لا يتوقف وصول اللائحة العامة لحماية البيانات عند حدود أوروبا. أصبح استخدام المنصات السحابية غير الأوروبية والبرامج كخدمة من داخل أوروبا أكثر تعقيدًا.
حماية البيانات والأمن السيبراني
حماية البيانات والأمن السيبراني مختلفان ، لكنهما موضوعان مرتبطان. الأمن السيبراني هو مجموعة من التقنيات والضوابط والسلوكيات التي تتحد لتشكل استجابة المنظمة لمخاطر التهديدات الإلكترونية. يعني الأمن السيبراني إبعاد الأشرار والبيانات.
حماية البيانات هي مجموعة من الحوكمة والضوابط - بشكل أساسي ، السياسات والإجراءات المصممة لحماية البيانات الشخصية وضمان استخدامها ضمن نص القانون.
يتم استيفاء بعض متطلبات الحماية من خلال تدابير الأمن السيبراني ، وهذه هي النقطة التي تتقاطع فيها حماية البيانات والأمن السيبراني. تعني الحماية أيضًا التأكد من عدم تسريب موظفيك للبيانات من خلال أخطاء بسيطة مثل إرسال جدول بيانات إلى المستلم الخطأ. وهنا يأتي دور سياسات وإجراءات حوكمة البيانات الخاصة بك.
كيف يتم تنظيم هذه المستندات وما هي التدابير التي يجب أن تنفذها مدفوعة بالقوانين واللوائح التي يجب عليك الالتزام بها. تم تأسيس ذلك من خلال التشريعات المحلية التي هي بدورها وظيفة الجغرافيا والسياسة.
يمكن للشركات التي تستخدم الحوسبة السحابية أن تقوم على بعد آلاف الأميال من تطبيقات الأعمال والبيانات والخوادم. على سبيل المثال ، قد تستفيد شركة مقرها في أوروبا من خدمة موجودة فعليًا في مركز بيانات في الولايات المتحدة.
نقل البيانات الشخصية إلى البلدان غير الأوروبية أمر معقد. وأصبح الأمر أكثر تعقيدًا.
إجمالي الناتج المحلي
أصبح اللائحة العامة لحماية البيانات لعام 2016 واجبة التنفيذ في 2018.
ما تعنيه اللائحة العامة لحماية البيانات هو معالجة وتخزين ونقل البيانات الشخصية أو معلومات التعريف الشخصية (PII). تعني المعالجة تنفيذ أي إجراء على البيانات الشخصية أو باستخدامها. يعد تشغيل استعلام SQL معقد لاستخراج السجلات المطابقة لمجموعة سكانية معينة ، أو إرسال بريد إلكتروني واحد إلى مستلم واحد مثالين على المعالجة.
هناك متطلب قانوني للمنظمات التي تعالج أو تخزن أو تنقل البيانات الشخصية لتطبيق حوكمة وضمانات مرضية على البيانات. الغرض من هذا المطلب هو حماية ودعم حقوق وحريات موضوعات البيانات - الأشخاص الذين تنتمي إليهم البيانات.
هذا سريع جدًا خلال اللائحة العامة لحماية البيانات (GDPR) تتكون من 88 صفحة من البيروقراطية المقتضبة. هناك الكثير منها ، والكثير منها ، والشيطان يكمن في التفاصيل.
بيانات شخصية
البيانات الشخصية هي أي معلومات تتعلق بالفرد سواء كانت تتعلق بحياته الخاصة أو المهنية أو العامة. هذا نطاق هائل. يمكن أن يكون أي شيء من الاسم وعنوان المنزل والصورة وعنوان البريد الإلكتروني والتفاصيل المصرفية والمنشورات على مواقع الشبكات الاجتماعية والمعلومات الطبية وعنوان IP لجهاز الكمبيوتر وما إلى ذلك.
ولست بحاجة إلى الاحتفاظ بمعلومات كافية لتحديد هوية الشخص حتى يتم تصنيفها على أنها بيانات شخصية. إنها مثل المنشار الرقمي. إذا احتفظت بقطعة واحدة من بانوراما يمكن استخدامها مع القطع الأخرى - حتى إذا كان من الضروري الحصول عليها من مكان آخر - لتحديد هوية شخص ، يتم تصنيف المعلومات الفردية الخاصة بك على أنها بيانات شخصية ويجب التعامل معها وفقًا للائحة العامة لحماية البيانات (GDPR).
في الواقع ، إنه عالمي
أكبر خرافة فيما يتعلق باللائحة العامة لحماية البيانات هي أنها تنطبق فقط على الدول الأعضاء في الاتحاد الأوروبي وأنه شيء يتعين على المنظمات الأوروبية فقط التعامل معه.
الحقيقة هي أنه إذا كنت توظف أوروبيين ، ولديك أي مباني في أوروبا ، وتتاجر مع شركات أوروبية أو مواطنين ، فإن القانون العام لحماية البيانات (GDPR) ينطبق عليك.اللائحة العامة لحماية البيانات هي لائحة تحمي المواطنين الأوروبيين وبياناتهم الشخصية وتنطبق على أي منظمة تعالج أي بيانات شخصية تخص أوروبيين. هذه هي الطريقة التي تم بها تغريم Google بأكثر من 50 مليون دولار أمريكي.
هناك استثناءات قليلة. لا يزال يتعين على الشركات غير الأوروبية التي يعمل بها أقل من 250 موظفًا حماية البيانات واستخدامها وفقًا للقانون العام لحماية البيانات (GDPR) ، لكن يتم تجنيبهم قليلاً من الأعمال الورقية وحفظ السجلات.
وكلمة الانتماء مثيرة للاهتمام في هذا السياق
اعتدنا التفكير على طول خطوط قاعدة البيانات الخاصة بي ، وجدول البيانات الخاص بي ، والقائمة البريدية الخاصة بي ، وما إلى ذلك. وهذا صحيح ، إنهم ملكك. ولكن إذا كانت بياناتي موجودة في أي من أنظمتك الرقمية ، فهي من الناحية القانونية بياناتي ولديك نسخة منها. إنها ليست بياناتك. إنه ملكي. ولدي حقوق موضوع البيانات التي تملي ما يمكنك وما لا يمكنك فعله بهذه البيانات.
لقد ولت الأيام التي كان بإمكانك فيها حصاد البيانات دون عناية ، وفعل ما تريد به ، ويمكنك مشاركتها مع من تراه مناسبًا. الآن ، أنت بحاجة إلى أساس قانوني حتى لجمع البيانات في المقام الأول ، وكذلك أساس قانوني لمعالجتها.
عبور الحدود
تقول اللائحة العامة لحماية البيانات أنه لا يمكنك نقل البيانات الشخصية إلى البلدان الأخرى إلا إذا كانت:
- في الاتحاد الأوروبي
- في المنطقة الاقتصادية الأوروبية
- ضع تشريعات حماية البيانات الخاصة بها والتي اعتبرتها المفوضية الأوروبية ، مع الأخذ في الاعتبار النتائج التي توصل إليها مجلس حماية البيانات الأوروبي ، كافية. تسمى هذه الأحكام قرارات كفاية
إذا لم تكن في الاتحاد الأوروبي أو المنطقة الاقتصادية الأوروبية ، فقد تم تصنيفك كبلد ثالث.
حتى الآن أندورا ، والأرجنتين ، وكندا ، وجزر فارو ، وغيرنسي ، وإسرائيل ، وجزيرة مان ، واليابان ، وجيرسي ، ونيوزيلندا ، وسويسرا ، وأوروغواي هي دول ثالثة تتخذ قرارات كفاية.
يمكن نقل البيانات الشخصية إلى أي من هذه البلدان الثالثة حيث ستتم معالجتها وتخزينها ونقلها بنفس درجة الحماية والحوكمة كما لو كانت تتم معالجتها في منطقة خاضعة للائحة العامة لحماية البيانات.
اسمان مفقودان من تلك القائمة. من الواضح بغيابهم الولايات المتحدة والمملكة المتحدة.
المملكة المتحدة وبريكست
المملكة المتحدة في طور الانتقال من الاتحاد الأوروبي. إذا غادرت المملكة المتحدة الاتحاد الأوروبي دون اتفاق تجاري يسمح لها بالبقاء عضوًا فاعلًا في المنطقة الاقتصادية الأوروبية ، فستصبح دولة ثالثة ، وستتطلب قرارًا كافيًا بشأن إطار وتشريعات مناسبة لحماية البيانات.
المملكة المتحدة لديها تشريعات جاهزة لذلك. يحتوي الفصل الثاني من قانون حماية البيانات في المملكة المتحدة لعام 2018 (أكثر أو أقل) على إجمالي اللائحة العامة لحماية البيانات. لذا فإن التشريع جاهز ، وهو منصوص عليه بالفعل في القانون البريطاني ، ويجب أن يكون مناسبًا بالتأكيد لأنه هو اللائحة العامة لحماية البيانات.
المشكلة هي أن عملية اتخاذ قرار الكفاية بطيئة للغاية.
الولايات المتحدة ودرع الخصوصية
لدى الولايات المتحدة قرار كفاية جزئي.الاتحاد الأوروبي والولايات المتحدة. والسويسرية الأمريكية. تم تصميم إطارات درع الخصوصية من قبل وزارة التجارة الأمريكية والمفوضية الأوروبية والإدارة السويسرية لتوفير آلية مقبولة لنقل البيانات الشخصية بين الاتحاد الأوروبي وسويسرا والولايات المتحدة.
حصلت الولايات المتحدة على قرار كفاية جزئي لأن Privacy Shield ليس تشريعًا على مستوى الدولة وليس إلزاميًا. المنظمات تقرر ما إذا كانت بحاجة للمشاركة أم لا. تم الاشتراك.
في الواقع ، من الأدق القول إن الولايات المتحدة لديها قرار كفاية جزئي.
Schrems 2
عمل إطار عمل Privacy Shield بشكل جيد. لقد سمح لمزودي المنصات السحابية الأمريكية وشركات البرامج كخدمة بالتداول في أوروبا وخدمة العملاء الأوروبيين على الرغم من أن مراكز البيانات الخاصة بهم قد تكون موجودة في الولايات المتحدة.
عملت بشكل جيد حتى رفع ماكسيميليان شريمس ، ناشط حماية البيانات النمساوي ، قضية إلى محكمة العدل التابعة للاتحاد الأوروبي (CJEU).فاز بالقضية ، وصدر حكم من قبل CJEU في 16 يوليو 2020. تبع ذلك بيان موقف من المفوض الفيدرالي السويسري لحماية البيانات والمعلومات.
تتلخص القضية في ما إذا كان إطار عمل Privacy Shield قويًا بما يكفي لتبرير حتى قرار الملاءمة الجزئي. من خلال الفوز بالقضية ، تم إبطال درع الخصوصية.
جزء من القضية يتوقف على مبادرات الولايات المتحدة لجمع البيانات الجماعية والمراقبة مثل PRISM و UPSTREAM ، وقدرة وكالة الأمن القومي والوكالات المماثلة الأخرى على طلب بيانات العملاء الشخصية من الشركات الأمريكية.
ماذا الآن؟
تمتلك المؤسسات الكبيرة مثل Google و Microsoft مراكز بيانات في مواقع استراتيجية في مناطق مختلفة مثل أوروبا وإفريقيا والشرق الأوسط وآسيا. يتم ذلك على وجه التحديد لخدمة تلك المناطق من داخل تلك المناطق.لكن وجود مراكز بيانات في أوروبا لا يتغلب على المشكلة. لا يزال بإمكان وكالة الأمن القومي إجبارهم على تسليم البيانات ، بغض النظر عن موقع مركز البيانات. إن مجرد وجود مركز بيانات في أوروبا لا يحل أي شيء.
إذن ، باختصار ، الولايات المتحدة هي دولة ثالثة بدون قرار كفاية ويبدو من المرجح للغاية أن تكون المملكة المتحدة قريبًا في نفس الموقف تمامًا.
لن تكون هناك وسيلة مباشرة لنقل البيانات الشخصية بين الشركات الأوروبية والشركات البريطانية أو الأمريكية. حتى داخل شركة دولية أو مجموعة شركات ، سيكون نقل البيانات من مكتب في أوروبا إلى فرع في لندن أو نيويورك أمرًا معقدًا.
ولكن يجب أن يكون هناك طريقة ما لكي تتمكن شركة أوروبية من إرسال البيانات إلى دولة ثالثة دون اتخاذ قرار كفاية. من المؤكد أن مجلس حماية البيانات الأوروبي لا يتوقع أن يسقط اللائحة العامة لحماية البيانات مثل المقصلة لقطع العلاقات التجارية الحالية مع الشرق الأوسط على سبيل المثال؟
في الواقع ، توجد مخصصات لهذه الحالة الطارئة بالذات. هم:
- الاستثناءات
- مدونات قواعد السلوك وآليات إصدار الشهادات
- قواعد الشركة الملزمة
- البنود التعاقدية القياسية
هذا شيء. لكن مع ذلك ، لن يكون الأمر سهلًا.
الاستثناءات
الاستثناءات هي انحرافات خاصة بكل بلد عن خطاب اللائحة العامة لحماية البيانات التي تمت الموافقة عليها من قبل المفوضية الأوروبية والهيئة الإشرافية للبلد في أوروبا. يجب على كل عمل إعادة توجيه قضيته الخاصة.
تسمح الاستثناءات بدرجة من المرونة في ظروف معينة وهي خروج مقبول ومبرر عن المتطلبات المعتادة. لسوء الحظ ، يجب تطبيقها بشكل مقيد ، ولا يمكن أن تصبح القاعدة. هم بحكم تعريفهم الاستثناء من القاعدة. بالإضافة إلى ذلك ، فهي تتعلق "بأنشطة المعالجة التي تكون عرضية وغير متكررة."
إذن ، الاستثناءات غير عملية لنقل البيانات الشخصية للأعمال التجارية المنتظمة.
مدونات قواعد السلوك وآليات إصدار الشهادات
يقول مجلس حماية البيانات الأوروبي أن قواعد السلوك وآليات إصدار الشهادات يمكن أن توفر ضمانات مناسبة لنقل البيانات الشخصية إلى دول ثالثة إذا كانت هناك التزامات ملزمة وقابلة للتنفيذ على الشركة في الدولة الثالثة.
يمكن للجمعيات والهيئات المهنية إعداد رموز للموافقة والتسجيل. تنص المادة 42 من اللائحة العامة لحماية البيانات على أنه "يجوز إنشاء آليات أو أختام أو علامات لحماية البيانات … لغرض إثبات وجود الضمانات المناسبة التي توفرها وحدات التحكم أو المعالجات التي لا تخضع لهذه اللائحة."
سيتعين على قدر هائل من العمل الخوض في مثل هذا المخطط.
- يجب تطوير مدونة قواعد سلوك وآلية اعتماد مناسبة من قبل الاتحادات التجارية أو الهيئات المهنية في الدولة الثالثة.
- يجب تقييم الكود والموافقة عليه من قبل مجلس حماية البيانات الأوروبي.
- ستحتاج الشركات التي يمثلها الاتحاد التجاري أو الهيئة في البلد الثالث إلى اعتماد الرمز ، وأن تكون قادرة على إثبات امتثالها.
- سوف تحتاج الشركات المشاركة إلى الفحص ، وإذا نجحت ، فستكون معتمدة. يتطلب ذلك إنشاء هيئة إصدار الشهادات.
- ستحتاج الشركات المشاركة بعد ذلك إلى المراقبة لضمان الامتثال المستمر للرمز.
لا توجد مدونات سلوك معتمدة في الولايات المتحدة ولا في المملكة المتحدة ، على الرغم من أن مكتب مفوضي المعلومات في المملكة المتحدة يقول إن لديهم عمليات مطبقة لقبول الطلبات. لا تتوقع تحولا سريعا.
قواعد الشركة الملزمة
قواعد الشركات الملزمة هي قواعد داخلية تحدد السياسة الدولية في مجموعات الشركات متعددة الجنسيات والمنظمات الدولية فيما يتعلق بنقل البيانات الشخصية عبر الحدود - ولكن لا يزال داخل نفس المنظمة.
قواعد الشركة الملزمة مفصلة وشاملة وتشبه العقود إلى حد بعيد. هناك مجموعة قياسية من المعلومات والموضوعات إلزامية لتضمينها. يجب تقديم قواعد الشركة الملزمة للمراجعة والترخيص من قبل السلطة الإشرافية للبلد الأوروبي.
قواعد الشركة الملزمة معقدة وتستغرق وقتًا طويلاً في إنشائها ، ولكن بالنسبة لمنظمة متعددة الجنسيات أو دولية كبيرة ، فإنها ستعمل على تبسيط عمليات نقل البيانات إلى حد كبير بمجرد تنفيذها.
البنود التعاقدية القياسية
يجب أن توافق كل من الشركة الأوروبية والشركة في البلد الثالث على استخدام عقد من البنود التعاقدية القياسية المعتمدة من قبل المفوضية الأوروبية. توفر هذه العقود ضمانات إضافية لحماية البيانات مطلوبة في حالة نقل البيانات الشخصية إلى أي دولة ثالثة.
يجب توقيع البنود التعاقدية القياسية من قبل الطرفين. إذا لم يتم التوقيع عليها ، لا تعتبر قائمة.
قد يتم تضمين البنود التعاقدية القياسية في عقد أوسع ويمكن إضافة بنود إضافية ، طالما أنها لا تتعارض ، بشكل مباشر أو غير مباشر ، مع البنود التعاقدية القياسية. لا يمكنك إضافة بنود إلى العقد لمحاولة تجاوز أي متطلبات من البنود التعاقدية القياسية التي لا تعجبك.
يمكنك تعديل البنود التعاقدية القياسية لتأخذ بعين الاعتبار حالة معينة أو حالة معينة. بمجرد أن يتم تغييرها ، فإنها بالطبع لم تعد بنودًا تعاقدية قياسية. تصبح بنودًا تعاقدية مخصصة وقبل أن يتم استخدامها ، يجب أن يتم ترخيصها من قبل هيئة الإشراف على حماية البيانات للشركة الأوروبية.
أنتجت المفوضية الأوروبية مجموعات من البنود التعاقدية القياسية ، ومن بين الخيارات الأربعة المتاحة ، يبدو أنها أفضل حل عام.
هل هذا هو الحل؟
ربما. من الصعب تخيل كيف ستتمكن شركات مثل Microsoft و Amazon و Google من الموافقة على نسخة من البنود التعاقدية القياسية لكل شركة أوروبية ترغب في العمل معهم والتوقيع عليها.
قام بعض مزودي البرامج كخدمة بتضمين بنود تعاقدية قياسية في البنود والشروط الخاصة بهم. ولكن هل ستلبي صياغتهم مطالب المفوضية الأوروبية؟ قضية أخرى هي التوقيع. يأمل مقدمو الخدمة أن تكون موافقتك على الشروط والأحكام الخاصة بهم بدلاً من التوقيع.
قد يتطلب الأمر حالة اختبار لتعيين سابقة قبل أن يصبح هذا واضحًا.
