الإصدار: 1 فبراير 2023
يُشكل ملحق معالجة البيانات هذا جزءًا لا يتجزأ من الاتفاقية المُبرمة بين العميل وشركة CM.com والذي يغطي استخدام العميل للخدمات.
يتم تعريف المصطلحات الواردة هذه الشروط والأحكام والتي تبدأ بأحرف كبيرة وتحمل المعنى المنصوص عليه في هذا البند.
التدابير الفنية والتنظيمية: تدابير لحماية البيانات الشخصية من التدمير العرضي أو غير القانوني أو الفقدان العرضي أو التغيير أو الإفصاح غير المصرح به أو الوصول وضد جميع أشكال المعالجة غير القانونية الأخرى.
المراقب: الشخص الطبيعي أو الاعتباري أو السلطة العامة أو الوكالة أو أي هيئة أخرى تحدد، بمفردها أو بالاشتراك مع آخرين، أغراض معالجة البيانات الشخصية ووسائلها.
المعالج: شخص طبيعي أو اعتباري أو سلطة عامة أو وكالة أو هيئة أخرى تعالج البيانات الشخصية نيابة عن المراقب.
المعالج من الباطن: طرف تتعاقد معه شركة CM.com لأنشطة المعالجة التي تكون شركة CM.com معالجًا فيها بموجب ملحق معالجة البيانات، على النحو الموضح في: www.cm.com/trust-center/privacy/.
المعالجة: أي عملية أو مجموعة من العمليات يتم إجراؤها على البيانات الشخصية أو على مجموعات من البيانات الشخصية، سواءً كانت بوسائل آلية أم لا، مثل الجمع أو التسجيل أو التنظيم أو الهيكلة أو التخزين أو التكييف أو التغيير أو الاسترداد أو المراجعة أو الاستخدام أو الإفصاح عن طريق النقل أو النشر أو الإتاحة بطريقة أخرى أو المواءمة أو الدمج أو التقييد أو المحو أو التدمير.
خرق أمان البيانات الشخصية: خرق للأمن يؤدي إلى حادث أو تدمير غير قانوني للبيانات الشخصية التي تم نقلها أو تخزينها أو معالجتها بخلاف ذلك أو فقدانها أو تغييرها أو الإفصاح غير المُصرّح به عنها أو الوصول إليها.
صاحب البيانات: شخص طبيعي محدد أو يمكن تحديده فيما يتعلق بالبيانات الشخصية.
يحمل تعبير "تقييم أثر حماية البيانات"، المعنى المنسوب له في قانون حماية البيانات المعمول به.
1.2. تُستبدل الإشارات إلى قوانين حماية البيانات المعمول بها بالإشارات، وتتضمن الإشارات، إلى أي قوانين تحل محل قوانين حماية البيانات المعمول بها أو تُعدّلها، والشروط المماثلة المحددة في هذه القوانين، بمجرد سريانها ونفاذها.
1.3. تنطبق شروط وأحكام معالجة البيانات هذه حصريًا على معالجة البيانات الشخصية من قبل شركة CM.com كمعالج نيابة عن العميل. وفي حالة وجود أي تعارض، تكون للأحكام الواردة في شروط وأحكام معالجة البيانات هذه المتعلقة بمعالجة البيانات الشخصية الأسبقية على أحكام اتفاقية الشروط والأحكام. إذا كانت الأحكام الفردية لشروط وأحكام معالجة البيانات هذه غير صالحة أو غير قابلة للإنفاذ، فلن تتأثر صلاحية الأحكام الأخرى وقابليتها للإنفاذ. مركز التوثيق: www.cm.com/trust-center/.
2.1 ينطبق ملحق معالجة البيانات على أنشطة معالجة البيانات الشخصية، التي تكون شركة CM.com معالجًا فيها وفقًا لقوانين حماية البيانات المعمول بها.
2.2 شركة CM.com هي معالج لأنشطة المعالجة الموضحة في المادة 6 من ملحق معالجة البيانات.
3.1 يقوم العميل، عند استخدامه للخدمة، بمعالجة البيانات الشخصية وفقًا لمتطلبات قوانين حماية البيانات المعمول بها. يجب أن تتوافق تعليمات العميل بشأن معالجة البيانات الشخصية مع قوانين حماية البيانات المعمول بها. ويتحمل العميل مسؤولية دقة البيانات الشخصية وجودتها وشرعيتها والوسائل التي يحصل من خلالها على البيانات الشخصية. يضمن العميل أنه يستوفي جميع متطلبات معالجة البيانات الشخصية ونقلها بموجب القوانين المعمول بها، بما في ذلك على سبيل المثال لا الحصر، ضمان وجود أساس قانوني للمعالجة و/أو عمليات النقل عبر الحدود. يجب على العميل إبلاغ شركة CM.com دون تأخير غير مبرر إذا لم يعد قادرًا على الوفاء بالتزاماته فيما يتعلق بمعالجة البيانات الشخصية بموجب القوانين المعمول بها و/أو الاتفاقية.
3.2 دون الحد من عمومية أي حكم آخر من أحكام الاتفاقية، يحصل العميل قبل استخدام الخدمة على موافقة مستنيرة يمكن التحقق منها من المستخدمين النهائيين أو يكون قادرًا على تقديم تأكيد لأي أساس قانوني آخر معمول به للمعالجة، ويحتفظ بسجل لكل موافقة و/أو أساس قانوني. وبناءً على إخطار كتابي معقول، يقدم العميل المعلومات على أساس قانوني حسبما تطلبه شركة CM.com أو أي مشغل أو جهة تنظيمية أو سلطة مختصة أخرى.
4.1 التعليمات
4.1.1 تعالج شركة CM.com البيانات الشخصية وفقًا لاتفاقية معالجة البيانات هذه والاتفاقية، وللأغراض وبالطريقة التي يحددها العميل من وقت لآخر في الاتفاقية والتعليمات الإضافية ضمن نطاق الاتفاقية.
4.2 التدابير الفنية والتنظيمية
4.2.1 مع الأخذ بعين الاعتبار أحدث التقنيات وطبيعة ونطاق وسياق وأغراض المعالجة وكذلك مخاطر تباين احتمالية وشدة حقوق وحريات الأشخاص الطبيعيين، تقوم شركة CM.com بتنفيذ التدابير الفنية والتنظيمية المناسبة (بما في ذلك الحماية من المعالجة غير المصرح بها أو غير القانونية ومن التدمير العرضي أو غير القانوني، والفقدان أو التغيير أو التلف، والإفصاح غير المصرح به، أو الوصول إلى، البيانات الشخصية) لضمان مستوى الأمان المناسب للمخاطر. يمكن العثور على أحدث المعلومات المتعلقة بالتدابير الفنية والتنظيمية على www.cm.com/trust-center/security/ .
4.2.2 تقوم شركة CM.com باختبار وتقييم فعالية التدابير الفنية والتنظيمية لضمان أمن المعالجة بشكل مستمر. تقوم شركة CM.com بتعزيز وتحسين التدابير الفنية والتنظيمية بشكل مستمر عند الاقتضاء.
4.3 متطلبات الموظفين
تضمن شركة CM.com أن الأشخاص المُصرّح لهم بمعالجة البيانات الشخصية قد التزموا بالسرية أو يخضعون لالتزام قانوني مناسب بالسرية. ويقتصر الوصول إلى البيانات الشخصية على الموظفين الذين يحتاجون إلى الوصول من أجل أداء الخدمات بموجب الاتفاقية.
4.4. السرية
توافق شركة CM.com على الحفاظ على سرية البيانات الشخصية. وعلى وجه الخصوص، توافق شركة CM.com على عدم الإفصاح عن أي بيانات شخصية يقدمها لها العميل أو يتم تقديمها نيابةً عنه دون الحصول على موافقة مسبقة من العميل، باستثناء ما هو متوقع ومطلوب لأداء الخدمة بموجب الاتفاقية أو القانون الإلزامي.
4.5. حقوق صاحب البيانات
4.5.1 عندما يطلب العميل من شركة CM.com ذلك، تقوم الشركة بنقل البيانات الشخصية أو تصحيحها أو حذفها أو حظرها إذا تلقى العميل طلبًا من صاحب البيانات لممارسة حق صاحب البيانات في الوصول أو الحق في التصحيح أو تقييد المعالجة أو المحو ("الحق في النسيان") أو قابلية نقل البيانات أو الاعتراض على المعالجة أو حقه في عدم الخضوع لعملية اتخاذ قرار فردية آلية ("طلب صاحب البيانات").
4.5.2 تقوم شركة CM.com بإخطار العميل إذا تلقت طلب صاحب البيانات. ومع الأخذ في الاعتبار طبيعة المعالجة، تساعد شركة CM.com العميل في الاستجابة لطلب صاحب البيانات بموجب قانون حماية البيانات المعمول به. يتعين على شركة CM.com مساعدة العميل إلى الحد الذي يُسمح فيه قانونًا لها القيام بذلك ويجب الرد على طلب صاحب البيانات هذا بموجب قوانين حماية البيانات.
4.6 المساعدة في امتثال العميل
تقدم شركة CM.com للعميل مزيدًا من المساعدة المطلوبة بشكل معقول لضمان الامتثال لالتزامات العميل بموجب قوانين حماية البيانات، بما في ذلك ما يتعلق بما يلي:
(أ) تقييم أثر حماية البيانات، من خلال تقديم المعلومات والتعاون الذي قد يطلبه العميل لغرض مساعدة العميل في إجراء تقييم أثر حماية البيانات والمراجعات الدورية لتقييم ما إذا كانت معالجة البيانات الشخصية تتم وفقًا لتقييم أثر حماية البيانات.
(ب) التشاور المسبق مع سلطة إشرافية لحماية البيانات فيما يتعلق بالمعالجة عالية المخاطر.
4.7 الامتثال والمعلومات والتدقيق
4.7.1 حصلت شركة CM.com على شهادات من طرف ثالث منصوص عليها في مركز التوثيق على موقع CM.com، وهو متاح على www.cm.com/trust-center/ ويوفر معلومات عن التدابير الفنية والتنظيمية والخصوصية والامتثال وإدارة المخاطر وأمن البيانات. بناءً على طلب كتابي من العميل، ووفقًا لالتزامات السرية المنصوص عليها في الاتفاقية، يتعين على شركة CM.com أن توفر للعميل، الذي ليس منافسًا لشركة CM.com (أو مدقق مستقل تابع لطرف ثالث للعميل ليس منافسًا لشركة CM.com) نسخة من أحدث شهادات ومعلومات الطرف الثالث في ذلك الوقت الخاصة بشركة CM.com فيما يتعلق ببنية وأمن تكنولوجيا المعلومات، حسب الاقتضاء والمطلوب بشكل معقول. يتحمل العميل مسؤولية تقييم المعلومات التي توفرها شركة CM.com وتحديد ما إذا كانت تلبي متطلبات العميل والتزاماته بموجب قوانين حماية البيانات المعمول بها. يوافق العميل على أن المعلومات المقدمة بموجب هذه الاتفاقية يجب أن تعمل على الوفاء بحقوق التدقيق الخاصة بالعميل بموجب قوانين حماية البيانات المعمول بها.
4.7.2 في حالة عدم كفاية المعلومات المقدمة من شركة CM.com لإثبات الامتثال لملحق معالجة البيانات، يحق للعميل تعيين خبير خارجي معتمد مرة واحدة في السنة على الأكثر لتدقيق الإجراءات المتعلقة بمعالجة البيانات للعميل. وستتعاون شركة CM.com مع هذا التدقيق بموجب إخطار كتابي مسبق معقول لا تقل مدته عن عشرة أيام عمل. يعوض العميل شركة CM.com عن أي وقت تقضيه في أي تدقيق من هذا القبيل وفقًا لأسعار الخدمات الاحترافية المطبقة آنذاك لدى شركة CM.com، والتي يجب توفيرها للعميل عند الطلب. قبل بدء أي تدقيق من هذا القبيل، يتفق الطرفان بشكل متبادل على نطاق التدقيق وتوقيته ومدته بالإضافة إلى معدل التعويض الذي يتحمل العميل مسؤوليته.
4.7.3 يحق لشركة CM.com أن تطلب من الخبير الخارجي التوقيع على إقرار السرية لصالح شركة CM.com. يجب أن يحتوي إقرار السرية على الشروط والأحكام المُعتادة لهذا النوع من الإقرار. يجب إتاحة أي تقرير أو بيان يقدمه الخبير الخارجي إلى شركة CM.com. ويجب على العميل التأكد من أن التدقيق يعيق عمليات شركة CM.com بأقل قدر ممكن.
4.8 السجلات
تحتفظ شركة CM.com بسجلات كاملة ودقيقة وحديثة لأنشطة المعالجة التي يتم تنفيذها نيابة عن عملائها.
4.9 الشركات التابعة والمعالجون من الباطن
4.9.1 قد يتم تنفيذ بعض أو كل التزامات شركة CM.com بموجب الاتفاقية من قبل الشركات التابعة لها. وتتحمل شركة CM.com مسؤولية امتثال الشركات التابعة لها للاتفاقية.
4.9.2 يقر العميل ويوافق على أنه (أ) يجوز الاستعانة بالشركات التابعة لشركة CM.com كمعالجين من الباطن؛ و(ب) يجوز لشركة CM.com والشركات التابعة لها على التوالي إشراك معالجين من الباطن تابعين لطرف ثالث فيما يتعلق بتقديم الخدمات. شريطة أن تكون شركة CM.com أو شركة تابعة لها قد أبرمت اتفاقية مكتوبة مع كل معالج من الباطن تحتوي على التزامات حماية بيانات لا تقل حماية عن تلك الواردة في الاتفاقية فيما يتعلق بحماية البيانات الشخصية إلى الحد الذي ينطبق على طبيعة الخدمة التي يقدمها هذا المعالج من الباطن وتحتفظ شركة CM.com بقائمة محدثة بالمعالجين من الباطن. تتوفر قائمة المعالجين من الباطن الحالية لدى شركة CM.com على: www.cm.com/trust-center/privacy/. يجب على شركة CM.com إبلاغ العميل قبل ثلاثين (30) يومًا من أي تغييرات فيما يتعلق بقائمة المعالجين من الباطن. وفي غضون هذا الإطار الزمني، يجوز للعميل الاعتراض على التغيير في قائمة المعالجين من الباطن، شريطة تقديم هذا الاعتراض كتابيًا وبناءً على أسباب معقولة فيما يتعلق بقوانين حماية البيانات المعمول بها. يبذل الطرفان جهدًا بحسن نية لحل اعتراض العميل. إذا لم يتم حل الاعتراض في غضون ثلاثين (30) يومًا، يجوز لأي من الطرفين إنهاء الاتفاقية.
4.9.3 تتحمل شركة CM.com المسؤولية عن كل معالج من المعالجين من الباطن لديها بنفس القدر الذي تكون فيه شركة CM.com مسؤولة عن أداء خدمات كل معالج من الباطن مباشرةً بموجب شروط الاتفاقية.
4.10 إخطار الانتهاك
فيما يتعلق بانتهاك أمان البيانات الشخصية، يجب على شركة CM.com:
(أ) إخطار العميل بانتهاك أمان البيانات الشخصية الذي يشمل شركة CM.com أو مقاول من الباطن دون تأخير غير مبرر (ولكن في موعد لا يتجاوز بأي حال من الأحوال ثماني وأربعين ساعة بعد علمه بانتهاك أمان البيانات الشخصية).
(ب) تقديم التعاون والمساعدة المعقولة للعميل فيما يتعلق بأي إجراء يتم اتخاذه استجابةً لانتهاك أمان البيانات الشخصية بموجب قوانين حماية البيانات المعمول بها، مثل المادة 33(3) و34(3) من اللائحة العامة لحماية البيانات، بما في ذلك ما يتعلق بأي إبلاغ عن انتهاك البيانات الشخصية إلى صاحب البيانات وسلطات حماية البيانات.
ستقوم شركة CM.com على الفور بالتحقيق في انتهاك البيانات الشخصية واتخاذ تدابير معقولة لتحديد سببه (أسبابه) الجذري ومنع تكراره. ونظرًا لأن المعلومات يتم جمعها أو تصبح متاحة بخلاف ذلك، ما لم يكن ذلك محظورًا بموجب القانون، ستقدم شركة CM.com للعميل وصفًا لانتهاك أمان البيانات الشخصية ونوع البيانات التي كانت موضوع انتهاك أمان البيانات الشخصية والمعلومات الأخرى التي قد يطلبها العميل بشكل معقول. يوافق الطرفان على التنسيق بحسن نية بشأن تطوير محتوى أي بيانات عامة ذات صلة أو أي إخطارات مطلوبة لأصحاب البيانات المتأثرين و/أو سلطات حماية البيانات المعنية.
إلى الحد الذي يتطلب فيه إشراك معالج من الباطن بموجب المادة 4.9 آلية نقل عبر الحدود بموجب قوانين حماية البيانات المعمول بها لنقل البيانات الشخصية بشكل قانوني من اختصاص قضائي (أي المنطقة الاقتصادية الأوروبية أو المملكة المتحدة أو أي اختصاص قضائي آخر ذي صلة) إلى طرف ثالث يقع خارج هذا الاختصاص القضائي، تسري الشروط التالية. يفوض العميل شركة CM.com بنقل البيانات الشخصية خارج الاختصاص القضائي الذي تقع فيه شركة CM.com وتم استلام البيانات الشخصية لأول مرة فيه، شريطة أن تضمن شركة CM.com تنفيذ عمليات النقل هذه وفقًا لاتفاقية معالجة البيانات هذه وآلية قانونية لنقل البيانات توفر مستوى كافٍ من الحماية بموجب قوانين حماية البيانات المعمول بها.
يجب على شركة CM.com معالجة البيانات والاحتفاظ بها، بما في ذلك البيانات الشخصية، وفقًا للقانون واللوائح المعمول بها، بما في ذلك على سبيل المثال لا الحصر تشريعات الاتصالات الوطنية وقوانين حماية البيانات المعمول بها. يجب معالجة البيانات، بما في ذلك البيانات الشخصية، المقدمة إلى شركة CM.com وتخزينها وفقًا لسياسة الاحتفاظ بالبيانات الخاصة بشركة CM.com. يتم الاحتفاظ بالبيانات الشخصية لمدة لا تزيد عن المدة اللازمة لتقديم الخدمات بموجب الاتفاقية، للأغراض المنصوص عليها في الاتفاقية وبالقدر المطلوب و/أو المسموح به بموجب القانون المعمول به. يجب على شركة CM.com إلغاء تعريف البيانات أو إزالة المعلومات الشخصية منها وتحويلها إلى بيانات مجهولة الهوية بعد فترة الاحتفاظ المعمول بها. وينتج عن ذلك بيانات لا تتضمن بيانات شخصية أو مُعرّفات فريدة يمكن استخدامها لاحقًا للإشارة إلى البيانات الشخصية التي كانت مرتبطة بها ذات مرة.
7.1 طبيعة المعالجة والغرض منها
ستقوم شركة CM.com بمعالجة البيانات الشخصية حسب الضرورة لأداء الخدمات وفقًا للاتفاقية، كما هو محدد بمزيدٍ من التفصيل في الاتفاقية، ووفقًا لتعليمات العميل الأخرى في نطاق الاتفاقية.
7.2 مدة المعالجة
ستقوم شركة CM.com بمعالجة البيانات الشخصية طوال مدة الاتفاقية ووفقًا للبند 6 من ملحق معالجة البيانات.
7.3 فئات أصحاب البيانات
يجوز للعميل إرسال البيانات إلى شركة CM.com عند استخدام الخدمة، والتي يحدد العميل محتواها ويتحكم فيه وفقًا لتقديره الخاص، والتي قد تشمل، على سبيل المثال لا الحصر، البيانات الشخصية المتعلقة بفئات أصحاب البيانات المدرجة في الملحق 1.
7.4 نوع البيانات الشخصية يجوز للعميل تقديم البيانات الشخصية إلى الخدمات، والتي يحدد العميل نطاقها ويتحكم فيها وفقًا لتقديره الخاص، والتي قد تشمل، على سبيل المثال لا الحصر، فئات البيانات الشخصية المدرجة في الملحق 1.
الملحق 1: وصف أصحاب البيانات وفئات البيانات الشخصية:
أصحاب البيانات: Conversational AI Cloud Conversational Channels
Customer Data Platform Mobile Marketing Cloud Mobile Service Cloud Payments Platform Sign SMS • العملاء (المحتملون) (الأشخاص الطبيعيون) للعميل أو عملائه. • الموظفون أو المقاولون أو المستشارون أو الموظفون المستقلون أو الأشخاص الذين يعينهم (عملاء) العميل. • الاتصال بالأشخاص المحتملين والعملاء وشركاء الأعمال لدى العميل. • مستخدمو العميل المصرح لهم من قبل العميل باستخدام الخدمات. Ticketing Voice فئات البيانات الشخصية: Conversational AI Cloud Conversational Channels Customer Data Platform Mobile Marketing Cloud Mobile Service Cloud Payments Platform Sign SMS Ticketing Voice