كيفية تنفيذ اللائحة العامة لحماية البيانات (GDPR)

دخلت اللائحة العامة لحماية البيانات (GDPR)، وهي قانون خصوصية البيانات التاريخي للاتحاد الأوروبي، حيز التنفيذ في عام 2018. ومع ذلك، لا تزال العديد من المؤسسات تواجه صعوبة في الامتثال للمتطلبات، ولا تتردد السلطات المعنية بحماية البيانات في الاتحاد الأوروبي في فرض العقوبات.

حتى الشركات الكبرى في العالم تواجه صعوبات مع متطلبات اللائحة العامة لقواعد البيانات. فرضت الجهات التنظيمية في إيرلندا غرامة على شركة ميتا تبلغ 1.2 مليار يورو في عام 2023. تجري السلطات الإيطالية تحقيقًا مع OpenAI للاشتباه في وجود انتهاكات، حيث تم حظر ChatGPT لفترة مؤقتة.

تجد العديد من الشركات صعوبة في تنفيذ متطلبات اللائحة، لأن القانون معقد ويعطي حرية كبيرة في كيفية تطبيقه. وتضع اللائحة سلسلة من القواعد لكيفية تعامل المؤسسات داخل أوروبا وخارجها مع البيانات الشخصية للمقيمين في الاتحاد الأوروبي. ومع ذلك، فإنها تمنح الشركات بعض الحرية في كيفية تطبيق هذه القواعد.

ستختلف تفاصيل خطة أي مؤسسة لتصبح متوافقة تمامًا مع اللائحة العامة لحماية البيانات بناء على البيانات التي تجمعها المؤسسة وما تفعله بهذه البيانات. ومع ذلك، هناك بعض الخطوات الأساسية التي يمكن لجميع الشركات اتخاذها عند تنفيذ اللائحة:

• جرد البيانات الشخصية
• تحديد بيانات الفئات الخاصة وحمايتها 
• تدقيق أنشطة معالجة البيانات
• تحديث نماذج موافقة المستخدم
• إنشاء نظام حفظ السجلات
• تعيين الأشخاص المسؤولين عن الامتثال
• صياغة مسودة سياسة خصوصية البيانات
• التأكد من امتثال الشركاء من الجهات الخارجية
• وضع إجراءات لعملية تقييم أثر حماية البيانات
• تنفيذ خطة الاستجابة لاختراق أمن البيانات
• تسهيل إمكانية ممارسة الأفراد لحقوقهم المتعلقة بالبيانات
• نشر تدابير أمن المعلومات

تنطبق اللائحة العامة لحماية البيانات على أي مؤسسة تعالج البيانات الشخصية للمقيمين الأوروبيين، بغض النظر عن مكان وجود هذه المؤسسة. وبالنظر إلى الطبيعة المترابطة والدولية للاقتصاد الرقمي، فإن ذلك يشمل العديد من الشركات اليوم، وربما معظمها. حتى المؤسسات التي لا تقع ضمن نطاق اللائحة العامة لحماية البيانات قد تتبنى متطلباتها لتعزيز حماية البيانات.

وبشكل أكثر تحديدًا، تنطبق اللائحة العامة لحماية البيانات على جميع مراقبي البيانات ومعالجي البيانات الموجودين في المنطقة الاقتصادية الأوروبية (EEA). تضم المنطقة الاقتصادية الأوروبية جميع الدول الأعضاء في الاتحاد الأوروبي والبالغ عددها 27 دولة بالإضافة إلى أيسلندا وليختنشتاين والنرويج. 

المتحكم في البيانات هو أي مؤسسة أو مجموعة أو شخص يجمع البيانات الشخصية ويحدد كيفية استخدامها. فكر: بائع تجزئة عبر الإنترنت يخزن عناوين البريد الإلكتروني للعملاء لإرسال تحديثات الطلبات.

معالج البيانات هو أي مؤسسة أو مجموعة تنفِّذ أنشطة معالجة البيانات. تضع اللائحة العامة لحماية البيانات تعريفًا واسع النطاق "للمعالجة"، حيث تنص على أنها أي إجراء يتم على البيانات، مثل تخزينها، وتحليلها، وتعديلها، وما إلى ذلك. المعالجون هم الأطراف الثالثة التي تعالج البيانات الشخصية نيابة عن المتحكم، مثل شركة تسويق تحلل بيانات المستخدمين لمساعدة الشركات على فهم الخصائص الديموغرافية الأساسية للعملاء.

تنطبق اللائحة أيضًا على وحدات التحكم والمعالجات الموجودة خارج المنطقة الاقتصادية الأوروبية إذا استوفت شرطًا واحدًا على الأقل من الشروط التالية: 

• تقدم الشركة بانتظام السلع والخدمات لسكان المنطقة الاقتصادية الأوروبية، حتى وإن لم يتم تبادل المال.
• تراقب الشركة بانتظام نشاط سكان المنطقة الاقتصادية الأوروبية، مثل استخدام ملفات تعريف الارتباط للتتبع. 
• تعالج الشركة البيانات الشخصية نيابةً عن المتحكمين في المنطقة الاقتصادية الأوروبية. 
• تمتلك الشركة موظفين في المنطقة الاقتصادية الأوروبية.

هناك بعض الأشياء الأخرى الجديرة بالملاحظة حول اللائحة العامة لحماية البيانات. يتعلق الأمر أولًا بالبيانات الشخصية للأشخاص الطبيعيين فقط، والذين يُطلق عليهم أيضًا أصحاب البيانات في لغة اللائحة العامة لحماية البيانات. والمقصود بالشخص الطبيعي هو الإنسان الحي. حيث لا تحمي اللائحة العامة لحماية البيانات بيانات الأشخاص الاعتباريين، مثل الشركات أو الأشخاص المتوفين.

ثانيًا، لا يشترط أن يكون الشخص من مواطني الاتحاد الأوروبي حتى يتمتع بإجراءات حماية اللائحة العامة لحماية البيانات. بل عليه أن يكون فقط مقيمًا رسميًا في المنطقة الاقتصادية الأوروبية.

أخيرًا، تنطبق اللائحة على معالجة البيانات الشخصية لأي غرض كان، سواء أكان تجاريًا أو أكاديميًا أو حكوميًا أو غير ذلك. وتخضع لها الشركات والمستشفيات والمدارس والسلطات العامة. عمليات المعالجة الوحيدة المعفاة من اللائحة العامة لحماية البيانات هي أنشطة الأمن القومي وإنفاذ القانون والاستخدامات الشخصية البحتة للبيانات.

لا توجد خطة موحدة للامتثال للائحة تناسب جميع المؤسسات، ولكن هناك بعض الممارسات الأساسية التي يمكن أن تستخدمها المؤسسات لتوجيه جهود تنفيذها.

وللاطلاع على قائمة بالمتطلبات الأساسية للائحة، راجع القامة المرجعية للامتثال للائحة العامة لحماية البيانات. 

جرد البيانات الشخصية

على الرغم من أن اللائحة العامة لحماية البيانات لا تتطلب بشكل صريح وجود سجل بيانات، إلا أن العديد من المؤسسات تبدأ من هنا لسببين. أولًا، تُسهم معرفة البيانات التي تمتلكها المؤسسة وكيفية معالجتها في مساعدة المؤسسة على فهم أعباء الامتثال بشكل أفضل. على سبيل المثال، تحتاج الشركة التي تجمع بيانات صحة المستخدم إلى حماية أقوى من تلك التي تجمع عناوين البريد الإلكتروني فقط.

ثانيًا، يساعد الجرد الشامل على تسهيل الامتثال لطلبات المستخدمين لمشاركة بياناتهم أو تحديثها أو حذفها. 

يمكن لجرد البيانات تسجيل تفاصيل مثل:

• أنواع البيانات التي يتم جمعها (أسماء المستخدمين وبيانات التصفح)
• مجموعات البيانات (العملاء والموظفين والطلاب)
• كيفية جمع البيانات (عمليات التسجيل في الفعاليات والصفحات المقصودة)
• مكان تخزين البيانات (الخوادم المحلية والخدمات السحابية)
• الغرض من جمع البيانات (الحملات التسويقية، التحليل السلوكي)
• كيفية معالجة البيانات (التقييم الآلي، التجميع)
• الأشخاص الذين لديهم حق الوصول إلى البيانات (الموظفون، البائعون)
• الضمانات القائمة (التشفير، المصادقة متعددة العوامل) 

قد يكون من الصعب تتبع البيانات الشخصية المشتتة في شبكة المؤسسة، والتي توجد في سير العمل المختلفة، وقواعد البيانات، والنقاط النهائية، وحتى أصول تقنية المعلومات الظلية. لتسهيل إدارة قوائم البيانات، يمكن للمؤسسات أن تفكر في استخدام حلول حماية البيانات التي تقوم تلقائيًا باكتشاف البيانات وتصنيفها. 

تعرف على كيفية استخدام IBM Guardium Data Protection لاكتشاف البيانات الحساسة وتصنيفها وحمايتها تلقائيًا في مستودعات رئيسية مثل AWS وقواعد البيانات كخدمة وكذلك الأنظمة التقليدية.

تحديد بيانات الفئات الخاصة وحمايتها 

عند جرد البيانات، يجب على المؤسسات تدوين أي بيانات حساسة بشكل خاص تتطلب حماية إضافية. تفرض اللائحة احتياطات إضافية لثلاثة أنواع من البيانات على وجه الخصوص: بيانات الفئة الخاصة، وبيانات الإدانة الجنائية، وبيانات الأطفال.

• تتضمن بيانات الفئة الخاصة بيانات القياسات الحيوية، سجلات الصحة، العرق، الإثنية، وغيرها من المعلومات الشخصية الحساسة للغاية. تحتاج المؤسسات عادة إلى موافقة صريحة من المستخدم لمعالجة بيانات الفئة الخاصة. 

• لا يمكن التحكم في بيانات الإدانة الجنائية إلا من قِبَل السلطات العامة وتتم معالجتها بناء على توجيهات منها. 

• لا يمكن معالجة بيانات الأطفال دون موافقة الوالدين، وتحتاج المؤسسات إلى آليات للتحقق من أعمار أصحاب البيانات وهويات والديهم. تحدد كل دولة من دول المنطقة الاقتصادية الأوروبية تعريفها الخاص لكلمة "طفل" بموجب اللائحة العامة لحماية البيانات. تتراوح الأعمار من أقل من 13 عامًا إلى أقل من 16 عامًا. ويجب أن تكون الشركات مستعدة للامتثال لهذه التعريفات المختلفة. 

تدقيق أنشطة معالجة البيانات 

أثناء جرد البيانات، تسجل المؤسسات أي عمليات معالجة تخضع لها البيانات. بعد ذلك، يجب على المؤسسات التأكد من أن هذه العمليات تتوافق مع قواعد المعالجة التي تنص عليها اللائحة. تتضمن بعض أهم مبادئ اللائحة العامة لحماية البيانات ما يلي:

• يجب أن يكون لجميع عمليات المعالجة أساس قانوني ثابت: لا تُقبل معالجة البيانات إلا إذا كان لدى المؤسسة أساس قانوني معتمد لتلك المعالجة. تشمل الأسس القانونية الشائعة الحصول على موافقة المستخدم، ومعالجة البيانات لتنفيذ عقد مع المستخدم، ومعالجة البيانات للمصلحة العامة. كما ينبغي على المؤسسات توثيق الأساس القانوني لكل عملية معالجة قبل البدء.

لمعرفة القائمة الكاملة للأسس القانونية المعتمدة، راجع صفحة الامتثال للائحة العامة لحماية البيانات (GDPR).

• تحديد الغرض: يجب أن يتم جمع البيانات واستخدامها لغرض محدد على وجه التحديد. 

• تقليل البيانات إلى الحد الأدنى: يجب على المؤسسات جمع الحد الأدنى من البيانات اللازمة للغرض المحدد لها. 

• الدقة: يجب على المؤسسات التأكد من أن البيانات التي تجمعها صحيحة وحديثة. 

• قيود التخزين: يجب على المؤسسات التخلص الآمن من البيانات بمجرد تحقيق الغرض منها. 

للحصول على قائمة كاملة بمبادئ المعالجة التي تنص عليها اللائحة العامة لحماية البيانات، راجع القائمة المرجعية للامتثال للائحة العامة لحماية البيانات.

تحديث نماذج موافقة المستخدم

تُعدّ موافقة المستخدم أساسًا قانونيًا شائعًا للمعالجة. ومع ذلك، فإن الموافقة تكو صالحة فقط بموجب اللائحة العامة لحماية البيانات إذا كانت مستنيرة ومؤكدة ومعطاة بحرية. وقد يتعين على المؤسسات إلى تحديث نماذج الموافقة لتلبية هذه المتطلبات.

• لضمان الحصول على الموافقة، يجب على المؤسسة أن تشرح بوضوح البيانات التي ستجمعها وكيف ستستخدم تلك البيانات في نقطة جمع البيانات.

• لضمان أن تكون الموافقة إيجابية، يجب على المؤسسات اعتماد نهج الاشتراك، حيث يجب على المستخدمين تحديد مربع أو التوقيع على بيان للإشارة إلى الموافقة. وكذلك لا يمكن دمج الموافقات. يجب أن يوافق المستخدمون على كل نشاط معالجة على حدة.

• لضمان أن تكون الموافقة مجانية، يمكن للمؤسسات فقط طلب الموافقة على أنشطة معالجة البيانات التي تعد جزءًا لا يتجزأ من الخدمة. بمعنى آخر، لا يمكن للشركة إجبار المستخدمين على الكشف عن آرائهم السياسية لشراء قميص. يجب أن يكون المستخدمون قادرين على إلغاء الموافقة في أي وقت.

إنشاء نظام حفظ السجلات 

يجب على المؤسسات التي تضم أكثر من 250 موظفًا، والشركات من أي حجم التي تعالج البيانات بانتظام أو تتعامل مع البيانات عالية الخطورة، الاحتفاظ بسجلات إلكترونية مكتوبة لأنشطة المعالجة الخاصة بها. 

وعلى أي حال، يمكن أن يكون الاحتفاظ بهذه السجلات مفيدًا للمؤسسات. وذلك لأنها لا تساعد في تتبع جهود الخصوصية والأمان فحسب، بل تُسهم أيضًا في إثبات الامتثال في حالة حدوث تدقيق أو خرق. يمكن للشركات تقليل العقوبات أو تجنبها إذا تمكنت من إثبات أنها بذلت جهدًا بحسن نية للامتثال.

قد يرغب مراقبو البيانات في الاحتفاظ بسجلات قوية بشكل خاص، وذلك لأن اللائحة العامة لحماية البيانات (GDPR) تحمِّلهم المسؤولية عن امتثال شركائهم ومورديهم. 

تعيين شخاص مسؤولين عن الامتثال للائحة العامة لحماية البيانات

يجب على جميع السلطات العامة وأي مؤسسات تعالج بانتظام بيانات الفئة الخاصة أو تراقب أصحاب البيانات على نطاق واسع تعيين مسؤول عن حماية بيانات (DPO). المسؤول عن حماية البيانات هو مسؤول مؤسسي مستقل مسؤول عن الامتثال للائحة العامة لحماية البيانات. وم مسؤولياته الشائعة الإشراف على تقييمات المخاطر وتدريب الموظفين على مبادئ حماية البيانات والعمل مع السلطات الحكومية.

ورغم أنه يلزم على بعض المؤسسات فقط تعيين مسؤول عن حماية البيانات، إلا أنه من المفيد أن تأخذ جميع المؤسسات هذا الأمر في اعتبارها. إذ يمكن أن يساعد وجود قائد مخصص للامتثال للائحة العامة لحماية البيانات في تبسيط التنفيذ.

يمكن أن يكون المسؤولون عن حماية البيانات موظفين في شركة أو مستشارين خارجيين يقدمون خدماتهم بموجب عقد. ويجب عليهم تقديم تقاريرهما مباشرة إلى أعلى مستوى من الإدارة. لا يمكن للشركة الانتقام من المسؤول عن حماية البيانات بسبب أدائه لواجبه. 

يجب على المؤسسات خارج المنطقة الاقتصادية الأوروبية تعيين ممثل داخل المنطقة الاقتصادية الأوروبية إذا كانت تعالج بانتظام بيانات سكان المنطقة الاقتصادية الأوروبية أو تتعامل مع بيانات حساسة للغاية. تتمثل المهمة الرئيسية لممثل المنطقة الاقتصادية الأوروبية في التنسيق مع سلطات حماية البيانات نيابةً عن الشركة أثناء التحقيقات. ويمكن أن يكون الممثل موظفًا أو شركة تابعة أو خدمة مستأجرة. 

المسؤول عن حماية البيانات وممثل المنطقة الاقتصادية الأوروبية هما دوران مختلفان لهما مسؤوليات مختلفة. والجدير بالذكر أن الممثل يتصرف بتوجيه من المؤسسة، بينما يجب أن يكون المسؤول عن حماية البيانات موظفًا مستقلًا. لا يمكن لأي مؤسسة تعيين طرف واحد (الرابط موجود خارج موقع ibm.com) للعمل كممثل مسؤول حماية البيانات والمنطقة الاقتصادية الأوروبية.

إذا كانت المؤسسة تعمل في عدة دول في المنطقة الاقتصادية الأوروبية، يجب عليها تحديد سلطة إشرافية رئيسية. والسلطة الإشرافية الرئيسية هي الهيئة الرئيسية لحماية البيانات (DPA) التي تشرف على الامتثال للائحة العامة لحماية البيانات لتلك الشركة في جميع أنحاء أوروبا. 

عادة ما تكون السلطة الإشرافية الرائدة هي الهيئة الرئيسية لحماية البيانات في الدولة العضو حيث يوجد مقر المؤسسة أو حيث تُجري أنشطة المعالجة الأساسية الخاصة بها. 

صياغة مسودة سياسة خصوصية البيانات 

تتطلب اللائحة العامة لحماية البيانات أن تبقي المؤسسات الأشخاص على اطلاع حول كيفية استخدامهم لبياناتهم. يمكن للشركات تلبية هذا المطلب من خلال صياغة سياسات الخصوصية التي تصف بوضوح عمليات المعالجة الخاصة بها، بما في ذلك البيانات التي تجمعها الشركة، وسياسات الاحتفاظ والحذف، وحقوق المستخدم، والتفاصيل الأخرى ذات الصلة.

يجب أن تكون لغة سياسات الخصوصية واضحة يمكن لأي شخص فهمها. وقد يؤدي إخفاء المعلومات المهمة وراء المصطلحات المعقدة إلى انتهاك اللائحة العامة لحماية البيانات. يمكن للمؤسسات التأكد من اطلاع المستخدمين على هذه السياسات من خلال مشاركة إشعارات الخصوصية عند نقطة جمع البيانات. ويمكن للمؤسسات أيضًا عرض سياسات الخصوصية الخاصة بها على صفحات عامة يسهل العثور عليها على مواقعها الإلكترونية. 

التأكد من امتثال الشركاء من الأطراف الثالثة 

يتحمل المتحكمون في البيانات المسؤولية النهائية عن البيانات الشخصية التي يجمعونها، بما في ذلك كيفية استخدام المعالجين والبائعين والأطراف الثالثة الأخرى لها. وفي حال عدم امتثال الشركاء، قد تتم معاقبة المتحكمين في البيانات. 

يجب على المؤسسات مراجعة عقودها مع أي أطراف ثالثة يمكنها الوصول إلى بياناتها. ويجب أن تحدد هذه العقود بوضوح حقوق ومسؤوليات جميع الأطراف فيما يتعلق باللائحة العامة لحماية البيانات بطريقة ملزمة قانونًا.

إذا كانت إحدى المؤسسات تعمل مع جهات معالجة خارج المنطقة الاقتصادية الأوروبية، فلا تزال هذه الجهات بحاجة إلى تلبية متطلبات اللائحة العامة لحماية البيانات. في الواقع، تخضع عمليات نقل البيانات خارج المنطقة الاقتصادية الأوروبية لمعايير صارمة. حيث لا يمكن للجهات المتحكمة في البيانات في المنطقة الاقتصادية الأوروبية مشاركة البيانات مع الجهات المعالجة خارج المنطقة الاقتصادية الأوروبية إلا إذا تم استيفاء أحد المعايير التالية:

• إذا رأت المفوضية الأوروبية أن قوانين الخصوصية في هذه الدولة كافية
• إذا رأت المفوضية الأوروبية أن المعالج يتمتع بحماية كافية للبيانات
• إذا اتخذت الجهة المتحكمة في البيانات خطوات لضمان حماية البيانات

تتمثل إحدى طرق ضمان امتثال جميع الشراكات وعمليات نقل البيانات للائحة العامة لحماية البيانات في استخدام البنود التعاقدية القياسية. تمّت الموافقة المسبقة على هذه البنود المكتوبة مسبقًا من قِبَل المفوضية الأوروبية وهي متاحة مجانًا لأي مؤسسة لاستخدامها. وإدراج هذه البنود في العقد يجعله متوافقًا مع اللائحة العامة لحماية البيانات، بشرط أن يلتزم كل طرف بها. لمزيد من المعلومات حول البنود التعاقدية القياسية، يُرجى زيارة موقع المفوضية الأوروبية (الرابط موجود خارج موقع ibm.com).

وضع إجراءات لعملية تقييم أثر حماية البيانات

تفرض اللائحة على المؤسسات إجراء تقييمات تأثير حماية البيانات (DPIAs) قبل أي معالجة عالية المخاطر. ورغم أن اللائحة العامة لحماية البيانات تقدم بعض الأمثلة، مثل استخدام التقنيات الجديدة، ومعالجة البيانات الحساسة على نطاق واسع، إلا أنها لا جميع الأنشطة عالية الخطورة بشكل شامل.

قد تفكر المؤسسات في إجراء تقييم تأثير حماية البيانات قبل أي عملية معالجة جديدة لتكون آمنة. وقد يستخدم آخرون فحصًا مسبقًا مبسطًا لتحديد ما إذا كانت المخاطر عالية بما يكفي لتبرير تقييم تأثير حماية البيانات.

كحد أدنى، يجب أن يتضمن التقييم وصفًا للمعالجة والغرض منها، وتقييمًا لضرورة المعالجة، وتقييمًا للمخاطر التي يتعرض لها أصحاب البيانات، وتوضيحًا لتدابير التخفيف. وإذا كان مستوى الخطور عاليًا بعد التخفيف، يجب على المؤسسة استشارة هيئة حماية البيانات قبل المضي قدمًا. 

تعرّف على كيفية تبسيط إعداد تقارير الامتثال من خلال تدفقات العمل المهيأة مسبقًا للائحة العامة لحماية البيانات وقانون حماية خصوصية المستهلك واللوائح الرئيسية الأخرى باستخدام IBM Guardium Insights.

تنفيذ خطة استجابة عند اختراق أمن البيانات 

يتعين على المؤسسات الإبلاغ عن معظم عمليات اختراق أمن البيانات الشخصية إلى هيئة إشرافية خلال 72 ساعة. وإذا كان الخرق يشكل خطرًا على أصحاب البيانات، مثل سرقة الهوية، يجب على الشركة أيضًا إخطار الأشخاص. ويجب إرسال الإخطارات مباشرة إلى الضحايا ما لم يكن ذلك غير ممكن. في هذه الحالة، يكون الإشعار العام كافيًا.

يتعين على المؤسسات وضع خطط فعّالة للاستجابة للحوادث تعمل على تحديد عمليات الاختراق المستمرة بسرعة، والقضاء على التهديدات، وإخطار السلطات. ولا بد أن تتضمن خطط الاستجابة للحوادث أدوات وأساليب تمكِّن المؤسسة من تعافي الأنظمة واستعادة أمن المعلومات. وكلما استعادت المؤسسة السيطرة بشكل أسرع، قل احتمال تعرضها لإجراءات تنظيمية خطيرة.

ويمكن للمؤسسات أيضًا اغتنام هذه الفرصة لتعزيز تدابير أمن البيانات. إذا كان من غير المحتمل أن يضر الخرق بالمستخدمين -على سبيل المثال، إذا كانت البيانات المسروقة مشفرة بشكل كبير بحيث لا يمكن للمتسللين استخدامها- فلن تحتاج الشركة إلى إخطار أصحاب البيانات. ويمكن أن يساعد ذلك في تجنب تلف السمعة والإيرادات الذي يمكن أن تتبع عملية اختراق أمن البيانات.

تسهيل إمكانية ممارسة الأفراد لحقوقهم المتعلقة بالبيانات 

تمنح اللائحة العامة لحماية البيانات أصحاب البيانات حقوقًا في كيفية استخدام المؤسسات لبياناتها. على سبيل المثال، يتيح حق التصحيح للمستخدمين تصحيح البيانات غير الدقيقة أو القديمة. ويتيح الحق في الحذف للمستخدمين حذف بياناتهم.

بشكل عام، يجب على المؤسسات الامتثال لطلبات أصحاب البيانات في غضون 30 يومًا. ولتسهيل إدارة الطلبات، يمكن للمؤسسات إنشاء منصات الخدمة الذاتية حيث يمكن لأصحاب البيانات الوصول إلى بياناتهم وإجراء التغييرات وتقييد استخدامها. ويجب أن تتضمن المنصات طريقة للتحقق من هويات الأشخاص. تفرض اللائحة على المؤسسات مسؤولية التحقق من هويات مقدمي الطلبات.

القرارات المؤتمتة والتنميط 

يتمتع أصحاب البيانات بحقوق خاصة فيما يتعلق بالمعالجة المؤتمتة. على وجه التحديد، لا يمكن للمؤسسات استخدام الأتمتة لاتخاذ قرارات مهمة دون موافقة المستخدم. ويحق للمستخدمين الاعتراض على القرارات المؤتمتة وطلب إجراء مراجعة بشرية للقرار. 

يمكن للمؤسسات استخدام منصات الخدمة الذاتية لإتاحة الفرصة لأصحاب البيانات للطعن في القرارات المؤتمتة. ويجب أن تكون مستعدة أيضًا لتعيين مراجعين بشريين حسب الحاجة. 

قابلية نقل البيانات 

يحق لأصحاب البيانات نقل بياناتهم إلى أي مكان يريدون، ويجب على المؤسسات تسهيل عمليات النقل هذه. 

وإلى جانب تسهيل طلب عمليات النقل على المستخدمين، يجب على المؤسسات تخزين البيانات بتنسيق قابل للمشاركة. وذلك لإن استخدام التنسيقات الاحتكارية يمكن أن يجعل عمليات النقل صعبة ويعيق حقوق المستخدمين. 

للاطلاع على قائمة كاملة بحقوق أصحاب البيانات، راجع صفحة الامتثال للائحة العامة لحماية البيانات.

نشر تدابير أمن المعلومات

تفرض اللائحة على المؤسسات تطبيق تدابير معقولة لحماية البيانات لإغلاق نقاط الضعف في النظام ومنع الوصول غير المصرح به أو الاستخدام غير القانوني. ولا تفرض اللائحة تدابير محددة، لكنها تنص على أن يتعين على المؤسسات فرض ضوابط فنية وتنظيمية.

تتضمن الضوابط الأمنية التقنية البرامج والأجهزة والأدوات التقنية الأخرى، مثل أنظمة إدارة معلومات الأمن وحلول منع فقدان البيانات. تشجِّع اللائحة بشكل كبير على استخدام التشفير وإخفاء الهوية، لذا قد ترغب المؤسسات في تنفيذ هذه الضوابط بشكل خاص. 

تشمل التدابير التنظيمية عمليات مثل تدريب الموظفين على قواعد اللائحة العامة وتنفيذ السياسات الرسمية لإدارة البيانات.  

توجِّه اللائحة الشركات أيضًا إلى اعتماد مبدأ حماية البيانات حسب التصميم وومن خلال الإعدادات الافتراضية. مبدأ "حسب التصميم" يعني أنه يجب على الشركات تضمين خصوصية البيانات في الأنظمة والعمليات من البداية. أما مبدأ "من خلال الإعدادات الافتراضية" فالمقصود به أن يكون الإعداد الافتراضي لأي نظام هو الإعداد الذي يحافظ على خصوصية المستخدم بقدر كبير. 

تعرف على كيفية قيام حلول أمان وحماية بيانات IBM بتأمين البيانات عبر البيئات السحابية المختلطة وتبسيط متطلبات الامتثال.

يجب على أي مؤسسة تريد العمل في المنطقة الاقتصادية الأوروبية (EEA) الامتثال للائحة العامة لحماية البيانات. ويمكن أن يكون لعدم الامتثال عواقب وخيمة. ويمكن أن تؤدي الانتهاكات الكبيرة إلى غرامات تصل إلى 20,000,000 يورو أو 4% من إيرادات المؤسسة في جميع أنحاء العالم في العام السابق، أيهما أعلى.

لكن الامتثال للبيانات لا يقتصر على تجنب العواقب فحسب. بل له مزايا أيضًا. فإلى جانب أن الامتثال للائحة العامة لحماية البيانات يتيح للمؤسسات الوصول إلى أحد أكبر الأسواق في العالم، فإن مبادئ اللائحة يمكن أن تعزز بشكل كبير تدابير أمان البيانات. حيث يمكن للمؤسسات إيقاف المزيد من عمليات اختراق أمن البيانات قبل حدوثها، ما يؤدي إلى تجنب متوسط تكلفة قدره 4.45 مليون دولار أمريكي لكل عملية اختراق.

كما يمكن أن يؤدي الامتثال للائحة العامة لحماية البيانات أيضًا إلى تعزيز سمعة الشركة وبناء الثقة مع المستهلكين. إذ يفضل الأشخاص بشكل عام إجراء الأعمال مع المؤسسات التي تحمي بيانات العملاء بشكل هادف (الرابط موجود خارج موقع ibm.com).

أسهمت اللائحة العامة لحماية البيانات في وضع قوانين مماثلة لحماية البيانات في مناطق أخرى، مثل قانون خصوصية المستهلك في كاليفورنيا (California Consumer Privacy Act) وقانون حماية البيانات الشخصية الرقمية في الهند. وفي الغالب، تُعدّ اللائحة هي الأكثر صرامة، لذا فإن الامتثال لها يمكن أن يضع المؤسسات في وضع يسمح لها بالامتثال للوائح الأخرى أيضًا.

وأخيرًا، إذا خالفت شركة ما اللائحة العامة لحماية البيانات، فإن إظهار مستوى معين من الامتثال يمكن أن يساعد في تخفيف التداعيات. وتقوم الهيئات التنظيمية بوزن عوامل مثل ضوابط الأمن السيبراني الحالية والتعاون مع السلطات الإشرافية عند تحديد العقوبات.