البنود التعاقدية القياسية (SCCs) من مراقب إلى مراقب

تشكل "البنود التعاقدية القياسية ("SCCs") من مراقب إلى مراقب" هذه جزءاً من اتفاقية مستخدم PayPal ("الاتفاقية") السارية المبرمة بينك، بصفتك بائعاً ("أنت" أو "التاجر")، وPayPal، ويتم تضمينها بالإشارة إليها في هذه الوثيقة. وفي حال وجود أي تعارض بين شروط "البنود التعاقدية القياسية (SCCs)" هذه و"الاتفاقية"، يتم العمل بشروط البنود التعاقدية القياسية (SCCs) هذه. وتحمل المصطلحات المستخدمة المحاطة بعلامتي تنصيص والتي لا يرد لها تعريف في "البنود التعاقدية القياسية (SCCs)" هذه المعنى المبين في "الاتفاقية".

إلى الحد الساري: (1) سيتم اعتبار توقيعك على "الاتفاقية" توقيعاً على وقبولاً بما ورد في "القرار التنفيذي للمفوضية الأوروبية (الاتحاد الأوروبي) رقم 2021/914 بتاريخ 4 يونيو 2021" بشأن البنود التعاقدية القياسية لنقل البيانات الشخصية إلى دول خارجية وفقاً لما ورد في "اللائحة التنظيمية (الاتحاد الأوروبي) رقم 2016/679 ("البنود المتعلقة بالتحويلات في الاتحاد الأوروبي")" من قِبل "التاجر"، بصفته جهة تصدير البيانات وقائماً بدور المراقب؛ و(2) سيتم اعتبار توقيع PayPal على "الاتفاقية" توقيعاً على وقبولاً بما ورد في "البنود المتعلقة بالتحويلات في الاتحاد الأوروبي" من قِبل PayPal، بصفتها جهة استيراد البيانات وقائمة بدور المراقب؛ و(3) سيخضع الطرفان لأحكام النموذج 1 من "البنود المتعلقة بالتحويلات في الاتحاد الأوروبي".

في حال قامت "المفوضية الأوروبية" بتنقيح "البنود المتعلقة بالتحويلات في الاتحاد الأوروبي" ومن ثم نشر البنود الجديدة (أو حسبما يقتضيه خلاف ذلك أو ما يتم تنفيذه من قبل "المفوضية الأوروبية")، يوافق الطرفان على أن تلك "البنود المتعلقة بالتحويلات في الاتحاد الأوروبي" الجديدة سوف تنسخ "البنود المتعلقة بالتحويلات في الاتحاد الأوروبي" الحالية، وعلى أنها ستتخذ جميع الإجراءات المطلوبة لتنفيذ "البنود المتعلقة بالتحويلات في الاتحاد الأوروبي" الجديدة.

سيتم تضمين "البنود المتعلقة بالتحويلات في الاتحاد الأوروبي" (الوحدة 1) في "الاتفاقية" بالإحالة وستُعد نافذة حسب الأصول بين الطرفين عند دخول هذه "الاتفاقية" حيز التنفيذ مع مراعاة التفاصيل الآتية: 

1. يسري الخيار 1 من البند 17 (القانون الحاكم) كما تسود قوانين لوكسمبورغ على "البنود المتعلقة بالتحويلات في الاتحاد الأوروبي"؛ 

1. وفقًا للبند 18 (اختيار المحكمة والاختصاص القضائي)، ستحل محاكم لوكسمبورغ أي نزاع ينشأ عن "البند المتعلق بالتحويلات في الاتحاد الأوروبي"؛ وأخيراً 

2. يوافق الطرفان على أن البيانات المطلوبة بموجب "ملحق البنود المتعلقة بالتحويلات في الاتحاد الأوروبي" مبينة على النحو الوارد في "المرفق 1".  

المرفق 1

الملحق بالبنود المتعلقة بالتحويلات في الاتحاد الأوروبي

الملحق 1.A. يسري ما يلي، بقدر ما يكون مطلوباً، بموجب "البنود المتعلقة بالتحويلات في الاتحاد الأوروبي"

جهة تصدير البيانات

• الاسم والعنوان: جهة تصدير البيانات هي "التاجر" والعنوان كما هو منصوص عليه في "الاتفاقية"
• اسم الشخص المعيّن كجهة اتصال ومنصبه وبيانات الاتصال به: على النحو المنصوص عليه في "الاتفاقية"
• الأنشطة ذات الصلة بالبيانات التي يتم تحويلها بموجب "البند التعاقدي القياسي": على النحو المنصوص عليه في "الاتفاقية"
• التوقيع والتاريخ: يرجى الرجوع إلى ما تم النص عليه في "البنود التعاقدية القياسية (SCCs)" هذه
• الدور (مراقب/معالج): مراقب

جهة استيراد البيانات

• الاسم والعنوان: جهة استيراد البيانات هي عضو "مجموعة PayPal" الذي يقدم الخدمات بموجب "الاتفاقية" ويكون العنوان كما هو منصوص عليه في "الاتفاقية"
• اسم الشخص المعيّن كجهة اتصال ومنصبه وبيانات الاتصال به: على النحو المنصوص عليه في "الاتفاقية"
• الأنشطة ذات الصلة بالبيانات التي يتم تحويلها بموجب "البند التعاقدي القياسي": على النحو المنصوص عليه في "الاتفاقية"
• التوقيع والتاريخ: يرجى الرجوع إلى ما تم النص عليه في "البنود التعاقدية القياسية (SCCs)" هذه
• الدور (مراقب/معالج): مراقب

الملحق 1.B. وصف التحويل

أصحاب البيانات الذين يجري تحويل بياناتهم الشخصية
تتعلق البيانات الشخصية التي يتم تحويلها بالفئات التالية من أصحاب البيانات:

• العملاء والموظفون وجهات الاتصال التجارية الأخرى لدى جهة تصدير البيانات.

فئات البيانات الشخصية التي يتم تحويلها

• الاسم والمبلغ المقرر سحبه والتاريخ/الوقت وبيانات الحساب البنكي وبيانات بطاقة الدفع ورمز التحقق من البطاقة (CVC) والرمز البريدي ورمز الدولة والعنوان وعنوان البريد الإلكتروني والفاكس والهاتف والموقع الإلكتروني وبيانات انتهاء الصلاحية وبيانات الشحن والحالة الضريبية ومعرف العميل الفريد وعنوان IP والموقع وأي بيانات أخرى تتلقاها PayPal بموجب "الاتفاقية".

البيانات الحساسة (إذا كانت منطبقة) والضمانات والتقييدات السارية
تتعلق البيانات الشخصية التي يتم تحويلها بالفئات التالية من البيانات الحساسة:

• غير معمول بها، ما لم يكن "التاجر" هو الذي يقوم بتكوين الخدمة للحصول على هذه البيانات.

يطبق التقييدات والضمانات:

• غير معمول بها، ما لم يكن "التاجر" هو الذي يقوم بتكوين الخدمة للحصول على هذه البيانات.

طبيعة المعالجة

كما هو موضح في "الاتفاقية".

غرض (أغراض) التحويل (التحويلات)

يتم إجراء التحويل للأغراض التالية:

• أداء الخدمات التي يقدمها مستورد البيانات إلى مُصدر البيانات وفقًا لبنود "الاتفاقية".
• لتحديد النشاط الاحتيالي والمخاطر التي تؤثر، أو قد تؤثر، على جهة استيراد البيانات أو جهة تصدير البيانات أو العملاء الآخرين لدى جهة استيراد البيانات.
• للامتثال للقوانين وطلبات إنفاذ القانون السارية على جهة استيراد البيانات.
• كما هو منصوص عليه في "بيان الخصوصية" الخاص بجهة استيراد البيانات.

الفترة التي سيتم فيها الاحتفاظ بالبيانات الشخصية، أو، إذا لم يكن ذلك ممكناً، المعايير المستخدمة لتحديد تلك الفترة

تحتفظ جهة استيراد البيانات بالبيانات الشخصية فقط طالما كان ذلك ضرورياً فيما يتعلق بالغرض (الأغراض) ذات الصلة التي تم جمعها من أجلها (يرجى الاطلاع على الأغراض أعلاه). ولتحديد فترة الاحتفاظ المناسبة بالبيانات الشخصية، تأخذ جهة استيراد البيانات في الاعتبار حجم البيانات الشخصية وطبيعتها وحساسيتها، والمخاطر المحتملة للضرر الناجم عن الاستخدام غير المصرح به للبيانات الشخصية أو الإفصاح عنها، والأغراض التي من أجلها تتم معالجة البيانات الشخصية وما إذا كان يمكن تحقيق تلك الأغراض من خلال وسائل أخرى، والمتطلبات القانونية أو التنظيمية أو الضريبية أو المحاسبية أو غيرها من المتطلبات المعمول بها.

لعمليات التحويل إلى جهات المعالجة (المعالجة الفرعية)، يتم أيضاً تحديد الموضوع والطبيعة ومدة المعالجة

يجوز لجهة استيراد البيانات مشاركة البيانات الشخصية مع موفري الخدمات الخارجيين الذين يؤدون الخدمات والوظائف بتوجيه من جهة استيراد البيانات وبالنيابة عنها. ويجوز لموفري الخدمات الخارجيين هؤلاء، على سبيل المثال، توفير عنصر من الخدمات المقدمة بموجب "الاتفاقية" مثل التحقق من العميل أو معالجة المعاملات أو دعم العملاء، أو تقديم خدمة إلى جهة استيراد البيانات التي تدعم الخدمات المقدمة بموجب الاتفاقية مثل التخزين. وعند تحديد مدة المعالجة التي يقوم بها موفرو الخدمات الخارجيون، تُطبق جهة استيراد البيانات المعايير الواردة أعلاه في هذا "الملحق 1.B."

الملحق 1.C. هيئة الإشراف

وفقًا للبند 13(أ) من "البنود المتعلقة بالتحويلات في الاتحاد الأوروبي"، فإن هيئة الإشراف المسؤولة عن ضمان امتثال جهة تصدير البيانات للائحة التنظيمية (الاتحاد الأوروبي) رقم 2016/679 فيما يتعلق بتحويل البيانات، كما هو موضح في "البنود التعاقدية القياسية (SCCs)" هذه، سوف تعمل كهيئة إشراف مختصة.

B. التدابير الفنية والتنظيمية بما في ذلك التدابير الفنية والتنظيمية لضمان أمن البيانات

1. إخفاء الهوية والتشفير وحماية البيانات أثناء التحويل.

تضمن سياسات PayPal الامتثال لهذا المبدأ وتتطلب استخدام الضوابط الفنية لمنع مخاطر الإفصاح عن البيانات الشخصية. وتستخدم PayPal التشفير لجميع البيانات الشخصية أثناء النقل وفي حالة السكون. كما نستخدم أيضاً تقنيات إخفاء الهوية القياسية في المجال، مثل استخدام الرموز المميزة لحماية البيانات الشخصية عند الاقتضاء. وتمتلك PayPal سياسات شاملة من شأنها توفير الالتزامات والعمليات الأساسية لحماية البيانات عند تحويلها داخل المؤسسة وخارجها مع جهات خارجية.

2. إدارة التغيير واستمرارية الأعمال.

توفر عملية إدارة التغيير القوية في PayPal الحماية للمرونة والتوافر المستمر للبيانات والأنظمة طوال دورة حياتها من خلال ضمان التخطيط للتغييرات واعتمادها وتنفيذها ومراجعتها بشكل مناسب. توفر عملية إدارة استمرارية الأعمال في "الشركة" إطاراً لبناء المرونة التنظيمية مع القدرة على تحقيق استجابة فعالة تحمي مصالح أصحاب المصلحة الأساسيين.

3. التعافي من الكوارث.

يشتمل برنامج PayPal القوي للتعافي من الكوارث على عمليات لاسترداد أنظمة التكنولوجيا أو المعلومات في حال حدوث أي تعطل كبير، أو في أنظمة تكنولوجيا المعلومات التي تدعم العمليات التجارية الحيوية وكذلك أنشطة العملاء. يتم إيداع بنية التكنولوجيا التحتية في PayPal في مراكز بيانات متعددة آمنة، ذات قدرة رئيسية وثانوية، مع تزويد كل منها بالبنية التحتية للحماية والشبكة، وخوادم قواعد البيانات والتطبيقات المخصصة، وسعة التخزين.

4. اختبار كفاءة المقاييس التقنية التنظيمية وتقديرها وتقييمها بشكل دوري.

تعمل PayPal بشكل دوري على وضع خطط ومباشرة التنفيذ ورفع تقارير بشأن نتائج برنامج الاختبار الموضوع من قِبل "الشركة" وذلك لتقدير وتقييم كفاءة تدابيرها التكنولوجية والتنظيمية. تتم إدارة البرنامج من خلال فريق المخاطر والامتثال بالمؤسسة والذي يعمل مع أصحاب المصلحة المعنيين للحصول على المعلومات اللازمة للاختبار ورفع التقارير والتصحيح حسب الضرورة وتقييم تلك المعلومات.

5. هوية المستخدم وتفويضه.

تتطلب عمليات إدارة الوصول في PayPal من المستخدمين تسجيل الدخول إلى شبكة الشركة باستخدام معرف حساب فريد على شبكة الشركة وكلمة مرور للتعرف على هوية المستخدم ومصادقته قبل الدخول إلى أي تطبيقات أخرى داخل النطاق. ويتم تطبيق سياسات تلقائية التشغيل بخصوص تكوين كلمة المرور وطولها وتغييرها وإعادة استخدامها وقفلها. ويتم تطبيق الوصول والموافقات القائمة على الدور، والتي يتم التصديق عليها كل ربع عام، في جميع الأنظمة داخل النطاق لتنفيذ المبدأ الأقل امتيازاً.

6. الحماية المادية للمواقع التي تتم فيها معالجة "البيانات الشخصية".

تحدّد سياسات وعمليات PayPal العالمية للسلامة والحماية المتطلبات اللازمة لتسهيل عمليات سلامة الأصوات وحمايتها، بما في ذلك الحماية المادية، وفقاً للقوانين والتشريعات ومتطلبات الشركاء المعمول بها. وينصب تركيز خاص على ضمانات وأنظمة الحماية عند إنشاء مناطق خاصة أو حساسة مثل غرف البريد أو مساحات تخزين المعدات أو مناطق الشحن والاستلام أو غرف الكمبيوتر/الخوادم أو خزائن الاتصالات أو مناطق تخزين المستندات/المعلومات المصنفة وفقاً لمعيار التعامل مع حماية المعلومات لدى "الشركة".

7. تسجيل الأحداث وتكوينها.

لقد حدّدت PayPal وعرّفت أنواع وسمات تسجيل الأحداث ومراقبتها. حيث تقوم "الشركة" بجلب عدة أنواع من السجلات وتجميعها في نظام مراقبة الحماية المركزي. ويتم تطبيق التحكم القياسي في إدارة التكوين لضمان جلب السجلات من الأنظمة، ومن ثم إعادة توجيهها إلى نظام مراقبة الحماية المركزي لدينا. وتنص سياسات PayPal والعمليات الداعمة على أنه يجب تنفيذ تكوين النظام والحدود المتشددة عبر جميع الأنظمة.

8. حوكمة تكنولوجيا المعلومات وإدارتها؛ التصديق على العمليات والمنتجات وتوكيدها.

تروج PayPal لفلسفة أمنية قوية على مستوى الشركة. حيث يتولى "كبير مسؤولي حماية المعلومات" لدينا الإشراف على حماية المعلومات على مستوى مؤسستنا العالمية. وفي إطار "برنامج المؤسسة لإدارة المخاطر والامتثال"، يتم تصميم "برنامج الإشراف على التكنولوجيا وحماية المعلومات" لدينا لدعم "الشركة" في إدارة مخاطر التكنولوجيا وحماية المعلومات وتحديد تهديدات حماية المعلومات والوقاية منها واكتشافها والاستجابة لها والتعافي منها. كما تصدّق PayPal على عملياتها ومنتجاتها وتضمنها من خلال مجموعة متنوعة من برامج المؤسسة، ومنها (1) عمليات التدقيق والتقييمات لالتزامات PayPal الفنية وفق معايير الصناعة، بما في ذلك على سبيل المثال لا الحصر، ISO 27001، معايير صناعة بطاقات الدفع (PCI) المعمول بها (DSS، وPIN، وP2PE، وما إلى ذلك) والمعهد الأمريكي للمحاسبين العامّين المعتمدين (AICPA) SOC-1 وSOC-2، و(2) "عملية تحديد التحكم في المخاطر (RCIP)" التي تضمن المشاركة المبكرة وتوفر نهج قياسي لقياس المخاطر المرتبطة بتطوير وإصدار المنتجات وحلولها وإدارة تلك المخاطر ومراقبتها، و(3) تقييمات تأثير الخصوصية التي يتم دمجها في المراحل الأولى من عمليات تطوير المنتجات والبرامج، و(4) برنامج إدارة شاملة تابع لجهة خارجية، يوفر الضمان من خلال الإدارة المستمرة للمخاطر طوال دورة حياة عملية ارتباط مع جهة خارجية.

9. تقليل حجم البيانات.

تقتضي سياساتنا، من خلال الضوابط الفنية، أن تكون عناصر البيانات التي يتم جلبها وإنشاؤها هي تلك العناصر الملائمة وذات الصلة والمقتصرة على ما هو ضروري فيما يتعلق بالأغراض التي تتم معالجتها من أجلها. وتضمن عمليات تقييم تأثير الخصوصية في PayPal الامتثال لهذه السياسات.

10. جودة البيانات والاحتفاظ بها.

تضمن سياسة الوصول والجودة في PayPal أن جميع البيانات الشخصية صحيحة وكاملة ومحدّثة، مما يتيح للمستخدمين الأفراد إمكانية الوصول إلى النظام لتصحيح تفاصيل بياناتهم وتعديلها (على سبيل المثال، العنوان وتفاصيل الاتصال وما إلى ذلك)، ولتقديم خدمة توفر حقهم في التصحيح، وذلك حيثما يتم تلقي طلب للتصحيح من صاحب البيانات. ويراقب برنامج حوكمة البيانات لدينا جودة البيانات والمشاكل والمعالجات، حسب الضرورة. كما نشترط تصنيف جميع البيانات وفقاً لقيمتها التجارية مع فترات احتفاظ معينة لها، والتي تستند إلى متطلبات PayPal القانونية والتنظيمية والمتعلقة بحفظ السجلات التجارية. وعند انتهاء صلاحية فترة الاحتفاظ بالبيانات والمعلومات، يتم التخلص منها أو حذفها أو إتلافها.

11. المساءلة.

لقد طوّرت PayPal مجموعة من السياسات والمبادئ الخاصة بحماية المعلومات والتكنولوجيا وحوكمة البيانات وإدارة الجهات الخارجية والخصوصية والتي تتوافق مع معايير المجال والمصممة لجذب تعاون أصحاب المصالح وشراكتهم في التوعية والامتثال لتلك السياسات والضوابط في جميع أنحاء المؤسسة لضمان المشاركة والمساءلة من أكبر إلى أصغر مسؤول عبر المؤسسة. ويحدد كل برنامج مسؤوليات المحاسبة عن القرارات والعمليات والضوابط المتعلقة بالبيانات متداخلة الوظائف. وبصفتها مراقباً للبيانات، تتحمل PayPal المسؤولية عن الامتثال للمواد ذات الصلة التي تحمل التزاماً بالمحاسبة في إطار اللائحة العامة لحماية البيانات (GDPR) وغيرها من القوانين المعمول بها لحماية البيانات، وتوضّح تلك المواد، من خلال تنفيذ سياسة برنامج خصوصية وهيكل رقابة مؤسسية وتقنية ضمني من عدة مستويات لضمان الامتثال على نطاق المؤسسة لقانون الخصوصية ولائحتها التنفيذية وسياستها وإجراءاتها. وتشمل هذه السياسة وهذا الهيكل القدرة على إظهار الامتثال لقوانين حماية البيانات من خلال: 1) ثقافة امتثال قوية، 2) هيكل حوكمة مؤسسي للمخاطر والامتثال يشمل لجان الإدارة، والأدوار الرقابية، ورفع تقارير الخصوصية، 3) مساءلة مهام العمل عن الامتثال لبرنامج الخصوصية بما في ذلك إنشاء الضوابط والعمليات التجارية وتوثيقها وصيانتها، 4) قسم خصوصية عالمي ضمن "تنظيم الامتثال المؤسسي" للإشراف على امتثال العمل لبرنامج الخصوصية وتحديد السياسات والمعايير والإجراءات والأدوات التي يتم تنظيم تشغيلها بواسطة مهام العمل، 5) الاتصالات بالمؤسسة من خلال وظيفة الخصوصية العالمية لتعزيز الوعي بالخصوصية وفهمها، 6) "إطار عمل مؤسسي لإدارة الامتثال والمخاطر" لضمان استخدام عمليات متسقة تشمل تقييمات تأثير الخصوصية، ومراقبة الخصوصية واختبارها، وإدارة مشاكل الخصوصية، والتدريب على الخصوصية، وخطة الخصوصية السنوية، وأخيراً 7) رفع التقارير والتحليل للجان الإدارة التي تشرف على "برنامج الخصوصية".

12. حقوق صاحب البيانات.

تطبّق PayPal برنامجاً لضمان استيفاء حقوق صاحب البيانات، بما في ذلك الوصول إليها وتصحيحها ومسحها. ويتم استيفاء طلبات مسح البيانات ما لم يكن لدى PayPal التزام قانوني أو تنظيمي أو سبب تجاري مشروع آخر للاحتفاظ بها. تضمن سياسات PayPal حدوث المسح على مدار دورة حياة العميل.

13. جهات المعالجة.

لدى PayPal برنامج إدارة شامل تابع لجهة خارجية، يوفر الضمان من خلال الإدارة المستمرة للمخاطر طوال دورة حياة الارتباط بجهة خارجية. ولدينا ضوابط تعاقدية مطبقة لمطالبة جهات المعالجة التابعة لنا وجهات المعالجة الفرعية التابعة لهم بتطبيق معايير شاملة لحماية البيانات وخصوصيتها عبر جميع مراحل سلسلة المعالجة. ويجب على جميع جهات المعالجة الفرعية طلب موافقتنا المسبقة قبل مشاركتهم.