اللائحة العامة لحماية البيانات (GDPR): المعنى والقواعد

ما هو النظام العام لحماية البيانات (GDPR)؟

اللائحة العامة لحماية البيانات (GDPR) هي إطار قانوني يحدد الإرشادات لجمع ومعالجة المعلومات الشخصية من الأفراد الذين يعيشون داخل وخارج الاتحاد الأوروبي (EU).

تمت الموافقة على اللائحة العامة لحماية البيانات (GDPR) في عام 2016 ودخلت حيز التنفيذ في عام 2018، وهي تعتبر أصعب قانون للأمن والخصوصية في العالم. تهدف إلى منح المستهلكين السيطرة على بياناتهم الشخصية من خلال تحميل الشركات المسؤولية عن كيفية تعاملها مع هذه المعلومات ومعالجتها.

تنطبق اللوائح بغض النظر عن مكان تواجد المواقع الإلكترونية، مما يعني أنه يجب الالتزام بها من قبل جميع المواقع التي تجذب الزوار الأوروبيين، حتى إذا لم تكن تسوق بشكل خاص للسلع أو الخدمات للمقيمين في الاتحاد الأوروبي.

النقاط الرئيسية

• اللائحة العامة لحماية البيانات هي قانون يحدد إرشادات لجمع ومعالجة المعلومات الشخصية من الأفراد.
• تمت الموافقة على القانون في عام 2016 ولكنه لم يدخل حيز التنفيذ حتى مايو 2018.
• يوفر النظام العام لحماية البيانات (GDPR) للمستهلكين مزيدًا من التحكم في كيفية التعامل مع بياناتهم الشخصية ونشرها من قبل الشركات.
• يجب على الشركات إبلاغ المستهلكين بما تفعله ببياناتهم في كل مرة يتم فيها اختراق تلك البيانات.
• تنطبق قواعد اللائحة العامة لحماية البيانات (GDPR) على أي موقع ويب بغض النظر عن مكان تواجده.

فهم اللائحة العامة لحماية البيانات (GDPR)

اللائحة العامة لحماية البيانات (GDPR) هي قانون تم اعتماده من قبل الاتحاد الأوروبي في أبريل 2016 ودخل حيز التنفيذ في 25 مايو 2018.

لقد حلّ محل قانون سابق، وهو توجيه حماية البيانات، وتم إنشاؤه لتنظيم الطريقة التي تقوم بها الشركات بمعالجة واستخدام البيانات الشخصية التي تجمعها من المستهلكين عبر الإنترنت. كما يحتوي على قواعد تتعلق بكيفية نقل المعلومات، سواء كان ذلك جزئيًا أو كليًا من خلال وسائل آلية.

يجعل القانون من الصعب على الشركات تضليل المستهلكين باستخدام لغة غامضة أو مربكة عند زيارة مواقعهم الإلكترونية. كما يضمن:

• يتم إبلاغ زوار الموقع بالبيانات التي يتم جمعها.
• يوافق الزوار صراحةً على جمع المعلومات من خلال النقر على زر أو القيام بأي إجراء آخر.
• تقوم المواقع بإخطار الزوار في الوقت المناسب إذا تم اختراق أي من بياناتهم الشخصية التي يحتفظ بها الموقع.
• هناك تقييم إلزامي لأمن بيانات الموقع.

قد تكون هذه المتطلبات أكثر صرامة من تلك المطلوبة في الولاية القضائية التي يقع فيها الموقع.

يجب أن تكون المعلومات حول كيفية الاتصال بمسؤول حماية البيانات (DPO) والموظفين المعنيين الآخرين متاحة بحيث يمكن للزوار ممارسة حقوقهم في البيانات في الاتحاد الأوروبي، والتي تشمل أيضًا القدرة على حذف وجودهم على الموقع، من بين تدابير أخرى. يجب أن يضيف الموقع أيضًا موظفين وموارد أخرى ليكون قادرًا على تنفيذ مثل هذه الطلبات.

اعتبارات خاصة

كحماية إضافية للمستهلكين، يدعو النظام العام لحماية البيانات (GDPR) أيضًا إلى أن يتم إما إخفاء الهوية (تحويلها إلى مجهولة) أو استخدام أسماء مستعارة لأي معلومات تعريف شخصية (PII) التي تجمعها المواقع، حيث يتم استبدال هوية المستهلك باسم مستعار.

هذا يسمح للشركات بإجراء تحليل بيانات أكثر شمولاً، مثل تقييم متوسط نسب الديون لعملائها في منطقة معينة—وهي عملية حسابية قد تكون خارج الأغراض الأصلية للبيانات التي تم جمعها لتقييم الجدارة الائتمانية للحصول على قرض.

تنطبق اللوائح على جميع الأعضاء الـ27 في الاتحاد الأوروبي والمنطقة الاقتصادية الأوروبية (EEA)، بغض النظر عن مكان تواجد المواقع الإلكترونية والمقيمين. وبالتالي، يجب أن تلتزم بها جميع المواقع التي تجذب الزوار الأوروبيين، حتى لو لم تكن تسوق بشكل خاص السلع أو الخدمات للمقيمين في الاتحاد الأوروبي.

لذلك، تنطبق اللوائح على بيانات مواطن الاتحاد الأوروبي حتى لو كانت موجودة في الولايات المتحدة. وبالمثل، فإن المواطن الأمريكي الذي يقيم في الاتحاد الأوروبي يكون مشمولًا كلما زار مواقع مقرها في الاتحاد.

يؤثر النظام العام لحماية البيانات (GDPR) على البيانات التي تتجاوز تلك التي يتم جمعها من العملاء. وربما الأهم من ذلك، أن اللوائح تنطبق على سجلات الموارد البشرية للموظفين.

انتقادات اللائحة العامة لحماية البيانات (GDPR)

لقد جذبت اللائحة العامة لحماية البيانات (GDPR) بعض الانتقادات في بعض الأوساط. يقول البعض إن متطلبات تعيين مسؤولي حماية البيانات (DPOs)، أو حتى مجرد تقييم الحاجة إليهم، تفرض عبئًا إداريًا غير مبرر على بعض الشركات. ويشتكي البعض من أن الإرشادات غامضة للغاية بشأن أفضل السبل للتعامل مع بيانات الموظفين.

بالإضافة إلى ذلك، لا يمكن نقل البيانات إلى دولة أخرى خارج الاتحاد الأوروبي، إلا إذا ضمنت الشركة المستقبلة نفس درجة الحماية التي يتطلبها الاتحاد الأوروبي. وقد أدى ذلك إلى شكاوى بشأن التعطيل المكلف لـ ممارسات الأعمال.

هناك قلق إضافي من أن التكاليف المرتبطة باللائحة العامة لحماية البيانات (GDPR) ستزداد بمرور الوقت، ويرجع ذلك جزئيًا إلى الحاجة المتزايدة لتثقيف العملاء والموظفين على حد سواء حول تهديدات حماية البيانات والحلول المتاحة.

هناك أيضًا شكوك حول مدى إمكانية توافق وكالات حماية البيانات عبر الاتحاد الأوروبي وخارجه في تطبيق وتفسير اللوائح، وبالتالي ضمان تكافؤ الفرص مع دخول اللائحة العامة لحماية البيانات (GDPR) حيز التنفيذ بشكل كامل.

كيف تصبح الشركات متوافقة مع اللائحة العامة لحماية البيانات؟

هناك عدة طرق يمكن للشركات من خلالها الامتثال للائحة العامة لحماية البيانات (GDPR). تشمل بعض الخطوات الرئيسية تدقيق البيانات الشخصية والاحتفاظ بسجل لجميع البيانات التي يجمعونها ويعالجونها. يجب على الشركات أيضًا التأكد من تحديث إشعارات الخصوصية لجميع زوار الموقع وإصلاح أي أخطاء يجدونها في قواعد بياناتهم.

من الذي يشمله النظام العام لحماية البيانات؟

نظريًا، أي فرد يزور مواقع تستند إلى الاتحاد الأوروبي يكون محميًا. يشمل ذلك أي شخص داخل الاتحاد نفسه وخارج حدوده. كما تنطبق اللوائح على مواطني الاتحاد الأوروبي الذين توجد بياناتهم خارج الاتحاد. وإذا كنت مواطنًا من دولة أخرى تعيش في الاتحاد الأوروبي، فإن بياناتك محمية أيضًا بموجب القانون.

متى دخلت اللائحة العامة لحماية البيانات (GDPR) حيز التنفيذ؟

تمت الموافقة على اللائحة العامة لحماية البيانات (GDPR) في أبريل 2016. ومع ذلك، استغرق الأمر عامين لإنشاء الإطار. ونتيجة لذلك، دخلت اللائحة حيز التنفيذ الكامل في 25 مايو 2018.

الخلاصة

تجمع الشركات البيانات الشخصية وغالبًا ما تبيع تلك المعلومات - أحيانًا دون موافقة المستهلكين. ولكن تم وضع قوانين في أجزاء من العالم للمساعدة في حماية الأفراد.

دخلت القواعد بموجب اللائحة العامة لحماية البيانات حيز التنفيذ في الاتحاد الأوروبي في عام 2018. بموجب القانون، يجب على الشركات حماية بيانات المستهلكين وإبلاغهم بكيفية استخدام معلوماتهم. ولها نطاق واسع، يمتد إلى ما وراء حدود الاتحاد الأوروبي.