الموعد النهائي مفقود ، أو لماذا لم تكن أكثر من نصف الشركات جاهزة للائحة العامة لحماية البيانات

في الأيام الأخيرة ، رسائل من مختلف الشركات والتطبيقات والخدمات والمواقع التي استخدمتها من قبل أو التي فتحت فيها الحسابات تقع بشكل منتظم في البريد. تتشابه الرسائل تقريبًا - فهي تُبلغ عن تغيير في سياسة الخصوصية وتشرح كيفية معالجة الشركة للبيانات الشخصية.

لقد كتبنا بالفعل عن ما يتغير بالضبط في سياسات معالجة البيانات لشركات تكنولوجيا المعلومات الكبيرة: WhatsApp و Facebook و Instagram و Twitter. نفهم الآن سبب بدء وصول عشرات الرسائل من العديد من الخدمات الآن فقط ، بعد الموعد النهائي الرسمي للائحة العامة لحماية البيانات ، لماذا لم تكن جميع الشركات قادرة على الاستعداد للانتقال في الوقت المناسب وما هي المشاكل التي واجهتها.


/ photo Dennis van der Heijden CC BY

ماذا يحدث

في 25 مايو ، دخلت اللائحة العامة لحماية البيانات - اللائحة العامة لحماية البيانات - حيز التنفيذ. ينظم حماية البيانات الشخصية للمقيمين في دول الاتحاد الأوروبي ويحل محل توجيه حماية البيانات ، وهو توجيه من عام 1995.

تؤثر اللائحة العامة لحماية البيانات على الجميع ، لأنها لا تنطبق فقط على الشركات المسجلة في الاتحاد الأوروبي ، ولكن على كل من يقوم بتخزين ومعالجة واستخدام PD لمواطني الاتحاد الأوروبي.

بدأت الشركات في التحضير مقدمًا ، والتي تعتمد نماذج أعمالها بشكل كبير على العمل مع PD - على سبيل المثال ، قال Facebook حتى قبل إدخال اللائحة العامة لحماية البيانات (GDPR) عما سيتم فعله للامتثال للائحة الجديدة: سيطلب من جميع المستخدمين مراجعة إعدادات الخصوصية الخاصة بهم. سيكون بإمكانهم أيضًا اختيار ما إذا كانوا مستعدين لمشاركة معلوماتهم لأغراض الإعلان المستهدف ، وإذا كان الأمر كذلك ، أيهما. بالإضافة إلى ذلك ، خططت الشبكة الاجتماعية لإعادة التعرف على الوجوه ، والذي تم تعطيله بقرار من المحكمة بأن مجموعة أدوات الشبكة الاجتماعية هذه تنتهك قوانين البيانات الشخصية.

ولكن لم تتفاعل جميع الشركات مع اللائحة الجديدة بنفس الاهتمام المتزايد. في أبريل ، أجرى معهد بونيمون دراسة استقصائية بين آلاف الشركات ، اعترفت نصفها بأنها لن تكون جاهزة للموعد النهائي. من بين شركات تكنولوجيا المعلومات ، كان هناك 60٪ منهم.

ونتيجة لذلك ، لم يستطع الكثيرون بالفعل تلبية متطلبات اللائحة في الوقت المحدد - على الرغم من أن الموعد النهائي كان معروفًا لفترة طويلة (تم نشر النسخة النهائية من اللائحة العامة لحماية البيانات قبل عامين). وفقًا لمسح أجرته شركة TrustArc الأوروبية قبل عام بين مائتي شركة من مختلف البلدان والصناعات ، فإن 61 ٪ من الشركات لم تبدأ بعد في الاستعداد للائحة العامة لحماية البيانات.

لماذا هو صعب المطابقة

لم يكن لدى العديد من الشركات الوقت للموعد النهائي ، ليس فقط لأنها قررت تأجيل كل شيء إلى آخر. هناك عدة أسباب موضوعية نسبيا.

القانون معقد للغاية

وأحيانًا يتقاطع مع الإجراءات القانونية المحلية المتعلقة بمعالجة البيانات الشخصية. يقول المحامون إنه من الصعب حقًا فهم متطلبات المنظم - بل وأكثر من ذلك إعادة بناء عملك بحيث يتطابق معها.

على سبيل المثال ، تسببت بعض الصيغ في النقاط الرئيسية للقانون في نقاش ساخن: يجب أن تكون الموافقة على استخدام البيانات الشخصية العادية "لا لبس فيها" (أي لا لبس فيها ومفهومة وغير غامضة) ، والموافقة على استخدام البيانات الشخصية "الحساسة" يجب أن تكون "صريحة" (موضحة بوضوح شامل).

ولكن هل هناك فرق بين هذين التعريفين ، ونتيجة لذلك ، "الموافقات" ، وإذا كان الأمر كذلك ، فماذا وماذا يجب أن يتم التعبير عنه في تطبيق الممارسة؟ السؤال ليس خاملًا على الإطلاق - يعتمد على الإجابة الصحيحة (من وجهة نظر قانونية) ، على سبيل المثال ، كيف يكون ذلك ممكنًا وكيف أنه من المستحيل رسم التوقيعات لخانات الاختيار في الواجهات التي تشير إلى موافقة المستخدم على معالجة PD.


/ image جوليا فورسيث PD

بالإضافة إلى ذلك ، لا يأخذ القانون في الاعتبار التفاصيل المحلية: على سبيل المثال ، لدى الدول المختلفة مواقف مختلفة تجاه البيانات الشخصية. هذا هو السبب جزئياً في تبسيط العديد من أجزاء القانون بشكل متعمد - مما يخلق مساحة لمجموعة متنوعة من تفسيراته.

وتتناقض بعض نقاط اللائحة العامة لحماية البيانات ، على سبيل المثال ، الرقم الروسي 152-FZ "على البيانات الشخصية" ، والذي يخلق أيضًا صعوبات للشركات الروسية التي تجمع بطريقة ما PD من المواطنين الأوروبيين وتستخدمه.

إصلاح العملية

وليس فقط من وجهة نظر التكنولوجيا ، ولكن أيضًا من وجهة نظر الأعمال. تخشى بعض الشركات من أنه إذا أخبرت المستخدمين بكيفية استخدامهم لبياناتهم الشخصية بالضبط ، فلن يعطيها المستخدمون أبدًا.

لذلك ، تم انتقاد النهج الذي قدمه Facebook للحصول على إذن المستخدم في نهاية المطاف: حيث يحفزه مسار المستخدم بالكامل على الموافقة بسرعة على القواعد الجديدة ومواصلة مشاركة معلوماته مع الخدمة.

يعتبر زر "الموافقة والمتابعة" هو الأكثر جمالًا وملحوظًا ، وهنا يبدو الحل المعاكس صعبًا بالفعل: "إدارة إعدادات البيانات". إذا قمت بالنقر فوقها ، سيحاول Facebook أولاً إقناع المستخدم بترك كل شيء كما هو. بالإضافة إلى ذلك ، يحرم Facebook المستخدم من فرصة مشاركة بعض المعلومات الشخصية على صفحته ، ولكن في نفس الوقت لا يسمح للشبكات الاجتماعية باستخدام هذه المعلومات لأغراض إعلانية.

بالإضافة إلى ذلك ، غالبًا ما لا تمتلك الشركات الصغيرة والمتوسطة الموارد التكنولوجية والبشرية لفهم متطلبات القانون وإجراء جميع الاستعدادات اللازمة - وبالتالي ، بالنسبة لهم ، تصبح عملية جعل جميع الأنظمة وفقًا لمتطلبات اللائحة العامة لحماية البيانات مكلفة للغاية.

لم يعد القانون يأخذ في الاعتبار التقنيات الجديدة

تم تطوير اللائحة واعتمادها لعدة سنوات ، لذا فإن العديد من الأفكار حول الوضع الحالي للتكنولوجيا قديمة بالفعل: على سبيل المثال ، ليس من الواضح ما يجب فعله بالبيانات الضخمة والتعلم الآلي.

لذا ، تتطلب اللائحة العامة لحماية البيانات شفافية من خوارزميات التعلم الآلي - يجب أن يتمكن المطورون من تفسير سبب اتخاذ الخوارزمية هذا القرار أو ذاك. وبعبارة أخرى ، ينص القانون على أنه يمكن للمستخدم في أي وقت الحصول على شرح مفصل لآلية استخدام معلوماته الشخصية من أجل اتخاذ قرار مستنير - سواء وافق عليه أم لا.

في حالة خوارزميات التعلم الآلي ، ليس من السهل القيام بذلك - لماذا تتخذ أنظمة الذكاء الاصطناعي هذا القرار بعينه في تلك اللحظة بالذات ، حتى مهندسيها لا يستطيعون أحيانًا شرح ذلك. لا ينظم هذا اللائحة العامة لحماية البيانات. وستصبح هذه الأشياء أكثر وأكثر - يجب تحديث القانون باستمرار ، ولكن في الواقع سوف يتخلف القانون دائمًا عن تطوير التكنولوجيا.

كان أصعب شيء هو الشركات التي طورت مساعدين أذكياء - Google Assistant ، Alexa ، Siri.

تستمع هذه الخدمات دائمًا (وإن كان في الخلفية) إلى كل ما يحدث حولها - من أجل "الاستيقاظ" في الوقت المناسب وتنفيذ أمر باستخدام كلمة السر. لا تزال التكنولوجيا غير كاملة - على سبيل المثال ، منذ وقت ليس ببعيد ، واجهت أمازون مشكلة غير متوقعة: بدأت أليكسا تضحك بشكل دوري ، لأنها يمكن أن تفهم عبارة "أليكس ، تضحك" في الخطاب المحيط بها.

يبدو الأمر سخيفًا ، ولكن في إطار اللائحة العامة لحماية البيانات ، يعد هذا الوضع منطقة رمادية ، ولا تزال كيفية السيطرة عليها غير واضحة. من الناحية الرسمية ، لا يقوم المساعدون الأذكياء بتسجيل الصوت ولا يرسلونه في أي مكان - لكن حالة حديثة مع نفس Alexa ، والتي ، بسبب خطأ تقني ، نقلت تسجيلًا صوتيًا لمحادثة شخصية لسكان منزل إلى أحد جهات الاتصال في دفتر الهاتف ، تظهر أن المواقف يمكن أن تكون مختلفة.

في مثل هذه الحالات ، سيعتمد كل شيء على ما إذا كان المستخدمون عانوا نتيجة لذلك أم لا: على سبيل المثال ، إذا لم يتم استخدام المعلومات و "تفاعلت" الخدمة بسرعة وحذفها. لقد وعد مطورو Alexa أنفسهم بتحسين خوارزميات التعرف على الصوت بحيث لا يحدث مثل هذا الحدث غير المحتمل مرة أخرى.


/ photo Oliver Henze CC BY-ND

لم يتم بعد توضيح كيفية تنظيم تشغيل هذه الخدمات من حيث الامتثال للائحة العامة لحماية البيانات. يتفق الخبراء والصحفيون على أنه قد يتعين على هذه الخدمات الحصول على موافقة من المستخدمين على أن المساعد الذكي يستمع دائمًا ، ويسجل دائمًا ، وربما ينقل المعلومات إلى أطراف ثالثة.

ماذا سيكون

ما الذي ينتظر الشركات التي لم يكن لديها الوقت لجعل عمليات الأعمال تتماشى مع القانون أو انتهكته؟ يعتقد البعض أن 25 مايو كان "بداية سهلة" ، ولن تتابع الهيئة التنظيمية الشركات التي لم تتمكن من الوصول إلى الموعد النهائي (خاصة إذا كانت لديها أسباب موضوعية لذلك). على الرغم من أن عقوبة عدم الامتثال للوائح قد تم الإشارة إليها بالفعل ، وهي مهمة للغاية - تصل إلى 4 ٪ من الإيرادات السنوية للشركة.

ومع ذلك ، هناك صعوبة - فليس كل التحكم الآن بيد المنظم فقط. يتمتع المستخدمون أنفسهم أيضًا بالطاقة: على سبيل المثال ، قد يطلبون من الخدمة تلقي أو تعديل أو حذف جميع PDs الخاصة بهم. إذا لم يتم تأسيس هذه العمليات وكانت الخدمة غير قادرة تقنيًا على تلبية متطلبات المستخدم ، فهناك خطر من التقاضي ، والذي قد يفوز به المستخدم جيدًا.

لا يزال العديد من الخبراء يعتقدون أن السوق لن يكون قادرًا على الامتثال الكامل لمتطلبات اللائحة العامة لحماية البيانات. على الأقل لأن المجال غير مكتشف إلى حد كبير - على الرغم من صحة القانون في نواياه ، إلا أنه لا يؤثر على العديد من الحالات الهامة وطرق استخدام البيانات الشخصية وتخزينها. ومع ذلك ، إذا ظهرت مثل هذه الدراسات (المفصلة والمفصلة) ، فإنها ستصبح أساسًا جيدًا لوضع اللمسات الأخيرة على القانون.

ومع ذلك ، فإن ظهور GPDR هو مؤشر مهم لتغيير الأولويات. إذا كانت إدارة البيانات الشخصية السابقة "مكون الظل" لأي نشاط تجاري تقريبًا ، وكان بإمكان الشركات إدارته كما يحلو لها ، فقد حصل المستخدمون حاليًا على بعض الأدوات على الأقل للتحكم في بياناتهم الخاصة على الويب.

ملاحظة ماذا نكتب عن مدونة IaaS الأولى للشركة:

• ما يتعلق بالبيانات الشخصية من وجهة نظر المنظم الروسي
• البيانات الشخصية في السحابة: مبادئ المعالجة
• حماية البيانات الشخصية: نهج أوروبي

PPS بعض المواد حول موضوع من مدونتنا على حبري:

• كيف تغير الشبكات الاجتماعية مبادئ العمل مع PD
• لائحة الاتحاد الأوروبي الجديدة بشأن حماية PD تدخل حيز التنفيذ
• جدل "حق النسيان": هل يجب اعتبار محركات البحث صحافة؟
• CLOUD AST: مشروع قانون أمريكي جديد يفتح الوصول إلى البيانات الشخصية في الخارج