اللائحة العامة لحماية البيانات (GDPR): كل ما تحتاج إلى معرفته

نشرت: 2018-04-02

الهدف الرئيسي من اللائحة العامة الجديدة لحماية البيانات (GDPR) هو تعزيز ودمج معالجة البيانات الشخصية من مختلف البلدان الأعضاء وتكييفها بموجب لائحة واحدة للاتحاد الأوروبي (EU).

حاليًا ، لدى الدول الأعضاء الـ 28 في الاتحاد الأوروبي لوائح حماية البيانات الخاصة بها وتطبق تلك القوانين على التجارة الدولية ، مما يجعل ممارسة حقوق حماية البيانات الشخصية أمرًا صعبًا للغاية.

تأتي اللائحة العامة لحماية البيانات الجديدة مع مجموعة واسعة من القواعد التي تؤثر على جميع الشركات ، بغض النظر عن الحجم أو القطاع ، وغالبًا ما تحتاج إلى الاستعداد للتركيز على مجالات مختلفة من أعمالها.

تدخل اللائحة الجديدة المتعلقة بحماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية والتداول الحر لها حيز التنفيذ في 25 مايو 2018 ، بعد عامين من تمرير اللائحة 2016/679 من قبل كل من البرلمان الأوروبي والمجلس. في هذه المقالة ، نريد مساعدتك على فهم ما يمكنك وما لا يمكنك فعله من أجل تلبية متطلبات هذه اللائحة الجديدة وطمأنتك أن Benchmark ، أداة التسويق عبر البريد الإلكتروني الخاصة بك ، تلبي أيضًا متطلبات هذه اللائحة الجديدة.

لا تلغي اللائحة العامة لحماية البيانات الجديدة تشريعات حماية البيانات الخاصة بكل دولة من الدول الأعضاء المعمول بها حاليًا. بدلاً من ذلك ، فإنه يساعد على مزامنة جميع الدول الأعضاء في الاتحاد الأوروبي. ستظل بعض القرارات تتخذ على المستوى الوطني لكل دولة من الدول الأعضاء ، ولكن ضع في اعتبارك أنه يجب على الأطراف المسؤولة الآن الرجوع إلى اللائحة العامة لحماية البيانات باعتبارها القاعدة وليس لوائح حماية البيانات الخاصة ببلدانها .

إذا كنت تستوفي حاليًا متطلبات حماية البيانات لبلدك ، فلديك بالفعل أساس جيد. ومع ذلك ، ستظل بحاجة إلى مراجعة بعض الجوانب وتغييرها لتتوافق مع اللوائح الجديدة.

هناك ثلاث نقاط رئيسية يجب أن تضعها في اعتبارك مع استراتيجية التسويق عبر البريد الإلكتروني ، وهي: الموافقة ، والوصول ، وجمع البيانات.

موافقة

وفقًا للمادة 4 (11) ، تعني "موافقة" موضوع البيانات كما هو مذكور في التعريف ، يجب أن تكون موافقة المستخدم صريحة وواضحة أيضًا. هاتان الكلمتان تزيلان أي شك أو غموض.

(32) يجب إعطاء الموافقة من خلال عمل إيجابي واضح ينشئ إشارة معطاة بحرية ومحددة ومستنيرة ولا لبس فيها لموافقة صاحب البيانات على معالجة البيانات الشخصية المتعلقة به أو بها ، مثل بيان مكتوب ، بما في ذلك عن طريق البريد الإلكتروني يعني ، أو بيان شفهي. يمكن أن يشمل ذلك وضع علامة في المربع عند زيارة موقع ويب على الإنترنت ، أو اختيار الإعدادات الفنية لخدمات مجتمع المعلومات أو بيان أو سلوك آخر يشير بوضوح في هذا السياق إلى قبول موضوع البيانات للمعالجة المقترحة لبياناته الشخصية. لذلك لا ينبغي أن يشكل الصمت أو المربعات المحددة مسبقًا أو عدم النشاط موافقة. يجب أن تغطي الموافقة جميع أنشطة المعالجة المنفذة لنفس الغرض أو الأغراض. عندما يكون للمعالجة أغراض متعددة ، يجب إعطاء الموافقة عليها جميعًا. إذا كانت موافقة صاحب البيانات ستعطى بعد طلب بالوسائل الإلكترونية ، فيجب أن يكون الطلب واضحًا وموجزًا ​​ولا يؤدي إلى تعطيل استخدام الخدمة المقدمة من أجلها دون داع.

مثال:

لقد شاركت مؤخرًا في معرض تجاري وجمعت طوال اليوم عددًا قليلاً من بطاقات العمل ، والتي سأستخدمها لإنشاء قاعدة بيانات سأقوم بتحميلها بعد ذلك إلى حساب Benchmark الخاص بي بهدف إرسال رسائل إخبارية.

مع اللوائح الجديدة ، هل هذا قانوني؟

لا ، لا يمنحك التواصل بينك وبين الأفراد في المعرض التجاري الحق في استخدام بياناتهم الشخصية ، حتى مع التأكيد اللفظي من الفرد. يتطلب القانون العام لحماية البيانات (GDPR) الآن وجود دليل على هذه الاتفاقية بين الطرفين.

تنص اللائحة العامة لحماية البيانات على أنه يجب أن تكون هناك موافقة صريحة وواضحة من الفرد يمكن دعمها بالأدلة في حالة إجراء تدقيق. يجب أن يكون هناك دليل على أن الفرد يعطي موافقته على استخدام بياناته الشخصية.

توصية:

  • راجع أساليبك في جمع البيانات وتخلص من أي غموض قد يكون موجودًا.
  • قم بتحليل قاعدة البيانات الخاصة بك والبيانات التي يمكنك فقط تقديم دليل على أن الفرد قد منحك الموافقة.

وصول

يجب على الطرف المسؤول عن التعامل مع البيانات الشخصية تزويد كل مستخدم بوصول بسيط ومباشر لتعديل بياناته الشخصية. يجب أن يوفر الطرف المسؤول أيضًا منفذًا يمكن للفرد من خلاله تأكيد أنه يعطي موافقته عبر الوسائل الإلكترونية ، سواء كان ذلك من خلال موقع الويب الخاص به أو نماذج الاشتراك أو تأكيد البريد الإلكتروني.

سيكون أمام الجهة المسؤولة شهر واحد لتزويد العميل بالإجابة ، مع إمكانية تمديدها إلى شهرين في حال كان طلبًا معقدًا ، حيث يتم اتخاذ الخطوات اللازمة لاستكمال طلب الأفراد.

في حالة أداة التسويق عبر البريد الإلكتروني الخاصة بنا ، يتيح خيار إدارة الاشتراكات للفرد الوصول إلى بياناته الشخصية وتعديل البيانات إذا لزم الأمر أو إلغاء الاشتراك تمامًا.

ضمن هذه النقطة ، هناك حق جديد ، وهو الحق في المسح (المادة 17) ، يمكن للمستخدم ممارسة "حقه في النسيان" وإزالة بياناته الشخصية من قاعدة البيانات بشكل دائم. لقد اخترنا اثنين من الأسباب الستة التي تم تضمينها في النقطة الفرعية 1 ، والتي توفر للفرد القدرة على ممارسة حقه:

أ) لم تعد البيانات الشخصية ضرورية فيما يتعلق بالأغراض التي تم جمعها من أجلها أو معالجتها بطريقة أخرى ؛

د) معالجة البيانات الشخصية بشكل غير قانوني ؛

التحويل البرمجي:

يدعو القانون العام لحماية البيانات (GDPR) إلى البساطة في جمع البيانات الشخصية. بصفتنا مسوقين ، نميل إلى طلب المزيد من التفاصيل أكثر من اللازم عندما يكون كل ما نقوم به هو إرسال رسالة إخبارية أسبوعية. لهذا السبب ، تشجع هذه اللوائح الجديدة على أنه لا يتم جمع سوى الحد الأدنى من البيانات الشخصية وتجميعها لاستراتيجيتنا الحالية وليس جمع البيانات الإضافية التي تعتقد أنها قد تكون مفيدة في المستقبل.

إذا كان هدفك هو إعلام قاعدة بياناتك بالعروض الترويجية القادمة ، فإن تجميع اسم الفرد وعنوان بريده الإلكتروني يكون أكثر من كافٍ لتحقيق هدفك.

خروج بريطانيا من الاتحاد الأوروبي

ستغادر المملكة المتحدة رسميًا ولن تكون جزءًا من الاتحاد الأوروبي في عام 2019. مع هذا الخروج ، لن تكون اللوائح قابلة للتطبيق عليها. لا نعرف حاليًا كيف ستتعامل المملكة المتحدة ، أو الشركات داخل المملكة المتحدة ، مع حماية البيانات ، لكننا نعتقد أنها ستصدر لوائح مماثلة يمكن مقارنتها مع الاتحاد الأوروبي.

ماذا يحدث إذا لم أفي بمتطلبات اللائحة العامة لحماية البيانات الجديدة؟

تحدد اللائحة العامة لحماية البيانات مجموعة من الأدوات من أجل الامتثال للائحة الجديدة ، بما في ذلك العقوبات والغرامات. سيتم أخذ عدد من العوامل في الاعتبار وتقييمها بعناية عند فرض غرامة بسبب عدم الامتثال للقانون العام لحماية البيانات (GDPR) الجديد مثل:

  • خطورة / مدة الانتهاك ؛
  • عدد موضوعات البيانات المتأثرة ومستوى الضرر الذي لحق بهم ؛
  • الطابع المتعمد للانتهاك ؛
  • أي إجراءات تم اتخاذها للتخفيف من الضرر ؛
  • درجة التعاون مع السلطة الرقابية.

تحدد اللوائح سقفين للغرامات إذا لم يتم احترام القواعد. يحدد السقف الأول غرامات تصل إلى 10 ملايين يورو كحد أقصى أو ، في حالة التعهد ، ما يصل إلى 2 ٪ من حجم المبيعات السنوي في جميع أنحاء العالم. سيتم تطبيق هذه الفئة الأولى من الغرامات على سبيل المثال إذا لم يقم المتحكمون بإجراء تقييمات الأثر ، كما هو مطلوب بموجب اللائحة. يصل الحد الأقصى للغرامات إلى حد أقصى قدره 20 مليون يورو أو 4٪ من حجم المبيعات السنوي في جميع أنحاء العالم. ومن الأمثلة على ذلك التعدي على حقوق أصحاب البيانات بموجب اللائحة. يتم تعديل الغرامات حسب ظروف كل حالة على حدة.

ستحتاج إلى مراعاة النقاط الرئيسية المذكورة أعلاه (الموافقة والوصول والتجميع) عندما يحين الوقت لتخطيط إستراتيجية التسويق عبر البريد الإلكتروني.

المعيار

في Benchmark ، نعمل بجد لتحديث سياسة الخصوصية الخاصة بنا من أجل الامتثال لمتطلبات اللوائح. في حالة اللائحة العامة لحماية البيانات ، لا توجد شهادة تُمنح لنا تنص على أننا نمتثل للوائح الجديدة كما هو الحال مع إطار عمل Privacy Shield.

نحن في Benchmark ، نرغب في طمأنتك إلى أن بياناتك الشخصية يتم التعامل معها بما يتوافق مع القانون العام لحماية البيانات (GDPR) الجديد.

لأول مرة ، يُظهر الاتحاد الأوروبي القيادة والوحدة في كيفية معالجة البيانات الشخصية ويفرض على بقية العالم دون استثناء لأي دولة اتباع هذه اللوائح إذا أرادت التعامل مع البيانات الشخصية الأوروبية.

لا تنسى مشاركة هذا المقال مع جمهورك وترك تعليقاتك. شكرا للقراءة!

شاهد ندوة الويب الخاصة بنا