العودة للرئيسية

اتفاقية معالجة البيانات (DPA)

تاريخ السريان: 2026-05-04

الإصدار: 1.0

تُشكِّل اتفاقية معالجة البيانات هذه ("الاتفاقية" أو "DPA") جزءاً لا يتجزّأ من شروط خدمة Dovera.ai أو اتفاقية الخدمات الرئيسية ("الاتفاقية الرئيسية") المُبرمَة بين Dovera.ai ("معالج البيانات") وكيان العميل الذي قَبِلَ الاتفاقية الرئيسية ("المتحكّم في البيانات"، ويُشار إليهما معاً بـ "الطرفَين").

تسري هذه الاتفاقية كلّما عالج معالج البيانات بيانات شخصية نيابةً عن المتحكّم خلال تقديم خدمة Dovera.ai ("الخدمة")، بما في ذلك على سبيل المثال لا الحصر البيانات التي يتمّ الوصول إليها عبر Shopify Admin API أو خدمات Google API أو أي تكامل آخر صرّح به المتحكّم.

1. التعريفات

تحمل المصطلحات المُعرَّفة المعاني المُحدَّدة في النظام الأوروبي العام لحماية البيانات 2016/679 ("GDPR")، وقانون حماية البيانات في المملكة المتحدة 2018، وقانون خصوصية المستهلك في كاليفورنيا بصيغته المُعدَّلة ("CCPA/CPRA")، وأي قانون آخر معمول به لحماية البيانات (يُشار إليها مجتمعةً بـ "قوانين حماية البيانات")، ما لم يُذكر خلاف ذلك هنا.

  • البيانات الشخصية: أي معلومات تتعلق بشخص طبيعي مُحدَّد أو يمكن تحديده تُعالَج بموجب هذه الاتفاقية.
  • صاحب البيانات: الفرد الذي تخصّه البيانات الشخصية (وهم عادةً عملاء المتحكّم النهائيون).
  • المعالج الفرعي: أي طرف ثالث يستعين به معالج البيانات لمعالجة البيانات الشخصية نيابةً عن المتحكّم.

2. الموضوع والمدّة وطبيعة المعالجة والغرض منها

  • الموضوع: تقديم معالج البيانات للخدمة إلى المتحكّم.
  • المدّة: مدّة الاتفاقية الرئيسية، إضافةً إلى أي فترة احتفاظ لاحقة للإنهاء يقتضيها الالتزام بالقسم 9.
  • طبيعة المعالجة والغرض منها: تقديم الخدمة — بما يشمل دعم العملاء بالذكاء الاصطناعي، والتحليلات الحوارية نيابةً عن المتحكّم، والتكامل مع المنصّات الخارجية المُصرَّح بها من قِبَل المتحكّم (مثل Shopify وGoogle)، والدعم التشغيلي للخدمة.
  • فئات أصحاب البيانات: العملاء النهائيون للمتحكّم، والعملاء المحتملون، والزوّار الذين يتفاعلون مع الخدمة.
  • فئات البيانات الشخصية: المُعرِّفات (الاسم، البريد الإلكتروني، الهاتف، العنوان)، وبيانات المعاملات (تفاصيل الطلبات، حالة التجهيز، الإجماليات)، وبيانات وصفية لكتالوج المنتجات، وسجلّات المحادثات، وأي بيانات شخصية إضافية يختار المتحكّم إرسالها إلى الخدمة.

3. الأدوار والمسؤوليات

لا يعالج معالج البيانات البيانات الشخصية إلّا بوصفه معالجاً، بناءً على تعليمات موثّقة من المتحكّم، بما فيها التعليمات المُقدَّمة عبر إعدادات الخدمة وعبر هذه الاتفاقية. ويتحمّل المتحكّم مسؤولية الأساس القانوني للمعالجة، بما في ذلك الحصول على أي موافقات مطلوبة من أصحاب البيانات وتقديم الإشعارات اللازمة.

4. السرّية

يضمن معالج البيانات أنّ الموظفين المُصرَّح لهم بمعالجة البيانات الشخصية ملتزمون بالتزامات سرّية مناسبة.

5. الإجراءات الأمنية

يطبّق معالج البيانات إجراءات تقنية وتنظيمية مناسبة لحماية البيانات الشخصية، آخذاً في الاعتبار أحدث التقنيات وتكاليف التنفيذ وطبيعة المعالجة ونطاقها وسياقها وأغراضها، بما يتوافق مع المادة 32 من GDPR. تشمل الإجراءات الحالية:

  • التشفير أثناء النقل: استخدام TLS لجميع عمليات نقل البيانات.
  • التشفير أثناء التخزين: تطبّقه البنية السحابية المُدارة التي تستضيف الخدمة.
  • النسخ الاحتياطية المُشفَّرة: النسخ الاحتياطية مُشفَّرة عند تخزينها بواسطة البنية السحابية المُدارة.
  • ضوابط الوصول: وصول قائم على الأدوار، مع تطبيق مبدأ أقلّ الامتيازات على الموظفين وحسابات الخدمة.
  • المصادقة: اشتراط كلمات مرور قوية وفريدة لكلّ حساب يصل إلى أنظمة الإنتاج.
  • تسجيل الوصول: تُسجّل البنية السحابية المُدارة عمليات الوصول الإدارية وعمليات الوصول إلى قاعدة البيانات.
  • عزل البيئات: فصل بيئات الإنتاج عن بيئات ما قبل الإنتاج.
  • اختيار المعالجين الفرعيين: تتمّ مراجعة المعالجين الفرعيين قبل التعاقد معهم.

يتوفّر ملخّص حديث للإجراءات الأمنية عند الطلب.

6. المعالجون الفرعيون

يفوّض المتحكّم معالج البيانات بالتعاقد مع المعالجين الفرعيين المُدرَجين في القسم 5 من سياسة الخصوصية الخاصّة بنا (أو حسبما يُخطَر به المتحكّم).

يلتزم معالج البيانات بما يلي:

  • فرض التزامات حماية بيانات على كلّ معالج فرعي لا تقلّ صرامةً عن تلك الواردة في هذه الاتفاقية.
  • الاحتفاظ بمسؤوليته أمام المتحكّم عن أفعال المعالجين الفرعيين وتقصيراتهم.
  • تزويد المتحكّم بإشعار مسبق (لا يقلّ عن 30 يوماً) بأي إضافة أو استبدال لمعالج فرعي. يجوز للمتحكّم الاعتراض كتابياً لأسباب معقولة تتعلق بحماية البيانات؛ وإذا تعذّر على الطرفَين حلّ الاعتراض، جاز للمتحكّم إنهاء الجزء المتأثّر من الخدمة بسبب إخلال جوهري.

7. حقوق أصحاب البيانات

يساعد معالج البيانات المتحكّم — مع مراعاة طبيعة المعالجة — على الوفاء بالتزامه بالاستجابة لطلبات أصحاب البيانات بموجب قوانين حماية البيانات (حقوق الوصول، التصحيح، المحو، التقييد، النقل، الاعتراض). وإذا تواصل صاحب البيانات مع معالج البيانات مباشرةً، يحيله معالج البيانات إلى المتحكّم ويُخطره دون تأخير.

عندما تكون الخدمة متّصلة بـ Shopify ويتلقّى معالج البيانات Webhook بنوع customers/data_request أو customers/redact أو shop/redact من Shopify، يُنفّذ معالج البيانات هذا الـ Webhook نيابةً عن المتحكّم خلال المدد التي تفرضها Shopify.

8. عمليات النقل الدولية

عند نقل بيانات شخصية خارج المنطقة الاقتصادية الأوروبية أو المملكة المتحدة أو سويسرا إلى دولة لا تُعدّ موفّرةً لمستوى حماية ملائم، يعتمد الطرفان على البنود التعاقدية القياسية الصادرة عن المفوضية الأوروبية (الوحدة الثانية — من المتحكّم إلى المعالج؛ والوحدة الثالثة — من المعالج إلى المعالج الفرعي) المُدمَجة بالإحالة، وعلى مُلحَق نقل البيانات الدولي الخاص بالمملكة المتحدة عند الاقتضاء. يطبّق معالج البيانات تدابير تكميلية تتماشى مع توصيات المجلس الأوروبي لحماية البيانات.

9. الاحتفاظ والحذف

يقوم معالج البيانات — حسب اختيار المتحكّم — بحذف جميع البيانات الشخصية أو إعادتها بعد انتهاء تقديم الخدمات المرتبطة بالمعالجة، وحذف النسخ القائمة، ما لم يكن الاحتفاظ مطلوباً بموجب القانون المعمول به.

فترات الاحتفاظ الافتراضية:

  • الاشتراك النشط: تُحفظ البيانات الشخصية طوال مدّة الاشتراك وبالقدر اللازم لتقديم الخدمة.
  • الإنهاء / إلغاء التثبيت: تُحذف البيانات الشخصية خلال 30 يوماً من تاريخ الإنهاء أو إلغاء تثبيت التطبيق.
  • المحو المُستهدَف (customers/redact وما يعادله): يُنفَّذ فور الاستلام.

10. الإخطار عن خرق البيانات الشخصية

يُخطر معالج البيانات المتحكّمَ دون تأخير، وعلى أي حال خلال 72 ساعة، بعد علمه بحدوث خرق للبيانات الشخصية يؤثّر على البيانات الشخصية الخاصّة بالمتحكّم. يتضمّن الإخطار — بقدر ما هو معروف وقتها — طبيعة الخرق وفئات أصحاب البيانات المعنيّين وأعدادهم التقريبية وعدد السجلات المتأثّرة، والعواقب المحتملة، والإجراءات المُتَّخَذة أو المُقترَحة.

تُرسَل الإخطارات إلى عنوان البريد الإلكتروني الذي قدّمه المتحكّم للتواصل الأمني. ويتحمّل المتحكّم مسؤولية الحفاظ على بيانات تواصل محدّثة.

11. التدقيق

بناءً على طلب كتابي معقول من المتحكّم، يُتيح معالج البيانات للمتحكّم المعلومات اللازمة لإثبات الالتزام بهذه الاتفاقية. قد يأخذ التدقيق شكل (أ) تقارير تدقيق صادرة عن المعالجين الفرعيين أو طرف ثالث (مثل تقارير SOC 2 للمعالجين الفرعيين)، أو (ب) رد على استبيان كتابي. وتقتصر عمليات التدقيق الموقعي على مرة واحدة في السنة، على نفقة المتحكّم، بإشعار لا يقلّ عن 30 يوماً، خلال ساعات العمل، إلّا إذا اقتضت ذلك سلطة رقابية مختصّة.

12. CCPA / CPRA

عندما تكون البيانات الشخصية خاضعةً لقانون CCPA/CPRA، يعمل معالج البيانات بصفة "مزوّد خدمة" أو "متعاقد". لن يقوم معالج البيانات بـ (أ) بيع البيانات الشخصية أو مشاركتها، (ب) أو الاحتفاظ بها أو استخدامها أو الإفصاح عنها لأي غرض خارج تقديم الخدمات الموصوفة في الاتفاقية الرئيسية، (ج) أو دمج البيانات الشخصية المُستلَمة من المتحكّم أو نيابةً عنه مع بيانات شخصية يستلمها معالج البيانات من شخص آخر أو نيابةً عنه، إلّا في الحدود التي تُجيزها قوانين حماية البيانات.

13. المسؤولية والتعارض

تُشكِّل هذه الاتفاقية جزءاً من الاتفاقية الرئيسية. وفي حال وجود تعارض بين هذه الاتفاقية والاتفاقية الرئيسية، تسود هذه الاتفاقية فيما يخصّ مسائل حماية البيانات. وتُحدَّد المسؤولية وفقاً لما هو منصوص عليه في الاتفاقية الرئيسية.

14. التعديلات

يجوز لمعالج البيانات تحديث هذه الاتفاقية من وقت لآخر استجابةً للتغيّرات في قوانين حماية البيانات أو في المعالجين الفرعيين. ويُخطَر بالتعديلات الجوهرية قبل 30 يوماً على الأقل من سريانها.

15. القانون الحاكم

تخضع هذه الاتفاقية للقانون الذي تخضع له الاتفاقية الرئيسية، إلّا حيث تستوجب قوانين حماية البيانات خلاف ذلك.

16. التواصل والتنفيذ

لأي استفسار بخصوص هذه الاتفاقية، يُرجى التواصل عبر: [email protected]

للتنفيذ: بقبول الاتفاقية الرئيسية والاستمرار في استخدام الخدمة، يُعدّ المتحكّم قد دخل طرفاً في هذه الاتفاقية. ويتوفّر نسخة موقّعة عند الطلب.

تلتزم Dovera.ai بمعالجة البيانات الشخصية بصورة قانونية ومنصفة وشفّافة نيابةً عن كلّ عميل.