القانونية

اتفاقية معالجة البيانات

آخر تحديث: 24 أبريل 2026

التزاماتنا بوصفنا معالجاً للبيانات وفق GDPR ونظام PDPL السعودي والإماراتي والبحريني.

ملاحظة مهمة: هذه الصفحة تُفصّل دور COMPLYRA بوصفها معالجاً للبيانات نيابةً عن عملائها (المسؤولين عن البيانات). لطلب نسخة رسمية من اتفاقية معالجة البيانات (DPA)، يرجى التواصل معنا.

١. التعريفات والأدوار

المصطلحالتعريف
المسؤول عن البياناتالمؤسسة المشتركة (العميل) التي تُحدد أغراض ووسائل معالجة البيانات.
معالج البياناتCOMPLYRA، التي تعالج البيانات نيابةً عن المسؤول.
صاحب البياناتالفرد الذي تنتمي إليه البيانات الشخصية (موظفو العميل والمستخدمون المسجلون).
المعالجة الفرعيةمعالجة يُكلَّف بها طرف ثالث من قِبل COMPLYRA لأداء خدمات محددة.

٢. موضوع المعالجة ونطاقها

تعالج COMPLYRA البيانات الشخصية التالية نيابةً عن العميل:

  • أسماء المستخدمين وعناوين بريدهم الإلكتروني وأدوارهم الوظيفية.
  • إجابات الاستبيانات والمستندات المرفوعة والملاحظات.
  • سجلات الأنشطة والتدقيق المرتبطة بالمستخدمين.
  • بيانات التواصل والرسائل المتبادلة عبر المنصة.

٣. التزاماتنا بوصفنا معالجاً

  • لا نعالج البيانات الشخصية إلا وفق التعليمات الموثقة للمسؤول عن البيانات، إلا إذا اقتضى القانون خلاف ذلك.
  • نضمن التزام كافة الموظفين المرخص لهم بالوصول إلى البيانات بالسرية التامة، وحصولهم على التدريب اللازم في مجال حماية البيانات.
  • ننفذ التدابير الفنية والتنظيمية الملائمة وفق المادة 32 من GDPR، تشمل: تشفير AES-256 في وضع الراحة، وTLS 1.3 أثناء النقل، والمصادقة الثنائية، والتحكم في الوصول بالأدوار، وسجلات التدقيق غير القابلة للتعديل.
  • نُبلغ المسؤول خلال 48 ساعة من اكتشاف أي خرق، مع توضيح طبيعته وفئات البيانات المتأثرة وعدد الأشخاص المحتملين والتبعات المتوقعة والتدابير المتخذة.
  • نساعد المسؤول في الاستجابة لطلبات أصحاب البيانات ضمن المواعيد القانونية (30 يوماً كحد أقصى قابل للتمديد إلى 60 يوماً للطلبات المعقدة).
  • نحذف البيانات أو نُعيدها خلال 30 يوماً من انتهاء العلاقة التعاقدية. تُخفى هوية سجلات التدقيق المطلوب الاحتفاظ بها لأغراض قانونية عند حذف الحساب.
  • ننفذ تقييمات أثر حماية البيانات (DPIAs) للأنشطة عالية المخاطر ونتيحها للمسؤول عند الطلب.

٣أ. التزامات المسؤول عن البيانات

بوصفها مسؤولة عن البيانات، تتحمل المؤسسة المشتركة المسؤوليات التالية:

  • تحديد مشروعية جميع تعليمات المعالجة الصادرة إلى COMPLYRA.
  • الحصول على الموافقات اللازمة أو تأسيس قاعدة قانونية للمعالجة قبل استخدام المنصة.
  • تلقي طلبات أصحاب البيانات ومعالجتها والتنسيق مع COMPLYRA عند الحاجة للوصول إلى بيانات المنصة.
  • إبلاغ السلطات التنظيمية المختصة بالخروقات وفق القانون المعمول به.
  • التحقق من صلاحيات المستخدمين المخوّلين بالوصول إلى بيانات المنصة.

٣ب. حقوق التدقيق

وفق المادة 28(3)(ح) من GDPR وما يعادلها من نظام PDPL السعودي وقانون الإمارات، يحق للمسؤولين عن البيانات:

  • طلب واستلام سجلات التدقيق المتعلقة ببيانات مؤسستهم في أي وقت.
  • الاطلاع على ملخص تنفيذي لأحدث تقييم أمني مستقل أو اختبار اختراق.
  • الاستعانة بمدققين مستقلين مع إشعار كتابي مسبق مدته 30 يوماً، وعلى نفقتهم، ووفق نطاق وتوقيت متفق عليهما.

٣ج. النقل الدولي للبيانات والبنود التعاقدية القياسية

عند نقل البيانات الشخصية خارج البلد الأصلي، تضمن COMPLYRA حمايتها عبر:

  • البنود التعاقدية القياسية الأوروبية (SCCs): الوحدة الثانية (مسؤول إلى معالج) المعتمدة بموجب قرار المفوضية الأوروبية 2021/914، مدرجة بالإحالة في اتفاقية DPA الرسمية.
  • تدابير تقنية تكميلية: تشفير البيانات وإخفاء الهوية وضوابط الوصول.
  • تقييمات أثر النقل (TIAs): لتقييم مخاطر التدخل القانوني في وجهات النقل وفق توصيات EDPB.

٤. المعالجون الفرعيون

نلجأ إلى معالجين فرعيين موثوقين لتشغيل المنصة. يُبلَّغ العملاء كتابياً قبل 30 يوماً من أي إضافة أو استبدال للمعالجين الفرعيين. يحق للعملاء الذين يعترضون لأسباب مشروعة تتعلق بحماية البيانات إنهاء الخدمات المتأثرة مع استرداد الرسوم المدفوعة مسبقاً بالتناسب.

المعالج الفرعيالغرضالموقع
مزود استضافة السحابةاستضافة الخوادم وتخزين البياناتمنطقة الخليج / أوروبا
معالج المدفوعاتمعالجة مدفوعات الاشتراكاتمتوافق مع معيار PCI DSS
خدمة البريد الإلكترونيإرسال الإشعارات والتنبيهاتمتوافق مع GDPR

٥. الإطار القانوني المطبق

🇸🇦نظام PDPL السعودي 2023

يُوجب إبلاغ الهيئة السعودية للبيانات (SDAIA) خلال 72 ساعة من اكتشاف أي خرق.

🇦🇪قانون UAE PDPL

المرسوم الاتحادي رقم 45/2021 المنظِّم لمعالجة البيانات الشخصية في الإمارات.

🇧🇭قانون PDPL البحريني

القانون رقم 30/2018 الخاص بحماية البيانات الشخصية في مملكة البحرين.

🇪🇺اللائحة الأوروبية GDPR

اللائحة المرجعية العالمية لحماية البيانات والمعيار الأعلى في هذا المجال.

٦. طلب اتفاقية معالجة البيانات (DPA)

يمكن للعملاء المؤسسيين طلب نسخة رسمية من اتفاقية معالجة البيانات. تواصل معنا عبر نموذج الاتصال وسنُرسل الاتفاقية خلال 3 أيام عمل.

هل تحتاج إلى اتفاقية معالجة بيانات رسمية؟

تواصل مع فريقنا للحصول على اتفاقية معالجة بيانات موقعة تلبي متطلبات الامتثال الخاصة بمؤسستك.

طلب اتفاقية DPA