الوسم: Privacy Policy

كيف تعد وثيقة فعالة لخصوصية المعلومات؟!

 

privacy-policy

 

يمكنك أن تنسخ وثيقة خصوصية المعلومات من مواقع الشركات العالمية وتترجمها إلى اللغة العربية، لكن هذا لن يضمن لك أن الممارسات الداخلية للشركة أو المنظمة التي تعمل فيها توفر الحد الأدنى و المقبول لحماية خصوصية المعلومات التي تجمعها أو تحتفظ بها الجهة التي تعمل فيها.

الطريقة الأفضل هو أن تتعامل مع إعداد وثيقة خصوصية المعلومات كمشروع هام ومفيد خصوصا إذا كانت الشركة أو المنظمة التي تعمل فيها تجمع وتحتفظ بمعلومات شخصية حساسة مثل المعلومات المالية أو الصحية أو المواد الخاصة مثل ملفات الصور و الفيديو والرسائل الخاصة وغيرها.

لمشروع إعداد وثيقة خصوصية المعلومات فائدتان رئيسيتان:

(١) سيعطيك تصور أكثر دقة حول المعلومات الشخصية والحساسة التي تقوم شركتك أو منظمتك بجمعها وكذلك طرق استخدامها وحفظها. قد تندهش من كمية المعلومات الشخصية والحساسة التي تحتفظ بها منظمتك، كما قد يدهشك الممارسات الخاطئة في التعامل مع هذا المعلومات والتي يقوم بها الموظفون بشكل يومي وغير واع.

(٢) طمأنة المستخدمين بأنه يتم التعامل مع معلوماتهم الشخصية و الحساسة وفق ممارسات معلنة وذات مستوى عال من الجودة. وبالنتيجة، ستزيد ثقة المستخدمين بالشركة أو المنظمة وبالخدمات التي تقدمها. ويمكن استخدام هذا المستوى العالي من الثقة كميزة تنافسية. كما يمكن استخدامها في التسويق للخدمات المقدمة من شركتك أو منظمتك.

مخرجات مشروع إعداد وثيقة خصوصية المعلومات

مشروع إعداد وثيقة خصوصية المعلومات ينتج عنه وثيقتان: داخلية وخارجية. الوثيقة الداخلية تسمى وثيقة خصوصية المعلومات (Privacy Policy). أما الوثيقة الخارجية فتسمى إشعار خصوصية المعلومات (Privacy Notice). محتوى الوثيقتين متطابق. ولكن وثيقة خصوصية المعلومات تحتوي جزءاً إضافيا موجها للموظفين العاملين في الشركة او المنظمة بحيث يعطي تفصيلات إضافية حول الممارسات المقبولة وغير المقبولة عند التعامل مع المعلومات الشخصية من قبل الموظفين. وكذلك السياسات العامة التي تسير عليها الشركة او المنظمة عند التعامل مع المعلومات الشخصية والحساسة. هذه هي المخرجات الملموسة.

أما المخرجات غير الملموسة – و لكن المهمة جدا –  فهي المعرفة الدقيقة بممارسات الشركة أو المنظمة التي تعمل فيها فيما يتعلق بمعلومات المستخدمين الشخصية. ومن ثم القدرة على تصحيح الممارسات الخاطئة إن وجدت.

 

سنبدأ بشرح المحتوى المتطابق بين وثيقة خصوصية المعلومات (Privacy Policy) و إشعار خصوصية المعلومات (Privacy Notice) ثم نعرج باختصار في نهاية المقال على الجزء الإضافي الذي تنفرد به وثيقة خصوصية المعلومات (Privacy Policy).

 

المحتوى المتطابق في إشعار خصوصية المعلومات (Privacy Notice) و وثيقة خصوصية المعلومات (Privacy Policy)

يتكون المحتوى المتطابق في إشعار خصوصية المعلومات (Privacy Notice) و وثيقة خصوصية المعلومات (Privacy Policy) من ثلاثة اقسام:
الأول: تاريخ تحديث الوثيقة أو الإشعار
يتم تحديث وثيقة وإشعار خصوصية المعلومات باستمرار وذلك عندما تستجد ممارسات متعلقة بالمعلومات الشخصية مثل جمع معلومات جديدة، أو استحداث طرق جديدة للاستفادة من المعلومات غير ما سبق إعلانه. ولذلك من المهم اشتمال الوثيقة على تاريخ تحديث واضح يسهل. كما يفضل وضع ارشيف للإطلاع على النسخ القديمة من الوثيقة بحيث يتمكن المستخدم من المقارنة بطريقة يدوية أو يمكن تطوير حلول تقنية تنبه المستخدم للفروقات بين النسخ القديمة والحديثة.
الثاني: طريقة التواصل مع الشركة أو المنظمة
في أحيان كثيرة يكون لدى المستخدم استفسارات حول بعض الممارسات الموضحة في وثيقة أو إشعار خصوصية المعلومات ويرغب بالحصول على توضيحات بشأنها. وجود وسائل متنوعة للتواصل (مثل البريد الإلكتروني و رقم للإتصال ونموذج تواصل) يسهل على المستخدم الحصول على إجابات لاستفساراته على وجه السرعة وبشكل دقيق. في أحيان أخرى قد يلاحظ المستخدم ممارسات خاطئة في التعامل مع معلوماته الشخصية ويرغب بتقديم شكوى لتصحيح هذا الممارسات. وجود معلومات التواصل يساعد في معالجة هذه الممارسات بشكل فعال يضمن إرتياح المستخدم واستمراراه في التعامل مع الخدمات المقدمة.
يجدر الإشارة هنا ان وثيقة خصوصية المعلومات (Privacy Policy) وهي وثيقة داخلية موجهة للموظفين ستحتوي طرقا للتواصل تختلف عن إشعار خصوصية المعلومات (Privacy Notice) وهي وثيقة خارجية موجهة للمستخدمين.
الثالث: المحتوى الرئيسي للوثيقة أو الإشعار
يمكن تجهيز المحتوى الرئيسي لوثيقة وإشعار خصوصية المعلومات عن طريق الإجابة على الاسئلة السبعة التالية:
(١) ماهي معلومات المستخدمين التي تجمعها الشركة؟ شاملا المعلومات التي يقوم المستخدم بتزويد الشركة أو المنظمة بها والمعلومات التي تجمعها الشركة أو المنظمة بشكل تلقائي (مثلا IP addresses)؟
في بعض الاحيان قد تكون المعلومات التي يزود المستخدم بها الشركة او المنظمة أكثر بكثير من المعلومات التي تجمعها الشركة بشكل تلقائي، وفي أحيان أخرى العكس صحيح. ولكن المهم هنا هو التوضيح التفصيلي لهذه المعلومات التي يتم جمعها بكلا الطريقتين.
(٢) لماذا تقوم الشركة بجمع هذه المعلومات؟
ما هي الاغراض التي تقوم الشركة باستخدام معلومات المستخدمين لها؟ غالبا، هذه الاغراض تختلف باختلاف المعلومات، وقد تكون هناك أغراض متعددة ولكنها متعلقة بمعلومة واحدة. على سبيل المثال، البريد الإلكتروني قد يستخدم للتواصل معك، وقد يستخدم للتعريف بك داخل النظام (User ID). هذان غرضان مختلفان. وعليه يجب توضيح هذه الاغراض المختلفة لجميع أنواع المعلومات التي يتم جمعها.
(٣) هل ستقوم الشركة باستخدام البيانات لاغراض مختلفة عن ما جمعت له البيانات أساسا؟ ما هي هذه الاغراض؟
قد تجمع البيانات لغرض معين ولكن يعاد استخدامها لغرض آخر (primary vs. secondary usage of personal information). مثلا، قد يطلب من  المستخدم مشاركة رقم هاتفه الجوال ليستقبل رسالة سرية ليتمكن من الدخول على حسابه في خدمة معينة مقدمة من شركة او منظمة. ستجد الكثير من المستخدمين لا يمانعون من مشاركة أرقام هواتفهم الجواله لهذا الغرض المحدد. ولكن قد تقوم هذه الشركة أو المنظمة باستخدام رقم هاتف الجوال للمستخدم لإرسال إعلانات ترويجية لخدمات جديدة أو مشاريع مستقبلية، وهذا غرض يختلف عن الغرض الرئيسي لجمع البيانات. ولذلك من المهم توضيح الاغراض المختلفة التي قد تستخدم معلومات المستخدمين لها والتي في نفس الوقت تختلف عن الاغراض الاساسية لجمع هذه المعلومات.
(٤) هل سيتم مشاركة هذه البيانات مع جهات أخرى؟ من هي هذه الجهات؟ وكيف ستستخدم هذه البيانات؟
قد تقوم الشركة أو المنظمة بمشاركة معلومات المستخدمين التي جمعتها مع جهات أخرى ويكون لهذه الجهات الأخرى ضوابطها وممارساتها الخاصة فيما يتعلق بالتعامل مع المعلومات الشخصية. في هذه الحالة، من المهم توضيح من هي هذة الجهات ومن ثم اعادة الإجابة على السؤالين السابقين (سؤال رقم ٢ و ٣) ولكن بخصوص هذه الجهات الأخرى والبيانات التي تمت مشاركتها معها. فعلى سبيل المثال، لكل جهة يتم مشاركة البيانات معها، يجب توضيح الاغراض الاساسية التي بسببها ستستخدم هذه الجهة معلومات المستخدمين. وكذلك يجب توضيح الأغراض الأخرى المختلفة و التي بسببها قد تعيد هذه الجهات استخدام معلومات المستخدمين. مثلا، قد تستخدم شركة أو منظمة معينة خدمة مقدمة من شركة أخرى للتحقق من مصداقية المعلومات المقدمة من المستخدمين. ولاستخدام هذه الخدمة، يجب مشاركة معلومات المستخدمين مع مزود هذه الخدمة. في هذه الحالة يجب توضيح من هو مزود هذه الخدمة وما طبيعة مشاركة المعلومات معه وسببها وكيف سيستخدم مزود الخدمة معلومات المستخدمين.
(٥) كم هي مدة حفظ البيانات التي يتم جمعها؟
هل يتم الاحتفاظ بمعلومات المستخدمين لمدة يوم، أو شهر، أو سنة، أو ١٠ سنوات، أو لمدة لا نهائية. بعد تحديد المدة، يفضل توضيح سبب هذه المدة. ويجدر التنبيه بقاعد هامة في خصوصية المعلومات: احتفظ بأقل قدر من المعلومات تحتاجه ولأقصر مدة تحتاجها.
(٦) ما هي خيارات المستخدم بخصوص كل ما سبق؟
هذا السؤال من أهم الاسئلة على الإطلاق. ما هي خيارات المستخدم في كل ما سبق من ممارسات؟ هل يمكن للمستخدم أن يرفض جمع بيانات معينه؟ هل يمكنه أن يرفض مشاركتها مع جهات معينة؟ هل يمكنه أن يطلب حذف بياناته بعد مرور مدة معينة؟ كم طول هذه المدة؟ المهم أن تجعل المستخدم قادراً على إدارة معلوماته بسهولة وحسب ما يريد ولكن أيضا بالتأكيد بما يتوافق مع حاجات شركتك و منظمتك.
(٧) ما هي التجهيزات الأمنية المستخدمة للحفاظ على المعلومات الشخصية؟

أخيراً، يجب توضيح التجهيزات الأمنية التي تم تطويرها لضمان أمن وخصوصية المعلومات الشخصية وحمايتها من عبث المخربين. هذه التجهيزات متنوعة وتختلف بإختلاف الشركة أو المنطمة ولكنها تشمل استخدام بروتوكول الإتصال الآمن في كل الخدمات الإلكترونية (TLS) واستخدام التشفير للمعلومات الحساسة. بالإضافة إلى التجهيزات الأمنية الأخرى مثل ضبط الصلاحيات (Access control with the principle of least privilage) والجدران النارية (Firewall) وغيرها من التجهيزات الأمنية. يجدر التنبيه أن تفاصيل هذه التجهيزات الأمنية يختلف باختلاف المنظمة. وأن الهدف هنا إعطاء الكم المناسب من التفاصيل بدون توضيح أسرار التجهيزات الأمنية المتخذة.

 

المحتوى الذي تنفرد به وثيقة خصوصية المعلومات (Privacy Policy)

لان وثيقة خصوصبة المعلومة وثيقة داخلية موجهة للموظفين العاملين في الشركة أو المنظمة والذين يقومون بالتعامل مع معلومات المستخدمين، لزم لذلك إضافة قسم أخير حول الممارسات المقبولة والممارسات الخاطئة في التعامل مع المعلومات الشخصية والحساسة للمستخدمين بالإضافة إلى السياسات العامة للشركة أو المنظمة بخصوص التعامل مع معلومات المستخدمين.

في هذا القسم يتم توضيح الممارسات المقبولة عند التعامل مع معلومات المستخدمين. مثلا، الإطلاع على معلومات المستخدمين يكون مقبولا فقط حين يكون هناك حاجة مرتبطة بتنفيذ العمل اليومي حتى لو كان لدى الموظف صلاحيات الإطلاع على معلومات المستخدمين. في هذا القسم ايضا يتم توضيح الممارسات غير المقبولة عند التعامل مع معلومات المستخدمين. مثلا، يمنع منعا باتا طباعة معلومات المستخدمين والاكتفاء باستخدامها ومراجعتها من خلال الوسائط التقنية. سيشمل هذا القسم الممارسات المقبولة وغير المقبولة والتي يكثر انتشارها في محيط هذه الشركة او المنظمة.

ويمكن أن يحتوي هذا القسم على السياسات العامة للشركة أو المنظمة بخصوص التعامل مع معلومات المستخدمين.على سبيل المثال، من السياسات العامة أنه لا يحق لمن إطلع على أي معلومة من معلومات المستخدمين بسبب حاجة العمل أن يقوم بافشاء هذه المعلومات أو تداولها أو استغلالها لمصالح عامة أو خاصة خارج اطار العمل.

 

إعداد وثيقة خصوصية المعلومات (Privacy Policy) و إشعار خصوصية المعلومات (Privacy Notice) بناء على الدليل المفصل أعلاه سيجعل ممارسات شركتك أو منظمتك متوافقة مع المعايير العالمية للتعامل مع المعلومات الشخصية مثل FIPPs.