ربما سمعت عزيزي القاريء خلال الأسابيع الماضية عن إعلان إحدى شركات تطبيقات الأجهزة الذكية لتوجيه مركبات الأجرة في المملكة عن حادثة سرقة بيانات عملاء وموظفي الشركة، وذلك بعد ثلاثة أشهر من حدوث الواقعة، من دون الإشارة إلى حجم الضرر الذي حدث للعملاء والموظفين نتيجة الحادثة. وجاء الإعلان “إنسجاماً مع قيم الشركة” و “حفاظاً على الشفافية” بينهم وبين عملائهم، مما يبعث التساؤل: هل إخبار المتضررين بمثل هذه الحادثة واجب أم يعتمد على “قيم” الشركات؟ وماذا ومتى يجب على الشركات والمؤسسات إخبارنا عند حدوث مثل هذه الواقعة؟ وهل يوجد لدينا قوانين صارمة لحماية بياناتنا؟
في ظل هذه الأثناء تم تطبيق لائحة حماية البيانات العامة (General Data Protection Regulation) في الإتحاد الأوروبي نهاية شهر مايو الماضي وذلك بعد أن تم إقراره من قِبل البرلمان الأوروبي في أوائل عام ٢٠١٦، بعد أربعة أعوام من الدراسة والمداولات بين أعضاء الإتحاد.وتعتبر اللائحة أكبر تغيير في قوانين حماية البيانات خلال العقدين الأخيرين، والتي تهدف لحماية بيانات مواطني ومقيمي دول الإتحاد وإعادة تشكيل طريقة عمل المنظمات والشركات التي تتعامل مع بياناتهم سواءً كانت داخل الإتحاد أو خارجه.
استعراض لأبرز ملامح اللائحة
- يعتبر من أكبر وأبرز ملامح اللائحة أنها سوف تطبق على كل الشركات التي تتعامل مع بيانات مواطني ومقيمي الإتحاد، سواءً كانت عمليات المعالجة والتخزين تمت داخل الإتحاد أو خارجه (مثل شركات وادي السليكون). وتأتي هذه الشمولية في القانون لحل الإشكالية السابقة لقضايا مرفوعة من قِبل أفراد ومؤسسات في الإتحاد الأوروبي ضد شركات ليس لها تواجد فعلى لمعالجة وتخزين البيانات (بل مجرد مراكز بحثية أو ممثلين تجاريين في بعض الحالات) في الإتحاد وتعسر البت فيها، لأن عملية المعالجة والتخزين تمت خارج النطاق الجغرافي للإتحاد. و يشمل ذلك جميع الجهات التي تقوم بمعالجة وتخزين جميع أنواع البيانات الشخصية التي تنتج عن تقديم بضائع أو خدمات (سواءً كانت مجانية أو مدفوعة) لمواطني ومقيمي الإتحاد أو مراقبة سلوكهم في الفضاء الرقمي. وسيتعين على الشركات الغير أوروبية التي تتعامل مع بيانات مواطني ومقيمي الإتحاد تعيين ممثلين لهم داخل الإتحاد.
- تم توسعة دائرة تعريف البيانات الشخصية لتشمل كل البيانات التي تؤدي لتحديد شخص بعينه (مثل: العنوان، البريد الإلكتروني،IP Address، Cookies، MAC address)، سواءً كان ذلك عن طريق استخدام إحدى البيانات أو دمج ومعالجة عدة بيانات للتعرف على الشخص. وشملت قائمة التعريف بالبيانات الشخصية البيانات الجينية والبيومترية (مثل بصمة الأصبع والوجه التي يتم استخدامها في بعض الهواتف الذكية للتعرف على مستخدم الجهاز).
- في حالة وجود إختراق أو تسريب للبيانات، يتعين على الجهة المتحكمة بالبيانات (بنك، شركة، مستشفى أو غيره) إشعار العملاء المتضررين خلال 72 كحد أقصى من علمهم بوجود تسريب أو إختراق لبياناتهم.
- ألزمت اللائحة الجهات المتحكمة بالبيانات إتاحة إمكانية توفير نسخة من البيانات المتعلقة بالمستخدمين للمستخدمين أنفسهم بشكل مجاني وإخطارهم في حال معالجة بياناتهم مع توضيح طرق وأغراض المعالجة. أيضاً ضمنت اللائحة للمستخدمين الحق في تحميل ونقل بياناتهم من شبكة لأخرى في حال رغبتهم بذلك.
- أصبح للمستخدمين في الإتحاد الأوروبي الحق في حذف بياناتهم، والحق في أن يصبحوا منسيين أو كما يعرف بـ”The Right to be Forgotten”. وتعود بداية نشأة هذا القانون لعام 2009 عندما رفع رجل أعمال إسباني قضية ضد شركة قوقل وذلك بسبب ظهور إعلان مزاد من المحكمة التنفيذية في إسبانيا في عام 1990 لبيع عقار تابع لرجل الأعمال نتيجة ديون مستحقة في أوائل نتائج البحث عن اسمه في محرك بحث Google مما أدى لخسارته لثقة عملاء ومستثمرين بعد مرور ما يقارب 20 عام من سداد الدين، وطالب رجل الأعمال من الشركة إزالة نتائج البحث المتعلقة بهذا الخبر، إلا أن محاولاته قُوبِلت بالرفض. وبعد مرور مايقارب خمسة أعوام من بدء القضية، حكمت محكمة العدل التابعة للاتحاد الأوروبي لرجل الأعمال بحقه بحذف الخبر من نتائج البحث (وليس من موقع الصحيفة)، والنظر في الحالات المشابهة حيث يتم البت فيها وفقاً لملابسات كل قضية وطبيعة البيانات المراد حذفها.
- شملت اللائحة عقوبات تصل إلى 20 مليون يورو أو 4% من إجمالي قيمة الإيرادات العالمية السنوية للشركة في حالة عدم الإلتزام باللائحة.
و قد بدأت كبرى شركات الإنترنت حول العالم بتوفير الأدوات والتنظيمات اللازمة لتطبيق اللائحة قبل البدء بتنفيذها. فعلى سبيل المثال أتاحت فيسبوك وإنستقرام مؤخراً الخيار للمستخدمين بتحميل جميع بياناتهم لتسهيل عملية الإنتقال لشبكة أخرى في حالة رغبة المستخدم بذلك، وقامت شركة قوقل بتحديث سياسة الخصوصية وأتاحت عدة أدوات للتحكم بالبيانات وأزالت ما يقارب المليون صفحة من نتائج محرك البحث الخاص بها.
رغم الضبابية التي تحيط بآلية تطبيق اللائحة والعواقب المترتبة على تطبيقها إلا أنها تعتبر خطوة مهمة لتوفير إطار عمل وبيئة آمنة للمستخدمين في العالم وليس في الإتحاد الأوروبي فحسب، حيث أعلنت عدة شركات عالمية أنها ستوفر نفس الحقوق لكافة المستخدمين حول العالم.
والمراقب للوضع الراهن لقوانين حماية البيانات في المملكة يجد فجوة نظامية وتنفيذية لقوانين حماية بيانات المواطنين والمقيمين. حيث كفل نظام مكافحة الجرائم المعلوماتية الصادر من هيئة الاتصالات والمعلومات حقوقنا من التعرض لجرائم إلكترونية، ولكن لا يوجد نظام لحماية بياناتنا. رغم الأخبار التي تشير إلى وجود عدة أنظمة تحت الدراسة من قِبل عدة جهات، يظل السؤال: من هو المسؤول عن سن أنظمة حماية البيانات في المملكة والتأكد من الممارسات النظامية الصحيحة لجميع الجهات التي تتعامل مع البيانات ومعاقبة من يخل بالعمل بتلك الأنظمة، في ظل التوسع العالمي والمحلي في طرق وأدوات استخدام وتخزين البيانات؟
شكراً عبدالعزيز على المشاركة القيمة، مقال سلس وسهل الفهم، ويدعوا للتفكير فعلاً بحقنا في حماية بياناتنا. نأمل من المسؤولين أن يعطوا الموضوع حقه.
من الأسئلة التي يكثر حولها النقاش، وعليها مدار القانون: بياناتك لمن؟ هل هي ملكك أم ملك الشركة التي تجمعها؟ وقد رجح قانون GDPR الأولى.
بشكل عام، قوانين الاتحاد الأوروبي غالباً تُغَلِّب مصلحة المستهلك، بخلاف أمريكا مثلاً.