كيف ستؤثر اللائحة العامة لحماية البيانات على العلامات التجارية الأمريكية

يمثل استخدام (وإساءة استخدام) البيانات تحديًا فريدًا للمشرعين وسلطات إنفاذ القانون. على عكس السلع والخدمات التقليدية ، لا تحترم تدفقات البيانات الحدود الدولية التقليدية ، ويعني معدل التغيير التكنولوجي أن قانون خصوصية البيانات دائمًا إما واسع بشكل مفرط أو قديم تمامًا.

على وجه الخصوص ، كافح المنظمون لتطوير ممارسات إنفاذ فعالة للشركات التي لها تأثير كبير في أراضيها ولكنها موجودة فعليًا في مكان آخر.

هذا هو الموضوع الأساسي لقضية المحكمة العليا الأمريكية الحالية ضد شركة Microsoft Corp ، والتي أدت مؤخرًا إلى التعجيل بقانون توضيح الاستخدام القانوني الخارجي للبيانات (CLOUD) الذي سيسمح فعليًا للسلطات الأمريكية بإجبار الشركات على تقديم طلب البيانات المخزنة على الخوادم بغض النظر عما إذا كانت موجودة داخل الولايات المتحدة أو في دول أجنبية.

وبالمثل ، لا يزال الكثيرون يترنحون من فضيحة Cambridge Analytica / Facebook ، والتي أظهرت كيف يمكن للتلاعب الأجنبي ببيانات الأفراد أن يتدخل في السياسة المحلية.

في هذا السياق ، ربما لا يكون مفاجئًا أن التشريع الجديد لخصوصية البيانات في الاتحاد الأوروبي ، اللائحة العامة لحماية البيانات (GDPR) ، يسعى إلى تطبيق معايير حماية البيانات المحسّنة ليس فقط على تلك الشركات الموجودة في الاتحاد الأوروبي ، ولكن أيضًا على العديد من الشركات خارجها.

في هذا المنشور ، قمت بفحص ما تعنيه اللائحة العامة لحماية البيانات (GDPR) للعلامات التجارية الأمريكية وما هي الخطوات ، إن وجدت ، التي يجب أن يتخذوها الآن للتحضير:

ما هو اللائحة العامة لحماية البيانات وكيف يمكن تطبيق قانون الاتحاد الأوروبي على الشركات الأمريكية؟

ببساطة ، اللائحة العامة لحماية البيانات هي جزء من تشريعات الاتحاد الأوروبي التي تسعى إلى حماية البيانات الشخصية لمواطني الاتحاد الأوروبي من خلال تنظيم كيفية قيام المنظمات بجمع هذه البيانات وتخزينها ومعالجتها.

على عكس سابقه ، توجيه حماية البيانات ، والذي بشكل عام لم ينظم الشركات الموجودة خارج الاتحاد الأوروبي ، ينطبق القانون العام لحماية البيانات على أي معالجة للبيانات الشخصية لأصحاب البيانات الموجودين في الاتحاد الأوروبي حيث ترتبط أنشطة المعالجة بأيٍّ من: عرض السلع أو الخدمات لأصحاب البيانات في الاتحاد الأوروبي (بغض النظر عما إذا كان الدفع لصاحب البيانات مطلوبًا) ؛ أو مراقبة سلوكهم فيما يتعلق بسلوكهم داخل الاتحاد الأوروبي.

هذا يعني أن اللائحة العامة لحماية البيانات (GDPR) ليست ذات صلة فقط بالشركات متعددة الجنسيات التي قد يكون مقرها الرئيسي في الولايات المتحدة ، أو الشركات الأمريكية التي لديها عمليات تجارية مباشرة في الاتحاد الأوروبي ، ولكن أيضًا للعديد من الشركات الأمريكية التي لا تفعل ذلك. في سياق الإنترنت ، ستكون اللائحة العامة لحماية البيانات (GDPR) ذات صلة إذا:

• لديك وجود قوي على الإنترنت في الاتحاد الأوروبي (حتى لو لم تبيع مباشرةً في الاتحاد الأوروبي)
• أنت شركة تجارة إلكترونية تقبل عملات الاتحاد الأوروبي و / أو لها لاحقة مجال في الاتحاد الأوروبي (مثل .co.uk ، .fr ، .de ، وما إلى ذلك)
• لديك أي زوار من الاتحاد الأوروبي وتجري التخصيص على موقع الويب الخاص بك.

تكلفة فهم هذا الخطأ

إذا كان أي مما سبق ينطبق على مؤسستك ، فيجب عليك مراجعة ممارسات معالجة البيانات الخاصة بك بعناية ، وتحديد ما إذا كان من المحتمل أن تنطبق اللائحة العامة لحماية البيانات على أنشطتك عبر الإنترنت أم لا. أحد أسباب أهمية ذلك هو الغرامات الكبيرة بموجب اللائحة الجديدة.

تفرض لائحة حماية البيانات العامة (GDPR) عقوبات شديدة على الشركات التي لا تمتثل للقواعد الجديدة. يمكن أن تصل الغرامات إلى 20 مليون يورو ، أو 4٪ من حجم مبيعات المنظمة في جميع أنحاء العالم - أيهما أكبر.

لا يزال من غير الواضح كيف سيفرض المنظمون في الاتحاد الأوروبي هذه العقوبات على الشركات الأمريكية التي ليس لها وجود دائم في أي دولة من دول الاتحاد الأوروبي ، لكن حجم الغرامات المحتملة يجب أن يعني أنه حتى الشركات الأمريكية فقط يجب أن تأخذ القواعد الجديدة على محمل الجد.

يمكن أن يكون الامتثال بسيطًا ، لكنه ليس مجرد تمرين مربع

خلافًا للاعتقاد الشائع ، يمكن تحقيق الامتثال للائحة العامة لحماية البيانات (GDPR) ببساطة وبدون موارد ضخمة. ومع ذلك ، فهو ليس تمرينًا بسيطًا في خانة الاختيار وقد تتطلب بعض الخطوات مدخلات من العديد من أصحاب المصلحة داخل مؤسستك.

للحصول على دليل أكثر تفصيلاً للمتطلبات الجديدة ، نشرت الجهة التنظيمية في المملكة المتحدة ملخصًا للائحة العامة لحماية البيانات (GDPR) ، وهي نقطة انطلاق رائعة إذا كنت تصل إلى هذا الأمر الجديد. ومع ذلك ، بالنسبة للشركات غير المعتادة على قانون حماية البيانات في الاتحاد الأوروبي ، قد يتطلب الالتزام باللائحة العامة لحماية البيانات أيضًا تحولًا جوهريًا في كيفية تصور البيانات:

1.) البيانات الشخصية مقابل معلومات تحديد الهوية الشخصية

يعد تعريف "البيانات الشخصية" بموجب اللائحة العامة لحماية البيانات أوسع بكثير من المفهوم الأمريكي المماثل "لمعلومات التعريف الشخصية" (PII).

عادةً ما يقتصر تحديد معلومات التعريف الشخصية ، كما هو مفهوم في الولايات المتحدة ، على المعرفات مثل الاسم ورقم الضمان الاجتماعي وتاريخ ومكان الميلاد والسجلات البيومترية والطبية والتعليمية والمالية والتوظيفية. على النقيض من ذلك ، تعني البيانات الشخصية في الاتحاد الأوروبي أي معلومات تتعلق بشخص طبيعي محدد أو يمكن التعرف عليه ، أو "موضوع البيانات". يشمل ذلك المعرفات المضمنة في تعريف الولايات المتحدة لمعلومات PII ويتضمن بالإضافة إلى ذلك المعرفات عبر الإنترنت مثل عنوان البريد الإلكتروني ومعرف ملف تعريف الارتباط وعنوان IP وعادات التصفح وبيانات الموقع وما إلى ذلك.

من الناحية العملية ، يعني هذا التعريف الواسع للبيانات الشخصية أن أنشطة مثل تخصيص موقع الويب يتم ضبطها بواسطة اللائحة العامة لحماية البيانات ، حتى لو كان هذا التخصيص يتضمن الاستخدام الأساسي للتحليلات بناءً على معرف ملف تعريف الارتباط الخاص بالمستخدم أو عنوان IP.

2.) مبادئ حماية البيانات ، والموافقة

تقر اللائحة العامة لحماية البيانات (GDPR) أن للشركات مصلحة مشروعة في جمع البيانات الشخصية واستخدامها (على سبيل المثال ، لغرض فهم كيفية تفاعل الزوار مع موقع الويب الخاص بالشركة). ومع ذلك ، عند القيام بذلك ، يتعين على الشركات اتباع بعض "مبادئ حماية البيانات" مثل ضمان الشفافية مع موضوع البيانات.

بالإضافة إلى ذلك ، قد تكون هناك أوقات يلزم فيها الحصول على موافقة الزائر قبل جمع بياناته ، والتي تتطلب بموجب اللائحة العامة لحماية البيانات (GDPR) أكثر من مجرد الإشارة إلى بيان الخصوصية عبر الإنترنت. تلغي اللائحة العامة لحماية البيانات (GDPR) الموافقة الضمنية والمربعات المحددة مسبقًا ، وتلقي على عاتق الشركات مسؤولية إظهار أن موضوع البيانات قد فهم تمامًا ووافق على ما يُطلب منهم الموافقة عليه.

3.) الملكية

على عكس الولايات المتحدة ، حيث يتم اعتبار جميع البيانات التي يتم جمعها من موقع ويب ملكًا لمالك هذا الموقع ، في الاتحاد الأوروبي ، تنتمي البيانات الشخصية إلى موضوع البيانات المعني. وفقًا لذلك ، يحق لهذا الفرد التحكم في كيفية معالجة بياناته ، وهو ما ينعكس في الحقوق الشاملة لموضوعات البيانات بموجب القانون العام لحماية البيانات (GDPR) للوصول إلى بياناتهم وأخذ نسخ منها ومطالبة الشركات بحذف بياناتهم. يتعين على الشركات الامتثال لمثل هذه الطلبات وفقًا لمواعيد نهائية صارمة ، أو مواجهة إجراءات إنفاذ صارمة محتملة من الجهات التنظيمية المحلية.

وبالمثل ، يتم أيضًا تقديم متطلبات أكثر صرامة عند مشاركة أطراف ثالثة. على وجه الخصوص ، يجب إبلاغ موضوعات البيانات بالشركات التي تتم مشاركة بياناتها معها ، ويجوز للمؤسسات فقط إشراك أطراف ثالثة يمكنها ضمان مستوى مناسب من أمان البيانات. يجب إثبات ذلك من خلال الأوراق التعاقدية المحددة التي تفي بمتطلبات محتوى اللائحة العامة لحماية البيانات (GDPR). سيكون فهم هذه الاختلافات المفاهيمية أمرًا أساسيًا للشركات التي تسعى إلى الامتثال للقانون العام لحماية البيانات (GDPR).

تغليف

ستغير اللائحة العامة لحماية البيانات (GDPR) طريقة تفاعل الشركات مع البيانات - ليس فقط في الاتحاد الأوروبي ولكن في جميع أنحاء العالم. يجب أن تقوم العلامات التجارية الأمريكية ، خاصة تلك التي تتمتع بحضور قوي على الإنترنت ، بمراجعة ممارسات معالجة البيانات الخاصة بها بعناية ، وتحديد ما إذا كان من المحتمل أن تنطبق اللائحة العامة لحماية البيانات على أنشطتها عبر الإنترنت أم لا. يجب مناقشة أي مخاوف مع المحامي في وقت مبكر قبل تاريخ نفاذ اللائحة العامة لحماية البيانات (GDPR) من أجل تجنب الغرامات الكبيرة بموجب اللائحة الجديدة.