قانون أوروبي للخصوصية الإلكترونية. أين نحن منه؟

قال موقع آيفون إسلام إن الاتحاد الأوروبي بدأ الجمعة تطبيق قانون تنظيم حماية المعلومات العامة (general data protection regulation) -المعروف اختصارا بـ"جي دي بي آر" (GDPR)- لحماية بيانات مستخدمي مختلف الخدمات الإلكترونية. فما التفاصيل؟ وأين نحن من ذلك؟

"جي دي بي آر" هو قانون في الاتحاد الأوروبي مهتم بالخصوصية، يلزم الشركات بعدة أمور لحماية بيانات مستخدمي الاتحاد الأوروبي، كما يفرض غرامات ضخمة -وهي 20 مليون يورو أو 4% من دخل الشركة في العام السابق (أيهما أكبر)- على المخالفين.

ويلزم القانون أي شركة موجودة في أوروبا أو تقدم خدماتها داخل أوروبا، بالالتزام به.

هل يعني هذا أن الشركات ستتوقف عن التجسس علينا؟

لا يعني القانون نهائيا أن الشركات عليها التوقف عن جمع بيانات المستخدمين، فالقانون لا يتدخل في آلية عمل الشركات وأسلوبها، بل ينظم الخصوصية، أي أن على الشركة أن توضح للعميل أنها تجمع عنه بيانات معينة وتقوم باستخدامها في أغراض معينة، ويحق لها مشاركة البيانات مع جهات أخرى.

باختصار: يجعل القرار في يد المستخدم، بحيث يوافق مسبقا ويعلم تماما ماذا تجمع الشركات عنه.

ألم تكن القوانين سابقا توفر الأمر نفسه وتلزم الشركات بالإفصاح؟

الإجابة النظرية هي "نعم"، لكن الفعلية "لا".

اللوائح القديمة والشركات كانت بالفعل تخبر المستخدم أنها تجمع بعض البيانات "المطلوبة" وتستخدمها لإجراء تحسينات في الخدمات، وقد تشاركها مع بعض الجهات؛ لكنها لا توضح ماذا وكيف ومتى وما هذه البيانات المجموعة.

القانون الجديد يلزم الشركات بإيضاح: ماذا يجمعون ومتى وماذا يفعلون ببياناتك. القوانين القديمة كانت غير مقيدة لذا فشل الاتحاد الأوروبي لسنوات في إدانة شركة غوغل بإساءة استغلال بيانات المستخدمين، أو حتى إجبارها على أن تخبرهم ماذا تفعل بالبيانات.

كيف أعلم ما يتم جمعه عني؟

على أي خدمة أن تظهر لك طريقة واضحة تمكنك من معرفة البيانات التي يتم جمعها عنك، ويلزم القانون الشركات بتبسيط لائحة الاستخدام الضخمة لتصبح سهلة القراءة.

ففي السابق كانت الشركات تتعمد كتابة لائحة ضخمة معقدة يستحيل علينا قراءتها، بحيث نضغط على "موافقة" دون تفكير؛ واعتبر القانون هذه الخطوة حيلة من الشركات لأخذ موافقة العميل دون أن يقرأ.

ماذا عن البيانات التي تم جمعها سابقا؟

يلزم القانون الشركات بإضافة آلية تمكن المستخدمين من معرفة أو تحميل جميع البيانات المسجلة عنهم لدى الشركة. أي أنه يحق لك -مثلا- معرفة كل ما تحفظه آبل وغوغل وفيسبوك وتويتر عنك سابقا منذ بداية عمل هذه الشركات وإلى الآن، ويحق لك تحميل هذه البيانات ومراجعتها في أي وقت تريده أنت، فهذه بياناتك.

ماذا إن وجدت في البيانات المسجلة أمرا لا أريد أن تحتفظ به الشركة؟

القانون ينص أن بياناتك ملكك أنت وليست ملك الشركات، أي أنه يحق لك أن تطلب من أي شركة أن تحذف أي بيانات عنك لا تريدها.

هل ستلتزم الشركات بالقانون أم سيحدث خداع وتلاعب؟

رسميا صرحت الشركات بأنها سوف تلتزم بالقانون، لكن هذا لا يعني أنها ستنفذه بالكامل دون نقاش؛ فهناك جهات ستحقق من التزام الشركات، وإذا رصدت مخالفة فهناك الغرامة الرادعة التي تصل إلى 4% من دخل الشركة.

ماذا عنا نحن مواطني الشرق الأوسط؟

القانون ملزم لدول الاتحاد الأوروبي والذين يعيشون داخلها أو يقدمون خدماتهم لمواطنيها، أي أنه غير ملزم لمن هو خارجها؛ لكن الأمر السار هو أن العالم قرية صغيرة، فالشركة التي تتعامل معها غالبا تخدم مواطنين في أوروبا وبالتالي هي ملزمه باتباع هذا القانون.

بالطبع يحق للشركات أن تقول إنها ستلتزم بالقانون للمستخدم الأوروبي وتخالفه لغيره، لكن هذا سيكون اعترافا من الشركة بسرقة البيانات بشكل غير شرعي مما يدمر مصداقيتها.

هل القانون يسري فقط على البيانات وجمعها من الشركات؟

القانون فيه العديد من التفاصيل، مثل أنه يلزم الشركات بالإفصاح عن الاختراق الأمني خلال 72 ساعة بحد أقصى من حدوثه، وقد كانت الشركات سابقا تنتظر شهورا -وربما سنوات- قبل أن تعلن أنه تم اختراق قواعد البيانات الخاصة بها.