--- title: "اتفاقية معالجة البيانات (DPA)" description: "آخر تحديث: 30 مايو 2026" canonical_url: "https://getminds.ai/legal/ar/dpa" last_updated: "2026-06-24T15:45:58.439Z" --- # اتفاقية معالجة البيانات (DPA) **آخر تحديث: 30 مايو 2026** تُشكِّل اتفاقية معالجة البيانات هذه ("DPA") عملاً بالمادة 28 من اللائحة العامة لحماية البيانات (GDPR) جزءاً من الاتفاقية المُبرمَة بين Art of X UG (haftungsbeschränkt) ("المعالج"، "نحن") والعميل ("المتحكم"، "أنتم") لاستخدام خدماتنا ("الاتفاقية الرئيسية"). ## 1. التعريفات - **البيانات الشخصية**: أي معلومات تتعلَّق بشخص طبيعي مُحدَّد أو قابل للتحديد (المادة 4(1) GDPR). - **المعالجة**: أي عملية تُجرى على البيانات الشخصية، بما في ذلك الجمع والتخزين والاستخدام والحذف (المادة 4(2) GDPR). - **المعالج الفرعي**: أي طرف ثالث يستعين به المعالج لمعالجة البيانات الشخصية. - **GDPR**: اللائحة (EU) 2016/679 (اللائحة العامة لحماية البيانات). - **اختراق البيانات**: خرق أمني يؤدِّي إلى التدمير العرضي أو غير المشروع للبيانات الشخصية، أو فقدانها، أو تغييرها، أو الإفصاح عنها أو الوصول إليها دون تصريح (المادة 4(12) GDPR). ## 2. نطاق ومدَّة المعالجة 2.1 تنطبق اتفاقية DPA هذه على جميع معالجات البيانات الشخصية التي يقوم بها المعالج نيابةً عن المتحكم فيما يتعلَّق بالخدمات. 2.2 يُعالج المعالج البيانات الشخصية فقط لأغراض تقديم الخدمات كما هو موصوف في الاتفاقية الرئيسية ووفقاً لتعليمات المتحكم المُوثَّقة. 2.3 تتوافق مدَّة المعالجة مع مدَّة الاتفاقية الرئيسية، ما لم تنشأ التزامات إضافية من أحكام اتفاقية DPA هذه. ## 3. تفاصيل معالجة البيانات
الفئة الوصف
الموضوع تقديم منصة "Minds" المدعومة بالذكاء الاصطناعي، بما في ذلك المساعدات واللجان الاصطناعية ومحاكاة group-grounded ووصول API/MCP وتدفقات إضافة المتصفح/الودجات والتكاملات وميزات الصوت/الرسائل والخدمات المرتبطة
المدة طوال مدة الاتفاقية الرئيسية
الطبيعة والغرض الاستضافة والمصادقة والتخزين والاسترجاع والتحليل والمحاكاة وتوليد المخرجات من بيانات يقدّمها المتحكم؛ تشغيل تكاملات اختيارية مثل Google Calendar وAPI/MCP العام واستخراج المصادر والرسائل/الصوت والفوترة. لا تُستخدم بيانات المتحكم لتدريب نماذج عامة أو متاحة لأطراف ثالثة إلا بموافقة صريحة.
أنواع البيانات الشخصية بيانات الاتصال وبيانات الدخول والاستخدام والمحتوى (نصوص، صور، صوت، ملفات، روابط)، الموجهات والمخرجات، embeddings، مفاتيح API، رموز OAuth، بيانات التقويم والحضور، بيانات الهاتف/الرسائل/المكالمات والصوت عند التفعيل، البيانات التقنية، الدفع (Stripe)، سجلات التدقيق والأمن
فئات أصحاب البيانات موظفو وممثلو المتحكم، المستخدمون النهائيون المدعوون، الأشخاص الذين تُدخل بياناتهم، والأشخاص المشار إليهم في المحتوى أو أحداث التقويم أو الرسائل أو المصادر العامة
## 4. حقوق التعليمات 4.1 يُعالج المعالج البيانات الشخصية فقط على أساس التعليمات المُوثَّقة من المتحكم، بما في ذلك التعليمات المُحدَّدة في اتفاقية DPA هذه والاتفاقية الرئيسية، ما لم يُشترَط ذلك بموجب قانون الاتحاد أو الدولة العضو الذي يخضع له المعالج. في مثل هذه الحالة، يُبلغ المعالج المتحكم بذلك المتطلَّب القانوني قبل المعالجة، ما لم يَحظر ذلك القانون هذه المعلومات. 4.2 يجوز إصدار التعليمات كتابياً أو في شكل نصِّي (بما في ذلك البريد الإلكتروني). يجب تأكيد التعليمات الشفهية في شكل نصِّي دون تأخير لا مُبرِّر له. 4.3 يُبلغ المعالج المتحكم فوراً إذا كان المعالج يرى أنَّ تعليمة تَنتهك قانون حماية البيانات (المادة 28(3) الجملة 3 GDPR). يحقُّ للمعالج تعليق تنفيذ التعليمة ذات الصلة حتى تأكيدها أو تعديلها من قِبَل المتحكم. ## 5. التزامات المعالج يلتزم المعالج بما يلي: 5.1 معالجة البيانات الشخصية ضمن نطاق تعليمات المتحكم فقط وليس لأغراضه الخاصة. 5.2 ضمان أنَّ الأشخاص المُصرَّح لهم بمعالجة البيانات الشخصية قد التزموا بالسرِّية أو يخضعون لالتزام قانوني مناسب بالسرِّية (المادة 28(3)(ب) GDPR). 5.3 تنفيذ والحفاظ على التدابير التقنية والتنظيمية (TOMs) المناسبة عملاً بالمادة 32 GDPR طوال مدَّة اتفاقية DPA هذه. توصف TOMs الحالية في **الملحق 1 – التدابير التقنية والتنظيمية (TOM)** لاتفاقية DPA هذه ومتوفِّرة على [https://getminds.ai/legal/tom](/legal/tom). 5.4 إبلاغ المتحكم فوراً إذا علم المعالج بأي انتهاكات لـ GDPR أو غيره من لوائح حماية البيانات فيما يتعلَّق بالمعالجة. 5.5 تعيين مسؤول حماية بيانات حيث يتطلَّب القانون ذلك. مسؤول حماية البيانات الحالي هو: Prof. Dr. Norman Uhlmann، h3ko Innovations GmbH، Pappelallee 64، 16359 Biesenthal، Germany. البريد الإلكتروني: [privacy@getminds.ai](mailto:privacy@getminds.ai) ## 6. حقوق أصحاب البيانات 6.1 يُساعد المعالج المتحكم بتدابير تقنية وتنظيمية مناسبة، بقدر الإمكان، في الوفاء بالتزامات المتحكم بالاستجابة لطلبات ممارسة حقوق أصحاب البيانات المنصوص عليها في الفصل III من GDPR (الوصول، التصحيح، المحو، تقييد المعالجة، قابلية نقل البيانات، الاعتراض). 6.2 إذا اتَّصل صاحب بيانات بالمعالج مباشرةً بطلب، يُحيل المعالج الطلب إلى المتحكم دون تأخير لا مُبرِّر له. ## 7. المساعدة في التزامات حماية البيانات 7.1 يُساعد المعالج المتحكم، مع مراعاة طبيعة المعالجة والمعلومات المتوفِّرة لدى المعالج، في ضمان الامتثال للالتزامات عملاً بالمواد 32 إلى 36 GDPR، ولا سيَّما: - ضمان أمن المعالجة (المادة 32 GDPR)؛ - إخطار اختراقات البيانات الشخصية للسلطة الإشرافية (المادة 33 GDPR) ولأصحاب البيانات (المادة 34 GDPR)؛ - إجراء تقييمات أثر حماية البيانات (المادة 35 GDPR)؛ - التشاور المُسبق مع السلطة الإشرافية (المادة 36 GDPR). 7.2 يُساعد المعالج المتحكم في الطلبات والتحقيقات من السلطات الإشرافية لحماية البيانات المتعلِّقة بالمعالجة المُكلَّفة. ## 8. المعالجون الفرعيون 8.1 يمنح المتحكم بموجب هذه الاتفاقية المعالجَ تفويضاً كتابياً عاماً للاستعانة بمعالجين فرعيين عملاً بالمادة 28(2) GDPR، رهناً بمتطلَّبات هذا القسم. 8.2 تُدرج المعالجون الفرعيون الحاليون وقت إبرام اتفاقية DPA هذه على [https://getminds.ai/legal/subprocessors](/legal/subprocessors). 8.3 يُخطر المعالج المتحكم بأي إضافة أو استبدال مُعتزَم للمعالجين الفرعيين قبل **14 يوماً** على الأقل من التغيير المُخطَّط له، مما يمنح المتحكم الفرصة للاعتراض. 8.4 إذا أثار المتحكم اعتراضات خلال فترة الإشعار، يسعى الطرفان للتوصُّل إلى حلٍّ ودِّي. إذا لم يكن ذلك ممكناً، يحقُّ للمتحكم إنهاء الاتفاقية الرئيسية بأثر فوري. 8.5 يضمن المعالج تعاقدياً أنَّ المعالجين الفرعيين ملزمون بالتزامات حماية بيانات لا تقلُّ حماية عن تلك المنصوص عليها في اتفاقية DPA هذه (المادة 28(4) GDPR). يكون المعالج مسؤولاً عن أفعال وإغفالات معالجيه الفرعيين كمسؤوليته عن أفعاله وإغفالاته الخاصة. ## 9. عمليات النقل الدولية 9.1 لا تتمُّ معالجة البيانات الشخصية في دولة ثالثة أو من قِبَل منظَّمة دولية إلَّا حيث تُستوفى الشروط المُحدَّدة للمواد 44 وما يليها من GDPR. 9.2 بالنسبة للمعالجين الفرعيين الموجودين في الولايات المتحدة، تتمُّ عمليات النقل على أساس: - إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة (DPF)، حيث يكون المعالج الفرعي مُعتمَداً - البنود التعاقدية القياسية (SCCs) عملاً بقرار التنفيذ الصادر عن اللجنة (EU) 2021/914 9.3 بالنسبة للمعالجين الفرعيين في المملكة المتحدة، يُطبَّق قرار الكفاية الصادر عن المفوضية الأوروبية (القرار 2021/1772). 9.4 يُراقب المعالج حالة قرارات الكفاية وآليَّات النقل المعمول بها ويُبلغ المتحكم إذا تطلَّبت التغييرات تعديلاً لأساس النقل. 9.5 إذا استلم المعالج أو أي من معالجيه الفرعيين أمراً حكومياً بالإفصاح عن البيانات الشخصية (بما في ذلك الأوامر بموجب قانون US CLOUD Act أو FISA أو التشريعات المماثلة)، يُبلغ المعالج المتحكم دون تأخير لا مُبرِّر له، إلى الحدِّ المسموح به قانوناً. يُراجع المعالج مشروعية الأمر ويسعى إلى سُبل الانتصاف القانونية المعقولة قبل الإفصاح عن أي بيانات شخصية. ## 10. إخطار اختراق البيانات الشخصية 10.1 يُخطر المعالج المتحكم دون تأخير لا مُبرِّر له، وفي أي حال خلال **48 ساعة**، عند العلم باختراق البيانات الشخصية. 10.2 يتضمَّن الإخطار كحدٍّ أدنى: - وصفاً لطبيعة الاختراق، بما في ذلك حيثما أمكن فئات والعدد التقريبي لأصحاب البيانات وسجلَّات البيانات المعنية؛ - اسم وتفاصيل الاتصال الخاصة بمسؤول حماية البيانات أو نقطة اتصال أخرى؛ - وصفاً للعواقب المحتملة للاختراق؛ - وصفاً للتدابير المُتَّخذة أو المُقترَحة لمعالجة الاختراق والتخفيف من آثاره. 10.3 يُساعد المعالج المتحكم في الوفاء بالتزامات الإخطار عملاً بالمواد 33 و 34 GDPR. ## 11. حقوق التدقيق 11.1 يُتيح المعالج للمتحكم جميع المعلومات اللازمة لإثبات الامتثال للالتزامات المنصوص عليها في المادة 28 GDPR. 11.2 يحقُّ للمتحكم إجراء عمليات تدقيق، بما في ذلك عمليات التفتيش، في مقرِّ المعالج أو إجراؤها بواسطة مُدقِّق مُعيَّن. تتمُّ عمليات التدقيق هذه بعد إشعار معقول (14 يوماً على الأقل) خلال ساعات العمل العادية ويجب ألَّا تُعطِّل بشكل غير معقول عمليات المعالج التجارية. 11.3 يجوز للمعالج تقديم تقارير تدقيق حالية أو شهادات أو مقتطفات منها لإثبات الامتثال. 11.4 يجب أن يكون المُدقِّقون المُعيَّنون من أطراف ثالثة ملزمين بالتزامات السرِّية مُسبقاً. يتحمَّل المتحكم تكاليف التدقيق، ما لم يُثبَت انتهاك من قِبَل المعالج. ## 12. حذف البيانات الشخصية وإعادتها 12.1 عند إنهاء الاتفاقية الرئيسية، يحذف المعالج جميع البيانات الشخصية المُعالَجة نيابةً عن المتحكم خلال **30 يوماً**، ما لم يطلب المتحكم إعادة البيانات بتنسيق شائع وقابل للقراءة آلياً. 12.2 يتمُّ الحذف وفقاً لأحدث التقنيات ويُؤكَّد للمتحكم كتابياً عند الطلب. 12.3 حيثما يتطلَّب القانون في الاتحاد أو الدولة العضو الاحتفاظ، يُبلغ المعالج المتحكم بالتزام الاحتفاظ والبيانات المعنية. ## 13. المسؤولية 13.1 تحكم مسؤولية الطرفين المادة 82 GDPR. 13.2 يكون المعالج مسؤولاً أمام المتحكم عن الأضرار المنسوبة إلى المعالجة التي لا تمتثل لـ GDPR أو لتعليمات المتحكم. 13.3 يكون المعالج مسؤولاً عن أفعال وإغفالات معالجيه الفرعيين كمسؤوليته عن أفعاله وإغفالاته الخاصة. 13.4 ما لم يُتَّفق على خلاف ذلك في الاتفاقية الرئيسية، تُحدَّد المسؤولية الإجمالية للمعالج بالرسوم المدفوعة للمعالج في الأشهر الـ 12 السابقة للحدث الذي أدَّى إلى المطالبة. لا يُطبَّق هذا التحديد على المطالبات الناشئة عن سوء السلوك المُتعمَّد أو الإهمال الجسيم، ولا على المطالبات التي يكون تحديدها غير مسموح به بموجب الأحكام الإلزامية لـ GDPR. ## 14. تعديلات اتفاقية DPA هذه 14.1 يجوز للمعالج تعديل اتفاقية DPA هذه بإشعار لا يقلُّ عن 30 يوماً قبل سريان التعديل، حيث يكون هذا التعديل ضرورياً بسبب التغييرات في القانون، أو الأوامر التنظيمية، أو التطوُّرات التقنية، أو التغييرات في أنشطة المعالجة. 14.2 يُخطَر المتحكم بالتعديلات عبر البريد الإلكتروني إلى العنوان المرتبط بحسابه. تُنشر النسخة المُعدَّلة على [https://getminds.ai/legal/dpa](/legal/dpa). 14.3 إذا لم يعترض المتحكم على التعديلات خلال 30 يوماً من استلام الإخطار، تُعتبر التعديلات مقبولة. يُوجِّه المعالج الانتباه إلى هذه العاقبة القانونية في إخطار التعديل. 14.4 إذا اعترض المتحكم، يسعى الطرفان للتوصُّل إلى حلٍّ ودِّي. إذا لم يكن ذلك ممكناً، يحقُّ للمتحكم إنهاء الاتفاقية الرئيسية بأثر فوري. ## 15. الأحكام الختامية 15.1 تخضع اتفاقية DPA هذه لقوانين جمهورية ألمانيا الاتحادية. 15.2 مكان الاختصاص القضائي الحصري لجميع النزاعات الناشئة عن اتفاقية DPA هذه أو المتعلِّقة بها هو برلين، إلى الحدِّ المسموح به قانوناً. 15.3 يجب أن تتمَّ التعديلات والمُلحقات على اتفاقية DPA هذه في شكل نصِّي، ما لم يُنَص على خلاف ذلك في القسم 14. 15.4 إذا كان أي حكم من أحكام اتفاقية DPA هذه غير صالح أو أصبح غير صالح، فإنَّ صحَّة الأحكام المتبقية لن تتأثَّر. 15.5 في حالة وجود تعارضات بين اتفاقية DPA هذه والاتفاقية الرئيسية، تسود اتفاقية DPA هذه فيما يتعلَّق بحماية البيانات الشخصية. --- **Art of X UG (haftungsbeschränkt)** Köpenicker Straße 145, 10997 Berlin, Germany المديران التنفيذيان: Friedrich von Borries و Alexander Doudkin للاستفسارات المتعلِّقة باتفاقية DPA هذه، تواصل عبر: [privacy@getminds.ai](mailto:privacy@getminds.ai) --- ## الملحق 1: التدابير التقنية والتنظيمية (TOM) **آخر تحديث: 30 مايو 2026** تُطبِّق Art of X UG (haftungsbeschränkt) ("Minds") التدابير التقنية والتنظيمية التالية عملاً بالمادة 32 GDPR لضمان مستوى أمان مناسب للمخاطر التي تنطوي عليها معالجة البيانات الشخصية. --- ## 1. ضبط الوصول ### ضبط الوصول المادي تُستضاف البنية التحتية لـ Minds حصراً لدى مقدِّمي خدمات سحابية معتمدين: - **DigitalOcean** – مركز بيانات فرانكفورت، ألمانيا (الاتحاد الأوروبي). الشهادات: SOC 2 Type II، ISO 27001، ISO 27017، ISO 27018. - **Supabase** – مركز بيانات ستوكهولم، السويد (الاتحاد الأوروبي)، مُستضاف على AWS. الشهادات: SOC 2 Type II. تتمُّ إدارة الأمن المادي (ضوابط الوصول البيومترية، المراقبة على مدار الساعة طوال أيام الأسبوع، تسجيل الوصول) بالكامل من قِبَل مقدِّمي الخدمات السحابية. ### ضبط الوصول المنطقي - ضبط الوصول القائم على الأدوار (RBAC) لجميع الأنظمة الداخلية وواجهات الإدارة. - يُشترط استخدام المصادقة متعدِّدة العوامل (MFA) لجميع وصول الموظفين إلى أنظمة الإنتاج. - حسابات مستخدمين فردية – لا توجد بيانات اعتماد مُشتَركة. - مراجعة دورية لحقوق الوصول وإلغاؤها وفقاً لمبدأ الحدِّ الأدنى من الامتيازات. - تُدار مفاتيح واجهات برمجة التطبيقات وبيانات الاعتماد في مديري أسرار مُشفَّرين. --- ## 2. التشفير ### التشفير أثناء النقل - جميع عمليات نقل البيانات مُؤمَّنة عبر TLS 1.2 أو أعلى. - HSTS (HTTP Strict Transport Security) مُفعَّل لجميع نقاط النهاية العامة. - الاتصال بين الخدمات الداخلية مُشفَّر أيضاً. ### التشفير عند التخزين - تستخدم قواعد البيانات (Supabase/PostgreSQL) تشفير AES-256 للبيانات عند التخزين. - يستخدم تخزين الملفات (DigitalOcean Spaces / Supabase Storage) تشفير AES-256 من جانب الخادم. - يتمُّ تخزين النسخ الاحتياطية بشكل مُشفَّر. --- ## 3. فصل البيانات (عزل المستأجرين) - فصل منطقي صارم لبيانات العملاء على مستوى قاعدة البيانات من خلال عزل المستأجرين (Row-Level Security في PostgreSQL). - يمكن لكل عميل الوصول إلى بياناته فقط – يُطبَّق ذلك على مستوى كلٍّ من قاعدة البيانات وواجهة برمجة التطبيقات. - تضمن الاختبارات المؤتمتة عدم حدوث أي تسرُّب للبيانات بين المستأجرين. --- ## 4. التوفُّر والمرونة ### بنية الاستضافة - يعمل التطبيق على DigitalOcean App Platform مع التوسُّع التلقائي وفحوصات السلامة. - قاعدة البيانات على Supabase بتكوين عالي التوفُّر. ### النسخ الاحتياطي والاسترداد - نسخ احتياطية يومية تلقائية لقاعدة البيانات مع فترة احتفاظ لا تقلُّ عن 7 أيام. - استرداد نقطة زمنية (PITR) لقاعدة بيانات PostgreSQL. - اختبار دوري لإجراءات الاسترداد. - هدف وقت الاسترداد (RTO): كما هو مُحدَّد في اتفاقية مستوى الخدمة. - هدف نقطة الاسترداد (RPO): 24 ساعة كحدٍّ أقصى. --- ## 5. الاستجابة للحوادث - عملية مُوثَّقة للاستجابة للحوادث الأمنية. - إخطار المتحكم (العميل) خلال **48 ساعة** من العلم باختراق البيانات الشخصية، وفقاً لاتفاقية معالجة البيانات (DPA). - تسجيل وتتبُّع جميع الحوادث ذات الصلة بالأمن. - مراجعة وتحديث دوري لخطة الاستجابة للحوادث. --- ## 6. السرِّية والتزامات الموظفين - جميع الموظفين والمتعاقدين ملزمون باتفاقيات عدم الإفصاح (NDAs). - تدريب دوري على حماية البيانات لجميع الموظفين. - الالتزام بالحفاظ على سرِّية البيانات وفقاً للـ GDPR. - يُمنَح الوصول إلى البيانات الشخصية فقط على أساس الحاجة إلى المعرفة. --- ## 7. إدارة المعالجين الفرعيين - اختيار دقيق للمعالجين الفرعيين استناداً إلى معايير حماية البيانات والأمن. - الالتزام التعاقدي لجميع المعالجين الفرعيين بمعالجة البيانات المتوافقة مع الـ GDPR. - مراجعة دورية للمعالجين الفرعيين. - تتوفَّر القائمة الحالية للمعالجين الفرعيين على [Subprocessors](/legal/subprocessors). - إشعار مُسبَق للعملاء بأي تغييرات وفقاً لاتفاقية DPA. --- ## 8. التسجيل والمراقبة - تسجيل مركزي لأحداث النظام والوصول. - **Langfuse** لمراقبة وتتبُّع تفاعلات نماذج الذكاء الاصطناعي (مُستضاف في الاتحاد الأوروبي). - **PostHog** لتحليلات المنتج وإعادة تشغيل الجلسة الاختيارية - التحليلات/إعادة التشغيل المستمرة فقط بموافقة التحليلات؛ تشخيص محدود دون ملفات تعريف ارتباط حيثما كان قانونياً. - مراقبة مقاييس النظام الحرجة مع تنبيهات مؤتمتة. - مراجعة دورية للسجلَّات بحثاً عن أي شذوذ. --- ## 9. تقليل البيانات وإخفاء الهوية (Pseudonymization) ### تقليل البيانات - جمع ومعالجة البيانات الشخصية الضرورية فقط لغرض المعالجة ذي الصلة. - مراجعة دورية لفئات البيانات المُعالَجة للتأكُّد من ضرورتها. - حذف تلقائي للبيانات التي لم تعد لازمة وفقاً لفترات الاحتفاظ المُحدَّدة. ### إخفاء الهوية - حيثما يكون ممكناً تقنياً ومناسباً، تُعالَج البيانات الشخصية بشكل مُستعار (pseudonymized). - تستخدم المعالجة الداخلية بشكل أساسي UUIDs بدلاً من الأسماء الحقيقية. - تُجرى التقييمات التحليلية على أساس مُجمَّع أو مُستعار. --- ## 10. المراجعة والتقييم الدوريَّان - تقييمات أمنية دورية للبنية التحتية والتطبيقات. - يتمُّ فحص التبعيَّات بانتظام بحثاً عن الثغرات المعروفة (فحص التبعيَّات). - مراجعة وتحديث هذه التدابير TOMs مرَّةً سنوياً على الأقل أو عند حدوث تغييرات جوهرية في أنشطة المعالجة. - تحسين مستمر لتدابير الأمن استناداً إلى مشهد التهديدات الحالي. --- ## 11. تدابير إضافية ### ضبط الإدخال - تسجيل التغييرات على البيانات الشخصية (audit trail). - إمكانية تتبُّع من أدخل أو عدَّل أو حذف أي بيانات ومتى. ### ضبط النقل - تُنقَل البيانات بشكل مُشفَّر حصراً. - لا يتمُّ نقل البيانات الشخصية إلى دول ثالثة دون مستوى حماية مناسب (قرار الكفاية أو البنود التعاقدية القياسية). ### ضبط المعالجة - معالجة البيانات الشخصية حصراً وفقاً لتعليمات المتحكم. - تنظيم تعاقدي للمعالجة المُكلَّفة في اتفاقية DPA. --- *تتمُّ مراجعة هذه التدابير التقنية والتنظيمية بانتظام وتحديثها حسب الضرورة لضمان مستوى حماية يتَّسق مع أحدث التقنيات.*