اتفاقية معالجة البيانات (DPA)

1. النطاق وتعريفات الأدوار

تُدمج اتفاقية معالجة البيانات هذه ('DPA') في العقد المبرم بين International Energy Club ('المعالِج') والعضو المؤسسي ('المتحكم') وتشكّل جزءاً منه. وتنطبق حيث يستخدم المتحكم منصة International Energy Club لمعالجة البيانات الشخصية لموظفيه أو جهات اتصاله أو الأطراف المقابلة في صفقاته أو أفراد آخرين ويوعز إلى International Energy Club بمعالجة تلك البيانات نيابةً عنه. وتهدف هذه الاتفاقية إلى استيفاء متطلبات المادة 28(3) من GDPR والأحكام المكافئة في 152-FZ. وفي جميع الجوانب الأخرى، تتصرف International Energy Club بصفتها متحكماً مستقلاً في بيانات الأعضاء على النحو الموصوف في سياسة الخصوصية.

2. تعليمات المتحكم

تعالج International Energy Club البيانات الشخصية فقط بناءً على تعليمات موثّقة من المتحكم، بما في ذلك فيما يتعلق بنقل البيانات الشخصية إلى دولة ثالثة. وتعليمات المتحكم مبيّنة في الملحق A لهذه الاتفاقية (تعليمات المعالجة). وتُبلِغ International Energy Club المتحكم إذا رأت أن تعليمة ما تنتهك قانون حماية البيانات المعمول به. ولا يُطلب من International Energy Club اتباع تعليمات تتطلب منها انتهاك القانون المعمول به.

3. التزامات المعالِج

تتعهد International Energy Club بـ:

(a) معالجة البيانات الشخصية فقط للأغراض الموصوفة في الملحق A وبأي طريقة أخرى؛
(b) ضمان أن الأشخاص المصرّح لهم بمعالجة البيانات ملزمون بالتزامات السرية؛
(c) تنفيذ التدابير الأمنية التقنية والتنظيمية الموصوفة في الملحق B؛
(d) احترام شروط الاستعانة بمعالِجين فرعيين على النحو الموصوف في البند 5؛
(e) مساعدة المتحكم في تلبية طلبات حقوق صاحب البيانات ضمن الأطر الزمنية المعمول بها؛
(f) مساعدة المتحكم في إكمال تقييمات أثر حماية البيانات (DPIAs) حيثما اقتضى الأمر؛
(g) إتاحة جميع المعلومات اللازمة لإثبات الامتثال للمادة 28 من GDPR؛
(h) السماح بعمليات التدقيق والتفتيش التي يجريها المتحكم أو من ينوب عنه والإسهام فيها.

4. التدابير الأمنية

تنفّذ International Energy Club التدابير الأمنية التقنية والتنظيمية (TOMs) التالية لحماية البيانات الشخصية المعالَجة نيابةً عن المتحكمين:

(a) التشفير — AES-256 للبيانات المخزّنة؛ TLS 1.3 أثناء النقل؛
(b) ضوابط الوصول — التحكم في الوصول القائم على الأدوار (RBAC)؛ المصادقة متعددة العوامل الإلزامية لجميع حسابات الموظفين؛ مبدأ الحد الأدنى من الامتيازات؛
(c) المراقبة — نظام إدارة معلومات الأمان والأحداث (SIEM) مع تنبيه على مدار الساعة طوال أيام الأسبوع؛
(d) الاستجابة للحوادث — خطة استجابة موثّقة للحوادث؛ إخطار المتحكم خلال 24 ساعة من اكتشاف خرق؛
(e) الأمن المادي — تمتثل مراكز البيانات لـ ISO 27001 أو ما يعادلها؛
(f) الموظفون — فحوص خلفية للموظفين الذين لديهم وصول إلى البيانات الشخصية؛ تدريب إلزامي على حماية البيانات (سنوياً)؛
(g) إدارة الثغرات — اختبارات اختراق سنوية من طرف ثالث؛ فحوص ثغرات شهرية.

5. المعالِجون الفرعيون

يمنح المتحكم تفويضاً عاماً لـ International Energy Club للاستعانة بمعالِجين فرعيين، رهناً بـ:

(a) فرض International Energy Club التزامات مكافئة لـ GDPR على المعالِجين الفرعيين؛
(b) احتفاظ International Energy Club بقائمة محدَّثة بالمعالِجين الفرعيين على /legal/subprocessors؛
(c) إخطار International Energy Club للمتحكم قبل 30 يوماً على الأقل من الاستعانة بمعالِج فرعي جديد أو تغيير معالِج قائم تغييراً جوهرياً؛
(d) حق المتحكم في الاعتراض على المعالِجين الفرعيين الجدد خلال 14 يوماً من الإخطار. وإذا اعترض المتحكم وتعذّر على International Energy Club استيعاب الاعتراض، يجوز لأي من الطرفين إنهاء هذه الاتفاقية بإشعار كتابي مدته 30 يوماً. وتظل International Energy Club مسؤولة أمام المتحكم عن أفعال المعالِجين الفرعيين وإغفالاتهم كما لو كانت International Energy Club قد قامت بها مباشرةً.

6. حقوق صاحب البيانات والإخطار بالخرق

حيث تتلقّى International Energy Club طلباً من صاحب بيانات فيما يتعلق بالبيانات المعالَجة بموجب هذه الاتفاقية، ستُخطِر International Energy Club المتحكم فوراً وتتعاون لتمكين المتحكم من تلبية الطلب. الإخطار بالخرق: ستُخطِر International Energy Club المتحكم دون تأخير لا مبرر له وعلى أي حال خلال 24 ساعة من علمها بخرق للبيانات الشخصية يؤثر في البيانات المعالَجة بموجب هذه الاتفاقية، مع تقديم المعلومات المطلوبة بموجب المادة 33(3) من GDPR. وستتعاون International Energy Club تعاوناً كاملاً مع المتحكم فيما يتعلق بأي تحقيق تنظيمي أو إجراء إنفاذ.