سياسة حماية البيانات الشخصية
1. الغرض والنطاق والمستخدمون
تسعى شركة هاليان القابضة المحدودة، والمشار إليها فيما يلي باسم "الشركة"، جاهدة للامتثال للقوانين واللوائح المعمول بها المتعلقة بحماية البيانات الشخصية في الدول التي تعمل بها الشركة. تحدد هذه السياسة المبادئ الأساسية التي تعالج الشركة من خلالها البيانات الشخصية للمستهلكين والعملاء والموردين والشركاء التجاريين والموظفين وغيرهم من الأفراد، وتشير إلى مسؤوليات إداراتها التجارية وموظفيها أثناء معالجة البيانات الشخصية.
تنطبق هذه السياسة على الشركة وشركاتها الفرعية المملوكة لها بالكامل والمملوكة لها بشكل مباشر أو غير مباشر والتي تقوم بأعمالها داخل المنطقة الاقتصادية الأوروبية (EEA) أو تعالج البيانات الشخصية لأصحاب البيانات داخل المنطقة الاقتصادية الأوروبية.
مستخدمو هذه الوثيقة هم جميع الموظفين، الدائمين أو المؤقتين، وجميع المتعاقدين الذين يعملون نيابةً عن الشركة.
2. الوثائق المرجعية
اللائحة العامة لحماية البيانات في الاتحاد الأوروبي 2016/679 (اللائحة (الاتحاد الأوروبي) 2016/679 الصادرة عن البرلمان الأوروبي والمجلس الأوروبي بتاريخ 27 أبريل 2016 بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وحرية حركة هذه البيانات، وإلغاء التوجيه 95/46/EC)
-
سياسة حماية البيانات الشخصية للموظفين
-
سياسة الاحتفاظ بالبيانات
-
الوصف الوظيفي لمسؤول حماية البيانات
-
المبادئ التوجيهية لأنشطة جرد البيانات ومعالجتها
-
إجراءات طلب الوصول إلى البيانات
-
إرشادات تقييم أثر حماية البيانات
-
إجراءات نقل البيانات الشخصية عبر الحدود
-
سياسة أمن تكنولوجيا المعلومات
-
الإجراءات الأمنية لقسم تكنولوجيا المعلومات
-
سياسة الأجهزة المحمولة والعمل عن بُعد
-
سياسة مسح المكتب ومسح الشاشة
-
إجراءات الإخطار بالاختراق
3. التعريفات
التعاريف التالية للمصطلحات المستخدمة في هذه الوثيقة مستمدة من المادة 4 من اللائحة العامة لحماية البيانات في الاتحاد الأوروبي:
البيانات الشخصية: أيمعلومات تتعلق بشخص طبيعي محدد أو يمكن تحديد هويته ("صاحب البيانات") يمكن تحديد هويته، بشكل مباشر أو غير مباشر، ولا سيما بالرجوع إلى مُعرِّف مثل الاسم أو رقم التعريف أو بيانات الموقع أو مُعرِّف عبر الإنترنت أو إلى عامل أو أكثر من العوامل الخاصة بالهوية البدنية أو الفسيولوجية أو الجينية أو العقلية أو الاقتصادية أو الثقافية أو الاجتماعية لهذا الشخص الطبيعي.
البيانات الشخصية الحساسة: البيانات الشخصيةالتي تكون بطبيعتها حساسة بشكل خاص فيما يتعلق بالحقوق والحريات الأساسية تستحق حماية خاصة لأن سياق معالجتها يمكن أن يخلق مخاطر كبيرة على الحقوق والحريات الأساسية. وتشمل هذه البيانات الشخصية البيانات الشخصية التي تكشف عن الأصل العرقي أو الإثني أو الآراء السياسية أو المعتقدات الدينية أو الفلسفية أو العضوية النقابية، والبيانات الجينية، والبيانات البيومترية لغرض تحديد هوية الشخص الطبيعي بشكل فريد، والبيانات المتعلقة بالصحة أو البيانات المتعلقة بالحياة الجنسية للشخص الطبيعي أو التوجه الجنسي.
المتحكم في البيانات: الشخصالطبيعي أو الاعتباري أو السلطة العامة أو الوكالة أو أي هيئة أخرى، التي تحدد بمفردها أو بالاشتراك مع آخرين أغراض ووسائل معالجة البيانات الشخصية.
معالج البيانات: شخصطبيعي أو اعتباري أو سلطة عامة أو وكالة أو أي هيئة أخرى تعالج البيانات الشخصية نيابةً عن مراقب البيانات.
المعالجة: عملية أو مجموعة من العمليات التي يتم إجراؤها على البيانات الشخصية أو على مجموعات من البيانات الشخصية، سواء بوسائل آلية أم لا، مثل جمع البيانات أو تسجيلها أو تنظيمها أو هيكلتها أو تخزينها أو تكييفها أو تعديلها أو استرجاعها أو استشارتها أو استخدامها أو الإفصاح عنها عنطريق النقل أو النشر أو إتاحتها بأي طريقة أخرى أو مواءمتها أو دمجها أو تقييدها أو محوها أو إتلافها.
إخفاء الهوية: إلغاء تحديدهوية البيانات الشخصية بشكل لا رجعة فيهبحيث لا يمكن تحديد هوية الشخص باستخدام الوقت والتكلفة والتكنولوجيا المعقولة سواء من قبل المراقب أو أي شخص آخر لتحديد هوية ذلك الشخص. لا تنطبق مبادئ معالجة البيانات الشخصية على البيانات مجهولة المصدر لأنها لم تعد بيانات شخصية.
التجهيل الكاذب: معالجة البيانات الشخصية بطريقة لا يمكن معها أن تُنسبالبيانات الشخصية إلى شخص محدد دون استخدام معلومات إضافية، شريطة أن يتم الاحتفاظ بهذه المعلومات الإضافية بشكل منفصل وتخضع لتدابير تقنية وتنظيمية لضمان عدم نسب البيانات الشخصية إلى شخص طبيعي محدد أو يمكن التعرف عليه. يقلل التسميات المستعارة من القدرة على ربط البيانات الشخصية بصاحب البيانات، ولكنه لا يلغي تمامًا القدرة على ربط البيانات الشخصية بصاحب البيانات. نظرًا لأن البيانات ذات الأسماء المستعارة لا تزال بيانات شخصية، يجب أن تمتثل معالجة البيانات ذات الأسماء المستعارة لمبادئ معالجة البيانات الشخصية.
المعالجة العابرة للحدود للبيانات الشخصية: معالجةالبيانات الشخصية التي تتم في سياق أنشطة المؤسسات في أكثر من دولة عضو واحدة لمراقب أو معالج في الاتحاد الأوروبي حيث يكون المراقب أو المعالج موجودًا في أكثر من دولة عضو واحدة؛ أو معالجة البيانات الشخصية التي تتم في سياق أنشطة مؤسسة واحدة لمراقب أو معالج في الاتحاد ولكنها تؤثر بشكل كبير أو من المحتمل أن تؤثر بشكل كبير على أصحاب البيانات في أكثر من دولة عضو واحدة;
السلطة الإشرافية: سلطة عامة مستقلة أنشأتهادولة عضو وفقًا للمادة 51 من اللائحة العامة لحماية البيانات في الاتحاد الأوروبي;
السلطة الإشرافية الرئيسية: السلطة الإشرافية الرائدة: السلطة الإشرافية التيتتحمل المسؤولية الرئيسية عن التعامل مع نشاط معالجة البيانات عبر الحدود، على سبيل المثال عندما يقدم صاحب البيانات شكوى بشأن معالجة بياناته الشخصية؛ وهي مسؤولة، من بين أمور أخرى، عن تلقي إخطارات خرق البيانات، ليتم إخطارها بشأن نشاط المعالجة المحفوف بالمخاطر، وستكون لها السلطة الكاملة فيما يتعلق بواجباتها لضمان الامتثال لأحكام اللائحة العامة لحماية البيانات في الاتحاد الأوروبي;
ستظل كل "سلطة إشرافية محلية" في إقليمها، وستظل تراقب أي معالجة محلية للبيانات التي تؤثر على أصحاب البيانات أو التي يقوم بها مراقب أو معالج من الاتحاد الأوروبي أو من خارج الاتحاد الأوروبي عندما تستهدف معالجتهم أصحاب البيانات المقيمين على أراضيها. تشمل مهامها وصلاحياتها إجراء التحقيقات وتطبيق التدابير الإدارية والغرامات، وتعزيز الوعي العام بالمخاطر والقواعد والأمن والحقوق فيما يتعلق بمعالجة البيانات الشخصية، بالإضافة إلى الحصول على إمكانية الوصول إلى أي مقرات للمراقب والمعالج، بما في ذلك أي معدات ووسائل معالجة البيانات.
"المنشأة الرئيسية فيما يتعلق بالمراقب" التي لها منشآت في أكثر من دولة عضو، مكان إدارتها المركزية في الاتحاد، ما لم يتم اتخاذ القرارات المتعلقة بأغراض ووسائل معالجة البيانات الشخصية في منشأة أخرى للمراقب في الاتحاد، وتكون للمنشأة الأخيرة سلطة تنفيذ هذه القرارات، وفي هذه الحالة تعتبر المنشأة التي اتخذت هذه القرارات هي المنشأة الرئيسية; "المنشأة الرئيسية فيما يتعلق بالمعالج" التي لها منشآت في أكثر من دولة عضو واحدة، أو مكان إدارتها المركزية في الاتحاد، أو، إذا لم يكن للمعالج إدارة مركزية في الاتحاد، فإن منشأة المعالج في الاتحاد حيث تتم أنشطة المعالجة الرئيسية في سياق أنشطة منشأة المعالج إلى الحد الذي يخضع فيه المعالج لالتزامات محددة بموجب هذه اللائحة;
تعهّد المجموعة: أيشركة قابضة مع الشركة التابعة لها.
4. المبادئ الأساسية المتعلقة بمعالجة البيانات الشخصية
تحدد مبادئ حماية البيانات المسؤوليات الأساسية للمؤسسات التي تتعامل مع البيانات الشخصية. وتنص المادة 5 (2) من اللائحة العامة لحماية البيانات على أن "يكون المراقب مسؤولاً عن الامتثال للمبادئ وقادرًا على إثبات ذلك".
4.1. المشروعية والإنصاف والشفافية
يجب معالجة البيانات الشخصية بطريقة قانونية وعادلة وشفافة فيما يتعلق بصاحب البيانات.
4.2. تحديد الغرض
يجب جمع البيانات الشخصية لأغراض محددة وصريحة ومشروعة وعدم معالجتها بطريقة لا تتوافق مع تلك الأغراض.
4.3. الحد من البيانات
يجب أن تكون البيانات الشخصية ملائمة وذات صلة ومحدودة بما هو ضروري فيما يتعلق بالأغراض التي تتم معالجتها من أجلها. يجب على الشركة تطبيق إخفاء الهوية أو إخفاء الاسم المستعار على البيانات الشخصية إذا كان ذلك ممكنًا لتقليل المخاطر التي يتعرض لها أصحاب البيانات المعنية.
4.4. الدقة
يجب أن تكون البيانات الشخصية دقيقة ومحدثة عند الضرورة؛ ويجب اتخاذ خطوات معقولة لضمان محو أو تصحيح البيانات الشخصية غير الدقيقة في الوقت المناسب، مع مراعاة الأغراض التي تتم معالجتها من أجلها.
4.5. تحديد فترة التخزين
يجب ألا يتم الاحتفاظ بالبيانات الشخصية لفترة أطول مما هو ضروري للأغراض التي تتم معالجة البيانات الشخصية من أجلها.
4.6. النزاهة والسرية
مع الأخذ في الاعتبار حالة التكنولوجيا والتدابير الأمنية الأخرى المتاحة، وتكلفة التنفيذ، واحتمالية وشدة مخاطر البيانات الشخصية، يجب على الشركة استخدام التدابير التقنية أو التنظيمية المناسبة لمعالجة البيانات الشخصية بطريقة تضمن الأمن المناسب للبيانات الشخصية، بما في ذلك الحماية من التدمير العرضي أو غير القانوني أو الفقدان أو التبديل أو الوصول غير المصرح به أو الإفصاح.
4.7. المساءلة
يجب أن يكون مراقبو البيانات مسؤولين عن الامتثال للمبادئ الموضحة أعلاه وأن يكونوا قادرين على إثبات الامتثال لها.
5. بناء حماية البيانات في الأنشطة التجارية
من أجل إثبات الامتثال لمبادئ حماية البيانات، يجب على المؤسسة بناء حماية البيانات في أنشطتها التجارية.
5.1. إخطار أصحاب البيانات
(راجع قسم إرشادات المعالجة العادلة).
5.2. اختيار صاحب البيانات وموافقته
(راجع قسم إرشادات المعالجة العادلة).
5.3. التجميع
يجب أن تسعى الشركة إلى جمع أقل قدر ممكن من البيانات الشخصية. إذا تم جمع البيانات الشخصية من طرف ثالث، يجب على مدير عمليات المعالجة ومديرو الإدارات المعنية (كما هو موضح في قائمة جرد جمع البيانات) التأكد من جمع البيانات الشخصية بشكل قانوني.
5.4. الاستخدام والاحتفاظ بها والتخلص منها
يجب أن تكون أغراض البيانات الشخصية وأساليبها وحدود تخزينها وفترة الاحتفاظ بها متوافقة مع المعلومات الواردة في إشعار الخصوصية. يجب أن تحافظ الشركة على دقة البيانات الشخصية وسلامتها وسريتها وملاءمتها بناءً على الغرض من المعالجة. يجب استخدام آليات أمنية ملائمة مصممة لحماية البيانات الشخصية لمنع سرقة البيانات الشخصية أو إساءة استخدامها أو إساءة استخدامها، ومنع انتهاكات البيانات الشخصية. يتحمل مسؤول حماية البيانات الشخصية مسؤولية الامتثال للمتطلبات المدرجة في هذا القسم.
5.5. الإفصاح للغير
عندما تستخدم الشركة موردًا أو شريكًا تجاريًا تابعًا لجهة خارجية لمعالجة البيانات الشخصية نيابةً عنها، يجب على مدير العمليات التأكد من أن هذا المعالج سيوفر تدابير أمنية لحماية البيانات الشخصية تتناسب مع المخاطر المرتبطة بها. لهذا الغرض، يجب استخدام استبيان امتثال المعالج للائحة العامة لحماية البيانات الشخصية.
يجب أن تطلب الشركة تعاقديًا من المورد أو الشريك التجاري توفير نفس المستوى من حماية البيانات. يجب على المورد أو الشريك التجاري معالجة البيانات الشخصية فقط لتنفيذ التزاماته التعاقدية تجاه الشركة أو بناءً على تعليمات الشركة وليس لأي أغراض أخرى. عندما تقوم الشركة بمعالجة البيانات الشخصية بالاشتراك مع طرف ثالث مستقل، يجب على الشركة أن تحدد صراحةً مسؤولياتها ومسؤوليات الطرف الثالث في العقد ذي الصلة أو أي وثيقة أخرى ملزمة قانونًا، مثل اتفاقية معالجة بيانات المورد.
5.6. نقل البيانات الشخصية عبر الحدود
قبل نقل البيانات الشخصية إلى خارج المنطقة الاقتصادية الأوروبية (EEA)، يجب استخدام ضمانات كافية بما في ذلك توقيع اتفاقية نقل البيانات، كما هو مطلوب من قبل الاتحاد الأوروبي، وإذا لزم الأمر، يجب الحصول على تصريح من هيئة حماية البيانات ذات الصلة. يجب أن يمتثل الكيان الذي يتلقى البيانات الشخصية لمبادئ معالجة البيانات الشخصية المنصوص عليها في إجراءات نقل البيانات عبر الحدود.
5.7. حقوق الوصول من قبل أصحاب البيانات
عند العمل كمراقب للبيانات، يكون مسؤولاً عن تزويد أصحاب البيانات بآلية وصول معقولة لتمكينهم من الوصول إلى بياناتهم الشخصية، ويجب أن يسمح لهم بتحديث بياناتهم الشخصية أو تصحيحها أو محوها أو نقلها، إذا كان ذلك مناسبًا أو مطلوبًا بموجب القانون. سيتم تفصيل آلية الوصول بمزيد من التفصيل في إجراءات طلب الوصول إلى البيانات الشخصية.
5.8. إمكانية نقل البيانات
يحق لأصحاب البيانات الحصول، عند الطلب، على نسخة من البيانات التي قدموها لنا بصيغة منظمة ونقل تلك البيانات إلى جهة تحكم أخرى مجانًا. يتحمل مسؤول حماية البيانات مسؤولية ضمان معالجة هذه الطلبات في غضون شهر واحد، وألا تكون مفرطة وألا تؤثر على حقوق البيانات الشخصية للأفراد الآخرين.
5.9. الحق في النسيان
عند الطلب، يحق لأصحاب البيانات الحصول من الشركة على محو بياناتهم الشخصية. عندما تتصرف الشركة كمراقب، يجب على مسؤول حماية البيانات ومدير تكنولوجيا المعلومات اتخاذ الإجراءات اللازمة (بما في ذلك التدابير التقنية) للامتثال للطلب وإبلاغ الأطراف الثالثة التي تستخدم أو تعالج تلك البيانات للامتثال للطلب.
6. إرشادات المعالجة العادلة
يجب معالجة البيانات الشخصية فقط عندما يصرح بذلك صراحةً مسؤول حماية البيانات. يجب أن تقرر الشركة إجراء تقييم أثر حماية البيانات لكل نشاط من أنشطة معالجة البيانات وفقًا لإرشادات تقييم أثر حماية البيانات.
6.1. إشعارات لأصحاب البيانات
في وقت جمع البيانات الشخصية أو قبل جمع البيانات الشخصية لأي نوع من أنشطة المعالجة بما في ذلك على سبيل المثال لا الحصر بيع المنتجات أو الخدمات أو أنشطة التسويق، يكون مسؤول حماية البيانات مسؤولاً عن إبلاغ أصحاب البيانات بشكل صحيح بما يلي: أنواع البيانات الشخصية التي يتم جمعها، وأغراض المعالجة، وطرق المعالجة، وحقوق أصحاب البيانات فيما يتعلق ببياناتهم الشخصية، وفترة الاحتفاظ بها، وعمليات النقل الدولي المحتملة للبيانات، وإذا كانت البيانات ستتم مشاركتها مع أطراف ثالثة، والتدابير الأمنية التي تتخذها الشركة لحماية البيانات الشخصية. يتم توفير هذه المعلومات من خلال إشعار الخصوصية.
إذا كان لدى شركتك أنشطة متعددة لمعالجة البيانات، فستحتاج إلى وضع إشعارات مختلفة تختلف باختلاف نشاط المعالجة وفئات البيانات الشخصية التي يتم جمعها، على سبيل المثال، قد تتم كتابة إشعار واحد لأغراض البريد، وإشعار آخر لأغراض الشحن.
في حالة مشاركة البيانات الشخصية مع طرف ثالث، يجب على مسؤول حماية البيانات الشخصية التأكد من إخطار أصحاب البيانات بذلك من خلال إشعار الخصوصية.
عندما يتم نقل البيانات الشخصية إلى دولة ثالثة وفقًا لسياسة نقل البيانات عبر الحدود، يجب أن يعكس إشعار الخصوصية ذلك وأن يذكر بوضوح إلى أي جهة يتم نقل البيانات الشخصية وإليها.
في حالة جمع البيانات الشخصية الحساسة، يجب أن يتأكد مسؤول حماية البيانات من أن إشعار الخصوصية ينص صراحةً على الغرض من جمع هذه البيانات الشخصية الحساسة.
6.2. الحصول على الموافقات
عندما تستند معالجة البيانات الشخصية إلى موافقة صاحب البيانات، أو أي أسباب قانونية أخرى، يكون مسؤول حماية البيانات مسؤولاً عن الاحتفاظ بسجل لهذه الموافقة. يكون المسؤول عن معالجة البيانات الشخصية مسؤولاً عن تزويد أصحاب البيانات بخيارات لتقديم الموافقة، ويجب عليه إبلاغهم وضمان إمكانية سحب موافقتهم (عندما تُستخدم الموافقة كأساس قانوني للمعالجة) في أي وقت.
عندما يتعلق جمع البيانات الشخصية بطفل يقل عمره عن 16 عامًا، يجب على مسؤول حماية البيانات التأكد من تقديم موافقة الوالدين قبل جمع البيانات باستخدام نموذج موافقة الوالدين.
عند تقديم طلبات لتصحيح أو تعديل أو إتلاف سجلات البيانات الشخصية، يجب على المسؤول عن حماية البيانات الشخصية التأكد من التعامل مع هذه الطلبات في غضون إطار زمني معقول. كما يجب على مسؤول حماية البيانات الشخصية أيضًا تسجيل الطلبات والاحتفاظ بسجل لها.
يجب معالجة البيانات الشخصية فقط للغرض الذي جُمعت من أجله في الأصل. في حالة رغبة الشركة في معالجة البيانات الشخصية التي تم جمعها لغرض آخر، يجب على الشركة أن تطلب موافقة أصحاب البيانات كتابةً بشكل واضح وموجز. يجب أن يتضمن أي طلب من هذا القبيل الغرض الأصلي الذي جُمعت البيانات من أجله، وكذلك الغرض (الأغراض) الجديدة أو الإضافية. يجب أن يتضمن الطلب أيضًا سبب التغيير في الغرض (الأغراض). مسؤول حماية البيانات مسؤول عن الامتثال للقواعد الواردة في هذه الفقرة.
في الوقت الحالي وفي المستقبل، يجب أن يضمن مسؤول حماية البيانات في الوقت الحالي وفي المستقبل أن تكون طرق جمع البيانات متوافقة مع القانون والممارسات الجيدة ومعايير الصناعة ذات الصلة.
مسؤول حماية البيانات مسؤول عن إنشاء سجل لإشعارات الخصوصية والحفاظ عليه.
7. التنظيم والمسؤوليات
تقع مسؤولية ضمان المعالجة المناسبة للبيانات الشخصية على عاتق كل من يعمل لدى الشركة أو معها ولديه إمكانية الوصول إلى البيانات الشخصية التي تعالجها الشركة.
تقع المسؤوليات الرئيسية لمعالجة البيانات الشخصية على عاتق الأدوار التنظيمية التالية:
يقومالفريق التنفيذي باتخاذالقرارات بشأن الاستراتيجيات العامة للشركة والموافقة عليها بشأن
مسؤول حماية البيانات (DPO)، وهو مسؤول عن إدارة برنامج حماية البيانات الشخصية وهو مسؤول عن تطوير وتعزيز سياسات حماية البيانات الشخصية الشاملة، على النحو المحدد في الوصف الوظيفي لمسؤول حماية البيانات;
يقوممستشار الشؤون القانونية بالتعاون مع مسؤول حماية البيانات، بمراقبة وتحليل قوانين البيانات الشخصية والتغييرات التي تطرأ على اللوائح، وتطوير متطلبات الامتثال، ومساعدة إدارات الأعمال في تحقيق أهدافها المتعلقة بالبيانات الشخصية.
يتولىمدير تكنولوجيا المعلومات مسؤولية
-
ضمان استيفاء جميع الأنظمة والخدمات والمعدات المستخدمة لتخزين البيانات للمعايير الأمنية المقبولة.
-
إجراء عمليات فحص ومسح منتظمة للتأكد من أن الأجهزة والبرامج الأمنية تعمل بشكل صحيح.
مدير المبيعات، مسؤول عن:
-
الموافقة على أي بيانات لحماية البيانات مرفقة بالمراسلات مثل رسائل البريد الإلكتروني والرسائل.
-
الرد على أي استفسارات تتعلق بحماية البيانات من الصحفيين أو وسائل الإعلام مثل الصحف.
-
عند الضرورة، العمل مع مسؤول حماية البيانات لضمان التزام مبادرات التسويق بمبادئ حماية البيانات.
مدير الموارد البشرية مسؤول عن:
-
تحسين وعي جميع الموظفين بحماية البيانات الشخصية للمستخدمين.
-
تنظيم الخبرة في مجال حماية البيانات الشخصية والتدريب التوعوي للموظفين العاملين مع البيانات الشخصية.
-
حماية البيانات الشخصية للموظفين من البداية إلى النهاية. يجب أن يضمن معالجة البيانات الشخصية للموظفين بناءً على الأغراض التجارية المشروعة لصاحب العمل وضرورتها.
يكونمدير العمليات مسؤولاً عن نقل مسؤوليات حماية البيانات الشخصية إلى الموردين، وتحسين مستويات وعي الموردين بحماية البيانات الشخصية بالإضافة إلى تدفق متطلبات البيانات الشخصية إلى أي طرف ثالث من الموردين الذين يستخدمونهم. يجب على إدارة المشتريات التأكد من أن الشركة تحتفظ بحقها في التدقيق على الموردين.
8. المبادئ التوجيهية لإنشاء السلطة الإشرافية الرئيسية
8.1. ضرورة إنشاء السلطة الإشرافية الرائدة
لا يكون تحديد السلطة الإشرافية الرائدة مناسبًا إلا إذا كانت الشركة تقوم بمعالجة البيانات الشخصية عبر الحدود.
تتم معالجة البيانات الشخصية عبر الحدود إذا:
أ) تتم معالجة البيانات الشخصية من قبل الشركات التابعة للشركة التي يقع مقرها في دول أعضاء أخرى;
أو
ب) معالجة البيانات الشخصية التي تتم في منشأة واحدة للشركة في الاتحاد الأوروبي، ولكنها تؤثر بشكل كبير أو من المحتمل أن تؤثر بشكل كبير على أصحاب البيانات في أكثر من دولة عضو.
إذا كانت الشركة لديها منشآت في دولة عضو واحدة فقط وتؤثر أنشطة المعالجة الخاصة بها على أصحاب البيانات في تلك الدولة العضو فقط، فلا حاجة لإنشاء سلطة إشرافية رائدة. ستكون السلطة المختصة الوحيدة هي السلطة الإشرافية في الدولة التي تأسست فيها الشركة بشكل قانوني.
8.2. المؤسسة الرئيسية والسلطة الإشرافية الرائدة
8.2.1. المنشأة الرئيسية لمراقب البيانات
يحتاج الفريق التنفيذي إلى تحديد المنشأة الرئيسية بحيث يمكن تحديد السلطة الإشرافية الرئيسية.
إذا كان مقر الشركة في إحدى الدول الأعضاء في الاتحاد الأوروبي وتتخذ القرارات المتعلقة بأنشطة المعالجة عبر الحدود في مكان إدارتها المركزية، فستكون هناك سلطة إشرافية رئيسية واحدة لأنشطة معالجة البيانات التي تقوم بها الشركة.
إذا كان لدى الشركة مؤسسات متعددة تعمل بشكل مستقل وتتخذ القرارات المتعلقة بأغراض ووسائل معالجة البيانات الشخصية، فيجب على الفريق التنفيذي الإقرار بوجود أكثر من سلطة إشرافية رائدة واحدة.
8.2.2. المؤسسة الرئيسية لمعالج البيانات
عندما تعمل الشركة كمعالج للبيانات، تكون المنشأة الرئيسية هي مكان الإدارة المركزية. في حالة عدم وجود مكان الإدارة المركزية في الاتحاد الأوروبي، فإن المنشأة الرئيسية ستكون المنشأة الرئيسية هي المنشأة الموجودة في الاتحاد الأوروبي حيث تتم أنشطة المعالجة الرئيسية.
8.2.3. المنشأة الرئيسية للشركات من خارج الاتحاد الأوروبي لوحدات التحكم في البيانات ومعالجتها
إذا لم يكن لدى الشركة منشأة رئيسية في الاتحاد الأوروبي، وكان لديها فروع في الاتحاد الأوروبي، فإن السلطة الإشرافية المختصة هي السلطة الإشرافية المحلية.
إذا لم يكن لدى الشركة منشأة رئيسية في الاتحاد الأوروبي ولا الشركات التابعة لها في الاتحاد الأوروبي، فيجب عليها تعيين ممثل لها في الاتحاد الأوروبي، وتكون السلطة الإشرافية المختصة هي السلطة الإشرافية المحلية حيث يوجد الممثل.
9. الاستجابة لحوادث اختراق البيانات الشخصية
عندما تعلم الشركة بحدوث خرق مشتبه به أو فعلي للبيانات الشخصية، يجب على مدير إدارة حماية البيانات ومدير تكنولوجيا المعلومات إجراء تحقيق داخلي واتخاذ التدابير العلاجية المناسبة في الوقت المناسب، وفقًا لسياسة خرق البيانات. عندما يكون هناك أي خطر على حقوق وحريات أصحاب البيانات، يجب على الشركة إخطار سلطات حماية البيانات ذات الصلة دون تأخير لا مبرر له، وعند الإمكان، في غضون 72 ساعة.
10. التدقيق والمساءلة
تتولى إدارة تكنولوجيا المعلومات والعمليات مسؤولية التدقيق في مدى تطبيق إدارات الأعمال لهذه السياسة.
أي موظف ينتهك هذه السياسة سيخضع لإجراءات تأديبية وقد يتعرض الموظف أيضًا لمسؤوليات مدنية أو جنائية إذا كان سلوكه ينتهك القوانين أو اللوائح.
11. تعارض القوانين
تهدف هذه السياسة إلى الامتثال للقوانين واللوائح في مكان تأسيس الشركة والبلدان التي تعمل فيها الشركة. وفي حالة وجود أي تعارض بين هذه السياسة والقوانين واللوائح المعمول بها، تكون الغلبة للأخيرة.
12. إدارة السجلات المحفوظة على أساس هذه الوثيقة
| اسم السجل | موقع التخزين | الشخص المسؤول عن التخزين | ضوابط حماية السجلات | وقت الاحتفاظ بالسجلات |
|---|---|---|---|---|
| نماذج موافقة صاحب البيانات | قاعدة بيانات RDB | مسؤول حماية البيانات | الأشخاص المصرح لهم فقط بالوصول إلى النماذج | 10 سنوات |
| نموذج سحب موافقة صاحب البيانات | قاعدة بيانات RDB | مسؤول حماية البيانات | يجوز للأشخاص المصرح لهم فقط الوصول إلى النماذج | 10 سنوات |
| نموذج موافقة الوالدين | قاعدة بيانات RDB | مسؤول حماية البيانات | يمكن للأشخاص المصرح لهم فقط الوصول إلى النماذج | 10 سنوات |
| نموذج سحب موافقة الوالدين | قاعدة بيانات RDB | مسؤول حماية البيانات | يمكن للأشخاص المصرح لهم فقط الوصول إلى النماذج | 10 سنوات |
| اتفاقيات معالجة بيانات الموردين | \<<العمليات> \العقود \الموردون | مسؤول حماية البيانات | يجوز للأشخاص المصرح لهم فقط الوصول إلى النماذج | 5 سنوات بعد انتهاء صلاحية الاتفاقية |
| سجل إشعارات الخصوصية | \<<العمليات> \العقود \الإشعارات | مسؤول حماية البيانات | يجوز للأشخاص المصرح لهم فقط الوصول إلى النماذج | بشكل دائم |
13. الصلاحية وإدارة الوثائق
هذه الوثيقة صالحة اعتباراً من 02 يوليو 2018.
الإصدار 1.3