سياسة حفظ وإتلاف البيانات الشخصية

١. المقدمة

١.١ الغرض
سياسة حفظ وإتلاف البيانات الشخصية (“السياسة”)

• اسم/لقب مسؤول البيانات: الأستاذ الدكتور عطا جان

• عنوان مسؤول البيانات: İnönü, Nizamiye Cd. No:9 D:No:1, 34373 Şişli/İstanbul

• هاتف مسؤول البيانات: 0536 576 66 66

• البريد الإلكتروني لمسؤول البيانات: atababay@yahoo.com

• الموقع الإلكتروني لمسؤول البيانات: https://dratacan.com/

تم إعداد هذه السياسة بغرض تحديد المبادئ والإجراءات المتعلقة بالأنشطة الخاصة بحفظ وإتلاف البيانات الشخصية التي يقوم بها مسؤول البيانات.

لقد اعتبرت مؤسستنا أن من أولوياتها معالجة البيانات الشخصية التي نتعامل معها بما يتماشى مع الدستور التركي، والاتفاقيات الدولية، وقانون حماية البيانات الشخصية رقم 6698 (“القانون”) والتشريعات الأخرى ذات الصلة، وضمان الاستخدام الفعّال لحقوق الأفراد المعنيين.

تُنفذ أعمال حفظ وإتلاف البيانات الشخصية وفقًا لهذه السياسة التي أُعدت لهذا الغرض.

١.٢ النطاق
تشمل هذه السياسة بيانات المرضى والمرافقين والموظفين ومرشحي العمل ومقدمي الخدمات، وهي مطبقة على جميع بيئات حفظ البيانات الشخصية التي تديرها مؤسستنا وعلى جميع أنشطة معالجة البيانات الشخصية.

١.٣ الاختصارات والتعاريف
المصطلحات القانونية والفنية المستخدمة في هذه السياسة تعني ما يلي:

• مجموعة المستلمين: فئة الأشخاص الطبيعيين أو الاعتباريين الذين تُنقل إليهم البيانات الشخصية من قبل مسؤول البيانات.

• الموافقة الصريحة: الموافقة المعلنة بإرادة حرة والمبنية على إطلاع مسبق والمتعلقة بموضوع محدد.

• جعل البيانات مجهولة الهوية: عملية جعل البيانات الشخصية غير قابلة للربط بأي شخص طبيعي محدد أو قابل للتحديد حتى وإن تمت مطابقتها مع بيانات أخرى.

• الموظف: موظف المؤسسة.

• EBYS: نظام إدارة الوثائق الإلكترونية.

• البيئة الإلكترونية: البيئات التي يمكن فيها إنشاء البيانات الشخصية وقراءتها وتعديلها وكتابتها باستخدام الأجهزة الإلكترونية.

• البيئة غير الإلكترونية: جميع البيئات المكتوبة والمطبوعة والمرئية وغيرها خارج البيئات الإلكترونية.

• مزود الخدمة: الشخص الطبيعي أو الاعتباري الذي يقدم خدمات لمؤسستنا بموجب عقد محدد.

• الشخص المعني: الشخص الطبيعي الذي تتم معالجة بياناته الشخصية.

• المستخدم المعني: الأشخاص الذين يعالجون البيانات الشخصية داخل تنظيم مسؤول البيانات أو بناءً على تفويض وتعليمات منه باستثناء الشخص أو الوحدة المسؤولة تقنيًا عن تخزين البيانات وحمايتها ونسخها احتياطيًا.

• الإتلاف: حذف البيانات الشخصية أو إتلافها أو جعلها مجهولة الهوية.

• القانون: قانون حماية البيانات الشخصية رقم 6698 بتاريخ ٢٤.٣.٢٠١٦.

• بيئة التسجيل: أي بيئة تحتوي على البيانات الشخصية التي تتم معالجتها كليًا أو جزئيًا بوسائل آلية أو بوسائل غير آلية شريطة أن تكون جزءًا من نظام تسجيل بيانات.

• البيانات الشخصية: جميع المعلومات المتعلقة بشخص طبيعي محدد أو قابل للتحديد.

• جرد معالجة البيانات الشخصية: السجل الذي يُعدّه مسؤولو البيانات استنادًا إلى عملياتهم، ويُفصّل فيه أغراض المعالجة، والأسس القانونية، وفئات البيانات، وفئات الأشخاص، وفترات الاحتفاظ القصوى، ونقل البيانات للخارج، والتدابير الأمنية المتخذة.

• معالجة البيانات الشخصية: أي عملية تُنفذ على البيانات مثل الحصول عليها أو تسجيلها أو تخزينها أو حفظها أو تعديلها أو إعادة تنظيمها أو الإفصاح عنها أو نقلها أو الاستحواذ عليها أو جعلها متاحة أو تصنيفها أو منع استخدامها سواءً بوسائل آلية أو غير آلية شريطة أن تكون جزءًا من نظام تسجيل بيانات.

• المجلس: مجلس حماية البيانات الشخصية.

• البيانات الشخصية ذات الطبيعة الخاصة: بيانات الأشخاص المتعلقة بالعرق أو الأصل العرقي أو الرأي السياسي أو المعتقد الفلسفي أو الدين أو المذهب أو غيره من المعتقدات أو المظهر واللباس أو العضوية في الجمعيات أو المؤسسات أو النقابات أو الصحة أو الحياة الجنسية أو الإدانات الجنائية والتدابير الأمنية بالإضافة إلى البيانات البيومترية والجينية.

• الإتلاف الدوري: عملية الحذف أو الإتلاف أو إخفاء الهوية التي يتم تنفيذها تلقائيًا على فترات متكررة وفقًا لسياسة حفظ وإتلاف البيانات الشخصية عند زوال جميع شروط المعالجة المنصوص عليها في القانون.

• السياسة: سياسة حفظ وإتلاف البيانات الشخصية.

• معالج البيانات: الشخص الطبيعي أو الاعتباري الذي يعالج البيانات الشخصية نيابةً عن مسؤول البيانات بناءً على تفويض منه.

• نظام تسجيل البيانات: النظام الذي تتم فيه معالجة البيانات الشخصية وفق معايير محددة.

• VERBİS: نظام تسجيل مسؤولي البيانات.

• مسؤول البيانات: الشخص الطبيعي أو الاعتباري الذي يحدد أغراض ووسائل معالجة البيانات الشخصية، والمسؤول عن إنشاء وإدارة نظام تسجيل البيانات.

• اللائحة: اللائحة الخاصة بحذف أو إتلاف أو جعل البيانات الشخصية مجهولة الهوية المنشورة في الجريدة الرسمية بتاريخ ٢٨ أكتوبر ٢٠١٧.

• ٢. توضيحات متعلقة بالحفظ والإتلاف
  تُحفظ البيانات الشخصية التي تتم معالجتها من قبل مؤسستنا وفقًا للقانون وتُتلف عند انتهاء فترة الحفظ.

  ٢.١ توضيحات متعلقة بالحفظ
  في المادة ٣ من القانون عُرّف مفهوم معالجة البيانات الشخصية، وفي المادة ٤ نصّ على أن البيانات الشخصية المُعالجة يجب أن تكون مرتبطة بالغرض الذي تمت معالجتها من أجله، ومحدودة ومتناسبة، ويجب حفظها للمدة المنصوص عليها في التشريعات ذات الصلة أو المدة اللازمة للغرض الذي تمت معالجتها من أجله. كما حُددت شروط معالجة البيانات الشخصية في المادتين ٥ و٦.

  وبناءً على ذلك، تُحفظ البيانات الشخصية للمدة المنصوص عليها في التشريعات ذات الصلة أو المدة المناسبة لأغراض معالجتنا.

  ٢.١.١ الأسباب القانونية التي تستوجب حفظ البيانات الشخصية
  تُعالج البيانات الشخصية وتُحفظ في حال تحقق واحد على الأقل من الأسباب القانونية التالية:

  • النص عليها صراحة في القوانين

  • ضرورة معالجة بيانات الأطراف من أجل تنفيذ العقد

  • لزومها للوفاء بالالتزامات القانونية لمسؤول البيانات

  • ضرورة المعالجة من أجل إثبات حق أو استخدامه أو حمايته

  • في حال عدم الإضرار بالحقوق والحريات الأساسية للشخص المعني يمكن معالجة البيانات إذا كان ذلك ضروريًا للمصالح المشروعة لمسؤول البيانات

  • تنفيذ خدمات الطب الوقائي والتشخيص الطبي والعلاج وخدمات الرعاية

  • الحصول على الموافقة الصريحة

  • ٢.١.٢ الأغراض التي تستوجب الحفظ
    تُعالج البيانات الشخصية وتُحفظ للأغراض التالية:

    • إدارة عمليات التقديم للمرشحين للوظائف

    • الوفاء بالالتزامات التعاقدية والتشريعية تجاه الموظفين

    • إدارة عمليات المزايا والحقوق الثانوية للموظفين

    • تنفيذ الأنشطة التدريبية

    • إدارة صلاحيات الوصول

    • تنفيذ الأنشطة بما يتوافق مع التشريعات

    • إدارة الأعمال المالية والمحاسبية

    • ضمان أمن الأماكن المادية

    • إدارة عمليات التكليف

    • متابعة وتنفيذ الإجراءات القانونية

    • إدارة أنشطة التواصل

    • التخطيط لعمليات الموارد البشرية

    • تنفيذ أنشطة الصحة والسلامة المهنية

    • تلقي وتقييم المقترحات المتعلقة بتحسين العمليات

    • إدارة عمليات تقييم الأداء

    • إدارة أنشطة الحفظ والأرشفة

    • إدارة العمليات التعاقدية

    • متابعة الطلبات والشكاوى

    • ضمان أمن المنقولات والموارد

    • ضمان أمن عمليات مسؤول البيانات

    • تزويد الأشخاص والهيئات والمؤسسات المخولة بالمعلومات

    • إدارة الأنشطة الترويجية

    ٢.٢ الأسباب التي تستوجب الإتلاف
    تُتلف البيانات الشخصية في الحالات التالية:

    • تعديل أو إلغاء الأحكام التشريعية التي تُشكل أساسًا لمعالجتها

    • زوال الغرض الذي يستوجب معالجتها أو حفظها

    • في الحالات التي تُعالج فيها البيانات الشخصية فقط استنادًا إلى شرط الموافقة الصريحة وسحب الشخص المعني لهذه الموافقة

    • قبول مؤسستنا طلب الشخص المعني بحذف أو إتلاف بياناته الشخصية وفقًا لحقوقه المنصوص عليها في المادة ١١ من القانون

    • في حال رفض مؤسستنا طلب الشخص المعني بحذف أو إتلاف أو جعل بياناته مجهولة الهوية أو اعتُبر ردّها غير كافٍ أو لم يتم الرد خلال المدة القانونية وتقدّم الشخص بشكوى إلى المجلس وصادق المجلس على هذا الطلب

    • انقضاء الحد الأقصى لفترة الاحتفاظ بالبيانات الشخصية دون وجود مبرر مشروع لاستمرار الحفظ

    في هذه الحالات يتم حذف البيانات أو إتلافها أو جعلها مجهولة الهوية بناءً على طلب الشخص المعني أو تلقائيًا من قبل مؤسستنا.

  • ٣. التدابير التقنية والإدارية
    تُتخذ التدابير التقنية والإدارية اللازمة في إطار الضمانات الكافية التي حددها وأعلنها المجلس بموجب المادة ١٢ من القانون والفقرة الرابعة من المادة ٦ من القانون فيما يتعلق بالبيانات الشخصية ذات الطبيعة الخاصة، وذلك لضمان حفظ البيانات الشخصية بشكل آمن ومنع معالجتها أو الوصول إليها بطرق غير قانونية وضمان إتلافها وفقًا للقانون.

    ٣.١ التدابير التقنية
    التدابير التقنية المتخذة فيما يتعلق بالبيانات الشخصية المعالجة هي كالتالي:

    • يتم توفير أمن الشبكات وأمن التطبيقات.

    • تُتخذ التدابير الأمنية ضمن نطاق شراء وتطوير وصيانة أنظمة تكنولوجيا المعلومات.

    • تُلغى صلاحيات الموظفين الذين تغيّرت مهامهم أو تركوا العمل.

    • تُستخدم أنظمة حديثة لمكافحة الفيروسات.

    • تُستخدم جدران الحماية.

    • تُجرى عمليات تدقيق دورية لصلاحيات الموظفين المخوّلين بالوصول إلى البيانات الشخصية ذات الطبيعة الخاصة.

    • تتم متابعة تحديثات الأمان الخاصة بالبيئات التي توجد فيها البيانات بشكل مستمر، كما تُجرى اختبارات الأمان بشكل دوري وتُسجّل نتائجها.

    • تُجرى اختبارات أمان منتظمة على البرمجيات التي يُستخدم من خلالها الوصول إلى البيانات الشخصية ذات الطبيعة الخاصة وتُسجّل نتائجها.

    • بالنسبة للبيانات المخزنة في البيئة الرقمية تُنفّذ عمليات الحذف أو الإتلاف أو إخفاء الهوية بشكل دوري.

    ٣.٢ التدابير الإدارية
    التدابير الإدارية المتخذة فيما يتعلق بالبيانات الشخصية المعالجة هي كالتالي:

    • وجود لوائح انضباطية للموظفين تتضمن أحكامًا خاصة بأمن البيانات.

    • تنفيذ تدريبات ودراسات توعية دورية للموظفين حول أمن البيانات.

    • إعداد سياسات مؤسسية وتنفيذها بخصوص الوصول وأمن المعلومات والاستخدام والحفظ والإتلاف.

    • توقيع تعهدات بالسرية.

    • إدراج أحكام أمن البيانات ضمن العقود الموقعة.

    • اتخاذ تدابير إضافية للبيانات الشخصية المنقولة ورقيًا وإرسال المستندات بتنسيق “سري”.

    • تحديد سياسات وإجراءات لأمن البيانات الشخصية.

    • الإبلاغ السريع عن مشكلات أمن البيانات الشخصية.

    • متابعة أمن البيانات الشخصية.

    • اتخاذ التدابير الأمنية اللازمة للدخول والخروج من البيئات المادية التي تحتوي على بيانات شخصية.

    • حماية البيئات المادية التي تحتوي على بيانات شخصية ضد المخاطر الخارجية مثل الحرائق والفيضانات.

    • تأمين البيئات التي تحتوي على بيانات شخصية.

    • تقليل البيانات الشخصية إلى الحد الأدنى الممكن.

    • إجراء عمليات تدقيق دورية أو عشوائية داخل المؤسسة أو بتكليف منها.

    • تحديد وتنفيذ بروتوكولات وإجراءات خاصة بأمن البيانات الشخصية ذات الطبيعة الخاصة.

    • إرسال البيانات الشخصية ذات الطبيعة الخاصة عبر البريد الإلكتروني بشكل مشفّر وباستخدام KEP أو الحساب المؤسسي.

    • تحديد صلاحيات ونطاقات وأزمنة وصول المستخدمين المخوّلين بالوصول إلى البيانات الشخصية ذات الطبيعة الخاصة بشكل واضح.

    • استعادة العهدة المخصصة للموظفين الذين تغيّرت مهامهم أو تركوا العمل.

    • إعداد جرد للبيانات الشخصية.

    • تنفيذ عمليات الحذف أو الإتلاف أو إخفاء الهوية بشكل دوري.

    • ٤. فترات الحفظ والإتلاف
      تُدرج فترات الحفظ الخاصة بالبيانات الشخصية التي تتم معالجتها في نطاق أنشطة مؤسستنا ضمن سياسة حفظ وإتلاف البيانات الشخصية.

      يُجرى تحديث هذه الفترات عند الضرورة.

      وبالنسبة للبيانات الشخصية التي انتهت مدة حفظها، تُنفذ عملية الحذف أو الإتلاف أو جعلها مجهولة الهوية تلقائيًا في أول فترة إتلاف دورية تلي انتهاء مدة الحفظ.

      ٤.١ جدول فترات الحفظ

      البيانات المعالجة	فئة الشخص المعني	فترة الحفظ
      بيانات الهوية	الموظف	١٥ سنة بعد انتهاء علاقة العمل الفعالة
      المرشح للوظيفة	لا تُحفظ في حال كانت نتيجة الطلب سلبية
      المريض	٢٠ سنة اعتبارًا من انتهاء العلاج
      المرافق	طوال فترة الخدمة
      مقدمو الخدمات الخارجيون (أشخاص طبيعيون)	١٠ سنوات من انتهاء الخدمة
      بيانات الاتصال	الموظف	١٥ سنة بعد انتهاء علاقة العمل الفعالة
      المرشح للوظيفة	لا تُحفظ في حال كانت نتيجة الطلب سلبية
      المريض	٢٠ سنة اعتبارًا من انتهاء العلاج
      المرافق	طوال فترة الخدمة
      مقدمو الخدمات الخارجيون	١٠ سنوات من انتهاء الخدمة
      البيانات الصحية الشخصية	الموظف	١٥ سنة بعد انتهاء علاقة العمل الفعالة
      المرشح للوظيفة	لا تُحفظ في حال كانت نتيجة الطلب سلبية
      المريض	٢٠ سنة اعتبارًا من انتهاء العلاج
      بيانات الإدانات الجنائية والتدابير الأمنية	الموظف	١٠ سنوات بعد انتهاء علاقة العمل الفعالة
      المرشح للوظيفة	لا تُحفظ في حال كانت نتيجة الطلب سلبية
      الملف الوظيفي	الموظف	١٠ سنوات بعد انتهاء علاقة العمل الفعالة
      المرشح للوظيفة	لا تُحفظ في حال كانت نتيجة الطلب سلبية
      الإجراءات القانونية	الموظف والمريض	١٠ سنوات من انتهاء العملية القانونية
      أمن المعاملات	الموظف والمريض	سنتان
      معاملات العملاء	المريض	٢٠ سنة
      مقدمو الخدمات الخارجيون	١٠ سنوات من انتهاء الخدمة
      المالية	المريض	٢٠ سنة
      الموظف	١٠ سنوات
      تسجيلات الكاميرا	جميع فئات الأشخاص	شهران (٢)
      الخبرة المهنية	الموظف	١٠ سنوات بعد انتهاء علاقة العمل الفعالة
      المرشح للوظيفة	لا تُحفظ في حال كانت نتيجة الطلب سلبية
      التسجيلات المرئية والسمعية	الموظف	١٥ سنة بعد انتهاء علاقة العمل الفعالة
      المريض	٢٠ سنة اعتبارًا من انتهاء العلاج
      المرشح للوظيفة	لا تُحفظ في حال كانت نتيجة الطلب سلبية

      ٤.٢ فترات الإتلاف
      تقوم مؤسستنا، في أول عملية إتلاف دورية تلي التاريخ الذي ينشأ فيه الالتزام بحذف أو إتلاف أو جعل البيانات الشخصية مجهولة الهوية بموجب أحكام القانون واللائحة، بحذف البيانات الشخصية أو إتلافها أو جعلها مجهولة الهوية تلقائيًا وفقًا للأسس والإجراءات المنصوص عليها في هذه السياسة.

      وفي حال تقدّم صاحب البيانات إلينا بطلب وفقًا للأصول لاستخدام حقه في حذف بياناته الشخصية المنصوص عليه في المادة ١٣ من القانون:

      • إذا زالت جميع شروط معالجة البيانات الشخصية؛ تُحذف أو تُتلف أو تُجعل مجهولة الهوية البيانات الشخصية موضوع الطلب خلال ٣٠ (ثلاثين) يومًا من تاريخ استلام الطلب باستخدام طريقة الإتلاف المناسبة.

      • إذا لم تزل جميع شروط معالجة البيانات الشخصية؛ يمكن رفض الطلب مع توضيح أسبابه استنادًا إلى الفقرة الثالثة من المادة ١٣ من القانون، ويُبلّغ صاحب الطلب بالرفض خطيًا أو إلكترونيًا في مدة أقصاها ٣٠ (ثلاثين) يومًا.

      ٥. فترات الإتلاف الدورية
      وفقًا للمادة ١١ من اللائحة، تم تحديد فترة الإتلاف الدورية بستة (٦) أشهر.

      طرق الإتلاف
      عند انتهاء المدة المنصوص عليها في التشريعات ذات الصلة أو المدة اللازمة للغرض الذي تمت معالجتها من أجله، تُتلف البيانات الشخصية إما تلقائيًا أو بناءً على طلب الشخص المعني باستخدام التقنيات المذكورة أدناه ووفقًا لأحكام التشريعات ذات الصلة.

      ٥.١ حذف البيانات الشخصية
      تُحذف البيانات الشخصية بالطرق التالية:

      بيئة تسجيل البيانات – التوضيح

      • البيانات الشخصية الموجودة على الخوادم: تُحذف البيانات الشخصية المخزنة على الخوادم والتي انتهت مدة حفظها عن طريق إزالة صلاحية وصول المستخدمين المعنيين من قبل مدير النظام.

      • البيانات الشخصية الموجودة في البيئة الإلكترونية: تُجعل البيانات الشخصية المخزنة في البيئة الإلكترونية والتي انتهت مدة حفظها غير قابلة للوصول أو الاستخدام مرة أخرى بالنسبة للموظفين (المستخدمين المعنيين) باستثناء مدير قاعدة البيانات.

      • البيانات الشخصية الموجودة في البيئة المادية: تُجعل البيانات الشخصية المخزنة في البيئة المادية والتي انتهت مدة حفظها غير قابلة للوصول أو الاستخدام مرة أخرى بالنسبة للموظفين باستثناء مدير الوحدة المسؤول عن الأرشيف. بالإضافة إلى ذلك، يُطبّق عليها الحجب عبر الشطب/الطلاء/المسح بحيث لا يمكن قراءتها.

      • البيانات الشخصية الموجودة في وسائط التخزين المحمولة: تُشفّر البيانات الشخصية المخزنة في وسائط التخزين المحمولة (Flash) والتي انتهت مدة حفظها، وتُعطى صلاحية الوصول فقط لمدير النظام، وتُحفظ مفاتيح التشفير في بيئات آمنة.

      ٥.٢ إتلاف البيانات الشخصية
      تُتلف البيانات الشخصية بالطرق التالية:

      بيئة تسجيل البيانات – التوضيح

      • البيانات الشخصية الموجودة في البيئة المادية (ورقية): تُتلف البيانات الشخصية المخزنة على الورق والتي انتهت مدة حفظها بشكل لا رجعة فيه باستخدام آلات تمزيق الورق.

      • البيانات الشخصية الموجودة في الوسائط البصرية/المغناطيسية: تُتلف البيانات الشخصية المخزنة في الوسائط البصرية والمغناطيسية والتي انتهت مدة حفظها من خلال إذابتها أو حرقها أو تحويلها إلى مسحوق. بالإضافة إلى ذلك، تمر الوسائط المغناطيسية عبر جهاز خاص يُعرّضها لمجال مغناطيسي عالي بحيث تصبح البيانات غير قابلة للقراءة.

      • البيانات الشخصية الموجودة في البيئة الرقمية: تُتلف البيانات الشخصية المخزنة في البيئة الرقمية والتي انتهت مدة حفظها بشكل لا رجعة فيه مع جميع سجلات العمليات الخلفية والنسخ الاحتياطية.

      ٥.٣ جعل البيانات الشخصية مجهولة الهوية
      يُقصد بجعل البيانات الشخصية مجهولة الهوية أن تصبح البيانات غير قابلة بأي حال من الأحوال للارتباط بشخص حقيقي محدد أو قابل للتحديد، حتى في حال مقارنتها مع بيانات أخرى.

      ولكي تعتبر البيانات الشخصية مجهولة الهوية؛ يجب ألا يكون من الممكن إعادتها أو ربطها بشخص حقيقي محدد أو قابل للتحديد من قبل مسؤول البيانات أو أي طرف ثالث باستخدام تقنيات مناسبة لبيئة التسجيل أو مجال النشاط.

      تقوم مؤسستنا بعملية جعل البيانات الشخصية مجهولة الهوية بما يتوافق مع المعايير المذكورة أعلاه، وبعد هذه العملية لا يمكن بأي شكل من الأشكال ربط البيانات بشخص حقيقي محدد أو قابل للتحديد.

      ٦. التدابير المتخذة لضمان مشروعية عملية الإتلاف
      تُنفذ عمليات الإتلاف التي تتم تلقائيًا في الفترات الدورية أو بناءً على الطلب وفقًا لأحكام القانون واللائحة وهذه السياسة. وفي هذا الإطار، يتم تطبيق التدابير التقنية والإدارية الموضحة أدناه.

      ٦.١ التدابير التقنية

      • تُبقى صلاحيات وصول موظفي وحدات تكنولوجيا المعلومات إلى البيانات الشخصية تحت السيطرة.

      • تُنفذ عملية إتلاف البيانات الشخصية بطريقة تضمن عدم إمكانية استعادتها وعدم ترك أي أثر للتدقيق.

      ٦.٢ التدابير الإدارية

      • يُقدَّم للموظفين تدريب حول تشريعات حماية البيانات الشخصية، وأمن البيانات، وعمليات الإتلاف.

      • تُراجع عمليات الإتلاف بشكل دوري، ويتم اتخاذ التدابير اللازمة لمعالجة أوجه القصور الأمني المكتشفة.

      ٧. بيئات التسجيل
      تُخزن البيانات الشخصية بما يتوافق مع أحكام القوانين واللوائح والتشريعات الأخرى ذات الصلة. وفي هذا الإطار، تُعرض بيئات تسجيل البيانات الشخصية كما يلي:

      البيئات الإلكترونية

      • الخوادم (نطاق، نسخ احتياطي، بريد إلكتروني، قاعدة بيانات، ويب، مشاركة ملفات، إلخ.)

      • البرمجيات (برنامج Meddata، برمجيات مكتبية، بوابة)

      • أجهزة أمن المعلومات (جدار حماية، أنظمة كشف ومنع التسلل، ملفات السجلات، مضاد الفيروسات، إلخ.)

      • الحواسيب (مكتبية ومحمولة)

      • الأجهزة المحمولة (هواتف، أجهزة لوحية، إلخ.)

      • الأقراص البصرية (CD، DVD، إلخ.)

      • وحدات التخزين المحمولة (USB، بطاقات ذاكرة، إلخ.)

      • الطابعات، الماسحات الضوئية، آلات التصوير، الأجهزة الطبية

      البيئات غير الإلكترونية

      • الورق

      • أنظمة تسجيل البيانات اليدوية

      • الوسائط المكتوبة والمطبوعة والمرئية

      ٨. التدابير المتخذة لأمن البيانات الشخصية
      من أجل ضمان تخزين البيانات الشخصية بشكل آمن، ومنع معالجتها أو الوصول إليها بشكل غير قانوني، وكذلك لضمان إتلافها وفقًا للقانون، تُتخذ التدابير التقنية والإدارية اللازمة ضمن إطار التدابير الكافية التي حددها وأعلنها المجلس وفقًا للمادة ١٢ من القانون والمادة ٦/٤ الخاصة بالبيانات الشخصية ذات الطبيعة الخاصة.

      ٨.١ التدابير التقنية
      تشمل التدابير التقنية المتخذة بخصوص البيانات الشخصية ما يلي:

      • توفير أمن الشبكة وأمن التطبيقات.

      • اتخاذ تدابير الأمان في نطاق شراء وتطوير وصيانة أنظمة تكنولوجيا المعلومات.

      • استخدام أنظمة مضاد الفيروسات المحدثة.

      • استخدام جدران الحماية.

      • تنفيذ عمليات الحذف أو الإتلاف أو جعل البيانات مجهولة الهوية.

      • استخدام برمجيات منع فقدان البيانات.

      ٨.٢ التدابير الإدارية
      تشمل التدابير الإدارية المتخذة بخصوص البيانات الشخصية ما يلي:

      • وجود لوائح انضباطية خاصة بأمن البيانات لموظفينا.

      • تقديم تدريبات دورية للموظفين حول أمن البيانات وزيادة الوعي.

      • إعداد سياسات مؤسسية بخصوص الوصول، أمن المعلومات، الاستخدام، التخزين والإتلاف، وبدء تنفيذها.

      • إلغاء صلاحيات الموظفين الذين غيّروا مناصبهم أو أنهوا عملهم.

      • وضع سياسات وإجراءات محددة لأمن البيانات الشخصية.

      • متابعة أمن البيانات الشخصية بشكل منتظم.

      • اتخاذ التدابير الأمنية اللازمة للدخول والخروج إلى البيئات التي تحتوي على بيانات شخصية.

      • ضمان حماية البيئات المادية التي تحتوي على بيانات شخصية من المخاطر الخارجية (مثل الحريق أو الفيضانات).

      • ضمان أمن البيئات التي تحتوي على بيانات شخصية.

      • تقليل البيانات الشخصية قدر الإمكان.

      • إجراء تدقيقات دورية وعشوائية داخل المؤسسة.

      ٩. العناوين الوظيفية والوحدات وتوزيع المهام
      تشارك جميع الوحدات والموظفين بدعم الوحدات المسؤولة في التطبيق السليم للتدابير التقنية والإدارية ضمن إطار السياسة، وزيادة وعي الموظفين وتدريبهم، ومتابعة ورقابة مستمرة، ومنع المعالجة غير القانونية للبيانات الشخصية، ومنع الوصول غير المشروع إليها، وضمان تخزينها بشكل قانوني.

      توزيع المهام والألقاب للأشخاص المشاركين في عمليات حفظ وإتلاف البيانات الشخصية:

      • الطبيب صاحب العيادة: مسؤول عن ضمان تنفيذ عمليات حفظ وإتلاف البيانات الشخصية وفقًا لهذه السياسة، وضمان التنسيق بين الوحدات، وإجراء الفحوصات اللازمة، وتطوير السياسة، ونشرها في البيئات المعنية وتحديثها.

      • السكرتير/المساعد: مسؤول عن ضمان التزام الموظفين بالسياسة، وإجراء الفحوصات اللازمة، وتنفيذ المهام الأخرى التي يكلفه بها الطبيب صاحب العيادة.

      • كما يكون مسؤولًا عن تقديم الحلول التقنية اللازمة لتنفيذ السياسة.

      ١٠. التحديثات التي أُجريت على السياسة
      قد يتم إجراء تعديلات على سياسة حفظ وإتلاف البيانات الشخصية هذه بسبب تغيّر التشريعات، أو وفقًا لقرارات المجلس، أو استنادًا إلى التطورات في القطاع أو في مجال المعلوماتية. ويتم إدخال التغييرات على النص فورًا، كما تُضاف الشروح المتعلقة بالتغييرات إلى جدول التحديثات المبين أدناه.

      جدول التحديثات
      …………………………. تم وضع سياسة معالجة وإتلاف البيانات الشخصية موضع التنفيذ.

      ١١. الأحكام النهائية
      تم إعداد سياسة حفظ وإتلاف البيانات الشخصية هذه من قبل المسؤول عن البيانات، وتم الإعلان عنها في:

      • الأماكن المناسبة داخل المؤسسة

      • عبر موقعنا الإلكتروني: https://dratacan.com/
        ليتم إبلاغ الأشخاص المعنيين بها.

      Kisisel-Verileri-Saklama-Ve-Imha-Politikasi