سياسة حماية البيانات

1. الغرض

تهدف هذه السياسة إلى وضع المبادئ والضوابط والمسؤوليات التي تلتزم بها مجموعة أوبتيمم إنترناشونال القابضة («المجموعة»، «نحن») لحماية البيانات الشخصية المُعالجة ضمن أنشطتها العالمية، بما في ذلك الشركات التابعة في قطاعات النفط والغاز، الذهب والمجوهرات، مستحضرات التجميل، الأغذية والزراعة، والاستثمار. تنطبق السياسة على جميع المدراء والموظفين والمتعاقدين ومزوّدي الخدمات الذين يتعاملون مع البيانات الشخصية لحساب المجموعة، وتُكمل سياسة الخصوصية العامة ولا تكررها.

2. النطاق
  • جغرافيًا: جميع الولايات القضائية التي تعمل فيها المجموعة أو تجمع منها بيانات شخصية.
  • تشريعيًا: اللائحة العامة لحماية البيانات GDPR (الاتحاد الأوروبي/المملكة المتحدة)، قانون حماية البيانات الشخصية الإماراتي PDPL (مرسوم‑قانون اتحادي 45 لسنة 2021)، وقانون حماية البيانات الشخصية التايلندي PDPA لسنة 2562، وأي قوانين محلية أخرى ذات صلة.
  • نوع البيانات: بيانات العملاء والمستخدمين والموظفين والمتعاقدين والمورّدين وزوار الموقع، ورقيًا أو إلكترونيًا.
3. التعريفات الرئيسية

المصطلح

التعريف

البيانات الشخصية

أي معلومة تتعلق بشخص مُحدد أو قابل للتحديد.

بيانات الفئات الخاصة

بيانات تكشف الأصل العرقي/الإثني، الصحة، القياسات الحيوية، إلخ.

المعالجة

أي عملية تُجرى على البيانات (جمع، تخزين، استخدام، كشف، حذف…).

المتحكّم (Controller)

الجهة التي تحدد غرض ووسيلة المعالجة (عادةً المقر الرئيسي أو الشركة التابعة المعنية).

المعالج (Processor)

جهة تعالج البيانات نيابةً عن المتحكّم (مثل مزوّد الحوسبة السحابية).

مسؤول حماية البيانات DPO

مسؤول مستقل للإشراف على الامتثال والتواصل مع الجهات الرقابية.

صاحب البيانات

الفرد الذي تتعلق به البيانات الشخصية.

4. مبادئ حماية البيانات

تلتزم المجموعة بالمبادئ المنصوص عليها في المادة 5 من GDPR وما يعادلها في PDPL/PDPA:

  1. المشروعية والعدل والشفافية
  2. تحديد الأغراض
  3. تقليل البيانات
  4. الدقة
  5. الحد من التخزين
  6. النزاهة والسرّية (الأمن)
  7. المساءلة
5. الأدوار والمسؤوليات

 

المسؤوليات الأساسية

مجلس الإدارة/اللجنة التنفيذية

اعتماد السياسة وتوفير الموارد وتعزيز ثقافة حماية البيانات.

DPO

الإرشاد والمراقبة والتدريب وإجراء تقييمات الأثر والتواصل مع الجهات الرقابية.

رؤساء الوحدات/المديرون

تطبيق الضوابط وضمان الامتثال المحلي.

تقنية المعلومات والأمن

تنفيذ الضمانات التقنية (تشفير، تحكم بالوصول، نسخ احتياطي).

الموارد البشرية

إدراج بنود حماية البيانات في العقود والاستجابة لحقوق الأفراد.

جميع الموظفين والمتعاقدين

الالتزام بالسياسة، استكمال التدريب السنوي، والإبلاغ عن الحوادث فورًا.

المعالِجون الخارجيون

الامتثال للعقود الخاصة بالأمن والسرّية والإخطار عن الاختراقات.

6. أسس المعالجة القانونية

يشترط وجود أساس واحد على الأقل، مثل:

  • ضرورة التعاقد.
  • التزام قانوني.
  • المصلحة المشروعة (بعد موازنة الحقوق).
  • الموافقة (واضحة وقابلة للسحب).
  • حماية المصالح الحيوية أو المصلحة العامة.
7. حقوق أصحاب البيانات

نوفر الحقوق التالية ونستجيب خلال 30 يومًا: الوصول، التصحيح، الحذف، التقييد، النقل، الاعتراض، وسحب الموافقة.

8. الحماية بالتصميم والإعدادات الافتراضية
  • إجراء تقييم أثر حماية البيانات للمشاريع عالية المخاطر.
  • اعتماد إعدادات افتراضية صديقة للخصوصية وتقليل الحقول.
  • استخدام التمويه أو إخفاء الهوية حيثما أمكن.
  •  
9. تدابير الأمن المعلوماتي
  1. ضوابط تقنية: جدران نار، تشفير، مصادقة متعددة العوامل، اختبار اختراق.
  2. ضوابط تنظيمية: صلاحيات مبنية على الأدوار، سجل الزوار، تدقيق المورّدين.
  3. مراقبة مركزية وسجلات احتفاظ ≥ 12 شهرًا.
  4. نسخ احتياطي يومي مُشفّر مع اختبارات ربع سنوية لخطة التعافي.
10. نقل البيانات عبر الحدود

نستخدم البنود التعاقدية القياسية أو اتفاقيات النقل الداخلية لضمان مستوى حماية مكافئ عند نقل البيانات خارج المنطقة الاقتصادية الأوروبية، أو الإمارات، أو تايلند.

11. إدارة الأطراف الثالثة
  • فحص أمني وخصوصي قبل التعاقد.
  • اتفاقيات معالجة بيانات إلزامية تتضمن إشعار اختراق ≤ 72 ساعة.
  • سجل للمورّدين يُراجع سنويًا.
12. الاستجابة لحوادث الاختراق
  1. الإبلاغ الفوري إلى DPO (خلال ساعتين).
  2. تصنيف الحادث واحتواؤه واستعادة الأنظمة.
  3. إخطار الجهات الرقابية خلال 72 ساعة حيثما ينطبق.
  4. إخطار الأفراد إذا كان الخطر مرتفعًا.
  5. مراجعة ما بعد الحادث.
13. الاحتفاظ والتخلص من البيانات
  • الاحتفاظ بالبيانات للمدة الضرورية فقط وفق جدول الاحتفاظ.
  • التخلص الآمن (تمزيق، محو تشفيري، إخفاء الهوية).
14. التدريب والتوعية
  • تدريب إلزامي عند الالتحاق وتجديد سنوي بدرجة نجاح ≥ 80 ٪.
  • محاكاة تصيّد ربع سنوية بتقرير للمجلس.
15. السجلات والتدقيق
  • الاحتفاظ بسجلات أنشطة المعالجة (RoPA).
  • تدقيق داخلي سنوي وخارجي كل 3 سنوات.
16. عدم الامتثال والعقوبات

قد يؤدي خرق السياسة إلى إجراءات تأديبية حتى الفصل أو إنهاء العقد.

17. مراجعة السياسة

تُراجع سنويًا أو عند تغييرات جوهرية. المراجعة المقبلة: الربع الثالث 2026.

18. التواصل

مسؤول حماية البيانات (DPO)

البريد الإلكتروني: info@optimum‑ihg.ae