ماذا يعني مشروع قانون حماية البيانات والمعلومات الرقمية بالنسبة للصناعة في المملكة المتحدة؟
ال حماية البيانات والمعلومات الرقمية يعد مشروع قانون (DPDI) أول تشريع رئيسي لحماية البيانات منذ خروج المملكة المتحدة من الاتحاد الأوروبي (EU) قبل أربع سنوات. بدلاً من استبدال التشريعات الحالية بالكامل، يقوم مشروع قانون DPDI بمراجعة نظام حماية البيانات الحالي في المملكة المتحدة.
لسنوات عديدة، كان نظام حماية البيانات في المملكة المتحدة متوافقًا مع نظام الاتحاد الأوروبي. في عام 2016، اللائحة العامة لحماية البيانات تم نشر (GDPR)، والذي كان بمثابة تغيير كبير في سياسة حماية البيانات للاتحاد الأوروبي، والتي لم يتم تحديثها منذ ما يقرب من عقدين من الزمن. تم سن اللائحة العامة لحماية البيانات (GDPR) في قانون المملكة المتحدة كمجموعة من سياسات حماية البيانات، وأبرزها قانون حماية البيانات لعام 2018. وقد أصبحت اللائحة العامة لحماية البيانات (GDPR) المعيار الفعلي لحماية البيانات في جميع أنحاء العالم.
إن مغادرة الاتحاد الأوروبي تعني أن المملكة المتحدة لم تعد جزءًا من نظام حماية البيانات في الاتحاد الأوروبي. ومع ذلك، نظرًا لأن تشريعات حماية البيانات في المملكة المتحدة تتماشى مع تشريعات الاتحاد الأوروبي، فقد كان من السهل على المملكة المتحدة الحصول على اتفاقية كفاية البيانات، وهو أمر ضروري للمؤسسات الموجودة في الاتحاد الأوروبي لتبادل البيانات بحرية مع تلك خارج الاتحاد الأوروبي.
لقد مر عامان منذ طرح مشروع قانون DPDI لأول مرة أمام البرلمان في عام 2022، وهو حاليًا في مرحلة اللجنة في مجلس اللوردات.
سيتم فحص أي تغييرات في سياسات حماية البيانات في المملكة المتحدة من قبل المفوضية الأوروبية للتأكد من ما إذا كانت اتفاقية كفاية البيانات لا تزال صالحة. لقد قام الاتحاد الأوروبي بالفعل تساؤل المملكة المتحدة فيما يتعلق بالطبيعة التدخلية لـ قانون صلاحيات التحقيق لعام 2016.
يقدم مشروع قانون DPDI إطارًا تنظيميًا لتحديد الهوية عبر الإنترنت، يسمى خدمات التحقق الرقمي، ولكن دون أي شرط قانوني لإنفاذ معرفات الإنترنت. في حين أن سياسات حماية البيانات الأساسية في المملكة المتحدة تظل متوافقة تقريبًا مع سياسات الاتحاد الأوروبي، فإن قانون حماية البيانات الأساسية يخفف بعض العناصر التنظيمية. ومع ذلك، فإن هذا ينطبق فقط على تلك المنظمات التي لا تعمل داخل الاتحاد الأوروبي.
يقول دانييل توزر، وهو شريك متخصص في الأعمال التجارية: “إذا كان لديك شركة لها أيضًا عمليات في الاتحاد الأوروبي، فهذا يعني أن لديك فعليًا نظامين الآن، كانا متماثلين، لكنهما بدأا الآن في التباين في مجالات معينة”. قانون التكنولوجيا والبيانات ل قانون كيستون.
أحد التغييرات المقترحة هو إزالة متطلبات تقييمات تأثير حماية البيانات. وبدلاً من ذلك، يُتوقع من المنظمات إجراء تقييمات للمعالجة عالية المخاطر.
“ستظل بحاجة إلى إجراء التقييمات، حيث تكون معالجة البيانات عالية المخاطر، ولكن سيكون هناك المزيد من المرونة فيما يتعلق بكيفية القيام بها. يقول أنتوني لي، الشريك المتخصص في تكنولوجيا المعلومات لشركة “إنك لن تحتاج إلى اتباع قوالب أو متطلبات محددة”. غونيركوك. “سوف ترى العديد من الشركات أن هذا أمر جيد لأنه سيخفف من عبء الامتثال.”
أحد التغييرات الأساسية هو أن مشروع قانون DPDI يلغي الحاجة إلى موظف حماية البيانات (DPO). وبدلاً من ذلك، يمكن إسناد واجبات مسؤول حماية البيانات (DPO) إلى شخص مسؤول كبير، مثل كبير مسؤولي المعلومات (CIO) أو كبير مسؤولي التسويق (CMO).
إن إمكانية إزالة DPO لها تأثيرات إيجابية وسلبية. حاليًا، يعتبر DPO شخصية مستقلة ضمن الفريق التنفيذي المسؤول عن ضمان اتباع سياسات حماية البيانات المناسبة. ومع ذلك، في معظم الحالات، سترغب سلطات حماية البيانات في التحدث إلى الأشخاص المسؤولين عن معالجة البيانات، مثل كبير موظفي المعلومات المذكور أعلاه، لذا فإن الجمع بين الأدوار أمر منطقي.
يقول توزر: “الغرض الأساسي للفرد المسؤول هو أنه يجب أن يكون هو الشخص الذي يتخذ القرارات، على سبيل المثال، حول كيفية استخدام قائمة التسويق أو مجموعات البيانات التي يجب استخدامها للتحليلات”. “هؤلاء هم الأشخاص الذين يقولون نعم أو لا لهذه الأشياء، لذلك يمكنك أن تفهم لماذا، من هذا الموقف، هم الشخص الذي يريد ICO أن يكون قادرًا على التحدث إليه.”
ومع ذلك، هناك أيضًا حجة مفادها أن الجمع بين أدوار مسؤول حماية البيانات (DPO) ودور مدير تكنولوجيا المعلومات أو كبير مسؤولي التسويق (CMO) يمكن أن يؤدي إلى تضارب المصالح. حتى لو تم تفويض واجبات الفرد المسؤول الكبير، فسيكون هناك تعارض بين الرغبة في تعظيم إمكانية استخدام البيانات وضمان الالتزام الكامل بسياسات حماية البيانات.
لقد خففت DPDI بعض سياسات حماية البيانات فيما يتعلق بالمعالجة الآلية للبيانات دون موافقة صاحب البيانات، بشرط ألا يكون لها أي تأثير ملموس على الشخص نفسه.
سيحل مشروع قانون DPDI أيضًا محل مكتب مفوض المعلومات (ICO) مع هيئة المعلومات. في حين أن الهيئة العامة ستفقد بعضًا من استقلالها وحيادها، بسبب تعيين وزير الخارجية للمفوض الرئيسي، فإنها ستتمتع أيضًا بسلطات متزايدة وستكون قادرة على فرض غرامات أكبر على انتهاكات البيانات وعدم اتباع لوائح حماية البيانات.
في المسودة الحالية لمشروع قانون DPDI، فإن الكثير من الصياغة المتعلقة بالتغييرات ليست واضحة كما كان من الممكن أن تكون. إن استخدام المصطلحات الشخصية يترك بعض الغموض في عدد من المجالات حول ما يجوز وما لا يجوز فيما يتعلق بمعالجة البيانات داخل المملكة المتحدة.
“يمكننا أن نتوقع ظهور قضايا الاختبار بسرعة في محاكم المملكة المتحدة. من المرجح أن يكون طرح العملة الأولي (ICO) ساخنًا بشكل خاص فيما يتعلق باتخاذ القرار الآلي، لأن العديد من الشركات تستخدم شكلاً من أشكال اتخاذ القرار الآلي في ممارساتها.
هل سيفي مشروع قانون DPDI بمعايير الاتحاد الأوروبي؟
إن التغييرات التي سيدخلها مشروع قانون DPDI على نظام حماية البيانات في المملكة المتحدة لن تؤثر إلا على تلك المنظمات العاملة داخل البلاد. إذا كانت إحدى المنظمات تعمل في دولة أوروبية، فلا يزال من المتوقع منها الالتزام باللائحة العامة لحماية البيانات. وبما أن العديد من المنظمات التي تتخذ من المملكة المتحدة مقراً لها تعمل في الدول الأوروبية، فلن يكون لهذا التشريع تأثير يذكر على الأعمال التجارية.
يقول لي: “إذا كان لدى شركة ما عمليات في المملكة المتحدة وأوروبا، فمن المحتمل أن يكون من المنطقي الاستمرار في الامتثال للائحة العامة لحماية البيانات في جميع المجالات بدلاً من وجود مجموعة واحدة من الإجراءات للمملكة المتحدة ومجموعة مختلفة لأوروبا”.
هناك خطر إضافي يتمثل في أنه إذا اعتبرت المفوضية الأوروبية أن نظام حماية البيانات في المملكة المتحدة قد تم إضعافه بشكل ملحوظ بسبب مشروع قانون DPDI، فقد تفقد المملكة المتحدة اتفاقية كفاية البيانات الخاصة بها. في حالة حدوث ذلك، فإن أي شركة تعمل داخل الاتحاد الأوروبي وتحتاج إلى مشاركة البيانات مع شركة في المملكة المتحدة ستحتاج إلى اتفاقيات تعاقدية لمشاركة البيانات.
“إذا تم تمرير مشروع القانون، في شكله الحالي، فيمكنك أن ترى أن المملكة المتحدة من المحتمل أن تفقد وضعها الملائم لأن المفوضية الأوروبية ترى أن القانون الجديد لا يعادل بشكل أساسي اللائحة العامة لحماية البيانات أو قد يكون هناك تحدي من نوع شريمس، يقول لي.
“إذا حدث ذلك، فإن نقل البيانات من دول مثل فرنسا أو ألمانيا إلى المملكة المتحدة يجب أن يتم من خلال شروط تعاقدية قياسية أو أي شكل آخر من أشكال إطار الملاءمة مع كل ما يستلزم ذلك. وهذا سيثير القلق، وقد تجد أن الشركات في الدول الأوروبية ستكون أقل ميلاً إلى السماح بنقل بياناتها إلى المملكة المتحدة خوفًا من عدم الامتثال.
إذا فقدت المملكة المتحدة اتفاقية كفاية البيانات الخاصة بها، فإن ذلك من شأنه أن يؤدي إلى زيادة التكاليف لتلك الشركات التي تقدم البيانات والخدمات إلى المملكة المتحدة ويمكن أن يؤدي حتى إلى رفضها العمل داخل البلاد، بسبب زيادة الالتزامات القانونية والتعاقدية المتوقعة منها.
“ال مؤسسة الاقتصاد الجديد لديه مُقدَّر يقول ماريانو ديلي سانتي، مسؤول الشؤون القانونية والسياسات في شركة فتح مجموعة الحقوق. “سيكون هذا فقط من أجل قيام المحامي بمراجعة العقود الخاصة بك وتغيير الشروط.”
يشق مشروع قانون DPDI حاليًا طريقه عبر البرلمان، لكن سنه في قانون المملكة المتحدة ليس مضمونًا. وكانت المطالبة ببعض الفوائد من خروج بريطانيا من الاتحاد الأوروبي ــ من خلال تخفيف المتطلبات التنظيمية ــ موضع تركيز حديث في سياسات الإدارة الحالية. ومع ذلك، مع اقتراب العطلة الصيفية في يوليو/تموز وتوقع إجراء انتخابات عامة قبل نهاية العام، فإن ذلك غير مضمون بأي حال من الأحوال.
إذا لم يحصل مشروع قانون DPDI على الموافقة الملكية بحلول موعد الانتخابات العامة، فقد لا يدخل حيز التنفيذ. يتصدر حزب العمال حاليًا استطلاعات الرأي في المملكة المتحدة، وبما أن سياساته تختلف عن سياسات حزب المحافظين، فقد لا تتم متابعة مشروع قانون DPDI أكثر من ذلك أو قد يتخذ شكلاً مختلفًا.
يقدم مشروع قانون DPDI بعض المزايا التنظيمية المحدودة للمؤسسات، وخاصة الشركات الناشئة والمؤسسات الصغيرة والمتوسطة الحجم (SMEs)، التي تعمل فقط في المملكة المتحدة. ومع ذلك، فإن أي شركة تتوسع في الاتحاد الأوروبي ستظل بحاجة إلى تشديد سياسات حماية البيانات الخاصة بها لتلبية معايير اللائحة العامة لحماية البيانات.
“هناك خطر حقيقي من أن مشروع القانون لن يصل إلى الكتب القانونية قبل الانتخابات العامة المقبلة. يقول لي: “إذا كانت لدينا إدارة عمالية على الجانب الآخر من الانتخابات، وهو الأمر الذي يبدو مرجحًا بشكل متزايد، فقد تتخلى عن مشروع القانون”.
“في هذه الظروف، ربما يكون من المنطقي الاستمرار في الالتزام بالنظام الحالي، لا سيما إذا كان لديك نكهة دولية لشركتك، بدلاً من استثمار الوقت والموارد في الاستعداد لتشريع قد لا يرى النور أبدًا”. يوم.”
