للحفاظ على أمان بيانات المستهلك، نفذ الاتحاد الأوروبي (EU) قانونًا صارمًا للخصوصية والأمن يُعرف باسم  اللائحة العامة لحماية البيانات  (GDPR). تحدد اللائحة العامة لحماية البيانات حقوق مواطني الاتحاد الأوروبي فيما يتعلق ببياناتهم  الشخصية وتطبقها.  وتطبق معايير المساءلة والأمن والشفافية في استخدام تلك البيانات.

تحتاج الشركات العالمية التي تعمل في الاتحاد الأوروبي أو تتعامل مع البيانات الشخصية من الاتحاد الأوروبي إلى فهم  كيفية تأثير اللائحة العامة لحماية البيانات عليها  وكيفية الحفاظ على الامتثال للائحة العامة لحماية البيانات.

يتمثل أحد جوانب هذا الامتثال في تنفيذ اتفاقية معالجة  البيانات  (DPA).  تحدد اتفاقية معالجة البيانات بموجب اللائحة  العامة لحماية البيانات التفاصيل والقواعد والحقوق والالتزامات المرتبطة بأنشطة معالجة البيانات. فهو يساعد على ضمان امتثال الشركة، وتأمين البيانات، والحفاظ على حماية المستهلكين ورضاهم.

يقدم هذا الدليل نظرة عن كثب على كيفية عمل سلطات حماية البيانات وما يجب  تضمينه في هذه السلطة.

ما هو ملحق معالجة البيانات  بموجب اللائحة العامة لحماية البيانات؟

اتفاقية معالجة البيانات هي عقد موقّع بين مراقبي البيانات ومعالجي  البيانات  الذين سيتعاملون مع بياناتهم. وهو مطلوب للامتثال الكامل للائحة العامة لحماية البيانات.

يحدد ملحق معالجة البيانات طبيعة أنشطة المعالجة التي ستتم والغرض منها ومدتها. كما يحدد نوع البيانات الشخصية التي ستتم معالجتها وفئات الأفراد الذين تنتمي إليهم البيانات. وهو يحدد الحقوق والالتزامات التي سيتمتع بها المراقب. ويمكنه تحديد استخدام تدابير الأمان الفنية، مثل مستوى معين من التشفير، التي يجب أن تكون مطبقة.

يُعد ملحق معالجة البيانات ملزمًا قانونًا، ويجب على مراقب البيانات والمعالج الالتزام به أو التعرض لعقوبات شديدة.

تتمثل الفائدة الرئيسية من ملحق معالجة البيانات في أنه يضمن مؤهلات وموثوقية معالج البيانات. تحتاج الشركات إلى معرفة أن بياناتها في أيدٍ أمينة وأنها خاصة وآمنة من أعين المتطفلين. يساعد ملحق معالجة البيانات على توفير هذه الضمانات.

من  المرجح أن يكون للائحة العامة لحماية البيانات ومتطلبات  ملحق معالجة البيانات الخاص بها آثار كبيرة على العمليات التجارية في المستقبل. قد تتغير المعاملات التجارية عندما يصبح جمع البيانات الشخصية أكثر محدودية، ويصبح الاتصال بشأن جمع البيانات وتخزينها ضروريًا، وتتطلب علاقات الموردين الخارجيين عقودًا أكثر صرامة.ستشعر الشركات  الفردية وإدارات الموارد البشرية التابعة لها بتأثيرات واسعة أثناء تكييف عملياتها للامتثال لمتطلبات اللائحة العامة لحماية البيانات.

يتمثل الجانب الإيجابي من متطلبات اللائحة العامة لحماية البيانات في أن الثقة قد تزدهر في مجال الأعمال مع زيادة ثقة الأشخاص في خصوصية بياناتهم وحمايتها.

متى تكون اتفاقية معالجة البيانات مطلوبة؟

هل تحتاج إلى اتفاقية لمعالجة البيانات؟ يمكنك إذا كنت تتعامل مع البيانات الشخصية داخل الاتحاد الأوروبي أو منه.

بموجب اللائحة العامة لحماية البيانات،  يكون مستند  ملحق معالجة البيانات إلزاميًا عندما يقدم شخص أو مؤسسة بيانات شخصية إلى مقدم خدمة خارجي لخدمة تعاونية. يجب على أي أطراف تعمل كمعالجي بيانات التوقيع على اتفاقيات معالج البيانات مع مراقبي  البيانات.

على سبيل المثال، في الاتحاد الأوروبي، يجب أن توقع الخدمة التي تستضيف موقعًا إلكترونيًا على ملحق معالجة البيانات مع الشركة التي ينتمي إليها الموقع الإلكتروني. يجب على الشركة التي تعالج البيانات الشخصية لتوفير التسويق المستهدف للمستهلك أيضًا التوقيع على ملحق معالجة البيانات.

فيما يلي العديد من خدمات وسيناريوهات الأعمال الشائعة الأخرى التي تتطلب اتفاقيات حماية البيانات:

  • تعهيد إدارة البريد الإلكتروني
  • حلول معالجة البيانات الفنية للمحاسبة المالية ومحاسبة الرواتب
  • خدمات النسخ الاحتياطي للبيانات، إما عبر الخوادم المادية أو في السحابة
  • جمع البيانات أو رقمنتها من خلال مقدم خدمة خارجي
  • التخلص من الأجهزة القديمة التي تحتوي على بيانات حساسة

في بعض الحالات، قد تتطلب اللائحة العامة لحماية البيانات اتفاقيات حماية البيانات  للشركات خارج أوروبا. يدخل هذا المتطلب حيز التنفيذ في أي وقت يتم فيه تضمين بيانات الاتحاد الأوروبي. على سبيل المثال، قد تخضع الشركة الموجودة في كندا لمتطلبات قانون حماية البيانات إذا تعاملت مع البيانات المتعلقة بمواطني الاتحاد الأوروبي.

متى لا يكون ملحق معالجة البيانات مطلوبًا؟

لا تتطلب العديد من السيناريوهات المحددة اتفاقيات معالجة البيانات. فهي تحتوي على وسائل حماية مدمجة تجعل حماية DPA غير ضرورية. ضع في اعتبارك ما يلي حتى تتمكن من فهم التزامات شركتك بشكل أفضل في هذه الظروف:

  1. الشراكات مع المجموعات المهنية التي لديها متطلبات سرية: في العديد من المهن، تتمثل أفضل الممارسات في أن يكون لدى مقدمي الخدمات اتفاقيات سرية مخصصة خاصة بالصناعة تغطي جميع التدابير الأمنية ومتطلبات الخصوصية التي قد يتطلبها ملحق حماية البيانات. تشمل بعض المهن التي تستخدم اتفاقيات السرية هذه بشكل عام القانون والاستشارات الضريبية والتدقيق المالي. تأتي العديد من خدمات الرعاية الصحية عادةً مع ضمانات السرية الصارمة الخاصة بها.
  2. خدمات البوابة الإلكترونية: عادةً ما تُعفى الخدمات التي تربط الأشخاص أو الكيانات فقط من متطلبات ملحق معالجة البيانات. تُعد خدمات المطابقة المهنية هذه مؤقتة للغاية لدرجة أن ملحق معالجة البيانات سيكون له فائدة ضئيلة. يندرج القائمون بالتعيين ضمن هذه الفئة، على سبيل المثال. فهم فقط يربطون الأشخاص الذين يبحثون عن عمل مع الشركات التي تبحث عن أعضاء جدد موهوبين في الفريق. يجعل هذا السيناريو من DPA مع مسؤول التوظيف أمرًا غير ضروري.
  3. العمل مع وكالات تحصيل الديون: يمكن لوكالات تحصيل الديون الوصول إلى المعلومات المالية الشخصية والمعلومات الطبية. ونظرًا لأن وكالات التحصيل منفصلة عن الدائنين الأصليين وتقوم بتحصيل الدين لتحقيق مكاسب خاصة بها، فإنها معفاة من متطلبات اتفاقية تأجيل الملاحقة القضائية. وإذا كانوا يعملون نيابة عن الدائنين الأصليين، فسيتعين على وكالات التحصيل التوقيع على اتفاقيات تأجيل الملاحقة القضائية.
  4. إدارة البيانات المشتركة من شركات متعددة: في بعض الحالات، تعمل الشركات كمجموعة لإدارة مجموعة من البيانات. غالبًا ما يحدث هذا السيناريو عندما يكون لدى الشركات إمكانية وصول مشتركة إلى البيانات من الموردين أو المنتجات أو قادة المبيعات. على الرغم من أن الشركات قد تكون منافسة، إلا أنها تستخدم نفس البيانات لنفس الأغراض العامة. يعني مقياس استخدام البيانات هذا عمومًا أن ملحق معالجة البيانات ليس إلزاميًا.
  5. التجارب السريرية: لا تستخدم التجارب الصيدلانية السريرية واسعة النطاق عادةً أدوية DPA بسبب العديد من المساهمين الذين تنطوي عليهم.يتمتع  الأطباء ومراكز الأبحاث والرعاة جميعًا بإمكانية الوصول إلى بيانات المشارك، وجميعهم يعالجونها بشكل مختلف وفقًا لاحتياجاتهم. تخدم البيانات التي تم جمعها أيضًا بشكل عام أغراضًا مختلفة طوال التجربة السريرية. وفي ظل هذه الظروف، لا تنطبق اتفاقيات حماية البيانات عمومًا.

من هو مراقب البيانات؟

تتم كل اتفاقية DPA بين مراقب البيانات ومعالج البيانات. المتحكم في البيانات هو المؤسسة أو الفرد الذي يحدد كيفية معالجة البيانات الشخصية وسبب معالجتها. إذا قررت شركتك إرسال البيانات إلى طرف ثالث للنسخ الاحتياطي على خوادمها، فإن شركتك هي المتحكم في البيانات.

تتمثل الخاصية المميزة لمراقب البيانات في سلطة اتخاذ القرار. يتخذ مراقب البيانات قرارات شاملة حول أسباب جمع البيانات وطرق  معالجة البيانات الشخصية .

في معظم السيناريوهات، تكون الشركة أو المؤسسة هي المتحكم في البيانات. معالج البيانات هو كيان منفصل يتعاقد مع الشركة. قد يكون الفرد، مثل المالك الوحيد أو العامل لحسابه الخاص، مراقبًا للبيانات إذا اتخذ هذا الشخص قرارات بشأن جمع البيانات الشخصية ومعالجتها.

من هو معالج البيانات؟

معالج البيانات هو الطرف الثالث الذي يعالج البيانات الخاصة بمراقب البيانات. في السيناريو أعلاه، إذا قررت شركتك إرسال بياناتك للنسخ الاحتياطي، فإن الشركة التي تقدم خدمات النسخ الاحتياطي هي معالج البيانات.

يمكن أن يتخذ معالج البيانات العديد من الأشكال. وقد تكون شركة أو فردًا أو سلطة عامة. المعيار ذي الصلة هو ما إذا كان هذا الفرد أو الكيان يعالج البيانات نيابة عن مراقب البيانات أم لا.

ما الذي تتضمنه وثيقة معالجة البيانات؟

تحدد مواد 28-36 اللائحة العامة لحماية البيانات الالتزامات التعاقدية الإلزامية لمعالج البيانات  بموجب قواعد  DPA الخاصة باللائحة العامة لحماية البيانات. فيما يلي بعض بنود  ملحق معالجة البيانات المطلوبة:

1. تحليل شامل لتفاصيل معالجة البيانات

يجب أن يقدم ملحق معالجة البيانات تفاصيل شاملة حول كيفية حدوث كل جانب من جوانب معالجة البيانات. يجب أن يتضمن ملحق معالجة البيانات معلومات واضحة حول موضوعات مثل:

  • نوع البيانات الشخصية التي ستتم معالجتها
  • موضوع البيانات
  • فئات أصحاب البيانات
  • الغرض من المعالجة وطبيعتها
  • المدة المتوقعة لمعالجة البيانات
  • الأساس القانوني لمعالجة البيانات الشخصية
  • إعادة البيانات الشخصية أو حذفها في نهاية المعالجة

2. حقوق ومسؤوليات المتحكم في البيانات والمعالج

عند تحديد الحقوق والمسؤوليات لكلا الطرفين، تضمن سلطة حماية البيانات الوضوح بشأن من يتحكم في معالجة البيانات.

يجب أن ينص ملحق معالجة البيانات صراحةً على أنه يجب على معالج البيانات إجراء المعالجة وفقًا لرغبات ومواصفات مراقب البيانات. يجب أن يحدد أن المتحكم، وليس المعالج، يحتفظ بالتحكم الكامل في البيانات وما يحدث لها.

يجب على سلطة حماية البيانات توجيه معالج البيانات لمعالجة البيانات فقط وفقًا للتعليمات المباشرة لمراقب البيانات، مع الانحراف عن تلك التعليمات فقط عندما تتطلب قوانين الاتحاد الأوروبي أو إحدى قوانين الدول الأعضاء ذلك.

3. تدابير السرية المطلوبة لمعالج البيانات

يجب أن يحدد ملحق معالجة البيانات البروتوكولات التي يجب على معالج البيانات اتباعها لضمان سرية البيانات الشخصية.

على سبيل المثال، يجب أن يطلب معالج البيانات من الموظفين الدائمين والموظفين المؤقتين والمقاولين من الباطن التوقيع على اتفاقيات السرية قبل أن يتمكنوا من بدء معالجة البيانات الشخصية. وتكون المرة الوحيدة التي تصبح فيها اتفاقية السرية غير ضرورية هي عندما يتطلب التزام قانوني من المعالج بالفعل ضمان السرية.

4. البروتوكولات الفنية والتنظيمية المطلوبة لأمن المعلومات

يجب أن يحدد ملحق معالجة البيانات التدابير الأمنية التي يجب على معالج البيانات تنفيذها، بما في ذلك التدابير المماثلة عند الاقتضاء:

  • تشفير البيانات
  • الاسم المستعار للشخص موضوع البيانات
  • بروتوكولات لضمان سرية البيانات وتوافرها ومرونتها وأمنها في جميع أنظمة معالجة البيانات
  • عمليات استعادة الوصول إلى البيانات الشخصية بعد هجوم أو خرق
  • برنامج منتظم لاختبار وتقييم فعالية جميع التدابير الأمنية

قد يرغب العديد من المعالجين في الحصول على شهادات رسمية أو وضع مدونات قواعد سلوك رسمية تشهد على البروتوكولات التي تم تنفيذها. تساعد مثل هذه التدابير على توفير ضمانات بأن معالجة بياناتهم تتوافق تمامًا مع اللائحة العامة لحماية البيانات.

5. شروط أي عقود مقاولين من الباطن

كما يجب على سلطة حماية البيانات تحديد المتطلبات التي يجب على معالج البيانات فرضها على مقاوليه من الباطن. على سبيل المثال، يجب أن يتأكد المعالج من الالتزام بهذه القواعد وأفضل الممارسات:

  • توظيف المقاولين من الباطن فقط بموافقة صريحة وتصريح من مراقب البيانات
  • صياغة وتوقيع العقود التي تفرض نفس متطلبات أمن البيانات على المقاول من الباطن التي يجب على معالج البيانات نفسه اتباعها
  • ضمان امتثال المقاول من الباطن لمتطلبات حماية البيانات
  • إبلاغ مراقب البيانات بأي تغييرات تتضمن مقاولين من الباطن وإعطاء المراقب الوقت للرد

6. التزامات التعاون الخاصة بمعالج البيانات

يجب أن يحدد ملحق معالجة البيانات متى وكيف يجب أن يتعاون معالج البيانات مع مراقب البيانات. على سبيل المثال، يجب أن يتعاون معالج البيانات للمساعدة في حل طلبات الوصول إلى البيانات. يجب أن يتعاون المعالج أيضًا في حماية خصوصية الأشخاص موضوع البيانات وحقوقهم، لا سيما من خلال تلبية هذه المتطلبات:

  • ضمان أمن البيانات الشخصية
  • إخطار السلطات وأصحاب البيانات على الفور بانتهاكات البيانات الشخصية
  • إجراء تقييمات أثر حماية البيانات (DPIAs) حسب الحاجة
  • استشارة السلطات المعنية عند ظهور مخاطر جسيمة على البيانات

يجب أن يسمح معالج البيانات أيضًا لمراقب البيانات بإجراء عمليات تدقيق الامتثال أثناء المعالجة. أثناء عمليات التدقيق، يجب على المعالج أن يقدم على الفور إلى المراقب جميع المعلومات ذات الصلة لإثبات أنه قد استوفى التزاماته المتعلقة بالامتثال بموجب المادة 28 من اللائحة العامة لحماية البيانات.

كما أن أفضل الممارسات هي أن يحتفظ المعالج بسجلات لأنشطة المعالجة الخاصة به لإثبات الامتثال للائحة العامة لحماية البيانات.

ماذا يحدث بعد خرق البيانات بموجب ملحق معالجة البيانات؟

في حالة حدوث اختراق للبيانات، يجب على الشركات المعنية اتخاذ إجراءات محددة فورية. يجب على شركتك  إخطار السلطة الإشرافية ذات الصلة في غضون 72 ساعات  إذا كان الانتهاك يشكل مخاطر خطيرة.

إذا كان الانتهاك يشكل خطرًا كبيرًا جدًا على الأشخاص المتضررين، فيجب على شركتك عادةً إخطار هؤلاء الأفراد أيضًا. ومع ذلك، إذا كانت شركتك تطبق بالفعل بروتوكولات فعالة لتخفيف المخاطر الفنية والتنظيمية، فقد لا يكون من الضروري تقديم إخطار بذلك.

على سبيل المثال، تخيل أن شركة بطاقات ائتمان قد تعرضت لاختراق البيانات بسبب هجوم على الخوادم التي قامت بتخزين بياناتها فيها. فقد أصبحت المعلومات المالية الشخصية لعملائها عرضة للخطر. أصبحت أسماؤهم وعناوين منازلهم ومعلومات الاتصال الإضافية والتفاصيل المالية وتفاصيل أنواع المدفوعات التي قاموا بها على بطاقات الائتمان الخاصة بهم جميعها عامة.

ستحتاج الشركة التي تستضيف الخوادم إلى إخطار السلطات بالخرق في غضون 72 ساعات. كما ستحتاج إلى إخطار شركة بطاقة الائتمان.

من المرجح أن تحتاج الشركة إلى إبلاغ المستهلكين، لأن الإفصاح عن معلومات التعريف الشخصية الخاصة بهم قد يعرضهم للخطر.قد يؤدي  الانتهاك أيضًا إلى الإفصاح عن المعلومات الصحية الحساسة والمحمية للمستهلكين إذا كانوا قد قدموا مدفوعات طبية على بطاقات الائتمان الخاصة بهم.

ما هي عقوبات عدم الامتثال للائحة العامة لحماية البيانات؟ 

في حالة حدوث خرق للبيانات، ستخضع الشركة التي ثبت عدم امتثالها لإجراءات تأديبية. يتلقى الانتهاك المحتمل تحذيرًا فقط. قد تخضع حوادث عدم الامتثال المؤكدة لواحدة أو أكثر من هذه العقوبات:

  1. توبيخ رسمي
  2. حظر مؤقت أو دائم على معالجة البيانات
  3.  غرامة تصل إلى مليون يورو20 أو 4 بالمائة من إجمالي الإيرادات العالمية السنوية للشركة

تعيين متخصصين في أمن البيانات لفريقك مع Globalization Partners

عند بناء فرق دولية تركز على أمن البيانات، اعمل مع Globalization Partners. يمكن لفرقنا من المتخصصين مساعدتك على فهم لوائح اتفاقية معالجة  البيانات  التي تنطبق على شركتك.

يُعد وجود مسؤولي حماية البيانات وغيرهم من المهنيين القانونيين في فريقك أمرًا ضروريًا للحفاظ على امتثال  DPA. باعتبارك صاحب عمل عالمي مسجل (EOR)، يساعدك Globalization Partners على توظيف المواهب الدولية التي تحتاجها للنجاح ودفعها. نحن نأخذ خصوصية البيانات على محمل الجد، ويمكننا مساعدتك على الامتثال لقوانين العمل المحلية وتأمين معلوماتك السرية أثناء توسيع نطاق شركتك دوليًا.

في Globalization Partners، نساعدك على تسريع عمليات التوظيف. باستخدام  Global Employment Platform الكاملة، يمكنك تعيين أعضاء فريقك الجدد وتأهيلهم بنقرات قليلة فقط، مما يوفر الوقت ويبسط نهجك في مواجهة تحديات نمو الشركة الدولية.

اطلب عرضًا  اليوم، أو  اتصل بنا  لمعرفة المزيد عن توظيف متخصصي أمن البيانات من خلال منصتنا.

 

هل تستمتع بقراءة هذا؟
اتصل بنا