سياسة الخصوصية
تلتزم شركة جيثرو المتكاملة بالشفافية في كيفية جمعها واستخدامها للبيانات الشخصية لأصحاب المصلحة الخارجيين، مثل العملاء والموردين وشركاء الأعمال وغيرهم، وبالوفاء بالتزاماتها المتعلقة بحماية البيانات. تنطبق هذه السياسة على البيانات الشخصية لجميع أصحاب المصلحة، وتوضح التزام الشركة بحماية البيانات، وحقوق الأفراد والتزاماتهم المتعلقة بالبيانات الشخصية.
تعريف
"البيانات الشخصية" هي أي معلومات تتعلق بشخص حيّ يمكن تحديد هويته من خلالها. المعالجة هي أي استخدام للبيانات، بما في ذلك جمعها وتخزينها وتعديلها والإفصاح عنها أو إتلافها. "الفئات الخاصة من البيانات الشخصية" تعني معلومات عن الأصل العرقي أو الإثني للفرد، وآرائه السياسية، ومعتقداته الدينية أو الفلسفية، وعضويته في النقابات العمالية، وصحته، وحياته الجنسية أو توجهه الجنسي، وبياناته الجينية والبيومترية. "بيانات السجلات الجنائية" تعني معلومات عن الإدانات والجرائم الجنائية للفرد، والمعلومات المتعلقة بالادعاءات والإجراءات الجنائية.
مبادئ حماية البيانات
تقوم المنظمة بمعالجة البيانات الشخصية وفقًا لمبادئ حماية البيانات التالية:
تعمل المنظمة على معالجة البيانات الشخصية بطريقة قانونية وعادلة وشفافة.
تقوم المنظمة بجمع البيانات الشخصية فقط لأغراض محددة وصريحة ومشروعة.
لا تقوم المنظمة بمعالجة البيانات الشخصية إلا عندما تكون كافية وذات صلة ومحدودة بما هو ضروري لأغراض المعالجة.
تحتفظ المنظمة بالبيانات الشخصية الدقيقة وتتخذ جميع الخطوات المعقولة لضمان تصحيح البيانات الشخصية غير الدقيقة أو حذفها دون تأخير.
لا تحتفظ المنظمة بالبيانات الشخصية إلا للفترة اللازمة للمعالجة.
تتخذ المنظمة التدابير المناسبة للتأكد من أن البيانات الشخصية آمنة، ومحمية من المعالجة غير المصرح بها أو غير القانونية، والفقدان العرضي أو التدمير أو الضرر.
تُبيّن المنظمة للأفراد أسباب معالجة بياناتهم الشخصية، وكيفية استخدامها، والأساس القانوني للمعالجة في إشعارات الخصوصية الخاصة بها. ولن تُعالج البيانات الشخصية للأفراد لأسباب أخرى. وعندما تعتمد المنظمة على مصالحها المشروعة كأساس لمعالجة البيانات، فإنها تُجري تقييمًا لضمان عدم تغلب حقوق الأفراد وحرياتهم على تلك المصالح.
عندما تُعالج المؤسسة فئات خاصة من البيانات الشخصية أو بيانات السجلات الجنائية للوفاء بالتزامات أو ممارسة حقوق بموجب قانون العمل، فإن ذلك يتم وفقًا لسياسة خاصة بالفئات الخاصة من البيانات وبيانات السجلات الجنائية. وستُحدّث المؤسسة البيانات الشخصية فورًا في حال إبلاغ أي فرد بتغير معلوماته أو عدم دقتها.
تُحفظ البيانات الشخصية المُجمعة خلال مدة سريان الاتفاقيات التعاقدية مع أصحاب المصلحة لدينا، سواءً ورقية أو إلكترونية، في أنظمة تكنولوجيا المعلومات المتكاملة من جيثرو، مثل الأنظمة المالية ومحركات الأقراص الشبكية. وترد فترات احتفاظ المؤسسة بالبيانات الشخصية في إشعارات الخصوصية الخاصة بها. وتحتفظ المؤسسة بسجل لأنشطة معالجتها المتعلقة بالبيانات الشخصية وفقًا لمتطلبات اللائحة العامة لحماية البيانات (GDPR).
الحقوق الفردية
باعتبارهم أصحاب البيانات، يتمتع الأفراد بعدد من الحقوق فيما يتعلق ببياناتهم الشخصية.
طلبات الوصول إلى الموضوع
للأفراد الحق في تقديم طلب الوصول إلى الموضوع.
إذا قام أحد الأفراد بتقديم طلب الوصول إلى الموضوع، فسوف تخبره المنظمة بما يلي:
ما إذا كانت بياناته تتم معالجتها أم لا، وإذا كان الأمر كذلك، فلماذا، وفئات البيانات الشخصية المعنية ومصدر البيانات إذا لم يتم جمعها من الفرد؛
إلى من يتم أو يجوز الكشف عن بياناته، بما في ذلك المستلمين الموجودين خارج المنطقة الاقتصادية الأوروبية (EEA) والضمانات التي تنطبق على مثل هذه التحويلات؛
- مدة تخزين بياناته الشخصية (أو كيفية تحديد تلك الفترة)؛ - حقوقه في تصحيح أو مسح البيانات، أو تقييد أو الاعتراض على المعالجة؛ - حقه في تقديم شكوى إلى مفوض المعلومات إذا كان يعتقد أن المنظمة قد فشلت في الامتثال لحقوقه في حماية البيانات؛
وما إذا كانت المنظمة تقوم باتخاذ القرارات آليًا أم لا، والمنطق المتضمن في أي عملية اتخاذ قرار من هذا القبيل.
ستُزوّد المنظمة الفردَ أيضًا بنسخة من البيانات الشخصية قيد المعالجة. عادةً ما تكون هذه النسخة إلكترونيةً إذا قدّم الفرد طلبًا إلكترونيًا، ما لم يوافق على خلاف ذلك. في حال رغبة الفرد في الحصول على نسخ إضافية، ستُحصّل المنظمة رسومًا تُحدّد بناءً على التكلفة الإدارية التي تتكبّدها المنظمة لتوفير النسخ الإضافية.
لتقديم طلب الوصول إلى المعلومات، يُرجى إرسال الطلب إلى hello@jethrolondon.com. يحق للمنظمة طلب إثبات هوية قبل معالجة الطلب. سيحتاج الفرد إلى التحقق من هويته والوثائق المطلوبة.
عادةً ما تردّ المؤسسة على الطلب خلال شهر واحد من تاريخ استلامه. في بعض الحالات، كما في حال معالجة المؤسسة لكميات كبيرة من بيانات الأفراد، قد تردّ خلال ثلاثة أشهر من تاريخ استلام الطلب.
ستراسل المنظمة الفرد خلال شهر واحد من استلام الطلب الأصلي لإبلاغه بذلك. إذا كان طلب الوصول إلى المعلومات لا أساس له من الصحة أو مبالغًا فيه بشكل واضح، فإن المنظمة غير ملزمة بالامتثال له. بدلاً من ذلك، يمكن للمنظمة الموافقة على الرد ولكن ستفرض رسومًا تعتمد على التكلفة الإدارية للرد على الطلب. من المرجح أن يكون طلب الوصول إلى المعلومات لا أساس له من الصحة أو مبالغًا فيه بشكل واضح عندما يكرر طلبًا سبق للمنظمة الرد عليه. إذا قدم الفرد طلبًا لا أساس له من الصحة أو مبالغًا فيه، فستخطره المنظمة بذلك وما إذا كانت سترد عليه أم لا.
حقوق أخرى
للأفراد عدد من الحقوق الأخرى المتعلقة ببياناتهم الشخصية. يمكنهم مطالبة المؤسسة بما يلي:
تصحيح البيانات غير الدقيقة؛
إيقاف معالجة أو مسح البيانات التي لم تعد ضرورية لأغراض المعالجة؛
إيقاف معالجة البيانات أو مسحها إذا كانت مصالح الفرد تتغلب على الأسباب المشروعة للمنظمة لمعالجة البيانات (حيث تعتمد المنظمة على مصالحها المشروعة كسبب لمعالجة البيانات)؛
إيقاف معالجة البيانات أو مسحها إذا كانت المعالجة غير قانونية؛
وتوقف معالجة البيانات لفترة من الوقت إذا كانت البيانات غير دقيقة أو إذا كان هناك نزاع حول ما إذا كانت مصالح الفرد تتجاوز الأسباب المشروعة للمنظمة لمعالجة البيانات أم لا.
للطلب من المنظمة اتخاذ أي من هذه الخطوات، يجب على الفرد إرسال الطلب إلى hello@jethrolondon.com
أمن البيانات
تأخذ المنظمة أمن البيانات الشخصية على محمل الجد. لدى المنظمة سياسات وضوابط داخلية معمول بها لحماية البيانات الشخصية من الضياع أو التدمير العرضي أو سوء الاستخدام أو الكشف عنها، ولضمان عدم الوصول إلى البيانات، إلا من قبل الموظفين أثناء الأداء السليم لواجباتهم. يتم التحكم في الوصول إلى البنية التحتية الداخلية لتكنولوجيا المعلومات الخاصة بـ Jethro Integrated من خلال حماية كلمة المرور وبالتالي لديها تدابير معمول بها لتقليل مخاطر الوصول غير القانوني من أطراف خارجية. جميع أنظمة الطرف الثالث الخارجية التي تستخدمها Jethro Integrated محمية بكلمة مرور والوصول إليها مقيد بما يتماشى مع دور الموظف. عندما تتعاقد المنظمة مع أطراف ثالثة لمعالجة البيانات الشخصية نيابة عنها، فإن هذه الأطراف تفعل ذلك بناءً على تعليمات مكتوبة، وتخضع لواجب السرية وملزمة بتنفيذ التدابير الفنية والتنظيمية المناسبة لضمان أمن البيانات.
تقييمات الأثر
قد تُشكّل بعض عمليات المعالجة التي تُجريها المؤسسة مخاطر على الخصوصية. في حال كانت المعالجة تُشكّل خطرًا كبيرًا على حقوق الأفراد وحرياتهم، تُجري المؤسسة تقييمًا لأثر حماية البيانات لتحديد ضرورة المعالجة وتناسبها. ويشمل ذلك دراسة أغراض هذه العملية، والمخاطر التي قد تُواجه الأفراد، والتدابير التي يُمكن اتخاذها للحدّ من تلك المخاطر.
خروقات البيانات
إذا اكتشفت المنظمة حدوث اختراق للبيانات الشخصية يُشكل خطرًا على حقوق الأفراد وحرياتهم، فإنها تُبلغ مفوض المعلومات بذلك خلال 72 ساعة من اكتشافه. وتُسجل المنظمة جميع حالات اختراق البيانات بغض النظر عن آثارها. وإذا كان من المُحتمل أن يُسبب الاختراق خطرًا كبيرًا على حقوق الأفراد وحرياتهم، فإنها تُبلغ الأفراد المتضررين بحدوث الاختراق وتُزودهم بمعلومات حول عواقبه المُحتملة والتدابير المُتخذة للتخفيف من آثاره.
نقل البيانات الدولية
لن تقوم المنظمة بنقل البيانات الشخصية المتعلقة بالموارد البشرية إلى دول خارج المنطقة الاقتصادية الأوروبية.
المسؤوليات الفردية
يقع على عاتق الأفراد مسؤولية مساعدة المؤسسة في تحديث بياناتهم الشخصية. وعليهم إبلاغ المؤسسة بأي تغيير في البيانات المُقدمة لها، على سبيل المثال، إذا غيّر شخص ما رقم الاتصال أو عنوان البريد الإلكتروني.
قد يتمكن موظفو شركة جيثرو المتكاملة من الوصول إلى البيانات الشخصية لأصحاب المصلحة الخارجيين في الشركة أثناء عملهم، أو عقودهم، أو فترات تطوعهم، أو تدريبهم، أو تدريبهم المهني. وفي هذه الحالة، تعتمد الشركة على الأفراد للمساعدة في الوفاء بالتزاماتها المتعلقة بحماية البيانات تجاه الموظفين وجميع أصحاب المصلحة.
يُطلب من الأفراد الذين لديهم إمكانية الوصول إلى البيانات الشخصية ما يلي:
الوصول فقط إلى البيانات التي لديهم صلاحية الوصول إليها ولأغراض مصرح بها فقط؛
عدم الكشف عن البيانات إلا للأفراد (سواء داخل المنظمة أو خارجها) الذين لديهم التصريح المناسب؛
للحفاظ على أمان البيانات (على سبيل المثال من خلال الامتثال للقواعد المتعلقة بالوصول إلى المباني، والوصول إلى الكمبيوتر، بما في ذلك حماية كلمة المرور، وتخزين الملفات بشكل آمن وتدميرها)؛
عدم إزالة البيانات الشخصية، أو الأجهزة التي تحتوي على البيانات الشخصية أو التي يمكن استخدامها للوصول إليها، من مقر المنظمة دون اتخاذ تدابير أمنية مناسبة (مثل التشفير أو حماية كلمة المرور) لتأمين البيانات والجهاز؛
عدم تخزين البيانات الشخصية على محركات الأقراص المحلية أو على الأجهزة الشخصية المستخدمة لأغراض العمل؛
والإبلاغ عن خروقات البيانات التي يصبحون على علم بها على الفور.
إن أي انتهاك جسيم أو متعمد لهذه السياسة، مثل الوصول إلى بيانات الموظفين أو العملاء أو الموردين دون تصريح أو سبب مشروع، قد يُشكل سوء سلوك جسيمًا، وقد يؤدي إلى الفصل دون إشعار. ستُقدم المؤسسة تدريبًا توعويًا لجميع الأفراد حول مسؤولياتهم في حماية البيانات، كجزء من عملية التوجيه، وعلى فترات منتظمة بعد ذلك. سيتلقى الأفراد الذين تتطلب أدوارهم الوصول بانتظام إلى البيانات الشخصية، أو المسؤولون عن تطبيق هذه السياسة أو الاستجابة لطلبات الوصول بموجبها، تدريبًا إضافيًا لمساعدتهم على فهم واجباتهم وكيفية الالتزام بها.