ما المقصود باللائحة العامة لحماية البيانات؟
في 25 مايو 2018 ، دخلت اللائحة العامة لحماية البيانات الخاصة بالاتحاد الأوروبي (GDPR ؛ المشار إليها فيما يلي باسم اللائحة العامة لحماية البيانات ، اللائحة) حيز التنفيذ. يعتقد الكثير من الناس أن اللائحة العامة لحماية البيانات تنطبق فقط على المنظمات أو الشركات الأوروبية التي تعالج البيانات الشخصية (PD) في الاتحاد الأوروبي. ولكن في الواقع ، فإن اللائحة تتجاوز الحدود الإقليمية وتنطبق على المنظمات غير الموجودة في الاتحاد الأوروبي.
تستخدم القواعد ، وكذلك القانون الاتحادي للاتحاد الروسي رقم 152- "بشأن البيانات الشخصية" ، المفاهيم والأساليب التي صيغت في اتفاقية حماية الأفراد فيما يتعلق بالمعالجة التلقائية للبيانات الشخصية.
ينصب التركيز الأساسي في اللائحة على حماية حقوق وحريات الأفراد في معالجة بياناتهم الشخصية.
تجد المنظمات الروسية التي تقع في نطاق اللائحة العامة لحماية البيانات نفسها "بين نارين": فهي مطالبة بالامتثال للتشريع الروسي واللائحة الأوروبية الجديدة. في هذه المقالة ، سنحاول الكشف عن من يحتاج إلى الامتثال لمتطلبات اللائحة العامة لحماية البيانات في روسيا ، ولماذا ، وما هي عواقب عدم استيفائها.
على من تنطبق اللائحة العامة لحماية البيانات؟
وفقًا للمادة 3 من اللائحة ، تنطبق اللائحة العامة لحماية البيانات على:
1. معالجة PD خلال أنشطة المشغل أو المعالج (الشخص الذي عهد إليه المشغل لمعالجة PD) في إقليم الاتحاد الأوروبي ، بغض النظر عن مكان إجراء المعالجة - داخل الاتحاد الأوروبي أو خارجه.
2. معالجة PD بواسطة عامل أو معالج موجود خارج الاتحاد الأوروبي ، إذا كانت المعالجة مرتبطة بما يلي:
أ. عرض السلع أو الخدمات (مدفوعة أو مجانية) لمواضيع التطوير المهني الموجودة في الاتحاد الأوروبي ؛
ب. مراقبة الإجراءات (السلوك والنشاط) من مواضيع PD في الاتحاد الأوروبي.
3. معالجة PD بواسطة مشغل يقع خارج الاتحاد الأوروبي ، إذا كان ذلك ينطبق على تشريعات دولة عضو وفقًا للقانون العام الدولي.
إذا كان واضحًا إلى حد ما مع المشغلين الذين يقعون بوضوح تحت البند 1 (يجب أن تكون في الاتحاد الأوروبي) والفقرة 3 (البعثات الدبلوماسية والقنصليات للدول الأعضاء في الاتحاد الأوروبي) ، فإن البند 2 يثير العديد من الأسئلة ، لأنه يحدد قابلية تطبيق اللائحة العامة لحماية البيانات على الروسية الشركات.
من أجل العثور على إجابات لهذه الأسئلة ، بالإضافة إلى النص الرئيسي للائحة ، يجدر أيضًا الانتباه إلى حقيقة أن اللائحة العامة لحماية البيانات (GDPR) لديها ديباجة تكشف عن ما استرشد به المشرع عند وضع المعايير الموصوفة في اللائحة العامة لحماية البيانات (GDPR). على وجه الخصوص ، في الفقرة 23 من الديباجة ، يقال كيف يمكننا تحديد أن المشغل (أو معالج البيانات) يقدم السلع أو الخدمات للأشخاص الموجودين في الاتحاد الأوروبي. يمكن اعتبار العوامل التي تجعل من الممكن تحديد اتجاه النشاط في الاتحاد الأوروبي استخدامًا في عرض وبيع السلع أو الخدمات
بلغة أو
عملة دولة عضو في الاتحاد الأوروبي ، أو ذكر العملاء أو المستخدمين الموجودين في الاتحاد الأوروبي. وفي الفقرة 24 من الديباجة ، يقال إن رصد أفعال موضوع PD يعني تتبع مستخدمي الإنترنت ، بما في ذلك الإنشاء اللاحق المحتمل لملفات تعريف الأفراد ، وخاصة بهدف تحليل أو توقع التفضيلات والسلوك ، إلخ.
علاوة على ذلك ، تنص المادة 2 من اللائحة العامة لحماية البيانات على أن
اللائحة لا تنطبق على الأنشطة التي لا تخضع لقانون الاتحاد الأوروبي.من ما سبق ، يمكن للمرء تحديد المعايير التالية للتطبيق المباشر للائحة العامة لحماية البيانات على منظمة روسية:
- تقع المنظمة في الاتحاد الأوروبي (فرع أو مكتب تمثيلي لشركة روسية).
- لا تقع المنظمة في الاتحاد الأوروبي ، ولكنها تمارس أنشطة بدنية في الاتحاد الأوروبي ، ويشمل هذا النشاط معالجة البيانات الشخصية (على سبيل المثال ، شركة نقل مع تسليم البضائع من روسيا إلى أفراد في الاتحاد الأوروبي).
- تقدم المنظمة بشكل منهجي البضائع مع التسليم إلى الاتحاد الأوروبي مع إمكانية الدفع باليورو (PLN ، SEK ، إلخ).
- تقدم المنظمة خدمات للأفراد بإحدى اللغات الرسمية للاتحاد الأوروبي ، وهناك موقع على الإنترنت بهذه اللغة. للدفع مقابل الخدمات ، يمكنك استخدام عملة دول الاتحاد الأوروبي أو الدفع غير مطلوب.
- تقوم المنظمة بجمع وتحليل المعلومات حول زوار الموقع الإلكتروني من الاتحاد الأوروبي ، وتستخدم نتائج التحليل بمفردها أو تبيع (التحويلات) إلى أشخاص آخرين.
بالنسبة للمنظمات التي تندرج تحت البنود 2-5 ، تكون اللائحة العامة لحماية البيانات صالحة إلى الحد الذي تتم فيه معالجة معالجة PD للأشخاص الموجودين في الاتحاد الأوروبي. على سبيل المثال ، معالجة البيانات الشخصية كجزء من سجلات الموظفين ، إذا كان جميع موظفي المنظمة يعملون في روسيا ، لا تندرج تحت لائحة اللائحة العامة لحماية البيانات ، وتقع العمليات التجارية المحددة في المعايير.
تخضع المؤسسات التي تعالج البيانات الشخصية نيابة عن المشغل الذي يخضع لقواعد اللائحة العامة لحماية البيانات إلى اللائحة العامة لحماية البيانات بمبلغ يعتمد على جزء المعالجة الذي يتم نقله نيابةً عنه. إذا نفذت المنظمة جزءًا من عمليات المعالجة (على سبيل المثال ، جمع البيانات الشخصية ، وتحليل البيانات الشخصية ، وما إلى ذلك) ، فإنها تقع تحت تأثير اللائحة العامة لحماية البيانات. إذا كانت المنظمة تقدم خدمات الاستضافة (DPC) ، فلن تنطبق عليها سوى متطلبات اللائحة العامة لحماية البيانات التي سيقدمها لها المشغل مباشرة.
نود أيضًا ملاحظة أن الحالات التالية ، والتي غالبًا ما توجد في المواد المتعلقة باللائحة العامة لحماية البيانات ، ليست معايير لتطبيق اللائحة:
- لا تؤثر جنسية مواضيع PD على إمكانية تطبيق اللائحة العامة لحماية البيانات (على سبيل المثال ، لا يعني وجود عمال مواطنين في الاتحاد الأوروبي أن المنظمة تقع ضمن اللائحة العامة لحماية البيانات) ؛
- لا يعني توفر موقع المنظمة على الويب في الاتحاد الأوروبي إمكانية التطبيق التلقائي للائحة العامة لحماية البيانات. إذا كانت المنظمة لا تقوم بالتنميط ، ولا ترتبط الإحصاءات التي تم جمعها بمستخدمين محددين ، فلا ينبغي أن يقع نشاطها تحت اللائحة العامة لحماية البيانات.
- إذا تم تقديم الخدمة خارج الاتحاد الأوروبي (على سبيل المثال ، يمكن حجز غرفة فندق تقع في روسيا عن بُعد من الاتحاد الأوروبي) ، فيجب ألا تخضع المنظمة للائحة العامة لحماية البيانات ، نظرًا لأن أنشطتها لا تتم في الاتحاد الأوروبي ولا تخضع لقانون الاتحاد الأوروبي.
إذا كانت لا تزال لديك شكوك حول إمكانية تطبيق اللائحة على مؤسستك ، فيمكنك الاتصال بـ NIP Informzashita CJSC وسنساعدك في تحديد كيفية وما هي متطلبات اللائحة العامة لحماية البيانات الخاصة بمؤسستك وما يجب الالتزام به.
مراقبة الامتثال للائحة العامة لحماية البيانات في روسيا وعواقب عدم الامتثال
من أجل حماية حقوق موضوعات التطوير المهني في كل دولة من دول الاتحاد الأوروبي ، تم إنشاء هيئات حكومية لحماية حقوق موضوعات التطوير المهني (في نص اللائحة - السلطات الإشرافية ، في الممارسة العامة تسمى هذه الهيئات سلطات حماية البيانات (DPA)). من بين أمور أخرى ، تتمتع إدارة الشؤون السياسية بالسلطات التالية وفقًا للجزء 1 من المادة 58 اللائحة العامة لحماية البيانات:
- طلب أي معلومات تتعلق بمعالجة PD ؛
- إجراء عمليات تدقيق أمنية لـ PD ؛
- لتلقي وصول المشغل والمعالج إلى جميع PDs وإلى جميع المعلومات اللازمة لأداء مهامهم ؛
- الوصول إلى مباني أي مشغل ومعالج ، بما في ذلك أي معدات ومرافق معالجة البيانات.
يتم وضع إجراءات مراقبة محددة من قبل دول الاتحاد الأوروبي بشكل مستقل. في حالة انتهاك أحكام لائحة DPA ، في جملة أمور ، وفقًا للجزء 2 من المادة 58 من اللائحة العامة لحماية البيانات ، يجوز لهم:
- إصدار تحذير أو تعليق للمشغل أو المعالج يفيد بأن الإجراء الحالي لمعالجة PD ينتهك أحكام اللائحة ؛
- إصدار أمر حول الحاجة إلى تلبية طلب الموضوع ، حول الحاجة إلى إبلاغ الموضوع عن انتهاك PD الأمن ؛
- للمطالبة بمواءمة معالجة البيانات الشخصية مع اللائحة خلال فترة محددة ؛
- فرض قيود مؤقتة أو دائمة على المعالجة ، بما في ذلك حظر المعالجة ؛
- إصدار أمر لإزالة PD أو توضيحه ؛
- فرض غرامة إدارية مع تدابير أخرى أو بدلاً منها ؛
- مطالبة بوقف نقل PD إلى دولة ثالثة أو إلى منظمة دولية.
تنص اللائحة على ضرورة قيام المنظمات الموجودة خارج الاتحاد الأوروبي بتعيين ممثل في الاتحاد الأوروبي تتفاعل من خلاله إدارة الشؤون السياسية مع المنظمة ، ولكن يتم التأكيد على أن مسؤولية معالجة PD ليست الممثل ، ولكن المنظمة نفسها.
لا تفصح اللائحة العامة لحماية البيانات عن إجراءات مراقبة الامتثال للوائح من قبل المنظمات الواقعة خارج الاتحاد الأوروبي وعدم تعيين ممثل لها ، وكذلك كيف ستكون المنظمات الواقعة خارج الاتحاد الأوروبي مسؤولة عن انتهاكات قواعد معالجة البيانات الشخصية.
لقد أجرينا سلسلة من المقابلات مع DPA لدول الاتحاد الأوروبي بشأن مراقبة الامتثال للائحة العامة لحماية البيانات خارج الاتحاد الأوروبي. كانت الإجابات مختلفة ، ولكن بشكل عام لم يكن هناك وضوح. أبدى أحد ممثلي DPA تحفظًا بأن مثل هذه الحالات سيتم تنظيمها بالتعاون مع DPA للدول التي يوجد فيها المشغل أو المعالج. إن الوضع الجيوسياسي الحالي وموقف رئيس Roskomnadzor A. Zharov بشأن ضرورة امتثال المنظمات الروسية للائحة العامة لحماية البيانات يشكان في أن محاولات مثل هذا التعاون بين DPA للاتحاد الأوروبي و Roskomnadzor ستكون مثمرة.
أود أن ألفت الانتباه إلى حقيقة أن الغرامات التي تقدر بملايين الدولارات والمحددة في اللائحة العامة لحماية البيانات (GDPR) ، والتي تمثل معظم عوامل التخويف ، هي الشريط العلوي. تقول اللائحة العامة لحماية البيانات إن الغرامات (والعقوبات الأخرى) يجب أن تكون متناسبة مع الانتهاك وفعالة وتمنع الانتهاكات المتكررة. سيتم تحديد المبلغ المحدد للغرامات بشكل فردي ، مع مراعاة عدد كبير من العوامل. قد يتم فرض غرامة بملايين الدولارات على منظمة إذا انتهكت بوعي وبشكل ضار حقوق الموضوعات ، وإخفائها بعناية والحصول على ربح مرتفع من معالجة PD هذه.
النتيجة الأكثر ترجيحًا (وليست الوحيدة) والنتيجة المهمة لعدم الامتثال للائحة العامة لحماية البيانات للمنظمات الروسية التي ليس لديها مكاتب تمثيلية أو شركات فرعية في الاتحاد الأوروبي (بالإضافة إلى ممثل معين لمعالجة PD) ليست غرامة ، ولكن حجب موقع المنظمة في الاتحاد الأوروبي أو الدول الفردية أعضاء الاتحاد الأوروبي. على الرغم من حقيقة أن إمكانية حظر موقع ما لم يتم ذكرها صراحة في اللائحة العامة لحماية البيانات ، يبدو أنها طريقة طبيعية لتقييد معالجة PD من أجل منع الانتهاكات المتكررة ، خاصة إذا لم تكن هناك طرق أخرى للتأثير على المشغل.
لماذا يجب أن تلتزم المنظمات الروسية باللائحة العامة لحماية البيانات؟
يتمتع تنفيذ اللائحة العامة لحماية البيانات بمزايا أخرى للمنظمات إلى جانب الفرصة الواضحة لتجنب العقوبات المحتملة من قبل اتفاقية حماية البيانات في الاتحاد الأوروبي.
بادئ ذي بدء ، هذه زيادة في المستوى العام لأمن المعلومات وإدارة البيانات في المنظمة. في كثير من الأحيان في عملية تحقيق الامتثال لمتطلبات حماية البيانات الشخصية ، تقوم المؤسسة لأول مرة بإنشاء سجل لعملياتها التجارية الحالية ، وتفهم تدفقات البيانات الحالية ، وإنشاء رسم تخطيطي للشبكة ، ووصف نظام حماية المعلومات الحالي. تصبح هذه الإجراءات الأساس لحماية ليس فقط PD ، ولكن أيضًا أنواع أخرى من المعلومات السرية ، وكذلك لتحسين العمليات التجارية.
إذا قامت المؤسسة بمعالجة البيانات الشخصية المنقولة إليها من قبل الطرف المقابل الخاضع للائحة العامة لحماية البيانات ، فسيطلب الطرف المقابل منها الامتثال لمتطلبات اللائحة العامة لحماية البيانات الخاصة بمعالجي البيانات الشخصية. سيسمح الامتثال للائحة العامة لحماية البيانات لمقدم الخدمة بتوسيع السوق التي يسهل الوصول إليها لتقديم الخدمات في الاتحاد الأوروبي ، بالإضافة إلى تقديم الخدمات لتلك المنظمات الروسية التي تندرج تحت متطلبات اللائحة العامة لحماية البيانات.
قد يأتي شرط الامتثال الإلزامي للائحة العامة لحماية البيانات من الشركة الأم عندما تكون اللائحة العامة لحماية البيانات قابلة للتطبيق على مؤسسات مجموعة من الشركات التي تتبادل معها المنظمة الروسية البيانات الشخصية. ولكن في هذه الحالة ، يُنصح أولاً بتوضيح ما إذا كانت البيانات الشخصية للأشخاص الموجودين في الاتحاد الأوروبي تتم معالجتها بالفعل ، وثانيًا ، إذا تمت معالجتها ، لتوسيع متطلبات اللائحة إلى تلك العمليات التي تتم فيها معالجة هذه البيانات الشخصية ، وليس إلى الكل منظمة.
تحدد اللائحة العامة لحماية البيانات الحاجة إلى احترام الحقوق العديدة لموضوعات التطوير المهني وضمان شفافية معالجة التطوير الافتراضي للموضوعات. مقارنة بالقانون الفيدرالي "بشأن البيانات الشخصية" ، توضح اللائحة العامة لحماية البيانات بمزيد من التفصيل كيفية إبلاغ موضوعات التطوير المهني عن معالجة PD ، وكذلك كيفية ممارسة حقوقهم فيما يتعلق بهذه المعالجة. إن انعكاس هذه القضايا الخاصة بمعالجة البيانات الشخصية في سياسة معالجة البيانات الشخصية ، وكذلك في جمع المعلومات حول معالجة البيانات الشخصية ، يمكن أن يزيد من شفافية المنظمة ويوفر ثقة أكبر من جميع مواضيع البيانات الشخصية.
الملخص
إذا كانت مؤسستك تقع في روسيا ، فهذا لا يعني أن اللائحة العامة لحماية البيانات لا تنطبق عليها. يمكنك التحقق من إمكانية تطبيق متطلبات القواعد على مؤسستك باستخدام المعايير المذكورة أعلاه.
لقد دخلت اللائحة حيز التنفيذ للتو ، ووفقًا لشركة Symantec ، فإن 80٪ من المنظمات في الاتحاد الأوروبي لا تستوفي متطلبات اللائحة العامة لحماية البيانات. لا تزال الكيفية التي يمكن بها لمعاقبة منظمة الاتحاد الأوروبي من قبل الاتحاد الأوروبي فيما يتعلق بانتهاكات اللائحة العامة لحماية البيانات غير واضحة ، ولكن مع ذلك ، يجب أن تؤخذ اللائحة على محمل الجد.
في الختام ، نود أن نلاحظ أنه مع وجود احتمال كبير في المستقبل القريب للتوحيد مع التشريعات الأوروبية في التشريع الروسي بشأن معالجة PD ، ستظهر صياغة مماثلة لمتطلبات اللائحة العامة لحماية البيانات.
نشرتها: أليسا غورينوفا ، استشاري أول ، قسم الاستشارات والتدقيق ، Informzaschita. إذا كانت لا تزال لديك أسئلة ، فنحن على استعداد للتحدث معك. نحن في انتظار رسائلك إلى a.gorinova@infosec.ru.