1. المقدمة والنطاق
بصفتها شركة عالمية رائدة في مجال خدمات النقل السريع والتوصيل والخدمات اللوجستية، تُعدّ المعالجة السليمة والمتوافقة للبيانات الشخصية - المتعلقة بالموظفين ومقدمو خدمات البريد السريع، والعملاء والمرسلون والمرسل إليهم وغيرهم - من أهم أولويات مجموعة أرامكس. لا شك في أهمية استخدام البيانات الشخصية لنموذج الأعمال العالمي الذي طورته مجموعة أرامكس، ولكن لا شك أيضاً في التأثير المحتمل على الأفراد نتيجة الاستخدام غير السليم لبياناتهم الشخصية.
تقر مجموعة أرامكس بمسؤوليتها عن ضمان امتثال أنشطتها التي تنطوي على استخدام البيانات الشخصية لجميع اللوائح السارية المتعلقة بالخصوصية وحماية البيانات الشخصية. وُضعت قواعد الشركة الملزمة هذه ("قواعد أرامكس الملزمة") بناءً على المتطلبات المنصوص عليها في اللائحة العامة لحماية البيانات الصادرة من الاتحاد الأوروبي ("اللائحة العامة لحماية البيانات") والتوجيهات المعمول بها من الهيئات الرقابية في الاتحاد الأوروبي لتحقيق هذا الهدف. وتهدف هذه القواعد إلى توضيح ما يلي بما يعود بالنفع على الأفراد وشركاء الأعمال والهيئات الرقابية:
• القواعد التي يتعين على جميع أعضاء مجموعة أرامكس (سواء داخل المنطقة الاقتصادية الأوروبية أو خارجها) مراعاتها عند معالجة البيانات الشخصية؛ و
• آليات تبادل البيانات الشخصية التي قد تتم داخل مجموعة أرامكس؛ و
• الحقوق التي يحق للأفراد الذين تعالج مجموعة أرامكس بياناتهم الشخصية ("أصحاب البيانات") ممارستها تجاه مجموعة أرامكس.
تُعد قواعد أرامكس الملزمة جزءً من مجموعة أوسع من السياسات والإجراءات والإرشادات والنماذج الداخلية التي طورتها مجموعة أرامكس، وتُسمى إطار عمل الالتزام بحماية البيانات لمجموعة أرامكس ("إطار الالتزام بحماية البيانات"). وقد طورت أرامكس إطار الالتزام بحماية البيانات لضمان اتباع منهجية متوافقة وعالية الجودة لحماية البيانات الشخصية في جميع أنحاء مجموعة أرامكس. ولما كانت اللائحة العامة لحماية البيانات تعكس أحد أعلى معايير حماية البيانات الشخصية على مستوى العالم ومبادئ حماية البيانات المعترف بها دولياً، فقد قررت مجموعة أرامكس أن تستند في إطار الالتزام بحماية البيانات إلى متطلبات والتزامات اللائحة العامة لحماية البيانات، مما يُلزم أعضاء مجموعة أرامكس باتباع مبادئها، بغض النظر عن مكان تواجدهم.
ضمن إطار الالتزام بحماية البيانات، تعمل قواعد أرامكس الملزمة أيضاً كأداة نقل بموجب اللائحة العامة لحماية البيانات من أجل السماح بالنقل الدولي للبيانات الشخصية بين أعضاء مجموعة أرامكس (حتى أولئك الذين يقعون خارج المنطقة الاقتصادية الأوروبية). وقد وافقت عليها الهيئة الرقابية الهولندية (Autoriteit Persoonsgegevens) - الجهة المسؤولة عن قواعد الشركة الملزمة - لهذا الغرض.
الجمهور الرئيسي المستهدف لقواعد أرامكس الملزمة هو أصحاب البيانات الذين قد تعالج مجموعة أرامكس بياناتهم الشخصية - بمن فيهم موظفو أرامكس وشركات البريد السريع والعملاء والمرسل إليهم وشركات الشحن وغيرهم (سواء كانوا مواطنين/مقيمين في المنطقة الاقتصادية الأوروبية أم لا، يندرج جميع أصحاب البيانات هؤلاء ضمن نطاق قواعد أرامكس الملزمة). وانطلاقاً من ذلك، صيغت قواعد أرامكس الملزمة بعناية لتكون واضحة ومفهومة وعملية قدر الإمكان، مع مراعاة حقوق وحريات ومصالح هؤلاء الأفراد.
تنطبق قواعد أرامكس الملزمة هذه على جميع البيانات الشخصية التي يعالجها أعضاء مجموعة أرامكس، سواءً كانت هذه البيانات الشخصية صادرة من المنطقة الاقتصادية الأوروبية أم لا، وبغض النظر عما إذا كان أصحاب البيانات المعنيون مواطنين/مقيمين في المنطقة الاقتصادية الأوروبية أم لا.
2. التعريفات
مبين أدناه قائمة تعريفات قد تساعدكم على فهم بعض المصطلحات المستخدمة في قواعد أرامكس الملزمة بشكل أفضل.
• فريق المراجعة الداخلية في أرامكس: يُقصَد به الفريق المركزي في مجموعة أرامكس المسؤول عن تنسيق عمليات المراجعة الداخلية؛
• قواعد أرامكس الملزمة: يُقصَد بها هذه القواعد المؤسسية الملزمة التي تنطبق على مجموعة أرامكس؛
• فريق الاستجابة للحوادث في أرامكس: يُقصَد به الفريق المركزي في مجموعة أرامكس المسؤول عن تنسيق وإدارة الحوادث الأمنية، بما في ذلك انتهاكات البيانات الشخصية؛
• فريق أمن المعلومات في أرامكس: يُقصَد به الفريق المركزي في مجموعة أرامكس المسؤول عن تنسيق وإدارة أمن المعلومات؛
• إطار الالتزام بحماية البيانات: يُقصَد به إطار الالتزام بحماية البيانات في مجموعة أرامكس، وهو مجموعة من السياسات والإجراءات والإرشادات والنماذج الداخلية التي طورتها مجموعة أرامكس بناءً على اللائحة العامة لحماية البيانات، لضمان اتباع منهجية متوافقة وعالية الجودة لحماية البيانات الشخصية في جميع أنحاء مجموعة أرامكس. يتضمن إطار الالتزام بحماية البيانات قواعد أرامكس الملزمة؛
• مجموعة أرامكس: يُقصَد بها مجموعة شركات أرامكس المدرجة في الملحق 1 من هذه القواعد الملزمة؛
• مسؤول حماية البيانات في مجموعة أرامكس: يُقصَد به الفريق ذو المعرفة والكفاءة المتخصصة فيما يتعلق بلوائح وممارسات حماية البيانات، والذي تُعيّنه مجموعة أرامكس للمساعدة في الالتزام باللائحة العامة لحماية البيانات؛
• ممثل مجموعة أرامكس: يُقصَد به شركة أرامكس نيدرلاند بي. في.، وهي عضو في مجموعة أرامكس مُعيّن كتابياً لتمثيل أعضاء مجموعة أرامكس غير المقيمين في الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية فيما يتعلق بالتزاماتهم بموجب اللائحة العامة لحماية البيانات. ممثل مجموعة أرامكس هو أيضاً عضو في مجموعة أرامكس المُفوّض بمسؤوليات حماية البيانات بموجب قواعد أرامكس الملزمة، وبالتالي يتحمل مسؤولية الالتزام بهذه القواعد نيابةً عن أعضاء مجموعة أرامكس غير المقيمين في الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية؛
• فريق الخصوصية في أرامكس: يُقصَد به الفريق المركزي في مجموعة أرامكس المسؤول عن تنسيق المسائل المتعلقة بالخصوصية وحماية البيانات. ويضم فريق الخصوصية في أرامكس أعضاءً منهم مسؤول حماية البيانات في مجموعة أرامكس؛
• اتخاذ القرارات الآلية: يُقصَد به القرارات التي تعتمد فقط على المعالجة الآلية، بما في ذلك إنشاء الملفات الشخصية، والتي تُحدث آثاراً قانونية على الشخص الطبيعي أو تؤثر عليه تأثيراً كبيراً ومماثلاً؛
• الجهة المسؤولة عن قواعد أرامكس الملزمة: يُقصَد به الهيئة الرقابية الرئيسية لقواعد أرامكس الملزمة، بموجب المادتين 47(1) و64 من اللائحة العامة لحماية البيانات، بالإضافة إلى توصيات المجلس الأوروبي لحماية البيانات رقم 1/2022 بشأن طلب الموافقة والعناصر والمبادئ الواردة في قواعد الشركات الملزمة لجهة التحكم في البيانات (المادة 47 من اللائحة العامة لحماية البيانات) - الهيئة الرقابية الهولندية (Autoriteit Persoonsgegevens)؛
• البيانات الحيوية: يُقصَد بها البيانات الشخصية الناتجة عن معالجة تقنية محددة تتعلق بالخصائص الجسدية أو الفسيولوجية أو السلوكية لشخص طبيعي، وتسمح أو تؤكد تحديد الهوية الفريدة لذلك الشخص الطبيعي، كصور الوجه أو بيانات بصمات الأصابع؛
• الموافقة: يُقصَد بها أي إشارة حرة ومحددة ومستنيرة وواضحة لرغبات صاحب البيانات والتي يُعرب من خلالها عن طريق إقرار أو إجراء واضح بالإيجاب عن موافقته على معالجة البيانات الشخصية المتعلقة به؛
• جهة التحكم في البيانات: يُقصَد بها الشخص الطبيعي أو الاعتباري أو السلطة العامة أو الوكالة أو أي هيئة أخرى تحدد بمفردها أو بالاشتراك مع آخرين أغراض ووسائل معالجة البيانات الشخصية؛ وفي حال تحديد أغراض ووسائل هذه المعالجة بموجب قانون الاتحاد أو الدولة العضو، يجوز تحديد جهة التحكم في البيانات أو المعايير المحددة لترشيحه بموجب قانون الاتحاد أو الدولة العضو؛
• اتفاقية معالجة البيانات: يُقصَد بها اتفاقية مكتوبة ملزمة لجهة معالجة البيانات فيما يتعلق بجهة التحكم في البيانات، وتلبي الحد الأدنى من المتطلبات المنصوص عليها في قواعد أرامكس الملزمة (راجع "التعاقد مع جهات معالجة البيانات" أدناه).
• اتفاقية إدارة البيانات: يُقصَد بها اتفاقية مكتوبة تُبرم بين مؤسستين أو أكثر تربطهما علاقة تتضمن معالجة البيانات الشخصية لتنظيم مسؤولياتهما المتعلقة بالامتثال لحماية البيانات بشكل شامل. وقد تتضمن اتفاقية إدارة البيانات شروط اتفاقية معالجة البيانات وشروط اتفاقية التحكم المشترك في البيانات و/أو شروطاً إضافية لتنظيم العلاقات بين جهات التحكم في البيانات المستقلة.
• صاحب البيانات: يُقصَد به شخصاً طبيعياً مُحدداً أو يمكن تحديده - والشخص الطبيعي الذي يمكن تحديده هو الشخص الذي يمكن تحديد هويته بشكل مباشر أو غير مباشر لا سيما بالرجوع إلى عامل تحديد الهوية مثل الاسم أو رقم الهوية أو بيانات الموقع أو رمز هوية عبر الإنترنت أو إلى عامل واحد أو أكثر يتعلق بالهوية الجسدية أو الفسيولوجية أو الجينية أو العقلية أو الاقتصادية أو الثقافية أو الاجتماعية لذلك الشخص الطبيعي.
• تقييم تأثير حماية البيانات: يُقصَد به تقييم لتأثير عمليات معالجة البيانات المُخطط لها على حماية البيانات الشخصية، واستيفاء متطلبات المادة 29 إرشادات فريق عمل حماية البيانات بشأن تقييم تأثير حماية البيانات وتحديد ما إذا كانت معالجة البيانات "من المرجح أن تُسفر عن مخاطر عالية" لأغراض اللائحة 2016/679 وتلك المنصوص عليها في قواعد أرامكس الملزمة (راجع "تقييمات مخاطر الخصوصية وتقييمات تأثير حماية البيانات" أدناه).
• المنطقة الأوروبية: يُقصَد بها المنطقة الاقتصادية الأوروبية؛
• الاتحاد: يُقصَد به الاتحاد الأوروبي؛
• اللائحة العامة لحماية البيانات: يُقصَد بها اللائحة رقم 2016/679 (الاتحاد الأوروبي) الصادرة عن البرلمان الأوروبي والمجلس الأوروبي بتاريخ 27 نيسان 2016؛
• البيانات الجينية: يُقصَد بها البيانات الشخصية المتعلقة بالخصائص الجينية الموروثة أو المكتسبة لشخص طبيعي، وتُقدم معلومات فريدة عن الحالة الجسدية أو الصحية لذلك الشخص الطبيعي، وتنتج على وجه الخصوص عن تحليل عينة بيولوجية من الشخص الطبيعي المعني ؛
• البيانات الصحية: يُقصَد بها البيانات الشخصية المتعلقة بالصحة الجسدية أو العقلية لشخص طبيعي، بما في ذلك تقديم خدمات الرعاية الصحية، التي تكشف عن معلومات حول حالته الصحية؛
• أنظمة المعلومات (أو أنظمة تكنولوجيا المعلومات/أدوات تكنولوجيا المعلومات): يُقصَد بها أي جهاز أو مجموعة من الأجهزة المترابطة أو ذات الصلة، يقوم واحد أو أكثر منها وفقاً لبرنامج ما بمعالجة البيانات الشخصية آلياً، بالإضافة إلى البيانات الشخصية المخزنة أو المعالجة أو المسترجعة أو المنقولة بواسطتها لغرض تشغيلها أو استخدامها أو حمايتها أو الاحتفاظ بها؛
• عمليات التفتيش: يُقصَد بها الاستفسارات وطلبات المعلومات وعمليات التفتيش التي تنفذها الهيئات الرقابية؛
• الاتفاقية الداخلية: يُقصَد بها الاتفاقية الداخلية داخل المجموعة المتعلقة باعتماد إطار الالتزام بحماية البيانات للمجموعة ("إطار الالتزام بحماية البيانات")، بما في ذلك قواعد الشركة الملزمة للمجموعة ("قواعد أرامكس الملزمة") وفقاً للمادة 47 من اللائحة (الاتحاد الأوروبي) 2016/679، التي وقّعها جميع أعضاء مجموعة أرامكس كوسيلة للالتزام بإطار الالتزام بحماية البيانات وقواعد أرامكس الملزمة؛
• اتفاقية التحكم المشترك في البيانات: يُقصَد بها اتفاقية مكتوبة تُبرم بين اثنين أو أكثر من جهات التحكم في البيانات، والتي تحدد بشكل مشترك أغراض ووسائل نشاط معالجة البيانات (أو مجموعة من الأنشطة)، لتحديد مسؤولياتهم الخاصة بالامتثال للالتزامات بموجب اللائحة العامة لحماية البيانات بشفافية، وخاصة فيما يتعلق بممارسة حقوق صاحب البيانات وواجباتهم الخاصة بالامتثال لالتزامات المعلومات والشفافية، وذلك عن طريق اتفاق فيما بينهم ما لم تُحدد مسؤوليات جهات التحكم في البيانات بموجب قانون الاتحاد الأوروبي أو قانون الدولة العضو التي تخضع لها جهات التحكم في البيانات، بقدر ما يكون ذلك.
• البيانات القضائية: يُقصَد بها البيانات الشخصية المتعلقة بالأحكام والتهم الجنائية أو المتعلقة بالتدابير الأمنية (في السياق الجنائي/الجزائي)؛
• تقييم المصالح المشروعة: يُقصَد به تقييم المصالح المشروعة (أو "اختبار التوازن") - وهو تقييم عما إذا كانت المصالح المشروعة التي تسعى إليها مجموعة أرامكس قد تتجاوزها مصالح أو حقوق أساسية وحريات لأصحاب البيانات التي تتطلب حماية البيانات الشخصية، بما يتوافق مع متطلبات المادة 29 رأي فريق عمل حماية البيانات رقم 06/2014 بشأن مفهوم المصالح المشروعة لجهة التحكم في البيانات بموجب المادة 7 من التوجيه رقم 95/46/EC؛
• البيانات الشخصية: يُقصَد بها أي معلومات تتعلق بصاحب البيانات؛
• انتهاك البيانات الشخصية: يُقصَد به أي خرق أمني يؤدي إلى إتلاف أو فقدان أو تغيير عرضي أو غير قانوني للبيانات الشخصية المنقولة أو المخزنة أو المعالجة بطريقة أخرى أو الوصول إليها دون تصريح؛
• الأشخاص المصرح لهم: يُقصَد بهم أي شخص طبيعي مرخص له من مجموعة أرامكس وتحت سلطتها لمعالجة البيانات الشخصية، بما في ذلك: الموظفون والموظفون السابقون والمديرون العامون والمديرون التنفيذيون والمتعاونون والمستشارون المستقلون والعاملون بدوام جزئي وموظفو العمل المشترك والمتدربون وما إلى ذلك، دون أي تمييز فيما يتعلق بدورهم و/أو وظيفتهم و/أو درجتهم داخل مجموعة أرامكس. ويشمل التعريف أيضاً المستشارين والموظفين التابعين للغير ممن يقدمون خدمات لمجموعة أرامكس، وبشكل عام، جميع أولئك الذين يستخدمون معدات مجموعة أرامكس أو المعدات الشخصية المصرح بها لأداء مهام نيابة عن مجموعة أرامكس، أو يعملون في شبكة تكنولوجيا المعلومات الخاصة بمجموعة أرامكس أو يصبحون على دراية بمعلومات الشركة ذات الصلة، ومنها على سبيل المثال لا الحصر: (أ) البيانات الشخصية المتعلقة بالعملاء والموظفين والموردين، بما في ذلك عناوين البريد الإلكتروني؛ و(ب) أي معلومات تجارية و/أو مالية و/أو استراتيجية و/أو سرية حول أعمال مجموعة أرامكس؛ و(ج) المعلومات المتعلقة بعمليات الشركة، بما في ذلك العلامات التجارية وبراءات الاختراع وحقوق الملكية الفكرية، بغض النظر عن أي آثار ضارة في حالة الإفصاح عن هذه المعلومات؛
• مسؤول الخصوصية: يُقصَد به أحد موظفي مجموعة أرامكس يُعيّن نيابةً عن عضو أو أكثر من أعضاء مجموعة أرامكس ليكون جهة التواصل مع أصحاب البيانات والهيئات الرقابية وللتنسيق مع فريق الخصوصية في أرامكس بشأن مسائل الخصوصية وحماية البيانات ذات الصلة بأعضاء مجموعة أرامكس. يلتزم مسؤولو الخصوصية بالسرية، ويجوز الاستعانة بمستشارين قانونيين خارجيين لتقديم الاستشارة بشأن مسائل الخصوصية وحماية البيانات؛
• المعالجة (ويعالج وعالج واشكالها المختلفة الأخرى): يُقصَد بها أي عملية أو مجموعة عمليات تُجرى على البيانات الشخصية أو مجموعات منها، سواءً بوسائل آلية أم لا، كالجمع أو التسجيل أو التنظيم أو الهيكلة أو التخزين أو التوفيق أو التغيير أو الاسترجاع أو الاستشارة أو الاستخدام أو الإفصاح عن طريق الإرسال أو النشر أو الإتاحة بأي طريقة أخرى أو التنسيق أو الدمج أو التقييد أو المحو أو الإتلاف؛
• جهة معالجة البيانات: يُقصَد بها شخص طبيعي أو اعتباري أو سلطة عامة أو وكالة أو هيئة أخرى تعالج البيانات الشخصية نيابةً عن جهة التحكم في البيانات؛
• إنشاء الملفات الشخصية: يُقصَد بها أي شكل من أشكال المعالجة الآلية للبيانات الشخصية، بما في ذلك استخدام البيانات الشخصية لتقييم جوانب شخصية معينة تتعلق بشخص طبيعي، وخاصةً لتحليل أو التنبؤ بالجوانب المتعلقة بأداء ذلك الشخص الطبيعي في العمل أو وضعه الاقتصادي أو صحته أو تفضيلاته الشخصية أو اهتماماته أو موثوقيته أو سلوكه أو موقعه أو تحركاته؛
• متلقي البيانات: يُقصَد به أي شخص طبيعي أو اعتباري أو سلطة عامة أو وكالة أو أي هيئة أخرى تُكشف لها البيانات الشخصية (باستثناء السلطات العامة التي قد تتلقى البيانات الشخصية في إطار تحقيق معين وفقاً لقانون الاتحاد أو قانون الدولة العضو)؛
• تقييد معالجة البيانات: يُقصَد به وضع علامة على البيانات الشخصية المُخزّنة بهدف الحد من معالجتها مستقبلاً؛
• الفئات الخاصة من البيانات الشخصية: يُقصَد بها البيانات الشخصية التي تكشف عن الأصل العرقي أو العنصري أو الآراء السياسية أو المعتقدات الدينية أو الفلسفية أو عضوية النقابات العمالية أو البيانات الجينية أو البيانات الحيوية (عند معالجتها لغرض تحديد هوية شخص طبيعي بشكل فريد) أو البيانات الصحية أو البيانات المتعلقة بالحياة الجنسية أو التوجه الجنسي للشخص الطبيعي؛
• جهة معالجة البيانات من الباطن: يُقصَد بها جهة معالجة تُعيّنها جهة معالجة أخرى من أجل المساعدة في معالجة البيانات الشخصية نيابةً عن جهة التحكم في البيانات؛
• الهيئة الرقابية: يُقصَد بها سلطة عامة مستقلة تُنشئها دولة عضو وتُكلّف بمراقبة تطبيق اللائحة العامة لحماية البيانات، لحماية الحقوق الأساسية والحريات لأصحاب البيانات فيما يتعلق بمعالجة بياناتهم الشخصية وتسهيل التدفق الحر للبيانات الشخصية في جميع أنحاء المنطقة الاقتصادية الأوروبية.
3. ما هي المبادئ التي تتبعها مجموعة أرامكس عند معالجة البيانات الشخصية؟
كما ذكرنا سابقاً (راجع المقدمة والنطاق)، تأسست قواعد أرامكس الملزمة كجزء من إطار الالتزام بحماية البيانات على القواعد المنصوص عليها في اللائحة العامة لحماية البيانات. تتضمن هذه القواعد المبادئ الأساسية التي تلتزم مجموعة أرامكس باتباعها عند معالجة البيانات الشخصية، التي سنوضحها أدناه.
3.1 الشفافية
امتثالاً لمبدأ الشفافية، ستُطلعكم مجموعة أرامكس بنشاط على كيفية معالجة بياناتكم الشخصية، من خلال سياسات خصوصية وإشعارات معلومات مختلفة. وتوضح هذه المستندات ما يلي:
• أي عضو (أعضاء) في مجموعة أرامكس يعمل كجهة تحكم في بياناتكم الشخصية، وكيف يمكن الاتصال به (وبمسؤول حماية البيانات في مجموعة أرامكس، بالإضافة إلى ممثل مجموعة أرامكس -إن لزم الأمر)؛
• بيانات الاتصال بمسؤولي الخصوصية المحليين (راجع "كيف يمكننا ممارسة حقوقنا وتقديم شكاوى بموجب قواعد أرامكس الملزمة؟")؛
• ما هي فئات بياناتكم الشخصية التي يجوز لمجموعة أرامكس جمعها ومعالجتها لاحقاً؟
• لماذا تُعالج بياناتكم الشخصية (لأي أغراض؟)؛
o على وجه الخصوص، في حال اعتماد أحد أعضاء مجموعة أرامكس على المصالح المشروعة كأساس قانوني (راجع "المشروعية")، يُرجى توضيح هذه المصالح المشروعة المطلوبة؛
• كيف تضمن مجموعة أرامكس قانونية هذه المعالجة (ما هي الأسس القانونية التي يُعتمد عليها؟)؛
• متلقو البيانات (أو فئات متلقو البيانات) - سواءً أكانوا أعضاءً في مجموعة أرامكس أم لا - التي يجوز مشاركة بياناتكم الشخصية معهم؛
• ما إذا كان يجوز نقل بياناتكم الشخصية إلى دول أخرى (وخاصةً ما إذا كان يجوز نقل البيانات الشخصية خارج الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية)، وإذا كان الأمر كذلك، فما هي الآليات المعتمدة لضمان قانونية عمليات النقل هذه (راجع "نقل البيانات الشخصية من داخل المنطقة الاقتصادية الأوروبية إلى خارجها")؛
• مدة احتفاظ مجموعة أرامكس ببياناتكم الشخصية (راجع "تقليل استخدام البيانات وتقييد التخزين والدقة")؛
• ما هي الحقوق التي يحق لكم ممارستها ضد مجموعة أرامكس (راجع "ما هي الحقوق التي نتمتع بها بموجب قواعد أرامكس الملزمة؟" أدناه)، بالإضافة إلى كيفية إنفاذ حقوقكم (راجع "كيف يمكننا ممارسة حقوقنا وتقديم الشكاوى بموجب قواعد أرامكس الملزمة؟")؛
• ما إذا كان مطلوباً منكم تقديم بياناتكم الشخصية لمجموعة أرامكس بموجب التزام قانوني أو تعاقدي أو كشرط لإبرام عقد مع مجموعة أرامكس، بالإضافة إلى العواقب المحتملة عليكم في حال رفضكم القيام بذلك؛
• ما إذا كنا سنجري أي عملية اتخاذ قرارات آلية باستخدام بياناتكم الشخصية - في هذه الحالات، تتيح لكم المعلومات التي نقدمها لكم فهم المنطق المستخدم (كيف ستستخدم الخوارزمية بياناتكم الشخصية للوصول إلى قرار آلي)، وأهمية هذه الأنشطة وعواقبها المحتملة عليكم (ما هي القرارات التي يمكن اتخاذها وما هي آثارها عليكم)، وكيفية ردكم على هذه القرارات (راجع "الحقوق المتعلقة باتخاذ القرارات الآلية")؛
• المصادر (أو فئات المصادر) التي حصلت منها مجموعة أرامكس على بياناتكم الشخصية، في حال لم تقدم بياناتكم الشخصية لمجموعة أرامكس مباشرةً؛ و
• أي معلومات أخرى قد تكون ضرورية لضمان فهمكم الواضح لكيفية استخدام بياناتكم الشخصية وما هي المخاطر والضمانات المرتبطة بها.
يتعين أن تُمكّنكم هذه المعلومات أيضاً من فهم ما يلي:
• نطاق قواعد أرامكس الملزمة (راجع "المقدمة والنطاق"، و"كيف تتدفق البيانات الشخصية داخل مجموعة أرامكس؟")؛
• حقكم في تنفيذ بعض أحكام قواعد أرامكس الملزمة مباشرةً على أعضاء مجموعة أرامكس، بصفتكم طرفاً مستفيداً من الغير (راجع "تنفيذ أصحاب البيانات لقواعد أرامكس الملزمة")؛
• كيفية تقديم الشكاوى المتعلقة بقواعد أرامكس الملزمة إلى مجموعة أرامكس (راجع "كيف يمكننا ممارسة حقوقنا وتقديم شكاوى بموجب قواعد أرامكس الملزمة؟")؛
• أحكام قواعد أرامكس الملزمة المتعلقة بالمسؤولية والاختصاص القضائي (راجع "تنفيذ أصحاب البيانات لقواعد أرامكس الملزمة")؛ و
• أحكام قواعد أرامكس الملزمة المتعلقة بمبادئ حماية البيانات (كما هو موضح في هذا القسم والأقسام التالية).
يتعين تقديم جميع المعلومات المذكورة أعلاه كتابياً وبشكل كامل (وليس بشكل مختصر).
يتم ذلك ضمن سياسات الخصوصية المُحمّلة على مواقع وتطبيقات مجموعة أرامكس الإلكترونية، بالإضافة إلى إشعارات المعلومات الأخرى التي قد تُرسل إليكم (بحسب علاقتكم الخاصة بمجموعة أرامكس، مثل إشعارات المعلومات المُرسلة لموظفي مجموعة أرامكس). يمكنكم أيضاً الحصول على نسخة من قواعد أرامكس الملزمة عند الطلب (راجع "تنفيذ أصحاب البيانات لقواعد أرامكس الملزمة").
تسعى مجموعة أرامكس جاهدةً لضمان تحديث أي معلومات تُقدم إليكم حول كيفية معالجة بياناتكم الشخصية، بالإضافة إلى سهولة الوصول إليها وفهمها - وعلى وجه الخصوص، تُبذل الجهود لاستخدام لغة موجزة وواضحة وبسيطة ومفهومة للجمهور المستهدف. يشمل ذلك المعلومات الواردة في سياسات الخصوصية والإشعارات وكذلك في أي مراسلات متبادلة معكم (على سبيل المثال، عند الرد على طلباتكم).
3.2 العدالة
امتثالاً لمبدأ العدالة، بالإضافة إلى ضمان اطلاعكم على كيفية استخدام بياناتكم الشخصية (راجع أعلاه)، طبّقت مجموعة أرامكس تدابير داخلية لضمان استخدام البيانات الشخصية فقط بطريقة تحمي حقوقكم. وعلى وجه الخصوص:
• قبل اتخاذ قرار بمعالجة بياناتكم الشخصية، تحدد مجموعة أرامكس الغرض (الأغراض) المحددة لاستخدام بياناتكم الشخصية بوضوح (على سبيل المثال، "لتتبع عمليات تسليم الشحنات" أو "لفحص السير الذاتية لمقدمي طلبات العمل والتواصل مع الذين قدموا طلباتهم إلى مجموعة أرامكس عبر مواقعها الإلكترونية" - راجع أيضاً "تحديد الغرض وتقليل استخدام البيانات وتقييد التخزين والدقة")؛
• يتعين أن تكون هذه الأغراض مشروعة، ويجب إبلاغكم بها صراحةً عند جمع بياناتكم الشخصية؛
• تعمل هذه الأغراض كمعيار لتحديد كمية ونوع البيانات الشخصية التي يجب جمعها، بالإضافة إلى مدة الاحتفاظ بها.
لن تُعالَج البيانات الشخصية لغرض مُحدَّد إذا كان من المُمكن تحقيق أهداف ذلك الغرض دون استخدام البيانات الشخصية (على سبيل المثال، عندما تُحقِّق مجموعة أرامكس هدفاً مُحدَّداً باستخدام معلومات مجهولة المصدر أو مُجمَّعة عن عملائها فقط). في حالة الضرورة القصوى، ستستخدم مجموعة أرامكس فقط البيانات الشخصية الكافية والملائمة لتحقيق الأغراض المذكورة.
كقاعدة عامة، تحتفظ مجموعة أرامكس بالبيانات الشخصية فقط للمدة اللازمة لتحقيق الأغراض ذات الصلة. بعد ذلك، سيتم حذف هذه البيانات الشخصية بالكامل أو إخفاء هويتها أو تجميعها. ولمتابعة ذلك، وضعت مجموعة أرامكس حدوداً زمنية داخلية للاحتفاظ بالبيانات الشخصية، تُستخدم للتحقق دورياً من مدى ضرورة تخزين البيانات الشخصية.
تسعى مجموعة أرامكس جاهدةً لضمان دقة وتحديث أي بيانات شخصية تعالجها، على سبيل المثال، من خلال السماح لكم بطلب تصحيح بياناتكم الشخصية أو استكمالها وتأكيد البيانات الشخصية معكم -كلما أمكن ذلك.
وأخيراً، لضمان سلامة البيانات الشخصية وسريتها وتوافرها، طبقت مجموعة أرامكس تدابير تنظيمية داخلية (كالسياسات والإجراءات) وتدابير تقنية (تدابير أمنية مطبقة على أنظمة وأدوات تكنولوجيا المعلومات التي تستخدمها مجموعة أرامكس لتخزين أو معالجة البيانات الشخصية) لمنع أي استخدام غير مصرح به للبيانات الشخصية.
3.3 المشروعية
امتثالاً لمبدأ المشروعية، تضمن مجموعة أرامكس استخدام بياناتكم الشخصية فقط في الحالات التي يكون فيها ذلك قانونياً بموجب اللائحة العامة لحماية البيانات. ولتحقيق ذلك، تُحدد مجموعة أرامكس بدقة أي من الأسس القانونية الستة المدرجة في اللائحة العامة لحماية البيانات قد ينطبق على أي نشاط يُجرى على البيانات الشخصية، مع مراعاة غرضه:
1. تقديم الموافقة منكم على معالجة مجموعة أرامكس لبياناتكم الشخصية لغرض مُحدد؛
2. تحتاج مجموعة أرامكس إلى معالجة بياناتكم الشخصية لتنفيذ عقد معكم أو لاتخاذ خطوات أخرى طلبتموها قبل إبرام العقد (على سبيل المثال، للرد على أسئلتكم المتعلقة بخدمات مجموعة أرامكس)؛
3. تحتاج مجموعة أرامكس إلى معالجة بياناتكم الشخصية للامتثال لالتزاماتها القانونية؛
4. تحتاج مجموعة أرامكس إلى معالجة بياناتكم الشخصية لحماية مصالحكم الحيوية أو مصالح شخص آخر؛ أو
5. حددت مجموعة أرامكس مصلحة مشروعة محددة في معالجة بياناتكم الشخصية، وبعد تقييم شامل، توصلت إلى أن استخدام البيانات الشخصية لتلبية هذه المصلحة لا يُحدث تأثيراً سلبياً ذا صلة على حقوقكم أو حرياتكم أو مصالحكم التي تتطلب حماية البيانات الشخصية.
في حالات استثنائية، قد تكلَف السلطات المحلية/الهيئات العامة أرامكس تحديداً بالمساعدة في أداء مهامّ تخدم المصلحة العامة (على سبيل المثال، تسليم السلع الأساسية للأفراد في حالات الأزمات العامة). في هذه الحالات، يجوز لمجموعة أرامكس معالجة كمية محدودة من البيانات الشخصية للأفراد حسب الضرورة لتمكينهم من أداء تلك المهام (على سبيل المثال، الأسماء وتفاصيل الاتصال).
3.4 تحديد الغرض
كما ذُكر سابقاً (راجع "العدالة")، قبل اتخاذ قرار استخدام البيانات الشخصية، تحدد مجموعة أرامكس الأغراض المحددة التي ستُستخدم من أجلها البيانات الشخصية. يجب ألا تقتصر هذه الأغراض على كونها مشروعة فحسب، بل يجب أيضاً مشاركتها معكم صراحةً قبل أن نبدأ بمعالجة بياناتكم الشخصية لتلك الأغراض، امتثالاً لمبدأ تحديد الغرض (راجع أيضاً "الشفافية").
تتمثل القاعدة في أنه يجب استخدام أي بيانات شخصية تجمعها مجموعة أرامكس فقط للغرض (الأغراض) المحدد الذي جُمعت من أجله في الأصل أو لأغراض أخرى متوافقة مع الأغراض الأصلية أو لأغراض أخرى تتمكن مجموعة أرامكس من تحديد أساس قانوني مناسب لها (راجع "المشروعية").
لقد طبقت مجموعة أرامكس القواعد الواردة في اللائحة العامة لحماية البيانات لتقييم مدى توافق غرضين مع السياسات الداخلية المدرجة في إطار الالتزام بحماية البيانات. ولإجراء هذا التقييم، ستأخذ مجموعة أرامكس في الاعتبار ما يلي على وجه الخصوص:
• الصلة بين الغرض الأصلي والغرض الآخر؛ و
• سياق جمع البيانات الشخصية (على وجه الخصوص، علاقتكم بمجموعة أرامكس)؛ و
• أنواع البيانات الشخصية المعنية؛ و
• العواقب المحتملة عليكم نتيجة استخدام بياناتكم الشخصية لأغراض أخرى؛ و
• الضمانات المناسبة التي يمكن لمجموعة أرامكس تطبيقها، كالتشفير أو إخفاء الهوية (وهي طرق تُستخدم لتعديل بياناتكم الشخصية أو إخفاؤها، بحيث لا يمكن ربطها بكم مباشرةً).
في حال قررت مجموعة أرامكس معالجة بياناتكم الشخصية بشكل إضافي - أي معالجة بياناتكم الشخصية لغرض مختلف عن الغرض الذي جمعتها من أجله في الأصل - فسيتم إبلاغكم بذلك على النحو المناسب من خلال سياسات الخصوصية وإشعارات المعلومات الخاصة بمجموعة أرامكس أو من خلال المراسلات الخاصة التي تُجريها مجموعة أرامكس (راجع "الشفافية").
3.5 تقليل استخدام البيانات وتقييد التخزين والدقة
كما ذُكر سابقاً (راجع "العدالة")، لن تُعالَج البيانات الشخصية لغرض مُحدد إذا كان من المُمكن تحقيق أهداف ذلك الغرض دون استخدام البيانات الشخصية (على سبيل المثال، عندما تتمكن مجموعة أرامكس من تحقيق هدف مُحدد باستخدام معلومات مجهولة المصدر أو مُجمّعة فقط عن عملائها). عند الضرورة القصوى، لن تستخدم مجموعة أرامكس إلا البيانات الشخصية الكافية والمناسبة لتحقيق الأغراض المُحددة. تُتبع هذه القواعد امتثالاً لمبدأ تقليل استخدام البيانات.
وللامتثال لمبدأ تقييد التخزين، كما ذُكر سابقاً (راجع "الشفافية والعدالة والمشروعية")، ستحتفظ مجموعة أرامكس، كقاعدة عامة، بالبيانات الشخصية فقط للمدة اللازمة تماماً لتحقيق الأغراض ذات الصلة. بعد ذلك، سيتم حذف هذه البيانات الشخصية بالكامل أو إخفاء هويتها أو تجميعها.
وللحفاظ على هذا الوضع، وضعت مجموعة أرامكس حدوداً زمنية داخلية للاحتفاظ بالبيانات الشخصية، تُستخدم للتحقق دورياً من مدى ضرورة تخزين البيانات الشخصية. يتم تحديد هذه الحدود الزمنية أو فترات الاحتفاظ بالبيانات باستخدام ثلاثة معايير رئيسية:
1. الضرورة: المعيار الأول الذي تستخدمه مجموعة أرامكس لتحديد فترة الاحتفاظ بالبيانات هو المدة الزمنية الاعتيادية التي يتعين خلالها تخزين البيانات الشخصية لتحقيق الأغراض الرئيسية لجمعها (أو غيرها من الأغراض المتوافقة) (على سبيل المثال، يجب تخزين البيانات الشخصية الخاصة بشركة الشحن والمرسل إليه لعملية تسليم على الأقل حتى اكتمال عملية التسليم بنجاح).
بمجرد انقضاء هذه المدة، ستُقيّم مجموعة أرامكس مدى ضرورة استمرار الاحتفاظ بالبيانات الشخصية (بناءً على المعيارين الإضافيين أدناه). بناءً على نتائج هذا التقييم، ستقوم مجموعة أرامكس إما (١) بحذف تلك البيانات الشخصية أو إخفاء هويتها، أو (٢) بأرشفة تلك البيانات الشخصية، إذا كان الاحتفاظ بها يتوافق مع أحد المعيارين أدناه على الأقل.
2. الالتزام القانوني: المعيار الثاني الذي تستخدمه مجموعة أرامكس لتحديد فترة الاحتفاظ بالبيانات هو الحد الأدنى لفترات الاحتفاظ القانونية التي قد تكون محددة في القوانين السارية على أي عضو في مجموعة أرامكس (على سبيل المثال، وحسب الولاية القضائية المعنية، قد يُطلب من كل عضو في مجموعة أرامكس الاحتفاظ بسجلات عمليات التسليم المكتملة، بما في ذلك البيانات الشخصية لشركات الشحن والمرسل إليهم لفترة زمنية محددة وفقاً للقوانين السارية عليهم). لا ينطبق هذا المعيار إلا في حالة وجود التزام قانوني بالاحتفاظ بالبيانات الشخصية (أو المستندات التي تحتوي على البيانات الشخصية) لفترة زمنية محددة. إذا تجاوز الحد الأدنى من فترات الاحتفاظ هذه الفترة الزمنية المحددة في المعيار الأول، ستمدد مجموعة أرامكس فترة الاحتفاظ لضمان امتثالها لالتزاماتها القانونية.
3. السماح القانوني: المعيار الأخير الذي تستخدمه مجموعة أرامكس لتحديد فترة الاحتفاظ بالبيانات هو ما إذا كانت القوانين السارية على أي عضو في مجموعة أرامكس تُجيز الاحتفاظ بالبيانات الشخصية لفترة أطول، في حالة وجود مصلحة مشروعة في ذلك (على سبيل المثال، يجوز الاحتفاظ بالبيانات الشخصية الخاصة بشركة الشحن والمرسل إليه لعملية تسليم لفترة إضافية، إذا كانت هذه البيانات الشخصية كافية لتكون دليلاً على إتمام عملية التسليم بشكل صحيح من جانب عضو في مجموعة أرامكس). قد يسمح هذا المعيار لمجموعة أرامكس بتمديد فترة الاحتفاظ بالبيانات الشخصية لما بعد الفترة الزمنية المحددة باستخدام المعيارين الأول والثاني أعلاه.
في حالة الاحتفاظ بالبيانات الشخصية بناءً على التزام قانوني و/أو سماح قانوني، ستقوم مجموعة أرامكس، كقاعدة عامة، بأرشفة تلك البيانات الشخصية بشروط تقييد الوصول، بحيث تُستخدم فقط (1) للامتثال لأي التزامات قانونية ذات صلة، و(2) لخدمة المصالح المشروعة المحددة.
وللامتثال لمبدأ الدقة، كما هو مذكور أعلاه (راجع "العدالة")، تسعى مجموعة أرامكس جاهدةً أيضاً للتأكد من دقة وتحديث أي بيانات شخصية قد تعالجها - على سبيل المثال، من خلال السماح لأصحاب البيانات بطلب تصحيح بياناتهم الشخصية أو استكمالها وتأكيد البيانات الشخصية مع أصحاب البيانات -كلما أمكن ذلك (على سبيل المثال، عند إتمام عمليات التسليم، قد يتصل أعضاء مجموعة أرامكس بالمرسل إليهم للتأكد من دقة عناوين التسليم المسجلة؛ ويُسمح لمقدمي طلبات العمل بتعديل المعلومات المقدمة في الطلبات المرسلة إلى مجموعة أرامكس؛ ويُسمح لموظفي مجموعة أرامكس بتحديث فئات معينة من البيانات الشخصية المخزنة على أنظمة إدارة الموارد البشرية في مجموعة أرامكس بشكل مستقل). على وجه الخصوص، وكما هو مذكور أدناه، يحق لكم ممارسة مجموعة متنوعة من الحقوق المتعلقة باستخدام بياناتكم الشخصية ضد أعضاء مجموعة أرامكس - بما في ذلك الحق في التصحيح.
3.6 الفئات الخاصة من البيانات الشخصية
تنص اللائحة العامة لحماية البيانات على حظر معالجة فئات خاصة من البيانات الشخصية كقاعدة عامة. وبموجب معيار من معايير اللائحة العامة لحماية البيانات، لا يجوز معالجة فئات خاصة من البيانات الشخصية إلا في سياق نشاط معالجة معين، حيث (1) يمكن دعم ذلك النشاط بأساس قانوني سليم، و(2) يندرج ذلك النشاط ضمن نطاق استثناء قانوني من هذه القاعدة.
لا تتطلب الأنشطة الأساسية لمجموعة أرامكس عموماً معالجة أي فئات خاصة من البيانات الشخصية. ومن ثم، ووفقاً للقاعدة المذكورة أعلاه، لا تعالج مجموعة أرامكس عموماً أي فئات خاصة من البيانات الشخصية.
ومع ذلك، هناك ظروف معينة قد تُطلب فيها من مجموعة أرامكس معالجة هذه الأنواع من البيانات الشخصية (على سبيل المثال، عند معالجة متطلبات الصحة المتعلقة بالعمل مع موظفين أو متعاقدين محددين)، بما في ذلك البيانات القضائية (على سبيل المثال، عند إجراء فحص العملاء المطلوب قانوناً لضمان الامتثال للقيود الجمركية وقيود الاستيراد/التصدير). في هذه الحالة، ستواصل مجموعة أرامكس الالتزام بمبادئ اللائحة العامة لحماية البيانات وستنفذ الضمانات المناسبة لحماية تلك البيانات الشخصية وغيرها من الحقوق الأساسية لأصحاب البيانات المعنيين، مع مراعاة أي حالات تعارض محتملة مع التشريعات المحلية (راجع "كيف تُدار حالات التعارض بين قواعد أرامكس الملزمة والتشريعات المحلية السارية؟" أدناه).
تُولي مجموعة أرامكس اهتماماً خاصاً لضمان معالجة الفئات الخاصة من البيانات الشخصية بشكل سليم لأن معالجتها بطبيعتها تُشكل مستوى متزايداً من المخاطر على حقوق وحريات ومصالح أصحاب البيانات. لن تُعالج أي فئات خاصة من البيانات الشخصية إلا إذا اعتمدت مجموعة أرامكس بشكل صحيح على أحد الأسس القانونية الستة المتاحة لها (راجع "المشروعية" أعلاه) وفي حالة تحقق أحد الظروف التالية:
• منحتَم مجموعة أرامكس موافقة صريحة على معالجة فئات خاصة معينة من البيانات الشخصية لغرض محدد؛ أو
• استخدام الفئات الخاصة من البيانات الشخصية ضروري للغاية لمجموعة أرامكس للوفاء بالتزاماتها و/أو ممارسة حقوقها كصاحب عمل (كما هو مُحدد بموجب القوانين المحلية/الالتزامات القانونية أو بموجب اتفاقية جماعية سارية ومناسبة قانونياً)؛ أو
• استخدام الفئات الخاصة من البيانات الشخصية ضروري لحماية مصالحكم الحيوية أو مصالح فرد آخر وأنتم غير قادرين جسدياً أو قانونياً على منح مجموعة أرامكس الموافقة اللازمة لتحقيق ذلك؛ أو
• لقد أعلنتَم بوضوح عن الفئات الخاصة من البيانات الشخصية المعنية للعامة؛ أو
• إذا كان من الضروري في سياق الدعاوى القانونية أو الإجراءات المماثلة المرفوعة من مجموعة أرامكس أو ضدها استخدام فئات خاصة معينة من البيانات الشخصية كدليل؛ أو
• إذا كان استخدام الفئات الخاصة من البيانات الشخصية كالبيانات الصحية ضرورياً لأغراض الطب المهني والأمن الصحي وأغراض المراقبة والإنذار والوقاية من الأمراض المعدية أو مكافحتها وغيرها من التهديدات الخطيرة للصحة (كما تحددها القوانين المحلية/الالتزامات القانونية)؛ أو
• إذا كان استخدام فئات خاصة من البيانات الشخصية كالبيانات الصحية ضرورياً لأسباب تتعلق بالمصلحة العامة الجوهرية (بناءً على القوانين المحلية/الالتزامات القانونية المناسبة)، أو لأسباب تتعلق بالمصلحة العامة في مجال الصحة العامة كالحماية من التهديدات الصحية العابرة للحدود (كما هو محدد بموجب القوانين المحلية/الالتزامات القانونية)؛ أو
• تُعالَج الفئات الخاصة من البيانات الشخصية لأغراض الأرشفة للمصلحة العامة أو لأغراض البحث العلمي أو التاريخي أو لأغراض إحصائية بناءً على القوانين المحلية/الالتزامات القانونية المناسبة، وبمراعاة الضمانات الكافية - لا سيما التدابير التقنية والتنظيمية لضمان احترام مبدأ تقليل استخدام البيانات (راجع "تقليل استخدام البيانات وتقييد التخزين والدقة" أعلاه) على سبيل المثال، استبدال البيانات الشخصية بأسماء مستعارة أو تجميعها/إخفاء هويتها.
ينطبق ما تقدم على جميع عمليات معالجة الفئات الخاصة من البيانات الشخصية الصادرة من المنطقة الاقتصادية الأوروبية التي تنفذها مجموعة أرامكس، بما في ذلك أي عمليات نقل لفئات خاصة من البيانات الشخصية من داخل المنطقة الاقتصادية الأوروبية إلى خارجها (المذكورة أدناه).
من ناحية أخرى، لا يجوز لمجموعة أرامكس معالجة البيانات القضائية إلا إذا كان بإمكانها الاعتماد بشكل صحيح على أحد الأسس القانونية الستة المتاحة لها (راجع "المشروعية" أعلاه)، وعندما تكون المعالجة المرغوبة مُصرّحاً بها بموجب قانون الاتحاد الأوروبي أو قانون الدول الأعضاء في الاتحاد الأوروبي، والذي ينص على ضمانات مناسبة لحقوق وحريات أصحاب البيانات. ينطبق ذلك على جميع عمليات معالجة البيانات القضائية الصادرة من المنطقة الاقتصادية الأوروبية التي تنفذها مجموعة أرامكس، بما في ذلك أي عمليات نقل للبيانات القضائية من داخل المنطقة الاقتصادية الأوروبية إلى خارجها (المذكورة أدناه).
يتعين أن تتوافق معالجة البيانات القضائية التي تُصنف أيضاً ضمن الفئات الخاصة من البيانات الشخصية مع جميع المتطلبات المذكورة أعلاه والمحددة للفئات الخاصة من البيانات الشخصية.
لضمان الالتزام بما تقدم، طبّقت مجموعة أرامكس سياسات داخلية لتعريف وتحديد أنسب الأسس القانونية (والاستثناءات) التي قد تنطبق عند معالجة البيانات الشخصية بشكل عام، والفئات الخاصة من البيانات الشخصية بشكل خاص.
في بعض الولايات القضائية التي تعمل فيها مجموعة أرامكس، قد تُلزم التشريعات المحلية مجموعة أرامكس بمعالجة فئات خاصة معينة من البيانات الشخصية أو البيانات القضائية حتى في الحالات التي تتجاوز تلك المنصوص عليها في اللائحة العامة لحماية البيانات. في مثل هذه الحالة، إذا كانت مجموعة أرامكس مُلزمة تماماً بالامتثال لهذه المتطلبات، ستظل ملتزمة بمبادئ اللائحة العامة لحماية البيانات إلى أقصى حد ممكن (راجع "كيف تُدار حالات التعارض بين قواعد أرامكس الملزمة والتشريعات المحلية السارية؟" أدناه).
يجب أن تستند عمليات نقل الفئات الخاصة من البيانات الشخصية أو البيانات القضائية من داخل المنطقة الاقتصادية الأوروبية إلى خارجها التي تنفذها مجموعة أرامكس (بما في ذلك الوصول عن بعد من جانب متلقي البيانات الموجود خارج المنطقة الاقتصادية الأوروبية إلى الفئات الخاصة من البيانات الشخصية أو البيانات القضائية المخزنة داخل المنطقة الاقتصادية الأوروبية) إلى آليات نقل قانونية، وحيثما يكون ذلك ضرورياً، يتعين اتخاذ تدابير تكميلية كافية - وهذه الأخيرة ضرورية حتى لو كان متلقي البيانات عضواً آخر في مجموعة أرامكس (راجع "نقل البيانات الشخصية من داخل المنطقة الاقتصادية الأوروبية إلى خارجها" أدناه).
3.7.1 التدابير الأمنية
لضمان الحفاظ على سرية جميع البيانات الشخصية التي تعالجها مجموعة أرامكس وتوافرها وحمايتها من أي وصول غير مصرح به أو تغييرها أو إتلافها، حددت مجموعة أرامكس مجموعة من التدابير الأمنية التقنية والتنظيمية الداخلية تُطبق على البيانات الشخصية والمعدات المستخدمة في معالجتها. وقد تم اختيار هذه التدابير - التي تخضع للمراجعة والاختبار والتقييم بانتظام لضمان استمرار فعاليتها مع مرور الوقت - مع مراعاة أحدث التقنيات وتكاليف التنفيذ والمخاطر المحتملة على أصحاب البيانات وطبيعة البيانات الشخصية المعنية، بهدف ضمان مستوى كافٍ من أمن البيانات الشخصية.
3.7.2 تقييمات مخاطر الخصوصية وتقييمات تأثير حماية البيانات
في إطار جهودها الرامية إلى تحديد المخاطر الأمنية المحتملة بشكل استباقي واتخاذ التدابير اللازمة للتخفيف من آثارها، طبّقت مجموعة أرامكس إجراءً داخلياً لتقييم أي مخاطر ذات صلة بحقوقكم أو حرياتكم أو مصالحكم قد تنشأ عن طرق تحاول من خلالها معالجة بياناتكم الشخصية (سواءً للمشروعات الحالية أو الجديدة). وفي الحالات التي تنطوي فيها هذه المشروعات على مخاطر أكبر - على سبيل المثال، نظراً للعدد الكبير من أصحاب البيانات المعنيين أو أنواع محددة من البيانات الشخصية التي قد تتم معالجتها أو الأغراض المحددة التي يسعى المشروع إلى تحقيقها - تُعزز مجموعة أرامكس هذا التقييم بإجراءاتها الداخلية لتنفيذ وتوثيق ومراجعة تقييمات تأثير حماية البيانات.
تتمكن مجموعة أرامكس من خلال إجراء تقييم تأثير حماية البيانات من تحديد الطرق التي سيستخدم بها المشروع البيانات الشخصية والأطراف المشاركة (سواءً داخل مجموعة أرامكس كفرق أو أقسام معينة أو خارج مجموعة أرامكس كبعض الموردين). يتيح ذلك لمجموعة أرامكس فهم ما إذا كان المشروع قد يُشكل تهديدات أو مخاطر على خصوصية أصحاب البيانات أو أي من حقوقهم أو حرياتهم أو مصالحهم الأخرى. بعد تحديد هذه التهديدات أو المخاطر، يُمكن لمجموعة أرامكس وضع ضمانات للحد من تأثيرها و/أو احتمالية وقوعها إلى مستوى مقبول. وأخيراً، يُتيح هذا الإجراء توثيق تقييم تأثير حماية البيانات لكي يُمكن مُشاركة تقييم مجموعة أرامكس للمشروع مع الهيئات الرقابية التي تطلبه عند الطلب.
إذا أظهر مشروع خضع للتقييم من خلال تقييم تأثير حماية البيانات مخاطر عالية على أصحاب البيانات ولا تعتقد مجموعة أرامكس أنها قادرة على التخفيف منها بشكل كافٍ، سيطلب فريق الخصوصية في أرامكس المشورة من الهيئة الرقابية الرئيسية لمجموعة أرامكس (بالتنسيق مع ممثل مجموعة أرامكس وأعضاء المجموعة المعنيين) قبل بدء تنفيذ المشروع.
من خلال تضمين عملية لتحديث تقييمات تأثير حماية البيانات بشكل دوري وكلما طرأت أي تغييرات جوهرية على المشروع المعني، تضمن مجموعة أرامكس تحديث تقييمات تأثير حماية البيانات المُنفَّذة، وتوفر صورة واضحة دائماً عن المخاطر المحتملة والتدابير اللازمة لمواجهتها.
3.7.3 سياسة الاستخدام المقبول لموارد المعلومات في أرامكس
كجزء من ضمان الأمن داخل مجموعة أرامكس، وُضعت سياسات داخلية تتعلق بالاستخدام المقبول لموارد المعلومات وأنظمة/أدوات تكنولوجيا المعلومات. وُضعت هذه السياسات بناءً على التوجيهات ذات الصلة الصادرة عن الهيئات الرقابية في الاتحاد الأوروبي والمنطقة الاقتصادية الأوروبية، وتهدف إلى:
• توفير قواعد عملية ودقيقة لمستخدمي أنظمة/أدوات تكنولوجيا المعلومات في مجموعة أرامكس حول كيفية استخدامها (بما في ذلك شبكة تكنولوجيا المعلومات ونظام البريد الإلكتروني الخاص بمجموعة أرامكس)، لمنع حدوث أي مشكلات أو قصور في الكفاءة أو تكاليف أو تهديدات لشبكة تكنولوجيا المعلومات الخاصة بمجموعة أرامكس أو لأمن أنظمة/أدوات تكنولوجيا المعلومات والبيانات داخل تلك الشبكة؛
• تحديد الظروف التي يجوز فيها لمجموعة أرامكس مراقبة الأنشطة التي تُجرى على أدوات تكنولوجيا المعلومات هذه، بما يتماشى مع مبادئ العدالة وتقليل استخدام البيانات، وذلك فقط لغرض حماية سلامة شبكة/نظام/أداة تكنولوجيا المعلومات وحماية المعلومات الحساسة (بما في ذلك البيانات الشخصية التي تخزنها أو تعالجها مجموعة أرامكس)؛ و
• تزويد الموظفين بمعلومات حول إمكانية اتخاذ مجموعة أرامكس لإجراءات تأديبية في حال عدم مراعاة سياساتها الداخلية.
3.7.4 إدارة الحوادث الأمنية وحالات انتهاك البيانات الشخصية
من المهم أيضاً ليس فقط لمنع التهديدات الأمنية المحتملة، بل أيضاً التعامل معها بسرعة وحزم عند وقوعها. وإلا فقد تُلحق الحوادث الأمنية التي تؤثر على البيانات الشخصية الضرر بأصحاب البيانات المعنيين (على سبيل المثال، فقدانهم السيطرة على بياناتهم الشخصية أو تعرضهم لاحتمالية سرقة الهوية أو الاحتيال أو حتى الإضرار بسمعتهم أو مكانتهم الاجتماعية). لذلك، وضعت مجموعة أرامكس سياسات وإجراءات داخلية لإدارة هذه الحوادث الأمنية (انتهاك البيانات الشخصية)، يديرها فريق الاستجابة للحوادث في أرامكس.
يمكن تقسيم سير عمل إدارة انتهاكات البيانات الشخصية في مجموعة أرامكس على النحو التالي:
أولاً: جمع المعلومات. يمكن إرسال تقارير عن الحوادث الأمنية ذات الصلة داخلياً (على سبيل المثال، من جانب موظفي مجموعة أرامكس) أو خارجياً (على سبيل المثال، من جانب الموردين أو حتى أصحاب البيانات). وترسل هذه التقارير إلى فريق الاستجابة للحوادث في أرامكس - الذي يضم فريق الخصوصية في أرامكس وممثل مجموعة أرامكس وأعضاء من قسم تكنولوجيا المعلومات/ أمن المعلومات أو الموارد البشرية أو الشؤون القانونية أو العمليات أو التسويق أو أي أقسام أخرى (حسب طبيعة انتهاك البيانات الشخصية)، بالإضافة إلى مسؤولي الخصوصية المعنيين (حسب موقع انتهاك البيانات الشخصية).
ثانياً: تقييم التقارير. سيتم تقييم التقارير التي يتلقاها فريق الاستجابة للحوادث في أرامكس من خلال عملية من خطوتين.
أ- الخطوة الأولى هي تحديد ما إذا كان الحادث الأمني المُبلغ عنه قد أثر على البيانات الشخصية التي تقع ضمن مسؤولية مجموعة أرامكس - بمعنى آخر، ما إذا كان قد حدث انتهاك للبيانات الشخصية بالفعل.
ب- الخطوة الثانية هي تصنيف انتهاك البيانات الشخصية المعني، وفقاً لـ (1) نوع انتهاك البيانات الشخصية الذي حدث، و(2) مستوى المخاطر التي يتعرض لها أصحاب البيانات المتضررون.
ثالثاً: الإخطار والتواصل. بعد التقييم المكون من خطوتين الذي أجراه فريق الاستجابة للحوادث في أرامكس، تتمثل الخطوة التالية في الامتثال لأي التزامات تتعلق بالإخطار/التواصل قد تقع على عاتق مجموعة أرامكس.
أ- إذا أثر انتهاك البيانات الشخصية على البيانات الشخصية التي يكون عضو مجموعة أرامكس مسؤولاً عنها بصفته جهة معالجة بيانات، سيتم إخطار جهة التحكم في البيانات المعنية (سواء كان عضواً في مجموعة أرامكس أم لا) بذلك الانتهاك للبيانات الشخصية دون تأخير غير مبرر ووفقاً لشروط اتفاقية معالجة البيانات السارية.
ب- كقاعدة عامة، إذا أثر انتهاك البيانات الشخصية على البيانات الشخصية التي يكون عضو مجموعة أرامكس مسؤولاً عنها بصفته جهة تحكم في البيانات، سيتم إخطار الهيئة الرقابية المختصة بذلك الانتهاك للبيانات الشخصية - ويعتمد ذلك أساساً على موقع انتهاك البيانات الشخصية - خلال 72 ساعة من لحظة إتمام فريق الاستجابة للحوادث في أرامكس للتقييم المكون من خطوتين. وسيتولى فريق الخصوصية في أرامكس تنسيق هذا الإخطار.
(1) الاستثناء الوحيد لهذه القاعدة هو أنه عندما تسمح الظروف المحيطة بانتهاك البيانات الشخصية لمجموعة أرامكس باستنتاج معقول بأنه من غير المرجح أن ينشأ انتهاك البيانات الشخصية خطر ذي صلة على أي من أصحاب البيانات (على سبيل المثال، لأنه أثر فقط على كمية محدودة من البيانات الشخصية غير الحساسة، وتم التعامل معه على الفور)، يجوز لفريق الخصوصية في أرامكس الامتناع عن تقديم الإخطار.
(2) إذا لم يكن من الممكن استكمال الإخطار بجميع المعلومات ذات الصلة والمطلوبة قانوناً خلال 72 ساعة، ستشارك مجموعة أرامكس جميع المعلومات المتاحة مع الهيئة الرقابية المختصة خلال تلك المهلة. في حالة توافر المزيد من المعلومات، سيتم تزويدها على مراحل.
ج- بالإضافة إلى ذلك، إذا صنّف فريق الاستجابة للحوادث في أرامكس انتهاك البيانات الشخصية على أنه ذو مستوى خطورة مرتفع ولم توجد ظروف مناسبة لتخفيف المخاطر، ستبلغ مجموعة أرامكس كقاعدة عامة أصحاب البيانات المتضررين بما حدث في أقرب وقت ممكن ودون تأخير لا مبرر له. وسيشمل ذلك تقديم النصيحة بشأن كيفية التعامل مع انتهاك البيانات الشخصية (على سبيل المثال، تغيير كلمات المرور). وسيتم إجراء هذه المراسلات بالتنسيق مع الهيئات الرقابية المختصة وسلطات إنفاذ القانون -إن لزم الأمر.
رابعاً: التسجيل. تُوثَّق جميع الحوادث الأمنية التي خضعت للتقييم في سجل. يشمل ذلك الحوادث الأمنية التي لا تُصنَّف في النهاية على أنها انتهاك للبيانات الشخصية ("نتائج إيجابية خاطئة")، بالإضافة إلى حالات انتهاك البيانات الشخصية بدرجات متفاوتة من الخطورة التي قد تحدث. يُوثِّق هذا السجل الحادث بأكمله - بما في ذلك وصف لما حدث وأنواع البيانات الشخصية المتضررة وأصحاب البيانات المتضررين وآثار انتهاك البيانات الشخصية والظروف الأخرى ذات الصلة المحيطة بانتهاك البيانات الشخصية - بالإضافة إلى الخطوات التي اتخذتها مجموعة أرامكس لمعالجتها (التدابير التصحيحية والوقائية). ويُمكن للهيئات الرقابية الاطلاع على هذا السجل عند الطلب.
خامساً: الدروس المستفادة. الخطوة الأخيرة، بعد إدارة انتهاك البيانات الشخصية، هي التأكد من توثيق انتهاك البيانات الشخصية بشكل صحيح (من خلال جمع المزيد من الأدلة والمعلومات حسب الحاجة)، وعند الضرورة، اتخاذ قرار بشأن وضع تدابير أمنية جديدة أو مُعزَّزة وتنفيذها لمنع وقوع أحداث مماثلة في المستقبل. في هذه الخطوة، قد يقوم فريق الاستجابة للحوادث في أرامكس أيضاً بتقييم سياسات وإجراءات إدارة انتهاك البيانات الشخصية لمجموعة أرامكس، بالإضافة إلى أدائها، لضمان فعالية وكفاءة جميع المكونات وتحديد المجالات التي تحتاج إلى التطوير.
3.8 جهات معالجة البيانات والقيود المفروضة على عمليات النقل اللاحقة
يشير مصطلح "عمليات النقل اللاحقة" في هذا القسم إلى نقل البيانات الشخصية من أحد أعضاء مجموعة أرامكس إلى متلقي البيانات (الذي لا ينتمي إلى مجموعة أرامكس، وبالتالي لا يخضع لقواعد أرامكس الملزمة) الذي يقع خارج المنطقة الاقتصادية الأوروبية أو الذي سيعالج تلك البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية.
3.8.1 التعاقد مع جهات معالجة البيانات
قد تتعاقد مجموعة أرامكس مع مجموعة متنوعة من الموردين ومقدمي الخدمات والمتعاقدين من الباطن للمساعدة في أنشطتها التجارية. تتضمن الخدمات التي يقدمها بعض هؤلاء الشركاء التجاريين معالجتهم للبيانات الشخصية نيابةً عن مجموعة أرامكس (على سبيل المثال، سيحتاج المتعاقد من الباطن الذي تم تعيينه لمعالجة رواتب موظفي مجموعة أرامكس إلى استخدام البيانات الشخصية لهؤلاء الموظفين لتقديم خدماته بشكل صحيح). في هذه الحالة، يُعتبر شريك العمل عموماً جهة خارجية لمعالجة البيانات تابعة لمجموعة أرامكس.
لضمان قيام مجموعة أرامكس بالتعاقد فقط مع جهات خارجية لمعالجة البيانات يقدمون ضمانات كافية للامتثال لمتطلبات حماية البيانات المعمول بها - بما في ذلك مستوى كافٍ من المعرفة والموثوقية والموارد لحماية البيانات الشخصية - وضعت مجموعة أرامكس إرشادات وقوائم تحقق داخلية سيتم استخدامها لتقييم كل جهة معالجة بيانات تستعين بها (كجزء من عملية التقييم الواجب/ التحقق التي يتم إجراؤها لكل جهة خارجية لمعالجة البيانات).
جميع جهات معالجة البيانات ملزمين باتفاقية معالجة بيانات مكتوبة بينهم وبين مجموعة أرامكس (أو على الأقل، مع عضو مجموعة أرامكس الذي يتعاقد معهم). وتنظم هذه الاتفاقية كحد أدنى ما يلي:
• تفاصيل أنشطة معالجة البيانات الشخصية التي ستنفذها جهة معالجة البيانات (بما في ذلك القواعد والقيود المتعلقة بنقل البيانات الشخصية إلى دول أخرى، وخاصةً تلك الواقعة خارج المنطقة الاقتصادية الأوروبية، وأي عمليات نقل لاحقة)؛
• مدة أنشطة معالجة البيانات الشخصية التي ستنفذها جهة معالجة البيانات؛
• أنواع البيانات الشخصية التي ستعالجها جهة معالجة البيانات؛
• فئات أصحاب البيانات الذين ستكون بياناتهم معنية؛
• حقوق والتزامات مجموعة أرامكس بصفتها جهة التحكم في البيانات؛
• التزامات جهة معالجة البيانات؛ وعلى وجه الخصوص:
o معالجة البيانات الشخصية وفقاً لتعليمات مجموعة أرامكس الموثقة فقط. لا يجوز لجهة معالجة البيانات الانحراف عن هذه التعليمات إلا إذا كان ذلك مطلوباً منها بموجب قانون الاتحاد أو قانون الدولة العضو الساري - وفي هذه الحالة، تلتزم جهة معالجة البيانات بإبلاغ مجموعة أرامكس بذلك مسبقاً (متى كان مسموحاً لها بذلك قانوناً).
o التأكد من التزام جميع الأشخاص المصرح لهم بالوصول إلى البيانات الشخصية ومعالجتها نيابةً عن مجموعة أرامكس بالسرية؛
o تطبيق تدابير أمنية كافية لحماية البيانات الشخصية، كي تتم إدارة أي مخاطر محتملة على أصحاب البيانات ناتجة عن أنشطة معالجة البيانات الشخصية التي تنفذها جهة معالجة البيانات بشكل صحيح؛
o التعاقد فقط مع جهات معالجة البيانات من الباطن (أي جهات أخرى توظفها جهة معالجة البيانات للمساعدة في تقديم الخدمات لمجموعة أرامكس) ممن يقدمون ضمانات كافية للامتثال لحماية البيانات ومصرح لهم بذلك من جانب مجموعة أرامكس. أي جهات معالجة البيانات من الباطن مُتعاقد معها ملزمة بنفس التزامات حماية البيانات أو التزامات مشابهة لها إلى حد كبير مما تتحملها جهة معالجة البيانات تجاه مجموعة أرامكس. وتلتزم جهة معالجة البيانات باطلاع مجموعة أرامكس بأي جهات معالجة البيانات من الباطن مُتعاقد معها، كي تتمكن مجموعة أرامكس من اتخاذ قرار بشأن السماح أو الاعتراض على جهات جديدة من الباطن لمعالجة البيانات. وتظل جهة معالجة البيانات مسؤولة عن جميع جهات معالجة البيانات من الباطن التي تعينها؛
o مساعدة مجموعة أرامكس في ضمان الاستجابة الصحيحة لأصحاب البيانات الذين يطلبون ممارسة حقوقهم بموجب اللائحة العامة لحماية البيانات و/أو قواعد أرامكس الملزمة؛
o مساعدة مجموعة أرامكس في إدارة حالات انتهاك البيانات الشخصية (بما في ذلك الالتزام بالإبلاغ عن أي انتهاك بيانات شخصية يتم اكتشافه إلى مجموعة أرامكس دون تأخير غير مبرر) وتقييمات تأثير حماية البيانات (بالإضافة إلى أي طلبات للتشاور المسبق من الهيئة الرقابية) المتعلقة بجهة معالجة البيانات وخدماتها؛
o حذف أو إعادة جميع البيانات الشخصية إلى مجموعة أرامكس بعد انتهاء تقديم الخدمات، وفقاً لاختيار مجموعة أرامكس. لن يُسمح لجهة معالجة البيانات بالاحتفاظ بالبيانات الشخصية لفترة أطول إلا إذا كان قانون الاتحاد أو الدولة العضو الساري يتطلب ذلك؛
o إتاحة جميع المعلومات اللازمة لإثبات امتثالها لما سبق لمجموعة أرامكس والسماح بعمليات المراجعة التي قد ترغب مجموعة أرامكس في إجرائها على الأنظمة والأدوات والمباني التي تستخدمها لمعالجة البيانات الشخصية لصالح مجموعة أرامكس والمساهمة فيها؛
o إخطار مجموعة أرامكس إذا قررت أنها، أو أي متلقي بيانات ذي صلة (على سبيل المثال، جهة معالجة البيانات من الباطن) يقع خارج المنطقة الاقتصادية الأوروبية، غير قادر على ضمان مستوى كافٍ من الحماية للبيانات الشخصية المنقولة، مع مراعاة الضمانات المناسبة والتدابير التكميلية المحددة (راجع "نقل البيانات الشخصية من داخل المنطقة الاقتصادية الأوروبية إلى خارجها").
• إذا كانت الخدمات التي تقدمها أو الأنشطة التي تنفذها جهة معالجة البيانات تتضمن نقل البيانات الشخصية من داخل المنطقة الاقتصادية الأوروبية إلى خارجها، ينبغي تعليق أو إنهاء عمليات النقل هذه إذا علم عضو مجموعة أرامكس أن جهة معالجة البيانات ذات الصلة (أو أي متلقي بيانات ذي صلة يقع خارج المنطقة الاقتصادية الأوروبية) غير قادرة على ضمان مستوى كافٍ من الحماية للبيانات الشخصية المنقولة، مع مراعاة الضمانات المناسبة والتدابير التكميلية المحددة (راجع "نقل البيانات الشخصية من داخل المنطقة الاقتصادية الأوروبية إلى خارجها").
في حال إبلاغ جهة معالجة البيانات لأحد أعضاء مجموعة أرامكس بعدم قدرتها على معالجة البيانات الشخصية وفقاً للتعليمات الصادرة عن عضو مجموعة أرامكس (على سبيل المثال، بسبب تضارب المتطلبات القانونية المحلية)، أو علم عضو مجموعة أرامكس بعدم قدرتها على ذلك، يلتزم عضو مجموعة أرامكس بإبلاغ ممثل مجموعة أرامكس بذلك من خلال فريق الخصوصية في أرامكس. يجوز تعليق أو إنهاء عمليات نقل البيانات الشخصية إلى جهة معالجة البيانات في حالة أن هذا الوضع يقلل إلى حد كبير من الضمانات المقدمة لأصحاب البيانات بموجب قواعد أرامكس الملزمة.
3.8.2 التعاقد مع متعاقدين آخرين من الباطن
لا يُعتبر جميع الموردين أو مقدمي الخدمات أو المتعاقدين من الباطن الذين قد تتعاقد معهم مجموعة أرامكس لتقديم خدمات تتضمن معالجة البيانات الشخصية مؤهلين كجهات معالجة بيانات. هذا هو الحال عموماً عندما تكون خدمات المتعاقد من الباطن: (1) تتطلب بطبيعتها درجة كبيرة من الاستقلالية فيما يتعلق بمعالجة البيانات الشخصية، أو (2) خاضعة لإطار قانوني محدد يفرض عليهم متطلبات تتعلق بمعالجة البيانات الشخصية، والتي يجب اتباعها بغض النظر عن أي تعليمات قد تقدمها مجموعة أرامكس بخلاف ذلك (على سبيل المثال، شركات التدقيق المالي أو مكاتب المحاماة أو شركات التأمين أو غيرها من مقدمي خدمات التوصيل).
علاوة على ذلك، تعتمد مجموعة أرامكس في بعض الحالات على التعاون والمساعدة بين أعضائها، بدلاً من الاستعانة بمصادر خارجية (على سبيل المثال، قد يقوم أحد أعضاء مجموعة أرامكس بمعالجة إتمام عملية تسليم في منطقته نيابةً عن عضو آخر).
عندما لا يكون هؤلاء المتعاقدين من الباطن، سواء كانوا خارجيين أو داخليين، مؤهلين كجهات معالجة بيانات بسبب طبيعة خدماتهم، تقرر مجموعة أرامكس، على أساس كل حالة على حدة، ما إذا كان المتعاقد من الباطن يجب أن يكون مؤهل كجهة مشتركة للتحكم في البيانات مع مجموعة أرامكس، أو لجهة مستقلة للتحكم في البيانات.
في حال تحديد المتعاقد من الباطن كجهة مشتركة للتحكم في البيانات، تُصاغ وتُبرم اتفاقية تحكم مشترك في البيانات مع ذلك المتعاقد، مُصممة خصيصاً لمباشرة الخدمات التي سيقدمها. يجب أن تُحدد هذه الاتفاقيات مسؤولية الامتثال لالتزامات الخصوصية وحماية البيانات ذات الصلة بين مجموعة أرامكس والمتعاقد من الباطن، بما في ذلك، كحد أدنى:
• تطبيق التدابير التقنية والتنظيمية لضمان الامتثال للمبادئ العامة لحماية البيانات (راجع "ما هي المبادئ التي تتبعها مجموعة أرامكس عند معالجة البيانات الشخصية؟" أعلاه)؛
• تحديد الأسس القانونية المناسبة لأنشطة معالجة البيانات التي سيتم وضعها (راجع "الشفافية والعدالة والمشروعية" أعلاه)، وتطبيق التدابير التقنية والتنظيمية لضمان الاستفادة المثلى من هذه الأسس القانونية (على سبيل المثال، ضمان استيفاء جميع المتطلبات ذات الصلة بصحة الموافقة، أو إجراء تقييم المصالح المشروعة)؛
• تطبيق التدابير الأمنية التقنية والتنظيمية المناسبة؛
• إدارة حالات انتهاك البيانات الشخصية، بما في ذلك إكمال أي إخطارات/مراسلات مطلوبة بشأن انتهاك البيانات الشخصية إلى الهيئات الرقابية وأصحاب البيانات؛
• تنفيذ تقييمات تأثير حماية البيانات، عند الحاجة في ضوء الظروف الخاصة التي تُعالَج فيها البيانات الشخصية؛
• التعاقد الصحيح والمتوافق مع جهات معالجة البيانات (إن وجدت)؛
• عمليات نقل البيانات الشخصية عبر الحدود (إن وجدت)؛
• إدارة الاتصالات مع أصحاب البيانات (بما في ذلك الحاجة إلى الرد على طلبات أصحاب البيانات في الوقت المناسب وبطريقة مناسبة) والهيئات الرقابية.
في حال تحديد المتعاقد من الباطن كجهة مستقلة للتحكم في البيانات، ستُدرج مجموعة أرامكس بنداً ذا صلة في اتفاقية الخدمة (أو اتفاقية مماثلة) المُبرمة مع ذلك المتعاقد من الباطن، لضمان توفير الضمانات التعاقدية المناسبة المستندة إلى المبادئ العامة لحماية البيانات ولحماية أي بيانات شخصية قد يُعالجها المتعاقد من الباطن فيما يتعلق بتقديم خدماته.
في الحالات الأكثر تعقيداً، حيث لا يُمكن اعتبار المتعاقد من الباطن مؤهلًا بشكل واضح كجهة معالجة بيانات أو جهة مشتركة للتحكم في البيانات أو جهة مستقلة للتحكم في البيانات فقط (لا سيما لأنه يباشر مجموعة متنوعة من الأنشطة المختلفة التي تتضمن بيانات شخصية، بعضها قد يكون نيابةً عن مجموعة أرامكس والبعض الآخر قد يكون لأغراضه الخاصة)، ستسعى مجموعة أرامكس جاهدةً لإبرام اتفاقية إدارة بيانات مع المتعاقد من الباطن. تُصاغ اتفاقيات إدارة البيانات لتناسب الأنشطة المُحددة التي يُجريها هؤلاء المتعاقدون من الباطن، وقد تتضمن شروط اتفاقية معالجة البيانات و/أو شروط اتفاقية التحكم المشترك في البيانات و/أو شروطاً إضافية لتنظيم العلاقات بين الجهات المستقلة للتحكم في البيانات، حسب الحاجة لتنظيم العلاقة بشكل شامل.
3.8.3 نقل البيانات الشخصية من داخل المنطقة الاقتصادية الأوروبية إلى خارجها
في حال التعاقد مع متعاقد من الباطن لمساعدة أعضاء مجموعة أرامكس المقيمين داخل المنطقة الاقتصادية الأوروبية، ولكن هذا المتعاقد من الباطن موجود خارجها (أو يُخزّن البيانات الشخصية خارجها، إما مباشرةً أو من خلال جهة معالجة بيانات/ جهة معالجة بيانات من الباطن)، ستضمن مجموعة أرامكس تنظيم هذا النقل المحتمل للبيانات الشخصية بشكل سليم. يتعين توافر إحدى أدوات النقل التالية:
• يجب أن يكون البلد أو الإقليم الذي يقع فيه المتعاقد من الباطن (أو الذي تُخزّن فيه البيانات الشخصية) قد صدر بشأنه قرار ملاءمة من المفوضية الأوروبية؛
• في حال عدم وجود قرار ملاءمة متاح لذلك البلد أو الإقليم:
o يتعين تطبيق أحد الضمانات التالية:
يجب أن يكون المتعاقد من الباطن (أو جهة معالجة البيانات/ جهة معالجة البيانات من الباطن التابعة له) ملزماً باتفاقية مكتوبة تتضمن بنود حماية البيانات القياسية التي وافقت عليها أو اعتمدتها المفوضية الأوروبية أو بنوداً تعاقدية خاصة اعتمدتها هيئة رقابية مختصة؛
يجب أن يكون المتعاقد من الباطن (أو جهة معالجة البيانات/ جهة معالجة البيانات من الباطن التابعة له) ملزماً بقواعده المؤسسية الملزمة التي يجب أن تكون معتمدة رسمياً بموجب اللائحة العامة لحماية البيانات؛
يجب أن يلتزم المتعاقد من الباطن (أو جهة معالجة البيانات/ جهة معالجة البيانات من الباطن التابعة له) بقواعد سلوك أو آلية اعتماد تُمكّن من النقل القانوني للبيانات الشخصية، على أن تكون قد تمت الموافقة عليها رسمياً بموجب اللائحة العامة لحماية البيانات، ويجب اتخاذ التزامات ملزمة وقابلة للتنفيذ لتطبيق الضمانات المناسبة، بما في ذلك ما يتعلق بحقوق أصحاب البيانات؛
o يجب إجراء تقييم للأنظمة والممارسات القانونية المعمول بها في البلدان أو الأقاليم خارج المنطقة الاقتصادية الأوروبية التي ستُعالج فيها البيانات الشخصية (أي تقييم تأثير نقل البيانات، الذي يتم إجراؤه وإدارته بموجب الشروط المحددة في قواعد أرامكس الملزمة - راجع "كيف تدار حالات التعارض بين قواعد أرامكس الملزمة والتشريعات المحلية السارية؟" أدناه)، من خلال تقديم استبيان إلى جهة معالجة البيانات. بناءً على نتائج هذا التقييم، قد يلزم تطبيق تدابير تكميلية أخرى لضمان قانونية النقل، مثل:
تدابير تعاقدية كالإقرارات والضمانات المتعلقة بعدم وجود قوانين محلية سارية أو متطلبات أخرى على جهة معالجة البيانات من أجل:
• إنشاء أو الاحتفاظ بمكاتب خلفية لأنظمة جهة معالجة البيانات المستخدمة لتخزين البيانات الشخصية أو معالجتها بطريقة أخرى، والتي تكون متاحة للسلطات العامة؛ أو
• تسهيل وصول السلطات العامة إلى أنظمة جهة معالجة البيانات المستخدمة لتخزين البيانات الشخصية أو معالجتها بطريقة أخرى؛ أو
• الاحتفاظ بأي مفاتيح تشفير مستخدمة لتشفير البيانات الشخصية؛ أو
• الإفصاح للسلطات العامة عن أي مفاتيح تشفير مستخدمة لتشفير البيانات الشخصية؛
التدابير التقنية كالأنظمة و/أو الأدوات و/أو الآليات لضمان التشفير القانوني الشامل، سواءً أثناء النقل أو في حالة التوقف لجميع عمليات نقل البيانات الشخصية بين مجموعة أرامكس وجهة معالجة البيانات (أو جهة معالجة البيانات وأي جهات أخرى قد يتعاقد معها لمعالجة البيانات)، وأي عمليات نقل لاحقة للبيانات الشخصية تنفذها جهة معالجة البيانات (على سبيل المثال، إلى جهات أخرى معتمدة لمعالجة البيانات)؛
التدابير التنظيمية كإجراء لإدارة طلبات الكشف عن البيانات المحلية من السلطات العامة بشكل مناسب، التي تُلزم جهة معالجة البيانات وأي جهات أخرى معتمدة قد يتعاقد معها لمعالجة البيانات بما يلي:
• عدم اتخاذ أي إجراء بشأن الطلبات غير الملزمة قانوناً، أو التي لا يُلزم جهات معالجة البيانات بالرد عليها بشكل صارم؛
• في حال تأثير طلب على البيانات الشخصية التي تتم معالجتها نيابةً عن مجموعة أرامكس، إخطار عضو مجموعة أرامكس المعني بالطلب قبل الرد عليه، للسماح لمجموعة أرامكس بالتدخل (ما لم يكن ذلك محظوراً بموجب القوانين المحلية السارية)؛
• إذا كان لا يجوز قانوناً لجهة معالجة البيانات إخطار عضو مجموعة أرامكس المعني بالطلب قبل الرد عليه، إخطار عضو مجموعة أرامكس بعدم قدرته على الاستمرار في الامتثال لبنود العقد القياسية أو الضمانات المناسبة الأخرى المطبقة (دون تحديد الأحكام المحددة التي لم يعد بإمكان جهة معالجة البيانات الامتثال لها)؛
• استخدام جميع الإمكانيات القانونية للطعن في تلك الطلبات، بالإضافة إلى أي أحكام عدم إفصاح مرفقة بها؛
• ضمان عدم الإفصاح إلا عن الحد الأدنى الصارم من البيانات الشخصية اللازمة لمعالجة الطلب بشكل قانوني، وفقط في الوقت الذي تقتضيه القوانين السارية على نحو صارم.
توثيق أي طلبات للوصول إلى البيانات الشخصية من السلطات العامة والرد المُقدم، إلى جانب الأسباب القانونية والجهات المعنية (على سبيل المثال، ما إذا كان قد تم إخطار عضو مجموعة أرامكس بالطلب وما هو الرد المُقدم من مجموعة أرامكس، وتقييم مشروعية الطلب ونطاقه من جانب جهة معالجة البيانات، وما إلى ذلك)، وإتاحة هذه الوثائق لمجموعة أرامكس عند الطلب.
• استثنائياً، إذا لم تتوفر أي من الضمانات المذكورة أعلاه، وكان النقل المحدد للبيانات الشخصية المعني محدوداً وعرضياً وغير متكرر، يجب تطبيق أحد الاستثناءات التالية:
o أن يكون أصحاب البيانات (الذين ستُنقل بياناتهم الشخصية) قد منحوا موافقة صريحة على النقل، بعد إخطارهم بالمخاطر المُحتملة؛
o أن يكون النقل ضرورياً لتنفيذ عقد مع صاحب البيانات أو لتنفيذ تدابير ما قبل التعاقد بناءً على طلب صاحب البيانات؛
o يكون النقل ضرورياً لإبرام أو تنفيذ عقد أُبرم لمصلحة صاحب البيانات بين مجموعة أرامكس وشخص آخر؛
o يكون النقل ضرورياً لأسباب مهمة تتعلق بالمصلحة العامة؛
o يكون النقل ضرورياً لإقامة الدعاوى القانونية أو ممارستها أو الدفاع فيها؛
o يكون النقل ضرورياً لحماية المصالح الحيوية لصاحب البيانات أو مصالح أشخاص آخرين في حالة عدم قدرة صاحب البيانات على منح الموافقة.
في الحالات الاستثنائية المتبقية، وفقط في عمليات النقل غير المتكررة والتي تتعلق بعدد محدود من أصحاب البيانات، يجوز أيضاً إجراء عمليات النقل هذه عند الحاجة لأغراض المصالح المشروعة الملحة التي تسعى إليها مجموعة أرامكس. يخضع هذا الخيار للمتطلبات الإضافية التالية:
• ألا تطغى مصالح أو حقوق وحريات أصحاب البيانات على المصالح التي تسعى إليها مجموعة أرامكس - ولضمان ذلك، يجب على مجموعة أرامكس تقييم جميع الظروف المحيطة بالنقل بعناية، وتوفير ضمانات مناسبة لحماية الحقوق الأساسية والحريات للأشخاص الطبيعيين فيما يتعلق بمعالجة بياناتهم الشخصية؛
• يتعين إخطار أصحاب البيانات بأنه سيتم الاعتماد على هذا الاستثناء؛
• يتعين إخطار الهيئات الرقابية المختصة بأي عمليات نقل تتم بموجب هذه الشروط.
3.9 المساءلة
للامتثال لمبدأ المساءلة، يتعين على مجموعة أرامكس أن تتجاوز مجرد الامتثال لجميع مبادئ وقواعد حماية البيانات ذات الصلة الواردة في اللائحة العامة لحماية البيانات وقواعد أرامكس الملزمة - فكل عضو في مجموعة أرامكس مسؤول أيضاً عن إثبات امتثاله. ولتحقيق ذلك، تعتمد مجموعة أرامكس على عدة وسائل مختلفة لتوثيق أدلة امتثالها، التي يمكن إتاحتها للهيئات الرقابية (وإلى حد ما، لأصحاب البيانات) عند الطلب. ويشمل ذلك (على سبيل المثال لا الحصر):
• سجلات أنشطة معالجة البيانات. يحتفظ أعضاء مجموعة أرامكس بسجلات تفصيلية مكتوبة (بما في ذلك بصيغة إلكترونية) لأنشطة معالجة البيانات الشخصية التي ينفذونها ويمكن إتاحتها للهيئات الرقابية عند الطلب. يحتوي كل سجل على المعلومات التالية:
o اسم وتفاصيل الاتصال بعضو مجموعة أرامكس (وممثله في الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية - إن وجد)؛
o اسم وتفاصيل الاتصال بمسؤول الخصوصية لذلك العضو في مجموعة أرامكس، بالإضافة إلى تفاصيل الاتصال بفريق الخصوصية في أرامكس؛
o وصفٌ لمختلف أنواع أنشطة معالجة البيانات التي ينفذها كل عضو من أعضاء مجموعة أرامكس. يُقدَّم المزيد من المعلومات حول كل مجموعة من الأنشطة المحددة:
أغراض معالجة البيانات الشخصية؛ و
فئات أصحاب البيانات المعنيين؛ و
فئات البيانات الشخصية الخاضعة للمعالجة؛ و
الأسس/الاستثناءات القانونية المعمول بها (راجع "المشروعية" أعلاه)؛ و
الجهات الخارجية المشاركة لمعالجة البيانات والتحكم في البيانات؛ و
ما إذا كانت البيانات الشخصية تُنقل خارج نطاق اختصاص عضو مجموعة أرامكس (أو خارج الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية، بالنسبة لأعضاء مجموعة أرامكس المقيمين في الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية)؛ و
فترات الاحتفاظ المطبقة على البيانات الشخصية الخاضعة للمعالجة؛ و
أنظمة/أدوات تكنولوجيا المعلومات (على سبيل المثال، برامج وتطبيقات البرمجيات، أو الأرشيفات الورقية) المُستخدمة لمعالجة البيانات الشخصية.
• تقييمات المصالح المشروعة. طورت مجموعة أرامكس أداةً، بموجب المادة 29 من رأي فريق عمل حماية البيانات رقم 06/2014 بشأن مفهوم المصالح المشروعة لجهة التحكم في البيانات بموجب المادة 7 من التوجيه رقم 95/46/EC. عندما تدرس مجموعة أرامكس إمكانية استخدام مصلحة مشروعة محددة تُحدد كأساس قانوني لمشروع معين يتضمن بيانات شخصية (راجع "المشروعية" أعلاه)، تتيح هذه الأداة لمجموعة أرامكس إجراء وتوثيق تقييم لتحديد ما إذا كانت المصالح أو الحقوق الأساسية والحريات لأصحاب البيانات الذين ستتأثر بياناتهم الشخصية تتجاوز المصلحة المحددة.
• سجل طلبات أصحاب البيانات. تحتفظ مجموعة أرامكس بسجلات لتتبع الطلبات المقدمة من أصحاب البيانات لممارسة حقوقهم بموجب قوانين حماية البيانات السارية (بما في ذلك اللائحة العامة لحماية البيانات)، بالإضافة إلى الشكاوى المقدمة من أصحاب البيانات بموجب قواعد أرامكس الملزمة (راجع "كيف يمكننا ممارسة حقوقنا وتقديم شكاوى بموجب قواعد أرامكس الملزمة؟"). تُمكّن هذه السجلات مجموعة أرامكس من ضمان الرد على جميع الطلبات على الفور وبيان كيفية التعامل مع كل طلب على حدة.
• الاتفاقيات. تُبرم مجموعة أرامكس (عند الحاجة) وتُوثّق اتفاقيات الخدمة واتفاقيات معالجة البيانات واتفاقيات إدارة البيانات واتفاقيات التحكم المشترك في البيانات وغيرها من الوثائق التعاقدية ذات الصلة المُبرمة مع شركائها التجاريين وعملائها (راجع "التعاقد مع جهات معالجة البيانات" و"التعاقد مع المتعاقدين من الباطن الآخرين" أعلاه). ولا يقتصر ذلك على وضع قواعد واضحة المعالم حول كيفية معالجة البيانات الشخصية، بل يشمل أيضاً الامتثال لمتطلبات اللائحة العامة لحماية البيانات وقوانين حماية البيانات الأخرى السارية فيما يتعلق بالتعاقد مع شركاء العمل والعملاء.
• تقييمات خطورة انتهاك البيانات. طورت مجموعة أرامكس أداةً، بناءً على توصيات وكالة الاتحاد الأوروبي للأمن السيبراني، لتقييم خطورة حالات انتهاك البيانات الشخصية. تتيح هذه الأداة لمجموعة أرامكس تقييم الأثر المحتمل لانتهاك البيانات الشخصية على أصحاب البيانات المتضررين باستخدام المعلومات التي جُمعت حول انتهاك بيانات شخصية محدد لحساب درجة الخطورة الإجمالية. تُوثّق نتائج هذه التقييمات لضمان المساءلة، وتُستخدم لاتخاذ القرارات بشأن مدى الحاجة لإخطار الهيئات الرقابية المختصة أو حتى أصحاب البيانات المتضررين بانتهاك البيانات الشخصية (لا سيما عند اكتشاف مخاطر عالية وضرورة اتخاذ أصحاب البيانات إجراءات لمنع المزيد من الضرر).
• سجل انتهاكات البيانات الشخصية. تحتفظ مجموعة أرامكس بسجلات لتتبع الحوادث الأمنية التي تؤثر على البيانات الشخصية التي يعالجها أي من أعضاء مجموعة أرامكس. تصف هذه السجلات كل حادث محدد، وتربطه بتقييم خطورة انتهاك البيانات المقابل له وتحدد التدابير اللاحقة التي اتخذتها مجموعة أرامكس للإبلاغ عن الحادث ومعالجته ومنع تكراره مستقبلاً.
• تقييمات تأثير حماية البيانات. طورت مجموعة أرامكس أداةً بموجب المادة 29 من إرشادات فريق عمل حماية البيانات بشأن تقييم تأثير حماية البيانات، لتحديد ما إذا كانت معالجة البيانات "من المرجح أن تُسبب مخاطر عالية" لأغراض اللائحة رقم 2016/679. تستخدم مجموعة أرامكس هذه الأداة لإجراء تقييمات تأثير حماية البيانات لمشروعات محددة (راجع "تقييمات مخاطر الخصوصية وتقييمات تأثير حماية البيانات" أعلاه).
3.10 حماية البيانات بالتصميم والتطبيق الافتراضي
امتثالاً لجميع المبادئ المذكورة أعلاه، اتخذت مجموعة أرامكس خطوات لضمان أن تكون حماية البيانات الشخصية جزءً أساسياً لا يتجزأ من جميع إجراءاتها الداخلية.
سعت مجموعة أرامكس إلى تطبيق مفهوم حماية البيانات بالتصميم من خلال مراجعة وتطبيق سياسات وإجراءات داخلية جديدة، كي تُطوّر أنشطتها ومشروعاتها الحالية والمستقبلية المتعلقة بالبيانات الشخصية، من البداية، مع مراعاة مبادئ حماية البيانات. وفي إطار هذا النهج، تبدي أرامكس تركيزاً خاصاً على مبدأ تقليل استخدام البيانات، كوسيلة لتطبيق مفهوم حماية البيانات تطبيقاً افتراضياً - وكقاعدة عامة، ستجمع مجموعة أرامكس وتستخدم الحد الأدنى التام من البيانات الشخصية وأنواعها في أي نشاط أو مشروع (ما لم يُوافق صاحب البيانات طواعيةً على السماح لمجموعة أرامكس باستخدام المزيد من البيانات الشخصية أو غيرها).
ركزت تدابير مجموعة أرامكس لتحقيق ذلك، بشكل أساسي، على ما يلي:
• الأمان. جميع التطبيقات والخدمات والمنتجات التي تقدمها مجموعة أرامكس مُدمج فيها تدابير أمنية لحماية البيانات مُباشرةً منذ لحظة تطويرها وتصميمها. يعتمد اختيار هذه التدابير على عدة عوامل مختلفة، منها أنواع البيانات الشخصية التي ستُعالجها، وطرق وصول المستخدمين إلى التطبيقات/الخدمات/المنتجات، ومعايير الصناعة/أفضل الممارسات الأمنية المُعتمدة في قطاع مجموعة أرامكس، لضمان التأمين الكاف لأي بيانات شخصية ذات صلة ضد الوصول غير المُصرح به أو الإفصاح عنها أو تغييرها أو حذفها. تخضع هذه التدابير للمراجعة بانتظام، لضمان استمرارها في توفير حماية فعالة للبيانات الشخصية التي تقع ضمن مسؤولية مجموعة أرامكس. علاوةً على ذلك، يخضع شركاء الأعمال الذين تتعاقد معهم مجموعة أرامكس لمعالجة البيانات الشخصية للمراجعة لضمان قدرتهم على تقديم مستوى مُكافئ إلى حد كبير من أمن البيانات الذي تُقدمه مجموعة أرامكس.
• إدارة انتهاكات البيانات الشخصية. كما ذُكر سابقاً (راجع "إدارة الحوادث الأمنية وحالات انتهاك البيانات الشخصية" أعلاه)، وضعت مجموعة أرامكس سياسة داخلية لإدارة الحوادث الأمنية، ومنها حالات انتهاك البيانات الشخصية. تُرسي هذه السياسة سير عمل متماسكاً وفعالاً لضمان تقييم فريق الاستجابة للحوادث في أرامكس لأي حوادث ذات صلة بشكل سليم، مما يُمكّن مجموعة أرامكس من الإبلاغ الفوري عن أي حوادث ذات صلة (عند الحاجة) واستعادة الوضع الطبيعي (من خلال تدابير أمنية لمعالجة آثار الحادث ومنع تكراره).
• التفويضات والتعيينات. عندما تسمح مجموعة أرامكس لشخص ما كموظف أو متعاقد بالوصول إلى البيانات الشخصية تحت مسؤولية مجموعة أرامكس، يُطلب من ذلك الشخص قبول تفويض بمعالجة البيانات الشخصية (يرد في سياسة مجموعة أرامكس بشأن الاستخدام المقبول لموارد المعلومات في أرامكس). يُلزم هذا التفويض هؤلاء الأفراد بسرية أي بيانات شخصية يتم الوصول إليها، بالإضافة إلى الالتزام بمعالجة هذه البيانات الشخصية فقط وفقاً للتعليمات الصادرة عن مجموعة أرامكس والامتثال لجميع سياساتها الداخلية (وخاصةً تلك المتعلقة بالأمن). إذا تعاقدت مجموعة أرامكس مع جهة معالجة بيانات، ستخضع هذه الجهة (في حال الموافقة عليها بعد عملية التقييم الواجب/التحقق الأولية) لالتزامات حماية البيانات المناسبة بموجب اتفاقية معالجة بيانات مكتوبة (راجع "التعاقد مع جهات معالجة البيانات" أعلاه). أما بالنسبة لشركاء الأعمال الآخرين الذين قد يتعاملون مع البيانات الشخصية تحت مسؤولية مجموعة أرامكس، ستبرم مجموعة أرامكس -إن كان ممكناً ومناسباً- في اتفاقيات إدارة بيانات مكتوبة أو اتفاقيات تحكم مشترك في البيانات لضمان وضع الالتزامات التي تتطلب احترام مبادئ حماية البيانات المذكورة أعلاه (راجع "التعاقد مع المتعاقدين من الباطن الآخرين" أعلاه).
• مسؤول حماية البيانات في المجموعة. عيّنت مجموعة أرامكس مسؤول حماية بيانات في المجموعة (مسؤول حماية البيانات في مجموعة أرامكس). يتولى مسؤول حماية البيانات في مجموعة أرامكس مسؤولية إبلاغ أعلى مستويات الإدارة في مجموعة أرامكس (على مستوى المجموعة وعلى المستوى المحلي) وتقديم المشورة بشأن مسائل حماية البيانات بموجب اللائحة العامة لحماية البيانات، بما في ذلك إدارة طلبات أصحاب البيانات وحالات انتهاك البيانات الشخصية، وتقييم الاتفاقيات المتعلقة بحماية البيانات وأداء تقييمات المصالح المشروعة وتقييمات تأثير حماية البيانات ومساعدة مجموعة أرامكس في تطوير إشعارات وإرشادات وسياسات وإجراءات حماية البيانات العالمية لمجموعة أرامكس، وخاصةً في تطوير إطار الالتزام بحماية البيانات والحفاظ عليه. يعمل مسؤول حماية البيانات في مجموعة أرامكس كجزء من فريق الخصوصية في أرامكس، الذي يشرف بشكل مشترك على أنشطة مسؤولي الخصوصية المعينين لكل دولة تعمل فيها مجموعة أرامكس.
• شبكة الخصوصية في أرامكس. كما هو موضح أدناه (راجع "شبكة الخصوصية في أرامكس")، تم تعيين مسؤول خصوصية في كل دولة تعمل فيها مجموعة أرامكس. يتولى مسؤولو الخصوصية مسؤولية مساعدة فريق الخصوصية في أرامكس في التنفيذ المحلي لإشعارات وإرشادات وسياسات وإجراءات حماية البيانات العالمية لمجموعة أرامكس (مع تعديل أي متطلبات محلية محددة قابلة للتطبيق) وإدارة مسائل الامتثال المحلية – على سبيل المثال، الإبلاغ عن طلبات أصحاب البيانات المحليين ومعالجتها وحالات انتهاك البيانات الشخصية وإدارة المراسلات المتبادلة مع الهيئات الرقابية المحلية والحفاظ على/تحديث وثائق حماية البيانات المحلية (بما في ذلك سجلات أنشطة معالجة البيانات وإشعارات المعلومات).
• السياسات. طورت أرامكس إطار الالتزام بحماية البيانات بناءً على مبادئ وقواعد ومتطلبات حماية البيانات الواردة في اللائحة العامة لحماية البيانات. وهو عبارة عن مجموعة من السياسات والإجراءات والإرشادات الداخلية (بما في ذلك سياسة محددة تُركِّز على تطبيق حماية البيانات بالتصميم والتطبيق الافتراضي) وهو ملزم لأعضاء مجموعة أرامكس وموظفيها وغيرهم من الأشخاص المُصرَّح لهم. من خلال إطار الالتزام بحماية البيانات، حوّلت مجموعة أرامكس حماية البيانات إلى اهتمام تشغيلي أساسي، حيث وُضِعَت أدوات وضوابط قابلة للمراجعة لضمان إلمام مختلف الأقسام داخل أعضاء مجموعة أرامكس بقواعد إطار الالتزام بحماية البيانات وتطبيقها بشكل مناسب، سواءً للأنشطة الحالية أو الجديدة، مع حل أي شكوك ومخاوف عملية مع مسؤولي الخصوصية وفريق الخصوصية في أرامكس.
• التدريب. كما هو موضح أدناه (راجع التدريب وزيادة الوعي)، تُنظِّم مجموعة أرامكس دورات تدريبية إلزامية سنوية حول الخصوصية وحماية البيانات وأمن المعلومات وإطار الالتزام بحماية البيانات (بما في ذلك قواعد أرامكس الملزمة). يُطلب من جميع الأفراد المُصرّح لهم بالوصول إلى البيانات الشخصية كموظفي مجموعة أرامكس حضور هذه الدورات وإكمالها. علاوة على ذلك، تُعقد دورات تدريبية محددة الأهداف (تُركّز على دول و/أو أقسام مُحددة) عندما يراها فريق الخصوصية في أرامكس مناسبة. تتشارك جميع المحاضرات والدورات التدريبية في الأهداف نفسها: ضمان دراية الأفراد بالقواعد المعمول بها في مجموعة أرامكس والمخاطر المُحتملة التي قد تُواجه أصحاب البيانات في حال عدم اتباع هذه القواعد اتباعاً صحيحاً.
• التقييمات. بتنسيق من فريق الخصوصية في أرامكس، تُخضع مجموعة أرامكس المشروعات والأنشطة الجديدة والقائمة التي تتضمن استخدام البيانات الشخصية لتقييمات مختلفة، لضمان الامتثال لقواعد حماية البيانات والحدّ من المخاطر التي يتعرض لها أصحاب البيانات بشكل كافٍ. عندما يُشير تقييم أولي لمخاطر الخصوصية إلى أن مشروعاً أو نشاطاً مُعيناً يُمثل خطراً محتملاً عالياً على أصحاب البيانات، يُخضع هذا المشروع أو النشاط لتقييم تأثير حماية البيانات تقييماً كاملاً (راجع "تقييمات مخاطر الخصوصية وتقييمات تأثير حماية البيانات" أعلاه) تحت إشراف فريق الخصوصية في أرامكس. إذا كانت مجموعة أرامكس تنوي الاستفادة من مصلحة مشروعة مُحددة كأساس قانوني لمشروع أو نشاط مُعين، سيتم أيضاً إجراء تقييم كامل (راجع "المساءلة" أعلاه). يُفضل إجراء هذه التقييمات قبل بدء المشروع أو النشاط (خاصةً للأنشطة الجديدة)، كي يُمكن دمج متطلبات حماية البيانات منذ مرحلة التصميم.
• إشعارات المعلومات. كما ذُكر سابقاً (راجع "الشفافية والعدالة والمشروعية")، تحرص مجموعة أرامكس على ضمان تواصلها بشفافية مع أصحاب البيانات، سواءً عند التواصل المباشر مع أي فرد (على سبيل المثال، لإدارة الطلبات المقدمة من أصحاب البيانات) أو من خلال إشعارات المعلومات وسياسات الخصوصية المختلفة المُستخدمة. صُممت إشعارات المعلومات هذه لتكون واضحة ومفهومة قدر الإمكان فيما يتعلق بالمشروعات أو الأنشطة التي تُشير إليها، وتوضح المعلومات المطلوبة بموجب اللائحة العامة لحماية البيانات والتفاصيل الإضافية التي قد تهم أصحاب البيانات بشكل عام. وكقاعدة عامة، تُقدم مجموعة أرامكس هذه الإشعارات لأصحاب البيانات قبل جمع أي من بياناتهم الشخصية.
• الأسس القانونية. كما هو مذكور أعلاه (راجع "الشفافية والعدالة والمشروعية")، لن تستخدم مجموعة أرامكس البيانات الشخصية إلا لغرض محدد إذا تمكنت من تحديد أساس قانوني يسمح بذلك. لضمان اتباع ذلك داخل مجموعة أرامكس، طُبقت سياسات محددة بشأن تحديد الأسس القانونية وتطبيقها (بما في ذلك وصف نطاق تطبيق كل أساس قانوني وأمثلة عليه). وتتطلب هذه السياسات من مجموعة أرامكس تحديد الأساس القانوني المطبق على أي مشروع أو نشاط بدقة قبل بدئه، واتخاذ جميع خطوات الامتثال اللازمة لضمان إمكانية استخدام هذا الأساس القانوني (على سبيل المثال، عند اختيار الموافقة، يجب تصميم طريقة طلب الموافقة بحيث تلبي جميع متطلبات اللائحة العامة لحماية البيانات).
• حقوق أصحاب البيانات. لضمان قدرتها على تحديد طلبات أصحاب البيانات لممارسة حقوقهم والاستجابة لها بشكل صحيح - بموجب اللائحة العامة لحماية البيانات وقوانين حماية البيانات الأخرى السارية وقواعد أرامكس الملزمة (راجع "ما هي الحقوق التي نتمتع بها بموجب قواعد أرامكس الملزمة؟" أدناه) - طبقت مجموعة أرامكس إجراءات داخلية عملية، بما في ذلك سير عمل يوفر إرشادات حول كيفية التعامل مع الطلبات من الاستلام إلى الانتهاء. أحد الجوانب الأساسية للتقييمات التي تُجرى على الأنشطة والمشروعات الجديدة والحالية داخل مجموعة أرامكس هو التأكيد على عدم وجود عقبات جوهرية أمام ممارسة أي من هذه الحقوق (على سبيل المثال، يجب أن تسمح أي أنظمة جديدة يتم الحصول عليها لتخزين البيانات الشخصية بالاستعلام عن البيانات الشخصية أو استخراجها أو تعديلها أو نسخها أو حذفها أو تقييد معالجتها، عندما يكون ذلك ضرورياً للتعامل مع طلب محدد من صاحب البيانات).
• التعاون مع الهيئات الرقابية. من خلال التدابير المختلفة التي تتخذها مجموعة أرامكس لضمان الامتثال لمبدأ المساءلة (راجع "المساءلة" أعلاه)، مجموعة أرامكس قادرة على تقديم أدلة على الامتثال لحماية البيانات عند الطلب. وهذا، إلى جانب الإجراءات الداخلية التي تم تنفيذها لتوفير تعليمات عملية بشأن تقديم المساعدة للهيئات الرقابية فيما يتعلق بمهامها، يسمح لمجموعة أرامكس بالتعاون بشكل أكثر فعالية مع أي هيئات رقابية تقدم استفسار ما.
4. ما هي الحقوق التي نتمتع بها بموجب قواعد أرامكس الملزمة؟
تنص اللائحة العامة لحماية البيانات على مجموعة متنوعة من الحقوق لأصحاب البيانات فيما يتعلق بكيفية التحكم في استخدام بياناتهم الشخصية. وقد طبقت مجموعة أرامكس إجراءات داخلية لضمان إمكانية تطبيق هذه الحقوق على جميع أعضاء مجموعة أرامكس (داخل المنطقة الاقتصادية الأوروبية أو خارجها)، من خلال إطار الالتزام بحماية البيانات. علاوة على ذلك، يمكن لأصحاب البيانات تنفيذ بنود محددة من قواعد أرامكس الملزمة على أي عضو في مجموعة أرامكس، كما هو موضح أدناه.
4.1 حق الحصول على المعلومات
لديكم الحق بصفتكم صاحب البيانات في الحصول على معلومات حول أنشطة معالجة البيانات التي تنفذها مجموعة أرامكس فيما يتعلق ببياناتكم الشخصية. وتُقر مجموعة أرامكس بهذا الحق وتتناوله من خلال إشعارات المعلومات وسياسات الخصوصية المختلفة المتاحة لأصحاب البيانات، والتي تتضمن حداً أدنى من المعلومات حول تلك الأنشطة (راجع "الشفافية" أعلاه)، ومن خلال منح أصحاب البيانات إمكانية طلب المعلومات مباشرةً (راجع "حق الوصول إلى البيانات" أدناه).
4.2 حق الوصول إلى البيانات
يحق لكم أن تطلبوا من أي عضو في مجموعة أرامكس أن يؤكد لكم ما إذا كان يعالج بياناتكم الشخصية أم لا. في حالة تنفيذه لذلك، يمكنكم أيضاً طلب الوصول إلى تلك البيانات، بالإضافة إلى أي من المعلومات التالية:
• أغراض معالجة بياناتكم الشخصية؛
• فئات بياناتكم الشخصية التي تتم معالجتها؛
• متلقي البيانات (أو فئات متلقي البيانات) التي تم أو سيتم الكشف لها عن بياناتكم الشخصية (وخاصةً الجهات الموجودة خارج المنطقة الاقتصادية الأوروبية)؛
• الضمانات المُطبقة لمعالجة أي عمليات نقل لبياناتكم الشخصية إلى متلقي البيانات خارج المنطقة الاقتصادية الأوروبية (راجع "جهات معالجة البيانات وقيود عمليات النقل اللاحقة")؛
• الفترة الزمنية التي ستحتفظ فيها مجموعة أرامكس ببياناتكم الشخصية - إن لم يكن من الممكن تحديدها، فالمعايير المُستخدمة لتحديد تلك الفترة؛
• حقوقكم كصاحب بيانات، وكيفية ممارستها؛
• المصادر التي جُمعت منها بياناتكم الشخصية؛
• وجود أي عملية اتخاذ قرارات آلية، بما في ذلك إنشاء الملفات الشخصية - في حال حدوث ذلك، يمكنكم طلب معلومات مفيدة حول المنطق المتبع وأهمية أنشطة معالجة البيانات هذه والعواقب المتوقعة لها.
بخلاف ما سبق، يمكنكم أيضاً طلب نسخة من بياناتكم الشخصية التي يعالجها أي عضو في مجموعة أرامكس. سيتم توفير النسخة الأولى التي تطلبوها مجاناً؛ وقد تخضع أي نسخ أخرى لرسوم معقولة حسب التكاليف الإدارية المترتبة على توفير النسخ. بشكل عام، سيتم توفير هذه النسخ بصيغة إلكترونية شائعة الاستخدام.
4.3 حق التصحيح
إذا كان لدى أي عضو من أعضاء مجموعة أرامكس بيانات شخصية عنكم غير دقيقة أو غير كاملة أو غير محدثة، يمكنكم أن تطلبوا من ذلك العضو تصحيح تلك البيانات الشخصية أو استكمالها أو تحديثها.
4.4 حق المحو ("حق النسيان")
هناك حالات معينة يمكنكم بموجبها أن تطلبوا من أي عضو من أعضاء مجموعة أرامكس حذف بياناتكم الشخصية التي يحتفظ بها. وتشمل هذه الحالات:
• عندما لا يعود عضو مجموعة أرامكس بحاجة إلى استخدام بياناتكم الشخصية (مع مراعاة الأغراض التي جُمعت بياناتكم الشخصية واستُخدمت من أجلها)؛
• عند منحكم الموافقة سابقاً على استخدام بياناتكم الشخصية وترغبون في سحب هذه الموافقة (ما لم يكن هناك أساس قانوني آخر يسمح لعضو مجموعة أرامكس بمواصلة استخدام بياناتكم الشخصية)؛
• عند اعتراضكم على استمرار استخدام بياناتكم الشخصية (راجع "حق الاعتراض" أدناه) ولم يتمكن عضو مجموعة أرامكس من إثبات أسباب مشروعة وجيهة تسمح له بمواصلة استخدام بياناتكم الشخصية؛
• في حالة معالجة بياناتكم الشخصية بشكل غير قانوني؛
• في حالة طُلب من أحد أعضاء مجموعة أرامكس محو بياناتكم الشخصية امتثالاً لالتزاماته بموجب قانون المنطقة الاقتصادية الأوروبية أو قانون الدول العضو.
في حال انطباق إحدى الحالات المذكورة أعلاه، سيُطلب من عضو مجموعة أرامكس، كقاعدة عامة، حذف بياناتكم الشخصية أو إخفاء هويتها دون تأخير غير مبرر. ومع ذلك، هناك استثناءات لهذه القاعدة، وتحديداً عندما يحتاج عضو مجموعة أرامكس إلى مواصلة معالجة بياناتكم الشخصية من أجل:
ممارسة الحق في حرية التعبير والمعلومات؛
الامتثال لالتزاماته بموجب قانون المنطقة الاقتصادية الأوروبية أو قانون الدول العضو؛
أداء مهمة تُنفذ للمصلحة العامة (وخاصةً في مجال الصحة العامة، مع مراعاة بعض الضمانات)؛
مباشرة أنشطة الأرشفة للمصلحة العامة أو أنشطة البحث العلمي أو التاريخي أو الأنشطة الإحصائية، مع مراعاة بعض الضمانات، وفقط إلى الحد الذي يجعل فيه محو البيانات الشخصية أو إخفاء هويتها من المستحيل تحقيق أغراض تلك الأنشطة، أو من شأنه أن يُضعفها بشكل كبير؛
إقامة الدعاوى القانونية أو ممارستها أو الدفاع فيها.
في حال عدم انطباق أي من هذه الاستثناءات وكان طلب المحو صحيحاً، يتعين على عضو مجموعة أرامكس محو بياناتكم الشخصية (أو إخفاء هويتها) من جميع أنظمة تكنولوجيا المعلومات الخاصة به، بما في ذلك أي أنظمة نسخ احتياطي. إذا نشر عضو مجموعة أرامكس بياناتكم الشخصية للعامة، سيتخذ خطوات معقولة لإبلاغ الآخرين بأنكم طلبتم محو بياناتكم الشخصية، وعليه أيضاً إعدام أي روابط أو نسخ أو تكرارات لبياناتكم الشخصية.
4.5 الحق في تقييد معالجة البيانات
يمكنكم أيضاً الطلب من أي عضو في مجموعة أرامكس تقييد معالجة بياناتكم الشخصية مؤقتاً، في حال تحقق أي من الحالات التالية:
• طعنتم في دقة بعض أو كل بياناتكم الشخصية التي يعالجها ذلك العضو في مجموعة أرامكس (راجع "الحق في التصحيح" أعلاه) - في هذه الحالة، يمكنكم طلب تقييد استخدام بياناتكم الشخصية حتى يتمكن عضو مجموعة أرامكس من تأكيد دقة البيانات الشخصية أو تصحيحها بطريقة أخرى؛
• يعالج عضو مجموعة أرامكس بياناتكم الشخصية بشكل غير قانوني، ولكنكم لا ترغبون في أن يحذف عضو مجموعة أرامكس هذه البيانات الشخصية؛
• ترغبون في إقامة دعوى قانونية أو ممارستها أو الدفاع فيها وتحتاجون إلى استمرار عضو مجموعة أرامكس في تخزين بياناتكم الشخصية للقيام بذلك بفعالية؛
• اعترضتم على استمرار معالجة بياناتكم الشخصية (راجع "الحق في الاعتراض" أدناه) - في هذه الحالة، يمكنكم طلب تقييد استخدام بياناتكم الشخصية حتى يتمكن عضو مجموعة أرامكس من تأكيد اعتراضكم أو تجاوزه.
إذا وافق عضو مجموعة أرامكس على طلبكم لتقييد معالجة البيانات، سيتم تصنيف بياناتكم الشخصية على أنها "مقيدة"، وكقاعدة عامة، لن تُستخدم لأي غرض آخر غير التخزين حتى يتم رفع القيد. الاستثناءات الوحيدة لذلك هي:
عند منحكم الموافقة على استخدام بياناتكم الشخصية المقيدة لغرض محدد؛ أو
عندما يحتاج عضو مجموعة أرامكس إلى استخدام بياناتكم الشخصية لإقامة دعاوى قانونية أو ممارستها أو الدفاع فيها؛ أو
عندما يحتاج عضو مجموعة أرامكس إلى استخدام بياناتكم الشخصية لحماية حقوق شخص طبيعي أو اعتباري آخر؛ أو
عندما يحتاج عضو مجموعة أرامكس إلى استخدام بياناتكم الشخصية لتحقيق أهداف ذات مصلحة عامة مهمة للمنطقة الاقتصادية الأوروبية أو الدولة العضو.
4.6 الحق في الإخطار (بشأن التصحيح أو المحو أو التقييد)
في كل مرة تطلبون فيها ممارسة الحق في التصحيح (راجع "الحق في التصحيح" أعلاه) أو الحق في المحو (راجع "الحق في المحو" ("حق النسيان") أعلاه) أو الحق في تقييد معالجة البيانات (راجع "الحق في تقييد معالجة البيانات" أعلاه) وتوافق مجموعة أرامكس على طلبكم، سيتم إبلاغ جميع متلقي بياناتكم الشخصية بأي تصحيح أو محو أو تقييد لمعالجة البيانات، ما لم يكن ذلك مستحيلاً أو يتطلب جهداً غير متناسب من جانب مجموعة أرامكس.
ستُعلمكم مجموعة أرامكس أيضاً بهؤلاء المتلقين إذا طلبتم ذلك.
4.7 الحق في نقل البيانات
يُسمح لكم أيضاً الطلب من عضو مجموعة أرامكس مشاركة فئات محددة من بياناتكم الشخصية معكم بصيغة منظمة شائع الاستخدام وقابلة للقراءة آلياً (بمعنى آخر، صيغة تسمح لتطبيقات البرمجيات بتحديد بياناتكم الشخصية وقراءتها واستخراجها وبنيتها).
في حالة طلبكم لنقل البيانات، سيستخدم هذا الطلب على أي بيانات شخصية تخصكم تستوفي جميع الشروط الثلاثة التالية:
• أن تكونوا قد شاركتَم هذه البيانات الشخصية، سواءً بشكلٍ مباشر أو غير مباشر، مع عضو مجموعة أرامكس (على سبيل المثال، البيانات الشخصية المقدمة منكم عند ملء النماذج الإلكترونية أو البيانات الشخصية التي جُمعت من استخدامكم لتطبيقات أرامكس)؛
• أن يُعالج هذا العضو هذه البيانات الشخصية آلياً (على سبيل المثال، على عكس الملفات أو المجلدات الورقية اليدوية)؛
• أن تكون معالجة هذه البيانات الشخصية مبنية على موافقتكم أو على ضرورة إبرام عقد معكم أو عند الحاجة إلى اتخاذ خطوات قبل إبرام عقد معكم، بناءً على طلبكم.
بمجرد استلامكم لهذه البيانات الشخصية، يُسمح لكم بمشاركتها مع جهات أخرى للتحكم في البيانات (حتى لو لم تكن أعضاءً في مجموعة أرامكس). متى كان ذلك ممكناً من الناحية التقنية، يمكنكم الطلب من عضو مجموعة أرامكس نقل بياناتكم الشخصية إلى جهة أخرى للتحكم في البيانات نيابةً عنكم.
4.8 حق الاعتراض
يُسمح لكم عموماً بالاعتراض على استخدام عضو مجموعة أرامكس لبياناتكم الشخصية، في حالتين محددتين:
1. اعتراض عام. يمكنكم الاعتراض على استخدام عضو مجموعة أرامكس لبياناتكم الشخصية، إذا كان ذلك الاستخدام قائماً على تحقيق مصلحة مشروعة محددة.
في هذه الحالة، يتعين عليكم التوضيح في اعتراضكم سبب اعتقادكم بأن حالتكم الخاصة تُبرر توقف عضو مجموعة أرامكس عن استخدام بياناتكم الشخصية لغرض معين. سيقبل عضو مجموعة أرامكس اعتراضكم، ما لم يُثبت وجود أسباب قاهرة ومشروعة (تُعتبر بشكل معقول أنها تتجاوز مبرركم الخاص) لمواصلة استخدام بياناتكم الشخصية.
في حال قبول الاعتراض، لن تُعالج بياناتكم الشخصية للغرض الذي اعترضت عليه (إلا إذا كان ذلك ضرورياً لإقامة دعاوى قانونية أو ممارستها أو الدفاع فيها).
2. اعتراض محدد - التسويق وإنشاء الملفات الشخصية المرتبط به. يمكنكم الاعتراض على استخدام عضو مجموعة أرامكس لبياناتكم الشخصية لأغراض التسويق المباشر، بما في ذلك إنشاء الملفات الشخصية المرتبط بتلك الأغراض.
في هذه الحالة، لا داعي لتبرير اعتراضكم. عند استلام أي من هذه الاعتراضات، ستتوقف مجموعة أرامكس (وليس العضو المعني فقط) عن معالجة بياناتكم الشخصية لأغراض التسويق المباشر (ولأغراض إنشاء الملفات الشخصية ذي الصلة).
4.9 الحقوق المتعلقة باتخاذ القرارات الآلية
كقاعدة عامة، يحق لكم عدم الخضوع لاتخاذ القرارات الآلية بناءً على بياناتكم الشخصية. وبناءً على ذلك، يُسمح لأعضاء مجموعة أرامكس فقط بتنفيذ الأنشطة التالية:
• إذا كانت ضرورية للغاية لإبرام أو تنفيذ عقد مع عضو مجموعة أرامكس؛ أو
• إذا منحتم الموافقة الصريحة على هذه الأنشطة؛ أو
• إذا كانت هذه الأنشطة مُصرّحاً بها بموجب قانون المنطقة الاقتصادية الأوروبية أو قانون الدول العضو الساري.
عند رغبة عضو مجموعة أرامكس في اتخاذ القرارات الآلية، يلتزم بالضمانات التي تطبقها مجموعة أرامكس لضمان حماية حقوقكم وحرياتكم ومصالحكم المشروعة. وعلى وجه الخصوص:
• يتعين إبلاغ أصحاب البيانات بوضوح بأي أنشطة لاتخاذ القرارات الآلية التي سيتم تنفيذها - وعلى وجه الخصوص، مشاركة معلومات مفيدة حول المنطق المُتبع في هذه الأنشطة والعواقب التي قد تترتب على أصحاب البيانات وأي ضمانات مُتعلقة بها؛
• يجب أن يُسمح لأصحاب البيانات بالرد على أي قرارات آلية - وعلى وجه الخصوص، يمكنهم مطالبة عضو مجموعة أرامكس بإعادة تقييم القرارات الآلية أو التحقق منها أو التصديق عليها، وذلك من خلال:
o طلب مراجعة بشرية للقرار الآلي؛ و
o التعبير عن وجهة نظرهم بشأن القرار الآلي؛ و
o الاعتراض على القرار الآلي.
4.10 الحق في سحب الموافقة
في حال اعتماد عضو مجموعة أرامكس على موافقتكم كأساس قانوني لمعالجة بياناتكم الشخصية (راجع "المشروعية" أعلاه)، يحق لكم سحب تلك الموافقة بنفس سهولة تقديمها وفي أي وقت دون الحاجة إلى إبداء سبب أو تفسير.
في حال سحب موافقتكم:
• جميع عمليات معالجة البيانات التي تعتمد بشكل قانوني على هذه الموافقة كأساس قانوني ستظل قانونية حتى لحظة السحب؛
• يلتزم عضو مجموعة أرامكس بإيقاف أي عمليات معالجة أخرى تعتمد على موافقتكم كأساس قانوني؛
• في حال عدم وجود أي أساس قانوني آخر يبرر استمرار معالجة بياناتكم الشخصية، يتعين حذف تلك البيانات الشخصية أو تجميعها أو إخفاء هويتها بأي طريقة أخرى دون تأخير غير مبرر.
4.11 تنفيذ أصحاب البيانات لقواعد أرامكس الملزمة: بند المستفيد من الغير
بصفتكم صاحب البيانات، يُمنح لكم حقوقاً صريحة لتنفيذ بعض أحكام قواعد أرامكس الملزمة ضد أعضاء مجموعة أرامكس، بصفتكم مستفيداً من الغير. هذا يعني أنه يمكنكم تحديداً مطالبة أعضاء مجموعة أرامكس بالوفاء بالتزامات محددة ضمن قواعد أرامكس الملزمة، ويمكنكم تقديم شكاوى أو إقامة دعاوى قانونية لضمان ذلك. ويشمل ذلك الأحكام التالية:
1. مبادئ حماية البيانات المذكورة في قواعد أرامكس الملزمة، بما في ذلك ما يتعلق بمشروعية معالجة البيانات والأمن وإشعارات انتهاك البيانات الشخصية والقيود المفروضة على عمليات النقل اللاحقة (راجع "ما هي المبادئ التي تتبعها مجموعة أرامكس عند معالجة البيانات الشخصية؟" أعلاه)؛
2. حقوق صاحب البيانات المذكورة في قواعد أرامكس الملزمة، بما في ذلك حقوق الحصول على المعلومات والوصول إلى البيانات والتصحيح والمحو والتقييد والإخطار بالتصحيح أو المحو أو التقييد والاعتراض على معالجة البيانات والحق في عدم الخضوع لقرارات تستند فقط إلى المعالجة الآلية، بما في ذلك إنشاء الملفات الشخصية (راجع "ما هي الحقوق التي نتمتع بها بموجب قواعد أرامكس الملزمة ؟" أعلاه)؛
3. الحق في تقديم الشكاوى بموجب قواعد أرامكس الملزمة، عبر إجراءات مباشرة الشكاوى (راجع "كيف يمكننا ممارسة حقوقنا وتقديم الشكاوى بموجب قواعد أرامكس الملزمة؟" أدناه)؛
4. الأحكام المتعلقة بالمسؤولية والاختصاص القضائي، وما يتعلق بحقوق أصحاب البيانات في سبل جبر الضرر القضائية والإنصاف والتعويض (راجع أدناه مباشرةً).
في حين أنه يمكنكم دائماً استخدام إجراءات مباشرة الشكاوى بموجب بقواعد أرامكس الملزمة لتقديم شكاوى حول كيفية معالجة عضو مجموعة أرامكس لبياناتكم الشخصية (راجع "كيف يمكننا ممارسة حقوقنا وتقديم شكاوى بموجب قواعد أرامكس الملزمة؟" أدناه)، إلا أنه يمكنكم أيضاً تقديم شكواكم إلى أي هيئة رقابية مختصة في المنطقة الاقتصادية الأوروبية أو تقديم مطالبة إلى أي محكمة مختصة في المنطقة الاقتصادية الأوروبية (حتى إذا قررتم عدم استخدام إجراءات مباشرة الشكاوى بموجب بقواعد أرامكس الملزمة).
على وجه الخصوص، يمكنكم اختيار تقديم شكاوى بشأن قواعد أرامكس الملزمة إلى الهيئة الرقابية في المنطقة الاقتصادية الأوروبية في الدولة العضو التي تقيمون فيها عادةً أو مكان عملكم أو المكان الذي يُزعم وقوع الانتهاك فيه.
يمكنكم أيضاً اختيار إقامة دعاوى قانونية بشأن قواعد أرامكس الملزمة ضد أي عضو في مجموعة أرامكس في المنطقة الاقتصادية الأوروبية مباشرةً أو بطريقة أخرى - وخاصةً عندما يكون عضو مجموعة أرامكس من خارج المنطقة الاقتصادية الأوروبية هو هدف الدعوى المقدمة منكم - ضد ممثل مجموعة أرامكس:
أرامكس هولندا بي. في.
فوكِرفِغ 300، 1438 إيه إن، أودي-مير، ص.ب. 728، 2130 إيه إس هوفدورب، هولندا.
يمكنكم إقامة هذه الدعاوى القانونية -حسب اختياركم- أمام محاكم محل إقامتكم المعتاد (في حالة إقامتكم في المنطقة الاقتصادية الأوروبية) أو أمام محاكم المنطقة التي يتواجد فيها عضو مجموعة أرامكس في المنطقة الاقتصادية الأوروبية.
يُقرّ جميع أعضاء مجموعة أرامكس ويقبلون أنه عند إقامة تلك الدعوى القانونية، يجوز لأصحاب البيانات أيضاً اختيار أن تُمثّلهم هيئة أو منظمة أو جمعية غير ربحية، شريطة أن تكون هذه الهيئة مُشكّلة بشكل صحيح وفقاً لقانون الدولة العضو في الاتحاد الأوروبي وأن يكون لها أهداف قانونية تخدم المصلحة العامة وأن تعمل بنشاط في مجال حماية حقوق وحريات الأفراد فيما يتعلق بحماية البيانات الشخصية.
عندما تقرر المحاكم أو السلطات المختصة ذلك، يحق لكم الحصول على سبل جبر ضرر قضائية والحق في الحصول على تعويض عن أي أضرار عليكم نتيجة لإخلال أي عضو من أعضاء مجموعة أرامكس للعناصر المذكورة أعلاه من قواعد أرامكس الملزمة. يقع عبء إثبات أن الإخلال لم يكن بسبب أحد أعضاء مجموعة أرامكس أو أنه لم يحدث بالفعل على عاتق مجموعة أرامكس (أي عضو مجموعة أرامكس المعني في المنطقة الاقتصادية الأوروبية أو ممثل مجموعة أرامكس بخلاف ذلك) – إذا تمكنتم من إثبات تعرضكم لضرر وإثبات الحقائق التي تُظهر أنه من المحتمل أن يكون هذا الضرر قد حدث بسبب إخلال أحد أعضاء مجموعة أرامكس بقواعد أرامكس الملزمة، سيتعين على مجموعة أرامكس إثبات عدم مسؤولية أي عضو من أعضاء مجموعة أرامكس عن الحدث الذي تسبب في تلك الأضرار لكم أو عدم حدوث أي إخلال بقواعد أرامكس الملزمة من أجل إخلاء نفسها من المسؤولية عن تلك الأضرار.
يتحمل ممثل مجموعة أرامكس مسؤولية أي إخلال من جانب أي عضو من خارج المنطقة الاقتصادية الأوروبية بالعناصر المذكورة أعلاه من قواعد أرامكس الملزمة. سيتخذ ممثل مجموعة أرامكس (بالتنسيق مع المقر الرئيسي العالمي لمجموعة أرامكس) الإجراءات اللازمة لتصحيح ذلك الإخلال، وسيكون مسؤولاً عن أي تعويض يُمنح لكم نتيجة للأضرار الناتجة عن ذلك الإخلال. بناءً على ذلك، تتمتع المحاكم أو السلطات المختصة في المنطقة الاقتصادية الأوروبية بالاختصاص القضائي والصلاحيات اللازمة للتصرف ضد ممثل مجموعة أرامكس فيما يتعلق بذلك الإخلال، ويتمتع أصحاب البيانات بالحقوق والتعويضات اللازمة ضد ممثل مجموعة أرامكس فيما يتعلق بذلك الإخلال، كما لو كان ممثل مجموعة أرامكس في هولندا هو المتسبب في ذلك الإخلال.
في حال تسبب أحد أعضاء مجموعة أرامكس في المنطقة الاقتصادية الأوروبية في حدوث إخلال، سيكون ذلك العضو مسؤولاً مسؤولية مباشرة عنه. يجب توجيه شكواكم والدعاوى القانونية منكم إلى ذلك العضو مباشرةً، وليس إلى ممثل مجموعة أرامكس.
5. الحق في الشفافية وسهولة الوصول إلى قواعد أرامكس الملزمة - يتطلب هذا من مجموعة أرامكس ضمان سهولة الوصول إلى قواعد أرامكس الملزمة لكم ولغيركم من أصحاب البيانات المهتمين بالوصول إليها.
يحق لكم الوصول إلى نسخة من قواعد أرامكس الملزمة، بالإضافة إلى الاتفاقية الداخلية التي تُلزم جميع أعضاء مجموعة أرامكس بالامتثال لإطار الالتزام بحماية البيانات (وقواعد أرامكس الملزمة). يمكنكم القيام بذلك عن طريق إرسال طلب كتابي إلى أرامكس (عبر نموذج طلب الخصوصية الخاص بأرامكس).
وتُنشر قواعد أرامكس الملزمة على الموقع الإلكتروني لمجموعة أرامكس (متوفر على الرابط: [سيتم إضافته بعد الموافقة على قواعد أرامكس الملزمة المحتملة])، بجميع اللغات المتاحة على الموقع الإلكتروني. وتتوفر بيانات الاتصال بمسؤولي الخصوصية في مجموعة أرامكس هناك.
6. الأحكام المتعلقة بحالات التعارض بين التشريعات المحلية السارية وقواعد أرامكس الملزمة، بما في ذلك الالتزامات في حالة القوانين والممارسات المحلية التي تؤثر على الامتثال لقواعد أرامكس الملزمة، وفي حالة طلبات الوصول الحكومية (راجع "كيف تُدار حالات التعارض بين قواعد أرامكس الملزمة والتشريعات المحلية السارية؟" أدناه)؛
7. واجب أعضاء مجموعة أرامكس في التعاون مع الهيئات الرقابية (راجع "خطة المراجعة والتعاون مع الهيئات الرقابية" أدناه)؛
8. واجب مجموعة أرامكس في إبلاغ أصحاب البيانات بأي تحديث لقواعد أرامكس الملزمة وقائمة أعضاء مجموعة أرامكس الملزمين بالامتثال لقواعد أرامكس الملزمة، بما في ذلك نشر إصدارات جديدة من قواعد أرامكس الملزمة دون تأخير غير مبرر (راجع "كيف سيتم الإبلاغ عن أي تغييرات ذات صلة بقواعد أرامكس الملزمة؟" أدناه)؛
9. هذا القسم من قواعد أرامكس الملزمة، الذي يعمل كبند مستفيد من الغير، يمنح أصحاب البيانات حقوقاً قابلة للتنفيذ فيما يتعلق بجميع عناصر قواعد أرامكس الملزمة المذكورة في هذا القسم ضد أي وكل أعضاء مجموعة أرامكس (للمزيد من المعلومات حول كيفية إنفاذ هذه الحقوق، يُرجى مراجعة "كيف يمكننا ممارسة حقوقنا وتقديم شكاوى بموجب قواعد أرامكس الملزمة؟").
يتم لفت انتباه أصحاب البيانات إلى حقوق المستفيد من الغير بموجب قواعد أرامكس الملزمة في إشعارات المعلومات وسياسات الخصوصية التي تستخدمها مجموعة أرامكس.
5. كيف يمكننا ممارسة حقوقنا وتقديم شكاوى بموجب قواعد أرامكس الملزمة؟
عيّنت مجموعة أرامكس مسؤول واحد على الأقل عن الخصوصية لكل منطقة من المناطق التي تقع فيها. مسؤولو الخصوصية من موظفي مجموعة أرامكس وهم ملتزمون بالسرية التامة وقد يستعينون بمستشارين قانونيين خارجيين يقدمون الاستشارة بشأن المسائل المتعلقة بالخصوصية وحماية البيانات. إذا قدمتم أي شكاوى أو طلبات بموجب قواعد أرامكس الملزمة من خلال نموذج طلب الخصوصية الخاص بأرامكس، سيكون مسؤول الخصوصية المختص (حسب المنطقة التي يتعلق بها طلبكم) مسؤولاً بشكل أساسي عن مباشرة شكواكم أو طلباتكم.
إلى جانب نموذج طلب الخصوصية المذكور أعلاه، يمكنكم أيضاً تقديم شكاوى أو طلبات عن طريق إرسال خطاب إلى العنوان التالي:
أرامكس إنترناشيونال ذ.م.م.، مبنى ومستودع رقم ٣، أم الرمول، ص.ب. ٩٥٩٤٦، دبي، الإمارات العربية المتحدة.
إذا لم يكن طلبكم أو شكواكم متعلقة بولاية قضائية محددة أو كانت هناك تفاصيل أخرى تجعل من الصعب أو المستحيل تحديد مسؤول الخصوصية المختص الذي يجب التواصل معه، سيقيم فريق الخصوصية في أرامكس الموقف ويشارك الطلب أو الشكوى مع مسؤول الخصوصية المختص، أو بخلاف ذلك يباشر الطلب أو الشكوى مباشرةً.
نشجعكم بشدة على استخدام جهات الاتصال المذكورة أعلاه عند تقديم طلب أو شكوى إلى مجموعة أرامكس (وخاصةً نموذج طلب الخصوصية)، إذ يُسهّل ذلك متابعة طلباتكم/شكواكم والرد عليها بسرعة. مع ذلك، هذا ليس إلزامياً، إذ ستتولى مجموعة أرامكس أيضاً مباشرة الطلبات أو الشكاوى التي تصل إلى علمها عبر وسائل مختلفة.
سيقر حسب الأصول مسؤول الخصوصية المختص (أو فريق الخصوصية في أرامكس بخلاف ذلك) بالطلبات أو الشكاوى. سيتواصل مسؤول الخصوصية المختص بالتنسيق مع فريق الخصوصية في أرامكس (أو فريق الخصوصية في أرامكس نفسه) مع الفرق/الأقسام المختصة ضمن أعضاء مجموعة أرامكس ذات الصلة من أجل التحقيق في موضوع الطلب أو الشكوى. كقاعدة عامة، سيباشر مسؤول الخصوصية العمل على طلبكم أو شكواكم بالتنسيق مع فريق الخصوصية في أرامكس (أو سيباشرها فريق الخصوصية في أرامكس مباشرةً بخلاف ذلك) دون تأخير غير مبرر وفي خلال شهر واحد من تاريخ الاستلام.
إذا اعتُبر الطلب أو الشكوى مُعقّداً بشكل خاص أو إذا قدّمتَم طلبات أو شكاوى مُتتالية مُتعدّدة، يجوز تمديد مهلة الرد بحد أقصى شهرين إضافيين -إذا لزم الأمر. وسيتمّ إخطاركم بأي تمديدات من هذا القبيل مع توضيح لسبب التمديد وتقدير معقول لوقت الرد دون تأخير غير مبرر وفي خلال شهر واحد من تاريخ استلام طلبكم أو شكواكم.
في العموم، تباشر الطلبات أو الشكاوى المرسلة منكم إلينا عبر البريد من خلال خطاب رد من أرامكس، إلا إذا طلبتم منا الرد عبر وسائل إلكترونية (على سبيل المثال، عبر البريد الإلكتروني). أما الطلبات أو الشكاوى التي تُرسل من خلال نموذج طلب الخصوصية أو غيره من الوسائل الإلكترونية، فتُعالج في العموم عبر وسائل إلكترونية آمنة، إلا إذا طلبتم منا الرد بموجب خطاب.
قد تكون الردود على الطلبات أو الشكاوى كما يلي:
• إذا ثبت أن الطلب أو الشكوى المقدمة منكم صحيحة/مسببة، سيتم اتخاذ أي خطوات لازمة لحل طلبكم أو تصحيح المشكلة التي اشتكيتم بشأنها.
• إذا ثبت أنه لا يمكن أو لا ينبغي اتخاذ إجراء بشأن طلب أو شكوى مقدمة منكم، سيتم توضيح السبب في الرد. وسيتم تذكيركم بأنه يمكنكم رداً على ذلك تقديم شكوى من خلال قواعد أرامكس الملزمة و/أو تقديم شكوى إلى الهيئات الرقابية أو السلطات المختصة الأخرى أو المحاكم المختصة (راجع "تنفيذ أصحاب البيانات لقواعد أرامكس الملزمة" أعلاه).
يرجى العلم أن مجموعة أرامكس قد ترفض العمل على الطلبات الواردة من أصحاب البيانات بشأن حقوقهم (بموجب اللائحة العامة لحماية البيانات أو القوانين المحلية أو قواعد أرامكس الملزمة) إذا تعذر تحديد هوية صاحب البيانات المعني. في هذه الحالة، سيتم إبلاغكم بذلك وطلب معلومات إضافية حتى يتم تحديد هويتكم (أو هوية صاحب البيانات المعني، إن كان شخصاً آخر) بشكل صحيح. بمجرد التأكد من هويتكم (أو هوية صاحب البيانات الذي قد تمثلوه)، سيتم مباشرة الطلب.
يمكنكم أيضاً الاعتراض على أي رد يتم استلامه كتابياً أو عن طريق الرد عبر البريد الإلكتروني أو عبر العنوان الفعلي المذكور أعلاه. سيتم إحالة الاعتراضات إلى فريق الخصوصية في أرامكس الذي سيراجع الحالة ويقدم لكم قراراً معدلاً إما بقبول الرد الأصلي أو تعديله. سيتم إصدار القرار المعدل كقاعدة عامة خلال شهرين (2) من تاريخ الاعتراض.
قد يستجيب فريق الخصوصية في أرامكس على النحو التالي:
• إذا انتهى فريق الخصوصية في أرامكس إلى أن الطلب أو الشكوى المقدمة منكم صحيحة/مسببة، سيتخذ فريق الخصوصية في أرامكس جميع الإجراءات اللازمة لمباشرتها داخل مجموعة أرامكس، وتصحيح المشكلة موضوع الشكوى (بالتنسيق مع مسؤول (مسؤولي) الخصوصية -إن وجد).
• إذا انتهى فريق الخصوصية في أرامكس إلى أنه لا يستطيع أو لا ينبغي له العمل على أي طلب أو شكوى مقدمة منكم، سيُبلغكم بالسبب في رده. ونُذكّركم بأنه رداً على ذلك يمكنكم تقديم شكوى من خلال قواعد أرامكس الملزمة و/أو يمكنكم تقديم شكوى إلى الهيئات الرقابية أو السلطات المختصة الأخرى أو المحاكم المختصة (راجع "تنفيذ أصحاب البيانات لقواعد أرامكس الملزمة" أعلاه).
ستُقدم الردود مجاناً، ما لم يُعتبر الطلب لا أساس له أو مبالغ فيه بشكل واضح (خاصةً إذا أصبحت الطلبات مُكررة). في هذه الحالة، قد يتم فرض رسوم معقولة عليكم مقابل مباشرة طلبكم حسب التكاليف الإدارية للرد على الطلبات، أو قد يتم رفض طلبكم.
في حالة عدم قبول أي رد وارد لكم من فريق الخصوصية في أرامكس (حتى في حال اعتبار طلبكم أو شكواكم صحيحة/مسببة)، يمكنكم تقديم شكوى أخرى بموجب قواعد أرامكس الملزمة و/أو يمكنكم تقديم شكوى إلى أي هيئة رقابية مختصة في المنطقة الاقتصادية الأوروبية أو إقامة دعوى أمام أي محكمة مختصة في المنطقة الاقتصادية الأوروبية (راجع "تنفيذ أصحاب البيانات لقواعد أرامكس الملزمة").
وأخيراً، يُرجى العلم أن استخدام إجراءات مباشرة الشكاوى الخاصة بقواعد أرامكس الملزمة ليس إلزامياً. يمكنكم أيضاً تقديم الشكاوى/الدعاوى مباشرةً إلى أي هيئة رقابية مختصة في المنطقة الاقتصادية الأوروبية أو محكمة مختصة في المنطقة الاقتصادية الأوروبية، بغض النظر عمّا إذا كنتم قد قررتم استخدام هذا الإجراء مُسبقاً أم لا (راجع "تنفيذ أصحاب البيانات لقواعد أرامكس الملزمة").
6. كيف تتدفق البيانات الشخصية داخل مجموعة أرامكس؟
يقع المقر الرئيسي العالمي لمجموعة أرامكس في دبي (الإمارات العربية المتحدة) وعمان (الأردن). ونظراً لأن العديد من العمليات داخل مجموعة أرامكس تُدار أو تُدعم مركزياً في المقر الرئيسي العالمي (على سبيل المثال، إدارة الموارد البشرية وإدارة الموردين وإدارة الحملات التسويقية وإدارة الشؤون القانونية)، هناك تدفقات للبيانات الشخصية من كل عضو في مجموعة أرامكس (بما في ذلك الأعضاء داخل المنطقة الاقتصادية الأوروبية) إلى المقر الرئيسي العالمي. قد تحدث هذه التدفقات بشكل مباشر - كما هو الحال عندما يرسل أحد أعضاء مجموعة أرامكس البيانات الشخصية إلى المقر الرئيسي العالمي - أو بشكل غير مباشر - كما هو الحال عندما تسمح الأنظمة التي يستخدمها أحد أعضاء مجموعة أرامكس لمعالجة البيانات الشخصية للمقر الرئيسي العالمي بالوصول المباشر إلى هذه البيانات.
وبشكل عرضي، قد يقوم أعضاء مجموعة أرامكس أيضاً بتبادل البيانات الشخصية مع بعضهم البعض، إذا كان ذلك ضرورياً لإكمال عمليات التسليم عبر الحدود (على سبيل المثال، قد يشارك عضو مجموعة أرامكس البيانات الشخصية الخاصة بشركات الشحن والمرسل إليهم مع عضو مجموعة أرامكس داخل بلد آخر، إذا كان ذلك ضرورياً للسماح بإكمال التسليم إلى ذلك البلد الآخر بشكل صحيح).
يُلفت انتباه أصحاب البيانات إلى إمكانية إجراء عمليات النقل هذه في إشعارات المعلومات وسياسات الخصوصية التي تستخدمها مجموعة أرامكس. ويُطلع أصحاب البيانات على الضمانات المُطبقة لضمان قانونية وأمان عمليات النقل هذه.
وبشكل أدق، تُنقل البيانات الشخصية داخل مجموعة أرامكس بشكل أساسي للأغراض التالية، كما هو مُفصّل في إشعارات المعلومات وسياسات الخصوصية المُتاحة لأصحاب البيانات (راجع "الشفافية" أعلاه):
| غرض المعالجة | أصحاب البيانات | البيانات الشخصية | إشعار المعلومات |
| غرض المعالجة | أصحاب البيانات | البيانات الشخصية | إشعار المعلومات |
|---|
| إدارة الموارد البشرية | • الموظفون؛
• أفراد أسرة الموظف (الزوج/الزوجة، الأبناء...).
| • الاسم؛
• بيانات الاتصال؛
• تاريخ الميلاد؛
• مستند إثبات الهوية الوطنية (مثل جواز السفر)؛
• صورة شخصية؛
• رخصة القيادة؛
• السيرة الذاتية؛
• المسمى الوظيفي؛
• القسم؛
• جهة العمل المسجلة؛
• سجلات الحضور؛
• سجلات التدريب؛
• تقييمات الأداء؛
• سجلات الإجازات؛
• السجلات التأديبية؛
• تفاصيل الحساب البنكي؛ و
• فئات أخرى من البيانات الشخصية التي قد تُدرج ضمن المستندات المخزنة في ملف الموظف، والتي تُدار من فرق الموارد البشرية المحلية أو من فريق خدمات الموارد البشرية المشتركة المركزي في المقر الرئيسي العالمي لمجموعة أرامكس نيابةً عن أعضاء مجموعة أرامكس. | • إشعار معلومات الموظف.
|
| إدارة التوظيف | • المتقدمون بطلبات العمل.
| • الاسم؛
• اللقب؛
• بيانات الاتصال؛
• العنوان؛
• بلد/منطقة الإقامة؛
• الشركة الحالية؛
• المنصب الحالي؛
• رابط حساب لينكدإن/فيسبوك؛
• الخبرة الوظيفية؛
• المؤهلات العلمية؛
• المهارات اللغوية وإجادتها؛
• السيرة الذاتية؛
• خطاب تعريف؛
• التوفر للالتحاق بالعمل؛
• عروض عمل سابقة من أعضاء مجموعة أرامكس؛
• عمل سابق لدى أعضاء مجموعة أرامكس؛
• الصلة بأقارب يعملون لدى أعضاء مجموعة أرامكس؛
• الأهلية للعمل في بلد التقديم؛
• الجنس؛
• تاريخ الميلاد؛
• الجنسية. | • إشعار معلومات التوظيف.
|
| إدارة المتعاقدين من الباطن والموردين ومقدمي الخدمات وأصحاب الامتياز | • المتعاقدون من الباطن أو الموردون أو مقدمي الخدمات من الأفراد؛
• جهات الاتصال لدى المتعاقدين من الباطن و/أو الموردين و/أو مقدمي الخدمات و/أو أصحاب الامتياز الحاليين أو المحتملين؛
| • الاسم؛
• بيانات الاتصال المهنية؛
• المسمى الوظيفي؛
• جهة العمل؛
• البلد؛
• تاريخ الميلاد؛
• مستند إثبات الهوية الوطنية (مثل جواز السفر)؛
• صورة شخصية؛
• رخصة القيادة؛
• السيرة الذاتية؛
• سجلات الحضور؛
• تقييمات الأداء؛
• سجلات التسليم؛
• الموقع الجغرافي (الذي يُجمع أثناء تسليم الشحنات)؛
• السجلات التأديبية؛ و
• فئات أخرى من البيانات الشخصية التي قد تُدرج ضمن المستندات المخزنة في ملف المتعاقد، والتي تُديرها فرق الموارد البشرية/العمليات المحلية. | • سياسة خصوصية الأسطول في أرامكس؛
• معلومات إضافية واردة في العقود المبرمة مع المتعاقدين و/أو الموردين و/أو مقدمي الخدمات و/أو أصحاب الامتياز.
|
| إدارة العملاء وتقديم الخدمات | • عملاء الشركة من المستهلكين؛
• جهات الاتصال لدى عملاء الشركة من الشركات الحاليين أو المحتملين؛
• المرسل إليهم وشركات الشحن من الأفراد. | • الاسم؛
• بيانات الاتصال (شخصية أو مهنية، حسب نوع العميل)؛
• مستند إثبات الهوية الوطنية؛
• الجنس؛
• تاريخ الميلاد؛
• بلد الإقامة؛
• العنوان البريدي؛
• تفاصيل السداد؛
• سجل الشحنات (سجلات بالتفاصيل والإجراءات المتخذة والتعاملات مع العملاء فيما يتعلق بعمليات التسليم التي تتم بناءً على طلب العميل أو للعميل)؛
• المسمى الوظيفي (لجهات الاتصال ضمن العملاء من الشركات)؛
• جهة العمل (لجهات الاتصال ضمن العملاء من الشركات)؛
• عنوان البريد/التسليم؛
• محتويات الشحنات؛
• وجود/عدم وجود عقوبات تقييدية تجارية ذات صلة؛
• بيانات إضافية مطلوبة لتخليص الشحنة وفقاً للوائح المحلية (مثل رقم الهوية الوطنية/نسخ المستندات). | • سياسة خصوصية العميل/الرئيسي؛
• سياسة الخصوصية الذكية في أرامكس. |
| إدارة الحملات التسويقية | • جهات الاتصال التسويقية.
| • الاسم؛
• بيانات الاتصال؛
• تاريخ الميلاد؛
• سجل مشتريات خدمات أرامكس (مثل: البضائع المطلوبة، وتاريخ الشحنات ومنشأها ووجهتها)؛
• الموقع (الدولة)؛
• المسمى الوظيفي (لجهات الاتصال للعملاء من الشركات)؛
• الشركة/المؤسسة؛
• روابط حسابات لينكدإن. | • سياسة خصوصية العميل/الرئيسي.
|
| إدارة الشؤون القانونية | • الأفراد المشاركون في مفاوضات العقود والتقاضي والدعاوى القانونية وغير القانونية (بما في ذلك موقعو العقود وجهات الاتصال والمدعون والمستشارون القانونيون وغيرهم). | • الاسم؛
• العنوان؛
• البريد الإلكتروني؛
• رقم الهاتف؛
• المسمى الوظيفي؛
• رقم نقابة المحامين/الهوية (إن وجد)؛
• تاريخ الميلاد؛
• مستندات إثبات الهوية الوطنية؛
• تفاصيل الحساب البنكي؛
• ملف الموظف (إن وجد، عادةً في القضايا المتعلقة بالتوظيف)؛
• بيانات شخصية أخرى قد يتم الكشف عنها فيما يتعلق بإجراءات التقاضي (على سبيل المثال، في المرافعات أو أثناء التحقيقات). | • جميع إشعارات المعلومات/سياسات الخصوصية ذات الصلة.
|
| إدارة وأمن أنظمة تكنولوجيا المعلومات | • مستخدمو أنظمة وأدوات تكنولوجيا المعلومات لمجموعة أرامكس وشبكة مجموعة أرامكس | • تفاصيل الحوادث التي أشارت إليها أنظمة كشف الحوادث (تاريخ/وقت الحدث، رقم المُرسِل/المستخدم و/أو بيانات الاتصال، رقم المُستلِم و/أو بيانات الاتصال، اسم الملف (الملفات) ذي الصلة، محتويات الملف المُحدد التي أثارت إشارة الحادث)، بيانات الجهاز (عنوان IP، رقم جهاز الشركة):
• سجلات النشاط على متصفحات الإنترنت وأنظمة السحابة التي تستخدمها مجموعة أرامكس (رقم المستخدم، تاريخ/وقت الحدث، نوع الحدث - الرابط الذي تم الوصول إليه، الإجراءات المُنفَّذة)؛
• بيانات الاتصال الشخصية (الهواتف المحمولة/المنزلية الشخصية، عنوان البريد الإلكتروني الشخصي، العنوان الشخصي). | • سياسة الاستخدام المقبول لموارد المعلومات في أرامكس؛
• جميع إشعارات المعلومات/سياسات الخصوصية ذات الصلة. |
وأخيراً، تُنقل البيانات القضائية داخل مجموعة أرامكس بشكل رئيسي لأغراض الامتثال/الفحص (أي فحص الموظفين والعملاء والموردين وفقاً لقوائم الأشخاص المحظورين وقوائم القيود التجارية وغيرها من "قوائم الحظر" ذات الصلة بقطاع مجموعة أرامكس، حسب الحاجة لضمان الامتثال للالتزامات القانونية المحلية والدولية)، بالإضافة إلى إدارة الشؤون القانونية (حيث قد تتم معالجة السجل الجنائي للأفراد عند الاقتضاء، عادةً في القضايا المتعلقة بالسرقة).
جميع عمليات النقل هذه مشمولة بقواعد أرامكس الملزمة. ويلتزم جميع أعضاء مجموعة أرامكس بإطار الالتزام بحماية البيانات وقواعد أرامكس الملزمة. وهذا يعني أن جميع البيانات الشخصية التي تعالجها مجموعة أرامكس سيتم استخدامها وفقاً لمبادئ اللائحة العامة لحماية البيانات، بالإضافة إلى أي متطلبات محلية سارية.
7. كيف يلتزم أعضاء وموظفو مجموعة أرامكس بقواعد أرامكس الملزمة؟
7.1 أعضاء مجموعة أرامكس
وقع جميع أعضاء مجموعة أرامكس (راجع الملحق ١ أدناه للاطلاع على قائمة هؤلاء الأعضاء) على اتفاقية داخلية تُلزمهم بالامتثال لشروط إطار الالتزام بحماية البيانات الذي يشمل قواعد أرامكس الملزمة. تتيح هذه الاتفاقية الداخلية تنفيذ قواعد إطار الالتزام بحماية البيانات وقواعد أرامكس الملزمة ضد أي عضو يُخالف شروطها. وهذا يُنشئ أثراً مُلزماً لقواعد أرامكس الملزمة التي تغطي مجموعة أرامكس بأكملها.
لن تُنقل أي بيانات شخصية بناءً على قواعد أرامكس الملزمة إلى أي عضو في مجموعة أرامكس غير مُلزم فعلياً بهذه القواعد أو لا يستطيع الالتزام بها.
كقاعدة عامة، يظل أعضاء مجموعة أرامكس ملتزمين بقواعد أرامكس الملزمة طالما ظلوا جزءً من مجموعة أرامكس. إذا توقف أي عضو في مجموعة أرامكس لأي سبب من الأسباب عن الالتزام بهذه القواعد، فعندئذٍ:
1. يجب إتلاف جميع البيانات الشخصية المنقولة إلى عضو مجموعة أرامكس بموجب قواعد أرامكس الملزمة أو إعادتها إلى عضو (أعضاء) مجموعة أرامكس الذي نقل البيانات الشخصية، حسب اختياره؛ أو
2. يجوز السماح لهذا العضو في مجموعة أرامكس بالاحتفاظ بالبيانات الشخصية المنقولة إليه بموجب قواعد أرامكس الملزمة، شريطة اتباع قواعد أرامكس الملزمة المتعلقة بعمليات النقل اللاحقة (راجع "نقل البيانات الشخصية من داخل المنطقة الاقتصادية الأوروبية إلى خارجها" أعلاه) - على أن يتصرف عضو مجموعة أرامكس هذا بصفته "متعاقداً من الباطن"/ "متلقي بيانات".
إذا قرر أحد أعضاء مجموعة أرامكس عدم قدرته على الامتثال لقواعد أرامكس الملزمة لأي سبب كان، يلتزم بإخطار ممثل مجموعة أرامكس وفريق الخصوصية في أرامكس بذلك دون تأخير لا مبرر له. سيتم التعامل مع هذا الوضع وفقاً للقواعد نفسها المنصوص عليها لإدارة حالات التعارض مع قواعد أرامكس الملزمة (راجع "كيف تدار حالات التعارض بين قواعد أرامكس الملزمة والتشريعات المحلية السارية؟" أدناه). في حالة إخلال أحد أعضاء مجموعة أرامكس بقواعد أرامكس الملزمة إخلالاً جوهرياً أو مستمراً أو فشل في الامتثال لقرار ملزم من محكمة مختصة أو هيئة رقابية فيما يتعلق بقواعد أرامكس الملزمة، يتعين إنهاء عمليات نقل البيانات الشخصية من داخل المنطقة الاقتصادية الأوروبية إلى ذلك العضو في مجموعة أرامكس، بموجب قواعد أرامكس الملزمة، على الفور (دون تعليق مسبق أو النظر في تدابير تكميلية).
سيحتفظ فريق الخصوصية في أرامكس بقائمة مُحدثة بالكامل لأعضاء مجموعة أرامكس المُلزمين بقواعد أرامكس الملزمة، وسيتم نشر هذه القائمة مع قواعد أرامكس الملزمة (راجع "كيف سيتم الإبلاغ عن أي تغييرات ذات صلة بقواعد أرامكس الملزمة؟") وإتاحتها للجهة المسؤولة عن قواعد أرامكس الملزمة (وأصحاب البيانات) عند الطلب. لن يتم نقل أي بيانات شخصية إلى أعضاء جدد في مجموعة أرامكس حتى يلتزم هؤلاء الأعضاء فعلياً بقواعد أرامكس الملزمة ويتمكنوا من الامتثال لها عملياً. سيتم نشر أي تغييرات على هذه القائمة، وإبلاغ أصحاب البيانات المعنيين بها (حيثما أمكن)، وسيبلغ فريق الخصوصية في أرامكس بالتنسيق مع ممثل مجموعة أرامكس الجهة المسؤولة عن قواعد أرامكس الملزمة بها سنوياً.
7.2 موظفو مجموعة أرامكس (والأشخاص المصرح لهم الآخرون)
كما ذُكر سابقاً (راجع "حماية البيانات بالتصميم والتطبيق الافتراضي")، يُطلب من أي شخص يُصرّح له عضو مجموعة أرامكس بمعالجة البيانات الشخصية (مثل موظفيها) قبول سياسة مجموعة أرامكس بشأن الاستخدام المقبول لموارد المعلومات في أرامكس. تتضمن هذه السياسة تفويضاً بمعالجة البيانات الشخصية ويتضمن التزامات بالسرية والالتزام باتباع تعليمات مجموعة أرامكس عند معالجة البيانات الشخصية والالتزام بالامتثال للسياسات والإجراءات والتدابير الأمنية الداخلية لمجموعة أرامكس.
لذلك، يُطلب من موظفي أرامكس وأي شخص آخر يُقرّ بسياسة مجموعة أرامكس بشأن الاستخدام المقبول لموارد المعلومات في أرامكس (مثل بعض المتعاقدين من الأفراد) الالتزام صراحةً بقواعد أرامكس الملزمة.
يتم إبلاغ الموظفين على وجه الخصوص بأن عدم الالتزام ببنود سياسة مجموعة أرامكس بشأن الاستخدام المقبول لموارد المعلومات في أرامكس (بما في ذلك شروط التفويض) أو بالقواعد الواردة في قواعد أرامكس الملزمة (وبشكل أعم، في إطار الالتزام بحماية البيانات) قد يُعرّضهم لعواقب تأديبية. في الحالات الأكثر خطورة، يجوز فصل الموظفين لعدم التزامهم بهذه القواعد. وهذا يُنشئ أثراً مُلزماً لقواعد أرامكس الملزمة، ويشمل جميع موظفي مجموعة أرامكس وغيرهم من الأشخاص المُصرّح لهم بمعالجة البيانات الشخصية (مثل المتعاقدين من الأفراد).
8. كيف تضمن مجموعة أرامكس فعالية قواعد أرامكس الملزمة؟
وُضعت عدة إجراءات داخلية وخارجية لضمان فهم جميع الأشخاص والمؤسسات المُصرّح لها من مجموعة أرامكس بمعالجة البيانات الشخصية، بمن فيهم الموظفون والمتعاقدون وجهات معالجة البيانات، لقواعد أرامكس الملزمة واتباعها.
8.1 التدريب وزيادة الوعي
يلتزم الموظفون (بما في ذلك الموظفون الجدد) والمتعاقدون وغيرهم من الأفراد المُصرّح لهم من مجموعة أرامكس بمعالجة البيانات الشخصية (بما في ذلك العاملون في جمع البيانات الشخصية أو في تطوير أنظمة/أدوات تكنولوجيا المعلومات المُستخدمة لمعالجة البيانات الشخصية) بحضور وإكمال دورات تدريبية مُناسبة ومُحدّثة حول الخصوصية وحماية البيانات وأمن المعلومات. تغطي هذه الدورات مبادئ حماية البيانات والقواعد الرئيسية للائحة العامة لحماية البيانات والمكونات ذات الصلة من إطار الالتزام بحماية البيانات بما في ذلك قواعد أرامكس الملزمة وتحديداً (بما في ذلك قواعد وإجراءات إدارة طلبات الوصول إلى البيانات الشخصية من السلطات العامة) والمخاطر التي قد تنشأ (لأصحاب البيانات ومجموعة أرامكس) في حال إساءة التعامل مع البيانات الشخصية.
تُقدم هذه الدورات التدريبية بالتنسيق بين فريق الخصوصية في أرامكس ومسؤولي الخصوصية المحليين وتُقدم سنوياً على الأقل. حضور هذه الدورات إلزامي وموثق. وتتضمن كل دورة أسئلة تقييمية لاختبار مدى فهم محتواها فهماً صحيحاً.
في إطار مبادرة إضافية لزيادة الوعي، يُرسل فريق أمن المعلومات في أرامكس نصائح توعوية أسبوعية للموظفين حول الخصوصية وحماية البيانات والمسائل المتعلقة بأمن البيانات. وتتضمن هذه النصائح أيضاً إشارات إلى التزامات الموظفين بموجب إطار الالتزام بحماية البيانات (وقواعد أرامكس الملزمة).
يُحدد تفويض معالجة البيانات الشخصية (المُدرج ضمن سياسة الاستخدام المقبول لموارد المعلومات في أرامكس التي يجب على جميع الموظفين قبولها - راجع "حماية البيانات بالتصميم والتطبيق الافتراضي" أعلاه) ويُشدد على واجبات الموظفين المتعلقة باستخدام البيانات الشخصية. وتشمل هذه الواجبات أمور منها ضرورة اتباع القواعد المنصوص عليها في إطار الالتزام بحماية البيانات، بما في ذلك تلك الواردة في قواعد أرامكس الملزمة.
8.2 شبكة الخصوصية في أرامكس
يقود شبكة الخصوصية في أرامكس فريق الخصوصية في أرامكس الذي يضم مسؤول حماية البيانات في مجموعة أرامكس ومدير أمن المعلومات العالمي في أرامكس ومدير الشؤون القانونية العالمي في أرامكس ويدعمه مسؤولو الخصوصية المحليين المُعيّنين لكل عضو في مجموعة أرامكس.
يُقدّم مسؤول حماية البيانات في مجموعة أرامكس استشارات متخصصة لأرامكس بشأن تطبيق مبادئ إطار الالتزام بحماية البيانات وقواعد أرامكس الملزمة، بالإضافة إلى الامتثال للمبادئ والقواعد المنصوص عليها في اللائحة العامة لحماية البيانات وقوانين حماية البيانات الأخرى ذات الصلة. عُيّن مسؤول حماية البيانات في مجموعة أرامكس بقرار من مجلس إدارة الشركة الأم لمجموعة أرامكس ويُقدّم تقاريره مباشرةً إلى المجلس عند الطلب لضمان استقلاليته.
يشغل أعضاء فريق الخصوصية في أرامكس إلى جانب مسؤول حماية البيانات في مجموعة أرامكس مناصب عالمية بمستوى مدير ضمن مجموعة أرامكس مُقدّمين دعمهم لمجموعة أرامكس في جميع أنحاء العالم.
لدى كل عضو في مجموعة أرامكس مسؤول الخصوصية (مع العلم أنه قد يتم تعيين بعض مسؤولي الخصوصية لأكثر من عضو في مجموعة أرامكس). عادةً ما يكون مسؤولو الخصوصية موظفين في مجموعة أرامكس، يتم تعيينهم داخلياً لمساعدة فريق الخصوصية في أرامكس في إدارة المسائل المتعلقة بالخصوصية وحماية البيانات لأي عضو في مجموعة أرامكس. يُكلَّف مسؤولو الخصوصية عادةً بالتعاون مع فريق الخصوصية في أرامكس لضمان إدارة حوكمة حماية البيانات في مجموعة أرامكس بطريقة متوافقة عالمياً، وعلى وجه الخصوص، مراقبة امتثال عضو (أعضاء) مجموعة أرامكس المعينين لهم لقواعد أرامكس الملزمة. ويشمل ذلك مهاماً مثل:
• التحقيق في الطلبات والشكاوى الواردة محلياً ومعالجتها؛ و
• الإبلاغ عن متطلبات حماية البيانات المحلية ذات الصلة والمساعدة في الامتثال لها (على سبيل المثال، المتعلقة بإدارة الموارد البشرية وتقديم خدمات التسليم)؛ و
• ضمان التزام أعضاء مجموعة أرامكس المعينين لهم بالقواعد والمبادئ الواردة في إطار الالتزام بحماية البيانات وقواعد أرامكس الملزمة، بالإضافة إلى مراقبة جهود التدريب المبذولة في هذا الصدد؛ و
• التعاون مع فريق الخصوصية في أرامكس في إدارة أي مسائل تتعلق بحماية البيانات على مستوى مجموعة أرامكس، حسب الحاجة من وقت لآخر (بما في ذلك تقييم جهات معالجة البيانات التي سيتم التعاقد معها وأداء تقييمات تأثير حماية البيانات وتقييمات المصالح المشروعة وإدارة التعاملات مع الهيئات الرقابية)؛ و
• الإبلاغ عن أي حوادث أمنية ذات صلة إلى فريق الخصوصية في أرامكس، بالإضافة إلى التعاون مع فريق الخصوصية في أرامكس في أنشطة التحقيق في الحوادث وتصحيحها والإخطار بها وتسجيلها؛ و
• التعاون مع فريق الخصوصية في أرامكس وفريق المراجعة الداخلية في أرامكس في إجراء عمليات المراجعة وتنفيذ التدابير التصحيحية وخطط العمل الناتجة عنها (راجع "خطة المراجعة والتعاون مع الهيئات الرقابية" أدناه).
يتلقى جميع مسؤولي الخصوصية الدعم في أداء مهامهم من أعلى مستويات الإدارة ضمن مجموعة أرامكس، وضمن أعضاء مجموعة أرامكس المعينين لهم. وقد يتلقون الدعم في هذه الأنشطة من مقدمي خدمات خارجيين (على سبيل المثال، مكاتب المحاماة أو المستشارين القانونيين المتخصصين)، بموجب عقد خدمة.
يتولى فريق الخصوصية في أرامكس التنسيق والدعم لأنشطة مسؤولي الخصوصية لضمان التنفيذ السليم والامتثال لإطار الالتزام بحماية البيانات وقواعد أرامكس الملزمة في جميع أنحاء مجموعة أرامكس. ويشمل ذلك:
• وضع وتحديث السياسات والإجراءات والإرشادات والنماذج التي تُشكل إطار الالتزام بحماية البيانات (بما في ذلك قواعد أرامكس الملزمة)؛ و
• تنسيق جهود الامتثال لحماية البيانات والتدابير التي يتخذها مختلف أعضاء مجموعة أرامكس، لضمان التوافق مع إطار الالتزام بحماية البيانات (بما في ذلك قواعد أرامكس الملزمة) والمتطلبات المحلية السارية؛
• تنسيق التحقيق في الحوادث الأمنية ذات الصلة وحلها والإبلاغ عنها وتسجيلها، بالإضافة إلى إدارة طلبات أصحاب البيانات والاتصالات الواردة من الهيئات الرقابية المحلية؛ و
• تنسيق مسائل حماية البيانات على مستوى مجموعة أرامكس (بما في ذلك تقييم جهات معالجة البيانات التي سيتم التعاقد معها نيابةً عن مجموعة أرامكس، وأداء تقييمات تأثير حماية البيانات وتقييمات المصالح المشروعة وإدارة التعاملات مع الهيئات الرقابية)؛ و
• التنسيق مع فريق المراجعة الداخلية في أرامكس ومسؤولي الخصوصية المعنيين لإجراء عمليات المراجعة وتنفيذ التدابير التصحيحية وخطط العمل الناتجة عنها (راجع "خطة المراجعة والتعاون مع الهيئات الرقابية" أدناه)؛ و
• رفع التقارير إلى أعلى مستوى إداري في مجموعة أرامكس بشأن المسائل المتعلقة بالخصوصية وحماية البيانات، وإبلاغها في حال ظهور أي استفسارات أو مشكلات أثناء أداء مهامهم.
إلى جانب مسؤولي الخصوصية المحليين المختصين، يمكن لأصحاب البيانات التواصل مباشرةً مع مسؤول حماية البيانات في مجموعة أرامكس - تتوفر تفاصيل الاتصال في سياسات الخصوصية وإشعارات المعلومات المختلفة التي توفرها مجموعة أرامكس لأصحاب البيانات (راجع "الشفافية" أعلاه).
8.3 خطة المراجعة والتعاون مع الهيئات الرقابية
تُجري مجموعة أرامكس مراجعة سنوية لحماية البيانات من خلال جهود مُنسَّقة بين مسؤولي الخصوصية وفريق الخصوصية في أرامكس وفريق المراجعة الداخلية في أرامكس (فريق مركزي في المقر الرئيسي العالمي لمجموعة أرامكس، مسؤول عن إدارة المراجعة الداخلية لمجموعة أرامكس).
يتمتع كل من فريق الخصوصية في أرامكس وفريق المراجعة الداخلية في أرامكس باستقلالية مضمونة فيما يتعلق بأداء واجباتهما المتعلقة بعمليات المراجعة المذكورة – على وجه الخصوص، لا يخضعان لتعليمات أي فريق أو إدارة أخرى داخل مجموعة أرامكس، ولا لأعلى مستويات الإدارة في مجموعة أرامكس (دون المساس بواجبات رفع التقارير المذكورة)، ولا يُمكن معاقبتهما أو فصلهما لمجرد أدائهما لهذه الواجبات.
يختار فريق الخصوصية في أرامكس وفريق المراجعة الداخلية في أرامكس في كل عام عينة من أعضاء مجموعة أرامكس الذين سيتم مراجعة ممارساتهم المتعلقة بحماية البيانات لذلك العام:
• سيضع فريق الخصوصية في أرامكس قائمة التحقق/الضوابط التي سيتم استخدامها (مع التركيز على الامتثال لإطار الالتزام بحماية البيانات وقواعد أرامكس الملزمة، بالإضافة إلى أي متطلبات محلية ذات صلة) - ستعمل قوائم التحقق/الضوابط هذه على تقييم أنشطة معالجة البيانات التي ينفذها أعضاء مجموعة أرامكس المستهدفون بشكل عرضي مقابل جميع جوانب قواعد أرامكس الملزمة (على سبيل المثال، قواعد نقل البيانات الشخصية وإدارة المتطلبات/الطلبات القانونية المتعارضة مع قواعد أرامكس الملزمة والشروط التعاقدية السارية مع متلقي البيانات من الغير ...). من الناحية التقنية، صُممَت قائمة التحقق/الضوابط الخاصة بالمراجعة لتغطية جميع أدوات معالجة البيانات ذات الصلة بـقواعد أرامكس الملزمة، بما في ذلك قواعد بيانات أرامكس وأنظمة تكنولوجيا المعلومات وأدوات تكنولوجيا المعلومات (كما هو مذكور أدناه أيضاً).
• سيحدد فريق المراجعة الداخلية في أرامكس المنهجية المتبعة التي عليها أن تغطي قواعد البيانات وأنظمة تكنولوجيا المعلومات وأدوات تكنولوجيا المعلومات التي يستخدمها أعضاء مجموعة أرامكس المستهدفون لمعالجة البيانات الشخصية والتدابير التي وضعها أعضاء مجموعة أرامكس المستهدفون لضمان الامتثال لإطار الالتزام بحماية البيانات وقواعد أرامكس الملزمة (بما في ذلك سجلات أنشطة معالجة البيانات وطلبات الموافقة وإشعارات المعلومات وسياسات الخصوصية وسجلات انتهاكات البيانات الشخصية وطلبات أصحاب البيانات والاتفاقيات المبرمة مع الغير) وأي متطلبات محلية ذات صلة تنطبق على أعضاء مجموعة أرامكس المستهدفين.
بعد ذلك، ستجرى عمليات المراجعة لأعضاء مجموعة أرامكس المستهدفين، بالتنسيق مع مسؤولي الخصوصية المختصين. وستجمع المعلومات حول أنشطة معالجة البيانات لكل عضو من أعضاء مجموعة أرامكس المستهدفين، وذلك لتقييم امتثالهم لإطار الالتزام بحماية البيانات وقواعد أرامكس الملزمة ذات الصلة (من خلال مطابقة هذه المعلومات مع قائمة التحقق/الضوابط التي وضعها فريق الخصوصية في أرامكس).
سيبلغ مسؤول الخصوصية النتائج إلى فريق الخصوصية في أرامكس وفريق المراجعة الداخلية في أرامكس لغرض المراجعة والتحقق. وقد يلزم تبادل المزيد من المعلومات المتعلقة بممارسات أعضاء مجموعة أرامكس المستهدفين لتوضيح النتائج المبلغ عنها. وسيتم توفير النتائج التي تمت مراجعتها والتحقق منها لمجلس ممثل مجموعة أرامكس وكذلك للهيئات الرقابية في المنطقة الاقتصادية الأوروبية التي تطلبها والتي لها سلطة قضائية على عضو مجموعة أرامكس (عند الطلب، وفي حالة لم تكن الهيئة الرقابية الطالبة هي الجهة المسؤولة عن قواعد أرامكس الملزمة، إلى الحد الذي تتعلق فيه نتائج المراجعة بذلك العضو في مجموعة أرامكس).
في حال اكتشاف أي مخالفات نتيجةً للمراجعة، سيتواصل فريق الخصوصية في أرامكس مع مسؤول الخصوصية وإدارة عضو مجموعة أرامكس المستهدف لتحديد الإجراءات التصحيحية ووضع خطة عمل لاستعادة الامتثال لإطار الالتزام بحماية البيانات وقواعد أرامكس الملزمة. وستتضمن خطة العمل هذه متابعة لتحديد مدى تقدم الإجراءات التصحيحية المُتخذة وفعاليتها.
قررت مجموعة أرامكس إجراء عمليات المراجعة العامة هذه سنوياً، مع الأخذ في الاعتبار أنشطة معالجة البيانات المختلفة التي تنفذها مجموعة أرامكس، وخاصةً المخاطر التي قد تُشكلها هذه الأنشطة على حقوق وحريات أصحاب البيانات. ومع ذلك لضمان التطبيق المتوافق لقواعد أرامكس الملزمة على نطاق مجموعة أرامكس مع مرور الوقت، يُمكن أيضاً إجراء عمليات مراجعة مُحددة ومُركزة على أي عضو من أعضاء مجموعة أرامكس (بخصوص جميع أو بعض أنشطة المعالجة الخاصة به)، متى يراه فريق الخصوصية في أرامكس مناسباً - بما في ذلك بناءً على طلب مسؤول الخصوصية - وكذلك عند اكتشاف مؤشرات ذات صلة بعدم امتثال أحد أعضاء مجموعة أرامكس لقواعد أرامكس الملزمة.
يُصدر فريق الخصوصية في أرامكس تقريراً سنوياً إلى مجلس ممثل مجموعة أرامكس وإلى أعلى مستويات الإدارة في مجموعة أرامكس، يتضمن مُلخصاً لأنشطة المراجعة المُنجزة والإجراءات التصحيحية المُتخذة.
وطبقت مجموعة أرامكس إجراءات داخلية لضمان التعاون الكامل مع أي هيئات رقابية ترغب في إجراء عمليات تفتيش على أعضاء مجموعة أرامكس. وفي هذا الصدد:
• يلتزم جميع أعضاء مجموعة أرامكس بمراعاة النصائح المُقدمة والالتزام التام بأي قرارات تتخذها الهيئات الرقابية المختصة بشأن تفسير وتطبيق قواعد أرامكس الملزمة أو أي مسائل أخرى متعلقة بها؛
• يلتزم جميع أعضاء مجموعة أرامكس بتزويد الهيئات الرقابية المختصة -عند الطلب- بأي معلومات حول أنشطة معالجة البيانات التي قد ينفذوها ضمن نطاق قواعد أرامكس الملزمة، وسيتعاونون مع الهيئات الرقابية المختصة (بما في ذلك قبول المراجعة والتفتيش من جانب الهيئات الرقابية المختصة، ويشمل ذلك المراجعة الميدانية - عند الضرورة)؛
• يوافق جميع أعضاء مجموعة أرامكس على أن تخضع أي نزاعات تتعلق بممارسة الهيئات الرقابية المختصة لصلاحياتها الرقابية للتسوية أمام محاكم الدولة العضو التي تتبعها الهيئة الرقابية المعنية وفقاً لقانون الإجراءات في تلك الدولة العضو ويوافقون على الخضوع لاختصاص تلك المحاكم.
8.4 كيف تُدار حالات التعارض بين قواعد أرامكس الملزمة والتشريعات المحلية السارية؟
8.4.1 القواعد العامة
تضم مجموعة أرامكس أعضاءً منتشرين في دول وقارات مختلفة (راجع الملحق الأول أدناه). في بعض هذه الولايات القضائية، قد تفرض القوانين و/أو الممارسات المحلية متطلبات على أعضاء مجموعة أرامكس تتعارض مع مبادئ وقواعد اللائحة العامة لحماية البيانات أو مع إطار الالتزام بحماية البيانات أو قواعد أرامكس الملزمة.
قد تُقيّد حالات التعارض المذكورة قدرة عضو مجموعة أرامكس على الامتثال الكامل لقواعد أرامكس الملزمة أو قد تُشكّل قيوداً جوهرية على الضمانات التي تُقدّمها قواعد أرامكس الملزمة لأصحاب البيانات. مع ذلك، لا ينطبق هذا الأمر عندما ينشأ هذا التعارض عن قوانين وممارسات دول ثالثة تسعى إلى حماية هدف مهم للمصلحة العامة (مثل الأمن القومي أو التحقيق في الجرائم الجنائية أو حماية أصحاب البيانات/الأفراد الآخرين)، شريطة أن تحترم هذه القوانين/الممارسات جوهر الحقوق والحريات الأساسية لأصحاب البيانات، وألا تتجاوز ما هو ضروري ومتناسب في مجتمع ديمقراطي. وستحكم مجموعة أرامكس على ذلك باستخدام معايير الاتحاد الأوروبي كمرجع - وخاصةً ميثاق الحقوق الأساسية للاتحاد الأوروبي وتوصيات مجلس حماية البيانات الأوروبي رقم 02/2020 بشأن الضمانات الأساسية الأوروبية لتدابير المراقبة.
لا يُمكن الاعتماد على قواعد أرامكس الملزمة لنقل البيانات الشخصية إلى أي عضو في مجموعة أرامكس يقع خارج المنطقة الاقتصادية الأوروبية في بلد لم يخضع لقرار كفاية من المفوضية الأوروبية، إلا بعد إجراء تقييم يُثبت أن قوانين وممارسات ذلك البلد التي تُطبق على معالجة عضو مجموعة أرامكس للبيانات الشخصية لا تُسبب ذلك التعارض. وتُراعي هذه التقييمات (تقييم تأثير نقل البيانات) بشكل خاص العناصر التالية:
• الظروف الخاصة للنقل أو مجموعة عمليات النقل وأي عمليات نقل لاحقة مُتوقعة داخل نفس البلد الثالث أو إلى بلد ثالث آخر، بما في ذلك:
o الأغراض التي سيتم من أجلها نقل البيانات الشخصية ومعالجتها (على سبيل المثال، إدارة الموارد البشرية أو التسويق أو إدارة الخدمات المركزية)؛ و
o أنواع الجهات المشاركة في معالجة البيانات (ولا سيما عضو مجموعة أرامكس الذي يتلقى البيانات الشخصية وأي جهات أخرى قد ينقل إليها عضو مجموعة أرامكس البيانات الشخصية فيما بعد)؛ و
o القطاع الاقتصادي الذي تتم فيه عملية النقل (عمليات النقل)؛ و
o فئات وصيغة البيانات الشخصية المنقولة؛ و
o مواقع معالجة البيانات الشخصية المنقولة (بما في ذلك مواقع التخزين والمواقع التي يمكن من خلالها الوصول إلى البيانات الشخصية المخزنة عن بُعد)؛ و
o وسائل الإرسال المستخدمة؛ و
o أي ظروف واقعية أخرى ذات صلة تتعلق بالنقل (عمليات النقل) والمعالجة التي يرغب في تنفيذها عضو مجموعة أرامكس المتلقي.
• جميع قوانين وممارسات الدولة التي اعتُبرت ذات صلة في ضوء الظروف الخاصة للنقل (عمليات النقل)، بما في ذلك نطاقها وقيودها وضماناتها. ويشمل ذلك أي متطلبات قانونية أو عملية للإفصاح عن البيانات الشخصية للسلطات العامة عند الطلب أو السماح بخلاف ذلك لتلك السلطات بالوصول إلى البيانات الشخصية (سواء أثناء النقل أو بعد التخزين)؛
• الخبرة العملية لعضو مجموعة أرامكس المتلقي في حالات (أو غياب) طلبات الإفصاح عن البيانات الشخصية أو الوصول إليها من جانب السلطات العامة، شريطة أن تكون هذه الخبرة ذات صلة وموثقة وتغطي إطاراً زمنياً معتمداً كافياً ومعتمدة من الإدارة العليا لعضو مجموعة أرامكس المعني، ويمكن دعمها (وليس تناقضها) بعناصر ذات صلة وموضوعية، بما في ذلك أي معلومات متاحة/ يمكن الوصول إليها للجمهور وموثوقة بشأن هذه الطلبات في دولة المرجع؛ و
• الضمانات التعاقدية و/أو التقنية و/أو التنظيمية ذات الصلة التي تم تنفيذها أو التي يمكن تنفيذها لتكملة الضمانات التي توفرها قواعد أرامكس الملزمة (راجع على سبيل المثال "نقل البيانات الشخصية من داخل المنطقة الاقتصادية الأوروبية إلى خارجها" أعلاه).
إذا أظهر تقييم تأثير نقل البيانات وجود تعارض ذي صلة ينبغي معالجته من خلال ضمانات تعاقدية و/أو تقنية و/أو تنظيمية إضافية، يجب تحديد هذه الضمانات وتطبيقها بمشاركة ممثل مجموعة أرامكس وفريق الخصوصية في أرامكس.
يتعين توثيق تقييمات تأثير نقل البيانات بشكل مناسب، بما في ذلك الضمانات الإضافية التي قد تكون وُضعت لكل حالة على حدة، وإتاحتها للهيئات الرقابية عند الطلب. وسيتم مشاركتها مع جميع أعضاء مجموعة أرامكس عند الحاجة، لضمان التقييم المناسب وتوافق الضمانات الإضافية في جميع أنحاء مجموعة أرامكس (أي لضمان حماية عمليات النقل المشابهة بشكل مماثل).
إذا حدد عضو مجموعة أرامكس ذلك التعارض (بما في ذلك عندما يكون لديه سبب للاعتقاد بأنه أو عضو آخر في مجموعة أرامكس يخضع أو أصبح خاضعاً للقوانين والممارسات، وخاصةً عندما يتم تلقي طلب محدد للإفصاح عن البيانات الشخصية/الوصول إليها. مما يؤدي إلى ذلك التعارض)، يلتزم بإبلاغ فريق الخصوصية في أرامكس وممثل مجموعة أرامكس دون تأخير غير مبرر، ما لم يُحظر عليه القيام بذلك بموجب القانون المحلي أو سلطة إنفاذ القانون المحلية (مثل حالة حظر القانون الجنائي المحلي ذلك من أجل حماية سرية التحقيقات الجارية).
مع مراعاة ما تقدم، يلتزم فريق الخصوصية في أرامكس وممثل مجموعة أرامكس بالمراقبة المستمرة بالتعاون مع أعضاء مجموعة أرامكس للتطورات في الدول خارج المنطقة الاقتصادية الأوروبية التي قد تُسبب حالات تعارض ذات صلة بموجب قواعد أرامكس الملزمة أو تؤثر على نتائج تقييمات تأثير نقل البيانات المُنجزة سابقاً.
في حال رأى فريق الخصوصية في أرامكس بالتنسيق مع ممثل مجموعة أرامكس أن أحد أعضاء مجموعة أرامكس (1) غير قادر على الامتثال الكامل لالتزاماته بموجب قواعد أرامكس الملزمة، أو (2) أن القوانين/الممارسات المطبقة على ذلك العضو في مجموعة أرامكس قد تؤثر إلى حد كبير على الضمانات التي تُقدمها قواعد أرامكس الملزمة، فيما يتعلق بالبيانات الشخصية التي يُعالجها ذلك العضو في مجموعة أرامكس:
• تلتزم مجموعة أرامكس بتعليق عمليات نقل البيانات الشخصية من داخل المنطقة الاقتصادية الأوروبية إلى ذلك العضو في مجموعة أرامكس بموجب قواعد أرامكس الملزمة (إلى الحد الذي تندرج فيه عمليات النقل هذه ضمن نطاق التعارض المُكتشف)؛
• تلتزم مجموعة أرامكس بتطبيق تدابير تكميلية تقنية و/أو تنظيمية و/أو تعاقدية لمعالجة أي تعارض مُكتشف وضمان الامتثال لقواعد أرامكس الملزمة، وبعد ذلك يُمكن رفع التعليق (راجع "نقل البيانات الشخصية من داخل المنطقة الاقتصادية الأوروبية إلى خارجها").
إذا لم يكن ذلك ممكناً أو قابلاً للتنفيذ أو إذا استمر التعليق لأكثر من شهر دون اتخاذ تدابير تكميلية كافية، يتعين إنهاء عمليات نقل البيانات الشخصية من داخل المنطقة الاقتصادية الأوروبية إلى عضو مجموعة أرامكس المعني بموجب قواعد أرامكس الملزمة على الفور. ونتيجةً لذلك، يلتزم عضو مجموعة أرامكس المعني بما يلي:
• إما إتلاف البيانات الشخصية المنقولة أو إعادتها إلى عضو (أعضاء) مجموعة أرامكس الذي نقلها، حسب اختياره (وينطبق هذا أيضاً على أي نسخ تم إنشاؤها).
• في حال إتلاف البيانات الشخصية، يشهد لفريق الخصوصية في أرامكس بحذف تلك البيانات الشخصية بالكامل - وسيرسل فريق الخصوصية في أرامكس هذه الشهادات إلى عضو (أعضاء) مجموعة أرامكس المعني.
• الاستمرار في ضمان الامتثال لقواعد أرامكس الملزمة إلى أقصى حد ممكن حتى اكتمال الإتلاف أو الإعادة بالكامل، وفي حال منع القوانين المحلية الإتلاف الكامل أو إعادة البيانات الشخصية المنقولة ونسخها، فلا تتم معالجة هذه البيانات الشخصية إلا بالقدر والمدة اللازمين بموجب تلك القوانين.
وسيتم أيضاً مشاركة قرارات تعليق النقل أو تطبيق تدابير تكميلية إضافية أو إنهاء النقل مع جميع أعضاء مجموعة أرامكس لضمان التوافق في جميع أنحاء مجموعة أرامكس (بمعنى آخر، لضمان تعليق عمليات النقل المماثلة أو إخضاعها لتدابير تكميلية إضافية أو إنهائها).
8.4.2 طلبات الإفصاح/الوصول إلى البيانات الشخصية
إذا تلقى أحد أعضاء مجموعة أرامكس طلباً من سلطة عامة للإفصاح عن بيانات شخصية منقولة إليه بموجب قواعد أرامكس الملزمة أو علم باطلاع سلطة عامة على هذه البيانات الشخصية بشكل مباشر، على هذا العضو إخطار ممثل مجموعة أرامكس وفريق الخصوصية في أرامكس فوراً بالطلب:
• في حالة طلب الإفصاح، يتضمن الإخطار معلومات حول البيانات الشخصية المطلوبة والجهة الطالبة والأساس القانوني الذي استندت إليه الجهة للطلب والرد المُقدم (أو المُقرر تقديمه) على الطلب.
• في حالة اكتشاف حالة وصول مباشر، تضمين جميع المعلومات ذات الصلة المتاحة لدى عضو مجموعة أرامكس.
سيرسل فريق الخصوصية في أرامكس أي إخطارات من هذا القبيل إلى عضو (أعضاء) مجموعة أرامكس الذي نقل تلك البيانات الشخصية.
يتعين أيضاً إخطار أصحاب البيانات المتضررين، حيثما أمكن. يمكن تنفيذ هذا الإخطار بدعم من عضو (أعضاء) مجموعة أرامكس الناقل للبيانات و/أو ممثل مجموعة أرامكس وفريق الخصوصية في أرامكس.
إذا لم يسمح القانون المحلي لعضو مجموعة أرامكس بإصدار هذه الإخطارات، يبذل ذلك العضو قصارى جهده للتنازل عن الحظر حتى يتسنى تنفيذ الإخطارات. ويسعى عضو مجموعة أرامكس إلى إيصال أكبر قدر ممكن من المعلومات وفي أسرع وقت ممكن، وأن يكون قادراً على إثبات الجهود المبذولة لتحقيق هذا الهدف.
عند مواجهة طلب إفصاح، يتعين على أعضاء مجموعة أرامكس:
• مراجعة قانونية الطلب - وتحديداً ما إذا كان قد صدر وفقاً للصلاحيات الممنوحة للسلطة العامة الطالبة.
• الاعتراض على هذه الطلبات و/أو الطعن عليها (بما في ذلك من خلال السعي إلى اتخاذ تدابير مؤقتة لتعليق آثارها، عند توفرها ومناسبتها) إذا رأى وجود أسباب معقولة للقيام بذلك بموجب القوانين السارية، بما في ذلك القوانين الدولية و/أو مبادئ المجاملة الدولية.
• عدم الإفصاح عن أي بيانات شخصية إلا إذا طُلب ذلك بموجب القواعد الإجرائية المعمول بها، والإفصاح فقط عن الحد الأدنى من البيانات الشخصية المسموح بها عند الرد، بناءً على تفسير معقول للطلب.
• توثيق التقييمات القانونية التي أجريت والاعتراضات/الطعون المقدمة وإتاحة هذه الوثائق لممثل مجموعة أرامكس وفريق الخصوصية في أرامكس.
سيرسل فريق الخصوصية في أرامكس أي مستندات واردة بخصوص طلبات الإفصاح أو حالات الوصول المباشر المكتشفة إلى عضو (أعضاء) مجموعة أرامكس الذي نقل تلك البيانات الشخصية. وسيقدم فريق الخصوصية في أرامكس وممثل مجموعة أرامكس هذه المعلومات للهيئات الرقابية الطالبة.
يلتزم أعضاء مجموعة أرامكس الذين يتلقون بيانات شخصية بموجب قواعد أرامكس الملزمة تقديم معلومات عامة إلى ممثل مجموعة أرامكس وفريق الخصوصية في أرامكس حول طلبات الإفصاح هذه أو حالات الوصول المباشر المكتشفة سنوياً (بما في ذلك -على سبيل المثال- عدد الطلبات المستلمة والحالات المكتشفة وأنواع البيانات الشخصية المطلوبة أو التي تم الوصول إليها وهوية مقدمي الطلبات أو الجهات التي وصلت إليها وما إذا تم الاعتراض على الطلبات أو تم الرد على الوصول المكتشف ونتائج هذه الاعتراضات والردود، وما إلى ذلك). ويخزن كل عضو في مجموعة أرامكس هذه المعلومات طالما استمرت قواعد أرامكس الملزمة في تطبيقها على البيانات الشخصية التي يعالجها ذلك العضو في مجموعة أرامكس. في حالة مُنع أي عضو في مجموعة أرامكس أو أصبح كذلك -جزئياً أو كلياً- من تقديم هذه المعلومات، عليه إبلاغ ممثل مجموعة أرامكس وفريق الخصوصية في أرامكس بذلك دون تأخير لا مبرر له.
سيرسل فريق الخصوصية في أرامكس هذه المعلومات إلى عضو (أعضاء) مجموعة أرامكس الناقل للبيانات. وسيقدم فريق الخصوصية في أرامكس وممثل مجموعة أرامكس هذه المعلومات للهيئات الرقابية الطالبة.
على أي حال، لا يجوز أن تكون عمليات نقل البيانات الشخصية التي ينفذها أعضاء مجموعة أرامكس إلى السلطات العامة، وفقاً لما تقتضيه القوانين المحلية، واسعة النطاق أو غير متناسبة أو عشوائية أو تتجاوز ما هو ضروري في مجتمع ديمقراطي. سيؤدي عدم الالتزام بهذه القاعدة إلى تعارض ذي صلة (راجع "القواعد العامة" أعلاه).
إذا كانت القوانين المحلية المطبقة على عضو مجموعة أرامكس (بما في ذلك تلك الموجودة داخل الاتحاد الأوروبي) تتطلب مستوى حماية للبيانات الشخصية أعلى من قواعد أرامكس الملزمة، ستسود على قواعد أرامكس الملزمة ضمن نطاقها الإقليمي. وكقاعدة عامة، ستعالج مجموعة أرامكس البيانات الشخصية دائماً بطريقة تُعزز توافق ممارساتها مع قواعد ومبادئ اللائحة العامة لحماية البيانات والقوانين المحلية الأخرى ذات الصلة.
9. كيف سيتم الإبلاغ عن أي تغييرات ذات صلة بقواعد أرامكس الملزمة؟
يتولى فريق الخصوصية في أرامكس مسؤولية تطوير إطار الالتزام بحماية البيانات والحفاظ عليه. ويتم إبلاغ جميع أعضاء مجموعة أرامكس بأي تحديثات ذات صلة بمكونات إطار الالتزام بحماية البيانات (بما في ذلك قواعد أرامكس الملزمة) عبر شبكة الإنترنت الداخلية لمجموعة أرامكس بالتنسيق بين فريق الخصوصية في أرامكس وممثل مجموعة أرامكس.
ستُنشَر قواعد أرامكس الملزمة على المواقع الإلكترونية الرئيسية لمجموعة أرامكس، وسيتم تحديثها باستمرار لتعكس الظروف الواقعية والقانونية الحالية المطبقة على عمليات نقل البيانات الشخصية التي تقع ضمن نطاقها من وقت لآخر، بما في ذلك التغييرات في القوانين والممارسات المعمول بها وتوجيهات الهيئات الرقابية وعمليات النقل وأنشطة المعالجة الأساسية نفسها. ولتحقيق هذه الغاية، طبقت مجموعة أرامكس آلية إصدار لمكونات إطار الالتزام بحماية البيانات (بما في ذلك قواعد أرامكس الملزمة) للسماح بمتابعة التحديثات. لضمان بقاء أصحاب البيانات على اطلاع دائم بأي تحديثات تطرأ على قواعد أرامكس الملزمة أو قائمة أعضاء مجموعة أرامكس المُلزمين بها (راجع الملحق الأول)، سيتم نشر أي تحديثات من هذا القبيل على المواقع الإلكترونية الرئيسية لمجموعة أرامكس دون تأخير بعد سريانها.
يتولى فريق الخصوصية في أرامكس بالتنسيق مع ممثل مجموعة أرامكس مسؤولية ما يلي:
• الاحتفاظ بقائمة مُحدثة بالكامل لأعضاء مجموعة أرامكس المُلزمين بقواعد أرامكس الملزمة؛
• تتبع وتسجيل أي تغييرات تطرأ على قواعد أرامكس الملزمة؛
• الإخطار الفوري بأي تغييرات تطرأ على قواعد أرامكس الملزمة إلى جميع أعضاء مجموعة أرامكس؛
• تحديث المعلومات المُقدمة لأصحاب البيانات عند الضرورة بالتنسيق مع كل عضو من أعضاء مجموعة أرامكس؛
• تقديم معلومات عن أي تغييرات تطرأ على قواعد أرامكس الملزمة (بما في ذلك المزيد من التفاصيل حول مبررات هذه التغييرات) إلى الهيئات الرقابية الطالبة.
سيبلغ فريق الخصوصية في أرامكس بالتنسيق مع ممثل مجموعة أرامكس الجهة المسؤولة عن قواعد أرامكس الملزمة مُسبقاً بأي تغييرات جوهرية تطرأ على قواعد أرامكس الملزمة (التي قد تؤثر على مستوى الحماية التي تُوفرها قواعد أرامكس الملزمة أو تؤثر عليها إلى حد كبير بخلاف ذلك) (بما في ذلك المزيد من التفاصيل حول مبررات هذه التغييرات). وستخطر أرامكس -كلما كان ذلك ممكناً- أصحاب البيانات ذوي الصلة مباشرةً بهذه التغييرات (على سبيل المثال، عن طريق نشرها على شبكتها الداخلية لصالح موظفي مجموعة أرامكس أو عن طريق إرسال رسائل بريد إلكتروني إلى العملاء/الموردين حيث تتوفر تفاصيل الاتصال الإلكترونية...).
سيبلغ فريق الخصوصية في أرامكس بالتنسيق مع ممثل مجموعة أرامكس الهيئات الرقابية (من خلال الجهة المسؤولة عن قواعد أرامكس الملزمة) بجميع التغييرات الأخرى التي تطرأ على قواعد أرامكس الملزمة، بما في ذلك التغييرات في قائمة أعضاء مجموعة أرامكس المُلزمين بها (راجع "كيف يلتزم أعضاء وموظفو مجموعة أرامكس بقواعد أرامكس الملزمة؟") مرة واحدة على الأقل سنوياً. سيرد شرح موجز لأسباب أي تغييرات في الإشعارات/التقارير المُقدمة إلى الجهة المسؤولة عن قواعد أرامكس الملزمة. في حالة عدم إجراء أي تغييرات على قواعد أرامكس الملزمة خلال سنة المرجع، سيتم تأكيد ذلك إلى الجهة المسؤولة عن قواعد أرامكس الملزمة.