نظرة موجزة على اللائحة العامة لحماية البيانات

نظرة موجزة على اللائحة العامة لحماية البيانات

تتمـاشى التشـريعات القانونية مع تطور العالم لتقنن وتنظم ما ينتج عن ذلك التطور، ولما نعيشه من انفتـــاح رقـمي وتدفـق لمقـــدمي الخـدمـــات، كـان مـن الضــــروري مراعـاة خصـــوصيـة المستـهلكــــين والمستخدمين وحماية بياناتهم الشخصية من الانتهاك وسوء الاستغلال، وهـذا بكــل بســـاطة أحـــد أهم أهداف قوانين حماية البيانات.

علـــى الرغــم من أن الممـلكة العربية السعودية لم تسن قانونًا مستقلًا لحماية البيانات بعد، إلا أنه قد ورد مفهوم حماية البيانات في أنظمة مختلـــــفة وفي حـــدود تلك الأنظـــمة ونطـــاق تطبيقها، كتــلك المذكورة في المادة الخــامسة من اللائحة التنفيــذية لنظــام التجـــارة الإلكتـــرونية والمـــادتين الثالـثة والرابعة من نظام مكافحة الجرائم المعلوماتية.

وحــيث أن كثــيرًا من الممـــارسين القــانونيين يتوقعون صدور النظام السعوديّ لحماية البيانات قريبًا، وجدنا أنه من الضروري الاستعداد لذلك عبـر إلقـاء نظـرة عامـة عـلى أحـد أهم وأقـوى تشريعـات حمـــاية البيانات، والمستدل بها في إعداد كثير من التشريعات المحلية ألا وهي اللائحة العـامة لحمـاية البيــانات -The General Data Protection Regulation-(يشار لها فيما بعد بـ”GDPR”).

كتبت GDPR على يد الاتحاد الأوروبي وتم تبنيها عام 2016، ودخلت حيز التنفيذ الكامل في 25 مايو 2018. وعلى الرغم من أنه يهيئ للبعض اقتصار تطبيقها على دول الاتحاد ومن فيه، إلا أنها في الواقع أحد أوسع التشريعات تطبيقًا، حيث أنها تمتد لتطبق على كل منظمة – سواء كانت داخل الاتحاد الأوربي أو خارجه – تقدم خدمات أو تعرض سلعًا لأشخاص داخل الاتحاد الأوروبي أو وتراقب وتعالج بياناتهم.

تحت GDPR، لا يمكن لمنشأة أو شخص جمع أو معالجة أو حتى الاقتراب من بيانات الأفراد الشخصية، دون وجــود أحد المســوغات النظــامية المــذكورة في اللائحــة، منهــا موافقة صاحب البيانات الصريحة (كتسجيله في منشورات تسويق البريد الإلكتروني)، أن يكون الوصول ومعالجة البيـانات ضــروريًّا لإنقــاذ حياة شخص ما، أو للامتثال لالتزام قانوني (كتنفيذ أمر قضائي).

أيضًا، ما يميز GDPR هي مبادئ حمـاية البيانات التي ترتكــز عليها، والتي تفرضــها على معالــج ومراقــب البيانات الشخصية:

1- مبدأ المشروعية والإنصاف والشفافية: أي أن تتم معالجة البيانات بطريقة شفافة وعادلة.

2- مبدأ تحديد الهدف: ومجمله أن تجمــع البيانات لأغــراض واضحــة وصريحــة ومـــحددة، وأن لا تعالــج بطريقة تتنافى مع تلك الأغراض.

3- مبدأ تقليل البيانات: أي تكون ملائمة ومتلائمة لما هو ضروري لأغراض معالجتها، أي أن لا يعالج أو يحتفظ المعالج أو المراقب بما هو زائد عن حاجته لإتمام الغرض.

4- مبدأ الدقة: أي أن تكون البيانات دقيقة ومحدثة، مع تشديد حذف أو تعديل ما كان غير ذلك.

5- مبدأ قيد التخزين: ومجمله أن تحفظ البيانات وتخزن للمدة اللازمة لغرضها.

6- مبدأ السلامة والسرية: وجوب اتخاذ التدابير الفنية أو التنظيمات المناسبة لحماية البيانات من الفقدان أو التلف أو الاستخدام الغير مصرح به.

ومن الأمور الواجب الإشارة لها أيضًا هو شدة صرامة غرامات GDPR والتي قد تكون سببًا لنجاح اللائحة وامتثــال الجهات لها. حيـــث أن الغرامات تنقســم إلـى قسميــن، باعتبــار أن بعــض المخالفات أشد من غيرها، وتتراوح غرامات الشق الأول لتصل إلى 10 مليون يورو أو 2% من الإيرادات السنوية للجهة المخالفة من السنة المالية السابقة -أيهما الأعلى قيمة-، بينما تتراوح غرامات الشق الثاني لتصـل إلى 20 مليـــون يورو أو 4% من الإيرادات السنوية للجهة المخالفة من السنة المالية السابقة -أيهما أعلى قيمة-. تعـد الغـــرامة التي دفعتــها British Airways في عام 2019 من أعلى الغـــرامات التي دفعتــها جهة لمخالفة GDPR والتي كان قدرها 204,600,000 يـورو سببهــا تقصيــر بــدر من الشــركة أدى لســرقة بيانات 500,00 من العملاء على يد قراصنة متعددين.

وفي الختام، يعد هذا المقال ملخصًا موجزًا لـ GDPRغرضه إلقاء الضوء على الأفكار الأساسية الواردة في اللائحة، علمًا بأنه قطعة تشريعية متقنة يزيد نصها الأصلي عن 88 (تجدونها هنا).

اترك تعليقاً