1. Introduction
2. استخدام التشفير
حيثما كان ذلك مناسبًا لتصنيف المعلومات ووسيلة التخزين، تم استخدام تقنيات التشفير لضمان سرية وسلامة السجلات.
لقد تم بذل العناية المطلقة لضمان تخزين مفاتيح التشفير المستخدمة لتشفير السجلات بشكل آمن طوال عمر السجلات ذات الصلة والامتثال لسياسة المنظمة بشأن التشفير.
2.1 اللائحة العامة لحماية البيانات في الاتحاد الأوروبي - الناتج المحلي الإجمالي
تعد اللائحة العامة لحماية البيانات لعام 2016 (GDPR) واحدة من أهم التشريعات التي تؤثر على الطريقة التي تنفذ بها OIS أنشطة معالجة المعلومات الخاصة بها. يتم تطبيق غرامات كبيرة إذا تم اعتبار حدوث انتهاك بموجب اللائحة العامة لحماية البيانات (GDPR)، والتي تم تصميمها لحماية البيانات الشخصية لمواطني الاتحاد الأوروبي. إن سياسة OIS هي التأكد من أن امتثالنا للائحة العامة لحماية البيانات والتشريعات الأخرى ذات الصلة واضح وقابل للإثبات في جميع الأوقات.
2.2 التعريفات
يوجد إجمالي 26 تعريفًا مدرجًا في اللائحة العامة لحماية البيانات وليس من المناسب إعادة إنتاجها جميعًا هنا. ومع ذلك، فإن التعريفات الأساسية فيما يتعلق بهذه السياسة هي كما يلي:
يتم تعريف البيانات الشخصية على النحو التالي:
أي معلومات تتعلق بشخص طبيعي محدد أو يمكن تحديد هويته ('موضوع البيانات'); الشخص الطبيعي الذي يمكن تحديد هويته هو الشخص الذي يمكن التعرف عليه، بشكل مباشر أو غير مباشر، ولا سيما بالرجوع إلى معرف مثل الاسم أو رقم التعريف أو بيانات الموقع أو معرف عبر الإنترنت أو إلى واحد أو أكثر من العوامل المحددة للعوامل الجسدية أو الفسيولوجية أو الهوية الجينية أو العقلية أو الاقتصادية أو الثقافية أو الاجتماعية لذلك الشخص الطبيعي؛
تعني 'المعالجة'
أي عملية أو مجموعة من العمليات يتم إجراؤها على البيانات الشخصية أو على مجموعات من البيانات الشخصية، سواء بوسائل آلية أم لا، مثل التجميع أو التسجيل أو التنظيم أو الهيكلة أو التخزين أو التكيف أو التغيير أو الاسترجاع أو التشاور أو الاستخدام أو الكشف عن طريق النقل أو النشر أو الإتاحة بطريقة أخرى أو المواءمة أو الجمع أو التقييد أو المحو أو التدمير؛
'وحدة التحكم' تعني
الشخص الطبيعي أو الاعتباري أو السلطة العامة أو الوكالة أو أي هيئة أخرى تحدد، بمفردها أو بالاشتراك مع آخرين، أغراض ووسائل معالجة البيانات الشخصية؛ عندما يتم تحديد أغراض ووسائل هذه المعالجة بموجب قانون الاتحاد أو الدول الأعضاء، يجوز توفير المراقب المالي أو المعايير المحددة لترشيحه بموجب قانون الاتحاد أو الدول الأعضاء؛
2.3 المبادئ المتعلقة بمعالجة البيانات الشخصية
هناك عدد من المبادئ الأساسية التي يرتكز عليها القانون العام لحماية البيانات.
وهذه هي كما يلي:
1. البيانات الشخصية يجب أن تكون:
(أ) معالجتها بطريقة قانونية وعادلة وشفافة فيما يتعلق بصاحب البيانات ('القانونية والإنصاف والشفافية')؛
(ب) تم جمعها لأغراض محددة وصريحة ومشروعة ولم يتم معالجتها بطريقة لا تتوافق مع تلك الأغراض؛ لا تعتبر المعالجة الإضافية لأغراض الأرشفة من أجل المصلحة العامة أو أغراض البحث العلمي أو التاريخي أو الأغراض الإحصائية، وفقًا للمادة 89 (1)، غير متوافقة مع الأغراض الأولية ('تحديد الغرض')؛
(ج) كافية وذات صلة ومحدودة بما هو ضروري فيما يتعلق بالأغراض التي تتم معالجتها من أجلها ('تقليل البيانات')؛
(د) دقيقة وحديثة عند الضرورة؛ يجب اتخاذ كل خطوة معقولة لضمان مسح أو تصحيح البيانات الشخصية غير الدقيقة، مع مراعاة الأغراض التي تتم معالجتها من أجلها، دون تأخير ('الدقة')؛
(هـ) يتم الاحتفاظ بها في نموذج يسمح بتحديد أصحاب البيانات لمدة لا تزيد عن ما هو ضروري للأغراض التي تتم معالجة البيانات الشخصية من أجلها؛ يجوز تخزين البيانات الشخصية لفترات أطول بقدر ما ستتم معالجة البيانات الشخصية فقط لأغراض الأرشفة للمصلحة العامة أو أغراض البحث العلمي أو التاريخي أو الأغراض الإحصائية وفقًا للمادة 89 (1) بشرط تنفيذ الإجراءات الفنية والتنظيمية المناسبة التدابير التي تتطلبها هذه اللائحة من أجل حماية حقوق وحريات صاحب البيانات ('قيود التخزين')؛
(و) معالجتها بطريقة تضمن الأمان المناسب للبيانات الشخصية، بما في ذلك الحماية من المعالجة غير المصرح بها أو غير القانونية وضد الفقدان العرضي أو التدمير أو الضرر، باستخدام التدابير الفنية أو التنظيمية المناسبة ('النزاهة والسرية').
(و) معالجتها بطريقة تضمن الأمان المناسب للبيانات الشخصية، بما في ذلك الحماية من المعالجة غير المصرح بها أو غير القانونية وضد الفقدان العرضي أو التدمير أو الضرر، باستخدام التدابير الفنية أو التنظيمية المناسبة ('النزاهة والسرية').
ستضمن OIS امتثالها لجميع هذه المبادئ سواء في المعالجة التي تقوم بها حاليًا أو كجزء من إدخال أساليب جديدة للمعالجة مثل أنظمة تكنولوجيا المعلومات الجديدة.
2.4 حقوق الفرد
يتمتع صاحب البيانات أيضًا بحقوق بموجب اللائحة العامة لحماية البيانات. هذه تتكون من:
الحق في الحصول على المعلومات
الحق في الوصول
الحق في التصحيح
الحق في المحو
الحق في تقييد المعالجة
الحق في إمكانية نقل البيانات
الحق في الاعتراض< br>الحقوق المتعلقة باتخاذ القرار الآلي والتوصيف
يتم دعم كل حق من هذه الحقوق من خلال الإجراءات المناسبة داخل OIS والتي تسمح باتخاذ الإجراء المطلوب ضمن الجداول الزمنية المنصوص عليها في اللائحة العامة لحماية البيانات.
وتظهر هذه الجداول الزمنية في الجدول 1.
طلب موضوع البيانات |
الجدول الزمني |
الحق في الحصول على المعلومات |
عند جمع البيانات (إذا تم توفيرها بواسطة صاحب البيانات) أو خلال شهر واحد (إذا لم يتم توفيرها بواسطة صاحب البيانات) |
حق الوصول |
شهر واحد |
الحق في التصحيح |
شهر واحد |
الحق في المحو |
بدون تأخير لا مبرر له |
الحق في تقييد المعالجة |
بدون تأخير لا مبرر له |
الحق في إمكانية نقل البيانات |
شهر واحد |
الحق في الاعتراض |
عند استلام الاعتراض |
الجدول 1 - الجداول الزمنية لطلبات موضوع البيانات
2.5 مشروعية المعالجة
هناك ست طرق بديلة يمكن من خلالها تحديد مشروعية حالة معينة لمعالجة البيانات الشخصية بموجب اللائحة العامة لحماية البيانات. تتمثل سياسة OIS في تحديد الأساس المناسب للمعالجة وتوثيقه، وفقًا للائحة. يتم وصف الخيارات باختصار في الأقسام التالية.
2.5.1 الموافقة
ما لم يكن ذلك ضروريًا لسبب مسموح به في اللائحة العامة لحماية البيانات، ستحصل OIS دائمًا على موافقة صريحة من صاحب البيانات لجمع بياناته ومعالجتها. في حالة الأطفال الذين تقل أعمارهم عن 16 عامًا (قد يكون السن الأقل مسموحًا به في بعض الدول الأعضاء في الاتحاد الأوروبي) سيتم الحصول على موافقة الوالدين. سيتم توفير معلومات شفافة حول استخدامنا لبياناتهم الشخصية لأصحاب البيانات في وقت الحصول على الموافقة وشرح حقوقهم فيما يتعلق ببياناتهم، مثل الحق في سحب الموافقة. سيتم توفير هذه المعلومات في شكل يسهل الوصول إليه، ومكتوبة بلغة واضحة ومجانية. إذا لم يتم الحصول على البيانات الشخصية مباشرة من صاحب البيانات، فسيتم تقديم هذه المعلومات إلى صاحب البيانات خلال فترة معقولة بعد الحصول على البيانات وبالتأكيد خلال شهر واحد.
2.5.2 أداء العقد
عندما تكون البيانات الشخصية التي تم جمعها ومعالجتها مطلوبة للوفاء بعقد مع صاحب البيانات، لا يلزم الحصول على موافقة صريحة. سيكون هذا هو الحال غالبًا عندما لا يمكن إكمال العقد بدون البيانات الشخصية المعنية، على سبيل المثال. لا يمكن أن يتم التسليم دون عنوان للتوصيل إليه.
2.5.3 الالتزام القانوني
إذا كان من الضروري جمع البيانات الشخصية ومعالجتها من أجل الامتثال للقانون، فلن تكون هناك حاجة إلى موافقة صريحة. وقد يكون هذا هو الحال بالنسبة لبعض البيانات المتعلقة بالتوظيف والضرائب على سبيل المثال، وبالنسبة للعديد من المجالات التي يتناولها القطاع العام.
2.5.4 الاهتمامات الحيوية لصاحب البيانات
في الحالة التي تكون فيها البيانات الشخصية مطلوبة لحماية المصالح الحيوية لصاحب البيانات أو لشخص طبيعي آخر، فيمكن استخدام ذلك كأساس قانوني للمعالجة. سوف تحتفظ OIS بأدلة معقولة وموثقة تثبت أن هذا هو الحال، عندما يتم استخدام هذا السبب كأساس قانوني لمعالجة البيانات الشخصية. على سبيل المثال، يمكن استخدام هذا في جوانب الرعاية الاجتماعية، وخاصة في القطاع العام.
2.5.5 المهمة التي يتم تنفيذها للمصلحة العامة
عندما تحتاج OIS إلى أداء مهمة تعتقد أنها تصب في المصلحة العامة أو كجزء من واجب رسمي، فلن يتم طلب موافقة صاحب البيانات. سيتم توثيق تقييم المصلحة العامة أو الواجب الرسمي وإتاحته كدليل عند الاقتضاء.
2.5.6 المصالح المشروعة
إذا كانت معالجة بيانات شخصية محددة في المصالح المشروعة لـ OIS ويُحكم أنها لا تؤثر على حقوق وحريات صاحب البيانات بطريقة كبيرة، فيمكن تعريف ذلك على أنه السبب القانوني للمعالجة. ومرة أخرى، سيتم توثيق الأسباب الكامنة وراء هذا الرأي.
2.6 الخصوصية حسب التصميم
اعتمدت OIS مبدأ الخصوصية حسب التصميم وستضمن أن تعريف وتخطيط جميع الأنظمة الجديدة أو التي تم تغييرها بشكل كبير والتي تجمع أو تعالج البيانات الشخصية ستخضع للمراعاة الواجبة لقضايا الخصوصية، بما في ذلك استكمال واحد أو أكثر من آثار حماية البيانات التقييمات.
سيشمل تقييم تأثير حماية البيانات ما يلي:
النظر في كيفية معالجة البيانات الشخصية ولأي أغراض
تقييم ما إذا كانت المعالجة المقترحة للبيانات الشخصية ضرورية ومتناسبة مع الغرض (الأغراض)
تقييم المخاطر التي يتعرض لها الأفراد في معالجة البيانات الشخصية
ما هي الضوابط اللازمة لمعالجة المخاطر المحددة وإثبات الامتثال للتشريعات
سيتم النظر في استخدام تقنيات مثل تقليل البيانات والأسماء المستعارة حيثما كان ذلك ممكنًا ومناسبًا.
2.7 العقود التي تتضمن معالجة البيانات الشخصية
ستضمن OIS أن جميع العلاقات التي تدخل فيها والتي تتضمن معالجة البيانات الشخصية تخضع لعقد موثق يتضمن المعلومات والشروط المحددة التي يتطلبها القانون العام لحماية البيانات. لمزيد من المعلومات، راجع معالج وحدة تحكم القانون العام لحماية البيانات (GDPR).
سياسة الاتفاقية
2.8 عمليات النقل الدولي للبيانات الشخصية
ستتم مراجعة عمليات نقل البيانات الشخصية خارج الاتحاد الأوروبي بعناية قبل إجراء النقل للتأكد من أنها تقع ضمن الحدود التي يفرضها القانون العام لحماية البيانات. يعتمد هذا جزئيًا على حكم المفوضية الأوروبية فيما يتعلق بمدى كفاية الضمانات المتعلقة بالبيانات الشخصية المطبقة في البلد المتلقي وقد يتغير هذا بمرور الوقت.
ستخضع عمليات نقل البيانات الدولية داخل المجموعة إلى اتفاقيات ملزمة قانونًا مشار إليها إلى قواعد الشركة الملزمة (BCR) التي توفر حقوقًا قابلة للتنفيذ لأصحاب البيانات.
2.9 مسؤول حماية البيانات
مطلوب دور محدد لمسؤول حماية البيانات (DPO) بموجب اللائحة العامة لحماية البيانات (GDPR) إذا كانت المنظمة عبارة عن سلطة عامة، أو إذا كانت تقوم بمراقبة واسعة النطاق أو إذا كانت تعالج أنواعًا حساسة بشكل خاص من البيانات على نطاق واسع. مطلوب من DPO أن يتمتع بمستوى مناسب من المعرفة ويمكن أن يكون إما موردًا داخليًا أو يتم الاستعانة بمصادر خارجية لمزود خدمة مناسب.
بناءً على هذه المعايير، تم تعيين OIS مسؤولاً عن حماية البيانات، وفيما يلي تفاصيل الاتصال:
الاسم: أرشيبالد كوكر
البريد الإلكتروني: acoker@oisservices.com
جهة الاتصال: +44 (0) 207 832 0001
2.10 إشعار الانتهاك
إن سياسة OIS هي أن تكون عادلة ومتناسبة عند النظر في الإجراءات التي سيتم اتخاذها لإبلاغ الأطراف المتضررة فيما يتعلق بانتهاكات البيانات الشخصية. تماشيًا مع اللائحة العامة لحماية البيانات، عندما يكون من المعروف حدوث انتهاك من المحتمل أن يؤدي إلى خطر على حقوق الأفراد وحرياتهم، سيتم إبلاغ السلطة الإشرافية ذات الصلة في غضون 72 ساعة. وستتم إدارة ذلك وفقًا لإجراءات الاستجابة لحوادث أمن المعلومات لدينا والتي تحدد العملية الشاملة للتعامل مع حوادث أمن المعلومات.
وبموجب اللائحة العامة لحماية البيانات، تتمتع إدارة حماية البيانات ذات الصلة بسلطة فرض مجموعة من الغرامات تصل إلى أربعة بالمائة من حجم المبيعات السنوية في جميع أنحاء العالم أو عشرين مليون يورو، أيهما أعلى، بسبب مخالفات اللوائح.
2.11 معالجة الامتثال للائحة العامة لحماية البيانات
يتم اتخاذ الإجراءات التالية لضمان امتثال OIS في جميع الأوقات لمبدأ المساءلة في اللائحة العامة لحماية البيانات:
-
الأساس القانوني لمعالجة البيانات الشخصية واضح ولا لبس فيه
-
يتم تعيين مسؤول حماية البيانات بمسؤولية محددة لحماية البيانات في المنظمة (إذا لزم الأمر)
-
يفهم جميع الموظفين المشاركين في التعامل مع البيانات الشخصية مسؤولياتهم في اتباع الممارسات الجيدة لحماية البيانات
-
تم توفير التدريب على حماية البيانات لجميع الموظفين
-
يتم اتباع القواعد المتعلقة بالموافقة
-
تتوفر الطرق لأصحاب البيانات الراغبين في ممارسة حقوقهم فيما يتعلق بالبيانات الشخصية ويتم التعامل مع هذه الاستفسارات بشكل فعال
-
يتم إجراء مراجعات منتظمة للإجراءات المتعلقة بالبيانات الشخصية
-
يتم اعتماد الخصوصية حسب التصميم لجميع الأنظمة والعمليات الجديدة أو المتغيرة
يتم تسجيل الوثائق التالية لأنشطة المعالجة:
-
اسم المنظمة والتفاصيل ذات الصلة
-
أغراض معالجة البيانات الشخصية
-
فئات الأفراد والبيانات الشخصية التي تتم معالجتها
-
فئات مستلمي البيانات الشخصية
-
اتفاقيات وآليات نقل البيانات الشخصية إلى دول خارج الاتحاد الأوروبي بما في ذلك تفاصيل الضوابط المعمول بها
-
جداول الاحتفاظ بالبيانات الشخصية
-
وجود الضوابط الفنية والتنظيمية ذات الصلة
تتم مراجعة هذه الإجراءات بشكل منتظم كجزء من عملية الإدارة المعنية بحماية البيانات.
مبادئ حماية البيانات
هناك 8 مبادئ لحماية البيانات تضمن قيام المؤسسات بجمع البيانات الشخصية وتخزينها ومعالجتها بطريقة تحمي سرية العملاء. وترد هذه المبادئ في الجدول 1 من القانون وهي كما يلي:
أنا. يجب التعامل مع البيانات بشكل عادل وقانوني
لدينا أسباب مشروعة للحصول على بيانات العملاء وتخزينها ومعالجتها، وهي مساعدتك في الحصول على جواز سفر وتأشيرة ولأغراض أخرى يسمح بها القانون والعقود المبرمة بيننا وبين عملائنا . نحن نضمن عدم استخدام بياناتك في أي شيء غير قانوني.
ثانيا. لا يجوز الحصول على البيانات الشخصية إلا لغرض واحد أو أكثر من الأغراض المحددة والمشروعة، ولا يجوز معالجتها بأي طريقة تتعارض مع هذا الغرض أو تلك الأغراض.
نظرًا لطبيعة وظيفتنا، والغرض الذي تقدمه من أجله بياناتك الشخصية واضحة لك ولنا. لن نستخدم بياناتك لأي غرض آخر لا يتوافق مع الغرض الأصلي ما لم تمنحنا موافقتك أولاً أو نكون ملزمين بموجب القانون بالقيام بذلك.
ثالثا. يجب أن تكون البيانات الشخصية كافية وذات صلة وليست مفرطة فيما يتعلق بالغرض أو الأغراض التي تتم معالجتها من أجلها.
سنأخذ فقط المعلومات التي نعتبرها ذات صلة وكافية لتسليم عقدنا معك.
رابعا. يجب أن تكون البيانات الشخصية دقيقة، ويتم تحديثها عند الضرورة.
نحن نضمن أن البيانات الشخصية التي تقدمها لنا صحيحة وغير مضللة. نحقق ذلك من خلال إعطائك الفرصة للتأكد من المعلومات التي تقدمها لنا وكذلك من خلال طلب إثبات مستندي عند الضرورة. إذا كانت هناك تغييرات ذات صلة في بياناتك الشخصية، على سبيل المثال، تغيير الاسم أو الجنسية، فيرجى إبلاغنا بذلك في أقرب وقت ممكن حتى نتمكن من تحديث السجل الخاص بك.
v. لا يجوز الاحتفاظ بالبيانات الشخصية التي تتم معالجتها لأي غرض أو أغراض لفترة أطول مما هو ضروري لهذا الغرض أو تلك الأغراض.
سنقوم، من وقت لآخر، بمراجعة قاعدة البيانات الخاصة بنا لمعرفة ما إذا كانت بعض البيانات الشخصية لا تزال مطلوبة ليتم تخزينها من قبلنا. إذا تم تحقيق الغرض الذي تم تخزينها من أجله، ونرى أنه لم يعد من الضروري الاستمرار في تخزينها، فسنقوم بحذفها بشكل آمن.
السادس. تتم معالجة البيانات الشخصية وفقًا لحقوق أصحاب البيانات بموجب هذا القانون.
سنقوم بمعالجة بياناتك الشخصية بطريقة تمكنك من القيام بأي مما يلي:
-
حق الوصول إلى نسخة من بياناتك الشخصية، والمعروف باسم 'طلب الوصول إلى الموضوع'. الرسوم الحالية لذلك هي 10 جنيهات إسترلينية لكل طلب قياسي ونهدف إلى تقديم ذلك في غضون 14 يومًا. ينبغي تقديم طلب الوصول إلى الموضوع إلى info@oisservices.com عن طريق البريد الإلكتروني أو عن طريق البريد رئيس المركز، OIS Services، 56-57 Fleet street, EC4Y 1JU, London
-
الحق في الاعتراض على معالجة بياناتك الشخصية بطريقة من المحتمل أن تسبب ضررًا أو إزعاجًا لك؛
-
الحق في منع معالجة بياناتك الشخصية بطريقة لا تتوافق مع الغرض أو الأغراض الأصلية؛
-
الحق في الاعتراض على القرارات التي يتم اتخاذها بالوسائل الآلية؛
-
الحق، عند الاقتضاء، في تصحيح البيانات الشخصية غير الدقيقة أو حظرها أو حذفها، و
-
الحق في المطالبة بالتعويض عن الأضرار الناجمة عن خرق القانون.
سابعا. أمان البيانات الشخصية
يتم الاحتفاظ ببياناتك الشخصية في بيئة آمنة للغاية ماديًا وتقنيًا. المناطق التي يتم فيها الاحتفاظ بالبيانات الشخصية هي خارج نطاق جميع الأشخاص غير المصرح لهم. لا يمكن الوصول إلى هذه الأجزاء من المبنى إلا عن طريق المفتاح الإلكتروني الصادر فقط للأشخاص المصرح لهم بذلك. لا يمكن الوصول إلى بياناتك الشخصية على النظام إلا من قبل الأشخاص المصرح لهم بذلك. يمكن فقط لهؤلاء الأشخاص المصرح لهم تغيير بياناتك الشخصية أو الكشف عنها أو تدميرها. علاوة على ذلك، لا يمكن لهؤلاء الأشخاص المرخص لهم القيام بأي من هذه المهام إلا في سياق واجباتهم القانونية. ولذلك، فإن فرص معالجة بياناتك الشخصية بشكل غير قانوني أو إتلافها أو تدميرها أو فقدانها عن طريق الخطأ تكون ضئيلة للغاية.
علاوة على ذلك، فإن سياستنا هي ضمان ما يلي:
-
كل موظف معتمد لديه حق الوصول إلى البيانات الشخصية لديه كلمة المرور الخاصة به والتي لا تتم مشاركتها مع أشخاص آخرين،
-
يتم استخدام برامج الأمان وجدار الحماية المعتمدة لحماية بياناتنا،
-
يتم تمزيق البيانات الشخصية المطبوعة غير المستخدمة،
-
نحن لا نشجع تخزين البيانات الشخصية على أجهزة الكمبيوتر المحمولة وغيرها من الأجهزة المحمولة والوسائط، ولكن إذا حدث ذلك، فيجب إغلاقها بشكل آمن وعدم إخراجها من المكتب.
ثامنا. نقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية
لن يتم نقل بياناتك الشخصية إلى بلد أو إقليم خارج المنطقة الاقتصادية الأوروبية ما لم يضمن هذا البلد أو الإقليم مستوى مناسبًا من الحماية لحقوق وحريات أصحاب البيانات فيما يتعلق لمعالجة البيانات الشخصية. لا يوجد سوى عدد قليل من المقاطعات خارج المنطقة الاقتصادية الأوروبية التي تم قبولها باعتبارها تتمتع بمستويات كافية من الحماية لمعالجة البيانات الشخصية مقارنة بدول المنطقة الاقتصادية الأوروبية. عندما نقوم بنقل البيانات الشخصية إلى الولايات المتحدة الأمريكية، فإننا نتأكد من أن المستلم هو أحد الموقعين على برنامج الملاذ الآمن التابع لوزارة التجارة الأمريكية. تم الاعتراف بهذا المخطط من قبل المفوضية الأوروبية باعتباره يوفر الحماية الكافية لأصحاب البيانات. فيما يتعلق بالدول الأخرى خارج المنطقة الاقتصادية الأوروبية التي لم يتم قبولها باعتبارها تتمتع بأمان وضمانات مكافئة لمعالجة البيانات الشخصية، فإننا إما نوقع عقدًا منفصلاً، تتم الموافقة على شروطه بموجب التوجيهات الأوروبية أو نتأكد من وجود بند في العقد الذي يحمي معالجة البيانات الشخصية لجميع عملائنا.