اتفاقية معالجة البيانات (DPA)
الحالة: يونيو 2026
معلومات حول الإدراج في العقود
يرجى الملاحظة: تُشكّل اتفاقية معالجة البيانات هذه (“DPA”) جزءًا لا يتجزأ من العقد الرئيسي (مثل اتفاقية البرمجيات كخدمة، أو شروط الخدمة، أو الطلب الفردي) المُبرم بين شركة syniotec GmbH (ويُشار إليها فيما يلي بـ”المعالج”) والعميل المتعاقد المعني (ويُشار إليه فيما يلي بـ”المتحكّم”).
بإبرام العقد الرئيسي أو باستخدام خدماتنا للبرمجيات والقياس عن بُعد، تُدرج هذه الاتفاقية (DPA) قانونيًا بالإحالة. ولا يلزم توقيع منفصل. وتُستمد التفاصيل المحددة المتعلقة بهوية المتحكّم وبيانات الاتصال المحددة من العقد الرئيسي المعني.
الديباجة
يقدّم المعالج خدمات للمتحكّم على أساس تعاقدي في مجالات توفير البرمجيات وتخصيصها وصيانتها أو خدمات مماثلة. وحيثما يتم الاتفاق مع المتحكّم، يقدّم المعالج أيضًا خدمات في مجال معالجة البيانات وتحليلها بالارتباط مع أنظمة القياس عن بُعد التي يوزّعها المعالج، والتي تكون مدمجة في آلات البناء أو المعدات أو المركبات والمنشآت الأخرى التي يستخدمها المتحكّم.
يتضمن تنفيذ العقد المعني معالجة بيانات شخصية من قبل المعالج بصفته معالج بيانات بالمعنى المقصود في المادة 4(8) من اللائحة العامة لحماية البيانات (GDPR) لصالح المتحكّم بصفته متحكّمًا بالبيانات بالمعنى المقصود في المادة 4(7) من اللائحة العامة لحماية البيانات (GDPR). وعلى وجه الخصوص، تحدد المادة 28 من اللائحة العامة لحماية البيانات (GDPR) متطلبات محددة لمثل هذه المعالجة، ولضمان الامتثال لها تم إبرام هذه الاتفاقية.
1. نطاق التطبيق
1.1 تسري الأحكام التالية على جميع خدمات معالجة البيانات بالمعنى المقصود في المادة 28 من اللائحة العامة لحماية البيانات (GDPR) التي يقدّمها المعالج للمتحكّم.
1.2 تحدد اتفاقية معالجة البيانات هذه (DPA) التزامات حماية البيانات للأطراف المتعاقدة الناشئة عن الاتفاقية الأساسية (ويُشار إليها فيما يلي بـ”العقد الرئيسي”).
1.3 حيثما يُستخدم مصطلح “معالجة البيانات” أو “المعالجة” في هذه الاتفاقية، فإنه يعني عمومًا استخدام البيانات الشخصية وفقًا للمادة 4(2) من اللائحة العامة لحماية البيانات (GDPR). ويشمل استخدام البيانات الشخصية، على وجه الخصوص، جمع البيانات وتخزينها ونقلها وحجبها ومحوها وإخفاء هويتها وإضفاء اسم مستعار عليها وتشفيرها أو أي استخدام آخر للبيانات. وتُحال الإشارة إلى التعريفات الإضافية الواردة في المادة 4 من اللائحة العامة لحماية البيانات (GDPR).
2. موضوع المعالجة ومدتها
2.1 يعالج المعالج البيانات الشخصية بالارتباط مع العقد الرئيسي فقط نيابةً عن المتحكّم ووفقًا لتعليماته.
2.2 يتمثل موضوع الطلب في توفير برمجيات لتخطيط المعدات المستخدمة من قبل المتحكّم وتتبعها ونقلها وإصدار فواتيرها، مثل آلات البناء، وفقًا للعقد الرئيسي. وحيثما يتم التكليف بذلك، يشمل موضوع الطلب أيضًا جمع بيانات القياس عن بُعد ونقلها بواسطة وحدات القياس عن بُعد الخاصة بالمعالج، وكذلك إعداد هذه البيانات ومعالجتها نيابةً عن المتحكّم.
2.3 تتوافق مدة هذه الاتفاقية مع مدة العقد الرئيسي.
3. نطاق وطبيعة وغرض جمع البيانات أو معالجتها أو استخدامها
3.1 يرد نطاق وطبيعة وغرض جمع البيانات الشخصية ومعالجتها و/أو استخدامها من قبل المعالج في العقد الرئيسي. ويشمل ذلك، من بين أمور أخرى، الأنشطة والأغراض التالية لحلول البرمجيات “Ram” و”SAM” (ويُشار إليها فيما يلي بـ”البرمجيات”) التي يستخدمها المتحكّم (رهناً بالتكليف الفردي حيثما ينطبق):
- 3.1.1 توفير البرمجيات عبر وصول عن بُعد قائم على السحابة (SaaS).
- 3.1.2 تقديم الاستشارات بشأن نشر البرمجيات.
- 3.1.3 تنفيذ التعديلات والتوسعات على البرمجيات وفقًا لمواصفات المتحكّم.
- 3.1.4 ترحيل البيانات الأولي من أنظمة الأطراف الثالثة الخاصة بالمتحكّم.
- 3.1.5 تنفيذ جلسات تدريبية.
- 3.1.6 صيانة البرمجيات وإدارتها.
- 3.1.7 استخدام البيانات الشخصية لموظفي المتحكّم أو المستخدمين الآخرين المخزنة في البرمجيات وفقًا لـ”سياسة خصوصية القياس عن بُعد” المنفصلة، والتي تكون متاحة من المعالج في أي وقت عند الطلب.
- 3.1.8 جمع البيانات التي تُنشئها وحدات القياس عن بُعد الخاصة بالمعالج والمنشورة في موقع المتحكّم ونقلها ومعالجتها، وفقًا لـ”سياسة خصوصية القياس عن بُعد” المنفصلة، والتي تكون متاحة من المعالج في أي وقت عند الطلب.
4. فئات أصحاب البيانات
4.1 تشمل فئات أصحاب البيانات المتأثرين بالتعامل مع البيانات الشخصية في إطار العقد الأساسي ما يلي:
- 4.1.1 المورّدون / المقاولون من الباطن / مقدمو الخدمات / شركاء التعاون للمتحكّم.
- 4.1.2 مستخدمو النظام.
- 4.1.3 موظفو المتحكّم أو أشخاص آخرون يتصرفون لصالح المتحكّم أو نيابةً عنه ويستخدمون الآلات والمعدات المُدارة عبر البرمجيات.
- 4.1.4 موظفو المتحكّم أو أشخاص آخرون يتصرفون لصالح المتحكّم أو نيابةً عنه، والذين تُدخل بياناتهم الشخصية في البرمجيات بواسطة المتحكّم.
5. أنواع البيانات الشخصية
5.1 اعتمادًا على نطاق الاستخدام والمدخلات التي يجريها المتحكّم، قد تخضع البيانات/فئات البيانات التالية عمومًا للمعالجة:
- 5.1.1 البيانات الأساسية/بيانات الاتصال للموظفين/مستخدمي الآلات والمعدات: الاسم، تاريخ الميلاد، الجنسية، جهة اتصال للطوارئ (الاسم، الاسم الأول، رقم الهاتف)، عنوان العمل، البريد الإلكتروني/الهاتف الخاص بالعمل، المنصب الوظيفي، مركبة الموظف، المؤهلات المتعلقة بموقع البناء، الشهادات، رخص القيادة، الصور (انظر “سياسة خصوصية القياس عن بُعد” المنفصلة).
- 5.1.2 البيانات التعاقدية
- 5.1.3 بيانات القياس عن بُعد للآلات والمعدات (انظر “سياسة خصوصية القياس عن بُعد” المنفصلة).
- 5.1.4 بيانات الموقع/التتبع للآلات والمعدات (انظر “سياسة خصوصية القياس عن بُعد” المنفصلة).
6. حقوق والتزامات المتحكّم
6.1 يتحمل المتحكّم وحده مسؤولية تقييم مشروعية جمع البيانات ومعالجتها واستخدامها، وكذلك حماية حقوق أصحاب البيانات، وبالتالي فهو “المتحكّم” بالمعنى المقصود في المادة 4(7) من اللائحة العامة لحماية البيانات (GDPR).
6.2 يحق للمتحكّم إصدار تعليمات بشأن طبيعة ونطاق وإجراءات معالجة البيانات. ويمكن إصدار التعليمات وإرسالها من قبل المتحكّم كتابيًا أو بصيغة إلكترونية (صيغة نصية). ويجب تأكيد التعليمات الشفوية كتابيًا أو بصيغة نصية دون تأخير.
6.3 Soweit es der Controller für erforderlich hält, können weisungsberechtigte Personen benannt werden. يجب إبلاغ المعالج بأي تغييرات على الأشخاص المخوّلين بصيغة نصية.
6.4 يجب على المتحكّم إبلاغ المعالج فورًا إذا تم اكتشاف أي أخطاء أو مخالفات بالارتباط مع معالجة البيانات الشخصية من قبل المعالج.
6.5 وفقًا لأحكام القسم 8، يحق للمتحكّم التحقق من الامتثال للتدابير التقنية والتنظيمية التي اتخذها المعالج قبل بدء معالجة البيانات وبشكل منتظم بعد ذلك. ويتحمل المتحكّم أي تكاليف تنشأ بسبب التدقيق.
7. التزامات المعالج
7.1 معالجة البيانات
- 7.1.1 يلتزم المعالج بمعالجة البيانات الشخصية حصريًا ضمن إطار الاتفاقيات المبرمة ووفقًا لتعليمات المتحكّم. ويُحظر أي معالجة للبيانات تنحرف عن ذلك.
- 7.1.2 لا يجوز إنشاء نسخ أو صور مكررة إلا إذا كان ذلك مطلوبًا بموجب القانون أو العقد الرئيسي.
7.2 المساعدة في الطلبات/الاستفسارات
- 7.2.1 مع مراعاة طبيعة المعالجة، يساعد المعالج المتحكّم قدر الإمكان من خلال تدابير تقنية وتنظيمية مناسبة في الوفاء بالتزام المتحكّم بالاستجابة لطلبات ممارسة حقوق أصحاب البيانات المنصوص عليها في الفصل الثالث من اللائحة العامة لحماية البيانات (GDPR).
7.3 التصحيح والمحو وتقييد المعالجة
- 7.3.1 يقوم المعالج بتصحيح البيانات الشخصية أو محوها أو تقييد معالجتها بناءً على تعليمات المتحكّم.
- 7.3.2 إذا تواصل صاحب البيانات مع المعالج مباشرةً، فعلى المعالج إحالة هذا الطلب إلى المتحكّم دون تأخير.
7.4 التزامات التدقيق
- 7.4.1 يتعهد المعالج بضمان، من خلال عمليات تحقق مناسبة، أن تتم المعالجة حصريًا وفقًا لهذه الاتفاقية والتعليمات.
- 7.4.2 يؤكد المعالج أنه عيّن مسؤول حماية بيانات حيثما كان ذلك مطلوبًا قانونًا.
7.5 التزامات الإبلاغ
- 7.5.1 يُخطر المعالج المتحكّم فورًا إذا رأى أن تعليمات صادرة عن المتحكّم تنتهك أحكامًا قانونية. ويحق للمعالج تعليق تنفيذ التعليمات المعنية إلى حين تأكيدها أو تعديلها من قبل الشخص المسؤول لدى المتحكّم.
7.5.2 يلتزم المعالج بإخطار المتحكّم فورًا بأي خرق للوائح حماية البيانات، أو للاتفاقيات التعاقدية المبرمة، و/أو للتعليمات الصادرة عن المتحكّم، والذي وقع أثناء معالجة البيانات من قبل المعالج أو أشخاص آخرين موكلين بالمعالجة.
- 7.5.3 يساعد المعالج المتحكّم في ضمان الامتثال للالتزامات بموجب المواد 32 إلى 36 من اللائحة العامة لحماية البيانات (GDPR)، ولا سيما في ضمان مستوى حماية كافٍ، وفي نطاق التزاماته بالإبلاغ تجاه أصحاب البيانات، وفي حال إجراء تقييم محتمل لأثر حماية البيانات، وضمن إطار المشاورات المسبقة مع السلطات الرقابية.
7.6 مكان معالجة البيانات
- 7.6.1 تتم عملية جمع بيانات المتحكّم ومعالجتها واستخدامها داخل ألمانيا أو دولة عضو أخرى في الاتحاد الأوروبي أو دولة متعاقدة في المنطقة الاقتصادية الأوروبية. ويتطلب أي نقل إلى دولة ثالثة موافقة مسبقة من المتحكّم، ولا يجوز أن يتم إلا إذا استوفيت متطلبات المادة 44 وما يليها من اللائحة العامة لحماية البيانات (GDPR).
7.7 المحو عند الإنهاء
- 7.7.1 عند إنهاء العقد، يلتزم المعالج بإعادة جميع البيانات الشخصية التي بحوزته إلى المتحكّم أو محوها بطريقة متوافقة وآمنة وفقًا لتعليمات المتحكّم.
8. عمليات تدقيق حماية البيانات
8.1 يمنح المعالج المتحكّم الحق في التحقق من الامتثال للوائح حماية البيانات والاتفاقيات التعاقدية بالقدر اللازم خلال ساعات العمل المعتادة. ولا يجوز للمتحكّم تعطيل العمليات التشغيلية للمعالج أثناء ذلك. ويجوز للمعالج أن يجعل التفتيش مشروطًا بإشعار مسبق بمهلة معقولة وبالتوقيع على اتفاقية سرية تتعلق ببيانات عملاء آخرين. وإذا كان المدقق الذي يعيّنه المتحكّم في علاقة تنافسية مع المعالج أو إذا وُجدت أسباب وجيهة أخرى ضد التفتيش من قبل المدقق المحدد، فللمعالج حق الاعتراض عليه.
8.2 يساعد المعالج المتحكّم في إجراء عمليات التدقيق ويتعاون في معالجة كاملة وسريعة. وتتحمل الجهة المتحكّمة أي تكاليف تنشأ بسبب التدقيق حيثما ينطبق ذلك.
8.3 بناءً على طلب خطي، يلتزم المعالج بتزويد المتحكّم بالمعلومات خلال فترة معقولة، بقدر ما يكون ذلك ضروريًا لإجراء التدقيق.
8.4 يجب على المعالج تحمل أي تدابير تدقيق تتخذها سلطة الرقابة على حماية البيانات، وأن يُبلغ المتحكّم فورًا بمجرد علمه بتنفيذ تدبير التدقيق.
8.5 بقدر ما يخضع المتحكّم لتدقيق من قبل السلطة الرقابية، يدعم المعالج المتحكّم بأفضل ما لديه من قدرات.
9. علاقات التعاقد من الباطن
9.1 يُسمح بإشراك متعاقدين من الباطن كمعالجين إضافيين وفقًا لأحكام هذا القسم 9. ويبرم المعالج اتفاقيات مع هذه الأطراف الثالثة بالقدر اللازم لضمان تدابير مناسبة لحماية البيانات وأمن المعلومات. ويشرك المعالج حاليًا المتعاقدين من الباطن المحددين في الملحق 1 لهذه الاتفاقية.
9.2 قبل إشراك المتعاقدين من الباطن أو استبدالهم، يلتزم المعالج بإبلاغ المتحكّم بذلك كتابيًا. ولهذا الغرض، يزوّد المعالج المتحكّم باسم المتعاقد من الباطن وعنوانه وكذلك الخدمة الموكلة إليه. ويحق للمتحكّم الاعتراض على إشراك أو استبدال متعاقدين من الباطن أفراد خلال أربعة عشر يومًا من استلام المعلومات. ويجب أن يكون الاعتراض مبررًا موضوعيًا. وإذا لم يُقدَّم اعتراض خلال هذه الفترة، يُعد إشراك المتعاقد من الباطن أو استبداله موافَقًا عليه من قبل المتحكّم. وإذا لم يمتثل المعالج لاعتراض المتحكّم المقدم في الوقت المناسب والمبرر، يحدد المتحكّم للمعالج مهلة معقولة لا تقل عن أربعة عشر يومًا للامتثال للاعتراض. وإذا انقضت هذه المهلة دون جدوى، يحق للمتحكّم حظر التعاقد من الباطن بموجب تعليمات. وإذا لم يُحظر إشراك المتعاقد من الباطن غير المعتمد رغم هذه التعليمات الصادرة عن المتحكّم، يحق للمتحكّم إنهاء هذه الاتفاقية لسبب وجيه.
9.3 لا يتطلب إشراك المتعاقدين من الباطن، حيث يقتصر دور المتعاقد من الباطن على استخدام خدمة مساندة لدعم تقديم الخدمات بموجب العقد الرئيسي، موافقةً، حتى وإن تعذر استبعاد الوصول إلى بيانات المتحكّم أثناء ذلك. ويشمل ذلك، على وجه الخصوص، خدمات النقل من خدمات البريد أو شركات التوصيل وكذلك خدمات نقل الأموال، وخدمات الاتصالات، وخدمات الأمن، وخدمات التنظيف، ولكن لا يشمل خدمات التدقيق والصيانة.
9.4 يجب أن يتضمن اتفاق التعاقد من الباطن مستوى حماية كافيًا مماثلًا لمستوى هذا العقد. ويجب منح المتحكّم حقوق تدقيق خاصة به في اتفاق التعاقد من الباطن تجاه المتعاقد من الباطن، مماثلة للقسم 8 من هذه الاتفاقية.
9.5 يراجع المعالج بانتظام امتثال المتعاقد من الباطن لالتزاماته. وعلى وجه الخصوص، يجب على المعالج التحقق مسبقًا وبانتظام خلال مدة العقد من أن المتعاقد من الباطن قد اتخذ التدابير المطلوبة بموجب المادة 32 من اللائحة العامة لحماية البيانات (GDPR) لحماية أمن البيانات الشخصية.
9.6 يجب أن يتم التزام المتعاقد من الباطن كتابيًا. ويجب إرسال الالتزام الخطي إلى المتحكّم عند الطلب.
10. سرية البيانات / السرية
10.1 يلتزم المعالج بالحفاظ على سرية البيانات عند معالجة البيانات لصالح المتحكّم. ويؤكد المعالج أنه على علم بلوائح حماية البيانات المعمول بها ومطلع على تطبيقها.
10.2 يتعهد المعالج بتكليف موظفين فقط لتنفيذ الطلب ممن تم إلزامهم بسرية البيانات وتم تعريفهم بشكل مناسب بمتطلبات حماية البيانات. ويجوز للمعالج وأي شخص تابع له لديه وصول إلى البيانات الشخصية معالجة هذه البيانات حصريًا وفقًا لتعليمات المتحكّم، بما في ذلك الصلاحيات الممنوحة في هذا العقد، ما لم يكونوا ملزمين قانونًا بمعالجة البيانات.
11. التدابير التقنية والتنظيمية، التزام الإبلاغ
11.1 تُعتمد التدابير التقنية والتنظيمية الموضحة في الملحق 2 لهذا المرفق على أنها ملزمة. وهي تدابير أمن بيانات مصممة لضمان مستوى حماية مناسب للمخاطر فيما يتعلق بسرية الأنظمة وسلامتها وتوافرها ومرونتها.
11.2 يلتزم المعالج بمبادئ المعالجة السليمة للبيانات. ويضمن تدابير أمن البيانات المتفق عليها تعاقديًا والمقررة قانونًا ويتحقق منها بانتظام.
11.3 يجوز تكييف التدابير التقنية والتنظيمية مع التطورات التقنية والتنظيمية خلال العلاقة التعاقدية. وفي ذلك، يجب ألا يتم خفض مستوى الأمان للتدابير المعتمدة. ويجب توثيق التغييرات الجوهرية وإبلاغها إلى المتحكّم.
11.4 يُبلغ المعالج المتحكّم فورًا بأي أعطال، أو مخالفات من قبل المعالج أو الأشخاص العاملين لديه لأحكام حماية البيانات أو للشروط المنصوص عليها في هذه الاتفاقية، وكذلك أي اشتباه في انتهاكات حماية البيانات أو مخالفات في معالجة البيانات الشخصية. وينطبق ذلك قبل كل شيء فيما يتعلق بأي التزامات محتملة بالإبلاغ على المتحكّم بموجب المادتين 33 و34 من اللائحة العامة لحماية البيانات (GDPR). ويؤكد المعالج أنه سيدعم المتحكّم في التزاماته بموجب المادتين 33 و34 من اللائحة العامة لحماية البيانات (GDPR).
12. أحكام ختامية
12.1 في حال وجود تعارض بين أحكام هذه الاتفاقية ولوائح العقد والطلبات، تسود أحكام هذه الاتفاقية.
12.2 يجب أن تتم التعديلات والإضافات على هذه الاتفاقية كتابيًا وتتطلب بيانًا صريحًا بأن الأحكام الحالية قد تم تعديلها و/أو استكمالها بذلك. وينطبق ذلك أيضًا على التنازل عن شرط الشكل الكتابي هذا. وللاستيفاء بشرط الشكل الكتابي، يكفي تبادل التواقيع الممسوحة ضوئيًا أو التواقيع الرقمية مثل DocuSign أو ما شابه، لكن رسائل البريد الإلكتروني البسيطة أو رسائل تطبيقات المراسلة لا تكفي.
12.3 تخضع هذه الاتفاقية للقانون الألماني. ومكان الاختصاص القضائي لجميع النزاعات الناشئة عن هذه الاتفاقية أو المتعلقة بها هو بريمن.
12.4 إذا كان أي حكم من أحكام هذه الاتفاقية غير صالح أو أصبح غير قابل للتنفيذ، فلا يؤثر ذلك على الأحكام المتبقية من هذه الاتفاقية. ويُستبدل الحكم غير الصالح أو غير القابل للتنفيذ بحكم صالح وقابل للتنفيذ يقترب قدر الإمكان من الغرض من الحكم المراد استبداله.
الملحق 1 – المقاولون من الباطن
يشرك المعالج المتعاقدين من الباطن المدرجين أدناه بالمعنى المقصود في المادة 28 الفقرة 2 من اللائحة العامة لحماية البيانات (GDPR) لتنفيذ الخدمات المتفق عليها تعاقديًا وفقًا لهذه الاتفاقية.
يتم الإشراك حصريًا بالقدر اللازم لتنفيذ الخدمات.
ليس كل متعاقد من الباطن بالضرورة يعالج بيانات شخصية للمتحكّم. وتعتمد طبيعة المعالجة ونطاقها وغرضها في كل حالة على الوظيفة المحددة المستخدمة.
بقدر ما يتم إشراك متعاقدين من الباطن مقيمين خارج الاتحاد الأوروبي أو المنطقة الاقتصادية الأوروبية، فإن أي نقل للبيانات الشخصية يتم حصريًا امتثالًا لمتطلبات المواد 44 وما يليها من اللائحة العامة لحماية البيانات (GDPR)، ولا سيما من خلال إبرام بنود الاتحاد الأوروبي التعاقدية القياسية السارية في كل حالة، وكذلك من خلال تدابير تقنية وتنظيمية تكميلية.
1 خدمات الاستضافة والبنية التحتية
1.1 Amazon Web Services EMEA SARL / Amazon Web Services, Inc.
1.1.1 الخدمة: استضافة سحابية، بنية تحتية، تشغيل مراكز البيانات
1.1.2 الموقع: لوكسمبورغ / الولايات المتحدة الأمريكية
1.1.3 تتم معالجة البيانات الشخصية حصريًا في مراكز بيانات داخل الاتحاد الأوروبي، وتحديدًا في منطقة AWS فرانكفورت أم ماين، ألمانيا.
2 خدمات قواعد البيانات والمنصة
2.1 MongoDB, Inc.
2.1.1 الخدمة: استضافة قواعد البيانات وإدارتها عبر MongoDB Atlas
2.1.2 الموقع: الولايات المتحدة الأمريكية
2.1.3 تتم معالجة البيانات الشخصية في مناطق مراكز البيانات التي يختارها المعالج داخل الاتحاد الأوروبي.
الملحق 2 – التدابير التقنية والتنظيمية (TOMs)
اتخذ المعالج التدابير التقنية والتنظيمية التالية لضمان مستوى حماية للبيانات الشخصية المتأثرة يكون مناسبًا للمخاطر:
1 التحكم في الوصول المادي
تدابير مصممة لمنع الأشخاص غير المصرح لهم ماديًا من الوصول إلى أنظمة تكنولوجيا المعلومات ومرافق معالجة البيانات التي تُعالج بها البيانات الشخصية، وكذلك الملفات السرية ووسائط البيانات.
يتم ضمان التحكم في الوصول المادي من خلال أنظمة إقفال يدوية، وأقفال أمنية، ولوائح المفاتيح، وبطاقات الشرائح أو أنظمة إقفال بالترانسبوندر، وأنظمة إنذار وموظفي أمن، وعمليات تحقق شخصية عند الاستقبال، والالتزام بارتداء شارات الزوار، وتسجيل الزوار، وقيود الوصول البيومترية.
2 التحكم في الوصول إلى النظام
تدابير مصممة لمنع الأشخاص غير المصرح لهم من معالجة أو استخدام البيانات المحمية بموجب قانون حماية البيانات.
يتم ضمان التحكم في الوصول إلى النظام من خلال تنظيم حقوق المستخدمين، وتخصيص كلمات المرور، والتعريف والمصادقة باستخدام اسم المستخدم وكلمة المرور، ونشر برامج مكافحة الفيروسات القياسية، واستخدام جدران حماية للأجهزة والبرمجيات على أجهزة العملاء من شركات مصنعة معروفة، وإنشاء ملفات تعريف المستخدمين في أنظمة تكنولوجيا المعلومات، واستخدام تقنيات VPN القياسية، ومعرفات مستخدمين شخصية، وإنشاء سجل مستخدم رئيسي لكل مستخدم، وقفل محطات العمل في حال عدم النشاط عبر مهلة زمنية لرمز الأمان، وتشفير وسائط البيانات، وعزل الأنظمة الحساسة عبر مناطق شبكية منفصلة من خلال التقسيم المنطقي، وتسجيل محاولات تسجيل الدخول، وفلاتر مكافحة الفيروسات وبرامج التجسس المحدثة بانتظام، وتدريع خوادم العملاء داخل DMZ عبر عدة طبقات من جدران الحماية للأجهزة أو البرمجيات.
3 التحكم في الوصول إلى البيانات
تدابير مصممة لضمان أن الأشخاص المصرح لهم باستخدام إجراءات معالجة البيانات يمكنهم الوصول حصريًا إلى البيانات الشخصية الخاضعة لتفويض الوصول الخاص بهم، بحيث لا يمكن قراءة البيانات أو نسخها أو تعديلها أو إزالتها دون تصريح أثناء المعالجة والاستخدام والتخزين.
يتضمن وصف نظام التحكم في الوصول إلى البيانات تنظيم وإنشاء وتنفيذ مفاهيم التفويض، وتقييد عدد المسؤولين إلى الحد الضروري تمامًا، واستخدام آلات تمزيق المستندات أو شركات معروفة لإتلاف المستندات وكذلك الإتلاف السليم لوسائط البيانات وتسجيل هذا الإتلاف من قبل شركات معروفة، وإدارة الحقوق من قبل المسؤولين تقنيًا عن التطبيق، وسياسة كلمات مرور تتضمن مواصفات لطول كلمة المرور وتغييرها الدوري، وتسجيل محاولات الوصول وإساءة الاستخدام، وإدارة المستخدمين ومفاهيم الحقوق، وتفويضات وصول قائمة على PKI، وإجراءات التقييم والتسجيل، وإدارة وسائط البيانات، وتعيين التفويض على مستوى الأدوار والملفات التعريفية والمجموعات والحقول، وكذلك تكامل LDAP.
4 التحكم في الإرسال
تدابير مصممة لضمان عدم إمكانية قراءة البيانات الشخصية أو نسخها أو تعديلها أو إزالتها دون تصريح أثناء الإرسال الإلكتروني أو أثناء النقل أو التخزين على وسائط البيانات، وكذلك تدابير للتحقق من وتحديد المواقع التي يُقصد نقل البيانات الشخصية إليها.
يتضمن وصف التحكم في الإرسال تنظيم الإفصاح عبر إرشادات، وإنشاء خطوط مؤجرة مخصصة، وإنشاء أنفاق VPN باستخدام تقنية قياسية، وحاويات أو تغليف نقل آمن، والاختيار الدقيق لموظفي النقل، ونقل البيانات عبر حاويات مشفرة أو اتصالات نفقية، وإشراك مزودي خدمات التخلص لإتلاف المستندات بشكل احترافي، وعمليات نقل بمسؤولية فردية بحيث يكون هناك دائمًا جهة اتصال واضحة ويكون واضحًا تمامًا ما الذي يُفترض أن يحذفه المعالج أثناء إتلاف البيانات، وإجراءات تسجيل شاملة، وأنظمة جدران حماية، وتشفير HTTPS، وإمكانية الوصول عبر VPN ضمن شبكة شركة محمية، وإعداد استعلامات قاعدة البيانات داخل الخادم وإرجاع الطلبات أو نتائج البحث بصيغة معالجة مع حجم بيانات محدد لمنع حقن SQL.
5 التحكم في الإدخال
تدابير مصممة لضمان إمكانية التحقق لاحقًا وتحديد ما إذا كانت البيانات الشخصية قد أُدخلت أو عُدلت أو أُزيلت في أنظمة معالجة البيانات، ومن قام بذلك.
يتضمن وصف عملية التحكم في الإدخال تخصيص حقوق إدخال البيانات، وتعديل البيانات وحذفها بناءً على مفاهيم التفويض، وتسجيل النظام.
6 التحكم في التكليف
تدابير مصممة لضمان أنه، في علاقة معالجة بيانات بتكليف، تتم أي معالجة للبيانات الشخصية حصريًا ضمن إطار التعليمات والمواصفات الصادرة عن المتحكّم.
يشير وصف عملية التحكم في التكليف إلى أن التحكم في التكليف يتم ضمانه من خلال تقديم المعالج أدلة لمسؤول حماية البيانات لدى المتحكّم قبل بدء العمليات، ولاحقًا على أساس مرتبط بالحوادث، بما يمكّن المتحكّم من التحقق من الامتثال للتدابير التقنية والتنظيمية التي نفذها المعالج.
7 التحكم في التوافر
تدابير مصممة لضمان حماية البيانات الشخصية من التدمير أو الفقدان العرضي.
يتضمن وصف نظام التحكم في التوافر مزود طاقة غير منقطع، وتكييف غرف الخوادم ومراكز البيانات حيث يتم تزويد كل غرفة خوادم عبر تغذية طاقة خاصة بها من الشبكة العامة، وأنظمة إنذار الحريق والدخان، وطفايات الحريق، واختبار استعادة البيانات، والتخزين المُستعان به جزئيًا لنسخ البيانات الاحتياطية لدى AS4U أو فصل البيانات والنسخ الاحتياطية عبر مقصورات حريق أو غرف خوادم، والاختبار المنتظم لتوافر النسخ الاحتياطية من خلال عمليات استعادة مستمرة كاختبارات لسلامة النسخ الاحتياطية، ومفاهيم موحدة للنسخ الاحتياطي والاستعادة، وخطط الطوارئ وإعادة التشغيل، وإجراءات النسخ الاحتياطي للبيانات، والفصل المكاني لإجراءات النسخ الاحتياطي، والاختبارات المنتظمة لاستعادة البيانات، وتخزين البيانات في قاعدة بيانات علائقية، ومناطق حماية من الحريق، وأنظمة إنذار مبكر للمياه والحريق، وتقنية تكييف عالية التوافر في مركز البيانات، ونظام إطفاء بتقليل الأكسجين في مركز البيانات، ومصادر طاقة غير منقطعة احتياطية مزدوجة ومولدات طوارئ في مركز البيانات، واتصالات ألياف ضوئية مظلمة احتياطية أو اتصالات ألياف ضوئية لاسلكية في مركز البيانات، وحماية من زيادة الجهد في مركز البيانات، واتصال مباشر بإدارة الإطفاء المحلية في مراكز البيانات لتسريع أوقات الاستجابة في حال نشوب حريق.
8 متطلب الفصل
تدابير مصممة لضمان أن البيانات التي تم جمعها لأغراض مختلفة تتم معالجتها بشكل منفصل وأن تُفصل عن البيانات والأنظمة الأخرى بحيث يُستبعد الاستخدام غير المخطط لهذه البيانات لأغراض أخرى.
يتضمن وصف عملية التحكم في الفصل التخزين المنفصل على قواعد بيانات منفصلة يختلف حسب النظام، وتحديد حقوق قاعدة البيانات داخل كل قاعدة بيانات، والفصل المنطقي متعدد المستأجرين، والفصل بين أنظمة الإنتاج والاختبار، ومفاهيم التفويض، ونظام أذونات القراءة والكتابة لمجلدات التثبيت، وشبكة Wi‑Fi منفصلة للضيوف، ومثيلات وصول معزولة للعملاء ضمن قاعدة بيانات AWS التي يستخدمها المعالج.