تخطي إلى المحتوى

Exabeam Confronts AI Insider Threats Extending Behavior Detection and Response to OpenAI ChatGPT and Microsoft Copilot — Read the Release.

احصل على عرض توضيحي

سياسة أمان البيانات لشركة Exabeam

فيما يتعلق بالمنتج، وخدمات البرمجيات كخدمة و/أو خدمات الدعم ("الحلول"), تتوقع الأطراف أن تقوم EXABEAM، وعند الاقتضاء، مقاولوها من الباطن، بمعالجة بعض البيانات الشخصية من وقت لآخر، والتي قد تكون CUSTOMER، أو الشركات التابعة لها، أو عملاء CUSTOMER أو الشركات التابعة لها، متحكمين فيها بموجب تشريعات حماية البيانات (كما هو معرف أدناه). تتفق EXABEAM وCUSTOMER على شروط سياسة أمان البيانات هذه ("السياسة") لضمان وضع تدابير كافية لحماية هذه البيانات الشخصية كما هو مطلوب بموجب تشريعات حماية البيانات.

1. التعريفات

ما لم يتم تعريفه خلاف ذلك هنا، فإن المصطلحات التي تبدأ بحرف كبير المستخدمة في هذه السياسة يجب أن تحمل نفس المعنى كما هو محدد في الاتفاقية.

1.1 "الدولة الكافية" تعني دولة أو إقليم يتم التعرف عليه بموجب تشريعات حماية البيانات من وقت لآخر على أنه يوفر حماية كافية للبيانات الشخصية.

1.2 "الملحق" يعني كيان يتحكم بشكل مباشر أو غير مباشر، أو يتم التحكم فيه، أو تحت السيطرة المشتركة مع طرف. لأغراض هذه السياسة، تعني "السيطرة" الملكية أو السيطرة، بشكل مباشر أو غير مباشر، على الأقل خمسين في المئة (50%) أو أكثر من جميع الأسهم القابلة للتصويت (أو الأوراق المالية أو الحقوق الأخرى) التي يحق لها التصويت لانتخاب المديرين أو أي سلطة حاكمة أخرى.

1.3 "CCPA" تعني قانون خصوصية المستهلك في كاليفورنيا لعام 2018.

1.4 "تشريعات حماية البيانات" تعني جميع قوانين الخصوصية واللوائح المعمول بها على أي البيانات الشخصية يتم معالجتها بموجب أو فيما يتعلق بهذه الاتفاقية، بما في ذلك على سبيل المثال لا الحصر، توجيه حماية البيانات 95/46/EC (كما قد يتم استبداله بـ GDPR، وتوجيه الخصوصية والاتصالات الإلكترونية 2002/58/EC، وCCPA، وجميع التشريعات الوطنية التي تنفذ أو تكمل ما سبق.

1.5 "GDPR" تعني اللائحة (الاتحاد الأوروبي) 2016/679 للبرلمان الأوروبي ومجلس 27 أبريل 2016 بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وبشأن الحركة الحرة لهذه البيانات، وإلغاء التوجيه 95/46/EC (اللائحة العامة لحماية البيانات).

1.6 "البيانات الشخصية" تعني جميع البيانات التي يتم تعريفها على أنها 'البيانات الشخصية' في تشريعات حماية البيانات والتي يتم تقديمها بشكل مباشر أو غير مباشر من قبل العميل إلى إكزبيم، أو التي يتم الوصول إليها أو تخزينها أو معالجتها بطريقة أخرى من قبل إكزبيم أو معالجيها الفرعيين (حسب الاقتضاء) لأغراض تقديم الحل للعميل.

1.7 "المعالجة"، "التحكم في البيانات"، "معالج البيانات"، "موضوع البيانات" و"السلطة الإشرافية" سيكون لها المعاني المنسوبة إليها في تشريعات حماية البيانات.

1.8 "بنود تعاقدية قياسية / SCC" تعني وثيقة البنود التعاقدية القياسية المرفقة كملحق 1.

2. معالجة البيانات

2.1 نطاق وأدوار الأطراف. تعترف الأطراف وتوافق على أنه فيما يتعلق بمعالجة البيانات الشخصية، فإن العميل هو المتحكم في البيانات، وEXABEAM هو معالج البيانات، وأن EXABEAM قد تشرك معالجي بيانات فرعيين وفقًا للمتطلبات المنصوص عليها في القسم 7 أدناه.

2.2 الامتثال للقوانين. سيلتزم كل طرف بجميع القوانين والقواعد واللوائح المعمول بها والملزمة له في تنفيذ التزاماته بموجب هذه السياسة، بما في ذلك تشريعات حماية البيانات.

2.3 تعليمات المعالجة. ستقوم EXABEAM بمعالجة البيانات الشخصية وفقًا للاتفاقية السارية بين EXABEAM والعميل ("الاتفاقية") ومع التعليمات المكتوبة المعقولة للعميل، حيث تكون هذه التعليمات متوافقة مع شروط الاتفاقية وهذه السياسة. قد تستخدم EXABEAM أيضًا البيانات الشخصية للعميل خلال فترة الاشتراك لدعم عروض المنتجات، ولإصلاح الأخطاء، والتحقق من نمذجة البيانات. بين الطرفين، سيكون العميل مسؤولاً وحده عن دقة وجودة وشرعية البيانات الشخصية والوسائل التي حصل بها العميل على البيانات الشخصية.

2.4 قانون خصوصية المستهلك في كاليفورنيا. قد تتضمن الحلول معالجة EXABEAM للمعلومات نيابة عن العميل، و/أو قد يقوم العميل بالكشف عن المعلومات الشخصية، كما هو معرف في CCPA، إلى EXABEAM كمزود خدمة لغرض تنفيذ الحل بموجب الاتفاقية. إلى الحد الذي تقوم فيه EXABEAM بمعالجة المعلومات الشخصية لسكان كاليفورنيا نيابة عن العميل كما هو موضح في الاتفاقية، يجب على EXABEAM الامتثال للأحكام المعمول بها من CCPA. توافق EXABEAM على أنها لن:

(1) الاحتفاظ بالمعلومات الشخصية أو استخدامها أو الإفصاح عنها لأي غرض آخر غير الغرض المحدد لأداء الحقوق والالتزامات المنصوص عليها في الاتفاقية، أو كما يسمح به قانون حماية خصوصية المستهلك في كاليفورنيا (CCPA)؛

(2) الاحتفاظ بالمعلومات الشخصية أو استخدامها أو الكشف عنها لأغراض تجارية غير تقديم الحل أو كما هو موضح في الاتفاقية؛

(3) بيع مثل هذه المعلومات الشخصية؛ أو

(4) الاحتفاظ بالمعلومات الشخصية أو استخدامها أو الكشف عنها خارج العلاقة التجارية المباشرة بين EXABEAM والعميل.

تفهم شركة EXABEAM متطلبات قانون حماية خصوصية المستهلك في كاليفورنيا (CCPA) وستلتزم بها. ستقوم EXABEAM بتنفيذ تدابير أمنية معقولة لحماية المعلومات الشخصية التي بحوزتها. علاوة على ذلك، ستساعد EXABEAM العميل بشكل معقول في الوفاء بالتزامات العميل بموجب CCPA، والتي قد تشمل تلبية طلبات الحذف القابلة للتحقق ومساعدة في طلبات الوصول القابلة للتحقق من خلال توفير الوصول إلى المعلومات الشخصية التي تحتفظ بها EXABEAM بصيغة متفق عليها بين الطرفين. يتفق الطرفان على أن لا شيء في هذه الاتفاقية أو الحل يتضمن "بيع" أو "صفقة" للمعلومات الشخصية بموجب قانون كاليفورنيا المدني §1798.140(t)(1). جميع المصطلحات في هذا القسم التي لم يتم تعريفها بخلاف ذلك في هذه الاتفاقية ستأخذ المعنى المنسوب إلى تلك المصطلحات بموجب CCPA. ولتجنب الشك، لا ينطبق هذا القسم على المعلومات المعفاة من تطبيق CCPA.

3. نقل البيانات

3.1 يعترف العميل بأن تقديم الحل بموجب الاتفاق قد يتطلب معالجة البيانات الشخصية من قبل المعالجات الفرعية في دول خارج المنطقة الاقتصادية الأوروبية (EEA) من وقت لآخر.

3.2 إلى الحد الذي تتم فيه أي معالجة البيانات الشخصية بواسطة EXABEAM أو المعالج الفرعي المختص بها (والذي قد يشمل، دون حصر، أي شركات تابعة)، دون الإخلال بالقسم 7، في أي بلد خارج المنطقة الاقتصادية الأوروبية، يتفق الطرفان على أنه سيضمن وجود آلية لتحقيق الكفاية فيما يتعلق بهذه المعالجة مثل: (أ) ستكون الدولة دولة مناسبة: (ب) ستطبق الشروط التعاقدية القياسية فيما يتعلق بهذه المعالجة وستلتزم EXABEAM بالتزامات "مستورد البيانات" في الشروط التعاقدية القياسية وسيلتزم العميل بالتزامات "مصدر البيانات"، أو بالنسبة للمعالجين الفرعيين، ستنفذ EXABEAM الشروط التعاقدية القياسية المعتمدة من قبل سلطات الاتحاد الأوروبي بموجب تشريعات حماية البيانات؛ أو (ب) أي ضمانة أخرى معتمدة على وجه التحديد لنقل البيانات (كما هو معترف به بموجب تشريعات حماية البيانات) و/أو إيجاد المفوضية الأوروبية للكفاية.

4. الأمن؛ التدقيقات

4.1 الأمان. ستحافظ EXABEAM على الضمانات الفنية والتنظيمية المناسبة ضد المعالجة غير المصرح بها وغير القانونية البيانات الشخصية، وضد الفقدان أو التدمير العرضي لبيانات العميل أو إتلافها. يجب على EXABEAM تقديم مساعدة معقولة تجاريًا حسب طلب العميل المعقول (مع مراعاة طبيعة المعالجة والمعلومات المتاحة لـ EXABEAM) للعميل فيما يتعلق بما يلي: (أ) التزامات العميل بموجب تشريعات حماية البيانات فيما يتعلق بتقييمات تأثير حماية البيانات (كما هو محدد في اللائحة العامة لحماية البيانات)؛ (ب) الإخطارات إلى السلطة الإشرافية و/أو الاتصالات مع أصحاب البيانات من قبل العميل استجابة لأي حادث أمني (كما هو محدد أدناه)؛ و(ج) امتثال العميل لالتزاماته بموجب اللائحة العامة لحماية البيانات فيما يتعلق بأمان المعالجة. يوافق العميل على دفع رسوم EXABEAM لتقديم هذه المساعدة، وفقًا للمعدلات القياسية التي تقدمها EXABEAM للعميل.

4.2 الشهادات. تستخدم EXABEAM مدققين خارجيين للتحقق من كفاية تدابير الأمان الخاصة بها. سيتم إجراء هذا التدقيق: (i) على الأقل سنويًا؛ (ii) وفقًا لمبادئ خدمات الثقة (SOC) 2 أو أي معايير مماثلة أخرى؛ و (iii) بواسطة طرف ثالث مستقل يتم اختياره على نفقة EXABEAM.

4.3 إجراء التدقيق. يجب على EXABEAM تقديم التعاون والمساعدة المعقولة للعميل و/أو مدققي حساباته للسماح للعميل بالامتثال للمتطلبات المعمول بها بموجب تشريعات حماية البيانات. لكي يمارس العميل حقه في التدقيق بموجب تشريعات حماية البيانات، ستقوم EXABEAM بتقديم، عند الطلب: (i) تقرير تدقيق لا يزيد عمره عن 18 شهرًا من مدقق خارجي مسجل ومستقل يوضح أن التدابير الفنية والتنظيمية لـ EXABEAM كافية ومتوافقة مع معيار تدقيق صناعي مقبول مثل ISO 27001 أو SOC2؛ و (ii) معلومات إضافية بحوزة أو تحت سيطرة EXABEAM تتعلق بأنشطة معالجة البيانات التي تقوم بها EXABEAM بموجب هذه السياسة، حسبما تتطلبه وتطلبه سلطة إشرافية في الاتحاد الأوروبي. باستثناء ما يتم طلبه بخلاف ذلك من قبل سلطة إشرافية، يجب أن تقتصر أي تدقيقات مطلوبة بموجب SCC على مرة واحدة سنويًا كحد أقصى، ويجب أن يتم الاتفاق على نطاق وتوقيت هذا التدقيق بشكل متبادل بين الأطراف.

4.4. السجلات. تلتزم شركة EXABEAM، وفقًا لما تقتضيه تشريعات حماية البيانات، بتزويد العميل بالمعلومات التي بحوزتها أو تحت سيطرتها، والتي قد يطلبها العميل بشكل معقول لإثبات امتثالها لالتزامات معالجي البيانات بموجب تشريعات حماية البيانات فيما يتعلق بمعالجتها البيانات الشخصية.

4.5 الحذف. بمجرد أن يكون ذلك عمليًا بشكل معقول، وفي جميع الأحوال خلال تسعين (90) يومًا من إنهاء أو انتهاء الاتفاقية أو أي فترة اشتراك سارية بموجبها، ستقوم EXABEAM بحذف جميع البيانات الشخصية للعميل (بما في ذلك النسخ منها) التي تمت معالجتها وفقًا لهذه السياسة.

5. إشعار الخرق

تحافظ EXABEAM على سياسات وإجراءات استجابة الحوادث الأمنية، ويجب عليها، بالقدر الذي يسمح به القانون: (i) إبلاغ العميل على الفور، ودون تأخير غير مبرر، عند علمها بأي خرق أمني يؤدي إلى التدمير العرضي أو غير القانوني، أو الفقدان، أو التغيير، أو الكشف غير المصرح به، أو الوصول إلى البيانات الشخصية المرسلة أو المخزنة أو المعالجة بطرق أخرى من قبل EXABEAM ("حادثة أمنية"); (ii) مع الأخذ في الاعتبار طبيعة المعالجة والمعلومات المتاحة لـ EXABEAM في الوقت الذي أصبحت فيه على علم بالحادثة الأمنية، اتخاذ خطوات معقولة للتخفيف من الآثار وتقليل أي ضرر ناتج عن الحادثة الأمنية؛ و (iii) تقديم التعاون والمساعدة التجارية المعقولة خلال مثل هذه التحقيقات لمعالجة هذه الحادثة.

6. موظفو إكزبيم

6.1 ستضمن EXABEAM أن يتم إبلاغ موظفيها المعنيين بمعالجة البيانات الشخصية بطبيعة البيانات الشخصية السرية، وأنهم قد تلقوا التدريب المناسب بشأن مسؤولياتهم، وأنهم قد وقعوا على اتفاقيات سرية مكتوبة.

6.2 ستضمن EXABEAM أن يكون الوصول إلى البيانات الشخصية محدودًا على الأفراد المعنيين بتقديم الحل ووفقًا لسياسة أمان المعلومات الخاصة بـ Exabeam.

6.3 ستتخذ EXABEAM خطوات معقولة تجارياً لضمان موثوقية أي من موظفي EXABEAM المشاركين في معالجة البيانات الشخصية.

6.4 لقد عينت EXABEAM ضابط حماية البيانات وفريق الحوكمة الذي يمكن الوصول إليه على: [email protected]

7. المعالجات الفرعية

7.1 التعاقد من الباطن. يمنح العميل تفويضًا عامًا لشركة إكزبيم لتعيين معالجي بيانات فرعيين، ومشغلي مراكز بيانات من طرف ثالث، ومقدمي خدمات ودعم خارجيين للوفاء بالتزاماتها التعاقدية بموجب هذه السياسة.

7.2 التزامات المعالج الفرعي. ستضمن EXABEAM أن أي معالج فرعي تشركه لتقديم الحل نيابة عنها فيما يتعلق بالاتفاقية: (i) يصل إلى بيانات العميل فقط بالقدر اللازم للوفاء بحقوق والتزامات EXABEAM المنصوص عليها في الاتفاقية أو هذه السياسة وليس لأي غرض آخر؛ و (ii) يدخل في عقد مكتوب يفرض على هذا المعالج الفرعي التزامات تعاقدية مناسبة وذات صلة، بما في ذلك تلك المتعلقة بالسرية، وحماية البيانات، وأمن البيانات، وحقوق التدقيق؛ يجب أن تكون هذه الالتزامات بشكل أساسي بنفس مستوى حماية البيانات الشخصية كما هو مفروض على EXABEAM في هذه السياسة. ستكون EXABEAM مسؤولة عن امتثالها لهذه السياسة وأي أفعال أو إغفالات من المعالج الفرعي تؤدي إلى انتهاك أي من التزامات EXABEAM بموجب هذه السياسة.

7.3 الاعتراض على المعالجات الفرعية الجديدة. ستحتفظ EXABEAM بقائمة من المعالجات الفرعية الحالية المتاحة على https://community.exabeam.com/s/subprocessors. إذا قامت EXABEAM، بعد تاريخ سريان الاتفاق، بتوظيف معالجات فرعية جديدة أو بديلة، فسيتم إضافة هذه المعالجات الفرعية إلى القائمة قبل بدءها في معالجة البيانات الشخصية. إذا كان لدى العميل اعتراض معقول على أي معالج فرعي جديد أو بديل، يجب عليه إبلاغ EXABEAM بهذه الاعتراضات كتابيًا، وستسعى الأطراف لحل المسألة بحسن نية. إذا كانت EXABEAM قادرة على تقديم الحل للعميل وفقًا للاتفاق دون استخدام المعالج الفرعي وقررت من تلقاء نفسها القيام بذلك، فلن يكون للعميل أي حقوق إضافية بموجب هذا القسم 7.3 فيما يتعلق بالاستخدام المقترح للمعالج الفرعي. إذا لم تتمكن EXABEAM من تجنب استخدام المعالج الفرعي بشكل معقول ولم تتمكن من إرضاء العميل بشأن ملاءمة المعالج الفرعي أو الوثائق والحمايات المتاحة بين EXABEAM والمعالج الفرعي، فيمكن لأي من الطرفين السعي للحصول على بدائل للحل.

8. طلبات الأفراد المتعلقة بالبيانات؛ الحذف

حيثما كان ذلك مطلوبًا بموجب تشريعات حماية البيانات، يجب على EXABEAM إبلاغ العميل على الفور إذا تلقت طلبًا من شخص معني للوصول إلى، أو تصحيح، أو حذف بياناته الشخصية، أو إذا اعترض الشخص المعني على معالجة، أو قدم طلب نقل بيانات فيما يتعلق بتلك البيانات الشخصية (معًا، "طلب الشخص المعني"). يجب على EXABEAM تقديم جهود تجارية معقولة لمساعدة العميل في الرد على طلب الشخص المعني، شريطة أن يكون العميل قد وجه EXABEAM للقيام بذلك. لن تستجيب EXABEAM بشكل مستقل لطلبات من المستخدمين النهائيين للعميل دون موافقة خطية مسبقة من العميل، باستثناء تأكيد أن الطلب يتعلق بالعميل. إلى الحد الذي لا يستطيع فيه العميل معالجة طلب الشخص المعني، يجب على EXABEAM، بناءً على طلب العميل، تقديم المساعدة المعقولة لتسهيل الرد على مثل هذا الطلب. يوافق العميل على دفع الرسوم المطبقة لـ EXABEAM مقابل تقديم هذه المساعدة، وفقًا لمعدلات EXABEAM القياسية المقدمة من EXABEAM للعميل.

9. عام

9.1 التفسير. باستثناء ما تم تعديله بموجب هذه السياسة، ستظل الاتفاقية سارية المفعول بالكامل. إذا كان هناك تعارض بين الاتفاقية وهذه السياسة، فستطبق هذه السياسة بقدر ما يتعلق الموضوع بمعالجة البيانات الشخصية.

9.2 قابلية الفصل. إذا تم اعتبار أي بند من هذه السياسة غير قابل للتنفيذ من قبل محكمة ذات اختصاص، فسيتم فصله، وستظل بقية الشروط سارية المفعول.

9.3 القانون الحاكم والاختصاص القضائي. هذه السياسة تخضع لقانون الاتفاق.

الجدول 1
البنود التعاقدية القياسية

البنود التعاقدية القياسية (المعالجات)

لأغراض المادة 26(2) من التوجيه 95/46/EC لنقل البيانات الشخصية إلى المعالجات الموجودة في دول ثالثة لا تضمن مستوى كافٍ من حماية البيانات.

الكيان المحدد في الاتفاقية كمرخص له بالحل (مصدّر البيانات)

وEXABEAM (مستورد البيانات)

كل منهما 'طرف'؛ معًا 'الأطراف'.

لقد تم الاتفاق على البنود التعاقدية التالية (البنود) من أجل توفير ضمانات كافية فيما يتعلق بحماية الخصوصية والحقوق والحريات الأساسية للأفراد عند نقل البيانات الشخصية المحددة في الملحق 1 من قبل مصدر البيانات إلى مستورد البيانات.

البند 1: التعريفات.

لأغراض البنود:

1.1 ‘البيانات الشخصية’، ‘فئات خاصة من البيانات’، ‘العملية/المعالجة’، ‘التحكم’، ‘المعالج’، ‘موضوع البيانات’ و ‘السلطة الإشرافية’ يجب أن تحمل نفس المعنى كما هو وارد في التوجيه 95/46/EC للبرلمان الأوروبي والمجلس بتاريخ 24 أكتوبر 1995 بشأن حماية الأفراد فيما يتعلق بمعالجة البيانات الشخصية وبشأن حرية حركة هذه البيانات؛

1.2 "مصدّر البيانات" يعني المتحكم الذي ينقل البيانات الشخصية؛

1.3 "مستورد البيانات" يعني المعالج الذي يوافق على استلام البيانات الشخصية من مصدر البيانات بغرض المعالجة نيابة عنه بعد النقل وفقًا لتعليماته وشروط البنود والذي لا يخضع لنظام دولة ثالثة يضمن حماية كافية ضمن معنى المادة 25(1) من التوجيه 95/46/EC;

1.4 "المعالج الفرعي" يعني أي معالج يتم التعاقد معه من قبل مستورد البيانات أو من قبل أي معالج فرعي آخر لمستورد البيانات الذي يوافق على استلام البيانات الشخصية حصريًا لأغراض المعالجة التي ستتم نيابة عن مصدر البيانات بعد النقل وفقًا لتعليماته، وشروط البنود، وشروط أي عقد مكتوب قابل للتطبيق؛

1.5 "قانون حماية البيانات المعمول به" يعني التشريع الذي يحمي الحقوق والحريات الأساسية للأفراد، وبشكل خاص حقهم في الخصوصية فيما يتعلق بمعالجة البيانات الشخصية المعمول بها على مراقب البيانات في الدولة العضو التي تم تأسيس المصدر البيانات فيها؛

1.6 "التدابير الأمنية الفنية والتنظيمية" تعني تلك التدابير التي تهدف إلى حماية البيانات الشخصية من التدمير العرضي أو غير القانوني أو الفقدان العرضي، أو التغيير، أو الكشف أو الوصول غير المصرح به، وخاصة عندما تتضمن المعالجة نقل البيانات عبر شبكة، وضد جميع أشكال المعالجة غير القانونية الأخرى.

البند 2 تفاصيل النقل.

تفاصيل النقل، وبشكل خاص الفئات المحددة من البيانات الشخصية، حيثما ينطبق ذلك، موضحة في الملحق 1، الذي يشكل جزءًا لا يتجزأ من الشروط.

البند 3: بند المستفيد من طرف ثالث

3.1 يمكن لموضوع البيانات فرض هذا البند، والبند 4.2 إلى 4.10، والبند 5.1 إلى 5.5، و5.7 إلى 5.10، والبند 6.1 و6.2، والبند 7، والبند 8.2، والبنود 9 إلى 12 على المصدر كطرف ثالث مستفيد.

3.2 يمكن لموضوع البيانات تطبيق هذه الفقرة، الفقرات 5.1 إلى 5.5 و5.7، الفقرة 6، الفقرة 7، الفقرة 8.2، والفقرات 9 إلى 12، في الحالات التي اختفى فيها المصدر البيانات فعليًا أو توقف عن الوجود قانونيًا ما لم تكن أي كيان خلف قد تولى جميع الالتزامات القانونية للمصدر البيانات بموجب عقد أو بموجب القانون، ونتيجة لذلك يتولى حقوق والتزامات المصدر البيانات، وفي هذه الحالة يمكن لموضوع البيانات تطبيقها ضد هذا الكيان.

3.3 يمكن لموضوع البيانات فرض هذه الفقرة، الفقرات 5.1 إلى 5.5 و5.7، الفقرة 6، الفقرة 7، الفقرة 8.2، والفقرات 9 إلى 12، في الحالات التي اختفى فيها المصدر والمستورد للبيانات فعليًا أو توقفا عن الوجود قانونيًا أو أصبحا معسرين، ما لم يكن أي كيان خلف قد تولى الالتزامات القانونية الكاملة للمصدر للبيانات بموجب عقد أو بموجب أحكام القانون، مما يترتب عليه تولي الحقوق والالتزامات للمصدر للبيانات، وفي هذه الحالة يمكن لموضوع البيانات فرضها ضد هذا الكيان. يجب أن تقتصر المسؤولية تجاه الطرف الثالث للمعالج الفرعي على عمليات المعالجة الخاصة به بموجب الفقرات.

3.4 لا تعترض الأطراف على تمثيل موضوع البيانات من قبل جمعية أو هيئة أخرى إذا كان موضوع البيانات يرغب في ذلك بشكل صريح وإذا كان ذلك مسموحًا به بموجب القانون الوطني.

البند 4: التزامات مصدر البيانات

يوافق مصدر البيانات ويضمن:

4.1 أن معالجة البيانات، بما في ذلك النقل نفسه، للبيانات الشخصية قد تمت وستستمر في أن تتم وفقًا للأحكام ذات الصلة من قانون حماية البيانات المعمول به (وعند الاقتضاء، تم إبلاغ السلطات المعنية في دولة العضو التي تم تأسيس مصدر البيانات فيها) ولا تنتهك الأحكام ذات الصلة في تلك الدولة؛

4.2 أنه قد وجه وخلال مدة خدمات معالجة البيانات الشخصية سيقوم بتوجيه مستورد البيانات لمعالجة البيانات الشخصية المنقولة فقط نيابة عن مصدر البيانات ووفقًا لقانون حماية البيانات المعمول به والبنود؛

4.3 أن يقدم مستورد البيانات ضمانات كافية فيما يتعلق بتدابيره الأمنية التقنية والتنظيمية;

4.4 أنه بعد تقييم متطلبات قانون حماية البيانات المعمول به، فإن التدابير الأمنية مناسبة لحماية البيانات الشخصية من التدمير العرضي أو غير القانوني أو الفقدان العرضي، أو التغيير، أو الكشف أو الوصول غير المصرح به، لا سيما عندما تتضمن المعالجة نقل البيانات عبر شبكة، وضد جميع أشكال المعالجة غير القانونية الأخرى، وأن هذه التدابير تضمن مستوى من الأمان مناسب للمخاطر التي تقدمها المعالجة وطبيعة البيانات التي يجب حمايتها مع مراعاة أحدث التقنيات وتكلفة تنفيذها;

4.5 أنها ستضمن الامتثال للتدابير الأمنية;

4.6 إذا كان النقل يتضمن فئات خاصة من البيانات، يجب أن يتم إبلاغ الشخص المعني أو سيتم إبلاغه قبل، أو في أقرب وقت ممكن بعد، النقل بأن بياناته قد تُنقل إلى دولة ثالثة لا توفر حماية كافية بالمعنى الوارد في التوجيه 95/46/EC;

4.7 إرسال أي إشعار تم استلامه من مستورد البيانات أو أي معالج فرعي وفقًا للبند 5.2 والبند 8.3 إلى سلطة حماية البيانات إذا قرر المصدر البيانات الاستمرار في النقل أو رفع التعليق;

4.8 لتوفير نسخة من البنود ووصف ملخص للتدابير الأمنية عند الطلب، بالإضافة إلى نسخة من أي عقد لخدمات المعالجة الفرعية التي يجب أن تتم وفقًا للبنود، ما لم تحتوي البنود أو العقد على معلومات تجارية، وفي هذه الحالة يمكن إزالة هذه المعلومات؛

4.9 أنه، في حالة المعالجة الفرعية، يتم تنفيذ نشاط المعالجة وفقًا للبند 11 من قبل معالج فرعي يوفر على الأقل نفس مستوى الحماية للبيانات الشخصية وحقوق موضوع البيانات كما هو الحال مع مستورد البيانات بموجب البنود؛ و

4.10 أنه سيضمن الامتثال للبند 4.1 إلى 4.9.

البند 5: التزامات المستورد للبيانات

يوافق مستورد البيانات ويضمن:

5.1 لمعالجة البيانات الشخصية فقط نيابة عن مصدر البيانات ووفقًا لتعليماته والبنود؛ إذا لم يكن قادرًا على تقديم هذا الامتثال لأي سبب من الأسباب، فإنه يوافق على إبلاغ مصدر البيانات بسرعة بعدم قدرته على الامتثال، وفي هذه الحالة يحق لمصدر البيانات تعليق نقل البيانات و/أو إنهاء العقد;

5.2 أنه ليس لديه سبب للاعتقاد بأن التشريعات المعمول بها تمنعه من الوفاء بالتعليمات التي تلقاها من مصدر البيانات وواجباته بموجب العقد، وأنه في حال حدوث تغيير في هذه التشريعات من المحتمل أن يكون له تأثير سلبي كبير على الضمانات والالتزامات المنصوص عليها في البنود، فإنه سيقوم بإخطار مصدر البيانات بالتغيير على الفور بمجرد أن يصبح على علم بذلك، وفي هذه الحالة يحق لمصدر البيانات تعليق نقل البيانات و/أو إنهاء العقد؛

5.3 أنه قد نفذ التدابير الأمنية التقنية والتنظيمية وفقًا للملحق 2 قبل معالجة البيانات الشخصية المنقولة;

5.4 أنه سيقوم بإخطار مصدر البيانات على الفور بشأن: (i) أي طلب ملزم قانونًا لكشف البيانات الشخصية من قبل سلطة إنفاذ القانون ما لم يُحظر خلاف ذلك، مثل الحظر بموجب القانون الجنائي للحفاظ على سرية التحقيقات في إنفاذ القانون؛ (ii) أي وصول عرضي أو غير مصرح به؛ و (iii) أي طلب تم استلامه مباشرة من الأفراد المعنيين دون الرد على ذلك الطلب، ما لم يتم تفويضه للقيام بذلك؛

5.5 التعامل بسرعة وبشكل صحيح مع جميع الاستفسارات من مصدر البيانات المتعلقة بمعالجة البيانات الشخصية التي تخضع للنقل والامتثال لنصائح السلطة الإشرافية بشأن معالجة البيانات المنقولة;

5.6 في حال طلب مصدر البيانات كما هو مطلوب من قبل السلطة الإشرافية، تقديم مرافق معالجة البيانات الخاصة به لتدقيق أنشطة المعالجة التي تغطيها البنود، والتي يجب أن تتم بواسطة مصدر البيانات أو هيئة تفتيش تتكون من أعضاء مستقلين وتتمتع بالمؤهلات المهنية المطلوبة، ملزمة بواجب السرية، يتم اختيارها من قبل مصدر البيانات، عند الاقتضاء، بالتنسيق مع السلطة الإشرافية;

5.7 توفير نسخة من البنود، أو أي عقد موجود لمعالجة البيانات عند الطلب لموضوع البيانات، ما لم تحتوي البنود أو العقد على معلومات تجارية، وفي هذه الحالة يمكنه إزالة تلك المعلومات التجارية، باستثناء الملحق 2، الذي سيتم استبداله بوصف ملخص للتدابير الأمنية في تلك الحالات التي لا يستطيع فيها موضوع البيانات الحصول على نسخة من المصدر؛

5.8 أنه، في حالة المعالجة الفرعية، قد أبلغ مصدر البيانات وحصل على موافقته الكتابية المسبقة؛

5.9 أن خدمات المعالجة من قبل المعالج الفرعي ستتم وفقًا للبند 11;

5.10 إرسال نسخة من أي اتفاقية مع معالج فرعي يبرمها بموجب البنود إلى مصدر البيانات عند الطلب.

البند 6: المسؤولية

6.1 توافق الأطراف على أن أي شخص معني، تعرض لضرر نتيجة أي خرق للالتزامات المشار إليها في البند 3 أو في البند 11 من قبل أي طرف أو معالج فرعي، له الحق في الحصول على تعويض من مصدر البيانات عن الضرر الذي تعرض له.

6.2 إذا لم يكن بإمكان موضوع البيانات تقديم مطالبة بالتعويض وفقًا للبند 6.1 ضد مصدر البيانات، الناشئة عن خرق من قبل المستورد للبيانات أو معالجه الفرعي لأي من التزاماته المشار إليها في البند 3 أو في البند 11، لأن مصدر البيانات قد اختفى فعليًا أو توقف عن الوجود قانونيًا أو أصبح معسرًا، يوافق المستورد للبيانات على أن موضوع البيانات يمكنه تقديم مطالبة ضد المستورد للبيانات كما لو كان هو مصدر البيانات، ما لم تكن أي كيان خلف قد تولت جميع الالتزامات القانونية لمصدر البيانات بموجب عقد أو بموجب القانون، وفي هذه الحالة يمكن لموضوع البيانات إنفاذ حقوقه ضد هذا الكيان. لا يجوز للمستورد للبيانات الاعتماد على خرق من قبل معالج فرعي لالتزاماته من أجل التهرب من مسؤولياته الخاصة.

6.3 إذا لم يكن موضوع البيانات قادرًا على تقديم دعوى ضد المصدر أو المستورد للبيانات المشار إليهما في 6.1 و 6.2، الناشئة عن خرق من قبل المعالج الفرعي لأي من التزاماته المشار إليها في البند 3 أو في البند 11 لأن كلا من المصدر والمستورد للبيانات قد اختفيا فعليًا أو توقفا عن الوجود قانونيًا أو أصبحا معسرين، يوافق المعالج الفرعي على أن موضوع البيانات يمكنه تقديم دعوى ضد المعالج الفرعي للبيانات فيما يتعلق بعملياته الخاصة بالمعالجة بموجب البنود كما لو كان هو المصدر أو المستورد للبيانات، ما لم يكن أي كيان خلف قد تولى جميع الالتزامات القانونية للمصدر أو المستورد للبيانات بموجب عقد أو بموجب أحكام القانون، وفي هذه الحالة يمكن لموضوع البيانات إنفاذ حقوقه ضد هذا الكيان. ستكون مسؤولية المعالج الفرعي محدودة لعملياته الخاصة بالمعالجة بموجب البنود.

البند 7: الوساطة والاختصاص القضائي

7.1 يوافق مستورد البيانات على أنه إذا قام موضوع البيانات بالاستناد إلى حقوق الأطراف الثالثة و/أو المطالبة بالتعويض عن الأضرار بموجب البنود، فإن مستورد البيانات سيقبل قرار موضوع البيانات: (i) بإحالة النزاع إلى الوساطة من قبل شخص مستقل أو، عند الاقتضاء، من قبل السلطة الإشرافية؛ أو (ii) بإحالة النزاع إلى المحاكم في الدولة العضو التي تم تأسيس مُصدِّر البيانات فيها.

7.2 تتفق الأطراف على أن الاختيار الذي يقوم به الشخص المعني بالبيانات لن يضر بحقوقه الجوهرية أو الإجرائية في السعي للحصول على تعويضات وفقًا لأحكام أخرى من القانون الوطني أو الدولي.

البند 8 التعاون مع السلطات الإشرافية

8.1 يوافق مصدر البيانات على إيداع نسخة من هذا العقد لدى السلطة الإشرافية إذا طلبت ذلك أو إذا كان هذا الإيداع مطلوبًا بموجب قانون حماية البيانات المعمول به.

8.2 توافق الأطراف على أن الهيئة المشرفة لها الحق في إجراء تدقيق على مستورد البيانات، وأي معالج فرعي، والذي له نفس النطاق ويخضع لنفس الشروط التي ستطبق على تدقيق المصدر البيانات بموجب قانون حماية البيانات المعمول به.

8.3 يجب على المستورد للبيانات إبلاغ المصدر للبيانات على الفور عن وجود تشريعات تنطبق عليه أو على أي معالج فرعي تمنع إجراء تدقيق على المستورد للبيانات، أو أي معالج فرعي، وفقًا للبند 8.2. في هذه الحالة، يحق للمصدر للبيانات اتخاذ التدابير المنصوص عليها في البند 5.2.

البند 9: القانون الحاكم

تخضع الشروط لقانون الدولة العضو التي تم تأسيس مصدر البيانات فيها.

البند 10: تعديل العقد

تتعهد الأطراف بعدم تغيير أو تعديل البنود. وهذا لا يمنع الأطراف من إضافة بنود تتعلق بالأعمال عند الحاجة، طالما أنها لا تتعارض مع البنود.

البند 11: العمليات الفرعية

11.1 لا يجوز لمستورد البيانات أن يتعاقد من الباطن على أي من عمليات المعالجة التي يقوم بها نيابة عن مصدر البيانات بموجب البنود دون الحصول على موافقة خطية مسبقة من مصدر البيانات. حيث يقوم مستورد البيانات بالتعاقد من الباطن على التزاماته بموجب البنود، مع إشعار لمصدر البيانات، يجب أن يتم ذلك فقط من خلال اتفاق مكتوب مع المتعاقد من الباطن الذي يفرض نفس الالتزامات على المتعاقد من الباطن كما هي مفروضة على مستورد البيانات بموجب البنود. حيث يفشل المتعاقد من الباطن في الوفاء بالتزاماته المتعلقة بحماية البيانات بموجب هذا الاتفاق المكتوب، سيبقى مستورد البيانات مسؤولاً بالكامل أمام مصدر البيانات عن تنفيذ التزامات المتعاقد من الباطن بموجب هذا الاتفاق.

11.2 يجب أن يتضمن العقد المكتوب المسبق بين مستورد البيانات والمعالج الفرعي أيضًا بندًا لمصلحة طرف ثالث كما هو موضح في البند 3 في الحالات التي لا يستطيع فيها موضوع البيانات تقديم المطالبة بالتعويض المشار إليها في 6.1 ضد مصدر البيانات أو مستورد البيانات لأنهم قد اختفوا فعليًا أو توقفوا عن الوجود قانونيًا أو أصبحوا مفلسين ولم تتولى أي كيان خلف كافة الالتزامات القانونية لمصدر البيانات أو مستورد البيانات بموجب عقد أو بموجب أحكام القانون. يجب أن تقتصر المسؤولية تجاه الطرف الثالث للمعالج الفرعي على عمليات المعالجة الخاصة به بموجب البنود.

11.3 تخضع الأحكام المتعلقة بجوانب حماية البيانات لعمليات المعالجة الفرعية للعقد المشار إليه في 11.1 لقانون الدولة العضو التي تم تأسيس المصدر البيانات فيها.

11.4 يجب على مصدر البيانات الاحتفاظ بقائمة بالاتفاقيات الفرعية التي تم إبرامها بموجب البنود والتي تم إبلاغها من قبل مستورد البيانات وفقًا للبند 5.10، ويجب تحديث هذه القائمة على الأقل مرة واحدة في السنة. يجب أن تكون القائمة متاحة لسلطة حماية البيانات الخاصة بمصدر البيانات.

البند 12 الالتزام بعد إنهاء خدمات معالجة البيانات الشخصية

12.1 تتفق الأطراف على أنه عند إنهاء تقديم خدمات معالجة البيانات، يجب على مستورد البيانات والمعالج الفرعي، حسب اختيار مُصدِر البيانات، إرجاع جميع البيانات الشخصية المنقولة ونسخها إلى مُصدِر البيانات أو تدمير جميع البيانات الشخصية وشهادة لمُصدِر البيانات بأنه قد قام بذلك، ما لم تمنع التشريعات المفروضة على مستورد البيانات من إرجاع أو تدمير كل أو جزء من البيانات الشخصية المنقولة. في هذه الحالة، يضمن مستورد البيانات أنه سيضمن سرية البيانات الشخصية المنقولة وأنه لن يقوم بمعالجة البيانات الشخصية المنقولة بشكل نشط بعد الآن.

12.2 يضمن مستورد البيانات والمعالج الفرعي أنه عند طلب السلطة الإشرافية، سيقدم مرافق معالجة البيانات الخاصة به لتدقيق التدابير المشار إليها في 12.1.

الملحق 1 – إلى الشروط التعاقدية القياسية

يشكل هذا الملحق جزءًا من البنود. يمكن للدول الأعضاء إكمال أو تحديد أي معلومات إضافية ضرورية يجب أن تتضمنها هذه الملحقات وفقًا لإجراءاتها الوطنية من خلال اتفاق مكتوب منفصل.

مُصدّر البيانات– مُصدّر البيانات هو الكيان المحدد في الاتفاقية كمرخص لحل معين.

مستورد البيانات– مستورد البيانات هو EXABEAM Inc. (“EXABEAM”)

EXABEAM هي مزود للبرمجيات للمؤسسات وتقدم البرمجيات كخدمة (SaaS). كما تقدم EXABEAM حلول البرمجيات التقليدية والدعم الفني فيما يتعلق بجميع منتجاتها وخدماتها.

موضوعات البيانات– قد تتعلق البيانات الشخصية المنقولة بالفئات التالية من البيانات (ينطبق ذلك فقط إذا كانت موضوعات البيانات أشخاصًا طبيعيين):

الاسم الأول والأخير
معلومات الاتصال (بما في ذلك العنوان البريدي، عنوان البريد الإلكتروني، الهاتف)
الشركة و/أو صاحب العمل
المسمى الوظيفي و/أو المنصب
بيانات إضافية كما تم إدخالها حسب تقدير مصدر البيانات

ستكون مدة المعالجة: حتى أقرب حدث من؛ (انتهاء أو إنهاء الاتفاقية؛ أو (ii) التاريخ الذي لم تعد فيه المعالجة ضرورية لأغراض أي من الطرفين في أداء التزاماته بموجب الاتفاقية، ما لم يتم الاتفاق على خلاف ذلك كتابة.

ستتضمن المعالجة فقط الأنشطة الضرورية لتقديم الحل أو كما يتم الاتفاق عليه بشكل متبادل بين الأطراف.

الملحق 2 – إلى الشروط التعاقدية القياسية

هذا الملحق يشكل جزءًا من الشروط ويجب أن يتم ملؤه وتوقيعه من قبل الأطراف.

وصف التدابير الأمنية الفنية والتنظيمية التي نفذها مستورد البيانات وفقًا للبندين 4.4 و 5.3: كما هو موضح في السياسة أعلاه.

الإصدار 201015