Establishment Stage - المرحلة التأسيسية

سياسة حماية البيانات

الرابطة السورية الدولية لتنمية التعليم

تغطي هذه السياسة جميع أنشطة الرابطة السورية والعمليات التي تستخدم فيها بيانات شخصية، سواء كانت بشكل إلكتروني أو مطبوع.

سياسة حماية البيانات

1. الهدف والنطاق

1.1 تغطي هذه السياسة جميع أنشطة الرابطة السورية والعمليات التي تستخدم فيها بيانات شخصية، سواء كانت بشكل إلكتروني أو مطبوع.

1.2 تنطبق هذه السياسة على جميع أعضاء الرابطة السورية بما في ذلك الكادر والطلاب وغيرهم ممن يعملون لصالح الرابطة أو نيابة عنها أو الذين لديهم حق الوصول إلى البنية التحتية للمعلومات الخاصة بها.

1.3 هذه السياسة لها الأولوية على أي سياسة أخرى للرابطة السورية في الأمور المتعلقة بحماية البيانات.

2. التعاريف

2.1 تم تعريف المصطلحات التالية في تشريعات حماية البيانات:

• البيانات الشخصية – أي معلومات تتعلق بإمكانية التعرف على شخص ما وتحديده بشكل مباشر أو غير مباشر، لا سيما بالرجوع إلى المعرّف (مثل الاسم أو رقم التعريف أو بيانات الموقع أو المعرّف عبر الإنترنت).

• الفئة الخاصة من البيانات الشخصية – وتشمل الأنواع التالية من البيانات الشخصية (المحددة في تشريع حماية البيانات) والتي تكون حساسة بشكل خاص وذات طبيعة خاصة، وبالتالي من المرجح أن تسبب الضيق والضرر إذا تم اختراقها:

  • الأصل العرقي أو الإثني
  • الآراء السياسية
  • المعتقدات الدينية أو الفلسفية
  • عضوية النقابات العمالية
  • الحالات المتعلقة بالصحة (الصحة الجسدية أو العقلية)
  • الحياة الجنسية والتوجه الجنسي
  • ارتكاب أي جريمة جنائية أو الإدعاء بارتكابها
  • البيانات الجينية
  • بيانات القياسات الحيوية، التي تتم معالجتها لتحديد هوية الفرد بالتحديد

• موضوع البيانات – الفرد الذي تعود له البيانات الشخصية

• مراقب البيانات – يحدد أهداف ووسائل معالجة البيانات الشخصية

• معالج البيانات – مسؤول عن معالجة البيانات الشخصية نيابة عن المراقب

• خرق البيانات – حادث أمني يؤثر على سرية أو سلامة أو توفر البيانات الشخصية.

يحدث خرق البيانات عندما تتعرض بيانات شخصية لـ:

  • الضياع؛
  • التلف؛
  • التدمير أو الكشف عنها بغير قصد؛
  • الوصول أو التمرير دون إذن؛ أو عدم إمكانية الوصول مما يؤثر بشكل سلبي على الأشخاص الذين تعود لهم البيانات.

3. السياسة

3.1 تلتزم الرابطة السورية الدولية لتنمية التعليم (“الرابطة السورية”) بالامتثال للائحة العامة لحماية البيانات (GDPR) وأي تشريع تم سنه في المملكة المتحدة فيما يتعلق بحماية البيانات الشخصية (يُشار إليها معاً باسم “تشريعات حماية البيانات”).

3.2 لتنفيذ ذلك، ستقوم الرابطة السورية بما يلي:

أ) استخدام البيانات الشخصية عند الضرورة القصوى فقط، والاعتماد على أساس قانوني مناسب لمعالجة البيانات الشخصية

ب) إبلاغ أصحاب البيانات بالأساس القانوني وشرح الهدف وطريقة معالجة هذه البيانات عن طريق إشعارات الخصوصية وغيرها من الأساليب المماثلة

ج) الحفاظ على البيانات الشخصية آمنة وإدارة الحوادث بشكل فعال إذا ما حدث أي خطأ

د) مراعاة حقوق الأفراد بموجب تشريعات حماية البيانات

ه) ضمان تدريب الموظفين بشكل مناسب على إدارة البيانات الشخصية

و) التأكد من إدارة السجلات التي تحتوي على بيانات شخصية بشكل فعال

ز) مشاركة البيانات الشخصية مع أطراف ثالثة فقط عند ضمان وجود معايير مناسبة لحماية البيانات، ووضع الترتيبات التعاقدية عند الضرورة

ح) تنفيذ تدابير حوكمة شاملة ومتناسبة لإثبات الامتثال لمبادئ تشريعات حماية البيانات

3.3 المزيد من التفاصيل حول الخطوات التي يجب على الرابطة السورية اتخاذها للامتثال لهذه النقاط واردة في إجراءات حماية البيانات.

4. الأدوار والمسؤوليات

4.1 يجب على كل فرد يعمل أو يتطوع لصالح الرابطة السورية أو بالنيابة عنها والذي سيتمكن من الوصول إلى معلومات شخصية التأكد من إكماله للدورة التدريبية الإلزامية عبر الإنترنت للرابطة السورية بشأن القانون العام لحماية البيانات خلال العامين الماضيين، كما يجب على الأفراد التأكد من معالجة أي بيانات شخصية يتعاملون معها وفقاً لهذه السياسة ومبادئ تشريعات حماية البيانات (انظر إجراءات حماية البيانات).

4.2 فريق الإدارة العليا (المدير العام، والموارد البشرية، والإعلام، وتكنولوجيا المعلومات، ومديرو البرامج) مسؤول عن الموافقة على هذه السياسة والتأكد من أن الرابطة السورية تفي بالتزامات تشريعات حماية البيانات الخاصة بها.

4.3 مسؤول حماية البيانات (المدير العام) يتولى:

• إبلاغ وإرشاد الرابطة السورية بالتزاماتها فيما يتعلق بحماية البيانات

• مراقبة الالتزام

• إذكاء الوعي وتدريب الموظفين المشاركين في عمليات معالجة البيانات

• القيام بعمليات تدقيق داخلية لحماية البيانات

• تقديم المشورة بشأن تقييم أثر حماية البيانات

• التعاون مع مفوض المعلومات والعمل كنقطة اتصال وربط لأية قضية تتعلق بمعالجة البيانات

4.4 رؤساء الخدمات والمشاريع والإدارات والأقسام الذين سيتمكن فريقهم ومتطوعوهم من الوصول إلى المعلومات الشخصية، هم مسؤولون عن ضمان الوعي والامتثال لهذه السياسة في مجالات تخصصهم. كما أنهم مسؤولون، على وجه الخصوص، عن ضمان إكمال فريقهم للتدريب الإلزامي عبر الإنترنت للرابطة السورية بشأن القانون العام لحماية البيانات خلال العامين الماضيين.

4.5 فريق أمن تكنولوجيا المعلومات مسؤول عن إدارة أمن المعلومات في الرابطة السورية. هدف الفريق هو مراجعة مشهد أمن المعلومات (الرقمي والمادي)، وتقييم أداء وجاهزية الرابطة السورية، وضمان الحد من المخاطر والاستجابة لها ومعالجتها.

إجراءات حماية البيانات

القسم الأول: تنفيذ سياسة حماية البيانات

1. لن تستخدم الرابطة السورية البيانات الشخصية إلا عند الضرورة القصوى، وستعتمد على أساس قانوني مناسب لمعالجة البيانات الشخصية

1.1 كمنظمة تدعم الطلاب، تجمع الرابطة السورية البيانات الشخصية عند تسجيل الطلاب في مشاريع جديدة، وعند انضمام أفراد جدد إلى كادرها وعند تقديم الخدمات للطلاب. لن تجمع الرابطة السورية البيانات الشخصية وتستخدمها إلا عند الضرورة القصوى.

1.2 يجب أن يكون لدى الرابطة السورية أساس قانوني صحيح لمعالجة البيانات الشخصية. ستلبي الرابطة السورية واحدة على الأقل من القواعد القانونية الست المتاحة والواردة في تشريعات حماية البيانات قبل معالجة أي بيانات شخصية (انظر القسم 2).

1.3 سوف يتم الاعتماد على الموافقة على معالجة البيانات كأساس قانوني فقط عندما يكون للأفراد حرية الخيار والتحكم بعملية المعالجة. ستكون طلبات الموافقة بارزة ومنفصلة عن البنود والشروط الأخرى. تعتمد الموافقة على القيام بإجراءات القبول، ولن يتم استخدام المربعات المحددة مسبقاً بعلامة قبول أو طرق فرض القبول المبدئي. الموافقة الصريحة (أحد الشروط المتاحة لمعالجة الفئة الخاصة من البيانات الشخصية) سوف تستند إلى بيان موافقة واضح ومحدد، وسيتم منح الأفراد القدرة على سحب موافقتهم في أي وقت.

1.4 إذا قدمت الرابطة السورية خدمات عبر الإنترنت للأطفال بشكل مباشر، فإنها ستطلب الحصول على الموافقة فقط عند امتلاكها إجراءات للتحقق من العمر (وإجراءات موافقة الوالدين للأطفال دون سن 13 عاماً).

1.5 ستحتفظ الرابطة السورية بسجل يضم موعد وكيفية حصولها على موافقة الأفراد وما قيل لهم في ذلك الوقت.

1.6 عندما تقوم الرابطة السورية بمعالجة بيانات شخصية من الفئة الخاصة، ستحدد شرطاً وارداً في تشريعات حماية البيانات لمعالجة هذه البيانات (انظر القسم 2).

2. ستقوم الرابطة السورية بإبلاغ الأشخاص بالأساس القانوني وشرح هدف وطريقة معالجة البيانات من خلال إشعارات الخصوصية وغيرها من الأساليب المماثلة.

2.1 ستقدم الرابطة السورية، في وقت الحصول على البيانات، معلومات للأفراد حول سبب الحاجة إلى بياناتهم الشخصية، والأساس القانوني للمعالجة وكيفية استخدامها، عادةً ما يتم ذلك من خلال إشعار الخصوصية.

2.2 ستكون إشعارات الخصوصية:

  • موجزة وشفافة وواضحة ويمكن الوصول إليها بسهولة؛                
  • مكتوبة بلغة واضحة وبسيطة، خاصة إذا كانت موجهة إلى الطفل؛                                 
  • مجانية وبدون مقابل.

2.3 سيتم إبلاغ الأفراد عند جمع بياناتهم الشخصية إن كان هناك نية لاستخدام هذه البيانات للتسويق أو لأغراض أخرى وسيُطلب منهم تقديم موافقتهم من خلال القيام بإجراءات الموافقة.

2.4 لن تنفذ الرابطة السورية عملية صنع القرار الآلي أو المعالجة الآلية (بما في ذلك تسجيل ودراسة البيانات) عندما يكون للقرار تأثير قانوني كبير أو ما شابه ذلك على الفرد ما لم:

  • يقوم الشخص الذي تعود له البيانات بالموافقة بشكل واضح وصريح؛
  • تكون المعالجة مصرح بها بموجب القانون (لا يمكن استخدام هذا القاعدة للفئة الخاصة من البيانات الشخصية)؛ أو
  • تكون المعالجة ضرورية لأداء أو إبرام عقد (لا يمكن استخدام هذه القاعدة لفئة البيانات الشخصية الخاصة).

2.5 إذا كان القرار سيعتمد فقط على المعالجة الآلية (بما في ذلك تسجيل ودراسة البيانات)، فيجب إبلاغ صاحب البيانات عندما تتواصل الرابطة السورية معه لأول مرة بحقه في الاعتراض، ويجب لفت انتباهه إلى هذا الحق بشكل صريح وعرضه بوضوح وبشكل منفصل عن المعلومات الأخرى. علاوة على ذلك، يجب اتخاذ تدابير مناسبة لحماية حقوق وحريات الشخص الذي تعود له البيانات ومصالحه المشروعة.

2.6 يجب على الرابطة أيضاً إبلاغ الشخص الذي تعود له البيانات بالمنطق الذي ينطوي عليه اتخاذ القرار أو عملية تسجيل ودراسة البيانات، والأهمية والنتائج المتوقعة، وإعطائه الحق في طلب التدخل الإنساني، أو التعبير عن وجهة نظره أو الطعن في القرار. وفقاً للفقرتين 8.6 و 8.7، يجب إجراء تقييم لتأثير حماية البيانات قبل تنفيذ أي معالجة آلية (بما في ذلك تسجيل ودراسة البيانات) أو اتخاذ قرارات آلية.

3. ستحافظ الرابطة السورية على أمان البيانات الشخصية وتدير الحوادث بفعالية في حال حصول أي خطأ

3.1 ستعالج الرابطة السورية البيانات الشخصية بطريقة تضمن أمنها. سيتم استخدام التدابير التقنية المناسبة (مثل التشفير والتحكم في الوصول) أو التدابير التنظيمية (مثل السياسات والإجراءات والتدريب) للحماية من المعالجة غير المصرح بها أو غير القانونية ولحمايتها من الفقدان أو التدمير أو التلف.

3.2 ستحافظ الرابطة السورية على سياسة أمن المعلومات وإطار العمل المرتبط بالدعم الفني والتوجيه. ستتم مراقبة الانتهاكات الأمنية المادية والتقنية، بما في ذلك خروقات البيانات، وستخضع لإجراءات مع تقديم تقارير دورية من قبل مجموعة مراجعة الأمان.

3.3 يجوز للرابطة السورية الوصول إلى حسابات المستخدمين واعتراض الاتصالات على أنظمتها لأغراض مشروعة، وعندما يكون القيام بذلك قانونياً (على سبيل المثال للتحقيق في إساءة الاستخدام المشتبه بها)، ويتم ذلك بموجب الشروط المحددة في سياسات تكنولوجيا المعلومات الخاصة بالرابطة السورية.

3.4 ستتبع الرابطة السورية إجراء إدارة خرق البيانات لمعالجة انتهاكات البيانات، كما سيتم الإبلاغ عن جميع انتهاكات البيانات المشتبه بها والفعلية في أقرب وقت عند حدوثها على البريد الإلكتروني التالي: Data.Protection@Association-sy.org  

3.5 ستقوم الرابطة السورية، حيثما أمكن ذلك، بإخطار مفوض المعلومات بخرق البيانات في غضون 72 ساعة من علمها بحدوث الخرق، إلا بحال عدم إمكانية أن يؤدي الانتهاك إلى خطر على حقوق وحريات أي فرد. كما ستقوم بإخطار الأفراد المتضررين بحدوث خرق بدون أي تأخير غير مبرر عندما يحتمل أن يؤدي هذا الخرق إلى مخاطر كبيرة على حقوقهم وحرياتهم. سيتم تحديد مستوى مخاطر الخرق باستخدام أداة تقييم الخطورة في إجراء إدارة الخرق.

3.6 سيتم تقديم تقرير فصلي عن أي انتهاكات خطيرة للبيانات إلى لجنة الإدارة.

4. ستراعي الرابطة السورية حقوق الأفراد

4.1 سيتم احترام حقوق أصحاب البيانات بموجب تشريعات حماية البيانات ودعمها. يتمتع الأفراد بالعديد من الحقوق بموجب تشريعات حماية البيانات، بما في ذلك الحق في تصحيح بياناتهم الشخصية ومسحها وتقييدها؛ الحق في نقل أو نسخ أو تحويل بياناتهم الشخصية بشكل إلكتروني؛ الحق في الاعتراض على المعالجة؛ والحقوق المتعلقة باتخاذ القرار الآلي وتسجيل البيانات.

4.2 يمنح حق الوصول إلى البيانات الشخصية الأفراد إمكانية الوصول إلى بياناتهم الشخصية والمعلومات الإضافية وأن يكونوا على دراية بقانونية المعالجة والتحقق منها. ستستجيب الرابطة السورية للطلبات دون تأخير وفي موعد لا يتجاوز شهر واحد بعد استلام الطلب، مع مراعاة التحقق من الهوية وأي إعفاءات سارية. سيتم التعامل مع جميع طلبات الوصول وفقاً لإجراءات الرابطة السورية المنشورة.

5. ستعمل الرابطة السورية على ضمان تدريب كادرها بشكل مناسب وتقديم المشورة بشأن إدارة البيانات الشخصية

5.1 يتولى مسؤول حماية البيانات ضمان الامتثال لتشريعات حماية البيانات من خلال تقديم المشورة والتوجيه والتدريب للرابطة السورية.

5.2 يجب على جميع كوادر الرابطة السورية والمتطوعين الذين يتطلب عملهم الوصول إلى البيانات الشخصية إكمال الدورة التدريبية الإلزامية لحماية البيانات عبر الإنترنت الخاصة بالرابطة السورية في غضون شهر واحد من تاريخ بدء العمل وبعد ذلك كل عامين.

5.3 ستتم مراقبة معدلات الإنجاز من قبل مسؤول حماية البيانات وإبلاغ الإدارة العليا على فترات منتظمة. سيشكل عدم إكمال التدريب الإلزامي، وفقاً للفقرة 5.2، انتهاكاً لهذا الإجراء وسياسة حماية البيانات وقد يؤدي إلى اتخاذ إجراء تأديبي.

5.4 ستحتوي صفحات حماية البيانات في الشبكة الداخلية لكادر الرابطة السورية والمتطوعين (وورك بليس) على إرشادات ومعلومات عملية للكادر والمتطوعين حول حماية البيانات.

5.5 ستعرض صفحات حماية البيانات على موقع الرابطة السورية سياسة حماية البيانات والإجراءات المتعلقة بتنفيذ هذه السياسة.

5.6 يمكن لكادر الرابطة السورية وأصحاب البيانات الاتصال بمسؤول حماية البيانات وفريق الامتثال للمعلومات لأي استفسارات بشأن حماية البيانات عبر البريد الإلكتروني التالي: (data.protection@association-sy.org)

5.7 تتوفر جلسات تدريبية مخصصة وجهاً لوجه من قبل مسؤول حماية البيانات وفريق امتثال المعلومات، عند الطلب ورهناً بالتوافر.

5.8 يجب على كل شخص يحتاج إلى جمع معلومات شخصية (من خلال النماذج عبر الإنترنت، والاستطلاعات، واستمارات غوغل) الاتصال بمسؤول حماية البيانات أولاً. 

5.9 سيكون لمسؤول حماية البيانات حق الوصول إلى النموذج كـ “مالك” ومنح أو إزالة إمكانية وصول جميع المعنيين؛ لا أحد يمنح حق الوصول إلى البيانات الشخصية سوى مسؤول حماية البيانات.

5.10 تحت أي ظرف من الظروف، لا ينبغي تنزيل البيانات الشخصية على المعدات الشخصية (أجهزة الكمبيوتر المحمولة الشخصية، والهواتف، وما إلى ذلك)، وإذا حتمت الضرورة القيام بذلك، يجب على الشخص الحصول على موافقة مسؤول حماية البيانات أولاً، وحذف البيانات الشخصية تماماً بمجرد الانتهاء من معالجتها.

5.11 يجب إيقاف وصول أي شخص لم يعد يتطلب دوره الحصول على بيانات شخصية بعد الآن وعلى الفور (سواء بسبب تغيير الدور أو حتى الاستقالة)، ويجب على الشخص تسليم وحذف أي بيانات شخصية لديه عند الانتقال أو الاستقالة.

6. ستعمل الرابطة السورية على ضمان إدارة السجلات التي تحتوي على بيانات شخصية بشكل فعال

6.1 ستسعى الرابطة السورية إلى الحفاظ على معايير جودة البيانات وتجنب الازدواجية وعدم الدقة وعدم الاتساق في مجموعات البيانات الشخصية من خلال استخدام مبادئ إدارة البيانات الرئيسية حيثما أمكن ذلك. تعرف إدارة البيانات الرئيسية في المؤسسات بأنها عملية تحديد والحفاظ على تعريفات متسقة لبيانات الأعمال الهامة المستخدمة على نطاق واسع (أو مجموعات البيانات الرئيسية)، ثم إتاحة هذه التعريفات لاستخدامها في أنظمة تكنولوجيا المعلومات المتعددة في تلك المؤسسة. من المحتمل أن تأتي البيانات الرئيسية كعناوين الطلاب ومؤهلاتهم من أنظمة الطلاب المركزية والموارد البشرية والمالية.      

6.2 ستقوم الرابطة السورية بتنفيذ إطار عمل خادم البيانات وحافظ البيانات لتمكين خطوط واضحة لملكية البيانات والمساءلة.

6.3 سيتم اتباع سياسة إدارة السجلات للرابطة السورية وجدول الاحتفاظ بالسجلات للمساعدة في تجنب الاحتفاظ المفرط أو التدمير المبكر للبيانات الشخصية.

7. لن تشارك الرابطة السورية البيانات الشخصية مع أطراف ثالثة إلا عند ضمان وجود معايير مناسبة لحماية البيانات، وسيتم وضع ترتيبات تعاقدية عند الضرورة

7.1 عندما تستعين الرابطة السورية بمعالج للبيانات، يجب أن يتم إبرام عقد مكتوب حتى يفهم الطرفان مسؤولياتهما والتزاماتهما.

7.2 ستستخدم الرابطة السورية بنود العقد المعيارية المتوافقة مع تشريعات حماية البيانات كلما أمكن ذلك لضمان أن عقودها متسقة ومتوافقة. يجب أولاً فحص أي انحراف جوهري عن هذه البنود مع مسؤول حماية البيانات.

7.3 الرابطة السورية مسؤولة عن التزامها بتشريعات حماية البيانات، وستعين فقط معالجي البيانات الذين يمكنهم تقديم ضمانات كافية للوفاء بمتطلبات تشريعات حماية البيانات وحماية حقوق أصحاب البيانات.

7.4 لن تنقل الرابطة السورية البيانات الشخصية إلى دول خارج المنطقة الاقتصادية الأوروبية إلا إذا:

  • أصدرت المفوضية الأوروبية قراراً يؤكد أن الدولة تضمن مستوى مناسباً من الحماية لحقوق وحريات أصحاب البيانات؛
  • ●                                         
  • وجدت ضمانات مناسبة، مثل البنود التعاقدية القياسية المعتمدة من قبل المفوضية الأوروبية أو آلية معتمدة (مثل إطار عمل حماية الخصوصية بين الاتحاد الأوروبي والولايات المتحدة)؛
  • ●                                         
  • قدم الشخص الذي تعود له البيانات موافقة صريحة على النقل المقترح بعد إبلاغه بأي مخاطر محتملة؛ أو
  • ●                                         
  • كان النقل ضرورياً لواحد من الأسباب الأخرى المنصوص عليها في اللائحة العامة لحماية البيانات بما في ذلك إبرام عقد بين الرابطة السورية وصاحب البيانات، أو خدمةً للمصلحة العامة، أو للدفاع ورفع الدعاوى القانونية، أو لحماية المصالح الحيوية لصاحب البيانات في حال كان غير قادر جسدياً أو قانونياً على إعطاء الموافقة، أو لحماية مصالح الجمعية السورية المشروعة، وذلك في بعض الحالات المحدودة. لمزيد من الإرشادات، راجع صفحة إرشادات القانون العام لحماية البيانات (GDPR).

7.5 قد تطلب أطراف ثالثة (مثل هيئات إنفاذ القانون) من الرابطة السورية الكشف عن معلومات تتعلق بأحد الأفراد من أجل منع الجرائم الجنائية أو التحقيق فيها أو كشفها أو ملاحقتها أو تنفيذ عقوبات جنائية، بما في ذلك الحماية والوقاية من التهديدات التي تمس الأمن العام. يجب أن تقدم وتكتب هذه الطلبات بشكل رسمي (يجب على هيئات إنفاذ القانون تقديم نموذج “طلب حماية البيانات”)، ويتم بعد ذلك النظر في الطلب مقابل التزامات الرابطة السورية بموجب قانون حماية البيانات باستخدام تقييم تأثير حماية البيانات عند اقتضاء الحاجة (انظر الفقرتين 8.6 و 8.7).

7.6 في الحالات العاجلة والطارئة، يمكن تجاوز الخطوات الواردة في الفقرة 7.5 إذا ما اقتضت الضرورة القيام بذلك. يجب أن يستند هذا القرار إلى مخاطر عدم مشاركة البيانات؛ مع الأخذ بعين الاعتبار أن تشريعات حماية البيانات لا تمنع مشاركة البيانات في المواقف التي يوجد فيها خطر على صحة الشخص.

8. ستنفذ الرابطة السورية تدابير حوكمة شاملة ومتناسبة لإثبات الالتزام بمبادئ تشريعات حماية البيانات

8.1 سيتم تقديم تقرير فصلي عن الالتزام بحماية البيانات إلى لجنة إدارة الرابطة السورية.

8.2 عيّنت الرابطة السورية مسؤولاً عن حماية البيانات لإبلاغها وإسداء المشورة لها بشأن التزاماتها بتطبيق تشريعات حماية البيانات، ومراقبة امتثالها، وليكون نقطة الاتصال الأولى مع مفوض المعلومات والأفراد الذين تتم معالجة بياناتهم.

8.3 سيعمل مسؤول حماية البيانات بشكل مستقل ويقدم تقاريره إلى أعلى مستوى إداري في الرابطة السورية.

8.4 ستحتفظ الرابطة السورية بسجل مكتوب لأنشطة المعالجة الخاصة بها، والذي سيتم توفيره لمفوض المعلومات عند الطلب، كما سيتم تحديث السجلات سنوياً لتعكس أنشطة المعالجة الحالية للرابطة السورية.

8.5 ستنفذ الرابطة السورية التدابير التي تلبي مبادئ حماية البيانات عن طريق التصميم (تصميم المشاريع أو العمليات أو المنتجات أو الأنظمة مع مراعاة الخصوصية في البداية) وحماية البيانات افتراضياً. يمكن أن تشمل هذه التدابير:

  • تقليل البيانات
  • التسميه المستعارة
  • الشفافية
  • السماح للأفراد بمراقبة المعالجة
  • إنشاء ميزات الأمان وتحسينها بشكل مستمر

8.6 ستستخدم الرابطة السورية تقييمات تأثير حماية البيانات للمساعدة في تحديد وتقليل مخاطر حماية البيانات لمشاريعها وتلبية توقعات الأفراد بشأن الخصوصية.

8.7 ستجري الرابطة السورية تقييمات تأثير حماية البيانات عند استخدام تقنيات جديدة و / أو عندما قد تؤدي المعالجة إلى مخاطر كبيرة تهدد حقوق وحريات الأفراد. قد يشمل ذلك (على سبيل الذكر لا الحصر) أنشطة المعالجة المنهجية والشاملة، والمعالجة واسعة النطاق للفئة الخاصة من البيانات الشخصية.

القسم الثاني: الأسس القانونية لمعالجة البيانات الشخصية وشروط معالجة الفئة الخاصة من البيانات الشخصية

تم تحديد القواعد القانونية للمعالجة في المادة 6 من القانون العام لحماية البيانات (GDPR)، ويجب على  الرابطة السورية تطبيق واحدة منها على الأقل عندما تقوم بمعالجة البيانات الشخصية:

(أ) الموافقة: يجب أن يمنح الفرد الذي تعود له البيانات الشخصية موافقة واضحة وصريحة لمعالجة بياناته الشخصية لغرض محدد.

(ب) العقد: تكون المعالجة ضرورية عند إبرام عقد مع صاحب البيانات، أو بسبب طلبه اتخاذ خطوات محددة قبل إبرامه.

(ج) الالتزام القانوني: تكون المعالجة ضرورية للالتزام بتنفيذ القانون (لا يشمل الالتزامات التعاقدية).

(د) المصالح الحيوية: تكون المعالجة ضرورية لحماية حياة شخص ما.

(هـ) مهمة تخدم المصلحة العامة: تكون المعالجة ضرورية لأداء مهمة تخدم المصلحة العامة أو وظيفة رسمية مع وجود أساس واضح لهما في القانون.

(و) المصالح المشروعة: تكون المعالجة ضرورية لمصالح الرابطة المشروعة أو للمصالح المشروعة لطرف ثالث ما لم يكن هناك سبب وجيه لحماية البيانات الشخصية للفرد والتي تتجاوز تلك المصالح المشروعة. (لا يمكن تطبيق هذا البند إذا كانت الرابطة السورية تعالج بيانات تندرج تحت البند (هـ))

للحصول على إرشادات حول كل أساس قانوني، راجع صفحة إرشادات القانون العام لحماية البيانات (GDPR).

من أجل معالجة الفئة الخاصة من البيانات الشخصية بشكل قانوني، يجب تحديد أساس قانوني بموجب المادة 6، بالإضافة إلى شرط منفصل لمعالجة بيانات الفئة الخاصة بموجب المادة 9:

  • قيام الشخص الذي تعود له البيانات بإعطاء موافقة واضحة وصريحة على المعالجة.
  • المعالجة ضرورية لأغراض تنفيذ الالتزامات وحفظ حقوق مراقب البيانات أو الشخص الذي تعود له البيانات، وذلك في مجال العمل والضمان الاجتماعي وقانون الحماية الاجتماعية.
  • المعالجة ضرورية لحماية المصالح الحيوية للشخص الذي تعود له البيانات أو لشخص آخر عندما يكون صاحب البيانات غير قادر جسدياً أو قانونياً على إعطاء الموافقة.
  • تتعلق المعالجة بالبيانات الشخصية التي يتم الإعلان عنها بشكل واضح من قبل صاحب البيانات.
  • المعالجة ضرورية لإنشاء أو الدفاع أو رفع الدعاوى القانونية أو عندما تمارس المحاكم صفتها القضائية.
  • المعالجة ضرورية لأسباب تتعلق بالمصلحة العامة الأساسية.
  • المعالجة ضرورية لأغراض الطب الوقائي أو المهني، لتقييم قدرة الموظف على العمل، والتشخيص الطبي، وتوفير الرعاية الصحية والاجتماعية، والعلاج، وإدارة أنظمة وخدمات الرعاية الصحية والاجتماعية.
  • المعالجة ضرورية لأسباب تتعلق بالمصلحة العامة في مجال الصحة، مثل الحماية من الأوبئة والتهديدات الخطيرة للصحة أو ضمان معايير عالية لجودة وسلامة الرعاية الصحية والأدوية والأجهزة الطبية.
  • المعالجة ضرورية لأغراض الأرشفة خدمةً للمصلحة العامة أو لأغراض البحث العلمي أو التاريخي أو الإحصائي.
  • لاحظ أن هذه قائمة معدلة لشروط المادة 9 وسيتم تضمين المزيد من الشروط والضمانات المطلوبة في الأحكام النهائية لتشريعات حماية البيانات.
  • للحصول على إرشادات حول معالجة الفئة الخاصة من البيانات الشخصية، راجع صفحة إرشادات القانون العام لحماية البيانات (GDPR).

القسم 3 – مبادئ تشريعات حماية البيانات

بموجب القانون العام لحماية البيانات (GDPR)، تحدد مبادئ حماية البيانات المسؤوليات الرئيسية للمؤسسات. تتطلب المادة 5 من القانون العام لحماية البيانات (GDPR) أن تكون البيانات الشخصية:

أ) معالجة بطريقة قانونية وعادلة وشفافة فيما يتعلق بالأفراد؛

ب) مجموعة لأغراض محددة وصريحة ومشروعة ولم تتم معالجتها بطريقة لا تتوافق مع تلك الأغراض؛ لا يجب اعتبار المعالجة الإضافية لأغراض الأرشفة للمصلحة العامة أو أغراض البحث العلمي أو التاريخي أو الأغراض الإحصائية غير متوافقة مع الأغراض الأولية؛

ج) كافية وذات صلة ومقتصرة على ما هو ضروري وله علاقة بالأغراض التي يتم معالجتها من أجلها؛

د) دقيقة ومحدثة عند الضرورة؛ يجب اتخاذ كل خطوة منطقية لضمان محو أو تصحيح البيانات الشخصية غير الدقيقة بدون تأخير ومع مراعاة الأغراض التي تتم معالجتها من أجلها.

هـ) محفوظة بشكل يسمح بتحديد هوية الشخص صاحب البيانات ولمدة لا تزيد عن الهدف اللازم الذي يتم من أجله معالجة البيانات الشخصية؛ قد يتم تخزين البيانات الشخصية لفترات أطول من مدة المعالجة وذلك لأغراض الأرشفة خدمةً للمصلحة العامة أو لأغراض البحث العلمي أو التاريخي أو للأغراض الإحصائية الخاضعة لتنفيذ التدابير الفنية والتنظيمية المناسبة التي تتطلبها اللائحة العامة لحماية البيانات من أجل حماية حقوق وحريات الأفراد؛

و) معالجة بطريقة تضمن الأمان المناسب للبيانات الشخصية، بما في ذلك الحماية ضد المعالجة غير المصرح بها أو غير القانونية وعدم تعرضها للضياع أو التلف أو الضر، باستخدام التدابير التقنية أو التنظيمية المناسبة.

تتطلب المادة 5 (2) ما يلي: “يجب أن يكون مراقب البيانات مسؤولاً وقادراً على إثبات الالتزام بهذه المبادئ.”

للحصول على إرشادات حول كل مبدأ، راجع صفحة إرشادات القانون العام لحماية البيانات (GDPR).

النقاط الرئيسية لسياسة وإجراءات حماية البيانات

قبل جمع البيانات

1. يجب على كل شخص يتضمن دوره التعامل مع بيانات شخصية أن يفهم هذه السياسة ويوقع عليها متعهداً بالالتزام بها.

2. يجب على كل شخص يتضمن دوره التعامل مع بيانات شخصية إكمال الدورة التدريبية الإلزامية عبر الإنترنت للرابطة السورية بشأن اللائحة العامة لحماية البيانات خلال العامين الماضيين.

عند جمع البيانات

3. يجب على كل شخص يحتاج إلى جمع معلومات شخصية (من خلال النماذج عبر الإنترنت، والاستطلاعات، واستمارات غوغل) الاتصال بمسؤول حماية البيانات أولاً.

4. سيكون لمسؤول حماية البيانات حق الوصول إلى النموذج كـ “مالك” ومنح أو إزالة إمكانية وصول جميع المعنيين؛ لا أحد يمنح حق الوصول إلى البيانات الشخصية سوى مسؤول حماية البيانات.

5. في وقت الحصول على البيانات، يجب تقديم معلومات للأفراد حول سبب الحاجة إلى بياناتهم الشخصية، والأساس القانوني لمعالجتها وكيفية استخدامها؛ عادةً ما يتم ذلك من خلال إشعار الخصوصية.

6. عند جمع البيانات الشخصية، يجب أن تكون طلبات الموافقة بارزة ومنفصلة عن البنود والشروط الأخرى.

7. سيتم إبلاغ الأفراد عند جمع بياناتهم الشخصية إن كان هناك نية لاستخدام هذه البيانات للتسويق أو لأغراض أخرى وسيُطلب منهم تقديم موافقتهم من خلال الاشتراك النشط.

إدارة البيانات

8. ستحتفظ الرابطة السورية بسجل يضم موعد وكيفية حصولها على موافقة الأفراد وما قيل لهم في ذلك الوقت.

9. في حالة حدوث خرق لحماية البيانات، يجب على الشخص الذي اكتشف الخرق إبلاغ مسؤول حماية البيانات فوراً وبدون تردد على البريد الإلكتروني التالي: Data.Protection@Association-sy.org

10. إذا طلب أي شخص الوصول إلى بياناته الشخصية أو حذفها أو تعديلها، فيجب إعادة توجيه هذا الطلب فوراً إلى مسؤول حماية البيانات على البريد الإلكتروني التالي: Data.Protection@Association-sy.org

11. تحت أي ظرف من الظروف، لا يمكن مشاركة البيانات الشخصية مع أي طرف ثالث قبل موافقة مسؤول حماية البيانات والإدارة العليا والمدير العام.

12. تحت أي ظرف من الظروف، لا ينبغي تنزيل البيانات الشخصية على المعدات الشخصية (أجهزة الكمبيوتر المحمولة الشخصية، والهواتف، وما إلى ذلك)، وإذا حتمت الضرورة القيام بذلك، يجب على الشخص الحصول على موافقة مسؤول حماية البيانات أولاً، وحذف البيانات الشخصية تماماً بمجرد الانتهاء من معالجتها.

13. يجب إيقاف وصول أي شخص لم يعد يتطلب دوره الحصول على بيانات شخصية بعد الآن وعلى الفور (سواء بسبب تغيير الدور أو حتى الاستقالة)، ويجب على الشخص تسليم وحذف أي بيانات شخصية لديه عند الانتقال أو الاستقالة.

اشترك بقائمتنا البريدية ليصلك جديدنا.

!اشترك الآن

©  2024 الرابطة السورية الدولية لتنمية التعليم. Built by Appsology