تأثير اللائحة العامة لحماية البيانات العامة على المحتوى الرقمي

ناقشنا في مقالنا الأخير التأثير العام الذي تفرضه اللائحة العامة لحماية البيانات على الشركات. سنركز في هذه المقالة على التأثير على المحتوى الرقمي والأصول التي تحتفظ بها الشركات التي ستخضع في النهاية للائحة الجديدة.

“الشخص الطبيعي” وطلبات التطهير

تُعرّف اللائحة العامة لحماية البيانات (GDPR) الأشخاص الطبيعيين بأنهم أولئك المواطنون الذين لديهم بيانات ومخاوف تتعلق بالخصوصية، والتي تتفوق على تلك البيانات ومخاوف الخصوصية الخاصة بالشركات والحكومة والمؤسسات الأخرى. باختصار، إذا كان المواطن لا يريد أن يكون لدى كيان ما بيانات مرتبطة به شخصيًا، فيمكنه أن يطلب من ذلك الكيان إزالتها. في حين أن السياسات الداخلية لتلبية تلك الطلبات لا تزال تحت سيطرة الشركات (إلى حد ما)، إلا أن هناك منهجية للامتثال يجب أن تتبعها لإثبات أنها قد احترمت الطلب.

بموجب قانون خصوصية البيانات، الذي يحل محل اللائحة العامة لحماية البيانات، كان الأشخاص يقدمون طلب الوصول إلى الموضوع (SAR) الذي يطلبون فيه البيانات المختلفة التي تمتلكها شركة معينة تتعلق بذلك الشخص، وما الذي كان يفعلونه بها، ومتى وكيف تم الوصول إليها وما إلى ذلك. هذا الطلب نفسه هو جزء من اللائحة العامة لحماية البيانات ولكنه يتطلب أيضًا من الشركات الكشف عما إذا كانت قد أرسلت أي بيانات إلى طرف ثالث، كما أنها ألغت الرسوم التي كانت تُفرض عادةً على المواطنين، مع استثناءات تتعلق بـ “الطلبات الفضفاضة والمبهمة والمطولة”.

وهذا يعني أن تكلفة تقديم النتائج للمواطنين أصبحت الآن مسؤولية الشركات، ويعني أيضًا أنه من المحتمل أن تكشف عن أي علاقات تربطها مع مؤسسات أخرى، سواء كانت تجارية أو غير ذلك، تطلب منها بيانات يمكن أن تكون قابلة للتحديد لشخص معين. ومن الأمثلة الواضحة على ذلك وكالات التحصيل، ولكن المثال الأقل وضوحًا قد يكون أن يكون لدى شركة ما عقد صغير مع وكالة حكومية تجمع بيانات عن العملاء الماليين بشكل عام، مثل المتقدمين العاديين للحصول على الائتمان، وأن جزءًا من عملية المسح هذه يتضمن بعض البيانات الشخصية التي يمكن تحديدها شخصيًا والتي يتم إرسالها إلى الوكالة الحكومية، والتي بدورها تقوم بتعقيمها قبل جمعها إحصائيًا.

تمنح اللائحة العامة لحماية البيانات استثناءً لهذا النوع من مشاركة البيانات في المادة 1، الفقرة 62، حيث تنص على أن الأغراض التاريخية والإحصائية (من بين أمور أخرى) سببًا وجيهًا لمعالجة البيانات ويبدو أنها تشمل المشاركة القانونية لتلك البيانات.

كما تمت مناقشته سابقًا، لن تكون المشاكل الحقيقية بالضرورة مع معلومات تحديد الهوية الشخصية أو البيانات الوثائقية الأخرى. بل سيتحول التركيز بدلاً من ذلك إلى المحتوى الرقمي، في شكل ملفات الصوت والصور والفيديو التي تحتفظ بها الشركات، والنابعة من أنظمة الأمان، إلى تقنيات تسجيل الغرف، إلى أنظمة الوصول. هذا هو المكان الذي سيؤثر فيه النظام الأوروبي العام لحماية البيانات حقًا.

كيفية معالجة الشركات للمحتوى الرقمي

معظم الشركات لديها نظام أمن فيديو في مبانيها، والهدف من ذلك هو تحديد الأشخاص الذين يحاولون السرقة، أو إلحاق الضرر بالشركة. كل شيء من الكتابة على الجدران، إلى التجسس على الشركات يتم تصويره بالفيديو، ويستخدم لاحقًا لمحاسبة الأشخاص المسؤولين عن جرائمهم.

لا يتم الاحتفاظ بمعظم محتوى الفيديو لفترة طويلة جدًا. في الواقع، تم تصميم معظم الأنظمة لتطهير المحتوى غير المطلوب بعد عدة أيام، وذلك للحفاظ على مساحة تخزين للمحتوى الحالي في النظام. هذا في حد ذاته يمكن أن يخفف من التعامل مع كميات وفيرة من المحتوى لإرضاء SAR. ومع ذلك، تضطر بعض الشركات إلى الاحتفاظ بهذا المحتوى لفترات زمنية أطول. يمكن أن يكون ذلك لأسباب عديدة، مثل أن يكون المحتوى يتضمن حادثًا خطيرًا لا علاقة له بالأشخاص الذين تم تصويرهم في الإطار. وتضمن اللائحة العامة لحماية البيانات أن لكل شخص في الإطار الحق في أن يكون غير قابل للتعريف في المحتوى، حتى لو كان لدى الشركة سبب مشروع للاحتفاظ بالمحتوى.

لا تأتي أنظمة الفيديو مزودة بأدوات ما بعد الإنتاج، باستثناء وظيفة التنزيل/التسجيل الأساسية، والتي عادةً ما تكون موجهة نحو قرص مادي من نوع ما. إذا كنا سنعمل مع المحتوى الرقمي واللوائح التنظيمية في القرن الحادي والعشرين، فنحن بحاجة إلى أدوات تعكس هذا الواقع.

أدوات للمحتوى الرقمي

برامج التعرّف – بالنظر إلى أنه يمكن تصميم نظام البحث والإنقاذ ليشمل نطاقات تواريخ كاملة، فإنك تحتاج إلى القدرة على مسح محتوى الصوت والصورة والفيديو بطريقة آلية، ومن المحتمل أن يتضمن خوارزمية تعمل على مبادئ المطابقة. في البحث والإنقاذ، سيتعين على المواطن توفير الوسائل المناسبة لتحديد هويته في المحتوى الذي يقلق بشأنه. يمكن استخدام عينات الصوت والصور الثابتة وحتى الفيديو الذي تم تصويره من عدة زوايا مختلفة في برنامج التعرف لفحص كل المحتوى الموجود في البنية التحتية للتخزين لديك، ومع ظهور التطابقات، يمكنك تحديد هوية المواطن يدويًا، والتحقق من وجوده في المحتوى، والبدء في تنظيم كل المحتوى القابل للتطبيق إلى أداتك التالية، وهي برنامج التنقيح.

برمجيات التنقيح – هذا هو البرنامج الذي سيجعل كفاءتك أو ينهيها أكثر من أي شيء آخر. هناك الكثير من برامج التنقيح المتاحة للشراء. الكثير منها يستخدم تقنية إطار بإطار، مما يعني أنه بالنسبة لهذا النوع من العمل سوف تنفق الكثير من المال على العمالة أو الخدمات الاحترافية لجعل المحتوى يتوافق مع SAR المواطن. وبدلاً من ذلك، فإن استخدام برنامج التنقيح الذي يحتوي على خوارزميات آلية مهم جداً في هذه الحالات. يمكنك أن تتعامل بشكل جيد جداً مع تقرير بحث وإنقاذ واحد يتضمن أكثر من 40 ملفاً، 15 منها ملفات فيديو بأكثر من 10,000 إطار، وجميعها تحتاج إلى شكل من أشكال التنقيح. يمكننا أن نقول من خلال الأرقام أن هذه لن تكون مهمة تستغرق يومًا واحدًا. لكن التنقيح المستند إلى الخوارزمية يعني أن عمل تنقيح الفيديو قد يتم في ذلك اليوم، مما يترك على الأرجح متسعاً من الوقت لإنجاز الملفات الصوتية.

وكلما كان البرنامج قادراً على القيام بالعمل نيابةً عنك، كان من الأسهل التعامل مع الطلبات. وهذا يخفف العبء عن موظفيك، ويخفف من مخاوفك المتعلقة بالامتثال، ويقلل من وقت الاستجابة اللازم لتحقيق نتيجة تلبية طلب المواطن. ومع ذلك، فإن العمل لا ينتهي بمجرد الامتثال لإزالة المواطن المعني. فكما هو الحال دائماً، عليك توثيق ما تم إنجازه. وإذا لم يقم برنامجك بإنشاء تقارير تنص على نتائج البحث وعمليات التحقق (من برنامج التعرف)، وأعمال التحسين المنجزة (من برنامج التنقيح)، فإنك ستفقد النصف الثاني من اللائحة العامة لحماية البيانات، والذي يتطلب تسجيل أن هذا العمل قد تم إنجازه، بما يتوافق مع اللائحة، وأن منهجيتك في تلبية الطلب متينة.

يجب أن تلتقط التقارير ما يقوم به برنامجك تلقائيًا، وتضع هذه الأنشطة في ترتيب منطقي (جدول زمني)، ثم تمنحك القدرة على أرشفة هذه التقارير في مواقع منفصلة في البنية التحتية للتخزين لديك. لأن القانون العام لحماية البيانات العامة (GDPR) ينشئ بروتوكولات تدقيق يجب على الشركات الالتزام بها، وهذه التقارير هي ما سيوفر عليك غرامة كبيرة (تصل إلى أربعة في المائة من صافي أرباح شركتك!) وتثبت أنك وضعت أفضل الممارسات عندما يتعلق الأمر بخدمة تقارير SAR الخاصة باللائحة العامة لحماية البيانات.

يجب أن تعكس هذه التقارير تاريخ ووقت تحديد موقع المحتوى، ومكانه، وتاريخ ووقت إنشائه، ومن الذي حدد موقعه، ومكانه عندما حدد موقعه (عنوان IP)، وكيفية التعامل معه لمعالجة SAR. ثم يحتاج بعد ذلك إلى الإبلاغ عن الجزء الخاص بالمطابقة اليدوية، مع الإشارة إلى سبب اختيار المحتوى للبحث والإنقاذ، مقابل سبب عدم اختيار محتوى آخر (لم يستوفِ المعايير، وما إلى ذلك)، ومن جانب التنقيح يحتاج إلى تسجيل جميع المعلومات نفسها، ولكن في سياق المكان الذي تم تنقيحه، والأطر الزمنية للتنقيح، والأطر الإجمالية، ومن قام بذلك، وما تم القيام به في النهاية مع المحتوى المكتمل في تلك المرحلة.

بمجرد الانتهاء من هذا المحتوى، سيتطلب النظام الأوروبي العام لحماية البيانات حذف الملف الأصلي. إذا كانت لديك كشركة حاجة ماسة للاحتفاظ بالنسخة الأصلية، أو النسخة المنقحة، فتأكد من توثيق هذه الأسباب في تقرير منفصل، وفي أي جزء من اللائحة العامة لحماية البيانات يمكن العثور على استثناءك.

الاستنتاجات

قد تجعل هذه المقالة فكرة معالجة المحتوى الرقمي من أجل الامتثال للائحة العامة لحماية البيانات سهلة، ولكنها ليست كذلك. سيصبح الامتثال للائحة العامة لحماية البيانات في نهاية المطاف عملية متطورة. ولكن يمكنك أن تطمئن إلى أنه إذا كان لديك كميات كبيرة من المحتوى الرقمي، فستحتاج إلى برنامج للتعرف والتنقيح، ولا يمكن أن يكون هناك خطأ في هذه النقطة. نأمل أن تستبق اللوائح التنظيمية وتحصل على برنامج يجعل هذه العملية غير مؤلمة قدر الإمكان.

كن آمناً هناك!