خصوصية البيانات الشخصية في نظام التجارة الإلكترونية: ٦ مفاهيم أساسية

secure-online-shopping-670x335

صدر نظام التجارة الإلكترونية لترتيب وحوكمة كل ما يتعلق بممارسة التجارة الإلكترونية في المملكة. وأعدت وزارة التجارة والاستثمار مشروع اللائحة التنفيذية للنظام، والتي تفصّل الأحكام العامة الواردة فيه، ونشرتها طلباً لمرئيات العموم. وقد تضمن النظام ومشروع اللائحة أحكاماً وحقوقاً ومتطلبات وواجبات متعلقة بخصوصية بيانات المستهلكين الشخصية. ولاتساع نطاق هذا النظام ولتنوع واختلاف المتعاملين وذوي المصلحة في قطاع التجارة الإلكترونية، ظهرت الحاجة لاستعراض أهم مرتكزات ومفاهيم خصوصية البيانات الشخصية، لتمكين المتعاملين بالتجارة الإلكترونية في المملكة من الإلتزام بأحكام النظام وتجنب مخالفته.

الأول: استيعاب نطاق البيانات الشخصية في النظام
عُرِّفت البيانات الشخصية -في المادة الخامسة من مشروع اللائحة التنفيذية- بأنها “أي بيان -مهما كان مصدره أو شكله- من شأنه أن يؤدي إلى معرفة الفرد على وجه التحديد، أو يجعل التعرف عليه ممكنًا بصفة مباشرة أو غير مباشرة، ومن ذلك: الاسم، ورقم الهوية الشخصية، والعناوين، وأرقام التواصل، وأرقام الرُّخص والسجلات والممتلكات الشخصية، وأرقام الحسابات البنكية والبطاقات الائتمانية، وصور الفرد الثابتة أو المتحركة، وغير ذلك من البيانات ذات الطابع الشخصي”. وكما هو ظاهر من التعريف، فإن نطاق البيانات الشخصية واسع و يشمل -على سبيل المثال لا الحصر- الاسم و رقم الجوال والبريد الإلكتروني وعنوان المنزل، وكذلك معرفات الانترنت، و المعلومات المكانية (location information)، و عناوين الانترنت (IP addresses)، ومعرفات المستخدمين في ملفات الارتباط (Cookies)، وغيرها من البيانات الشخصية أو البيانات ذات الطابع الشخصي. وعلى موفري خدمات التجارة الإلكترونية توفير الحماية لكل أنواع البيانات الشخصية، سواء التي يقومون بجمعها عبر طلبها من المستهلكين بشكل مباشر (كطلب الاسم أو رقم الجوال)، أو التي تجمع بشكل ضمني عبر وسائل تقنية (كجمع المعلومات المكانية أو عناوين الانترنت أو معرفات المستخدمين في ملفات الارتباط).

الثاني: إعداد ونشر سياسة الخصوصية
يجب على موفر الخدمة إعداد سياسة الخصوصية ونشرها على محله الإلكتروني حسب الواجبات التي حددتها المادة السادسة من مشروع اللائحة، على أن تشمل سياسة الخصوصية -بالحد الأدنى- (أ) التدابير التي سينفذها موفر الخدمة لحماية البيانات الشخصية، و (ب) نطاق التعامل مع ملفات التعريف (Cookies). ويعود سبب تخصيص ملفات التعريف (Cookies) بالرغم من أنها إحدى تقنيات الويب (web) الأساسية، لكونها تستخدم في ممارسات تؤثر على خصوصية المستهلكين، كاستخدامها لبناء ملفات شخصية (Profiling)، ومن ثم استخدام هذه الملفات لتطوير اعلانات موجهة (targeted advertising)، أو للقيام بممارسات التمييز في أسعار المنتجات والخدمات (price discrimination).

ويتجاوز محتوى سياسة الخصوصية -عادة- المتطلبين المذكورين في مشروع اللائحة، ليشمل كل ما يتعلق بالبيانات الشخصية والتعامل معها من قبل موفر الخدمة. وللحصول على تفاصيل أكثر حول إعداد سياسة الخصوصية، يمكن الاطلاع على مقال سبق كتبته في هذا الشأن بعنوان: كيف تعد وثيقة فعالة لخصوصية المعلومات؟

الثالث: الالتزام بمتطلبات حماية البيانات الشخصية
وضع نظام التجارة الإلكترونية ومشروع اللائحة متطلبات لحماية البيانات الشخصية على كل من يمارس التجارة الإلكترونية. فعلى سبيل المثال، يجب على موفر الخدمة -حسب المادة الخامسة من النظام والمادة الخامسة من مشروع اللائحة- تطبيق تدابير فنية وإدارية وتنظيمية لحماية بيانات المستهلك الشخصية التي يتم جمعها ومعالجتها اثناء العمليات المرتبطة بالتجارة الإلكترونية وتوفير الخدمة. وتنفذ هذه التدابير الفنية والإدارية والتنظيمية -عادة- عبر برنامج لحماية البيانات الشخصية يطوره ويطبقه موفر الخدمة بما يتناسب مع الخدمات التي يقدمها والبيانات التي يجمعها ويعالجها ومع الاخطار المحتملة عليهما. كما أن تطبيق تدابير فنية وإدارية وتنظيمية لحماية البيانات والانظمة مطلوب كذلك من جهات توثيق المحلات الإلكترونية -كما في المادة الرابعة عشرة والمادة السابعة عشرة من مشروع اللائحة-، ومن المنصات الإلكترونية التي تؤدي دور الوساطة في عمليات التجارة الإلكترونية، كما في المادة الثامنة عشرة من مشروع اللائحة.

كذلك ألزم النظام -في المادة الخامسة- موفر خدمات التجارة الإلكترونية بمدأين رئيسين من مبادئ خصوصية المعلومات: (أ) عدم الاحتفاظ بالبيانات الشخصية بعد انتهاء الغرض من جمعها ومعالجتها (storage limitation) وذلك بهدف تقليل احتمالية تعرضها للمخاطر المختلفة (مثل مخاطر التسريب أو اساءة الاستخدام)، (ب) وعدم استعمال البيانات الشخصية للمستهلك لغرض أخر غير الغرض الذي جمعت له بدون موافقته (purpose limitation)، وذلك لضمان أن يكون لدى المستهلك العلم والاحاطة بالأغراض المختلفة التي يتم استخدام ومعالجة بيانته الشخصية بناء عليها، ولضمان تحقق شرط الموافقة على العمليات التي تجرى على بيانات المستهلك الشخصية.

الرابع: وجوب التبليغ عند حدوث اختراق أو تسريب للبيانات الشخصية
أصبح تسريب واختراق البيانات حقيقة في عالم اليوم و تحدٍ كبير يواجه الجهات الخاصة والعامة على السواء، حيث وصل عدد حوادث تسريب البيانات في عام ٢٠١٩م إلى أكثر من ٢٠٠٠ حادثة، وفقا لتقرير تقرير شركة فيرازن السنوي المتعلق باستقصاءات حوادث تسريب البيانات. وللتعامل مع آثار هذه التسريبات، ألزم مشروع اللائحة -في المادتين الخامسة و السابعة عشرة- كل من مقدمي خدمات التجارة الإلكترونية، وجهات توثيق المحلات الإلكترونية بابلاغ المستهلكين والجهات المتأثرة عند حدوث تسريب للبيانات، وكذلك ألزمهم بإبلاغ الجهات المختصة عند اكتشاف حوادث تسريب البيانات.

إن إشعار المستهلكين والجهات المتأثرة في حال وقوع حوادث تسريب للبيانات حق أصيل لهم حتى يتمكنوا من تفادي أثارها السلبية عليهم، كالحاجة لتغيير كلمات المرور أو تعطيل البطاقات الائتمانية التي تسربت ارقامها، والتقدم بطلب الحصول على بطاقات ائتمانية بديلة. كما أن إشعار الجهات المختصة خطوة أولى كي تمارس تلك الجهات اختصاصاتها، والمتمثلة -في أحد صورها- بالقيام باستقصاء حول اسباب حدوث التسريب، وتقديم التوصيات لتفادي حدوثها في المستقبل، وفرض العقوبات والغرامات إن وجد تقصير. بقي أن نشير إلى حاجة مقدمي خدمات التجارة الإلكترونية، وجهات توثيق المحلات الإلكترونية للاستعداد المسبق للتعامل مع الاثار السلبية لهذه الاشعارات على سمعتهم وصورتهم الذهنية لدى المستهلكين وما ينتج عن ذلك من تأثير على مبيعاتهم ومدى استمرارهم ونجاحهم في السوق.

الخامس: عدم الالتزام بمتطلبات النظام تجعلك عرضة للعقوبات و الغرامات 
أكدت المادة السابعة عشرة من النظام على أن أي مخالفة لأحكام النظام أو اللائحة التنفيذية يجعل مرتكبها عرضة لدرجات مختلفة من العقوبات كالإنذار، أو الغرامة بما لا يزيد عن مليون ريال، أو حجب الموقع الإلكتروني -بشكل مؤقت او دائم- والذي يؤدي فعليا إلى توقف أعمال المتجر الإلكتروني في المملكة أو الإضعاف الشديد لها، و قد تصل العقوبة إلى منع الجهة من مزاولة التجارة الإلكترونية في المملكة بشكل مؤقت أو دائم. كما أن النظام -في المادة الحادية والعشرون- أجاز نشر المخالفة في وسائل الاعلام المتنوعة على حساب المخالف، مما يعتبر عقوبة إضافية بل قد تكون أشد العقوبات نظرا لآثارها على سمعة أصحاب المتاجر الإلكترونية. إن أي مخالفات لأحكام خصوصية البيانات الشخصية في النظام واللائحة تعرض مرتكبيها للعقوبات المذكورة.

السادس: كل من يمارس التجارة الإلكترونية -بصورة كلية أو جزئية- مخاطب بالنظام 
صُمم نظام التجارة الإلكترونية بطريقة تجعله مظلة لكل من يمارس التجارة الإلكرونية، سواء أكان ممارس التجارة الإلكترونية حاصلاً على سجل تجاري أم لا، وسواء أتعامل ممارس التجارة  الإلكترونية مع المستهلك بشكل مباشر أم غير مباشر. فالمتاجر الإلكترونية، وبوابات الدفع، ومنصات المزادات، ومنصات توثيق المتاجر الإلكترونية، وشركات الشحن والتوصيل، وشركات تسلم وتجهيز طلبات الشراء، وشركات الترويج والإعلان كلها -على سبيل الثال لا الحصر- مخاطبة بنظام التجارة الإلكترونية. إن هذا النطاق الواسع للنظام يجعل لأحكام خصوصية البيانات الشخصية أهمية كبيرة وآثراً ممتداً على مختلف المتعاملين مع التجارة الإلكترونية.

التعليقات

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

شعار ووردبريس.كوم

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   /  تغيير )

Google photo

أنت تعلق بإستخدام حساب Google. تسجيل خروج   /  تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   /  تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   /  تغيير )

Connecting to %s