اتفاقية معالجة البيانات

1. المقدمة والنطاق

تشكل اتفاقية معالجة البيانات هذه («الاتفاقية») جزءاً من الاتفاق بين العميل («المتحكم في البيانات») وإمتثال، المُشغّلة باسم بنائي («معالج البيانات»)، لتقديم منصة بنائي لإدارة الامتثال («الخدمة») على binaey.com. تحكم هذه الاتفاقية معالجة البيانات الشخصية من قِبل معالج البيانات نيابةً عن المتحكم في البيانات فيما يتعلق بالخدمة، وفقاً لنظام حماية البيانات الشخصية السعودي (PDPL).

2. التعريفات

في هذه الاتفاقية، يكون للمصطلحات غير المعرفة هنا المعاني المنصوص عليها في PDPL واتفاقية الخدمة الرئيسية. المصطلحات الرئيسية تشمل:

• «البيانات الشخصية» تعني أي بيانات تتعلق بشخص طبيعي محدد أو قابل للتحديد، وفقاً لتعريف المادة الثانية من PDPL.
• «المعالجة» تعني أي عملية تُجرى على البيانات الشخصية، بما في ذلك الجمع والتخزين والاستخدام والنقل والحذف.
• «المعالج الفرعي» يعني أي طرف ثالث يستعين به معالج البيانات لمعالجة البيانات الشخصية نيابةً عن المتحكم في البيانات.
• «انتهاك البيانات» يعني أي وصول غير مصرح به أو إفشاء أو تعديل أو تدمير للبيانات الشخصية.

3. التزامات المعالج

يلتزم معالج البيانات بما يلي:

• معالجة البيانات الشخصية فقط بناءً على تعليمات موثقة من المتحكم في البيانات، ما لم يتطلب القانون غير ذلك
• ضمان أن الأشخاص المصرح لهم بمعالجة البيانات الشخصية ملزمون بالتزامات السرية
• تنفيذ تدابير تقنية وتنظيمية مناسبة لحماية البيانات الشخصية
• مساعدة المتحكم في البيانات في الاستجابة لطلبات حقوق أصحاب البيانات بموجب PDPL
• حذف أو إعادة جميع البيانات الشخصية عند إنهاء الخدمة، حسب اختيار المتحكم في البيانات
• توفير جميع المعلومات اللازمة لإثبات الامتثال لهذه الاتفاقية

4. المعالجون الفرعيون

يستعين معالج البيانات بالمعالجين الفرعيين التاليين لتقديم الخدمة:

يلتزم معالج البيانات بإخطار المتحكم في البيانات قبل 30 يوماً على الأقل من أي إضافة أو استبدال لمعالجين فرعيين، مع منح المتحكم فرصة للاعتراض. يضمن معالج البيانات أن جميع المعالجين الفرعيين ملزمون بالتزامات حماية بيانات لا تقل صرامة عن تلك الواردة في هذه الاتفاقية.

5. التدابير الأمنية

ينفذ معالج البيانات التدابير الأمنية التالية:

• تشفير البيانات أثناء النقل باستخدام TLS 1.2 أو أعلى
• تشفير البيانات في وضع السكون باستخدام AES-256
• سياسات أمان على مستوى الصفوف (RLS) لعزل بيانات المستأجرين المتعددين
• نسخ احتياطية منتظمة مع إمكانية الاستعادة لنقطة زمنية محددة
• ضوابط الوصول بصلاحيات مبنية على الأدوار وتسجيل التدقيق
• تقييمات الثغرات الأمنية واختبارات الاختراق المنتظمة

7. النقل الدولي للبيانات

عند نقل البيانات الشخصية خارج المملكة العربية السعودية، يضمن معالج البيانات الامتثال للمادة 16 من PDPL، بما في ذلك: (أ) ضمان حماية كافية في الدولة المستقبلة؛ (ب) تنفيذ ضمانات تعاقدية مناسبة؛ (ج) الحصول على الموافقات اللازمة من سدايا. وجهات النقل الحالية: ألمانيا (الاتحاد الأوروبي) — استضافة قاعدة بيانات Supabase. [يلزم مراجعة قانونية: تأكيد حالة موافقة سدايا على النقل.]

8. حقوق التدقيق

للمتحكم في البيانات الحق في تدقيق امتثال معالج البيانات لهذه الاتفاقية. يمكن إجراء التدقيق: (أ) بإخطار مسبق معقول لا يقل عن 30 يوماً؛ (ب) خلال ساعات العمل العادية؛ (ج) لا يزيد عن مرة واحدة سنوياً ما لم يقع انتهاك للبيانات. يتعاون معالج البيانات مع عمليات التدقيق ويوفر الوصول إلى الوثائق والأنظمة والموظفين ذوي الصلة.

9. المدة والإنهاء

تظل هذه الاتفاقية سارية طوال مدة اتفاقية الخدمة الرئيسية. عند الإنهاء: (أ) يتوقف معالج البيانات عن معالجة البيانات الشخصية؛ (ب) باختيار المتحكم، يحذف أو يعيد جميع البيانات الشخصية خلال 30 يوماً؛ (ج) يقدم تأكيداً خطياً بالحذف عند الطلب. تبقى الالتزامات المتعلقة بالسرية وحماية البيانات سارية بعد الإنهاء.

10. المسؤولية

تخضع مسؤولية كل طرف بموجب هذه الاتفاقية للقيود المنصوص عليها في اتفاقية الخدمة الرئيسية. [يلزم مراجعة قانونية: تأكيد سقف المسؤولية وشروط التعويض.]