؟GDPR ماهو
قانون حماية المعلومات العامة
General Data Protection Regulation
قانون حماية المعلومات العامة (GDPR) هو قانون اوروبي تم اعتمادة بتاريخ ١٤ ابريل ٢٠١٦م واتيحت الفرصة للجميع لتطبيقه على مدى سنتين. بدأ تطبيقه رسميا قبل اربعة ايام بتاريخ ٢٥ مايو ٢٠١٨م. لذا القانون الآن مفعل ولذلك من المهم معرفة تفاصيل القانون وتأثيره علينا.
من وجهة نظري ارى انه من المهم لصاحب كل شركة او تطبيق او خدمة على الانترنت التعرف على القانون ومعرفة تأثيره على عمله لاتخاذ الاجراءات اللازمة لحماية منشأته من اي خطر او غرامات، فغرامة المخالفة قد تصل لملايين الريالات !!
تصل الغرامة الى ٤٪ من كامل الدخل او
٢٠ مليون يورو أيهما أعلى!
تجب الاشادة هنا ان الاتحاد الاوروبي تحرك مبكرا وقبل الجميع لحماية مواطنية من استغلال شركات الانترنت العملاقة وخاصة امثال فايسبوك وقوقل وخلافهم. حيث تتاجر هذه الشركات بمعلومات الأفراد. الجدير بالذكر انهم يجمعونها عن طريق تقديم خدمات مجانية رائعة فيقبل عليها الناس غير مدركين انهم هم السلعة.
وما حدث منذ فترة وجيزة من فضيحة تسرب معلومات سرية لعملاء عن طريق خدمة فايسبوك الا دليل واضح على اهمية وجود قوانين صارمة لحماية الخصوصية وسرية المعلومات لاي فرد. وللتوضيح فقد اتضح ان فايسبوك التي تقدم خدماتها مجانا لتجمع معلومات المستخدمين بكميات هائلة، تقوم فيما بعد ببيع معلوماتنا السرية والتي قد تحوي صورنا على فايسبوك، معلومات اصدقائنا، ما نفضله من خدمات او مجموعات، ما هي اهتماماتنا الشخصية، ما نوع الأكل الذي نحبه والذي لا نحبه وقس علي ذلك الكثير مما يمكن ان يتجمع عبر السنوات من الاستخدام اليومي المستمر.
لذا فان مثل هذه القوانين هدفها الاساس حماية الافراد واعطائهم القوة التي يحتاجونها لحمايتهم من عبث الشركات الكبيرة ولذا فهي قوانين مرحب بها.
دعونا نشرح اهم حقوق الفرد كما يضمنها قانون حماية المعلومات العامة الاوروبي (GDPR):
١. حق مسح البيانات الشخصية (Right to be forgotten/erased):
يحق للفرد ايا كان (موظف، مستخدم او عميل) ان يطالب اي شركة بمسح بياناته الشخصية. وعلى الشركة ان تستجيب لهذا الطلب مع اعطاء صاحب الطلب وصلا رسميا يثبت مسح بياناته كاملة بناءا على طلبه.
٢. حق نقل البيانات الشخصية (Portability):
يحق للفرد ايا كان (موظف، مستخدم او عميل) ان يطالب اي شركة بنقل بياناته الشخصية كاملة الى شركة اخرى دون اي تكلفة. وعلى الشركة ان تستجيب لهذا الطلب مع اعطاء صاحب الطلب وصلا رسميا يثبت ذلك.
٣. حق الوصول للبيانات الشخصية (Right for Access):
يحق للفرد ايا كان (موظف، مستخدم او عميل) ان يعلم من يدخله على بياناته او يحصل على نسخة منها.
٤. حق حماية البيانات الشخصية (Privacy by Design):
يجب على الشركة حماية معلومات الافراد من السرقة او الدخول غير المصرح به او العبث بها. لذا يجب ان تراعى سرية البيانات والخصوصية من اساس تصميم الشبكات والبنية التحتية والبرامج وقواعد المعلومات.
٥. حق الابلاغ عند الاختراق (Breach Notification):
يجب على الشركة ابلاغ المستخدمين في حالة اي اختراق لبياناتهم في فترة لا تتعدى ٧٢ ساعة من وقت معرفة الشركة بالاختراق.
وقد حصل هذا الامر مع عدة شركات مؤخرا منها تويتر التي تحركت بسرعة وابلغت عملائها. ولكن لم تبلغ شركة كريم مثلا عملائها بالاختراق الذي حصل لها الا بعد مضي اشهر على الاختراق. مما قد يتسبب بضرر على الافراد مثل استخدام بطاقاتهم الائتمانية بشكل غير قانوني من قبل المخترقين.
على من ينطبق القانون؟
ببساطة شديدة ينطبق القانون على كل الشركات الاوروبية واي شركة خارج اوروبا تتعامل مع مواطنين من اوروبا او تقدم خدمات لهم ينتج عنها تجميع بيانات لهم.
وفي جميع الاحوال انصح بقراءة المزيد وبالاستعانة بمحامي مرخص ومتمكن في القانون الدولي وقانون GDPR لمساعدتك في استيعاب ما تحتاج عمله من خطوات لتكون شركتك جاهزة لهذا القانون.
ما هي خطوات التطبيق؟
من الصعب سرد جميع الخطوات في هذه المقالة لطول شرحها واهمية الاسهاب في بهض النقاط. ويوجد على الانترنت الكثير من المواقع التي توضح الموضوع مثل:
شكر خاص!
اود تقديم الشكر للزملاء لسماحهم لي بالاقتباس من بعض كتاباتهم بالموضوع جزاهم الله خير:
د. خالد العيسى - تويتر: AlissaKhalid
م. عبد الله العيسى - تويتر: abdullah_te
قيس العيسى - ٢٩ مايو ٢٠١٨م