تطبيق نظام حماية البيانات الشخصية في جهات التحكم

تطبيق نظام حماية البيانات الشخصية في جهات التحكم

Picture of هدى العمري

هدى العمري

فريق تحرير الجمعية

 عقدت جمعية داما السعودية في يوم الأحد الثامن من جمادى الأول ١٤٤٦ه الموافق١٠ نوفمبر ٢٠٢٤م لقاء بعنوان “تطبيق نظام حماية البيانات الشخصية في جهات التحكم” تناول فيه الأستاذ خالد الأبي كيفية تطبيق نظام حماية البيانات الشخصية داخل جهات التحكم، التي تُعرَّف بأنها الجهات التي تقوم بجمع ومعالجة البيانات الشخصية للأفراد، مثل المستشفيات، البنوك، والشركات الحكومية. يستعرض المقال خطوات تطبيق النظام، بدءاً من التخطيط وحتى الأتمتة، مع التركيز على التحديات والضوابط المرتبطة بكل مرحلة.

 

التعريف ببيئة التحكم بعد تطبيق النظام

أوضح الأستاذ خالد أن تطبيق نظام حماية البيانات الشخصية في الجهات يستلزم وضع ضوابط محددة تضمن حماية حقوق الأفراد وأمان بياناتهم. يُعدُّ توفير سياسة خصوصية واضحة وتحديد مسؤوليات إدارة الحوادث من الأمور الأساسية، حيث يجب على مسؤول حماية البيانات تقييم المخاطر المرتبطة بأي تسريب للبيانات، سواء داخلياً أو خارجياً، واتخاذ الإجراءات المناسبة.

أشار الأستاذ خالد إلى أن أسلوب الترهيب قد يكون فعالاً في بعض القطاعات، مثل القطاع المصرفي الذي يهتم بشكل خاص بالعائدات. إلا أن هناك قطاعات أخرى، لا سيما الحكومية، تتطلب نهجاً مختلفاً يعتمد على توضيح الفوائد قبل تسليط الضوء على العقوبات المحتملة في حال عدم الامتثال.

لذلك، عند تطبيق نظام حماية البيانات الشخصية، ينبغي للجهات وضع ضوابط محددة تساهم في إدارة البيانات بشكل آمن وفعّال، بما يتماشى مع متطلبات القانون. وتشمل هذه الضوابط ما يلي:

  1. إدارة الموافقات: تشمل الحصول على موافقات أصحاب البيانات حول معالجة معلوماتهم، بما في ذلك التأكد من موافقتهم على جمع ومعالجة بياناتهم للأغراض المطلوبة.

  2. إدارة الحوادث وإشعار تسريب البيانات: تندرج ضمن مسؤوليات مسؤول حماية البيانات، حيث يتوجب عليه تقييم المخاطر المرتبطة بأي تسرب للبيانات، سواء كان داخلياً أو خارجياً، ووضع الإجراءات المناسبة للتعامل مع أي حادثة تسريب.

  3. حقوق أصحاب البيانات: يضمن القانون خمسة حقوق أساسية لأصحاب البيانات، والتي يجب أن يتمكنوا من ممارستها في أي وقت. تأتي هذه الحقوق مدعومة بالضوابط التي تُسهّل ممارستها، مثل الوصول إلى البيانات وتصحيحها.

  4. أمن البيانات: يقع على عاتق إدارة الأمن السيبراني التأكد من سلامة البيانات من خلال ضوابط كالتشفير ومنع تسرب البيانات (Data Leakage Prevention)، بينما يتوجب على مسؤول حماية البيانات مراقبة امتثال إدارة الأمن لهذه الإجراءات لضمان حمايتها بالكامل.

  5. القانونية، الامتثال، وضمانات الطرف الثالث: تعتبر الإدارة القانونية مرجعاً أساسياً لمسؤول حماية البيانات عند وضع سياسات البيانات، وخصوصاً في إعداد اتفاقيات معالجة البيانات (Data Processing Agreements) مع مزودي الخدمة لضمان الحماية القانونية في حالات النزاعات.

  6. سجل المعالجات: يمثل أحد متطلبات القانون التي تفرض على الجهة الاحتفاظ بسجلٍ شاملٍ لعمليات معالجة البيانات الشخصية، ويُعرف أيضاً بـ “سجل أنشطة معالجة البيانات الشخصية” أو “(ROPAS) “Record of Processing Activities يستخدم هذا السجل لتوثيق كافة الأنشطة التي تشمل معالجة بيانات الأفراد، مما يُسهم في تحقيق الشفافية ويسهل الامتثال للمتطلبات القانونية.


    تطبيق نظام حماية البيانات الشخصية يمثل برنامجًا متكاملاً يتضمن عدة خطوات أساسية:

  1. البدء والتخطيط

يُعد التخطيط أولى خطوات تطبيق النظام، حيث يتم تحديد أصحاب المصلحة وصُنّاع القرار الذين يمكنهم دعم تنفيذ السياسات والإجراءات. خلال هذه المرحلة، يتم تحديد الفوائد التي ستجنيها الجهة من التطبيق، مثل الالتزام بمتطلبات المشرّع، وتحقيق الضبط المالي أو التشغيلي.

كما تتفاوت طبيعة معالجة البيانات حسب نوع الجهة؛ فالمستشفيات تتعامل مع بيانات حساسة، بينما البنوك تعالج بيانات مالية. هذه التباينات تُسهم في تحديد حجم المشروع ومتطلباته.

  1. المراجعة والاستكشاف

تتضمن مرحلة المراجعة والاستكشاف مراجعة قدرات الخصوصية الموجودة داخل جهة التحكم، وفحص الأدوات المستخدمة مثل التشفير وإدارة الوصول. تهدف هذه المرحلة إلى القيام بإجراء تحليل الفجوات

 (Gap Assessment) بين الضوابط الداخلية ومتطلبات القانون، لتحديد النقاط التي تحتاج إلى تحسين أو تعديل. بالإضافة إلى ذلك، يُنصح باستخدام أدوات استكشاف البيانات (Data Discovery Tools) لمعرفة مواقع البيانات وأوقات الاحتفاظ بها.

  1. تصميم وتطوير برنامج الخصوصية

يُعد تصميم برنامج الخصوصية خطوة مهمة في ضمان دمج النظام ضمن استراتيجية الجهة. يحتوي البرنامج على إطار عمل شامل يتضمن السياسات العامة والإجراءات، في حين يتم إعداد وثائق فرعية تشمل السياسات والإجراءات والنماذج. يمكن الاستعانة بمعايير مثل ISO 27701 وISO 27001 لتعزيز الامتثال وتحقيق الاعتمادات اللازمة.

يشير الأستاذ خالد إلى أن حماية البيانات ليست مسؤولية فردية، بل هي مسؤولية الجميع داخل لجهة، ويجب على مسؤول حماية البيانات التأكد من أن جميع العاملين يفهمون أدوارهم.

  1. التطبيق والأتمتة

بعد الانتهاء من تصميم إطار عمل الخصوصية، تأتي مرحلة التطبيق والأتمتة التي تضمن أن السياسات المعتمدة تصبح جزءاً من العمليات اليومية للجهة. يتم تطبيق أدوات لإدارة حقوق أصحاب البيانات، مثل نماذج الموافقات على ملفات تعريف الارتباط وسجلات معالجة البيانات، لضمان التوافق مع متطلبات القانون.

تتيح حلول الأتمتة لأصحاب البيانات ممارسة حقوقهم من خلال منصات مخصصة، تُمكّنهم من تقديم طلبات تعديل أو حذف البيانات، أو حتى نسخها في شكل رقمي أو ورقي.

 

 

أسئلة وأجوبة مع ضيف اللقاء

  • مالفرق بين إشعار الخصوصية (Policy Notifications) وسياسة الخصوصية (Privacy Policy) ؟

إشعار الخصوصية وسياسة الخصوصية يشيران إلى نفس الوثيقة، وهي سياسة الخصوصية. لكن الاختلاف في التسمية قد يؤدي أحيانًا إلى التباس، خصوصًا بين الإدارات المختلفة داخل الجهات.

عندما نذكر سياسة الخصوصية في بيئة العمل، فإن هذا المصطلح غالبًا ما يكون مرتبطًا بإطار العمل الذي يشمل السياسات والإجراءات المتعلقة بحماية البيانات الشخصية ويوضح كيفية معالجة البيانات داخل الجهة. أما إشعار الخصوصية، فهو يركز على إعلام أصحاب البيانات في وقت جمع البيانات أو عند تسجيل المستخدمين، لتوضيح كيفية استخدام بياناتهم.

  • كيف يمكن لمدير مكتب البيانات البدء في تطبيق نظام حماية البيانات الشخصية؟ وما هي الإدارات والأدوار التي يجب التركيز عليها؟؟

لبدء تطبيق نظام حماية البيانات الشخصية، من المهم تحليل طبيعة عمل الجهة لتحديد الإدارات ذات الأولوية في التنفيذ. على سبيل المثال، في الشركات التي تعتمد بشكل كبير على الموظفين، مثل شركات التطوير، يُعتبر قسم الموارد البشرية نقطة البداية نظرًا لاحتوائه على كميات كبيرة من البيانات الشخصية المتعلقة بالموظفين. أما في البنوك، فيكون التركيز على إدارة الأعمال، وخاصةً قطاع التجزئة (Retail)، حيث يتم التعامل مع كميات كبيرة من بيانات العملاء مقارنة بقطاع الشركات (Corporate).

يُعد التمييز بين دور مدير مكتب البيانات ومسؤول حماية البيانات أمرًا أساسيًا. مدير مكتب البيانات يركّز على إدارة البيانات بشكل عام، بينما يركز مسؤول حماية البيانات على ضمان حماية البيانات والامتثال للقوانين المنظمة لها.

وفقًا لتوجيهات “سدايا”، من المتطلبات الأساسية لمسؤول حماية البيانات (DPO) أن يكون لديه فهم عميق بطبيعة عمل الجهة التي يعمل بها، بما في ذلك أنواع البيانات الشخصية التي يتم جمعها وكيفية معالجتها.

وعلى مستوى الهيكل التنظيمي، يرتبط مسؤول حماية البيانات في السعودية عادةً بمكتب إدارة البيانات، بينما في دول أخرى قد يُلحق بوظائف التحكم (Control Functions) تحت مظلة إدارة الحوكمة والمخاطر (GRC).

  • ما مدى نضج مجال حماية البيانات في السوق السعودي؟ وما هي أبرز التحديات التي تواجه هذا المجال؟

المجال لا يزال في مراحله الأولى من النضج، وهذا أمر طبيعي نظرًا لأن نظام حماية البيانات الشخصية (PDPL) دخل حيز التنفيذ في عام 2024.

أما التحديات، فأبرزها نقص الكفاءات والخبرات المتخصصة في مكاتب إدارة البيانات. ومع ذلك، يُعد هذا التحدي فرصة كبيرة للتطوير، حيث يُتوقع أن يشهد المجال نموًا سريعًا وزيادة في الطلب على الخبراء خلال السنوات الخمس إلى الست المقبلة، مما يجعله من أكثر المجالات الواعدة في المستقبل القريب.

  • نحن كمؤسسة لدينا مشاريع متعددة مثل التحول الرقمي (Digital Transformation)، حيث يتداخل فيها إدارة التغيير (Change Management) وإدارة المشاريع (Project Management)، بالإضافة إلى الأمن السيبراني وتقنية المعلومات. في أي مراحل المشروع يجب إدراج موضوع الخصوصية؟

في مثل هذه المشاريع، ليس من الضروري إشراك مسؤول حماية البيانات(DPO)  في جميع مراحل المشروع، لأن لديه العديد من المهام المحددة قانونيًا. يتم إشراك مسؤول حماية البيانات (DPO) بناءً على نظام التحفيز القائم على التقييم (Trigger-Based Approach)، حيث يتم استخدام استبيانات مثل Privacy Impact Assessment (PIA) . هذا التقييم العام يساعد على تحديد ما إذا كان هناك حاجة لإشراك الـ DPO.

إذا تضمن المشروع بيانات شخصية، فسيتم إشراك الـ DPO لاتخاذ قرار حول الحاجة إلى تقييم تأثير خصوصية معمق (Data Privacy Impact Assessment – DPIA) وفقًا لما يتطلبه القانون. وبالتالي، تدخل خصوصية البيانات في مراحل المشروع عند وجود بيانات شخصية تتطلب عناية وامتثالًا خاصًا.

  • إذا كان لديك خطة لتطبيق نظام حماية البيانات الشخصية، ولكن هناك متطلبات استباقية لم تُطبق بعد مثل تصنيف البيانات، كيف يمكن إدارة ذلك؟

تصنيف البيانات هو أساس تنفيذ نظام حماية البيانات الشخصية، لذا من المهم أن يتم التواصل مع مكتب إدارة البيانات لتحديد أولويات التنفيذ. بما أن تطبيق متطلبات NDMO قد يستغرق سنوات عديدة، يمكن تحديد تصنيف البيانات كأولوية عاجلة. هناك أيضًا أدوات لاسكتشاف البيانات التي تقدمها الشركات الخاصة بأتمتة الخصوصية. تَستخدم هذه الأدوات خوارزميات لتحديد جميع البيانات الشخصية المتواجدة في الأنظمة، مما يسهم في تسريع عمليات التصنيف.

بالنسبة لتداخل الأقسام، يجب تحديد ذلك بوضوح من البداية باستخدام RACI Matrix، وهو جزء أساسي منPrivacy Framework. هذا يساعد في تحديد المسؤوليات والمهام بين الأقسام المختلفة مثل الإدارة القانونية، الأمن السيبراني، وغيرها. إذا لم تكن هذه المسؤوليات واضحة منذ البداية، قد تحدث مقاومة أو تداخلات في تنفيذ النظام. لذا، يجب تحديد الأساس بشكل صحيح منذ البداية لضمان التنسيق والتعاون الفعّال.

  • ما هو أفضل نهج لتطبيق ROPA وهل يختلف عن تصنيف البيانات؟
    (ROPA سجلات أنشطة معالجة البيانات الشخصية) يختلف تمامًا عن التصنيف. لفهم تنفيذه بشكل كامل، يمكنك الرجوع إلى الدليل الاسترشادي لسجلات أنشطة معالجة البيانات الشخصية الذي تقدمه سدايا، حيث يوضح التفاصيل بشكل دقيق.  ROPAS يشبه الاستبيان الذي يحدد نوع البيانات المعالجة، مدة الاحتفاظ بالبيانات، المسوغ القانوني لمعالجة البيانات (مثل المصلحة المشروعة، موافقة صاحب البيانات، إلخ).
  • ماذا إذا كان حجم المنشأة كبير جدًا؟
    سيكون تطبيقROPAS تحديًا كبيرًا، ولكن ليس من مسؤوليات مسؤول حماية البيانات تعبئة كل ROPAS، بل الإشراف عليها فقط، بالتعاون مع Data Owner أو الأقسام المسؤولة عن معالجة البيانات، مع دعم استشاري من خبراء خارجيين إذا لزم الأمر.
  • ما هو أفضل نهج لدور المستشار القانوني؟ أين تكون مسؤولياته، وأين بالضبط يمكن الاستعانة به كـ DPO، دون الحاجة للرجوع إليه في كل مرة؟

مسؤول حماية البيانات يجب أن يكون شخصًا فاهمًا في القانون ومدركًا لاتفاقيات مستوى الخدمة (SLAs) أو المدة الزمنية التي تحددها سدايا. على سبيل المثال، إذا تحدثنا عن حقوق أصحاب البيانات ومتى يمكن الاعتماد علىDPO لتحقيق رغبات أو طلبات أصحاب البيانات، فالقانون بشكل عام يحدد أن DPO مسؤول عن إتمام العملية، ولكن هل هو الشخص الذي يمتلك البيانات كلها؟ لا.

DPO سيكون على دراية بمكان البيانات من خلال الأنظمة والبرامج التي تساعده في تحديد مكان وجود هذه البيانات، ويتواصل مع الأقسام المعنية لتوفير جميع المعلومات ضمن اتفاقيات مستوى الخدمة المحدد (30 يومًا)، وإذا لم يتمكن من توفيرها خلال هذه الفترة، يمكنه تمديدها لمدة 30 يومًا أخرى.

كجزء من نموذج العمل الجديد، بدأت مكاتب المحاماة بتقديم خدمات الـ DPO، حيث يمكنهم تقديم استشارات قانونية تشمل: نصائح حول جميع الإجراءات، التأكد من تسجيل ROPAS، تقييم تسريبات البيانات، ضمان تحقيق حقوق أصحاب البيانات

إذا فضلت الجهة أن يكون DPO موظفًا خارجيًا، فإن مكاتب المحاماة يمكنها أن تلعب هذا الدور. لكن في الجهات الكبيرة، غالبًا ما يكون DPO موظفًا داخليًا.

  • نحن الآن نستخدم نفس طريقة الكول سنتر حيث نستقبل مكالمات تحتوي على أسماء وأرقام وهوية وغيرها من البيانات الشخصية. هل سياسة الخصوصية الموجودة على الموقع كافية لحفظ الحق في استخدام هذه البيانات ومعالجتها لأغراض العمل أو الإحصائيات، أم أنه يجب إضافة بعض البنود إلى السياسة أو إبلاغ العميل أثناء المكالمة بأننا سنحتفظ ببياناته؟

بناءً على القانون، وبحكم أن جمع البيانات يتم عن طريق المكالمة، يُطلب منك تزويد العميل بسياسة الخصوصية في وقت جمع البيانات أو قبل جمعها. طالما أن السياسة التي توفرها تشمل جميع البيانات التي يتم جمعها أثناء المكالمة، ويمكنك إشعار أصحاب البيانات بهذا عبر رابط يتيح لهم الاطلاع على السياسة. هذا يضمن أنهم على دراية بالبيانات التي يتم جمعها ويمنحهم موافقة ضمنية (Implied Consent) على سياسة الخصوصية. ولكن، في حالات معينة، قد يتطلب القانون موافقة صريحة (Explicit Consent)، مثل جمع بيانات حساسة.

  • هل يجب البدء بتطبيق أنظمة وقواعد حماية البيانات الشخصية على الموظفين أو على الأطراف الخارجية مثل العملاء والمستفيدين؟

هذا القرار في النهاية يعود إلى صانع القرار، حيث يحتاج إلى تحديد الأولويات، لأنه من غير الممكن تطبيق كل شيء في وقت قصير. غالبًا ما يلجأ صانع القرار إلى مبدأ “العميل أولاً”، إذ يتم التركيز على تطبيق النظام على العملاء الخارجيين. ذلك لأن التأثير المالي (Financial Impact) الناتج عن المخالفات مثل Data Breach أو انتهاك القانون قد يصل إلى ملايين، وقد يتضاعف في حالات التكرار. لكن بعيدًا عن التأثير المالي، يعتبر التأثير على السمعة هو المحرك الأساسي الذي يدفع الشركات لتنفيذ النظام أولاً على العملاء.

اختتم أ.خالد اللقاء بتشجيع المهتمين على الدخول في مجال حماية البيانات، مؤكدًا أنه مجال متسارع النمو ويحمل فرصًا كبيرة للتطوير المهني. وأكد أن تطبيق نظام حماية البيانات الشخصية ليس مجرد مشروع مؤقت، بل برنامج مستدام يستهدف تحقيق الامتثال القانوني وتعزيز ثقة أصحاب البيانات.

 

لمتابعة كامل اللقاء المسجل، يرجى زيارة صفحة الجمعية على يوتيوب (هنا)

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

موقعنا يستخدم ملفات تعريف الارتباط لتحسين تجربتك أثناء التصفح