تغير مشهد الخصوصية العالمي بشكل كبير في السنوات الأخيرة. انطلاقًا من اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR) ، تعمل السلطات القضائية في جميع أنحاء العالم على إنشاء لوائحها الخاصة ، مثل قانون خصوصية المستهلك في كاليفورنيا (CCPA) في الولايات المتحدة ، و Lei Geral de Proteção de Dados (LGPD) في البرازيل ، وقانون حماية البيانات الشخصية (PDPA) في تايلاند. في الوقت نفسه ، تتعامل المؤسسات مع حماية البيانات بجدية أكبر ، حيث وجدت أبحاث Gartner أن ميزانيات الخصوصية يبلغ متوسطها 1.7 مليون دولار سنويًا.
يتطلب الالتزام بلوائح حماية البيانات اتباع نهج متعدد التخصصات يحظى بدعم والتزام جميع أصحاب المصلحة ، بما في ذلك كل موظف. فيما يلي بعض الأسئلة الأكثر شيوعًا حول حماية البيانات التي تواجه قادة الأمان والخصوصية. على الرغم من أن بعضها قد يبدو بسيطًا في ظاهره ، إلا أنه من المهم تقديم ردود تعزز لوائح الخصوصية عبر المؤسسة بأكملها.
1. ما هي “البيانات الشخصية” وماذا تعني “معالجتها”؟
لا تشمل “البيانات الشخصية” البيانات التي يمكن تحديدها مباشرة ، مثل الأسماء والعناوين وأرقام الضمان الاجتماعي فحسب ، بل تشمل أيضًا المعلومات التي يمكن ربطها معًا لتحديد هوية الفرد ، مثل قسيمة الراتب التي تسرد رقم سجل الموظف كمعرف.
يمكن اعتبار أي إجراء بشأن البيانات معالجة. يتضمن ذلك تحليلها ونسخها وتغييرها وإضفاء الطابع المستعار عليها ونقلها وتخزينها. يعد إخفاء الهوية أو إتلاف البيانات في نهاية عمرها شكلاً من أشكال المعالجة.
مع وجود غرض صالح وضوابط مناسبة ، يمكن معالجة أي بيانات تقريبًا. ومع ذلك ، تعتبر أنواع معينة من البيانات الشخصية أكثر حساسية ، مثل المعلومات المتعلقة بصحة شخص ما ، والتفضيل الجنسي ، والمعتقدات الدينية أو السياسية ، و / أو العرق. يجب التعامل مع هذه البيانات بعناية شديدة ، ويجب تجنب المعالجة قدر الإمكان.
2. ما هو “مراقب البيانات” و “معالج البيانات”؟
المتحكم في البيانات هو المنظمة التي تحدد البيانات الشخصية التي تتم معالجتها ، ولأي غرض (أغراض) وبأي وسيلة. قد يتم الاستعانة بمصادر خارجية لجزء من أنشطة المعالجة ، على سبيل المثال ، عبر البنية التحتية كخدمة ، أو البرامج كخدمة ، أو الاستعانة بمصادر خارجية تقليدية. يُشار إلى موفري الطرف الثالث الذين يديرون البيانات باسم “معالج البيانات”. مراقب البيانات مسؤول عن المعالجة المناسبة للبيانات الشخصية بواسطة معالج (معالجات) البيانات التي يستخدمونها.
3. من في المنظمة مسؤول عن الخصوصية؟
كل موظف يتعامل مع البيانات الشخصية مسؤول عن خصوصيتها. ومع ذلك ، من الأهمية بمكان وضع المساءلة في مكانها – مع قيادة الأعمال. يجب على المنظمة تعيين مالكي عمليات الأعمال المكلفين باتخاذ قرارات قائمة على المخاطر. ستشمل مسؤولياتهم إجراء تقييمات دورية لأثر الخصوصية والمخاطر ، ومعالجة ما إذا كانت النتيجة ضمن مستوى تقبل المخاطر لدى المؤسسة.
تمتلك العديد من المؤسسات الرائدة أيضًا قائدًا مخصصًا للخصوصية. تم إنشاء منصب مسؤول حماية البيانات والخصوصية (DPO) ليس فقط لحماية البيانات ولكن أيضًا لتطوير وتنفيذ سياسات وعمليات الخصوصية الخاصة بالمنظمة. من خلال تمثيل السلطة التنظيمية داخليًا ، يساعد مسؤول حماية البيانات المؤسسات في الامتثال لالتزاماتها القانونية ومعالجة مبادئ مثل الانفتاح والإنصاف والشفافية.
4. ما هو تقييم تأثير حماية البيانات؟
تقييم تأثير حماية البيانات هو أداة تستخدم لتحديد وتقليل مخاطر الخصوصية في أي مشروع أو برنامج معين. إنه “مستند حي” يستخدم لتسجيل إدارة مخاطر الخصوصية في نقاط زمنية مختلفة في دورة حياة المشروع أو البرنامج. يجب إجراؤها لكل مبادرة تتعلق بمعالجة البيانات الشخصية.
5. هل هناك حدود للمكان الذي يمكننا فيه تخزين البيانات وإلى متى؟
تختلف قوانين الخصوصية وحماية البيانات باختلاف الولاية القضائية وقد تتضمن قيودًا على مكان نقل البيانات أو تخزينها. لا يمكن الاحتفاظ بالبيانات الشخصية إلا حتى يتم تحقيق الغرض من معالجتها وتنتهي فترة الاحتفاظ المحددة لها. ثم يجب إزالته إما عن طريق إخفاء الهوية أو الحذف. قد يتم تحديد فترة الاحتفاظ بالبيانات الشخصية أو تحديدها وتبريرها من قبل المنظمة. نظرًا لأن الوقت عامل نجاح حاسم لخرق البيانات ، فمن الأفضل أن تكون فترات الاحتفاظ قصيرة قدر الإمكان.
6. هل يجب علينا تحديث سياسة الخصوصية الخاصة بنا لمراعاة التغييرات التنظيمية؟
نعم. ومع ذلك ، هناك فرق بين سياسة الخصوصية وإشعار الخصوصية – وربما يتعين عليك تحديث كليهما.
تشير سياسة الخصوصية إلى ترجمة الوثائق الاستراتيجية إلى تعليمات تكتيكية وتشغيلية للموظفين حول كيفية التعامل مع البيانات الشخصية بشكل صحيح. إشعار الخصوصية هو الوثائق العامة. يجب أن تكون قصيرة وسهلة الفهم ، ولا يتم مراجعتها إلا بعد الانتهاء من تقييم الخصوصية المناسب.
يجب أن يتضمن إشعار الخصوصية الجيد ، على الأقل ، ما يلي:
- مقدمة عن مراقب البيانات
- شرح للبيانات الشخصية التي تتم معالجتها مع الأغراض ذات الصلة
- شرح لمدة فترات الاستبقاء المطبقة
- وصف لمعالجات البيانات المشتركة نيابة عن المتحكم في البيانات
- إشارة إلى من يمكن الاتصال به بخصوص الشكاوى أو الأسئلة ، أو عندما يرغب صاحب البيانات في ممارسة حقوقه
7. سقطت منظمتنا ضحية لخرق البيانات. هل سنعاقب؟
ليس بالضرورة. يجب أن تفترض المنظمات أن خرق البيانات سيحدث ، حيث لا يوجد أمان مانع للفشل. ومع ذلك ، فإن المنظمات مسؤولة عن تطبيق تدابير كافية لإثبات السيطرة المناسبة على البيانات الشخصية.
يجب عادةً إبلاغ السلطة التنظيمية والموضوعات المتأثرة بانتهاك البيانات. قد يكشف التحقيق اللاحق ، أو حتى عدم وجود إخطار للجهة التنظيمية ، عن عدم امتثال قد يؤدي إلى اتخاذ إجراء تنظيمي.
يجب على القادة التنفيذيين التأكد من أن تقاريرهم المباشرة لديها دليل استجابة تم اختباره بشكل متكرر جاهز للتعامل مع انتهاكات البيانات.
8. هل توجد حلول تقنية تساعدنا في إدارة برنامج الخصوصية الخاص بنا؟
يمتلك عدد كبير من البائعين حلولًا لإنشاء برنامج إدارة الخصوصية وتنميته وتشغيله. ومع ذلك ، لا يوجد حل واحد هو التذكرة الذهبية لحل جميع مشاكل الخصوصية. يجب على القادة التنفيذيين أن يطلبوا من تقاريرهم المباشرة تنفيذ التمارين بالتعاون مع فريق إدارة الأمن والمخاطر لتحديد إمكانات الخصوصية الحالية داخل مؤسساتهم وتحديد الثغرات المحتملة. قم ببناء خارطة طريق بناءً على هذا التقييم لتعزيز وضعية خصوصية المؤسسة وتحديد أولويات المجالات التي ستستفيد أكثر من الاستثمار التكنولوجي.
برنارد وو هو كبير المحللين في شركة Gartner مع التركيز بشكل أساسي على حماية البيانات / إدارة مخاطر الخصوصية وبرامج الامتثال. تشمل مناطق التغطية الإضافية تصنيف البيانات وأمن التكنولوجيا التشغيلية (OT) واعتبارات أمان 5G. Gartner … مشاهدة السيرة الذاتية كاملة
اقتراحات للقراءة:
المزيد من الرؤى