اختر بلدك ولغتك
اختر بلدك ولغتك
نراجع سياسة الخصوصية هذه بانتظام. قد نحتاج أحيانًا إلى إجراء تغييرات أو إضافات عليها، مما قد يؤثر على كيفية تعاملنا مع بياناتك. سنشير في هذه الصفحة إلى أي تغييرات تطرأ على سياسة الخصوصية، لذا يُرجى مراجعتها بانتظام.
تمت مراجعة سياسة الخصوصية هذه وتحديثها آخر مرة في مايو 2023.
يحدد معيار الخصوصية هذا كيفية تعاملنا مع البيانات الشخصية لعملائنا، والعملاء المحتملين، والموردين، والموظفين، والموظفين المحتملين، والمرشحين، والعمال، والأطراف الثالثة الأخرى.
ينطبق معيار الخصوصية هذا على جميع البيانات الشخصية التي نعالجها بغض النظر عن الوسائط التي يتم تخزين تلك البيانات عليها أو ما إذا كانت تتعلق بالموظفين السابقين أو الحاليين أو المرشحين أو العمال أو العملاء أو جهات الاتصال بالموردين أو المساهمين أو مستخدمي الموقع الإلكتروني أو أي شخص آخر معني بالبيانات.
ينطبق معيار الخصوصية هذا على جميع موظفي شركتنا. يجب على جميع موظفينا قراءة هذا المعيار وفهمه والامتثال له عند معالجة البيانات الشخصية نيابةً عنا، كما سيخضعون لتدريب حول متطلباته. يحدد هذا المعيار ما نتوقعه من الشركة لكي تلتزم بالقانون المعمول به. الامتثال لهذا المعيار إلزامي. قد تتوفر سياسات وإرشادات خصوصية ذات صلة للمساعدة في تفسير هذا المعيار والعمل وفقًا له. أي انتهاك لهذا المعيار قد يُعرّض الموظف لإجراءات تأديبية.
لا يجوز مشاركة معيار الخصوصية هذا مع أطراف ثالثة أو عملاء أو جهات تنظيمية دون الحصول على إذن مسبق من مسؤول حماية البيانات.
ندرك أن التعامل الصحيح والقانوني مع البيانات الشخصية يحافظ على ثقة العملاء بالمنظمة ويضمن نجاح عملياتها التجارية. إن حماية سرية وسلامة البيانات الشخصية مسؤولية بالغة الأهمية نوليها اهتمامًا بالغًا في جميع الأوقات. وتتعرض الشركة لغرامات محتملة تصل إلى 20 مليون يورو أو 41 تريليون روبية من إجمالي إيراداتها السنوية العالمية، أيهما أعلى، وذلك تبعًا لطبيعة المخالفة، في حال عدم امتثالها لأحكام اللائحة العامة لحماية البيانات (GDPR).
يتحمل جميع الرؤساء التنفيذيين والمديرين والمديرين ورؤساء الأقسام والمشرفين وكبار الموظفين مسؤولية ضمان امتثال جميع موظفي الشركة لمعيار الخصوصية هذا، ويحتاجون إلى تطبيق الممارسات والعمليات والضوابط والتدريب المناسب لضمان هذا الامتثال.
يتولى مسؤول حماية البيانات مسؤولية الإشراف على معيار الخصوصية هذا، ووضع السياسات والإرشادات المتعلقة بالخصوصية ذات الصلة، حسب الاقتضاء. ويمكن التواصل مع مسؤول حماية البيانات عبر: data@sonabusiness.com.
يرجى التواصل مع مسؤول حماية البيانات في حال وجود أي استفسارات حول تطبيق معيار الخصوصية هذا أو اللائحة العامة لحماية البيانات (GDPR)، أو إذا كانت لديكم أي مخاوف بشأن عدم الالتزام بهذا المعيار. ويجب عليكم على وجه الخصوص التواصل مع مسؤول حماية البيانات في الحالات التالية:
نلتزم بالمبادئ المتعلقة بمعالجة البيانات الشخصية المنصوص عليها في اللائحة العامة لحماية البيانات (GDPR)، والتي تتطلب أن تكون البيانات الشخصية:
نحن مسؤولون ويجب أن نكون قادرين على إثبات الامتثال لمبادئ حماية البيانات المذكورة أعلاه (المساءلة).
يجب معالجة البيانات الشخصية بشكل قانوني وعادل وشفاف فيما يتعلق بصاحب البيانات.
لن نقوم بجمع ومعالجة ومشاركة البيانات الشخصية إلا بنزاهة ووفقًا للقانون ولأغراض محددة. يقيّد نظام حماية البيانات العامة (GDPR) إجراءاتنا المتعلقة بالبيانات الشخصية لأغراض قانونية محددة. لا تهدف هذه القيود إلى منع المعالجة، بل إلى ضمان معالجتنا للبيانات الشخصية بنزاهة ودون الإضرار بصاحب البيانات.
يسمح نظام حماية البيانات العامة (GDPR) بمعالجة البيانات لأغراض محددة، بعضها موضح أدناه:
لقد حددنا أن الأسس القانونية التي نعتمد عليها لمعالجة البيانات الشخصية هي كما يلي:
لا نقوم بمعالجة سوى البيانات الشخصية الحساسة المتعلقة بموظفي الشركة الحاليين والمحتملين والمرشحين. ولمعالجة هذه البيانات، يجب علينا استيفاء شرط محدد بموجب المادة 9 من اللائحة العامة لحماية البيانات (GDPR). تستوفي الشركة الشرط (ب) بموجب المادة 9(2)، حيث أن المعالجة ضرورية لأغراض تنفيذ الالتزامات وممارسة الحقوق المحددة للمتحكم بالبيانات أو لصاحب البيانات في مجال التوظيف. كما يجوز لنا الحصول على موافقة صريحة.
يجب على مراقب البيانات معالجة البيانات الشخصية فقط على أساس واحد أو أكثر من الأسس القانونية المنصوص عليها في اللائحة العامة لحماية البيانات، والتي تشمل الموافقة.
يُعتبر صاحب البيانات موافقاً على معالجة بياناته الشخصية إذا أبدى موافقته بوضوح، سواءً بتصريح أو بإجراء إيجابي. تتطلب الموافقة إجراءً صريحاً، لذا فإن الصمت أو وضع علامة في مربعات محددة مسبقاً أو عدم القيام بأي إجراء لا يُعد كافياً. إذا وردت الموافقة في وثيقة تتناول مسائل أخرى، فيجب فصلها عن تلك المسائل.
يجب أن يتمكن أصحاب البيانات من سحب موافقتهم على المعالجة بسهولة في أي وقت، ويجب احترام هذا السحب فورًا. قد يلزم تجديد الموافقة إذا كنا نعتزم معالجة البيانات الشخصية لغرض مختلف وغير متوافق لم يتم الإفصاح عنه عند موافقة صاحب البيانات لأول مرة.
ما لم يكن لدينا أساس قانوني آخر للمعالجة، قد يُطلب الحصول على موافقة صريحة لمعالجة البيانات الشخصية الحساسة، ولاتخاذ القرارات الآلية، ولنقل البيانات عبر الحدود. عادةً ما نعتمد على أساس قانوني آخر كما هو موضح أعلاه (ولا نطلب موافقة صريحة) لمعالجة معظم أنواع البيانات الحساسة. في حال اشتراط الموافقة الصريحة، سنصدر إشعارًا بالمعالجة العادلة إلى صاحب البيانات للحصول على موافقته الصريحة.
سنقوم بتوثيق الموافقة التي تم الحصول عليها والاحتفاظ بسجلات لجميع الموافقات حتى تتمكن الشركة من إثبات امتثالها لمتطلبات الموافقة.
يشترط النظام الأوروبي العام لحماية البيانات (GDPR) على جهات التحكم في البيانات تقديم معلومات تفصيلية ومحددة لأصحاب البيانات، وذلك بحسب ما إذا كانت المعلومات قد جُمعت مباشرةً منهم أو من مصادر أخرى. ويجب تقديم هذه المعلومات، وسيتم تقديمها، من خلال إشعارات الخصوصية أو إشعارات المعالجة العادلة المناسبة، والتي يجب أن تكون موجزة وشفافة ومفهومة وسهلة الوصول، وبلغة واضحة وبسيطة ليسهل على صاحب البيانات فهمها.
عندما نقوم بجمع البيانات الشخصية مباشرة من أصحاب البيانات، بما في ذلك لأغراض الموارد البشرية أو التوظيف، سنزود صاحب البيانات بجميع المعلومات المطلوبة بموجب اللائحة العامة لحماية البيانات (GDPR)، بما في ذلك هوية مراقب البيانات ومسؤول حماية البيانات، وكيف ولماذا سنستخدم ونعالج ونفصح ونحمي ونحتفظ بتلك البيانات الشخصية من خلال إشعار المعالجة العادلة الذي يجب تقديمه عندما يقدم صاحب البيانات البيانات الشخصية لأول مرة.
عند جمع البيانات الشخصية بشكل غير مباشر (على سبيل المثال، من طرف ثالث أو مصدر متاح للعموم)، سنزود صاحب البيانات بجميع المعلومات المطلوبة بموجب اللائحة العامة لحماية البيانات (GDPR) في أقرب وقت ممكن بعد جمع/استلام البيانات. كما سنتحقق من أن الطرف الثالث قد جمع البيانات الشخصية وفقًا للائحة العامة لحماية البيانات (GDPR) وعلى أساس يتوافق مع معالجتنا المقترحة لتلك البيانات الشخصية.
يجب جمع البيانات الشخصية فقط لأغراض محددة وواضحة ومشروعة. ولا يجوز معالجتها بأي شكل من الأشكال التي تتعارض مع تلك الأغراض.
لن نستخدم البيانات الشخصية لأغراض جديدة أو مختلفة أو غير متوافقة مع تلك التي تم الكشف عنها عند الحصول عليها لأول مرة، إلا إذا قمنا بإبلاغ صاحب البيانات بالأغراض الجديدة وحصلنا على موافقته إذا لزم الأمر.
يجب أن تكون البيانات الشخصية كافية وذات صلة ومقتصرة على ما هو ضروري فيما يتعلق بالأغراض التي تتم معالجتها من أجلها.
لن نقوم بمعالجة البيانات الشخصية إلا عندما تتطلب مهامنا ذلك. ولا يجوز لنا معالجة البيانات الشخصية لأي سبب لا يتعلق بمهامنا الوظيفية.
لن نجمع إلا البيانات الشخصية اللازمة لأداء مهامنا الوظيفية، ولن نجمع بيانات زائدة. وسنضمن أن تكون أي بيانات شخصية نجمعها كافية وذات صلة بالأغراض المقصودة.
سنضمن أنه عندما لا تعود هناك حاجة إلى البيانات الشخصية لأغراض محددة، يتم حذفها أو إخفاء هويتها.
يجب أن تكون البيانات الشخصية دقيقة، ويجب تحديثها عند الضرورة. كما يجب تصحيحها أو حذفها فوراً في حال عدم دقتها.
سنضمن أن تكون البيانات الشخصية التي نستخدمها ونحتفظ بها دقيقة وكاملة ومحدثة وذات صلة بالغرض الذي جمعناها من أجله. سنتحقق من دقة أي بيانات شخصية عند جمعها وبشكل دوري بعد ذلك. وسنتخذ جميع الخطوات المعقولة لإتلاف أو تعديل البيانات الشخصية غير الدقيقة أو القديمة.
يجب عدم الاحتفاظ بالبيانات الشخصية بشكل يسمح بتحديد هوية صاحبها لفترة أطول من اللازم للأغراض التي تتم معالجة البيانات من أجلها.
لن نحتفظ بالبيانات الشخصية بشكل يسمح بتحديد هوية صاحب البيانات لفترة أطول من اللازم للغرض التجاري المشروع أو الأغراض التي جمعناها من أجلها في الأصل، بما في ذلك الغرض من تلبية أي متطلبات قانونية أو محاسبية أو إبلاغية.
ستحافظ الشركة على سياسات وإجراءات الاحتفاظ بالبيانات لضمان حذف البيانات الشخصية بعد فترة زمنية معقولة للأغراض التي تم الاحتفاظ بها من أجلها، ما لم ينص القانون على الاحتفاظ بهذه البيانات لفترة زمنية دنيا.
سنتخذ جميع الخطوات المعقولة لإتلاف أو محو جميع البيانات الشخصية التي لم نعد بحاجة إليها من أنظمتنا، وذلك وفقًا لجميع جداول وسياسات الاحتفاظ بالسجلات المعمول بها في الشركة. ويشمل ذلك مطالبة الأطراف الثالثة بحذف هذه البيانات عند الاقتضاء.
سنضمن إبلاغ أصحاب البيانات بالفترة التي يتم خلالها تخزين البيانات وكيفية تحديد تلك الفترة في أي إشعار خصوصية أو إشعار معالجة عادلة ساري المفعول.
يجب تأمين البيانات الشخصية من خلال تدابير تقنية وتنظيمية مناسبة ضد المعالجة غير المصرح بها أو غير القانونية، وضد الفقدان أو التدمير أو التلف العرضي.
سنقوم بتطوير وتنفيذ وصيانة ضمانات أمنية تتناسب مع حجمنا ونطاق أعمالنا ومواردنا المتاحة، وكمية البيانات الشخصية التي نمتلكها أو نحتفظ بها نيابةً عن جهات أخرى، والمخاطر المحددة (بما في ذلك استخدام التشفير وإخفاء الهوية عند الاقتضاء). وسنقوم بتقييم واختبار فعالية هذه الضمانات بشكل دوري لضمان أمن معالجة البيانات الشخصية. نحن مسؤولون عن حماية البيانات الشخصية التي نحتفظ بها. وسنطبق تدابير أمنية معقولة ومناسبة ضد المعالجة غير القانونية أو غير المصرح بها للبيانات الشخصية، وضد الفقدان العرضي أو التلف. وسنولي عناية خاصة لحماية البيانات الشخصية الحساسة من الفقدان والوصول غير المصرح به أو الاستخدام أو الإفصاح.
سنضع سياسات للحفاظ على أمن جميع البيانات الشخصية من لحظة جمعها وحتى لحظة إتلافها. ولن ننقل البيانات الشخصية إلا إلى مزودي خدمات خارجيين يوافقون على الالتزام بالسياسات والإجراءات المطلوبة، ويوافقون على اتخاذ التدابير الكافية عند الطلب.
سنحافظ على أمن البيانات من خلال حماية سرية وسلامة وتوافر البيانات الشخصية، والمحددة على النحو التالي:
سنلتزم بسياسة تكنولوجيا المعلومات ولن نحاول التحايل على الضمانات الإدارية والمادية والتقنية التي نطبقها ونحافظ عليها وفقًا للائحة العامة لحماية البيانات والمعايير ذات الصلة لحماية البيانات الشخصية.
يتطلب النظام العام لحماية البيانات (GDPR) من مراقبي البيانات إخطار الجهة التنظيمية المختصة بأي خرق للبيانات الشخصية، وفي بعض الحالات، إخطار صاحب البيانات.
لقد وضعنا الإجراء التالي للتعامل مع أي خرق مشتبه به للبيانات الشخصية، وسنقوم بإخطار أصحاب البيانات أو أي جهة تنظيمية مختصة حيثما يُطلب منا ذلك قانونًا.
إذا كنت تعلم أو تشك في حدوث خرق للبيانات الشخصية، فلا تحاول التحقيق في الأمر بنفسك. تواصل فورًا مع الشخص أو الفريق المُعيّن كجهة اتصال رئيسية لخرق البيانات الشخصية، وهو مسؤول حماية البيانات. يجب عليك الاحتفاظ بجميع الأدلة المتعلقة بخرق البيانات الشخصية المحتمل.
يقيّد النظام الأوروبي العام لحماية البيانات (GDPR) نقل البيانات إلى دول خارج المنطقة الاقتصادية الأوروبية لضمان عدم المساس بمستوى حماية البيانات الذي يكفله هذا النظام للأفراد. وتُعتبر البيانات الشخصية التي نشأت في دولة ما عابرة للحدود عند نقلها أو إرسالها أو عرضها أو الوصول إليها في دولة أخرى.
لا يجوز لك نقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية إلا إذا انطبق أحد الشروط التالية:
يتمتع أصحاب البيانات بحقوق فيما يتعلق بكيفية تعاملنا مع بياناتهم الشخصية. وتشمل هذه الحقوق ما يلي:
سنتحقق من هوية أي فرد يطلب بيانات بموجب أي من الحقوق المذكورة أعلاه. ولن نسمح لأي طرف ثالث بإقناعنا بالكشف عن البيانات الشخصية دون تفويض رسمي.
سنقوم على الفور بإحالة أي طلب يتعلق بموضوع البيانات نتلقاه إلى مسؤول حماية البيانات، وسنلتزم بعملية استجابة الشركة لموضوع البيانات.
سيقوم مسؤول حماية البيانات بتطبيق التدابير التقنية والتنظيمية المناسبة بفعالية لضمان الامتثال لمبادئ حماية البيانات. ويتحمل مسؤول حماية البيانات مسؤولية إثبات هذا الامتثال.
يجب أن تمتلك الشركة موارد وضوابط كافية لضمان وتوثيق الامتثال للائحة العامة لحماية البيانات (GDPR)، بما في ذلك:
يتطلب نظام حماية البيانات العامة (GDPR) منا الاحتفاظ بسجلات كاملة ودقيقة لجميع أنشطة معالجة البيانات لدينا.
سنحتفظ بسجلات مؤسسية دقيقة تعكس عمليات المعالجة لدينا، بما في ذلك سجلات موافقات أصحاب البيانات وإجراءات الحصول على هذه الموافقات.
ستتضمن هذه السجلات، كحد أدنى، اسم وتفاصيل الاتصال بمسؤول حماية البيانات ومسؤول حماية البيانات، ووصفًا واضحًا لأنواع البيانات الشخصية، وأنواع أصحاب البيانات، وأنشطة المعالجة، وأغراض المعالجة، والجهات الخارجية المتلقية للبيانات الشخصية، ومواقع تخزين البيانات الشخصية، وعمليات نقل البيانات الشخصية، وفترة الاحتفاظ بالبيانات الشخصية، ووصفًا لإجراءات الأمان المطبقة. ولإنشاء هذه السجلات، سيتم إنشاء خرائط بيانات تتضمن التفاصيل المذكورة أعلاه بالإضافة إلى مسارات تدفق البيانات المناسبة.
نحن ملزمون بضمان حصول جميع موظفي الشركة على التدريب الكافي لتمكينهم من الامتثال لقوانين حماية البيانات. كما يجب علينا اختبار أنظمتنا وإجراءاتنا بانتظام لتقييم مدى الامتثال.
سيخضع موظفو الشركة لجميع التدريبات الإلزامية المتعلقة بخصوصية البيانات.
سيقوم جميع موظفي الشركة بمراجعة جميع الأنظمة والعمليات الخاضعة لسيطرتهم بانتظام لضمان امتثالها لمعيار الخصوصية هذا والتحقق من وجود ضوابط حوكمة وموارد كافية لضمان الاستخدام السليم وحماية البيانات الشخصية.
نحن مطالبون بتطبيق تدابير الخصوصية بالتصميم عند معالجة البيانات الشخصية من خلال تطبيق التدابير التقنية والتنظيمية المناسبة (مثل إخفاء الهوية) بطريقة فعالة، لضمان الامتثال لمبادئ خصوصية البيانات.
سنقوم بتقييم تدابير الخصوصية بالتصميم التي يمكن تطبيقها على جميع البرامج/الأنظمة/العمليات التي تعالج البيانات الشخصية مع مراعاة ما يلي:
يجب على مراقبي البيانات أيضًا إجراء تقييمات أثر حماية البيانات فيما يتعلق بالمعالجة عالية المخاطر.
سنقوم دائمًا بإجراء تقييم لأثر حماية البيانات (وسنتناقش مع مسؤول حماية البيانات) عند تنفيذ برامج تغيير رئيسية في النظام أو الأعمال تتضمن معالجة البيانات الشخصية، بما في ذلك:
يجب أن يتضمن تقييم أثر حماية البيانات ما يلي:
بشكل عام، يُحظر اتخاذ القرارات الإدارية عندما يكون للقرار تأثير قانوني أو تأثير كبير مماثل على الفرد إلا في الحالات التالية:
إذا كانت هناك أنواع معينة من البيانات الحساسة قيد المعالجة، فلن يُسمح بالأسباب (ب) أو (ج)، ولكن يمكن معالجة هذه البيانات الحساسة حيثما يكون ذلك ضرورياً (ما لم يكن من الممكن استخدام وسائل أقل تدخلاً) من أجل مصلحة عامة جوهرية مثل منع الاحتيال.
إذا كان القرار سيُبنى حصراً على المعالجة الآلية (بما في ذلك التنميط)، فسيتم إبلاغ أصحاب البيانات بحقهم في الاعتراض عند أول تواصل معنا معهم. وسيتم توضيح هذا الحق لهم بشكل صريح وعرضه بشكل منفصل عن المعلومات الأخرى. علاوة على ذلك، يجب اتخاذ التدابير المناسبة لحماية حقوق أصحاب البيانات وحرياتهم ومصالحهم المشروعة.
سنقوم أيضًا بإبلاغ صاحب البيانات بالمنطق المستخدم في عملية صنع القرار أو التنميط، وأهميته والعواقب المتوقعة، وسنمنح صاحب البيانات الحق في طلب التدخل البشري، أو التعبير عن وجهة نظره، أو الطعن في القرار.
يجب إجراء تقييم أثر حماية البيانات قبل القيام بأي عمليات معالجة آلية (بما في ذلك تحديد الملفات الشخصية) أو أنشطة إدارة البيانات الآلية.
نحن نخضع لقواعد وقوانين خصوصية معينة عند التسويق لعملائنا.
على سبيل المثال، قد يُشترط الحصول على موافقة مسبقة من صاحب البيانات للتسويق الإلكتروني المباشر (عبر البريد الإلكتروني أو الرسائل النصية أو المكالمات الآلية). ويُتيح الاستثناء المحدود للعملاء الحاليين وجهات الاتصال، والمعروف باسم "الموافقة الضمنية"، للمؤسسات إرسال رسائل تسويقية نصية أو بريد إلكتروني إذا حصلت على بيانات الاتصال الخاصة بهم خلال تعاملات تجارية معهم، وكانت تُسوّق منتجات أو خدمات مماثلة، وأتاحت لهم فرصة إلغاء الاشتراك في التسويق عند جمع البيانات لأول مرة وفي كل رسالة لاحقة.
سيتم منح صاحب البيانات الحق في الاعتراض على التسويق المباشر بشكل صريح وبطريقة مفهومة بحيث يمكن تمييزه بوضوح عن المعلومات الأخرى.
سيتم احترام اعتراض صاحب البيانات على التسويق المباشر فوراً. وفي حال إلغاء العميل اشتراكه في أي وقت، سيتم حذف بياناته في أسرع وقت ممكن. ويشمل الحذف الاحتفاظ بالقدر الكافي من المعلومات لضمان احترام تفضيلات التسويق مستقبلاً.
بشكل عام، لا يُسمح لنا بمشاركة البيانات الشخصية مع أطراف ثالثة إلا إذا تم وضع ضمانات وترتيبات تعاقدية معينة.
لن نشارك البيانات الشخصية التي نحتفظ بها إلا مع موظف أو وكيل أو ممثل آخر لمجموعتنا (والتي تشمل الشركات التابعة لنا والشركة الأم النهائية بالإضافة إلى الشركات التابعة لها) إذا كان لدى المتلقي حاجة متعلقة بالعمل لمعرفة المعلومات وكان النقل متوافقًا مع أي قيود نقل عبر الحدود سارية.
لن نشارك البيانات الشخصية التي نحتفظ بها مع أطراف ثالثة، مثل مزودي خدماتنا، إلا في الحالات التالية:
نحتفظ بالحق في تغيير معيار الخصوصية هذا في أي وقت دون إشعار مسبق.
لا يلغي معيار الخصوصية هذا أي قوانين ولوائح وطنية سارية تتعلق بخصوصية البيانات في البلدان التي تعمل فيها الشركة.
