Follow us on FaceBook Follow us on Twitter Check our YouTube Channel
الملتقى المصرفي المتخصص:
العدد 460

الملتقى المصرفي المتخصص:

«القواعد العامة لحماية البيانات الشخصية GDPR»

تعني «القواعد العامة لحماية البيانات الشخصية General Data Protection Regulation «GDPR»R: مجموعة من القوانين والقواعد التي تتعلق بالخصوصية التي تم وضعها من قبل الإتحاد الأوروبي، وقد دخلت حيّز التنفيذ داخل دول الإتحاد الأوروبي في 25 مايو/ أيار 2018. وقد عرفت معظم الشركات النشطة في المجال الرقمي في العالم، حالة إرباك قبل تاريخ 25 مايو/أيار المشار إليه، ويعود السبب إلى القواعد والإجراءات التي أقرها التشريع الجديد والتي من بينها فرض غرامات على الشركات المخالفة والتي تصل إلى 4 % من الأرباح السنوية، أو 20 مليون يورو.

في هذا السياق، وفي سبيل إيضاح هذه القواعد العامة، نظم إتحاد المصارف العربية الملتقى المصرفي المتخصص تحت عنوان: «القواعد العامة لحماية البيانات الشخصية GDPR» لمدة يومين، في العاصمة اللبنانية بيروت، شارك فيها كل من: باناغيوتسباباباسكاليسPanagiotisPapapashalis المستشار القانوني الرئيسي لدى البنك المركزي الأوروبي ECB، وأحمد نواب المسؤول في مؤسسة Hansuke Consulting/ لندن، والمحامية غادة صباغ المنتدبة من كارين شرتوني مديرة الإمتثال في مصرف لبنان، والدكتورة لينا عويدات مستشارة رئيس الوزراء اللبناني لشؤون أمن المعلوماتية، وخبراء من مؤسسة coopers Pricewaterhouse العالمية للتدقيق والإستشارات، فضلاً عن بعض مدراء الإمتثال والأساتذة الجامعيين في لبنان. وقدم للمتكلمين المستشار في إتحاد المصارف العربية د. محمد فحيلي.

الكلمة الرئيسية

ما هي التغيرات التي تواجه المؤسسات المالية حيال «القواعد العامة لحماية البيانات الشخصية GDPR»؟

في الكلمة الرئيسية، قدم باناغيوتسباباباسكاليسPanagiotisPapapashalis المستشار القانوني الرئيسي لدى البنك المركزي الأوروبي ECB، شرحاً مفصلاً حول التغيرات التي تواجه المؤسسات المالية حيال «القواعد العامة لحماية البيانات الشخصية GDPR». وقال «إن هدف هذه القواعد العامة تحسين وتوحيد طريقة الحماية والتعامل مع البيانات الشخصية في العالم درءاً للمخاطر، في ظل عدم إنتهاك خصوصية المستخدمين في المجال الرقمي».

وقال باباباسكاليس: «ما بعد 25 مايو/ أيار 2018، أصبحت الشركات العاملة في المجال الرقمي مطالبة في أي وقت، وتحت أي ظرف بإثبات عدم إنتهاكها خصوصية المستخدمين. وأمام هذا الوضع الذي لا تُحسد عليه، وجدت المؤسسات الرقمية نفسها أمام خيارين: إما تعديل سياساتها المتعلقة بشروط الإستخدام بما يتماشى والمستجدات، وإما تعطيل عملها مرحلياً أو نهائياً داخل الفضاء الأوروبي. وبالفعل فضلت العديد من الشركات بما فيها أشهر العلامات، الإنحناء لرياح التغيير التي بدا واضحاً أنها لن تقوى على مواجهتها.

أضاف باباباسكاليس: «لقد كانت شركة «غوغل» على سبيل المثال لا الحصر، من أوائل الشركات التي أعلنت عن التعديل في سياساتها، فيما أفادت شركة «آبل» أنها سوف تشرع في حذف جميع التطبيقات من متجرها التي تقوم بنقل بيانات المستخدمين إلى طرف ثالث. في حين إختارت شركات ومواقع عالمية أخرى وقف خدماتها نهائياً أو لفترات معينة داخل المحيط الأوروبي».

في المحصلة يختم باناغيوتسباباباسكاليس قائلاً: «في ظل الإستخدام المتزايد للمنتجات الرقمية الممكنة بواسطة «بلوك تشين» - البيانات المالية، يجب الوصول إلى اليقين بأن البيانات التي يتم إدخالها إلى سلسلة الكتل، لا يتم تعريفها على أنها بيانات شخصية في إطار اللائحة العامة لحماية البيانات GDPR. لكن، كما هو واضح فإن القانون الجديد GDPR قد يُسبب مشاكل لحلول الهوية الرقمية القائمة على «بلوك تشين»، حيث قد تكون مشاركة كل هذه المعلومات في سياقات مختلفة مع أطراف ثالثة مختلفة».

 

الجلسة الأولى/ إطار البيانات الشخصية

(قواعد الإمتثال لدى مصرف لبنان): القانون اللبناني 81 وتعميم 146

تناولت الجلسة الأولى محاور إطار البيانات الشخصية (قواعد الإمتثال لدى مصرف لبنان): القانون اللبناني 81، ولوائح مصرف لبنان المركزي و«القواعد العامة لحماية البيانات الشخصية GDPR» - تعميم 146 الصادر من مصرف لبنان المركزي. تحدثت في هذه الجلسة المحامية في مصرف لبنان غادة صباغ منتدبة عن كارين شرتوني مديرة الإمتثال في المصرف المركزي.

شرحت المحامية غادة صباغ تعميم 146 الذي يتعلق بـ «القواعد العامة لحماية البيانات الشخصية GDPR» بما يخص لبنان، وقالت: «يُنصح بإعتماد هذا التعميم لحماية لبنان من الأعمال غير القانونية». وفي شرحها للتعميم قالت صباغ: «لقد طلب التعميم من المصارف والمؤسسات المالية العاملة في لبنان وسائر المؤسسات الخاضعة لرقابة مصرف لبنان، إتخاذ الإجراءات المناسبة تماشياً وأحكام «قانون الحماية العامة للبيانات الشخصية»، الصادر عن البرلمان الأوروبي ومجلس الإتحاد الأوروبي، وإبلاغ وحدة الإمتثال لدى مصرف لبنان ولجنة الرقابة على المصارف خلال مهلة حدها الأقصى في 31/12/2018 بالإجراءات والتدابير التي قد تتخذها تماشياً مع مضمون القانون المشار إليه».

وخلصت المحامية صباغ إلى أن التعميم 146 «يحدد أصول التعامل مع قانون الحماية العامة للبيانات الشخصية الصادر عن البرلمان الأوروبي والإتحاد الأوروبي. ومن المفيد للبنان أن يستفيد منه تجنباً للعقوبات لمن يخالف القواعد العامة لحماية البيانات الشخصية GDPR».

الجلسة الثانية

الجانب القانوني لتشريعات الـ GDPR

تضمنت الجلسة الثانية محور فهم الجانب القانوني لتشريعات «القواعد العامة لحماية البيانات الشخصية GDPR»: النطاق، العقوبات، الأشكال القانونية والإتصالات، ونظرة شاملة على «القواعد العامة لحماية البيانات الشخصية GDPR». تحدثت فيها الدكتورة منى الأشقر جبور البروفسورة في الجامعة اللبنانية، لبنان.

وقالت د. الأشقر جبور: «إنّ مصدر الخطر الأكبر في حماية البيانات الشخصية هو غياب التشريع، وعدم وجود هيئة متخصّصة في الحماية»، داعية إلى «رسم حدود واضحة، لا يمكن للدولة أن تتجاوزها، منعاً للإعتداء على الحرّيات وصوناً للحقوق». وشرحت «إنّ البيانات الشخصية المسروقة، أو المسرّبة، تُستخدم في إرتكاب عدد من الجرائم التي تستهدف الأموال، أو الأشخاص، أو الأمن القومي، كجرائم سرقة الحسابات المصرفية، والإبتزاز، والترصّد، والتعقّب، والتجسّس، وإختراق أنظمة الإدارة، والإستيلاء على الوثائق السرّيّة والمعلومات الحسّاسة، والإرهاب»، مشيرة إلى «عدم وجود قانون خاص بحماية هذه البيانات في لبنان، لكنّ ذلك لا يمنع من ملاحقة المجرمين بناء على ما يفرضه القانون من عقوبات».

الجلسة الثالثة

تأثير «القواعد العامة لحماية البيانات الشخصية GDPR» على المصارف

تناولت الجلسة الثالثة محور تأثير «القواعد العامة لحماية البيانات الشخصية GDPR»، تحدث في الجلسة الخبير أحمد نواب، المسؤول في شركة Hunsukeconulting، لندن/المملكة المتحدة. فشرح «أن القواعد العامة لحماية البيانات GDPR» تُعتبر الأحدث في سلسلة طويلة من مبادرات الإتحاد الأوروبي المتعلقة بالخصوصية وحماية البيانات االشخصية، والتي ينبغي على كافة المؤسسات في العالم بما فيها المؤسسات المصرفية والمالية الإلتزام بها، حماية للخصوصية التي يتمتع بها المستهلك وإجراءات تطبيقها في لبنان والعالم العربي».

وخلص إلى القول: «يسعى نظام حماية البيانات العام GDPR إلى حماية الحقوق الرقمية لمواطني الإتحاد الأوروبي من خلال قوانين أكثر صرامة للبيانات ومراقبة أكبر لكيفية إدارة الشركات للمعلومات الشخصية للأشخاص، مما ترك أثراً سلبياً على جمع المعلومات خارج الإتحاد الأوروبي مثل الصحف اليومية، والمؤسسات الإخبارية البارزة التي باتت غير متاحة، والتي تطلب من زائريها من الإتحاد الأوروبي الموافقة على الشروط والأحكام الجديدة».

اليوم الثاني/ كلمة رئيسية

ما هي التغيرات التي تواجه المؤسسات المالية حيال «القواعد العامة لحماية البيانات الشخصية GDPR»؟

تناولت الكلمة الرئيسية، محور التغيرات التي تواجه المؤسسات المالية حيال «القواعد العامة لحماية البيانات الشخصية GDPR» - حوكمة تقنية المعلومات. تحدثت في الجلسة الدكتورة لينا عويدات مستشارة رئيس الوزراء اللبناني لشؤون أمن المعلوماتية.

الجلسة الأولى

«القواعد العامة لحماية البيانات الشخصية GDPR» وتسويق الأعمال

تناولت الجلسة الأولى محور «القواعد العامة لحماية البيانات الشخصية GDPR» وتسويق الأعمال، ومسؤولية حماية البيانات، وتمثيل إلتزام دول الإتحاد الأوروبي. تحدث في الجلسة أحمد نواب، المسؤول في شركة Hunsuke consulting، لندن – المملكة المتحدة.

 

الجلسة الثانية

تعيين البيانات وتدفقها، وسجل أنشطة المعالجة

تناولت الجلسة الثانية محور تعيين البيانات، تدفقها، وسجل أنشطة المعالجة. تحدث في الجلسة كل من: مالك قسطة مسؤول مكتب الإمتثال في بلوم بنك، وكميل بارخو مستشار أعمال/ شركة Acumen ش.م.م. للإستشارات والحلول المعلوماتية في القطاع المالي والتجاري والعام – لبنان.

 

الجلسة الثالثة

خصوصية المشاهد في جميع الشرق الأوسط

تناولت الجلسة الثالثة محور خصوصية المشاهد في جميع أنحاء الشرق الأوسط، إدارة خرق «القواعد العامة لحماية البيانات الشخصية GDPR»، حقوق المواضيع بموجب خرق الـ GDPR. تحدث في الجلسة كل من: زياد زغيب الشريك في شركة رايس ووترهاوس كوبرز، PWC، هي شبكة خدمات مهنية متعددة الجنسيات تتخذ من لندن، المملكة المتحدة مقراً لها، فرع لبنان، كمال توما مسؤول خصوصية البيانات في شركة PWCوريشاردتشودزنسكي، قانوني في شركة PWC.

 

الجلسة الرابعة

النظرة التقنية والتحديات حيال حماية المعلومات

تناولت الجلسة الرابعة محور النظرة التقنية، والتحديات حيال حماية المعلومات، وتقييم تأثير حماية البيانات حيال «القواعد العامة لحماية البيانات الشخصية GDPR» ومراقبة وتقييم تأثير خرق الخصوصية، ومتى يكون هناك خرق للخصوصية؟ تحدث فيها طوني شبلي مسؤول الأمن السيبراني في بنك الإعتماد اللبناني، لبنان.

في حديث خاص لمجلة «إتحادالمصاررف العربية» على هامش الملتقى المصرفي المتخصص تحت عنوان: «القواعد العامة لحماية البيانات الشخصية GDPR»

سبقت الإشارة إلى أن لائحة الـ GDPR تعني لائحة حماية البيانات العامة (General Data Protection Regulation) وهي لائحة أو قانون أوروبي جديد يغطي حقوق وآليات حماية البيانات، ويهدف هذا القانون إلى تحسين وتوحيد طريقة الحماية والتعامل مع البيانات الشخصية. وقد بدأ تنفيذ هذا القانون في 25 أيار/مايو 2018، وهو يُلغي جميع القوانين الأوربية السابقة ذات الصلة بحماية البيانات. في ما يلي تحدث عن أهمية لائحة الـ الـGDPR وضرورة تطبيقها في لبنان كما في دول المنطقة والعالم، والأخطار المحدقة في حال مخالفتها، كل من: باناغيوتسباباباسكاليسPanagiotisPapapashalis المستشار القانوني الرئيسي لدى البنك المركزي الأوروبي ECB، وأحمد نواب - المسؤول في مؤسسة Hansuke Consulting/ لندن، وكميل بارخو مستشار أعمال/ شركة Acumen ش.م.م. للإستشارات والحلول المعلوماتية في القطاع المالي والتجاري والعام – لبنان.

باناغيوتس باباباسكاليس

تحدث المستشار القانوني الرئيسي لدى البنك المركزي الأوروبي ECB، باناغيوتسباباباسكاليسPanagiotisPapapashalis فقال: «لقد تم توسيع تعريف البيانات الشخصية، حيث تُعتبر بموجب هذه السياسة، إن أي بيانات يُمكن إستخدامها لتحديد الفرد كبيانات شخصية. ويتم تطبيق هذه السياسة والقانون على جميع الجهات والشركات أو المواقع الإلكترونية في جميع أنحاء العالم التي تقدم بضائع أو خدمات أو إستهداف أو تعالج البيانات الشخصية لمواطني الإتحاد الأوروبي». أضاف باناغيوتسباباباسكاليس: «تشمل الـ GDPR حماية المعلومات، القدرة المصرفية، الموارد البشرية، قواعد الإمتثال، والعمليات القانونية»، مشيراً إلى أهمية «صدور التعميم 146 من مصرف لبنان المركزي الذي يشرح «قانون حماية البيانات الشخصية GDPR»، داعياً إلى «إعتماده في لبنان لأنه يحميه من الأعمال غير القانونية».

أحمد نواب

تحدث المسؤول في مؤسسة Hansuke Consulting/ لندن، أحمد نواب فقال: «لقد تم توسيع المسؤولية عن البيانات وما يترتب عليها خارج النطاق المتحكم بالبيانات. ففي الماضي، كانت الجهة التي تتحكم في البيانات هي فقط المسؤولة عن أنشطة معالجة البيانات، ولكن بموجب «قانون حماية البيانات الشخصية GDPR»، ستمتد المسؤولية إلى جميع المنظمات التي تمس أو تتعامل مع البيانات الشخصية، مما يعني أنه حتى الجهات التي تقدم خدمات فقط وتتعامل مع البيانات الشخصية يجب أن تمتثل لقواعد مثل تقليل فترة الإحتفاظ بالبيانات إلى الحد الأدنى».

ولاحظ أحمد نواب «أن ثمة معيارين لإعتماد «قانون حماية البيانات الشخصية GDPR»، الأول بما يتعلق بالإتحاد الأوروبي الذي صدر من برلمانها، والثاني يتعلق بمنطقة الشرق الأوسط، مما يدعونا إلى ضرورة توحيد الرؤى حيال هذا القانون، وذلك يُعد مهم جداً في لبنان والمنطقة العربية».

وختم أحمد نواب قائلاً: «إن العالم يحتاج إلى تغيير السؤال حيال «قانون حماية البيانات الشخصية GDPR»، بمعنى أن يكون موحد المعايير، وليس مزدوجاً، بإعتبار أن القوانين هي قواعد عامة تُطبق على جميع الناس وليس فيها إستثناء إلا عند الضرورة القصوى».

كميل بارخو

أخيراً تحدث كميل بارخو مستشار أعمال/ شركة Acumen ش.م.م. للإستشارات والحلول المعلوماتية في القطاع المالي والتجاري والعام – لبنان، عن أهمية «قانون حماية البيانات الشخصية GDPR» لأنه عند مخالفته، قد يتم تغريم الجهة المخالفة، والتي إنتهكت هذه اللوائح ما بين 2 % إلى 4 % من قيمة عائداتها السنوية، أو 20 مليون يورو، (يتم تطبيق أي الرقمين أعلى في حينه). ويمكن أن تؤدي المخالفات المتكررة للأنظمة والفشل في معالجة القضية إلى فرض غرامات أعلى تصل إلى 40 مليون يورو»، مشيراً إلى «ضرورة تطبيق هذا القانون في المؤسسات العامة والخاصة، وفي جميع دول العالم»، مؤكداً أنه «يجب على الجهة التي تتحكم أو تدير البيانات الشخصية مراقبة وتقييم تأثير Privacy Impact Assessments PIAs ومتى تكون هناك مخاطر خرق للخصوصية، من أجل تقليل تلك المخاطر التي يتعرض لها الأفراد وأصحاب تلك البيانات، وهذا يعني أنه قبل أن تتمكن أي جهة من البدء في مشاريع تتضمن معلومات شخصية، سيكون عليها إجراء تقييم مخاطر الخصوصية والعمل مع جهة الـ DPO لضمان إلتزامها بهذه السياسات ضمن جميع مراحل المشاريع». علماً أن الـ DPO هي Data Protection Officer وهي إحدى الوظائف الأمنية في المؤسسسة والتي تُعنى بأن تكون عملية إدارة البيانات ومعالجتها متوافقة مع اللوائح العامة لحماية البيانات General Data Protection Regulation الصادرة من الإتحاد الأوروبي، بحيث تنص تلك اللوائح على أن أي مؤسسة تقدم منتجات أو خدمات للعملاء داخل الإتحاد الأوروبي، وتقوم بجمع البيانات كنتيجة لذلك، يتوجب عليها تعيين موظف لحماية البيانات».

 

روابط سريعة
مقالات الرئيس، اعضاء مجلس الإدارة و الامين العام
خدمات استشارية عالمية في متناول الجميع
مجلة الاتحاد - العدد 464 تموز / يوليو 2019