اتفاقية معالجة البيانات (DPA)
تحديث 8 يوليو 2026
1. أدوار الأطراف
المتحكّم هو مالك الموقع الذي يُضمّن الأداة: فهو من يحدّد أغراض ووسائل معالجة بيانات زوّاره ومحتواه. المعالِج هو مشغّل الخدمة، الذي يعالج تلك البيانات حصرًا وفق تعليمات المتحكّم الموثَّقة. تُستعان بـ Google Cloud بصفتها معالِجًا فرعيًّا (المعالجة داخل Vertex AI Search / Gemini / Cloud Storage).
بالنسبة إلى بيانات حساب المتحكّم نفسه (البريد الإلكتروني، الإعدادات) ولنصّ الاستعلامات المُستخدَم بقدر محدود لمقاييس الجودة والحماية من إساءة الاستخدام، يعمل المعالِج متحكّمًا مستقلًّا — يخضع لـ سياسة الخصوصية، لا لهذه الاتفاقية. تتولّى الدفعات Paddle بصفتها Merchant of Record ومتحكّمًا مستقلًّا في بيانات الدفع، لا معالِجًا فرعيًّا.
2. الموضوع والمدة والطبيعة والغرض
- الموضوع. معالجة البيانات الشخصية الواردة في محتوى موقع المتحكّم وفي استعلامات زوّاره، لتقديم بحث بالذكاء الاصطناعي مع إجابات وروابط مصادر.
- المدة. طوال سريان شروط الخدمة وطوال نشاط المشروع؛ وعند الإنهاء يُطبَّق قسم "إعادة البيانات وحذفها".
- طبيعة المعالجة. الجمع (الزحف على الصفحات العامة)، والفهرسة، والتخزين، والبحث، وتوليد الإجابات، وتسجيل السجلّات، والحذف.
- الغرض. حصرًا لتقديم الخدمة ودعمها وفق تعليمات المتحكّم؛ ولا يُسمَح بالمعالجة لأغراض أخرى.
3. فئات البيانات وأصحاب البيانات
فئات أصحاب البيانات: زوّار موقع المتحكّم؛ والأفراد المذكورون في المحتوى العام للموقع.
فئات البيانات:
- محتوى الصفحات العامة للموقع (قد يتضمّن بيانات شخصية ينشرها المتحكّم)؛
- نصّ استعلامات الزوّار؛
- البيانات التقنية للزوّار — عنوان IP (يُعالَج بشكل عابر ولا يُخزَّن) وبيانات الطلب الوصفية (للحماية من إساءة الاستخدام والأمن)؛
- مُعرّفات جلسة الأداة ومقاييس الاستخدام.
لا يُقصَد معالجة بيانات الفئات الخاصة (المادة 9 من GDPR)؛ ويتعهّد المتحكّم بعدم تقديمها إلى الخدمة وعدم حثّ الزوّار على إدخال بيانات حسّاسة في البحث.
4. المعالجة وفق التعليمات
يعالج المعالِج البيانات الشخصية فقط وفق تعليمات المتحكّم الموثَّقة، بما في ذلك عمليات النقل، ما لم يُلزِمه القانون الأوروبي/قانون الدولة العضو أو القانون الإسرائيلي المعمول به بخلاف ذلك (وحينها يُعلِم المعالِج المتحكّمَ قبل المعالجة، ما لم يحظر القانون ذلك). تشكّل هذه الاتفاقية والشروط والإعدادات التي يضبطها المتحكّم في لوحة التحكم مجموعة التعليمات الكاملة. يُعلِم المعالِج المتحكّمَ فورًا إذا رأى أنّ تعليمةً ما تخالف GDPR أو قانونًا أوروبيًّا آخر أو قانون دولة عضو أو قانون حماية الخصوصية الإسرائيلي (PPL).
5. السرّية
يضمن المعالِج أنّ الأشخاص المخوَّلين بمعالجة البيانات الشخصية قد التزموا بالسرّية أو يخضعون لالتزام قانوني مناسب بالسرّية، وأنّ الوصول يُمنَح على أساس الحاجة إلى المعرفة والحدّ الأدنى من الامتيازات.
6. تدابير الأمن (المادة 32 من GDPR)
يطبّق المعالِج تدابير تقنية وتنظيمية مناسبة متناسبة مع المخاطر، ومنها: النقل عبر TLS؛ وعزل المشاريع (لكل مشروع فهرسه ومفتاحه)؛ وتنقية الاستعلامات وتحديد المعدّل قبل استدعاء أي خدمة مدفوعة؛ والوصول بالحدّ الأدنى من الامتيازات؛ وتسجيل السجلّات. تُطبَّق التدابير بما يتوافق مع لوائح حماية الخصوصية الإسرائيلية (أمن البيانات) لعام 2017 (انظر قسم "القانون الإسرائيلي"). قد تُحدَّث قائمة التدابير، لكن دون خفض مستواها.
7. المعالِجون الفرعيون
يمنح المتحكّم تفويضًا عامًّا للاستعانة بمعالِجين فرعيين. تُنشَر القائمة الحالية على صفحة المعالِجين الفرعيين وتشمل Google Cloud (Vertex AI Search / Discovery Engine، وGemini، وCloud Storage). يفرض المعالِج على كل معالِج فرعي التزامات حماية بيانات لا تقلّ عن تلك الواردة في هذه الاتفاقية (وعلى وجه الخصوص يقبل Cloud Data Processing Addendum من Google) ويظلّ مسؤولًا عن أفعال معالِجيه الفرعيين.
يقدّم المعالِج إشعارًا مسبقًا بأي نيّة لإضافة أو استبدال معالِج فرعي (الإجراء على صفحة "المعالِجون الفرعيون")؛ ويجوز للمتحكّم الاعتراض لأسباب معقولة تتعلّق بحماية البيانات. وإذا تعذّر حلّ الاعتراض، يجوز للمتحكّم التوقّف عن استخدام الخدمة للمعالجة المتأثّرة.
8. المساعدة في حقوق أصحاب البيانات
مع مراعاة طبيعة المعالجة، يساعد المعالِج المتحكّمَ، قدر الإمكان وبتدابير تقنية وتنظيمية مناسبة، في الوفاء بالتزامه بالاستجابة لطلبات أصحاب البيانات (الوصول، والتصحيح، والمحو، والتقييد، والنقل، والاعتراض بموجب المواد 15–22 من GDPR). وإذا وصل طلبُ صاحب بيانات إلى المعالِج مباشرةً، يحيله إلى المتحكّم دون تأخير لا مبرّر له ولا يستجيب له بنفسه إلا وفق تعليمات المتحكّم. وتدعم أدوات لوحة التحكم (تنظيف السجلّات، وحذف المشروع) الوفاء بهذه الطلبات.
9. الإخطار بخرق البيانات الشخصية (نظام مزدوج)
يُخطِر المعالِج المتحكّمَ بخرق البيانات الشخصية دون تأخير لا مبرّر له بعد علمه به، مقدّمًا المعلومات اللازمة على نحو معقول ليفي المتحكّم بالتزاماته الخاصة بالإخطار (المادتان 33–34 من GDPR — عادةً إخطار المتحكّم للجهة الرقابية خلال 72 ساعة).
وإضافةً إلى ذلك، وبما أنّ المعالِج مقيمٌ في إسرائيل، فإنّه في حادث أمني جسيم يُخطِر هيئة حماية الخصوصية الإسرائيلية (PPA) فورًا، وفقًا لقانون حماية الخصوصية بصيغته المعدَّلة بـ Amendment 13، ويساعد في إخطار أصحاب البيانات وفق توجيهات PPA. الإخطار ليس إقرارًا بالمسؤولية.
10. إعادة البيانات وحذفها
عند انتهاء تقديم الخدمات، يقوم المعالِج، وفق اختيار المتحكّم، بـ حذف أو إعادة البيانات الشخصية وحذف النسخ القائمة، ما لم يقتضِ القانون المعمول به تخزينها. وعمليًّا، عند إغلاق مشروع، يُحذَف فهرس الموقع وموارد Vertex ذات الصلة، والمخرجات الوسيطة للفهرسة، والسجلّات (مع مراعاة مدد الاحتفاظ الواردة في سياسة الخصوصية: نصّ الاستعلامات — 90 يومًا، ومخرجات الفهرسة — عادةً 7 أيام؛ وعناوين IP لا تُخزَّن).
11. التدقيق والمعلومات
يتيح المعالِج للمتحكّم المعلومات اللازمة على نحو معقول لإثبات الامتثال لالتزاماته بموجب المادة 28 من GDPR، ويسمح بعمليات التدقيق ويسهم فيها، بما في ذلك عمليات التفتيش التي يجريها المتحكّم أو مدقِّق يفوّضه، بقدر معقول، وبإشعار مسبق، وخلال ساعات العمل، وبسرّية، وبطريقة لا تمسّ أمن العملاء الآخرين. ويجوز استخدام ضمانات المعالِجين الفرعيين (مثل تقارير امتثال Google وشهاداتها، ومنها ISO 27001) لإثبات الامتثال.
12. عمليات النقل الدولية
يعتمد نقل البيانات الشخصية من المنطقة الاقتصادية الأوروبية (EEA) إلى المعالِج في إسرائيل على قرار الكفاية الصادر عن المفوضية الأوروبية بشأن إسرائيل؛ ولا يلزم إبرام بنود تعاقدية قياسية منفصلة لهذا المسار، لكن إذا سُحِب قرار الكفاية يلجأ الطرفان إلى البنود التعاقدية القياسية (SCC).
ويخضع النقل إلى خدمات Google لـ Cloud Data Processing Addendum من Google، وعند الحاجة، للبنود التعاقدية القياسية (SCC) و/أو إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة (EU-US DPF). ووفق اختيار المتحكّم، تُستخدَم منطقة Google أوروبية لبيانات عملاء الاتحاد الأوروبي لتقليل النقل عبر الحدود.
ويعتمد النقل من إسرائيل إلى Google على لوائح حماية الخصوصية الإسرائيلية (نقل البيانات إلى الخارج) لعام 2001، اللائحة 2(4) (التزام المتلقّي بضمان ظروف تخزين واستخدام مكافئة للقانون الإسرائيلي). وبالنسبة إلى بيانات المنطقة الاقتصادية الأوروبية، تنطبق إضافةً لوائح المنطقة الاقتصادية الأوروبية الإسرائيلية لعام 2023 (اللوائح 3–7) على معالجة بيانات أصحاب البيانات في المنطقة الاقتصادية الأوروبية.
13. شروط CCPA / قوانين الولايات الأمريكية
بالقدر الذي ينطبق فيه CCPA/CPRA، يعمل المعالِج بصفته مزوّد خدمة ويعالج المعلومات الشخصية فقط للغرض التجاري المحدَّد المتمثّل في تقديم الخدمة. ولا يبيع المعالِج المعلومات الشخصية ولا "يشاركها"، ولا يحتفظ بها أو يستخدمها أو يفصح عنها خارج العلاقة التجارية المباشرة مع المتحكّم أو لأي غرض آخر، ولا يجمعها ببيانات من مصادر أخرى إلا بما يسمح به CCPA. ويضمن المعالِج التزامات مكافئة لمعالِجيه الفرعيين.
14. القانون الإسرائيلي (PPL / Amendment 13)
بما أنّ المعالِج مقيمٌ في إسرائيل، ينطبق قانون حماية الخصوصية (PPL) بصيغته المعدَّلة بـ Amendment 13 (النافذ منذ 14 August 2025) على المعالجة؛ وقد واءم القانون الإسرائيلي مع GDPR (مصطلحات المتحكّم/المعالِج، وشفافية معالجة الذكاء الاصطناعي، وتعزيز إنفاذ PPA، والإخطار بالخروقات). ويلتزم المعالِج بـ لوائح حماية الخصوصية (أمن البيانات) لعام 2017 فيما يخصّ البيانات التي يعالجها. وفي حادث جسيم، ينطبق نظام إخطار PPA الوارد في قسم "الإخطار بالخروقات". ويؤكّد الطرفان تعيين جهة اتصال للخصوصية (مسؤول خصوصية / جهة اتصال — انظر سياسة الخصوصية).
15. أحكام عامة
اختيار القانون الإسرائيلي واختصاص محاكم تل أبيب-يافا (انظر الشروط) لا يُلغي الالتزامات الإلزامية بموجب GDPR وCCPA وPPL — فتوزيع المسؤولية يُحدَّد بحكم القانون. وفي حال التعارض، تسود هذه الاتفاقية فيما يخصّ معالجة البيانات الشخصية. جهات اتصال المعالِج (المتحكّم في الخدمة) وجهة اتصال الخصوصية مبيَّنة في سياسة الخصوصية.