سياسة الخصوصية وحماية البيانات

1. مقدمة وتعريفات

تلتزم منصة دوبا كير (المشار إليها فيما يلي بـ "المنصة" أو "نحن" أو "الشركة") بحماية خصوصية بيانات العيادات والمرضى والمستخدمين الآخرين بأعلى معايير الامتثال القانوني. تنطبق هذه السياسة على جميع دول العالم التي تعمل بها المنصة، وتتوافق مع جميع القوانين والأنظمة المحلية والدولية ذات الصلة بحماية البيانات والخصوصية.

2. نطاق السياسة والبيانات المغطاة

تغطي هذه السياسة جميع "البيانات الشخصية" و"البيانات الصحية الحساسة" المعالجة من قبل المنصة، بما في ذلك:

• بيانات العيادات والمنشآت الطبية:
  • بيانات التسجيل: الاسم، السجل التجاري، رقم الترخيص الطبي، البريد الإلكتروني، أرقام الهاتف.
  • بيانات الموقع: العنوان، الإحداثيات الجغرافية.
  • بيانات الاتصال: أسماء المسؤولين، بيانات اعتماداتهم.
  • بيانات مالية: معلومات الفواتير والدفع والبنك.
• بيانات المرضى (البيانات الصحية الحساسة):
  • البيانات الشخصية: الأسماء الكاملة، أرقام الهويات الوطنية، معلومات الاتصال.
  • السجلات الطبية: التاريخ الطبي، التشخيصات، الأدوية الموصوفة، الحساسيات.
  • بيانات المواعيد: تواريخ ووقائع الزيارات الطبية.
  • البيانات البيومترية: الوزن، الطول، ضغط الدم، والقراءات الطبية الأخرى.
  • صور طبية ونتائج الفحوصات الإلكترونية.
• بيانات المستخدمين والأطباء:
  • بيانات الملف الشخصي: الأسماء، البريد الإلكتروني، أرقام الهاتف، الصور الشخصية.
  • بيانات الاعتماد والتفويض: معلومات المؤهلات الطبية، التخصصات.
  • بيانات سجل النشاط: سجل تسجيل الدخول، الإجراءات المنفذة على النظام.
• بيانات الاستخدام والتكنولوجيا:
  • ملفات تعريف الارتباط (Cookies) وتقنيات التتبع المماثلة.
  • عناوين IP وبيانات الجهاز ونوع المتصفح.
  • السجلات الزمنية للوصول والأنشطة على المنصة.
  • بيانات الأداء والأخطاء في النظام.

3. الأساس القانوني لمعالجة البيانات

تمتثل المنصة لجميع أنظمة وقوانين حماية البيانات الشخصية المعمول بها في جميع دول عملها، وتعالج البيانات على أساس واحد أو أكثر من التالي:

• تنفيذ العقد: معالجة البيانات اللازمة لتقديم خدمات إدارة العيادات والمواعيد الطبية.
• الالتزام القانوني: الامتثال للقوانين الطبية والصحية المعمول بها بما فيها متطلبات حفظ السجلات الطبية.
• المصلحة المشروعة: تحسين خدمات المنصة، الأمان، ومنع الاحتيال.
• موافقة المستخدم الصريحة: عندما يتم طلب موافقة واضحة من المستخدم.
• حماية الصحة العامة: معالجة البيانات الصحية لأغراض الصحة العامة والطوارئ الطبية.

4. أغراض المعالجة والاستخدام

تستخدم المنصة البيانات المجمعة فقط للأغراض التالية:

• تقديم خدمات إدارة العيادات وتنظيم المواعيد الطبية.
• إدارة السجلات الطبية للمرضى بشكل آمن.
• معالجة الدفعات والفواتير.
• إرسال التنبيهات والتذكيرات بالمواعيد.
• الاتصالات المهنية والإدارية الضرورية.
• تحسين جودة الخدمة وتطوير الميزات الجديدة.
• الامتثال للالتزامات القانونية والتنظيمية.
• الأمان والحماية من الاحتيال والمخاطر.
• الإجابة على الاستفسارات والشكاوى.

5. مشاركة البيانات والأطراف الثالثة

لا تبيع المنصة البيانات الشخصية أو الصحية لأي أطراف ثالثة. ومع ذلك، قد تشارك البيانات مع:

• مزودي الخدمات والمعالجات:
  • شركات الاستضافة السحابية الموثوقة والآمنة.
  • بوابات الدفع والمحافظ الرقمية.
  • مزودي خدمات البريد الإلكتروني والتنبيهات.
  • شركات النسخ الاحتياطي والنسخ الاحتياطية الكارثية.
• الجهات الحكومية والقانونية: عند الضرورة والامتثال للقوانين المعمول بها، بما في ذلك متطلبات السلطات الصحية المحلية والجهات التنظيمية الأخرى في كل دولة.
• الموظفون المفوضون: فقط الموظفون الذين يحتاجون إلى الوصول لتقديم الخدمات.
• في حالة الطوارئ الطبية: مشاركة البيانات الصحية الأساسية مع المنشآت الطبية الأخرى لضمان استمرارية الرعاية.

جميع المعالجات من الأطراف الثالثة يوقعون على اتفاقيات معالجة بيانات صارمة تضمن نفس مستوى الحماية.

6. حقوق المستخدمين والمرضى

يتمتع جميع أصحاب البيانات بالحقوق التالية وفقاً لنظام حماية البيانات السعودي والقوانين الدولية:

• حق الوصول: الحق في الحصول على نسخة من البيانات الشخصية.
• حق التصحيح: تعديل أو تصحيح البيانات غير الدقيقة.
• حق الحذف (النسيان): طلب حذف البيانات في الحالات المحددة قانوناً.
• حق تقييد المعالجة: طلب تقييد معالجة البيانات.
• حق نقل البيانات: الحصول على البيانات بصيغة قابلة للنقل.
• حق الاعتراض: الاعتراض على معالجة البيانات في حالات معينة.
• حق عدم الخضوع للقرارات الآلية: عدم التعرض لقرارات قائمة على المعالجة الآلية وحدها.
• حق تقديم شكوى: تقديم شكوى لديوان المظالم أو الجهات المختصة.
• حق سحب الموافقة: سحب الموافقة على معالجة البيانات في أي وقت.

7. أمن ومتطلبات الحماية

تلتزم المنصة بتطبيق أعلى معايير الأمن لحماية البيانات:

• التشفير:
  • تشفير بروتوكول SSL/TLS لجميع البيانات المنقولة.
  • تشفير AES-256 لجميع البيانات المخزنة.
  • تشفير البيانات الصحية الحساسة بشكل منفصل.
• التحكم في الوصول:
  • مصادقة قوية متعددة العوامل.
  • التحكم القائم على الأدوار (RBAC).
  • سجل تدقيق شامل لجميع الوصولات.
• الصيانة والتحديثات:
  • تحديثات أمان منتظمة وفورية.
  • اختبارات اختراق منتظمة.
  • فحوصات الضعف الدورية.
• النسخ الاحتياطي والاستعادة:
  • نسخ احتياطية يومية على أقل تقدير.
  • خوادم احتياطية في مواقع جغرافية متعددة.
  • اختبارات استعادة دورية.
• أمان الموظفين:
  • فحوصات الخلفية لجميع موظفي الوصول.
  • تدريب أمان البيانات الإلزامي.
  • سياسات عدم الإفشاء الحازمة.

8. سياسة الاختراقات الأمنية والحماية القانونية

• التزام المنصة بالأمان:
  • تطبق المنصة أفضل معايير الأمان المتاحة عالمياً (ISO 27001, ISO 27018) لحماية البيانات.
  • تستثمر المنصة بشكل مستمر في تحديث البنية التحتية الأمنية والتقنيات الحديثة.
  • تقوم المنصة بفحوصات أمان دورية واختبارات اختراق (Penetration Testing) منتظمة من شركات متخصصة خارجية.
  • تطبق المنصة تشفير متقدم (AES-256, SSL/TLS 1.3) على جميع البيانات.
• حدود المسؤولية في حالة الاختراق:
  • رغم جميع الجهود الأمنية، قد يحدث اختراق بسبب تقنيات متقدمة أو هجمات صفرية (Zero-day attacks) غير معروفة.
  • المنصة لا تتحمل مسؤولية عن الاختراقات التي تتجاوز معايير الأمان الصناعية المعترف بها عالمياً.
  • المنصة لا تتحمل مسؤولية عن الاختراقات الناتجة عن عدم امتثال المستخدم بأفضل الممارسات الأمنية.
• إجراءات الإخطار في حالة الاختراق:
  • عند اكتشاف أي اختراق أو محاولة اختراق، ستخطر المنصة المستخدمين والمتأثرين فوراً.
  • سيتم إخطار السلطات المختصة والجهات التنظيمية خلال الفترة المحددة قانوناً (عادة 72 ساعة).
  • ستقدم المنصة تقرير شامل عن طبيعة الاختراق والبيانات المتأثرة والإجراءات المتخذة للتصحيح.
• عدم المسؤولية في حالات محددة:
  • المنصة لا تتحمل مسؤولية عن الاختراقات الناجمة عن سلوك المستخدم غير الآمن.
  • المنصة لا تتحمل مسؤولية عن الأضرار غير المباشرة (فقدان الأرباح، فقدان الفرص، الأضرار النفسية).
  • المنصة لا تتحمل مسؤولية عن انتشار البيانات بعد الاختراق من قبل المهاجمين أو الأطراف الثالثة.
  • التعويضات محدودة بالحد الأقصى للمسؤولية المنصوص عليه في شروط الاستخدام.

9. فترات الاحتفاظ بالبيانات

يتم الاحتفاظ بالبيانات وفقاً للمتطلبات القانونية والطبية والتالية:

• السجلات الطبية: يتم الاحتفاظ بها طوال مدة العلاقة وفقاً للمتطلبات القانونية المحلية (عادة 7-15 سنة بعد آخر تفاعل).
• البيانات المالية: يتم الاحتفاظ بها لمدة 7 سنوات امتثالاً للمتطلبات الضريبية والمحاسبية.
• سجلات النشاط والأمان: يتم الاحتفاظ بها لمدة 3 سنوات على الأقل.
• بيانات الاستخدام: يتم الاحتفاظ بها لمدة سنة واحدة.
• بيانات الأطراف الثالثة المشاركة: يتم مسح البيانات من الأطراف الثالثة عند نهاية العلاقة.
• البيانات عند إنهاء الاشتراك: عند إنهاء الاشتراك، يتم توفير نسخة من البيانات للعميل لمدة 3 أشهر. بعد انقضاء 3 أشهر من تاريخ إنهاء الاشتراك، سيتم مسح جميع البيانات بشكل نهائي وغير قابل للاسترجاع من خوادمنا، مع الاحتفاظ بنسخ احتياطية محدودة للأغراض القانونية فقط.

10. الامتثال للقوانين والتنظيم

• أنظمة حماية البيانات الشخصية المحلية: تمتثل المنصة بالكامل لجميع الأنظمة والقوانين المحلية المعمول بها في كل دولة.
• لوائح وزارة الصحة: الالتزام بسرية البيانات الطبية ومعايير حفظ السجلات.
• قانون المعاملات الإلكترونية: الالتزام بمتطلبات التوقيع الإلكتروني والأمان.
• اللوائح الدولية: حيث ينطبق GDPR للمستخدمين في الاتحاد الأوروبي والقوانين المحلية الأخرى.
• معايير ISO: الالتزام بـ ISO 27001 لإدارة أمان المعلومات و ISO 27018 لحماية البيانات الشخصية.

11. إجراء البلاغات والشكاوى

في حالة عدم الامتثال أو الانتهاك:

• تقديم شكوى مباشرة إلى فريق الدعم: info@dopa.care
• تقديم شكوى رسمية إلى الجهات التنظيمية والقانونية المختصة في دولتك.
• الحق في تقديم شكوى لديوان المظالم أو سلطات الحماية الأخرى في البلد المقيم فيه.
• يتم التحقيق من جميع البلاغات خلال 30 يوماً والرد على صاحب البلاغ.

12. تحديثات السياسة

قد تقوم المنصة بتحديث هذه السياسة من وقت لآخر لعكس التغييرات القانونية أو التشغيلية. سيتم إخطار المستخدمين بأي تغييرات جوهرية عبر البريد الإلكتروني أو إشعار على المنصة قبل 30 يوماً من دخول التحديثات حيز التنفيذ.