اتفاقيّة معالجة البيانات

1. التعريفات

• "جهة التحكُّم": المنشأة التي تستخدم المنصّة وتُحدِّد أغراض ووسائل معالجة بيانات أطرافها (عملائها، موردِّيها، موظّفيها).
• "جهة المعالجة": شركة مدروس 360، التي تُعالج البيانات نيابةً عن المنشأة وفق تعليماتها المُوثَّقة في هذه الاتفاقيّة.
• "بيانات أطراف المنشأة": البيانات الشخصيّة للعملاء، الموردين، الموظّفين، وأيّ أطراف ثالثة تُدخلها المنشأة في المنصّة.
• "المُعالِج الفرعي": أيّ طرف ثالث تستعين به جهة المعالجة لأداء جزء من المعالجة.

2. نطاق المعالجة

تُعالج جهة المعالجة بيانات أطراف المنشأة حصراً للأغراض التالية:

• تخزين السجلّات المحاسبية وتنفيذ العمليّات المُطلَب تنفيذها (إصدار فواتير، تسجيل مدفوعات، إعداد تقارير).
• إصدار الفواتير الإلكترونيّة وتقديمها لهيئة الزكاة والضريبة والجمارك حين تُفعِّل المنشأة هذه الميزة.
• إرسال الفواتير عبر البريد الإلكتروني إلى عملاء المنشأة باسم المنشأة (وليس باسمنا).
• الاحتفاظ بالنسخ الاحتياطيّة وفق سياسة الاحتفاظ بالبيانات.
• تنفيذ ميزات الذكاء الاصطناعي (قراءة فواتير الموردين) فقط بطلب صريح من المستخدم.

3. مدّة المعالجة

طوال فترة الاشتراك في المنصّة، بالإضافة إلى فترة الاحتفاظ النظاميّة (6 سنوات للسجلّات المحاسبية بعد انتهاء السنة الماليّة).

4. التزامات جهة المعالجة

• معالجة البيانات حصراً وفق تعليمات جهة التحكُّم الموثَّقة في هذه الاتفاقيّة.
• ضمان أنّ كل مَن يصل إلى البيانات من موظّفينا مُلزَم بالسرّيّة.
• تطبيق التدابير الفنّيّة والتنظيميّة المنصوص عليها في القسم 7.
• مساعدة جهة التحكُّم في الردّ على طلبات أصحاب البيانات (الاطّلاع، التصحيح، الحذف) خلال 30 يوماً من الطلب.
• إشعار جهة التحكُّم خلال 72 ساعة من اكتشاف أيّ خرق أمني يُؤثّر على بياناتها.
• حذف أو إعادة جميع البيانات بعد انتهاء الخدمة وفق اختيار جهة التحكُّم (مع مراعاة الالتزامات النظاميّة بالاحتفاظ).

5. التزامات جهة التحكُّم

• الحصول على الموافقات اللازمة من أصحاب البيانات (عملاء المنشأة، موظّفيها) قبل إدخال بياناتهم في المنصّة.
• ضمان دقّة وحداثة البيانات المُدخَلة.
• التصرُّف وفق نظام حماية البيانات الشخصيّة في المملكة العربية السعودية كجهة مسؤولة.
• الردّ المباشر على أصحاب البيانات في طلباتهم؛ تُساعد جهة المعالجة فنّيّاً.
• عدم تكليف جهة المعالجة بأيّ معالجة تخالف الأنظمة المعمول بها.

6. المعالِجون الفرعيّون

قائمة المُعالِجين الفرعيّين الحاليّة منشورة في القسم 5 من سياسة الخصوصيّة. عند إضافة مُعالِج فرعي جديد لمعالجة بيانات أطراف المنشأة، نُشعركم قبل 30 يوماً ويحقّ لكم الاعتراض. في حال الاعتراض، نسعى للاتفاق على بديل؛ إن تعذّر، يحقّ لجهة التحكُّم إنهاء الاشتراك مع استرداد القيمة المتبقيّة على أساس تناسبي.

7. التدابير الفنّيّة والتنظيميّة

• تشفير البيانات أثناء النقل (TLS 1.3) والتخزين (AES-256-GCM للبيانات الحسّاسة).
• عزل بيانات كل منشأة على مستوى قاعدة البيانات.
• مصادقة قويّة، جلسات قصيرة، حماية من تثبيت الجلسات (Session Fixation).
• سلسلة تجزئة محصَّنة ضدّ التلاعب على السجلّات الماليّة.
• نسخ احتياطيّة منتظمة في تخزين معزول غير قابل للتعديل (WORM).
• صلاحيّات محدّدة (RBAC)، فصل المهام (SoD)، وسجلّ تدقيق جنائي بمستوى الحقل.
• مراجعة أمنيّة دوريّة، فحص التبعيّات، نمذجة التهديدات.

8. حقّ التدقيق

يحقّ لجهة التحكُّم — أو مدقّق مستقلّ تُعيِّنه — مراجعة امتثالنا لهذه الاتفاقيّة مرّة سنويّاً، بإشعار مسبق لا يقلّ عن 30 يوماً، وعلى نفقة جهة التحكُّم. تشمل المراجعة الاطّلاع على شهادات الامتثال، وثائق الإجراءات الأمنيّة، ونتائج آخر فحص أمني.

9. النقل الدولي للبيانات

بعض المعالجة تتمّ عبر مُعالِجين فرعيّين خارج المملكة العربية السعودية. تَنطبق ضمانات الحماية الموصوفة في القسم 6 من سياسة الخصوصيّة.

10. حدود المسؤوليّة

تنطبق حدود المسؤوليّة المنصوص عليها في شروط الاستخدام (القسم 10) على هذه الاتفاقيّة. لا تُقلّل هذه الحدود من المسؤوليّة المنصوص عليها قانوناً عن خرق نظام حماية البيانات الشخصيّة.

11. مدّة الاتفاقيّة وإنهاؤها

تنطبق هذه الاتفاقيّة طوال فترة الاشتراك. يحقّ لأيّ طرف إنهاؤها بالإشعار الكتابي قبل 30 يوماً، أو فوراً في حالة الإخلال الجسيم. عند الإنهاء، تستمرّ الالتزامات المتعلِّقة بالحذف والاحتفاظ النظامي.

12. القانون الواجب التطبيق

تخضع هذه الاتفاقيّة لأنظمة المملكة العربية السعودية، خاصّة نظام حماية البيانات الشخصيّة ولائحته التنفيذيّة. أيّ نزاع يُحال إلى المحكمة التجاريّة المختصّة في الرياض.