سياسة حماية البيانات

1. النطاق

تسري هذه السياسة على جميع البيانات الشخصية التي تعالجها SRPWORKS LTD، بما فيها البيانات المتعلقة بالطلاب والمستفسرين وزوار الموقع والموظفين والمقاولين وجهات الاتصال التجارية. وتنطبق على جميع الموظفين والمستشارين وأي أطراف ثالثة تعالج البيانات الشخصية نيابةً عنا.

2. مبادئ حماية البيانات

نعالج البيانات الشخصية وفق المبادئ التالية التي تستوجبها UK GDPR:

• المشروعية والإنصاف والشفافية — تُعالَج البيانات وفق أساس قانوني وبأسلوب شفاف.
• تحديد الغرض — تُجمع البيانات لأغراض محددة وصريحة ومشروعة، ولا تُعالَج بطريقة تتعارض مع تلك الأغراض.
• الحد الأدنى من البيانات — لا تُجمع إلا البيانات الضرورية للغرض المحدد.
• الدقة — تُبقى البيانات دقيقة ومحدَّثة؛ وتُصحح البيانات غير الدقيقة أو تُحذف دون تأخير.
• تحديد مدة التخزين — تُحتفظ بالبيانات بصيغة تتيح التعريف للمدة الضرورية فحسب.
• السلامة والسرية — تُعالَج البيانات بأمان ملائم لحمايتها من الوصول غير المصرح به أو الفقدان أو الإتلاف.
• المساءلة — تتحمل SRPWORKS LTD المسؤولية عن الامتثال لجميع المبادئ أعلاه وإثبات ذلك.

3. الأدوار والمسؤوليات

تُعدّ SRPWORKS LTD المتحكمَ في البيانات لجميع البيانات الشخصية التي نعالجها. وتشمل مسؤولياتنا:

• ضمان توافر أساس قانوني موثق لجميع أنشطة معالجة البيانات.
• الاحتفاظ بسجلات أنشطة المعالجة (RoPA) وفق ما تقتضيه المادة 30 من UK GDPR.
• ضمان حصول الموظفين الذين يتعاملون مع البيانات الشخصية على التدريب الملائم.
• مراجعة هذه السياسة والإجراءات ذات الصلة وتحديثها مرة واحدة على الأقل سنويًا.
• تعيين شخص مسؤول للإشراف على الامتثال لحماية البيانات وتولّي نقطة الاتصال الأولى لاستفسارات أصحاب البيانات.

4. الأسس القانونية للمعالجة

نعتمد على الأسس القانونية التالية وفق المادة 6 من UK GDPR لمعالجة البيانات الشخصية:

• العقد — المعالجة الضرورية لتنفيذ عقد مع صاحب البيانات.
• الالتزام القانوني — المعالجة الضرورية للامتثال لالتزام قانوني.
• المصالح المشروعة — المعالجة الضرورية لمصالحنا التجارية المشروعة شريطة ألا تطغى على حقوق صاحب البيانات.
• الموافقة — عند غياب أي أساس قانوني آخر، نحصل على موافقة صريحة قبل المعالجة. يمكن سحب الموافقة في أي وقت.

بالنسبة لبيانات الفئات الخاصة (مثل الصحة والإعاقة والسجل الجنائي)، نستند إلى شروط المادة 9 من UK GDPR، بما فيها الموافقة الصريحة أو المعالجة الضرورية للمطالبات القانونية.

5. أمن البيانات

نطبّق تدابير أمنية تقنية وتنظيمية ملائمة لحماية البيانات الشخصية، تشمل:

• تشفير البيانات الشخصية أثناء النقل وفي حالة السكون حيثما اقتضى الأمر.
• ضوابط وصول تكفل أن الموظفين المصرح لهم فحسب هم من يمكنهم الوصول إلى البيانات الشخصية.
• مراجعة دورية لصلاحيات الوصول، لا سيما عند تغيير أدوار الموظفين أو انتهاء علاقة العمل.
• التخلص الآمن من البيانات الشخصية عند انتفاء الحاجة إليها (حذف أو إتلاف مادي للسجلات).
• حماية محدَّثة من البرامج الضارة وتطبيق تصحيحات أمان البرامج.
• نسخ احتياطية منتظمة لمنع فقدان البيانات.

6. الاحتفاظ بالبيانات

لا نحتفظ بالبيانات الشخصية إلا للمدة الضرورية للغرض الذي جُمعت من أجله. فترات الاحتفاظ العامة لدينا هي:

• سجلات الاستفسارات (دون خدمة مُبرمة) — 12 شهرًا.
• سجلات العملاء والطلبات — 7 سنوات من نهاية العلاقة التعاقدية.
• سجلات الموظفين — 7 سنوات من إنهاء العمل.
• السجلات المالية — 7 سنوات (اشتراط قانوني).
• سجلات موافقة التسويق — حتى سحب الموافقة أو مرور 3 سنوات من الخمول.

يُحتفظ بجدول احتفاظ مفصّل داخليًا. تُحذف البيانات بأمان أو يُجرى تجهيلها فور انتهاء مدة الاحتفاظ.

7. معالجو البيانات من الأطراف الثالثة

عند الاستعانة بمزودي خدمات خارجيين لمعالجة البيانات الشخصية نيابةً عنا (مثل أنظمة تكنولوجيا المعلومات ومنصات البريد الإلكتروني وأدوات إدارة علاقات العملاء)، نضمن ما يلي:

• إبرام اتفاقية معالجة بيانات مكتوبة (DPA) قبل الشروع في أي معالجة.
• تقديم المعالج ضمانات كافية بشأن التدابير التقنية والتنظيمية الملائمة.
• السماح للمعالجين فقط بمعالجة البيانات وفق تعليماتنا الموثقة.
• إجراء العناية الواجبة بشأن المعالجين قبل تعيينهم ومراجعتهم دوريًا.

8. النقل الدولي للبيانات

عند نقل البيانات الشخصية خارج المملكة المتحدة أو المنطقة الاقتصادية الأوروبية، نضمن توافر الضمانات المناسبة، والتي قد تشمل قرارات الكفاءة المعترف بها في المملكة المتحدة، أو البنود التعاقدية القياسية (SCCs) المعتمدة من ICO، أو غيرها من آليات النقل المسموح بها وفق UK GDPR. يُوثَّق كل نقل دولي وتُقيَّم المخاطر المرتبطة به.

9. حقوق أصحاب البيانات

نحترم حقوق أصحاب البيانات بموجب UK GDPR ونُيسّر ممارستها. عند استلام طلب صالح، نردّ خلال شهر تقويمي واحد. تُعالَج الطلبات مجانًا ما لم تكن مبالغًا فيها أو غير مبررة. يحق لأصحاب البيانات ممارسة الحقوق التالية:

• حق الوصول (طلب الوصول لصاحب البيانات).
• حق تصحيح البيانات غير الدقيقة أو الناقصة.
• حق الحذف ('حق النسيان').
• حق تقييد المعالجة.
• حق نقل البيانات.
• حق الاعتراض على المعالجة.
• الحقوق المتعلقة باتخاذ القرار الآلي والتنميط (لا نجري اتخاذ قرارات آلية).

10. الاستجابة لاختراقات البيانات

في حال وقوع اختراق لبيانات شخصية، سنقوم بما يلي:

• احتواء الاختراق وتقييمه في أسرع وقت ممكن.
• إبلاغ ICO خلال 72 ساعة إذا كان الاختراق من المرجح أن يُشكّل خطرًا على حقوق الأفراد وحرياتهم.
• إخطار أصحاب البيانات المتضررين دون تأخير غير مبرر إذا كان الاختراق من المرجح أن يُشكّل خطرًا مرتفعًا على حقوقهم وحرياتهم.
• توثيق جميع الاختراقات، بما فيها غير المُبلَّغ عنها لـ ICO، في سجل الاختراقات الداخلي.

يتعين على جميع الموظفين الإبلاغ فورًا للشخص المسؤول عن أي اختراق مشتبه به أو مؤكد للبيانات.

11. الخصوصية في التصميم

تُدمج SRPWORKS LTD حماية البيانات في تصميم عملياتها وأنظمتها منذ البداية. عند إطلاق خدمات أو أدوات أو أنشطة معالجة جديدة، تُؤخذ متطلبات حماية البيانات بعين الاعتبار من اللحظة الأولى. إذا كانت نشاط المعالجة الجديد مرجَّحًا أن يُشكّل خطرًا مرتفعًا على الأفراد، يُجرى تقييم أثر حماية البيانات (DPIA) قبل المضي قدمًا.

12. تدريب الموظفين والتوعية

يتلقى جميع الموظفين الذين يتعاملون مع البيانات الشخصية تدريبًا على حماية البيانات عند الالتحاق بالعمل وعلى فترات منتظمة بعد ذلك. ويُتوقع من الموظفين قراءة هذه السياسة والإجراءات ذات الصلة والعمل بها. يجب توجيه أي استفسارات أو مخاوف تتعلق بحماية البيانات إلى الشخص المسؤول مباشرةً.

13. مراجعة السياسة

تُراجَع سياسة حماية البيانات هذه مرة واحدة على الأقل سنويًا، أو في وقت أبكر إذا طرأت تغييرات جوهرية على أنشطة المعالجة أو التشريعات المعمول بها أو إرشادات ICO. يظهر الإصدار الحالي وتاريخ آخر مراجعة في أعلى هذه الصفحة.

14. التواصل والشكاوى

لأي استفسار حول هذه السياسة أو لممارسة حقوقك بوصفك صاحب بيانات، يُرجى استخدام صفحة التواصل. إن لم تكن راضيًا عن ردنا، يحق لك تقديم شكوى إلى مكتب مفوض المعلومات (ICO).