ماذا يعني القانون العام لحماية البيانات (GDPR) لعملك

اليوم هو يوم جيد لمعرفة المزيد حول ما تعنيه لائحة حماية البيانات العامة (GDPR) لعملك.

تصبح اللائحة العامة لحماية البيانات الخاصة بالاتحاد الأوروبي ، أو اللائحة العامة لحماية البيانات ، سارية المفعول اعتبارًا من 25 مايو 2018. وعلى الرغم من أن هذا ما يقرب من عام تقريبًا ، من الناحية التشغيلية ، هناك عدد كبير من الأشياء التي ستحتاج إلى القيام بها للامتثال. (نعم ، "الحمل المتري" مصطلح تقني.)

في هذه الحلقة من Rethink Podcast ، تحدثنا مع David Fowler ، رئيس قسم الخصوصية والامتثال وإمكانية التسليم في Act-On. كما يقول ديفيد ، يمثل الناتج المحلي الإجمالي أكبر تغيير في قانون حماية البيانات في الاتحاد الأوروبي منذ جيل. وهو ينطبق على مواطني الاتحاد الأوروبي البالغ عددهم 510 ملايين نسمة ، وكذلك أي عمل تجاري يتعامل معهم ، بغض النظر عن مكان تواجدهم.

استمتع بالمحادثة ، ونأمل أن تتمكن من الحصول على واحدة أو اثنتين من الوجبات الجاهزة المفيدة التي يمكنك تقديمها إلى عملك.

ناثان إسحاق : ديفيد ، هل يمكنك إخباري بالمزيد حول ما تفعله في Act-On؟

ديفيد فاولر : أساعد عملائنا على التنقل في خارطة الطريق الرقمية من حيث التزاماتهم بموجب القوانين المحلية والولائية والفدرالية والدولية من حيث صلتها بالتسويق الرقمي. أضمن أيضًا أنه عندما يضغط عملاؤنا على زر "إرسال" لرسائل البريد الإلكتروني الخاصة بهم ، فإن الرسائل لديها كل فرصة للوصول إلى البريد الوارد. يعد الامتثال الرقمي في عام 2017 مجالًا عميقًا وواسعًا للغاية. إذا كنت مسوقًا في الولايات المتحدة ترسل بريدًا إلى الاتحاد الأوروبي ، على سبيل المثال ، فستختلف التزاماتك عما إذا كنت مسوقًا في الولايات المتحدة ترسل بريدًا إلى كندا. إن مهمتنا هي إبلاغ عملائنا بالتزاماتهم بموجب خرائط الطريق التشريعية المحددة.

ناثان : أحد الأشياء التي نتحدث عنها اليوم هو اللائحة العامة لحماية البيانات أو GDPR. هل يمكن أن تخبرني ما هذا وماذا كل هذا؟

ديفيد : اللائحة العامة لحماية البيانات (GDPR) هي قانون سيدخل حيز التنفيذ في أوروبا في 2018 ، 25 مايو على وجه الدقة. وما هو ، في الأساس ، هو إعادة كتابة كاملة لتوجيه بيانات الاتحاد الأوروبي لعام 1995. ولأولئك الذين يستمعون إلى البودكاست ، لا توجد قوانين عالمية في أوروبا فيما يتعلق بالامتثال الرقمي. هناك تفسيرات لتوجيه البيانات ، ويمكن لكل دولة تحديد تفسيرها لهذا القانون. لذا ، كما ترون ، هذا في حد ذاته يخلق احتمالية هائلة للارتباك.

اللائحة العامة لحماية البيانات هي قانون عالمي ينطبق على جميع الشركات التي لديها مواطنون أوروبيون في قواعد بياناتها. سيكون ذلك شاملاً لكل دولة داخل الاتحاد الأوروبي. إنه قانون واحد لـ500 مليون فرد.

ناثان : بالنسبة للشركات الموجودة في الولايات المتحدة أو في أي مكان آخر في العالم والتي تتعامل مع أفراد في أوروبا ، فإن هذا ينطبق عليهم. هل هذا صحيح؟

ديفيد : هذا صحيح. وهناك بعض الغرامات الباهظة إذا كنت في حالة عدم امتثال - تصل إلى 4 في المائة من إجمالي إيرادات الشركة. إذا كنت تستخدم Google على سبيل المثال ، فما هي 4٪ من تريليون دولار؟

مسؤولياتك بموجب القانون العام لحماية البيانات (GDPR)

ناثان : يتم تطبيق قانون جديد على كيفية التعامل مع الأفراد. ما الذي يتعين علي القيام به كعمل تجاري حتى أكون متوافقًا؟

ديفيد : من المهم فهم المسؤوليات بموجب اللائحة العامة لحماية البيانات. وفي أوروبا ، لديك نكهتان. لديك وحدة تحكم ومعالج البيانات. على سبيل المثال ، أنت عميل لـ Act-On. ستكون مراقبًا بموجب خارطة طريق اللائحة العامة لحماية البيانات (GDPR). ونحن [Act-On] سنكون المعالج لبياناتك. من الواضح أن التزاماتنا بموجب اللائحة العامة لحماية البيانات هي ، أ ، الامتثال للقانون. ولكن أيضًا ب ، قم ببناء منتجاتنا وخدماتنا التي تسمح لك بالامتثال لالتزاماتك بموجب القانون العام لحماية البيانات (GDPR).

ليس من مسؤوليتنا ضمان امتثالك. ولكن من مسؤوليتنا إظهار أن منتجاتنا تسمح لك بالامتثال ، وهذا يعني أشياء مثل توفير آليات الموافقة ، والنسخ الاحتياطي للموافقة ، والاشتراك المزدوج ، وكل هذه الأنواع من الأشياء التي نأخذها كأمر مسلم به من حيث الإذن ، يجب أن تكون منتجاتنا لدرجة أنهم يفعلون ذلك.

يعد استخدام نظام التشغيل الآلي للتسويق ضمن نطاق القانون العام لحماية البيانات أمرًا عليك بصفتك المتحكم في بياناتك ولن يتعين عليك الالتزام ببيانات عملائك فحسب ، بل يجب أيضًا فهم كيفية استخدامك للتكنولوجيا للقيام بذلك. الآن حقوق الإنسان ، من حيث البيانات والمعلومات الشخصية وهذا النوع من الأشياء ، هناك الكثير من القضايا التي تظهر على الطاولة بموجب القانون العام لحماية البيانات (GDPR) إذا كنت متلقي العميل لعلاقة رقمية. من الناحية العملية ، هناك الكثير من الأشياء التي تحتاج إلى التفكير فيها فيما يتعلق بإعداد نفسك لذلك. ولكن في النهاية ، حيث يلتقي المطاط بالطريق ، إذا كان لديك عميل لا يمكنك إثبات كيفية دخوله إلى قائمتك ، أو لا يمكنك إثبات من أين أتوا ، أو لا يمكنك إثبات آلية الموافقة التي كانت معتادًا على بدء التسويق لهم ، إذن ، بشكل أساسي ، ستكون في حالة عدم امتثال بموجب القانون العام لحماية البيانات (GDPR).

الآثار التشغيلية للائحة العامة لحماية البيانات

ناثان : ما هي التأثيرات التشغيلية للائحة العامة لحماية البيانات؟

ديفيد : سؤال رائع. هناك 10 مجالات تحتاج إلى التفكير فيها من منظور شركتك من حيث الاستعداد للجانب التشغيلي من القانون العام لحماية البيانات (GDPR). رقم واحد هو أمن البيانات وإخطار الخرق.

لذلك ، إذا كان لديك خرق للبيانات ، فإن التزامك هو إبلاغ DPA - سلطة حماية البيانات - في غضون 72 ساعة من حدوث هذا الانتهاك بالفعل أو علمك بحدوث ذلك. DPO الإلزامي ، أو مسؤول حماية البيانات ، هو شيء يتم تنفيذه بموجب القانون العام لحماية البيانات (GDPR) ، مما يعني أنه إذا كنت شركة بحجم معين ، فعليك أن يكون لديك موظف في فريق العمل الذي يعتني بجهود حماية البيانات الخاصة بك.

تعد الموافقة على موضوع البيانات مشكلة كبيرة - كيف تحصل على موافقة من صاحب البيانات. بموجب اللائحة العامة لحماية البيانات ، يكون موضوع البيانات هو الفرد الفعلي وليس حالة شاذة. تعد عمليات نقل البيانات عبر الحدود عملية كبيرة. إذا كنت تنقل البيانات في جميع أنحاء أوروبا أو من أوروبا إلى الولايات المتحدة أو أينما تذهب ، فهذا شيء يجب التفكير فيه. من حيث كيفية القيام بذلك من منظور الملاءمة ، في ظل البيئة الحالية ، تخضع آلية نقل البيانات عبر الحدود بين أوروبا والولايات المتحدة لبرنامج يسمى درع الخصوصية ، ونحن معتمدين بدرع الخصوصية كشركة. ولكن ستكون هناك كيانات أخرى تأتي لتلعب للمساعدة في ذلك.

سيكون التنميط والحق في الرفض مشكلة كبيرة من حيث كيفية تصنيف الأفراد وكيف لهم الحق في الاعتراض على تصنيفهم ؛ بمعنى ، إذا كنت أعلم أنك ترتدي قميصًا أبيض اليوم ، فسأقوم بإعداد ملف تعريف تفضيلات قميصك ، وربما أرسل لك بعض السراويل البيضاء لتتماشى مع ذلك. بصفتك فردًا ، تكمن المشكلة في كيفية إدارة ذلك من حيث القدرة على إلغاء الاشتراك في هذا التنميط للمضي قدمًا.

آخر كبير هو الحق في نقل البيانات والحق في النسيان. بموجب القانون العام لحماية البيانات (GDPR) ، يتمثل المفهوم في أنه يحق لك بصفتك فردًا أخذ بياناتك من الشركة "أ" ونقلها إلى الشركة "ب" بتنسيق مقبول لقراءة الآلة ، كما يحق لك الحصول على حقيقة أنك حصلت بالفعل على علاقة رقمية مع تلك العلامة التجارية المعينة منسية. لذا فهذه مشكلة كبيرة من حيث كيف ستكون الشركات قادرة على الامتثال لذلك ونشر هذه الأنواع من الاستراتيجيات حول هذه المفاهيم. ما زلنا نوعا ما نحاول الالتفاف حول ذلك.

المنطقة السابعة هي واجبات ومسؤوليات وحدات التحكم والمعالجات. ما هي مسؤوليتك بموجب القانون العام لحماية البيانات (GDPR) بصفتك معالجًا ، وهو قيد التشغيل ، وما هي مسؤولياتك بموجب القانون العام لحماية البيانات (GDPR) بصفتك المتحكم ، وهو عميل Act-On. وهما مسألتان مختلفتان من حيث بعض الأشياء التي تأتي إلى اللوحة مع ذلك.

هناك مشكلة أخرى يجب التفكير فيها وهي التعرّف على البيانات الشخصية باسم مستعار - كيف يمكنني أخذ بياناتك وإنشاء ملف تعريف أكبر استنادًا إلى كيانات أخرى من نوع الطرف الثالث يمكن أن تدخل في ذلك ، في خارطة الطريق الخاصة بك. قواعد السلوك ، كيف ولماذا يجب أن تتصرف بطريقة معينة. وأخيرًا ، تعتبر الغرامات والإجراءات مشكلة كبيرة ؛ قد يتم تغريمك بنسبة 4 في المائة من الإيرادات العالمية لشركتك إذا كنت غير ممتثل.

لذلك ، هناك الكثير من الأشياء من منظور عملي. وأنا أضمن لك ، إذا كان لديك شخص يتمتع بالخصوصية ، إذا كان لديك شخص امتثال ، وهؤلاء الأشخاص لا يتحدثون إلى مسؤولي التكنولوجيا أو المهندسين لديك ، فأنت بحاجة إلى البدء في التفكير في جمع هؤلاء الأشخاص معًا ، لأن الأمر سيحدث خذ قرية لإنجاز هذا الشيء من منظور تنظيمي.

حقوق الأفراد بموجب اللائحة العامة لحماية البيانات

ناثان : ما هي حقوق الأفراد في كل هذا؟

ديفيد : نعم ، هذا سؤال رائع. لأنه بموجب القانون العام لحماية البيانات (GDPR) ، يحق للفرد أن يتم إبلاغه ، وأن يتم إخباره ، "لقد حصلت على معلوماتك من هنا ، وهذا ما سأفعله بها ، وهذا ما لن أفعله معها. حق الوصول ، حتى تتمكن أنت بصفتك الفرد من السيطرة علينا وتقول ، "مرحبًا ، معلوماتي ليست صحيحة ، إنها غير صحيحة ، إنها غير دقيقة ، وأريد منك تغيير ذلك ، استنادًا إلى الملف الشخصي الذي لديك عني ". الحق في إعادة الاعتماد ، أي الشيء نفسه - يمكنك تغييره أو تعديله بناءً على ما تعرفه. الحق في الحذف: "مرحبًا ، فاستمر من فضلك امسح كل هذه المعلومات عني" ، أو "السيد. والسيدة العميل ، يرجى مسح كل هذه المعلومات الخاصة بي ، "وكيف ستفعل ذلك؟

لديك الحق في تقييد المعالجة ، وهذا يعني "مرحبًا ، أود تلقي رسائل بريد إلكتروني منك ، لكني لا أريد تلقي رسائل SMS". أو ، "أرغب في تلقي رسائل بريد إلكتروني ، لكني لا أرغب في تلقي رسائل نصية" ... أو أيًا كانت الحالة. ثم الحق في تقييد إمكانية نقل البيانات ، مما يعني أنني أذهب وأخذ بياناتي من الشركة "أ" وأنقلها إلى الشركة "ب". يمكنك ، من الناحية النظرية ، أن يكون لديك عملاء يغادرون يوم الجمعة في الساعة 5 مساءً ثم الانتقال إلى شركة أخرى يوم الإثنين في 8 صباحًا ، ومن الناحية الفنية ، يجب أن تكون جاهزة وتعمل ضمن تلك البيئة.

ثم أخيرًا الحق في الاعتراض: "هذا صحيح ، هذا خطأ ، هذا غير مبال". والحق في الارتباط بصنع القرار الآلي والتنميط ، بمعنى ، كما نحن في القناة الرقمية الآن بأشياء مثل الذكاء الاصطناعي ، يمكنك البدء في إنشاء ملفات تعريف عن الأشخاص والموضوعات بغض النظر عما إذا كانوا يعرفون ذلك أم لا. يجب أن تكون في الصدارة فيما يتعلق بكيفية الكشف عن هذه المعلومات وكيفية إنشاء هذه الملفات الشخصية.

ما أتخيله هو أن الشركات سوف تعوض بشكل مفرط عن الموافقة. أنت تفكر في كيفية الانخراط في علاقة رقمية اليوم - الإفصاح والموافقة وكل هذه الأشياء التي نأخذها إلى حد ما كأمر مسلم به. لكن النقطة المهمة هي أنني أعتقد أنك ستشاهد الكثير من صفحات الملف الشخصي والصفحات الداخلية ، حيث لن يكون لديك مربعات محددة مسبقًا ، لكنك ستسمح للأشخاص بأن يكونوا قادرين على قول ، "أود أن حدد هذا أو قم بإلغاء تحديد ذلك. المربعات التي تم تحديدها مسبقًا في القانون العام لحماية البيانات (GDPR) هي عبارة عن "لا" كاملة. إنه غير قانوني تمامًا.

وما سأفعله الآن كمسوق هو ، في جهود التحضير الخاصة بك ، عندما يتم إطلاق هذا الشيء في مايو من العام المقبل ، لن تكون هناك فترة سماح. كل جزء من البيانات الموجودة في ملفك يأتي في مايو 2018 يجب أن يكون متوافقًا في اليوم الذي يبدأ فيه البث المباشر. لذلك ، يجب أن تبدأ في التفكير الآن في كيفية إعادة الإذن أو الوصول إلى النقطة التي تبدأ فيها في الكشف عن أشياء مختلفة حول الأفراد بينما تستعد لتنفيذ القانون العام لحماية البيانات (GDPR). لذا ، أعد الإذن بالقوائم الخاصة بك ، واحصل على موافقتك بالترتيب ، وابدأ في الحديث عن عمليات الكشف ، وهذا النوع من الأشياء. وهذا ما يجب أن تبدأ في احتضانه اليوم.

تعلم المزيد عن اللائحة العامة لحماية البيانات

ناثان : نحن نتحدث عن هذا الآن فقط حتى يكون لدى الناس فرصة للبدء في الامتثال أو وضع تلك الآليات ليكونوا ممتثلين ، نحن وأي شخص آخر. هل توجد قائمة مرجعية؟

ديفيد : الإفصاح الكامل ، لسنا في موقف يمكننا من خلاله تقديم المشورة أو التوجيه القانوني. لكن بعض سلطات حماية البيانات داخل الاتحاد الأوروبي هي أكثر صراحة وكانت أكثر تواصلًا من غيرها. ومن الأمثلة الرائعة على إدارة الشؤون السياسية التي قدمت الكثير من المعلومات هناك ICO ، مكتب مفوض المعلومات في المملكة المتحدة.

إذا ذهبت إلى موقع الويب الخاص بهم ، فإن لديهم الكثير من المعلومات فيما يتعلق بما يجب أن تفكر فيه ، وكيف تستعد ، وما هي التزاماتك في العام المقبل.

ناثان : إذن ، هذا شيء يجعل الفريق بأكمله يناقش ، من التسويق إلى الامتثال ، إلى الشؤون القانونية والهندسية ، أليس كذلك؟

ديفيد : بالتأكيد. لأن الجميع سوف يفسرها بشكل مختلف. أعني أن الوثائق عميقة مئات الصفحات. إنه مرهق للغاية. لكنها حقًا نهج منطقي للعلاقة الرقمية. ولا يتعلق الأمر بالفرد فقط الآن. يتعلق الأمر أيضًا بكيفية التعامل مع البائعين وكيفية مساءلتهم عن الأشياء. في بعض النواحي ، يعتبر إطار عمل لمنهج رقمي منطقي ليس فقط للتسويق ، ولكن أيضًا لإلغاء الاشتراك في أشياء معينة. إنه بالتأكيد شيء يجب أن تفكر فيه الآن. وإذا لم تقم بذلك ، فأنت متأخر قليلاً عن الكرة الثمانية.

ملخص

ستقوم Act-On بإنتاج ندوات عبر الإنترنت وأوراق بيانات ومحتويات أخرى حول القانون العام لحماية البيانات (GDPR) على مدار العام المقبل. يمكنك أيضًا إرسال بريد إلكتروني إلى David إذا كان لديك سؤال: [email protected] .