بادئ ذي بدء ، يجب أن تعرف معنى هذه الاختصارات ، RGPD ، لأنها ستكون مهمة جدًا لتطوير نموذج عملك الرقمي. حسنًا ، إنه مكافئ لما هو في الواقع اللائحة العامة لحماية البيانات (RGPD) والتي دخلت حيز التنفيذ مؤخرًا. وإذا كان لديك ملف التجارة أو متجر على الإنترنت سيتعين عليك الامتثال للتشريع حتى لا تتعرض لمفاجأة سلبية أخرى من الآن فصاعدًا.
هل يتعين علي القيام بشيء ما لتكييف متجري أو عملي مع اللائحة العامة لحماية البيانات؟ بهذا المعنى ، يجب أن تعلم أن RGPD هي لائحة معتمدة على مستوى الاتحاد الأوروبي وهدفها هو ضمان حماية المعلومات الشخصية.
من الآن فصاعدًا ، سيتعين على جميع الشركات أن توفر على موقعها على الويب سياسة خصوصية تشرح كيف هي معالجة البيانات التي لديها عملاء أو شركاء أو موظفون أو مهتمون ببساطة بتلقي معلومات تجارية.
تم تضمين المبادئ الجديدة في RGPD
في اللائحة الحالية لحماية البيانات على المستوى الأوروبي ، يتم التفكير في سيناريوهات جديدة لأصحاب الأعمال التجارية الرقمية. ومن بين الجوانب التالية التي نعرضها لكم أدناه. عندما يكون من الضروري أيضًا أن تأخذ في الاعتبار أن البرلمان الأوروبي والمجلس الأوروبي قد وافقوا أخيرًا على اللائحة العامة لحماية البيانات (RGPD) ، والتي تطمح توحيد الأنظمة من جميع الدول الأعضاء بشأن هذه المسألة ، حيز التنفيذ في 25 مايو 2016 ، على الرغم من أن الامتثال لها سيكون إلزاميًا فقط بعد عامين من ذلك التاريخ.
مبدأ المسؤولية. يجب تنفيذ الآليات لإثبات أن جميع التدابير اللازمة قد تم اعتمادها لمعالجة البيانات الشخصية كما هو مطلوب بموجب القاعدة. إنها مسؤولية استباقية. يجب أن تكون المنظمات قادرة على إثبات أنها تفي بهذه المتطلبات ، الأمر الذي يتطلب تطوير السياسات والإجراءات والضوابط وما إلى ذلك.
مبادئ حماية البيانات بشكل افتراضي وبحسب التصميم. في هذه المناسبة ، يجب اتخاذ تدابير لضمان الامتثال للمعيار من اللحظة التي يتم فيها تصميم شركة أو منتج أو خدمة أو نشاط يتضمن معالجة البيانات ، كقاعدة ومن المصدر.
مبدأ الشفافية. يجب أن تكون الإخطارات القانونية وسياسات الخصوصية أبسط وأكثر وضوحًا ، مما يسهل فهمها ، فضلاً عن كونها أكثر اكتمالاً. بل إنه من المتصور أنه من أجل الإبلاغ عن معالجة البيانات ، يمكن استخدام الرموز الموحدة.
التزامات جديدة للشركات الرقمية
في بعض الأحيان ، سيكون من الضروري تعيين مندوب حماية البيانات (DPO) ، داخليًا أو خارجيًا ، لمساعدة المنظمات في عملية الامتثال المعياري. ومع ذلك ، فإن تعقيد المعيار الجديد سيجعل هذا الرقم موصى به بشدة في الغالبية العظمى من المنظمات.
في حالات معينة ، يجب إجراء تقييمات تأثير الخصوصية ، والتي ستحدد في النهاية المخاطر المحددة التي تنطوي عليها معالجة بعض البيانات الشخصية وتتوقع تدابير للتخفيف من المخاطر المذكورة أو القضاء عليها
سيكون لدى الشركات متعددة الجنسيات ، كمحاور ، سلطة رقابة وطنية واحدة: تلك الخاصة بالمؤسسة الرئيسية للكيان. وهو ما يعرف بالنافذة الواحدة.
يجب إبلاغ المخالفات الأمنية إلى سلطات الرقابة ، وفي الحالات الخطيرة ، إلى المتضررين ، بمجرد معرفتها ، وتحديد مدة أقصاها 72 ساعة.
بيانات حساسة: تم توسيع البيانات المحمية بشكل خاص ، بما في ذلك الآن البيانات الوراثية والبيومترية. كما تندرج الجرائم والإدانات في هذه الفئة ، وإن لم تكن إدارية.
يعد اختيار الشخص المسؤول عن العلاج أكثر صرامة ، حيث سيكون من الضروري اختيار الشخص الذي يوفر ضمانات كافية للامتثال التنظيمي.
ضمانات إضافية لما يسمى بعمليات نقل البيانات الدولية: مع إنشاء ضمانات أكثر صرامة وآليات مراقبة فيما يتعلق بعمليات نقل البيانات الدولية خارج الاتحاد الأوروبي.
الأختام والشهادات: من المتوقع أن يتم إنشاء أختام وشهادات الامتثال التي تسمح باعتماد المساءلة من قبل المنظمات.
يختفي الالتزام بتسجيل الملفات ، والذي يتم استبداله برقابة داخلية ، وفي بعض الحالات ، جرد لعمليات معالجة البيانات التي يتم تنفيذها ، والتي يمكن اعتبارها ذات محتوى مشابه للمحتوى الموجود حاليًا في النموذج في سؤال.
عقوبات: تزداد مبالغ العقوبات المفروضة على خرق القانون لتصل إلى 20 مليون يورو أو 4٪ من حجم المبيعات العالمي السنوي (لا تُستثنى من الغرامات المفروضة على الإدارات العامة ، رغم أن الدول الأعضاء قد توافق على ذلك)
الحقوق الجديدة المنصوص عليها في اللوائح
الشفافية والمعلومات. يجب على المنظمات ، عند معالجة البيانات الشخصية ، تقديم مزيد من المعلومات وبطريقة أكثر وضوحًا وكاملة وبساطة ، مما يفضل اتخاذ القرار من قبل المواطن. يتم إيلاء اعتبار خاص للقصر في هذه المرحلة.
موافقة. يجب أن تكون الموافقة على معالجة البيانات الشخصية صريحة وحرة وقابلة للإلغاء ويجب أن تُمنح عن طريق عمل إيجابي واضح. الموافقة الضمنية غير مسموح بها.
الحق في النسيان. قد يتم إلغاء الموافقة الممنوحة لمعالجة البيانات الشخصية في أي وقت ، حيث تكون قادرة على المطالبة بحذف وإزالة البيانات في الشبكات الاجتماعية أو محركات البحث على الإنترنت.
الحق في تقييد العلاج المعني. يسمح للمواطن بطلب الحجب المؤقت لمعالجة بياناته عند وجود خلافات حول شرعيتها.
قابلية نقل البيانات. يُسمح للمواطن بطلب نقل البيانات الشخصية من مزود خدمة الإنترنت إلى آخر.
شكاوي. يمكن تقديم الشكاوى من خلال جمعيات المستخدمين.
التعويضات والعقوبات في حالة عدم الامتثال. يتم الاعتراف بإمكانية المطالبة بالتعويض عن الأضرار الناجمة عن المعالجة غير المشروعة للبيانات الشخصية.
يجوز للشخص المسؤول عن الملف تحديد رسوم للرد على ممارسات حق الوصول ، مع مراعاة التكاليف الإدارية التي يستتبعها ذلك.
اعتبارات على التطبيق الصحيح
على الرغم مما سبق ، لا تزال هناك العديد من الجوانب التي لا تزال معلقة على تطويرها وتكوينها الملموس المنصوص عليها في هذه اللائحة. وبهذا المعنى ، تجدر الإشارة إلى أنه يجب على الدول الأعضاء وسلطات الرقابة ولجنة حماية البيانات الأوروبية والمفوضية تحديد العديد من العناصر التي تظهر في RGPD والتي تكون غامضة أو غامضة للغاية.
على أي حال ، فإن الأحكام الواردة في اللوائح قابلة للتطبيق مباشرة في كل دولة من الدول الأعضاء ، دون الحاجة إلى نقل ، وتلزم الشركات الخاصة والمؤسسات العامة بمواجهة عملية مهمة لإعادة التعديل التنظيمي.
ومع ذلك ، فإن RGPD لا تلغي تلقائيًا LOPD ولائحتها التنفيذية. إنه ببساطة يزيح هذه إلى الحد الذي يجعلها غير متوافقة معها. في تلك المجالات التي لا يحدث فيها مثل هذا التعارض ، سوف تتعايش اللوائح ، مما يؤدي إلى توقع العديد من المشكلات العملية والتفسيرية ، والتي سيتطلب حلها مساعدة متخصصين متخصصين يقدمون ضمانات كافية. بينما من ناحية أخرى ، فإن عملية إعادة التكيف ليست سهلة من الناحية الفنية ، لذلك سيكون من المهم للشركات الحصول على مشورة قانونية متخصصة تقدم ضمانات كافية.
احصل على خدمة حماية البيانات
هناك طريقة جيدة للحصول على خدمة حماية البيانات وهي طلب عروض الأسعار من رابطة شركات حماية البيانات (AEPD.org). بهذا المعنى ، فإن موقع AEPD.org لديه تحول رسمي بين الشركات المرتبطة به. عمليتها بسيطة: عليك أن تطلب ميزانية من AEPD.org وتقوم نفس الجمعية بتوزيعها على شركائها ، في محاولة للتأكد من أن العميل النهائي يتلقى نصيحة جيدة.
إذا لم تذهب إلى AEPD.org ، فإن الطريقة الوحيدة للحصول على تقديرات هي الذهاب واحدًا تلو الآخر إلى مواقع الويب الخاصة بشركات حماية البيانات. هذا الإجراء أبطأ ولكنه فعال أيضًا. سنقوم في الأسابيع المقبلة بإعداد ونشر قائمة بشركات LOPD لتسهيل هذه العملية. في الوقت الحالي ، ربما يكون الخيار الأفضل هو الذهاب إلى رابطة شركات حماية البيانات.
الاستنتاجات الأخيرة
يجب إعطاء الموافقة عن طريق عمل إيجابي واضح يعكس مظهرًا حرًا ومحدّدًا ومستنيرًا وواضحًا للطرف المعني لقبول معالجة البيانات الشخصية المتعلقة به ، مثل بيان مكتوب ، بما في ذلك بالوسائل الإلكترونية ، أو بيان شفهي.
قد يشمل ذلك تحديد مربع على موقع ويب على الإنترنت ، أو اختيار المعلمات التقنية لاستخدام خدمات مجتمع المعلومات ، أو أي بيان أو سلوك آخر يشير بوضوح في هذا السياق إلى أن الطرف المعني يقبل المعالجة المقترحة لمعلوماته الشخصية. لذلك ، يجب ألا يشكل الصمت أو المربعات المحددة أو التقاعس عن العمل موافقة.
يجب الموافقة على جميع أنشطة المعالجة المنفذة لنفس الأغراض أو لنفس الأغراض. عندما يكون للعلاج عدة أغراض ، يجب الموافقة على كل منهم. إذا كان لابد من إعطاء موافقة الطرف المعني نتيجة لطلب بوسائل إلكترونية ، فيجب أن يكون الطلب واضحًا وموجزًا ولا يزعج دون داع استخدام الخدمة التي يتم توفيرها من أجلها.