هل لديك حساب؟

  •   محتوى مخصص
  •   منتجاتك والدعم

هل تحتاج إلى حساب؟

إنشاء حساب

الدروس المستفادة من أن تصبح جاهزًا للامتثال لقانون حماية البيانات العامة (GDPR)

شركة مراهنات رياضية وألعاب عبر الإنترنت في النمسا خضعت لمنحنى تعلُّم لتصبح جاهزة للامتثال لقانون حماية البيانات العامة (GDPR)، رغم خبرتها في التعامل مع بيانات العملاء.

كان ذلك في ربيع عام 2017، حيث كان مايكل مراك يُعد العدة لاستقبال موجة تسونامي القادمة والمتمثلة في قانون حماية البيانات العامة (GDPR). ولقد وُصف هذا القانون بأنه أكبر مجموعة شاملة من التغييرات التي تُسنّ في ميدان لوائح خصوصية البيانات خلال عقدين من الزمن.

يُلزم قانون حماية البيانات العامة (GDPR) الذي دخل حيز التنفيذ في مايو 2018، جميع الدول الأعضاء في الاتحاد الأوروبي بحماية بيانات المستهلك والبيانات الشخصية بشكل أكثر صرامة، كما يدعو إلى مزيد من الاتساق والتناغم بين دول الاتحاد الأوروبي فيما يتعلق بحماية البيانات الشخصية. تتحمل أي شركة، بما في ذلك الشركات غير التابعة للاتحاد الأوروبي التي تقوم بتسويق السلع أو الخدمات لسكان الاتحاد الأوروبي، مسؤولية الامتثال لهذا القانون.

إن غرامات عدم الامتثال لهذا القانون باهظة للغاية؛ فالشركات التي تفشل في الامتثال له قد تتعرض لخطر تحمُّل غرامات تصل إلى 4٪ من حجم مبيعاتها السنوية العالمية، أو 20 مليون يورو (أيهما أكبر). وتتعامل الولايات المتحدة حاليًا بحذر فيما يتعلق بعناصر قانون حماية البيانات العامة (GDPR). حيث يُطبِّق قانون خصوصية المستهلك في كاليفورنيا California Consumer Privacy Act لعام 2018، والذي أُقرَّ في يونيو 2018، بعض إجراءات الحماية الواردة في قانون حماية البيانات العامة (GDPR) في الولاية.

بالنسبة لمسؤولي الامتثال وكبار مسؤولي المعلومات وعدد لا يحصى من المتخصصين في تكنولوجيا المعلومات والأعمال، يلوح قانون حماية البيانات العامة (GDPR) في الأفق منذ أن بدأت الشركات في الاستعداد له في أبريل 2016، حين أقرّه الاتحاد الأوروبي.

مايكل مراك، رئيس قسم الامتثال في شركة Casinos Austria AG

يتذكر مايكل مارك، رئيس قسم الامتثال في شركة Casinos Austria AG، وهي مجموعة من الشركات المُتخصصة في الألعاب عبر الإنترنت والمراهنات الرياضية، تلك الأحداث قائلاً: "لقد كان أمرًا مرهقًا"، وذلك خلال جلسة بشأن الدروس التي استفادها لدى الاستعداد للامتثال لقانون حماية البيانات العامة (GDPR) في مؤتمر أمن المعلومات RSA Conference 2019. وأضاف أن الشركات تشعر بالقلق حيال أنها قد لا تكون قادرة على تلبية المتطلبات.

ولكن حقيقة الأمر، التي تخفى عن الكثيرين، تتمثل في أن الامتثال لقانون حماية البيانات العامة (GDPR) هو بمنزلة منهاج كامل وليس إنجازًا يتحقق بين عشية وضحاها. ويقول مراك: "استهدفت خطة الرئيس التنفيذي ومجلس الإدارة في الأصل أن تمتثل الشركة للقانون بنسبة 100٪ بحلول 25 مايو 2018". ويُضيف: "هذا ما يريده منك المديرون التنفيذيون: "يجب أن نمتثل للقانون. . . . قم بذلك فحسب"، ولكنك تصطدم بعد ذلك بالواقع الصعب".

يتوافق ذلك مع البيانات الصادرة عن الشركات التي تسعى جاهدة لتلبية متطلبات قانون حماية البيانات العامة (GDPR). حيث أجرت شركة EY والرابطة الدولية لمختصي الخصوصية (Association of Privacy Professionals) استطلاع رأي  شمل 550 متخصصًا في مجال خصوصية البيانات بشأن الامتثال لقانون حماية البيانات العامة (GDPR) لصالح تقرير حوكمة الخصوصية السنوي لعام 2018 IAPP-EY Annual Privacy Governance Report 2018، حيث أفاد أكثر من نصف المشاركين، 56٪، أنهم غير ممتثلين أو أنهم لن يتمكنوا من الامتثال التام أبدًا. ووفقًا لدراسة معيار خصوصية البيانات لعام 2019 التي أجرتها شركة Cisco مؤخرًا Cisco 2019 Data Privacy Benchmark Study، فإن 42٪ من المشاركين يرون أن المشكلة الرئيسية في الامتثال لهذا القانون تتعلق بالعبء المصاحب للمتطلبات المتنوعة لأمن البيانات.

وفي نهاية المطاف، فإن الشركات التي تستغرق وقتًا لترتيب وتنظيم شؤونها المتعلقة بخصوصية البيانات هي الأقدر على أن تصبح جاهزة للامتثال لقانون حماية البيانات العامة (GDPR). أما الشركات التي تطور عمليات التوثيق، وتُنشئ تفاهمات مشتركة بين الإدارات، وتنظر إلى أمر الامتثال باعتباره منهاجًا كاملاً؛ فهي الأقدر على النجاح دائمًا في تحقيق الامتثال.

كتب كلاوديو داسكاليسكو في مدونة حول الامتثال لقانون حماية البيانات العامة (GDPR):"يقول الاستشاريون الذين تحدثنا معهم إنه ليس ثمة شيء من قبيل الامتثال لقانون حماية البيانات العامة بنسبة 100٪". "حاول تطوير إستراتيجية فعّالة لحماية البيانات والخصوصية استنادًا إلى الأجواء والظروف المحيطة بك."

توصيات تمكنك من أن تصبح جاهزًا للامتثال لقانون حماية البيانات العامة (GDPR)

شارك مراك بعضًا من الدروس التي استفاد منها منذ عام 2016 في النقاط التالية:

1)      إنشاء وحدة تواصل على مستوى الشركة قال مارك أحد الجوانب الرئيسية التي تمكنك من أن تصبح جاهزًا للامتثال لقانون حماية البيانات العامة يتمثل في إنشاء فريق عمل وتنسيق الأمور بين وحدات الأعمال الفردية ومهام الشركة - حيث يتعامل بعضها مع البيانات الشخصية للعملاء وبعضها يؤدي دورًا في حالة حدوث خرق، مثل التدقيق الداخلي والاتصالات بين الشركات. أشار مراك إلى أن الإدارات المختلفة أُدمجت في العملية مبكرًا وكان لها دور معين تؤديه.

‎(2‎       اختبار قدرة خطط قانون حماية البيانات العامة (GDP). أخضعت شركة Casinos Austria تدريبها وعملياتها المُصممة لهذا القانون للاختبار من خلال افتراض سيناريوهين.

يتذكر مراك تلك الأحداث قائلاً: "افترضنا في أحد السيناريوهين فقدان البيانات والآخر تعرض البيانات للسرقة وتسريبها عبر وسائل الإعلام". طبقت الشركة تدريباتها بشكل جيد في هذه السيناريوهات الوهمية ولكنها وجدت ثغرات في عملياتها؛ مثل إخفاقها في إخطار مركز خدمة العملاء التابع لها بشأن خرق البيانات. "هذه مشكلة كبيرة، لأن قانون حماية البيانات العامة يستلزم إخبارهم. فأنت تحتاج إلى إبلاغ موظفيك وعملائك". كما يعمل منسقو الخصوصية بشكل وثيق مع إدارات الامتثال.

3)       إنشاء مخطط لحذف البيانات. في البيئة التنظيمية، قد تكون هناك احتياجات متعارضة تتعلق بتخزين البيانات. ويؤكد مراك: "هناك مجموعتان متعارضتان من لوائح تنظيم البيانات يتعين علينا الوفاء بمتطلباتهما".

على سبيل المثال ، تُلزم شركة Casinos Austria بموجب بعض اللوائح بتخزين بيانات معاملات العملاء لفترات زمنية مُحددة ومختلفة (يجب تخزين البيانات المتعلقة بالضرائب لمدة سبع سنوات، وقد يلزم تخزين بيانات العميل الأخرى لمدة خمس سنوات فقط). لكن قانون حماية البيانات العامة (GDPR) يستلزم حذف البيانات في الوقت المناسب. تتطلب أيضًا لائحة الحق في النسيان، وهي لائحة أخرى في أوروبا، حذف بيانات المستخدم غير الدقيقة إذا طلب ذلك. في أغلب الأحيان، تستلزم هذه الأهداف المتعارضة — تخزين البيانات لضمان تمكُّن الشركات من التحقُّق من بيانات العملاء وسجل المعاملات، والحاجة إلى حذف البيانات للحماية من الانتهاكات أو إساءة الاستخدام — تستلزم وجود مخطط لحذف البيانات بحيث يعرف مسؤولو الامتثال متى يمكنهم (ومتى يُستحسَن) حذف البيانات.

4)      معالجة الأنظمة القديمة التي تفتقر إلى خصائص الحذف الآلي. قد لا تتمكن العديد من أنظمة قواعد البيانات القديمة التي تحتوي على بيانات العملاء من حذف البيانات آليًا اعتمادًا على تواريخ انتهاء الصلاحية أو طلبات العملاء. وبدون خاصية العمل الآلي، سينهمك مسؤولو الامتثال في إدارة أفق التخطيط والطلبات التي ترد مرة واحدة. تحتاج الشركات إلى إنشاء حلول مؤقتة للمساعدة في تمكين العمل الآلي لممارسات الحذف هذه حتى لا تغفل المنظومة عن بعض الأشياء. يوضح مراك أنه من خلال تمكين العمل الآلي لمعالجة العمليات، سيؤدي الذكاء الاصطناعي دورًا رئيسيًا في هذا المجال في المستقبل.

5)       ضمان الامتثال للوائح الأخرى. يمكن أن يساعد الامتثال للمعايير واللوائح الأخرى في الاستعداد لقانون حماية البيانات العامة. على سبيل المثال، تستخدم المنظمة الدولية للمعايير المعيار ISO 27001، وهو معيار يركز على أمن المعلومات. ويقول مراك: "رغم أن أمن المعلومات وحماية البيانات لا يمثلان الشيء نفسه، إلا أنه يمكن التعامل معهما بالطريقة نفسها. وهنا يبرز دور المعايير. فإذا كنت تستخدم المعيار ISO 27001، فستتمكن بسهولة من تلبية الجوانب الفنية لمتطلبات قانون حماية البيانات العامة".

6)       كسب الدعم على المستوى التنفيذي. كما هو الحال في العديد من المبادرات، يعد الدعم على المستوى التنفيذي أمرًا ضروريًا لجعل الامتثال لقانون حماية البيانات العامة متسمًا بالكفاءة والفعالية. ونظرًا لتحلي المسؤولين التنفيذيين في شركة Casinos Austria "بمستوى عالٍ من الوعي" بشأن هذا القانون، فقد كان المشروع متعدد المهام وذا أولوية عليا وناجحًا نسبيًا. يوضح مراك قائلاً: "إن العدد الكبير من الاجتماعات التي أجريناها مع جميع المسؤولين عن الأنظمة وكبار الموظفين كان أكثر إثارة للدهشة مما توقعت".

أن تصبح جاهزًا للامتثال لقانون حماية البيانات العامة ليس إنجازًا يتحقق بين عشية وضحاها ولكنه منهاج كامل

في الوقت نفسه، يجب تذكير وحدات الأعمال ووظائف الدعم بشكل دوري بكيفية تمكين عنصر الكفاءة وتقليل الأخطاء. يذكر مراك: "لا تزال جهود الاتصالات الداخلية هائلة". ويُضيف: "ما زلت أمر على جميع الإدارات كأنني سفير لهذه القضية. ما زلت أوضح الأمر، نحن بحاجة إلى تبسيط العمليات؛ نحن بحاجة إلى تمكين التشغيل الآلي".

وفقًا لما ذكره مراك، قد يستغرق تمكين ميزة الحذف الآلي وتواريخ انتهاء الصلاحية في الأنظمة القديمة حتى عام 2020. وقد يكون هذا أمرًا صعبًا ، خاصة مع عدم إسهام قانون حماية البيانات العامة بشكل مباشر في النتيجة النهائية للشركة.

يقول مراك متهكمًا: "سأخبرك سرًا: نحن لا نربح أموالاً من قانون حماية البيانات العام". في الوقت نفسه، يرى أن الامتثال لهذا القانون يتعلق مباشرة بالاحتفاظ بالعملاء وتجربة العملاء.

أكدت دراسة Cisco حول خصوصية البيانات هذه الفكرة، حيث قال 41٪ من المشاركين إنهم اكتسبوا ميزة تنافسية من خلال استثمارهم في ميدان الخصوصية ليصبحوا جاهزين للامتثال لقانون حماية البيانات العامة.

يقول مراك: "إذا أمكنك التواصل معنا، "ونحن نفعل كل شيء للحفاظ على أمان بياناتك. في مَن تثق حين تنفق الأموال؟"، يصبح لدى [الشركات] فرصة لكسب العملاء".

خلاف ذلك، ستخسر الشركات الكثير إذا لم تسيطر على أمر خصوصية البيانات.

يقول مراك: "إذا كنت تعتقد أن الامتثال لهذا القانون باهظ الثمن، فجرب عدم الامتثال".

لورين هورويتز مديرة تحرير موقع Cisco.com، حيث تتناول مجال البنية التحتية لتكنولوجيا المعلومات وتطور إستراتيجية المحتوى. عملت هورويتز سابقًا محررًا تنفيذيًا خبيرًا في مجموعة تطبيقات الأعمال والهندسة المعمارية (Business Applications and Architecture) لدى شركة TechTarget؛ ومحررًا خبيرًا لدى شركة Cutter Consortium، وهي شركة متخصصة في أبحاث تكنولوجيا المعلومات؛ ومحررًا في مجلة American Prospect، وهي مجلة سياسية. حصلت على جوائز من الجمعية الأمريكية لمحرري نشر الأعمال (ASBPE)، وكذلك جائزة "أفضل ما في الويب" (Best of the Web) وجائزة كيميرلنج (Kimmerling Prize) لأفضل ورقة دراسات عليا عن أعمالها التحريرية التي تناولت المقال الصحفي "النظام القانوني الرخو لدى قوات الطوارئ الإسرائيلية" (The Fluid Jurisprudence of Israel's Emergency Powers).