د معلوماتو شریکول د عصري سوداګرۍ ژوند دی. که تاسو د نوي کلاوډ چمتو کونکي سره یوځای کیږئ، د بازار موندنې ادارې سره همکاري کوئ، یا د دریمې ډلې HR سیسټم مدغم کوئ، شخصي معلومات په دوامداره توګه د سازمانونو ترمنځ جریان لري. مګر دلته نا آرامه حقیقت دی: ډیری سوداګرۍ هغه قانوني ماین ساحه کمه ارزوي چې د معلوماتو شریکول د عمومي معلوماتو ساتنې مقرراتو (GDPR) لاندې استازیتوب کوي.

خطرونه ریښتیني دي. جریمې کولی شي €20 ملیون یا د نړیوال کلني عاید 4٪ ته ورسیږي - هر هغه چې لوړ وي. د مالي جریمو هاخوا، تاسو د اغیزمنو اشخاصو څخه د شهرت زیان، تنظیمي تفتیش، او مدني مسؤلیت ادعاوو خطر لرئ. د هالنډ د معلوماتو ساتنې ادارې (Autoriteit Persoonsgegevens، یا AP) دا روښانه کړې ده: ناپوهي دفاع نه ده.

دا مقاله تاسو ته د اوو مهمو GDPR خطرونو په اړه لارښوونه کوي چې د شخصي معلوماتو شریکولو پرمهال رامینځته کیږي. هر خطر د GDPR ځانګړو احکامو پورې اړه لري، د حقیقي نړۍ پایلو سره ښودل شوی، او د عملي لارښوونو سره یوځای شوی ترڅو تاسو سره د اطاعت کولو کې مرسته وکړي. که تاسو د سوداګرۍ مالک یاست، د اطاعت افسر یاست، یا قانوني مسلکي یاست چې په هالنډ کې فعالیت کوئ، د دې خطرونو پوهیدل اړین دي.

۱. د اعتبار وړ قانوني اساس پرته د معلوماتو شریکول (د GDPR ۶ ماده)

خطر: تاسو نشئ کولی شخصي معلومات یوازې د دې لپاره شریک کړئ چې دا اسانه یا ګټور وي. د معلوماتو شریکولو هره بیلګه د GDPR د 6 مادې لاندې یو معتبر قانوني اساس ته اړتیا لري.

ولې شرکتونه غلط کار کوي: ډیری سازمانونه فکر کوي چې د معلوماتو شریکولو لپاره سوداګریز دلیل درلودل کافي دي. دا نه ده. GDPR د پروسس کولو لپاره شپږ قانوني اساسات چمتو کوي: رضایت، قراردادي اړتیا، قانوني مکلفیت، حیاتي ګټې، عامه دنده، او مشروع ګټې. هر یو ځانګړي اړتیاوې او محدودیتونه لري.

د مثال په توګه، "مشروع ګټې" ډیری وختونه د شریکانو یا خدماتو چمتو کونکو سره د معلوماتو شریکولو توجیه کولو لپاره کارول کیږي. مګر دا اساس د احتیاط توازن ازموینې ته اړتیا لري: ستاسو ګټې باید د هغو اشخاصو حقونه او آزادۍ له پامه ونه غورځوي چې تاسو یې معلومات پروسس کوئ. او تاسو باید دا ارزونه مستند کړئ.

قانوني اساس: د GDPR شپږمه ماده د قانوني اساساتو بشپړ لیست وړاندې کوي. د GDPR پنځمه ماده (1) (a) حکم کوي چې ټول پروسس قانوني، عادلانه او شفاف وي.

حقیقي نړۍ پایله: AP هغو سازمانونو ته جریمې ورکړې دي چې د مناسب قانوني اساس پرته د بازار موندنې موخو لپاره د دریمې ډلې سره د پیرودونکو معلومات شریک کړي دي. حتی که معلومات بې نومه یا راټول شوي وي، که بیا پیژندنه ممکنه وي، دا شخصي معلومات پاتې کیږي او قانوني اساس ته اړتیا لري.

عملي لاره: د هر ډول شخصي معلوماتو شریکولو دمخه، وپیژنئ او مستند کړئ چې کوم قانوني اساس پلي کیږي. که چیرې په مشروع ګټو تکیه کوئ، نو د مشروع ګټو ارزونه (LIA) ترسره کړئ او ثبت کړئ. که چیرې رضایت وکاروئ، ډاډ ترلاسه کړئ چې دا په آزاده توګه ورکړل شوی، مشخص، باخبره او غیر واضح دی.

۲. د رولونو په اړه مغشوشیت: کنټرولر د پروسسر په وړاندې (ماده ۴(۷)-(۸) GDPR)

خطر: GDPR د کنټرولرانو (چې د پروسس کولو موخې او وسیلې ټاکي) او پروسس کونکو (چې د کنټرولر په استازیتوب معلومات پروسس کوي) ترمنځ توپیر کوي. ستاسو د رول غلط پیژندل - یا ستاسو د ملګري - د اطاعت جدي تشې رامینځته کوي.

ولې شرکتونه غلط کار کوي: په عمل کې، رولونه مبهم کیدی شي. که تاسو د SaaS چمتو کونکي سره معلومات شریک کړئ، ایا دوی کنټرولر دي یا پروسسر؟ که چیرې دوی ستاسو معلومات د خپل الګوریتم ښه کولو لپاره وکاروي نو څه به وي؟ ډیری سوداګرۍ د اړیکو په سمه توګه تحلیل کولو پرته هر پلورونکي ته "پروسیسر" ویلو ته ډیفالټ کوي.

غلط طبقه بندي مهمه ده ځکه چې کنټرولران او پروسس کوونکي مختلف مکلفیتونه لري. کنټرولران باید ډاډ ترلاسه کړي چې پروسس کوونکي د اطاعت کافي تضمینونه چمتو کوي (د GDPR 28 ماده). ګډ کنټرولران باید په خپلو اړوندو مسؤلیتونو موافق وي (د GDPR 26 ماده). دا غلط کړئ، او تاسو ممکن د هغو سرغړونو لپاره مسؤل وګڼل شئ چې تاسو حتی نه پوهیدل چې پیښیږي.

قانوني اساس: د GDPR ۴(۷) او (۸) مادې "کنټرولر" او "پروسیسر" تعریفوي. د GDPR ۲۴ ماده د کنټرولر د حساب ورکولو مکلفیتونه بیانوي.

حقیقي نړۍ پایله: د اروپا د عدالت محکمې په د فیشن ID (C-40/17) چې حتی د اهدافو جزوي ټاکل کولی شي تاسو ګډ کنټرولر کړي. دا پدې مانا ده چې تاسو کولی شئ د GDPR سرغړونو لپاره په ګډه مسؤل وګڼل شئ، حتی که بل اړخ یې لامل شوی وي.

عملي لاره: د معلوماتو جریان نقشه کړئ او معلومه کړئ چې څوک پریکړه کوي ولې او څنګه معلومات پروسس کیږي. دا په لیکلي بڼه مستند کړئ او ډاډ ترلاسه کړئ چې هر اړخ خپل رول او مکلفیتونه پوهیږي.

۳. د معلوماتو د پروسس کولو د تړون ورک یا ناکافي والی (د GDPR ۲۸ ماده)

خطر: که تاسو د خپل استازیتوب لپاره د شخصي معلوماتو د پروسس کولو لپاره یو پروسسر استخدام کوئ، نو تاسو په قانوني توګه د معلوماتو د پروسس کولو لیکلي تړون (DPA) ته اړتیا لرئ. هیڅ استثنا نشته.

ولې شرکتونه غلط کار کوي: دا زړه راښکونکې ده چې د کاغذ کار پریښودل شي، په ځانګړې توګه د باور وړ یا اوږدمهاله شریکانو سره. مګر د مطابقت لرونکي DPA پرته، تاسو د لومړۍ ورځې څخه د GDPR 28 مادې سرغړونه کوئ - حتی که هیڅ حقیقي زیان ونه رسیږي.

یو مناسب DPA باید ځانګړي اجباري مادې ولري: د پروسس کولو موضوع او موده، د پروسس کولو ماهیت او هدف، د شخصي معلوماتو ډول، د معلوماتو موضوعاتو کټګورۍ، او د کنټرولر مکلفیتونه او حقونه. دا باید فرعي پروسس کول، د معلوماتو امنیت، او د سرغړونې خبرتیا هم په ګوته کړي.

قانوني اساس: د GDPR ۲۸(۳) ماده د DPA لازمي محتوا لیست کوي. د GDPR ۲۸(۴) ماده د فرعي پروسس کونکو لپاره واضح واک ته اړتیا لري.

حقیقي نړۍ پایله: AP سازمانونه د کافي DPA پرته د پروسس کونکو سره د ښکیلتیا لپاره مجازات کړي دي. حتی که پروسسر پخپله اطاعت وکړي، کنټرولر بیا هم د مناسب تړون نه کولو له امله جریمه کیدی شي.

عملي لاره: د معیاري DPA ټیمپلیټ څخه کار واخلئ چې د 28(3) مادې ټولې اړتیاوې پوښي. موجوده تړونونه بیاکتنه وکړئ ترڅو ډاډ ترلاسه شي چې دوی د GDPR سره مطابقت لري. د لاسلیک شوي DPA پرته هیڅ نوی پروسسر مه شاملوئ.

4. د EEA څخه بهر دریم هیوادونو ته غیرقانوني لیږد (مادې 44-49 GDPR او Schrems II)

خطر: د اروپايي اقتصادي سیمې (EEA) څخه بهر د شخصي معلوماتو لیږدول خورا محدود دي. تاسو دا یوازې هغه وخت کولی شئ که چیرې د منزل هیواد مناسبه کچه محافظت چمتو کړي — یا که تاسو مناسب محافظتونه پلي کړئ.

ولې شرکتونه غلط کار کوي: ډیری سوداګرۍ د کلاوډ خدماتو، د تادیې پروسس کونکو، یا تحلیلي وسیلو څخه کار اخلي چې په متحده ایالاتو یا آسیا کې کوربه شوي دي پرته لدې چې پوه شي چې دوی د نړیوال لیږد قوانین رامینځته کوي. حتی که ستاسو قرارداد د EU ادارې سره وي، که چیرې معلومات د EEA څخه بهر زیرمه شوي یا لاسرسی ولري، د لیږد قوانین پلي کیږي.

د Schrems II قضاوت (قضیه C-311/18) د EU-US د محرمیت ډال باطل کړ او دا یې تقویه کړه چې یوازې معیاري قراردادي مادې (SCCs) کافي ندي. تاسو باید د لیږد اغیزې ارزونه (TIA) هم ترسره کړئ ترڅو ارزونه وکړئ چې ایا د منزل هیواد قوانین د SCCs لخوا تضمین شوي محافظت ته زیان رسوي.

قانوني اساس: د GDPR ۴۴-۴۹ مادې نړیوال لیږدونه اداره کوي. پنځم فصل GDPR د کافي پریکړو (۴۵ ماده) یا مناسب محافظت (۴۶ ماده) ته اړتیا لري، لکه SCCs.

حقیقي نړۍ پایله: که چیرې مناسب محافظتي تدابیر شتون ونلري، AP کولی شي تاسو ته امر وکړي چې دریم هیوادونو ته د معلوماتو لیږد وځنډوئ یا بند کړئ. شرکتونه د TIA وروسته ترسره کولو پرته متحده ایالاتو ته د معلوماتو لیږدولو له امله د پلي کولو عمل او شهرت ته زیان سره مخ شوي دي.Schrems II.

عملي لاره: ستاسو د معلوماتو په جریان کې ټول دریم هیواد لیږدونه وپیژنئ. وګورئ چې ایا د کافي والي پریکړه شتون لري. که نه، SCCs پلي کړئ او TIA ترسره کړئ. که اړتیا وي نو اضافي اقدامات مستند کړئ (د بیلګې په توګه، کوډ کول، تخلص).

۵. د معلوماتو د ساتنې د اغیزې ارزونې په ترسره کولو کې پاتې راتلل (د GDPR ۳۵ ماده)

خطر: د معلوماتو د ساتنې د اغیزې ارزونه (DPIA) هغه وخت لازمي ده کله چې د معلوماتو شریکول د افرادو حقونو او آزادیو ته د لوړ خطر لامل شي. پدې کې د معلوماتو د ځانګړو کټګوریو په لویه کچه پروسس کول، سیستماتیک څارنه، یا د نوي ټیکنالوژیو کارول شامل دي.

ولې شرکتونه غلط کار کوي: ډیری سازمانونه DPIAs د اختیاري یا یوازې د "لویو" پروژو لپاره اړونده ګڼي. په حقیقت کې، د دریمې ډلې تحلیلي پلیټ فارم سره د روغتیا معلوماتو شریکول، د AI لخوا پرمخ وړل شوي پروفایل کولو وسیلو ځای په ځای کول، یا د ډیری سرچینو څخه د ډیټاسیټونو یوځای کول ټول کولی شي د DPIA اړتیا رامینځته کړي.

DPIA یوازې د بکس ټک کولو تمرین نه دی. دا د خطرونو پیژندلو، د هغوی شدت ارزولو، او د هغوی د کمولو لپاره د اقداماتو ټاکلو لپاره یو منظم پروسه ده. که چیرې پاتې خطرونه لوړ پاتې شي، نو تاسو باید د پرمختګ دمخه د AP سره مشوره وکړئ.

قانوني اساس: د GDPR ۳۵ ماده DPIAs ته د لوړ خطر پروسس کولو امر کوي. AP د دې په اړه لارښوونې خپرې کړې چې کله DPIA ته اړتیا وي.

حقیقي نړۍ پایله: د اړتیا په وخت کې د DPIA ترسره کولو کې پاتې راتلل پخپله د GDPR سرغړونه ده. AP سازمانونه د DPIA بشپړولو پرته د لوړ خطر معلوماتو شریکولو سره د پرمختګ لپاره جریمه کړي دي، حتی کله چې هیڅ ریښتینی معلومات سرغړونه نه وه شوې.

عملي لاره: د DPIA محرکاتو لپاره د معلوماتو شریکولو ټول فعالیتونه وڅارئ. کله چې شک وي، یو ترسره کړئ. خپل د معلوماتو ساتنې افسر (DPO) سره یوځای کړئ او د ارزونې پروسه په بشپړه توګه مستند کړئ.

۶. د معلوماتو موضوعاتو ته ناکافي معلومات (د GDPR ۱۳ او ۱۴ مادې)

خطر: شفافیت د GDPR بنسټ دی. هرکله چې تاسو شخصي معلومات راټولوئ یا شریکوئ، تاسو باید د معلوماتو موضوعګانو ته خبر ورکړئ چې څوک به د دوی معلومات ترلاسه کړي، د کوم هدف لپاره، او په کوم قانوني اساس.

ولې شرکتونه غلط کار کوي: د محرمیت خبرتیاوې اکثرا مبهم یا زاړه وي. د "موږ ممکن ستاسو معلومات د باوري شریکانو سره شریک کړو" په څیر جملې دا کار نه کوي. تاسو باید د ترلاسه کونکو کټګورۍ مشخص کړئ (د مثال په توګه، "د کلاوډ کوربه توب چمتو کونکي،" "بازار موندنې ادارې") او، چیرې چې اړونده وي، د هغوی نومونه واخلئ.

کله چې معلومات په غیر مستقیم ډول ترلاسه شي - د بیلګې په توګه، د معلوماتو بروکر یا بل کنټرولر څخه - د GDPR ۱۴ ماده د معلوماتو اضافي مکلفیتونه وضع کوي، په شمول د معلوماتو سرچینه.

قانوني اساس: د GDPR ۱۳ او ۱۴ مادې هغه معلومات لیست کوي چې باید د معلوماتو موضوعاتو ته چمتو شي. د 5(1)(a) مادې GDPR په ټولو پروسس فعالیتونو کې شفافیت ته اړتیا لري.

حقیقي نړۍ پایله: AP شرکتونو ته د دې لپاره بندیزونه لګولي دي چې اشخاصو ته یې د دې خبر ورکولو کې پاتې راغلي چې د دوی معلومات د دریمې ډلې سره شریک شوي دي. حتی که شریکول پخپله قانوني وي، ناکافي شفافیت یو خپلواک سرغړونه ده.

عملي لاره: د معلوماتو شریکولو طریقې په واضح ډول تشریح کولو لپاره خپل د محرمیت خبرتیاوې بیاکتنه او تازه کړئ. ډاډ ترلاسه کړئ چې خبرتیاوې په اسانۍ سره د لاسرسي وړ او په ساده ژبه لیکل شوي دي. کله چې د نوي شریکانو سره معلومات شریکوئ، د شریکولو پیل کولو دمخه خپل خبرتیاوې تازه کړئ.

۷. د امنیت د غلط احساس په توګه مستعار نوم اخیستل

خطر: د امنیتي اقدام په توګه، د GDPR لاندې د مستعار نومونو کارول - د مستقیم پیژندونکو ځای په ځای کول د کوډونو یا ټوکنونو سره - هڅول کیږي. مګر دا معلومات بې نومه نه کوي. که چیرې معلومات لاهم د یو فرد سره وصل شي، نو دا شخصي معلومات پاتې کیږي او د GDPR بشپړ ساحې تابع دي.

ولې شرکتونه غلط کار کوي: سوداګرۍ ډیری وخت داسې انګیري چې د مستعار نوم معلومات د محدودیتونو پرته شریکول "خوندي" دي. په عمل کې، مستعار نوم یوازې خطر کموي؛ دا یې له منځه نه وړي. که تاسو مستعار نوم معلومات د یو ملګري سره شریک کړئ چې کیلي یا نورو ډیټاسیټونو ته لاسرسی لري چې بیا پیژندنه فعالوي، تاسو لاهم شخصي معلومات پروسس کوئ.

قانوني اساس: د GDPR ۴(۵) ماده مستعار نوم تعریفوي. د GDPR ۲۶ تلاوت روښانه کوي چې مستعار نوم معلومات شخصي معلومات پاتې کیږي تر هغه چې دا په ریښتیا بې نومه نه وي (یعنې، بیا پیژندنه نور د کوم معقول وسیلې له لارې ممکنه نه ده).

حقیقي نړۍ پایله: AP په لارښوونو کې روښانه کړې چې مستعار نوم د "له زندان څخه د خلاصون" کارت نه دی. که چیرې بیا پیژندنه ممکنه وي، د GDPR ټول مکلفیتونه پلي کیږي، پشمول د قانوني اساس درلودل، د DPIA ترسره کول، او د کافي امنیت ډاډمن کول.

عملي لاره: د تخلص شوي معلوماتو سره د شخصي معلوماتو په توګه چلند وکړئ پرته لدې چې تاسو د متخصصینو لخوا تایید شوي سخت بې نومه کولو پروسې څخه تیر شوي یاست. د بیا پیژندنې مخنیوي لپاره د تخنیکي او سازماني اقداماتو مستند کول.

پوښتل شوې پوښتنې

د GDPR لاندې د معلوماتو شریکول کله اجازه لري؟

د معلوماتو شریکول یوازې هغه وخت قانوني دي که تاسو د GDPR د 6 مادې لاندې یو معتبر قانوني اساس ولرئ. شپږ قانوني اساسات دا دي: رضایت، د قرارداد اړتیا، قانوني مکلفیت، حیاتي ګټې، عامه دنده، او مشروع ګټې. تاسو باید د قانونيت، انصاف، شفافیت، هدف محدودیت، د معلوماتو کمولو، دقت، د ذخیره کولو محدودیت، بشپړتیا، او محرمیت اصولو سره هم سمون ولرئ (GDPR 5 ماده). په عمل کې، دا پدې مانا ده چې په واضح ډول مستند کړئ چې تاسو ولې معلومات شریک کوئ، ډاډ ترلاسه کړئ چې هدف د دې سره سمون لري چې تاسو ولې په اصل کې راټول کړي، او د معلوماتو موضوعاتو ته د شریکولو په اړه معلومات ورکړئ.

د کنټرولر او پروسیسر ترمنځ څه توپیر دی؟

A کنټرولر د شخصي معلوماتو د پروسس کولو موخې او لارې ټاکي. الف پروسيسر د کنټرولر په استازیتوب معلومات د ځانګړو لارښوونو لاندې پروسس کوي. دا توپیر مهم دی ځکه چې کنټرولران په عمده توګه د GDPR اطاعت مسؤلیت لري، پداسې حال کې چې پروسس کونکي ډیر محدود مکلفیتونه لري (په عمده توګه د امنیت او محرمیت ډاډمن کول). که تاسو معلومات د یو عرضه کونکي سره شریک کوئ چې دا ستاسو په لارښوونو پروسس کوي - د مثال په توګه، د معاشاتو چمتو کونکی یا د کلاوډ ذخیره کولو خدمت - دوی معمولا یو پروسسر دي. که دوی دا هم پریکړه وکړي چې څنګه معلومات د خپلو موخو لپاره وکاروي، دوی ممکن یو (ګډ) کنټرولر وي. د رولونو غلط پیژندنه کولی شي د حساب ورکولو او د سرغړونو لپاره ګډ مسؤلیت کې تشې رامینځته کړي.

د معلوماتو پروسس کولو تړون (DPA) کله لازمي دی؟

کله چې تاسو د خپل استازیتوب لپاره د شخصي معلوماتو د اداره کولو لپاره پروسیسر استخدام کوئ نو DPA لازمي دی (د GDPR ۲۸ ماده). دا ستاسو د سازمان د اندازې یا د معلوماتو د حجم په پام کې نیولو پرته پلي کیږي. DPA باید په لیکلي بڼه وي او ځانګړي لازمي مادې ولري، لکه د پروسس کولو موضوع او موده، ماهیت او هدف، د معلوماتو ډولونه او د معلوماتو د موضوعاتو کټګورۍ، او د امنیت، د سرغړونې خبرتیا، او فرعي پروسس کولو په اړه د دواړو خواوو مکلفیتونه. د مطابقت لرونکي DPA پرته، تاسو له هغه شیبې څخه په سرغړونې کې یاست چې پروسیسر پروسس پیل کوي، حتی که هیڅ زیان ونه رسیږي.

ایا زه کولی شم د پیرودونکو معلومات د اروپايي اتحادیې څخه بهر د یوې ډلې سره شریک کړم؟

هو، خو یوازې هغه وخت چې سخت شرایط پوره شي. د GDPR د 44-49 مادو لاندې، تاسو کولی شئ معلومات دریم هیواد ته انتقال کړئ که چیرې: (a) اروپایي کمیسیون د هغه هیواد لپاره د کافي والي پریکړه صادره کړې وي، یا (b) تاسو مناسب محافظتونه ځای په ځای کړي وي، لکه معیاري قراردادي مادې (SCCs). د لاندې تعقیبولو سره Schrems II په قضاوت سره، تاسو باید د لیږد اغیزې ارزونه (TIA) هم ترسره کړئ ترڅو ارزونه وکړئ چې ایا د منزل هیواد قوانین (د بیلګې په توګه، د حکومت څارنه) د SCCs لخوا تضمین شوي محافظت کمزوری کوي. که چیرې خطرونه پاتې شي، تاسو باید اضافي اقدامات پلي کړئ، لکه کوډ کول یا د معلوماتو کمول. د کافي محافظتونو پرته لیږد کولی شي د AP لخوا د پلي کولو عمل پایله ولري، پشمول د لیږد ځنډول.

د معلوماتو شریکولو لپاره DPIA کله اړین دی؟

د GDPR د ۳۵ مادې له مخې DPIA لازمي دی کله چې پروسس کول د افرادو حقونو او آزادیو ته د لوړ خطر لامل شي. پدې کې شامل دي: د معلوماتو د ځانګړو کټګوریو (د مثال په توګه، روغتیا، بایومیټریک، جینیاتي معلومات) په لویه کچه پروسس کول، د عامه لاسرسي وړ سیمو سیستماتیک څارنه، د قانوني یا ورته مهم اغیزو سره اتوماتیک پریکړه کول، او د نوي ټیکنالوژیو کارول. کله چې د معلوماتو شریکول، DPIA ډیری وخت اړین وي که تاسو ډیټاسیټونه یوځای کوئ، حساس معلومات شریک کوئ، یا د پروفایل کولو یا AI پرمخ وړل شوي تحلیلونو لپاره معلومات کاروئ. AP د پروسس کولو عملیاتو لیست خپور کړی چې DPIA ته اړتیا لري. که په شک کې وي، یو ترسره کړئ - دا غوره ده چې د بخښنې په پرتله خوندي اوسئ.

د GDPR د سرغړونې لپاره شرکتونه کوم جریمې سره مخ کیدی شي؟

GDPR د جریمې دوه درجې چمتو کوي. ټیټه کچه - تر 10 ملیون یورو یا د نړیوال کلني عاید 2٪ پورې - د سرغړونو لپاره پلي کیږي لکه د مناسب امنیتي اقداماتو پلي کولو کې پاتې راتلل یا د اړتیا په وخت کې د DPIA ترسره کول نه کول. لوړه کچه - تر 20 ملیون یورو یا د نړیوال کلني عاید 4٪ پورې - په ډیرو جدي سرغړونو پلي کیږي، پشمول د پروسس کولو لپاره د قانوني اساس نشتوالی، غیرقانوني نړیوال لیږد، یا د معلوماتو د موضوعاتو د حقونو سرغړونه. AP د جریمې اندازه د فکتورونو پراساس ټاکي چې پکې د سرغړونې نوعیت او شدت شامل دي، ایا دا قصدي یا غفلت و، د اغیزمنو اشخاصو شمیر، او د هر ډول کمولو اقدامات. وروستي پلي کول ښیې چې AP د پام وړ جریمې لګولو ته لیواله دی، په ځانګړي توګه د سیسټمیک یا قصدي سرغړونو لپاره.

ایا مستعار معلومات تل د شریکولو لپاره خوندي دي؟

نه. تخلص کول خطر کموي خو له منځه نه وړي. د GDPR د 4(5) مادې له مخې، تخلص کول پدې معنی دي چې مستقیم پیژندونکي (لکه نومونه) د کوډونو یا تخلصونو سره ځای په ځای کړئ. په هرصورت، که چیرې معلومات لاهم د یو فرد سره بیرته وصل شي - د مثال په توګه، ستاسو یا ترلاسه کونکي لخوا ساتل شوي اضافي معلوماتو په کارولو سره - دا شخصي معلومات پاتې کیږي او په بشپړ ډول د GDPR تابع دي. دا پدې مانا ده چې تاسو لاهم قانوني اساس ته اړتیا لرئ، باید د معلوماتو موضوعاتو ته خبر ورکړئ، او باید کافي امنیت ډاډمن کړئ. یوازې ریښتینی بې نومه کول - چیرې چې بیا پیژندنه نور د کوم معقول وسیلې له لارې امکان نلري - د GDPR له ساحې څخه معلومات لرې کوي. په عمل کې، د ریښتیني بې نومه کولو ترلاسه کول ستونزمن دي او د متخصصینو تایید ته اړتیا لري.

که زما کاروبار د معلوماتو د غیرقانوني شریکولو له امله د معلوماتو سرغړونه ولري، نو زه باید څه وکړم؟

که تاسو د شخصي معلوماتو سرغړونه ومومئ - په شمول د هغه چې د غیرقانوني معلوماتو شریکولو له امله رامینځته شوې وي - تاسو لرئ 72 ساعتونو د GDPR د ۳۳ مادې لاندې AP ته خبر ورکول (پرته لدې چې سرغړونه د افرادو حقونو او آزادیو ته د خطر لامل شي). تاسو باید اغیزمن شوي اشخاصو ته پرته له کوم ځنډ څخه خبر ورکړئ که چیرې سرغړونه د دوی لپاره د لوړ خطر لامل شي (د GDPR ۳۴ ماده). سمدستي ګامونه پکې شامل دي: د سرغړونې مخنیوی، د هغې د ساحې او اغیزې ارزونه، د هغه څه مستند کول چې پیښ شوي او تاسو یې په اړه څه کوئ، او AP ته د دوی آنلاین پورټل له لارې خبر ورکول. د خبر ورکولو کې پاتې راتلل کولی شي جلا جریمه پایله ولري. AP به ارزونه وکړي چې ایا د سرغړونې شدت او ستاسو د ځواب پراساس د پلي کولو عمل تضمین شوی.

خپل کاروبار خوندي کړئ — د متخصصینو قانوني لارښوونه ترلاسه کړئ

د معلوماتو شریکول ناگزیر دي، مګر د GDPR سرغړونې باید نه وي. پورته ذکر شوي اوه خطرونه تیوريکي ندي - دوی د اصلي پلي کولو قضیو، د محکمې قضاوتونو، او تنظیمي لارښوونو څخه اخیستل شوي دي. هر یو یې کولی شي جریمې، د مسؤلیت ادعاوې، او شهرت ته زیان ورسوي.

ښه خبر؟ د سم قانوني چوکاټ، روښانه اسنادو، او فعال اطاعت اقداماتو سره، تاسو کولی شئ معلومات په ډاډمن او قانوني ډول شریک کړئ. مګر د دې سم ترلاسه کول د عمومي مشورې څخه ډیر څه ته اړتیا لري - دا مناسب قانوني ملاتړ ته اړتیا لري چې ستاسو سوداګرۍ، ستاسو د معلوماتو جریان، او هغه ځانګړي خطرونه چې تاسو ورسره مخ یاست پوهیږي.

د AP د راتګ انتظار مه کوئ. که تاسو ډاډه نه یاست چې ستاسو د معلوماتو شریکولو کړنې د GDPR سره مطابقت لري، یا که تاسو د DPAs په جوړولو، د DPIAs ترسره کولو، یا د نړیوالو لیږدونو اداره کولو کې مرستې ته اړتیا لرئ، نو د محرمیت متخصص وکیل سره اړیکه ونیسئ. ستاسو سوداګري - او ستاسو پیرودونکي - د هیڅ شی څخه کم مستحق ندي.