خارطة طريق لمواءمة نظام حماية البيانات الشخصية
الأربعاء - 11 أكتوبر 2023
Wed - 11 Oct 2023
خلال الشهر الماضي، دخل نظام حماية البيانات الشخصية في المملكة العربية السعودية حيز التنفيذ.
وهو نظام صادر من مجلس الوزراء بتاريخ 16-9-2021م بهدف حماية البيانات الشخصية للأفراد في السعودية.
هذا النظام، أحدث نقلة نوعية نحو تحقيق مستهدفات رؤية 2030 والتي تسعى إلى حفظ الحقوق، وتعزيز الحماية للأشخاص والمنشآت، نحو تحقيق فضاء سيبراني سعودي آمن بحول الله تعالى.
نصوص النظام كثيرة وتتداخل في كثير من الأمور التي تتطلب من كل جهة تقدم خدمة الكترونية، حكومية كانت أو خاصة، أن تتواءم مع نصوص النظام ولائحته التنفيذية.
والحقيقة أن المواءمة مع نصوص النظام تتطلب فهما عميقا لمتطلباته تجنبا للوقوع في الغرامات التي نصت عليها اللائحة التنفيذية للنظام.
في السابق، كانت جل اهتمام الجهات ومقدمي الخدمات الالكترونية في المملكة مركزا على النواحي التشغيلية والتقنية للخدمات الالكترونية مما سيساعد على تحقيق مستهدفات الجهات من زيادة أعداد مستخدمين، تحقيق إرادات أعلى، أو ربط مع خدمات أخرى لجذب عملاء أكثر، وكانت جزئية حماية معلومات العملاء والأفراد مهملة بشكل شبه تام، أو لم يتم الاكتراث بها من قبل، فالجهات الرقابية لم يحق لها في السابق أن تطلب من أي جهة تطبيق أي سياسات تدعو إلى اتخاذ إجراءات تضمن سلامات البيانات وحفظ خصوصيتها وحمايتها، بل وحتى المستخدمين العاديين منهم والمتخصصين في النادر ما يقومون بالتوجه إلى مقدم خدمة معينة ومطالبته بحذف بياناته من على الخوادم، على سبيل المثال.
والكثير منا لا يقرأ سياسية الخصوصية الموجودة على موقع مقدم الخدمة (إن وجدت).
هذه الأسباب هي بعض من التحديات التي يواجهها كثير من مقدمي الخدمات الالكترونية، خاصية تلك التي تقوم بجمع بيانات عملاء أيا كانت.
ومع دخول نظام حماية البيانات الشخصية حيز التنفيذ الشهر الماضي، أصبح واجبا على جميع الجهات أن تسارع بتغيير جذري في الأنظمة الالكترونية وذلك بهدف المواءمة مع النظام، عدم التعرض للمساءلات النظامية، تجنب الحصول على غرامات نتيجة مخالفة النظام، وأخيرا، التجنب في الوقوع في إشكالات قضائية مع المستخدمين للخدمات.
قد تتساهل بعض الجهات في التقليل من شأن تطبيق النظام ظنا منهم أن التعديل بسيط ولا يتطلب جهدا، وهذا بلا شك غير صحيح وسيؤدي إلى عواقب لا تحمد عقباها. وأبرز مثال على ذلك، هي حوادث تسرب البيانات التي حصلت من عدة جهات خدمية بسبب التفريط في سياسات معالجة البيانات، والتفريط في إعطاء صلاحيات لأطراف ثالثة لا تلتزم بسياسات معينة للأمن السيبراني، مما يمكن المهاجمين من اختراق خوادم الجهة الأصلية والمتحكمة في البيانات عن طريق الطرف الثالث. هذا مثال بسيط فقط لمدى تأثير التفريط في تطبيق سياسات الأمن السيبراني وحماية البيانات الشخصية.
عند قيام أي جهة بالاستعداد للمواءمة مع النظام، فينبغي أولا إدراك معنى مصطلح «خصوصية البيانات»؛ فإن أبسط شكل لتعريف الخصوصية هو ضمان عدم الاطلاع على أي معلومة خاصة بأي فرد أو جهة، إلا لصاحب صلاحية معينة وذلك بغرض تقديم خدمة ما، أو بغرض استعمال المعلومة لإعداد تقارير للجهة المقدمة للخدمة، وبما يحفظ سرية هوية صاحب المعلومة (أو البيان).
إن فهم مصطلح الخصوصية والإيمان به من قبل جميع العاملين بالجهة يسهل عملية الانتقال والاستعداد لتطبيق نظام حماية البيانات الشخصية.
كما ينبغي للجهات فهم نص النظام الذي يتطلب أولا تحديد ماهي البيانات التي يقوم مقدم الخدمة أو الجهة المتحكمة في البيانات بجمعها من المستخدمين في المملكة، حيث إن فهم طبيعة البيانات، سيسهل على الجهة التعامل معها وتطبيق معايير تضمن أن البيانات محافظ عليها من التسرب لأطراف خارجية، وضمان عدم الاطلاع عليها إلا من الأشخاص المعنيين في الجهة المتحكمة.
هذا الشرط الأول قد يبدو للقارئ أنه بسيط، إلا أنه يخلق تحديا تقنيا كبيرا جدا للجهة، فسيتطلب للجهات أن تقوم بمراجعة سياسات الوصول للبيانات (إن كان يوجد لديها سياسية، وإلا فيجب عليها استحداث واحدة) وذلك بغرض تحديد من منسوبي الجهة القادر على الاطلاع على بيانات العملاء، وتحديد أو تحييد صلاحية الوصول للأشخاص غير الضروريين.
هذا التحدي سيتطلب مراجعة هياكل البرمجيات في المنظمة لغرض إضافة خاصية تحديد مستوى الوصول إلى أي جزء من البيانات المخزنة.
أن هذا التحدي سيتطلب من الجهة القيام بعملية مراجعة الخطوات المتخذة في حال تعيين موظفين جدد لدى الجهة، وتدريبهم على أساسيات التعامل مع البيانات، وقيام مسؤولي الموارد البشرية بتسكين الموظفين على نطاقات واضحة في السلم الإداري في المنظمة بما يضمن أن النظام لا يقوم بشكل خاطئ بالسماح للموظفين بالوصول إلى بيانات لا يحق لهم الوصول إليها.
هذه بعض الأمثلة للتحديات التي ستواجهها القطاعات في المملكة للبدء في الموائمة مع نظام حماية البيانات الشخصية، وسنستعرض معكم في مقالات مستقبلية إن شاء الله تحديات أخرى وبعض الاستراتيجيات التي ينبغي تبنيها للوصول إلى مواءمة شاملة مع النظام ولائحته التنفيذية.
وهو نظام صادر من مجلس الوزراء بتاريخ 16-9-2021م بهدف حماية البيانات الشخصية للأفراد في السعودية.
هذا النظام، أحدث نقلة نوعية نحو تحقيق مستهدفات رؤية 2030 والتي تسعى إلى حفظ الحقوق، وتعزيز الحماية للأشخاص والمنشآت، نحو تحقيق فضاء سيبراني سعودي آمن بحول الله تعالى.
نصوص النظام كثيرة وتتداخل في كثير من الأمور التي تتطلب من كل جهة تقدم خدمة الكترونية، حكومية كانت أو خاصة، أن تتواءم مع نصوص النظام ولائحته التنفيذية.
والحقيقة أن المواءمة مع نصوص النظام تتطلب فهما عميقا لمتطلباته تجنبا للوقوع في الغرامات التي نصت عليها اللائحة التنفيذية للنظام.
في السابق، كانت جل اهتمام الجهات ومقدمي الخدمات الالكترونية في المملكة مركزا على النواحي التشغيلية والتقنية للخدمات الالكترونية مما سيساعد على تحقيق مستهدفات الجهات من زيادة أعداد مستخدمين، تحقيق إرادات أعلى، أو ربط مع خدمات أخرى لجذب عملاء أكثر، وكانت جزئية حماية معلومات العملاء والأفراد مهملة بشكل شبه تام، أو لم يتم الاكتراث بها من قبل، فالجهات الرقابية لم يحق لها في السابق أن تطلب من أي جهة تطبيق أي سياسات تدعو إلى اتخاذ إجراءات تضمن سلامات البيانات وحفظ خصوصيتها وحمايتها، بل وحتى المستخدمين العاديين منهم والمتخصصين في النادر ما يقومون بالتوجه إلى مقدم خدمة معينة ومطالبته بحذف بياناته من على الخوادم، على سبيل المثال.
والكثير منا لا يقرأ سياسية الخصوصية الموجودة على موقع مقدم الخدمة (إن وجدت).
هذه الأسباب هي بعض من التحديات التي يواجهها كثير من مقدمي الخدمات الالكترونية، خاصية تلك التي تقوم بجمع بيانات عملاء أيا كانت.
ومع دخول نظام حماية البيانات الشخصية حيز التنفيذ الشهر الماضي، أصبح واجبا على جميع الجهات أن تسارع بتغيير جذري في الأنظمة الالكترونية وذلك بهدف المواءمة مع النظام، عدم التعرض للمساءلات النظامية، تجنب الحصول على غرامات نتيجة مخالفة النظام، وأخيرا، التجنب في الوقوع في إشكالات قضائية مع المستخدمين للخدمات.
قد تتساهل بعض الجهات في التقليل من شأن تطبيق النظام ظنا منهم أن التعديل بسيط ولا يتطلب جهدا، وهذا بلا شك غير صحيح وسيؤدي إلى عواقب لا تحمد عقباها. وأبرز مثال على ذلك، هي حوادث تسرب البيانات التي حصلت من عدة جهات خدمية بسبب التفريط في سياسات معالجة البيانات، والتفريط في إعطاء صلاحيات لأطراف ثالثة لا تلتزم بسياسات معينة للأمن السيبراني، مما يمكن المهاجمين من اختراق خوادم الجهة الأصلية والمتحكمة في البيانات عن طريق الطرف الثالث. هذا مثال بسيط فقط لمدى تأثير التفريط في تطبيق سياسات الأمن السيبراني وحماية البيانات الشخصية.
عند قيام أي جهة بالاستعداد للمواءمة مع النظام، فينبغي أولا إدراك معنى مصطلح «خصوصية البيانات»؛ فإن أبسط شكل لتعريف الخصوصية هو ضمان عدم الاطلاع على أي معلومة خاصة بأي فرد أو جهة، إلا لصاحب صلاحية معينة وذلك بغرض تقديم خدمة ما، أو بغرض استعمال المعلومة لإعداد تقارير للجهة المقدمة للخدمة، وبما يحفظ سرية هوية صاحب المعلومة (أو البيان).
إن فهم مصطلح الخصوصية والإيمان به من قبل جميع العاملين بالجهة يسهل عملية الانتقال والاستعداد لتطبيق نظام حماية البيانات الشخصية.
كما ينبغي للجهات فهم نص النظام الذي يتطلب أولا تحديد ماهي البيانات التي يقوم مقدم الخدمة أو الجهة المتحكمة في البيانات بجمعها من المستخدمين في المملكة، حيث إن فهم طبيعة البيانات، سيسهل على الجهة التعامل معها وتطبيق معايير تضمن أن البيانات محافظ عليها من التسرب لأطراف خارجية، وضمان عدم الاطلاع عليها إلا من الأشخاص المعنيين في الجهة المتحكمة.
هذا الشرط الأول قد يبدو للقارئ أنه بسيط، إلا أنه يخلق تحديا تقنيا كبيرا جدا للجهة، فسيتطلب للجهات أن تقوم بمراجعة سياسات الوصول للبيانات (إن كان يوجد لديها سياسية، وإلا فيجب عليها استحداث واحدة) وذلك بغرض تحديد من منسوبي الجهة القادر على الاطلاع على بيانات العملاء، وتحديد أو تحييد صلاحية الوصول للأشخاص غير الضروريين.
هذا التحدي سيتطلب مراجعة هياكل البرمجيات في المنظمة لغرض إضافة خاصية تحديد مستوى الوصول إلى أي جزء من البيانات المخزنة.
أن هذا التحدي سيتطلب من الجهة القيام بعملية مراجعة الخطوات المتخذة في حال تعيين موظفين جدد لدى الجهة، وتدريبهم على أساسيات التعامل مع البيانات، وقيام مسؤولي الموارد البشرية بتسكين الموظفين على نطاقات واضحة في السلم الإداري في المنظمة بما يضمن أن النظام لا يقوم بشكل خاطئ بالسماح للموظفين بالوصول إلى بيانات لا يحق لهم الوصول إليها.
هذه بعض الأمثلة للتحديات التي ستواجهها القطاعات في المملكة للبدء في الموائمة مع نظام حماية البيانات الشخصية، وسنستعرض معكم في مقالات مستقبلية إن شاء الله تحديات أخرى وبعض الاستراتيجيات التي ينبغي تبنيها للوصول إلى مواءمة شاملة مع النظام ولائحته التنفيذية.
