تتخذ اللائحة العامة لحماية البيانات في الاتحاد الأوروبي نهجًا أكثر جدية للعقود مما اتبعته لوائح بيانات الإتحاد الأوروبي السابقة, إذا كانت واحدة من المؤسسات خاضعة للائحة العامة لحماية البيانات فيجب أن يكون لديها اتفاقية معالجة بيانات مكتوبة مع جميع معالِجات البيانات الخاصة بها, اتفاقية معالجة البيانات DPA – Data Processing Agreement هي أوراق قد تعتبر مزعجة نوعًا ما لكنها أيضًا واحدة من أكثر الخطوات الأساسية للامتثال للائحة العامة لحماية البيانات وضرورة لتجنب غرامات اللائحة العامة لحماية البيانات.
ما هو مفهوم اتفاقية معالجة البيانات
اتفاقية معالجة البيانات أوDPA Data Processing Agreement هي اتفاقية بين مراقب البيانات مثل شركة أو صاحب العمل ومعالج البيانات مثل مزود خدمة تابع لجهة خارجية، ينظم DPA أي معالجة للبيانات الشخصية التي يتم إجراؤها لأغراض تجارية، يمكن أيضًا تسمية DPA باسم اتفاقية حماية بيانات GDPR.
الغرض من اتفاقيات معالجة البيانات DPA
تحدد اتفاقية معالجة البيانات DPA المتطلبات الفنية لوحدة التحكم والمعالج لاتباعها عند معالجة البيانات, حيث يتضمن ذلك تعيين شروط لكيفية تخزين البيانات وحمايتها ومعالجتها والوصول إليها واستخدامها،و تحدد الاتفاقية أيضًا ما يمكن للمعالج فعله بالبيانات وما لا يمكنه فعله.
تعد اتفاقية حماية البيانات DPA مكونًا رئيسيًا للامتثال للقانون العام لحماية البيانات GDPR، اللائحة العامة لحماية البيانات General Data Protection Regulation المختصة بحماية البيانات، وتمثل قانون الخصوصية والأمن الذي أقره الاتحاد الأوروبي EU، تختص اللائحة العامة لحماية البيانات التي أنشأها الاتحاد الأوروبي و تنطبق على أي منظمة تستهدف أو تجمع بيانات حول الأشخاص في الاتحاد الأوروبي.
يركز القانون العام لحماية البيانات GDPR بشكل أساسي على البيانات الشخصية ومعالجة البيانات والموضوعات ووحدات التحكم والمعالجات، يفرض توقيع اتفاقية معالجة البيانات DPA مع معالجات البيانات التابعة لجهات خارجية، إذا كانت مؤسستك تستخدم بيانات حول المقيمين في الاتحاد الأوروبي، فيجب أن تكون متوافقًا مع القانون العام لحماية البيانات GDPR وأن تستخدم DPAs، قد يؤدي عدم القيام بذلك إلى تكبد غرامات وعقوبات باهظة.
عناصر اتفاقية معالجة البيانات
بشكل عام يجب أن تتضمن DPA نطاق معالجة البيانات والغرض منها، بالإضافة إلى البيانات التي ستتم معالجتها وكيف ستتم حمايتها والعلاقة بين وحدة التحكم والمعالج، ويجب أن تكون اتفاقيات معالجة بيانات القانون العام لحماية البيانات مفصلة بشكل خاص كما يجب أن تشمل:
معلومات عامة General information: يتضمن ذلك الأنشطة التي تشمل معالجة البيانات، وطرق استخدام البيانات الشخصية والطرف المسؤول عن ضمان تلبية البيانات للامتثال للائحة العامة لحماية البيانات والمدة التي ستستغرقها عملية المعالجة. كما يجب أن يغطي تعريفات موضوعات البيانات للعملاء أو المستخدمين وأنواع البيانات التي يجب معالجتها وكيف وأين يتم تخزين البيانات وشروط إنهاء العقد.
مسؤوليات المراقب Responsibilities of the Controller: عندما يتعلق الأمر بالامتثال للائحة العامة لحماية البيانات، فإن إنشاء عملية بيانات قانونية ومراقبة حقوق مواضيع البيانات يقع على عاتق المراقب, والمراقب مسؤول أيضا عن إصدار تعليمات المعالجة وإملاء كيفية تعامل المعالج مع البيانات.
مسؤوليات المعالج Responsibilities of the Processor: بموجب القانون العام لحماية البياناتGDPR تتحمل المعالجات قائمة طويلة من المسؤوليات وتشمل الحفاظ على أمن المعلومات Maintaining Information Security والتعاون مع السلطات في حالة الاستفسار والإبلاغ عن انتهاكات البيانات كما توفر فرصًا للتدقيق وحفظ السجلات وحذف أو إعادة البيانات في نهاية العقد غير ذلك من المهام.
المتطلبات التقنية والتنظيمية Technical and Organizational Requirements: وتُعنَى بكيفية تشفير البيانات والوصول إليها واختبارها, وأمكانية ضمان الطرفين لسرية ونزاهة وتوافر لنظم وخدمات التجهيز بالإضافة إلى والمرونتها واستمرارها, حيث تتطلب اللائحة العامة لحماية البيانات GDPR أن ينظر المتحكمون والمعالجون في كيفية تأثير أحدث التقنيات وتكاليف التنفيذ والتباينات في الحريات الشخصية على قدرتهم على ضمان أمن البيانات المستمر.
ماذا يوجد في اتفاقية معالجة البيانات
يوافق المعالج على معالجة البيانات الشخصية فقط بناءً على تعليمات خطية من وحدة التحكم, كما يجب على كل من يتواصل مع البيانات أن يقسم على السرية ويتم استخدام جميع التدابير التقنية والتنظيمية المناسبة لحماية أمن البيانات, كما لا يجب أن يتعاقد المعالج من الباطن مع معالج آخر ما لم يأمر المتحكم بذلك كتابة, وفي هذه الحالة سيلزم توقيع اتفاق آخر مع المعالج الفرعي
كما يساعد المعالج المراقب على الوفاء بالتزاماته بموجب اللائحة العامة لحماية البيانات لا سيما فيما يتعلق بحقوق أشخاص البيانات, وسيساعد المعالج المراقب على الحفاظ على امتثال اللائحة العامة لحماية, ويوافق المعالج على حذف جميع البيانات الشخصية عند انتهاء الخدمات أو إعادة البيانات إلى وحدة التحكم, كما يجب أن يسمح المعالج للمراقب بإجراء مراجعة ويقدم أي معلومات ضرورية لإثبات الامتثال Compliance.
يتم تشغيل العديد من المواقع بواسطة مزود البريد الإلكتروني المشفر Proton mail وبتمويل جزئي من برنامج horizon 2020 التابع للاتحاد الأوروبي كجزء من جهود الامتثال للائحة العامة لحماية البيانات, قام الإتحاد الأوروبي بإتاحة اتفاقية معالجة البيانات الخاصة به لجميع المؤسسات للتنزيل والمراجعة والتوقيع
