مهم كل ما تودّ معرفته عن اللائحة العامّة لحماية البيانات GDPR

المصدر: كل ما تودّ معرفته عن اللائحة العامّة لحماية البيانات GDPR
في منتدى : منتدى أخبار الأمن والحماية

كل ما تود معرفته عن اللائحة العامة لحماية البيانات GDPR
الأمن المعلوماتي, General Data Protection Regulations



،’

اللهّمّ لك الحمد حمدًا كثيرًا طيبًّا مباركًا فيه؛
ملء السّماوات و ملء الأرض، و ملء ما بينهما،
و ملء ما شئت من شيء بعد.
/

كل ما تود معرفته عن اللائحة العامة لحماية البيانات GDPR
General Data Protection Regulation


،’

::​

كل ما تود معرفته عن اللائحة العامة لحماية البيانات GDPR

::

ربما سمعت عن مصطلح GDPR المنتشر على مواقع الإنترنت في الفترة الأخيرة،
وهو فعلًا موضوع مهم يتعلق بحماية خصوصية المستخدمين على الإنترنت،
اللائحة العامة لحماية البيانات GDPR هي قانون خصوصية صادر عن الاتحاد الأوروبي؛
لمنح المواطنين القدرة على التحكم في بياناتهم الشخصية،
وسيؤثر على كيفية تعامل مواقع الإنترنت كلها مع بيانات المستخدمين،
ومع دخول لائحة GDPR حيز التنفيذ يوم 25 مايو 2018 ؛
يوجد الكثير من الأسئلة الأساسية؛ التي تعصف بأذهاننا ومنها:
​

• ما هي اللائحة العامة لحماية البيانات GDPR؟​
• هل ستؤثر لائحة GDPR على المستخدمين العاديين للإنترنت أم الشركات فقط؟​
• ما الذي أحتاج إلى القيام به للامتثال لقوانين لائحة GDPR؟​
• ما هي العقوبات التي ستطبق في حال انتهاك قوانين لائحة GDPR؟​

على الرغم من أن اللائحة العامة لحماية البياناتGDPR تشمل المستخدمين في دول الإتحاد الأوروبي،
ولكن العديد من الكيانات غير الأوروبية التي تستخدم خدمات الإعلان على الإنترنت ستتأثر بأحكامها وقوانينها.
وللحصول على معلومات إضافية حول اللائحة العامة لحماية البيانات GDPR،
وآثارها المترتبة على نشاطك التجاري، يتوجب عليك التواصل مع قسم الشؤون القانونية؛
في شركتك أو المستشارين القانونيين الذين تتعامل معهم.

وبالفعل دخلت لائحة GDPR حيز التنفيذ ويجب أن تعطيها بعض الوقت لفهم قواعدها وقوانينها،
وتحديد ما إذا كنت تريد إجراء تغييرات على طريقة عملك أو على موقعك على الويب،
ومعرفة الغرامات المالية التي ستطبق في حالة انتهاك قوانينها.



::

كل ما تود معرفته عن اللائحة العامة لحماية البيانات GDPR

1- ما هي اللائحة العامة لحماية البيانات GDPR؟
GDPR اختصار لـ General Data Protection Regulation، وهي مجموعة من القوانين والقواعد تتعلق بالخصوصية،
تم وضعها من قبل الإتحاد الأوروبي تمت الموافقة عليها في 14 من نيسان/ أبريل 2016 من قِبل المفوضية الأوروبية؛
لحماية حقوق جميع مواطني الاتحاد الأوروبي -وهم الـ 28 دولة الأعضاء-
وبياناتهم الشخصية، ليحل محل التوجيه رقم 95/46/EC الصادر عن البرلمان الأوروبي بتاريخ 24 أكتوبر 1995 ؛
بشأن حماية الأفراد فيما يتعلق بمعالجة البيانات الشخصية،
وبشأن حرية حركة تلك البيانات، وهو أوسع بكثير من قانون Cookie لعام 2011 (سيتم استبداله؛
قريباً بقانون EU ePrivacy الأوروبي الجديد الذي يسير جنباً إلى جنب مع GDPR). تم وضع خطة الطرح؛
للائحة لمدة عامين مع تحديد الموعد النهائي للتطبيق في كافة الدول الأوروبية يوم 25 مايو/أيار 2018.

تعتبر لائحة حماية البيانات العامة للاتحاد الأوروبي GDPR التغيير الأكثر أهمية في تنظيم خصوصية البيانات؛
خلال 20 عامًا حيث أنها التغيير الأكبر المتعلق بخصوصية البيانات في بريطانيا منذ عام 1998.

2- ماذا تتضمن اللائحة العامة لحماية البيانات GDPR؟
تنطبق اللائحة على أي بيانات شخصية (أي بيانات تُساعد في تحديد هوية شخص ما).

البيانات الشخصية تعني أي معلومات لها صلة بشخص تم التعرف على هويته بشكل مباشر أو غير مباشر،
على وجه الخصوص بالرجوع إلى مُعرف شخصي مثل الاسم ورقم الضمان الاجتماعي وبيانات الموقع ،
والمعرّف عبر الإنترنت (عنوان IP أو عنوان البريد الإلكتروني) أو لواحد أو أكثر من العوامل الخاصة بالهوية البدنية ،
أو الفسيولوجية أو الجينية أو العقلية أو الاقتصادية أو الثقافية أو الاجتماعية لهذا الشخص، حيث تهدف اللائحة؛
إلى منح المستخدم تحكم كامل في بياناته، ولن تتمكن الشركات؛
من الحصول على أي بيانات من المستخدم بدون موافقة مسبقة منه (حسب المادة رقم 4)

تنطبق اللائحة على أي بيانات شخصية حساسة مثل الجنسية،
والأصل العرقي، والحالة الصحية (حسب المادة رقم9)

الموافقة و القبول:

لابد أن يكون هناك موافقة صريحة من المستخدم قبل جمع بياناته وأيضًا قبل استخدام البيانات،
ويشترط أن تكون الموافقة واضحة و يتم إيصالها للمُستخدم بلغة يفهمها دون أي خدع أو كلمات؛
تحمل أكثر من معنى وتوضح سبب وجيه لمعالجة المعلومات الشخصية أو تخزينها.

مسح البيانات:

يسمح للمستخدمين أن يطلبوا مسح معلوماتهم الشخصية بالكامل (ما لم يكن هناك سبب وجيه مثل قرض مصرفي).
يشار إليه أيضًا باسم الحق في أن يُنسى –right to be forgotten– (حسب المادة رقم 17). حيث تقوم الشركات؛
مجبرة بتنفيذ الطلب و تقوم بمسح البيانات وإذا كانت هذه البيانات تستخدم فى مواقع أخرى تقوم الشركات؛
بإرسال الطلبات لهم لمسح محتوى و بيانات المستخدم بناءاً على رغبته.

الحق في المعرفة:

يمنح الأشخاص الحق في معرفة المعلومات التي يتم تخزينها عنهم، وفيما سيتم استخدامها،
وكل ذلك بعد الحصول على موافقة صريحة منهم بعمل ذلك.

الخصوصية حسب التصميم والإعداد الافتراضي:

تتأكد من أن المعلومات الشخصية محمية بشكل صحيح. يجب أن يكون لدى الأنظمة الجديدة حماية مصصمة بالأساس؛
على إمكانية التحكم في الوصول إلى البيانات بشكل صارم ويتم منحها فقط عند الحاجة إليها.

في حالة فقدان البيانات أو سرقتها أو الوصول إليها دون إذنك: يجب إخطار السلطات في غضون 72 ساعة (حسب المادة 33) ؛
جنبا إلى جنب مع الأشخاص الذين تم الوصول إلى البيانات الخاصة بهم (حسب المادة 34).

لا يمكن استخدام البيانات إلا للسبب المقدم في وقت جمعها ويتم حذفها بشكل آمن بعد عدم الحاجة إليها.

الحق في الوصول إلى البيانات وإمكانية نقلها:

يمكن لأي شخص أن يطلب بياناته الشخصية في صيغة يمكن تنزيلها بسهولة في أي وقت،
ويمكنه أيضًا استخدام البيانات أو نقلها إلى أي موقع أو خدمة أخرى. (حسب المادة 20)

يُسمح للسلطات الوطنية بفرض غرامات على الشركات التي تنتهك اللائحة.

ستكون موافقة الوالدين مطلوبة لمعالجة البيانات الشخصية للأطفال تحت سن 16 عامًا للخدمات عبر الإنترنت؛
وقد تختلف حسب حالة العضو ولكنها لن تقل عن 13 عامًا (حسب المادة 8).

3- على من تُؤثر اللائحة العامة لحماية البيانات GDPR؟
حينما تم تصميم قواعد وقوانين لائحة GDPR الجديدة كان الهدف الأساسي منها هو حماية حقوق مواطني الاتحاد الأوروبي،
إلا أنها أصبحت تؤثر بشكل أساسي على جميع مستخدمي مواقع الإنترنت بلا استثناء، هذا بغض النظر عن مكان؛
تأسيس النشاط التجاري أو مكان عقد أنشطته عبر الإنترنت. إذا كان موقعك الإلكتروني يعالج البيانات،
أو يجمعها من مواطني الاتحاد الأوروبي، فيجب عليك الالتزام بقوانين لائحة GDPR.

فيما يلي بعض الأمثلة على مواقع الويب التي تقع خارج الاتحاد الأوروبي والتي ستتأثر باللائحة الجديدة:

• موقع مجتمع الووردبريس WordPress Community Site، والذي يجمع معلومات شخصية لكل مستخدم.
• متجر قوالب ووردبريس WordPress Theme Shop، والذي يشترك فيه العملاء من خلال حساباتهم؛
  لشراء قوالب أو إضافات، حيث يحصل على بيانات المبيعات والفوترة.
• مدونة ووردبريس WordPress Blog، والتي تحتوي على أداة للاشتراك في النشرة الإخبارية أو تسمح للزائرين بالتعليق.
• حلول التجارة الإلكترونية مثل ووكومرس WooCommerce، هي إضافة للتجارة الإلكترونية؛
  متاحة بشكل مجاني على الووردبريس وتسيطر على تشغيل 30% من جميع المتاجر الإلكترونية،
• أو Easy Digital Downloads الذي يبيع المنتجات عبر الإنترنت.
• موقع ووردبريس الذي يستخدم برمجيات للتحليلات Analytics Software.

وبناء على ذلك ربما يمكنك أن ترى إلى أين نحن ذاهبون مع لائحة البيانات الجديدة، حيث لن يكون تطبيقها مفروضًا ؛
على المواقع التابعة للاتحاد الأوروبي فقط وإنما سخضع موقعك لقواعد وقوانين لائحة البيانات الجديدة GDPR.

إذا كنت تتساءل عما إذا كانت شركتك متوافقة بالفعل مع اللائحة العامة لحماية البيانات GDPR:
فإن فريق العمل في شركة Mailjet الفرنسية قام بإنشاء اختبارًا خاصًاللتحقق من التوافق مع GDPR ؛
في متناول الجميع. كما نوصي بالرجوع إلى قائمة التحقق من قوانين وقواعد اللائحة.

ما هي عواقب عدم الامتثال لـ اللائحة العامة لحماية البيانات GDPR؟

إذا كان نشاطك التجاري لا يتوافق مع لائحة GPDR، فستتعرض لعقوبات تصل إلى 4% من قيمة المبيعات السنوية؛
في جميع أنحاء العالم أو فرض غرامات مالية تصل إلى 20 مليون يورو في حالة الانتهاك.
هناك أيضا نهج متدرج للغرامات على سبيل المثال يمكن تغريم الشركة بنسبة 2% لعدم وجود سجلات البيانات؛
التي تم جمعها عند الطلب وعدم إخطار السلطة المشرفة وحقوق موضوع البيانات بحدوث اختراق،
أو عدم وجود إجراءات مباشرة لتقييم آثار الاختراقات. (حسب المادة 83)، لذلك إذا كنت تملك متجرًا صغيرًا للتجارة الإلكترونية،
أو مطورًا في الوردبريس، فقد تكون هذه الغرامات مدمرة لنشاطك!



4- كيف تجعل موقعك على الووردبريس متوافق مع اللائحة العامة لحماية البيانات GDPR؟

لسوء الحظ ليس هناك برنامج تعليمي نقدمه لك ليوضح لك خطوة بخطوة كيف يصبح موقعك؛
متوافقًا مع اللائحة لأن طبيعية كل موقع تختلف عن غيره من حيث المتطلبات. لكن إليك بعض الاقتراحات؛
للوصول إلى الطريق الصحيح، بالإضافة إلى أشياء إضافية يجب أن تكون على دراية بها:

قم بتعيين محامِِ

إذا كانت لديك أية مخاوف بشأن الامتثال للائحة GDPR (وهو ما سيحدث على الأرجح) ،
فإننا ننصح دائمًا بتعيين محامٍ حتى لو كان ذلك مؤقتًا. لأن هذا الأمر أحد الأمور التي نحثك بشدة على عدم؛
محاولة التعامل معها بمفردك. حيث ﯾﻣﮐن ﻟﻟﻣﺣﺎﻣﻲ أن ﯾزودك ﺑﻣﺷورة ﻗﺎﻧوﻧﯾﺔ ﻣﺻﻣﻣﺔ ﺧﺻﯾﺻًﺎ لموقفك.
لإنك إذا ارتكبت خطأ ما سيؤدي ذلك إلى دفع غرامات كبيرة.

مراجعة جمع البيانات الخاصة بك ومعالجة سير العمل:
ننصح بالانتقال إلى موقع الوردبريس وتحديد مكان جمع البيانات ومعالجتها،
وكذلك مكان تخزين تلك المعلومات، وطول المدة. وهذا يشمل أشياء مثل:

• جمع المعلومات الشخصية على صفحة الدفع بموقع تجارة إلكترونية أو صفحة تسجيل الووردبريس.
• عناوين IP ومعرفات ملفات تعريف الارتباط ومواقع GPS.
• خدمات متنوعة أخري مثل Google Analytics وHotjar وغيرهم.

بعد تحديد كل هذه الأمور يجب عليك التأكيد على أنك تطلب إذن الزائر،
بالإضافة إلى الكشف عن كيفية استخدام البيانات التي تم جمعها.

5- تأثير لائحة GDPR على مطوري الووردبريس:

بدأ كل من ديجليج لاما وبيتر سام العمل على مشروع يُسمى GDPR for WordPress.
والذي سيزود مطوري الإضافات بحل بسيط للتحقق من توافقها مع لائحة GDPR ،
ويقدم لمديري مواقع الويب نظرة عامة وأدوات للتعامل مع المهام الإدارية المتضمنة.
ومع ذلك فإن الأخبار العظيمة هي أن كل هذا أصبح الآن جزءًا جوهريًا في الووردبريس.

يمكنك الآن متابعة GDPR Trac tickets بالإضافة إلى roadmap for GDPR compliance ؛
لتحقيق التوافق مع GDPR، وهذا أمر مهم لمستخدمي ووردبريس كما هو الحال بالنسبة للمطورين،
حيث سيحتاج مستخدمو الووردبريس إلى ميزات جديدة مدمجة في الإضافات التي يستخدمونها بالفعل مثل:
مربعات الاختيار والتوجيهات وما إلى ذلك للتأكد من توافقهم مع اللائحة عند جمع البيانات.

تحديث جميع الوثائق القانونية:

مع اللائحة العامة لحماية البيانات GDPR، حان الوقت الآن لتحديث صفحات الشروط والأحوال،
وصفحات الخصوصية وشروط الوسيط، بالإضافة إلى أي مستندات أو اتفاقيات قانونية أخرى قد تكون لديك.
لم يعد بإمكانك استخدام النماذج بدون مربعات الاختيار، ما لم تكن جميعها خاضعة لمعالجة قانونية،
وبعبارة أخرى يجب أن يكون هناك طريقة للحصول على موافقة صريحة من المستخدم،
لقد انتهت أيام وضع الشروط في رابط في الجزء السفلي من الموقع وافتراض أن المستخدم سوف يقرأها.

تم تعزيز شروط الموافقة حيث لن تكون الشركات قادرة على استخدام شروط غير قانونية طويلة،
بل يجب تقديم طلب الموافقة بشكل واضح ويمكن الوصول إليه بسهولة،
مع ذكر الغرض من معالجة البيانات المرتبطة بتلك الموافقة. يجب أن تكون الموافقة واضحة ويمكن تمييزها عن الأمور الأخرى.

إذا كنت تدير مدونة بسيطة فاستخدم على الأقل أداة مثل iubenda أو شيئًا مماثلاً لإنشاء سياسات خصوصية واضحة.

تمت إضافة ميزة جديدة لصفحة الخصوصية في WordPress 4.9.6،
حيث يمكنك الآن تعيين صفحة خصوصية على موقعك وستظهر على صفحات تسجيل الدخول والتسجيل الخاصة بك،
نوصي أيضًا بوضعها في تذييل الصفحة الخاص بك.

6- عرض نقل البيانات

وفقا للمادة رقم 20 في اللائحة أي شركة أو موقع يقوم بجمع بيانات عن المستخدمين،
يجب أن توفر أيضًا القدرة لهم على تنزيلها والتعديل عليها أو نقلها إلى مكان آخر.

يمكن أن يدخل المستخدم على البيانات التى يقوم الموقع بجمعها عنه بما فيه الاسم والبريد الإلكتروني،
والـ IP وكل المعلومات الأخرى ويمكنه أيضا أن يقوم بتحميل هذه المعلومات فى صيغة مناسبة مثل:
Excel sheet بصيغة csv أو أي طريقة أخرى لنقل البيانات، يمكن للمستخدم بعد الدخول إلى بياناته؛
أن يقوم بتعديلها وتكون البيانات المعدلة هي البيانات التي يحتفظ بها الموقع عنه.​

.....................................

...................................

كل ما تود معرفته عن اللائحة العامة لحماية البيانات GDPR

~ تمّ؛ بحمدِ اللهِ تعالى.

المَصدر/ البوابة العربية للأخبار التّقنيّة.

.....................................



​