سياسة الخصوصية والسيادة الرقمية لمنصة "كلين سيستم" (Clean System)

1. مقدمة ونطاق التطبيق

تؤكد منصة "كلين سيستم" (Clean System)، بصفتها "جهة التحكم" (Data Controller)، التزامها التام بحماية حقوق الأفراد المتعلقة ببياناتهم الشخصية، وذلك وفقاً لمتطلبات نظام حماية البيانات الشخصية السعودي (PDPL) واللوائح التنفيذية الصادرة عن الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا). تهدف هذه السياسة إلى تعزيز الشفافية والابتكار بما يتوافق مع مستهدفات رؤية المملكة 2030 في التحول الرقمي وبناء اقتصاد قائم على البيانات.

نطاق التطبيق: تسري هذه السياسة على كافة عمليات المعالجة التي تضطلع بها المنصة، وتعتبر وثيقة تنظيمية ملزمة تخضع للتحديث المستمر لمواكبة التغيرات في ممارسات المعالجة أو التعديلات التشريعية الصادرة عن الجهات المختصة.

2. مبادئ معالجة البيانات الشخصية

تتحمل منصة "كلين سيستم" المسؤولية القانونية الكاملة عن إثبات الامتثال للمبادئ السبعة الأساسية الواردة في دليل نظام حماية البيانات الشخصية:

  • المشروعية والإنصاف والشفافية: معالجة البيانات بطريقة نظامية عادلة، مع ضمان وجود إشعارات خصوصية واضحة.
  • تقييد الغرض: حصر معالجة البيانات في أغراض مشروعة ومحددة عند الجمع.
  • الحد الأدنى من البيانات: الاكتفاء بجمع البيانات الضرورية فقط لتحقيق الغرض من المعالجة.
  • الدقة: ضمان دقة البيانات الشخصية وتحديثها واتخاذ إجراءات التصحيح الفورية عند الحاجة.
  • تقييد التخزين: عدم الاحتفاظ بالبيانات الشخصية بعد انتهاء الغرض من جمعها، ما لم تقتضِ الأنظمة غير ذلك.
  • النزاهة والسرية: تطبيق تدابير أمنية صارمة تضمن حماية البيانات من الوصول غير المصرح به أو التلف.
  • المسؤولية: تلتزم المنصة (جهة التحكم) بإعداد السجلات والوسائل الإجرائية التي تثبت التزامها بالنظام أمام الجهة المختصة.

3. المسوغات النظامية لجمع ومعالجة البيانات

تعتمد المنصة في أنشطة المعالجة على المسوغات النظامية التالية، مع الالتزام بإجراء "اختبار الموازنة" (Balancing Test) عند الاقتضاء:

المسوغ النظامي وصف حالة المعالجة
إبرام الاتفاقية المعالجة الضرورية لتقديم خدمات المنصة للمستفيد بصفته طرفاً في اتفاقية الخدمة وللوفاء بالالتزامات التعاقدية.
الموافقة الصريحة الحصول على موافقة حرة وصريحة لأغراض محددة (مثل النشرات التسويقية)، مع ضمان حق المستخدم في العدول عنها.
المصالح المشروعة المعالجة التي تقتضيها مصالح المنصة المشروعة، بشرط ألا تغلب على حقوق صاحب البيانات. يُحظر استخدام هذا المسوغ لمعالجة البيانات الحساسة.

4. حقوق أصحاب البيانات الشخصية

تكفل منصة "كلين سيستم" لأصحاب البيانات الحقوق الستة التالية، وتوجه كافة وحداتها الإدارية والتقنية للاستجابة الفورية لهذه الطلبات:

  • الحق في العلم: الإحاطة بالمسوغ النظامي والغرض من المعالجة.
  • الحق في الوصول: الاطلاع على البيانات الشخصية المتوفرة لدى المنصة.
  • الحق في الحصول على البيانات: استلام نسخة من البيانات بصيغة مقروءة وواضحة.
  • الحق في التصحيح: طلب تحديث أو إكمال البيانات غير الدقيقة.
  • الحق في الإتلاف: طلب حذف البيانات عند انتفاء الحاجة إليها أو العدول عن الموافقة.
  • الحق في العدول عن الموافقة: التراجع عن الموافقة على المعالجة في أي وقت، والتزام المنصة بوقف المعالجة فوراً.

5. المعالجة السحابية العابرة للحدود والسيادة الرقمية (Hostinger)

في إطار استخدام خدمات الاستضافة السحابية الخارجية (Hostinger)، تلتزم المنصة بضوابط السيادة الرقمية والخصوصية بالتصميم:

  • السيادة المنطقية والقانونية: بالرغم من استضافة البيانات في خوادم خارجية، إلا أنها تظل تحت الولاية القضائية والقانونية للمملكة العربية السعودية. يتم تأمين السيادة من خلال تقنيات التشفير الشامل (End-to-End Encryption)، حيث تحتفظ المنصة حصرياً بمفاتيح التشفير داخل حدود المملكة (الرياض)، مما يمنع الطرف الخارجي من الوصول الفعلي لمحتوى البيانات.
  • الامتثال التعاقدي: تلتزم المنصة بمتابعة امتثال (Hostinger) عبر عمليات تدقيق دورية لضمان سلامة البيانات وفق المعايير الوطنية.

6. السيادة على السجلات الإثباتية وحجيتها القانونية

بناءً على "نظام الإثبات" السعودي، تضمن المنصة أن السجلات الرقمية الصادرة عنها تتمتع بـ "الحجية القانونية" (Legal Authoritativeness) الكاملة:

  • السلامة الفنية: يتم توثيق كافة عمليات المعالجة في سجلات رقمية محمية بتقنيات التشفير والوسم الزمني (Timestamping) لضمان "السلامة الفنية" ومنع التلاعب أو التعديل الرجعي.
  • الأدلة الإجرائية: تُعد هذه السجلات "أدلة إجرائية" معتبرة نظاماً أمام المحاكم السعودية، حيث تضمن المنصة استمرارية نزاهة السجلات الرقمية منذ لحظة إنشائها وحتى حفظها النهائي.

7. الخصوصية بالتصميم وبشكل افتراضي (Privacy by Design and Default)

تتبنى المنصة مبدأ "الضبط الافتراضي" (Default Settings) الذي يضمن تطبيق أعلى قيود الخصوصية تلقائياً:

  • إخفاء الهوية (Anonymization): يُعد إخفاء الهوية هو المعيار الأساسي والافتراضي لكافة عمليات المعالجة الثانوية (مثل الأبحاث والتحليلات الإحصائية).
  • الوصول المقيد: تطبيق ضوابط الوصول القائمة على الأدوار (RBAC) والمصادقة متعددة العوامل (MFA) لضمان عدم وصول أي طرف غير مخول للأنظمة.

8. الحوكمة والمسؤولية الإدارية

تخضع ممارسات البيانات في "كلين سيستم" لهيكل حوكمة صارم:

  • مسؤول حماية البيانات الشخصية (DPO): يتم تعيين مسؤول مستقل يتمتع بالخبرة اللازمة، مع ضمان "خط رفع تقارير مباشر" (Direct Reporting Line) للإدارة العليا لضمان الاستقلالية التامة.
  • منصة حوكمة البيانات الوطنية: تلتزم المنصة باستخدام "منصة حوكمة البيانات الوطنية" كبوابة إلزامية لإجراء "تقويم أثر معالجة البيانات الشخصية" (DPIA) عند إطلاق أي تقنيات أو خدمات جديدة قد تترتب عليها مخاطر عالية.

9. خطة الاستجابة لحوادث تسرب البيانات

عند رصد أي حادث تسرب، تلتزم المنصة بالإجراءات التالية:

  • تحديد الحادث: التحقق الفني الفوري من طبيعة الاختراق وفئات البيانات المتأثرة.
  • الاحتواء: عزل الأنظمة المتضررة للحد من الأثر التقني.
  • الإخطار: إبلاغ "سدايا" وأصحاب البيانات المتأثرين في حال وجود مخاطر على حقوقهم، مع الالتزام بالمدد النظامية للإخطار.
  • التوثيق: تسجيل الحادثة بكافة تفاصيلها الفنية والإجرائية في سجل حوادث التسرب الرسمي.

10. التواصل وممارسة الحقوق

تمكّن المنصة أصحاب البيانات من ممارسة حقوقهم عبر القنوات الرسمية المخصصة. وتحتفظ المنصة بحقها في التحقق من هوية مقدم الطلب (باستخدام رموز التحقق أو الهوية الرقمية) لضمان حماية الخصوصية ومنع الإفصاح غير المشروع لأطراف غير مخولة.

العودة للرئيسية