تُضفي هذه الاتفاقية الطابع الرسمي، بموجب المادة 28 من اللائحة العامة لحماية البيانات (RGPD)، على دور My Data My Care بوصفها مُعالجًا للبيانات نيابةً عن المهنيين والمؤسسات الصحية الذين يتصرفون كمسؤولي معالجة. تتطلب الإصدارات الكبرى موافقة صريحة جديدة.
الإصدار الساري
جاري تحميل الإصدار الساري…
1. الموضوع
تحكم اتفاقية معالجة البيانات هذه عمليات معالجة البيانات الشخصية التي تنفّذها My Data My Care (المُعالج) نيابةً عن المسؤول عن المعالجة (مهني صحي، عيادة، منشأة، شركة تأمين أو مختبر). وهي تكمّل الشروط المهنية للخدمة وتسمو على أي حكم مخالف في مجال حماية البيانات.
2. الأطراف والأدوار
يحدّد المسؤول عن المعالجة أغراض ووسائل المعالجة. تعمل My Data My Care حصرًا بناءً على تعليمات موثّقة، دون معالجة لأغراضها الخاصة. تجد بيانات اتصالنا وبيانات مسؤول حماية البيانات (DPO) أدناه.
3. الأغراض والتعليمات الموثّقة
تقتصر المعالجات على: التخزين المُشفّر، والمشاركة الآمنة، والقابلية للنقل عبر FHIR R4، والتواصل داخل فريق الرعاية، والنسخ الاحتياطي. أي توسيع للأغراض يستوجب ملحقًا تعاقديًا. لا يتم بيع البيانات أو التنازل عنها أو تحقيق دخل منها.
4. المدة ومآل البيانات
تتماشى مدة المعالجات مع مدة العقد الرئيسي والالتزامات القانونية للحفظ المعمول بها (الملف الطبي في الاتحاد الأوروبي: 20 سنة بعد آخر تواصل؛ سجلات الأمن: 12 شهرًا). عند انتهاء العقد: التصدير بصيغة FHIR R4 + الحذف في غضون 90 يومًا مع إثبات بختم زمني.
5. تدابير الأمن
استضافة معتمدة HDS في فرنسا (ISO 27001 + HDS)، وتشفير AES-256 أثناء التخزين وTLS 1.3 أثناء النقل، وتشفير شامل من جانب العميل للبيانات الحساسة، وMFA إلزامي، وتسجيل غير قابل للتعديل، واختبارات اختراق سنوية، ومراجعة SOC 2 Type 2. يُنشر معالجو الباطن في قائمة عامة تُحدَّث عند كل تغيير.
6. النقل خارج الاتحاد الأوروبي
لا يوجد نقل خارج الاتحاد الأوروبي لأغراض الإنتاج. يخضع أي معالج باطن في المملكة المتحدة أو الولايات المتحدة (خارج المسار الصحي الحرج) للبنود التعاقدية النموذجية (SCC 2021) وتدابير إضافية (تشفير، إخفاء الهوية). أي نقل محتمل إلى لبنان يكون مؤطّرًا بضمانات تعاقدية معادلة.
7. مساعدة المعنيين بحقوقهم
نساعد المسؤول عن المعالجة في الاستجابة لطلبات الوصول والتصحيح والمحو والقابلية للنقل والتقييد والاعتراض في غضون 15 يوم عمل كحد أقصى. تتيح أدوات المرضى المدمجة (/الإعدادات/الشروط، /التصدير) معالجة ذاتية لمعظم الحالات.
8. الاتصال والإخطارات
لأي طلب يخص اتفاقية معالجة البيانات أو حادث أو تدقيق: dpo@mydatamycare.com. المهلة التعاقدية للإخطار بالحوادث: 24 ساعة (المادة 33 من اللائحة العامة لحماية البيانات).