خصم 20% على قفازات النساء
تخفيضات الرجال - خصم يصل إلى 50%
تخفيضات النساء - خصم يصل إلى 50%
استمتع بخصم 10% على طلبك الأول عند اشتراكك في نشرتنا الإخبارية
Dents Dents
Search
Sign in
Search
Search
My Bag
My Bag
My Bag
Search
Close

مقدمة

تضع سياسة حماية البيانات المؤسسية لدينا متطلبات صارمة لمعالجة البيانات الشخصية المتعلقة بالعملاء، والآفاق، والشركاء التجاريين والموظفين. إنها تلبي متطلبات توجيه حماية البيانات الأوروبي (GDPR) وتضمن الامتثال لمبادئ قوانين حماية البيانات الوطنية والدولية.

تحدد السياسة معايير حماية البيانات والأمان المطبقة لشركتنا وتنظم تبادل المعلومات بين شركات مجموعتنا. لقد وضعنا سبعة مبادئ لحماية البيانات – من بينها الشفافية، اقتصاد البيانات وأمان البيانات – كدليل لنا.

يلتزم مديرونا وموظفونا بالسياسة ومراعاة قوانين حماية البيانات المحلية الخاصة بهم.

بصفتي المسؤول عن حماية البيانات المؤسسية، من واجبي التأكد من أن قواعد ومبادئ حماية البيانات في Dents يتم اتباعها.

روبرت يينتوب

الرئيس

23/5/18

المحتويات

I. هدف سياسة حماية البيانات

II. نطاق سياسة حماية البيانات

III. تطبيق القوانين الوطنية

IV. مبادئ معالجة البيانات الشخصية

1. العدالة والقانونية

2. التقييد بهدف محدد

3. الشفافية

4. تقليل البيانات واقتصاد البيانات

5. الحذف

6. الدقة الواقعية؛ البيانات المحدثة

7. السرية وأمان البيانات

V. موثوقية معالجة البيانات

1. بيانات العملاء والشركاء

1.1 معالجة البيانات لعلاقة تعاقدية

1.2 معالجة البيانات لأغراض الدعاية

1.3 الموافقة على معالجة البيانات

1.4 معالجة البيانات وفقًا للتفويض القانوني

1.5 معالجة البيانات وفقًا للمصلحة المشروعة

1.6 معالجة البيانات الحساسة للغاية

1.7 القرارات الفردية الآلية

1.8 بيانات المستخدم والإنترنت

2. بيانات الموظف

2.1 معالجة البيانات لعلاقة العمل

2.2 معالجة البيانات بناءً على التفويض القانوني

2.3 الموافقة على معالجة البيانات

2.4 معالجة البيانات بناءً على المصلحة المشروعة

2.5 معالجة البيانات الحساسة للغاية

2.6 القرارات الآلية

2.7 الاتصالات والإنترنت

VI. نقل البيانات الشخصية

VII. معالجة البيانات التعاقدية

VIII. حقوق موضوع البيانات

IX. سرية المعالجة

X. أمان المعالجة

XI. مراقبة حماية البيانات

XII. حوادث حماية البيانات

XIII. المسؤوليات والعقوبات

  1. I. هدف سياسة حماية البيانات

كجزء من مسؤوليتها الاجتماعية، تلتزم مجموعة Dewhurst Dent (المجموعة) بالامتثال لقوانين حماية البيانات. تنطبق سياسة حماية البيانات هذه على مستوى العالم على المجموعة وتستند إلى مبادئ أساسية مقبولة عالميًا في حماية البيانات. إن ضمان حماية البيانات هو أساس علاقات الأعمال الموثوقة وسمعة جميع شركات المجموعة كصاحب عمل جذاب.

توفر سياسة حماية البيانات أحد الشروط الإطارية اللازمة للنقل عبر الحدود

نقل البيانات بين شركات المجموعة. إنها تضمن مستوى كافٍ من حماية البيانات

المقررة بموجب GDPR والقوانين الوطنية لنقل البيانات عبر الحدود، بما في ذلك في البلدان التي لا تمتلك بعد قوانين حماية بيانات كافية.

  1. II. نطاق سياسة حماية البيانات

تنطبق سياسة حماية البيانات هذه على جميع شركات وأقسام المجموعة، أي Dents، Gaby، Dents Australia Pty، Corgi Hosiery Ltd، D.Charles Astle (Auctioneers) و Hersil Fabrics.

تمتد سياسة حماية البيانات إلى جميع عمليات معالجة البيانات الشخصية

  1. III. تطبيق القوانين الوطنية

تتألف سياسة حماية البيانات هذه من المبادئ الدولية المقبولة للخصوصية البيانات

دون استبدال القوانين الوطنية القائمة. إنه يكمل قوانين الخصوصية الوطنية للبيانات. ال

سيأخذ القانون الوطني المعني الأولوية في حال تعارضه مع سياسة حماية البيانات هذه

السياسة، أو لديها متطلبات أكثر صرامة من هذه السياسة. محتوى سياسة حماية البيانات هذه

يجب أيضًا الالتزام بها في غياب تشريع وطني مماثل. التقرير

يجب الالتزام بمتطلبات معالجة البيانات بموجب القوانين الوطنية.

كل شركة من المجموعة مسؤولة عن الامتثال لهذه السياسة لحماية البيانات والالتزامات القانونية. يجب على جميع الموظفين قراءة وفهم والامتثال لهذه السياسة وأي سياسات ذات صلة عند معالجة البيانات الشخصية وأي خرق قد يؤدي إلى اتخاذ إجراء تأديبي.

  1. IV. مبادئ معالجة البيانات الشخصية

1. العدالة والقانونية

عند معالجة البيانات الشخصية، يجب حماية الحقوق الفردية لموضوعات البيانات.

يجب جمع البيانات الشخصية ومعالجتها بطريقة قانونية وعادلة. يسمح تشريع حماية البيانات بالمعالجة لأغراض محددة، والتي تم توضيحها في هذه السياسة. سيتم إخطار موضوعات البيانات بالأغراض الخاصة بمعالجة بياناتهم الشخصية والتي يمكن العثور عليها في إشعار خصوصية الموظف الخاص بالشركة.

2. التقييد بغرض محدد وصريح ومشروع

يمكن معالجة البيانات الشخصية فقط لأغراض محددة وصريحة ومشروعة ولن تتم معالجتها بأي طريقة تتعارض مع تلك الأغراض. التغييرات اللاحقة على الغرض ممكنة فقط إلى حد محدود وتتطلب تبريرًا.


3. الشفافية

يجب إبلاغ موضوع البيانات بكيفية التعامل مع بياناته. [سيتم تزويد الموظفين بإشعار خصوصية يُعلمهم بكيفية معالجة بياناتهم.] ستكون المعلومات موجزة وشفافة وسهلة الوصول وبلغة واضحة وبسيطة.

بشكل عام، سيتم جمع البيانات الشخصية مباشرة من الفرد المعني. عند جمع البيانات، يجب أن يكون موضوع البيانات إما على علم أو يتم إبلاغه بـ:

» هوية متحكم البيانات

» غرض معالجة البيانات

» الأطراف الثالثة أو فئات الأطراف الثالثة التي قد يتم نقل البيانات إليها

يمكن أيضًا جمع البيانات الشخصية بشكل غير مباشر (على سبيل المثال، من طرف ثالث أو من مصادر متاحة للجمهور). سيتم إبلاغ موضوع البيانات بالمعلومات أعلاه في أقرب وقت ممكن بعد جمع/استلام البيانات.

4. تقليل البيانات واقتصاد البيانات

يجب أن تكون البيانات الشخصية كافية وذات صلة ومحدودة بما هو ضروري بالنسبة للأغراض التي تتم معالجتها من أجلها. قبل معالجة البيانات الشخصية، يجب عليك تحديد ما إذا كانت معالجة البيانات الشخصية ضرورية وإلى أي مدى لتحقيق الغرض الذي يتم من أجله.

عندما يسمح الغرض وحيث تكون النفقات المتضمنة متناسبة مع الهدف المتبع، يجب استخدام البيانات المجهولة أو الإحصائية. لا يجوز جمع البيانات الشخصية مسبقًا وتخزينها لأغراض مستقبلية محتملة إلا إذا كان ذلك مطلوبًا أو مسموحًا به بموجب القانون الوطني.

5. الحذف

عندما لا تكون البيانات الشخصية مطلوبة بعد الآن، سيتم حذفها وفقًا لإرشادات وسياسات الاحتفاظ بالبيانات الخاصة بالشركة. سيتم إعلام موضوعات البيانات بالفترة التي يتم فيها تخزين البيانات وكيفية تحديد تلك الفترة في سياسات الخصوصية الخاصة بها.

يجب مطالبة الأطراف الثالثة بحذف البيانات التي لم تعد مطلوبة حيثما ينطبق ذلك.

6. الدقة الواقعية؛ البيانات المحدثة

يجب أن تكون البيانات الشخصية الموجودة دقيقة، وإذا لزم الأمر، محدثة. يجب اتخاذ خطوات مناسبة لضمان حذف أو تصحيح أو استكمال أو تحديث البيانات غير الدقيقة أو غير المكتملة.

7. السرية وأمان البيانات

تخضع البيانات الشخصية للسرية. يجب التعامل معها بسرية على المستوى الشخصي وتأمينها بتدابير تنظيمية وتقنية مناسبة لمنع الوصول غير المصرح به أو المعالجة أو التوزيع غير القانوني، وكذلك لمنع الفقدان أو التلف أو التعديل أو التدمير العرضي. لدينا ضمانات مناسبة لحجمنا ونطاقنا ومواردنا والمخاطر المحددة التي سيتم تقييمها واختبارها بانتظام. وضعنا إجراءات للتعامل مع أي خرق مشتبه به للبيانات الشخصية وسنخطر موضوعات البيانات أو أي جهة تنظيمية ذات صلة حيثما نكون ملزمين قانونيًا بذلك.

لن يتم نقل البيانات الشخصية إلا إلى مزودي خدمات طرف ثالث يوافقون على الامتثال لسياساتنا وإجراءاتنا المطلوبة والذين يوافقون على اتخاذ تدابير كافية للحفاظ على أمان البيانات. لن يتم نقل البيانات الشخصية إلى دولة أخرى دون وجود ضمانات مناسبة.

  1. V. موثوقية معالجة البيانات

يُسمح بجمع البيانات الشخصية ومعالجتها واستخدامها فقط بموجب الأسس القانونية التالية.

يُطلب أيضًا أحد هذه الأسس القانونية إذا كان الغرض من جمع البيانات الشخصية ومعالجتها واستخدامها سيتم تغييره عن الغرض الأصلي

1. بيانات العملاء والشركاء

1.1 معالجة البيانات لعلاقة تعاقدية

يمكن معالجة البيانات الشخصية للعملاء المحتملين المعنيين والعملاء والشركاء من أجل إنشاء وتنفيذ وإنهاء عقد. يشمل ذلك أيضًا خدمات الاستشارة للشريك بموجب العقد إذا كان ذلك مرتبطًا بالغرض التعاقدي. قبل العقد – خلال مرحلة بدء العقد – يمكن معالجة البيانات الشخصية لإعداد العروض أو أوامر الشراء أو لتلبية طلبات أخرى من العميل المحتمل تتعلق بإبرام العقد. يمكن الاتصال بالعملاء المحتملين خلال عملية إعداد العقد باستخدام المعلومات التي قدموها. يجب الامتثال لأي قيود يطلبها العملاء المحتملون.

1.2 معالجة البيانات لأغراض الدعاية

إذا اتصل موضوع البيانات بشركة من مجموعة الشركات لطلب معلومات (مثل طلب استلام مواد معلوماتية عن منتج)، يُسمح بمعالجة البيانات لتلبية هذا الطلب.

تخضع إجراءات ولاء العملاء أو الإعلانات لمتطلبات قانونية إضافية. يمكن معالجة البيانات الشخصية لأغراض الإعلان أو أبحاث السوق والرأي، بشرط أن يكون ذلك متوافقًا مع الغرض الذي جُمعت من أجله البيانات في الأصل. يجب إبلاغ موضوع البيانات باستخدام بياناته لأغراض الإعلان. إذا جُمعت البيانات لأغراض الإعلان فقط، فإن الإفصاح من موضوع البيانات يكون طوعيًا. يجب إبلاغ موضوع البيانات بأن تقديم البيانات لهذا الغرض هو أمر طوعي. عند التواصل مع موضوع البيانات، يجب الحصول على موافقته لمعالجة البيانات لأغراض الإعلان. عند منح الموافقة، يجب إعطاء موضوع البيانات خيارًا بين أشكال الاتصال المتاحة مثل البريد العادي، البريد الإلكتروني والهاتف (الموافقة، انظر V.1.3). إذا رفض موضوع البيانات استخدام بياناته لأغراض الإعلان، فلا يمكن استخدامها بعد ذلك لهذه الأغراض ويجب حظر استخدامها لهذه الأغراض. يجب مراعاة أي قيود أخرى من دول محددة بشأن استخدام البيانات لأغراض الإعلان.

1.3 الموافقة على معالجة البيانات

يمكن معالجة البيانات بعد موافقة موضوع البيانات. قبل إعطاء الموافقة، يجب إبلاغ موضوع البيانات وفقًا للبند IV.3 من سياسة حماية البيانات هذه. يجب الحصول على إعلان الموافقة كتابيًا أو إلكترونيًا لأغراض التوثيق. في بعض الحالات، مثل المحادثات الهاتفية، يمكن إعطاء الموافقة شفهيًا. يجب توثيق منح الموافقة.

1.4 معالجة البيانات وفقًا للتفويض القانوني

يسمح أيضًا بمعالجة البيانات الشخصية إذا طلب أو استلزم أو سمح بذلك التشريع الوطني. يجب أن يكون نوع ومدى معالجة البيانات ضروريًا لنشاط معالجة البيانات المصرح به قانونيًا، ويجب أن يتوافق مع الأحكام القانونية ذات الصلة.

1.5 معالجة البيانات وفقًا للمصلحة المشروعة

يمكن أيضًا معالجة البيانات الشخصية إذا كان ذلك ضروريًا لمصلحة مشروعة للمجموعة. المصالح المشروعة تكون عمومًا ذات طبيعة قانونية (مثل تحصيل المستحقات المتأخرة) أو تجارية (مثل تجنب خروقات العقد). لا يجوز معالجة البيانات الشخصية لأغراض مصلحة مشروعة إذا كان هناك في حالات فردية دليل على أن مصالح موضوع البيانات تستحق الحماية، وأن ذلك له الأولوية. قبل معالجة البيانات، من الضروري تحديد ما إذا كانت هناك مصالح تستحق الحماية.

1.6 معالجة البيانات الحساسة للغاية

يمكن معالجة البيانات الشخصية الحساسة للغاية فقط إذا كان القانون يتطلب ذلك أو إذا قدم موضوع البيانات موافقة صريحة. يمكن أيضًا معالجة هذه البيانات إذا كان ذلك إلزاميًا للمطالبة أو ممارسة أو الدفاع عن المطالبات القانونية المتعلقة بموضوع البيانات. إذا كانت هناك خطط لمعالجة البيانات الحساسة للغاية، يجب إبلاغ رئيس مجلس الإدارة أو الرئيس التنفيذي للشركة المعنية (الذين هم مسؤولو حماية البيانات) مسبقًا.

1.7 القرارات الفردية الآلية

لا يمكن أن تكون المعالجة الآلية للبيانات الشخصية التي تُستخدم لتقييم جوانب معينة (مثل الجدارة الائتمانية) هي الأساس الوحيد للقرارات التي لها عواقب قانونية سلبية أو قد تضر بشكل كبير بصاحب البيانات. يجب إبلاغ صاحب البيانات بالحقائق ونتائج القرارات الفردية الآلية وإمكانية الرد عليها. لتجنب القرارات الخاطئة، يجب إجراء اختبار وفحص معقولية من قبل موظف.

1.8 بيانات المستخدم والإنترنت

إذا تم جمع البيانات الشخصية أو معالجتها أو استخدامها على المواقع الإلكترونية أو في التطبيقات، يجب إبلاغ أصحاب البيانات بذلك في بيان الخصوصية، وإذا كان ذلك مناسبًا، معلومات عن الكوكيز. يجب دمج بيان الخصوصية وأي معلومات عن الكوكيز بحيث يكون من السهل التعرف عليه، والوصول إليه مباشرة، ومتوفراً باستمرار لأصحاب البيانات. إذا تم إنشاء ملفات تعريف الاستخدام (التتبع) لتقييم استخدام المواقع والتطبيقات، يجب دائمًا إبلاغ أصحاب البيانات بذلك في بيان الخصوصية. لا يجوز إجراء التتبع الشخصي إلا إذا كان مسموحًا به بموجب القانون الوطني أو بموافقة صاحب البيانات. إذا استخدم التتبع اسمًا مستعارًا، يجب إعطاء صاحب البيانات فرصة للانسحاب في بيان الخصوصية. إذا كان بإمكان المواقع أو التطبيقات الوصول إلى بيانات شخصية في منطقة مقيدة للمستخدمين المسجلين، يجب أن توفر عملية التعريف والمصادقة حماية كافية أثناء الوصول.

2. بيانات الموظف

2.1 معالجة البيانات لعلاقة العمل

في علاقات العمل، يمكن معالجة البيانات الشخصية إذا لزم الأمر لأداء عقد العمل، بما في ذلك بدء وتنفيذ وإنهاء العمل. عند بدء علاقة العمل، يمكن معالجة البيانات الشخصية للمتقدمين. إذا تم رفض المرشح، يجب حذف بياناته خلال 6 أشهر ما لم يوافق المتقدم على الاحتفاظ بها لعملية اختيار مستقبلية.

في علاقة العمل القائمة، قد يكون من الضروري معالجة البيانات لأغراض تنفيذ عقد العمل، ولكن قد تكون هناك أيضًا قواعد قانونية أخرى للمعالجة، كما هو موضح أدناه. إذا كان من الضروري خلال إجراء التقديم جمع معلومات عن المتقدم من طرف ثالث، يجب الالتزام بمتطلبات القوانين الوطنية المعنية. في حالات الشك، يجب الحصول على موافقة صاحب البيانات. قد تكون هناك قواعد قانونية بديلة لمعالجة البيانات الشخصية المتعلقة بعلاقة العمل. يمكن أن يشمل ذلك المتطلبات القانونية، موافقة الموظف، أو المصلحة المشروعة للشركة.

2.2 معالجة البيانات وفقًا للالتزام القانوني

يسمح أيضًا بمعالجة بيانات الموظف الشخصية إذا طلب أو استلزم أو أذن بذلك التشريع الوطني. يجب أن يكون نوع ومدى معالجة البيانات ضروريًا لنشاط معالجة البيانات المصرح به قانونيًا، ويجب أن يتوافق مع الأحكام القانونية ذات الصلة.

2.3 الموافقة على معالجة البيانات

يمكن معالجة بيانات الموظف بموافقة الشخص المعني. يجب تقديم إقرارات الموافقة طوعًا. الموافقة غير الطوعية باطلة. يجب الحصول على إقرار الموافقة كتابيًا أو إلكترونيًا لأغراض التوثيق. في ظروف معينة، يمكن تقديم الموافقة شفهيًا، وفي هذه الحالة يجب توثيقها بشكل صحيح.

يوافق الموظف على معالجة بياناته الشخصية إذا أبدى موافقته بوضوح إما من خلال بيان أو إجراء إيجابي تجاه المعالجة. إذا تم تقديم الموافقة في وثيقة تتناول مسائل أخرى، يجب أن تُحتفظ الموافقة منفصلة عن تلك المسائل الأخرى. يجب أن يكون الموظفون قادرين على سحب الموافقة بسهولة في أي وقت.

ما لم يكن هناك أساس قانوني آخر للمعالجة، يتطلب الأمر موافقة صريحة لمعالجة فئات البيانات الخاصة (انظر الفقرة 2.5 أدناه). عادةً ما تعتمد الشركة على أساس قانوني آخر ولن تتطلب موافقة صريحة لمعالجة بيانات الفئة الخاصة.

2.4 معالجة البيانات وفقًا للمصلحة المشروعة

يمكن أيضًا معالجة البيانات الشخصية إذا كان ذلك ضروريًا لأغراض مصلحة مشروعة للمجموعة أو طرف ثالث. المصالح المشروعة تكون عمومًا ذات طبيعة قانونية (مثل تقديم أو تنفيذ أو الدفاع ضد دعاوى قانونية)، أو مالية (مثل تقييم الشركات) أو طبيعة أخرى (مثل ضرورة حماية المصالح الحيوية للفرد أو شخص آخر أو ضرورة أداء مهمة تُنفذ في المصلحة العامة)

لا يجوز معالجة البيانات الشخصية بناءً على مصلحة مشروعة إذا كانت تلك المصالح في حالات فردية تُطغى عليها مصالح أو حقوق وحريات أساسية لموضوع البيانات تتطلب حماية البيانات الشخصية. سيتم توضيح المصالح المشروعة المعتمدة في إشعارات الخصوصية المعمول بها. علاوة على ذلك، يجب أخذ أي متطلبات إضافية بموجب القانون الوطني (مثل حقوق المشاركة في اتخاذ القرار لممثلي الموظفين وحقوق المعلومات لموضوعات البيانات) في الاعتبار.

2.5 معالجة البيانات الحساسة للغاية

يمكن معالجة البيانات الشخصية الحساسة للغاية فقط تحت شروط معينة. البيانات الحساسة للغاية هي البيانات المتعلقة بالأصل العرقي والإثني، والآراء السياسية، والمعتقدات الدينية أو الفلسفية، وعضوية النقابات العمالية، والبيانات الجينية، والبيانات البيومترية، وبيانات الصحة، والبيانات المتعلقة بالحياة الجنسية والتوجه الجنسي لموضوع البيانات. بموجب القانون الوطني، يمكن اعتبار فئات بيانات إضافية حساسة للغاية أو يمكن تعبئة محتوى فئات البيانات بشكل مختلف. علاوة على ذلك، غالبًا ما يمكن معالجة البيانات المتعلقة بالإدانات الجنائية والجرائم فقط بموجب متطلبات خاصة بموجب القانون الوطني. يجب أن تكون المعالجة مصرحًا بها صراحة أو منصوصًا عليها بموجب القانون الوطني. بالإضافة إلى ذلك، يمكن السماح بالمعالجة إذا كانت ضرورية للسلطة المسؤولة للوفاء بحقوقها وواجباتها في مجال قانون العمل. يمكن للموظف أيضًا أن يوافق صراحة على المعالجة. إذا كانت هناك خطط لمعالجة بيانات حساسة للغاية، يجب إبلاغ مدير حماية البيانات مسبقًا.

يمكن معالجة البيانات الحساسة للغاية في الحالات التالية:

  • بموافقة صريحة من موضوع البيانات
  • عندما تكون المعالجة ضرورية لأداء أو ممارسة الالتزامات أو الحقوق التي يفرضها القانون على متحكم البيانات أو موضوع البيانات فيما يتعلق بالتوظيف أو الضمان الاجتماعي أو الحماية الاجتماعية، ويكون لدى صاحب العمل وثيقة سياسة مناسبة وضمانات إضافية
  • عندما تكون المعالجة ضرورية لحماية المصالح الحيوية للفرد أو شخص آخر ويكون الفرد غير قادر على إعطاء الموافقة
  • عندما تتعلق المعالجة ببيانات شخصية قام الفرد بنشرها علنًا
  • عندما تكون المعالجة ضرورية لإثبات أو ممارسة أو الدفاع عن المطالبات القانونية
  • عندما تكون المعالجة ضرورية لأسباب تتعلق بالمصلحة العامة الجوهرية، شريطة أن يكون لدى صاحب العمل وثيقة سياسة مناسبة وضمانات إضافية. يمكن أن يشمل ذلك معالجة البيانات لأغراض تعزيز المساواة في المعاملة
  • عندما تكون المعالجة ضرورية لتقييم قدرة الفرد على العمل أو بموجب اتصال مع متخصص صحي، وبشرط وجود ضمانات للسرية

2.6 القرارات الآلية

إذا تم معالجة البيانات الشخصية تلقائيًا كجزء من علاقة العمل، وتم تقييم تفاصيل شخصية محددة (مثلًا كجزء من اختيار الموظفين أو تقييم ملفات المهارات)، فلا يمكن أن تكون هذه المعالجة التلقائية هي الأساس الوحيد للقرارات التي قد يكون لها عواقب سلبية أو تأثير كبير على الموظف المتضرر. لتجنب القرارات الخاطئة، يجب أن يضمن العملية الآلية أن يقوم شخص طبيعي بتقييم محتوى الوضع، وأن يكون هذا التقييم هو الأساس للقرار. يجب أيضًا إبلاغ موضوع البيانات بالحقائق ونتائج المعالجة الآلية وإمكانية الرد. لا تتوقع الشركة استخدام اتخاذ القرار الآلي ولكنها ستخطر الموظفين كتابيًا إذا تغير الوضع.

2.7 الاتصالات والإنترنت

يتم توفير معدات الهاتف، وعناوين البريد الإلكتروني، والإنترانت والإنترنت إلى جانب الشبكات الاجتماعية الداخلية من قبل الشركة أساسًا للمهام المتعلقة بالعمل. إنها أداة وموارد الشركة. يمكن استخدامها ضمن اللوائح القانونية المعمول بها وسياسات الشركة الداخلية. في حالة الاستخدام المصرح به لأغراض خاصة، يجب الالتزام بقوانين سرية الاتصالات وقوانين الاتصالات الوطنية ذات الصلة إذا كانت قابلة للتطبيق. لن يكون هناك مراقبة عامة للاتصالات الهاتفية والبريد الإلكتروني أو استخدام الإنترانت/الإنترنت. للدفاع ضد الهجمات على البنية التحتية لتكنولوجيا المعلومات أو المستخدمين الفرديين، يمكن تنفيذ تدابير حماية للاتصالات بشبكات شركات المجموعة التي تحجب المحتوى الضار تقنيًا أو التي تحلل أنماط الهجوم. لأسباب أمنية، يمكن تسجيل استخدام معدات الهاتف، وعناوين البريد الإلكتروني، والإنترانت/الإنترنت والشبكات الاجتماعية الداخلية لفترة مؤقتة. يمكن إجراء تقييمات لهذه البيانات لشخص معين فقط في حالة الاشتباه في انتهاكات للقوانين أو سياسات المجموعة. يجب الالتزام بالقوانين الوطنية ذات الصلة بنفس طريقة الالتزام بلوائح المجموعة.

  1. السادس. نقل البيانات الشخصية

نقل البيانات الشخصية إلى المستلمين داخل أو خارج المجموعة يخضع لمتطلبات التفويض لمعالجة البيانات الشخصية بموجب القسم الخامس. لن تتم مشاركة البيانات الشخصية مع أطراف ثالثة إلا إذا تم وضع ضمانات وترتيبات تعاقدية معينة. يجب أن يُطلب من مستلم البيانات استخدام البيانات فقط للأغراض المحددة ووفقًا لتعليماتنا.

في حال تم نقل البيانات إلى مستلم خارج المجموعة إلى دولة ثالثة، بما في ذلك دولة خارج الاتحاد الأوروبي، سنضمن وجود مستوى كافٍ من الحماية في تلك الدولة لحماية البيانات الشخصية بما يعادل مستويات الحماية المنصوص عليها في سياسة حماية البيانات هذه. إذا تم نقل البيانات من قبل طرف ثالث إلى شركة ضمن المجموعة، يجب التأكد من أن البيانات ستُستخدم للغرض المقصود.

  1. السابع. معالجة البيانات التعاقدية

معالجة البيانات نيابة عن تعني أن مقدم الخدمة يتم توظيفه لمعالجة البيانات الشخصية، دون

تعيين المسؤولية عن عملية الأعمال ذات الصلة. في هذه الحالات، يتم الاتفاق

يجب إبرام اتفاقيات معالجة البيانات نيابة عن العميل مع المزودين الخارجيين وبين الشركات.

داخل المجموعة. يحتفظ العميل بالمسؤولية الكاملة عن الأداء الصحيح لمعالجة البيانات. يمكن للمزود معالجة البيانات الشخصية فقط وفقًا لتعليمات العميل. عند إصدار الطلب، يجب الامتثال للمتطلبات التالية؛ يجب على القسم الذي يصدر الطلب التأكد من تلبيتها.

  1. يجب اختيار المزود بناءً على قدرته على تغطية التدابير الوقائية الفنية والتنظيمية المطلوبة.
  2. يجب تقديم الطلب كتابيًا. يجب توثيق التعليمات المتعلقة بمعالجة البيانات ومسؤوليات العميل والمزود.
  3. يجب مراعاة المعايير التعاقدية لحماية البيانات التي يوفرها مدير حماية البيانات.
  4. قبل بدء معالجة البيانات، يجب أن يكون العميل واثقًا من أن المزود سيلتزم بالواجبات. يمكن للمزود توثيق امتثاله لمتطلبات أمان البيانات في

على وجه الخصوص من خلال تقديم شهادة مناسبة. اعتمادًا على مخاطر معالجة البيانات، يجب تكرار المراجعات بانتظام خلال مدة العقد.

  1. استخدام الموظفين والأشخاص الآخرين الذين لديهم واجب السرية فيما يتعلق بالبيانات فقط.
  2. الامتثال لالتزامات الأمان المعادلة لتلك المفروضة على صاحب العمل بموجب اللائحة العامة لحماية البيانات (GDPR).
  3. إخطار صاحب العمل بأي خرق يتعلق بالبيانات الشخصية التي شاركها صاحب العمل.
  4. تجنيد معالج فرعي فقط بعد الحصول على إذن مسبق من صاحب العمل.
    1. في حالة معالجة البيانات التعاقدية عبر الحدود، يجب الوفاء بالمتطلبات الوطنية ذات الصلة للكشف عن البيانات الشخصية في الخارج. على وجه الخصوص، يمكن معالجة البيانات الشخصية من المنطقة الاقتصادية الأوروبية في دولة ثالثة فقط إذا تمكن المزود من إثبات أن لديه معيار حماية بيانات يعادل هذه السياسة لحماية البيانات. الأدوات المناسبة يمكن أن تكون:
      1. الاتفاق على بنود العقد النموذجية للاتحاد الأوروبي لمعالجة البيانات التعاقدية في دول ثالثة مع المزود وأي مقاولين فرعيين.
      2. مشاركة المزود في نظام شهادة معتمد من الاتحاد الأوروبي لتوفير مستوى كافٍ من حماية البيانات.
      3. الاعتراف بالقواعد المؤسسية الملزمة لمزود الخدمة لإنشاء مستوى مناسب من حماية البيانات من قبل السلطات الرقابية المسؤولة عن حماية البيانات.

  1. الثامن. حقوق صاحب البيانات

لكل صاحب بيانات الحقوق التالية؛

  1. يجوز لصاحب البيانات طلب معلومات حول البيانات الشخصية المتعلقة به/بها التي تم تخزينها، وكيف تم جمع البيانات، ولأي غرض. إذا كانت هناك حقوق أخرى لـ

عرض مستندات صاحب العمل (مثل ملف الموظف) لعلاقة العمل بموجب

القوانين العمالية ذات الصلة، ستظل غير متأثرة.

  1. إذا تم نقل البيانات الشخصية إلى أطراف ثالثة، يجب تقديم معلومات عن هوية

للمستلم أو فئات المستلمين.

  1. إذا كانت البيانات الشخصية غير صحيحة أو غير مكتملة، يمكن لصاحب البيانات طلب تصحيحها

أو مكملة.

  1. يمكن لصاحب البيانات الاعتراض على معالجة بياناته لأغراض الإعلان أو أبحاث السوق/الرأي. يجب حظر استخدام البيانات لهذه الأغراض.
  2. يجوز لصاحب البيانات طلب حذف بياناته إذا لم يكن لمعالجة هذه البيانات أساس قانوني، أو إذا توقف الأساس القانوني عن التطبيق. ينطبق نفس الشيء إذا انتهى الغرض من معالجة البيانات أو لم يعد صالحًا لأسباب أخرى. يجب مراعاة فترات الاحتفاظ القائمة والمصالح المتضاربة التي تستحق الحماية.
  3. يحق لصاحب البيانات عمومًا الاعتراض على معالجة بياناته إذا كنا نعتمد على مصلحة مشروعة (أو مصالح طرف ثالث) للمعالجة وكان هناك أمر ما في وضع صاحب البيانات الخاص يجعله يرغب في الاعتراض على المعالجة لهذا السبب. يجب أخذ ذلك في الاعتبار إذا كانت حماية مصالحه تتفوق على مصلحة متحكم البيانات بسبب وضع شخصي معين. لا ينطبق هذا إذا كانت هناك نصوص قانونية تتطلب معالجة البيانات أو إذا كانت المعالجة ضرورية لإثبات أو ممارسة أو الدفاع عن مطالبات قانونية.
  4. يمكن لصاحب البيانات طلب تقييد معالجة معلوماته الشخصية. يتيح ذلك لصاحب البيانات طلب تعليق معالجة المعلومات الشخصية، على سبيل المثال إذا رغب في أن يثبت صاحب العمل دقتها أو سبب معالجتها.
  5. يمكن لصاحب البيانات طلب نقل معلوماته الشخصية إلى طرف آخر في بعض الحالات.

  1. التاسع. سرية المعالجة

تخضع البيانات الشخصية للسرية. يُحظر جمع أو معالجة أو استخدام هذه البيانات من قبل الموظفين دون إذن. أي معالجة للبيانات يقوم بها الموظف دون أن يكون مخولًا بها كجزء من واجباته المشروعة تُعتبر غير مصرح بها. ينطبق مبدأ "الحاجة إلى المعرفة". يجوز للموظفين الوصول إلى المعلومات الشخصية فقط بما يتناسب مع نوع ونطاق المهمة المعنية. يتطلب ذلك تفصيلًا دقيقًا وفصلًا، بالإضافة إلى تنفيذ الأدوار والمسؤوليات. يُمنع على الموظفين استخدام البيانات الشخصية لأغراض خاصة أو تجارية، أو الكشف عنها لأشخاص غير مخولين، أو إتاحتها بأي طريقة أخرى. يجب على المشرفين إبلاغ موظفيهم في بداية علاقة العمل بواجب حماية سرية البيانات. يظل هذا الالتزام ساريًا حتى بعد انتهاء العمل.

  1. العاشر. أمن المعالجة

يجب حماية البيانات الشخصية من الوصول غير المصرح به والمعالجة أو الكشف غير القانوني، وكذلك من الفقدان أو التعديل أو التدمير العرضي. ينطبق هذا بغض النظر عما إذا كانت البيانات تتم معالجتها إلكترونيًا أو على شكل ورقي. قبل إدخال طرق جديدة لمعالجة البيانات، وخاصة أنظمة تكنولوجيا المعلومات الجديدة، يجب تحديد وتنفيذ تدابير تقنية وتنظيمية لحماية البيانات الشخصية. يجب أن تستند هذه التدابير إلى أحدث التقنيات، ومخاطر المعالجة، والحاجة إلى حماية البيانات (المحددة من خلال عملية تصنيف المعلومات). على وجه الخصوص، يمكن للقسم المسؤول التشاور مع مدير حماية البيانات الخاص به.

  1. الحادي عشر. ضبط حماية البيانات

الامتثال لسياسة حماية البيانات وحماية البيانات المعمول بها يتم فحص الامتثال لقوانين حماية البيانات بانتظام. يجب الإبلاغ عن نتائج ضوابط حماية البيانات إلى مدير حماية البيانات.

  1. الثاني عشر. حوادث حماية البيانات

يجب على جميع الموظفين إبلاغ مشرفهم أو مدير حماية البيانات على الفور عن حالات انتهاك هذه السياسة لحماية البيانات أو اللوائح الأخرى المتعلقة بحماية البيانات الشخصية (حوادث حماية البيانات). يُطلب من المدير المسؤول عن الوظيفة أو الوحدة إبلاغ مدير حماية البيانات المسؤول على الفور عن حوادث حماية البيانات.

في حالات

» نقل غير صحيح للبيانات الشخصية إلى أطراف ثالثة،

» وصول غير صحيح من قبل أطراف ثالثة إلى البيانات الشخصية، أو

» فقدان البيانات الشخصية

يجب تقديم التقارير المطلوبة للشركة (إدارة حوادث أمن المعلومات)

على الفور حتى يمكن الامتثال لأي واجبات إبلاغ بموجب القانون الوطني.

  1. الثالث عشر. المسؤوليات والعقوبات

الأجهزة التنفيذية لشركات المجموعة مسؤولة عن معالجة البيانات في مجال مسؤوليتها. لذلك، يُطلب منها ضمان تلبية المتطلبات القانونية، وتلك الواردة في سياسة حماية البيانات، لحماية البيانات (مثل واجبات الإبلاغ الوطنية). يتحمل موظفو الإدارة مسؤولية ضمان وجود تدابير تنظيمية وبشرية وتقنية بحيث يتم تنفيذ أي معالجة للبيانات وفقًا لحماية البيانات. الالتزام بهذه المتطلبات هو مسؤولية الموظفين المعنيين. إذا قامت الجهات الرسمية بإجراء ضوابط حماية البيانات، يجب إبلاغ مدير حماية البيانات على الفور. يمكن أن يؤدي المعالجة غير السليمة للبيانات الشخصية، أو الانتهاكات الأخرى لقوانين حماية البيانات، إلى ملاحقات جنائية في العديد من البلدان، وقد تؤدي إلى مطالبات بتعويض الأضرار. الانتهاكات التي يكون الموظفون الفرديون مسؤولين عنها يمكن أن تؤدي إلى عقوبات بموجب قانون العمل.