5 مفاهيم خاطئة حول اللائحة العامة لحماية البيانات

1- الهدف الرئيسي من اعتماد اللائحة العامة لحماية البيانات هو جعل الحياة صعبة للأعمال التجارية

في الواقع ، الهدف الرئيسي من اللائحة العامة لحماية البيانات هو تمكين المستخدمين من التحكم في من وكيف يستخدمون بياناتهم الشخصية وأن يكونوا قادرين على حظر استخدام بيانات شخصية لأغراض تسويقية أو تغييرها في أي وقت.

يتم جمع البيانات الشخصية من قبل الشركات من أجل تحسين التسويق وجعلها مخصصة - تستهدف كل مستخدم محدد ، مع مراعاة تفضيلاته واهتماماته ، التي يتم جمعها على أساس سلوك المستخدم على الإنترنت: زيارة المواقع ، الإعجابات اليسرى ، تحريك الماوس حول الصفحة. على الإنترنت ، يمكنك جمع مثل هذه البيانات حول مستخدم متوسط ​​نشط مثل: الجنس ، العمر ، الحالة الاجتماعية ، المهنة ، المصالح ، عادات المستهلك. إذا أضفنا مراقبة الموقع الجغرافي إلى ذلك ، فإن كمية المعلومات حول كل شخص في أيدي بعض الشركات تصبح مخيفة ، خاصة عند التفكير في تسرب هذه البيانات. يصبح الأمر أسوأ عند التفكير في التلاعب المحتمل بسلوك المستخدم وقراراته - مثال على الأخبار المتعلقة بأنشطة Cambridge Analytica .

تقدم بعض المنشورات مثالاً على برنامج يسمح لك ، بناءً على تحليل لعشرة إعجابات فقط ، بالتعرف على شخص أفضل مما يعرفه زملاؤه. من 70 إعجاب ، يتعلم البرنامج عن شخص مثل صديقه المقرب ، من 150 إعجابًا - مثل الوالدين أو الإخوة أو الأخوات و 300 أو أكثر من الإعجابات - أفضل مما يعرفه زوجته.

بالتفكير في الأمر من وجهة نظر المستخدم ، يمكنك رؤية الفائدة غير المشروطة في اعتماد اللائحة العامة لحماية البيانات. يتمثل هدفها الرئيسي في الحد من الاستخدام غير المنضبط للبيانات الشخصية للأغراض التجارية ، عندما لا يكون موضوع هذه البيانات لديه أي فكرة عمن ، ولأي غرض وكيف يستخدم المعلومات التي تم جمعها عنه على الإنترنت من مصادر مختلفة.

2. تسري اللائحة العامة لحماية البيانات على الشركات الروسية التي تعالج البيانات الشخصية لمواطن واحد على الأقل من دولة عضو في الاتحاد الأوروبي

هذه أيضا مغالطة. ينظم اللائحة العامة لحماية البيانات العمل بالبيانات الشخصية لا لمواطني الاتحاد الأوروبي ، ولكن لجميع الأشخاص الموجودين في الاتحاد الأوروبي

" ينطبق هذا النظام على معالجة البيانات الشخصية لموضعي البيانات الموجودين في الاتحاد ... ".

اللائحة العامة لحماية البيانات ، الفن. 3 (2) .
وفقًا لممثل المفوضية الأوروبية (الذي تمكن من طرح بعض الأسئلة بشكل غير رسمي في المؤتمر الدولي في يونيو 2018 [1]) ، فإن اللائحة العامة لحماية البيانات لا تنطبق على معالجة البيانات الشخصية للأشخاص خارج الاتحاد الأوروبي ، حتى إذا غادروا مؤقتًا. في الوقت نفسه ، تخضع معالجة البيانات الشخصية للمواطنين الروس الذين يسافرون في أوروبا إلى اللائحة العامة لحماية البيانات.

مرة أخرى ، بالإشارة إلى التفسيرات غير الرسمية لممثل المفوضية الأوروبية ، من أجل جذب انتباه المنظم ، من الضروري معالجة كمية كبيرة من البيانات من المستخدمين الأوروبيين. إذا لم يكن هدف الشركة الروسية هو جمع أو معالجة البيانات من الأوروبيين ، وأولئك الذين تعالج بياناتهم أحيانًا في أوروبا ، فمن غير المحتمل أن يهتم المنظم بأنشطة مثل هذه الشركة من حيث الامتثال للائحة العامة لحماية البيانات.

هناك رأي مخالف أنه إذا تم تقديم الخدمات خارج الاتحاد الأوروبي (على سبيل المثال ، يمكن حجز غرفة فندق تقع في روسيا عن بُعد من الاتحاد الأوروبي) ، فيجب ألا تخضع المنظمة للائحة العامة لحماية البيانات ، نظرًا لأن أنشطتها لا يتم تنفيذها في الاتحاد الأوروبي وليست تخضع لقانون الاتحاد الأوروبي. لا يتوافق هذا الرأي تمامًا مع أحكام اللائحة العامة لحماية البيانات: إذا كانت هذه الشركة تستخدم بيانات الأشخاص المقيمين في أوروبا في المقام الأول ، فإن اللائحة العامة لحماية البيانات تنطبق عليه. إذا أخذت مثال فندق ما ، فعندما تقيم في الفندق ، فإن الأوروبي ليس بالفعل في أوروبا. ولكن إذا استمر الفندق بعد عودته في معالجة بياناته ، وعلى سبيل المثال ، أرسل له مواد تسويقية ، اتضح أنها تعمل مع بيانات شخص يعيش في أوروبا. حسنًا ، إذا لم يتم استخدام البيانات لأغراض تسويقية ، ولكن تم جمعها فقط من أجل الحجز وتسجيل الإقامة ، فهذه ليست مشكلة: تسمح اللائحة العامة لحماية البيانات بجمع ومعالجة البيانات لتنفيذ العقد ، ولا تعد موافقة موضوع البيانات الشخصية ضرورية في هذه الحالة.

3. موافقة المستخدمين على استخدام بياناتهم ضرورية دائمًا

ليس هكذا حقا. في حالة شركة غير أوروبية ، يتم تطبيق اللائحة العامة لحماية البيانات فقط عند استخدام البيانات الشخصية لأغراض التسويق (عرض السلع أو الخدمات) ومراقبة سلوك المستخدم في أوروبا. إذا لم يتم استخدام البيانات لهذه الأغراض ، فلن يتم تطبيق أحكام اللائحة العامة لحماية البيانات.

تنطبق هذه اللائحة على معالجة البيانات الشخصية لموضوعات البيانات الموجودين في الاتحاد بواسطة وحدة تحكم أو معالج غير موجود في الاتحاد ، حيث تتعلق أنشطة المعالجة بما يلي:
(أ) عرض السلع أو الخدمات ، بصرف النظر عما إذا كان يلزم دفع موضوع البيانات ، لموضوعات البيانات هذه في الاتحاد ؛ أو
(ب) مراقبة سلوكهم فيما يتعلق بسلوكهم داخل الاتحاد.

اللائحة العامة لحماية البيانات ، الفن. 3 (2) .
عندما يتم الحصول على البيانات لغرض تنفيذ العقد ، لا تلزم الموافقة. هناك أيضًا حالات أخرى لا يتطلب فيها استخدام البيانات الشخصية الموافقة . ولكن إذا بقيت البيانات بعد تنفيذ العقد مع الشركة وتم تخزينها بواسطتها (على سبيل المثال ، في CRM) ، في هذه الحالة ستكون موافقة المستخدم مطلوبة.

.4 سيتم فرض غرامات عالية جدًا على مخالفة اللائحة العامة لحماية البيانات على الفور

لن يتم تغريم أحد على الفور. لقد بدأ المنظمون في مختلف البلدان للتو في العمل بالقواعد الجديدة وسوف يكونوا حذرين من تشكيل الممارسات ، مع التركيز على بعضهم البعض. من غير المحتمل أن يكونوا في عجلة من أمرهم لتطبيق الغرامات على الفور ؛ بدلاً من ذلك ، ستكون هناك أولاً تحذيرات وتعليمات. الغرامات المشار إليها في اللائحة العامة لحماية البيانات هي الحد الأعلى ؛ في حالة الانتهاك ، قد لا يتم تطبيق الغرامات دائمًا وقد تكون صغيرة. من المرجح أن تتراكم الغرامات على أساس أنها يجب أن تكون متناسبة وفعالة ، والهدف الرئيسي ليس خنق العمل ، ولكن توجيهه على المسار الصحيح.

بالإضافة إلى ذلك ، سيتم تشكيل ممارسة قضائية (بما في ذلك محكمة العدل في لكسمبورج) بالتوازي ، كما ينتظر المنظمون ظهورها قبل بدء عمليات التفتيش والعقوبات الجماعية.

خلال محادثة غير رسمية مع ممثل المفوضية الأوروبية في المؤتمر ، تم التعبير عن فكرة أنه سيكون من الممكن إجراء العديد من المحاكمات الاستعراضية لبعض العمالقة ، بحيث يصبح من الواضح عمليًا أي السلوك غير مقبول وما يمكن أن يؤدي إليه.

فيما يتعلق بمسألة تطبيق الغرامات على انتهاك اللائحة العامة لحماية البيانات ، فإن المواقف التالية هي الأكثر صحة:

"بشكل عام ، من الضروري النظر إلى كميات كبيرة من الغرامات في القانون كتدبير وابلا ، وليس طريقة جديدة لتجديد الميزانيات المحلية لدول الاتحاد الأوروبي"

سيتم تحديد الكمية المحددة من الغرامات بشكل فردي ، مع مراعاة عدد كبير من العوامل. يمكن فرض غرامة بملايين الدولارات على منظمة إذا انتهكت بوعي وبشكل ضار حقوق الموضوعات ، وإخفائها بعناية والحصول على ربح مرتفع من معالجة PD هذه "

أما فيما يتعلق بمخاوف الشركات الروسية فيما يتعلق بحقيقة أنها قد تُفرض عليها غرامة بسبب عدم الامتثال للائحة العامة لحماية البيانات ، فمن المرجح أن هذه المخاوف لم تتحقق. لن يكون من السهل على المنظم أن يحمل الشركات التي ليس لديها مكتب تمثيلي في أوروبا المسؤول عنها. بل سيكون من الأصعب تنفيذ العقوبات المفروضة على أراضي دولة ليست جزءًا من الاتحاد الأوروبي. لذلك ، سيكون التنظيم الرئيسي المتوقع فيما يتعلق باللائحة العامة لحماية البيانات من خلال التنظيم الذاتي في الصناعة: سترفض الأعمال الأوروبية تدريجيًا العمل مع الشركات التي لا تلتزم بمتطلبات اللائحة العامة لحماية البيانات. وبناء على ذلك ، فإن النتيجة السلبية الرئيسية لعدم الامتثال للائحة العامة لحماية البيانات ليست الغرامات ، بل فقدان القدرة التنافسية في السوق الأوروبية.

5. لا يمكن نقل البيانات الشخصية إلى دول أخرى دون إشراف وتصريح مناسبين.

يمكن نقل البيانات إذا كان هناك اتفاق مع الشركة التي نقلت البيانات ، وإذا تم توفير ضمانات معينة في مثل هذه الاتفاقية. بالإضافة إلى ذلك ، هناك اتفاقية مجلس أوروبا رقم 108 (التي تكون روسيا طرفًا فيها) ، وهي تشير إلى ما يلي:

"لا يجوز للطرف أن يحظر أو يشترط بإذن خاص تدفقات البيانات الشخصية عبر الحدود التي تذهب إلى إقليم طرف آخر لغرض وحيد هو حماية الخصوصية"

لا توجد إجابة دقيقة حول كيفية ارتباط أحكام الاتفاقية 108 وقيود اللائحة العامة لحماية البيانات على نقل البيانات ، قد يكون هناك تناقض بينهما. ولكن على أي حال ، يمكن نقل البيانات في وجود اتفاق ، وكذلك في بعض الحالات الأخرى المحددة في اللائحة العامة لحماية البيانات.

[1] بيرس أودونوهو ، القائم بأعمال مدير إدارة شبكات المستقبل في DG CONNECT في المفوضية الأوروبية.