للحفاظ على أمان بيانات المستهلكين، قام الاتحاد الأوروبي بتطبيق قانون صارم للخصوصية والأمن يُعرف باسم اللائحة العامة لحماية البيانات (GDPR). اللائحة العامة لحماية البيانات تحدد وتنفذ حقوق مواطني الاتحاد الأوروبي فيما يتعلق ببياناتهم الشخصية. وهي تطبق معايير المساءلة والأمان والشفافية في استخدام تلك البيانات.

تحتاج الشركات العالمية التي تعمل في الاتحاد الأوروبي أو تتعامل مع البيانات الشخصية من الاتحاد الأوروبي إلى فهم كيف ستؤثر اللائحة العامة لحماية البيانات عليها وكيفية الحفاظ على اللائحة العامة لحماية البيانات.

يتمثل أحد جوانب هذا الامتثال في تنفيذ اتفاقية معالجة البيانات (DPA). تحدد اتفاقية معالجة البيانات الخاصة باللائحة العامة لحماية البيانات (GDPR) التفاصيل والقواعد والحقوق والالتزامات المرتبطة بأنشطة معالجة البيانات. يساعد ذلك في ضمان امتثال الشركة، وتأمين البيانات، والحفاظ على حماية المستهلكين ورضاهم.

يقدم هذا الدليل نظرة فاحصة على كيفية عمل DPA وما يجب تضمينه في DPA.

ما هو قانون حماية البيانات (DPA) بموجب اللائحة العامة لحماية البيانات (GDPR)؟

اتفاقية معالجة البيانات هي عقد موقّع بين وحدات التحكم بالبيانات ومعالجي البيانات الذين سيتعاملون مع بياناتهم. ويشترط الالتزام باللائحة العامة الكاملة والبيانات الخاصة بكم.

تحدد DPA طبيعة وغرض ومدة أنشطة المعالجة التي ستتم. كما تحدد أيضًا نوع البيانات الشخصية التي ستتم معالجتها وفئات الأفراد التي تنتمي إليها البيانات. وهي تحدد الحقوق والالتزامات التي ستتمتع بها وحدة التحكم. يمكن أن تحدد استخدام تدابير الأمان الفنية، مثل مستوى معين من التشفير، الذي يجب أن يكون في مكانه.

اتفاقية حماية البيانات ملزمة قانونًا، ويجب على مراقب البيانات ومعالجها الالتزام بها وإلا سيواجهان عقوبات شديدة.

الفائدة الرئيسية لـ DPA هي أنها تضمن مؤهلات وموثوقية معالج البيانات. تحتاج الشركات إلى معرفة أن بياناتها في أيد أمينة وأنها خاصة وآمنة من أعين المتطفلين. وتساعد اتفاقية DPA على توفير تلك الضمانات.

من المرجح أن يكون للائحة العامة لحماية البيانات ومتطلبات DPA تأثيرات كبيرة على العمليات التجارية في المستقبل. قد تتغير المعاملات التجارية مع ازدياد محدودية جمع البيانات الشخصية، وضرورة التواصل بشأن جمع البيانات وتخزينها، واحتياج علاقات البائعين الخارجيين إلى عقود أكثر صرامة. ستشعر الشركات الفردية وإداراتها البشرية بتأثيرات واسعة النطاق عندما تقوم بتكييف عملياتها لتتوافق مع متطلبات اللائحة لحماية البيانات العامة.

تتمثل الميزة الإيجابية لمتطلبات اللائحة العامة لحماية البيانات في أن الثقة قد تزدهر في مجال الأعمال حيث يصبح الناس أكثر ثقة في خصوصية بياناتهم وحمايتها.

متى تكون اتفاقية معالجة البيانات مطلوبة؟

هل تحتاج إلى اتفاقية معالجة البيانات؟ يمكنك التعامل مع البيانات الشخصية في الاتحاد الأوروبي أو منه.

بموجب اللائحة العامة لحماية البيانات (GDPR)، فإن وثيقة اتفاقية حماية البيانات (DPA) إلزامية كلما قام شخص أو منظمة بتقديم بيانات شخصية إلى مزود خدمة تابع لجهة خارجية لخدمة تعاونية. يجب على أي أطراف تعمل كمعالجي بيانات توقيع DPAs مع وحدات التحكم في البيانات.

على سبيل المثال، في الاتحاد الأوروبي، يجب على الخدمة التي تستضيف موقعًا إلكترونيًا أن توقع اتفاقية حماية البيانات مع الشركة التي ينتمي إليها الموقع. يجب على الشركة التي تعالج البيانات الشخصية لتوفير تسويق موجه للمستهلكين أيضاً توقيع اتفاقية حماية البيانات.

فيما يلي العديد من خدمات وسيناريوهات الأعمال الشائعة الأخرى التي تتطلب DPA:

  • إدارة البريد الإلكتروني بمساعدة المصادر الخارجية
  • حلول معالجة البيانات الفنية للمحاسبة المالية وكشوف المرتبات
  • خدمات النسخ الاحتياطي للبيانات، إما عبر الخوادم الفعلية أو في السحابة
  • جمع البيانات أو الرقمنة من خلال مزود خدمة خارجي
  • التخلص من الأجهزة القديمة التي تحتوي على بيانات حساسة

في بعض الحالات، يمكن أن تطلب اللائحة العامة لحماية البيانات توفير حماية البيانات للشركات خارج أوروبا. يتم تطبيق هذا المطلب في أي وقت يتم فيه تضمين بيانات الاتحاد الأوروبي. على سبيل المثال، قد تخضع شركة مقرها في كندا لمتطلبات قانون حماية البيانات إذا كانت تتعامل مع بيانات تتعلق بمواطني الاتحاد الأوروبي.

متى لا تكون DPA مطلوبة؟

عندما لا يكون جدول DPA مطلوبًا بما في ذلك الشراكات وخدمات البوابة ووكالات التجميع وإدارة البيانات المشتركة من شركات متعددة.

لا تتطلب العديد من السيناريوهات المحددة DPAs. لديهم حماية مدمجة تجعل حماية DPA غير ضرورية. ضع في اعتبارك ما يلي حتى تتمكن من فهم التزامات شركتك بشكل أفضل في هذه الظروف:

  1. الشراكات مع المجموعات المهنية التي لديها متطلبات السرية: في العديد من المهن، تتمثل أفضل الممارسات في أن يكون لدى مزودي الخدمة اتفاقيات سرية مخصصة خاصة بالصناعة تغطي جميع التدابير الأمنية ومتطلبات الخصوصية التي قد تتطلبها DPA. بعض المهن التي تستخدم اتفاقيات السرية هذه بشكل عام تشمل القانون والاستشارات الضريبية والتدقيق المالي. عادةً ما تأتي العديد من خدمات الرعاية الصحية مع ضمانات السرية الصارمة الخاصة بها.
  2. خدمات البوابة: عادةً ما تُعفى الخدمات التي تربط الأشخاص أو الكيانات فقط من متطلبات DPA. خدمات التوفيق بين المحترفين هذه مؤقتة جدًا لدرجة أن DPA لن يكون لها فائدة تذكر. يقع المجندون في هذه الفئة، على سبيل المثال. إنهم ببساطة يربطون الأشخاص الذين يبحثون عن عمل بالشركات التي تبحث عن أعضاء فريق جدد موهوبين. هذا السيناريو يجعل DPA مع المجند غير ضروري.
  3. العمل مع وكالات تحصيل الديون: تحصل وكالات تحصيل الديون على المعلومات المالية الشخصية والمعلومات الطبية. نظرًا لأن وكالات التحصيل منفصلة عن الدائنين الأصليين وتقوم بتحصيل الديون لتحقيق مكاسب خاصة بها، فهي معفاة من متطلبات DPA. إذا كانوا يعملون نيابة عن الدائنين الأصليين، فستحتاج وكالات التحصيل إلى توقيع اتفاقيات DPA.
  4. إدارة البيانات المشتركة من شركات متعددة: في بعض الحالات، تعمل الشركات كمجموعة لإدارة مجموعة من البيانات. يحدث هذا السيناريو غالبًا عندما يكون لدى الشركات وصول مشترك إلى البيانات من الموردين أو المنتجات أو العملاء المحتملين للمبيعات. على الرغم من أن الشركات قد تكون منافسة، إلا أنها تستخدم نفس البيانات لنفس الأغراض العامة. يعني حجم استخدام البيانات هذا عمومًا أن DPA ليس إلزاميًا.
  5. التجارب السريرية: لا تستخدم التجارب الصيدلانية السريرية واسعة النطاق عادةً DPAs بسبب المساهمين العديدين الذين تنطوي عليهم. يمكن للأطباء ومراكز الأبحاث والجهات الراعية الوصول إلى بيانات الموضوع، ويقومون جميعًا بمعالجتها بشكل مختلف وفقًا لاحتياجاتهم. كما تخدم البيانات التي تم جمعها بشكل عام أغراضًا مختلفة طوال التجربة السريرية. في ظل هذه الظروف، لا تنطبق DPAs بشكل عام.

من هي وحدة التحكم في البيانات؟

تتم كل اتفاقية DPA بين وحدة تحكم البيانات ومعالج البيانات. وحدة التحكم في البيانات هي المنظمة أو الفرد الذي يحدد كيفية وسبب معالجة البيانات الشخصية. إذا قررت شركتك إرسال البيانات إلى طرف ثالث لعمل نسخة احتياطية على خوادمها، فإن شركتك هي المتحكمة في البيانات.

السمة المميزة لوحدة التحكم في البيانات هي سلطة اتخاذ القرار. تتخذ وحدة التحكم في البيانات قرارات شاملة حول أسباب جمع البيانات والطرق التي يجب أن تتم بها معالجة البيانات الشخصية.

في معظم الحالات، تكون الشركة أو المؤسسة هي المتحكمة في البيانات. معالج البيانات هو كيان منفصل يتعاقد مع الشركة. قد يكون فرد مثل المالك الوحيد أو العامل المستقل أيضًا متحكمًا في البيانات إذا اتخذ هذا الشخص قرارات بشأن جمع البيانات الشخصية ومعالجتها.

من هو معالج البيانات؟

معالج البيانات هو الطرف الثالث الذي يعالج البيانات لوحدة تحكم البيانات. في السيناريو المذكور أعلاه، إذا قررت شركتك إرسال بياناتك للنسخ الاحتياطي، فإن الشركة التي تقدم خدمات النسخ الاحتياطي هي معالج البيانات.

يمكن أن يتخذ معالج البيانات عدة أشكال. قد تكون شركة أو فرداً أو سلطة عامة. المعيار ذو الصلة هو ما إذا كان هذا الفرد أو الكيان يعالج البيانات نيابة عن وحدة تحكم البيانات أم لا.

ماذا تتضمن وثيقة DPA؟

تحدد المواد 28-36 من اللائحة العامة لحماية البيانات الالتزامات التعاقدية الإلزامية لمعالج البيانات بموجب قواعد قانون حماية البيانات في اللائحة العامة لحماية البيانات. فيما يلي بعض بنود DPA المطلوبة:

1. تحليل شامل لتفاصيل معالجة البيانات

يجب أن تقدم DPA تفاصيل شاملة حول كيفية حدوث كل جانب من جوانب معالجة البيانات. يجب أن تتضمن DPA معلومات واضحة حول مواضيع مثل:

  • نوع البيانات الشخصية التي ستتم معالجتها
  • موضوع البيانات
  • فئات موضوعات البيانات
  • الغرض من المعالجة وطبيعتها
  • المدة المتوقعة لمعالجة البيانات
  • الأساس القانوني لمعالجة البيانات الشخصية
  • إرجاع البيانات الشخصية أو حذفها في نهاية المعالجة

2. حقوق ومسؤوليات وحدة التحكم في البيانات والمعالج

تضمن DPA الوضوح حول من يتحكم في معالجة البيانات.

عند تحديد الحقوق والمسؤوليات لكلا الطرفين، تضمن DPA الوضوح حول من يتحكم في معالجة البيانات.

يجب أن تنص DPA صراحة على أن معالج البيانات يجب أن يقوم بالمعالجة وفقًا لرغبات ومواصفات وحدة التحكم في البيانات. يجب أن تحدد أن وحدة التحكم، وليس المعالج، تحتفظ بالتحكم الكامل في البيانات وما يحدث لها.

يجب أن توجه DPA معالج البيانات لمعالجة البيانات فقط وفقًا للتعليمات المباشرة لوحدة التحكم في البيانات، مع الخروج عن تلك التعليمات فقط عندما تتطلب قوانين الاتحاد الأوروبي أو إحدى قوانين الدول الأعضاء ذلك.

3. تدابير السرية المطلوبة لمعالج البيانات

يجب أن تحدد DPA البروتوكولات التي يجب أن يتبعها معالج البيانات لضمان سرية البيانات الشخصية.

على سبيل المثال، يجب أن يطلب معالج البيانات من الموظفين الدائمين والموظفين المؤقتين والمقاولين من الباطن توقيع اتفاقيات السرية قبل أن يتمكنوا من بدء معالجة البيانات الشخصية. المرة الوحيدة التي تصبح فيها اتفاقية السرية غير ضرورية هي عندما يتطلب الالتزام القانوني بالفعل من المعالج ضمان السرية.

4. البروتوكولات الفنية والتنظيمية المطلوبة لأمن المعلومات

يجب أن تحدد DPA إجراءات الأمان التي يجب على معالج البيانات تنفيذها، بما في ذلك تدابير مثل هذه عند الاقتضاء:

  • تشفير البيانات
  • تسمية مستعارة لموضوع البيانات
  • بروتوكولات لضمان سرية البيانات وتوافرها ومرونتها وأمانها لجميع أنظمة معالجة البيانات
  • عمليات استعادة الوصول إلى البيانات الشخصية بعد الهجوم أو الاختراق
  • برنامج منتظم لاختبار وتقييم فعالية جميع التدابير الأمنية

قد يرغب العديد من المعالجات في الحصول على شهادات رسمية أو وضع قواعد سلوك رسمية تشهد على البروتوكولات المنفذة. تساعد إجراءات كهذه في توفير ضمانات بأن معالجة البيانات الخاصة بهم تتوافق تمامًا مع اللائحة العامة لحماية البيانات (GDPR).

5. شروط أي عقود لمقاولين من الباطن

يجب أن تحدد DPA أيضًا المتطلبات التي يجب أن يفرضها معالج البيانات للمقاولين من الباطن. على سبيل المثال، يجب أن يتأكد المعالج من الالتزام بهذه القواعد وأفضل الممارسات:

  • توظيف المقاولين من الباطن فقط بموافقة صريحة وتفويض من وحدة التحكم في البيانات
  • صياغة وتوقيع العقود التي تفرض نفس متطلبات أمان البيانات على المقاول من الباطن التي يجب أن يتبعها معالج البيانات نفسه
  • ضمان امتثال المقاول من الباطن لمتطلبات حماية البيانات
  • إبلاغ وحدة التحكم في البيانات بأي تغييرات تشمل المقاولين من الباطن وإعطاء وحدة التحكم الوقت للرد

6. التزامات التعاون لمعالج البيانات

يجب على معالج البيانات أيضاً أن يسمح لمراقب البيانات بإجراء عمليات تدقيق الامتثال أثناء المعالجة.

يجب أن تحدد DPA متى وكيف يجب أن يتعاون معالج البيانات مع وحدة التحكم في البيانات. على سبيل المثال، يجب أن يتعاون معالج البيانات للمساعدة في حل طلبات الوصول إلى البيانات. يجب أن يتعاون المعالج أيضًا في حماية خصوصية وحقوق موضوعات البيانات، لا سيما من خلال تلبية هذه المتطلبات:

  • ضمان أمان البيانات الشخصية
  • إخطار السلطات وموضوعات البيانات على الفور بانتهاكات البيانات الشخصية
  • إجراء تقييمات أثر حماية البيانات (DPIAs) حسب الحاجة
  • استشارة السلطات ذات الصلة عند ظهور مخاطر البيانات الخطيرة

يجب على معالج البيانات أيضاً أن يسمح لمراقب البيانات بإجراء عمليات تدقيق الامتثال أثناء المعالجة. أثناء عمليات التدقيق، يجب على المعالج أن يقدم على الفور إلى المتحكم جميع المعلومات ذات الصلة لإظهار أنه قد استوفى التزامات الامتثال بموجب المادة 28 من اللائحة العامة لحماية البيانات.

من أفضل الممارسات أيضًا أن يحتفظ المعالج بسجلات لأنشطة المعالجة الخاصة به لإثبات عدم الالتزام باللائحة العامة لحماية البيانات.

ماذا يحدث بعد خرق البيانات بموجب DPA؟

في حالة حدوث خرق للبيانات، تحتاج الشركات المعنية إلى اتخاذ إجراءات محددة وفورية. يجب على شركتك إخطار السلطة الإشرافية المختصة في غضون 72 ساعات إذا كان الخرق يشكل مخاطر جسيمة.

إذا كان الاختراق يشكل خطراً كبيراً على الأشخاص المتضررين، فيجب على شركتك عادةً إخطار هؤلاء الأفراد أيضاً. ومع ذلك، إذا كانت شركتك لديها بالفعل بروتوكولات فعالة للتخفيف من المخاطر التقنية والتنظيمية، فقد لا يكون الإخطار ضروريًا.

على سبيل المثال، تخيل أن شركة بطاقات ائتمان قد تعرضت لاختراق بيانات بسبب هجوم على الخوادم التي كانت تخزن فيها بياناتها. أصبحت المعلومات المالية الشخصية لعملائها معرضة للخطر. أصبحت أسماءهم وعناوين منازلهم ومعلومات الاتصال الإضافية والتفاصيل المالية وتفاصيل أنواع المدفوعات التي أجروها على بطاقات الائتمان الخاصة بهم علنية.

يتعين على الشركة التي تستضيف الخوادم إخطار السلطات بالاختراق في غضون 72 ساعة. كما سيتعين عليها إخطار شركة بطاقات الائتمان.

من المرجح أن تحتاج الشركة إلى إبلاغ المستهلكين، لأن الكشف عن معلوماتهم الشخصية قد يعرضهم للخطر. قد يؤدي الخرق أيضًا إلى الكشف عن المعلومات الصحية الحساسة والمحمية للمستهلكين إذا كانوا قد سددوا مدفوعات طبية على بطاقات الائتمان الخاصة بهم.

ما هي جزاءات عدم الالتزام باللائحة العامة لحماية البيانات؟ 

في حالة حدوث اختراق للبيانات، ستخضع الشركة التي يتبين عدم امتثالها لإجراءات تأديبية. لا تتلقى المخالفة المحتملة سوى تحذير. قد تخضع حالات عدم الامتثال المؤكدة لواحدة أو أكثر من هذه العقوبات:

  1. توبيخ رسمي
  2. حظر مؤقت أو دائم على معالجة البيانات
  3. غرامة تصل إلى20 ملايين يوروأو 4 % من إجمالي الإيرادات العالمية السنوية للشركة

استعن بخبراء أمن البيانات لمدربك مع G-P

عندما تقوم ببناء فرق متخصصة في أمن البيانات، اعمل مع G-P. بإمكان فرقنا من المحترفين مساعدتك في فهم لوائح اتفاقية معالجة البيانات التي تنطبق على شركتك.

يعد وجود مسؤولي حماية البيانات وغيرهم من المهنيين القانونيين في فريقك أمرًا ضروريًا للبقاء في DPA. باعتبارك مؤسسة عالمية تُدير شؤون الموظفين (EOR))، يساعدك G-P على توظيف ودفع مبلغ إيرلندي موهوب الذي تحتاجه لتحقيق النجاح. نحن نأخذ البيانات الشخصية على محمل الجد، ويمكننا مساعدتك في الامتثال لقوانين العمل المحلية وتأمين معلوماتك السرية أثناء توسيع نطاق شركتك دوليًا.

في G-P ، نساعدك على تسريع عمليات التوظيف الخاصة بك. باستخدام برنامج التوظيف العالمي المتكامل الخاص بنا، يمكنك توظيف أعضاء فريقك الجدد وضمهم ببضع نقرات فقط، مما يوفر الوقت ويبسط أسلوبك في مواجهة تحديات شركة أيرلندي للتوظيف.

اطلب عرضًا اليوم، أو اتصل بنا للتعرف على توظيف متخصصين في أمن البيانات من خلال منصتنا.