قوانين خصوصية البيانات في عام 2023
يؤدي القلق بشأن كيفية معالجة البيانات الشخصية وتخزينها إلى إصدار لوائح جديدة تحكم كيفية تعامل الشركات مع بيانات المستهلك...
يؤدي القلق بشأن كيفية معالجة البيانات الشخصية وتخزينها إلى إصدار لوائح جديدة تحكم كيفية تعامل الشركات مع بيانات المستهلك.
تتضاعف قوانين خصوصية البيانات مع استمرار تزايد المخاوف بشأن كيفية إرسال المعلومات وتخزينها.
العديد من محترفي تكنولوجيا المعلومات على دراية بالمعايير الدولية والمحلية لأمن البيانات والخصوصية ، من بينها ISO / IEC 27001 ، أمن المعلومات والأمن السيبراني وحماية الخصوصية - أنظمة إدارة أمن المعلومات - المتطلبات ؛ ISO / IEC 27002 ، أمن المعلومات والأمن السيبراني وحماية الخصوصية - ضوابط أمن المعلومات ؛ والمنشور الخاص NIST 800-53 ، ضوابط الأمان والخصوصية لأنظمة المعلومات والمنظمات.
لكن هذه المعايير لا تمثل سوى جزء من اللوائح والتشريعات التي تحكم خصوصية البيانات وأمنها. دعنا نلقي نظرة على بعض أهمها.
ما هي قوانين ولوائح خصوصية البيانات؟
ضع في اعتبارك مقدار البيانات التي يتم إنشاؤها كل ساعة ومقدار تلك البيانات التي تحتوي على معلومات شخصية وعناصر أخرى ، بحكم طبيعتها وأهميتها ، يجب تأمينها من الوصول غير المصرح به والاحتفاظ بها من عامة الناس. وتحقيقا لهذه الغاية ، يجب حماية سرية البيانات وسلامتها وتوافرها.
نتيجة لذلك ، تحكم القوانين واللوائح كيفية جمع البيانات ومعالجتها وتخزينها. من بين المبادئ التوجيهية ، تهدف هذه الأحكام إلى القيام بما يلي:
تأكد من حظر الوصول غير المصرح به إلى البيانات الشخصية والخاصة.
الحماية من الأنشطة التي قد تغير البيانات دون علم المالك أو موافقته.
إنشاء عمليات وصول تمنع الوصول إلى البيانات الشخصية بخلاف المالك (المالكين).
يضمن هذا الوصول أيضًا أنه يجعل من الممكن للمالكين فحص بياناتهم.
توفير الإذن بجمع البيانات الشخصية.
منع بيع البيانات أو الإفراج عنها لأطراف ثالثة دون موافقة المالك.
تأكد من أن المالكين يمكنهم مراجعة بياناتهم للتحقق من صحتها.
السماح للمالكين بحذف البيانات الخاصة بهم.
تأكد من إخطار المالكين إذا أدى خرق أمني إلى اختراق بياناتهم.
من خلال الامتثال لهذه الإرشادات ، تقلل الشركات من فرصة مقاضاتها أو تغريمها وتساعد في تقليل الآثار الناتجة عن التداعيات السلبية للعملاء والضرر الذي يلحق بالسمعة.
تشريعات الخصوصية الدولية
من بين أهم قوانين خصوصية البيانات الدولية هو القانون العام لحماية البيانات (GDPR). تم تطويره من قبل الاتحاد الأوروبي والمنطقة الاقتصادية الأوروبية ودخل حيز التنفيذ في مايو 2018. أي منظمة - بغض النظر عن مكان مقرها - تستهدف أو تجمع البيانات من الأشخاص والشركات في الدول الأعضاء في الاتحاد الأوروبي يجب أن تمتثل للقانون.
يمكن أن يمثل الامتثال للائحة العامة لحماية البيانات (GDPR) تحديًا ، ويمكن تغريم الشركات المخالفة للقانون ومعاقبتها. تعد اللائحة العامة لحماية البيانات محددة في كيفية تعريفها للبيانات الشخصية وأي أنشطة ذات صلة تتضمن بيانات ، مثل كيفية معالجة البيانات ومن يتحكم في تلك الآلية.
اللائحة العامة لحماية البيانات هي لائحة واحدة فقط. حاليًا ، سنت أكثر من 100 دولة حول العالم قوانين خصوصية البيانات. يتناول كل منها القضايا الأساسية المتعلقة بإنشاء البيانات ومعالجتها ، وملكية البيانات والمعايير الأخرى. قد تختلف متطلبات كل بلد ، وكذلك متطلبات الامتثال ، ولكن الرسالة واضحة: حماية البيانات الشخصية أمر لا بد منه.
تشريعات الخصوصية المحلية
الولايات المتحدة ليس لديها قانون خصوصية البيانات الوطنية. هناك عملان مهمان يغطيان الخصوصية ، ومع ذلك:
تم تصميم قانون الخصوصية لعام 1974 (5 U.S.C § 552a) في المقام الأول للوكالات الحكومية الفيدرالية. أنشأت مدونة لممارسات المعلومات العادلة لتنظيم جمع ومعالجة وإدارة ونشر وتدمير المعلومات الشخصية.
قانون HIPAA ، الذي تم سنه في عام 1996 ، يتكون من قسمين رئيسيين: قاعدة الأمان وقاعدة الخصوصية. تمنح هذه القواعد موفري المعلومات الصحية المحمية والمعالجات المرونة في كيفية حماية بيانات المستخدم. بالإضافة إلى ذلك ، تعد HIPAA وثيقة تدقيق مهمة. الامتثال للقانون وأحكامه العديدة ضروري لتجنب العقوبات والغرامات المحتملة.
على الرغم من عدم وجود تشريعات وطنية ، فقد قام عدد متزايد من الدول بسن قوانين خصوصية البيانات الخاصة بها. لدى كاليفورنيا وكولورادو وكونيتيكت ويوتا وفيرجينيا قوانين خصوصية بيانات مفصلة وواسعة النطاق سارية. قبل ممارسة الأعمال التجارية في أي من هذه الولايات ، تأكد من قراءة قوانينها وفهمها تمامًا.
اثنتا عشرة دولة أخرى أو نحو ذلك لديها تشريعات أقل شمولية. توقع المزيد من المجالس التشريعية للولايات لتمرير قوانين في السنوات القادمة.
كاليفورنيا
قامت كاليفورنيا ، الرائدة في مجال تشريعات خصوصية البيانات ، بسن قوانين أكثر من أي ولاية أخرى. فيما يلي مثالان رئيسيان:
قانون خصوصية المستهلك في كاليفورنيا (CCPA). المفتاح في هذا التشريع هو أن السكان قد يطلبون من الشركات الكشف عن نوع المعلومات التي يجمعونها ، ولماذا يقومون بجمع المعلومات ومصدر البيانات.
قانون حقوق الخصوصية في ولاية كاليفورنيا (CPRA). CPRA ، التي دخلت حيز التنفيذ في 1 يناير 2023 ، تعتمد على CCPA. يمنح السكان القدرة على منع الشركات من مشاركة بياناتهم الشخصية ، وطلب تصحيح الأخطاء في بياناتهم الشخصية ومنع الشركات من استخدام البيانات الحساسة ، مثل العرق والتفضيل الجنسي.
كولورادو
يعزز قانون الخصوصية في كولورادو ، الذي سيدخل حيز التنفيذ في 1 يوليو 2023 ، قانون حماية المستهلك الحالي في كولورادو من خلال إضافة أحكام محددة تتعلق بجمع البيانات الشخصية ومعالجتها ونشرها ، فضلاً عن كيفية إنفاذ القانون.
كونيتيكت
سيسري قانون خصوصية البيانات الشخصية في كونيتيكت والمراقبة عبر الإنترنت حيز التنفيذ في 1 يوليو 2023. وهو يحكم كيفية حماية خصوصية البيانات الشخصية وكيفية جمع البيانات ومعالجتها ، فضلاً عن تحديد عقوبات عدم الامتثال.
يوجد في ولاية كونيتيكت أيضًا قانون قائم ، قانون عام § 42-471 ، يحمي كيفية استخدام البيانات الشخصية وتخزينها وتوزيعها.
يوتا
سيحمي قانون خصوصية المستهلك في ولاية يوتا ، الذي يدخل حيز التنفيذ في 31 ديسمبر 2023 ، جمع ومعالجة وتوزيع البيانات الشخصية.
فرجينيا
يوفر قانون حماية بيانات المستهلك في فرجينيا ، الذي يسري اعتبارًا من 1 يناير 2023 ، إرشادات وعقوبات تتعلق بكيفية جمع البيانات الشخصية ومعالجتها وتوزيعها. إنه يؤثر على كل من المنظمات الحكومية وغير الحكومية التي تعالج كميات محددة من البيانات الشخصية سنويًا.
أتطلع قدما
نظرًا لأهمية خصوصية البيانات وحمايتها ، توقع أن تسن المزيد من الدول قوانين خصوصية البيانات ، والتي من المرجح أن تكون مبنية على الأساس الذي وضعته كاليفورنيا والولايات الأخرى التي كانت في طليعة حماية المستهلك.
في غضون ذلك ، يقوم الكونجرس بتقييم التشريعات الوطنية من خلال قانون خصوصية وحماية البيانات الأمريكي. إذا تم تمرير القانون ، فمن المحتمل أن تتبع الشركات التشريعات الوطنية والتشريعات الخاصة بالولاية لضمان معالجتها للبيانات الشخصية بشكل صحيح.
بغض النظر عن نتيجة التشريع المحتمل للكونغرس والتشريعات المحلية ، فإن الامتثال لقوانين ولوائح خصوصية البيانات الفيدرالية والولائية والدولية سيكون مطلبًا متزايد الأهمية للمؤسسات وأقسام تكنولوجيا المعلومات الخاصة بها.