التصنيف: Privacy Policy

مخالفاتك تؤخر ترقياتك: كيف نتعامل مع المعلومات الشخصية للمواطنين؟

 

traffic-camera_33

 

طالعتنا الصحف المحلية (مكة، الوطن، المدينة) وشبكات التواصل الاجتماعي (تويتر، يوتيوب) بخبر حصول شركة ارامكو على مخالفات السير المرورية لموظفيها شاملا المخالفات التي ارتكبت خارج أوقات العمل وخارج منشآت شركة ارامكو واثناء استخدام الموظفين لسياراتهم الخاصة. وبحسب التقارير الصحفية، فقد تم استخدام المخالفات المرورية في التقييم السنوي للموظفين (في جانب السلامة بالتحديد) والذي ينبني عليه قرارات الترقية ومقدار العلاوة السنوية. وحسب توضيحات الشركة، فبالرغم من حصولها على المخالفات المرورية للموظفين من تاريخ حصولهم على رخصة القيادة، فقد تم التركيز في هذه المرحلة على المخالفات المرورية المرتكبة خلال السنوات الثلاث الأخيرة من قبل الموظفين الذين لم تتجاوز أعمارهم الثلاثين سنة. وقد حصلت شركة ارامكو – حسب تصريح أمين عام لجنة السلامة المرورية بالمنطقة الشرقية ومدير برنامج ارامكو السعودية للسلامة – على المخالفات المرورية لموظفيها عبر الجهات الرسمية والتي تتمثل في الإدارة العامة للمرور التابعة لوزارة الداخلية. وقد أبدى عدد من موظفي شركة ارامكو انزعاجهم عبر وسائل الاعلام التقليدية وعبر وسائل التواصل الاجتماعي بسبب طريقة الحصول على المخالفات المرورية وبسبب استخدامها كأحد عوامل التقييم السنوي للموظفين.

في هذه المقالة سنحاول الإجابة على السؤالين التاليين: (١) هل تعتبر طريقة حصول شركة ارامكو على المخالفات المرورية ومن ثم استخدامها في التقييم السنوي مخالفة للمعايير العالمية لخصوصية المعلومات؟ وإذا كانت الاجابة بنعم، (٢) فكيف نتعامل بطريقة أفضل مع معلومات المواطنين الشخصية؟

من المهم لفت الانتباه أننا لا نرغب في التعليق القانوني على هذا الحالة ولا توافقها مع أنظمة وزارة العمل. وليس من اهتمامنا التركيز على هذه الحادثة وتجاذباتها بالتحديد. بل يهمنا استخدامها كمثال لتوضيح أهمية خصوصية المعلومات وضرورة التعامل بحذر كبير مع المعلومات الشخصية للمواطنين وكيف يمكن أن نؤسس لتعامل أفضل مع معلومات المواطنين الشخصية من خلال تبني الضوابط العالمية المتعلقة بخصوصية المعلومات.

ما هي خصوصية المعلومات؟ 
أشهر تعاريف خصوصية المعلومات وأكثرها قابلية للتحويل من مفهوم تجريدي إلى نموذج عمل قابل للتطبيق هو التعريف التالي: الخصوصية تعني قدرة الشخص على التحكم التام في معلوماته الشخصية. فمثلا، تشمل خصوصية المعلومات قدرة الشخص على تحديد أي من معلوماته يرغب بمشاركتها (مع جهة أو شخص) وأي منها يرغب في إبقائه خاصا وغير قابل للإطلاع. وتشمل كذلك القدرة على تحديد الجهات أو الاشخاص التي يحق لها الاطلاع على المعلومات الشخصية أو استخدامها، وأيضا تحديد كيفية هذا الاستخدام  و المدة الزمنية له. وتشمل أيضا القدرة على التراجع عن قرار سابق بمشاركة البيانات الشخصية مع جهة أو شخص عند انتفاء الحاجة للإطلاع على البيانات.

ما هي الضوابط العالمية للتعامل المقبول مع المعلومات الشخصية؟
يوجد مجموعتان متقاربتان من الضوابط والمبادئ التي تم التوافق عليها عالميا في موضوع خصوصية المعلومات: FIPPs الامريكية و OECD Guidelines الاوروبية (وهنا توجد النسخة المحدثة منها). تشترك المجموعتان الأمريكية والاوروبية في أغلب الضوابط ولكن الأوروبية أكثر شمولا وأعلى حماية لخصوصية المعلومات. الضوابط باختصار هي التالي:

(١) إشعار المستخدم بممارسات جمع واستخدام المعلومات الشخصية
ويتم ذلك عن طريق إشعار خصوصية المعلومات (privacy notice) بحيث يوضح الإشعار ما هي المعلومات الشخصية التي يتم جمعها، وأسباب جمع هذه المعلومات، والجهات التي يتم مشاركة هذه المعلومات معها، وخيارات المستخدم في كل ما سبق، والضوابط الأمنية المتخذة لحماية المعلومات الشخصية. لتفاصيل أكثر حول إشعار خصوصية المعلومات، يمكنك الاطلاع على موضوع سابق كتبته بهذا الخصوص (هنا).

(٢) موافقة المستخدم على جمع وإستخدام بياناته الشخصية
يجب الحصول على موافقة المستخدم من عدمها قبل أن يتم جمع بياناته الشخصية. بالإضافة إلى ذلك، يجب الحصول على موافقة المستخدم عند تغير ممارسات التعامل مع بياناته الشخصية. فمثلا، قد يوافق المستخدم على مشاركة بياناته مع جهة معينة لسبب محدد (مثلا، الحصول على رقم هاتفك المحمول للتأكد من هويتك). ولكن قد يطرأ لاحقا حاجة جديد لاستخدام بيانات المستخدم لسبب لم يوافق عليه مسبقا (مثلا, استخدام رقم هاتفك المحمول لاستقبال الإعلانات عبر الرسائل النصية). في هذه الحالة، يجب التواصل مع المستخدم واخذ موافقته. وكذلك لو أرادت الجهة التي حصلت على بيانات المستخدم مشاركة هذه البيانات مع جهة أخرى ولم تحصل على موافقة المستخدم مسبقا، فيلزمها الإتصال بالمستخدم وأخذ موافقته من عدمها على هذه الممارسة الجديدة.

(٣) توفير الادوات المناسبة للمستخدم لإدارة بياناته الشخصية
يلزم الجهة التي تقوم بجمع واستخدام البيانات الشخصية أن توفر الأدوات المناسبة التي تمكن المستخدم من إدارة بياناته الشخصية مثل الاطلاع على المعلومات التي تم جمعها عنه، والاعتراض على المعلومات الخاطئة وتصحيحها، والقدرة على حذف المعلومات عندما تنتفي الحاجة لها.

(٤) الحصول على الحد الأدنى من المعلومات الشخصية المطلوبة
عندما تطلب جهة معينة البيانات الشخصية من المستخدمين، فمن المهم طلب أقل كمية من البيانات الشخصية والتي تسمح للجهة بتنفيذ عملها. مثلا، لو طورت جهة معينة تطبيقا للهاتف المحمول، فمن المهم ألا تطلب هذه الجهة رقم الهاتف المحمول للمستخدم ما لم يكن هناك مبرراً واضحاً وحاجة ملحة للحصول على الرقم.

(٥) استخدام البيانات الشخصية بشكل محدود
في الأصل، تقوم الجهات المختلفة بجمع البيانات الشخصية لسبب أو اسباب معينة. فمثلا، قد تطلب جهة معينة البريد الإلكتروني الشخصي ليتمكن الشخص من الدخول على الموقع الإلكتروني للجهة واستخدام الخدمات التي تقدمها. من المهم أن يستمر استخدام البريد الإلكتروني لهذا السبب فقط. لكن قد تقوم جهات مختلفة بإعادة استخدام البيانات التي تم جمعها من المستخدمين لأسباب إضافية تختلف عن السبب الرئيسي لجمع البيانات. فمثلا، قد تستخدم الجهة البريد الإلكتروني الشخصي لإرسال إعلانات للمستخدمين أو بيع قائمة تشمل البريد الإلكتروني لجميع العملاء إلى شركات الدعاية والإعلان. الضوابط العالمية لخصوصية المعلومات تشدد على الاستخدام المحدود للبيانات وكذلك على أهمية إشعار المستخدم – من خلال إشعار خصوصية المعلومات – في حالة استجد سبب مختلف لاستخدام البيانات ومن ثم إعطاء الشخص الفرصة للموافقة أو الرفض.

(٦) ضمان دقة وجودة المعلومات الشخصية التي يتم جمعها
من مسؤوليات الجهة التي تقوم بجمع البيانات الشخصية للمستخدمين، أن تتحرى الدقة في البيانات التي تجمعها لأن هذه البيانات سوف تستخدم لإتخاذ العديد من القرارت التي قد تؤثر ايجابا أو سلبا على الشخص. ومن الوسائل الأساسية لضمان دقة المعلومات، إعطاء المستخدم الأدوات التي تمكنه من تحديد البيانات غير الدقيقة وتصحيحها.

(٧) اتخاذ الإجراءات الأمنية المناسبة لحماية المعلومات الشخصية
أخيرا وكمؤشر مهم على إعطاء خصوصية المعلومات حقها من العناية، يجب على الجهات التي تجمع المعلومات الشخصية للمستخدمين أن تتخذ كافة التدابير الامنية للمحافظة على هذه المعلومات الحساسة. على سبيل المثال، من المهم أن تقوم الجهة باستخدام بروتوكول التواصل الآمن (HTTPS) في كل خدماتها المقدمة على الانترنت. وكذلك أن تقوم الجهة بتشفير المعلومات الشخصية الحساسة المحفوظة في قواعد بياناتها مثل كلمات المرور أو بعض المعلومات المالية والصحية أو غيرها من المعلومات الحساسة حسب طبيعة البيانات التي تم جمعها وسياقات استخدامها وعواقب تسربها.

هل تتوافق هذه الممارسات مع المعايير العالمية لخصوصية المعلومات؟

ساستخدم الضوابط التي تم وصفها في القسم السابق لتحليل حادثة شركة أرامكو مع المخالفات المرورية وتوضيح أوجه قصور هذه الممارسات في ما يتعلق بخصوصية المعلومات الشخصية للمواطنين. بشكل مختصر، فإن الطريقة التي حصلت من خلالها شركة ارامكو على المعلومات الشخصية لموظفيها ومن ثم استخدام هذه المعلومات في التقييم السنوي تخالف المعايير العالمية لخصوصية المعلومات. وبالتحديد هناك أربع مخالفات سأقوم بشرحها بشيء من التفصيل.

(١) إشعار خصوصية المعلومات
الهدف الرئيس لإشعار خصوصية المعلومات هو إعطاء المستخدم تصور متكامل عن طريقة التعامل مع المعلومات الشخصية التي يتم جمعها عنه وخيارات المستخدم حيال ذلك (شرحت بتفصيل أكبر طريقة إعداد وثيقة خصوصية المعلومات في مقال سابق). عند زيارة الموقع الإلكتروني لوزارة الداخلية والذي يحوي على قسم تابع لإدارة المرور وكذلك يحوي الخدمات الإلكترونية التابعة للوزارة والمشهور بـ “أبشر”، نجد أن إشعار خصوصية المعلومات (هنا) مختصر جداً، ولايتناسب مع حجم البيانات الشخصية للمواطنين التي يتعامل معها الموقع، ولا يتوافق مع محتوى إشعار خصوصية المعلومات المتعارف عليه عالميا. فالإشعار – مثلا – لا يوضح خيارات المواطن في كيفية التعامل مع بياناته ولا مدة حفظ هذه البيانات، كما لا يشرح الإشعار طريقة التواصل مع الإدارة المسؤولة عن خصوصية المعلومات للاستفسار أو الشكوى عند وجود تجاوزات. كما إن الإشعار لا يحوي تاريخ كتابة او تحديث الوثيقة والتي تساعد الشخص على معرفة التغييرات الطارئة على الوثيقة وعلى الممارسات إن وجدت. نتيجة لهذا الإختصار المخل لإشعار الخصوصية، فإن البند الأول من الإشعار أعطى الوزارة (والجهات التابعة لها) كامل الصلاحية في التعامل مع المعلومات الشخصية سواء داخل الوزارة أو مع جهات أخرى خارج الوزارة.

على الجهة الأخرى، فإن إشعار خصوصية المعلومات على موقع شركة ارامكو (هنا) لا يغطي الممارسات التي نناقشها في مقالنا والمتعلقة بخصوصية معلومات الموظفين. وعليه، فلا يمكننا تقييم ممارسات الشركة من خلال هذه الوثيقة.

(٢) مشاركة المعلومة مع جهة خارجية بدون إذن صريح من المواطن
الجهة التي تقوم بتحرير مخالفات السير و حفظها و الاشراف عليها هي الإدارة العامة للمرور التابعة لوزارة الداخلية. بينما الجهة التي حصلت على مخالفات السير للمواطنين هي شركة ارامكو وهي جهة خارجية غير حكومية و غير تابعة للإدارة العامة للمرور أو وزارة الداخلية. و إشعار الخصوصية التابع لوزارة الداخلية بالرغم من اختصاره (هنا)، فقد نفى بشكل صريح و واضح مشاركة بيانات المواطنين مع جهات غير حكومية: “ولن نتقاسم بياناتك الشخصية مع الجهات غير الحكومية إلا إذا كانت من الجهات المصرح لها من الجهات المختصة بالقيام بأداء خدمات حكومية محددة“. ويكاد ينطبق هذا الوصف تماما على شركة ارامكو كونها ليست جهة حكومية ولكن شركة مملوكة للحكومة، وكون حصولها على المخالفات المرورية لم يكن لتقديم خدمات حكومية محددة ولكن كأحد عوامل التقييم السنوي لموظفي الشركة. بالرغم من ذلك، فقد تم مشاركة مخالفات السير للمواطنين الموظفين مع شركة ارامكو. هذا الارتباك بين إشعار الخصوصية والممارسات الفعلية لمشاركة البيانات ربما يعكس ضعف أو عدم وجود برنامج متكامل للتعامل مع البيانات الشخصية للمواطنين.

 

grantaccesstopersonalinformation_annotateddialog
لوحة تحكم تمكن المستخدم من مشاركة بياناته الشخصية مع جهة معينة. لوحة التحكم المقدمة من الخدمات الإلكترونية على بوابة وزارة الداخلية (“أبشر”) خطوة متميزة لتمكين المواطنين من التحكم في معلوماتهم الشخصية. ولكن هذه الخطوة تحتاج إلى تفعيل أكبر وتطوير مستمر.

 

كما هو موضح في الصورة أعلاه، فإن موقع الخدمات الإلكترونية في وزارة الداخلية (“أبشر”) قد بدأ بخطوة متميزة لإعطاء المواطنين الأدوات اللازمة للتحكم في بياناتهم الشخصية. من خلال موقع “أبشر” وخدمة “بياناتي” بالتحديد، يستطيع المواطن تحديد الجهة التي يحق لها الإطلاع على بياناته الشخصية. ومن ثم الموافقة من عدمها على ممارسات هذه الجهة فيما يتعلق بالمعلومات الشخصية كما توضح الصورة أدناه. بالرغم من تشجيعنا وسعادتنا بهذه الخطوة المميزة من “أبشر”، فهناك ملاحظتان أساسيتان. الاولى: حتى تاريخ كتابة هذه المقالة، فإن شركة ارامكو غير موجودة في قائمة القطاعات (الموضحة في الصورة أعلاه) التي يستطيع المواطن من خلالها الموافقة على مشاركة البيانات من عدمها. ثانيا:هناك حاجة ماسة لتطوير لوحة التحكم وإعطاء المواطن أدوات أكثر فعالية لحماية بياناته الشخصية. يمكن أن يتم ذلك من خلال برنامج متكامل ومفصل لخصوصية المعلومات داخل الوزارة والجهات التابعة لها (ربما ياتي تفصيل مثل هذا البرنامح في مقالة مستقبلية).

 

consenttosharingpersonalinformation_annotated
لوحة التحكم تعطي المواطن القدرة على الموافقة من عدمها على شروط مشاركة بياناته الشخصية مع جهة معينة. كما هو واضح في الصورة، مازالت الشروط والاحكام مختصرة جدا وتعطي صلاحيات واسعة مما يجعل اتخاذ القرار في مشاركة المعلومات من عدمها مع الجهة المعينة صعبا على المواطن.

 

(٣) استخدام المعلومات الشخصية لغرض مختلف عن الغرض الأساسي الذي جمعت له المعلومات بدون إشعار المستخدم ودون إذنه
عند وقوع مخالفة سير من قبل مواطن، فإن الإدارة العامة للمرور تقوم بتحرير مخالفة وجمع معلومات حول ملابساتها (اسم المواطن ورقم سجله المدني ورقم رخصة القيادة ونوع السيارة ورقم اللوحة الخ). هذه المعلومات جمعت لتحرير المخالفة ولتمكين المسؤولين من إشعار المواطن بمخالفته ومن ثم يقوم المواطن بدفع رسوم المخالفة أو الإعتراض عليها. عند إعادة استخدام هذه المعلومات لغرض مختلف، فالضوابط العالمية لخصوصية المعلومات تشدد على إشعار المواطن بهذا الغرض الجديد ومن ثم اعطاء المواطن خيار الموافقه من عدمها. بعد حصول شركة ارامكو على مخالفات السير لموظفيها (والتي ارتكبت خارج أوقات العمل وخارج منشآت شركة ارامكو واثناء استخدام الموظفين لسياراتهم الخاصة)، لم تقم الإدارة العامة للمرور – حسب إطلاعنا – بإشعار المواطنين بأن مخالفات السير المسجلة عليهم سيتم استخدامها كأحد عوامل التقييم السنوي من قبل شركة ارامكو. من الممكن استخدام موقع “أبشر” كمنصة لمثل هذه الإشعارات اللحظية ولتمكين المواطن من الموافقة على مشاركة بياناته الشخصية من عدمها.

(٤) الحصول على معلومات أكثر من الحاجة
كما وضحنا في القسم السابق، التعامل المسؤول مع البيانات الشخصية يقتضي جمع الحد الأدنى من البيانات المطلوبة لتنفيذ العمل. حسب تصريح المسؤولين في شركة ارامكو، فقد تم – في المرحلة الحالية – استخدام  مخالفات السير للسنوات الثلاث الماضية للموظفين الذي لا تزيد أعمارهم عن ٣٠ سنة، إلا أن الشركة صرحت بحصولها على مخالفات السير المروريةلجميع الموظفين ومن تاريخ حصولهم على رخصة القيادة. كمية المعلومات الشخصية التي حصلت عليها الشركة هي أكبر بكثير من احتياجها الحالي. و بالنتيجة، فهذا يشكل عبء على الشركة (مثلا، من ناحية حفظ هذه المعلومات وحمايتها) كما يشكل تحديا أمنيا إلكترونيا على الشركة والموظفين (مثلا، في حالة تسرب المعلومات ومن ثم إساءة استخدامها).

ما الحل؟

ساقدم حلّين للتعامل بشكل أفضل مع المعلومات الشخصية للمواطنين. الحل الأول محدود ومؤقت، والحل الثاني طويل الأمد ويركز على معالجة المشكلة بشكل متكامل.

الحل الأول:
تستطيع شرك ارامكو الاستمرار في أخذ المخالفات المرورية في الإعتبار عند إعداد التقييم السنوي وخاصة في جانب السلامة، وفي نفس الوقت تراعي خصوصية معلومات الموظفين وتمكنهم من التحكم الكامل في معلوماتهم. الحل هو في منح نقاط إضافية في جانب السلامة للموظف الذي يسمح للشركة بالإطلاع على قائمة مخالفاته المرورية للسنة الحالية (أو حتى الثلاث سنوات الماضية على سبيل المثال). هذا الحل سيدفع الأشخاص الذين يتمتعون بسجل خال من المخالفات المرورية بالمبادرة بمشاركة معلوماتهم. وعليه سينال هؤلاء الموظفين نقاطا إضافية في التقييم السنوي تميزهم عن غيرهم وتزيد من فرص ترقيتهم وحصولهم على العلاوات السنوية. هذه الحل سيدفع بقية الموظفين إلى محاولة الوصول إلى سجلٍ خالٍ من المخالفات المرورية للحصول على هذه النقاط الإضافية. وبذلك تحقق شركة ارامكو هدفها في تشجيع الموظفين على قيادة السيارة بشكل آمن وفي نفس الوقت تعالج موضوع خصوصية المعلومات بشكل إحترافي.

الحل الثاني:
الحل الاول هو حل مؤقت ويعالج الموضوع بشكل جزئي فقط. ولذلك فهناك حاجة ماسة لمنظومة متكاملة للتعامل مع خصوصية المعلومات وتنظيم سوق جمع وتحليل ومشاركة المعلومات الشخصية للمواطنين من قبل القطاعات الحكومية والخاصة. تشمل هذه المنظومة قوانين وتشريعات تلزم الجهات المختلفة بتطوير برامج داخلية مستمرة للتعامل مع المعلومات الشخصية وحمايتها. كما تشمل هذه المنظومة تكليف جهة معينة بتنظيم ومراقبة سوق المعلومات الشخصية واستقبال شكاوى المواطنين حول التجاوزات المتعلقة بمعلوماتهم الشخصية ومن ثم ايقاع العقوبات على الجهات المتجاوزة. ستضع هذه المنظومة المواطن في الموقع الصحيح من حيث قدرته التامة على التحكم في معلوماته الشخصية وتحديد من يحق أو لا يحق له الإطلاع عليها. كما تمكنه من قرار التراجع عن مشاركة بياناته في أي وقت ومع أي جهة كانت. من شأن هذه المنظومة المتكاملة أن توازن بين الحاجة الكبيرة لتطوير خدمات و حلول تجارية معتمدة على المعلومات الشخصية للمواطنين وبين الحاجة الماسة لحماية خصوصية المواطنين وبياناتهم الشخصية. وربما أقوم  بالكتابة بشكل أكثر تفصيلا حول أركان هذه المنظومة في مقال لاحق.

كيف تعد وثيقة فعالة لخصوصية المعلومات؟!

 

privacy-policy

 

يمكنك أن تنسخ وثيقة خصوصية المعلومات من مواقع الشركات العالمية وتترجمها إلى اللغة العربية، لكن هذا لن يضمن لك أن الممارسات الداخلية للشركة أو المنظمة التي تعمل فيها توفر الحد الأدنى و المقبول لحماية خصوصية المعلومات التي تجمعها أو تحتفظ بها الجهة التي تعمل فيها.

الطريقة الأفضل هو أن تتعامل مع إعداد وثيقة خصوصية المعلومات كمشروع هام ومفيد خصوصا إذا كانت الشركة أو المنظمة التي تعمل فيها تجمع وتحتفظ بمعلومات شخصية حساسة مثل المعلومات المالية أو الصحية أو المواد الخاصة مثل ملفات الصور و الفيديو والرسائل الخاصة وغيرها.

لمشروع إعداد وثيقة خصوصية المعلومات فائدتان رئيسيتان:

(١) سيعطيك تصور أكثر دقة حول المعلومات الشخصية والحساسة التي تقوم شركتك أو منظمتك بجمعها وكذلك طرق استخدامها وحفظها. قد تندهش من كمية المعلومات الشخصية والحساسة التي تحتفظ بها منظمتك، كما قد يدهشك الممارسات الخاطئة في التعامل مع هذا المعلومات والتي يقوم بها الموظفون بشكل يومي وغير واع.

(٢) طمأنة المستخدمين بأنه يتم التعامل مع معلوماتهم الشخصية و الحساسة وفق ممارسات معلنة وذات مستوى عال من الجودة. وبالنتيجة، ستزيد ثقة المستخدمين بالشركة أو المنظمة وبالخدمات التي تقدمها. ويمكن استخدام هذا المستوى العالي من الثقة كميزة تنافسية. كما يمكن استخدامها في التسويق للخدمات المقدمة من شركتك أو منظمتك.

مخرجات مشروع إعداد وثيقة خصوصية المعلومات

مشروع إعداد وثيقة خصوصية المعلومات ينتج عنه وثيقتان: داخلية وخارجية. الوثيقة الداخلية تسمى وثيقة خصوصية المعلومات (Privacy Policy). أما الوثيقة الخارجية فتسمى إشعار خصوصية المعلومات (Privacy Notice). محتوى الوثيقتين متطابق. ولكن وثيقة خصوصية المعلومات تحتوي جزءاً إضافيا موجها للموظفين العاملين في الشركة او المنظمة بحيث يعطي تفصيلات إضافية حول الممارسات المقبولة وغير المقبولة عند التعامل مع المعلومات الشخصية من قبل الموظفين. وكذلك السياسات العامة التي تسير عليها الشركة او المنظمة عند التعامل مع المعلومات الشخصية والحساسة. هذه هي المخرجات الملموسة.

أما المخرجات غير الملموسة – و لكن المهمة جدا –  فهي المعرفة الدقيقة بممارسات الشركة أو المنظمة التي تعمل فيها فيما يتعلق بمعلومات المستخدمين الشخصية. ومن ثم القدرة على تصحيح الممارسات الخاطئة إن وجدت.

 

سنبدأ بشرح المحتوى المتطابق بين وثيقة خصوصية المعلومات (Privacy Policy) و إشعار خصوصية المعلومات (Privacy Notice) ثم نعرج باختصار في نهاية المقال على الجزء الإضافي الذي تنفرد به وثيقة خصوصية المعلومات (Privacy Policy).

 

المحتوى المتطابق في إشعار خصوصية المعلومات (Privacy Notice) و وثيقة خصوصية المعلومات (Privacy Policy)

يتكون المحتوى المتطابق في إشعار خصوصية المعلومات (Privacy Notice) و وثيقة خصوصية المعلومات (Privacy Policy) من ثلاثة اقسام:
الأول: تاريخ تحديث الوثيقة أو الإشعار
يتم تحديث وثيقة وإشعار خصوصية المعلومات باستمرار وذلك عندما تستجد ممارسات متعلقة بالمعلومات الشخصية مثل جمع معلومات جديدة، أو استحداث طرق جديدة للاستفادة من المعلومات غير ما سبق إعلانه. ولذلك من المهم اشتمال الوثيقة على تاريخ تحديث واضح يسهل. كما يفضل وضع ارشيف للإطلاع على النسخ القديمة من الوثيقة بحيث يتمكن المستخدم من المقارنة بطريقة يدوية أو يمكن تطوير حلول تقنية تنبه المستخدم للفروقات بين النسخ القديمة والحديثة.
الثاني: طريقة التواصل مع الشركة أو المنظمة
في أحيان كثيرة يكون لدى المستخدم استفسارات حول بعض الممارسات الموضحة في وثيقة أو إشعار خصوصية المعلومات ويرغب بالحصول على توضيحات بشأنها. وجود وسائل متنوعة للتواصل (مثل البريد الإلكتروني و رقم للإتصال ونموذج تواصل) يسهل على المستخدم الحصول على إجابات لاستفساراته على وجه السرعة وبشكل دقيق. في أحيان أخرى قد يلاحظ المستخدم ممارسات خاطئة في التعامل مع معلوماته الشخصية ويرغب بتقديم شكوى لتصحيح هذا الممارسات. وجود معلومات التواصل يساعد في معالجة هذه الممارسات بشكل فعال يضمن إرتياح المستخدم واستمراراه في التعامل مع الخدمات المقدمة.
يجدر الإشارة هنا ان وثيقة خصوصية المعلومات (Privacy Policy) وهي وثيقة داخلية موجهة للموظفين ستحتوي طرقا للتواصل تختلف عن إشعار خصوصية المعلومات (Privacy Notice) وهي وثيقة خارجية موجهة للمستخدمين.
الثالث: المحتوى الرئيسي للوثيقة أو الإشعار
يمكن تجهيز المحتوى الرئيسي لوثيقة وإشعار خصوصية المعلومات عن طريق الإجابة على الاسئلة السبعة التالية:
(١) ماهي معلومات المستخدمين التي تجمعها الشركة؟ شاملا المعلومات التي يقوم المستخدم بتزويد الشركة أو المنظمة بها والمعلومات التي تجمعها الشركة أو المنظمة بشكل تلقائي (مثلا IP addresses)؟
في بعض الاحيان قد تكون المعلومات التي يزود المستخدم بها الشركة او المنظمة أكثر بكثير من المعلومات التي تجمعها الشركة بشكل تلقائي، وفي أحيان أخرى العكس صحيح. ولكن المهم هنا هو التوضيح التفصيلي لهذه المعلومات التي يتم جمعها بكلا الطريقتين.
(٢) لماذا تقوم الشركة بجمع هذه المعلومات؟
ما هي الاغراض التي تقوم الشركة باستخدام معلومات المستخدمين لها؟ غالبا، هذه الاغراض تختلف باختلاف المعلومات، وقد تكون هناك أغراض متعددة ولكنها متعلقة بمعلومة واحدة. على سبيل المثال، البريد الإلكتروني قد يستخدم للتواصل معك، وقد يستخدم للتعريف بك داخل النظام (User ID). هذان غرضان مختلفان. وعليه يجب توضيح هذه الاغراض المختلفة لجميع أنواع المعلومات التي يتم جمعها.
(٣) هل ستقوم الشركة باستخدام البيانات لاغراض مختلفة عن ما جمعت له البيانات أساسا؟ ما هي هذه الاغراض؟
قد تجمع البيانات لغرض معين ولكن يعاد استخدامها لغرض آخر (primary vs. secondary usage of personal information). مثلا، قد يطلب من  المستخدم مشاركة رقم هاتفه الجوال ليستقبل رسالة سرية ليتمكن من الدخول على حسابه في خدمة معينة مقدمة من شركة او منظمة. ستجد الكثير من المستخدمين لا يمانعون من مشاركة أرقام هواتفهم الجواله لهذا الغرض المحدد. ولكن قد تقوم هذه الشركة أو المنظمة باستخدام رقم هاتف الجوال للمستخدم لإرسال إعلانات ترويجية لخدمات جديدة أو مشاريع مستقبلية، وهذا غرض يختلف عن الغرض الرئيسي لجمع البيانات. ولذلك من المهم توضيح الاغراض المختلفة التي قد تستخدم معلومات المستخدمين لها والتي في نفس الوقت تختلف عن الاغراض الاساسية لجمع هذه المعلومات.
(٤) هل سيتم مشاركة هذه البيانات مع جهات أخرى؟ من هي هذه الجهات؟ وكيف ستستخدم هذه البيانات؟
قد تقوم الشركة أو المنظمة بمشاركة معلومات المستخدمين التي جمعتها مع جهات أخرى ويكون لهذه الجهات الأخرى ضوابطها وممارساتها الخاصة فيما يتعلق بالتعامل مع المعلومات الشخصية. في هذه الحالة، من المهم توضيح من هي هذة الجهات ومن ثم اعادة الإجابة على السؤالين السابقين (سؤال رقم ٢ و ٣) ولكن بخصوص هذه الجهات الأخرى والبيانات التي تمت مشاركتها معها. فعلى سبيل المثال، لكل جهة يتم مشاركة البيانات معها، يجب توضيح الاغراض الاساسية التي بسببها ستستخدم هذه الجهة معلومات المستخدمين. وكذلك يجب توضيح الأغراض الأخرى المختلفة و التي بسببها قد تعيد هذه الجهات استخدام معلومات المستخدمين. مثلا، قد تستخدم شركة أو منظمة معينة خدمة مقدمة من شركة أخرى للتحقق من مصداقية المعلومات المقدمة من المستخدمين. ولاستخدام هذه الخدمة، يجب مشاركة معلومات المستخدمين مع مزود هذه الخدمة. في هذه الحالة يجب توضيح من هو مزود هذه الخدمة وما طبيعة مشاركة المعلومات معه وسببها وكيف سيستخدم مزود الخدمة معلومات المستخدمين.
(٥) كم هي مدة حفظ البيانات التي يتم جمعها؟
هل يتم الاحتفاظ بمعلومات المستخدمين لمدة يوم، أو شهر، أو سنة، أو ١٠ سنوات، أو لمدة لا نهائية. بعد تحديد المدة، يفضل توضيح سبب هذه المدة. ويجدر التنبيه بقاعد هامة في خصوصية المعلومات: احتفظ بأقل قدر من المعلومات تحتاجه ولأقصر مدة تحتاجها.
(٦) ما هي خيارات المستخدم بخصوص كل ما سبق؟
هذا السؤال من أهم الاسئلة على الإطلاق. ما هي خيارات المستخدم في كل ما سبق من ممارسات؟ هل يمكن للمستخدم أن يرفض جمع بيانات معينه؟ هل يمكنه أن يرفض مشاركتها مع جهات معينة؟ هل يمكنه أن يطلب حذف بياناته بعد مرور مدة معينة؟ كم طول هذه المدة؟ المهم أن تجعل المستخدم قادراً على إدارة معلوماته بسهولة وحسب ما يريد ولكن أيضا بالتأكيد بما يتوافق مع حاجات شركتك و منظمتك.
(٧) ما هي التجهيزات الأمنية المستخدمة للحفاظ على المعلومات الشخصية؟

أخيراً، يجب توضيح التجهيزات الأمنية التي تم تطويرها لضمان أمن وخصوصية المعلومات الشخصية وحمايتها من عبث المخربين. هذه التجهيزات متنوعة وتختلف بإختلاف الشركة أو المنطمة ولكنها تشمل استخدام بروتوكول الإتصال الآمن في كل الخدمات الإلكترونية (TLS) واستخدام التشفير للمعلومات الحساسة. بالإضافة إلى التجهيزات الأمنية الأخرى مثل ضبط الصلاحيات (Access control with the principle of least privilage) والجدران النارية (Firewall) وغيرها من التجهيزات الأمنية. يجدر التنبيه أن تفاصيل هذه التجهيزات الأمنية يختلف باختلاف المنظمة. وأن الهدف هنا إعطاء الكم المناسب من التفاصيل بدون توضيح أسرار التجهيزات الأمنية المتخذة.

 

المحتوى الذي تنفرد به وثيقة خصوصية المعلومات (Privacy Policy)

لان وثيقة خصوصبة المعلومة وثيقة داخلية موجهة للموظفين العاملين في الشركة أو المنظمة والذين يقومون بالتعامل مع معلومات المستخدمين، لزم لذلك إضافة قسم أخير حول الممارسات المقبولة والممارسات الخاطئة في التعامل مع المعلومات الشخصية والحساسة للمستخدمين بالإضافة إلى السياسات العامة للشركة أو المنظمة بخصوص التعامل مع معلومات المستخدمين.

في هذا القسم يتم توضيح الممارسات المقبولة عند التعامل مع معلومات المستخدمين. مثلا، الإطلاع على معلومات المستخدمين يكون مقبولا فقط حين يكون هناك حاجة مرتبطة بتنفيذ العمل اليومي حتى لو كان لدى الموظف صلاحيات الإطلاع على معلومات المستخدمين. في هذا القسم ايضا يتم توضيح الممارسات غير المقبولة عند التعامل مع معلومات المستخدمين. مثلا، يمنع منعا باتا طباعة معلومات المستخدمين والاكتفاء باستخدامها ومراجعتها من خلال الوسائط التقنية. سيشمل هذا القسم الممارسات المقبولة وغير المقبولة والتي يكثر انتشارها في محيط هذه الشركة او المنظمة.

ويمكن أن يحتوي هذا القسم على السياسات العامة للشركة أو المنظمة بخصوص التعامل مع معلومات المستخدمين.على سبيل المثال، من السياسات العامة أنه لا يحق لمن إطلع على أي معلومة من معلومات المستخدمين بسبب حاجة العمل أن يقوم بافشاء هذه المعلومات أو تداولها أو استغلالها لمصالح عامة أو خاصة خارج اطار العمل.

 

إعداد وثيقة خصوصية المعلومات (Privacy Policy) و إشعار خصوصية المعلومات (Privacy Notice) بناء على الدليل المفصل أعلاه سيجعل ممارسات شركتك أو منظمتك متوافقة مع المعايير العالمية للتعامل مع المعلومات الشخصية مثل FIPPs.