اتفاقية معالجة البيانات

تنطبق اتفاقية معالجة البيانات هذه (DPA) في الحالات التي تستخدم فيها أنت (العميل، المتحكم) خدمات Kapsule Cloud لمعالجة المعلومات الشخصية عن أفراد آخرين (أصحاب البيانات). وتشكل هذه الاتفاقية جزءاً من شروط الخدمة بيننا وبين Kapsule Group Limited (Kapsule Cloud، نحن، لنا، معالج البيانات).

تعكس اتفاقية معالجة البيانات هذه متطلبات قانون الخصوصية النيوزيلندي Privacy Act 2020. وحيث تكون خاضعاً لقوانين خصوصية أخرى قابلة للتطبيق (على سبيل المثال، اللائحة العامة لحماية البيانات بالاتحاد الأوروبي، UK GDPR، أو قانون الخصوصية الأسترالي Privacy Act 1988)، فإن الأحكام ذات الصلة من هذه الاتفاقية، عند قراءتها معاً مع سياسة الخصوصية الخاصة بنا وقائمة معالجات البيانات الفرعيين، يُقصد بها أن توفر حماية مماثلة لتلك القوانين. وحيث تكون هناك حاجة إلى تدابير تعاقدية إضافية لدعم امتثالك لقانون أجنبي، سننظر فيها بناءً على طلبك.

إذا كنت تستخدم الخدمات فقط لمعالجة معلوماتك الشخصية الخاصة (وليس المعلومات الشخصية عن أفراد آخرين)، فإن اتفاقية معالجة البيانات هذه لا تنطبق؛ وتنطبق سياسة الخصوصية وحدها.

في هذا اتفاق معالجة البيانات:

«قوانين الخصوصية المعمول بها» تعني قانون الخصوصية لسنة 2020 وأي قانون خصوصية أو حماية بيانات آخر ينطبق على معالجة العميل للمعلومات الشخصية باستخدام الخدمات.

«المتحكم» يعني الشخص الطبيعي أو الاعتباري الذي يحدد أغراض ووسائل معالجة المعلومات الشخصية.

«المعلومات الشخصية للعميل» تعني المعلومات الشخصية التي نعالجها نيابة عنك باستخدام الخدمات فيما يتعلق بأصحاب البيانات.

«صاحب البيانات» يعني الشخص الطبيعي المحدد أو القابل للتحديد الذي تتعلق به المعلومات الشخصية للعميل.

«انتهاك الخصوصية القابل للإخطار» له المعنى المعطى في المادة 112 من قانون الخصوصية لسنة 2020 (انتهاك الخصوصية الذي تسبب أو يُرجح أن يتسبب في ضرر جسيم).

«المعلومات الشخصية» لها المعنى المعطى في قانون الخصوصية لسنة 2020.

«معالج البيانات» يعني الشخص الذي يعالج المعلومات الشخصية نيابة عن المتحكم.

«المعالجة» تعني أي عملية أو مجموعة عمليات يتم إجراؤها على المعلومات الشخصية، سواء كانت بوسائل آلية أم لا.

«معالج البيانات من الغير» يعني طرفاً ثالثاً نتعاقد معه لمعالجة المعلومات الشخصية للعميل نيابة عنا.

«الشروط التعاقدية المعيارية» تعني شروط حماية البيانات المعيارية التي تعتمدها سلطة حماية بيانات معترف بها (على سبيل المثال، الشروط التعاقدية المعيارية للاتحاد الأوروبي من قبل المفوضية الأوروبية) لتحويلات البيانات الشخصية من ولاية قضائية لها قواعد مقيدة لتحويل البيانات عبر الحدود.

للمصطلحات الأخرى المكتوبة بأحرف كبيرة المعاني المعطاة في شروط الخدمة.

#2.1 الأدوار. فيما يتعلق ببيانات العملاء الشخصية، أنت المتحكم وأننا المعالج. أنت مسؤول عن قانونية جمعك ومعالجتك لبيانات العملاء الشخصية، بما في ذلك توفير جميع إشعارات الخصوصية المطلوبة والحصول على جميع الموافقات المطلوبة والامتثال لجميع قوانين الخصوصية المعمول بها في تعاملاتك مع أصحاب البيانات.

#2.2 التعليمات الموثقة. سنقوم بمعالجة بيانات العملاء الشخصية فقط: (أ) حسب الضرورة لتقديم الخدمات وفقاً لشروط الخدمة؛ (ب) وفقاً لتعليماتك المعقولة والموثقة (تعتبر شروط الخدمة والخيارات التكوينية التي تحددها في KPanel وأي تعليمات كتابية أخرى تعطيها لنا بمثابة تعليماتك الموثقة)؛ و(ج) حسبما يتطلبه القانون الذي ينطبق علينا، وفي هذه الحالة سنخبرك بالمتطلب القانوني قبل المعالجة، ما لم يكن ذلك محظوراً بموجب هذا القانون لأسباب مهمة تتعلق بالمصلحة العامة.

#2.3 التعليمات المتناقضة. سنخبرك إذا كان برأينا المعقول أن تعليماتك تنتهك قانون الخصوصية المعمول به. قد نرفض معالجة بيانات العملاء الشخصية في الحالات التي قد تضعنا في وضع يخالف قانون الخصوصية المعمول به.

#3.1 سنضمن التزام أي شخص مصرح له بمعالجة بيانات العملاء الشخصية بالنيابة عنا بالتزامات السرية، سواء من خلال العقد أو القانون، وسيتم إبلاغه بالطبيعة السرية للمعلومات.

#3.2 الوصول إلى بيانات العملاء الشخصية مقتصر على أساس الحاجة فقط ومحمي بضوابط الوصول والمصادقة متعددة العوامل الإلزامية وتسجيل التدقيق.

#4.1 سنقوم بتنفيذ والحفاظ على التدابير التقنية والتنظيمية المناسبة لحماية معلومات العملاء الشخصية من المعالجة غير المصرح بها أو غير القانونية، والفقدان العرضي، والتدمير أو الضرر. يتم تلخيص التدابير الحالية في الملحق B لهذه اتفاقية معالجة البيانات وفي kapsulecloud.com/legal/security.

#4.2 سنقوم بمراجعة وتحديث تدابيرنا الأمنية بشكل منتظم لتأخذ في الاعتبار الحالة الراهنة للتكنولوجيا، وتكاليف التنفيذ، وطبيعة ونطاق وسياق المعالجة والأغراض المتعلقة بها، والمخاطر التي تهدد حقوق وحريات أصحاب البيانات.

#4.3 لن نقلل بشكل جوهري من مستوى الحماية الإجمالي دون إخطار لك بذلك.

#5.1 التفويض. تفوضنا بتعيين المعالجات الفرعيين المدرجين في kapsulecloud.com/legal/sub-processors لمعالجة بيانات العملاء الشخصية.

#5.2 شروط المعالجات الفرعيين. سندخل في عقد مكتوب مع كل معالج فرعي يفرض التزامات حماية البيانات لا تقل حماية عن تلك الواردة في هذه الاتفاقية، بما في ذلك التزامات السرية والأمان والمعالجة المحدودة.

#5.3 إخطار بالمعالجات الفرعيين الجدد. سنخطرك بأي معالج فرعي جديد سيقوم بمعالجة بيانات العملاء الشخصية قبل ثلاثين (30) يوماً على الأقل من بدء المعالج الفرعي بالمعالجة. سيتم الإخطار عن طريق البريد الإلكتروني والنشر على صفحة المعالجات الفرعيين.

#5.4 الاعتراض. يمكنك الاعتراض على أسس معقولة (على سبيل المثال، مخاوف موثقة بشأن أمان أو امتثال أو ولاية القضاء الخاصة بالمعالج الفرعي المقترح) بإرسال بريد إلكتروني إلى [email protected] خلال فترة الـ 30 يوماً. إذا لم نتمكن من تلبية اعتراضك بشكل معقول (على سبيل المثال، بتغيير المعالجات الفرعيين أو تعديل الإعدادات)، يمكنك إنهاء الخدمة المتأثرة والحصول على استرجاع نسبي لأي رسوم مدفوعة مقدماً عن الجزء غير المستخدم من دورة الفواتير ذات الصلة.

#5.5 مسؤولية المعالجات الفرعيين. نبقى مسؤولين أمامك عن تصرفات وإغفالات معالجينا الفرعيين فيما يتعلق ببيانات العملاء الشخصية وكأنها تصرفاتنا وإغفالاتنا.

#6.1 سوف نقدم، مع مراعاة طبيعة المعالجة، مساعدة معقولة لمساعدتك في الرد على طلبات أصحاب البيانات لممارسة حقوقهم بموجب قوانين الخصوصية المعمول بها، بما في ذلك حقوق الوصول والتصحيح والحذف والتقييد والنقل.

#6.2 إذا تلقينا طلباً من صاحب بيانات يتعلق باستخدامك للخدمات، فسنقوم بما يلي: (أ) إحالة صاحب البيانات إليك (المتحكم في البيانات)؛ و(ب) إخطارك بالطلب دون تأخير غير مبرر، ما لم يكن ذلك محظوراً قانوناً.

#6.3 يتم تقديم المساعدة من خلال ميزات الوصول والتصدير والحذف في KPanel حيث تكون كافية، وعن طريق الدعم اليدوي حيث لا تتمكن الميزات التقنية من تلبية الطلب.

#6.4 قد نفرض رسماً معقولاً للمساعدة اليدوية التي تتجاوز بشكل كبير الدعم الروتيني، في الحالات التي يكون فيها الطلب غير مبرر بشكل واضح أو مفرطاً.

#7.1 الإخطار. سيتم إخطارك بأي انتهاك خصوصية قابل للإخطار مؤكد يؤثر على المعلومات الشخصية للعميل دون تأخير غير ضروري، وعلى أي حال في غضون اثنين وسبعين (72) ساعة من إدراكنا به.

#7.2 محتوى الإخطار. سيتضمن الإخطار، بقدر ما يكون معروفاً ومتاحاً بشكل معقول في وقت الإخطار: (أ) طبيعة الانتهاك، بما في ذلك، حيثما أمكن، فئات العدد التقريبي لأصحاب البيانات والسجلات المتأثرة؛ (ب) العواقب المحتملة للانتهاك؛ (ج) التدابير التي اتخذناها أو نقترح اتخاذها لمعالجة الانتهاك والتخفيف من آثاره السلبية المحتملة؛ و(د) نقطة الاتصال للحصول على معلومات إضافية.

#7.3 التحديثات اللاحقة. عند عدم توفر بعض المعلومات في وقت الإخطار الأولي، سنوفرها في تحديثات إضافية في أقرب وقت ممكن بشكل عملي.

#7.4 التعاون. سنتعاون بشكل معقول معك في أي تحقيق مطلوب، وإخطار السلطات، وإخطار أصحاب البيانات المتأثرين، والمعالجة.

#7.5 مسؤولية العميل. تبقى مسؤول عن تقييم ما إذا كان الانتهاك يشكل انتهاك خصوصية قابل للإخطار بموجب القانون الذي ينطبق عليك، وعن تقديم الإخطارات الضرورية إلى مكتب مفوض الخصوصية، وأصحاب البيانات المتأثرين، أو الجهات التنظيمية الأخرى. سنوفر لك المعلومات التي تحتاجها بشكل معقول للقيام بذلك.

#8.1 المعلومات. سنوفر لك المعلومات اللازمة لإثبات التزامنا بهذه اتفاقية معالجة البيانات، بما في ذلك بيان الأمان على kapsulecloud.com/legal/security وقائمة معالجات البيانات من الغير وأي تقارير تدقيق أو شهادات من جهات خارجية نحتفظ بها (إن وجدت).

#8.2 التدقيق الميداني. في الحالات التي تكون فيها المعلومات الواردة في البند 8.1 غير كافية لإثبات الالتزام فيما يتعلق بقضية معينة أثرتها كتابيًا، يمكنك إجراء تدقيق على امتثالنا لهذه اتفاقية معالجة البيانات وفقًا للشروط التالية: (أ) يتم إجراء عمليات التدقيق على حسابك الخاص (بما في ذلك تكاليفنا المعقولة للمساعدة)؛ (ب) تزودنا بإشعار كتابي قدره ثلاثون (30) يومًا على الأقل؛ (ج) يتم إجراء عمليات التدقيق خلال ساعات عملنا العادية؛ (د) لا يتم إجراء عمليات التدقيق أكثر من مرة واحدة في أي فترة اثني عشر (12) شهرًا، إلا بعد حدوث خرق خصوصية قابل للإخطار مؤكد يؤثر عليك، وفي هذه الحالة يمكن إجراء تدقيق إضافي بإشعار معقول؛ (هـ) لا يتسبب التدقيق في تعطيل غير معقول لعملياتنا أو المساس بسرية معلومات العملاء الآخرين؛ (و) يجب أن يكون المدقق مؤهلاً ومستقلاً عن منافسينا وملزمًا بالتزامات السرية بشروط مقبولة لنا؛ (ز) يمكننا، وفقًا لتقديرنا، الوفاء بالتزاماتنا في التدقيق من خلال تقديم نسخ من تقارير التدقيق أو الشهادات من جهات خارجية (حيث تتوفر) أو بالرد على استبيان أمني.

#8.3 ستزودنا بنسخة من أي تقرير تدقيق وأي نتائج، وسنبذل جهودًا معقولة لمعالجة النتائج الجوهرية في غضون فترة متفق عليها.

#9.1 تقرّ بأن بعض معالجي البيانات الفرعيين لدينا موجودون خارج نيوزيلندا. يتم تحديد المواقع الحالية على الموقع kapsulecloud.com/legal/sub-processors.

#9.2 عند نقل معلومات العملاء الشخصية خارج نيوزيلندا، سنضمن تطبيق ضمانات مماثلة، بما في ذلك: (أ) التأكد من أن معالج البيانات الفرعي يخضع لقانون الخصوصية الذي يوفر، في رأينا، حماية مماثلة لقانون الخصوصية لعام 2020 (Privacy Act 2020)؛ أو (ب) إبرام ضمانات تعاقدية مع معالج البيانات الفرعي تتطلب حماية مماثلة (على سبيل المثال، بالرجوع إلى البنود العقدية الموحدة حيثما يكون ذلك مناسباً)؛ أو (ج) الحصول على تفويض صريح منك للنقل.

#9.3 بموجب دخولك في هذه اتفاقية معالجة البيانات (DPA)، فإنك تفوض التحويلات الموضحة في البند 7 من سياسة الخصوصية والبند 5 من هذه الاتفاقية، على أساس الضمانات الواردة في البند 9.2.

#10.1 خلال فترة تقديم الخدمات، يمكنك تصدير معلومات العميل الشخصية عبر KPanel باستخدام أدوات التصدير القياسية لدينا (CSV أو JSON أو تنزيل الأرشيف أو نسخة قاعدة البيانات، حسب نوع البيانات).

#10.2 عند إنهاء الخدمات وحسب خيارك، سنقوم بما يلي: (أ) جعل معلومات العميل الشخصية متاحة للتصدير لمدة ثلاثين (30) يوماً بعد الإنهاء (فترة السماح)؛ و(ب) بعد ذلك، حذف معلومات العميل الشخصية بشكل دائم من الأنظمة المباشرة.

#10.3 سيتم حذف نسخ النسخ الاحتياطية المشفرة في دورة الدوران المجدولة التالية، وليس في موعد أبعد من ثلاثين (30) يوماً بعد الحذف من الأنظمة المباشرة.

#10.4 قد نحتفظ بمعلومات العميل الشخصية بعد الإنهاء حيثما يكون ذلك مطلوباً بموجب القانون (على سبيل المثال، السجلات المحاسبية والضريبية بموجب Tax Administration Act 1994، أو للدفاع عن مطالبة قانونية). سيكون أي احتفاظ من هذا القبيل محدوداً بالحد الأدنى الضروري، وستبقى المعلومات خاضعة لالتزامات السرية والأمان الواردة في هذه الاتفاقية.

#11.1 تنطبق أحكام المسؤولية الواردة في شروط الخدمة (بما في ذلك تحديد المسؤولية في البند 16) على هذه اتفاقية معالجة البيانات.

#11.2 دون الإخلال بأحكام البند 11.1، لا شيء في هذه الاتفاقية يحد من مسؤولية أي طرف عن الاحتيال أو التمثيل الاحتيالي أو الإجراءات المتعمدة الخاطئة، أو أي مسؤولية لا يمكن قانوناً تحديدها بموجب قوانين الخصوصية المعمول بها.

#11.3 في حالة تعرضنا لعقوبة تنظيمية نتيجة لعدم امتثالك لالتزاماتك بموجب هذه الاتفاقية أو قوانين الخصوصية المعمول بها، أو فيما يتعلق بذلك، يعتبر مبلغ تلك العقوبة خسارة قابلة للاسترجاع منك، مع مراعاة الحدود المنصوص عليها في شروط الخدمة.

#11.4 الرصيد الخدمي بموجب اتفاقية مستوى الخدمة لا يشكل رصيداً بموجب هذه الاتفاقية.

#12.1 يبدأ سريان اتفاقية معالجة البيانات هذه عند استخدامك للخدمات لأول مرة (أو في 15 مايو 2026، أيهما أكثر تأخراً)، وتستمر حتى إنهاء الخدمات واستكمال التزاماتنا بحذف البيانات بموجب البند 10.

#12.2 قد نقوم بتحديث اتفاقية معالجة البيانات هذه من وقت لآخر لعكس التغييرات في القوانين أو في عملياتنا. سيتم إخطارك بالتغييرات الجوهرية قبل ثلاثين (30) يوماً على الأقل.

#13.1 في حالة وجود تضارب بين اتفاقية معالجة البيانات هذه وشروط الخدمة أو سياسة الخصوصية فيما يتعلق بمعالجة بيانات العميل الشخصية، تسود اتفاقية معالجة البيانات هذه.

#13.2 في حالة وجود تضارب بين اتفاقية معالجة البيانات هذه وأي حكم إلزامي قابل للتطبيق من قانون الخصوصية المعمول به، يسود الحكم الإلزامي بقدر التضارب.

ضابط حماية البيانات الشخصية

Kapsule Group Limited، كرايستتشيرتش، نيوزيلندا.

البريد الإلكتروني: [email protected]

أ.1 موضوع المعالجة. توفير خدمات استضافة سحابية وتسجيل النطاقات واستضافة البريد الإلكتروني والخدمات ذات الصلة كما هو موضح في شروط الخدمة.

أ.2 المدة الزمنية. لمدة سريان الخدمات، بالإضافة إلى فترة السماح وأي احتفاظ مطلوب بموجب القانون كما هو منصوص عليه في البند 10.

أ.3 طبيعة وغرض المعالجة. التخزين والنقل والنسخ الاحتياطي والأمان والنسخ المتطابقة والفهرسة وتحويل الصيغة (للتوافقية التقنية) ومنع الإساءة والفوترة ومعالجات أخرى ضرورية لتشغيل الخدمات.

أ.4 فئات بيانات العملاء الشخصية. كما تحددها وتحملها أنت. قد تشمل: الأسماء وبيانات الاتصال (البريد الإلكتروني والهاتف والعنوان) وبيانات اعتماد الحساب ومعلومات التحقق من الهوية ومعلومات الدفع والبيانات المتعلقة بالمعاملات وعناوين IP ومعرفات الأجهزة والصور والصور الأخرى ومحتوى المواقع الإلكترونية والتطبيقات ومحتوى البريد الإلكتروني وبيانات وصفية للرسائل وسجلات إدارة علاقات العملاء والتواصل المتعلق بالدعم وأي بيانات شخصية أخرى تختار معالجتها عبر الخدمات.

أ.5 فئات المعنيين بالبيانات. كما تحددها أنت. قد تشمل: موظفيك والمقاولين والوكلاء والعملاء والعملاء المحتملين والموردين والأعضاء والمستخدمين النهائيين والمانحين والأفراد الآخرين الذين تختار معالجة بيانتهم الشخصية عبر الخدمات.

أ.6 الفئات الخاصة. لا يجوز لك تحميل أي بيانات شخصية من فئات خاصة أو حساسة (مثل معلومات الصحة والبيانات البيومترية والسجلات الجنائية والمعتقدات الدينية والميول الجنسية أو العضوية النقابية) على الخدمات دون اتفاق مكتوب مسبق منا بشأن الضمانات الإضافية المناسبة. إذا قمت بتحميل هذه المعلومات دون اتفاقنا، فأنت مسؤول عن شرعية القيام بذلك وتعوضنا عن أي مطالبات ذات صلة.

أ.7 تكرار ومدة المعالجة. مستمرة طوال مدة الخدمات.

نحن ننفذ التدابير التقنية والتنظيمية التالية، والتي قد نقوم بتحديثها من وقت لآخر للحفاظ على الحماية الشاملة أو تحسينها:

B.1 سياسات وحوكمة أمان المعلومات. سياسات موثقة لأمان المعلومات والخصوصية، تتم مراجعتها على الأقل سنويًا. ضابط خصوصية معين مسؤول عن الامتثال. تدريب الموظفين على الخصوصية والأمان عند الالتحاق وسنويًا بعد ذلك. فحوصات السجل الجنائي للموظفين الذين لديهم إمكانية الوصول إلى أنظمة الإنتاج، حيث يكون قانونيًا.

B.2 عناصر التحكم في الوصول. عناصر تحكم في الوصول قائمة على الأدوار بصرامة بناءً على مبادئ أقل امتياز. المصادقة الثنائية الإلزامية لجميع الموظفين الذين لديهم إمكانية الوصول إلى أنظمة الإنتاج. مراجعات دورية للوصول والإلغاء الفوري عند تغيير الدور أو المغادرة. الفصل بين بيئات الإنتاج وغير الإنتاج. تسجيل الوصول المميز.

B.3 التشفير وحماية البيانات. تشفير TLS (على الأقل TLS 1.2) لجميع البيانات أثناء النقل. التشفير في حالة السكون للنسخ الاحتياطية خارج الموقع (restic) وللمستودعات الحساسة. النسخ الاحتياطية المشفرة خارج الموقع المخزنة في Cloudflare R2 (منطقة أوقيانوسيا). إدارة مفاتيح آمنة مع نسخ غير متصلة من مفاتيح الاسترجاع الرئيسية.

B.4 أمان الشبكة والأنظمة. تقسيم الشبكة بين بيئات العملاء. جدار حماية تطبيقات الويب وحماية DDoS عبر Cloudflare. تصحيح الأمان المنتظم لأنظمة التشغيل وأوقات التشغيل والتطبيقات. فحص الثغرات الأمنية للبنية التحتية المتصلة بالإنترنت. اختبار الاختراق الدوري.

B.5 التسجيل والمراقبة والاستجابة للحوادث. التسجيل المركزي للوصول والتغييرات والأحداث الأمنية. مراقبة 24x7 لصحة المنصة والإشارات الأمنية. خطة موثقة للاستجابة للحوادث مع مستويات محددة ومسارات تصعيد. إجراء إخطار خرق الخصوصية القابل للإبلاغ عنه يتوافق مع Privacy Act 2020 والبند 7 من هذا DPA.

B.6 النسخ الاحتياطية والاستمرارية والاسترجاع من الكوارث. نسخ احتياطية يومية مشفرة خارج الموقع لبيانات موقع العميل وبيانات البريد الإلكتروني. الاحتفاظ بالنسخة الاحتياطية خارج الموقع لمدة لا تقل عن ثلاثين (30) يومًا، مع احتفاظ أطول في الخطط الأعلى. إجراءات موثقة للاسترجاع من الكوارث والكتب المرجعية. اختبار استرجاع منتظم.

B.7 الموظفون والمعالجون الفرعيون. التزامات السرية لجميع الموظفين. عقود مكتوبة مع جميع المعالجين الفرعيين تفرض حماية لا تقل حماية عن هذا DPA. المراجعة السنوية للمعالجين الفرعيين لملاءمتهم المستمرة.

B.8 الأمان المادي. خوادم الإنتاج المُشغلة في مراكز بيانات من المستوى الثالث أو ما يعادله مع إمكانية الوصول المادي المراقب والأمان 24x7 والضوابط البيئية وقمع الحريق.

B.9 أمان التطبيقات. دورة حياة تطوير البرامج الآمنة، بما في ذلك مراجعة الكود والمسح الضوئي للتبعيات واختبار ما قبل الإصدار. استخدام إدارة الأسرار (بدون أسرار في كود المصدر). مراجعة الكود الإلزامية لتغييرات الإنتاج.

B.10 تقسيم البيانات والحذف. الفصل المنطقي لبيانات العميل. إجراءات موثقة لحذف البيانات متوافقة مع البند 10 من هذا DPA. إجراءات موثقة للتعامل مع طلبات الوصول والتصحيح والحذف من صاحب البيانات.

نسخة أكثر تفصيلاً من هذه التدابير منشورة على kapsulecloud.com/legal/security ويتم تحديثها من وقت لآخر.