الالتزام بنظام حماية البيانات الشخصية بين الواقع والمأمول
الالتزام بنظام حماية البيانات الشخصية بين الواقع والمأمول
هدى العمري
فريق تحرير الجمعية
في لقاء حواري استضافته جمعية إدارة البيانات السعودية (داما السعودية) في الرابع من ربيع الآخر 1446هـ الموافق 7 أكتوبر 2024م مع الخبيرة القانونية أ. بسمة السبيعي تم خلاله مناقشة التحديات والتوقعات المتعلقة بتطبيق نظام حماية البيانات الشخصية (PDPL) في المملكة العربية السعودية، الذي دخل حيز النفاذ في ١٤ سبتمبر 2024. ركز الحوار على واقع الالتزام للنظام والجهود المطلوبة لتحقيق الأهداف المنشودة في مجال حماية البيانات الشخصية.
تمحور اللقاء حول جانبين رئيسيين:
- دور المسؤولين عن تطبيق نظام حماية البيانات الشخصية في الجهات
- دور الفرد، كصاحب مصلحة رئيسي في حماية بياناته
فيما يلي الأسئلة الحوارية التي أجابت عليها الخبيرة أ. بسمة، مستندة إلى خبرتها الواسعة في مجال حماية البيانات الشخصية:
على من يتم تطبيق نظام حماية البيانات الشخصية بشكل عام؟
أشارت أ. السبيعي أن النظام يُطبق على أي جهة أو فرد يقوم بمعالجة البيانات الشخصية لأفراد سعوديين أو مقيمين داخل أراضي المملكة، سواء كان ذلك داخل السعودية أو في شركة تقع خارج المملكة لكنها تعالج بيانات تخص السعوديين. بغض النظر عن حجم المنشأة، فإن النظام يُطبق على جميع الكيانات التي تتعامل مع البيانات الشخصية لهؤلاء الأفراد.
رؤيتك للوضع الراهن فيما يتعلق بممارسات البيانات الشخصية والتحديات المرتبطة بتطبيق النظام؟
قبل دخول النظام حيّز التنفيذ، وخلال فترة السنتين التي مُنحت كمهلة للمخاطبين بأحكامه لتصحيح أوضاعهم، استقبلنا العديد من الاستفسارات. ووجدنا حاجة ملحة للتعليم والتدريب في هذا المجال، وهذه الحاجة مستمرة. ومن المرجح أن يزداد الطلب على التعليم والتدريب في السنوات القادمة.
القلق الحالي يتعلق بمتابعة الالتزام بأحكام النظام، حيث تخشى الجهات، سواء كانت حكومية أو من القطاع الخاص، وكذلك الأفراد الذين يقومون بمعالجة البيانات الشخصية، من الوقوع تحت طائلة المخالفات والغرامات والعواقب التي تترتب على ذلك. هذا يدفعهم إلى الإسراع في التأكد من التزامهم بأحكام النظام وعدم وجود أي مخالفات.
بالتأكيد، هناك تحديات تواجه الجهات، مثل الحاجة إلى الموارد سواء من ناحية الأفراد أو من ناحية الخدمات أو الأدوات التي قد تساعدهم في الالتزام بأحكام النظام.
كمسؤول عن تطبيق النظام في الجهة، كيف أضمن الالتزام؟ ومن أين أبدأ؟ وكيف أبدأ بشكل عام؟
من المهم اليوم أن تبدأ عملية الالتزام باكتشاف البيانات التي تمتلكها. عليك أن تعرف أي نوع من البيانات تستخدم، خاصة إذا كنت تتعامل مع بيانات شخصية. ركز على تحديد البيانات الشخصية التي تستخدمها، وتحديد ما إذا كانت هذه البيانات حساسة أم لا. إذا كانت البيانات حساسة، فستحتاج إلى مستوى أعلى من الحماية، وستكون هناك اشتراطات أعلى وفقاً للنظام.
عملية الالتزام ستصبح أسهل إذا اتبعت الأحكام الموجودة في النظام ولوائحه عن طريق الاستفادة من الأدوات التي أتاحتها الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا)، وهي متاحة للعامة ويمكن أن تساعدك في معرفة من أين تبدأ وكيف تبدأ. على سبيل المثال، أتاحت نماذج ومعايير للالتزام عبر منصة حوكمة البيانات الوطنية.
فعلى سبيل المثال، يوجد 20 معيار يمكن أن تأخذها كمسؤول عن الالتزام في أي جهة وتبدأ بتطبيقها على المنشأة. هذه المعايير تساعدك في معرفة الأحكام المطلوبة منك وتتيح لك الانتقال من كل معيار إلى المعيار التالي، ثم التعمق في معايير فرعية استناداً إلى اللوائح والقواعد المنظمة.
هل يمكن اعتبار هذه المعايير كمؤشرات أداء رئيسية لتطبيق النظام داخل الجهة؟
نعم، بالتأكيد، يمكن اعتبارها بداية قوية لتحقيق الالتزام. فهي توفر إطاراً يساعد في تحديد المجالات التي تحتاج إلى التركيز لضمان الالتزام وسلامة الإجراءات داخل المنشأة. استخدام هذه المعايير يساهم في مراقبة الأداء وضمان أن جميع العمليات تتم بما يتوافق مع أحكام النظام.
تطبيق النظام قد يفرض ضوابط تؤثر على سرعة العمليات اليومية المعتادة، فما هي أبرز الصعوبات في التوفيق بين متطلبات النظام القانونية والعمليات اليومية داخل الأقسام والقطاعات المختلفة في المنظمة؟
من أهم التحديات التي يواجهها المختصون في تطبيق النظام هي التعامل مع القيادة العليا، وإقناع المسؤول الأول في المنظمة بأهمية التغيير الذي يتطلبه النظام. تطبيق النظام قد يتطلب تغييرات جوهرية في العمليات أو الإجراءات، وأحيانًا بناء أنظمة جديدة أو استخدام أدوات مختلفة. إقناع المسؤول الأول بضرورة هذه التغييرات يتطلب معرفة عميقة بالنظام وقدرة قوية على الإقناع.
تحدٍ آخر يكمن في حجم المنشأة. في الجهات الكبيرة التي تضم آلاف الموظفين، يصبح من الصعب توعية الجميع بأهمية حماية البيانات الشخصية والضوابط التي يجب الالتزام بها. ثقافة التغيير هنا تلعب دورًا حاسمًا، ويجب أن تبدأ من المسؤول الأول، حيث يجب أن يقتنع هو أولًا ويتبنى هذه الثقافة، ومن ثم يتم تعميمها على بقية الموظفين.
التعميمات الرسمية واللوائح الصادرة عن الجهات المختصة، مثل الوثائق المعتمدة، أصبحت اليوم إلزامية وليست اختيارية كما كانت في الماضي. وجود هذه اللوائح والتبعات القانونية لعدم الالتزام قد يسهم بشكل كبير في إقناع المسؤولين بتبني استراتيجية التغيير وتنفيذ الإجراءات اللازمة لضمان الالتزام الكامل بالنظام داخل المنشأة.
من الناحية العملية، هل تعتقد أن تطبيق النظام قد يضع عقبات أو عراقيل، خاصة وأن بعض الأعمال قد ترى أن هذا النظام سيبطئ العمليات أو يضيف عبئا إضافيًا دون تقدير حقيقي لحجم الضوابط وأهميتها في حماية البيانات الشخصية؟
بالتأكيد هذا موضوع مهم. كلنا، كموظفين يجب أن نستشعر حرمة البيانات الشخصية وأهمية حمايتها. كما نتوقع من أي مؤسسة تتعامل مع بياناتنا الشخصية أن تحترمها وتحافظ على خصوصيتها، من الطبيعي أن يقع علينا نفس العبء تجاه بيانات الأفراد الآخرين. يجب أن نؤمن ونقتنع أن حماية البيانات حق أساسي من حقوق الإنسان، وهو منصوص عليه في النظام الأساسي للحكم قبل أن يأتي نظام حماية البيانات الشخصية.
كما نعلم، بعض الجهات تتبادل البيانات فيما بينها بهدف خلق قيمة أو إنتاج منتج أو حتى تقديم رؤى معينة. فما هي أبرز طرق التعاون أو التحديات التي قد تنشأ عند تطبيق نظام حماية البيانات الشخصية في هذا السياق، خصوصاً عندما تتعاون جهة (أ) مع جهة (ب)، وقد لا تكون الجهة (ب) بنفس مستوى النضج في مجال حماية البيانات الشخصية؟ وهل لهذا تبعات نظامية على الجهة (أ) أيضًا أم فقط على الجهة المستلمة (ب)؟
في هذا السياق، هناك مسؤولية مشتركة بين الجهة التي تتحكم بالبيانات الشخصية (الجهة (أ)) والتي تقوم بمعالجتها، وبين الجهة التي يتم الإفصاح لها عن هذه البيانات (الجهة (ب)). تقع على كلتا الجهتين مسؤولية اتخاذ التدابير والإجراءات اللازمة لضمان حماية البيانات والالتزام بجميع أحكام النظام.
إضافةً إلى ذلك، الجهة التي تقوم بمشاركة البيانات مع جهة أخرى تتحمل مسؤوليات إضافية، أهمها التأكد من توقيع عقد أو اتفاقية مع الجهة المعالجة (الطرف الثالث)، والتي ستقوم بمعالجة أو الاطلاع على البيانات الشخصية. يجب على الجهة (أ) التأكد من سلامة إجراءات الجهة (ب) والتزامها بالنظام.
هذا الأمر سيكون محل متابعة دقيقة في أي تعاقد مع طرف خارجي، حيث تطلب الجهات المختصة دليلاً يثبت أن الجهة (أ) قد تأكدت من التزام الجهة (ب) بأحكام النظام. في حال حدوث أي انتهاك للبيانات للشخصية، مثل تسريب، اختراق، أو وصول غير مشروع للبيانات الشخصية، فإن الجهات المختصة ستركز بشكل كبير على هذه النقطة عند التحقيق في مدى الالتزام بالنظام.
يعني ذلك أن عدم التزام الجهة الأخرى بالضوابط المطلوبة لا يعفيني قانونياً أو نظامياً. بل يقع على عاتقي كجهة تقوم بمشاركة البيانات الشخصية التأكد من اتخاذ جميع الخطوات اللازمة لحماية هذه البيانات؟
صحيح.
وهل اتخاذ الجهة لهذه الإجراءات يحميها من العقوبات أو التبعات، حتى لو حدث شيء مثل تسرب البيانات أو غيره؟
بشكل عام، لا نتحدث هنا تحديداً عن الممارسات في المملكة أو النظام السعودي، لكن إذا وصلت القضية إلى القضاء، حتى إذا لم تتمكن الجهة من منع الحادثة تمامًا، عادة ما يتم النظر في الاجراءات التي اتخذتها الجهة، وما إذا كانت هذه الإجراءات كافية لمنع الحادثة أو تقليل أثرها. على سبيل المثال، هل بذلت الجهة الجهد الكافي واتخذت العناية اللازمة؟ هذا يشمل أسئلة مثل: هل بحثت عن حلول تقنية مناسبة؟ هل تم تشفير البيانات؟ وما إلى ذلك.
الإجابة على هذه الأسئلة قد تؤدي إلى تخفيف الحكم على الجهة إذا ثبت أنها اتخذت جميع الإجراءات المعقولة لتجنب الحادثة، حتى لو لم تتمكن من منعها بالكامل.
ما هي الإجراءات أو التحديات التي قد تواجهها الجهات في التعامل مع البيانات الشخصية بين الأقسام المختلفة داخل الجهة؟ وكيف يمكن لتطبيق النظام والضوابط الخاصة به أن يغير طريقة العمل؟
اليوم، يقع على عاتق مكاتب إدارة البيانات في الجهات الحكومية وغيرها عبء كبير في قيادة التغيير فيما يتعلق بحماية البيانات الشخصية. هذه المكاتب تعتبر صانعة للتغيير، ولديها دور أساسي في إقناع قادة المنشآت بأهمية التغيير ووضع الإجراءات والسياسات والضوابط اللازمة، بالإضافة إلى نشر الوعي بين الإدارات الأخرى.
على سبيل المثال، قد يتعاون مكتب إدارة البيانات مع إدارات مثل الأمن السيبراني أو التحول الرقمي في تطوير نظام أو خدمة جديدة من الصفر. في هذا السياق، يلعب مكتب إدارة البيانات دورًا استشاريًا لضمان حماية البيانات الشخصية منذ البداية. يمكن للمكتب أيضًا تعريف الإدارات بمفاهيم جديدة مثل الخصوصية بشكل تلقائي أو الخصوصية بالتصميم (Privacy by Default, Privacy by Design) وغيرها من مبادئ حماية البيانات الشخصية. حيث يعد كل من مسؤول حماية البيانات (DPO) ومكتب إدارة البيانات المسؤولين عن إيصال هذه المفاهيم إلى الإدارات الأخرى.
ما هو المنهج الأساسي المتبع للالتزام بنظام حماية البيانات الشخصية؟ هل تطبيق النظام ولوائحه كافٍ، أم يجب أيضًا الالتزام بالدليل الاسترشادي الصادر من الجهة المختصة؟ وما هي الفروقات بين النظام، اللائحة، الدليل الاسترشادي، وغيرها من الإصدارات؟
بالتأكيد، الوثائق التي تصدرها الجهة المختصة تهدف إلى تسهيل تطبيق النظام على المخاطبين بأحكامه ومساعدتهم في الالتزام. بعض هذه الوثائق تعتبر مكملة للنظام وملزمة، مثل القواعد التي تحدد تعيين مسؤول حماية البيانات الشخصية، والضوابط والإجراءات، وأيضاً اللائحة التنفيذية التي تصدر بناءً على النصوص الواردة في النظام. يتم تحديد مدى إلزامية كل وثيقة بناءً على النصوص الموجودة في النظام نفسه، وأحياناً تجد في مقدمة الوثيقة توضيحاً يشرح مدى إلزاميتها لتسهيل الفهم.
من ناحية أخرى، هناك أدلة استرشادية ونماذج تقدمها الجهة المختصة، وهي غير ملزمة، بل تهدف إلى تقديم دعم إضافي وتوجيهات استناداً إلى تجارب وممارسات معيارية (benchmarks). تبقى هذه الأدلة والنماذج اختيارية، حيث يمكنك اتباعها إذا رأيت أنها تناسب احتياجاتك، ولكنها ليست جزءًا من الالتزامات النظامية.
كم سياسة أحتاج لتطبيق نظام حماية البيانات الشخصية؟ هل نكتفي بسياسة الخصوصية وسياسة حماية البيانات الشخصية فقط، أم نحتاج سياسات إضافية؟
كمسؤول حماية بيانات شخصية، يمكنك البدء بـسياسة حماية البيانات الشخصية الداخلية للمؤسسة، وهي السياسة التي يتم إعدادها بالتعاون مع القسم القانوني. هذه السياسة ستكون بمثابة الإطار التنظيمي الكامل فيما يتعلق بالبيانات الشخصية، وتحدد المبادئ الأساسية وآليات التعامل مع البيانات بما يتماشى مع أحكام النظام.
بعد ذلك، يمكنك الانتقال إلى سياسة الخصوصية وغيرها. بعض الأمور قد تتطلب إجراءات بدلاً من سياسات، مثل تطوير إجراءات لحماية البيانات الشخصية في نظام الكتروني معين، أو وضع ضوابط الأمن السيبراني. ليس كل ما يتطلبه النظام يجب أن يكون سياسة، بل يمكن أن يكون مجموعة من الإجراءات أو الضوابط حسب حاجة المنشأة وآلية عملها.
هل يلزم وجود سياسة خصوصية منفصلة لأصحاب البيانات وسياسة خصوصية أخرى لموظفي الجهة داخلياً، بحيث تتناول كل واحدة البيانات الشخصية ضمن نطاقها المختلف؟
نعم، صحيح. السياسة الداخلية للتعامل مع البيانات الشخصية تكون موجهة إلى الموظفين داخل المنشأة. هذه السياسة توضح لهم الأطر والإجراءات التي يجب اتباعها عند التعامل مع البيانات الشخصية داخل الجهة، وتحدد كيفية التعامل مع تلك البيانات بما يتماشى مع أحكام النظام.
أما سياسة الخصوصية الموجهة للعملاء أو المستخدمين الذين تعالج المنشأة بياناتهم الشخصية، فهي تختلف. هذه السياسة توضح كيفية استخدام وحماية بياناتهم الشخصية لأغراض الأعمال التي تقوم بها المنشأة.
لو كانت الجهة تمتلك أكثر من منصة أو موقع إلكتروني، هل يلزم وجود سياسة خصوصية منفصلة لكل منها؟
إذا كان الموقع والتطبيق، على سبيل المثال، يجمعان نفس البيانات ويعتمدان على نفس نظام (backend) ونفس خيارات التعامل مع البيانات، ففي هذه الحالة قد تكون سياسة خصوصية واحدة كافية لتغطية كلاهما. ولكن إذا كانت كل منصة أو موقع يقدم خدمة مختلفة، أو يعتمد مثلاً على استضافة (hosting) مختلفة، أو يتعامل مع البيانات بآلية مختلفة، فإن الجهة ملزمة بوضع سياسة خصوصية منفصلة لكل موقع أو منصة، وفقًا لنوع البيانات الشخصية التي يتم جمعها وكيفية التعامل معها.
بالطبع، هناك بعض الممارسات الخاطئة في هذا المجال. في بعض الأحيان نجد أن سياسات الخصوصية غير قابلة للقراءة بسبب طولها، حيث تفتقر إلى الوضوح. وهذا النهج خاطئ، لأن طول السياسة لا يعني الالتزام بالنظام.
هناك ممارسات رائدة في سياسات الخصوصية تستخدم نهجًا متعدد الطبقات (multi-layered)، أو تعتمد على أيقونات لتوضيح المعلومات، وتتواصل مع المستخدمين بطريقة تناسبهم، وباستخدام لغة بسيطة وسهلة الفهم. هذه الممارسات تساعد في توضيح الغرض من سياسة الخصوصية بطريقة مباشرة ومفهومة.
في الجهات الكبيرة ذات الحجم الكبير، ما هي أفضل منهجية أو آلية لتطبيق سجلات معالجة البيانات الشخصية (RoPA)، خصوصاً مع تعدد الأنظمة ودورة حياة البيانات في مختلف مراحلها؟
بالطبع، يمكنني تصور حجم القلق الذي يواجهه مسؤولو حماية البيانات (DPOs) في الجهات متعددة الإدارات والتي تتعامل مع حجم كبير من البيانات. كل شيء يبدأ من الخطوة الأولى، وهي مسؤولية DPO في ضمان الالتزام. في المنشآت الصغيرة، قد يكون من السهل فتح ملف Excel واستخدام النموذج المنشور من الجهة المختصة أو الجمعية لتعبئته. ولكن عندما نتحدث عن منشأة كبيرة بها إدارات متعددة وأنظمة موزعة عبر مناطق مختلفة في المملكة، يصبح الوضع أكثر تعقيداً.
في حالة تعدد الإدارات التي تتعامل مع أنواع مختلفة من البيانات، فإن أفضل نهج هو البدء بـ ورشة عمل تدريبية بسيطة لتوضيح النموذج الذي سيتم استخدامه. يجب على DPO تبسيط النموذج قدر الإمكان بحيث يمكن لكل إدارة فهمه بسهولة وتعبئته بشكل صحيح. يُفضل أن يكون النموذج مؤتمتًا، مع صلاحيات وصول للإدارات المختلفة لتحديث البيانات بسهولة.
كما يجب على DPO تقديم استشارات وتوجيهات لكل إدارة حول كيفية تعبئة النموذج بشكل صحيح. المتابعة الدقيقة ضرورية هنا للتأكد من أن جميع الإدارات ملتزمة بتعبئة السجلات. إذا تم التعميم دون متابعة، قد تلتزم بعض الإدارات بينما يتجاهل البعض الآخر، مما يؤدي إلى نقص في الالتزام.
يتعين على DPO التأكد من أن جميع المعنيين يفهمون أن هذا متطلب إلزامي وأحد أهم المعايير المطلوبة من الجهات المختصة. هذا السجل لا يحمي فقط حقوق المنشأة، بل يسهل عليها الالتزام مستقبلاً. من خلال التعميم، التدريب، والمتابعة، يمكن ضمان الالتزام الكامل. بالإضافة إلى ذلك، يمكن تسهيل النموذج عن طريق إضافة قوائم منسدلة (drop-down lists)، خيارات، وأمثلة لتوضيح الأغراض النظامية والاحتياجات الفعلية، مما يسهل على العاملين فهم النموذج وتعبئته بشكل صحيح.
ما هو دور مكتب إدارة البيانات في المنظمات داخل الجهات في دعم نظام حماية البيانات الشخصية وتطبيقه، وما هو الدور المتوقع منه في بناء ثقافة الامتثال الداخلية؟
بالتأكيد، كما تحدثنا سابقاً بشكل مختصر، يلعب مكتب إدارة البيانات دوراً كبيراً في نشر ثقافة التغيير وتعزيز أهمية الالتزام بأحكام نظام حماية البيانات الشخصية. خلال السنوات الماضية، وخاصة مع مرور أكثر من أربع سنوات على تأسيس بعض المكاتب، أصبحت هذه المكاتب تملك الوعي والخبرة الكافية لتأدية هذه المهام بفعالية.
من المتوقع أن يقوم مكتب إدارة البيانات بتقديم التدريب والتوعية للموظفين حول النظام وضرورة الالتزام بأحكامه. يمكنهم إما القيام بالتدريب بأنفسهم أو الاستعانة بخبراء خارجيين نظرًا لمعرفتهم وعلاقاتهم في هذا المجال. التدريب ليس خيارًا، بل هو واجب منصوص عليه في النظام، ويعتبر جزءًا أساسيًا من دور المكتب لضمان أن جميع الموظفين يفهمون كيفية التعامل السليم مع البيانات الشخصية.
هذا الدور حاسم لأنك لا تريد أن تواجه في المستقبل مخالفة بسبب خطأ بسيط من أحد الموظفين نتيجة لعدم معرفته الكافية، مثل التعامل مع البيانات بطريقة خاطئة مما يؤدي إلى اختراق أو انتهاك. لذلك، من المهم أن يتم إيصال الوعي الأساسي إلى جميع الموظفين داخل المنشأة لضمان الالتزام الكامل.
بالإضافة إلى دورهم في إدارة البيانات بشكل عام، يجب أن يركز مدير مكتب البيانات بشكل خاص على حماية البيانات الشخصية خلال الفترة القادمة، وذلك لتعزيز مستوى التزام الجهات. هذا التركيز سيسهم في رفع مستوى الالتزام وضمان تطبيق أحكام النظام بشكل أكثر فعالية داخل المنشأة.
هل يجب الحصول على موافقة لكل عملية معالجة للبيانات على حدة، أم يمكن الاكتفاء بموافقة واحدة لأكثر من عملية معالجة لضمان الالتزام بالنظام؟
أحد أهم المبادئ في النظام هو الحق في العلم، وهو القاعدة الأساسية. إذا لم تقم بإخطار صاحب البيانات بشكل واضح وصريح حول البيانات التي تم جمعها، وكيفية التعامل مع كل بيان على حدة، والغرض من جمعه، فإن ذلك لا يُعد التزاماً كافياً بالنظام. بغض النظر عما إذا كانت المعالجة تتم لمرة واحدة أو لعدة مرات أو في عقود مختلفة، فإن الأهم هو إيصال المعلومات كاملة لصاحب البيانات.
يجب أن يتم إعلام صاحب البيانات بشكل شفاف وواضح بكل البيانات التي سيتم جمعها، وأن تتضمن سياسة الخصوصية كل التفاصيل بطريقة واضحة وسهلة الفهم. إذا وافق صاحب البيانات على هذه الشروط، تعتبر الموافقة كاملة وصحيحة. أما إذا تم إعلامه ببيان واحد فقط بينما يتم جمع بيانات متعددة دون إخطاره، فإن هذه الموافقة غير كافية ولا تلبي اشتراطات النظام.
هل يتم التعامل مع البيانات الخاصة بالموظفين داخل المنظمة بنفس الطريقة التي يتم بها التعامل مع بيانات العملاء والزوار من خارج الجهة من ناحية الموافقات والسياسات؟
نعم، النظام ينطبق على الجميع، وعلى كافة عمليات معالجة البيانات الشخصية لأغراض تخرج عن الاستخدام الشخصي أو العائلي.
كيف كانت تجربة الدول المختلفة في تطبيق الأنظمة المشابهة لحماية البيانات الشخصية؟ كيف بدأت رحلتهم في هذا المجال، وما هي تجربتهم في إنفاذ تلك الأنظمة وضمان الالتزام بها؟ وما هي الدروس التي يمكننا الاستفادة منها من هذه التجارب؟
اللائحة العامة لحماية البيانات للاتحاد الأوروبي (GDPR) تُعد واحدة من أكثر الأنظمة شهرة وأهمية عالميًا في مجال حماية البيانات الشخصية. عند إصدارها في 2016 وبداية إنفاذها في 2018، تم التنبؤ باستحداث وظائف جديدة بسبب الحاجة لتعيين مختصين يتولون التأكد من تطبيق النظام، حيث توقعت الدراسات أن يتم خلال السنة الأولى من تطبيق النظام توظيف 75,000 شخص كمسؤول لحماية البيانات الشخصية في الاتحاد الأوروبي. ولكن في 2019، تجاوز العدد 500,000 موظف تم تعيينهم كمسؤولي حماية بيانات شخصية في الاتحاد الأوروبي، وهو ما يعكس الطلب الكبير غير المتوقع. هذا يوضح أن هناك فرص وظيفية كبيرة في السعودية أيضًا، خاصة مع تطبيق نظام حماية البيانات الشخصية. فغن العديد من الجهات ستكون ملزمة بتعيين مسؤول حماية البيانات الشخصية، مما يفتح المجال لوظائف جديدة. بالإضافة إلى ذلك، يُعتبر دخل هذه الوظيفة جيدًا إلى مرتفع كما نرى في الدول الأخرى، ما يجعلها فرصة وظيفية واعدة للشباب السعودي.
ما أهمية دور مسؤول حماية البيانات الشخصية وأهميته كمسار وظيفي، وكيف يمكن للشخص البدء إذا كان مهتمًا بالمجال؟
مسؤول حماية البيانات الشخصية يلعب دورًا حيويًا في دعم المنشأة وضمان الالتزام بأحكام نظام حماية البيانات الشخصية. يجب أن يكون لديه خلفية تعليمية مناسبة مثل الأمن السيبراني، تقنية المعلومات، أو القانون، إلى جانب وعي كافٍ بالتنظيمات المتعلقة بحماية البيانات الشخصية. بالإضافة إلى التعليم الأكاديمي، يُفضل الحصول على تدريبات وشهادات مهنية في هذا المجال. الشخص الذي يرغب في البدء يمكنه أن يبدأ من خلال الدورات المتاحة عن بُعد، وتعلم الأساسيات بشكل ذاتي، والتدرّب على التعامل مع البيانات الشخصية. يمكنه كذلك ممارسة هذا الدور، التعلم من الأخطاء، والتطوير المستمر.
دور مسؤول حماية البيانات الشخصية يشمل تقديم الاستشارات، التعامل مع حوادث تسرب البيانات، التواصل مع الجهات التنظيمية، وتمكين أصحاب البيانات من الوصول إلى بياناتهم وممارسة حقوقهم. كما يجب عليه تدريب الموظفين لضمان الالتزام والسيطرة على أي مخاطر متعلقة بالبيانات الشخصية.
تجارب الدول في تطبيق نظام حماية البيانات الشخصية:
توجد ممارسات مختلفة حول العالم فيما يتعلق بأنظمة حماية البيانات الشخصية، حيث استعرضت أ. السبيعي تجربتين رائدتين في هذا المجال.
١- الولايات المتحدة الأمريكية، التي تُعد موطنًا للشركات التقنية العالمية، شهدت العديد من الحالات التي نستطيع التعلم منها.
- الحالة الأولى تتعلق بأمازون، التي تم تغريمها 5.8 مليون دولار بسبب مخالفتها لضوابط حماية البيانات الشخصية. المخالفة جاءت من خلال منتج “Ring” الذي يحتوي على كاميرات تصوير. المشكلة كانت أن أمازون لم تضع ضوابط وإجراءات مناسبة للوصول إلى الفيديوهات التي تم تصويرها. الموظفون كان لديهم وصول كامل للفيديوهات، بما في ذلك تسجيلات في غرف النوم وغرف الأطفال، مما أثار حساسية عالية حول انتهاك الخصوصية. جميع المتضررين حصلوا لاحقًا على استرداد وتعويض.
- الحالة الثانية تتعلق بأمازون ـ”Alexa“والتي تم تغريمها ٢٥ مليون دولار، حيث تم اكتشاف أن أمازون كانت تحتفظ بتسجيلات صوتية للأطفال لتدريب الذكاء الاصطناعي دون موافقة الأهل أو شفافية في سياسة الخصوصية. كما لم توفر أمازون أي خيار للأهل بإتلاف البيانات المحفوظة، مما يعد انتهاكًا واضحًا لحماية البيانات الشخصية.
٢- أيرلندا، التي تُعد اليوم مركزًا رئيسيًا لشركات التقنية في الاتحاد الأوروبي، حيث تلعب هيئة حماية البيانات (DPC) دورًا قياديًا في قضايا حماية البيانات الشخصية. وهنا بعض الحالات البارزة:
- الحالة الأولى: قبل أسبوعين، تم فرض غرامة على شركة Meta بمبلغ 91 مليون يورو بسبب تخزين كلمات المرور بدون تشفير، مما أدى إلى تسرب بيانات هائل. هذه الحادثة تُظهر أهمية اتخاذ إجراءات احترازية مثل تشفير البيانات.
- الحالة الثانية: في 2023، تعرضت Meta لغرامة قدرها 1.2 مليار يورو لنقلها بيانات المستخدمين من الاتحاد الأوروبي إلى الخارج دون الالتزام بضوابط حماية البيانات المنصوص عليها في GDPR.
- الحالة الثالثة: في إحدى المنشآت الصحية في أيرلندا، تم اختراق بيانات 70 ألف مريض، بما في ذلك إتلاف 20 ألف ملف مريض بدون نسخ احتياطية. الغرامة كانت 345 ألف يورو، مما يبرز أهمية حماية البيانات الحساسة مثل البيانات الصحية.
- الحالة الرابعة: في قضية تيك توك، تم فرض غرامة قدرها 345 مليون يورو في 2023 بسبب تعاملها غير الشفاف مع بيانات الأطفال، واعتماد سياسة (public by default) بدلاً من (Privacy by default) التي لم تراعي حماية البيانات الشخصية للأطفال.
- الحالة الخامسة: حديثًا، قامت منصة X بتحليل بيانات المستخدمين في تغريداتهم بدون موافقة لتطوير تقنيات مشابهة لـChatGPT، مما أدى إلى تدخل DPC ، والذي ترتب عليه أن تعلن المنصة إيقاف هذه العمليات في الاتحاد الأوروبي، رغم استمرارها في باقي العالم.
هذه الحالات تسلط الضوء على أهمية الالتزام الصارم بضوابط حماية البيانات، وحجم الغرامات الكبيرة التي تواجه الجهات التي تخالف هذه الضوابط.
عند الرغبة في الحصول على خدمة من مقدم خدمة، مثل عيادة أو تطبيق إلكتروني، هل يحق لي رفض استخدام بياناتي الشخصية؟
نعم، بالتأكيد. النظام يمنحك حق العلم وحق الموافقة، وهما مرتبطان ببعض بشكل أساسي. إذا كانت الخدمة التي تُقدَّم لك يمكن تقديمها كاملة دون الحاجة لجمع بيانات شخصية غير ذات صلة، يحق لك الرفض.
على سبيل المثال، إذا زرت عيادة أسنان وطلبوا منك الموافقة على جمع بياناتك الشخصية لتسجيلها في ملفك الصحي، فهذا طبيعي. لكن إذا تضمنت الموافقة بندًا ينص على جمع صورك لنشرها على وسائل التواصل الاجتماعي الخاصة بالعيادة بغرض التسويق، ولا يوجد خيار للرفض الجزئي، يحق لك رفض هذا البند وتوضيح أنه مخالف لأحكام النظام، حيث أن جمع الصور الشخصية لا يرتبط مباشرة بتقديم الخدمة العلاجية. يجب أن يتم احترام حقك في الرفض عندما لا تكون البيانات ضرورية لتقديم الخدمة.
كفرد، كيف يمكنني التقدم بشكوى ضد الجهات لمخالفتها النظام في مختلف مراحله؟
إذا لاحظت مخالفة للنظام، يمكنك أولاً التوجه إلى الجهة التي ارتكبت المخالفة وطلب تصحيح الأمر، مثل إتلاف بياناتك أو إيقاف الإعلانات غير المرغوب فيها، أو أي مخالفة أخرى تمت بدون موافقتك أو دون اتباع الإجراءات المنصوص عليها في النظام. في حال عدم استجابة الجهة لطلبك، يمكنك دائمًا اللجوء إلى الجهة المختصة (سدايا)، التي توفر عبر منصة حوكمة البيانات خدمة تقديم الشكاوى بشكل رسمي.
أسئلة الحضور:
ما هي الطريقة الصحيحة والقانونية لمشاركة البيانات الشخصية مع المدقق الخارجي؟
يجب أن يتم توقيع اتفاقية مع المدقق الخارجي تضمن التزامه بجميع أحكام النظام والضوابط الخاصة بحماية البيانات الشخصية. هناك مسؤولية مشتركة بينك وبين المدقق في حماية هذه البيانات.
كيف يمكن لجهة التحكم التأكد من التزام جهة المعالجة بالنظام؟
يمكنك إجراء عمليات تدقيق من خلال إرسال موظفين للتأكد من وجود الإجراءات المتبعة فعلياً وليس فقط على الورق أو من خلال البريد الإلكتروني. لك الحق في إرسال مدققين أو استخدام أي طريقة تضمن لك التحقق من سلامة الإجراءات لديهم.
كيف سيتم التحقق من الامتثال ومن هي الجهة المسؤولة؟
نظام حماية البيانات الشخصية مثل أي نظام في السعودية، يحدد الجهة المختصة بالإشراف على تطبيقه. في هذه الحالة، الجهة هي الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا).
هل حفظ بيانات التواصل يسبب مشكلة، خصوصاً في الكيانات التجارية أو الأفراد؟
لن تكون هناك مشكلة إذا كنت ملتزمًا بأحكام النظام، ولكن بيانات التواصل تُعتبر من البيانات الشخصية، وبالتالي تنطبق عليها أحكام النظام.
كيف يؤثر النظام على استخدام البيانات الشخصية وبيانات التواصل لأغراض تسويقية؟
النظام السعودي يركز على التسويق المباشر، ويتطلب الحصول على الموافقة المسبقة (opt-in)، كما يجب توفير خيار إلغاء الاشتراك (opt-out) في كل عملية تسويق. يتعين عليك أخذ موافقة واضحة قبل بدء التسويق وتوفير خيار إلغاء الرسائل التسويقية في كل تواصل.
هل يعد تعقيد عملية إلغاء الاشتراك امتثالًا للنظام؟
من المحتمل أنه إذا كانت عملية إلغاء الاشتراك معقدة أو ملتوية، فهذا يُظهر عدم التزامك الكامل بأحكام النظام. يجب أن تكون عملية إلغاء الاشتراك بنفس سهولة الموافقة، فكلما زاد تعقيد العملية، كلما أثبت ذلك عدم التزامك للنظام بشكل كافٍ.
هل سياسة الخصوصية كافية لحفظ البيانات الشخصية ومشاركتها لأغراض العمل؟
سياسة الخصوصية هي إشعار يُبين للمستخدم كيفية استخدام بياناته. لكنها ليست كافية بمفردها. يجب أن تكون هناك إجراءات داخلية مكتوبة تضمن حماية البيانات الشخصية.
ما هي الإجراءات التي يمكن أن تتخذها الجهات للتعامل مع مشاركة البيانات الشخصية خارج الحدود؟
هناك ضوابط وإجراءات منصوص عليها في اللائحة الخاصة بنقل البيانات الشخصية خارج المملكة. يتعين على الجهة اتباع هذه الضوابط واختيار الوسيلة التي تضمن حماية البيانات، سواء كانت عبر قواعد مشتركة ملزمة أو غيرها. يجب التأكد من أن الجهة الثالثة أو المعالجة ملتزمة بضوابط اللائحة وبأحكام نظام حماية البيانات الشخصية السعودي.
ما هي الإجراءات المطلوبة للحصول على موافقة الأفراد على معالجة بياناتهم؟ وهل يكفي إشعار الخصوصية؟
إشعار الخصوصية وحده لا يُعتبر موافقة، بل هو جزء من عملية الحصول على الموافقة. يجب أن توضح الجهة للمستخدمين كيفية التعامل مع بياناتهم قبل أو أثناء الإجراء. في بعض الحالات، يجب الحصول على موافقة صريحة ومكتوبة، كما يجب توثيق هذه الموافقات في سجلات معالجة البيانات.
ما هي الخطوات التي يمكن للفرد اتخاذها لإثبات انتهاك البيانات الشخصية؟
بعض الانتهاكات لا تتطلب الوصول إلى الأنظمة الداخلية للشركة. إذا تم مثلاً منعك من ممارسة حقك في إتلاف البيانات أو حصلت على تسويق مباشر دون موافقة، يمكنك توثيق ذلك عبر لقطة شاشة أو غيرها من الأدلة، وتقديمها للجهة المختصة التي ستتولى التحقق من صحة المخالفة.
ما هي النصائح للشركات الناشئة والمتوسطة والصغيرة فيما يتعلق بحماية البيانات الشخصية؟
على الشركات الناشئة والمتوسطة والصغيرة الالتزام بالنظام حتى مع محدودية الإمكانيات. يجب تدريب الموظفين على الالتزام لأحكام النظام منذ البداية، لأن تأسيس ثقافة الالتزام في مراحل مبكرة أسهل من تعديل العمليات في الشركات الكبيرة. عدم توفر الموارد ليس عذراً لتأخير الالتزام بالنظام.
في الختام، أكدت الخبيرة أ. بسمة أن الالتزام بنظام حماية البيانات الشخصية يتطلب تغييرًا ثقافيًا واستراتيجيًا على مستوى الجهات. تحتاج الجهات إلى اتباع أفضل الممارسات العالمية وتطوير سياسات واضحة تضمن حماية بيانات الأفراد. في المستقبل، من المتوقع أن يصبح الالتزام بالنظام جزءًا لا يتجزأ من العمليات اليومية، مما يضمن حماية أفضل للبيانات الشخصية في المملكة.
يمكنك متابعة اللقاء بالكامل على قناة الجمعية في اليوتيوب هنا.