المتطلبات الرئيسية للائحة العامة لحماية البيانات بلغة بسيطة

في عصر تتزايد فيه انتهاكات البيانات ومخاوف الخصوصية، فإن فهم والامتثال للائحة العامة لحماية البيانات (GDPR) هو ضرورة قانونية وأيضًا عنصر مهم من عناصر الثقة والنزاهة.

قانون حماية البيانات العامة (GDPR)، وهو قانون شامل لحماية البيانات، ينطبق على كل منظمة تعالج البيانات الشخصية للأفراد داخل الاتحاد الأوروبي (EU). يشرح هذا المقال من يحتاج إلى الامتثال لقانون GDPR، ويقدم ملخصًا للمقالات الأساسية في قانون GDPR التي تحدد متطلبات الخصوصية، ويستعرض عناصر رئيسية إضافية للامتثال لقانون GDPR. تعرف على المزيد حول تأثير الذكاء الاصطناعي في الأمن السيبراني في مدونتنا الأمن السيبراني للذكاء الاصطناعي: تأمين أنظمة الذكاء الاصطناعي ضد التهديدات السيبرانية.

من يحتاج إلى الامتثال لقانون حماية البيانات العامة (GDPR)؟

يجب على كل منظمة تتعامل مع البيانات الشخصية للأفراد داخل الاتحاد الأوروبي أن تكون متوافقة مع قانون حماية البيانات العامة (GDPR)، بغض النظر عما إذا كانت مقيمة في الاتحاد الأوروبي أم لا. يشمل ذلك كل من 'المتحكمين' الذين يحددون أغراض ووسائل معالجة البيانات الشخصية و'المعالجين' الذين يعالجون البيانات نيابة عن المتحكم.

حتى لو لم تكن المنظمة مقرها في الاتحاد الأوروبي، فإنها لا تزال بحاجة إلى الامتثال لقوانين حماية البيانات العامة (GDPR) إذا كانت تقدم سلعًا أو خدمات للأفراد في الاتحاد الأوروبي، أو تراقب سلوكهم. هذا يوسع نطاق تطبيق قوانين GDPR عالميًا ويؤكد على أهمية فهم هذه المتطلبات والامتثال لها.

ملخص لمقالات قانون حماية البيانات العامة (GDPR) التي تحدد متطلبات الخصوصية.

يحدد قانون حماية البيانات العامة (GDPR) مجموعة من متطلبات الخصوصية في الفصل 3 من التشريع. إليك ملخص سريع عن المتطلبات الرئيسية في كل من المواد الرئيسية.

المادة 12: الشفافية والتواصل

تُلزم هذه المقالة المنظمات بتقديم معلومات حول معالجة البيانات الشخصية بشكل مختصر وشفاف ومفهوم وسهل الوصول.

• يتطلب الأمر تواصلًا واضحًا مع الأفراد المعنيين حول كيفية معالجة بياناتهم، بما في ذلك تقديم معلومات عن حقوقهم بموجب اللائحة العامة لحماية البيانات (GDPR).
• يجب على المنظمات تسهيل ممارسة حقوق موضوع البيانات (مثل حق الوصول، والتصحيح، والحذف).
• يجب تقديم المعلومات كتابةً أو بوسائل أخرى، بما في ذلك الوسائل الإلكترونية إذا تم الطلب.

المادتان 13 و14: عند جمع البيانات الشخصية

تتطلب هذه المواد من المنظمات تقديم معلومات محددة للأشخاص المعنيين عند جمع البيانات الشخصية منهم (المادة 13) أو من مصادر أخرى (المادة 14):

• يجب تقديم معلومات مثل هوية المتحكم في البيانات، تفاصيل الاتصال، أغراض المعالجة، الأساس القانوني للمعالجة، والمستلمين للبيانات.
• يجب على المنظمات إبلاغ الأفراد المعنيين بحقوقهم، وفترة الاحتفاظ بالبيانات، وحقهم في تقديم شكوى إلى سلطة إشرافية.
• إذا كانت البيانات ستستخدم في اتخاذ القرارات الآلية، بما في ذلك إنشاء ملفات تعريفية، يجب الإفصاح عن ذلك أيضًا.

المادة 15: حق الوصول

تمنح هذه المقالة للأشخاص المعنيين الحق في الوصول إلى بياناتهم الشخصية والحصول على نسخة منها.

• يسمح للأشخاص المعنيين بالتحقق من قانونية المعالجة.
• يجب على المنظمة تقديم معلومات إضافية مثل أغراض المعالجة، وفئات البيانات الشخصية المعنية، والمستلمين أو فئات المستلمين.

المادة 16: الدقة

تُلزم هذه المقالة المنظمات بضمان دقة البيانات الشخصية التي تعالجها، وعند الحاجة، الحفاظ عليها محدثة. وتتطلب من المنظمات اتخاذ كل خطوة معقولة لمسح أو تصحيح الأخطاء في البيانات الشخصية دون تأخير.

المادة 17: الحق في الحذف

يُعرف أيضًا بـ 'الحق في النسيان'، حيث يتيح للأشخاص المعنيين طلب حذف البيانات الشخصية المتعلقة بهم دون تأخير غير مبرر. يجب على المنظمات الامتثال إذا لم تعد البيانات ضرورية، أو تم سحب الموافقة، أو اعترض الشخص على المعالجة، أو كانت المعالجة غير قانونية.

المادة 18: الحق في تقييد المعالجة

يمكن لموضوعات البيانات طلب تقييد معالجة بياناتهم الشخصية في ظروف معينة، مثل عندما يتم الطعن في دقة البيانات أو عندما تكون المعالجة غير قانونية. خلال فترة التقييد، يمكن للمنظمات تخزين البيانات ولكن لا يمكنها معالجتها بشكل إضافي.

المادة 20: قابلية نقل البيانات

تمنح هذه المقالة الأفراد الحق في استلام بياناتهم الشخصية بصيغة منظمة، وشائعة الاستخدام، وقابلة للقراءة من قبل الآلات. كما تتيح لهم طلب النقل المباشر لهذه البيانات إلى جهة تحكم بيانات أخرى.

المادة 21: حق الاعتراض

يحق للأفراد الاعتراض على معالجة بياناتهم الشخصية في أي وقت، لا سيما في سياق التسويق المباشر، بما في ذلك إنشاء ملفات تعريفية. يجب على المنظمات التوقف عن المعالجة ما لم تثبت وجود أسباب مشروعة قوية لذلك.

متطلبات إضافية للامتثال لقانون حماية البيانات العامة (GDPR)

إليك متطلبات إضافية تم تحديدها بواسطة اللائحة العامة لحماية البيانات (GDPR):

الأسس القانونية لمعالجة البيانات

بموجب قانون حماية البيانات العامة (GDPR)، يجب أن يكون لدى المنظمات أساس قانوني لمعالجة البيانات الشخصية. هناك ستة أسس قانونية موضحة في اللائحة: الموافقة، العقد، الالتزام القانوني، المصالح الحيوية، المهمة العامة، والمصالح المشروعة. كل أساس قانوني له مجموعة من المتطلبات والشروط التي يجب تلبيتها. على سبيل المثال، إذا كانت المنظمة تعتمد على الموافقة كأساس قانوني لمعالجة البيانات، يجب أن تضمن أن هذه الموافقة قد تم منحها بحرية، وأنها محددة، ومستنيرة، وغير غامضة.

شروط الموافقة

الموافقة هي واحدة من أكثر الأسس القانونية استخدامًا لمعالجة البيانات الشخصية بموجب اللائحة العامة لحماية البيانات (GDPR). ومع ذلك، فإن الحصول على موافقة صحيحة بموجب اللائحة ليس بالأمر السهل كما قد يبدو. تحدد اللائحة شروطًا صارمة للموافقة، تتطلب أن تكون حرة، محددة، مستنيرة، وغير غامضة. بالإضافة إلى ذلك، يجب على المنظمات أن تكون قادرة على إثبات أنها حصلت على موافقة صحيحة، ويجب أن يكون الأفراد قادرين على سحب موافقتهم في أي وقت.

التزامات المتحكم والمعالج

تقوم اللائحة العامة لحماية البيانات (GDPR) بالتمييز بين الجهات المسؤولة عن البيانات ومعالجي البيانات، وتحدد التزامات مختلفة لكل منهما. ببساطة، الجهة المسؤولة عن البيانات هي منظمة تحدد أغراض ووسائل معالجة البيانات الشخصية، بينما معالج البيانات هو منظمة تعالج البيانات الشخصية نيابة عن الجهة المسؤولة.

يجب على المتحكمين في البيانات الالتزام بعدد من الالتزامات بموجب اللائحة العامة لحماية البيانات (GDPR)، بما في ذلك ضمان توافق أنشطة معالجة البيانات الخاصة بهم مع اللائحة، والحفاظ على سجل بأنشطة المعالجة الخاصة بهم، وتنفيذ تدابير أمنية مناسبة لحماية البيانات الشخصية. من ناحية أخرى، يُطلب من المعالجين معالجة البيانات الشخصية فقط وفقًا لتعليمات المتحكم، ويجب عليهم أيضًا تنفيذ تدابير أمنية مناسبة.

مسؤول حماية البيانات (DPO)

توصي اللائحة العامة لحماية البيانات (GDPR) أو في بعض الحالات تتطلب تعيين مسؤول حماية البيانات (DPO). دور مسؤول حماية البيانات حاسم ويتضمن تقديم المشورة بشأن الالتزامات المتعلقة باللائحة، ومراقبة الامتثال، والعمل كنقطة اتصال للأشخاص المعنيين والسلطات الإشرافية. ليست جميع المنظمات ملزمة بتعيين مسؤول حماية البيانات، ولكن يُوصى بشدة بذلك للمنظمات التي تعالج كميات كبيرة من البيانات أو تتعامل مع بيانات حساسة.

يتحمل مسؤول حماية البيانات (DPO) مسؤولية ضمان امتثال المنظمة لجميع متطلبات اللائحة العامة لحماية البيانات (GDPR). كما يقوم بإبلاغ وتقديم المشورة بشأن قوانين وممارسات حماية البيانات. كما يُكلف مسؤول حماية البيانات بإدارة الأنشطة الداخلية المتعلقة بحماية البيانات، وتقديم المشورة بشأن تقييمات تأثير حماية البيانات، والعمل مع السلطات المعنية.

نقل البيانات عبر الحدود

تضع اللائحة العامة لحماية البيانات (GDPR) قواعد صارمة لنقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية (EEA). تضمن هذه القواعد عدم تقويض الحماية التي تقدمها اللائحة العامة لحماية البيانات عند نقل البيانات دوليًا.

بموجب اللائحة العامة لحماية البيانات (GDPR)، يُسمح بنقل البيانات عبر الحدود فقط تحت شروط معينة. أحد هذه الشروط هو وجود قرار كفاية. وهذا يعني أن المفوضية الأوروبية قد اعترفت بأن الدولة غير التابعة للمنطقة الاقتصادية الأوروبية أو المنظمة الدولية توفر مستوى كافٍ من حماية البيانات.

السلطات الإشرافية

يُطلب من كل دولة عضو في الاتحاد الأوروبي إنشاء هيئة إشرافية مستقلة للنظر في الشكاوى والتحقيق فيها، وفرض العقوبات على المخالفات الإدارية، وإجراء التدقيقات.

تلعب السلطات الإشرافية دورًا رئيسيًا في تطبيق اللائحة العامة لحماية البيانات (GDPR). يتم منحها السلطة لفرض غرامات كبيرة على عدم الامتثال، ولديها أيضًا القدرة على حظر أنشطة معالجة البيانات إذا وُجد أنها تنتهك اللائحة.

علاوة على ذلك، يفرض قانون حماية البيانات العامة (GDPR) على المنظمات التعاون مع السلطات الإشرافية. ويشمل ذلك استشارة السلطة الإشرافية قبل تنفيذ معالجة البيانات عالية المخاطر والإبلاغ عن خروقات البيانات خلال 72 ساعة.

التعاون والاتساق

يجب على المنظمات ضمان التطبيق المتسق لقانون حماية البيانات العامة (GDPR) عبر جميع دول الاتحاد الأوروبي. يتم تحقيق ذلك من خلال آلية التناسق، التي تهدف إلى ضمان تطبيق قانون حماية البيانات العامة بشكل موحد.

يتطلب شرط التعاون والاتساق أيضًا من المنظمات التعاون مع بعضها البعض ومع السلطات الإشرافية في حماية البيانات الشخصية. وهذا أمر حاسم لضمان نهج موحد لحماية البيانات عبر الاتحاد الأوروبي.

علاوة على ذلك، في حالات معالجة البيانات عبر الحدود، تقدم اللائحة العامة لحماية البيانات (GDPR) مفهوم السلطة الإشرافية الرئيسية (LSA). هذه هي السلطة في الدولة التي توجد فيها المنشأة الرئيسية لمراقب البيانات. وتكون السلطة الإشرافية الرئيسية مسؤولة عن قيادة التحقيقات وضمان التطبيق المتسق للائحة العامة لحماية البيانات.

العلاجات، المسؤولية والعقوبات

توفر اللائحة العامة لحماية البيانات (GDPR) للأشخاص المعنيين الحق في الحصول على تعويضات قانونية ضد مراقبي البيانات ومعالجيها. ويشمل ذلك الحق في تقديم شكوى إلى سلطة إشرافية والسعي للحصول على تعويضات قضائية.

من حيث المسؤولية، يمكن أن يتحمل كل من المتحكم في البيانات ومعالج البيانات المسؤولية عن الأضرار الناجمة عن المعالجة غير المتوافقة. وهذا يمتد إلى أي عدم امتثال، وليس فقط خروقات البيانات.

تقدم اللائحة العامة لحماية البيانات (GDPR) أيضًا عقوبات صارمة على عدم الامتثال. يمكن أن تتراوح هذه العقوبات بين 20 مليون يورو أو 4% من الإيرادات السنوية العالمية، أيهما أعلى. تم تصميم هذه العقوبات لضمان أن تأخذ المؤسسات حماية البيانات على محمل الجد وتلتزم بمتطلبات اللائحة.

الالتزام بالتحكمات الأمنية للائحة العامة لحماية البيانات (GDPR) باستخدام Exabeam.

تساعد Exabeam المنظمات في تلبية المتطلبات التكنولوجية والتشغيلية بما في ذلك:

• تقليل التهديدات الخارجية: تعمل Exabeam جنبًا إلى جنب مع حلول الأمان الموجودة، باستخدام التعلم الآلي وتحليلات السلوك لتحديد الأنشطة غير العادية التي قد تشير إلى محاولة هاكر معادي للعثور على البيانات والوصول إليها.
• تقليل التهديدات الداخلية: تعمل Exabeam جنبًا إلى جنب مع حلول إدارة الهوية والوصول لمنع الحوادث الأمنية الناتجة عن إساءة استخدام الأذونات المخصصة سواء عن طريق الخطأ أو بشكل خبيث. من خلال الإشارة إلى الأنشطة التي تقع خارج النطاق الطبيعي لمستخدم معين، تساعد Exabeam في اكتشاف الحوادث المحتملة التي قد تؤدي إلى سرقة البيانات. تُظهر مصادر السجلات المثالية المرتبطة بحالات الاستخدام وإطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) ^Ⓡ أي الأدوات في ترسانة الأمان يمكن أن تتكامل لتقديم أوضح صورة للأحداث.

الإشراف والإخطار في الوقت المناسب: بالإضافة إلى العمل كنقطة مركزية للمعلومات في نظام أمان العميل، توفر Exabeam معلومات جنائية حول النطاق الكامل للحادث، بما في ذلك تقارير الامتثال الدقيقة.