سياسة الاحتفاظ بالبيانات

مقدمة

تحدد هذه السياسة التزامات شركة Whitehall Resources Limited، وهي شركة مسجلة في إنجلترا تحت رقم 5999991، ويقع مكتبها المسجل في 350 The Crescent، كولشستر، إسيكس، CO4 9AT (“نحن”، “خاصتنا”، “لنا”) فيما يتعلق بالاحتفاظ بالبيانات الشخصية التي نقوم بجمعها وامتلاكها ومعالجتها.

تلتزم المنظمات في المملكة المتحدة التي تعالج البيانات الشخصية حاليًا بقانونين: اللائحة العامة لحماية البيانات (اللائحة (الاتحاد الأوروبي) 2016/679) (‘اللوائح العامة لحماية البيانات في الاتحاد الأوروبي’) وقانون حماية البيانات في المملكة المتحدة 2018 (‘قانون حماية البيانات في المملكة المتحدة’). مع بدء خروج بريطانيا من الاتحاد الأوروبي، تستمر تطبيق هذين القانونين حتى نهاية فترة الانتقال (31 ديسمبر 2020).

بعد انتهاء فترة الانتقال، لن تنطبق لائحة حماية البيانات العامة في الاتحاد الأوروبي مباشرةً في المملكة المتحدة. ومع ذلك، يجب على المنظمات البريطانية أن تلتزم بمتطلباتها بعد هذه النقطة.

أولاً، يقوم قانون حماية البيانات في المملكة المتحدة بسن متطلبات اللائحة العامة لحماية البيانات في قانون المملكة المتحدة. ثانيًا، أصدرت الحكومة البريطانية مرسومًا قانونيًا – اللائحة الخاصة بحماية البيانات، الخصوصية والاتصالات الإلكترونية (تعديلات إلخ) (خروج الاتحاد الأوروبي) 2019، الذي يعدل قانون حماية البيانات في المملكة المتحدة ويدمجه مع متطلبات اللائحة العامة لحماية البيانات في الاتحاد الأوروبي لتشكيل نظام حماية بيانات سيعمل في سياق المملكة المتحدة بعد خروج بريطانيا من الاتحاد الأوروبي. سيعرف هذا النظام الجديد باسم ‘اللوائح العامة لحماية البيانات في المملكة المتحدة’.

يوجد فرق ضئيل جدًا بين اللائحة العامة لحماية البيانات في الاتحاد الأوروبي واللوائح العامة لحماية البيانات في المملكة المتحدة. تعرف اللائحة العامة لحماية البيانات في الاتحاد الأوروبي/المملكة المتحدة “البيانات الشخصية” على أنها أي معلومات تتعلق بشخص طبيعي محدد أو قابل للتحديد (وهو “موضوع البيانات”). الشخص الطبيعي القابل للتحديد هو الشخص الذي يمكن تحديد هويته، بشكل مباشر أو غير مباشر، خاصةً بالإشارة إلى معرف مثل اسم، رقم تعريف، بيانات موقع، معرف عبر الإنترنت، أو إلى واحد أو أكثر من العوامل المحددة لهوية الشخص الطبيعي البدنية أو الفسيولوجية أو الجينية أو العقلية أو الاقتصادية أو الثقافية أو الاجتماعية.

كما تتناول اللائحة العامة لحماية البيانات في الاتحاد الأوروبي/المملكة المتحدة “البيانات الشخصية من الفئة الخاصة” (وتعرف أيضًا بـ “البيانات الشخصية الحساسة”). تشمل هذه البيانات، ولكن لا تقتصر على، البيانات المتعلقة بعرق موضوع البيانات، عرقه، السياسة، الدين، عضوية النقابات، الجينات، البيومetrics (إذا تم استخدامها لأغراض التعريف)، الصحة، الحياة الجنسية، أو التوجه الجنسي.

بموجب اللائحة العامة لحماية البيانات في الاتحاد الأوروبي/المملكة المتحدة، يجب أن تُحفظ البيانات الشخصية بشكل يتيح تحديد هوية مواضيع البيانات لوقت لا يتجاوز ما هو ضروري للأغراض التي تتم معالجة البيانات الشخصية من أجلها. في بعض الحالات، قد يتم تخزين البيانات الشخصية لفترات أطول إذا كانت تلك البيانات ستُعالج لأغراض الأرشفة التي تخدم المصلحة العامة، أو لأغراض البحث العلمي أو التاريخي، أو لأغراض إحصائية (رهنًا بتنفيذ التدابير التقنية والتنظيمية المناسبة التي تتطلبها اللائحة العامة لحماية البيانات في الاتحاد الأوروبي/المملكة المتحدة لحماية تلك البيانات).

بالإضافة إلى ذلك، تشمل اللائحة العامة لحماية البيانات في الاتحاد الأوروبي/المملكة المتحدة الحق في الحذف أو “الحق في أن تُنسى”. لمواضيع البيانات الحق في حذف بياناتهم الشخصية (ومن ثم منع معالجة تلك البيانات الشخصية) في الحالات التالية:

1. عندما لا تكون البيانات الشخصية مطلوبة بعد الآن للغرض الذي تم جمعها أو معالجتها من أجله؛
2. عندما يسحب موضوع البيانات موافقته؛
3. عندما يعترض موضوع البيانات على معالجة بياناته الشخصية وليس لدينا مصلحة مشروعة overriding؛
4. عندما تتم معالجة البيانات الشخصية بشكل غير قانوني (أي، في انتهاك للائحة العامة لحماية البيانات)؛
5. عندما يجب حذف البيانات الشخصية للامتثال لالتزام قانوني؛ أو
6. عندما تتم معالجة البيانات الشخصية لتوفير خدمات معلومات المجتمع لطفل

تحدد هذه السياسة نوع (أنواع) البيانات الشخصية التي نحتفظ بها، والفترة (الفترات) التي يتم خلالها الاحتفاظ بتلك البيانات الشخصية، والمعايير الخاصة بتحديد ومراجعة تلك الفترة (الفترات)، ومتى وكيف يجب حذفها أو التخلص منها بطرق أخرى.

الأهداف والغايات

الهدف الرئيسي من هذه السياسة هو تحديد حدود الاحتفاظ بالبيانات الشخصية وضمان الالتزام بتلك الحدود، فضلاً عن حقوق موضوع البيانات في الحذف. من خلال ذلك، تهدف هذه السياسة إلى ضمان امتثالنا الكامل لالتزاماتنا وحقوق مواضيع البيانات بموجب اللائحة العامة لحماية البيانات.

بالإضافة إلى حماية حقوق مواضيع البيانات بموجب اللائحة العامة لحماية البيانات، من خلال ضمان عدم الاحتفاظ بكميات زائدة من البيانات، تهدف هذه السياسة أيضًا إلى تحسين سرعة وكفاءة إدارة البيانات.

النطاق

تنطبق هذه السياسة على جميع البيانات الشخصية التي نحتفظ بها.

البيانات الشخصية، كما نحتفظ بها، يتم تخزينها بطرق ومواقع مختلفة على النحو التالي:

1. خوادمنا، الواقعة في كولشستر؛
2. خوادم الطرف الثالث، التي تديرها Microsoft وتقع في الاتحاد الأوروبي؛
3. الأجهزة المحمولة التي نقدمها لموظفينا؛
4. السجلات المادية المخزنة في موقع مؤمن في مكتبنا الرئيسي الواقع في كولشستر

حقوق موضوع البيانات وسلامة البيانات

تُحفظ جميع البيانات الشخصية التي نحتفظ بها وفقًا لمتطلبات اللائحة العامة لحماية البيانات في الاتحاد الأوروبي/المملكة المتحدة وحقوق مواضيع البيانات بموجبها، كما هو محدد في سياسة حماية البيانات الخاصة بنا.

يتم منح مواضيع البيانات السيطرة على بياناتهم الشخصية التي نحتفظ بها بما في ذلك الحق في تصحيح البيانات غير الصحيحة، والحق في طلب حذف بياناتهم الشخصية أو التخلص منها بطرق أخرى (رغم فترات الاحتفاظ الأخرى التي تحددها سياسة الاحتفاظ بالبيانات هذه)، والحق في تقييد استخدامنا لبياناتهم الشخصية، والحق في نقل البيانات، وحقوق إضافية تتعلق بالتحليل الشخصي، كما هو موضح في سياسة حماية البيانات الخاصة بنا.

التدابير التقنية والتنظيمية لحماية البيانات

تُتخذ التدابير التقنية التالية لحماية أمن البيانات الشخصية. يرجى الرجوع إلى سياسة حماية البيانات الخاصة بنا لمزيد من التفاصيل:

1. يمكن نقل البيانات الشخصية فقط عبر الشبكات الآمنة؛
2. لا يجوز نقل البيانات الشخصية عبر شبكة لاسلكية إذا كان هناك بديل سلكي معقول؛
3. يجب التعامل مع البيانات الشخصية بحذر في جميع الأوقات ويجب عدم تركها بدون إشراف أو في مرمى النظر؛
4. يجب دائمًا قفل أجهزة الكمبيوتر المستخدمة لعرض البيانات الشخصية قبل تركها بدون إشراف؛
5. يجب نسخ جميع البيانات الشخصية المخزنة إلكترونيًا (بما في ذلك أي نسخ احتياطية لها) يوميًا، ويجب تخزين النسخ الاحتياطية في الموقع وأيضًا خارجه. يجب تشفير جميع النسخ الاحتياطية؛
6. يجب تغيير جميع كلمات المرور المستخدمة لحماية البيانات الشخصية بانتظام ويجب أن تكون آمنة؛
7. تحت أي ظرف من الظروف، لا ينبغي كتابة كلمات المرور أو مشاركتها. إذا نُسيت كلمة المرور، يجب إعادة تعيينها باستخدام الطريقة المناسبة؛
8. يجب الحفاظ على تحديث جميع البرمجيات. يجب تثبيت التحديثات المتعلقة بالأمان في أقرب وقت ممكن بعد توفرها؛
9. لا يجوز تثبيت أي برمجيات على أي من أجهزة الكمبيوتر أو الأجهزة الخاصة بنا بدون موافقة؛ و
10. عندما يتم استخدام البيانات الشخصية التي نحتفظ بها لأغراض التسويق، يجب علينا التأكد من الحصول على الموافقة المناسبة وأن أي من مواضيع البيانات لم ينسحب، سواء بشكل مباشر أو عبر خدمة طرف ثالث مثل TPS.

تُتخذ التدابير التنظيمية التالية لحماية أمن البيانات الشخصية. يرجى الرجوع إلى سياسة حماية البيانات الخاصة بنا لمزيد من التفاصيل:

1. يجب أن يكون جميع الموظفين والأطراف الأخرى التي تعمل نيابة عنا على دراية كاملة بكل من مسؤولياتهم الفردية ومسؤولياتنا بموجب اللائحة العامة لحماية البيانات في الاتحاد الأوروبي/المملكة المتحدة وبموجب سياسة حماية البيانات الخاصة بنا؛
2. يجب أن يكون فقط الموظفون والأطراف الأخرى التي تعمل نيابة عنا وتحتاج إلى الوصول إلى البيانات الشخصية واستخدامها لأداء عملهم هم من لديهم الوصول إلى البيانات الشخصية التي نحتفظ بها؛
3. يجب تدريب جميع الموظفين والأطراف الأخرى التي تعمل نيابة عنا وتعالج البيانات الشخصية بشكل مناسب؛
4. يجب الإشراف بشكل مناسب على جميع الموظفين والأطراف الأخرى التي تعمل نيابة عنا وتعالج البيانات الشخصية؛
5. يجب على جميع الموظفين والأطراف الأخرى التي تعمل نيابة عنا وتعالج البيانات الشخصية ممارسة الحذر والانتباه عند مناقشة أي عمل يتعلق بالبيانات الشخصية في جميع الأوقات؛
6. يجب تقييم ومراجعة طرق جمع وتخزين ومعالجة البيانات الشخصية بانتظام؛
7. يجب تقييم ومراجعة أداء الموظفين والأطراف الأخرى التي تعمل نيابة عنا وتعالج البيانات الشخصية بانتظام؛
8. يجب أن يكون جميع الموظفين والأطراف الأخرى التي تعمل نيابة عنا وتعالج البيانات الشخصية ملزمين تعاقديًا بالامتثال للائحة العامة لحماية البيانات في الاتحاد الأوروبي/المملكة المتحدة ولسياسة حماية البيانات الخاصة بنا؛
9. يجب على جميع الوكلاء والمقاولين أو الأطراف الأخرى التي تعمل نيابة عنا وتعالج البيانات الشخصية ضمان أن يتم التزام أي من الموظفين المعنيين بنفس الشروط كموظفينا المتعلقين باللائحة العامة لحماية البيانات في الاتحاد الأوروبي/المملكة المتحدة وسياسة حماية البيانات الخاصة بنا؛
10. عندما يفشل أي وكيل أو مقاول أو طرف آخر يعمل نيابة عنا ويعالج البيانات الشخصية في الوفاء بالتزاماته بموجب اللائحة العامة لحماية البيانات في الاتحاد الأوروبي و/أو سياسة حماية البيانات الخاصة بنا، يجب على ذلك الطرف تعويضنا وحمايتنا ضد أي تكاليف أو مسؤولية أو أضرار أو خسائر أو مطالبات أو إجراءات قد تنشأ عن هذا الفشل.

التخلص من البيانات

عند انتهاء فترات الاحتفاظ بالبيانات المحددة أدناه، أو عندما يمارس موضوع البيانات حقه في حذف بياناته الشخصية، يجب حذف البيانات الشخصية أو تدميرها أو التخلص منها بطرق أخرى كما يلي:

1. يجب حذف البيانات الشخصية المخزنة إلكترونيًا (بما في ذلك أي نسخ احتياطية لها) بشكل آمن؛
2. يجب حذف البيانات الشخصية من الفئة الخاصة المخزنة إلكترونيًا (بما في ذلك أي نسخ احتياطية لها) بشكل آمن؛
3. يجب تمزيق البيانات الشخصية المخزنة بشكل ورقي؛
4. يجب تمزيق البيانات الشخصية من الفئة الخاصة المخزنة بشكل ورقي بشكل متقاطع.

احتفاظ البيانات

كما هو مذكور أعلاه، وكما هو مطلوب قانونًا، لن نقوم بالاحتفاظ بأي بيانات شخصية لأكثر من اللازم وفقًا للأغراض التي تم جمع البيانات الشخصية من أجلها، وامتلاكها ومعالجتها.

أنواع البيانات الشخصية المختلفة، المستخدمة لأغراض مختلفة، ستظل محفوظة لفترات مختلفة (وسيتم مراجعة احتفاظها بشكل دوري)، كما هو موضح أدناه.

عند تحديد ومراجعة فترات الاحتفاظ، يجب أخذ ما يلي في الاعتبار:

1. أهدافنا ومتطلباتنا؛
2. نوع البيانات الشخصية المعنية؛
3. الأغراض التي تم جمع البيانات الشخصية من أجلها، وامتلاكها ومعالجتها؛
4. أساسنا القانوني لجمع وامتلاك ومعالجة تلك البيانات؛
5. فئة أو فئات موضوع البيانات التي تتعلق بها البيانات؛

إذا لم يكن من الممكن تحديد فترة احتفاظ دقيقة لنوع معين من البيانات، يجب تحديد معايير يتم على أساسها تحديد احتفاظ البيانات، مما يضمن أن البيانات المعنية، ومدة احتفاظها، يمكن مراجعتها بانتظام وفقًا لتلك المعايير.

على الرغم من فترات الاحتفاظ المحددة التالية، قد يتم حذف بعض البيانات الشخصية أو التخلص منها بطرق أخرى قبل انتهاء فترة الاحتفاظ المحددة إذا تم اتخاذ قرار بذلك (سواء استجابةً لطلب من موضوع البيانات أو خلاف ذلك).

في ظروف محدودة، قد يكون من الضروري أيضًا الاحتفاظ بالبيانات الشخصية لفترات أطول حيث يكون هذا الاحتفاظ لأغراض الأرشفة التي تخدم المصلحة العامة، أو لأغراض البحث العلمي أو التاريخي، أو لأغراض إحصائية. يجب أن يكون كل هذا الاحتفاظ خاضعًا لتنفيذ التدابير التقنية والتنظيمية المناسبة لحماية حقوق وحريات مواضيع البيانات، كما هو مطلوب بموجب اللائحة العامة لحماية البيانات.

الأدوار والمسؤوليات

يجب توجيه أي استفسارات تتعلق بهذه السياسة، أو احتفاظ البيانات الشخصية، أو أي جانب آخر من التزام اللائحة العامة لحماية البيانات في الاتحاد الأوروبي/المملكة المتحدة إلى DPO@whitehallresources.com.

رقم البيانات	نوع البيانات	غرض البيانات	فترة المراجعة	فترة الاحتفاظ أو المعايير	التعليقات
المرشح	الاسم   العنوان رقم الهاتف البريد الإلكتروني السيرة الذاتية	للتواصل     لرمز المهارة   لوضعه في دور وظيفي مناسب	مراجعة 3 أشهر قبل نهاية فترة الاحتفاظ أو عندما يتم ترشيح المرشح لمقابلة أو الاتصال به بشأن أدوار جديدة	72 شهرًا	سيتم تحديث البيانات الشخصية إذا كان موضوع البيانات مرشحًا مناسبًا للأدوار المتاحة ويرغب في ترشيحه للدور، وسنتأكد من أن البيانات التي نحتفظ بها عنه محدثة قبل ترشيحه للدور.   وأي منهما يأتي أولاً قبل 3 أشهر من نهاية فترة الاحتفاظ، سنقوم بالاتصال بموضوع البيانات لإبلاغه بأن لدينا بياناته الشخصية وأنه يجب عليه تأكيد أن البيانات التي نحتفظ بها لا تزال محدثة.
المرشح الموضوع	عقد موقّع   نسخة من فاتورة الخدمات نسخة من جواز السفر تأشيرة عمل (إذا لزم الأمر) شهادة شركة ذات مسؤولية محدودة تفاصيل حساب الشركة المراجعات	لتأكيد حالة الشركة المحدودة، إثبات الإقامة أو التأكد من أن لديه التأشيرة الصحيحة للعمل في البلد	في كل تعيين جديد	72 شهرًا من بدء العمل	عندما يتم وضع أي مرشح في وظيفة دائمة أو مؤقتة، يتطلب إثبات أن المرشح لديه الحق في العمل في البلد وأن لدينا تفاصيل الشركة المحدودة ومعلومات حساب الشركة لتمكين قسم المالية لدينا من إجراء المدفوعات المطلوبة.
العميل	اسم الشركة   اسم جهة الاتصال الوظيفة رقم الهاتف عنوان البريد الإلكتروني	لتحقيق فرص التوظيف داخل الشركة	مراجعة عند كل اتصال مع العميل أو مع المعلومات الموجودة في المجال العام	إلى أجل غير مسمى
قائمة الموردين المعتمدين للعملاء	اسم الشركة   اسم جهة الاتصال الوظيفة رقم الهاتف عنوان البريد الإلكتروني العقود	عند الموافقة على قائمة الموردين، يتم توقيع العقود والاتفاق عليها وحفظ العقود بشكل آمن على خوادمنا الداخلية	مراجعة حسب الحاجة	إلى أجل غير مسمى