سياسة الخصوصية وحماية البيانات

  • ٢٠ اوكتوبر، ٢٠٢٠

١. غرض

١.١: تحدد سياسة خصوصية إكسبانديجو (المشار إليها فيما يلي باسم "السياسة") المتطلبات لضمان الامتثال للقوانين واللوائح السارية على جمع البيانات الشخصية واستخدامها ومعالجتها ونقلها.

2. نطاق

٢.١: تنطبق السياسة على جميع موظفي الشركة بدوام كامل وبدوام جزئي والمقاولين وأي فئة أخرى من المتعاونين والموردين والشركاء الذين لديهم حق الوصول إلى البيانات الشخصية التي تم جمعها أو معالجتها بواسطة الشركة ، بغض النظر عن الموقع الجغرافي.

٢.٢: ستحدد الشركة حالتها بالنسبة لجميع عمليات معالجة البيانات إما كمراقب بيانات أو معالج بيانات يعمل لحساب مراقب آخر

٣. التعاريف

موافقة: الموافقة تعني "أي إشارة محددة ومستنيرة لرغباته والتي بموجبها يشير صاحب البيانات إلى موافقته على البيانات الشخصية المتعلقة بمعالجته". ومع ذلك ، الموافقة يمكن الحصول عليها بعدد من الطرق. قد تشمل هذه البنود في عقود العمل ، وخانات الاختيار في الردود على نماذج الطلبات أو الشراء ، والنقر فوق المربعات في النماذج عبر الإنترنت حيث يتم إدخال البيانات الشخصية. في معظم دول الاتحاد الأوروبي ، يجب أن تكون الموافقة على معالجة البيانات الشخصية الحساسة واضحة ولا لبس فيها. هذا يعني بشكل عام أن بعض أشكال الموافقة النشطة المحددة مطلوبة.

البيانات : البيانات (سواء كانت تحتوي على حرف كبير في البداية أم لا) كما هي مستخدمة في السياسة تعني المعلومات التي إما:

  • تتم معالجتها عن طريق معدات تعمل تلقائيًا استجابةً للتعليمات المقدمة لهذا الغرض ؛
  • تم تسجيله بقصد أنه يجب معالجته بواسطة هذه المعدات ؛
  • تم تسجيله كجزء من نظام حفظ ذي صلة أو بقصد أنه يجب أن يشكل جزءًا من نظام حفظ ملفات ذي صلة ؛
  • لا يقع ضمن أي مما سبق ، ولكنه يشكل جزءًا من سجل يسهل الوصول إليه ويغطي فردًا.
  • تتضمن البيانات بالتالي أي بيانات رقمية عن طريق الكمبيوتر أو المعدات الآلية وتسجيلات الهاتف وأي معلومات يدوية تشكل جزءًا من نظام حفظ الملفات ذي الصلة.

وحدة التحكم في البيانات : يُقصد بمراقب البيانات الشخص الذي (بمفرده أو مع آخرين) يحدد الأغراض التي من أجلها والطريقة التي تتم بها معالجة أي بيانات شخصية. بشكل عام ، ستكون الشركة نفسها هي المتحكم في البيانات في معظم الحالات.

جهة تصدير البيانات : جهة تصدير البيانات تعني وحدة التحكم في البيانات أو معالج البيانات الذي ينقل البيانات الشخصية إلى الخارج.

جهة استيراد البيانات : تعني جهة استيراد البيانات وحدة التحكم في البيانات أو معالج البيانات الذي يوافق على تلقي البيانات الشخصية من جهة تصدير البيانات لمزيد من المعالجة وفقًا لبنود السياسة واتفاقية نقل البيانات ذات الصلة .

معالج البيانات : يُقصد بمعالج البيانات أي شخص ، بخلاف موظف وحدة التحكم في البيانات ، الذي يعالج البيانات نيابة عن وحدة التحكم في البيانات. قد تكون الشركة معالج بيانات إذا تم تعريفها على هذا النحو بموجب الشروط التعاقدية مع وحدة التحكم في البيانات.

هيئة حماية البيانات : هيئة مكلفة بحماية البيانات والخصوصية. تم إنشاء السلطات لدعم حقوق المعلومات في كل من المصلحة العامة والخاصة.

أمان البيانات : الإجراءات التي يجب على وحدة التحكم والمعالج تنفيذها للامتثال لمبادئ حماية البيانات حسب التصميم والإعداد الافتراضي ولضمان مستوى الأمان المناسب للمخاطر التي تتعرض لها حقوق وحريات الأفراد ، مع مراعاة أحدث التطورات وتكلفة التنفيذ وطبيعة المعالجة ونطاقها وسياقها وأغراضها.

موضوع البيانات : موضوع البيانات يعني الشخص الذي تشير إليه البيانات. تشمل موضوعات البيانات العملاء ومستخدمي الويب والأفراد في قوائم الاتصال / البريد الإلكتروني أو قواعد بيانات التسويق والموظفين والمقاولين والموردين.

إطار عمل درع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة وسويسرا والولايات المتحدة : الاتحاد الأوروبي والولايات المتحدة. والسويسرية الأمريكية. تم تصميم إطار عمل درع الخصوصية من قبل وزارة التجارة الأمريكية والمفوضية الأوروبية والإدارة السويسرية ، على التوالي ، لتزويد الشركات على جانبي المحيط الأطلسي بآلية للامتثال لمتطلبات حماية البيانات عند نقل البيانات الشخصية من الاتحاد الأوروبي وسويسرا إلى الولايات المتحدة لدعم التجارة عبر الأطلسي. في 12 يوليو 2016 ، اعتبرت المفوضية الأوروبية الاتحاد الأوروبي والولايات المتحدة. إطار عمل Privacy Shield مناسب لتمكين نقل البيانات بموجب قانون الاتحاد الأوروبي. في 12 كانون الثاني (يناير) 2017 ، أعلنت الحكومة السويسرية الموافقة على الاتفاق السويسري الأمريكي. إطار درع الخصوصية كآلية قانونية صالحة للامتثال للمتطلبات السويسرية عند نقل البيانات الشخصية من سويسرا إلى الولايات المتحدة.

البيانات الشخصية : البيانات الشخصية تعني البيانات المتعلقة بفرد على قيد الحياة يمكن تحديد هويته من خلال تلك البيانات أو من تلك البيانات وغيرها من المعلومات التي في حوزة ، أو من المحتمل أن تكون في حوزتها ، وحدة تحكم البيانات أو معالج البيانات. لا تتضمن البيانات الشخصية المعلومات التي تم إخفاء هويتها أو تشفيرها أو تجريدها من معرّفاتها أو المعلومات المتاحة للجمهور ، ما لم يتم دمجها مع معلومات شخصية أخرى غير عامة.

المعالجة : تغطي المعالجة مجموعة متنوعة من العمليات المتعلقة بالبيانات ، بما في ذلك الحصول على البيانات أو تسجيلها أو الاحتفاظ بها أو تنفيذ أي عملية أو مجموعة من العمليات على البيانات ، بما في ذلك:

  • التنظيم أو التكيف أو التغيير ؛
  • الإفصاح عن طريق النقل أو النشر أو غير ذلك ؛ و
  • المحاذاة أو الدمج أو المنع أو المحو أو التدمير.

نظام الملفات ذات الصلة : يعني نظام الملفات ذي الصلة أي مجموعة من المعلومات المتعلقة بالأفراد ، سواء تم الاحتفاظ بها في ملفات يدوية أو إلكترونية ، منظمة ، إما بالإشارة إلى الأفراد أو بالرجوع إلى المعايير المتعلقة بالأفراد ، في مثل هذا الطريقة التي يمكن من خلالها الوصول بسهولة إلى المعلومات المحددة المتعلقة بفرد معين. لذلك ، فإن أي قاعدة بيانات رقمية و / أو ملفات يدوية منظمة تتعلق بأفراد أحياء يمكن التعرف عليهم تقع ضمن نطاق قوانين ولوائح حماية البيانات ، في حين أن قاعدة بيانات من المعلومات الإحصائية أو المالية البحتة (والتي لا يمكن أن تكون مرتبطة بشكل مباشر أو غير مباشر بأي أفراد أحياء يمكن التعرف عليهم) سوف لن.

البيانات الحساسة : البيانات الحساسة تعني البيانات الشخصية التي تحتوي على معلومات تتعلق بموضوع البيانات:

  • العرق أو الأصل العرقي ؛
  • المعتقدات الدينية أو المعتقدات الأخرى ذات الطبيعة المماثلة
  • الآراء السياسية
  • الحالة أو الصحة البدنية أو العقلية
  • التاريخ الجنسي أو التوجه الجنسي
  • عضوية النقابات العمالية
  • ارتكاب أي جريمة أو ارتكابها المزعوم وأي إجراءات قضائية ذات صلة.

التكنولوجيا : يجب تفسير التكنولوجيا على نطاق واسع ، لتشمل أي وسيلة لجمع البيانات أو معالجتها ، بما في ذلك ، على سبيل المثال لا الحصر ، أجهزة الكمبيوتر والشبكات وأنظمة الاتصالات السلكية واللاسلكية وأجهزة تسجيل الفيديو والصوت وأجهزة القياسات الحيوية ، دائرة تلفزيونية مغلقة ، إلخ.

٤. مجموعة الامتثال

4.1: سيشرف السيد ستيفن كلاي تيرنر على برنامج امتثال البيانات الخاص بالشركة (يشار إليه فيما يلي بعبارة "مسؤول خصوصية البيانات- DPO") ، أحد مؤسسي الشركة. يمكن مساعدة مسؤول حماية البيانات من قبل موظفي الامتثال المعينين محليًا والمدققين الداخليين وتفويض الكفاءات إلى متخصصي حماية البيانات المؤهلين.

4.2: سينفذ مسؤول حماية البيانات أو أخصائي حماية البيانات المعين سياسة وإجراءات حماية البيانات الدولية للشركة ، بالإضافة إلى أي واجبات إضافية تنص عليها قوانين حماية البيانات ، بما في ذلك على سبيل المثال لا الحصر:

  • تحديد ما إذا كان الإخطار لواحدة أو أكثر من سلطات حماية البيانات مطلوبًا نتيجة لمعالجة بيانات الشركة.
  • تحديد البرامج الجارية لتدريب الموظفين لضمان الامتثال للوائح حماية البيانات.
  • وضع الإجراءات والأحكام القياسية للامتثال للسياسة من قبل العملاء والموردين وأي أطراف ثالثة قد تتلقى بيانات شخصية من الشركة ، أو لديها حق الوصول إلى البيانات الشخصية التي تم جمعها أو معالجتها من قبل الشركة ، أو الذين يقدمون معلومات إلى الشركة بغض النظر عن الموقع الجغرافي.
  • إنشاء آليات لعمليات تدقيق دورية للامتثال لهذه السياسة وإجراءات التنفيذ والقانون المعمول به.
  • إنشاء وصيانة وتشغيل نظام للاستجابات السريعة والمناسبة لطلبات موضوع البيانات لممارسة حقوقهم.
  • إنشاء وصيانة وتشغيل نظام للإفصاح التلقائي الفوري والملائم للسلطات ذات الصلة وموضوعات البيانات عن أي فقد للبيانات الشخصية.
  • إبلاغ أي موظفين وكبار المديرين والمسؤولين والمقاولين وما إلى ذلك بالشركة بالعقوبات المحتملة على الشركات والعقوبات الشخصية المدنية والجنائية التي قد يتم تقييمها ضد الشركة و / أو موظفيها والمتعاونين ، وما إلى ذلك لانتهاكها تشريعات حماية البيانات.
  • التأكد من تنفيذ خطط إدارة المخاطر المتعلقة بحماية البيانات بشكل فعال وسريع.

٥. مبادئ حماية البيانات

5.1: اعتمدت الشركة المبادئ التالية للتحكم في جمع واستخدام ومعالجة ونقل البيانات الشخصية:

  • لن تتم معالجة البيانات الشخصية إلا بصورة عادلة وقانونية.
  • يجب الحصول على البيانات الشخصية فقط لأغراض محددة وصريحة وقانونية ومشروعة ، ولا يجوز معالجتها مرة أخرى بأي طريقة لا تتوافق مع تلك الأغراض.
  • يجب أن تكون البيانات الشخصية كافية وذات صلة وليست مفرطة فيما يتعلق بالأغراض التي تم جمعها و / أو معالجتها من أجلها.
  • لا يجوز جمع البيانات الشخصية أو معالجتها ما لم يتم إنشاء أساس قانوني للمعالجة بشكل صحيح.

5.2: يجب اتخاذ أي تدابير من أجل:

  • منع و / أو تحديد جمع ومعالجة ونقل البيانات الشخصية غير المصرح بها أو غير القانوني ؛ و
  • منع فقدان البيانات الشخصية أو إتلافها أو إتلافها عن طريق الخطأ.

٦. التحويلات إلى أطراف ثالثة

6.1: لا يجوز نقل البيانات الشخصية إلى كيان آخر أو بلد أو إقليم آخر ، ما لم يتم اتخاذ خطوات معقولة ومناسبة لإنشاء المستوى المطلوب من أمان البيانات والحفاظ عليه.

6.2: لا يجوز إرسال البيانات الشخصية إلى جهات خارجية إلا لأسباب تتفق مع الأغراض التي تم جمع البيانات من أجلها في الأصل أو الأغراض الأخرى التي يسمح بها القانون.

6.3: تخضع جميع عمليات نقل البيانات الشخصية إلى جهات خارجية لمزيد من المعالجة لاتفاقيات مكتوبة.

6.4: لا يجوز نقل البيانات الشخصية للاتحاد الأوروبي إلى بلد أو إقليم خارج المنطقة الاقتصادية الأوروبية (EEA) ما لم يتم النقل إلى بلد أو إقليم معترف به من قبل الاتحاد الأوروبي على أنه يتمتع بمستوى مناسب من أمان البيانات أو إلى الولايات المتحدة بموجب درع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة وسويسرا والولايات المتحدة.

6.5: مع مراعاة الأحكام المذكورة أعلاه ، يجوز نقل البيانات الشخصية حيثما ينطبق أي مما يلي:

  • وافق موضوع البيانات على النقل المقترح ؛
  • النقل ضروري لأداء عقد بين صاحب البيانات والشركة ؛
  • النقل ضروري لإبرام أو تنفيذ عقد مبرم لمصلحة موضوع البيانات بين الشركة وطرف ثالث ؛
  • النقل ضروري أو مطلوب قانونيًا لأسباب تتعلق بالمصلحة العامة المهمة ، أو لإنشاء دعاوى قانونية أو ممارستها أو الدفاع عنها ؛
  • النقل مطلوب بموجب القانون ؛
  • النقل ضروري لحماية المصالح الحيوية لموضوع البيانات.

٧. منع عدم امتثال أنظمة تكنولوجيا المعلومات

7.1: يجب أن يضع رئيس قسم المعلومات (CIO) في الشركة إجراءً لتقييم تأثير أي تقنية جديدة أو حالية على خصوصية وأمن البيانات الشخصية.

7.2: لن يتم توفير أي نظام جديد أو إصدار جديد من نظام موجود للاستخدام حتى يحصل مسؤول حماية البيانات على تأكيد كتابي من رئيس قسم المعلومات بأنه لن يكون هناك خرق لأي تشريع لحماية البيانات.

8. مصادر البيانات الشخصية

8.1: يتم جمع البيانات الشخصية فقط من صاحب البيانات ما لم تتطلب طبيعة الغرض التجاري جمع البيانات من أشخاص أو هيئات أخرى.

8.2: إذا تم جمع البيانات الشخصية من شخص آخر غير صاحب البيانات ، فيجب أن تحصل وحدة الأعمال التي تجمع البيانات على تأكيد كتابي من مورد البيانات بأن هناك أساسًا قانونيًا لنقل البيانات ومعالجتها البيانات الشخصية للشركة.

٩. حقوق موضوع البيانات

9.1: يحق لأصحاب البيانات الحصول على المعلومات المتعلقة ببياناتهم الشخصية التي تحتفظ بها الشركة عن طريق تقديم طلب كتابي.

9.2: يجب على الشركة تقديم ردها على الطلب أعلاه في غضون 40 يومًا من تاريخ الطلب الكتابي ، أو في غضون فترة زمنية أقصر إذا كان ذلك مطلوبًا بموجب تشريعات حماية البيانات المعمول بها.

9.3: يحق لأصحاب البيانات مطالبة الشركة بتصحيح أو استكمال البيانات الشخصية الخاطئة أو المضللة أو القديمة أو غير المكتملة المحفوظة عنهم.

١٠. بيانات حساسة

10.1: يجب عدم معالجة البيانات الشخصية الحساسة إلا:

  • هذه المعالجة مصرح بها أو مطلوبة على وجه التحديد بموجب القانون.
  • يوافق موضوع البيانات صراحةً ولا لبس فيه.
  • عندما يكون موضوع البيانات غير قادر جسديًا أو قانونيًا على منح الموافقة ، ولكن المعالجة ضرورية لحماية مصلحة حيوية لصاحب البيانات.
  • لا يجوز معالجة البيانات المتعلقة بالجرائم الجنائية إلا من قبل القسم القانوني أو تحت سيطرته.

١١. ضمان جودة البيانات

11.1: يجب الاحتفاظ بالبيانات الشخصية فقط للفترة اللازمة للاستخدامات المسموح بها.

11.2: سيتم مسح البيانات الشخصية إذا كان تخزينها ينتهك أي قانون لحماية البيانات أو بناءً على طلب صاحب البيانات.

١٢. تجهيز داخل المجموعة

12.1: إذا كانت الشركة تعتمد على شركة مجموعة أخرى للمساعدة في أنشطة المعالجة الخاصة بها ، فسوف تدخل الشركة في اتفاقية نقل البيانات بناءً على البنود النموذجية للاتحاد الأوروبي مع شركة المجموعة الأخرى لضمان أن المسؤولية عن البيانات هي محددة بوضوح ، حيث يمكن اعتبار كلا الطرفين مراقبين للبيانات.

12.2: في حالة وجود شركة المجموعة الأخرى في بلد مختلف ، يجب تحديد شركات المجموعة المشاركة في المعالجة على التوالي على أنها جهة تصدير البيانات ومستورد البيانات.

١٣. معالجات الطرف الثالث

13.1: وبالمثل ، عندما تعتمد الشركة على أطراف ثالثة للمساعدة في أنشطة المعالجة الخاصة بها ، يجب على الشركة اختيار معالج بيانات يوفر تدابير أمنية كافية ويتخذ خطوات معقولة لضمان الامتثال لتلك التدابير ، وفي حالة أي شخص ثالث داخل الولايات المتحدة ، وأنهم مسجلون أيضًا في EU-US ، Swiss-USA Privacy Shield.

١٤. عقود مكتوبة لمعالجات الطرف الثالث

14.1: تدخل الشركة في عقد مكتوب مع كل معالج بيانات يطلب منه الامتثال لتشريعات حماية البيانات ومتطلبات الأمان المفروضة على الشركة بموجب التشريعات المحلية.

١٥. تدقيقات معالجات بيانات الطرف الثالث

15.1: كجزء من عملية تدقيق البيانات الداخلية للشركة ، يتعين على الشركة إجراء فحوصات دورية على المعالجة من قبل معالجات بيانات الطرف الثالث ، وعلى وجه الخصوص فيما يتعلق بإجراءات تسليم البيانات خاصة فيما يتعلق بالإجراءات الأمنية.

١٦. إخطار الموظفين والمتعاقدين بالعقوبات المحتملة لعدم الامتثال

16.1: يجب على مسؤول حماية البيانات (DPO) إخطار موظفي الشركة ومقاوليها بما يلي:

  • قد يؤدي عدم الامتثال لتشريعات حماية البيانات ذات الصلة إلى تحميل المسؤولية الجنائية والمدنية ، بما في ذلك الغرامات والسجن والتعويضات عن الأضرار ؛ و
  • يمكن أن يكونوا مسؤولين بشكل شخصي عندما ترتكب الشركة جريمة بموافقتهم أو تواطؤهم ، أو يمكن أن تُعزى إلى أي إهمال من جانبهم.
  • منع الأشخاص غير المصرح لهم من الوصول إلى أنظمة معالجة البيانات التي تتم فيها معالجة البيانات الشخصية.
  • منع الأشخاص الذين يحق لهم استخدام نظام معالجة البيانات من الوصول إلى البيانات بما يتجاوز احتياجاتهم وتفويضاتهم.
  • التأكد من أن البيانات الشخصية في سياق النقل الإلكتروني أثناء النقل أو أثناء التخزين على ناقل بيانات لا يمكن قراءتها أو نسخها أو تعديلها أو إزالتها دون إذن.
  • ضمان حماية البيانات الشخصية من التدمير أو الضياع غير المرغوب فيه.
  • ضمان إمكانية معالجة البيانات التي تم جمعها لأغراض مختلفة بشكل منفصل.
  • التأكد من عدم الاحتفاظ بالبيانات لفترة أطول مما هو منصوص عليه في سياسة الاحتفاظ بالبيانات ، بما في ذلك المطالبة بإعادة البيانات المنقولة إلى جهات خارجية أو إتلافها.

١٨. قياس الامتثال

18.1: يجب على مسؤول حماية البيانات وضع جدول زمني وتنفيذ تدقيق امتثال الخصوصية.

١٩. التنفيذ.

19.1: يجب أن تكون هذه السياسة متاحة للموظفين

19.2: يجوز مراجعة هذه السياسة في أي وقت ولكن على الأقل سنويًا بواسطة مسؤول حماية البيانات. يجب تقديم إشعار بالتنقيحات المهمة للموظفين من خلال نظام الامتثال للشركة وللآخرين عبر موقع الشركة على الويب.