أدير | 15 أغسطس 2018

الأسئلة المتكررة بشأن اللائحة العامة لحماية البيانات ((GDPR للمؤسسات الصغيرة والمتوسطة الحجم في الشرق الأوسط وإفريقيا

Reading Time: 4 minutes

من الأرجح أنه كان هناك مؤخراً فائضاً من الرسائل الإلكترونية في بريدك من شركات حول العالم – الكل ابتداءً من منصات التواصل الإجتماعي إلى السوبر ماركت المحلي لديك، ومستضيف حدث حيث وضعت بطاقة عملك في الصندوق والمطعم حيث أجبت على استمارة على جهاز لوحي ذات ليلة منذ ثلاث سنوات.

السبب؟ اللائحة العامة لحماية البيانات للإتحاد الأوروبي 679/2016 ((GDPR، وهي لائحة في قانون الإتحاد الأوروبي متعلق بحماية البيانات والخصوصية التي دخلت حيز التنفيذ في 25 مايو 2018.

في حين قد يكون الإتحاد الأوروبي والحصول على زبائن أوروبيين لا يزالان حلماً لشركتك، كونك شركة ناشئة أو شركة صاعدة في الشرق الأوسط وإفريقيا، يبقى من المهم فهم آثار GDPR على عملياتك – وقد يعطيك ذلك ميزة تنافسية إزاء لاعبين أقل مرونة مرونة في السوق الذي تنتمي إليه.

هل تنطبق الـ GDPR على عملي؟

تنطبق الـ GDPR على معالجة البيانات الشخصية في الإتحاد الأوروبي وخارجه (في بعض الظروف). بالنسبة للشركات خارج الإتحاد الأوروبي، تنطبق الـ GDPR حيث تكون معالجة البيانات الشخصية متعلقة بـ :

(i)    عرض السلع والخدمات على أشخاص في الإتحاد الأوروبي (أصحاب البيانات) – بغض النظر عما إذا تم تلق أية دفعة؛ أو

(ii)  رصد سلوك أصحاب بيانات في الإتحاد الأوروبي حيث يحصل هذا السلوك ضمن داخل الإتحاد الأوروبي .

بالنسبة للفقرة(i)  أعلاه، الإختبار الرئيسي هو ما إذا كانت الشركة تعتزم توفير منتجاتها أو خدماتها لأفراد في الإتحاد الأوروبي. إنّ موقعاً إلكترونيّاً متاحاً في الإتحاد الأوروبي ليس كافٍياً لكي تطال الموقع نطاق أحكام الـGDPR. إن استخدام لغة أوروبية في موقع إلكتروني، من المرجح أن يحمّل شركة في الشرق الأوسط وأفريقيا عبئًا أخف (حيث، على سبيل المثال، اللغتان الإنكليزية والفرنسية مستخدمتان على نطاق واسع). لكن، إذا دمج الموقع الإلكتروني ما بين اللغة الأوروبية والقدرة على الدفع باليورو، يكون من الأسهل الإقتراح أن صاحب الموقع الإلكتروني يعتزم توفير المنتجات أو الخدمات إلى أصحاب بيانات في الإتحاد الأوروبي.

إن رصد السلوك في الفقرة (ii) يشمل تعقب السلوك على الإنترنت، خاصة حيث يستخدم هذا النشاط لتحليل وتوقّع أفضليات، السلوكيات أو المواقف واتخاذ قرارات بشأن الفرد. يتخطى هذا استخدام ملفات تعريف الارتباط وسيلتقط كذلك استخدام بيانات الموقع أو تسجيل عناوين الإنترنت.

تنطبق الـGDPR على عملي ولكن لدي ميزانية محدودة. ماذا علي أن أفعل؟

تضع الـGDPR معايير عالية بصورة شاملة ولا تميّز على أساس نوع الشركة. ولكن الشركات الناشئة والصاعدة يجب عليها الحصول على السيولة والوقت: من المحتمل أنك لا تملك الأموال للإستثمار في أنظمة الأمن السيبراني المكلفة أو راحة وجود قاعدة الزبائن الأوفياء. لذلك، يجب أن تكون ذكياً بخصوص الترتيب الذي تنفّذ فيه خطوات لكي تصبح ممتثلاً للـGDPR.

•  سياسة الخصوصية: إبدأ بالأساسيات – ضع سياسة الخصوصية على الموقع الإلكتروني الخاص بك والذي يتضمن بيان عن ملفات تعريف الإرتباط، وتأكد من وجوده في مكان على مرأى من المستخدمين. أي مواقع إلكترونية أو تطبيقات تتعلق بالتعامل مع الزبائن يجب أن تأتي أولاً، ثم يمكنك النظر إلى الجوانب الداخلية للعمل الخاص بك.

•  التدقيق: راجع نموذج الخصوصية الراهن الخاص بك وما يتطلب من تغيير. ركّز على التدابير الأمنية، تدابير الإعلان وغيرها من تدابير القرصنة المتزايدة (مثلاً حملات التواصل الإجتماعي) التي تستخدمها. يوجد مجموعة من الأدوات والخدمات المتوافرة، من القوائم المرجعية ذات التوجيه الذاتي إلى  إستشارين متخصصين. إن قمت بتعيين إستشاري، تأكد من إلمامه بالتعامل مع الشركات الناشئة والمؤسسات الصغيرة والمتوسطة الحجم، ليس فقط الشركات الأكبر حجماً. يُعمل بالمثل عند تعيين أي محام.

•  التقليل من البيانات: قم بتقليص عدد البيانات الشخصية في العمل الخاص بك. فكّر جيّداً بشأن البيانات التي ستجمعها والمدة الزمنية التي تحتاج للإحتفاظ بها . قم بالسعي بقدر الإمكان إلى أصغر حجم وأقل مدة ممكنة. احذف البيانات التي لست بحاجة إليها.

•  سجلات: احتفظ بمجموعة من المواد المصنفة بوضوح والتي تسجِّل جميع الخطوات التي اتخذتها لتحقيق الإمتثال. يمكن أن يكون هذا في نسخة مطبوعة أو مخزنة إلكترونياً ولكنه من المفيد أكثر، إن كان في شكل يمكن مشاركته بسهولة مع زبائنك أو شركائك، إن طلبوا الإطلاع عليها.

•  العمل الجماعي: على جميع من هم ضمن منظمتك أن يتحملوا مسؤولية تحسين حماية البيانات. قم بإعطاء الموظفين الموارد والوقت ليصبحوا ملمين بالتغييرات وأن يتم تدريبهم. ارصد ردود فعل موظفي الخطوط الأمامية (مثلاً، موظفو المبيعات).

•  مسؤول عن حماية البيانات: من غير المعتاد لشركة ناشئة أو صاعدة أن تعالج كمية كبيرة من البيانات لتحتاج إلى مسؤول عن حماية البيانات . لكن، إن قمت  بذلك، فمن المحتمل أنك لست بحاجة إلى توظيف موظف جديد، ويمكنك أن تمنح الدور لموظف حالي يتمتع بشعور قوي من المسؤولية. إجعل الإمتثال للـGDPR أحد مؤشرات الأداء الأساسية ((KPIs لهم.

•  لا تبالغ بالإستثمار: من المحتمل أن يسألك الزبائن أن تقدم لهم بنوداً متعددة لإظهار مستوى الإمتثال في منظمتك. ستحتاج إلى قضاء الوقت والمال لتسبق تلك الطلبات، ولكن بالتساوي، لا تبالغ بالإستثمار في موارد باهظة الثمن لست بحاجة إليها. على سبيل المثال، يرجّح أنك لست بحاجة إلى مجموعة من المواد اللماعة المصمّمة من قبل مصمّم تدفقات البيانات الشخصية وتدابير الحماية التقنية المتخذة – بيانات ومذكرات سهلة تم تحضيرها داخل المنظمة والتي من المحتمل أن تكون كافية. حافظ على الحوار المفتوح مع زبائنك، لأن ذلك سيساعدك على تحديد أين وإلى أي مدى تستثمر، علماً بأنها قد تتغيّر مع الوقت تبعاً لتطور الأنظمة وتطبيق الـGDPR و/أو تطور القاعدة الزبائنية الخاصة بك.

•  استخدم الـGDPR لمصلحتك: تكون الشركات الناشئة عموماً أكثر مرونة وتكون نماذجها عادة في المراحل الأولى من تطورها. هذا سيسمح لك ببناء حماية البيانات في شركتك أكثر سرعةً من منافسيك الكبار. من السهل نسبياً أن تضم آليات الموافقة إلى الجهود التسويقية التي تبذلها والإجراءات اليومية التي تتبعها.

لا تنطبق الـ GDPR على عملي. هل ما يزال علي الإمتثال لها؟

أحد أكثر الأسباب المقنعة لتصبح شركة ناشئة ممتثلة للـGDPR هي أن ذلك يسمح لها بأن تخدم الزبائن الذين يطالبون بذلك الإمتثال وتحجب الشركات المنافسة الذين لا يوفرون هذه الخدمة لزبائنهم. هذا صحيح بوجه خاص بالنسبة للشركات الناشئة التي تعمل في مجال تعاملات الشركات فيما بينها (B2B)، والتي تقدم خدماتها لمنظمات أكبر حجماً.

لكن تذكر أن الإمتثال للـGDPR لا تأتي معه شهادة: هي مجموعة من الأنظمة التي ستطبق في ظروف معينة. لذلك، إذا اخترت الإمتثال، ستكون بحاجة إلى إقناع زبائنك بأنك ممتثل.

سيكون لدى المستثمرين أيضاً عدد من الأسئلة حول الـGDPR عند تخمين قيمة شركتك (اطلع على مقالنا اللائحة العامة لحماية البيانات (GDPR) وأصحاب رأس المال الإستثماري (VCs) – علام سيبحثون؟)