اللائحة العامة لحماية البيانات (GDPR) هي لائحة ضمن تشريعات الاتحاد الأوروبي تتناول حماية البيانات والخصوصية لجميع الأفراد داخل الاتحاد الأوروبي (EU) والمنطقة الاقتصادية الأوروبية (EEA). كما تتناول هذه اللائحة مسألة تصدير البيانات الشخصية خارج الاتحاد الأوروبي والمنطقة الاقتصادية الأوروبية.
فهم اللائحة العامة لحماية البيانات (GDPR) وتأثيراتها على علاقات الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات
قد تنطوي أنظمة تكنولوجيا المعلومات والبنية التحتية وقواعد البيانات وتطوير البرمجيات وصيانتها على معالجة ونقل أنواع البيانات التي تشملها لوائح اللائحة العامة لحماية البيانات (GDPR). ولذلك، يجب على المؤسسات التي تنطوي وظائف تكنولوجيا المعلومات لديها على آثار تتعلق باللائحة العامة لحماية البيانات (GDPR) أن تكون على دراية بالقواعد والإجراءات التي يجب الالتزام بها.
تقع على عاتق المنظمات التي تتعامل مع مزودي خدمات تكنولوجيا المعلومات الخارجيين، والذين يوفرون الموظفين للوظائف المتعلقة بتكنولوجيا المعلومات التي ينطبق عليها اللائحة العامة لحماية البيانات (GDPR)، مسؤولية إضافية تتمثل في ضمان قيام مزوديها بتنفيذ العمل بطريقة تتوافق مع اللائحة العامة لحماية البيانات (GDPR). وقد تكون عواقب عدم القيام بذلك خطيرة للغاية.
أمثلة على انتهاكات اللائحة العامة لحماية البيانات (GDPR) المتعلقة بالاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات وعواقبها
- في عام 2019، فرضت الهيئة الاتحادية الألمانية لحماية البيانات (BfDI) غرامة قدرها 35.3 مليون يورو على شركة H&M بسبب خرق أمني أدى إلى الكشف عن البيانات الشخصية لأكثر من مليوني عميل. وقد نتج هذا الخرق عن الإخفاق في تأمين الأنظمة التي تم الحصول عليها من خلال الاستحواذ على إحدى شركات الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات.
- في عام 2020، فرضت الهيئة الفرنسية لحماية البيانات (CNIL) غرامة قدرها 100 مليون يورو على شركة «جوجل» لانتهاكها متطلبات الشفافية المنصوص عليها في اللائحة العامة لحماية البيانات (GDPR). ووجدت الهيئة أن «جوجل» لم تقدم معلومات واضحة وشاملة للمستخدمين بشأن أنشطتها المتعلقة بمعالجة البيانات في سياق اتفاقيات الاستعانة بمصادر خارجية مع مزودي خدمات من أطراف ثالثة.
- في عام 2020، فرضت هيئة حماية البيانات (ICO) غرامة قدرها 180,000 جنيه إسترليني على مؤسسة «رويال فري» التابعة لخدمة الصحة الوطنية (NHS) بسبب خرق أمني أدى إلى الكشف عن البيانات الشخصية لأكثر من 1.7 مليون مريض. وقد نتج هذا الخرق عن عدم تأمين الأنظمة التي تم الحصول عليها من خلال الاستحواذ على مزود خدمات تكنولوجيا المعلومات الخارجية.
تُظهر هذه الأمثلة أهمية التقييم الدقيق لمدى امتثال شريكك في الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات للائحة العامة لحماية البيانات (GDPR)، وتطبيق الإجراءات الوقائية المناسبة لحماية البيانات الشخصية في اتفاقيات الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات، بغض النظر عن مكان تواجدك.
بصفتك عميلاً نهائيًا لأحد مزودي خدمات تكنولوجيا المعلومات الخارجية، هناك عدة اعتبارات تتعلق باللائحة العامة لحماية البيانات (GDPR) يجب أن تضعها في اعتبارك وتستعد لها:
- تقييم مدى استعداد شريكك في مجال الاستعانة بمصادر خارجية لتكنولوجيا المعلومات للامتثال للائحة العامة لحماية البيانات (GDPR)
- تطبيق متطلبات اللائحة العامة لحماية البيانات (GDPR) في عقد الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات
- مراقبة الامتثال للائحة العامة لحماية البيانات (GDPR) في علاقتك مع مزود خدمات تكنولوجيا المعلومات الخارجية
- التعامل مع انتهاكات اللائحة العامة لحماية البيانات (GDPR) في اتفاقية الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات
يمكنك معرفة المزيد عن اللائحة العامة لحماية البيانات (GDPR) في سياق الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات من خلال الرجوع إلى هذه المقالة التي تتناول الأسئلة الشائعة الرئيسية حول هذا الموضوع –
تقييم مدى استعداد شريكك في الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات للامتثال للائحة العامة لحماية البيانات (GDPR) – قائمة مرجعية
فيما يلي قائمة مرجعية بالأمور التي يجب على أي مؤسسة أن تراعيها عند اختيار مزود خدمات تكنولوجيا المعلومات الخارجية الذي سيتولى معالجة البيانات الخاضعة للائحة العامة لحماية البيانات (GDPR) أو الوصول إليها:
الامتثال للائحة العامة لحماية البيانات (GDPR)
يجب أن يكون مزود خدمات الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات قادرًا على إثبات امتثاله للائحة العامة لحماية البيانات (GDPR) وأنه قد نفذ التدابير المناسبة لحماية البيانات الشخصية. وقد يشمل ذلك حماية البيانات منذ مرحلة التصميم وبشكل افتراضي، وتدابير أمن البيانات، والتعامل مع حالات اختراق البيانات.
اتفاقيات معالجة البيانات
يجب أن يكون لدى مزود خدمات الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات اتفاقية مكتوبة تحدد أدوار ومسؤوليات كل طرف فيما يتعلق بالامتثال للائحة العامة لحماية البيانات (GDPR). وينبغي أن تتضمن هذه الاتفاقية بنودًا تتعلق بحماية البيانات منذ التصميم وبشكل افتراضي، وتدابير أمن البيانات، وحالات اختراق البيانات.
مسؤول حماية البيانات (DPO)
إذا كانت معالجة البيانات الشخصية هي النشاط التجاري الرئيسي لمزود خدمات تكنولوجيا المعلومات الخارجية، فقد يُطلب منه تعيين مسؤول حماية البيانات (DPO) للإشراف على الامتثال للائحة العامة لحماية البيانات (GDPR).
حقوق أصحاب البيانات
يجب على مزود خدمات الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات أن يحترم حقوق أصحاب البيانات، مثل الحق في الوصول إلى بياناتهم الشخصية أو تصحيحها أو حذفها أو تقييد معالجتها.
عمليات نقل البيانات
إذا كان مزود خدمات الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات يقوم بنقل البيانات الشخصية خارج الاتحاد الأوروبي (EU) أو المنطقة الاقتصادية الأوروبية (EEA)، فيجب عليه ضمان وجود ضمانات مناسبة لحماية البيانات، مثل البنود القياسية لحماية البيانات أو القواعد المؤسسية الملزمة.
تقييم أثر حماية البيانات (DPIA)
يجب عليك إجراء تقييم لتأثير معالجة البيانات على البيانات الشخصية (DPIA) لتحديد وتخفيف أي مخاطر محتملة على حقوق وحريات الأفراد الناشئة عن معالجة البيانات الشخصية في ترتيبات الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات الخاصة بك.
[totb title="هل يمكننا مساعدتك في مشروع تطوير البرمجيات القادم؟" subtitle="نماذج مرنة تناسب احتياجاتك!" buttonlink="https://kruschecompany.com/service/software-development-company/" buttonlabel="تواصل معنا!"][/totb]
هل يجب أن يكون مزود خدمات الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات والمتخصصون التابعون له موجودين داخل الاتحاد الأوروبي لكي يكونوا متوافقين مع اللائحة العامة لحماية البيانات (GDPR)؟
لا، يمكن للمتخصصين المتعاقد معهم من خارج الاتحاد الأوروبي (EU) العمل في مشاريع البنية التحتية لتكنولوجيا المعلومات وتطوير البرمجيات التي يجب أن تمتثل للائحة العامة لحماية البيانات (GDPR). ومع ذلك، يتعين على المؤسسات التي تعهد بوظائف تكنولوجيا المعلومات الخاصة بها إلى مزود خدمات خارجي خارج الاتحاد الأوروبي (EU) أن تضمن تطبيق نفس مستوى حماية البيانات على البيانات الشخصية الذي كان سيُطلب لو تمت المعالجة داخل الاتحاد الأوروبي.
من أجل الامتثال للائحة العامة لحماية البيانات (GDPR) عند الاستعانة بمصادر خارجية لأداء وظائف تكنولوجيا المعلومات خارج الاتحاد الأوروبي، ينبغي على المؤسسات مراعاة العوامل التالية:
اتفاقية حماية البيانات: يجب أن يكون لدى المنظمات عقد مكتوب مع مزود الخدمة الخارجي يتضمن أحكامًا تتعلق بحماية البيانات وأمنها. ويجب أن يشمل ذلك أي متطلبات تفرض على مزود الخدمة اتخاذ التدابير الفنية والتنظيمية المناسبة لحماية البيانات الشخصية.
آليات نقل البيانات: يجب على المؤسسات التأكد من وجود آلية قانونية سارية المفعول لديها لنقل البيانات الشخصية خارج الاتحاد الأوروبي، مثل «البنود التعاقدية الموحدة» (SCCs) أو «القواعد المؤسسية الملزمة» (BCRs).
مكان معالجة البيانات: يجب على المؤسسات ضمان ألا تتم معالجة البيانات الشخصية إلا في البلدان التي توفر مستوى كافياً من حماية البيانات. وقد قرر الاتحاد الأوروبي أن بعض البلدان توفر مستوى كافياً من الحماية، في حين أن بلداناً أخرى لا توفر ذلك.
أمن البيانات: يجب على المؤسسات التأكد من أن مزود الخدمة الخارجي قد اتخذ التدابير الفنية والتنظيمية المناسبة لحماية البيانات الشخصية من الوصول أو الاستخدام أو الكشف غير المصرح به. وقد يشمل ذلك تدابير مثل التشفير والتخزين الآمن للبيانات.
انتهاكات أمن البيانات: يجب أن يكون لدى المؤسسات خطة جاهزة للتعامل مع انتهاكات أمن البيانات، بما في ذلك إجراءات الإخطار والإبلاغ للسلطات المختصة.
السلطة الإشرافية: يجب أن تكون المنظمات مستعدة للتعاون مع السلطة الإشرافية المعنية وتقديم أي معلومات مطلوبة لغرض ضمان الامتثال للائحة العامة لحماية البيانات (GDPR).
من خلال أخذ هذه الاعتبارات الإضافية في الحسبان، إلى جانب تلك التي تمت مناقشتها سابقًا فيما يتعلق بأي شريك في مجال الاستعانة بمصادر خارجية لتكنولوجيا المعلومات — بغض النظر عما إذا كانت وظائف تكنولوجيا المعلومات موجودة في الاتحاد الأوروبي أم لا — يمكن للمؤسسات ضمان توافق ترتيبات الاستعانة بمصادر خارجية لتكنولوجيا المعلومات التي تبرمها مع مزودي الخدمات من خارج الاتحاد الأوروبي مع اللائحة العامة لحماية البيانات (GDPR).
تطبيق متطلبات اللائحة العامة لحماية البيانات (GDPR) في عقد الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات
وينبغي أيضًا تضمين الاعتبارات المذكورة أعلاه بشكل رسمي في عقد الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات الذي ينطوي على تنفيذ متطلبات اللائحة العامة لحماية البيانات (GDPR). وفي معظم الحالات، سيتضمن عقدكم ما يلي:
- تحديد أدوار ومسؤوليات كل طرف في مجال حماية البيانات. يجب أن يحدد العقد بوضوح أدوار ومسؤوليات كل من المزود والعميل فيما يتعلق بمعالجة البيانات الشخصية. وينبغي أن يشمل ذلك التدابير الأمنية التي يتعين على المزود تنفيذها، فضلاً عن واجبات والتزامات العميل فيما يتعلق بحماية البيانات.
- حدد البيانات الشخصية التي سيتم معالجتها. يجب أن يحدد العقد بوضوح أنواع البيانات الشخصية التي سيتم معالجتها، بالإضافة إلى الغرض الذي ستُستخدم من أجله. وينبغي أن يشمل ذلك أي بيانات شخصية حساسة، مثل البيانات المتعلقة بالأصل العرقي أو الإثني، أو الآراء السياسية، أو البيانات الصحية.
- حدد آليات نقل البيانات. إذا كان من المقرر نقل البيانات الشخصية خارج الاتحاد الأوروبي، فيجب أن يحدد العقد الآلية القانونية التي سيتم استخدامها لضمان نقل البيانات بما يتوافق مع متطلبات اللائحة العامة لحماية البيانات (GDPR).
- حدد تدابير أمن البيانات. يجب أن يتضمن العقد أحكامًا تتعلق بأمن البيانات، بما في ذلك التدابير الفنية والتنظيمية التي سيقوم المزود بتنفيذها لحماية البيانات الشخصية من الوصول أو الاستخدام أو الكشف غير المصرح به.
- تضمين أحكام تتعلق بانتهاكات أمن البيانات. يجب أن يحدد العقد الإجراءات التي سيتم اتباعها في حالة وقوع انتهاك لأمن البيانات، بما في ذلك متطلبات الإخطار والإبلاغ.
- تحديد حقوق أصحاب البيانات. يجب أن يتضمن العقد أحكامًا تتعلق بممارسة حقوق أصحاب البيانات، مثل الحق في الوصول إلى البيانات الشخصية أو تصحيحها أو حذفها أو تقييد معالجتها.
- ينبغي أن ينص العقد على التعاون مع السلطات الإشرافية. ويجب أن يتضمن العقد أحكامًا تتعلق بالتعاون مع السلطة الإشرافية المعنية، بما في ذلك توفير المعلومات اللازمة لضمان الامتثال للائحة العامة لحماية البيانات (GDPR).
من المهم الإشارة إلى أن هذه ليست سوى بعض الاعتبارات الرئيسية التي يجب أخذها في الاعتبار عند تنفيذ متطلبات اللائحة العامة لحماية البيانات (GDPR) في عقد الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات. ومن المستحسن دائمًا طلب المشورة القانونية لضمان توافق العقد مع جميع لوائح حماية البيانات ذات الصلة التي تنطبق على مؤسستكم تحديدًا وعلى وظائف تكنولوجيا المعلومات التي يتم الاستعانة بمزود خارجي لتقديمها.
مراقبة الامتثال للائحة العامة لحماية البيانات (GDPR) في علاقتك مع مزود خدمات تكنولوجيا المعلومات الخارجية
وبطبيعة الحال، وبما أن العميل النهائي هو المسؤول في نهاية المطاف عن امتثال المقاولين الخارجيين للائحة العامة لحماية البيانات (GDPR)، فإنه يتعين مراقبة المتطلبات والإجراءات المحددة تعاقديًا لضمان استمرار امتثالهم لها.
ينبغي إجراء مراجعات وتدقيقات دورية لسياسات وإجراءات حماية البيانات لدى مزود الخدمة، وتدابير أمن البيانات، وأنشطة معالجة البيانات، وآليات نقل البيانات، وخطة الاستجابة لانتهاكات البيانات، وقدرته على المساعدة في ممارسة حقوق أصحاب البيانات.
يمكن أن تساعد المراقبة المستمرة لمدى امتثال مزود الخدمة للائحة العامة لحماية البيانات (GDPR) في تحديد أي مشكلات محتملة تتعلق بالامتثال واتخاذ الإجراءات المناسبة لمعالجتها.
التعامل مع انتهاكات اللائحة العامة لحماية البيانات (GDPR) في اتفاقية الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات
في حالة الكشف عن انتهاكات للعقد خلال عمليات المراجعة والتدقيق الدورية لمدى امتثال مزود الخدمة المستمر للائحة العامة لحماية البيانات (GDPR)، كيف ينبغي التعامل مع هذه الانتهاكات؟ يجب عليك دائمًا طلب المشورة القانونية المتخصصة في مثل هذه الحالة. ومع ذلك، فإن بعض الإجراءات العامة التي يُتوقع اتباعها في حالة اكتشاف انتهاك هي:
الرد بسرعة
الوقت عامل حاسم عندما يتعلق الأمر بالتعامل مع انتهاك اللائحة العامة لحماية البيانات (GDPR). ومن المهم تحديد الانتهاك ومعالجته في أسرع وقت ممكن من أجل تقليل أي ضرر محتمل قد يلحق بأصحاب البيانات.
التحقيق في الخرق
إجراء تحقيق شامل لتحديد سبب الاختراق ومدى الضرر الناجم عنه. وقد يتطلب ذلك التعاون مع مزود الخدمة لتحديد السبب الجذري للاختراق واتخاذ الإجراءات اللازمة لمنع تكراره.
إخطار السلطة الإشرافية
يتعين على المنظمات إخطار السلطة الإشرافية المختصة بحدوث أي خرق للوائح العامة لحماية البيانات (GDPR) دون تأخير لا مبرر له، وحيثما أمكن، في موعد لا يتجاوز 72 ساعة من لحظة علمها بالخرق. وينبغي أن يتضمن الإخطار تفاصيل عن طبيعة الخرق، وفئات الأشخاص المعنيين بالبيانات وعددهم التقريبي، والتدابير التي تم اتخاذها أو المقترح اتخاذها لمعالجة الخرق.
التعاون مع السلطة الإشرافية
ينبغي على المنظمات أن تتعاون تعاونًا تامًا مع السلطة الإشرافية المختصة خلال أي تحقيق في انتهاك للائحة العامة لحماية البيانات (GDPR). وقد يشمل ذلك تقديم أي معلومات أو مساعدة تُطلب منها.
إخطار الأشخاص المعنيين المتأثرين
قد يُطلب من المنظمات أيضًا إخطار أصحاب البيانات المتأثرين بالخرق، اعتمادًا على طبيعة الخرق وخطورته. وينبغي أن يتم ذلك دون تأخير لا مبرر له وبطريقة واضحة وشفافة.
مراجعة السياسات والإجراءات وتحديثها
من المهم مراجعة السياسات والإجراءات وتحديثها في أعقاب حدوث خرق للائحة العامة لحماية البيانات (GDPR) لضمان عدم تكرار حوادث مماثلة في المستقبل. وقد يتطلب ذلك تنفيذ تدابير أمنية إضافية أو مراجعة السياسات والإجراءات الحالية وتحديثها.
K&C – شريكك في الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات المتوافق مع اللائحة العامة لحماية البيانات (GDPR)
في شركة K&C، نتمتع بخبرة واسعة في تقديم خدمات الاستعانة بمصادر خارجية في مجال تكنولوجيا المعلومات المتوافقة مع اللائحة العامة لحماية البيانات (GDPR)، وذلك من خلال العديد من الشراكات والمشاريع التي شملت بيانات تخضع للإطار التنظيمي.
إذا كانت التوافقية مع اللائحة العامة لحماية البيانات (GDPR) والامتثال لها من العوامل الرئيسية التي تراعيها عند اختيار شريك لتعهيد خدمات تكنولوجيا المعلومات، فأنت في أيدٍ أمينة معنا. تواصل معنا، يسعدنا تقديم المساعدة!










