CoachCare GDPR Data Protection Addendum
تشكل إضافة حماية البيانات ("إضافة") جزءًا من اتفاقية الاشتراك الرئيسي ("الاتفاقية الرئيسية") بين: (1) CoachCare، كما هو محدد في الاتفاقية الرئيسية، ("CoachCare")؛ (2) وبينك أنت، كما هو مُشار في الاتفاقية الرئيسية بكلمة "أنت" أو "الخاص بك" عندما ينطبق GDPR على استخدامك للخدمات، كما هو محدد في الاتفاقية الرئيسية لمعالجة بياناتك الشخصية.
يوجد للمصطلحات المستخدمة في هذه الإضافة معاني محددة فيها. وستجد أن المصطلحات المكتوبة بحروف كبيرة والتي لم يتم تعريفها في هذه الوثيقة لها معاني في الاتفاقية الرئيسية. باستثناء ما تم تعديله أدناه، تبقى شروط الاتفاقية الرئيسية سارية المفعول والتأثير.
في ضوء الالتزامات المتبادلة المنصوص عليها هنا، يتفق الطرفان على أن البنود والشروط المبينة أدناه تضاف كإضافة للاتفاقية الرئيسية. باستثناء ما يقتضيه السياق خلاف ذلك، فإن الإشارات الواردة في هذه الإضافة إلى الاتفاقية الرئيسية هي إلى الاتفاقية الرئيسية بصيغتها المعدلة، بما في ذلك هذه الإضافة.
1. التعريفات
1.1 في هذه الإضافة، تحمل المصطلحات التالية المعاني المبينة أدناه وتُفسّر المصطلحات المشابهة وفقًا لذلك:
- 1.1.1 "القوانين المطبقة" تعني (أ) قوانين الاتحاد الأوروبي أو الدول الأعضاء فيما يتعلق بأي من بياناتك الشخصية التي تخضع بموجبها لقوانين حماية البيانات في الاتحاد الأوروبي ؛ (ب) أي قانون آخر معمول به فيما يتعلق بأي من بياناتك الشخصية التي تخضع فيها لأية قوانين أخرى لحماية البيانات.
- 1.1.2 "بياناتك الشخصية" تعني أي بيانات شخصية تتم معالجتها بواسطة معالج متعاقد بالنيابة عنك أو عن عملائك وفقًا للاتفاقية الرئيسية أو فيما يتعلق بها ؛
- 1.1.3 "معالج متعاقد" يقصد به CoachCare أو معالج ثانوي ؛
- 1.1.4 "قوانين حماية البيانات" تعني قوانين حماية البيانات في الاتحاد الأوروبي ، وإلى حدٍ ممكن قوانين حماية البيانات أو الخصوصية في أي بلد آخر ؛
- 1.1.5 "EEA" تعني المنطقة الاقتصادية الأوروبية ؛
- 1.1.6 "قوانين حماية البيانات بالاتحاد الأوروبي" تعني GDPR والقوانين التي تنفذ أو تكمل GDPR ؛
- 1.1.7 "GDPR" تعني اللائحة العامة للاتحاد الأوروبي لحماية البيانات 2016/679.
- 1.1.8 "النقل المقيد" قد يعني:
- 1.1.8.1 نقل بياناتك الشخصية منك إلى معالج متعاقد ؛ أو
- 1.1.8.2 نقل بياناتك الشخصية من معالج متعاقد إلى معالج متعاقد آخر، أو بين منظومتين لمعالج متعاقد.
- 1.1.9 "الخدمات" تعني الخدمات والأنشطة الأخرى التي سيتم توريدها أو تنفيذها من قبل CoachCare بالنيابة عنك أو بالنيابة عنها وفقًا للاتفاقية الرئيسية.
- 1.1.10 "الشروط التعاقدية القياسية" تعني الشروط التعاقدية المنصوص عليها في الملحق 3، المعدلة كما هو محدد (بين أقواس معقوفة ومائلة) في ذلك الملحق وتحت القسم 12.4.
- 1.1.11 "المعالج الفرعي" يعني أي شخص (بما في ذلك أي طرف ثالث باستثناء موظف من CoachCare أو أي من الموظفين من الداخل) يعينهم أو بالنيابة عن CoachCare إلى عملية البيانات الشخصية نيابة عنك فيما يتعلق بالاتفاقية الرئيسية.
1.2 المصطلحات "Commission" و "Controller" و "Subject Data" و "State State" و "Personal Data" و "Personal Data Breach" و "Processing" و "Authority Supervisory Authority" يكون لها نفس المعنى كما في GDPR ، ويجب أن تُفسر شروطها المعرفية وفقا لذلك.
1.3 كلمة "تشمل" تعني على سبيل المثال لا الحصر، وتُفسر المصطلحات المشابهة وفقاً لذلك.
2. معالجة بياناتك الشخصية
2.1 تنطبق هذه الإضافة عندما تتم معالجة بياناتك الشخصية بواسطة CoachCare. وفي هذا السياق ستعمل CoachCare كمعالج لك، والذي قد يعمل إما كمراقب أو معالج فيما يتعلق ببياناتك الشخصية.
2.2 يجب على CoachCareما يلي:
- 2.2.1 الامتثال لجميع قوانين حماية البيانات المعمول بها في معالجة البيانات الشخصية الخاصة بك.
- 2.2.2 ألا تقوم بمعالجة بياناتك الشخصية بخلاف تعليماتك الموثقة إلا إذا كانت المعالجة مطلوبة بموجب القوانين المعمول بها والتي يخضع لها عقد المعالجة ذي الصلة، وفي هذه الحالة يجب على CoachCare -بالقدر الذي تسمح به القوانين المعمول بها- أن تبلغك بهذا الشرط القانوني قبل بيانات المعالجة ذات الصلة.
2.3 يجب عليك إرشاد CoachCare وتفويضها لتوجيه كل معالج ثانوي إلى:
- 2.3.1 معالجة بياناتك الشخصية.
- 2.3.2 نقل بياناتك الشخصية إلى أي بلد أو إقليم على وجه الخصوص.
وذلك كما تقتضي الحاجة وبشكل معقول لتوفير الخدمات وبما يتفق مع الاتفاقية الرئيسية.
2.4 يحدد الملحق 1 بهذه الإضافة معلومات معينة تتعلق بمعالجة المعالجات المتعاقد عليها لبياناتك الشخصية كما هو مطلوب في المادة 28 (3) من GDPR (وربما المتطلبات المماثلة لقوانين حماية البيانات الأخرى). ويجوز لك إدخال تعديلات معقولة على الملحق 1 عبر إرسال إشعار خطي إلى CoachCare من حين إلى آخر، حيث يعتبر من الضروري تلبية هذه المتطلبات. ولا يوجد في الملحق 1 (بما في ذلك ما تم تعديله 2 طبقاً لهذا القسم 2.3) ما يمنح أي حق أو يفرض أي التزام على أي طرف في هذه الإضافة.
3. طاقم عمل CoachCare.
يتعين على CoachCare اتخاذ خطوات معقولة تجاريًا لضمان موثوقية أي موظف أو وكيل أو مقاول لأي معالج متعاقد يمكنه الوصول إلى بياناتك الشخصية، مما يضمن في كل حالة أن الوصول يقتصر فقط على الأفراد الذين يحتاجون إلى معرفة / الدخول إلى حسابك الشخصي للبيانات ذات الصلة، وكما تقتضي الضرورة القصوى لأغراض الاتفاقية الرئيسية، والامتثال للقوانين المعمول بها في سياق واجبات هذا الشخص إلى المعالج المتعاقد، وضمان أن جميع هؤلاء الأفراد يخضعون لإجراءات السرية أو التزامات مهنية أو قانونية سرية.
4. الأمن
4.1 مع الأخذ بعين الاعتبار أحدث ما توصلت إليه التكنولوجيا وتكاليف التنفيذ وطبيعة المعالجة ونطاقها وسياقها وأغراضها بالإضافة إلى اختلاف احتمالات حدوثها وشدتها بالنسبة لحقوق وحريات الأشخاص العاديين، يجب على CoachCare التعامل مع شخصيتك الشخصية. وأن تتخذ التدابير الفنية والتنظيمية المناسبة مع البيانات لضمان مستوى مناسب من الأمن لذلك الخطر، بما في ذلك، حسب الاقتضاء، التدابير المشار إليها في المادة 32 (1) من GDPR. على وجه الخصوص، ونفذت CoachCare وستحتفظ بالتدابير الفنية والتنظيمية المنصوص عليها في الملحق 2.
4.2 عند تقييم المستوى المناسب للأمن، يجب على CoachCare أن يأخذ في الاعتبار المخاطر التي يتم تقديمها من خلال المعالجة، وخاصة من اختراق البيانات الشخصية.
5. المعالجة الفرعية
5.1 أنت تخوِّل CoachCare أن تعين (وتسمح لكل معالج فرعي معين وفقًا لهذا القسم 5 بالتعيين) معالجات فرعية وفقًا لهذا القسم 5 وأي قيود في الاتفاقية الرئيسية.
5.2 قد تستمر CoachCare في استخدام تلك المعالجات الفرعية التي اشتركت فيها CoachCare بالفعل في تاريخ هذه الإضافة ، وتخضع CoachCare في كل حالة من الناحية العملية للالتزامات المنصوص عليها في القسم 5.4.
5.3 موقع CoachCare (حاليا في www.coachcare.com/gdpr/subprocessors) يسرد بعض المعالجات الفرعية التي يتم تشغيلها حالياً بواسطة CoachCare لتنفيذ أنشطة المعالجة على بياناتك الشخصية. وقبل إشراك CoachCare أي معالج ثانوي جديد للقيام بأنشطة المعالجة على بياناتك الشخصية، يجب أن يقوم CoachCare بتحديث موقع الويب المعني وإعطائك إشعارًا كتابيًا بتعيين المعالج الفرعي الجديد، بما في ذلك التفاصيل الكاملة للمعالجة التي سيقوم بها المعالج الفرعي. وإذا قمت -في غضون 10 أيام من استلام هذا الإشعار- بإشعار CoachCare كتابيًا بأية اعتراضات (لأسباب معقولة) على الموعد المقترح يترتب على ذلك التالي:
- 5.3.1 لا يحق لـ CoachCare تعيين المعالج الفرعي المقترح للقيام بأنشطة المعالجة على بياناتك الشخصية (أو الكشف عن أي من بياناتك الشخصية إلى ذلك المعالج الفرعي) حتى يتم اتخاذ خطوات معقولة تجاريًا لمعالجة الاعتراضات التي قدمتها أنت مع شرح كتابي معقول للخطوات المتخذة.
- 5.3.2 في غضون 10 أيام من استلام الشرح المكتوب في القسم 5.3.1 ، يجب عليك إخطار CoachCare كتابيًا أنك تجد أن مثل هذه الخطوات غير كافية لتناول 3 أجزاء (على أسس معقولة) ، سيعمل CoachCare معك بحسن نية لتوفير تغيير معقول تجاريًا في توفير الخدمات لك بما يتجنب استخدام المعالج الفرعي المقترح.
5.4 فيما يتعلق بكل معالج فرعي ، يجب على CoachCare:
- 5.4.1 قبل أن يقوم المعالج الأول أولاً بمعالجة بياناتك الشخصية (أو ، عند الاقتضاء ، وفقًا للبند 5.2) ، يجب القيام بالاحترازات الواجبة الكافية لضمان قدرة المعالج الفرعي على توفير مستوى الحماية لبياناتك الشخصية التي يطلبها الاتفاق.
- 5.4.2 التأكد من أن الترتيب بين من جهة (أ) CoachCare ، أو (ب) المعالج الفرعي الوسيط ذا الصلة. ومن ناحية أخرى، يخضع المعالج الفرعي، بموجب عقد مكتوب يتضمن الشروط التي تقدم على الأقل نفس مستوى الحماية لبياناتك الشخصية على النحو المبين في هذا الملحق وتفي بمتطلبات المادة 28 (3) من GDPR.
- 5.4.3 إذا كان هذا الترتيب ينطوي على نقل مقيد، تأكد من أن الشروط التعاقدية الموحدة في جميع الأوقات ذات الصلة تدرج في الاتفاق بين من جهة (أ) CoachCare ، أو (ب) المعالج الفرعي الوسيط ذا الصلة.
- 5.4.4 تزويدك بمراجعة لهذه النسخ من اتفاقيات المعالجات المتعاقد معها مع المعالجات الفرعية (والتي يمكن نقحها لإزالة المعلومات التجارية السرية غير ذات الصلة بمتطلبات هذا الملحق) كما قد تطلب من وقت لآخر.
5.5 يجب على CoachCare التأكد من أن كل معالج فرعي ينفذ الالتزامات بموجب الأقسام 2 و 3 و 4 و 6 و 7 و 8 و 10.1 ، حيث تنطبق على معالجة بياناتك الشخصية التي يقوم بها هذا المعالج الفرعي كما لو كان طرفًا في هذه الإضافة في مكان CoachCare.
6. حقوق صاحب البيانات
6.1 مع الأخذ في الاعتبار طبيعة المعالجة ، يجب على CoachCare تقديم مساعدة معقولة تجارياً لك عن طريق تنفيذ التدابير الفنية والتنظيمية المناسبة ، بقدر ما يكون ذلك ممكناً ، من أجل الوفاء بالتزاماتك ، كما تفهمك بشكل معقول ، من أجل الاستجابة لطلبات التمرين حقوق صاحب البيانات بموجب قوانين حماية البيانات.
6.2 يجب على CoachCare ما يلي:
- 6.2.1 إبلاغك على الفور إذا كان أي معالج متعاقد يتلقى طلبًا من صاحب البيانات بموجب أي قانون لحماية البيانات فيما يتعلق ببياناتك الشخصية ؛ و
- 6.2.2 التأكد من أن المعالج المتعاقد لا يستجيب لهذا الطلب إلا على التعليمات الموثقة لك أو كما هو مطلوب من قبل القوانين المعمول بها التي يخضع لها المعالج المتعاقد ، وفي هذه الحالة يجب على CoachCare إلى الحد الذي تسمح به القوانين المعمول بها إخبارك هذا الشرط القانوني قبل المعالج المتعاقد يستجيب للطلب.
7. خرق البيانات الشخصية
7.1 يجب على CoachCare أن يخطرك دون تأخير غير مبرر على CoachCare أو أي معالج ثانوي يصبح على بينة من خرق البيانات الشخصية التي تؤثر على بياناتك الشخصية ، مما يوفر لك معلومات كافية تسمح لك بالوفاء بأي التزامات للإبلاغ أو إخطار مواد البيانات الخاصة بانتهاك البيانات الشخصية تحت قوانين حماية البيانات.
7.2 يجب أن تتعاون CoachCare معك وأن تتخذ مثل هذه الخطوات المعقولة تجاريًا التي توجهها أنت للمساعدة في التحقيق ، والتخفيف ، ومعالجة كل خرق للبيانات الشخصية.
7.3 أنت توافق على ما يلي:
- 7.3.1 لا يخضع خرق البيانات الشخصية غير الناجح لهذا البند 7. انتهاك البيانات الشخصية غير الناجح هو الذي لا يؤدي إلى الوصول غير المصرح به إلى بياناتك الشخصية أو إلى أي من معدات أو تسهيلات CoachCare التي تخزن بياناتك الشخصية ، وقد تشمل ، على سبيل المثال لا الحصر ، pings وغيرها من هجمات البث على جدران الحماية أو خوادم الحواف ، تفحص المنافذ ، محاولات تسجيل الدخول غير الناجحة ، هجمات رفض الخدمة ، استنشاق الرزم (أو الوصول غير المرخص إلى بيانات حركة المرور التي لا تؤدي إلى الوصول إلى ما بعد العناوين) أو ما شابه ذلك حوادث. و
- 7.3.2 إن التزام CoachCare بالإبلاغ عن خرق البيانات الشخصية أو الرد عليه بموجب هذا القسم 7 لا يعتبر ولن يفسر على أنه اعتراف من CoachCare بأي خطأ أو مسؤولية لـ CoachCare فيما يتعلق بخرق البيانات الشخصية.
8. أثر حماية البيانات والمشورة المسبقة
تقدم CoachCare المساعدة المعقولة تجاريًا لك مع أي تقييم لأثر حماية البيانات، ومشاورات مسبقة مع السلطات الإشرافية أو غيرها من سلطات خصوصية البيانات المختصة، والتي تعتبرها على نحو معقول مطلوبة منك بموجب المادة 35 أو 36 من GDPR أو أي أحكام مماثلة من أي قانون حماية البيانات الآخر في كل حالة تتعلق فقط بمعالجة بياناتك الشخصية، ومع الأخذ في الاعتبار طبيعة المعالجات والمعلومات المتوفرة والمعالجات المتعاقد معها.
9. حذف أو استرجاع بياناتك الشخصية
9.1 وفقًا للمادتين 9.2 و 9.3 يجب على CoachCare على الفور وفي أي حال حذف ومتابعة سير حذف جميع نسخ بياناتك الشخصية في غضون 90 يومًا من تاريخ وقف أي خدمات تنطوي على معالجة البيانات الشخصية الخاصة بك ("تاريخ التوقف").
9.2 وفقًا للقسم 9.3 ، يجوز لك وفقًا لتقديرك المطلق بموجب إخطار كتابي إلى CoachCare في غضون 10 أيام من تاريخ التوقف أن تطلب من CoachCare ما يلي: (أ) إعادة نسخة كاملة من جميع بياناتك الشخصية إليك عن طريق تأمين نقل الملفات بتنسيق مماثل كما هو مطلوب من قبلك إلى CoachCare؛ (ب) متابعة حذف جميع النسخ الأخرى من بياناتك الشخصية التي تتم معالجتها بواسطة أي معالج تعاقد. ويجب على CoachCare الالتزام بأي طلب كتابي في غضون 90 يومًا من تاريخ التوقف.
9.3 يجوز لكل معالج متعاقد الاحتفاظ ببياناتك الشخصية بالقدر الذي تتطلبه القوانين المعمول بها وفقط بالقدر الذي تقتضيه القوانين المعمول بها ولفترة زمنية محددة، وبشرط أن تضمن CoachCare سرية جميع بياناتك الشخصية وتحمي ذلك. ويتم معالجة بياناتك الشخصية فقط حسب الضرورة للغرض (الأغراض) المحددة في القوانين المعمول بها التي تتطلب تخزينها وليس لأي غرض آخر.
9.4 يجب أن توفر CoachCare شهادة كتابية لك أنها امتثلت بالكامل لهذا القسم 9 في غضون 90 يومًا من تاريخ التوقف.
10. حقوق فحص الحسابات
10.1 وفقًا للمادتين 10.2 و 10.3 ، يجب على CoachCare توفير جميع المعلومات اللازمة لإثبات الالتزام بهذا الملحق بناءً على طلبك وعلى أساس معقول تجاريًا، ويجب أن تسمح وتساهم في عمليات التدقيق بما في ذلك عمليات التفتيش على نفقتك الخاصة ، ولا يقتصر ذلك على الوقت الذي تنفقه CoachCare بشكل معقول لمثل هذا التدقيق في أسعار الخدمات الاحترافية الحالية الخاصة بـ CoachCare (التي تكون متاحة لك عند الطلب)، من قبلك أو من قبل مدقق معتمد من قبلك فيما يتعلق بمعالجة البيانات الشخصية الخاصة بك من قبل المعالجين المتعاقد م0عهم. طلب). قبل بدء العمل، ويجب على كل من CoachCare وعليك أن تتفقا على نطاق وتوقيت ومدة التدقيق.
10.2 لا تنشأ حقوق المعلومات والمراجعة الخاصة بك إلا بموجب القسم 10.1 إلى الحد الذي لا يمكن فيه للاتفاق الرئيسي منحك معلومات بشكل آخر حول حقوق التدقيق التي تفي بالمتطلبات ذات الصلة لقانون حماية البيانات (بما في ذلك ، حيثما ينطبق ، المادة 28 (3) (ح) GDPR).
10.3 يتعين عليك عند إجراء مراجعة ما إعطاء CoachCareإخطارًا معقولًا بأية مراجعة أو تفتيش يتم إجراؤه بموجب القسم 10.1 ، ويجب أن تقوم (وتضمن أن يقوم كل مدقق حسابات مُفوّض) بجهود معقولة لتجنب التسبب بضرر أو تقليل أي ضرر أو إصابة أو تعطيل لأماكن المعالجات المتعاقد عليها ، والمعدات، والموظفين ، والأعمال أثناء وجود موظفيها في تلك المباني أثناء إجراء التدقيق أو التفتيش. ويتم تعويضك عن أي ضرر أو إصابة أو اضطراب تسببت فيه أنت أو مدقق معتمد من قبلك إلى المعالجات المتعاقد معها. ولا يحتاج المعالج المتعاقد معه إلى الوصول إلى مقره لأغراض التدقيق أو التفتيش في الحالات التالية:
- 10.3.1 لأي فرد ما لم يقدم دليلاً معقولاً على هويته وسلطته.
- 10.3.2 خارج ساعات العمل العادية في تلك المباني ، ما لم يكن من الضروري إجراء مراجعة أو فحص على أساس طارئ وقيامك بإرسال إخطار إلى CoachCare عند إجراء مراجعة للمشتريات بأن هذه هي الحالة قبل أن يبدأ الحضور خارج تلك الساعات.
- 10.3.3 لأغراض أكثر من مراجعة أو تفتيش ، فيما يتعلق بكل معالج متعاقد ، في أي فترة من ثلاث سنوات تقويمية ، باستثناء أي عمليات تدقيق أو تفتيش إضافية والتي تشمل:
- 10.3.3.1 قيامك بإجراء تدقيق بشكل معقول تعتبره ضروريًا بسبب مخاوف حقيقية حول امتثال CoachCare لهذا الملحق.
- 10.3.3.2 إذ كان مطلوب منك القيام به بموجب قانون حماية البيانات أو السلطة الإشرافية أو أي سلطة تنظيمية مماثلة مسؤولة عن تطبيق قوانين حماية البيانات في أي بلد أو إقليم.
- 10.3.4 تقوم CoachCare بإبلاغك على الفور إذا كان هناك -في رأيها- تعليمات بموجب هذا القسم 10 (حقوق التدقيق) تنتهك GDPR أو غيرها من أحكام حماية البيانات الخاصة بالاتحاد الأوروبي أو الدول الأعضاء.
11. التنقلات المُقيّدة
11.1 بموجب المادة 11.3 ، تقوم أنت (بصفتك "مُصدّر البيانات") و CoachCare (بصفتها "مستورد البيانات") بإدخال الشروط التعاقدية القياسية فيما يتعلق بأي نقل مقيد منك إلىCoachCare.
11.2 تصبح الأحكام التعاقدية الموحدة سارية المفعول بموجب القسم 11.1 في وقت لاحق:
- 11.2.1 يصبح مُصدّر البيانات طرفاً فيها.
- 11.2.2 يصبح مستورد البيانات طرفًا فيها.
- 11.2.3 بدء النقل المقيد ذي الصلة.
11.3 لا ينطبق البند 11.1 على أي نقل مقيَّد إلا إذا كان تأثيره (بالإضافة إلى خطوات الامتثال العملية الأخرى المعقولة (والتي -لتجنب الشك- لا تشمل الحصول على الموافقة من مواضيع البيانات) هو السماح بإجراء النقل المقيد ذي الصلة دون خرق قانون حماية البيانات المعمول به.
12. بنود عامّة
القانون والسياسة السائدة
12.1 دون الإخلال بالبنود 7 (الوساطة والاختصاص القضائي) و 9 (القانون الحاكم) من الشروط التعاقدية القياسية:
- 12.1.1 تقدم الأطراف في هذه الإضافة إلى اختيار الاختصاص المنصوص عليه في الاتفاقية الرئيسية فيما يتعلق بأي نزاعات أو مطالبات تنشأ مهما كان هذا الملحق ، بما في ذلك النزاعات المتعلقة بوجودها أو صحتها أو إنهائها أو نتائج بطلانها.
- 12.1.2 تخضع هذه الإضافة وجميع الالتزامات غير التعاقدية وغيرها من الالتزامات الناشئة عن أو فيما يتعلق بها لقوانين البلد أو الإقليم المنصوص عليها لهذا الغرض في الاتفاقية الرئيسية.
ترتيب الأولويّات
12.2 ليس في هذا الملحق ما يقلل من التزامات CoachCare بموجب الاتفاقية الرئيسية فيما يتعلق بحماية البيانات الشخصية أو يسمح لـ CoachCare بمعالجة (أو السماح بمعالجة) البيانات الشخصية بطريقة محظورة بموجب الاتفاقية الرئيسية. وفي حال وجود أي تعارض أو تناقض بين هذا الملحق والبنود التعاقدية الموحدة، تسود الشروط التعاقدية الموحدة.
12.3 مع مراعاة البند 12.2 ، فيما يتعلق بموضوع هذه الإضافة ، في حالة وجود تناقضات بين أحكام هذا الملحق وأي اتفاقات أخرى بين الأطراف، بما في ذلك الاتفاقية الرئيسية وتتضمن (باستثناء ما تم الاتفاق عليه صراحة بخلاف ذلك كتابةً ، وقعت على الاتفاقية نيابة عن الطرفين) الاتفاقات المبرمة أو التي يزعم إبرامها بعد تاريخ هذه الإضافة، وتسود أحكام هذه الإضافة.
التغييرات في قوانين حماية البيانات، إلخ.
12.4 يمكنك القيام بالتالي:
- 12.4.1 إدخال أي تغييرات على الشروط التعاقدية القياسية (بما في ذلك أي بنود تعاقدية قياسية تم إدخالها بموجب القسم 11.1) من خلال إشعار خطي مدته 90 يومًا على الأقل إلى CoachCare، حيث ينطبق ذلك على التحويلات المقيدة التي تخضع لشروط معينة وفق قانون حماية البيانات ، المطلوب ، نتيجة لأي تغيير في ، أو قرار من سلطة مختصة بموجبه ، بقانون حماية البيانات ، للسماح بإجراء هذه التحويلات المقيدة (أو الاستمرار في ذلك) دون خرق حماية البيانات الخاضعة للقانون.
- 12-4-2 اقتراح أي تغييرات أخرى على هذه الإضافة والتي تعتبرها على نحو معقول ضرورية لتلبية متطلبات أي قانون لحماية البيانات.
12.5 إذا قمت بتقديم إخطار بموجب القسم 12.4.1، فلا يجوز لك حجب أو تأخير أي اتفاق على أي تبعيات لهذا الملحق الذي اقترحته CoachCare لحماية المعالجات المتعاقد معها من مخاطر إضافية مرتبطة بالتغيرات التي تتم بموجب القسم 12.4.1.
12.6 في حالة تقديم إشعار بموجب القسم 12.4.2 ، يجب على الأطراف مناقشة التغييرات المقترحة والتفاوض بحسن نية على وجه السرعة بهدف الاتفاق على هذه التغييرات البديلة المصممة لتلبية المتطلبات المحددة في إشعارك في أقرب وقت ممكن عمليًا.
التجزئة
12.7 إذا كان أي نص في هذه الإضافة غير صالح أو غير قابل للتنفيذ ، فإن بقية هذه الإضافة تبقى صالحة وسارية المفعول. ويجب أن يكون الحكم غير الملزم أو غير القابل للتنفيذ إما (1) يتم تعديله عند الضرورة لضمان صحته وقابلية تنفيذه، مع الحفاظ على نوايا الأطراف قدر الإمكان، أو -إذا لم يكن ذلك ممكنًا- (2) تفسيره بطريقة كما لو كان غير صالح أو جزء غير قابل للتنفيذ لم يتم احتواؤه أبداً.
ملحق 1: تفاصيل حول معالجة بياناتك الشخصية
يتضمن الملحق 1 تفاصيل محددة عن معالجة بياناتك الشخصية كما هو مطلوب بموجب المادة 28 (3) من مجموع GDPR.
موضوع معالجة بياناتك الشخصية
إن موضوع معالجة بياناتك الشخصية هو بياناتك الشخصية المقدمة إلى الخدمات من قبلك أو من عملائك.
مدة معالجة بياناتك الشخصية
يتم تحديد مدة معالجة بياناتك الشخصية بواسطتك.
طبيعة معالجة بياناتك الشخصية
إن طبيعة معالجة بياناتك الشخصية هي الخدمات التي بدأتها أنت أو عملائك.
الغرض من معالجة البيانات الشخصية الخاصة بك
إن الغرض من معالجة بياناتك الشخصية هو تقديم الخدمات التي بدأتها أنت أو عملائك.
أنواع بياناتك الشخصية المراد معالجتها
تتضمن بياناتك الشخصية المراد معالجتها معلوماتك الشخصية بما في ذلك البيانات الصحية المقدمة إلى الخدمات من قبلك أو من عملائك.
فئات البيانات التي تتعلق بها بياناتك الشخصية
فئات البيانات التي تتعلق بها بياناتك الشخصية هي أنت وعملائك.
التزاماتك وحقوقك
يتم تحديد التزاماتك وحقوقك في الاتفاقية الرئيسية وفي هذه الإضافة.
ملحق 2: معايير الأمن الخاصة بـ CoachCare
يتضمن الملحق 2 تفاصيل معينة عن التدابير الفنية والتنظيمية التي تنفذها وتديرها CoachCare لضمان مستوى مناسب من الأمان لبياناتك الشخصية.
1. القياسات التقنية
1.1 يسمح فقط لموظفي تكنولوجيا المعلومات المصرح لهم بشكل واضح للوصول الإداري إلى خوادم CoachCare.
1.2 أجهزة كمبيوتر CoachCare محمية بكلمة مرور وتستخدم كلمات مرور قوية إلى حد معقول.
1.3 تستخدم أجهزة الكمبيوتر CoachCare تسجيل الخروج التلقائي عندما تكون أجهزة الكمبيوتر غير نشطة.
1.4 يحق لـ CoachCare بشكل صارم تقييد الوصول إلى بياناتك الشخصية سوى للأفراد الذين يحصلون على موافقتك للوصول إليها.
1.5 تقوم CoachCare بمراجعة البرامج والتطبيقات الخاصة بالخادم بشكل دوري لمخاطر الأمان وتقوم بتحديثها بشكل روتيني.
1.6 تحتفظ CoachCare بسجل سجل تدقيق كامل للوصول إلى جميع نقاط نهاية API والخوادم وقواعد البيانات.
1.7 يستخدم CoachCare نظام تحديد هوية المستخدم عبر طبقات البيانات لضمان إخفاء بياناتك الشخصية عند الضرورة.
1.8 يستخدم CoachCare التشفير لجميع البيانات الشخصية الخاصة بك في العبور وبقية.
1.9 يفرض CoachCare تسجيل الخروج التلقائي للحسابات داخل الخدمات بعد مرور فترة زمنية محددة سلفًا.
1.10 يقوم CoachCare بتخزين نسخ احتياطية متعددة لقاعدة البيانات بشكل آمن خلال عدة فترات زمنية.
2. القياسات التنظيمية
2.1 يتطلب CoachCare تخويل الإدارة لمعالجة بياناتك الشخصية، ويجب أن تتضمن هذه المعالجة فقط الحد الأدنى من البيانات اللازمة لإنجاز مهمة معينة.
2.2 تحتفظ CoachCare وتطبق السياسات والإجراءات المتعلقة بالأمان المناسب لأجهزة الكمبيوتر حيث تطلب CoachCare من الموظفين عدم ترك أجهزة الكمبيوتر الخاصة بهم بدون حماية، وفي نهاية كل يوم عمل يجب عليهم التأكد من تخزين أجهزة الكمبيوتر الخاصة بهم في غرفة مقفلة.
2.3 تحتفظ CoachCare وتطبق السياسات والإجراءات المتعلقة بإجراء المحادثات بشكل ملائم بين الموظفين الذين يهتمون ببياناتك الشخصية. CoachCare ويتم تقييد المحادثات لتشمل الحد الأدنى فقط من البيانات اللازمة لإنجاز مهمة معينة.
2.4 تحتفظ CoachCare وتطبق السياسات والإجراءات المتعلقة بالتجهيز المناسب لبياناتك الشخصية.
2.5 تحتفظ CoachCare وتطبق السياسات والإجراءات المتعلقة بالردود المناسبة على اختراق البيانات.
2.6 يتطلب CoachCare تدريبًا منتظمًا للموظفين فيما يتعلق بجميع السياسات والإجراءات، بما في ذلك معالجة بياناتك الشخصية.
2.7 تقوم إدارة CoachCare بإجراء عمليات مراجعة يدوية منتظمة للحسابات ذات الأذونات عالية المستوى والوصول إلى الأنظمة الهامة.
3. التقييم المستمر
3.1 تجري CoachCare مراجعات دورية لأمن خدماتها ومدى كفاية برنامج أمن المعلومات الخاص بها كما تم قياسه مقابل معايير أمن الصناعة وسياسات وإجراءات CoachCare.
3.2 ستُقيّم CoachCare أمان خدماتها بشكل مستمر وذلك لتحديد ما إذا كانت هناك حاجة إلى تدابير أمنية إضافية أو مختلفة للاستجابة للمخاطر أو النتائج الأمنية الجديدة الناتجة عن المراجعات الدورية.
ملحق 3: البنود التعاقدية القياسية
بنود تعاقدية قياسية (المعالجات)
لأغراض المادة 26 (2) من التوجيه لأغراض المادة 26 (2) من التوجيه 95/46 / EC لنقل البيانات الشخصية إلى المعالجات المنشأة في بلدان ثالثة والتي لا تضمن مستوى مناسب من حماية البيانات
الكيان الذي تم تحديده باسم "أنت" في الإضافة وه
(“مُصدّر البيانات”)
و
الكيان الذي تم تحديده على أنه "CoachCare" في الإضافة وه
(“مستورد البيانات”)
كل "طرف"؛ معا "الأطراف"
قد اتفقا على البنود التعاقدية التالية (البنود) من أجل تقديم ضمانات كافية فيما يتعلق بحماية الخصوصية والحقوق والحريات الأساسية للأفراد لنقلها من قبل مُصدّر البيانات إلى مستورد البيانات من البيانات الشخصية المحددة في الملحق 1.
البند 1
تعريفات
ما تقتضيه البنود:
(أ) "البيانات الشخصية" و "الفئات الخاصة للبيانات" و "العملية / المعالجة" و "المراقب" و "المعالج" و "صاحب البيانات" و "السلطة الإشرافية" سيكون لها نفس المعنى الوارد في التوجيه 95/46 / الخاص بالمفوضية الأوروبية للبرلمان الأوروبي والمجلس في 24 أكتوبر 1995 بشأن حماية الأفراد فيما يتعلق بمعالجة البيانات الشخصية والنقل الحر لهذه البيانات.
(ب) "مُصدّر البيانات" يعني المتحكم الذي ينقل البيانات الشخصية.
(ج) يعني "مستورد البيانات" المعالج الذي يوافق على استلام البيانات الشخصية لمُصدّر البيانات المعدة للتجهيز نيابة عنه بعد النقل وفقًا لتعليماته ولبنود الشروط وغير الخاضع لبلدان ثالثة. ويخضع لنظام يكفل الحماية الكافية بالمعنى المقصود في المادة 25 (1) من التوجيه 95/46 / EC.
(د) يعني "المعالج الفرعي" أي معالج يتعامل معه مستورد البيانات أو أي معالج ثانوي آخر لمستورد البيانات يُوافَق على استلامه من مستورد البيانات أو من أي معالج ثانوي آخر للبيانات الشخصية لمستوردي البيانات المخصصة حصريًا لأنشطة المعالجة نفذت نيابة عن البيانات 12 المصدر بعد النقل وفقا لتعليماته، وشروط البنود وشروط العقد المكتوب من الداخل.
(هـ) يعني "قانون حماية البيانات المعمول به" التشريع الذي يحمي الحقوق والحريات الأساسية للأفراد، ولا سيما حقهم في الخصوصية فيما يتعلق بمعالجة البيانات الشخصية التي تنطبق على مراقب البيانات في الدولة العضو التي تم فيها إنشاء مُصدّر البيانات.
(و) يقصد بتعبير "تدابير الأمن التقني والتنظيمي" تلك التدابير الرامية إلى حماية البيانات الشخصية من التدمير العرضي أو غير القانوني أو الفقدان العرضي أو التغيير أو الكشف أو الوصول غير المصرح به، لا سيما عندما تنطوي المعالجة على إرسال البيانات عبر الشبكة، وضد جميع أشكال المعالجة غير القانونية الأخرى.
البند 2
تفاصيل النقل
ترد تفاصيل عملية النقل وخاصة فئات البيانات الشخصية الخاصة حيثما ينطبق ذلك في الملحق 1 الذي يشكل جزءاً لا يتجزأ من البنود.
البند 3
بند استفادة الطرف الثالث
1. يمكن لصاحب البيانات أن يُطبّق ضد مُصدّر البيانات في هذه البنود: والبند 4 (ب) إلى (i) ، والبند 5 (a) إلى (e) ، و (g) إلى (j) ، البند 6 (1) و (2) والبند 7 والبند 8 (2) والبنود من 9 إلى 12 كمستفيد من طرف ثالث.
2. يمكن لصاحب البيانات أن يُطبّق ضد مستورد البيانات في هذه البنود: البند 5 (a) إلى (e) و (g) ، والبند 6 ، والبند 7 ، والبند 8 (2) ، والبنود 9 إلى 12 ، في الحالات التالية: إذا كان مُصدّر البيانات قد اختفى أو لم يعد موجودًا قانونيًا. إلا إذا تولى أي كيان لاحق الالتزامات القانونية الكاملة لمُصدّر البيانات بالتعاقد أو بموجب قانون معين ونتيجة لذلك فهو يتعامل مع حقوق والتزامات مُصدّر البيانات، ففي هذه الحالة يمكن لصاحب البيانات فرضها ضد هذا الكيان.
3. يمكن لصاحب البيانات أن يُطبّق ضد المعالَج الفرعي في هذه البنود: البند 5 (a) إلى (e) و (g) ، والبند 6 ، والبند 7 ، والبند 8 (2) ، والبنود 9 إلى 12، في الحالات التي يختفي فيها مصدِّر البيانات ومستورد البيانات بحكم الواقع أو انتهاء وجوده قانونيًا أو أصبح مُفلساً، ما لم يفترض أي كيان لاحق الالتزامات القانونية الكاملة لمُصدّر البيانات بالتعاقد أو عن طريق تنفيذ القانون الذي ينتج عنه حقوق والتزامات مُصدّر البيانات، وفي هذه الحالة يمكن لصاحب البيانات أن يفرضها ضد هذا الكيان. وتقتصر مسؤولية الطرف الثالث للمعالِج الفرعي على عمليات المعالجة الخاصة به بموجب البنود.
4. لا يحق لأي من الطرفين الاعتراض على صاحب البيانات الذي يتم تمثيله من قبل جمعية أو هيئة أخرى إذا كانت البيانات تخضع لذلك رغبة صريحة وإذا كان القانون الوطني يسمح بذلك.
البند 4
التزامات مُصدّر البيانات
يوافق مُصدّر البيانات ويضمن التالي:
(a) أن المعالجة -بما في ذلك النقل نفسه للبيانات الشخصية- كانت وستستمر في تنفيذها وفقًا للأحكام ذات الصلة من قانون حماية البيانات المعمول به (وعند اقتضاء الأمر، يتم إخطار السلطات المعنية في دولة العضو التي أنشئ فيها مُصدّر البيانات) دون انتهاك الأحكام ذات الصلة في تلك الدولة.
(b) أن تعليماتك طوال مدة خدمات معالجة البيانات الشخصية ستصدر تعليمات إلى مستورد البيانات بمعالجة البيانات الشخصية التي يتم نقلها فقط نيابة عن مُصدّر البيانات ووفقًا لقانون حماية البيانات المعمول به والبنود الموضوعة.
(c) أن يقدم مستورد البيانات ضمانات كافية فيما يتعلق بتدابير الأمن الفنية والتنظيمية المحددة في الملحق 2 لهذا العقد.
(d) أنه بعد تقييم متطلبات قانون حماية البيانات المعمول به، تكون التدابير الأمنية مناسبة لحماية البيانات الشخصية ضد التدمير العرضي أو غير القانوني أو الفقدان العرضي أو التغيير أو الكشف أو الوصول غير المصرح به، ولاسيما عندما تنطوي المعالجة على إرسال البيانات عبر الشبكة، وضد جميع أشكال المعالجة غير القانونية الأخرى، وأن هذه التدابير تضمن مستوى من الأمان مناسبًا للمخاطر التي تتعرض لها المعالجة وطبيعة البيانات التي يجب حمايتها مع مراعاة أحدث ما توصلت إليه التكنولوجيا وتكاليفها عند التنفيذ.
(e) أن تضمن الامتثال للتدابير الأمنية.
(f) أنه إذا كان النقل ينطوي على فئات خاصة من البيانات، فيتم إخطار صاحب البيانات أو سيتم إبلاغه في أقرب وقت ممكن بعد النقل الذي يمكن نقل بياناته إلى بلد ثالث لا يوفر حماية كافية في حدود الأمر التوجيهي 95/46 / EC.
(g) إرسال أي إشعار يتم استلامه من مستورد البيانات أو أي معالج فرعي وفقًا للبند 5 (ب) والبند 8 (3) إلى السلطة الإشرافية لحماية البيانات إذا قرر مُصدّر البيانات مواصلة النقل أو رفع التعليق.
(h) إتاحة مواد البيانات عند طلب نسخة من الفقرات، باستثناء الملحق 2، ووصف موجز للتدابير الأمنية، وكذلك نسخة من أي عقد لخدمات المعالجة الفرعية التي يتعين إجراؤها وفقا الفقرات ما لم تحتوي البنود أو العقد على معلومات تجارية، وفي هذه الحالة يجوز لها إزالة هذه المعلومات التجارية.
(i) أنه في حالة المعالجة الفرعية، يتم تنفيذ نشاط المعالجة وفقًا للمادة 11 من قِبل معالج ثانوي يوفر على الأقل نفس مستوى الحماية للبيانات الشخصية وحقوق البيانات التي تخضع لمُصدّر البيانات بموجب البنود.
(j) ضمان الامتثال للمادة 4 (أ) إلى (ط).
البند 5
التزامات مستورد البيانات
يوافق مستورد البيانات ويضمن التالي:
(a) معالجة البيانات الشخصية فقط نيابة عن مُصدّر البيانات وبما يتفق مع التعليمات والبنود؛ وإذا لم يستطع تقديم مثل هذا الامتثال لأي سبب من الأسباب، فإنه يوافق على إبلاغ مُصدّر البيانات على الفور بعدم قدرته على الامتثال، وفي هذه الحالة يحق لمُصدّر البيانات تعليق نقل البيانات و/أو إنهاء العقد.
(b) أنه ليس لديه سبب للاعتقاد بأن السياسة المطبقة عليه تمنعه من تنفيذ التعليمات الواردة من مُصدّر البيانات والتزاماته بموجب العقد وأنه في حالة حدوث تغيير في هذه السياسة والذي من المحتمل أن يكون له تأثير سلبي كبير على الضمانات والالتزامات المنصوص عليها في الشروط، فسيقوم على الفور بإخطار مُصدّر البيانات حول هذا التغيير بمجرد علمه به، وفي هذه الحالة يحق لمُصدّر البيانات تعليق نقل البيانات و/أو إنهاء العقد.
(c) تنفيذ تدابير الأمن الفنية والتنظيمية المحددة في المُلحق 2 قبل معالجة البيانات الشخصية المنقولة.
(d) إخطار مُصدّر البيانات على الفور في حال حدوث أي مما يلي:
- (i) ورود أي طلب ملزم قانونًا للإفصاح عن البيانات الشخصية من قبل سلطة قانونيّة ما لم يُحظر خلاف ذلك، مثل حظر بموجب القانون الجنائي للحفاظ على سرية التحقيق في تنفيذ القانون.
- (ii) أي وصول عرضي أو غير مصرح به.
- (iii) أي طلب يتلقاه مباشرة من موضوعات البيانات دون الرد على هذا الطلب، ما لم يكن قد تم تفويضه للقيام بذلك.
(e) التعامل بسرعة وبشكل سليم مع جميع الاستفسارات الواردة من مُصدّر البيانات والمتعلقة بمعالجة البيانات الشخصية الخاضعة للتحويل والالتزام بنصيحة السلطة المشرفة فيما يتعلق بمعالجة البيانات المنقولة.
(f) تقديم تسهيلات معالجة البيانات الخاصة بمُصدّر البيانات بناءً على طلبه، وذلك لمراجعة أنشطة التجهيز التي تشملها البنود التي يجب أن يقوم بها مُصدّر البيانات أو هيئة تفتيش مكونة من أعضاء مستقلين وفي حيازتهم 15 من المؤهلات المهنية المطلوبة الملزمة واجب السرية ، ويختاره مُصدّر البيانات ، حيثما ينطبق ذلك ، بالاتفاق مع السلطة الإشرافية.
(g) إتاحة نسخة من البيانات بناء على طلب نسخة من الشروط ، أو أي عقد قائم لمعالجة فرعية ، ما لم تحتوي الشروط أو العقد على معلومات تجارية ، وفي هذه الحالة يجوز إزالة هذه المعلومات التجارية ، باستثناء المُلحق 2 الذي يجب يتم استبداله بوصف موجز لتدابير الأمن في الحالات التي يتعذر فيها على صاحب البيانات الحصول على نسخة من مُصدّر البيانات.
(h) أنه في حال استخدام المعالجة الفرعية، يجب إعلام مُصدّر البيانات مُسبقًا والحصول على موافقة خطية مسبقة منه.
(i) أن يتم تنفيذ خدمات المعالجة بواسطة المعالج الفرعي وفقًا للبند 11.
(j) لإرسال نسخة من أي اتفاق من المعالجات الفرعية بموجب البنود على وجه السرعة إلى مُصدّر البيانات.
البند 6
المسئولية
1. يوافق الطرفان على أنه في حال تعرض أي بيانات لأضرار نتيجة لأي خرق للالتزامات المشار إليها في البند 3 أو في البند 11 من قبل أي طرف أو معالج فرعي، يحق لمُصدّر البيانات الحصول على تعويض من مُصدّر البيانات عن الأضرار التي لحقت بها.
2. إذا كان أحد الأشخاص الخاضعين للبيانات غير قادر على تقديم مطالبة بالتعويض وفقاً للفقرة 1 ضد مُصدّر البيانات ، نتيجة لخرق مستورِد البيانات أو معالجه الفرعي لأي من التزاماته المشار إليها في البند 3 أو في البند 11 ، نظرًا لأن مُصدّر البيانات قد اختفى فعليًا أو اختفى قانونيًا أو أصبح مُفلساً، يوافق مستورد البيانات على أن صاحب البيانات قد يصدر مطالبة ضد مستورد البيانات كما لو كان مُصدّر البيانات ، ما لم يفترض أي كيان لاحق كامل الالتزامات القانونية لمُصدّر البيانات حسب العقد أو بموجب القانون ، وفي هذه الحالة يمكن لصاحب البيانات أن ينفذ حقوقه ضد هذا الكيان. ولا يجوز لمستورد البيانات الاعتماد على خرق من قبل معالج فرعي لالتزاماته لتجنب التزاماته الخاصة.
3. في حالة عدم قدرة أحد عناصر البيانات على تقديم مطالبة ضد مصدر البيانات أو مستورد البيانات المشار إليه في الفقرتين 1 و 2 ، ناتج عن خرق من جانب المعالج الفرعي لأي من التزاماته المشار إليها في البند 3 أو في البند 11 لأن فقد اختفى مصدِّر البيانات ومستورد البيانات من الناحية الواقعية أو انتهى وجوده في القانون أو أصبح معسراً ، يوافق المعامل الفرعي على أن موضوع البيانات قد يصدر مطالبة ضد المعالجات الفرعية للبيانات فيما يتعلق بعمليات المعالجة الخاصة به بموجب في حالة عدم قدرة أحد عناصر البيانات على تقديم مطالبة ضد مُصدّر البيانات أو مستورد البيانات المشار إليه في الفقرتين 1 و 2 ، ناتج عن خرق من جانب المعالج الفرعي لأي من التزاماته المشار إليها في البند 3 أو في البند 11 لاختفاء مصدِّر البيانات ومستورد البيانات واقعيًا أو قانونيًا أو أصبح مُفلساً، يوافق المعالج الفرعي على أن صاحب البيانات قد يصدر مطالبة ضد المعالجات الفرعية للبيانات فيما يتعلق بعمليات المعالجة الخاصة به بموجب البند 16كما لو كان مُصدّر البيانات أو مستورد البيانات، ما لم يفترض أي كيان لاحق الالتزامات القانونية الكاملة لمُصدّر البيانات أو مستورد البيانات حسب العقد أو بموجب القانون، وفي هذه الحالة يمكن لصاحب البيانات أن ينفذ حقوقه ضد هذا الكيان. ويجب أن تقتصر مسؤولية المعالج الفرعي على عمليات المعالجة الخاصة به وفقًا للبنود.
البند 7
الوساطة والسلطة القضائية
1. يوافق مستورد البيانات على أنه إذا تم استجواب الجهة الخاضعة للبيانات ضد حقوق المستفيد من الطرف الثالث و/أو طالب بتعويض عن الأضرار بموجب الشروط، فسوف يقبل مستورد البيانات قرار صاحب البيانات سواء كان:
- (a) إحالة النزاع إلى الوساطة ، من قبل شخص مستقل أو ، عند الاقتضاء ، من قبل السلطة الإشرافية ؛
- (b) إحالة النزاع إلى المحاكم في الدولة العضو التي تم فيها إنشاء مُصدّر البيانات.
2. يوافق الطرفان على أن الاختيار الذي يتخذه صاحب البيانات لن يمس حقوقه الموضوعية أو الإجرائية في طلب سبل الانتصاف وفقاً لأحكام أخرى من القانون الوطني أو الدولي.
البند 8
التعاون مع السلطات الرقابية
1. يوافق مُصدّر البيانات على إيداع نسخة من هذا العقد مع السلطة الإشرافية إذا طلب منه ذلك أو إذا كان هذا الإيداع مطلوبًا بموجب قانون حماية البيانات المعمول به.
2. يوافق الطرفان على أن السلطة الإشرافية لديها الحق في إجراء تدقيق لمستوردي البيانات، ولأي معالج فرعي له نفس النطاق ويخضع لنفس الشروط المطبقة على مراجعة لمُصدّر البيانات بموجب البيانات السارية وفق قانون الحماية.
3. يجب على مستورد البيانات إبلاغ مُصدّر البيانات على الفور بوجود تشريعات تنطبق عليه أو على أي معالج فرعي يمنع إجراء مراجعة لمراجع البيانات ، أو أي معالج فرعي آخر ، وذلك وفقًا للفقرة 2. وفي هذه الحالة، يحق لمُصدّر البيانات اتخاذ التدابير المنصوص عليها في البند 5 (ب).
البند 9
القانون الذي يحكم
تخضع الشروط لقانون دولة العضو التي يتم فيها إنشاء مُصدّر البيانات.
البند 10
تباين العقد
يتعهد الطرفان بعدم تغيير أو تعديل الشروط. وهذا لا يمنع الأطراف من إضافة بنود حول القضايا المتعلقة بالأعمال التجارية عند الضرورة طالما أنها لا تتعارض مع البند.
البند 11
المعالجة الفرعية
1. لا يجوز لمستورد البيانات التعاقد مع أي مُعالج بيانات نيابة عن مُصدّر البيانات بموجب البنود دون موافقة خطية مسبقة من مُصدّر البيانات. وعندما يقوم مستورد البيانات بالتعاقد مع التزامه بالشروط، وبموافقة مصدِّر البيانات، فإنه لا يفعل ذلك إلا باتفاق خطي مع المعالج الفرعي الذي يفرض نفس الالتزامات على المعالج الفرعي الذي يتم فرضه على مستورد البيانات وفق شروط معينة. وفي حال فشل المعالج الفرعي في الوفاء بالتزامات حماية البيانات بموجب هذه الاتفاقية الكتابية، يظل مستورد البيانات مسؤولاً بالكامل أمام مُصدّر البيانات عن أداء التزامات المعالج الفرعي بموجب هذه الاتفاقية.
2. كما ينص العقد الكتابي المُسبق بين مستورد البيانات والمعالِج الفرعي على شرط استفادة الطرف الثالث كما هو موضح في البند 3 في الحالات التي لا يكون فيها صاحب البيانات قادرًا على تقديم المطالبة بالتعويض المشار إليها في الفقرة 1 من البند 6. ضد مُصدّر البيانات أو مستورد البيانات لأنهم اختفوا واقعيًا أو قانونيًا أو أصبحوا مُفلسين ولم يفترض أي كيان لاحق الالتزامات القانونية الكاملة لمُصدّر البيانات أو مستورد البيانات حسب العقد أو بموجب القانون. وتقتصر مسؤولية الطرف الثالث للمعالِج الفرعي على عمليات المعالجة الخاصة به بموجب البنود.
3. تخضع الأحكام المتعلقة بجوانب حماية البيانات الخاصة بالعمليات الفرعية للعقد المشار إليه في الفقرة 1 لقانون الدولة العضو التي يتم فيها إنشاء مُصدّر البيانات.
4. يحتفظ مُصدّر البيانات بقائمة من اتفاقيات المعالجة الفرعية المُبرمة بموجب الشروط ويُخطر بها مستورد البيانات بموجب الفقرة 5 (ي) ، والتي يجب تحديثها مرة واحدة في السنة على الأقل. ويجب أن تكون القائمة متاحة للسلطة الإشرافية لحماية البيانات الخاصة بمُصدّر البيانات.
البند 12
الالتزام بعد إنهاء خدمات معالجة البيانات الشخصية
1. يتفق الطرفان على أنه عند انتهاء توفير خدمات معالجة البيانات، يقوم مستورد البيانات والمعالج الفرعي بإعادة جميع البيانات الشخصية المنقولة ونسخها إلى مُصدّر البيانات أو يجب أن تُتلف كل البيانات الشخصية وتؤكد لمصدِّر البيانات قيامها بذلك ما لم تمنع التشريعات المفروضة على مستورد البيانات إعادة أو تدمير كل أو جزء من البيانات الشخصية المنقولة. ففي هذه الحالة، يؤكد مستورد البيانات أنه سيضمن سرية البيانات الشخصية المنقولة ولن يُعالج البيانات الشخصية المنقولة بعد الآن.
ويضمن مستورد البيانات والمعالج الفرعي أنه بناء على طلب مُصدّر البيانات و/أو السلطة الإشرافية فإنه سيقدم مرافقه لمعالجة البيانات من أجل مراجعة التدابير المشار إليها في الفقرة 1.
المُلحق 1 للبنود التعاقدية القياسية
يشكل هذا الملحق جزءًا من البنود ويجب أن يتم استكماله من قبل الطرفين. ويجوز للدول الأعضاء استكمال أو تحديد أي معلومات إضافية ضرورية لتضمينها في هذا المُلحق وفقًا لإجراءاتها الوطنية
مُصدّر البيانات/p>
مُصدّر البيانات هو أنت كما هو محدد في الإضافة.
مستورد البيانات
مستورد البيانات هو CoachCare كما هو محدد في الإضافة.
موضوعات البيانات
موضوعات البيانات أنت وعملائك كما هو محدد ومشار إليه في الإضافة.
فئات البيانات
فئات البيانات هي بياناتك الشخصية كما هو محدد في الإضافة.
فئات خاصة من البيانات (إذا كان ذلك مناسبًا)
الفئات الخاصة للبيانات هي البيانات الصحية في بياناتك الشخصية كما هو محدد في الإضافة.
عمليات المعالجة
ستخضع البيانات الشخصية المنقولة لعمليات المعالجة المضمنة في الخدمات على النحو المحدد في الإضافة.
المُلحق 2 للبنود التعاقدية القياسية
يشكل هذا الملحق جزءًا من البنود ويجب أن يُكمله الطرفان.
وصف لتدابير الأمن الفنية والتنظيمية التي ينفذها مستورد البيانات وفقاً للبندين 4 (د) و5 (ج):
إن التدابير الأمنية التقنية والتنظيمية التي ينفذها مستورد البيانات موصوفة في الإضافة.