دليل الامتثال للائحة العامة لحماية البيانات من Entro
تمكّن حلول ومنتجات Vanderbilt العملاء من إدارة البيانات الشخصية ومعالجتها بطريقة تلبي متطلبات GDPR. يهدف هذا الدليل إلى مساعدة ودعم عملائنا في تقييم استعدادهم للوفاء بمسؤولياتهم والتزاماتهم تجاه اللوائح الجديدة.
نظرة عامة
حماية البيانات هي حق أساسي حيث يحق لكل شخص حماية البيانات الشخصية المتعلقة به أو بها. تسري اللائحة العامة لحماية البيانات (GDPR) اعتبارًا من 25 مايو 2018 وهي مصممة لمنح الأفراد مزيدًا من التحكم في بياناتهم الشخصية. هناك مجموعة واحدة من القواعد للاتحاد الأوروبي بأكمله، والتي يمكن استكمالها في بعض المجالات بالتشريعات الوطنية.
تفرض اللائحة العامة لحماية البيانات (GDPR) التزامات على الشركات أو المنظمات التي تجمع البيانات الشخصية وتستخدمها وتعالجها. يقع في صميم اللائحة العامة لحماية البيانات (GDPR) شرط أن تتحلى المنظمات والشركات بالشفافية الكاملة بشأن كيفية استخدام البيانات الشخصية وحمايتها، وأن تكون قادرة على إثبات المساءلة عن أنشطة معالجة البيانات الخاصة بها. يجب معالجة هذه البيانات بشكل عادل لأغراض محددة وعلى أساس موافقة الشخص المعني أو أي أساس شرعي آخر ينص عليه القانون.
بينما تقدم Vanderbilt للعملاء وظائف منتجات مرنة وبديهية لتسهيل الامتثال للوائح الجديدة، لا تقوم منظمة Vanderbilt بجمع البيانات الشخصية الموجودة داخل منتجات Vanderbilt المحلية أو التحكم فيها أو استخدامها أو معالجتها. لذلك، فإن دور ومسؤولية وحدة التحكم ومعالج البيانات الشخصية هي ضمان الامتثال للالتزامات المنصوص عليها في اللائحة العامة لحماية البيانات.
إذا كان لديك أي شك أو غير متأكد من هوية وحدة التحكم في البيانات و/أو معالج البيانات، في أي حال، يجب عليك استشارة المستشار القانوني الخاص بك.
ما هي البيانات الشخصية؟
يعني مصطلح «البيانات الشخصية» أي معلومات تتعلق بشخص حي تم تحديده أو التعرف عليه.
يمكن تحديد الشخص إذا كان من الممكن تحديد هويته بشكل مباشر أو غير مباشر باستخدام «معرف». تقدم اللائحة العامة لحماية البيانات (GDPR) أمثلة على المعرفات، بما في ذلك الأسماء وأرقام التعريف وبيانات الموقع. يمكن التعرف على الشخص أيضًا بالرجوع إلى العوامل الخاصة بهويته، مثل العوامل المادية أو الجينية أو الثقافية.
البيانات الشخصية التي تم إلغاء تحديدها أو تشفيرها أو تسميتها باسم مستعار ولكن يمكن استخدامها لإعادة تحديد هوية الشخص تظل بيانات شخصية وتندرج ضمن نطاق اللائحة العامة لحماية البيانات. إذا تم جعل البيانات الشخصية مجهولة بطريقة لا يمكن من خلالها تحديد هوية الفرد، فإن هذه البيانات لا تعتبر بيانات شخصية. لكي تكون البيانات مجهولة المصدر حقًا، يجب أن يكون إخفاء الهوية أمرًا لا رجعة فيه.
يحمي القانون البيانات الشخصية بغض النظر عن التكنولوجيا أو الطريقة المستخدمة لمعالجة تلك البيانات - فهو ينطبق على كل من المعالجة الآلية واليدوية. لا يهم أيضًا كيفية تخزين البيانات الشخصية - في نظام تكنولوجيا المعلومات أو من خلال المراقبة بالفيديو أو على الورق؛ في جميع الحالات، تخضع البيانات الشخصية لمتطلبات الحماية المنصوص عليها في اللائحة العامة لحماية البيانات.
ما الذي يشكل معالجة البيانات؟
تغطي المعالجة مجموعة واسعة من العمليات التي تتم على البيانات الشخصية، بما في ذلك بالوسائل اليدوية أو الآلية. وهي تشمل جمع البيانات الشخصية أو تسجيلها أو تنظيمها أو هيكلتها أو تخزينها أو تكييفها أو تغييرها أو استرجاعها أو استشارتها أو استخدامها أو الكشف عنها عن طريق الإرسال أو النشر أو إتاحتها أو مواءمتها أو دمجها أو تقييدها أو محوها أو إتلافها.
تنطبق اللائحة العامة لحماية البيانات (GDPR) على معالجة البيانات الشخصية كليًا أو جزئيًا بالوسائل الآلية وكذلك على المعالجة غير الآلية، إذا كانت جزءًا من نظام حفظ منظم.
هل أنا مراقب بيانات أو معالج بيانات؟
وحدة التحكم في البيانات هي الفرد أو الشخص الاعتباري الذي يتحكم ويتحمل مسؤولية حفظ المعلومات الشخصية واستخدامها على جهاز كمبيوتر أو في ملفات يدوية منظمة. إن كونك مراقبًا للبيانات يحمل مسؤولياته القانونية، لذلك يجب أن تكون واضحًا تمامًا إذا كانت هذه المسؤوليات تنطبق عليك أو على مؤسستك.
إذا كنت أنت أو مؤسستك تتحكم في البيانات الشخصية التي تحتفظ بها وتتحمل المسؤولية عنها، أي تقرر المعلومات الشخصية التي سيتم الاحتفاظ بها والاستخدام الذي سيتم استخدام المعلومات فيه، فأنت أو مؤسستك هي وحدة تحكم البيانات.
تشمل الأمثلة على الحالات التي يكون فيها مراقب البيانات فردًا الممارسين العامين والصيادلة والسياسيين والتجار الوحيدين، حيث يحتفظ هؤلاء الأفراد بمعلومات شخصية عن مرضاهم وعملائهم وناخبيهم وما إلى ذلك.
إذا كنت أنت أو مؤسستك تحتفظ بالبيانات الشخصية، ولكن بعض الأفراد أو المنظمات الأخرى تقرر ما يحدث للبيانات وتتحمل المسؤولية عنها، فإن هذا الفرد أو المؤسسة الأخرى هي المتحكم في البيانات، وأنت أو مؤسستك هي «معالج البيانات».
تتضمن أمثلة معالجات البيانات شركات الرواتب والمحاسبين وشركات أبحاث السوق، والتي يمكنها جميعًا الاحتفاظ بالمعلومات الشخصية أو معالجتها نيابة عن شخص آخر.
ما هي الموافقة على البيانات وهل أحتاج إلى النظر فيها؟
من أجل معالجة البيانات الشخصية بشكل قانوني، يجب على المنظمات والشركات تحديد وتوثيق الأساس القانوني للقيام بذلك منذ البداية. تتضمن بعض الطرق القانونية لمعالجة البيانات ما يلي:
- موافقة الفرد: الموافقة مناسبة إذا عُرض على الأفراد الاختيار الحقيقي والتحكم في كيفية استخدام بياناتهم.
- الاهتمامات الحيوية: المعالجة ضرورية لحماية المصالح الحيوية للفرد، على سبيل المثال إذا كان ذلك ضروريًا لحماية حياة شخص ما.
- الامتثال الذي ينطوي على التزام قانوني: يمكن معالجة البيانات، على سبيل المثال، إذا كان ذلك مطلوبًا بموجب قانون الاتحاد الأوروبي لغرض معين.
- عقد مع الفرد: المعالجة ضرورية لأداء عقد مع فرد، على سبيل المثال لتوريد السلع أو الخدمات التي تم طلبها
إذا كان لديك أي شك بشأن ما إذا كنت قد حصلت على موافقة كافية لمعالجة البيانات الشخصية، يجب عليك استشارة المستشار القانوني الخاص بك.
ما هو عقد معالجة البيانات وهل أحتاج إلى النظر فيه؟
إذا كنت تحتفظ بالبيانات الشخصية (معالج البيانات) أو تعالجها (أدخلتها أو تحريرها أو صيانتها) نيابة عن عميلك (وحدة التحكم في البيانات)، فستحتاج إلى عقد معالجة البيانات. نوصي بالحصول على مشورة قانونية لضمان أن العقد يعالج الأمان المناسب وضمانات حماية البيانات الأخرى. وكجزء من ذلك، ننصح العملاء بالحصول على قائمة مرجعية بشأن معالجة البيانات وتسليم نظام الأمان.
تعرف على دورك ومسؤوليتك
من الواضح أن القانون يتغير إلى GDPR وهذا يجب أن يؤخذ في الاعتبار في تخطيط نظام الأمان. يجب تحديد ومعالجة المجالات التي قد تسبب مشاكل الامتثال بموجب اللائحة العامة لحماية البيانات. بموجب اللائحة العامة لحماية البيانات (GDPR)، يحق للأفراد الحصول على معلومات واضحة تتعلق باستخدام بياناتهم.
الخطوة العملية الأولى هي تحديد دورك ومسؤوليتك فيما يتعلق باللائحة العامة لحماية البيانات. هل أنت وحدة تحكم بيانات أو معالج بيانات أو كليهما؟ إذا كان لديك أي شك أو غير متأكد من هوية وحدة التحكم في البيانات و/أو معالج البيانات، في أي حال، يجب عليك استشارة المستشار القانوني الخاص بك.
الخطوة الثانية هي أن تصبح مسؤولاً. ضع في اعتبارك جميع البيانات الشخصية التي تتعامل معها عند العمل مع نظام الأمان وفحصها تحت العناوين التالية:
- ما البيانات الشخصية المخزنة؟
- ما هو الأساس القانوني الذي تستند إليه معالجة البيانات الشخصية؟
- أين يتم تخزين البيانات؟
- كيف تتم حماية البيانات؟
- ما هي مدة الاحتفاظ بالبيانات؟
- ما هي سياسة التعامل مع طلبات الوصول إلى البيانات الفردية؟
- ما هي العملية إذا طلب شخص ما إزالته من النظام؟
- من لديه حق الوصول إلى البيانات؟
- هل يتم نقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية؟
الإدخال واللائحة العامة لحماية البيانات
توضح المعلومات التالية كيف يمكن استخدام نظام Vanderbilt Entro V6.7 لتسهيل الامتثال للائحة العامة لحماية البيانات.
ما البيانات الشخصية المخزنة؟
جمع البيانات الشخصية ليس إلزاميًا داخل Entro، على الرغم من أنه يتمتع بالقدرة على تخزين بعض الحقول التي يمكن تحديدها من قبل المستخدم، والتي يمكن استخدامها لتخزين البيانات الشخصية.
ما هو الأساس القانوني الذي تستند إليه معالجة البيانات الشخصية؟
يتم التحكم في إدخال البيانات والحفاظ عليها من قبل وحدة تحكم البيانات ومعالج البيانات في الموقع. على هذا النحو، تقع على عاتق وحدة التحكم في البيانات و/أو معالج البيانات مسؤولية ضمان الحصول على الأساس القانوني لمعالجة البيانات الشخصية.
لا توجد إجراءات صريحة مضمنة في Entro SW للحصول على موافقة المستخدم أو تسجيلها.
أين يتم تخزين البيانات؟
يتم تخزين البيانات على كل من الكمبيوتر الشخصي ووحدات تحكم Entro، مع نسخ جميع البيانات المخزنة على الكمبيوتر في وحدة التحكم. لكل وحدة تحكم في النظام، هناك أساسًا نسخة احتياطية كاملة أخرى من قاعدة البيانات، والتي يمكن سحبها مرة أخرى إلى جهاز الكمبيوتر. اتصالات IP بين الكمبيوتر الشخصي و SR، و SR -> SR مشفرة بـ RC4.
كيف تتم حماية البيانات؟
قاعدة البيانات بصيغة مخصصة، ولا يمكن قراءتها بواسطة أدوات تحليل قواعد البيانات التقليدية مثل SQL Management Studio وما إلى ذلك، فمن الممكن فقط عرض محتويات قاعدة البيانات عبر برنامج Entro، عندما يكون لديك المزيج الصحيح من الرقم التسلسلي واسم النظام وبيانات اعتماد تسجيل الدخول الصالحة.
توجد أداة تسمح باسترداد اسم النظام/الرقم التسلسلي ومعلومات تسجيل الدخول، ولكن الوصول إلى ذلك مقيد. تستخدم قاعدة البيانات نفسها بروتوكول تشفير مخصص لحمايتها عند تخزينها على جهاز الكمبيوتر.
ما هي مدة الاحتفاظ بالبيانات؟
يتم الاحتفاظ ببيانات المستخدم على نظام Entro حتى تتم إزالتها من قبل مسؤول النظام. تقع على عاتق مسؤول النظام مسؤولية الاتصال بطريقة شفافة بفترة الاحتفاظ بالبيانات. عندما يتم حذف بطاقة من النظام، تصبح البطاقة غير صالحة على الفور، ولكن سيتم الاحتفاظ بمعلومات المستخدم المرتبطة على Entro DB لمدة 3 أسابيع إضافية، وبعد ذلك الوقت سيتم حذفها تلقائيًا من قاعدة البيانات.
يتم الاحتفاظ ببيانات الأحداث طالما كان الإعداد للاحتفاظ بالحدث أو إذا تم تقديم طلب محدد لإزالة البيانات الشخصية من سجلات الأحداث. يتم الاحتفاظ ببيانات الحدث هذا على أساس كل مستخدم للبرنامج، وعلى هذا النحو لكل مستخدم للبرنامج، ستكون هناك مجموعة من ملفات الأحداث.
ما هي سياسة التعامل مع طلبات الوصول إلى البيانات الفردية؟
في حالة تقديم الطلب، تقع على عاتق وحدة التحكم في البيانات و/أو معالجي البيانات مسؤولية تحديد السياسة وتوفير البيانات في الوقت المناسب وفقًا للوائح GDPR.
من الممكن تصفية الأحداث التي يتم عقدها في نظام Entro لمعرفة البيانات الفردية التي يتم الاحتفاظ بها عن شخص ما، على سبيل المثال أحداث السجل الأخيرة أو المعلومات المتعلقة بسجله الفردي. يمكن تصدير هذه البيانات بتنسيق قياسي مثل CSV.
ما هي العملية إذا طلب شخص ما إزالته من النظام؟
في حالة تقديم الطلب، تقع على عاتق وحدة التحكم في البيانات و/أو معالجي البيانات مسؤولية تحديد السياسة وإزالة البيانات في الوقت المناسب وفقًا للوائح GDPR.
يمكن حذف بيانات حامل البطاقة يدويًا من نظام Entro عند الطلب. ومع ذلك، لن يؤدي حذف حامل البطاقة إلى حذف الأحداث المرتبطة به. سيتم الاحتفاظ بهذا طالما كان الإعداد للاحتفاظ بالحدث أو إذا تم تقديم طلب محدد لإزالة البيانات الشخصية من سجلات الأحداث.
من لديه حق الوصول إلى البيانات؟
تقع على عاتق وحدة التحكم في البيانات و/أو معالج البيانات مسؤولية الكشف عن من لديه حق الوصول إلى البيانات الشخصية على نظام Entro المثبت على الموقع. لدى Entro القدرة على تحديد عمليات تسجيل دخول المستخدم المختلفة إلى برنامج العميل. هناك مستويات مختلفة من تسجيل الدخول المتاحة. لا تتمتع Vanderbilt بإمكانية الوصول و/أو القدرة على معالجة البيانات الشخصية على نظام Entro المحلي.
هل يتم نقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية؟
في وضع التشغيل العادي، لا تتم مشاركة بيانات مستخدم Entro خارج النظام. تقع على عاتق وحدة التحكم في البيانات و/أو معالج البيانات مسؤولية الكشف عما إذا كان النظام قد تم تكوينه بطريقة تنقل البيانات خارج المنطقة الاقتصادية الأوروبية.
.webp)