الانترنت

قانون الاتحاد الأوروبي لحماية بيانات المستخدمين GDPR

تعرف لائحة قانون الـGDPR و كل ما يخص الشريكات والمستخدمين العرب

GDPR

قانون الاتحاد الأوروبي لحماية بيانات المستخدمين

 

النظام الأوروبي لحماية البيانات العامة (بالإنجليزية: General Data Protection Regulation، إختصار: جي دي بي آر GDPR) هو نظام في قانون الاتحاد الأوروبي يختص بحماية البيانات والخصوصية لجميع الأفراد داخل الاتحاد الأوروبي. ويتعلق أيضا بتصدير البيانات الشخصية خارج الاتحاد الأوروبي. ويهدف نظام “جي دي بي آر” في المقام الأول لإعطاء المواطنين والمقيمين قدرة على التحكم والسيطرة بالبيانات الشخصية وتبسيط بيئة التنظيمات والقوانين للمشاريع التجارية الدولية من خلال توحيد التنظيم داخل الاتحاد الأوروبي.

الـ GDPR هو قانوني أوروبي لحماية بيانات المستخدمين من مواطني الاتحاد الأوروبي تم إصداره في برلمان الإتحاد الأوروبي عام 2016 ويشمل القانون كل الشركات و الأطراف التي تمارس اعمالها في أي دولة اوروبية منذ سنة 2016.

ولكن الجديد الذي حدث هو أنه بعد الفضائح المتتالية من إنتهاكات بيانات المستخدمين والتى كان أكبرها ماحدث من تسريب لبيانات مستخدمي الفيسبوك عن طريق تطبيقات الطرف الثالث أوما يعرف بفضيحة كامبريدج أناليتيكا، وأيضا إخفاء شركة UBER لما حدث من قرصنة لبيانات مستخدميها لمدة تقارب العام.

هذه الأسباب دفعت المفوضية الأوروبية لوضع تطويرات للقانون ليشمل أيضاً الشركات المتمركزة في بلدان أخرى و يستخدمها مواطني الاتحاد الأوروبي وهذه الشركات ستكون ملزمة بالإنصياع لقانون الـ GDPR، وهذا هو السبب في رسائل قبول السياسة الجديدة من طرف المستخدمين من جميع انحاء العالم .

 

 GDPR
GDPR

 

يقوم قانون الـ GDPR على مبدأ حماية المستخدمين الأوروبيين من تسريب بياناتهم أو استخدامها بأي شكل، إذ يفرض هذا القانون و بشكل صارم على أي شركة تتجسس على مستخدميها من الاتحاد الأوروبي التوقف عن فعل ذلك، و لها الحق فقط في استخدام المعلومات التي يوافق عليها المستخدم مثل الإسم او البريد الإلكتروني او البلد، و ليس لأي شركة الحق في معرفة أكثر من ذلك دون معرفة المستخدم مثل (العادات الشرائية – الطبقة الإجتماعية – التوجه الديني – التوجه العرقي) والعديد من البيانات الأخري.

كما ينص قانون الـ GDPR على أن تقوم الشركات بأخذ موافقة المستخدم على البيانات التى تحتاجها حيث يجب أن يطلع عليها المستخدم ويوافق عليها أو يرفض بعد الاطلاع، كما أن الشركة عليها أن تقوم بالتبليغ الفوري عن أي تسريب او إنتهاك لبيانات المستخدمين مباشرة للبرلمان الأوروبي والذي يعد المسؤول عن بيانات المستخدمين .

كما يذكر أن قواعد حماية البيانات الحالية تلقى بالمسئولية الكاملة على جهة «جمع البيانات» وهى الجهة التى تحدد لماذا وكيف يتم جمع البيانات الشخصية وليس جهة «معالجة البيانات» وهم هؤلاء الذين يقومون بتحليل البيانات والاستفادة منها. لكن قواعد GDPR ستفرض على جهات «معالجة البيانات» إتاحة تسليم البيانات أو إلغاءها عند طلب المستخدم ذلك.

وتلك النقطة بالذات سوف توجب على شركات مثل مايكروسوفت، واى بى إم، وأمازون، وجوجل، والتى تقوم بتخزين حجم ضخم من البيانات لصالح شركات صغيرة ومتوسطة فى أنحاء العالم إعادة هيكلة نظام العمل بها وحيث إن الكثير من العمل يتم من خلال الاستعانة بمصادر خارجية «outsourcing» ستصبح عملية إلغاء البيانات أكثر تعقيدا.

وعقوبات مخالفة هذا القانون تتلخص في أن أي شركة تقوم بأخذ بيانات أي مستخدم أوروبي دون موافقته سوف تتعرض لغرامة تصل إلي 20 مليون دولار أو 4% من إيرادات العام السابق لانتهاكها هذا القانون أيها أكثر مالياً وسيتم دفع الغرامة للإتحاد الأوروبي وذلك إلى جانب تعويض المستخدم المتضرر.

 

 GDPR
GDPR

 

 لائحة الـ (GDPR):

GDPR تعني لائحة حماية البيانات العامة(General Data Protection Regulation). وهي لائحة أو قانون أوروبي جديدة يغطي حقوق وآليات حماية البيانات، ويهدف هذا القانون إلى تحسين وتوحيد طريقة الحماية والتعامل مع البيانات الشخصية. وسيبداء تنفيذ هذا القانون في 25 مايو 2018، ويلغي جميع القوانين الاوربية السابقة ذات الصلة بحماية البيانات.

1) على من يتم التطبيق:

يتم تطبيق هذه السياسة والقانون على جميع الجهات والشركات أو المواقع الالكترونية في جميع أنحاء العالم التي تقدم بضائع أو خدمات أو إستهداف أو تعالج البيانات الشخصية لمواطني الاتحاد الأوروبي.

2) ما يترتب عند المخالفة:

عند مخالفة هذا القانون، قد يتم تغريم الجهه المخالفة والتي إنتهكت هذه اللوائح ما بين 2٪ إلى 4٪ من قيمة عائداتها السنوية، أو 20 مليون يورو، (يتم تطبيق أي الرقمين أعلى في حينه). ويمكن أن تؤدي المخالفات المتكررة للأنظمة والفشل في معالجة القضية إلى فرض غرامات أعلى تصل إلى 40 مليون يورو.

3) تعريف البيانات الشخصة:

تم توسيع تعريف البيانات الشخصية، حيث تعتبر بموجب هذه السياسة أن أي بيانات يمكن استخدامها لتحديد الفرد كبيانات شخصية. وهي تشمل ، لأول مرة ، أشياء مثل المعلومات الجينية أو العقلية أو الثقافية أو الاقتصادية أو الاجتماعية.

4) الموافقة على جمع البيانات:

تم التشديد على قواعد وآليات الحصول على موافقة صحيحة لاستخدام المعلومات الشخصية، حيث تحتاج الجهات المعنية (شركات او مواقع إلكترونية، أو حتى أشخاص) إلى التأكد من استخدام لغة بسيطة عند طلب الموافقة على جمع البيانات الشخصية، وتحتاج إلى أن تكون واضحة بشأن كيفية استخدام هذه المعلومات ، ويجب الفهم ان عدم إتخاذ خطوة لتحديد ذلك كالتجاوز عن سؤال الموافقة لم يعد يشكل موافقة ضمنية بشكل افتراضي.

5) حقوق الافراد:

يجب على الجهات تزويد الأفراد بمعلومات عادلة وشفافة حول طريقة معالجة واستخدام بياناتهم الشخصية.

لنكون أكثر تحديدًا، سيكون للأفراد الحقوق التالية:

*- الحق في أن يكون على علم بما يتم التعامل به في بياناتة الشخصية.

*- حق الوصول إلى البيانات الشخصية.

– الحق في تصحيح البيانات الشخصية.– الحق في الحذف والالغاء (أشير إليها بمصطلح “حق النسيان”)

*- الحق في تقييد وتحديد طريقة معالجة البيانات الشخصية.

*_ قابلية نقل البيانات الشخصية.

*_ الحق في الاعتراض.

*_ الحقوق المتعلقة باتخاذ القرارات الآلية وتحديد ملامح الملف الشخصي.

*_ يحق لمواطني الاتحاد الأوروبي التعامل مع من أي سلطة لحماية البيانات من اختيارهم في أي دولة من دول الاتحاد الاوروبي لتقديم الشكاوى والعروض القانونية ضد أي جهه او شركة او موقع بموجب هذا القانون.

6) فترة الاحتفاظ بالبيانات:

تطبيق مبداء تقليل فترة الاحتفاظ بالبيانات، الذي يتطلب من المنظمات عدم الاحتفاظ بالبيانات لفترة أطول من اللازم، وعدم تغيير استخدام البيانات من الغرض الذي تم تجميعها من أجله في الأصل، وفي نفس الوقت حذف أي بيانات بناء على طلب المستخدم أو جهة ما، وهذا يعني أن الجهات يجب ان تحصل على موافقة جديدة قبل أن تتمكن من تغيير الطريقة التي ستستخدم فيها البيانات التي تم جمعها.

7)تقديم مفهوم المكان الواحد أو الشامل:

في الماضي ، كانت آيرلندا مفضلة لدى الشركات الأمريكية الكبيرة، مثل قوقل، بسبب التساهل القانوني في موضوع سلطة حماية البيانات في هذه الدولة، نسبيا بالمقارنة مع بقية الدول، ولكن بوجب هذه السياسة والقوانين الجديدة ستسمح لأي سلطة حماية بيانات أوروبية باتخاذ إجراءات ضد أي جهه أو شركة، بغض النظر عن مكان الشركة في العالم، ولكن سيكون التعامل مع سلطة إشرافية واحدة فقط بدلاً من سلطات مختلفة لكل دولة في الاتحاد الأوروبي، وهذا سيجعل الأمر أبسط وأرخص للجهات، ولكن في الوقت نفسه، كما ذكرت انه يحق لمواطني الاتحاد الأوروبي التعامل مع من أي سلطة لحماية البيانات من اختيارهم في أي دولة من دول الاتحاد الاوروبي لتقديم الشكاوى والعروض القانونية ضد أي جهه او شركة او موقع بموجب هذا القانون.

8) الالتزام بالاعلان:

يجب الاعلان والابلاغ في حالة حدوث إختراق للبيانات الشخصية التي من المحتمل أن يكون لها آثار ضارة على الفرد من حيث المعلومات الشخصية او المالية…الخ، ويشمل ذلك إبلاغ سلطة حماية البيانات المحلية بواقعة انتهاك البيانات في غضون 72 ساعة من اكتشافها. وهذا يعني أن على الجهات أن تضمن امتلاكها للتقنيات والعمليات التي ستمكنها من اكتشاف خرق البيانات والاستجابة له.

9) توسيع المسؤولية:

تم توسيع المسؤولية عن هذه البيانات وما يترتب عليها خارج نطاق المتحكم بالبيانات، ففي الماضي، كانت الجهه التي تتحكم في البيانات هي فقط المسؤولة عن أنشطة معالجة البيانات، ولكن بموجب هذه القانون الجديد، ستمتد المسؤولية إلى جميع المنظمات التي تمس أو تتعامل مع البيانات الشخصية، مما يعني أنه حتى الجهات التي تقدم خدمات فقط وتتعامل مع البيانات الشخصية يجب أن تمتثل لقواعد مثل تقليل فترة الاحتفاظ بالبيانات إلى الحد الأدنى.

10) مسؤول حماية البيانات (DPO):

يجب من جميع الجهات المعنية بمعالجة المعلومات الشخصية أن تعين مسؤول أو جهة لحماية البيانات (“Data Protection Officer “DPO)، وذلك عندما تتطلب المراقبة المنتظمة والمنهجية لموضوعات البيانات على نطاق واسع للأنشطة الأساسية أو تكون المعالجة للبيانات على نطاق واسع لفئات البيانات الخاصة.

11) تقييم التأثير:

يجب على الجهه التي تتحكم او تدير البيانات الشخصية مراقبة وتقييم تأثير (Privacy Impact Assessments “PIAs”) ومتى تكون هناك مخاطر خرق للخصوصية، من أجل تقليل تلك المخاطر التي يتعرض لها الأفراد واصحاب تلك البيانات، وهذا يعني أنه قبل أن تتمكن أي جهه من البدء في مشاريع تتضمن معلومات شخصية، سيكون عليها إجراء تقييم مخاطر الخصوصية والعمل مع جهة الـ (DPO) لضمان التزامهم بهذه السياسات ضمن جميع مراحل المشاريع.

12) البرامج والأنظمة:

يجب على البرامج والأنظمة والعمليات المختلفة أن تراعي الامتثال لمبادئ وسياسات ولوائح حماية البيانات هذه، بمعنى، إن حذف المعلومات اصبح مؤكد، على سبيل المثال، من المعتاد ان البرامج حالياً لا تلغي البيانات بالكامل إلا بطرق ولاسباب معينة، ولكن في المستقبل، سيتعين على جميع البرمجيات أن تكون قادرة على محو البيانات بالكامل، الأمر الذي سيشكل تحديا للكثير من مهندسي البرمجيات.

 

 GDPR
GDPR

 

علاقة قانون الـ GDPR بالشركات والكيانات الكبرى في عالم الويب

تتحدث الإحصائيات علي أن 77 % من الشركات الأمريكية متعددة الجنسيات تستعد لإنفاق ما يزيد على مليون دولار لكل منها لغرض التوافق مع قانون GDPR، و7% ستنفق 10 ملايين دولار أو أكثر.

ووفقا لبرايس ووتر هاوس كوبرز فإن 32% من الشركات الأمريكية ستخفض وجودها فى الولايات المتحدة بسبب القواعد الجديدة لحماية البيانات، وحوالي 64% منها تخطط لإنشاء مراكز بيانات مركزية فى أوروبا لضمان الامتثال للقانون، ما يعنى زيادة استثماراتها هناك.

إن هذا القانون مخصص بشكل أكبر للشركات الكبرى مثل فيسبوك و جوجل، فهذه الشركات يعتمد نموذج العمل الخاص بها علي بيع البيانات الخاصة بالمستخدمين، والتي قد تكون حساسة أحيانا، ولا يقتصر الأمر على بيع البيانات فقط بل دراستها و إستغلالها لصالحها الشخصي من اجل تطوير برمجيات خاصة بها او لأغراض إعلانية

 

علاقة قانون الـ GDPR بالمستخدمين العرب

بمنتهي الصراحة أجيبك بانه لاعلاقة بنا كمستخدمين عرب للويب بهذا القانون فهو لن يفيدك في شيئ، فهو يهتم بالمستخدم الأوروبي ويعد بمثابة حصانة كاملة له على الإنترنت، حيث يوفر قانون الـ GDPR كل الأساسيات و الضروريات لحماية كل معلومة خاصة بالمستخدم الأوروبي لأي من الخدمات الرقمية كيفما كانت مثل فيسبوك، جوجل، تويتر، نظام Android و غيرها، و سيصير المستخدم الأوروبي قادرا على التحكم الكامل و التام في كل البيانات التي تأخذها الشركات الرقمية منه، و له الحق في الرفض او القبول، ويسمح له القانون بإمكانيه إستخدامه الخدمة بشكل عادي حتى في حالة الرفض، إذ يعطيه قانون الـ GDPR الحق في ذلك بشكل كامل.

Facebook Comments

مصطلحات البحث:

  • الاتحاد الأوروبي لحماية البيانات التنظيم
الوسوم
اظهر المزيد

Ahmed Negm

Ahmed Abdou Negm Graphic and Web Designer since 2009,writer and editor since 2011,Founder & Director DevField.Com

اترك رد

This site uses Akismet to reduce spam. Learn how your comment data is processed.

إغلاق
إغلاق