موارد
اتخذ الخطوات الأولى في رحلة الامتثال الخاصة بك!
FAQs
أسئلة مكررة.
فيما يلي بعض المصطلحات الأساسية في فهم الخصوصية.
- ما هي البيانات الشخصية ?
-
تغطي البيانات الشخصية أي بيانات تتعلق بشخص طبيعي أو تتعلق بشخص طبيعي يمكن تحديد هويته بشكل مباشر أو غير مباشر من خلال ربط البيانات.
إنه يغطي ، على سبيل المثال لا الحصر:
- اسم
- تاريخ الولادة
- صوت بشري
- صورة
- أرقام الهواتف
- عناوين
- المواطنة
- رقم الهوية
- رقم الحماية الاجتماعية
- معلومات مالية
- تفاصيل العمل
- معلومات تربوية
- المعرفات الإلكترونية
- عناوين البريد الإلكتروني
- الموقع الجغرافي
- عناوين الانترنت بروتوكول
- معرفات ملفات تعريف الارتباط
- علامة RFIDs
- عناوين MAC
- معرّفات الإعلانات
- علامات البكسل
- معالجات الحساب
- بصمات الجهاز
أو واحد أو أكثر من الخصائص الجسدية أو الفسيولوجية أو الاقتصادية أو الثقافية أو الاجتماعية للشخص الطبيعي والتي يمكن أن تتضمن أيضًا بيانات شخصية حساسة.
- ما هي البيانات الشخصية الحساسة ?
-
البيانات الحساسة هي فئات خاصة من البيانات الشخصية التي يمكن أن تكشف بشكل مباشر أو غير مباشر عن معلومات حول شخص طبيعي مثل:
- الأسرة أو الأصل العرقي أو الإثني
- الآراء السياسية
- طائفة دينية
- المعتقدات الفلسفية
- سجل جنائي
- عضوية الاتحاد
- البيانات الجينية والبيانات البيومترية
- الصحة الجسدية أو العقلية
- الحياة الجنسية أو التوجه الجنسي
يمكن أن يكون هذا النوع من البيانات الشخصية أكثر حساسية بطبيعته ، وبالتالي يتطلب مستوى أعلى من الحماية.
- من يمكن أن يكون موضوع بيانات ?
-
موضوع البيانات هو الشخص الطبيعي الذي تتم معالجة بياناته ويمكنه التفاعل مع شركتك بطرق مختلفة مثل:
- مستخدمين على الهواء
- موظفي شركتك
- المرشحين للتوظيف
- العملاء الأفراد
- اتصالات من العملاء القانونيين
- الموردين الأفراد
- اتصالات من الموردين القانونيين
- ما هي معالجة البيانات ?
-
تعني "المعالجة" أي عملية أو مجموعة من العمليات التي يتم إجراؤها بناءً على البيانات الشخصية أو مجموعات البيانات الشخصية ، سواء كانت بالوسائل الآلية أم لا ، مثل التجميع أو التسجيل أو التنظيم أو الهيكلة أو التخزين أو التكيف أو التغيير أو الاسترداد أو الاستشارة أو الاستخدام أو الكشف عن طريق النقل أو النشر أو الإتاحة أو المحاذاة أو الدمج أو التقييد أو المحو أو الإتلاف
- من يمكنه معالجة البيانات ?
-
معالج البيانات (DP)
DP - الذي قد يكون شخصًا أو مؤسسة أو شركة أو مؤسسة خيرية ، وما إلى ذلك - الذي يعالج البيانات الشخصية نيابة عن ، وتحت توجيه ووفقًا لتعليمات وحدة التحكم في البيانات - DC. هذا عادة ما يكون بموجب عقد مع DC
متحكم بيانات (DC)
يحدد DC الأغراض - والطريقة التي - تتم معالجة أي بيانات شخصية من أجلها. يمكن أن يكون هذا فردًا (مثل مستشار يعمل لحسابه الخاص) أو منظمة أو شركة أو هيئة غير مدمجة (على سبيل المثال ، شركة محدودة أو مؤسسة خيرية أو شركة PLC).
فيما يلي بعض حقوقك أو التزاماتك.
- على من يسري القانون ?
-
ينطبق القانون على معالجة جميع البيانات الشخصية من قبل المتحكمين والمعالجات الموجودين في دولة الإمارات العربية المتحدة سواء كانت معالجة البيانات الشخصية تتعلق بموضوعات البيانات في الإمارات العربية المتحدة أو في الخارج أم لا. يغطي البيانات الشخصية لأصحاب البيانات المقيمين أو العاملين في دولة الإمارات العربية المتحدة
- ما هي حقوق موضوعات البيانات ?
-
- الحق في الوصول إلى المعلومات
- الحق في نقل البيانات
- الحق في تصحيح أو محو البيانات الشخصية (أي الحق في النسيان)
- الحق في تقييد معالجة البيانات الشخصية
- الحق في الاعتراض على معالجة البيانات الشخصية (على سبيل المثال لأغراض التسويق)
- الحق في الاعتراض على القرارات الناتجة عن المعالجة الآلية (بما في ذلك التنميط) التي لها عواقب قانونية أو تؤثر بشكل خطير على موضوع البيانات
يمكن لأصحاب البيانات تقديم شكاوى إلى مكتب البيانات إذا كان لديهم سبب للاعتقاد بحدوث انتهاك للقانون فيما يتعلق بمعالجة بياناتهم الشخصية
- ما هي مسؤوليات معالج البيانات ?
-
قد يكون معالج البيانات شخصًا أو مؤسسة أو شركة أو مؤسسة خيرية ، إلخ. تقوم بمعالجة البيانات نيابة عن وحدة التحكم في البيانات (DC). هذا عادة ما يكون بموجب عقد مع DC.
مسؤوليات معالج البيانات- معالجة البيانات الشخصية فقط وفقًا لتعليمات وحدة التحكم
- العملية فقط على أساس أي اتفاقيات موقعة بين وحدة التحكم والمعالج.
- يجب تطبيق التدابير الفنية والتنظيمية المناسبة لحماية البيانات الشخصية وتأمين عملية المعالجة
- الاحتفاظ بسجل خاص للبيانات الشخصية التي تتم معالجتها نيابة عن مراقب
- تأكد من أن المعالجة تتوافق مع الغرض المحدد وفترة المعالجة المحددة
مسؤوليات المتحكم- يحدد الأساس القانوني ، والأغراض التي - والطريقة التي - تتم بها معالجة أي بيانات شخصية.
- اتخاذ التدابير الفنية والتنظيمية المناسبة لحماية البيانات الشخصية
- إدارة المعالجة التلقائية لضمان اقتصارها على الغرض المقصود منها
- الاحتفاظ "بسجل خاص" للبيانات الشخصية (وإتاحته لمكتب البيانات عند الطلب
- يضمن توفير المعالجات ضمانات كافية
- تنفيذ الإجراءات الفنية والتنظيمية اللازمة لتلبية متطلبات القانون.
- تقييم أي عمليات معالجة مقترحة حيث يمكن أن يشكل استخدام التقنيات خطرًا كبيرًا على خصوصية البيانات الشخصية (إنشاء DPIA's)
- تفاصيل الإبلاغ عن أي خرق يضر بخصوصية أو سرية أو أمان موضوعات البيانات
- كيف يجب معالجة البيانات الشخصية ?
-
المبادئ الأساسية للمعالجة
- المعالجة بطريقة عادلة وشفافة وقانونية
- جمع البيانات الشخصية لغرض محدد وواضح فقط
- معالجة هذه البيانات الشخصية فقط عند الضرورة بناءً على الغرض المحدد
- الحفاظ على دقة البيانات الشخصية أو تصحيح أو حذف البيانات الشخصية غير الدقيقة
- الحفاظ على البيانات الشخصية آمنة
- الاحتفاظ بالبيانات الشخصية فقط طالما كان ذلك مطلوبًا بناءً على الغرض المحدد ثم حذفها أو إخفاء هويتها.
الأساس القانوني للمعالجة- لا تتم معالجتها إلا بموافقة صاحب البيانات
- إلا في ظروف محدودة معينة مثل :
- المعالجة عند الضرورة لتنفيذ أو إبرام أو تعديل أو إنهاء عقد مع صاحب بيانات
- لوحدة تحكم أو موضوع بيانات يفي بالالتزامات ويمارس حقوق العمل / الحماية الاجتماعية.
- جعل موضوع البيانات البيانات الشخصية عامة
- حماية مصالح موضوع البيانات
- المعالجة ضرورية للمطالبة بالحقوق القانونية أو كجزء من الإجراءات القضائية أو الأمنية
- المعالجة ضرورية لأغراض طبية معينة أو مسائل تتعلق بالصحة العامة
- لأغراض الأرشفة أو للدراسات العلمية والتاريخية والإحصائية
إليك بعض النصائح حول ما يجب فعله وما لا يجب فعله.
- متى يحتمل أن تؤدي المعالجة إلى مخاطر عالية على حقوق موضوعات البيانات?
-
تفصل القائمة التالية بعض عمليات المعالجة ، لا سيما باستخدام التقنيات الجديدة ، مع الأخذ في الاعتبار طبيعة ونطاق وسياق وأغراض المعالجة التي من المحتمل أن تؤدي إلى مخاطر عالية على حقوق وحريات الشخص الطبيعي.
نوع عملية (عمليات) المعالجة وصف أمثلة غير شاملة لمجالات التطبيق التنميط على نطاق واسع أي تصنيف للأفراد على نطاق واسع - تتم معالجة البيانات بواسطة Smart Meters أو تطبيقات IoT
- الأجهزة / البرامج التي تقدم مراقبة اللياقة البدنية / نمط الحياة
- شبكات التواصل الاجتماعي
- تطبيق الذكاء الاصطناعي على العملية الحالية
البيانات البيومترية أي معالجة لبيانات القياسات الحيوية بغرض تحديد هوية الفرد بشكل فريد. - أنظمة التعرف على الوجه
- أنظمة الوصول إلى مكان العمل / التحقق من الهوية
- التحكم في الوصول / التحقق من الهوية للأجهزة / التطبيقات (بما في ذلك التعرف على الصوت / بصمات الأصابع / التعرف على الوجه)
مطابقة البيانات الجمع أو المقارنة أو المطابقة بين البيانات الشخصية التي تم الحصول عليها من مصادر متعددة - منع الغش
- التسويق المباشر
- مراقبة الاستخدام الشخصي / الإقبال على الخدمات أو المزايا القانونية
- خدمات ضمان الهوية الموحدة
معالجة غير مرئية معالجة البيانات الشخصية التي لم يتم الحصول عليها مباشرة من صاحب البيانات - قائمة السمسرة
- التسويق المباشر
- التتبع عبر الإنترنت من قبل أطراف ثالثة
- اعلانات الانترنت
- منصات تجميع البيانات / البيانات
- إعادة استخدام البيانات المتاحة للجمهور
تتبع المعالجة التي تتضمن تتبع الموقع الجغرافي للفرد أو سلوكه ، بما في ذلك على سبيل المثال لا الحصر البيئة عبر الإنترنت - الشبكات الاجتماعية وتطبيقات البرمجيات
- الأجهزة / البرامج التي تعرض مراقبة اللياقة البدنية / نمط الحياة / الصحة
- أجهزة وتطبيقات ومنصات إنترنت الأشياء
- اعلانات الانترنت
- تتبع الويب وعبر الأجهزة
- منصات تجميع البيانات / البيانات
- تتبع العين
- معالجة البيانات في مكان العمل
- معالجة البيانات في سياق العمل من المنزل والعمل عن بعد
- معالجة بيانات مواقع الموظفين
- مخططات الولاء
- خدمات البحث عن المفقودين (المطابقة عن بعد ، الإلحاق عن بعد)
- تصنيف الثروة - تحديد الأفراد ذوي الملاءة المالية العالية لأغراض التسويق المباشر
يجب على المتحكم ، قبل المعالجة ، إجراء تقييم لتأثير عمليات المعالجة المتوخاة على حماية البيانات الشخصية. تقييمات تأثير حماية البيانات (DPIA) مطلوبة
- ماذا يجب أن تفعل المنظمات بعد ذلك?
-
لم يتم تطوير إطار الامتثال بالفعل
- قم بإنشاء خريطة بيانات وسجل لنشاط المعالجة
- افحص جميع البلدان والاختصاصات القضائية الخارجية التي يتم نقل البيانات إليها بشكل روتيني.
- إنشاء نماذج الموافقة والإفصاحات للمعالجة
- وبالمثل ، قد تحتاج عقود الموظفين إلى المراجعة لتعكس أحكام حماية البيانات
- إنشاء قانون الاستجابة للخرقn
- تطوير وثائق تقييم تأثير حماية البيانات ، واستبيان تقييم البائعين ، وتقييم تأثير الخصوصية
- بناء عمليات DSAR (طلبات الوصول إلى موضوع البيانات)
- تدريب جميع الموظفين على متطلبات وعمليات خصوصية البيانات الجديدة
- تعيين مسؤول حماية البيانات.
المنظمات التي تمتثل بالفعل للائحة العامة لحماية البيانات.
- تعيين مسؤول حماية البيانات لدولة الإمارات العربية المتحدة
- مراجعة نطاق المعالجة الخاضعة لقوانين حماية البيانات الخاصة بالقطاع أو المنطقة الحرة
- وضع الأساس القانوني للمعالجة التي تعتمد على المصالح المشروعة بموجب قوانين الخصوصية في دولة الإمارات العربية المتحدة
- مراجعة عمليات نقل البيانات من دولة الإمارات العربية المتحدة
- تحديث سجل المعالجة
- تأكد من أن المنظمة يمكن أن تمتثل لمتطلبات الإبلاغ عن خرق البيانات
- هل ملفات تعريف الارتباط وسياسات الخصوصية الموجودة على موقع الويب كافية ?
-
خاطئة
تعتبر السياسات الموجودة على موقع الشركة الإلكتروني بداية جيدة ، ولكنها ليست كافية لامتثال عملك لقوانين الخصوصية في دولة الإمارات العربية المتحدة. بالإضافة إلى هذه السياسات ، هناك العديد من المستندات والإجراءات الأخرى التي يتعين على الشركة تنفيذها:
- ملاحظات إعلامية للموظفين والمرشحين والموردين
- سجل المعالجة الداخلية
- إجراءات الخروقات الأمنية
- عقود نقل البيانات
- وما إلى ذلك وهلم جرا
- ما هي عقوبات عدم الامتثال ?
-
GDPR يمكن أن تكون الغرامات والعقوبات:
- ما يصل إلى 20 مليون يورو (18.5 مليون جنيه إسترليني) أو 4٪ من إجمالي المبيعات العالمية (أيهما أعلى) بالنسبة للانتهاكات الخطيرة للغاية
- ما يصل إلى 10 ملايين يورو (18.5 مليون جنيه إسترليني) أو 2 ٪ من إجمالي حجم التداول العالمي (أيهما أعلى) بالنسبة للانتهاكات الجسيمة.
نقوم حاليا بتطوير هذا القسم.