الجزء أ: عام

قابلية التطبيق

هذه الوثيقة هي النسخة التشغيلية الحالية لسياسة الامتثال للائحة العامة لحماية البيانات (GDPR) السارية اعتبارًا من 25 مايو 2018، وتنطبق على أنشطة TechVersions التي تتكون من الكيان التالي.

شركة TechVersions، وهي شركة نشر تقنية، 8000 Towers Crescent Drive، الطابق الثالث عشر، فيينا، فيرجينيا 22182

مقدمة

يتمثل النشاط الأساسي لشركة TechVersions في تقديم الدعم لعملائها في تسويق منتجات B2B من خلال جذب عملاء محتملين فعالين من الأسواق المستهدفة.

يتم توليد العملاء المحتملين من خلال أبحاث السوق الذكية التي تجمع البيانات ذات الصلة لتحديد نية الشراء الموثوقة للشركات من خلال قنوات مختلفة، بما في ذلك من خلال شركاء الأعمال باستخدام التكنولوجيا ذات الصلة في التسويق عبر وسائل التواصل الاجتماعي، والتسويق عبر الإنترنت، والتسويق عبر البريد الإلكتروني، والتسويق عبر الهاتف.

في سياق هذه الأنشطة، تعمل TechVersions كوسيط يُضيف قيمةً إلى سلسلة التسويق بين الشركات. ويتم تزويد العملاء بمعلومات الحملات، التي تُصقل وتُحوّل إلى مواد تسويقية لتوزيعها على السوق المستهدف.

يتم توزيع مواد الحملة التسويقية على العملاء المستهدفين النهائيين من خلال نشرها في وسائل الإعلام المناسبة، وذلك عبر ناشرين خارجيين يقومون بتوليد عملاء محتملين. ويتم توليد جزء من هؤلاء العملاء المحتملين من خلال أنشطة النشر الداخلية واستخدام أدوات تسويق مبتكرة تعتمد على نوايا الشركات، والتي طورها فريق البحث والتطوير في شركة TechVersions.

تتم تصفية العملاء المحتملين الذين يولدهم الناشرون بذكاء لتحسين جودتهم وتحويلهم إلى أهداف تسويقية قابلة للتنفيذ قبل تمريرها إلى العملاء.

طوّرت شركة TechVersions منتجات وعمليات وأنظمة توليد معلومات خاصة بها، تشمل تطوير موردين موثوقين وكوادر مؤهلة، ما يعكس القيمة المضافة التي تقدمها TechVersions لمنظومة التسويق بين الشركات (B2B) عالميًا. ويُعدّ الحفاظ على هذه الخبرة وتنميتها، وتوظيفها لاغتنام الفرص التجارية، مصلحة مشروعة لشركة TechVersions.

يُعلن هذا القانون الخاص بالامتثال للائحة العامة لحماية البيانات (GDPR) الذي اعتمدته شركة TechVersions أن شركة TechVersions ملتزمة بمفهوم "الخصوصية كحق أساسي لمواطن المجتمع الديمقراطي" في جميع أنحاء العالم، وستقوم بحسن نية بتنفيذ جميع مبادئ الخصوصية المنصوص عليها في اللائحة العامة لحماية البيانات (GDPR) حيثما ينطبق ذلك.

ومع ذلك، تكشف شركة TechVersions أن من مصلحتها المشروعة أن تمارس نشاطًا تجاريًا مشروعًا في جميع أنحاء العالم كوسيط في سوق B2B، وأن من حقها الديمقراطي أن تمارس أعمالها بحسن نية دون أن تتعارض مع حقوق الأفراد الطبيعيين الذين تسعى حماية خصوصيتهم بموجب اللائحة العامة لحماية البيانات (GDPR).

كما تكشف TechVersions أن نموذج أعمالها يتطلب جمع بيانات الكيانات التجارية التي تقع خارج نطاق اللائحة العامة لحماية البيانات (GDPR) وبيانات الاتصال التجارية التي لا تعتبر بيانات شخصية ولكنها قد تتضمن معلومات تعريف شخصية جزئيًا ولكنها لا تشمل البيانات الشخصية للأطفال والبيانات الشخصية المصنفة على أنها "فئات خاصة" بموجب اللائحة العامة لحماية البيانات (GDPR).

التعرض للائحة العامة لحماية البيانات

تُعدّ TechVersionsGroup وسيطًا تسويقيًا بين الشركات (B2B) يعمل على مستوى العالم، حيث يُولّد عملاء محتملين ويُقدّم خدماته لعملاء في العديد من البلدان. ​​لا تعمل TechVersions في سوق المستهلكين، وبالتالي لا تجمع معلومات شخصية عن الأفراد في الاتحاد الأوروبي، سواءً بشكل مباشر أو غير مباشر. تندرج البيانات التي تجمعها TechVersions عمومًا ضمن فئة بيانات الاتصال الخاصة بموظفي الشركات، والتي تتضمن، من بين أمور أخرى، الاسم والبريد الإلكتروني ورقم الهاتف الخاص بالعمل.

يتم توليد جزء من عملاء التسويق بين الشركات في دول الاتحاد الأوروبي والمملكة المتحدة. وقد يستفيد بعض العملاء المقيمين في الاتحاد الأوروبي والمملكة المتحدة من خدمات TechVersions. حاليًا، تتركز غالبية التفاعلات مع العملاء في الولايات المتحدة، بينما تتركز غالبية التفاعلات مع شركاء توليد العملاء المحتملين في الهند.

وبالتالي يتم الاعتراف بتعرض TechVersions للائحة العامة لحماية البيانات (GDPR) عند جمع بيانات الاتصال التجارية من المؤسسات التجارية العاملة في مناطق الاتحاد الأوروبي/المملكة المتحدة.

نهج الامتثال للائحة العامة لحماية البيانات (GDPR)

من أجل تمكين تطبيق معيار صارم قدر الإمكان على معالجة البيانات المعرضة لمخاطر الامتثال للائحة العامة لحماية البيانات (GDPR)، تتبنى TechVersions سياسة للتعامل مع البيانات الحساسة للائحة العامة لحماية البيانات (GSD) على أنها "بيانات حساسة" تتدفق عبر موارد TechVersions عن طريق وضع علامة مناسبة على البيانات الواردة لتصنيفها على أنها بيانات حساسة للائحة العامة لحماية البيانات (GSD) عند الاقتضاء.

تم أخذ حماية خصوصية أصحاب البيانات وأمن المعلومات المتعلقة بحماية الخصوصية فيما يتعلق بالبيانات الموسومة بـ GSD في الاعتبار عند تصميم هيكل الدعم.

على الرغم من أن البيانات تتم معالجتها في مواقع محددة وأن البنية التحتية التقنية لمعالجة البيانات العامة موجودة في تلك المواقع المحددة، فقد تم إنشاء وعي على مستوى المؤسسة بشأن اللائحة العامة لحماية البيانات وسيستمر السعي لتحقيقه بحيث تتغلغل مبادئ مدونة قواعد السلوك هذه في جميع أنحاء المؤسسة بما يتجاوز معالجة البيانات العامة ليشمل وظائف التسويق والمالية والإدارية التي قد تتواجد في مواقع مختلفة ببنيتها التحتية التقنية والإدارية الخاصة بها.

من أجل تطبيق الأمن بشكل فعال على البنية التحتية لمعالجة البيانات بأكملها، اعتمدت الشركة سياسة شاملة لأمن المعلومات تتضمن سياسات فرعية متعددة تتعلق بالوصول إلى البيانات ومعالجتها وتخزينها ونقلها وما إلى ذلك.

التزام الخصوصية

تُدرك شركة TechVersions أن "الخصوصية" حق ديمقراطي أساسي في المجتمع المدني. وبصفتها كيانًا مؤسسيًا مسؤولًا، تلتزم TechVersions بحماية خصوصية جميع الأفراد الذين تُخزَّن بياناتهم الشخصية في مستودع بيانات الشركة لأغراض المعالجة.

نظراً لوجود عملاء في الاتحاد الأوروبي/المملكة المتحدة ومراقبة أنشطة موظفي الشركات المقيمين في الاتحاد الأوروبي/المملكة المتحدة، فقد اختارت TechVersions اعتماد معايير الامتثال للائحة العامة لحماية البيانات (GDPR) لحماية خصوصية جميع الأشخاص الطبيعيين الذين قد يتفاعلون مع المجموعة حتى لو كان هذا التفاعل فقط بصفتهم موظفين في كيانات تجارية مختلفة يسعون لتحقيق أهداف أعمال مؤسساتهم التجارية المعنية.

المصلحة المشروعة

تتمثل المهمة الأساسية لشركة TechVersions في معالجة البيانات المتعلقة بشراء مختلف المنتجات للاستخدام المؤسسي. ويشمل نطاق هذه المهمة جمع البيانات، وتجميعها، وتحليلها، وتصنيفها، ومراقبة نوايا العملاء. وفي سياق هذه المعالجة، تُضيف TechVersions قيمةً إلى البيانات الأولية التي يتم جمعها من بيئة الأعمال، وتحولها إلى معلومات قيّمة تُسهم في دعم اتخاذ القرارات التجارية.

تُعتبر البيانات الأولية التي يتم جمعها بياناتٍ تخص صاحب البيانات، وتخضع لحقوقه بموجب اللائحة العامة لحماية البيانات (GDPR). أما القيمة المضافة إلى البيانات، والتي تحدث أثناء عملية المعالجة، فتنشأ من قدرات معالجة البيانات الخاصة بشركة TechVersions، والتي تمتلك الشركة بموجبها مستوىً معيناً من حقوق الملكية الفكرية.

في حال تمّ إخفاء هوية أي بيانات، تُعتبر البيانات المُخفاة ذات القيمة المضافة بياناتٍ يحق لشركة TechVersions استخدامها لأغراض بحثية إضافية. أما البيانات غير المُخفاة، حتى في حالتها ذات القيمة المضافة، فتخضع لممارسة حقوق أصحاب البيانات، كحق الوصول والتصحيح والتقييد والنقل والمحو. ولن تُصنّف البيانات المُخفاة، إن وُجدت، ضمن البيانات الحساسة للائحة العامة لحماية البيانات (GDPR).

تمتلك شركة TechVersions مصلحة تجارية مشروعة، كما هو معترف به بموجب المادة 6(1)(و) من لوائح حماية البيانات العامة للاتحاد الأوروبي، في جمع ومعالجة البيانات المتعلقة بالأعمال التجارية مثل البيانات الديموغرافية للشركات وبيانات الاتصال الخاصة بمسؤولي صنع القرار في الكيانات التجارية.

كما أن أعمال شركة TechVersions تشمل عمليات داخل وخارج دول الاتحاد الأوروبي، وبالتالي فهي معرضة للالتزامات القانونية للدول المختلفة المتعلقة بمعالجة البيانات، فضلاً عن القوانين الأخرى المطبقة على الأعمال التجارية بشكل عام والأنشطة المتعلقة بتكنولوجيا المعلومات بشكل خاص، كما هو منصوص عليه في المادة 6 (1) (ج) من لوائح الاتحاد الأوروبي بشأن حماية البيانات العامة.

علاوة على ذلك، اعتمدت شركة TechVersions ممارسات تجارية للمعالجة القانونية تتضمن مبادئ اللائحة العامة لحماية البيانات في الاتحاد الأوروبي كما هو منصوص عليه في المادة 6، بما في ذلك الحصول على موافقة صريحة مستنيرة عند الاقتضاء والالتزام بمتطلبات الالتزامات التعاقدية مع أصحاب البيانات إن وجدت.

وبالتالي، فإن سياسات TechVersions بشأن الخصوصية وحماية البيانات مصممة بضوابط محددة للخصوصية وأمن المعلومات تعالج مسألة تحديد البيانات الحساسة للائحة العامة لحماية البيانات في مرحلة نشأتها ودخولها إلى نظام TechVersions ووضع علامات عليها طوال دورة حياتها للمعالجة.

توسيع نطاق الامتثال ليشمل النظام البيئي لمعالجة البيانات

علاوة على ذلك، وحفاظاً على النية التشريعية لحماية الحق الأساسي في خصوصية الأفراد، المنصوص عليه في اللائحة العامة لحماية البيانات في الاتحاد الأوروبي، يتم الحفاظ على الضوابط الفنية والتنظيمية/الإدارية المناسبة لضمان امتثال جميع شركاء الأعمال في المراحل اللاحقة الذين قد يتمكنون من الوصول إلى البيانات الحساسة للائحة العامة لحماية البيانات لمعالجتها نيابة عن TechVersions للائحة العامة لحماية البيانات.

تُقرّ شركة TechVersions بأنها، في معظم عملياتها، ليست "متحكماً بالبيانات" بل "معالجاً للبيانات" لأغراض اللائحة العامة لحماية البيانات (GDPR). ويجوز لها أن تتولى دور "متحكم مشترك" عند استخدامها خدمات مقاولين فرعيين في أي جزء من عمليات المعالجة.

مع مراعاة هذه الأدوار، تم تصميم سياسات وضوابط TechVersions لضمان الامتثال للائحة العامة لحماية البيانات (GDPR)، بما في ذلك الحفاظ على الضوابط الفنية والتنظيمية/الإدارية المناسبة لإبقاء نفسها على اطلاع دائم بأنشطة الامتثال للائحة العامة لحماية البيانات (GDPR) لشركائها التجاريين، وكذلك مشاركة تدابير الامتثال الخاصة بـ TechVersions للائحة العامة لحماية البيانات (GDPR) معهم حسب الضرورة.

قيود هذه الوثيقة

توضح الفقرات التالية السياسة العامة لشركة TechVersions فيما يتعلق بالامتثال للائحة العامة لحماية البيانات (GDPR) على مستوى الشركة، مع تسليط الضوء على نهج TechVersions في تحقيق مستوى مرضٍ من الامتثال لمبادئ اللائحة العامة لحماية البيانات في عملياتها.

تهدف وثيقة السياسة هذه إلى مشاركتها بشكل محدود مع أصحاب المصلحة بما في ذلك الكيانات التجارية خارج TechVersions، وبالتالي فهي تستثني المعلومات السرية المتعلقة بالمعالجة حيث يكون من الضروري حماية الملكية الفكرية للمنظمة.

أي طلب للكشف عن معلومات تتجاوز ما هو مذكور هنا سيتم التعامل معه بموجب سياسة الكشف عن البيانات الخاصة بـ TechVersions، ويمكن توجيه هذه الطلبات إلى مدير الخصوصية من خلال بريد إلكتروني موثق غير موثوق به.

الجزء ب: الخطوط العريضة للسياسات المحددة

1. المسؤولية الموكلة

عيّنت شركة TechVersions مديرًا للخصوصية ليكون جهة الاتصال المسؤولة عن معالجة جميع طلبات وشكاوى أصحاب البيانات. ونظرًا لمستوى المخاطر الحالية التي تتعرض لها البيانات الحساسة بموجب اللائحة العامة لحماية البيانات (GDPR) في TechVersions، يُعتبر أن نشاطها الأساسي لا يتضمن مراقبة واسعة النطاق ومنهجية لبيانات الأفراد في الاتحاد الأوروبي، ولا تقديم أي خدمات لهم، وبالتالي لا يوجد ما يستدعي تعيين "مسؤول حماية البيانات" كما هو منصوص عليه في اللائحة العامة لحماية البيانات.

ستتولى لجنة حوكمة أمن المعلومات (ISGC) المسؤولية العامة عن أمن المعلومات، بما في ذلك الامتثال للائحة العامة لحماية البيانات (GDPR). وستكون هذه اللجنة الهيئة العليا لوضع السياسات في TechVersions، والمسؤولة عن وضع جميع سياسات أمن المعلومات، بما في ذلك سياسة اللائحة العامة لحماية البيانات، وستراقب الحاجة إلى تعيين أي شخص أو مستشار كمسؤول عن حماية البيانات في الوقت المناسب.

2. تصنيف البيانات

لا تُمارس TechVersions التسويق لأي أفراد طبيعيين، وبالتالي لا تجمع عادةً بيانات تعريفية شخصية تخضع لأحكام اللائحة العامة لحماية البيانات (GDPR). مع ذلك، تُصنّف جميع البيانات الشخصية التي قد تُعرّف بالهوية، مثل عنوان البريد الإلكتروني ورقم الهاتف الخاص بموظف في مؤسسة ما، على أنها "حساسة بموجب اللائحة العامة لحماية البيانات" إذا كان من المعروف أن وحدة العمل أو الموظف موجود في الاتحاد الأوروبي أو المملكة المتحدة.

وبناءً على ذلك، يتم تحديد مجموعة بيانات الاتصال التجارية الكاملة المرتبطة بعنوان موقع فعلي في الاتحاد الأوروبي/المملكة المتحدة على أنها بيانات حساسة للائحة العامة لحماية البيانات (GSD) ويتم وضع علامة عليها أثناء المعالجة اللاحقة داخل المؤسسة.

في حالة عدم توفر معلومات الموقع الفعلي لصاحب البيانات، سيتم اعتبار الموقع الفعلي للمنظمة التجارية المرتبطة به ذا صلة.

3. تدقيق البيانات

مرة واحدة قبل 25 مايو 2018 وبعد ذلك على فترات شهرية أو على النحو الذي تحدده ISGC، سيتم التحقق من مجموعات البيانات المخزنة لتحديد أي GSD والتحقق من متطلبات الامتثال المرتبطة بها مثل ما إذا كانت البيانات بحاجة إلى أرشفة أو حذف أو تأمينها بشكل خاص.

أي مجموعة بيانات GSD لا يصاحبها "موافقة" أو "مذكرة مصلحة مشروعة" مناسبة، سيتم التوصية بحذفها.
وعند التأكيد، سيتم حذف هذه البيانات بشكل نهائي.

4. تقييم أثر اللائحة العامة لحماية البيانات

تم إجراء تقييم للفجوات المتعلقة باللائحة العامة لحماية البيانات (GDPR) وتم تنفيذ الإجراءات التصحيحية حسب الاقتضاء قبل 25 مايو 2018. بعد 25 مايو 2018، سيتم إجراء تقييم لأثر حماية البيانات (DPIA) كلما تم تنفيذ مشروع جديد هام، وذلك عندما يحدد مركز ISGC الضرورة.

5. سياسة قبول الأعمال الجديدة

اعتبارًا من 25 مايو 2018، ستخضع جميع التزامات الأعمال الجديدة التي تتضمن معالجة البيانات لموافقة ISGC مع تقديم مذكرة تقييم أثر اللائحة العامة لحماية البيانات (GDPR) من قبل مسؤول حماية البيانات بالتشاور مع الفريق الفني المسؤول عن المعالجة.

6. سياسة تخزين بيانات GSD

يجب تخزين البيانات الجغرافية المكانية في أنظمة لا يمكن الوصول إليها إلا من قبل أشخاص معينين على أساس "الحاجة إلى المعرفة" الصارم.

يجب أن يتم وضع علامة على كل مجموعة بيانات GSD بمراقب البيانات الذي تم الحصول عليها منه والذي يتحمل مسؤولية جمع البيانات بموجب الموافقة أو العقد.

يجب أيضاً وضع علامة على مجموعة البيانات هذه بأي قيود محددة مرتبطة بها.

يجب أن يتيح تخزين البيانات تحديد موقع مجموعة البيانات الفردية ومعالجتها لتنفيذ أي من حقوق صاحب البيانات مثل طلب تصحيح البيانات أو نقل البيانات أو محو البيانات أو الوصول إلى البيانات في أي وقت خلال دورة حياتها.

7. سياسة الوصول إلى بيانات GSD

يُتاح الوصول إلى نظام إدارة البيانات العالمي (GSD) وفقًا لسياسة التحكم في الوصول، التي تضمن أن يكون لكل مجموعة بيانات في نظام إدارة البيانات العالمي معايير وصول محددة، تُحدد هذه المعايير من يمكنه الوصول إلى البيانات وكيفية الوصول إليها. ويُسمح فقط للعاملين المُعينين ضمن فريق عمل نظام إدارة البيانات العالمي بالوصول إلى مجموعة البيانات.

يجب تحديد استخدام معلمات الوصول مثل كلمات المرور بدرجة من التعقيد والتفرد حسب الحاجة، واستكمالها بالتشفير وعلامات تعريف الجهاز بحيث لا يمكن الوصول إلى بيانات GSD إلا من أجهزة محددة مخصصة لقوة العمل المصرح لها في GSD.

عندما يتم تخزين البيانات على السحابة، يجب استخدام خدمات السحابة المتوافقة مع اللائحة العامة لحماية البيانات (GDPR) فقط، بالإضافة إلى ضوابط إضافية حسب الحاجة لضمان حماية البيانات المخزنة والمنقولة من الوصول غير المصرح به.

يجب تخزين البيانات الجغرافية الخاصة بكل مشروع بطريقة تضمن وصول الموظفين المرتبطين بذلك المشروع فقط إلى هذه البيانات. أما الوصول بين المشاريع فيتم تنظيمه حسب الحاجة.

8. سياسة الاحتفاظ ببيانات GSD

يُحتفظ ببيانات GSD في بيئة معالجة نشطة فقط لأقصر فترة زمنية لازمة للمعالجة. بعد ذلك، تُؤرشف البيانات بشكل آمن وفقًا للمتطلبات المحددة بموجب المصلحة المشروعة، على سبيل المثال حتى اكتمال دورة فوترة المشروع.

بعد ذلك، سيتم حفظ البيانات في أرشيف آمن أو إتلافها وفقًا لمتطلبات المصلحة المشروعة المحددة للشركة.

سيتم إجراء مراجعة شهرية للبيانات المؤرشفة لتحديد البيانات التي لم تعد مطلوبة والتي سيتم إحالتها إلى ISGC للحصول على تعليمات التخلص منها.

يجب أخذ الالتزامات القانونية المتعلقة بالاحتفاظ بالبيانات والتي قد تنشأ بسبب أي تشريعات متداخلة في الاعتبار عند تقييم المصلحة المشروعة.

9. سياسة الكشف عن بيانات GSD

عادةً ما يتم تلقي أي طلب للكشف عن بيانات GSD فقط من مراقب البيانات المصدر.

من المسلم به أن الطلبات الواردة مباشرة من أصحاب البيانات معرضة لخطر التصيد الاحتيالي، ويجب إحالة هذه الطلبات، إن وجدت، إلى مراقب البيانات المقابل الذي جمع البيانات من صاحب البيانات بموجب الموافقة أو العقد الذي قد يكون موجودًا بينهما.

لا يتم إرسال البيانات المراد الكشف عنها إلا إلى مراقب البيانات لنقلها إلى صاحب البيانات بعد التحقق بشكل صحيح من هوية ممثل مراقب البيانات الذي يقدم الطلب.

في الظروف الاستثنائية التي تتطلب الكشف عن البيانات مباشرة إما لصاحب البيانات أو ممثله المعتمد أو لسلطة إنفاذ القانون، يجب ضمان التحقق الكافي من هوية الشخص الذي يقدم الطلب.

يجب أن تتم الموافقة على جميع طلبات الكشف عن البيانات من قبل ISGC قبل إصدار البيانات، ويجب اعتبار الطلب بالإضافة إلى وثائق التقييم بمثابة وثائق الامتثال المطلوبة للائحة العامة لحماية البيانات (GDPR).

10. سياسة إدارة حوادث بيانات GSD

يُعتبر "الحادث" بموجب هذا القانون أي ملاحظة لديها القدرة على الإشارة إلى انتهاك قانون الامتثال لـ GSD أو أي سياسات أو إجراءات بموجبه، سواء كان هناك اشتباه في اختراق أي بيانات أم لا.

يمكن استخدام سياسة الإبلاغ عن المخالفات لضمان الإبلاغ الفوري عن الحوادث من قبل أي مراقب سواء داخل الشركة أو خارجها.

أي حادث من هذا القبيل يصل إلى علم TechVersions سيتم تسجيله في سجل إدارة الحوادث GSD وإحالته إلى مسؤول حماية البيانات لاتخاذ إجراء فوري.

يتعين على مسؤول حماية البيانات مراجعة تقرير الحادث واتخاذ خطوات فورية لحل الحادث وكذلك إبلاغ مركز إدارة أمن المعلومات (ISGC) بالحادث.

ستعقد لجنة أمن نظم المعلومات اجتماعًا عاجلًا لتقييم الحادث وتحديد ما إذا كان ينطوي على أي خرق مشتبه به للبيانات. وعند الضرورة، قد تأمر اللجنة بإجراء تدقيق تقني قانوني فوري لتقييم مخاطر الحادث. وبناءً على تقييم المخاطر، ستقرر اللجنة الحاجة إلى اتخاذ مزيد من الإجراءات، بما في ذلك إرسال إشعار بخرق البيانات إلى مراقب البيانات المرتبط بالبيانات.

يُعتبر أي حادث وصول موظف آخر في المؤسسة إلى نظام إدارة البيانات العالمي (GSD) حادثًا أمنيًا، وليس بالضرورة "اختراقًا". ومع ذلك، يجب التحقيق في مثل هذه الحوادث لمعرفة سبب الوصول غير المصرح به، وإذا كان وصولًا عرضيًا غير مقصود، فيمكن حله بإجراء تأديبي داخلي مناسب وفقًا لسياسة الموارد البشرية. أما إذا لم يتم نقل البيانات إلى خارج المؤسسة أو الوصول إليها من قِبل طرف خارجي، فيمكن تصنيف الحادث على أنه حادث بيانات داخلي لا يرقى إلى مستوى الاختراق.

في حالة كان من المعروف أن الوصول أو البيانات المنقولة كانت في شكل مشفر وكانت في حالة لا يمكن للمستلم فك تشفيرها، ورهناً بإجراء تحقيق داخلي مناسب بشأن أمان مفتاح فك التشفير المرتبط، يمكن تصنيف الوصول على أنه حادث بيانات داخلي لا يرقى إلى مستوى الاختراق.

11. سياسة الإبلاغ عن اختراقات البيانات في GSD

حادثة "اختراق البيانات" هي حادثة توصلت فيها شركة TechVersions، بعد إجراء التحقيقات اللازمة، إلى معرفة أن الوصول إلى أي مجموعة بيانات محددة ضمن GSD قد تم اختراقه وأن كيانًا خارجيًا قد تمكن من الوصول إلى مجموعة GSD أو إرسالها.

يجب الإبلاغ فوراً عن حادثة اختراق البيانات هذه إلى ISGC الذي يقوم بدوره بإخطار مراقب البيانات المرتبط بمجموعة البيانات دون مزيد من التأخير، بالإضافة إلى التفاصيل ذات الصلة بالحادثة.

يجب أن يحدد هذا التقرير طبيعة ومدى الاختراق، ووقت وتاريخ الاختراق، وتفاصيل أصحاب البيانات المتضررين، والإجراءات المتخذة عند الإبلاغ عن الاختراق، وما إلى ذلك. وعند الضرورة، يمكن أيضًا الإبلاغ عن اختراق البيانات إلى سلطة إشرافية.

12. سياسة إدارة حقوق أصحاب البيانات في GSD

لقد قام نظام معالجة البيانات TechVersions بتضمين "الخصوصية والأمان بالتصميم" لتمكين الامتثال لمتطلبات اللائحة العامة لحماية البيانات (GDPR)، لا سيما فيما يتعلق بحقوق صاحب البيانات المنصوص عليها في اللائحة العامة لحماية البيانات.

من أجل تلبية حقوق صاحب البيانات هذه مثل "الوصول" و"التصحيح" و"المحو" و"قابلية النقل" والحق في فرض "القيود"، قامت TechVersions بتمكين أنظمة تخزين GSD والوصول إليها بطريقة تسمح باستخراج مجموعة بيانات تخص صاحب بيانات محدد ومعالجتها بشكل منفصل.

لذلك تم تصميم النظام ليكون متوافقًا مع أكثر متطلبات اللائحة العامة لحماية البيانات صرامة.

عندما يتم تلقي طلب لممارسة هذه الحقوق من صاحب البيانات، وفقًا لسياسة الكشف عن البيانات، يتم التحقق من صحة الطلب أولاً، ثم في حالة استلام البيانات من مراقب البيانات، سيُطلب من مراقب البيانات تأكيد الكشف عن البيانات.

في العادة، تتم معالجة الطلب بالتواصل مع وحدة التحكم في البيانات، وإذا كان سيتم نقله، فإنه يُعاد إلى وحدة التحكم في البيانات.

في الظروف الاستثنائية التي يتعين فيها على TechVersions التعامل مع طلب صاحب البيانات دون تعاون مراقب البيانات، سيتم اتخاذ الاحتياطات المناسبة لمنع الإفصاح غير المشروع، حيث سيكون من مصلحة TechVersions المشروعة الحصول على تعويض ضد أي إفصاح غير مشروع محتمل.

13. سياسة نقل بيانات GSD

قد تتدفق بيانات GSD عادةً إلى النظام عبر واجهة تطبيق (API). ويتم الوصول إلى هذه الواجهة من خلال نظام وصول آمن بكلمة مرور، معزز بمصادقة ثنائية مناسبة عند تحديد مخاطر GSD كبيرة.

يتم نقل البيانات على أساس التشفير، ويخضع ذلك لإدارة أمن النقل التي تغطي الثغرات الأمنية المعروفة.

يتم تأمين التطبيق نفسه، بالإضافة إلى عناصر التخزين والمعالجة الخاصة به وواجهة برمجة التطبيقات (API)، ضد الوصول غير المصرح به والهجمات الخبيثة بواسطة نظام مناسب لإدارة البرامج الضارة والوصول الآمن.

عندما يتم إرسال مجموعة GSD إلى العميل أو المقاول من الباطن أيضًا، تتم إدارة الإرسال من خلال قنوات اتصال مشفرة إما من خلال واجهة برمجة التطبيقات أو البريد الإلكتروني المشفر.

14. سياسة استخدام التسويق لشركة GSD

عندما تستخدم TechVersions نظام GSD لأي غرض تسويقي سواء عبر البريد الإلكتروني أو الاتصال الهاتفي أو غير ذلك، يتم الحرص على ضمان وجود موافقة أو عقد مناسب لتمكين هذا الاتصال.

وتصر شركة TechVersions أيضًا على أن شركائها، سواء كانوا من مولدي العملاء المحتملين أو معالجي التعاقد من الباطن أو العملاء، لا يستخدمون GSD إلا وفقًا للأذونات المتاحة.

في حالة عدم توفر موافقة صريحة، لا يتم جمع بيانات الاتصال الخاصة بالعمل من مولدي العملاء المحتملين أو تمريرها إلى العملاء أو معالجتها من خلال المقاولين من الباطن.

يتم التخلص من هذه البيانات في المقام الأول عند دخولها إلى نظام TechVersions وتحديدها على أنها "بيانات غير مصرح بمعالجتها بشكل صحيح".

15. سياسة الموافقة الخاصة بـ GSD

لا تُقبل جميع المعلومات المصنفة على أنها بيانات عامة (GSD) بحكم وجود صاحب البيانات في الاتحاد الأوروبي/المملكة المتحدة أو وجود صاحب العمل في الاتحاد الأوروبي/المملكة المتحدة إلا إذا قدم صاحب البيانات موافقة صريحة بناءً على الشكل المطلوب بموجب اللائحة العامة لحماية البيانات (GDPR).

قبل تطبيق اللائحة العامة لحماية البيانات (GDPR)، كانت هذه الموافقات تُجمع عادةً وفقًا لمبادئ معالجة البيانات الشخصية التي تتضمن إشعارًا بالخصوصية. وكان هذا الإشعار يوضح المعلومات التي يتم جمعها، والغرض من جمعها، ومدة الاحتفاظ بها، وكيفية تأمينها، ومدى دقتها، وما إذا كانت ستُنقل خارج الاتحاد الأوروبي للمعالجة، وما إلى ذلك. وكانت بعض هذه الموافقات تعتمد على مبدأ "الموافقة الصريحة" كإعداد افتراضي.

بموجب اللائحة العامة لحماية البيانات (GDPR)، من الضروري جمع البيانات الشخصية فقط على أساس موافقة صريحة حيث يكون "إلغاء الاشتراك" هو الخيار الافتراضي وفقط على أساس إجراء إيجابي يشير إلى القبول، سيتم قبول الموافقة.

بالإضافة إلى ذلك، يجب أن يشير إشعار الخصوصية أيضًا إلى أن صاحب البيانات لديه حقوق معينة مثل "الحق في أن يتم إبلاغه بهوية المعالجات اللاحقة"، و"الحق في الوصول والتصحيح"، و"الحق في النقل والمحو".

في ضوء المتطلبات الجديدة، سيتم اعتبار جميع الموافقات التي تم الحصول عليها في شكل ما قبل اللائحة العامة لحماية البيانات (GDPR) غير صالحة، وسيتم التخلص من هذه البيانات بواسطة TechVersions.

يتعين على الناشرين الخارجيين الذين يقومون بتوليد العملاء المحتملين لـ TechVersions التأكيد من خلال عقودهم على أنهم سيقدمون فقط العملاء المحتملين الذين تم توليدهم باستخدام نموذج الموافقة الجديد في حالة وجود صاحب البيانات في الاتحاد الأوروبي / المملكة المتحدة.

16. سياسة التواصل مع أصحاب المصلحة في GSD

تعمل شركة TechVersions من خلال العديد من المنظمات الخارجية التي تُعتبر جهات معنية ببرنامج امتثال TechVersions للائحة العامة لحماية البيانات (GDPR). وتشمل هذه المنظمات عملاء الشركة، ومولدي العملاء المحتملين، والمقاولين من الباطن، وغيرهم.

لضمان الامتثال الفعال، لا ينبغي تبادل بيانات GSD في أي اتصال مع أصحاب المصلحة إلا من خلال نقل آمن وللممثلين المعتمدين فقط.

بينما يتم التحكم في الاتصال عبر واجهة برمجة التطبيقات (API) من خلال سياسة الوصول، يجب التحكم في أي اتصال آخر عبر البريد الإلكتروني من خلال سياسة الاتصال عبر البريد الإلكتروني.

بشكل أساسي، يجب أن تحدد سياسة الاتصال عبر البريد الإلكتروني أن مشاركة أي معلومات تتعلق بالامتثال لـ GSD أو GDPR مع أحد أصحاب المصلحة يجب أن تتم فقط من خلال عنوان بريد إلكتروني مُبلغ عنه، والذي سيكون في معظم الحالات مسؤول حماية البيانات في المنظمة الأخرى، وعند الضرورة، يمكن تشفير الاتصال عبر البريد الإلكتروني والتحقق منه باستخدام توقيع رقمي.

17. سياسة تحديد المصالح المشروعة لـ GSD

تدرك شركة TechVersions أن بعض حقوق أصحاب البيانات مثل محو البيانات أو تصحيح البيانات قد تتعارض مع متطلبات المصلحة المشروعة لشركة TechVersions أو قد تتعارض مع قوانين الاحتفاظ بالبيانات التي قد تكون سارية على البيانات في ضوء الالتزامات التشريعية الأخرى.

في جميع حالات تطبيق حقوق أصحاب البيانات، ستقوم شركة TechVersions بتقييم الطلب قبل اتخاذ أي إجراء إضافي. وفي حال رأت الشركة ضرورة رفض الطلب أو تعديله للقبول، فسيتم توثيق الأسباب وإعداد مذكرة مصلحة مشروعة من قبل لجنة أمن نظم المعلومات.

في الحالات التي لا يُشترط فيها أن تكون البيانات نشطة، يمكن أرشفة البيانات بشكل آمن حتى انتهاء المصلحة المشروعة.

يجب إبلاغ مراقب البيانات المسؤول عن صاحب البيانات بأسباب ممارسة حجة المصلحة المشروعة لمعالجة طلب صاحب البيانات، وذلك لإحالتها إلى صاحب البيانات.

18. سياسة إدارة الأفراد في كلية الدراسات العليا للتصميم

سيتم اعتبار GSD مجموعة بيانات تتطلب اهتمامًا حصريًا وخاصًا من حيث أمن المعلومات أثناء وجودها في عهدة TechVersions.

وبالتالي، سيتم تصنيف البيانات الجغرافية ومعالجتها بشكل مناسب على أساس الحاجة إلى المعرفة من قبل مجموعة من الموظفين المدربين تدريباً خاصاً.

سيتم إدارة هؤلاء الموظفين والأنظمة التي سيتم فيها تخزين البيانات العامة والوصول إليها ومعالجتها بشكل آمن مع مراعاة مستوى المخاطر المرتبطة بالبيانات العامة.

يتم إدارة تعيين الأشخاص لهذه المعالجة في نظام GSD وإزالتهم من خلال التدابير الأمنية المناسبة بما في ذلك مستوى أعلى من التحقق من الخلفية والتدريب وهويات الوصول المادي وسياسات العقوبات وما إلى ذلك.

يجب تحديث سياسات الموارد البشرية بشكل مناسب لقوى العمل في قسم الخدمات العامة حسب الحاجة.

19. سياسة إخفاء الهوية في GSD

من المسلّم به أن إخفاء الهوية هو استراتيجية لتقليل المخاطر في معالجة مرض تخزين الجليكوجين.

لا تعتبر البيانات الشخصية التي تم إخفاء هويتها "بيانات شخصية" لأغراض تنظيم اللائحة العامة لحماية البيانات (GDPR) شريطة أن تكون عملية إخفاء الهوية منظمة بشكل كافٍ.

بالنظر إلى المستوى الحالي لتعرض عملياتها لمخاطر اللائحة العامة لحماية البيانات؛ لم تعتبر شركة TechVersions من الضروري في الوقت الحالي استخدام إخفاء الهوية كاستراتيجية للتخفيف من المخاطر.

20. سياسة GSD DRP-BCP

تُدرك شركة TechVersions أهمية وجود خطة فعالة للتعافي من الكوارث واستمرارية الأعمال لعملياتها، بما في ذلك العمليات التي تتضمن معالجة GSD.

ستحتفظ شركة TechVersions بنسخة احتياطية كافية من بيانات GSD وقدرة معقولة على الحفاظ على استمرارية الأعمال في حالة حدوث أي طارئ.

21. سياسة توثيق الامتثال لـ GSD

يجب توثيق إجراءات الامتثال للائحة العامة لحماية البيانات (GDPR) بحيث تكون متاحة للمراجعة. ويجب الاحتفاظ بوثائق الامتثال لمدة لا تقل عن ست سنوات من تاريخ إنشائها.

في حال كان أي مستند يمثل دليلاً محتملاً لمتطلبات إنفاذ القانون أو للدفاع عن المصلحة المشروعة لشركة TechVersions، فسيتم الاحتفاظ بهذا المستند طالما استمرت الحاجة إليه.

22. سياسة التدقيق في قسم الخدمات العامة

يقوم فريق التدقيق الأمني ​​الداخلي التابع لشركة TechVersions بتدقيق أصول المعلومات الخاصة بشركة TechVersions مرة واحدة على الأقل في السنة لتقييم مستوى الأمان والامتثال للائحة العامة لحماية البيانات (GDPR) والمتطلبات التنظيمية الأخرى.

يمكن النظر في عمليات التدقيق الخارجية بناءً على تقييم من قبل ISGC كلما حدث تغيير جوهري في ملف تعريف الأعمال.

تحتفظ شركة TechVersions بالحق في إجراء تدقيق لمرافق أي من مقاوليها من الباطن لضمان الامتثال للالتزامات التعاقدية.

مع ذلك، تُقرّ شركة TechVersions بأنّ منح صلاحية تدقيق مرافق المقاول من الباطن هو إجراءٌ تمكيني، ولا يُستخدم إلا في ظروف استثنائية. ولا يُعفي هذا المقاول من الباطن من مسؤوليته في الوفاء بمتطلبات الامتثال من جانبه وفقًا للضمانات التعاقدية المُقدّمة.

23. سياسة معالجة الشكاوى في قسم الخدمات العامة

ستوفر TechVersions سياسة متعددة المستويات لمعالجة الشكاوى، وذلك لحل أي نزاعات قد تنشأ مع أي شخص معني بالبيانات. وستتم معالجة هذه الشكاوى من قبل مسؤول حماية البيانات في المستوى الأول، ولجنة أمن المعلومات في المستوى الثاني، ولجنة حل النزاعات عبر الإنترنت التي أنشأها مجلس الإدارة لهذا الغرض في المستوى الثالث.

أي استفسارات من سلطة الإشراف على اللائحة العامة لحماية البيانات (GDPR) يجب أن تتم معالجتها من قبل مسؤول حماية البيانات (DPO) وإحالتها إلى مركز إدارة أمن المعلومات (ISGC) عند الاقتضاء.

أي نزاعات مع العملاء أو الناشرين أو المقاولين من الباطن يتم التعامل معها وفقًا للاتفاقيات التعاقدية ذات الصلة.

24. سياسة أمن الشبكة

لضمان أمان البنية التحتية لتكنولوجيا المعلومات التي تستخدمها الشركة، ستتبنى شركة TechVersions سياسة أمن معلومات قوية تشمل جدران الحماية وأنظمة كشف التسلل وأنظمة منع البرامج الضارة وتحديثات النظام وما إلى ذلك حسب الحاجة.

يتولى مدير أمن المعلومات المعين مسؤولية صيانة أمن الشبكة.

ملاحظة: هذا القانون قابل للمراجعة من وقت لآخر.