GDPR – ما تود معرفته عن قانون حماية خصوصية المستخدمين الجديد!

GDPR

سيدخل قانون GDPR أو اللائحة العامة لحماية البيانات حيز التنفيذ ابتداءً من 25 مايو الجاري، ويشكل هذا القانون الجديد الذي تم تبنيه من طرف الاتحاد الأوروبي سنة 2016، منعطفًا حاسمًا للعديد من الشركات، حيث ينتظر أن يُؤثر على كيفية استخدامنا للإنترنت وكيفية استفادة العديد من الشركات على المستوى المادي من بيانات المستخدمين. ويضم قانون GDPR مجموعة من القواعد التي تتنوع ما بين متطلبات إعلام المنظّمين بخروقات البيانات في حيز لا يتجاوز 72 ساعة ونهج سياسة شفافة مع المستخدمين حول البيانات التي يتم جمعها والسبب الذي يدفع الشركات المعنية لجمع هذه البيانات الخاصة بالمستخدمين.

ويستشعر أي مستخدم للتقنية أو عارف بالمجال التقني التأثير الكبير الذي يمكن لهذا القانون إحداثه على الإنترنت، حيث من المعروف أن العديد من الشركات تتخذ من بيانات المستخدمين سلعة تحقق من خلالها أرباحًا ضخمة، حيث يتم تقديم خدمة مجانية يكون فيها المقابل هو بيانات المستخدم نفسه، أي أن المستخدم يتحول بنفسه إلى سلعة تباع وتشترى بالمعنى المجازي، ولنا في فضيحة فيس بوك الأخيرة خير مثال حول أهمية بيانات المستخدمين وتأثيرها الكبير في مجالات حساسة مثل السياسة. وعليه، فإن استدراج المستخدمين لتقديم أكبر قدر ممكن من البيانات وتخزينها من طرف الشركات قد لا يكون ممكنًا مع القانون الجديد.

هذا ومن المعروف أن البيانات التي يتم جمعها حول المستخدمين تستخدم في مجالات تجارية عدة تتقدمها الإعلانات التجارية، حيث تساهم البيانات التي يتم جمعها حول مستخدم ما في تعريف اهتماماته وجعل الحملات الإعلانية التي يقابلها على موقع ما أكثر استهدافًا له، ما يرفع من إمكانية الشراء بنسبة كبيرة، وإن كانت بعض الإعلانات تثير الذعر في أنفس المستخدمين كونها تعد دليلًا واضحًا على خرق خصوصيته بشكل صارخ، وهو ما يؤكده تعليق إحدى الشركات حول القانون الجديد: “إذا أخبرناهم بكيفية استخدامنا لبياناتهم، فلن يسمحوا لنا بجمعها في المقام الأول.” وهو ما يقود لأحد أبرز وأقوى متطلبات قانون GDPR.

GDPR May 25 2018

إحدى متطلبات قانون GDPR الهامة تتمثل في حق طلب الوصول إلى موضوع البيانات -موضوع البيانات هو تسمية للمستخدمين ضمن هذا القانون، حيث يمتلك سكان الاتحاد الأوروبي الحق في طلب عمل مراجعة للبيانات الشخصية التي جمعتها الشركات حولهم، مع إمكانية طلب حذف معلوماتهم، طلب تعديلها في حال لم تكن صحيحة، وطلب الحصول عليها والتوصل بها. لكن مثل هذه البيانات قد تكون متواجدة على 5 خوادم مختلفة بصيغ عدة، بافتراض أن الشركة على علم بوجود مثل هذه البيانات المخصصة في المقام الأول، مع ذلك، فإن دخول أي شركة تحت لواء قانون GDPR وإذعانها للمتطلبات القانونية يعني تهيئتها لبُنية تحتية داخلية تتيح الرد على مثل هذه الطلبات.

ورغم أهداف قانون GDPR الواعدة، إلا أن تطبيقه سيكون صعبًا ومعقدًا للغاية، حيث أن الإذعان لكافة قواعد القانون الجديد سيكون صعبًا إن لم يكن شبه مستحيل بالنظر إلى كمية البيانات المهولة التي تم جمعها على مر السنين، كما أن العديد من الشركات لم تستطع بعد فهم القانون بشكل كامل فما بالك بتطبيقه، إلى جانب عدم استعداد شريحة كبيرة من الشركات لتطبيق القانون خلال الفترة الزمنية المحددة، ناهيك عن عدم معرفة العديد منها لأي شيء حول هذا القانون إلى وقت قريب. ما يثير الذعر في صفوف الشركات التقنية هي العقوبة المترتبة عن خرق قواعد قانون GDPR، والتي تعد قاسية للغاية، حيث يتيح قانون GDPR للمنظمين إمكانية فرض عقوبات على الشركات في شكل غرامات تصل إلى 4% من الإيرادات الشاملة للشركة، وهي نسبة تشكل مبالغ طائلة تتجاوز مليارات الدولارات بالنسبة للشركات العملاقة.

المشكلة في قانون GDPR هو أنه قانون سنّه ويتحكم فيه البشر، أي أن الشفافية ليست مضمونة، وسيكون الأمر بأيدِ المنظمين، مع عدم وضوح السلوكيات التي تتطلب تدخلًا من طرفهم ونسبة العقوبة التي يمكن أن يتم إلحاقها بهم، علمًا أن غالب الظن هو أن المنظمين الأوروبيين سيحاولون البدء ببطء عند بلوغ الموعد المحدد، ومحاولة الصبر على الشركات لحين فهم الشركات لكيفية عمل القانون بشكل جيد. هذا ويعاني المنظمون بدورهم من تأخر على مستوى تنفيذ القانون وتوفر الآليات اللازمة لتطبيقه في الموعد المحدد، حيث سيتطلب الأمر وقتًا بالنسبة لهم كذلك من أجل إدارة عجلة الرد على الطلبات واتخاذ التدابير اللازمة لمعاقبة الشركات، وهو ما كشفه أحد الاستطلاعات الذي أفاد بعدم توفرهم على الميزانية أو الصلاحيات القانونية لتنفيذ القانون.

GDPR Compliance

هذا وسيساهم القانون الجديد في الحد من الرسائل المزعجة سواء كان قانونية أو غير قانونية، حيث سيتطلب الأمر الآن خطوات واضحة للحصول على بيانات المستخدم من أجل مراسلته، وهو ما يتم التلاعب به من طرف العديد من المواقع حيث يتم دفن الموافقة على التوصل برسائل بريدية من المواقع الإلكترونية ضمن أماكن يصعب ملاحظتها أو كتابتها بخط صغيرة وما إلى ذلك، وهو ما سيحاول القانون الجديد التصدي له عبر فرض قوانين حادة مثل إبراز مثل هذه الطلبات وفصلها عن التعليمات والشروط الأخرى، توفير خيارات عدة والسماح للمستخدم بالموافقة على بعضها، كلها، أو رفضها كلها، التعريف بالأطراف الأخرى التي ستعتمد على الموافقة، توثيق الموافقة حتى يكون لدى المؤسسة سجل يشير إلى من وافق على ماذا، ومنح الأفراد خيار سحب موافقتهم في أي وقت. مثل هذه الإجراءات سيكون لها الأثر الكبير في تحسين تجربة الاستخدام على البريد الإلكتروني والتوصل برسائل مزعجة أقل.

تأثير قانون GDPR الجديد قد لا يؤثر كثيرًا على المواقع العربية، وإن كانت بعض الخدمات مثل خدمة Instapaper التي وإن كانت غير عربية إلا أنها مثال جيد حول ما يمكن أن تنتهجه عدة خدمات ومواقع للحد من تأثير القانون الجديد، حيث اتجهت الخدمة لإيقاف الوصول إليها في الدول الأوروبية مؤقتًا بسبب قانون GDPR، وفي الوقت الذي قد يكون فيه هذا الإجراء احترازيًّا ومؤقتًا لكون الخدمة غير مستعدة بعد للخضوع لقواعد القانون الجديد، إلا أنه قد يكون الحل بالنسبة للمواقع والخدمات العربية التي تعمل بدورها على جمع بيانات المستخدمين في حال امتلاكها لقاعدة مستخدمين كبيرة في الدول المنتمية للاتحاد الأوروبي.

ياسين الشريك
أقضي معظم وقتي يوميًّا في متابعة جديد التّقنية عبر مقالات وفيديوهات متنوعة، غير متعصب لأي شركة، أحب استخدام وتجربة التطبيقات والألعاب على الأندرويد ومعجب بحريّة وميّزات هذا الأخير.