دليل شامل للامتثال للائحة العامة لحماية البيانات (GDPR) في مجال مؤتمرات الفيديو
ينطبق نظام حماية البيانات العامة (GDPR) على مؤتمرات الفيديو عند معالجة البيانات الشخصية للأفراد المقيمين في المنطقة الاقتصادية الأوروبية. يغطي هذا الدليل الشامل الإطار القانوني، واتفاقيات معالجة البيانات، والأسس القانونية للمعالجة، وحقوق أصحاب البيانات، وآليات نقل البيانات عبر الحدود، وقائمة مرجعية عملية للامتثال للمؤسسات التي تستخدم منصات الفيديو مثل DigitalMeet.
متى ينطبق قانون حماية البيانات العامة على مؤتمرات الفيديو
النطاق الإقليمي
ينطبق نظام حماية البيانات العامة (GDPR) (اللائحة (الاتحاد الأوروبي) 2016/679) عند معالجة البيانات الشخصية للأفراد في المنطقة الاقتصادية الأوروبية، بغض النظر عن موقع مؤسستك (المادة 3). في سياق مؤتمرات الفيديو، تشمل البيانات الشخصية ما يلي:
- أسماء المشاركين وعناوين بريدهم الإلكتروني وعناوين بروتوكول الإنترنت (IP).
- تسجيلات صوتية ومرئية تحتوي على أفراد يمكن التعرف عليهم
- رسائل الدردشة والملفات المشتركة
- بيانات الاجتماع الوصفية (أوقات الانضمام/المغادرة، المدة، معلومات الجهاز)
- نصوص وملخصات مُولَّدة بواسطة الذكاء الاصطناعي تحتوي على كلام قابل للتمييز
تنص المادة 4(1) من اللائحة العامة لحماية البيانات على ما يلي: "البيانات الشخصية تعني أي معلومات تتعلق بشخص طبيعي محدد أو قابل للتحديد". وتُعد تسجيلات الفيديو والتسجيلات الصوتية والبيانات الوصفية السلوكية جميعها مؤهلة عندما تتعلق بشخص قابل للتحديد.
أهم بنود اللائحة العامة لحماية البيانات (GDPR) المتعلقة بمؤتمرات الفيديو
| شرط | عنوان | أهمية ذلك في مجال مؤتمرات الفيديو |
|---|---|---|
| المادة 5 | مبادئ المعالجة | الشرعية، والإنصاف، والشفافية، وتحديد الغرض، وتقليل البيانات، والدقة، وحدود التخزين، والنزاهة والسرية، والمساءلة |
| المادة 6 | الأساس القانوني للمعالجة | يجب عليك تحديد أساس قانوني (موافقة، عقد، مصلحة مشروعة، إلخ) لكل نشاط معالجة |
| المادة 9 | فئات خاصة من البيانات | تتطلب البيانات الصحية في مقاطع الفيديو الخاصة بالطب عن بعد موافقة صريحة أو استثناءً آخر من المادة 9. |
| المادة 13/14 | معلومات لأصحاب البيانات | قم بتوفير إشعارات خصوصية واضحة قبل أو عند وقت جمع البيانات (الانضمام إلى الاجتماع) |
| المواد 15-22 | حقوق أصحاب البيانات | الوصول، والتصحيح، والمحو، والتقييد، وقابلية النقل، والاعتراض، واتخاذ القرارات الآلية |
| المادة 25 | حماية البيانات بالتصميم والافتراضي | يجب على المنصة تطبيق إعدادات افتراضية لحماية الخصوصية (مثل إيقاف التسجيل افتراضياً، والحد الأدنى من جمع البيانات). |
| المادة 28 | التزامات المعالج | يجب أن يكون لدى مزود خدمة الفيديو (المعالج) الخاص بك اتفاقية معالجة بيانات تحدد تعليمات المعالجة، وإجراءات الأمان، والمعالجين الفرعيين، وحقوق التدقيق. |
| المادة 32 | أمن المعالجة | التشفير، وضوابط الوصول، والمرونة، والاختبارات الدورية المناسبة للمخاطر |
| المادة 33/34 | إشعار بالاختراق | يجب إخطار السلطة الإشرافية خلال 72 ساعة؛ وإخطار أصحاب البيانات في حالة ارتفاع المخاطر |
| المواد 44-49 | التحويلات الدولية | تتطلب عمليات النقل خارج المنطقة الاقتصادية الأوروبية ضمانات كافية (العقود التعاقدية القياسية، وقرارات كفاية الضمانات، والقواعد الملزمة للشركات). |
اتفاقيات معالجة البيانات
متطلبات المادة 28
عند استخدام منصة مؤتمرات الفيديو، يعمل مزود الخدمة كمعالج بيانات بموجب اللائحة العامة لحماية البيانات (GDPR). تنص المادة 28 على ضرورة وجود عقد مكتوب (اتفاقية حماية البيانات) يحدد ما يلي:
- موضوع المعالجة ومدتها
- طبيعة وغرض المعالجة
- أنواع البيانات الشخصية وفئات أصحاب البيانات
- التزامات وحقوق المتحكم
- التدابير الأمنية التي يجب على المعالج تنفيذها (المادة 32)
- شروط التعاقد مع المعالج الفرعي والإخطار
- المساعدة في حقوق أصحاب البيانات والإبلاغ عن خروقات البيانات
- صلاحيات التدقيق للمراقب
- إعادة البيانات أو حذفها عند إنهاء العقد
تقدم DigitalMeet اتفاقيات حماية بيانات متوافقة مع اللائحة العامة لحماية البيانات (GDPR) تغطي الفيديو والتسجيل والنسخ ومعالجة الذكاء الاصطناعي والتخزين. تتضمن اتفاقية حماية البيانات لدينا قوائم المعالجين الفرعيين، والتزامات أمنية، وأحكام تدقيق.
الأساس القانوني والموافقة
يتطلب كل نشاط معالجة يتضمن بيانات شخصية أساسًا قانونيًا بموجب المادة 6. بالنسبة لمؤتمرات الفيديو، تشمل الأسس الشائعة ما يلي:
- العقد (المادة 6(1)(ب)) - المعالجة اللازمة لتنفيذ العقد (على سبيل المثال، توفير اجتماع عبر الفيديو كجزء من اتفاقية الخدمة)
- المصلحة المشروعة (المادة 6(1)(و)) - المعالجة الضرورية لمصلحة مشروعة لا تتجاوزها حقوق صاحب البيانات (على سبيل المثال، اجتماعات العمل الداخلية).
- الموافقة (المادة 6(1)(أ)) - الموافقة الحرة والمحددة والمستنيرة وغير المبهمة (غالباً ما تكون مطلوبة للتسجيل ومعالجة الذكاء الاصطناعي)
يُعدّ الحصول على الموافقة الأساس الأكثر شيوعًا لتسجيل وتفريغ المحادثات، لأن هذه الأنشطة تتجاوز ما هو ضروري للاجتماع نفسه. يجب الحصول على الموافقة قبل بدء التسجيل، ويجب أن يكون للمشاركين الحق في سحب موافقتهم دون أي ضرر.
حقوق أصحاب البيانات
يمنح قانون حماية البيانات العامة (GDPR) الأفراد حقوقًا شاملة فيما يتعلق ببياناتهم الشخصية. يجب على مؤسستك ومنصة الفيديو الخاصة بك دعم هذه الحقوق.
| يمين | مادة اللائحة العامة لحماية البيانات | تطبيق مؤتمرات الفيديو | الموعد النهائي للرد |
|---|---|---|---|
| حق الوصول | المادة 15 | يرجى تقديم نسخ من التسجيلات والنصوص والبيانات الوصفية المتعلقة بصاحب البيانات | شهر واحد (قابل للتمديد لمدة شهرين) |
| الحق في التصحيح | المادة 16 | تصحيح البيانات الشخصية غير الدقيقة في سجلات الاجتماعات أو ملفات تعريف المشاركين | شهر واحد |
| الحق في المحو ("الحق في النسيان") | المادة 17 | حذف التسجيلات والنصوص والبيانات الوصفية بناءً على طلب صحيح | شهر واحد |
| الحق في التقييد | المادة 18 | تقييد المعالجة في حال الطعن في دقتها أو مشروعيتها | شهر واحد |
| الحق في نقل البيانات | المادة 20 | تصدير بيانات الاجتماع بتنسيق منظم وقابل للقراءة آلياً | شهر واحد |
| حق الاعتراض | المادة 21 | الاعتراض على المعالجة القائمة على المصلحة المشروعة؛ يجب التوقف عنها ما لم توجد أسباب قاهرة. | دون تأخير لا مبرر له |
| الحقوق المتعلقة باتخاذ القرارات الآلية | المادة 22 | إذا كانت ميزات الذكاء الاصطناعي تتخذ قرارات آلية ذات آثار قانونية أو هامة، فيجب توفير خيار المراجعة البشرية. | شهر واحد |
يدعم DigitalMeet تصدير البيانات وحذفها (بما في ذلك سير عمل الحق في النسيان) وسجلات التدقيق التي توثق الامتثال لطلبات أصحاب البيانات.
نقل البيانات عبر الحدود
آليات النقل بموجب المواد 44-49
يُقيّد نقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية بموجب المواد 44-49 من اللائحة العامة لحماية البيانات (GDPR). وتشمل آليات النقل المعتمدة ما يلي:
| آلية التحويل | مادة اللائحة العامة لحماية البيانات | وصف | الاعتبارات |
|---|---|---|---|
| قرار كفاية | المادة 45 | تحدد المفوضية الأوروبية أن الدولة المتلقية تضمن الحماية الكافية | يشمل حاليًا المملكة المتحدة واليابان وكوريا الجنوبية وغيرها؛ وينطبق إطار عمل خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة على المنظمات الأمريكية المعتمدة |
| البنود التعاقدية القياسية (SCCs) | المادة 46(2)(ج) | شروط العقد المعتمدة مسبقاً بين مُصدِّر البيانات ومستوردها | يجب إجراء تقييم لأثر النقل (TIA)؛ واستكماله بتدابير فنية إذا لزم الأمر. |
| القواعد المؤسسية الملزمة (BCRs) | المادة 47 | سياسات نقل البيانات داخل المجموعة معتمدة من قبل السلطات الإشرافية | عملية إنشاء معقدة وتستغرق وقتاً طويلاً؛ مناسبة للشركات متعددة الجنسيات الكبيرة |
| الاستثناءات (الموافقة، ضرورة العقد) | المادة 49 | استثناءات محدودة لحالات محددة | غير مناسب لعمليات النقل المنهجية واسعة النطاق |
تتيح لك خاصية الإقامة القابلة للتكوين في DigitalMeet الاحتفاظ ببيانات المنطقة الاقتصادية الأوروبية بالكامل داخلها، مما يُغني عن الحاجة إلى آليات نقل البيانات عبر الحدود. وفي حال الضرورة، تدعم DigitalMeet بنود التعاقد القياسية وتشارك في الأطر ذات الصلة. للاطلاع على بنية الإقامة في البيانات، يُرجى مراجعة قسم "الإقامة في البيانات والامتثال" .
قائمة مراجعة لموظفي الامتثال
- ☐ اتفاقية معالجة البيانات المبرمة مع مزود خدمة الفيديو (المادة 28)
- ☐ تم تحديد وتوثيق الأساس القانوني لكل نشاط معالجة (المادة 6)
- ☐ تم تحديث إشعار الخصوصية ليشمل معالجة بيانات مؤتمرات الفيديو (المادتان 13/14)
- ☐ آلية الموافقة المطبقة للتسجيل والنسخ (المادة 6(1)(أ))
- ☐ تم تحديد واختبار إجراءات حقوق أصحاب البيانات (المواد 15-22)
- ☐ تم تكوين مكان إقامة البيانات للاحتفاظ ببيانات المنطقة الاقتصادية الأوروبية في المنطقة الاقتصادية الأوروبية (المواد 44-49)
- ☐ تم إكمال تقييم أثر النقل لأي عمليات نقل من خارج المنطقة الاقتصادية الأوروبية
- ☐ تم التحقق من التدابير الأمنية: التشفير، وضوابط الوصول، وتسجيل التدقيق (المادة 32)
- ☐ إجراءات الإبلاغ عن الاختراق متوافقة مع متطلبات الـ 72 ساعة (المادتان 33/34)
- ☐ يتم إجراء تقييم أثر حماية البيانات في حالة المعالجة عالية المخاطر (المادة 35)
- ☐ تمت مراجعة قائمة المعالجات الفرعية ووضع آلية للمراقبة
- ☐ تم تكوين سياسات الاحتفاظ واختبار الحذف التلقائي
الأسئلة الشائعة
هل يلتزم موقع DigitalMeet باللائحة العامة لحماية البيانات (GDPR)؟
نعم. تقدم DigitalMeet اتفاقيات معالجة البيانات المتوافقة مع اللائحة العامة لحماية البيانات، وتدعم جميع حقوق أصحاب البيانات، وتوفر إمكانية تكوين إقامة البيانات، وتنفذ التدابير الأمنية المطلوبة بموجب المادة 32.
هل يمكننا تخزين بيانات الاتحاد الأوروبي حصرياً داخل الاتحاد الأوروبي؟
نعم. تتيح لك عناصر التحكم في إقامة البيانات لكل مستأجر في DigitalMeet تقييد جميع بيانات الاجتماع - التسجيلات والبيانات الوصفية والنصوص - إلى مراكز بيانات الاتحاد الأوروبي.
كيف نتعامل مع طلبات الحذف بموجب المادة 17؟
يدعم DigitalMeet عمليات حذف التسجيلات والنصوص وبيانات المشاركين. وتوثّق سجلات التدقيق عملية الحذف للتحقق من الامتثال.
ما هو الأساس القانوني الذي يجب أن نستخدمه لتسجيل الاجتماعات؟
يُعدّ الحصول على الموافقة (المادة 6(1)(أ)) الأساس الأكثر شيوعاً للتسجيل. تأكد من الحصول على الموافقة قبل بدء التسجيل، وأن يكون للمشاركين الحق في سحب موافقتهم.
هل يستخدم DigitalMeet معالجات فرعية؟
نعم. تتضمن اتفاقية حماية البيانات الخاصة بنا قائمة معالجين فرعيين حالية مع أحكام إخطار بالتغييرات، كما هو مطلوب بموجب المادة 28 (2).
هل نحتاج إلى تقييم أثر حماية البيانات (DPIA)؟
إذا كانت مؤتمرات الفيديو الخاصة بك تتضمن معالجة عالية المخاطر - مثل التسجيل على نطاق واسع، أو تحليل الاتصالات بالذكاء الاصطناعي، أو معالجة بيانات الفئات الخاصة - فمن المحتمل أن يكون تقييم أثر حماية البيانات بموجب المادة 35 مطلوبًا.
كيف تتعامل DigitalMeet مع إشعارات الاختراق؟
تلتزم هيئة حماية البيانات لدينا بإخطارك دون تأخير لا مبرر له عند اكتشاف خرق للبيانات الشخصية، مما يتيح لك تلبية متطلبات إخطار السلطة الإشرافية خلال 72 ساعة بموجب المادة 33.
ماذا عن توجيه الخصوصية الإلكترونية؟
ينطبق توجيه الخصوصية الإلكترونية (2002/58/EC) على سرية الاتصالات الإلكترونية. قد يؤدي تسجيل المحادثات إلى التزامات تتعلق بالخصوصية الإلكترونية بالإضافة إلى اللائحة العامة لحماية البيانات (GDPR). يُرجى مراجعة تطبيق دولتك العضو للاطلاع على المتطلبات المحددة. راجع قوانين تسجيل الاجتماعات حسب الدولة للاطلاع على القواعد الخاصة بكل ولاية قضائية.