ماهي اللائحة العامة لحماية البيانات GDPR؟ دليل شامل

ماهي اللائحة العامة لحماية البيانات GDPR وما هي بنودها والغرامات التي قد يتم فرضها على من يخالفها وكيفية إمتثال المواقع لشروط اللائحة العامة GDPR.
ماهي اللائحة العامة لحماية البيانات GDPR؟ دليل شامل

في 25 مايو 2018 ، بدأ تطبيق إصلاحات حماية البيانات التي تم التخطيط لها منذ فترة طويلة. تم تطبيق اللائحة العامة لحماية البيانات (GDPR) التي تم الاتفاق عليها من قبل دول الإتحاد الأوروبي بشكل متبادل منذ حوالي عامين وتم تحديث القوانين التي تحمي المعلومات الشخصية للأفراد.

لقد حلت اللائحة العامة لحماية البيانات محل القواعد السابقة لحماية البيانات في جميع أنحاء أوروبا والتي كانت منذ ما يقرب من عقدين من الزمن - وقد تمت صياغة بعضها لأول مرة في التسعينيات. منذ ذلك الحين ، ظهرت أنماط حياتنا المليئة بالبيانات ، حيث يشارك الأشخاص بشكل روتيني معلوماتهم الشخصية بحرية عبر الإنترنت.

يقول الاتحاد الأوروبي إن القانون العام لحماية البيانات (GDPR) قد تم تصميمه "لمواءمة" قوانين خصوصية البيانات في جميع البلدان الأعضاء فيه بالإضافة إلى توفير حماية وحقوق أكبر للأفراد. تم إنشاء القانون العام لحماية البيانات (GDPR) أيضًا لتغيير الطريقة التي يمكن بها للشركات والمؤسسات الأخرى التعامل مع معلومات أولئك الذين يتفاعلون معها. هناك احتمال لغرامات كبيرة وإلحاق الضرر بالسمعة لأولئك الذين يخالفون القواعد.

أدخلت اللائحة تغييرات كبيرة ولكنها تعتمد على مبادئ حماية البيانات السابقة. ونتيجة لذلك ، فقد دفع العديد من الأشخاص في عالم حماية البيانات ، بما في ذلك مفوضة المعلومات البريطانية إليزابيث دينهام ، إلى تشبيه القانون العام لحماية البيانات (GDPR) بالتطور بدلاً من الإصلاح الكامل للحقوق. بالنسبة للشركات التي كانت تمتثل بالفعل لقواعد ما قبل اللائحة العامة لحماية البيانات ، كان ينبغي أن تكون اللائحة "تغييرًا تدريجيًا" ، كما قال دينهام.

أسماء عملائك، عناوين بريدهم الإلكتروني، أرقام هواتفهم، مواقعهم، معلومات بطاقاتهم الائتمانية وغيرها من البيانات التي تجمعها عن عملائك، بعد الآن يجب أن يكون لديك المُبرر الواضح لجمعها وحفظها وعليك توضيح العمليات التي تعالج عبرها هذه البيانات، بموافقة عميلك والتأكد من معرفته أين وكيف ولماذا تجمع هذه البيانات، وإلا قد يتضرر نشاطك التجاري بعقوبات طائلة!

هذا ما تمليه عليك اللائحة العامة لحماية البيانات، التي سنّها الاتحاد الأوروبي لحماية بيانات مواطنيه، فهل سمعت بهذه اللائحة من قبل؟ وهل تفكّر الآن لماذا نتحدث عنها بمقال هنا؟ وما علاقتها بنشاطك التجاري؟

حسنًا سنجيب على هذه الأسئلة في هذا المقال.

ما هي اللائحة العامة لحماية البيانات GDPR؟

يمكن اعتبار اللائحة العامة لحماية البيانات (GDPR) أقوى مجموعة من قواعد حماية البيانات في العالم ، والتي تعزز كيفية وصول الأشخاص إلى المعلومات المتعلقة بهم وتضع قيودًا على ما يمكن للمؤسسات فعله بالبيانات الشخصية. يعتبر النص الكامل للائحة العامة لحماية البيانات درع يصعب تجاوزه، حيث يحتوي على 99 مقالة فردية.

وجدت اللائحة كإطار عمل للقوانين في جميع أنحاء القارة الأوروبية وتحل محل توجيه حماية البيانات السابق لعام 1995. جاء الشكل النهائي للائحة العامة لحماية البيانات (GDPR) بعد أكثر من أربع سنوات من المناقشة والمفاوضات - وقد تم تبنيه من قبل كل من البرلمان الأوروبي والمجلس الأوروبي في أبريل 2016. وتم نشر اللوائح و التوجيهات الداعمة في نهاية ذلك الشهر.

دخل القانون العام لحماية البيانات (GDPR) حيز التنفيذ في 25 مايو 2018. ومنحت البلدان داخل أوروبا القدرة على إجراء تغييرات صغيرة خاصة بها لتناسب احتياجاتها الخاصة. أدت هذه المرونة داخل المملكة المتحدة إلى إنشاء قانون حماية البيانات (2018) ، والذي حل محل قانون حماية البيانات السابق لعام 1998.

والمقصود بالبيانات الشخصية؛ المعلومات التي قد تؤدي بطريقة ما إلى تحديد هوية شخص بعينه، مثل الاسم والبيانات البنكية والعرق والجنس وغيرها الكثير، بصفتها معلومات خاصة ويحق للمواطنين التحكّم الكامل بها وعدم إتاحة استخدامها إلا ضمن النطاق الذي يقبلونه، لذلك كانت اللائحة العامة لحماية البيانات. 

وطالما أن هذا من حق عملائك عليك، فإن الإخلال بهذه القوانين سيؤثر مباشرةً على نشاطك التجاري إذ تصل العقوبات لدفع ما يصل إلى 4% من الدخل السنوي للشركة وبهذا قد تصل إلى الإفلاس، وهذه ليست العقوبة الوحيدة طبعًا ومهما كانت العقوبة فهذا ما لا نريده لأصحاب المواقع، وحتى نساهم في تجنّب هذه العقوبات كان هذا المقال. 

لقد شهدت قوة القانون العام لحماية البيانات (GDPR) الإشادة به باعتباره نهجًا تقدميًا لكيفية التعامل مع البيانات الشخصية للأشخاص وتم إجراء مقارنات مع قانون خصوصية المستهلك في كاليفورنيا اللاحق.

على من تطبق اللائحة العامة لحماية البيانات (GDPR)؟

في قلب اللائحة العامة لحماية البيانات (GDPR) توجد البيانات الشخصية. بشكل عام ، هذه هي المعلومات التي تسمح بتحديد هوية الشخص الحي بشكل مباشر أو غير مباشر من البيانات المتاحة. يمكن أن يكون هذا شيئًا واضحًا ، مثل اسم الشخص أو بيانات الموقع أو اسم مستخدم واضح عبر الإنترنت ، أو قد يكون شيئًا أقل وضوحًا على الفور: يمكن اعتبار عناوين IP ومعرفات ملفات تعريف الارتباط بيانات شخصية.

بموجب القانون العام لحماية البيانات (GDPR) ، هناك أيضًا عدد قليل من الفئات الخاصة للبيانات الشخصية الحساسة التي يتم منحها حماية أكبر. تتضمن هذه البيانات الشخصية معلومات حول الأصل العرقي أو الإثني ، والآراء السياسية ، والمعتقدات الدينية ، وعضوية النقابات العمالية ، والبيانات الجينية والبيومترية ، والمعلومات الصحية ، وبيانات حول الحياة الجنسية للشخص أو توجهه.

الشيء المهم في ما يشكل البيانات الشخصية هو أنها تسمح بتحديد هوية الشخص - لا يزال من الممكن أن تندرج البيانات ذات الأسماء المستعارة ضمن تعريف البيانات الشخصية. تعتبر البيانات الشخصية مهمة جدًا بموجب القانون العام لحماية البيانات (GDPR) لأن الأفراد والمؤسسات والشركات التي تكون إما "متحكمين" أو "معالجات" لها مشمولة بالقانون.

ما علاقة المواقع العربية باللائحة؟

لعلّك تتساءل، طالما أنه يحمي مواطني الاتحاد الأوروبي فهل عليك كصاحب موقع عربي، العناية بهذه اللائحة وأخذها على محمل الجد؟ أم أنه أمر لا يعنيك؟ 

إذا كان لك زوّار من مواطني أو مقيمي الاتحاد الأوروبي أو إذا كنت تطمح للعالمية فأتحت الدفع عبر موقعك بالعملة الأوروبية أو وفرت نسخةً من موقعك بإحدى اللغات الأوروبية، ولو كنت تتعامل مع شركة في دول الاتحاد الأوروبي مستعينًا بخدمات معالجة البيانات وتحليلها وحتّى لو كانت هذه الشركة خارج الاتحاد الأوروبي ولكنها لاءمت موقعها مع اللائحة، فهذا أمر يعينك تمامًا، ولا يجب عليك إهماله أبدًا، ولا بد لك من جعل موقعك متوافقًا مع اللائحة لتجنّب أي عقوبات أو غرامات لا يُحمد عقباها.

تحليلات جوجل مثلًا، قامت بتغيير سياستها لتتلاءم مع قواعد اللائحة وعليه فإن الكثير من المواقع التي تستخدم تحليلات جوجل سيتطلب منها تغيير سياساتها لتستطيع الاستفادة من الخدمات على أكمل وجه. 

ما هي البنود الأساسية للائحة العامة لحماية البيانات GDPR؟

يوجد في صميم اللائحة العامة لحماية البيانات سبعة مبادئ رئيسية - تم وضعها في المادة 5 من التشريع - والتي تم تصميمها لتوجيه كيفية التعامل مع بيانات الأشخاص. لا تعمل هذه القواعد كقواعد صارمة ، ولكنها تعمل كإطار شامل مصمم لتخطيط الأغراض العامة للائحة العامة لحماية البيانات (GDPR). المبادئ هي نفسها إلى حد كبير تلك التي كانت موجودة في ظل قوانين حماية البيانات السابقة.

المبادئ السبعة للائحة العامة لحماية البيانات هي: الشرعية والإنصاف والشفافية ؛ تحديد الغرض تصغير البيانات صحة؛ قيود التخزين النزاهة والسرية (الأمن) ؛ والمساءلة. في الواقع ، يعد أحد هذه المبادئ فقط - المساءلة - جديدًا في قواعد حماية البيانات. في المملكة المتحدة ، تتشابه جميع المبادئ الأخرى مع تلك الموجودة بموجب قانون حماية البيانات لعام 1998.

يقدم دليل ICO للائحة العامة لحماية البيانات (GDPR) عرضًا كاملاً للمبادئ ، لكننا سنقوم فقط بتسليط الضوء على اثنين منها هنا.

تصغير البيانات

مبدأ تقليل البيانات ليس جديدًا ، لكنه يظل مهمًا في عصر نقوم فيه بإنشاء معلومات أكثر من أي وقت مضى. لا ينبغي للمنظمات جمع معلومات شخصية أكثر مما تحتاجه من مستخدميها. يقول ICO: "يجب عليك تحديد الحد الأدنى من البيانات الشخصية التي تحتاجها لتحقيق غرضك". "يجب أن تحتفظ بهذا القدر من المعلومات ، لكن ليس أكثر".

تم تصميم هذا المبدأ لضمان عدم تجاوز المؤسسات لنوع البيانات التي تجمعها عن الأشخاص. على سبيل المثال ، من غير المحتمل جدًا أن يحتاج بائع التجزئة عبر الإنترنت إلى جمع الآراء السياسية للأشخاص عند الاشتراك في القائمة البريدية للبريد الإلكتروني لتاجر التجزئة ليتم إخطاره عند إجراء المبيعات.

النزاهة والسرية (الأمن)

بموجب قوانين حماية البيانات لعام 1998 ، كان الأمن هو المبدأ السابع المحدد. على مدار أكثر من 20 عامًا من التنفيذ ، ظهرت سلسلة من أفضل الممارسات لحماية المعلومات ، والآن تمت كتابة العديد منها في نص اللائحة العامة لحماية البيانات.

يجب حماية البيانات الشخصية من "المعالجة غير المصرح بها أو غير القانونية" ، فضلاً عن الفقد أو التلف أو التلف العرضي. في اللغة الإنجليزية البسيطة ، يعني هذا أنه يجب وضع إجراءات حماية مناسبة لأمن المعلومات للتأكد من عدم وصول المتسللين إلى المعلومات أو تسريبها عن طريق الخطأ كجزء من خرق البيانات.

لا تذكر لائحة حماية البيانات العامة (GDPR) كيف تبدو ممارسات الأمان الجيدة ، لأنها تختلف من مؤسسة إلى أخرى. سيتعين على البنك حماية المعلومات بطريقة أكثر قوة مما قد يحتاجه طبيب الأسنان المحلي. ومع ذلك ، على نطاق واسع ، يجب وضع ضوابط مناسبة للوصول إلى المعلومات ، ويجب تشفير مواقع الويب ، وتشجيع الأسماء المستعارة.

يقول ICO: "يجب أن تكون تدابير الأمن السيبراني الخاصة بك مناسبة لحجم واستخدام الشبكة وأنظمة المعلومات الخاصة بك". في حالة حدوث خرق للبيانات ، سينظر منظمو حماية البيانات في إعداد أمان معلومات الشركة عند تحديد أي غرامات قد يتم إصدارها. تم تغريم شركة طيران كاثي باسيفيك مبلغ 500000 جنيه إسترليني ، بموجب قوانين ما قبل اللائحة العامة لحماية البيانات ، لكشفها 111578 من المعلومات الشخصية لعملائها في المملكة المتحدة. قيل إن شركة الطيران لديها "أوجه قصور أمنية أساسية" داخل هيكلها.

المساءلة

المساءلة هي المبدأ الجديد الوحيد بموجب اللائحة العامة لحماية البيانات - فقد تمت إضافتها لضمان قدرة الشركات على إثبات أنها تعمل على الامتثال للمبادئ الأخرى التي تشكل اللائحة. في أبسطها ، يمكن أن تعني المساءلة توثيق كيفية التعامل مع البيانات الشخصية والخطوات المتخذة لضمان أن الأشخاص الذين يحتاجون إلى الوصول إلى بعض المعلومات فقط هم القادرون على ذلك. يمكن أن تشمل المساءلة أيضًا تدريب الموظفين على تدابير حماية البيانات والتقييم المنتظم وعمليات معالجة البيانات.

يجب الإبلاغ عن "التدمير أو الضياع أو التغيير أو الكشف غير المصرح به أو الوصول إلى" بيانات الأشخاص إلى منظم حماية البيانات في الدولة حيث يمكن أن يكون لها تأثير ضار على الأشخاص المعنيين. يمكن أن يشمل ذلك على سبيل المثال لا الحصر ، الخسارة المالية وانتهاكات السرية والإضرار بالسمعة وغير ذلك. في المملكة المتحدة ، يجب إبلاغ ICO بخرق البيانات بعد 72 ساعة من اكتشاف المنظمة له. تحتاج المنظمة أيضًا إلى إخبار الناس بآثار الانتهاك.

بالنسبة للشركات التي لديها أكثر من 250 موظفًا ، هناك حاجة إلى توثيق سبب جمع معلومات الأشخاص ومعالجتها ، ووصف المعلومات التي يتم الاحتفاظ بها ، ومدة الاحتفاظ بها ، ووصف إجراءات الأمان الفنية المعمول بها. تنص المادة 30 من القانون العام لحماية البيانات (GDPR) على أن معظم المؤسسات تحتاج إلى الاحتفاظ بسجلات معالجة البيانات الخاصة بها ، وكيفية مشاركة البيانات وتخزينها أيضًا.

بالإضافة إلى ذلك ، يتعين على المؤسسات التي لديها "مراقبة منتظمة ومنهجية" للأفراد على نطاق واسع أو تعالج الكثير من البيانات الشخصية الحساسة توظيف مسؤول حماية البيانات (DPO). بالنسبة للعديد من المؤسسات التي يغطيها القانون العام لحماية البيانات ، قد يعني هذا الاضطرار إلى تعيين موظف جديد - على الرغم من أن الشركات الكبرى والسلطات العامة قد يكون لديها بالفعل أشخاص في هذا الدور. في هذه الوظيفة ، يجب على الشخص إبلاغ كبار الموظفين ، ومراقبة الامتثال للائحة العامة لحماية البيانات ، وأن يكون نقطة اتصال للموظفين والعملاء.

يمكن أن يكون مبدأ المساءلة حاسمًا أيضًا إذا كانت المنظمة قيد التحقيق لاحتمال انتهاكها لأحد مبادئ القانون العام لحماية البيانات (GDPR). إن وجود سجل دقيق لجميع الأنظمة المطبقة ، وكيفية معالجة المعلومات ، والخطوات التي يتم اتخاذها للتخفيف من الأخطاء سيساعد المؤسسة على إثبات للمنظمين أنها تأخذ التزاماتها باللائحة العامة لحماية البيانات على محمل الجد.

ما هي حقوقي من اللائحة العامة لحماية البيانات الخاصة؟

في حين يمكن القول إن القانون العام لحماية البيانات (GDPR) يستهدف بشكل رئيسي مراقبي البيانات والمعالجات، فإن التشريع مصمم للمساعدة في حماية حقوق الأفراد. على هذا النحو، هناك ثمانية حقوق منصوص عليها في اللائحة العامة لحماية البيانات (GDPR). تتراوح هذه من السماح للأشخاص بالوصول الأسهل إلى البيانات التي تحتفظ بها الشركات عنهم وحتى يتم حذفها أيضًا في بعض السيناريوهات.

الحقوق الكاملة للائحة العامة لحماية البيانات للأفراد هي الحق في الحصول على المعلومات ، والحق في الوصول ، والحق في التصحيح ، والحق في المسح ، والحق في تقييد المعالجة ، والحق في نقل البيانات ، والحق في الاعتراض ، وكذلك الحقوق المتعلقة بالآلية. صنع القرار والتنميط.

كما هو الحال مع مبادئ القانون العام لحماية البيانات (GDPR) ، فإننا ندخل فقط في تفاصيل بعض الحقوق هنا. يمكن العثور على المزيد على موقع ICO الإلكتروني.

الوصول إلى البيانات الخاصة بك

إذا كنت تريد معرفة ما تعرفه شركة أو منظمة عنك ، فأنت بحاجة إلى طلب وصول إلى الموضوع (SAR). في السابق ، كانت هذه الطلبات تكلف 10 جنيهات إسترلينية ولكن اللائحة العامة لحماية البيانات تلغي التكلفة وتجعل طلب معلوماتك مجانيًا. لا يمكنك تقديم طلب للحصول على معلومات أي شخص آخر ، على الرغم من أن شخصًا ما ، مثل المحامي ، يمكنه تقديم طلب نيابة عن شخص آخر.

عندما يقوم شخص ما بإجراء SAR ، فإنه يحق له قانونًا أن يتم تزويده بتأكيد على أن إحدى المؤسسات تعالج بياناته الشخصية ، ونسخة من هذه البيانات الشخصية (ما لم تنطبق استثناءات) ، وأي معلومات تكميلية أخرى ذات صلة بالطلب. يجب الرد على الطلب في غضون شهر واحد.

لقد نجح الناس في استخدام SARs لمعرفة ما تحتفظ به شركات تكنولوجيا المعلومات عنهم. أرسلت Tinder إلى شخص واحد 800 صفحة من المعلومات حول استخدامهم لتطبيقها ، بما في ذلك تفاصيل التعليم ، والترتيب العمري للأشخاص الذين يهتمون بهم ، والموقع الذي حدثت فيه كل مباراة. كشفت الاستخدامات الأخرى عن مستويات الإنفاق في FIFA وكل نقرة تتم أثناء التسوق على موقع أمازون.

يمكن إجراء SARs إما كتابيًا أو شفهيًا - مما يعني أنه يتعين على المنظمة تحديد ما إذا كان ما تم طلبها يصنف على أنه بيانات شخصية بموجب القانون العام لحماية البيانات (GDPR). لا يتعين على SAR أن يقول إنه SAR ويمكن إجراؤه لأي شخص في مؤسسة - بل يمكن إرساله عبر وسائل التواصل الاجتماعي ، على الرغم من أن البريد الإلكتروني سيكون التنسيق الأكثر شيوعًا لمعظم الناس. بالإضافة إلى المعلومات المطلوبة ، يتعين على المؤسسة تقديم تفاصيل عن سبب معالجتها للمعلومات الشخصية ، وكيفية استخدام المعلومات ، ومدة الاحتفاظ بها.

تمتلك العديد من شركات التكنولوجيا الكبرى بوابات بيانات خاصة بها حيث يمكن تنزيل بعض معلوماتك. على سبيل المثال ، يتيح Facebook لمستخدميه تنزيل جميع صورهم ومنشوراتهم ونكاتهم القديمة ، بينما يسمح Twitter و Google أيضًا بالوصول إلى المعلومات المرتبطة بالحسابات دون الحاجة إلى إجراء SAR. في بعض الحالات ، قد لا تحتوي هذه الطرق للوصول إلى المعلومات على كل ما يريده الشخص. إذا تم إجراء طلب الوصول إلى الموضوع ولم يُرجع النتائج التي أرادها الصانع ، فيمكن استئنافه أمام ICO.

المعالجة الآلية والمحو وإمكانية نقل البيانات

يعزز القانون العام لحماية البيانات (GDPR) أيضًا حقوق الشخص فيما يتعلق بالمعالجة الآلية للبيانات. يقول ICO إن الأفراد "لهم الحق في عدم التعرض لقرار" إذا كان تلقائيًا وينتج عنه تأثير كبير على الشخص. هناك بعض الاستثناءات ولكن بشكل عام يجب تزويد الناس بشرح للقرار الذي تم اتخاذه بشأنهم.

كما تمنح اللائحة الأفراد القدرة على مسح بياناتهم الشخصية في بعض الظروف. يتضمن ذلك الحالات التي لم تعد ضرورية للغرض الذي تم جمعه فيه ، وإذا تم سحب الموافقة ، فلا توجد مصلحة مشروعة ، وإذا تمت معالجتها بشكل غير قانوني.

كانت قابلية نقل البيانات إحدى الكلمات الطنانة الكبيرة في اللائحة العامة لحماية البيانات - لكنها واحدة شهدت بعض الإجراءات الأقل. النظرية هي أنه ينبغي أن يكون من الممكن مشاركة المعلومات من خدمة إلى أخرى. أحد أفضل الأمثلة على مشاركة البيانات هو قدرة Facebook على نقل صورك تلقائيًا إلى حساب صور Google. تم إنشاء هذا بواسطة مشروع نقل البيانات الذي يتضمن Apple و Google و Facebook و Twitter و Microsoft.


مخالفات اللائحة العامة لحماية البيانات والغرامات

كان أحد أكبر عناصر اللائحة العامة لحماية البيانات وأكثرها شيوعًا هو قدرة المنظمين على ضرب الشركات التي لا تمتثل لغرامات ضخمة. إذا لم تعالج المنظمة بيانات الفرد بالطريقة الصحيحة ، فيمكن تغريمها. إذا تطلب الأمر وليس لديه مسؤول حماية بيانات ، فيمكن تغريمه. إذا كان هناك خرق أمني ، فيمكن تغريمه.

في المملكة المتحدة ، يتم تحديد هذه العقوبات النقدية من قبل ICO وأي أموال يتم استردادها يتم إعادة توجيهها من خلال الخزانة. تقول اللائحة العامة لحماية البيانات (GDPR) أن الجرائم الصغيرة يمكن أن تؤدي إلى غرامات تصل إلى 10 ملايين يورو أو 2 في المائة من حجم الأعمال العالمي للشركة (أيهما أكبر). يمكن مواجهة أكبر انتهاكات القانون العام لحماية البيانات (GDPR) بعواقب أكثر خطورة: غرامات تصل إلى 20 مليون يورو أو أربعة في المائة من حجم التداول العالمي للشركة (أيهما أكبر). بموجب نظام حماية البيانات السابق ، كان بإمكان ICO إصدار غرامات تصل إلى 500000 جنيه إسترليني فقط.

قبل تطبيق اللائحة العامة لحماية البيانات (GDPR) ، كان هناك الكثير من التكهنات بأن منظمي حماية البيانات سيضربون الشركات التي يتم اكتشاف انتهاكها للتشريعات بغرامات ضخمة. هذا لم يحدث. يمكن أن تكون تحقيقات حماية البيانات طويلة ومعقدة - إذا كانت خاطئة ، فيمكن الطعن فيها من خلال المحاكم.

كانت إحدى أكبر الغرامات بموجب اللائحة العامة لحماية البيانات حتى الآن ضد Google: فقد فرضت الهيئة الفرنسية لحماية البيانات ، وهي اللجنة الوطنية لحماية البيانات (CNIL) ، غرامة قدرها 50 مليون يورو (43 مليون جنيه إسترليني) على الشركة. قالت CNIL إن الغرامة صدرت لسببين رئيسيين: عدم تقديم Google معلومات كافية للمستخدمين حول كيفية استخدامها للبيانات التي تحصل عليها من 20 خدمة مختلفة وكذلك عدم الحصول على الموافقة المناسبة لمعالجة بيانات المستخدم.

كانت هناك أيضًا غرامات ضد تطبيق La Liga الذي تجسس على الأشخاص الذين قاموا بتنزيله ، وبنك DSK البلغاري بسبب كشفه عن غير قصد عن تفاصيل العملاء ، والمدارس التي تتبعت التلاميذ.

ومع ذلك ، يمكن أن تأتي أكبر الغرامات من المملكة المتحدة. أصدر ICO "إشعار نوايا" لكل من الخطوط الجوية البريطانية وسلسلة فنادق ماريوت لخرق الناتج المحلي الإجمالي. وقد نوقش أنه سيتم تغريم شركة الخطوط الجوية البريطانية بمبلغ 183 مليون جنيه إسترليني ، في حين سيتم تغريم شركة الفنادق 99 مليون جنيه إسترليني. ومع ذلك ، نظرًا لأن كلاهما إشعارات نوايا ، فهي ليست غرامات رسمية ولم يتم دفع أي شيء من قبل أي من الشركتين. في الواقع ، تتحدى كلتا الشركتين إشعارات ICO.

مراجع:
What is GDPR? The summary guide to GDPR compliance in the UK
اللائحة العامة لحماية البيانات GDPR واستخدامها للمواقع العربية