قانوني

·English →

ملحق معالجة البيانات

آخر تحديث: 19 أبريل 2026الإصدار: 2026.04

⚠️ ترجمة مرجعية غير رسمية / Unofficial Reference Translation

هذه الوثيقة ترجمة مرجعية باللغة العربية. في حال وجود أي تعارض مع النسخة الإنجليزية (anvilhk.com/legal/dpa)، تسود النسخة الإنجليزية. ننصح بالتشاور مع محامٍ محلي قبل التوقيع.

يُشكّل ملحق معالجة البيانات هذا ("DPA") جزءاً من شروط خدمة Anvil المبرمة بين Hong Kong Anvil Ltd. ("Anvil" (أنفيل)، "المعالج") والعميل ("المتحكم"). ويسري حين تُعالج Anvil البيانات الشخصية نيابة عن المتحكم بموجب قوانين حماية البيانات السارية (GDPR، UK GDPR، KSA PDPL، UAE PDPL، Qatar PDPPL، PIPL، HK PDPO، CCPA/CPRA).

باشتراك المتحكم في Anvil يُعدّ قد قبِل هذا الملحق. للحصول على نسخة موقَّعة على ورق الشركة، راسلنا ببيانات الكيان القانوني.

1. التعريفات

يكون للمصطلحات غير المعرَّفة هنا المعنى الوارد في GDPR أو، حيث لا يسري، المعنى المماثل في القانون الساري.

  • "البيانات الشخصية" — أي معلومة تتعلق بشخص طبيعي مُحدَّد أو قابل للتحديد تعالجها Anvil نيابة عن المتحكم.
  • "بيانات المتحكم" — البيانات الشخصية التي يرفعها المتحكم ومستخدموه أو تُولَّد داخل حساب Anvil الخاص به.
  • "المعالج الفرعي" — طرف ثالث تُشركه Anvil لمعالجة بيانات المتحكم.
  • "السلطة الإشرافية" — الجهة المختصة بموجب قانون حماية البيانات الساري (SDAIA في السعودية، مكتب حماية البيانات في الإمارات، PCPD في هونغ كونغ، ICO في المملكة المتحدة، سلطات الاتحاد الأوروبي).
  • "الشروط التعاقدية القياسية" / "SCCs" — شروط قرار المفوضية الأوروبية 2021/914 (الوحدة الثانية: متحكم إلى معالج) و UK IDTA.

2. الأدوار والنطاق

  • يحدد المتحكم أغراض المعالجة ووسائلها ويكون مسؤولاً عن الأساس القانوني لها.
  • تتصرف Anvil كمعالج عند تشغيل الخدمة، ولا تعالج بيانات المتحكم إلا وفق تعليمات موثّقة منه.
  • تتصرف Anvil كمتحكم مستقل عند معالجة بيانات إدارة الحساب (الفوترة، تسجيل الدخول، تذاكر الدعم) كما هو موضح في سياسة الخصوصية.
  • يسري هذا الملحق لمدة الاشتراك وأي فترة تصفية.

3. تعليمات المتحكم

تعليمات المتحكم إلى Anvil تتألف من: (أ) الاتفاقية، (ب) هذا الملحق، (ج) استخدام واجهة الخدمة وAPI، (د) التعليمات المكتوبة المرسلة إلى support@anvilhk.com.

ستُبلِّغ Anvil المتحكم إذا اعتقدت أن تعليماته تنتهك قانون حماية البيانات، ويحق لها تعليق المعالجة حتى يُسوَّى الأمر.

تتعهد Anvil بعدم: (أ) بيع بيانات المتحكم، (ب) مشاركتها لأغراض الإعلانات السلوكية العابرة للسياق، (ج) الاحتفاظ بها أو استخدامها خارج العلاقة التجارية، (د) دمجها مع بيانات أخرى إلا لتقديم الخدمة.

4. فئات البيانات وأصحابها

راجع الملحق الأول للتفاصيل. باختصار:

  • أصحاب البيانات: مستخدمو المتحكم وعملاؤه النهائيون والعملاء المحتملون الذين يقوم المتحكم بتحميلهم.
  • فئات البيانات: بيانات التواصل التجاري (الاسم، البريد العملي، المسمى الوظيفي، الشركة)، بيانات نشاط CRM، محتوى الاتصالات، سجلات المنصة، مدخلات ومخرجات الذكاء الاصطناعي.
  • الفئات الخاصة (المادة 9 من GDPR والبيانات الحساسة بموجب KSA PDPL و UAE PDPL): لا تُعالَج إلا إذا رفعها المتحكم بالمخالفة لهذا الملحق، وفي هذه الحالة يعوّض المتحكم Anvil.

5. المعالجون الفرعيون

يمنح المتحكم Anvil تفويضاً عاماً لإشراك معالجين فرعيين. القائمة الحالية منشورة في /ar/legal/subprocessors وهي جزء من هذا الملحق.

Anvil:

  • تفرض على كل معالج فرعي التزامات حماية بيانات لا تقل حماية عن هذا الملحق.
  • تبقى مسؤولة كاملاً أمام المتحكم عن أداء المعالجين الفرعيين.
  • تُخطر بإشعار لا يقل عن 30 يوماً عبر صفحة المعالجين قبل إضافة أو استبدال أي معالج.
  • خلال فترة الإشعار، يحق للمتحكم الاعتراض لأسباب معقولة لحماية البيانات عبر مراسلة 738888@proton.me. وإذا تعذَّر قبول الاعتراض بشكل معقول، يحق للمتحكم إنهاء الجزء المتأثر من الخدمة مع استرداد نسبي.

6. النقل الدولي

تُستضاف بيانات المتحكم في منطقة هونغ كونغ الإدارية الخاصة افتراضياً، مع التخزين المؤقت على شبكة Cloudflare العالمية. بعض المعالجين الفرعيين (مثل OpenAI، Stripe) يعالجون البيانات في الولايات المتحدة أو الاتحاد الأوروبي.

  • للنقل خارج الاتحاد الأوروبي / المملكة المتحدة / سويسرا، تعتمد Anvil على SCCs (الوحدة الثانية) و UK IDTA والملحق السويسري عند اللزوم.
  • للنقل خارج المملكة العربية السعودية، يتعاون الطرفان وفق KSA PDPL وتوجيهات SDAIA على الضمانات المناسبة وعمليات الحصول على الموافقة اللازمة.
  • للنقل خارج دولة الإمارات، يلتزم الطرفان بالمرسوم بقانون اتحادي رقم 45 لسنة 2021 واللوائح التنفيذية.
  • للنقل خارج الصين (PIPL)، يتعاون الطرفان على العقد القياسي المعتمد من CAC أو تقييم الأمان أو الشهادة حسب الحجم.
  • تُجري Anvil تقييم أثر النقل لكل معالج فرعي وتطبق تدابير تكميلية (التشفير في النقل والراحة، فصل المفاتيح، ضوابط الوصول) وفق Schrems II.
  • يحق للمتحكم طلب نسخة من SCCs المنفّذة بمراسلتنا.

7. الإجراءات الأمنية

تُنفِّذ Anvil التدابير التقنية والتنظيمية المبيَّنة في الملحق الثاني، والتي تتوافق مع المادة 32 من GDPR. تُراجَع التدابير سنوياً وقد تُحدَّث بشرط ألا يُضعَف المستوى العام للأمان.

8. المساعدة في حقوق أصحاب البيانات

توفر Anvil أدوات ذاتية الخدمة في لوحة الإدارة لمساعدة المتحكم في معالجة طلبات الوصول والتصحيح والحذف والتصدير وتقييد البيانات الشخصية. وعند تعذر تنفيذ الطلب عبر المنتج، تساعد Anvil خلال 5 أيام عمل بعد تلقي طلب كتابي على 738888@proton.me.

تُحيل Anvil أي طلب تتلقاه مباشرة من صاحب البيانات إلى المتحكم المعني دون الرد نيابة عنه (باستثناء الإقرار بالاستلام وتوجيه الشخص إلى المتحكم).

9. خرق البيانات الشخصية

  • تُخطر Anvil المتحكم دون تأخير لا مبرر له وفي جميع الأحوال خلال 48 ساعة من تأكيد خرق بيانات المتحكم.
  • يتضمن الإشعار: طبيعة الخرق، فئات وأعداد أصحاب البيانات المتأثرين، العواقب المحتملة، الإجراءات المتخذة، نقطة اتصال.
  • تُرسَل الإشعارات إلى جهة الاتصال الأمنية المسجلة لدى المتحكم (أو بريد الفوترة عند عدم وجودها). يُحافظ المتحكم على تحديث هذا العنوان.
  • يُفصح عن خروق الأنظمة التي تعمل Anvil فيها كمتحكم وفق سياسة الخصوصية والقوانين السارية لأصحاب البيانات المتأثرين.

10. التدقيق

تُتيح Anvil للمتحكم المعلومات اللازمة لإثبات الامتثال للمادة 28 من GDPR:

  • تقرير SOC 2 Type II (مخطط الربع الرابع 2026) بموجب NDA عند الطلب.
  • ملخص اختبار الاختراق السنوي عند الطلب.
  • استبيانات CAIQ / SIG-Lite المكتملة عند الطلب.

إذا كانت المعلومات أعلاه غير كافية، يحق للمتحكم إجراء تدقيق مرة واحدة كل 12 شهراً بإشعار 30 يوماً وعلى نفقته الخاصة وخلال ساعات العمل والتزام السرية. لا يجوز للتدقيق التدخل بشكل غير معقول بعمليات Anvil أو بيانات عملاء آخرين. حق السلطة الإشرافية في التدقيق لا يقيَّد.

11. الحذف وإعادة البيانات

  • عند الإنهاء، يحصل المتحكم على 30 يوماً لتصدير بياناته عبر المنتج أو API.
  • بعد 30 يوماً تقوم Anvil بحذف أو إخفاء هوية بيانات المتحكم خلال 60 يوماً إضافية، باستثناء ما يجب الاحتفاظ به قانوناً (السجلات الضريبية، الإجراءات القضائية الجارية).
  • تُستبدل النسخ الاحتياطية على الدوران المعتاد (≤ 35 يوماً).
  • شهادة حذف متاحة عند الطلب.

12. المسؤولية والتعارض والمدة

  • يسري سقف المسؤولية الوارد في الاتفاقية على المطالبات الناشئة عن هذا الملحق.
  • في حال تعارض بين الاتفاقية وهذا الملحق بشأن حماية البيانات، يسود الملحق. وفي حال تعارض الملحق مع SCCs، تسود SCCs.
  • يسري هذا الملحق منذ نفاذ الاتفاقية وينتهي بانتهائها، مع مراعاة البند 11.

الملحق الأول — تفاصيل المعالجة

أ. قائمة الأطراف

  • المتحكم: العميل المحدد في اشتراك Anvil.
  • المعالج: Hong Kong Anvil Ltd.، منطقة هونغ كونغ الإدارية الخاصة. للتواصل: 738888@proton.me.

ب. وصف المعالجة

  • الموضوع: تقديم خدمة Anvil SaaS (توليد العملاء المحتملين، CRM، التواصل، التحليلات).
  • المدة: طوال فترة الاشتراك، بالإضافة إلى 30 يوماً للتصدير و60 يوماً للحذف.
  • الطبيعة والغرض: استضافة، تخزين، نقل، تحليل، إثراء، استدلال بالذكاء الاصطناعي، وإيصال البريد والرسائل.
  • فئات أصحاب البيانات: مستخدمو المتحكم، عملاؤه النهائيون، والعملاء المحتملون (B2B).
  • فئات البيانات الشخصية: الاسم، البريد العملي، هاتف العمل، المسمى الوظيفي، جهة العمل، رابط الملف الاجتماعي، حجم الشركة والصناعة؛ سجلات نشاط CRM؛ محتوى البريد والرسائل؛ تسجيلات ونصوص المكالمات (إن فُعِّلت الميزات الصوتية)؛ مدخلات ومخرجات الذكاء الاصطناعي؛ سجلات تدقيق المنصة.
  • التواتر: مستمر.
  • الاحتفاظ: وفق سياسة الخصوصية والبند 11 أعلاه.

ج. السلطة الإشرافية المختصة

حيث يقع المتحكم في EEA فتكون سلطته الرائدة؛ وفي المملكة المتحدة ICO؛ وفي هونغ كونغ PCPD؛ وفي السعودية SDAIA؛ وفي الإمارات مكتب حماية البيانات الاتحادي؛ وفي قطر المركز الوطني للأمن السيبراني.

الملحق الثاني — التدابير التقنية والتنظيمية

  • التشفير: TLS 1.3 أثناء النقل؛ AES-256-GCM في الراحة للقاعدة والتخزين؛ تشفير الظرف للأسرار عبر KMS.
  • الهوية والوصول: SSO (SAML/OIDC) للمؤسسات؛ MFA مفروضة للإدارة؛ RBAC بصلاحيات الحد الأدنى؛ الوصول للإنتاج عبر اعتمادات قصيرة الأجل وموافقات.
  • الشبكة: Cloudflare WAF، حماية DDoS، تحديد المعدل، إدارة الروبوتات؛ حدود شبكة خاصة بين الخدمات؛ zero-trust للإنتاج.
  • أمان التطبيق: SAST، فحص التبعيات، فحص الأسرار والحاويات في CI؛ اختبار اختراق سنوي من طرف ثالث؛ برنامج الإفصاح المنسق.
  • المراقبة: تسجيل مركزي مقاوم للعبث؛ كشف التسلل والانحرافات؛ Sentry؛ تنبيه 24/7 لإشارات حرجة.
  • إدارة التغيير: مراجعة أقران لتغييرات الإنتاج؛ نشر تلقائي مع التراجع؛ فصل بيئات الإنتاج والتطوير.
  • النسخ والاستعادة: نسخ يومية كاملة مشفَّرة، ساعية تزايدية؛ تخزين منفصل جغرافياً؛ اختبار استعادة فصلي؛ RPO ≤ 1 ساعة، RTO ≤ 4 ساعات.
  • الأفراد: فحوص خلفية حيث يسمح القانون؛ التزامات سرية؛ تدريب أمني سنوي؛ عملية قادم/منقول/مغادر موثقة.
  • الأمن المادي: يُفوَّض لمزودي الاستضافة (انظر الملحق الثالث) ويعتمد على شهاداتهم SOC 2 / ISO 27001.
  • الاستجابة للحوادث: دليل تشغيل موثق؛ مستويات خطورة محددة؛ مراجعة ما بعد الحادثة.
  • إخفاء الهوية: استخدام معرّفات العميل بدلاً من البريد الحقيقي في السجلات والتحليلات حيث أمكن.
  • فصل البيانات: عزل صارم للمستأجرين على مستوى الصف والتفويض؛ اختبارات بين المستأجرين في كل نشر.

وصف أكثر تفصيلاً منشور على صفحة الأمان ويُحدَّث بتطور الضوابط.

الملحق الثالث — المعالجون الفرعيون المعتمدون

القائمة الحالية موجودة على /ar/legal/subprocessors. وهي جزء من هذا الملحق وتُحدَّث بإشعار 30 يوماً على الأقل للتغييرات الجوهرية.

القبول

يُنفَّذ قبول هذا الملحق بتنفيذ المتحكم للاشتراك. وتُتاح نسخة موقَّعة يدوياً عند الطلب — راسل 738888@proton.me باسم الكيان القانوني، العنوان، المفوض بالتوقيع، ومعرّفات DUNS/VAT.

المعالج: Hong Kong Anvil Ltd.
المكتب المسجل: منطقة هونغ كونغ الإدارية الخاصة
المفوَّض بالتوقيع: المدير
الاتصال: 738888@proton.me · +852 4748 1911