اللائحة العامة لحماية البيانات: كل ما تحتاج إلى معرفته في 9 أسئلة حول اللائحة الجديدة لحماية البيانات

تدخل اللائحة العامة لحماية البيانات (GDPR) حيز التنفيذ في الاتحاد الأوروبي اعتبارًا من 25 مايو 2018. وفي هذا التاريخ، سيتعين على الشركات التي تعالج بيانات المواطنين الأوروبيين بذل المزيد من الجهد لحماية بياناتهم الشخصية والحصول على موافقتهم في حالة جمع البيانات. ولكن ما الذي يتغير حقا؟ نقترح عليك رؤية الأمور بشكل أكثر وضوحًا في 9 أسئلة!

ما هو القانون العام لحماية البيانات؟

تهدف اللائحة العامة لحماية البيانات (GDPR) إلى حماية البيانات المتعلقة بالحياة الخاصة لمواطني الاتحاد الأوروبي. ويهدف بشكل أساسي إلى تنسيق الممارسات المختلفة للغاية اعتمادًا على البلد لممارسة تأثير أكبر ضد الشركات عبر الوطنية وجمع البيانات الخاصة بها، ولا سيما GAFAM (Google وApple وFacebook وAmazon وMicrosoft). ولكن أيضًا لتحسين أمن تكنولوجيا المعلومات للشركات والإدارات في الاتحاد الأوروبي وحمايتها من التجسس الصناعي.

بالطبع الهدف الرئيسي هو قبل كل شيء توفير المزيد من الرؤية والتحكم في البيانات الشخصية للمواطنين الأوروبيين: ما هي البيانات التي يتم جمعها، ولأي غرض، وإلى متى ستحتفظ بها الشركة المسؤولة عن هذه المجموعة. وينبغي للنص، كما سترون، أن يقلل أيضًا من حجم البيانات التي يتم جمعها، لأن الشركات سوف تضطر إلى تبرير جمعها للأطراف المعنية والسلطات، ولن تكون قادرة حقًا على فعل ما تريد دون المخاطرة بعقوبات شديدة (جدًا).

ما هي البيانات الشخصية؟

هذه كلها بيانات تتيح التعرف على الأشخاص بشكل مباشر أو غير مباشر (عن طريق الإسناد الترافقي). يمكن أن يكون هذا الاسم والاسم الأول والعنوان البريدي والبريد الإلكتروني وعنوان IP ورقم الهاتف ومكان الإقامة ومكان وتاريخ الميلاد ورقم الضمان الاجتماعي ورقم بطاقة الائتمان ولوحة الترخيص والصور والعمر والجنس والحمض النووي وبصمات الأصابع والاهتمامات والآراء والدخل وسلوكيات الإنترنت (مثل المواقع التي تمت زيارتها)، والتفاعلات على الشبكات الاجتماعية، والروابط مع أشخاص آخرين، والبيانات الصحية، وتحديد الموقع الجغرافي، والمحادثات، (إلخ) من بين أمثلة أخرى.

هذه البيانات موجودة في كل مكان في الشركات – حتى في دفاتر العناوين المهنية وقواعد بيانات العملاء. وبالتالي، لا يقتصر هذا ببساطة على البيانات الواردة من الشبكات الاجتماعية مثل فيسبوك التي وقعت في فضيحة كامبريدج أناليتيكا.

من الذي يغطيه اللائحة العامة لحماية البيانات (GDPR)؟

تتأثر جميع الجهات الفاعلة (الشركات والجمعيات والمنظمات الدولية) التي تقدم السلع أو الخدمات أو تعالج البيانات المتعلقة بالمقيمين في الاتحاد الأوروبي وتعمل في السوق الموحدة باللائحة العامة لحماية البيانات. ولكن أيضا المقاولين من الباطن. يحدد النص"ينفذ مراقب البيانات والمقاول من الباطن التدابير الفنية والتنظيمية المناسبة من أجل ضمان مستوى الأمان المناسب للمخاطر".

هذه الشركات والمنظمات والجمعيات قد يكون لها أو لا يكون لها مقعد في الاتحاد الأوروبي: طالما أنها تقوم بمعالجة البيانات المتعلقة بمواطني الاتحاد الأوروبي، فيجب عليها الامتثال!

ما الذي يغيره هذا بالنسبة للشركات؟

يجب أن تكون الشركات قادرة في أي وقت على معرفة مكان وجود البيانات وكيفية جمعها وتخزينها ولأي غرض وإرسال كل هذا إلى الشخص الذي يطلبها. وهناك قائمة كاملة من التدابير التي يجب عليهم اتخاذها للتحضير لتطبيق النص:

• المسؤولية: الأمر متروك للشركة لاتخاذ جميع التدابير لضمان الامتثال للنص الأوروبي وإثبات امتثالها للائحة العامة لحماية البيانات في حالة الاستئناف.
• حماية البيانات الشخصية من تصميم المنتج أو الخدمة
• يجب أن يكون الأمن قويًا بشكل افتراضي ويجب على المنظمة تحمل العواقب إذا تم تعريض سلامة نظام المعلومات الخاص بها للخطر
• تسمية أموظف حماية البياناتأو مسؤول حماية البيانات: يجب عليه التأكد من الامتثال للائحة العامة لحماية البيانات والاتصال بالسلطات
• دراسات التأثير: يجب إجراؤها قبل إنشاء الخدمة، وتتيح إمكانية إيجاد تدابير للحد من تأثير الخدمة على الحياة الخاصة

بالإضافة إلى،يجب أن تظل البيانات التي تم جمعها في الاتحاد الأوروبي ما لم يتم إعفاؤها. في حالة تسرب البيانات و/أو الاختراق، يجب إبلاغ الأشخاص المعنيين وكذلك CNIL في فرنسا و/أو نظرائها في إحدى دول الاتحاد السبعة والعشرين خلال 72 ساعة. ويجب الإبلاغ عن هذه الانتهاكات في سجل خرق البيانات.

ما الذي سيغيره هذا بالنسبة لمستخدمي الإنترنت الأوروبيين؟

يجب على الشركات الآن تقليل البيانات التي تم جمعهامما يعني أنه سيتم جمع بيانات أقل عنك. بمجرد جمع البيانات الشخصية، يجب على مستخدم الإنترنت أيضًا تقديم بياناته الشخصيةموافقة صريحة. يجب أن تكون الإشعارات القانونيةاشرح سبب هذه المجموعةوكيف سيتم استخدام بياناته ومدة الاحتفاظ بها

هناك أيضًا الحق في إمكانية نقل البيانات: وهذا يعني ذلكيمكنك أن تطلب من Google وFacebook وApple وAmazon وMicrosoft وغيرها، لتنزيل جميع البيانات المتوفرة لديك بتنسيق منظم. وهذا يعني أيضًا أنه لن يتم نقل هذه البيانات إلى شخص آخر"مراقب البيانات"فقط بناء على طلبك. ومن البديهي أن هذا يعني نهاية البيع (القانوني) للبيانات الشخصية خلف ظهرك.

ما هي المخاطر التي قد تواجه الشركات التي لا تلتزم؟

وتنص النصوص على فرض عقوبات غير مسبوقة وثقيلة للغاية، تتراوح بين 4% من حجم الأعمال السنوي العالمي و20 مليون يورو. وفي جميع الأحوال سيتم الاحتفاظ بالمبلغ الأكبر. علاوة على ذلك، في حالة وجود شكوى، يجب على الشركة المعنية سداد التكاليف القانونية. ويتم بذل كل ما في وسعنا لضمان امتثال الشركات الراغبة في الاستفادة من السوق الموحدة، حتى لو كانت شركات متعددة الجنسيات.

في أي مجال ينطبق النص فعلاً؟

السؤال أبعد ما يكون عن السخافة. تنطبق اللائحة العامة لحماية البيانات بالطبع في المنطقة المكونة من 27 دولة عضو في الاتحاد الأوروبي. ولكن في الواقع، فإن هذا النص المرتقب له عواقب تتجاوز هذه الحدود بكثير. فهو يحدد معيارًا لم يكن موجودًا في سياق عالمي من عدم الثقة فيما يتعلق بجمع البيانات.

أعلن فيسبوك، على سبيل المثال، أنه سيتم تطبيق حماية القانون العام لحماية البيانات (GDPR) على جميع إصدارات الشبكة الاجتماعية في جميع أنحاء العالم. ذروة المفارقة هي أن الشركات الأخرى سوف تتبنى النص مثل فيسبوك حتى الولايات المتحدة.

متى سيدخل اللائحة العامة لحماية البيانات حيز التنفيذ؟

يدخل النص حيز التنفيذ في 25 مايو 2018، لكن آثار هذه اللائحة الجديدة ستظهر تدريجياً قبل هذا التاريخ. لكي تمتثل الشركات للائحة العامة لحماية البيانات في D-Day، يجب أن تكون قد طلبت مسبقًا من مستخدميها موافقتهم (أو رفض الموافقة) على جمع البيانات الشخصية.

هذا هو الحالالفيسبوك الذي أعلن عن قائمة التغييرات للامتثال للقانون العام لحماية البيانات. النص نفسه هو تتويج لعملية طويلة. كان عام 2017 عام التحول بالنسبة لهم. تدريجيًا، ستوفر المزيد والمزيد من المواقع ضوابط شاملة حول كيفية جمع بياناتك وتسهيل تنزيلها.

ما هي نقاط الضعف في النص؟

كما هو الحال مع أي نص جديد، فمن الأفضل عدم الانجراف تماما. لا يزال القانون العام لحماية البيانات يفتقر إلى السوابق القضائية: فالنصوص تنص على الحد الأدنى والحد الأقصى من العقوبات، ولكن سيتعين علينا انتظار قرارات المحكمة لمعرفة المبالغ الدقيقة لهذه العقوبات. الإجراء القانوني الذي خططت له شركة Quadrature du Net ضد GAFAM في 25 مايو 2018، وهو اليوم الذي يدخل فيه القانون العام لحماية البيانات حيز التنفيذ، من شأنه أن يساعد في توضيح هذه النقطة.

ومن الممكن أن تنشأ أيضًا شكاوى أخرى أقل شهرة، نظرًا لأنه في وقت كتابة هذا التقرير لا يزال هناك العديد من الشركات في الاتحاد (وخاصة الشركات الناشئة) التي تكافح من أجل المضي قدمًا.