دخلت اللائحة العامة لحماية البيانات (الاتحاد الأوروبي 2016/679) حيز التنفيذ في 25 مايو 2018، مضيفة عناصر جديدة وتحسينات كبيرة إلى نظام حماية البيانات الحالي.
قام قانون حماية البيانات (DPA) لعام 2018، الذي دخل حيز التنفيذ في 23 مايو 2018، بتنفيذ اللائحة العامة لحماية البيانات (GDPR)، مع إضافة أحكام تسمح لقانون المملكة المتحدة بتوسيع نطاق اللائحة العامة لحماية البيانات لتشمل مجالات مثل أجهزة الأمن والهيئات الحكومية، والتي لم تكن مشمولة باللائحة العامة لحماية البيانات وحدها.
بعد خروج بريطانيا من الاتحاد الأوروبي (بعد انتهاء الفترة الانتقالية لخروج بريطانيا من الاتحاد الأوروبي اعتبارًا من 1 يناير 2021 فصاعدًا)، فإن اللائحة العامة لحماية البيانات في المملكة المتحدة هي النسخة المحتفظ بها من لائحة الاتحاد الأوروبي بموجب القسم 3 من إجراءات الاتحاد الأوروبي (الانسحاب) لعام 2018 وبصيغتها المعدلة بموجب لوائح حماية البيانات والخصوصية والاتصالات الإلكترونية (التعديل وما إلى ذلك) (خروج الاتحاد الأوروبي) لعام 2020.
يحمي قانون حماية البيانات العامة في المملكة المتحدة حقوق مواطني المملكة المتحدة فيما يتعلق ببياناتهم، بينما يحمي قانون حماية البيانات العامة في الاتحاد الأوروبي حقوق مواطني الاتحاد الأوروبي. وينطبق كلا القانونين على المؤسسات التي تتعامل مع بيانات مواطني المملكة المتحدة والاتحاد الأوروبي.
تستمر مبادئ ومتطلبات اللائحة العامة لحماية البيانات في الاتحاد الأوروبي في التطبيق في المملكة المتحدة بنسختها التي صدرت بعد خروج بريطانيا من الاتحاد الأوروبي، وهنا نلقي نظرة على المجالات الرئيسية للنطاق وبعض التعريفات.
وحدات التحكم والمعالجات
ينطبق نظام حماية البيانات العامة (GDPR) على كلٍ من جهات التحكم في البيانات ومعالجيها. تحدد جهات التحكم كيفية معالجة البيانات الشخصية وسببها. أما جهات المعالجة فتتولى معالجة البيانات نيابةً عن جهات التحكم. قد تكون مؤسستكم جهة معالجة بيانات، أو جهة تحكم في البيانات، أو كليهما.
توجد التزامات قانونية محددة على كل من المتحكمين والمعالجين:
- يجب على جهات التحكم التأكد بشكل خاص من أن العقود المبرمة مع جهات المعالجة تتوافق مع اللائحة العامة لحماية البيانات (GDPR)؛ و
- يخضع كل من المتحكمين والمعالجين لمتطلبات منفصلة، ولكنها صريحة، للاحتفاظ بسجلات البيانات الشخصية وأنشطة المعالجة.
- كما يتحمل المعالجون المسؤولية القانونية عن أي خروقات أمنية.
يرجى الاطلاع على صحيفة الحقائق ذات الصلة بعنوان "أمن البيانات - اللائحة العامة لحماية البيانات - ضمان الامتثال" للحصول على معلومات أكثر تفصيلاً حول متطلبات التوثيق.
مبادئ حماية البيانات
البيانات الشخصية هي:
- تمت معالجتها بشكل قانوني وعادل وشفاف
- يتم جمعها لأغراض محددة وواضحة ومشروعة
- كافية وذات صلة ومقتصرة على ما هو ضروري للغرض
- يجب أن تكون البيانات دقيقة ومحدثة باستمرار. يجب حذف البيانات غير الدقيقة أو تصحيحها.
- يتم الاحتفاظ بها بتنسيق قابل للتحديد لفترة لا تتجاوز المدة اللازمة
- تتم معالجتها بشكل آمن ومحمية من المعالجة غير المصرح بها أو غير القانونية، أو الفقدان العرضي، أو التدمير أو التلف.
حقوق الأفراد بموجب اللائحة العامة لحماية البيانات (GDPR)
الحق في الحصول على المعلومات
يحق للأفراد معرفة كيفية معالجة بياناتهم الشخصية. ويعزز النظام الأوروبي العام لحماية البيانات (GDPR) الشفافية في معالجة البيانات من خلال إشعار خصوصية يتضمن (من بين أمور أخرى) تفاصيل عن المتحكم بالبيانات، ومصدر البيانات، ومستلمي البيانات، وعمليات نقل البيانات التي تتم خارج الاتحاد الأوروبي، وفترة الاحتفاظ بالبيانات.
حق الوصول (طلب الوصول إلى البيانات)
يحق للأفراد الحصول على تأكيد بأن بياناتهم قيد المعالجة، والوصول إلى بياناتهم الشخصية، ومعلومات أخرى، مثل تلك الواردة في إشعار الخصوصية.
الحد الأقصى للوقت المسموح به للتعامل مع طلب الوصول إلى البيانات هو 30 يومًا، وقد تم إلغاء الحق في فرض رسوم الوصول إلى البيانات، ما لم يكن الطلب لا أساس له من الصحة أو مفرطًا أو متكررًا.
الحق في التصحيح
يحق للأفراد تصحيح بياناتهم الشخصية غير الدقيقة أو الناقصة. ويشمل ذلك أيضاً البيانات الشخصية التي يتم مشاركتها أو إعطاؤها لأطراف ثالثة.
الحق في المحو
يحق للأفراد طلب حذف أو إزالة بياناتهم الشخصية في حال عدم وجود سبب مقنع لاستمرار معالجتها. ويشمل ذلك أيضاً البيانات الشخصية التي يتم مشاركتها أو إعطاؤها لأطراف ثالثة.
من المهم ملاحظة أن هناك متطلبات إضافية عندما يتعلق الطلب بطفل.
هناك بعض الاستثناءات لحق المحو، مثل الحالات التي يتم فيها الاحتفاظ بالبيانات للامتثال لالتزام قانوني.
الحق في تقييد المعالجة
يحق للأفراد تقييد معالجة بياناتهم الشخصية. في هذه الحالة، يمكن تخزين البيانات الشخصية، ولكن لا يمكن معالجتها.
الحق في نقل البيانات
يحق للأفراد الحصول على بياناتهم الشخصية وإعادة استخدامها عبر مختلف الخدمات. ويتيح لهم ذلك نقل بياناتهم الشخصية أو نسخها أو تحويلها. ويجب تقديم البيانات الشخصية بتنسيق منظم قابل للقراءة آلياً (مثل ملف CSV).
حق الاعتراض
يحق للأفراد الاعتراض على معالجة بياناتهم الشخصية. ويجب إيقاف المعالجة فوراً ما لم تكن هناك أسباب مشروعة "ملحة" للمعالجة، أو إذا كانت المعالجة ضرورية لإثبات أو ممارسة أو الدفاع عن دعاوى قانونية.
الحقوق المتعلقة باتخاذ القرارات الآلية وتحديد السمات الشخصية
يحق للأفراد ضمان وجود ضمانات تحميهم من خطر اتخاذ قرارات ضارة دون تدخل بشري. ويشمل ذلك أيضاً حماية البيانات الشخصية المستخدمة لأغراض التنميط.
المساءلة والحوكمة
يتطلب مبدأ المساءلة وجود تدابير حوكمة مناسبة لتوثيق الامتثال. ولذلك، تحتاج المنظمات إلى ما يلي:
- تطبيق تدابير تتوافق مع مبادئ حماية البيانات
- سياسات وإجراءات الوثائق المتعلقة بتخزين ومعالجة البيانات الشخصية
- تنفيذ التدابير الفنية والتنظيمية لضمان وإثبات الامتثال.
- تعيين مسؤول حماية البيانات عند الضرورة.
يرجى الاطلاع على صحيفة الحقائق ذات الصلة بعنوان "أمن البيانات - ضمان الامتثال لحماية البيانات" للحصول على معلومات أكثر تفصيلاً.
مشروعية المعالجة
من المهم فهم وتوثيق الأساس القانوني لمعالجتك للبيانات. وهناك ستة أسس:
- موافقة
- الالتزام التعاقدي
- التزام قانوني
- المصالح الحيوية
- المصلحة العامة
- المصالح المشروعة.
فيما يتعلق بمسألة الموافقة، يجب أن تكون محددة وواضحة وممنوحة بحرية. لا يمكن افتراض الموافقة الصريحة من خلال عدم اتخاذ أي إجراء، كعدم النقر على زر "إلغاء الاشتراك" عبر الإنترنت، أو من خلال استخدام مربعات محددة مسبقًا. يجب على الشركات التأكد من تسجيل التاريخ والوقت والطريقة والصياغة الفعلية المستخدمة للحصول على الموافقة، لذا من المهم التأكد من امتلاك شركتك الوسائل اللازمة لتسجيل وتوثيق هذه المعلومات.
إرشادات الموافقة من مكتب مفوض المعلومات
يمنحك مبدأ المصلحة المشروعة القدرة على معالجة بيانات الأفراد، ولكن فقط ضمن الحدود التي يتوقعونها. إذا اعتمدت على المصلحة المشروعة، فستتحمل مسؤولية ضمان ما يلي:
- يوجد أساس لاستخدام المصلحة المشروعة
- تقتصر معالجة البيانات على هذا الاهتمام ويمكن إثباته
- تم مراعاة حقوق الفرد في عملية موازنة
- يتم إبلاغ الفرد بالمصالح المشروعة في سياسات الخصوصية الخاصة بك.
إرشادات المصالح المشروعة لمكتب اكتتاب العملات الرقمية
الإبلاغ عن المخالفات
إن خرق البيانات الشخصية هو التدمير أو الفقدان أو التغيير أو الكشف غير المصرح به أو الوصول غير المصرح به إلى البيانات الشخصية، سواء كان ذلك عرضيًا أو غير قانوني.
لدى هيئة تنظيم الاتصالات في المملكة المتحدة (ICO) أداة تقييم ذاتي عبر الإنترنت تساعد في تحديد مدى خطورة المخالفة وما إذا كان ينبغي الإبلاغ عنها أم لا. بعض المخالفات تستوجب إخطار السلطة الإشرافية المختصة في غضون 72 ساعة. من الضروري إجراء التقييم فور اكتشاف المخالفة.
إرشادات مكتب مفوض المعلومات بشأن تقييم خرق البيانات الشخصية
نقل البيانات
في 28 يونيو 2021، اعتمدت المفوضية الأوروبية قرارًا بشأن كفاية حماية البيانات في المملكة المتحدة، ما يعني استمرار تدفق معظم البيانات بين المملكة المتحدة والمنطقة الاقتصادية الأوروبية دون الحاجة إلى ضمانات إضافية. (باستثناء البيانات المتعلقة بمراقبة الهجرة).
عند نقل البيانات إلى دولة ثالثة، قد تُطبّق ضمانات إضافية مثل البنود التعاقدية القياسية أو القواعد المؤسسية الملزمة. الرابط الأول أدناه من هيئة تنظيم المعلومات في المملكة المتحدة (ICO)، والثاني من المفوضية الأوروبية.
إرشادات اتفاقية نقل البيانات الصادرة عن مكتب مفوض المعلومات
قواعد الاتحاد الأوروبي بشأن عمليات النقل خارج التكتل
المصادر والروابط
الصفحة الرئيسية لمكتب مفوض المعلومات (ICO) للمنظمات
بوابة اللائحة العامة لحماية البيانات في الاتحاد الأوروبي – www.gdpreu.org
