قبل اختيار التطبيقات لعائلتي، ما هي الأمور التي يجب عليّ التحقّق منها عند قراءة الشروط والأحكام ؟
حماية البيانات الشخصية: ما هي اللائحة العامّة لحماية البيانات؟
نسمع كثيراً عن اللائحة العامّة لحماية البيانات (GDPR) في الآونة الأخيرة، وهي لائحة (Regulation (EU) 2016/679) صدرت عن البرلمان الأوروبيّ والمجلس الأوروبيّ بتاريخ 27 أبريل 2016، وتَضمََن حِماية حُُقوق المواطنين فيما يتعلَّّق بمُعالجة البيانات الشخصيّة، وحُريّة نقل هذه البيانات، وتوجيه الإلغاء (95/46/EC).
وصدرت بالتوازي معها العديد من التشريعات المُتَعَلِّقة بحماية البيانات الشخصيّة في جميع أنحاء العالم، ولم تكن قطر استثناءً. حيث سنّت الحكومة القطرية تشريعاً يتعلّق بالخصوصيّة وحماية البيانات (القانون رقم 13 لعام 2016، "قانون حماية البيانات الشخصيّة")، ويستند إلى مبادئ حماية البيانات والخصوصيّة الأوروبيّة ويحاول تطبيق جوانب مُعيّنة منها.
بعد هذه المقدّمة البالغة الجديّة، هل يبدو الأمر مُعقداً بالنسبة لغير المختصين بالقانون؟ أعتقد ذلك..
لنحاول تبسيط المسألة برمتها لأنّ القانون فهمه ليسَ صعب، وسأخبركَ لماذا. تُعدّ المبادئ قلب أي قانون أساسي وروحه، في حين أنَّ الحُقوق ذات الصّلة بهذه المبادئ والعمليّات والالتزامات والمتطلبّات والعقوبات المترتّبة على خرقه يمكن اعتبارها بقيّة الجسد. وبالتالي، إذا فهمت المبادئ، التي عادة ما نتّفق عليها والأهمّ من ذلك نُؤمن بها، لن تواجه أيّ مشاكل في فهم القانون.
بعد قولي هذا، وإلقاء نظرة سريعة على عناوين قوانين حماية البيانات المختلفة، نجد أنّ هدف هذه التشريعات هو حماية بياناتنا الشخصيّة التي أصبحت معرّضة لمخاطر أكبر في الفضاء الافتراضي. مع هذا الهدف المشروع لحماية البيانات، ما هي المبادئ الأساسية الّتي تقوم عليها مبادئ الحماية؟
صدرت العديد من التشريعات في هذا الصدد في عديد من البلدان، ولكن هذا ليس المكان المناسب لمناقشتها جميعاً. بدلاً من ذلك، دعنا نُناقِش أكثَرُها فاعليّة، اللائحة العامّة لحماية البيانات وبالطبع قانون حماية البيانات الشخصيّة القطري.
ما هي اللائحة العامّة لحماية البيانات؟
تحدد المادة الخامسة من اللائحة العامّة لحماية البيانات ستّة مبادئ لحماية البيانات حين يتعلّق الأمر بمعالجة البيانات الشخصيّة. تُلخِّص هذه المبادئ المُتطلبات العديدة من جهات إدارة ومُعالجة البيانات. ويمكن تلخيصها بالتالي:
(i)الشرعيّة والعدالة والشفافيّة: يجب مُعالجة بَياناتنا الشخصيّة بطريقة قانونيّة وعادلة وشفّافة. وبالتالي، يتعيّن على المؤسسات مثل مزودي الخدمات (فيس بوك وسناب تشات وأوريدو وغيرها) ضمان قانونيّة ممارسات جمع البيانات الخاصّة بهم، وعدم خرق القانون أو إخفاء أي شيء عنك. علاوة على ذلك، لكي يضمنوا شرعيتهم عليهم التصرّف بعدل وشفافيّة عبر تحديد سياسة خصوصيّة واضحة لجميع أنواع البيانات التّي يَجمَعونَها منك، وتوضيح الغرض الذي يجمعونها من أجله.
رغم أنّ المبدأ الأول قد يكون بديهياً نسبياً، ولكن لفهم فوائده يتعيّن علينا التعمُّق في التزامات جهات إدارة ومعالجة البيانات. باختصار، تفرض اللائحة العامّة لحماية البيانات العديد من الالتزمات عليهما، وتحديداً جهات إدارة البيانات لضمان تقيّدها بالعديد من القواعد والضمانات الخاصة باللائحة العامة لحماية البيانات.
الحقّ الممنوح بموجب هذا المبدأ هو حقِّنا في الوصول إلى بياناتنا التي تمّ جَمعُها. تنصّ الفقرة 63 بوضوح على أنّه يجب أن يكون لصاحب البيانات الحقّ في الوصول إلى البيانات الشخصيّة المجموعة حوله، وممارسة هذا الحقّ بسهولة وفي فترة زمنيّة معقولة، كي يَتَمَكَّن من الاطّلاع على البيانات المُعالجة والتحقُّق من قانونيّتها.
(ii)تقييد الغرض: يجب جمع بياناتنا الشخصيّة لأغراض محدّدة وصريحة وشرعيّة ولا يُسمح بمعالجتها مرّة أخرى بطريقة لا تتوافق مع تلك الأغراض. لذلك، ما لم تكن هناك موافقة واضحة لمزيد من المُعالجة، لا يُسمح بمُعالجة البيانات الشخصيّة مرّةً أخرى، ولا يمكن تمديد الموافقة الممنوحة سابقاً حتّى لو كان الغرض يُماثل الغرض الأولي.
رغم ذلك تمنح المادّة بعض الاستثناءات، إذا كانت المعالجة الإضافيّة تهدف إلى أغراض الأرشفة للمصلحة العامّة أو لأغراض البحث العلميّ أو التاريخيّ أو الأغراض الإحصائيّة، يجب أن ّيتم ذلك وفقاً للمادة 89 (1) حيث في هذه الحالة فقط، لا تعتبر المعالجة الإضافيّة غير متوافقة مع الأغراض الأوليّة ويسري الاستثناء.
(iii)تقليل البيانات إلى الحدّ الأدنى: يجب أن تكون البيانات الشخصيّة مُناسبة وذات صلة ومُقتصرة على ما هو ضروري للأغراض التي تَتُمّ مُعالجتها من أجلها.
لنقرأ هذا المبدأ مع المبدأ السابق، يجب على المنظّمات تحديد الغرض بوضوح وجمع البيانات التي تخدم هذا الغرض فقط و لخدمة الغرض فقط عند الضرورة. في هذا الصدد، منحت اللائحة العامّة صاحب البيانات حقاً بالغ الأهمية يسمى "الحق في النسيان". تم شرح هذا الحق على أنه "حق في النسيان" حين ينتهك الاحتفاظ بهذه البيانات اللائحة أو قانون الاتّحاد الأوربيّ أو قانون الدولة العضو الّذي تخضع له جهة إدارة البيانات. يجب أن يكون لِصاحب البيانات الحقّ في محو بياناته الشخصيّة ومَنِع مُعالجتِها حين تنعدم ضرورة البيانات الشخصيّة لخدمة الأغراض التي جُمعت أو تَمّت مُعالجتها من أجلها...
(iv)الدِقّة: يجب أن تكون البيانات الشخصيّة دقيقة ويجب تحديثها عند الضرورة، يجب اتّخاذ جميع الإجراءات الممكنة لضمان محو أو تصحيح البيانات الشخصيّة غير الدقيقة دون تأخير، مع مراعاة الأغراض التي تمت معالجتها من أجلها.
ويمكننا ربط هذا المبدأ بـ "حق التصحيح" لضمان دقّة بياناتنا.
(v)قيود التخزين: يجب الاحتفاظ بالبيانات الشخصية بشكل يَسمَح بتحديد أصحاب البيانات لفترة لا تزيد عمّا هو ضروري للأغراض التي تمَّت مُعالجة تلك البيانات من أجلِها. يُسمح بتخزين البيانات الشخصيّة لفترات أطول إذا كانت البيانات الشخصية ستُعالج لأغراض الأرشفة للمصلحة العامة، أو لأغراض البحث العلميّ أو التاريخيّ، أو الأغراض الإحصائيّة، وفقاً للمادة 89 (1) مع مراعاة تنفيذ الإجراءات الفنيّة والتنظيمية المناسبة والتدابير المطلوبة بموجب هذه اللائحة من أجل حماية حقوق وحُريّات صاحب البيانات.
(vi)النزاهة والسريّة: يجب معالجة البيانات الشخصيّة بطريقة تضمن أمن البيانات، بما في ذلك حمايتِها من المعالجة غير المُصرّح بها أو غير القانونيّة وحمايتِها من الفقدان أو التلَف أو الضرر، باستخدام التدابير التقنيّة أو التنظيميّة المناسبة.
في هذا الصدد، وضَعَت اللائحة العامة لحماية البيانات تدابير جديدة تسمى "حماية البيانات حسب التصميم وبشكل افتراضي" لضمان مُعالجة البيانات بطريقة تضمن الأمن المُناسب للبيانات الشخصيّة، بما في ذلك الحماية ضد المُعالجة غير المُصرّح بها أو غير القانونيّة وضد الفقدان أو التلف أو الضرر باستخدام التدابير التقنيّة والتنظيميّة المناسبة، مع مواكبة أحدث ما توصّلت إليه التقانة لضمان قُدرة جهات الإدارة والمعالجة على الوفاء بالتزامات حماية البيانات.
توفّر هذه المبادئ الستّة نظرة عامّة على اللائحة العامّة لحماية البيانات، بينما تُقَدِّم بقيّة اللائحة مزيداً من التفاصيل حول المُمَارسات المُحدّدة التي يجب على المُؤسّسات التقيّد بها للتأكّد من التزامها بمتطلبات الامتثال الخاصّة باللائحة العامّة لحماية البيانات.
اطّلع على المقالة التالية التي تُناقش قانون حماية البيانات الشخصيّةّ القطري المتعلّق بخصوصيّة البيانات وتأثيره على كلّ من الاستثمارات القطريّة، والنظام القانوني وقضايا الامتثال.
تذكّر دائماً أنّ خصوصيّتُك والرفاهة الرقميّة هي مسؤوليّتُك وحدُك، بغضّ النظر عن القانون الذي يَحكُم العلاقة بينك وبين المنظّمة التي تكشف لها بياناتُك!! لذلك، ابق يقظاً، واقرأ سياسة الخصوصيّة وتصرّف بحكمة.