يلتزم مركز الصفوة الطبي ذ.م.م ("نحن"، "لنا"، "المركز") بحماية خصوصية وأمن المعلومات الشخصية والصحية لجميع المرضى والموظفين والزوار. توضح سياسة الخصوصية هذه كيفية جمع بياناتك واستخدامها وتخزينها ومشاركتها وفقًا للقانون الاتحادي لدولة الإمارات العربية المتحدة ومعيار أبوظبي للمعلومات الصحية والأمن السيبراني (ADHICS v2).

تنطبق هذه السياسة على جميع الموظفين والمتعاقدين والمتدربين ومقدمي الخدمات من الأطراف الثالثة والمرضى الذين تتم معالجة بياناتهم من قبل المركز — بما في ذلك البيانات المحفوظة ضمن نظام السجلات الطبية الإلكترونية (EMR)، والسجلات الورقية، والاتصالات الرقمية، وهذا الموقع الإلكتروني.

نلتزم بالأطر القانونية التالية:

• دستور دولة الإمارات العربية المتحدة (القانون الاتحادي رقم 1 لسنة 1971)
• قانون العقوبات الإماراتي (القانون الاتحادي رقم 3 لسنة 1987، وتعديلاته)
• قانون مكافحة جرائم تقنية المعلومات (القانون الاتحادي رقم 5 لسنة 2012)
• معيار أبوظبي للمعلومات الصحية والأمن السيبراني (ADHICS v2)

نقوم بجمع ومعالجة الفئات التالية من البيانات:

• بيانات الهوية: الاسم الكامل، تاريخ الميلاد، رقم الهوية الإماراتية، رقم جواز السفر، الجنسية.
• بيانات الاتصال: العنوان، رقم الهاتف، عنوان البريد الإلكتروني، بيانات جهة الاتصال في حالات الطوارئ.
• البيانات الصحية (PHI): التاريخ الطبي، التشخيصات، الوصفات الطبية، نتائج المختبر، الصور الطبية، الملاحظات السريرية، وسجلات العلاج.
• البيانات المالية: تفاصيل وثيقة التأمين، سجلات الدفع، ومعلومات الفوترة.
• البيانات التقنية: عناوين IP، نوع المتصفح، وبيانات استخدام الموقع التي يتم جمعها عبر ملفات تعريف الارتباط عند استخدامك لموقعنا الإلكتروني.
• بيانات التوظيف (للموظفين فقط): سجلات الموارد البشرية، سجلات الوصول، والمؤهلات المهنية.

يتم جمع البيانات مباشرة منك، أو من ممثليك المفوضين، أو من مقدمي الرعاية الصحية المحيلين، أو من جهات التأمين عند الاقتضاء. ولا نقوم بجمع إلا ما هو ضروري للغرض المحدد.

نعالج بياناتك الشخصية والصحية للأغراض المشروعة التالية:

• تقديم الرعاية الطبية والتشخيص والعلاج والمتابعة السريرية.
• جدولة المواعيد وإدارة سجلات المرضى في نظام السجلات الطبية الإلكترونية لدينا.
• معالجة مطالبات التأمين والفوترة.
• الامتثال لالتزامات التقارير القانونية والتنظيمية (مثل دائرة الصحة DOH وهيئة الصحة HAAD).
• ضمان الجودة، والتدقيق السريري، وتدريب الموظفين.
• التواصل معك بخصوص رعايتك، بما في ذلك تذكيرات المواعيد.
• البحوث مجهولة الهوية والتحليل الإحصائي لتحسين الخدمات (فقط بموافقتك).
• مراقبة أمن تقنية المعلومات لحماية الأنظمة واكتشاف الوصول غير المصرح به.

لن نستخدم بياناتك لأي غرض لا يتوافق مع الأغراض المذكورة أعلاه دون الحصول على موافقتك الصريحة المسبقة.

عندما تكون المعالجة قائمة على الموافقة، فإننا نحصل على موافقتك الصريحة قبل جمع بياناتك أو استخدامها. يمكنك سحب الموافقة في أي وقت من خلال التواصل مع مسؤول خصوصية البيانات لدينا (انظر القسم 10). ولا يؤثر سحب الموافقة على قانونية المعالجة التي تمت قبل السحب.

يرجى استخدام عناصر التحكم أدناه لتحديد تفضيلاتك. لا يمكن إلغاء الاشتراك في المعالجة الأساسية المطلوبة لرعايتك الطبية ما دمت مريضًا لدى المركز.

بموجب قانون دولة الإمارات العربية المتحدة ومعيار ADHICS v2، لديك الحقوق التالية فيما يتعلق ببياناتك الشخصية والصحية. لممارسة أي من هذه الحقوق، يرجى التواصل مع مسؤول خصوصية البيانات لدينا (القسم 10). سنقوم بالرد خلال 30 يومًا من استلام طلبك.

نطبق ضوابط تقنية ومادية وإدارية قوية لحماية بياناتك من الوصول غير المصرح به أو الإفصاح أو التعديل أو الإتلاف.

• الضوابط التقنية: تشفير شامل للبيانات أثناء النقل وعند التخزين، وجدار حماية بمستوى مؤسسي (Fortinet)، وحماية مضادة للفيروسات (Kaspersky Small Office)، وأنظمة كشف التسلل، والمصادقة متعددة العوامل (MFA)، وتقييمات دورية للثغرات الأمنية.
• الضوابط المادية: خزائن ملفات مقفلة، وتقييد الوصول إلى غرف الخوادم ومناطق البيانات الحساسة، ومرافق تخزين آمنة، ومراقبة عبر كاميرات الدوائر التلفزيونية المغلقة.
• الضوابط الإدارية: صلاحيات وصول مبنية على الأدوار (وفق مبدأ الحاجة إلى المعرفة)، وتدريب منتظم للموظفين، وأنظمة عالية التوفر (HA)، ونسخ احتياطية كاملة يومية (Veeam)، ووحدات تحكم نطاق GP، وخطط موثقة للاستجابة للحوادث.

جميع الأنظمة والأجهزة التي تحتوي على بيانات حساسة محمية بكلمات مرور، ويتم فرض المصادقة متعددة العوامل حيثما ينطبق ذلك.

في حال وقوع خرق للبيانات يتضمن معلومات صحية محمية (PHI) أو معلومات تعريف شخصية (PII)، سنقوم بإخطار الأفراد المتأثرين ودائرة الصحة (DOH) والجهات المختصة الأخرى خلال 72 ساعة من اكتشاف الخرق، مع تقديم وصف للخرق وأنواع البيانات المتأثرة وخطوات المعالجة المتخذة.

يتم تخزين جميع البيانات الشخصية والصحية ومعالجتها داخل دولة الإمارات العربية المتحدة امتثالًا لمتطلبات توطين البيانات في معيار ADHICS v2. ولا نقوم بنقل البيانات خارج دولة الإمارات إلا في الحالات التالية:

• إذا قدمت موافقة خطية صريحة، على سبيل المثال لإحالة طبية دولية أو استشارة خارجية.
• إذا كان النقل ضروريًا بشكل صارم لتقديم رعايتك ولا يوجد بديل داخل دولة الإمارات.
• إذا كانت الدولة المستقبلة توفر مستوى من حماية البيانات يعادل معايير دولة الإمارات، وفقًا لما يحدده القانون المعمول به.

يتم توثيق جميع عمليات النقل عبر الحدود، وتشفيرها أثناء النقل، وتنظيمها بموجب اتفاقية رسمية لمعالجة البيانات. كما يتم استخدام التخزين السحابي داخل دولة الإمارات لجميع النسخ الاحتياطية وتكرار البيانات خارج الموقع.

قد نشارك بياناتك مع الفئات التالية من المستلمين، وذلك حصريًا على أساس الحاجة إلى المعرفة:

• مقدمو الرعاية الصحية: الأطباء المحيلون، والاستشاريون المتخصصون، والمختبرات، والصيدليات المشاركة مباشرة في رعايتك.
• جهات التأمين والفوترة: شركة التأمين الصحي الخاصة بك أو المسؤول الخارجي لمعالجة المطالبات والموافقات المسبقة.
• الجهات التنظيمية والقانونية: دائرة الصحة (DOH)، وهيئة الصحة HAAD، وجهات إنفاذ القانون، أو المحاكم عندما يكون ذلك مطلوبًا أو مأمورًا به قانونيًا.
• مقدمو خدمات تقنية المعلومات والخدمات: الموردون من الأطراف الثالثة الذين يدعمون أنظمتنا السريرية والإدارية (مثل مزودي نظام السجلات الطبية الإلكترونية، وخدمات النسخ الاحتياطي، ودعم تقنية المعلومات) بموجب التزامات تعاقدية صارمة لحماية البيانات.

لن نقوم مطلقًا ببيع بياناتك الشخصية أو تأجيرها أو المتاجرة بها. ويلتزم جميع الموردين من الأطراف الثالثة تعاقديًا بالحفاظ على السرية والامتثال لهذه السياسة وقانون دولة الإمارات، والإبلاغ فورًا عن أي حوادث متعلقة بالبيانات. كما نجري عمليات تدقيق منتظمة للتحقق من امتثال الأطراف الثالثة.

نحتفظ بالبيانات فقط للمدة اللازمة لتحقيق الأغراض التي جُمعت من أجلها، أو حسبما يقتضيه قانون دولة الإمارات. وبعد انتهاء مدة الاحتفاظ، يتم التخلص من البيانات بشكل آمن باستخدام الطرق الموضحة أدناه.

يتم الاحتفاظ بسجل لجميع أنشطة التخلص من البيانات، ويكون متاحًا لأغراض التدقيق.

يجب توجيه جميع الاستفسارات المتعلقة بالخصوصية، وطلبات حقوق أصحاب البيانات، وسحب الموافقة، والشكاوى إلى مسؤول خصوصية البيانات المعين لدينا باستخدام البيانات الموضحة أدناه. سنؤكد استلام طلبك خلال 5 أيام عمل ونرد عليه بشكل كامل خلال 30 يومًا.

لديك أيضًا الحق في تقديم شكوى مباشرة إلى دائرة الصحة – أبوظبي (DOH) أو أي جهة تنظيمية إماراتية مختصة أخرى إذا كنت تعتقد أن بياناتك تمت معالجتها بطريقة غير قانونية.