ما تحتاج الشركات الأمريكية إلى معرفته حول اللائحة العامة لحماية البيانات
في 25 مايو 2018 ، ستدخل اللوائح الجديدة التي تحكم استخدام البيانات الشخصية الخاصة بمواطني الاتحاد الأوروبي حيز التنفيذ. تم تصميم اللائحة العامة لحماية البيانات (GDPR) لحماية خصوصية مواطني الاتحاد الأوروبي ولكن سيكون لها أيضًا آثار واسعة النطاق على الشركات في جميع أنحاء العالم. وفقًا لمسح حول جاهزية إجمالي الناتج المحلي أجرته شركة PwC US ، تتوقع 77٪ من الشركات التي تتخذ من الولايات المتحدة مقراً لها إنفاق مليون دولار أو أكثر لتلبية متطلبات الناتج المحلي الإجمالي ، ويتوقع 9٪ إنفاق أكثر من 10 ملايين دولار. إليك ما تحتاج الشركات الأمريكية إلى معرفته حول اللائحة العامة لحماية البيانات.
ما هو اللائحة العامة لحماية البيانات؟
اللائحة العامة لحماية البيانات هي مجموعة من القواعد التي تحكم كيفية جمع المعلومات الشخصية لمواطني الاتحاد الأوروبي أو معالجتها أو إدارتها أو تخزينها.
الهدف من اللائحة العامة لحماية البيانات هو منح مواطني الاتحاد الأوروبي مزيدًا من المعلومات والتحكم بشكل أكبر في كيفية استخدام بياناتهم الشخصية من خلال ضمان معرفتهم وفهمهم وموافقتهم على البيانات التي تم جمعها عنهم. يتضمن ذلك الحق في الموافقة الصريحة على كل استخدام للبيانات الشخصية ، والحق في معرفة البيانات المستخدمة ، والحق في تقييد هذا الاستخدام أو إيقافه.
لطالما اعتبر الاتحاد الأوروبي خصوصية البيانات أمرًا مهمًا ، لكن اللائحة العامة لحماية البيانات تضع قواعد جديدة للامتثال ، وعقوبات جديدة أكثر صرامة للانتهاكات. يسمح القانون العام لحماية البيانات (GDPR) بعدة مستويات مختلفة من الغرامات في حالة عدم الامتثال ، بحد أقصى 4٪ من الإيرادات العالمية السنوية للشركة أو 20 مليون يورو ، أيهما أكبر.
تتضمن البيانات الشخصية المحمية بموجب القانون العام لحماية البيانات (GDPR) أي معلومات تتعلق بشخص محدد أو يمكن التعرف عليه ، بما في ذلك:
- اسم
- العنوان
- رقم الهوية
- معلومات صحية
- الأصل العرقي أو الإثني
- وجهات النظر أو الانتماءات السياسية
- المعتقدات أو الانتماءات الدينية
- البيانات الجينية
- البيانات البيومترية
- بيانات الموقع
- عنوان IP
- بيانات ملفات تعريف الارتباط
- علامات RFID
البيانات المجهولة حقًا التي لا يمكن ربطها بشخص بأي شكل من الأشكال معفاة من اللائحة العامة لحماية البيانات ، ولكن يجب أن تستخدم هذه البيانات عملية إخفاء هوية شاملة لا تمكن البيانات من إعادة التعرف عليها. بالإضافة إلى ذلك ، ينطبق القانون العام لحماية البيانات (GDPR) فقط على مواطني الاتحاد الأوروبي المقيمين في إحدى الدول الأعضاء في الاتحاد الأوروبي البالغ عددها 28 دولة.
شروط اللائحة العامة لحماية البيانات (GDPR) التي يجب معرفتها
- النطاق الإقليمي: يحدد هذا اختصاص اللائحة العامة لحماية البيانات ، والتي لا تغطي فقط الشركات التي يقع مقرها في الاتحاد الأوروبي ، ولكن أي كيان يعالج البيانات المتعلقة بتقديم السلع والخدمات للأفراد في الاتحاد الأوروبي ، أو مراقبة مواطني الاتحاد الأوروبي.
- البيانات الشخصية: أي نوع من البيانات يمكن استخدامه ، بمفرده أو مع بيانات أخرى ، لتحديد هوية الشخص.
- مراقب البيانات: أي شخص أو شركة أو كيان آخر يقرر كيفية جمع البيانات الشخصية واستخدامها. بموجب القانون العام لحماية البيانات (GDPR) ، يُطلب من مراقبي البيانات إبلاغ موضوعات البيانات بوضوح حول كيفية استخدام بياناتهم الشخصية ، والاحتفاظ بسجلات داخلية مفصلة عن البيانات التي يجمعونها وكيفية استخدامها.
- معالج البيانات: أي كيان مسؤول عن جمع البيانات أو تخزينها أو تعديلها أو تسجيلها أو معالجتها نيابة عن مراقب البيانات.
- مسؤول حماية البيانات: هذا المنصب مطلوب للشركات على مستوى المؤسسة التي تجمع أو تستخدم معلومات عن مواطني الاتحاد الأوروبي ، وهي مسؤولة عن استراتيجية حماية البيانات في المنظمة ، وتثقيف الموظفين بشأن متطلبات الامتثال ، وإجراء عمليات تدقيق الخصوصية ، والإبلاغ عن قضايا الخصوصية إلى إدارة الشركة .
- الحق في النسيان: الحق في حذف البيانات الشخصية أو المحتوى أو إزالته.
من يتأثر باللائحة العامة لحماية البيانات
بالنسبة إلى الشركات الأمريكية ، يتمثل أحد أهم جوانب اللائحة العامة لحماية البيانات في أنها لا تنطبق فقط على شركات الاتحاد الأوروبي – يجب أن يكون أي كيان ، في أي مكان في العالم ، يجمع البيانات الشخصية لمواطني الاتحاد الأوروبي أو يستخدمها أو يعالجها ، متوافقًا مع اللائحة العامة لحماية البيانات. .
ستؤثر لوائح الناتج المحلي الإجمالي الجديدة على عملك إذا:
- استخدم أي بيانات شخصية من مواطني الاتحاد الأوروبي
- اجمع عناوين البريد الإلكتروني من و / أو أرسل بريدًا إلكترونيًا إلى المشتركين في الاتحاد الأوروبي
- معالجة البيانات من مواطني الاتحاد الأوروبي نيابة عن كيان آخر ، كمقاول من الباطن
المهام المقترحة للامتثال للائحة العامة لحماية البيانات,
- حدد ما إذا كانت شركتك تجمع أو تستخدم أي بيانات شخصية من مواطني الاتحاد الأوروبي. تذكر ، إذا كان لديك موقع ويب ، فيمكن لأي شخص الوصول إليه بغض النظر عن الموقع ، لذلك قد يكون بعض عملائك أو مستخدميك مواطنين في الاتحاد الأوروبي
- إذا اكتشفت أنك تقوم بجمع أو معالجة بيانات مواطني الاتحاد الأوروبي ، فقم بإجراء تدقيق للبيانات لتحديد جميع أنواع البيانات الشخصية التي تجمعها شركتك أو تخزنها أو تعالجها. حدد البيانات التي لديك ، ومكان وجودها ، والغرض الذي تستخدمه من أجله ، والمدة التي تحتاجها للاحتفاظ بها في نظامك.
- إذا أرسلت شركتك بريدًا إلكترونيًا إلى مواطني الاتحاد الأوروبي ، فيجب عليك مراجعة عمليات البريد الإلكتروني الخاصة بك وإما إنشاء نظام تسجيل منفصل لمشتركي الاتحاد الأوروبي ، أو تغيير جميع ممارسات الاشتراك لتتوافق مع القانون العام لحماية البيانات (GDPR).
- إذا كانت شركتك تعالج أو تجمع كمية كبيرة من البيانات الحساسة عن مواطني الاتحاد الأوروبي ، فإن القانون العام لحماية البيانات (GDPR) يتطلب منك تعيين مسؤول حماية البيانات.
- إذا كانت شركتك تستخدم بيانات من مواطني الاتحاد الأوروبي ، فتأكد من أن سياسة الخصوصية الخاصة بك تصف صراحة كيفية جمع هذه البيانات واستخدامها ، بدلاً من استخدام صياغة غامضة مثل “لتحسين تجربتك” أو “للبحث”. يجب إبلاغ المستخدمين بأي تغييرات تطرأ على سياسات الخصوصية بشكل مستمر.
- بموجب القانون العام لحماية البيانات (GDPR) ، يجوز لأي مواطن في الاتحاد الأوروبي منح موافقته على استخدام معلوماته الشخصية إلغاء هذه الموافقة في أي وقت. لديهم أيضًا الحق في معرفة المعلومات التي لديك ، والمطالبة بتغيير المعلومات أو حذفها. هذا يعني أنه إذا كانت شركتك تستخدم بيانات من مواطني الاتحاد الأوروبي ، فيجب أن تكون لديك القدرة على تحديد بيانات المستخدم الفردية والوصول إليها وتحريرها وحذفها ، والقيام بذلك مجانًا وفي غضون 30 يومًا من الطلب.
- راجع العملية التي تستخدمها للحصول على موافقة من عملائك لاستخدام معلوماتهم الشخصية. يجب أن يُطلب من موضوعات البيانات تحديد مربع أو الإشارة بطريقة أخرى إلى موافقتهم على استخدام بياناتهم ، ويجب منحهم خيار الموافقة على كل نوع من أنواع الاستخدام أو رفضه ومراجعة تفضيلاتهم وتتبعها.
- إذا كانت شركتك تستخدم بيانات من مواطني الاتحاد الأوروبي وتعرضت لخرق بيانات أو حادث أمني ، فإن القانون العام لحماية البيانات (GDPR) يتطلب منك الإبلاغ عنها في غضون 72 ساعة من علمك بها.
موارد إضافية حول اللائحة العامة لحماية البيانات ، وكيف يمكن أن تؤثر على عملك ، وما عليك القيام به للاستعداد
- من برنامج كلية الحقوق بجامعة نيويورك بشأن الامتثال والإنفاذ المؤسسي: اللائحة العامة لحماية البيانات: دليل تمهيدي للمنظمات التي تتخذ من الولايات المتحدة مقراً لها والتي تتعامل مع البيانات الشخصية في الاتحاد الأوروبي
- من مفرق الامتثال: الناتج المحلي الإجمالي للشركات الأمريكية
- من مجلة HIPAA: الامتثال للقانون العام لحماية البيانات للشركات الأمريكية
- من Microsoft: الاستعداد لعصر جديد في تنظيم الخصوصية
- النص الكامل للائحة العامة لحماية البيانات