من المؤكد أنك خلال الأسابيع والأيام الأخيرة وجدت عبارة GDPR أمامك في كل مكان ووصلك عشرات الرسائل الإلكترونية من مختلف الخدمات الإلكترونية التي تستخدمها تخبرك بأن خدمتهم بدأت تلتزم باللوائح الجديدة. وأيضاً في أخبار على الهامش تحدثنا عدة مرات عن بعض الأمور المتعلقة بهذا القانون. وبالأمس 25 مايو 2018 بدأ التطبيق الرسمي للقانون. فما الذي سنشعر به أو نجده حقاً بعد التطبيق؟

بعد بداية سريان GDPR ما التغيرات التي سنجدها؟


ما هو قانون GDPR؟

قانون GDPR هو قانون في الاتحاد الأوروبي مهتم بالخصوصية ويلزم الشركات بعدة أمور لحماية بيانات مستخدمي الاتحاد الأوروبي كما يفرض القانون غرامات ضخمة وهي 20 مليون يورو أو 4% من دخل الشركة العام السابق (أيهما أكبر) على المخالفين. ويلزم القانون أي شركة موجودة في أوروبا أو تقدم خدماتها داخل أوروبا بالالتزام به. ويذكر أن القانون بدأ إعداده في 2012 وتم إقراره في 2016 وبالأمس فقط أصبح ملزم للشركات.


هل يعني هذا أن الشركات ستتوقف عن التجسس علينا؟

لا يعني القانون نهائياً أن الشركات عليها التوقف عن جمع بيانات المستخدمين؛ فالقانون لا يتدخل في ألية عمل الشركات وأسلوبها. بل ينظم الخصوصية أي أن على الشركة أن توضح للعميل أنها تجمع عنه بيانات كذا وكذا وكذا وتقوم باستخدامها في كذا وكذا وأنه يحق لها مشاركة البيانات مع جهات أخرى. باختصار يضع القرار في يد المستخدم هو من يقرر ويوافق مسبقاً ويعلم تماماً ماذا تجمع الشركات عنه.


أليست القوانين سابقاً كانت توفر الأمر نفسه وتلزم الشركات بالإفصاح؟

الإجابة النظرية هي نعم لكن الفعلية لا؛ اللوائح القديمة والشركات كانت بالفعل تخبر المستخدم أنها تجمع بعض البيانات “المطلوبة” وتستخدمها لإجراء تحسينات في الخدمات وقد تشاركها مع بعض الجهات. هكذا تماماً وبدون توضيح دقيق ماذا وكيف ومتى وما هي البيانات. قد نجمع بعض البيانات وقد نستخدمها وقد نشاركها. القانون الجديد GDPR يلزم الشركات بالإيضاح ماذا يجمعون ومتى وماذا يفعلون ببياناتك. القوانين القديمة كانت غير مقيدة لذا فشل الاتحاد الأوروبي لسنوات من إدانه جوجل في إساءة استغلال بيانات المستخدمين أو حتى إجباره بأن يخبرهم ماذا يفعل بالبيانات.


كيف أعلم ما يتم جمعه عني؟

على أي خدمة أن تظهر طريقة واضحة لك تمكنك من معرفة البيانات التي يتم جمعها عنك. ويلزم القانون الشركات بتبسيط لائحة الاستخدام الضخمة لتصبح سهلة القراءة. ففي السابق كانت الشركات تتعمد كتابة لائحة ضخمة معقدة يستحيل علينا قراءتها ونضغط على موافقة دون تفكير؛ واعتبر القانون هذه الخطوة حيلة من الشركات لأخذ موافقة العميل دون أن يقرأ. والشركات تضيف أي بيانات في هذه اللائحة. ويكفي أن نذكر أن أبل تضع بند يقول إنه لا يحق للإرهابيين استخدام برنامج الآي تيونز في تصنيع قنابل دمار شامل –راجع مقالنا القديم-.


ماذا عن البيانات التي تم جمعها سابقاً؟

يلزم القانون الشركات بإضافة ألية تمكنهم من معرفة أو تحميل جميع البيانات المسجلة عنهم لدى الشركة. أي أنه مثلاً يحق لك معرفة كل ما تحفظه أبل وجوجل وفيسبوك وتويتر عنك سابقاً منذ بداية عمل هذه الشركات وإلى الآن. ويحق لك تحميل هذه البيانات ومراجعتها في أي وقت تريده أنت فهذه بياناتك.


ماذا إن وجدت في البيانات المسجلة أمر لا أريد الشركة أن تحتفظ به؟

القانون ينص أن بياناتك ملكك أنت وليس ملك الشركات أي يحق لك أن تطلب من أي شركة أن تحذف أي بيانات عنك لا تريدها أن تحتفظ بها. فمثلاً حملت بياناتك من أحد مواقع التواصل وفوجئت أنهم محتفظين ببعض الصور القديمة التي مسحتها فهنا يحق لك أن تطالبهم بحذفها وعلى الشركات الامتثال.


هل ستلتزم الشركات للقانون أم سيحدث خداع وتلاعب؟

بالطبع رسمياً صرحت الشركات بأنها سوف تلتزم بالقانون لكن هذا لا يعني أن الشركات ملائكة وتنفذ بدون نقاش؛ لكن هناك جهات سوف تحقق في التزام الشركات وإذا رصدت مخالفة فهناك الغرامة الرادعة التي تصل إلى 4% من دخل الشركة. تخيل أن أبل العام الماضي حققت دخل 225 مليار هذا يعني أن غرامة أبل مثلاً ستكون 9 مليار دولار. ودفع الغرامة لا يعني أنه يحق لها مواصلة المخالفة. أي ستدفع الغرامة ثم تلتزم بالقانون وتزيل المخالفة وإن لم تفعل ستغرم مرة أخرى.


ماذا عنا نحن مواطني الشرق الأوسط؟

القانون ملزم لدول الاتحاد الأوروبي والذين يعيشون داخلها أو يقدمون خدماتهم لمواطنيها؛ أي أنه غير ملزم لمن هو خارجها؛ لكن الأمر السار هو أن العالم قرية صغيرة؛ فالشركة التي تتعامل معها غالباً تخدم مواطنين في أوروبا وبالتالي هي ملزمه باتباع هذا القانون. بالطبع يحق للشركات أن تقول إنها ستلتزم بالقانون للمستخدم الأوروبي وتخالفه لغيره لكن هذا سيكون اعتراف من الشركة بسرقة البيانات بشكل غير شرعي ويدمر مصداقيتها.


هل سنسمع قريباً عن تغريم للشركات؟

لا يتوقع هذا الأمر لأن ببساطة القانون جديد وفي أوروبا أو بشكل عام الغرامات الهدف منها التحذير وليس فخ لجمع الأموال من المواطنين. لذا فصدور وبداية تنفيذ القانون ستبدأ الأجهزة المعنية بمراجعة لوائح الشركات والتأكد من التزامها به وستجد هناك من طبق القانون بشكل سليم وكامل وهناك من طبقه لكن ينقصه بعض الأمور وهنا سيتم توجيه نصيحة وتحذير له بتعديل عدة نقاط للتوافق مع القانون. وهذا الأمر يسري على الجميع لأن حتى الشركات الكبرى قد لا تعلم بدقة أنها تخالف القانون فمثلاً مايكروسوفت تذكر نصاً في موقعها “نظراً لأن القانون العام لحماية البيانات لم يتم تشريعه بعد، فمن الصعب معرفة أي من المنظمات أو السحابة أو خلاف ذلك سيكون متوافق عند إطلاقه. ومع ذلك، من أجل إيجاد الأدوات التي تحتاجها مؤسستك لتعزيز امتثالها ستحتاج إلى العثور على الشركات التي تعهدت بالامتثال بالفعل.” أي أن مايكروسوفت نفسها تقول إنه ليس من الواضح من يتبع القانون ومن لا ونصحت الشركات الصغيرة باتباع خطوات الشركات التي أعلنت التزامها.

لكن لا يعني ما سبق أنه إذا وجدت مخالفة صريحة لبند قالت الشركة أنها طبقته ووجد بالتحقيق أنها لم تطبقه بأنها سوف تعفى من الغرامة. ما سبق من مراجعة وتحذير قد يطبق لمن وجد أنه طبق بنسبة 95% مثلاً وهنا نقص في التطبيق.


كيف أصل لبياناتي لأحملها لدى الشركات المختلفة؟

هذا سؤال شديد التعقيد فلكل شركة أسلوبها الخاص وطريقة تخزين بيانات مختلفة وحتى طريقة تحميل مختلفة؛ لكن من المفترض أنك إذا ذهبت إلى خانة الخصوصية Privacy أو بحثت في اسم الشركة وبجواره GDPR أن تجد روابط تساعدك. وأوضحنا قبل أيام مقال خاص بشركة أبل وأسلوبها الذي طبقته وما البيانات التي تجمعها. راجع هذا الرابط للمزيد.


هل القانون يسري فقط في البيانات وجمعها من الشركات؟

القانون به العديد من التفاصيل مثل أنه يلزم الشركات بالإفصاح عن الاختراق الأمني خلال 72 ساعة بحد أقصى من حدوثه. سابقاً كانت الشركات تنتظر لشهور وربما سنوات قبل أن تعلن أنه تم اختراق قواعد البيانات الخاصة بها. وأمثلة شهيرة لشركات انتظرت فترات طويلة (ياهوو و لينكدإن) وعربياً شركة “كريم” منافس أوبر عربياً. لكن مع القانون يجب أن تعلم الشركة المستخدم بأن بياناته قد تكون اخترقت بحد أقصى 72 ساعة من حدوث هذا الأمر.

ما رأيك في قانون GDPR وهل تتوقع أن تلتزم به الشركات أم تسعى للتلاعب؟ وهل لديك أي استفسار بشأنه؟

المصادر:

Office | Google | Ahram | Wiki |

مقالات ذات صلة