سياسة حماية البيانات

مقدمة

تحدد هذه السياسة التزامات شركة Whitehall Resources Ltd، وهي شركة مسجلة في إنجلترا تحت الرقم 5999991، ومكتبها المسجل في 350 The Crescent، Colchester، ESSEX، CO4 9AT (“نحن”، “لنا”، “خاصتنا”) بشأن حماية البيانات وحقوق المرشحين والعملاء والموظفين في WHR (“الأشخاص المعنيين”) فيما يتعلق ببياناتهم الشخصية.

المنظمات في المملكة المتحدة التي تعالج البيانات الشخصية ملزمة حاليًا بقانونين: اللائحة العامة لحماية البيانات (اللائحة (الاتحاد الأوروبي) 2016/679) (‘الاتحاد الأوروبي GDPR’) وقانون حماية البيانات في المملكة المتحدة 2018 (‘UK DPA’). مع بدء خروج بريطانيا من الاتحاد الأوروبي، تظل القوانين سارية حتى نهاية فترة الانتقال (31 ديسمبر 2020).

لن تنطبق اللائحة العامة لحماية البيانات الخاصة بالاتحاد الأوروبي مباشرة في المملكة المتحدة في نهاية فترة الانتقال. ومع ذلك، يجب على المنظمات في المملكة المتحدة الالتزام بمتطلباتها بعد هذه النقطة.

أولاً، يقوم قانون حماية البيانات في المملكة المتحدة بدمج متطلبات اللائحة العامة لحماية البيانات الخاصة بالاتحاد الأوروبي في قانون المملكة المتحدة. ثانيًا، أصدرت الحكومة البريطانية أداة قانونية – اللائحة المعدلة لحماية البيانات، الخصوصية والاتصالات الإلكترونية (التعديلات وما إلى ذلك) (خروج الاتحاد الأوروبي) 2019، والتي تعدل قانون حماية البيانات في المملكة المتحدة وتدمجه مع متطلبات اللائحة العامة لحماية البيانات الخاصة بالاتحاد الأوروبي لتشكيل نظام حماية البيانات الذي سيعمل في سياق المملكة المتحدة بعد خروج بريطانيا من الاتحاد الأوروبي. سيعرف هذا النظام الجديد باسم ‘اللائحة العامة لحماية البيانات في المملكة المتحدة’.

يوجد فرق قليل جدًا بين اللائحة العامة لحماية البيانات الخاصة بالاتحاد الأوروبي واللائحة العامة لحماية البيانات المقترحة في المملكة المتحدة.

تُحدد حقوقك بموجب اللائحة العامة لحماية البيانات الخاصة بالاتحاد الأوروبي واللائحة العامة لحماية البيانات في المملكة المتحدة في هذا الإشعار. يرجى قراءة ما يلي بعناية لفهم آرائنا وممارساتنا بشأن بياناتك الشخصية وكيفية التعامل معها.

تعرّف اللائحة العامة لحماية البيانات الخاصة بالاتحاد الأوروبي/المملكة المتحدة “البيانات الشخصية” على أنها أي معلومات تتعلق بشخص طبيعي مُحدد أو قابل للتحديد (أحد “الأشخاص المعنيين”)؛ الشخص الطبيعي القابل للتحديد هو الشخص الذي يمكن تحديده، مباشرة أو غير مباشرة، وبوجه خاص بالإشارة إلى معرّف مثل اسم، رقم تعريف، بيانات موقع، معرّف عبر الإنترنت، أو إلى واحد أو أكثر من العوامل الخاصة بالهوية الجسدية أو الفسيولوجية أو الجينية أو العقلية أو الاقتصادية أو الثقافية أو الاجتماعية لذلك الشخص الطبيعي.

تحدد هذه السياسة التزاماتنا بشأن جمع البيانات الشخصية ومعالجتها ونقلها وتخزينها والتخلص منها. يجب على جميع موظفينا ووكلائنا ومقاولينا أو أي أطراف أخرى تعمل نيابة عنا اتباع الإجراءات والمبادئ الموضحة هنا في جميع الأوقات.

نحن ملتزمون ليس فقط بالنصوص القانونية، ولكن أيضًا بروح القانون، ونولي أهمية كبيرة للتعامل الصحيح والقانوني والعادل مع جميع البيانات الشخصية، مع احترام الحقوق القانونية وخصوصية وثقة جميع الأفراد الذين نتعامل معهم.

 مبادئ حماية البيانات

تهدف هذه السياسة إلى ضمان الامتثال للائحة العامة لحماية البيانات الخاصة بالاتحاد الأوروبي/المملكة المتحدة. تحدد اللائحة العامة لحماية البيانات الخاصة بالاتحاد الأوروبي/المملكة المتحدة المبادئ التالية التي يجب على أي طرف يتعامل مع البيانات الشخصية الالتزام بها. يجب أن تكون جميع البيانات الشخصية:

  1. معالجة بطريقة قانونية وعادلة وشفافة فيما يتعلق بالشخص المعني؛
  2. جمعها لأغراض محددة وصريحة ومشروعة وعدم معالجتها بطريقة تتعارض مع هذه الأغراض. لن يُعتبر المعالجة الإضافية لأغراض الأرشفة في المصلحة العامة، أو لأغراض البحث العلمي أو التاريخي، أو لأغراض إحصائية غير متوافقة مع الأغراض الأولية؛
  3. مناسبة وذات صلة ومحدودة بما هو ضروري بالنسبة للأغراض التي تتم معالجتها من أجلها؛
  4. دقيقة، وحيثما يلزم، محدثة. يجب اتخاذ كل خطوة معقولة لضمان أن البيانات الشخصية غير الدقيقة، بالنسبة للأغراض التي تتم معالجتها من أجلها، يتم حذفها أو تصحيحها دون تأخير؛
  5. محفوظة بشكل يسمح بتحديد هوية الأشخاص المعنيين لفترة لا تتجاوز الضرورة للأغراض التي تتم معالجة البيانات الشخصية من أجلها. يمكن تخزين البيانات الشخصية لفترات أطول طالما أن البيانات الشخصية سيتم معالجتها فقط لأغراض الأرشفة في المصلحة العامة، أو لأغراض البحث العلمي أو التاريخي، أو لأغراض إحصائية، شريطة تنفيذ التدابير التقنية والتنظيمية المناسبة المطلوبة بموجب اللائحة العامة لحماية البيانات الخاصة بالاتحاد الأوروبي/المملكة المتحدة لحماية حقوق وحريات الشخص المعني؛
  6. معالجة بطريقة تضمن أمان البيانات الشخصية بشكل مناسب، بما في ذلك الحماية ضد المعالجة غير المصرح بها أو غير القانونية وضد الفقد العرضي أو التدمير أو الضرر، باستخدام التدابير التقنية أو التنظيمية المناسبة.

 حقوق الأشخاص المعنيين

تحدد اللائحة العامة لحماية البيانات الخاصة بالاتحاد الأوروبي/المملكة المتحدة الحقوق التالية التي تنطبق على الأشخاص المعنيين (كما هو موضح في هذه السياسة):

  1. الحق في الإخطار؛
  2. الحق في الوصول؛
  3. الحق في التصحيح؛
  4. الحق في المحو (المعروف أيضًا بـ “الحق في أن تُنسى”)؛
  5. الحق في تقييد المعالجة؛
  6. الحق في نقل البيانات؛
  7. الحق في الاعتراض؛ و
  8. الحقوق المتعلقة باتخاذ القرارات الآلية.

 معالجة البيانات بطريقة قانونية وعادلة وشفافة

تهدف اللائحة العامة لحماية البيانات الخاصة بالاتحاد الأوروبي/المملكة المتحدة إلى ضمان أن تتم معالجة البيانات الشخصية بطريقة قانونية وعادلة وشفافة، دون التأثير السلبي على حقوق الشخص المعني. تنص اللائحة العامة لحماية البيانات على أن معالجة البيانات الشخصية تكون قانونية إذا كان ينطبق واحد على الأقل من الشروط التالية:

    1. قدّم الشخص المعني موافقته على معالجة بياناته الشخصية لغرض أو أكثر من الأغراض المحددة؛
    2. تكون المعالجة ضرورية لتنفيذ عقد يكون الشخص المعني طرفًا فيه، أو من أجل اتخاذ خطوات بناءً على طلب الشخص المعني قبل الدخول في عقد معه؛
    3. تكون المعالجة ضرورية للامتثال لالتزام قانوني يخضع له متحكم البيانات؛
    4. تكون المعالجة ضرورية لحماية المصالح الحيوية للشخص المعني أو لشخص طبيعي آخر؛
    5. تكون المعالجة ضرورية لتنفيذ مهمة تُجرى في المصلحة العامة أو في ممارسة السلطة الرسمية الممنوحة لمتحكم البيانات؛ أو
    6. تكون المعالجة ضرورية لأغراض المصالح المشروعة التي يسعى لتحقيقها متحكم البيانات

    أو من قبل طرف ثالث، باستثناء الحالات التي يتم فيها تجاوز هذه المصالح من قبل الحقوق والحريات الأساسية للشخص المعني التي تتطلب حماية البيانات الشخصية، خاصة إذا كان الشخص المعني طفلًا.

    إذا كانت البيانات الشخصية المعنية هي “بيانات فئة خاصة” (المعروفة أيضًا بـ “البيانات الشخصية الحساسة”، مثل البيانات المتعلقة بجنس الشخص المعني، عرقه، عرقه، سياسة، دين، عضويته في النقابات العمالية، علم الوراثة، القياسات الحيوية (إذا استخدمت لأغراض التعريف)، الصحة، الحياة الجنسية، أو التوجه الجنسي)، يجب استيفاء أحد الشروط التالية على الأقل:

    1. قدّم الشخص المعني موافقته الصريحة على معالجة هذه البيانات لغرض أو أكثر من الأغراض المحددة (ما لم يحظر قانون الاتحاد الأوروبي أو قانون دولة عضو في الاتحاد الأوروبي القيام بذلك)؛
    2. تكون المعالجة ضرورية لغرض تنفيذ الالتزامات وممارسة الحقوق المحددة لمتحكم البيانات أو للشخص المعني في مجال العمل، الضمان الاجتماعي، وقانون الحماية الاجتماعية (بشرط أن يكون ذلك مصرحًا به بموجب قانون الاتحاد الأوروبي أو قانون دولة عضو في الاتحاد الأوروبي أو اتفاق جماعي وفقًا لقانون دولة عضو في الاتحاد الأوروبي والذي يوفر ضمانات مناسبة للحقوق الأساسية والمصالح للشخص المعني)؛
    3. تكون المعالجة ضرورية لحماية المصالح الحيوية للشخص المعني أو لشخص طبيعي آخر حيث يكون الشخص المعني غير قادر جسديًا أو قانونيًا على تقديم الموافقة؛
    4. متحكم البيانات هو مؤسسة أو جمعية أو هيئة غير ربحية ذات هدف سياسي،
    5. فلسفي، ديني، أو نقابي، وتتم المعالجة خلال أنشطتها المشروعة، شريطة أن تتعلق المعالجة بأعضاء الهيئة أو الأعضاء السابقين في تلك الهيئة أو الأشخاص الذين لديهم اتصال منتظم معها في سياق أهدافها وأن البيانات الشخصية لا تُكشف خارج الهيئة دون موافقة الأشخاص المعنيين؛
    6. تتعلق المعالجة ببيانات شخصية تم الكشف عنها بوضوح من قبل الشخص المعني؛
    7. تكون المعالجة ضرورية لإجراء مطالبات قانونية أو عندما تعمل المحاكم بصفتها القضائية؛
    8. تكون المعالجة ضرورية لأسباب ذات مصلحة عامة كبيرة، بناءً على قانون الاتحاد الأوروبي أو قانون دولة عضو في الاتحاد الأوروبي، ويجب أن تكون متناسبة مع الهدف المنشود، وتحترم جوهر الحق في حماية البيانات، وتوفر تدابير مناسبة ومحددة لحماية الحقوق الأساسية والمصالح للشخص المعني؛
    9. تكون المعالجة ضرورية لأغراض الطب الوقائي أو المهني، لتقييم القدرة على العمل للموظف، للتشخيص الطبي، لتوفير الرعاية الصحية أو الاجتماعية أو العلاج، أو إدارة أنظمة أو خدمات الرعاية الصحية أو الاجتماعية بناءً على قانون الاتحاد الأوروبي أو قانون دولة عضو في الاتحاد الأوروبي أو بموجب عقد مع ممارس صحي، مع الالتزام بالشروط والضمانات المشار إليها في المادة 9(3) من اللائحة العامة لحماية البيانات الخاصة بالاتحاد الأوروبي/المملكة المتحدة؛
      1. تكون المعالجة ضرورية لأسباب تتعلق بالصحة العامة، مثل الحماية من التهديدات الصحية الخطيرة العابرة للحدود أو ضمان معايير عالية الجودة وسلامة الرعاية الصحية ومنتجات الأدوية أو الأجهزة الطبية، بناءً على قانون الاتحاد الأوروبي أو قانون دولة عضو في الاتحاد الأوروبي الذي يوفر تدابير مناسبة ومحددة لحماية حقوق وحريات الشخص المعني (بما في ذلك السرية المهنية)؛ أو
      2. تكون المعالجة ضرورية لأغراض الأرشفة في المصلحة العامة، أو لأغراض البحث العلمي أو التاريخي، أو لأغراض إحصائية وفقًا للمادة 89(1) من اللائحة العامة لحماية البيانات الخاصة بالاتحاد الأوروبي/المملكة المتحدة بناءً على قانون الاتحاد الأوروبي أو قانون دولة عضو في الاتحاد الأوروبي، على أن تكون متناسبة مع الهدف المنشود، وتحترم جوهر الحق في حماية البيانات، وتوفر تدابير مناسبة ومحددة لحماية الحقوق الأساسية والمصالح للشخص المعني.

      الأغراض المحددة والصريحة والمشروعة

      نقوم بجمع ومعالجة البيانات الشخصية كما هو موضح في هذه السياسة. يشمل ذلك:

      1. البيانات الشخصية التي يتم جمعها مباشرة من الأشخاص المعنيين؛ و
      2. البيانات الشخصية التي يتم الحصول عليها من أطراف ثالثة.

      نحن نجمع ونقوم بمعالجة واحتفاظ بالبيانات الشخصية فقط للأغراض المحددة في هذه السياسة (أو لأغراض أخرى مسموح بها صراحةً بموجب اللائحة العامة لحماية البيانات الخاصة بالاتحاد الأوروبي/المملكة المتحدة).

      يتم إبلاغ الأشخاص المعنيين دائمًا بالغاية أو الأغراض التي نستخدم بياناتهم الشخصية من أجلها. يرجى الاطلاع أدناه على مزيد من المعلومات حول كيفية إبقاء الأشخاص المعنيين على اطلاع.

      معالجة البيانات بشكل كافٍ وملائم ومحدود

      سنجمع ونقوم بمعالجة البيانات الشخصية فقط إلى الحد الضروري للأغراض المحددة التي تم إبلاغ الأشخاص المعنيين بها (أو سيتم إبلاغهم بها) كما هو موضح هنا.

      دقة البيانات والحفاظ على تحديث البيانات

      سنتأكد من أن جميع البيانات الشخصية التي نجمعها ونعالجها ونحتفظ بها دقيقة ومحدثة. ويشمل ذلك، ولكن لا يقتصر على، تصحيح البيانات الشخصية بناءً على طلب الشخص المعني، كما هو موضح أدناه.

      سيتم التحقق من دقة البيانات الشخصية عند جمعها وعلى فترات تبلغ 72 شهرًا وعند تقديمها للمقابلة بعدها. إذا تم العثور على أي بيانات شخصية غير دقيقة أو قديمة، فسيتم اتخاذ جميع الخطوات المعقولة دون تأخير لتعديل أو حذف تلك البيانات، حسب الاقتضاء.

      احتفاظ البيانات

      لن نحتفظ بالبيانات الشخصية لفترة أطول من اللازم وفقًا للغرض أو الأغراض التي تم جمع البيانات الشخصية من أجلها في الأصل، واحتفظ بها، وعالجها.

      عندما لم تعد البيانات الشخصية مطلوبة، سيتم اتخاذ جميع الخطوات المعقولة لحذفها أو التخلص منها دون تأخير.

      للحصول على تفاصيل كاملة حول نهجنا في الاحتفاظ بالبيانات بما في ذلك فترات الاحتفاظ بأنواع البيانات الشخصية المحددة التي نحتفظ بها، يرجى الرجوع إلى سياسة احتفاظ البيانات الخاصة بنا.

      المعالجة الآمنة

      سنتأكد من أن جميع البيانات الشخصية التي يتم جمعها واحتفاظها ومعالجتها مؤمنة ومحمية من المعالجة غير المصرح بها أو غير القانونية ومن الفقد العرضي أو التدمير أو التلف. تتوفر تفاصيل إضافية حول التدابير التقنية والتنظيمية التي سيتم اتخاذها في هذه السياسة.

      المسؤولية وحفظ السجلات

      يجب إحالة أي أسئلة تتعلق بهذه السياسة أو أي جانب من جوانب الامتثال للائحة العامة لحماية البيانات الخاصة بالاتحاد الأوروبي/المملكة المتحدة إلى DPO@whitehallresources.com.

      سنحتفظ بسجلات داخلية مكتوبة لجميع جمع البيانات الشخصية واحتفاظها ومعالجتها، والتي ستتضمن المعلومات التالية:

      1. اسمنا وتفاصيلنا وأي معالجي بيانات طرف ثالث قابلين للتطبيق؛
      2. الأغراض التي نقوم بجمع واحتفاظ ومعالجة البيانات الشخصية من أجلها؛
      3. تفاصيل فئات البيانات الشخصية التي تم جمعها واحتفاظها ومعالجتها من قبلنا، وفئات الأشخاص المعنيين التي تتعلق بها تلك البيانات الشخصية؛
      4. تفاصيل أي نقل للبيانات الشخصية إلى دول غير تابعة للمنطقة الاقتصادية الأوروبية بما في ذلك جميع الآليات وضمانات الأمان؛
      5. تفاصيل المدة التي سيتم خلالها الاحتفاظ بالبيانات الشخصية لدينا (يرجى الرجوع إلى سياسة احتفاظ البيانات الخاصة بنا)؛ و
      6. أوصاف مفصلة لجميع التدابير التقنية والتنظيمية التي اتخذناها لضمان أمان البيانات الشخصية.

      تقييمات تأثير حماية البيانات

      عند الضرورة، سنقوم بإجراء تقييمات تأثير حماية البيانات لأي مشاريع جديدة و/أو استخدامات جديدة للبيانات الشخصية التي تتضمن استخدام تقنيات جديدة ومن المحتمل أن تؤدي إلى خطر كبير على حقوق وحريات الأشخاص المعنيين بموجب اللائحة العامة لحماية البيانات الخاصة بالاتحاد الأوروبي/المملكة المتحدة.

      ستتناول تقييمات تأثير حماية البيانات ما يلي:

      1. نوع البيانات الشخصية التي سيتم جمعها واحتفاظها ومعالجتها؛
      2. الغرض الذي ستستخدم لأجله البيانات الشخصية؛
      3. أهدافنا؛
      4. كيفية استخدام البيانات الشخصية؛
      5. الأطراف (الداخلية و/أو الخارجية) التي يجب التشاور معها؛
      6. ضرورة وتناسب معالجة البيانات بالنسبة للأغراض التي يتم معالجتها من أجلها؛
      7. المخاطر التي تواجه الأشخاص المعنيين؛
      8. المخاطر التي تواجهنا داخليًا ومن الخارج؛ و
      9. التدابير المقترحة لتقليل ومعالجة المخاطر المحددة.

      إبقاء الأشخاص المعنيين على اطلاع

      عندما يتم جمع البيانات الشخصية مباشرة من الأشخاص المعنيين، سيتم إبلاغ هؤلاء الأشخاص بالغاية منها في وقت جمعها. عندما يتم الحصول على البيانات الشخصية من طرف ثالث، سيتم إبلاغ الأشخاص المعنيين المعنيين بالغاية منها:

      طلبات. إذا كانت هناك حاجة إلى وقت إضافي، سيتم إبلاغ الشخص المعني.

      حقوق الأشخاص المعنيين

      يجب توفير المعلومات التالية لكل شخص معني:

      1. تفاصيلنا؛
      2. الأغراض التي يتم جمع البيانات الشخصية من أجلها ومعالجتها (كما هو موضح في هذه السياسة) والأساس القانوني الذي يبرر جمعها ومعالجتها؛
      3. عند الاقتضاء، المصالح المشروعة التي نبرر بها جمع ومعالجة البيانات الشخصية؛
        1. عندما لا يتم الحصول على البيانات الشخصية مباشرة من الشخص المعني، فئات البيانات الشخصية التي تم جمعها ومعالجتها؛
        2. عندما يتم نقل البيانات الشخصية إلى طرف ثالث أو أكثر، تفاصيل تلك الأطراف؛
        3. عندما يتم نقل البيانات الشخصية إلى طرف ثالث يقع خارج المنطقة الاقتصادية الأوروبية (الـ “EEA”)، تفاصيل هذا النقل، بما في ذلك ولكن لا تقتصر على الضمانات المتاحة (انظر أدناه لمزيد من التفاصيل)؛
        4. تفاصيل الاحتفاظ بالبيانات؛
        5. تفاصيل حقوق الشخص المعني بموجب اللائحة العامة لحماية البيانات الخاصة بالاتحاد الأوروبي/المملكة المتحدة؛
        6. تفاصيل حق الشخص المعني في سحب موافقته على معالجة بياناته الشخصية في أي وقت؛
        7. تفاصيل حق الشخص المعني في تقديم شكوى إلى مكتب مفوض المعلومات (الـ “السلطة الإشرافية” بموجب اللائحة العامة لحماية البيانات الخاصة بالاتحاد الأوروبي/المملكة المتحدة)؛
        8. عند الاقتضاء، تفاصيل أي متطلبات قانونية أو تعاقدية تستدعي جمع ومعالجة البيانات الشخصية وتفاصيل أي عواقب لعدم توفيرها؛ و
        9. تفاصيل أي اتخاذ قرارات تلقائي أو تصنيف سيتم باستخدام البيانات الشخصية، بما في ذلك معلومات عن كيفية اتخاذ القرارات، أهمية تلك القرارات، وأي عواقب لها.

        الوصول إلى بيانات الأشخاص المعنيين

        يمكن للأشخاص المعنيين تقديم طلبات الوصول إلى البيانات (“SARs”) في أي وقت لمعرفة المزيد عن البيانات الشخصية التي نحتفظ بها عنهم، وما يتم فعله بتلك البيانات الشخصية، وسبب ذلك.

        سيتم الرد على طلبات الوصول إلى البيانات عادةً خلال شهر واحد من الاستلام، ومع ذلك، قد يتم تمديد هذه الفترة لمدة تصل إلى شهرين إذا كان الطلب معقدًا و/أو يتم تقديم طلبات عديدة. إذا كان هناك حاجة إلى وقت إضافي، سيتم إبلاغ الشخص المعني.

        إذا كانت هناك ظروف استثنائية تعني أنه يمكننا رفض تقديم المعلومات، فسوف نشرحها. إذا كانت الطلبات غير جادة أو مزعجة، نحتفظ بالحق في رفضها. إذا كان من المحتمل أن يتطلب الرد على الطلبات وقتًا إضافيًا أو يتسبب في مصاريف غير معقولة (والتي قد تكون مضطراً لتحملها)، سنبلغك.

        تصحيح البيانات الشخصية

        لدى الأشخاص المعنيين الحق في طلب منا تصحيح أي بيانات شخصية لديهم غير دقيقة أو غير كاملة.

        سنتخذ خطوات لتصحيح البيانات الشخصية المعنية، وإبلاغ الشخص المعني بهذا التصحيح، خلال شهر واحد من إبلاغنا بالمسألة. يمكن تمديد الفترة لمدة تصل إلى شهرين في حالة الطلبات المعقدة. إذا كانت هناك حاجة إلى وقت إضافي، سيتم إبلاغ الشخص المعني.

        في حال تم الكشف عن أي بيانات شخصية متأثرة لأطراف ثالثة، سيتم إبلاغ تلك الأطراف بأي تصحيح يجب إجراؤه على تلك البيانات الشخصية.

        حذف البيانات الشخصية

        لدى الأشخاص المعنيين الحق في طلب منا حذف البيانات الشخصية التي نحتفظ بها عنهم في الحالات التالية:

        1. إذا لم تعد البيانات الشخصية ضرورية بالنسبة للأغراض التي تم جمعها ومعالجتها من أجلها؛
        2. إذا رغب الشخص المعني في سحب موافقته على احتفاظنا ومعالجتنا لبياناته الشخصية؛
        3. إذا اعترض الشخص المعني على احتفاظنا ومعالجتنا لبياناته الشخصية (ولا توجد مصلحة مشروعة تفوق ذلك تسمح لنا بالاستمرار في ذلك) (انظر أدناه لمزيد من التفاصيل حول الحق في الاعتراض)؛
        4. إذا تمت معالجة البيانات الشخصية بشكل غير قانوني؛
        5. إذا كان من الضروري حذف البيانات الشخصية لامتثالنا لالتزام قانوني معين.

        ما لم يكن لدينا أسباب معقولة لرفض حذف البيانات الشخصية، سيتم الامتثال لجميع الطلبات بالحذف، وإبلاغ الشخص المعني بالحذف، خلال شهر واحد من استلام طلب الشخص المعني. يمكن تمديد الفترة لمدة تصل إلى شهرين في حالة الطلبات المعقدة. إذا كانت هناك حاجة إلى وقت إضافي، سيتم إبلاغ الشخص المعني.

        في حال تم الكشف عن أي بيانات شخصية سيتم حذفها استجابة لطلب الشخص المعني لأطراف ثالثة، سيتم إبلاغ تلك الأطراف بالحذف (ما لم يكن ذلك مستحيلاً أو يتطلب جهدًا غير متناسب للقيام بذلك).

        تقييد معالجة البيانات الشخصية

        يمكن للأشخاص المعنيين طلب منا التوقف عن معالجة البيانات الشخصية التي نحتفظ بها عنهم. إذا قدم الشخص المعني طلبًا من هذا القبيل، سنحتفظ فقط بالكمية من البيانات الشخصية المتعلقة بالشخص المعني (إن وجدت) التي تكون ضرورية لضمان عدم معالجة البيانات الشخصية المعنية بشكل إضافي.

        في حال تم الكشف عن أي بيانات شخصية متأثرة لأطراف ثالثة، سيتم إبلاغ تلك الأطراف بأي قيود على معالجتها (ما لم يكن ذلك مستحيلاً أو يتطلب جهدًا غير متناسب للقيام بذلك).

        قابلية نقل البيانات

        نحن لا نقوم بمعالجة البيانات الشخصية باستخدام وسائل مؤتمتة.

        عندما يمنح الأشخاص المعنيون موافقتهم لمعالجتنا لبياناتهم الشخصية بهذه الطريقة، أو عندما تكون المعالجة مطلوبة لأداء عقد بيننا وبين الشخص المعني، يحق للأشخاص المعنيين، بموجب اللائحة العامة لحماية البيانات الخاصة بالاتحاد الأوروبي/المملكة المتحدة، تلقي نسخة من بياناتهم الشخصية واستخدامها لأغراض أخرى (أي نقلها إلى مراقبي بيانات آخرين).

        لتسهيل حق قابلية نقل البيانات، سنجعل جميع البيانات الشخصية القابلة للتطبيق متاحة للأشخاص المعنيين بالتنسيق التالي:

        1. PDF (تنسيق المستندات المحمولة)

        عندما يكون ذلك ممكنًا تقنيًا، إذا طلب الشخص المعني، سيتم إرسال البيانات الشخصية مباشرة إلى مراقب البيانات المطلوب.

        سيتم الامتثال لجميع الطلبات للحصول على نسخ من البيانات الشخصية خلال شهر واحد من طلب الشخص المعني. يمكن تمديد الفترة لمدة تصل إلى شهرين في حالة الطلبات المعقدة أو العديدة.

        طلبات. إذا كانت هناك حاجة إلى وقت إضافي، سيتم إبلاغ الشخص المعني.

        الاعتراضات على معالجة البيانات الشخصية

        لدى الأشخاص المعنيين الحق في الاعتراض على معالجة بياناتهم الشخصية بناءً على المصالح المشروعة، والتسويق المباشر (بما في ذلك التصنيف).

        عندما يعترض شخص معني على معالجة بياناته الشخصية بناءً على المصالح المشروعة، سنتوقف عن مثل هذه المعالجة على الفور، ما لم يتم إثبات أن الأسباب المشروعة لمعالجة البيانات تفوق مصالح وحقوق وحريات الشخص المعني، أو أن المعالجة ضرورية لإجراء مطالبات قانونية.

        عندما يعترض شخص معني على معالجة بياناته الشخصية لأغراض التسويق المباشر، سنتوقف عن مثل هذه المعالجة على الفور.

        اتخاذ القرارات التلقائي

        نحن لا نستخدم البيانات الشخصية في عمليات اتخاذ القرارات التلقائي.

        التصنيف

        نحن لا نستخدم البيانات الشخصية لأغراض التصنيف.

        البيانات الشخصية التي يتم جمعها والاحتفاظ بها ومعالجتها

        البيانات الشخصية التالية يتم جمعها والاحتفاظ بها ومعالجتها من قبلنا (للتفاصيل الخاصة بالاحتفاظ بالبيانات، يرجى الرجوع إلى سياسة الاحتفاظ بالبيانات لدينا):

        البيانات المرجعيةنوع البياناتالغرض من البيانات
        عنوان البريد الإلكترونيبيانات شخصيةالتواصل
        العنوان البريديبيانات شخصيةالتواصل
        رقم الهاتفبيانات شخصيةالتواصل
        السيرة الذاتيةبيانات شخصيةتوظيف
        تفاصيل البنكبيانات شخصية

        (مطلوب عند بدء الدور) تفاصيل البنك للمرشح/شركة المرشح –

        مطلوب للعقد

        نسخة من جواز السفربيانات شخصية(مطلوب عند بدء الدور) إثبات الجنسية – متطلب قانوني
        تأشيرة العملبيانات شخصية(مطلوب لبدء الدور) إثبات الحق في العمل – متطلبات قانونية
        العقودبيانات شخصية(مطلوب عند بدء الدور) تأكيد الشروط المتفق عليها
        فاتورة خدماتبيانات شخصية(مطلوب عند بدء الدور) إثبات العنوان
        المراجعبيانات شخصية(مطلوب عند بدء الدور)

        أمن البيانات – التخزين

        سنتأكد من اتخاذ التدابير التالية فيما يتعلق بتخزين البيانات الشخصية:

        1. يجب تخزين جميع النسخ المطبوعة من البيانات الشخصية، جنبًا إلى جنب مع أي نسخ إلكترونية مخزنة على وسائل إعلام فعلية وقابلة للإزالة، بأمان في صندوق أو درج أو خزانة مغلقة أو ما شابه ذلك؛
        2. يجب أن تكون جميع البيانات الشخصية المخزنة إلكترونيًا مدعومة يوميًا مع تخزين النسخ الاحتياطية في الموقع وخارج الموقع. يجب تشفير جميع النسخ الاحتياطية؛
        3. يجب عدم تخزين أي بيانات شخصية على أي جهاز محمول (بما في ذلك، ولكن لا يقتصر على، أجهزة الكمبيوتر المحمولة والأجهزة اللوحية والهواتف الذكية)، سواء كان هذا الجهاز ملكًا لنا أو خلاف ذلك، بدون موافقتنا الرسمية المكتوبة، وفي حالة الموافقة، يجب اتباع جميع التعليمات والقيود الموصوفة في وقت منح الموافقة، وعدم الاحتفاظ بها لأكثر من اللازم؛ و
        4. يجب عدم نقل أي بيانات شخصية إلى أي جهاز مملوك شخصيًا لموظف، ويمكن فقط نقل البيانات الشخصية إلى أجهزة مملوكة للوكلاء أو المتعاقدين أو الأطراف الأخرى التي تعمل نيابة عنا حيث تكون الأطراف المعنية قد وافقت على الالتزام الكامل بنص وروح هذه السياسة و اللائحة العامة لحماية البيانات الخاصة بالاتحاد الأوروبي/المملكة المتحدة (والتي قد تشمل إثبات لنا بأن جميع التدابير التقنية والتنظيمية المناسبة قد تم اتخاذها).

        أمن البيانات – التخلص منها

        عند الحاجة إلى مسح أو التخلص من أي بيانات شخصية لأي سبب (بما في ذلك عندما يتم عمل نسخ ولم تعد ضرورية)، يجب حذفها والتخلص منها بشكل آمن. لمزيد من المعلومات حول حذف والتخلص من البيانات الشخصية، يرجى الرجوع إلى سياسة الاحتفاظ بالبيانات الخاصة بنا.

        أمن البيانات – استخدام البيانات الشخصية

        سنتأكد من اتخاذ التدابير التالية فيما يتعلق باستخدام البيانات الشخصية:

        1. لا يجوز مشاركة البيانات الشخصية بشكل غير رسمي، وإذا كان موظف أو وكيل أو مقاول فرعي أو طرف آخر يعمل نيابة عنا يحتاج إلى الوصول إلى أي بيانات شخصية لا يمتلكها بالفعل، يجب طلب هذا الوصول رسمياً عبر إرسال بريد إلكتروني إلى DPO@whitehallresources.com؛
        2. لا يجوز نقل البيانات الشخصية إلى أي موظفين أو وكلاء أو مقاولين أو أطراف أخرى، سواء كانوا يعملون نيابة عنا أم لا، دون الحصول على إذن منا؛
        3. يجب التعامل مع البيانات الشخصية بعناية في جميع الأوقات ويجب عدم تركها دون مراقبة أو في متناول موظفين غير مخولين أو وكلاء أو مقاولين فرعيين أو أطراف أخرى في أي وقت؛
        4. إذا كانت البيانات الشخصية تُعرض على شاشة كمبيوتر وكان من المقرر ترك الكمبيوتر دون مراقبة لفترة من الزمن، يجب على المستخدم قفل الكمبيوتر والشاشة قبل مغادرته؛ و
        5. عندما تُستخدم البيانات الشخصية التي نحتفظ بها لأغراض تسويقية، سنتأكد من الحصول على الموافقة المناسبة وأن جميع الأفراد المعنيين لم يختاروا الانسحاب، سواء بشكل مباشر أو عبر خدمة طرف ثالث مثل TPS.

        أمن البيانات – أمن تكنولوجيا المعلومات

        سنتأكد من اتخاذ التدابير التالية فيما يتعلق بأمن تكنولوجيا المعلومات والمعلومات:

        1. يجب تغيير جميع كلمات المرور المستخدمة لحماية البيانات الشخصية بانتظام ويجب ألا تستخدم كلمات أو عبارات يمكن تخمينها بسهولة أو تعرض للخطر. يجب أن تحتوي جميع كلمات المرور على مزيج من الأحرف الكبيرة والصغيرة والأرقام والرموز. جميع البرامج المستخدمة من قبلنا مصممة لطلب مثل هذه الكلمات المرور؛
        2. تحت أي ظرف من الظروف يجب عدم كتابة كلمات المرور أو مشاركتها بين أي موظفين أو وكلاء أو مقاولين أو أطراف أخرى تعمل نيابة عنا، بغض النظر عن المستوى الوظيفي أو القسم. إذا نُسيت كلمة مرور، يجب إعادة تعيينها باستخدام الإجراء المطبق. موظفو تكنولوجيا المعلومات ليس لديهم حق الوصول إلى كلمات المرور؛
        3. يجب أن تُبقي جميع البرامج (بما في ذلك، على سبيل المثال لا الحصر، التطبيقات وأنظمة التشغيل) محدثة. يجب على موظفي تكنولوجيا المعلومات لدينا مسؤولية تثبيت أي وجميع التحديثات المتعلقة بالأمن بأسرع ما يمكن، ما لم تكن هناك أسباب فنية مقبولة لعدم القيام بذلك؛ و
        4. لا يجوز تثبيت أي برنامج على أجهزة الكمبيوتر أو الأجهزة الخاصة بنا دون الحصول على موافقتنا المسبقة.

        التدابير التنظيمية

        سنتأكد من اتخاذ التدابير التالية فيما يتعلق بجمع البيانات الشخصية واحتفاظها ومعالجتها:

        1. يجب أن يكون جميع الموظفين أو الوكلاء أو المقاولين أو الأطراف الأخرى التي تعمل نيابة عنا على دراية كاملة بمسؤولياتهم الفردية ومسؤولياتنا بموجب قوانين حماية البيانات الأوروبية/المملكة المتحدة وبموجب هذه السياسة، ويجب تزويدهم بنسخة من هذه السياسة؛
        2. فقط الموظفون أو الوكلاء أو المقاولون الفرعيون أو الأطراف الأخرى التي تعمل نيابة عنا والذين يحتاجون إلى الوصول إلى البيانات الشخصية واستخدامها لتنفيذ مهامهم المخصصة بشكل صحيح سيكون لديهم وصول إلى البيانات الشخصية التي نحتفظ بها؛
        3. سيتم تدريب جميع الموظفين أو الوكلاء أو المقاولين أو الأطراف الأخرى التي تعمل نيابة عنا والذين يتعاملون مع البيانات الشخصية بشكل مناسب؛
        4. سيتم الإشراف على جميع الموظفين أو الوكلاء أو المقاولين أو الأطراف الأخرى التي تعمل نيابة عنا والذين يتعاملون مع البيانات الشخصية بشكل مناسب؛
        5. سيُطلب ويُشجع جميع الموظفين أو الوكلاء أو المقاولين أو الأطراف الأخرى التي تعمل نيابة عنا والذين يتعاملون مع البيانات الشخصية على ممارسة العناية والحذر والتقدير عند مناقشة الأمور المتعلقة بالعمل التي تتعلق بالبيانات الشخصية، سواء في مكان العمل أو غيره؛
        6. يجب تقييم ومراجعة طرق جمع البيانات الشخصية واحتفاظها ومعالجتها بانتظام؛
        7. يجب مراجعة جميع البيانات الشخصية التي نحتفظ بها بشكل دوري، كما هو موضح في سياسة الاحتفاظ بالبيانات الخاصة بنا؛
        8. يجب تقييم ومراجعة أداء هؤلاء الموظفين أو الوكلاء أو المقاولين أو الأطراف الأخرى التي تعمل نيابة عنا والذين يتعاملون مع البيانات الشخصية بشكل منتظم؛
        9. سوف يكون جميع الموظفين أو الوكلاء أو المقاولين أو الأطراف الأخرى التي تعمل نيابة عنا والذين يتعاملون مع البيانات الشخصية ملزمين بالامتثال لمبادئ قوانين حماية البيانات الأوروبية/المملكة المتحدة وهذه السياسة بموجب العقد؛
        10. يجب على جميع الوكلاء أو المقاولين أو الأطراف الأخرى التي تعمل نيابة عنا والذين يتعاملون مع البيانات الشخصية التأكد من أن أي موظف من موظفيهم الذين يشاركون في معالجة البيانات الشخصية يخضعون لنفس الشروط التي تنطبق على موظفينا المتعلقين بهذه السياسة وقوانين حماية البيانات الأوروبية/المملكة المتحدة؛ و
        11. في حال فشل أي وكيل أو مقاول أو طرف آخر يعمل نيابة عنا في الوفاء بالتزاماته بموجب هذه السياسة، يتعين على هذا الطرف تعويضنا وحمايتنا من أي تكاليف أو مسؤوليات أو أضرار أو خسائر أو مطالبات أو إجراءات قد تنشأ عن ذلك الفشل.

        نقل البيانات الشخصية إلى بلد خارج المنطقة الاقتصادية الأوروبية

        قد نقوم من وقت لآخر بنقل (يشمل “نقل” جعل البيانات متاحة عن بُعد) البيانات الشخصية إلى دول خارج المنطقة الاقتصادية الأوروبية.

        لن يتم نقل البيانات الشخصية إلى بلد خارج المنطقة الاقتصادية الأوروبية إلا إذا كان واحد أو أكثر من الحالات التالية ينطبق:

        1. النقل إلى بلد أو إقليم أو قطاع محدد في ذلك البلد (أو منظمة دولية) قد حددته المفوضية الأوروبية بأنه يضمن مستوى مناسب من الحماية للبيانات الشخصية؛
        2. النقل إلى بلد (أو منظمة دولية) يوفر ضمانات مناسبة على شكل اتفاقية ملزمة قانونًا بين السلطات العامة أو الهيئات؛ القواعد المؤسسية الملزمة؛ البنود القياسية لحماية البيانات التي اعتمدتها المفوضية الأوروبية؛ الامتثال لمدونة سلوك معتمدة من قبل سلطة إشرافية (مثل مكتب مفوض المعلومات)؛ الشهادات بموجب آلية الشهادات المعتمدة (كما هو منصوص عليه في قوانين حماية البيانات الأوروبية/المملكة المتحدة)؛ البنود التعاقدية المتفق عليها والمعتمدة من قبل السلطة الإشرافية المختصة؛ أو الأحكام المدرجة في الترتيبات الإدارية بين السلطات العامة أو الهيئات التي تفوضها السلطة الإشرافية المختصة؛
        3. النقل يتم بموافقة مطلعة من الموضوعات المعنية بالبيانات؛
        4. النقل ضروري لتنفيذ عقد بين الموضوع المعني بالبيانات وبيننا (أو لخطوات ما قبل العقد التي تُتخذ بناءً على طلب الموضوع المعني بالبيانات)؛
        5. النقل ضروري لأسباب تتعلق بالمصلحة العامة الهامة؛
        6. النقل ضروري لإجراء المطالبات القانونية؛
        7. النقل ضروري لحماية المصالح الحيوية للموضوع المعني بالبيانات أو الأفراد الآخرين حيث يكون الموضوع المعني بالبيانات غير قادر بدنيًا أو قانونيًا على تقديم موافقته؛ أو
        8. النقل يتم من سجل، بموجب القانون البريطاني أو الأوروبي، يهدف إلى تقديم المعلومات للجمهور والذي يكون مفتوحًا للوصول من قبل الجمهور بشكل عام أو لأولئك القادرين على إثبات مصلحة مشروعة في الوصول إلى السجل.

        إشعار خرق البيانات

        يجب الإبلاغ عن جميع خروقات البيانات الشخصية على الفور لنا.

        إذا حدث خرق للبيانات الشخصية وكان من المحتمل أن يؤدي إلى مخاطر على حقوق وحريات الموضوعات المعنية بالبيانات (مثل الخسائر المالية، أو خرق السرية، أو التمييز، أو الضرر بالسمعة، أو أضرار اجتماعية أو اقتصادية كبيرة أخرى)، يجب علينا التأكد من إبلاغ مكتب مفوض المعلومات بالخرق دون تأخير، وفي أي حال، خلال 72 ساعة بعد علمنا به.

        في حال كان من المحتمل أن يؤدي خرق البيانات الشخصية إلى مخاطر عالية (أي مخاطر أعلى من تلك الموصوفة أعلاه) على حقوق وحريات الموضوعات المعنية بالبيانات، يجب علينا التأكد من إبلاغ جميع الموضوعات المعنية بالبيانات المتأثرة بالخرق مباشرة وبدون تأخير غير مبرر.

        يجب أن تتضمن إشعارات خرق البيانات المعلومات التالية:

        1. فئات وأعداد تقريبية للموضوعات المعنية بالبيانات المتأثرة؛
        2. فئات وأعداد تقريبية لسجلات البيانات الشخصية المتأثرة؛
        3. اسم وتفاصيل الاتصال بممثلنا حيث يمكن الحصول على مزيد من المعلومات؛
        4. العواقب المحتملة للخرق؛
        5. تفاصيل التدابير التي تم اتخاذها، أو المقترح اتخاذها، من قبلنا لمعالجة الخرق بما في ذلك، عند الاقتضاء، التدابير للتخفيف من تأثيره السلبي المحتمل.