نظرة عامة على تنظيم حماية البيانات العامة

تنظيم حماية البيانات العامة مجدي أم لا؟

المقدمة

في 25 مايو 2018 ، سوف تدخل لائحة حماية البيانات العامة )GDPR(حيز التنفيذ في الاتحاد الأوروبي. هذا هو التحول الأكثر أهمية إلى المناظر الطبيعية لحماية البيانات الأوروبية في السنوات العشرين الماضية. عند سن قانون إجمالي الناتج المحلي الجديد ، سيتم تنظيم جميع البيانات الشخصية للاتحاد الأوروبي والمقيمين فيه. من المحتمل أن تؤثر هذه اللائحة على العديد من المنظمات في الاتحاد الأوروبي والعديد من وحدات الأعمال الأخرى مثل المبيعات والتسويق وتكنولوجيا المعلومات والمعاملات الإلكترونية وغيرها. سيكون الناتج المحلي الإجمالي له تأثير متسلسل على التشريع الوطني لحماية البيانات في الاتحاد الأوروبي. وقد نوقش الناتج المحلي الإجمالي الكثير في الآونة الأخيرة وتأثيره في الاتحاد الأوروبي وخارج أوروبا. ستوفر المقالة التالية ملخصًا كاملاً للتشريع الجديد ، ويجب على الشركات الأساسية أن تفكر في مساعيها للتكيف مع الناتج المحلي الإجمالي.

ما هو تنظيم حماية البيانات؟

تنظيم حماية البيانات هو طريقة لحماية المعلومات الشخصية في القرن الحادي والعشرين ؛ حيث يمنح الناس الإذن للشركات التي يمكنها الاستفادة من بياناتها لعدة أسباب مقابل الحصول على خدمات مجانية. ويمنح القانون سيطرة مطلقة على الأشخاص حول كيفية استخدام الشركات لمعلوماتهم وفي الوقت نفسه فرض عقوبات كبيرة على منتهكي القانون وتعويض أولئك الذين يعانون من الانتهاك. كما يضمن حماية البيانات غير مكترث لجميع الدول الأعضاء في الاتحاد الأوروبي.

سيغطي قانون إجمالي تنظيم حماية البيانات الجوانب المختلفة بما في ذلك ملاحظات الخصوصية ، والإشعار بالتماس الموافقة ، ومعلومات حول استخدام البيانات وكيفية توصيل البيانات إلى ومن خلال المنظمات الأخرى. لا تضيف معظم الإرشادات إلى حد كبير ما نعرفه ويمكننا الحصول عليه من محتوى الناتج المحلي الإجمالي ، بما في ذلك العروض التقديمية ، أو من المفارقات السابقة من WP29. ومع ذلك ، هناك بعض الإضاءات القيمة والتوصيات التي يمكن العثور عليها.

ينظر للتحسينات

بشكل شامل ، لا يتم تعديل القواعد والمبادئ الأساسية. المعاني الأساسية للمفاهيم الأساسية ، على سبيل المثال ، "معالجة" أو "معلومات فردية ومعلومات حساسة" هي نفسها كما كانت من قبل. في نفس الملاحظة ، لم تتغير تعريفات بعض السلطات بما في ذلك "موضوع البيانات" و "المعالج" و "سلطات حماية البيانات (DPA)." استخدام المعلومات لا يزال مشروطًا ومبادئ مشابهة لـ "السبب" و "الأمان ، "تبقى سليمة. فيما يلي التغييرات الملحوظة في القانون الجديد والتي يجب على المنظمات النظر فيها:

 تتراوح الغرامات المفروضة بموجب قانون الناتج المحلي الإجمالي ما يصل إلى 20 مليون يورو أو 4٪ (أربعة بالمائة) من رقم الأعمال السنوي للشركة ؛

الإجراءات التي اتخذت ضد المخالفين والتعويض الممنوح لضحايا خرق البيانات ؛

السيطرة على البيانات الشخصية. و

توسيع نطاق القانون حتى بالنسبة للشركات المدرجة خارج الاتحاد الأوروبي والقيام بأعمال تجارية مع شركات داخل الاتحاد الأوروبي.

والأهم من ذلك ، أن التحكم الكامل في البيانات الشخصية هو الموضوع الأساسي الذي كان يفكر فيه المشرعون قبل تنفيذ قانون الناتج المحلي الإجمالي. وبالتالي ، ينبغي التعبير عن الموافقة على استخدام المعلومات الشخصية ويجب أن تكون مؤيدة. كما يجب أن تسمح للجمهور بسحب موافقتهم في أي وقت من الأوقات أو تحديث معلوماتهم أو حذف البيانات بشكل كامل. يحق للشركات عند الحصول على الموافقة معالجة البيانات وتبادلها مع الكيانات الأخرى.

يفرض تنظيم حماية البيانات التزامين جديدين على الشركات "القرصنة بالتصميم" و "القرصنة بشكل افتراضي". تلزم القرصنة من خلال مسؤولية التصميم الكيانات بأخذ التدابير الأمنية بعين الاعتبار عند وضع تصور لأطر جمع البيانات الحديثة والحد من جمع المعلومات. ومعالجة البيانات فقط لأسباب حقيقية. هذا الجانب يزيد من مسؤولية الشركات ويؤثر عليها للعمل بالتوافق مع تنظيم حماية البيانات. وحيث أن هذا الأخير ينص على أن المجموعة الجديدة والأدوات المستخدمة لمعالجة البيانات يجب أن تسجل أعلى مستوى لحماية البيانات وأن أي انحراف عن هذه القاعدة سيتطلب موافقة صريحة من الشخص. هذه القاعدة تعني بحدوث حدث يتم فيه تجنب الحقول المملوءة مسبقًا.

الامتثال للقانون

لقد أحدث القانون تغييرات هامة في قوانين حماية البيانات في الاتحاد الأوروبي حيث فرض العديد من الالتزامات على شركات التسويق وشركات التأمين وقطاع آخر ذي صلة والذي يتطلب الامتثال الإضافي لمتابعة ذلك. على سبيل المثال ، يجب على معالجي البيانات تضمين هذه الشروط الأخرى في العقود والالتزام بموجب القانون بالالتزام بهذه الشروط. ومع ذلك ، إذا فشلوا في الامتثال لمتطلبات القانون ، فسوف يخضعون للمراقبة المباشرة والعقوبات من قبل السلطات العليا.

على العكس ، بالنسبة لمراقبي البيانات ، فإن القانون يتطلب منهم توضيح كيفية امتثالهم لأحكام القانون. يقترح مطلب الامتثال هذا أنه يجب على وحدات التحكم في البيانات إعداد سجل لكيفية معالجة البيانات ويجب تقديم الوثائق إلى اللجنة الإشرافية. كما يلزم القانون الشركات التي يتمثل نشاطها الرئيسي في رصد المعلومات على نطاق واسع ، في تعيين مسؤول عن حماية البيانات. كما يجب أن تكون بعض شركات التأمين على دراية بالبيانات الخاطئة وخصوصية البيانات. يتم تحديد الاسم المستعار ليعرض مواضيع المعلومات مستوى آخر من التأكيد ، في حين أن الأمن يؤثر على التقييمات سيتم استخدامها من خلال مساعي التعرف على مخاطر عدم الامتثال ومعالجتها. علاوة على ذلك ، في الحالات التي تنطوي فيها معالجة البيانات على مخاطر كبيرة على خصوصية البيانات ، يكون إصدار بيان الخصوصية في مثل هذا الحدث إلزاميًا. فيما يلي التغييرات الحيوية الأخرى في الناتج المحلي الإجمالي والتي يجب على الشركات أخذها في الاعتبار:

1.  الموافقة: إن القبول أو الصمت "الصامت" لن يكون كافياً للحاجة إلى تعريف الموافقة بموجب القانون. سوف تكون هناك حاجة لاتخاذ إجراء صريح ، ويمكن لمواد البيانات سحب موافقتهم في أي وقت. سيؤثر هذا الإجراء على حاملي وثائق التأمين والتغييرات التي تطرأ على العملاء الذين يواجهون مواقع الويب ، وسيتطلب الأمر تعزيز النسيج والتقارير.
2. إشعار الخصوصية: هو مطلب إضافي بموجب القانون ، حيث يجب على شركات التأمين توفير أعلى المعلومات التي يمكن أن تضمن الشفافية لحاملي وثائق التأمين. تشمل عملية تمرير البيانات أساس إعداد البيانات والمدة التي ستحتفظ بها الشركة بنفسها.
3. الحق في المعلومات: بغض النظر عن الحقوق المذكورة أعلاه المقدمة للبيانات الخاضعة للقانون ، فإن لها أيضًا صلاحية تصحيح أو محو أو فرض قيود أو إثارة أي اعتراض فيما يتعلق بالبيانات التي تحتفظ بها الشركة. يتم إعداد الناتج المحلي الإجمالي (GDPR) لتقديم مزيد من التحكم في البيانات للبيانات من خلال إتاحة الفرصة لمعلمي المعلومات لاستجواب التعامل استنادًا إلى اهتمام وحدة التحكم أو المعالج.
4. طلبات الوصول إلى البيانات الموضوع: هناك تغيير في طلبات الوصول للمحتوى مقارنة بالقانون القديم الذي يحق لموضوع البيانات الحصول على معلومات إضافية ؛ المدة الزمنية لطلب المعالجة هي الآن 30 يومًا بدلاً من 40 يومًا ؛ لا يمكن للشركات رفض الطلب إلا إذا كان نفس الشيء متكرر.

ينص القانون الجديد بوضوح على أن قطاع التأمين سيواجه العديد من المسؤوليات والالتزامات مع الالتزام بأحكام القانون.

الإعفاءات بموجب القانون

هناك العديد من الإعفاءات بموجب القانون مثل الإعفاء من الالتزام بإنشاء ملاحظة خصوصية عندما يتم الحصول على المعلومات مباشرة من مادة البيانات المشروطة إلى الحد الذي يكون فيه الموضوع بالفعل في حوزته. ينطوي هذا الاستثناء على أن وحدة التحكم قد تتطلب فقط توفير معلومات إضافية لموضوع البيانات. وحيث أنه إذا تم الحصول على البيانات من خلال وسائل غير مباشرة ، فيمكن الحصول على إعفاء أوسع نطاقاً بكثير ، خاصة إذا كانت المعلومات تشتمل على مجهود غير متوازن. من الضروري أن يكون تفسير الاستثناءات واضحًا ودقيقًا ومحدّدًا. علاوة على ذلك ، يجب أن تكون وحدة التحكم في البيانات قادرة على إضفاء الشرعية على الاعتماد على أي منها. تنص المادة 23 من قانون الناتج المحلي الإجمالي على مزيد من الاستثناءات لإدراجها في التشريعات الوطنية بما يتماشى مع الناتج المحلي الإجمالي ، ولكن القواعد توضح أنه في حالة الاعتماد على هذه الإعفاءات ، يجب أن يقوم مراقبو المعلومات بتثقيف الأشخاص المعنيين بهذا الموضوع ما لم يفعل ذلك تحيزًا لسبب الاستثناء.

تنظيم حماية البيانات  و تأثيره على خارج أوروبا

ينظم قانون حماية بيانات الاتحاد الأوروبي القديم بشكل أساسي الكيانات المنشأة داخل أوروبا والدول الأعضاء فيها ، في حين يؤثر الناتج المحلي الإجمالي أيضًا على الشركات التي تم تأسيسها خارج أوروبا. على سبيل المثال ، في حالة تحكم البيانات من خارج الاتحاد الأوروبي باستخدام أدواته داخل أوروبا من أجل معالجة البيانات ، باستثناء غرض التبادل ، سيخضع للقانون.

بما أن محكمة العدل التابعة للاتحاد الأوروبي قد ذكرت حقًا في Google Spain Vs. Agencia Espanola de Protection de Datos أن أنشطة معالجة البيانات في محرك بحث Google الإسباني ، على الرغم من عدم قيام شركة Google الفرعية بتنفيذها ، ترتبط بشكل كافٍ بشركة إسبانية. شكّلت المحكمة في المسألة المذكورة الرأي بأن أنشطة الشركة الأمريكية ترتبط بالمبيعات التي تولدها Google Spain.

كما أن المادة 3 من القانون توفر رؤية واضحة للولاية القضائية الإقليمية بموجب القانون ، حيث يمكن تنظيم مراقبة البيانات من خارج الاتحاد الأوروبي وفرض عقوبات كبيرة على انتهاك الناتج المحلي الإجمالي. المادة 3 من الناتج المحلي الإجمالي هي كما يلي:

النطاق الإقليمي

1.  ينطبق النظام (النطاق) على معالجة المعلومات الشخصية المتعلقة بأنشطة كيان المراقب في الاتحاد الأوروبي ، بغض النظر عما إذا كانت المعالجة تتم في الاتحاد أم لا ؛

2.  تسري اللائحة على معالجة المعلومات الخاصة بالبيانات الداخلة في الاتحاد الأوروبي من قبل مراقب غير موجود في الاتحاد ، حيث تكون الأنشطة كما يلي:

• رصد سلوكهم وسلوكهم داخل الاتحاد الأوروبي.
• بيع السلع أو الخدمات ، بصرف النظر عما إذا كان الأشخاص الذين يقومون بدفع مواد البيانات المطلوبة لمثل هذه البيانات موضوع في الاتحاد ؛

3.  تنطبق اللوائح على الكيانات المنشأة خارج الاتحاد الأوروبي ، ولكن في مكان ينطبق فيه قانون الدول الأعضاء بموجب القانون الدولي العام.

تنظيم حماية البيانات في دولة الإمارات العربية المتحدة

سوق أبوظبي العالمي (ADGM) ، والمركز المالي الدولي في الإمارات العربية المتحدة ، يسمحان للشركات بالقيام بأنشطة مالية وغير مالية في إطار مختلف. كونها منطقة حرة اقتصادية ، فإن سوق أبوظبي للأوراق المالية لديها قوانينها وقواعدها وأنظمتها بناءً على قانون عام ينظم ويحكم الشركات التي تم تأسيسها في المنطقة الحرة. وبالنظر إلى سن قوانين جديدة بشأن حماية البيانات ، فإن مصرف أبوظبي للسياحة يتقدم في الوقت المناسب مقارنة بالمناطق الحرة الأخرى في الدولة ؛ لديها بالفعل أنظمة حماية البيانات لعام 2015 والتي تغطي مجموعة واسعة من الالتزامات ، وحماية البيانات الشخصية وتبادلها داخل أو خارج ADGM. وحيث أن ADGM قام مؤخراً بتعديل اللوائح في عام 2017 والتي تفرض شرطًا إلزاميًا لإخطار الاختراق يتم دون أي تأخير غير ضروري أو خلال 72 ساعة بعد الحصول على معلومات حول الخرق. زاد التعديل عدد العقوبات المفروضة على منتهكي القانون.

الاستنتاجات

أثناء فهم وإدارة هذه القواعد واللوائح عبر الحدود ، يجب على وحدة التحكم في البيانات تحليل المعلومات الهامة التي حصل عليها ومن أين حصل عليها. كما نعلم أن الإنترنت ليس له حدود إقليمية ، ويمكن للمرء بسهولة تبادل المعلومات. ومع ذلك ، فمن الملائم إبراز القوانين السارية على المحتوى المتلقاة من الإنترنت أو غيرها من أدوات التحكم في البيانات. يجب على الشركات ، في جميع الأوقات ، أن تكون على دراية بالمخاطر القانونية التي تتعرض لها الفشل في الالتزام بقواعد الناتج المحلي الإجمالي.