التعامل مع متطلبات اللائحة العامة لحماية البيانات (GDPR) في مجال الاستعانة بمصادر خارجية لتكنولوجيا المعلومات – دليل عملي

اللائحة العامة لحماية البيانات (GDPR) هي لائحة ضمن قانون الاتحاد الأوروبي تتعلق بحماية البيانات والخصوصية لجميع الأفراد داخل الاتحاد الأوروبي (EU) والمنطقة الاقتصادية الأوروبية (EEA). كما تتناول هذه اللائحة مسألة نقل البيانات الشخصية خارج الاتحاد الأوروبي والمنطقة الاقتصادية الأوروبية.

فهم اللائحة العامة لحماية البيانات (GDPR) وتأثيراتها على علاقات الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات

قد تنطوي أنظمة تكنولوجيا المعلومات والبنية التحتية وقواعد البيانات وتطوير البرمجيات وصيانتها على معالجة ونقل أنواع البيانات التي تشملها لوائح اللائحة العامة لحماية البيانات (GDPR). ولذلك، يجب على المؤسسات التي تنطوي وظائف تكنولوجيا المعلومات لديها على آثار تتعلق باللائحة العامة لحماية البيانات (GDPR) أن تكون على دراية بالقواعد والإجراءات التي يجب الالتزام بها.

تقع على عاتق المؤسسات التي تتعامل مع مزودي خدمات تكنولوجيا المعلومات الخارجيين، والذين يزودونها بالموظفين اللازمين لأداء مهام تكنولوجيا المعلومات التي تنطبق عليها اللائحة العامة لحماية البيانات (GDPR)، مسؤولية إضافية تتمثل في ضمان قيام مزودي الخدمة بتنفيذ أعمالهم بطريقة تتوافق مع اللائحة. وقد تكون عواقب عدم القيام بذلك خطيرة للغاية.

أمثلة على انتهاكات اللائحة العامة لحماية البيانات (GDPR) المتعلقة بالاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات وعواقبها

• في عام 2019، فرضت الهيئة الاتحادية الألمانية لحماية البيانات (BfDI) غرامة قدرها 35.3 مليون يورو على شركة H&M بسبب خرق أمني أدى إلى الكشف عن البيانات الشخصية لأكثر من مليوني عميل. وقد نتج هذا الخرق عن عدم تأمين الأنظمة التي تم الحصول عليها من خلال الاستحواذ على مزود خدمات تكنولوجيا المعلومات الخارجية.
• في عام 2020، فرضت الهيئة الفرنسية لحماية البيانات (CNIL) غرامة قدرها 100 مليون يورو على شركة «جوجل» لانتهاكها متطلبات الشفافية المنصوص عليها في اللائحة العامة لحماية البيانات (GDPR). ووجدت الهيئة أن «جوجل» لم تقدم معلومات واضحة وشاملة للمستخدمين بشأن أنشطتها في معالجة البيانات في سياق اتفاقيات الاستعانة بمصادر خارجية مع مزودي خدمات من أطراف ثالثة.
• في عام 2020، فرضت هيئة حماية البيانات (ICO) غرامة قدرها 180 ألف جنيه إسترليني على مؤسسة «رويال فري» التابعة لخدمة الصحة الوطنية (NHS) بسبب خرق أمني أدى إلى الكشف عن البيانات الشخصية لأكثر من 1.7 مليون مريض. وقد نتج هذا الخرق عن عدم تأمين الأنظمة التي تم الحصول عليها من خلال الاستحواذ على مزود خدمات تكنولوجيا المعلومات الخارجية.

تُظهر هذه الأمثلة أهمية التقييم الدقيق لمدى امتثال شريكك في الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات للائحة العامة لحماية البيانات (GDPR)، وتطبيق الإجراءات الوقائية المناسبة لحماية البيانات الشخصية في اتفاقيات الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات، بغض النظر عن مكان تواجدك.

بصفتك عميلاً نهائياً لأحد مزودي خدمات تكنولوجيا المعلومات الخارجية، هناك عدة اعتبارات تتعلق باللائحة العامة لحماية البيانات (GDPR) يجب أن تضعها في اعتبارك وتستعد لها:

• تقييم مدى استعداد شريكك في مجال الاستعانة بمصادر خارجية لتكنولوجيا المعلومات للامتثال للائحة العامة لحماية البيانات (GDPR)
• تطبيق متطلبات اللائحة العامة لحماية البيانات (GDPR) في عقد الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات
• مراقبة الامتثال للائحة العامة لحماية البيانات (GDPR) في علاقة الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات
• التعامل مع انتهاكات اللائحة العامة لحماية البيانات (GDPR) في اتفاقية الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات

يمكنك معرفة المزيد عن اللائحة العامة لحماية البيانات (GDPR) في سياق الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات بالرجوع إلى هذه المقالة التي تتناول أهم الأسئلة الشائعة حول هذا الموضوع –

متطلبات حماية البيانات لمقدمي خدمات تكنولوجيا المعلومات (اللائحة العامة لحماية البيانات في الاتحاد الأوروبي): إجابات على أسئلتكم حول لائحة الاتحاد الأوروبي لحماية البيانات في سياق الاستعانة بمصادر خارجية قريبة.

تقييم مدى استعداد شريكك في الاستعانة بمصادر خارجية لتكنولوجيا المعلومات للامتثال للائحة العامة لحماية البيانات (GDPR) – قائمة مرجعية

فيما يلي قائمة مرجعية بالأمور التي يجب على المؤسسة الانتباه إليها عند اختيار مزود خدمات الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات، والذي سيتولى معالجة البيانات الخاضعة للائحة العامة لحماية البيانات (GDPR) أو الوصول إليها:

الامتثال للائحة العامة لحماية البيانات (GDPR)

يجب أن يكون مزود خدمات الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات قادراً على إثبات امتثاله للائحة العامة لحماية البيانات (GDPR) وأنه قد نفذ التدابير المناسبة لحماية البيانات الشخصية. وقد يشمل ذلك حماية البيانات منذ مرحلة التصميم وبشكل افتراضي، وتدابير أمن البيانات، والتعامل مع حالات اختراق البيانات.

اتفاقيات معالجة البيانات

يجب أن يكون لدى مزود خدمات الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات اتفاقية مكتوبة تحدد أدوار ومسؤوليات كل طرف فيما يتعلق بالامتثال للائحة العامة لحماية البيانات (GDPR). وينبغي أن تتضمن هذه الاتفاقية بنودًا تتعلق بحماية البيانات من خلال التصميم والافتراضات المسبقة، وتدابير أمن البيانات، وحالات اختراق البيانات.

مسؤول حماية البيانات (DPO)

إذا كانت معالجة البيانات الشخصية هي النشاط التجاري الرئيسي لمزود خدمات تكنولوجيا المعلومات الخارجية، فقد يُطلب منه تعيين مسؤول حماية البيانات للإشراف على الامتثال للائحة العامة لحماية البيانات (GDPR).

حقوق أصحاب البيانات

يجب على مزود خدمات الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات أن يحترم حقوق أصحاب البيانات، مثل الحق في الوصول إلى بياناتهم الشخصية أو تصحيحها أو حذفها أو تقييد معالجتها.

نقل البيانات

إذا كان مزود خدمات الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات ينقل بيانات شخصية خارج الاتحاد الأوروبي (EU) أو المنطقة الاقتصادية الأوروبية (EEA)، فيجب عليه ضمان وجود ضمانات مناسبة لحماية البيانات، مثل البنود القياسية لحماية البيانات أو القواعد المؤسسية الملزمة.

تقييم أثر حماية البيانات (DPIA)

يجب عليك إجراء تقييم لتأثير معالجة البيانات (DPIA) لتحديد وتخفيف أي مخاطر محتملة على حقوق وحريات الأفراد تنشأ عن معالجة البيانات الشخصية في اتفاقيات الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات الخاصة بك.

[totb title="هل يمكننا مساعدتك في مشروع تطوير البرمجيات القادم؟" subtitle="نماذج مرنة تناسب احتياجاتك!" buttonlink="https://kruschecompany.com/service/software-development-company/" buttonlabel="اتصل بنا!"][/totb]

هل يجب أن يكون مزود خدمات الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات والمتخصصون التابعون له موجودين داخل الاتحاد الأوروبي لكي يكونوا متوافقين مع اللائحة العامة لحماية البيانات (GDPR)؟

لا، يمكن للمتخصصين المتعاقد معهم من خارج الاتحاد الأوروبي (EU) العمل في مشاريع البنية التحتية لتكنولوجيا المعلومات وتطوير البرمجيات التي يجب أن تمتثل للائحة العامة لحماية البيانات (GDPR). ومع ذلك، يتعين على المؤسسات التي تعهد بمهام تكنولوجيا المعلومات الخاصة بها إلى مزود خدمات خارجي من خارج الاتحاد الأوروبي (EU) أن تضمن تطبيق نفس مستوى حماية البيانات على البيانات الشخصية الذي كان سيُطبق لو تمت المعالجة داخل الاتحاد الأوروبي.

من أجل الامتثال للائحة العامة لحماية البيانات (GDPR) عند الاستعانة بمصادر خارجية لأداء مهام تكنولوجيا المعلومات خارج الاتحاد الأوروبي، ينبغي على المؤسسات مراعاة العوامل التالية:

اتفاقية حماية البيانات: يجب أن تبرم المؤسسات عقدًا مكتوبًا مع مزود الخدمة الخارجي يتضمن أحكامًا تتعلق بحماية البيانات وأمنها. وينبغي أن يشمل ذلك أي متطلبات تفرض على مزود الخدمة اتخاذ التدابير الفنية والتنظيمية المناسبة لحماية البيانات الشخصية.

آليات نقل البيانات: يجب على المؤسسات التأكد من وجود آلية قانونية سارية المفعول لنقل البيانات الشخصية خارج الاتحاد الأوروبي، مثل «البنود التعاقدية الموحدة» (SCCs) أو «القواعد المؤسسية الملزمة» (BCRs).

مكان معالجة البيانات: يجب على المؤسسات التأكد من أن البيانات الشخصية لا تُعالج إلا في البلدان التي توفر مستوى كافياً من حماية البيانات. وقد قرر الاتحاد الأوروبي أن بعض البلدان توفر مستوى كافياً من الحماية، في حين أن البعض الآخر لا يوفر ذلك.

أمن البيانات: يجب على المؤسسات التأكد من أن مزود الخدمة الخارجي قد اتخذ التدابير الفنية والتنظيمية المناسبة لحماية البيانات الشخصية من الوصول أو الاستخدام أو الكشف غير المصرح به. وقد يشمل ذلك تدابير مثل التشفير والتخزين الآمن للبيانات.

انتهاكات البيانات: يجب أن يكون لدى المؤسسات خطة جاهزة للتعامل مع انتهاكات البيانات، بما في ذلك إجراءات الإخطار والإبلاغ للسلطات المختصة.

السلطة الإشرافية: يجب أن تكون المنظمات مستعدة للتعاون مع السلطة الإشرافية المعنية وتقديم أي معلومات مطلوبة لغرض ضمان الامتثال للائحة العامة لحماية البيانات (GDPR).

من خلال أخذ هذه الاعتبارات الإضافية في الحسبان، إلى جانب تلك التي تمت مناقشتها سابقًا فيما يتعلق بأي شريك في مجال الاستعانة بمصادر خارجية لتكنولوجيا المعلومات، وبغض النظر عما إذا كانت وظائف تكنولوجيا المعلومات موجودة داخل الاتحاد الأوروبي أم لا، يمكن للمؤسسات ضمان توافق ترتيبات الاستعانة بمصادر خارجية لتكنولوجيا المعلومات مع مزودي الخدمات من خارج الاتحاد الأوروبي مع اللائحة العامة لحماية البيانات (GDPR).

تطبيق متطلبات اللائحة العامة لحماية البيانات (GDPR) في عقد الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات

وينبغي أيضًا تضمين الاعتبارات المذكورة أعلاه في عقد الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات الذي ينص على تنفيذ متطلبات اللائحة العامة لحماية البيانات (GDPR). وفي معظم الحالات، سيتضمن عقدكم ما يلي:

• تحديد أدوار ومسؤوليات كل طرف فيما يتعلق بحماية البيانات. يجب أن يحدد العقد بوضوح أدوار ومسؤوليات كل من المزود والعميل فيما يتعلق بمعالجة البيانات الشخصية. ويجب أن يشمل ذلك التدابير الأمنية التي يتعين على المزود تنفيذها، فضلاً عن واجبات والتزامات العميل فيما يتعلق بحماية البيانات.
• حدد البيانات الشخصية التي سيتم معالجتها. يجب أن يحدد العقد بوضوح أنواع البيانات الشخصية التي سيتم معالجتها، بالإضافة إلى الغرض الذي ستُستخدم من أجله. ويجب أن يشمل ذلك أي بيانات شخصية حساسة، مثل البيانات المتعلقة بالأصل العرقي أو الإثني، أو الآراء السياسية، أو البيانات الصحية.
• حدد آليات نقل البيانات. إذا كان من المقرر نقل البيانات الشخصية خارج الاتحاد الأوروبي، فيجب أن يحدد العقد الآلية القانونية التي سيتم استخدامها لضمان نقل البيانات بما يتوافق مع متطلبات اللائحة العامة لحماية البيانات (GDPR).
• تحديد تدابير أمن البيانات. يجب أن يتضمن العقد أحكامًا تتعلق بأمن البيانات، بما في ذلك التدابير الفنية والتنظيمية التي سيتخذها المزود لحماية البيانات الشخصية من الوصول إليها أو استخدامها أو الكشف عنها دون إذن.
• تضمين أحكام تتعلق بانتهاكات أمن البيانات. يجب أن يحدد العقد الإجراءات التي سيتم اتباعها في حالة حدوث انتهاك لأمن البيانات، بما في ذلك متطلبات الإخطار والإبلاغ.
• تحديد حقوق أصحاب البيانات. يجب أن يتضمن العقد أحكامًا تتعلق بممارسة حقوق أصحاب البيانات، مثل الحق في الوصول إلى البيانات الشخصية أو تصحيحها أو حذفها أو تقييد معالجتها.
• ينص على التعاون مع السلطات الإشرافية. يجب أن يتضمن العقد أحكامًا تتعلق بالتعاون مع السلطة الإشرافية المعنية، بما في ذلك توفير المعلومات لضمان الامتثال للائحة العامة لحماية البيانات (GDPR).

من المهم الإشارة إلى أن هذه ليست سوى بعض الاعتبارات الرئيسية التي يجب أخذها في الاعتبار عند تنفيذ متطلبات اللائحة العامة لحماية البيانات (GDPR) في عقد الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات. ومن المستحسن دائمًا طلب المشورة القانونية للتأكد من أن العقد يتوافق مع جميع لوائح حماية البيانات ذات الصلة التي تنطبق على مؤسستك تحديدًا وعلى وظائف تكنولوجيا المعلومات التي يتم الاستعانة بمزود خارجي لتنفيذها.

مراقبة الامتثال للائحة العامة لحماية البيانات (GDPR) في علاقة الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات

وبطبيعة الحال، ونظراً لأن العميل النهائي هو المسؤول في نهاية المطاف عن امتثال المقاولين الخارجيين للائحة العامة لحماية البيانات (GDPR)، فإنه يتعين مراقبة المتطلبات والإجراءات المحددة تعاقدياً لضمان استمرار امتثالهم لها.

ينبغي إجراء مراجعات وتدقيقات منتظمة لسياسات وإجراءات حماية البيانات لدى مقدم الخدمة، وتدابير أمن البيانات، وأنشطة معالجة البيانات، وآليات نقل البيانات، وخطة الاستجابة لانتهاكات البيانات، وقدرته على المساعدة في ممارسة حقوق أصحاب البيانات.

يمكن أن تساعد المراقبة المستمرة لالتزام مزود الخدمة باللائحة العامة لحماية البيانات (GDPR) في تحديد أي مشكلات محتملة تتعلق بالالتزام واتخاذ الإجراءات المناسبة لمعالجتها.

التعامل مع انتهاكات اللائحة العامة لحماية البيانات (GDPR) في اتفاقية الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات

في حالة الكشف عن انتهاكات للعقد خلال عمليات المراجعة والتدقيق الدورية لالتزام مزود الخدمة المستمر باللائحة العامة لحماية البيانات (GDPR)، كيف ينبغي التعامل مع هذه الانتهاكات؟ ينبغي عليك دائمًا طلب المشورة القانونية المتخصصة في مثل هذه الحالة. ومع ذلك، فإن بعض الإجراءات العامة الموصى بها التي يُتوقع اتخاذها في حالة اكتشاف انتهاك هي:

الرد بسرعة

الوقت عامل حاسم عند التعامل مع أي خرق لقانون حماية البيانات العام (GDPR). ومن المهم تحديد الخرق ومعالجته في أسرع وقت ممكن من أجل تقليل أي ضرر محتمل قد يلحق بأصحاب البيانات.

التحقيق في الخرق

إجراء تحقيق شامل لتحديد سبب الاختراق ومدى الضرر الناجم عنه. وقد يتطلب ذلك التعاون مع مزود الخدمة لتحديد السبب الجذري للاختراق واتخاذ الإجراءات اللازمة لمنع تكراره.

إخطار السلطة الإشرافية

يتعين على المنظمات إخطار السلطة الإشرافية المختصة بحدوث أي خرق للائحة العامة لحماية البيانات (GDPR) دون تأخير لا مبرر له، وحيثما أمكن، في موعد لا يتجاوز 72 ساعة من علمها بالخرق. وينبغي أن يتضمن الإخطار تفاصيل عن طبيعة الخرق، وفئات الأشخاص المعنيين بالبيانات وعددهم التقريبي، والتدابير التي تم اتخاذها أو المقترح اتخاذها لمعالجة الخرق.

التعاون مع السلطة الإشرافية

ينبغي على المؤسسات أن تتعاون تعاوناً كاملاً مع السلطة الإشرافية المختصة خلال أي تحقيق في انتهاك للائحة العامة لحماية البيانات (GDPR). وقد يشمل ذلك تقديم أي معلومات أو مساعدة تُطلب منها.

إخطار الأشخاص المعنيين

قد يُطلب من المؤسسات أيضًا إخطار أصحاب البيانات المتأثرين بالخرق، حسب طبيعة الخرق وخطورته. وينبغي أن يتم ذلك دون تأخير لا مبرر له وبطريقة واضحة وشفافة.

مراجعة السياسات والإجراءات وتحديثها

من المهم مراجعة السياسات والإجراءات وتحديثها في أعقاب حدوث خرق لقانون حماية البيانات العام (GDPR) لضمان عدم تكرار حوادث مماثلة في المستقبل. وقد يتطلب ذلك تنفيذ تدابير أمنية إضافية أو مراجعة السياسات والإجراءات الحالية وتحديثها.

K&C – شريكك في خدمات تكنولوجيا المعلومات الخارجية المتوافقة مع اللائحة العامة لحماية البيانات (GDPR)

نتمتع في K&C بخبرة واسعة في تقديم خدمات الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات المتوافقة مع اللائحة العامة لحماية البيانات (GDPR)، وذلك من خلال العديد من الشراكات والمشاريع التي شملت بيانات خاضعة للإطار التنظيمي.

إذا كان الامتثال للوائح العامة لحماية البيانات (GDPR) أحد العوامل الرئيسية التي تراعيها عند اختيار شريك لتعهيد خدمات تكنولوجيا المعلومات، فأنت في أيدٍ أمينة معنا. تواصل معنا، يسعدنا تقديم المساعدة!