الأسئلة المتداولة حول القانون العام لحماية البيانات (GDPR)

لمساعدتك، ومؤسستك في الرحلة إلى القانون العام لحماية البيانات (GDPR)، قمنا بتجميع قائمة بالأسئلة الشائعة، والأهم من ذلك، الإجابات.


|

نعم. يتطلب القانون العام لحماية البيانات (GDPR) متحكمين في البيانات (مثل المؤسسات التي تستخدم خدمات Microsoft’s enterprise عبر الإنترنت) واستخدام المعالجين فقط (مثل Microsoft) التي توفر الضمانات الكافية لتلبية الاحتياجات الرئيسية للقانون العام لحماية البيانات (GDPR). اتخذت Microsoft خطوةً استباقيةً لتوفير هذه الالتزامات لجميع عملاء الترخيص المجمع كجزء من اتفاقياتهم.

 

يمكنك العثور على التزامات تعاقدية لـ Microsoft فيما يتعلق بالقانون العام لحماية البيانات (GDPR) ضمن اتفاقيات العمل على نظرة عامة حول القانون العام لحماية البيانات (GDPR).

 

توفر Microsoft الأدوات والوثائق لدعم مسئولية الامتثال للقانون العام لحماية البيانات (GDPR). وذلك يتضمن دعم حقوق موضوع البيانات مؤدياً تقييمات تأثير حماية البيانات الخاصة بك والعمل سوياً لحل اختراقات البيانات الشخصية. تفضل بزيارة صفحة نظرة عامة حول القانون العام لحماية البيانات (GDPR).

 

تعكس أحكام القانون العام لحماية البيانات (GDPR) الخاصة بـ Microsoft الالتزامات المطلوبة للمعالجات في المادة 28. تتطلب المادة 28 المعالجين الملتزمين بـ:

  • عدم استخدام المعالجات الفرعية إلا بموافقة المتحكم في البيانات والذي يظل مسؤولاً عن المعالجات الفرعية.
  • عدم معالجة البيانات الشخصية إلا من المتحكم في البيانات بما في ذلك فيما يتعلق بالتحويلات.
  • ضمان التزام الأشخاص المعالجين للبيانات الشخصية بالسرية.
  • تطبيق التدابير الفنية والمؤسسية المناسبة لضمان مستوى أمان بيانات شخصية ملائم للخطر.
  • مساعدة المتحكمين في البيانات في التزاماتهم للاستجابة لطلبات مواضيع البيانات لممارسة حقوق القانون العام لحماية البيانات (GDPR) الخاصة بهم.
  • تلبية متطلبات المساعدة والإعلام بالاختراق.
  • مساعدة المتحكمين في البيانات في تقييمات تأثير حماية البيانات والاستشارة مع السلطات الإشرافية.
  • حذف البيانات الشخصية أو استردادها في نهاية تقديم الخدمات.
  • دعم المتحكم في البيانات باستخدام دليل الامتثال للقانون العام لحماية البيانات (GDPR).

 

 

لطالما استخدمت Microsoft الشروط التعاقدية القياسية (المعروفة أيضاً باسم الشروط النموذجية) كأساس لنقل البيانات لخدمات المؤسسة عبر الإنترنت. إن الشروط التعاقدية القياسية عبارة عن أحكام قياسية تقدمها اللجنة الأوروبية التي يمكن استخدامها لنقل البيانات خارج المنطقة الاقتصادية الأوروبية بطريقة متوافقة. دمجت Microsoft الشروط التعاقدية القياسية في جميع اتفاقيات الترخيص المجمع لدينا عبر شروط الخدمات عبر الإنترنت. خلصت الفرقة المعنية بالمادة 29 (29 Working Party) إلى أن تطبيق Microsoft للشروط التعاقدية القياسية متوافق.

 

وعندما أصبح درع خصوصية الاتحاد الأوروبي والولايات المتحدة متوفراً، كانت Microsoft هي الشركة الأولى التي اعتمدته اطلع على شهادة Microsoft لدرع الخصوصية، واقرأ شروط الخدمات عبر الإنترنت. يساعد درع خصوصية الولايات المتحدة والاتحاد الأوروبي العملاء على نقل بياناتهم إلى الولايات المتحدة بطريقة متسقة مع التزامات حماية بياناتهم.

 

كشركة عالمية لها عملاء في كل بلد تقريباً في العالم، تمتلك Microsoft قائمة مشاريع امتثال قوية لمساعدة عملائنا. لعرض قائمة كاملة من عروض التوافق بما في ذلك FedRamp وHIPAA/HITECH وISO 27001 وISO 27002 وISO 27018 وNIST 800-171 وUK G-Cloud والمزيد من ذلك، فتفضل بزيارة  قائمة عروض التوافق.

|

 

للعثور على معلومات حول الإمكانات في خدمات Microsoft المستخدمة لتلبية متطلبات القانون العام لحماية البيانات (GDPR) فتفضل بزيارة www.microsoft.com/trust-center/privacy/gdpr-accountability-documentation.

 

يفرض القانون العام لحماية البيانات (GDPR) نطاقاً واسعاً من المتطلبات على المؤسسات التي تجمع البيانات الشخصية أو تعالجها بما في لك متطلبات الامتثال للمبادئ الستة الأساسية:

  • الشفافية والإنصاف والقانونية  في التعامل مع البيانات الشخصية واستخدامها. ستحتاج إلى أن تكون واضحاً مع الأفراد حول كيفية استخدامك للبيانات الشخصية وستحتاج أيضاً إلى "أساس قانوني" لمعالجة تلك البيانات.
  • الحد من معالجة البيانات الشخصية  لأغراض محددة وصريحة وشرعية. لن تكون قادراً على إعادة استخدام البيانات الشخصية أو الكشف عنها لأغراض "غير متوافقة" مع الغرض الأصلي الذي تم جمع البيانات لأجله.
  • الحد من تجميع البيانات الشخصية وتخزينها لأجل ما هو مناسب وله صلة بالغرض المقصود.
  • ضمان  دقة  البيانات الشخصية وتمكينها ليتمnbsp;مسحها أو تصحيحها. ستحتاج إلى اتخاذ خطوات لضمان أن البيانات الشخصية التي لديك دقيقة ويمكن تصحيحها في حال حدوث أخطاء.
  • الحد من تخزين البيانات الشخصية. ستحتاج إلى التأكد من الاحتفاظ بالبيانات الشخصية فقط طالما كان ذلك ضرورياً لتحقيق الأغراض التي تم جمع البيانات من أجلها.
  • ضمان أمن وسلامة وسرية البيانات الشخصية. يجب أن تتخذ مؤسستك خطوات للمحافظة على أمان البيانات الشخصية خلال تدابير الأمان الفنية والمؤسسية.

ستحتاج إلى فهم الالتزامات المحددة لمؤسستك تجاه القانون العام لحماية البيانات (GDPR) وكيفية الوفاء بها، على الرغم من أن Microsoft موجودة لمساعدتك خلال رحلتك للامتثال للقانون العام لحماية البيانات (GDPR).

للتعرّف على المزيد حول  القانون العام لحماية البيانات (GDPR)،  فتفضل بزيارة www.microsoft.com/gdpr  حيث يمكنك أيضاً التعرّف على المزيد بشأن طريقة مساعدة منتجات محددة من Microsoft على التحضير للامتثال إلى القانون العام لحماية البيانات (GDPR)، الرجاء الاطلاع على مقاطع Azure وDynamics 365 وEnterprise Mobility + Security وOffice 365 وWindows 10.

يقدم القانون العام لحماية البيانات (GDPR) للمقيمين في الاتحاد الأوروبي حق التحكم في بياناتهم الشخصية عبر مجموعة من "الحقوق التي تتعلق بموضوع البيانات". وهذا يتضمن الحق في:

  • الوصول إلى المعلومات حول كيفية استخدام البيانات الشخصية.
  • الوصول إلى البيانات الشخصية الموجودة لدى المؤسسة.
  • تصحيح البيانات الشخصية غير الصحيحة أو حذفها.
  • تصحيح البيانات الشخصية ومسحها في ظروف معينة (يُشار إليها أحياناً باسم "حق المرء أن ينسى").
  • حظر أو الاعتراض على المعالجة الآلية للبيانات الشخصية.
  • استلام نسخة من البيانات الشخصية.

المتحكم في البيانات عبارة عن شخص طبيعي أو اعتباري أو سلطة عامة أو وكالة أو هيئة أخرى تحدد بمفردها أو بالاشتراك مع الآخرين أغراض ووسائل معالجة البيانات الشخصية. المعالج هو شخص طبيعي أو اعتباري أو سلطة عامة أو وكالة أو هيئة أخرى تقوم بمعالجة البيانات الشخصية نيابة عن المتحكم في البيانات.

نعم، يُطبق القانون العام لحماية البيانات (GDPR) على المتحكمين في البيانات والمعالجين كليهما. يجب ألا يستخدم المتحكمون في البيانات إلا المعالجين لاتخاذ التدابير لتلبية متطلبات القانون العام لحماية البيانات (GDPR).

 

بموجب القانون العام لحماية البيانات (GDPR)، يواجه المعالجون واجبات مسؤولية إضافية عن عدم الامتثال أو التصرف خارج التعليمات المقدمة من المتحكم في البيانات بالمقارنة مع توجيهات حماية البيانات. تتضمن واجبات المعالج، على سبيل المثال لا الحصر:

  • عدم معالجة البيانات إلا وفقاً لإرشادات المتحكم في البيانات.
  • الاستعانة بالتدابير الفنية والمؤسسية لحماية البيانات الشخصية.
  • مساعدة المتحكم في البيانات في طلبات موضوع البيانات.
  • التأكد من تلبية المعالجين الفرعيين لهذه المتطلبات.

يمكن أن يتم الشركات ما يصل إلى 20 مليون يورو أو 4% من المبيعات السنوية على مستوى العالم -أيهما أكبر- نتيجة للإخفاق في تلبية متطلبات القانون العام لحماية البيانات (GDPR) المحددة. قد تزيد الإصلاحات الفردية الإضافية الخطر إذا ما أخفقت في الالتزام بمتطلبات القانون العام لحماية البيانات (GDPR).

يعتمد هذا الأمر على عوامل عديدة محددة في اللائحة. تذكر المادة 37 من القانون العام لحماية البيانات (GDPR) أن المتحكمين في البيانات والمعالجين يجب عليهم تعيين مسؤول حماية البيانات في أي حالة حيث: (أ) تتم عملية المعالجة بواسطة سُلطة عامة أو شخص باستثناء المحاكم التي تعمل بصفتها القضائية؛ أو (ب) الأنشطة الأساسية للمتحكمين في البيانات أو للمعالج التي تتكون من عمليات المعالجة والتي -بحكم طبيعتها- تتطلب أغراضها و\أو نطاقها مراقبة منهجية ومنتظمة لمواضيع البيانات على نطاق واسع؛ أو (ج) تتألف الأنشطة الأساسية للمتحكم في البيانات أو المعالج من المعالجة على نطاق واسع لفئات محددة من البيانات بموجب المادة 9 والبيانات الشخصية المتعلقة الإدانات الجنائية والجرائم المُشارة إليها في المادة 10.

يؤدي تحقيق الامتثال للقانون العام لحماية البيانات (GDPR) إلى تكلفة الوقت والمال لمعظم المؤسسات، على الرغم أنه قد يكون أكثر سلاسة بالنسبة لأولئك العاملين في نموذج خدمات السحابة جيدة التصميم ولديهم برنامج فعال لإدارة البيانات.

|

ينظم القانون العام لحماية البيانات (GDPR) تجميع وتخزين واستخدام ومشاركة "البيانات الشخصية." يتم تحديد البيانات الشخصية على نطاق واسع جداً ضمن القانون العام لحماية البيانات (GDPR) على أنها أي بيانات تتعلق بشخص طبيعي مُحدد أو قابل للتحديد.

 

وقد تتضمن البيانات الشخصية -على سبيل المثال لا الحصر- المعرفات عبر الإنترنت (مثل عناوين IP) ومعلومات الموظفين وقواعد بيانات المبيعات وبيانات خدمات العملاء ونماذج ملاحظات العميل وموقع البيانات وبيانات المقاييس الحيوية ولقطات كاميرات المراقبة وسجلات نظام الولاء والمعلومات الصحية والمالية وأكثر من ذلك. ويمكن أن تتضمن حتى المعلومات التي لا تبدو شخصية -مثل صورة لمنظر طبيعي دون أشخاص - حيث ترتبط تلك المعلومات عن طريق رقم الحساب أو رمز فريد لفرد قابل للتعريف. وحتى البيانات الشخصية التي تم نشرها على أنها غير حقيقية يمكن أن تكون بيانات شخصية في حال ارتباط الاسم المستعار بفرد معين.

 

يجب أن تكون أيضاً على دراية بأن معالجة فئات "محددة" من البيانات الشخصية -مثل البيانات الشخصية التي تكشف عن الأصل العرقي لشخص ما أو تتعلق بالصحة أو الميول الجنسية- تخضع لقواعد أكثر صرامة من تلك المستخدمة لمعالجة بيانات شخصية "عادية".

 

إن تقييم البيانات الشخصية يعتمد بصورة كبيرة على الحقائق، لذا نوصي بالاستعانة بمتخصص لتقييم الظروف المحددة الخاصة بك.

نعم. بالرغم من اختلاف القواعد إلى حدٍ ما، يُطبق القانون العام لحماية البيانات (GDPR) على المؤسسات التي تجمع البيانات وتعالجها لأغراض خاصة بها ("المتحكمون في البيانات") فضلاً عن معالجة البيانات بالنيابة عن الآخرين ("المعالجون.") وهذا يحيد عن توجيهات حماية البيانات القائمة والتي تنطبق على المتحكمين في البيانات.

البيانات الشخصية عبارة عن أي معلومات تتعلق بشخص مُحدد أو قابل للتحديد. لا يوجد فارق بين أدوار الشخص الخاصة أو العامة أو المتعلقة بالعمل. قد تتضمن المعلومات الشخصية ما يلي:

 

تتضمن الأمثلة على المعلومات الشخصية ما يلي:

 

الهوية

  • الاسم
  • عنوان المنزل
  • عنوان العمل
  • رقم الهاتف
  • رقم الهاتف المحمول
  • عنوان البريد الإلكتروني
  • رقم جواز السفر
  • بطاقة تعريف الهوية الشخصية
  • رقم التأمين الاجتماعي (أو ما يعادله)
  • رخصة القيادة
  • معلومات جسدية أو نفسية أو وراثية
  • معلومات طبية
  • الهوية الثقافية

التمويل

  • أرقام الحسابات \ التفاصيل المصرفية
  • رقم الملف الضريبي
  • عنوان العمل
  • أرقام البطاقة الائتمانية \ المدينة
  • منشورات وسائل التواصل الاجتماعي

المنتجات عبر الإنترنت

  • منشورات وسائل التواصل الاجتماعي
  • عنوان IP (منطقة الاتحاد الأوروبي)
  • الموقع \ بيانات GPS
  • ملفات تعريف الارتباط

نعم، بالرغم أن القانون العام لحماية البيانات (GDPR) ينظم بصرامة نقل البيانات الشخصية للمقيمين في الاتحاد الأوروبي إلى وجهات خارج المنطقة الاقتصادية الأوروبية. قد تحتاج إلى إعداد آلية قانونية محددة مثل عقد أو الالتزام بآلية اعتماد من أجل تمكين عمليات التحويل هذه. تُفصل Microsoft الآليات التي نستخدمها في بنود الخدمات عبر الإنترنت.

أينما وُجدت أسباب مشروعة للمعالجة المستمرة واستبقاء البيانات مثل "الامتثال للالتزام القانوني الذي يتطلب المعالجة عن طريق قانون الاتحاد أو الدولة العضو والذي يخضع لها المتحكم في البيانات" (المادة 17(3)(ب))، يدرك القانون العام لحماية البيانات (GDPR) أن المؤسسات قد تكون مُطالبة بالاحتفاظ بالبيانات. ومع ذلك، يجب أن تتأكد من إشراك مستشارك القانوني للتأكد من موازنة أسباب الاستبقاء بالحقوق والحريات الخاصة بمواضيع البيانات وتوقعاتهم في وقت جمع البيانات، إلخ.

يتم تعريف التشفير في القانون العام لحماية البيانات (GDPR) على أنه تدبير وقائي يجعل البيانات الشخصية غامضة عندما تتأثر بالاختراق. ومن هذا المنطلق، فإن استخدام التشفير من عدمه قد يؤثر على متطلبات الإخطار بانتهاك البيانات الشخصية. كما يشير أيضاً القانون العام لحماية البيانات (GDPR) أيضاً إلى أنه عبارة عن تدبير تقني أو مؤسسي مناسب في بعض الحالات، استناداً إلى الخطر. كما أن التشفير أيضاً عبارة عن أحد المتطلبات خلال معيار أمان البيانات في صناعة بطاقات الدفع وجزء من إرشادات الامتثال الصارمة المحددة في مجال الخدمات المالية. تقدم منتجات Microsoft وخدماتها مثل Azure وDynamics 365 وEnterprise Mobility + Security وOffice 365 وSQL Server/قاعدة بيانات Azure SQL وWindows 10 تشفيراً قوياً للبيانات أثناء النقل والبيانات الثابتة.

 

للتعرّف على المزيد حول كيف يمكن أن تساعدك منتجات Microsoft وخدماتها في تحضيرك للامتثال للقانون العام لحماية البيانات (GDPR) فالرجاء الاطلاع على كيف يمكن أن تساعدك المنتجات في تحقيق متطلبات القانون العام لحماية البيانات (GDPR).

يعمل القانون العام لحماية البيانات (GDPR) على تغيير متطلبات حماية البيانات ويفرض التزامات أكثر صرامة للمعالجين والمتحكمين في البيانات فيما يتعلق بملاحظة عمليات اختراق البيانات الشخصية. بموجب اللائحة الجديدة، يجب أن يُعلم المعالج المتحكم في البيانات بوجود اختراق للبيانات الشخصية، بعد أن يصبح على درايةٍ به دون أي تأخير غير مبرر. بمجرد الدراية بوجود اختراق للبيانات الشخصية، يجب أن يُعلم المتحكم في البيانات السلطة المعنية لحماية البيانات خلال 72 ساعةً. إذا كان من المحتمل أن يؤدي الاختراق إلى خطر كبير على حقوق الأفراد وحرياتهم، فسيتعين على المتحكمين في البيانات أيضاً إخطار الأفراد المتأثرين دون تأخير لا مبرر له. يتم تطوير إرشادات إضافية حول هذا الموضوع بواسطة الفرقة المعنية بالمادة 29 التابعة للاتحاد الأوروبي (Working Party).

 

منتجات Microsoft وخدماتها -مثل Azure وDynamics 365 وEnterprise Mobility + Security وOffice 365 وWindows 10- تحتوي على حلول متوفرة اليوم لمساعدتك في الكشف عن التهديدات والاختراقات الأمنية والامتثال لالتزامات الإعلام بالاختراق التابعة للقانون العام لحماية البيانات (GDPR).

|

إن Microsoft FastTrack عبارة عن مزايا خدمات، يظفر عملاؤنا بالخدمة للمساعدة في إدراك الشركات لقيمة العمل بصورة أسرع باستخدام Microsoft Cloud. يساعد FastTrack على:

  • ترحيل البريد الإلكتروني والمحتوى وتسليط الضوء على خدمات Microsoft 365.
  • النشر وإدارة الأجهزة بأمان.
  • تمكين عملك واكتساب اعتماد المستخدم النهائي.

إن Microsoft FastTrack عبارة عن خدمة مزايا مستمرة ومتكررة، متوفر لجميع العملاء، ويقدمها مهندسو ومتخصصو Microsoft لمساعدة العملاء أو الشركاء على التخطيط والتجهز للاستخدام وتعزيز الاعتماد \ الاستخدام والمساعدة في الانتقال إلى السحابة بثقة وفي وتيرة العملاء والشركاء.

 

كما أننا نساعد العملاء في عمليات نشر محددة والترحيل إلى خدمات الإنترنت، يلتزم Microsoft FastTrack بأن يكون متوافقاً مع القانون العام لحماية البيانات (GDPR) من خلال إنفاذ الوقت بدايةً من 25 مايو 2018. كجزء من خدمة المزايا المهنية من FastTrack، نحن نعمل أيضاً مع شريك (شركاء) العمل الحالي أو العودة إلى الشركاء للمساعدة في النشر والاعتماد.

 

راجع https://FastTrack.Microsoft.com لمزيد من المعلومات.

 

*»مزايا الخدمات» تعتبر «خدمة مهنية» معرفة من قبل OST وMBSA لدينا.

إن مهندسي ومتخصصي FastTrack خبراء صناعة في التخطيط للسيناريوهات وقيمة العمل التي يرغب العملاء والشركاء في تحقيقه، ويركزون على التخطيط والنشر وتعزيز الاعتماد للمنتجات والخدمات لمساعدة العملاء والشركاء على تحقيق هذه الأهداف. تعرّف على المزيد حول كيفية دعم منتجات Microsoft وخدماتها لامتثالك للقانون العام لحماية البيانات (GDPR) كم خلال موقع ويب مركز التوثيق. نشجع عملائنا وشركائنا على العمل مع متخصص مؤهل قانونياً لمناقشة القانون العام لحماية البيانات (GDPR)، وكيفية تطبيقه بشكل خاص على مؤسستهم، وأفضل طريقة لضمان الامتثال.

نحن ننصح العملاء لدينا بالتعاون مع فرق التوافق والفرق القانونية لتحديد متطلبات القانون العام لحماية البيانات (GDPR) للتشفير ومتطلبات القانون العام لحماية البيانات (GDPR) بشكلٍ عام. يقتصر القانون العام لحماية البيانات (GDPR) على بيانات العمل المجمعة واستخدام السيناريوهات وقطاعات الصناعة أو المتجهات.

إن Microsoft FastTrack عبارة عن خدمة نجاح العملاء ملتزمة بتوصيل عمليات نر أسرع وعائد استثمار وتعزيز الاعتماد بصورة أسرع للموظفين أو المستخدمين النهائيين لمنتجات Microsoft وخدماتها. مع وضع ذلك في الاعتبار، بصفة العملاء أو الشركاء يمكنهم تقديم طلب للمساعدة خلال Microsoft FastTrack، سوف نبدأ عمليتنا لنشر منتجات Microsoft وخدماتها بصورة ملائمة لعملائنا أو شركائنا.

 

كجزء من خدمة المزايا المهنية من FastTrack لدينا، نحن نعمل أيضاً مع شريك (شركاء) العمل الحالي أو العودة إلى الشركاء للمساعدة في النشر والاعتماد. يمكنك التعرّف على المزيد حول الشركاء المتخصصين في القانون العام لحماية البيانات (GDPR) المتاحين للمساعدة شركاء Microsoft نحو الامتثال على النحو الموصوف في صفحة مركز التوثيق التابع للقانون العام لحماية البيانات (GDPR)  هنا. يمكنك الإشارة إلى  صفحة ويب القانون العام لحماية البيانات (GDPR)\مركز التوثيق لتقييم مدى استعدادك للقانون العام لحماية البيانات (GDPR) وكيف يمكنك التسريع من امتثالك للقانون العام لحماية البيانات (GDPR) مع Microsoft Cloud واستخدام  Microsoft FastTrack للمساعدة في النشر.


موارد إضافية

Graphic icon of two people with a plus sign representing partnerships

البحث عن شريك

يمكنك تلبية احتياجاتك بشأن القانون العام لحماية البيانات (GDPR) مع أحد شركائنا العالميين الذين يقدمون حلولاً تعتمد في أساسها على Microsoft.

Graphic icon of two horizontal rectangles stacked with magnifying glass representing privacy policies

ممارسات الخصوصية في Microsoft

تعرّف على كيفية إدارة Microsoft للبيانات ومواقع تخزينها ومن يمكنه الوصول إليها وشروط ذلك والمزيد.

Graphic icon of a shield with an exclamation point in the middle

الاتحاد الأوروبي والولايات المتحدة. درع الخصوصية

تعرّف على كيفية التزام Microsoft بمبادئ الاتحاد الأوروبي والولايات المتحدة. إطار عمل درع الخصوصية.

Graphic icon representing an unlocked padlock with a white circle in the middle

إعلام خرق البيانات

طريقة كشف Microsoft عن اختراق البيانات الشخصية واستجابتها له وإعلامك وفقاً للقانون العام لحماية البيانات (GDPR).