اتفاقية معالجة البيانات (DPA)
مرجع الوثيقة: GRSCIA-DPA-2025-V2.0 الإصدار: 2.0 تاريخ السريان: 1 يناير 2025 آخر تحديث: 4 يناير 2026 المعيار المنظم: ADHICS V2 (معيار أبوظبي لأمن المعلومات والأمن السيبراني في قطاع الرعاية الصحية)
أطراف هذه الاتفاقية
معالج البيانات:
GRSCIA، بإدارة وتشغيل سايزوشير لخدمات التفتيش والتدقيق - ذ.م.م - شركة الشخص الواحد رقم السجل التجاري: CN-5499111 العنوان: وسط المدينة, الربينة, 118 : شارع حصة بنت محمد , مبنى, الشيخه شمسه بنت زايد بن سلطان الهاتف: +971501123842 البريد الإلكتروني: info@grscia.ae (يُشار إليه فيما بعد بـ "المعالج" أو "GRSCIA" أو "نحن" أو "لنا")
مراقب البيانات:
الجهة المشتركة في خدمات GRSCIA كما هو محدد في اتفاقية الاشتراك المعمول بها. (يُشار إليه فيما بعد بـ "المراقب" أو "العميل" أو "أنت" أو "لك")
يُشار إلى المعالج والمراقب بشكل فردي بـ "الطرف" وبشكل جماعي بـ "الأطراف".
الديباجة
حيث إن:
أ. المراقب هو جهة رعاية صحية أو مزود خدمات يعمل في إمارة أبوظبي ويخضع لمعيار أبوظبي لأمن المعلومات والأمن السيبراني في قطاع الرعاية الصحية (ADHICS) والقانون الاتحادي رقم 2 لسنة 2019 بشأن استخدام تقنية المعلومات والاتصالات في مجال الرعاية الصحية.
ب. يوفر المعالج منصة لإدارة الامتثال في الرعاية الصحية تعالج البيانات الشخصية والمعلومات الصحية المحمية نيابة عن المراقب.
ج. يرغب الطرفان في تحديد التزاماتهما المتبادلة فيما يتعلق بمعالجة البيانات الشخصية امتثالاً لمعيار ADHICS ومتطلبات حماية البيانات في دولة الإمارات العربية المتحدة والقوانين المعمول بها.
د. تحدد اتفاقية معالجة البيانات هذه ("الاتفاقية" أو "DPA") الشروط والأحكام التي بموجبها سيقوم المعالج بمعالجة البيانات الشخصية نيابة عن المراقب.
والآن، لذلك، يتفق الطرفان على ما يلي:
1. التعاريف والتفسير
1.1 التعاريف
في هذه الاتفاقية، يكون للمصطلحات التالية المعاني المنسوبة إليها:
| المصطلح | التعريف |
|---|---|
| "ADHICS" | معيار أبوظبي لأمن المعلومات والأمن السيبراني في قطاع الرعاية الصحية، الإصدار 2، كما نشرته وعدلته دائرة الصحة - أبوظبي |
| "قانون حماية البيانات المعمول به" | جميع القوانين واللوائح المعمول بها فيما يتعلق بمعالجة البيانات الشخصية، بما في ذلك القانون الاتحادي رقم 2 لسنة 2019 ومعيار ADHICS وأي تشريع اتحادي أو على مستوى الإمارة معمول به في دولة الإمارات العربية المتحدة |
| "خرق البيانات" | أي انتهاك للأمن يؤدي إلى الإتلاف أو الفقدان أو التغيير أو الإفصاح غير المصرح به أو الوصول إلى البيانات الشخصية المنقولة أو المخزنة أو المعالجة بطريقة أخرى بشكل عرضي أو غير قانوني |
| "صاحب البيانات" | شخص طبيعي محدد أو قابل للتحديد تتعلق به البيانات الشخصية |
| "دائرة الصحة" | دائرة الصحة - أبوظبي |
| "البيانات الشخصية" | أي معلومات تتعلق بشخص طبيعي محدد أو قابل للتحديد، بما في ذلك على سبيل المثال لا الحصر معلومات التعريف الشخصية (PII) والمعلومات الصحية المحمية (PHI) |
| "المعلومات الصحية المحمية (PHI)" | البيانات الديموغرافية والطبية والتأمينية وغيرها من البيانات التي يجمعها متخصصو الرعاية الصحية لتحديد هوية المريض وتقديم الرعاية له |
| "معلومات التعريف الشخصية (PII)" | المعلومات التي يمكن استخدامها لتحديد هوية الفرد، بما في ذلك الاسم والهوية الإماراتية ورقم الهاتف المحمول والبريد الإلكتروني والعنوان والبيانات البيومترية وعنوان IP ومعرفات مشابهة |
| "المعالجة" | أي عملية يتم إجراؤها على البيانات الشخصية، بما في ذلك الجمع والتسجيل والتنظيم والهيكلة والتخزين والتكيف والاسترجاع والاستشارة والاستخدام والإفصاح والنشر والمواءمة والجمع والتقييد والمحو أو الإتلاف |
| "حادثة أمنية" | أي وصول غير مصرح به فعلي أو مشتبه به بشكل معقول أو الحصول على أو استخدام أو الإفصاح عن البيانات الشخصية |
| "الخدمات" | منصة GRSCIA لإدارة الامتثال في الرعاية الصحية والخدمات ذات الصلة المقدمة بموجب اتفاقية الخدمة الرئيسية |
| "المعالج الفرعي" | أي طرف ثالث يعينه المعالج لمعالجة البيانات الشخصية نيابة عن المراقب |
| "الإمارات" | دولة الإمارات العربية المتحدة |
1.2 التفسير
1.2.1 تشمل الإشارات إلى "الكتابة" أو "المكتوب" البريد الإلكتروني والاتصالات الإلكترونية الأخرى.
1.2.2 العناوين للتسهيل فقط ولا تؤثر على التفسير.
1.2.3 تشمل الإشارات إلى التشريعات التعديلات وإعادة السن واللوائح الصادرة بموجبها.
1.2.4 في حالة التعارض بين هذه الاتفاقية والاتفاقيات الأخرى بين الأطراف، تسود هذه الاتفاقية فيما يتعلق بمسائل حماية البيانات.
2. نطاق وغرض المعالجة
2.1 الموضوع
تحكم هذه الاتفاقية معالجة البيانات الشخصية من قبل المعالج فيما يتعلق بتوفير الخدمات للمراقب.
2.2 طبيعة وغرض المعالجة
يقوم المعالج بمعالجة البيانات الشخصية فقط للأغراض التالية:
| الغرض | الوصف |
|---|---|
| تقديم الخدمة | تشغيل وصيانة منصة GRSCIA، بما في ذلك مصادقة المستخدم وإدارة الوصول ووظائف الميزات |
| إدارة الامتثال | تمكين المراقب من إدارة امتثال ADHICS، بما في ذلك التقييمات وإدارة الأدلة وإعداد التقارير |
| إدارة الوثائق | تخزين ومعالجة وإدارة الوثائق التي يرفعها المراقب |
| إدارة الموارد البشرية | معالجة بيانات الموظفين والمتعاقدين لتتبع الامتثال وسير عمل الإعداد |
| إدارة الحوادث | تسجيل وتتبع والإبلاغ عن الحوادث الأمنية والانتهاكات |
| إدارة الأصول | الاحتفاظ بسجلات الأصول وتكويناتها الأمنية |
| سجل المراجعة | الاحتفاظ بالسجلات ومسارات المراجعة لأغراض الامتثال والأمن |
| خدمات الذكاء الاصطناعي | توفير مساعدة الامتثال المدعومة بالذكاء الاصطناعي ومعالجة الوثائق وإنشاء قوائم المراجعة |
| الدعم الفني | تقديم خدمات دعم العملاء واستكشاف الأخطاء وإصلاحها |
| تحسين المنصة | تحليل بيانات الاستخدام المجمعة والمجهولة لتحسين الخدمات |
2.3 فئات أصحاب البيانات
قد تتعلق البيانات الشخصية المعالجة بموجب هذه الاتفاقية بفئات أصحاب البيانات التالية:
- موظفو المراقب
- المتعاقدون وموظفو الطرف الثالث المعينون من قبل المراقب
- مرضى المراقب (حسب الاقتضاء)
- زوار مرافق المراقب
- البائعون والشركاء التجاريون للمراقب
- مستخدمو أنظمة المراقب
- أي أفراد آخرين يتم تحميل بياناتهم على المنصة من قبل المراقب
2.4 أنواع البيانات الشخصية
قد يتم معالجة الأنواع التالية من البيانات الشخصية:
2.4.1 معلومات التعريف الشخصية (PII)
- الاسم الكامل
- رقم الهوية الإماراتية
- رقم جواز السفر
- تاريخ الميلاد
- الجنس
- الجنسية
- معلومات الاتصال (البريد الإلكتروني، الهاتف، العنوان)
- الصور والصور الفوتوغرافية
- البيانات البيومترية (حسب الاقتضاء)
- عناوين IP ومعرفات الأجهزة
- معلومات التوظيف (المسمى الوظيفي، القسم، رقم الموظف)
- المؤهلات التعليمية والمهنية
2.4.2 المعلومات الصحية المحمية (PHI)
- أرقام السجلات الطبية
- البيانات الديموغرافية للمريض
- معلومات التشخيص والعلاج
- نتائج المختبر والتصوير
- بيانات الوصفات الطبية والأدوية
- معلومات التأمين
- ملاحظات مقدمي الرعاية الصحية
- سجلات المواعيد والزيارات
- سجلات التطعيم
- معلومات الصحة النفسية
- المعلومات الوراثية
- أي بيانات أخرى متعلقة بالصحة يرفعها المراقب
2.4.3 البيانات الشخصية الحساسة
- المعتقدات الدينية (حيثما كانت ذات صلة بالرعاية الصحية)
- البيانات البيومترية
- نتائج فحص السجل الجنائي
- البيانات المتعلقة بالصحة
- البيانات المتعلقة بالتوجه الجنسي (حيثما كانت ذات صلة بالرعاية الصحية)
2.5 مدة المعالجة
تستمر المعالجة طوال مدة اتفاقية الخدمة الرئيسية وأي فترة انتقالية معمول بها، ما لم ينص على خلاف ذلك أو يقتضيه القانون.
3. التزامات المعالج
3.1 الالتزامات العامة
يجب على المعالج:
3.1.1 معالجة البيانات الشخصية فقط بناءً على تعليمات موثقة من المراقب، بما في ذلك فيما يتعلق بالنقل إلى دول ثالثة أو منظمات دولية، ما لم يكن ذلك مطلوبًا بموجب قانون الإمارات. في مثل هذه الحالات، يجب على المعالج إبلاغ المراقب بالمتطلب القانوني قبل المعالجة، ما لم يكن ذلك محظورًا بموجب القانون.
3.1.2 التأكد من أن الأشخاص المصرح لهم بمعالجة البيانات الشخصية قد التزموا بالسرية أو يخضعون لالتزام قانوني مناسب بالسرية.
3.1.3 تنفيذ التدابير التقنية والتنظيمية المناسبة لضمان مستوى من الأمن يتناسب مع المخاطر، كما هو مفصل في القسم 5.
3.1.4 عدم إشراك معالج آخر (معالج فرعي) دون تفويض كتابي محدد أو عام مسبق من المراقب، كما هو مفصل في القسم 6.
3.1.5 مساعدة المراقب في ضمان الامتثال لالتزاماته فيما يتعلق بأمن المعالجة، والإخطار بانتهاكات البيانات، وتقييمات الأثر على حماية البيانات، والاستشارة المسبقة مع السلطات الإشرافية.
3.1.6 بناءً على اختيار المراقب، حذف أو إرجاع جميع البيانات الشخصية بعد نهاية تقديم الخدمات، وحذف النسخ الموجودة ما لم يكن التخزين مطلوبًا بموجب القانون.
3.1.7 إتاحة جميع المعلومات اللازمة للمراقب لإثبات الامتثال لهذه الاتفاقية والسماح بعمليات التدقيق، بما في ذلك عمليات التفتيش التي يجريها المراقب أو مدقق يفوضه المراقب والمساهمة فيها.
3.1.8 إبلاغ المراقب على الفور إذا كان المعالج يرى أن التعليمات تنتهك قانون حماية البيانات المعمول به.
3.2 الالتزامات الخاصة بمعيار ADHICS
وفقًا لمتطلبات ADHICS، يجب على المعالج:
3.2.1 تنفيذ الضوابط وفقًا لفئة ضوابط "مزود الخدمة" المحددة في ADHICS V2.
3.2.2 تطبيق إقامة صارمة داخل دولة الإمارات على قاعدة بيانات المنصة وقواعد بيانات المستأجرين، وضمان أن أي استثناء معتمد للمعالجة غير المرتبطة بقاعدة البيانات يكون موثقاً ومحمياً تعاقدياً ومفصحاً عنه للمتحكم.
3.2.3 الحفاظ على شهادة امتثال ADHICS وتقديم دليل على هذا الامتثال عند الطلب.
3.2.4 دعم المراقب في تلبية التزامات امتثال ADHICS من خلال توفير الوثائق والتقارير ودعم التدقيق اللازم.
3.2.5 تنفيذ ضوابط الوصول التي تضمن أن الموظفين المصرح لهم فقط الذين لديهم حاجة مشروعة يمكنهم الوصول إلى البيانات الشخصية.
3.2.6 الحفاظ على سجلات تدقيق شاملة لجميع الوصول إلى البيانات الشخصية ومعالجتها.
3.2.7 إخطار دائرة الصحة بالحوادث الأمنية وفقًا لمتطلبات الإبلاغ عن الحوادث في ADHICS، بالتنسيق مع المراقب.
3.3 القيود على المعالجة
يجب على المعالج عدم:
3.3.1 معالجة البيانات الشخصية لأي غرض غير المحدد في هذه الاتفاقية أو كما تعليمات المراقب.
3.3.2 بيع أو تأجير أو استئجار أو استغلال البيانات الشخصية تجاريًا بطريقة أخرى.
3.3.3 استخدام البيانات الشخصية للتنميط أو اتخاذ القرارات الآلية أو أغراض التسويق دون موافقة كتابية صريحة من المراقب.
3.3.4 تجميع البيانات الشخصية مع بيانات من مصادر أخرى لأغراض المعالج الخاصة.
3.3.5 نقل البيانات الشخصية خارج الإمارات دون الامتثال لمتطلبات القسم 7.
3.3.6 الوصول إلى أو استخدام أو الإفصاح عن البيانات الشخصية إلا حسب الضرورة لأداء الخدمات أو كما يقتضيه القانون.
4. التزامات المراقب
4.1 الالتزامات العامة
يجب على المراقب:
4.1.1 التأكد من أن لديه أساسًا قانونيًا لمعالجة البيانات الشخصية وأنه تم الحصول على جميع الموافقات اللازمة من أصحاب البيانات.
4.1.2 تقديم تعليمات موثقة للمعالج فيما يتعلق بمعالجة البيانات الشخصية.
4.1.3 التأكد من دقة واكتمال وقانونية البيانات الشخصية المقدمة للمعالج.
4.1.4 الامتثال لجميع قوانين حماية البيانات المعمول بها في استخدامه للخدمات ومعالجة البيانات الشخصية.
4.1.5 إخطار المعالج على الفور بأي تغييرات في تعليمات المعالجة أو متطلبات حماية البيانات.
4.1.6 تنفيذ تدابير أمنية مناسبة داخل أنظمته وعملياته الخاصة.
4.1.7 تدريب موظفيه على متطلبات حماية البيانات والاستخدام المقبول للخدمات.
4.2 الالتزامات الخاصة بمعيار ADHICS
يجب على المراقب:
4.2.1 الحفاظ على المسؤولية الشاملة عن امتثال ADHICS داخل مؤسسته.
4.2.2 التأكد من أن تعليمات المعالجة للمعالج تتوافق مع متطلبات ADHICS.
4.2.3 إخطار دائرة الصحة بانتهاكات البيانات ضمن المواعيد الزمنية المحددة من قبل ADHICS، بمساعدة من المعالج.
4.2.4 إجراء تقييمات الأثر على حماية البيانات حسب الاقتضاء.
4.2.5 تعيين الموظفين المناسبين (مثل CISO و DPO) كما هو مطلوب من قبل ADHICS.
4.2.6 الاحتفاظ بسجلات أنشطة المعالجة.
4.3 الضمانات
يضمن المراقب أن:
4.3.1 جميع البيانات الشخصية المقدمة للمعالج تم جمعها بشكل قانوني ووفقًا لقانون حماية البيانات المعمول به.
4.3.2 لقد قدم إشعارات الخصوصية المناسبة لأصحاب البيانات.
4.3.3 لقد حصل على جميع الموافقات اللازمة للمعالجة الموصوفة في هذه الاتفاقية.
4.3.4 تعليماته للمعالج تتوافق مع قانون حماية البيانات المعمول به.
5. التدابير الأمنية
5.1 التدابير التقنية
يجب على المعالج تنفيذ والحفاظ على التدابير الأمنية التقنية التالية:
5.1.1 التشفير
| الإجراء | المواصفات |
|---|---|
| البيانات في حالة السكون | تشفير AES-256-GCM |
| البيانات في حالة النقل | TLS 1.3 (الحد الأدنى TLS 1.2) |
| إدارة المفاتيح | مفاتيح محمية بـ HSM (السحابة)، مفاتيح يديرها العميل (BYOD) |
| تشفير النسخ الاحتياطي | AES-256 مع تخزين مفتاح منفصل |
5.1.2 التحكم في الوصول
- مصادقة متعددة العوامل (MFA) إلزامية لجميع المستخدمين
- التحكم في الوصول المستند إلى الدور (RBAC) مع مبدأ الامتياز الأقل
- معرفات وبيانات اعتماد فريدة للمستخدم
- انتهاء الجلسة التلقائي وإعادة المصادقة
- مراقبة محاولات تسجيل الدخول الفاشلة والإغلاق
- إدارة الوصول المميز
5.1.3 أمن الشبكة
- جدار الحماية وأنظمة الكشف/المنع من التطفل
- تقسيم الشبكة وعزلها
- حماية DDoS
- بوابة API آمنة مع تحديد المعدل
- mTLS لاتصالات الوكيل (عمليات نشر BYOD)
5.1.4 أمن التطبيقات
- دورة حياة تطوير البرمجيات الآمنة (SDLC)
- مراجعات أمن الكود المنتظمة (التحليل الثابت والديناميكي)
- فحص ثغرات التبعية
- التحقق من صحة الإدخال وترميز الإخراج
- الحماية ضد أفضل 10 ثغرات أمنية في OWASP
5.1.5 المراقبة والتسجيل
- تسجيل شامل للتدقيق مع هاش SHA-256 المقاوم للتلاعب
- مراقبة الأمن في الوقت الفعلي والتنبيه
- تجميع السجلات وربطها
- الحد الأدنى لاحتفاظ السجلات لمدة عامين
- الكشف عن الشذوذ
5.2 التدابير التنظيمية
يجب على المعالج تنفيذ والحفاظ على التدابير الأمنية التنظيمية التالية:
5.2.1 أمن الموظفين
- فحوصات الخلفية للموظفين الذين لديهم وصول إلى البيانات الشخصية
- اتفاقيات السرية والتزامات عدم الإفصاح
- تدريب منتظم على الوعي الأمني
- مبدأ الوصول على أساس الحاجة إلى المعرفة
- إجراءات تأديبية لانتهاكات الأمن
5.2.2 الأمن المادي
- مرافق مركز البيانات الآمنة داخل دولة الإمارات العربية المتحدة
- ضوابط الوصول المادي (البيومترية، الوصول بالبطاقة)
- الضوابط البيئية (إخماد الحريق، التحكم في المناخ)
- مراقبة ومراقبة على مدار الساعة طوال أيام الأسبوع
- إجراءات إدارة الزوار
5.2.3 الأمن التشغيلي
- سياسات وإجراءات أمنية موثقة
- عمليات إدارة التغيير
- إدارة التصحيحات (حرجة: 24 ساعة، عالية: 7 أيام، متوسطة: 30 يومًا)
- برنامج إدارة الثغرات
- تخطيط استمرارية الأعمال والتعافي من الكوارث
5.2.4 أمن الطرف الثالث
- تقييم أمن المعالجين الفرعيين
- متطلبات أمنية تعاقدية للمعالجين الفرعيين
- مراقبة مستمرة لامتثال المعالجين الفرعيين
5.3 التقييمات الأمنية
يجب على المعالج:
5.3.1 إجراء تقييمات الثغرات على الأقل أسبوعيًا.
5.3.2 إجراء اختبار الاختراق على الأقل سنويًا من قبل أطراف ثالثة مستقلة مؤهلة.
5.3.3 الحفاظ على الشهادات والتقييمات الأمنية الحالية كما هو محدد في اتفاقية مستوى الخدمة.
5.3.4 تقديم تقارير التقييم الأمني للمراقب عند الطلب المعقول.
6. المعالجون الفرعيون
6.1 التفويض العام
يوفر المراقب تفويضًا عامًا للمعالج لإشراك المعالجين الفرعيين، مع مراعاة متطلبات هذا القسم.
6.2 قائمة المعالجين الفرعيين
يجب على المعالج الاحتفاظ بقائمة محدثة للمعالجين الفرعيين في سجل عام وفي الملحق (ج) من هذه الاتفاقية. السجل العام متاح عبر:
اعتباراً من تاريخ سريان هذه الاتفاقية، تشمل الجهات المعتمدة:
| المعالج الفرعي | الغرض | الموقع |
|---|---|---|
| Amazon Web Services (Core) | استضافة وتشغيل بنية المنصة وقواعد البيانات | منطقة الإمارات |
| Amazon Web Services (Bedrock) | معالجة ميزات الذكاء الاصطناعي المفعلة | منطقة الإمارات |
| Stripe, Inc. | معالجة المدفوعات (استثناء تشغيلي معتمد) | دولي |
| Microsoft (Azure/Graph) | البريد الإلكتروني والخدمات الاتصالية المعاملاتية | الإمارات / منطقة مهيأة |
| Sentry | تتبع أخطاء وأداء التطبيق | منطقة مهيأة |
| خدمة MCP ADHICS v2 | تنسيق المساعد التنظيمي | منطقة مهيأة |
6.3 معالجون فرعيون جدد
6.3.1 يجب على المعالج إخطار المراقب قبل 30 يومًا على الأقل من إشراك أي معالج فرعي جديد.
6.3.2 يجوز للمراقب الاعتراض على إشراك معالج فرعي جديد في غضون 14 يومًا من الإخطار. إذا اعترض المراقب بشكل معقول، يتفاوض الطرفان بحسن نية لحل الاعتراض.
6.3.3 إذا لم يمكن التوصل إلى حل في غضون 30 يومًا، يجوز للمراقب إنهاء الخدمات المتأثرة دون عقوبة.
6.4 متطلبات المعالج الفرعي
يجب على المعالج:
6.4.1 الدخول في اتفاقيات كتابية مع كل معالج فرعي تفرض التزامات حماية البيانات المشابهة بشكل كبير لتلك الموجودة في هذه الاتفاقية.
6.4.2 إجراء العناية الواجبة المناسبة على المعالجين الفرعيين قبل المشاركة.
6.4.3 يظل مسؤولاً بالكامل تجاه المراقب عن أداء التزامات المعالج الفرعي.
6.4.4 التأكد من امتثال المعالجين الفرعيين لمتطلبات ADHICS المعمول بها في أنشطة معالجتهم.
6.4.5 التأكد من أن المعالجين الفرعيين الذين يتعاملون مع طبقات قواعد بيانات المنصة والمستأجرين يعملون ضمن ضوابط الإقامة داخل الإمارات، وأن أي استثناء معتمد لمعالجة غير مرتبطة بقاعدة البيانات يكون مضبوطاً تعاقدياً ومفصحاً عنه.
6.5 تدقيق المعالجين الفرعيين
يجب على المعالج:
6.5.1 الحصول على ومراجعة تقارير التدقيق أو الشهادات من المعالجين الفرعيين سنويًا.
6.5.2 إتاحة معلومات تدقيق المعالج الفرعي للمراقب عند الطلب.
7. النقل الدولي للبيانات
7.1 إقامة البيانات
7.1.1 يطبق المعالج إقامة صارمة داخل دولة الإمارات على قاعدة بيانات المنصة وقواعد بيانات المستأجرين.
7.1.2 قد تشمل بعض العمليات غير المرتبطة بقاعدة البيانات (بما في ذلك عمليات الفوترة والتكاملات المرتبطة بـ MCP) معالجة عابرة للحدود ضمن الحالات المعتمدة والمفصح عنها في الملحق (ج) وسجل المعالجين الفرعيين.
7.1.3 يجب أن تمتثل أي معالجة دولية معتمدة لمعايير ADHICS والقانون الإماراتي والضمانات التعاقدية المطلوبة بموجب هذه الاتفاقية.
7.2 شروط النقل
حيثما يتم السماح بعمليات النقل الدولية، يجب على المعالج التأكد من:
7.2.1 وجود أساس قانوني وتعاقدي موثق للنقل.
7.2.2 وجود ضمانات مناسبة، بما في ذلك:
- قواعد الشركات الملزمة
- بنود تعاقدية قياسية
- آليات الشهادات
- مدونات السلوك مع الالتزامات الملزمة
7.2.3 الحصول على موافقة دائرة الصحة حيثما يقتضي ADHICS.
7.2.4 قصر النقل على الحد الأدنى من البيانات اللازمة للغرض المعتمد مع تطبيق ضوابط PHI وفق القانون وتوجيهات الجهة التنظيمية.
7.3 الوصول عن بعد
7.3.1 يُحظر الوصول عن بعد إلى البيانات الشخصية من خارج الإمارات ما لم:
- يكن لدى الموظفين تراخيص صالحة من دائرة الصحة (حسب الاقتضاء)
- قدم المراقب تفويضًا كتابيًا صريحًا
- تم الحصول على موافقة دائرة الصحة حسب الاقتضاء
- وجود ضوابط أمنية مناسبة
7.3.2 يتم تقييد وتسجيل الوصول عن بعد للدعم والصيانة ويقتصر على موظفين مصرح لهم ضمن ضوابط أمنية وسرية تعاقدية.
8. حقوق أصحاب البيانات
8.1 مساعدة المعالج
يجب على المعالج مساعدة المراقب في الرد على طلبات أصحاب البيانات لممارسة حقوقهم، بما في ذلك:
| الحق | مساعدة المعالج |
|---|---|
| الوصول | تقديم البيانات الشخصية لصاحب البيانات بتنسيق قابل للنقل عند طلب المراقب |
| التصحيح | تصحيح البيانات الشخصية غير الدقيقة عند تعليمات المراقب |
| المحو | حذف البيانات الشخصية عند تعليمات المراقب (مع مراعاة متطلبات الاحتفاظ القانونية) |
| التقييد | تقييد المعالجة عند تعليمات المراقب |
| النقل | تصدير البيانات الشخصية بتنسيق قابل للقراءة الآلية |
| الاعتراض | تنفيذ قيود المعالجة حسب التعليمات |
8.2 أطر زمنية للرد
8.2.1 يجب على المعالج الرد على طلبات المراقب فيما يتعلق بحقوق أصحاب البيانات في غضون 5 أيام عمل.
8.2.2 حيثما يتصل صاحب البيانات بالمعالج مباشرة، يجب على المعالج إعادة توجيه الطلب على الفور إلى المراقب.
8.3 التكاليف
المساعدة المعقولة لطلبات أصحاب البيانات مدرجة في الخدمات. يجوز للمعالج فرض رسوم معقولة للطلبات غير المبررة بشكل واضح أو المفرطة أو المتكررة.
9. الإخطار بانتهاك البيانات
9.1 الإخطار للمراقب
9.1.1 يجب على المعالج إخطار المراقب بأي خرق للبيانات دون تأخير لا داعي له وفي جميع الأحوال في غضون 24 ساعة من العلم بالانتهاك.
9.1.1(أ) بالنسبة للحوادث ذات الصلة بالمراقب التي يتم تتبعها عبر المنصة، يتم أتمتة إخطار الـ24 ساعة عبر إشعارات داخل بوابة المالك مع سجل تدقيق غير قابل للتعديل (breach_notices + breach_notice_events + سجل الإشعارات).
9.1.2 يجب أن يتضمن الإخطار الأولي، إلى الحد المعروف:
- طبيعة خرق البيانات
- فئات والعدد التقريبي لأصحاب البيانات المتأثرين
- فئات والعدد التقريبي لسجلات البيانات الشخصية المعنية
- تفاصيل الاتصال للحصول على مزيد من المعلومات
- العواقب المحتملة للانتهاك
- التدابير المتخذة أو المقترحة لمعالجة الانتهاك
9.1.3 حيثما لا تكون المعلومات متاحة على الفور، يجب على المعالج تقديم المعلومات على مراحل دون تأخير لا داعي له.
9.1.4 قناة الإخطار في مسار خرق البيانات ضمن هذه الاتفاقية تكون داخل المنصة فقط (بوابة المالك)، ما لم يتطلب القانون المعمول به خلاف ذلك.
9.2 إخطار انتهاك ADHICS
وفقًا لـ ADHICS DP 1.7 و IM 2، يجب على المعالج:
9.2.1 دعم المراقب في إكمال وتقديم "نموذج خرق البيانات" إلى دائرة الصحة في غضون 72 ساعة من الاعتراف بالحادث.
9.2.2 تزويد دائرة الصحة بالمعلومات المطلوبة في غضون 30 يوم عمل بعد الإبلاغ الأولي.
9.2.3 إخطار مركز عمليات الأمن (SOC) التابع لدائرة الصحة وفقًا للأطر الزمنية لأولوية الحوادث:
| الأولوية | إخطار دائرة الصحة | التحديثات |
|---|---|---|
| P1 حرجة | في الوقت الفعلي تقريبًا | في الوقت الفعلي |
| P2 شديدة | في غضون ساعة واحدة | كل ساعة |
| P3 متوسطة | في غضون 4 ساعات | كل 4 ساعات |
| P4 منخفضة | في غضون 24 ساعة | كل 24 ساعة |
9.3 تعاون المعالج
يجب على المعالج:
9.3.1 التعاون الكامل مع المراقب في التحقيق في أي خرق للبيانات ومعالجته.
9.3.2 الحفاظ على جميع الأدلة المتعلقة بالانتهاك.
9.3.3 تنفيذ تدابير الاحتواء والمعالجة الفورية.
9.3.4 تقديم تقرير حادث مفصل بما في ذلك تحليل السبب الجذري.
9.3.5 تنفيذ تدابير لمنع التكرار.
9.3.6 مساعدة المراقب في إخطار أصحاب البيانات المتأثرين حسب الاقتضاء.
9.4 مسؤولية المراقب
يظل المراقب مسؤولاً عن:
9.4.1 تحديد ما إذا كان الإخطار لدائرة الصحة مطلوبًا.
9.4.2 تقديم الإخطارات المطلوبة لدائرة الصحة.
9.4.3 إخطار أصحاب البيانات المتأثرين حسب الاقتضاء.
9.4.4 التنسيق مع السلطات التنظيمية.
10. التدقيق والامتثال
10.1 حقوق التدقيق
10.1.1 يجوز للمراقب تدقيق امتثال المعالج لهذه الاتفاقية، مع مراعاة:
- إشعار مسبق معقول (30 يومًا على الأقل)
- التزامات السرية
- إجراء أثناء ساعات العمل
- الحد الأدنى من الاضطراب لعمليات المعالج
10.1.2 يجوز إجراء عمليات التدقيق من قبل المراقب أو طرف ثالث مستقل يعينه المراقب.
10.1.3 يتحمل المراقب تكاليف أي تدقيق ما لم يكشف التدقيق عن عدم امتثال جوهري من قبل المعالج.
10.2 تعاون المعالج
يجب على المعالج:
10.2.1 توفير وصول معقول إلى المرافق والأنظمة والموظفين لأغراض التدقيق.
10.2.2 تقديم الوثائق والسجلات والسجلات ذات الصلة.
10.2.3 الرد على استفسارات التدقيق في غضون 10 أيام عمل.
10.2.4 معالجة عدم المطابقات المحددة ضمن الأطر الزمنية المتفق عليها.
10.3 شهادات الامتثال
10.3.1 يجب على المعالج الحفاظ على الشهادات والتقييمات كما هو محدد في اتفاقية مستوى الخدمة، بما في ذلك:
- امتثال مزود خدمة ADHICS
- التقييمات الأمنية السنوية
- تقارير اختبار الاختراق
10.3.2 يجب على المعالج تقديم نسخ من الشهادات وملخصات التقييم عند الطلب.
10.4 عمليات التدقيق التنظيمية
10.4.1 يجب على المعالج التعاون مع عمليات التدقيق التي تجريها دائرة الصحة أو TASNEEF-RINA أو الهيئات التنظيمية الأخرى.
10.4.2 يجب على المعالج إخطار المراقب على الفور بأي تدقيق تنظيمي يؤثر على بيانات المراقب.
11. الاحتفاظ بالبيانات والحذف
11.1 خلال الاتفاقية
11.1.1 يجب الاحتفاظ بالبيانات الشخصية للمدة اللازمة لتقديم الخدمات وتحقيق الأغراض الموصوفة في هذه الاتفاقية.
11.1.2 يجوز للمراقب أن يوعز للمعالج بحذف بيانات شخصية معينة في أي وقت، مع مراعاة متطلبات الاحتفاظ القانونية.
11.1.3 حد الحيازة في BYOD: تبقى قاعدة البيانات الأساسية للمستأجر والمستندات/الملفات الأساسية في بنية BYOD تحت حيازة ومسؤولية المراقب.
11.1.4 في تصدير دورة الحياة لنموذج BYOD، يعيد المعالج فقط البيانات الشخصية على مستوى التحكم التي يعالجها (سجلات دورة الحياة وتوقيتات الفوترة).
11.2 عند الإنهاء
11.2.1 عند إنهاء أو انتهاء اتفاقية الخدمة الرئيسية، يجب على المعالج:
- للنشر السحابي: إرجاع البيانات الشخصية المستضافة لدى المعالج (بما في ذلك السجلات المستضافة سحابياً للمنصة/المستأجر) خلال فترة الانتقال 30 يوماً، ثم الحذف من أنظمة الإنتاج خلال 30 يوماً بعد الانتقال ومن النسخ الاحتياطية خلال 90 يوماً.
- لنشر BYOD: إرجاع البيانات الشخصية على مستوى التحكم التي يعالجها المعالج خلال فترة الانتقال 30 يوماً؛ وتبقى مسؤولية الاستخراج وإجراءات الاحتفاظ داخل بنية BYOD على العميل.
- تقديم شهادة الإتلاف عند الطلب
11.2.2 استثناءات الحذف:
- البيانات المطلوب الاحتفاظ بها بموجب قانون الإمارات
- سجلات التدقيق المطلوبة للامتثال (الحد الأدنى عامين)
- البيانات الخاضعة لإجراءات قانونية أو تحقيقات جارية
11.3 الحذف الآمن
11.3.1 يجب إجراء الحذف باستخدام طرق الحذف الآمن القياسية في الصناعة التي تمنع الاسترداد.
11.3.2 يجب على المعالج التأكد من أن المعالجين الفرعيين يحذفون البيانات الشخصية بشكل آمن أيضًا.
12. المسؤولية والتعويض
12.1 مسؤولية المعالج
12.1.1 يكون المعالج مسؤولاً عن الأضرار الناجمة عن المعالجة التي لا تتوافق مع هذه الاتفاقية أو تعليمات المراقب القانونية.
12.1.2 تكون مسؤولية المعالج محدودة كما هو منصوص عليه في اتفاقية مستوى الخدمة واتفاقية الخدمة الرئيسية.
12.2 التعويض
12.2.1 يجب على المعالج تعويض المراقب عن:
- المطالبات الناشئة عن خرق المعالج لهذه الاتفاقية
- المطالبات الناشئة عن انتهاك المعالج لقانون حماية البيانات المعمول به
- المطالبات الناشئة عن المعالجة غير المصرح بها للبيانات الشخصية من قبل المعالج
- الغرامات أو العقوبات التي تفرضها السلطات التنظيمية بسبب تصرفات المعالج
12.2.2 يجب على المراقب تعويض المعالج عن:
- المطالبات الناشئة عن خرق المراقب لهذه الاتفاقية
- المطالبات الناشئة عن انتهاك المراقب لقانون حماية البيانات المعمول به
- المطالبات الناشئة عن تعليمات المراقب التي تنتهك قانون حماية البيانات المعمول به
12.3 القيود
12.3.1 تطبق حدود المسؤولية المنصوص عليها في اتفاقية مستوى الخدمة واتفاقية الخدمة الرئيسية على هذه الاتفاقية، باستثناء:
- الإهمال الجسيم أو سوء السلوك المتعمد
- خرق التزامات السرية
- التزامات التعويض
- المسؤولية التي لا يمكن استبعادها بموجب القانون
13. المدة والإنهاء
13.1 المدة
تبدأ هذه الاتفاقية من تاريخ سريان اتفاقية الخدمة الرئيسية وتستمر حتى تنتهي أو تنتهي اتفاقية الخدمة الرئيسية، ما لم يتم إنهاؤها مبكرًا وفقًا لهذا القسم.
13.2 الإنهاء
13.2.1 تنتهي هذه الاتفاقية تلقائيًا عند إنهاء اتفاقية الخدمة الرئيسية.
13.2.2 يجوز لأي طرف إنهاء هذه الاتفاقية إذا خرق الطرف الآخر هذه الاتفاقية بشكل جوهري وفشل في علاج هذا الخرق في غضون 30 يومًا من الإخطار الكتابي.
13.2.3 يجوز لأي طرف إنهاء هذه الاتفاقية على الفور إذا كان ذلك مطلوبًا من خلال التغييرات في قانون حماية البيانات المعمول به.
13.3 البقاء
تبقى الأحكام التالية سارية بعد الإنهاء:
- القسم 3.1.6 (الحذف أو إرجاع البيانات)
- القسم 9 (الإخطار بانتهاك البيانات) - للانتهاكات المكتشفة بعد الإنهاء
- القسم 10 (التدقيق والامتثال) - لمدة عام واحد بعد الإنهاء
- القسم 11 (الاحتفاظ بالبيانات والحذف)
- القسم 12 (المسؤولية والتعويض)
- القسم 14 (السرية)
14. السرية
14.1 التزامات السرية
14.1.1 يجب على كل طرف الحفاظ على سرية المعلومات التي يفصح عنها الطرف الآخر بموجب هذه الاتفاقية.
14.1.2 يجب على المعالج التأكد من أن الموظفين الذين لديهم وصول إلى البيانات الشخصية يخضعون لالتزامات السرية.
14.2 الاستثناءات
لا تنطبق التزامات السرية على المعلومات التي:
- هي أو تصبح متاحة للجمهور دون خرق
- كانت معروفة للطرف المتلقي قبل الإفصاح
- تم تطويرها بشكل مستقل دون استخدام المعلومات السرية
- مطلوب الإفصاح عنها بموجب القانون (مع إشعار مسبق حيثما يسمح)
14.3 المدة
تبقى التزامات السرية سارية بعد الإنهاء لمدة 3 سنوات، باستثناء الأسرار التجارية التي تظل سرية إلى أجل غير مسمى.
15. الأحكام العامة
15.1 القانون الحاكم
تخضع هذه الاتفاقية وتُفسر وفقًا لقوانين دولة الإمارات العربية المتحدة.
15.2 الاختصاص القضائي
يكون لمحاكم أبوظبي، دولة الإمارات العربية المتحدة، الاختصاص الحصري على النزاعات الناشئة عن هذه الاتفاقية.
15.3 قابلية الفصل
إذا تبين أن أي حكم من أحكام هذه الاتفاقية غير قابل للإنفاذ، تستمر الأحكام المتبقية سارية المفعول بالكامل.
15.4 الاتفاقية الكاملة
تشكل هذه الاتفاقية، إلى جانب اتفاقية الخدمة الرئيسية واتفاقية مستوى الخدمة وشروط الاستخدام وسياسة الخصوصية وسياسة ملفات تعريف الارتباط، الاتفاقية الكاملة بين الأطراف فيما يتعلق بمعالجة البيانات.
15.5 التعديل
لا يجوز تعديل هذه الاتفاقية إلا كتابيًا موقعًا من كلا الطرفين، باستثناء:
- التحديثات على قوائم المعالجين الفرعيين (وفقًا للقسم 6.3)
- التحديثات المطلوبة بسبب التغييرات في قانون حماية البيانات المعمول به
15.6 الإخطارات
يجب أن تكون جميع الإخطارات بموجب هذه الاتفاقية كتابيًا وتُسلم إلى:
- المراقب: تفاصيل الاتصال في اتفاقية الاشتراك
- المعالج: compliance@grscia.ae
15.7 عدم وجود حقوق لأطراف ثالثة
لا تمنح هذه الاتفاقية أي حقوق لأطراف ثالثة إلا كما هو منصوص عليه صراحة.
15.8 العلاقة بالاتفاقيات الأخرى
في حالة التعارض بين هذه الاتفاقية والاتفاقيات الأخرى بين الأطراف، تسود هذه الاتفاقية في مسائل حماية البيانات والمعالجة. أما المسائل غير المتعلقة بحماية البيانات فتخضع لإطار الأسبقية في MSA/نموذج الطلب.
16. معلومات الاتصال
16.1 جهات اتصال المعالج
| الدور | الاتصال |
|---|---|
| مسؤول حماية البيانات | dpo@grscia.ae |
| استفسارات الخصوصية | privacy@grscia.ae |
| الحوادث الأمنية | security@grscia.ae |
| القانوني/الامتثال | compliance@grscia.ae |
| عام | info@grscia.ae |
| الهاتف | +971501123842 |
16.2 جهات الاتصال التنظيمية
| السلطة | الاتصال |
|---|---|
| برنامج أمن دائرة الصحة | aamen@doh.gov.ae |
| استفسارات ADHICS | adhics@doh.gov.ae |
| مركز عمليات الأمن التابع لدائرة الصحة | soc@doh.gov.ae, +971 2 419 3777 |
الملحق أ: تفاصيل المعالجة
أ.1 موضوع المعالجة
خدمات منصة إدارة الامتثال في الرعاية الصحية بما في ذلك إدارة الوثائق وتقييم الامتثال وإدارة الموارد البشرية وإدارة الحوادث وإدارة الأصول ومساعدة الامتثال المدعومة بالذكاء الاصطناعي.
أ.2 مدة المعالجة
من بداية اتفاقية الخدمة الرئيسية حتى إنهائها، بالإضافة إلى أي فترات انتقالية واحتفاظ معمول بها.
أ.3 طبيعة وغرض المعالجة
كما هو موصوف في القسم 2.2 من هذه الاتفاقية.
أ.4 فئات أصحاب البيانات
كما هو موصوف في القسم 2.3 من هذه الاتفاقية.
أ.5 أنواع البيانات الشخصية
كما هو موصوف في القسم 2.4 من هذه الاتفاقية.
أ.6 فئات خاصة من البيانات
- البيانات الصحية (PHI)
- البيانات البيومترية (حسب الاقتضاء)
- نتائج فحص السجل الجنائي
- بيانات حساسة أخرى كما يرفعها المراقب
الملحق ب: التدابير التقنية والتنظيمية
ينفذ المعالج التدابير التقنية والتنظيمية الموصوفة في القسم 5 من هذه الاتفاقية واتفاقية مستوى الخدمة. يتم توفير ملخص أدناه:
ب.1 التشفير
- AES-256-GCM في حالة السكون
- TLS 1.3 في حالة النقل
- إدارة المفاتيح المحمية بـ HSM
ب.2 التحكم في الوصول
- MFA إلزامية
- RBAC مع الامتياز الأقل
- إدارة الجلسة
- تسجيل التدقيق
ب.3 أمن البنية التحتية
- مراكز بيانات مقرها الإمارات
- تقسيم الشبكة
- حماية DDoS
- مراقبة على مدار الساعة طوال أيام الأسبوع
ب.4 الأمن التشغيلي
- إدارة الثغرات
- اختبار الاختراق
- الاستجابة للحوادث
- استمرارية الأعمال
ب.5 أمن الموظفين
- فحوصات الخلفية
- اتفاقيات السرية
- التدريب الأمني
الملحق ج: المعالجون الفرعيون المعتمدون
اعتبارًا من تاريخ السريان:
| الاسم | الخدمة | الموقع | التدابير الأمنية |
|---|---|---|---|
| Amazon Web Services (Core) | البنية التحتية السحابية لأحمال قواعد بيانات المنصة والمستأجرين | الإمارات | SOC 2 Type II، ISO 27001 |
| Amazon Web Services (Bedrock) | معالجة ميزات الذكاء الاصطناعي المفعلة | الإمارات | SOC 2، ISO 27001 |
| Stripe, Inc. | معالجة المدفوعات (استثناء تشغيلي معتمد) | دولي | PCI DSS Level 1 |
| Microsoft (Azure/Graph) | خدمات البريد الإلكتروني والاتصالات المعاملاتية | الإمارات / منطقة مهيأة | SOC 2، ضوابط تشفير |
| Sentry | تتبع أخطاء وأداء التطبيق | منطقة مهيأة | ضوابط تعاقدية وتقليل البيانات |
| خدمة MCP ADHICS v2 | تنسيق المساعد التنظيمي | منطقة مهيأة | ضوابط تعاقدية ومعالجة مقيدة |
سجل المعالجين الفرعيين العام متاح عبر عرض. ويجوز للمراقب طلب تحديثات في أي وقت عبر privacy@grscia.ae.
التوقيعات
يتم دمج اتفاقية معالجة البيانات هذه وتشكل جزءًا من اتفاقية الخدمة الرئيسية بين الأطراف. من خلال قبول اتفاقية الخدمة الرئيسية، يوافق كلا الطرفين على الالتزام بشروط هذه الاتفاقية.
معلومات الوثيقة:
| الحقل | القيمة |
|---|---|
| مرجع الوثيقة | GRSCIA-DPA-2025-V2.0 |
| الإصدار | 2.0 |
| تاريخ السريان | 1 يناير 2025 |
| آخر تحديث | 4 يناير 2026 |
| دورة المراجعة | سنوية |
| المراجعة القادمة | يناير 2027 |
| مالك الوثيقة | القسم القانوني والامتثال في GRSCIA |
تم تصميم اتفاقية معالجة البيانات هذه للامتثال لمتطلبات مجال خصوصية وحماية البيانات (DP) في ADHICS V2 والقانون الاتحادي رقم 2 لسنة 2019 بشأن استخدام تقنية المعلومات والاتصالات في مجال الرعاية الصحية.
© 2025-2026 GRSCIA، بإدارة وتشغيل سايزوشير لخدمات التفتيش والتدقيق - ذ.م.م - شركة الشخص الواحد. جميع الحقوق محفوظة.