ArticleGDPR للمواقع الأمريكية: كل ما تحتاج إلى معرفته

نشرت: 2022-08-12

يمكن لمعظمنا أن يتذكر جنون الناتج المحلي الإجمالي الكبير لعام 2018. هناك فرصة جيدة لأن تكون غارقًا في المعلومات حول الاتحاد الأوروبي (EU) ولائحته العامة الجديدة لحماية البيانات (GDPR). دخلت هذه اللائحة الشاملة حيز التنفيذ في 25 مايو 2018.

عندما بدأت البحث عن هذا المقال لأول مرة ، فوجئت بعدد المصادر "الخبيرة" الموجودة هناك. يبدو أن العديد من الروابط التي تظهر أعلى صفحات نتائج محرك بحث Google هي مواقع "رسمية".

إنهم يقومون فقط بتسويق المواقع الصغيرة للاستشارات لكسب المال. في حين أن هذا صحيح بالنسبة للإعلانات ، فإنه يأخذ في الحسبان النتائج العضوية بشكل متساوٍ. بعض المعلومات الموجودة على هذه المواقع جيدة جدًا ، لكنها في جميع الحالات تقريبًا غير كاملة ودوافع المؤلفين غير واضحة.

لتجنب كل هذا الالتباس والتضليل ، قررت الانتقال إلى مصدر موثوق واحد: موقع المفوضية الأوروبية. تستند الحقائق والتوصيات الخاصة بي مباشرة إلى نص اللائحة 2016/679 (GDPR) وأقتبسها بحرية في جميع أنحاء هذه المقالة.

إلى جانب نص اللائحة ، بحثت في بيانات من مزودي خدمات من جهات خارجية مثل Google و Pardot في قسم "تعقيدات الأطراف الثالثة" أدناه ، ولكن فقط من حيث صلتها بخدمات تلك الشركات التي يستخدمها العديد من عملائنا.

يتألف جمهوري المستهدف من ممثلي الشركات (العامة والخاصة) الموجودة في الولايات المتحدة والتي تمارس الأعمال التجارية في الاتحاد الأوروبي بشكل ما. هدفي هو مساعدتهم على فهم ما يتعين عليهم القيام به على مواقع الشركات الخاصة بهم للامتثال للوائح الجديدة.

إذا كان مقر شركتك خارج الولايات المتحدة ، فإن شركتك تتعامل مع بيانات حساسة (مثل السجلات الطبية) ، وتجمع بيانات عن الأطفال ، وهي وكالة حكومية أو مزود خدمة للوكالات الحكومية ، ثم توقف عن القراءة الآن ... هذا ليس لك.

لأكون واضحًا ، أنا لست محاميًا ولا يجب تفسير أي شيء هنا على أنه استشارة قانونية.

ما هو اللائحة العامة لحماية البيانات؟

يُعتبر الحق في الخصوصية في الدول الأعضاء في الاتحاد الأوروبي على مستوى عالٍ جدًا والعبء الذي يقع على عاتق أولئك الذين يجمعون البيانات أكبر مما هو عليه هنا في الدول. هذا ليس وضعا جديدا. قبل القانون العام لحماية البيانات (GDPR) ، كان لدى الاتحاد الأوروبي توجيه حماية البيانات (DPD) الذي تم إنشاؤه في عام 1995 وقدم العديد من نفس المبادئ التي نجدها في القانون العام لحماية البيانات (GDPR). يعتمد كل من DPD و GDPR على ميثاق الحقوق الأساسية للاتحاد الأوروبي ، والذي ينص بكل بساطة على:

لكل فرد الحق في حماية البيانات الشخصية المتعلقة به - ميثاق الحقوق الأساسية للاتحاد الأوروبي ، المادة 8 (1)

تتمثل الروح الأساسية للائحة العامة لحماية البيانات في أن جميع "الأشخاص الطبيعيين" (المزيد حول هذا المصطلح لاحقًا) لهم الحق في معرفة وقت جمع بياناتهم والحق في رفض جمع تلك البيانات. إذا وافقوا على مجموعة ، لديهم الحق في إدارة كيفية استخدام هذه البيانات ، وإلغاء موافقتهم ، بل واختيار في وقت لاحق حذف جميع بياناتهم الحالية والتاريخية.

هناك أيضًا بعض التوقعات الموضوعة على "مراقبي البيانات" و "المعالجات" (المزيد حول هذه المصطلحات لاحقًا أيضًا) فيما يتعلق بالحوكمة والعمليات التي تهدف إلى حماية بيانات المستخدمين. وأخيرًا ، هناك أشياء يجب على المتحكم القيام بها في حالة حدوث خرق للبيانات.

من أفضل الموارد لفهم روح اللائحة العامة لحماية البيانات هي ديباجتها. إنه مكتوب بلغة واضحة ومباشرة تجعله أكثر قابلية للفهم من معظم المستندات القانونية. ومع ذلك ، فإن هذه اللغة الواضحة لا تنقل بشكل كامل الحرف المطلق للقانون وليست بديلاً عن التنظيم الفعلي.

على عكس DPD ، تنطبق قواعد GDPR على جميع الدول الأعضاء. لا يوجد أي شرط على الدول الأعضاء لتنفيذ اللائحة قبل اعتبارها سارية المفعول. لكن القانون العام لحماية البيانات (GDPR) لا يستبعد القوانين الإضافية للدول الأعضاء التي قد تذهب إلى أبعد من ذلك في حماية أنواع معينة من البيانات الشخصية الحساسة مثل السجلات الطبية.

ينطبق القانون العام لحماية البيانات (GDPR) على جميع الشركات التي تمارس نشاطًا تجاريًا في الاتحاد الأوروبي بغض النظر عن موقعها. إن وصول مستخدم إلى موقع الويب الخاص بك من الاتحاد الأوروبي لا يثبت نيتك في القيام بأعمال تجارية في الاتحاد الأوروبي. ومع ذلك ، إذا كنت تتعامل بنشاط مع الأعمال التجارية في الاتحاد الأوروبي ، فأنت بحاجة إلى اتباع اللائحة العامة لحماية البيانات (GDPR).

ملاحظة أخرى: لا يحل القانون العام لحماية البيانات محل قانون ملفات تعريف الارتباط في الاتحاد الأوروبي أو يحل محله. هذا الجزء من التنظيم لا يزال ساري المفعول.

من وماذا يتم حمايته؟

الأشخاص الطبيعيون الذين يعيشون في الاتحاد الأوروبي محميون بموجب اللائحة العامة لحماية البيانات (GDPR). تدخل اللائحة حيز التنفيذ قبل خروج بريطانيا من الاتحاد الأوروبي ، لذا فإن اللائحة العامة لحماية البيانات تشمل المملكة المتحدة في الوقت الحالي. يمكن ببساطة اعتبار الشخص الطبيعي كإنسان فردي. على النقيض من ذلك ، قد يكون الشخص الاعتباري مجرد كيان قانوني. لا تمتد حماية القانون العام لحماية البيانات (GDPR) لتشمل الأشخاص خارج الاتحاد الأوروبي.

أي معلومات يمكن ربطها بفرد واحد بغض النظر عما إذا كانت هويته معروفة حاليًا تعتبر "بيانات شخصية".

تعني "البيانات الشخصية" أي معلومات تتعلق بشخص طبيعي محدد أو قابل للتحديد ("موضوع البيانات") ؛ الشخص الطبيعي الذي يمكن التعرف عليه هو الشخص الذي يمكن تحديده ، بشكل مباشر أو غير مباشر ، على وجه الخصوص بالرجوع إلى معرّف مثل الاسم أو رقم التعريف أو بيانات الموقع أو المعرّف عبر الإنترنت أو إلى واحد أو أكثر من العوامل المحددة للعوامل المادية والفسيولوجية ، الهوية الجينية أو العقلية أو الاقتصادية أو الثقافية أو الاجتماعية لذلك الشخص الطبيعي ؛ - المادة 4 (1) من اللائحة العامة لحماية البيانات

"يمكن التعرف عليه" مصطلح نحتاج إلى معالجته. ليس من الضروري أن نعرف حاليًا هوية الفرد. إن امتلاك الوسائل (ملف تعريف الارتباط وعنوان IP وما إلى ذلك) لربط البيانات بفرد في وقت لاحق يجعل بياناته محمية بموجب معايير القانون العام لحماية البيانات (GDPR).

تتجنب اللائحة معالجة تقنيات محددة لجمع البيانات (باستثناء استخدامها في الأمثلة) لذا فهي حيادية من الناحية التكنولوجية. نظرًا لوتيرة الابتكار حول جمع البيانات ، يعد هذا ضروريًا حتى تظل اللائحة العامة لحماية البيانات (GDPR) مقاومة للمستقبل نسبيًا. يتم تناول ملفات تعريف الارتباط وعناوين IP وملفات تعريف المتصفح وواجهات برمجة تطبيقات RESTful مع بيانات المستخدم في المسار وأي تقنيات ذكية أخرى قد يتم استحضارها في المستقبل بموجب القانون العام لحماية البيانات (GDPR).

من هو المسؤول عن الامتثال؟

انت . مؤسستك هي "المتحكم" في موقع الويب الخاص بك وهي مسؤولة في النهاية عن ضمان التعامل مع البيانات الشخصية بطرق تتوافق مع القانون العام لحماية البيانات (GDPR). عندما تختار استخدام خدمة طرف ثالث على موقع الويب الخاص بك لا تتوافق مع ذلك ، فأنت مخطئ.

يُقصد بمصطلح "المراقب" الشخص الطبيعي أو الاعتباري أو السلطة العامة أو الوكالة أو أي هيئة أخرى تحدد ، بمفردها أو بالاشتراك مع آخرين ، أغراض ووسائل معالجة البيانات الشخصية ؛ - المادة 4 (7) من اللائحة العامة لحماية البيانات

أي خدمة تتم إضافتها إلى موقع الويب الخاص بك (مثل Google Analytics و Pardot وما إلى ذلك) يجب أن تتوافق أيضًا مع القانون العام لحماية البيانات (GDPR). حتى إذا كنت لا تعتقد أن الخدمة التي تضيفها تجمع بيانات شخصية ، يجب أن تكون حذرًا.

ستتضمن العديد من الخدمات المجانية شكلاً من أشكال التقاط البيانات التي يتم استخدامها لاحقًا لشبكات الإعلان. أجريت بعض الاختبارات في عام 2011 ووجدت أدوات مشاركة اجتماعية "مجانية" مثل ShareThis أو AddToAny مكونات تتبع مضمنة لشبكات إعلانية متعددة. في إحدى الحالات ، مكّنت أداة مشاركة واحدة من تتبع نصف دزينة من شبكات الإعلانات.

يجب أن تقوم بفحص دقيق لكل تطبيق وخدمة تقوم بتضمينها على موقع الويب الخاص بك. إذا تمت استضافة أجزاء من موقع الويب الخاص بك بواسطة جهات خارجية (مثل الوظائف / الموارد البشرية أو علاقات المستثمرين) ، فيجب عليك التأكد من امتثال هؤلاء البائعين وأي أطراف ثالثة يستخدمونها للائحة العامة لحماية البيانات (GDPR).

يجب عليك أيضًا فحص أي جهات خارجية لا تقوم بالضرورة بجمع البيانات على موقع الويب الخاص بك ولكنها مكلفة بطريقة ما بالبيانات التي تم جمعها. قد يندرج مستشارو التحليلات في هذه الفئة.

كل هذه الأطراف الثالثة هي "معالجات" لبيانات المستخدمين.

يُقصد بـ "المعالج" شخصًا طبيعيًا أو اعتباريًا أو سلطة عامة أو وكالة أو هيئة أخرى تعالج البيانات الشخصية نيابة عن المتحكم ؛ - المادة 4 (8) من اللائحة العامة لحماية البيانات

إذا كانت شركتك توظف أقل من 250 شخصًا ولا تقوم بجمع بيانات شخصية حساسة قد تؤدي إلى مخاطر حقوق وحريات الأفراد ، فهناك بعض التساهل بشأن سجلات أنشطة المعالجة التي تقلل من أعبائك. أنت لست معفيًا من الامتثال للقانون العام لحماية البيانات (GDPR) ، لكنك لست ملزمًا بنفس معايير المنظمات الأكبر.

الأساس القانوني للمعالجة

لكي يتم قبول جمع أي بيانات شخصية بموجب اللائحة العامة لحماية البيانات ، يجب أن تفي بمعيار واحد على الأقل من ستة معايير. تنص اللائحة العامة لحماية البيانات في المادة 6 (1) على ما يلي:

  1. يجب أن تكون المعالجة قانونية فقط في حالة وإلى المدى الذي ينطبق فيه واحد على الأقل مما يلي:

    (أ) أعطى صاحب البيانات الموافقة على معالجة بياناته الشخصية لغرض واحد أو أكثر من الأغراض المحددة ؛

    (ب) المعالجة ضرورية لأداء العقد الذي يخضع له موضوع البيانات حفل أو من أجل اتخاذ خطوات بناء على طلب صاحب البيانات قبل الدخول في عقد ؛

    (ج) المعالجة ضرورية للامتثال للالتزام القانوني الذي يخضع له المتحكم ؛

    (د) المعالجة ضرورية لحماية المصالح الحيوية لصاحب البيانات أو لشخص طبيعي آخر ؛

    (هـ) المعالجة ضرورية لأداء مهمة يتم تنفيذها للمصلحة العامة أو في ممارسة السلطة الرسمية المخولة للمراقب ؛

    (و) المعالجة ضرورية لأغراض المصالح المشروعة التي يسعى إليها المتحكم أو طرف ثالث ، باستثناء الحالات التي يتم فيها تجاوز هذه المصالح من خلال المصالح أو الحقوق والحريات الأساسية لموضوع البيانات التي تتطلب حماية البيانات الشخصية ، على وجه الخصوص حيث يكون موضوع البيانات طفلًا.

من بين هذه القواعد الست ، ستنطبق القاعدة الأولى فقط على غالبية المواقع الإلكترونية لعملائنا. بالنسبة للوظائف وأقسام التجارة الإلكترونية ، أو أي خدمة تتطلب تسجيل الدخول ، يمكن أيضًا تطبيق الأساس (ب).

هوية

هذا مفهوم مهم للغاية عند تحديد أنواع جمع البيانات التي لا تتطلب أساسًا قانونيًا بموجب القانون العام لحماية البيانات (GDPR). بمعنى ما ، يمكن فهم التعريف بسهولة ... هل نحن قادرون على ربط هذه البيانات بشخص طبيعي؟ إذا كان الأمر كذلك ، فمن الواضح أن هذا الفرد محمي بموجب القانون العام لحماية البيانات (GDPR).

ماذا يحدث إذا كنا نتتبع شخصًا مجهول الهوية من خلال استخدام ملف تعريف الارتباط أو بعض تقنيات التتبع الأخرى؟ حتى إذا كان هذا الشخص مجهول الهوية ، فمن الممكن التعرف عليه لاحقًا من خلال جمع بيانات إضافية. لذلك ، هذا الشخص محمي.

قد يرتبط الأشخاص الطبيعيون بالمعرفات عبر الإنترنت التي توفرها أجهزتهم وتطبيقاتهم وأدواتهم وبروتوكولاتهم ، مثل عناوين بروتوكول الإنترنت أو معرفات ملفات تعريف الارتباط أو المعرفات الأخرى مثل علامات تعريف التردد اللاسلكي. قد يترك هذا آثارًا ، خاصة عند دمجها مع المعرفات الفريدة والمعلومات الأخرى التي تتلقاها الخوادم ، والتي يمكن استخدامها لإنشاء ملفات تعريف للأشخاص الطبيعيين والتعرف عليهم. - ديباجة اللائحة العامة لحماية البيانات (30)

والسبب هو أننا يجب ألا نتمكن أبدًا من جمع البيانات عن المستخدمين الفرديين دون الحصول على موافقة مسبقة للقيام بذلك. إذا أردنا جمع البيانات ثم ربطها بشخص طبيعي في وقت لاحق ، فإننا سننتهك هذا المبدأ.

حقوق المستخدمين

يجب الحصول على الموافقة قبل جمع البيانات الشخصية. ويجب تخزين جميع البيانات المتعلقة بالموافقة المذكورة ، بما في ذلك على وجه التحديد وقت إعطاء الموافقة وأشكال المعالجة التي وافق عليها المستخدم. على العكس من ذلك ، إذا ألغى المستخدم موافقته على بعض أو كل جمع البيانات الشخصية ، فيجب أيضًا تسجيل هذا الإلغاء.

تعني "الموافقة" لصاحب البيانات أي إشارة يتم تقديمها بحرية ومحددة ومستنيرة ولا لبس فيها لرغبات صاحب البيانات والتي من خلالها ، من خلال بيان أو من خلال إجراء إيجابي واضح ، يشير إلى الموافقة على معالجة البيانات الشخصية المتعلقة به او هي؛ - المادة 4 (11) من اللائحة العامة لحماية البيانات

لاحظ أن بعض الجهات الخارجية قد يكون لديها آليتها الخاصة لتأمين الموافقة ، ولكن السماح لهذه الخدمات بحقن نفسها في تجارب المستخدم الخاصة بك سيكون مربكًا للأشخاص. ما لم تكن تستخدم موفرًا خارجيًا واحدًا لتخزين معلومات حول المستخدمين ، فإننا نقترح إنشاء آلية موافقة فردية وبسيطة تكون واضحة وموجزة. يجب استخدامه لإدارة جميع الوسائل المختلفة لجمع البيانات على موقع الويب الخاص بك ، بما في ذلك الجهات الخارجية.

يجب إعطاء `` الموافقة '' من خلال عمل إيجابي واضح يؤسس إشارة معطاة بحرية ومحددة ومستنيرة ولا لبس فيها لموافقة صاحب البيانات على معالجة البيانات الشخصية المتعلقة به أو بها ، على سبيل المثال من خلال بيان مكتوب ، بما في ذلك الوسائل الإلكترونية ، أو بيان شفهي. - ديباجة اللائحة العامة لحماية البيانات (32)

يحق للمستخدمين الوصول إلى بياناتهم ، وتصحيح بياناتهم ، وعندما لا يكون هناك أساس قانوني لمعالجة البيانات (على سبيل المثال ، يلغي المستخدم الموافقة أو لم يعد عميلاً) ، يكون لصاحب البيانات الحق في أن يكون نسي. يتضمن ذلك وحدات التحكم التي تخطر المعالجات الذين قد يقومون أيضًا بتخزين بيانات المستخدم المجمعة.

بالإضافة إلى ذلك ، يجب نسيان البيانات الشخصية عندما لا تعد ضرورية للأساس القانوني الذي تم جمعها على أساسه أو للأغراض التي تم منح الموافقة من أجلها.

حماية البيانات والشهادة

يتطلب القانون العام لحماية البيانات (GDPR) مراقبي البيانات (أنت) والمعالجات لاتخاذ الخطوات المناسبة (الفنية والتنظيمية على حد سواء) لحماية البيانات الشخصية.

من أجل إثبات الامتثال لهذه اللائحة ، يجب على المراقب اعتماد سياسات داخلية وتنفيذ التدابير التي تلبي على وجه الخصوص مبادئ حماية البيانات عن طريق التصميم وحماية البيانات افتراضيًا. يمكن أن تتكون هذه التدابير ، من بين أمور أخرى ، من تقليل معالجة البيانات الشخصية ، وأسماء مستعارة للبيانات الشخصية في أقرب وقت ممكن ، والشفافية فيما يتعلق بوظائف ومعالجة البيانات الشخصية ، وتمكين البيانات الخاضعة لرصد معالجة البيانات ، وتمكين المراقب من إنشاء ميزات الأمان وتحسينها. - ديباجة اللائحة العامة لحماية البيانات (78)

يجب أن تشمل هذه التدابير أيضًا الوصول المحدود والتشفير وأفضل الممارسات الأساسية الأخرى لأمن البيانات. يشجع مؤلفو القانون العام لحماية البيانات (GDPR) وحدات التحكم والمعالجات على تحديد شهادات حماية البيانات والامتثال لها مثل مدونة قواعد الممارسة ISO / IEC 27018 لحماية معلومات التعريف الشخصية.

من أجل تعزيز الشفافية والامتثال لهذه اللائحة ، ينبغي تشجيع إنشاء آليات إصدار الشهادات وأختام وعلامات حماية البيانات ، مما يسمح لموضوعات البيانات بتقييم مستوى حماية البيانات للمنتجات والخدمات ذات الصلة بسرعة. - ديباجة اللائحة العامة لحماية البيانات (100)

اسماء مستعارة

في بحثي ، وجدت أن استخدام الأسماء المستعارة كان أكثر المفاهيم التي يساء فهمها في اللائحة العامة لحماية البيانات. لا يعتبر إخفاء الهوية هو نفس الشيء مثل إخفاء الهوية ؛ إنها مجرد عملية إزالة الخصائص من مجموعة البيانات التي تجعل سجلات المستخدم قابلة للتعريف وتخزين تلك الخصائص في مصدر بيانات منفصل باستخدام شكل من أشكال المعرف الفريد. يمكن التوفيق بين البيانات ذات الأسماء المستعارة مع مصدر البيانات المنفصل هذا لتحديد المستخدمين الفرديين.

يُقصد بـ "الاسم المستعار" معالجة البيانات الشخصية بطريقة لا يمكن فيها إسناد البيانات الشخصية إلى موضوع بيانات معين دون استخدام معلومات إضافية ، شريطة الاحتفاظ بهذه المعلومات الإضافية بشكل منفصل وتخضع للتدابير الفنية والتنظيمية. للتأكد من أن البيانات الشخصية لا تُنسب إلى شخص طبيعي محدد أو يمكن التعرف عليه ؛ - المادة 4 (5) من اللائحة العامة لحماية البيانات

لا يُنشئ استخدام أسماء مستعارة للبيانات التي تم جمعها أساسًا قانونيًا لمعالجة بيانات المستخدم. ومع ذلك ، فهي أفضل ممارسة للتخزين الآمن لبيانات المستخدم ، خاصةً عندما يتم تخزين تلك البيانات مع معالج أو طرف ثالث. على سبيل المثال ، يمكنك استخدام معرّف فريد في مجموعة بيانات المعالج يمكن دمجه مع مجموعة البيانات الخاصة بك لتحديد هوية المستخدم.

الإفصاح عن خرق البيانات

في حالة حدوث خرق للبيانات الشخصية ، يُطلب من المتحكمين بإخطار السلطة الإشرافية في غضون 72 ساعة من علمهم بذلك. نظرًا لأنك جزء من شركة مقرها الولايات المتحدة ، فستكون السلطة الإشرافية هي سلطة الدولة (الدول) الأعضاء حيث يقيم موضوع (موضوعات) البيانات.

يعني "خرق البيانات الشخصية" خرقًا للأمان يؤدي إلى التدمير العرضي أو غير القانوني أو الفقد أو التغيير أو الكشف غير المصرح به أو الوصول إلى البيانات الشخصية المنقولة أو المخزنة أو المعالجة بطريقة أخرى ؛ - المادة 4 (12) من اللائحة العامة لحماية البيانات

يُطلب من المتحكمين أيضًا إخطار موضوعات البيانات المتأثرة في حالة حدوث خرق ، على الرغم من أن الجدول الزمني لمثل هذا الإخطار قد يعتمد على التدابير اللازمة لمنع انتهاكات البيانات المستمرة أو المماثلة. تنص المبادئ التوجيهية ببساطة على أنه ينبغي الاتصال بأصحاب البيانات دون تأخير لا داعي له.

ضربات الجزاء

يمكن تقسيم عقوبات انتهاك اللائحة العامة لحماية البيانات إلى فئتين:

  1. الغرامات التي تفرضها الجهات الرقابية
  2. التعويض لأصحاب البيانات الذين تم التعدي على حقوقهم

تميل معظم المقالات التي قرأتها إلى التركيز على الغرامات التي يمكن أن تفرضها السلطات الإشرافية.

ومن السهل معرفة السبب.

يمكن أن تصل الغرامات إلى 20،000،000 يورو أو ما يصل إلى 4٪ من إجمالي حجم التداول السنوي العالمي للسنة المالية السابقة. هذه أرقام مخيفة.

لكن من المهم أن نفهم أن هذه الغرامات هي الحدود القصوى ، وهي مخصصة لأكثر المواقف فظاعة وإتلافًا. يتم أخذ العديد من العوامل في الاعتبار عند تحديد مبلغ الغرامة.

عند اتخاذ قرار بشأن فرض غرامة إدارية واتخاذ قرار بشأن مبلغ الغرامة الإدارية في كل حالة على حدة ، يجب إيلاء الاعتبار الواجب لما يلي:

  1. طبيعة الانتهاك وخطورته ومدته مع مراعاة طبيعة نطاق أو غرض المعالجة المعنية وكذلك عدد موضوعات البيانات المتأثرة ومستوى الضرر الذي لحق بهم ؛
  2. الطابع المتعمد أو الإهمال للانتهاك ؛
  3. أي إجراء تتخذه وحدة التحكم أو المعالج للتخفيف من الأضرار التي لحقت بأصحاب البيانات ؛
  4. درجة مسؤولية وحدة التحكم أو المعالج مع مراعاة التدابير الفنية والتنظيمية التي تنفذها وفقًا للمادتين 25 و 32 ؛
  5. أي انتهاكات سابقة ذات صلة من قبل وحدة التحكم أو المعالج ؛
  6. درجة التعاون مع السلطة الإشرافية ، من أجل معالجة الانتهاك وتخفيف الآثار السلبية المحتملة للانتهاك ؛
  7. فئات البيانات الشخصية المتأثرة بالانتهاك
  8. الطريقة التي أصبح بها الانتهاك معروفًا للسلطة الإشرافية ، ولا سيما ما إذا كان ، وإذا كان الأمر كذلك ، إلى أي مدى ، قام المراقب أو المعالج بإخطار الانتهاك ؛
  9. في حالة إصدار أوامر بالإجراءات المشار إليها في المادة 58 (2) مسبقًا ضد وحدة التحكم أو المعالج المعني فيما يتعلق بنفس الموضوع ، والامتثال لتلك التدابير ؛
  10. التقيد بقواعد السلوك المعتمدة عملاً بالمادة 40 أو آليات التصديق المعتمدة عملاً بالمادة 42 ؛ و
  11. أي عامل آخر مشدد أو مخفف ينطبق على ظروف القضية ، مثل الفوائد المالية المكتسبة ، أو الخسائر التي تم تجنبها ، بشكل مباشر أو غير مباشر ، من الانتهاك.

- المادة 83 (2) من اللائحة العامة لحماية البيانات

المجهول الأكبر هو ما يمكن أن يكون عليه التعويض لأصحاب البيانات الذين تم انتهاك حقوقهم. من غير المحتمل أن يؤثر أي انتهاك للائحة العامة لحماية البيانات على فرد واحد فقط ، لذلك من المعقول توقع شكل من أشكال التقاضي الجماعي.

تختلف القواعد الوطنية للدول الأعضاء في الاتحاد الأوروبي بشكل كبير فيما يتعلق بمسائل التقاضي الجماعي (الدعوى الجماعية). لذا فإن التنبؤ بالعواقب قبل دخول اللائحة حيز التنفيذ هو ممارسة من الأفضل تركها للمهنيين القانونيين. ربما يكون أفضل من ذلك ، أن العرافين يحدقون في كرات الكريستال.

بعض السيناريوهات الشائعة

خلاصة القول هي أن الامتثال للائحة العامة لحماية البيانات لا يجب أن يكون بهذه الصعوبة. في حين أن هناك بعض الخطوات الأساسية التي ستحتاج إلى اتخاذها ، فإن الإرشادات واضحة وقابلة للقياس. إذا كنت تمارس نشاطًا تجاريًا في الاتحاد الأوروبي ولكنك تتجاهل توجيهات حماية البيانات ، فسيكون لديك القليل من اللحاق بالركب. لكن اسمحوا لي أن أؤكد أن الأمر ليس بهذا السوء.

هناك بعض السيناريوهات الشائعة المشتركة عبر جميع الشركات تقريبًا التي تقدم خدمات BrandExtract. بشكل عام ، نحاول توجيه عملائنا بعيدًا عن المواقف التي تتطلب جمع الموافقة أو إدارة البيانات الشخصية ما لم يكن ذلك ضروريًا للغاية. لكن هناك حالات يكون فيها ذلك منطقيًا. فيما يلي بعض المواقف المحددة مع التوصيات:

تحليلات كوكل

إن موقف BrandExtract هو أن جمع عنوان IP الكامل للمستخدم وتخزينه غير ضروري لإجراء تحليلات عالية الجودة. وإخفاء هوية عنوان IP عن طريق إسقاط آخر ثماني بتات من عناوين IPv4 وآخر 80 بتًا من عناوين IPv6 كافٍ للقضاء على إمكانية تعريف المستخدم من جانب Google.

يمكن القيام بذلك بسهولة في Google Analytics باستخدام ميزة إخفاء هوية عنوان IP المضمنة في مكتبة جافا سكريبت GA. يمكن ببساطة استدعاءه لجميع المستخدمين بغض النظر عما إذا كانوا يصلون إلى موقعك من داخل الاتحاد الأوروبي أم لا. عند استخدام إخفاء هوية عنوان IP ، لا يتم تسجيل أي بيانات شخصية يمكن التعرف عليها على خوادم Google.

علاوة على ذلك ، من الممكن تعطيل استخدام ملف تعريف ارتباط Google Analytics على موقع الويب الخاص بك. سيؤدي ذلك إلى فقدان بعض بيانات التحليلات (نحن في طور اختبار هذا لمعرفة ما فقده). ولكن من خلال إخفاء هوية عنوان IP وإزالة ملف تعريف الارتباط ، لم نعد بحاجة إلى جمع الموافقة على Google Analytics لأنه لم يعد بالإمكان تحديد هوية المستخدم.

لا يزال من الممكن استخدام Google Analytics مع ملفات تعريف الارتباط ، ولكن يجب عليك الحصول على الموافقة قبل القيام بذلك. ايضا لاحظ أن Google قد وعدت بأدوات لإزالة بيانات المستخدمين الفرديين من التحليلات لضمان الامتثال. يجب أن تكون هذه في مكانها بحلول 25 مايو.

ملفات سجل خادم الويب

بشكل افتراضي ، يتم تسجيل جميع الطلبات إلى خادم الويب في ملفات السجل. يتضمن كل سجل عنوان IP الخاص بالمستخدم ، والذي يعتبر بيانات شخصية لأنه يمكن استخدامه لاحقًا لتتبع نشاط هذا المستخدم بأثر رجعي إذا تم تحديده لاحقًا. يجب تعطيل تسجيل عنوان IP ، أو يجب إخفاء هوية عنوان IP.

باردو

مثل Google ، فإن موقف Pardot هو أنك المتحكم والمعالج. يعتمد عرض خدمة Pardot على القدرة على تحديد هوية المستخدم. لذلك إذا كنت تنوي استخدام خدمات Pardot على موقع الويب الخاص بك ، فيجب أن يكون لديك أساس قانوني لمعالجة بيانات المستخدم.

لا تمتلك Pardot حتى الآن أدوات في مكانها لجمع بيانات المستخدم أو إزالتها ، ولا يتوقعون أن تكون هذه الأدوات في مكانها بحلول الموعد النهائي. يجب أن يتم نسيان جميع طلبات البيانات والطلبات من خلال مكتب خدمة Pardot.

Hubspot

تتضمن أجزاء من عروض خدمة Hubspot نماذج الاستيعاب وتتبع المستخدم. إذا لم تكن تستخدم أي مزودين آخرين من جهات خارجية لتتبع المستخدمين ، فقد تفكر في استخدام آلية جمع الموافقة الخاصة بـ Hubspot. يجب أن تكون هذه الميزة الجديدة في مكانها بحلول 25 مايو.

إذا كنت تستخدم موفرين آخرين بالإضافة إلى Hubspot ، أو تقوم بتخزين بيانات المستخدم على أنظمتك الخاصة ، فيجب عليك إنشاء آليتك الخاصة لجمع الموافقة على جميع الطرق التي يتم بها تخزين بيانات المستخدم.

التسويق عبر البريد الإلكتروني

إذا كنت تستخدم موفر خدمة تسويق عبر البريد الإلكتروني أو لديك آلية خاصة بك لتتبع ردود البريد الإلكتروني من قبل المستخدم ، فيجب أن تحصل على موافقة أو أساس قانوني قبل إرسال البريد الإلكتروني. بالنسبة لحملات البريد الإلكتروني ، ستحتاج إلى علاقة راسخة مع موضوع البيانات التي تتضمن أساسًا قانونيًا للمعالجة.

الخطوط المستضافة والأصول الأخرى

هذا سهل ... إذا كنت قلقًا بشأن الناتج المحلي الإجمالي ، فلا تستخدم أطرافًا خارجية لاستضافة خطوط موقعك على الويب أو مكتبات جافا سكريبت أو غيرها من الأصول. إذا كان خط معين متاحًا فقط من خلال مضيف تابع لجهة خارجية ، فما عليك سوى استخدام خط مختلف.

سيكون لجميع مقدمي الخدمة شروط الخدمة الخاصة بهم ومستويات الامتثال التي ستتطلب مراقبة مستمرة للتأكد من عدم تغيير سياساتهم. حاول تجنب ذلك المتاعب والمخاطر.

خدمات المشاركة (ShareThis ، AddToAny ، إلخ)

إنهم فظيعون ، لا تستخدمها. حتى قبل تطورات اللائحة العامة لحماية البيانات الجديرة بالنشر ، كانت BrandExtract توجه عملاءنا دائمًا بعيدًا عن هذه الطفيليات المتخفية في شكل خدمات. لا يحتاج المستخدمون لديك إلى القدرة على مشاركة صفحة الويب الخاصة بك على 47 شبكة اجتماعية لم يسمع بها أحد من قبل. يحتوي BrandExtract على رمز مخصص للمشاركة على جميع المنصات الرئيسية التي تهم عملك بالفعل.

إضفاء الطابع الشخصي

هذا ايضا سهل تتطلب أي سيناريوهات تخصيص بخلاف تحديد الموقع الجغرافي الواسع حسب القارة أو الدولة تحديد هوية المستخدم ويجب أن تحصل على موافقة المستخدم. ببساطة لا توجد طريقة للتغلب عليها.

موارد

  • موقع المفوضية الأوروبية
  • نص اللائحة العامة لحماية البيانات
  • إخفاء هوية IP في Analytics
  • تعطيل ملفات تعريف الارتباط التحليلية

يمكن أن تكون لوائح اللوائح العامة لحماية البيانات (GDPR) ساحقة. نأمل أن نكون قد ساعدنا في دمج كل ما تحتاج إلى معرفته. عندما تفكر في إجراء مراجعة لموقعك ، يسعدنا الدردشة. ندخل في مزيد من التفاصيل حول اللائحة العامة لحماية البيانات مع فريق الخبراء لدينا في حلقة البودكاست الخاصة باللائحة العامة لحماية البيانات. لمزيد من المعلومات حول الويب والاعتبارات الرقمية لعلامتك التجارية ، إليك بعض النصائح والموارد للمساعدة:

  • تعرف على ما يلزم لتسهيل الوصول إلى موقعك.
  • تعرف على مفاتيح أمان موقع الويب وكيفية الحفاظ على أمان موقعك.
  • ألق نظرة على كيفية إنشاء موقع ويب تجاري جذاب (ومحول).