وفقاً لقانون حماية البيانات لعام 1998م من المملكة المتحدة، تعد حماية البيانات، تأمين المعلومات الشخصية للأفراد ووضع سياسات لمعالجتها، وإعطائهم الحق في الحصول على تلك التي تحتفظ بها المنظمات والمؤسسات والحكومات عنهم.

القوانين المنظمة للخصوصية حول العالم ودرجات العقوبات

إن قانون خصوصية المعلومات أو قوانين حماية البيانات، هي قوانين تمنع الإفصاح عن المعلومات الخاصة بالأفراد أو إساءة استخدامها. وتبنت أكثر من 80 دولة ومقاطعة مستقلة، منها كل دول أوروبا تقريباً والعديد من الدول في أمريكا اللاتينية والبحر الكاريبي وآسيا وإفريقيا، قوانين حماية البيانات الشاملة.

1.  يشمل قانون الإتحاد الأوروبي لتنظيم حماية البيانات GDPR، المفعل منذ عام 2018، المبادئ الرئيسية التالية:

• لا يجب جمع البيانات إلا لغرض معلن
• لا يجب الإفصاح عن البيانات المجمّعة عن الأفراد إلى منظمات أخرى أو أفراد آخرين إلا إذا سمح القانون بذلك أو من خلال موافقة أصحاب الشأن
• يجب أن تكون السجلات المجمعة عن الأفراد دقيقة وحديثة
• يجب تصميم آلية لمراجعة البيانات المجمعة عن الأفراد و التحقق من دقّتها
• يجب حذف البيانات عندما ينتهي الغرض المعلن من جمعها
• يمنع نقل البيانات الشخصية إلى بلدان لا تشرّع قوانين حماية المعلومات الشخصية معادلة من حيث القوة والحزم للجهة الأولى
• يمنع جمع بعض البيانات شديدة الحساسية (مثل التوجه الجنسي والمذهب الديني)، إلا إذا كان هناك حاجة شديدة

2. يفرض قانون COPPA لحماية خصوصية الأطفال على الإنترنت والمفعل منذ عام 2000م، شروطاً معينة على مشغلي المواقع والخدمات عبر الإنترنت والموجهة إلى الأطفال دون سن 13 عاماً، كذلك على مشغلي مواقع الويب الأخرى التي تجمع معلومات شخصية عن أطفال دون السن المذكور أيضاً.

كما أسفرت تحقيقات لجنة التجارة الفيدرالية الأميركية "FTC"، عام 2020، عن تغريم موقع يوتيوب مبلغاً بقيمة 170 مليون دولار وإلزامه تطبيق قانون "COPPA"، إضافة إلى منع نشر أي محتوى يتم فيه استغلال الأطفال عبر الإنترنت.

القوانين المنظمة في الوطن العربي

تعرّف الدول العربية البيانات الشخصية على أنها"بيانات متعلقة بشخص محدد، أو يمكن تحديده بشكل مباشر أو غير مباشر عن طريق الربط بين هذه البيانات وأي بيانات أخرى بالإسم، أو بالصوت، أو بالصورة، أو برقم تعريفي، أو محدد للهوية عبر الإنترنت، أو أي بيانات تحدد الهوية النفسية أو الصحية أو الاقتصادية أو الثقافية أو الاجتماعية".

و شمل البيانات المعالجة أيضاً، والتي تعرف بتقنية كتابة البيانات الشخصية، أو تجميعها، أو تسجيلها، أو حفظها، أو تخزينها، أو دمجها، أو عرضها، أو إرسالها، أو استقبالها، أو تداولها، أو نشرها، أو محوها، أو تغييرها، أو تعديلها، أو إسترجاعها أو تحليلها، وذلك بإستخدام أي وسيط من الوسائط أو الأجهزة الإلكترونية أو التقنية سواء كان ذلك بشكل جزئي أو كلي.

أمّا في دول مجلس التعاون الخليجي (تحالف دول الشرق الأوسط السعودية، الكويت، الإمارات، قطر، البحرين وعمان) فلا يوجد قانون اتحادي لعام مباشر. وعلى الرغم من ذلك، سيكون من غير الصحيح القول بأن حماية البيانات أو خصوصية الفرد غير منظمة.

تغطي مختلف القوانين العامة جوانب "الخصوصية" على النحو التالي:

السعودية

يعاقب نظام مكافحة الجريمة الإلكترونية في المملكة أي شخص يتصرف بطريقة غير قانونية للوصول إلى كمبيوتر شخص آخر بغرض حذف أو تدمير أو تغيير أو إعادة توزيع المعلومات، بغرامة لا تزيد عن 3,000,000 ريال سعودي أو السجن لمدة لا تزيد عن أربع سنوات أو كلاهما.

ويغرّم من يصل إلى معلومات بنكية أو ائتمانية أو أية معلومات تتعلق بالأوراق المالية عامة بغرامة لا تزيد عن 2,000,000 ريال سعودي أو السجن لمدة لا تزيد عن ثلاث سنوات أو كلاهما. 

صورة من موقع www.saudia.com توضح طلب موافقة المتصفح على سياسة الخصوصية

الإمارات العربية المتحدة

وتنص المادة 31 من دستور الإمارات العربية المتحدة على حرية الإتصال وتكفل سريتها وفقاً للقانون. وتضمن الهيئة الوطنية للأمن الإلكتروني (NESA) لتخزين البيانات ومعالجتها ونقلها بشكل آمن  يحفظ الخصوصية.

وتنظم مدينة دبي لائحة للرعاية الصحية رقم 7 لعام 2008م، ويتم تنظيم حماية البيانات في مركز دبي المالي العالمي بموجب قانون مركز دبي المالي العالمي رقم 1 لسنة 2007م (المعدل بموجب قانون مركز دبي المالي العالمي رقم 5 لعام 2012م) ولوائح حماية البيانات (الإصدار الموحد رقم 2 الساري الصادر بتاريخ  23/12/2012م).

يطبق مركز دبي المالي العالمي القانون ويفرض عقوبات عندما لا يكون مراقب البيانات ممتثلاً للائحة بشكل نظامي ويتم محاسبته حسب لائحة الغرامات.

قطر

وتنص المادة 37 من الدستور القطري على أنه "لا يجوز انتهاك حرمة خصوصية الإنسان، وبالتالي لا يجوز التدخل في خصوصياته أو شؤون الأسرة أو محل الإقامة أو المراسلات أو أي عمل من أعمال التدخل التي قد تحط من شأن الشخص أو تشوه سمعته".

وينص قانون حماية خصوصية البيانات الشخصية رقم (13) لسنة 2016 التالي:

المادة 4 : لا يجوز للمراقب معالجة البيانات الشخصية إلا بعد الحصول على موافقة الفرد ما لم تكن المعالجة ضرورية لتحقيق غرض مشروع للمراقب أو من تُرسل إليه البيانات.

 المادة 5 : يجوز للفرد، في أي وقت: 

1. سحب موافقته السابقة على معالجة بياناته الشخصية.
2. الإعتراض  على معالجة بياناته الشخصية إذا كانت غير ضرورية لتحقيق الأغراض التي جمعت من أجلها، أو كانت زائدة على متطلباتها، أو تمييزية أو مجحفة أو مخالفة للقانون. 
3. طلب حذف بياناته الشخصية أو محوها في الحالات المشار إليها في البندين السابقين، أو عند إنتهاء الغرض الذي تمت من أجله معالجة تلك البيانات، أو إذا لم يكن هناك مبرر للإحتفاظ بها لدى المراقب. 
4. طلب تصحيح بياناته الشخصية، مرفقاً بهما ما يثبت صحة طلبه. 

المادة 6 : يحق للفرد الوصول إلى بياناته الشخصية وطلب مراجعتها في أي وقت، مواجهةً لأي مراقب، كما يحق له:

1. إخطاره بمعالجة بياناته الشخصية وبالأغراض التي تجري من أجلها تلك المعالجة.
2. إخطاره بأي إفشاء لبيانات شخصية غير دقيقة عنه.
3. الحصول على نسخة من بياناته الشخصية بعد سداد مبلغ لا يجاوز مقابل الخدمة.

مع عدم الإخلال بأي عقوبة أشد ينص عليها قانون آخر، يعاقب بالغرامة التي لا تزيد على (1,000,000) مليون ريال، كل من خالف أياً من أحكام المواد.

مصر: قانون حماية البيانات الشخصية رقم 151 لسنة 2020م

يعاقب كل حائز أو متحكم أو معالج، بغرامة لا تقل عن مائة ألف جنيه، لقيامه بجمع أو علاج أو إفشاء أو إتاحة أو تداول بيانات شخصية معالجة إلكترونياً باي وسيلة من الوسائل في غير الأحوال المصرح بها قانوناً أو بدون موافقة الشخص المني بالبيانات.

وتكون العقوبة الحبس مدة لا تقل عن ستة شهور وبغرامة لا تقل عن مائتي ألف جنيه ولا تتجاوز مليوني جنيه، أو بإحدى هاتين العقوبتين، إذا ارتكب ذلك مقابل الحصول على منفعة مادية أو أدبية، أو بقصد تعريض الشخص المعني بالبيانات للخطر أو الضرر.

تأثير اللائحة العامة لحماية البيانات (GDPR) في الشرق الأوسط

يُحدِّد قانون حماية البيانات في جميع بلدان الإتحاد الأوروبي الـ 28 ويفرض قواعد جديدة صارمة على مراقبة ومعالجة المعلومات الشخصية التي تم تحديدها بشكل واضح مما يضمن حفظ خصوصية البيانات والمعلومات بشكل آمن. فهو يعيد السيطرة إلى سكان الإتحاد الأوروبي.

ستؤدي اللائحة العامة لحماية البيانات (GDPR) إلى تحسين المساءلة والحوكمة لأنها شاملة وصارمة ويمكن أن تصل العقوبة إلى 4٪ من إجمالي حجم الأعمال السنوي للشركة. وتمتلك اللائحة أحكاماً مثل، تعيين الممثلين، العقوبات، الإخطارات وخرق البيانات، المساءلة، موظفي حماية البيانات وحقوق الفرد. وذلك على سبيل المثال لا الحصر. وقد أصبح القانون نافذاً منذ 25 مايو 2018م.

ووفقا للقانون، إذا كانت أي شركة في الشرق الأوسط تقوم بعمليات على بيانات الأوروبيين أو المقيمين في الإتحاد الأوروبي، فيتعين عليها، بغض النظر عن موقعها، تحسين البرمجيات والخوادم لتوفير وتعزيز الأمن والمراقبة للعملاء. وهذا يعني زيادة الآثار المالية على الشركة من حيث البرمجيات والمعدات وتعيين الموارد البشرية من أجل الامتثال.

وسيتعين على المؤسسات التجارية أن تنشئ عمليات امتثال داخلية لجميع الموظفين لتتماشى مع اللائحة العامة لحماية البيانات. وسيطلع الممثلون المعنيين  على السلطات القانونية.

أما الشركات فعليها رفع مستوى عروضها ومشاريعها لإعطاء العملاء سيطرة كاملة على بياناتهم يمكن أن يكون تأثير اللائحة العامة لحماية البيانات مرئياً في مختلف قطاعات الصناعة مثل السفر والسياحة والسيارات والمستشفيات والفنادق ومركز التنمية الخارجية وصناعة تكنولوجيا المعلومات بشكل عام.

يتعين على الشركات التي تتخذ من الشرق الأوسط مقراً لها أن تتخطى العقبات المكلفة والمستهلكة للوقت والصعبة من الناحية الفنية مثل تسهيل "قابلية نقل البيانات" وتخزين البيانات" و "الإخطارات" و "التحكم في البيانات" على سبيل المثال لا الحصر.

وعلى مقدمي حلول البرمجيات للمؤسسات إجراء تقييم للخصائص الوظيفية في التطبيق لأن قاعدة بياناتهم تتألف من البيانات الضخمة عن العملاء. وبالتالي، قد يتطلب ضمان الامتثال للائحة العامة لحماية البيانات تعديلات وتكاليف كبيرة.

نهج التكنولوجيا للامتثال للائحة العامة لحماية البيانات (GDPR)

تتمثل المبادئ الأساسية للائحة العامة لحماية البيانات في الحوكمة، الشرعية، والنزاهة والشفافية، وتحديد الغرض، وتقليل البيانات، والدقة، وتقييد التخزين، والنزاهة والسرية والمساءلة. وهذه المبادئ ضرورية لحماية الحرية والحق في الخصوصية وضمان العدالة الطبيعية في جميع المجالات بما في ذلك البيانات الشخصية.

يجب على الشركات تقييم ومراجعة ما إذا كانت اللائحة العامة لحماية البيانات قابلة للتطبيق. وينبغي تحسين المنتجات والخدمات. على سبيل المثال، للامتثال للائحة العامة لحماية البيانات (GDPR). وتساعد الحلول على تحقيق الامتثال المطلوب بطريقة خالية من المتاعب. إنه حل أرشفة البريد الإلكتروني السحابي ويساعد في الحفاظ على أمان رسائل البريد الإلكتروني الخاصة بالشركة ويمكن استردادها بسهولة عند الحاجة، مع الإلتزام  بمبادئ "المساءلة" في اللائحة العامة لحماية البيانات.

كما توفر حلول البريد الإلكتروني السحابي أدوات تعاون إلكترونية فعالة من حيث التكلفة على المستوى العالمي وتمكين إدارة البيانات. هذه هي المنتجات التي تحدد معايير الصناعة عندما يتعلق الأمر بـ"موقع البيانات" و "البيانات الشخصية" والبيانات الشخصية الحساسة" على النحو المحدد في اللائحة العامة لحماية البيانات.  

إن البيانات هي النفط الجديد في عصر الإنترنت و التحول الرقمي. وقد أصبح اليوم تبادل المعلومات ونقلها سهلاً وله عدة أشكال، في حين باتت حماية البيانات وخصوصيتها هاجس دائم وجوهر جميع السياسات المتصلة بالمعلومات في أي منظمة.