اللائحة العامة لحماية البيانات
اللائحة العامة لحماية البيانات في سطور
تم إنشاء هذه الصفحة كمورد لتثقيف الجمهور حول العناصر الرئيسية للائحة العامة لحماية البيانات GDPRR)
يحل اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR) محل توجيه حماية البيانات 95/46 / EC ، وقد تم تصميمه لمواءمة قوانين خصوصية البيانات في جميع أنحاء أوروبا ، لحماية وتمكين خصوصية بيانات جميع مواطني الاتحاد الأوروبي وإعادة تشكيل الطريقة التي تتعامل بها المؤسسات عبر المنطقة مع خصوصية البيانات.y.
تغييرات مفتاح اللائحة العامة لحماية البيانات
نظرة عامة على التغييرات الرئيسية بموجب اللائحة العامة لحماية البيانات وكيف تختلف عن التوجيه السابق
الهدف من اللائحة العامة لحماية البيانات هو حماية جميع مواطني الاتحاد الأوروبي من انتهاكات الخصوصية والبيانات في عالم يعتمد بشكل متزايد على البيانات والذي يختلف اختلافًا كبيرًا عن الوقت الذي تم فيه وضع توجيه عام 1995. على الرغم من أن المبادئ الأساسية لخصوصية البيانات لا تزال صحيحة للتوجيه السابق ، فقد تم اقتراح العديد من التغييرات على السياسات التنظيمية ؛ يمكن الاطلاع أدناه على النقاط الرئيسية للائحة العامة لحماية البيانات (GDPR) بالإضافة إلى معلومات عن التأثيرات التي ستحدثها على الأعمال التجارية.
زيادة النطاق الإقليمي للتطبيق خارج الحدود الإقليميةy)
يمكن القول إن أكبر تغيير في المشهد التنظيمي لخصوصية البيانات يأتي مع الاختصاص الموسع للائحة العامة لحماية البيانات ، حيث ينطبق على جميع الشركات التي تعالج البيانات الشخصية لموضوعات البيانات المقيمين في الاتحاد ، بغض النظر عن موقع الشركة. في السابق ، كان التطبيق الإقليمي للتوجيه غامضًا ويشار إلى عملية البيانات "في سياق مؤسسة". نشأ هذا الموضوع في عدد من قضايا المحاكم البارزة. تجعل GPDR قابليتها للتطبيق واضحة للغاية - ستنطبق على معالجة البيانات الشخصية بواسطة وحدات التحكم والمعالجات في الاتحاد الأوروبي ، بغض النظر عما إذا كانت المعالجة تتم في الاتحاد الأوروبي أم لا. ستنطبق اللائحة العامة لحماية البيانات أيضًا على معالجة البيانات الشخصية لأصحاب البيانات في الاتحاد الأوروبي بواسطة وحدة تحكم أو معالج لم يتم تأسيسه في الاتحاد الأوروبي ، حيث تتعلق الأنشطة بما يلي: تقديم سلع أو خدمات لمواطني الاتحاد الأوروبي بغض النظر عما إذا كان الدفع مطلوبًا والمراقبة من السلوك الذي يحدث داخل الاتحاد الأوروبي. يتعين على الشركات غير التابعة للاتحاد الأوروبي التي تعالج بيانات مواطني الاتحاد الأوروبي تعيين ممثل لها في الاتحاد الأوروبي.U.
ضربات الجزاء
بموجب منظمات القانون العام لحماية البيانات (GDPR) التي تنتهك القانون العام لحماية البيانات (GDPR) ، يمكن تغريم ما يصل إلى 4 من حجم المبيعات العالمي السنوي أو 20 مليون أيهما أكبر. هذا هو الحد الأقصى للغرامة التي يمكن فرضها على أخطر الانتهاكات ، مثل عدم الحصول على موافقة كافية من العميل لمعالجة البيانات أو انتهاك جوهر مبادئ الخصوصية حسب التصميم. هناك نهج متدرج للغرامات مثل يمكن تغريم الشركة 2 لعدم امتلاكها لسجلاتها وفقًا للمادة 28 ، وعدم إخطار السلطة المشرفة وموضوع البيانات بشأن خرق أو عدم إجراء تقييم الأثر. من المهم ملاحظة أن هذه القواعد تنطبق على كل من وحدات التحكم والمعالجات - بمعنى أن "السحب" لن يتم إعفاؤها من إنفاذ القانون العام لحماية البيانات (GDPR).cement.
موافقة
تم تعزيز شروط الموافقة ، ولن تتمكن الشركات بعد الآن من استخدام شروط وأحكام طويلة غير مقروءة ومليئة بالقوانين ، حيث يجب تقديم طلب الموافقة في نموذج واضح ويمكن الوصول إليه بسهولة ، مع إرفاق الغرض من معالجة البيانات تلك الموافقة. يجب أن تكون الموافقة واضحة ومميزة عن غيرها من الأمور وأن تقدم بشكل واضح يسهل الوصول إليه ، باستخدام لغة واضحة وواضحة. يجب أن يكون سحب الموافقة سهلاً كما هو الحال عند إعطائها.
حقوق موضوع البيانات
إشعار الخرق
بموجب القانون العام لحماية البيانات (GDPR) ، سيصبح إشعار الخرق إلزاميًا في جميع الدول الأعضاء حيث من المحتمل أن يؤدي خرق البيانات إلى خطر على حقوق وحريات الأفراد. يجب أن يتم ذلك في غضون 72 ساعة من علمك بالخرق. سيُطلب من معالجي البيانات أيضًا إخطار عملائهم ، المتحكمين ، دون تأخير لا داعي له بعد أن علموا أولاً بخرق البيانات.ch.
الحق في الوصول
جزء من الحقوق الموسعة لموضوعات البيانات التي حددتها اللائحة العامة لحماية البيانات هو الحق لأصحاب البيانات في الحصول على تأكيد من وحدة التحكم في البيانات فيما إذا كانت البيانات الشخصية المتعلقة بهم تتم معالجتها أم لا ، وأين ولأي غرض. علاوة على ذلك ، يجب على وحدة التحكم تقديم نسخة من البيانات الشخصية ، مجانًا ، بتنسيق إلكتروني. هذا التغيير هو تحول كبير في شفافية البيانات وتمكين مواضيع البيانات.
الحق في النسيان
يُعرف أيضًا باسم محو البيانات ، والحق في النسيان يخول البيانات الخاضعة لمسح بياناته الشخصية ، والتوقف عن نشر المزيد من البيانات ، ومن المحتمل أن توقف أطراف ثالثة معالجة البيانات. تتضمن شروط الحذف ، كما هو موضح في المادة 17 ، البيانات التي لم تعد ذات صلة بالأغراض الأصلية للمعالجة ، أو سحب الأشخاص المعنيين للبيانات الموافقة. وتجدر الإشارة أيضًا إلى أن هذا الحق يتطلب من المراقبين مقارنة حقوق الأشخاص المعنيين بـ "المصلحة العامة في توفر البيانات" عند النظر في مثل هذه الطلبات.
قابلية نقل البيانات
يقدم القانون العام لحماية البيانات (GDPR) إمكانية نقل البيانات - وهو الحق لموضوع البيانات في تلقي البيانات الشخصية المتعلقة به ، والتي سبق أن قدمها في "تنسيق شائع الاستخدام وقابل للقراءة آليًا" وله الحق في نقل تلك البيانات إلى وحدة تحكم أخرى.
الخصوصية حسب التصميم
توجد الخصوصية حسب التصميم كمفهوم منذ سنوات حتى الآن ، لكنها أصبحت مجرد جزء من المتطلبات القانونية مع اللائحة العامة لحماية البيانات. في جوهرها ، تدعو الخصوصية حسب التصميم إلى إدراج حماية البيانات منذ بداية تصميم الأنظمة ، بدلاً من إضافة. وبشكل أكثر تحديدًا - "يجب على المراقب .. تنفيذ التدابير الفنية والتنظيمية المناسبة .. بطريقة فعالة .. من أجل تلبية متطلبات هذه اللائحة وحماية حقوق أصحاب البيانات" تدعو المادة 23 المتحكمين بالاحتفاظ بالبيانات الضرورية للغاية ومعالجتها فقط لاستكمال تقليل بيانات واجباتهم ، بالإضافة إلى قصر الوصول إلى البيانات الشخصية على أولئك الذين يحتاجون إلى إجراء المعالجة.g.
ضباط حماية البيانات
في الوقت الحالي ، يُطلب من المراقبين إخطار أنشطة معالجة البيانات الخاصة بهم مع DPAs المحلية ، والتي يمكن أن تكون ، بالنسبة للشركات متعددة الجنسيات ، بمثابة كابوس بيروقراطي مع وجود متطلبات إخطار مختلفة لدى معظم الدول الأعضاء. بموجب القانون العام لحماية البيانات (GDPR) ، لن يكون من الضروري تقديم إخطارات / تسجيلات إلى كل إدارة حماية بيانات محلية لأنشطة معالجة البيانات ، ولن يكون من الضروري إخطار / الحصول على الموافقة على عمليات النقل بناءً على بنود العقد النموذجية MCCs. بدلاً من ذلك ، ستكون هناك متطلبات حفظ السجلات الداخلية ، كما هو موضح بمزيد من التفصيل أدناه ، وسيكون تعيين مسؤول حماية البيانات إلزاميًا فقط للمراقبين والمعالجات الذين تتكون أنشطتهم الأساسية من عمليات المعالجة التي تتطلب مراقبة منتظمة ومنتظمة لموضوعات البيانات على نطاق واسع أو خاص. فئات البيانات أو البيانات المتعلقة بالإدانات الجنائية والجرائم. الأهم من ذلك ، DPO::
- يجب أن يتم تعيينه على أساس الصفات المهنية ، وعلى وجه الخصوص ، معرفة الخبراء بقوانين وممارسات حماية البيانات
- قد يكون موظفًا أو مزود خدمة خارجيًا
- يجب تقديم تفاصيل الاتصال إلى إدارة الشؤون السياسية ذات الصلة
- يجب تزويدهم بالموارد المناسبة لتنفيذ مهامهم والحفاظ على معارفهم المتخصصة
- يجب أن يقدم تقاريره مباشرة إلى أعلى مستوى من الإدارة
- يجب ألا يقوم بأي مهام أخرى قد ينتج عنها تضارب في المصالح.
الأسئلة الشائعة حول اللائحة العامة لحماية البيانات
الأسئلة المتداولة حول اللائحة العامة لحماية البيانات الواردة.
متى تدخل اللائحة العامة لحماية البيانات حيز التنفيذ?
تمت الموافقة على اللائحة العامة لحماية البيانات (GDPR) وتبنيها من قبل برلمان الاتحاد الأوروبي في أبريل 2016. وستدخل اللائحة حيز التنفيذ بعد فترة انتقالية مدتها عامين ، وعلى عكس التوجيه ، فإنها لا تتطلب أي تشريع تمكّن الحكومة من تمريره ؛ مما يعني أنه سيكون ساري المفعول في مايو 2018.
في ضوء "خروج بريطانيا من الاتحاد الأوروبي" غير المؤكد - أنا أمثل مراقب بيانات في المملكة المتحدة وأريد معرفة ما إذا كان ينبغي علي الاستمرار في التخطيط والإعداد للائحة العامة لحماية البيانات?
إذا قمت بمعالجة بيانات حول الأفراد في سياق بيع السلع أو الخدمات للمواطنين في دول الاتحاد الأوروبي الأخرى ، فستحتاج إلى الامتثال للقانون العام لحماية البيانات (GDPR) ، بغض النظر عما إذا كنت أنت المملكة المتحدة تحتفظ باللائحة العامة لحماية البيانات بعد خروج بريطانيا من الاتحاد الأوروبي أم لا. إذا كانت أنشطتك مقتصرة على المملكة المتحدة ، فإن الموقف بعد فترة الخروج الأولية يكون أقل وضوحًا. أشارت حكومة المملكة المتحدة إلى أنها ستنفذ آليات قانونية معادلة أو بديلة. نتوقع أن أي تشريع من هذا القبيل سيتبع إلى حد كبير اللائحة العامة لحماية البيانات ، بالنظر إلى الدعم المقدم سابقًا إلى اللائحة العامة لحماية البيانات من قبل ICO وحكومة المملكة المتحدة كمعيار فعال للخصوصية ، إلى جانب حقيقة أن اللائحة العامة لحماية البيانات توفر أساسًا واضحًا يمكن للشركات البريطانية أن تسعى إليه استمرار الوصول إلى السوق الرقمية للاتحاد الأوروبي.t.
من الذي يؤثر في اللائحة العامة لحماية البيانات?
لا ينطبق القانون العام لحماية البيانات (GDPR) فقط على المؤسسات الموجودة داخل الاتحاد الأوروبي ، ولكنه ينطبق أيضًا على المؤسسات الموجودة خارج الاتحاد الأوروبي إذا كانت تقدم سلعًا أو خدمات إلى أو تراقب سلوك موضوعات بيانات الاتحاد الأوروبي. ينطبق هذا على جميع الشركات التي تقوم بمعالجة واحتفاظ البيانات الشخصية لأصحاب البيانات المقيمين في الاتحاد الأوروبي ، بغض النظر عن موقع الشركة..
ما هي عقوبات عدم الامتثال?
يمكن تغريم المنظمات حتى 4 من حجم المبيعات العالمي السنوي لخرق الناتج المحلي الإجمالي أو 20 مليون. هذا هو الحد الأقصى للغرامة التي يمكن فرضها على أخطر الانتهاكات ، مثل عدم الحصول على موافقة كافية من العميل لمعالجة البيانات أو انتهاك جوهر مبادئ الخصوصية حسب التصميم. هناك نهج متدرج للغرامات مثل يمكن تغريم الشركة 2 لعدم امتلاكها لسجلاتها وفقًا للمادة 28 ، وعدم إخطار السلطة المشرفة وموضوع البيانات بشأن خرق أو عدم إجراء تقييم الأثر. من المهم ملاحظة أن هذه القواعد تنطبق على كل من وحدات التحكم والمعالجات - بمعنى أن "السحب" لن يتم إعفاؤها من إنفاذ القانون العام لحماية البيانات (GDPR).ment.
ما الذي يشكل البيانات الشخصية?
أي معلومات تتعلق بشخص طبيعي أو موضوع بيانات يمكن استخدامها لتحديد هوية الشخص بشكل مباشر أو غير مباشر. يمكن أن يكون أي شيء من اسم أو صورة أو عنوان بريد إلكتروني أو تفاصيل بنكية أو منشورات على مواقع الشبكات الاجتماعية أو معلومات طبية أو عنوان IP لجهاز الكمبيوتر.s.
ما هو الفرق بين معالج البيانات ووحدة التحكم في البيانات?
المتحكم هو الكيان الذي يحدد أغراض وشروط ووسائل معالجة البيانات الشخصية ، بينما المعالج هو كيان يعالج البيانات الشخصية نيابة عن المتحكم.
هل يحتاج معالجي البيانات إلى موافقة موضوع بيانات "صريحة" أو "لا لبس فيها" - وما الفرق?
تم تعزيز شروط الموافقة ، حيث لن تتمكن الشركات بعد الآن من استخدام شروط وأحكام طويلة غير مقروءة ومليئة بالقوانين ، حيث يجب تقديم طلب الموافقة في نموذج واضح ويمكن الوصول إليه بسهولة ، مع إرفاق الغرض من معالجة البيانات هذه الموافقة - بمعنى أنها يجب أن تكون واضحة. يجب أن تكون الموافقة واضحة ومميزة عن غيرها من الأمور وأن تقدم بشكل واضح يسهل الوصول إليه ، باستخدام لغة واضحة وواضحة. يجب أن يكون سحب الموافقة سهلاً كما هو الحال عند إعطائها. الموافقة الصريحة مطلوبة فقط لمعالجة البيانات الشخصية الحساسة - في هذا السياق ، لن يكفي أي شيء أقل من الاشتراك. ومع ذلك ، بالنسبة للبيانات غير الحساسة ، ستكون الموافقة الواضحة كافية.fice.
ماذا عن موضوعات البيانات تحت سن 16?
ستكون موافقة الوالدين مطلوبة لمعالجة البيانات الشخصية للأطفال دون سن 16 عامًا للخدمات عبر الإنترنت ؛ يجوز للدول الأعضاء سن التشريع لسن أقل للموافقة ولكن لن يكون هذا أقل من سن 13.
ما هو الفرق بين التنظيم والتوجيه?
التنظيم هو قانون تشريعي ملزم. يجب تطبيقه بالكامل في جميع أنحاء الاتحاد الأوروبي ، في حين أن التوجيه هو قانون تشريعي يحدد هدفًا يجب على جميع دول الاتحاد الأوروبي تحقيقه. ومع ذلك ، فإن الأمر متروك للدول الفردية لتقرر كيف. من المهم ملاحظة أن اللائحة العامة لحماية البيانات هي لائحة تنظيمية ، على عكس التشريع السابق ، وهو توجيه.
هل يحتاج عملي إلى تعيين مسؤول حماية البيانات DPOO)?
يجب تعيين منظمات الأشخاص ذوي الإعاقة في حالة: السلطات العامة ، ب المنظمات التي تشارك في مراقبة منهجية واسعة النطاق ، أو ج المنظمات التي تشارك في معالجة واسعة النطاق للبيانات الشخصية الحساسة الفن. 37. إذا كانت مؤسستك لا تندرج ضمن إحدى هذه الفئات ، فأنت لست بحاجة إلى تعيين مسؤول حماية (DPO).nt a DPO.
كيف تؤثر اللائحة العامة لحماية البيانات على السياسة المحيطة بانتهاكات البيانات?
تتعلق اللوائح المقترحة المحيطة بانتهاكات البيانات في المقام الأول بسياسات الإخطار للشركات التي تم انتهاكها. يجب إخطار إدارة الشؤون السياسية (DPA) بانتهاكات البيانات التي قد تشكل خطرًا على الأفراد في غضون 72 ساعة والأفراد المتضررين دون تأخير غير مبرر.
هل ستنشئ اللائحة العامة لحماية البيانات (GDPR) متجرًا شاملاً لتنظيم خصوصية البيانات?
المناقشات حول مبدأ النافذة الواحدة هي من بين أكثر المناقشات جدلاً ولا تزال غير واضحة لأن المواقف الدائمة متنوعة للغاية. يحتوي نص اللجنة على حكم بسيط وموجز إلى حد ما لصالح المبدأ ، كما يروج البرلمان لقيادة DPA ويضيف مزيدًا من المشاركة من DPAs الأخرى المعنية ، وترى المجالس انخفاض قدرة DPA الرئيسية بشكل أكبر..
الموضوعات المثيرة للجدل
نظرة عامة على الموضوعات المثيرة للجدل التي من المحتمل مناقشتها خلال المفاوضات الثلاثية ، بما في ذلك موقف كل هيئة من هيئات الاتحاد الأوروبي من المسودات المعتمدة لكل منها من اللائحة العامة لحماية البيانات.
العديد من النقاط الرئيسية للائحة واضحة وموثقة بالمثل عبر المسودات الثلاثة الحالية ، ولكن لا تزال هناك حاجة إلى العديد من التفاصيل ، وتأتي بعض النقاط مع تنوع كافٍ لضمان المقارنة الخاصة بها بين المسودات. يوجد أدناه تحليل للموضوعات التي من المحتمل أن تكون موضوع الكثير من النقاش أثناء عملية التفاوض الثلاثية.
قابلية نقل البيانات
الحق في نقل البيانات له المادة 18 الخاصة به في وثائق اقتراح الهيئة والمجلس ، ولكنه جزء من الحق في الوصول إلى المادة 15 في نص البرلمان. الاقتباسات ذات الصلة من كل مشروع هي كما يلي:ows:
نص العمولة:
عندما يكون موضوع البيانات قد قدم البيانات الشخصية وتعتمد المعالجة على الموافقة أو على عقد ، يحق لصاحب البيانات نقل تلك البيانات الشخصية وأي معلومات أخرى يقدمها موضوع البيانات ويحتفظ بها نظام معالجة آلي ، إلى نموذج آخر ، بتنسيق إلكتروني شائع الاستخدام ، دون عائق من المتحكم الذي يتم سحب البيانات الشخصية منه.
نص البرلمان:
عندما يقدم موضوع البيانات البيانات الشخصية حيث تتم معالجة البيانات الشخصية بالوسائل الإلكترونية ، يكون لصاحب البيانات الحق في الحصول من المتحكم على نسخة من البيانات الشخصية المقدمة بتنسيق إلكتروني وقابل للتشغيل البيني والذي يشيع استخدامه ويسمح لمزيد من الاستخدام من قبل صاحب البيانات دون عائق من المتحكم الذي يتم سحب البيانات الشخصية منه. حيثما كان ذلك ممكنًا ومتاحًا تقنيًا ، يجب نقل البيانات مباشرة من وحدة تحكم إلى وحدة تحكم بناءً على طلب صاحب البيانات.
نص المجلس:
لا ينطبق الحق في إمكانية نقل البيانات إذا كان الكشف عن البيانات الشخصية ينتهك حقوق الملكية الفكرية فيما يتعلق بمعالجة تلك البيانات الشخصية. يحق لصاحب البيانات تلقي البيانات الشخصية المتعلقة به أو بها ، والتي قدمها إلى مراقب ، بتنسيق منظم وشائع الاستخدام ويمكن قراءته آليًا.t.
من المهم ملاحظة أن جميع النصوص تنطبق فقط على إمكانية النقل على البيانات المقدمة من صاحب البيانات ، وأن نصوص اللجنة والمجلس تنطبق فقط على البيانات التي تتم معالجتها بناءً على الموافقة أو العقد ، مع استبعاد البيانات الشخصية التي تتم معالجتها بوسائل قانونية أخرى. تأتي الاختلافات الأكثر أهمية في تحذير البرلمانات من طلب النقل المباشر فقط حيثما كان ذلك ممكنًا تقنيًا ومتاحًا بالإضافة إلى إضافة المجالس للحاجة إلى أن تكون البيانات قابلة للقراءة آليًا وكذلك استبعاد البيانات التي من شأنها انتهاك حقوق الملكية الفكرية إذا تم الكشف عنها. ترى المخاوف السائدة الناشئة عن مؤيدي إمكانية نقل البيانات أن نص البرلمانات يمثل عائقًا محتملاً للفعالية الكلية إذا كانت الشركات ببساطة غير راغبة في تحسين تقنيتها من أجل الامتثال. من ناحية أخرى ، يشعر منتقدو الفكرة بالقلق من أن فرض قابلية نقل البيانات بمثل هذا النطاق الواسع سيؤدي إلى تكلفة وجهد غير متناسبين في الصناعات التي لا يحبس المستهلك فيها.ck-in.”
محطة واحدة
نظرًا لأن أحد الدوافع الرئيسية وراء إنشاء لائحة جديدة كان تنسيق قوانين حماية البيانات في جميع أنحاء أوروبا ، فإن مبدأ النافذة الواحدة يبدو كإضافة معقولة. ومع ذلك ، فإن المبدأ ليس بسيطًا من الناحية العملية كما يمكن أن يظهر على الورق ، وقد تم تعديل اقتراح اللجنة الأصلي بشكل كبير من خلال عمليات اعتماد اللائحة العامة لحماية البيانات اللاحقة.
الاقتراح المقدم من اللجنة في المادة 15 هو إلى حد بعيد النهج الأبسط والأكثر عمومية: حيث تتم معالجة البيانات الشخصية في سياق أنشطة إنشاء وحدة تحكم أو معالج في الاتحاد ، ووحدة التحكم أو المعالج تم تأسيسها في أكثر من دولة عضو ، يجب أن تكون السلطة الإشرافية للمؤسسة الرئيسية لوحدة التحكم أو المعالج مختصة بالإشراف على أنشطة المعالجة لوحدة التحكم أو المعالج في جميع الدول الأعضاء..”
تولى البرلمان قضية الانتهاك المحتمل لحقوق موضوع البيانات عندما لا يتمكنون من تقديم شكوى بسهولة إلى إدارة الشؤون السياسية المختصة ، على سبيل المثال ، إذا كان الاتصال صعبًا بسبب اللغة أو الوسائل المالية. في المادة 54 أ من نصه المعتمد ، لا يزال البرلمان يعتمد على إدارة الشؤون السياسية الرئيسية لتوزيع سبل الانتصاف القانونية ، لكنه يتطلب تعاون جميع هيئات تسوية المنازعات المعنية. سيتم أيضًا زيادة مبلغ DPA المعني بشكل كبير حيث تمت إضافة مخصص لموضوعات البيانات لتقديم شكاوى مع DPA المحلي الخاص بهم من أجل العمل بعد ذلك مع DPA الرئيسي نيابة عن موضوع البيانات. أخيرًا ، يتم زيادة دور مجلس حماية البيانات في قدرته على اتخاذ القرار في حالة وجود DPA رئيسي غير واضح وقراره النهائي في حالة الاحتجاج بآلية الاتساق.
يمكن القول إن المجلس لديه أكثر نسخة مخففة من متجر شامل في نهجه العام المعتمد. إنه يوفر لكل إدارة حماية بيانات (DPA) الاختصاص لفرض القانون العام لحماية البيانات (GDPR) في حالتها الخاصة ، وتتطلب من إدارة الشؤون السياسية (DPA) التشاور مع جميع المعلومات ومشاركتها مع كل إدارة حماية بيانات معنية. كما يسمح لأي إدارة حماية بيانات معنية بإحالة حالة إلى مجلس حماية البيانات إذا شعرت أن إدارة حماية البيانات الرئيسية لم تأخذ رأيها في الاعتبار. بشكل عام ، يزيد هذا من مقدار الروتين المتضمن إلى نقطة تتجاوز النية الأولية لمبدأ النافذة الواحدة ويسمح بإمكانية الإحالات المتقلبة التي تقوض سلطة إدارة الشؤون السياسية الرئيسية وربما تضع ضغطًا على حماية البيانات مجلس الإدارة ، الذي تم إنشاؤه بموجب اللائحة العامة لحماية البيانات (GDPR) ولكن لم يتم تخصيص أي تمويل أو بنية أساسية محددة.ure.
الجدل الدائر في جميع أنحاء مبدأ النافذة الواحدة هو الموازنة بين الحد من الروتين من خلال مواءمة قوانين حماية البيانات في جميع أنحاء أوروبا وضمان حقوق الأشخاص المعنيين بالبيانات من خلال توفرهم للإنصاف القانوني مع إدارة حماية البيانات المناسبة.
ضباط حماية البيانات
إن تعيين مسؤول حماية البيانات DPO ، الذي تمت تغطيته في المادة 35 ، له وجهات نظر متشابهة إلى حد ما تأتي من كل من المفوضية والبرلمان. يوافقون على أن مسؤول حماية البيانات إلزامي أينما تتم معالجة البيانات بواسطة سلطة عامة أو مراقب أو معالج في الشركة تتكون أنشطته الأساسية من عمليات المعالجة التي تتطلب مراقبة منتظمة ومنتظمة لموضوعات البيانات. يتفقون أيضًا على أن الشركات التي تتجاوز عتبات معينة يجب أن يتم تفويضها بتعيين مسؤول حماية البيانات ، ومع ذلك فهي تختلف في المقياس الدقيق. أخيرًا ، يضيف البرلمان أن مسؤول حماية البيانات يجب أن يكون إلزاميًا لجميع المؤسسات التي تعالج "فئات خاصة" من البيانات ، بما في ذلك المعلومات مثل البيانات الصحية أو المعتقدات الدينية والسياسية. يتطلب نص المفوضية أي مؤسسة تزيد عن 250 موظفًا ، بينما يدعو نص البرلمان أولئك الذين يعالجون البيانات الشخصية لأكثر من 5000 موضوع بيانات في أي فترة 12 شهرًا. لا يفوض المجلس تعيين مسؤول حماية البيانات ما لم يكن ذلك مطلوبًا بموجب قانون الاتحاد الأوروبي أو قانون الدول الأعضاء. كان لأعضائها أنفسهم وجهات نظر متباينة أثناء المناقشة قبل إصدار النهج العام ، لذلك سيكون من المثير للاهتمام أن نرى مدى قسوة المجلس الذي يناضل من أجل التخفيف من التعيينات DPO ضد كلا السلطتين الأخريين اللذان يبدو أنهما يشغلان مناصب مماثلة.ons.