قواعد جديدة للعمل مع البيانات الشخصية للأوروبيين

يمكن للمواقع التي تعمل مع عملاء من دول الاتحاد الأوروبي أن تحصل مؤخرًا على غرامات تصل إلى 20 مليون يورو إذا لم تبدأ في الامتثال للوائح الجديدة المتعلقة بالبيانات الشخصية للناتج المحلي الإجمالي. لا يوجد ضحايا بعد ، لكن هذا ليس سببا لخرق القانون. أفضل آمنة :-)

اللائحة العامة لحماية البيانات (GDPR) هي تنظيم خارج الحدود الإقليمية يحمي أمن البيانات لجميع مواطني الاتحاد الأوروبي. إذا قمت بجمع أو تخزين أو معالجة البيانات الشخصية (بما في ذلك ملفات تعريف الارتباط) لعميل واحد على الأقل من أوروبا ، فيجب عليك الامتثال للوائح بغض النظر عن مكان تسجيل الشركة والشركة.

إذا كان لديك موقع يعمل بشكل حصري في روسيا ، فلا تقلق بشأن الامتثال لمتطلبات الناتج المحلي الإجمالي. ومع ذلك ، يجب ألا ننسى أن 152-FZ "على البيانات الشخصية" سارية المفعول في روسيا (دخلت النسخة المحدثة حيز التنفيذ في 1 يوليو 2017) ، والتي تكرر إلى حد ما متطلبات إجمالي الناتج المحلي وتقييد العمل بالمعلومات الشخصية للعملاء.

الذي يحتاج إلى سياسة الخصوصية على الموقع وكيفية تطويره

ما هي البيانات الشخصية

لا يتم توفير قائمة محددة من المعلومات التي تعتبر بيانات شخصية في أي مكان. البيانات الشخصية هي أي معلومات عن شخص ما ، والتي يمكن استخدامها لتحديد هويته بشكل مباشر أو غير مباشر.

المبادئ الأساسية للتنظيم وحقوق موضوعات البيانات الشخصية

باختصار ، يمكن صياغة جميع القواعد باعتبارها انفتاحًا واحترامًا للمعلومات الشخصية لعملائك. فيما يلي خمسة مبادئ أساسية:

  • مبدأ الشرعية والعدالة والشفافية: أعلن صراحة جميع طرق جمع ومعالجة البيانات الشخصية في سياسة الخصوصية الخاصة بك.
  • مبدأ الحد من الهدف: أشر بوضوح إلى سبب قيامك بجمع هذه البيانات.
  • مبدأ قيود التخزين: حدد فترة الاستبقاء - لا يمكن تخزين البيانات الشخصية لفترة أطول مما تحتاج لتحقيق الأهداف المشار إليها.
  • مبدأ تقليل البيانات: يسمح بجمع الحد الأدنى الضروري فقط لأغراضك.
  • مبدأ النزاهة والسرية والدقة البيانات التي تم جمعها. يجب أن تكون البيانات صحيحة وسرية.

وبالتالي ، يتمتع كل مقيم في دول الاتحاد الأوروبي بعدد من الحقوق التي يجب عليك احترامها:

  • معرفة البيانات الشخصية التي يتم جمعها (والتي ولأي غرض ولأي مدة سيتم تخزينها) ؛
  • طلب منهم من الشركة ؛
  • المطالبة بحذف جميع البيانات (ما يسمى الحق في النسيان).

ماذا يجب أن يفعل صاحب الموقع؟

  1. تحقق من أن نظام CRM الذي تستخدمه يوفر الحقوق الأساسية لعملائك ، أي أنه يتيح لك:
    • تقديم معلومات حول البيانات الشخصية التي تم جمعها ،
    • تعديلها وتكميلها ؛
    • حذف البيانات عند الطلب.

ومن المثير للاهتمام ، هناك شيء اسمه "الحق في قابلية نقل البيانات" (الحق في قابلية نقل البيانات). هذا يعني أنه بناءً على طلب موضوع البيانات الشخصية ، يجب عليك نقل جميع بياناته إلى مؤسسة ثالثة - وهذا يبسط نقل العميل من شركة إلى أخرى. كن مستعدا لهذا.

  1. تحذير من جمع المعلومات. يكفي وضع لوحة بها نص في أسفل الصفحة بروح "نحن نجمع ملفات تعريف الارتباط لتخصيص المحتوى على الموقع. ومواصلة استخدام الموقع ، فإنك توافق على ذلك."

هنا ، على سبيل المثال ، كيف يحذر Meduza من استخدام ملفات تعريف الارتباط. رابط يؤدي إلى المقال.

  1. طلب تأكيد لإرسال المراسلات. في التسويق عبر البريد الإلكتروني يسمى هذا التقيد المزدوج. بإرسال رسالة تحتوي على نص "انقر فوق الزر لتأكيد الموافقة على الرسالة الإخبارية" ، فإنك تتلقى موافقة المستخدم بشكل صريح وتثبت أنك تلقيت هذه الرسالة الإلكترونية بأمانة (ولم تشتر ، على سبيل المثال ، قاعدة بيانات البريد العشوائي).

هنا هو معيار التقيد المزدوج Mailchimp:

  1. اطلب من المستخدمين الموافقة على جمع البيانات الشخصية. يتطلب إجمالي الناتج المحلي أن يمنح المستخدمون موافقتهم على معالجة البيانات الشخصية بشكل واضح (كما في المثال أعلاه). للقيام بذلك ، ضع علامة بجوار نموذج جمع البيانات ، والنقر فوق الذي يوافق المستخدم على معالجة بياناته الشخصية. يرجى ملاحظة أنه لا يمكن الضغط على مربع الاختيار هذا افتراضيًا - يجب على المستخدم القيام بذلك بنفسه.
  1. الإبلاغ عن فقدان البيانات. يجب مراقبة البيانات الشخصية لعملائك وتخزينها بعناية فائقة في مكان آمن. إذا وصلت البيانات إلى جهات خارجية لم تكن مخصصة لها (تم الاختراق أو التسرب بسبب الإهمال أو الإهمال أو فقدته بأي طريقة أخرى) ، يجب عليك إبلاغ المستخدمين بذلك في غضون خمسة أيام. بالطبع ، لن يكون هذا حدثًا كبيرًا ، حيث تم تسريب Facebook على Facebook في مارس ، ولكن لا يزال هناك الكثير من المرح.

ماذا سيحدث لعدم الامتثال

كما هو الحال مع أي انتهاكات ، سيتم النظر في شدة وعدد الضحايا والأسباب. يمكن أن تصل الغرامة القصوى لمخالفة التنظيم إلى عشرين مليون يورو ، أو 4٪ من حجم مبيعات الشركة السنوي. ومع ذلك ، لا تقع على الفور في حالة من الذعر - وهذا هو المستوى الأقصى الذي لن يتم تطبيقه على الانتهاك الأول. لأول مرة ، من المرجح أن يتم تحذيرك ويُطلب منك جعل كل شيء يتماشى مع اللوائح. يمكنك أيضًا الحصول على حظر أو تقييد على معالجة البيانات الشخصية ، وفقط كملجأ أخير (وليس بالضرورة ملايين الدولارات).

بالإضافة إلى ذلك ، قد يؤدي عدم الامتثال للقوانين إلى ضرب سمعتك وثقتك في الشركة. لا أحد يريد الاشتراك في النشرة الإخبارية الخاصة بك ، ثم يتلقى محتوى غير مفهوم من مؤسسات الطرف الثالث.

لحماية حقوق المستخدمين في كل بلد من بلدان الاتحاد الأوروبي ، تم إنشاء سلطات خاصة لحماية البيانات (DPA) ، ويجب على الدول غير التابعة للاتحاد الأوروبي تعيين ممثل في أوروبا سيتفاعل مع DPA. لم يتم الكشف عن تفاصيل العمل مع البلدان التي لم ترشح ممثلًا لها. كما أنه ليس معروفًا تمامًا كيف ستتحمل الشركات خارج الاتحاد الأوروبي مسؤولية الانتهاكات. لكن من المهم أن نفهم أنه على الرغم من هذا الغموض ، لا ينبغي تجاهل القواعد.

لا توجد سوابق لهذا القانون. ومع ذلك ، فمن الأفضل أن تفي بجميع الوصفات وأن تكون واثقًا بنفسك.

شاهد الفيديو: النظام الأوروبي لحماية البيانات العامة ما الذي يجب معرفته (ديسمبر 2019).

Loading...

ترك تعليقك