الصفحة الرئيسية اللائحة العامة لحماية البيانات (GDPR)

اللائحة العامة لحماية البيانات (GDPR)

الجزء أ: عام

قابلية التطبيق

هذه الوثيقة هي النسخة التشغيلية الحالية لسياسة الامتثال للقانون العام لحماية البيانات (GDPR) اعتبارًا من 25 مايو 2018 وتنطبق على أنشطة TechVersions التي تتكون من الكيان التالي.

TechVersions، شركة نشر تكنولوجي، 8000 Towers Crescent Drive، 13th Floor Vienna، VA 22182

مقدمة

يتمثل النشاط الأساسي لشركة TechVersions في تقديم الدعم لعملائها في تسويق منتجات B2B من خلال جذب عملاء محتملين فعالين من الأسواق المستهدفة.

يتم توليد العملاء المحتملين من خلال أبحاث السوق الذكية التي تجمع البيانات ذات الصلة لتحديد نية الشراء الموثوقة للشركات من خلال قنوات مختلفة بما في ذلك من خلال شركاء الأعمال الذين يستخدمون التكنولوجيا ذات الصلة في التسويق عبر وسائل التواصل الاجتماعي والتسويق عبر الإنترنت والتسويق عبر البريد الإلكتروني والتسويق عبر الهاتف.

في عملية هذه الأنشطة، تعمل TechVersions كوسيط يضيف قيمة إلى سلسلة التسويق B2B. يتم توفير معلومات الحملة من قبل العملاء والتي يتم ضبطها وتحويلها إلى مواد حملة لتوزيعها على مساحة السوق المحتملة.

يتم التوزيع على العملاء المستهدفين النهائيين من خلال وضع مواد الحملة في الوسائط ذات الصلة من خلال ناشرين خارجيين يقومون بإنشاء عملاء محتملين. يتم إنشاء جزء من العملاء المتوقعين من خلال نشاط النشر الداخلي واستخدام أدوات تسويق نية الشركة المبتكرة التي طورها فريق البحث والتطوير في TechVersions.

تتم تصفية العملاء المحتملين الذين يولدهم الناشرون بذكاء لتحسين جودتهم وتحويلهم إلى أهداف تسويقية قابلة للتنفيذ قبل تمريرها إلى العملاء.

قامت TechVersions بتطوير منتجات وعمليات وأنظمة توليد معلومات خاصة تتضمن تطوير بائعين موثوقين وقوى عاملة مدربة، والتي تعكس معًا عرض القيمة الذي تجلبه TechVersions إلى النظام البيئي للتسويق B2B في جميع أنحاء العالم. يمثل الحفاظ على هذه الخبرة ورعايتها واستخدامها لاستغلال الفرص التجارية مصلحة مشروعة لشركة TechVersions.

تعلن مدونة الامتثال للقانون العام لحماية البيانات (GDPR) التي اعتمدتها TechVersions أن TechVersions ملتزمة بمفهوم "الخصوصية كحق أساسي لمواطن في مجتمع ديمقراطي" في جميع أنحاء العالم ويجب عليها بحسن نية تنفيذ جميع مبادئ الخصوصية المنصوص عليها بموجب القانون العام لحماية البيانات (GDPR) حيثما تكون ملائم.

ومع ذلك، تكشف TechVersions أنه من مصلحتها المشروعة أن تقوم بعملية تجارية مشروعة في جميع أنحاء العالم كوسيط لسوق B2B وأنه من الحق الديمقراطي لشركة TechVersions مواصلة أعمالها بحسن نية دون أن تتعارض مع حقوق الأشخاص الطبيعيون الأفراد الذين يتم السعي لحماية خصوصيتهم بموجب اللائحة العامة لحماية البيانات.

تكشف TechVersions أيضًا أن نموذج أعمالها يتطلب جمع بيانات الكيانات التجارية التي تقع خارج نطاق اللائحة العامة لحماية البيانات وبيانات الاتصال التجارية فقط، وهي ليست بيانات شخصية ولكنها قد تتضمن معلومات تعريف شخصية جزئيًا ولكنها لا تتضمن بيانات شخصية للأطفال و البيانات الشخصية المصنفة على أنها "فئات خاصة" بموجب اللائحة العامة لحماية البيانات.

التعرض للناتج المحلي الإجمالي

TechVersionsGroup هو في الأساس "وسيط تسويق B2B" يعمل في جميع أنحاء العالم لتوليد عملاء محتملين للتسويق وخدمة العملاء في العديد من البلدان. لا تعمل TechVersions في السوق الاستهلاكية، وبالتالي لا تقوم بشكل مباشر أو غير مباشر بجمع المعلومات الشخصية لأصحاب البيانات في الاتحاد الأوروبي. البيانات التي تجمعها TechVersions تكون بشكل عام ضمن فئة بيانات الاتصال المهنية لموظفي الشركة والتي تحتوي، من بين أمور أخرى، على الاسم والبريد الإلكتروني للعمل ورقم هاتف العمل.

يتم إنشاء جزء من عملاء التسويق B2B في دول الاتحاد الأوروبي والمملكة المتحدة. قد يستفيد أيضًا بعض العملاء الموجودين في الاتحاد الأوروبي/المملكة المتحدة من خدمات TechVersions. في الوقت الحالي، تتم غالبية التفاعلات مع العملاء في الولايات المتحدة، كما تتم غالبية التفاعلات مع شركاء الأعمال المحتملين في الهند.

وبالتالي، يتم التعرف على تعرض TechVersions للقانون العام لحماية البيانات (GDPR) عند جمع بيانات الاتصال التجارية من مؤسسات الأعمال العاملة في مناطق الاتحاد الأوروبي/المملكة المتحدة.

نهج الامتثال للقانون العام لحماية البيانات

من أجل تمكين تطبيق قاعدة صارمة قدر الإمكان لمعالجة البيانات المعرضة لمخاطر الامتثال للقانون العام لحماية البيانات، تتبنى TechVersions سياسة للتعامل مع البيانات الحساسة للائحة العامة لحماية البيانات (GSD) باعتبارها "بيانات حساسة" تتدفق عبر موارد TechVersions عن طريق وضع علامة على البيانات الواردة مع علامة مناسبة لتصنيفها على أنها GSD حيثما ينطبق ذلك.

يتم أخذ حماية خصوصية أصحاب البيانات وأمن المعلومات المتعلقة بحماية الخصوصية فيما يتعلق بالبيانات الموسومة بـ GSD في الاعتبار عند تصميم هيكل الدعم.

على الرغم من أن البيانات تتم معالجتها في مواقع محددة وأن البنية التحتية التقنية لمعالجة GSD موجودة في مثل هذه المواقع المحددة، فقد تم إنشاء وعي بالقانون العام لحماية البيانات (GDPR) على مستوى المؤسسة وسيستمر متابعته بحيث تنطبق مبادئ قواعد السلوك الخاصة باللائحة العامة لحماية البيانات (GDPR) على الجميع منظمة تتجاوز معالجة GSD لتشمل وظائف التسويق والمالية والإدارية التي قد تكون موجودة في مواقع مختلفة مع البنية التحتية الفنية والإدارية الخاصة بها.

من أجل التنفيذ الفعال لأمن البنية التحتية لمعالجة البيانات بأكملها، اعتمدت الشركة سياسة شاملة لأمن المعلومات تتضمن سياسات فرعية متعددة فيما يتعلق بالوصول إلى البيانات ومعالجة التخزين والنقل وما إلى ذلك.

التزام الخصوصية

تدرك TechVersions أن "الخصوصية" هي حق ديمقراطي مهم في المجتمع المدني. باعتبارها كيانًا مؤسسيًا مسؤولاً، تلتزم TechVersions بحماية خصوصية جميع الأشخاص الطبيعيين الأفراد الذين تأتي بياناتهم الشخصية إلى مستودع بيانات الشركة للمعالجة.

نظرًا لوجود العملاء في الاتحاد الأوروبي/المملكة المتحدة ومراقبة أنشطة موظفي الشركات المقيمين في الاتحاد الأوروبي/المملكة المتحدة، اختارت TechVersions اعتماد معايير الامتثال للقانون العام لحماية البيانات من أجل حماية خصوصية جميع الأشخاص الطبيعيين الذين قد يتفاعلون مع المجموعة. حتى عندما يكون هذا التفاعل فقط بصفتهم موظفين في كيانات أعمال مختلفة يسعون لتحقيق أهداف العمل الخاصة بمؤسسات الأعمال الخاصة بهم.

المصلحة المشروعة

يتضمن النشاط الأساسي لـ TechVersions معالجة البيانات المتعلقة بشراء منتجات مختلفة لاستخدام الشركات. يشمل نطاق النشاط التجميع والتجميع والتحليل والتجزئة ومراقبة النوايا. في عملية هذه المعالجة، تضيف TechVersions قيمة إلى البيانات الأولية التي يتم جمعها من بيئة الأعمال وتحولها إلى معلومات ذات قيمة مضافة تساعد في اتخاذ القرارات التجارية.

يتم التعرف على البيانات الأولية التي تم جمعها على أنها بيانات تخص صاحب البيانات والتي تنطبق عليها حقوق صاحب البيانات بموجب اللائحة العامة لحماية البيانات. تنشأ القيمة المضافة إلى البيانات التي تحدث أثناء العملية من إمكانات معالجة البيانات الخاصة بـ TechVersions والتي تتمتع فيها TechVersions بمستوى معين من المطالبة بحقوق الملكية الفكرية.

إذا تم استخدام أسماء مستعارة لأي بيانات، فسيتم اعتبار البيانات ذات القيمة المضافة ذات الأسماء المستعارة بيانات يكون لـ TechVersions مصلحة مشروعة في استخدامها لإجراء مزيد من البحث. تخضع البيانات غير المستعارة، حتى في حالة القيمة المضافة، لممارسة حقوق صاحب البيانات مثل الوصول والتصحيح والقيود وإمكانية النقل والمحو. لن يتم تصنيف البيانات ذات الأسماء المستعارة، إن وجدت، على أنها حساسة للقانون العام لحماية البيانات (GDPR).

تمتلك TechVersions مصلحة تجارية مشروعة كما هو معترف به بموجب المادة 6 (1) (و) من لوائح اللائحة العامة لحماية البيانات في الاتحاد الأوروبي، في جمع ومعالجة البيانات المتعلقة بالأعمال مثل البيانات الرسمية وبيانات الاتصال التجارية لمسؤولي صنع القرار في الكيانات التجارية

أيضًا، تتضمن أعمال TechVersions عمليات داخل دول الاتحاد الأوروبي وخارجها، وبالتالي فهي معرضة للالتزامات القانونية لمختلف البلدان المتعلقة بمعالجة البيانات بالإضافة إلى القوانين الأخرى المطبقة على الأعمال بشكل عام والأنشطة المتعلقة بتكنولوجيا المعلومات بشكل خاص، على النحو المنصوص عليه في المادة 6 (1)(ج) من لوائح اللائحة العامة لحماية البيانات في الاتحاد الأوروبي.

علاوة على ذلك، اعتمدت TechVersions ممارسات تجارية للمعالجة القانونية تتضمن مبادئ القانون العام لحماية البيانات في الاتحاد الأوروبي كما هو منصوص عليه في المادة 6، بما في ذلك الحصول على موافقة صريحة مستنيرة عند الاقتضاء والالتزام بمتطلبات الالتزامات التعاقدية مع أصحاب البيانات إن وجدت.

وبالتالي، يتم تنظيم سياسات TechVersions بشأن الخصوصية وحماية البيانات باستخدام ضوابط محددة للخصوصية وأمن المعلومات التي تعالج مسألة تحديد البيانات الحساسة للقانون العام لحماية البيانات (GDPR) في مرحلة أصلها ودخولها إلى نظام TechVersions ووضع علامات عليها طوال دورة حياة المعالجة.

توسيع نطاق الامتثال للنظام البيئي لمعالجة البيانات

علاوة على ذلك، مع الحفاظ على القصد التشريعي المتمثل في حماية الحق الأساسي في خصوصية الأفراد، المنصوص عليه في القانون العام لحماية البيانات في الاتحاد الأوروبي، يتم الحفاظ على الضوابط الفنية والتنظيمية/الإدارية المناسبة لضمان أن جميع شركاء الأعمال في المراحل النهائية الذين قد يكون لديهم إمكانية الوصول إلى البيانات الحساسة في القانون العام لحماية البيانات للمعالجة نيابة عن TechVersions متوافقة أيضًا مع القانون العام لحماية البيانات (GDPR).

تدرك TechVersions أنه في معظم أجزاء عملياتها، فهي ليست "وحدة تحكم في البيانات" ولكنها "معالجة بيانات" لغرض اللائحة العامة لحماية البيانات. ويجوز لها أن تتولى دور "المراقب المشترك" عندما تستخدم خدمات المقاولين من الباطن في أي جزء من عملية المعالجة.

مع وضع هذه الأدوار في الاعتبار، تم تصميم سياسات وضوابط TechVersions لضمان الامتثال للقانون العام لحماية البيانات، بما في ذلك الحفاظ على الضوابط الفنية والتنظيمية/الإدارية المناسبة لتبقى على اطلاع على النحو الواجب بشأن أنشطة الامتثال للقانون العام لحماية البيانات لشركائها التجاريين وكذلك مشاركة امتثال TechVersions الخاص باللائحة العامة لحماية البيانات معهم. التدابير التي قد تكون ضرورية.

حدود هذه الوثيقة

توفر الفقرات التالية السياسة الشاملة لـ TechVersions للامتثال للقانون العام لحماية البيانات (GDPR) على مستوى الشركة، مع تسليط الضوء على نهج TechVersions في تحقيق مستوى مرضٍ من الامتثال لمبادئ القانون العام لحماية البيانات (GDPR) في عملياتها.

تهدف وثيقة السياسة هذه إلى المشاركة المحدودة مع أصحاب المصلحة بما في ذلك الكيانات التجارية خارج TechVersions، وبالتالي تستبعد معلومات الملكية المتعلقة بالمعالجة حيث يكون ذلك ضروريًا لحماية الملكية الفكرية للمنظمة.

ستتم معالجة أي طلب للكشف عن معلومات تتجاوز ما هو مذكور هنا بموجب سياسة الكشف عن البيانات الخاصة بـ TechVersions وقد يتم توجيه هذه الطلبات إلى مدير الخصوصية من خلال بريد إلكتروني موثق وغير حسن السمعة.

الجزء ب: الخطوط العريضة للسياسة المحددة

  1. المسؤولية المعينة

قامت TechVersions بتعيين مدير الخصوصية الذي سيكون جهة الاتصال للتعامل مع جميع الطلبات والشكاوى المتعلقة بالبيانات. بالنظر إلى المستوى الحالي من التعرض للمخاطر للبيانات الحساسة للقانون العام لحماية البيانات في TechVersions، يعتبر أن النشاط الأساسي لـ TechVersions لا يتضمن مراقبة واسعة النطاق ومنهجية لموضوعات بيانات الاتحاد الأوروبي ولا تقديم أي خدمات للأفراد في الاتحاد الأوروبي، وبالتالي هناك لا يوجد شرط لتعيين "مسؤول حماية البيانات" على النحو المنصوص عليه في القانون العام لحماية البيانات.

ستكون لجنة حوكمة أمن المعلومات (ISGC) مسؤولة بشكل عام عن أمن المعلومات بما في ذلك الامتثال للقانون العام لحماية البيانات. ستكون هيئة صنع السياسات العليا لشركة TechVersions المسؤولة عن وضع جميع سياسات أمن المعلومات بما في ذلك سياسة القانون العام لحماية البيانات (GDPR) وستراقب الحاجة إلى تعيين أي شخص أو مستشار كمسؤول حماية البيانات في الوقت المناسب.

  1. تصنيف البيانات

لا تشارك TechVersions في التسويق لأي أشخاص طبيعيين، وبالتالي لا تقوم عادةً بجمع بيانات التعريف الشخصية التي تخضع للأحكام التنظيمية للقانون العام لحماية البيانات. ومع ذلك، يتم تصنيف جميع البيانات الشخصية التي يمكن تحديدها مثل عنوان البريد الإلكتروني ورقم الهاتف لموظف في إحدى المؤسسات على أنها "حساسة للقانون العام لحماية البيانات" إذا كان من المعروف أن وحدة الأعمال أو الموظف يقع في الاتحاد الأوروبي/المملكة المتحدة.

وبناءً على ذلك، يتم تحديد مجموعة بيانات الاتصال التجارية بأكملها المرتبطة بعنوان الموقع الفعلي في الاتحاد الأوروبي/المملكة المتحدة على أنها بيانات حساسة للقانون العام لحماية البيانات (GSD) ويتم وضع علامة عليها أثناء المعالجة الإضافية داخل المؤسسة.

في حالة عدم وجود معلومات الموقع الفعلي لصاحب البيانات، يعتبر الموقع الفعلي لمؤسسة الأعمال المرتبطة ذا صلة.

  1. تدقيق البيانات

مرة واحدة قبل 25 مايو 2018 وبعد ذلك على فترات شهرية أو كما هو محدد بواسطة ISGC، سيتم التحقق من مجموعات البيانات المخزنة لتحديد موقع أي GSD والتحقق من متطلبات الامتثال المرتبطة بها مثل ما إذا كانت البيانات بحاجة إلى أرشفة أو حذف أو خلاف ذلك بشكل خاص مؤمن.

سيتم التوصية بحذف أي مجموعة بيانات GSD غير مصحوبة بـ "موافقة" أو "مذكرة مصلحة مشروعة" مناسبة.
عند التأكيد، سيتم حذف هذه البيانات بشكل قانوني.

  1. تقييم تأثير اللائحة العامة لحماية البيانات

تم إجراء تقييم فجوة اللائحة العامة لحماية البيانات (GDPR) وتنفيذ الإجراءات التصحيحية على النحو المطلوب قبل 25 مايو 2018. بعد 25 مايو 2018، سيتم إجراء تقييم تأثير حماية البيانات (DPIA) كلما تم تنفيذ مشروع جديد مهم عندما تحدد ISGC ضرورة.

  1. سياسة قبول الأعمال الجديدة

في 25 مايو 2018 أو بعده، ستخضع جميع التزامات الأعمال الجديدة التي تتضمن معالجة البيانات لموافقة ISGC مع مذكرة تقييم تأثير اللائحة العامة لحماية البيانات المحددة المقدمة من DPO بالتشاور مع الفريق الفني المسؤول عن المعالجة.

  1. سياسة تخزين بيانات GSD

يجب أن يتم تخزين GSD في الأنظمة التي لا يمكن الوصول إليها إلا من قبل الأشخاص المعينين على أساس "الحاجة إلى المعرفة" الصارم.

يجب أن يتم وضع علامة على كل مجموعة GSD مع مراقب البيانات الذي تم الحصول عليها منه والذي يكون مسؤولاً عن جمع البيانات بموجب الموافقة أو العقد.

يجب أيضًا وضع علامة على أي قيود محددة مرتبطة بمجموعة البيانات هذه مع مجموعة البيانات.

يجب أن يمكّن تخزين البيانات من تحديد موقع مجموعة البيانات الفردية ومعالجتها لتنفيذ حقوق أي صاحب بيانات مثل طلب تصحيح البيانات أو إمكانية نقل البيانات أو محو البيانات أو الوصول إلى البيانات في أي وقت خلال دورة حياتها.

  1. سياسة الوصول إلى بيانات GSD

يجب الوصول إلى GSD وفقًا لسياسة التحكم في الوصول التي تضمن أن كل مجموعة بيانات GSD يجب أن يكون لها معلمات وصول محددة وهذا يحدد من يمكنه الوصول إلى البيانات وكيفية الوصول إلى البيانات. يُسمح فقط لأولئك الذين تم تعيينهم كقوى عاملة في GSD بالوصول إلى مجموعة بيانات GSD.

يجب تحديد استخدام معلمات الوصول مثل كلمات المرور بدرجة من التعقيد والتفرد كما قد يكون مطلوبًا، ويجب استكمالها بعلامات التشفير ومعرف الجهاز بحيث لا يمكن الوصول إلى بيانات GSD إلا من أجهزة محددة تم تعيينها لقوى العمل GSD المعتمدة.

عندما يكون تخزين البيانات على السحابة، يجب استخدام الخدمات السحابية المتوافقة مع اللائحة العامة لحماية البيانات (GDPR) فقط إلى جانب الضوابط الإضافية التي قد تكون مطلوبة لضمان حماية البيانات الموجودة في التخزين والنقل من الوصول غير المصرح به.

يجب أن يتم تخزين GSD الخاص بالمشروع بطريقة تمكن الموظفين المرتبطين بمشروع معين فقط من الوصول إلى البيانات. يجب تنظيم الوصول عبر المشروعات على أساس الحاجة.

  1. سياسة الاحتفاظ ببيانات GSD

يجب الاحتفاظ بـ GSD في بيئة عملية نشطة فقط لأدنى فترة مطلوبة للمعالجة. بعد ذلك، يجب أرشفة البيانات بشكل آمن وفقًا للمتطلبات المحددة تحت المصلحة المشروعة، على سبيل المثال حتى اكتمال دورة فوترة المشروع.

وبعد ذلك، يجب الاحتفاظ بالبيانات في أرشفة آمنة أو تدميرها وفقًا لمتطلبات المصلحة المشروعة المحددة للشركة.

يجب إجراء مراجعة شهرية للبيانات المؤرشفة لتحديد البيانات التي لم تعد مطلوبة والتي يجب إحالتها إلى ISGC للحصول على تعليمات التخلص منها.

يجب أن تؤخذ الالتزامات القانونية المتعلقة بالاحتفاظ بالبيانات والتي قد تنشأ بسبب أي تشريعات متداخلة في الاعتبار عند تقييم المصلحة المشروعة.

  1. سياسة الكشف عن بيانات GSD

عادةً ما يتم استلام أي طلب للإفصاح عن GSD فقط من مراقب البيانات المصدر.

من المسلم به أن الطلبات الواردة مباشرة من أصحاب البيانات تخضع لمخاطر التصيد الاحتيالي، ويجب إحالة هذه الطلبات إن وجدت إلى مراقب البيانات المقابل الذي قام بجمع البيانات من صاحب البيانات بموجب موافقة أو عقد قد يكون موجودًا بينهما.

يتم إرسال البيانات التي سيتم الكشف عنها فقط إلى مراقب البيانات لنقلها إلى صاحب البيانات بعد المصادقة بشكل صحيح على هوية ممثل مراقب البيانات الذي يقدم الطلب.

في الظروف الاستثنائية التي يلزم فيها الكشف عن البيانات مباشرة إما إلى صاحب البيانات أو ممثله المعتمد أو سلطة إنفاذ القانون، يجب ضمان المصادقة الكافية على هوية الشخص الذي يقدم الطلب.

يجب أن تتم الموافقة على جميع طلبات الكشف عن البيانات من قبل ISGC قبل إصدار البيانات ويجب اعتبار الطلب بالإضافة إلى وثائق التقييم بمثابة وثائق امتثال مطلوبة للقانون العام لحماية البيانات.

  1. سياسة إدارة حوادث بيانات GSD

"الحادث" بموجب هذا القانون هو أي ملاحظة من شأنها أن تشير إلى انتهاك قانون الامتثال لـ GSD أو أي سياسات أو إجراءات بموجبه سواء كان هناك شك في تعرض أي بيانات للخطر أم لا.

يمكن استخدام سياسة المبلغين عن المخالفات لضمان الإبلاغ عن الحوادث على الفور من قبل أي مراقب سواء داخل الشركة أو خارجها.

يجب تسجيل أي حادث من هذا القبيل يصل إلى علم TechVersions في سجل إدارة حوادث GSD وإحالته إلى DPO لاتخاذ الإجراء الفوري.

يجب على مسؤول حماية البيانات مراجعة تقرير الحادث واتخاذ خطوات فورية لحل الحادث وكذلك إبلاغ الحادث إلى ISGC.

سوف يعقد ISGC اجتماعًا على وجه السرعة لتقييم الحادث لتحديد ما إذا كان ينطوي على أي خرق مشتبه به للبيانات. عند الضرورة، قد تأمر ISGC بإجراء تدقيق قانوني تقني فوري لتقييم مخاطر الحادث. بناءً على تقييم المخاطر، تقرر ISGC الحاجة إلى اتخاذ مزيد من الإجراءات بما في ذلك إرسال إشعار خرق البيانات إلى مراقب البيانات المرتبط بالبيانات.

يعتبر أي حادث يتم فيه الوصول إلى GSD من قبل موظف آخر في المنظمة بمثابة حادث أمني وليس بالضرورة "خرقًا". ومع ذلك، يجب التحقيق في مثل هذه الحوادث لمعرفة سبب الوصول غير المصرح به، وإذا كان الوصول العرضي غير المقصود، فيمكن حله باتخاذ إجراء تأديبي داخلي مناسب وفقًا لسياسة الموارد البشرية. إذا لم يتم نقل البيانات أو الوصول إليها من قبل شخص خارجي، فقد يتم تصنيف الحادث على أنه حادث بيانات داخلي لا يصل إلى مستوى الاختراق.

في حالة معرفة أن الوصول أو البيانات المنقولة كانت في شكل مشفر وكانت في حالة لا يمكن للمستلم فك تشفيرها، مع مراعاة التحقيق الداخلي المناسب فيما يتعلق بأمان مفتاح فك التشفير المرتبط، فقد يتم تصنيف الوصول باعتباره حادثًا داخليًا للبيانات لا يرقى إلى مستوى الاختراق.

  1. سياسة إشعارات خرق بيانات GSD

حادثة "خرق البيانات" هي حادثة توصلت فيها TechVersions، بعد التحقيق اللازم، إلى علم أن الوصول إلى أي مجموعة بيانات محددة ضمن GSD قد تم اختراقه وأن كيانًا خارجيًا قد وصل إلى مجموعة GSD أو أرسلها.

يجب الإبلاغ عن حادثة خرق البيانات هذه على الفور إلى ISGC والتي يجب عليها دون مزيد من التأخير إخطار مراقب البيانات المرتبط بمجموعة البيانات بالإضافة إلى التفاصيل ذات الصلة بالحادث.

يجب أن يحدد هذا التقرير طبيعة ومدى الانتهاك، ووقت وتاريخ الانتهاك، وتفاصيل أصحاب البيانات المتأثرين، والإجراء المتخذ عند ملاحظة الانتهاك، وما إلى ذلك. وعند الضرورة، يمكن أيضًا الإبلاغ عن خرق البيانات إلى أحد السلطة الإشرافية.

  1. سياسة إدارة حقوق صاحب بيانات GSD

قام نظام معالجة البيانات TechVersions بدمج "الخصوصية والأمان حسب التصميم" لتمكين الامتثال لمتطلبات القانون العام لحماية البيانات (GDPR) خاصة فيما يتعلق بحقوق صاحب البيانات المنصوص عليها بموجب القانون العام لحماية البيانات (GDPR).

من أجل تلبية هذه الحقوق لصاحب البيانات مثل "الوصول" و"التصحيح" و"المحو" و"قابلية النقل" والحق في فرض "القيود"، قامت TechVersions بتمكين أنظمة تخزين GSD والوصول إليها بطريقة تجعل يمكن استخراج مجموعة البيانات التي تنتمي إلى موضوع بيانات محدد بشكل منفصل ومعالجتها.

ولذلك فقد تم تصميم النظام ليكون متوافقًا مع متطلبات القانون العام لحماية البيانات (GDPR) الأكثر صرامة.

عندما يتم تلقي طلب لممارسة هذه الحقوق من صاحب البيانات، وفقًا لسياسة الكشف عن البيانات، يتم التحقق من صحة الطلب أولاً ثم في حالة استلام البيانات من مراقب البيانات، سيُطلب من مراقب البيانات تأكيد الكشف عن البيانات.

عادةً، تتم معالجة الطلب بالاتصال مع وحدة تحكم البيانات وإذا كان سيتم نقله، فسيتم إعادته مرة أخرى إلى وحدة تحكم البيانات.

في الظروف الاستثنائية حيث يتعين على TechVersions التعامل مع طلب صاحب البيانات دون تعاون مراقب البيانات، سيتم اتخاذ الاحتياطات المناسبة لمنع الكشف غير المشروع لأنه سيكون من المصلحة المشروعة لـ TechVersions أن يتم تعويضها ضد أي كشف خاطئ محتمل. .

  1. سياسة نقل البيانات GSD

قد تتدفق بيانات GSD عادةً إلى النظام من خلال واجهة التطبيق (API). يتم الوصول إلى الواجهة من خلال نظام وصول آمن لكلمة المرور معزز بمصادقة العامل الثاني المناسبة حيث يتم تحديد مخاطر GSD كبيرة.

يتم نقل البيانات على أساس التشفير ويخضع لإدارة أمن النقل الذي يغطي نقاط الضعف المعروفة.

يتم تأمين التطبيق نفسه إلى جانب عناصر التخزين والمعالجة المتأصلة وواجهة برمجة التطبيقات (API) ضد الوصول غير المصرح به والهجمات الضارة بواسطة برنامج ضار مناسب ونظام إدارة الوصول الآمن

عندما يتم إرسال مجموعة GSD إلى العميل أو المقاول من الباطن أيضًا، تتم إدارة الإرسال من خلال قنوات الاتصال المشفرة إما من خلال واجهة برمجة التطبيقات أو البريد الإلكتروني المشفر.

  1. سياسة استخدام تسويق GSD

عندما تستخدم TechVersions GSD لأي غرض تسويقي إما عبر البريد الإلكتروني أو الاتصال الهاتفي أو غير ذلك، يتم الحرص على ضمان وجود موافقة أو عقد مناسب لتمكين هذا الاتصال.

تصر TechVersions أيضًا على أن شركائها، سواء من المولدين المحتملين أو المعالجين المتعاقدين من الباطن والعملاء، لا يستخدمون GSD إلا وفقًا للأذونات المتاحة.

في حالة عدم توفر موافقة لا لبس فيها، لا يتم جمع بيانات الاتصال التجارية من المولدين المحتملين أو نقلها إلى العملاء أو معالجتها من خلال المقاولين من الباطن.

يتم قتل هذه البيانات في المقام الأول عندما تدخل نظام TechVersions ويتم تحديدها على أنها "GSD دون موافقة المعالجة المناسبة".

  1. سياسة موافقة GSD

لا يتم قبول جميع المعلومات المصنفة على أنها GSD بحكم وجود صاحب البيانات في الاتحاد الأوروبي/المملكة المتحدة أو وجود صاحب العمل في الاتحاد الأوروبي/المملكة المتحدة إلا إذا قدم صاحب البيانات موافقة صريحة بناءً على التنسيق كما هو مطلوب بموجب اللائحة العامة لحماية البيانات.

في سيناريو ما قبل القانون العام لحماية البيانات، تم جمع هذه الموافقات بشكل عام بموجب مبادئ معالجة البيانات الشخصية والتي تضمنت إشعار الخصوصية. يشير إشعار الخصوصية هذا إلى المعلومات التي يتم جمعها، والغرض من التجميع، والوقت الذي سيتم الاحتفاظ بها، وكيف سيتم تأمينها، وما إذا كانت المعلومات دقيقة، وما إذا كان سيتم نقلها خارج الاتحاد الأوروبي للمعالجة، وما إلى ذلك. استندت بعض الموافقات إلى مبدأ "الاشتراك" كإعداد افتراضي.

بموجب اللائحة العامة لحماية البيانات، من الضروري أن يتم جمع البيانات الشخصية فقط على أساس موافقة صريحة حيث يكون "إلغاء الاشتراك" هو الخيار الافتراضي وفقط على أساس الإجراء الإيجابي الذي يشير إلى القبول، سيتم قبول الموافقة.

بالإضافة إلى ذلك، يجب أن يشير إشعار الخصوصية أيضًا إلى أن صاحب البيانات لديه حقوق معينة مثل "الحق في أن يتم إعلامك بهوية المعالجات النهائية"، و"الحق في الوصول والتصحيح"، و"الحق في قابلية النقل والمحو".

في ضوء المتطلبات الجديدة، سيتم اعتبار جميع الموافقات التي تم الحصول عليها بتنسيق ما قبل القانون العام لحماية البيانات (GDPR) غير صالحة وسيتم تجاهل هذه البيانات بواسطة TechVersions.

يجب على الناشرين الخارجيين الذين يقومون بإنشاء عملاء متوقعين لـ TechVersions التأكيد من خلال عقودهم على أنهم سيقدمون فقط العملاء المحتملين الذين تم إنشاؤهم بنموذج الموافقة الجديد في حالة وجود موضوع البيانات في الاتحاد الأوروبي/المملكة المتحدة.

  1. سياسة التواصل مع أصحاب المصلحة في GSD

تعمل TechVersions من خلال العديد من المنظمات الخارجية التي تعد من أصحاب المصلحة في برنامج الامتثال للقانون العام لحماية البيانات (GDPR) الخاص بـ TechVersions. تشمل هذه المنظمات عملائها، والمولدين الرئيسيين، والمقاولين من الباطن، وما إلى ذلك.

من أجل الامتثال الفعال، لا ينبغي تبادل أي بيانات GSD في أي اتصال مع أصحاب المصلحة إلا من خلال النقل الآمن وإلى الممثلين المعتمدين فقط.

بينما يتم التحكم في الاتصال عبر واجهة برمجة التطبيقات (API) من خلال سياسة الوصول، فإن أي اتصال آخر عبر البريد الإلكتروني يجب التحكم فيه من خلال سياسة الاتصال عبر البريد الإلكتروني.

بشكل أساسي، يجب أن تحدد سياسة الاتصال عبر البريد الإلكتروني أن مشاركة أي معلومات تتعلق بالامتثال لـ GSD أو القانون العام لحماية البيانات (GDPR) مع أصحاب المصلحة يجب أن تتم فقط من خلال جهة اتصال تم إخطارها بعنوان البريد الإلكتروني الذي سيكون في معظم الحالات مسؤول حماية البيانات (DPO) للمؤسسة الأخرى، عند الضرورة، قد يتم تشفير اتصالات البريد الإلكتروني والمصادقة عليها مع التوقيع الرقمي.

  1. سياسة تحديد المصالح المشروعة لـ GSD

تدرك TechVersions أن بعض حقوق أصحاب البيانات مثل محو البيانات أو تصحيح البيانات قد تتعارض مع متطلبات المصلحة المشروعة لـ TechVersions أو قد تتعارض مع قوانين الاحتفاظ بالبيانات التي قد تكون قابلة للتطبيق على البيانات في ضوء الالتزامات التشريعية الأخرى .

في جميع حالات تنفيذ حقوق صاحب البيانات، ستقوم TechVersions بتقييم الطلب قبل اتخاذ أي إجراء آخر. في حالة إدراك TechVersions للحاجة إلى رفض الطلب أو تعديله للقبول، سيتم توثيق الأسباب وسيتم تطوير مذكرة المصلحة المشروعة لـ GSD بواسطة ISGC.

عندما لا تكون البيانات مطلوبة أن تكون نشطة، فقد يتم أرشفتها بشكل آمن حتى تنتهي المصلحة المشروعة.

يجب أن يتم نقل أسباب ممارسة حجة المصلحة المشروعة لمعالجة طلب صاحب البيانات إلى مراقب البيانات المسؤول عن صاحب البيانات للإرسال المستمر إلى صاحب البيانات.

  1. سياسة إدارة الأفراد GSD

سيتم اعتبار GSD بمثابة مجموعة بيانات تتطلب اهتمامًا حصريًا وخاصة فيما يتعلق بأمن المعلومات أثناء وجودها في عهدة TechVersions.

ومن ثم، سيتم وضع علامة GSD ومعالجتها بشكل مناسب على أساس الحاجة إلى المعرفة من قبل مجموعة من الموظفين المدربين خصيصًا.

ستتم إدارة هؤلاء الموظفين والأنظمة التي سيتم فيها تخزين GSD والوصول إليها ومعالجتها بشكل آمن مع الأخذ في الاعتبار مستوى المخاطر المرتبطة بـ GSD.

يجب إدارة تعيين الأشخاص لمعالجة GSD وإزالتهم من خلال التدابير الأمنية المناسبة بما في ذلك مستوى أعلى من التحقق من الخلفية والتدريب وهويات الوصول المادي وسياسات العقوبات وما إلى ذلك.

تحتاج سياسات الموارد البشرية إلى الترقية بشكل مناسب للقوى العاملة في GSD حسب الاقتضاء.

  1. سياسة الأسماء المستعارة لـ GSD

ومن المسلم به أن الاسم المستعار هو استراتيجية للحد من المخاطر في معالجة GSD.

لا تعتبر البيانات الشخصية ذات الأسماء المستعارة "بيانات شخصية" لأغراض تنظيم القانون العام لحماية البيانات بشرط أن تكون عملية الأسماء المستعارة منظمة بشكل مناسب.

في ضوء المستوى الحالي لتعرض عملياتها لمخاطر اللائحة العامة لحماية البيانات؛ لم تعتبر TechVersions أنه من الضروري في الوقت الحالي استخدام الأسماء المستعارة كاستراتيجية لتخفيف المخاطر.

  1. سياسة GSD DRP-BCP

تدرك TechVersions أهمية وجود خطة فعالة للتعافي من الكوارث واستمرارية الأعمال لعملياتها بما في ذلك العمليات التي تتضمن معالجة GSD.

ستحتفظ TechVersions بنسخة احتياطية كافية من بيانات GSD وقدرة معقولة على الحفاظ على استمرارية الأعمال في حالة حدوث أي طارئ.

  1. سياسة توثيق الامتثال لـ GSD

يجب توثيق إجراءات الامتثال للقانون العام لحماية البيانات بحيث تكون متاحة للمراجعة. يجب الاحتفاظ بوثائق الامتثال لمدة لا تقل عن 6 سنوات منذ إنشائها.

في حالة كون أي مستند دليلاً محتملاً لمتطلبات إنفاذ القانون أو للدفاع عن المصلحة المشروعة لشركة TechVersions، فسيتم الاحتفاظ بمثل هذا المستند طالما استمرت المتطلبات.

  1. سياسة تدقيق GSD

يجب على فريق تدقيق الأمن الداخلي التابع لـ TechVersions مراجعة أصول المعلومات الخاصة بـ TechVersions مرة واحدة على الأقل سنويًا لتقييم مستوى الأمان والامتثال للقانون العام لحماية البيانات (GDPR) والمتطلبات التنظيمية الأخرى.

يمكن النظر في عمليات التدقيق الخارجية على أساس تقييم تجريه ISGC كلما حدث تغيير جوهري في ملف الأعمال.

تحتفظ TechVersions بالحق في إجراء تدقيق لمرافق أي من مقاوليها من الباطن لضمان الامتثال وفقًا للالتزامات التعاقدية.

ومع ذلك، تدرك TechVersions أن التمكين لمراجعة مرافق المقاول من الباطن هو تمكين ويجب استخدامه فقط في ظل ظروف استثنائية. وهذا لا يقلل من مسؤولية المقاول من الباطن عن تلبية متطلبات الامتثال في نهايته وفقًا للضمانات التعاقدية المقدمة.

  1. سياسة معالجة التظلمات الخاصة بشركة GSD

ستوفر TechVersions سياسة معالجة التظلمات متعددة المستويات لمعالجة النزاعات إن وجدت مع أي صاحب بيانات. سيتم التعامل مع مثل هذه التظلمات من قبل DPO على المستوى الأول، وISGC على المستوى الثاني ولجنة حل النزاعات عبر الإنترنت التي تم تشكيلها لهذا الغرض من قبل مجلس الإدارة على المستوى الثالث.

سيتم التعامل مع أي استفسارات من السلطة الإشرافية للقانون العام لحماية البيانات (DPO) وتصعيدها إلى ISGC عند الاقتضاء.

سيتم التعامل مع أي نزاعات مع العملاء أو الناشرين أو المقاولين من الباطن وفقًا للاتفاقيات التعاقدية المعنية.

  1. سياسة أمن الشبكة

من أجل التأكد من أن البنية التحتية لتكنولوجيا المعلومات التي تستخدمها الشركة آمنة، يجب على TechVersions اعتماد سياسة قوية لأمن المعلومات بما في ذلك جدران الحماية، وأنظمة كشف التسلل، وأنظمة منع البرامج الضارة، وتصحيح النظام، وما إلى ذلك كما هو مطلوب.

يكون مدير أمن المعلومات المعين مسؤولاً عن صيانة أمن الشبكة.

ملاحظة: تخضع هذه المدونة للمراجعة من وقت لآخر.