(GDPR) (EU) 2016/679اللائحة العامة لحماية البيانات
هي عبارة عن لائحة في قانون الاتحاد الأوروبي بشأن حماية البيانات والخصوصية لجميع الأفراد داخل الاتحاد الأوروبي والمنطقة الاقتصادية الأوروبية. كما يتناول تصدير البيانات الشخصية خارج الاتحاد الأوروبي والمنطقة الاقتصادية الأوروبية. يهدف الناتج المحلي الإجمالي في المقام الأول إلى منح المواطنين والمقيمين السيطرة على بياناتهم الشخصية وتبسيط البيئة التنظيمية للأعمال التجارية الدولية من خلال توحيد الأنظمة داخل الاتحاد الأوروبي.
يستلزم الأمر التوجيه المتعلق بحماية البيانات ، ويتضمن اللوائح الأحكام والشروط المتعلقة بمعالجة المعلومات الشخصية التي يمكن التعرف عليها لموضوعات البيانات داخل الاتحاد الأوروبي. يجب أن يتم إنشاء العمليات التجارية التي تتعامل مع البيانات الشخصية مع الخصوصية حسب التصميم وبشكل افتراضي ، بمعنى أنه يجب تخزين البيانات الشخصية باستخدام اسم مستعار أو إخفاء الهوية بالكامل ، واستخدام أعلى إعدادات الخصوصية الممكنة افتراضيًا ، بحيث لا تكون البيانات متاحة بشكل عام بدون موافقة صريحة ، ولا يمكن استخدامها لتحديد موضوع دون تخزين معلومات إضافية بشكل منفصل. لا يجوز معالجة أي بيانات شخصية ما لم يتم ذلك بموجب أساس قانوني تحدده اللائحة ، أو إذا تلقت وحدة التحكم في البيانات أو المعالج موافقة صريحة من مالك البيانات. يجب على الشركة السماح بسحب هذا الإذن في أي وقت.
يجب أن يكشف معالج البيانات الشخصية بوضوح عن البيانات التي يتم جمعها وكيف ، ولماذا يتم معالجتها ، وكم من الوقت يتم الاحتفاظ بها ، وما إذا كان يتم مشاركتها مع أي طرف ثالث. يحق للمستخدمين طلب نسخة محمولة من البيانات التي يجمعها المعالج في نسق مشترك ، والحق في مسح بياناتهم في ظروف معينة. يتعين على السلطات العامة والشركات التي تركز أنشطتها الأساسية حول المعالجة العادية أو المنهجية للبيانات الشخصية ، توظيف موظف حماية البيانات (DPO) ، المسؤول عن إدارة الامتثال للناتج المحلي الإجمالي. يجب على الشركات الإبلاغ عن أي خرق للبيانات في غضون 72 ساعة إذا كان لها تأثير سلبي على خصوصية المستخدم.
تسري هذه اللائحة إذا كانت وحدة التحكم في البيانات (وهي مؤسسة تقوم بجمع البيانات من سكان الاتحاد الأوروبي) ، أو المعالج (وهي مؤسسة تقوم بمعالجة البيانات نيابة عن وحدة تحكم في البيانات مثل مقدمي الخدمات السحابية) ، أو موضوع البيانات (الشخص) في الاتحاد الأوروبي . في ظل ظروف معينة ، تنطبق اللائحة أيضًا على المنظمات القائمة خارج الاتحاد الأوروبي إذا كانت تجمع أو تعالج البيانات الشخصية للأفراد الموجودين داخل الاتحاد الأوروبي.
ووفقًا للمفوضية الأوروبية ، "البيانات الشخصية هي أي معلومات تتعلق بفرد ، سواء كانت تتعلق بحياة خاصة به أو مهنية أو عامة. يمكن أن تكون أي شيء من اسم أو عنوان منزل أو صورة أو عنوان بريد إلكتروني أو تفاصيل المصرف ، أو المشاركات على مواقع الشبكات الاجتماعية ، أو المعلومات الطبية ، أو عنوان IP للكمبيوتر. [9
لا تدّعي اللائحة التطبيق على معالجة البيانات الشخصية لأنشطة الأمن القومي أو إنفاذ القانون في الاتحاد الأوروبي ؛ ومع ذلك ، فقد تساءلت مجموعات الصناعة المهتمة بمواجهة تضارب محتمل للقوانين حول ما إذا كان يمكن التذرع بالمادة 48 من الناتج المحلي الإجمالي بهدف منع مراقب بيانات يخضع لقوانين بلد ثالث من الامتثال لأمر قانوني من تطبيق القانون في ذلك البلد أو السلطات القضائية أو سلطات الأمن القومي للكشف لمثل هذه السلطات عن البيانات الشخصية لشخص في الاتحاد الأوروبي ، بغض النظر عما إذا كانت البيانات موجودة داخل الاتحاد الأوروبي أو خارجه. وتنص المادة 48 على أنه لا يجوز الاعتراف بأي حكم يصدر عن محكمة أو هيئة قضائية وأي قرار يصدر عن سلطة إدارية لبلد ثالث يتطلب جهاز تحكم أو معالج لنقل البيانات الشخصية أو الإفصاح عنها بأي طريقة ما لم يستند إلى اتفاق دولي ، مثل: معاهدة مساعدة قانونية متبادلة سارية المفعول بين الدولة الثالثة الطالبة (من خارج الاتحاد الأوروبي) والاتحاد الأوروبي أو دولة عضو. تتضمن حزمة إصلاح حماية البيانات أيضًا توجيهًا منفصلًا لحماية البيانات في قطاع الشرطة والعدالة الجنائية يوفر قواعد لتبادل البيانات الشخصية على المستويات الوطنية والأوروبية والدولية.
سيتم تطبيق مجموعة واحدة من القواعد على جميع الدول الأعضاء في الاتحاد الأوروبي. ستنشئ كل دولة عضو سلطة إشراف مستقلة (SA) لسماع الشكاوى والتحقيق فيها ، ومعاقبة المخالفات الإدارية ، وما إلى ذلك. ستتعاون كل من الدول الأعضاء في كل دولة من الدول الأعضاء مع منظمات الدعم الأخرى ، وتقديم المساعدة المتبادلة وتنظيم العمليات المشتركة. إذا كان للمنشأة منشآت متعددة في الاتحاد الأوروبي ، فستكون لديها شركة واحدة (SA) بصفتها "السلطة الرائدة" ، بناءً على موقع "المؤسسة الرئيسية" الخاصة بها حيث تتم أنشطة المعالجة الرئيسية. وستقوم السلطة الرئيسية بدور "مركز واحد" للإشراف على جميع أنشطة المعالجة الخاصة بهذه الأعمال في جميع أنحاء الاتحاد الأوروبي (المواد 46-55 من الناتج المحلي الإجمالي). سيقوم مجلس حماية البيانات الأوروبي (EDPB) بتنسيق الـ SAs. سيحل EDPB محل فريق عمل حماية البيانات بموجب المادة 29. هناك استثناءات للبيانات التي تتم معالجتها في سياق العمل أو في الأمن القومي والتي قد تكون خاضعة لأنظمة الدول الفردية (المواد 2 (2) (أ) و 88 من الناتج المحلي الإجمالي).
المسؤولية والمساءلة
لتكون قادر على إثبات الامتثال للقانون ، يجب على وحدة التحكم في البيانات تنفيذ التدابير التي تلبي مبادئ حماية البيانات عن طريق التصميم والتقصير. تتطلب الخصوصية حسب التصميم والافتراضي (المادة 25) أن يتم تصميم تدابير حماية البيانات في تطوير العمليات التجارية للمنتجات والخدمات. تتضمن هذه الإجراءات استبعاد بيانات شخصية ، بواسطة وحدة التحكم ، في أقرب وقت ممكن
(Recital 78). إنها مسؤولية ومسؤولية وحدة التحكم في البيانات لتنفيذ تدابير فعالة وتكون قادرة على إثبات مدى توافق أنشطة المعالجة حتى إذا تم تنفيذ المعالجة بواسطة معالج بيانات نيابة عن وحدة التحكم
(Recital 74).
حق الوصول
حق الوصول (المادة 15) هو حق للبيانات. تمنح المواطنين الحق في الوصول إلى بياناتهم ومعلوماتهم الشخصية حول كيفية معالجة هذه البيانات الشخصية. يجب أن توفر وحدة التحكم في البيانات ، عند الطلب ، نظرة عامة على فئات البيانات التي يتم معالجتها (المادة 15 (1) (ب)) بالإضافة إلى نسخة من البيانات الفعلية (المادة 15 (3)). وعلاوة على ذلك ، يتعين على مراقب البيانات إبلاغ البيانات الموضوعية بشأن التفاصيل المتعلقة بالتجهيز ، مثل أغراض المعالجة (المادة 15 (1) (أ)) ، التي تتم مشاركة البيانات معها (المادة 15 (1) (ج) ) ، وكيف اكتسبت البيانات (المادة 15 (1) (ز)).
يجب أن يكون موضوع البيانات قادراً على نقل البيانات الشخصية من نظام معالجة إلكتروني واحد إلى نظام آخر ، دون أن يمنعه ذلك مراقب البيانات. يتم استبعاد البيانات المجهولة بشكل كافٍ ، ولكن البيانات التي لم يتم تحديدها فقط ولكن لا يزال من الممكن ربطها بالفرد المعني ، مثل توفير المعرّف ذي الصلة ، ليست كذلك. يتم تضمين كل من البيانات "المقدمة" من قبل موضوع البيانات والبيانات التي يتم "ملاحظة" ، مثل حول السلوك ، مدرجة. بالإضافة إلى ذلك ، يجب أن يتم توفير البيانات من قبل وحدة التحكم في تنسيق إلكتروني قياسي منظم وشائع الاستخدام. يتم توفير الحق في نقل البيانات بموجب المادة 20 من الناتج المحلي الإجمالي. يرى الخبراء القانونيون في الصيغة النهائية لهذا التدبير "حق جديد" تم إنشاؤه "يتجاوز نطاق قابلية نقل البيانات بين جهازي تحكم كما هو منصوص عليه في [المادة 20]
الحق في الشطب
تم استبدال الحق في أن يتم نسيانه بحق محصور أكثر في إصدار الناتج المحلي الإجمالي الذي اعتمده البرلمان الأوروبي في مارس 2014. تنص المادة 17 على أنه يحق للبيانات أن تطلب محو البيانات الشخصية المتعلقة بها على أي أساس من الأسباب ، بما في ذلك عدم الامتثال للمادة 6 (1) (قانونية) والتي تشمل الحالة (و) إذا كانت المصالح الشرعية يتم تجاوز المراقب من قبل المصالح أو الحقوق والحريات الأساسية لموضوع البيانات ، والتي تتطلب حماية البيانات الشخصية
موظف حماية البيانات
إذا نفذت التجهيز من قبل سلطة عامة ، باستثناء المحاكم أو السلطات القضائية المستقلة عندما تتصرف بصفتها القضائية أو إذا ، في القطاع الخاص ، تتم عملية المعالجة بواسطة وحدة تحكم تتكون أنشطتها الأساسية من عمليات معالجة تتطلب عمليات منتظمة و الرصد المنتظم لموضوعات البيانات ، أو المعالجة على نطاق واسع من فئات البيانات الخاصة عملاً بالمادة 9 والبيانات الشخصية المتعلقة بالإدانات الجنائية والجرائم المشار إليها في المادة 10 أي شخص لديه معرفة متخصصة بقانون وممارسات حماية البيانات يجب مساعدة وحدة التحكم أو المعالج لمراقبة الامتثال الداخلي لهذه اللائحة.
يشبه مكتب DPO موظف الامتثال ويتوقع منه أيضًا أن يكون بارعاً في إدارة عمليات تكنولوجيا المعلومات وأمن البيانات (بما في ذلك التعامل مع الهجمات الإلكترونية) وقضايا استمرارية الأعمال الهامة الأخرى حول عقد ومعالجة البيانات الشخصية والحساسة. مجموعة المهارات المطلوبة تمتد إلى أبعد من فهم الامتثال القانوني لقوانين ولوائح حماية البيانات.
إن تعيين مكتب DPO في مؤسسة كبيرة سيكون بمثابة تحدٍ للمجلس وللفرد المعني. هناك عدد لا يحصى من الحوكمة وقضايا العوامل البشرية التي ستحتاج المنظمات والشركات إلى معالجتها بالنظر إلى نطاق وطبيعة الموعد. بالإضافة إلى ذلك ، يجب أن يكون لدى مكتب دعم البرامج (DPO) فريق دعم وسيكون مسؤولاً أيضًا عن التطوير المهني المستمر ليكون مستقلاً عن المنظمة التي توظفها ، بفعالية "كمنظم صغير".
تم تقديم مزيد من التفاصيل حول وظيفة ودور موظف حماية البيانات في 13 ديسمبر 2016 (تمت المراجعة في 5 أبريل 2017) في وثيقة توجيهية
التسويق
يوجد ضمن القانون الجديد فرق واضح بين التسويق بين الشركات
(B2C)
وبين الشركات (B2B)
وبين الشركات (B2B
للأعمال
، هناك ستة أسباب لمعالجة البيانات الشخصية ، وهذه هي نفس القدر من الصحة. هناك نوعان من هذه هي ذات الصلة للتسويق المباشر B2B ، فهي موافقة أو مصلحة مشروعة. تنص الحكمة 47 من القانون على أنه "يمكن اعتبار معالجة البيانات الشخصية لأغراض التسويق المباشر أنها تُنفَّذ لمصلحة مشروعة".
استخدام الفائدة المشروعة كأساس للتسويق B2B ينطوي على ضمان استيفاء الشروط الرئيسية:
"يجب أن ترتبط المعالجة بالمصالح المشروعة لنشاطك التجاري أو طرف ثالث محدد ، بشرط ألا تتجاوز المصالح أو الحقوق الأساسية لموضوع البيانات مصلحة الشركة المشروعة."
"يجب أن تكون المعالجة ضرورية لتحقيق المصالح المشروعة للمنظمة."
بالإضافة إلى ذلك ، تنص المادة 6.1 (و) من القانون على أن المعالجة قانونية إذا كانت: "ضرورية لأغراض المصالح المشروعة التي ينتهجها المراقب أو طرف ثالث ، إلا إذا تم تجاوز هذه المصالح من قبل المصالح أو الحقوق والحريات الأساسية للفرد التي تتطلب حماية المعلومات الشخصية ، ولا سيما عندما يكون الفرد طفلاً "
صرحت مفوضية الاتحاد الأوروبي بأن "قوانين الخصوصية الموحدة للبيانات ستخلق فرصًا غير عادية وتحفز الابتكار للشركات ليس فقط داخل أوروبا ولكن أيضًا للمؤسسة الراغبة في التعامل التجاري مع الدول الأوروبية". وتهدف اللجنة إلى قيام الشركات بالحفاظ على الاتصالات والبناء تنظيم دعم العلاقات مع بعضها البعض لضمان أفضل ممارسات البيانات من خلال الشيكات التوازن القانوني
قيود
الحالات التالية لا تشملها اللائحة:
اعتراض قانوني ، الأمن القومي ، الجيش ، الشرطة ، العدالة
التحليل الإحصائي والعلمي
يخضع الأشخاص المتوفين للتشريعات الوطنية
هناك قانون مخصص حول العلاقات بين صاحب العمل والموظف
معالجة البيانات الشخصية من قبل شخص طبيعي في سياق نشاط شخصي أو منزلي
