نلتزم بأعلى معايير الأمان لحماية بيانات منسوبينا وزوارنا.
تُدرك (مدارس الثغر النموذجية) -بصفتها مؤسسة تعليمية وإدارية رائدة- الأهمية البالغة للخصوصية وأمن المعلومات. وتلتزم المدارس التزاماً تاماً وصارماً بحماية البيانات الشخصية والوظيفية لكافة منسوبيها (قيادات، معلمين، إداريين، طلاب، وأولياء أمور)، وضمان عدم تعرضها للوصول غير المصرح به، أو التعديل، أو الإفشاء، أو الإتلاف. صُممت هذه الوثيقة ("سياسة الخصوصية وأمن البيانات") لتوضيح المنهجية القانونية والتقنية التي نتبعها في جمع، معالجة، تخزين، وحماية البيانات داخل بوابتنا الإلكترونية وأنظمتنا الداخلية، وذلك بما يتوافق تماماً مع "نظام حماية البيانات الشخصية" والأنظمة ذات العلاقة في المملكة العربية السعودية.
لأغراض تطبيق هذه السياسة، يُقصد بالعبارات التالية المعاني المبينة قرينها: 1.1. المدارس/الجهة المتحكمة: مدارس الثغر النموذجية، وهي الجهة التي تحدد الغرض من معالجة البيانات الشخصية وكيفية ذلك. 1.2. البوابة/النظام: النظام الإلكتروني الداخلي (HRMS/ERP) لمدارس الثغر النموذجية. 1.3. البيانات الشخصية: كل بيان -مهما كان مصدره أو شكله- من شأنه أن يؤدي إلى معرفة الفرد على وجه التحديد، أو يجعله قابلاً للتعرف عليه بصفة مباشرة أو غير مباشرة (مثل: الاسم، رقم الهوية، العناوين، الأرقام الوظيفية، السجلات الأكاديمية). 1.4. البيانات الحساسة: البيانات الشخصية التي تتضمن معلومات صحية، أو بيانات ائتمانية ومالية، أو بيانات القياسات الحيوية (البصمة). 1.5. المعالجة: أي عملية أو مجموعة عمليات تُجرى على البيانات الشخصية، كالجَمْع، والتسجيل، والحفظ، والتعديل، والاسترجاع، والاستخدام، والإفصاح، والإتلاف. 1.6. صاحب البيانات: الشخص الطبيعي (الموظف/المستخدم) الذي تتعلق به البيانات الشخصية.
2.1. تسري هذه السياسة على كافة البيانات التي يتم إدخالها، أو جمعها، أو معالجتها عبر البوابة الإلكترونية لمدارس الثغر النموذجية. 2.2. السيادة الرقمية (Data Sovereignty): التزاماً بالأنظمة السعودية، يتم استضافة وتخزين كافة قواعد البيانات والمعلومات الخاصة بالمدارس داخل النطاق الجغرافي للمملكة العربية السعودية، ويُمنع نقلها أو معالجتها خارج المملكة إلا في الحالات الاستثنائية التي يقرها النظام وتوافق عليها الجهات المختصة.
نقوم بجمع ومعالجة الفئات التالية من البيانات ضمن الحدود الضرورية لأغراض العمل: 3.1. البيانات التعريفية والوظيفية: الاسم الرباعي، رقم الهوية الوطنية/الإقامة، تاريخ الميلاد، الجنسية، المسمى الوظيفي، الإدارة التابع لها، وتاريخ المباشرة. 3.2. بيانات التواصل: رقم الهاتف الجوال، البريد الإلكتروني الرسمي والشخصي، وعنوان السكن الوطني. 3.3. البيانات المالية والتعاقدية: تفاصيل الراتب، رقم الحساب البنكي (الآيبان)، البدلات، الخصومات، والسجلات التأمينية. 3.4. البيانات التشغيلية والأداء: سجلات الحضور والانصراف، الإجازات، تقييم الأداء الوظيفي، ملفات الإنجاز، القرارات، والتكليفات. 3.5. البيانات التقنية (Logs): عنوان بروتوكول الإنترنت (IP Address)، نوع المتصفح، نظام التشغيل، أوقات تسجيل الدخول والخروج، وسجلات التصفح داخل البوابة للتدقيق الأمني.
لا تتم معالجة أي بيانات شخصية إلا لأغراض مشروعة ومحددة، تشمل: 4.1. تنفيذ عقود العمل وإدارة شؤون الموظفين (رواتب، إجازات، ترقيات). 4.2. إصدار وتوثيق القرارات والمذكرات الرسمية والتكليفات الإدارية عبر النظام الآلي. 4.3. الامتثال للمتطلبات القانونية والتنظيمية الصادرة عن الجهات الحكومية (وزارة التعليم، وزارة الموارد البشرية، المؤسسة العامة للتأمينات الاجتماعية). 4.4. حماية المصالح الحيوية للمدارس وتحسين كفاءة العمليات الإدارية والتشغيلية. 4.5. التحقيقات الإدارية، وإدارة الشكاوى، وتأمين وحماية البنية التحتية التقنية للمدارس من الاختراقات.
تُطبق مدارس الثغر النموذجية تدابير تنظيمية وتقنية صارمة ومتوافقة مع معايير الهيئة الوطنية للأمن السيبراني (NCA)، تتضمن: 5.1. التشفير (Encryption): يتم تشفير كافة البيانات الحساسة وكلمات المرور أثناء النقل (عبر بروتوكولات SSL/TLS) وأثناء الحفظ (Data at Rest) باستخدام خوارزميات تشفير متقدمة. 5.2. التحكم في الوصول (RBAC): يُطبق النظام مبدأ "الامتياز الأقل" (Least Privilege)، حيث لا يُمنح الموظف أو المدير صلاحية الوصول إلا للبيانات الضرورية لأداء مهام عمله المحددة. 5.3. المصادقة وتأمين الحسابات: تُلزم المدارس مستخدميها بمعايير كلمات مرور معقدة، ويتم حظر الحسابات تلقائياً عند تكرار محاولات الدخول الفاشلة لمنع هجمات التخمين (Brute-force). 5.4. النسخ الاحتياطي (Backups): تُجرى عمليات نسخ احتياطي دورية (يومية/أسبوعية) لقواعد البيانات، وتُحفظ في خوادم آمنة ومنفصلة لضمان استمرارية الأعمال وحمايتها من هجمات الفدية (Ransomware). 5.5. التدقيق والمراقبة (Audit Trails): يسجل النظام آلياً وبشكل غير قابل للتعديل (Immutable) كافة حركات المستخدمين، بما في ذلك أوقات استعراض القرارات، وتعديل البيانات، لتكون مرجعاً أمنياً وقانونياً عند الحاجة.
بموجب نظام حماية البيانات الشخصية السعودي، يتمتع الموظف/المستخدم بالحقوق التالية: 6.1. الحق في العلم: معرفة الغرض من جمع بياناته والأساس النظامي لذلك. 6.2. الحق في الوصول: يحق للموظف استعراض بياناته الشخصية والوظيفية وملف إنجازه المحفوظ في النظام. 6.3. الحق في التصحيح: يحق للموظف طلب تصحيح أو تحديث بياناته الشخصية متى ما كانت غير دقيقة أو غير مكتملة، مع تقديم ما يثبت ذلك. 6.4. الحق في الإتلاف: طلب مسح البيانات في حالات محددة، شريطة ألا يتعارض ذلك مع متطلبات نظام العمل أو الأنظمة الحكومية التي تُلزم المدارس بالاحتفاظ بسجلات الموظفين لفترات قانونية محددة.
تلتزم مدارس الثغر النموذجية بالسرية المطلقة للبيانات، ولا يتم مشاركتها أو الإفصاح عنها لأي طرف ثالث إلا في الحالات التالية: 7.1. وجود موافقة صريحة وموثقة من صاحب البيانات. 7.2. التكامل والربط التقني مع المنصات الحكومية الإلزامية (مثل نظام نور، منصة قوى، مدد، أبشر، والتأمينات الاجتماعية). 7.3. صدور أمر قضائي، أو طلب رسمي من جهة أمنية أو رقابية مختصة في المملكة العربية السعودية. 7.4. لغرض تقديم الخدمات الصحية أو التأمينية (مثل شركات التأمين الطبي) وذلك في أضيق الحدود وللبيانات الضرورية فقط. 7.5. يُمنع منعاً باتاً بيع، أو تأجير، أو تداول بيانات الموظفين أو الطلاب لأي جهات تجارية أو تسويقية بأي حال من الأحوال.
8.1. تحتفظ مدارس الثغر النموذجية بالبيانات الشخصية والوظيفية طوال فترة سريان العقد مع الموظف. 8.2. بعد انتهاء العلاقة التعاقدية (الاستقالة، نهاية الخدمة)، يتم أرشفة البيانات والاحتفاظ بها للمدة القانونية التي تحددها أنظمة (وزارة الموارد البشرية) و(التأمينات الاجتماعية) لأغراض تسوية المستحقات والمطالبات العمالية المحتملة. 8.3. بمجرد انقضاء المدة القانونية لمتطلبات الاحتفاظ، تلتزم المدارس بإتلاف البيانات الشخصية إتلافاً آمناً يضمن عدم إمكانية استرجاعها، وفقاً لأفضل الممارسات التقنية.
باعتبار الموظف جزءاً من منظومة الأمن السيبراني للمدارس، فإنه يلتزم بالتالي: 9.1. المحافظة على سرية بيانات الدخول الخاصة به، وعدم تدوينها في أماكن مكشوفة أو إفشائها لأي شخص. 9.2. عدم استخدام أجهزة حاسوب عامة أو شبكات (Wi-Fi) غير آمنة للوصول إلى أنظمة المدارس والبيانات الحساسة. 9.3. الالتزام المطلق بـ "سياسة المكتب النظيف والشاشة النظيفة" (Clean Desk & Clear Screen) وإقفال الشاشة (Lock Screen) عند مغادرة المكتب لمنع الاطلاع غير المصرح به. 9.4. يُحظر تصوير الشاشات، أو استخراج تقارير، أو تحميل قواعد بيانات ونقلها إلى أجهزة شخصية أو وسائط تخزين خارجية (USB) غير معتمدة من إدارة تقنية المعلومات. 9.5. الالتزام بالإبلاغ الفوري عن أي رسائل مشبوهة (تصيّد إحتيالي Phishing) أو أي خلل أمني يلاحظه في البوابة.
10.1. في حال تعرض البوابة لأي اختراق أمني، أو تسريب للبيانات الشخصية، تلتزم المدارس بتفعيل "خطة الاستجابة للحوادث السيبرانية" فوراً لاحتواء الضرر. 10.2. تلتزم المدارس بإشعار (الجهة المختصة بموجب نظام حماية البيانات الشخصية) خلال (72) ساعة من علمها بالاختراق، إذا كان من شأن ذلك الاختراق أن يشكل خطراً جسيماً على حقوق أصحاب البيانات. 10.3. يتم إشعار الموظفين المتضررين آلياً ورسمياً بتفاصيل الاختراق، ونوع البيانات المتأثرة، والخطوات التي تم اتخاذها لحمايتهم.
11.1. تستخدم البوابة ملفات تعريف الارتباط الوظيفية (Functional Cookies) والتقنيات المشابهة لضمان عمل النظام بشكل سليم، ولإدارة جلسات الدخول (Sessions)، وتوثيق التوقيعات الإلكترونية. 11.2. لا تقوم البوابة بجمع أي بيانات تتبعية لغرض الإعلانات الموجهة. ويعتبر دخول النظام بمثابة موافقة على استخدام ملفات الارتباط التشغيلية والأمنية الضرورية لعمل البوابة.
12.1. تخضع هذه السياسة للمراجعة الدورية من قبل (إدارة تقنية المعلومات والموارد البشرية) لضمان توافقها المستمر مع الأنظمة الوطنية والتطورات التقنية. 12.2. تحتفظ مدارس الثغر النموذجية بالحق في تعديل هذه السياسة متى دعت الحاجة. وفي حال إجراء تعديلات جوهرية، سيتم نشر النسخة المحدثة عبر البوابة وإرسال تعميم آلي لكافة المستخدمين. استمرار استخدام النظام بعد التحديث يُعد موافقة صريحة على السياسة المعدلة.
13.1. يُعد خرق أو انتهاك أي بند من بنود "سياسة الخصوصية وأمن البيانات" مخالفة جسيمة تستوجب اتخاذ الإجراءات التأديبية الفورية وفقاً للائحة تنظيم العمل الداخلية للمدارس. 13.2. في حال قيام المستخدم بتسريب بيانات حساسة أو تدمير قواعد البيانات عمداً، يحق للمدارس فصل الموظف دون إشعار أو مكافأة (وفقاً للمادة 80 من نظام العمل)، مع الاحتفاظ بالحق المطلق في إحالة الجاني للجهات القضائية المختصة لتطبيق عقوبات (نظام مكافحة جرائم المعلوماتية).
أقر أنا الموظف/المستخدم في مدارس الثغر النموذجية، بأنني قد اطلعت على كافة مواد وبنود "سياسة الخصوصية وأمن البيانات" الموضحة أعلاه، وفهمت محتواها فهماً دقيقاً. وأُقر بالتزامي التام بالحفاظ على سرية البيانات المؤسسية والشخصية التي أطلع عليها بحكم وظيفتي، وأتفهم أن أي تجاوز لهذه السياسة يعرضني للمساءلة الإدارية والقانونية والجزائية بموجب أنظمة المملكة العربية السعودية.