اتفاقية معالجة البيانات

آخر تحديث: 23 مايو 2026

تُبرَم اتفاقية معالجة البيانات هذه ("DPA") بين Monoid ("المعالج") ومالك الموقع الذي يستخدم خدمة تحليلات Monoid ("المراقب"). تشكّل جزءًا من شروط الاستخدام وتحكم معالجة البيانات الشخصية التي يجريها Monoid بالنيابة عن المراقب.

1. التعريفات

تحمل "البيانات الشخصية" و"المراقب" و"المعالج" و"صاحب البيانات" و"المعالجة" و"السلطة الإشرافية" المعاني الواردة في اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR) 2016/679. يعني "المعالج الفرعي" أي طرف ثالث يستعين به المعالج لمعالجة البيانات الشخصية بموجب هذه DPA.

2. الموضوع وطبيعة المعالجة

يقدم المعالج تحليلات ويب تضع الخصوصية أولاً. تتألف المعالجة من: استقبال إشارات مشاهدات الصفحات المُخفية لزوار موقع المراقب، وحساب تجزئة زائر SHA-256 يومية متدوّرة (IP + User-Agent + ملح من جانب الخادم + التاريخ)، وتخزين بيانات التحليلات المجمَّعة (مسارات الصفحات، أسماء مضيفات المصادر، رموز الدول، أنواع الأجهزة، عائلات المتصفحات، أعداد الزوار اليومية)، وإتاحة الإحصاءات المجمَّعة في لوحة تحكم المراقب. تُستخدم عناوين IP الخام وسلاسل User-Agent فقط في الذاكرة لحساب التجزئة ولا تُخزَّن أبدًا.

3. المدة

تسري هذه DPA طالما يحتفظ المراقب بحساب Monoid. تنتهي تلقائيًا عند حذف الحساب.

4. التزامات المعالج (المادة 28(3) من GDPR)

يتعين على المعالج:

  • معالجة البيانات الشخصية فقط بناءً على تعليمات موثَّقة من المراقب، إلا حيث يقتضي القانون المعمول به ذلك.
  • ضمان أن الأشخاص المخوّلين بمعالجة البيانات الشخصية قد ألزموا أنفسهم بالسرية أو أنهم تحت التزام قانوني مناسب بالسرية.
  • تنفيذ تدابير تقنية وتنظيمية مناسبة (المادة 32 من GDPR) — تشمل النقل عبر HTTPS فقط، وتجزئة كلمات المرور PBKDF2-SHA256، وكوكيز جلسة httpOnly، والتحقق من الطلبات عبر Zod، وتحديد المعدّل على جميع نقاط النهاية الحساسة.
  • عدم الاستعانة بمعالج فرعي دون إذن مكتوب مسبق من المراقب (يُمنح الإذن بقبول هذه الشروط وDPA؛ المعالجات الفرعية المذكورة في القسم 6 مُصرَّح بها مسبقًا بموجب هذا).
  • مساعدة المراقب في تلبية طلبات أصحاب البيانات (الوصول، الحذف، النقل، الاعتراض) عبر توفير أدوات على مستوى الحساب الموثَّقة في /privacy، وعند الاستحالة التقنية، الرد على الطلبات عبر البريد الإلكتروني خلال 30 يومًا.
  • مساعدة المراقب في التزاماته بموجب المواد 32-36 من GDPR، بما في ذلك توفير المعلومات اللازمة لإثبات الامتثال، ودعم تقييمات أثر حماية البيانات، والتعاون مع السلطات الإشرافية.
  • حذف أو إرجاع جميع البيانات الشخصية إلى المراقب في نهاية الخدمة، وحذف النسخ الموجودة ما لم يقتضِ القانون المعمول به التخزين. يُطلق حذف الحساب إزالة فورية متسلسلة لجميع بيانات التحليلات.
  • إتاحة كل المعلومات اللازمة لإثبات الامتثال لهذه DPA والسماح بإجراء عمليات التدقيق والفحص التي يجريها المراقب أو مدقّق مفوّض من قِبَله والمساهمة فيها.

5. التزامات المراقب

يتعين على المراقب: (أ) ضمان وجود أساس قانوني لتعليم المعالج بمعالجة البيانات الشخصية؛ (ب) ضمان نشر سكربت المتعقّب فقط على المواقع التي يمتلكها أو يتحكم بها المراقب؛ (ج) تضمين إفصاح مناسب عن خدمة التحليلات في سياسة الخصوصية الخاصة به؛ (د) إخطار المعالج فورًا بأي تغييرات في تعليمات المعالجة.

6. المعالجات الفرعية

يُصرّح المراقب بالمعالجات الفرعية التالية:

  • Cloudflare, Inc. (الولايات المتحدة) — حوسبة الحافة وبنية قاعدة بيانات D1 التحتية. آلية النقل: البنود التعاقدية القياسية للاتحاد الأوروبي (SCCs)، إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة، DPF السويسري-الأمريكي، IDTA المملكة المتحدة. DPA: cloudflare.com/trust-hub/gdpr/
  • Resend, Inc. (الولايات المتحدة) — تسليم البريد المعاملاتي. آلية النقل: SCCs الاتحاد الأوروبي. DPA: resend.com/legal/dpa
  • Stripe, Inc. (الولايات المتحدة) — معالجة المدفوعات (فوترة المراقب فقط؛ لا تُشارَك أي بيانات تحليلات زوار مع Stripe). آلية النقل: SCCs الاتحاد الأوروبي، DPF الاتحاد الأوروبي-الولايات المتحدة، IDTA المملكة المتحدة. DPA: stripe.com/legal/dpa

سيقدم المعالج إشعارًا مكتوبًا مسبقًا لا يقل عن 30 يومًا (عبر البريد الإلكتروني للحساب المسجّل) بأي تغييرات مقصودة على المعالجات الفرعية، مما يمنح المراقب الفرصة للاعتراض.

7. عمليات النقل الدولية

قد تُنقل البيانات الشخصية إلى الولايات المتحدة عبر المعالجات الفرعية المذكورة في القسم 6. تخضع كل عملية نقل لضمان مناسب (SCCs الاتحاد الأوروبي، إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة، DPF السويسري-الأمريكي، أو IDTA المملكة المتحدة) كما هو مذكور أعلاه. لا تحدث عمليات نقل أخرى إلى دول ثالثة.

8. الأمان والإخطار بالخروقات

يخطر المعالج المراقب دون تأخير لا مبرر له، وعلى أي حال خلال 24 ساعة، بعد علمه بخرق بيانات شخصية يؤثر على البيانات المعالَجة بموجب هذه DPA. سيُجرى الإخطار إلى البريد الإلكتروني للحساب المسجّل للمراقب وسيشمل: طبيعة الخرق، فئات أصحاب البيانات والسجلات المتأثرة وعددها التقريبي، العواقب المحتملة، والتدابير المتخذة أو المقترحة.

9. حقوق التدقيق

يجوز للمراقب طلب ملخّص مكتوب للتدابير الأمنية للمعالج مرة في السنة التقويمية. حيث يفرض شرط تنظيمي إجراء تدقيق ميداني، يتفق الطرفان على التوقيت والنطاق والتزامات السرية مسبقًا.

10. القانون الحاكم

تخضع هذه DPA لقوانين البرازيل، إلا حيث يمنح قانون حماية البيانات الإلزامي للاتحاد الأوروبي أو المملكة المتحدة أو سويسرا المراقب حقوقًا إضافية لا يمكن التنازل عنها.

11. التواصل

أسئلة حول هذه DPA: monoid@monoid.website