ماهو تقليل البيانات
تقع مبادئها في صميم ممارسات حماية البيانات الفعالة ، وتهدف إلى منع انتهاكات الخصوصية وتقليل الضرر عند وقوع حوادث أمنية...
يعد تقليل البيانات إلى الحد الأدنى جزءًا أساسيًا من أمن المعلومات و GDPR (اللائحة العامة لحماية البيانات) على وجه الخصوص.
تقع مبادئها في صميم ممارسات حماية البيانات الفعالة ، وتهدف إلى منع انتهاكات الخصوصية وتقليل الضرر عند وقوع حوادث أمنية.
ما هو تقليل البيانات؟
يتطلب تقليل البيانات من المؤسسات معالجة البيانات الشخصية فقط إذا كانت تخدم غرضًا معينًا ، والاحتفاظ بها فقط طالما كانت ضرورية لتحقيق هذا الغرض.
توفر المادة 5 (1) من اللائحة العامة لحماية البيانات إرشادات إضافية توضح أن المؤسسات يجب أن تأخذ في الاعتبار ثلاثة عوامل عندما تقوم بمعالجة المعلومات الشخصية:
الملاءمة: هل البيانات الشخصية التي تمت معالجتها كافية لتحقيق غرضك المعلن؟
الملاءمة: هل المعلومات لها ارتباط واضح بهذا الغرض؟
الضرورة: هل لديك معلومات أكثر مما تحتاجه لتحقيق هذا الغرض؟
تلبية المتطلبات
لا توفر اللائحة العامة لحماية البيانات إرشادات محددة حول أنواع الممارسات التي تلبي حد الكفاية والملاءمة والضرورة. هذا لأن الإجابة ستعتمد على الظروف المحددة لمعالجة واستخدام البيانات الشخصية.
على هذا النحو ، يجب على المؤسسات تبرير ممارسات المعالجة الخاصة بها وشرح سبب استيفائها للمبادئ التوجيهية لتقليل البيانات.
تتمثل الخطوة الأولى لحل هذه المشكلة في فهم ما تحاول تحقيقه من خلال نشاط معالجة البيانات هذا. بمعنى آخر: ما الغرض من كل هذه المعلومات؟ يجب أن تكون محددًا قدر الإمكان عند الإجابة على هذا السؤال ، وتحديد أهداف واضحة.
يمكنك استخدام الأساس القانوني الموثق للمعالجة كمبدأ توجيهي هنا. على سبيل المثال ، إذا كنت تعالج المعلومات للوفاء بالتزاماتك القانونية أو متطلباتك التعاقدية ، فيمكنك تحديد أنشطة معينة ضمن هذه البنود.
وبالمثل ، إذا كنت تعالج المعلومات لحماية المصالح الحيوية للأفراد ، يمكنك أن تسأل نفسك كيف تدعم كل قطعة من البيانات هذا النشاط.
يجب أن تكون حذرا عند الانتهاء من هذه العملية. قد لا تبدو مهمة حاسمة ، على الأقل مقارنةً بالتدابير المصممة خصيصًا لمنع انتهاكات البيانات ، لكن تقليل البيانات هو مبدأ أساسي في اللائحة العامة لحماية البيانات.
غالبًا ما يتفاقم الضرر الناجم عن انتهاكات البيانات من خلال معالجة المنظمات لكميات غير ضرورية من المعلومات الشخصية ، وبالتالي زيادة حجم البيانات التي تم اختراقها في الحوادث الأمنية.
من خلال الحفاظ على أنشطة معالجة البيانات الخاصة بك إلى الحد الأدنى ، فإنك تقلل من خطر انتهاكات البيانات وانتهاكات الخصوصية. يمكنك أيضًا تقليل حجم العمل الذي يتعين عليك القيام به لحماية سجلاتك والحفاظ عليها.
هذا صحيح بشكل خاص عندما يتعلق الأمر ببيانات الفئات الخاصة أو بيانات الجرائم الجنائية ، حيث توجد احتياطات إضافية.
إذا لم تكن متأكدًا على الإطلاق مما إذا كانت ممارسات معالجة البيانات الخاصة بك تفي بالحدود الدنيا ، فيجب عليك توخي الحذر أو طلب إرشادات الخبراء.
يجب عليك أيضًا مراجعة ممارسات المعالجة الخاصة بك بشكل دوري للتأكد من أن البيانات الشخصية التي تحتفظ بها لا تزال ملائمة وكافية.
ماذا تلاحظ من الخارج
يوفر ICO (مكتب مفوض المعلومات) مزيدًا من الإرشادات حول متطلبات تقليل بيانات اللائحة العامة لحماية البيانات (GDPR) ، كما يقدم أمثلة على المواقف التي قد يتعرض فيها الامتثال للخطر.
في أحد السيناريوهات ، يصف ICO وكالة تحصيل الديون التي تحاول تحديد مكان مدين معين. بعد معالجة المعلومات الخاصة بالعديد من الأشخاص الذين يحملون اسمًا مشابهًا ، يتم العثور على الشخص المناسب.
في هذه المرحلة ، يجب على الوكالة حذف السجلات ذات الصلة للأشخاص الذين جمعت معلوماتهم أثناء بحثها. ومع ذلك ، من الجيد الاحتفاظ بسجل أساسي للأشخاص الذين تمت إزالتهم من البحث ، بشرط ألا يكون هناك نية في الاتصال بهم مرة أخرى.
يسلط ICO الضوء على أن المنظمة لا يمكنها الاحتفاظ بسجلات إذا لم تكن مفيدة في المستقبل. ومع ذلك ، إذا كان بإمكانه توثيق سبب أهمية هذه المعلومات في بيانات لاحقة ، فيسمح بالاحتفاظ بها.
في مثال آخر ، يصف ICO مجموعة من الأفراد قاموا بإنشاء نادٍ. في البداية ، كان لديه عدد قليل فقط من الأعضاء الذين يعرفون بعضهم البعض ، ويتم إعداد الأنشطة باستخدام أسماء الأعضاء وعناوين البريد الإلكتروني.
بمرور الوقت ، يصبح النادي أكثر شهرة ويدرك المسؤولون أنهم بحاجة إلى معلومات إضافية حول أعضائه من أجل تتبع حالة عضويتهم ومدفوعات الاشتراك.
يلاحظ ICO أنه على الرغم من أن المجموعة لم تكن تعتزم في البداية معالجة هذه الأنواع من البيانات ، إلا أنها مخولة لتغيير شروط المعالجة مع تغير المتطلبات.
في الواقع ، المنظمات التي تفشل في تغيير شروط المعالجة قد تكون في الواقع تنتهك التزامات حماية البيانات الخاصة بها. إذا لم يكن لديهم بيانات كافية لأداء المهام الضرورية - مثل تتبع الاشتراكات - فإن سجلاتهم غير كافية لغرض المنظمة.
قد تُعتبر البيانات الشخصية أيضًا غير كافية إذا اتخذت المنظمة قرارات بشأن شخص ما بناءً على فهم غير كامل لـلحقائق. قد تؤدي السجلات غير الكاملة أو غير الدقيقة إلى إساءة تفسير المعلومات وإصدار أحكام خاطئة.
يجب على المنظمات منع هذا من خلال مراجعة سجلاتهم بانتظام للتأكد من أن البيانات دقيقة ومحدثة.
تلبية متطلبات تقليل البيانات الخاصة بك
يُعد تقليل البيانات إلى الحد الأدنى ممارسة مهمة لجميع المؤسسات ، ولكن كما هو الحال مع العديد من جوانب اللائحة العامة لحماية البيانات ، فإنه يمثل تحديًا خاصًا لأقسام التسويق.
هذا هو السبب وراء قيام IT Governance بإنشاء GDPR و PECR - دليل للمسوقين للمساعدة في شرح الصعوبات التي تواجهها هذه الفرق.