# سياسة الخصوصية وحماية البيانات الشخصية
نظام هياكل لتقنية المعلومات
—
**تاريخ السريان:** 2025
**تاريخ آخر تحديث:** 2025
**رقم الإصدار:** 1.0
—
مقدمة وبيان الالتزام بحماية الخصوصية
تلتزم شركة هيكلة الموارد لتقنية المعلومات (“الشركة” أو “هياكل” أو “نحن”) التزاماً كاملاً وراسخاً بحماية خصوصية وأمان البيانات الشخصية لجميع مستخدمي نظام هياكل المتكامل لإدارة الشركات (“النظام” أو “المنصة”). تعكس هذه السياسة التزامنا الثابت بأعلى معايير الشفافية والمسؤولية والامتثال للقوانين واللوائح المحلية والدولية في مجال حماية البيانات والخصوصية.
تطبق هذه السياسة على جميع البيانات الشخصية التي نجمعها أو نعالجها أو نخزنها أو نشاركها في إطار تقديم خدماتنا، بما في ذلك البيانات المجمعة من خلال النظام نفسه، والمواقع الإلكترونية المرتبطة به، والتطبيقات المحمولة، وأي قنوات اتصال أو تفاعل أخرى مع الشركة أو ممثليها أو شركائها المعتمدين. كما تطبق على جميع فئات المستخدمين، بما في ذلك الشركات المستخدمة وموظفيها ومديريها ومستخدميها النهائيين، والفريلانسرز ومقدمي الخدمات المستقلين المسجلين في المنصة، وأي أطراف ثالثة قد تتفاعل مع النظام أو تحصل على خدمات من خلاله.
نؤكد التزامنا بمبادئ حماية البيانات الأساسية المعترف بها دولياً، بما في ذلك مبدأ الشرعية والعدالة والشفافية في معالجة البيانات، ومبدأ تحديد الغرض واقتصار الاستخدام على الأغراض المحددة والمعلنة، ومبدأ الحد الأدنى للبيانات وجمع البيانات الضرورية فقط، ومبدأ الدقة وضمان صحة وحداثة البيانات، ومبدأ التخزين المحدود وعدم الاحتفاظ بالبيانات لفترة أطول من اللازم، ومبدأ السلامة والأمان وحماية البيانات من الوصول غير المصرح به أو التسريب أو التلف، ومبدأ المساءلة وإثبات الامتثال لجميع متطلبات حماية البيانات.
تخضع هذه السياسة للمراجعة والتحديث المستمر لضمان مواكبة التطورات القانونية والتقنية والتشغيلية، وتعكس أحدث الممارسات والمعايير في مجال حماية البيانات والخصوصية. نلتزم بإشعار جميع المستخدمين بأي تغييرات جوهرية في هذه السياسة قبل تطبيقها بمدة كافية، وتوفير آليات مناسبة للحصول على موافقتهم على التغييرات عند الضرورة القانونية أو التنظيمية.
—
القسم الأول: التعريفات والمصطلحات الأساسية
البيانات الشخصية
تعني أي معلومات متعلقة بشخص طبيعي محدد أو قابل للتحديد (“صاحب البيانات”)، سواء بشكل مباشر أو غير مباشر، من خلال الرجوع إلى معرف مثل الاسم أو رقم التعريف أو بيانات الموقع أو المعرف الإلكتروني أو إلى واحد أو أكثر من العوامل الخاصة بالهوية الجسدية أو الفسيولوجية أو الجينية أو العقلية أو الاقتصادية أو الثقافية أو الاجتماعية لذلك الشخص الطبيعي. يشمل هذا التعريف البيانات الأساسية مثل الأسماء وأرقام الهوية وتواريخ الميلاد وعناوين السكن والعمل، والبيانات الاتصالية مثل أرقام الهواتف وعناوين البريد الإلكتروني، والبيانات المهنية مثل المناصب والمؤهلات والخبرات، والبيانات المالية مثل المعلومات المصرفية وتفاصيل الدفع، والبيانات التقنية مثل عناوين IP وملفات تعريف الارتباط وسجلات الاستخدام.
البيانات الشخصية الحساسة
تعني فئة خاصة من البيانات الشخصية التي تتطلب حماية إضافية ومعززة نظراً لطبيعتها الحساسة والمخاطر المحتملة المرتبطة بمعالجتها، وتشمل البيانات التي تكشف عن الأصل العرقي أو الإثني، أو الآراء السياسية، أو المعتقدات الدينية أو الفلسفية، أو العضوية في النقابات، والبيانات الجينية، والبيانات البيومترية لغرض تحديد هوية شخص طبيعي بشكل فريد، والبيانات المتعلقة بالصحة، والبيانات المتعلقة بالحياة الجنسية أو التوجه الجنسي للشخص الطبيعي، والبيانات المتعلقة بالإدانات الجنائية والجرائم أو التدابير الأمنية ذات الصلة.
معالجة البيانات
تعني أي عملية أو مجموعة من العمليات التي تُجرى على البيانات الشخصية أو على مجموعات من البيانات الشخصية، سواء بوسائل آلية أو غير آلية، مثل الجمع أو التسجيل أو التنظيم أو الهيكلة أو التخزين أو التكييف أو التغيير أو الاسترداد أو الاستشارة أو الاستخدام أو الكشف عن طريق الإرسال أو النشر أو الإتاحة أو المواءمة أو الدمج أو التقييد أو المحو أو التدمير. تشمل معالجة البيانات جميع الأنشطة التي نقوم بها مع البيانات الشخصية، من لحظة جمعها وحتى حذفها النهائي من أنظمتنا.
صاحب البيانات
يعني الشخص الطبيعي الذي تتعلق به البيانات الشخصية، والذي يمكن تحديد هويته بشكل مباشر أو غير مباشر من خلال هذه البيانات. في سياق نظام هياكل، يشمل أصحاب البيانات الموظفين والمديرين والمستخدمين النهائيين في الشركات المستخدمة، والفريلانسرز ومقدمي الخدمات المستقلين، وأي أشخاص آخرين قد تتم معالجة بياناتهم الشخصية في إطار تقديم خدماتنا.
مراقب البيانات
تعني شركة هيكلة الموارد لتقنية المعلومات بصفتها الشخص الطبيعي أو الاعتباري أو السلطة العامة أو الوكالة أو أي هيئة أخرى تحدد، بمفردها أو بالاشتراك مع آخرين، أغراض ووسائل معالجة البيانات الشخصية. بصفتنا مراقب البيانات، نتحمل المسؤولية الأساسية عن ضمان أن معالجة البيانات الشخصية تتم وفقاً لهذه السياسة والقوانين المعمول بها.
معالج البيانات
يعني الشخص الطبيعي أو الاعتباري أو السلطة العامة أو الوكالة أو أي هيئة أخرى تعالج البيانات الشخصية نيابة عن مراقب البيانات. قد نتعامل مع معالجين للبيانات مثل مقدمي الخدمات السحابية أو شركات الدعم الفني أو مقدمي خدمات التحليلات، والذين يعالجون البيانات الشخصية وفقاً لتعليماتنا وتحت إشرافنا المباشر.
الموافقة
تعني أي إشارة محددة ومستنيرة وواضحة لا لبس فيها لرغبات صاحب البيانات، والتي من خلالها، عن طريق بيان أو إجراء إيجابي واضح، يوافق على معالجة البيانات الشخصية المتعلقة به. يجب أن تكون الموافقة حرة ومحددة ومستنيرة وواضحة، ويجب أن تُعطى لأغراض محددة، ويمكن سحبها في أي وقت بنفس سهولة إعطائها.
—
القسم الثاني: أنواع البيانات التي نجمعها ومصادر الجمع
البيانات الأساسية للهوية والاتصال
نجمع مجموعة شاملة من البيانات الأساسية اللازمة لتحديد هوية المستخدمين وتمكين التواصل الفعال معهم، وتشمل الأسماء الكاملة (الأول والأوسط والأخير) كما تظهر في الوثائق الرسمية، وأرقام الهوية الوطنية أو جوازات السفر أو أي وثائق تعريف رسمية أخرى، وتواريخ الميلاد ومعلومات العمر، والجنسية ومكان الميلاد، وعناوين السكن الحالية والسابقة مع التفاصيل الكاملة، وأرقام الهواتف المحمولة والثابتة، وعناوين البريد الإلكتروني الشخصية والمهنية، ومعلومات الاتصال البديلة للطوارئ.
تُجمع هذه البيانات بشكل أساسي من خلال نماذج التسجيل والاشتراك في النظام، وعمليات التحقق من الهوية والتوثيق، والتحديثات التي يقدمها المستخدمون لملفاتهم الشخصية، والمراسلات والتفاعلات المختلفة مع فرق الدعم والمبيعات. كما قد نحصل على بعض هذه المعلومات من مصادر عامة أو من شركائنا المعتمدين عند الضرورة وبموافقة صريحة من أصحاب البيانات.
البيانات المهنية والتجارية
نجمع معلومات مفصلة حول الخلفية المهنية والتجارية للمستخدمين لضمان تقديم خدمات مناسبة ومخصصة، وتشمل أسماء الشركات والمؤسسات التي يعملون بها أو يمثلونها، والمناصب والأدوار الوظيفية الحالية والسابقة، والمؤهلات الأكاديمية والمهنية والشهادات المعتمدة، وسنوات الخبرة في المجالات ذات الصلة، والتخصصات والمهارات الفنية والمهنية، ومعلومات التراخيص المهنية والعضويات في الجمعيات المهنية، وتفاصيل الأعمال والمشاريع السابقة والحالية، والمراجع المهنية ومعلومات الاتصال بأرباب العمل السابقين.
هذه المعلومات ضرورية لتقييم أهلية المستخدمين للخدمات المختلفة، وخاصة في منصة الفريلانسرز حيث نحتاج للتأكد من كفاءة ومؤهلات مقدمي الخدمات. كما تساعدنا في تخصيص تجربة المستخدم وتقديم توصيات وخدمات مناسبة لكل مستخدم حسب مجال عمله ومستوى خبرته.
البيانات المالية والمصرفية
نجمع معلومات مالية ومصرفية محدودة وضرورية لمعالجة المدفوعات وإدارة الحسابات المالية، وتشمل تفاصيل الحسابات المصرفية (أرقام الحسابات وأسماء البنوك وأرقام التوجيه)، ومعلومات بطاقات الائتمان والخصم (أرقام البطاقات وتواريخ انتهاء الصلاحية ورموز الأمان)، وتفاصيل محافظ الدفع الإلكترونية والمحافظ الرقمية، وسجلات المعاملات المالية والفواتير والإيصالات، ومعلومات الضرائب والرقم الضريبي عند الضرورة، والتصنيفات الائتمانية ومعلومات الجدارة الائتمانية عند الحاجة لخدمات متقدمة.
نتعامل مع هذه البيانات الحساسة بأقصى درجات الحذر والأمان، ونستخدم أحدث تقنيات التشفير والحماية لضمان سلامتها. كما نلتزم بمعايير صناعة بطاقات الدفع (PCI DSS) وجميع اللوائح المالية المعمول بها في المملكة العربية السعودية والدول التي نقدم فيها خدماتنا.
البيانات التقنية وسجلات الاستخدام
نجمع تلقائياً مجموعة واسعة من البيانات التقنية ومعلومات الاستخدام لضمان الأمان والأداء الأمثل للنظام، وتشمل عناوين بروتوكول الإنترنت (IP) ومعلومات الموقع الجغرافي التقريبي، ومعلومات الأجهزة المستخدمة (نوع الجهاز ونظام التشغيل والمتصفح والإصدارات)، وملفات تعريف الارتباط (Cookies) والتقنيات المشابهة، وسجلات تفصيلية لأنشطة الاستخدام (الصفحات المزارة والوقت المستغرق والإجراءات المتخذة)، ومعلومات الأداء والأخطاء التقنية، وبيانات التحليلات والإحصائيات حول استخدام الميزات والخدمات المختلفة.
هذه البيانات التقنية ضرورية لعدة أغراض مهمة، بما في ذلك مراقبة الأمان وكشف الأنشطة المشبوهة أو غير المصرح بها، وتحسين أداء النظام وإصلاح الأخطاء التقنية، وتطوير ميزات جديدة بناءً على أنماط الاستخدام الفعلية، وضمان الامتثال لشروط الاستخدام وخاصة متطلبات استخدام الأجهزة المعتمدة فقط.
البيانات المجمعة من التفاعلات والمراسلات
نجمع ونحتفظ بسجلات شاملة لجميع التفاعلات والمراسلات مع المستخدمين، وتشمل محتوى الرسائل الإلكترونية والمراسلات الرسمية، وتسجيلات المكالمات الهاتفية (بعد الحصول على موافقة مسبقة)، ومحادثات الدردشة المباشرة وخدمة العملاء، والتقييمات والمراجعات والتعليقات المقدمة من المستخدمين، والشكاوى والاستفسارات وطلبات الدعم الفني، والاستبيانات وردود الفعل حول الخدمات، وأي مراسلات أو وثائق أخرى متبادلة في إطار تقديم الخدمات.
هذه المعلومات مهمة لضمان جودة الخدمة المقدمة وحل المشاكل بفعالية، وتطوير خدمات أفضل بناءً على ملاحظات المستخدمين، وحماية حقوق جميع الأطراف في حالة النزاعات أو الخلافات، والامتثال للمتطلبات القانونية والتنظيمية للاحتفاظ بسجلات معينة.
—
القسم الثالث: أغراض معالجة البيانات والأسس القانونية
تقديم الخدمات الأساسية وإدارة الحسابات
نعالج البيانات الشخصية بشكل أساسي لتقديم خدمات نظام هياكل المتكامل وإدارة حسابات المستخدمين بكفاءة وفعالية. يشمل ذلك إنشاء وإدارة حسابات المستخدمين وملفاتهم الشخصية، وتوفير الوصول الآمن إلى النظام والميزات المختلفة، ومعالجة الطلبات والمعاملات والخدمات المطلوبة، وتخصيص تجربة المستخدم حسب الاحتياجات والتفضيلات، وتوفير الدعم الفني وخدمة العملاء، وإدارة الاشتراكات والفواتير والمدفوعات، وضمان الامتثال لشروط وأحكام الاستخدام.
الأساس القانوني لهذه المعالجة هو تنفيذ العقد المبرم مع المستخدمين، حيث أن معالجة هذه البيانات ضرورية لتنفيذ التزاماتنا التعاقدية وتقديم الخدمات المتفق عليها. كما نعتمد على مصلحتنا المشروعة في تشغيل أعمالنا بكفاءة وتقديم خدمات عالية الجودة، شريطة أن تكون هذه المصالح متوازنة مع حقوق وحريات أصحاب البيانات.
الأمان ومنع الاحتيال وحماية النظام
نعالج البيانات الشخصية لأغراض أمنية مهمة تشمل حماية النظام والمستخدمين من التهديدات السيبرانية والأنشطة الضارة، وكشف ومنع محاولات الاحتيال والاستخدام غير المصرح به، ومراقبة الامتثال لمتطلبات استخدام الأجهزة المعتمدة فقط، والتحقق من هوية المستخدمين ومنع انتحال الشخصية، وحماية البيانات الحساسة والمعلومات السرية من التسريب أو السرقة، والاستجابة للحوادث الأمنية والتحقيق فيها، وضمان استمرارية الخدمة وتوفرها للمستخدمين المصرح لهم.
الأساس القانوني لهذه المعالجة هو مصلحتنا المشروعة في حماية أعمالنا وأصولنا ومستخدمينا من المخاطر الأمنية والمالية، بالإضافة إلى الامتثال للالتزامات القانونية المفروضة علينا بموجب قوانين الأمن السيبراني وحماية البيانات. في بعض الحالات، قد نعتمد على الموافقة الصريحة للمستخدمين، خاصة عند استخدام تقنيات مراقبة متقدمة أو جمع بيانات إضافية لأغراض أمنية.
التطوير والتحسين والابتكار
نستخدم البيانات الشخصية والتقنية لتطوير وتحسين خدماتنا ومنتجاتنا بشكل مستمر، وذلك من خلال تحليل أنماط الاستخدام وسلوك المستخدمين لفهم احتياجاتهم وتفضيلاتهم، وتطوير ميزات وخدمات جديدة تلبي متطلبات السوق المتغيرة، وتحسين أداء النظام وسرعة الاستجابة وتجربة المستخدم، وإجراء البحوث والتحليلات لفهم اتجاهات الصناعة والتقنيات الناشئة، واختبار وتقييم فعالية الميزات والخدمات الجديدة قبل إطلاقها، وتخصيص المحتوى والتوصيات بناءً على اهتمامات وسلوك المستخدمين.
نعتمد في هذه المعالجة على مصلحتنا المشروعة في تطوير أعمالنا وتقديم خدمات أفضل ومواكبة التطورات التقنية والسوقية. كما قد نحصل على موافقة صريحة من المستخدمين عند استخدام بياناتهم لأغراض بحثية أو تطويرية محددة، أو عند مشاركة البيانات مع شركاء خارجيين لأغراض التطوير والابتكار.
التسويق والترويج والتواصل
نعالج البيانات الشخصية لأغراض تسويقية وترويجية مشروعة، بما في ذلك إرسال معلومات حول خدماتنا الجديدة والتحديثات والعروض الخاصة، وتخصيص الرسائل التسويقية والإعلانات حسب اهتمامات وتفضيلات المستخدمين، وإجراء حملات تسويقية مستهدفة عبر قنوات مختلفة، وقياس فعالية الحملات التسويقية وتحليل معدلات الاستجابة، وبناء علاقات طويلة الأمد مع العملاء وتعزيز الولاء للعلامة التجارية، والمشاركة في المعارض والفعاليات والأنشطة الترويجية.
نعتمد بشكل أساسي على الموافقة الصريحة والمسبقة من المستخدمين للأنشطة التسويقية، خاصة للتسويق المباشر عبر البريد الإلكتروني أو الرسائل النصية. كما قد نعتمد على مصلحتنا المشروعة في الترويج لخدماتنا للعملاء الحاليين، شريطة توفير خيارات سهلة وواضحة لإلغاء الاشتراك في أي وقت.
الامتثال القانوني والتنظيمي
نعالج البيانات الشخصية للوفاء بالتزاماتنا القانونية والتنظيمية المختلفة، وتشمل الامتثال لقوانين حماية البيانات والخصوصية المحلية والدولية، والاحتفاظ بسجلات مالية ومحاسبية وفقاً للمتطلبات الضريبية والمالية، والتعاون مع السلطات الحكومية والتنظيمية في التحقيقات المشروعة، وتنفيذ الأوامر القضائية وطلبات إنفاذ القانون، والإبلاغ عن الأنشطة المشبوهة أو المخالفات القانونية عند الضرورة، وضمان الامتثال لمتطلبات مكافحة غسل الأموال وتمويل الإرهاب، والوفاء بالتزامات الإفصاح والشفافية المطلوبة قانونياً.
الأساس القانوني لهذه المعالجة هو الامتثال للالتزام القانوني، حيث نكون ملزمين قانونياً بمعالجة البيانات الشخصية للوفاء بالتزاماتنا القانونية والتنظيمية. في بعض الحالات، قد نعتمد على المصلحة العامة أو ممارسة السلطة الرسمية المخولة لنا، خاصة عند التعامل مع طلبات السلطات الحكومية أو التحقيقات الرسمية.
إدارة المخاطر والتأمين
نعالج البيانات الشخصية لأغراض إدارة المخاطر التجارية والتشغيلية، وتشمل تقييم المخاطر المرتبطة بالعملاء والمعاملات والخدمات المقدمة، وإدارة مخاطر الائتمان والسيولة والتشغيل، والحصول على التأمين المناسب وإدارة المطالبات التأمينية، وتطوير استراتيجيات للتخفيف من المخاطر المحددة، ومراقبة والإبلاغ عن المؤشرات الرئيسية للمخاطر، وضمان استمرارية الأعمال في حالات الطوارئ والأزمات.
نعتمد على مصلحتنا المشروعة في حماية أعمالنا وأصولنا ومستخدمينا من المخاطر المختلفة، وضمان الاستقرار المالي والتشغيلي للشركة. كما قد نعتمد على الامتثال للالتزامات القانونية المتعلقة بإدارة المخاطر والإبلاغ التنظيمي في القطاعات المنظمة.
—
القسم الرابع: مشاركة البيانات مع الأطراف الثالثة
مقدمو الخدمات والشركاء التقنيون
نشارك البيانات الشخصية مع مقدمي خدمات تقنيين موثوقين ومعتمدين يساعدوننا في تشغيل وتطوير نظام هياكل، وذلك وفقاً لاتفاقيات صارمة لمعالجة البيانات تضمن الحماية المناسبة والامتثال لمعايير الأمان والخصوصية. يشمل هؤلاء الشركاء مقدمي الخدمات السحابية الذين يستضيفون بنيتنا التحتية وقواعد البيانات، وشركات الأمن السيبراني التي تساعدنا في حماية النظام من التهديدات، ومقدمي خدمات الدفع والتحويلات المالية، وشركات التحليلات والإحصائيات التي تساعدنا في فهم أداء النظام، ومقدمي خدمات الاتصالات والرسائل الإلكترونية، وشركات النسخ الاحتياطي والاستعادة من الكوارث.
جميع هؤلاء الشركاء يخضعون لعمليات فحص وتدقيق صارمة للتأكد من التزامهم بأعلى معايير الأمان وحماية البيانات، ويوقعون اتفاقيات تعاقدية مفصلة تحدد بوضوح أغراض المعالجة المسموحة، والتدابير الأمنية المطلوبة، وقيود المشاركة مع أطراف ثالثة أخرى، والتزامات الحذف والإرجاع عند انتهاء العلاقة التعاقدية. كما نراقب أداءهم بانتظام ونجري تدقيقات دورية للتأكد من الامتثال المستمر.
السلطات الحكومية والتنظيمية
قد نشارك البيانات الشخصية مع السلطات الحكومية والتنظيمية المختصة عندما يكون ذلك مطلوباً قانونياً أو ضرورياً لحماية المصالح المشروعة، وذلك في حالات محددة تشمل الاستجابة للأوامر القضائية وطلبات إنفاذ القانون الصحيحة والمبررة، والتعاون في التحقيقات الجنائية أو الإدارية المشروعة، والامتثال لمتطلبات الإبلاغ التنظيمية والضريبية، والمساعدة في قضايا الأمن القومي أو مكافحة الإرهاب، والإبلاغ عن الأنشطة المشبوهة أو المخالفات القانونية المكتشفة.
نلتزم بمراجعة جميع طلبات السلطات الحكومية بعناية للتأكد من صحتها القانونية ونطاقها المناسب، ونسعى لحماية حقوق المستخدمين من خلال الكشف عن الحد الأدنى من البيانات الضرورية لتلبية الطلب المشروع. كما نحتفظ بسجلات مفصلة لجميع طلبات الكشف عن البيانات والاستجابات المقدمة، ونقدم تقارير شفافية دورية حول هذه الطلبات عندما يسمح القانون بذلك.
الشركاء التجاريين والفريلانسرز
في إطار تشغيل منصة الفريلانسرز وخدمات الوساطة، نشارك بيانات محدودة وضرورية مع الشركاء التجاريين والفريلانسرز المعتمدين لتسهيل تقديم الخدمات وإدارة المشاريع. يشمل ذلك مشاركة معلومات الاتصال الأساسية بين الشركات والفريلانسرز لتمكين التواصل المباشر، ومعلومات المشاريع والمتطلبات اللازمة لتنفيذ الخدمات المطلوبة، وبيانات الأداء والتقييمات لضمان جودة الخدمات، ومعلومات الدفع والفواتير اللازمة لمعالجة المعاملات المالية.
جميع الشركاء والفريلانسرز يخضعون لعمليات تحقق صارمة ويوقعون اتفاقيات سرية وحماية بيانات شاملة قبل الحصول على أي وصول للبيانات الشخصية. كما نطبق مبدأ الحد الأدنى للبيانات، حيث نشارك فقط المعلومات الضرورية لتنفيذ الخدمة المحددة، ونراقب استخدام البيانات بانتظام لضمان الامتثال للاتفاقيات والسياسات المحددة.
عمليات الاندماج والاستحواذ
في حالة اندماج الشركة أو استحواذها أو بيع أصولها أو إعادة هيكلتها، قد تكون البيانات الشخصية جزءاً من الأصول المنقولة إلى الكيان الجديد أو المستحوذ. في مثل هذه الحالات، نلتزم بإشعار المستخدمين مسبقاً بالتغيير المخطط له وتأثيره على بياناتهم الشخصية، وضمان أن الكيان الجديد يلتزم بنفس مستويات الحماية والخصوصية المنصوص عليها في هذه السياسة أو مستويات أعلى، وتوفير خيارات للمستخدمين لحذف بياناتهم أو نقلها إذا لم يوافقوا على الترتيبات الجديدة.
نضمن أن جميع عمليات النقل تتم وفقاً للقوانين المعمول بها وبأقصى درجات الأمان والسرية، وأن الكيان المستقبل يوقع التزامات تعاقدية صارمة لحماية البيانات المنقولة والامتثال لجميع متطلبات الخصوصية والأمان.
حالات الطوارئ والحماية القانونية
قد نكشف عن البيانات الشخصية دون موافقة مسبقة في حالات طوارئ محددة ومبررة، تشمل حماية سلامة وأمن المستخدمين أو الجمهور من تهديدات فورية، ومنع أو التحقيق في أنشطة إجرامية أو احتيالية خطيرة، وحماية حقوقنا القانونية والدفاع عن مصالحنا المشروعة في الإجراءات القانونية، والامتثال لطلبات الطوارئ من السلطات المختصة في حالات الأزمات أو الكوارث، وحماية الأطفال من الأذى أو الاستغلال.
في جميع هذه الحالات، نلتزم بالكشف عن الحد الأدنى من البيانات الضرورية لمعالجة الحالة الطارئة، ونوثق جميع حالات الكشف الطارئ للمراجعة اللاحقة والتأكد من مبرراتها القانونية والأخلاقية. كما نسعى لإشعار المستخدمين المتأثرين بأسرع وقت ممكن بعد زوال الحالة الطارئة، ما لم يمنع القانون أو السلطات المختصة من ذلك.
—
القسم الخامس: الأمان وحماية البيانات التقنية
التشفير والحماية التقنية المتقدمة
نطبق أحدث تقنيات التشفير والحماية لضمان أقصى مستويات الأمان للبيانات الشخصية في جميع مراحل المعالجة والتخزين والنقل. نستخدم تشفير AES-256 لحماية البيانات المخزنة في قواعد البيانات والخوادم، وبروتوكول TLS 1.3 لتأمين جميع عمليات النقل والاتصال عبر الإنترنت، وتقنيات التشفير المتقدمة للنسخ الاحتياطية والأرشفة طويلة المدى، وأنظمة إدارة المفاتيح المتطورة لضمان سلامة وسرية مفاتيح التشفير، وتقنيات التشفير المتجانس للحوسبة الآمنة على البيانات المشفرة.
تشمل التدابير الأمنية الإضافية أنظمة كشف ومنع التسلل المتقدمة التي تراقب الشبكة والأنظمة على مدار الساعة، وجدران الحماية متعددة الطبقات التي تحمي من التهديدات الخارجية والداخلية، وأنظمة مكافحة البرمجيات الخبيثة والفيروسات المحدثة باستمرار، وتقنيات الذكاء الاصطناعي لكشف الأنماط غير الطبيعية والتهديدات الناشئة، وأنظمة النسخ الاحتياطي المؤتمتة والموزعة جغرافياً لضمان استمرارية الخدمة واستعادة البيانات في حالات الطوارئ.
ضوابط الوصول والمصادقة المتعددة العوامل
نطبق نظاماً صارماً لضوابط الوصول يضمن أن البيانات الشخصية متاحة فقط للأشخاص المخولين والمحتاجين إليها لأداء مهامهم الوظيفية. يعتمد النظام على مبدأ الصلاحيات الدنيا، حيث يحصل كل مستخدم على أقل مستوى من الوصول الضروري لأداء وظائفه، ومراجعة دورية للصلاحيات وتحديثها حسب التغييرات في الأدوار والمسؤوليات، وإلغاء فوري للوصول عند انتهاء العلاقة الوظيفية أو تغيير المسؤوليات، وتسجيل مفصل لجميع محاولات الوصول والأنشطة المتعلقة بالبيانات الحساسة.
تتطلب جميع الحسابات المتميزة والحساسة استخدام المصادقة المتعددة العوامل، التي تجمع بين عدة عوامل مثل كلمات المرور القوية والمعقدة، والرموز المؤقتة المرسلة عبر الهاتف أو التطبيقات المخصصة، والمصادقة البيومترية مثل بصمات الأصابع أو التعرف على الوجه، والشهادات الرقمية والمفاتيح الأمنية المادية، وأنظمة التحقق السلوكي التي تحلل أنماط الاستخدام الطبيعية للمستخدمين.
مراقبة الأمان والاستجابة للحوادث
نحتفظ بمركز عمليات أمنية متخصص يعمل على مدار الساعة لمراقبة الأنظمة والشبكات والكشف المبكر عن أي تهديدات أو أنشطة مشبوهة. يستخدم المركز أحدث أدوات المراقبة والتحليل الأمني، بما في ذلك أنظمة إدارة المعلومات والأحداث الأمنية (SIEM) التي تجمع وتحلل البيانات من مصادر متعددة، وأدوات التحليل السلوكي التي تكشف الانحرافات عن الأنماط الطبيعية، وأنظمة الإنذار المبكر التي تنبه فوراً إلى التهديدات المحتملة، وأدوات الاستجابة الآلية التي تتخذ إجراءات فورية لاحتواء التهديدات.
في حالة اكتشاف حادث أمني يؤثر على البيانات الشخصية، نطبق خطة استجابة شاملة ومختبرة تشمل الاحتواء الفوري للحادث ومنع انتشاره، وتقييم نطاق وتأثير الحادث على البيانات والمستخدمين، والتحقيق الشامل لتحديد أسباب الحادث والثغرات المستغلة، وإصلاح الثغرات واتخاذ إجراءات تصحيحية لمنع تكرار الحادث، والإبلاغ الفوري للسلطات التنظيمية المختصة وفقاً للمتطلبات القانونية، وإشعار المستخدمين المتأثرين بالحادث وتأثيره على بياناتهم والإجراءات المتخذة.
الاختبارات الأمنية والتدقيق المستمر
نجري اختبارات أمنية شاملة ومنتظمة لضمان فعالية التدابير الأمنية المطبقة واكتشاف أي ثغرات أو نقاط ضعف قبل استغلالها من قبل المهاجمين. تشمل هذه الاختبارات اختبارات الاختراق الأخلاقي التي يجريها خبراء أمن سيبراني معتمدون ومستقلون، وتقييمات شاملة للثغرات الأمنية في جميع الأنظمة والتطبيقات، ومراجعات أمنية للكود المصدري والبنية التحتية، واختبارات الضغط والأحمال لضمان استقرار النظام تحت الظروف القاسية، وتقييمات المخاطر الدورية لتحديد التهديدات الناشئة والمتطورة.
نحتفظ بشهادات امتثال معتمدة دولياً مثل ISO 27001 لأمن المعلومات، وSOC 2 للضوابط الأمنية، وشهادات امتثال لمعايير صناعة بطاقات الدفع (PCI DSS)، وأي شهادات أخرى مطلوبة في الصناعات والأسواق التي نخدمها. هذه الشهادات تخضع لتدقيقات دورية من قبل جهات خارجية مستقلة للتأكد من الامتثال المستمر والتحسين المستمر لممارساتنا الأمنية.
—
القسم السادس: حقوق أصحاب البيانات وآليات ممارستها
الحق في الوصول والحصول على نسخة من البيانات
يحق لجميع أصحاب البيانات الحصول على معلومات واضحة ومفصلة حول البيانات الشخصية التي نعالجها عنهم، بما في ذلك أنواع البيانات المجمعة ومصادر جمعها، وأغراض المعالجة والأسس القانونية لكل غرض، ومدة الاحتفاظ بالبيانات أو المعايير المستخدمة لتحديدها، والجهات التي قد نشارك معها البيانات والضمانات المطبقة، وحقوقهم في تصحيح أو حذف أو تقييد معالجة بياناتهم، ومعلومات الاتصال لمسؤول حماية البيانات أو الفريق المختص.
كما يحق لأصحاب البيانات الحصول على نسخة من بياناتهم الشخصية بتنسيق منظم وشائع الاستخدام وقابل للقراءة آلياً، مما يمكنهم من نقل هذه البيانات إلى مراقب بيانات آخر دون عوائق من جانبنا. نوفر هذه الخدمة مجاناً للطلب الأول، وقد نفرض رسوماً إدارية معقولة للطلبات الإضافية أو المتكررة أو المعقدة بشكل مفرط.
توفر منصة هياكل واجهات مستخدم سهلة ومتاحة تمكن المستخدمين من الوصول إلى بياناتهم الشخصية وعرضها وتحميلها في أي وقت، دون الحاجة لتقديم طلبات رسمية للحالات البسيطة. للطلبات المعقدة أو الشاملة، نوفر نماذج طلب مخصصة وقنوات اتصال مباشرة مع فريق حماية البيانات المتخصص.
الحق في التصحيح والتحديث
يحق لأصحاب البيانات طلب تصحيح أي بيانات شخصية غير دقيقة أو غير مكتملة أو قديمة، وتحديث معلوماتهم الشخصية لتعكس وضعهم الحالي والصحيح. نلتزم بالاستجابة لطلبات التصحيح خلال مدة لا تتجاوز ثلاثين يوماً من تاريخ استلام الطلب الكامل والموثق، ونقوم بإشعار جميع الجهات التي شاركنا معها البيانات المصححة بالتحديثات اللازمة عندما يكون ذلك ممكناً ومناسباً.
توفر المنصة أدوات تحديث ذاتية تمكن المستخدمين من تحديث معظم بياناتهم الشخصية مباشرة من خلال حساباتهم، مع تطبيق عمليات تحقق مناسبة للتأكد من صحة المعلومات الجديدة. للبيانات الحساسة أو المهمة، قد نطلب وثائق داعمة أو تحققاً إضافياً قبل تطبيق التغييرات.
في حالة تصحيح بيانات مهمة تؤثر على الخدمات المقدمة أو الحسابات المالية، نقوم بمراجعة شاملة للتأكد من تطبيق التصحيحات على جميع الأنظمة والسجلات ذات الصلة، وإشعار المستخدم بإتمام عملية التصحيح وأي تأثيرات على خدماته أو حساباته.
الحق في الحذف (الحق في النسيان)
يحق لأصحاب البيانات طلب حذف بياناتهم الشخصية في حالات محددة قانونياً، تشمل عدم الحاجة إلى البيانات للأغراض الأصلية التي جُمعت أو عولجت من أجلها، وسحب الموافقة التي تستند إليها المعالجة وعدم وجود أساس قانوني آخر للمعالجة، والاعتراض على المعالجة وعدم وجود مصالح مشروعة غالبة للاستمرار في المعالجة، ومعالجة البيانات بشكل غير قانوني أو مخالف لهذه السياسة أو القوانين المعمول بها، وضرورة الحذف للامتثال لالتزام قانوني ينطبق علينا.
مع ذلك، قد لا نتمكن من حذف البيانات الشخصية في حالات معينة، مثل الحاجة للاحتفاظ بالبيانات للامتثال لالتزام قانوني أو تنظيمي، أو لإقامة أو ممارسة أو الدفاع عن مطالبات قانونية، أو لأغراض الأرشفة للمصلحة العامة أو الأغراض البحثية أو الإحصائية، أو عندما تكون البيانات ضرورية لممارسة حق حرية التعبير والمعلومات.
عندما نتلقى طلب حذف صحيح ومبرر، نقوم بحذف البيانات الشخصية ذات الصلة من جميع أنظمتنا النشطة خلال مدة لا تتجاوز ستين يوماً، ونتخذ خطوات معقولة لإشعار الجهات التي شاركنا معها هذه البيانات بطلب الحذف. كما نوفر تأكيداً كتابياً لصاحب البيانات بإتمام عملية الحذف وأي استثناءات أو قيود قد تنطبق.
الحق في تقييد المعالجة
يحق لأصحاب البيانات طلب تقييد معالجة بياناتهم الشخصية في ظروف معينة، بدلاً من طلب الحذف الكامل، وذلك عندما يتنازعون على دقة البيانات الشخصية لفترة تمكننا من التحقق من دقة البيانات، أو عندما تكون المعالجة غير قانونية ويعارض صاحب البيانات حذف البيانات الشخصية ويطلب بدلاً من ذلك تقييد استخدامها، أو عندما لا نعود بحاجة إلى البيانات الشخصية لأغراض المعالجة ولكن صاحب البيانات يحتاجها لإقامة أو ممارسة أو الدفاع عن مطالبات قانونية، أو عندما يعترض صاحب البيانات على المعالجة في انتظار التحقق من غلبة مصالحنا المشروعة على مصالح صاحب البيانات.
عندما تكون المعالجة مقيدة، نحتفظ بالبيانات الشخصية ولكن لا نعالجها إلا بموافقة صاحب البيانات أو لإقامة أو ممارسة أو الدفاع عن مطالبات قانونية أو لحماية حقوق شخص طبيعي أو اعتباري آخر أو لأسباب مهمة تتعلق بالمصلحة العامة. نشعر صاحب البيانات قبل رفع التقييد عن المعالجة.
الحق في الاعتراض على المعالجة
يحق لأصحاب البيانات الاعتراض في أي وقت على معالجة بياناتهم الشخصية التي تستند إلى مصالحنا المشروعة أو أداء مهمة تتم للمصلحة العامة أو في إطار ممارسة السلطة الرسمية المخولة لنا، بما في ذلك التنميط القائم على هذه الأحكام. في هذه الحالة، نتوقف عن معالجة البيانات الشخصية ما لم نتمكن من إثبات أسباب مشروعة مقنعة للمعالجة تتفوق على مصالح وحقوق وحريات صاحب البيانات، أو لإقامة أو ممارسة أو الدفاع عن مطالبات قانونية.
كما يحق لأصحاب البيانات الاعتراض في أي وقت على معالجة بياناتهم الشخصية لأغراض التسويق المباشر، بما في ذلك التنميط المرتبط بهذا التسويق المباشر. عندما يعترض صاحب البيانات على المعالجة لأغراض التسويق المباشر، نتوقف عن معالجة البيانات الشخصية لهذه الأغراض فوراً ودون استثناء.
نوفر آليات سهلة وواضحة للاعتراض على المعالجة، بما في ذلك روابط إلغاء الاشتراك في جميع الرسائل التسويقية، وخيارات في إعدادات الحساب لتخصيص تفضيلات المعالجة، ونماذج اتصال مخصصة لتقديم اعتراضات رسمية على أنواع معينة من المعالجة.
الحق في نقل البيانات
يحق لأصحاب البيانات الحصول على بياناتهم الشخصية التي قدموها لنا بتنسيق منظم وشائع الاستخدام وقابل للقراءة آلياً، ونقل هذه البيانات إلى مراقب بيانات آخر دون عوائق من جانبنا، وذلك عندما تستند المعالجة إلى الموافقة أو العقد وتتم المعالجة بوسائل آلية. كما يحق لهم طلب نقل البيانات الشخصية مباشرة من مراقب بيانات إلى آخر عندما يكون ذلك ممكناً تقنياً.
نوفر أدوات تصدير متقدمة تمكن المستخدمين من تحميل بياناتهم بتنسيقات مختلفة مثل JSON وCSV وXML، مع ضمان أن البيانات المصدرة كاملة ودقيقة ومحدثة. كما نوفر واجهات برمجة تطبيقات (APIs) تمكن الخدمات الأخرى من استيراد البيانات مباشرة بموافقة صريحة من صاحب البيانات.
هذا الحق لا يؤثر سلباً على حقوق وحريات الآخرين، ولا ينطبق على المعالجة الضرورية لأداء مهمة تتم للمصلحة العامة أو في إطار ممارسة السلطة الرسمية المخولة لمراقب البيانات.
—
القسم السابع: الاحتفاظ بالبيانات وسياسات الحذف
مبادئ الاحتفاظ بالبيانات والمدد الزمنية
نطبق مبدأ التخزين المحدود، حيث نحتفظ بالبيانات الشخصية فقط للمدة الضرورية لتحقيق الأغراض التي جُمعت من أجلها، أو للامتثال للالتزامات القانونية والتنظيمية، أو لحماية مصالحنا المشروعة في حدود المعقول والمبرر. تختلف مدد الاحتفاظ حسب نوع البيانات والغرض من معالجتها والمتطلبات القانونية المطبقة.
للبيانات الأساسية للحساب والهوية، نحتفظ بها طوال فترة نشاط الحساب وتقديم الخدمات، بالإضافة إلى فترة إضافية لا تتجاوز سبع سنوات بعد إغلاق الحساب أو إنهاء الخدمة، وذلك للامتثال للمتطلبات المحاسبية والضريبية والقانونية. للبيانات المالية والمعاملات، نحتفظ بها لمدة عشر سنوات من تاريخ آخر معاملة، وفقاً لمتطلبات قوانين مكافحة غسل الأموال والتنظيمات المصرفية.
للبيانات التقنية وسجلات الاستخدام، نحتفظ بالسجلات التفصيلية لمدة سنتين من تاريخ الجمع، والسجلات المجمعة والمجهولة الهوية لمدة خمس سنوات لأغراض التحليل والتطوير. للمراسلات وسجلات الدعم الفني، نحتفظ بها لمدة خمس سنوات من تاريخ آخر تفاعل، أو لمدة أطول إذا كانت مرتبطة بنزاعات قانونية أو مطالبات قائمة.
عمليات المراجعة والحذف الدوري
نجري مراجعات دورية ومنتظمة لجميع البيانات الشخصية المخزنة في أنظمتنا لتحديد البيانات التي انتهت مدة الاحتفاظ بها أو لم تعد ضرورية للأغراض المحددة، وحذفها بشكل آمن ونهائي. تتم هذه المراجعات شهرياً للبيانات قصيرة المدى، وربع سنوياً للبيانات متوسطة المدى، وسنوياً للبيانات طويلة المدى والأرشيفية.
تشمل عمليات الحذف الآمن استخدام تقنيات متقدمة لضمان عدم إمكانية استرداد البيانات المحذوفة، بما في ذلك الكتابة المتعددة على وسائل التخزين، والتدمير المادي لوسائل التخزين المتقادمة، وتطبيق معايير الحذف الآمن المعتمدة دولياً مثل DoD 5220.22-M وNIST 800-88. كما نحتفظ بسجلات مفصلة لجميع عمليات الحذف للمراجعة والتدقيق.
في حالة البيانات المخزنة لدى مقدمي خدمات خارجيين، نضمن أن اتفاقياتنا التعاقدية تتضمن التزامات صارمة بحذف البيانات وفقاً لنفس المعايير والجداول الزمنية المطبقة داخلياً، ونطلب تأكيدات كتابية بإتمام عمليات الحذف.
الاستثناءات والاحتفاظ الممتد
قد نحتفظ ببعض البيانات الشخصية لفترات أطول من المدد المحددة أعلاه في حالات استثنائية ومبررة قانونياً، تشمل الامتثال لأوامر قضائية أو طلبات السلطات التنظيمية للاحتفاظ بالبيانات، والدفاع عن حقوقنا القانونية في نزاعات قائمة أو محتملة، والامتثال لمتطلبات قانونية خاصة في صناعات منظمة، وحماية المصالح الحيوية لأصحاب البيانات أو الأشخاص الآخرين، والأغراض الأرشيفية للمصلحة العامة أو الأغراض البحثية أو الإحصائية مع تطبيق ضمانات مناسبة.
في هذه الحالات، نطبق تدابير حماية إضافية مثل تقييد الوصول إلى البيانات للأشخاص المخولين فقط، وتشفير إضافي للبيانات المحتفظ بها لفترات ممتدة، ومراجعات دورية لتقييم استمرار الحاجة للاحتفاظ بالبيانات، وإشعار أصحاب البيانات بالاحتفاظ الممتد عندما يكون ذلك ممكناً ومناسباً.
نحتفظ بسجلات مفصلة لجميع حالات الاحتفاظ الممتد، تشمل المبررات القانونية والمدة المتوقعة والمراجعات الدورية المجراة والتدابير الحمائية المطبقة، وهذه السجلات متاحة للمراجعة من قبل السلطات التنظيمية المختصة.
البيانات المجهولة الهوية والمجمعة
قد نحتفظ بالبيانات المجهولة الهوية والمجمعة لفترات أطول من البيانات الشخصية المحددة للهوية، وذلك لأغراض مشروعة مثل البحث والتطوير، وتحليل الاتجاهات والأنماط، وتحسين الخدمات والمنتجات، والامتثال للمتطلبات الإحصائية والتنظيمية. هذه البيانات تخضع لعمليات إزالة تحديد الهوية صارمة وفعالة تضمن عدم إمكانية ربطها بأشخاص محددين أو قابلين للتحديد.
نطبق تقنيات متقدمة لإزالة تحديد الهوية مثل التعميم والتقليل والتشويش والتجميع، ونجري تقييمات دورية لمخاطر إعادة التحديد للتأكد من فعالية هذه التقنيات. كما نطبق ضوابط وصول صارمة على البيانات المجهولة الهوية ونحد من استخدامها للأغراض المحددة والمشروعة فقط.
في حالة تطوير تقنيات جديدة قد تمكن من إعادة تحديد الهوية للبيانات المجهولة، نعيد تقييم ممارساتنا ونطبق تدابير حماية إضافية أو نحذف البيانات إذا لزم الأمر لحماية خصوصية أصحاب البيانات.
—
القسم الثامن: نقل البيانات عبر الحدود والضمانات الدولية
آليات النقل المعتمدة والضمانات القانونية
عندما نحتاج لنقل البيانات الشخصية خارج المملكة العربية السعودية أو خارج المنطقة الاقتصادية الأوروبية لأغراض مشروعة مثل تقديم الخدمات أو الدعم الفني أو النسخ الاحتياطي أو التطوير، نطبق آليات نقل معتمدة وضمانات قانونية صارمة لحماية البيانات في الوجهة المستهدفة. نعتمد بشكل أساسي على قرارات الكفاية الصادرة عن السلطات التنظيمية المختصة، والتي تؤكد أن الدولة أو المنطقة المستهدفة توفر مستوى حماية مناسب ومكافئ للبيانات الشخصية.
في حالة عدم وجود قرار كفاية، نطبق البنود التعاقدية النموذجية المعتمدة من قبل السلطات التنظيمية، والتي تضمن التزامات تعاقدية صارمة على الجهة المستقبلة لحماية البيانات وفقاً لمعايير مماثلة لتلك المطبقة في المملكة أو الاتحاد الأوروبي. كما قد نعتمد على شهادات الامتثال المعتمدة دولياً مثل شهادات الخصوصية العابرة للحدود أو قواعد الشركات الملزمة للمجموعات الدولية.
نحتفظ بسجلات مفصلة لجميع عمليات النقل عبر الحدود، تشمل الجهات المستقبلة وطبيعة البيانات المنقولة والأغراض من النقل والضمانات المطبقة والمدة الزمنية للنقل. هذه السجلات متاحة للمراجعة من قبل أصحاب البيانات والسلطات التنظيمية عند الطلب.
تقييم المخاطر والحماية الإضافية
نجري تقييمات شاملة للمخاطر قبل أي عملية نقل للبيانات عبر الحدود، تشمل تحليل القوانين والممارسات في الدولة المستهدفة، وتقييم مستوى الحماية القانونية والتقنية المتاحة، وتحديد المخاطر المحتملة على حقوق وحريات أصحاب البيانات، وتطوير تدابير تخفيف مناسبة للمخاطر المحددة. في حالة وجود مخاطر عالية، نطبق تدابير حماية إضافية مثل التشفير المتقدم والتوقيع الرقمي، وتقييد الوصول للبيانات للأشخاص المخولين فقط، ومراقبة مستمرة لاستخدام البيانات في الوجهة المستهدفة.
كما نراقب التطورات القانونية والسياسية في الدول التي ننقل إليها البيانات، ونعيد تقييم ترتيبات النقل عند حدوث تغييرات جوهرية قد تؤثر على مستوى الحماية. في حالة تدهور مستوى الحماية أو ظهور مخاطر جديدة، نتخذ إجراءات فورية لحماية البيانات، بما في ذلك تعليق النقل أو تطبيق تدابير حماية إضافية أو نقل البيانات إلى وجهة أكثر أماناً.
الشفافية والإشعار
نلتزم بالشفافية الكاملة حول ممارسات نقل البيانات عبر الحدود، ونوفر معلومات واضحة ومفصلة للمستخدمين حول الدول والمناطق التي قد ننقل إليها بياناتهم، والأغراض من النقل، والضمانات المطبقة لحماية البيانات، والحقوق المتاحة لهم فيما يتعلق بالنقل. هذه المعلومات متاحة في هذه السياسة وفي إشعارات الخصوصية المخصصة لخدمات معينة.
في حالة النقل لأغراض جديدة أو إلى وجهات جديدة لم تكن مشمولة في الموافقة الأصلية، نحصل على موافقة صريحة ومسبقة من أصحاب البيانات، مع توضيح كامل للأغراض والوجهات والمخاطر والضمانات. كما نوفر خيارات للمستخدمين لرفض النقل أو تقييده، مع توضيح أي تأثير ذلك قد يكون له على الخدمات المقدمة لهم.
نحتفظ بقائمة محدثة ومتاحة للعموم بجميع الدول والمناطق التي ننقل إليها البيانات، والشركاء والمقدمين في كل وجهة، والضمانات المطبقة، وأي تغييرات حديثة في ترتيبات النقل. هذه القائمة تحدث بانتظام وتتضمن معلومات الاتصال للاستفسارات والشكاوى المتعلقة بالنقل عبر الحدود.
—
القسم التاسع: ملفات تعريف الارتباط والتقنيات المشابهة
أنواع ملفات تعريف الارتباط المستخدمة
نستخدم ملفات تعريف الارتباط (Cookies) والتقنيات المشابهة لتحسين تجربة المستخدم وضمان الأداء الأمثل للنظام وتوفير ميزات متقدمة ومخصصة. تشمل الأنواع المختلفة من ملفات تعريف الارتباط التي نستخدمها ملفات تعريف الارتباط الضرورية والأساسية التي تمكن الوظائف الأساسية للموقع مثل تسجيل الدخول والتنقل الآمن وحفظ تفضيلات المستخدم الأساسية، وملفات تعريف الارتباط الوظيفية التي تحسن تجربة المستخدم من خلال تذكر الخيارات والتفضيلات مثل اللغة والمنطقة الزمنية وإعدادات العرض.
كما نستخدم ملفات تعريف الارتباط التحليلية التي تساعدنا في فهم كيفية استخدام المستخدمين للنظام وتحديد المناطق التي تحتاج للتحسين، وملفات تعريف الارتباط التسويقية التي تمكننا من تقديم إعلانات ومحتوى مخصص ومناسب لاهتمامات المستخدمين، وملفات تعريف الارتباط الأمنية التي تساعد في كشف الأنشطة المشبوهة وحماية النظام من التهديدات السيبرانية.
تختلف مدة صلاحية ملفات تعريف الارتباط حسب نوعها والغرض منها، فمنها ما هو مؤقت (Session Cookies) يحذف تلقائياً عند إغلاق المتصفح، ومنها ما هو دائم (Persistent Cookies) يبقى على الجهاز لفترة محددة قد تتراوح من أيام إلى سنوات حسب الحاجة والغرض.
إدارة تفضيلات ملفات تعريف الارتباط
نوفر للمستخدمين تحكماً كاملاً ومرناً في ملفات تعريف الارتباط المستخدمة، من خلال مركز تفضيلات ملفات تعريف الارتباط المتاح في النظام والذي يمكن الوصول إليه في أي وقت. يتيح هذا المركز للمستخدمين عرض تفاصيل شاملة عن جميع ملفات تعريف الارتباط المستخدمة، بما في ذلك أسمائها وأغراضها ومدة صلاحيتها والجهات التي قد تحصل عليها، وتخصيص تفضيلاتهم لكل فئة من فئات ملفات تعريف الارتباط بشكل منفصل.
يمكن للمستخدمين قبول أو رفض فئات معينة من ملفات تعريف الارتباط، مع العلم أن رفض ملفات تعريف الارتباط الضرورية قد يؤثر على وظائف النظام الأساسية. كما يمكنهم تغيير تفضيلاتهم في أي وقت، وسيتم تطبيق التغييرات فوراً على جلسات التصفح المستقبلية.
بالإضافة إلى أدوات التحكم المدمجة في النظام، يمكن للمستخدمين إدارة ملفات تعريف الارتباط من خلال إعدادات متصفحاتهم، حيث توفر معظم المتصفحات الحديثة خيارات متقدمة لحظر أو حذف أو تقييد ملفات تعريف الارتباط. نوفر إرشادات مفصلة حول كيفية إدارة ملفات تعريف الارتباط في المتصفحات الشائعة، مع توضيح تأثير كل خيار على تجربة استخدام النظام.
التقنيات المشابهة والبدائل
بالإضافة إلى ملفات تعريف الارتباط التقليدية، نستخدم تقنيات مشابهة أخرى لتحقيق أغراض مماثلة، تشمل التخزين المحلي (Local Storage) والتخزين الجلسي (Session Storage) في المتصفحات لحفظ البيانات مؤقتاً وتحسين الأداء، وإشارات الويب (Web Beacons) والبكسلات التتبعية لقياس فعالية الحملات التسويقية وتحليل سلوك المستخدمين، وتقنيات بصمة المتصفح (Browser Fingerprinting) المحدودة لأغراض أمنية ومنع الاحتيال.
نطبق نفس مبادئ الشفافية والتحكم على هذه التقنيات المشابهة، ونوفر معلومات واضحة حول استخدامها والأغراض منها وكيفية تعطيلها أو تقييدها عند الإمكان. كما نراجع بانتظام التقنيات المستخدمة ونحدثها لضمان الامتثال لأحدث المعايير والممارسات في مجال الخصوصية وحماية البيانات.
في حالة تطوير أو تطبيق تقنيات جديدة قد تؤثر على خصوصية المستخدمين، نجري تقييمات تأثير الخصوصية ونحصل على الموافقات اللازمة قبل التطبيق، ونحدث هذه السياسة وإشعارات الخصوصية ذات الصلة لتعكس التغييرات الجديدة.
—
القسم العاشر: حماية خصوصية الأطفال والقُصر
سياسة عدم جمع بيانات الأطفال
نلتزم التزاماً صارماً بحماية خصوصية الأطفال والقُصر، ولا نجمع أو نعالج عمداً البيانات الشخصية للأطفال دون سن الثامنة عشرة (أو السن القانونية للرشد في الولاية القضائية ذات الصلة) دون الحصول على موافقة صريحة ومسبقة من أولياء الأمور أو الأوصياء القانونيين. نظام هياكل مصمم أساساً للاستخدام من قبل الشركات والمؤسسات والمهنيين البالغين، وجميع خدماتنا تتطلب الأهلية القانونية الكاملة للتعاقد والالتزام بالشروط والأحكام.
في حالة علمنا بأننا جمعنا بيانات شخصية لطفل دون الحصول على الموافقة المطلوبة قانونياً، نتخذ إجراءات فورية لحذف هذه البيانات من أنظمتنا والتأكد من عدم معالجتها أو مشاركتها مع أي أطراف ثالثة. كما نراجع إجراءاتنا وضوابطنا لمنع تكرار مثل هذه الحوادث في المستقبل.
نطبق تدابير وقائية متعددة للتأكد من عدم تسجيل الأطفال في النظام، تشمل التحقق من العمر في نماذج التسجيل، والتحقق من الوثائق الرسمية للهوية، ومراجعة دورية للحسابات المشبوهة أو التي قد تنتمي لقُصر، وتدريب فرق الدعم والمبيعات على التعرف على المؤشرات التي قد تدل على عدم بلوغ المستخدم السن القانونية.
الحالات الاستثنائية والموافقة الأبوية
في الحالات الاستثنائية التي قد نحتاج فيها لمعالجة بيانات الأطفال أو القُصر (مثل الأطفال الذين يعملون في شركات عائلية أو يحتاجون للوصول للنظام لأغراض تعليمية أو تدريبية مشروعة)، نطبق إجراءات صارمة للحصول على الموافقة الأبوية المطلوبة قانونياً. تشمل هذه الإجراءات التحقق من هوية ولي الأمر أو الوصي القانوني، والحصول على موافقة كتابية صريحة ومفصلة تحدد أنواع البيانات التي ستجمع والأغراض من معالجتها والمدة المتوقعة للمعالجة، وتوفير معلومات شاملة حول حقوق الطفل وولي الأمر فيما يتعلق بالبيانات الشخصية.
نطبق تدابير حماية إضافية للبيانات الشخصية للأطفال والقُصر، تشمل تقييد الوصول للبيانات للأشخاص المخولين والمدربين خصيصاً على التعامل مع بيانات الأطفال، وتطبيق مستويات تشفير وأمان أعلى، ومراجعات أكثر تكراراً لضمان الامتثال المستمر، وحذف البيانات فور انتهاء الحاجة إليها أو بلوغ الطفل السن القانونية وعدم رغبته في الاستمرار.
كما نوفر لأولياء الأمور والأوصياء القانونيين حقوقاً إضافية فيما يتعلق ببيانات أطفالهم، تشمل الحق في الوصول إلى جميع البيانات المجمعة عن الطفل، والحق في تصحيح أو تحديث البيانات، والحق في حذف جميع البيانات في أي وقت، والحق في تقييد أو منع معالجة البيانات لأغراض معينة، والحق في نقل البيانات إلى خدمة أخرى، والحق في سحب الموافقة في أي وقت دون تبرير.
—
القسم الحادي عشر: التحديثات والتعديلات على السياسة
عملية المراجعة والتحديث المستمر
نراجع هذه السياسة بانتظام لضمان بقائها محدثة ومتوافقة مع التطورات القانونية والتقنية والتشغيلية، وتعكس أحدث الممارسات والمعايير في مجال حماية البيانات والخصوصية. تتم المراجعة الشاملة للسياسة سنوياً على الأقل، أو عند حدوث تغييرات جوهرية في قوانين حماية البيانات، أو عند تطوير خدمات أو تقنيات جديدة قد تؤثر على معالجة البيانات الشخصية، أو عند تلقي توجيهات أو توصيات من السلطات التنظيمية المختصة.
تشمل عملية المراجعة تقييماً شاملاً لجميع ممارسات معالجة البيانات الحالية، ومقارنتها مع المتطلبات القانونية والتنظيمية الحديثة، وتحديد أي فجوات أو مناطق تحتاج للتحسين، وتطوير خطط عمل لمعالجة أي قصور أو تحديات محددة. كما تتضمن استشارة خبراء قانونيين متخصصين في حماية البيانات، ومراجعة أفضل الممارسات الصناعية، والحصول على ملاحظات من فرق العمل الداخلية والمستخدمين عند الاقتضاء.
نحتفظ بسجلات مفصلة لجميع المراجعات والتحديثات المجراة على السياسة، تشمل تواريخ المراجعة والأسباب للتحديثات والتغييرات المحددة المطبقة والموافقات الداخلية المطلوبة. هذه السجلات متاحة للمراجعة من قبل السلطات التنظيمية المختصة وتساعد في إثبات التزامنا المستمر بحماية البيانات والخصوصية.
إجراءات الإشعار والموافقة على التحديثات
عندما نجري تعديلات جوهرية على هذه السياسة قد تؤثر على حقوق المستخدمين أو طرق معالجة بياناتهم، نلتزم بإشعارهم مسبقاً بالتغييرات المقترحة وتأثيرها المحتمل. يتم الإشعار من خلال قنوات متعددة تشمل الرسائل الإلكترونية المباشرة لجميع المستخدمين المسجلين، وإشعارات بارزة في النظام عند تسجيل الدخول، وتحديثات على موقعنا الإلكتروني ووسائل التواصل الاجتماعي الرسمية، وأي قنوات اتصال أخرى مناسبة ومتاحة.
تتضمن إشعارات التحديث معلومات واضحة ومفصلة حول طبيعة التغييرات المقترحة، والأسباب للتحديث، وتاريخ دخول التغييرات حيز التنفيذ، وتأثير التغييرات على المستخدمين وبياناتهم، والخيارات المتاحة للمستخدمين للاستجابة للتغييرات، ومعلومات الاتصال للاستفسارات أو الشكاوى المتعلقة بالتحديثات.
للتغييرات الجوهرية التي تتطلب موافقة جديدة من المستخدمين، نوفر آليات واضحة وسهلة للحصول على هذه الموافقة، مع ضمان أن الموافقة حرة ومستنيرة ومحددة وواضحة. المستخدمون الذين لا يوافقون على التغييرات الجوهرية يحق لهم إنهاء استخدام الخدمة وطلب حذف بياناتهم وفقاً للإجراءات المحددة في هذه السياسة.
الشفافية والوصول للإصدارات السابقة
نلتزم بالشفافية الكاملة حول تاريخ تطوير هذه السياسة والتغييرات المجراة عليها عبر الزمن، ونحتفظ بأرشيف كامل لجميع الإصدارات السابقة من السياسة مع تواريخ سريانها والتغييرات الرئيسية في كل إصدار. هذا الأرشيف متاح للمستخدمين والجمهور للمراجعة والمقارنة، ويساعد في فهم تطور ممارساتنا في حماية البيانات والخصوصية.
نوفر ملخصات واضحة ومفهومة للتغييرات الرئيسية في كل تحديث، مع تسليط الضوء على التحسينات في الحماية والحقوق الجديدة الممنوحة للمستخدمين والتدابير الأمنية الإضافية المطبقة. كما نوفر مقارنات جنباً إلى جنب بين الإصدارات المختلفة لتسهيل فهم التغييرات على المستخدمين والمهتمين.
في حالة طلب معلومات حول ممارسات معالجة البيانات في فترات زمنية سابقة، نوفر الوثائق والسياسات التي كانت سارية في تلك الفترات، مما يساعد في الاستجابة لطلبات أصحاب البيانات أو التحقيقات التنظيمية أو الإجراءات القانونية التي قد تتطلب معلومات تاريخية عن ممارساتنا.
—
القسم الثاني عشر: معلومات الاتصال وتقديم الشكاوى
فريق حماية البيانات والخصوصية
لدينا فريق متخصص ومؤهل في حماية البيانات والخصوصية، يضم خبراء قانونيين وتقنيين ومتخصصين في الامتثال، مكرس للتعامل مع جميع الاستفسارات والطلبات والشكاوى المتعلقة بالخصوصية وحماية البيانات الشخصية. يمكن الوصول إلى فريق حماية البيانات من خلال عدة قنوات اتصال مريحة ومتاحة، تشمل البريد الإلكتروني المخصص: pri@hayakil.com
يلتزم فريق حماية البيانات بالاستجابة لجميع الاستفسارات والطلبات خلال مدة لا تتجاوز خمسة أيام عمل من تاريخ الاستلام، مع تقديم إقرار فوري بالاستلام وتحديد الخطوات التالية والمدة الزمنية المتوقعة للاستجابة الكاملة. للطلبات المعقدة أو التي تتطلب بحثاً مكثفاً، قد تمتد المدة إلى ثلاثين يوماً، مع إشعار صاحب الطلب بالأسباب والمدة الإضافية المطلوبة.
يتمتع فريق حماية البيانات بالصلاحيات والموارد اللازمة لمعالجة جميع المسائل المتعلقة بالخصوصية، بما في ذلك الوصول إلى جميع الأنظمة والسجلات ذات الصلة، والتنسيق مع الفرق التقنية والقانونية والإدارية، واتخاذ القرارات اللازمة لحماية حقوق أصحاب البيانات والامتثال للمتطلبات القانونية.
إجراءات تقديم الشكاوى والطلبات
نوفر إجراءات واضحة ومبسطة لتقديم الشكاوى والطلبات المتعلقة بحماية البيانات والخصوصية، مع ضمان المعالجة العادلة والسريعة لجميع القضايا المثارة. يمكن للمستخدمين تقديم شكاواهم أو طلباتهم من خلال نماذج إلكترونية مخصصة متاحة في النظام، أو عبر البريد الإلكتروني أو الهاتف أو البريد العادي، مع توفير جميع المعلومات والوثائق اللازمة لمعالجة الطلب بفعالية.
تشمل أنواع الطلبات التي نتعامل معها طلبات الوصول إلى البيانات الشخصية والحصول على نسخ منها، وطلبات تصحيح أو تحديث البيانات غير الدقيقة أو القديمة، وطلبات حذف البيانات الشخصية (الحق في النسيان)، وطلبات تقييد معالجة البيانات في ظروف معينة، وطلبات الاعتراض على معالجة البيانات لأغراض محددة، وطلبات نقل البيانات إلى مقدمي خدمات آخرين، والشكاوى حول انتهاكات الخصوصية أو سوء استخدام البيانات الشخصية.
لكل طلب أو شكوى، نقوم بإجراء تحقيق شامل ومحايد، يشمل مراجعة جميع السجلات والوثائق ذات الصلة، والتشاور مع الفرق المختصة، وتقييم الإجراءات المطلوبة للاستجابة المناسبة. نوفر تحديثات دورية لصاحب الطلب حول حالة التحقيق والخطوات المتخذة، ونقدم استجابة كاملة ومفصلة تتضمن النتائج والإجراءات المتخذة وأي حقوق إضافية متاحة لصاحب البيانات.
الحقوق في الطعن والتصعيد
إذا لم يكن المستخدم راضياً عن استجابتنا لطلبه أو شكواه، يحق له تصعيد القضية داخلياً إلى مستويات إدارية أعلى، أو تقديم شكوى إلى السلطات التنظيمية المختصة في المملكة العربية السعودية أو الولايات القضائية الأخرى ذات الصلة. نوفر معلومات واضحة حول إجراءات التصعيد الداخلي ومعلومات الاتصال بالسلطات التنظيمية المختصة، ونتعاون بشكل كامل مع أي تحقيقات أو إجراءات رسمية.
تشمل السلطات التنظيمية ذات الصلة في المملكة العربية السعودية الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA)، ووزارة الاتصالات وتقنية المعلومات، وأي جهات تنظيمية أخرى مختصة حسب طبيعة الشكوى أو القطاع المتأثر. للمستخدمين في الاتحاد الأوروبي، يحق لهم تقديم شكاوى إلى سلطات حماية البيانات في دولهم، وللمستخدمين في ولايات قضائية أخرى، يحق لهم التوجه إلى السلطات المختصة في مناطقهم.
نلتزم بالتعاون الكامل والشفاف مع جميع السلطات التنظيمية، وتوفير جميع المعلومات والوثائق المطلوبة للتحقيقات، وتطبيق أي توجيهات أو قرارات صادرة عن هذه السلطات. كما نتخذ إجراءات تصحيحية فورية لمعالجة أي مخالفات أو قصور محدد، ونحدث سياساتنا وإجراءاتنا لمنع تكرار المشاكل في المستقبل.
—
الخاتمة والالتزام المستمر
تعكس هذه السياسة التزامنا الراسخ والمستمر بحماية خصوصية وأمان البيانات الشخصية لجميع مستخدمي نظام هياكل، وتطبيق أعلى المعايير الدولية في مجال حماية البيانات والخصوصية. نؤكد أن حماية البيانات الشخصية ليست مجرد التزام قانوني بالنسبة لنا، بل هي قيمة أساسية تحكم جميع جوانب أعمالنا وعملياتنا وقراراتنا الاستراتيجية.
نلتزم بالتحسين المستمر لممارساتنا في حماية البيانات، ومواكبة أحدث التطورات التقنية والقانونية في هذا المجال، والاستثمار في الأدوات والتقنيات والخبرات اللازمة لضمان أقصى مستويات الحماية والأمان. كما نلتزم بالشفافية الكاملة مع مستخدمينا حول ممارساتنا، وتوفير آليات فعالة لممارسة حقوقهم، والاستجابة السريعة والعادلة لجميع استفساراتهم وشكاواهم.
نشجع جميع مستخدمينا على قراءة هذه السياسة بعناية، والتواصل معنا في حالة وجود أي استفسارات أو مخاوف، والاستفادة من الحقوق والآليات المتاحة لهم لحماية خصوصيتهم والتحكم في بياناتهم الشخصية. معاً، يمكننا بناء بيئة رقمية آمنة وموثوقة تحترم الخصوصية وتحمي الحقوق الأساسية لجميع المستخدمين.
—
**تاريخ الإصدار:** 2025
**رقم الإصدار:** 1.0
**شركة هيكلة الموارد لتقنية المعلومات**
**المملكة العربية السعودية**
—
*هذه الوثيقة محمية بحقوق الطبع والنشر والملكية الفكرية لشركة هيكلة الموارد لتقنية المعلومات. جميع الحقوق محفوظة.*