قانون حماية البيانات الجديد للاتحاد الأوروبي
؟ يتضمن قانون خصوصية وأمن البيانات الجديد في أوروبا مئات الصفحات من المتطلبات الجديدة للمؤسسات في جميع أنحاء العالم. ستساعدك نظرة عامة على اللائحة العامة لحماية البيانات (GDPR) هذه على فهم القانون وتحديد الأجزاء التي تنطبق عليك.
اللائحة العامة لحماية البيانات (GDPR) هي أصعب قانون للخصوصية والأمن في العالم. على الرغم من أنه تمت صياغته وتمريره من قبل الاتحاد الأوروبي (EU) ، إلا أنه يفرض التزامات على المنظمات في أي مكان ، طالما أنها تستهدف أو تجمع البيانات المتعلقة بالأشخاص في الاتحاد الأوروبي. تم وضع اللائحة حيز التنفيذ في 25 مايو 2018. ستفرض اللائحة العامة لحماية البيانات غرامات قاسية على أولئك الذين ينتهكون معايير الخصوصية والأمان الخاصة بها ، مع عقوبات تصل إلى عشرات الملايين من اليورو.
مع اللائحة العامة لحماية البيانات ، تشير أوروبا إلى موقفها الثابت بشأن خصوصية البيانات وأمنها في وقت يعهد فيه المزيد من الأشخاص إلى بياناتهم الشخصية بالخدمات السحابية والانتهاكات تحدث يوميا. اللائحة نفسها كبيرة وبعيدة المدى وخفيفة إلى حد ما على التفاصيل ، مما يجعل الامتثال للائحة العامة لحماية البيانات (GDPR) احتمالا شاقا ، خاصة بالنسبة للشركات الصغيرة والمتوسطة الحجم (SMEs).
لقد أنشأنا هذا الموقع ليكون بمثابة مورد لأصحاب ومديري الشركات الصغيرة والمتوسطة لمعالجة التحديات المحددة التي قد يواجهونها. على الرغم من أنها ليست بديلا عن المشورة القانونية ، إلا أنها قد تساعدك على فهم مكان تركيز جهود الامتثال للائحة العامة لحماية البيانات. كما نقدم نصائح حول أدوات الخصوصية وكيفية التخفيف من المخاطر. مع استمرار تفسير اللائحة العامة لحماية البيانات (GDPR) ، سنبقيك على اطلاع دائم بأفضل الممارسات المتطورة.
إذا وجدت هذه الصفحة - "ما هو الناتج المحلي الإجمالي؟" - فمن المحتمل أنك تبحث عن دورة تدريبية مكثفة. ربما لم تعثر حتى على المستند نفسه بعد (نصيحة: إليك اللائحة الكاملة). ربما ليس لديك الوقت لقراءة كل شيء. هذه الصفحة لك. في هذه المقالة ، نحاول إزالة الغموض عن اللائحة العامة لحماية البيانات ، ونأمل أن نجعلها أقل إرباكا للشركات الصغيرة والمتوسطة القلقة بشأن الامتثال للائحة العامة لحماية البيانات.
تاريخ اللائحة العامة لحماية البيانات
الحق في الخصوصية هو جزء من الاتفاقية الأوروبية لحقوق الإنسان لعام 1950، التي تنص على أن "لكل شخص الحق في احترام حياته الخاصة والعائلية، وبيته ومراسلاته". وعلى هذا الأساس، سعى الاتحاد الأوروبي إلى ضمان حماية هذا الحق من خلال التشريع.
مع تقدم التكنولوجيا واختراع الإنترنت ، أدرك الاتحاد الأوروبي الحاجة إلى الحماية الحديثة. لذلك في عام 1995 أصدرت التوجيه الأوروبي لحماية البيانات ، الذي يحدد الحد الأدنى من معايير خصوصية البيانات وأمانها ، والتي استندت إليها كل دولة عضو في قانونها التنفيذي. ولكن بالفعل كان الإنترنت يتحول إلى بيانات هوفر اليوم. في عام 1994 ، ظهر أول إعلان بانر على الإنترنت. في عام 2000 ، قدمت غالبية المؤسسات المالية الخدمات المصرفية عبر الإنترنت. في عام 2006 ، افتتح Facebook للجمهور. في عام 2011 ، رفع أحد مستخدمي Google دعوى قضائية ضد الشركة لمسح رسائل البريد الإلكتروني الخاصة بها. بعد شهرين من ذلك ، أعلنت هيئة حماية البيانات الأوروبية أن الاتحاد الأوروبي بحاجة إلى "نهج شامل لحماية البيانات الشخصية" وبدأ العمل لتحديث توجيه عام 1995.
دخلت اللائحة العامة لحماية البيانات حيز التنفيذ في عام 2016 بعد تمرير البرلمان الأوروبي ، واعتبارا من 25 مايو 2018 ، كان مطلوبا من جميع المنظمات أن تكون متوافقة.
النطاق والعقوبات والتعاريف الرئيسية
أولا ، إذا قمت بمعالجة البيانات الشخصية لمواطني الاتحاد الأوروبي أو المقيمين فيه ، أو كنت تقدم سلعا أو خدمات لهؤلاء الأشخاص ، فإن اللائحة العامة لحماية البيانات تنطبق عليك حتى لو لم تكن في الاتحاد الأوروبي.
ثانيا ، غرامات انتهاك اللائحة العامة لحماية البيانات مرتفعة للغاية. هناك مستويان من العقوبات ، بحد أقصى 20 مليون يورو أو 4٪ من الإيرادات العالمية (أيهما أعلى) ، بالإضافة إلى أن أصحاب البيانات لديهم الحق في طلب تعويض عن الأضرار.
يحدد الناتج المحلي الإجمالي مجموعة من المصطلحات القانونية بإسهاب. فيما يلي بعض من أهمها التي نشير إليها في هذه المقالة:
البيانات الشخصية - البيانات الشخصية هي أي معلومات تتعلق بفرد يمكن تحديده بشكل مباشر أو غير مباشر. من الواضح أن الأسماء وعناوين البريد الإلكتروني هي بيانات شخصية. يمكن أيضا أن تكون معلومات الموقع والعرق والجنس والبيانات البيومترية والمعتقدات الدينية وملفات تعريف الارتباط على الويب والآراء السياسية بيانات شخصية. يمكن أن تندرج البيانات ذات الأسماء المستعارة أيضا تحت التعريف إذا كان من السهل نسبيا تحديد هوية شخص ما منها.
معالجة البيانات - أي إجراء يتم إجراؤه على البيانات ، سواء كان آليا أو يدويا. تشمل الأمثلة المذكورة في النص جمع وتسجيل وتنظيم وهيكلة وتخزين واستخدام ومحو ... لذلك في الأساس أي شيء.
موضوع البيانات - الشخص الذي تتم معالجة بياناته. هؤلاء هم عملاؤك أو زوار الموقع.
مراقب البيانات - الشخص الذي يقرر لماذا وكيف ستتم معالجة البيانات الشخصية. إذا كنت مالكا أو موظفا في مؤسستك يتعامل مع البيانات، فهذا أنت.
معالج البيانات - جهة خارجية تعالج البيانات الشخصية نيابة عن مراقب البيانات. لدى اللائحة العامة لحماية البيانات قواعد خاصة لهؤلاء الأفراد والمنظمات. يمكن أن تشمل الخوادم السحابية مثل Tresorit أو مزودي خدمة البريد الإلكتروني مثل Proton Mail.
ماذا تقول اللائحة العامة لحماية البيانات عن ...
بالنسبة لبقية هذه المقالة ، سنشرح بإيجاز جميع النقاط التنظيمية الرئيسية للائحة العامة لحماية البيانات.
مبادئ حماية البيانات
إذا قمت بمعالجة البيانات ، فيجب عليك القيام بذلك وفقا لسبعة مبادئ للحماية والمساءلة الموضحة في المادة 5.1-2:
- الشرعية والإنصاف والشفافية - يجب أن تكون المعالجة قانونية وعادلة وشفافة لموضوع البيانات.
- تحديد الغرض - يجب عليك معالجة البيانات للأغراض المشروعة المحددة صراحة لموضوع البيانات عند جمعها.
- تقليل البيانات - يجب عليك جمع ومعالجة أكبر قدر ممكن من البيانات فقط للأغراض المحددة.
- الدقة - يجب عليك الحفاظ على دقة البيانات الشخصية وتحديثها.
- قيود التخزين - يمكنك فقط تخزين بيانات التعريف الشخصية طالما كان ذلك ضروريا للغرض المحدد.
- النزاهة والسرية - يجب أن تتم المعالجة بطريقة تضمن الأمان والنزاهة والسرية المناسبة (على سبيل المثال باستخدام التشفير).
- المساءلة - وحدة التحكم في البيانات مسؤولة عن القدرة على إثبات امتثال اللائحة العامة لحماية البيانات (GDPR) لجميع هذه المبادئ.
المساءله
تنص اللائحة العامة لحماية البيانات على أن مراقبي البيانات يجب أن يكونوا قادرين على إثبات امتثالهم للائحة العامة لحماية البيانات. وهذا ليس شيئا يمكنك القيام به بعد الحقيقة: إذا كنت تعتقد أنك متوافق مع الناتج المحلي الإجمالي ولكن لا يمكنك إظهار كيف ، فأنت لست متوافقا مع اللائحة العامة لحماية البيانات. من بين الطرق التي يمكنك من خلالها القيام بذلك:
- حدد مسؤوليات حماية البيانات لفريقك.
- احتفظ بوثائق مفصلة للبيانات التي تجمعها ، وكيفية استخدامها ، ومكان تخزينها ، والموظف المسؤول عنها ، وما إلى ذلك.
- تدريب موظفيك وتنفيذ التدابير الأمنية الفنية والتنظيمية.
- لديك عقود اتفاقية معالجة البيانات المعمول بها مع أطراف ثالثة تتعاقد معها لمعالجة البيانات نيابة عنك.
- قم بتعيين مسؤول حماية البيانات (على الرغم من أن جميع المؤسسات لا تحتاج إلى واحد).
أمن البيانات
أنت مطالب بالتعامل مع البيانات بأمان من خلال تنفيذ "التدابير الفنية والتنظيمية المناسبة".
تعني التدابير الفنية أي شيء بدءا من مطالبة موظفيك باستخدام المصادقة الثنائية على الحسابات التي يتم فيها تخزين البيانات الشخصية إلى التعاقد مع موفري الخدمات السحابية الذين يستخدمون التشفير من طرف إلى طرف.
التدابير التنظيمية هي أشياء مثل تدريب الموظفين ، أو إضافة سياسة خصوصية البيانات إلى دليل الموظف الخاص بك ، أو قصر الوصول إلى البيانات الشخصية على الموظفين في مؤسستك الذين يحتاجون إليها فقط.
إذا كان لديك خرق للبيانات ، فلديك 72 ساعة لإخبار أصحاب البيانات أو مواجهة عقوبات. (قد يتم التنازل عن شرط الإخطار هذا إذا كنت تستخدم ضمانات تكنولوجية ، مثل التشفير ، لجعل البيانات عديمة الفائدة للمهاجم.)
حماية البيانات حسب التصميم وبشكل افتراضي
من الآن فصاعدا ، يجب أن يأخذ كل ما تفعله في مؤسستك ، "حسب التصميم وبشكل افتراضي" ، في الاعتبار حماية البيانات. من الناحية العملية ، هذا يعني أنه يجب عليك مراعاة مبادئ حماية البيانات في تصميم أي منتج أو نشاط جديد. يغطي الناتج المحلي الإجمالي هذا المبدأ في المادة 25.
لنفترض ، على سبيل المثال ، أنك تطلق تطبيقا جديدا لشركتك. عليك التفكير في البيانات الشخصية التي يمكن أن يجمعها التطبيق من المستخدمين ، ثم التفكير في طرق لتقليل كمية البيانات وكيفية تأمينها بأحدث التقنيات.
متى يسمح لك بمعالجة البيانات
تسرد المادة 6 الحالات التي يكون فيها من القانوني معالجة بيانات الأشخاص. لا تفكر حتى في لمس البيانات الشخصية لشخص ما - لا تجمعها ، ولا تخزنها ، ولا تبيعها للمعلنين - إلا إذا كان بإمكانك تبريرها بأحد الإجراءات التالية:
- أعطاك موضوع البيانات موافقة محددة لا لبس فيها على معالجة البيانات. (على سبيل المثال ، لقد اشتركوا في قائمة البريد الإلكتروني التسويقي الخاصة بك.)
- المعالجة ضرورية للتنفيذ أو الاستعداد للدخول في عقد يكون موضوع البيانات طرفا فيه. (على سبيل المثال ، تحتاج إلى إجراء فحص الخلفية قبل تأجير العقار لمستأجر محتمل.)
- تحتاج إلى معالجتها للامتثال لالتزام قانوني لك. (على سبيل المثال ، تتلقى أمرا من المحكمة في ولايتك القضائية.)
- تحتاج إلى معالجة البيانات لإنقاذ حياة شخص ما. (على سبيل المثال ، حسنا ، ستعرف على الأرجح متى ينطبق هذا.)
- المعالجة ضرورية لأداء مهمة في المصلحة العامة أو للقيام ببعض الوظائف الرسمية. (على سبيل المثال ، أنت شركة خاصة لجمع القمامة.)
- لديك مصلحة مشروعة في معالجة البيانات الشخصية لشخص ما. هذا هو الأساس القانوني الأكثر مرونة ، على الرغم من أن "الحقوق والحريات الأساسية لموضوع البيانات" تتجاوز دائما اهتماماتك ، خاصة إذا كانت بيانات طفل. (من الصعب إعطاء مثال هنا لأن هناك مجموعة متنوعة من العوامل التي ستحتاج إلى أخذها في الاعتبار لحالتك. يقدم مكتب مفوض المعلومات في المملكة المتحدة إرشادات مفيدة هنا.)
بمجرد تحديد الأساس القانوني لمعالجة البيانات الخاصة بك ، تحتاج إلى توثيق هذا الأساس وإخطار موضوع البيانات (الشفافية!). وإذا قررت لاحقا تغيير مبررك ، فيجب أن يكون لديك سبب وجيه ، وتوثيق هذا السبب ، وإخطار موضوع البيانات.
موافقه
هناك قواعد جديدة صارمة حول ما يشكل موافقة من موضوع البيانات لمعالجة معلوماتهم.
- يجب أن تكون الموافقة "حرة ومحددة ومستنيرة ولا لبس فيها".
- يجب أن تكون طلبات الموافقة "مميزة بوضوح عن المسائل الأخرى" وأن تقدم "بلغة واضحة وواضحة".
- يمكن لأصحاب البيانات سحب الموافقة الممنوحة مسبقا وقتما يريدون ، وعليك احترام قرارهم. لا يمكنك ببساطة تغيير الأساس القانوني للمعالجة إلى أحد المبررات الأخرى.
- لا يمكن للأطفال الذين تقل أعمارهم عن 13 عاما إعطاء الموافقة إلا بإذن من والديهم.
- تحتاج إلى الاحتفاظ بأدلة وثائقية على الموافقة.
مسؤولو حماية البيانات
خلافا للاعتقاد الشائع ، لا يحتاج كل مراقب بيانات أو معالج إلى تعيين مسؤول حماية البيانات (DPO). هناك ثلاثة شروط يطلب منك بموجبها تعيين مسؤول حماية البيانات:
- أنت سلطة عامة بخلاف المحكمة التي تعمل بصفة قضائية.
- تتطلب منك أنشطتك الأساسية مراقبة الأشخاص بشكل منهجي ومنتظم على نطاق واسع. (على سبيل المثال، أنت Google.)
- تتمثل أنشطتك الأساسية في المعالجة واسعة النطاق لفئات خاصة من البيانات المدرجة في المادة 9 من اللائحة العامة لحماية البيانات أو البيانات المتعلقة بالإدانات الجنائية والجرائم المذكورة في المادة 10. (على سبيل المثال ، أنت مكتب طبي.)
يمكنك أيضا اختيار تعيين DPO حتى إذا لم تكن مطالبا بذلك. هناك فوائد لوجود شخص ما في هذا الدور. تتضمن مهامهم الأساسية فهم اللائحة العامة لحماية البيانات وكيفية تطبيقها على المؤسسة ، وتقديم المشورة للأشخاص في المؤسسة حول مسؤولياتهم ، وإجراء تدريبات على حماية البيانات ، وإجراء عمليات التدقيق ومراقبة الامتثال للائحة العامة لحماية البيانات ، والعمل كحلقة وصل مع المنظمين.
حقوق خصوصية الناس
أنت مراقب بيانات و / أو معالج بيانات. ولكن كشخص يستخدم الإنترنت ، فأنت أيضا موضوع بيانات. تعترف اللائحة العامة لحماية البيانات (GDPR) بمجموعة من حقوق الخصوصية الجديدة لموضوعات البيانات ، والتي تهدف إلى منح الأفراد مزيدا من التحكم في البيانات التي يقرضونها للمؤسسات. كمؤسسة ، من المهم فهم هذه الحقوق للتأكد من امتثالك للائحة العامة لحماية البيانات.
فيما يلي ملخص لحقوق خصوصية أصحاب البيانات:
- الحق في الحصول على المعلومات
- حق الوصول
- الحق في التصحيح
- الحق في المحو
- الحق في تقييد المعالجة
- الحق في نقل البيانات
- الحق في الاعتراض
- الحقوق المتعلقة بصنع القرار الآلي والتنميط.
استنتاج
لقد غطينا للتو جميع النقاط الرئيسية في اللائحة العامة لحماية البيانات (GDPR) في ما يزيد قليلا عن 2,000 كلمة. اللائحة نفسها (لا تشمل التوجيهات المصاحبة) هي 88 صفحة. إذا كنت متأثرا باللائحة العامة لحماية البيانات، فإننا نوصي بشدة أن يقرأها شخص ما في مؤسستك وأن تستشير محاميا للتأكد من امتثالك للائحة العامة لحماية البيانات.