دور الموارد البشرية في حماية البيانات الشخصية والأثار الاقتصادية لتسريبها أو اختراقها على المؤسسات

• الاتحاد الأوروبي: غرامة 20 مليون يورو أو 4% من إجمالي العائدات العالمية، على المؤسسات التي تفشل في حماية البيانات الشخصية.
• الكويت: غرامة مالية بما لا يتجاوز مليون دينار كويتي في كل مخالفة، مع المضاعفة عند التكرار.
• في حالة حدوث خرق للبيانات، تكون الموارد البشرية حاسمة في إدارة الاتصالات الداخلية ودعم عملية التحقيق.
• تتعرض سمعة العلامة التجارية للشركة لضرر طويل الأمد، مما يؤدي إلى انخفاض حصة السوق وصعوبة جذب عملاء جدد.
• أهمية تعيين شخص يكون مسؤول عن حماية البيانات الشخصية (DPO).

التحول الرقمي المتسارع الذي نشهده اليوم، جدَّد النقاش حول الجوانب القانونية والأخلاقية للمؤسسات لحماية البيانات الشخصية الإلكترونية، ومدى مشروعية تجميع البيانات ومعالجتها.

السُّلطة التنظيمية والجزائية لهيئة الاتصالات في حماية خصوصية البيانات
السُّلطة التنظيمية والجزائية لهيئة الاتصالات في حماية خصوصية البيانات لهيئة الاتصالات، بموجب قانونها، سُلطة تنظيمية وجزائية تميزها عن غيرها من الهيئات الإدارية في الكويت، باعتبارها سُلطة إدارية تنظيمية مستقلة، فللهيئة – بما لها من سُلطة تنظيمية – أن تُصدر اللوائح والتعليمات لمقدمي الخدمات الإلكترونية المرخص لهم بتعزيز التدابير الأمنية، إضافة لإصدار إرشادات متعلقة بخصوصية البيانات، وفي حال مخالفة أحكام لائحة الخصوصية، فللهيئة – بحكم سُلطتها الجزائية- توقيع الجزاءات الإدارية المنصوص عليها بما يتناسب وحجم المخالفة. وتتمثل تلك الجزاءات بما نصَّت عليه المادة 64 من قانون الاتصالات، وهي:

 – إنذار المخالف لإزالة المخالفة خلال 30 يوما من الإنذار.

 – وقف الترخيص لمدة ثلاثة أشهر.

 – إزالة المخالفة على نفقة المخالف.

 – خفض الخدمات المرخص بها، بما لا يتجاوز خدمة واحدة عن كل مخالفة.

– تحصيل غرامة مالية بما لا يتجاوز مليون دينار كويتي في كل مخالفة.

– التحفظ على المعدات والأجهزة والآلات والمعدات، لحين الفصل النهائي في النزاع.

– إلغاء الترخيص.

– تُضاعف الغرامة في حال التكرار، أو يدفع المخالف ضعفي قيمة الضرر، أيهما أكبر.

وتعرف اللائحة البيانات الشخصية محل الحماية ونطاق تطبيق اللائحة، ثم تضع المفهوم القانوني للمعالجة الإلكترونية وضوابط مشروعيتها. حيث تعرف اللائحة البيانات الشخصية بأنها: «البيانات ذات الصلة بشخص طبيعي أو اعتباري محدد الهوية، أو يمكن تحديده من خلال هذه البيانات بطريقة مباشرة، كتحديد الاسم والهوية والمعلومات المالية أو الصحية أو العرقية أو الدينية أو أي معلومات تسمح بتحديد الموقع الجغرافي للشخص أو أنظمة تعقب الأشخاص أو البصمة الشخصية أو الوراثية، أو أي ملف صوتي للشخص.»
 إضافة إلى دور السُّلطات العامة ) هيئة الاتصالات) في الرقابة على الخصوصية أو الرجوع للقرار الذي أسست فيه المحكمة الدستورية الحكم رقم 3 لسنة 1982 الحق في حماية الخصوصية على نص المادة 30 من الدستور: «الحرية الشخصية مكفولة». فحق المواطن في حريته الشخصية يقتضي صون كرامته، والحفاظ على معطيات حياته، وعدم انتهاك أسراره فيها، إعمالاً لحقه في احترام حياته الخاصة. وبالتالي تعتبر البيانات الشخصية الإلكترونية، بما تتضمنه من معلومات شخصية، هي في حقيقتها جزء لا يتجزأ من الحق الدستوري في حماية الخصوصية. وعلى المستوى التشريعي، خصَّص المشرّع في القانون رقم 20 لسنة 2014 بشأن المعاملات الإلكترونية الفصل السابع منه لحماية البيانات وخصوصيتها في المعاملات الإلكترونية، ثم صدر القانون رقم 37 لسنة 2014 بإنشاء الهيئة العامة للاتصالات، الذي منح في المادة الثالثة منه للهيئة سُلطة تنظيم قطاع الاتصالات، خاضعة في هذه السُّلطة للمبادئ الدستورية العامة، وأهمها احترام الحق في الخصوصية. وفي إطار هذه السُّلطة التنظيمية أصدرت هيئة الاتصالات اللائحة رقم 21 لسنة 21 بشأن حماية خصوصية البيانات والمنشورة بجريدة الكويت اليوم في 4 أبريل 2021، باعتبارها اللائحة المنظمة لحماية خصوصية البيانات الإلكترونية.

فتفاصيل البيانات الشخصية الإلكترونية تزيد من مخاطر الاستخدام الغير قانوني للبيانات، كبيعها وسرقة الحسابات من خلالها، إضافة إلى إشكاليات الرقابة غير القانونية على البيانات الشخصية، الأمر الذي يُحتم وضع الأطرالمؤسسية التنظيمية لحماية الخصوصية الإلكترونية، إلى جانب تفعيل دور هيئة الاتصالات في حماية البيانات باستخدام سُلطاتها التنظيمية الوقائية والجزائية.

ونظراً لأهمية حماية البيانات الشخصية وحداثته، نتناول في هذه المقالة الأثار الاقتصادية لتسريبها أو اختراقها على السمعة واسم الشهرة المؤسسية ودور الموارد البشرية (HR)المهم في حماية خصوصية البيانات الشخصية الإلكترونية. 

يلعب دور الموارد البشرية (HR) في حماية البيانات الشخصية دورًا حاسمًا، خاصة في ضوء إرشادات اللائحة العامة لحماية البيانات لهيئة الاتصالات أو السياسة واللائحة الخاصة للمؤسسة و فيما يلي بعض النقاط الرئيسية التي تُبرز أهمية الموارد البشرية في هذا السياق:

1. تعيين مسؤول حماية البيانات الشخصية (Personal Data Protection Officer):

تتحمل الموارد البشرية مسؤولية التعامل مع كمية كبيرة من البيانات الشخصية المتعلقة بالموظفين، مثل معلومات الرواتب وتقييمات الأداء والسجلات الصحية. يساعد فهم متطلبات هيئة الاتصالات الموارد البشرية في ضمان معالجة البيانات الشخصية بطريقة قانونية وعادلة وشفافة.  فيجب تدريب العاملين كيفية القيام بأي عملية أو مجموعة من العمليات يتم اتخاذها على البيانات الشخصية، سواء كانت داخل دولة الكويت أو خارجها باستخدام الوسائل الآلية أو وسائل أخرى مثل جمع وتسجيل وتنظيم وتحليل وتخزين أو تعديل واسترجاع أو استخدام أو الإفصاح من خلال الإرسال والنشر أو جعلها متاحة أو دمجها أو تقييدها أو حذفها أو إتلافها.  وعلي حسب حجم المؤسسة، تأتي أهمية تعيين أو تحديد شخصا أو أكثريكون مسؤول عن حماية البيانات الشخصية (DPO) للمعالجة المستمرة من خلال مراقبة وتتبع وتنميط أصحاب البيانات الشخصية بهدف تحسين وتطوير وتعزيز الإلتزام بالسياسات واللوائح الداخلية للمؤسسة.

• تطوير السياسات: تلعب الموارد البشرية دورًا محوريًا في تطوير وتنفيذ السياسات والإجراءات التي تتوافق مع متطلبات هيئة الاتصالات وسياسات وإجراءات حماية البيانات للمؤسسة، إشعارات الخصوصية، وبرامج تدريب الموظفين حول ممارسات التعامل مع البيانات.
• تدريب الموظفين وزيادة الوعي: الموارد البشرية ضرورية في توعية الموظفين بحقوقهم بموجب متطلبات هيئة الاتصالات وأهمية حماية البيانات الشخصية. يساعد التدريب المنتظم في تعزيز ثقافة حماية البيانات داخل المؤسسة.
• تقليص حجم وجمع البيانات: ينبغي على الموارد البشرية التأكد من جمع البيانات الشخصية الضرورية فقط وفرض وتفعيل سياسات الاحتفاظ بالبيانات. من خلال تطبيق مبدأ تقليص حجم وجمع البيانات، يمكن للموارد البشرية تقليل المخاطر والانتهاكات المحتملة.
• التعامل مع استفسارات الموظفين وحقوقهم: تعد الموارد البشرية نقطة الاتصال الأساسية للموظفين بشأن بياناتهم الشخصية. يجب أن تكون جاهزة للتعامل مع الطلبات المتعلقة بالوصول إلى البيانات وتصحيحها وحذفها كما هو منصوص عليه بموجب متطلبات السياسات واللوائح الداخلية للمؤسسة.
• التعاون مع فرق تكنولوجيا المعلومات والقانونية: يجب على الموارد البشرية العمل من قرب مع الإدارة القانونية وتكنولوجيا المعلومات لضمان دمج تدابير حماية البيانات في جميع الأنظمة والعمليات التي تشمل البيانات الشخصية. 
• إدارة المخاطر: تشارك الموارد البشرية في تقييم المخاطر المتعلقة بمعالجة البيانات الشخصية وتطوير استراتيجيات للتقليل من تلك المخاطر. يشمل ذلك إجراء إختبارات تأثير حماية البيانات Data Protection Impact Assessment (DPIA) عند تنفيذ سياسات أو أنظمة جديدة.
• تطوير آليات منع انتهاك البيانات والبلاغ عنها والاستجابة للحوادث: في حالة حدوث خرق للبيانات، تكون الموارد البشرية حاسمة في إدارة الاتصالات الداخلية ودعم عملية التحقيق. يجب أن تكون على دراية بالتزامات الإبلاغ بموجب سياسات وإجراءات حماية البيانات للمؤسسة لإخطار جميع الأفراد المتأثرين عند الضرورة.
• الثقة والشفافية: عند تصميم/شراء خدمة نظام الموارد البشرية (HRIS)، يجب الكشف عن جميع معلومات وشروط الخدمة، وكيفية طلب تغييرها وإلغائها، مع تحديد هوية مقدم الخدمة، وكيفية الاتصال به سواء عن طريق الموقع أو تطبيق ذكي، سواء كان ذلك في القطاع العام أو الخاص. ومن خلال إدارة البيانات الشخصية بفعالية وفقًا للسياسات وإجراءات حماية البيانات للمؤسسة، تساهم الموارد البشرية في بناء الثقة بين الموظفين، مما يُظهر أن المؤسسة تهتم بخصوصيتهم وملتزمة بحماية بياناتهم.

بشكل عام، تُعتبر الموارد البشرية أداة مهمة في تعزيز ثقافة الامتثال وضمان إدارة البيانات الشخصية بطريقة مسؤولة وأخلاقية، متماشية مع وسياسات وإجراءات حماية البيانات للمؤسسة.

التكلفة الاقتصادية لعدم حماية البيانات الشخصية وبعض الأمثلة على مثل هذه الحوادث

يمكن أن تكون التكلفة الاقتصادية لعدم حماية البيانات الشخصية كبيرة، تؤثر على المؤسسات والأفراد والاقتصاد جميعا وعلى سبيل المثال:

1. الغرامات والعقوبات التنظيمية:

تفرض العديد من الهيئات القضائية، بما في ذلك تلك التي تحكمها اللائحة العامة لحماية البيانات كقانون الاتحاد الأوروبي الذي يختص بحماية البيانات (GDPR)، غرامات كبيرة على المنظمات التي تفشل في حماية البيانات الشخصية. على سبيل المثال، يمكن أن تصل الغرامات إلى 20 مليون يورو أو 4% من إجمالي العائدات العالمية، أيهما أكبر.

• التكاليف القانونية:

قد تواجه المنظمات دعاوى قانونية من الأفراد المتأثرين أو الهيئات التنظيمية. يمكن أن تضيف الرسوم القانونية والتسويات والتعويضات بشكل كبير إلى التكلفة الإجمالية.

• فقدان الأعمال والإيرادات:

عند حدوث خرق للبيانات، قد يتأثر ثقة العملاء بشكل كبير، مما يؤدي إلى فقدان العملاء والإيرادات. على سبيل المثال، بعد خرق بيانات شركة إكويفاكس في 2017، واجهت الشركة تراجعًا كبيرًا في العملاء وانخفاضًا في أسعار الأسهم.

• ضرر للسمعة:

يمكن أن تتعرض سمعة العلامة التجارية للشركة لضرر طويل الأمد، مما يؤدي إلى انخفاض حصة السوق وصعوبة جذب عملاء جدد. قد تستغرق عملية التعافي من الضرر إلى السمعة سنوات، وقد تتطلب جهود تسويقية وعلاقات عامة واسعة.

• زيادة تكاليف الأمن السيبراني:

بعد حدوث خرق للبيانات، غالبًا ما تحتاج المنظمات إلى الاستثمار الكبير في تحسين البنية التحتية للأمن السيبراني. يمكن أن يشمل ذلك توظيف موظفين جدد، وتنفيذ تقنيات جديدة، والقيام بعمليات تدقيق.

• تعطيلات تشغيلية:

يمكن أن يؤدي اختراق البيانات إلى عطل كبيرفي العمليات، مما ينتج عنه تكاليف إضافية بسبب التوقف، وانخفاض الإنتاجية، والحاجة إلى إدارة الأزمات.

أمثلة على خروقات اللائحة العامة لحماية البيانات والعقوبات المترتبة عليها

1. إكويفاكس (2017):

تعرضت إلى خرق بيانات ضخم أسفر عن كشف المعلومات الشخصية لحوالي 147 مليون فرد. واجهت إكويفاكس تكاليف تجاوزت 700 مليون دولار من الغرامات وتكاليف التسوية وعانت من فقدان كبير للثقة من العملاء.

• تارجت (2013):

تعرضت إلى خرق بيانات خلال موسم التسوق في العطلات أدى إلى كشف معلومات بطاقات الائتمان والخصم لحوالي 40 مليون عميل. تكبدت تارجت تكاليف تجاوزت 200 مليون دولار من التسويات والرسوم القانونية وتعزيزات الأمان.

• ياهو (2013-2014):

عانت ياهو من عدة خروقات بيانات كشفت عن بيانات أكثر من 3 مليارات حساب. تضمنت التكاليف المالية مئات الملايين من التكاليف المرتبطة بالتحقيقات والدعاوى القانونية وبيعها بسعر أقل خلال استحواذ فيرايزون، التي اشترت ياهو مقابل 4.48 مليار دولار، انخفاضًا عن تقييم سابق.

• فيسبوك (فضيحة كامبريدج أناليتيكا، 2018):

على الرغم من أنها ليست خرقًا تقليديًا للبيانات، إلا أن جمع البيانات الشخصية بشكل غير مصرح به من ملايين المستخدمين أدى إلى غرامة ضخمة بقيمة 5 مليارات دولار من لجنة التجارة الفيدرالية (FTC) بسبب انتهاكات الخصوصية. أدى ذلك أيضًا إلى ضرر كبير للسمعة وفقدان المستخدمين بعد ذلك.

• ماريوت إنترناشيونال (2018):

تعرض خرق بيانات كشف عن المعلومات الشخصية لحوالي 500 مليون ضيف. قدرت التكلفة الإجمالية للخرق بتراجع كبير في ثقة العملاء وتكاليف قانونية كبيرة، فضلاً عن تسوية محتملة مع الجهات التنظيمية.

الخاتمة 

يمكن أن تظهر التكلفة الاقتصادية لعدم حماية البيانات الشخصية في أشكال متعددة ويمكن أن تؤثر بشكل كبير على الصحة المالية للمنظمات وسمعتها. تُظهر الحوادث أن حماية البيانات الفعالة ليست مجرد متطلب تنظيمي، بل هي أيضًا عنصر حيوي لاستدامة الأعمال وثقة العملاء. مع استمرار تطور التهديدات السيبرانية وبالرغم التأخر النسبي في إصدار لائحة حماية البيانات الشخصية في الكويت، لكنها تُعد خطوة في الاتجاه الصحيح.  أما فيما يتعلق بالقطاع الخاص، فيجب تشريع وتفعيل وسنّ اللوائح والإرشادات والتعليمات حول كل ما يخص خصوصية البيانات، ثم رقابة مدى الالتزام بها مع ضرورة حماية الأفراد والتعامل بجدية مع كل شكاوى انتهاك الخصوصية الإلكترونية والعمل لتنفيذ تدابير قوية لحماية البيانات. وتبقى السياسات واللوائح الداخلية نصوصا شكلية خالية الوفاض عديمة الأثر إذا لم تقترن بآلية جزاء تمنحها قوتها الإلزامية، الأمر الذي يستوجب أيضا العقاب الحقيقي لكل من تثبت في حقه مخالفة لائحة الخصوصية.Top of Form

عدنان البدر.

باحث ومستشار استراتيجي في سياسة الموارد بشرية وبيئة العمل ورئيس ومؤسس الجمعية الكندية الكويتية للصداقة والأعمال.

ckbafa@gmail.com