يُشكّل ملحق معالجة البيانات هذا ("الملحق") جزءاً لا يتجزأ من شروط وأحكام Docshark ("الشروط") ومُدرَجاً فيها بالإحالة، وذلك بين Sharkforce Inc.، a corporation incorporated under the laws of Canada (federal) ("Sharkforce" أو "نحن" أو "لنا")، والعميل الذي يقبل الشروط ("العميل" أو "أنت"). يسري هذا الملحق حين تعالج Sharkforce البيانات الشخصية نيابةً عن العميل في إطار Docshark ("الخدمات"). يعمل Docshark من كندا ويُقدَّم للعملاء في دول متعددة. يعكس هذا الملحق التزامات Sharkforce القياسية بوصفها معالِجاً. لا يستلزم توقيعاً منفصلاً: بقبول الشروط، يوافق الطرفان على هذا الملحق. إن كان لديك اتفاقية خدمات رئيسية أو اتفاقية معالجة بيانات موقّعة بشكل منفصل مع Sharkforce، فتلك الاتفاقية الموقّعة هي السائدة عند وجود أي تعارض. يُقدَّم هذا الملحق بوصفه الشروط القياسية لـ Sharkforce وليس استشارةً قانونيةً للعميل. يظل العميل مسؤولاً عن تحديد المتطلبات المنطبقة على معالجته الخاصة للبيانات.
1. التعريفات والأدوار
المصطلحات المكتوبة بحرف كبير غير المُعرَّفة هنا تحمل المعنى المُحدَّد في الشروط. "قانون حماية البيانات المنطبق" يعني قوانين الخصوصية وحماية البيانات التي تنطبق على معالجة أحد الطرفين للبيانات الشخصية للعميل، وتشمل: قانون حماية المعلومات الشخصية والمستندات الإلكترونية (PIPEDA) والقوانين الإقليمية المماثلة له في كندا؛ وقانون 25 في كيبيك؛ واللائحة الأوروبية العامة لحماية البيانات (GDPR)؛ والـ UK GDPR وقانون حماية البيانات البريطاني لعام 2018؛ والقانون الفيدرالي السويسري لحماية البيانات (FADP)؛ وقوانين الخصوصية على مستوى الولايات الأمريكية بما فيها قانون خصوصية المستهلك في كاليفورنيا (CCPA) المُعدَّل بموجب CPRA؛ ونظام حماية البيانات الشخصية السعودي (PDPL)؛ والمرسوم الاتحادي الإماراتي بقانون رقم 45 لعام 2021 بشأن حماية البيانات الشخصية؛ وقانون حماية البيانات الشخصية المصري (رقم 151 لعام 2020)؛ والقانون العام البرازيلي لحماية البيانات (LGPD)؛ وقانون الخصوصية الأسترالي لعام 1988؛ وأي قانون خصوصية أو حماية بيانات آخر ينطبق على معالجة أحد الطرفين للبيانات الشخصية للعميل. "البيانات الشخصية للعميل" تعني البيانات الشخصية ضمن بيانات العميل التي تعالجها Sharkforce نيابةً عنه. فيما يخص البيانات الشخصية للعميل، يتصرف العميل بوصفه المتحكم أو الجهة التجارية (أو بوصفه معالِجاً يعمل لصالح متحكم آخر)، وتتصرف Sharkforce بوصفها المعالِج أو مزود الخدمة.
2. نطاق التعليمات
تعالج Sharkforce البيانات الشخصية للعميل وفق تعليماته الموثَّقة فحسب، وتشمل هذه التعليمات: الشروط، وتهيئة العميل واستخدامه للخدمات، وأي تعليمات مكتوبة إضافية يُصدرها العميل. تُبلّغ Sharkforce العميل إذا رأت أن تعليماً ما يُخالف قانون حماية البيانات المنطبق، ما لم يَحُل دون ذلك التزام قانوني. لا تعالج Sharkforce البيانات الشخصية للعميل لأغراضها المستقلة الخاصة. البيانات المجمَّعة أو المُخفَى هويتها التي لا تُعرِّف أي فرد بعينه لا تُعدّ بيانات شخصية للعميل.
3. تفاصيل المعالجة
الموضوع: تقديم خدمات التوقيع الإلكتروني والمستندات عبر Docshark. المدة: فترة الاشتراك إضافةً إلى أي فترة احتفاظ مُوضَّحة في إشعار الخصوصية الخاص بـ Docshark وفي الشروط. الطبيعة والغرض: جمع بيانات معاملات التوقيع الإلكتروني وتسجيلها وتجزئتها وختمها وتخزينها ونقلها وإنتاج الأدلة المتعلقة بها. أنواع البيانات الشخصية: الأسماء والأسماء القانونية المكتوبة، والبريد الإلكتروني، وأرقام الهاتف المستخدمة لرموز الاستخدام لمرة واحدة، وقيم حقول التوقيع، وعناوين IP المُجزَّأة، وسلاسل وكيل المستخدم (المخزَّنة مُجزَّأةً وعند الاحتفاظ بها كاملةً مشفَّرةً عند التخزين)، ومعرِّفات جلسة التوقيع، وسجلات الموافقة، وأحداث التدقيق، ومحتوى المستندات والمظاريف التي يختار العميل معالجتها. فئات أصحاب البيانات: الموقِّعون والمُرسِلون والمستخدمون المفوَّضون والمسؤولون لدى العميل.
4. التزامات Sharkforce
تلتزم Sharkforce بما يلي: (أ) معالجة البيانات الشخصية للعميل وفق ما هو مُحدَّد في القسم 2؛ (ب) التأكد من أن الموظفين المخوَّلين بمعالجة البيانات الشخصية للعميل مُلزَمون بالتزامات السرية؛ (ج) تطبيق تدابير الأمان المُوضَّحة في القسم 5 والحفاظ عليها؛ (د) مراعاةً لطبيعة المعالجة، مساعدة العميل بالتدابير التقنية والتنظيمية المناسبة، بقدر الإمكان، في الاستجابة لطلبات أصحاب البيانات وفق القسم 8؛ (ه) مساعدة العميل في شؤون الأمان وإشعار الخرق وتقييمات أثر حماية البيانات وفق القسمين 5 و9؛ (و) حذف البيانات الشخصية للعميل أو إعادتها وفق القسم 11.
5. تدابير الأمان
تحافظ Sharkforce على تدابير تقنية وتنظيمية مصمَّمة لحماية البيانات الشخصية للعميل، وتشمل حالياً: تشفير النقل (HTTPS/TLS) للبيانات أثناء النقل؛ والتشفير عند التخزين عبر بنية تحتية لقواعد البيانات ومزودي تخزين الكائنات؛ والتشفير على مستوى التطبيق لمعرِّفات حساسة مختارة (بما فيها قيم وكيل المستخدم الخاصة بالموقِّعين)؛ وتجزئة SHA-256 لسلامة المستندات المصدر والمختومة في مراحل الإرسال والموافقة والختم؛ وسجل تدقيق مقاوم للتلاعب ومتسلسل بالتجزئة؛ وختم PAdES للملفات PDF المكتملة وتوقيت RFC 3161 الموثوق حيث يكون مُفعَّلاً؛ ورموز الاستخدام لمرة واحدة للتحقق من هوية الموقِّع عند التهيئة؛ وتخزين عناوين IP بصيغة تجزئة أحادية الاتجاه فحسب؛ وضوابط الوصول بمبدأ الصلاحية الأدنى لأنظمة الإنتاج؛ والتسجيل والرصد للأحداث ذات الصلة بالأمان. لا تحمل Sharkforce حالياً شهادتَي SOC 2 أو ISO 27001 ولا تدَّعي ذلك. يجوز لـ Sharkforce تحديث تدابيرها بشرط ألا تتراجع الحمايات تراجعاً جوهرياً.
6. المعالجون الفرعيون
يمنح العميل موافقةً عامةً لـ Sharkforce لتعيين معالجين فرعيين لمعالجة البيانات الشخصية للعميل. تُنشر القائمة الحالية على /legal/subprocessors. تُلزم Sharkforce كل معالج فرعي بالتزامات حماية بيانات مكافئة جوهرياً لما ورد في هذا الملحق، وتبقى Sharkforce مسؤولةً عن أفعال معالجيها الفرعيين وإخفاقاتهم كما لو كانت أفعالها وإخفاقاتها. تُبلَّغ Sharkforce العميل بإشعار مسبق لا يقل عن ثلاثين (30) يوماً قبل إضافة أي معالج فرعي يعالج البيانات الشخصية للعميل أو استبداله. يجوز للعميل الاعتراض لأسباب مشروعة تتعلق بحماية البيانات خلال أربعة عشر (14) يوماً من الإشعار؛ وتسعى Sharkforce بحسن نية إلى معالجة الاعتراض، وإن تعذَّر ذلك، يجوز للعميل إنهاء الخدمات المتأثرة بوصفه الحل الوحيد المتاح.
7. النقل الدولي للبيانات
عند معالجة Sharkforce للبيانات الشخصية للعميل الخاضعة للـ GDPR ونقلها إلى دولة لم تحصل على قرار كفاءة، تُدرَج البنود التعاقدية القياسية للاتحاد الأوروبي (قرار التنفيذ الصادر عن المفوضية الأوروبية (EU) 2021/914) وتصبح جزءاً من هذا الملحق، مع تطبيق الوحدة الثانية (Module Two) (من المتحكم إلى المعالِج) حين يكون العميل متحكماً، والوحدة الثالثة (Module Three) (من المعالِج إلى المعالِج) حين يكون العميل بدوره معالِجاً. لنقل البيانات الخاضع لـ UK GDPR، يُطبَّق الملحق البريطاني لنقل البيانات الدولية (UK International Data Transfer Addendum) الخاص بالبنود التعاقدية القياسية للاتحاد الأوروبي. لنقل البيانات الخاضع للـ Swiss FADP، تُطبَّق البنود التعاقدية القياسية مع التعديلات المطلوبة بموجب FADP وتوجيهات الجهة التنظيمية السويسرية. تُستكمَل المرفقات المطلوبة بموجب هذه البنود من خلال تفاصيل المعالجة في القسم 3، وتدابير الأمان في القسم 5، وقائمة المعالجين الفرعيين المُشار إليها في القسم 6. يعمل Docshark من كندا، وقد يعالج المعالجون الفرعيون البيانات الشخصية للعميل في كندا والولايات المتحدة.
8. طلبات أصحاب البيانات
مراعاةً لطبيعة المعالجة، تُساعد Sharkforce العميل بالتدابير التقنية والتنظيمية المناسبة وبقدر ما هو ممكن بشكل معقول، في الوفاء بالتزام العميل بالاستجابة لطلبات أصحاب البيانات لممارسة حقوقهم، بما فيها: الوصول، والتصحيح، والحذف، والنقل، والتقييد، والاعتراض، وسحب الموافقة. إذا تلقَّت Sharkforce طلباً مباشراً من صاحب بيانات يتعلق بالبيانات الشخصية للعميل، فإنها تُحيله إلى العميل ما لم يكن ذلك محظوراً قانوناً.
9. خرق البيانات الشخصية
تُبلِّغ Sharkforce العميل دون تأخير لا مُبرَّر له فور علمها بأي حادث أمني (خرق) يمس البيانات الشخصية للعميل، وتُزوِّده بالمعلومات المتوفرة لمساعدته في الوفاء بالتزاماته الإشعارية، بما فيها: طبيعة الخرق، وفئات وعدد أصحاب البيانات والسجلات المتأثرة تقريباً عند توفر المعلومات، والعواقب المحتملة، والتدابير المتخذة أو المقترحة. إشعار Sharkforce لا يُعدّ اعترافاً بالمسؤولية أو المخالفة. يمكن الإبلاغ عن الحوادث المشتبه بها على [email protected].
10. التدقيق
تُتيح Sharkforce للعميل المعلومات اللازمة بشكل معقول لإثبات الامتثال لهذا الملحق. تُتيح Sharkforce إجراء عمليات التدقيق بما فيها الفحص الميداني من قِبل العميل أو مدقق يُعيِّنه، بحد أقصى مرة واحدة كل اثني عشر (12) شهراً، وبإشعار كتابي مسبق لا يقل عن ثلاثين (30) يوماً، وخلال ساعات العمل الرسمية، وبالتزام بالتزامات السرية وعلى نفقة العميل، وشريطة ألا تُعرِّض عمليات التدقيق أمن بيانات العملاء الآخرين أو سريتها. حيث يتوفر ذلك، يجوز لـ Sharkforce الوفاء بطلب التدقيق عبر تقديم وثائق الأمان ذات الصلة أو تقييمات الجهات الخارجية.
11. الحذف والاسترداد
عند انتهاء الخدمات أو إنهائها، تقوم Sharkforce، وفق اختيار العميل، بحذف البيانات الشخصية للعميل أو إعادتها وحذف النسخ الموجودة، إلا حين يكون الاحتفاظ بها مطلوباً بموجب قانون حماية البيانات المنطبق أو لصون سلامة أدلة التوقيع المكتملة. يجوز الاحتفاظ بالمظاريف المكتملة وأدلة التدقيق للمدد المُوضَّحة في إشعار الخصوصية الخاص بـ Docshark. تُحذف البيانات الموجودة في النسخ الاحتياطية في سياق دورة تدوير النسخ الاحتياطية المعتادة.
12. قوانين الخصوصية على مستوى الولايات الأمريكية
فيما يخص البيانات الشخصية للعميل الخاضعة لقانون CCPA المُعدَّل بموجب CPRA، تعمل Sharkforce بوصفها مزود الخدمة. لا تبيع Sharkforce هذه المعلومات الشخصية ولا تُشاركها، ولا تحتفظ بها أو تستخدمها أو تُفصح عنها لأي غرض سوى تقديم الخدمات والأغراض التجارية المحدودة المسموح بها قانوناً، ولا تدمجها مع معلومات شخصية من مصادر أخرى إلا بما يسمح به قانون CCPA. تُقرّ Sharkforce بفهمها لهذه القيود والتزامها بها.
13. PIPEDA والمعالجة الكندية
حين ينطبق قانون PIPEDA أو قانون إقليمي مماثل جوهرياً، تعالج Sharkforce البيانات الشخصية للعميل بوصفها مزود خدمة يعمل نيابةً عن العميل وبموجب تعليماته. يتحمل العميل مسؤولية إرسال الإشعارات اللازمة إلى الموقِّعين وغيرهم من أصحاب البيانات والحصول على موافقاتهم المطلوبة، بما فيها أي التزامات إضافية بموجب قانون 25 في كيبيك الخاصة بمعالجة العميل ذاتها.
14. الأولوية والتغييرات
يسود هذا الملحق على الشروط فيما يخص معالجة البيانات الشخصية للعميل. تسود اتفاقية الخدمات الرئيسية أو اتفاقية معالجة البيانات الموقَّعة بشكل منفصل بين الطرفين على هذا الملحق بقدر ما يكون بينهما تعارض. يجوز لـ Sharkforce تحديث هذا الملحق لمواكبة التغييرات القانونية أو ممارسات المعالجة لديها، شريطة ألا تُقلِّل التحديثات تقليلاً جوهرياً من الحمايات المقدَّمة للبيانات الشخصية للعميل؛ وتُبلَّغ بالتغييرات الجوهرية وفق ما يقتضيه القانون.
15. التواصل
للاستفسار عن هذا الملحق أو معالجة البيانات أو النقل الدولي للبيانات: [email protected]. Sharkforce Inc. (كندا، شركة فيدرالية)، عناية: مكتب الخصوصية.