سياسة السجل الجنائي وسوء استخدام البيانات

نلتزم في مجموعة داتافلو بسياسات ترتكز على أسس النزاهة، لتضمن المساءلة وتعزز بناء ثقافة موحدة وتتوافق مع معايير الامتثال العالمية.

01

عن هذه السياسة

  1. تُعدّ هذه الوثيقة “السياسة المناسبة” (وفق ما تتطلبه قوانين حماية البيانات في بعض السلطات القضائية)، وهي صادرة عن شركة “داتافلو سيرفيسز – شركة ذات مسؤولية محدودة بالمنطقة الحرة” ( يشار إليها “داتافلو”، أو “نحن”)، وتوضح كيفية تعاملنا مع بيانات السجل الجنائي وبيانات سوء الممارسة المهنية وحمايتها.
  2. تأتي هذه السياسة دعمًا للسياسات العامة لحماية البيانات المعتمدة في داتافلو، بما في ذلك السياسات الخاصة بتصنيف البيانات، وأمن المعلومات، والاحتفاظ بالبيانات.
  3. كما أن هذه الوثيقة تفي بمتطلبات قانون حماية البيانات البريطاني لعام 2018، والذي يُلزم بوجود “سياسة مناسبة” عند معالجة بيانات السجل الجنائي في بعض الحالات.
02

التعريفات

المتحكّم في البيانات: الشخص أو الجهة التي تحدد متى ولماذا وكيف تتم معالجة البيانات الشخصية (مثل شركة داتافلو أو أي من شركاتها التابعة).

بيانات السجل الجنائي: البيانات الشخصية المتعلقة بالإدانات أو المخالفات الجنائية، بما في ذلك البيانات الخاصة بالادعاءات أو الإجراءات الجنائية.

سياسة الاحتفاظ بالبيانات: سياسة داتافلو المعتمدة بشأن تصنيف المعلومات، وفترات الاحتفاظ، وآليات التخلص الآمن من البيانات.

صاحب البيانات: أي فرد حيّ يمكن التعرف عليه من خلال البيانات الشخصية التي نحتفظ بها عنه. وقد يكون من مواطني أو مقيمي أي دولة وله حقوق قانونية بشأن بياناته.

تقييم تأثير الخصوصية (DPIA): أداة تُستخدم لتحديد وتقليل المخاطر المرتبطة بمعالجة البيانات الشخصية، ويُوصى بها ضمن مبدأ “الخصوصية من خلال التصميم”، خاصة في المشاريع التي تتضمن تغييرات كبيرة في الأنظمة أو العمليات.

قانون حماية البيانات 2018 (DPA 2018): التشريع البريطاني لحماية البيانات الشخصية، بصيغته المعدلة أو المحدّثة أو المستبدلة حسب ما يقتضيه السياق.

اللائحة العامة لحماية البيانات (GDPR): اللائحة الأوروبية رقم (EU) 2016/679 كما تشكّل جزءًا من قوانين إنجلترا وويلز واسكتلندا وإيرلندا الشمالية بموجب المادة 3 من قانون انسحاب المملكة المتحدة من الاتحاد الأوروبي لعام 2018، أو ما يُعرف باسم «GDPR المملكة المتحدة» حسب المعنى الوارد في المادة 3(10) والمعدّلة بالمادة 205(4) من قانون حماية البيانات البريطاني لعام 2018.

البيانات الشخصية: أي معلومات تُعرّف بصاحبها أو ترتبط به، سواء بشكل مباشر أو غير مباشر، بمفردها أو عند جمعها مع معلومات أخرى لدينا أو يمكننا الحصول عليها بشكل معقول.

إشعار الخصوصية: وثيقة تُقدم إلى أصحاب البيانات عند جمع معلوماتهم، وتوضّح كيفية استخدام بياناتهم وحقوقهم المتعلقة بها.

المعالجة أو معالجة البيانات: أي نشاط يُجرى على البيانات الشخصية، مثل الجمع أو الحفظ أو الاستخدام أو النقل أو التعديل أو الحذف أو الإتلاف، سواء يدويًا أو إلكترونيًا، بما في ذلك نقلها إلى أطراف خارجية.

بيانات سوء الممارسة المهنية: بيانات شخصية تكشف عن حالات تزوير أو سوء سلوك مهني أو إجراءات تأديبية تم اتخاذها بحق صاحب البيانات.

03

لماذا نعالج بيانات السجل الجنائي وبيانات سوء الممارسة المهنية؟

نعالج هذه البيانات للأغراض التالية، ضمن إطار تقديم خدماتنا لعملائنا:

  1. إجراء تدقيقات مرجعية على الأفراد
  2. التحقق من أحقية المتقدمين في العمل داخل الدولة المعنية
  3. التحقق من مدى ملاءمة المرشحين للوظائف

وذلك بهدف كشف تزوير الشهادات الأكاديمية، وشهادات العمل، والتراخيص المهنية، وكذلك جوازات السفر وتصاريح العمل المزيّفة، نيابةً عن عملائنا كجزء من خدمات التحقق التي نقدمها، بما يضمن أن أصحاب الخبرات المستهدفين يتمتعون فعليًا بالمؤهلات التي يعلنون عنها.

  1. مبادئ حماية البيانات الشخصية

تُلزم اللائحة العامة لحماية البيانات (GDPR) الجهات المتحكمة بالبيانات بمعالجة البيانات وفق المبادئ الستة المنصوص عليها في المادة 5(1)، كما تُلزمهم المادة 5(2) بإثبات الامتثال للمادة الأولى.

نلتزم في داتافلو بالمبادئ المتعلقة بمعالجة البيانات الشخصية الواردة في اللائحة العامة لحماية البيانات (GDPR)، والتي تنص على ما يلي:

  1. تُعالج البيانات الشخصية بطريقة قانونية وعادلة وشفافة بالنسبة لصاحب البيانات (مبدأ الشرعية والعدالة والشفافية).
  2. تُجمع البيانات لأغراض محددة وصريحة ومشروعة ولا يُعاد استخدامها بطريقة تتعارض مع تلك الأغراض.
  3. تكون البيانات ملائمة، وذات صلة، ومحدودة بما هو ضروري للأغراض التي تُعالج من أجلها.
  4. تكون البيانات دقيقة، وتُحدّث عند الضرورة؛ وتتخذ خطوات معقولة لضمان حذف أو تصحيح البيانات غير الدقيقة فورًا.
  5. لا تُحتفظ البيانات بشكل يسمح بتحديد هوية أصحابها لمدة أطول من اللازم.
  6. تُعالج البيانات بطريقة تضمن أمنها، بما في ذلك الحماية من المعالجة غير المصرح بها أو غير القانونية، ومن الفقد أو التلف العرضي، باستخدام تدابير فنية وتنظيمية مناسبة.

ونحن مسؤولون عن الامتثال لهذه المبادئ، ويجب أن نكون قادرين على إثبات ذلك (مبدأ المساءلة).

  1. الامتثال لمبادئ حماية البيانات الشخصية
04

الشرعية والعدالة والشفافية

يجب معالجة البيانات الشخصية بأسلوب قانوني وعادل وشفاف بالنسبة لصاحب البيانات.

سنعالج البيانات الشخصية فقط بطريقة عادلة وقانونية ولأغراض محددة. تُقيّد اللائحة العامة لحماية البيانات (GDPR) تعاملنا مع البيانات الشخصية بأغراض قانونية محددة. ولا يجوز لنا معالجة بيانات السجل الجنائي أو بيانات سوء الممارسة المهنية إلا إذا امتلكنا أساسًا قانونيًا للمعالجة، وكان أحد شروط المعالجة المحددة منطبقًا. وسنحدد ونوثق الأساس القانوني وشروط المعالجة التي نعتمد عليها في كل نشاط معالجة.

وعند جمع بيانات السجل الجنائي أو بيانات سوء الممارسة المهنية من أصحاب البيانات –سواء بشكل مباشر أو عبر طرف ثالث أو مصدر مفتوح– سنُقدّم لهم إشعار خصوصية يحتوي على جميع المعلومات المطلوبة بموجب اللائحة العامة لحماية البيانات (GDPR)، على أن يكون هذا الإشعار واضحًا، شفافًا، سهل الفهم، ومتوفّر بلغة واضحة ومباشرة.

الأساس القانوني للمعالجة شروط المعالجة الخاصة
الامتثال لالتزام قانوني (المادة 6(1)(ج))، أو مصلحة مشروعة (المادة 6(1)(و)) لا تطغى عليها الحقوق والحريات الأساسية لصاحب البيانات. ضروري لغرض تنفيذ أو ممارسة الالتزامات أو الحقوق المفروضة أو الممنوحة بموجب القانون على المسؤول عن المعالجة أو صاحب البيانات فيما يتعلق بالتوظيف أو الضمان الاجتماعي أو الحماية الاجتماعية. (الفقرة 1(1)(أ)، الجدول 1، قانون حماية البيانات البريطاني 2018).
ويجب أن يستوفي أحد شروط المصلحة العامة الجوهرية المنصوص عليها في الجزء 2 من الجدول 1 من قانون حماية البيانات 2018 (مثل منع أو كشف الأفعال غير المشروعة). (الفقرة 10(1)، الجدول 1، قانون حماية البيانات 2018).
بيانات سوء الممارسة المهنية: الامتثال لالتزام قانوني (المادة 6(1)(ج)). أو استنادًا إلى المصلحة المشروعة للمنظمة (المادة 6(1)(و))، شريطة ألا تتعارض مع الحقوق والحريات الأساسية لصاحب البيانات. يجب أن يستوفي أحد شروط المصلحة العامة الجوهرية المنصوص عليها في الجزء 2 من الجدول 1 من قانون حماية البيانات 2018 (مثل حماية الجمهور من عدم الأمانة (الفقرة 11(1)، الجدول 1، قانون حماية البيانات 2018) أو المتطلبات التنظيمية المتعلقة بالأفعال غير المشروعة وعدم الأمانة (الفقرة 12(1)، الجدول 1، قانون حماية البيانات 2018)).
05

تحديد الغرض

يجب جمع البيانات الشخصية لأغراض محددة وصريحة ومشروعة فقط. ولا يجوز معالجتها لاحقًا بطريقة تتعارض مع هذه الأغراض.

نجمع البيانات الشخصية لأغراض محددة فقط، ونُبلغ أصحاب البيانات بهذه الأغراض من خلال إشعار الخصوصية المنشور. ولن نستخدم البيانات الشخصية لأغراض جديدة أو مختلفة أو غير متوافقة مع تلك التي تم الإفصاح عنها وقت جمعها، إلا إذا أبلغنا صاحب البيانات بتلك الأغراض الجديدة، وحصلنا على موافقته متى كان ذلك مطلوبًا.

06

تقليل جمع البيانات

يجب أن تكون البيانات الشخصية كافية وملائمة ومحدودة بما يفي بالغرض الذي جُمعت لأجله.

نجمع ونفصح فقط عن الحد الأدنى من البيانات الشخصية اللازم للغرض الذي جُمعت أو أُفصِح عنها من أجله. ونتأكد من أننا لا نجمع بيانات مفرطة، وأن البيانات التي نجمعها ملائمة ومناسبة للأغراض المقصودة.

07

الدقة

يجب أن تكون البيانات الشخصية دقيقة، وتُحدّث عند الحاجة. ويجب تصحيحها أو حذفها دون تأخير في حال ثبت عدم دقتها.

نضمن أن تكون البيانات الشخصية التي نحتفظ بها ونستخدمها دقيقة وكاملة ومحدثة وذات صلة بالغرض الذي جُمعت لأجله. ونراجع دقة أي بيانات شخصية عند جمعها، وفي فترات منتظمة لاحقة. كما نتخذ كافة الخطوات المنطقية لحذف أو تعديل أي بيانات غير دقيقة أو غير محدثة.

08

تحديد مدة الاحتفاظ بالبيانات

نحتفظ بالبيانات الشخصية بصيغة قابلة للتعرّف على أصحابها فقط طوال المدة اللازمة لتحقيق الأغراض التي جُمعت لأجلها، أو عندما يكون هناك التزام قانوني بالاحتفاظ بها. وعند انتهاء الحاجة إلى البيانات الشخصية، تُحذف أو تُزال هويتها بشكل دائم.

نُطبّق سياسة للاحتفاظ بالبيانات وإجراءات مرتبطة بها لضمان حذف البيانات الشخصية بعد فترة زمنية معقولة ما لم يكن هناك سبب قانوني للاحتفاظ بها لمدة أطول.

نُبلغ أصحاب البيانات –من خلال إشعار الخصوصية– بمدة الاحتفاظ بالبيانات أو المعايير المستخدمة لتحديد تلك المدة.

09

الأمان والنزاهة والسرية

تُعالج البيانات الشخصية بطريقة تضمن حمايتها، بما في ذلك حمايتها من المعالجة غير المصرح بها أو غير القانونية، أو الفقد أو التلف العرضي، باستخدام تدابير تقنية وتنظيمية مناسبة.

نُنفّذ ونُحافظ على تدابير أمنية مناسبة ومعقولة ضد أي معالجة غير قانونية أو غير مصرح بها، وضد الفقد أو التلف العرضي للبيانات الشخصية.

10

مبدأ المساءلة

نحن مسؤولون عن الامتثال لهذه المبادئ، ويجب أن نكون قادرين على إثبات ذلك. ويتولى مسؤول حماية البيانات مسؤولية ضمان امتثالنا لهذه المبادئ. يجب توجيه أي استفسار متعلق بهذه السياسة إلى مسؤول حماية البيانات.

نلتزم بما يلي:

  1. الاحتفاظ بسجلات لجميع أنشطة معالجة البيانات الشخصية، وتقديمها لمفوض المعلومات عند الطلب.
  2. إجراء تقييم لتأثير الخصوصية (DPIA) لأي معالجة تنطوي على مخاطر عالية لتحديد تأثيرها على أصحاب البيانات، واستشارة مفوض المعلومات عند الاقتضاء.
  3. تعيين مسؤول لحماية البيانات (DPO) لتقديم المشورة المستقلة ومراقبة كيفية التعامل مع البيانات الشخصية، وضمان إمكانية الوصول للإدارة العليا.
  4. تطبيق إجراءات داخلية لضمان جمع واستخدام ومعالجة البيانات الشخصية بما يتوافق مع قانون حماية البيانات.
  5. سياسة الاحتفاظ والحذف للبيانات الشخصية.

نتعامل بجدية تامة مع أمن بيانات السجل الجنائي وبيانات سوء الممارسة المهنية. ونُطبق إجراءات إدارية وتقنية ومادية لحماية البيانات من المعالجة غير القانونية أو غير المصرح بها، أو من الفقد أو التلف العرضي. نضمن ما يلي عند معالجة بيانات السجل الجنائي أو بيانات سوء الممارسة المهنية:

  1. تسجيل المعالجة، مع تحديد فترة مناسبة، قدر الإمكان، للمحو الآمن والدائم للفئات المختلفة من البيانات، بما يتوافق مع سياسة الاحتفاظ بالبيانات.
  2. عند عدم الحاجة لهذه البيانات للأغراض التي جُمعت لأجلها، نحذفها أو نجعلها غير قابلة للتعرّف بأسرع وقت ممكن. نحتفظ عادةً بهذه البيانات بالشكل الذي تم تزويد عملائنا به لمدة 15 عامًا من تاريخ جمعها، نظرًا لأنها قد تُستخدم لاحقًا في تحقيقات سوء ممارسة أو إجراءات قانونية مشابهة في القطاع الطبي، وقد يُطلب الاحتفاظ بها بموجب قوانين دول مختلفة ينتقل إليها الأفراد.
  3. عند إتلاف السجلات، نضمن التخلص منها بشكل آمن ونهائي.

يتلقى أصحاب البيانات إشعار خصوصية عند جمع بياناتهم لأول مرة، يوضّح كيفية التعامل مع بياناتهم، بما في ذلك مدة الاحتفاظ بها أو المعايير المستخدمة لتحديد هذه المدة. ويتوفر إشعار الخصوصية أيضًا على موقعنا الإلكتروني.

11

المراجعة

تُراجع هذه السياسة الخاصة بمعالجة بيانات السجل الجنائي وسوء الممارسة المهنية مرتين سنويًا، أو عند أي تغيير في القوانين ذات الصلة.
ونحتفظ بنسخة من هذه السياسة طوال فترة المعالجة، ولمدة لا تقل عن ستة أشهر بعد التوقف عن المعالجة.
ويمكن تزويد مفوض المعلومات بنسخة من هذه السياسة عند الطلب، دون أي رسوم.
للاستفسار عن مدى التزامنا بقانون حماية البيانات، يُرجى التواصل مع مسؤولنا لحماية البيانات على: support@dataflowgroup.com

آخر تحديث: مايو 2021