بيان سياسة الوعي والامتثال لـ BeHappy2Day للائحة حماية البيانات العامة في الاتحاد الأوروبي/المملكة المتحدة (GDPR)
1.0. المقدمة.
1.1. دخلت لائحة حماية البيانات العامة في الاتحاد الأوروبي ("GDPR") حيز التنفيذ في جميع أنحاء الاتحاد الأوروبي في 25 مايو 2018، وهي تُحدث أهم التغييرات في قانون حماية البيانات خلال العقدين الماضيين. استنادًا إلى الخصوصية حسب التصميم واعتمادًا على منهج قائم على المخاطر، تم تصميم اللائحة لتلبية متطلبات العصر الرقمي.
1.2. يجلب القرن الحادي والعشرون معه استخدامًا أوسع للتكنولوجيا، وتعريفات جديدة لما يشكل بيانات شخصية، وزيادة هائلة في المعالجة عبر الحدود. تهدف اللائحة الجديدة إلى توحيد قوانين حماية البيانات ومعالجتها عبر الاتحاد الأوروبي، مما يمنح الأفراد حقوقًا أقوى وأكثر اتساقًا للوصول إلى معلوماتهم الشخصية والسيطرة عليها.
2.0. التزامنا
نحن ملتزمون بضمان أمان وحماية المعلومات الشخصية التي نقوم بمعالجتها، وتوفير نهج متوافق ومتسق لحماية البيانات. نعتقد أننا لطالما كان لدينا برنامج قوي وفعال لحماية البيانات يتوافق مع القوانين الحالية ويلتزم بمبادئ حماية البيانات. ومع ذلك، نعترف بالتزاماتنا في تحديث وتوسيع هذا البرنامج لتلبية متطلبات اللائحة العامة لحماية البيانات وقانون حماية البيانات في المملكة المتحدة.
2.1. تكرس BeHappy2Day جهودها لحماية المعلومات الشخصية تحت إشرافنا وتطوير نظام حماية بيانات فعال وملائم للغرض ويُظهر فهمًا وتقديرًا للائحة الجديدة. تم تلخيص تحضيراتنا وأهدافنا للامتثال للـ GDPR في هذا البيان، ويشمل ذلك تطوير وتنفيذ أدوار جديدة وسياسات وإجراءات وضوابط وتدابير لضمان أقصى درجات الامتثال المستمر.
3.0. كيف نستعد للامتثال لـ GDPR
3.1. لدينا بالفعل مستوى متسق من حماية البيانات والأمن عبر مؤسستنا، ولكن هدفنا هو الامتثال الكامل للائحة بحلول 25 مايو 2018. تشمل تحضيراتنا ما يلي:
(أ) تدقيق المعلومات - إجراء تدقيق شامل للمعلومات على مستوى الشركة لتحديد وتقييم المعلومات الشخصية التي نحتفظ بها، مصدرها، كيفية وسبب معالجتها، وإذا ما تم الكشف عنها ولمن.
(ب) السياسات والإجراءات - مراجعة/تنفيذ سياسات وإجراءات حماية بيانات جديدة لتلبية متطلبات ومعايير GDPR وأي قوانين حماية بيانات ذات صلة، بما في ذلك:
(ج) حماية البيانات – تم تحديث وثيقة السياسة والإجراءات الرئيسية لحماية البيانات لتلبية معايير ومتطلبات GDPR. توجد تدابير للمساءلة والحوكمة لضمان فهمنا ونشر أدلتنا والتزامنا بالمسؤوليات، مع تركيز خاص على الخصوصية حسب التصميم وحقوق الأفراد.
(د) الاحتفاظ بالبيانات ومسحها – قمنا بتحديث سياسة وجدول الاحتفاظ لضمان الالتزام بمبادئ "تقليل البيانات" و"تحديد مدة التخزين"، وأن المعلومات الشخصية تُخزن وأرشفت وتُحذف بشكل متوافق وأخلاقي. لدينا إجراءات مخصصة للمسح تلتزم بالتزام "الحق في المسح" الجديد وندرك متى تنطبق هذه الحقوق وغيرها على الأشخاص المعنيين، مع الاستثناءات ومهلات الاستجابة ومسؤوليات الإخطار.
(هـ) خروقات البيانات – تضمن إجراءاتنا وجود تدابير وسلطات لتحديد وتقييم والتحقيق والإبلاغ عن أي خرق للبيانات الشخصية في أقرب وقت ممكن. إجراءاتنا قوية وتم نشرها لجميع الموظفين لتعريفهم بخطوط التقارير والخطوات الواجب اتباعها.
(و) نقل البيانات الدولية والإفصاحات لطرف ثالث – حيث تقوم BeHappy2Day بتخزين أو نقل المعلومات الشخصية خارج الاتحاد الأوروبي، لدينا إجراءات وتدابير حماية قوية لتأمين وتشفير وحفظ سلامة البيانات. تشمل إجراءاتنا مراجعة مستمرة للدول التي لديها قرارات كفاية كافية، بالإضافة إلى أحكام للقواعد الموحدة للشركات؛ وبنود حماية بيانات قياسية أو مدونات سلوك معتمدة للدول التي لا تتوفر فيها. نجري فحوصات دقيقة لجميع متلقي البيانات الشخصية للتأكد من وجود الضمانات المناسبة لحماية المعلومات، وضمان حقوق الأشخاص المعنيين وإنفاذها، ووجود حلول قانونية فعالة عند الحاجة.
(ز) طلبات الوصول إلى البيانات (SAR) – لديك الحق في معرفة المعلومات التي نحتفظ بها عنك. قمنا بمراجعة إجراءاتنا لاستقبال طلبات الوصول لتلائم الإطار الزمني المعدل 30 يومًا لتوفير المعلومات المطلوبة مجانًا. توضح إجراءاتنا الجديدة كيفية التحقق من هوية الشخص المعني، الخطوات اللازمة لمعالجة الطلب، الاستثناءات المطبقة، ومجموعة من النماذج للرد لضمان التواصل المتوافق والمتسق والكافي مع الأشخاص المعنيين.
(ح) الأساس القانوني للمعالجة - نراجع جميع أنشطة المعالجة لتحديد الأساس القانوني للمعالجة والتأكد من أن كل أساس مناسب للنشاط المرتبط به. عند الاقتضاء، نحتفظ أيضًا بسجلات أنشطة المعالجة لضمان الالتزام بموجب المادة 30 من GDPR والجدول 1 من مشروع قانون حماية البيانات.
(ط) إشعار الخصوصية/السياسة – قمنا بمراجعة إشعارات الخصوصية لدينا للامتثال لـ GDPR، مع ضمان إعلام جميع الأفراد الذين نعالج بياناتهم الشخصية بسببها بأسباب جمع البيانات، كيفية استخدامها، حقوقهم، الجهات التي يتم الكشف عن البيانات لها، والتدابير الوقائية لحماية معلوماتهم.
(ي) الحصول على الموافقة - نعيد مراجعة آليات الحصول على الموافقة لجمع البيانات الشخصية، مع ضمان فهم الأفراد لما يقدمونه، ولماذا وكيف نستخدمه، وتوفير طرق واضحة ومحددة للموافقة على معالجة بياناتهم. طورنا إجراءات صارمة لتسجيل الموافقة، مع التأكد من وجود دليل على الموافقة الإيجابية، بالإضافة إلى تسجيل الوقت والتاريخ؛ وطريقة سهلة للرؤية والوصول لسحب الموافقة في أي وقت.
(ك) التسويق المباشر - نعيد صياغة الكلمات والإجراءات الخاصة بالتسويق المباشر، بما في ذلك آليات موافقة واضحة للاشتراك في التسويق؛ إشعار واضح وطريقة سهلة لإلغاء الاشتراك، وتوفير خيارات إلغاء الاشتراك في جميع المواد التسويقية اللاحقة.
(ل) تقييمات تأثير حماية البيانات (DPIA) – عند معالجة بيانات شخصية تعتبر عالية المخاطر، أو تشمل معالجة واسعة النطاق، أو بيانات فئة خاصة/مدان جنائي؛ طورنا إجراءات صارمة وقوالب تقييم للقيام بتقييمات التأثير متوافقة تمامًا مع متطلبات المادة 35 من GDPR. نفذنا عمليات توثيق تسجل كل تقييم، وتمكننا من تصنيف المخاطر الناجمة عن نشاط المعالجة، وتنفيذ تدابير تخفيف لتقليل المخاطر على الأشخاص المعنيين.
(م) اتفاقيات المعالج – حيث نستخدم طرفًا ثالثًا لمعالجة البيانات الشخصية نيابة عنا (مثل الرواتب، التوظيف، الاستضافة، إلخ)، قمنا بصياغة اتفاقيات معالج متوافقة وإجراءات العناية الواجبة لضمان أن الطرف الثالث (وكذلك نحن) يلتزمون ويفهمون التزامات GDPR. تشمل هذه التدابير مراجعات أولية ومستمرّة للخدمة المقدمة، ضرورة نشاط المعالجة، التدابير التقنية والتنظيمية المعمول بها، والامتثال للائحة.
(ن) بيانات الفئات الخاصة - عند الحصول على بيانات فئات خاصة ومعالجتها، نفعل ذلك بما يتوافق تمامًا مع متطلبات المادة 9، مع تشفير وحماية عالية المستوى لهذه البيانات. تُعالج بيانات الفئات الخاصة فقط عندما يكون ذلك ضروريًا، وفقط بعد تحديد الأساس المناسب وفق المادة 9(2) أو شرط الجدول 1 من مشروع قانون حماية البيانات. عند الاعتماد على الموافقة في المعالجة، تكون الموافقة صريحة ويتم التحقق منها بتوقيع، مع توفير حق تعديل أو سحب الموافقة بشكل واضح.
4.0. حقوق الأشخاص المعنيين بالبيانات
4.1. بالإضافة إلى السياسات والإجراءات المذكورة أعلاه التي تضمن للأفراد ممارسة حقوقهم في حماية البيانات، نوفر معلومات سهلة الوصول عبر موقعنا الإلكتروني عن حق الفرد في الوصول إلى أي معلومات شخصية تعالجها BeHappy2Day عنه وطلب معلومات عن:
- ما هي البيانات الشخصية التي نحتفظ بها عنهم
- أغراض المعالجة
- فئات البيانات الشخصية المعنية
- المستلمون الذين تم/سيتم الكشف لهم عن البيانات الشخصية
- مدة نية الاحتفاظ ببياناتهم الشخصية
- إذا لم نجمع البيانات مباشرة منهم، معلومات عن المصدر
- الحق في تصحيح أو إكمال البيانات غير المكتملة أو غير الدقيقة، وعملية طلب ذلك
- الحق في طلب حذف البيانات الشخصية (عند الاقتضاء) أو تقييد المعالجة وفقًا لقوانين حماية البيانات، والاعتراض على أي تسويق مباشر منا، والإبلاغ عن أي اتخاذ قرار آلي نستخدمه
- الحق في تقديم شكوى أو طلب تعويض قضائي ومن يتصل به في هذه الحالات
5.0. أمن المعلومات والإجراءات التقنية والتنظيمية
5.1. تأخذ BeHappy2Day خصوصية وأمن الأفراد ومعلوماتهم الشخصية على محمل الجد وتتخذ كل التدابير والاحتياطات المعقولة لحماية وتأمين البيانات الشخصية التي نعالجها. لدينا سياسات وإجراءات أمن معلومات قوية لحماية المعلومات الشخصية من الوصول أو التغيير أو الكشف أو الإتلاف غير المصرح به، ونستخدم عدة طبقات من التدابير الأمنية، بما في ذلك؛ SSL، ضوابط الوصول، سياسة كلمات المرور، التشفير، التمويه، الممارسات، القيود، تكنولوجيا المعلومات، المصادقة، وغيرها.
6.0. أدوار GDPR والموظفون
6.1. قمنا بتعيين مارينا بوبروفا كمسؤولة عن مراقبة البيانات لدينا، وشكلنا فريق خصوصية بيانات لتطوير وتنفيذ خارطة الطريق للامتثال للائحة الجديدة لحماية البيانات. الفريق مسؤول عن تعزيز الوعي بـ GDPR عبر المنظمة، وتقييم جاهزيتنا، وتحديد أي ثغرات، وتنفيذ السياسات والإجراءات والتدابير الجديدة.
6.2. تدرك BeHappy2Day أن الوعي والفهم المستمرين للموظفين أمر حيوي للامتثال المستمر للائحة GDPR، وقد أدرجنا موظفينا في خطط التحضير لدينا. نفذنا برنامجًا توعويًا خاصًا للموظفين حول ما سبق، وسيتم طرحه لجميع الموظفين قبل 25 مايو 2018. يشكل هذا جزءًا مستمرًا من برنامج التدريب السنوي وبرنامج التعريف الوظيفي.
إذا كانت لديك أي أسئلة حول تحضيراتنا للامتثال لـ GDPR، يرجى التواصل مع مارينا بوبروفا، مسؤولة مراقبة البيانات لدينا، عبر البريد الإلكتروني: admin@behappy2day.com
