اللائحة العامة لحماية البيانات

الجزء أ: عام

قابلية التطبيق

هذه الوثيقة هي النسخة التشغيلية الحالية لسياسة الامتثال للقانون العام لحماية البيانات (GDPR) اعتبارًا من 25 مايو 2021 وتنطبق على أنشطة InfoBytes Daily التي تتكون من الكيان التالي.

2 الطريق الدولي، راي بروك، نيويورك 10573، الولايات المتحدة الأمريكية

مقدمة

يتمثل النشاط الأساسي لـ InfoBytes Daily في تقديم الدعم لعملائها من خلال جذب عملاء محتملين فعالين من الأسواق المستهدفة.

يتم توليد العملاء المحتملين من خلال أبحاث السوق الذكية التي تجمع البيانات ذات الصلة لتحديد نية الشراء الموثوقة للشركات من خلال قنوات مختلفة بما في ذلك من خلال شركاء الأعمال الذين يستخدمون التكنولوجيا ذات الصلة في التسويق عبر وسائل التواصل الاجتماعي والتسويق عبر الإنترنت والتسويق عبر البريد الإلكتروني والتسويق عبر الهاتف.

في عملية هذه الأنشطة، تعمل InfoBytes Daily كوسيط يضيف قيمة إلى سلسلة التسويق B2B. يتم توفير معلومات الحملة من قبل العملاء والتي يتم ضبطها وتحويلها إلى مواد حملة لتوزيعها على مساحة السوق المحتملة.

يتم التوزيع على العملاء المستهدفين النهائيين من خلال وضع مواد الحملة في الوسائط ذات الصلة من خلال ناشرين خارجيين يقومون بإنشاء عملاء متوقعين. يتم إنشاء جزء من العملاء المتوقعين من خلال نشاط النشر الداخلي واستخدام أدوات تسويق نية الشركة المبتكرة التي طورها فريق البحث والتطوير في InfoBytes Daily.

تتم تصفية العملاء المحتملين الذين يولدهم الناشرون بذكاء لتحسين جودتهم وتحويلهم إلى أهداف تسويقية قابلة للتنفيذ قبل تمريرها إلى العملاء.

قامت InfoBytes Daily بتطوير منتجات وعمليات وأنظمة توليد معلومات خاصة تتضمن تطوير بائعين موثوقين وقوى عاملة مدربة، والتي تعكس معًا عرض القيمة الذي تقدمه InfoBytes Daily إلى النظام البيئي للتسويق B2B في جميع أنحاء العالم. إن الحفاظ على هذه الخبرة ورعايتها واستخدامها لاستغلال الفرص التجارية يمثل مصلحة مشروعة لـ InfoBytes Daily.

تعلن مدونة الامتثال للقانون العام لحماية البيانات التي اعتمدتها InfoBytes Daily أن InfoBytes Daily ملتزمة بمفهوم "الخصوصية كحق أساسي لمواطن في مجتمع ديمقراطي" في جميع أنحاء العالم، وبحسن نية، يجب عليها تنفيذ جميع مبادئ الخصوصية المنصوص عليها بموجب القانون العام لحماية البيانات حيث إنه قابل للتطبيق.

ومع ذلك، تكشف InfoBytes Daily أنه من مصلحتها المشروعة أن تقوم بعملية تجارية مشروعة في جميع أنحاء العالم كوسيط لسوق B2B، وأنه من الحق الديمقراطي لشركة InfoBytes Daily أن تواصل أعمالها بحسن نية دون أن تتعارض مع الحقوق. الأشخاص الطبيعيين الذين يتم السعي لحماية خصوصيتهم بموجب اللائحة العامة لحماية البيانات.

تكشف InfoBytes Daily أيضًا أن نموذج أعمالها يتطلب جمع بيانات الكيانات التجارية التي تقع خارج نطاق اللائحة العامة لحماية البيانات وبيانات الاتصال التجارية فقط، وهي ليست بيانات شخصية ولكنها قد تتضمن معلومات تعريف شخصية جزئيًا ولكنها لا تتضمن بيانات شخصية للأطفال. والبيانات الشخصية المصنفة على أنها "فئات خاصة" بموجب اللائحة العامة لحماية البيانات.

التعرض للناتج المحلي الإجمالي

إن InfoBytes Daily Group هي في الأساس "وسيط تسويق B2B" يعمل في جميع أنحاء العالم لتوليد عملاء محتملين للتسويق وخدمة العملاء في العديد من البلدان. لا تعمل InfoBytes Daily في السوق الاستهلاكية، وبالتالي لا تقوم بشكل مباشر أو غير مباشر بجمع المعلومات الشخصية لأصحاب البيانات في الاتحاد الأوروبي. البيانات التي تجمعها InfoBytes Daily تكون عمومًا ضمن فئة بيانات الاتصال التجارية لموظفي الشركة والتي تحتوي، من بين أمور أخرى، على الاسم والبريد الإلكتروني للعمل ورقم هاتف العمل.

يتم إنشاء جزء من عملاء التسويق B2B في دول الاتحاد الأوروبي والمملكة المتحدة. قد يستفيد أيضًا بعض العملاء الموجودين في الاتحاد الأوروبي/المملكة المتحدة من خدمات InfoBytes Daily. في الوقت الحالي، تتم غالبية التفاعلات مع العملاء في الولايات المتحدة، كما تتم غالبية التفاعلات مع شركاء الأعمال المحتملين في الهند.

وبالتالي، يتم التعرف على التعرض للقانون العام لحماية البيانات (GDPR) الخاص بـ InfoBytes Daily عندما يتم جمع بيانات الاتصال التجارية من مؤسسات الأعمال العاملة في مناطق الاتحاد الأوروبي/المملكة المتحدة.

نهج الامتثال للقانون العام لحماية البيانات

من أجل تمكين تطبيق معيار صارم قدر الإمكان لمعالجة البيانات المعرضة لمخاطر الامتثال للقانون العام لحماية البيانات، تتبنى InfoBytes Daily سياسة للتعامل مع البيانات الحساسة للائحة العامة لحماية البيانات (GSD) باعتبارها "بيانات حساسة" تتدفق عبر موارد InfoBytes Daily بواسطة وضع علامة على البيانات الواردة بعلامة مناسبة لتصنيفها على أنها GSD حيثما أمكن ذلك.

يتم أخذ حماية خصوصية أصحاب البيانات وأمن المعلومات المتعلقة بحماية الخصوصية فيما يتعلق بالبيانات الموسومة بـ GSD في الاعتبار عند تصميم هيكل الدعم.

على الرغم من أن البيانات تتم معالجتها في مواقع محددة وأن البنية التحتية التقنية لمعالجة GSD موجودة في مثل هذه المواقع المحددة، فقد تم إنشاء وعي بالقانون العام لحماية البيانات (GDPR) على مستوى المؤسسة وسيستمر متابعته بحيث تنطبق مبادئ قواعد السلوك الخاصة باللائحة العامة لحماية البيانات (GDPR) على الجميع منظمة تتجاوز معالجة GSD لتشمل وظائف التسويق والمالية والإدارية التي قد تكون موجودة في مواقع مختلفة مع البنية التحتية الفنية والإدارية الخاصة بها.

من أجل التنفيذ الفعال لأمن البنية التحتية لمعالجة البيانات بأكملها، اعتمدت الشركة سياسة شاملة لأمن المعلومات تتضمن سياسات فرعية متعددة فيما يتعلق بالوصول إلى البيانات ومعالجة التخزين والنقل وما إلى ذلك.

التزام الخصوصية

تدرك InfoBytes Daily أن "الخصوصية" هي حق ديمقراطي مهم في المجتمع المدني. باعتبارها كيانًا مؤسسيًا مسؤولًا، تلتزم InfoBytes Daily بحماية خصوصية جميع الأشخاص الطبيعيين الأفراد الذين تأتي بياناتهم الشخصية في مستودع بيانات الشركة للمعالجة.

نظرًا لوجود العملاء في الاتحاد الأوروبي/المملكة المتحدة ومراقبة أنشطة موظفي الشركات المقيمين في الاتحاد الأوروبي/المملكة المتحدة، اختارت InfoBytes Daily اعتماد معايير الامتثال للقانون العام لحماية البيانات من أجل حماية خصوصية جميع الأشخاص الطبيعيين الذين قد يتفاعلون مع المجموعة حتى عندما يكون هذا التفاعل فقط بصفتهم موظفين في كيانات أعمال مختلفة يسعون لتحقيق أهداف الأعمال الخاصة بمؤسسات الأعمال الخاصة بهم.

المصلحة المشروعة

يتضمن النشاط الأساسي لـ InfoBytes Daily معالجة البيانات المتعلقة بشراء منتجات مختلفة لاستخدام الشركات. يشمل نطاق النشاط التجميع والتجميع والتحليل والتجزئة ومراقبة النوايا. في عملية هذه المعالجة، تضيف InfoBytes Daily قيمة إلى البيانات الأولية التي يتم جمعها من بيئة الأعمال وتحولها إلى معلومات ذات قيمة مضافة تساعد في اتخاذ القرارات التجارية.

يتم التعرف على البيانات الأولية التي تم جمعها على أنها بيانات تخص صاحب البيانات والتي تنطبق عليها حقوق صاحب البيانات بموجب اللائحة العامة لحماية البيانات. تنشأ القيمة المضافة إلى البيانات التي تحدث أثناء العملية من إمكانات معالجة البيانات الخاصة بـ InfoBytes Daily والتي تتمتع فيها InfoBytes Daily بمستوى معين من المطالبة بحقوق الملكية الفكرية.

إذا تم استخدام اسم مستعار لأي بيانات، فسيتم اعتبار البيانات ذات الاسم المستعار ذات القيمة المضافة بمثابة بيانات يكون لـ InfoBytes Daily مصلحة مشروعة في استخدامها لإجراء مزيد من البحث. تخضع البيانات غير المستعارة، حتى في حالة القيمة المضافة، لممارسة حقوق صاحب البيانات مثل الوصول والتصحيح والقيود وقابلية النقل والمحو. لن يتم تصنيف البيانات ذات الأسماء المستعارة، إن وجدت، على أنها حساسة للقانون العام لحماية البيانات (GDPR).

تمتلك InfoBytes Daily مصلحة تجارية مشروعة كما هو معترف به بموجب المادة 6 (1) (و) من لوائح اللائحة العامة لحماية البيانات في الاتحاد الأوروبي، في جمع ومعالجة البيانات المتعلقة بالأعمال مثل البيانات الرسمية وبيانات الاتصال التجارية لمسؤولي صنع القرار في الكيانات التجارية

أيضًا، تتضمن أعمال InfoBytes Daily عمليات داخل دول الاتحاد الأوروبي وخارجها، وبالتالي فهي معرضة للالتزامات القانونية لمختلف البلدان المتعلقة بمعالجة البيانات بالإضافة إلى القوانين الأخرى المطبقة على الأعمال بشكل عام والأنشطة المتعلقة بتكنولوجيا المعلومات بشكل خاص، على النحو المنصوص عليه في المادة 6(1)(ج) من لوائح اللائحة العامة لحماية البيانات في الاتحاد الأوروبي.

علاوة على ذلك، اعتمدت InfoBytes Daily ممارسات تجارية للمعالجة القانونية تتضمن مبادئ القانون العام لحماية البيانات في الاتحاد الأوروبي كما هو منصوص عليه في المادة 6، بما في ذلك الحصول على موافقة صريحة مستنيرة عند الاقتضاء والالتزام بمتطلبات الالتزامات التعاقدية مع أصحاب البيانات إن وجدت.

وبالتالي، يتم تنظيم سياسات InfoBytes Daily بشأن الخصوصية وحماية البيانات باستخدام ضوابط محددة للخصوصية وأمن المعلومات التي تعالج مسألة تحديد البيانات الحساسة للقانون العام لحماية البيانات (GDPR) في مرحلة أصلها والدخول إلى نظام InfoBytes Daily ووضع علامات عليها طوال دورة حياتها يعالج.

توسيع نطاق الامتثال للنظام البيئي لمعالجة البيانات

علاوة على ذلك، مع الحفاظ على القصد التشريعي المتمثل في حماية الحق الأساسي في خصوصية الأفراد، المنصوص عليه في القانون العام لحماية البيانات في الاتحاد الأوروبي، يتم الحفاظ على الضوابط الفنية والتنظيمية/الإدارية المناسبة لضمان أن جميع شركاء الأعمال في المراحل النهائية الذين قد يكون لديهم إمكانية الوصول إلى البيانات الحساسة في القانون العام لحماية البيانات للمعالجة نيابة عن إن InfoBytes Daily متوافقة أيضًا مع اللائحة العامة لحماية البيانات.

تدرك InfoBytes Daily أنه في معظم أجزاء عملياتها، فهي ليست "وحدة تحكم في البيانات" ولكنها "معالجة بيانات" لغرض اللائحة العامة لحماية البيانات. ويجوز لها أن تتولى دور "المراقب المشترك" عندما تستخدم خدمات المقاولين من الباطن في أي جزء من عملية المعالجة.

مع وضع هذه الأدوار في الاعتبار، تم تصميم سياسات وضوابط InfoBytes Daily لضمان الامتثال للقانون العام لحماية البيانات، بما في ذلك الحفاظ على الضوابط الفنية والتنظيمية/الإدارية المناسبة لتبقى على اطلاع على النحو الواجب بشأن أنشطة الامتثال للائحة العامة لحماية البيانات لشركائها التجاريين وكذلك مشاركة معلومات InfoBytes Daily الخاصة بهم. تدابير الامتثال للقانون العام لحماية البيانات (GDPR) حسب الضرورة.

حدود هذه الوثيقة

توفر الفقرات التالية السياسة الشاملة لـ InfoBytes Daily للامتثال للقانون العام لحماية البيانات على مستوى الشركة مع تسليط الضوء على نهج InfoBytes Daily بشأن تحقيق مستوى مُرضي من الامتثال لمبادئ القانون العام لحماية البيانات في عملياتها.

تهدف وثيقة السياسة هذه إلى المشاركة المحدودة مع أصحاب المصلحة بما في ذلك الكيانات التجارية خارج InfoBytes Daily، وبالتالي تستبعد معلومات الملكية المتعلقة بالمعالجة حيث يكون ذلك ضروريًا لحماية الملكية الفكرية للمنظمة.

ستتم معالجة أي طلب للكشف عن معلومات تتجاوز ما هو مذكور هنا بموجب سياسة الكشف عن البيانات الخاصة بـ InfoBytes Daily وقد يتم توجيه هذه الطلبات إلى مدير الخصوصية من خلال بريد إلكتروني موثق وغير حسن السمعة.

الجزء ب: الخطوط العريضة للسياسة المحددة

1. المسؤولية المحددة

قامت InfoBytes Daily بتعيين مدير الخصوصية الذي سيكون جهة الاتصال للتعامل مع جميع الطلبات والشكاوى الخاصة بموضوع البيانات. بالنظر إلى المستوى الحالي من التعرض للمخاطر للبيانات الحساسة للقانون العام لحماية البيانات في InfoBytes Daily، يعتبر أن النشاط الأساسي لـ InfoBytes Daily لا يتضمن مراقبة واسعة النطاق ومنهجية لموضوعات بيانات الاتحاد الأوروبي ولا تقديم أي خدمات للأفراد في الاتحاد الأوروبي وبالتالي لا يوجد شرط لتعيين "مسؤول حماية البيانات" على النحو المنصوص عليه في القانون العام لحماية البيانات.

ستكون لجنة حوكمة أمن المعلومات (ISGC) مسؤولة بشكل عام عن أمن المعلومات بما في ذلك الامتثال للقانون العام لحماية البيانات. ستكون هيئة صنع السياسات العليا في InfoBytes Daily مسؤولة عن وضع جميع سياسات أمن المعلومات بما في ذلك سياسة القانون العام لحماية البيانات (GDPR) وستراقب الحاجة إلى تعيين أي شخص أو مستشار كمسؤول حماية البيانات في الوقت المناسب.

2. تصنيف البيانات

لا تشارك InfoBytes Daily في التسويق لأي أشخاص طبيعيين، وبالتالي لا تقوم عادةً بجمع بيانات التعريف الشخصية التي تخضع للأحكام التنظيمية للقانون العام لحماية البيانات. ومع ذلك، يتم تصنيف جميع البيانات الشخصية التي يمكن تحديدها مثل عنوان البريد الإلكتروني ورقم الهاتف لموظف في إحدى المؤسسات على أنها "حساسة للقانون العام لحماية البيانات" إذا كانت وحدة الأعمال أو الموظف موجودًا بمفرده في الاتحاد الأوروبي/المملكة المتحدة.

وبناءً على ذلك، يتم تحديد مجموعة بيانات الاتصال التجارية بأكملها المرتبطة بعنوان الموقع الفعلي في الاتحاد الأوروبي/المملكة المتحدة على أنها بيانات حساسة للقانون العام لحماية البيانات (GSD) ويتم وضع علامة عليها أثناء المعالجة الإضافية داخل المؤسسة.

في حالة عدم وجود معلومات الموقع الفعلي لصاحب البيانات، يعتبر الموقع الفعلي لمؤسسة الأعمال المرتبطة ذا صلة.

3. تدقيق البيانات

مرة واحدة قبل 25 مايو 2018 وبعد ذلك على فترات شهرية أو كما هو محدد بواسطة ISGC، سيتم التحقق من مجموعات البيانات المخزنة لتحديد موقع أي GSD والتحقق من متطلبات الامتثال المرتبطة بها مثل ما إذا كانت البيانات بحاجة إلى أرشفة أو حذف أو غير ذلك مؤمنة خصيصا.

سيتم التوصية بحذف أي مجموعة بيانات GSD غير مصحوبة بـ "موافقة" أو "مذكرة مصلحة مشروعة" مناسبة.

عند التأكيد، سيتم حذف هذه البيانات بشكل قانوني.

4. تقييم تأثير اللائحة العامة لحماية البيانات

تم إجراء تقييم فجوة اللائحة العامة لحماية البيانات (GDPR) وتنفيذ الإجراءات التصحيحية على النحو المطلوب قبل 25 مايو 2018. بعد 25 مايو 2018، سيتم إجراء تقييم تأثير حماية البيانات (DPIA) كلما تم تنفيذ مشروع جديد مهم عندما تحدد ISGC ضرورة.

5. سياسة قبول الأعمال الجديدة

في 25 مايو 2018 أو بعده، ستخضع جميع التزامات الأعمال الجديدة التي تتضمن معالجة البيانات لموافقة ISGC مع مذكرة تقييم تأثير اللائحة العامة لحماية البيانات المحددة المقدمة من DPO بالتشاور مع الفريق الفني المسؤول عن المعالجة.

6. سياسة تخزين بيانات GSD

يجب أن يتم تخزين GSD في الأنظمة التي لا يمكن الوصول إليها إلا من قبل الأشخاص المعينين على أساس "الحاجة إلى المعرفة" الصارم.

يجب أن يتم وضع علامة على كل مجموعة GSD مع مراقب البيانات الذي تم الحصول عليها منه والذي يكون مسؤولاً عن جمع البيانات بموجب الموافقة أو العقد.

يجب أيضًا وضع علامة على أي قيود محددة مرتبطة بمجموعة البيانات هذه مع مجموعة البيانات.

يجب أن يمكّن تخزين البيانات من تحديد موقع مجموعة البيانات الفردية ومعالجتها لتنفيذ حقوق أي صاحب بيانات مثل طلب تصحيح البيانات، أو إمكانية نقل البيانات، أو محو البيانات، أو الوصول إلى البيانات في أي وقت خلال دورة حياتها.

7. سياسة الوصول إلى بيانات GSD

يجب الوصول إلى GSD وفقًا لسياسة التحكم في الوصول التي تضمن أن كل مجموعة بيانات GSD يجب أن يكون لها معلمات وصول محددة تحدد من يمكنه الوصول إلى البيانات وكيفية الوصول إلى البيانات. يُسمح فقط لأولئك الذين تم تعيينهم كقوة عاملة في GSD بالوصول إلى مجموعة بيانات GSD.

يجب تحديد استخدام معلمات الوصول مثل كلمات المرور بدرجة من التعقيد والتفرد كما قد يكون مطلوبًا، ويجب استكمالها بعلامات التشفير ومعرف الجهاز بحيث لا يمكن الوصول إلى بيانات GSD إلا من أجهزة محددة تم تعيينها لقوى العمل GSD المعتمدة.

عندما يكون تخزين البيانات في السحابة، يجب استخدام الخدمات السحابية المتوافقة مع اللائحة العامة لحماية البيانات (GDPR) فقط جنبًا إلى جنب مع الضوابط الإضافية التي قد تكون مطلوبة لضمان حماية البيانات أثناء التخزين والنقل من الوصول غير المصرح به.

يجب أن يتم تخزين GSD الخاص بالمشروع بطريقة تمكن الموظفين المرتبطين بمشروع معين فقط من الوصول إلى البيانات. يجب تنظيم الوصول عبر المشروعات على أساس الحاجة.

8. سياسة الاحتفاظ ببيانات GSD

يجب الاحتفاظ بـ GSD في بيئة عملية نشطة فقط لأدنى فترة مطلوبة للمعالجة. بعد ذلك، يجب أرشفة البيانات بشكل آمن وفقًا للمتطلبات المحددة تحت المصلحة المشروعة، على سبيل المثال حتى اكتمال دورة فوترة المشروع.

وبعد ذلك، يجب الاستمرار في حفظ البيانات في أرشفة آمنة أو تدميرها وفقًا لمتطلبات المصلحة المشروعة المحددة للشركة.

يجب إجراء مراجعة شهرية للبيانات المؤرشفة لتحديد البيانات التي لم تعد مطلوبة والتي يجب إحالتها إلى ISGC للحصول على تعليمات التخلص منها.

يجب أن تؤخذ الالتزامات القانونية المتعلقة بالاحتفاظ بالبيانات والتي قد تنشأ بسبب أي تشريعات متداخلة في الاعتبار عند تقييم المصلحة المشروعة.

9. سياسة الكشف عن بيانات GSD

عادةً ما يتم استلام أي طلب للإفصاح عن GSD فقط من مراقب البيانات المصدر.

من المسلم به أن الطلبات الواردة مباشرة من أصحاب البيانات تخضع لمخاطر التصيد الاحتيالي، ويجب إحالة هذه الطلبات إن وجدت إلى مراقب البيانات المقابل الذي قام بجمع البيانات من صاحب البيانات بموجب موافقة أو عقد قد يكون موجودًا بينهما.

يتم إرسال البيانات التي سيتم الكشف عنها فقط إلى مراقب البيانات لنقلها إلى صاحب البيانات بعد المصادقة بشكل صحيح على هوية ممثل مراقب البيانات الذي يقدم الطلب.

في الظروف الاستثنائية التي يلزم فيها الكشف عن البيانات مباشرة إما إلى صاحب البيانات أو ممثله المعتمد أو سلطة إنفاذ القانون، يجب ضمان المصادقة الكافية على هوية الشخص الذي يقدم الطلب.

يجب أن تتم الموافقة على جميع طلبات الكشف عن البيانات من قبل ISGC قبل إصدار البيانات، ويجب اعتبار الطلب، بالإضافة إلى وثائق التقييم، وثائق امتثال مطلوبة للقانون العام لحماية البيانات.

10. سياسة إدارة حوادث بيانات GSD

"الحادث" بموجب هذا القانون هو أي ملاحظة من شأنها أن تشير إلى انتهاك قانون الامتثال لـ GSD أو أي سياسات أو إجراءات بموجبه سواء كان هناك شك في تعرض أي بيانات للخطر أم لا.

يمكن استخدام سياسة المبلغين عن المخالفات لضمان الإبلاغ عن الحوادث على الفور من قبل أي مراقب سواء داخل الشركة أو خارجها.

يجب تسجيل أي حادث من هذا القبيل يصل إلى علم InfoBytes Daily في سجل إدارة حوادث GSD وإحالته إلى DPO لاتخاذ الإجراء الفوري.

يجب على مسؤول حماية البيانات مراجعة تقرير الحادث واتخاذ خطوات فورية لحل الحادث وكذلك إبلاغ الحادث إلى ISGC.

سوف يعقد ISGC اجتماعًا على وجه السرعة لتقييم الحادث لتحديد ما إذا كان ينطوي على أي خرق مشتبه به للبيانات. عند الضرورة، قد تأمر ISGC بإجراء تدقيق فني قانوني فوري لتقييم مخاطر الحادث. بناءً على تقييم المخاطر، تقرر ISGC الحاجة إلى اتخاذ مزيد من الإجراءات بما في ذلك إرسال إشعار خرق البيانات إلى مراقب البيانات المرتبط بالبيانات.

يعتبر أي حادث يتم فيه الوصول إلى GSD من قبل موظف آخر في المنظمة حادثًا أمنيًا وليس بالضرورة "خرقًا". ومع ذلك، يجب التحقيق في مثل هذه الحوادث لمعرفة سبب الوصول غير المصرح به، وإذا كان الوصول العرضي غير المقصود، فيمكن حله باتخاذ إجراء تأديبي داخلي مناسب وفقًا لسياسة الموارد البشرية. إذا لم يتم نقل البيانات أو الوصول إليها من قبل جهة خارجية، فقد يتم تصنيف الحادث على أنه حادث بيانات داخلي لا يصل إلى مستوى الاختراق.

في حالة معرفة أن الوصول أو البيانات المنقولة كانت في شكل مشفر وكانت في حالة لا يمكن للمستلم فك تشفيرها، مع مراعاة التحقيق الداخلي المناسب فيما يتعلق بأمان مفتاح فك التشفير المرتبط، فقد يتم تصنيف الوصول باعتباره حادثًا داخليًا للبيانات لا يرقى إلى مستوى الاختراق.

11. سياسة الإخطار بخرق بيانات GSD

حادثة "خرق البيانات" هي حادثة توصلت فيها InfoBytes Daily، بعد التحقيق اللازم، إلى علم أن الوصول إلى أي مجموعة بيانات محددة بموجب GSD قد تم اختراقه وأن كيانًا خارجيًا قد وصل إلى مجموعة GSD أو أرسلها.

يجب الإبلاغ عن حادثة خرق البيانات هذه على الفور إلى ISGC والتي يجب عليها دون مزيد من التأخير إخطار مراقب البيانات المرتبط بمجموعة البيانات بالإضافة إلى التفاصيل ذات الصلة بالحادث.

يجب أن يحدد هذا التقرير طبيعة ومدى الانتهاك، ووقت وتاريخ الانتهاك، وتفاصيل أصحاب البيانات المتأثرين، والإجراء المتخذ عند ملاحظة الانتهاك، وما إلى ذلك. وعند الضرورة، يمكن أيضًا الإبلاغ عن خرق البيانات إلى جهة إشرافية.

12. سياسة إدارة حقوق صاحب بيانات GSD

قام نظام معالجة البيانات InfoBytes Daily بدمج "الخصوصية والأمان حسب التصميم" لتمكين الامتثال لمتطلبات القانون العام لحماية البيانات (GDPR) خاصة فيما يتعلق بحقوق صاحب البيانات المنصوص عليها بموجب القانون العام لحماية البيانات (GDPR).

من أجل تلبية هذه الحقوق الخاصة بصاحب البيانات مثل "الوصول" و"التصحيح" و"المحو" و"قابلية النقل" والحق في فرض "القيود"، قامت InfoBytes Daily بتمكين أنظمة تخزين GSD والوصول إليها بطريقة يمكن استخراج مجموعة بيانات تنتمي إلى موضوع بيانات محدد بشكل منفصل ومعالجتها.

ولذلك فقد تم تصميم النظام ليكون متوافقًا مع متطلبات القانون العام لحماية البيانات (GDPR) الأكثر صرامة.

عندما يتم تلقي طلب لممارسة هذه الحقوق من صاحب البيانات، وفقًا لسياسة الكشف عن البيانات، يتم التحقق من صحة الطلب أولاً ثم في حالة استلام البيانات من مراقب البيانات، سيُطلب من مراقب البيانات تأكيد الكشف عن البيانات.

عادةً، تتم معالجة الطلب بالاتصال مع وحدة تحكم البيانات وإذا كان سيتم نقله، يتم إعادته إلى وحدة تحكم البيانات.

في الظروف الاستثنائية حيث يتعين على InfoBytes Daily التعامل مع طلب صاحب البيانات دون تعاون مراقب البيانات، سيتم اتخاذ الاحتياطات المناسبة لمنع الكشف غير المشروع لأنه سيكون من المصلحة المشروعة لـ InfoBytes Daily أن يتم تعويضها ضد أي كشف محتمل. الكشف الخاطئ.

13. سياسة نقل البيانات GSD

قد تتدفق بيانات GSD عادةً إلى النظام من خلال واجهة التطبيق (API). يتم الوصول إلى الواجهة من خلال نظام وصول آمن لكلمة المرور معزز بمصادقة العامل الثاني المناسبة حيث يتم تحديد مخاطر GSD كبيرة.

يتم نقل البيانات على أساس التشفير ويخضع لإدارة أمن النقل الذي يغطي نقاط الضعف المعروفة.

يتم تأمين التطبيق نفسه إلى جانب عناصر التخزين والمعالجة المتأصلة وواجهة برمجة التطبيقات (API) ضد الوصول غير المصرح به والهجمات الضارة بواسطة برنامج ضار مناسب ونظام إدارة الوصول الآمن

عندما يتم إرسال مجموعة GSD إلى العميل أو المقاول من الباطن أيضًا، تتم إدارة الإرسال من خلال قنوات الاتصال المشفرة إما من خلال واجهة برمجة التطبيقات أو البريد الإلكتروني المشفر.

14. سياسة الاستخدام التسويقي لشركة GSD

عندما تستخدم InfoBytes Daily GSD لأي غرض تسويقي إما عبر البريد الإلكتروني أو الاتصال الهاتفي أو غير ذلك، يتم الحرص على ضمان وجود موافقة أو عقد مناسب لتمكين هذا الاتصال.

تصر InfoBytes Daily أيضًا على أن شركائها، سواء من المولدين المحتملين أو المعالجين المتعاقدين من الباطن أو العملاء، لا يستخدمون GSD إلا وفقًا للأذونات المتاحة.

في حالة عدم توفر موافقة لا لبس فيها، لا يتم جمع بيانات الاتصال التجارية من المولدين المحتملين أو نقلها إلى العملاء أو معالجتها من خلال المقاولين من الباطن.

يتم قتل هذه البيانات في المقام الأول عندما تدخل نظام InfoBytes Daily ويتم تعريفها على أنها "GSD دون موافقة المعالجة المناسبة".

15. سياسة موافقة GSD

يجب قبول جميع المعلومات المصنفة على أنها GSD بحكم وجود صاحب البيانات في الاتحاد الأوروبي/المملكة المتحدة أو وجود صاحب العمل في الاتحاد الأوروبي/المملكة المتحدة فقط إذا كان صاحب البيانات قد قدم موافقة صريحة بناءً على التنسيق كما هو مطلوب بموجب اللائحة العامة لحماية البيانات.

في سيناريو ما قبل القانون العام لحماية البيانات، تم جمع هذه الموافقات بشكل عام بموجب مبادئ معالجة البيانات الشخصية والتي تضمنت إشعار الخصوصية. يشير إشعار الخصوصية هذا إلى المعلومات التي يتم جمعها، والغرض من التجميع، والوقت الذي سيتم الاحتفاظ بها، وكيف سيتم تأمينها، وما إذا كانت المعلومات دقيقة، وما إذا كان سيتم نقلها خارج الاتحاد الأوروبي للمعالجة، وما إلى ذلك. استندت بعض الموافقات إلى مبدأ "الاشتراك" كإعداد افتراضي.

بموجب اللائحة العامة لحماية البيانات، من الضروري أن يتم جمع البيانات الشخصية فقط على أساس الموافقة الصريحة حيث يكون "إلغاء الاشتراك" هو الخيار الافتراضي وفقط على أساس الإجراء الإيجابي الذي يشير إلى القبول، سيتم قبول الموافقة.

بالإضافة إلى ذلك، يجب أن يشير إشعار الخصوصية أيضًا إلى أن صاحب البيانات لديه حقوق معينة مثل "الحق في أن يتم إعلامك بهوية المعالجات النهائية"، و"الحق في الوصول والتصحيح"، و"الحق في قابلية النقل والمحو".

في ضوء المتطلبات الجديدة، تعتبر جميع الموافقات التي تم الحصول عليها بتنسيق ما قبل القانون العام لحماية البيانات (GDPR) غير صالحة وسيتم تجاهل هذه البيانات بواسطة InfoBytes Daily.

يجب على الناشرين الخارجيين الذين يقومون بإنشاء عملاء متوقعين لـ InfoBytes Daily التأكيد من خلال عقودهم على أنهم سيقدمون فقط العملاء المحتملين الذين تم إنشاؤهم بنموذج الموافقة الجديد في حالة وجود موضوع البيانات في الاتحاد الأوروبي/المملكة المتحدة.

16. سياسة التواصل مع أصحاب المصلحة في GSD

تعمل InfoBytes Daily من خلال العديد من المنظمات الخارجية التي تعد من أصحاب المصلحة في برنامج الامتثال لـ InfoBytes Daily الناتج المحلي الإجمالي. تشمل هذه المنظمات عملائها، والمولدين الرئيسيين، والمقاولين من الباطن، وما إلى ذلك.

من أجل الامتثال الفعال، لا ينبغي تبادل أي بيانات GSD في أي اتصال مع أصحاب المصلحة إلا من خلال النقل الآمن وإلى الممثلين المعتمدين فقط.

بينما يتم التحكم في الاتصال عبر واجهة برمجة التطبيقات (API) من خلال سياسة الوصول، فإن أي اتصال آخر عبر البريد الإلكتروني يجب التحكم فيه من خلال سياسة الاتصال عبر البريد الإلكتروني.

بشكل أساسي، يجب أن تحدد سياسة الاتصال عبر البريد الإلكتروني أن مشاركة أي معلومات تتعلق بالامتثال لـ GSD أو القانون العام لحماية البيانات (GDPR) مع أصحاب المصلحة يجب أن تتم فقط من خلال جهة اتصال تم إخطارها بعنوان البريد الإلكتروني الذي سيكون في معظم الحالات مسؤول حماية البيانات (DPO) للمؤسسة الأخرى، عند الضرورة، قد يتم تشفير اتصالات البريد الإلكتروني والمصادقة عليها مع التوقيع الرقمي.

17. سياسة تحديد المصالح المشروعة لشركة GSD

تدرك InfoBytes Daily أن بعض حقوق أصحاب البيانات مثل محو البيانات أو تصحيح البيانات قد تتعارض مع متطلبات المصلحة المشروعة لـ InfoBytes Daily أو قد تتعارض مع قوانين الاحتفاظ بالبيانات التي قد تكون قابلة للتطبيق على البيانات في ضوء الالتزامات التشريعية الأخرى.

في جميع حالات تنفيذ حقوق صاحب البيانات، ستقوم InfoBytes Daily بتقييم الطلب قبل اتخاذ أي إجراء آخر. في حالة إدراك InfoBytes Daily للحاجة إلى رفض الطلب أو تعديله للقبول، سيتم توثيق الأسباب وسيتم تطوير مذكرة المصلحة المشروعة لـ GSD بواسطة ISGC.

عندما لا تكون البيانات مطلوبة أن تكون نشطة، فقد يتم أرشفتها بشكل آمن حتى تنتهي المصلحة المشروعة.

يجب أن يتم نقل أسباب ممارسة حجة المصلحة المشروعة لمعالجة طلب صاحب البيانات إلى مراقب البيانات المسؤول عن صاحب البيانات للإرسال المستمر إلى صاحب البيانات.

18. سياسة إدارة الأفراد GSD

سيتم اعتبار GSD بمثابة مجموعة بيانات تتطلب اهتمامًا حصريًا وخاصة فيما يتعلق بأمن المعلومات أثناء وجودها في عهدة InfoBytes Daily.

وبالتالي، سيتم وضع علامة GSD ومعالجتها بشكل مناسب على أساس الحاجة إلى المعرفة من قبل مجموعة من الموظفين المدربين خصيصًا.

ستتم إدارة هؤلاء الموظفين والأنظمة التي سيتم فيها تخزين GSD والوصول إليها ومعالجتها بشكل آمن مع الأخذ في الاعتبار مستوى المخاطر المرتبطة بـ GSD.

يجب إدارة تعيين الأشخاص لمعالجة GSD وإزالتهم من خلال التدابير الأمنية المناسبة بما في ذلك مستوى أعلى من التحقق من الخلفية والتدريب وهويات الوصول المادي وسياسات العقوبات وما إلى ذلك.

تحتاج سياسات الموارد البشرية إلى الترقية بشكل مناسب للقوى العاملة في GSD حسب الاقتضاء.

19. سياسة الأسماء المستعارة لشركة GSD

ومن المسلم به أن الاسم المستعار هو استراتيجية للحد من المخاطر في معالجة GSD.

لا تعتبر البيانات الشخصية ذات الأسماء المستعارة "بيانات شخصية" لأغراض تنظيم القانون العام لحماية البيانات بشرط أن تكون عملية الأسماء المستعارة منظمة بشكل مناسب.

في ضوء المستوى الحالي لتعرض عملياتها لمخاطر اللائحة العامة لحماية البيانات؛ لم تعتبر InfoBytes Daily أنه من الضروري في الوقت الحالي استخدام الأسماء المستعارة كاستراتيجية لتخفيف المخاطر.

20. سياسة GSD DRP-BCP

تدرك InfoBytes Daily أهمية وجود خطة فعالة للتعافي من الكوارث واستمرارية الأعمال لعملياتها بما في ذلك العمليات التي تتضمن معالجة GSD.

ستحتفظ InfoBytes Daily بنسخة احتياطية كافية من بيانات GSD وقدرة معقولة على الحفاظ على استمرارية الأعمال في حالة حدوث أي طارئ.

21. سياسة توثيق الامتثال لـ GSD

يجب توثيق إجراءات الامتثال للقانون العام لحماية البيانات بحيث تكون متاحة للمراجعة. يجب الاحتفاظ بوثائق الامتثال لمدة لا تقل عن 6 سنوات منذ إنشائها.

في حالة كون أي مستند دليلاً محتملاً لمتطلبات إنفاذ القانون أو للدفاع عن المصلحة المشروعة لـ InfoBytes Daily، فسيتم الاحتفاظ بمثل هذا المستند طالما استمرت المتطلبات.

22. سياسة التدقيق الخاصة بـ GSD

يجب على فريق تدقيق الأمن الداخلي التابع لـ InfoBytes Daily مراجعة أصول المعلومات الخاصة بـ InfoBytes Daily مرة واحدة على الأقل سنويًا لتقييم مستوى الأمان والامتثال للقانون العام لحماية البيانات (GDPR) والمتطلبات التنظيمية الأخرى.

يمكن النظر في عمليات التدقيق الخارجية على أساس تقييم تجريه ISGC كلما حدث تغيير جوهري في ملف الأعمال.

تحتفظ InfoBytes Daily بالحق في إجراء تدقيق لمرافق أي من مقاوليها من الباطن لضمان الامتثال وفقًا للالتزامات التعاقدية.

ومع ذلك، تدرك InfoBytes Daily أن التمكين لمراجعة مرافق المقاول من الباطن هو تمكين ويجب استخدامه فقط في ظل ظروف استثنائية. وهذا لا يقلل من مسؤولية المقاول من الباطن عن تلبية متطلبات الامتثال في نهايته وفقًا للضمانات التعاقدية المقدمة.

23. سياسة معالجة التظلمات لدى GSD

ستوفر InfoBytes Daily سياسة معالجة التظلمات متعددة المستويات لمعالجة النزاعات إن وجدت مع أي صاحب بيانات. سيتم التعامل مع مثل هذه التظلمات من قبل DPO على المستوى الأول، وISGC على المستوى الثاني ولجنة حل النزاعات عبر الإنترنت التي تم تشكيلها لهذا الغرض من قبل مجلس الإدارة على المستوى الثالث.

سيتم التعامل مع أي استفسارات من السلطة الإشرافية للقانون العام لحماية البيانات (DPO) وتصعيدها إلى ISGC عند الاقتضاء.

سيتم التعامل مع أي نزاعات مع العملاء أو الناشرين أو المقاولين من الباطن وفقًا للاتفاقيات التعاقدية المعنية.

24. سياسة أمن الشبكات

من أجل ضمان أن البنية التحتية لتكنولوجيا المعلومات التي تستخدمها الشركة آمنة، يجب على InfoBytes Daily اعتماد سياسة قوية لأمن المعلومات بما في ذلك جدران الحماية، وأنظمة كشف التسلل، ونظام منع البرامج الضارة، وتصحيح النظام، وما إلى ذلك كما هو مطلوب.

يكون مدير أمن المعلومات المعين مسؤولاً عن صيانة أمن الشبكة.

ملاحظة: تخضع هذه المدونة للمراجعة من وقت لآخر.

ملف تعريف الارتباط	مدة	وصف
cookielawinfo-checkbox-analytics	11 شهرا	يتم تعيين ملف تعريف الارتباط هذا بواسطة البرنامج الإضافي لموافقة ملف تعريف الارتباط الناتج عن اللائحة العامة لحماية البيانات (GDPR). يتم استخدام ملف تعريف الارتباط لتخزين موافقة المستخدم على ملفات تعريف الارتباط في فئة "التحليلات".
cookielawinfo-checkbox-functional	11 شهرا	يتم تعيين ملف تعريف الارتباط من خلال موافقة ملفات تعريف الارتباط الخاصة باللائحة العامة لحماية البيانات (GDPR) لتسجيل موافقة المستخدم على ملفات تعريف الارتباط في الفئة "الوظيفية".
cookielawinfo-checkbox-necessary	11 شهرا	يتم تعيين ملف تعريف الارتباط هذا بواسطة البرنامج الإضافي لموافقة ملف تعريف الارتباط الناتج عن اللائحة العامة لحماية البيانات (GDPR). تُستخدم ملفات تعريف الارتباط لتخزين موافقة المستخدم على ملفات تعريف الارتباط في الفئة "ضرورية".
cookielawinfo-checkbox-others	11 شهرا	يتم تعيين ملف تعريف الارتباط هذا بواسطة البرنامج الإضافي لموافقة ملف تعريف الارتباط الناتج عن اللائحة العامة لحماية البيانات (GDPR). يتم استخدام ملف تعريف الارتباط لتخزين موافقة المستخدم على ملفات تعريف الارتباط في الفئة "أخرى".
cookielawinfo-checkbox-performance	11 شهرا	يتم تعيين ملف تعريف الارتباط هذا بواسطة البرنامج الإضافي لموافقة ملف تعريف الارتباط الناتج عن اللائحة العامة لحماية البيانات (GDPR). يتم استخدام ملف تعريف الارتباط لتخزين موافقة المستخدم على ملفات تعريف الارتباط في فئة "الأداء".
viewed_cookie_policy	11 شهرا	يتم تعيين ملف تعريف الارتباط بواسطة البرنامج المساعد لموافقة ملف تعريف الارتباط الناتج عن اللائحة العامة لحماية البيانات (GDPR) ويتم استخدامه لتخزين ما إذا كان المستخدم قد وافق على استخدام ملفات تعريف الارتباط أم لا. ولا يقوم بتخزين أي بيانات شخصية.