اتفاقية معالجة البيانات

مستندات الحزمة التعاقدية

• اتفاقية معالجة البيانات (DPA). شروط ثنائية من جانب المعالِج تحكم تعامل Syncanix مع البيانات الشخصية للعميل بموجب المادة 28 من اللائحة العامة لحماية البيانات. تحدّد أغراض المعالجة وفئات البيانات والمعالِجين من الباطن وتدابير الأمان واتفاقيات مستوى الخدمة الخاصة بالإخطار عن الانتهاكات.
• البنود التعاقدية المعيارية (SCCs) — الوحدة الثانية. قرار التنفيذ 2021/914 الصادر عن المفوضية الأوروبية، الوحدة الثانية (من معالِج إلى معالِج). يحكم عمليات نقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية إلى المعالِجين من الباطن العاملين من دول ثالثة.
• ملحق النقل الدولي للبيانات (IDTA) الصادر عن مكتب مفوّض المعلومات في المملكة المتحدة (ICO). ملحق يوسّع نطاق البنود التعاقدية المعيارية SCCs (الوحدة الثانية) لتشمل عمليات نقل البيانات الشخصية الخاصة بالمملكة المتحدة، وفقاً للنموذج المنشور من مكتب مفوّض المعلومات في المملكة المتحدة (ICO).
• مُلحَق FADP السويسري. مُلحَق جسري يوسّع نطاق البنود التعاقدية المعيارية SCCs لتشمل عمليات نقل البيانات الشخصية الخاضعة للقانون الفيدرالي السويسري لحماية البيانات (FADP)، وفقاً لما تقتضيه إرشادات المفوّض الفيدرالي لحماية البيانات والمعلومات (FDPIC).
• الملاحق الإقليمية. ملاحق مبسّطة لقانون حماية البيانات الشخصية في الإمارات (UAE PDPL)، وقانون حماية البيانات الشخصية في السعودية (KSA PDPL)، وقانون حماية الخصوصية الإسرائيلي + التعديل 13، والقانون المصري 151/2020، وغيرها من اختصاصات منطقة الشرق الأوسط وشمال أفريقيا عندما يُفعّلها نشر العميل.

نطاق اتفاقية معالجة البيانات (التزامات المادة 28)

تتضمّن اتفاقية معالجة البيانات كل التزام تفرضه المادة 28(3) من اللائحة العامة لحماية البيانات على المعالِج:

• بناءً على التعليمات فقط (المادة 28 § 3(a)). تعالج Syncanix البيانات الشخصية للعميل بناءً على تعليمات موثَّقة من العميل فقط، بما في ذلك عمليات النقل إلى دول ثالثة.
• السرّية (المادة 28 § 3(b)). يلتزم كل موظف أو متعاقد لدى Syncanix يملك حق الوصول إلى البيانات الشخصية للعميل بالتزام بالسرّية.
• الأمان (المادة 28 § 3(c) + المادة 32). التشفير أثناء التخزين عبر AWS KMS، والتشفير أثناء النقل عبر TLS 1.3، وإدارة الهوية والوصول (IAM) بأقل الامتيازات، والضوابط الموثَّقة في صفحة الأمان →.
• الاستعانة بمعالِجين من الباطن (المادة 28 § 2 + § 4). الموافقة المسبقة من العميل على تغييرات المعالِجين من الباطن؛ وسياسة الإشعار بالتغيير خلال 30 يوماً في صفحة المعالِجين من الباطن →؛ وتُمرَّر التزامات المادة 28 ذاتها إلى كل معالِج من الباطن.
• المساعدة في طلبات ممارسة الحقوق (المادة 28 § 3(e)). تساعد Syncanix العملاء في طلبات وصول أصحاب البيانات (DSARs) (المواد 15–22، التي تشمل الوصول والتصحيح والمحو والتقييد وقابلية النقل والاعتراض) ضمن اتفاقية مستوى الخدمة المتمثلة في الإقرار خلال 24 ساعة / الاستجابة خلال 30 يوماً.
• الإخطار بالانتهاكات (المادة 33). إخطار العميل خلال 24 ساعة من تأكيد وقوع انتهاك للبيانات الشخصية يؤثر في بياناته. ويظل العميل (المتحكِّم) ملتزماً بإخطار السلطات الرقابية وأصحاب البيانات.
• التعاون في عمليات التدقيق (المادة 28 § 3(h)). نافذة تدقيق سنوية وأدلة عند الطلب (تقارير SOC 2، وشهادة ISO 27001 عند توفّرها) لإثبات التزامات المعالِج.
• المحو / الإعادة (المادة 28 § 3(g)). عند الإنهاء، تُعاد البيانات الشخصية للعميل أو تُمحى وفقاً لتعليمات العميل خلال 30 يوماً، مع تطهير جميع النسخ الاحتياطية خلال 90 يوماً إضافية. ويُحتفظ بفترة حذف ناعم قصيرة وفقاً للمادة 17 (المحو) للتعافي من الطلبات العَرَضية.

البنود التعاقدية المعيارية (SCCs)

تخضع عمليات النقل عبر الحدود من المنطقة الاقتصادية الأوروبية إلى معالِج من الباطن في دولة ثالثة (الولايات المتحدة، كندا، إلخ) للبنود التعاقدية المعيارية SCCs (الوحدة الثانية) — نموذج المفوضية الأوروبية من معالِج إلى معالِج (قرار التنفيذ 2021/914، الساري منذ 27 June 2021). وتُستكمل الملاحق التي توثّق فئات البيانات وأغراض المعالجة وتدابير الأمان لكل معالِج من الباطن، كما هو مدرَج في صفحة المعالِجين من الباطن →. يوقّع العميل على البنود التعاقدية المعيارية SCCs بصفته مُصدِّر البيانات؛ وتوقّع Syncanix بصفتها مُستورِد البيانات.

ملحق IDTA الصادر عن مكتب ICO في المملكة المتحدة

بالنسبة لعمليات نقل البيانات الشخصية الخاصة بالمملكة المتحدة، لا تكفي البنود التعاقدية المعيارية SCCs وحدها بعد خروج بريطانيا من الاتحاد الأوروبي. ويوسّع ملحق النقل الدولي للبيانات (IDTA) الصادر عن مكتب ICO في المملكة المتحدة، المنشور في 21 March 2022، نطاق البنود التعاقدية المعيارية SCCs ليصبح أداة متوافقة مع قانون حماية البيانات في المملكة المتحدة. وملحق Syncanix هو النموذج المنشور من ICO مُستكمَلاً بالملاحق ذاتها المرفقة بالبنود التعاقدية المعيارية SCCs.

مُلحَق FADP السويسري

ينظّم القانون الفيدرالي لحماية البيانات (FADP، النسخة المنقَّحة السارية من 1 September 2023) البيانات الشخصية السويسرية. ومُلحَق Syncanix السويسري هو جسر مبسّط — إذ يستبدل عبارة «الاتحاد الأوروبي» بـ«سويسرا» في الأقسام ذات الصلة من البنود التعاقدية المعيارية SCCs، ويعتمد المفوّض الفيدرالي لحماية البيانات والمعلومات (FDPIC) سلطةً رقابيةً، ويُدرج حقوق أصحاب البيانات الخاصة بالقانون السويسري.

الملاحق الإقليمية

تفرض اختصاصات منطقة الشرق الأوسط وشمال أفريقيا متطلباتها التعاقدية الخاصة من جانب المعالِج، وتُعالَج عبر ملاحق إقليمية مبسّطة يُفعّلها نشر العميل:

• قانون حماية البيانات الشخصية في الإمارات (UAE PDPL) (المرسوم بقانون اتحادي 45/2021 + قانون حماية البيانات DIFC 5/2020 + سوق أبوظبي العالمي ADGM). يقوم على الموافقة؛ وتتطلب عمليات النقل عبر الحدود قراراً بالكفاية أو عقداً.
• قانون حماية البيانات الشخصية في السعودية (Saudi PDPL). نفاذ كامل منذ 14 Sep 2024. إخطار بالانتهاك خلال 72 ساعة إلى الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA). تتطلب عمليات النقل عبر الحدود موافقة SDAIA. ويُشترط وجود ممثل محلي عند بلوغ حدود الإيرادات.
• قانون حماية الخصوصية الإسرائيلي + التعديل 13 (ساري المفعول في 15 Aug 2025). متوائم مع اللائحة العامة لحماية البيانات؛ مع تعريف موسَّع لـ«المعلومات الشخصية»؛ ومسؤول حماية خصوصية إلزامي؛ وغرامات تصل إلى 5٪ من حجم الأعمال.
• القانون المصري 151/2020. ترخيص النقل عبر الحدود + الموافقة افتراضياً.
• قانون قطر 13/2016 PDPPL. نظام قائم على الموافقة + الإخطار.
• قانون حماية البيانات الشخصية في البحرين 30/2018 (Bahrain PDPL). تسجيل المتحكِّمين؛ والموافقة.
• المرسوم السلطاني العُماني 6/2022 PDPL. ترخيص النقل عبر الحدود.
• قانون حماية البيانات الشخصية في الأردن 24/2023 (Jordan PDPL). مسؤول حماية بيانات (DPO) مشروط؛ وحقوق أصحاب البيانات.

مراجعة المستشار القانوني

تُراجَع قالب اتفاقية معالجة البيانات، والبنود التعاقدية المعيارية SCCs (الوحدة الثانية)، وملحق IDTA للمملكة المتحدة، ومُلحَق FADP السويسري، والملاحق الإقليمية من قِبل المستشار القانوني المعني بالخصوصية في الاتحاد الأوروبي قبل كل إصدار تجاري. وتُسجَّل الموافقة في docs/legal/counsel-sign-off.md مع اسم المستشار القانوني وتاريخ المراجعة ونطاقها. وتُعدّ مراجعة المستشار القانوني بوابةً تحجب الإطلاق. وإلى أن يوافق المستشار القانوني، تُشارَك النسخ العملية من الحزمة التعاقدية ثنائياً عند الطلب عبر admin@syncanix.com.

كيفية طلب الحزمة

1. أرسل بريداً إلكترونياً إلى admin@syncanix.com مع اسم كيانك القانوني، واختصاص(ات) النشر، والملاحق التي تحتاجها (المملكة المتحدة، سويسرا، السعودية KSA، الإمارات UAE، إسرائيل، إلخ).
2. تُعيد Syncanix النسخة العملية خلال يومَي عمل، مُستكمَلةً بملاحق المعالِجين من الباطن المنطبقة على نشرك.
3. تجري المفاوضات والتوقيع المقابل عبر البريد الإلكتروني أو من خلال سير عمل DocuSign / Adobe-Sign حسب تفضيل العميل.
4. بمجرد ورود موافقة المستشار القانوني، ستربط هذه الصفحة القوالب المنشورة الموقَّعة مباشرةً هنا بصيغة تنزيلات .pdf .

موضوعات ذات صلة

• قائمة المعالِجين من الباطن → — الكيانات التي تشير إليها ملاحق البنود التعاقدية المعيارية SCCs.
• نظرة عامة على الأمان → — تدابير المادة 32 المُدرَجة في اتفاقية معالجة البيانات.
• إشعار الخصوصية → — نطاق تعليمات المتحكِّم وفق المادة 28 § 3(a).
• حالة الامتثال → — أدلة SOC 2 / ISO 27001 التي تُثبت المادة 32.