اتفاقية معالجة البيانات من QR Code AI

اتفاقية معالجة البيانات (DPA)

آخر تحديث: ٢ مارس ٢٠٢٦

تُشكل اتفاقية معالجة البيانات ("DPA") هذه جزءاً من شروط الخدمة ("الاتفاقية") بين Supernovae، وهي شركة مسجلة في فرنسا في 27 Rue Wurtz, Juvisy-sur-Orge 91260، برقم ضريبي FR67948452891 ("المعالج"، "نحن")، والكيان الذي يوافق على اتفاقية معالجة البيانات هذه ("المراقب"، "أنتم")، ويُشار إليهما معاً باسم "الطرفين".

تُطبق اتفاقية معالجة البيانات هذه عندما نقوم بمعالجة البيانات الشخصية نيابة عنكم فيما يتعلق بخدمات QR Code AI الخاصة بنا، بما في ذلك عبر API.

١. التعريفات

• "البيانات الشخصية" تعني أي معلومات تتعلق بشخص طبيعي محدد أو يمكن تحديده، كما هو مُعرَّف في المادة 4(1) من نظام GDPR ونظام حماية البيانات الشخصية السعودي.
• "المعالجة" تعني أي عملية أو مجموعة من العمليات تُجرى على البيانات الشخصية، كما هو مُعرَّف في المادة 4(2) من نظام GDPR.
• "صاحب البيانات" يعني الشخص الطبيعي المحدد أو الذي يمكن تحديده والذي تتعلق به البيانات الشخصية.
• "المعالج الفرعي" يعني أي طرف ثالث يستعين به المعالج لمعالجة البيانات الشخصية نيابة عن المراقب.
• "GDPR" يعني اللائحة (الاتحاد الأوروبي) 2016/679 الصادرة عن البرلمان الأوروبي والمجلس.
• "UK GDPR" يعني نظام GDPR كما تم تحويله إلى قانون المملكة المتحدة بموجب قانون حماية البيانات لعام 2018.
• "SCCs" تعني البنود التعاقدية القياسية المعتمدة من المفوضية الأوروبية لنقل البيانات الشخصية إلى دول ثالثة.
• "خرق البيانات" يعني خرقاً أمنياً يؤدي إلى التدمير العرضي أو غير القانوني للبيانات الشخصية، أو فقدانها، أو تغييرها، أو الكشف غير المصرح به عنها، أو الوصول إليها.

٢. النطاق والأدوار

٢.١ المراقب والمعالج

لأغراض اتفاقية معالجة البيانات هذه:

• أنتم (المراقب): أنتم تحددون أغراض ووسائل معالجة البيانات الشخصية عند استخدامكم لخدماتنا، خاصة عند استخدامكم API الخاص بنا لإنشاء باركودات QR لعملائكم أو دمج خدماتنا في منتجاتكم.
• نحن (المعالج): نحن نعالج البيانات الشخصية نيابة عنكم وفقاً لتعليماتكم، كما هو موضح في اتفاقية معالجة البيانات هذه والاتفاقية.

٢.٢ متى تُطبق اتفاقية معالجة البيانات هذه

تُطبق اتفاقية معالجة البيانات هذه عندما:

• تستخدمون API الخاص بـ QR Code AI لإنشاء باركودات QR تعالج بيانات المستخدمين النهائيين لديكم (مثل، روابط URL التي تحتوي على معلومات شخصية، بيانات vCard، تفاصيل الاتصال المشفرة في باركودات QR).
• تستخدمون ميزات تتبع باركود QR والتحليلات من QR Code AI التي تجمع بيانات المسح من المستخدمين النهائيين لديكم.
• أي سيناريو آخر نقوم فيه بمعالجة البيانات الشخصية نيابة عنكم بصفتنا معالج بيانات.

عندما تستخدمون QR Code AI كمستخدم فردي لأغراضكم الخاصة، فإننا نتصرف كمراقب بيانات مستقل وتخضع معالجة البيانات لـ سياسة الخصوصية الخاصة بنا.

٣. تفاصيل معالجة البيانات

٣.١ الموضوع والمدة

نقوم بمعالجة البيانات الشخصية طوال مدة الاتفاقية لتقديم خدمات QR Code AI، بما في ذلك إنشاء باركود QR، التتبع، التحليلات، والوظائف ذات الصلة.

٣.٢ طبيعة وغرض المعالجة

• إنشاء باركودات QR بناءً على بيانات الإدخال المقدمة من المراقب
• تتبع عمليات مسح باركود QR وجمع بيانات التحليلات
• تخزين تكوينات باركود QR والبيانات الوصفية المرتبطة بها
• معالجة طلبات باركود فني المُنشأة بالذكاء الاصطناعي
• توفير التقارير ولوحات معلومات التحليلات

٣.٣ أنواع البيانات الشخصية

قد تشمل أنواع البيانات الشخصية المعالجة ما يلي:

• معلومات الاتصال (الأسماء، عناوين البريد الإلكتروني، أرقام الهواتف) المشفرة في باركودات QR
• روابط URL وعناوين الويب
• بيانات الموقع من عمليات مسح باركود QR
• معلومات الجهاز وعناوين IP من عمليات مسح باركود QR
• المطالبات النصية والصور المقدمة لإنشاء باركود فني بالذكاء الاصطناعي
• أي بيانات أخرى يختار المراقب تشفيرها في باركودات QR

٣.٤ فئات أصحاب البيانات

• المستخدمون النهائيون الذين يمسحون باركودات QR التي أنشأها المراقب
• الأفراد الذين تم تشفير معلومات الاتصال الخاصة بهم في باركودات QR
• مستخدمو منتجات أو خدمات المراقب الذين يتفاعلون مع باركودات QR

٤. التزامات المعالج

٤.١ تعليمات المعالجة

سنقوم بمعالجة البيانات الشخصية فقط بناءً على تعليماتكم الموثقة، ما لم يُطلب منا القيام بذلك بموجب قانون الاتحاد الأوروبي أو أنظمة المملكة العربية السعودية التي نخضع لها. في مثل هذه الحالة، سنبلغكم بهذا المطلب القانوني قبل المعالجة، ما لم يمنع القانون تقديم هذه المعلومات لأسباب هامة تتعلق بالمصلحة العامة.

٤.٢ السرية

نحن نضمن أن الأشخاص المصرح لهم بمعالجة البيانات الشخصية قد التزموا بالسرية أو يخضعون لالتزام قانوني مناسب بالسرية.

٤.٣ التدابير الأمنية

نحن ننفذ التدابير الفنية والتنظيمية المناسبة لضمان مستوى من الأمان يتناسب مع المخاطر، بما يتوافق مع معايير SAMA وCITC، بما في ذلك:

• تشفير البيانات الشخصية أثناء النقل (TLS/HTTPS) وأثناء التخزين
• ضوابط الوصول والمصادقة القائمة على الأدوار للأنظمة الداخلية
• التقييمات الأمنية المنتظمة ومسح نقاط الضعف
• بنية تحتية مستضافة لدى مزودين معتمدين بشهادة ISO 27001
• الحماية من هجمات حجب الخدمة (DDoS) وجدار حماية تطبيقات الويب (Cloudflare)
• نسخ احتياطية منتظمة مع تخزين مشفر
• تسجيل ومراقبة الوصول إلى البيانات الشخصية

٤.٤ المعالجون الفرعيون

نحن نستخدم المعالجين الفرعيين المدرجين في صفحة المعالجين الفرعيين الخاصة بنا. سنقوم بإبلاغكم بأي تغييرات مقترحة على المعالجين الفرعيين من خلال تحديث تلك الصفحة. يمكنكم الاعتراض على معالج فرعي جديد عن طريق الاتصال بنا على [email protected] خلال ٣٠ يوماً من التحديث. إذا اعترضتم ولم نتمكن من تلبية اعتراضكم بشكل معقول، يجوز لأي من الطرفين إنهاء الجزء المتأثر من الخدمات.

نحن نبرم اتفاقيات مكتوبة مع جميع المعالجين الفرعيين تفرض التزامات حماية بيانات لا تقل في مستوى حمايتها عن تلك الواردة في اتفاقية معالجة البيانات هذه.

٤.٥ حقوق أصحاب البيانات

سنساعدكم في الرد على الطلبات المقدمة من أصحاب البيانات الذين يمارسون حقوقهم بموجب قانون حماية البيانات المعمول به (الوصول، التصحيح، المحو، التقييد، قابلية النقل، الاعتراض). إذا تلقينا طلباً مباشرة من صاحب البيانات، فسنقوم بإعادة توجيهه إليكم على الفور ما لم يُطلب منا خلاف ذلك.

٤.٦ المساعدة في الامتثال

سنساعدكم في ضمان الامتثال لالتزاماتكم بموجب المواد من 32 إلى 36 من نظام GDPR، ونظام حماية البيانات الشخصية السعودي، مع مراعاة طبيعة المعالجة والمعلومات المتاحة لنا.

٥. إشعار خرق البيانات

٥.١ الإطار الزمني للإشعار

سنقوم بإخطاركم بأي خرق للبيانات دون تأخير غير مبرر، وفي كل الأحوال خلال ٧٢ ساعة من علمنا بالخرق. سيتم إرسال الإشعار إلى عنوان البريد الإلكتروني المرتبط بحسابكم.

٥.٢ محتوى الإشعار

سيتضمن الإشعار، بالقدر المتاح:

• وصفاً لطبيعة خرق البيانات، بما في ذلك فئات والعدد التقريبي لأصحاب البيانات والسجلات المتأثرة.
• اسم وتفاصيل الاتصال بنقطة الاتصال الخاصة بنا لحماية البيانات.
• وصفاً للعواقب المحتملة لخرق البيانات.
• وصفاً للتدابير المتخذة أو المقترحة لمعالجة خرق البيانات، بما في ذلك التدابير الرامية إلى التخفيف من آثاره السلبية المحتملة.

٥.٣ التعاون المستمر

سنتعاون معكم ونقدم المساعدة المعقولة في التحقيق في أي خرق للبيانات والتخفيف من حدته ومعالجته، وفي تقديم أي إشعارات إلى السلطات الإشرافية أو أصحاب البيانات التي يُطلب منكم تقديمها.

٦. عمليات نقل البيانات الدولية

٦.١ موقع البيانات

يتم تخزين البيانات الشخصية ومعالجتها بشكل أساسي في الاتحاد الأوروبي:

• فرنسا (الاتحاد الأوروبي) عبر Scaleway
• هولندا (الاتحاد الأوروبي) عبر DigitalOcean

٦.٢ النقل خارج الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية

يقع بعض المعالجين الفرعيين لدينا خارج الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية، وبشكل أساسي في الولايات المتحدة. بالنسبة لعمليات النقل هذه، نعتمد على:

• إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة: حيثما ينطبق ذلك، لعمليات النقل إلى مزودين مقرهم الولايات المتحدة ومعتمدين بموجب الإطار.
• البنود التعاقدية القياسية (SCCs): نقوم بدمج البنود التعاقدية القياسية المعتمدة من المفوضية الأوروبية (قرار التنفيذ الصادر عن المفوضية (الاتحاد الأوروبي) 2021/914) في اتفاقياتنا مع المعالجين الفرعيين الموجودين خارج الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية حيث لا ينطبق إطار خصوصية البيانات.

٦.٣ تقييم تأثير النقل

نقوم بإجراء تقييمات لتأثير النقل لعمليات النقل إلى دول ثالثة وننفذ تدابير تكميلية عند الضرورة لضمان مستوى كافٍ من حماية البيانات.

٧. عمليات التدقيق والتفتيش

٧.١ حقوق التدقيق

يحق لكم تدقيق امتثالنا لاتفاقية معالجة البيانات هذه. سنوفر لكم جميع المعلومات اللازمة لإثبات الامتثال ونسمح بعمليات التدقيق، بما في ذلك عمليات التفتيش، التي تجرونها أنتم أو مدقق حسابات مفوض من قبلكم، ونساهم فيها.

٧.٢ عملية التدقيق

تخضع عمليات التدقيق للشروط التالية:

• يجب عليكم تقديم إشعار كتابي قبل ٣٠ يوماً على الأقل من أي عملية تدقيق.
• لا يجوز إجراء عمليات التدقيق أكثر من مرة واحدة في السنة، ما لم تطلب ذلك سلطة إشرافية أو في أعقاب خرق للبيانات.
• يجب إجراء عمليات التدقيق خلال ساعات العمل العادية ويجب ألا تتداخل بشكل غير معقول مع عملياتنا.
• أنتم مسؤولون عن تكاليف أي عملية تدقيق، ما لم يكشف التدقيق عن خرق جوهري لاتفاقية معالجة البيانات هذه.
• يجب عدم كشف المعلومات السرية لعملائنا الآخرين أثناء عملية التدقيق.

٨. الاحتفاظ بالبيانات وحذفها

٨.١ خلال فترة الاتفاقية

نحتفظ بالبيانات الشخصية طوال مدة الاتفاقية حسب الضرورة لتقديم الخدمات.

٨.٢ عند الإنهاء

عند إنهاء الاتفاقية أو بناءً على طلب كتابي منكم:

• سنقوم بحذف البيانات الشخصية من أنظمتنا النشطة خلال ٣٠ يوماً.
• سيتم مسح البيانات الشخصية في أرشيفات النسخ الاحتياطي خلال ٦ أشهر.
• قد نحتفظ بالبيانات الشخصية بالقدر الذي يقتضيه القانون المعمول به (مثل الالتزامات الضريبية والمحاسبية)، وفي هذه الحالة سنقوم بعزل هذه البيانات وحمايتها وقصر المعالجة الإضافية على ما يقتضيه القانون.

٨.٣ الشهادة

بناءً على طلبكم، سنقدم تأكيداً كتابياً بأنه قد تم حذف البيانات الشخصية وفقاً لهذا القسم.

٩. المسؤولية

تخضع مسؤولية كل طرف بموجب اتفاقية معالجة البيانات هذه لحدود المسؤولية المنصوص عليها في الاتفاقية. لا يوجد في اتفاقية معالجة البيانات هذه ما يحد من مسؤولية أي من الطرفين تجاه أصحاب البيانات أو السلطات الإشرافية بموجب قانون حماية البيانات المعمول به.

١٠. القانون الحاكم

تخضع اتفاقية معالجة البيانات هذه لقوانين فرنسا. بالنسبة لأصحاب البيانات في الاتحاد الأوروبي، يُطبق نظام GDPR. بالنسبة لأصحاب البيانات في المملكة العربية السعودية، يُطبق نظام حماية البيانات الشخصية. سيتم حل أي نزاعات تنشأ عن اتفاقية معالجة البيانات هذه وفقاً لأحكام تسوية المنازعات الواردة في الاتفاقية.

١١. كيفية تنفيذ اتفاقية معالجة البيانات هذه

تم دمج اتفاقية معالجة البيانات هذه في شروط الخدمة وتُشكل جزءاً منها. باستخدامكم لخدمات QR Code AI، فإنكم توافقون على اتفاقية معالجة البيانات هذه.

إذا كنتم بحاجة إلى نسخة موقعة بشكل منفصل من اتفاقية معالجة البيانات هذه لسجلاتكم، يرجى الاتصال بنا على [email protected] وسنقدم لكم نسخة خلال ١٠ أيام عمل.

١٢. الاتصال

للأسئلة حول اتفاقية معالجة البيانات هذه أو ممارسات معالجة البيانات الخاصة بنا:

Supernovae 27 Rue Wurtz Juvisy-sur-Orge, Ile-de-France 91260 France [email protected]