الميزات الأسعار مرجع API

اتفاقية معالجة البيانات (DPA)

الإصدار 1.0 -- ساري المفعول من مارس 2026

تلتزم Morlivo بمعالجة البيانات الشخصية وفقًا للائحة العامة لحماية البيانات (EU) 2016/679 ("GDPR") وGDPR في المملكة المتحدة وجميع قوانين حماية البيانات المعمول بها الأخرى. تحكم اتفاقية معالجة البيانات هذه معالجة البيانات الشخصية بواسطة Morlivo ("المعالج") نيابة عن عملائنا ("المتحكم").

1. التعريفات

لأغراض اتفاقية معالجة البيانات هذه:

  • "البيانات الشخصية" تعني أي معلومات تتعلق بشخص طبيعي محدد أو قابل للتحديد، كما هو معرّف في المادة 4(1) من GDPR
  • "المعالجة" تعني أي عملية تُجرى على البيانات الشخصية، بما في ذلك الجمع والتخزين والاستخدام والإفصاح أو الحذف، كما هو معرّف في المادة 4(2) من GDPR
  • "المتحكم" يعني العميل الذي يحدد أغراض ووسائل معالجة البيانات الشخصية
  • "المعالج" يعني Morlivo، الذي يعالج البيانات الشخصية نيابة عن المتحكم
  • "المعالج الفرعي" يعني أي طرف ثالث يستعين به المعالج لمعالجة البيانات الشخصية نيابة عن المتحكم
  • "صاحب البيانات" يعني شخصًا طبيعيًا محددًا أو قابلًا للتحديد تتم معالجة بياناته الشخصية

2. تفاصيل المعالجة

يجب على المعالج معالجة البيانات الشخصية فقط بناءً على تعليمات موثقة من المتحكم، بما في ذلك فيما يتعلق بنقل البيانات الشخصية إلى دولة ثالثة، ما لم يكن مطلوبًا منه القيام بذلك بموجب قانون الاتحاد أو الدولة العضو الذي يخضع له المعالج.

تفاصيل المعالجة هي كما يلي:

  • الموضوع: تقديم خدمات الترجمة والتفريغ الصوتي ومعالجة اللغة
  • المدة: طوال مدة اتفاقية الخدمة الأساسية
  • الطبيعة والغرض: معالجة محتوى العميل لتقديم خدمات الترجمة والتفريغ الصوتي وخدمات اللغة ذات الصلة
  • فئات أصحاب البيانات: المستخدمون النهائيون والأفراد الذين تتضمن بياناتهم محتوى العميل
  • أنواع البيانات الشخصية: الأسماء ومعلومات الاتصال وأي بيانات شخصية أخرى واردة في المواد المقدمة للمعالجة

3. التدابير الأمنية

يجب على المعالج تنفيذ تدابير تقنية وتنظيمية مناسبة لضمان مستوى أمان يتناسب مع المخاطر، وفقًا للمادة 32 من GDPR. تشمل هذه التدابير:

  • تشفير البيانات الشخصية المخزنة (AES-256) وأثناء النقل (TLS 1.2+)
  • القدرة على ضمان السرية والسلامة والتوافر والمرونة المستمرة لأنظمة وخدمات المعالجة
  • القدرة على استعادة توافر البيانات الشخصية والوصول إليها في الوقت المناسب في حالة وقوع حادث مادي أو تقني
  • اختبار وتقييم فعالية التدابير التقنية والتنظيمية بشكل منتظم
  • إخفاء هوية البيانات الشخصية حيثما كان ذلك ممكنًا تقنيًا ومناسبًا
  • ضوابط وصول صارمة مبنية على مبدأ الحد الأدنى من الصلاحيات
  • تسجيل تدقيق شامل ومراقبة الوصول إلى البيانات

يجب على المعالج ضمان التزام الأشخاص المصرح لهم بمعالجة البيانات الشخصية بالسرية أو خضوعهم لالتزام قانوني مناسب بالسرية.

4. المعالجون الفرعيون

يمنح المتحكم تفويضًا عامًا للمعالج للاستعانة بمعالجين فرعيين. يجب على المعالج الاحتفاظ بقائمة محدثة بالمعالجين الفرعيين وإتاحتها للمتحكم عند الطلب. يتم نشر القائمة الحالية للمعالجين الفرعيين على صفحة سياسة الخصوصية الخاصة بنا.

يجب على المعالج إبلاغ المتحكم بأي تغييرات مقصودة تتعلق بإضافة أو استبدال المعالجين الفرعيين، مع منح المتحكم فرصة معقولة للاعتراض على هذه التغييرات. عندما يستعين المعالج بمعالج فرعي، يجب على المعالج فرض نفس التزامات حماية البيانات المنصوص عليها في هذه DPA على ذلك المعالج الفرعي بموجب عقد.

يظل المعالج مسؤولاً بالكامل أمام المتحكم عن أداء أي التزامات للمعالج الفرعي بموجب هذه DPA.

5. حقوق أصحاب البيانات

يجب على المعالج مساعدة المتحكم في الوفاء بالتزامه بالرد على طلبات أصحاب البيانات الذين يمارسون حقوقهم بموجب الفصل الثالث من GDPR، بما في ذلك:

  • حق الوصول (المادة 15)
  • حق التصحيح (المادة 16)
  • حق المحو (المادة 17)
  • حق تقييد المعالجة (المادة 18)
  • حق نقل البيانات (المادة 20)
  • حق الاعتراض (المادة 21)

إذا تلقى المعالج طلبًا من صاحب البيانات مباشرة، يجب على المعالج إحالة الطلب فورًا إلى المتحكم ولا يجوز له الرد على صاحب البيانات مباشرة إلا بتفويض من المتحكم.

6. عمليات النقل الدولية

لا يجوز للمعالج نقل البيانات الشخصية إلى دولة ثالثة أو منظمة دولية ما لم تكن الضمانات المناسبة قائمة كما يتطلبها الفصل الخامس من GDPR. تشمل آليات النقل المعتمدة:

  • البنود التعاقدية القياسية (SCCs) المعتمدة من المفوضية الأوروبية (قرار التنفيذ (EU) 2021/914)
  • قرارات الملاءمة وفقًا للمادة 45 من GDPR
  • قواعد الشركة الملزمة المعتمدة من سلطة إشرافية مختصة

يمكن لعملاء المؤسسات تكوين إعدادات إقامة البيانات لتقييد معالجة وتخزين البيانات الشخصية في مناطق جغرافية محددة (الاتحاد الأوروبي أو الولايات المتحدة أو آسيا والمحيط الهادئ)، مما يقلل الحاجة إلى عمليات النقل عبر الحدود.

7. إشعار الانتهاك

يجب على المعالج إخطار المتحكم دون تأخير غير مبرر، وفي جميع الأحوال في موعد لا يتجاوز ثمانٍ وأربعين (48) ساعة من علمه بانتهاك البيانات الشخصية، كما هو معرّف في المادة 4(12) من GDPR.

يجب أن يتضمن الإشعار:

  • وصف لطبيعة انتهاك البيانات الشخصية، بما في ذلك الفئات والعدد التقريبي لأصحاب البيانات والسجلات المعنية
  • اسم ومعلومات الاتصال بمسؤول حماية البيانات لدى المعالج
  • وصف للعواقب المحتملة للانتهاك
  • وصف للتدابير المتخذة أو المقترحة لمعالجة الانتهاك، بما في ذلك التدابير للتخفيف من آثاره السلبية

8. عمليات التدقيق والتفتيش

يجب على المعالج إتاحة جميع المعلومات اللازمة للمتحكم لإثبات الامتثال للالتزامات المنصوص عليها في المادة 28 من GDPR. يجب على المعالج السماح بعمليات التدقيق والمساهمة فيها، بما في ذلك عمليات التفتيش التي يجريها المتحكم أو مدقق مفوض من المتحكم، مع مراعاة الإشعار المسبق المعقول والتزامات السرية.

9. المدة وحذف البيانات

تظل هذه DPA سارية طوال مدة اتفاقية الخدمة الأساسية. عند إنهاء اتفاقية الخدمة، يجب على المعالج، بناءً على اختيار المتحكم، حذف أو إعادة جميع البيانات الشخصية وحذف النسخ الموجودة، ما لم يتطلب قانون الاتحاد أو الدولة العضو تخزين البيانات الشخصية. يجب على المعالج أن يشهد كتابيًا بامتثاله لهذا الالتزام بناءً على طلب المتحكم.

طلب DPA

لطلب اتفاقية معالجة بيانات، تواصل مع فريق الامتثال لدينا. سنعمل معك لتنفيذ DPA تلبي متطلبات حماية البيانات لمؤسستك.

تواصل مع فريق الامتثال تحميل نموذج DPA