ما هو الـ GDPR وما هو الهدف منه؟
اللائحة العامة لحماية البيانات (GDPR - General Data Protection Regulation) هي قانون أو لائحة Regulation يهدف إلى حماية خصوصية البيانات. الهدف الأساسي منها هو منح الأفراد سيطرة أكبر على بياناتهم الشخصية، وإلزام المؤسسات بوضع ضوابط صارمة لحماية هذه البيانات في جميع مراحلها، سواء كانت بيانات مُخزنة (data at rest)، أو بيانات أثناء نقلها (data in motion)، أو بيانات قيد الاستخدام (data in use).
الـ GDPR بتركز بشكل أساسي على حماية بيانات المواطنين الأوروبيين، وتنطبق على أي مؤسسة أو شركة تتعامل مع هذه البيانات، سواء كانت الشركة موجودة داخل أوروبا أو خارجها. وفي الوقت الحالي، أغلب الدول طورت قوانين خاصة بها لحماية بيانات مواطنيها، وكثير من هذه القوانين مستوحاة من الـ GDPR أو تعتمد على مبادئها الأساسية، القوانين دي مش بس بتلزم الشركات والمؤسسات بحماية بيانات الأفراد، لكنها كمان بتفرض عقوبات صارمة في حالة انتهاكها ممكن تصل للحبس او غرمات تصل احياناً ل 746 مليون يورو زي ما حصل مع امازون.
في الوقت الحالي، أغلب الدول طورت قوانين خاصة بها لحماية بيانات مواطنيها، وكثير من هذه القوانين مستوحاة من الـ GDPR أو تعتمد على مبادئها الأساسية.
هيا بنا في رحلة سريعه عن مكونات ومحتوي ال GDPR و ال data privacy عموما.
انواع البيانات
✅ البيانات الشخصية Personal data
بنسمي البيانات الشخصية كمان بـ PII، وهي اختصار لـ (Personally Identifiable Information). ودي بتكون أي معلومات تقدر تحدد هوية شخص معين، سواء بشكل مباشر أو غير مباشر. زي مثلاً الاسم، البريد الإلكتروني، العنوان، رقم الهاتف، رقم الهوية، وحتى المعلومات التقنية زي الـ IP address والـ MAC address. كمان بتشمل البيانات البيومترية (Biometric) زي بصمة الوجه أو الصوت.
✅ البيانات الغير شخصية Non-Personal data
هي المعلومات التي لا يمكن استخدامها للتعرف على شخص معين، مثل البيانات الإحصائية العامة.
حقوق الافراد او المواطنين
الهدف الأساسي من الـ GDPR إنه يخلي كل شخص يعرف بياناته بتستخدم إزاي ويكون عنده تحكم كامل في بياناته الشخصية لذلك بيقدم الحقوق دي للمواطنين:
1️⃣الحق في المعرفة right to be informed
من حقك تعرف بياناتك الشخصية بتتجمع ليه، هتتستخدم إزاي، وهتتشارك مع مين. الشركات لازم توضح المعلومات دي بطريقة واضحة وسهلة.
2️⃣الحق في الوصول للمعلومات right to access
3️⃣الحق في التصحيح right to rectification
4️⃣الحق في المسح (الحق في النسيان) right to erasure/to be forgotten
5️⃣الحق في تقييد المعالجة right to restrict processing
6️⃣الحق في نقل البيانات right to data portability
7️⃣الحق في الاعتراض right to object
8️⃣الحقوق المتعلقة بالقرارات الآلية والتوصيف الشخصي rights in relation to automated decision-making and profiling
مبادئ الـ GDPR
الـ GDPR بيعتمد على عدة مبادئ أساسية يجب على المؤسسة او الشركات اتباعها:
1️⃣الشرعية، والعدالة، والشفافية (Lawfulness, fairness and transparency)
لازم البيانات تتجمع وتتستخدم بطريقة قانونية، عادلة، وواضحة للمستخدمين.
2️⃣حدود الغرض (Purpose limitation)
البيانات تُستخدم فقط للغرض اللي تم جمعها من أجله، ومينفعش تُستخدم لحاجة تانية بدون سبب قانوني.
3️⃣تقليل البيانات (Data minimization)
يتم جمع الحد الأدنى من البيانات المطلوبة، بدون أي معلومات زيادة عن الحاجة.
4️⃣الدقة (Accuracy)
لازم البيانات تبقى صحيحة ومحدّثة، ولو فيها أخطاء يتم تصحيحها بسرعة.
5️⃣تحديد فترة التخزين (Storage limitation)
البيانات مينفعش تتخزن لفترة أطول من اللازم، ويتم مسحها أو إخفاء هويتها لما تبقى غير ضرورية.
6️⃣السلامة والسرية Integrity and confidentiality
لازم يتم حماية البيانات من الوصول غير المصرح به، أو التسريب، أو التلف.
7️⃣المساءلة (Accountability)
أي جهة بتجمع بيانات لازم تكون مسؤولة عن التزامها بالمبادئ دي وتثبت إنها بتطبّقها.
خطوت تأمين البيانات
1️⃣ قم بإجراء تدقيق للبيانات Perform a data audit 📊
يجب أن تعرف نوع البيانات الشخصية التي تجمعها شركتك وأين يتم تخزينها.
2️⃣ ضع إرشادات للتعامل مع المستندات Implement document handling guidelines 📜
أنشئ مجموعة من القواعد تحدد كيفية التعامل مع البيانات الشخصية لضمان الحماية.
3️⃣ قم بتوعية الموظفين Educate your employees 🧑💻
يجب أن يعرف كل موظف كيفية التعامل مع البيانات الشخصية بطريقة آمنة.
4️⃣ استخدم التشفير Encrypt your data 🔐
يوصي GDPR بتشفير جميع الأجهزة والوسائط الخارجية لحماية البيانات.
5️⃣ احمِ بياناتك من التسريبات والتهديدات الداخلية Protect your data against leakages and insider threats 🔒
يجب أن يكون منع فقدان البيانات جزءًا أساسيًا من استراتيجيتك، لأن البيانات من أهم أصول الشركة. استخدم وسائل آمنة مثل البريد الإلكتروني، التخزين السحابي، الأجهزة المحمولة، والفلاشات.
مفهيم اساسية بيأكد عليها الـ GDPR
الموافقة (Consent)
دي بتكون عند موافقة الشخص بشكل واضح وصريح على استخدام بياناته لذلك الموافقة دي لازم تكون واضحة وسهلة الفهم واختيارية (مش إجباري) وتقدر تسحبها في أي وقت.
تقييم تأثير حماية البيانات (DPIA - Data Protection Impact Assessment)
تحليل يتم إجراؤه قبل بدء أي مشروع جديد لمعرفة المخاطر التي قد تهدد البيانات الشخصية واقتراح حلول لحمايتها. يساعد في الامتثال لقوانين مثل GDPR ويمنع التسريبات والانتهاكات.
مسئول حماية البيانات (DPO - Data Protection Officer)
هو الشخص المسؤول عن ضمان امتثال الشركة أو المؤسسة لقوانين حماية البيانات زي GDPR.
عقوبات مخالفة الـ GDPR
الشركات التي تتعامل مع بيانات مواطنين اوربيين ولا تمتثل لـ GDPR يمكن أن تتعرض لغرامات مالية كبيرة. تختلف العقوبة حسب نوع الانتهاك، ولكن قد تصل الغرامات إلى:
- 10 ملايين يورو أو 2% من العائد السنوي العالمي للشركة (أيّهما أعلى) للمخالفات الأقل خطورة.
- 20 مليون يورو أو 4% من العائد السنوي العالمي للشركة (أيّهما أعلى) للمخالفات الخطيرة، مثل تسريب البيانات أو استخدامها بدون إذن.
الخلاصة
خصوصية البيانات (Data Privacy) حق أساسي لكل المستخدمين، وعشان كده ظهر الـ GDPR، وبقت معظم الدول بتصدر قوانينها الخاصة لحماية البيانات. القوانين دي مش بس بتلزم الشركات والمؤسسات بحماية بيانات الأفراد، لكنها كمان بتفرض عقوبات صارمة في حالة انتهاكها. على سبيل المثال، القوانين السعودية والمصرية تفرض غرامات كبيرة، بل وقد تصل العقوبة إلى الحبس وغرمات مالية تصل الي عدد كبير من الملايين إذا أدى الانتهاك إلى تعريض خصوصية المواطنين للخطر.
