دليل الامتثال للائحة العامة لحماية البيانات (GDPR) باللونين الأزرق الساطع والأزرق الفاتح
تمكّن حلول ومنتجات Vanderbilt العملاء من إدارة البيانات الشخصية ومعالجتها بطريقة تلبي متطلبات GDPR. يهدف هذا الدليل إلى مساعدة ودعم عملائنا في تقييم استعدادهم للوفاء بمسؤولياتهم والتزاماتهم تجاه اللوائح الجديدة.
نظرة عامة
حماية البيانات هي حق أساسي حيث يحق لكل شخص حماية البيانات الشخصية المتعلقة به أو بها. تسري اللائحة العامة لحماية البيانات (GDPR) اعتبارًا من 25 مايو 2018 وهي مصممة لمنح الأفراد مزيدًا من التحكم في بياناتهم الشخصية. هناك مجموعة واحدة من القواعد للاتحاد الأوروبي بأكمله، والتي يمكن استكمالها في بعض المجالات بالتشريعات الوطنية.
تفرض اللائحة العامة لحماية البيانات التزامات على الشركات أو المنظمات التي تجمع البيانات الشخصية وتستخدمها وتعالجها. يقع في صميم اللائحة العامة لحماية البيانات (GDPR) شرط أن تتحلى المنظمات والشركات بالشفافية الكاملة بشأن كيفية استخدام البيانات الشخصية وحمايتها، وأن تكون قادرة على إثبات المساءلة عن أنشطة معالجة البيانات الخاصة بها. يجب معالجة هذه البيانات بشكل عادل لأغراض محددة وعلى أساس موافقة الشخص المعني أو أي أساس شرعي آخر ينص عليه القانون.
بينما تقدم Vanderbilt للعملاء وظائف منتجات مرنة وبديهية لتسهيل الامتثال للوائح الجديدة، لا تقوم مؤسسة Vanderbilt بجمع البيانات الشخصية الموجودة داخل منتجات Vanderbilt المحلية أو التحكم فيها أو استخدامها أو معالجتها. لذلك، فإن دور ومسؤولية وحدة التحكم ومعالج البيانات الشخصية هي ضمان الامتثال للالتزامات المنصوص عليها في اللائحة العامة لحماية البيانات.
إذا كان لديك أي شك أو غير متأكد من هوية وحدة التحكم في البيانات و/أو معالج البيانات، في أي حال، يجب عليك استشارة المستشار القانوني الخاص بك.
ما هي البيانات الشخصية؟
يعني مصطلح «البيانات الشخصية» أي معلومات تتعلق بشخص حي تم تحديده أو التعرف عليه.
يمكن تحديد الشخص إذا كان من الممكن تحديد هويته بشكل مباشر أو غير مباشر باستخدام «معرف». تقدم اللائحة العامة لحماية البيانات (GDPR) أمثلة على المعرفات، بما في ذلك الأسماء وأرقام التعريف وبيانات الموقع. يمكن التعرف على الشخص أيضًا بالرجوع إلى العوامل الخاصة بهويته، مثل العوامل المادية أو الجينية أو الثقافية.
البيانات الشخصية التي تم إلغاء تحديدها أو تشفيرها أو تسميتها باسم مستعار ولكن يمكن استخدامها لإعادة تحديد هوية الشخص تظل بيانات شخصية وتقع ضمن نطاق اللائحة العامة لحماية البيانات. إذا تم جعل البيانات الشخصية مجهولة بطريقة لا يمكن من خلالها تحديد هوية الفرد، فإن هذه البيانات لا تعتبر بيانات شخصية. لكي تكون البيانات مجهولة المصدر حقًا، يجب أن يكون إخفاء الهوية أمرًا لا رجعة فيه.
يحمي القانون البيانات الشخصية بغض النظر عن التكنولوجيا أو الطريقة المستخدمة لمعالجة تلك البيانات - فهو ينطبق على كل من المعالجة الآلية واليدوية. لا يهم أيضًا كيفية تخزين البيانات الشخصية - في نظام تكنولوجيا المعلومات أو من خلال المراقبة بالفيديو أو على الورق؛ في جميع الحالات، تخضع البيانات الشخصية لمتطلبات الحماية المنصوص عليها في اللائحة العامة لحماية البيانات.
ما الذي يشكل معالجة البيانات؟
تغطي المعالجة مجموعة واسعة من العمليات التي تتم على البيانات الشخصية، بما في ذلك بالوسائل اليدوية أو الآلية. وهي تشمل جمع البيانات الشخصية أو تسجيلها أو تنظيمها أو هيكلتها أو تخزينها أو تكييفها أو تغييرها أو استرجاعها أو استشارتها أو استخدامها أو الكشف عنها عن طريق الإرسال أو النشر أو إتاحتها أو مواءمتها أو دمجها أو تقييدها أو محوها أو إتلافها.
تنطبق اللائحة العامة لحماية البيانات (GDPR) على معالجة البيانات الشخصية كليًا أو جزئيًا بالوسائل الآلية وكذلك على المعالجة غير الآلية، إذا كانت جزءًا من نظام حفظ منظم.
هل أنا مراقب بيانات أو معالج بيانات؟
وحدة التحكم في البيانات هي الفرد أو الشخص الاعتباري الذي يتحكم ويتحمل مسؤولية حفظ المعلومات الشخصية واستخدامها على جهاز كمبيوتر أو في ملفات يدوية منظمة. تتحمل وحدة التحكم في البيانات مسؤولياتها القانونية، لذلك يجب أن تكون واضحًا تمامًا إذا كانت هذه المسؤوليات تنطبق عليك أو على مؤسستك.
إذا كنت أنت أو مؤسستك تتحكم في البيانات الشخصية التي تحتفظ بها وتتحمل المسؤولية عنها، أي تقرر ما هي المعلومات الشخصية التي سيتم الاحتفاظ بها والاستخدام الذي سيتم استخدام المعلومات فيه، فأنت أو مؤسستك هي وحدة تحكم البيانات.
تشمل الأمثلة على الحالات التي يكون فيها مراقب البيانات فردًا الممارسين العامين والصيادلة والسياسيين والتجار الوحيدين، حيث يحتفظ هؤلاء الأفراد بمعلومات شخصية عن مرضاهم وعملائهم وناخبيهم وما إلى ذلك.
إذا كنت أنت أو مؤسستك تحتفظ بالبيانات الشخصية، ولكن بعض الأفراد أو المنظمات الأخرى تقرر ما يحدث للبيانات وتتحمل المسؤولية عنها، فإن هذا الفرد أو المؤسسة الأخرى هي وحدة التحكم في البيانات، وأنت أو مؤسستك هي «معالج البيانات».
تتضمن أمثلة معالجات البيانات شركات الرواتب والمحاسبين وشركات أبحاث السوق، والتي يمكنها جميعًا الاحتفاظ بالمعلومات الشخصية أو معالجتها نيابة عن شخص آخر.
ما هي الموافقة على البيانات وهل أحتاج إلى النظر فيها؟
من أجل معالجة البيانات الشخصية بشكل قانوني، يجب على المنظمات والشركات تحديد وتوثيق الأساس القانوني للقيام بذلك منذ البداية. تتضمن بعض الطرق القانونية لمعالجة البيانات ما يلي:
- موافقة الفرد: الموافقة مناسبة إذا عُرض على الأفراد الاختيار الحقيقي والتحكم في كيفية استخدام بياناتهم.
- الاهتمامات الحيوية: المعالجة ضرورية لحماية المصالح الحيوية للفرد، على سبيل المثال إذا كان ذلك ضروريًا لحماية حياة شخص ما.
- الامتثال الذي ينطوي على التزام قانوني: يمكن معالجة البيانات، على سبيل المثال، إذا كان ذلك مطلوبًا بموجب قانون الاتحاد الأوروبي لغرض معين.
- عقد مع الفرد: المعالجة ضرورية لأداء عقد مع فرد، على سبيل المثال لتوريد السلع أو الخدمات التي تم طلبها
إذا كان لديك أي شك بشأن ما إذا كنت قد حصلت على موافقة كافية لمعالجة البيانات الشخصية، يجب عليك استشارة المستشار القانوني الخاص بك.
ما هو عقد معالجة البيانات وهل أحتاج إلى النظر فيه؟
إذا كنت تحتفظ بالبيانات الشخصية (معالج البيانات) أو تعالجها (أدخلتها أو تحريرها أو صيانتها) نيابة عن عميلك (وحدة التحكم في البيانات)، فستحتاج إلى عقد معالجة البيانات. نوصي بالحصول على مشورة قانونية لضمان أن العقد يعالج الأمان المناسب وضمانات حماية البيانات الأخرى. وكجزء من ذلك، ننصح العملاء بالحصول على قائمة مرجعية بشأن معالجة البيانات وتسليم نظام الأمان.
تعرف على دورك ومسؤوليتك
من الواضح أن القانون يتغير إلى GDPR وهذا يجب أن يؤخذ في الاعتبار في تخطيط نظام الأمان. يجب تحديد ومعالجة المجالات التي قد تسبب مشاكل الامتثال بموجب اللائحة العامة لحماية البيانات. بموجب اللائحة العامة لحماية البيانات (GDPR)، يحق للأفراد الحصول على معلومات واضحة تتعلق باستخدام بياناتهم.
الخطوة العملية الأولى هي تحديد دورك ومسؤوليتك فيما يتعلق باللائحة العامة لحماية البيانات. هل أنت وحدة تحكم بيانات أو معالج بيانات أو كليهما؟ إذا كان لديك أي شك أو غير متأكد من هوية وحدة التحكم في البيانات و/أو معالج البيانات، في أي حال، يجب عليك استشارة المستشار القانوني الخاص بك.
الخطوة الثانية هي أن تصبح مسؤولاً. ضع في اعتبارك جميع البيانات الشخصية التي تتعامل معها عند العمل مع نظام الأمان وفحصها تحت العناوين التالية:
- ما البيانات الشخصية المخزنة؟
- ما هو الأساس القانوني الذي تستند إليه معالجة البيانات الشخصية؟
- أين يتم تخزين البيانات؟
- كيف تتم حماية البيانات؟
- ما هي مدة الاحتفاظ بالبيانات؟
- ما هي سياسة التعامل مع طلبات الوصول إلى البيانات الفردية؟
- ما هي العملية إذا طلب شخص ما إزالته من النظام؟
- من لديه حق الوصول إلى البيانات؟
- هل يتم نقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية؟
أزرق فاتح/أزرق فاتح وGDPR
توضح المعلومات التالية وظائف نظام Vanderbilt الأزرق اللامع/الأزرق الفاتح v5.x فيما يتعلق بالامتثال للائحة العامة لحماية البيانات.
ما البيانات الشخصية المخزنة؟
البيانات الشخصية الوحيدة المطلوبة لسجل حامل البطاقة باللون الأزرق الفاتح/الفاتح هي الاسم الأخير ومعرف الشارة المشفرة، على الرغم من أنه من المحتمل جمع بيانات إضافية. الاسم الأول والحرف الأوسط اختياريان. يمكن استخدام الحقول القابلة للتعريف من قبل المستخدم لإدخال البيانات الشخصية المختلفة على النحو المحدد من قبل المستخدم النهائي (العميل).
ما هو الأساس القانوني الذي تستند إليه معالجة البيانات الشخصية؟
يتم تحديد الأساس القانوني الذي يتم من خلاله الحصول على البيانات الشخصية ومعالجتها من خلال سياسات وإجراءات المستخدم النهائي.
أين يتم تخزين البيانات؟
يتم إدخال البيانات وامتلاكها من قبل المستخدم النهائي ويتم تخزينها محليًا على وحدة التحكم، أو في النسخ الاحتياطية والمحفوظات التي يمكن حفظها في مكان آخر وإدارتها من قبل المستخدم النهائي. لا يسمح النظام بمعرفات مشفرة مكررة.
كيف تتم حماية البيانات؟
يتطلب النظام الأزرق الفاتح/الخفيف تسجيل دخول محمي بكلمة مرور للوصول إلى قاعدة البيانات.
يمكن تقييد أذونات الوصول إلى 3 مستويات، حيث يمكن منح حقوق قاعدة البيانات حسب دور المسؤول والمدير والمشغل.
لا تستطيع Vanderbilt الوصول إلى بيانات العملاء ما لم يتم منحها إذنًا محددًا وإمكانية الوصول عن بُعد للدعم الفني.
ما هي مدة الاحتفاظ بالبيانات؟
تقوم أداة قاعدة البيانات باللون الأزرق الفاتح/الخفيف تلقائيًا بحفظ 5 نسخ احتياطية (1 يوميًا) إلى وحدة التحكم. النسخ الاحتياطية هي FIFO ويمكن تنزيلها وحفظها في مكان آخر بواسطة المستخدم إذا رغب في ذلك. بالإضافة إلى النسخ الاحتياطية، يتم تخزين الأرشيفات أيضًا على اللوحة. لكل مليون معاملة/حدث سجل، يتم إنشاء أرشيف وتخزينه. الحد الأقصى لملفات الأرشيف التي يمكن تخزينها هو 12.
يمكن «حذف» سجلات حامل البطاقة والبيانات الشخصية المرتبطة بها (أي وضع علامة للحذف/إخفائها) من البرنامج على الفور، ولكن لا يتم حذف بيانات حامل البطاقة بالكامل حتى يتم حذف آخر معاملة مرتبطة به (حدث السجل). يتم حذف المعاملات بعد أن تصل قاعدة البيانات إلى مليون معاملة (ثم يتم حذفها مرة أخرى إلى 500000). الأرشيفات (حتى 12) هي FIFO حيث يعتمد طول التخزين على حجم النظام ونشاطه.
ما هي سياسة التعامل مع طلبات الوصول إلى البيانات الفردية؟
هناك تقارير محددة مسبقًا لحامل البطاقة والوصول والتدقيق يمكن تشغيلها وطباعتها و/أو تصديرها بتنسيق CSV وعرضها بتنسيقات منظمة مثل Excel و PDF.
ما هي العملية إذا طلب شخص ما إزالته من النظام؟
يمكن حذف سجلات حامل البطاقة مع البيانات الشخصية المرتبطة داخل البرنامج. يجب أيضًا حذف نسخ قاعدة البيانات الاحتياطية ما لم يمر أكثر من 5 أيام (حيث سيتم بالفعل الكتابة فوق النسخ الاحتياطية اليومية الخمس). الأرشيف ويمكن إزالته/حذفه عن طريق الاتصال بالدعم الفني لـ Vanderbilt.
يجب حذف البيانات الشخصية في أي نسخة احتياطية محفوظة في مكان آخر (خارج وحدة التحكم) يدويًا من قبل المستخدم النهائي.
من لديه حق الوصول إلى البيانات؟
يتم تعريف هذه التفاصيل وتوجيهها وفقًا لسياسات الشركة الخاصة والمحددة من قبل كل مستخدم نهائي. يسمح اللون الأزرق الفاتح/الخفيف بحذف البيانات الشخصية لحامل البطاقة من قاعدة البيانات. تتم إدارة نسخ البيانات بالكامل من قبل المستخدم النهائي بمجرد حفظها في مكان آخر (خارج وحدة التحكم).
هل يتم نقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية؟
سيتم إدارة أي نقل للبيانات وبدء تشغيله من قبل المستخدم النهائي.
.webp)