سياسة حماية البيانات
مقدمة
تلتزم الخطوط الجوية العربية السعودية بتسيير عملها وفقًا لجميع ما هو مطبق من قوانين ولوائح تنظيمية لحماية البيانات وبما يتسق مع أعلى معايير السلوك الأخلاقي.
تحدد هذه السياسة فيما يلي السلوكيات المتوقعة من موظفي الخطوط الجوية العربية السعودية والأطراف الثالثة فيما يتعلق بجمع أي بيانات شخصية تخص أحد المتعاملين مع الخطوط الجوية العربية السعودية (أي الشخص صاحب البيانات)، واستخدامها، والاحتفاظ بها، ونقلها، والكشف عنها، وتدميرها، وخرقها.
البيانات الشخصية هي أي معلومات (بما في ذلك الآراء والنوايا) التي تتصل بشخص طبيعي محدد الهوية أو من الممكن تحديد هويته. البيانات الشخصية خاضعة لضمانات قانونية محددة وغيرها من اللوائح التنظيمية، والتي تفرض قيودًا على الكيفية التي من الممكن أن تتبعها المؤسسات لمعالجة البيانات الشخصية. وتسمى المؤسسة التي تتعامل مع البيانات الشخصية وتتخذ قرارات بشأن استخدام تلك البيانات باسم "مراقب بيانات". الخطوط الجوية العربية السعودية، كونها مراقب بيانات، مسؤولة عن ضمان الامتثال لاشتراطات حماية البيانات المذكورة في هذه السياسة. قد يعرّض عدم الامتثال الخطوط الجوية العربية السعودية للشكاوى، أو للإجراءات التنظيمية، أو للغرامات، أو للإضرار بسمعتها أو لكل ما سبق.
القيادة في الخطوط الجوية العربية السعودية ملتزمة التزامًا كاملًا بضمان مواصلة تنفيذ هذه السياسة بفعالية وتتوقع من جميع موظفي الخطوط الجوية العربية السعودية والأطراف الثالثة مشاركتهم لها نفس هذا القدر من الالتزام. سيؤخذ أي خرق لهذه السياسة على محمل الجد وقد ينتج عنه إجراء تأديبي وفقًا لسياسات الموارد البشرية والإجراءات المعمول بها في الخطوط الجوية العربية السعودية.
وقد أوصى المدير التنفيذي للخطوط الجوية العربية السعودية بهذه السياسة.
النطاق
تنطبق هذه السياسة على كل الجهات داخل الخطوط الجوية العربية السعودية حيثما تتم معالجة البيانات الشخصية الخاصة بصاحب البيانات:
- في سياق الأنشطة التجارية للجهة التابعة للخطوط الجوية العربية السعودية.
- عند تقديم أحد الجهات التابعة للخطوط الجوية العربية السعودية للبضائع أو الخدمات أو عرضها على الأفراد (بما في ذلك تلك المقدمة أو المعروضة مجانًا).
- الرصد النشط للأنماط السلوكية للأفراد.
- يشمل رصد الأنماط السلوكية للأفراد استخدام تقنيات معالجة البيانات مثل ملفات الارتباط المستمرة الخاصة بمتصفح الويب أو التتبع الديناميكي لعنوان الآي بي لتحديد سماتهم الفردية من أجل: اتخاذ قرار ما بشأنهم.
- تحليل تفضيلاتهم الشخصية، وأنماط سلوكهم ومواقفهم أو توقعها.
- ما هو مطلوب حسب القانون، أو سلطات الهجرة، أو القوات الحدودية أو أي جهات حكومية أخرى.
تنطبق هذه السياسة على كل المعالجات التي تتم على البيانات الشخصية بصورة إلكترونية (بما في ذلك البريد الإلكتروني والوثائق التي يتم إنشاؤها باستخدام برمجيات معالجة النصوص) أو حيثما يتم الاحتفاظ بالبيانات الشخصية في ملفات يدوية منظمة على نحو يسمح بجاهزية الوصول إلى المعلومات عن الأفراد.
لقد صُممت هذه السياسة كي تؤسس معيار مرجعي أساسي عالمي لمعالجة جميع الجهات التابعة للخطوط الجوية العربية السعودية للبيانات الشخصية وحمايتها لها. حين يفرض القانون الوطني أحد الاشتراطات ويكون هذا الاشتراط أكثر تقييدًا من الاشتراط الذي تفرضه هذه السياسة، فإنه يجب اتباع الاشتراطات المنصوص عليها في القانون الوطني. علاوة على ذلك، حين يفرض القانون الوطني أحد الاشتراطات التي لم تتناولها هذه السياسة، فإنه يجب الالتزام بالقانون المحلي ذي الصلة.
إذا كانت هناك اشتراطات متعارضة في هذه السياسة والقانون الوطني، من فضلك استشر مسؤول حماية البيانات للإرشاد.
حماية البيانات الشخصية الخاصة بموظفي الخطوط الجوية العربية السعودية ليست ضمن نطاق هذه السياسة. فهي ترد في سياسة الخطوط الجوية العربية السعودية تحت عنوان "حماية البيانات فيما يخص بيانات الموظفين".
تعريفات
| الموظف | فرد يعمل بدوام جزئي أو دوام كامل لدى الخطوط الجوية العربية السعودية بموجب عقد عمل، سواءً كان هذا العقد شفهيًا أو كتابيًا، صريحًا أو ضمنيًا، وله حقوق وعليه واجبات معينة ومعترف بها. بما في ذلك الموظفين المؤقتين والمتعاقدين المستقلين. |
| الطرف الثالث | مؤسسة خارجية تجري معها الخطوط الجوية العربية السعودية الأعمال وتكون أيضًا مصرح لها، بموجب السلطة المباشرة للخطوط الجوية العربية السعودية ، بمعالجة البيانات الشخصية التي لدى الخطوط الجوية العربية السعودية عن أصحاب البيانات، والموظفين، والموردين، ومقدمي الخدمات، والمتعاقدين وما إلى ذلك. |
| البيانات الشخصية | أي معلومات (بما في ذلك الآراء والنوايا) التي تتصل بشخص طبيعي محدد الهوية أو من الممكن تحديد هويته. |
| المتعامل | أي عميل سابق، أو حالي، أو متوقع للخطوط الجوية العربية السعودية . |
| الشخص الطبيعي الذي من الممكن تحديد هويته | أي شخص يمكن تحديد هويته، بصورة مباشرة أو غير مباشرة، ولا سيما بالاستناد إلى معرف مثل الاسم، أو رقم بطاقة الهوية، أو بيانات الموقع، أو معرف على الانترنت أو واحد أو أكثر من العوامل المرتبطة تحديدًا بالهوية البدنية، أو الفسيولوجية، أو الوراثية، أو العقلية، أو الاقتصادية، أو الثقافية، أو الاجتماعية لذاك الشخص الطبيعي . |
| مراقب البيانات | شخص طبيعي أو اعتباري، أو سلطة أو وكالة أو غيرها من الأجهزة العمومية الرسمية التي تحدد، بمفردها أو بالاشتراك مع غيرها، أغراض معالجة البيانات الشخصية ووسائل هذه المعالجة. |
| الجهات التابعة للخطوط الجوية العربية السعودية | منشأة تابعة للخطوط الجوية العربية السعودية، بما في ذلك الشركات التابعة والمشاريع المشتركة التي تمارس الخطوط الجوية العربية السعودية عليها مراقبة إدارية. |
| صاحب البيانات | الشخص الطبيعي محدد الهوية أو الذي من الممكن تحديد هويته والذي تشير إليه البيانات. |
| يعالج، تمت معالجته، معالجة | أي عملية أو مجموعة من العمليات التي تتم على بيانات شخصية أو على مجموعات من البيانات الشخصية، سواءً باستخدام وسائل أوتوماتيكية أم لا. قد تشمل هذه العمليات الجمع، أو التسجيل، أو التنظيم، أو إعادة الترتيب، أو التخزين، أو التطويع، أو التغيير، أو الاسترجاع، أو الاسترشاد، أو الاستخدام، أو الكشف عن طريق النقل، أو النشر، أو غير ذلك من وسائل الإتاحة، أو المحاذاة، أو التركيبات، أو التقييد، أو المحو، أو التدمير. |
| حماية البيانات | عملية حفظ البيانات الشخصية من أي عمل غير مصرح به أو غير قانوني من أعمال الكشف، أو التغيير، أو المعالجة، أو النقل، أو التدمير. |
| سلطة حماية البيانات | سلطة عمومية مستقلة مسؤولة عن رصد تطبيق الضوابط ذات الصلة لحماية البيانات والمنصوص عليها في القانون الوطني. |
| معالج البيانات | شخص طبيعي أو اعتباري، أو سلطة أو وكالة أو غيرها من الأجهزة العمومية الرسمية التي تقوم بمعالجة البيانات الشخصية بالنيابة عن مراقب البيانات. |
| الموافقة | أي دلالة محددة تُعطى بحرية واستنارة ودون غموض أو لبس تدل على رغبة صاحب البيانات والتي يعني بموجبها الموافقة، بموجب بيان أو تصرف إيجابي واضح، على معالجة البيانات الشخصية المتعلقة به. |
| الفئات الخاصة من البيانات | بيانات شخصية تتعلق بالأصل العرقي أو الإثني، أو الآراء السياسية، أو المعتقدات الدينية أو الفلسفية، أو العضوية في النقابات المهنية أو العمالية أو تكشف عنها، والبيانات الخاصة بالحالة الصحية أو الميل الجنسي، والبيانات الوراثية وبيانات القياسات الحيوية. |
| دولة عالم ثالث | أي دولة غير معترف بوجود مستوى كافي بها من الحماية القانونية لحقوق أصحاب البيانات وحرياتهم فيما يتعلق بمعالجة البيانات الشخصية. |
| تحديد السمات | أي شكل من أشكال المعالجة الأوتوماتيكية للبيانات الشخصية حيث تستخدم البيانات الشخصية لتقييم سمات محددة أو عامة تتعلق بشخص طبيعي من الممكن تحديد هويته. ولا سيما لتحليل جوانب محددة أو لتوقعها بخصوص أداء هذا الشخص الطبيعي في عمله، أو أوضاعه الاقتصادية، أو صحته، أو تفضيلاته الشخصية، أو اهتماماته، أو موثوقيته، أو نمطه السلوكي، أو موقعه، أو تحركاته. |
| القواعد المؤسسية الملزمة | سياسات حماية البيانات الشخصية المستخدمة لنقل البيانات الشخصية إلى واحدة أو أكثر من دول العالم الثالث ضمن مجموعة من القائمين على العمل، أو مجموعة من الشركات المنخرطة في نشاط اقتصادي مشترك. |
| خرق البيانات الشخصية | خرق أمني مؤدي إلى ضياع البيانات الشخصية المنقولة، أو المخزنة، أو التي تجري معالجتها بأي طريق آخر، أو تغييرها، أو الكشف عنها دون تصريح بذلك، أو الاطلاع عليها وحدوث أي من ذلك بصورة عرضية أو غير قانونية. |
| التشفير | عملية تحويل المعلومات أو البيانات إلى أكواد لمنع الوصول غير المصرح به. |
| التشفير بأكواد مستعارة | تعديل البيانات بطريقة تجعل استخدامها لتحديد هوية الأشخاص غير ممكن (سواءً بشكل مباشر أو غير مباشر) إلا عن طريق "مفتاح" يسمح بإعادة إمكانية التعرف على البيانات. |
| إخفاء الهوية | تعديل البيانات بطريقة تجعل استخدامها لتحديد هوية الأشخاص غير ممكن (سواءً بشكل مباشر أو غير مباشر) بأي طريقة أو من قبل أي شخص. |
الحوكمة
نشر السياسة وإنفاذها
يجب على الفريق الإداري في كل جهة تابعة للخطوط الجوية العربية السعودية أن يتأكد من أن كل موظفي الخطوط الجوية العربية السعودية المسؤولين عن معالجة البيانات الشخصية على علم بمحتويات هذه السياسة وملتزمين بها.
وبالإضافة إلى ذلك، ستتأكد كل جهة تابعة للخطوط الجوية العربية السعودية من أن كل الأطراف الثالثة المنخرطة في معالجة البيانات الشخصية بالنيابة عنهم (أي معالجي البيانات) على علم بمحتويات هذه السياسة وملتزمين بها. ويجب الحصول على تعهد بهذا الامتثال من جميع الأطراف الثالثة، سواءً كانوا شركات أو أفراد، في وقت سابق على السماح لهم بالوصول إلى البيانات الشخصية التي جمعتها الخطوط الجوية العربية السعودية.
حماية البيانات بحكم التصميم
لضمان أن جميع متطلبات حماية البيانات تم تحديدها والتطرق لها عند تصميم أنظمة أو عمليات جديدة أو عند مراجعة الأنظمة أو العمليات القائمة بالفعل أو توسيعها أو كل ما سبق، يجب أن تصدر موافقة على كل منها قبل الاستمرار.
يجب أن تضمن كل جهة تابعة للخطوط الجوية العربية السعودية أنه قد تم إجراء تقييم أثر حماية البيانات (DPIA)، بالتعاون مع مسؤول حماية البيانات، لجميع الأنظمة أو العمليات القديمة والتي تجري مراجعتها أو أيهما والتي تكون مسؤولة عنها. يجب أن تُقدَم النتائج المستخلصة من تقييم أثر حماية البيانات DPIA إلى مسؤول حماية البيانات لمراجعتها والموافقة عليها. وبحسب مقتضى الحال، ستتعاون إدارة تكنولوجيا المعلومات، كجزء من عملية مراجعة تصميم برمجيات ونظام تكنولوجيا المعلومات الخاصة بها، مع مراقب البيانات من أجل تقييم أثر أي استخدامات جديدة للتقنيات على أمن البيانات الشخصية.
رصد الامتثال
للتأكيد على تحقيق جميع الجهات التابعة للخطوط الجوية العربية السعودية لمستوى ملائم من الامتثال فيما يتعلق بهذه السياسة، سيجري مسؤول حماية البيانات مراجعة سنوية للامتثال لقواعد حماية البيانات لجميع هذه الجهات. ستقيّم كل مراجعة، على الأقل، ما يلي:
- الامتثال للسياسة فيما يتعلق بحماية البيانات الشخصية، بما في ذلك:
- إسناد المسؤوليات.
- زيادة الوعي.
- تدريب الموظفين.
- الممارسات التشغيلية المتصلة بفعالية حماية البيانات، بما في ذلك:
- حقوق صاحب البيانات.
- عمليات نقل البيانات الشخصية
- إدارة حوادث البيانات الشخصية
- التجاوب مع شكاوى البيانات الشخصية
- مستوى فهم سياسات حماية البيانات وإشعارات الخصوصية.
- دقة سياسات حماية البيانات وإشعارات الخصوصية.
- دقة البيانات الشخصية التي يتم تخزينها.
- اتساق أنشطة معالج البيانات.
- مدى كفاية الإجراءات لتدارك سوء الامتثال وخروقات البيانات الشخصية.
سيصيغ مراقب البيانات بدعم من مسؤول حماية البيانات، وبتعاون مع أصحاب المصالح التجارية الرئيسيين من كل جهة تابعة للخطوط الجوية العربية السعودية، خطة لها جدول زمني من أجل تصحيح أي أوجه قصور يتم تحديدها خلال فترة زمنية محددة ومعقولة. سيتم الإبلاغ عن أي أوجه قصور كبيرة إلى فريق الإدارة التنفيذية للخطوط الجوية العربية السعودية وسيقوم الفريق بمتابعتها.
مبادئ حماية البيانات
لقد اعتمدت الخطوط الجوية العربية السعودية المبادئ التالية لتحكم جمعها للبيانات الشخصية، واستخدمها لها، واحتفاظها بها، ونقلها،
والكشف عنها، وتدميرها:
- المبدأ 1: المشروعية، والعدالة، والشفافية
تُعالج البيانات الشخصية بطريقة قانونية، وعادلة وبأسلوب يتسم بالشفافية فيما يتعلق بصاحب البيانات. ويعني هذا، أن الخطوط الجوية العربية السعودية يجب أن تخبر صاحب البيانات عن المعالجة التي ستتم (الشفافية)، وأن تكون المعالجة مطابقة للتوصيف المعطى إلى صاحب البيانات (العدالة)، ويجب أن تكون تلك المعالجة لواحد من الأغراض المحددة في اللائحة التنظيمية لحماية البيانات المعمول بها (المشروعية).
- المبدأ 2: تقييد الغرض
تُجمع البيانات الشخصية لأغراض محددة، وصريحة، ومشروعة ولا تُعالَج بعدها بأسلوب غير متوافق مع تلك الأغراض. يعني هذا أن الخطوط الجوية العربية السعودية يجب أن تذكر تحديدًا الأغراض التي سيستخدم لأجلها ما تم جمعه من بيانات شخصية وأن تقتصر معالجة تلك البيانات الشخصية فقط على ما هو ضروري لتحقيق ذلك الغرض المحدد.
- المبدأ 3: تقليل البيانات
تكون البيانات الشخصية وافية ومتصلة ومحددة بما هو ضروري فيما يتعلق بالأغراض التي لأجلها تتم معالجة هذه البيانات. هذا يعنى أن الخطوط الجوية العربية السعودية يجب ألا تُخزّن أي بيانات شخصية أبعد مما يقتضيه الغرض.
- المبدأ 4: الدقة
تكون البيانات الشخصية دقيقة ومحدثة باستمرار. هذا يعنى أن الخطوط الجوية العربية السعودية يجب أن تكون لديها عمليات قائمة لتحديد البيانات الشخصية القديمة وغير الصحيحة والمتكررة والتعامل معها.
- المبدأ 5: تقييد التخزين
تُحفظ البيانات الشخصية في صورة تتيح تحديد هوية أصحاب البيانات لفترة لا تتجاوز الفترة اللازمة للأغراض التي لأجلها تتم معالجة البيانات الشخصية. هذا يعني أن الخطوط الجوية العربية السعودية يجب، كلما أمكن ذلك، أن تُخزن البيانات الشخصية بطريقة تقيد تحديد هوية صاحب البيانات أو تمنعها.
- المبدأ 6: السلامة والسرية
تتم معالجة البيانات الشخصية بأسلوب يضمن الأمن الملائم للبيانات الشخصية، بما في ذلك الحماية ضد المعالجة غير المصرح بها أو غير القانونية، وضد الفقدان العرضي، والتدمير أو التلف. يجب أن تستخدم الخطوط الجوية العربية السعودية تدابير تقنية وتنظيمية لضمان الحفاظ على سلامة البيانات الشخصية وسريتها في كل الأوقات.
- المبدأ 7: قابلية المساءلة
يكون مراقب البيانات مسؤولًا عن إثبات امتثاله وقادرًا عليه. يعني هذا أن الخطوط الجوية العربية السعودية يجب أن تثبت أن المبادئ الست لحماية البيانات (المبينة أعلاه) مستوفاة لجميع البيانات الشخصية التي تكون مسؤولة عنها.
جمع البيانات
مصادر البيانات
يجب أن تُجمع البيانات الشخصية فقط من صاحب البيانات إلا إذا انطبقت واحدة من الحالات الآتية:
- تستلزم طبيعة الغرض التجاري جمع البيانات الشخصية من أشخاص آخرين أو هيئات أخرى. يجب أن يجرى جمع البيانات في ظروف طارئة من أجل حماية المصالح الحيوية لصاحب البيانات أو منع حدوث خسائر أو أضرار بالغة لغيره.
- إذا كانت البيانات الشخصية يتم جمعها من شخص آخر غير صاحب البيانات، يجب إعلام صاحب البيانات بهذا إلا إذا انطبقت واحدة من الحالات التالية:
قد استقبل صاحب البيانات المعلومات المطلوبة بطرق أخرى.
- يجب أن تظل المعلومات سرية نظرًا لوجوب الالتزام بالسرية المهنية.
- ينص أحد القوانين الوطنية صراحةً على جمع البيانات الشخصية، أو معالجتها، أو نقلها.
حيثما يتبين أنه من المطلوب إرسال إشعار إلى صاحب البيانات، يجب أن يرسل الإشعار على وجه السرعة، وألا يتأخر في أي حال عن:
- شهر واحد بدءا من أول عملية جمع للبيانات الشخصية أو تسجيلها.
- وقت أول تواصل مع صاحب البيانات.
- وقت الكشف عن البيانات إذا تم الكشف عنها لمستلم آخر.
موافقة صاحب البيانات
لن تحصل أي جهة تابعة للخطوط الجوية العربية السعودية على البيانات الشخصية إلا بالطرق المشروعة والعادلة، وحيثما كان ذلك مناسبًا، بعلم الشخص المعني وموافقته. حيثما كانت هناك حاجة لطلب موافقة الشخص المعني والحصول عليها قبل جمع بياناته الشخصية، أو استخدامها، أو الكشف عنها، تلتزم الخطوط الجوية العربية السعودية بالتماس هذه الموافقة.
يؤسس مسؤول حماية البيانات، بالتعاون مع مراقب البيانات، ومعالج (أو معالجين) البيانات، والممثلين التجاريين الآخرين ذوي الصلة، نظامًا لاستصدار وتوثيق موافقات أصحاب البيانات على جمع بياناتهم الشخصية أو معالجتها أو نقلها أو كل هذا. يجب أن يتضمن النظام بنودًا لما يلي:
- تحديد الإفصاحات الواجب عملها من أجل استصدار موافقة قانونية.
- ضمان أن طلب الحصول على الموافقة معروض بطريقة يمكن تمييزها بوضوح عن أي مسائل أخرى، وأن يكون في شكل نموذج مفهوم وسهل الوصول إليه، وأن تستخدم فيه لغة واضحة وبسيطة.
- ضمان أن الموافقة معطاة بحرية (أي أنها ليست مبنية على عقد يكون مشروطًا بمعالجة البيانات الشخصية وهذه المعالجة غير ضرورية لتنفيذ ذلك العقد).
- توثيق تاريخ الإفصاحات التي تمت، وطريقتها، ومحتوياتها بالإضافة إلى مدى صحة الموافقات المعطاة، ونطاقها والإرادة الطوعية وراءها.
- توفير طريقة بسيطة لأصحاب البيانات ليتمكنوا من سحب موافقاتهم في أي وقت.
إشعار صاحب البيانات
ستقدم كل من الجهات التابعة للخطوط الجوية العربية السعودية إلى أصحاب البيانات، حيثما كان ذلك مطلوبًا بناءً على القوانين، والعقود المعمول بها أو حيثما ترى أنه من المناسب قيامها بهذا الأمر، معلومات حول الأغراض التي لأجلها تتم معالجة بياناتهم الشخصية.
حينما يُطلَب من صاحب البيانات إعطاء الموافقة على معالجة البيانات الشخصية وحينما تُجمَع أي بيانات شخصية من صاحب البيانات، فستُجرَى كل الإفصاحات المناسبة2 ، بأسلوب يبرز هذه الإفصاحات، إلا إذا كانت إحدى الحالات التالي منطبقة:
- يحوز صاحب البيانات المعلومات بالفعل.
- ينطبق استثناء قانوني على شرط الإفصاح أو الموافقة أو كليهما.
يجوز تقديم الإفصاحات شفاهة، أو بصورة إلكترونية أو كتابية. إذا كان التقديم شفاهة، على الشخص الذي يجري الإفصاحات أن يستخدم نصًا مكتوبًا مناسبًا أو نموذج حائز مسبقًا على موافقة مسؤول حماية البيانات. يجب أن يتم الاحتفاظ بالإيصال أو النموذج المرتبط بهذا الأمر، إلى جانب سجل بوقائع الإفصاح، وتاريخه، ومحتواه، وطريقة تقديمه.
إشعارات الخصوصية الخارجية
سيحتوي كل موقع خارجي توفره جهة تابعة للخطوط الجوية العربية السعودية على "سياسة خصوصية" على الإنترنت و"سياسة ملفات الارتباط" على الإنترنت وتكونا وافيتين بمتطلبات القانون المعمول به. راجع المعايير الخاصة بسياسة الخصوصية وسياسة ملفات الارتباط للخطوط الجوية العربية السعودية للاسترشاد. يجب أن يوافق مراقب البيانات الذي يقدم مسؤول حماية البيانات الدعم له على جميع سياسات الخصوصية وملفات الارتباط قبل نشرها على أي من المواقع الإلكترونية الخارجية للخطوط الجوية العربية السعودية.
استخدام البيانات
مشروعية المعالجة
لن تعالج الخطوط الجوية العربية السعودية البيانات الشخصية إلا وفقًا لما تنص عليه المادة 6 (مشروعية المعالجة). ستكون جميع المعالجات التي تقوم بها الخطوط الجوية العربية السعودية متماشية مع أسباب المعالجة الواردة في المادة 6 (1)، انظر الملحق أ.
معالجة البيانات
تستخدم الخطوط الجوية العربية السعودية البيانات الشخصية لموظفيها وعملاءها للأغراض العامة التالية:
- إدارة أعمال الجهات التابعة للخطوط الجوية العربية السعودية وتشغيلها بشكل عام.
- تقديم الخدمات إلى عملاء الخطوط الجوية العربية السعودية.
- الإدارة والتنظيم المستمرين لخدمة العملاء.
- المشاركة مع سلطات الهجرة وضبط الحدود أو الوكالات الممثلة لهم بحسب مقتضى الحال.
يجب دائمًا النظر إلى استخدام معلومات المتعاملين من وجهة نظرهم، وما إذا كان هذا الاستخدام يفي بتوقعاتهم أم أنه من المرجح أن يعترضوا عليه. على سبيل المثال، من الجلي أن استخدام الخطوط الجوية العربية السعودية لتفاصيل المتعاملين من أجل الرد على طلب أحد المتعاملين للمعلومات حول المنتجات والخدمات المعروضة سيكون ضمن توقعات المتعاملين. إلا أنه لن يكون تقديم الخطوط الجوية العربية السعودية التفاصيل الخاصة بهم إلى الأطراف الثالثة لأغراض تسويقية ضمن توقعاتهم المعقولة.
ستعالج كل من الجهات التابعة للخطوط الجوية العربية السعودية البيانات الشخصية وفقًا لجميع القوانين المعمول بها والالتزامات التعاقدية السارية. وبصورة أكثر تحديدًا، لن تعالج الخطوط الجوية العربية السعودية البيانات الشخصية إلا إذا تم استيفاء واحدة على الأقل من المتطلبات التالية:
- قد أعطى صاحب البيانات الموافقة على معالجة بياناته الشخصية لواحد أو أكثر من الأغراض المحددة.
- كانت المعالجة ضرورية لتنفيذ عقد يكون صاحب البيانات طرفًا فيه أو من أجل اتخاذ خطوات بناءً على طلب صاحب البيانات قبل انعقاد العقد.
- كانت المعالجة ضرورية من أجل الامتثال لالتزام قانوني يخضع له مراقب البيانات.
- كانت المعالجة ضرورية من أجل حماية المصالح الحيوية لصاحب البيانات أو غيره من الأشخاص الطبيعين.
- كانت المعالجة ضرورية لتنفيذ مهمة يتم إجراؤها من أجل المصلحة العامة أو لممارسة سلطة رسمية موكلة إلى مراقب البيانات.
- كانت المعالجة ضرورية من أجل أغراض المصالح المشروعة التي يسعى إليها مراقب البيانات أو طرف ثالث (باستثناء أن تكون هذه المصالح قد أبطلتها مصالح صاحب البيانات أو حقوقه وحرياته الأساسية، ولا سيما حين يكون صاحب البيانات طفلًا).
هناك بعض الظروف التي قد تخضع فيها البيانات الشخصية لمزيد من المعالجة من أجل أغراض تتجاوز الأغراض الأصلية التي جُمِعَت البيانات الشخصية لأجلها. عند اتخاذ قرار بشأن توافق السبب الجديد للقيام بالمعالجة، يجب الحصول على الإرشاد والموافقة من مراقب البيانات قبل أن يكون من الممكن البدء في أي من هذه المعالجات.
في جميع الظروف حينما لا يتم الحصول على الموافقة من أجل المعالجة المحددة محل النظر، ستتعامل الخطوط الجوية العربية السعودية مع الشروط الإضافية التالية لتحديد عدالة أي معالجة تتجاوز الغرض الأصلي الذي جُمعَت لأجله البيانات الشخصية وشفافيتها:
- وجود أي رابط بين الغرض الذي جُمعَت لأجله البيانات الشخصية وأسباب المعالجة الإضافية المزمع القيام بها.
- السياق الذي جُمعَت فيه البيانات الشخصية، ولا سيما فيما يخص العلاقة بين صاحب البيانات ومراقب البيانات.
- طبيعة البيانات الشخصية، وبخاصة ما إن كان ما تتم معالجته عبارة عن فئات خاصة من البيانات، أو كان متصلًا بإدانات ومخالفات جنائية.
- العواقب المحتملة للمعالجة الإضافية المزمع القيام بها فيما يخص صاحب البيانات.
- وجود ضمانات ملائمة للمعالجة الإضافية، والتي قد تشمل التشفير، أو إخفاء الهوية، أو التشفير بأكواد مستعارة.
الفئات الخاصة من البيانات
لن تقوم الخطوط الجوية العربية السعودية بمعالجة الفئات الخاصة من البيانات (والمعروفة أيضًا باسم البيانات الحساسة) إلا إذا وافق صاحب البيانات صراحةً على هذه المعالجة أو كانت واحدة من الشروط التالية منطبقة:
- تتصل المعالجة ببيانات شخصية قد أعلن عنها صاحب البيانات بالفعل.
- كانت المعالجة ضرورية لإقامة الدعاوى القانونية، أو سيرها، أو الدفاع فيها.
- كانت المعالجة قد خولها القانون على وجه التحديد أو كانت مطلوبة قانونًا على وجه التحديد.
- كانت المعالجة ضرورية لحماية المصالح الحيوية لصاحب البيانات أو لشخص طبيعي آخر ويكون حينها صاحب البيانات عاجزًا بدنيًا أو قانونيًا عن الإعراب عن الموافقة.
- شروط إضافية، بما في ذلك القيود التي يفرضها القانون الوطني فيما يتصل بمعالجة البيانات الوراثية، أو بيانات القياسات الحيوية، أو البيانات المتعلقة بالصحة.
في أي حالة تُتم فيها معالجة فئات خاصة من البيانات، يجب استصدار موافقة مسبقة من مسؤول حماية البيانات وتسجيل الأساس لهذه المعالجة بجانب البيانات الشخصية بوضوح.
حيثما تتم معالجة فئات خاصة من البيانات، ستعتمد الخطوط الجوية العربية السعودية تدابير حماية إضافية. يجوز لكل من الجهات التابعة للخطوط الجوية العربية السعودية أيضًا أن تعتمد تدابير إضافية لتتعامل مع الأعراف المحلية أو التوقعات الاجتماعية المرتبطة بمعالجة فئات خاصة من البيانات.
البيانات الخاصة بالأطفال
من البديهي أن لائحة الاتحاد الأوروبي التنظيمية المتعلقة بحماية البيانات تعرف الأطفال على أنهم أصحاب بيانات تحت سن السادسة عشر. لكن يؤخذ في الاعتبار الاستثناءات لهذا العمر الذي قد يختلف حسب السن القانونية للإعراب عن الموافقة في بلد الإقامة.
المادة 8 من لائحة الاتحاد الأوروبي التنظيمية لحماية البيانات
الأطفال لا يستطيعون الإعراب عن موافقتهم على معالجة البيانات الشخصية الخاصة بخدمات مجتمع المعلومات5. يجب التماس الموافقة من الشخص الذي يتحمل المسؤولية الوالدية عن الطفل. إلا أنه تجدر الإشارة إلى أنه حين تكون المعالجة قانونية بموجب مسوغات أخرى، لا توجد حاجة لاستصدار الموافقة من الطفل أو من يتحمل المسؤولية الوالدية عنه.
في حال توقع أي من الجهات التابعة للخطوط الجوية العربية السعودية أن هناك حاجة للعمل لاستصدار موافقة والدية من أجل أحد خدمات مجتمع المعلومات المقدمة مباشرة إلى طفل، يجب الحصول على إرشاد مسؤول حماية البيانات وموافقته قبل أن يكون من الممكن البدء في أي معالجة للبيانات الشخصية للطفل.
جودة البيانات
ستعتمد أي جهة تابعة للخطوط الجوية العربية السعودية جميع التدابير الضرورية لضمان أن البيانات الشخصية التي تجمعها، وتقوم بمعالجتها كاملة ودقيقة منذ البداية، ومحدثة بحيث تعكس الوضع الحالي لصاحب البيانات. تشمل التدابير التي تعتمدها الخطوط الجوية العربية السعودية لضمان جودة البيانات:
- التصويب للبيانات الشخصية المعروف أنها غير صحيحة أو غير دقيقة أو غير مكتملة أو غير واضحة أو مضللة أو قديمة حتى وإن لم يطلب صاحب البيانات التصحيح.
- الاحتفاظ بالبيانات الشخصية لمدة لا تتجاوز الفترة الضرورية لتلبية الاستخدامات المسموح بها أو لاستيفاء مدة الاستبقاء المطبقة قانونًا.
- إزالة البيانات الشخصية إذا كانت بالمخالفة لأي من مبادئ حماية البيانات أو لم تعد هناك حاجة لها.
- تقييد البيانات الشخصية بدلًا من حذفها طالما: يمنع أحد القوانين محوها. قد يعيق المحو مصالح مشروعة لصاحب البيانات. يحتج صاحب البيانات في المنازعات بأن بياناته الشخصية صحيحة، ولا يمكن التأكد بوضوح مما إذا كانت معلوماته صحيحة أم لا.
تحديد السمات واتخاذ القرارات أوتوماتيكيًا
لن تشارك الخطوط الجوية العربية السعودية في تحديد السمات واتخاذ القرارات أوتوماتيكيًا إلا إذا كان ذلك ضروريًا لإبرام عقد مع صاحب البيانات أو تنفيذه أو كان ذلك مصرحًا به بحسب القانون وتم استصدار موافقة صاحب البيانات أو أي من الأمرين السابقين.
حينما تستخدم جهة تابعة للخطوط الجوية العربية السعودية تحديد السمات واتخاذ القرار أوتوماتيكيًا، فإنه سيتم الإفصاح عن هذا الأمر لأصحاب البيانات ذوي الصلة. وفي هذه الحالات ستتاح الفرصة أمام أصحاب البيانات من أجل:
- التعبير عن وجهة نظرهم.
- الحصول على تفسير للقرار المتخذ أوتوماتيكيًا.
- مراجعة المنطق الذي يستخدمه النظام الأوتوماتيكي.
- تزويد النظام الأوتوماتيكي ببيانات إضافية.
- أن يجري إنسان مراجعة للقرار المتخذ أوتوماتيكيًا.
- الاحتجاج على القرار المتخذ أوتوماتيكيًا.
- الاعتراض على إجراء عملية اتخاذ القرار أوتوماتيكيًا.
يجب أيضًا أن تتأكد أي جهة تابعة للخطوط الجوية العربية السعودية من أن جميع عمليات تحديد السمات واتخاذ القرارات أوتوماتيكيًا المتصلة بصاحب البيانات مبنية على بيانات دقيقة.
التسويق الإلكتروني
كقاعدة عامة لن ترسل الخطوط الجوية العربية السعودية مواد ترويجية أو خاصة بالتسويق المباشر إلى المتعاملين معها من خلال قنوات التواصل الرقمية مثل الهواتف المحمولة، والبريد الإلكتروني، والإنترنت دون الحصول أولًا على موافقتهم. يجب على أي جهة تابعة للخطوط الجوية العربية السعودية راغبة في القيام بحملة تسويقية إلكترونية بدون الحصول على موافقة مسبقة من أصحاب البيانات أن تستصدر موافقة من مسؤول حماية البيانات أو مراقب البيانات على هذه الحملة.
حين تتم الموافقة على معالجة البيانات الشخصية لأغراض التسويق الإلكتروني، يجب إخبار أصحاب البيانات عند أول اتصال معهم أن لهم الحق في الاعتراض، في أي مرحلة، على معالجة بياناتهم لأجل هذه الأغراض. إذا قدم أصحاب البيانات اعتراضًا، يجب أن تتوقف على الفور المعالجة المتصلة بالتسويق الإلكتروني لبياناتهم الشخصية، ويجب وضع التفاصيل الخاصة بهم على قائمة تعطيل مع سجل لقرار الانسحاب الخاص بهم، بدلًا من حذف بياناتهم بالكامل.
الاحتفاظ بالبيانات
لضمان معالجة عادلة، لن تحتفظ الخطوط الجوية العربية السعودية بالبيانات الشخصية لمدة أطول من الفترة المطلوبة فيما يتعلق بالأغراض التي جُمعَت في الأصل لأجلها، أو التي تم إجراء معالجة إضافية عليها لأجلها.
ترد مدة الفترة الزمنية التي تحتاج الجهات التابعة للخطوط الجوية العربية السعودية خلالها للاحتفاظ بمعلومات شخصية في "سياسة الاحتفاظ بالمعلومات الشخصية" الخاصة بالخطوط الجوية العربية السعودية. وتأخذ هذه المدة في الاعتبار الاشتراطات القانونية والتعاقدية، بكلا من حدودها الدنيا والقصوى، والتي تؤثر على مدد الاحتفاظ المنصوص عليها في الجدول الزمني. يجب حذف أو تدمير جميع البيانات الشخصية بأسرع وقت ممكن متى تم التأكد من أنه لم تعد هناك حاجة للاحتفاظ بها.
حماية البيانات
تعتمد كل من الجهات التابعة للخطوط الجوية العربية السعودية تدابير مادية وتقنية وتنظيمية لضمان أمن البيانات الشخصية. وهذا يتضمن منع الفقدان أو التلف وما لم يصرح به من تغيير أو وصول أو معالجة أوالمخاطر الأخرى التي من الممكن أن تتعرض لها البيانات بفعل الإنسان أو المحيط المادي أو الطبيعي.
وتنص "سياسة أمن المعلومات" الخاصة بالخطوط الجوية العربية السعودية على الحد الأدني من تدابير أمن المعلومات الواجب على أي من الجهات التابعة للخطوط الجوية العربية السعودية اعتمادها. ويرد أدناه ملخص لتدابير الأمن المتصلة بالبيانات الشخصية:
- منع وصول الأشخاص غير المصرح لهم إلى أنظمة معالجة البيانات التي تتم معالجة البيانات الشخصية فيها.
- منع الأشخاص الذين يحق لهم استخدام أحد أنظمة المعالجة من الوصول إلى بيانات شخصية خارج نطاق احتياجاتهم والتصريحات الخاصة بهم.
- ضمان أنه لا يمكن قراءة البيانات الشخصية في أثناء نقلها بطريق إلكتروني أو نسخها أو تعديلها أو حذفها دون تصريح.
- ضمان توافر سجلات الوصول لإثبات ما إن كان تم إدخال بيانات شخصية إلى نظام معالجة البيانات أو تعديلها أو حذفها منه والشخص الذي قام بهذا الأمر.
- ضمان أنه في حالة كانت المعالجة ستُجرى عن طريق معالج بيانات، فإنه لا يمكن معالجتها إلا وفقًا لتعليمات مراقب البيانات.
- ضمان أن البيانات الشخصية محمية ضد التدمير غير المرغوب فيه أو الفقد.
- ضمان قابلية معالجة البيانات الشخصية المُجمعة لأغراض مختلفة بشكل منفصل وضمان حدوث هذا.
- ضمان عدم الاحتفاظ بالبيانات الشخصية لمدة أطول مما هو ضروري.
طلبات أصحاب البيانات
يؤسس مراقب البيانات بدعم من مسؤول حماية البيانات نظامًا لتمكين ممارسة أصحاب البيانات لحقوقهم فيما يتصل بما يلي:
- الوصول إلى المعلومات.
- الاعتراض على المعالجة.
- الاعتراض على اتخاذ القرارات أوتوماتيكيًا وتحديد السمات.
- تقييد المعالجة.
- إمكانية نقل البيانات.
- تصحيح البيانات.
- محو البيانات.
إذا قدم أحد الأشخاص طلبًا متعلقًا بأي من الحقوق الواردة أعلاه، ستنظر الخطوط الجوية العربية السعودية في كل طلب منها وفقًا لجميع ما هو معمول به من قوانين ولوائح لحماية البيانات. لن تكون هناك أي رسوم إدارية للنظر في هذه الطلبات والامتثال لها أو أي من هذين الأمرين إلا إذا تم اعتبار الطلب غير ضروري أو مبالغ فيه.
يحق لأصحاب البيانات الحصول، بناءً على طلب كتابي مقدم إلى مراقب البيانات وبموجب التحقق الإيجابي من هوياتهم، على المعلومات التالية حول البيانات الشخصية الخاصة بهم:
- الأغراض التي تُجمَع بياناتهم الشخصية لأجلها، وتتم معالجتها، واستخدامها وتخزينها.
- مصدر أو مصادر البيانات الشخصية، إن لم يتم الحصول عليها من صاحب البيانات.
- فئات البيانات الشخصية الخاصة بصاحب البيانات التي يتم تخزينها.
- المتلقين أو فئات المتلقين الذين نقلت إليهم البيانات الشخصية أو من الممكن أن تنقل إليهم بالإضافة إلى مواقع هؤلاء.
- الفترة الزمنية المتصورة لتخزين البيانات الشخصية أو المنطق وراء تحديد الفترة الزمنية للتخزين.
- استخدام أي أنظمة أوتوماتيكية لاتخاذ القرارات بما في ذلك تحديد السمات.
- حق أصحاب البيانات فيما يلي: الاعتراض على معالجة بياناتهم الشخصية. تقديم شكوى لدى سلطة حماية البيانات. طلب تصحيح بياناتهم الشخصية أو محوها. طلب تقييد معالجة بياناتهم الشخصية.
يجب أن توجه جميع الطلبات المستلمة بشأن الوصول إلى البيانات الشخصية أو تصحيحها إلى مراقب البيانات الذي سيسجل كل طلب بمجرد استلامه له. يقدم رد على كل طلب خلال مدة 30 يوم من تاريخ استلام الطلب الكتابي المقدم من صاحب البيانات. يجب التأكد عبر وسيلة تحقق مناسبة من أن مقدم الطلب هو صاحب البيانات أو أحد ممثليه القانونيين المصرح لهم. لأصحاب البيانات الحق في أن يطلبوا من الخطوط الجوية العربية السعودية تصحيح البيانات الشخصية الخاطئة أو المضللة أو القديمة أو غير المكتملة وتعديلها.
إذا لم تتمكن الخطوط الجوية العربية السعودية من التجاوب بصورة وافية مع الطلب خلال 30 يوم، يقدم مراقب البيانات رغم ذلك المعلومات التالية إلى صاحب البيانات أو أحد ممثليه القانونيين المصرح لهم خلال المدة المحددة:
- إقرار باستلام الطلب.
- أي معلومات تم تحديدها حتى تاريخه.
- تفاصيل عن أي معلومات مطلوبة لا يمكن تزويد صاحب البيانات بها أو تعديلات، وسبب أو أسباب الرفض وأي إجراءات يحق له اتخاذها للاستئناف على هذا القرار.
- التاريخ المتوقع فيه تقديم ما تبقى من ردود.
- تقدير لأي نفقات يجب على صاحب البيانات دفعها (أي حين يكون الطلب مبالغًا فيه).
- معلومات حول اسم الشخص الذي ينبغي أن يتواصل معه صاحب البيانات من داخل الخطوط الجوية العربية السعودية للمتابعة ومعلومات التواصل معه.
يجب الإشارة إلى احتمال حدوث حالات قد يكون عندها تقديم المعلومات التي طلبها صاحب البيانات يؤدي إلى الكشف عن بيانات شخصية تخص شخص آخر. في مثل هذه الحالات، يجب تنقيح المعلومات أو حجبها بحسب ما قد يقتضيه الحال أو ما قد يكون مناسبًا لحماية حقوق ذلك الشخص.
يمكن الاطلاع على الإرشادات التفصيلية بشأن التجاوب مع الطلبات المقدمة من أصحاب البيانات في وثيقة "إجراءات التجاوب مع طلبات أصحاب البيانات" الخاصة بالخطوط الجوية العربية السعودية.
طلبات وكالات إنفاذ القانون والإفصاحات
في ظروف معينة، يُسمح بمشاركة البيانات الشخصية دون علم صاحب البيانات أو موافقته. تكون هذه هي الحال عندما يكون الإفصاح عن البيانات الشخصية ضروريًا من أجل أي من الأغراض التالية:
- منع الجرائم أو الكشف عنها.
- القبض على مرتكبي الأعمال الإجرامية أو مقاضاتهم.
- تحديد قيمة ضريبة أو رسوم أو تحصيلها.
- بموجب أمر محكمة أو أحد القواعد القانونية.
إذا كانت إحدى الجهات التابعة للخطوط الجوية العربية السعودية تقوم بمعالجة البيانات الشخصية لواحد من هذه الأغراض، فحينها يمكن أن يطبق استثناء بخصوص قواعد المعالجة الواردة في هذه السياسة ولكن فقط إلى الدرجة التي يكون عدم تطبيق هذا الاستثناء عندها من المحتمل أن يخل بالقضية محل النظر.
إذا تلقت إحدى الجهات التابعة للخطوط الجوية العربية السعودية طلبًا من محكمة أو أية سلطة تنظيمية أو سلطة إنفاذ للقانون من أجل معلومات تتعلق بأحد المتعاملين مع الخطوط الجوية العربية السعودية، يجب على الفور إخطار الفريق القانوني للخطوط الجوية العربية السعودية ومسؤول حماية البيانات الذي سيقدم الإرشاد والمساعدة بصورة شاملة.
التدريب على حماية البيانات
تتحدد المسؤوليات بموجب هذه السياسة لجميع موظفي الخطوط الجوية العربية السعودية الذين لهم حق الوصول إلى البيانات الشخصية بشكل محدد أمامهم كجزء من التدريب التوجيهي الذي يتلقونه. إضافة إلى هذا، تقدم كل الجهات التابعة للخطوط الجوية العربية السعودية تدريبات على حماية البيانات وتوجيهات إجرائية بصورة منتظمة لفريق العمل لديها.
يحتوي التدريب والتوجيه الإجرائي الوارد، على أقل تقدير، على العناصر التالية:
- مبادئ حماية البيانات أعلاه.
- واجب كل موظف فيما يخص عدم استخدام البيانات الشخصية وعدم السماح باستخدامها إلا من قبل الأشخاص المصرح لهم وللأغراض المصرح بها.
- الحاجة للاستخدام السليم والمناسب للنماذج والإجراءات المعتمدة من أجل تنفيذ هذه السياسة.
- الاستخدام الصحيح لكلمات السر، ورموز الأمان وآليات الوصول الأخرى
- أهمية تقييد الوصول للبيانات الشخصية، مثل استخدام شاشات توقف محمية بكلمات سر، وتسجيل الخروج عند عدم تشغيل
- الأنظمة بواسطة شخص مصرح له أو عدم تواجده في نفس مكان الأنظمة.
- التخزين الآمن للملفات اليدوية والنسخ الورقية المطبوعة ووسائط التخزين الإلكترونية.
- الحاجة لاستصدار التصاريح المناسبة واستخدام الضمانات الملائمة من أجل جميع عمليات نقل البيانات الشخصية خارج الشبكة الداخلية ومقرات المكاتب.
- التخلص المناسب من البيانات الشخصية عن طريق المعدات الآمنة لتمزيق الأوراق.
- أي مخاطر خاصة متصلة بأنشطة أو واجبات إدارية معينة.
عمليات نقل البيانات
يجوز للجهات التابعة للخطوط الجوية العربية السعودية أن تنقل البيانات الشخصية إلى متلقين داخليين أو أطراف ثالثة متواجدون في دولة أخرى حين يكون هناك اعتراف بأن هذه الدولة لديها مستوى كافي من الحماية القانونية7 لحقوق أصحاب البيانات ذوي الصلة وحرياتهم. حيثما تكون هناك حاجة لنقل البيانات إلى دول ينقصها المستوى الكافي من الحماية القانونية (أي دول العالم الثالث)، يجب إجراء عمليات النقل هذه مع الامتثال لآلية نقل معتمدة. يتطلب هذا قاعدة مؤسسية ملزمة (BCR) معتمدة من السلطة الإشرافية.
لا يجوز للجهات التابعة للخطوط الجوية العربية السعودية أن تنقل البيانات الشخصية إلا عند انطباق أحد احتمالات النقل الواردة أدناه:
- قد أعطى صاحب البيانات الموافقة على نقل البيانات المقترح.
- كان النقل ضروريًا من أجل تنفيذ عقد مبرم مع صاحب البيانات.
- كان النقل ضروريًا من أجل تنفيذ التدابير ما قبل التعاقدية المتخذة تجاوبًا مع طلب صاحب البيانات.
- كان النقل ضروريًا من أجل إبرام عقد مع طرف ثالث أو تنفيذ عقد مبرم مع طرف ثالث من أجل مصلحة صاحب البيانات.
- كان النقل ملزم قانونًا بناءً على مسوغات المصلحة العامة.
- كان النقل ضروريًا لإقامة الدعاوى القانونية، أو سيرها، أو الدفاع فيها.
- كان النقل ضروريًا من أجل حماية المصالح الحيوية لصاحب البيانات.
النقل بين الجهات التابعة للخطوط الجوية العربية السعودية
حتى تتمكن الخطوط الجوية العربية السعودية من أداء أعمالها بفعالية فيما بين الجهات المختلفة التابعة لها، يمكن أن تحدث حالات يكون فيها من الضروري نقل البيانات الشخصية من أحد الجهات التابعة لها إلى جهة أخرى تابعة لها، أو السماح بالوصول إلى البيانات الشخصية من موقع فيما وراء البحار. وعند حدوث هذا، تظل الجهة التابعة للخطوط الجوية العربية السعودية المرسلة للبيانات الشخصية مسؤولة عن ضمان حماية تلك البيانات الشخصية.
وتتصرف الخطوط الجوية العربية السعودية في أمر نقل البيانات الشخصية بين الجهات التابعة لها، حين يكون موقع الجهة المتلقية في دولة عالم ثالث، باستخدام آلية نقل البيانات بموجب القواعد المؤسسية الملزمة. تحفظ القواعد المؤسسية الملزمة الحقوق النافذة، والملزمة قانونًا الخاصة بأصحاب البيانات فيما يتعلق بمعالجة بياناتهم الشخصية ويجب أن تعمل كل جهة معتمدة من الجهات التابعة للخطوط الجوية العربية السعودية على إنفاذها، بما في ذلك الموظفين بتلك الجهات. عند نقل بيانات شخصية لجهة أخرى من الجهات التابعة للخطوط الجوية العربية السعودية التي تقع في دولة من دول العالم الثالث، يجب عليك أن:
- تتأكد من أن الجهة المتلقية التابعة للخطوط الجوية العربية السعودية مدرجة في القائمة المعتمدة للجهات التابعة للخطوط الجوية العربية السعودية والتي تخضع إلى "اتفاق القواعد المؤسسية الملزمة" الخاص بالخطوط الجوية العربية السعودية. تحتفظ الخطوط الجوية العربية السعودية بتلك القائمة المعتمدة.
- تنقل فقط أدني قدر ممكن من البيانات الشخصية وضروري من أجل الغرض المحدد من النقل (على سبيل المثال، لإنهاء إحدى المعاملات أو إجراء خدمة معينة).
- تتأكد من استخدام تدابير أمنية كافية لحماية البيانات الشخصية أثناء النقل (بما في ذلك الحماية بكلمات السر والتشفير، حسبما يقتضي الأمر).
النقل إلى أطراف ثالثة
لن تنقل أي جهة تابعة للخطوط الجوية العربية السعودية بيانات شخصية أو تسمح بالوصول إليها إلا بعد أن تستلم ضمانات بأن الجهة المتلقية ستعالج المعلومات بطريقة مشروعة وتحميها بصورة مناسبة. حين تكون هناك معالجة من قبل طرف ثالث، ستتأكد أي جهة تابعة للخطوط الجوية العربية السعودية أولًا مما إذا كان، بموجب القانون المعمول به، هذا الطرف الثالث مراقب بيانات، أو معالج بيانات فيما يخص البيانات الشخصية الجاري نقلها.
حيثما يتم التوصل إلى أن هذا الطرف الثالث هو مراقب بيانات، ستبرم معه الجهة التابعة للخطوط الجوية العربية السعودية، بالتعاون مع مسؤول حماية البيانات، اتفاقًا مناسبًا لتوضيح مسؤوليات كل طرف فيما يتعلق بالبيانات الشخصية المنقولة.
حيثما يتم التوصل إلى أن هذا الطرف الثالث هو معالج بيانات، ستبرم معه الجهة التابعة للخطوط الجوية العربية السعودية، بالتعاون مع مراقب البيانات وفي وجود دعم من مسؤول حماية البيانات، اتفاق مناسب بخصوص المعالجة. يجب أن يلزم الاتفاق معالج البيانات بحماية البيانات الشخصية من الإفصاح الإضافي وألا تتم معالجة البيانات الشخصية إلا وفقًا لتعليمات الخطوط الجوية العربية السعودية. إضافة إلى هذا، يلزم هذا الاتفاق معالج البيانات باتخاذ التدابير التقنية والتنظيمية المناسبة من أجل حماية البيانات الشخصية بالإضافة إلى إجراءات لتقديم إشعارات بخصوص خروقات البيانات الشخصية. تنشئ الخطوط الجوية العربية السعودية اتفاقًا معياريًا لاستخدامه كنموذج مرجعي أساسي. حين تستعين أي جهة تابعة للخطوط الجوية العربية السعودية بمصدر خارجي كطرف ثالث لتقديم الخدمات (بما في ذلك خدمات الخودمة السحابية)، يتم تحديد ما إذا كان الطرف الثالث سيعالج البيانات الشخصية بالنيابة عن الجهة التابعة وما إذا كان قيامه بهذا العمل سيندرج ضمنه أي نقل للبيانات الشخصية لدولة من دول العالم الثالث. وفي كلتا الحالتين، تتأكد، بالتعاون مع مراقب البيانات ومسؤول حماية البيانات، من النص على بنود وافية في اتفاق العمل فيما يخص المعالجة وعمليات النقل إلى دول العالم الثالث. تنشئ الخطوط الجوية العربية السعودية اتفاقًا معياريًا لاستخدامه كنموذج مرجعي أساسي في مثل هذه الحالات.
يجري مسؤول حماية البيانات مراجعات منتظمة لمعالجة البيانات الشخصية التي تقوم بها الأطراف الثالثة، لا سيما فيما يتعلق بالتدابير التقنية والتنظيمية القائمة لديهم. سيتم الإبلاغ عن أي أوجه قصور كبيرة إلى فريق الإدارة التنفيذية للخطوط الجوية العربية السعودية وسيقوم الفريق بمتابعتها.
عمليات نقل البيانات دوليًا
لضمان حماية حقوق أصحاب البيانات، عند نقل البيانات الشخصية بين الدول، يجوز نقل البيانات الشخصية عندما تكون الجهة المتلقية للبيانات الشخصية قد قدمت تدابير وافية. تكون حقوق الأفراد نافذة وتتاح سبل انتصاف قانونية فعالة أمامهم عقب عملية النقل.
يمكن توفير تدابير حماية وافية من خلال:
- اتفاق ملزم قانونًا بين السلطات والأجهزة العمومية،
- أو قواعد مؤسسية ملزمة (اتفاقات مبرمة بين المؤسسات ضمن مجموعة من الشركات تحكم عمليات النقل)،
- أو بنود معيارية لحماية البيانات في صورة بنود نموذجية بخصوص عمليات النقل تعتمدها اللجنة،
- أو بنود معيارية لحماية البيانات في صورة بنود نموذجية بخصوص عمليات النقل تعتمدها سلطة إشرافية وتوافق عليها اللجنة،
- أو الامتثال مع مدونة قواعد سلوك حاصلة على موافقة سلطة إشرافية ومعتمدة منها،
- أو شهادة صادرة بموجب آلية معتمدة لإصدار الشهادات كما هو منصوص عليه في اللائحة التنظيمية لحماية البيانات،
- أو بنود تعاقدية متفق عليها ومعتمدة من السلطة الإشرافية المختصة،
- أو أحكام مدرجة ضمن ترتيبات إدارية بين السلطات أو الأجهزة العمومية معتمدة من قبل السلطة الإشرافية المختصة.
التجاوب مع الشكاوى
يجب أن يتقدم أصحاب البيانات بوثائق كتابية إلى مراقب البيانات تشرح موضوع شكاواهم بشأن معالجة بياناتهم الشخصية. سيُجرى تحقيق في الشكوى بالقدر الملائم بناءً على الأسس الموضوعية للحالة محل النظر. سيخبر مراقب البيانات صاحب البيانات بالتطورات الحادثة في الشكوى ونتائجها خلال مدة معقولة.
إذا لم يمكن حل المسألة من خلال المشاورات بين صاحب البيانات ومراقب البيانات، يجوز لصاحب البيانات حينها، وبناء على اختياره، السعي للانتصاف عبر الوساطة، أو التحكيم الملزم، أو رفع الدعاوى القضائية، أو عبر تقديم شكوى لدى السلطة الإشرافية ضمن الولاية القضائية السارية.
الإبلاغ عن الخروقات
على أي فرد يشتبه في حدوث خرق للبيانات الشخصية نتيجة سرقة البيانات الشخصية أو الكشف عنها أن يخطر مراقب البيانات على الفور مع بيان وصف ما حدث. يمكن توجيه إخطار بشأن الواقعة في المقام الأول إلى مدير البيانات، أو المدير التنفيذي، أو مسؤول حماية البيانات.
سيحقق مراقب البيانات ومسؤول حماية البيانات في جميع الوقائع التي يتم الإبلاغ عنها لتأكيد حدوث خرق للبيانات الشخصية من عدمه. إذا تم تأكيد حدوث خرق للبيانات الشخصية، سيقوم مراقب البيانات بدعم من مسؤول حماية البيانات بعمل الإجراء المأذون به وذي الصلة بناءً على شدة أهمية البيانات الشخصية المعنية وكميتها. في حالة الخروقات الشديدة للبيانات الشخصية، تنسق الإدارة القانونية وإدارة الامتثال للخطوط الجوية العربية السعودية للرد على هذا الخروقات وإدارة هذا الرد والتجاوب معه.
الحفاظ على السياسة
توجه جميع الاستفسارات حول هذه السياسة، بما في ذلك طلبات الاستثناءات والتغييرات إلى مراقب البيانات.
النشر
تتاح هذه السياسة لجميع موظفي الخطوط الجوية العربية السعودية من خلال سياسة الشبكة الإلكترونية الداخلية (الإنترانت) لسياسة الشركة أو عبر وسائل بديلة يراها مراقب البيانات مناسبة.
تاريخ السريان
تصبح هذه السياسة نافذة المفعول اعتبارًا من مايو 2018.
المراجعات
يكون مراقب البيانات مسترشدًا بنصح مسؤول حماية البيانات مسؤولًا عن الحفاظ على هذه السياسة ودقتها. يرسل إشعار بالمراجعات الهامة إلى موظفي الخطوط الجوية العربية السعودية من خلال إدارة الموارد البشرية. تدخل التغييرات على هذه السياسة حيز النفاذ في وقت نشرها على الشبكة الإلكترونية الداخلية للخطوط الجوية العربية السعودية.
الوثائق ذات الصلة
سياسة ملفات الارتباط الخاصة بالخطوط الجوية العربية السعودية
سياسة الخصوصية الخاصة بالخطوط الجوية العربية السعودية
الملحق أ - مواد اللائحة التنظيمية لحماية البيانات المشار إليها
مادة 6 - مشروعية المعالجة
تعرف المادة 6 (1) مشروعية المعالجة:
- الموافقة،
- تنفيذ العقد،
- الالتزام القانوني،
- المصالح الحيوية،
- المصلحة العامة،
- المصالح المشروعة.
المادة 9 - معالجة الفئات الخاصة من البيانات الشخصية
- تحظر معالجة البيانات الشخصية التي تكشف عن الأصل العرقي أو الإثني، أو الآراء السياسية، أو المعتقدات الدينية أو الفلسفية، أو عضوية النقابات المهنية أو العمالية، ومعالجة البيانات الوراثية، وبيانات القياسات الحيوية لغرض تحديد هوية شخص طبيعي تحديدًا يميزه عن غيره، أو البيانات المتعلقة بالحالة الصحية لشخص ما أو البيانات المتعلقة بحياته الجنسية أو ميله الجنسي.
- لا تسري الفقرة 1 إذا انطبقت واحدة مما يلي:
- قد أعطى صاحب البيانات موافقة صريحة على معالجة تلك البيانات الشخصية لواحد أو أكثر من الأغراض المحددة، باستثناء الحالات التي ينص فيها قانون الاتحاد أو قانون دولة عضو في الاتحاد على عدم جواز رفع الحظر المشار إليه في الفقرة 1 من قبل صاحب البيانات،
- كانت المعالجة ضرورية لأغراض تنفيذ التزامات مراقب البيانات أو صاحب البيانات وممارسة حقوق معينة لهم في مجال العمالة والضمان الاجتماعي وقانون الحماية الاجتماعية طالما كانت المعالجة مصرح بها بموجب قانون الاتحاد أو قانون دولة عضو في الاتحاد أو اتفاقية جماعية عملًا بقانون دولة عضو ينص على التدابير المناسبة بشأن الحقوق الأساسية لأصحاب البيانات والمصالح الخاصة بهم،
- كانت المعالجة ضرورية لحماية المصالح الحيوية لصاحب البيانات أو لشخص طبيعي آخر ويكون حينها صاحب البيانات عاجزًا بدنيًا أو قانونيًا عن الإعراب عن الموافقة،
- إجراء المعالجة أثناء قيام أحد المؤسسات أو الروابط أو غيرها من الأجهزة الغير هادفة للربح بأنشطتها المشروعة مع اتخاذها للضمانات المناسبة سعيًا نحو مقصد فلسفي أو ديني أو متعلق بنقابة مهنية أو عمالية وبشرط ألا تتعلق المعالجة إلا بأعضاء في ذلك الجهاز أو بأعضاء سابقين فيه أو بأشخاص على اتصال منتظم مع الجهاز فيما يتصل بأغراضه وألا يتم الكشف عن البيانات الشخصية خارج ذلك الجهاز دون موافقة أصحاب البيانات،
- اتصال المعالجة ببيانات شخصية قد أعلن عنها صاحبها علنًا على الملأ،
- كانت المعالجة ضرورية لإقامة الدعاوى القانونية، أو سيرها، أو الدفاع فيها أو حيثما تتصرف المحاكم وفقًا لسلطاتها القضائية.
- كانت المعالجة ضرورية لأسباب تتعلق بمصلحة عامة كبيرة، على أساس من قانون الاتحاد أو قانون دولة عضو بالاتحاد والذي يتناسب مع المقصد، واحترام جوهر الحق في حماية البيانات وتوفير ضمانات مناسبة ومحددة لحماية الحقوق الأساسية لأصحاب البيانات والمصالح الخاصة بهم،
- كانت المعالجة ضروية لأغراض تتعلق بالطب الوقائي أو الطب المهني، من أجل تقييم قدرة الموظف على العمل، والتشخيص الطبي، وتقديم رعاية صحية أو اجتماعية أو معالجة أو إدارة أنظمة الرعاية الصحية أو الاجتماعية وخدماتها على أساس قانون الاتحاد أو قانون دولة عضو في الاتحاد أو عملًا بعقد مبرم مع أحد المهنيين الصحيين وخاضع للشروط والضمانات المشار إليها في الفقرة 3،
- كانت المعالجة ضرورية لأسباب تتعلق بالمصلحة العامة فيما يتصل بناحية الصحة العامة، مثل الحماية ضد المخاطر الكبيرة العابرة للحدود التي تهدد الصحة أو ضمان معايير مرتفعة لجودة الرعاية الصحية والمنتجات الطبية أو الأجهزة الطبية وأمانهم، على أساس قانون الاتحاد أو قانون دولة عضو في الاتحاد والذي ينص على ضرورة اتخاذ تدابير مناسبة ومحددة لحماية حقوق أصحاب البيانات وحرياتهم، ولا سيما السرية المهنية.
- كانت المعالجة ضرورية لأغراض حفظ الوثائق من أجل المصلحة العامة، أو لأغراض علمية أو تاريخية أو بحثية أو لأغراض إحصائية وفقًا للمادة 89 (1) بناءً على قانون الاتحاد أو قانون دولة عضو في الاتحاد والذي يتناسب مع المقصد، ويحترم جوهر الحق في حماية البيانات وينص على توفير تدابير مناسبة ومحددة لحماية الحقوق الأساسية لأصحاب البيانات والمصالح الخاصة بهم.
- يمكن معالجة البيانات الشخصية المشار إليها في الفقرة 1 من أجل الأغراض المشار إليها في النقطة (ح) من الفقرة 2 حينما يقوم على معالجة تلك البيانات، أو تكون تلك المعالجة تحت مسؤولية، أحد المهنيين الخاضعين لالتزام المهنية السرية بموجب قانون الاتحاد أو قانون دولة عضو بالاتحاد أو قواعد وضعتها أجهزة وطنية مختصة أو شخص آخر خاضع أيضًا لالتزام السرية المهنية بموجب قانون الاتحاد أو قانون دولة عضو بالاتحاد أو قواعد وضعتها أجهزة وطنية مختصة.
- يجوز للدول الأعضاء الاحتفاظ بشروط إضافية أو إضافتها، بما في ذلك التقييدات، فيما يتعلق بمعالجة البيانات الوراثية، أو بيانات القياسات الحيوية، أو البيانات المتعلقة بالصحة.