دخلت اللائحة العامة لحماية البيانات (الاتحاد الأوروبي 2016/679) حيز التنفيذ في 25 مايو 2018، مضيفة عناصر جديدة وتحسينات كبيرة إلى نظام حماية البيانات الحالي.
الأدوار والمسؤوليات
في الفترة التي سبقت تطبيق اللائحة العامة لحماية البيانات (GDPR)، ستكون قد فكرت فيما إذا كنت بحاجة إلى تعيين مسؤول حماية البيانات (DPO) رسميًا - وهو أمر ضروري في الحالات التالية:
- أنت سلطة أو هيئة عامة؛ أو
- تتطلب أنشطتك الأساسية مراقبة واسعة النطاق ومنتظمة ومنهجية للأفراد؛ أو
- تتألف أنشطتك الأساسية من معالجة واسعة النطاق لفئات خاصة من البيانات أو البيانات المتعلقة بالإدانات والجرائم الجنائية.
تُفضّل العديد من المؤسسات ضمان وجود فرد أو قسم مسؤول عن أنشطة الخصوصية دون الحاجة إلى تعيين مسؤول حماية بيانات رسمي. ويُعدّ ضمان معرفة أدوار ومسؤوليات حماية البيانات وتوثيقها بشكل واضح في مؤسستك شرطًا أساسيًا للامتثال.
ROPA – سجل أنشطة المعالجة
يُعدّ توثيق أنشطة معالجة البيانات التي تُجريها المؤسسة شرطًا من شروط المادة 30 من اللائحة العامة لحماية البيانات (في كل من المملكة المتحدة والاتحاد الأوروبي) إذا كان عدد موظفي مؤسستك يزيد عن 250 موظفًا. كما يُعدّ هذا شرطًا للشركات الصغيرة إذا كانت البيانات التي تُعالجها:
- ليست عرضية
- ومن المرجح أن تؤثر على حقوق وحريات الأفراد؛
- تتضمن بيانات من فئات خاصة أو بيانات عن الإدانات الجنائية والجرائم.
يجب أن تتضمن خطة إدارة البيانات الخاصة بك خريطة بيانات لأنظمتك التي تحتوي على بيانات شخصية بالإضافة إلى معلومات حول الأساس القانوني للمعالجة، وأغراض وطرق معالجة البيانات، وسياسات وإجراءات مشاركة البيانات والاحتفاظ بها.
من المهم التأكد من إجراء مراجعات منتظمة لهذه الوثائق حيث من المحتمل حدوث تحديثات بمرور الوقت.
توجد إرشادات من مكتب مفوض المعلومات (ICO) بشأن أفضل الممارسات المتعلقة بقانون حماية البيانات الشخصية (ROPA).
السياسات والإجراءات
ينبغي أن تحدد سياساتك وإجراءاتك بوضوح الأدوار والمسؤوليات في مؤسستك التي تغطي عددًا من المجالات المتعلقة بالخصوصية:
- حماية البيانات وإدارة السجلات
- أمن المعلومات بما في ذلك الاختراقات وإدارة الحوادث
- توفير المعلومات استجابةً لطلبات الحقوق الفردية – مثل طلبات الوصول إلى البيانات الشخصية وإشعارات المعلومات
- حماية البيانات بالتصميم والافتراضي لضمان مراعاة المشكلات وتوثيقها (تقييمات أثر الخصوصية) عند تطبيق أنظمة أو خدمات أو منتجات أو عمليات جديدة، أو تعديل الأنظمة أو الخدمات أو المنتجات أو العمليات الحالية.
- ينبغي مراجعة سياسة الخصوصية على موقعك الإلكتروني بانتظام، مع عرض تاريخ آخر تحديث بوضوح.
إدارة الموردين
من الضروري وجود عقود مع المؤسسات التي تعالج البيانات نيابةً عنك. يجب أن تحدد العقود تفاصيل المعالجة، بما في ذلك:
- موضوع المعالجة
- مدة المعالجة
- طبيعة وغرض المعالجة
- أنواع البيانات الشخصية وفئات أصحاب البيانات
- في حال استخدام أي معالجات فرعية.
هناك حاجة إلى إطار عمل لعمليات التحقق اللازمة لضمان أن هذه المنظمات تعمل وفقًا للمتطلبات الفنية والتنظيمية المناسبة لتلبية متطلبات اللائحة العامة لحماية البيانات (GDPR).
يوصى بمراجعة العقود واتفاقيات تبادل البيانات التي أبرمتها مع المنظمات الأخرى بانتظام.
تمرين
يُعدّ ضمان إلمام موظفيك بمسؤولياتهم فيما يتعلق بمعالجة البيانات الشخصية أمرًا بالغ الأهمية. يجب أن يشمل التدريب التمهيدي والتنشيطي معلومات حول حماية البيانات، والتهديدات الأمنية المحتملة، وسياسات وهياكل إدارة المعلومات في مؤسستك. كما يُعدّ رصد وتوثيق إتمام التدريب عنصرًا أساسيًا لإثبات امتثالك للمعايير.
القوانين واللوائح الأخرى
توجد في المملكة المتحدة قوانين ولوائح أخرى متنوعة تؤثر على أمن البيانات، ومنها:
- لوائح الخصوصية والاتصالات الإلكترونية (PECR) لعام 2003 - التي تغطي الرسائل الإلكترونية غير المرغوب فيها (البريد العشوائي) وحملات التسويق الجماعي. كما تُصدر لوائح أخرى بموجب هذه اللوائح من حين لآخر. على سبيل المثال، لوائح استخدام ملفات تعريف الارتباط على مواقع الويب، وفي عام 2016، صدر قانون يلزم أي شخص يُجري مكالمة تسويقية بعرض رقمه.
- قانون حقوق التأليف والنشر والتصميم وبراءات الاختراع – تم تعديله في عام 2002 ليشمل سرقة البرامج
- قد تكون هناك معايير ولوائح أخرى لتكنولوجيا المعلومات قابلة للتطبيق: على سبيل المثال، تحتاج الشركات التي تعالج معاملات بطاقات الائتمان إلى ضمان الامتثال لمعايير أمان بيانات صناعة بطاقات الدفع (PCI DSS) .
المصادر والروابط
الصفحة الرئيسية لمكتب مفوض المعلومات (ICO) للمنظمات
بوابة اللائحة العامة لحماية البيانات في الاتحاد الأوروبي – www.gdpreu.org
