سياسة الخصوصية


​​​‌أ-   الهدف:

التأكد من خصوصية المعلومات الحساسة.

‌ب-  النطاق:

تطبق على جميع أنظمة الجامعة.

‌ج-  السياسة:

1-     تعرف المعلومات الشخصية بأنها "أي معلومة عن شخصٍ ما، ويتضمن ذلك المعلومات التي يمكن استخدامها لتمييز الأفراد كالاسم، أو المستخدمة لمتابعتهم والوصول إليهم كالعنوان البريدي وأرقام الهواتف، أو أي معلومات يمكن ربطها بالأفراد كالسجلات الطبية.

2-     إن إدارة الجامعة مسؤولة عن ضمان تنفيذ السياسة وما يتعلق بها من وثائق، ومراقبة علمية التطبيق، واتخاذ الإجراءات المناسبة في حال عدم الالتزام بها.

3-     تقوم إدارة أمن المعلومات بمراجعة هذه السياسة ومدى الالتزام بها وإصدار تقرير بذلك، وذلك لمرة واحدة خلال العام على أقل تقدير.

4-     يجب نشر هذه السياسة فور اعتمادها من إدارة الجامعة بحيث يمكن لجميع المستخدمين في الجامعة السعودية الإلكترونية الاطلاع عليها. وعلى إدارة أمن المعلومات وعمادة تقنية المعلومات الحرص على وصول التنبيه اللازم بصدورها لجميع المستخدمين وبجميع الطرق الممكنة. كما ويجب أيضاً تنبيه المستخدمين في حال حدوث تعديل على السياسة أو نشر أي سياسة أو وثيقة متممة.

5-     على جميع المستخدمين الالتزام التام ببنود هذه الاتفاقية وجميع الوثائق المتممة لها.

6-     إن وصول تنبيه بتوافر هذه السياسة للمستخدمين أو المتعاملين مع الجامعة من داخل الجامعة أو خارجها يعد إشعاراً ضمنيا بقراءة السياسة بجميع بنودها والموافقة ضمنياً على العمل بجميع بنودها.

    • أنواع المعلومات الشخصية: تصنف المعلومات الشخصية كما جاء في البند الأول لمعلومات تمييز الأفراد: وهي المعلومات التي يمكن من خلالها تمييز فرد بعينه، مثل:

        • الاسم الكامل، أو أحد أجزائه بأي سياق يمكن أن يدل على شخص بعينه

        • رقم الهوية الوطنية

        • رقم جواز السفر

        • رقم الإقامة

        • رقم الحساب البنكي

    • معلومات متابعة الأفراد: وهي المعلومات التي يمكن من خلالها الوصول لشخص معين بشكل شخصي، مثل:

        • العنوان البريدي

        • عناوين البريد الإلكتروني الشخصية

        • الأرقام الهاتفية الشخصية بكافة أنواعها

        • الأسماء التعريفية على شبكات التواصل الاجتماعي

    • معلومات الربط، وهي المعلومات التي لا يمكن من خلالها لوحدها تعريف شخص ما، ولكنها تعطي معلومات شخصية عن الأفراد عن ربطها بهم، مثل:

        • تاريخ الميلاد والعمر

        • السجلات الطبية

        • السجلات الوظيفية

        • الجنس أو العرق أو المعتقدات الدينية

        • الحالة الاجتماعية

7-     تتعهد الجامعة السعودية الإلكترونية ممثلةً بعمادة تقنية المعلومات ببذل أقصى الجهود وتوفير جميع التقنيات والموارد اللازمة لحماية المعلومات الشخصية من الحذف أو التلف أو الضياع أو التسرب أو التعديل، أو أي استخدام آخر غير مصرح به.

8-     تقود إدارة أمن المعلومات بحفظ سجل عن المعلومات الشخصية، يسمى "دليل المعلومات الشخصية"، ويعرف أحد أعضاء فريق أمن المعلومات كمسؤول لحماية المعلومات الشخصية.

9-     يكون مسؤول حماية المعلومات الشخصية مسؤولاً عن إدارة الدليل.

10-   يكون مسؤول حماية المعلومات الشخصية مسؤولاً عن صحة المعلومات الواردة في "دليل المعلومات الشخصية" بشكل مستمر، وعن جميع عمليات التدقيق لضمان اتباع جميع الأنظمة والمستخدمين للإجراءات والإرشادات الواردة في الدليل.

11-   على عمادة تقنية المعلومات في الجامعة توفير التقنيات والإجراءات الكفيلة بحصر أماكن تواجد جميع أشكال المعلومات الشخصية على جميع الأنظمة المعلوماتية التي تعود ملكيتها للجامعة. ويتم توثيق تلك الأماكن في "دليل المعلومات الشخصية".

12-   بعد حصر المعلومات الشخصية، يجب أن يتم توثيقها ضمن "دليل المعلومات الشخصية"، على أن يتضمن ذلك:

  • نوع المعلومة:

        • معلومات تمييز الأفراد.

        • معلومات متابعة الأفراد.

        • معلومات الربط.

  • حساسية المعلومة: ويجب أن يتم تصنيف جميع المعلومات الشخصية في الجامعة بحسب حساسيتها لأحد الأصناف الثلاثة:

        • معلومات منخفضة الحساسية.

        • معلومات متوسطة الحساسية.

        • معلومات عالية الحساسية.

  • يجب تعريف الاستخدام التفصيلي لهذه المعلومات.

  • تعريف جميع المستخدمين الذين لهم الصلاحية بالوصول لهذه المعلومات أو لأي جزء منها.

13-       يجب أن يتضمن دليل المعلومات الشخصية معلومات مفصلة عن جميع إجراءات جمع المعلومات الشخصية، ويتضمن ذلك:

  •  سبب جمع المعلومات.

  • طريقة وإجراء جمع المعلومات.

  • تفاصيل المعلومات المجموعة وتصنيفها.

  • الأنظمة التي سيتم تخزين تلك المعلومات بها، ويفضل تعريف نسخة موحدة عن كل نوع من المعلومات الشخصية على نظام موحد، ويتم نسخها أو جزء منها للأنظمة الأخرى عند الحاجة.

  • تعريف مالك محدد للمعلومة من قبل جهات العمل المختلفة داخل الجامعة " Information Business Owner " .

  • تعريف مالك محدد للمعلومة من قبل تقنية المعلومات " Information IT Owner " .

  • جميع الأشكال التي يسمح للمعلومة باتخاذها، مثلاً:

      • قاعدة بيانات أوراكل

      • ملف اكسل

      • ملف نصي CSV

  • دورة حياة المعلومة

  • من يحق له الوصول للمعلومة  أو لجزء منها، وتعريف شكل الدخول.

  • من يحق له التصريح بالحصول على المعلومة، وإجراءات إعطاء التصريح، وطرق توثيق ومراقبة وتدقيق تلك الإجراءات.

14-       بعد حصر المعلومات الشخصية وتوثيق جميع المعلومات والإجراءات المتعلقة بها في "دليل المعلومات الشخصية"، يجب على عمادة تقنية المعلومات إعادة تعريف وهيكلة إجراءات الحصول على المعلومات.

15-      إجراء الحصول على المعلومات الشخصية: يتم تعريف الإجراء عبر نموذج الكتروني بما يحقق التالي:

  • يجب أن يذكر طلب الحصول على المعلومات الشخصية جميع أشكال استخدامها، وهل هو مؤقت أو دائم، مع تحديد وقت الانتهاء من الاستخدام.

  • يجب أن يتضمن النموذج معلومات تفصيلية عن المعلومات المطلوبة.

  • يجب أن يتضمن النموذج طريقة الوصول للمعلومة، هل هو وصول للمعلومة عبر النظام، أو الحصول على نسخة منها.

  • يجب أن يتضمن النموذج تعهداً بحذف المعلومات بعد انتهاء السبب من الحصول عليها.

  • في حال الحصول على نسخة من المعلومة، يجب أن يعرف الطلب شكل الحصول على المعلومات.

  • في حال طلب المعلومات الشخصية لمشاركتها مع طرفٍ ثالث، يجب أن يتضمن النموذج معلومات تفصيلية عن هذا الطرف.

  • في حال مشاركة المعلومة مع طرف ثالث أو أكثر، سواءً أكان ذلك الطرف من داخل أو من خارج الجامعة، فإن على جميع الأطراف الطالبة للمعلومة الحرص على:

      • تعبئة نموذج الحصول على المعلومات الشخصية.

      • الموافقة الخطية على هذه الوثيقة في حال كان الطرف طالب المعلومات من خارج الجامعة، ويمكن أن تكون الموافقة عن طريق إرسال بريد الكتروني يرسل من عنوان الجهة الطالبة للمعلومة، ولا تقبل عناوين البريد الإلكتروني الشخصية.

      • يجب أن يتضمن النموذج تعهداً من طالب المعلومة بالالتزام بالسياسة والإجراءات المتبعة.

      • يجب أن يتضمن النموذج موافقة مسؤول حماية المعلومات الشخصية، وموافقة عميد تقنية المعلومات.

16-    يحق للجامعة استخلاص البيانات الديموغرافية من المعلومات الشخصية، واستخدامها لإجراء العمليات الإحصائية لأغراض البحث العلمي والتخطيط الإداري وذلك دون الرجوع للمستخدمين، وذلك بشرط أن يتم حذف أي بيانات يمكن أن تؤدي لتمييز أو تعقب الأفراد.

17-   إن أي استخدام للبيانات الديموغرافية يجب ألا يتم إلا بعد:

  • تعبئة طالب المعلومات لنموذج حصول على المعلومات.

  • تسجيل الاستخدامات في "دليل المعلومات الشخصية".

  • مراجعة مسؤول حماية المعلومات الشخصية للبيانات المطلوبة، للتأكد من خلوها من بيانات تمييز أو تعقب الأفراد.

  • موافقة مسؤول حماية المعلومات الشخصية وموافقة عميد تقنية المعلومات.

  • في حال نشر أو مشاركة أي معلومات شخصية، فيجب الحصول على موافقة أصحاب المعلومات بشكل صريح قبل نشر المعلومات الشخصية.

18-    يجب أن يتاح لجميع المستخدمين إمكانية الدخول ومراجعة معلوماتهم الشخصية للتأكد من صحتها. ويجب أن يتاح لهم طريقة واضحة لتعديل هذه المعلومات سواءً بشكل مباشر أو بالرجوع لموظفي الجامعة.

19-   يكون مسؤول حماية المعلومات الشخصية مسؤولاً عن تدقيق المعلومات بشكل دوري لضمان صحتها وتكاملها في حال وجودها على أكثر من نظام.

20-   يجب التقليل ما أمكن من استخدام البيانات الشخصية في عمليات الاختبار والتطوير Testing and Development، مع التوجيه الدائم باستخدام بيانات وهمية لمستخدمين وهميين ما أمكن ذلك في عمليات الاختبار المختلفة التي قد تقوم بها فرق تقنية المعلومات أو باقي فرق المنظمة.

21-   في حال استخدام المعلومات الشخصية لأغراض الاختبار والتطوير، فيجب أيضاً تعبئة النموذج الخاص بالحصول على المعلومات الشخصية.

22-   يجب أن يتم تدريب موظفي تقنية المعلومات على التعامل بشكل خاص مع البيانات الشخصية للمستخدمين والحرص عليها، وأن يوافق المستخدمين بشكل صريح وخطي على سياسة التعامل مع البيانات الشخصية. وينطبق ذلك على جميع موظفي الجامعة الذين تتطلب طبيعة عملهم الوصول لهذه المعلومات بشكل مباشر أو غير مباشر.

23-   يجب أن يتضمن التدريب على التعامل مع البيانات الشخصية، تدريب الموظفين على إجراءات إنشاء تنبيه في حالات حدوث أي اختراق للخصوصية.

24-   تعريف إجراءات واضحة للتعامل مع حالات اختراقات الخصوصية، وذلك بحسب تصنيف المعلومات التي يشك بتسربها، على أن يتضمن ذلك:

  • تاريخ ووقت الاختراق.

  • فئات المستخدمين المتضررة.

  • تقييم مدى الضرر والخطر الذي قد ينجم عنه.

  • تبليغ أصحاب المعلومات بحدوث الاختراقات.

  • إجراءات التصعيد التي يجب اتباعها.

25-   يمكن مشاركة أي بيانات شخصية مع الجهات الحكومية الأخرى في المملكة العربية السعودية، وذلك عن طريق وجود خطاب رسمي بذلك.

26-   تكون عمادة تقنية المعلومات مسؤولةً عن تعريف نموذج للتعهد بعدم إفشاء المعلومات، يتضمن المعلومات الشخصية بشكل صريح، ومتابعة الحصول على موافقة جميع الشركات والأفراد المتعاقدين بشكل خطي على هذا النموذج.

27-   يمكن للمواقع الإلكترونية التابعة للجامعة تسجيل معلومات عن المستخدمين وذلك عن طريق تقنية ال Cookies وذلك دون وجود موافقة صريحة من المستخدم، وإن أي استخدام للمواقع التابعة للجامعة، يعتبر موافقةً ضمنيةً على هذه السياسة، وعلى استخدام هذه التقنية.

 

د-   الإلزام:

يلتزم جميع الموظفين باتباع هذه السياسات، وسيتم التعامل مع المخالفات حسب الإجراءات القانونية المتبعة.

هـ-  المسؤولية:

تقع على جميع الموظفين ومدراء إدارات عمادة تقنية المعلومات وتكنولوجيا التعليم خاصة مدير إدارة أمن المعلومات وعميد العمادة.