دليل الامتثال لـ Omnis GDPR
تمكّن حلول ومنتجات Vanderbilt العملاء من إدارة البيانات الشخصية ومعالجتها بطريقة تلبي متطلبات GDPR. يهدف هذا الدليل إلى مساعدة ودعم عملائنا في تقييم استعدادهم للوفاء بمسؤولياتهم والتزاماتهم تجاه اللوائح الجديدة.
نظرة عامة
حماية البيانات هي حق أساسي حيث يحق لكل شخص حماية البيانات الشخصية المتعلقة به أو بها. تسري اللائحة العامة لحماية البيانات (GDPR) اعتبارًا من 25 مايو 2018 وهي مصممة لمنح الأفراد مزيدًا من التحكم في بياناتهم الشخصية. هناك مجموعة واحدة من القواعد للاتحاد الأوروبي بأكمله، والتي يمكن استكمالها في بعض المجالات بالتشريعات الوطنية.
تفرض اللائحة العامة لحماية البيانات (GDPR) التزامات على الشركات أو المنظمات التي تجمع البيانات الشخصية وتستخدمها وتعالجها. يقع في صميم اللائحة العامة لحماية البيانات (GDPR) شرط أن تتحلى المنظمات والشركات بالشفافية الكاملة بشأن كيفية استخدام البيانات الشخصية وحمايتها، وأن تكون قادرة على إثبات المساءلة عن أنشطة معالجة البيانات الخاصة بها. يجب معالجة هذه البيانات بشكل عادل لأغراض محددة وعلى أساس موافقة الشخص المعني أو أي أساس شرعي آخر ينص عليه القانون.
بينما تقدم Vanderbilt للعملاء وظائف منتجات مرنة وبديهية لتسهيل الامتثال للوائح الجديدة، لا تقوم منظمة Vanderbilt بجمع البيانات الشخصية الموجودة داخل منتجات Vanderbilt المحلية أو التحكم فيها أو استخدامها أو معالجتها. لذلك، فإن دور ومسؤولية وحدة التحكم ومعالج البيانات الشخصية هي ضمان الامتثال للالتزامات المنصوص عليها في اللائحة العامة لحماية البيانات.
إذا كان لديك أي شك أو غير متأكد من هوية وحدة التحكم في البيانات و/أو معالج البيانات، في أي حال، يجب عليك استشارة المستشار القانوني الخاص بك.
ما هي البيانات الشخصية؟
يعني مصطلح «البيانات الشخصية» أي معلومات تتعلق بشخص حي تم تحديده أو التعرف عليه.
يمكن تحديد الشخص إذا كان من الممكن تحديد هويته بشكل مباشر أو غير مباشر باستخدام «معرف». تقدم اللائحة العامة لحماية البيانات (GDPR) أمثلة على المعرفات، بما في ذلك الأسماء وأرقام التعريف وبيانات الموقع. يمكن التعرف على الشخص أيضًا بالرجوع إلى العوامل الخاصة بهويته، مثل العوامل المادية أو الجينية أو الثقافية.
البيانات الشخصية التي تم إلغاء تحديدها أو تشفيرها أو تسميتها باسم مستعار ولكن يمكن استخدامها لإعادة تحديد هوية الشخص تظل بيانات شخصية وتندرج ضمن نطاق اللائحة العامة لحماية البيانات. إذا تم جعل البيانات الشخصية مجهولة بطريقة لا يمكن من خلالها تحديد هوية الفرد، فإن هذه البيانات لا تعتبر بيانات شخصية. لكي تكون البيانات مجهولة المصدر حقًا، يجب أن يكون إخفاء الهوية أمرًا لا رجعة فيه.
يحمي القانون البيانات الشخصية بغض النظر عن التكنولوجيا أو الطريقة المستخدمة لمعالجة تلك البيانات - فهو ينطبق على كل من المعالجة الآلية واليدوية. لا يهم أيضًا كيفية تخزين البيانات الشخصية - في نظام تكنولوجيا المعلومات أو من خلال المراقبة بالفيديو أو على الورق؛ في جميع الحالات، تخضع البيانات الشخصية لمتطلبات الحماية المنصوص عليها في اللائحة العامة لحماية البيانات.
ما الذي يشكل معالجة البيانات؟
تغطي المعالجة مجموعة واسعة من العمليات التي تتم على البيانات الشخصية، بما في ذلك بالوسائل اليدوية أو الآلية. وهي تشمل جمع البيانات الشخصية أو تسجيلها أو تنظيمها أو هيكلتها أو تخزينها أو تكييفها أو تغييرها أو استرجاعها أو استشارتها أو استخدامها أو الكشف عنها عن طريق الإرسال أو النشر أو إتاحتها أو مواءمتها أو دمجها أو تقييدها أو محوها أو إتلافها.
تنطبق اللائحة العامة لحماية البيانات (GDPR) على معالجة البيانات الشخصية كليًا أو جزئيًا بالوسائل الآلية وكذلك على المعالجة غير الآلية، إذا كانت جزءًا من نظام حفظ منظم.
هل أنا مراقب بيانات أو معالج بيانات؟
وحدة التحكم في البيانات هي الفرد أو الشخص الاعتباري الذي يتحكم ويتحمل مسؤولية حفظ المعلومات الشخصية واستخدامها على جهاز كمبيوتر أو في ملفات يدوية منظمة. إن كونك مراقبًا للبيانات يحمل مسؤولياته القانونية، لذلك يجب أن تكون واضحًا تمامًا إذا كانت هذه المسؤوليات تنطبق عليك أو على مؤسستك.
إذا كنت أنت أو مؤسستك تتحكم في البيانات الشخصية التي تحتفظ بها وتتحمل المسؤولية عنها، أي تقرر المعلومات الشخصية التي سيتم الاحتفاظ بها والاستخدام الذي سيتم استخدام المعلومات فيه، فأنت أو مؤسستك هي وحدة تحكم البيانات.
تشمل الأمثلة على الحالات التي يكون فيها مراقب البيانات فردًا الممارسين العامين والصيادلة والسياسيين والتجار الوحيدين، حيث يحتفظ هؤلاء الأفراد بمعلومات شخصية عن مرضاهم وعملائهم وناخبيهم وما إلى ذلك.
إذا كنت أنت أو مؤسستك تحتفظ بالبيانات الشخصية، ولكن بعض الأفراد أو المنظمات الأخرى تقرر ما يحدث للبيانات وتتحمل المسؤولية عنها، فإن هذا الفرد أو المؤسسة الأخرى هي المتحكم في البيانات، وأنت أو مؤسستك هي «معالج البيانات».
تتضمن أمثلة معالجات البيانات شركات الرواتب والمحاسبين وشركات أبحاث السوق، والتي يمكنها جميعًا الاحتفاظ بالمعلومات الشخصية أو معالجتها نيابة عن شخص آخر.
ما هي الموافقة على البيانات وهل أحتاج إلى النظر فيها؟
من أجل معالجة البيانات الشخصية بشكل قانوني، يجب على المنظمات والشركات تحديد وتوثيق الأساس القانوني للقيام بذلك منذ البداية. تتضمن بعض الطرق القانونية لمعالجة البيانات ما يلي:
- موافقة الفرد: الموافقة مناسبة إذا عُرض على الأفراد الاختيار الحقيقي والتحكم في كيفية استخدام بياناتهم.
- الاهتمامات الحيوية: المعالجة ضرورية لحماية المصالح الحيوية للفرد، على سبيل المثال إذا كان ذلك ضروريًا لحماية حياة شخص ما.
- الامتثال الذي ينطوي على التزام قانوني: يمكن معالجة البيانات، على سبيل المثال، إذا كان ذلك مطلوبًا بموجب قانون الاتحاد الأوروبي لغرض معين.
- عقد مع الفرد: المعالجة ضرورية لأداء عقد مع فرد، على سبيل المثال لتوريد السلع أو الخدمات التي تم طلبها
إذا كان لديك أي شك بشأن ما إذا كنت قد حصلت على موافقة كافية لمعالجة البيانات الشخصية، يجب عليك استشارة المستشار القانوني الخاص بك.
ما هو عقد معالجة البيانات وهل أحتاج إلى النظر فيه؟
إذا كنت تحتفظ بالبيانات الشخصية (معالج البيانات) أو تعالجها (أدخلتها أو تحريرها أو صيانتها) نيابة عن عميلك (وحدة التحكم في البيانات)، فستحتاج إلى عقد معالجة البيانات. نوصي بالحصول على مشورة قانونية لضمان أن العقد يعالج الأمان المناسب وضمانات حماية البيانات الأخرى. وكجزء من ذلك، ننصح العملاء بالحصول على قائمة مرجعية بشأن معالجة البيانات وتسليم نظام الأمان.
تعرف على دورك ومسؤوليتك
من الواضح أن القانون يتغير إلى GDPR وهذا يجب أن يؤخذ في الاعتبار في تخطيط نظام الأمان. يجب تحديد ومعالجة المجالات التي قد تسبب مشاكل الامتثال بموجب اللائحة العامة لحماية البيانات. بموجب اللائحة العامة لحماية البيانات (GDPR)، يحق للأفراد الحصول على معلومات واضحة تتعلق باستخدام بياناتهم.
الخطوة العملية الأولى هي تحديد دورك ومسؤوليتك فيما يتعلق باللائحة العامة لحماية البيانات. هل أنت وحدة تحكم بيانات أو معالج بيانات أو كليهما؟ إذا كان لديك أي شك أو غير متأكد من هوية وحدة التحكم في البيانات و/أو معالج البيانات، في أي حال، يجب عليك استشارة المستشار القانوني الخاص بك.
الخطوة الثانية هي أن تصبح مسؤولاً. ضع في اعتبارك جميع البيانات الشخصية التي تتعامل معها عند العمل مع نظام الأمان وفحصها تحت العناوين التالية:
- ما البيانات الشخصية المخزنة؟
- ما هو الأساس القانوني الذي تستند إليه معالجة البيانات الشخصية؟
- أين يتم تخزين البيانات؟
- كيف تتم حماية البيانات؟
- ما هي مدة الاحتفاظ بالبيانات؟
- ما هي سياسة التعامل مع طلبات الوصول إلى البيانات الفردية؟
- ما هي العملية إذا طلب شخص ما إزالته من النظام؟
- من لديه حق الوصول إلى البيانات؟
- هل يتم نقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية؟
الجميع واللائحة العامة لحماية البيانات
توضح المعلومات التالية كيف يمكن استخدام نظام Vanderbilt Omnis V6.3 لتسهيل الامتثال للائحة العامة لحماية البيانات.
ما البيانات الشخصية المخزنة؟
لا يلزم تخزين أي بيانات شخصية حتى يعمل النظام بشكل صحيح.
الصورة والاسم وعنوان البريد الإلكتروني ورقم الهاتف هي حقول محددة مسبقًا في النظام، ولكن يمكن استخدام الحقول التي يمكن تحديدها من قبل المستخدم لإدخال بيانات شخصية مختلفة.
ما هو الأساس القانوني الذي تستند إليه معالجة البيانات الشخصية؟
يتم التحكم في إدخال البيانات والحفاظ عليها من قبل وحدة تحكم البيانات ومعالج البيانات في الموقع. على هذا النحو، تقع على عاتق وحدة التحكم في البيانات و/أو معالج البيانات مسؤولية ضمان الحصول على الأساس القانوني لمعالجة البيانات الشخصية.
يحتوي نظام Omnis على بعض ميزات البرامج التي تمكن مالك النظام من مراقبة واسترداد الموافقة من الأفراد المسجلين في النظام.
أين يتم تخزين البيانات؟
يتم تخزين البيانات في قاعدة البيانات الموجودة على الخادم وفي النسخ الاحتياطية. لا توجد بيانات شخصية مخزنة في وحدات تحكم النظام.
كيف تتم حماية البيانات؟
للوصول إلى محتوى قاعدة البيانات، يتم استخدام برنامج عميل Omnis. تسجيل الدخول إلى برنامج المستخدم محمي بكلمة مرور. يمكن تشفير قاعدة البيانات نفسها، ولكنها ليست كذلك افتراضيًا بسبب انخفاض الأداء.
يمكن تحديد امتيازات وصول المستخدم إلى مستوى عالٍ من التفصيل لضمان تقييد الوصول إلى البيانات الشخصية لوظيفة أو دور معين.
لا يمكن لموظفي Vanderbilt الوصول إلى نظام العملاء، ما لم يتم منحهم ذلك عبر تسجيل الدخول عن بُعد.
ما هي مدة الاحتفاظ بالبيانات؟
في نظام Vanderbilt Omnis، يعد هذا إعداد نظام يمكن للمستخدم تحديده. من 1 إلى 366 يومًا. يتم تحديد الاحتفاظ بملفات النسخ الاحتياطي لقاعدة البيانات من قبل مالك النظام. تقع على عاتق مسؤول النظام مسؤولية الاتصال بطريقة شفافة بفترة الاحتفاظ بالبيانات.
ما هي سياسة التعامل مع طلبات الوصول إلى البيانات الفردية؟
في حالة تقديم الطلب، تقع على عاتق وحدة التحكم في البيانات و/أو معالجي البيانات مسؤولية تحديد السياسة وتوفير البيانات في الوقت المناسب وفقًا للوائح GDPR.
هناك تقارير وواجهات محددة مسبقًا في نظام Vanderbilt Omnis يمكن استخدامها لتزويد الأفراد ببياناتهم الشخصية بتنسيق منظم وشائع الاستخدام وقابل للقراءة آليًا.
ما هي العملية إذا طلب شخص ما إزالته من النظام؟
في حالة تقديم الطلب، تقع على عاتق وحدة التحكم في البيانات و/أو معالجي البيانات مسؤولية تحديد السياسة وإزالة البيانات في الوقت المناسب وفقًا للوائح GDPR.
يمكن حذف الأشخاص والبيانات الشخصية المرتبطة بهم بأثر فوري من داخل برنامج عميل Omnis أو عبر 3.دكتوره تطبيق الحفلة. ومع ذلك، لن يتم حذف أي بيانات شخصية في أي من ملفات سجل الأحداث حتى يتم استيفاء معايير المسح لقاعدة الاحتفاظ بالبيانات. يمكن تعيين عدد الأيام ليكون من 1 إلى 366.
من لديه حق الوصول إلى البيانات؟
تقع على عاتق وحدة التحكم في البيانات و/أو معالج البيانات مسؤولية الكشف عن من لديه حق الوصول إلى البيانات الشخصية على نظام Omnis المثبت على الموقع. وحدة التحكم في البيانات و/أو معالج البيانات مسؤولة عن إنشاء هذه العمليات وإنفاذها. لا يتم ذلك بواسطة نظام Omnis بطريقة آلية. لا تتمتع Vanderbilt بإمكانية الوصول و/أو القدرة على معالجة البيانات الشخصية على نظام Omnis المحلي.
هل يتم نقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية؟
يحتوي نظام Vanderbilt Omnis على واجهة يمكن استخدامها لمشاركة البيانات الشخصية مع 3دكتوره أنظمة الحفلات. تقع على عاتق وحدة التحكم في البيانات و/أو معالج البيانات مسؤولية الكشف عما إذا كان النظام قد تم تكوينه بطريقة تنقل البيانات خارج المنطقة الاقتصادية الأوروبية.
.webp)