يُلزم الشركات غير المتوافقة بدفع غرامات تصل إلى 4% من العائدات أو 20 مليون يورو أيّهما أعلى

10 إجراءات للتوافق مع قانون حماية البيانات الأوروبي

قانون الاتحاد الأوروبي يطلب وضع إجراءات وبروتوكولات تحدّ من الوصول إلى البيانات الشخصية. أرشيفية

حدّد فريق من المحللين 10 إجراءات يجب على الشركات والمؤسسات والجهات العاملة في مجال تقنية المعلومات والإنترنت والمعلومات، ولها معاملات داخل أوروبا، القيام بها على الفور، للتوافق مع مواد قانون حماية البيانات العامة للاتحاد الأوروبي، المقرر سريانه رسمياً في 25 مايو الجاري، والذي يفرض التزامات جديدة ومتنوعة على أنشطة إنتاج وتداول ومعالجة وحماية البيانات على اختلاف أنواعها.

ويلزم القانون الشركات غير المتوافقة معه، بدفع غرامات تصل إلى 4% من العائدات، أو 20 مليون يورو أيّهما أعلى.

وقد أعدّ الإجراءات فريق محللين من ثلاثة مواقع متخصصة في التقنية، هي: BreakingModern.com وaNewDomain.net، وtechrepublic.com، وأشرف عليها المحلل في موقع «تيك ريبابليك»، مارك كالين.

وجاء تحديد هذه الاجراءات في ضوء تقارير تجري بين الشركات تشير إلى أن الاستعداد غير كافٍ، والشركات لم تنتهِ بعد من التوافق مع متطلبات القانون، ما يسبب الكثير من الهواجس والقلق والترقب.

تثقيف الموظفين

ويرى الفريق أن أول إجراء يتعين القيام به هو تثقيف كل موظف ومشرف، ومدير تنفيذي في الشركة، بماهية القانون ومواده، للتأكد من أنهم على دراية بدورهم في حماية البيانات في جميع أنحاء الشركة، ولماذا يعتبر الالتزام حيوياً لنجاح المؤسسة، وضرورة التعامل مع البيانات الشخصية على أنها أغلى الأصول التي تملكها المؤسسة، ويجب حمايتها والتعامل معها بحذر دائم.

بيانات الخصوصية

يعتبر قانون حماية البيانات العامة للاتحاد الأوروبي محدداً جداً في هذه النقطة، فهو يذكر أنه يجب على كل نشاط تجاري أن يعرف ما هي البيانات التي يتم جمعها، ولماذا يتم جمعها، وكيف تتم معالجتها، ومن الذي يجمعها. وللتوافق مع هذه المتطلبات يتعين إجراء مراجعة كاملة للمعلومات.

إجراءات وبروتوكولات

يطلب القانون وضع إجراءات وبروتوكولات تحدّ من الوصول إلى البيانات الشخصية، وتضع معايير الموافقة على التعامل معها، وتوفر إجراءات عملية بشأن حق الوصول إلى البيانات الشخصية وحذفها، وهذا معناه ضرورة وجود سياسات متطورة تتعامل مع كشف التسلل، وتصنيف البيانات، وحماية الخصوصية، وإدارة كلمات المرور، والتدقيق، والتسجيل، والتشفير، وغيرها.

طلبات الموافقة

أحد المبادئ والمفاهيم الرئيسة التي يأخذ بها القانون، هو مفهوم الحصول على موافقة واضحة على استخدام البيانات الشخصية من موضوعات البيانات نفسها، وفي هذه النقطة يفرض القانون على كل منظمة تجمع البيانات وتعالجها، أن تراجع طلبات الموافقة الحالية الخاصة بها، وتجري أي تعديلات ضرورية لتحقيق التوافق مع القانون، ومن ثم يجب على المؤسسة أو الشركة، الحصول على موافقة على هذه الطلبات بصورة واضحة لا لبس فيها.

الوصول إلى البيانات

بموجب القانون، يجب أن يكون واضع البيانات أو صاحبها الأصلي قادراً على طلب الوصول إلى بياناته، للتأكد من دقتها، وتقييم ما تم استخدامه من بياناته، ومراجعة كيفية معالجتها، ويجب أن يكون الأشخاص المعنيون بالبيانات قادرين على طلب نسخة إلكترونية من بياناتهم الشخصية التي يمكن نقلها إلى مؤسسة أخرى، وأن يكون صاحب البيانات قادراً على طلب حذف جميع بياناته الشخصية في الوقت المناسب، ولذلك على المؤسسة أن توفر الآليات التي تنفذ هذه المتطلبات على وجه السرعة، وإلا ستخضع للغرامات والعقوبات. وهذا حكم غير قابل للتفاوض.

الخصوصية حسب التصميم

يأخذ القانون بمبدأ الخصوصية حسب التصميم، أي وضع خصوصية البيانات بحسب تصميم المستند الواردة به، ويفرض هذا المبدأ أن تقوم المنظمات والجهات التي تجمع وتصنع البيانات الشخصية، بتصميم منتجات وخدمات وبنية تحتية للاتصالات العامة، مع مراعاة الخصوصية منذ بداية عملية التطوير، وهذا يعني أن كل مشروع تطوير يجب أن يحتوي على قسم يوضح التأثير الذي سيحدث على خصوصية البيانات نتيجة الطريقة المتبعة في تصميم المستندات.

إجراءات خروقات الأمن

يفرض القانون أن يكون لدى الشركات خطة شاملة لتحديد متى تتعرض البيانات الشخصية للخطر أو للسرقة بسبب الخروقات الأمنية، ويجب أن يكون لكل مشروع آلية للكشف عن التطفل وسياسة استجابة للحوادث للتخفيف من أي ضرر ناتج عن أي خرق أمني، ويجب أن يكون لدى الشركة إجراءات للتنبيه بالخروقات الأمنية، وأن يتضمن التنبيه معلومات حول البيانات التي تم اختراقها، وحين حدوثها، وحالة ضعف الأمان، ومعلومات حول كيفية حصول الأشخاص المعنيين بالبيانات على مزيد من المعلومات.

موظف حماية البيانات

يطلب القانون ـ في ظل ظروف معينة ـ أن تعيّن الشركة أو المؤسسة شخصاً مسؤولاً عن حماية البيانات، وأن يكون الأشخاص في هذا المنصب مسؤولين بشكل مستقل عن ضمان تنفيذ سياسات وإجراءات حماية البيانات واتباعها على جميع مستويات المؤسسة، ويعملون كجهة اتصال رئيسة للسلطات التي تحقق في الحوادث الأمنية، ومن المرجح أن يكون العثور على مرشحين مؤهلين لهذا المنصب عملية طويلة، لذا يطلب القانون من كل مؤسسة أن تعيّن على الاقل، سلطة حماية بيانات رئيسة مخصصة للمنظمة، بحيث يكون لدى المنظمين نقطة اتصال للمشروع.

تقييم التأثير

يطلب القانون من المؤسسات تنفيذ عمليات لتقييم تأثير إجراءات حماية البيانات على خصوصية وحماية البيانات الشخصية، وفحص أي تغييرات عملية سابقة أو تنفيذ عمليات جديدة لحماية الخصوصية، ويمكن أن يكشف إجراء التدقيق هذا عن مناطق ضعف في إجراءات الحماية القائمة، تؤثر في خصوصية البيانات والحماية.

الطرف الثالث

بموجب القانون، يمكن أن تتحمل المؤسسات المسؤولية عن الانتهاكات الأمنية التي تؤدي إلى بيانات شخصية تم اختراقها أثناء التحكم في البيانات أو معالجتها من قبل أطراف ثالثة تتعامل مع الشركة، ولذلك يجب على الشركات إجراء تقييم شامل لسياسات وإجراءات حماية البيانات التي تنفذها عند تعاملها مع أي متعاقدين أو شركاء أو أطراف ثالثة تتعامل معها، لأن القانون يعتبر أن الخروقات الأمنية التي تحدث أثناء التحكم في البيانات من قبل أطراف ثالثة غير متوافقة مع مواده، كافية لاعتبار مؤسستك غير متوافقة أيضاً.

استعداد غير كافٍ

أظهرت دراسة استقصائية حديثة أجرتها شركة «إف بوينت» للبحوث على 235 شركة متعددة الجنسيات، أن 60% من الشركات التي خضعت للتحليل، غير متوافقة كلياً مع القانون الجديد، وأكثر من ثلث المنظمات قالت إنه ليس لديها إطار أو إجراءات قائمة لتحديد وتصنيف المخاطر، وقال أكثر من نصف الشركات التي شملتها الدراسة إنها خصصت ميزانية إضافية للتوافق مع القانون، راوحت بين مئات الآلاف من الدولارات و50 مليون دولار.

تويتر