التزامات المعالج والمراقب المالي بموجب اللائحة العامة لحماية البيانات: ورقة الغش

نشرت: 2021-08-18

في استمرار سلسلة بلوق لدينا بشأن تنظيم حماية القادم بيانات عامة (GDPR)، ونحن ذاهبون لقضاء بضع دقائق يصف التزامات مختلفة ويضع GDPR على وحدات تحكم البيانات ومعالجات البيانات، ثم أترككم مع ورقة الغش مع بعض سريعة نقاط العمل لمساعدتك في تحديد المهام التي قد تحتاجها ، على وجه التحديد ، للتأكد من وجودك للامتثال.

لكن أولاً ، بعض التعريفات.

تعرف اللائحة العامة لحماية البيانات ( GDPR) مراقب البيانات في المادة 4 (6) على النحو التالي:

" الشخص الطبيعي أو الاعتباري أو السلطة العامة أو الوكالة أو أي هيئة أخرى تحدد ، بمفردها أو بالاشتراك مع آخرين ، أغراض ووسائل معالجة البيانات الشخصية"

في حين أن معالج البيانات (المادة 4 (7)) هو:

"الشخص الطبيعي أو الاعتباري أو السلطة العامة أو الوكالة أو أي هيئة أخرى تعالج البيانات الشخصية نيابة عن المتحكم"

لإعطاء مثال أكثر واقعية: إذا كنت بائعًا تجزئة للأدوات الذكية عبر الإنترنت ، وقامت Jane Doe بالتسجيل في قائمتك البريدية على أمل معرفة المزيد عن أدواتك (أو ربما تتجول حتى تحصل على عملية بيع) ، فمن المحتمل أن جمع عنوان بريدها الإلكتروني - وربما معلومات الاتصال الأخرى - عند اشتراكها. تهانينا! لقد أصبحت للتو مراقبًا لبيانات Jane Doe الشخصية. لقد وافقت على تلقي رسائل تسويقية منك ، ويمكنك بصفتك المتحكم في البيانات تحديد وقت وكيفية إرسال رسائل البريد الإلكتروني هذه.

لنفترض الآن أنك لا ترسل بالفعل رسائل البريد الإلكتروني التسويقية الخاصة بك ، فربما تقوم بتعيين موفر خدمة بريد إلكتروني (ESP) لمساعدتك في صياغة المحتوى الخاص بك وجدولة رسائل البريد الإلكتروني وتتبع التسليم والإبلاغ عنه. لن يكون لدى ESP الحق في القيام بكل ما يريد باستخدام بيانات Jane's ، فسيكون من حقهم فقط مساعدتك في صياغة حملاتك ، وإرسال رسائل البريد الإلكتروني الخاصة بك ، وما إلى ذلك ، بناءً على طلبك. ESP ، في هذه الحالة ، هو معالج البيانات.

في المستقبل ، قررت القيام بجهود تسويقية ذات علامة تجارية مشتركة مع الشريك "أ" المقرب منك (وهو أمر مقبول في هذه الحالة ، لأنه عندما اشتركت جين ، حصلت على موافقتها على مشاركة بياناتها مع الشريك أ لهذا الغرض). من خلال عملية التفاوض ، قررت استخدام برنامج ESP الخاص بالشريك أ بدلاً من برنامج ESP الخاص بك لإرسال الحملة. لذلك تقوم بإرسال قائمة المشتركين الخاصة بك (بما في ذلك بيانات Jane) إلى شريكك ، الذي يقوم بتحميلها في ESP الخاص بهم. يتم إرسال رسائل البريد الإلكتروني.

بموجب مشاركة بيانات Jane مع الشريك أ لأنشطة التسويق المشتركة ، فقد جعلت الشريك أ متحكمًا مشتركًا في بيانات Jane. سيستمر الشريك "أ" في استخدام بيانات Jane خارج نطاق علاقتك مع Jane. لا يزال برنامج ESP الخاص بالشريك أ معالج بيانات وسيتعين عليه الالتزام بمتطلباتك ومتطلبات الشريك أ ، ولكنك قد أدخلت للتو بعض التعقيدات في علاقتك مع جين التي تتطلب منك اللائحة العامة لحماية البيانات تتبعها.

بموجب القانون العام لحماية البيانات (GDPR) ، كمالكين لبياناتهم ، يتم منح أصحاب البيانات حقوقًا ، مثل: (لاحظ أن هذه ليست قائمة كاملة.)

  • المادة 15 (حق الوصول): يمكن أن تكتب لك جين وتطلب نسخة من البيانات الشخصية التي جمعتها منها. ستتم مطالبتك ، بصفتك مراقب البيانات ، بالامتثال لهذا الطلب في غضون 30 يومًا من استلام طلبها ؛
  • المادة 16 (الحق في التصحيح): إذا وجدت جين أن البيانات التي لديك عنها غير دقيقة أو غير كاملة ، فيمكنها أن تطلب منك تحديثها (مثل تغيير عنوان بريدها الإلكتروني أو تغيير تهجئة اسمها في قاعدة البيانات الخاصة بك) ؛
  • المادة 17 (الحق في الحذف): يمكن أن تطلب منك جين حذف بياناتها تمامًا. ربما تسحب موافقتها على تلقي رسائل مستقبلية منك ، أو ربما تعتقد أن الحملات التي تستهدفها تتجه في الاتجاه الخاطئ ، وتريد أن تبدأ من الصفر ؛
  • المادة 18 (الحق في تقييد المعالجة): ربما تكون قد بدأت في تتبع عمليات فتح ونقرات Jane (التتبع القائم على السلوك) ، لكن جين لا تعتقد أنها وافقت على السماح لك بالقيام بذلك (وفقًا للائحة العامة لحماية البيانات ، التتبع القائم على السلوك سيتطلب الموافقة. لا يمكنك افتراض أنه يمكنك القيام بذلك). يمكن أن تطلب منك جين التوقف عن تتبع عمليات الفتح والنقرات الخاصة بها حتى تقوم بفرز ما وافقت عليه بالفعل ؛
  • المادة 20 (الحق في نقل البيانات): في بعض الحالات ، يحق لجين أن تطلب منك ضغط بياناتها ونقلها إلى أحد منافسيك. (نعم! حقًا. يهدف هذا إلى مساعدة "جين" على نقل بياناتها - على سبيل المثال - من مزود خدمة هاتف جوال إلى آخر ، أو نقل تواجدها على وسائل التواصل الاجتماعي بسهولة من تطبيق إلى آخر. إذا كنت تعالج بياناتها من خلال "الأداء من العقد "أو" بناءً على الموافقة "، يمكن أن ينطبق هذا البند عليك.

إذا قررت جين ممارسة حقوقها وطلبت منك حذف بياناتها ، في نموذج وحدة تحكم-معالج واحد ، فسيكون ذلك واضحًا إلى حد ما. تقوم بحذف بياناتها من نظامك وتطلب من معالجك (ESP) حذفها من نظامهم أيضًا.

ومع ذلك ، في نموذج وحدة التحكم المشتركة ، وفقًا للمادة 17 (2) ، لن تحتاج فقط إلى حذفه من البنية الأساسية الخاصة بك ومن البنية الأساسية للمعالج ، ولكن ستحتاج أيضًا إلى:

"اتخاذ خطوات معقولة ، بما في ذلك التدابير التقنية ، لإبلاغ المتحكمين في البيانات الذين يعالجون البيانات الشخصية بأن موضوع البيانات قد طلب محوها"

بمعنى آخر ، ستحتاج إلى الاحتفاظ بسجلات دقيقة للغاية للمكان الذي أرسلت فيه بيانات Jane وبدء طلبات حذف البيانات نيابة عن Jane إلى أي مراقبين مشتركين آخرين قد يكون لديهم بياناتها. سيحتاج هؤلاء المتحكمون المشتركون بعد ذلك أيضًا إلى الوصول إلى أي معالجات يستخدمونها ، وحذف بيانات Jane من تلك الأنظمة أيضًا.

وهذه مجرد بداية لالتزاماتك كمعالجين للبيانات ومراقبين لمعلومات Jane. انظر أدناه للحصول على قائمة سريعة بما هو مطلوب بموجب اللائحة العامة لحماية البيانات ، جنبًا إلى جنب مع المكان الذي يمكنك العثور فيه على مزيد من التفاصيل في اللائحة العامة لحماية البيانات.

أمن البيانات
 التزامات المراقب المالي:تنفيذ التدابير الفنية والتنظيمية المناسبة لحماية أمن البيانات.

  • التشفير وإخفاء البيانات إذا كان ذلك مناسبًا
  • القدرة على ضمان سرية وسلامة ومرونة البيانات
  • عملية لاختبار وتقييم وتقييم الأمن بانتظام
  • وثق جهودك.

التزامات المعالج:تنفيذ التدابير الفنية والتنظيمية المناسبة لحماية أمن البيانات.

  • التشفير وإخفاء البيانات إذا كان ذلك مناسبًا
  • القدرة على ضمان سرية وسلامة ومرونة البيانات
  • عملية لاختبار وتقييم وتقييم الأمن بانتظام
  • وثق جهودك.

مادة اللائحة العامة لحماية البيانات:فن. 32 أمن المعالجة

إشعار الخرق
 التزامات المراقب المالي:

  • إبلاغ السلطة الإشرافية في غضون 72 ساعة من الانتهاك إذا كان من المحتمل أن يتعرض أصحاب البيانات لمخاطر عالية
  • إشعار موضوع البيانات ، إذا كان ذلك مناسبًا

التزامات المعالج:

  • أبلغ وحدة التحكم دون تأخير لا داعي له عند معرفة حدوث خرق

مقالات القانون العام لحماية البيانات:فن. 33 الإخطار بخرق البيانات
فن. 34 إبلاغ صاحب البيانات بخرق البيانات

مبادئ معالجة البيانات
 التزامات المراقب المالي:

  • ضمان معالجة البيانات بطريقة قانونية وشفافة لموضوع البيانات
  • ضمان جمع البيانات ومعالجتها لأغراض محددة ، وليس بطريقة تتعارض مع الأغراض الأصلية.
  • تأكد من أن البيانات التي تم جمعها دقيقة وحديثة
  • تأكد من أنك قادر على إثبات الامتثال

مقالات القانون العام لحماية البيانات:فن. 5 المبادئ المتعلقة بمعالجة البيانات الشخصية
فن. 6 شرعية المعالجة

إشعار الخصوصية
 التزامات المراقب المالي:

  • يجب أن تكون متاحة لموضوع البيانات.
  • صف البيانات التي سيتم جمعها ولأي أغراض.
  • حدد بالتفصيل أي مستلم سيتلقى البيانات ، بما في ذلك ما إذا كان سيتم نقلها خارج المنطقة الاقتصادية الأوروبية ، وكيف ستتم حماية البيانات من خلال النقل الداخلي.
  • في حالة وجود أي مصالح مشروعة في جمع و / أو معالجة البيانات.
  • وصف الاحتفاظ بالبيانات و / أو فترات التخزين ، أو المعايير المستخدمة لتحديد فترات الاستبقاء.
  • وصف حقوق موضوع البيانات ، وكيف يمكن لصاحب البيانات ممارسة حقوقه.
  • تفاصيل حول أي استخدامات لصنع القرار الآلي.

مقالات القانون العام لحماية البيانات:فن. 12 شفافية المعلومات والتواصل والطرائق لممارسة حقوق موضوع البيانات
فن. 13 المعلومات التي يجب تقديمها حيث يتم جمع البيانات الشخصية من صاحب البيانات
فن. 14 المعلومات الواجب تقديمها في حالة عدم الحصول على البيانات الشخصية من صاحب البيانات

المتطلبات التعاقدية مع المعالج
 التزامات المراقب المالي:

  • استخدم فقط المعالجات التي يمكنها تلبية لوائح الناتج المحلي الإجمالي.
  • لا تستخدم سوى المعالجات التي يمكنها حماية بيانات موضوع البيانات بشكل مناسب.
  • وصف الموضوع والمدة وطبيعة نشاط المعالجة.
  • صف طبيعة وهدف المعالجة.
  • وصف أنواع البيانات الشخصية التي تتم معالجتها.
  • وصف فئات مواضيع البيانات التي تتم معالجتها.

التزامات المعالج:

  • قم بمعالجة البيانات بناءً على تعليمات موثقة من وحدة التحكم فقط
  • التأكد من التزام جميع الأفراد المصرح لهم بمعالجة البيانات باتفاقيات السرية
  • مساعدة المتحكم في التعامل مع طلبات حقوق الوصول إلى موضوع البيانات
  • مساعدة المراقب المالي في الالتزامات المتعلقة بالأمن وطلبات السلطات الإشرافية.
  • كن متاحًا وقادرًا على مساعدة وحدة التحكم في التزامات الامتثال
  • حذف أو إرجاع جميع البيانات بناءً على طلب أو مطلب وحدة التحكم
  • حدد أي عمليات نقل للبيانات خارج المنطقة الاقتصادية الأوروبية ووصف الإجراءات الوقائية التي ستحمي البيانات
  • المساهمة في عمليات التدقيق التي يقوم بها المراقب أو أي سلطة أخرى مطلوبة
  • تأكد من أن أي مشاركة للمعالجين الفرعيين تفي بنفس الالتزامات المطلوبة من قبل وحدة التحكم.
  • استخدم المعالجات الفرعية فقط بناءً على موافقة وحدة التحكم.

مقالات القانون العام لحماية البيانات:فن. 24 مسؤوليات المراقب المالي
فن. 28 معالج
فن. 29 المعالجة تحت سلطة تحكم أو معالج

اعتماد ممارسات حماية البيانات
 التزامات المراقب المالي:

  • تكون قادرًا على إظهار مبادئ تقليل البيانات ، واستخدام حماية البيانات حسب التصميم و / أو الافتراضي ، إذا كان ذلك مناسبًا
  • إجراء تقييمات تأثير الخصوصية على أي أنشطة معالجة من المحتمل أن تشكل خطرًا على صاحب البيانات

مقالات القانون العام لحماية البيانات:فن. 5 المبادئ المتعلقة بمعالجة البيانات الشخصية
فن. 25 حماية البيانات حسب التصميم والتقصير
فن. 35 تقييم تأثير حماية البيانات

احتفظ بسجلات أنشطة المعالجة
 التزامات المراقب المالي:

  • اسم / معلومات الاتصال لمراقب البيانات و DPO ، أو ممثل الاتحاد الأوروبي
  • قم بتوثيق فئات موضوعات البيانات وفئات البيانات الشخصية ومستلمي البيانات
  • توثيق الأساس القانوني لأي عمليات نقل للبيانات خارج المنطقة الاقتصادية الأوروبية ووصف الضمانات التي ستحمي البيانات
  • الأطر الزمنية للاحتفاظ بالبيانات
  • توثيق الأساس القانوني لأنشطة معالجة البيانات

التزامات المعالج:

  • اسم / معلومات الاتصال لمراقب البيانات و DPO
  • فئات المعالجة المنفذة لوحدة التحكم

مادة اللائحة العامة لحماية البيانات:فن. 30 سجلات لأنشطة المعالجة

هذا كثير لتقبله ، وقد يبدو أنه يتطلب الكثير من العمل. ولكن على المدى الطويل ، ستحافظ على امتثالك أنت وشركائك للقانون الأوروبي ، وستحافظ على حماية حقوق الأشخاص المعنيين بالبيانات . هل تبحث عن المزيد من إحصاءات اللائحة العامة لحماية البيانات؟ يمكنك العثور على مزيد من المعلومات في فئة القانون العام لحماية البيانات (GDPR) على مدونتنا وفي ندوتنا عبر الويب عند الطلب: المسار إلى القانون العام لحماية البيانات (GDPR).