سياسة ملفات تعريف الارتباط

1. المقدمة
   1.1 الغرض
   سياسة حفظ وإتلاف البيانات الشخصية (“السياسة”)

• اسم/لقب مسؤول البيانات: الأستاذ الدكتور عطا جان

• عنوان مسؤول البيانات: İnönü, Nizamiye Cd. No:9 D:No:1, 34373 Şişli/İstanbul

• هاتف مسؤول البيانات: 0536 576 66 66

• البريد الإلكتروني لمسؤول البيانات: atababay@yahoo.com

• الموقع الإلكتروني لمسؤول البيانات: https://dratacan.com/

تم إعدادها من أجل تحديد الأصول والقواعد المتعلقة بالأعمال والإجراءات الخاصة بحفظ وإتلاف البيانات الشخصية التي يقوم بها مسؤول البيانات.

لقد حددت شركتنا كأولوية ضمان معالجة البيانات الشخصية التي نقوم بمعالجتها وفقًا للدستور التركي، والاتفاقيات الدولية، وقانون حماية البيانات الشخصية رقم 6698 (“القانون”)، والتشريعات الأخرى ذات الصلة، وضمان الاستخدام الفعّال لحقوق الأشخاص المعنيين، وذلك في إطار مهمتنا ورؤيتنا ومبادئنا الأساسية المتوافقة مع القانون.

تُنفذ أعمال وإجراءات حفظ وإتلاف البيانات الشخصية وفقًا للسياسة المعدة لهذا الغرض.

1.2 النطاق
تشمل هذه السياسة البيانات الشخصية الخاصة بالمرضى والمرافقين والموظفين ومرشحي الموظفين ومقدمي الخدمات، وتنطبق على جميع بيئات التسجيل التي تُعالج فيها البيانات الشخصية التي تديرها شركتنا، وعلى جميع الأنشطة المتعلقة بمعالجة البيانات الشخصية.

1.3 الاختصارات والتعريفات
من المصطلحات القانونية والفنية الواردة في هذه السياسة:

مجموعة المستلمين: فئة الأشخاص الطبيعيين أو الاعتباريين الذين تُنقل إليهم البيانات الشخصية من قبل مسؤول البيانات.
الموافقة الصريحة: الموافقة المعلنة بإرادة حرة والمبنية على إطلاع مسبق والمتعلقة بموضوع محدد.
إخفاء الهوية: عملية جعل البيانات الشخصية غير قابلة للربط بأي شخص طبيعي محدد أو قابل للتحديد، حتى عند مطابقتها مع بيانات أخرى.
الموظف: موظفو المؤسسة.
EBYS: نظام إدارة الوثائق الإلكترونية.
البيئة الإلكترونية: البيئات التي يمكن فيها إنشاء البيانات الشخصية وقراءتها وتغييرها وكتابتها باستخدام الأجهزة الإلكترونية.
البيئة غير الإلكترونية: جميع البيئات الأخرى المكتوبة أو المطبوعة أو المرئية وغيرها خارج البيئات الإلكترونية.
مزود الخدمة: الشخص الطبيعي أو الاعتباري الذي يقدم خدمات لمؤسستنا في إطار عقد محدد.
الشخص المعني: الشخص الطبيعي الذي تتم معالجة بياناته الشخصية.
المستخدم المعني: الأشخاص داخل تنظيم مسؤول البيانات أو الذين يعالجون البيانات الشخصية بناءً على تفويض وتعليمات من مسؤول البيانات، باستثناء الشخص أو الوحدة المسؤولة تقنيًا عن تخزين البيانات وحمايتها ونسخها احتياطيًا.
الإتلاف: حذف البيانات الشخصية أو إتلافها أو جعلها مجهولة الهوية.
القانون: قانون حماية البيانات الشخصية رقم 6698 بتاريخ 24.03.2016.
بيئة التسجيل: أي بيئة تحتوي على البيانات الشخصية التي تتم معالجتها كليًا أو جزئيًا بوسائل آلية أو بوسائل غير آلية شريطة أن تكون جزءًا من نظام تسجيل بيانات.
البيانات الشخصية: جميع المعلومات المتعلقة بشخص طبيعي محدد أو قابل للتحديد.
جرد معالجة البيانات الشخصية: الجرد المفصل الذي ينشئه مسؤولو البيانات وفقًا لعملياتهم، والذي يوضح أنشطة معالجة البيانات الشخصية، وأغراضها وأساسها القانوني، وفئات البيانات، وفئات المستلمين المنقول إليهم البيانات، وفئة الأشخاص موضوع البيانات، وأقصى مدة للاحتفاظ، والبيانات الشخصية المتوقع نقلها إلى دول أجنبية، والتدابير المتخذة لأمن البيانات.
معالجة البيانات الشخصية: أي عملية يتم تنفيذها على البيانات، مثل الحصول عليها كليًا أو جزئيًا بوسائل آلية أو غير آلية شريطة أن تكون جزءًا من نظام تسجيل بيانات، تسجيلها، تخزينها، حفظها، تعديلها، إعادة تنظيمها، الإفصاح عنها، نقلها، الاستحواذ عليها، جعلها متاحة، تصنيفها أو منع استخدامها.
المجلس: مجلس حماية البيانات الشخصية.
البيانات الشخصية ذات الطبيعة الخاصة: البيانات المتعلقة بالعرق، الأصل العرقي، الرأي السياسي، المعتقد الفلسفي، الدين، المذهب أو غيره من المعتقدات، المظهر واللباس، العضوية في الجمعيات أو المؤسسات أو النقابات، الصحة، الحياة الجنسية، الإدانات الجنائية والتدابير الأمنية، بالإضافة إلى البيانات البيومترية والجينية.
الإتلاف الدوري: عملية الحذف أو الإتلاف أو إخفاء الهوية التي يتم تنفيذها تلقائيًا على فترات متكررة وفقًا لسياسة حفظ وإتلاف البيانات الشخصية عند زوال جميع شروط معالجة البيانات الشخصية المنصوص عليها في القانون.
السياسة: سياسة حفظ وإتلاف البيانات الشخصية.
معالج البيانات: الشخص الطبيعي أو الاعتباري الذي يعالج البيانات الشخصية نيابةً عن مسؤول البيانات وبناءً على سلطته.
نظام تسجيل البيانات: النظام الذي تتم فيه معالجة البيانات الشخصية بشكل منظم وفقًا لمعايير معينة.
VERBİS: نظام تسجيل معلومات مسؤولي البيانات.
مسؤول البيانات: الشخص الطبيعي أو الاعتباري الذي يحدد أغراض ووسائل معالجة البيانات الشخصية، والمسؤول عن إنشاء وإدارة نظام تسجيل البيانات.
اللائحة: اللائحة المتعلقة بحذف البيانات الشخصية أو إتلافها أو جعلها مجهولة الهوية، والمنشورة في الجريدة الرسمية بتاريخ 28 أكتوبر 2017.

٢. التوضيحات المتعلقة بالحفظ والإتلاف
تُحفظ البيانات الشخصية التي تتم معالجتها من قبل مؤسستنا وفقًا للقانون، ويتم إتلافها عند انتهاء فترة الحفظ.

٢.١ التوضيحات المتعلقة بالحفظ
في المادة ٣ من القانون تم تعريف مفهوم معالجة البيانات الشخصية، وفي المادة ٤ تم التأكيد على أن البيانات الشخصية المعالجة يجب أن تكون مرتبطة بالغرض من معالجتها ومحدودة ومتناسبة، وأن تُحفظ للمدة المنصوص عليها في التشريعات ذات الصلة أو المدة اللازمة للغرض الذي تمت معالجتها من أجله. أما المواد ٥ و٦ فقد نصت على شروط معالجة البيانات الشخصية.

وبناءً على ذلك، تُحفظ البيانات الشخصية للمدة المنصوص عليها في التشريعات ذات الصلة أو للمدة المناسبة لأغراض معالجتنا.

٢.١.١ الأسباب القانونية التي توجب حفظ البيانات الشخصية
تُعالج البيانات الشخصية وتُحفظ عند تحقق واحد على الأقل من الأسباب القانونية التالية:

• النص الصريح في القوانين

• ضرورة معالجة بيانات الأطراف من أجل تنفيذ العقد

• لزومها للوفاء بالالتزامات القانونية لمسؤول البيانات

• ضرورة المعالجة من أجل إثبات حق أو استخدامه أو حمايته

• المعالجة الواجبة لمصالح مشروعة لمسؤول البيانات شريطة عدم الإضرار بالحقوق والحريات الأساسية للشخص المعني

• تنفيذ خدمات الطب الوقائي، والتشخيص الطبي، والعلاج والرعاية

• الموافقة الصريحة

٢.١.٢ الأغراض التي توجب الحفظ
تُعالج البيانات الشخصية وتُحفظ للأغراض التالية:

• تنفيذ إجراءات طلبات المرشحين للوظائف

• الوفاء بالالتزامات التعاقدية والتشريعية تجاه الموظفين

• إدارة العمليات المتعلقة بالمزايا والحقوق الثانوية للموظفين

• تنفيذ الأنشطة التدريبية

• إدارة صلاحيات الوصول

• تنفيذ الأنشطة بما يتوافق مع التشريعات

• إدارة الأعمال المالية والمحاسبية

• ضمان أمن الأماكن المادية

• إدارة عمليات التكليف بالمهام

• متابعة وتنفيذ الإجراءات القانونية

• إدارة أنشطة التواصل

• تخطيط عمليات الموارد البشرية

• تنفيذ أنشطة الصحة والسلامة المهنية

• استلام وتقييم الاقتراحات المتعلقة بتحسين سير الأعمال

• إدارة عمليات تقييم الأداء

• تنفيذ أنشطة الحفظ والأرشفة

• إدارة العمليات التعاقدية

• متابعة الطلبات والشكاوى

• ضمان أمن المنقولات والموارد

• ضمان أمن عمليات مسؤول البيانات

• تزويد الأشخاص والهيئات والمؤسسات المخولة بالمعلومات

• تنفيذ الأنشطة الترويجية

• ٢.٢ الأسباب الموجبة للإتلاف
  يتم حذف أو إتلاف أو جعل البيانات الشخصية مجهولة الهوية في الحالات التالية:

  • تعديل أو إلغاء أحكام التشريعات ذات الصلة التي تُشكّل أساسًا لمعالجتها.

  • زوال الغرض الذي يستوجب معالجتها أو حفظها.

  • في الحالات التي تُعالج فيها البيانات الشخصية فقط استنادًا إلى شرط الموافقة الصريحة، عند سحب الشخص المعني لهذه الموافقة.

  • قبول مؤسستنا لطلب الشخص المعني بحذف أو إتلاف بياناته الشخصية وفقًا للمادة ١١ من القانون.

  • في حال رفض مؤسستنا لطلب الشخص المعني بحذف أو إتلاف أو إخفاء هوية بياناته الشخصية، أو اعتباره ردّها غير كافٍ، أو عدم ردّها خلال المدة المحددة في القانون؛ ثم تقدّم الشخص المعني بشكوى إلى المجلس وموافقة المجلس على هذا الطلب.

  • تجاوز المدة القصوى لحفظ البيانات الشخصية وعدم وجود أي سبب يبرر حفظها لمدة أطول.

  في هذه الحالات، تُحذف البيانات الشخصية أو تُتلف أو تُجعل مجهولة الهوية بناءً على طلب الشخص المعني أو من تلقاء نفسها من قبل مؤسستنا.

  ٣. التدابير التقنية والإدارية
  من أجل حفظ البيانات الشخصية بشكل آمن، ومنع معالجتها أو الوصول إليها بشكل غير قانوني، وضمان إتلافها بما يتوافق مع القانون، يتم اتخاذ التدابير التقنية والإدارية في إطار المادة ١٢ من القانون والفقرة الرابعة من المادة ٦ الخاصة بالبيانات الشخصية ذات الطبيعة الخاصة، وذلك وفقًا للتدابير الكافية التي حددها المجلس وأعلنها.

  ٣.١ التدابير التقنية
  التدابير التقنية المتخذة بشأن البيانات الشخصية المعالجة هي كما يلي:

  • تأمين شبكة الاتصال وأمن التطبيقات.

  • اتخاذ التدابير الأمنية في نطاق شراء وتطوير وصيانة أنظمة تكنولوجيا المعلومات.

  • إلغاء صلاحيات الموظفين الذين تغيّرت مهامهم أو تركوا العمل.

  • استخدام أنظمة مضاد الفيروسات الحديثة.

  • استخدام جدران الحماية.

  • إجراء فحوصات دورية على صلاحيات الموظفين المخوّلين بالوصول إلى البيانات الشخصية ذات الطبيعة الخاصة.

  • متابعة تحديثات الأمان الخاصة بالبيئات التي توجد فيها البيانات بشكل مستمر، وتنفيذ أو تكليف بتنفيذ الاختبارات الأمنية بشكل منتظم، وتسجيل نتائجها.

  • إجراء اختبارات الأمان بشكل منتظم على البرمجيات التي يتم من خلالها الوصول إلى البيانات الشخصية ذات الطبيعة الخاصة وتسجيل نتائجها.

  • تنفيذ عمليات الحذف أو الإتلاف أو إخفاء الهوية بشكل دوري للبيانات الشخصية المخزنة في البيئات الرقمية.

  ٣.٢ التدابير الإدارية
  التدابير الإدارية المتخذة بشأن البيانات الشخصية المعالجة هي كما يلي:

  • وجود لوائح انضباطية تتضمن أحكامًا خاصة بأمن البيانات للموظفين.

  • تنفيذ تدريبات ودراسات توعية دورية للموظفين حول أمن البيانات.

  • إعداد سياسات مؤسسية وتنفيذها بخصوص الوصول وأمن المعلومات والاستخدام والحفظ والإتلاف.

  • توقيع تعهدات بالسرية.

  • إدراج أحكام أمن البيانات ضمن العقود الموقعة.

  • اتخاذ تدابير أمنية إضافية للبيانات الشخصية المنقولة ورقيًا وإرسال المستندات بتنسيق “سري”.

  • تحديد سياسات وإجراءات لأمن البيانات الشخصية.

  • الإبلاغ السريع عن مشكلات أمن البيانات الشخصية.

  • متابعة أمن البيانات الشخصية.

  • اتخاذ التدابير الأمنية اللازمة للدخول والخروج من البيئات المادية التي تحتوي على بيانات شخصية.

  • ضمان حماية البيئات المادية التي تحتوي على بيانات شخصية ضد المخاطر الخارجية (الحريق، الفيضان، إلخ).

  • تأمين البيئات التي تحتوي على بيانات شخصية.

  • تقليل البيانات الشخصية إلى الحد الأدنى الممكن.

  • إجراء أو تكليف بإجراء عمليات تدقيق دورية أو عشوائية داخل المؤسسة.

  • تحديد وتنفيذ بروتوكولات وإجراءات خاصة بأمن البيانات الشخصية ذات الطبيعة الخاصة.

  • إرسال البيانات الشخصية ذات الطبيعة الخاصة عبر البريد الإلكتروني بشكل مشفّر وباستخدام KEP أو الحساب المؤسسي فقط.

  • تحديد صلاحيات ونطاقات وأزمنة وصول المستخدمين المخوّلين بالوصول إلى البيانات الشخصية ذات الطبيعة الخاصة بشكل واضح.

  • استعادة العهدة المخصصة للموظفين الذين تغيّرت مهامهم أو تركوا العمل.

  • إعداد جرد للبيانات الشخصية.

  • تنفيذ عمليات الحذف أو الإتلاف أو إخفاء الهوية بشكل دوري.

٤. فترات الحفظ والإتلاف
تُدرج فترات حفظ البيانات الشخصية التي تتم معالجتها من قبل مؤسستنا في إطار أنشطتها ضمن سياسة حفظ وإتلاف البيانات الشخصية.

يتم إجراء التحديثات عند الحاجة على هذه الفترات.

أما البيانات الشخصية التي انتهت فترة حفظها، فيتم حذفها أو إتلافها أو جعلها مجهولة الهوية تلقائيًا في أول فترة إتلاف دورية تلي انتهاء مدة الحفظ.

٤.١ جدول فترات الحفظ

٤.٢ فترات الإتلاف
تقوم مؤسستنا وفقًا لأحكام القانون واللائحة بحذف أو إتلاف أو جعل البيانات الشخصية مجهولة الهوية في أول عملية إتلاف دورية تلي تاريخ تحقق الالتزام بذلك وذلك بما يتوافق مع الأصول والإجراءات المحددة في هذه السياسة.

عند تقدم صاحب البيانات بطلب إلى مسؤول البيانات لممارسة حقه في طلب حذف بياناته الشخصية وفقًا للمادة ١٣ من القانون:

إذا زالت جميع شروط معالجة البيانات الشخصية تُحذف أو تُتلف أو تُجعل البيانات الشخصية محل الطلب مجهولة الهوية باستخدام الطريقة المناسبة خلال ٣٠ يومًا من تاريخ استلام الطلب.
إذا لم تزل جميع شروط معالجة البيانات الشخصية فيجوز رفض الطلب استنادًا إلى الفقرة الثالثة من المادة ١٣ من القانون مع توضيح السبب ويُبلّغ الرفض كتابيًا أو إلكترونيًا لصاحب الطلب خلال مدة أقصاها ٣٠ يومًا.

٥. فترات الإتلاف الدورية
بموجب المادة ١١ من اللائحة تم تحديد فترة الإتلاف الدورية بـ ٦ أشهر.

طرق الإتلاف

في نهاية المدة المنصوص عليها في التشريعات ذات الصلة أو فترة الحفظ اللازمة للغرض الذي تمت معالجتها من أجله تُتلف البيانات الشخصية تلقائيًا أو بناءً على طلب صاحب البيانات وفقًا لأحكام التشريعات وباستخدام الطرق التالية:

٥.١ حذف البيانات الشخصية
تُحذف البيانات الشخصية بالطرق التالية:

بيئة تسجيل البيانات: الخوادم
التوضيح: عند انتهاء مدة حفظ البيانات الشخصية المخزنة على الخوادم يقوم مدير النظام بحذفها عن طريق إلغاء صلاحيات وصول المستخدمين المعنيين.

بيئة تسجيل البيانات: البيئة الإلكترونية
التوضيح: عند انتهاء مدة حفظ البيانات تصبح البيانات غير قابلة للوصول أو الاستخدام من قبل الموظفين (المستخدمين المعنيين) باستثناء مدير قاعدة البيانات.

بيئة تسجيل البيانات: البيئة المادية
التوضيح: عند انتهاء مدة حفظ البيانات الشخصية المخزنة في البيئة المادية تصبح غير قابلة للوصول أو الاستخدام من قبل الموظفين باستثناء مدير وحدة الأرشيف. كما يُطبق إجراء التعتيم عبر الشطب أو الطلاء أو المحو بحيث تصبح غير قابلة للقراءة.

بيئة تسجيل البيانات: الوسائط المحمولة
التوضيح: عند انتهاء مدة حفظ البيانات الشخصية المخزنة في وسائط تخزين قائمة على الفلاش يقوم مدير النظام بتشفيرها وتخزينها في بيئات آمنة مع منح صلاحية الوصول فقط لمدير النظام بواسطة مفاتيح التشفير.

٥.٢ إتلاف البيانات الشخصية

يتم إتلاف البيانات الشخصية بالطرق التالية:

بيئة تسجيل البيانات: البيئة المادية
التوضيح: يتم إتلاف البيانات الشخصية الموجودة في بيئة ورقية والتي انتهت مدة حفظها باستخدام آلات تقطيع الورق بحيث تُتلف بشكل لا يمكن استرجاعه.

بيئة تسجيل البيانات: الوسائط البصرية / المغناطيسية
التوضيح: يتم إتلاف البيانات الشخصية الموجودة في الوسائط البصرية والمغناطيسية والتي انتهت مدة حفظها عبر إذابتها أو حرقها أو تحويلها إلى مسحوق. كما يتم تمرير الوسائط المغناطيسية عبر جهاز خاص بحيث تتعرض لمجال مغناطيسي عالي القوة يجعل البيانات غير قابلة للقراءة.

بيئة تسجيل البيانات: البيئة الرقمية
التوضيح: يتم إتلاف البيانات الشخصية الموجودة في البيئة الرقمية والتي انتهت مدة حفظها بشكل لا يمكن استرجاعه مع جميع سجلات العمليات الخلفية وسجلات الدخول والنسخ الاحتياطية.

٥.٣ جعل البيانات الشخصية مجهولة الهوية
يُقصد بجعل البيانات الشخصية مجهولة الهوية أن تصبح هذه البيانات غير قابلة للربط بأي شخص طبيعي محدد أو قابل للتحديد بأي شكل من الأشكال حتى لو تم مطابقتها مع بيانات أخرى.

ولكي تُعتبر البيانات الشخصية مجهولة الهوية يجب أن تكون غير قابلة للربط بأي شخص طبيعي محدد أو قابل للتحديد حتى في حال محاولة استرجاعها من قبل مسؤول البيانات أو أطراف ثالثة أو مطابقتها مع بيانات أخرى باستخدام تقنيات مناسبة وفقًا لبيئة التسجيل ومجال النشاط المعني.

تقوم مؤسستنا بعملية جعل البيانات مجهولة الهوية وفقًا للمعايير المذكورة أعلاه. وبعد عملية إخفاء الهوية لا يمكن ربط البيانات الشخصية بأي شخص طبيعي محدد أو قابل للتحديد بأي شكل من الأشكال.

٦. التدابير المتخذة لضمان مشروعية عملية الإتلاف
تُنفذ عمليات الإتلاف سواء بناءً على الطلب أو بشكل تلقائي خلال فترات الإتلاف الدورية وفقًا للقانون واللائحة وهذه السياسة. وفي هذا الإطار تُعرض التدابير التقنية والإدارية المتخذة كما يلي:

٦.١ التدابير التقنية
يتم التحكم في صلاحيات وصول العاملين في وحدات تكنولوجيا المعلومات إلى البيانات الشخصية.
يُضمن تنفيذ عملية إتلاف البيانات الشخصية بطريقة تجعل استرجاعها مستحيلًا ولا تترك أي أثر للتدقيق.

٦.٢ التدابير الإدارية
يتم تدريب الموظفين على تشريعات حماية البيانات الشخصية وأمن البيانات والإتلاف.
تُدقق عمليات الإتلاف المنفذة بشكل دوري، وتتخذ التدابير اللازمة لمعالجة الثغرات الأمنية التي يتم اكتشافها.

٧. بيئات التسجيل
تُحفظ البيانات الشخصية وفقًا لأحكام القانون واللائحة والتشريعات الأخرى ذات الصلة. وفي هذا الإطار، تُعرض بيئات تسجيل البيانات الشخصية كما يلي:

البيئات الإلكترونية
الخوادم (النطاق، النسخ الاحتياطي، البريد الإلكتروني، قواعد البيانات، الويب، مشاركة الملفات، إلخ)
البرمجيات (برنامج Meddata، برامج أوفيس، البوابة)
أجهزة أمن المعلومات (جدار الحماية، أنظمة كشف ومنع الاختراق، ملفات سجلات الأحداث، مضاد الفيروسات، إلخ)
أجهزة الكمبيوتر (مكتبية، محمولة)
الأجهزة المحمولة (هواتف، أجهزة لوحية، إلخ)
الأقراص البصرية (CD، DVD، إلخ)
وحدات التخزين القابلة للإزالة (USB، بطاقات ذاكرة، إلخ)

البيئات غير الإلكترونية
أجهزة الطباعة والماسحات الضوئية وآلات التصوير والأجهزة الطبية
الورق
أنظمة تسجيل البيانات اليدوية
الوسائط المكتوبة والمطبوعة والمرئية

٨. التدابير المتخذة من أجل أمن البيانات الشخصية
من أجل حفظ البيانات الشخصية بشكل آمن، ومنع معالجتها أو الوصول إليها بشكل غير قانوني، وضمان إتلافها وفقًا للقانون، يتم اتخاذ التدابير التقنية والإدارية في إطار المادة ١٢ من القانون والفقرة الرابعة من المادة ٦ الخاصة بالبيانات الشخصية ذات الطبيعة الخاصة، وذلك وفقًا للتدابير الكافية التي حددها المجلس وأعلنها.

٨.١ التدابير التقنية
التدابير التقنية المتخذة بشأن البيانات الشخصية المعالجة هي كما يلي:

• تأمين شبكة الاتصال وأمن التطبيقات.

• اتخاذ التدابير الأمنية في نطاق شراء وتطوير وصيانة أنظمة تكنولوجيا المعلومات.

• استخدام أنظمة مضاد الفيروسات الحديثة.

• استخدام جدران الحماية.

• تنفيذ عمليات الحذف أو الإتلاف أو إخفاء الهوية.

• استخدام برامج منع فقدان البيانات.

٨.٢ التدابير الإدارية
التدابير الإدارية المتخذة بشأن البيانات الشخصية المعالجة هي كما يلي:

• وجود لوائح انضباطية للموظفين تتضمن أحكامًا خاصة بأمن البيانات.

• تنفيذ تدريبات ودراسات توعية دورية للموظفين حول أمن البيانات.

• إعداد سياسات مؤسسية وتنفيذها بخصوص الوصول وأمن المعلومات والاستخدام والحفظ والإتلاف.

• إلغاء صلاحيات الموظفين الذين تغيّرت مهامهم أو تركوا العمل.

• تحديد سياسات وإجراءات لأمن البيانات الشخصية.

• متابعة أمن البيانات الشخصية.

• اتخاذ التدابير الأمنية اللازمة للدخول والخروج من البيئات المادية التي تحتوي على بيانات شخصية.

• حماية البيئات المادية التي تحتوي على بيانات شخصية ضد المخاطر الخارجية (مثل الحريق والفيضان).

• تأمين البيئات التي تحتوي على بيانات شخصية.

• تقليل البيانات الشخصية إلى الحد الأدنى الممكن.

• إجراء أو تكليف بإجراء عمليات تدقيق دورية أو عشوائية داخل المؤسسة.

٩. توزيع الألقاب والوحدات والمهام للموظفين
تلتزم جميع الوحدات والموظفين بتقديم الدعم الفعّال للوحدات المسؤولة لضمان التطبيق الصحيح للتدابير التقنية والإدارية المتخذة في إطار السياسة، وتدريب الموظفين وزيادة وعيهم، ومتابعتهم وإخضاعهم للتدقيق المستمر، ومنع المعالجة غير القانونية للبيانات الشخصية، ومنع الوصول غير القانوني إليها، وضمان حفظها بشكل قانوني في جميع البيئات التي تتم فيها معالجة البيانات الشخصية.

يُعرض توزيع الألقاب والمهام الخاصة بالأشخاص المشاركين في عمليات حفظ وإتلاف البيانات الشخصية في الجدول أدناه:

المسؤول | الوصف الوظيفي
الطبيب صاحب العيادة | ضمان تنفيذ عمليات حفظ وإتلاف البيانات الشخصية بما يتوافق مع هذه السياسة، تأمين التنسيق بين الوحدات، إجراء التدقيقات اللازمة، تطوير السياسة، نشرها وتحديثها في البيئات ذات الصلة.
السكرتير/المساعد | ضمان التزام الموظفين بالسياسة، إجراء التدقيقات اللازمة، وتنفيذ المهام الأخرى الموكلة من الطبيب صاحب العيادة. مسؤول عن تقديم الحلول التقنية اللازمة لتطبيق السياسة.

١٠. التحديثات التي أُدخلت على السياسة

قد يتم إجراء تعديلات على سياسة حفظ وإتلاف البيانات الشخصية هذه بسبب تغيّر التشريعات أو وفقًا لقرارات المجلس أو استنادًا إلى التطورات في القطاع أو في مجال تقنية المعلومات. وتُدرج التغييرات التي يتم إجراؤها في النص فورًا، كما تُضاف الشروحات المتعلقة بهذه التغييرات إلى جدول التحديثات أدناه.

جدول التحديثات

…………………………. تم اعتماد سياسة معالجة وإتلاف البيانات الشخصية ودخلت حيّز التنفيذ.

١١. الأحكام الختامية
تم إعداد سياسة حفظ وإتلاف البيانات الشخصية هذه من قبل مسؤول البيانات، وتم الإعلان عنها للأشخاص المعنيين من خلال:

• وضعها في الأماكن المناسبة داخل المؤسسة

• نشرها على موقعنا الإلكتروني https://dratacan.com/