اللائحة العامة لحماية البيانات (GDPR)، علامة بارزة في الاتحاد الأوروبي خصوصية البيانات دخل القانون حيز التنفيذ في عام 2018. ومع ذلك، لا تزال العديد من المنظمات تكافح من أجل تلبية متطلبات الامتثال، ولا تتردد سلطات حماية البيانات في الاتحاد الأوروبي في فرض العقوبات.

حتى أكبر الشركات في العالم ليست خالية من مشاكل اللائحة العامة لحماية البيانات. الهيئات التنظيمية الأيرلندية ضرب ميتا بغرامة قدرها 1.2 مليار يورو في عام 2023. السلطات الإيطالية التحقيق في OpenAI بسبب الانتهاكات المشتبه بها، بل وذهب إلى حد حظر ChatGPT لفترة وجيزة.

تجد العديد من الشركات صعوبة في تنفيذ متطلبات اللائحة العامة لحماية البيانات لأن القانون ليس معقدًا فحسب، بل يترك الكثير أيضًا للتقدير. يضع القانون العام لحماية البيانات (GDPR) سلسلة من القواعد حول كيفية تعامل المؤسسات داخل وخارج أوروبا مع البيانات الشخصية للمقيمين في الاتحاد الأوروبي. ومع ذلك، فهو يمنح الشركات بعض الفسحة في كيفية سن تلك القواعد.

ستختلف تفاصيل خطة أي منظمة لتصبح متوافقة تمامًا مع القانون العام لحماية البيانات (GDPR) بناءً على البيانات التي تجمعها المنظمة وما تفعله بهذه البيانات. ومع ذلك، هناك بعض الخطوات الأساسية التي يمكن لجميع الشركات اتخاذها عند تنفيذ اللائحة العامة لحماية البيانات: 

• جرد البيانات الشخصية
• تحديد وحماية بيانات الفئة الخاصة 
• تدقيق أنشطة معالجة البيانات
• تحديث نماذج موافقة المستخدم  
• إنشاء نظام حفظ السجلات
• تعيين يؤدي الامتثال
• صياغة سياسة خصوصية البيانات
• تأكد من امتثال شركاء الطرف الثالث
• بناء عملية لتقييم تأثير حماية البيانات
• تنفيذ خطة الاستجابة لخرق البيانات
• اجعل من السهل على أصحاب البيانات ممارسة حقوقهم
• نشر المعلومات تدابير أمنية

هل أحتاج إلى تنفيذ اللائحة العامة لحماية البيانات (GDPR)؟ 

ينطبق القانون العام لحماية البيانات (GDPR) على أي منظمة تقوم بمعالجة البيانات الشخصية من المقيمين الأوروبيين، بغض النظر عن مكان وجود تلك المنظمة. ونظراً للطبيعة الدولية والمترابطة للاقتصاد الرقمي، فإن هذا يشمل العديد من الشركات اليوم - وربما معظمها. حتى المنظمات التي لا تقع ضمن نطاق اللائحة العامة لحماية البيانات قد تتبنى متطلباتها لتعزيز حماية البيانات.

وبشكل أكثر تحديدًا، ينطبق القانون العام لحماية البيانات (GDPR) على جميع مراقبي البيانات ومعالجي البيانات الموجودين في المنطقة الاقتصادية الأوروبية (EEA). تضم المنطقة الاقتصادية الأوروبية جميع الدول الأعضاء في الاتحاد الأوروبي البالغ عددها 27 دولة بالإضافة إلى أيسلندا وليختنشتاين والنرويج. 

A متحكم بيانات هي أي منظمة أو مجموعة أو شخص يقوم بجمع البيانات الشخصية وتحديد كيفية استخدامها. فكر في: بائع تجزئة عبر الإنترنت يقوم بتخزين عناوين البريد الإلكتروني للعملاء لإرسال تحديثات الطلب.

A معالج البيانات هي أي منظمة أو مجموعة تقوم بأنشطة معالجة البيانات. تُعرّف اللائحة العامة لحماية البيانات (GDPR) على نطاق واسع "المعالجة" بأنها أي إجراء يتم تنفيذه على البيانات: تخزينها، وتحليلها، وتغييرها، وما إلى ذلك. تشمل المعالجات أطرافًا ثالثة تقوم بمعالجة البيانات الشخصية نيابة عن المراقب، مثل شركة التسويق التي تحلل بيانات المستخدم لمساعدة الشركة على فهم التركيبة السكانية الرئيسية للعملاء.

تنطبق اللائحة العامة لحماية البيانات أيضًا على وحدات التحكم والمعالجات الموجودة خارج المنطقة الاقتصادية الأوروبية إذا كانت تستوفي واحدًا على الأقل من الشروط التالية: 

• تقدم الشركة بانتظام السلع والخدمات للمقيمين في المنطقة الاقتصادية الأوروبية، حتى لو لم يتم نقل الأموال.
• تقوم الشركة بانتظام بمراقبة نشاط سكان المنطقة الاقتصادية الأوروبية، مثل استخدام ملفات تعريف الارتباط للتتبع. 
• تقوم الشركة بمعالجة البيانات الشخصية نيابة عن المراقبين في المنطقة الاقتصادية الأوروبية. 
• الشركة لديها موظفين في المنطقة الاقتصادية الأوروبية.

هناك بعض الأشياء الأخرى الجديرة بالملاحظة حول نطاق اللائحة العامة لحماية البيانات. أولاً، تهتم فقط بالبيانات الشخصية للأشخاص الطبيعيين، وتسمى أيضًا موضوعات البيانات في لغة اللائحة العامة لحماية البيانات. أ شخص طبيعي هو إنسان حي. لا تحمي اللائحة العامة لحماية البيانات بيانات الأشخاص الاعتباريين، مثل الشركات أو المتوفين.

ثانيًا، لا يحتاج الشخص إلى أن يكون مواطنًا في الاتحاد الأوروبي حتى يتمتع بحماية القانون العام لحماية البيانات. إنهم يحتاجون فقط إلى أن يكونوا مقيمين رسميًا في المنطقة الاقتصادية الأوروبية.

أخيرًا، تنطبق اللائحة العامة لحماية البيانات (GDPR) على معالجة البيانات الشخصية لأي سبب تقريبًا: تجاري، أو أكاديمي، أو حكومي، أو غير ذلك. تخضع الشركات والمستشفيات والمدارس والسلطات العامة إلى اللائحة العامة لحماية البيانات. عمليات المعالجة الوحيدة المعفاة من اللائحة العامة لحماية البيانات هي أنشطة الأمن القومي وإنفاذ القانون والاستخدامات الشخصية البحتة للبيانات.

خطوات تنفيذ اللائحة العامة لحماية البيانات 

لا يوجد شيء اسمه خطة امتثال واحدة تناسب الجميع للقانون العام لحماية البيانات (GDPR)، ولكن هناك بعض الممارسات الأساسية التي يمكن للمؤسسات استخدامها لتوجيه جهود تنفيذ القانون العام لحماية البيانات (GDPR).

للحصول على قائمة بمتطلبات اللائحة العامة لحماية البيانات (GDPR) الرئيسية، راجع قائمة التحقق من الامتثال للائحة العامة لحماية البيانات (GDPR).. 

جرد البيانات الشخصية  

في حين أن اللائحة العامة لحماية البيانات لا تتطلب صراحةً جرد البيانات، فإن العديد من المؤسسات تبدأ هنا لسببين. أولاً، معرفة البيانات التي تمتلكها الشركة وكيفية معالجتها تساعد المنظمة على فهم أعباء الامتثال الخاصة بها بشكل أفضل. على سبيل المثال، تحتاج الشركة التي تجمع بيانات صحة المستخدم إلى وسائل حماية أقوى من تلك التي تجمع عناوين البريد الإلكتروني فقط.

ثانيًا، يسهل الجرد الشامل الامتثال لطلبات المستخدمين لمشاركة بياناتهم أو تحديثها أو حذفها. 

يمكن لجرد البيانات تسجيل تفاصيل مثل:

• أنواع البيانات التي تم جمعها (أسماء المستخدمين، بيانات التصفح)
• مجموعات البيانات (العملاء، الموظفون، الطلاب)
• كيفية جمع البيانات (تسجيلات الأحداث، الصفحات المقصودة)
• مكان تخزين البيانات (الخوادم المحلية، الخدمات السحابية)
• الغرض من جمع البيانات (الحملات التسويقية، التحليل السلوكي)
• كيفية معالجة البيانات (التسجيل الآلي، والتجميع)
• من لديه حق الوصول إلى البيانات (الموظفون، البائعون)
• الضمانات القائمة (التشفير, المصادقة متعددة العوامل) 

قد يكون من الصعب تعقب البيانات الشخصية المنتشرة عبر شبكة المؤسسة في مختلف مسارات العمل وقواعد البيانات ونقاط النهاية، وحتى أصول تكنولوجيا المعلومات الظل. لجعل عمليات جرد البيانات أكثر قابلية للإدارة، يمكن للمؤسسات التفكير في استخدام حلول حماية البيانات التي تكتشف البيانات وتصنفها تلقائيًا. 

تعرف على كيفية اكتشاف IBM Guardium® Data Protection تلقائيًا للبيانات الحساسة وتصنيفها وحمايتها عبر المستودعات الرئيسية مثل AWS، وDBaaS، والحاسبات المركزية المحلية.

تحديد وحماية بيانات الفئة الخاصة 

عند جرد البيانات، يجب على المؤسسات تدوين أي بيانات حساسة بشكل خاص تتطلب حماية إضافية. أضافت اللائحة العامة لحماية البيانات احتياطات لثلاثة أنواع من البيانات على وجه الخصوص: بيانات الفئة الخاصة، وبيانات الإدانة الجنائية، وبيانات الأطفال.  

• بيانات فئة خاصة يتضمن القياسات الحيوية والسجلات الصحية والعرق والانتماء العرقي وغيرها من المعلومات الشخصية للغاية. تحتاج المؤسسات عادةً إلى موافقة صريحة من المستخدم لمعالجة بيانات الفئات الخاصة. 

• بيانات الإدانة الجنائية لا يمكن التحكم فيها إلا من قبل السلطات العامة ومعالجتها بناءً على توجيهاتها. 

• بيانات الأطفال لا يمكن معالجتها دون موافقة الوالدين، وتحتاج المؤسسات إلى آليات للتحقق من أعمار أصحاب البيانات وهويات والديهم. تحدد كل دولة من دول المنطقة الاقتصادية الأوروبية تعريفها الخاص لكلمة "طفل" بموجب اللائحة العامة لحماية البيانات. تتراوح الأعمار من أقل من 13 إلى أقل من 16 عامًا. يجب أن تكون الشركات مستعدة للامتثال لهذه التعريفات المختلفة. 

تدقيق أنشطة معالجة البيانات 

أثناء جرد البيانات، تقوم المؤسسات بتسجيل أي عمليات معالجة تخضع لها البيانات. وبعد ذلك، يجب على المؤسسات التأكد من امتثال هذه العمليات لقواعد معالجة القانون العام لحماية البيانات (GDPR). تتضمن بعض أهم مبادئ اللائحة العامة لحماية البيانات ما يلي:

• يجب أن يكون لجميع عمليات المعالجة أساس قانوني راسخ: لا تكون معالجة البيانات مقبولة إلا إذا كان لدى المنظمة أساس قانوني معتمد لهذه المعالجة. تشمل القواعد القانونية الشائعة الحصول على موافقة المستخدم، ومعالجة البيانات لتنفيذ عقد مع المستخدم، ومعالجة البيانات للمصلحة العامة. يجب على المنظمات توثيق الأساس القانوني لكل عملية معالجة قبل البدء.

للحصول على قائمة كاملة بالأسس القانونية المعتمدة، راجع صفحة الامتثال للائحة العامة لحماية البيانات (GDPR).

• تحديد الغرض: ينبغي جمع البيانات واستخدامها لغرض محدد على وجه التحديد. 

• تصغير البيانات: يجب على المنظمات جمع الحد الأدنى من البيانات اللازمة لغرضها المحدد. 

• دقة: يجب على المنظمات التأكد من أن البيانات التي تجمعها صحيحة وحديثة. 

• قيود التخزين: يجب على المنظمات التخلص بشكل آمن من البيانات بمجرد تحقيق الغرض منها. 

للحصول على قائمة كاملة بمبادئ معالجة القانون العام لحماية البيانات (GDPR)، راجع قائمة التحقق من الامتثال للائحة العامة لحماية البيانات (GDPR)..

تحديث نماذج موافقة المستخدم  

تعتبر موافقة المستخدم أساسًا قانونيًا شائعًا للمعالجة. ومع ذلك، فإن الموافقة تكون صالحة فقط بموجب اللائحة العامة لحماية البيانات (GDPR) إذا كانت مستنيرة، وإيجابية، ومُقدمة بحرية. قد تحتاج المؤسسات إلى تحديث نماذج الموافقة لتلبية هذه المتطلبات.

• لضمان الحصول على الموافقة، يجب على المنظمة أن تشرح بوضوح ما تجمعه وكيف ستستخدم تلك البيانات عند نقطة جمع البيانات.

• للتأكد من أن الموافقة إيجابية، يجب على المؤسسات اعتماد نهج الاشتراك، حيث يجب على المستخدمين تحديد المربع بشكل فعال أو التوقيع على بيان للإشارة إلى الموافقة. لا يمكن تجميع الموافقات أيضًا. يجب أن يوافق المستخدمون على كل نشاط معالجة على حدة.  

• لضمان أن الموافقة مجانية، لا يمكن للمؤسسات أن تطلب سوى الموافقة على أنشطة معالجة البيانات التي تعتبر جزءًا لا يتجزأ من الخدمة. بمعنى آخر، لا يمكن للشركة إجبار المستخدمين على الكشف عن آرائهم السياسية لشراء قميص. يجب أن يكون المستخدمون قادرين على إلغاء الموافقة في أي وقت.  

إنشاء نظام حفظ السجلات 

يجب على المؤسسات التي تضم أكثر من 250 موظفًا والشركات من أي حجم والتي تقوم بمعالجة البيانات بانتظام أو التعامل مع البيانات عالية المخاطر، الاحتفاظ بسجلات إلكترونية مكتوبة لأنشطة المعالجة الخاصة بها. 

ومع ذلك، قد ترغب جميع المنظمات في الاحتفاظ بهذه السجلات. لا يساعد هذا في تتبع جهود الخصوصية والأمان فحسب، بل يمكنه أيضًا إثبات الامتثال في حالة حدوث تدقيق أو خرق. يمكن للشركات تخفيف العقوبات أو تجنبها إذا تمكنت من إثبات أنها بذلت جهودًا حسنة النية للامتثال.  

قد يرغب مراقبو البيانات في الاحتفاظ بسجلات قوية بشكل خاص، حيث أن اللائحة العامة لحماية البيانات تحملهم المسؤولية عن امتثال شركائهم ومورديهم. 

تعيين عملاء محتملين للامتثال للقانون العام لحماية البيانات (GDPR).  

يجب على جميع السلطات العامة وأي منظمات تقوم بانتظام بمعالجة بيانات الفئات الخاصة أو مراقبة الموضوعات على نطاق واسع تعيين أ مسؤول حماية البيانات (دبو). DPO هو موظف مستقل في الشركة مسؤول عن الامتثال للقانون العام لحماية البيانات (GDPR). تشمل المسؤوليات المشتركة الإشراف على تقييمات المخاطر، وتدريب الموظفين على مبادئ حماية البيانات، والعمل مع السلطات الحكومية.

في حين أن بعض المنظمات فقط هي التي يُطلب منها تعيين منظمات الأشخاص ذوي الإعاقة، فقد ترغب جميعها في النظر في القيام بذلك. يمكن أن يساعد وجود قائد معين للامتثال للقانون العام لحماية البيانات (GDPR) في تبسيط التنفيذ.

يمكن أن يكون DPOs موظفين في شركة أو مستشارين خارجيين يقدمون خدماتهم بموجب عقد. يجب على منظمات الأشخاص ذوي الإعاقة تقديم تقاريرها مباشرة إلى أعلى مستوى من الإدارة. لا يمكن للشركة الانتقام من مسؤول حماية البيانات (DPO) بسبب قيامه بواجباته. 

يجب على المنظمات خارج المنطقة الاقتصادية الأوروبية تعيين ممثل داخل المنطقة الاقتصادية الأوروبية إذا كانت تقوم بمعالجة بيانات المقيمين في المنطقة الاقتصادية الأوروبية بانتظام أو تتعامل مع بيانات حساسة للغاية. ال ممثل المنطقة الاقتصادية الأوروبية الواجب الرئيسي هو التنسيق مع سلطات حماية البيانات نيابة عن الشركة أثناء التحقيقات. يمكن أن يكون الممثل موظفًا أو شركة تابعة أو خدمة مستأجرة. 

يمثل DPO وممثل المنطقة الاقتصادية الأوروبية أدوارًا مختلفة ومسؤوليات مختلفة. ومن الجدير بالذكر أن الممثل يتصرف بناءً على توجيهات المنظمة، في حين يجب أن يكون مسؤول حماية البيانات مسؤولاً مستقلاً. منظمة لا يمكن تعيين حزب واحد للعمل كممثل لكل من DPO وEEA.

إذا كانت المنظمة تعمل في دول المنطقة الاقتصادية الأوروبية المتعددة، فيجب عليها تحديد أ قيادة السلطة الإشرافية. السلطة الإشرافية الرئيسية هي هيئة حماية البيانات الرئيسية (DPA) التي تشرف على امتثال تلك الشركة للقانون العام لحماية البيانات في جميع أنحاء أوروبا. 

عادةً ما تكون السلطة الإشرافية الرئيسية هي DPA في الدولة العضو حيث يوجد المقر الرئيسي للمنظمة أو تجري أنشطة المعالجة الأساسية الخاصة بها. 

صياغة سياسة خصوصية البيانات 

يتطلب القانون العام لحماية البيانات (GDPR) من المؤسسات إبقاء الأشخاص على علم بكيفية استخدامهم لبياناتهم. يمكن للشركات تلبية هذا المطلب من خلال صياغة سياسات الخصوصية التي تصف بوضوح عمليات المعالجة الخاصة بها، بما في ذلك ما تجمعه الشركة وسياسات الاحتفاظ والحذف وحقوق المستخدم والتفاصيل الأخرى ذات الصلة.

يجب أن تستخدم سياسات الخصوصية لغة واضحة يمكن لأي شخص فهمها. إن إخفاء معلومات مهمة خلف مصطلحات كثيفة يمكن أن ينتهك اللائحة العامة لحماية البيانات. يمكن للمؤسسات التأكد من رؤية المستخدمين لسياساتهم من خلال مشاركة إشعارات الخصوصية عند نقطة جمع البيانات. يمكن للمؤسسات أيضًا استضافة سياسات الخصوصية الخاصة بها على صفحات عامة يسهل العثور عليها على مواقعها الإلكترونية. 

تأكد من امتثال شركاء الطرف الثالث 

يتحمل المراقبون المسؤولية النهائية عن البيانات الشخصية التي يجمعونها، بما في ذلك كيفية استخدام المعالجين والبائعين والأطراف الثالثة الأخرى لها. إذا كان الشركاء غير متوافقين، يمكن معاقبة المتحكمين. 

يجب على المنظمات مراجعة عقودها مع أي أطراف ثالثة يمكنها الوصول إلى بياناتها. ويجب أن توضح هذه العقود بوضوح حقوق ومسؤوليات جميع الأطراف فيما يتعلق باللائحة العامة لحماية البيانات بطريقة ملزمة قانونًا.

إذا كانت إحدى المؤسسات تعمل مع معالجات خارج المنطقة الاقتصادية الأوروبية، فلا تزال هذه المعالجات بحاجة إلى تلبية متطلبات اللائحة العامة لحماية البيانات. في الواقع، تخضع عمليات نقل البيانات خارج المنطقة الاقتصادية الأوروبية لمعايير صارمة. لا يمكن لوحدات التحكم في المنطقة الاقتصادية الأوروبية مشاركة البيانات مع المعالجات خارج المنطقة الاقتصادية الأوروبية إلا إذا تم استيفاء أحد المعايير التالية:

• وقد اعتبرت المفوضية الأوروبية قوانين الخصوصية في البلاد كافية
• وقد اعتبرت المفوضية الأوروبية أن المعالج يتمتع بحماية كافية للبيانات
• اتخذت وحدة التحكم خطوات لضمان حماية البيانات

تتمثل إحدى طرق ضمان امتثال جميع الشراكات وعمليات نقل البيانات للائحة العامة لحماية البيانات في استخدام الشروط التعاقدية القياسية. تمت الموافقة مسبقًا على هذه البنود المكتوبة مسبقًا من قبل المفوضية الأوروبية وهي متاحة مجانًا لأي منظمة لاستخدامها. إن إدراج هذه البنود في العقد يجعله متوافقًا مع اللائحة العامة لحماية البيانات، بشرط أن يلتزم كل طرف بها. لمزيد من المعلومات حول الشروط التعاقدية القياسية، راجع موقع المفوضية الأوروبية (الرابط موجود خارج ibm.com).

بناء عملية لتقييم تأثير حماية البيانات

يتطلب القانون العام لحماية البيانات (GDPR) من المؤسسات إجراء تقييمات تأثير حماية البيانات (DPIAs) قبل أي معالجة عالية المخاطر. في حين أن اللائحة العامة لحماية البيانات تقدم بعض الأمثلة - باستخدام تقنيات جديدة، ومعالجة البيانات الحساسة على نطاق واسع - إلا أنها لا تدرج بشكل شامل كل الأنشطة عالية المخاطر.

قد تفكر المنظمات في إجراء تقييم حماية البيانات (DPIA) قبل أي عملية معالجة جديدة لتكون آمنة. وقد يستخدم آخرون فحصًا مسبقًا مبسطًا لتحديد ما إذا كانت المخاطر عالية بما يكفي لتبرير حماية حماية البيانات (DPIA).

كحد أدنى، يجب أن يصف قانون حماية البيانات (DPIA) المعالجة والغرض منها، وتقييم ضرورة المعالجة، وتقييم المخاطر التي يتعرض لها أصحاب البيانات، وتحديد تدابير التخفيف. إذا ظلت المخاطر مرتفعة بعد التخفيف، فيجب على المنظمة التشاور مع هيئة حماية البيانات قبل المضي قدمًا. 

تعرف على كيف يمكن أن يساعد IBM Guardium® Insights في تبسيط تقارير الامتثال من خلال مسارات العمل التي تم تكوينها مسبقًا للقانون العام لحماية البيانات (GDPR)، وCCPA، واللوائح الرئيسية الأخرى.

تنفيذ خطة الاستجابة لخرق البيانات 

يجب على المنظمات الإبلاغ عن معظم الأمور الشخصية خروقات البيانات إلى السلطة الإشرافية خلال 72 ساعة. إذا كان الانتهاك يشكل خطرًا على أصحاب البيانات، مثل سرقة الهوية، فيجب على الشركة أيضًا إخطار الأشخاص. ويجب إرسال الإخطارات مباشرة إلى الضحايا ما لم يكن القيام بذلك غير ممكن. في هذه الحالة، يكفي الإشعار العام.

المنظمات بحاجة فعالة استجابة الحادث الخطط التي تحدد بسرعة الانتهاكات المستمرة، والقضاء على التهديدات، وإخطار السلطات. يجب أن تتضمن خطط الاستجابة للحوادث أدوات وتكتيكات لاستعادة الأنظمة واستعادتها امن المعلومات. كلما استعادت المنظمة السيطرة بشكل أسرع، قل احتمال تعرضها لإجراءات تنظيمية خطيرة.

يمكن للمنظمات أيضًا أن تغتنم هذه الفرصة لتعزيزها أمن البيانات مقاسات. إذا كان من غير المحتمل أن يؤدي الاختراق إلى الإضرار بالمستخدمين - على سبيل المثال، إذا كانت البيانات المسروقة مشفرة بشكل كبير بحيث لا يتمكن المتسللون من استخدامها - فلن تحتاج الشركة إلى إخطار أصحاب البيانات. يمكن أن يساعد ذلك في تجنب الضرر الذي قد يلحق بالسمعة والإيرادات نتيجة لخرق البيانات.

اجعل من السهل على أصحاب البيانات ممارسة حقوقهم 

يمنح القانون العام لحماية البيانات (GDPR) أصحاب البيانات حقوقًا بشأن كيفية استخدام المؤسسات لبياناتهم. على سبيل المثال، يتيح حق التصحيح للمستخدمين تصحيح البيانات غير الدقيقة أو القديمة. يتيح حق المحو للمستخدمين حذف بياناتهم.

بشكل عام، يجب على المؤسسات الالتزام بطلبات أصحاب البيانات في غضون 30 يومًا. ولجعل الطلبات أكثر قابلية للإدارة، يمكن للمؤسسات إنشاء بوابات الخدمة الذاتية حيث يمكن للأشخاص الوصول إلى بياناتهم وإجراء تغييرات وتقييد استخدامها. ويجب أن تتضمن البوابات طريقة للتحقق من هويات الأشخاص. تضع اللائحة العامة لحماية البيانات (GDPR) العبء على عاتق المؤسسات للتحقق من أن مقدمي الطلبات هم من يقولون أنهم هم.

القرارات الآلية والتوصيف 

يتمتع أصحاب البيانات بحقوق خاصة فيما يتعلق بالمعالجة الآلية. وعلى وجه التحديد، لا يمكن للمؤسسات استخدام الأتمتة لاتخاذ قرارات مهمة دون موافقة المستخدم. يحق للمستخدمين الاعتراض على القرارات التلقائية وطلب مراجعة القرار من قبل أحد الأشخاص. 

يمكن للمؤسسات استخدام بوابات الخدمة الذاتية لمنح أصحاب البيانات طريقة للاعتراض على القرارات الآلية. ويجب أن تكون الشركات أيضًا مستعدة لتعيين مراجعين بشريين حسب الحاجة. 

قابلية البيانات 

يحق لأصحاب البيانات نقل بياناتهم إلى أي مكان يريدون، ويجب على المؤسسات تسهيل عمليات النقل هذه. 

بالإضافة إلى تسهيل قيام المستخدمين بطلب عمليات النقل، يجب على المؤسسات تخزين البيانات بتنسيق قابل للمشاركة. قد يؤدي استخدام التنسيقات الاحتكارية إلى جعل عمليات النقل صعبة وإعاقة حقوق المستخدمين. 

للحصول على قائمة كاملة بحقوق أصحاب البيانات، راجع صفحة الامتثال للقانون العام لحماية البيانات (GDPR)..

نشر تدابير أمن المعلومات

يتطلب القانون العام لحماية البيانات (GDPR) من المؤسسات استخدام إجراءات معقولة لحماية البيانات لإغلاق ثغرات النظام ومنع الوصول غير المصرح به أو الاستخدام غير القانوني. لا ينص القانون العام لحماية البيانات (GDPR) على تدابير محددة، لكنه ينص على أن المؤسسات تحتاج إلى ضوابط فنية وتنظيمية.

تشتمل ضوابط الأمان الفنية على البرامج والأجهزة وأدوات التكنولوجيا الأخرى، مثل سيم و حلول منع فقدان البيانات. يشجع القانون العام لحماية البيانات (GDPR) بشكل كبير التشفير والأسماء المستعارة، لذلك قد ترغب المؤسسات في تنفيذ عناصر التحكم هذه على وجه الخصوص. 

تشمل التدابير التنظيمية عمليات مثل تدريب الموظفين على قواعد اللائحة العامة لحماية البيانات وتنفيذها بشكل رسمي بيانات الإدارة السياسات. 

كما يوجه اللائحة العامة لحماية البيانات الشركات إلى اعتماد مبدأ حماية البيانات حسب التصميم وبشكل افتراضي. "حسب التصميم" يعني أنه يجب على الشركات بناء خصوصية البيانات في الأنظمة والعمليات منذ البداية. تعني عبارة "افتراضيًا" أن الإعداد الافتراضي لأي نظام يجب أن يكون هو الإعداد الذي يحافظ على أكبر قدر من خصوصية المستخدم. 

تعرف على كيفية قيام حلول أمن وحماية بيانات IBM بتأمين البيانات عبر السحابات المختلطة وتبسيط متطلبات الامتثال.

لماذا يهم الامتثال للقانون العام لحماية البيانات (GDPR). 

يجب على أي منظمة ترغب في العمل في المنطقة الاقتصادية الأوروبية (EEA) أن تمتثل لـ GPDR. يمكن أن يؤدي عدم الامتثال إلى عواقب وخيمة. يمكن أن تؤدي الانتهاكات الأكثر أهمية إلى غرامات تصل إلى 20,000,000 يورو أو 4% من إيرادات المنظمة حول العالم في العام السابق، أيهما أعلى.

لكن امتثال البيانات لا يتعلق الأمر فقط بتجنب العواقب. ولها فوائد أيضا. وبصرف النظر عن حقيقة أن الامتثال للقانون العام لحماية البيانات (GDPR) يتيح للمؤسسات الوصول إلى أحد أكبر الأسواق في العالم، فإن مبادئ القانون العام لحماية البيانات (GDPR) يمكن أن تعزز بشكل كبير تدابير أمن البيانات. يمكن للمؤسسات إيقاف المزيد من خروقات البيانات قبل حدوثها، مما يتجنب متوسط ​​تكلفة 4.45 مليون دولار أمريكي لكل خرق.

يمكن للامتثال للقانون العام لحماية البيانات (GDPR) أيضًا تعزيز سمعة الشركة وبناء الثقة مع المستهلكين. يفضل الناس عمومًا التعامل مع المنظمات التي حماية بيانات العملاء بشكل هادف.

وقد ألهمت اللائحة العامة لحماية البيانات قوانين مماثلة لحماية البيانات في مناطق أخرى، بما في ذلك قانون خصوصية المستهلك في كاليفورنيا وقانون حماية البيانات الشخصية الرقمية في الهند. غالبًا ما يُنظر إلى اللائحة العامة لحماية البيانات (GDPR) على أنها واحدة من أكثر هذه القوانين صرامة، لذا فإن الالتزام بها قد يؤدي إلى تمكين المؤسسات من الالتزام باللوائح الأخرى أيضًا.

أخيرًا، إذا خالفت شركة ما اللائحة العامة لحماية البيانات، فإن إظهار مستوى معين من الامتثال يمكن أن يساعد في تخفيف التداعيات. الهيئات التنظيمية تزن عوامل مثل القائمة ضوابط الأمن السيبراني والتعاون مع الجهات الرقابية عند تحديد العقوبات.

اكتشف حماية بيانات IBM Guardium