اتفاقية معالجة البيانات
آخر تحديث: 24 أبريل 2026
التزاماتنا بوصفنا معالجاً للبيانات وفق GDPR ونظام PDPL السعودي والإماراتي والبحريني.
١. التعريفات والأدوار
| المصطلح | التعريف |
|---|---|
| المسؤول عن البيانات | المؤسسة المشتركة (العميل) التي تُحدد أغراض ووسائل معالجة البيانات. |
| معالج البيانات | COMPLYRA، التي تعالج البيانات نيابةً عن المسؤول. |
| صاحب البيانات | الفرد الذي تنتمي إليه البيانات الشخصية (موظفو العميل والمستخدمون المسجلون). |
| المعالجة الفرعية | معالجة يُكلَّف بها طرف ثالث من قِبل COMPLYRA لأداء خدمات محددة. |
٢. موضوع المعالجة ونطاقها
تعالج COMPLYRA البيانات الشخصية التالية نيابةً عن العميل:
- أسماء المستخدمين وعناوين بريدهم الإلكتروني وأدوارهم الوظيفية.
- إجابات الاستبيانات والمستندات المرفوعة والملاحظات.
- سجلات الأنشطة والتدقيق المرتبطة بالمستخدمين.
- بيانات التواصل والرسائل المتبادلة عبر المنصة.
٣. التزاماتنا بوصفنا معالجاً
- لا نعالج البيانات الشخصية إلا وفق التعليمات الموثقة للمسؤول عن البيانات، إلا إذا اقتضى القانون خلاف ذلك.
- نضمن التزام كافة الموظفين المرخص لهم بالوصول إلى البيانات بالسرية التامة، وحصولهم على التدريب اللازم في مجال حماية البيانات.
- ننفذ التدابير الفنية والتنظيمية الملائمة وفق المادة 32 من GDPR، تشمل: تشفير AES-256 في وضع الراحة، وTLS 1.3 أثناء النقل، والمصادقة الثنائية، والتحكم في الوصول بالأدوار، وسجلات التدقيق غير القابلة للتعديل.
- نُبلغ المسؤول خلال 48 ساعة من اكتشاف أي خرق، مع توضيح طبيعته وفئات البيانات المتأثرة وعدد الأشخاص المحتملين والتبعات المتوقعة والتدابير المتخذة.
- نساعد المسؤول في الاستجابة لطلبات أصحاب البيانات ضمن المواعيد القانونية (30 يوماً كحد أقصى قابل للتمديد إلى 60 يوماً للطلبات المعقدة).
- نحذف البيانات أو نُعيدها خلال 30 يوماً من انتهاء العلاقة التعاقدية. تُخفى هوية سجلات التدقيق المطلوب الاحتفاظ بها لأغراض قانونية عند حذف الحساب.
- ننفذ تقييمات أثر حماية البيانات (DPIAs) للأنشطة عالية المخاطر ونتيحها للمسؤول عند الطلب.
٣أ. التزامات المسؤول عن البيانات
بوصفها مسؤولة عن البيانات، تتحمل المؤسسة المشتركة المسؤوليات التالية:
- تحديد مشروعية جميع تعليمات المعالجة الصادرة إلى COMPLYRA.
- الحصول على الموافقات اللازمة أو تأسيس قاعدة قانونية للمعالجة قبل استخدام المنصة.
- تلقي طلبات أصحاب البيانات ومعالجتها والتنسيق مع COMPLYRA عند الحاجة للوصول إلى بيانات المنصة.
- إبلاغ السلطات التنظيمية المختصة بالخروقات وفق القانون المعمول به.
- التحقق من صلاحيات المستخدمين المخوّلين بالوصول إلى بيانات المنصة.
٣ب. حقوق التدقيق
وفق المادة 28(3)(ح) من GDPR وما يعادلها من نظام PDPL السعودي وقانون الإمارات، يحق للمسؤولين عن البيانات:
- طلب واستلام سجلات التدقيق المتعلقة ببيانات مؤسستهم في أي وقت.
- الاطلاع على ملخص تنفيذي لأحدث تقييم أمني مستقل أو اختبار اختراق.
- الاستعانة بمدققين مستقلين مع إشعار كتابي مسبق مدته 30 يوماً، وعلى نفقتهم، ووفق نطاق وتوقيت متفق عليهما.
٣ج. النقل الدولي للبيانات والبنود التعاقدية القياسية
عند نقل البيانات الشخصية خارج البلد الأصلي، تضمن COMPLYRA حمايتها عبر:
- البنود التعاقدية القياسية الأوروبية (SCCs): الوحدة الثانية (مسؤول إلى معالج) المعتمدة بموجب قرار المفوضية الأوروبية 2021/914، مدرجة بالإحالة في اتفاقية DPA الرسمية.
- تدابير تقنية تكميلية: تشفير البيانات وإخفاء الهوية وضوابط الوصول.
- تقييمات أثر النقل (TIAs): لتقييم مخاطر التدخل القانوني في وجهات النقل وفق توصيات EDPB.
٤. المعالجون الفرعيون
نلجأ إلى معالجين فرعيين موثوقين لتشغيل المنصة. يُبلَّغ العملاء كتابياً قبل 30 يوماً من أي إضافة أو استبدال للمعالجين الفرعيين. يحق للعملاء الذين يعترضون لأسباب مشروعة تتعلق بحماية البيانات إنهاء الخدمات المتأثرة مع استرداد الرسوم المدفوعة مسبقاً بالتناسب.
| المعالج الفرعي | الغرض | الموقع |
|---|---|---|
| مزود استضافة السحابة | استضافة الخوادم وتخزين البيانات | منطقة الخليج / أوروبا |
| معالج المدفوعات | معالجة مدفوعات الاشتراكات | متوافق مع معيار PCI DSS |
| خدمة البريد الإلكتروني | إرسال الإشعارات والتنبيهات | متوافق مع GDPR |
٥. الإطار القانوني المطبق
يُوجب إبلاغ الهيئة السعودية للبيانات (SDAIA) خلال 72 ساعة من اكتشاف أي خرق.
المرسوم الاتحادي رقم 45/2021 المنظِّم لمعالجة البيانات الشخصية في الإمارات.
القانون رقم 30/2018 الخاص بحماية البيانات الشخصية في مملكة البحرين.
اللائحة المرجعية العالمية لحماية البيانات والمعيار الأعلى في هذا المجال.
٦. طلب اتفاقية معالجة البيانات (DPA)
يمكن للعملاء المؤسسيين طلب نسخة رسمية من اتفاقية معالجة البيانات. تواصل معنا عبر نموذج الاتصال وسنُرسل الاتفاقية خلال 3 أيام عمل.
هل تحتاج إلى اتفاقية معالجة بيانات رسمية؟
تواصل مع فريقنا للحصول على اتفاقية معالجة بيانات موقعة تلبي متطلبات الامتثال الخاصة بمؤسستك.
طلب اتفاقية DPA