دليل الامتثال للقانون العام لحماية البيانات عبر الرسائل القصيرة
تمكّن حلول ومنتجات Vanderbilt العملاء من إدارة البيانات الشخصية ومعالجتها بطريقة تلبي متطلبات GDPR. يهدف هذا الدليل إلى مساعدة ودعم عملائنا في تقييم استعدادهم للوفاء بمسؤولياتهم والتزاماتهم تجاه اللوائح الجديدة.
نظرة عامة
حماية البيانات هي حق أساسي حيث يحق لكل شخص حماية البيانات الشخصية المتعلقة به أو بها. تسري اللائحة العامة لحماية البيانات (GDPR) اعتبارًا من 25 مايو 2018 وهي مصممة لمنح الأفراد مزيدًا من التحكم في بياناتهم الشخصية. هناك مجموعة واحدة من القواعد للاتحاد الأوروبي بأكمله، والتي يمكن استكمالها في بعض المجالات بالتشريعات الوطنية.
تفرض اللائحة العامة لحماية البيانات التزامات على الشركات أو المنظمات التي تجمع البيانات الشخصية وتستخدمها وتعالجها. يقع في صميم اللائحة العامة لحماية البيانات (GDPR) شرط أن تتحلى المنظمات والشركات بالشفافية الكاملة بشأن كيفية استخدام البيانات الشخصية وحمايتها، وأن تكون قادرة على إثبات المساءلة عن أنشطة معالجة البيانات الخاصة بها. يجب معالجة هذه البيانات بشكل عادل لأغراض محددة وعلى أساس موافقة الشخص المعني أو أي أساس شرعي آخر ينص عليه القانون.
بينما تقدم Vanderbilt للعملاء وظائف منتجات مرنة وبديهية لتسهيل الامتثال للوائح الجديدة، لا تقوم مؤسسة Vanderbilt بجمع البيانات الشخصية الموجودة داخل منتجات Vanderbilt المحلية أو التحكم فيها أو استخدامها أو معالجتها. لذلك، فإن دور ومسؤولية وحدة التحكم ومعالج البيانات الشخصية هي ضمان الامتثال للالتزامات المنصوص عليها في اللائحة العامة لحماية البيانات.
إذا كان لديك أي شك أو غير متأكد من هوية وحدة التحكم في البيانات و/أو معالج البيانات، في أي حال، يجب عليك استشارة المستشار القانوني الخاص بك.
ما هي البيانات الشخصية؟
يعني مصطلح «البيانات الشخصية» أي معلومات تتعلق بشخص حي تم تحديده أو التعرف عليه.
يمكن تحديد الشخص إذا كان من الممكن تحديد هويته بشكل مباشر أو غير مباشر باستخدام «معرف». تقدم اللائحة العامة لحماية البيانات (GDPR) أمثلة على المعرفات، بما في ذلك الأسماء وأرقام التعريف وبيانات الموقع. يمكن التعرف على الشخص أيضًا بالرجوع إلى العوامل الخاصة بهويته، مثل العوامل المادية أو الجينية أو الثقافية.
البيانات الشخصية التي تم إلغاء تحديدها أو تشفيرها أو تسميتها باسم مستعار ولكن يمكن استخدامها لإعادة تحديد هوية الشخص تظل بيانات شخصية وتقع ضمن نطاق اللائحة العامة لحماية البيانات. إذا تم جعل البيانات الشخصية مجهولة بطريقة لا يمكن من خلالها تحديد هوية الفرد، فإن هذه البيانات لا تعتبر بيانات شخصية. لكي تكون البيانات مجهولة المصدر حقًا، يجب أن يكون إخفاء الهوية أمرًا لا رجعة فيه.
يحمي القانون البيانات الشخصية بغض النظر عن التكنولوجيا أو الطريقة المستخدمة لمعالجة تلك البيانات - فهو ينطبق على كل من المعالجة الآلية واليدوية. لا يهم أيضًا كيفية تخزين البيانات الشخصية - في نظام تكنولوجيا المعلومات أو من خلال المراقبة بالفيديو أو على الورق؛ في جميع الحالات، تخضع البيانات الشخصية لمتطلبات الحماية المنصوص عليها في اللائحة العامة لحماية البيانات.
ما الذي يشكل معالجة البيانات؟
تغطي المعالجة مجموعة واسعة من العمليات التي تتم على البيانات الشخصية، بما في ذلك بالوسائل اليدوية أو الآلية. وهي تشمل جمع البيانات الشخصية أو تسجيلها أو تنظيمها أو هيكلتها أو تخزينها أو تكييفها أو تغييرها أو استرجاعها أو استشارتها أو استخدامها أو الكشف عنها عن طريق الإرسال أو النشر أو إتاحتها أو مواءمتها أو دمجها أو تقييدها أو محوها أو إتلافها.
تنطبق اللائحة العامة لحماية البيانات (GDPR) على معالجة البيانات الشخصية كليًا أو جزئيًا بالوسائل الآلية وكذلك على المعالجة غير الآلية، إذا كانت جزءًا من نظام حفظ منظم.
هل أنا مراقب بيانات أو معالج بيانات؟
وحدة التحكم في البيانات هي الفرد أو الشخص الاعتباري الذي يتحكم ويتحمل مسؤولية حفظ المعلومات الشخصية واستخدامها على جهاز كمبيوتر أو في ملفات يدوية منظمة. تتحمل وحدة التحكم في البيانات مسؤولياتها القانونية، لذلك يجب أن تكون واضحًا تمامًا إذا كانت هذه المسؤوليات تنطبق عليك أو على مؤسستك.
إذا كنت أنت أو مؤسستك تتحكم في البيانات الشخصية التي تحتفظ بها وتتحمل المسؤولية عنها، أي تقرر ما هي المعلومات الشخصية التي سيتم الاحتفاظ بها والاستخدام الذي سيتم استخدام المعلومات فيه، فأنت أو مؤسستك هي وحدة تحكم البيانات.
تشمل الأمثلة على الحالات التي يكون فيها مراقب البيانات فردًا الممارسين العامين والصيادلة والسياسيين والتجار الوحيدين، حيث يحتفظ هؤلاء الأفراد بمعلومات شخصية عن مرضاهم وعملائهم وناخبيهم وما إلى ذلك.
إذا كنت أنت أو مؤسستك تحتفظ بالبيانات الشخصية، ولكن بعض الأفراد أو المنظمات الأخرى تقرر ما يحدث للبيانات وتتحمل المسؤولية عنها، فإن هذا الفرد أو المؤسسة الأخرى هي وحدة التحكم في البيانات، وأنت أو مؤسستك هي «معالج البيانات».
تتضمن أمثلة معالجات البيانات شركات الرواتب والمحاسبين وشركات أبحاث السوق، والتي يمكنها جميعًا الاحتفاظ بالمعلومات الشخصية أو معالجتها نيابة عن شخص آخر.
ما هي الموافقة على البيانات وهل أحتاج إلى النظر فيها؟
من أجل معالجة البيانات الشخصية بشكل قانوني، يجب على المنظمات والشركات تحديد وتوثيق الأساس القانوني للقيام بذلك منذ البداية. تتضمن بعض الطرق القانونية لمعالجة البيانات ما يلي:
- موافقة الفرد: الموافقة مناسبة إذا عُرض على الأفراد الاختيار الحقيقي والتحكم في كيفية استخدام بياناتهم.
- الاهتمامات الحيوية: المعالجة ضرورية لحماية المصالح الحيوية للفرد، على سبيل المثال إذا كان ذلك ضروريًا لحماية حياة شخص ما.
- الامتثال الذي ينطوي على التزام قانوني: يمكن معالجة البيانات، على سبيل المثال، إذا كان ذلك مطلوبًا بموجب قانون الاتحاد الأوروبي لغرض معين.
- عقد مع الفرد: المعالجة ضرورية لأداء عقد مع فرد، على سبيل المثال لتوريد السلع أو الخدمات التي تم طلبها
إذا كان لديك أي شك بشأن ما إذا كنت قد حصلت على موافقة كافية لمعالجة البيانات الشخصية، يجب عليك استشارة المستشار القانوني الخاص بك.
ما هو عقد معالجة البيانات وهل أحتاج إلى النظر فيه؟
إذا كنت تحتفظ بالبيانات الشخصية (معالج البيانات) أو تعالجها (أدخلتها أو تحريرها أو صيانتها) نيابة عن عميلك (وحدة التحكم في البيانات)، فستحتاج إلى عقد معالجة البيانات. نوصي بالحصول على مشورة قانونية لضمان أن العقد يعالج الأمان المناسب وضمانات حماية البيانات الأخرى. وكجزء من ذلك، ننصح العملاء بالحصول على قائمة مرجعية بشأن معالجة البيانات وتسليم نظام الأمان.
تعرف على دورك ومسؤوليتك
من الواضح أن القانون يتغير إلى GDPR وهذا يجب أن يؤخذ في الاعتبار في تخطيط نظام الأمان. يجب تحديد ومعالجة المجالات التي قد تسبب مشاكل الامتثال بموجب اللائحة العامة لحماية البيانات. بموجب اللائحة العامة لحماية البيانات (GDPR)، يحق للأفراد الحصول على معلومات واضحة تتعلق باستخدام بياناتهم.
الخطوة العملية الأولى هي تحديد دورك ومسؤوليتك فيما يتعلق باللائحة العامة لحماية البيانات. هل أنت وحدة تحكم بيانات أو معالج بيانات أو كليهما؟ إذا كان لديك أي شك أو غير متأكد من هوية وحدة التحكم في البيانات و/أو معالج البيانات، في أي حال، يجب عليك استشارة المستشار القانوني الخاص بك.
الخطوة الثانية هي أن تصبح مسؤولاً. ضع في اعتبارك جميع البيانات الشخصية التي تتعامل معها عند العمل مع نظام الأمان وفحصها تحت العناوين التالية:
- ما البيانات الشخصية المخزنة؟
- ما هو الأساس القانوني الذي تستند إليه معالجة البيانات الشخصية؟
- أين يتم تخزين البيانات؟
- كيف تتم حماية البيانات؟
- ما هي مدة الاحتفاظ بالبيانات؟
- ما هي سياسة التعامل مع طلبات الوصول إلى البيانات الفردية؟
- ما هي العملية إذا طلب شخص ما إزالته من النظام؟
- من لديه حق الوصول إلى البيانات؟
- هل يتم نقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية؟
الرسائل القصيرة واللائحة العامة لحماية البيانات
توضح المعلومات التالية وظائف نظام Vanderbilt SMS v6.x فيما يتعلق بالامتثال للائحة العامة لحماية البيانات.
ما البيانات الشخصية المخزنة؟
البيانات الشخصية الوحيدة المطلوبة لسجل حامل البطاقة هي الاسم الأخير ومعرف الشارة المشفرة، على الرغم من أنه من المحتمل جمع بيانات إضافية. الاسم الأول والحرف الأوسط وصورة حامل البطاقة اختيارية. يمكن أيضًا استخدام الحقول القابلة للتعريف من قبل المستخدم لإدخال البيانات الشخصية المختلفة على النحو المحدد من قبل المستخدم النهائي (العميل).
ما هو الأساس القانوني الذي تستند إليه معالجة البيانات الشخصية؟
يتم تحديد الأساس القانوني الذي يتم من خلاله الحصول على البيانات الشخصية ومعالجتها من خلال سياسات وإجراءات المستخدم النهائي. كمساعدة في عملية الموافقة، يمكن دمج بعض تطبيقات الطرف الثالث مع عمليات سير عمل الموافقة والامتثال المعقدة مع نظام الرسائل القصيرة.
أين يتم تخزين البيانات؟
يتم إدخال البيانات وامتلاكها من قبل المستخدم النهائي ويتم تخزينها محليًا في قاعدة بيانات SQL أو على شبكة المستخدم النهائي (أي الخادم الافتراضي)، أو في النسخ الاحتياطية التي يديرها المستخدم النهائي. بصرف النظر عن معرف الشارة المشفرة، لا يتم تخزين أي بيانات شخصية أخرى على وحدات تحكم الأجهزة/النظام. بالإضافة إلى ذلك، لا يسمح النظام بمعرفات مشفرة مكررة.
كيف تتم حماية البيانات؟
مطلوب برنامج عميل SMS مع تسجيل دخول محمي بكلمة مرور للوصول إلى قاعدة البيانات. لا يمكن للمستخدمين تسجيل الدخول إلى خادم SQL مباشرة.
ما هي مدة الاحتفاظ بالبيانات؟
يتم تحديد متطلبات الاحتفاظ بالبيانات وإدارتها من قبل المستخدم النهائي.
يتم استخدام أداة صيانة قاعدة البيانات في SMS للنسخ الاحتياطي لقاعدة البيانات وأرشفة ملفات المحفوظات. سيقوم أيضًا بإجراء إلغاء تجزئة كامل وإعادة فهرسة لجميع جداول الرسائل القصيرة وتطهير كامل لجميع السجلات التي تمت جدولة حذفها. يمكن تشغيل هذه الوظائف يدويًا أو يمكن جدولتها للتشغيل تلقائيًا. يجب على المستخدم النهائي تكوين صيانة قاعدة بيانات النظام وإعدادات الاحتفاظ بملفات الأرشيف لتتوافق مع متطلبات بلده أو GDPR.
ما هي سياسة التعامل مع طلبات الوصول إلى البيانات الفردية؟
هناك تقارير محددة مسبقًا لحامل البطاقة والوصول والتدقيق يمكن تشغيلها في الرسائل القصيرة وطباعتها و/أو تصديرها بتنسيق CSV وتنسيقات منظمة مختلفة مثل Excel و PDF.
ما هي العملية إذا طلب شخص ما إزالته من النظام؟
في حالة تقديم الطلب، تقع على عاتق وحدة التحكم في البيانات و/أو معالجي البيانات مسؤولية تحديد السياسة وإزالة البيانات في الوقت المناسب وفقًا للوائح GDPR.
يمكن «حذف» سجلات حامل البطاقة مع البيانات الشخصية المرتبطة بها (أي وضع علامة للحذف/إخفاؤها) من برنامج العميل أو عبر نظام 3 متكاملدكتوره تطبيق حزبي بأثر فوري. سيتم حذف البيانات الشخصية بالكامل من أحداث السجل وفقًا لإعدادات صيانة النظام المحددة من قبل المستخدم للنسخ الاحتياطية لقاعدة البيانات والأرشفة.
من لديه حق الوصول إلى البيانات؟
يتم تعريف هذه التفاصيل وتوجيهها وفقًا لسياسات الشركة الخاصة والمحددة من قبل كل مستخدم نهائي.
يتم تعريف البيانات وإدخالها من قبل المستخدم النهائي، ولكن يمكن أيضًا ملؤها عبر 3دكتوره نظام حزبي متكامل إذا تمت الموافقة عليه وتنفيذه على النحو المتفق عليه من قبل المستخدم النهائي.
يمكن تعيين امتيازات وصول المستخدم لتحديد مستوى عالٍ من التفاصيل لضمان أن يكون الوصول إلى البيانات الشخصية خاصًا بالدور. يمكن تشغيل تقارير التدقيق لإظهار تفاصيل تسجيل دخول المشغل.
يسمح SMS بحذف البيانات الشخصية لحامل البطاقة من قاعدة البيانات مع التنظيف الكامل للنظام وصيانته وفقًا للجدول الزمني المحدد من قبل المستخدم أو الإصدار اليدوي. تحافظ وحدة صيانة قاعدة البيانات على عدد النسخ الاحتياطية المحددة للاحتفاظ بها. تتم إدارة أرشيفات البيانات بالكامل من قبل المستخدم النهائي بمجرد إنشائها من الرسائل القصيرة.
هل يتم نقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية؟
يتم تثبيت أنظمة الرسائل القصيرة عالميًا وقد تستخدم 3دكتوره عمليات تكامل الأطراف كما هو مطلوب ويتم تنفيذها من قبل كل مستخدم نهائي. أي نقل للإفصاحات عن البيانات سيكون من مسؤولية الأطراف المذكورة، أو وفقًا لإدارته من قبل المستخدم النهائي.
.webp)