اتفاقية معالجة البيانات

معالجة البيانات الاتفاقية

آخر تحديث: ٤ أبريل ٢٠٢٦

1. مقدمة

This Data Processing Agreement ("DPA") supplements the Terms of Service and Privacy Policy of Mewayz Global, Corp. ("Mewayz", "we", "us", or "our"). This DPA applies when Mewayz processes Personal Data on behalf of the Customer in the course of providing the Mewayz platform services.

ينشئ اتفاقية معالجة البيانات (DPA) هذه علاقة المراقب-المعالج بين العميل و Mewayz وفقًا للائحة العامة لحماية البيانات (GDPR) (EU) 2016/679 وتشريعات حماية البيانات الأخرى المعمول بها.

باستخدام خدمات Mewayz، يوافق العمليل على الالتزام بشروط اتفاقية معالجة البيانات (DPA) هذه. تصبح هذه الاتفاقية فعالة اعتبارًا من تاريخ قبول العمليل لشروط الخدمة الخاصة بنا أو بدء استخدام خدماتنا.

2. تعريفات

التعريفات التالية تنطبق على هذا الاتفاقية، وفقًا للمادة 4 من اللائحة العامة لحماية البيانات (GDPR):

  • جهة التحكم — الشخص الطبيعي أو الاعتباري، أو السلطة العامة، أو الوكالة، أو الهيئة الأخرى التي تحدد، وحدها أو jointly مع آخرين، أهداف ووسائل معالجة البيانات الشخصية.
  • المعالج — الشخص الطبيعي أو الاعتباري، أو السلطة العامة، أو الوكالة، أو الهيئة الأخرى التي تقوم بمعالجة البيانات الشخصية نيابة عن المراقب.
  • Sub-processor — أي طرف ثالث يستعين به المعالج للمساعدة في معالجة البيانات الشخصية نيابة عن المراقب.
  • البيانات الشخصية — Any information relating to an identified or identifiable natural person ("Data Subject"). An identifiable natural person is one who can be identified, directly or indirectly, by reference to an identifier.
  • جاري المعالجة — أي عملية أو مجموعة عمليات تُجرى على البيانات الشخصية، سواءً كانت بواسطة وسائل آلية أم لا، مثل الجمع، التسجيل، التنظيم، الهيكلة، التخزين، التكيف، التعديل، الاسترجاع، الاستشارة، الاستخدام، الإفشاء عن طريق الإرسال، النشر، أو الإتاحة بأي طريقة أخرى، المطابقة، الدمج، التقييد، المحو، أو الإتلاف.
  • صاحب البيانات — الشخص الطبيعي المُحدد أو القابل للتحديد الذي يتم معالجة بياناته الشخصية.

3. النطاق والأدوار

بموجب اتفاقية معالجة البيانات هذه، يعمل العميل كمسيطر وتعمل Mewayz كمعالج للبيانات الشخصية التي تتم معالجتها عبر منصة Mewayz.

يعالج Mewayz البيانات الشخصية فقط وفقًا للتعليمات الموثقة من المسؤول، بما في ذلك فيما يتعلق بنقل البيانات الشخصية إلى دولة ثالثة أو منظمة دولية، ما لم يكن ذلك مطلوبًا بموجب قانون الاتحاد الأوروبي أو الدولة العضو الذي يخضع له المعالج.

يبلغ Mewayz المسؤول فورًا إذا كان يرى، في رأيه، أن تعليمًا ما ينتهك تشريعات حماية البيانات المعمول بها.

4. تفاصيل معالجة البيانات

يلي وصف لطبيعة وهدف ونطاق أنشطة معالجة البيانات التي تقوم بها Mewayz:

فئات البيانات الشخصية:

  • بيانات الحساب — الاسم، عنوان البريد الإلكتروني، رقم الهاتف، اسم الشركة، المسمى الوظيفي، بيانات تسجيل الدخول.
  • بيانات جهة الاتصال — Contact information of the Customer's end users, clients, or leads stored within the Mewayz platform.
  • بيانات الاستخدام — سجلات تفاعل النظام، وتحليلات استخدام الميزات، وعناوين IP، ومعلومات المتصفح والجهاز.
  • بيانات المحتوى — الملفات، المستندات، الرسائل، الملاحظات، وأي محتوى آخر تم تحميله أو إنشاؤه من قبل العميل داخل المنصة.

فئات أصحاب البيانات:

  • The Customer's end users and platform users
  • The Customer's employees and team members
  • The Customer's contacts, clients, and leads

الغرض من المعالجة:

تقديم، وصيانة، وتحسين خدمات منصة Mewayz كما هو موضح في شروط الخدمة، بما في ذلك CRM، وإدارة المشاريع، والفوترة، ومكتب المساعدة، وجميع الوحدات الأخرى المتاحة داخل المنصة.

5. التدابير الأمنية

ينفذ مي ويز الإجراءات الفنية والتنظيمية المناسبة لضمان مستوى من الأمان يتناسب مع مستوى المخاطر، بما في ذلك:

  • التشفير أثناء التخزين — يتم تشفير جميع البيانات الشخصية المخزنة على خوادمنا باستخدام معايير التشفير AES-256.
  • التشفير أثناء النقل — جميع البيانات المنقولة بين العميل و Mewayz محمية باستخدام بروتوكولات التشفير TLS 1.2 أو أعلى.
  • ضوابط الوصول — ضوابط الوصول الصارمة القائمة على الأدوار تضمن أن فقط الموظفين المصرح لهم يمكنهم الوصول إلى البيانات الشخصية. يتم تطبيق المصادقة متعددة العوامل لجميع عمليات الوصول الإدارية.
  • مراجعات أمنية منتظمة — نقوم بإجراء تقييمات أمنية دورية ومسح للثغرات الأمنية ومراجعات للكود لتحديد ومعالجة المخاطر الأمنية المحتملة.
  • Incident Response Procedures — نحن نحتفظ بإجراءات موثقة للاستجابة للحوادث تشمل عمليات التعريف، والاحتواء، والاستئصال، والتعافي، والمراجعة بعد الحادث.
  • النسخ الاحتياطي والاستعادة — يتم إجراء نسخ احتياطية آلية منتظمة وتخزينها بشكل آمن. يتم اختبار إجراءات الاستعادة بشكل دوري لضمان سلامة البيانات وتوافرها.

6. Sub-processors

تتعامل Mewayz مع المعالجات الفرعية التالية للمساعدة في تقديم خدماتنا. تم فحص كل معالج فرعي للتحقق من الامتثال لمتطلبات حماية البيانات المعمول بها:

  • Stripe, Inc. — معالجة المدفوعات. الموقع: الولايات المتحدة. البيانات المُعالجة: معلومات الدفع والفوترة.
  • Cloudflare, Inc. — شبكة توصيل محتوى (CDN) وخدمات الأمان. الموقع: الولايات المتحدة (شبكة حافة عالمية). البيانات المعالجة: بيانات حركة المرور، عناوين IP.
  • Hetzner Online GmbH — استضافة الخادم والبنية التحتية. الموقع: الاتحاد الأوروبي / الولايات المتحدة. البيانات المعالجة: جميع بيانات المنصة كما هي مخزنة على الخوادم.

يخطر Mewayz العميل قبل إضافة أو استبدال أي معالج فرعي، مما يمنح العميل فرصة للاعتراض على مثل هذه التغييرات. إذا اعترض العميل بشكل معقول، يبذل Mewayz جهودًا معقولة لتقديم حل بديل أو قد يفسخ العميل الخدمات المتأثرة.

يفرض Mewayz على كل معالج فرعي، عن طريق العقد، التزامات حماية بيانات لا تقل حماية عن تلك المنصوص عليها في هذا الاتفاق.

7. حقوق صاحب البيانات

يساعد Mewayz المسؤول في الوفاء بالتزاماته للرد على طلبات أصحاب البيانات لممارسة حقوقهم بموجب لائحة حماية البيانات العامة (GDPR)، بما في ذلك:

  • حق الوصول (المادة 15) — الحق في الحصول على تأكيد ووصول إلى البيانات الشخصية الخاصة بهم.
  • حق التصحيح (المادة 16) — The right to have inaccurate Personal Data corrected.
  • حق المحو (المادة 17) — الحق في حذف البيانات الشخصية في ظروف معينة.
  • حق التقييد (المادة 18) — The right to restrict the processing of Personal Data.
  • حق نقل البيانات (المادة 20) — الحق في استلام البيانات الشخصية بصيغة منظمة ومستخدمة شائعة وقابلة للقراءة آليًا.

يخطر Mewayz المسؤول فورًا upon receiving a request from a Data Subject ولا responds to such requests directly ما لم يكن مصرحًا له بذلك من قبل المسؤول.

8. إشعار خرق البيانات

In the event of a Personal Data breach, Mewayz shall notify the Controller without undue delay and in any event within 72 hours after becoming aware of the breach, in accordance with GDPR Article 33.

The notification shall include:

  • وصف لطبيعة خرق البيانات الشخصية، بما في ذلك الفئات والعدد التقريبي لأصحاب البيانات وسجلات البيانات الشخصية المتأثرة.
  • اسم وبيانات الاتصال لمسؤول حماية البيانات أو نقطة الاتصال الأخرى التي يمكن من خلالها الحصول على مزيد من المعلومات.
  • وصف للعواقب المحتملة لخرق البيانات الشخصية.
  • وصف للإجراءات المتخذة أو المقترح اتخاذها لمعالجة الخرق، بما في ذلك الإجراءات للتخفيف من آثاره السلبية المحتملة.

يتعاون Mewayz مع المسؤول ويتخذ خطوات تجارية معقولة للمساعدة في التحقيق في كل خرق من هذا القوت والتخفيف من آثاره ومعالجته.

9. نقل البيانات

عند نقل البيانات الشخصية من المنطقة الاقتصادية الأوروبية إلى دول خارج المنطقة الاقتصادية الأوروبية التي لم يُعتبر أنها توفر مستوى كافياً من حماية البيانات، تضمن Mewayz وجود ضمانات مناسبة، بما في ذلك:

  • البنود التعاقدية القياسية (SCCs) كما اعتمدتها المفوضية الأوروبية لعمليات نقل البيانات الدولية من الاتحاد الأوروبي إلى الولايات المتحدة وغيرها.
  • تدابير تقنية وتنظيمية إضافية لاستكمال SCCs حيثما كان ذلك ضروريًا، بناءً على تقييمات تأثير النقل.

يبلغ Mewayz المسؤول عن أي تغييرات في آليات نقل البيانات ويضمن أن أي نقل يتوافق مع تشريعات حماية البيانات المعمول بها.

10. احتفاظ البيانات وحذفها

upon termination or expiry of the agreement between the Customer and Mewayz, Mewayz shall, at the choice of the Controller:

  • حذف جميع البيانات الشخصية المُعالجة نيابة عن جهة التحكم خلال 30 يومًا من تلقي طلب كتابي؛ أو
  • إرجاع جميع البيانات الشخصية إلى الجهة المتحكم بها بتنسيق منظم وشائع الاستخدام ويمكن قراءته آليًا في غضون 30 يومًا من استلام طلب كتابي.

يحذف Mewayz النسخ الموجودة من البيانات الشخصية ما لم يتطلب قانون الاتحاد الأوروبي أو الدولة العضو تخزين البيانات الشخصية. بناء على الطلب، يقدم Mewayz تأكيدًا كتابيًا بحذف البيانات.

11. عمليات التدقيق

يجعل Mewayz متاحة للمسؤول جميع المعلومات اللازمة لإثبات الامتثال للالتزامات المنصوص عليها في هذا الاتفاق وفي المادة 28 من لائحة حماية البيانات العامة (GDPR).

The Controller, or an independent third-party auditor mandated by the Controller, may conduct audits to verify Mewayz's compliance with this DPA, subject to the following conditions:

  • على المسؤول تقديم إشعار مسبق خطي معقول قبل 30 يومًا على الأقل من إجراء أي تدقيق.
  • Audits shall be conducted during normal business hours and shall not unreasonably interfere with Mewayz's operations.
  • يتحمل المسؤول تكاليف أي تدقيق، ما لم يكشف التدقيق عن عدم امتثال جوهري من قبل Mewayz.
  • يجب التعامل مع نتائج التدقيق وأي معلومات تم الحصول عليها على أنها سرية.

12. اتصال

لأي أسئلة تتعلق بهذه الاتفاقية لمعالجة البيانات أو استفسارات حماية البيانات، يرجى الاتصال بنا:

  • الشركة: Mewayz Global, Corp.
  • العنوان: 131 Continental Dr, Suite 305, Newark, DE 19713, USA
  • بريد حماية البيانات: [email protected]
  • رقم التعريف الضريبي للشركات: 38-4374855
  • موقع الويب: https://mewayz.com
شروط الخدمة سياسة الخصوصية إشعار قانوني العودة إلى تسجيل الدخول