالجة بطريقة أخرى.

١٫٢١ “حقوق الملكية الفكرية السابقة” لها المعنى المحدد في المادة 5.1.

١٫٢٢ “التجهيز” يعني أي عملية أو مجموعة من العمليات التي يتم إجراؤها على البيانات الشخصية أو على مجموعات من البيانات الشخصية، سواء كانت آلية أم لا، مثل جمع، أو تسجيل أو تنظيم أو هيكلة أو تخزين، أو تكييف، أو تعديل أو استرجاع أو استشارة أو استخدام أو كشف من خلال النقل أو النشر أو غير ذلك من خلال إتاحتها، أو محاذاتها، أو دمجها أو تقييدها أو مسحها أو تدميرها. إن طبيعة الغرض والموضوع ومدة معالجة بيانات العميل الشخصية هي جمع بيانات استطلاع موظفي العميل لمعالجتها وأرشفتها لأغراض البحث العلمي والتاريخي والأغراض الإحصائية لتقييم ثقافة مكان العمل والأداء والاعتماد لمساعدة المنظمات في تقييم وتحسين أماكن عملها.

١٫٢٣ “المعالج” يعني شخصًا طبيعيًا، أو قانونيًا، أو هيئة عامة أو وكالة أو هيئة أخرى تعالج البيانات الشخصية نيابة عن المسؤول عن المعالجة.

١٫٢٤ “البيانات الخام” تعني الاستجابات السرية والمجهولة التي تتلقاها GPTW من العميل وموظفي العميل فيما يتعلق، من بين أمور أخرى، بدراسات مؤشر الثقة أو تدقيق الثقافة أو نبذة عن المنشأة أو مجموعات التركيز أو المقابلات الفردية التي تديرها GPTW وفقًا لهذه الاتفاقية. لا تشمل البيانات الخام أي بيانات مجمعة أو بيانات العميل.

١٫٢٥ “البرنامج” يعني أي برنامج مرخص له من قبل GPTW وتستخدمه GPTW لتقديم الخدمات.

“الخدمات” تعني الخدمات التي ستؤديها GPTW للعميل كما هو موضح في الاتفاقية الرئيسية المطبقة.

١٫٢٧ “المعالج الفرعي” يعني أي شخص (بما في ذلك أي طرف ثالث وأي شركة تابعة لـ GPTW، باستثناء موظف GPTW أو أي من مقاوليها الفرعيين) نيابة عن GPTW أو أي شركة تابعة لـ GPTW لمعالجة بيانات العملاء الشخصية نيابة عن العميل فيما يتعلق بالاتفاقية الرئيسية.

١٫٢٨ “السلطة الرقابية” تعني هيئة عامة مستقلة يتم إنشاؤها من قبل دولة عضو وفقًا للمادة ٥١ من GDPR.

١٫٢٩ “الاستبيان” يعني استبيان مشاركة الموظفين عبر الإنترنت الذي يتكون من أسئلة الاستبيان القياسية الخاصة بـ GPTW أو أسئلة إضافية كما طلبها العميل.

١٫٣٠ “المدة” لها المعنى المحدد في المادة ١٠٫١.

٢. التزامات العميل ٢٫١ التعاون والمساعدة. كشرط لآداء GPTW بموجب هذا الاتفاق، سيتعاون العميل دائمًا ويتيح لـ GPTW الوصول إلى مثل هذه المعلومات والمرافق والمعدات التي قد تتطلبها GPTW بشكل معقول لتقديم الخدمات، بما في ذلك، على سبيل المثال لا الحصر، توفير بيانات العميل؛ (ب) توفير مساعدة الموظفين المناسبة، كما قد تطلبها GPTW من وقت لآخر؛ و (ج) الامتثال لالتزاماته بموجب هذا الاتفاق.٢٫٢ خدمات الاتصالات والإنترنت. يقر العميل ويوافق على أن استخدام العميل والمستخدمين لجزء من تقييم من الخدمات يعتمد على الوصول إلى خدمات الاتصالات والإنترنت. سيكون العميل والمستخدمين مسؤولين وحدهم في الحصول على جميع خدمات الاتصالات والإنترنت وغيرها من الأجهزة والبرامج المطلوبة للوصول إلى جزء التقييم من الخدمات واستخدامها، بما في ذلك، على سبيل المثال لا الحصر، جميع التكاليف والرسوم والمصاريف والضرائب من أي نوع مرتبط بما سبق.

٣. الرسوم

٣٫١ الرسوم. مقابل قيام GPTW بتقديم الخدمات، سيدفع العميل إلى GPTW الرسوم بالمبالغ وفقًا للشروط المحددة في الاتفاقية الرئيسية.

٣٫٢ الفواتير والدفع.

(أ) سيدفع العميل إلى GPTW المبلغ الإجمالي للرسوم غير المتنازع عليها وفقًا لشروط الدفع المحددة في الاتفاقية الرئيسية والمرسلة عن طريق الفاتورة إلى العميل. تحتفظ GPTW بالحق في إنهاء أداء الخدمات للعميل إذا لم يتم الدفع في الوقت المحدد. قد تكون هناك حاجة إلى دفع رسوم إضافية قبل استئناف الخدمات.

(ب) سترسل GPTW الفواتير بالبريد الإلكتروني إلى جهة الاتصال الرئيسية للعميل المحددة في الاتفاقية الرئيسية. سيتم تحديد متطلبات الفاتورة الإضافية فيما يتعلق بتواريخ استحقاق الدفع في الاتفاقية الرئيسية. سيتم تحديد خيارات تحويل الدفع في الفاتورة وستتضمن الدفع بالشيك أو التحويل أو الدفع عبر الإنترنت.

٣٫٣ أرصدة الخدمات المستقبلية. إذا قامت GPTW في أي وقت بإصدار رصيد للخدمات المستقبلية للعميل، يجب على العميل استخدام الأرصدة في غضون اثني عشر (١٢) شهرًا من إصدار الرصيد.

٤. ملكية واستخدام البيانات ٤٫١ بيانات العميل(أ) بين GPTW والعميل، إن بيانات العميل، وجميع حقوق الملكية الفكرية فيها أو المتعلقة بها ستظل ملكية حصرية للعميل أو مرخصيه.(ب) ستستخدم GPTW بيانات العميل فقط لأداء الخدمات وبطريقة تتوافق مع الأغراض التي يتم تزويد GPTW بها أو يتم التفويض لاحقًا باستخدامها، وستضمن GPTW أن يتم الحفاظ على أي معلومات شخصية مدرجة في بيانات العميل بشكل صحيح وحمايتها وفقًا للمادة ٧.٤٫٢ البيانات المجمعة والبيانات الخام.(أ) بين GPTW والعميل، إن البيانات الخام والبيانات المجمعة، وجميع حقوق الملكية الفكرية فيها أو المتعلقة بها ستظل ملكية حصرية لشركة GPTW.(ب) لن يتم توفير البيانات الخام للعميل من قبل GPTW لحماية سرية المستجيبين للعميل. يجوز للعميل استخدام البيانات المجمعة فقط كما هو موضح في المادة ٥٫٣.(ج) تتعهد GPTW باستخدام البيانات المجمعة فقط لأغراض GPTW وإنشاء أفضل الممارسات، وشهادة المنشآت كمواقع عمل معترف بها، وإنشاء قوائم الشركات للنشر، والتحليل الإحصائي، وأغراض البحث والتطوير الأخرى.(د) لحماية سرية المستجيبين للعميل، لن تقدم GPTW تقارير عن نتائج التقييم التي استجاب فيها أقل من خمسة (٥) أشخاص في مجموعة ديموغرافية للعميل.

٥. معاملة الملكية الفكرية ٥٫١ بغض النظر عن أي حكم في هذا الاتفاق، (أ) ستظل جميع حقوق الملكية الفكرية التي تنتمي إلى أحد الطرفين أو المقاول من الباطن أو الطرف الثالث قبل تاريخ التنفيذ، أو التي تم إنشاؤها بخلاف ما يتعلق بتقديم GPTW للخدمات (“حقوق الملكية الفكرية الموجودة مسبقًا”) مع هذا الطرف أو المقاول من الباطن أو الطرف الثالث (حسب الاقتضاء) ولن يتم تخصيصها بموجب هذا الاتفاق، و (ب) ستكون جميع حقوق الملكية الفكرية في جميع التحسينات والتعديلات على أي حقوق ملكية فكرية موجودة مسبقًا أو الأعمال المشتقة منها التي قام بها أي من الطرفين مع مالك حقوق الملكية الفكرية الموجودة مسبقًا ذات صلة.٥٫٢ فيما يتعلق بـ GPTW والعميل، فإن حقوق الملكية الفكرية الخاصة بـ GPTW وجميع حقوق الملكية الفكرية فيها أو المتعلقة بها (باستثناء الحقوق المحدودة الممنوحة للعميل ومستخدمي العميل هنا) هي وستظل ملكية حصرية لشركة GPTW أو مرخصيها. لا يحصل العميل على أي حقوق ملكية فكرية خاصة بـ GPTW. يتطلب أي استخدام لحقوق الملكية الفكرية الخاصة بـ GPTW بخلاف ما هو موضح صراحة في هذا الاتفاق موافقة كتابية مسبقة من GPTW.٥٫٣ دون موافقة كتابية مسبقة من GPTW، والتي قد يتم حجبها وفقًا لتقدير GPTW المطلق، لن يستخدم العميل أو يعيد استخدام أي حقوق ملكية فكرية خاصة بـ GPTW بأي طريقة أخرى غير تلك الواردة في استلامه للخدمات خلال المدة (بما في ذلك في أي استقصاء يتم إجراؤه داخليًا أو مع بائع آخر خارج نطاق هذا الاتفاق). يجوز للعميل توزيع التقارير التي تقدمها GPTW للعميل داخليًا، ولكن أي توزيع خارجي يتطلب موافقة كتابية مسبقة من GPTW التي لن يتم حجبها بشكل غير معقول.٥٫٤ لن ينتهك أي من الطرفين أو يستولي على حقوق الملكية الفكرية للطرف الآخر أو أي طرف ثالث أثناء أداء التزاماته بموجب هذا الاتفاق.٥٫٥ يقر كل طرف ويوافق على أن حقوق الملكية الفكرية للطرف الآخر هي ملكية قيمة للطرف الآخر. سيحمي كل طرف ويحمي حقوق الملكية الفكرية التي يتلقاها. لن يغير أي طرف أو يعدل أو يسمح للآخرين بتغيير أو تعديل حقوق الملكية الفكرية للطرف الآخر دون موافقة كتابية مسبقة من الطرف الآخر. على سبيل المثال فقط، ولن يكون بأي حال من الأحوال أي قيد لهذا الحكم، لا يجوز مراجعة أي نص ولا يجوز تغيير أو تشويه أو تعديل أي علامة أو شعار بأي شكل من الأشكال.٥٫٦ في حالة علم أحد الأطراف بأي انتهاك أو استخدام غير مصرح به لحقوق الملكية الفكرية للطرف الآخر من قبل هذا الطرف أو موظفيه أو أي طرف ثالث، سيقوم هذا الطرف على الفور بإخطار الطرف الآخر بمثل هذا الانتهاك أو الاستخدام غير المصرح به. إذا كان مثل هذا الانتهاك أو الاستخدام غير المصرح به من قبل هذا الطرف أو موظفيه، فسيتوقف هذا الطرف على الفور عن مثل هذا الانتهاك أو الاستخدام غير المصرح به؛ إذا كان هذا الانتهاك أو الاستخدام غير المصرح به من قبل طرف ثالث، فسيتعاون هذا الطرف مع الطرف الآخر في جعل الطرف الثالث يتوقف عن مثل هذا الانتهاك أو الاستخدام غير المصرح به.

٦. السرية ٦٫١ سيتم التعامل مع أي بيانات عملاء مقدمة من العميل إلى GPTW أو التي تم الحصول عليها بطريقة أخرى بواسطة GPTW كطرف متلقٍ فيما يتعلق بأعمال أو عمليات العميل أو عملائه أو أي شخص أو شركة أو عميل أو منظمة مرتبطة بالعميل، من قبل GPTW على أنها سرية، ولن يكشف GPTW عنها للأطراف الثالثة دون موافقة خطية مسبقة من العميل. يعترف الطرفان ويوافقان على أن بيانات العميل لا تشمل البيانات الخام والبيانات المجمعة، وهي ملكية فكرية GPTW.٦٫٢ في حالة حصول العميل كطرف متلقٍ على أي معلومات سرية أو مواد تابعة لشركة GPTW (بما في ذلك الملكية الفكرية GPTW) ، سواء كان هذا الوصول مقصودًا أو غير مقصود، فسوف يعامل العميل هذه المعلومات أو المواد على أنها سرية ولن يكشف عنها للأطراف الثالثة دون موافقة خطية مسبقة من GPTW.٦٫٣ لن تنطبق الأحكام السرية المنصوص عليها هنا على المعلومات السرية التي (أ) هي في أو تدخل المجال العام بخلاف الأفعال من قبل الطرف المتلقي، (ب) يتم الحصول عليها من قبل الطرف المتلقي من طرف ثالث حصل عليها بشكل قانوني دون الالتزام بالسرية، (ج) تم إنشاؤها بشكل مستقل من قبل الطرف المتلقي كما هو مثبت في الوثائق المكتوبة، أو (د) تم الكشف عنها بشكل صحيح من قبل الطرف المتلقي وفقًا لالتزام قانوني أو أمر من محكمة ذات اختصاص قضائي أو أمر من هيئة منظمة مختصة تتطلب الكشف عن المعلومات السرية أو المواد التابعة للطرف الآخر، بشرط أن يخطر الطرف المتلقي الطرف الآخر قبل الكشف، إلا إذا كان هذا الإخطار محظورًا، حتى يمكن اتخاذ خطوات لمحاولة الالغاء أو الحد من أي كشف.٦٫٤ ستنطبق الالتزامات السابقة فيما يتعلق بالسرية بشكل رجعي، من نقطة الاتصال الأولى بين العميل و GPTW فيما يتعلق بالخدمات وستظل سارية المفعول بالكامل بغض النظر عن أي إنهاء لهذه الاتفاقية.

البيانات الأمنية ٧٫١ ان استضافة منصة الاستبيان التحليلي لـ GPTW والمُسماة Emprising تتم بواسطة مزود الخدمة السحابية Microsoft Azure. تتعاقد GPTW مع Azure للحفاظ على أعلى مستوى من أمن البيانات وخصوصية البيانات وفقًا للالتزام العالمي في جميع الأوقات. يتم تمرير هذه الحماية القانونية إلى جميع عملاء GPTW من خلال الضمانات الواردة في اتفاقية المنتجات والخدمات لكامل فترة التعاقد لدينا كما هو موضح بالتفصيل أدناه. توجد تقارير تدقيق Azure ووثائق الموارد الأخرى بالإضافة إلى أداة إدارة الالتزام من Azure التي تستخدمها GPTW للالتزام بـ GDPR وقوانين الخصوصية الأخرى على عناوين URL التالية: https://servicetrust.microsoft.com/ وعروض الالتزام الأخرى: https://www.microsoft.com/en-us/trustcenter/compliance/complianceofferings. توجد مقالة عامة حول امتثال Azure هنا: https://www.communicationsquare.com/news/everything-about-gdpr-compliance-in-microsoft-cloud/ ومدونة هنا: https://azure.microsoft.com/en-us/blog/protecting-privacy-in-microsoft-azure-gdpr-azure-policy-updates/ توجد أيضًا بعض الموارد الخاصة بالالتزام حسب البلد. على سبيل المثال، يتم التعامل مع الامتثال في ألمانيا على عنوان URL التالي: https://servicetrust.microsoft.com/ViewPage/GermanComplianceResourcesV3.٧٫٢ توفر GPTW أعلى مستوى من الحماية القانونية من خلال ضمان لعملائنا أنه خلال فترة التعاقد بأكملها، لم تتلق GPTW إشعارًا بعدم الالتزام بالمعايير الصناعية التالية: البيانات المالية المدققة من قبل شركة Abbott، Stringham & Lynch، ومنظمة المعايير الدولية (ISO) لأمن البيانات ISO 27001: 2013، وإدارة استمرارية الأعمال ISO 22301: 2019، وإدارة الجودة ISO 9001: 2015 بالإضافة إلى إطار عمل الأمن السيبراني للمركز الوطني للمعايير والتكنولوجيا (NIST 2015). إذا كان ذلك ينطبق، فإن GPTW تلتزم أيضًا بمعيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) من خلال مزود طرف ثالث. كما توفر GPTW هذه الضمانات والتعهدات لشبكة GPTW على الرغم من أنها لا تدعم Emprising. لا تلمس أسئلة واستجابات استبيان Emprising شبكة GPTW أبدًا. يقتصر أي اتصال بين منصة Emprising المستضافة على Azure وشبكة GPTW على اتصال VPN آمن من طرف إلى طرف باستخدام بروتوكول IPSec. وعليه، تعتبر GPTW الدقيقات المالية والأمنية لطرف ثالث لشبكة GPTW للاستخدام “المقيد” والسرية ولا تقدمها إلى أي عميل.٧٫٣ تحتفظ GPTW بمسؤول رئيسي لحماية البيانات (CDPO) ومُدقق معتمد رئيسي (مُدقق) لـ ISO 27001: 2013 لضمان الالتزام بهذه المعايير الصناعية. يقدم كل من CDPO والمُدقق تقاريرهما مباشرة إلى الرئيس التنفيذي ورئيس GPTW.

٨. خصوصية البيانات ٨٫١ ستبذل GPTW جهودًا تجارية تتوافق مع معايير المنشأة لجمع ونقل وتخزين وحماية وصيانة البيانات وبيانات العملاء التي يتم الحصول عليها من خلال الخدمات وفقًا للتفاصيل المقدمة في سياسة الخصوصية العالمية لشركة GPTW الموجودة على العنوان URL التالي: https://www.greatplacetowork.com/privacy-policy. تتعهد شركة GPTW وتضمن أنها خلال المدة تمتثل للوائح العامة لحماية البيانات للاتحاد الأوروبي (EU) 2016 (GDPR)، وقانون حماية المستهلك في كاليفورنيا لعام ٢٠١٨ AB 375 (CCPA)، وقواعد خصوصية عبر الحدود لمنطقة التعاون الاقتصادي لآسيا والمحيط الهادئ (APEC)، وقوانين حماية البيانات لجميع البلدان والولايات والهيئات التنظيمية الأخرى. كما أن شركة GPTW معتمدة بموجب برنامج خصوصية البيانات الأمريكية / الأوروبية والأمريكية / التشيكية. في حالة الحاجة، يتم إرفاق بنود عقدية قياسية (SCC جديدة) بهذا الاتفاق كما هو منصوص عليه في القرار التنفيذي النهائي الصادر عن المفوضية الأوروبية بتاريخ ٤ يونيو٢٠٢١. تقوم شركة GPTW بجمع البيانات لأغراض المعالجة والأرشفة لأغراض البحث العلمي والتاريخي ولأغراض إحصائية لتقييم ثقافة مكان العمل والأداء والاعتماد لمساعدة المنشآت في تقييم وتحسين أماكن العمل الخاصة بها. هذه اللغة نفسها موجودة في المادة ٨٩ من لوائح حماية البيانات العامة. توجد أنواع وفئات البيانات الشخصية للعملاء التي سيتم معالجتها في القسم السكاني وأسئلة مؤشر الثقة في الاستبيان. لا تبيع شركة GPTW البيانات الشخصية لأي طرف ثالث.٨٫٢ فيما يتعلق بالخدمات، يحق لشركة GPTW استلام ومعالجة وتخزين البيانات الشخصية في الولايات المتحدة أو ولايات قضائية أخرى. سيتم حماية المعلومات الشخصية التي تتلقاها شركة GPTW من قبل شركة GPTW كما هو موضح في القسم أعلاه. في حالة وجوب الحصول على موافقة أي فرد قبل نقل المعلومات الشخصية إلى شركة GPTW، يكون العميل مسؤولاً عن الحصول على موافقة أي فرد متأثر. يجب أن تكون هذه الموافقة مُعطاة بحرية ومحددة وواضحة ولا لبس فيها ومقدمة من خلال بيان أو إجراء إيجابي واضح.٨٫٣ تُعيّن شركة GPTW مديرًا لحماية البيانات بدوام كامل (CDPO) وموظفين لضمان الامتثال لجميع قوانين حماية البيانات. يرفع مدير حماية البيانات تقاريره مباشرة إلى الرئيس التنفيذي ورئيس شركة GPTW. كما توظف شركة GPTW بدوام كامل مُمارسًا معتمدًا لخصوصية المعلومات (CIPP) ومديرا معتمدًا لخصوصية المعلومات (CIPM) معتمدين من قبل الجمعية الدولية لمحترفي الخصوصية على www.iapp.org الذين يتم اعتماد بياناتهم من قبل المعهد الوطني الأمريكي للمعايير (ANSI) بموجب المعيار الدولي للمنظمة الدولية للمعايير (ISO) 17024:2012.٨٫٤ حقوق أصحاب البيانات. مع الأخذ في عين الاعتبار طبيعة المعالجة، ستساعد شركة GPTW وكل شركة تابعة لها العميل على الاستجابة للطلبات لممارسة حقوق أصحاب البيانات بموجب أي قوانين لحماية البيانات. ستقوم شركة GPTW بإخطار العميل على الفور إذا تلقى أي طلبًا من صاحب بيانات بموجب أي قانون لحماية البيانات فيما يتعلق ببيانات العميل الشخصية. ستضمن شركة GPTW أن المعالج لا يستجيب لذلك الطلب إلا بناءً على تعليمات العميل الموثقة أو حسبما تقتضيه أي قوانين لحماية البيانات التي يخضع لها المعالج، وفي هذه الحالة ستقوم شركة GPTW بالقدر الذي تسمح به أي قوانين لحماية البيانات بإبلاغ العميل بهذا المتطلب القانوني قبل أن يستجيب المعالج للطلب. بالإضافة إلى موضوع ومدة معالجة البيانات و هي جمع بيانات استبيان موظفي العميل للمعالجة والأرشفة لأغراض البحث العلمي والتاريخي ولأغراض إحصائية لتقييم ثقافة مكان العمل والأداء والاعتماد لمساعدة المؤسسات في تقييم وتحسين أماكن العمل الخاصة بها.

٩٫١ الامتثال لـ HIPAA و Gramm-Leach-Biley. في تنفيذ واجباتها والتزاماتها بموجب هذا الاتفاق، ستلتزم GPTW بجميع القوانين الفيدرالية والولائية المعمول بها، بما في ذلك، على سبيل المثال، قانون الحقوق المدنية لعام 1964 وقانون إعادة التأهيل لعام 1973، البند التاسع من تعديلات التعليم لعام 1972، وقانون التمييز العمري لعام 1975، وأمريكيون مع قانون الإعاقة، وقانون الضمان الاجتماعي، وقانون تبسيط الاستحواذ الفيدرالي لعام 1994، واللوائح الفيدرالية للاستحواذ، وقانون قابلية نقل التأمين الصحي والمساءلة وقانون Gramm-Leach-Biley. تدرك GPTW أن تقديم ادعاءات وبيانات كاذبة فيما يتعلق بتقديم الخدمات بموجب هذا الاتفاق ممنوع، وأن مثل هذه الإجراءات قابلة للعقوبة.٩٫٢ الامتثال للبرامج الصحية الفيدرالية. تمثل GPTW وتضمن أنه لا هي ولا أي من مقاوليها أو موظفيها الذين سيقدمون بضائع أو خدمات بموجب الاتفاق، أو مديريها أو مسؤوليها، أو أي شخص لديه حصة ملكية في المورد بنسبة خمسة بالمائة (٥٪) أو أكثر، هو أو كان من قبل: (i) محظور أو معلق أو مستبعد من المشاركة في برنامج Medicare أو Medicaid أو برنامج التأمين الصحي الحكومي للأطفال (SCHIP) أو أي برنامج رعاية صحية فيدرالي آخر؛ (ii) تمت إدانته بجريمة تتعلق بتقديم عناصر أو خدمات بموجب برنامج Medicare أو Medicaid؛ (iii) اتخذ أي إجراء تأديبي ضد أي ترخيص أو شهادة مهنية مملوكة في أية ولاية أمريكية، بما في ذلك الإجراء التأديبي أو أمر موافقة المجلس أو التعليق أو إلغاء الترخيص أو الاستسلام الطوعي للترخيص أو الشهادة؛ أو (iv) محظور أو معلق من المشاركة في أنشطة المشتريات أو غير المشتريات من قبل أي وكالة فيدرالية (مجتمعة، “الأشخاص العقوب عليهم”). من أجل ضمان عدم إجراء أي مدفوعات من العميل إلى الأشخاص العقوب عليهم، ستقوم GPTW بتقييم جميع الموظفين والمقاولين الذين سيقدمون بضائع أو خدمات بموجب الاتفاق لتحديد ما إذا كانوا قد تم استبعادهم من المشاركة في Medicare أو Medicaid أو برنامج التأمين الصحي للأطفال و / أو أي برامج رعاية صحية فيدرالية.٩٫٣ الامتثال للبرامج الصحية والمشتريات الفيدرالية. تؤكد GPTW أن لا هي ولا أي من موظفيها أو الشركات التابعة لها أو وكلائها هي شخص غير مؤهل وأنها على حد علمها ليست طرفًا في عقد مع أي شخص غير مؤهل. الشخص غير المؤهل هو فرد أو كيان (i) مستبعد حاليًا، أو محظور، أو معلق، أو غير مؤهل بأي شكل آخر للمشاركة في أي برامج الرعاية الصحية أو مشتريات أو غير مشتريات فيدرالية (مثل Medicare و Medicaid) و / أو (ii) تمت إدانته بجريمة تندرج ضمن نطاق الأنشطة الموصوفة في 42 U.S.C. §1320a-7 (أ)، ولكن لم يتم استبعاده، أو حظره، أو تعليقه، أو إعلان عدم أهليته بعد. سيكون هذا تمثيلًا وضمانًا مستمرًا خلال مدة الاتفاق، وسوف تبلغ GPTW العميل على الفور بأي تغيير في حالة التمثيل والضمان المنصوص عليه في هذا القسم. سيعطي أي خرق لهذا القسم العميل الحق في إنهاء هذا الاتفاق على الفور لسبب وجيه.٩٫٤ الامتثال لقوانين الهجرة. تمثل GPTW وتضمن للعميل أنها لن توظف أي فرد لأداء خدمات ليس مخولًا قانونًا للعمل في الولايات المتحدة بالصفة المشار إليها. تشهد GPTW أن جميع الموظفين الذين سيقدمون خدمات للعميل بموجب هذا الاتفاق مخولون قانونًا ليكونوا في الولايات المتحدة والعمل فيها بالصفة التي يعملون بها بموجب هذا الاتفاق وسوف يقدمون وثائق مكتوبة لدعم هذه الشهادة. إذا تغير الوضع القانوني للموظف أثناء المدة، ستقوم GPTW بإخطار العميل وإزالة هذا الموظف على الفور من الشركة ومن أداء الخدمات بموجبه. ستقوم GPTW بتعويض العميل وإعفائه من أي مطالبة و / أو أي إجراء قانوني يتم اتخاذه ضده أو ضده فيما يتعلق بفشله المزعوم في الامتثال لالتزاماته بموجب هذا القسم.٩٫٥ الامتثال للعنوان ٤٢ من قانون الولايات المتحدة. حتى انتهاء فترة أربع (٤) سنوات بعد إنهاء هذا الاتفاق لأي سبب، ستقوم GPTW، وفقًا للمادة 1395x (V) (1) (I) من العنوان ٤٢ من قانون الولايات المتحدة، بتوفير نسخة من هذا الاتفاق عند طلب كتابي من العميل، أو وزير الصحة والخدمات الإنسانية الأمريكي، أو المحاسب العام لمكتب المحاسبة العامة الأمريكي أو أي من ممثليهم المخولين قانونًا، وكتب ومستندات وسجلات يحددها الأطراف المذكورة أعلاه ضرورية للتحقق من طبيعة ونطاق تكاليف الخدمات و / أو اللوازم المقدمة من قبل GPTW بموجبه. إذا قامت GPTW بأداء أي من واجباتها هنا بموجب عقد فرعي بقيمة أو تكلفة عشرة آلاف دولار (١٠٠٠٠ دولار) أو أكثر على مدى فترة اثني عشر (١٢) شهرًا مع منظمة ذات صلة، فإن هذا الاتفاق سيتطلب أنه حتى انتهاء فترة أربع (٤) سنوات بعد تقديم مثل هذه الخدمات و / أو اللوازم بموجب هذا العقد الفرعي، يجب على المنظمة ذات الصلة أيضًا إتاحة جميع العقود المطبقة وجميع الكتب والمستندات والسجلات التي يحددونها ضرورية للتحقق من طبيعة ونطاق هذه التكاليف للأطراف المذكورة أعلاه.٩٫٦ تقرير شفافية GPTW لنقل البيانات خارج الاتحاد الأوروبي. في ١٦ يوليو ٢٠٢٠، أصدرت محكمة العدل للاتحاد الأوروبي قرارًا يلغي استخدام درع الخصوصية كوسيلة لنقل البيانات الشخصية من الاتحاد الأوروبي إلى الولايات المتحدة. لم يلغ القرار درع الخصوصية نفسه، وتواصل GPTW الامتثال لمتطلباته. أكد القرار استخدام البنود التعاقدية القياسية لعام ٢٠١٠ (SCC) كوسيلة لنقل البيانات الشخصية من الاتحاد الأوروبي إلى الولايات المتحدة إذا قام العميل بإجراء “تقييم” من جزأين لـ GPTW. أولاً، يجب على GPTW إبلاغ العميل إذا كانت غير قادرة على الامتثال لـ SCC، وهو ما تضمنه GPTW. ثانيًا، وضعت GPTW ما يشار إليه في قرار المحكمة باسم “الإجراءات التكميلية”. أحد الإجراءات التكميلية التي نفذتها GPTW هو ضمان أن GPTW ستصدر تقرير شفافية إذا لزم الأمر. في البداية، وفقًا لاتفاق مع وزارة العدل الأمريكية ثم المادة 604 من قانون الحرية الأمريكية لعام ٢٠١٥ ، نشرت عدد من شركات التكنولوجيا إحصاءات في “تقارير الشفافية” حول أوامر الإنتاج المستلمة من السلطات الأمنية والقانونية الوطنية. يُسمح للمقدمين بالكشف عن إحصاءات مجمعة حول عدد الطلبات التي تم استلامها وفقًا للسلطات الجنائية والأمنية الوطنية المختلفة، ولكن بالنظر إلى أوامر عدم الإفشاء التي ترافق عمومًا FISA ورسائل الأمن القومي، فإن الإفصاحات تقتصر على عدد محدد من نقاط البيانات واستخدام نطاقات عامة من الأرقام (“الفرق”). منذ تأسيسها كشركة وحتى تاريخ هذا الاتفاق، لم تتلق GPTW أو تم إخطارها بوجود رسالة أمن قومي أو أمر بموجب قانون مراقبة الاستخبارات الأجنبية، أو أي طلب سري آخر للحصول على معلومات المستخدم وفقًا لقوانين الأمن القومي للولايات المتحدة أو أي بلد آخر. نتيجة لذلك، لم تضطر GPTW أبدًا إلى إصدار تقرير شفافية. يعزز هذا البيان كذلك الفرضية القائلة إن الاعتماد على SCC يمكن أن يضمن حماية كافية لبيانات مواطني الاتحاد الأوروبي، على الرغم من وجود EO 12333، PPD 28 و FISA Section 702.٩٫٧تضمن GPTW للعميل أن الخدمات ستتم:(i) بطريقة مهنية وعملية وفقًا للمعايير السائدة في الصناعة؛(ii) من قبل موظفين لديهم المهارات والخبرة والتدريب اللازمين لأداء هذه الخدمات؛(iii) وفقًا لمتطلبات الاتفاقية الرئيسية وجميع القوانين واللوائح والأنظمة والأوامر والمراسيم والمتطلبات الحالية والمستقبلية المطبقة على أداء الخدمات.تضمن GPTW وتعلن أنها ستبذل جهودًا معقولة من الناحية التجارية لضمان أن أي برنامج أو بيانات لن تتضمن أو تسبب إصابة بيانات العميل أو نظام الكمبيوتر الخاص به بأي فيروس أو أي نوع آخر من البرامج الضارة.

١٠. المدة والإنهاء ١٠٫١ المدة. يبدأ هذا الاتفاق مفعوله ويستمر لمدة محددة في الاتفاقية الرئيسية (المدة الأولية)، ما لم يتم إنهاؤه في وقت مبكر كما هو منصوص عليه في هذا الاتفاق. تتحكم الاتفاقية الرئيسية في ما إذا كان هذا الاتفاق سيتجدد تلقائيًا لفترة التجديد اللاحقة، كل منها بطول يعادل الفترة الأولية، ما لم يخطر أي من الطرفين الآخر كتابيًا بنيته عدم التجديد قبل ثلاثين (٣٠) يومًا على الأقل من نهاية الفترة الأولية أو فترة التجديد الحالية، حسب الاقتضاء. الفترة الأولية وأي فترات تجديد هي مجتمعة (المدة).١٠٫٢ إنهاء السبب. يجوز لأي طرف إنهاء هذا الاتفاق بموجب إشعار كتابي إذا قام الطرف الآخر بخرق هذا الاتفاق بشكل كبير وفشل في تصحيح هذا الخرق في غضون ثلاثين (٣٠) يومًا بعد الإشعار الكتابي الذي يحدد الخرق؛ شرط أن تكون فترة الشفاء المتعلقة بالتخلف عن سداد رسوم العميل خمسة (٥) أيام عمل بعد إرسال الإشعار الكتابي.١٠٫٣الحقوق والالتزامات عند انتهاء الصلاحية أو الإنهاء. عند انتهاء هذا الاتفاق أو إنهاءه، سينتهي حق العميل ومستخدمي العميل في الوصول إلى الخدمات (وأي ملكية فكرية GPTW) واستخدامها على الفور، وسيتوقف العميل ومستخدموه على الفور عن استخدام الخدمات (وأي ملكية فكرية GPTW) باستثناء البيانات المجمعة التي تم استلامها في التقارير والتي قد تستمر في الاستخدام الداخلي في العميل، وسيرجع كل طرف ويستخدم أي معلومات أو مواد أو عناصر سرية أخرى (وكل نسخ منها) تابعة للطرف الآخر في موعد لا يتجاوز عشرة (١٠) أيام بعد تاريخ انتهاء هذا الاتفاق.١٠٫٤ البقاء. ستبقى الحقوق والالتزامات الخاصة بـ GPTW والعميل الواردة في الأقسام ٣ (الرسوم) و٤ (الملكية) و٥ (الملكية الفكرية) و٦ (السرية) و٧ (حماية البيانات) و٨ (خصوصية البيانات) و١١ (الافراج عن المسؤولية) و١٢ (حد المسؤولية) و١٣ (عام) بعد انتهاء هذا الاتفاق أو إنهاءه.

١١. التعويض ١١٫١ سيقوم أحد الطرفين بإعفاء الطرف الآخر وموظفيه ومسؤوليه ومجلس إدارته ومساهميه ووكلائه وممثليه وخلفائه وممثليه من أي وجميع المطالبات والمطالب وأسباب الدعوى والخسائر والأضرار والالتزامات والتكاليف والنفقات، بما في ذلك رسوم المحاماة والتكاليف المعقولة، الناشئة عن نتيجة أو تتعلق بـ (أ) أي عمل أو تقصير إهمال أو غير قانوني من قبل الطرف، أو أي من موظفيه، أو مسؤوليه، أو مديري مجلس إدارته، أو ممثليه، أو الشركات التابعة له؛ أو (ب) خرق أي ضمان أو اتفاق تم إبرامه من قبل الطرف هنا. بالإضافة إلى ذلك، سيقوم أحد الطرفين بإعفاء الطرف الآخر وموظفيه ومسؤوليه ومجلس إدارته ومساهميه ووكلائه وممثليه وخلفائه وممثليه، من أي وجميع مطالبات الطرف الثالث والمطالب وأسباب الدعوى والخسائر والأضرار والالتزامات والتكاليف والنفقات، بما في ذلك رسوم المحاماة والتكاليف المعقولة، الناشئة عن نتيجة أو تتعلق بأي مطالبة تزعم انتهاك أو خرق أي حقوق ملكية فكرية لطرف ثالث.١١٫٢ سيقوم الطرف المعفى من المسؤولية على الفور بإخطار الطرف المعوض بأي مطالبة تخضع للتعويض، وتقديم سيطرة الدفاع والتسوية للمطالبة للطرف المعوض، وتقديم مساعدة معقولة للطرف المعوض فيما يتعلق بهذا الدفاع والتسوية.

١٢. تحديد المسؤولية

١٢٫١ إذا أصبح أحد الطرفين مؤهلاً لمطالبة الطرف الآخر بالتعويض عن أي سبب فيما يتعلق بهذا الاتفاق (بما في ذلك، على سبيل المثال، لخرق العقد أو خرق الضمان أو الإهمال أو أي مطالبة بالتقصير الأخرى)، فإن الطرف الآخر سيكون مسؤولاً فقط عن مبلغ الأضرار المباشرة الفعلية للطرف الآخر حتى المبلغ الذي دفعه العميل إلى GPTW مقابل الخدمات التي هي موضوع المطالبة. في أي حال، لن تتجاوز المسؤولية الإجمالية للطرف الآخر تجاه الطرف عن جميع المطالبات الناشئة أو المتعلقة بهذا الاتفاق مبلغ اثني عشر (١٢) شهرًا بقيمة الرسوم التي يدفعها العميل إلى GPTW بموجب هذا الاتفاق. هذه الحدود هي الحد الأقصى للمسؤولية التي يتحملها الطرف الآخر.

١٢٫٢ في أي حال، لن يكون أي من الطرفين مسؤولاً عن: (أ) أي أضرار ناشئة عن أو متعلقة بفشل الطرف الآخر أو الشركات التابعة له أو موظفيه في أداء مسؤولياتهم؛ و / أو (ب) أي خسائر في الأرباح أو خسارة الأعمال أو فقدان البيانات أو فقدان الاستخدام أو فقدان المدخرات أو أي أضرار تبعية أو خاصة أو عرضية أو غير مباشرة أو نموذجية أو عقابية، حتى لو تم إخطار أي من الطرفين بإمكانية حدوث مثل هذه الأضرار.

١٢٫٣ لا تنطبق حدود المسؤولية الواردة في القسمين ١٢٫١ و ١٢٫٢ على المسؤوليات الناشئة عن: (أ) الإهمال الجسيم أو الاحتيال أو انتهاك القانون أو التضليل من قبل أحد الطرفين؛ (ب) التزامات الطرف بالتأمين؛ أو (ج) المطالبات المغطاة بالتأمين الخاص بأحد الطرفين.

١٣. بشكل عام

١٣٫١ رسوم إضافية للعمل غير المذكور في نموذج طلب GPTW

في إطار الشفافية التامة وسهولة التعامل مع GPTW بأقل سعر ممكن للعميل، يوجد رابط إلى سياسة الأمان الخارجية لشركة GPTW في أسفل موقع GPTW الأمريكي. في هذه السياسة، ستجد جميع الإجابات اللازمة لملء استبيانات أمن العملاء أو تسجيل GPTW كبائع عميل أو ما شابه. يوافق العميل على أنه إذا طلب من GPTW ملء استبيان أمن للعميل أو تسجيل أو ما شابه، فسيتم إصدار فاتورة له مقابل هذا العمل الإضافي بمبلغ ٦٥٠ دولارًا في الساعة.

١٣٫٢ تنازل

يُفهم ويُتفق على أنه لا يُعتبر أي تقصير أو تأخير من قبل أي طرف في ممارسة أي حق أو سلطة أو امتياز بموجب هذه الوثيقة في أي حالة أو أكثر أو الإصرار على الامتثال الصارم لأداء هذه الاتفاقية أو الاستفادة من أي حقوق خاصة به، تنازلاً عنه أو عن التخلي عن هذه الحقوق في حالات أخرى، ولكن سوف تستمر وتظل سارية المفعول بالكامل، كما أن أي ممارسة منفردة أو جزئية لها لن تمنع أي ممارسة أخرى أو إضافية لها أو ممارسة أي حق أو سلطة أو امتياز بموجب هذه الوثيقة.

١٣٫٣ إشعارات

يجب تقديم جميع الإشعارات بموجب هذه الوثيقة كتابيًا وتسليمها شخصيًا أو عن طريق خدمة بريدية تتبع أثرها (مثل UPS) أو عن طريق بريد أميركي مسجل، مع طلب إشعار الاستلام إلى الطرف على العنوان المحدد في الاتفاقية الرئيسية. تعتبر جميع هذه الإشعارات سارية المفعول عند الاستلام أو رفض التسليم.

١٣٫٤ التنازل عن الحق

لا يجوز نقل هذه الاتفاقية طواعية أو بموجب القانون كليًا أو جزئيًا، أو بأي طريقة أخرى يتم نقلها بواسطة GPTW دون موافقة العميل الخطية المسبقة، ولكن يجوز لشركة GPTW استخدام الباطنين لمساعدتها في تقديم الخدمات؛ بشرط أن يوقع الباطنون اتفاقية مع GPTW بشروط على الأقل تقيدًا مثل تلك الواردة في هذه الاتفاقية. لن يكون لأي محاولة لنقل هذه الاتفاقية أو التنازل عنها بخلاف الامتثال لهذا القسم أي تأثير وستعتبر باطلة ولاغية.

١٣٫٥ النزاعات

إذا نشأ أي نزاع أو خلاف بين الطرفين فيما يتعلق بتفسير أي شرط من شروط هذه الاتفاقية، أو أداء أي طرف بموجب هذه الاتفاقية، أو أي مسألة أخرى محل نزاع بين الطرفين فيما يتعلق بهذه الاتفاقية، عندئذ، بناءً على طلب كتابي من أي طرف، سيلتقي الطرفان لغرض حل هذا النزاع. يتفق الطرفان على مناقشة المشكلة والتفاوض بحسن نية دون الحاجة إلى أي إجراءات رسمية ذات صلة. إذا لم تنجح هذه الجهود، يجب على الطرفين تقديم أي نزاع ناشئ أو متعلق بهذه الاتفاقية إلى التحكيم الملزم من قبل محكم واحد وفقًا لقواعد جمعية التحكيم الأمريكية في ماساتشوستس، في الولايات المتحدة الأميركية. إذا كان من الضروري إنفاذ أو تفسير هذه الاتفاقية، فإن الطرف السائد يحق له الحصول على رسوم المحاماة والتكاليف والمصاريف الضرورية المعقولة بالإضافة إلى أي تعويض آخر قد يكون هذا الطرف مستحقًا له. تخضع هذه الاتفاقية وجميع المسائل المرتبطة بها لقوانين الولايات المتحدة (بما في ذلك على سبيل المثال لا الحصر، قوانين حقوق الطبع والعلامات التجارية الأمريكية) وقوانين ولاية ديلاوير المطبقة على العقود المبرمة والمنفذة بالكامل فيها، دون النظر إلى أي اختيار للقانون أو تعارض قواعد القانون. على الرغم مما سبق، سيكون أي طرف حرًا في أي وقت متابعة الإغاثة الاستحقاقية إذا تم انتهاك الملكية الفكرية لأي طرف من قبل الطرف الآخر أو الشركات التابعة له. بالنسبة لأي دعوى قضائية قد تنشأ خلاف ذلك فيما يتعلق بهذه الاتفاقية، يقدم الطرفان بشكل لا رجوع فيه وغير مشروط (١) إلى الولاية القضائية والمكان الحصري (ويتنازلان عن أي مطالبة بمكان غير مناسب وأي اعتراضات بشأن وضع مكان) محكمة المقاطعة الأمريكية لولاية ماساتشوستس، أو (٢) إذا لم تمتلك هذه المحكمة اختصاصًا، إلى المحكمة الحكومية المناسبة التي تجلس في مقاطعة ميدلسكس، و ماساتشوستس، فيما يتعلق بأي إجراء أو دعوى أو إجراء ناشئ عن أو يتعلق بهذه الاتفاقية وموضوع هذه الاتفاقية، سواء في العقد أو الضرر (بما في ذلك الإهمال) أو أي شكل آخر من أشكال العمل. يتنازل الطرفان هنا بشكل غير مشروط عن حقوقهما الخاصة بمحاكمة هيئة المحلفين لأي مطالبة أو سبب للمقاضاة الناشئة عن هذه الاتفاقية.

الملحق Great Place To Work البنود التعاقدية القياسية ٢٦ سبتمبر ٢٠٢١

اتفاقية معالجة البياناتهذه (“الاتفاقية”) تتم بين:

عميل (الطرف المسؤول “المتحكم“)؛ و

مركز Great Place To Work، Inc.، عميل مُجسَّد بموجب قوانين ولاية كاليفورنيا في الولايات المتحدة، العنوان 1999 Harrison Street Suite 2070 Oakland، CA 94612 (المُعالج “المعالج“).

قد يُشار أيضًا إلى المتحكم والمعالج في هذا المستند مجتمعة باسم “الأطراف” وكل واحد منها على حدة باسم “طرف”.معلومات خلفيةيهتم المتحكم بمنتجات وخدمات الاعتماد في مكان العمل التي يقدمها المعالج والطرف الثالث الفرعي.سيؤدي المعالج خدمات إلى المتحكم وفقًا لنموذج طلب وشروط وأحكام تم إبرامها بين الطرفين ( “اتفاقية الخدمة”)، والتي تشمل معالجة البيانات الشخصية نيابة عن المتحكم للغرض المحدد في القسم ١٫١ ووفقًا لما هو منصوص عليه في الملحق ١ هنا. تم إنشاء المعالج في بلد ثالث، أي بلد خارج المنطقة الاقتصادية الأوروبية (“EEA”) ، التي لم تصدر عنها المفوضية الأوروبية للاتحاد الأوروبي ما يسمى بقرار الكفاية، مُعلنةً أنه يضمن مستوى كافٍ من حماية البيانات كما هو مطلوب بموجب اللائحة (الاتحاد الأوروبي) 2016/679. لذلك، اتفق الطرفان على تضمين بعض البنود التعاقدية القياسية (C(2021) 3972؛ “SCCs”) في هذه الاتفاقية، لتشرع نقل البيانات المتصور بما يتماشى مع المادة 46(2)(ج) من اللائحة (الاتحاد الأوروبي) 2016/679. يتم إرفاق هذه البنود التعاقدية القياسية هنا كملحق ١، والذي يجب توقيعه بشكل منفصل. قرر الطرفان أن هذه البنود التعاقدية القياسية توفر حماية كافية لضمان مستوى كافٍ من حماية البيانات للبيانات الشخصية التي سيتم معالجتها بواسطة المعالج نيابة عن المتحكم، كما هو منصوص عليه في تقييم تأثير النقل (“TIA”) الذي تم إرفاق استنتاجه هنا كملحق ٢.كمكمل للملحق ١، سيتم تطبيق الشروط والأحكام التالية. في حالة وجود أي تعارض أو تناقض بين الشروط والأحكام كما هو منصوص عليه في متن هذه الاتفاقية والبنود التعاقدية القياسية المدرجة في الملحق١، سيسود هذا الملحق ويأخذ الأولوية إلى حد ذلك التعارض أو التناقض فيما يتعلق بنقل البيانات الشخصية.التعاريفحيثما تستخدم هذه الاتفاقية مصطلحات محددة في اللائحة (الاتحاد الأوروبي) 2016/679 (اللائحة)، فإن هذه المصطلحات لها نفس المعنى المذكور في اللائحة.التزامات المتحكميضمن المتحكم أنه يُسمح له بموجب القوانين المطبقة، بما في ذلك اللائحة، بتوفير البيانات الشخصية للمعالج.يضمن المتحكم أنه يمتثل لجميع التزاماته بموجب القوانين المطبقة، بما في ذلك اللائحة.حق المراجعة (بما في ذلك التفتيش)بناءً على طلب كتابي من المتحكم، يتعهد المعالج بتوفير كل المعلومات والمساعدة اللازمة لإثبات الامتثال للالتزامات المنصوص عليها في هذه الاتفاقية، بقدر ما يكون المتحكم غير قادر على الحصول على هذه المعلومات بوسائل أخرى دون مشاركة المعالج وبقدر ما هو معقول من الناحية التجارية. علاوة على ذلك، يجب على المعالج بناءً على طلب كتابي من المتحكم في فترات زمنية معقولة، تقديم نسخة من عمليات التدقيق الخارجية والأحدث المتاحة أو شهادات امتثال المعالج للمتطلبات الواردة في هذه الوثيقة، أو أي ملخصات منها.إذا كان لدى المتحكم، بناءً على المعلومات التي حصل عليها بموجب المادة ٤٫١ من هذه الاتفاقية، سببًا معقولًا للشك في امتثال المعالج للبيانات لمتطلباته بموجب هذه الاتفاقية، يحق للمتحكم، بناءً على إشعار كتابي معقول وفي فترات زمنية معقولة، التحقق من امتثال المعالج للمتطلبات بموجب هذه الاتفاقية من خلال طلب خطاب اعتماد ذاتي من ممثل مفوض من المعالج، مصحوبًا بالتقارير والتفاصيل ذات الصلة (مثل نسخ اتفاقيات المعالجة المبرمة مع المعالجين الفرعيين، والتفاصيل حول أمن المعلومات، إلخ.) التي يوافق المعالج على تجميعها استجابةً لطلب الاعتماد الذاتي (بشكل جماعي “خطاب الاعتماد الذاتي”).إذا كان لدى المتحكم، بناءً على المعلومات التي حصل عليها بموجب المادتين ٤٫١ و ٤٫٢ من هذه الاتفاقية، سببًا معقولًا للشك في امتثال المعالج للبيانات لمتطلباته بموجب هذه الاتفاقية، يحق للمتحكم في مراجعة البيانات، بما في ذلك التفتيش، (إذا لزم الأمر) في مقر المعالج، معالجة المعالج للبيانات الشخصية بموجب هذه الاتفاقية، في فترات زمنية معقولة أو إذا كانت هناك مؤشرات على عدم امتثال المعالج لهذه الاتفاقية. سيتم إجراء التدقيق خلال ساعات العمل العادية، بعد إشعار كتابي مسبق لمدة ثلاثين (٣٠) يومًا للمعالج، دون مقاطعة المسار العادي لأعمال المعالج. يختار المتحكم هنا ممارسة حقه في التدقيق من خلال تفويض مراجع خارجي مستقل ومُعتمد، يتم تعيينه بالتشاور مع المعالج.يتشاور الطرفان مع بعضهما البعض بشأن نتائج التدقيق في أقرب وقت مناسب. يجب على المعالج تنفيذ التدابير المقترحة لتحسين الأعمال بقدر ما تكون مناسبة لتقديره، مع مراعاة مخاطر المعالجة المرتبطة بأنشطة المعالجة، وحالة الفن، وتكاليف التنفيذ والسوق الذي يعمل فيه.يحق للمعالج أن يرسل للعميل فاتورة بأي تكاليف يتكبدها في سياق هذا القسم من الاتفاقية.

٥. مساعدة المسؤول يجب أن يساعد المعالج المسؤول في الامتثال لوفاء التزام المسؤول بالرد على الطلبات المتعلقة بممارسة حقوق موضوع البيانات المنصوص عليها في الفصل الثاني من اللائحة والالتزامات بموجب المواد من ٣٢ إلى ٣٦ من اللائحة: (i) بقدر ما يكون المسؤول غير قادر على تلبية هذه المتطلبات بموجب اللائحة دون مساعدة المعالج، (ii) بقدر ما يكون تقديم هذه المساعدة معقولاً من الناحية التجارية في سياق نطاق ومدى المساعدة المطلوبة، (iii) مع مراعاة طبيعة المعالجة والمعلومات المتاحة للمعالج.يحق للمعالج أن يرسل فاتورة إلى المسؤول عن أي تكاليف يتكبدها في سياق المادة ٥ من هذه الاتفاقية.

٦. التحويلات خارج المنطقة الاقتصادية الأوروبيةيجوز للمعالج نقل البيانات الشخصية إلى معالج فرعي مذكور في الملحق الثالث الموجود خارج المنطقة الاقتصادية الأوروبية إذا قام المعالج، بالإضافة إلى استيفاء المتطلبات المنصوص عليها في البند ٨٫٨ من المرفق ١، بإبرام اتفاق ملزم مع المعالج الفرعي. يجب أن يتضمن هذا الاتفاق الالتزامات الناشئة عن هذا الاتفاق، بما في ذلك التعليمات المحددة في المرفقين الأول والثاني من المرفق ١. لتجنب الشك، تقع على عاتق المسؤول مسؤولية ضمان الامتثال لمتطلبات النقل المنصوص عليها في الفصل الخامس من اللائحة. لضمان أن اتفاقيات المعالجة القياسية تشرعن بالفعل النقل بموجب قوانين حماية البيانات المطبقة وتوفر مستوى مناسبًا من حماية البيانات كما هو مطلوب بموجب اللائحة، قام المعالج بإجراء تقييم تأثير النقل الذي يعتبره المسؤول كافياً لهذا الغرض. إذا أصبح في أي وقت أي من الطرفين على علم بأن نقل البيانات الشخصية قد يؤدي إلى زيادة خطر أي هيئة عامة أو خاصة أو حكومية في أي بلد تطالب أو تحصل على الوصول إلى البيانات الشخصية المعالجة في سياق اتفاقية الخدمة، يتعاون الطرفان لضمان تنفيذ إضافة إلى هذه الاتفاقية لحماية البيانات الشخصية التي يتم نقلها بشكل مناسب.يحق للمسؤول في جميع الأوقات سحب موافقته على تعيين المعالجين الفرعيين (بما في ذلك أي تحويلات ذات صلة إلى بلد ثالث)، كما هو منصوص عليه في المادة ٦٫١. في هذه الحالة، يجب على المعالج التوقف فورًا عن النقل وتقديم تأكيد كتابي لهذا الأمر بناءً على طلب المسؤول. يوافق المسؤول على أن سحب موافقة المسؤول بموجب المادة ٦٫٢ هذه لن يؤثر على أي من التزامات المسؤول وفقًا لاتفاقية الخدمة، حتى إذا كان هذا السحب، إلى الحد الذي يثبت بشكل معقول من قبل المعالج، يؤثر سلبًا على أداء المعالج لالتزاماته بموجب اتفاقية الخدمة.

٧.الافراج عن المسؤولية يتعهد المعالج بتعويض المسؤول وإبراء ذمته عن أي وجميع الأضرار والخسائر التي يتكبدها المسؤول بسبب معالجة البيانات الشخصية في انتهاك لهذه الاتفاقية إلى الحد الذي تكون فيه هذه الأضرار والخسائر مغطاة بسياسة (سياسات) التأمين الخاصة بالمعالج.

٨. السريةيوافق المعالج على عدم الإفصاح أو الكشف عن المعلومات بأي شكل آخر لأطراف ثالثة فيما يتعلق بمعالجة البيانات الشخصية بموجب هذه الاتفاقية، أو أي معلومات أخرى تلقاها المعالج نتيجة هذه الاتفاقية. لا ينطبق هذا الالتزام بالسرية على المعلومات التي يُطلب من المعالج الإفصاح عنها لهيئة حكومية، على الرغم من المادة الثالثة من المرفق ١. يستمر هذا الالتزام بالسرية بعد أي إنهاء أو انتهاء صلاحية هذه الاتفاقية.

٩. مدة العقديبدأ هذا الاتفاق اعتبارًا من تاريخ تنفيذه وطالما أن المعالج يعالج البيانات الشخصية نيابة عن المسؤول، أو حتى يقدم المسؤول إشعارًا كتابيًا بإنهاء هذا الاتفاق. في حالة وجود إشعار إنهاء، يجب إرسال هذا الإشعار قبل ثلاثة (٣) أشهر على الأقل من إنهاء هذه الاتفاقية.

١٠. الاتفاق الكامل، إلخ. فيما يتعلق بالموضوع الذي يتناول هذا الاتفاق، يجب أن يحل هذا الاتفاق محل أي اتفاقيات DPA السابقة، أو لوائح DPA في الشروط والأحكام، أو التفاهمات بين الطرفين.تم تنفيذ هذا الاتفاق في تاريخ التوقيع الأخير المذكور أدناه.

العميلعنوان العميل ومعلومات الاتصال كما هو موضح في نموذج طلب GPTW.تاريخ العميل وتوقيعه كما هو موضح في نموذج طلب GPTW.اوكلاند كاليفورنيا الولايات المتحدة الأمريكية ٢٥سبتمبر٢٠٢١مركز Great Place To Work®، Inc.التوقيع:الاسم: Timothy H. Gensالعنوان: نائب الرئيس، كبير مسؤولي القانون، CIPP، CDPO

المرفق 1 البنود التعاقدية القياسية القسم الأول البند 1 الغرض والحدود

أ. الغرض من هذه البنود التعاقدية القياسية هو ضمان الامتثال لمتطلبات اللائحة (الاتحاد الأوروبي) 2016/679 للبرلمان الأوروبي ومجلس ٢٧ أبريل ٢٠١٦ بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية والتدفق الحر لهذه البيانات (اللائحة العامة لحماية البيانات)[١] لنقل البيانات الشخصية إلى بلد ثالث.ب. الأطراف:i. الشخص القانوني (الأشخاص)، أو السلطة/السلطات العامة، أو الوكالة/الوكالات، أو الهيئة/الهيئات الأخرى (المشار إليها فيما يلي بـ “الكيان/الكائنات”) التي تنقل البيانات الشخصية، كما هو مدرج في المرفق الأول.أ (المشار إليها فيما يلي بـ “محول البيانات”) ،ii. الكيان في بلد ثالث الذي يستقبل البيانات الشخصية من محول البيانات، مباشرة أو بشكل غير مباشر من خلال كيان آخر طرف في هذه البنود أيضًا، كما هو مدرج في المرفق الأول (المشار إليها فيما يلي بـ “مستورد البيانات”)اتفقوا على هذه البنود التعاقدية القياسية (المشار إليها فيما يلي بـ “البنود”).ج. تنطبق هذه البنود على ما يتعلق بنقل البيانات الشخصية كما هو محدد في المرفق الأول.ب.د. الملحق بهذه البنود، الذي يحتوي على المرفقات المشار إليها فيه، يشكل جزءًا لا يتجزأ من هذه البنود.

البند ٢ مفعول الثبات وعدم تغير البنود

أ. تحدد هذه البنود ضمانات مناسبة، بما في ذلك حقوق موضوع البيانات القابلة للتنفيذ والوسائل القانونية الفعالة، وفقًا للمادة ٤٦ (١) والمادة ٤٦ (٢) (ج) من اللائحة (الاتحاد الأوروبي) 2016/679، و فيما يتعلق بنقل البيانات من المسؤولين عن المعالجة إلى المعالجين و / أو المعالجين إلى المعالجين، البنود التعاقدية القياسية وفقًا للمادة ٢٨ (٧) من اللائحة (الاتحاد الأوروبي) 2016/679، بشرط عدم تعديلها، إلا لاختيار الوحدة (ال وحدات) المناسبة أو لإضافة أو تحديث المعلومات في الملحق. لا يمنع ذلك الأطراف من تضمين البنود التعاقدية القياسية المنصوص عليها في هذه البنود في عقد أوسع أو إضافة بنود أخرى أو ضمانات إضافية، بشرط ألا تتعارض هذه البنود، بشكل مباشر أو غير مباشر، مع هذه البنود أو تضر بالحقوق أو الحريات الأساسية لأصحاب البيانات.ب. هذه البنود دون المساس بالالتزامات التي يخضع لها المصدر المسؤول عن البيانات بموجب اللائحة (الاتحاد الأوروبي) 2016/679.

البند ٣ المستفيدون من الطرف الثالث

يجوز لمواضيع البيانات استدعاء هذه البنود وإنفاذها، كمستفيدين من الطرف الثالث، ضد المصدر المصدر أو المستورد البيانات، مع الاستثناءات التالية:البند ١، البند ٢، البند ٣، البند ٦، البند ٧؛ البند ٨ – البند ٨٫١ (ب)، ٨٫٩ (أ)، (ج)، (د) و (هـ)؛ البند٩ – البند ٩ (أ)، (ج)، (د) و (هـ)؛ البند ١٢ – البند ١٢ (أ)، (د) و (و)؛ البند ١٣؛ البند ١٥٫١ (ج)، (د) و (هـ)؛ البند ١٦ (هـ)؛ البند ١٨ – البند ١٨ (أ) و (ب).الفقرة (أ) دون المساس بحقوق الأشخاص المعنيين بالبيانات بموجب اللائحة (الاتحاد الأوروبي) 2016/679.

البند 4 التفسير

حيثما تستخدم هذه الشروط مصطلحات محددة في اللائحة (الاتحاد الأوروبي) 2016/679، فإن لهذه المصطلحات نفس المعنى المذكور في تلك اللائحة.يجب قراءة هذه الشروط وتفسيرها في ضوء أحكام اللائحة (الاتحاد الأوروبي) 2016/679.لا يجوز تفسير هذه الشروط بطريقة تتعارض مع الحقوق والالتزامات المنصوص عليها في اللائحة (الاتحاد الأوروبي) 2016/679.

البند ٥ التسلسل الهرمي

في حالة وجود تعارض بين هذه البنود وأحكام الاتفاقيات ذات الصلة بين الطرفين، الموجودة في وقت الاتفاق على هذه البنود أو الدخول فيها بعد ذلك، تسود هذه البنود.

البند ٦ وصف التحويل (التحويلات)

م تحديد تفاصيل التحويل (التحويلات)، ولا سيما فئات البيانات الشخصية التي يتم نقلها والغرض (الأغراض) التي يتم نقلها من أجلها، في الملحق الأول. ب.

البند ٧ (اختياري) بند التوصيل

أ. يجوز للكيان الذي ليس طرفًا في هذه البنود، بموافقة الطرفين، الانضمام إلى هذه البنود في أي وقت، إما كمصدر للبيانات أو مستورد للبيانات، من خلال إكمال الملحق والتوقيع على الملحق الأول. أ.ب. بمجرد الانتهاء من الملحق والتوقيع على الملحق الأول، يصبح الكيان المنضم طرفًا في هذه البنود ويتمتع بحقوق والتزامات مصدر البيانات أو مستورد البيانات وفقًا لتعيينه في الملحق الأول. أ.ج. لن يتمتع الكيان المنضم بأي حقوق أو التزامات ناشئة عن هذه البنود من الفترة السابقة على أن يصبح طرفًا.القسم الثاني – التزامات الأطراف

البند ٨ (اختياري) ضمانات حماية البيانات

يضمن مصدر البيانات أنه بذل جهودًا معقولة لتحديد ما إذا كان مستورد البيانات قادرًا، من خلال تنفيذ التدابير التقنية والتنظيمية المناسبة، على الوفاء بالتزاماته بموجب هذه البنود.الوحدة الثانية: تحويل المُتحكم في المعالج٨٫١ تعليماتيجب على مستورد البيانات معالجة البيانات الشخصية فقط بناءً على تعليمات موثقة من مصدر البيانات. يجوز لمصدر البيانات إعطاء مثل هذه التعليمات طوال مدة العقد.يجب على مستورد البيانات إبلاغ مصدر البيانات على الفور إذا كان غير قادر على اتباع هذه التعليمات.٨٫٢ تحديد الغرضيجب على مستورد البيانات معالجة البيانات الشخصية فقط لأغراض محدد (ة) للتحويل، كما هو منصوص عليه في الملحق الأول. ب، ما لم يتم ذلك بناءً على تعليمات أخرى من مصدر البيانات.٨٫٣ الشفافيةعند الطلب، يجب على مصدر البيانات توفير نسخة من هذه البنود، بما في ذلك الملحق كما تم إكماله من قبل الطرفين، للموضوع البيانات مجانًا. إلى الحد اللازم لحماية الأسرار التجارية أو أي معلومات سرية أخرى، بما في ذلك التدابير الموصوفة في الملحق الثاني والبيانات الشخصية، يجوز لمصدر البيانات حذف جزء من نص الملحق الخاص بهذه البنود قبل مشاركة نسخة، ولكن يجب تقديم ملخص ذي معنى حيث لا يمكن للموضوع البيانات خلاف ذلك فهم محتواه أو ممارسة حقوقه. عند الطلب، يجب على الطرفين تزويد موضوع البيانات بالأسباب الخاصة بالتعديلات، إلى أقصى حد ممكن دون الكشف عن المعلومات المحذوفة. لا يخل هذا البند بالتزامات مصدر البيانات بموجب المادتين ١٣ و١٤ من اللائحة (الاتحاد الأوروبي) 2016/679.٨٫٤ الدقةإذا أصبح مستورد البيانات على علم بأن البيانات الشخصية التي تلقاها غير دقيقة أو قديمة، فيجب عليه إبلاغ مصدر البيانات دون تأخير غير مبرر. في هذه الحالة، يجب على مستورد البيانات التعاون مع مصدر البيانات لمحو أو تصحيح البيانات.٨٫٥ مدة المعالجة أو حذف أو إرجاع البياناتلا تتم المعالجة من قبل مستورد البيانات إلا لفترة محددة في الملحق الأول. ب. بعد انتهاء تقديم خدمات المعالجة، يجب على مستورد البيانات، حسب اختيار مصدر البيانات، حذف جميع البيانات الشخصية المعالجة نيابة عن مصدر البيانات والتصديق لمصدر البيانات بأنه قام بذلك، أو إرجاع جميع البيانات الشخصية المعالجة نيابة عنه إلى مصدر البيانات وحذف النسخ الحالية. حتى يتم حذف أو إرجاع البيانات، يجب على مستورد البيانات الاستمرار في ضمان الامتثال لهذه البنود. في حالة القوانين المحلية المطبقة على مستورد البيانات التي تمنع إرجاع أو حذف البيانات الشخصية، يضمن مستورد البيانات أنه سيبقى يضمن الامتثال لهذه البنود ولن يعالجها إلا بالقدر والمدة المطلوبة بموجب هذا القانون المحلي. ولا يخل ذلك بالبند ١٤، ولا سيما الشرط المفروض على مستورد البيانات بموجب البند ١٤ (هـ) لإخطار مصدر البيانات طوال مدة العقد إذا كان لديه سبب للاعتقاد بأنه يخضع أو أصبح خاضعًا للقوانين أو الممارسات غير المنسجمة مع المتطلبات بموجب البند ١٤ (أ).٨٫٦ أمن المعالجةأ. يجب على مستورد البيانات، وأثناء النقل تنفيذ تدابير تقنية وتنظيمي مناسبة لضمان أمان البيانات، بما في ذلك الحماية من خرق الأمن الذي يؤدي إلى التدمير العرضي، أو غير القانوني، أو الفقدان، أو التغيير، أو الإفصاح غير المصرح به أو الوصول إلى تلك البيانات (يشار إليها فيما بعد باسم “خرق البيانات الشخصية”). عند تقييم المستوى المناسب للأمن، يجب على الطرفين مراعاة حالة الفن وتكاليف التنفيذ وطبيعة النطاق والسياق والغرض (الأغراض) من المعالجة والمخاطر المشاركة في المعالجة بالنسبة إلى الأشخاص المعنيين بالبيانات. يجب على الطرفين على وجه الخصوص النظر في اللجوء إلى التشفير أو التخفي، بما في ذلك أثناء النقل، حيث يمكن تحقيق الغرض من المعالجة بهذه الطريقة. في حالة التخفي، يجب أن تظل المعلومات الإضافية لتخصيص البيانات الشخصية لموضوع بيانات معين، حيثما أمكن، تحت سيطرة المصدر المستورد للبيانات حصريًا. في الامتثال لالتزاماته بموجب هذه الفقرة، يجب على مستورد البيانات تنفيذ التدابير التقنية والتنظيمية المحددة في الملحق الثاني على الأقل. يجب على مستورد البيانات إجراء عمليات تحقق منتظمة لضمان استمرار هذه التدابير في توفير مستوى مناسب من الأمن.ب. يجب على مستورد البيانات منح الوصول إلى البيانات الشخصية لأعضاء موظفيه فقط إلى الحد الضروري للغاية لتنفيذ وإدارة ومراقبة العقد. يجب عليه التأكد من أن الأشخاص المخولين بمعالجة البيانات الشخصية قد التزموا بالسرية أو يخضعون لالتزام قانوني مناسب بالسرية.ج. في حالة حدوث خرق للبيانات الشخصية المتعلقة بالبيانات الشخصية التي يعالجها مستورد البيانات بموجب هذه البنود، يجب على مستورد البيانات اتخاذ تدابير مناسبة لمعالجة هذا الخرق، بما في ذلك التدابير لتخفيف آثارها الضارة. يجب على مستورد البيانات أيضًا إخطار مصدر البيانات دون تأخير غير مبرر بعد أن يصبح على علم بالخرق. يجب أن يتضمن هذا الإخطار تفاصيل نقطة الاتصال حيث يمكن الحصول على مزيد من المعلومات، ووصف طبيعة الخرق (بما في ذلك، حيثما أمكن، الفئات والعدد التقريبي للأشخاص المعنيين بالبيانات وسجلات البيانات الشخصية المعنية)، والآثار المحتملة لها والتدابير المتخذة أو المقترحة لمعالجة الخرق، بما في ذلك، عند الاقتضاء، التدابير لتخفيف آثارها الضارة المحتملة. حيثما، وإلى الحد الذي لا يمكن فيه تقديم كل المعلومات في نفس الوقت، يجب أن يحتوي الإخطار الأولي على المعلومات المتاحة آنذاك، وسيتم تقديم مزيد من المعلومات، مع توفرها، لاحقًا دون تأخير غير مبرر.د. يجب على مستورد البيانات التعاون مع مصدر البيانات ومساعدته لتمكين مصدر البيانات من الامتثال لالتزاماته بموجب اللائحة (الاتحاد الأوروبي) 2016/679، ولا سيما إخطار السلطة الرقابية المختصة والأشخاص المعنيين بالبيانات، مع مراعاة طبيعة المعالجة والمعلومات المتاحة لمستورد البيانات.٨٫٧ بيانات حساسة حيث ينطوي النقل على بيانات شخصية تكشف عن الأصل العرقي أو الإثني أو الآراء السياسية أو المعتقدات الدينية أو الفلسفية أو الانتماء إلى نقابة أو بيانات وراثية أو بيانات بيومترية لغرض تحديد فرد طبيعي بشكل فريد، أو بيانات تتعلق بالصحة أو الحياة الجنسية للشخص أو التوجه الجنسي، أو البيانات المتعلقة بالإدانات الجنائية والجنح (يشار إليها فيما يلي باسم “البيانات الحساسة“)، يجب على مستورد البيانات تطبيق القيود المحددة أو الضمانات الإضافية الموصوفة في الملحق الأول. ب. ٨٫٨ النقل إلى الأمام يجب على مستورد البيانات فقط الكشف عن البيانات الشخصية لطرف ثالث بناءً على تعليمات موثقة من مصدر البيانات. بالإضافة إلى ذلك، لا يجوز الكشف عن البيانات إلا لطرف ثالث موجود خارج الاتحاد الأوروبي [٢] (في نفس البلد الذي يوجد فيه مستورد البيانات أو في بلد ثالث آخر، يشار إليه فيما يلي باسم “النقل إلى الأمام“) إذا كان الطرف الثالث ملتزمًا أو يوافق على الالتزام بهذه الشروط، بموجب الوحدة المناسبة، أو إذا:

يتم النقل إلى الأمام إلى بلد يستفيد من قرار ملاءمة وفقًا للمادة ٤٥ من اللائحة (الاتحاد الأوروبي) 2016/679 التي تغطي النقل إلى الأمام؛

يضمن الطرف الثالث خلاف ذلك ضمانات مناسبة وفقًا للمادتين ٤٦ أو ٤٧ من اللائحة (الاتحاد الأوروبي) 2016/679 فيما يتعلق بالمعالجة المعنية؛

يعد النقل إلى الأمام ضروريًا للتأسيس أو الممارسة أو الدفاع عن المطالبات القانونية في سياق إجراءات إدارية أو تنظيمية أو قضائية محددة؛ أو

يعد النقل إلى الأمام ضروريًا لحماية المصالح الحيوية لموضوع البيانات أو أي شخص طبيعي آخر.

يخضع أي نقل إلى الأمام لامتثال مستورد البيانات لجميع الضمانات الأخرى بموجب هذه الشروط، ولا سيما تحديد الغرض. ٨٫٩ التوثيق والامتثال أ. يتعامل مستورد البيانات على الفور وبشكل مناسب مع الاستفسارات من مصدر البيانات المتعلقة بالمعالجة بموجب هذه الشروط. ب. يجب أن يتمكن الطرفان من إثبات الامتثال لهذه الشروط. على وجه الخصوص، يجب على مستورد البيانات الاحتفاظ بالتوثيق المناسب للأنشطة المتعلقة بالمعالجة التي تتم نيابة عن مصدر البيانات. ج. يجب على مستورد البيانات أن يتيح لمصدر البيانات جميع المعلومات اللازمة لإثبات الامتثال للالتزامات المنصوص عليها في هذه الشروط، وبناءً على طلب مصدر البيانات، السماح بالمشاركة في عمليات تدقيق أنشطة المعالجة المشمولة في هذه الشروط، في فترات معقولة أو إذا كانت هناك مؤشرات على عدم الامتثال. عند اتخاذ قرار بشأن مراجعة أو تدقيق، يجوز لمصدر البيانات أن يأخذ في عين الاعتبار الشهادات ذات الصلة التي يحملها مستورد البيانات. د. يجوز لمصدر البيانات اختيار إجراء التدقيق بنفسه أو تكليف مراجع مستقلة. قد تشمل عمليات التدقيق عمليات التفتيش في مقر مستورد البيانات أو المرافق المادية، ويجب أن تتم، عند الاقتضاء، مع إشعار معقول. ه. يتعين على الطرفين إتاحة المعلومات المشار إليها في الفقرتين (ب) و (ج)، بما في ذلك نتائج أي عمليات تدقيق، للسلطة الرقابية المختصة عند الطلب.٨٫٧ البيانات الحساسةالبند ٩ استخدام المعالجين الفرعيين الوحدة الثانية: نقل المسؤول عن المعالجلا يجوز لمستورد البيانات أن يعيد تسليم أي من أنشطته المعالجة التي يتم إجراؤها نيابة عن المصدر عن البيانات بموجب هذه البنود إلى معالج فرعي دون إذن كتابي مسبق محدد من المصدر عن البيانات. يجب على مستورد البيانات تقديم طلب الحصول على إذن محدد قبل ثلاثين (٣٠) يومًا على الأقل من التعاقد مع المعالج الفرعي، مع المعلومات اللازمة لتمكين المصدر عن البيانات من اتخاذ القرار بشأن الإذن. يمكن العثور على قائمة المعالجين الفرعيين الذين تم تفويضهم بالفعل من قبل المصدر عن البيانات في الملحق الثالث. يجب على الطرفين تحديث الملحق الثالث.حيثما يستخدم مستورد البيانات معالجًا فرعيًا للقيام بأنشطة معالجة محددة (نيابة عن المصدر عن البيانات)، يجب عليه القيام بذلك من خلال عقد مكتوب ينص على نفس التزامات حماية البيانات تقريبًا مثل تلك التي تربط مستورد البيانات بموجب هذه البنود، بما في ذلك من حيث حقوق المستفيد الثالث للأشخاص المعنيين بالبيانات. [٣] يتفق الطرفان على أنه من خلال الامتثال لهذا البند، يفي مستورد البيانات بالتزاماته بموجب البند ٨٫٨. يجب على مستورد البيانات ضمان امتثال المعالج الفرعي للالتزامات التي يخضع لها مستورد البيانات بموجب هذه البنود.يجب على مستورد البيانات أن يوفر، بناءً على طلب المصدر عن البيانات، نسخة من اتفاقية المعالج الفرعي هذه وأي تعديلات لاحقة عليها إلى المصدر عن البيانات. إلى الحد اللازم لحماية الأسرار التجارية أو أي معلومات سرية أخرى، بما في ذلك البيانات الشخصية، يجوز لمستورد البيانات حذف نص الاتفاقية قبل مشاركة نسخة منها.يجب أن يظل مستورد البيانات مسؤولاً بالكامل تجاه المصدر عن البيانات عن أداء التزامات المعالج الفرعي بموجب عقده مع مستورد البيانات. يجب على مستورد البيانات إخطار المصدر عن البيانات بأي فشل من جانب المعالج الفرعي في الوفاء بالتزاماته بموجب ذلك العقد.يجب على مستورد البيانات الاتفاق على بند مستفيد خارجي مع المعالج الفرعي حيث – في حالة اختفاء مستورد البيانات فعليًا أو توقف وجوده في القانون أو أصبح غير قادر على السداد – يجب أن يكون لدى المصدر عن البيانات الحق في إنهاء عقد المعالج الفرعي وتوجيه المعالج الفرعي إلى مسح أو إرجاع البيانات الشخصية.البند ١٠ حقوق الأشخاص المعنيين بالبيانات الوحدة الثانية: نقل المسؤول عن المعالجيجب على مستورد البيانات إخطار المصدر عن البيانات على الفور بأي طلب تلقاه من شخص معني بالبيانات. يجب عليه عدم الاستجابة لهذا الطلب بنفسه إلا إذا تم التفويض له للقيام بذلك من قبل المصدر عن البيانات.يجب على مستورد البيانات مساعدة المصدر عن البيانات في الوفاء بالتزاماته بالاستجابة لطلبات الأشخاص المعنيين بالبيانات لممارسة حقوقهم بموجب اللائحة (الاتحاد الأوروبي) 2016/679. في هذا الصدد، يجب على الطرفين تحديد التدابير التقنية والتنظيمية المناسبة في الملحق الثاني، مع مراعاة طبيعة المعالجة، التي سيتم تقديم المساعدة من خلالها، وكذلك نطاق ومدى المساعدة المطلوبة.في الوفاء بالتزاماته بموجب الفقرتين (أ) و (ب)، يجب على مستورد البيانات الامتثال للتعليمات من المصدر عن البيانات.البند ١١ الانتصاف أ. يجب على مستورد البيانات أن يبلغ الأشخاص المعنيين بالبيانات بصيغة شفافة وسهلة الوصول، من خلال إشعار فردي أو على موقعه الإلكتروني، بنقطة اتصال مصرح لها بتلقي الشكاوى. يجب أن يتعامل على الفور مع أي شكاوى يتلقاها من شخص معني بالبيانات. النموذج الثاني: تحويل المسؤول عن المعالجة إلى المعالج ب. في حالة حدوث نزاع بين شخص معني بالبيانات وأحد الطرفين فيما يتعلق بالامتثال لهذه البنود، يجب على ذلك الطرف بذل قصارى جهده لحل المشكلة ودياً في الوقت المناسب. يتعهد الطرفان بإبلاغ بعضهما البعض بمثل هذه النزاعات والتعاون في حلها عند الاقتضاء. ج. عندما يستدعي الشخص المعني بالبيانات حقًا مستفيدًا من طرف ثالث وفقًا للبند ٣، يجب على مستورد البيانات قبول قرار الشخص المعني بالبيانات:

تقديم شكوى إلى السلطة الرقابية في الدولة العضو في محل إقامته المعتاد أو مكان عمله، أو السلطة الرقابية المختصة وفقًا للبند ١٣؛

إحالة النزاع إلى المحاكم المختصة وفقًا للمادة ١٨.

د. يقبل الطرفان أن يتم تمثيل الشخص المعني بالبيانات من قبل هيئة أو منظمة أو جمعية غير ربحية وفقًا للشروط المنصوص عليها في المادة ٨٠ (١) من اللائحة (الاتحاد الأوروبي) 2016/679. ه. يجب على مستورد البيانات الالتزام بقرار ملزم بموجب القانون المطبق في الاتحاد الأوروبي أو الدولة العضو. و. يوافق مستورد البيانات على أن الخيار الذي يتخذه الشخص المعني بالبيانات لن يضر بحقوقه الموضوعية والإجرائية في طلب الانتصاف وفقًا للقوانين المطبقة.

البند 12 المسؤولية

الوحدة الثانية: النقل من المسؤول إلى المعالجيكون كل طرف مسؤولاً للطرف / الأطراف الآخرين عن أي ضرر يسببه للطرف / الأطراف الآخرين بأي خرق لهذه الشروط.يكون مستورد البيانات مسؤولاً تجاه موضوع البيانات، ويحق لموضوع البيانات الحصول على تعويض عن أي ضرر مادي أو غير مادي يتسبب فيه مستورد البيانات أو معالجها الفرعي لموضوع البيانات من خلال خرق حقوق المستفيد الثالث بموجب هذه الشروط.على الرغم من الفقرة (ب)، يكون المصدر المسؤول عن البيانات مسؤولاً تجاه موضوع البيانات، ويحق لموضوع البيانات الحصول على تعويض عن أي ضرر مادي أو غير مادي يسببه المصدر المسؤول عن البيانات أو مستورد البيانات (أو معالجها الفرعي) لموضوع البيانات من خلال خرق حقوق المستفيد الثالث بموجب هذه الشروط. وذلك دون المساس بمسؤولية المصدر المسؤول عن البيانات، وفي حالة كون المصدر المسؤول عن البيانات معالجًا يعمل نيابة عن مسؤول، بمسؤولية المسؤول بموجب اللائحة (الاتحاد الأوروبي) 2016/679 أو اللائحة (الاتحاد الأوروبي) 2018/1725، حسب الاقتضاء.يتفق الطرفان على أنه إذا اعتبر المصدر المسؤول عن البيانات مسؤولاً بموجب الفقرة (ج) عن الأضرار التي تسببها مستورد البيانات (أو معالجها الفرعي)، فإنه يحق له المطالبة باسترداد جزء من التعويض المطابق لمسؤولية مستورد البيانات عن الضرر.حيث يكون أكثر من طرف مسؤولاً عن أي ضرر يلحق بموضوع البيانات نتيجة لخرق هذه الشروط، يكون جميع الأطراف المسؤولين مسؤولين بالتضامن والالتزام بالتضامن، ويحق لموضوع البيانات رفع دعوى أمام أي من هذه الأطراف.يتفق الطرفان على أنه إذا اعتبر طرف ما مسؤولاً بموجب الفقرة (هـ)، فإنه يحق له المطالبة باسترداد جزء من التعويض المطابق لمسؤوليته / مسؤوليتهم عن الضرر.لا يجوز لمستورد البيانات الاستشهاد بسلوك معالج فرعي لتجنب مسؤوليته الخاصة.

البند١٣ الإشراف

الوحدة الثانية: النقل من المسؤول إلى المعالجتتصرف السلطة الرقابية المسؤولة عن ضمان امتثال المصدر المسؤول عن البيانات للوائح (الاتحاد الأوروبي) 2016/679 فيما يتعلق بنقل البيانات، كما هو موضح في المرفق الأول. ج، كسلطة رقابية مختصة.يوافق مستورد البيانات على الخضوع لولاية السلطة الرقابية المختصة والتعاون معها في أي إجراءات تهدف إلى ضمان الامتثال لهذه الشروط. وعلى وجه الخصوص، يوافق مستورد البيانات على الاستجابة للاستفسارات والخضوع للمراجعات والامتثال للتدابير التي تتبناها السلطة الرقابية، بما في ذلك التدابير العلاجية والتعويضية. ويجب أن يقدم للسلطة الرقابية تأكيدًا كتابيًا بأنه تم اتخاذ الإجراءات اللازمة.القسم الثالث – القوانين المحلية والالتزامات في حالة الوصول من قبل السلطات العامة

البند 14 القوانين والممارسات المحلية التي تؤثر على الامتثال للبنود

الوحدة الثانية: نقل المسؤول عن المعالج يضمن الطرفان أنهما ليس لديهما سبب للاعتقاد بأن القوانين والممارسات في البلد الثالث الوجهة المطبقة على معالجة البيانات الشخصية من قبل مستورد البيانات، بما في ذلك أي متطلبات للكشف عن البيانات الشخصية أو التدابير التي تسمح بالوصول من قبل السلطات العامة، تمنع مستورد البيانات من الوفاء بالتزاماته بموجب هذه البنود. ويستند ذلك إلى الفهم بأن القوانين والممارسات التي تحترم جوهر الحقوق والحريات الأساسية ولا تتجاوز ما هو ضروري وتناسب في مجتمع ديمقراطي لحماية أحد الأهداف المدرجة في المادة ٢٣ (١) من اللائحة (الاتحاد الأوروبي) 2016/679، ليست في تناقض مع هذه البنود. يعلن الطرفان أنهما في تقديم الضمان في الفقرة (أ)، آخذا في عين الاعتبار بشكل خاص العناصر التالية:

الظروف المحددة للنقل، بما في ذلك طول سلسلة المعالجة، وعدد الجهات الفاعلة المشاركة وقنوات النقل المستخدمة؛

النقلات المستقبلية المقصودة؛

نوع المستلم؛

غرض المعالجة؛

فئات وتنسيق البيانات الشخصية المنقولة؛

القطاع الاقتصادي الذي يحدث فيه النقل؛

موقع تخزين البيانات المنقولة؛

القوانين والممارسات في البلد الثالث و الوجهة – بما في ذلك تلك التي تتطلب الكشف عن البيانات للسلطات العامة أو السماح بالوصول من قبل هذه السلطات – ذات الصلة في ضوء الظروف المحددة للنقل، والقيود والتدابير الحمائية المطبقة [٤]؛

أي ضمانات تعاقدية أو تقنية أو تنظيمية ذات صلة تم وضعها لتكملة الضمانات بموجب هذه البنود، بما في ذلك التدابير المتخذة أثناء النقل ومعالجة البيانات الشخصية في بلد الوجهة.

يضمن مستورد البيانات أنه في تنفيذ التقييم بموجب الفقرة (ب)، بذل قصارى جهده لتزويد مستورد البيانات بمعلومات ذات صلة ويوافق على أنه سيواصل التعاون مع مستورد البيانات في ضمان الامتثال لهذه البنود. يتفق الطرفان على توثيق التقييم بموجب الفقرة (ب) وتوفيره للسلطة الرقابية المختصة عند الطلب. يوافق مستورد البيانات على إخطاره على الفور إذا كان لديه، بعد الموافقة على هذه البنود ولمدة العقد، سبب للاعتقاد بأنه يخضع أو أصبح يخضع لقوانين أو ممارسات غير متوافقة مع المتطلبات بموجب الفقرة (أ)، بما في ذلك بعد تغيير في قوانين البلد الثالث أو مقياس (مثل طلب الكشف) يشير إلى تطبيق هذه القوانين في الممارسة غير متوافق مع المتطلبات الواردة في الفقرة (أ). عقب إخطار بموجب الفقرة (هـ)، أو إذا كان لدى مستورد البيانات سبب آخر للاعتقاد بأن مستورد البيانات لم يعد بإمكانه الوفاء بالتزاماته بموجب هذه البنود، يجب على مستورد البيانات تحديد التدابير المناسبة على الفور (على سبيل المثال، التدابير التقنية أو التنظيمية لضمان الأمن والسرية) التي يجب اعتمادها من قبل مستورد البيانات و / أو مستورد البيانات لمعالجة الموقف. يجب على مستورد البيانات تعليق نقل البيانات إذا اعتبر أنه لا يمكن ضمان أي ضمانات مناسبة لمثل هذا النقل، أو إذا تم توجيهه من قبل السلطة الرقابية المختصة للقيام بذلك. في هذه الحالة، يحق لمستورد البيانات إنهاء العقد، فيما يتعلق بمعالجة البيانات الشخصية بموجب هذه البنود. إذا كان العقد يشمل أكثر من طرفين، يجوز لمستورد البيانات ممارسة هذا الحق في الإنهاء فيما يتعلق بالطرف ذي الصلة فقط، ما لم يتفق الأطراف على خلاف ذلك. حيث يتم إنهاء العقد بموجب هذا البند، يجب تطبيق البند ١٦ (د) و (هـ).

البند ١٥
التزامات مستورد البيانات في حالة الوصول من قبل السلطات العامة

الوحدة الثانية: وحدة التحكم بالتحويل إلى المعالج١٥٫١ الإخطاريوافق مستورد البيانات على إخطار مصدر البيانات، وعند الإمكان، موضوع البيانات على الفور (إذا لزم الأمر بمساعدة مصدر البيانات) إذا:تلقى طلبًا ملزمًا قانونًا من سلطة عامة، بما في ذلك السلطات القضائية، بموجب قوانين بلد الوجهة للكشف عن البيانات الشخصية المنقولة وفقًا لهذه البنود؛ ويجب أن يتضمن هذا الإخطار معلومات حول البيانات الشخصية المطلوبة والسلطة الطالبة والأساس القانوني للطلب والاستجابة المقدمة؛ أو أصبح على علم بأي وصول مباشر من قبل السلطات العامة إلى البيانات الشخصية المنقولة وفقًا لهذه البنود وفقًا لقوانين بلد الوجهة؛ ويجب أن يتضمن هذا الإخطار جميع المعلومات المتاحة للمستورد.إذا كان مستورد البيانات ممنوعًا من إخطار مصدر البيانات أو موضوع البيانات بموجب قوانين بلد الوجهة، يوافق مستورد البيانات على بذل قصارى جهده للحصول على استثناء من الحظر، بهدف التواصل بأكبر قدر ممكن من المعلومات، في أقرب وقت ممكن. يوافق مستورد البيانات على توثيق جهوده القصوى من أجل أن يكون قادرًا على إثباتها عند طلب مصدر البيانات.عندما يكون ذلك مسموحًا بموجب قوانين بلد الوجهة، يوافق مستورد البيانات على تزويد مصدر البيانات، بانتظام لفترة العقد، بأكبر قدر ممكن من المعلومات ذات الصلة حول الطلبات المستلمة (خاصةً عدد الطلبات، ونوع البيانات المطلوبة، والسلطة (السلطات) الطالبة، وما إذا كانت الطلبات قد تم تحديها ونتيجة هذه التحديات، إلخ).يوافق مستورد البيانات على حفظ المعلومات وفقًا للفقرات (أ) إلى (ج) لفترة العقد وتجعلها متاحة للسلطة الرقابية المختصة عند الطلب.لا تتعارض الفقرات (أ) إلى (ج) مع التزام مستورد البيانات بموجب البند 14 (هـ) والبند 16 بإبلاغ مصدر البيانات على الفور حيث يكون غير قادر على الامتثال لهذه البنود.١٥٫٢ مراجعة المشروعية وتقليل البياناتيوافق مستورد البيانات على مراجعة مشروعية طلب الكشف، ولا سيما ما إذا كان لا يزال ضمن السلطات الممنوحة للسلطة العامة الطالبة، وتحدي الطلب إذا خلص، بعد تقييم دقيق، إلى وجود أسباب معقولة للاعتقاد بأن الطلب غير قانوني بموجب قوانين بلد الوجهة، والالتزامات المطبقة بموجب القانون الدولي ومبادئ العلاقات الدولية. يجب على مستورد البيانات، في ظل نفس الظروف، متابعة إمكانيات الاستئناف. عند تحدي طلب، يجب على مستورد البيانات السعي إلى اتخاذ تدابير مؤقتة بهدف تعليق آثار الطلب حتى تقرر السلطة القضائية المختصة بشأن جوهر الأمر. يجب ألا يكشف البيانات الشخصية المطلوبة إلا عندما يُطلب منه ذلك بموجب القواعد الإجرائية المطبقة. لا تتعارض هذه المتطلبات مع التزامات مستورد البيانات بموجب البند ١٤ (هـ).يوافق مستورد البيانات على توثيق تقييمه القانوني وأي تحدي للطلب المتعلق بالكشف، وإلى الحد المسموح به بموجب قوانين بلد الوجهة، جعل الوثائق متاحة لمصدر البيانات. يجب عليه أيضًا إتاحتها للسلطة الرقابية المختصة عند الطلب.يوافق مستورد البيانات على توفير الحد الأدنى من المعلومات المسموح به عند الاستجابة لطلب الكشف، استنادًا إلى تفسير معقول للطلب.القسم الرابع – الأحكام النهائية

البند ١٦
عدم الامتثال للبنود والإنهاء

يجب على مستورد البيانات إبلاغ مصدر البيانات على الفور إذا كان غير قادر على الامتثال لهذه البنود لأي سبب من الأسباب.في حالة مخالفة مستورد البيانات هذه البنود أو عدم قدرته على الامتثال لهذه البنود، سيقوم مصدر البيانات بتعليق نقل البيانات الشخصية إلى مستورد البيانات حتى يتم ضمان الامتثال مرة أخرى أو إنهاء العقد. يتم ذلك دون المساس بالبند ١٤ (ف).يحق لمصدر البيانات إنهاء العقد، فيما يتعلق بمعالجة البيانات الشخصية بموجب هذه البنود، حيث:قام مصدر البيانات بتعليق نقل البيانات الشخصية إلى مستورد البيانات وفقًا للفقرة (ب) ولم يتم استعادة الامتثال لهذه البنود في غضون فترة زمنية معقولة وفي أي حال خلال شهر واحد من التعليق؛ يكون مستورد البيانات في حالة خرق كبير أو مستمر لهذه البنود؛ أو يفشل مستورد البيانات في الامتثال لقرار ملزم من محكمة مختصة أو سلطة إشرافية فيما يتعلق بالتزاماته بموجب هذه البنود.في هذه الحالات، يجب عليه إبلاغ السلطة الإشرافية المختصة بعدم الامتثال. عندما يتضمن العقد أكثر من طرفين، يجوز لمصدر البيانات ممارسة هذا الحق في الإنهاء فيما يتعلق بالطرف ذي الصلة فقط، ما لم يتفق الأطراف على خلاف ذلك.يجب أن يتم إرجاع البيانات الشخصية التي تم نقلها قبل إنهاء العقد وفقًا للفقرة (ج) إلى مصدر البيانات على الفور أو حذفها بالكامل وفقًا لاختيار مصدر البيانات. ينطبق الشيء نفسه على أي نسخ من البيانات. يجب على مستورد البيانات أن يشهد حذف البيانات إلى مصدر البيانات. حتى يتم حذف البيانات أو إعادتها، يجب على مستورد البيانات الاستمرار في ضمان الامتثال لهذه البنود. في حالة القوانين المحلية المطبقة على مستورد البيانات التي تحظر إرجاع أو حذف البيانات الشخصية المنقولة، يضمن مستورد البيانات أنه سيستمر في ضمان الامتثال لهذه البنود ولن يعالج البيانات إلا بالقدر والمقدار المطلوب بموجب ذلك القانون المحلي.يجوز لأي طرف إلغاء اتفاقه بأن يكون ملزمًا بهذه البنود عندما (أ) تعتمد المفوضية الأوروبية قرارًا وفقًا للمادة ٤٥ (٣) من اللائحة (الاتحاد الأوروبي) 2016/679 التي تغطي نقل البيانات الشخصية التي تنطبق عليها هذه البنود؛ أو (ب) تصبح اللائحة (الاتحاد الأوروبي) 2016/679 جزءًا من الإطار القانوني للبلد الذي يتم نقل البيانات الشخصية إليه. يتم ذلك دون المساس بالالتزامات الأخرى المطبقة على المعالجة المعنية بموجب اللائحة (الاتحاد الأوروبي) 2016/679.

البند 18
اختيار المحكمة والولاية القضائية

النموذج الثاني: نقل المسؤول عن المعالجة إلى المعالجيتم تسوية أي نزاع ينشأ عن هذه الشروط من خلال محاكم إحدى دول أعضاء الاتحاد الأوروبي.يتفق الطرفان على أن هذه ستكون محاكم الدولة العضو التي يقع فيها مقر المسؤول عن المعالجة.يجوز للموضوع أيضًا رفع دعوى قضائية ضد المسؤول عن التصدير والمسؤول عن الاستيراد أمام محاكم الدولة العضو التي يكون فيها مقر إقامته المعتاد.يتفق الطرفان على الخضوع لولاية هذه المحاكم.تم تنفيذ هذا الاتفاق في تاريخ آخر توقيع منصوص عليه أدناه.العميلعنوان العميل ومعلومات الاتصال كما هو موضح في نموذج طلب GPTW.تاريخ العميل وتوقيعه كما هو موضح في نموذج طلب GPTW.[١] عندما يكون المسؤول عن التصدير معالجًا يخضع لللائحة (الاتحاد الأوروبي) 2016/679 ويتصرف نيابة عن مؤسسة أو هيئة من الاتحاد بمثابة مسؤول عن المعالجة، فإن الاعتماد على هذه الشروط عند التعاقد مع معالج آخر (معالجة فرعية) غير خاضع لللائحة (الاتحاد الأوروبي) 2016/679 يضمن أيضًا الامتثال للمادة ٢٩ (٤) من اللائحة (الاتحاد الأوروبي) 2018/1725 للبرلمان الأوروبي والمجلس المؤرخ ٢٣أكتوبر ٢٠١٨ بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية من قبل مؤسسات الاتحاد وهيئاته ومكاتبه ووكالاته وحرية انتقال هذه البيانات، وإلغاء اللائحة (الاتحاد الأوروبي) رقم 45/2001 والقرار رقم 1247/2002 / EC (OJ L 295، 21.11.2018، ص 39)، إلى الحد الذي تتماشى فيه هذه الشروط والتزامات حماية البيانات كما هي منصوص عليها في العقد أو أي عمل قانوني آخر بين المسؤول عن المعالجة والمعالج وفقًا للمادة 29 (3) من اللائحة (الاتحاد الأوروبي) 2018/1725. سيكون هذا هو الحال بشكل خاص عندما يعتمد المسؤول عن المعالجة والمعالج على الشروط التعاقدية القياسية المدرجة في القرار 2021/915.[٢] اتفاقية المنطقة الاقتصادية الأوروبية (اتفاقية المنطقة الاقتصادية الأوروبية) تنص على توسيع السوق الداخلية للاتحاد الأوروبي لتشمل دول المنطقة الاقتصادية الأوروبية الثلاث أيسلندا وليختنشتاين والنرويج. تشمل اتفاقية المنطقة الاقتصادية الأوروبية تشريعات حماية البيانات في الاتحاد الأوروبي، بما في ذلك اللائحة (الاتحاد الأوروبي) 2016/679، وتم دمجها في الملحق الحادي عشر منها. لذلك، فإن أي كشف من قبل المستورد عن البيانات إلى طرف ثالث موجود في المنطقة الاقتصادية الأوروبية لا يعتبر نقلًا مستمرًا لغرض هذه الشروط.[٣] يمكن استيفاء هذا المطلب من خلال انضمام المعالج الفرعي إلى هذه الشروط بموجب النموذج المناسب، وفقًا للبند ٧.[٤] فيما يتعلق بآثار هذه القوانين والممارسات على الامتثال لهذه الشروط، يمكن اعتبار عناصر مختلفة كجزء من تقييم شامل. قد تشمل هذه العناصر الخبرة العملية ذات الصلة والموثقة مع الحالات السابقة للطلبات للكشف من السلطات العامة، أو عدم وجود مثل هذه الطلبات، التي تغطي إطارًا زمنيًا تمثيليًا كافٍ. يشير هذا على وجه الخصوص إلى السجلات الداخلية أو الوثائق الأخرى، التي يتم إعدادها على أساس مستمر وفقًا للاهتمام الواجب والموثقة على مستوى الإدارة العليا، شريطة أن يمكن مشاركة هذه المعلومات قانونًا مع الأطراف الثالثة. عندما يتم الاعتماد على هذه الخبرة العملية لاستنتاج أن المستورد عن البيانات لن يتم منعه من الامتثال لهذه الشروط، فإنه يحتاج إلى أن يدعمه عناصر موضوعية ذات صلة أخرى، وعليها أن تفكر بعناية ما إذا كانت هذه العناصر مجتمعة تحمل وزنًا كافيًا، من حيث الموثوقية والتمثيلية، لدعم هذا الاستنتاج. على وجه الخصوص، يتعين على الطرفين مراعاة ما إذا كانت خبرتهم العملية مدعومة وغير متناقضة مع المعلومات المتاحة للجمهور أو التي يمكن الوصول إليها بطريقة أخرى، والموثوقة حول وجود أو عدم وجود طلبات داخل نفس القطاع و / أو تطبيق القانون في الممارسة، مثل القضاء والتقارير الصادرة عن هيئات الرقابة المستقلة.الملحقملاحظة توضيحيةيجب أن يكون من الممكن التمييز بوضوح بين المعلومات التي تنطبق على كل عملية نقل أو فئة من عمليات النقل، وفي هذا الصدد، تحديد الادوار (الأدوار) الخاصة بكل طرف على أنه مصدر (مصادر) للبيانات و/أو مستورد (مستوردو) البيانات. لا يتطلب هذا بالضرورة استكمال وتوقيع ملاحق منفصلة لكل عملية نقل/فئة من عمليات النقل و/أو علاقة تعاقدية، حيث يمكن تحقيق هذا الشفاف من خلال ملحق واحد. ومع ذلك، عندما يكون ذلك ضروريًا لضمان الوضوح الكافي، يجب استخدام ملاحق منفصلة.الملحق الأولأ. قائمة بالأطرافالوحدة الثانية: من متحكم النقل إلى المعالجمصدر (مصادر) البيانات: [هوية وتفاصيل اتصال مصدر (مصادر) البيانات، وحيثما ينطبق ذلك، مسؤول حماية البيانات و/أو ممثله في الاتحاد الأوروبي]١. الاسم: العميلالعنوان: كما هو مذكور في نموذج طلب GPTWاسم ووظيفة وتفاصيل الاتصال للشخص الذي يمكن الاتصال به كما هو مذكور في نموذج طلب GPTW:الأنشطة ذات الصلة بالبيانات المنقولة بموجب هذه البنود:كما وقعه وبتاريخه العميل على نموذج طلب GPTW:الدور (متحكم / معالج): متحكممستوردوا البيانات: [هوية وتفاصيل اتصال مستورد (مستوردي) البيانات، بما في ذلك أي جهة اتصال تتحمل مسؤولية حماية البيانات]١. الاسم: مركز أفضل بيئة عمل، شركة (GREAT PLACE TO WORK INSTITUTE, INC.)العنوان: 1999 شارع هاريسون، الجناح 2070 أوكلاند، كاليفورنيا 94612الاسم: تيموثي إتش جينز، نائب الرئيس، رئيس الشؤون القانونية، tim.gens@greatplacetowork.comجمع الردود من موظفي مصدر البيانات بواسطة منصة مسح تسمى Emprsing.٢٥سبتمبر٢٠٢١ تي جيالدور: معالج فرعيب. وصف النقلفئات أصحاب البيانات التي يتم نقل بياناتهم الشخصيةموظفو المتحكم.فئات البيانات الشخصية التي يتم نقلهاالاسم، وعناوين البريد الإلكتروني لموظفي العميل الذين تمت دعوتهم للمشاركة في الاستطلاع.البيانات الحساسة المنقولة (إذا كانت قابلة للتطبيق) والقيود أو الضمانات المطبقة التي تأخذ في الاعتبار بشكل كامل طبيعة البيانات والمخاطر الم involvedة، مثل على سبيل المثال قيود صارمة على الغرض، وقيود الوصول (بما في ذلك الوصول فقط للموظفين الذين أكملوا تدريبًا متخصصًا)، والاحتفاظ بسجل الوصول إلى البيانات، والقيود على عمليات النقل اللاحقة أو إجراءات الأمان الإضافية.لا شيء.وتيرة النقل (على سبيل المثال، ما إذا كانت البيانات تُنقل لمرة واحدة أو بشكل مستمر).متغير.طبيعة المعالجةجمع وتخزين وتسجيل وإخفاء هوية ومحو غرض نقل البيانات والمعالجة اللاحقة.لإجراء تقرير عن تقييم، كجزء من المنتجات والخدماتالفترة التي سيتم الاحتفاظ فيها بالبيانات الشخصية، أو إذا لم يكن ذلك ممكناً، المعايير المستخدمة لتحديد تلك الفترةستستمر المعالجة خلال الاستطلاع، ولمدة تصل إلى خمسة أيام عمل بعد ذلك. ستقوم شركة GPTW بحذف جميع البيانات الشخصية في غضون خمسة أيام عمل من إغلاق الاستبيان.بالنسبة إلى عمليات النقل إلى المعالجات (الفرعية)، حدد أيضًا موضوع المعالجة وطبيعتها ومدتها.ستستمر المعالجة خلال الاستبيان، ولمدة تصل إلى خمسة أيام عمل بعد ذلك. ستقوم شركة GPTW بحذف جميع البيانات الشخصية في غضون خمسة أيام عمل من إغلاق الاستبيان.ج. سلطة الإشراف المختصةحدد سلطة (سلطات) الإشراف المختصة وفقًا للبند ١٣سلطة معالجة البيانات التي تملك الولاية على المتحكم.الملحق الثاني إجراءات فنية وتنظيمية بما في ذلك الإجراءات الفنية والتنظيمية لضمان أمن البياناتالوحدة الثانية: وحدة تحكم النقل إلى المعالجملاحظة توضيحية:يجب وصف الإجراءات الفنية والتنظيمية بعبارات محددة (وليس عامة). راجع أيضًا التعليق العام في الصفحة الأولى من الملحق، خاصة حول الحاجة إلى تحديد الإجراءات التي تنطبق على كل عملية نقل / مجموعة من عمليات النقل بشكل واضح.وصف الإجراءات الفنية والتنظيمية التي ينفذها مستوردو البيانات (بما في ذلك أي شهادات ذات صلة) لضمان مستوى مناسب من الأمان، مع مراعاة طبيعة و نطاق وسياق وهدف المعالجة والمخاطر التي تهدد حقوق وحريات الأشخاص الطبيعيين.إجراءات إخفاء هوية البيانات وتشفيرهاإجراءات لضمان سرية ونزاهة وتوافر وقدرة تحمل مستمرة لأنظمة وخدمات المعالجةإجراءات لضمان القدرة على استعادة توافر البيانات الشخصية والوصول إليها في الوقت المناسب في حالة وقوع حادث جسدي أو فنيإجراءات للاختبار والتقويم والمراجعة المنتظمة لفعالية الإجراءات الفنية والتنظيمية لضمان أمن المعالجةإجراءات لتحديد هوية المستخدم وتفويضهإجراءات لحماية البيانات أثناء النقلإجراءات لحماية البيانات أثناء التخزينإجراءات لضمان الأمن المادي للمواقع التي تتم فيها معالجة البيانات الشخصيةإجراءات لضمان تسجيل الأحداثإجراءات لضمان تكوين النظام، بما في ذلك التكوين الافتراضيإجراءات لحوكمة وإدارة تكنولوجيا المعلومات وتأمين تكنولوجيا المعلومات الداخليةإجراءات لإصدار شهادات / ضمان العمليات والمنتجاتإجراءات لضمان تقليل البياناتإجراءات لضمان جودة البياناتإجراءات لضمان الاحتفاظ بالبيانات بشكل محدودإجراءات لضمان المساءلةإجراءات للسماح بنقل البيانات وضمان محوهاسرية أنظمة وخدمات المعالجة (المادة ٣٢ (١) ب من GDPR)لا يُمنح الوصول إلى بيانات العميل إلا لأولئك الذين لديهم حاجة مشروعة. لا يمكن الوصول إلى بيانات العميل إلا من قبل موظفي GPTW الذين تم تفويضهم بناءً على الوظيفة. يتم التحكم في الوصول إلى الاستبيان بحيث لا يمكن لمستجيبي الاستبيان رؤية إجابات الآخرين.تحتفظ شركة GPTW بسياسة تحكم الوصول الموثقة التي تتضمن عملية تسجيل وإلغاء التسجيل الرسمي للمستخدمين لتمكين تخصيص حقوق الوصول، ومعرفات فريدة لجميع المستخدمين، ومراجعة دورية لحقوق الوصول مع مالكي أنظمة المعلومات أو الخدمات، والقيود والتحكم في حقوق الوصول المميزة من قبل الإدارة، وعملية تفويض لتخصيص ومراقبة حقوق الوصول المميزة، والمراجعة الشهرية المميزة، وسياسة كلمة المرور الرسمية، وسياسة تجبر المستخدمين على تغيير كلمة المرور الخاصة بهم عند تسجيل الدخول لأول مرة، ومتطلبات كلمة المرور (مثل الحد الأدنى للطول والتعقيد والانتظام للتغيير وسجل كلمات المرور)، وكلمات المرور المشفرة في التخزين والإرسال.تتواجد خدمات المنشأة في غرفة خادم مغلقة ومضبوطة المناخ، ويقتصر الوصول عليها على الموظفين المصرح لهم.يُطلب من جميع عمليات الوصول البعيدة (بما في ذلك الشبكة الافتراضية الخاصة والاتصال الهاتفي وغيره من أشكال الوصول التي تسمح بتسجيل الدخول إلى الأنظمة الداخلية) استخدام مصادقة متعددة العوامل. تُستخدم المصادقة متعددة العوامل لجميع عمليات الوصول الإدارية. يتم حظر الوصول التفاعلي الإداري المباشر إلى الأنظمة (عن بُعد أو محليًا). بدلاً من ذلك، يقوم المسؤولون بالوصول إلى الأنظمة في البداية باستخدام حساب غير إداري.يتم تقسيم البيانات وفصلها بحيث لا يمكن لمستخدمي العميل رؤية بيانات عميل آخر.لحماية سرية بيانات موظفي العميل، تستخدم GPTW خوارزمية إخفاء. لن تبلغ GPTW عن نتائج التقييم التي يقل فيها عدد الأشخاص في المجموعة السكانية للعميل عن خمسة (٥) أشخاص. . يُطمئن موظفو العميل إلى أن مشاركتهم سرية تمامًا وطوعية.تحتفظ شركة GPTW بوثائق حول إدارة المخاطر. يتم إجراء تقييمات المخاطر بشكل ربع سنوي. لدى العميل معلومات موثقة رسميًا حول سياسات وإجراءات ومعايير أمن المعلومات وخصوصية البيانات والسرية التي يوافق عليها الإدارة العليا، ويتم توصيلها إلى الموظفين، ومراجعتها سنويًا على الأقل، ونشرها بشكل مناسب لتوفر للرجوع والتطبيق.يتم استضافة منصة الاستبيان التحليلي من GPTW المعروفة ب Emprising بواسطة موفر السحابة Microsoft Azure. تتعاقد GPTW مع Azure للحفاظ على أعلى مستوى من أمن البيانات وخصوصية البيانات والامتثال العالمي في جميع الأوقات. يتم نقل هذه الحماية القانونية إلى جميع عملاء GPTW من خلال الضمانات الموجودة في اتفاقية المنتجات والخدمات لكامل مدة تعاقدنا كما هو موضح أدناه. تتوفر تقارير مراجعة Azure ووثائق موارد أخرى بالإضافة إلى أداة Azure Compliance Manager التي تستخدمها GPTW للالتزام بـ GDPR وقوانين الخصوصية الأخرى على عناوين URL التالية:https://servicetrust.microsoft.com/ و عروض الامتثال الأخرى: https://www.microsoft.com/en-us/trustcenter/compliance/complianceofferingsتوجد هنا مقالة عامة حول امتثال Azure: https://www.communicationsquare.com/news/everything-about-gdpr-compliance-in-microsoft-cloud/ومدونة هنا: https://azure.microsoft.com/en-us/blog/protecting-privacy-in-microsoft-azure-gdpr-azure-policy-updates/هناك أيضًا بعض موارد الامتثال الخاصة بالبلد. على سبيل المثال، يتم التعامل مع الامتثال في ألمانيا على عنوان URL التالي: https://servicetrust.microsoft.com/ViewPage/GermanComplianceResourcesV3٢. ضمان سلامة أنظمة ومعالجة البيانات والخدمات (المادة ٣٢ (١) (ب) من لائحة حماية البيانات العامة)أ. تبذل شركة Great Place To Work® جهودًا تجارية معقولة تتوافق مع معايير الصناعة لجمع ونقل وتخزين وحماية وصيانة البيانات وبيانات العملاء التي يتم الحصول عليها من خلال خدماتها. تُقر وتضمن شركة Great Place To Work® أنها خلال معالجة البيانات أو مدة تعاقد العميل، فإنها تلتزم باللائحة العامة لحماية البيانات للاتحاد الأوروبي (EU) ٢٠١٦ (GDPR)، وقانون خصوصية المستهلك في كاليفورنيا لعام ٢٠١٨ AB 375 (CCPA)، وقوانين حماية البيانات لجميع الدول والولايات والهيئات التنظيمية الأخرى. يتم ذكر هذا الضمان في القسم 8 (خصوصية البيانات) من اتفاقية منتجات وخدمات Great Place To Work® الموجودة في الرابط الموجود أسفل الصفحة الرئيسية لشركة Great Place To Work® في الولايات المتحدة: https://www.greatplacetowork.com/products-services-agreementب. تعمل منصة البرامج للاستبيانات والتحليلات GPTWEmprising™ من خلال تحميل ملف بيانات الموظفين (EDF) إلى Emprising، والذي يحتوي على قائمة عناوين بريد إلكتروني لموظفي العميل الذين يجري عليهم الاستطلاع، واختياريا، معلومات أخرى مثل البيانات السكانية المشفرة مسبقًا وما إلى ذلك لموظفي العميل. يمكن تحميل ملف بيانات الموظفين (EDF) إلى Emprising إما من قبل شركة Great Place To Work® أو مباشرة من قبل العميل. يتم تخزين ملف بيانات الموظفين (EDF) بشكل مشفر في منطقة مجزأة منفصلة عن بيانات موظفي العميل والتي تحتوي على إجابات الاستبيان من موظفي العميل. عند إغلاق الاستبيان، يتم حذف ملف بيانات الموظفين (EDF).ج. يقتصر أي اتصال بين Emprising المستضافة على Azure وشبكة Great Place To Work® على اتصال VPN آمن من طرف إلى طرف باستخدام IPSec.٣. توافر ومرونة أنظمة ومعالجة البيانات والخدمات (المادة ٣٢ (١) (ب) من لائحة حماية البيانات العامة)يتم التحقق من صحة إعدادات سجل التدقيق لكل جهاز يحفظ معلومات السجل. يضمن التحقق أن السجلات تتضمن معلومات ذات صلة بالجهاز بما في ذلك علامة زمنية وعناوين المصدر وعناوين الوجهة وعناصر مفيدة أخرى مختلفة للباقة و/أو المعاملة. تسجل الأجهزة السجلات بتنسيق موحد (مثل إدخالات syslog أو تلك التي تحددها مبادرة Common Event Expression).أ. تم توثيق وتنفيذ خطة شاملة لاستعادة البيانات في حالات الكوارث. تتناول خطط استعادة البيانات في حالات الكوارث استعادة جميع الجوانب ذات الصلة بالوظيفة التجارية / الخدمة، بما في ذلك التطبيقات وقواعد البيانات والمرافق وبنية الشبكة.ب. يتم استخدام اثنين على الأقل من مقدمي خدمات الاتصالات المختلفين لتزويد مركز البيانات باتصالات الشبكة. تقع مواقع مراكز البيانات الاحتياطية على بعد ٣٠ ميلاً على الأقل. تمت مراعاة المخاطر الطبيعية التي قد تؤثر سلبًا على مركز البيانات (على سبيل المثال، القرب من المسطحات المائية، والقرب من خطوط الصدع).ج. يتم عمل نسخة احتياطية لجميع البيانات بين خوادم Azure وموفري الخدمات السحابية يوميًا في هذه المواقع الاحتياطية الساخنة المكررة بالكامل. يتم تضمين لغة تعاقدية لضمان أن Azure تتحكم في الوصول بطريقة تتوافق مع سياسة Great Place To Work® الداخلية الخاصة بالبيانات. يتم تشفير البيانات أثناء النقل والتخزين باستخدام برنامج تشفير تجاري متوفر بنظام AES 256 بت بمفتاحين.٤. إجراءات المراجعة والتقييم والفحص الدوري (المادة ٣٢ (١) الفقرة (د) من لائحة حماية البيانات العامة؛ المادة ٢٥ (١) من لائحة حماية البيانات العامة)أ. تم تنفيذ نظام مراقبة تكوين آلي لإدارة حماية البيانات لقياس ومراقبة عناصر التكوين الآمن من خلال الاختبار عن بعد. يستخدم النظام ميزات متوافقة مع بروتوكول تشغيل محتوى الأمان (SCAP) لجمع معلومات حول نقاط ضعف التكوين. يتم نشر أدوات إدارة التكوين الخاصة بالنظام (مثل سياسة مجموعة Active Directory لبيئات Microsoft Windows) التي تفرض وتعيد نشر إعدادات التكوين على الأنظمة تلقائيًا في فترات زمنية مجدولة بانتظام. يتم نشر أدوات آلية لمراقبة أجهزة العمل والخوادم والأجهزة المحمولة بشكل مستمر بحثًا عن حماية فعالة ومحدثة من البرامج الضارة.ب. ان شركة Great Place To Work® لديها خطة استجابة للحادث مكتوبة تتضمن تحديد الأدوار والمسؤوليات الخاصة بإدارة الحوادث. كما تحدد الخطة إجراءات لإدارة الحوادث. يتم تمثيل الإدارة العليا بشكل مناسب (مع سلطة الإدخال واتخاذ القرار) في عملية إدارة الحوادث. تتضمن خطة استجابة الحوادث إجراءات لتحليل الأحداث والمعايير لتحديد ما إذا كان يجب تصعيد الحدث إلى حادثة. تتضمن الإجراءات أدوار ومسؤوليات الموظفين ومتطلبات الاتصالات الداخلية (مثل الامتثال والاتصالات والقانون والفريق التنفيذي) والخارجية (مثل إنفاذ القانون والعميل).ج. جميع البيانات محمية بكلمة مرور يتم تعيينها وفقًا ل:د. توثيق التكوينات الآمنة القياسية والموافقة عليها ومراجعتها بانتظام. يتم التوثيق والموافقة على أي انحرافات عن التكوين القياسي أو تحديثات التكوين القياسي من قبل موظفين مخولين. في نقاط الترابط الشبكي (على سبيل المثال، بوابات الإنترنت، ووصلات شبكة الطرف الثالث، وقطاعات الشبكة الداخلية ذات عناصر تحكم أمان مختلفة وما إلى ذلك)، يتم تنفيذ الترشيح الوارد والصادر للسماح فقط بالمنافذ والبروتوكولات التي لها حاجة تجارية صريحة وموثقة. يتم حظر جميع المنافذ والبروتوكولات الأخرى. يتم توثيق أي استثناءات والموافقة عليها وتحديدها بمدة زمنية ومراجعتها بانتظام.٥. جعل البيانات الشخصية مجهولة المصدر وتشفيرها (المادة ٣٢ (١) الفقرة (أ) من لائحة حماية البيانات العامة)تعمل منصة البرامج للاستطلاعات والتحليلات GPTWEmprising™ من خلال تحميل ملف بيانات الموظفين (EDF) إلى Emprising، والذي يحتوي على قائمة عناوين بريد إلكتروني لموظفي العميل الذين يجري عليهم الاستبيان، واختياريا، معلومات أخرى مثل البيانات السكانية المشفرة مسبقًا وما إلى ذلك لموظفي العميل. يتم تشفير ملف بيانات الموظفين (EDF) بمفتاحين AES 265 بت أثناء النقل والتخزين في منطقة مجزأة منفصلة عن بيانات موظفي العميل والتي تحتوي على إجابات الاستبيان من موظفي العميل. عندما يبدأ تشغيل استبيان العميل، يتم استخدام قائمة البريد الإلكتروني من ملف بيانات الموظفين (EDF) لإنشاء دعوة شخصية لكل موظف من موظفي العميل وهي معرف تسجيل دخول فريد لكل موظف من موظفي العميل. يتم تشفير إجابات الموظفين أثناء النقل والتخزين. عند إغلاق استطلاع العميل، يتم قطع الارتباط بين ملف بيانات الموظفين (EDF) وبيانات موظف العميل التي تحتوي على إجابات الاستطلاع لموظفي العميل والتي تفصل وتفصل فعليًا ملف بيانات الموظفين (EDF) عن بيانات موظف العميل. بعد إغلاق الاستبيان، لا تحتوي بيانات موظف العميل على اسم العميل أو اسم أو عنوان البريد إلكتروني لموظف العميل أو أي معلومات شخصية يمكن استخدامها لتحديد موظف العميل. ونتيجة لذلك، يتم تعريف بيانات موظف العميل على الفور وإخفاء هويتها عند إغلاق الاستبيان. في غضون خمسة أيام عمل بعد إغلاق استبيان العميل، يتم تأكيد وظيفة الاستبيان من قبل شركة Great Place To Work® ويتم الحذف. يتم توفير تفاصيل إضافية في الرابط الموجود أسفل الصفحة الرئيسية لشركة Great Place To Work® في الولايات المتحدة في سياسة الأمان الخارجية لشركة Great Place To Work®:https://www.greatplacetowork.com/external-security-policyبالنسبة إلى عمليات النقل إلى المعالجات الفرعية (أو الفرعية الفرعية)، يتم أيضًا وصف الإجراءات الفنية والتنظيمية المحددة التي يتعين على المعالج الفرعي (أو الفرعي الفرعي) اتخاذها لتقديم المساعدة إلى المتحكم، وبالنسبة إلى عمليات النقل من معالج إلى معالج فرعي فرعي، إلى مُصدر البيانات.الإجراء هو نفسه كما هو موضح أعلاهالملحق الثالثقائمة المعالجات الفرعيةالمحور الثاني: نقل المتحكم إلى المعالجملاحظة توضيحية:يجب استكمال هذا الملحق للمحورين الثاني والثالث، في حالة التفويض المحدد للمعالجات الفرعية (الفقرة 9 (أ)، الخيار ١).فوض المتحكم باستخدام المعالجات الفرعية التالية:١. الاسم: مايكروسوفت أزورالعنوان: 101 شارع هربرت ، دانفيل ، فيرجينياجهة الاتصال: https://azure.microsoft.comوصف المعالجة: موفر سحابي لاستضافة تطبيق Emprising.٢. الاسم: مجموعة HTECالعنوان: بوليفار ميلوتين ميلانكوفيتش 11 ب ، 11000 بلغراد ، صربياجهة الاتصال: ألكسندر كابريلو ، الرئيس ، aleksandar.cabrilo@htec.rsوصف المعالجة: صيانة البرامج لتطبيق Emprising.٣. أي مرخصين و / أو شركات تابعة ذات صلة للمعالج المدرجة في اتفاقية الخدمة.

Great Place To Work®, Inc.
مركز اتفاقية المنتجات والخدمات

اتفاقية المنتجات والخدمات

Time to evaluate your employer brand!

Get our culture emails Monthly Content Newsletter

Great Place To Work®, Inc. مركز اتفاقية المنتجات والخدمات

اتفاقية المنتجات والخدمات

Time to evaluate your employer brand!

Get our culture emails Monthly Content Newsletter

Great Place To Work®, Inc.
مركز اتفاقية المنتجات والخدمات