سياسة حماية البيانات الشخصية
1. المقدمة
يتمثل هدف هذه السياسة في توضيح كيفية تعامل جهة التحكم مع البيانات الشخصية التي تجمعها، وتوفير إرشادات وإجراءات لضمان حماية تلك البيانات وفقًا لأفضل المعايير والقوانين الوطنية. تسعى الشركة إلى تعزيز الشفافية والمسؤولية في إدارة البيانات الشخصية، بما يحقق الثقة بين الشركة والأفراد الذين تقدم لهم خدماتها.
2. نطاق التطبيق
تنطبق هذه السياسة على جميع البيانات الشخصية التي تجمعها جهة التحكم أو الأطراف المتعاقدة معها، وتشمل جميع الموظفين، والمتعاقدين، والشركاء الخارجيين الذين يتعاملون مع البيانات الشخصية.
3. التعريفات الأساسية
أ – جهة التحكم: هي الجهة التي تحدد أهداف معالجة البيانات الشخصية وطريقة معالجتها. في هذه الحالة، الشركة هي جهة التحكم التي تتحمل مسؤولية جمع، ومعالجة، وحماية البيانات الشخصية.
ب– البيانات الشخصية: البيانات الشخصية تعني أي معلومات تتعلق بشخص طبيعي يمكن من خلالها التعرف عليه بشكل مباشر أو غير مباشر، مثل الاسم، ورقم الهوية، والعنوان، والبريد الإلكتروني، وغيرها.
ج– البيانات العامة: هذه البيانات متاحة للجمهور ولا تتطلب أذونات للوصول إليها. عادةً ما تكون هذه البيانات غير حساسة.
د– البيانات المقيدة: البيانات التي تتطلب الوصول إليها وجود ضوابط محددة، ولكن لا تحتوي على حساسية عالية.
ه– البيانات السرية: البيانات التي تتسم بحساسية كبيرة ويجب حمايتها من الوصول غير المصرح به.
و– البيانات الحساسة: هي البيانات التي تحتوي على معلومات شخصية أو سرية ويؤدي كشفها إلى انتهاك الخصوصية أو الإضرار بالفرد أو الكيان.
ز– البيانات الحرجة: تشمل البيانات التي يؤدي إفشاؤها أو التلاعب بها إلى تأثير سلبي خطير على الأمن القومي أو الاقتصادي.
ك – البيانات الائتمانية: البيانات الائتمانية هي معلومات مالية وشخصية تتعلق ببيانات وتاريخ التعاملات الائتمانية للفرد أو المؤسسة.
ل– البيانات الصحية: المعلومات المتعلقة بصحة الفرد والتي تتضمن أي معلومات تتعلق بحالته الصحية، تشخيصاته، العلاجات التي يتلقاها، أو سجلاته الطبية بشكل عام.
4 – المبادئ الأساسية لحماية البيانات الشخصية
أ – الشفافية: جمع البيانات الشخصية ومعالجتها يتم بشكل قانوني وشفاف وفقًا للقوانين واللوائح المعمول بها.
ب – التقليل من البيانات: جمع البيانات الشخصية الضرورية فقط لتحقيق الأهداف المعلنة.
ج – الدقة: التأكد من أن البيانات الشخصية دقيقة وحديثة، مع تمكين الأفراد من تصحيح البيانات غير الصحيحة.
د – التخزين المحدود: الاحتفاظ بالبيانات الشخصية فقط للمدة التي تكون ضرورية للأغراض التي جُمعت من أجلها.
ه– حماية سرية المعلومات: حماية البيانات من الوصول غير المصرح به أو الفقدان أو التعديل أو الإفصاح.
5 – حوكمة حماية البيانات الشخصية والامتثال لنظام حماية البيانات
أ. توثيق نموذج الحوكمة: اعتماد خطة لحوكمة البيانات الشخصية وفقاً لنظام حماية البيانات الشخصية ولوائحه. تتضمن الخطة آليات واضحة على شكل سياسات متعددة تغطي جميع الجوانب المطلوبة وتهدف إلى تنظيم عملية معالجة البيانات الشخصية بما يتوافق مع القوانين الوطنية.
ب. تحديد الأدوار والمسؤوليات: تشمل ملفات السياسات تحديد الأدوار والمسؤوليات الخاصة بحوكمة البيانات الشخصية، مع توزيع مهام كل جهة أو موظف بشكل لا لبس فيه، بحيث يُسهم كل دور في تحقيق الامتثال الكامل للنظام.
ج. خطوط التقارير: يجب إنشاء خطوط تقارير واضحة ومحددة تتيح المتابعة المستمرة للامتثال لنظام حماية البيانات الشخصية ولوائحه التنفيذية. تُسهم هذه الخطوط في دعم الشفافية داخل المؤسسة وتسهيل التقارير حول أي مخالفات أو تحديات.
ح. معالجة حالات التعارض: في حال وجود تعارضات داخلية فيما يتعلق بتنفيذ نظام حماية البيانات الشخصية، يجب أن تتبنى المؤسسة آليات فعّالة لتحديد هذه التعارضات ومعالجتها بسرعة وكفاءة، بما يضمن تطبيق السياسات بشكل متسق ومنسجم مع متطلبات النظام.
6 – الإفصاح عن البيانات الشخصية
أ – يجب أن يكون الإفصاح عن البيانات التي تم جمعها من مصادر متاحة للعموم متوافقًا مع النظام ولوائحه.
ب– عند الإفصاح، يجب أن:
– يرتبط الإفصاح بغرض محدد وواضح.
– يتم المحافظة على خصوصية صاحب البيانات.
– يقتصر الإفصاح على الحد الأدنى من البيانات اللازمة لتحقيق الغرض.
ج – عند الإفصاح لجهة عامة لأغراض أمنية أو صحية:
– يتم توثيق الطلب بدقة.
– يُحدد نوع البيانات المطلوب الإفصاح عنها.
د – إذا كانت البيانات مرتبطة بشخص آخر غير صاحبها، يتم:
– الموازنة بين حقوق الأفراد.
– ترميز هوية الشخص الآخر عند الإمكان.
هـ. يجب توثيق جميع عمليات الإفصاح في سجلات خاصة.
أ. مصادر البيانات الشخصية: تجمع جهة التحكم البيانات الشخصية من عدة مصادر تشمل:
– صاحب البيانات مباشرةً عند تقديم الخدمات، ويشترط إبلاغه التالي:
* اسم جهة التحكم وبيانات التواصل.
* بيانات مسؤول حماية البيانات إن وُجد.
* المسوغ النظامي والغرض من جمع البيانات.
* مدة الاحتفاظ بالبيانات أو معايير تحديدها.
* حقوق صاحب البيانات وآلية ممارستها.
* كيفية العدول عن الموافقة.
* إذا كان جمع البيانات إلزامياً أو اختيارياً.
– الأطراف الثالثة مثل الشركاء التجاريين.
– المصادر المتاحة للعموم، وذلك للضرورة.
ب. الموافقة
– أن يتم طلب الموافقة من أصحاب البيانات بطريقة صريحة بدون تضليل.
– أن تكون الموافقة صريحة في حال البيانات المطلوب معالجتها حساسة أو ائتمانية، أو سيتم اتخاذ قرار بناء على المعالجة الآلية للبيانات الشخصية.
– توضيح أغراض الجمع والمعالجة قبل طلب الموافقة.
– توثيق الموافقة بوسيلة تقنية يمكن العودة إليها مستقبلًا.
– الحصول على موافقة مستقلة لكل غرض من أغراض الجمع والمعالجة.
– أن تصدر الموافقة من صاحب البيانات كامل الأهلية، أو من وليه الشرعي.
– إذا كان صاحب البيانات الشخصية ناقصًا أو فاقدًا للأهلية، فيحق التالي لوليه الشرعي:
– ممارسة حقوق صاحب البيانات وفق النظام واللائحة.
– الموافقة على معالجة بياناته وفق الأحكام.
عند معالجة بيانات ناقص أو عديم الأهلية:
– التحقق من صحة الولاية الشرعية.
– ضمان عدم إلحاق ضرر بمصالح صاحب البيانات.
– تمكين صاحب البيانات من ممارسة حقوقه عند اكتمال الأهلية.
ج. جمع البيانات الحساسة: تتطلب معالجة البيانات الحساسة موافقة خاصة ويتم جمعها فقط عند الضرورة، مع تطبيق أعلى مستويات الحماية.
د– جمع الحد الأدنى
– على جهة التحكم جمع الحد الأدنى من البيانات الشخصية الضرورية لتحقيق الغرض من المعالجة.
– يجب أن تكون البيانات مرتبطة مباشرة بالغرض من المعالجة.
– بذل العناية اللازمة لضمان عدم جمع بيانات غير ضرورية.
–تحديد وتدوين الحاجة المباشرة لهذه البيانات والتوقف عن استخدام هذه البيانات في حال انقضاء الضرورة.
ه – جمع البيانات من غير صاحبها مباشرة
– يجب أن تكون المعالجة ضرورية ومتناسبة مع الغرض المحدد، وألا تؤثر على حقوق ومصالح صاحب البيانات، وعلى جهة التحكم الاحتفاظ ما يثبت تعذر الاتصال بصاحب هذه البيانات أو صعوبة الوصول إليه.
– يجب إبلاغ صاحبها بعملية جمع البيانات خلال مدة لا تزيد عن ثلاثين يومًا.
– عند جمع البيانات من مصدر متاح للعموم، يجب أن يكون ذلك بشكل نظامي.
– في حالة المعالجة، يجب مراعاة إخفاء الهوية حسب المادة التاسعة من اللائحة التنفيذية لنظام حماية البيانات الشخصية.
8 – ضوابط معالجة البيانات الشخصية
1. أغراض المعالجة
– تتم معالجة البيانات الشخصية من أجل:
– تقديم الخدمات المتفق عليها مع الشركاء.
– أغراض إدارية داخل الشركة مثل التوظيف والتقييم.
– الامتثال للقوانين التنظيمية.
ب. قيود المعالجة
– يتم استخدام البيانات الشخصية فقط للأغراض المحددة والمعلن عنها، ويتم إبلاغ أصحاب البيانات في حال وجود معالجة إضافية لغرض آخر.
– يُحظر استخدام البيانات لأغراض غير مشروعة أو تتعارض مع حقوق أصحاب البيانات.
ج. التدابير الأمنية أثناء المعالجة
– تطبيق تقنيات التشفير عند معالجة البيانات الحساسة.
– تخصيص أدوار وصلاحيات محددة للوصول إلى البيانات الشخصية.
– مراقبة أنشطة الوصول لمنع أي تجاوزات أو استخدام غير مصرح به.
د – في حال اختيار جهة معالجة، على جهة التحكم تضمين الاتفاق مع جهة المعالجة على التالي:
– تتولى جهة التحكم إصدار التعاليم الخاصة للبيانات لجهة المعالجة، وفي حال مخالفتها للتعليمات فعلى الجهة المعالجة إخطار جهة التحكم كتابةً وفوريًا.
– الغرض من المعالجة.
–المدة الزمنية للمعالجة.
–التزام جهة المعالجة بإشعار جهة التحكم في حال تسرب البيانات الشخصية دون تأخر.
– توضيح ما إذا كانت جهة المعالجة تخضع لأنظمة في دول أخرى، وأثر ذلك على التزامها بأحكام النظام المعمول داخل المملكة.
– ألا يتم اشتراط حصول الجهة المعالجة على موافقة مسبقة بالإفصاح الوجوبي من قِبل جهة التحكم، وعلى الأول إشعار الثاني على الإفصاح.
– على جهة التحكم أن تتأكد من التزام جهة المعالجة بالأنظمة والقوانين الخاصة بالبيانات بشكل دوري، وللأول الأحقية بالاستعانة بطرف خارجي للتأكد من ذلك.
– تعامل جهة المعالجة كجهة التحكم في حال مخالفة أنظمة وقوانين البيانات الخاصة بجهة التحكم.
ه – في حال استعانة جهة المعالجة بطرف فرعي:
– ضمان عدم تأثر سلامة وأمن البيانات المعالجة.
– أخذ الموافقة المسبقة من جهة التحكم على الاستعانة بالطرف الفرعي.
9 – سجل معالجة البيانات الشخصية
يتم الاحتفاظ بسجلات تفصيلية فيما يتعلق بمعالجة البيانات الشخصية، ويجب الاحتفاظ بهذا السجل لمدة (خمس سنوات) من بعد انتهاء عملية المعالجة، وعلى الجهة المعالجة توفيرها في حال طلبها من أصحاب البيانات والجهات المختصة. وتشمل السجلات:
أ – هوية المسؤول عن معالجة البيانات.
ب – تفاصيل جهة التحكم.
ج – الجهات التي لها صلاحية الاطلاع على هذه البيانات.
د – وصف فئة البيانات.
ه – الهدف من جمع هذه البيانات.
و – مدة الاحتفاظ بالبيانات.
أ. المنصة الرقمية والتخزين السحابي
– تُخزن البيانات الشخصية على أنظمة آمنة تضمن حماية البيانات من الهجمات الإلكترونية.
– في حالة استخدام خدمات التخزين السحابي، يتم التأكد من أن المزود يمتثل لمعايير الأمان وحماية البيانات.
ب– الوصول المصرح به
– تُطبق سياسة صارمة لضمان أن الأفراد المخولين فقط هم من يستطيعون الوصول إلى البيانات الشخصية.
– يتم تسجيل وتوثيق كل عملية وصول للبيانات لضمان الشفافية.
ج– قيود زمنية
– يتم الاحتفاظ بالبيانات الشخصية فقط للفترات الزمنية الضرورية، وبعد انتهاء الحاجة لها يتم إتلافها بشكل آمن.
11 – مشاركة البيانات الشخصية مع الأطراف الخارجية
أ. اتفاقيات مشاركة البيانات
– لا تُشارك البيانات الشخصية مع أطراف خارجية إلا بناءً على اتفاقيات رسمية تضمن الموافقات المسبقة وسرية المعلومات والامتثال للقوانين.
– تضمن الاتفاقيات بنودًا حول حماية البيانات والامتثال للمتطلبات القانونية.
ب. إجراءات أمان الطرف الثالث
– يتم تقييم إجراءات الأمان لدى الأطراف الخارجية قبل توقيع الاتفاقيات.
– يتم متابعة الامتثال بشكل دوري من خلال تدقيقات دورية.
12 – حماية البيانات الائتمانية
أ – اتخاذ الإجراءات للحماية: يجب على جهة التحكم تنفيذ إجراءات تنظيمية وتقنية وفنية لضمان حماية البيانات الائتمانية من أي استخدام غير مشروع، والتأكد من عدم الاطلاع عليها من قبل غير المصرح لهم، واستخدامها فقط للأغراض التي جُمعت من أجلها، ومنع تسربها.
ب – الامتثال لمتطلبات البنك المركزي: يجب على جهة التحكم تبني وتطبيق الاشتراطات والضوابط التي يصدرها البنك المركزي السعودي والجهات الأخرى ذات العلاقة.
ج – موافقة صاحب البيانات: يجب على جهة التحكم الحصول على موافقة صاحب البيانات الشخصية وإبلاغه عند وجود أي طلب للإفصاح عن بياناته الائتمانية.
في حال احتاجت جهة التحكم للتعامل مع البيانات الصحية، فليزم ما يلي:
أ – اتخاذ الإجراءات للحماية: اتخاذ إجراءات تنظيمية وتقنية وفنية لحماية البيانات الصحية من الاستعمال غير المشروع، أو استخدامها لغير الغرض الذي جُمعت من أجله، أو تسربها، وضمان خصوصية أصحاب البيانات.
ب. تبني وتطبيق الاشتراطات والضوابط: الصادرة عن وزارة الصحة، المجلس الصحي السعودي، البنك المركزي السعودي، مجلس الضمان الصحي، والجهات الأخرى ذات العلاقة.
ج. تضمين الأحكام الواردة في النظام ولوائحه في السياسات الداخلية لدى جهة التحكم، وتوزيع المهام والمسؤوليات بوضوح لتجنب تداخل الاختصاصات.
د. توثيق جميع مراحل معالجة البيانات الصحية وتحديد المسؤولين عن كل مرحلة.
14 – إخفاء الهوية
حسب اللائحة التنفيذية لنظام حماية البيانات الشخصية، البيانات التي تم إخفاء هوية أصحابها لا تعد بيانات شخصية، ويجب على جهة التحكم عند إخفاء هوية صاحب البيانات الشخصية التأكد من التالي:
أ – عدم إمكانية إعادة التعرف على هويته.
ب – تقويم الأثر لضمان عدم إمكانية إعادة تحديد الهوية.
ج – اتخاذ التدابير اللازمة لتجنب المخاطر، مع تحديث التقنيات وفق التطورات.
د – تقويم أثر فاعلية تقنيات إخفاء الهوية وتعديلها عند الضرورة.
15 – حقوق أصحاب البيانات
أ– الوصول إلى البيانات الشخصية
يحق لصاحب البيانات:
– طلب الوصول إلى البيانات الشخصية التي تحتفظ بها الشركة.
– تلقي معلومات حول كيفية معالجة البيانات.
ب– تصحيح وحذف البيانات: لصاحب البيانات الحق في طلب تصحيح البيانات الشخصية غير الصحيحة أو حذفها إذا لم تعد هناك حاجة لها.
ج– حق الاعتراض: يحق للأفراد الاعتراض على معالجة بياناتهم الشخصية لأغراض محددة، مثل التسويق المباشر.
د – يجب على جهة التحكم توفير وسائل ملائمة لتمكين صاحب البيانات الشخصية من ممارسة حقوقه، ومنها: البريد الإلكتروني، الرسائل النصية، العنوان الوطني، التطبيقات الإلكترونية، أو أي وسيلة تواصل نظامية أخرى.
16 – التدابير الأمنية لحماية البيانات
أ– الحلول التكنولوجية
– يتم استخدام تقنيات التشفير والجدران النارية لحماية البيانات من الاختراق.
– يتم استخدام حلول النسخ الاحتياطي وذلك لحفظ الملفات من أي حادث قد يتسبب في فقدان البيانات.
– يتم عمل اختبارات استعادة (تست دريل) وذلك لضمان نجاح واستمرارية عمليات النسخ الاحتياطي.
– يُستخدم التحكم في الوصول لضمان أن الموظفين المصرح لهم فقط يمكنهم الوصول إلى البيانات الحساسة.
ب– التدابير التنظيمية
– يتم تدريب الموظفين على حماية البيانات والتوعية بالمخاطر المرتبطة بها.
– تُنفذ مراجعات دورية لضمان الامتثال للسياسات والمعايير.
17 – الامتثال
أ– خطط الاستجابة للحوادث: يتم وضع خطط استجابة شاملة لحالات خرق البيانات تتضمن إشعار السلطات المختصة والأفراد المعنيين.
ب– مراجعة الامتثال
– تُجري الشركة عمليات تدقيق دورية لضمان الامتثال لجميع السياسات واللوائح المتعلقة بحماية البيانات الشخصية.
– يتم إعداد تقارير دورية لمراجعة الامتثال ورفعها إلى الإدارة العليا.
ج– إجراءات التصحيح: في حال اكتشاف أي تجاوزات أو انتهاكات للسياسات، يتم اتخاذ إجراءات تصحيحية فورية، مع مراجعة جميع الأنظمة المعنية لضمان عدم تكرار الحوادث.
18- العدول عن الموافقة
لصاحب البيانات الشخصية حق العدول عن موافقته على معالجة بياناته في أي وقت، مع إبلاغ جهة التحكم بذلك. ويجب على جهة التحكم:
أ – توفير إجراءات سهلة للعدول عن الموافقة، وتكون أسهل من إجراءات الحصول على الموافقة.
ب – إيقاف المعالجة فوراً بعد العدول.
ج إشعار من تم الإفصاح لهم عن البيانات وطلب إتلافها.
العدول لا يؤثر على مشروعية المعالجة السابقة ولا على المعالجة بناءً على مسوغات نظامية أخرى.
19 – تقويم الأثر
أ– يجب على جهة التحكم إعداد تقويماً مكتوباً وموثقاً لتقييم الآثار والمخاطر التي قد تلحق بصاحب البيانات الشخصية نتيجة معالجة بياناته.
ب – يتم إجراء تقويم الأثر في الحالات التالية:
– عند معالجة البيانات الشخصية الحساسة.
– عند جمع أو ربط مجموعتين أو أكثر من البيانات من مصادر مختلفة.
– عند معالجة بيانات لناقصي، أو عديمي الأهلية، أو استخدام تقنيات ناشئة، أو اتخاذ قرارات مبنية على المعالجة الآلية.
– عند تقديم منتجات أو خدمات قد تؤثر بشكل كبير على خصوصية الأفراد.
ج – يجب أن يتضمن تقويم الأثر العناصر التالية:
– الغرض من المعالجة والأساس القانوني لها.
– وصف لأنواع البيانات ونطاق المعالجة.
– العلاقة بين أصحاب البيانات والجهات المعالجة.
د. يجب تحديد التدابير اللازمة لضمان معالجة الحد الأدنى من البيانات المطلوبة.
هـ. تقييم الآثار السلبية المحتملة، سواء كانت اجتماعية، مالية، أو غيرها.
و. اتخاذ التدابير المناسبة لمنع المخاطر أو الحد منها.
ز– في حال أظهر التقويم أن المعالجة ستؤدي إلى الإضرار بخصوصية الأفراد، يجب معالجة هذه الأسباب وإعادة التقويم.
أ. خطة الاستجابة للحوادث
– في حال وقوع أي حادث يتعلق بتسريب البيانات الشخصية أو وصول غير مصرح به، يجب تنفيذ خطة الاستجابة للحوادث.
–الإشعار الفوري للبنك المركزي خلال 72 ساعة من اكتشاف الحادث.
ب. يتضمن الإشعار:
– وصف لحادثة تسرب البيانات، مع تحديد وقت وتاريخ وكيفية وقوعها ووقت علم جهة التحكم بها.
– الفئات والأعداد الفعلية أو التقريبية لأصحاب البيانات الشخصية المتأثرين، ونوع البيانات التي تم تسريبها.
– وصف للمخاطر المحتملة الناتجة عن الحادثة، مع توضيح الإجراءات المتخذة لتخفيف الآثار والتدابير المستقبلية لمنع تكرار الحادثة.
ج – بيان حول ما إذا تم أو سيتم إشعار صاحب البيانات المتأثر بالتسرب.
د– إذا لم تتمكن جهة التحكم من تقديم المعلومات المطلوبة خلال (72) ساعة، فعليها تقديمها في أقرب وقت ممكن مع تقديم مبررات التأخير.
ه– تحتفظ جهة التحكم بنسخة من التقارير المقدمة للجهة المختصة، وتوثق التدابير التصحيحية المتخذة، وأي مستندات ذات صلة.
و– لا تخل أحكام هذه السياسة بأي التزامات أخرى لجهة التحكم أو المعالجة بتقديم تقارير لحوادث التسرب وفقًا لما تحدده الهيئة الوطنية للأمن السيبراني أو الأنظمة الأخرى المعمول بها.
ز– على جهة التحكم إشعار صاحب البيانات الشخصية دون تأخير غير مبرر إذا كان من شأن الحادثة أن تسبب ضرراً لبياناته أو تتعارض مع حقوقه.
ك– يجب أن يتضمن الإشعار لصاحب البيانات:
– وصف للحادثة.
– وصف المخاطر المحتملة والتدابير المتخذة للحد منها.
– اسم وبيانات التواصل لجهة التحكم أو مسؤول حماية البيانات الشخصية.
– توصيات أو نصائح لتجنب المخاطر وتخفيف آثارها.
ل– يجب أن يكون الإشعار بلغة مبسطة وواضحة لصاحب البيانات.
م – تلتزم جهة التحكم بالتعاون مع الجهات المختصة لضمان معالجة الحادثة واتخاذ الإجراءات اللازمة لمنع تكرارها.
أ– برامج التدريب: يتم تنظيم برامج تدريبية مستمرة للموظفين لرفع وعيهم حول السياسات الخاصة بحماية البيانات وكيفية التعامل معها بشكل آمن.
ب– حملات التوعية: يتم تنفيذ حملات توعية داخلية لزيادة فهم الموظفين لكيفية حماية البيانات الشخصية والامتثال للسياسات.
ج– تقييم الأداء: يتم تقييم أداء الموظفين في التعامل مع البيانات الشخصية ضمن إطار مؤشرات الأداء لضمان تحسين مستمر.
22- التخلص من البيانات (الإتلاف)
أ – سياسة الإتلاف
– عندما لا تعود البيانات الشخصية ضرورية للأغراض التي تم جمعها من أجلها أو انتهاء علاقة العمل مع الشركاء، يجب إتلافها بشكل آمن.
– بناءً على طلب صاحب البيانات.
– إذا عدل صاحب البيانات عن موافقته، وكانت الموافقة هي السبب الوحيد للمعالجة.
– إذا تم اكتشاف معالجة البيانات بشكل مخالف للنظام.
– يتم استخدام إجراءات مثل الحذف النهائي من الأنظمة أو تدمير الوسائط التي تحتوي على البيانات.
ب – التوثيق: يتم توثيق جميع عمليات إتلاف البيانات لضمان الامتثال للسياسات.
ج – تكوين لجنة إتلاف: من داخل إدارة الشركة تضمن تنفيذ السياسة المذكورة وتصدر خطابًا يفيد بتنفيذ الإتلاف بشكل كلي. يجب على جهة التحكم إتلاف البيانات الشخصية في الحالات التالية:
د – عند الإتلاف، يجب إشعار الجهات الأخرى التي تم الإفصاح لها وطلب إتلاف البيانات، بالإضافة إلى إتلاف جميع النسخ بما في ذلك النسخ الاحتياطية، مع مراعاة المتطلبات النظامية.
23 – التحديثات والتعديلات على السياسة
أ– المراجعة الدورية: تُراجع هذه السياسة بانتظام لضمان توافقها مع القوانين والتطورات الجديدة في مجال حماية البيانات.
ب– التعديلات الطارئة: يتم تعديل السياسة فورًا إذا دعت الحاجة لذلك نتيجة لتغييرات قانونية أو تنظيمية تؤثر على حماية البيانات الشخصية
شركة رائدة في مجال تحصيل الديون والمستحقات المالية، نهدف إلى تقديم حلول متكاملة وفعالة للأفراد والشركات تأسست الشركة بناءً على رؤية واضحة تتمحور حول تعزيز الشفافية والاحترافية في عمليات التحصيل نتميز بخبرة واسعة في السوق، مما يمكننا من فهم احتياجات عملائنا وتقديم حلول مخصصة تتناسب مع ظروفهم. نحن هنا لدعمكم في كل خطوة من خطوات عملية التحصيل، مما يضمن تجربة سلسة ونتائج إيجابية.