اتفاقية معالجة البيانات

اتفاقية معالجة البيانات الخاصة بـ Botpress (DPA)

تُعد هذه الاتفاقية ملحقة وتشكل جزءًا لا يتجزأ من الاتفاقية بين الكيان التابع لمجموعة Botpress المحدد في شروط الخدمة والعميل. تدخل هذه الاتفاقية حيز التنفيذ عند إدراجها في تلك الاتفاقية بالإشارة إليها.

1. التعاريف

1.a المصطلحات المكتوبة بحروف كبيرة وغير المعرفة هنا تحمل المعاني المحددة لها في الاتفاقية.

1.b في هذه الاتفاقية:

(أ) “الاتفاقية” تحمل المعنى المحدد لهذا المصطلح في شروط الخدمة.

(ب) “مجموعة Botpress” تعني Botpress وأي من الشركات التابعة لها.

(ج) “المعلومات الشخصية في كاليفورنيا” تعني البيانات الشخصية الخاضعة لحماية قانون خصوصية المستهلك في كاليفورنيا (CCPA).

(د) “قوانين حماية البيانات الكندية” تعني قانون حماية المعلومات الشخصية والمستندات الإلكترونية، SC 2000، c 5 وقانون حماية المعلومات الشخصية في القطاع الخاص، CQLR c P-39.1 كما قد يتم تعديله أو استبداله أو تغييره.

(هـ) “CCPA” تعني القسم 1798.100 وما يليه من القانون المدني لولاية كاليفورنيا (المعروف أيضًا باسم قانون خصوصية المستهلك في كاليفورنيا لعام 2018).

(و) “المستهلك”، “العمل التجاري”، “البيع” و“مزود الخدمة” تحمل المعاني المحددة لها في CCPA.

(ز) “المتحكم” تعني أي شخص يحدد بمفرده أو بالاشتراك مع آخرين أغراض ووسائل معالجة البيانات الشخصية.

(ح) “قوانين حماية البيانات” تعني جميع التشريعات العالمية المعمول بها المتعلقة بحماية البيانات والخصوصية والتي تنطبق على أي طرف في هذه الاتفاقية، بما في ذلك على سبيل المثال لا الحصر قوانين حماية البيانات الأوروبية، وقوانين حماية البيانات الكندية وCCPA، كما يتم تعديلها أو إلغاؤها أو توحيدها أو استبدالها من وقت لآخر.

(ط) “صاحب البيانات” تعني الفرد الذي تتعلق به البيانات الشخصية.

(ي) “أوروبا” تعني الاتحاد الأوروبي والمنطقة الاقتصادية الأوروبية و/أو الدول الأعضاء فيها، وسويسرا والمملكة المتحدة.

(ك) “قوانين حماية البيانات الأوروبية” تعني قوانين حماية البيانات المعمول بها في أوروبا، كما قد يتم تعديلها أو استبدالها أو تغييرها.

(ل) “البيانات الأوروبية” تعني البيانات الشخصية الخاضعة لحماية قوانين حماية البيانات الأوروبية.

(م) “الشركات التابعة المسموح لها” تعني أي من الشركات التابعة للعميل التي (1) يُسمح لها باستخدام خدمات البرمجيات بموجب الاتفاقية، (2) تستوفي شروط كونها متحكمًا في البيانات الشخصية التي تتم معالجتها من قبل Botpress، و(3) تخضع لقوانين حماية البيانات الأوروبية.

(ن) “الشخص” يُفسر بشكل واسع ويشمل أي فرد أو شركة أو شركة ذات مسؤولية محدودة أو شراكة محدودة أو شركة أو جمعية أو شراكة أو وصاية أو تركة أو مشروع مشترك أو كيان حكومي أو تقسيم سياسي تابع له أو أي كيان آخر.

(س) “البيانات الشخصية” تعني أي معلومات تتعلق بفرد محدد أو يمكن تحديد هويته.

(ع) “المعالجة” أو “يُعالج” تعني أي عملية أو مجموعة عمليات يتم تنفيذها من قبل المعالج على البيانات الشخصية، سواء بوسائل آلية أو غير آلية؛

(ف) “المعالج” تعني شخصًا يقوم بمعالجة البيانات الشخصية نيابة عن المتحكم.

(ص) “الجهة الرقابية” تعني، حسب الاقتضاء، أي شخص أو جهة إنفاذ قانون أو وكالة أخرى لها سلطة تنظيمية أو إشرافية أو حكومية (سواء بموجب نظام قانوني أو غير ذلك) على كل أو جزء من معالجة البيانات الشخصية فيما يتعلق بتقديم أو استلام الخدمات، بما في ذلك، على سبيل المثال لا الحصر، سلطات الإشراف على حماية البيانات الأوروبية؛

(ق) “خرق الأمان” تعني خرقًا أمنيًا يؤدي إلى التدمير أو الفقدان أو التغيير أو الكشف غير المصرح به أو الوصول غير المصرح به إلى البيانات الشخصية التي يتم نقلها أو تخزينها أو معالجتها بأي طريقة أخرى من قبل Botpress و/أو المعالجات الفرعية فيما يتعلق بتقديم الخدمات، ولا يشمل ذلك الأحداث التي لا تضر بأمان البيانات الشخصية، بما في ذلك محاولات تسجيل الدخول غير الناجحة، واختبارات الاتصال، وفحص المنافذ، وهجمات حجب الخدمة، والهجمات الأخرى على جدران الحماية أو الأنظمة المتصلة بالشبكة.

(ر) “الخدمات” تعني خدمات البرمجيات أو الخدمات المهنية المقدمة من أي كيان تابع لمجموعة Botpress للعميل أو للشركات التابعة له.

(ش) “البنود التعاقدية القياسية” تعني البنود التعاقدية القياسية الملحقة بقرار المفوضية الأوروبية (EU) 2021/914 بتاريخ 4 يونيو 2021؛ كما قد يتم تعديلها أو استبدالها أو تغييرها.

(ت) “المعالج الفرعي” تعني أي معالج يتم التعاقد معه من قبل Botpress أو الشركات التابعة لها للمساعدة في الوفاء بالتزامات Botpress فيما يتعلق بتقديم الخدمات بموجب الاتفاقية. قد يشمل المعالجون الفرعيون أطرافًا ثالثة أو شركات تابعة لـ Botpress، لكنهم لا يشملون الأفراد الموظفين أو المتعاقدين مع Botpress.

(ث) “الدولة الثالثة” تعني ولاية قضائية أو جهة: (1) غير معترف بها من قبل المفوضية الأوروبية على أنها توفر مستوى حماية كافٍ للبيانات الشخصية؛ و(2) غير مشمولة بإطار مناسب معترف به من قبل السلطات أو المحاكم المختصة على أنه يوفر مستوى حماية كافٍ للبيانات الشخصية؛

(خ) “بيانات الاستخدام” تعني البيانات المتعلقة باستخدام المستخدمين المصرح لهم للبرمجيات، والتي قد تحتوي على بيانات شخصية عند الضرورة لتحديد هوية المستخدمين الأفراد، مع استثناء أي بيانات محادثة. قد تتضمن بيانات الاستخدام بيانات شخصية عن موظفي العميل أو المتعاقدين معه، ولكن ليس عن المستخدمين النهائيين الذين يتفاعلون مع روبوتات العميل.

2. دور الأطراف

2.a عند معالجة بيانات المحادثة من خلال الخدمات، يقر الطرفان ويوافقان على أن العميل يعمل كمتحكم وأن Botpress يعمل كمعالج.

2.b إذا كان العميل يعمل كمعالج نيابة عن متحكم، يُعتبر Botpress معالجًا فرعيًا للعميل.

2.c يكون Botpress متحكمًا فيما يتعلق ببيانات الاستخدام.

3. الامتثال لقوانين حماية البيانات

3.a يجب على كل طرف تنفيذ أي معالجة للبيانات الشخصية بما يتوافق مع جميع قوانين حماية البيانات المعمول بها.

3.b لا تتحمل Botpress مسؤولية الامتثال لأي قوانين حماية بيانات تنطبق على العميل أو على قطاع العميل وليست مطبقة بشكل عام على Botpress.

3.c إذا علمت Botpress بأنها لا تستطيع معالجة البيانات الشخصية وفقًا لتعليمات العميل بسبب متطلبات قانونية بموجب أي قانون معمول به، ستقوم Botpress (1) بإخطار العميل فورًا بهذا المتطلب القانوني إلى الحد المسموح به بموجب القانون؛ و(2) عند الضرورة، إيقاف جميع عمليات المعالجة (باستثناء التخزين وصيانة أمان البيانات الشخصية المتأثرة) حتى يصدر العميل تعليمات جديدة متوافقة مع القانون المعمول به. إذا تم تفعيل هذا البند، فإن Botpress لن تكون مسؤولة أمام العميل بموجب الاتفاقية عن أي إخفاق في أداء خدمات البرمجيات أو الخدمات المهنية المعنية حتى تحدد Botpress بشكل معقول أن تعليمات العميل قانونية.

4. التزامات Botpress

4.a لن تقوم Botpress بمعالجة البيانات الشخصية إلا للأغراض الموضحة في هذه الاتفاقية أو كما يتم الاتفاق عليه ضمن نطاق التعليمات القانونية المستلمة من العميل، إلا إذا كان ذلك مطلوبًا وبالقدر الذي يتطلبه القانون المعمول به.

4.b تلتزم Botpress بتنفيذ وصيانة التدابير التقنية والتنظيمية المناسبة لحماية البيانات الشخصية من الحوادث الأمنية، بما في ذلك ما هو موضح في الملحق 2 لهذه الاتفاقية (“تدابير الأمان”). يجوز لـ Botpress تعديل أو تحديث تدابير الأمان حسب تقديرها بشرط ألا يؤدي هذا التعديل أو التحديث إلى تدهور جوهري في مستوى الحماية الذي توفره تدابير الأمان.

4.c تعتبر Botpress البيانات الشخصية معلومات سرية للعميل وستضمن أن أي من موظفيها أو المتعاقدين المخولين بالوصول إلى البيانات الشخصية أو معالجتها يخضعون لالتزامات سرية مناسبة (سواء كانت تعاقدية أو قانونية) فيما يتعلق بتلك البيانات الشخصية.

4.d ستقوم Botpress بحذف أو إعادة جميع البيانات الشخصية التي تمت معالجتها بموجب اتفاقية معالجة البيانات هذه عند إنهاء أو انتهاء الاتفاقية. يجوز لـ Botpress الاحتفاظ بنسخ من البيانات الشخصية إذا كان ذلك مطلوبًا بموجب القوانين المعمول بها، أو إذا تم أرشفة البيانات الشخصية في أنظمة النسخ الاحتياطي، حيث سيتم عزل هذه البيانات بشكل آمن وحمايتها من أي معالجة إضافية وحذفها وفقًا لممارسات الحذف المعمول بها.

5. التزامات العميل

5.a يتحمل العميل مسؤولية التأكد من أن استخدامه لخدمات البرمجيات أو البرمجيات يتوافق مع جميع قوانين حماية البيانات المعمول بها، بما في ذلك التأكد من (1) أنه مخول بتعيين Botpress لمعالجة البيانات الشخصية نيابة عنه وفقًا لاتفاقية معالجة البيانات هذه، (2) أن لديه الحق في نقل أو توفير الوصول إلى البيانات الشخصية لـ Botpress لمعالجتها وفقًا لشروط الاتفاقية (بما في ذلك هذه الاتفاقية)، (3) التأكد من أن تعليمات العميل بشأن معالجة البيانات الشخصية تتوافق مع القوانين المعمول بها، بما في ذلك قوانين حماية البيانات؛

5.b يجب على العميل إخطار Botpress كتابيًا دون تأخير إذا كان لديه سبب للاعتقاد أو إذا تم إبلاغه بأن معالجة البيانات الشخصية التي ينفذها العميل من خلال الخدمات تنتهك أو قد تنتهك القوانين المعمول بها، بما في ذلك قوانين حماية البيانات.

5.c يتحمل العميل مسؤولية تحديد ما إذا كانت التدابير الأمنية التي تنفذها Botpress تفي بشكل كافٍ بالتزامات العميل بموجب قوانين حماية البيانات المعمول بها. كما يتحمل العميل مسؤولية التأكد من أن وصوله إلى خدمات البرمجيات مؤمن ومقتصر على الموظفين المخولين فقط.

‍6. خرق الأمان

6.a ستقوم Botpress بإخطار العميل فورًا إذا علمت بأي خرق أمني، وستقدم المعلومات ذات الصلة حول هذا الخرق عند توفرها أو حسب طلب العميل بشكل معقول.

6.b عند الطلب، ستقدم Botpress المساعدة المعقولة للعميل حسب الحاجة لتمكين العميل من إخطار الجهات التنظيمية و/أو أصحاب البيانات المتأثرين بحدوث خرق أمني، إذا كان هذا الإخطار مطلوبًا بموجب قوانين حماية البيانات.

7. المعالِجون الفرعيون

7.a يجوز لـ Botpress إشراك معالِجين فرعيين لمعالجة البيانات الشخصية. المعالِجون الفرعيون الحاليون مذكورون في الجدول 3، وسيتم إخطار العميل بأي تغيير في المعالِجين الفرعيين.

7.b تختار Botpress المعالِجين الفرعيين الذين يقدمون التزامات بحماية البيانات توفر مستوى حماية للبيانات الشخصية لا يقل عن المستوى المنصوص عليه في اتفاقية معالجة البيانات هذه (بما في ذلك، عند الاقتضاء، البنود التعاقدية القياسية)، وذلك حسب طبيعة الخدمات المقدمة من قبل هؤلاء المعالِجين الفرعيين. تظل Botpress مسؤولة عن التزام كل معالِج فرعي بواجبات هذه الاتفاقية وعن أي أفعال أو تقصير من قبل المعالِج الفرعي يتسبب في خرق أي من التزامات Botpress بموجب هذه الاتفاقية.

7.c إذا قامت Botpress بمعالجة بيانات أوروبية نيابة عن العميل، يجوز للعميل الاعتراض على معالِج فرعي جديد لأسباب معقولة تتعلق بحماية البيانات. إذا تم إخطار Botpress بهذا الاعتراض، توافق Botpress على مناقشة الأمر بحسن نية للتوصل إلى حل تجاري معقول. إذا لم يتم التوصل إلى حل، يجوز لـ Botpress إما الامتناع عن تعيين المعالِج الفرعي الجديد، أو السماح للعميل بإنهاء اشتراكه في الجزء من خدمات البرمجيات الذي يعتمد على هذا المعالِج الفرعي الجديد دون مسؤولية على أي من الطرفين (مع عدم الإخلال بأي رسوم تم تكبدها قبل الإنهاء).

7.d إذا كان ذلك مطلوبًا بموجب القانون أو بموجب البنود التعاقدية القياسية، ستبذل Botpress جهودًا معقولة لإتاحة المعلومات المطلوبة للعميل حول اتفاقيات Botpress مع المعالِجين الفرعيين. يوافق العميل على أن بعض المعلومات قد يتم حجبها من هذه الاتفاقيات أو تقديمها بشكل سري.

8. نقل البيانات الشخصية

8.a ستتم معالجة البيانات الشخصية غير الأوروبية من قبل كيانات مجموعة Botpress في أي ولاية قضائية يُسمح فيها بهذه المعالجة بموجب القوانين المعمول بها في ولاية الخصوصية.

8.b يجب أن تتم معالجة البيانات الأوروبية حصريًا:

أ) داخل أوروبا؛

ب) في ولاية قضائية توفر مستوى حماية كافٍ بموجب قرار من المفوضية الأوروبية استنادًا إلى قوانين حماية البيانات المعمول بها؛

ج) في أي ولاية قضائية، من قبل منظمة أو جهة تقدم ضمانات مناسبة، بما في ذلك من خلال البنود التعاقدية القياسية؛

د) في أي ولاية قضائية، بموافقة خطية من العميل أو صاحب البيانات المعني.

8.c عند معالجة البيانات الأوروبية في دولة ثالثة، يُعتبر الطرفان قد أبرما البنود التعاقدية القياسية فقط فيما يتعلق بالبيانات الشخصية ذات الصلة والمعالجة ذات الصلة. ويتفق الطرفان على أنه لأغراض البنود التعاقدية القياسية:

أ) إذا كان العميل مراقبًا وBotpress معالجًا، سيتم تطبيق الوحدة 2 (من مراقب إلى معالج).

ب) إذا كان العميل معالجًا وBotpress معالجًا فرعيًا، سيتم تطبيق الوحدة 3 (من معالج إلى معالج).

ج) بالنسبة لبيانات الاستخدام، سيتم تطبيق الوحدة 1 (من مراقب إلى مراقب).

د) في البند 7 من البنود التعاقدية القياسية، لن يتم تطبيق البند الاختياري الخاص بالانضمام؛

هـ) في البند 9 من البنود التعاقدية القياسية، سيتم تطبيق الخيار 2 وفترة الإخطار الكتابي المسبق بتغيير المعالِجين الفرعيين ستكون 10 أيام؛

و) في البند 11 من البنود التعاقدية القياسية، لن يتم تطبيق اللغة الاختيارية؛

ز) في البند 17 (الخيار 1)، ستخضع البنود التعاقدية القياسية للقانون الأيرلندي؛

ح) في البند 18(ب) من البنود التعاقدية القياسية، سيتم حل النزاعات أمام محاكم أيرلندا؛

ط) ستكون Botpress "مستورد البيانات" وسيكون العميل "مُصدر البيانات" (نيابة عن نفسه والشركات التابعة المسموح بها)؛

ي) ستُعتبر المعلومات ذات الصلة الواردة في الجدول 1 والجدول 2 من هذه الاتفاقية مدرجة في ملاحق البنود التعاقدية القياسية؛

ك) إذا تعارضت البنود التعاقدية القياسية مع أي بند من هذه الاتفاقية، تسود البنود التعاقدية القياسية في حدود هذا التعارض.

8.d التحويلات إلى سويسرا والمملكة المتحدة. إلى الحد الذي يخضع فيه نقل البيانات الشخصية بين العميل وBotpress و/أو المعالِج الفرعي لقوانين حماية البيانات في سويسرا أو المملكة المتحدة، يُعتبر أن البنود التعاقدية القياسية قد تم تعديلها لتعكس متطلبات قوانين حماية البيانات السويسرية والبريطانية المعمول بها، بما في ذلك الإشارات إلى التشريعات والقانون المعمول به والسلطات والمحاكم المختصة.

9. معالجة CCPA

9.a عند معالجة المعلومات الشخصية الخاصة بكاليفورنيا وفقًا لتعليمات العميل، يقر الطرفان ويوافقان على أن العميل هو جهة الأعمال وBotpress هي مزود الخدمة لأغراض قانون خصوصية المستهلك في كاليفورنيا (CCPA). ويتفق الطرفان على أن Botpress ستعالج المعلومات الشخصية الخاصة بكاليفورنيا كمزود خدمة فقط لغرض تنفيذ خدمات البرمجيات والخدمات المهنية بموجب الاتفاقية ("الغرض التجاري") أو كما هو مسموح به بموجب CCPA.

10. طلبات الأطراف الثالثة

10.a يتحمل العميل مسؤولية التعامل مع أي طلب من صاحب البيانات أو الجهة التنظيمية فيما يتعلق ببياناتهم الشخصية، ويجب على العميل استخدام ميزات خدمات البرمجيات المتاحة لاسترجاع المعلومات ذات الصلة حول معالجة البيانات الشخصية.

10.b إذا لم يتمكن العميل من التعامل مع طلب صاحب البيانات أو الجهة التنظيمية بشكل مستقل ("الطلب")، ستقدم Botpress المساعدة المعقولة للعميل للرد على أي من هذه الطلبات المتعلقة بمعالجة البيانات الشخصية بموجب الاتفاقية. باستثناء الحالات التي يكون فيها الطلب ناتجًا عن إخفاق Botpress في الالتزام بالتزاماتها بموجب هذه الاتفاقية، يجب على العميل تعويض Botpress عن نفقاتها المعقولة في تقديم أي مساعدة للعميل.

10.c إذا تم تقديم طلب أو أي تواصل آخر يتعلق بمعالجة البيانات الشخصية بموجب الاتفاقية مباشرة إلى Botpress، ستقوم Botpress بإبلاغ العميل فورًا وستنصح صاحب البيانات أو الجهة التنظيمية بتقديم طلبهم مباشرة إلى العميل. سيكون العميل وحده مسؤولاً عن الرد الموضوعي على أي من هذه الطلبات أو الاتصالات المتعلقة بالبيانات الشخصية.

11. التدقيق المتعلق بالبيانات الشخصية

11.a بناءً على طلب العميل وإشعار معقول إلى Botpress، يحق للعميل، وعلى نفقته الخاصة، إجراء التحققات اللازمة للتأكد من أن البيانات الشخصية التي تعالجها Botpress نيابة عن العميل تتم معالجتها وفقًا لتعليمات العميل. عند طلب العميل، يجب على Botpress السماح بتدقيق وفحص المعالجة التي تقوم بها Botpress. ويمكن إجراء هذا التدقيق من قبل العميل و/أو طرف ثالث (يختاره العميل ويوافق عليه Botpress بشكل معقول) يعمل نيابة عن العميل. يجب على العميل اتخاذ جميع التدابير اللازمة لتجنب التسبب بأي ضرر أو تعطيل لمقرات أو معدات أو موظفي أو أعمال كيانات مجموعة Botpress.

11.b يجب على العميل وBotpress الاتفاق مسبقًا على طبيعة ونطاق ومدة أي تدقيق يجريه العميل، ويجب على العميل تعويض Botpress عن جميع التكاليف المعقولة المرتبطة بهذا التدقيق، والتي يمكن تقديرها بناءً على طلب العميل قبل بدء التدقيق. وبقدر الإمكان، يجب تلبية متطلبات تدقيق العميل من خلال تقارير تدقيق طرف ثالث تقدمها Botpress، إذا كانت متوفرة.

11.c إذا قامت Botpress بمعالجة بيانات أوروبية نيابة عن العميل، ستقدم Botpress للعميل، عند طلب معقول (وبشكل سري) (1) نسخة ملخصة من تقارير اختبار الأمان الخاصة بها و(2) ردود مكتوبة على جميع الطلبات المعقولة للمعلومات التي يقدمها العميل والضرورية لتأكيد امتثال Botpress لهذا الاتفاق، بشرط ألا يمارس العميل هذا الحق أكثر من مرة واحدة في السنة التقويمية إلا إذا تمكن من إثبات وجود أسباب معقولة للاشتباه بعدم امتثال Botpress لهذا الاتفاق.

12. تحديد المسؤولية

12.a تقتصر مسؤولية Botpress والشركات التابعة لها، مجتمعة، الناشئة عن أو المتعلقة بهذا الاتفاق (وأي اتفاقيات مماثلة بين الطرفين) والبنود التعاقدية القياسية (عند الاقتضاء)، سواء كانت بموجب عقد أو ضرر أو أي نظرية مسؤولية أخرى، على إجمالي الرسوم المدفوعة من قبل العميل إلى Botpress مقابل الخدمات خلال فترة الاثني عشر شهرًا السابقة للواقعة التي أدت إلى المسؤولية.

13. الاختصاص القضائي

ما لم تتطلب قوانين حماية البيانات المعمول بها خلاف ذلك، يخضع هذا الاتفاق ويفسر وفقًا للقوانين السارية على الاتفاقية، ويتم حل أي نزاع بشأن هذه الاتفاقية من قبل المحاكم المختصة في الولاية القضائية المحددة في العرض.

إلى الحد الذي تتطلب فيه قوانين حماية البيانات أن يخضع هذا الاتفاق لقوانين دولة عضو في الاتحاد الأوروبي، يخضع هذا الاتفاق لقوانين أيرلندا ويتم حل النزاعات المتعلقة به من قبل المحاكم الأيرلندية.

14. أحكام عامة

14.a الأولوية. في حال وجود أي تعارض بين أي من أحكام هذا الاتفاق وأي حكم آخر في الاتفاقية، تكون أحكام هذا الاتفاق هي السارية دائمًا، ما لم يُنص صراحةً على أن حكمًا آخر في الاتفاقية له الأولوية أو أن حكمًا من هذا الاتفاق سيتم استبعاده أو تعديله.

14.b التعديلات. يجوز لـ Botpress تعديل هذا الاتفاق ليعكس التغييرات في ممارساتها لمعالجة البيانات. وأي تعديل بخلاف التغييرات التوضيحية للغة (والتي سيتم إبلاغ العميل بها بشكل روتيني) سيُعرض على العميل ولن يُطبق إلا إذا قبله العميل. إذا كان تعديل هذا الاتفاق مطلوبًا بموجب القانون المعمول به، سيكون للعميل خيار قبول هذا التعديل أو إنهاء اشتراكه في خدمات البرمجيات.

14.c  قابلية الفصل. إذا تبيّن أن أي بند من بنود هذه الاتفاقية غير صالح أو غير قابل للتنفيذ، فلن يؤثر ذلك على صلاحية أو قابلية تنفيذ البنود الأخرى من هذه الاتفاقية.‍

‍

الملحق 1 – تفاصيل المعالجة

تحديد المتحكم

العميل

الشخص المسؤول: الشخص المحدد في العرض الذي قبله العميل.

تحديد المعالج

إذا كان العميل مقيمًا في كندا: Technologies Botpress Inc. إذا كان العميل مقيمًا في مكان آخر: Botpress, Inc.

الشخص المسؤول:

Jean-Bernard Perron [email protected]

فئات أصحاب البيانات

قد يقدم العميل بيانات شخصية أثناء استخدام خدمة البرمجيات، ويحدد العميل مدى ذلك ويتحكم فيه وفقًا لتقديره الخاص، مع مراعاة شروط الخدمة المعمول بها، وقد يشمل ذلك، على سبيل المثال لا الحصر، بيانات شخصية تتعلق بالفئات التالية من أصحاب البيانات:

• الأفراد الذين يستخدمون البرمجيات نيابة عن العميل
• المستخدمون النهائيون لروبوتات العميل

فئات البيانات الشخصية

قد يقدم العميل بيانات شخصية إلى خدمات البرمجيات وقد يسمح للمستخدمين النهائيين بتقديم بيانات شخصية إلى خدمات البرمجيات، ويحدد العميل مدى ذلك ويتحكم فيه وفقًا لتقديره الخاص، مع مراعاة شروط الخدمة المعمول بها.

خدمة البرمجيات ليست مصممة لغرض معالجة البيانات الحساسة، ويجب على العميل تحمل مسؤولية تحديد مدى ملاءمة خدمات البرمجيات لمعالجة البيانات الحساسة.

ستقوم Botpress بمعالجة معلومات الاتصال الخاصة بالمستخدمين المخولين (الاسم، البريد الإلكتروني، الهاتف) وبيانات الاستخدام والسلوك المتعلقة باستخدام المنتج لأغراض الدعم الفني والإحصاءات.

طبيعة المعالجة

• التخزين والمعالجة الأخرى اللازمة لتقديم الخدمات وصيانتها وتحسينها المقدمة للعميل؛
• الإفصاح وفقًا للاتفاقية (بما في ذلك هذا الاتفاق) و/أو حسب ما تقتضيه القوانين المعمول بها؛
• ستقوم Botpress بمعالجة البيانات الشخصية حسب الضرورة لتقديم الخدمات بموجب الاتفاقية، ووفقًا لتعليمات العميل في استخدامه للخدمات.
• تعالج Botpress بيانات الاستخدام لتقديم الدعم الفني ولأغراض إحصائية (لتطوير وتحسين المنتج).

مدة الاحتفاظ بالبيانات الشخصية

مع مراعاة التزام Botpress بحذف البيانات أو إعادتها إلى العميل، بموجب الاتفاقية ستقوم Botpress بمعالجة البيانات الشخصية طوال مدة الاتفاقية، ما لم يتم الاتفاق كتابيًا على خلاف ذلك.

‍

‍الملحق 2 – تدابير الأمان‍

1. الحوكمة

تطبق Botpress سياسات وإجراءات مناسبة بشأن البيانات الشخصية، بما في ذلك:

• إجراءات أمن المعلومات؛
• سياسات استخدام البيانات الشخصية؛
• إجراءات الإبلاغ عن حوادث الأمان والخصوصية؛
• آليات تقييم المخاطر؛
• إجراءات التدقيق الداخلي؛
• تدابير تعاقدية؛

‍2. وصول المستخدم

• يتم تحديد وظائف ومسؤوليات مستخدمي Botpress وملفاتهم الشخصية التي تتيح الوصول إلى البيانات الشخصية وأنظمة المعلومات بشكل واضح.
• تعتمد Botpress تدابير لإبلاغ مستخدميها بقواعد الأمان التي تؤثر على أداء واجباتهم والعواقب في حال انتهاك هذه القواعد.
• لا تُستخدم بروتوكولات النص الواضح للوصول إلى البيانات الشخصية أو نقلها. يُقبل فقط بروتوكول SSL لهذه العمليات.
• تضمن Botpress أمان العمليات والإجراءات المتعلقة بالتعامل مع الوسائط أو المعدات المادية التي قد تحتوي على بيانات شخصية أو التخلص منها.
• يتم فصل البيانات الشخصية ماديًا، أو منطقيًا إذا كانت على قاعدة بيانات أو بيئة افتراضية، عن بيانات Botpress الأخرى. إذا لم تكن البيانات الشخصية مفصولة ماديًا عن بيانات أو أنظمة أو تطبيقات أخرى غير متعلقة بالعميل، تعتمد Botpress ضوابط أمان مناسبة، بما في ذلك ضوابط الوصول.

3. التحكم في الوصول

تحتفظ Botpress بالخوادم وقواعد البيانات ذات الصلة والمكونات الأخرى من الأجهزة و/أو البرمجيات التي تخزن البيانات الشخصية في مركز بيانات آمن يتم التحكم في الوصول إليه ومراقبته للسماح فقط للأشخاص المخولين بالدخول.

تعتمد Botpress تدابير فعالة للتحكم في الوصول المنطقي على جميع الأنظمة المستخدمة لإنشاء أو نقل أو معالجة البيانات الشخصية، وتشمل هذه التدابير، على سبيل المثال لا الحصر:

• مصادقة المستخدم، حيث يجب عليه استخدام معرفات فريدة ("معرفات المستخدم") وأسماء.
• استراتيجية كلمات مرور معقدة وقوية بما فيه الكفاية.
  
• يجب منح حقوق/امتيازات وصول المستخدمين إلى الموارد المعلوماتية التي تحتوي على بيانات شخصية على أساس الحاجة للمعرفة المرتبطة بمهام ومسؤوليات المستخدم.
• يجب حذف وصول المستخدمين إلى أنظمة الحاسوب التي تتيح الوصول إلى البيانات الشخصية فور مغادرة المستخدم أو في حال تغييره لوظيفته إذا لم تتطلب الوظيفة الجديدة هذا الوصول.
• يجب تغيير كلمات المرور والإعدادات الأمنية الافتراضية في المنتجات/التطبيقات الخارجية المستخدمة لدعم البيانات الشخصية.
• يخضع مقدمو الخدمات الخارجيون لمتطلبات والتزامات أمنية مكافئة لتلك المفروضة على المستخدمين المصرح لهم من Botpress عند معالجة البيانات الشخصية.
• إعادة التحقق السنوية من مبررات حسابات المستخدمين والصلاحيات المرتبطة بها التي تتيح الوصول إلى المعلومات الشخصية.

‍4. هيكلية أمان الشبكة

تطبق Botpress تدابير فعالة للتحكم في الوصول إلى الشبكة على جميع الأنظمة المستخدمة لإنشاء أو نقل أو معالجة البيانات الشخصية، وتشمل هذه التدابير، على سبيل المثال لا الحصر:

• تعمل الجدران النارية بشكل دائم ويتم تثبيتها عند حدود الشبكة بين الشبكة الداخلية (الخاصة) لـ Botpress والشبكة العامة (الإنترنت).
• يتم استخدام أنظمة كشف ومنع التسلل المهيأة والمراقبة بشكل صحيح على شبكة Botpress.
• يتم تفعيل الخدمات/العمليات والمنافذ الضرورية فقط لتشغيل البرامج الروتينية على قواعد البيانات وغيرها من أنظمة المعلومات المستخدمة لمعالجة البيانات الشخصية. ويتم تعطيل جميع الخدمات/العمليات الأخرى على الجهاز المضيف.
• يجب أن تكون جميع أنظمة المعلومات والمستودعات وغيرها من الأنظمة المستخدمة لمعالجة البيانات الشخصية موجودة فعلياً في بيئة مركز بيانات خاضعة للرقابة وتستخدم لغرض حماية أنظمة المعلومات.
• يجب استخدام قنوات آمنة (مثل TLS، SFTP، SSH، IPSEC، وغيرها) بشكل دائم عند التواصل مع مركز بيانات Botpress.

5. ضوابط إدارة الثغرات الأمنية

تطبق Botpress ضوابط فعالة لإدارة الثغرات الأمنية على جميع الأنظمة المستخدمة لإنشاء أو نقل أو معالجة البيانات الشخصية، وتشمل هذه التدابير، على سبيل المثال لا الحصر:

• نشر أجهزة منع وكشف على الشبكة للمساعدة في تصفية رسائل التصيد الإلكتروني والبرمجيات الخبيثة قبل وصولها إلى أجهزة العمل التي تديرها Botpress والتي لها وصول مباشر أو غير مباشر إلى البيانات الشخصية.
• تثبيت برامج منع وكشف الفيروسات والبرمجيات الخبيثة على جميع أجهزة العمل التي تديرها Botpress وتعالج البيانات الشخصية.
• الحفاظ على عملية وإجراءات موحدة لإدارة التحديثات لضمان حماية جميع الأجهزة المستخدمة للوصول إلى البيانات الشخصية أو معالجتها أو تخزينها.
  
• يجب أن تتيح الأجهزة والمستندات التي تحتوي على بيانات شخصية إمكانية تحديد المعلومات التي تم الوصول إليها، وأن تكون مدرجة في الجرد ومقتصرة على المستخدمين المصرح لهم بالوصول إلى البيانات وفقاً للوثيقة الأمنية.
• اتخاذ تدابير لمنع السرقة أو الفقدان أو الوصول غير المصرح به إلى البيانات الشخصية أثناء عمليات النقل والتحويل.

6. النسخ الاحتياطي للبيانات، الاستعادة والتوافر

تطبق Botpress خططاً لاستمرارية الأعمال والتعافي من الكوارث لتقليل أقصى فترة توقف وفقدان للبيانات.

• تطبق Botpress وظائف التعافي من الكوارث مصممة لاستعادة وظائف النظام الذي يحتوي على بيانات شخصية خلال فترة زمنية متفق عليها بين الأطراف أو، في حال عدم الاتفاق، خلال فترة زمنية معقولة بالنظر إلى طبيعة البيانات الشخصية.
• تلتزم Botpress بضمان أن تكون البيانات الشخصية غير متاحة إلا لموظفي Botpress المصرح لهم فقط (على سبيل المثال، يجب تشفير النسخ الاحتياطية الخارجية بشكل دائم).
• لتقليل المخاطر البيئية والتهديدات والفرص للوصول غير المصرح به، يجب وضع المعدات بعيداً عن المواقع المعرضة لمخاطر بيئية عالية، مع دعمها بمعدات احتياطية تقع على مسافة مناسبة.
• يجب تنفيذ آليات أمنية وتدابير تكرار لحماية المعدات من انقطاع خدمات المرافق (مثل انقطاع الكهرباء، اضطرابات الشبكة، وغيرها).
• يجب وضع سياسات وإجراءات للاحتفاظ بالبيانات وتخزينها، وتنفيذ آليات نسخ احتياطي أو تكرار لضمان الامتثال للمتطلبات التنظيمية أو القانونية أو التعاقدية أو التجارية. يجب اختبار استعادة النسخ الاحتياطية من الأقراص أو الأشرطة في فترات مخطط لها.

7. تدقيق الأمان

تطبق Botpress ضوابط على جميع الأنظمة المستخدمة لإنشاء أو نقل أو معالجة البيانات الشخصية، وتشمل هذه الضوابط، على سبيل المثال لا الحصر:

• إجراء فحوصات أو تدقيقات للثغرات الأمنية من طرف ثالث على أجهزة البنية التحتية المواجهة للجمهور التي تحتوي على بيانات شخصية.
• إجراء اختبارات اختراق من طرف ثالث على أنظمة Botpress التي تخزن وتعالج البيانات الشخصية.
• تقييم دوري من طرف ثالث في الحالات التي تدعم فيها التطبيقات أو العمليات معلومات مالية.
• تتعهد Botpress بمعالجة جميع الثغرات التي يتم تحديدها نتيجة لاختبارات الاختراق وإبلاغ العميل بإجراءات المعالجة.
  

8. التدريب والتوعية

تطبق Botpress برنامج توعية أمني لموظفيها ومزودي الخدمة الذين يتعاملون مع الأنظمة التي تعالج البيانات الشخصية، ويشمل ذلك:

• تضمن Botpress أن يكون لدى موظفيها فهم للمخاطر والتهديدات المتعلقة بإدارة المعلومات المرتبطة بخدمات Botpress وسياسات إدارة المخاطر ذات الصلة.
• يتلقى موظفو Botpress تدريباً وتحديثات منتظمة حول السياسات والإجراءات ذات الصلة بإدارة المخاطر وفقاً لنظام تصنيف المخاطر القياسي والإجراءات المناسبة.
• يتم توعية موظفي المتعاقدين من الباطن بنظام تصنيف إدارة المخاطر الخاص بـ Botpress والإجراءات المناسبة.
• يجب وضع سياسات وإجراءات لإزالة المستندات الظاهرة التي تحتوي على بيانات حساسة عند ترك مكان العمل دون مراقبة، وتطبيق تسجيل الخروج التلقائي من الجلسة على أجهزة العمل بعد فترة من عدم النشاط.

‍

الجدول 3 – المعالِجون الفرعيون

تحتفظ Botpress بقائمة محدثة من المعالِجين الفرعيين على مركز الثقة الخاص بها. ما لم يُذكر خلاف ذلك، تتم معالجة جميع البيانات في الولايات المتحدة.