ملحق معالجة البيانات
Last updated 1 أبريل 2026
Legal

ملحق معالجة البيانات

Effective 1 أبريل 2026

الأطراف

يُبرَم ملحق معالجة البيانات هذا («DPA») بين Expand IT Inc.، التي تُشغّل منصة «The Clinic» («المعالج») والعميل المُحدَّد في نموذج الطلب المعمول به أو في التسجيل عبر الإنترنت («المتحكّم»). ويُشكّل جزءاً من شروط الخدمة أو اتفاقية الاشتراك الرئيسية («الاتفاقية») بين الطرفين، ويحكم معالجة البيانات الشخصية فيما يتعلق بالخدمات.

التعريفات

المصطلحات التي تبدأ بحروف كبيرة وغير المُعرَّفة هنا تحمل المعاني الواردة في الاتفاقية أو في قانون حماية البيانات المعمول به. ولأغراض هذا الملحق:

  • قانون حماية البيانات يعني قانون حماية المعلومات الشخصية والوثائق الإلكترونية الكندي (PIPEDA) وتشريعات خصوصية المعلومات الصحية الإقليمية المعمول بها، بما في ذلك قانون حماية المعلومات الصحية الشخصية لمقاطعة أونتاريو لعام 2004 (PHIPA)؛ وعند انطباقها على متحكّم معيّن، اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (اللائحة 2016/679)، واللائحة العامة لحماية البيانات في المملكة المتحدة (UK GDPR)، وغيرها من القوانين المعمول بها التي تحكم معالجة البيانات الشخصية.
  • البيانات الشخصية تعني البيانات المتعلقة بشخص طبيعي مُحدَّد الهوية أو يمكن تحديدها، التي يعالجها المعالج نيابةً عن المتحكّم بموجب الاتفاقية.
  • المعالج من الباطن يعني أي طرف ثالث يُكلّفه المعالج بمعالجة البيانات الشخصية أثناء تقديم الخدمات.

موضوع المعالجة ومدتها

موضوع المعالجة هو تقديم الخدمات على النحو الموصوف في الاتفاقية. ومدة المعالجة هي مدة الاتفاقية، مضافاً إليها أي مدة تكون لازمة بشكل معقول لإعادة البيانات الشخصية أو حذفها. أما طبيعة المعالجة وغرضها وأنواع البيانات الشخصية وفئات أصحاب البيانات فمنصوص عليها في الملحق (أ) من هذا الملحق.

التزامات المعالج

يلتزم المعالج بما يلي:

  • معالجة البيانات الشخصية فقط بناءً على تعليمات موثّقة من المتحكّم، بما في ذلك التعليمات الصادرة عبر استخدام الخدمات، وحسبما يستلزمه القانون؛
  • ضمان أن الموظفين المُخوَّلين بمعالجة البيانات الشخصية مُلزَمون بالتزامات السرية؛
  • تنفيذ التدابير التقنية والتنظيمية الموصوفة في الملحق (ب) والحفاظ عليها؛
  • مساعدة المتحكّم في الاستجابة لطلبات أصحاب البيانات والوفاء بالتزاماته بموجب المواد 32 إلى 36 من GDPR والأحكام المعادلة في قوانين حماية البيانات الأخرى؛
  • إتاحة المعلومات اللازمة لإثبات الامتثال لهذا الملحق.

المعالجون من الباطن

يُقدّم المتحكّم تفويضاً عاماً للمعالج للاستعانة بمعالجين من الباطن، رهناً بما يلي: (1) يحتفظ المعالج بقائمة محدّثة بالمعالجين من الباطن متاحة على the-clinic.net/legal/subprocessors؛ (2) يُقدّم المعالج إشعاراً مدته ثلاثون (30) يوماً على الأقل بأي إضافة أو استبدال مزمع لمعالِج من الباطن؛ (3) يكون كل معالِج من الباطن مُلزَماً بشروط خطية لا تقلّ حماية عن هذا الملحق؛ (4) يجوز للمتحكّم الاعتراض على معالِج جديد من الباطن لأسباب معقولة تتعلق بحماية البيانات، وفي هذه الحالة يعمل الطرفان بحسن نية على تسوية الاعتراض.

عمليات النقل الدولية

تُخزَّن البيانات الشخصية التي تُعالَج لعيادات في كندا وتُعالَج داخل كندا؛ ولا ينقلها المعالج خارج كندا إلا وفق ما يقتضيه القانون أو بناءً على تعليمات المتحكّم، وتظل أي عملية نقل كهذه خاضعةً لمتطلبات المساءلة والحماية المكافئة بموجب قانون PIPEDA. وعند نقل البيانات الشخصية من المنطقة الاقتصادية الأوروبية أو المملكة المتحدة أو سويسرا إلى دولة لا يوجد بشأنها قرار كفاية، تُدرَج البنود التعاقدية القياسية للاتحاد الأوروبي (قرار المفوضية 2021/914) بالإحالة، مع تطبيق الوحدة الثانية (من المتحكّم إلى المعالج) أو الوحدة الثالثة (من المعالج إلى المعالج) حسب الاقتضاء، ويسري ملحق نقل البيانات الدولي للمملكة المتحدة على عمليات النقل التي منشؤها المملكة المتحدة.

تدابير الأمان

يحافظ المعالج على برنامج لأمن المعلومات متوافق مع ISO/IEC 27001 وSOC 2 Type II. وتشمل الضوابط:

  • تشفير البيانات الشخصية أثناء النقل (TLS 1.2+) والتخزين (AES-256)؛
  • ضوابط وصول مستندة إلى الأدوار وتطبيق مبدأ الحدّ الأدنى من الصلاحيات؛
  • تجزئة الشبكة ومراقبة كشف الاختراق؛
  • فحوصات ربعية للثغرات واختبارات اختراق سنوية من طرف ثالث؛
  • دورة حياة آمنة لتطوير البرمجيات تشمل مراجعة الكود وفحص التبعيات؛
  • خطط موثّقة لاستمرارية الأعمال والتعافي من الكوارث، يتم اختبارها سنوياً على الأقل؛
  • تدريب توعية أمنية لجميع الموظفين عند التعيين وسنوياً بعد ذلك.

طلبات أصحاب البيانات

مع مراعاة طبيعة المعالجة، يساعد المعالج المتحكّم بتدابير تقنية وتنظيمية مناسبة في الوفاء بالتزام المتحكّم بالاستجابة لطلبات ممارسة حقوق أصحاب البيانات بموجب قانون حماية البيانات. وإذا تلقّى المعالج طلباً مباشرةً من صاحب البيانات، فإنه يُحيل الطلب إلى المتحكّم دون تأخير غير مبرَّر، ولا يردّ موضوعياً ما لم يُوجَّه إلى ذلك.

الإخطار باختراق البيانات الشخصية

يُخطر المعالج المتحكّم دون تأخير غير مبرَّر، وفي جميع الأحوال خلال اثنتين وسبعين (72) ساعة، بعد علمه بأي اختراق للبيانات الشخصية يؤثر على البيانات الشخصية للمتحكّم. ويتضمّن الإخطار، بالقدر المعروف، وصفاً لطبيعة الاختراق، والفئات المتأثرة والأعداد التقريبية لأصحاب البيانات والسجلات، والعواقب المحتملة، والتدابير المتّخذة أو المقترحة لمعالجة الاختراق والتخفيف من آثاره.

عمليات التدقيق

يُتيح المعالج للمتحكّم أحدث تقرير له من نوع SOC 2 Type II، وشهادة ISO/IEC 27001، وملخّص نتائج اختبار الاختراق مرة واحدة سنوياً. يجوز للمتحكّم طلب تدقيق إضافي مرة واحدة كحد أقصى خلال أي فترة اثني عشر (12) شهراً (ما لم تتطلبه جهة تنظيمية)، بإشعار مدته ثلاثون (30) يوماً، خلال ساعات العمل، مع الالتزام بالتزامات سرية معقولة ودون تعطيل عمليات المعالج. ويتحمّل المتحكّم تكاليف التدقيق، إلا في الحالات التي يكشف فيها التدقيق عن عدم امتثال جوهري.

الإعادة والحذف

عند إنهاء الاتفاقية، يقوم المعالج، بناءً على اختيار المتحكّم، بإعادة جميع البيانات الشخصية أو حذفها، ويحذف النسخ القائمة خلال تسعين (90) يوماً، إلا حيثما يستلزم القانون المعمول به الاحتفاظ بها. وتُمحى النسخ الاحتياطية وفقاً لجدول المعالج المعتاد للتعافي من الكوارث.

المسؤولية

تخضع مسؤولية كل طرف بموجب هذا الملحق لحدود المسؤولية المنصوص عليها في الاتفاقية. ويتفق الطرفان على أن أي إشارة إلى مسؤولية طرف في هذا الملحق تعني المسؤولية الإجمالية لجميع الكيانات التابعة لمجموعة ذلك الطرف.

ترتيب الأسبقية

في حال وجود تعارض بين هذا الملحق والاتفاقية، يكون لهذا الملحق الأسبقية فيما يخصّ معالجة البيانات الشخصية. وفي حال وجود تعارض بين هذا الملحق والبنود التعاقدية القياسية، تكون الأسبقية للبنود التعاقدية القياسية.

التواصل

تُرسَل إشعارات حماية البيانات والطلبات بموجب هذا الملحق إلى dpo@the-clinic.net.