اللائحة العامة لحماية البيانات.. السنة الثانية

مع الأطفال ، عادة ما يكون بلوغ سن الثانية هو التغيير من مولود جميل إلى مخلوق متحرك وصل إلى الثنائي الرهيب.

قد يكون الأمر نفسه يحدث للائحة حماية البيانات العامة مع اقترابها من عامها الثاني من التطبيق: يبدو أن سلطات حماية البيانات (DPAs) مشلولة بسبب الميزانيات المحدودة ، ونقص الموارد ، وتعتبر معظم هيئات حماية البيانات أن ال لا يتم تطبيق اللائحة العامة لحماية البيانات بالكامل. يُظهر تقرير Brave الصادر عن Brave Community ، وهو منتدى يأتي فيه الأشخاص الذين يهتمون بالإنترنت وتجربة تصفحهم للمناقشة مع بعضهم البعض ، أن خمسة فقط من 28 جهة إنفاذ وطنية في أوروبا لديها أكثر من 10 متخصصين تقنيين. نصف منفذي اللائحة العامة لحماية البيانات في الاتحاد الأوروبي لديهم ميزانيات محدودة (أقل من 5 ملايين يورو) ، مما يقود بعض / العديد / المدافعين؟ الاعتقاد بأن الحكومات الأوروبية فشلت في تجهيز المنظمين الوطنيين بشكل صحيح لفرض اللائحة العامة لحماية البيانات. في الآونة الأخيرة ، دعا Brave المفوضية الأوروبية إلى إطلاق إجراء انتهاك ضد حكومات الدول الأعضاء في الاتحاد الأوروبي لفشلها في تنفيذ المادة 52 (4) من اللائحة العامة لحماية البيانات ، والتي تنص على أنه “يجب على كل دولة عضو ضمان تزويد كل سلطة إشرافية بالمعلومات الإنسانية” والموارد التقنية والمالية والمباني والبنية التحتية اللازمة لأداء مهامها بفعالية وممارسة صلاحياتها […]”.

إلى جانب تحديات الإنفاذ ، مرت اللائحة العامة لحماية البيانات ببعض الأزمات الكبرى: أولاً مع خروج بريطانيا من الاتحاد الأوروبي ثم مع تفشي فيروس كورونا المستجد.

على الرغم من أنه مرعب لكثير من الناس ، فقد تم التعامل مع خروج بريطانيا من الاتحاد الأوروبي بسهولة نسبيًا خلال فترة انتقالية ، والتي استمرت حتى 31^ش ديسمبر 2020 ، حيث تلتزم المنظمات البريطانية بقانونين: اللائحة العامة لحماية البيانات في الاتحاد الأوروبي و ال المملكة المتحدة DPA (قانون حماية البيانات 2018).

لن يتم تطبيق اللائحة العامة لحماية البيانات في الاتحاد الأوروبي مباشرةً في المملكة المتحدة في نهاية الفترة الانتقالية. ومع ذلك ، في الواقع ، لوائح حماية البيانات والخصوصية والاتصالات الإلكترونية (التعديلات وما إلى ذلك) (الخروج من الاتحاد الأوروبي) لعام 2019 تعديل DPA 2018 ودمجها مع متطلبات اللائحة العامة لحماية البيانات في الاتحاد الأوروبي لتشكيل نظام حماية البيانات الذي سيعمل في سياق المملكة المتحدة بعد خروج بريطانيا من الاتحاد الأوروبي ، مع وجود اختلافات طفيفة بين اللائحة العامة لحماية البيانات في الاتحاد الأوروبي واللائحة العامة لحماية البيانات في المملكة المتحدة المقترحة. باختصار ، يجب أن تستمر المؤسسات التي تعالج البيانات الشخصية في الامتثال لمتطلبات اللائحة العامة لحماية البيانات في الاتحاد الأوروبي ، والقيام بذلك سيلبي الالتزامات في المملكة المتحدة أيضًا. الشيء الوحيد المتبقي للنظر فيه هو إلى أي مدى ستصدر مفوضية الاتحاد الأوروبي قرار كفاية لصالح المملكة المتحدة.

الأزمة الرئيسية الثانية هي جائحة COVID 19 ، الذي طرح تحديات جديدة ، من بينها تطبيقات التعقب الجديدة ، وانتشار استخدام العمال عن بُعد في وحدات التحكم والمعالجات والمعالجات الفرعية ، وأسئلة حول كيفية ضمان أصحاب العمل لصحة وسلامة القوى العاملة لديهم. دون المساس بحقوق خصوصية موضوع البيانات. بالإضافة إلى، نشاط القرصنة غير مسبوق، مما يتسبب في مخاطر “النزوح الجماعي” المفاجئ إلى المنزل وحماية البيانات (الشخصية). يقول راج ساماني ، كبير العلماء في شركة مكافي: “يبدو الأمر كما لو أننا ركلنا عش الدبابير.

لا تقتصر انتهاكات البيانات على الانتهاكات الناتجة عن المتسللين ، ولكن أيضًا بسبب فقدان البيانات البسيط مثل محرك أقراص USB الخاص بالشركات. العمل عن بعد يضعف أمن تكنولوجيا المعلومات للشركات غير المجهزة ؛ البائعون في بعض الولايات القضائية وفي بعض الأدوار لم يكن لديهم بنية تحتية للاستمرار في تقديم خدماتهم بشكل صحيح بعد طلبات البقاء في المنزل.

1. • استخدام أجهزة خاصة أو محمولة مؤمنة بشكل غير كافٍ (نقص برامج مكافحة الفيروسات ، وبرامج نظام التشغيل القديمة ، وعدم وجود حلول تشفير ، وما إلى ذلك) أو استخدام شبكة Wi-Fi غير آمنة ؛
   • استخدام تطبيقات المراسلة والاجتماعات المجانية الشائعة ؛
   • استخدام منصات التواصل الاجتماعي لأغراض تجارية ؛
   • عدم استخدام VPN وحلول الشركات الأخرى ؛
   • عدم وجود خطة احتياطية ؛
   • نقص المراقبة بالفيديو
   • انتشار الأشخاص الآخرين ، Siri و Alexa وأجهزة الاستماع / الاستشعار الأخرى

فيما يتعلق بالتأمين المادي للبيانات

• خطر الخسارة أثناء نقل المستندات ؛
• عدم تكييف المساحة في المنزل لأغراض العمل عن بُعد ، مما يجعل من الممكن إتلاف المعدات أو سرقة المستندات الحساسة

فيما يتعلق بالمنظمة

• عدم وجود تدابير أساسية لاستمرارية العمل وعدم وجود معدات احتياطية ؛
• قلة وعي الموظفين حيث كانت التهديدات المتعلقة بحماية البيانات الشخصية تركز في السابق على المخاطر الموجودة في العمل العادي.

التهديدات عديدة ، لكن التخفيف من المخاطر ليس مستحيلًا ولا يزال من الممكن القيام به:

• قم بصياغة (أو تحديث) سياسة العمل عن بُعد وتأكد من وجود عمليات حول العمل عن بُعد. قد يكون هذا جزءًا من سياسة الاستخدام المقبول الحالية أو قد يكون مستندًا مستقلاً.
• أبلغ موظفيك بالحد الأدنى من متطلبات الأمان للأجهزة والشبكات التي يستخدمونها ، ولديك تدابير فنية لضمان التزام القوى العاملة لديك بهذه المتطلبات
• قم بقصر موظفيك على برامج المراسلة والاجتماعات الخاضعة للعقوبات وقم بتدريب موظفيك على عدد التطبيقات الشائعة التي قد لا توفر مستوى مناسبًا من حماية البيانات وعادةً لا تكون مخصصة لأغراض العمل.
• درب موظفيك على أهمية الخصوصية والأمان بشكل عام.
• تأكد من أن الأجهزة تستخدم أحدث برامج مكافحة الفيروسات وأن الموظفين لديهم حل VPN متاح عند طلب السياسة أو أنشطتهم.

شكل COVID-19 نهاية العالم كما عرفناه من قبل. قد تتأثر حياتنا إلى الأبد بأساليب العمل الجديدة ، وقضايا الأمن السيبراني غير المسبوقة ، والسياسات المبتكرة ، وقواعد النظافة الجديدة وما إلى ذلك. لا تقتصر المعركة ضد COVID-19 على المنظمة أو الموظفين أو العملاء فحسب ، بل هي جهد مشترك من الجميع. من الواضح أن المنظمات ستحتاج إلى إعادة التفكير في إدارة المخاطر الإلكترونية الخاصة بها في مرحلة ما بعد COVID-19 ويجب ألا تنسى على طول الطريق القواعد والإطار الذي حددته اللائحة العامة لحماية البيانات أثناء إعادة بناء العالم التالي.

أثبت اللائحة العامة لحماية البيانات (GDPR) أنها أداة قوية لتوجيه الشركات والمسؤولين وسلطات الصحة العامة في الاستجابة لأزمة COVID-19 وتخصيص DPAs عبر الاتحاد الأوروبي مع زيادة الموارد المالية والبشرية سيسمح لهم بمعالجة العدد الكبير من الشكاوى في حين أن الأمر متروك للمفوضية الأوروبية لضمان عدم انتهاك حقوق الإنسان.