GDPR؛ بدايةٌ نحوَ حمايةِ بياناتنا الشّخصيّة!

تنظيم حماية البيانات العامّ؛ هو تنظيمٌ خاصٌّ من قوانينِ الاتّحادّ الأوروبّي، ويُعنَى بحمايةِ البياناتِ وخصوصيَّة الأفرادِ داخلَه، ويشملُ قوانين تصديرِ البياناتِ الشّخصيّة خارجَ الاتّحاد أيضًا.

واحتُضِنَ التّنظيمُ في 14 نيسان(أبريل) 2016، وبعدَ فترةٍ انتقاليَّة دامتْ سنتين سيطبَّقُ ويُباشَرُ العملُ به، وذلكَ في 25 أيَّار(مايو) 2018، ومن الجديرِ بالذّكرِ هنا أنّه يُبطِل قانونَ "توجيهِ حمايةِ البياناتِ الصّادر عامَ 1995".

ويمنحُ قانونُ GDPR النّاسَ مزيدًا من التّحكم في بياناتِهم الشّخصيّة، ويُجبرُ الشّركات على التّأكد من أنّ طريقةَ جمعهم للبياناتِ ومعالجتِها وتخزينِها  طريقة آمنة، ويأملُ الاتّحاد الأوروبّي في تحقيقِ تغييرٍ جوهريٍّ في طريقةِ تفكيرِ الشَّركاتِ فيما يخصّ البيانات؛ وذلكَ عبرَ فكرتين أساسيَّتَين:

1- الخصوصيَّة عن طريقِ التَّصميم:

يجبُ أن يُراعي أيُّ إجراءٍ تتعهّد به الشّركة - ويتضمّنُ معالجةَ البياناتِ الشّخصيّة - حمايةََ البياناتِ والخصوصيَّةِ في كلّ خطوة، ويشملُ ذلكَ تطويرَ المنتجاتِ والبرمجيَّات وأنظمةِ تكنولوجيا المعلومات وغيرها الكثير؛ ما يعنِي أنَّهُ يجبُ على قسمِ تكنولوجيا المعلومات أو أيّ قسمٍ يعالجُ البياناتِ الشّخصيّة أنْ يتحقَّقَ من تضمينِ الخصوصيَّة في أثناءِ دورةِ حياةِ النّظامِ كلِّها.

2-الخصوصيَّة على نحوٍ افتراضيّ:

يجبُ تطبيقُ إعداداتِ الخصوصيَّة الأكثر صرامةً افتراضيًّا، وذلكَ بمجرَّدِ إصدارِ منتَجٍ أو خدمةٍ للعامَّة، ودونَ أيّ تدخُّلٍ من المُستخدم، إضافةً إلى أنَّه يجبُ عدمُ الاحتفاظِ بأيِّ بياناتٍ شخصيَّةٍ يقدِّمُها المُستخدم ليتمكّنَ من استخدامِ خدمةٍ ما إلّا في أثناءِ الوقتِ اللَّازم لتوفيرها، وإذا كُشِفَ مزيدٌ منَ المعلوماتِ اللَّازمةِ لتوفيرِ الخدمة؛ فهذا يعني اختراقَ الخصوصيَّةِ على نحوٍ افتراضيّ.

الحقوقُ الّتي يُوفِّرها التّنظيمُ للأفراد:

1- الحقّ في أنْ يعلَمَ الفردُ بأيّ اختراقٍ للبياناتِ في غضونِ مدّةٍ أقصاها 72 ساعةً من لحظةِ اكتشافِه.

2- الحقّ في الوصولِ إلى البياناتِ الشّخصيّة.

3- الحقّ في تصحيحِ البياناتِ الشّخصيّة.

4- الحقّ في مَحوِ البياناتِ الشّخصيّة.

5- الحقّ في تقييدِ معالجةِ البياناتِ الشّخصيّة.

6- الحقّ في قابليَّةِ نقلِ البياناتِ الشّخصيّة.

7- الحقّ في الاعتراض.

8- الحقوقُ المتعلِّقةُ باتّخاذِ القراراتِ المُؤتمَتة.

هل تستطيعُ الشّركاتُ جمعَ البيانات؟

نعم؛ ولكن إذا تمكّنوا من إثباتِ ملكيّتهِم  لـ "أساسٍ قانونيّ" يُسمَحُ لهم بذلك، ويمكنُ أنْ يعودَ السّببُ إلى وجودِ عقدٍ أو التزامٍ قانونيّ، ويمكنهم أخذُ الموافقةِ من الأشخاص من أجلِ تخزينِ البياناتِ الشّخصيّةِ ومعالجتها أيضًا، ويجبُ أن تكونَ طلباتٌ كهذه واضحةً ومكتوبةً بلغةٍ سهلة؛ لا مزيدًا من الاختباءِ وراءَ الموافقاتِ في الشّروطِ والأحكامِ العامّة.

ما الّذي يجبُ على الشّركات فعلُه؟

يجبُ على الشّركاتِ أنْ تُولي اهتمامًا أكبرَ لأمنِ البياناتِ الشّخصيّة، ولنْ يُسمحَ لها بالاحتفاظِ بهذهِ البياناتِ فترةً أطولَ من اللّازم، ويمكنُ لأيّ شخصٍ أنْ يطلبَ حذفَ معلوماتِه الشّخصيّة من مخدّماتِ الشّركة، ولا يوجدُ سِوى بعض الاستثناءاتِ القليلة؛ كخدمةٍ ما يريدُها العميل، ولا يمكنُ تقديمَها بدونِ البيانات.

لماذا يحدثُ هذا كلّه؟

يسعى تنظيمُ GDPR إلى توسيعِ القواعدِ المعمولِ بها منذُ عام 1995 وتحديثها، وتوحيدِ مجموعةٍ من القوانين المختلفةِ في تنظيمٍ واحد، وصرَّحَ الاتّحاد الأوروبي بأنَّ القواعدَ الجديدةَ ضروريةٌ لحمايةِ المستهلكِين في عصرِ الهجماتِ الإلكترونيَّة الضّخمة وتسريبِ البيانات.

مَنِ المُتضرِّر؟

تخضعُ أيَّةُ منظّمةٍ تحتفظُ أو تستخدمُ بياناتِ الأشخاصِ داخلَ الاتّحادِ الأوروبّي للتّنظيمِ الجديد؛ بغضّ النّظر عن مكانِها، وقدْ لا يكونُ للشّركاتِ أيّة علاقةٍ مباشرةٍ مع أوروبّا، ولكنّها خاضعةٌ له؛ كشركاتٍ عملاؤها داخلَ الاتّحادِ الأوروبّي مثلًا.

ماذَا لو فشلَتِ الشّركاتُ في الامتِثال لتنظيمِ GDPR؟

ستلحَقُ بهمْ عقوباتٌ ماليّةٌ كبيرة؛ إذْ تصلُ غرامةُ الشّركات للمنظّمِين الأوروبّيين إلى 4٪ من المبيعاتِ العالميَّة السّنوية، والّتي قد تصلُ إلى ملياراتِ الدّولارات في شركاتِ التّكنولوجيا الكُبرى، وستُفرَضُ غراماتٌ على الشّركاتِ الصّغيرِة بقيمةِ 20 مليون يورو؛ أيْ ما يُعادل 23.5 مليون دولار.

وأخيرًا؛ نأملُ الخيرَ مع بدايةِ تعميمِ التّنظيمِ والعملِ به، وخاصّة في زيادةِ الوعي العامّ لأهميّة حمايةِ البياناتِ الشَّخصيّة، وعسى أنْ يكونَ خطوةً جديدةً في تاريخِ البشريّة نحوَ مستقبلِ أمنٍ أفضل من الهجماتِ الإلكترونيَّة الّتي قدْ تُصيب الأفرادَ العاجزينَ عن حمايةِ أنفسِهم منهَا.

المصادر: