اتفاقية معالجة البيانات

"المتحكم" يعني العميل الذي يحدد أغراض ووسائل معالجة البيانات الشخصية من خلال استخدام الخدمة.

"المعالج" يعني رَوِّج، التي تعالج البيانات الشخصية نيابة عن المتحكم فيما يتعلق بالخدمة.

"البيانات الشخصية" تعني أي معلومات تتعلق بشخص طبيعي محدد أو قابل للتحديد يتم معالجتها بواسطة رَوِّج نيابة عن العميل فيما يتعلق بالخدمة.

"المعالج الفرعي" يعني أي طرف ثالث تستعين به رَوِّج للمساعدة في معالجة البيانات الشخصية نيابة عن المتحكم.

"صاحب البيانات" يعني شخصاً طبيعياً محدداً أو قابلاً للتحديد تتم معالجة بياناته الشخصية.

"GDPR" يعني اللائحة (EU) 2016/679 للبرلمان الأوروبي والمجلس.

"قانون حماية البيانات المعمول به" يعني جميع القوانين واللوائح المنطبقة على معالجة البيانات الشخصية بموجب هذه الاتفاقية، بما في ذلك GDPR وقانون حماية البيانات في المملكة المتحدة 2018 وأي تشريع وطني منفذ.

تنطبق هذه الاتفاقية على معالجة البيانات الشخصية بواسطة رَوِّج نيابة عن العميل فيما يتعلق بتقديم منصة إدارة وسائل التواصل الاجتماعي ("الخدمة").

يعمل العميل كمتحكم في البيانات الشخصية، ويحدد أغراض ووسائل المعالجة. تعمل رَوِّج كمعالج، وتعالج البيانات الشخصية فقط نيابة عن العميل وبموجب تعليماته الموثقة.

تشمل فئات البيانات الشخصية المعالجة: معرفات حسابات وسائل التواصل الاجتماعي، ومعلومات الملف الشخصي، ومحتوى المنشورات والبيانات الوصفية، وتحليلات التفاعل، والبيانات الديموغرافية للجمهور، وأي بيانات أخرى يقدمها العميل من خلال الخدمة.

تشمل فئات أصحاب البيانات: متابعي وجمهور وسائل التواصل الاجتماعي للعميل، وموظفي العميل وأعضاء الفريق الذين يستخدمون الخدمة، وأي أفراد تتضمن بياناتهم في المحتوى المُدار من خلال الخدمة.

لا تعالج رَوِّج البيانات الشخصية إلا بموجب تعليمات موثقة من العميل، ما لم يكن مطلوباً منها ذلك بموجب قانون الاتحاد الأوروبي أو دولة عضو تخضع له رَوِّج.

تعليمات العميل لمعالجة البيانات الشخصية هي: (أ) المعالجة لتقديم الخدمة وصيانتها وتحسينها؛ (ب) المعالجة للامتثال لتعليمات العميل المعقولة الأخرى.

تُبلغ رَوِّج العميل فوراً إذا كانت، في رأيها، تنتهك تعليمات ما أحكام GDPR أو أحكام حماية البيانات الأخرى المعمول بها.

تنفذ رَوِّج التدابير التقنية والتنظيمية المناسبة لضمان مستوى أمان مناسب للمخاطر، بما في ذلك:

(أ) تشفير البيانات الشخصية أثناء النقل باستخدام TLS 1.2 أو أعلى وأثناء التخزين باستخدام تشفير AES-256؛ (ب) القدرة على ضمان السرية والسلامة والتوافر والمرونة المستمرة لأنظمة المعالجة؛ (ج) القدرة على استعادة توافر البيانات الشخصية والوصول إليها في الوقت المناسب؛ (د) عملية لاختبار وتقييم فعالية التدابير بشكل منتظم.

تضمن رَوِّج أن الأشخاص المصرح لهم بمعالجة البيانات الشخصية قد التزموا بالسرية.

تُستضاف البنية التحتية للخدمة على Supabase (المدعومة من Amazon Web Services)، التي تحتفظ بشهادة SOC 2 Type II وتنفذ ضوابط أمنية شاملة.

يقدم العميل تفويضاً عاماً لرَوِّج لإشراك معالجين فرعيين للمساعدة في معالجة البيانات الشخصية.

المعالجون الفرعيون الحاليون يشملون: Supabase Inc. (استضافة قاعدة البيانات والمصادقة)؛ Vercel Inc. (استضافة التطبيق)؛ Resend Inc. (تسليم البريد الإلكتروني)؛ واجهات برمجة تطبيقات وسائل التواصل الاجتماعي (Meta، X Corp، TikTok، LinkedIn، Google، Snap Inc.، Telegram).

تُبلغ رَوِّج العميل بأي تغييرات مقصودة تتعلق بإضافة أو استبدال المعالجين الفرعيين، مما يمنح العميل فرصة للاعتراض على هذه التغييرات.

تفرض رَوِّج على كل معالج فرعي التزامات حماية بيانات لا تقل حماية عن تلك المنصوص عليها في هذه الاتفاقية.

تساعد رَوِّج العميل من خلال التدابير التقنية والتنظيمية المناسبة لتحقيق التزام العميل بالاستجابة لطلبات ممارسة حقوق أصحاب البيانات بموجب الفصل الثالث من GDPR.

تشمل هذه الحقوق: حق الوصول (المادة 15)، حق التصحيح (المادة 16)، حق المحو (المادة 17)، حق تقييد المعالجة (المادة 18)، حق نقل البيانات (المادة 20)، وحق الاعتراض (المادة 21).

إذا تلقت رَوِّج طلباً من صاحب بيانات مباشرة، توجهه فوراً إلى العميل وتُبلغ العميل بالطلب.

تُخطر رَوِّج العميل دون تأخير غير مبرر، وفي أي حال خلال 48 ساعة، بعد علمها بخرق البيانات الشخصية. يتضمن هذا الإخطار: (أ) وصف طبيعة الخرق؛ (ب) بيانات الاتصال بمسؤول حماية البيانات؛ (ج) وصف العواقب المحتملة؛ (د) وصف التدابير المتخذة.

تتعاون رَوِّج مع العميل وتساعده في أي تحقيق أو تخفيف أو معالجة لخرق البيانات الشخصية.

حيثما تنطوي معالجة البيانات الشخصية على نقلها خارج المنطقة الاقتصادية الأوروبية ("EEA") أو المملكة المتحدة أو سويسرا، تضمن رَوِّج أن هذه التحويلات تتم وفقاً لقانون حماية البيانات المعمول به.

للتحويلات إلى دول لا يُعترف بها على أنها توفر مستوى حماية كافياً، تعتمد رَوِّج على البنود التعاقدية القياسية ("SCCs") المعتمدة من المفوضية الأوروبية.

تنفذ رَوِّج تدابير تكميلية عند الضرورة لضمان عدم تقويض مستوى حماية البيانات الشخصية.

عند إنهاء اتفاقية الخدمة، أو بناءً على طلب كتابي من العميل، تقوم رَوِّج بحذف أو إعادة جميع البيانات الشخصية إلى العميل، وحذف النسخ الموجودة ما لم يتطلب القانون تخزينها.

يمكن للعميل طلب حذف أو تصدير بياناته في أي وقت من خلال إعدادات الخدمة أو بالتواصل مع privacy@rawwij.com. تمتثل رَوِّج لهذه الطلبات خلال 30 يوماً.

يجوز لرَوِّج الاحتفاظ بالبيانات الشخصية بالقدر الذي يتطلبه القانون المعمول به فقط.

توفر رَوِّج للعميل جميع المعلومات اللازمة لإثبات الامتثال للالتزامات المنصوص عليها في المادة 28 من GDPR، وتسمح بإجراء عمليات التدقيق وتساهم فيها.

يجب تقديم طلبات التدقيق بإشعار معقول (30 يوماً كحد أدنى) وتُجرى خلال ساعات العمل العادية. يتحمل العميل تكاليف أي تدقيق ما لم يكشف التدقيق عن خرق جوهري.

تُبلغ رَوِّج العميل فوراً إذا كانت تعليمات من العميل تنتهك أحكام حماية البيانات.

تخضع مسؤولية كل طرف بموجب هذه الاتفاقية للقيود والاستثناءات المنصوص عليها في اتفاقية الخدمة.

تعوض رَوِّج العميل ضد جميع المطالبات والتكاليف والأضرار الناشئة عن خرق رَوِّج لهذه الاتفاقية أو قانون حماية البيانات المعمول به.

تخضع هذه الاتفاقية لقوانين دولة الكويت، باستثناء الحالات التي يتطلب فيها قانون حماية البيانات المعمول به خلاف ذلك.

لأصحاب البيانات في المنطقة الاقتصادية الأوروبية، تخضع أي نزاعات ناشئة بموجب هذه الاتفاقية لاختصاص محاكم دولة الاتحاد الأوروبي العضو التي يقيم فيها صاحب البيانات عادة.

تظل هذه الاتفاقية سارية المفعول طالما تعالج رَوِّج البيانات الشخصية نيابة عن العميل.