دليل التوافق مع اللائحة العامة لحماية البيانات من ActPro
تلتزم Vanderbilt Industries بالامتثال الكامل للوائح الأوروبية العامة لحماية البيانات كما تم تقديمها في مايو 2018.
تمكّن حلول ومنتجات Vanderbilt العملاء من إدارة البيانات الشخصية ومعالجتها بطريقة تلبي متطلبات GDPR. يهدف هذا الدليل إلى مساعدة ودعم عملائنا في تقييم استعدادهم للوفاء بمسؤولياتهم والتزاماتهم تجاه اللوائح الجديدة.
نظرة عامة
حماية البيانات هي حق أساسي حيث يحق لكل شخص حماية البيانات الشخصية المتعلقة به أو بها. تسري اللائحة العامة لحماية البيانات (GDPR) اعتبارًا من 25 مايو 2018 وهي مصممة لمنح الأفراد مزيدًا من التحكم في بياناتهم الشخصية. هناك مجموعة واحدة من القواعد للاتحاد الأوروبي بأكمله، والتي يمكن استكمالها في بعض المجالات بالتشريعات الوطنية.
تفرض اللائحة العامة لحماية البيانات (GDPR) التزامات على الشركات أو المنظمات التي تجمع البيانات الشخصية وتستخدمها وتعالجها. يقع في صميم اللائحة العامة لحماية البيانات (GDPR) شرط أن تتحلى المنظمات والشركات بالشفافية الكاملة بشأن كيفية استخدام البيانات الشخصية وحمايتها، وأن تكون قادرة على إثبات المساءلة عن أنشطة معالجة البيانات الخاصة بها. يجب معالجة هذه البيانات بشكل عادل لأغراض محددة وعلى أساس موافقة الشخص المعني أو أي أساس شرعي آخر ينص عليه القانون.
بينما تقدم Vanderbilt للعملاء وظائف منتجات مرنة وبديهية لتسهيل الامتثال للوائح الجديدة، لا تقوم منظمة Vanderbilt بجمع البيانات الشخصية الموجودة داخل منتجات Vanderbilt المحلية أو التحكم فيها أو استخدامها أو معالجتها. لذلك، فإن دور ومسؤولية وحدة التحكم ومعالج البيانات الشخصية هي ضمان الامتثال للالتزامات المنصوص عليها في اللائحة العامة لحماية البيانات.
إذا كان لديك أي شك أو غير متأكد من هوية وحدة التحكم في البيانات و/أو معالج البيانات، في أي حال، يجب عليك استشارة المستشار القانوني الخاص بك.
ما هي البيانات الشخصية؟
يعني مصطلح «البيانات الشخصية» أي معلومات تتعلق بشخص حي تم تحديده أو التعرف عليه.
يمكن تحديد الشخص إذا كان من الممكن تحديد هويته بشكل مباشر أو غير مباشر باستخدام «معرف». تقدم اللائحة العامة لحماية البيانات (GDPR) أمثلة على المعرفات، بما في ذلك الأسماء وأرقام التعريف وبيانات الموقع. يمكن التعرف على الشخص أيضًا بالرجوع إلى العوامل الخاصة بهويته، مثل العوامل المادية أو الجينية أو الثقافية.
البيانات الشخصية التي تم إلغاء تحديدها أو تشفيرها أو تسميتها باسم مستعار ولكن يمكن استخدامها لإعادة تحديد هوية الشخص تظل بيانات شخصية وتندرج ضمن نطاق اللائحة العامة لحماية البيانات. إذا تم جعل البيانات الشخصية مجهولة بطريقة لا يمكن من خلالها تحديد هوية الفرد، فإن هذه البيانات لا تعتبر بيانات شخصية. لكي تكون البيانات مجهولة المصدر حقًا، يجب أن يكون إخفاء الهوية أمرًا لا رجعة فيه.
يحمي القانون البيانات الشخصية بغض النظر عن التكنولوجيا أو الطريقة المستخدمة لمعالجة تلك البيانات - فهو ينطبق على كل من المعالجة الآلية واليدوية. لا يهم أيضًا كيفية تخزين البيانات الشخصية - في نظام تكنولوجيا المعلومات أو من خلال المراقبة بالفيديو أو على الورق؛ في جميع الحالات، تخضع البيانات الشخصية لمتطلبات الحماية المنصوص عليها في اللائحة العامة لحماية البيانات.
ما الذي يشكل معالجة البيانات؟
تغطي المعالجة مجموعة واسعة من العمليات التي تتم على البيانات الشخصية، بما في ذلك بالوسائل اليدوية أو الآلية. وهي تشمل جمع البيانات الشخصية أو تسجيلها أو تنظيمها أو هيكلتها أو تخزينها أو تكييفها أو تغييرها أو استرجاعها أو استشارتها أو استخدامها أو الكشف عنها عن طريق الإرسال أو النشر أو إتاحتها أو مواءمتها أو دمجها أو تقييدها أو محوها أو إتلافها.
تنطبق اللائحة العامة لحماية البيانات (GDPR) على معالجة البيانات الشخصية كليًا أو جزئيًا بالوسائل الآلية وكذلك على المعالجة غير الآلية، إذا كانت جزءًا من نظام حفظ منظم.
هل أنا مراقب بيانات أو معالج بيانات؟
وحدة التحكم في البيانات هي الفرد أو الشخص الاعتباري الذي يتحكم ويتحمل مسؤولية حفظ المعلومات الشخصية واستخدامها على جهاز كمبيوتر أو في ملفات يدوية منظمة. إن كونك مراقبًا للبيانات يحمل مسؤولياته القانونية، لذلك يجب أن تكون واضحًا تمامًا إذا كانت هذه المسؤوليات تنطبق عليك أو على مؤسستك.
إذا كنت أنت أو مؤسستك تتحكم في البيانات الشخصية التي تحتفظ بها وتتحمل المسؤولية عنها، أي تقرر المعلومات الشخصية التي سيتم الاحتفاظ بها والاستخدام الذي سيتم استخدام المعلومات فيه، فأنت أو مؤسستك هي وحدة تحكم البيانات.
تشمل الأمثلة على الحالات التي يكون فيها مراقب البيانات فردًا الممارسين العامين والصيادلة والسياسيين والتجار الوحيدين، حيث يحتفظ هؤلاء الأفراد بمعلومات شخصية عن مرضاهم وعملائهم وناخبيهم وما إلى ذلك.
إذا كنت أنت أو مؤسستك تحتفظ بالبيانات الشخصية، ولكن بعض الأفراد أو المنظمات الأخرى تقرر ما يحدث للبيانات وتتحمل المسؤولية عنها، فإن هذا الفرد أو المؤسسة الأخرى هي المتحكم في البيانات، وأنت أو مؤسستك هي «معالج البيانات».
تتضمن أمثلة معالجات البيانات شركات الرواتب والمحاسبين وشركات أبحاث السوق، والتي يمكنها جميعًا الاحتفاظ بالمعلومات الشخصية أو معالجتها نيابة عن شخص آخر.
ما هي الموافقة على البيانات وهل أحتاج إلى النظر فيها؟
من أجل معالجة البيانات الشخصية بشكل قانوني، يجب على المنظمات والشركات تحديد وتوثيق الأساس القانوني للقيام بذلك منذ البداية. تتضمن بعض الطرق القانونية لمعالجة البيانات ما يلي:
- موافقة الفرد: الموافقة مناسبة إذا عُرض على الأفراد الاختيار الحقيقي والتحكم في كيفية استخدام بياناتهم.
- الاهتمامات الحيوية: المعالجة ضرورية لحماية المصالح الحيوية للفرد، على سبيل المثال إذا كان ذلك ضروريًا لحماية حياة شخص ما.
- الامتثال الذي ينطوي على التزام قانوني: يمكن معالجة البيانات، على سبيل المثال، إذا كان ذلك مطلوبًا بموجب قانون الاتحاد الأوروبي لغرض معين.
- عقد مع الفرد: المعالجة ضرورية لأداء عقد مع فرد، على سبيل المثال لتوريد السلع أو الخدمات التي تم طلبها
إذا كان لديك أي شك بشأن ما إذا كنت قد حصلت على موافقة كافية لمعالجة البيانات الشخصية، يجب عليك استشارة المستشار القانوني الخاص بك.
ما هو عقد معالجة البيانات وهل أحتاج إلى النظر فيه؟
إذا كنت تحتفظ بالبيانات الشخصية (معالج البيانات) أو تعالجها (أدخلتها أو تحريرها أو صيانتها) نيابة عن عميلك (وحدة التحكم في البيانات)، فستحتاج إلى عقد معالجة البيانات. نوصي بالحصول على مشورة قانونية لضمان أن العقد يعالج الأمان المناسب وضمانات حماية البيانات الأخرى. وكجزء من ذلك، ننصح العملاء بالحصول على قائمة مرجعية بشأن معالجة البيانات وتسليم نظام الأمان.
تعرف على دورك ومسؤوليتك
من الواضح أن القانون يتغير إلى GDPR وهذا يجب أن يؤخذ في الاعتبار في تخطيط نظام الأمان. يجب تحديد ومعالجة المجالات التي قد تسبب مشاكل الامتثال بموجب اللائحة العامة لحماية البيانات. بموجب اللائحة العامة لحماية البيانات (GDPR)، يحق للأفراد الحصول على معلومات واضحة تتعلق باستخدام بياناتهم.
الخطوة العملية الأولى هي تحديد دورك ومسؤوليتك فيما يتعلق باللائحة العامة لحماية البيانات. هل أنت وحدة تحكم بيانات أو معالج بيانات أو كليهما؟ إذا كان لديك أي شك أو غير متأكد من هوية وحدة التحكم في البيانات و/أو معالج البيانات، في أي حال، يجب عليك استشارة المستشار القانوني الخاص بك.
الخطوة الثانية هي أن تصبح مسؤولاً. ضع في اعتبارك جميع البيانات الشخصية التي تتعامل معها عند العمل مع نظام الأمان وفحصها تحت العناوين التالية:
- ما البيانات الشخصية المخزنة؟
- ما هو الأساس القانوني الذي تستند إليه معالجة البيانات الشخصية؟
- أين يتم تخزين البيانات؟
- كيف تتم حماية البيانات؟
- ما هي مدة الاحتفاظ بالبيانات؟
- ما هي سياسة التعامل مع طلبات الوصول إلى البيانات الفردية؟
- ما هي العملية إذا طلب شخص ما إزالته من النظام؟
- من لديه حق الوصول إلى البيانات؟
- هل يتم نقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية؟
ActPro واللائحة العامة لحماية البيانات
توضح المعلومات التالية كيف يمكن استخدام نظام Vanderbilt ActPro لتسهيل الامتثال للائحة العامة لحماية البيانات.
ما البيانات الشخصية المخزنة؟
لا يلزم تخزين أي بيانات شخصية حتى يعمل نظام ActPro بشكل صحيح.
ما هو الأساس القانوني الذي تستند إليه معالجة البيانات الشخصية؟
يتم التحكم في إدخال البيانات والحفاظ عليها من قبل وحدة تحكم البيانات ومعالج البيانات في الموقع. على هذا النحو، تقع على عاتق وحدة التحكم في البيانات و/أو معالج البيانات مسؤولية ضمان الحصول على الأساس القانوني لمعالجة البيانات الشخصية.
لا توجد إجراءات صريحة مضمنة في برنامج ActPro للحصول على موافقة المستخدم أو تسجيلها.
أين يتم تخزين البيانات؟
يتم تخزين البيانات في قاعدة بيانات ActPro الموجودة على الخادم وفي النسخ الاحتياطية. يمكن أن تكون هناك بعض البيانات الشخصية المخزنة في وحدات تحكم النظام (الأسماء) ولكن يمكن إيقاف تشغيلها من قبل مالك النظام.
كيف تتم حماية البيانات؟
للوصول إلى محتوى قاعدة بيانات ActPro، يتم استخدام برنامج العميل (ACT Manage أو Monitor أو Install). تسجيل الدخول، البرنامج محمي بكلمة مرور.
نحن لا نقوم بتشفير البيانات الشخصية. قد يختار المستخدم النهائي فرض التشفير بنفسه، على مستوى قاعدة البيانات (SQL Server أو SQL Compact).
لا يمكن لموظفي Vanderbilt الوصول إلى نظام العميل ما لم يتم منحهم ذلك عبر تسجيل الدخول عن بُعد.
ما هي مدة الاحتفاظ بالبيانات؟
في ActPro، يتم الاحتفاظ ببيانات حامل البطاقة طالما كان الشخص بحاجة إلى بطاقة. يمكن تحديد تواريخ انتهاء صلاحية البطاقة، ولكن على مستخدم النظام الترتيب لحذف بيانات حامل البطاقة عند انتهاء صلاحيتها. تقدم Vanderbilt تقرير انتهاء صلاحية البطاقة لتسهيل هذه العملية.
لدينا ميزة لمسح أحداث السجل التي مضى عليها أكثر من فترة محددة من الأشهر، والتي يمكن تخصيصها من قبل المستخدم. افتراضيًا، يتم عقد الأحداث إلى الأبد.
عند حذف حامل البطاقة، لا يقوم النظام افتراضيًا بحذف أحداث السجل ذات الصلة. ولكن يمكن تغيير ذلك لحذف أحداث السجل عند حذف المستخدم.
ما هي سياسة التعامل مع طلبات الوصول إلى البيانات الفردية؟
في حالة تقديم الطلب، تقع على عاتق وحدة التحكم في البيانات و/أو معالجي البيانات مسؤولية تحديد السياسة وتوفير البيانات في الوقت المناسب وفقًا للوائح GDPR.
هناك العديد من التقارير المتاحة في ActPro لتفصيل المعلومات المحفوظة حول الفرد، مثل أحداث السجل الأخيرة، بما في ذلك طريقة تصدير تلك البيانات إلى تقارير PDF القياسية أو ملفات CSV.
ما هي العملية إذا طلب شخص ما إزالته من النظام؟
في حالة تقديم الطلب، تقع على عاتق وحدة التحكم في البيانات و/أو معالجي البيانات مسؤولية تحديد السياسة وإزالة البيانات في الوقت المناسب وفقًا للوائح GDPR.
يمكن للمستخدم النهائي حذف بيانات حامل البطاقة يدويًا من نظام ActPro. لا يقوم النظام افتراضيًا بحذف بيانات أحداث السجل المرتبطة. ولكن هناك إعداد يمكنه تغيير هذا الإعداد الافتراضي بحيث يتم أيضًا حذف أحداث السجل للمستخدمين المحذوفين معهم.
من لديه حق الوصول إلى البيانات؟
تقع على عاتق وحدة التحكم في البيانات و/أو معالج البيانات مسؤولية الكشف عن من لديه حق الوصول إلى البيانات الشخصية على نظام ActPro المثبت على الموقع. وحدة التحكم في البيانات و/أو معالج البيانات مسؤولة عن إنشاء هذه العمليات وإنفاذها.
لدى Enterprise نظام لمستخدمي DB لمنح حقوق برنامج العميل لأشخاص محددين. يتم تدقيق جميع عمليات الوصول إلى النظام، بما في ذلك عمليات تسجيل الدخول والتغييرات في بيانات المستخدم والإجراءات.
هل يتم نقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية؟
في وضع التشغيل العادي، لا تتم مشاركة بيانات مستخدم ActPro خارج النظام. تقع على عاتق وحدة التحكم في البيانات و/أو معالج البيانات مسؤولية الكشف عما إذا كان النظام قد تم تكوينه بطريقة تنقل البيانات خارج المنطقة الاقتصادية الأوروبية.
.webp)