اليوم سنتحدث عن الناتج القومي الإجمالي "الكبير والفظيع" (اللائحة العامة لحماية البيانات) أو اللائحة العامة لحماية البيانات الشخصية. على الرغم من اعتماد القانون في مايو 2018 ، لا تزال العديد من الشركات لا تفي بجميع متطلباتها.
التقينا مع مسؤول حماية البيانات (DPO) الخاص بنا لنخبره بعبارات بسيطة عن إجمالي الناتج المحلي وما يجب على الشركات فعله لتفادي الغرامات الكبيرة.
تحتوي المقالة على حواشي نقلا عن التعريفات الأساسية للقانون.
- ما هو الناتج القومي الإجمالي؟
- إجمالي الناتج المحلي هو قانون دولي - ينطبق على العالم بأسره ، على الرغم من اعتماده في الاتحاد الأوروبي. هذا هو القانون الذي يحمي حقوق المستخدمين على الإنترنت ، وينظم ، على وجه الخصوص ، نقل ومعالجة وتخزين البيانات الشخصية لكل شخص موجود في الاتحاد الأوروبي أو من مواطني الاتحاد الأوروبي.
applies "تنطبق هذه اللائحة على معالجة البيانات الشخصية في سياق أنشطة إنشاء وحدة تحكم أو معالج في الاتحاد ، بغض النظر عما إذا كانت المعالجة تتم في الاتحاد أم لا."- حتى لو كان يستخدم خدمات / مواقع الشركات خارج الاتحاد الأوروبي؟
- نعم ، يسمح لك الوضع الدولي بتمديد تأثير القانون ليس فقط في الاتحاد الأوروبي. إذا استخدم شخص ما الموارد المتاحة له من إقليم الاتحاد الأوروبي أو كان مواطناً في الاتحاد الأوروبي ، ولكن في إقليم دول أخرى ، فإنه لا يزال خاضعًا لهذا القانون.
- ما كان السبب لاعتماده؟- سبق اعتماد الناتج المحلي الإجمالي العديد من حالات إساءة استخدام البيانات ، بما في ذلك الحالات الشخصية. بدأ المسوقون في "ترويع" الناس بأنواع مختلفة من الأبحاث. لقد بدأوا في دراسة سلوك وعادات الشخص واستخدام هذه المعرفة ، مما يجعله أكثر عزلًا. عندما يقوم شخص ما ببعض الإجراءات على الموقع ، فإن أنظمة التوصية ، على سبيل المثال ، استفزته إلى سلوك معين.
فيسبوك ، في مرحلة ما ، بدأ بالكامل في بيع بيانات المستخدم قانونًا للبحث. بالإضافة إلى ذلك ، أصبحت جميع البيانات البيومترية تحت الحماية ، وهذا مهم للغاية منذ ذلك الحين جوازات السفر الإلكترونية التي أدخلت في الاتحاد الأوروبي.
- ما الذي يجب على الشركات من دول خارج الاتحاد الأوروبي القيام به من أجل الامتثال لمتطلبات هذا القانون؟
- يجب مراعاة القواعد التي يحددها هذا القانون. بادئ ذي بدء ، تحتاج إلى إخطار المستخدمين بجمع المعلومات. هذا هو أول مورد يزورها. يجب على الشركة أن تنقل بوضوح تام وسهولة (بما في ذلك من خلال حلول التصميم) للمستخدم ما يريده منه ، وما هي بياناته التي يتم جمعها ، ولماذا يحتاجون إليها. إذا ، على سبيل المثال ، يتم جمع معلمات الوزن ، فمن الضروري الإشارة إلى سبب استخدامها (إذا كان هدفهم الحقيقي هو تقديم دواء لفقدان الوزن ، فيجب كتابته).
- هل ينبغي تخزين البيانات في شكل مجهول؟- يُلزم القانون بإخفاء الهوية وتخزينها في أماكن مختلفة. ولكن الحقيقة هي أن هناك اثنين من الأدوار الرئيسية هنا - المعالج ² والتحكم ³.
جهاز التحكم هو الشخص الذي يجمع هذه البيانات ويستخدمها ، ويلزم تخزينها بشكل مجهول وفي أماكن مختلفة ، على سبيل المثال ، لن يتمكن المهاجمون ، بعد وصولهم إلى بعض قواعد البيانات ، من مقارنة هذه البيانات مع شخص حقيقي. على سبيل المثال ، اسمك وعنوانك ورقم البطاقة المصرفية والطول والوزن والحالة الزواجية ، إلخ. يجب تخزين كل عنصر في قواعد بيانات مختلفة. في اسم واحد ، في الحالة الزوجية الثانية ، في العنوان الثالث ، إلخ.
لكن كل شركة لديها خوارزميات تسمح لك بالاتصال بكل هذا واستخدامه لأغراضك الخاصة. وبالتالي ، توفير تخزين البيانات هو شيء واحد. لكن المعالجة ، هذا مختلف تمامًا. يجب أن يكون هناك بروتوكولات الوصول إلى البيانات. إذا لم تكن هناك ، في حالة حدوث تسرب ، سيتم توضيح ذلك من قبل اللجنة ، وإذا لم يكن لديك بروتوكولات ، فستقرر اللجنة أنك تحتفظ بها بشكل جيد ولن تقوم بمعالجتها بشكل جيد ، وسوف تتخذ الإجراءات اللازمة.
كلمة "المعالج" تعني الشخص الطبيعي أو الاعتباري أو السلطة العامة أو الوكالة أو أي هيئة أخرى تقوم بمعالجة البيانات الشخصية نيابة عن وحدة التحكم "؛
تعني كلمة "مراقب" الشخص الطبيعي أو الاعتباري أو السلطة العامة أو الوكالة أو الهيئة الأخرى التي تحدد بمفردها أو بالاشتراك مع الآخرين أغراض ووسائل معالجة البيانات الشخصية ؛ حيث يتم تحديد أغراض ووسائل المعالجة بموجب قانون الاتحاد أو الدولة العضو ، "
processing "المعالجة" تعني أي عملية أو مجموعة من العمليات التي تتم على البيانات الشخصية أو على مجموعات من البيانات الشخصية ، سواء كان ذلك باستخدام الوسائل الآلية أم لا ، مثل التجميع أو التسجيل أو التنظيم أو الهيكلة أو التخزين أو التكيف أو التغيير أو الاسترجاع ، التشاور أو الاستخدام أو الإفصاح عن طريق الإرسال أو النشر أو إتاحته بطريقة أخرى أو التوافق أو الجمع أو التقييد أو المحو أو التدمير ".
- كيف يتم تنظيم عملية ترجمة موقع / نشاط تجاري حالي لتلبية متطلبات هذا القانون؟
- أولاً وقبل كل شيء ، من الضروري تحليل الحالة الراهنة لجمع البيانات ومعالجتها. وفقًا لذلك ، إذا تم استخدام خادم واحد في الوقت الحالي ، فمن الضروري تقسيمه إلى عدة ، بحيث يكون من المستحيل اختراق جميع قواعد البيانات من مصدر واحد. يجب أن تكون الحماية عند إدخال المعلومات ، ويتم مراقبة الخادم باستمرار بواسطة برنامج مكافحة الفيروسات. يُنصح بتزويد القناة الثانية بالإنترنت ، بحيث في حالة حدوث تسرب من خلال إحدى القنوات ، قم بإيقاف تشغيلها وتنفيذ العمل للقضاء على جميع المشاكل على القناة الأخرى. يجب أن يكون الوصول فقط من خلال اتصال VPN آمن. الآن جميع المتصفحات الرئيسية تكتب تحذيرات عند محاولة الوصول إلى الصفحات دون https.
إذا تم استخدام https ، فكل شيء على ما يرام. بالمناسبة ، تأخذ Google ، التي تجاهلت لفترة طويلة بعض متطلبات هذا القانون ، في الاعتبار وجود شهادة SSL كأحد عوامل التصنيف في البحث.
- ما الذي يهدد بعدم الامتثال لمتطلبات هذا القانون؟
- إذا كنا نتحدث عن المقيم في الاتحاد الأوروبي ، فستكون بالطبع عقوبات ، أوامر ستصدرها السلطات التنظيمية بعد التحليل والتحقيق. من حيث المبدأ ، على المستوى الكلي ، يتم تنظيم كل ذلك بغرامة عالية تبلغ 20 مليون يورو ، أو 4 ٪ من المبيعات السنوية . تفضل المحكمة الأوروبية ، التي ستنظر في القضية ، 4 ٪ من قيمة التداول من 20 مليون يورو.
ولكن هذا هو الحد الأقصى. لقد مر عام منذ بدء نفاذ القانون ، وكانت هناك بالفعل حالات عملية. في الحالات التي يكون فيها التسريب ضئيلًا ولم يُصب أحد ، تم القبض على المهاجمين وتم إصدار تحذير للشركة ببساطة. إذا لم يتم القيام بشيء ما بسبب الإهمال ، فقد دفعوا غرامة من بضعة مئات إلى مئات الآلاف من اليورو. أصدرت Google حتى الآن أكبر غرامة قدرها 50 مليون يورو لاستمرار إهمالها لمتطلبات معينة من القانون. تم معاقبته بشدة على وجه الخصوص لفقدان بيانات القياس الحيوي ، على سبيل المثال ، المؤسسات الطبية ، وقد تم تحذير هذا على الفور.
- من يجب عليه الامتثال لهذا القانون ولمن لا ينطبق الإجراء؟
- الشخص الذي لا يخزن البيانات الشخصية - البيانات التي تتيح لك تحديد هوية شخص أو تحديد موقعه ، على سبيل المثال ، IP مدرج هنا أيضًا ، لكن في الوقت الحالي لا تعتبر اللجنة ip بيانات شخصية. يعد الاسم ورقم الهاتف بيانات شخصية إذا تم جمعها بقصد ليس فقط الاتصال بالشخص ، ولكن أيضًا استخدامها بطريقة أخرى. في حالة الاتصال فقط ، لا تملك البيانات القوة والقيود المفروضة على فترات الاستبقاء. هذه الأهداف لا تتضمن بيع البضائع أو التنبؤ بسلوك المستخدم.
تجدر الإشارة أيضًا إلى أن البريد أو تسجيل الدخول أو كلمة المرور ، بشكل منفصل ، ليست بيانات شخصية. على وجه التحديد فقط تلك المعلمات التي تسمح لك بتخصيص شخص أو تحديد مكان وجوده ، على سبيل المثال عناوين ip + mac.
في الفضاء ما بعد الحقبة السوفيتية ، نحن معتادون على حقيقة أنه "إذا لم يكن مسموحًا به ، فإنه ممنوع" ، في البلدان الليبرالية ، على العكس من ذلك ، "ما هو ممنوع محظور". هذان نموذجان مختلفان تمامًا ، ومواقف تجاه القانون. وبناءً على ذلك ، فإن افتراض البراءة صالح هنا - إلى أن تثبت أنك لست مذنباً.
"البيانات الشخصية" تعني أي معلومات تتعلق بشخص طبيعي محدد أو يمكن التعرف عليه ("موضوع البيانات") ؛ الشخص الطبيعي الذي يمكن تحديده هو الشخص الذي يمكن تحديده ، بشكل مباشر أو غير مباشر ، ولا سيما بالرجوع إلى معرف مثل الاسم أو رقم التعريف أو بيانات الموقع أو المعرّف عبر الإنترنت أو إلى واحد أو أكثر من العوامل المحددة للعوامل المادية أو الفسيولوجية ، الهوية الجينية أو العقلية أو الاقتصادية أو الثقافية أو الاجتماعية لذلك الشخص الطبيعي "؛
- الآن ، قدمت اللجنة قانونًا آخر لحماية البيانات الشخصية ، قانون ملفات تعريف الارتباط ، أخبرنا بالمزيد حول هذا الموضوع.
- هذا هو مجرد مسألة عناوين IP. من خلال ip ، يمكنك تحديد مكان تواجد الشخص ، التكوين الكامل للمعدات. لكن في الوقت نفسه ، من الضروري الامتثال لهذا القانون بطريقة أو بأخرى. الآن انتقل IP خارج نطاق هذا القانون . لكنهم لا يغادرون ، يبقى السؤال مفتوحًا ، لأنه لا يزال يتطلب التنظيم. كان هناك بالفعل اثنين من طبعاته ، قريبا سيكون هناك ثالثة. استخدامها رائع لتقويضه. بدأت بريطانيا العظمى بالفعل حركة في هذا الاتجاه .
إذا تم اعتماد القانون في الإصدار الحالي ، فلن تتمكن Google والشركات المماثلة من العمل في الاتحاد الأوروبي. الآن الكل يضغط من أجل تخفيف هذا القانون. لكن الأمر يستحق الإشادة بالاتحاد الأوروبي ، فهم يولون اهتمامًا كبيرًا للناس والمواطنين والمقيمين ، وهم يروجون لهذا القانون لصالح الناس. في حين لم يتم اعتماد القانون ، وليس حتى في المرحلة الأخيرة من القراءة. ولكن تسترشد بالممارسة ، حتى لو تم قبولها في عام 2019 ، عادة ما يتم منح 1-2 سنوات لإعادة ترتيب جميع الأمور.
والسؤال المطروح الآن هو فقط إلى أي مدى سيُسمح للشركات باختراق حياة الناس الشخصية.
- ما هو تكوين الفريق المطلوب لتنفيذ التدابير اللازمة لتلبية متطلبات موقع هذا القانون؟
- عادة ما ينطوي ذلك على العمالة الجزئية ، في حالات نادرة ، من الضروري إشراك الفريق بأكمله بدوام كامل. سيقوم المحلل بإجراء مراجعة للحالة الراهنة في الشركة ، وكذلك إنشاء مواصفات للتنفيذ. مسؤول النظام أو DevOps الذين سيكونون مسؤولين عن الأجهزة وقنوات الاتصال وأكثر من ذلك ، ومبرمج ، سوف يضع اللمسات الأخيرة على الموقع.
- ماذا ستكون نتيجة عمل فريق وشركة العميل؟
- أولاً وقبل كل شيء ، سيتم تغيير العمل مع البيانات الشخصية (المعالجة): سيتم الجمع ، والمعالجة ، والتخزين في الامتثال للقانون. مع درجة عالية من الاحتمال ، سيظهر مركز جديد في شركة العميل - Data Protection Officer (DPO). سيتم العمل على موقع الشركة والوثائق المتاحة للمستخدمين (بيان السلامة ، سياسة الخصوصية ، سياسة معالجة ملفات تعريف الارتباط ، وما إلى ذلك). ستظهر بروتوكولات داخلية للوصول إلى البيانات الشخصية للمستخدمين ومعالجتها.
يمكنك معرفة المزيد حول إجمالي الناتج المحلي بالنقر على الرابط: https://www.gdpreu.org/ (المورد متاح باللغة الإنجليزية فقط).