حقائق يجب معرفتها حول اللائحة العامة لحماية البيانات الاوربية GDPR – General Data Protection Regulation ، حتى نستطيع فهم هذا القانون، ليتم تطبيقة بشكل صحيح، ولا نقع في إشكاليات مستقبلية. هذه اللوائح مهمة لجميع الجهات او المواقع الالكترونية تجارية أو خدمية والتي تتعامل مع بيانات الافراد ضمن الاتحاد الاوروبي أي كان موقع الخدمة أو الجهه.
ماهي لائحة الـ (GDPR):
GDPR تعني لائحة حماية البيانات العامة(General Data Protection Regulation). وهي لائحة أو قانون أوروبي جديدة يغطي حقوق وآليات حماية البيانات، ويهدف هذا القانون إلى تحسين وتوحيد طريقة الحماية والتعامل مع البيانات الشخصية. وسيبداء تنفيذ هذا القانون في 25 مايو 2018، ويلغي جميع القوانين الاوربية السابقة ذات الصلة بحماية البيانات.
1) على من يتم التطبيق:
يتم تطبيق هذه السياسة والقانون على جميع الجهات والشركات أو المواقع الالكترونية في جميع أنحاء العالم التي تقدم بضائع أو خدمات أو إستهداف أو تعالج البيانات الشخصية لمواطني الاتحاد الأوروبي.
2) ما يترتب عند المخالفة:
عند مخالفة هذا القانون، قد يتم تغريم الجهه المخالفة والتي إنتهكت هذه اللوائح ما بين 2٪ إلى 4٪ من قيمة عائداتها السنوية، أو 20 مليون يورو، (يتم تطبيق أي الرقمين أعلى في حينه). ويمكن أن تؤدي المخالفات المتكررة للأنظمة والفشل في معالجة القضية إلى فرض غرامات أعلى تصل إلى 40 مليون يورو.
3) تعريف البيانات الشخصة:
تم توسيع تعريف البيانات الشخصية، حيث تعتبر بموجب هذه السياسة أن أي بيانات يمكن استخدامها لتحديد الفرد كبيانات شخصية. وهي تشمل ، لأول مرة ، أشياء مثل المعلومات الجينية أو العقلية أو الثقافية أو الاقتصادية أو الاجتماعية.
4) الموافقة على جمع البيانات:
تم التشديد على قواعد وآليات الحصول على موافقة صحيحة لاستخدام المعلومات الشخصية، حيث تحتاج الجهات المعنية (شركات او مواقع إلكترونية، أو حتى أشخاص) إلى التأكد من استخدام لغة بسيطة عند طلب الموافقة على جمع البيانات الشخصية، وتحتاج إلى أن تكون واضحة بشأن كيفية استخدام هذه المعلومات ، ويجب الفهم ان عدم إتخاذ خطوة لتحديد ذلك كالتجاوز عن سؤال الموافقة لم يعد يشكل موافقة ضمنية بشكل افتراضي.
5) حقوق الافراد:
يجب على الجهات تزويد الأفراد بمعلومات عادلة وشفافة حول طريقة معالجة واستخدام بياناتهم الشخصية. لنكون أكثر تحديدًا، سيكون للأفراد الحقوق التالية:
- الحق في أن يكون على علم بما يتم التعامل به في بياناتة الشخصية.
- حق الوصول إلى البيانات الشخصية.
- الحق في تصحيح البيانات الشخصية.
- الحق في الحذف والالغاء (أشير إليها بمصطلح “حق النسيان”)
- الحق في تقييد وتحديد طريقة معالجة البيانات الشخصية.
- قابلية نقل البيانات الشخصية.
- الحق في الاعتراض.
- الحقوق المتعلقة باتخاذ القرارات الآلية وتحديد ملامح الملف الشخصي.
- يحق لمواطني الاتحاد الأوروبي التعامل مع من أي سلطة لحماية البيانات من اختيارهم في أي دولة من دول الاتحاد الاوروبي لتقديم الشكاوى والعروض القانونية ضد أي جهه او شركة او موقع بموجب هذا القانون.
6) فترة الاحتفاظ بالبيانات:
تطبيق مبداء تقليل فترة الاحتفاظ بالبيانات، الذي يتطلب من المنظمات عدم الاحتفاظ بالبيانات لفترة أطول من اللازم، وعدم تغيير استخدام البيانات من الغرض الذي تم تجميعها من أجله في الأصل، وفي نفس الوقت حذف أي بيانات بناء على طلب المستخدم أو جهة ما، وهذا يعني أن الجهات يجب ان تحصل على موافقة جديدة قبل أن تتمكن من تغيير الطريقة التي ستستخدم فيها البيانات التي تم جمعها.
7)تقديم مفهوم المكان الواحد أو الشامل:
في الماضي ، كانت آيرلندا مفضلة لدى الشركات الأمريكية الكبيرة، مثل قوقل، بسبب التساهل القانوني في موضوع سلطة حماية البيانات في هذه الدولة، نسبيا بالمقارنة مع بقية الدول، ولكن بوجب هذه السياسة والقوانين الجديدة ستسمح لأي سلطة حماية بيانات أوروبية باتخاذ إجراءات ضد أي جهه أو شركة، بغض النظر عن مكان الشركة في العالم، ولكن سيكون التعامل مع سلطة إشرافية واحدة فقط بدلاً من سلطات مختلفة لكل دولة في الاتحاد الأوروبي، وهذا سيجعل الأمر أبسط وأرخص للجهات، ولكن في الوقت نفسه، كما ذكرت انه يحق لمواطني الاتحاد الأوروبي التعامل مع من أي سلطة لحماية البيانات من اختيارهم في أي دولة من دول الاتحاد الاوروبي لتقديم الشكاوى والعروض القانونية ضد أي جهه او شركة او موقع بموجب هذا القانون.
8) الالتزام بالاعلان:
يجب الاعلان والابلاغ في حالة حدوث إختراق للبيانات الشخصية التي من المحتمل أن يكون لها آثار ضارة على الفرد من حيث المعلومات الشخصية او المالية…الخ، ويشمل ذلك إبلاغ سلطة حماية البيانات المحلية بواقعة انتهاك البيانات في غضون 72 ساعة من اكتشافها. وهذا يعني أن على الجهات أن تضمن امتلاكها للتقنيات والعمليات التي ستمكنها من اكتشاف خرق البيانات والاستجابة له.
9) توسيع المسؤولية:
تم توسيع المسؤولية عن هذه البيانات وما يترتب عليها خارج نطاق المتحكم بالبيانات، ففي الماضي، كانت الجهه التي تتحكم في البيانات هي فقط المسؤولة عن أنشطة معالجة البيانات، ولكن بموجب هذه القانون الجديد، ستمتد المسؤولية إلى جميع المنظمات التي تمس أو تتعامل مع البيانات الشخصية، مما يعني أنه حتى الجهات التي تقدم خدمات فقط وتتعامل مع البيانات الشخصية يجب أن تمتثل لقواعد مثل تقليل فترة الاحتفاظ بالبيانات إلى الحد الأدنى.
10) مسؤول حماية البيانات (DPO):
يجب من جميع الجهات المعنية بمعالجة المعلومات الشخصية أن تعين مسؤول أو جهة لحماية البيانات (“Data Protection Officer “DPO)، وذلك عندما تتطلب المراقبة المنتظمة والمنهجية لموضوعات البيانات على نطاق واسع للأنشطة الأساسية أو تكون المعالجة للبيانات على نطاق واسع لفئات البيانات الخاصة.
11) تقييم التأثير:
يجب على الجهه التي تتحكم او تدير البيانات الشخصية مراقبة وتقييم تأثير (Privacy Impact Assessments “PIAs”) ومتى تكون هناك مخاطر خرق للخصوصية، من أجل تقليل تلك المخاطر التي يتعرض لها الأفراد واصحاب تلك البيانات، وهذا يعني أنه قبل أن تتمكن أي جهه من البدء في مشاريع تتضمن معلومات شخصية، سيكون عليها إجراء تقييم مخاطر الخصوصية والعمل مع جهة الـ (DPO) لضمان التزامهم بهذه السياسات ضمن جميع مراحل المشاريع.
12) البرامج والأنظمة:
يجب على البرامج والأنظمة والعمليات المختلفة أن تراعي الامتثال لمبادئ وسياسات ولوائح حماية البيانات هذه، بمعنى، إن حذف المعلومات اصبح مؤكد، على سبيل المثال، من المعتاد ان البرامج حالياً لا تلغي البيانات بالكامل إلا بطرق ولاسباب معينة، ولكن في المستقبل، سيتعين على جميع البرمجيات أن تكون قادرة على محو البيانات بالكامل، الأمر الذي سيشكل تحديا للكثير من مهندسي البرمجيات.
ملاحظة: إذا كانت الشركة لديها أكثر من 250 موظف، فبإمكانها (من المستحسن) توثيق كافة البيانات الخاصة بالعملاء والتي يقومون بمعالجتها، وتوثيق من يطلع على تلك البيانات، ووضع وصف لإجراءات الشركة الاحترازية، أما لو كانت الشركة صغيرة الحجم فبالإمكان ان يقتصر توثيق البيانات التي يقومون بمعالجتها على الأساس المنتظم فقط أو على البيانات الحساسة.