اتفاقية معالجة البيانات
تاريخ النفاذ: ١ نوفمبر ٢٠٢١
إشعار التحكيم: إنّك ملزم بأحكام التحكيم المنصوص عليها في شروط خدمات الأعمال. في حال تعاقدك مع .Snap Inc، فإنّك و.Snap Inc تتخليان عن أي حق للدخول في أي دعوى جماعية أو تحكيم شامل.
تُشكّل اتفاقية معالجة البيانات هذه ("الاتفاقية") عقدًا ملزمًا قانونيًا بينك وبين Snap Inc. ("Snap")، وتنطبق إلى الحد الذي تقوم فيه بمعالجة البيانات الشخصية لعميل نيابةً عن Snap عندما تكون Snap هي المُتحكّم في البيانات، وتكون متضمنة في شروط خدمات الأعمال. إنّ بعض المصطلحات المستخدمة في هذه الاتفاقية مُعرّفة في شروط خدمات الأعمال. لأغراض التوضيح، تعمل Snap Inc. كمُتحكّم في البيانات بموجب هذه الاتفاقية بغض النظر عن كيان Snap الذي تتعاقد معه من أجل خدمات الأعمال التابعة.
مُصطلح "البيانات الشخصية للعميل" يعني البيانات الشخصية الخاصة بموضوعات البيانات في المنطقة الاقتصادية الأوروبية وسويسرا والمملكة المتحدة والبرازيل التي تقدمها لك Snap عندما تكون Snap هي المُتحكّم في البيانات.
مُصطلح "المُتحكّم في البيانات" يعني المُتحكّم على النحو المحدد في اللائحة العامة لحماية البيانات (GDPR) أو القانون العام لحماية البيانات في المملكة المتحدة (GDPR) أو القانون العام لحماية البيانات الشخصية (LGPD)، حسب الاقتضاء، الذي يحدد بمفرده أو بالاشتراك مع آخرين أغراض ووسائل معالجة بيانات العميل الشخصية. وفي هذه الاتفاقية، تُعتبر Snap هي المُتحكّم في البيانات.
"قانون حماية البيانات" يعني قوانين حماية البيانات في المنطقة الاقتصادية الأوروبية وسويسرا والمملكة المتحدة والبرازيل السارية على معالجة بيانات العميل الشخصية بموجب هذه الاتفاقية، بما في ذلك القانون العام لحماية البيانات GDPR وقوانين حماية البيانات في المملكة المتحدة والقانون العام لحماية البيانات الشخصية LGPD.
"EEA" تعني المنطقة الاقتصادية الأوروبية.
"GDPR" يعني لائحة (الاتحاد الأوروبي) ۲۰۱٦/٦٧۹ للبرلمان الأوروبي والمجلس الأوروبي بتاريخ ۲٧ أبريل ۲۰۱٦ بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وحرية نقل هذه البيانات، وإلغاء التوجيه 95/46/EC.
"LGPD" يعني قانون البرازيل العام لحماية البيانات (Lei Geral de Proteção de Dados Pessoais).
مُصطلح "خرق البيانات الشخصية" يعني التلف العرضي أو غير القانوني أو الفقد أو التغيير أو الكشف غير المصرح به عن بيانات العميل الشخصية أو الوصول إليها على الأنظمة التي تديرها أو تتحكم فيها.
مصطلح "المعالجات الفرعية" يعني الأطراف الثالثة المُصرّح لها بالوصول إلى البيانات الشخصية للعميل ومعالجتها بموجب هذه الاتفاقية.
"UK" يعني المملكة المتحدة.
مُصطلح "قوانين حماية البيانات في المملكة المتحدة" يعني اللائحة العامة لحماية البيانات لأنها تُشكّل جزءاً من قانون إنجلترا وويلز واسكتلندا وأيرلندا الشمالية بموجب المادة ۳ من قانون الاتحاد الأوروبي (الانسحاب) لعام ٢٠١٨ في المملكة المتحدة ("القانون العام لحماية البيانات في المملكة المتحدة ("UK GDPR") و قانون حماية البيانات ٢٠١٨.
المُصطلحات "البيانات الشخصية" و"موضوع البيانات" و"المُعالجة" و"المُتحكّم" و"المُعالج" و"الممثل" و"السلطة الإشرافية"، كل منها على النحو المستخدم في هذه الاتفاقية، لها المعاني الواردة في اللائحة العامة لحماية البيانات (GDPR) أو القانون العام لحماية البيانات في المملكة المتحدة (UK GDPR) أو القانون العام لحماية البيانات الشخصية (LGPD)، حسب الاقتضاء، في كل حالة بغض النظر عمّا إذا كان قانون حماية البيانات ينطبق أمْ لا.
أ. أدوار الأطراف. ستُعالج البيانات الشخصية للعميل كجهة معالجة نيابةً عن وكما هو محدد من قبل المتحكم في البيانات، ووفقًا للمادة ٢٨ (١) من اللائحة العامة لحماية البيانات (GDPR) واللائحة العامة لحماية البيانات (GDPR) بالمملكة المتحدة وقانون حماية البيانات الشخصية العام (LGPD) حسب الاقتضاء.
ب. التعيين. يُعيّنك المُتحكّم في البيانات لمعالجة البيانات الشخصية للعميل نيابةً عن المُتحكّم في البيانات فقط حسب الضرورة لدعم مُعلني Snap وكما قد يتم الاتفاق عليه فيما بعد من قبل الطرفين كتابةً.
ج. شرعية المعالجة. يُعتبر المُتحكّم في البيانات مسؤولاً عن ضمان سريان الأساس القانوني الصحيح لمعالجة البيانات الشخصية للعميل.
د. تفاصيل المعالجة. موضوع وتفاصيل المعالجة موضحة في الملحق ۱ من هذه الاتفاقية.
هـ. الامتثال للقانون. يوافق كل طرف على امتثال التزاماته بموجب قانون حماية البيانات المتعلقة بأي بيانات شخصية للعميل يقوم بمعالجتها بموجب هذه الاتفاقية أو فيما يتعلق بها. بدون الإخلال بما سبق، لن تُعالج البيانات الشخصية للعميل بطريقة ستؤدي أو من المحتمل أن تؤدي إلى قيام المُتحكّم في البيانات بخرق التزاماته بموجب قانون حماية البيانات. ستُبلّغ المُتحكّم في البيانات على الفور إذا كنت ترى أن تعليمات المُتحكّم في البيانات تنتهك قانون حماية البيانات.
أ. معالجة بيانات العميل الشخصية. لن تقوم بمعالجة بيانات العميل الشخصية إلّا وفقًا لشروط الخدمات التجارية وهذه الاتفاقية، ولن تستخدم بيانات العميل الشخصية أو تعالجها لأي غرض بخلاف كونك جهة معالجة بيانات مُعينة من طرف المُتحكّم في البيانات.
ب. أمن البيانات. وفقًا للمادة ٣٢ من اللائحة العامة لحماية البيانات (GDPR) واللائحة العامة لحماية البيانات (GDPR) بالمملكة المتحدة والقانون العام لحماية البيانات الشخصية (LGPD)، حسب الاقتضاء، وعلى النحو الوارد في الجدول ٢ من هذه الاتفاقية، ستقوم بتنفيذ جميع التدابير التقنية والإدارية والتنظيمية المناسبة اللازمة وتلتزم بها بهدف: (1) ضمان مستوى مناسب من السرية والأمان من حيث المخاطر التي تمثلها مُعالجة البيانات وطبيعة بيانات العميل الشخصية؛ و(2) منع معالجة البيانات غير المُصرّح بها أو غير القانونية لبيانات العميل الشخصية أو التلف أو الإتلاف أو الإفصاح أو الفقد العرضي لبيانات العميل الشخصية.
ج. عدم الإفصاح. لن تنشر أو تُفصح أو تفشي (وستتأكد من عدم قيام موظفيك بالنشر أو الإفصاح أو الإفشاء عن) بيانات العميل الشخصية لطرف ثالث ما لم يمنحك المُتحكّم في البيانات متوافقة كتابية مُسبقة.
د. السرية. ستضمن اقتصار إمكانية الوصول إلى بيانات العميل الشخصية على الموظفين الذين قد يُطلب منهم المساعدة في الوفاء بالتزاماتها بموجب شروط الخدمات التجارية أو هذه الاتفاقية، وستضمن التزام هؤلاء الموظفين بالتزامات السرية المناسبة، وستتخذ جميع الخطوات المعقولة بما يتوافق مع أفضل الممارسات الصناعية لضمان سرية بيانات العميل الشخصية.
هـ. التعاون. ستقوم بتوفير التعاون والمساعدة بشكل معقول للمُتحكّم في البيانات والتي قد يطلبها المُتحكّم في البيانات بشكل معقول للسماح له بالامتثال لالتزاماته بموجب المواد من ٣٢ إلى ٣٦ من اللائحة العامة لحماية البيانات (GDPR) واللائحة العامة لحماية البيانات في المملكة المتحدة (GDPR) واللائحة العامة لحماية البيانات الشخصية (LGPD)، حسب الاقتضاء، بما في ذلك ما يتعلق بأمن البيانات وإشعار انتهاك البيانات وتقييمات تأثير حماية البيانات والتشاور المسبق مع الجهات الرقابية والوفاء بحقوق أصحاب البيانات وأي استفسار أو إشعار أو تحقيق من طرف جهة رقابية، على النحو المُفصّل في هذه الاتفاقية.
و. صاحب البيانات وطلبات الرقابة. ستُبلغ المُتحكّم في البيانات على الفور، خلال يومي عمل في أي حال من الأحوال، بأي استفسار أو شكوى تتلقاها من صاحب البيانات أو الجهة الرقابية فيما يتعلق ببيانات العميل الشخصية. ستُساعد المُتحكّم في البيانات بقدر ما هو معقول تجاريًا، للوفاء بالتزام المتحكّم في البيانات بالاستجابة لطلبات أصحاب البيانات والسلطات الرقابية على النحو المطلوب بموجب قانون حماية البيانات.
ز. تقييم تأثير حماية البيانات. عند الطلب، ستزود المُتحكّم في البيانات بالمعلومات المعقولة تجاريًا، مع مراعاة طبيعة نشاط المُعالجة والمعلومات المتاحة لك، ومساعدة المُتحكّم في البيانات في إجراء تقييم تأثير حماية البيانات وفقًا لما يتطلّبه قانون حماية البيانات.
ح. تقديم الدليل. خلال مدة هذه الاتفاقية ولمدة عام واحد بعد ذلك، ستُوفر لمراقب البيانات، أو شركة تدقيق معترف بها دوليًا تعمل نيابةً عن مراقب البيانات، جميع المعلومات اللازمة بشكل معقول لإثبات امتثالك لهذه الاتفاقية، وسوف تسمح وتساهم في عمليات التدقيق التي يُجريها المُتحكّم في البيانات أو ممثليه الملتزمين بالتزامات السرية المناسبة؛ إذا: (1) وفّر لك المُتحكّم في البيانات إشعارًا كتابيًا مسبقًا بمدة لا تقل عن عشرة أيام عمل؛ (2) يتم إجراء هذا التدقيق خلال ساعات عملك العادية وبطريقة لا تتعارض بشكل غير معقول مع عمليات عملك العادية؛ (3) لا تستغرق هذه المراجعة أكثر من ثلاث أيام عمل إجمالية؛ (4) لا يحق للمُتحكّم في البيانات بأي حال من الأحوال (أو لتجنب الشك، أي مدقق خارجي مُعتمد) الوصول إلى أو تلقي معلوماتك الخاصة أو السرية، إلا بالقدر الضروري للغاية لإثبات الامتثال لهذه الاتفاقية؛ و(5) يلتزم المُتحكّم في البيانات بتعويضك عن تكاليفك المعقولة الموثقة إذا قررت المراجعة أنك ممتثل لهذه الاتفاقية. إذا أثبتت المراجعة عدم التزامك بهذه الاتفاقية، فستلتزم بدفع جميع التكاليف المعقولة لتلك المراجعة.
ط. إعادة بيانات العميل الشخصية أو إتلافها. عند اكتمال التزاماتك فيما يتعلق بمعالجة بيانات العميل الشخصية بموجب هذه الاتفاقية أو بناءً على طلب المُتحكّم في البيانات في أي وقت خلال مدة هذه الاتفاقية، (وإذا طلب المُتحكّم في البيانات ذلك، على فترات منتظمة يحددها المُتحكّم في البيانات)، ستقوم بأي مما يلي: (1) إعادة جميع البيانات أو المجموعات الفرعية لبيانات العميل الشخصية التي في حوزتك إلى المُتحكّم في البيانات؛ أو (2) جعل كل أو جزء من البيانات الشخصية للعميل مجهولة بحيث لا تشكل بيانات شخصية؛ أو (3) حذف أو جعل جميع البيانات الشخصية للعميل غير قابلة للقراءة. يجب عليك، بناءً على طلب المُتحكّم في البيانات، تقديم تأكيد كتابي إلى المُتحكّم في البيانات عن إخفاء بيانات العميل الشخصية وإعادتها وحذفها.
ي. بيانات العميل الشخصية المُجزأة. إذا تلقيت البيانات الشخصية للعميل بتنسيق مُجزأ أو غامض بطريقة أخرى، فسوف تقوم بما يلي: (1) عدم محاولة إجراء هندسة عكسية أو محاولة إعادة تحديد البيانات الشخصية للعميل التي تم تجزئتها أو تعتيمها ما لم يوجهك المُتحكّم في البيانات للقيام بذلك؛ و(2) عليك فقط بمشاركة بيانات العميل الشخصية بالتنسيق الذي استلمته من المُتحكّم في البيانات.
أ. إشعار. وفقًا للمادة ٣٣ من اللائحة العامة لحماية البيانات (GDPR) واللائحة العامة لحماية البيانات (GDPR) في المملكة المتحدة، ستقوم بإخطار المُتحكّم في البيانات بدون تأخير غير مبرر، وحيثما أمكن، خلال مدة لا تزيد عن ٧٢ ساعة بعد علمك بخرق البيانات الشخصية. كما ستُقدم أيضًا إلى المُتحكّم في البيانات وصفًا لخرق البيانات الشخصية ونوع البيانات التي كانت معرّضة لخرق البيانات الشخصية (إلى الحد الذي تعرفه) وفئات البيانات المتأثرة والمعلومات الأخرى المطلوبة بموجب قانون حماية البيانات المعمول به، وبمجرد أن تتوفر إمكانية جمع هذه المعلومات أو أن تكون متاحة وستتعاون مع أي طلب معقول يقدمه المُتحكّم في البيانات فيما يتعلق بخرق البيانات الشخصية.
ب. التحقيق. كما إنّك توافق على اتخاذ إجراء فوري للتحقيق في خرق البيانات الشخصية، لتحديد ومنع وتخفيف آثار أي خرق للبيانات الشخصية، وبموافقة مُسبقة من المُتحكّم في البيانات، للقيام بأي استرداد أو أي إجراء آخر ضروري لمعالجة خرق البيانات الشخصية.
أ. جهات معالجة البيانات الفرعية المرخص بها. يُفوض المتحكم في البيانات على وجه التحديد مشاركة شركاتك التابعة لمعالجة بيانات العميل الشخصية.
ب. التزامات جهات معالجة البيانات الفرعية وفقًا للمادة ۲۸ (٤) من اللائحة العامة لحماية البيانات (GDPR) واللائحة العامة لحماية البيانات (GDPR) بالمملكة المتحدة والتزامات جهات معالجة البيانات الفرعية في القانون العام لحماية البيانات الشخصية (LGPD)، حسب الاقتضاء، ستفرض شروط تعاقدية ملزمة قانونًيا على كل جهة معالجة بيانات فرعية بحيث تكون مقيدة على غرار تلك الواردة في هذه الاتفاقية.
ج. الوصول المقيد. ستضمن عدم وصول كل جهة معالجة بيانات فرعية إلى بيانات العميل الشخصية واستخدامها إلا بالقدر المطلوب لتأدية الالتزامات المتعاقد عليها من الباطن معها ووفقًا لهذه الاتفاقية.
د. تحديثات جهات معالجة البيانات الفرعية. وفقًا للمادة ۲۸ (۲) من اللائحة العامة لحماية البيانات (GDPR) واللائحة العامة لحماية البيانات (GDPR) بالمملكة المتحدة (حسب الاقتضاء)، ستُقدم في صفحة متاحة للجمهور قائمة محدثة تضم: (۱) جميع جهات معالجة البيانات الفرعية المُشاركة في معالجة بيانات العميل الشخصية؛ (۲) أغراض معالجة جهات معالجة البيانات الفرعية لبيانات العميل الشخصية؛ و(۳) موقع كل جهة معالجة بيانات فرعية. ستُخطر المتحكم في البيانات قبل إضافة جهة معالجة بيانات فرعية جديدة بمدة أقلها 30 يومًا.
هـ. حق الاعتراض. يحق للمتحكم في البيانات الاعتراض على إضافة جهة معالجة بيانات فرعية جديدة، على النحو الوارد في هذا القسم. إذا اعترض المتحكم في البيانات على معالجة بيانات العميل الشخصية من قبل أي جهة معالجة بيانات فرعية تم تعيينها حديثًا، فسيُبلغك على الفور، وبعدئذ ستقوم بأي ما يلي: (۱) إصدار تعليمات إلى جهة معالجة البيانات الفرعية بالتوقف عن أي معالجة أخرى لبيانات العميل الشخصية، وتظل هذه الاتفاقية في هذه الحالة غير متأثرة؛ أو (۲) السماح للمتحكم في البيانات بإنهاء هذه الاتفاقية على الفور.
أ. التعويض. أنّك توافق على تعويض المُتحكّم في البيانات ضد جميع شكاوى الطرف الخارجي، والرسوم، والمطالبات، والأضرار، والخسائر، والتكاليف، والمسؤوليات، والمصروفات الناتجة من أو الناشئة عن أو المتعلقة بأي صورة من الصور بانتهاك هذه الاتفاقية.
ب. عملية التعويض. يُخطرك المتحكم في البيانات كتابياً على الفور بأي مطالبة تعويضية، ولكن أي إخفاق في إخطارك لن يعفيك من أي مسؤولية أو التزام بالتعويض قد يقع عليك، باستثناء الحد الذي تتعرض فيه للانحياز المادي بسبب هذا الإخفاق. ويتعاون المُتحكّم في البيانات معك بصورة منطقية، على نفقتك الخاصة، فيما يتعلق بالدفاع أو التسوية أو تسوية أي مطالبة تعويضية. ولن تحل أو تسوي أي مطالبة بأي صورة من الصور، أو تقرّ بالمسؤولية، دون الحصول على الموافقة الخطية المسبقة من المُتحكّم في البيانات، التي قد يقدمها المُتحكّم في البيانات حسب تقديره الخاص. ويجوز للمُتحكّم في البيانات المشاركة (على نفقته) في الدفاع والتسوية وتسوية الدعوى مع المستشار القانوني الذي يختاره المُتحكّم في البيانات.
ج. مسؤولية المعالج الفرعي. تُقر وتوافق على أنّك تظل مسؤولاً أمام المُتحكّم في البيانات عن أي خرق لشروط هذه الاتفاقية من قبل أي معالج فرعي وأي معالجات تابعة لجهات خارجية لاحقة تحددها.
أ. الإنهاء. تنتهي هذه الاتفاقية تلقائيًا عند إنهاء شروط خدمات الأعمال.
ب. الاستمرارية. تظل التزاماتك المتعلقة بإعادة البيانات الشخصية للعميل أو حذفها سارية المفعول بعد إنهاء شروط خدمات الأعمال وهذه الاتفاقية حتى تُعيد أو تحذف بيانات العميل الشخصية وفق هذه الاتفاقية.
إذا كان هناك تعارض أو تضارب بين هذه الاتفاقية، أو شروط خدمات الأعمال، أو أي شروط وسياسات تكميلية سارية، أو شروط خدمة Snap، فسيكون ترتيب الأولوية كما يلي: هذه الاتفاقية، والشروط والسياسات التكميلية، وشروط خدمات الأعمال، وشروط خدمة Snap.
تقديمك خدمات معينة لمعلني Snap الذين أصدروا تعليمات لـ Snap لجمع بيانات توليد عملاء محتملين معينة فيما يتعلق بإعلانات هؤلاء المعلنين على منصة (منصات) Snapchat، ونقل هذه البيانات إليك كوسيط للمعالجة.
بالنسبة إلى مدة هذه الاتفاقية بالإضافة إلى الفترة من انتهاء مدة هذه الاتفاقية حتى إخفاء الهوية أو إرجاعها أو حذفها وفق هذه الاتفاقية.
سوف تعالج بيانات العميل الشخصية لصالح معلني Snap واستخدامها لأغراض توفير خدمات الأعمال لمعلني Snap الذين وجهوا Snap إلى جمع بعض بيانات إنشاء قوائم العملاء المحتملين فيما يتعلق بإعلانات هؤلاء المعلنين على منصة (منصات) Snapchat، و لنقل هذه البيانات إليك كوسيط للمعالجة، وفق ما هو موصوف في شروط خدمات الأعمال وهذه الاتفاقية.
بيانات العميل الشخصية المتعلقة بالأفراد الذين يكمّلون نموذج إنشاء قوائم العملاء المحتملين لمُعلني Snap على منصة Snapchat، التي قد تشمل:
الاسم
عنوان البريد الإلكتروني
رقم الهاتف
عنوان المنزل
تاريخ الميلاد
مُعرّف إعلان الهاتف (IDFA/AAID)
مُعرّف الطرف الخارجي
المسمى الوظيفي
اسم الشركة
غير مطلوب
يشمل أصحاب البيانات جميع الأفراد الذين يكملون نموذج إنشاء قوائم العملاء المحتملين لمُعلني Snap على منصة Snapchat.
١. تنفيذ وامتثال برنامج أمن معلومات مكتوب بما يتوافق مع معايير الصناعة المعمول بها بما في ذلك الضمانات الإدارية والفنية والمادية المناسبة لطبيعة البيانات الشخصية للعميل والمصممة لحماية هذه المعلومات من: الوصول غير المصرح به أو الإتلاف أو الاستخدام أو التعديل أو الكشف؛ والوصول غير المصرح به أو الاستخدام الذي قد يؤدي إلى ضرر أو إزعاج كبير للمتحكّم في البيانات أو عملاء متحكّم البيانات أو موظفي متحكّم البيانات؛ وأي تهديدات أو مخاطر متوقعة على أمن أو سلامة هذه المعلومات.
٢. اعتماد وتنفيذ سياسات ومعايير منطقية تتعلق بالأمن.
٣. إسناد مسؤولية إدارة أمن المعلومات.
٤. تكريس موارد بشرية كافية لأمن المعلومات.
٥. إجراء عمليات التحقق من صحة الموظفين الدائمين الذين يتمكنون من الوصول إلى البيانات الشخصية للعميل.
٦. إجراء فحوصات خلفية مناسبة ومطالبة الموظفين والبائعين وغيرهم ممّن لديهم إمكانية الوصول إلى البيانات الشخصية للعميل بالدخول في اتفاقيات مكتوبة لحفظ السرية.
٧. إجراء تدريب لجعل الموظفين وغيرهم ممّن لديهم إمكانية الوصول إلى بيانات العميل الشخصية على دراية بمخاطر أمن المعلومات ولتعزيز امتثال سياساتك ومعاييرك المتعلقة بحماية البيانات.
٨. منع الوصول غير المصرح به إلى البيانات الشخصية للعميل خلال الاستخدام، حسب الاقتضاء، لضوابط الدخول المادية والمنطقية (كلمات المرور)، والمناطق الآمنة لمعالجة البيانات، وإجراءات مراقبة استخدام مرافق معالجة البيانات، ومسارات تدقيق النظام المدمجة، واستخدام كلمات المرور الآمنة، وتقنية اكتشاف اختراق الشبكة، وتقنية التشفير والمصادقة، وإجراءات تسجيل الدخول الآمنة، والحماية من الفيروسات، ومراقبة امتثال سياسات ومعايير Snap المتعلقة بحماية البيانات بصورة مستمرة. وعلى وجه الخصوص، تُنفذ وتلتزم بما يلي، حسب الاقتضاء ودون قيود:
تدابير التحكم في الوصول المادي لمنع الوصول غير المصرح به إلى أنظمة معالجة البيانات (على سبيل المثال، بطاقات هوية الوصول، وقارئات البطاقات، وموظفي المكاتب، وأنظمة الإنذار، وكاشفات الحركة، وأجهزة الإنذار ضد السرقة، والمراقبة بالفيديو، والأمن الخارجي)؛
وتدابير مراقبة رفض الاستخدام لمنع الاستخدام غير المصرح به لأنظمة حماية البيانات (على سبيل المثال، تعقيد كلمة المرور المفروضة تلقائيًا ومتطلبات التغيير وجدران الحماية)؛
ونظام التفويض وحقوق الوصول المستند إلى المتطلبات، ومراقبة الوصول إلى النظام وتسجيله للتأكد من أن الأشخاص الذين يحق لهم استخدام نظام معالجة البيانات لا يمكنهم الوصول إلّا إلى البيانات التي يحق لهم الوصول إليها، وأن البيانات الشخصية للعميل لا يمكن كذلك قراءتها أو نسخها أو تعديلها أو إزالتها دون إذن؛
وتدابير التحكم في نقل البيانات لضمان عدم إمكانية قراءة البيانات الشخصية للعميل أو نسخها أو تعديلها أو إزالتها دون إذن في أثناء النقل الإلكتروني أو النقل أو التخزين على وسائط البيانات ونقل السجلات واستلامها. وعلى وجه الخصوص، يتم تصميم برنامج أمن المعلومات الخاص بك:
لتشفير أي مجموعات بيانات في حوزتك في التخزين، بما في ذلك البيانات الشخصية الحساسة، باستخدام مستويات التشفير المناسبة بناءً على معايير التشفير الرائدة في الصناعة، مثل AES -256، وتخزين هويات المستخدم على النظام باستخدام زوج المفتاح والقيمة مثل ghost_id لمنع تخزين مُعرّف المستخدم الفعلي؛ و
للتأكد من أن أي بيانات شخصية حساسة يتم إرسالها إلكترونيًا (بخلاف الفاكس) إلى شخص خارج نظام تكنولوجيا المعلومات الخاص بك أو يتم نقلها عبر شبكة عامة يتم تشفيرها، مثل استخدام أحدث الإصدارات المدعومة من بروتوكول TLS 1.2، لحماية أمان الإرسال؛
وتدابير التحكم في إدخال البيانات للتأكد من أنّه يمكنك التحقق وتحديد ما إذا كان قد تم إدخال البيانات الشخصية للعميل في أنظمة معالجة البيانات أو تم تعديلها أو إزالتها ومن قام بذلك؛
وإجراءات اختبار الأمان المستمرة لضمان بقاء ممارسات أمن المعلومات ملائمة وفعالة ومحدثة، بما في ذلك اختبارات الاختراق السنوية، وبرنامج مكافأة الأخطاء، واستخدام أدوات فحص النظام، وتمارين الطاولة النقاشية، واختبارات الاستعادة الاحتياطية، وإخفاق ما قبل الإنتاج، وإجراء التشريح على أي حوادث فعلية من أجل تحديث خطط التعافي من الكوارث ذات الصلة؛
وتدابير إشراف المعالج الفرعي لضمان معالجة البيانات الشخصية للعميل بصورة صارمة وفق تعليمات المتحكّم في البيانات بما في ذلك، حسب الاقتضاء:
وتدابير ضمان حماية البيانات الشخصية للعميل من التلف أو الضياع العرضي، بما في ذلك، حسب الاقتضاء وعلى سبيل المثال لا الحصر، النسخ الاحتياطي للبيانات، وسياسات الاحتفاظ والإتلاف الآمن؛ والتخزين الآمن خارج الموقع للبيانات الكافية للتعافي من الكوارث؛ وإمدادات الطاقة غير المنقطعة، وبرامج التعافي من الكوارث؛ و
وتدابير ضمان إمكانية معالجة البيانات التي تم جمعها لأغراض مختلفة بوجهٍ منفصل بما في ذلك، حسب الاقتضاء، الفصل المادي أو المنطقي الكافي لبيانات العميل الشخصية.
٩. اتخاذ مثل هذه الخطوات الأخرى التي قد تكون مناسبة تبعًا للظروف.