اختبار تقييم شخصي للمعلومات في نظام حماية البيانات

20 سؤال

1. هل تُعد البيانات بيانات شخصية إذا لم تُعرّف الشخص إلا عند ربطها ببيانات أخرى؟

لا، التعريف غير المباشر مستبعد نعم، إذا كان التعريف ممكنًا بشكل معقول فقط إذا كانت نية المتحكم هي التعريف بالشخص فقط عند الربط مع بيانات خارجية

2. هل تُعد البيانات بيانات شخصية إذا لم تُعرّف الشخص إلا عند ربطها ببيانات أخرى؟

لا، التعريف غير المباشر مستبعد نعم، إذا كان التعريف ممكنًا بشكل معقول فقط إذا كانت نية المتحكم هي التعريف فقط عند الربط ببيانات خارجية

3. أي عامل يحدد ما إذا كان البريد الوظيفي يُعد بيانات شخصية؟

ملكية البريد للشركة إمكانية ربط الحساب بشخص طبيعي احتواؤه على الاسم الكامل للموظف كون البريد منشورًا للعامة على موقع

4. توزيع الشخص لبطاقة عمل (Business Card) يعني غالبًا:

موافقة غير محدودة لأي استخدام مستقبلي موافقة ضمنية محدودة للتواصل المهني ضمن السياق الموافقة لا تتحقق إلا بنموذج توقيع مستقل لا توجد موافقة لأن المشاركة كانت طوعية

5. أي ممارسة تُعد مخالفة حتى لو وُجدت موافقة عامة؟

المعالجة ضمن الغرض المعلن فقط توسيع المعالجة لغرض جديد غير مُعلن وقت الجمع تطبيق التشفير أثناء التخزين تطبيق التحكم بالوصول حسب الأدوار

6. ما أقوى مؤشر أن البيانات «تُعرّف الشخص بشكل غير مباشر»؟

محفوظة في قاعدة بيانات آمنة يمكن ربطها بمعرّف فريد لموظف/عميل تُستخدم داخليًا فقط مشفرة أثناء النقل

7. متى يكون الاحتفاظ بالبيانات مخالفًا بشكل واضح لمبادئ PDPL؟

عند الاحتفاظ بها في أرشيف مشفر عند انتهاء الغرض وعدم وجود مسوغ نظامي للاستمرار عند اعتماد الاحتفاظ من قسم تقنية المعلومات عند التخزين داخل المملكة

8. ما الوصف الأدق لمبدأ تقليل البيانات؟

جمع كل ما قد يفيد ثم حمايته جمع الحد الأدنى الضروري لتحقيق الغرض المحدد جمع بيانات أكثر طالما توجد موافقة توحيد جمع نفس الحقول لكل الخدمات

9. متى يكون نقل البيانات خارج المملكة غير نظامي بشكل واضح؟

إذا كانت البيانات غير حساسة إذا وُجدت موافقة لكن لم تتحقق شروط/إذن الجهة المختصة إذا كان النقل مشفرًا إذا كان المستلم مزودًا معروفًا

10. أي ممارسة تضعف الشفافية بشكل مباشر؟

نشر إشعار خصوصية واضح بلغة بسيطة استخدام أغراض عامة مثل «للاحتياجات التشغيلية» بلا تحديد تحديد فترات احتفاظ توفير قناة لطلبات الخصوصية

11. من يتحمل المسؤولية الأساسية (Accountability) عن الامتثال في ترتيبات المعالجة؟

المعالج لأنه ينفذ المعالجة المتحكم لأنه يحدد الغرض والوسيلة مزود السحابة لأنه يستضيف البيانات مسؤول حماية البيانات لأنه يشرف

12. أي سيناريو يُعد معالجة غير عادلة بوضوح؟

استخدام البيانات لغرض متوقع منطقيًا استخدام البيانات لغرض ثانوي مخفي غير مرتبط بالإشعار تقييد الوصول للمصرح لهم تشفير النسخ الاحتياطية

13. متى لا يكون إشعار صاحب البيانات بالخرق مطلوبًا عادةً؟

إذا كان الخرق داخليًا فقط إذا لم يترتب ضرر فعلي أو محتمل على صاحب البيانات إذا تم الإصلاح خلال 24 ساعة إذا تم تحديث النظام المتأثر

14. أي وضع تنظيمي يُضعف استقلالية مسؤول حماية البيانات (DPO) أكثر؟

DPO يقدم استشارات لفرق المشاريع DPO يتبع إداريًا للوحدة الخاضعة لرقابته DPO لديه وصول مباشر للإدارة العليا DPO يمكنه الوصول لسجلات المعالجة

15. كيف يُفهم «الغرض المرتبط» بشكل أدق؟

أي غرض يفيد المنشأة غرض مرتبط منطقيًا ومتوقع ضمن السياق أي غرض داخلي غير معلن غرض يحدده المدير وفق تقديره

16. أي عنصر وحده يُعد الأقل كفاية كدليل امتثال أثناء التدقيق؟

سياسة خصوصية موثقة ضوابط تقنية دون إجراءات/حوكمة موثقة سجل أنشطة المعالجة إشعار خصوصية منشور

17. بريد وظيفي مثل 46633@company.com يُعد بيانات شخصية عندما:

هو مملوك للشركة يمكن ربطه داخليًا بهوية موظف محدد غير معروف للعامة يُستخدم لأغراض العمل فقط

18. أي مؤشر يُعد امتثالًا شكليًا عالي المخاطر؟

تعيين DPO بلا صلاحيات أو موارد أو مسار تصعيد الاحتفاظ بسجلات التدقيق تنفيذ مراجعات دورية للصلاحيات تصنيف البيانات حسب الحساسية

19. تكون الموافقة أكثر صحة عندما تكون:

مضمنة في شروط عامة دون خيار رفض واضح محددة ومستنيرة ومرتبطة بغرض واضح ضمنية من الاستمرار في الاستخدام في كل الحالات دائمة لأي معالجة مستقبلية

20. سجل أنشطة المعالجة يدعم بشكل أساسي:

فعالية التسويق المساءلة وإثبات الامتثال تحسين أداء الأنظمة مقارنة أسعار الموردين