يتطور قانون حماية البيانات الشخصية والخصوصية بسرعة في الولايات المتحدة وفي جميع أنحاء العالم. ومع ذلك ، في حين أن بعض المناطق ، مثل الاتحاد الأوروبي (GDPR)، تبنت نهجًا أكثر صرامة وشمولية ، تتبنى دول أخرى مالأيديولوجية القطاعية والتنظيم الذاتيس. هنا لمحة عامة عن لائحة APAC الحالية.
في الولايات المتحدة ، لا يوجد تشريع رئيسي واحد يحكم حماية البيانات على المستوى الفيدرالي في الولايات المتحدة ، بل هو عبارة عن خليط بالمئات قوانين خاصة بقطاعات محددة ومتوسطة عبر مستويات الولاية والمستوى الفيدرالي مع استثناء واحد- CCPA.
قوانين عالمية يجب معرفتها
اللائحة العامة لحماية البيانات (GDPR)
القط السمين لتنظيم حماية البيانات ، تنظيم حماية البيانات عام (GDPR) هو إطار قانوني أو مجموعة من القوانين المصممة لمنح مواطني الاتحاد الأوروبي مزيدًا من التحكم في بياناتهم الشخصية.
بالإضافة إلى ذلك ، بموجب أحكام القانون العام لحماية البيانات (GDPR) ، لا يتعين على المؤسسات فقط ضمان جمع معلومات تحديد الهوية الشخصية وفقًا لشروط قانونية صارمة ، ولكن يتعين على أولئك الذين يجمعونها ويديرونها (مراقبو البيانات) حمايتها من سوء الاستخدام والاستغلال. بالإضافة إلى ذلك ، نظرًا لأن القانون العام لحماية البيانات يعترف بخصوصية البيانات كحق أساسي من حقوق الإنسان ، يجب على مراقبي البيانات احترام حقوق الأفراد في الوصول إلى البيانات المتعلقة بهم وتصحيحها ونقلها وحذفها ، والاعتراض على استخدام تلك البيانات.
ومع ذلك ، تجدر الإشارة إلى أن "لا شيء من هذا يعتمد على ملكية الأفراد للبيانات. ويستند إلى حقوقهم في حماية بياناتهم الشخصية "، وفقًا لـ سوزان جرانت ، مدير CFA لحماية المستهلك والخصوصية. نظرًا لأن خصوصية البيانات هي حق من حقوق الإنسان ، فلا يمكن امتلاك البيانات الشخصية أو البيانات المتعلقة بفرد ما أو بيعها أو التخلي عنها كسلعة.
بالإضافة إلى ذلك ، يتطلب القانون العام لحماية البيانات (GDPR) أيضًا من المنظمات تعيين ملف مسؤول حماية البيانات (DPO). هذا الخبير المستقل في حماية البيانات مسؤول عن مراقبة الامتثال للقانون العام لحماية البيانات (GDPR) للمؤسسة ، وتقديم المشورة بشأن التزامات حماية البيانات الخاصة بها ، والعمل كنقطة اتصال لموضوعات البيانات والسلطة الإشرافية ذات الصلة.
على الرغم من تأسيس اللائحة العامة لحماية البيانات (GDPR) في الاتحاد الأوروبي ، إلا أنها تنطبق على الشركات في جميع أنحاء العالم. إذا كان هناك أدنى احتمال أن يقوم موقع الويب الخاص بك بجمع المعلومات الشخصية لشخص ما من إحدى الدول الأعضاء في الاتحاد الأوروبي ، فأنت مطالب بالامتثال. خلاف ذلك ، يمكن أن تواجه غرامات وعقوبات ضخمة.
قوانين عالمية مستوحاة من اللائحة العامة لحماية البيانات
- البرازيل - تمت صياغة نموذج Lei Geral de Proteçao de Dados (LGPD) البرازيلي مباشرة بعد اللائحة العامة لحماية البيانات وهو متطابق تقريبًا من حيث النطاق والتطبيق ، ولكن مع عقوبات مالية أقل قسوة لعدم الامتثال.
- أستراليا - يتطلب تعديل الخصوصية (انتهاكات البيانات القابلة للإبلاغ) من المؤسسات التي يزيد حجم مبيعاتها السنوي عن 3 ملايين دولار أسترالي الكشف عن انتهاكات البيانات التي تشكل "تهديدًا حقيقيًا بحدوث ضرر جسيم" في غضون 30 يومًا من اكتشافها أو مواجهة غرامات تصل إلى 1.8 مليون دولار AUD (حوالي 1.1 مليون يورو).
- كوريا الجنوبية - قانون حماية المعلومات الشخصية في كوريا الجنوبية ، 개인 정보 보호법 ، يتضمن العديد من الأحكام الشبيهة بالناتج المحلي الإجمالي مثل متطلبات الحصول على الموافقة ، ونطاق البيانات المعمول بها ، وتعيين كبير مسؤولي الخصوصية ، وتقييد وتبرير فترات الاحتفاظ بالبيانات.
لائحة حماية البيانات الأمريكية المراد معرفتها
قانون لجنة التجارة الفيدرالية (15 USC § 41 et seq.)
في حين أن الولايات المتحدة ليس لديها منظم حماية البيانات العامة ، فإن لجنة التجارة الفيدرالية لديها ولاية قضائية واسعة على الكيانات التجارية الخاضعة لسلطتها لمنع الممارسات التجارية غير العادلة أو "الخادعة". على الرغم من أن FTC لا تنظم سياسات الخصوصية بشكل صريح ، وكالة "يستخدم تطبيق القانون ، ومبادرات السياسة ، وتثقيف المستهلكين والأعمال لحماية المعلومات الشخصية للمستهلكين."
بموجب المادة 5 من قانون FTC، يمكن للجنة التجارة الفيدرالية اتخاذ إجراءات قانونية ضد المنظمات التي لديها:
- فشل في تنفيذ والحفاظ على تدابير أمن البيانات المعقولة.
- فشل في توفير الأمان الكافي لمعلومات تحديد الهوية الشخصية.
- لم يلتزم بأي من مبادئ التنظيم الذاتي المعمول بها في صناعة المؤسسة.
- فشل في اتباع سياسة الخصوصية المنشورة.
- تم نقل معلومات تحديد الهوية الشخصية بطريقة لم يتم الكشف عنها في سياسة الخصوصية.
- تقديم إقرارات خصوصية وأمن غير دقيقة (كاذبة) للمستهلكين وفي سياسات الخصوصية.
القوانين الفيدرالية الأخرى لحماية البيانات الأمريكية
- قانون نقل التأمين الصحي والمحاسبة (HIPAA - PL104-191) ، معايير وطنية مصممة لحماية معلومات صحة المريض الحساسة من الكشف عنها دون موافقة المريض أو علمه.
- • قانون حماية خصوصية الأطفال على الإنترنت (15 USC §6501 et seq.) ، والمعروف أيضًا باسم COPPA ، يحكم جمع واستخدام المعلومات الشخصية عن الأطفال من قبل مشغلي خدمات الإنترنت ومواقع الويب.
- • قانون جرام ليتش بليلي (15 USC § 6802 et seq.) يتطلب من المؤسسات المالية شرح ممارسات مشاركة المعلومات لعملائها وحماية البيانات الحساسة.
- • قانون الإبلاغ عن الائتمان العادل (15 USC § 1681) ، يحكم المعلومات التي تم جمعها بواسطة وكالات إبلاغ المستهلك
قانون خصوصية المستهلك في كاليفورنيا (CCPA)
أول مجموعة نهائية من قوانين خصوصية البيانات في البلاد ، وهي قانون خصوصية المستهلك في كاليفورنيا (CCPA) تضمن:
- يجب على الشركات الإفصاح عن ممارسات جمع البيانات ومشاركتها للمستهلكين ؛
- للمستهلكين الحق في طلب حذف بياناتهم ، على الرغم من وجود استثناءات يجب أن تنطبق على صناعة المجموعات ؛
- للمستهلكين الحق في طلب المعلومات التي يتم جمعها ؛ و
- يتعين على الشركات تقديم إشعار خصوصية قبل جمع المعلومات من المستهلك.
"الشركات، "على النحو المحدد في قانون خصوصية المستهلك في كاليفورنيا (CCPA) ، هي كيانات خاصة هادفة للربح:
- جمع "معلومات شخصية"
- تحديد وسائل معالجة تلك المعلومات الشخصية
- القيام بأعمال تجارية في ولاية كاليفورنيا
- ويلتقي صورة واحدة؟ من المعايير التالية:
- يتجاوز إجمالي الإيرادات السنوية 25 مليون دولار
- يبيع / يشتري أو يستلم / يشارك سنويًا المعلومات الشخصية لـ 50,000 أو أكثر من مستهلكي كاليفورنيا لأغراض تجارية
- تستمد 50٪ أو أكثر من إيراداتها السنوية من بيع المعلومات الشخصية.
وفقًا لشروط الشخص العادي ، يمنح القانون سكان كاليفورنيا الحق القانوني في الوصول إلى جميع المعلومات التي حفظتها الشركة عليهم بالإضافة إلى قائمة كاملة بجميع الأطراف الثالثة التي تتم مشاركة البيانات معها. كما أنه يخولهم مقاضاة الشركات في حالة انتهاك إرشادات الخصوصية ، حتى لو لم يكن هناك خرق.
مشروع قانون مجلس الشيوخ في نيفادا 220
أقل شمولاً بكثير من CCPA ، مشروع قانون مجلس الشيوخ في نيفادا 220 يتطلب من مشغلي مواقع الإنترنت والخدمات عبر الإنترنت اتباع توجيهات المستهلك بعدم بيع بياناته الشخصية.
ماذا يعني هذا بالنسبة لك؟
كما أوضح مات ستامبر ، كبير مسؤولي أمن المعلومات في EVOTEK ، في مقابلة أجريت معه مؤخرًا، "في النهاية ، أدى كل من قانون خصوصية المستهلك في كاليفورنيا (CCPA) واللائحة العامة لحماية البيانات (GDPR) إلى إحداث تغيير جوهري في كيفية تفكير المؤسسات في ممارسات إدارة البيانات الخاصة بها وجعل موضوعات الخصوصية والأمان تظهر بشكل متكرر في جداول الأعمال التنفيذية ومجلس الإدارة. وبهذه الروح ، كان قانون خصوصية المستهلك في كاليفورنيا (CCPA) واللائحة العامة لحماية البيانات (GDPR) فعالين في زيادة الوعي بكيفية قيام المنظمات بجمع وتخزين ومشاركة البيانات الحساسة حول المستهلكين (ويعرف أيضًا باسم مواضيع البيانات).
نظرًا لأن تقليل البيانات هو أحد الأولويات الرئيسية للائحة العامة لحماية البيانات (GDPR) واللوائح المماثلة ، فقد أصبح من الأهمية بمكان أن يعمل CISOs و DPOs معًا بشكل وثيق لتقليص سطح الهجوم الكلي وتقويته. سيساعد هذا كلا الفريقين على تحديد معلومات تحديد الهوية الشخصية بشكل أكثر فاعلية في الواقع يجب جمعها وتخزينها ونقلها.
علاوة على ذلك ، يجب أن يشترك CISOs و DPOs معًا لبناء حماية البيانات في جميع تصميمات المنتجات الرقمية الجديدة. من خلال العمل عن كثب مع مطوري المؤسسة ، يمكن لـ DPO و CISO معالجة احتياجات حماية البيانات بشكل استباقي في عملية التصميم.
أخيرًا وليس آخرًا ، في حالة حدوث خرق للبيانات أو انتهاك الخصوصية ، من الضروري أن يساعد CISOs في ضمان أن نهج الاستجابة للحوادث في مؤسستهم يتوافق مع المتطلبات التنظيمية. بموجب القانون العام لحماية البيانات (GDPR) ، على سبيل المثال ، يمكن أن يؤدي عدم إخطار سلطة حماية البيانات بحدوث خرق في غضون 72 ساعة إلى غرامة قدرها 10 ملايين يورو (11.3 مليون دولار) أو 2٪ من حجم التداول العالمي للشركة. يجب أن يتضمن "الإخطار بالخرق" ما يلي:
- تحقيق في الحادث - ماذا حدث؟
- ما هو الخرق؟
- ما سبب ذلك؟
- ما الذي يتأثر؟
- ما هي خطوات الرد والتواصل بشأن الحادث؟
كوينسمارت. Beste Bitcoin-Börse في أوروبا
المصدر: https://www.cshub.com/data/articles/global-data-protection-and-security-laws-at-a-glance-regulation
