سياسة حول البيانات الشخصية الحساسة

1- النطاق والتعريفات

تتعلق السياسة بالبيانات الحساسة الخاصة التي تتم معالجتها في الأنظمة التي يتم فيها معالجة البيانات بالكامل أو جزئياً بطرق غير تلقائية شرط أن تكون جزءاً من أي نظام لتسجيل البيانات.

2- معالجة البيانات الشخصية الحساسة

وفقاً للمادة 6/1 من قانون حماية البيانات الشخصية رقم 6698؛ "تشمل البيانات الحساسة مثل العرق، الأصل العرقي، الفكر السياسي، المعتقد الفلسفي، الدين، المذهب أو المعتقدات الأخرى، المظهر والملابس، عضوية الجمعيات أو المؤسسات أو النقابات، الصحة، الحياة الجنسية، السجل الجنائي والبيانات المتعلقة بالتدابير الأمنية، بالإضافة إلى البيانات البيومترية والوراثية".

تتم معالجة البيانات الحساسة بشرط وجود تدابير لحماية هذه البيانات وفقاً للأحكام الواردة في المادة 6 من قانون حماية البيانات الشخصية رقم 6698في حالة وجود الشروط التالية:

• إذا كانت هناك موافقة صريحة من مالك البيانات الشخصية،

• إذا لم تكن هناك موافقة صريحة من مالك البيانات الشخصية؛ فإن البيانات الشخصية باستثناء الصحة والحياة الجنسية، تتم معالجتها في الحالات المنصوص عليها في القوانين، في حين أن بيانات الصحة والحياة الجنسية يمكن معالجتها فقط لحماية الصحة العامة، الطب الوقائي، التشخيص الطبي، تقديم العلاج والرعاية، تخطيط وإدارة الخدمات الصحية والتمويل، وأيضًا في الحالات التي تكون فيها مسؤولية السرية مستمرة، وفقًا لما يحدده التشريع.

3- نقل البيانات الشخصية الحساسة إلى البلاد

سيتم نقل البيانات الحساسة وفقاً للتنظيم المنصوص عليه في المادة 8 من قانون حماية البيانات الشخصية،

1. في حالات تتطلب الموافقة الصريحة، يتم الحصول على الموافقة الصريحة وفقًا للفقرة الأولى من المادة 8،

2. في حالة وجود أحد الشروط المكتوبة في الفقرة الثانية من المادة 5، يتم نقل البيانات دون الحاجة إلى الحصول على الموافقة الصريحة،

3. مع اتخاذ تدابير كافية وفقاً لما هو موضح في الفقرة 3 من المادة 6;

   1. يمكن معالجة البيانات الشخصية (العرق، الأصل العرقي، الفكر السياسي، المعتقد الفلسفي، الدين، المذهب أو المعتقدات الأخرى، المظهر والملابس، عضوية الجمعيات أو المؤسسات أو النقابات، السجل الجنائي والبيانات المتعلقة بالتدابير الأمنية والبيانات البيومترية والوراثية) في حالة وجودها في القوانين،

   2. يمكن معالجة بيانات الصحة والحياة الجنسية فقط في إطار حماية الصحة العامة، الطب الوقائي، التشخيص الطبي، تقديم العلاج والرعاية، وتحت إشراف الأشخاص أو المؤسسات المخولة الذين يخضعون لمتطلبات السرية،

يمكن للشركة نقلها داخل البلاد دون الحاجة إلى موافقة صريحة.

4- التدابير المتعلقة بحماية البيانات الحساسة

وفقًا لقرار مجلس حماية البيانات الشخصية بتاريخ 31/01/2018 ورقم 2018/10؛

1. تم تحديد سياسة وإجراءات مستقلة ومنظمة تهدف إلى ضمان سلامة البيانات الشخصية الحساسة بوضوح، قابلة للإدارة ومستدامة.

2. في عمليات معالجة البيانات الشخصية الحساسة،

   1. تُعقد تدريبات منتظمة وفقًا للقوانين واللوائح الخاصة بأمان البيانات الشخصية الحساسة،

   2. يتم إنشاء اتفاقيات سرية،

   3. يتم تعريف حقوق الوصول إلى البيانات بوضوح ضمن نطاقات وصلاحيات المستخدمين،

   4. تتم عمليات مراقبة الصلاحية بشكل دوري،

   5. تُلغى صلاحيات الموظفين الذين يتم تغيير مهامهم أو الذين يغادرون العمل على الفور، ويتم استلام المخزون المخصص لهم من قبل الشركة،

3. إذا كانت البيانات الحساسة تُعالج وتُخزن وتُحافظ عليها في بيئات إلكترونية؛

   1. تتم حماية البيانات باستخدام أساليب تشفير،

   2. تُخزن مفاتيح التشفير بشكل آمن وفي بيئات مختلفة،

   3. تُسجل جميع الأنشطة المتعلقة بالبيانات بشكل آمن،

   4. تتم متابعة التحديثات الأمنية للبيئات التي توجد فيها البيانات بشكل مستمر، وتجري اختبارات الأمان بشكل دوري وتُسجل نتائج الاختبارات،

   5. إذا كان الوصول إلى البيانات يتم من خلال برنامج، تتم إدارة صلاحيات المستخدمين، وتُجرى اختبارات الأمان لهذه البرمجيات بشكل منتظم وتُسجل نتائج الاختبارات،

   6. إذا كان الوصول عن بُعد إلى البيانات مطلوبًا، يتم توفير نظام تحقق من الهوية على مرحلتين على الأقل،

4. إذا كانت البيانات الحساسة تُعالج وتُخزن وتُحافظ عليها في بيئات مادية؛

   1. يتم التأكد من اتخاذ التدابير الأمنية الكافية (ضد تسرب الكهرباء، الحرائق، الفيضانات، السرقة، وما إلى ذلك) حسب طبيعة البيئة التي توجد فيها البيانات الحساسة،

   2. يتم توفير الأمن المادي لهذه البيئات لمنع الدخول غير المصرح به،

5. إذا كانت البيانات الحساسة بحاجة إلى أن تُنقل؛

   1. إذا لزم الأمر نقل البيانات عبر البريد الإلكتروني، يتم ذلك بصورة مشفرة باستخدام عنوان البريد الإلكتروني المؤسسي أو حساب البريد الإلكتروني المسجل،

   2. إذا كان يتم نقله عبر وسائط مثل الذاكرة القابلة للإزالة أو CD أو DVD، يتم تشفيره بواسطة أساليب تشفير، ويتم الاحتفاظ بمفاتيح التشفير في بيئة أخرى،

   3. إذا تم نقل البيانات بين خوادم في بيئات مادية مختلفة، يتم إجراء النقل باستخدام VPN أو طريقة sFTP،

   4. إذا كان نقل البيانات يتطلب استخدام الورق، يتم اتخاذ التدابير اللازمة ضد المخاطر مثل سرقة الوثائق، الفقدان أو أن يراها أشخاص غير مخوّلين، وتُرسل الوثائق بتنسيق "مستندات ذات درجة سرية".

6. بالإضافة إلى التدابير المذكورة أعلاه، تُؤخذ التدابير الفنية والإدارية اللازمة لتحقيق مستوى الأمان المناسب المشار إليه في دليل أمان البيانات الشخصية المنشور على موقع الإنترنت الخاص بمؤسسة حماية البيانات الشخصية بعين الاعتبار.