اللائحة العامة لحماية البيانات (GDPR) هي قانون للاتحاد الأوروبي (EU) يحكم كيفية جمع المؤسسات للبيانات الشخصية واستخدامها. يجب على أي شركة تعمل في الاتحاد الأوروبي أو تتعامل مع بيانات المقيمين في الاتحاد الأوروبي الالتزام بمتطلبات اللائحة العامة لحماية البيانات.
ومع ذلك، فإن الامتثال للائحة العامة لحماية البيانات ليس بالضرورة أمرًا مباشرًا. وينص القانون على مجموعة من حقوق خصوصية البيانات للمستخدمين وسلسلة من المبادئ لمعالجة البيانات الشخصية. يجب على المؤسسات دعم هذه الحقوق والمبادئ، لكن اللائحة العامة لحماية البيانات تترك مجالًا لكل شركة لتقرر كيف.
إن المخاطر كبيرة، وتفرض اللائحة العامة لحماية البيانات (GDPR) عقوبات كبيرة على عدم الامتثال. يمكن أن تؤدي الانتهاكات الأكثر خطورة إلى فرض غرامات تصل إلى 20 مليون EUR أو 4% من حجم المبيعات العالمية للمؤسسة في العام السابق. يمكن لمنظمي اللائحة العامة لحماية البيانات أيضا إنهاء أنشطة معالجة البيانات غير المشروعة وإجبار المؤسسات على إجراء تغييرات.
تغطي قائمة المراجعة أدناه القواعد التنظيمية الأساسية للائحة العامة لحماية البيانات (GDPR). تعتمد كيفية تلبية المؤسسة لهذه اللوائح على ظروفها الفريدة، بما في ذلك أنواع البيانات التي تجمعها وكيفية استخدامها لتلك البيانات.
تنطبق اللائحة العامة لحماية البيانات على أي مؤسسة يقع مقرها في المنطقة الاقتصادية الأوروبية (EEA). تضم المنطقة الاقتصادية الأوروبية جميع الدول الأعضاء في الاتحاد الأوروبي البالغ عددها 27 دولة بالإضافة إلى أيسلندا وليختنشتاين والنرويج.
تنطبق اللائحة العامة لحماية البيانات أيضًا على المؤسسات خارج المنطقة الاقتصادية الأوروبية في حالة:
لا تنطبق اللائحة العامة لحماية البيانات (GDPR) فقط على الشركات التي تستخدم بيانات العملاء لأغراض تجارية. تنطبق على أي مؤسسة تقريبًا تعالج بيانات سكان المنطقة الاقتصادية الأوروبية لأي غرض من الأغراض. تندرج المدارس والمستشفيات والهيئات الحكومية تحت سلطة اللائحة العامة لحماية البيانات.
عمليات المعالجة الوحيدة المعفاة من اللائحة العامة لحماية البيانات هي أنشطة الأمن القومي وإنفاذ القانون والاستخدامات الشخصية البحتة للبيانات.
تستخدم اللائحة العامة لحماية البيانات بعض المصطلحات المحددة. لفهم متطلبات الامتثال، يجب على المؤسسات فهم ما تعنيه هذه المصطلحات في هذا السياق.
تُعرّف اللائحة العامة لحماية البيانات (GDPR) البيانات الشخصية بأنها أي معلومات تتعلق بإنسان يمكن التعرف عليه. كل شيء من عناوين البريد الإلكتروني إلى الآراء السياسية يُعتبر بيانات شخصية.
أصحاب البيانات هو الإنسان الذي يمتلك البيانات. بعبارة أخرى، إنه الشخص الذي تتعلق به البيانات. لنفترض أن شركة ما تجمع أرقام الهواتف لإرسال رسائل تسويقية عبر الرسائل النصية القصيرة. سيكون أصحاب هذه الأرقام الهاتفية هم أصحاب البيانات.
عندما تشير اللائحة العامة لحماية البيانات (GDPR) إلى أصحاب البيانات، فهذا يعني أصحاب البيانات المقيمين في المنطقة الاقتصادية الأوروبية. ليس من الضروري أن يكون الأشخاص المعنيون من مواطني الاتحاد الأوروبي للحصول على حقوق خصوصية البيانات بموجب اللائحة العامة لحماية البيانات. يجب أن يكونوا فقط مقيمين في المنطقة الاقتصادية الأوروبية.
المتحكم في البيانات هو أي مؤسسة أو مجموعة أو شخص يحصل على البيانات الشخصية ويحدد كيفية استخدامها. بالعودة إلى مثال سابق، فإن الشركة التي تجمع أرقام الهواتف لأغراض التسويق ستكون المتحكم.
معالجة البيانات هي أي إجراء يتم اتخاذه على البيانات، بما في ذلك جمعها أو تخزينها أو تحليلها. معالج البيانات هو أي مؤسسة أو جهة فاعلة تقوم بمثل هذه الإجراءات.
يمكن أن تكون الشركة متحكمًا ومعالجًا في الوقت نفسه، مثل الشركة التي تجمع أرقام الهواتف وتستخدمها لإرسال رسائل تسويقية. تشمل المعالجات أيضًا الجهات الخارجية التي تعالج البيانات نيابةً عن جهات التحكم، مثل خدمة التخزين السحابي التي تستضيف قاعدة بيانات أرقام الهواتف لشركة أخرى.
السلطات الإشرافية هي الهيئات التنظيمية التي تفرض متطلبات اللائحة العامة لحماية البيانات (GDPR). كل دولة من دول المنطقة الاقتصادية الأوروبية لديها سلطتها الإشرافية الخاصة.
على مستوى عالٍ، تكون المؤسسة ممتثلة للائحة العامة لحماية البيانات إذا كانت:
تقوم قائمة التحقق التالية بتفصيل هذه المتطلبات بشكل أكبر. ستعتمد الخطوات العملية التي تتخذها المؤسسة لتلبية هذه المتطلبات على موقعها ومواردها وأنشطة معالجة البيانات، من بين عوامل أخرى.
تضع اللائحة العامة لحماية البيانات مجموعة من المبادئ التي يجب على المؤسسات اتباعها عند معالجة البيانات الشخصية. المبادئ هي كما يلي.
تحدد اللائحة العامة لحماية البيانات الظروف التي يمكن للشركات بموجبها معالجة البيانات الشخصية بشكل قانوني. يجب على المؤسسة إنشاء وتوثيق أساسها القانوني قبل جمع أي بيانات. يجب على المؤسسة توصيل هذا الأساس للمستخدمين عند نقطة جمع البيانات. لا يمكنها تغيير الأساس بعد وقوعه ما لم تحصل على موافقة المستخدم للقيام بذلك.
وتشمل الأسس القانونية المحتملة ما يلي:
وفقًا لمبدأ تقييد الغرض من اللائحة العامة لحماية البيانات (GDPR)، يجب أن يكون لدى المتحكمين غرض محدد وموثق لجمع البيانات. يجب أن تقوم الجهة المتحكمة بتوصيل هذا الغرض إلى المستخدمين عند نقطة جمع البيانات، ويمكنها فقط استخدام البيانات لهذا الغرض المحدد.
يمكن للجهات المتحكمة جمع الحد الأدنى فقط من البيانات اللازمة لتحقيق الغرض المعلن.
يجب على الجهات المتحكمة اتخاذ خطوات معقولة لضمان دقة البيانات الشخصية التي يحتفظون بها وحداثتها.
تتطلب اللائحة العامة لحماية البيانات (GDPR) سياسات صارمة للاحتفاظ بالبيانات وحذفها. يمكن للشركات الاحتفاظ بالبيانات فقط حتى يتم تحقيق الغرض المحدد لجمع تلك البيانات، ويجب عليها حذف البيانات بمجرد عدم الحاجة إليها.
يجب على المتحكمين والمعالجين تطبيق حماية إضافية على أنواع معينة من البيانات الشخصية.
تتضمن بيانات الفئة الخاصة بيانات حساسة للغاية مثل عِرْق الشخص وبياناته الحيوية. لا يمكن للمؤسسات معالجة بيانات الفئة الخاصة إلا في ظروف محدودة للغاية، مثل منع التهديدات الخطيرة للصحة العامة. يمكن للشركات أيضًا معالجة بيانات الفئة الخاصة بموافقة صريحة من الشخص المعني.
لا يمكن التحكم في بيانات الإدانة الجنائية إلا من قِبل السلطات العامة. لا يمكن للمعالجات معالجة هذه المعلومات إلا بتوجيه من السلطة العامة.
يجب على المتحكمين الحصول على موافقة أحد الوالدين قبل معالجة بيانات الأطفال. يجب عليهم اتخاذ خطوات معقولة للتحقق من أعمار الأشخاص وهويات الوالدين. في حالة جمع البيانات من الأطفال، يجب على المتحكمين تقديم إشعارات الخصوصية بلغة ملائمة للأطفال.
تحدد كل دولة من دول المنطقة الاقتصادية الأوروبية تعريفها الخاص لكلمة "طفل" بموجب اللائحة العامة لحماية البيانات. وهي تتراوح من "أي شخص يقل عمره عن 13" إلى "أي شخص يقل عمره عن 16".
يجب على المؤسسات التي لديها أكثر من 250 موظفًا الاحتفاظ بسجلات معالجة البيانات. يجب على المؤسسات التي يعمل بها أقل من 250 موظفًا الاحتفاظ بسجلات إذا كانت تعالج بيانات حساسة للغاية أو تعالج البيانات بانتظام أو تعالج البيانات بطريقة تشكل خطرًا كبيرًا على أصحاب البيانات.
يجب على جهات التحكم توثيق أشياء مثل البيانات التي يجمعونها، وما يفعلونه بتلك البيانات، وخرائط تدفق البيانات وضمانات البيانات. يجب على المعالجات توثيق جهات التحكم التي يعملون من أجلها وأنواع المعالجة التي يقومون بها لكل جهة تحكم وعناصر التحكم الأمنية التي يستخدمونها.
بموجب اللائحة العامة لحماية البيانات (GDPR)، تقع المسؤولية النهائية عن الامتثال على عاتق جهة التحكم في البيانات. هذا يعني أن جهة التحكم يجب أن تضمن—وأن تكون قادرة على إثبات—أن معالجات الجهات الخارجية الخاصة بها تفي بجميع متطلبات اللائحة العامة لحماية البيانات ذات الصلة.
تمنح اللائحة العامة لحماية البيانات (GDPR) أصحاب البيانات حقوقًا معينة على بياناتهم. يجب على جهات التحكم والمعالجة احترام هذه الحقوق.
يجب أن تمنح المؤسسات أصحاب البيانات وسيلة بسيطة لتأكيد حقوقهم على بياناتهم. تشمل هذه الحقوق ما يلي:
بشكل عام، يجب على المؤسسات الرد على جميع طلبات الوصول إلى البيانات من الأشخاص المعنيين في غضون 30 يومًا. يجب على الشركات عادةً الامتثال لطلب الشخص المعني ما لم تتمكن الشركة من إثبات أن لديها سببًا مشروعًا ومهمًا لعدم الامتثال.
إذا رفضت المؤسسة طلبًا ، فيجب عليها توضيح السبب. يجب على المؤسسة أيضًا إخبار الشخص المعني بكيفية الطعن في القرار أمام مسؤول حماية البيانات في الشركة أو السلطة الإشرافية ذات الصلة.
بموجب اللائحة العامة لحماية البيانات، يحق لأصحاب البيانات عدم الالتزام بعمليات صنع القرار المؤتمتة التي يمكن أن يكون لها تأثير كبير عليهم. ويشمل ذلك التنميط، الذي تُعرّفه اللائحة العامة لحماية البيانات بأنه استخدام الأتمتة لتقييم بعض جوانب الشخص، مثل التنبؤ بأدائه في العمل.
إذا كانت المؤسسة تستخدم القرارات المؤتمتة، فيجب أن تمنح أصحاب البيانات طريقة للطعن في تلك القرارات. يمكن للأشخاص المعنيين أيضًا أن يطلبوا من الموظف البشري مراجعة أي قرارات مؤتمتة تؤثر عليهم.
يجب على جهات التحكم والمعالجة إبلاغ أصحاب البيانات بشكل استباقي وواضح عن أنشطة معالجة البيانات، بما في ذلك البيانات التي يجمعونها وما يفعلونه بها وكيف يمكن لأصحاب البيانات ممارسة حقوقهم على البيانات.
يجب عادة إرسال هذه المعلومات من خلال إشعار خصوصية يتم تقديمه إلى الشخص المعني أثناء جمع البيانات. إذا لم تقم الشركة بجمع البيانات الشخصية مباشرةً من الأشخاص، فيجب إرسال إشعارات الخصوصية إلى الأشخاص في غضون شهر. قد تقوم الشركات أيضًا بتضمين هذه التفاصيل في سياسات الخصوصية المتاحة للجمهور على مواقعها الإلكترونية.
تتطلب اللائحة العامة لحماية البيانات (GDPR) من جهات التحكم والمعالجة اتخاذ خطوات لمنع إساءة استخدام البيانات الشخصية وحماية أصحاب البيانات من الأذى.
يتعين على جهات التحكم والمعالجة نشر تدابير أمنية لحماية سرية وسلامة البيانات الشخصية. لا تتطلب اللائحة العامة لحماية البيانات (GDPR) أي ضوابط معينة، ولكنها تنص على أنه يجب على الشركات اعتماد تدابير تقنية وتنظيمية.
تشمل التدابير التقنية الحلول التكنولوجية، مثل منصات إدارة الهوية والوصول (IAM)، والنسخ الاحتياطي الآلي وأدوات أمن البيانات. رغم أن اللائحة العامة لحماية البيانات لا تفرض تشفير البيانات بشكل صريح، إلا أنها توصي المؤسسات باستخدام أسماء مستعارة وإخفاء الهوية حيثما أمكن ذلك.
تشمل التدابير التنظيمية تدريب الموظفين وتقييمات المخاطر المستمرة والسياسات والعمليات الأمنية الأخرى. كما يجب على الشركات أيضًا اتباع مبدأ حماية البيانات من خلال التصميم وبشكل افتراضي عند إنشاء أو تنفيذ أنظمة ومنتجات جديدة.
إذا كانت الشركة تخطط لمعالجة البيانات بطريقة تشكل خطرًا كبيرًا على حقوق الأشخاص، فيجب عليها أولاً إجراء تقييم أثر حماية البيانات (DPIA). تشمل أنواع المعالجة التي يمكن أن تؤدي إلى إجراء تقييم أثر حماية البيانات التنميط الآلي والمعالجة واسعة النطاق لفئات خاصة من البيانات الشخصية، من بين أمور أخرى.
يجب أن يصف تقييم أثر حماية البيانات المستخدمة والمعالجة المقصودة والغرض من المعالجة. يجب أن يحدد مخاطر المعالجة وطرق التخفيف من تلك المخاطر. في حالة وجود مخاطر كبيرة غير مخففة، يجب على المؤسسة استشارة سلطة إشرافية قبل المضي قدمًا.
يجب على المؤسسة تعيين مسؤول حماية البيانات (DPO) إذا كانت تراقب الأشخاص المعنيين على نطاق واسع أو تعالج بيانات فئة خاصة كنشاط أساسي. يجب على جميع السلطات العامة تعيين مسؤولي حماية البيانات (DPO) أيضًا.
مسؤول حماية البيانات مسؤول عن ضمان امتثال المؤسسة للائحة العامة لحماية البيانات. تشمل الواجبات الرئيسية التنسيق مع سلطات حماية البيانات ، وتقديم المشورة للمؤسسة بشأن متطلبات اللائحة العامة لحماية البيانات والإشراف على تقييم أثر حماية البيانات.
يجب أن يكون مسؤول حماية البيانات موظفًا مستقلًا يقدم تقاريره مباشرةً إلى أعلى مستوى من الإدارة. لا يمكن للمؤسسة أن تنتقم من مسؤول حماية البيانات بسبب قيامه بواجباته.
يتعين على المؤسسات الإبلاغ عن معظم خروقات البيانات الشخصية إلى السلطة الإشرافية المختصة في غضون 72 ساعة. إذا كان الخرق يشكل خطرًا على أصحاب البيانات، يجب على المؤسسة أيضًا إخطارهم. يجب على المؤسسات إخطار أصحاب البيانات مباشرةً ما لم يكن الاتصال المباشر غير معقول، وفي هذه الحالة يكون الإشعار العام مقبولًا.
يجب على جهات المعالجة التي تعاني من خرق إخطار جهات التحكم ذات الصلة دون تأخير لا مبرر له.
يجب على أي شركة خارج المنطقة الاقتصادية الأوروبية تعالج بانتظام بيانات سكان المنطقة الاقتصادية الأوروبية أو تعالج بيانات حساسة بشكل خاص تعيين ممثل داخل المنطقة الاقتصادية الأوروبية. ينسق الممثل مع السلطات الحكومية نيابةً عن الشركة ويعمل كنقطة اتصال لمسائل الامتثال للائحة العامة لحماية البيانات.
تضع اللائحة العامة لحماية البيانات (GDPR) قواعد لكيفية مشاركة المؤسسات للبيانات الشخصية مع الشركات الأخرى داخل وخارج المنطقة الاقتصادية الأوروبية.
يمكن لجهات التحكم مشاركة البيانات الشخصية مع جهات المعالجة والجهات الخارجية الأخرى، ولكن يجب أن تخضع هذه العلاقات لاتفاقيات معالجة البيانات الرسمية. يجب أن تحدد هذه الاتفاقيات حقوق ومسؤوليات جميع الأطراف فيما يتعلق باللائحة العامة لحماية البيانات.
يمكن لجهات المعالجة الخارجية معالجة البيانات فقط وفقا لتوجيهات جهة التحكم. لا يمكنهم استخدام بيانات جهة التحكم لأغراضهم الخاصة. يجب أن تحصل جهة المعالجة على موافقة من جهة التحكم قبل مشاركة البيانات مع معالج فرعي.
لا يمكن لجهة التحكم مشاركة البيانات مع جهة خارجية موجودة خارج المنطقة الاقتصادية الأوروبية إلا إذا كان نقل البيانات يفي بواحد على الأقل من المعايير التالية:
يعد الامتثال للائحة العامة لحماية البيانات (GDPR) عملية مستمرة، ويمكن أن تتغير متطلبات المؤسسة أثناء جمعها لبيانات جديدة والمشاركة في أنواع جديدة من أنشطة المعالجة.
يمكن أن تساعد حلول أمان البيانات والامتثال مثل IBM® Security® Guardium في تبسيط عملية الوصول إلى الامتثال للائحة العامة لحماية البيانات (GDPR) والحفاظ عليه. يمكن ل Guardium اكتشاف البيانات الخاضعة للائحة العامة لحماية البيانات (GDPR) تلقائيًا، وفرض قواعد الامتثال لتلك البيانات، ومراقبة استخدام البيانات، وتمكين المؤسسات من الاستجابة للتهديدات التي تهدد أمن البيانات.