ملحق معالجة البيانات السريعة

تاريخ السريان: 22 أغسطس 2024

ملحق معالجة البيانات هذا (»وكالة حماية البيانات«) يكمل ويشكل جزءًا من الاتفاقية المبرمة بين شركة Brisk Labs Corp. (»سريع«) والمؤسسة التعليمية أو (عند الاقتضاء) المعلم فيما يتعلق بنقل ومعالجة البيانات المغطاة فيما يتعلق بتقديم الخدمة.

1. تعريفات
1.1

ما لم يتم تحديد خلاف ذلك في DPA هذه، فإن المصطلحات المكتوبة بأحرف كبيرة المستخدمة ولكن لم يتم تعريفها في DPA هذه سيكون لها المعنى المنصوص عليه في الاتفاقية. سيتم تعريف المصطلحات التالية بأحرف كبيرة المستخدمة في DPA على النحو التالي:
«اتفاقية«تعني الاتفاقية المبرمة بين Brisk والعميل والتي تتضمن الشروط الواردة في https://www.briskteaching.com/terms أو على النحو المتفق عليه بين الطرفين.
«قوانين حماية البيانات المعمول بها«يعني جميع القوانين والقواعد واللوائح والمتطلبات الحكومية المعمول بها المتعلقة بخصوصية البيانات الشخصية أو سريتها أو أمنها، حيث قد يتم تعديلها أو تحديثها بطريقة أخرى من وقت لآخر، بما في ذلك (على سبيل المثال لا الحصر) اللائحة العامة لحماية البيانات.
«معالج فرعي معتمد«يعني المعالجات الفرعية المدرجة في الجدول 4 وأي معالجات فرعية أخرى تم تعيينها وفقًا للفقرة 7.4.
«أغراض وحدة التحكم«يعني: (أ) إجراء بحث وتطوير داخلي لتطوير واختبار وتحسين وتغيير وظائف منتجات وخدمات Brisk؛ (ب) إنشاء مجموعات بيانات مجهولة المصدر للتدريب أو تقييم منتجات وخدمات Brisk؛ و (ج) إدارة حسابات العملاء على الخدمة وإدارة علاقة Brisk مع العميل بموجب الاتفاقية، في كل حالة كما هو موضح بمزيد من التفصيل في الجدول 1.
«البيانات المغطاة«تعني البيانات الشخصية التي: (أ) يتم تقديمها من قبل العميل أو نيابة عنه إلى Brisk فيما يتعلق بتوفير الخدمة؛ أو (ب) تم الحصول عليها أو تطويرها أو إنتاجها أو معالجتها بطريقة أخرى بواسطة Brisk أو وكلائها أو مقاوليها من الباطن، لأغراض تقديم الخدمة، في كل حالة كما هو موضح بمزيد من التفصيل في الجدول 1.
«العميل«يعني المؤسسة التعليمية أو المعلم الذي يدخل في الاتفاقية مع Brisk فيما يتعلق بالخدمة.
«موضوع البيانات«له المعنى المعطى له في اللائحة العامة لحماية البيانات.
«تاريخ السريان«يعني تاريخ دخول Brisk والعميل في الاتفاقية.
«GDPR«يعني اللائحة (الاتحاد الأوروبي) 2016/679 (ال»قانون حماية البيانات الخاص بالاتحاد«) أو، عند الاقتضاء،»GDPR في المملكة المتحدة«، على النحو المحدد في القسم 3 (10) من قانون حماية البيانات لعام 2018.
«البيانات الشخصية«له المعنى المعطى له في اللائحة العامة لحماية البيانات.
«المعالجة«له المعنى المعطى له في اللائحة العامة لحماية البيانات، و»عملية«،»العمليات«و»تمت معالجتها«سيتم تفسيرها وفقًا لذلك.
«حادث أمني«يعني خرقًا للأمن يؤدي إلى التدمير العرضي أو غير القانوني أو الخسارة أو التغيير أو الكشف غير المصرح به أو الوصول غير المصرح به إلى (بما في ذلك الوصول الداخلي غير المصرح به إلى) البيانات المغطاة.
«البنود التعاقدية القياسية«أو»SCCs«تعني البنود التعاقدية القياسية المرفقة بالقرار التنفيذي للمفوضية (الاتحاد الأوروبي) 2021/914 والمتاحة على https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en.
«معالج فرعي«يعني معالجًا يستخدمه معالج آخر لتنفيذ تعليمات وحدة التحكم.
«قوانين حماية البيانات السويسرية«يعني القانون الفيدرالي السويسري بشأن حماية البيانات الصادر في 25 سبتمبر 2020 (»FADP«) ومرسوم حماية البيانات السويسري الصادر في 31 أغسطس 2022 (ال»مرسوم«)، وأي نسخة جديدة أو منقحة من هذه القوانين قد تدخل حيز التنفيذ من وقت لآخر.

1.2

الشروط»وحدة تحكم«و»معالج«لديهم المعاني المعطاة لهم في اللائحة العامة لحماية البيانات.

2. التفاعل مع الاتفاقية
2.1

تم دمج DPA هذه في الاتفاقية وتشكل جزءًا لا يتجزأ منها. تكمل DPA هذه الاتفاقية وتحل محلها (في حالة التناقضات) فيما يتعلق بأي معالجة للبيانات المغطاة.

3. دور الأطراف
3.1

تقر الأطراف وتوافق على ما يلي:

  1. باستثناء ما هو منصوص عليه في الفقرة 3.1، تقوم شركة Brisk بمعالجة البيانات المغطاة كمعالج في أداء التزاماتها بموجب الاتفاقية وتعمل DPA هذه والعميل كوحدة تحكم؛ و
  2. تعمل Brisk كوحدة تحكم فيما يتعلق بمعالجة البيانات المغطاة لأغراض وحدة التحكم على النحو المحدد في الجدول 1.
4. تفاصيل معالجة البيانات
4.1

يتم وصف تفاصيل معالجة البيانات الشخصية بموجب الاتفاقية واتفاقية DPA هذه (بما في ذلك الموضوع وطبيعة المعالجة والغرض منها وفئات البيانات الشخصية وموضوعات البيانات) في الاتفاقية وفي الجدول 1 من DPA هذه.

4.2

بخلاف ما يتعلق بمعالجة البيانات المغطاة لأغراض وحدة التحكم:

  1. لن تقوم Brisk بمعالجة البيانات المغطاة إلا بموجب التعليمات المقدمة من العميل ووفقًا لقوانين حماية البيانات المعمول بها؛ و
  2. تشكل الاتفاقية واتفاقية DPA هذه التعليمات إلى Brisk لمعالجة البيانات المغطاة بواسطة Brisk، ويجوز للعميل إصدار المزيد من التعليمات المكتوبة وفقًا لـ DPA.
4.3

الإرادة السريعة:

  1. تزويد العميل بالمعلومات لتمكين العميل من إجراء وتوثيق أي تقييمات لتأثير حماية البيانات والمشاورات المسبقة مع السلطات الإشرافية المطلوبة بموجب قوانين حماية البيانات المعمول بها؛ و
  2. قم بإبلاغ العميل على الفور إذا رأى أن تعليمات العميل تنتهك قوانين حماية البيانات المعمول بها.
5. الامتثال
5.1

يجب على العميل الامتثال لالتزاماته بموجب قوانين حماية البيانات المعمول بها والتأكد من:

  1. أي تعليمات لـ Brisk فيما يتعلق بمعالجة البيانات المغطاة تتوافق مع قوانين حماية البيانات المعمول بها؛
  2. توفر هذه المعلومات لموضوعات البيانات فيما يتعلق بمعالجة البيانات المغطاة بواسطة Brisk كما هو مطلوب بموجب قوانين حماية البيانات المعمول بها؛
  3. تقوم بإخطار Brisk على الفور بأي طلب يتم تلقيه من موضوع البيانات لممارسة حقوقه بموجب قوانين حماية البيانات المعمول بها.
6. السرية والإفصاح
6.1

يجب على شركة بريسك:

  1. تقييد الوصول إلى البيانات المغطاة للموظفين الذين لديهم عمل يحتاج إلى الوصول إلى هذه البيانات المغطاة؛ و
  2. التأكد من أن هؤلاء الموظفين يخضعون لالتزامات على الأقل تحمي البيانات المغطاة مثل شروط DPA هذه والاتفاقية، بما في ذلك واجبات السرية فيما يتعلق بأي بيانات مغطاة يمكنهم الوصول إليها.
7. تعريفات
7.1

يجوز لـ Brisk معالجة البيانات المغطاة في أي مكان تحتفظ فيه Brisk أو معالجوها الفرعيون بالمرافق، مع مراعاة ما تبقى من هذه الفقرة 7 وأي قيود على عمليات النقل الواردة في SCCs.

7.2

يمنح العميل تفويضًا عامًا لـ Brisk لإشراك أي معالج فرعي معتمد لمعالجة البيانات المغطاة.

7.3

يجب على شركة بريسك:

  1. الدخول في اتفاقية مكتوبة مع كل معالج فرعي معتمد يفرض التزامات حماية البيانات التي، من حيث الجوهر، لا تقل حماية للبيانات المغطاة عن التزامات Brisk بموجب DPA هذه؛ و
  2. تظل مسؤولة عن امتثال كل معالج فرعي معتمد للالتزامات بموجب DPA هذه.
7.4

ستزود Brisk العميل بإشعار مدته أربعة عشر (14) يومًا على الأقل بأي تغييرات مقترحة على المعالجات الفرعية المعتمدة. يجب على العميل إخطار Brisk في حالة اعتراضه على التغيير المقترح للمعالجين الفرعيين المعتمدين (بما في ذلك، عند الاقتضاء، عند ممارسة حقه في الاعتراض بموجب البند 9 (أ) من SCCs) من خلال تزويد Brisk بإشعار كتابي بالاعتراض في غضون سبعة (7) أيام بعد أن تقدم Brisk إشعارًا للعميل بهذا التغيير المقترح (an»الاعتراض«).

7.5

في حالة قيام العميل بتقديم اعتراض، يجب على Brisk والعميل العمل معًا بحسن نية لإيجاد حل مقبول للطرفين لمعالجة هذا الاعتراض. إذا لم يتمكن Brisk والعميل من التوصل إلى حل مقبول للطرفين خلال فترة زمنية معقولة، والتي يجب ألا تتجاوز ثلاثين (30) يومًا، يجوز لـ Brisk إنهاء جزء الاتفاقية المتعلق بالخدمات المتأثرة بهذا التغيير من خلال تقديم إشعار كتابي إلى العميل.

8. طلبات حقوق موضوع البيانات
8.1

ستقوم Brisk بإخطار العميل دون تأخير لا مبرر له بأي طلب تتلقاه Brisk أو أي معالج فرعي معتمد من موضوع البيانات لتأكيد حقوقه بموجب قوانين حماية البيانات المعمول بها فيما يتعلق بالبيانات المغطاة التي تتم معالجتها بواسطة Brisk كمعالج أو معالج فرعي (أ»طلب موضوع البيانات«).

8.2

بخلاف ما يتعلق بمعالجة Brisk للبيانات المغطاة لأغراض وحدة التحكم، كما هو الحال بين Brisk والعميل، سيكون للعميل السلطة التقديرية وحدها في الاستجابة لطلب موضوع البيانات. لن تستجيب Brisk لطلب موضوع البيانات دون موافقة مسبقة من العميل، باستثناء أن Brisk قد تبلغ موضوع البيانات بأن طلبه قد تم إعادة توجيه طلبه إلى العميل.

8.3

ستقدم Brisk للعميل مساعدة معقولة حسب الضرورة للعميل للوفاء بالتزامه بموجب قوانين حماية البيانات المعمول بها للرد على طلبات موضوع البيانات فيما يتعلق بالبيانات المغطاة.

9. الأمان
9.1

ستقوم Brisk بتنفيذ والحفاظ على حماية البيانات الفنية والتنظيمية المناسبة والتدابير الأمنية المصممة لضمان أمن البيانات المغطاة، بما في ذلك، على سبيل المثال لا الحصر، الحماية من المعالجة غير المصرح بها أو غير القانونية وضد الفقد العرضي أو التدمير أو التلف أو التلف أو البيانات المغطاة.

9.2

عند تقييم المستوى المناسب من الأمان، يجب أن تأخذ Brisk في الاعتبار طبيعة المعالجة ونطاقها وسياقها والغرض منها بالإضافة إلى المخاطر التي تشكلها المعالجة، ولا سيما من التدمير العرضي أو غير القانوني أو الخسارة أو التغيير أو الكشف غير المصرح به أو الوصول إلى البيانات المغطاة.

9.3

ستقوم Brisk بتنفيذ والحفاظ على الحد الأدنى من المعايير المنصوص عليها في الجدول 2.

10. المعلومات وعمليات التدقيق
10.1

يجوز للعميل تدقيق امتثال Brisk لـ DPA فيما يتعلق بمعالجة البيانات المغطاة. يوافق الطرفان على إجراء جميع عمليات التدقيق هذه:

  1. ليس أكثر من عام، ما لم تكن هناك حاجة لمزيد من عمليات التدقيق المتكررة من قبل سلطة إشرافية لها سلطة قضائية على معالجة البيانات المغطاة أو غير ذلك بموجب قوانين حماية البيانات المعمول بها؛
  2. بناءً على إشعار كتابي معقول إلى Brisk؛
  3. فقط خلال ساعات العمل العادية لـ Brisk؛ و
  4. بطريقة لا تعطل أعمال أو عمليات Brisk ماديًا.
10.2

فيما يتعلق بأي عمليات تدقيق تتم وفقًا للفقرة 10.3: بعض النصوص

  1. يجوز للعميل الاستعانة بمدقق من طرف ثالث لإجراء التدقيق نيابة عنه، باستثناء أن Brisk قد يعترض بشكل معقول على مشاركة مدقق حسابات تابع لجهة خارجية إذا كان هذا المدقق الخارجي منافسًا لـ Brisk؛ و
  2. لن يُطلب من Brisk تسهيل أي تدقيق من هذا القبيل ما لم تتفق الأطراف كتابيًا على نطاق وتوقيت هذا التدقيق.
10.3

يجب على العميل إخطار Brisk على الفور بأي عدم امتثال يتم اكتشافه أثناء التدقيق.

10.4

يجب أن تكون نتائج التدقيق معلومات سرية لـ Brisk.

10.5

يجب على Brisk تزويد العميل عند الطلب، أو قد تقدم للعميل ردًا على أي طلب تدقيق يقدمه العميل إلى Brisk، أيًا مما يلي:

  1. شهادات الامتثال لحماية البيانات الصادرة عن جهة إصدار الشهادات المقبولة عمومًا والتي تم تدقيقها من قبل خبير أمن البيانات، أو من قبل شركة تدقيق معتمدة علنًا؛ أو
  2. مثل هذه الوثائق الأخرى التي تثبت بشكل معقول تنفيذ تدابير أمن البيانات الفنية والتنظيمية وفقًا لمعايير الصناعة.
10.6

إذا تم تناول التدقيق الذي طلبه العميل في المستندات أو الشهادات المقدمة من Brisk وفقًا للفقرة 10.7، و:

  1. يتم تأريخ الشهادة أو الوثائق في غضون اثني عشر (12) شهرًا من طلب التدقيق الخاص بالعميل؛ و
  2. يؤكد Brisk أنه لا توجد تغييرات جوهرية معروفة في الضوابط التي تم تدقيقها،

يوافق العميل على قبول تلك الشهادة أو الوثائق بدلاً من إجراء تدقيق مادي للضوابط التي تغطيها الشهادة أو الوثائق ذات الصلة.

11. حوادث أمنية
11.1

يجب على Brisk إخطار العميل كتابيًا دون تأخير لا داعي له بعد علمه بأي حادث أمني.

11.2

يجب على شركة Brisk اتخاذ خطوات معقولة لاحتواء أي حادث أمني والتحقيق فيه والتخفيف من حدته، وإرسال معلومات إلى العميل في الوقت المناسب حول الحادث الأمني، إلى الحد الذي تعرفه Brisk أو عندما تصبح المعلومات متاحة لـ Brisk، بما في ذلك، على سبيل المثال لا الحصر، طبيعة الحادث الأمني، والتدابير المتخذة للتخفيف من الحادث الأمني أو احتوائه، وحالة التحقيق.

11.3

تقدم Brisk مساعدة معقولة في تحقيق العميل (أو، عند الاقتضاء، عملائه) في أي حوادث أمنية وأي من التزامات العميل (أو، عند الاقتضاء، عملائه) فيما يتعلق بالحادث الأمني بموجب قوانين حماية البيانات المعمول بها، بما في ذلك أي إخطار لأصحاب البيانات أو السلطات الإشرافية.

11.4

لا يجوز تفسير إخطار Brisk أو استجابته لحادث أمني بموجب هذه الفقرة 11 على أنه اعتراف من Brisk بأي خطأ أو مسؤولية فيما يتعلق بالحادث الأمني.

12. المصطلح والحذف والإرجاع
12.1

تبدأ اتفاقية DPA هذه في تاريخ السريان، وبغض النظر عن أي إنهاء للاتفاقية، ستظل سارية المفعول حتى تنتهي صلاحيتها تلقائيًا عند حذف Brisk لجميع البيانات المغطاة كما هو موضح في DPA هذه.

12.2

يجب على شركة بريسك:

  1. إذا طلب العميل القيام بذلك (نيابة عن عملائه، حسب الاقتضاء) في غضون ثلاثين (30) يومًا من انتهاء الاتفاقية (»فترة الاستبقاء«)، تقديم نسخة من جميع البيانات المغطاة بهذا التنسيق الشائع الاستخدام على النحو الذي يطلبه العميل، أو توفير وظيفة الخدمة الذاتية التي تسمح للعميل بتنزيل هذه البيانات المغطاة؛ و
  2. عند انتهاء فترة الاحتفاظ، احذف جميع نسخ البيانات المغطاة التي تمت معالجتها بواسطة Brisk أو أي معالجين فرعيين معتمدين، بخلاف أي بيانات مغطاة يتعين على Brisk الاحتفاظ بها للامتثال للقانون المعمول به، لمتابعة المطالبات القانونية أو الدفاع عنها أو لأغراض وحدة التحكم.
13. التحويلات الدولية
13.1

تنطبق البنود التعاقدية القياسية، كما هو موضح بمزيد من التفصيل في الجدول 3، على عمليات نقل البيانات المغطاة من العميل إلى Brisk، وتشكل جزءًا من DPA هذه.

13.2

يتفق الطرفان على أن تنفيذ الاتفاقية سيكون له نفس تأثير توقيع SCCs.

الجدول 1: تفاصيل المعالجة
ألف - قائمة الأطراف
العميل
العميل
الدور
مصدر البيانات (وحدة التحكم)
مستورد البيانات (وحدة التحكم/المعالج)
المسؤول عن حساب العميل كما تم إخطاره لـ Brisk.
الأنشطة ذات الصلة بالنقل
ب- وصف المعالجة
موضوعات البيانات
طبيعة المعالجة والغرض منها
فترة الاستبقاء
معلومات الاتصال، مثل الاسم وعنوان البريد الإلكتروني واسم المؤسسة التعليمية.
لا شيء
تم جمعها مباشرة من موضوع البيانات.
تواصل مع مسؤولي الحساب فيما يتعلق بإدارة الاتفاقية والعلاقة بين الطرفين.

أرسل رسائل بريد إلكتروني ترويجية وفقًا لتفضيلات مسؤول الحساب.

حدد الطرق التي يمكن من خلالها لـ Brisk تحسين الخدمة وإصلاح الأخطاء في الخدمة.
تفضيلات الحساب فيما يتعلق بالرسائل الترويجية.
يتم جمعها مباشرة من موضوع البيانات أو المقدمة من قبل المؤسسة التعليمية
معالج نيابة عن المؤسسة التعليمية ذات الصلة.

حتى وقت سابق من:

  • إنهاء الاتفاقية؛ و
  • إغلاق الحساب ذي الصلة بالخدمة الذي يحتفظ به موضوع البيانات، إما بناءً على طلب وحدة التحكم أو بعد 18 شهرًا من عدم النشاط.
تفضيلات الحساب فيما يتعلق بالرسائل المتعلقة بالخدمة.

فئة الحساب، أي ما إذا كان المعلم المستقل يستخدم حسابًا مميزًا أو مجانيًا في الخدمة.

أسئلة وتعليقات ومراسلات أخرى المقدمة فيما يتعلق بالخدمة.

المواد التي تم تدريسها و مجموعات السنة الطلابية أو الدرجات.

المحتوى والمواد تم إنشاؤها من خلال الخدمة، بما في ذلك التعديلات التي تم إجراؤها على المحتوى الذي تم إنشاؤه تلقائيًا من خلال الخدمة.

مواقع الويب تمت زيارتها والتي تم تفعيل الخدمة من أجلها.

التغذية الراجعة فيما يتعلق بالمحتوى الذي تم إنشاؤه من خلال الخدمة.

ال الميزات والوظائف تستخدم في الخدمة.
لا شيء، ما لم يكن موجودًا في المحتوى والمواد التي تم إنشاؤها من خلال، أو المطالبات أو التعليقات المقدمة إلى الخدمة.
المعلمون على حسابات المدرسة
معلومات الاتصال، مثل الاسم وعنوان البريد الإلكتروني واسم المؤسسة التعليمية.
لا شيء
طوال مدة الاتفاقية ولمدة 6 سنوات بعد ذلك.
حتى عامين بعد إغلاق حساب موضوع البيانات على الخدمة، إما بناءً على طلب موضوع البيانات أو بعد 18 شهرًا من عدم النشاط.
أسئلة وتعليقات ومراسلات أخرى المقدمة فيما يتعلق بالخدمة.
ال الميزات والوظائف تستخدم في الخدمة.
توفير الوصول إلى ميزات ووظائف الخدمة، بما في ذلك تسهيل تسجيل الدخول ومعالجة مشاكل تسجيل الدخول.
حتى 90 يومًا.
الإحالات, أي عدد المعلمين الآخرين الذين أحالهم المعلم المستقل إلى الخدمة.
تم جمعها مباشرة من موضوع البيانات.
إدارة برنامج إحالة Brisk، بما في ذلك إدارة المكافآت أو الوصول الترويجي إلى الميزات المميزة.
وحدة التحكم
طوال مدة الاتفاقية.
دورات التطوير المهني تم إجراؤها واستكمالها من خلال الخدمة.
منح الوصول إلى الميزات المتميزة المرتبطة بإكمال دورات التطوير المهني.
مدرسون مستقلون
معلومات الاتصال، مثل الاسم وعنوان البريد الإلكتروني واسم المؤسسة التعليمية.
تم جمعها مباشرة من موضوع البيانات.
فئة الحساب، أي ما إذا كان المعلم المستقل يستخدم حسابًا مميزًا أو مجانيًا في الخدمة.
طوال مدة الاتفاقية ولمدة 6 سنوات بعد ذلك.
معلومات الدفع، مثل بطاقة الائتمان أو الخصم وعنوان إرسال الفواتير.
تفضيلات الحساب فيما يتعلق بالرسائل المتعلقة بالخدمة والرسائل الترويجية.
أسئلة وتعليقات ومراسلات أخرى المقدمة فيما يتعلق بالخدمة.
المواد التي تم تدريسها و مجموعات السنة الطلابية أو الدرجات.
طوال مدة الاتفاقية.
المحتوى والمواد تم إنشاؤها من خلال الخدمة، بما في ذلك التعديلات التي تم إجراؤها على المحتوى الذي تم إنشاؤه تلقائيًا من خلال الخدمة.
طوال مدة الاتفاقية.
يتم تخزين هذه المعلومات في شكل مجمّع ومجهول المصدر.
الجهاز المستخدم للوصول إلى الخدمة، مثل عنوان IP.
توفير الوصول إلى ميزات ووظائف الخدمة، بما في ذلك تسهيل تسجيل الدخول ومعالجة مشاكل تسجيل الدخول وموازنة التحميل.
حتى 90 يومًا.
الطلاب
معلومات الاتصال، مثل الاسم وعنوان البريد الإلكتروني واسم المؤسسة التعليمية أو المعلم الذي يمنح حق الوصول.
لا شيء
مقدمة من العميل.
توفير الوصول إلى ميزات ووظائف الخدمة، بما في ذلك تخصيص الخدمة.
معالج نيابة عن المؤسسة التعليمية ذات الصلة أو المعلم المستقل.
أي بيانات شخصية حساسة واردة في منتج العمل أو التفاعلات التي تم تحميلها إلى الخدمة من قبل الطالب.
المسؤول عن حساب العميل كما تم إخطاره لـ Brisk.
المسؤول عن حساب العميل كما تم إخطاره لـ Brisk.
تم جمعها مباشرة من موضوع البيانات.
وحدة التحكم
حتى 90 يومًا.
جيم- السلطة الإشرافية المختصة

السلطة الإشرافية المختصة هي مفوض حماية البيانات الأيرلندي.

الجدول 2: التدابير الفنية والتنظيمية

مقدمة

تستخدم Brisk مجموعة من السياسات والإجراءات والإرشادات والضوابط الفنية والمادية لحماية البيانات الشخصية التي تعالجها من الفقد العرضي والوصول غير المصرح به أو الكشف أو التدمير.

الحوكمة والسياسات

تقوم شركة Brisk بتعيين الموظفين المسؤولين عن تحديد ومراجعة وتنفيذ السياسات والتدابير الأمنية.

سريع:

  • قام بتوثيق الإجراءات الأمنية التي نفذها في السياسة الأمنية و/أو الإرشادات والوثائق الأخرى ذات الصلة؛
  • يراجع تدابيره وسياساته الأمنية على أساس منتظم لضمان استمرار ملاءمتها للبيانات المحمية.

يقوم Brisk بإنشاء ومتابعة التكوينات الآمنة للأنظمة والبرامج ويضمن مراعاة التدابير الأمنية أثناء بدء المشروع وتطوير أنظمة تكنولوجيا المعلومات الجديدة.

الاستجابة للاختراق

لدى Brisk خطة استجابة للاختراق تم تطويرها لمعالجة أحداث خرق البيانات. يتم اختبار الخطة وتحديثها بانتظام.

دفاعات الاختراق ومكافحة الفيروسات والبرامج الضارة

تحتوي أنظمة تكنولوجيا المعلومات في Brisk المستخدمة لمعالجة البيانات الشخصية على برامج أمان البيانات المناسبة المثبتة عليها، بما في ذلك جدار الحماية القياسي في الصناعة ومكافحة الفيروسات ومكافحة البرامج الضارة وأنظمة كشف التسلل.

يجمع Brisk سجلات الأحداث ويحافظ عليها ويراجعها لتحديد النشاط المشبوه.

عناصر التحكم في الوصول

يحد Brisk من الوصول إلى البيانات الشخصية من خلال تنفيذ ضوابط الوصول المناسبة، بما في ذلك:

  • الحد من امتيازات الوصول الإداري واستخدام الحسابات الإدارية؛
  • تغيير جميع كلمات المرور الافتراضية قبل نشر أنظمة التشغيل أو الأصول أو التطبيقات؛
  • طلب المصادقة والترخيص للوصول إلى أنظمة تكنولوجيا المعلومات (أي مطالبة المستخدمين بإدخال معرف المستخدم وكلمة المرور قبل السماح لهم بالوصول إلى أنظمة تكنولوجيا المعلومات)؛
  • تدابير لضمان الوصول الأقل امتيازًا إلى أنظمة تكنولوجيا المعلومات؛
  • الإجراءات المناسبة للتحكم في تخصيص وإلغاء حقوق الوصول إلى البيانات الشخصية. على سبيل المثال، وجود إجراءات مناسبة لإلغاء وصول الموظفين إلى أنظمة تكنولوجيا المعلومات عندما يتركون وظائفهم أو يغيرون دورهم؛
  • استخدام المصادقة متعددة العوامل للوصول إلى البيانات على أنظمة Brisk؛
  • المهلة التلقائية وقفل محطات المستخدم في حالة تركها خاملة؛
  • تم حظر الوصول إلى نظام تكنولوجيا المعلومات بعد عدة محاولات فاشلة لإدخال تفاصيل المصادقة و/أو التفويض الصحيحة؛
  • مراقبة وتسجيل الوصول إلى أنظمة تكنولوجيا المعلومات؛
  • مراقبة وتسجيل التعديلات على البيانات أو الملفات على أنظمة تكنولوجيا المعلومات.

التوفر والنسخ الاحتياطي للبيانات الشخصية

لدى Brisk خطة موثقة للتعافي من الكوارث تضمن إمكانية استعادة الأنظمة والبيانات الرئيسية في الوقت المناسب في حالة وقوع حادث مادي أو تقني. يتم اختبار الخطة وتحديثها بانتظام.

تقوم شركة Brisk بعمل نسخة احتياطية بانتظام من المعلومات حول أنظمة تكنولوجيا المعلومات وتحتفظ بالنسخ الاحتياطية في مواقع منفصلة. يتم اختبار النسخ الاحتياطية للمعلومات بانتظام.

تجزئة البيانات الشخصية

سريع:

  • يفصل ويحد من الوصول بين مكونات الشبكة ويقوم، عند الاقتضاء، بتنفيذ تدابير لتوفير معالجة منفصلة (تخزين وتعديل وحذف ونقل) للبيانات الشخصية التي يتم جمعها واستخدامها لأغراض مختلفة؛
  • لا تستخدم البيانات الحية لاختبار أنظمتها.

التخلص من معدات تكنولوجيا المعلومات

سريع:

  • لديها عمليات لإزالة جميع البيانات الشخصية بشكل آمن قبل التخلص من أنظمة تكنولوجيا المعلومات؛
  • يستخدم التكنولوجيا المناسبة لتطهير المعدات من البيانات.

التشفير

يقوم Brisk بتشفير البيانات في حالة السكون باستخدام AES-256 وأثناء النقل باستخدام TLS 1.2 أو أعلى.

يتم تخزين مفاتيح التشفير بشكل منفصل عن المعلومات المشفرة.

نقل البيانات الشخصية أو نقلها

يتم تنفيذ الضوابط المناسبة من قبل Brisk لتأمين البيانات الشخصية أثناء الإرسال أو العبور، بما في ذلك:

  • التشفير أثناء النقل؛
  • تسجيل البيانات الشخصية عند إرسالها إلكترونيًا.

تصلب الجهاز

يضمن Brisk تقوية جميع الأجهزة الافتراضية وفقًا لمعايير مركز أمن الإنترنت (CIS).

إدارة الأصول والبرامج

تحتفظ Brisk بمخزون من أصول تكنولوجيا المعلومات والبيانات المخزنة عليها، إلى جانب قائمة مالكي أصول تكنولوجيا المعلومات ذات الصلة.

سريع:

  • يقوم بتوثيق وتنفيذ قواعد الاستخدام المقبول لأصول تكنولوجيا المعلومات.
  • يتطلب مصادقة على مستوى الشبكة ويستخدم شهادات العميل للتحقق من الأنظمة والمصادقة عليها؛
  • يقوم بنشر أدوات إدارة التصحيح المؤتمتة وأدوات تحديث البرامج لأنظمة التشغيل والبرامج؛
  • يراقب بشكل استباقي الثغرات الأمنية في البرامج وينفذ على الفور أي تصحيحات خارج الدورة؛
  • يسمح باستخدام أحدث الإصدارات فقط من متصفحات الويب وعملاء البريد الإلكتروني المدعومين بالكامل.

يخزن Brisk جميع مفاتيح API بأمان، بما في ذلك ما يلي:

  • يقوم Brisk بتخزين مفاتيح API مباشرة في متغيرات البيئة الخاصة به؛
  • لا يقوم Brisk بتخزين مفاتيح API على جانب العميل؛
  • لا ينشر Brisk بيانات اعتماد مفتاح API في مستودعات التعليمات البرمجية عبر الإنترنت (سواء كانت خاصة أم لا)؛ و
  • يستخدم Brisk أدوات إدارة مفاتيح API لاسترداد وإدارة بيانات الاعتماد لمشاريع التطوير الكبيرة.

تدريب الموظفين وتوعيتهم

تحدد اتفاقيات Brisk مع الموظفين والمقاولين وكتيبات الموظفين مسؤوليات موظفيها فيما يتعلق بأمن المعلومات.

تقوم شركة بريسك بما يلي:

  • تدريب الموظفين المنتظم على قضايا أمن البيانات والخصوصية ذات الصلة بدورهم الوظيفي ويضمن حصول المبتدئين الجدد على التدريب المناسب قبل بدء دورهم (كجزء من إجراءات الصعود إلى الطائرة)؛
  • الفحص المناسب والتحقق من الخلفية للأفراد الذين لديهم حق الوصول إلى البيانات الشخصية الحساسة.

يضمن Brisk الإبلاغ عن مسؤوليات أمن المعلومات التي تنطبق مباشرة قبل إنهاء الخدمة أو تغيير الوظيفة وتلك التي تنطبق بعد إنهاء/تغيير الوظيفة وتنفيذها.

يخضع الموظفون لإجراءات تأديبية بسبب انتهاكات سياسات وإجراءات Brisk المتعلقة بخصوصية البيانات وأمانها.

اختيار مزودي الخدمة وعمولة الخدمات

يقوم Brisk بتقييم قدرة مزودي الخدمة على تلبية متطلبات الأمان الخاصة بهم قبل إشراكهم.

قامت Brisk بكتابة عقود مع مزودي الخدمة تتطلب منهم تنفيذ تدابير أمنية مناسبة لحماية البيانات الشخصية التي يمكنهم الوصول إليها والحد من استخدام البيانات الشخصية وفقًا لتعليمات Brisk.

الجزء 2

المساعدة في طلبات حقوق موضوع البيانات

نفذت Brisk السياسات والتدابير المناسبة لتحديد ومعالجة طلبات حقوق موضوع البيانات، بما في ذلك:

  • يحتفظ Brisk بسجلات دقيقة لتمكينه من التعرف بسرعة على جميع البيانات الشخصية التي تتم معالجتها نيابة عن العميل؛ و
  • يتم استبدال النسخ الاحتياطية من البيانات الشخصية التي تتم معالجتها بواسطة Brisk نيابة عن العميل على أساس منتظم وعلى أي حال كل ثلاثين (30) يومًا لضمان تنفيذ طلبات الحذف والتصحيح بشكل كامل.
الجدول 3: البنود التعاقدية القياسية
1. الاتحاد الأوروبي - SCCS

فيما يتعلق بأي عمليات نقل مشار إليها في البند 13، يجب إكمال البنود التعاقدية القياسية على النحو التالي:

1.1

الوحدة الثانية (وحدة تحكم إلى معالج)، أو حسب الاقتضاء، الوحدة الثالثة (معالج إلى معالج) من SCCs ستنطبق على معالجة Brisk للبيانات المغطاة.

1.2

لا ينطبق البند 7 من البنود التعاقدية القياسية (شرط الإرساء).

1.3

الخيار 2 من البند 9 (أ) (إذن كتابي عام) يجب تطبيقه، ويتم تحديد الفترة الزمنية التي سيتم تحديدها في الفقرة 7.4 من DPA.

1.4

الخيار الوارد في البند 11 (أ) من البنود التعاقدية القياسية (هيئة مستقلة لتسوية المنازعات) لا ينطبق.

1.5

فيما يتعلق بالبند 17 من البنود التعاقدية القياسية (القانون الحاكم)، يتفق الطرفان على تطبيق الخيار 1 وأن القانون الحاكم سيكون القانون الأيرلندي.

1.6

في البند 18 من البنود التعاقدية القياسية (اختيار المنتدى والولاية القضائية)، يخضع الطرفان للاختصاص القضائي لمحاكم أيرلندا.

1.7

لغرض الملحق الأول من البنود التعاقدية القياسية، يحتوي الجدول 1 من DPA على المواصفات المتعلقة بالأطراف ووصف النقل والسلطة الإشرافية المختصة.

1.8

لغرض الملحق الثاني من البنود التعاقدية القياسية، يحتوي الجدول 2 من DPA على التدابير الفنية والتنظيمية.

2. إضافة المملكة المتحدة
2.1

هذه الفقرة 2 (إضافة المملكة المتحدة) تنطبق على أي نقل للبيانات المغطاة من العميل (كمصدر للبيانات) إلى Brisk (كمستورد للبيانات)، إلى الحد الذي:

  1. تنطبق قوانين حماية البيانات في المملكة المتحدة على العميل عند إجراء هذا النقل؛ أو
  2. يعتبر النقل «تحويلًا داخليًا» على النحو المحدد في الإضافة المعتمدة.
2.2

كما هو مستخدم في هذه الفقرة 2:

«إضافة تمت الموافقة عليها«يعني الإضافة النموذجية، الإصدار B.1.0 الصادر عن مفوض المعلومات في المملكة المتحدة بموجب قانون حماية البيانات S119A (1) لعام 2018 وتم عرضه على برلمان المملكة المتحدة في 2 فبراير 2022، حيث يمكن مراجعته وفقًا للقسم 18 من الإضافة المعتمدة.

«قوانين حماية البيانات في المملكة المتحدة«يعني جميع القوانين المتعلقة بحماية البيانات ومعالجة البيانات الشخصية والخصوصية و/أو الاتصالات الإلكترونية السارية من وقت لآخر في المملكة المتحدة، بما في ذلك اللائحة العامة لحماية البيانات في المملكة المتحدة وقانون حماية البيانات 2018.

2.3

ستشكل الإضافة المعتمدة جزءًا من اتفاقية DPA هذه فيما يتعلق بأي عمليات نقل مشار إليها في الفقرة 2.1، وسيكون لتنفيذ اتفاقية DPA هذه نفس تأثير التوقيع على الإضافة المعتمدة.

2.4

تعتبر الإضافة المعتمدة مكتملة على النحو التالي:بعض النصوص

  1. يجب أن تشير «إضافة EU SCCs» إلى SCCs حيث تم دمجها في هذه الاتفاقية وفقًا للبند 13 وهذا الجدول 3؛
  2. ويُستكمل الجدول 1 من الإضافة المعتمدة بالتفاصيل الواردة في الفقرة ألف من الجدول 1؛
  3. تشير «معلومات الملحق» إلى المعلومات الواردة في الجدول 1 والجدول 2
  4. لأغراض الجدول 4 من الإضافة المعتمدة، يجوز لـ Brisk (كمستورد للبيانات) إنهاء DPA هذه، إلى الحد الذي تنطبق فيه الإضافة المعتمدة، وفقًا للقسم‎19 من الإضافة المعتمدة؛ و
  5. لا ينطبق القسم 16 من الإضافة المعتمدة.
3. إضافة سويسرية
3.1

سيتم تطبيق هذا الملحق السويسري على أي معالجة للبيانات المغطاة التي تخضع لقوانين حماية البيانات السويسرية.

3.2

تفسير هذه الإضافة

  1. عندما تستخدم هذه الإضافة المصطلحات المحددة في البنود التعاقدية القياسية، سيكون لهذه المصطلحات نفس المعنى كما في البنود التعاقدية القياسية. بالإضافة إلى ذلك، تحتوي المصطلحات التالية على المعاني التالية:

    «إضافة«يعني هذه الإضافة إلى البنود؛
    «البنود«تعني البنود التعاقدية القياسية كما تم دمجها في اتفاقية DPA هذه وفقًا للفقرة 13 وعلى النحو المحدد أيضًا في هذا الجدول 3؛ و
    «FDPIC«يعني المفوض الفيدرالي لحماية البيانات والمعلومات.
  1. يجب قراءة هذا الملحق وتفسيره بطريقة تتوافق مع قوانين حماية البيانات السويسرية، بحيث يفي بالتزامات الأطراف بموجب المادة 16 (2) (د) من FADP.
  2. لن يتم تفسير هذا الملحق بطريقة تتعارض مع الحقوق والالتزامات المنصوص عليها في قوانين حماية البيانات السويسرية.
  3. أي إشارة إلى التشريع (أو أحكام محددة من التشريع) تعني ذلك التشريع (أو الحكم المحدد) كما قد يتغير بمرور الوقت. ويشمل ذلك الحالات التي تم فيها توحيد هذا التشريع (أو الحكم المحدد) أو إعادة سنه و/أو استبداله بعد إدخال هذا الملحق السويسري.
  4. فيما يتعلق بأي معالجة للبيانات الشخصية تخضع لقوانين حماية البيانات السويسرية، فإن هذا الملحق يعدل ويكمل البنود بالقدر اللازم حتى تعمل: بعض النصوص
    1. لعمليات النقل التي يقوم بها مُصدّر البيانات إلى مستورد البيانات، إلى الحد الذي تنطبق فيه قوانين حماية البيانات السويسرية على معالجة مُصدّر البيانات عند إجراء هذا النقل؛ و
    2. كبنود قياسية لحماية البيانات معتمدة أو صادرة أو معترف بها من قبل FDPIC لأغراض المادة 16 (2) (د) من FADP.

3.3

التسلسل الهرمي

في حالة وجود تعارض أو عدم تناسق بين هذه الإضافة وأحكام البنود أو الاتفاقيات الأخرى ذات الصلة بين الطرفين، القائمة في وقت الاتفاق على هذه الإضافة أو الدخول فيها بعد ذلك، فإن الأحكام التي توفر أكبر قدر من الحماية لموضوعات البيانات سوف تسود.

3.4

التغييرات في البنود

  1. إلى الحد الذي تخضع فيه معالجة جهة تصدير البيانات للبيانات الشخصية حصريًا لقوانين حماية البيانات السويسرية، أو نقل البيانات الشخصية من مصدر البيانات إلى مستورد البيانات بموجب البنود هو «نقل لاحق» (على النحو المحدد في البنود، بصيغته المعدلة بموجب ما تبقى من هذه الفقرة 3.3 (أ))، يتم إجراء التعديلات التالية على البنود:
    1. الإشارات إلى «البنود» أو «SCCs» تعني هذه الإضافة السويسرية لأنها تعدل SCCs.
    2. يتم استبدال البند 6 وصف النقل (التحويلات) بما يلي:
    3. «تفاصيل النقل (عمليات) النقل، وعلى وجه الخصوص فئات البيانات الشخصية التي يتم نقلها والغرض (الأغراض) التي يتم نقلها من أجلها، هي تلك المحددة في الجدول 1 من DPA حيث تنطبق قوانين حماية البيانات السويسرية على معالجة مصدر البيانات عند إجراء هذا النقل.»
    4. يتم استبدال الإشارات إلى «اللائحة (الاتحاد الأوروبي) 2016/679" أو «تلك اللائحة» أو «" GDPR» بـ «قوانين حماية البيانات السويسرية» ويتم استبدال الإشارات إلى مادة (مواد) محددة من «اللائحة (الاتحاد الأوروبي) 2016/679" أو «GDPR» بالمادة أو القسم المقابل من قوانين حماية البيانات السويسرية بالقدر المطبق.
    5. تتم إزالة الإشارات إلى اللائحة (الاتحاد الأوروبي) 2018/1725.
    6. يتم استبدال جميع الإشارات إلى «الاتحاد الأوروبي» و «الاتحاد الأوروبي» و «الاتحاد الأوروبي» و «الدولة العضو في الاتحاد الأوروبي» بـ «سويسرا».
    7. لم يتم استخدام البند 13 (أ) والجزء جيم من المرفق الأول؛ «السلطة الإشرافية المختصة» هي FDPIC؛
    8. تم استبدال البند 17 لينص على ما يلي: «تخضع هذه البنود لقوانين سويسرا».
    9. تم استبدال البند 18 لينص على ما يلي: «سيتم حل أي نزاع ينشأ عن هذه البنود المتعلقة بقوانين حماية البيانات السويسرية من قبل محاكم سويسرا. يجوز لموضوع البيانات أيضًا رفع إجراءات قانونية ضد مصدر البيانات و/أو مستورد البيانات أمام محاكم سويسرا التي يقيم فيها هو/هي محل إقامته المعتاد. ويوافق الطرفان على الخضوع للاختصاص القضائي لهذه المحاكم».
الجدول 4: المعالجات الفرعية المعتمدة
معالج فرعي
وصف
شركة داتادوج
أداة موثوقية الموقع والمراقبة التي تساعد على تتبع الأداء واكتشاف المشكلات وتحسين تجربة المستخدم من خلال رؤى وتصورات البيانات في الوقت الفعلي
يستضيف قواعد البيانات والخوادم التي تعمل على تشغيل Brisk ونسخها احتياطيًا
شركة سنوفلايك.
يقوم بتشغيل تقارير بيانات مختلفة عن البيانات التي تم التقاطها مسبقًا في Snowflake حتى نتمكن من تحسين الأداة.
شركة جوجل ذات المسؤولية المحدودة (شركة ألفابت)
يوفر مصادقة تسجيل الدخول الأحادي (SSO) لمستخدمي Brisk، ويستضيف الدورات الدراسية للطلاب والمحتوى الذي تم إنشاؤه بواسطة المعلم.
الجزء (شركة تويليو)
أداة تسجيل وتحليلات تساعد المطورين على فهم كيفية تفاعل المستخدمين مع Brisk
شركة أوبن إيه آي
تشغيل أنثروبي على AWS Bedrock
خدمات الذكاء الاصطناعي
سينتري (شركة البرمجيات الوظيفية)
شركة جي بي تي زيرو
أداة تحليل النص التي تساعد على اكتشاف النص الذي تم إنشاؤه بواسطة الذكاء الاصطناعي
شتلة
أداة تحليل النص التي تساعد على تحسين الكتابة من خلال تقديم اقتراحات نحوية ونمطية
سالسفورس
يضم ويتتبع اتفاقيات الشراكة ونقاط الاتصال ومعلومات التنسيق الأخرى.