اتفاقية معالجة البيانات

تُشكّل اتفاقية معالجة البيانات ("DPA") هذه جزءًا من شروط الخدمة بين O.Dev ("المُعالِج") والعميل ("المراقِب"). تسري أينما يعالج المُعالِج البيانات الشخصية نيابةً عن المراقِب في سياق الخدمة، وتنظم الالتزامات بموجب قانون حماية الخصوصية الإسرائيلي 5741-1981 (بما فيه التعديل 13) وعند الاقتضاء اللائحة الأوروبية العامة لحماية البيانات (GDPR).

الموضوع والمدة. يعالج المُعالِج البيانات الشخصية لتقديم ميزات التواصل متعدد القنوات عبر واتساب وماسنجر وإنستغرام وتلغرام ومايكروسوفت تيمز، طوال مدة اشتراك المراقِب وحتى 30 يومًا بعد إنهائه، وهي الفترة التي يتم خلالها الحذف أو التصدير.

أنواع البيانات الشخصية المُعالجة. معرّفات الاتصال (هاتف، بريد إلكتروني، معرّفات شبكات اجتماعية)، محتوى الاتصالات (رسائل، وسائط)، البيانات الوصفية (طوابع زمنية، حالة التسليم)، بيانات الملف الشخصي (أسماء، صور، تفضيلات لغة)، وأي بيانات إضافية يرسلها المراقِب أو مستخدموه عبر الخدمة. أصحاب البيانات هم في الأساس عملاء المراقِب ومستخدموه النهائيون، وموظفو المراقِب الذين يستخدمون لوحة الخدمة.

التزامات المراقِب. يضمن المراقِب وجود أساس قانوني صحيح لكل فئة من البيانات الشخصية المرسلة، ويقدم الإشعارات المطلوبة لأصحاب البيانات، ويصدر تعليمات معالجة متوافقة مع القانون، ويحتفظ بسجلاته الخاصة لأنشطة المعالجة.

التزامات المُعالِج. المعالجة فقط وفق تعليمات موثقة؛ سرية العاملين؛ تطبيق تدابير أمنية تقنية وتنظيمية مناسبة (انظر الملحق أ)؛ عدم إشراك معالجي الباطن إلا بموافقة عامة مسبقة وإشعار بـ 14 يومًا قبل أي تغييرات (انظر الملحق ب)؛ المساعدة في تلبية حقوق أصحاب البيانات؛ إخطار المراقِب خلال 72 ساعة من اكتشاف أي حادث أمني مؤكد؛ إتاحة معلومات معقولة لإثبات الالتزام بإشعار مكتوب قبل 30 يومًا.

نقل البيانات الدولي. تُخزَّن البيانات أساسًا على بنية تحتية داخل المنطقة الاقتصادية الأوروبية أو في دول معترف بها بتوفير حماية ملائمة. عند النقل إلى أماكن أخرى، تُطبَّق ضمانات مناسبة كالشروط التعاقدية القياسية (SCCs). يُقر المراقِب بأن منصات المراسلة التابعة لأطراف ثالثة (Meta, Telegram, Microsoft) تعالج البيانات بموجب شروطها الخاصة.

الحذف والإرجاع. عند الإنهاء، يُحتفظ بالبيانات الشخصية لمدة أقصاها 30 يومًا لأغراض التصدير. بعد ذلك تُحذف البيانات أو تصبح مجهولة الهوية بشكل لا يمكن عكسه، ما لم يتطلب القانون مدة احتفاظ أطول. يُقدَّم تأكيد كتابي بالحذف عند الطلب.

تدابير الأمان (الملحق أ). تشفير TLS 1.2+ أثناء النقل و-AES-256 في التخزين؛ التحكم بالوصول المبني على الأدوار مع المصادقة متعددة العوامل للإنتاج؛ شبكة خاصة وتحقق HMAC-SHA256 لطلبات الويب هوك؛ عزل قاعدة بيانات لكل عميل؛ مراقبة الأخطاء عبر Sentry؛ نسخ احتياطية دورية؛ إجراء مستندي للاستجابة للحوادث.

معالجو الباطن المعتمدون (الملحق ب). Supabase (قواعد البيانات)، Redis Cloud (الطوابير والذاكرة المؤقتة)، Google Cloud Run (خدمة الواجهة الخلفية)، Fly.io (العامل والزمن الحقيقي)، Vercel (الواجهة الأمامية)، Cloudflare (DNS/TLS/CDN/R2)، Meta Platforms (توصيل واتساب/ماسنجر/إنستغرام)، Telegram Messenger (توصيل تلغرام)، Microsoft (توصيل تيمز)، Sentry (مراقبة الأخطاء — لا يُرسل محتوى الرسائل).

القانون الحاكم. تخضع هذه الاتفاقية لقوانين دولة إسرائيل. إذا كان المراقِب خاضعًا لـ GDPR، فإن هذه الاتفاقية تهدف إلى استيفاء متطلبات المادة 28 من GDPR، ويُحسم أي تعارض لصالح الامتثال لـ GDPR.

بقبول شروط الخدمة التي تُدرج هذه الاتفاقية بالإشارة، يوافق المراقِب على الالتزام بهذه الاتفاقية. نسخة PDF قابلة للتوقيع متاحة عند الطلب من legal@oshri.dev.