اللائحة العامة لحماية البيانات GDPR ، أحد منتجات إصلاح حماية البيانات في الاتحاد الأوروبي ، هي معايير الخصوصية الصارمة التي دخلت حيز التنفيذ في 25 مايو 2018 ، والتي تهدف إلى حماية البيانات الشخصية لجميع الأشخاص في الاتحاد الأوروبي.
ما هي البيانات الشخصية؟
البيانات الشخصية هي أي معلومات تتعلق بشخص على قيد الحياة. يتضمن ذلك المعلومات والعناوين المالية ، وحتى التقييمات المتعلقة بسلوك الشخص. يمكن أن تتضمن البيانات الشخصية أيضًا الصور والفيديو والصوت والأرقام والكلمات.
على من تنطبق اللائحة العامة لحماية البيانات؟
تؤثر اللائحة العامة لحماية البيانات (GDPR) على أي منظمة تقدم سلعًا و / أو خدمات للأشخاص في الاتحاد الأوروبي ، وهذا يشمل الكيانات غير الموجودة في الاتحاد الأوروبي. بالإضافة إلى ذلك ، يجب أن تكون جميع الأعمال التجارية عبر الإنترنت متوافقة مع اللائحة العامة لحماية البيانات كإجراء وقائي ، في حالة وجود الأشخاص الذين يتعاملون مع هذه الشركة في الاتحاد الأوروبي.
يتم استخدام البيانات الشخصية من قبل مراقبي البيانات ومعالجي البيانات.
المتحكم في البيانات هو فرد أو سلطة عامة أو وكالة أو هيئة أخرى تقرر ما يجب فعله بالبيانات التي تم جمعها. يتم معالجة البيانات الشخصية نيابة عن المتحكم. على سبيل المثال ، إذا استأجرت شركة برمجيات مسوقًا لحملة بريد إلكتروني قادمة. يُمنح المسوق الأسماء وعناوين البريد الإلكتروني للعملاء المحتملين الذين سيرسل إليهم حملة البريد الإلكتروني. هنا شركة البرمجيات هي المتحكم والمسوق هو المعالج.
يجب أن يكون كل من وحدة التحكم في البيانات ومعالج البيانات متوافقين مع القانون العام لحماية البيانات (GDPR) لأنهما يتعاملان مع البيانات الشخصية.
كيف تصبح متوافقًا مع اللائحة العامة لحماية البيانات؟
هناك 9 نقاط رئيسية يجب مراعاتها والتي ستساعد الشركات على تقييم حالة الامتثال الحالية للائحة العامة لحماية البيانات وإصلاح ممارسات معالجة البيانات لتصبح أكثر امتثالًا.
1. تعيين البيانات التي تجمعها
إذا كنت لا تعرف كيف تنتقل البيانات الشخصية عبر أنظمتك الداخلية ، فأنت لا تعرف كيف يتم التحكم فيها. فيما يلي مثال على شركة برمجيات
المصدر:
نموذج الاشتراك في البرنامج
البيانات المجمعة:
الاسم الكامل
عنوان البريد الالكترونى
اسم الشركة
سبب جمع البيانات:
جمع العروض التسويقية
ضع في اعتبارك الأسئلة التالية:
كيف تتم معالجة البيانات المجمعة؟
مخزنة في قاعدة بيانات HubSpot
الوصول إليها من قبل مسوقين البريد الإلكتروني الداخلي
متى يتم التخلص من البيانات؟
المستخدمون الذين يقومون بإلغاء الاشتراك يتم حذفهم تلقائيًا من قاعدة البيانات
هل لديك موافقة على جمع هذه البيانات؟
نعم ، يتم إبلاغ المستخدمين الذين قاموا بالتسجيل بشروطنا وأحكامنا.
هل تتضمن البيانات التي تم جمعها معلومات حساسة؟
نعم ، الأسماء الكاملة وعناوين البريد الإلكتروني المرتبطة بها.
2. تعيين مسؤول حماية البيانات
يجب على كل من وحدات التحكم والمعالجات تعيين مسؤول حماية البيانات (DPO) للإشراف على استراتيجية حماية البيانات. يعد تعيين مسؤول حماية البيانات أمرًا ضروريًا في أي من الحالات التالية ؛
- إذا تمت معالجة البيانات من قبل سلطة عامة
- إذا تم جمع البيانات تخضع لرصد منهجي
- إذا تم معالجة البيانات المجمعة على نطاق واسع
ملاحظة: لا تحدد اللائحة العامة لحماية البيانات ماهية حجم “النطاق الكبير” ، لذا عيِّن مسؤول حماية البيانات ليكون في الجانب الآمن.
مسؤول حماية البيانات مسؤول عن المهام التالية:
- تقديم المشورة للمراقبين والعمليات الخاصة بأفضل الممارسات للامتثال للائحة العامة لحماية البيانات (GDPR)
- مراقبة كيفية معالجة البيانات لضمان الامتثال للقانون العام لحماية البيانات (GDPR)
- تقديم المشورة بشأن تقييمات تأثير حماية البيانات
- العمل كنقطة اتصال أساسية لجميع الاستفسارات المتعلقة بمعالجة البيانات
- العمل كنقطة اتصال أساسية بين الشركة والجهات التنظيمية للائحة العامة لحماية البيانات
- وجود فهم واضح لجميع المخاطر المحتملة المرتبطة بالتجهيز
دعمًا لجهود مسؤول حماية البيانات ، قد ترغب المؤسسات في اعتماد حل مراقبة سطح الهجوم لتحديد نقاط الضعف في عمليات المعالجة.
3. إنشاء سجل بيانات القانون العام لحماية البيانات (GDPR)
يوميات القانون العام لحماية البيانات (GDPR) ، أو سجل البيانات ، هو سجل شامل لكيفية ممارسة المنظمة للامتثال للائحة العامة لحماية البيانات (GDPR). يجب إنشاء هذا بعد تحديد جميع مصادر البيانات الخاصة بك. يجب أن تحدد مذكرات القانون العام لحماية البيانات (GDPR) تدفق البيانات عبر مؤسستك ، فكلما تضمنت المزيد من التفاصيل ، كان ذلك أفضل. في حالة إجراء تدقيق ، ستكون مذكرات اللائحة العامة لحماية البيانات بمثابة دليل على الامتثال.
إذا واجهت مؤسستك خرقًا للبيانات في عملية إنشاء إطار عمل للامتثال ، فيمكن استخدام يوميات القانون العام لحماية البيانات (GDPR) كدليل على التقدم والجهود المبذولة نحو تحسين أمان البيانات.
يوضح اعتماد هذا التنفيذ مبكرًا تفاني المؤسسة في حماية بيانات عملائها.
4. تقييم متطلبات جمع البيانات
لكي تكون متوافقًا مع القانون العام لحماية البيانات (GDPR) ، يجب عليك جمع البيانات التي تحتاجها تمامًا. لا تُراكم بيانات حساسة بدون سبب مقنع. سيؤول هذا إلى السلطة الإشرافية التي تراقب امتثالك.
يجب أن تخضع جميع متطلبات البيانات لتقييم تأثير الخصوصية (IPIA) وتقييم تأثير حماية البيانات (DPIA). هذه التقييمات إلزامية عندما تكون البيانات التي تم جمعها شديدة الحساسية.
فيما يلي بعض الأمثلة على ما يمكن تصنيفه على أنه بيانات حساسة ويتطلب استكمال تقييم الأثر البيئي والاجتماعي ؛ باستخدام التكنولوجيا الجديدة ، والموقع ، والسلوك ، ووجهات النظر الدينية ، والأصول العرقية ، والآراء السياسية ، والصحة ، وشركاء البيانات. التعامل مع الأطفال ، والقرارات الآلية التي لها عواقب قانونية ، ومراقبة المناطق التي يمكن للجمهور الوصول إليها ، وما إلى ذلك.
استخدم نموذج DPIA كدليل لتقييمك.
5. الإبلاغ عن انتهاكات البيانات على الفور
يعد الإخطار الفوري بخرق البيانات مطلبًا إلزاميًا للائحة العامة لحماية البيانات (GDPR). هذا ، بشكل أكثر تحديدًا ، يعني خلال 72 ساعة من الخرق.
أولاً ، تبلغ المعالجات عن خرق البيانات إلى وحدة التحكم ، والتي بدورها ترفع تقاريرها إلى سلطة إشرافية.
تراقب السلطة الإشرافية ، المعروفة أيضًا باسم جمعية حماية البيانات أو (DPA) ، الامتثال للائحة العامة لحماية البيانات (GDPR). وهم أيضًا جهة الاتصال الأساسية لأي استفسارات بشأن اللائحة العامة لحماية البيانات.
عادة ما توجد السلطات الإشرافية في دولة الاتحاد الأوروبي حيث يوجد مقر المنظمة. تُمكِّن اللائحة العامة لحماية البيانات (GDPR) السلطة الإشرافية من فرض غرامات عدم الامتثال على وحدات التحكم والمعالجات.
6. تقييم البيانات التي تم جمعها الدوافع
يجب إعلام العملاء تحديدًا بالبيانات التي تجمعها. إذا كنت لا تتحلى بالشفافية بشأن متى وما الذي تجمعه ، فقد يؤدي ذلك إلى غرامات عدم الامتثال.
يجب عرض إقرار جمع البيانات في كل نقطة يتم فيها جمع البيانات – قبل جمع أي بيانات.
فيما يلي بعض الطرق التي تعرض بها مواقع الويب إشعارات جمع البيانات ؛
نماذج الموقع
يجب أن توضح أي نماذج على موقع الويب الخاص بك بوضوح كيفية استخدام جميع البيانات التي تم جمعها. لا تستخدم صياغة معقدة أو مصطلحات تقنية. اجعل رسائلك واضحة وموجزة.
لا يُسمح بصناديق الموافقة المسبقة. يحتاج عملائك إلى معرفة أنهم يوافقون ، ويفعلون ذلك بعد موافقة كاملة.
إخطارات جمع ملفات تعريف الارتباط
يجب تنظيم ملفات تعريف الارتباط ، حيث تصنف اللائحة العامة لحماية البيانات ملفات تعريف الارتباط التي تحدد المستخدمين على أنها جامعة لبيانات شخصية. قد تستمر المنظمات في استخدام بيانات ملفات تعريف الارتباط إذا كانت تفي بالمتطلبات التالية:
- موافقة واضحة وموثقة من قبل المستخدم على استخدام ملفات تعريف الارتباط قبل استخدام أي منها. يجب أيضًا تخزين الموافقة من قبل المنظمة.
- حدد كيف سيتم استخدام البيانات التي تم جمعها من قبل مؤسستك.
- لا يمكنك منع المستخدمين من الوصول إلى موقع الويب الخاص بك إذا لم يوافقوا على استخدام ملفات تعريف الارتباط.
- توفير القدرة للمستخدمين لسحب الموافقة على ملفات تعريف الارتباط بسهولة.
7. تحقق من عمر جميع المستخدمين الموافقين
يسمح القانون العام لحماية البيانات (GDPR) فقط بمعالجة البيانات الشخصية للأفراد الذين تبلغ أعمارهم 16 عامًا أو أكبر. خلاف ذلك ، يجب إعطاء الموافقة من قبل الوالد أو الوصي على الطفل.
8. حافظ على تحديث سياسة الخصوصية الخاصة بك
يجب أن تكون سياسة الخصوصية الخاصة بك محدثة ويمكن الوصول إليها بسهولة على موقع الويب الخاص بك. عند إجراء تحديث لجمع البيانات أو معالجتها ، يجب إبلاغ جميع المستخدمين لديك وإخطارهم. يجب أن تحدد سياسة الخصوصية الخاصة بك بوضوح جميع البيانات التي تم جمعها وكيفية استخدامها. يوصى بتقديم المشورة القانونية لإنشاء سياسة خصوصية بيانات دقيقة تتوافق مع القانون العام لحماية البيانات (GDPR). بالإضافة إلى ذلك ، لا يعد الاشتراك المزدوج لقائمة البريد الإلكتروني أثناء التسجيل إلزاميًا ولكن يوصى به بشدة.
هذا مثال على سياسة الخصوصية على موقع الويب الخاص باللائحة العامة لحماية البيانات
9. تقييم المخاطر بانتظام
تتوقع اللائحة العامة لحماية البيانات (GDPR) أن تكون المؤسسات على دراية مستمرة بجميع المخاطر الأمنية التي تقع على أطراف أخرى وأن تكون مستعدة لهذه المخاطر عندما يحين الوقت. مفتاح الأمان هو المراقبة المستمرة للثغرات الأمنية ومعالجتها على الفور. إذا لم يكن لدى مؤسستك الموارد أو الخبرة ، فيمكن الاستعانة بمصادر خارجية.
تحقق من تقييمات المخاطر المحددة الخاصة باللائحة العامة لحماية البيانات.
كيف يعالج Lexzur اللائحة العامة لحماية البيانات
في Lexzur ، نتعامل مع الامتثال للقانون العام لحماية البيانات (GDPR) على محمل الجد. نحن نؤمن بحماية حق الأفراد في التحكم في بياناتهم الشخصية وخصوصيتهم. يلتزم الفريق في Lexzur بضمان أن منتجاتنا وعملياتنا التجارية تلبي متطلبات القانون العام لحماية البيانات (GDPR) كمتحكمين في البيانات ومعالجات للبيانات. تنعكس هذه التفاصيل في الشروط والأحكام الخاصة بنا.
تقر سياسة Lexzur بهذه المسؤولية وتحدد كيفية جمع البيانات الشخصية واستخدامها في منتجاتها. يقوم Lexzur بتخزين البيانات بشكل آمن ويوفر الأدوات والخدمات اللازمة لمساعدة الفرق القانونية والممارسين القانونيين على الوفاء بمسؤولياتهم كمراقبين للبيانات.
يحمي Lexzur البيانات المخزنة داخل منتجات Lexzur ويتم نقلها من منتجات Lexzur لضمان حماية أي بيانات مخزنة بواسطة مستخدمي Lexzur.
للحصول على معلومات عامة حول الامتثال للقانون العام لحماية البيانات (GDPR) ، يرجى زيارة الموقع الرسمي للائحة العامة لحماية البيانات (GDPR).
لمزيد من المعلومات حول كيفية امتثالنا للائحة العامة لحماية البيانات ، يرجى الاتصال بدعمنا عبر [email protected]
أترك تعليقاََ