- تحدد المادتان 13 و14 من الناتج المحلي الإجمالي المحتوى الإلزامي الذي يجب أن يتضمنه كل إشعار بالخصوصية
- المادة 13 تنطبق عندما تجمع البيانات مباشرة من الفرد؛ المادة 14 عندما تجمع من طرف ثالث
- يجب تقديم الإشعار في وقت التحصيل — وليس مدفونًا في الشروط والأحكام
- يجب أن تكون اللغة موجزة وشفافة وواضحة وبلغة واضحة - وليست قانونية
لا يعد إشعار الخصوصية مجرد إجراء شكلي قانوني - بل هو الأداة الأساسية التي يمكنك من خلالها الوفاء بمبدأ الشفافية الخاص باللائحة العامة لحماية البيانات. يحق لأصحاب البيانات معرفة ما تفعله ببياناتهم، ويجب عليك إخبارهم بشكل استباقي، في وقت جمع البيانات، بلغة واضحة. النموذج العام المنسوخ من القالب لا يفي بهذا المطلب.
مسار الشراء ذو الصلة HubSecure
جمع المستندات ودليل Vault لجمع المستندات الآمنة Secure Vault وحدة مقارنة Dropbox دليل برامج جمع المستندات دليل المكتبة احجز عرضًا توضيحيًا لسير العمل
موارد الأمان والخصوصية والحوكمة ذات الصلة
تابع مع مركز الأمان والثقة HubSecure، واتفاقية معالجة البيانات، والمعالجات الفرعية، وسير عمل الامتثال، ومشغل الذكاء الاصطناعي المحكوم.
حالة الاستخدام ذات الصلة
ينتمي هذا الدليل إلى مجموعة أدلة جمع المستندات الآمنة. تابع مع مركز المنتج لتجميع المستندات بشكل آمن.
المادة 13: عندما تجمع البيانات مباشرة
تنطبق المادة 13 عندما تقوم بجمع البيانات الشخصية مباشرة من الفرد - من خلال نموذج أو في اجتماع استقبال أو عبر موقع الويب الخاص بك. يجب تقديم معلومات الخصوصية في وقت جمعها. المحتوى الإلزامي يشمل:
- ✓ الهوية وتفاصيل الاتصال الخاصة بوحدة التحكم
- ✓ تفاصيل الاتصال بمسؤول حماية البيانات (إن أمكن)
- ✓ الأغراض والأساس القانوني لكل نشاط معالجة
- ✓ المصالح المشروعة المنشودة (إذا كانت المصالح المشروعة هي الأساس)
- ✓ أي مستلمين أو فئات مستلمي البيانات
- ✓ ما إذا كان سيتم نقل البيانات خارج المنطقة الاقتصادية الأوروبية والضمانات المعمول بها
- ✓ فترات الاحتفاظ أو المعايير المستخدمة لتحديدها
- ✓ حقوق الفرد: الوصول، التصحيح، المحو، التقييد، النقل، الاعتراض
- ✓ الحق في سحب الموافقة (حيث تكون الموافقة هي الأساس القانوني)
- ✓ الحق في تقديم شكوى إلى السلطة الإشرافية
- ✓ ما إذا كان تقديم البيانات متطلبًا قانونيًا أو تعاقديًا وعواقب عدم تقديمها
- ✓ ما إذا كان سيتم اتخاذ القرار الآلي (بما في ذلك التوصيف)، وإذا كان الأمر كذلك، المنطق والأهمية
المادة 14: عندما تحصل على بيانات من طرف ثالث
تنطبق المادة 14 عندما تقوم بجمع بيانات شخصية عن شخص ما من مصدر آخر غير الفرد نفسه - شراء بيانات العملاء المحتملين، أو تلقي الإحالات، أو الحصول على معلومات من السجلات العامة. ويجب تقديم نفس المعلومات، بالإضافة إلى:
- فئات البيانات الشخصية المعنية (نظرًا لأن الفرد لم يقدمها بشكل مباشر)
- المصدر الذي تم الحصول على البيانات منه، وما إذا كانت جاءت من مصادر متاحة للعامة
ويجب تقديم ذلك خلال فترة معقولة - شهر واحد على الأكثر - أو في وقت الاتصال الأول، أو عند الكشف عن البيانات لطرف ثالث، أيهما يأتي أولاً.
فشل إشعار الخصوصية المشترك
أغراض غامضة
"نحن نستخدم بياناتك لتحسين خدماتنا ولأغراض تسويقية" لا تلبي متطلبات الخصوصية. يجب ذكر كل غرض واضح بوضوح: "نقوم بمعالجة تفاصيل الاتصال الخاصة بك لنرسل إليك رسالتنا الإخبارية الشهرية حول تطورات الامتثال (المادة 6 (1) (أ) - الموافقة)."
لا توجد فترات الاحتفاظ
إن القول "نحن نحتفظ ببياناتك طالما كان ذلك ضروريًا" دون أي مواصفات أخرى لا يفي بمتطلبات المادة 13 (2) (أ). اذكر الفترات الفعلية أو المعايير المستخدمة لتحديدها.
أوصاف الحقوق المعيارية
إن إدراج حقوق أصحاب البيانات دون شرح كيفية ممارستها لا يكفي. يجب أن يخبر إشعارك الأفراد بكيفية إرسال طلب - على سبيل المثال، عن طريق إرسال بريد إلكتروني إلى العنوان [email protected] - وما يمكن توقعه فيما يتعلق بوقت الاستجابة.
تفاصيل الاتصال بـ DPO مفقودة
إذا كان لديك DPO (إلزامي لبعض المنظمات بموجب المادة 37)، فيجب أن تظهر تفاصيل الاتصال الخاصة به في إشعار الخصوصية. العديد من الشركات تغفل هذا.
التنسيق وإمكانية الوصول
يتطلب القانون العام لحماية البيانات (GDPR) تقديم إشعارات الخصوصية بشكل موجز وشفاف وواضح ويسهل الوصول إليه، باستخدام لغة واضحة وسهلة. يوصي ICO و DPAs الأخرى باتباع نهج متعدد الطبقات: إشعار قصير عند نقطة التجميع مع النقاط الرئيسية، وربطه بإشعار كامل لمزيد من التفاصيل.
هل يحتاج إشعار الخصوصية الخاص بنا إلى المراجعة بانتظام؟
نعم. عندما تتغير أنشطة المعالجة الخاصة بك - أنظمة جديدة، أغراض جديدة، معالجات خارجية جديدة، عمليات نقل جديدة - يجب تحديث إشعار الخصوصية الخاص بك. إذا قمت بتحديثه، قم بإخطار أصحاب البيانات الذين تتأثر بياناتهم بالتغييرات إذا كانت التحديثات مادية.
هل سياسة ملفات تعريف الارتباط هي نفس إشعار الخصوصية؟
لا. تتناول سياسة ملفات تعريف الارتباط متطلبات الموافقة والمعلومات بموجب توجيه الخصوصية الإلكترونية (الاتحاد الأوروبي) ولوائح التنفيذ الوطنية. يتناول إشعار الخصوصية التزامات الشفافية الخاصة باللائحة العامة لحماية البيانات (GDPR) لجميع عمليات معالجة البيانات الشخصية. كلاهما مطلوب؛ تقوم العديد من المؤسسات بدمجها في مستند متعدد الطبقات.
وثائق الخصوصية المضمنة
يتضمن HubSecure قوالب إشعارات الخصوصية التي تم تعيينها مسبقًا لأنواع الأعمال المنظمة - والتي تغطي بيانات العميل وبيانات الموظفين وأنشطة معالجة مكافحة غسل الأموال.
Book a demoالمصادر الرسمية ومزيد من القراءة
استخدم هذه المصادر العامة للتحقق من الخلفية التنظيمية والمصطلحات. محتوى HubSecure عبارة عن إرشادات حول المنتج، وليس نصيحة قانونية.
ملاحظات المصداقية
تم إعداد هذا الدليل لتقييم المنتجات والعمليات، وليس لتقديم المشورة القانونية. بالنسبة لالتزامات الامتثال، قم بتأكيد المتطلبات مع مستشار مؤهل أو الجهة التنظيمية ذات الصلة.
المراجع: الأمن؛ إدارة الشؤون السياسية؛ الجهات الفرعية؛ مسرد AML/KYC
استعراض الأفرقة المنظمة
Prepared by the HubSecure editorial team for operators, compliance leaders and IT reviewers evaluating secure client operations software.
المؤلفون: مراجعون؛ سياسة التحرير