GDPR Checklist for Websites and Apps

اللائحة العامة لحماية البيانات (GDPR) هي اللائحة التي يعتزم بها البرلمان الأوروبي ومجلس الاتحاد الأوروبي والمفوضية الأوروبية تعزيز وتوحيد حماية البيانات لجميع الأفراد داخل الاتحاد الأوروبي. يمتد نظام حماية بيانات الاتحاد الأوروبي الجديد المقترح نطاق قانون حماية بيانات الاتحاد الأوروبي إلى جميع الشركات الأجنبية التي تعالج بيانات سكان الاتحاد الأوروبي.

• التطبيق لديه بيان الخصوصية.
• لا يقوم التطبيق بجمع أو يعالج المزيد من البيانات أو لمدة أطول مما هو ضروري تمامًا للغرض المقصود كما تم توصيله للمستخدم.
• وافق المستخدمون النهائيون صراحة على معالجة البيانات الشخصية. (الصناديق المسبقة مسبقًا غير مسموح بها.)
• يوفر التطبيق معلومات الاتصال على وحدة التحكم التي يسهل العثور عليها.
• يحتوي التطبيق على خانة اختيار منفصلة في نموذج التسجيل لكل نشاط معالجة معين.
• من الواضح للمستخدم النهائي ما يعطيه الإذن. يتم شرح ذلك بشفافية ودخل ومفهوم. يتم استخدام الدعم البصري عند الصلة. خاصة عندما تكون المعلومات مخصصة للطفل.
• إذا كان ذلك قد ينطبق ، فقد قيل أن الطفل قد يقدم إذنًا فقط إذا كان عمره 16 عامًا أو أكبر. خلاف ذلك ، هناك حاجة إلى إذن من الوالد. يجب أن يثبت بشكل معقول أن أحد الوالدين قد أعطى الإذن.
• إذا كان الطلب يتضمن صنع القرار ، فيجب أن يكون من الواضح كيف يتم اتخاذ هذا القرار. (مثال)
• إذا كان التطبيق يتضمن إعلانات برمجية ، فيجب أن يكون المستخدم مصرحًا به بوضوح.
• يسمح التطبيق للمستخدمين النهائيين بعرض وضبط البيانات التي يتم مشاركتها بنشاط (بواسطة المستخدم).
• تم إجراء تقييم مناسب عندما تكون البيانات مستعفًا ويتم ضبط هذه العملية. (مثال)
• يتم اتخاذ تدابير تقنية وتنظيمية مناسبة لضمان مستوى من الأمان المناسب للمخاطر ، بما في ذلك أمور في جملة أمور حسب الاقتضاء:
  • الاسم المستعار وتشفير البيانات الشخصية.
  • القدرة على ضمان السرية المستمرة والنزاهة والتوافر ومرونة أنظمة المعالجة والخدمات.
  • القدرة على استعادة توفر البيانات الشخصية والوصول إليها في الوقت المناسب في حالة حدوث حادث مادي أو تقني.
  • عملية لاختبار وتقييم وتقييم فعالية التدابير التقنية والتنظيمية بانتظام لضمان أمان المعالجة.

حق الوصول من خلال موضوع البيانات
موضوع البيانات يحق له الحصول على تأكيد من وحدة تحكم بأن البيانات تتم معالجتها عنه. في هذه الحالة ، يجب توفير المعلومات التالية:

• الغرض من المعالجة
• ما هي فئات البيانات الشخصية التي تتم معالجتها
• ما هي الأطراف الثالثة التي تلقت هذه البيانات الشخصية أيضًا

بالإضافة إلى ذلك ، فإن الشخص الذي يتعلق بالوصول إلى "الوصول" للبيانات التي تمت معالجتها. يمكن القيام بذلك ، على سبيل المثال ، عن طريق تصدير الملف الذي تم إنشاؤه حول الشخص المعني.

الحق في التصحيح
موضوع البيانات له الحق في تصحيح بياناته إذا لم تكن صحيحة أو غير مكتملة. إذا كنت قد شاركت هذه المعلومات مع أطراف ثالثة كوحدة تحكم ، فيجب عليك إبلاغ هذه الأطراف حول هذا التصحيح إن أمكن.

الحق في المحو ("الحق في نسيانه")
نظرًا للحق في المحو ، المعروف أيضًا باسم "الحق في نسيانه" ، يحق لموضوع البيانات طلب إزالة بياناته. يمكن استخدام الحق في الحالات التالية:

• لم تعد هناك حاجة إلى البيانات فيما يتعلق بغرض المعالجة
• سحب موضوع البيانات موافقته على المعالجة
• موضوعات البيانات موضوعات للمعالجة ، وليس هناك مصلحة مشروعة يمكن توضيحها لمواصلة هذه المعالجة
• تمت معالجة البيانات بشكل غير قانوني
• يجب إزالة البيانات بسبب التزام قانوني

الحق في تقييد المعالجة
يمكن لموضوع البيانات أن يطلب حظر المعالجة. هذا يعني أنه باستثناء أنه يتم الاحتفاظ بالبيانات ، لا يجوز إجراء معالجة أخرى (بما في ذلك عدم الحذف).

الحق في قابلية نقل البيانات
يحق لموضوع البيانات استلام البيانات الشخصية التي أتاحها إلى وحدة التحكم ، بتنسيق منظم ويستخدم على نطاق واسع (يجب أن يكون هذا التنسيق قابلاً للقراءة الجهاز ، على سبيل المثال ملف CSV أو بتنسيق JSON). لديه الحق في نقل هذه البيانات إلى وحدة تحكم أخرى.

الحق في الاعتراض
يجوز لموضوع البيانات الاعتراض على معالجة بياناته إذا تم إجراء المعالجة على أساس النقاط التالية:

• المعالجة ضرورية لمهمة الاهتمام العام أو لمهمة في ممارسة السلطة العامة المكلفة بوحدة التحكم
• المعالجة ضرورية لتمثيل المصالح المشروعة لوحدة التحكم أو طرف ثالث

إذا كان اعتراض موضوع البيانات على أساس جيد ، فيجب إيقاف المعالجة ، ما لم تتمكن من إثبات أن هناك أسبابًا شرعية يمكن توضيحها للاستمرار في المعالجة ، أو لأن البيانات ضرورية للمطالبات القانونية. إذا كان الأمر يتعلق بالاعتراض المتعلق بالتسويق المباشر ، فيجب إيقاف المعالجة في الوقت الذي يأتي فيه الاعتراض.

• إذا كان المستخدم النهائي قد قدم طلبًا لحذف البيانات ، فإن وحدة التحكم هي المسؤولة عن حذف البيانات من نفسه والأطراف الأخرى.
• إذا اتبعت وحدة التحكم غرضًا مختلفًا مع البيانات ، فيجب الإبلاغ عن ذلك إلى المستخدم النهائي قبل بدء معالجة البيانات لهذا الغرض.
• في حالة خرق البيانات الشخصية ، يجب على وحدة التحكم دون تأخير لا مبرر لها ، وحيثما كان ذلك ممكنًا ، في موعد لا يتجاوز 72 ساعة بعد أن أدركها ، تخترق البيانات الشخصية للسلطة الإشرافية.
• تحتاج وحدة التحكم إلى اتخاذ تدابير تقنية و Orgiastic المناسبة ويجب أن تكون قادرة على إثبات أن المعالجة يتم وفقًا لهذا اللائحة.
• لا يستخدم المعالج معالجًا آخر دون موافقة كتابية مسبقة من وحدة التحكم.
• يُحظر معالجة البيانات الشخصية من فئات خاصة ما لم يتم منح الشخص تصريحًا صريحًا لسرية البيانات الشخصية لأغراض أو أكثر من المعرفة أو البيانات التي يبدو أنها علنية على ما يبدو.

يجب أن يتوافق بيان الخصوصية للخصائص التالية:

• قصير
• شفاف
• مفهوم
• يمكن الوصول إليها بسهولة

يجب أن يحتوي بيان الخصوصية على الأقل على المعلومات التالية:

• معلومات الهوية والاتصال الخاصة بوحدة التحكم التي ستسمح للمستخدمين بطرح أي أسئلة قد يكون لديهم فيما يتعلق بحماية الخصوصية الخاصة بهم أو ممارسة حقوقهم في الوصول إلى بياناتهم وتصحيحها وحذفها ، وحقهم في قابلية نقل البيانات
• وصف واضح للأغراض التي ستتم معالجة البيانات الشخصية من أجلها
• المصالح المشروعة لوحدة التحكم (إن وجدت)
• أي متلقي (أو فئات من المستلمين) من البيانات الشخصية (على سبيل المثال المعالجات الممكنة مثل أطراف ثالثة)
• معلومات حول إعادة توجيه البيانات الشخصية إلى بلد ثالث (خارج الاتحاد الأوروبي) ، إن أمكن
• فترة الاستبقاء ، أو المعايير التي يتم بها تحديد فترة الاستبقاء
• يجب إبلاغ الشخص المعني بالحقوق التي يتمتع بها
• يجب إبلاغ الشخص المعني بالحق في سحب موافقته على المعالجة
• يجب إبلاغ الشخص المعني بحقه في تقديم شكوى مع المشرف
• إذا تم استخدام اتخاذ القرار الآلي ، فيجب ذكر ذلك
• لا يجوز تخزين البيانات الشخصية لفترة أطول من الضرورة بدقة للغرض الذي تمت معالجة هذه البيانات في الأصل. إذا لم تكن هناك فترة تخزين "صعبة" لتحديدها ، فيجب على بيان الخصوصية تحديد المعايير التي تحدد فترة الاستبقاء.

• الإنشاء العنصري أو العرقي
• الآراء السياسية
• قناعات دينية أو فلسفية
• عضوية النقابات التجارية
• علم الوراثة
• القياسات الحيوية (حيث تستخدم لأغراض الهوية)
• صحة
• السلوك الجنسي أو التوجه الجنسي

أي أشخاص أو سلطات عامة أو وكالات أخرى غير المستخدم النهائي أو وحدة التحكم أو المعالج المصرح له بمعالجة البيانات الشخصية. فكر في:

• Google Analytics
• Hotjar
• MailChimp
• إلخ.

في حالة تطبيق الرهن العقاري حيث يملأ المستخدم عدة بيانات ثم يقرر النظام ما إذا كان المستخدم مؤهلاً للحصول على رهن عقاري أم لا. كيف جاء هذا القرار يجب أن يكون شفافًا.

بعد عدم قيام المستخدم النهائي بتسجيل الدخول لمدة نصف عام ، فإن البيانات ، على سبيل المثال ، نتائج الاختبار ، هي اسم مستعار.

أي شكل من أشكال المعلومات المتعلقة بشخص طبيعي محدد أو محدد ("موضوع البيانات"). فكر في الاسم ، ورقم التعريف ، وبيانات الموقع ، ومعرف عبر الإنترنت ، ولكن أيضًا عوامل خاصة بالهوية البدنية أو الفسيولوجية أو الوراثية أو العقلية أو الاقتصادية أو الثقافية أو الاجتماعية لذلك الشخص الطبيعي.

معالجة البيانات الشخصية بطريقة لم يعد من الممكن أن تعزى البيانات الشخصية إلى شخص معين دون استخدام معلومات إضافية.

الشخص الطبيعي أو القانوني أو السلطة العامة أو الوكالة أو أي هيئة أخرى ، وحدها أو مع الآخرين ، يحدد أغراض ووسائل معالجة البيانات الشخصية.

شخص طبيعي أو قانوني أو سلطة عامة أو وكالة أو هيئة أخرى تعالج البيانات الشخصية نيابة عن وحدة التحكم ؛

أي عملية أو مجموعة من العمليات التي يتم تنفيذها على البيانات الشخصية أو على مجموعات من البيانات الشخصية.

خرق للأمان المؤدي إلى التدمير العرضي أو غير القانوني أو الخسارة أو التغيير أو الكشف غير المصرح به أو الوصول إلى البيانات الشخصية التي يتم نقلها أو تخزينها أو معالجتها بطريقة أخرى.