1. الأطراف
مراقب البيانات
أنت، العميل
معالج البيانات
ClientFlow
1.1 نطاق المعالجة
ينطبق هذا DPA على معالجة البيانات الشخصية حيث:
- يقوم ClientFlow بمعالجة البيانات الشخصية نيابة عن المتحكم كجزء من تقديم الخدمة
- تتعلق المعالجة بإدارة علاقات عملاء المتحكم
- موضوعات البيانات هم عملاء المتحكم وجهات الاتصال التجارية
أنشطة المعالجة
- تخزين وتنظيم معلومات الاتصال بالعملاء
- تسجيل وتتبع معاملات الدفع
- إرسال الاتصالات المصرح بها (التذكيرات، الإشعارات)
- إنشاء التحليلات والتقارير بناءً على البيانات المجمعة
2. فئات البيانات
| الفئة | أمثلة | الغرض |
|---|---|---|
| بيانات الحساب | البريد الإلكتروني، الاسم، صورة الملف الشخصي | الوصول إلى الخدمة |
| بيانات العملاء | أسماء العملاء، الهواتف، البريد الإلكتروني | وظائف CRM |
| سجلات الدفع | المبالغ، التواريخ، الحالات | تتبع الدفع |
| بيانات الاستخدام | أوقات تسجيل الدخول، استخدام الميزات | الأمان، التحسين |
3. التزامات المعالج
سنقوم بـ:
- معالجة البيانات فقط وفقاً لتعليماتك الموثقة
- التأكد من أن الموظفين ملتزمون بالسرية
- تنفيذ تدابير أمنية مناسبة
- المساعدة في طلبات موضوع البيانات
- إخطارك بانتهاكات البيانات خلال 72 ساعة
- حذف البيانات عند الإنهاء (بعد فترة الاحتفاظ)
4. التدابير الأمنية
تقني
- TLS 1.3 (أثناء النقل)
- AES-256 (أثناء التخزين)
- مصادقة OAuth 2.0
- التحكم في الوصول المستند إلى الدور
- المراقبة في الوقت الفعلي
تنظيمي
- سياسات الأمان
- خطة الاستجابة للحوادث
- عمليات تدقيق منتظمة
- مراجعات أمان البائع
- تدريب الموظفين
5. المعالجات الفرعية
نستخدم المعالجات الفرعية المصرح بها التالية:
| المزود | الخدمة | الموقع | ج.م.ب.ف |
|---|---|---|---|
| Google Cloud | المصادقة | الولايات المتحدة الأمريكية | نعم |
| iyzico | المدفوعات | تركيا | الشروط التعاقدية النموذجية |
| Meta (WhatsApp) | المراسلة | الولايات المتحدة الأمريكية | نعم |
| إعادة إرسال | البريد الإلكتروني | الولايات المتحدة الأمريكية | الشروط التعاقدية النموذجية |
| Hetzner | الاستضافة وقاعدة البيانات | ألمانيا (الاتحاد الأوروبي) | الشروط التعاقدية النموذجية |
| Cloudflare | شبكة توصيل المحتوى والتخزين | الاتحاد الأوروبي | نعم |
DPF = معتمد بموجب إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة
إشعار التغييرات
سنخطر العملاء بأي تغييرات على معالجاتنا الفرعية:
- إشعار قبل 30 يومًا عبر البريد الإلكتروني
- تفاصيل المعالج الفرعي الجديد والغرض منه
- فرصة للاعتراض والإنهاء إذا لزم الأمر
- If your objection cannot be resolved, you may terminate the affected services
7. حقوق التدقيق
عند الطلب المعقول ومع إشعار مسبق لمدة 30 يومًا، سنقدم معلومات حول ممارسات معالجة البيانات الخاصة بنا لإثبات الامتثال لهذا DPA.
- يجب إرسال طلبات التدقيق كتابيًا إلى contact@clientflow.center
- سنقدم الوثائق والشهادات وتقارير التدقيق ذات الصلة
- يمكن إجراء عمليات التدقيق في الموقع مرة واحدة كحد أقصى سنويًا، على نفقتك الخاصة
- يجب إجراء جميع عمليات التدقيق خلال ساعات العمل العادية
- يجب على المدقق التوقيع على اتفاقية سرية
نطاق التدقيق
- تدابير الأمان والضمانات التقنية
- امتثال المعالجات الفرعية
- إجراءات التعامل مع البيانات
- قدرات الاستجابة للحوادث
يتحمل المتحكم تكاليف التدقيق ما لم يكشف التدقيق عن عدم امتثال جوهري.
6. الاحتفاظ بالبيانات والحذف
يتم الحفاظ على بياناتك لاستعادة الحساب والامتثال التنظيمي.
| الجدول الزمني | الإجراء |
|---|---|
| فوراً | تم إلغاء تنشيط الحساب |
| غير محدد | تم الحفاظ على البيانات (مؤرشفة) |
| في أي وقت | يمكن إعادة تنشيط الحساب |
7. أحكام CCPA
بموجب CCPA، نعمل كـ "مزود خدمة" و:
- نعالج البيانات فقط لأغراض تجارية محددة
- لا نبيع المعلومات الشخصية
- نساعد في طلبات حقوق المستهلك
- نطبق تدابير أمنية معقولة
8. إجراء الإخطار بانتهاك البيانات
في حالة حدوث انتهاك للبيانات الشخصية، سنقوم بإخطارك وفقًا للائحة العامة لحماية البيانات.
جدول الإخطار
- في غضون 24 ساعة: إشعار أولي عبر البريد الإلكتروني
- في غضون 72 ساعة: تقييم مفصل للانتهاك
- مستمر: تحديثات منتظمة حول أنشطة التحقيق
محتوى الإخطار
- طبيعة الانتهاك
- فئات وحجم البيانات المتأثرة
- العواقب المحتملة
- الإجراءات المتخذة أو المقترحة للحل
- نقطة الاتصال لمزيد من المعلومات
سنتعاون معك في أي تحقيقات أو إجراءات علاجية مطلوبة.
9. عمليات النقل الدولية للبيانات
تحدث معالجات البيانات الأساسية داخل الاتحاد الأوروبي (فرانكفورت، ألمانيا).
آليات النقل
إطار خصوصية البيانات
للمعالجات الفرعية في الولايات المتحدة المعتمدة بموجب إطار خصوصية البيانات
البنود التعاقدية القياسية
البنود التعاقدية القياسية للاتحاد الأوروبي (الوحدة 2: المراقب إلى المعالج)
قرارات الكفاءة
للدول المعترف بها من قبل المفوضية الأوروبية
نطبق تدابير أمان تقنية وتنظيمية تكميلية لجميع عمليات النقل.
يمكنك طلب نسخة من ضمانات النقل عن طريق الاتصال بنا.
10. المسؤولية والتعويض
مسؤولية المعالج
سيكون ClientFlow مسؤولاً عن الأضرار الناجمة عن المعالجة التي لا تتوافق مع ملحق DPA هذا أو عندما نتصرف خارج نطاق التعليمات القانونية الصادرة عن وحدة التحكم أو تتعارض معها.
مسؤولية المتحكم
سيكون المراقب مسؤولاً عن الأضرار الناجمة عن المعالجة التي تنتهك قانون حماية البيانات المعمول به أو لا تمتثل لالتزامات المراقب بموجب ملحق DPA هذا.
قيود المسؤولية
- تخضع المسؤولية لقيود شروط الخدمة
- لا يتحمل أي طرف مسؤولية الأضرار غير المباشرة أو التبعية
- إجمالي المسؤولية محدد بالرسوم المدفوعة في الأشهر الـ 12 السابقة
يوافق كل طرف على تعويض الطرف الآخر ضد المطالبات الناشئة عن خرق هذا DPA.
11. الإنهاء وإرجاع البيانات
مدة DPA
ويظل ملحق DPA هذا ساريًا طوال مدة اتفاقية الخدمة وطالما نقوم بمعالجة البيانات الشخصية نيابةً عنك.
عند الإنهاء
- تصدير جميع بياناتك في غضون 30 يومًا من الإنهاء
- إعادة تنشيط حسابك في أي وقت—يتم الاحتفاظ بجميع البيانات إلى أجل غير مسمى
- طلب الحذف الدائم للبيانات (يستغرق ما يصل إلى 30 يومًا للاكتمال)
- Data may be retained where required by applicable law
تظل أحكام السرية وحماية البيانات سارية بعد الإنهاء.