شركة مساي للصناعة والتجارة المساهمة
سياسة تخزين وإتلاف البيانات الشخصية
إن سياسة الاحتفاظ وإتلاف البيانات الشخصية ("السياسة") صيغت استنادًا إلى قانون حماية البيانات الشخصية رقم 6698 ("KVKK" أو "القانون") ولائحة حذف أو إتلاف أو إخفاء هوية البيانات الشخصية المنشورة في الجريدة الرسمية بتاريخ 28 أكتوبر 2017 ("اللائحة"). وبصفتنا مسؤول البيانات، نهدف إلى الوفاء بالالتزامات المقررة في اللائحة، وإبلاغ أصحاب البيانات بمبادئ تحديد الحد الأقصى لمدة الاحتفاظ اللازمة للغرض الذي تتم معالجة بياناتهم من أجله، وبإجراءات الحذف والإتلاف وإخفاء الهوية. تلتزم شركة مساي للصناعة والتجارة المساهمة ("مساي أوتوموتيف" أو "الشركة") التزامًا كاملًا بالمبادئ الواردة في المادة 4 من القانون، وبالتدابير الفنية والإدارية الموضحة في هذه السياسة ضمن نطاق المادة 12، وبأحكام التشريعات ذات الصلة وقرارات المجلس وهذه السياسة أثناء عمليات الحذف أو الإتلاف أو إخفاء الهوية. ما لم يقرر المجلس خلاف ذلك، تختار الشركة من تلقاء نفسها الطريقة المناسبة للحذف أو الإتلاف أو إخفاء الهوية. ومع ذلك، عند طلب الشخص المعني، تُختار الطريقة المناسبة مع توضيح السبب. وعند زوال شروط المعالجة المنصوص عليها في المادتين 5 و6 من القانون، تُحذف البيانات الشخصية أو تُتلف أو تُخفى هويتها من تلقاء نفسها أو بناءً على طلب الشخص المعني.
1. المقدمة
1.1 الغرض
تهدف هذه السياسة إلى تحديد الإجراءات والمبادئ المتعلقة بالأعمال والمعاملات الخاصة بأنشطة التخزين والإتلاف التي تقوم بها شركة مساي أوتوموتيف للصناعة والتجارة المساهمة ("الشركة" أو "مساي أوتوموتيف"). وتولي الشركة، بما ينسجم مع رسالتها ورؤيتها ومبادئها الأساسية في الخطة الإستراتيجية، أولوية لمعالجة البيانات الشخصية العائدة لموظفي الشركة ومرشحي التوظيف ومقدمي الخدمات والزوار والأطراف الثالثة الأخرى وفق الاتفاقيات الدولية وقانون حماية البيانات الشخصية رقم 6698 والتشريعات ذات الصلة، مع ضمان تمكين الأشخاص المعنيين من ممارسة حقوقهم بفعالية. وتُنَفَّذ الأعمال والمعاملات المتعلقة بتخزين وإتلاف البيانات الشخصية وفق السياسة المعدّة لهذا الغرض.
1.2 النطاق
تندرج البيانات الشخصية العائدة لموظفي الشركة ومرشحي التوظيف ومقدمي الخدمات والزوار والأطراف الثالثة الأخرى ضمن نطاق هذه السياسة، وتُطبَّق في جميع بيئات التسجيل التي تُعالَج فيها البيانات الشخصية المملوكة أو المُدارة من قبل الشركة، وفي الأنشطة المتعلقة بمعالجة البيانات.
1.3 الاختصارات والتعاريف
مجموعة المستلمين: فئة الشخص الطبيعي أو الاعتباري الذي تُنقل إليه البيانات الشخصية من قبل مسؤول البيانات.
الموافقة الصريحة: موافقة مبنية على العلم ومحددة الموضوع وصادرة بإرادة حرة.
إخفاء الهوية: جعل البيانات الشخصية غير قابلة للربط بأي شكل مع شخص طبيعي محدد أو قابل للتحديد حتى عند مطابقتها مع بيانات أخرى.
الموظف: موظفو مساي أوتوموتيف.
الوسائط الإلكترونية: البيئات التي يمكن فيها إنشاء البيانات الشخصية أو قراءتها أو تعديلها أو كتابتها باستخدام أجهزة إلكترونية.
الوسائط غير الإلكترونية: جميع الوسائط المكتوبة أو المطبوعة أو المرئية وما شابهها غير الإلكترونية.
الشخص المعني: الشخص الطبيعي الذي تُعالَج بياناته الشخصية.
المستخدم المعني: الأشخاص الذين يُعالجون البيانات الشخصية ضمن تنظيم مسؤول البيانات أو وفق التفويض والتعليمات المستلمة منه، باستثناء وحدة/شخص التخزين والحماية والنسخ الاحتياطي الفني.
الإتلاف: الحذف أو الإتلاف أو إخفاء الهوية للبيانات الشخصية.
القانون: قانون حماية البيانات الشخصية رقم 6698.
بيئة التسجيل: أي بيئة تُعالَج فيها البيانات الشخصية آليًا كليًا أو جزئيًا أو بوسائل غير آلية شريطة أن تكون جزءًا من نظام تسجيل بيانات.
البيانات الشخصية: أي معلومات تتعلق بشخص طبيعي محدد أو قابل للتحديد.
جرد معالجة البيانات الشخصية: جرد يصف أنشطة المعالجة حسب العمليات التجارية، مع ربط أغراض المعالجة وأساسها القانوني وفئة البيانات ومجموعة المستلمين وفئة الأشخاص موضوع البيانات، وبيان أقصى مدة احتفاظ والأطراف المنقولة إليهم خارج البلد والتدابير الأمنية.
معالجة البيانات الشخصية: أي عملية تُجرى على البيانات الشخصية مثل الحصول والتسجيل والحفظ والتخزين والتغيير والترتيب والإفصاح والنقل والاستحواذ والإتاحة والتصنيف أو منع الاستخدام، بوسائل آلية كليًا أو جزئيًا أو بوسائل غير آلية جزءًا من نظام تسجيل بيانات.
البيانات الشخصية الخاصة: البيانات المتعلقة بالعرق، الأصل العرقي، الرأي السياسي، المعتقد الفلسفي، الدين أو المذهب أو المعتقدات الأخرى، الزي والملابس، العضوية في الجمعيات أو المؤسسات أو النقابات، الصحة، الحياة الجنسية، الأحكام الجنائية والتدابير الأمنية، والبيانات البيومترية والوراثية.
الإتلاف الدوري: عملية الحذف/الإتلاف/إخفاء الهوية التي تُنفَّذ تلقائيًا على فترات متكررة ومحددة في سياسة التخزين والإتلاف، عند زوال جميع شروط المعالجة.
معالج البيانات: الشخص الطبيعي أو الاعتباري الذي يُعالج البيانات الشخصية نيابةً عن مسؤول البيانات بناءً على تفويضه.
نظام تسجيل البيانات: نظام تُعالَج فيه البيانات الشخصية ويُنظَّم وفق معايير محددة.
مسؤول البيانات: الشخص الطبيعي أو الاعتباري الذي يحدد أغراض ووسائل المعالجة والمسؤول عن إنشاء وإدارة نظام التسجيل.
نظام تسجيل مسؤولي البيانات (VERBIS): نظام معلومات يُدار من قبل الرئاسة ويُستخدم عبر الإنترنت لتقديم طلبات السجل والمعاملات ذات الصلة.
VERBIS: نظام تسجيل مسؤولي البيانات.
اللائحة: اللائحة المتعلقة بحذف أو إتلاف أو إخفاء هوية البيانات الشخصية المنشورة في 28/10/2017.
2. توزيع المسؤوليات والمهام
تتحمل جميع وحدات وموظفي الشركة مسؤولية تنفيذ التدابير الفنية والإدارية في إطار هذه السياسة، وتدريب ورفع وعي الموظفين، ومنع المعالجة والوصول غير القانونيين، ومراقبة البيانات الشخصية والإشراف المستمر عليها. كما تدعم الوحداتُ المعنيةُ اتخاذ التدابير اللازمة لضمان أمن البيانات في جميع البيئات التي تُعالَج فيها البيانات الشخصية لضمان تخزينها وفق القانون.
3. بيئات التسجيل
الوسائط الإلكترونية: الخوادم (الدومين، النسخ الاحتياطي، البريد الإلكتروني، قاعدة البيانات، الويب، مشاركة الملفات... إلخ)، البرمجيات (برامج المكاتب، البوابة)، أجهزة أمن المعلومات (جدار الحماية، كشف/منع التسلل، سجلات، مضاد فيروسات... إلخ)، الحواسيب الشخصية (مكتبي/محمول)، الأجهزة المحمولة (هاتف/جهاز لوحي)، الأقراص الضوئية (CD/DVD)، الذواكر القابلة للإزالة (USB/بطاقة ذاكرة)، الطابعات والماسحات والناسخات.
الوسائط غير الإلكترونية: الورق، أنظمة التسجيل اليدوية (نماذج الاستبيان، دفتر الزوار)، الوسائط المكتوبة/المطبوعة/المرئية.
4. شروح حول التخزين والإتلاف
تُخزّن الشركة وتُتلف البيانات الشخصية الخاصة بموظفيها وبالأطراف الثالثة ذات الصلة (مرشحو التوظيف، الزوار، مقدمو الخدمات) وفقًا للقانون. وفيما يلي تفاصيل التخزين والإتلاف.
4.1 ملاحظات حول الاحتفاظ
عرّفت المادة 3 من القانون مفهوم المعالجة، ونصّت المادة 4 على أن تكون البيانات مرتبطة بالغرض الذي تُعالَج من أجله ومحدودة ومتناسبة، وأن تُحفَظ للمدة اللازمة لذلك الغرض أو كما تحدده التشريعات. وبناءً عليه، تُحفَظ البيانات ضمن المدد المقررة تشريعيًا أو بما يلائم أغراض المعالجة.
4.1.1 الأسباب القانونية للاحتفاظ
تُحفَظ البيانات الشخصية للمدد المنصوص عليها في التشريعات ذات الصلة؛ ومن ذلك على سبيل المثال لا الحصر: قانون رقم 6698، قانون الالتزامات 6098، قانون التجارة 6102، قانون الضمان الاجتماعي والتأمين الصحي العام 5510، تنظيم البث على الإنترنت 5651، قانون الصحة والسلامة المهنية 6331، قانون الحصول على المعلومات 4982، قانون الحق في تقديم العرائض 3071، لائحة تدابير السلامة والصحة في أماكن العمل، لائحة خدمات الأرشيف، وغيرها من اللوائح الثانوية السارية.
4.1.2 أغراض المعالجة التي تتطلب التخزين
تحتفظ الشركة بالبيانات الشخصية التي تُعالَج ضمن أنشطتها للأغراض التالية: تنفيذ عمليات الموارد البشرية؛ ضمان التواصل المؤسسي؛ ضمان أمن الشركة؛ إجراء الدراسات الإحصائية؛ تنفيذ الأعمال والمعاملات الناشئة عن العقود والبروتوكولات الموقعة؛ تحديد تفضيلات واحتياجات الموظفين ومسؤولي البيانات والأشخاص المعنيين وممثليهم ومعالجي البيانات ضمن نطاق VERBIS وتنظيم الخدمات وتحديثها؛ الوفاء بالالتزامات القانونية؛ التواصل مع الأشخاص الطبيعيين/الاعتباريين ذوي العلاقة التجارية؛ إعداد التقارير القانونية؛ والوفاء بعبء الإثبات في المنازعات المستقبلية.
4.2 أسباب الإتلاف
تُحذف/تُتلف/تُخفى الهوية في الحالات التالية: تغيير أو إلغاء أحكام التشريعات التي تُشكِّل أساس المعالجة؛ زوال الغرض من المعالجة أو التخزين؛ سحب الموافقة الصريحة عندما تكون المعالجة مبنية عليها فقط؛ قبول الشركة لطلب الحذف/الإتلاف/إخفاء الهوية وفق المادة 11 من القانون؛ قبول المجلس لشكوى الشخص المعني في حال رفض الشركة طلبه أو عدم الرد ضمن المدة؛ انقضاء أقصى مدة احتفاظ وعدم قيام سبب قانوني للاستمرار بالاحتفاظ.
5. التدابير الإدارية والتقنية
وفق المادة 12 من القانون والفقرة الرابعة من المادة 6، تعتمد الشركة التدابير الفنية والإدارية الكافية لضمان حفظ البيانات بصورة آمنة، ومنع المعالجة والوصول غير القانونيين، وإتلاف البيانات وفق التشريعات وقرارات المجلس.
5.1 التدابير الإدارية
- تقديم تدريبات حول القانون 6698 والتشريعات ذات الصلة لرفع كفاءة الموظفين ومنع المعالجة والوصول غير القانونيين وضمان الحماية.
- إبلاغ الموظفين بواجبات السرية وإيفاء واجب الإخطار للأشخاص المعنيين قبل المعالجة.
- إعداد جرد معالجة البيانات الشخصية.
- إجراء تدقيقات دورية وعشوائية داخل الشركة.
- إخطار الشخص المعني والمجلس عند حصول الغير على بيانات شخصية بشكل غير قانوني.
5.2 التدابير التقنية
- اتخاذ التدابير اللازمة لحماية معدات وبرمجيات وأنظمة معلومات الشركة وبياناتها ماديًا.
- تحديد مخاطر المعالجة غير القانونية واتخاذ التدابير الفنية ومراقبة فعاليتها.
- تسجيل عمليات الوصول إلى مناطق تخزين البيانات والتحكم في محاولات/الوصولات غير المناسبة.
- جعل البيانات المحذوفة غير قابلة للوصول أو الاستخدام مجددًا من قبل المستخدمين المعنيين.
- مراقبة الثغرات وتركيب التحديثات الأمنية وإبقاء الأنظمة محدثة.
- استخدام برامج نسخ احتياطي لحماية البيانات.
- اتخاذ تدابير كافية للبيئات المادية التي تُعالَج/تُحفَظ/يُتاح فيها الوصول إلى البيانات الشخصية الخاصة ومنع الدخول/الخروج غير المصرح به.
- تقييد الوصول إلى البيانات المخزنة (إلكترونيًا أو غير إلكتروني) وفق مبادئ التحكم بالوصول.
6. تقنيات إتلاف البيانات الشخصية
عند انتهاء مدة الاحتفاظ المقررة تشريعيًا أو اللازمة للغرض من المعالجة، تُتلف البيانات من تلقاء نفسها أو بناءً على طلب الشخص المعني، وباستخدام التقنيات أدناه ووفقًا للتشريعات.
6.1 حذف البيانات الشخصية
البيانات على الخوادم: يقوم مسؤول النظام بإلغاء صلاحيات الوصول للمستخدمين المعنيين وحذف البيانات من الخوادم عند انتهاء المدة.
البيانات في الوسائط الإلكترونية: تُجعل البيانات غير قابلة للوصول أو الاستخدام بأي شكل للمستخدمين الآخرين (المعنيين) باستثناء مسؤول قاعدة البيانات.
البيانات في الوسائط المادية: تُجعل الوثائق غير قابلة للوصول أو الاستخدام لغير المدير المعني عند انتهاء المدة، ويُطبّق الإخفاء (التسويد/الطمس) بما يمنع القراءة.
البيانات في الوسائط المحمولة: تُشفَّر البيانات المخزنة على وسائط فلاش ويُقيَّد الوصول بمسؤول النظام، وتُحفَظ بمفاتيح تشفير في بيئات آمنة.
6.2 إتلاف البيانات الشخصية
الوسائط الورقية: تُتلف نهائيًا باستخدام آلات إتلاف الأوراق.
الوسائط الضوئية/المغناطيسية: تُتلف ماديًا (الانصهار/الحرق/السحق).
6.3 إخفاء هوية البيانات الشخصية
يعني إخفاء الهوية عدم إمكانية ربط البيانات بأي شخص طبيعي محدد أو قابل للتحديد حتى عند مطابقتها مع بيانات أخرى. ولتحقيق ذلك يجب استخدام تقنيات مناسبة لوسط التسجيل ومجال النشاط بحيث تمنع إعادة ربط البيانات من قبل مسؤول البيانات أو الغير و/أو مطابقتها مع بيانات أخرى.
7. مدد التخزين والإتلاف
تُحدَّد مدد الاحتفاظ لجميع فئات البيانات الشخصية حسب العمليات. وبانقضاء المدة، يتولى مسؤول الارتباط بالبيانات أو المدير المعني إجراء الحذف/الإتلاف/إخفاء الهوية تلقائيًا. الجدول التالي يوضح مدد الاحتفاظ والإتلاف بحسب العملية:
| العملية | مدة الاحتفاظ | موعد الإتلاف |
| معاملات الشركة | 10 سنوات | في أول فترة إتلاف دورية تلي انتهاء مدة الاحتفاظ |
| إعداد العقود | 10 سنوات بعد انتهاء العقد | في أول فترة إتلاف دورية تلي انتهاء مدة الاحتفاظ |
| تنفيذ أنشطة التواصل المؤسسي | 10 سنوات بعد انتهاء النشاط | في أول فترة إتلاف دورية تلي انتهاء مدة الاحتفاظ |
| تنفيذ عمليات الموارد البشرية | 10 سنوات بعد انتهاء النشاط | في أول فترة إتلاف دورية تلي انتهاء مدة الاحتفاظ |
| تنفيذ عمليات الوصول إلى العتاد والبرمجيات | 2 سنتين | في أول فترة إتلاف دورية تلي انتهاء مدة الاحتفاظ |
| تسجيل الزوار والمشاركين في الاجتماعات | 2 سنتين بعد انتهاء الفعالية | في أول فترة إتلاف دورية تلي انتهاء مدة الاحتفاظ |
| تسجيلات الكاميرات | 2 سنتين | في أول فترة إتلاف دورية تلي انتهاء مدة الاحتفاظ |
8. مدة الإتلاف الدوري
وفق المادة 11 من اللائحة، حدّدت الشركة فترة الإتلاف الدوري بـ 6 أشهر، ويُجرى الإتلاف الدوري في شهري يونيو وديسمبر من كل عام.
9. نشر السياسة وحفظها
تُنشر السياسة ورقيًا (موقّعة) وإلكترونيًا، وتُتاح للعامة على موقع الشركة. كما تُحفَظ النسخة الورقية الموقّعة في المجلد الخاص بمسؤول البيانات.
10. دورية تحديث السياسة
تُراجع السياسة عند الحاجة وتُحدَّث الأقسام اللازمة.
11. سريان السياسة وإعلانها
تدخل السياسة حيز النفاذ بعد نشرها على موقع الشركة. وعند إلغائها، تُبطل النسخ الورقية القديمة بختم/توقيع الإلغاء وتُحفَظ في ملف مسؤول البيانات لمدة لا تقل عن 5 سنوات.
شركة مساي للصناعة والتجارة المساهمة
