توفر الجهة سياسات وإجراءات واضحة لجمع البيانات وتخزينها ومعالجتها والتخلص منها وطريقة اتلافها ، وضمان خصوصيتها وحمايتها والوصول إليها، وعدم الاطلاع عليها أو مشاركتها إلا من قبل المختصين وذوي الصلاحية. كما تلتزم الجهة بأي سياسات أخرى تصدر من الجهات التنظيمية ذات العلاقة في مجال إدارة البيانات وحوكمتها.

سياسة إدارة وحوكمة البيانات

تلتزم الجهة بوضع وتنفيذ سياسات وإجراءات صارمة لضمان حوكمة البيانات وحمايتها، بما يتماشى مع أفضل الممارسات العالمية والمتطلبات التنظيمية المحلية. تهدف هذه السياسة إلى تحديد الأطر التي تحكم دورة حياة البيانات الكاملة، من جمعها وحتى التخلص منها، مع التركيز بشكل خاص على خصوصية البيانات، حمايتها، وإمكانية الوصول إليها.

1. جمع البيانات

تلتزم الجهة بجمع البيانات الضرورية فقط لتحقيق الأهداف المحددة والمشروعة، مع الحصول على الموافقات اللازمة من أصحاب البيانات عند الاقتضاء. تشمل إجراءات الجمع ما يلي:

• الغرض المحدد: يتم جمع البيانات لأغراض واضحة ومحددة مسبقاً، ولا يجوز استخدامها لأغراض أخرى غير متوافقة دون موافقة صريحة.
• الحد الأدنى من البيانات: يتم جمع أقل قدر ممكن من البيانات الشخصية التي تفي بالغرض المطلوب.
• الموافقة: يتم الحصول على موافقة صريحة ومستنيرة من أصحاب البيانات قبل جمع بياناتهم، خاصةً البيانات الحساسة، مع توضيح الغرض من الجمع وكيفية استخدامها.
• الشفافية: يتم إبلاغ أصحاب البيانات بحقوقهم المتعلقة ببياناتهم، بما في ذلك الحق في الوصول والتصحيح والسحب.

2. تخزين البيانات

تُخزن البيانات بطريقة آمنة وموثوقة لضمان حمايتها من الفقدان أو التلف أو الوصول غير المصرح به. تتضمن إجراءات التخزين:

• الأمان المادي والمنطقي: يتم تخزين البيانات في خوادم ومراكز بيانات آمنة مزودة بإجراءات أمنية مادية (مثل التحكم في الوصول) ومنطقية (مثل جدران الحماية وأنظمة كشف التسلل).
• النسخ الاحتياطي واستعادة البيانات: يتم تنفيذ خطط منتظمة للنسخ الاحتياطي للبيانات لضمان استمراريتها في حالة الكوارث، مع وجود إجراءات واضحة لاستعادة البيانات.
• التشفير: تُشفر البيانات الحساسة سواء كانت مخزنة (Data at Rest) أو أثناء النقل (Data in Transit) لزيادة مستوى الحماية.
• الفصل بين البيانات: يتم الفصل بين البيانات الحساسة وغير الحساسة، وتصنيفها وفقاً لمستوى حساسيتها.

3. معالجة البيانات

تتم معالجة البيانات بما يتوافق مع الأغراض المحددة وبأعلى معايير الدقة والسرية. تشمل إجراءات المعالجة:

• مبدأ الحاجة إلى المعرفة (Need-to-Know Basis): يتم الوصول إلى البيانات ومعالجتها فقط من قبل الموظفين المختصين وذوي الصلاحية الذين تتطلب طبيعة عملهم ذلك.
• ضوابط الوصول: يتم تطبيق ضوابط وصول صارمة تستند إلى الأدوار والمسؤوليات، مع مراجعة دورية للصلاحيات.
• سلامة البيانات: يتم اتخاذ جميع الإجراءات لضمان دقة البيانات واكتمالها وحداثتها.
• تدريب الموظفين: يتم تدريب الموظفين بانتظام على سياسات حماية البيانات وأهمية خصوصيتها.

4. خصوصية البيانات وحمايتها والوصول إليها

تعتبر حماية خصوصية البيانات وحمايتها من الأولويات القصوى للجهة:

• الخصوصية حسب التصميم (Privacy by Design): يتم دمج مبادئ الخصوصية في جميع مراحل تصميم وتطوير الأنظمة والعمليات.
• تقييم تأثير الخصوصية (PIA): يتم إجراء تقييمات لتأثير الخصوصية على الأنظمة الجديدة أو المعالجة الجديدة للبيانات لتحديد المخاطر المحتملة والتخفيف منها.
• مراجعات أمنية دورية: يتم إجراء تدقيقات ومراجعات أمنية منتظمة لتقييم فعالية الضوابط الأمنية المطبقة.
• الاستجابة للحوادث: توجد خطة واضحة ومحددة للاستجابة لحوادث خرق البيانات، تتضمن الإبلاغ، الاحتواء، والتعافي.
• عدم الاطلاع أو المشاركة: يُحظر تماماً الاطلاع على البيانات أو مشاركتها مع أطراف غير مصرح لها، داخلياً أو خارجياً، باستثناء ما تقتضيه الضرورة القصوى ووفقاً للإجراءات المعتمدة وموافقات أصحاب البيانات أو المتطلبات القانونية.

5. التخلص من البيانات وإتلافها

عند انتهاء الحاجة إلى البيانات أو انتهاء فترة الاحتفاظ القانونية، يتم التخلص منها بطريقة آمنة تضمن عدم إمكانية استعادتها. تشمل طرق الإتلاف:

• البيانات الرقمية: يتم استخدام طرق المسح الآمن (Data Wiping) أو التدمير الفعلي لوسائط التخزين (مثل التقطيع المادي للأقراص الصلبة) لضمان عدم استعادة البيانات.
• البيانات المطبوعة: يتم إتلاف المستندات الورقية التي تحتوي على بيانات حساسة باستخدام آلات التقطيع (Shredding) أو الحرق.
• السجلات الدقيقة: يتم الاحتفاظ بسجلات تفصيلية لعمليات التخلص من البيانات، تشمل تاريخ الإتلاف وطريقته والمسؤول عن العملية.

6. الالتزام بالجهات التنظيمية

تلتزم الجهة بشكل كامل بأي سياسات، لوائح، أو توجيهات إضافية تصدر عن الجهات التنظيمية ذات العلاقة في مجال إدارة البيانات وحوكمتها، مثل الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) والجهات المشرفة على قطاع التعليم والتدريب. وسيتم تحديث هذه السياسة بشكل دوري لتعكس أي تغييرات في المتطلبات القانونية أو التنظيمية.

تهدف هذه السياسة إلى بناء ثقة جميع الأطراف المعنية في قدرة الجهة على التعامل مع بياناتهم بمسؤولية وأمان.

رابط سياسة الخصوصية

لضمان الشفافية والالتزام بمعايير حماية البيانات، تتوفر سياسة الخصوصية الخاصة بالجهة على الرابط التالي:

رابط سياسة الخصوصية

محتويات سياسة الخصوصية في الرابط المشار إليه:

تتضمن سياسة الخصوصية المتاحة عبر الرابط أعلاه كحد أدنى، ولكن لا تقتصر على، البنود التالية لضمان الشفافية وحماية حقوق أصحاب البيانات:

• نوعية البيانات التي تجمعها الجهة:
  • البيانات الشخصية المعرفية: مثل الاسم الكامل، رقم الهوية/الإقامة، تاريخ الميلاد، الجنسية، معلومات الاتصال (البريد الإلكتروني، رقم الهاتف).
  • بيانات الاتصال: مثل عنوان السكن، معلومات التواصل للطوارئ.
  • بيانات أكاديمية/تدريبية: مثل الدرجات، سجل الحضور، الأعمال المقدمة، التقدم في الدورات، الشهادات.
  • بيانات تقنية: مثل عناوين بروتوكول الإنترنت (IP)، نوع المتصفح، نظام التشغيل، معلومات الجهاز، سجلات الدخول والخروج، ملفات تعريف الارتباط (Cookies).
  • أي بيانات أخرى يتم تقديمها طواعية من قبل الفرد لأغراض محددة (مثل الاستبيانات، نماذج الدعم).
• طريقة جمع البيانات والغرض منها:
  • الجمع المباشر: يتم جمع البيانات مباشرة من المتدربين أو الموظفين عند التسجيل في البرامج، أو من خلال النماذج الإلكترونية والورقية، أو أثناء التفاعل مع المنصة.
  • الجمع التلقائي: يتم جمع بعض البيانات تلقائيًا عبر تقنيات مثل ملفات تعريف الارتباط وسجلات الخادم لتحسين تجربة المستخدم وتحليل أداء المنصة.
  • الغرض من الجمع:
    • إدارة عمليات التسجيل والقبول.
    • توفير وتقديم الخدمات التعليمية والتدريبية.
    • تقييم الأداء الأكاديمي والتدريبي.
    • التواصل مع المتدربين والموظفين.
    • تحسين جودة الخدمات وتطويرها.
    • ضمان أمن المنصة والامتثال للأنظمة والقوانين.
    • أغراض إحصائية وتحليلية لتحسين العمليات.
• مدة تخزينها واحتفاظ الجهة بها:
  • تُحتفظ البيانات للفترة الضرورية لتحقيق الأغراض التي جُمعت من أجلها.
  • تُحدد فترات الاحتفاظ بالبيانات بناءً على المتطلبات القانونية والتنظيمية (مثل أنظمة حماية البيانات الشخصية)، المتطلبات التشغيلية، وأغراض الاحتفاظ بالسجلات.
  • بعد انتهاء فترة الاحتفاظ، يتم إتلاف البيانات بطريقة آمنة تضمن عدم إمكانية استعادتها، وفقًا لسياسة التخلص من البيانات المعمول بها في الجهة.
• من يملك صلاحية الاطلاع على هذه البيانات ومشاركتها:
  • الاطلاع الداخلي: يقتصر الاطلاع على البيانات على الموظفين المختصين وذوي الصلاحية الذين تتطلب طبيعة عملهم الوصول إلى هذه البيانات (مثل المدربين، الإداريين، موظفي الدعم الفني، مسؤولي الأمن السيبراني)، وذلك على أساس “مبدأ الحاجة إلى المعرفة” (Need-to-Know Basis).
  • المشاركة الخارجية: لا يتم مشاركة البيانات مع أي أطراف ثالثة إلا في الحالات التالية:
    • بموافقة صريحة من صاحب البيانات.
    • عند وجود التزام قانوني أو أمر قضائي يوجب المشاركة.
    • مع الجهات الحكومية أو التنظيمية المختصة عند الطلب الرسمي ووفقًا للأنظمة.
    • مع مقدمي الخدمات الخارجيين الذين يعملون نيابة عن الجهة (مثل منصات الاختبارات، خدمات الدفع)، بشرط التزامهم بمعايير حماية البيانات المماثلة، وتوقيع اتفاقيات سرية.
• الإشارة إلى التزام الجهة بنظام حماية البيانات الشخصية:
  • تؤكد السياسة التزام الجهة الكامل بنظام حماية البيانات الشخصية الصادر في المملكة العربية السعودية، وأي لوائح تنفيذية أو توجيهات صادرة عن الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) أو أي جهات تنظيمية أخرى ذات علاقة.
  • توضح السياسة حقوق أصحاب البيانات بموجب هذا النظام، بما في ذلك الحق في الوصول إلى بياناتهم، طلب تصحيحها، سحب الموافقة (في بعض الحالات)، وطلب إتلافها.