1- النطاق والتعاريف

تتعلق السياسة بالبيانات الخاصة النوعية الموجودة في الأنظمة التي تتم معالجة البيانات فيها بطرق تلقائية أو نصف تلقائية، أو كجزء من أي نظام تسجيل بيانات.

2- معالجة البيانات الشخصية الخاصة

وفقًا للمادة 6/1 من قانون KVK رقم 6698؛ تعتبر البيانات المتعلقة بـ "عرق الأشخاص، أصلهم العرقي، آرائهم السياسية، معتقداتهم الفلسفية، دينهم، مذهبهم أو معتقداتهم الأخرى، مظهرهم، عضويتهم في جمعيات أو مؤسسات أو نقابات، صحتهم، حياتهم الجنسية، إداناتهم الجنائية وتدابير الأمان، وكذلك البيانات البيومترية والجينية" بيانات شخصية خاصة.

تتم معالجة البيانات الخاصة بالامتثال للاحتياطات التي حددها مجلس حماية البيانات الشخصية، في إطار "شروط معالجة البيانات الشخصية الخاصة" المذكورة في المادة 6 من قانون KVK رقم 6698، متى وُجدت الشروط التالية:

• إذا كانت هناك موافقة صريحة من صاحب البيانات الشخصية،

• إذا لم تكن هناك موافقة صريحة؛ تُعالج البيانات الشخصية باستثناء البيانات الصحية والحياة الجنسية، في الحالات المنصوص عليها في القوانين، بينما تُعالج البيانات الصحية والبيانات المتعلقة بالحياة الجنسية فقط عند حماية الصحة العامة، وممارسة الطب الوقائي، والتشخيص الطبي، وتقديم الخدمات العلاجية والرعاية الصحية، وتخطيط وإدارة الخدمات الصحية والتمويل، وكذلك في حالات الالتزام بالسرية، إلى الحد الذي تراه القوانين ضروريًا.

3- نقل البيانات الشخصية الخاصة إلى الخارج

يتم نقل البيانات الخاصة وفقًا للتنظيم الوارد في المادة 8 من قانون KVK،

1. في الحالات التي تتطلب موافقة صريحة، يتم الحصول على الموافقة الصريحة وفقًا للفقرة 1 من المادة 8،

2. في حالة وجود أحد الشروط المذكورة في الفقرة الثانية من المادة 5، يمكن النقل دون الحاجة إلى موافقة صريحة،

3. مع أخذ التدابير الكافية حسب الفقرة 3 من المادة 6؛

   1. يمكن معالجة البيانات الشخصية، باستثناء البيانات الصحية والحياة الجنسية (العرق، الأصل العرقي، الآراء السياسية، المعتقدات الفلسفية، الدين، المذهب أو المعتقدات الأخرى، المظهر والملبس، العضوية في النقابات، الإدانات الجنائية، والبيانات المتعلقة بتدابير الأمان والبيانات البيومترية والجينية) في الحالات المنصوص عليها في القوانين،

   2. بينما يمكن معالجة البيانات الشخصية المتعلقة بالصحة والحياة الجنسية فقط ضمن نطاق حماية الصحة العامة، وممارسة الطب الوقائي، والتشخيص الطبي، وتقديم الخدمات العلاجية والرعاية، وتخطيط وإدارة الخدمات الصحية والتمويل، وكذلك من قبل الأشخاص أو المؤسسات المخولة بالتزام السرية،

يمكن نقلها داخلياً دون الحاجة إلى موافقة صريحة من قبل الشركة.

4- التدابير المتعلقة بحماية البيانات الخاصة

وفقًا لقرار مجلس حماية البيانات الشخصية بتاريخ 01/31/2018 ورقم 2018/10؛

1. تم تحديد سياسة وإجراءات منفصلة، نظامية، واضحة القواعد، يمكن إدارتها واستدامتها، لضمان أمان البيانات الشخصية الخاصة.

2. في عمليات معالجة البيانات الشخصية الخاصة، يتلقى الموظفون المعنيون؛

   1. تُقدَّم تدريبات منتظمة حول الأمان المخصص للبيانات الشخصية الخاصة، وفقًا للقوانين واللوائح ذات الصلة،

   2. يتم إبرام عقود سرية،

   3. يتم تحديد نطاقات ومدة التراخيص بدقة للمستخدمين المصرح لهم بالوصول إلى البيانات،

   4. تُجرى عمليات مراجعة تراخيص بشكل دوري،

   5. تُرفع على الفور تراخيص الموظفين الذين تم تغيير مهامهم أو الذين يغادرون العمل، ويتم استرداد الأغراض المخصصة لهم من قبل الشركة،

3. إذا كانت البيئة التي تتم فيها معالجة البيانات الشخصية الخاصة وتخزينها و/أو الوصول إليها هي بيئة إلكترونية؛

   1. يتم تخزين البيانات باستخدام طرق تشفير،

   2. تبقى المفاتيح التشفيرية محفوطة في بيئات آمنة ومختلفة،

   3. تُسجل جميع الحركات التي تتم على البيانات بشكل آمن،

   4. تُتابع تحديثات الأمان المتعلقة بالبيئات التي توجد فيها البيانات بشكل مستمر، ويتم إجراء اختبارات الأمان وفقًا لما هو ضروري، وتُسجل نتائج الاختبارات،

   5. إذا تم الوصول إلى البيانات بواسطة برنامج، يتم تحديد تراخيص المستخدمين لهذا البرنامج، وتُجرى اختبارات الأمن بشكل منتظم، وتُسجل نتائج الاختبارات،

   6. إذا كان الوصول عن بُعد مطلوبًا، يتم توفير نظام مصادقة يتضمن على الأقل خطوتين.

4. إذا كانت البيئة التي تتم فيها معالجة البيانات الشخصية الخاصة وتخزينها و/أو الوصول إليها هي بيئة فعلية؛

   1. يتم التأكد من أخذ التدابير الأمنية المناسبة (مثل تسرب الكهرباء، الحريق، الفيضانات، السرقة، وما إلى ذلك) حسب طبيعة البيئة التي تحتوي على البيانات الشخصية الخاصة،

   2. تُؤمن الأمان الجسدي لتلك البيئات ويتم منع الدخول والخروج غير المصرح به،

5. إذا كانت البيانات الشخصية الخاصة ستُنقل؛

   1. إذا كان النقل عبر البريد الإلكتروني مطلوبًا، يتم النقل بطريقة مشفرة باستخدام عنوان البريد الإلكتروني المؤسسي أو باستخدام حساب البريد الإلكتروني المسجل (KEP)،

   2. إذا كان النقل مطلوبًا عبر وسائط مثل USB، CD، DVD، يجب تشفيرها باستخدام طرق تشفير، ويتم الاحتفاظ بالمفتاح التشفيري في بيئة مختلفة،

   3. إذا تم النقل بين خوادم في بيئات فعلية مختلفة، يتم تنفيذ نقل البيانات عبر الاتصال بشبكة VPN أو باستخدام طريقة sFTP،

   4. إذا كان النقل عبر بيئة ورقية مطلوبًا، يتم أخذ التدابير اللازمة ضد مخاطر مثل سرقة الوثائق، فقدانها، أو رؤيتها من قبل أشخاص غير مخولين، وتُرسل الوثيقة بصيغة "مستندات سرية".

6. بالإضافة إلى التدابير المذكورة أعلاه، تُؤخذ في الاعتبار التدابير الفنية والإدارية اللازمة لتحقيق مستوى الأمان المناسب كما هو موضح في دليل أمان البيانات الشخصية الذي نشره مجلس حماية البيانات الشخصية.