تسجيل الدخول

اتفاقية معالجة البيانات

آخر تحديث: 15 April 2026

تشكّل اتفاقية معالجة البيانات هذه (“DPA”) جزءًا من الاتفاقية بين الكيان المحدد في حساب Accsible (“العميل”، “المتحكم”) وDenizcom Ltd، التي تعمل تحت اسم Accsible، والمسجلة في 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom (“Accsible”، “المعالج”)، وتكمّل شروط الاستخدام وسياسة الخصوصية (معًا، “الاتفاقية الرئيسية”).

تنطبق اتفاقية معالجة البيانات هذه حيثما وحيثما يعالج Accsible البيانات الشخصية نيابةً عن العميل في سياق تقديم الخدمة. وهي مصممة لضمان الامتثال للمادة 28 من UK GDPR، وEU GDPR (اللائحة 2016/679)، وغيرها من تشريعات حماية البيانات المعمول بها.

1. التعريفات

في اتفاقية معالجة البيانات هذه، ما لم يقتضِ السياق خلاف ذلك:

  • “قوانين حماية البيانات” — UK GDPR، وEU GDPR، وقانون حماية البيانات 2018، ولوائح الخصوصية والاتصالات الإلكترونية 2003، وأي تشريعات أخرى معمول بها لحماية البيانات.
  • “البيانات الشخصية” — أي معلومات تتعلق بشخص طبيعي محدد أو قابل للتحديد تتم معالجتها بواسطة Accsible نيابةً عن العميل بموجب الاتفاقية الرئيسية.
  • “المعالجة” — أي عملية تُجرى على البيانات الشخصية، بما في ذلك الجمع، والتسجيل، والتخزين، والاسترجاع، والاستخدام، والإفصاح، والمحو، أو الإتلاف.
  • “المعالج الفرعي” — أي طرف ثالث يعينه Accsible لمعالجة البيانات الشخصية نيابةً عن العميل.
  • “صاحب البيانات” — الشخص الطبيعي المحدد أو القابل للتحديد الذي تتعلق به البيانات الشخصية.
  • “المستخدم النهائي” — زائر لموقع العميل الإلكتروني يتفاعل مع أداة Accsible.
  • “حادث أمني” — خرق أمني يؤدي إلى الإتلاف أو الفقدان أو التغيير أو الإفصاح غير المصرح به عن البيانات الشخصية، أو الوصول إليها، سواء كان ذلك عرضيًا أو غير مشروع.
  • “SCCs” — البنود التعاقدية القياسية المعتمدة من المفوضية الأوروبية (القرار 2021/914) أو اتفاقية نقل البيانات الدولية البريطانية (IDTA)، حسب الاقتضاء.

2. نطاق المعالجة وتفاصيلها

2.1 موضوع المعالجة

يوفّر Accsible أداة إمكانية وصول ومنصة SaaS. عندما يدمج العميل الأداة على موقعه الإلكتروني/مواقعه الإلكترونية، يعالج Accsible بعض البيانات الشخصية من المستخدمين النهائيين نيابةً عن العميل.

2.2 المدة

تبدأ المعالجة عندما يفعّل العميل الأداة وتستمر طوال مدة الاتفاقية الرئيسية. وعند الإنهاء، تنطبق المادة 11 من اتفاقية معالجة البيانات هذه.

2.3 طبيعة المعالجة والغرض منها

الجانب التفصيل
الغرض تقديم وتشغيل أداة إمكانية الوصول؛ وتوفير تحليلات الاستخدام ودرجات إمكانية الوصول للعميل عبر لوحة التحكم؛ ومعالجة الملاحظات المقدمة من المستخدمين النهائيين.
طبيعة المعالجة جمع البيانات الشخصية وتخزينها وتجميعها وتحليلها وحذفها بالقدر اللازم لتقديم الخدمة.

2.4 أنواع البيانات الشخصية

  • عناوين IP (مجهولة الهوية لأغراض التحليلات؛ وعنوان IP الكامل في سجلات الأمان لمدة تصل إلى 90 days)
  • نوع المتصفح وإصداره وسلسلة وكيل المستخدم
  • نوع الجهاز ونظام التشغيل
  • الصفحات التي تمت زيارتها والطوابع الزمنية على موقع العميل الإلكتروني
  • تفضيلات إمكانية الوصول التي يحددها المستخدمون النهائيون (تُخزَّن محليًا على جهاز المستخدم النهائي؛ ولا تُنقل إلا إذا تم تقديم ملاحظات)
  • تقديمات الملاحظات (الاسم و/أو البريد الإلكتروني إذا قُدِّم طوعًا من المستخدم النهائي)
  • مقاييس مجمعة لمرات مشاهدة الصفحات

2.5 فئات أصحاب البيانات

  • المستخدمون النهائيون — زوار موقع/مواقع العميل الإلكتروني الذين يتفاعلون مع أداة Accsible
  • موظفو العميل — الأفراد الذين يصلون إلى لوحة تحكم Accsible نيابةً عن العميل

3. التزامات العميل (المتحكم)

يلتزم العميل بما يلي:

  • التأكد من وجود أساس قانوني لديه لمعالجة البيانات الشخصية ولتوجيه Accsible بمعالجتها.
  • تقديم جميع الإشعارات المطلوبة والحصول على جميع الموافقات اللازمة من أصحاب البيانات وفقًا لقوانين حماية البيانات، بما في ذلك إبلاغ المستخدمين النهائيين باستخدام أداة Accsible في سياسة الخصوصية الخاصة بالعميل.
  • التأكد من أن تعليماته إلى Accsible تمتثل لقوانين حماية البيانات.
  • إخطار Accsible على الفور بأي تغييرات في قوانين حماية البيانات المعمول بها قد تؤثر في التزامات Accsible المتعلقة بالمعالجة.

4. التزامات Accsible (المعالج)

يلتزم Accsible بما يلي:

  • معالجة البيانات الشخصية فقط بناءً على تعليمات موثقة من العميل (بما في ذلك التعليمات الواردة في اتفاقية معالجة البيانات هذه والاتفاقية الرئيسية)، ما لم يكن ذلك مطلوبًا بموجب القانون المعمول به — وفي هذه الحالة يُخطر Accsible العميل قبل المعالجة، ما لم يكن محظورًا قانونًا من القيام بذلك.
  • التأكد من أن الأشخاص المصرح لهم بمعالجة البيانات الشخصية قد التزموا بالسرية أو يخضعون لالتزام قانوني مناسب بالسرية.
  • تنفيذ وصيانة التدابير الأمنية التقنية والتنظيمية الموضحة في المادة 5.
  • الامتثال للشروط الخاصة بإشراك المعالجين الفرعيين المنصوص عليها في المادة 6.
  • مساعدة العميل، من خلال التدابير التقنية والتنظيمية المناسبة، في الوفاء بالتزامه بالرد على طلبات أصحاب البيانات (المادة 7).
  • مساعدة العميل في ضمان الامتثال لالتزاماته بموجب المواد 32–36 من اللائحة العامة لحماية البيانات (الأمن، والإخطار بالخرق، وتقييمات الأثر، والتشاور المسبق)، مع مراعاة طبيعة المعالجة والمعلومات المتاحة لدى Accsible.
  • وفقًا لاختيار العميل، حذف جميع البيانات الشخصية أو إعادتها عند إنهاء الاتفاقية الرئيسية (المادة 11).
  • إتاحة جميع المعلومات اللازمة للعميل لإثبات الامتثال للالتزامات المنصوص عليها في المادة 28 من اللائحة العامة لحماية البيانات، والسماح بعمليات التدقيق والتفتيش والمساهمة فيها (المادة 10).
  • إبلاغ العميل فورًا إذا كان، في رأي Accsible، أي توجيه من العميل ينتهك قوانين حماية البيانات.

5. التدابير الأمنية

يطبق Accsible ويحافظ على التدابير التقنية والتنظيمية التالية لحماية البيانات الشخصية من المعالجة غير المصرح بها أو غير المشروعة، أو الفقدان العرضي، أو الإتلاف، أو التلف:

5.1 التدابير التقنية

  • التشفير أثناء النقل باستخدام TLS/HTTPS لجميع الاتصالات، بما في ذلك تسليم CDN، والاتصال عبر API، والوصول إلى لوحة التحكم.
  • تجزئة كلمات المرور باستخدام خوارزميات تشفير أحادية الاتجاه مع ملح.
  • رؤوس سياسة أمان المحتوى (CSP) للتخفيف من هجمات البرمجة النصية عبر المواقع وهجمات الحقن.
  • الحماية من DDoS عبر Cloudflare.
  • مراقبة الأخطاء (Sentry) مهيأة لإخفاء جميع النصوص وحظر جميع الوسائط في عمليات إعادة تشغيل الجلسات.
  • إخفاء هوية عنوان IP في معالجة التحليلات.
  • تخزين تفضيلات إمكانية الوصول الخاصة بالمستخدم النهائي في التخزين المحلي للمتصفح (على مستوى الجهاز فقط؛ ولا تُنقل إلى الخوادم إلا إذا تم تقديم ملاحظات).

5.2 التدابير التنظيمية

  • ضوابط وصول قائمة على الأدوار؛ ويقتصر الوصول إلى البيانات الشخصية على الموظفين الذين يحتاجون إليها لأداء مهامهم.
  • التزامات بالسرية لجميع الموظفين والمتعاقدين الذين لديهم وصول إلى البيانات الشخصية.
  • تقييمات أمنية منتظمة ومراقبة للبنية التحتية.
  • إجراءات الاستجابة للحوادث كما هو موضح في المادة 8.
  • سياسات الاحتفاظ التي تضمن عدم الاحتفاظ بالبيانات الشخصية لفترة أطول من اللازم (انظر المادة 9).

6. المعالجون الفرعيون

6.1 التفويض العام

يمنح العميل Accsible تفويضًا كتابيًا عامًا لإشراك معالجين فرعيين لتنفيذ أنشطة معالجة محددة نيابةً عن العميل. يفرض Accsible التزامات حماية بيانات لا تقل حمايةً عن تلك الواردة في اتفاقية معالجة البيانات هذه على كل معالج فرعي بموجب عقد مكتوب.

6.2 المعالجون الفرعيون الحاليون

المعالجون الفرعيون التاليون مشاركون اعتبارًا من تاريخ اتفاقية معالجة البيانات هذه:

المعالج الفرعي الغرض الموقع
Cloudflare, Inc. CDN، والحماية من DDoS، وتسليم المحتوى للأداة وAPI Global (headquartered in USA); EU/UK data processing under SCCs
Functional Software, Inc. (Sentry) مراقبة الأخطاء وتشخيص الأداء USA; processing under SCCs
Google LLC (Google Analytics) تحليلات مجمعة لحركة مرور الموقع الإلكتروني (بناءً على الموافقة فقط) USA; processing under SCCs and EU-US Data Privacy Framework
Stripe, Inc. معالجة المدفوعات وإدارة الاشتراكات USA; PCI DSS Level 1 certified; processing under SCCs

6.3 التغييرات على المعالجين الفرعيين

يُخطر Accsible العميل عبر البريد الإلكتروني قبل 30 days على الأقل من إضافة معالج فرعي أو استبداله. ويجب أن يتضمن الإخطار اسم المعالج الفرعي، والمعالجة التي سيجريها، وموقعه.

إذا كان لدى العميل اعتراض معقول على معالج فرعي جديد لأسباب تتعلق بحماية البيانات، فيجب على العميل إخطار Accsible كتابيًا خلال 14 days من استلام الإخطار. وتناقش الأطراف هذا القلق بحسن نية. وإذا لم يتمكن الطرفان من حل الاعتراض خلال 30 days، يجوز للعميل إنهاء الخدمة المتأثرة بإشعار كتابي، ويجب على Accsible رد أي رسوم مدفوعة مسبقًا عن الجزء غير المستخدم من مدة الاشتراك.

7. حقوق صاحب البيانات

يلتزم Accsible، مع مراعاة طبيعة المعالجة، بمساعدة العميل من خلال التدابير التقنية والتنظيمية المناسبة للوفاء بالتزاماته بالرد على طلبات أصحاب البيانات الذين يمارسون حقوقهم بموجب قوانين حماية البيانات، بما في ذلك:

  • حق الوصول
  • حق التصحيح
  • حق المحو (“الحق في النسيان”)
  • حق تقييد المعالجة
  • حق نقل البيانات
  • حق الاعتراض

إذا تلقى Accsible طلبًا مباشرةً من صاحب بيانات يتعلق ببيانات العميل، فيجب على Accsible توجيه صاحب البيانات على الفور إلى العميل وإخطار العميل بالطلب، ما لم يكن محظورًا قانونًا من القيام بذلك. ولا يجوز لـ Accsible الرد على مثل هذه الطلبات مباشرةً إلا إذا وجّه العميل بذلك أو كان ذلك مطلوبًا بموجب القانون.

8. إخطار الحوادث الأمنية

8.1 الإخطار

يُخطر Accsible العميل بأي حادث أمني مؤكد دون تأخير غير مبرر وفي جميع الأحوال خلال 48 hours من علمه به. ويُرسل الإخطار إلى عنوان البريد الإلكتروني المرتبط بحساب العميل (أو عنوان بديل يحدده العميل لهذا الغرض).

8.2 محتوى الإخطار

يتضمن الإخطار، إلى الحد المتاح في ذلك الوقت:

  • وصفًا لطبيعة الحادث الأمني، بما في ذلك الفئات والعدد التقريبي لأصحاب البيانات والسجلات المعنية.
  • اسم وتفاصيل الاتصال بنقطة الاتصال لدى Accsible.
  • وصفًا للعواقب المحتملة للحادث.
  • وصفًا للتدابير المتخذة أو المقترحة لمعالجة الحادث، بما في ذلك التدابير للتخفيف من آثاره.

8.3 الالتزامات المستمرة

يقدّم Accsible مزيدًا من المعلومات كلما أصبحت متاحة، ويتعاون مع الطلبات المعقولة للعميل للتحقيق في الحادث الأمني ومعالجته والتخفيف من آثاره. كما يساعد Accsible العميل في الوفاء بالتزاماته الخاصة بالإخطار بالخرق للسلطات الإشرافية وأصحاب البيانات بموجب المادتين 33 و34 من اللائحة العامة لحماية البيانات.

8.4 حفظ السجلات

يحتفظ Accsible بسجل لجميع الحوادث الأمنية، بما في ذلك الوقائع المحيطة بالحادث، وآثاره، والإجراء التصحيحي المتخذ.

9. الاحتفاظ بالبيانات

يحتفظ Accsible بالبيانات الشخصية المعالجة بموجب اتفاقية معالجة البيانات هذه على النحو التالي:

  • سجلات الأمان (عناوين IP الكاملة): حتى 90 days، ثم تُحذف نهائيًا.
  • بيانات التحليلات المجمعة: تُجهَّل هويتها على أساس شهري؛ ولا تُحتفظ ببيانات الجلسة الفردية.
  • تقديمات ملاحظات المستخدم النهائي: تُحتفظ طوال مدة الاتفاقية الرئيسية؛ وتُحذف خلال 30 days من الإنهاء.
  • بيانات مراقبة الأخطاء (Sentry): حتى 90 days.
  • مقاييس استخدام الأداة: مجمعة ومجهولة الهوية؛ ولا تُحتفظ بأي بيانات على مستوى الفرد بعد المعالجة.

لا يحتفظ Accsible بالبيانات الشخصية لفترة أطول من اللازم لأغراض تقديم الخدمة أو كما يقتضيه القانون المعمول به.

10. عمليات التدقيق والامتثال

10.1 المعلومات

يتيح Accsible للعميل، عند الطلب المعقول، جميع المعلومات اللازمة بشكل معقول لإثبات الامتثال لالتزاماته بموجب اتفاقية معالجة البيانات هذه والمادة 28 من اللائحة العامة لحماية البيانات.

10.2 حقوق التدقيق

يجوز للعميل (أو مدقق مستقل من طرف ثالث يعينه العميل) إجراء تدقيق لأنشطة المعالجة والتدابير الأمنية لدى Accsible، مع مراعاة الشروط التالية:

  • يقدم العميل إشعارًا كتابيًا قبل 30 days’ على الأقل بطلب التدقيق.
  • تُجرى عمليات التدقيق خلال ساعات العمل العادية (Monday–Friday, 09:00–18:00 GMT) ولا تعطل عمليات Accsible بشكل غير معقول.
  • يجوز للعميل إجراء ما لا يزيد عن one audit per 12-month period، ما لم يكن ذلك مطلوبًا من سلطة إشرافية أو عقب حادث أمني مؤكد.
  • يلتزم المدقق بالتزامات سرية لا تقل حمايةً عن تلك الواردة في الاتفاقية الرئيسية.
  • يجوز لـ Accsible تلبية طلب التدقيق من خلال تقديم تقرير SOC 2 Type II حالي، أو شهادة ISO 27001، أو شهادة مستقلة مكافئة، إذا كانت متاحة.

10.3 التعاون

يتعاون Accsible مع العميل وأي سلطة إشرافية تتطلب الوصول إلى مرافق Accsible أو سجلاته فيما يتعلق باتفاقية معالجة البيانات هذه.

11. إعادة البيانات وحذفها

عند إنهاء الاتفاقية الرئيسية أو انتهاء مدتها، يجوز للعميل أن يطلب، خلال 30 days، أن يقوم Accsible بما يلي:

  • إعادة جميع البيانات الشخصية بصيغة منظمة ومستخدمة على نطاق واسع وقابلة للقراءة آليًا؛ أو
  • حذف جميع البيانات الشخصية وتأكيد الحذف كتابيًا.

إذا لم يقدم العميل طلبًا خلال 30 days من الإنهاء، يحذف Accsible جميع البيانات الشخصية نهائيًا، باستثناء الحد الذي يقتضي فيه القانون المعمول به الاحتفاظ بها (مثل سجلات الفوترة للامتثال الضريبي). وعندما يكون الاحتفاظ مطلوبًا قانونًا، يعزل Accsible البيانات ويحميها ويقصر المعالجة على الغرض الذي يفرضه القانون.

12. التحويلات الدولية

يقع مقر Accsible في المملكة المتحدة. وعندما تُنقل البيانات الشخصية إلى معالجين فرعيين موجودين خارج UK أو EEA، يضمن Accsible وجود ضمانات مناسبة، بما في ذلك:

  • UK International Data Transfer Agreement (IDTA) أو الملحق البريطاني لـ SCCs
  • EU Standard Contractual Clauses (SCCs) — Commission Decision 2021/914
  • قرارات الملاءمة الصادرة عن وزير الدولة البريطاني أو المفوضية الأوروبية
  • حيثما ينطبق، تدابير تكميلية إضافية كما أوصى بها ICO أو EDPB

تُتاح نسخة من آلية النقل ذات الصلة للعميل عند الطلب الكتابي.

13. المسؤولية

تخضع مسؤولية كل طرف بموجب اتفاقية معالجة البيانات هذه لقيود واستثناءات المسؤولية المنصوص عليها في الاتفاقية الرئيسية (شروط الاستخدام)، باستثناء أن أياً من الطرفين لا يستثني أو يحد من المسؤولية عن انتهاكات قوانين حماية البيانات إلى الحد الذي لا يسمح فيه القانون المعمول به بهذا الاستثناء أو التقييد.

14. المدة والأولوية

14.1 المدة

تسري اتفاقية معالجة البيانات هذه من تاريخ دمج العميل لأول مرة لأداة Accsible وتظل نافذة طوال مدة الاتفاقية الرئيسية، وبعد ذلك إلى أن يتم حذف جميع البيانات الشخصية أو إعادتها وفقًا للمادة 11.

14.2 الأولوية

في حال وجود أي تعارض بين اتفاقية معالجة البيانات هذه والاتفاقية الرئيسية، تسود اتفاقية معالجة البيانات هذه فيما يتعلق بمعالجة البيانات الشخصية وحمايتها.

14.3 التعديلات

يجوز لـ Accsible تحديث اتفاقية معالجة البيانات هذه لتعكس التغييرات في قوانين حماية البيانات أو أنشطة المعالجة. وسيتم إخطار العميل بالتغييرات الجوهرية قبل 30 days على الأقل عبر البريد الإلكتروني. ويُعد الاستمرار في استخدام الخدمة بعد تاريخ سريان التغييرات قبولًا بها.

15. الاتصال

للاستفسارات أو الطلبات المتعلقة باتفاقية معالجة البيانات هذه، اتصل بنا على:

  • جهة اتصال حماية البيانات: [email protected]
  • الحوادث الأمنية: [email protected]
  • المكتب المسجل: Denizcom Ltd, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom
  • تسجيل ICO: ZC114350