اللائحة العامة لحماية البيانات قادمة: كيفية الاستعداد

نشرت: 2017-11-15

ملاحظة: هذا للأغراض الإعلامية العامة فقط وليس المقصود به أن يشكل تحليلًا قانونيًا أو مشورة قانونية. يجب عليك الاتصال بمحامٍ لمعرفة المزيد عن التزاماتك الخاصة بموجب اللائحة العامة لحماية البيانات (GDPR).

إذا كنت جزءًا من منظمة تتعامل مع مواطني الاتحاد الأوروبي ، فربما تكون قد سمعت عن التغييرات القادمة التي تتضمن اللائحة العامة لحماية البيانات (GDPR). اللائحة العامة لحماية البيانات (GDPR) هي أحد قوانين الاتحاد الأوروبي التي تهدف إلى تعزيز وتوحيد قواعد حماية البيانات والحقوق لصالح مواطني الاتحاد الأوروبي. تنطبق اللائحة العامة لحماية البيانات (GDPR) على مؤسسات الاتحاد الأوروبي والمنظمات غير التابعة للاتحاد الأوروبي (من أي حجم) التي توفر السلع والخدمات إلى الاتحاد الأوروبي أو التي تستخدم تقنيات التتبع (مثل ملفات تعريف الارتباط أو وحدات بكسل التتبع) لمراقبة سلوك المستخدمين في الاتحاد الأوروبي.

سيتم تطبيق اللائحة العامة لحماية البيانات اعتبارًا من 25 مايو 2018.

في ذلك الوقت ، قد تتعرض أي مؤسسات غير ممتثلة لغرامات وعقوبات تنظيمية أخرى. للحصول على نظرة عامة حول القانون العام لحماية البيانات (GDPR) ، تُعد هذه المقالة مكانًا رائعًا للبدء.

المبادئ الأساسية للائحة العامة لحماية البيانات

ضع في اعتبارك المبادئ التالية بينما تستعد أنت وفريقك للائحة العامة لحماية البيانات القادمة:

  • يجب معالجة البيانات الشخصية التي تم جمعها بطريقة عادلة وقانونية وشفافة. لا ينبغي استخدامه بأي طريقة لا يتوقعها أي شخص بشكل معقول.
  • يجب جمع البيانات الشخصية فقط لتحقيق غرض محدد وعدم استخدامها مرة أخرى بطريقة لا تتوافق مع تلك الأغراض. يجب أن تحدد المنظمات سبب حاجتها للبيانات الشخصية عند جمعها.
  • يجب أن تكون البيانات الشخصية التي يتم الاحتفاظ بها محدثة ودقيقة. يجب ألا يتم عقده أكثر من اللازم لتحقيق الغرض منه.
  • يحق لمواطني الاتحاد الأوروبي الوصول إلى بياناتهم الشخصية. يمكنهم أيضًا طلب نسخة من بياناتهم ، وتحديث بياناتهم أو حذفها أو تقييدها أو نقلها إلى مؤسسة أخرى دون عائق.
  • يجب أن تظل جميع البيانات الشخصية آمنة ومأمونة ، ويطلب الآن من الشركات التي تقوم بأنواع معينة من الأنشطة تعيين مسؤول حماية البيانات.

ما هي البيانات الشخصية؟

يتضمن تعريف القانون العام لحماية البيانات للبيانات الشخصية ما نعتبره عادةً معلومات التعريف الشخصية (PII) - الاسم ورقم جواز السفر وتاريخ الميلاد وما إلى ذلك - ولكنه يتضمن أيضًا البيانات التي قد نعتبرها غير معلومات تحديد الهوية الشخصية ، مثل عناوين IP أو الجهاز المعرفات.

يمكن أن تتضمن البيانات الشخصية حتى بيانات حول فرد تم تجزئته أو تشفيره.

للحصول على قائمة شاملة بما يعتبره القانون العام لحماية البيانات (GDPR) بيانات شخصية ، يرجى قراءة المادة 4 (1) من اللائحة العامة لحماية البيانات (GDPR).

بالإضافة إلى ذلك ، يشتمل تعريف البيانات الشخصية على مجموعة فرعية من البيانات تُعرف باسم "الفئات الخاصة من البيانات الشخصية". الفئات الخاصة من البيانات الشخصية هي قائمة محددة من البيانات ، منصوص عليها صراحة في اللائحة العامة لحماية البيانات ، وتتضمن أشياء مثل العرق ، والدين ، والآراء السياسية ، والبيانات الصحية ، وما إلى ذلك.

خطوات التحضير للائحة العامة لحماية البيانات (GDPR)

تعيين البيانات - تحديد (وتوثيق) ما يلي:

  • ما هي البيانات الشخصية التي تمتلكها أو تجمعها؟
  • ما أغراض استخدام البيانات الشخصية؟
  • من أين أتت هذه البيانات ، وما هي الأطراف التي تمت مشاركتها معها؟
  • أين توجد هذه البيانات حاليا؟
  • ما هي مدة تخزين البيانات؟
  • كيف سيتم حذف هذه البيانات أو تعديلها إذا قدم موضوع البيانات طلبًا؟

الحقوق - تحقق من إجراءاتك الحالية للتأكد من أنه يمكنك الامتثال لحقوق أصحاب البيانات. يحق لمواطني الاتحاد الأوروبي الوصول إلى بياناتهم الشخصية. يمكنهم أيضًا طلب نسخة من بياناتهم ، وتحديث بياناتهم أو حذفها أو تقييدها أو نقلها إلى مؤسسة أخرى دون عوائق ، في ظروف معينة.

الموافقة - عند الاعتماد على الموافقة كأساس لمعالجة البيانات الشخصية ، حدد كيفية متابعة الحصول على الموافقة وتوثيقها. بالنسبة لأنواع معينة (وليس جميعها) من الأنشطة ، يجب الحصول على الموافقة بشكل عام من الفرد لاستخدام بياناته - على سبيل المثال ، عند معالجة فئات خاصة من البيانات الشخصية. ينص القانون العام لحماية البيانات (GDPR) على وجوب منح الموافقة من خلال عمل إيجابي واضح - لن يُشكل الصمت أو المربعات المحددة مسبقًا أو عدم النشاط عادةً موافقة. يجب أيضا أن تكون على علم بالموافقة.

سيتعين على المنظمات تقديم معلومات حول سبب قيامهم بجمع البيانات الشخصية وما سيتم استخدامها من أجله.

سيُطلب منك أيضًا الاحتفاظ بسجل لجميع الموافقة التي تم الحصول عليها ، بما في ذلك من وافق ، ومتى ، وما هي البيانات المحددة التي وافقوا عليها. يحق لأفراد الاتحاد الأوروبي سحب الموافقة في أي وقت.

سياسات الخصوصية - راجع سياسة الخصوصية الحالية وحدد ما إذا كانت هناك حاجة إلى أي تحديثات.

تصميم المنتج - يجب بناء الخصوصية حسب التصميم في المشاريع والنظر في كيفية تقليل تأثير الخصوصية على منتجاتك. حاول استخدام الأسماء المستعارة وإخفاء الهوية والتشفير عند الاقتضاء أو الضرورة. يمكن العثور على مزيد من المعلومات التفصيلية حول الخصوصية حسب التصميم في المادة 25 من القانون العام لحماية البيانات (GDPR).

إجراءات خرق البيانات - تأكد من أن لديك إجراءات معمول بها للكشف عن أي انتهاكات للبيانات والإبلاغ عنها والتحقيق فيها. تطلب اللائحة العامة لحماية البيانات (GDPR) من المنظمات الإبلاغ عن انتهاك لسلطات حماية البيانات بشكل عام في غضون 72 ساعة من اكتشافه ، ما لم يكن من غير المرجح أن يؤدي الانتهاك إلى خطر على حقوق الخصوصية للأفراد.

مسؤول حماية البيانات - حدد ما إذا كان يجب عليك تعيين مسؤول حماية البيانات (DPO). تنص اللائحة العامة لحماية البيانات على أنه يجب تعيين مسؤول حماية البيانات عندما تتضمن الأنشطة الأساسية للمؤسسة "مراقبة منتظمة ومنتظمة لموضوعات البيانات على نطاق واسع" أو عندما تجري المنظمة معالجة واسعة النطاق لـ "فئات خاصة من البيانات الشخصية". مسؤول حماية البيانات (DPO) مسؤول عن الإشراف على الامتثال لمتطلبات اللائحة العامة لحماية البيانات (GDPR) ويعمل كنقطة اتصال بين المنظمة والسلطات الإشرافية.

موفرو الطرف الثالث - قم بإعداد قائمة بجميع حلول الجهات الخارجية التي تستخدمها حاليًا (بما في ذلك ملفات تعريف الارتباط لتتبع مواقع الويب) التي يمكنها الوصول إلى البيانات الشخصية لأصحاب البيانات أو معالجتها. يجب عليك مراجعة جميع العقود الخاصة بك مع مزودي الطرف الثالث. قم بتضمين بنود السرية وخصوصية البيانات في العقود الخاصة بك والتي ، عند الضرورة ، متوافقة مع القانون العام لحماية البيانات (GDPR). اسأل مزودي الطرف الثالث الذين حددتهم في النطاق ما إذا كانوا متوافقين مع لائحة القانون العام لحماية البيانات (GDPR).

الوعي - تثقيف موظفيك حول اللائحة العامة لحماية البيانات وتأثيرها على جمع ومعالجة البيانات الشخصية للعملاء.

ماذا عن درع الخصوصية؟

القانون العام لحماية البيانات (GDPR) له متطلبات محددة فيما يتعلق بنقل البيانات الشخصية خارج الاتحاد الأوروبي.

على سبيل المثال ، يجب أن يتم نقل البيانات فقط إلى البلدان التي تم تحديد أن لديها قوانين حماية بيانات مناسبة أو حيث وضعت آليات تصدير البيانات المناسبة.

لا يعتبر الاتحاد الأوروبي أن الولايات المتحدة لديها قوانين مناسبة لحماية البيانات - ومع ذلك ، فإن Privacy Shield عبارة عن برنامج شهادة ذاتية طوعي يمكن للمنظمات الأمريكية المشاركة فيه لإثبات أن لديها ممارسات حماية بيانات كافية لتلبية متطلبات القانون العام لحماية البيانات (GDPR). .

SendGrid معتمدة من Privacy Shield وتقدم أيضًا البنود التعاقدية القياسية للعملاء كآلية بديلة لتصدير البيانات.

كيف يؤثر ذلك على البريد الإلكتروني؟

سيكون للائحة العامة لحماية البيانات تأثير على ممارسات التسويق. يحتاج جميع المسوقين عبر البريد الإلكتروني المهتمين باللائحة العامة لحماية البيانات إلى معالجة كيفية متابعتهم للحصول على الموافقة وتوثيقها عند الحاجة. سيرغب المسوقون أيضًا في التأكد من أنه يمكنهم تحديث بيانات الفرد أو حذفها أو تقييدها أو نقلها إذا طلب ذلك. من خلال الامتثال للقانون العام لحماية البيانات (GDPR) وإزالة عناوين البريد الإلكتروني الخاصة بالموضوعات غير المرغوب فيها من قوائمك ، يمكنك تحسين إمكانية التسليم!

ماذا بعد؟

إذا كنت تعتقد أن مؤسستك ستتأثر باللائحة العامة لحماية البيانات (GDPR) ، فيرجى الاتصال بمحامٍ لمعرفة المزيد عن التزاماتك الخاصة بموجب اللائحة العامة لحماية البيانات (GDPR). الغرض من هذا المنشور هو تسليط الضوء على بعض التغييرات التي قد تحدث للمؤسسات كنتيجة للائحة العامة لحماية البيانات (GDPR). النص الكامل للائحة العامة لحماية البيانات متاح هنا. يمكنك أيضًا العثور على مزيد من المعلومات المتعلقة باستخدام ملفات تعريف الارتباط وتنظيم الخصوصية الإلكترونية ومدى ارتباطها باللائحة العامة لحماية البيانات هنا.