اللائحة العامة لحماية البيانات: قواعد جديدة لمعالجة البيانات الشخصية للمقيمين في الاتحاد الأوروبي

تؤثر هذه اللائحة بشكل مباشر على جميع دول الاتحاد الأوروبي البالغ عددها 28 دولة وستحل محل التوجيه الإطاري بشأن حماية البيانات الشخصية 95/46 / EC بتاريخ 24 أكتوبر 1995. أحد الجوانب الدقيقة المهمة للائحة العامة لحماية البيانات هو مبدأ خارج الحدود الإقليمية لتشغيل اللوائح الأوروبية الجديدة لـ معالجة البيانات الشخصية بحيث يجب على الشركات الانتباه لها عن كثب إذا كانت الخدمات تركز على السوق الأوروبية أو الدولية.

توفر اللوائح الجديدة للمقيمين في الاتحاد الأوروبي أدوات للتحكم الكامل في بياناتهم الشخصية. منذ مايو 2018 ، أصبحت مسؤولية انتهاك قواعد معالجة البيانات الشخصية أكثر صرامة: وفقًا لغرامات اللائحة العامة لحماية البيانات (GDPR) بمبلغ يصل إلى 20 مليون يورو أو 4٪ من الدخل العالمي السنوي للشركة. في هذه المقالة ، قمنا بتحليل القواعد الجديدة لمعالجة البيانات الشخصية في الاتحاد الأوروبي وصياغة توصيات للشركات حول كيفية الاستجابة للقانون العام لحماية البيانات (GDPR).

منطقة عمل اللائحة العامة لحماية البيانات (GDPR)

القانون العام لحماية البيانات (GDPR) له تأثير يتجاوز الحدود الإقليمية ويتم تطبيقه على جميع الشركات التي تعالج البيانات الشخصية للمقيمين ومواطني الاتحاد الأوروبي بغض النظر عن موقع هذه الشركة.

بالطبع ، سيتعين على الفروع والمكاتب التمثيلية للمنظمات على أراضي الاتحاد الأوروبي تلبية المتطلبات الجديدة.

سيتم النظر في فئة الموضوعات الأخرى (غير الواضحة) في المثال التالي:

يقع مقر المنظمة خارج أراضي الاتحاد الأوروبي. تبيع المنتجات والخدمات عبر الإنترنت للمستخدمين بما في ذلك المستخدمين من الاتحاد الأوروبي. يتم توفير الخدمات للمستخدمين باللغات المحلية بالعملات المحلية على نطاقات المستوى الأعلى الوطنية لدول الاتحاد الأوروبي (مثل .de أو .nl أو .co.uk). في الوقت نفسه ، لا تؤدي هذه المنظمة أي عمليات أو مقاولين من الباطن مباشرة على أراضي الاتحاد الأوروبي.

هل يجب أن تمتثل هذه المنظمة للقانون العام لحماية البيانات (GDPR)؟

نعم فعلا. بعد كل شيء ، من الواضح أن الخدمات والسلع تقدم لسكان الاتحاد الأوروبي ، للأسباب التالية:

• يتم تكييف الخدمات / السلع مع اللغات المحلية للمقيمين في الاتحاد الأوروبي ؛
• يتم دفع الخدمات / البضائع بعملات الاتحاد الأوروبي المحلية ؛
• يتم توفير الخدمات / السلع على نطاقات المستوى الأعلى الوطنية لدول الاتحاد الأوروبي.

هذا يعني أن المؤسسات التي تعالج البيانات الشخصية للأوروبيين في البلدان المختلفة التي تنفذ المبيعات عبر الإنترنت (على سبيل المثال ، السكك الحديدية وشركات الطيران والفنادق وبيوت الشباب وغيرها) تخضع للقانون العام لحماية البيانات (GDPR) ويجب أن تمتثل للوائح الأوروبية الجديدة لمعالجة البيانات الشخصية.

من المهم ملاحظة أنه بالإضافة إلى معالجة البيانات الشخصية في اللائحة العامة لحماية البيانات (GDPR) ، يتم استخدام مفهوم مراقبة سلوك موضوعات البيانات ، مما يؤدي إلى فئة أخرى من الموضوعات بموجب القانون العام لحماية البيانات (GDPR). تنطبق اللائحة العامة لحماية البيانات (GDPR) على المؤسسات التي تم إنشاؤها خارج الاتحاد الأوروبي إذا كانت (كمتحكم أو معالج) تتحكم في سلوك سكان الاتحاد الأوروبي (إلى الحد الذي يحدث فيه مثل هذا السلوك في الاتحاد الأوروبي). يمكن أن تشمل المراقبة:

• تتبع المقيمين في الاتحاد الأوروبي على الإنترنت ؛
• استخدام طرق معالجة البيانات لتحديد سمات الأفراد أو سلوكهم أو علاقتهم بشيء ما (على سبيل المثال ، لتحليل أو توقع التفضيلات الشخصية).

يشارك المشرع الأوروبي أيضًا مفاهيم وحدة التحكم في البيانات ومعالج البيانات. المتحكم ، بصفته قبطان السفينة ، يتحمل مسؤولية قانونية أكبر من المعالج الذي يعمل كبحار على السفينة. في الواقع ، يقرر المتحكمون ما يحدث للبيانات الشخصية وهم مسؤولون عن المعالجة ، والمعالجات هم نوع من "المنفذين".

على سبيل المثال ، سيكون النظام السحابي الذي يستخدمه موظفوك لأداء المهام والمشاريع ، والتي تخزن أيضًا البيانات الشخصية للعملاء ، معالجًا للبيانات ، وأنت ، في المقابل ، المتحكم.

ما المقصود بالبيانات الشخصية في اللائحة العامة لحماية البيانات؟

البيانات الشخصية هي أي معلومات تتعلق بفرد محدد أو قابل للتحديد (موضوع البيانات) ، والتي يمكن من خلالها ، بشكل مباشر أو غير مباشر ، تحديدها. من بين أشياء أخرى ، تتضمن هذه المعلومات الاسم أو الموقع أو المعرف عبر الإنترنت أو واحدًا أو أكثر من العوامل المميزة للهوية المادية أو الفسيولوجية أو الجينية أو الفكرية أو الاقتصادية أو الثقافية أو الاجتماعية لذلك الفرد (القسم 1 ، البند 4). التعريف واسع وواضح إلى حد ما أنه حتى عناوين IP يمكن أن تكون أيضًا بيانات شخصية.

من المهم ملاحظة أن هناك أنواعًا معينة من البيانات الشخصية التي تنتمي إلى فئة البيانات الشخصية الخاصة أو السرية. تكشف هذه المعلومات عن الأصل العرقي أو الإثني ، والآراء السياسية ، والمعتقدات الدينية أو الفلسفية ، والعضوية النقابية. بالإضافة إلى ذلك ، تشمل هذه المجموعة البيانات الجينية والبيومترية المستخدمة لتحديد هوية الفرد ، وبيانات عن الحالة الصحية ، والمعلومات المتعلقة بالحياة الجنسية أو التوجه الجنسي (المادة 9).

6 مبادئ لمعالجة بيانات القانون العام لحماية البيانات

تمت صياغة النهج العام للأوروبيين لمعالجة البيانات الشخصية في شكل ستة مبادئ أساسية:

1. الشرعية والعدالة والشفافية. يجب معالجة البيانات الشخصية بشكل قانوني وعادل وشفاف. يجب ذكر أي معلومات عن أغراض وطرق وأحجام معالجة البيانات الشخصية على أنها سهلة الوصول وبسيطة قدر الإمكان.
2. تحديد الغرض. يجب جمع البيانات واستخدامها حصريًا للأغراض التي تحددها الشركة (الخدمة عبر الإنترنت).
3. تصغير البيانات. لا يمكنك جمع بيانات شخصية بحجم أكبر مما هو ضروري لأغراض المعالجة.
4. صحة. يجب حذف البيانات الشخصية غير الدقيقة أو تصحيحها (بناءً على طلب المستخدم).
5. تقييد التخزين. يجب تخزين البيانات الشخصية في شكل يسمح بتحديد موضوعات البيانات لفترة لا تزيد عن الفترة اللازمة لأغراض المعالجة.
6. النزاهة والسرية. عند معالجة بيانات المستخدم ، يجب على الشركات ضمان حماية البيانات الشخصية من المعالجة غير المصرح بها أو غير القانونية والتدمير والتلف.

المتطلبات الرئيسية

الإخطار بانتهاكات اللائحة العامة لحماية البيانات (GDPR)

يتعين على الشركات إخطار السلطات التنظيمية (وفي بعض الحالات أصحاب البيانات) بأي انتهاكات تتعلق بالبيانات الشخصية في غضون 72 ساعة بعد اكتشاف مثل هذا الانتهاك.

على سبيل المثال ، تعد الأخبار الأخيرة حول هجوم المتسللين على أوبر مثالًا حيًا على انتهاك هذه القاعدة. أخبرت أوبر الصحافة أن المتسللين تمكنوا من الوصول إلى البيانات الشخصية لـ 57 مليون مستخدم وسائق بعد عام. إذا كانت اللائحة العامة لحماية البيانات (GDPR) سارية الآن ، فسيكون من المستحيل تجنب غرامة عالية قدرها 4٪ من حجم المبيعات السنوي.

يتم عرض قائمة السلطات الوطنية في مجال البيانات الشخصية لجميع دول الاتحاد الأوروبي هنا. هناك أيضًا جهة تنظيمية لعموم أوروبا - مجموعة العمل 29 أو مجموعة العمل المعنية بالمادة 29. ومع ذلك ، بعد دخول اللائحة العامة لحماية البيانات حيز التنفيذ ، ستحل مجموعة العمل المعنية بالمادة 29 محل الهيئة الجديدة - مجلس حماية البيانات الأوروبي (EDPB) ).

حقوق موضوع البيانات (فردي)

يوسع القانون العام لحماية البيانات (GDPR) بشكل كبير حقوق المواطنين والمقيمين في الاتحاد الأوروبي للتحكم في بياناتهم الشخصية. يحق للمستخدمين الأوروبيين طلب تأكيد معالجة بياناتهم ، ومكان المعالجة والغرض منها ، وفئات البيانات الشخصية التي تتم معالجتها ، والتي يتم الكشف عن البيانات الشخصية لأطراف ثالثة لها ، والفترة الزمنية التي ستتم فيها معالجة البيانات ، و توضيح مصدر استلام المنظمة للبيانات الشخصية وطلب تصحيحها. علاوة على ذلك ، يحق للمستخدم المطالبة بإنهاء معالجة بياناته.

ينص القانون العام لحماية البيانات (GDPR) أيضًا على الحق في المحو ، والحق في النسيان ، والذي يمكّن الأوروبيين من حذف بياناتهم الشخصية عند الطلب لتجنب توزيعها أو نقلها إلى جهات خارجية.

هذا ليس حق جديد. إنه موجود أيضًا في التوجيه الحالي. أوضحت محكمة العدل التابعة للاتحاد الأوروبي (CJEU) في قرارها في قضية Google Spain في عام 2014 أن أصحاب البيانات لهم الحق في حذف المعلومات المتعلقة بهم من نتائج البحث إذا لم يمثل ذلك مصلحة عامة. ومع ذلك ، فإن الحق في النسيان لا يشمل محركات البحث فقط. يجب على أي شركة تعالج البيانات حذف البيانات الشخصية لشخص ما عند الطلب إذا كانت لا تتعارض مع مصالح الجمهور أو الحقوق الأساسية الأخرى للأوروبيين.

على سبيل المثال ، إذا كنت تقدم خدمة إخبارية ، قبل حذف البيانات ، تحقق وتأكد من أن هذا الإزالة لا يؤثر على حرية التعبير والحق في الوصول إلى المعلومات المكفولة للأوروبيين بموجب المادة 11 من ميثاق الاتحاد الأوروبي لحقوق الإنسان.

الحق في نقل البيانات

الحق في نقل البيانات هو ابتكار في قواعد معالجة البيانات في الاتحاد الأوروبي التي قدمتها اللائحة العامة لحماية البيانات (GDPR). يُلزم هذا الحق الشركات بتقديم نسخة إلكترونية مجانية من البيانات الشخصية لشركة أخرى بناءً على طلب موضوع البيانات الشخصية نفسه.

على سبيل المثال ، تريد شركة ناشئة تدعى "Sunny" دخول السوق بموقع لتبادل وسائل التواصل الاجتماعي ، لكن السوق لديها بالفعل عمالقة خاصة بها مع حصة سوقية كبيرة. سيسهل الحق في نقل البيانات على العملاء المحتملين نقل بياناتهم من خدمة عبر الإنترنت إلى أخرى (دون إعادة إدخال نفس البيانات على مواقع مختلفة).

مثال آخر. يستخدم موضوع البيانات خدمة قارئ الكتاب الإلكتروني "الكتاب الإلكتروني". في مرحلة ما ، قرر المستخدم التبديل إلى خدمة "القراءة عبر الإنترنت". في هذه الحالة ، يسمح لك الحق في نقل البيانات بالحصول على البيانات الشخصية (على سبيل المثال ، التفضيلات في الأدبيات وغيرها) من "الكتاب الإلكتروني" ونقلها إلى خدمة أخرى.

الموافقة على المعالجة

تضع اللائحة العامة لحماية البيانات (GDPR) متطلبات عالية لشكل الحصول على الموافقة لمعالجة البيانات. يجب التعبير عن موافقة الشخص على معالجة بياناته الشخصية في شكل بيان أو في شكل إجراءات مستخدم واضحة ونشطة. ستكون الموافقة على معالجة البيانات الشخصية غير صالحة إذا لم يكن لدى المستخدم أي خيار أو لم يكن قادرًا على سحب موافقته دون الإضرار بنفسه. إذا وافق المستخدم على معالجة بياناته الشخصية ، يجب أن يكون المتحكم قادرًا على إثبات ذلك.

لا يوصى باستخدام الحقول الافتراضية الخاصة بالموافقة مع المربع المحدد بالفعل أو طرق أخرى للحصول على الموافقة بشكل افتراضي. لا يمكن أيضًا التعبير عن الموافقة في شكل صمت أو تقاعس من المستخدم. يجب وضع المعلومات المتعلقة بإجراءات إلغاء الموافقة على معالجة البيانات الشخصية بطريقة يمكن للمستخدم العثور عليها بسهولة.

حماية خاصة للأطفال

تستحق البيانات الشخصية للأطفال حماية خاصة لأنهم أقل وعياً بالمخاطر والعواقب والضمانات وحقوقهم فيما يتعلق بمعالجة البيانات الشخصية. يجب أن يتم تفويض الموافقة على معالجة بيانات الطفل من قبل الوالدين (أو الممثلين القانونيين للطفل). يتم تحديد الحد الأدنى لسن ترخيص الوالدين بشكل منفصل من قبل الدول الأعضاء في الاتحاد الأوروبي (من 13 إلى 16 عامًا).

تعيين الشخص المسؤول عن حماية البيانات الشخصية

ينطبق هذا المطلب على الشركات التي تجري ملاحظات منتظمة ومنهجية واسعة النطاق ، وتراقب الأفراد (سبق ذكره) ؛ أو الذين يقومون بمعالجة بيانات شخصية خاصة على نطاق واسع ، مثل السجلات الطبية أو المعلومات المتعلقة بالإدانات الجنائية.

في أي حال ، يمكن لأي منظمة تعيين مسؤول حماية البيانات طوعًا لإدارة معالجة بيانات المستخدم ومراقبة الامتثال لمتطلبات القانون العام لحماية البيانات (GDPR). في هذه الحالة ، يجب على الشركة نشر معلومات حول هذا الموظف ، وكذلك إرسالها إلى الجهة التنظيمية الوطنية لحماية البيانات الشخصية لبلد الاتحاد الأوروبي ذي الصلة.

ما يجب القيام به؟

إذا قمت بإدخال منطقة التغطية للوائح حماية البيانات الأوروبية الجديدة أو تخطط لتوسيع وتقديم الخدمات والسلع إلى دول الاتحاد الأوروبي ، فمن المستحسن إجراء تقييم شامل لأساليب ووسائل معالجة البيانات الشخصية المستخدمة في الشركة و مواءمتها مع قواعد القانون العام لحماية البيانات الجديدة. من الضروري أيضًا مراجعة سياسة الخصوصية واللوائح الخاصة بمعالجة البيانات الشخصية لشروط استخدام مواقع الويب والخدمات عبر الإنترنت التي تستهدف المستهلكين والمستخدمين الأوروبيين. للامتثال لمتطلبات اللائحة العامة لحماية البيانات ، من الضروري تطوير سياسات حماية البيانات الداخلية ، وتدريب الموظفين ، وإجراء فحوصات معالجة البيانات ، والحفاظ على الوثائق المتعلقة بعمليات المعالجة ، وتنفيذ التدابير على نظام السرية المدمج ، وتعيين شخص مسؤول عن معالجة البيانات الشخصية. البيانات (مع مراعاة طبيعة وحجم البيانات الشخصية المعالجة).

على الرغم من حقيقة أن المتطلبات الجديدة لمعالجة البيانات الشخصية خطيرة ، إلا أن لها جوانب إيجابية للاعبين غير الأوروبيين: من الأسهل الالتزام بمجموعة واحدة من القواعد لحماية البيانات ومعالجتها بدلاً من مراعاة التفاصيل الوطنية لمعالجة البيانات الشخصية لكل دولة من دول الاتحاد الأوروبي على حدة كيف تم ذلك قبل القانون العام لحماية البيانات (GDPR). علاوة على ذلك ، يهدف الإصلاح إلى تحفيز النمو الاقتصادي من خلال خفض التكاليف والبيروقراطية للشركات العاملة في الاتحاد الأوروبي. سيساعد الامتثال لقاعدة واحدة بدلاً من 28 (عدد الدول الأعضاء في الاتحاد الأوروبي) الشركات الصغيرة والنامية على دخول أسواق جديدة. وفقًا للقانون ، في عدد من الحالات ، تختلف الالتزامات اعتمادًا على حجم العمل وطبيعة البيانات التي تتم معالجتها وعوامل أخرى.

أيضًا ، آليات الرد على استفسارات السلطات التنظيمية الأوروبية وموضوعات البيانات الشخصية (المستخدمين) الممكنة في إطار اللائحة العامة لحماية البيانات (على سبيل المثال ، حول توضيح البيانات أو إزالتها أو إنهاء المعالجة أو النقل إلى شركة أخرى عن طريق الحق إلى قابلية نقل البيانات) مسبقًا.

اللائحة العامة لحماية البيانات هي الوثيقة التشريعية المهمة التي تزيد بشكل كبير من مستوى حماية البيانات الشخصية في الاتحاد الأوروبي وخارجه. يتطلب دراسة ومراقبة دقيقة للغاية. يوفر الإصلاح الوضوح والاتساق للقواعد التي ينبغي تطبيقها في مجال حماية البيانات. كما أنه يعيد ثقة المستخدم - المستهلك مما يسمح للشركات بالاستفادة القصوى من الفرص في السوق الرقمية الأوروبية الموحدة. البيانات الشخصية هي بالتأكيد "عملة" الاقتصاد الحديث. اكتسب جمع وتحليل ونقل البيانات الشخصية حول العالم أهمية اقتصادية هائلة.

كيف تجعل تطبيقك متوافقًا مع القانون العام لحماية البيانات (GDPR)؟

1. فكر فيما إذا كنت تحتاج حقًا إلى جميع البيانات التي تجمعها

الخطوة الأولى هي التحقق من البيانات التي تجمعها. هل حقا تحتاجهم؟ أفضل طريقة للمستقبل مع الاستخدام الهادف للبيانات هي إدارة الحد الأدنى من المجموعة الضرورية.

2. تشفير جميع البيانات الشخصية

غالبًا ما يُشار إلى التشفير كعامل رئيسي في الامتثال للقانون العام لحماية البيانات (GDPR) ولكنه في الواقع ليس ضروريًا. على الرغم من أنه لا ينبغي تجاهل هذا الاحتمال.

تسرب البيانات أمر لا مفر منه ، لكن وفقًا للخبراء ، فإن أفضل طريقة لتقليل الضرر الناجم عن سرقة البيانات هي التشفير من طرف إلى طرف. في هذه الطريقة ، لا يمكن فك تشفير البيانات إلا على جهاز العميل باستخدام مفاتيح لا يستطيع الوصول إليها إلا هو أو هي. إذا لم تتمكن من استخدام التشفير بسبب التكلفة أو الأداء ، فيمكنك استخدام طرق بديلة ، مثل إخفاء الهوية.

3. اجعل HTTPs جزءًا مهمًا من تطبيقك

غالبًا ما يحتوي نموذج الملاحظات على معلومات شخصية ، على سبيل المثال ، عناوين البريد الإلكتروني أو الهواتف أو حتى عناوين المنزل. تفتح الباب أمام المتسللين عندما تقوم بتخزين هذه المعلومات وإرسالها كنص عادي. استخدم التشفير وأخبر العملاء كيف ومتى ستخزن بياناتهم.

الخطوة التالية هي تنفيذ HTTPS ، وهو بروتوكول يقوم بتشفير البيانات بين العميل والخادم. يتلقى العميل ، في هذه الحالة ، شهادة SSL مع مفتاح للاتصال الآمن. لذلك ، من المهم الحصول على شهادة من موفر موثوق وتثبيته بشكل صحيح. تأكد أيضًا من أن شهادتك ليست عرضة للثغرات الأمنية في البروتوكول.

4. قم بإحضار نماذج الموافقة الخاصة بك

منذ مايو 2018 ، سيتعين عليك نسيان علامات الاختيار المحددة مسبقًا. يتطلب القانون الجديد "موافقة مستخدم حرة ومحددة ومستنيرة وواضحة". هذا يعني أن نماذج الموافقة الخاصة بك يجب أن تكون فارغة أو يتم تعيينها على "لا" افتراضيًا.

5. اطلب الموافقة قطعة قطعة

إذا كنت ترغب في الاتصال بالعملاء لأغراض التسويق ، فستحتاج إلى طلب الموافقة على معالجة كل نوع من البيانات على حدة. على سبيل المثال ، إذا كنت ترغب في إرسال مواد ترويجية عبر البريد الإلكتروني والهاتف والبريد ، فستحتاج إلى عمل ثلاثة عناصر منفصلة في شكل موافقة.

إذا كنت بحاجة إلى البريد الإلكتروني فقط ، فيمكنك الحصول على الموافقة للتسويق فقط. ولكن إذا كنت تستخدم التخصيص أو التجزئة أو الاستهداف ، فستحتاج إلى الحصول على موافقة لإرسال بريد تسويقي وموافقة على جمع بيانات ديموغرافية أو سلوكية إضافية.

6. كن محددًا بشأن الطرف الثالث

إذا قمت بنقل البيانات الشخصية لعملائك إلى جهات خارجية ، فستحتاج إلى الإشارة إلى جميع المشاركين في نموذج موافقتك.

في الوقت نفسه ، لا يرغب العديد من المستخدمين في منح حق الوصول إلى بياناتهم لأطراف ثالثة. أفضل طريقة للتعامل مع هذه المشكلة هي استخدام منصة تحليلات الويب الخاصة بك. لا يتعارض Google Analytics مع اللائحة العامة لحماية البيانات لأنه لا يمكنه تتبع مستخدمين محددين.

7. فصل الموافقة على شروط الاستخدام عن أشكال الموافقة الأخرى

لن تتوافق شروط الاستخدام مع أشكال الموافقة الأخرى بعد الآن. ستحتاج إلى طلب إذن المستخدم لمعالجة أي نوع من البيانات.

8. اجعل شروط الاستخدام ملحوظة

يُلزمك القانون العام لحماية البيانات (GDPR) بعدم إخفاء القسم بشروط الاستخدام وعدم نشرها بأحرف صغيرة. مثل هذا المخطط لن يمتثل للقانون بعد الآن:

9. السماح للمستخدمين بسحب موافقتهم بسهولة

يجب أن يكون المستخدمون قادرين على إلغاء الاشتراك وسحب موافقتهم في أي وقت. على سبيل المثال ، في رسالتك الإخبارية ، يجب أن تكون هناك وظيفة "إلغاء الاشتراك".

ولكن حتى رابط "إلغاء الاشتراك" يمكن أن يعمل من أجلك ، كما في هذا المثال:

10. تغيير سياسة ملفات تعريف الارتباط الخاصة بك

منذ مايو 2018 ، يجب أن تتوقف عن استخدام ملفات تعريف الارتباط للإعلان أو التحليلات أو تشغيل المشروع أو يجب أن تجد الأساس القانوني لاستخدامها. يمكن أن تكون هذه التزامات قانونية أو مصالح قانونية لا تنتهك الحقوق الشخصية أو متطلبات تنفيذ العقد أو موافقة المستخدم.

وفقًا للائحة العامة لحماية البيانات ، فإن زيارة موقعك لأول مرة لا تعني الحصول على موافقة لمعالجة البيانات الشخصية. حتى إذا قمت بعرض إشعار مثل "إذا قمت بزيارة هذا الموقع ، فإنك توافق على شروط استخدام ملفات تعريف الارتباط". تذكر أنه لا يمكنك منع الوصول إلى الموقع للمستخدمين الذين سحبوا الموافقة. وبعد خروجهم من الحساب ، سيتعين عليك حذف جميع المعلومات المتعلقة بهم.

11. تجنب الأسئلة الأمنية التي تحتوي على معلومات شخصية

عند التسجيل باستخدام تطبيق ويب ، يمكنك غالبًا رؤية مثل هذه الأسئلة:

هذا محظور بموجب القانون الجديد. منذ مايو 2018 ، لا يمكن أن تهم القضايا الأمنية عائلة العميل وتفضيلاته ومنزله وما إلى ذلك. سيكون من الأفضل استخدام المصادقة ذات العاملين أو السماح للمستخدمين بإنشاء أسئلتهم الخاصة للتحقق ولكن حذرهم من خطر الكشف عن المعلومات الشخصية.

12. أبلغ المستخدمين عن السجلات بعناوين IP الخاصة بهم

تحقق مما إذا كان نظامك يستخدم عناوين IP أو معلومات الموقع أثناء عملية المصادقة. إذا كانت سجلاتك تحتوي على مثل هذه البيانات ، فيجب عليك تحذير المستخدمين بشأن طرق ووقت تخزين هذه البيانات. قم بتشفير إدخالاتك ولا تقم بتخزين البيانات الحساسة مثل كلمات المرور فيها.

13. التأكد من حذف جميع البيانات الشخصية بعد الدفع

إذا كنت تستخدم طرق الدفع ، فمن المحتمل أن تجمع معلومات شخصية عن المستخدمين لديك. في كثير من الحالات ، تظل هذه البيانات في نظامك وهو أمر غير قانوني وفقًا للائحة العامة لحماية البيانات (GDPR). يجب عليك إعادة عملياتك بحيث يتم حذف هذه البيانات خلال فترة زمنية معينة.

14. السماح للمستخدمين برفض تتبع نظام تحليلات الأعمال

غالبًا ما تتبع المواقع التجارية سلوك المستخدم لتحسين التوصيات. الآن مثل هذا النشاط سوف يتطلب اتفاق واضح لا تشوبه شائبة. إذا رفض المستخدم التعقب ، فيجب عليك احترام هذا الخيار.

15. حذف بيانات المستخدم عند إلغاء الاشتراك

يجب أن يكون المستخدمون قادرين على حذف حساباتهم وبياناتهم الشخصية. مهمتك هي أن تبين لهم بوضوح أنه سيتم حذف جميع البيانات.

حلول للووردبريس

تنظم اللائحة العامة لحماية البيانات (GDPR) قانون حماية البيانات في جميع دول الاتحاد الأوروبي البالغ عددها 28 دولة وتفرض قواعد صارمة جديدة على التحكم في معلومات التعريف الشخصية (PII) ومعالجتها. اعتبارًا من 25 مايو 2018 ، يجب أن يحتاج كل موقع ويب يجمع البيانات من مواطني الاتحاد الأوروبي إلى متطلبات القانون العام لحماية البيانات (GDPR). وسيكون من السهل جدًا الامتثال للوائح GDPR العامة وأفضل الممارسات الصناعية ، وتفعيل المكونات الإضافية التي يمكنك الاختيار من بينها:

1. الامتثال للائحة العامة لحماية البيانات وموافقة ملفات تعريف الارتباط PLUGIN هو حل شامل لموقعك على الويب.

1. تلبية جميع متطلبات اللائحة العامة لحماية البيانات ، مثل:
   • الوصول إلى البيانات - نموذج مخصص للمستخدمين للوصول إلى البيانات الشخصية المخزنة حاليًا ،
   • الحق في أن تُنسى - نموذج مخصص للمستخدمين لطلب حذف البيانات المخزنة ،
   • تصفح طلبات المستخدم للوصول إلى البيانات / حذفها وتعيين إشعارات البريد الإلكتروني المخصصة
   • سياسة الخصوصية - قم بإعداد عمليات إعادة التوجيه لصفحات الشروط والأحكام وسياسة الخصوصية الخاصة بك حتى يتم منح الموافقة
   • موافقات ملفات تعريف الارتباط - أنشئ صندوقًا مخصصًا لموافقة ملفات تعريف الارتباط وحظر جميع ملفات تعريف الارتباط حتى يتم منح الموافقة على ملفات تعريف الارتباط
   • أضف مربعات الموافقة تلقائيًا لمختلف الأشكال على موقع الويب الخاص بك
   • خرق البيانات - إرسال إشعارات البريد الإلكتروني العالمية حول خرق البيانات
   • الاسم المستعار - تحديد اسم مستعار لبعض بيانات المستخدم المخزنة في قاعدة بيانات.
2. عمليات تكامل محددة مسبقًا لمعظم مكونات WordPress الإضافية مثل WooCommerce و Contact Form 7 و Gravity Forms و Mailchimp و Events Manager و BuddyPress و Formidable Forms والمزيد!
   • تحقق من المكونات الإضافية التي تم تنشيطها حاليًا للتأكد من امتثالها للائحة العامة لحماية البيانات (GDPR)
   • تكامل سهل للإضافات المخصصة
   • قم بإدارة كل شيء بسهولة عبر لوحة إدارة WordPress الخاصة بك
   • 5 * دعم العملاء
   • التوثيق عبر الإنترنت

2. يدعم التوافق مع WP GDPR حاليًا نموذج الاتصال 7 (> = 4.6) ونماذج Gravity (> = 1.9) و WooCommerce (> = 2.5.0) وتعليقات WordPress. تسهيل إضافة مربع اختيار الموافقة والاحتفاظ بسجل الموافقة. دعم إضافي للمكوِّن الإضافي سيتبع قريبًا.

تساعدك WP GDPR Compliance بصفتك مالك موقع على الاهتمام بما يلي:

• الاحتفاظ بسجل الموافقة للمكونات الإضافية المدعومة.
• إضافة مربعات اختيار إلى المكونات الإضافية المدعومة للحصول على موافقة صريحة من الزائر.
• "الحق في الوصول" من خلال سجلات التدقيق المشفرة.
• "الحق في النسيان" من خلال إخفاء هوية بيانات المستخدم.

3. البرنامج المساعد WordPress الامتثال للقانون العام لحماية البيانات وموافقة ملفات تعريف الارتباط

سمات:

- الوصول إلى البيانات - نموذج مخصص لطلب البيانات الشخصية المخزنة على موقع ويب ؛

- الحق في أن تُنسى - طلب حذف جميع البيانات المخزنة (مؤكدة برابط البريد الإلكتروني) ؛

- إدارة وأتمتة طلبات المستخدم للوصول إلى البيانات / حذفها وتعيين إشعارات البريد الإلكتروني المخصصة ؛

- الاشتراكات القابلة للتخصيص - سياسة الخصوصية وشروط الخدمات وموافقة ملفات تعريف الارتباط ونماذج الاشتراك في التسويق عبر البريد الإلكتروني ؛

- مربعات اختيار موافقة القانون العام لحماية البيانات (GDPR) - أضف بسهولة مربعات الموافقة لأشكال مختلفة على موقع الويب الخاص بك مثل تعليقات WordPress ونماذج الاتصال المخصصة ؛

وتكامل مثالي مع ملحقات WordPress الأكثر شيوعًا:

- ميل تشيمب ؛

- أوامر WooCommerce وحقول الخروج ؛

- مربعات الاختيار نموذج الاتصال 7 موافقة القانون العام لحماية البيانات ؛

- مربع الاختيار الموافقة على نموذج Gravity Form وحقول الإدخالات ؛

- مربعات الاختيار موافقة BuddyPress على الناتج المحلي الإجمالي ؛

24/7 دعم مباشر

لن يساعدك أي من المكونات الإضافية إلا في التعرف على قواعد القانون العام لحماية البيانات (GDPR) تقنيًا ، ولكن بالتفصيل الكامل ، إذا كان لديك أدنى قلق بشأن طاعة القانون العام لحماية البيانات (وهو ما سيفعله معظمكم على الأرجح) ، فإننا نوصي دائمًا بالاتصال بمحام ، حتى لو كان ذلك مؤقتًا. . هذه واحدة من تلك المجالات التي نحثك بشدة على عدم محاولة معالجتها بنفسك. يمكن للمحامي أن يقدم لك المشورة القانونية المصممة خصيصًا لتناسب وضعك . إذا فهمت هذا بشكل خاطئ ، فقد يؤدي ذلك إلى غرامات باهظة.

تجربة StylemixThemes

يجب أن تتبع StylemixThemes قواعد اللائحة العامة لحماية البيانات ، للأسباب التالية:

• يخدم العملاء من دول الاتحاد الأوروبي ؛
• تقدم خدماتها لمواطني الاتحاد الأوروبي باللغة الإنجليزية.

تتعاون شركتنا مع العملاء الأوروبيين ، وتجمع وتعالج البيانات الشخصية للمستخدمين من الاتحاد الأوروبي وتعدل بالضرورة أساليبها في معالجة المعلومات وفقًا لقواعد القانون العام لحماية البيانات (GDPR). نحن نولي اهتمامًا لسياسة الخصوصية والشروط المنصوص عليها لاستخدام المورد. بالإضافة إلى توفير آليات لمعالجة طلبات المستخدم المحتملة ، وفقًا للحقوق المذكورة أعلاه.

لاستخدام السمات والإضافات الخاصة بنا وتلقي الدعم ، يجب عليك تسجيل رمز شراء Envato واحد أو أكثر على موقعنا. سيتم تخزين رموز الشراء هذه جنبًا إلى جنب مع تواريخ انتهاء صلاحية الدعم وبيانات المستخدم الخاصة بك. هذا مطلوب لنا لتزويدك بالتنزيلات ودعم المنتجات وخدمات العملاء الأخرى. ندير كل هذه البيانات وفقًا لسياسات وحكام Envato ، بالإضافة إلى متطلبات القانون العام لحماية البيانات (GDPR).

كيف استعد StylemixThemes لوضع اللوائح الجديدة؟

كما هو الحال في معظم مواقع الويب ، نجمع معلومات معينة تلقائيًا ونخزنها في ملفات السجل. وهذا هو بالضبط سبب جمع البيانات بالموافقة الشخصية للفرد مع شروط استخدام مورد الويب أثناء التسجيل في StylemixThemes. عند إجراء تغييرات على الشروط والأحكام ، تقوم الشركة بإبلاغ المستخدمين عنها وتحديث المعلومات الموجودة على الموقع بتاريخ آخر تحديث. بالإضافة إلى ذلك ، عند استخدام خدماتنا ، قد نجمع معلومات معينة تلقائيًا من جهازك. قد تتضمن هذه المعلومات عناوين بروتوكول الإنترنت (IP) ، ونوع المتصفح ، ومزود خدمة الإنترنت (ISP) ، وصفحات الإحالة / الخروج ، ونظام التشغيل ، وختم التاريخ / الوقت ، وبيانات النقر ، والصفحة المقصودة ، وعنوان URL المرجعي. لجمع هذه المعلومات ، قد يتم تعيين ملف تعريف ارتباط على جهاز الكمبيوتر أو الجهاز الخاص بك عند زيارة خدماتنا. تحتوي ملفات تعريف الارتباط على كمية صغيرة من المعلومات التي تسمح لخوادم الويب الخاصة بنا بالتعرف عليك. وبعد كل ما قيل ، تقوم الشركة بجمع البيانات الشخصية فقط لغرض ضمان التشغيل المتواصل للخدمة ، وللتواصل مع العميل ولتقديم الخدمات المعلنة. StylemixThemes لا تجمع البيانات التي لا يتم استخدامها في العمل.

نقوم بتخزين المعلومات التي نجمعها من خلال ملفات تعريف الارتباط و / أو ملفات السجل و / أو صور gif لتسجيل تفضيلاتك. قد نقوم أيضًا بجمع معلومات تلقائيًا حول استخدامك لميزات خدماتنا ، وحول وظائف خدماتنا ، وتكرار الزيارات ، وغيرها من المعلومات المتعلقة بتفاعلاتك مع الخدمات. قد نتتبع استخدامك عبر مواقع الويب والخدمات المختلفة. في المنطقة الاقتصادية الأوروبية ("EEA") ، يمكن اعتبار المعلومات المشار إليها أعلاه في هذه الفقرة معلومات شخصية بموجب قوانين حماية البيانات المعمول بها.

إذا قمت بالتسجيل على موقعنا ، فإننا نقوم بتخزين اسم المستخدم الذي اخترته وعنوان بريدك الإلكتروني وأي معلومات شخصية إضافية تضيفها إلى ملف تعريف المستخدم الخاص بك. يمكنك رؤية معلوماتك الشخصية أو تعديلها أو حذفها في أي وقت (باستثناء تغيير اسم المستخدم الخاص بك). يمكن لمسؤولي مواقع الويب أيضًا رؤية هذه المعلومات وتحريرها.

قد نستخدم معلوماتك وبياناتك من أجل:

• تعزيز أو تحسين تجربة المستخدم أو موقعنا أو خدمتنا.
• إرسال رسائل بريد إلكتروني حول موقعنا أو الرد على الاستفسارات.
• إرسال رسائل بريد إلكتروني وتحديثات حول StylemixThemes ، بما في ذلك النشرة الإخبارية للتسويق عبر البريد الإلكتروني (في حال حصلنا على موافقة واضحة عليها). يمكنك الانسحاب من رسائل البريد الإلكتروني هذه في أي وقت.
• أداء أي وظيفة أخرى نعتقد بحسن نية أنها ضرورية لحماية الأمن أو الأداء السليم لموقعنا أو خدمتنا.

يتم تشفير بيانات الدفع الخاصة بالعميل بواسطة خدمة الدفع التي لديها شهادة أمان PCI DSS.

وبالتالي ، تلتزم StylemixThemes بمبادئ الشفافية والدقة والسرية وغيرها من قواعد القانون العام لحماية البيانات وتلتزم على التوالي باللوائح الجديدة ، التي تضع قواعد واضحة للتفاعل بين المستخدمين والشركات في مجال توفير البيانات الشخصية. هذه خطوة جادة في حماية المعلومات الشخصية على الإنترنت وأداة مهمة لمكافحة التلاعب بالمعلومات الشخصية وإساءة استخدامها.

كما قد تكون أدركت بالفعل ، فإن اللائحة العامة لحماية البيانات هي صفقة كبيرة حقًا! سيؤثر هذا على كل موقع WordPress تقريبًا على الإنترنت. مع اقتراب الموعد النهائي ، نحث الجميع على قضاء بعض الوقت وإجراء دراسة والتأكد من أن موقعك يلبي جميع المتطلبات. يمكن أن تبحث في بعض الغرامات المذهلة إذا لم تفعل!