تقوم شركة HairNeva للخدمات الصحية بحفظ وإتلاف البيانات الشخصية وفقًا للمبادئ والأحكام المنصوص عليها في سياسة حفظ وإتلاف البيانات الشخصية هذه، والمعدة وفقًا للدستور، وقانون حماية البيانات الشخصية رقم 6698، واللائحة الخاصة بحذف أو إتلاف أو جعل البيانات مجهولة الهوية، وغيرها من اللوائح ذات الصلة.
تهدف هذه السياسة إلى تحديد المبادئ العامة لحفظ وإتلاف البيانات الشخصية التي تعالجها الشركة، وكذلك لضمان الامتثال للالتزامات القانونية.
الموافقة الصريحة: الموافقة المقدمة بحرية بناءً على الإحاطة بالمعلومات في مسألة محددة.
فئة المستلمين: الفئة من الأشخاص الطبيعيين أو الاعتباريين الذين تُنقل إليهم البيانات الشخصية.
إخفاء الهوية: عملية تعديل البيانات الشخصية بحيث لا يمكن ربطها بأي شخص محدد أو قابل للتحديد.
المستخدم المصرح له: الأشخاص الذين يعالجون البيانات الشخصية داخل هيكل الشركة أو بناءً على تفويض وتعليمات من المسؤول عن البيانات، باستثناء أولئك المسؤولين فقط عن التخزين الفني أو النسخ الاحتياطي.
الإتلاف: حذف أو تدمير أو جعل البيانات الشخصية مجهولة الهوية.
البيانات الشخصية: أي معلومات تتعلق بشخص طبيعي محدد أو قابل للتحديد (مثل الاسم، عنوان البريد الإلكتروني، رقم الهاتف، تاريخ الميلاد، رقم الحساب المصرفي، إلخ).
صاحب البيانات: الشخص الطبيعي الذي تتم معالجة بياناته الشخصية.
معالجة البيانات الشخصية: أي عملية تُجرى على البيانات الشخصية، بما في ذلك جمعها أو تسجيلها أو تخزينها أو تعديلها أو نقلها أو حذفها.
البيانات الحساسة: البيانات المتعلقة بالأصل العرقي أو الإثني، أو الآراء السياسية، أو المعتقدات الدينية أو الفلسفية، أو العضوية في النقابات، أو الحالة الصحية، أو الحياة الجنسية، أو السجل الجنائي، أو البيانات البيومترية أو الجينية.
الإتلاف الدوري: عملية حذف أو تدمير أو إخفاء الهوية تُنفذ بشكل دوري عندما تنتفي أسباب المعالجة.
بيئات السجلات المشمولة بالسياسة
تشمل أنشطة معالجة البيانات جميع البيانات الشخصية، سواء كانت في شكل ورقي أو رقمي.
تحتفظ الشركة بالبيانات الشخصية في البيئات التالية:
- أجهزة الكمبيوتر والبريد الإلكتروني الخاص بالشركة
- أجهزة الحاسوب المكتبية والأجهزة المحمولة المخصصة للموظفين
- الخوادم ومناطق النسخ الاحتياطي
- الملفات الورقية والسجلات وأدلة الزوار
- وسائط التخزين المحمولة (CD، DVD، USB، الأقراص الصلبة الخارجية)
- المعدات المكتبية مثل الطابعات وآلات النسخ
أسباب حفظ وإتلاف البيانات الشخصية
تسترشد الشركة بالمبادئ التالية عند معالجة البيانات:
- الامتثال للقانون وحسن النية
- دقة البيانات وتحديثها عند الحاجة
- المعالجة لأغراض محددة وواضحة ومشروعة
- التناسب والملاءمة مع الغرض من المعالجة
- الاحتفاظ بالبيانات فقط خلال الفترة اللازمة أو التي يفرضها القانون
تُحفظ البيانات الشخصية وتُستخدم وفقًا للأغراض القانونية.
وعندما تنتفي أسباب المعالجة، تُحذف البيانات تلقائيًا أو بناءً على طلب صاحبها.
تشمل الأسس القانونية للمعالجة:
- الموافقة الصريحة من صاحب البيانات
- الالتزام القانوني
- حماية الحياة أو السلامة الجسدية
- تنفيذ أو إبرام عقد
- البيانات التي جعلها صاحبها علنية
- حماية أو إقامة حق قانوني
حذف أو إتلاف أو إخفاء هوية البيانات الشخصية
تُحذف أو تُتلف أو تُزال هوية البيانات الشخصية من قبل الشركة في الحالات التالية:
- تعديل أو إلغاء القوانين التي كانت أساسًا لمعالجة البيانات؛
- زوال الغرض الذي استندت إليه عملية المعالجة أو التخزين؛
- في الحالات التي تعتمد فيها المعالجة فقط على موافقة صريحة، وسحب الشخص موافقته؛
- انتهاء فترة الاحتفاظ القانونية وعدم وجود أي مبرر قانوني للاحتفاظ بالبيانات لفترة أطول.
ما لم تقرر هيئة حماية البيانات الشخصية خلاف ذلك، تختار الشركة الطريقة المناسبة — الحذف أو الإتلاف أو إخفاء الهوية — وفقًا للإمكانات التقنية وتكلفة التنفيذ.
في حال طلب صاحب البيانات، تشرح الشركة سبب اختيار الطريقة المناسبة. ويتم اتخاذ جميع التدابير التقنية والإدارية اللازمة في كل عملية.
التدابير التقنية والإدارية المتخذة
وفقًا للمادة 12 من قانون حماية البيانات الشخصية واللوائح ذات الصلة والمبادئ العامة وقرارات الهيئة المختصة، تعتمد الشركة التدابير التقنية والإدارية التالية، مع مراعاة الإمكانات التكنولوجية وتكاليف التطبيق:
- تحديد البرامج والمعدات اللازمة، واستخدام كلمات مرور قوية على أجهزة الكمبيوتر وحسابات البريد الإلكتروني.
- تدريب الموظفين على حماية معلومات العملاء، وتحديد مسؤولياتهم في العقود (اتفاقيات السرية). وتستمر هذه الالتزامات بعد انتهاء الخدمة.
- إنشاء بنية تحتية مناسبة لنسخ البيانات احتياطيًا.
- تحديد الموظفين المخولين بالوصول إلى البيانات.
- لا تُقدّم ملفات ومعلومات العملاء إلا إلى أصحابها، أو أقاربهم المفوضين كتابيًا، أو الجهات الحكومية المختصة، أو السلطات القضائية عند الحاجة.
- قبل بدء أي معالجة للبيانات، يتم تنفيذ التزام الإخطار لأصحاب البيانات.
- إعداد سجل لمعالجة البيانات الشخصية.
فترات الاحتفاظ والإتلاف
تحتفظ الشركة بالبيانات الشخصية فقط للفترة التي تقتضيها القوانين أو الضرورة لتحقيق أغراض المعالجة، وبعد انتهاء هذه الفترات تُتلف البيانات.
إذا طلب صاحب البيانات حذف بياناته الشخصية:
- إذا انتهت جميع أسباب المعالجة:
تستجيب الشركة للطلب خلال ثلاثين (30) يومًا كحد أقصى وتبلغ صاحب البيانات، وإذا تم نقل البيانات إلى أطراف أخرى، يتم إخطارهم لاتخاذ الإجراءات اللازمة.
- إذا لم تنتهِ جميع أسباب المعالجة:
يمكن للشركة رفض الطلب مع توضيح السبب، وفقًا للمادة 13، الفقرة 3 من قانون حماية البيانات، وتبلغ صاحب البيانات بالرفض كتابة أو إلكترونيًا خلال ثلاثين (30) يومًا كحد أقصى.
الإتلاف الدوري
تُتلف البيانات الشخصية في أول عملية إتلاف دورية بعد تاريخ ظهور الالتزام بالإتلاف.
وفي هذا الإطار، تُنفذ عمليات الإتلاف أو الحذف أو إخفاء الهوية كل ستة أشهر
| مدة الاحتفاظ | مدة الإتلاف | |
| إعداد العقود | 10 سنوات بعد انتهاء العقد | خلال أول فترة إتلاف دورية بعد انتهاء مدة الاحتفاظ |
| تنفيذ عمليات الموارد البشرية | 10 سنوات بعد انتهاء النشاط | خلال أول فترة إتلاف دورية بعد انتهاء مدة الاحتفاظ |
| إدارة عمليات الوصول إلى الأجهزة والبرامج | 5 سنوات | خلال أول فترة إتلاف دورية بعد انتهاء مدة الاحتفاظ |
| تسجيل الزوار والمشاركين في الاجتماعات | 5 سنوات | خلال أول فترة إتلاف دورية بعد انتهاء مدة الاحتفاظ |
| تسجيل البيانات الصحية الشخصية | وفق المدة المحددة في القوانين المعمول بها | خلال أول فترة إتلاف دورية بعد انتهاء مدة الاحتفاظ |
| بيانات الهوية | وفق المدة المحددة في القوانين المعمول بها | خلال أول فترة إتلاف دورية بعد انتهاء مدة الاحتفاظ |
| تسجيلات الكاميرات | تُحفظ لمدة لا تقل عن شهرين وفقًا للائحة المستشفيات الخاصة | خلال أول فترة إتلاف دورية بعد انتهاء مدة الاحتفاظ |