دخل القانون رقم 6698 بشأن حماية البيانات الشخصية حيز التنفيذ عام 2016.
يُحدد هذا القانون الأساس القانوني لإجراءات ومبادئ معالجة البيانات الشخصية.
يمنح النظام المنظم لمعالجة البيانات الشخصية أصحاب البيانات العديد من الحقوق، وبالتالي يُلقي بمسؤوليات على عاتق مراقبي البيانات الذين يُعالجون هذه البيانات.
يُمكن تعريف مراقب البيانات ببساطة بأنه أي شخص طبيعي أو اعتباري يُعالج البيانات الشخصية.
من هو مراقب البيانات؟ هو الصيدلية التي تشتري منها دوائك، أو طبيبك، أو السوق المحلي، أو مدرستك - باختصار، الشخص أو المؤسسة التي تتعامل معها في جميع جوانب حياتك.
يجب على مراقبي البيانات اتخاذ التدابير الإدارية والفنية اللازمة لحماية البيانات الشخصية، ويجب عليهم عدم التسبب في فقدانها.
علاوة على ذلك، يجب على من يستوفون شروطًا معينة التسجيل في نظام معلومات سجل مراقبي البيانات (VERBIS). مددت هيئة حماية البيانات الشخصية المواعيد النهائية للتسجيل في نظام VERBİS بسبب الجائحة، والموعد النهائي الحالي هو 31 ديسمبر 2021.
يجب تنفيذ الإجراءات المطلوبة بموجب قانون حماية البيانات الشخصية على مرحلتين.
المرحلة الأولى:
جهود الامتثال:
في هذه المرحلة، يجب على مسؤول حماية البيانات تحديد الإجراءات اللازمة بموجب قانون حماية البيانات الشخصية واتخاذ التدابير المطلوبة.
نظرًا لتعقيد العملية وكثرة الإجراءات، يُنصح بالاستعانة بخبراء متخصصين.
لإدارة عملية الامتثال، من الضروري التعاون مع أفراد أو مؤسسات ذوي خبرة واسعة في التشريعات، فنيًا وإداريًا. يجب مراجعة كل إجراء إداري وفني على حدة، واستكمال جميع الإجراءات.
أي خطأ يُرتكب في نهاية العملية سيترتب عليه عواقب مالية وجنائية وخيمة.
من الضروري تقييم أداء مسؤول حماية البيانات، وتحديد التدابير والإجراءات اللازمة بناءً على النتائج.
في هذه المرحلة، التي نُعرّفها بالمرحلة الأولى، يجب اتخاذ التدابير الإدارية والفنية اللازمة، وإلزام مراقب البيانات بالامتثال للائحة العامة لحماية البيانات (GDPR).
من هذه النقطة، تبدأ المرحلة الثانية.
المرحلة الثانية:
استمرارية عملية الامتثال للائحة العامة لحماية البيانات وضمان استمراريتها:
بعد بدء عملية الامتثال للائحة العامة لحماية البيانات واتخاذ التدابير الفنية والإدارية اللازمة، يُعدّ ضمان استمرارية هذه التدابير أمرًا بالغ الأهمية، لأن عملية الامتثال للائحة العامة لحماية البيانات عملية ديناميكية.
في حال تغيّرت التدابير الفنية والإدارية التي اتخذها مراقبو البيانات، يجب تحديث الوثائق والإجراءات المُعدة مسبقًا.
على سبيل المثال، قد يكون عقد العمل متوافقًا مع اللائحة العامة لحماية البيانات، ولكن في حال حدوث تغييرات لاحقة في التشريع، سيلزم تحديث عقد العمل.
ماذا يحدث إذا تم تشكيل لجنة لمعالجة البيانات في سياسة الاحتفاظ بالبيانات وإتلافها، ثم غادر أعضاء اللجنة الشركة لاحقًا؟
وبالمثل، كيف سيتم تقديم الطلبات اللازمة في حالة فقدان البيانات داخل الشركة؟
كيف سيتم إتلاف البيانات الشخصية المخزنة للفترات القانونية المطلوبة عند انتهاء هذه الفترة، ومن سيُقرر ذلك؟
ماذا سيتم فعله استجابةً لطلب صاحب البيانات؟
هذه المرحلة الثانية، التي أغفلها مراقبو البيانات ولم يتم توضيحها لهم، ستكون لها عواقب وخيمة عليهم في المستقبل.
كما حاولنا توضيحه سابقًا، فإن مراقبي البيانات الذين يُوكلون المرحلة الأولى إلى أشخاص غير مُلمين بها وينفذونها بتكلفة زهيدة بسبب انشغالاتهم اليومية، سيُتركون وحدهم دون دعم في المرحلة الثانية.
سيصبح من الممكن التعرض لعقوبات مالية وجنائية.
تعتبر جميع الشركات، بغض النظر عن حجمها، هذه العمليات عبئًا إضافيًا وتحاول تجنب التكاليف. ولعدم وجود كوادر مُدربة في هذا المجال، يتم تفويض الأمر إلى قسم الموارد البشرية أو قسم المحاسبة. ومع ذلك، سيرى موظف الموارد البشرية أو قسم المحاسبة هذا الأمر عبئًا إضافيًا إلى جانب وظيفته الأساسية ولن يتمكن من تنفيذ عملية اللائحة العامة لحماية البيانات (GDPR) على النحو الأمثل.
لتجنب هذه العملية المعقدة، يحتاج مسؤولو حماية البيانات إلى التعاون مع شركاء حلول جادين وموثوقين يلتزمون بتقديم خدماتهم.
وكما يُستعان بالدعم الخارجي في عمليات المحاسبة والسلامة والصحة المهنية، يمكن أيضاً الحصول على دعم خارجي متخصص لبدء الإجراءات القانونية، واتخاذ الاحتياطات اللازمة، وتنفيذ العمليات، وضمان استمراريتها بموجب قانون حماية البيانات الشخصية.
وبهذه الطريقة، يُمكن اجتياز عملية الامتثال لقانون حماية البيانات الشخصية بسلاسة والحفاظ على الامتثال.