حالة اللائحة العامة لحماية البيانات في عام 2021: التحديثات الرئيسية وما تعنيه

نشرت: 2022-03-10
ملخص سريع ↬ بصفتنا ممارسين رقميين ، أثرت اللائحة العامة لحماية البيانات (GDPR) على كل جانب من جوانب حياتنا المهنية والشخصية. سواء كنت مدمنًا على Instagram ، أو أرسل رسالة لعائلتك على WhatsApp ، أو تشتري منتجات من Etsy أو معلومات Google ، لم يفلت أحد من القواعد التي تم تقديمها في عام 2018.

أثرت توجيهات الاتحاد الأوروبي فعليًا على كل محترف رقمي حيث تم تصميم المنتجات والخدمات مع وضع اللائحة العامة لحماية البيانات في الاعتبار ، بغض النظر عما إذا كنت شركة تصميم ويب في ولاية ويسكونسن أو جهة تسويق في مالطا. لا تؤثر الآثار بعيدة المدى للائحة العامة لحماية البيانات (GDPR) فقط على كيفية معالجة البيانات ، وكيفية بناء المنتجات ، وكيفية نقل البيانات بأمان داخل المؤسسات وفيما بينها. يحدد اتفاقيات نقل البيانات الدولية مثل تلك بين أوروبا وأمريكا.

يدعي كيفن كيلي ، أحد ألمع المستقبليين الرقميين في العالم ، أن "التكنولوجيا قوة عظمى مثل الطبيعة". ما يعنيه بذلك هو أن بيانات المستخدم وتكنولوجيا المعلومات تسببت في واحدة من أكثر الفترات عمقًا في تاريخ البشرية منذ اختراع اللغة. ما عليك سوى إلقاء نظرة على ما يحدث في الوقت الذي تكافح فيه الحكومات وشركات التكنولوجيا متعددة الجنسيات للسيطرة على الإنترنت.

في الأسبوع الماضي وحده ، عندما تحركت الحكومة الأسترالية لإجبار مالكي المنصات على دفع الناشرين مقابل المحتوى الذي يتم مشاركته على نظامهم الأساسي ، قرر Facebook حظر الأخبار للمستخدمين الأستراليين بضجة كبيرة من الحكومة الأسترالية.

وهذا بالإضافة إلى الخلافات السابقة (تنظيم شغب الكابيتول الأمريكي ، فضيحة كامبريدج أناليتيكا) عند التقاطع حيث تلتقي الحكومة والتكنولوجيا.

في هذه المقالة ، سنلقي نظرة على كيفية تطور القانون العام لحماية البيانات (GDPR) منذ عام 2018. وسنستعرض بعض التحديثات من الاتحاد الأوروبي ، وبعض التطورات الرئيسية ، والمكان الذي من المحتمل أن يتطور فيه القانون العام لحماية البيانات (GDPR). سوف نستكشف ما يعنيه ذلك بالنسبة لنا ، كمصممين ومطورين. وسنلقي نظرة على ما يعنيه ذلك بالنسبة للشركات داخل وخارج الاتحاد الأوروبي.

في المقالة التالية ، سنركز على الموافقة على ملفات تعريف الارتباط والمفارقة حيث يعتمد المسوقون بشكل كبير على بيانات ملفات تعريف الارتباط في Google Analytics ولكنهم بحاجة إلى الامتثال للوائح. وبعد ذلك سنلقي نظرة عميقة على تتبع إعلانات الطرف الأول حيث نبدأ في رؤية التحركات بعيدًا عن ملفات تعريف ارتباط الطرف الثالث.

  • الجزء 1: اللائحة العامة لحماية البيانات ، والتحديثات الرئيسية وما تعنيه
  • الجزء 2: الموافقة على ملفات تعريف الارتباط للمصممين والمطورين

ملخص سريع للائحة العامة لحماية البيانات (GDPR)

لنبدأ بتذكير أنفسنا بماهية اللائحة العامة لحماية البيانات. أصبح القانون العام لحماية البيانات (GDPR) قانونًا داخل الاتحاد الأوروبي في 25 مايو 2018. ويستند إلى 7 مبادئ رئيسية:

  1. الشرعية والإنصاف والشفافية
    يجب عليك معالجة البيانات حتى يفهم الناس ماذا وكيف ولماذا تعالج بياناتهم.
  2. تحديد الغرض
    يجب عليك فقط جمع البيانات لأغراض واضحة ومحددة وشرعية. لا يمكنك بعد ذلك معالجتها بطرق لا تتوافق مع أغراضك الأصلية.
  3. تصغير البيانات
    يجب عليك فقط جمع البيانات التي تحتاجها.
  4. صحة
    يجب أن تكون بياناتك دقيقة ومحدثة. يجب محو البيانات غير الدقيقة أو تصحيحها.
  5. قيود التخزين
    إذا كان من الممكن ربط البيانات بأفراد ، فلا يمكنك الاحتفاظ بها إلا طالما كنت بحاجة إلى تنفيذ الأغراض التي حددتها. (محاذير للاستخدام البحثي العلمي أو الإحصائي أو التاريخي.)
  6. النزاهة والسرية (أي الأمن)
    يجب عليك التأكد من معالجة البيانات الشخصية التي تحتفظ بها بشكل آمن. يجب عليك حمايتها من المعالجة غير المصرح بها أو غير القانونية وضد الفقد أو التلف أو التلف العرضي.
  7. مسئولية
    أنت الآن مسؤول عن البيانات التي تمتلكها ويجب أن تكون قادرًا على إثبات امتثالك للائحة العامة لحماية البيانات (GDPR).
رسم تخطيطي يوضح المبادئ السبعة للائحة العامة لحماية البيانات: الشرعية والنزاهة والتخزين وقيود الغرض وتقليل البيانات ودقتها والمساءلة - مغطاة بالشفافية والخصوصية والضوابط
تستند مبادئ القانون العام لحماية البيانات (GDPR) إلى الشفافية والخصوصية وتحكم المستخدم. (رصيد الصورة: Cyber-Duck) (معاينة كبيرة)

بعض التعاريف

  • CJEU
    محكمة العدل التابعة للاتحاد الأوروبي. توضح قرارات هذه المحكمة قوانين الاتحاد الأوروبي مثل القانون العام لحماية البيانات (GDPR).
  • DPAs
    سلطات حماية البيانات الوطنية. كل دولة من دول الاتحاد الأوروبي لديها واحدة. يتم تطبيق اللائحة العامة لحماية البيانات ، وإصدار الغرامات ، على المستوى الوطني من قبل هذه الهيئات. المكافئ في المملكة المتحدة هو مكتب مفوض المعلومات (ICO). في الولايات المتحدة ، يتم تشريع خصوصية البيانات على غرار القانون العام لحماية البيانات (GDPR) إلى حد كبير من قبل كل ولاية.
  • المفوضية الاوروبية
    الفرع التنفيذي للاتحاد الأوروبي (الخدمة المدنية في الاتحاد الأوروبي بشكل أساسي). تقوم المفوضية الأوروبية بصياغة التشريعات بما في ذلك اللائحة العامة لحماية البيانات (GDPR).
  • اللائحة العامة لحماية البيانات
    اللائحة العامة لحماية البيانات لعام 2018.

التحديثات الرئيسية من الاتحاد الأوروبي

لم تتوقف اللائحة العامة لحماية البيانات (GDPR) منذ مايو 2018. إليك عرض سريع لما حدث منذ دخولها حيز التنفيذ.

كيف نفذ الاتحاد الأوروبي والدول الأعضاء فيه اللائحة العامة لحماية البيانات؟

ذكرت المفوضية الأوروبية أن اللائحة العامة لحماية البيانات يتم تنفيذها بالكامل تقريبًا في جميع أنحاء الاتحاد الأوروبي ، على الرغم من أن بعض البلدان - التي تحمل اسم سلوفينيا - قد تباطأت. ومع ذلك ، يختلف عمق التنفيذ. ويقول الاتحاد الأوروبي أيضًا إن الدول الأعضاء فيه ، في رأيه ، تستخدم سلطاتها الجديدة بشكل عادل.

ومع ذلك ، فقد أعربت أيضًا عن قلقها من أن بعض الاختلاف والتشرذم يتسللان. ولا يمكن أن تعمل اللائحة العامة لحماية البيانات بفعالية عبر السوق الموحدة للاتحاد الأوروبي إلا إذا كانت الدول الأعضاء متوائمة . إذا اختلفت القوانين ، فإنها تتسبب في تعكير المياه.

كيف يريد الاتحاد الأوروبي تطوير اللائحة العامة لحماية البيانات؟

نعلم أن الاتحاد الأوروبي يريد أن يكون من الأسهل للأفراد ممارسة حقوقهم بموجب القانون العام لحماية البيانات (GDPR). وهذا يعني التعاون عبر الحدود والدعاوى القضائية الجماعية . إنها تريد أن ترى قابلية نقل البيانات للمستهلكين بخلاف الخدمات المصرفية والاتصالات.

كما أنها تريد تسهيل امتثال المؤسسات الصغيرة والمتوسطة الحجم ( SMEs ) للائحة العامة لحماية البيانات (GDPR). من المحتمل أن يأتي هذا في شكل دعم وأدوات إضافية مثل المزيد من البنود التعاقدية القياسية - وهي عبارة عن نماذج قانونية بشكل أساسي يمكن للشركات الصغيرة والمتوسطة نسخها / لصقها في العقود - لأن الاتحاد الأوروبي ليس حريصًا على ثني القواعد من أجلها.

التطور الكبير رقم 1: التعريف الواسع بشكل غير متوقع لـ "المراقب المشترك"

حسنًا ، إليك أول تغيير كبير منذ أن أصبح القانون العام لحماية البيانات (GDPR) قانونًا. في قضيتين اختباريتين تتعلقان بفيسبوك ، حددت محكمة العدل التابعة للاتحاد الأوروبي تفسيرًا أوسع بكثير لـ "المتحكم المشترك" مما كان متوقعًا.

تنشأ حالة وحدة تحكم مشتركة عندما يتحمل كل من اثنين أو أكثر من المتحكمين مسؤولية تلبية شروط اللائحة العامة لحماية البيانات (GDPR). (هذا شرح جيد من ICO حول وحدات التحكم المشتركة.) بشكل أساسي:

  • عندما تقوم بمعالجة بيانات العميل ، فإنك تقرر مع زملائك المتحكم (المراقبين) المشتركين الذين سيتولون إدارة كل خطوة حتى تكون متوافقًا مع القانون العام لحماية البيانات (GDPR).
  • ومع ذلك ، تتحمل جميعًا المسؤولية الكاملة لضمان امتثال العملية برمتها . كل واحد منكم مسؤول بالكامل أمام هيئة حماية البيانات في الدولة التي تتعامل مع أي شكاوى.
  • يمكن للفرد رفع شكوى ضد كل المتحكمين المشتركين.
  • أنت مسؤول بالكامل عن أي ضرر ناتج - ما لم تثبت أنه ليس لديك أي صلة بالحدث الذي تسبب في الضرر.
  • يمكن للفرد السعي للحصول على تعويض من أي وحدة تحكم مشتركة. قد تكون قادرًا على استرداد بعض هذا التعويض من زملائك المتحكمين.

في أول حالة على Facebook ، أكدت CJEU أن الشركة التي تدير صفحة معجبين على Facebook تُعد بمثابة وحدة تحكم مشتركة إلى جانب Facebook. في الثانية ، أكدت CJEU أيضًا أن الشركة التي قامت بتضمين زر Facebook Like على موقعها على الويب تتمتع بحالة تحكم مشتركة مع الشبكة الاجتماعية.

أرسلت هذه الحالات موجات صدمة عبر مجتمع الخصوصية ، حيث إنها تجعل الناشرين الاجتماعيين ومشغلي مواقع الويب ومديري صفحات المعجبين مسؤولين عن بيانات المستخدم جنبًا إلى جنب مع منصات مثل Facebook.

ومع ذلك ، أوضحت CJEU أيضًا أن المسؤولية المشتركة لا تعني مسؤولية متساوية . في كلتا الحالتين ، تقع المسؤولية بشكل أساسي على عاتق Facebook - فقط Facebook كان لديه حق الوصول إلى البيانات وفيسبوك فقط يمكنه حذفها. لذلك قد يكون تأثير هذا القرار أقل حدة مما يبدو في البداية - لكنه لا يزال مهمًا للغاية.

وقد يكون هذا هو السبب في أن بعض المواقع - مثل موقع رئاسة ألمانيا لعام 2020 للاتحاد الأوروبي - تحظر المحتوى الاجتماعي المضمن افتراضيًا ، حتى تختار على وجه التحديد:

لقطة شاشة لـ eu2020.de تعرض محتوى التغذية الاجتماعية محظورًا حتى يتم تشغيل تتبع الطرف الثالث
بدأت بعض المواقع في حظر ظهور الخلاصات الاجتماعية المضمنة على مواقعها بشكل افتراضي ، مما يتيح للمستخدمين خيار الاشتراك في التتبع. (معاينة كبيرة)

التطوير الكبير رقم 2: وداعا وداعا للخصوصية ، مرحبًا CPRA

كان التغيير الكبير الثاني أكثر قابلية للتنبؤ به: Privacy Shield ، الآلية التي سهّلت على الشركات الأمريكية معالجة بيانات العملاء الأوروبيين ، تم إسقاطها من قبل المحاكم.

إليكم السبب.

يريد الاتحاد الأوروبي حماية البيانات الشخصية لمواطنيه. ومع ذلك ، فإنها تريد أيضًا تشجيع التجارة الدولية ، بالإضافة إلى التعاون عبر الحدود في مجالات مثل الأمن.

يعتبر الاتحاد الأوروبي نفسه - بحق تمامًا - رائدًا في حماية البيانات. لذا فهي تستخدم قوتها السياسية لتشجيع البلدان التي ترغب في التجارة مع الكتلة لمطابقة معايير خصوصية البيانات الخاصة بها.

"

أدخل الولايات المتحدة. تتعارض الفلسفات الأوروبية والأمريكية حول خصوصية البيانات تمامًا . (في الأساس ، وجهة النظر الأوروبية هي أن البيانات الشخصية خاصة ما لم تمنح إذنًا صريحًا. وجهة النظر الأمريكية هي أن بياناتك عامة ما لم تطلب صراحةً الاحتفاظ بها خاصة.) ولكن نظرًا لكونهما أكبر سوقين للمستهلكين في العالم ، فإنهم بحاجة إلى تجارة. لذلك طور الاتحاد الأوروبي والولايات المتحدة Privacy Shield.

تم تصميم Privacy Shield لتمكين الشركات الأمريكية من معالجة بيانات مواطني الاتحاد الأوروبي ، طالما أن هذه الشركات قد سجلت أعلى معايير الخصوصية الخاصة بها.

لكن بموجب القانون الأمريكي ، لا يزال بإمكان الحكومة الأمريكية مراقبة تلك البيانات. تم الطعن في هذا في قضية رفعها المدافع النمساوي عن الخصوصية ماكس شريمس. انحازت CJEU معه: تم إسقاط Privacy Shield ولم يُعطَ 5300 شركة أمريكية صغيرة ومتوسطة الحجم ممن استخدموا Privacy Shield أي خيار سوى تبني البنود التعاقدية القياسية المنصوص عليها في الاتحاد الأوروبي.

من الواضح أنه من مصلحة الجميع استبدال درع الخصوصية - وسيكون كذلك. لكن الخبراء يقولون إنه من المرجح أن يتم إلغاء استبدالها مرة أخرى في الوقت المناسب لأن المقاربات الأوروبية والأمريكية للخصوصية غير متوافقة بشكل أساسي.

وفي الوقت نفسه ، في ولاية كاليفورنيا ، تم تعزيز قانون خصوصية المستهلك في كاليفورنيا (CCPA) المستوحى من إجمالي الناتج المحلي لعام 2018 في نوفمبر 2020 عندما تم تمرير قانون حقوق الخصوصية في كاليفورنيا (CPRA).

قانون خصوصية المستهلك في كاليفورنيا (CCPA)

CCPA ، التي دخلت حيز التنفيذ في يناير 2020 ، تمنح مواطني كاليفورنيا الحق في إلغاء الاشتراك في بيع بياناتهم . يمكنهم أيضًا طلب الكشف عن أي بيانات تم جمعها ويمكنهم طلب حذف هذه البيانات. على عكس القانون العام لحماية البيانات (GDPR) ، فإن قانون خصوصية المستهلك في كاليفورنيا (CCPA) ينطبق فقط على الشركات التجارية:

  • الذي يعالج بيانات أكثر من 50000 من سكان كاليفورنيا سنويًا ، أو
  • الذين يحققون إيرادات إجمالية تزيد عن 25 مليون دولار سنويًا ، أو
  • الذين يحققون أكثر من نصف إيراداتهم السنوية من بيع البيانات الشخصية لسكان كاليفورنيا

قانون حقوق الخصوصية في ولاية كاليفورنيا (CPRA)

يتجاوز قانون حماية الطفل ، الذي يدخل حيز التنفيذ في يناير 2023 ، قانون كاليفورنيا لحماية خصوصية المستهلك. تشمل نقاطه الرئيسية ما يلي:

  • إنه يرفع من العوائق أمام الشركات التي تعالج بيانات 100،000 من سكان كاليفورنيا سنويًا
  • يوفر مزيدًا من الحماية للبيانات الحساسة لسكان كاليفورنيا ، مثل العرق والدين والتوجه الجنسي والبيانات الصحية والهوية الحكومية
  • يضاعف غرامات انتهاك بيانات القاصرين ثلاث مرات
  • إنه يمنح سكان كاليفورنيا الحق في طلب تصحيح بياناتهم
  • يُلزم الشركات بالمساعدة في تحقيقات CPRA
  • كما أنشأت وكالة حماية الخصوصية في كاليفورنيا لفرض قانون حماية الخصوصية CPRA
رسم يلخص CPRA
تعمل كاليفورنيا على تشديد تشريعات الخصوصية الخاصة بها مع قانون حماية الطفل ، قادمًا في عام 2023. (معاينة كبيرة)

تحدث المزيد من الدفعات نحو قوانين الخصوصية في ولايات أخرى ، وقد تعزز هذه معًا الحاجة إلى تدابير الخصوصية الفيدرالية في ظل إدارة بايدن الجديدة.

التطوير الكبير رقم 3: الموافقة على ملفات تعريف الارتباط

في مايو 2020 ، حدَّث الاتحاد الأوروبي توجيهاته بشأن اللائحة العامة لحماية البيانات لتوضيح عدة نقاط ، بما في ذلك نقطتان رئيسيتان للموافقة على ملفات تعريف الارتباط:

  • لا تقدم جدران ملفات تعريف الارتباط للمستخدمين خيارًا حقيقيًا ، لأنك إذا رفضت ملفات تعريف الارتباط ، فسيتم منعك من الوصول إلى المحتوى. يؤكد أنه لا ينبغي استخدام جدران ملفات تعريف الارتباط.
  • التمرير أو التمرير عبر محتوى الويب لا يعني الموافقة الضمنية . يكرر الاتحاد الأوروبي أن الموافقة يجب أن تكون صريحة.

سوف أتعمق في هذا في المقالة الثانية الأسبوع المقبل.

إشعار ملف تعريف ارتباط Cyber-Duck مع تشغيل تتبع الإعلانات افتراضيًا
قام الاتحاد الأوروبي بتحديث إرشاداته بشأن الموافقة على ملفات تعريف الارتباط. (معاينة كبيرة)

التطور الكبير رقم 4: بدأت Google و Apple في التحول من تتبع الطرف الثالث

نظرًا لأن اللاعبين الرقميين الكبار يكتشفون كيفية تلبية اللائحة العامة لحماية البيانات - وكيفية تحويل تشريعات الخصوصية لصالحهم - فقد تعرض البعض بالفعل لانتقادات شديدة.

تواجه كل من Google و Apple دعاوى قضائية ضد الاحتكار ، بعد شكاوى من شركات ناشرين وشركات تكنولوجيا adtech.

في كلتا الحالتين ، يقول المشتكون إن شركات التكنولوجيا الكبرى تستغل مكانتها المهيمنة في السوق.

مرة أخرى ، المزيد عن هذا في المرة القادمة.

المزيد بعد القفز! أكمل القراءة أدناه ↓

التطور الكبير رقم 5: الغرامات الكبيرة للائحة العامة لحماية البيانات تأتي على هذا النحو

بالطبع ، قفزت العديد من المنظمات للامتثال للائحة العامة لحماية البيانات لأنها تخشى الغرامات التي قد يطبقها المنظمون. بدأت تلك الغرامات في التدحرج:

فرضت هيئة تنظيم البيانات الفرنسية على Google غرامة قدرها 50 مليون يورو بسبب "الافتقار إلى الشفافية والمعلومات غير الكافية وعدم وجود موافقة صالحة فيما يتعلق بتخصيص الإعلانات" ، قائلة إن المستخدمين "لم يكونوا على دراية كافية" بكيفية ولماذا قامت Google بجمع بياناتهم.

فرضت منظمة ICO المكافئة لها في المملكة المتحدة غرامة قدرها 18.4 مليون جنيه إسترليني على مجموعة فنادق ماريوت الدولية الأمريكية ، وذلك لفشلها في الحفاظ على أمان 339 مليون سجل نزيل. لم يتم اكتشاف الهجوم الإلكتروني لعام 2014 على فنادق ومنتجعات Starwood Worldwide، Inc. ، التي استحوذت عليها شركة ماريوت في عام 2016 ، حتى عام 2018.

كما فرضت منظمة ICO في المملكة المتحدة غرامة قياسية قدرها 20 مليون جنيه إسترليني على شركة الخطوط الجوية البريطانية لخرق بيانات عام 2018 لبيانات 400000 من البيانات الشخصية وبيانات بطاقات الائتمان الخاصة بالعملاء.

ثم هناك مفضلتي الشخصية ، خرق صادم لثقة الموظف من قبل H&M أدى إلى غرامة قدرها 35 مليون يورو.

هذا هو المكان الذي نقف فيه اليوم.

ماذا يعني هذا بالنسبة لك؟

بصفتنا مصممين ومطورين ، كان للائحة العامة لحماية البيانات - وسيظل لها - تأثير كبير في المنتجات التي نصممها ونبنيها ، والطريقة التي نصمم بها البيانات.

إليك ما يجب أن نعرفه كمصممين

  • تعد اللائحة العامة لحماية البيانات (GDPR) أمرًا بالغ الأهمية بالنسبة لك لأنك ستصمم النقاط التي يشارك فيها المستخدمون بياناتهم ، والبيانات التي يتم جمعها ، وكيفية معالجتها.
  • اتبع الخصوصية حسب أفضل ممارسات التصميم. لا تحاول إعادة اختراع العجلة - إذا قمت بإنشاء لافتة ملف تعريف ارتباط متوافقة ، فاستخدم نمط التصميم المثبت الخاص بك.
  • اعمل مع فرق الامتثال والتطوير لديك لضمان تلبية التصميمات للائحة العامة لحماية البيانات وإمكانية تنفيذها. اسأل فقط عن البيانات التي تحتاجها.
  • أخيرًا ، اسأل المستخدمين عن البيانات التي يفضلون مشاركتها وكيف يرغبون في استخدامها. إذا وجدوا الأمر مخيفًا ، فقم بإعادة النظر في نهجك.

إليك ما يجب أن نعرفه كمطورين

  • يعد القانون العام لحماية البيانات (GDPR) أمرًا بالغ الأهمية بالنسبة لك لأنك تقوم بتمكين معالجة البيانات ومشاركتها وتكاملها.
  • كقاعدة عامة مع القانون العام لحماية البيانات (GDPR) ، اتبع نهج الحاجة للوصول . ابدأ بتنفيذ كل شيء بدون وصول ، ثم امنح فريقك حق الوصول إلى البيانات فقط عندما يكون ذلك ضروريًا (على سبيل المثال ، منح المطورين الوصول إلى وحدة تحكم Google Analytics). تدقيق وتوثيق كما تذهب.
  • اتبع الخصوصية حسب التصميم والأمان من خلال مبادئ التصميم. تعد القوالب القوية والآمنة لتنفيذ البنية التحتية أمرًا أساسيًا.
  • تأكد من أنك مشترك مسبقًا في الجوانب التقنية مثل الموافقة على ملفات تعريف الارتباط / تتبع المحادثات ، بحيث يمكن تنفيذ ما تم تحديده.
  • يُظهر تخطيط العملية مكان مشاركة البيانات مع أجزاء مختلفة من العمل.
  • توفر الأتمتة معالجة آمنة للبيانات تقضي على الأخطاء البشرية. كما أنه يساعد في منع وصول الأشخاص الخطأ إلى البيانات.
  • ستساعدك قوائم مراجعة القانون العام لحماية البيانات ( GDPR ) والكتب التي يتم تشغيلها بالطبع على إدارة العملية الخاصة بك. مرة أخرى ، قم بالتدقيق والتوثيق كما تذهب.

لنرى الآن كيف ستتطور اللائحة العامة لحماية البيانات في المستقبل القريب. سنركز على ثلاثة مجالات.

ثلاثة مجالات يتطور فيها القانون العام لحماية البيانات بسرعة

1. كيف يقوم الاتحاد الأوروبي بتنفيذ اللائحة العامة لحماية البيانات

أولاً ، دعنا نرى كيف سيتم تضمين اللائحة العامة لحماية البيانات بشكل أكبر في المشهد التشريعي.

يريد الاتحاد الأوروبي الحفاظ على اتساق الدول الأعضاء فيه ، لأن ذلك سيجعل الدعاوى عبر الحدود والتعاون الدولي أسهل. لذا فقد شددت على أنه لا ينبغي للبلدان أن تحيد عن اللائحة العامة لحماية البيانات أو تتجاوزها. بعض الدول الأعضاء ، كما قلت ، تتشدق باللوائح. يريد آخرون تجاوز معايير القانون العام لحماية البيانات (GDPR).

في مقابل مواءمتها ، سيقوم الاتحاد الأوروبي بفرض الامتثال ، والعمل على تمكين الإجراءات الجماعية والدعاوى عبر الحدود الأرخص ثمناً ، وكذلك تعزيز الخصوصية والمعايير المتسقة خارج الاتحاد الأوروبي. بالإضافة إلى الدعم والأدوات الإضافية للشركات الصغيرة والمتوسطة ، قد نرى أيضًا شهادة للأمان وحماية البيانات حسب التصميم.

أخيرًا ، قد يثير هذا بعض الدهشة في وادي السيليكون: لقد ألمح الاتحاد الأوروبي إلى أنه قد يفكر في فرض حظر على معالجة البيانات لتشجيع الامتثال . إن الغرامات التي تبلغ 50 مليون يورو ليست نهاية العالم لشركة Google والأصدقاء. لكن الوقت المستغرق في الخطوة الشريرة - والعلاقات العامة السيئة الناتجة - أمر مختلف تمامًا.

2. كيف يعمل القانون العام لحماية البيانات مع الابتكار

تم تصميم القانون العام لحماية البيانات (GDPR) ليكون محايدًا من الناحية التكنولوجية ولدعم الابتكار وليس إعاقته. تم اختبار ذلك بالتأكيد على مدار الاثني عشر شهرًا الماضية ، ويشير الاتحاد الأوروبي إلى الانتشار السريع لتطبيقات COVID-19 كدليل على أن تشريعاته تعمل.

يمكننا أن نتوقع رؤية قواعد سلوك لفئات البيانات الحساسة (الصحة والبحث العلمي). سيكون هذا موضع ترحيب.

ومع ذلك ، فهم يراقبون المبتكرين عن كثب. أعرب الاتحاد الأوروبي عن قلقه بشأن خصوصية البيانات في الفيديو وأجهزة إنترنت الأشياء و blockchain. إنهم قلقون بشكل خاص بشأن التعرف على الوجه (والصوت المفترض) والتطورات في الذكاء الاصطناعي.

والجدير بالذكر أن المفوضية قلقة للغاية بشأن ما تسميه "شركات التكنولوجيا متعددة الجنسيات" و "المنصات الرقمية الكبيرة" و "الإعلان عبر الإنترنت والاستهداف الدقيق". نعم ، مرة أخرى ينظر إليك وإلى Facebook و Amazon و Google والأصدقاء.

3. كيف يروج الاتحاد الأوروبي لمعايير اللائحة العامة لحماية البيانات خارج الاتحاد الأوروبي

إن اقتصادنا الرقمي عالمي ، لذا فإن تأثير اللائحة العامة لحماية البيانات يتخطى حدود الاتحاد الأوروبي - وليس فقط من حيث الامتثال. يضع الاتحاد الأوروبي شريطًا لتشريعات حماية البيانات في جميع أنحاء العالم. ما وراء قانون كاليفورنيا لحماية خصوصية المستهلك في كاليفورنيا ، انظر LGPD في البرازيل ، بالإضافة إلى التطورات في كندا وأستراليا والهند ومجموعة من الولايات الأمريكية.

بالطبع ، من مصلحة الاتحاد الأوروبي أن تتطابق الدول والكتل التجارية الأخرى مع معاييرها. لذلك فهي تروج للائحة العامة لحماية البيانات (GDPR) عبر عدة طرق :

  • من خلال "قرارات الملاءمة المتبادلة" مع اليابان وقريبًا كوريا الجنوبية
  • جزء لا يتجزأ من اتفاقيات التجارة الثنائية على سبيل المثال مع نيوزيلندا وأستراليا والمملكة المتحدة
  • من خلال منتديات مثل OECD و ASEAN و G7 و G20
  • من خلال أكاديمية حماية البيانات التابعة للاتحاد الأوروبي والمنظمين الدوليين

وهي حريصة بشكل خاص على تمكين الابتكار من خلال تدفقات البيانات الموثوقة وتمكين التعاون الدولي بين سلطات إنفاذ القانون والمشغلين من القطاع الخاص.

يتصدر الاتحاد الأوروبي العالم في مجال حماية البيانات. حيث يذهب ، سيتبعه الآخرون. لذا ، حتى لو لم تكن تصمم / تطور لجمهور من الاتحاد الأوروبي ، عليك أن تكون على دراية بما يحدث.

"

ماذا يعني كل هذا بالنسبة للشركات في الاتحاد الأوروبي؟

يتعين على الشركات التي تعمل في الاتحاد الأوروبي الامتثال للائحة العامة لحماية البيانات أو المخاطرة بتغريمها . يمكن أن تكون هذه الغرامات باهظة ، كما رأينا. لذلك يجب أن تكون قادرًا على إثبات التزامك بالمبادئ السبعة للائحة العامة لحماية البيانات (GDPR) وبإرشادات محددة من هيئة حماية البيانات الوطنية.

ومع ذلك ، هذا ليس واضحًا كما يبدو ، وقد تختار تقييم المخاطر في بعض الحالات. سآخذك من خلال مثال على ذلك في المرة القادمة.

ماذا يعني هذا بالنسبة للشركات الموجودة خارج الاتحاد الأوروبي؟

الآثار المترتبة على الشركات التي تقع خارج الاتحاد الأوروبي هي نفسها تمامًا مثل تلك الخاصة بدول الاتحاد الأوروبي ، إذا قامت بمعالجة البيانات الشخصية من الاتحاد الأوروبي. ذلك لأن القانون العام لحماية البيانات (GDPR) ينطبق على البيانات الشخصية للأشخاص المقيمين في الاتحاد الأوروبي. إذا كنت ترغب في معالجتها ، على سبيل المثال للبيع للعملاء في الاتحاد الأوروبي ، فيجب عليك الالتزام بالقواعد. خلاف ذلك ، فإنك تخاطر بدفع غرامة ، مثل Facebook و Google.

وإليك كيفية تطبيق ذلك : إذا كان لديك وجود في الاتحاد الأوروبي ، كما تفعل العديد من الشركات متعددة الجنسيات ، ولا تدفع غرامة الناتج المحلي الإجمالي ، فقد يتم الاستيلاء على أصولك في الاتحاد الأوروبي. إذا لم يكن لديك حضور ، فأنت ملزم بموجب اللائحة العامة لحماية البيانات بتعيين ممثل في الاتحاد الأوروبي. سيتم فرض أي غرامات من خلال هذا الممثل. بدلاً من ذلك ، قد تواجه دعوى قضائية دولية معقدة ومكلفة .

وهنا حيث يصبح الأمر معقدًا للجميع:

إذا كانت قاعدة عملائك تتضمن أشخاصًا في الاتحاد الأوروبي ومواطنين من أماكن أخرى مع قوانين الخصوصية ، مثل ولاية كاليفورنيا ، فيجب عليك الامتثال لقانون خصوصية المستهلك في كاليفورنيا ( CCPA ) واللائحة العامة لحماية البيانات (GDPR). تتوافق هذه المجموعات من التشريعات بشكل عام - لكنها غير متطابقة.

خذ ملفات تعريف الارتباط ، على سبيل المثال. بموجب القانون العام لحماية البيانات (GDPR) ، يجب أن تحصل على موافقة نشطة من المستخدم قبل أن تضع ملف تعريف ارتباط على أجهزته ، وتحظر تلك المطلوبة بشدة لكي يعمل موقعك.

ومع ذلك ، بموجب قانون خصوصية المستهلك في كاليفورنيا (CCPA) ، يجب عليك الكشف عن البيانات التي تجمعها ، وتمكين عميلك من رفض الإذن ببيع بياناته. لكن لا يتعين عليهم الاتفاق بنشاط على أنه يمكنك جمعها.

لهذا السبب يدفع الاتحاد الأوروبي للمعايير الدولية لتبسيط الامتثال العالمي.

ملحوظة : إذا كنت في الولايات المتحدة وتنتظر بفارغ الصبر استبدال Privacy Shield ، فقد ترغب في أخذ ورقة من كتاب Microsoft بدلاً من ذلك - فقد صرحوا وآخرون أنهم سيلتزمون باللائحة العامة لحماية البيانات بدلاً من الاعتماد على أي آليات ثنائية للتمكين معالجة البيانات.

ما الدروس التي يمكن لمصممي الويب والمطورين تعلمها من اللائحة العامة لحماية البيانات؟

تنظيم الخصوصية موجود لتبقى ويؤثر على جميع أولوياتنا وسير العمل. فيما يلي ستة دروس يجب تذكرها أثناء التعامل مع بيانات العملاء:

  1. كان علينا أن نعدو سريعًا للامتثال للقانون العام لحماية البيانات (GDPR). الآن هو ماراثون.
    نحن نعلم أن اللائحة العامة لحماية البيانات ستستمر في التطور جنبًا إلى جنب مع التكنولوجيا التي تهدف إلى تنظيمها. هذا يعني أن المطالب علينا لن تبقى كما هي. ليس ذلك فحسب ، بل ألهمت اللائحة العامة لحماية البيانات تشريعات مماثلة - ولكن ليست متطابقة - حول العالم. تم تعيين هذه المتطلبات القانونية لمواصلة التطور.
  2. الامتثال يبني ميزة تنافسية.
    في حين أن الغرامات الرئيسية الأولى للائحة العامة لحماية البيانات كانت مروعة للعين ، إلا أنها في الواقع الدعاية السلبية التي يقول الكثيرون إنها الأكثر ضررًا. من يستفيد من تسرب البيانات الكبير؟ منافسي الشركة. من ناحية أخرى ، إذا قمت بتضمين الامتثال للقانون العام لحماية البيانات (GDPR) أثناء تقوية عمليات التصميم والتطوير الخاصة بك ، فستكون قادرًا بشكل أفضل على التكيف مع تطور اللوائح.
  3. يرتبط الامتثال للقانون العام لحماية البيانات (GDPR) ونتائج COVID-19 الأفضل بتصميم يركز على المستخدم.
    نحن نعلم أن الشركات التي بدأت في التحول الرقمي كانت أكثر قدرة على التكيف مع أزمة COVID-19. يدعم التصميم الذي يركز على المستخدم الناتج المحلي الإجمالي أيضًا. إنه يحتوي على العملية والتركيز على العملاء اللذين تحتاجهما لإنشاء منتجات تتوافق مع فكرة أن بيانات العميل ثمينة ويجب حمايتها. سيؤدي ذلك إلى تسهيل تطوير منتجاتك بما يتماشى مع التشريعات المستقبلية.
  4. يمكنك بناء الامتثال في منتجاتك الرقمية.
    الخصوصية حسب التصميم موجودة لتبقى. إذا كنت تستخدم بالفعل تصميم الخدمة ، فيمكنك تضمين معلومات العميل كطبقة بيانات في مخططات الخدمة الخاصة بك. إذا لم تفعل ذلك ، فهذا هو الوقت المناسب للبدء. يُبرز تعيين مكان جمع البيانات ومعالجتها وتخزينها نقاط الضعف التي قد تحدث فيها انتهاكات محتملة. ستساعد أدوات الامتثال الآلي في تخفيف العبء على الشركات ، بالإضافة إلى أن لديها القدرة على جعل معالجة البيانات أكثر أمانًا.
  5. تدعم اللائحة العامة لحماية البيانات (GDPR) الابتكار - إذا قمت بذلك بشكل صحيح.
    يحذر البعض من أن القانون العام لحماية البيانات (GDPR) يخنق الابتكار من خلال تقييد تدفق البيانات وخاصة عن طريق منع الشركات من الابتكار باستخدام البيانات. يشير آخرون إلى فرص الابتكار باستخدام blockchain و IoT و AI بطريقة آمنة وحيث تكون البيانات محمية. الحقيقة؟ نعم ، بالطبع ، يمكنك أن تبتكر وأن تكون متوافقًا مع اللائحة العامة لحماية البيانات (GDPR). لكن الأخلاق في الذكاء الاصطناعي أمر حيوي: يجب أن تحترم عملائك وبياناتهم.
  6. راقب شركاء الطرف الثالث.
    هذا يعود إلى قرار وحدات التحكم المشتركة أعلاه. تشارك الشركات الآن المسؤولية عن بيانات العملاء مع أي أطراف ثالثة تقوم بمعالجتها ويجب توثيق هذه المعالجة. يمكنك أن تتوقع أن تكون عمليات الفحص والمراقبة والالتزامات التعاقدية من طرف ثالث أولوية للشركات من الآن فصاعدًا.

إليك كيف يمكن أن تتطور اللائحة العامة لحماية البيانات

تفو. هذا الكثير يجب أخذه في الاعتبار. ولكن بالنظر إلى الأمام ، هنا حيث أراهن أننا سنرى التغيير.

  1. ستستمر اللائحة العامة لحماية البيانات في التطور ، مع الوضوح الذي يأتي من حالات الاختبار وربما المزيد من التشريعات بما في ذلك لائحة الخصوصية الإلكترونية.
  2. سيواصل الاتحاد الأوروبي تعزيز التبني الدولي لقانون خصوصية البيانات. سنرى المزيد من البلدان تتبنى حماية البيانات ، وغالبًا ما يتم دمجها في اتفاقيات التجارة والأمن.
  3. إذا كنا محظوظين ، فقد نبدأ في رؤية تقارب دولي لتشريعات خصوصية البيانات - خاصةً إذا نفذت الولايات المتحدة خصوصية البيانات على المستوى الفيدرالي.
  4. لكننا سنشهد أيضًا المزيد من الاشتباكات بين الاتحاد الأوروبي والولايات المتحدة ، بسبب مقاربتهما المتعارضة تجاه الخصوصية.
  5. نظرًا لأن "البيانات هي الزيت الجديد" ، يمكننا أن نرى المزيد من المواقف حيث يتلقى المستخدمون منتجات وخدمات مجانية من خلال التخلي عن البيانات من خلال ملفات تعريف الارتباط.
  6. ستتحول الشركات بعيدًا عن ملفات تعريف الارتباط للجهات الخارجية وتتجه نحو التتبع والأتمتة من جانب الخادم ، من أجل الحفاظ على امتثالها.
  7. ستتبنى الشركات أدوات وعملية الخصوصية حسب التصميم (PdB) وتصميم الخدمة ، لمساعدتها على الالتزام بمجموعات متعددة من قوانين الخصوصية.
  8. وأخيرًا - وهذا مؤكد - سنرى المزيد والمزيد من دعاوى الخصوصية . من الذي سيظهر كفائز - التكنولوجيا الكبيرة أم المدافعون عن الخصوصية؟ لا أعرف ، لكن يمكننا أن نكون متأكدين من شيء واحد: محامو الخصوصية سيجنون الكثير من المال.

كلمة أخيرة على الثقة

إن الموضوع الذي تقوم عليه اتصالات المفوضية الأوروبية وتعليقات خبراء الصناعة هو الثقة . تحتاج الوكالات الرقمية مثلنا الآن إلى تقديم دليل على أمان البيانات والامتثال للائحة العامة لحماية البيانات - حتى وصولاً إلى سياسات تدريب الموظفين لحماية البيانات. ذلك جديد. تتمثل أولوية الاتحاد الأوروبي في دعم تدفقات البيانات الآمنة والآمنة والابتكار ، سواء داخل الاتحاد الأوروبي أو خارجه. الامتثال للمعايير هو الحل الخاص بهم لهذا الغرض. ونحن ، كمصممين ومطورين ، لدينا دور حاسم نلعبه.

  • الجزء 1: اللائحة العامة لحماية البيانات ، والتحديثات الرئيسية وما تعنيه
  • الجزء 2: الموافقة على ملفات تعريف الارتباط للمصممين والمطورين

قراءة متعمقة

  • حماية البيانات ، موقع الاتحاد الأوروبي
  • إرشادات ICO في المملكة المتحدة بشأن ملفات تعريف الارتباط
  • متتبع إنفاذ القانون العام لحماية البيانات (GDPR) ، سجلات غرامات المطبقة بموجب القانون العام لحماية البيانات (GDPR)
  • قائمة مراجعة القانون العام لحماية البيانات (GDPR) ، بواسطة Cyber-Duck (مكان رائع للبدء)
  • نظرة عامة على قانون حماية البيانات في الولايات المتحدة ، بواسطة ICLG
  • دليل مقارنة GDPR & CCPA ، بواسطة DataGuidance و Future of Privacy Forum
  • CCPA مقابل CPRA ، من IAPP
  • الأمن حسب التصميم (أمازون)
  • كيف تحمي المستخدمين من خلال إطار الخصوصية حسب التصميم ، مجلة هيذر بيرنز ، سماشينج