1. موضوع العقد ومدته

• 1.1 تحكم اتفاقية معالجة البيانات هذه معالجة البيانات الشخصية الواردة في بيانات العميل.
• 1.2 يسري اتفاقية معالجة البيانات هذه طوال مدة استخدام العميل للخدمة وطوال الفترة التي يقوم فيها المُعالج بمعالجة البيانات الشخصية نيابةً عن المُشرف.

2. طبيعة وغرض المعالجة
‍

يقوم المُعالج بمعالجة البيانات الشخصية لغرض وحيد هو:

• توفير الخدمة وتشغيلها،
• تمكين العميل من استخدام الخدمة،
• تقديم الدعم للعملاء،
• ضمان الأمن وسلامة النظام،
• الالتزام بالالتزامات القانونية.

3. فئات أصحاب البيانات
‍

قد تتعلق البيانات الشخصية بما يلي:

• موظفو العملاء
• ممثلو خدمة العملاء
• المستخدمون النهائيون لمشاريع العملاء
• الأشخاص الآخرون الذين ترد بياناتهم الشخصية ضمن بيانات العملاء

4. أنواع البيانات الشخصية
‍

اعتمادًا على استخدام العميل، قد تشمل البيانات الشخصية ما يلي:

• الأسماء
• بيانات الاتصال
• الألقاب المهنية
• معرفات المستخدمين
• عناوين بروتوكول الإنترنت وبيانات الاستخدام
• البيانات الشخصية الواردة في المستندات أو الرسومات التي تم تحميلها

5. التزامات المعالج
‍

يجب على المعالج:

• 5.1 معالجة البيانات الشخصية فقط بناءً على تعليمات موثقة صادرة عن الجهة المسؤولة عن معالجة البيانات.
• 5.2 ضمان سرية المعلومات من قبل الموظفين المصرح لهم.
• 5.3 تنفيذ التدابير الأمنية الفنية والتنظيمية المناسبة.
• 5.4 مساعدة المراقب على تلبية طلبات أصحاب البيانات المتعلقة بحقوقهم، حيثما كان ذلك ممكناً بشكل معقول.
• 5.5 إخطار المسؤول عن المعالجة دون تأخير غير مبرر بأي خرق للبيانات الشخصية.
• 5.6 عدم بيع البيانات الشخصية.
• 5.7 يجب على المُعالج التأكد من أن الأشخاص المُخوَّلين بمعالجة البيانات الشخصية قد التزموا بالسرية أو يخضعون لالتزام قانوني مناسب بالسرية.

6. إخفاء الهوية وتحسين الخدمة

• 6.1 يجوز للمعالج استخدام بيانات العميل لغرض تحسين الخدمة وتطويرها واختبارها والتدريب عليها، بما في ذلك نماذج التعلم الآلي، شريطة أن تكون هذه البيانات قد خضعت لعملية إخفاء الهوية بشكل لا رجعة فيه.
• 6.2 يجب ألا تسمح البيانات المُجهلة الهوية بتحديد هوية أي فرد أو الجهة المسؤولة عن معالجة البيانات، وألا تكون قادرة على تحديد هويتهما.
• 6.3 وبمجرد إخفاء الهوية، لن تُعتبر هذه البيانات بيانات شخصية بموجب اتفاقية معالجة البيانات هذه.
• 6.4 لا يجوز للمعالج استخدام البيانات الشخصية القابلة للتعريف الواردة في بيانات العميل لأغراضه الخاصة المستقلة.

7. الجهات الفرعية المعالجة للبيانات

• 7.1 يصرح المُراقب للمُعالج بالتعاقد مع مُعالجين فرعيين.
• 7.2 تتوفر قائمة حديثة بمعالجي البيانات الفرعيين على الرابط التالي: https://www.planmetry.com/subprocessors
• 7.3 يجب على المعالج التأكد من أن المعالجين الفرعيين ملزمون باتفاقيات مكتوبة تفرض عليهم التزامات بحماية البيانات تعادل تلك المنصوص عليها في اتفاقية معالجة البيانات هذه.
• 7.4 يجوز للمسؤول عن المعالجة الاعتراض على تعيين معالج فرعي جديد لأسباب معقولة تتعلق بحماية البيانات في غضون ثلاثين (30) يومًا من تاريخ الإخطار.

8. التحويلات الدولية
‍

في حالة نقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية، يتعين على الجهة المعالجة ضمان توفير ضمانات مناسبة وفقًا للائحة العامة لحماية البيانات (GDPR)، بما في ذلك:

• قرارات الكفاية، أو
• البنود التعاقدية النموذجية (SCCs).

9. التدابير الأمنية
‍

تتخذ الشركة التدابير الفنية والتنظيمية المناسبة، بما في ذلك:

• التشفير أثناء النقل (TLS)
• التحكم في الوصول والأذونات القائمة على الأدوار
• الفصل المنطقي لبيانات العملاء
• المراقبة والتسجيل
• بنية تحتية سحابية آمنة
• النسخ الاحتياطي واستعادة البيانات بعد الكوارث

10. التدقيق وإثبات الامتثال

• 10.1 يتعين على المعالج توفير المعلومات اللازمة بشكل معقول لإثبات الامتثال.
• 10.2 يجوز إجراء عمليات التدقيق:

• لا يزيد عن مرة واحدة في السنة التقويمية،
• بشرط إرسال إشعار خطي مسبق قبل 30 يومًا على الأقل،
• خلال ساعات العمل العادية.

11. الإرجاع والحذف

• عند إنهاء الخدمة، يتعين على المُعالج حذف البيانات الشخصية أو إخفاء هويتها بعد فترة احتفاظ معقولة لا تتجاوز تسعين (90) يومًا، ما لم ينص القانون على خلاف ذلك.
  ‍
  يتحمل المُسؤول عن المعالجة مسؤولية تصدير البيانات قبل إنهاء الخدمة.

12. المسؤولية

• تخضع المسؤولية بموجب اتفاقية معالجة البيانات هذه للقيود المنصوص عليها في شروط الاستخدام.
  ‍
  ولا يوجد في اتفاقية معالجة البيانات هذه ما يحد من المسؤولية التي لا يمكن تقييدها بموجب القانون المعمول به.

ملحق المؤسسة

• (ينطبق على خطط الاشتراك المؤسسية فقط)
  ‍
  ينطبق هذا القسم فقط في الحالات التي يكون فيها العميل قد أبرم اتفاقية اشتراك مؤسسية تتضمن صراحةً ميزات التحكم في البيانات المؤسسية.

13. استضافة بيانات المؤسسات والتحكم فيها

• 13.1 التخزين الذي يتحكم فيه العميل
  ‍
  في حالة الاتفاق على ذلك بموجب خطة المؤسسات، يجوز تخزين بيانات العميل في بيئة يتحكم فيها العميل، مثل البنية التحتية السحابية الخاصة بالعميل (مثل SharePoint أو Azure أو AWS أو أي بيئة تخزين أخرى محددة).
  ‍
  وفي مثل هذه الحالات:

• تقوم Planmetry بمعالجة بيانات العملاء لغرض وحيد هو تقديم الخدمة.
• يتم تخزين بيانات العملاء بشكل دائم في بيئة يخضع إدارتها لسيطرة العميل.
• لا تحتفظ Planmetry بنسخ مستقلة من بيانات العملاء بما يتجاوز الحد الضروري تقنيًا للمعالجة المؤقتة.

• 13.2 المعالجة المؤقتة والتخزين المؤقت
  
  من أجل توفير وظائف الخدمة، قد يتم معالجة بيانات العميل أو تخزينها مؤقتًا أو حفظها في ذاكرة التخزين المؤقت داخل البنية التحتية التي تديرها Planmetry أثناء الجلسات النشطة أو العمليات الفنية.
  
  هذا التخزين المؤقت:

• يقتصر على ما هو ضروري من الناحية الفنية،
• يتم استبداله أو حذفه تلقائيًا بعد انتهاء الجلسة أو انتهاء فترات المعالجة القصيرة المحددة،
• لا يُستخدم في إجراء تحليلات مستقلة أو تدريب النماذج.

• 13.3 عدم استخدام البيانات لأغراض التدريب (خيار المؤسسات)
  
  ما لم يتم الاتفاق صراحةً على خلاف ذلك كتابةً، لا يجوز لشركة Planmetry استخدام بيانات عملاء المؤسسات، بما في ذلك المشتقات المُجهَّلة الهوية، لغرض تدريب نماذج التعلم الآلي أو تحسينها.
  
  ويقتصر تحسين الخدمة لخطط المؤسسات على:

• المراقبة الأمنية،
• إصلاح الأخطاء،
• تحسين الأداء،
• مقاييس التشغيل المجمعة التي لا تستمد من محتوى العملاء.

• 13.4 ملكية البيانات والسيطرة عليها
  
  يحتفظ العميل بالملكية الكاملة والسيطرة الكاملة على بيانات العملاء المؤسسية.
  لا يجوز لشركة Planmetry:

• استغلال بيانات عملاء المؤسسات لأغراض تجارية،
• استخدمه لإجراء تحليلات مستقلة،
• ادمجها مع بيانات عملاء آخرين لأغراض التدريب أو تطوير المنتجات.

• 13.5 توزيع المسؤولية
  
  في حالة اختيار العميل للتخزين الذي يتحكم فيه:

• يتحمل العميل مسؤولية الأمن وضوابط الوصول الخاصة ببيئة التخزين المخصصة له.
• تظل شركة Planmetry مسؤولة عن أمن العمليات التي تتم داخل البنية التحتية التي تديرها.