في 25 مايو 2018، تدخل اللائحة العامة لحماية البيانات (GDPR) حيز التنفيذ. ستنطبق بعد ذلك على جميعنا حول العالم الذين يتعاملون مع عملاء في الاتحاد الأوروبي. بوصفها منطقة، يُعدّ الاتحاد الأوروبي ثالث أكبر شريك تجاري عالمي لجنوب أفريقيا، لذا نحن نولي هذا الأمر اهتماماً بالغاً.
تجدر الإشارة إلى أنه من حيث المبدأ، من الضروري أن تواكب قوانين حماية البيانات التطورات الحادثة، لا سيما في عالم رقمي عابر للحدود حيث تُخزَّن بياناتكم الشخصية في السحابة، في أي مكان حول العالم، حتى لو كنتم تتعاملون مع شركة محلية. أنا مثل أي شخص آخر منزعج من المكالمات التسويقية غير المرغوبة المتواصلة والبريد المباشر. وقد شهدنا ما يكفي من اختراقات البيانات مؤخراً لنعلم أنها تشكّل تهديداً حقيقياً جداً، وأن الشركات يجب أن تُلزَم بالإبلاغ عنها بسرعة للحدّ من آثارها.
غير أن الشيطان يكمن في التفاصيل، والعبء المُلقى على عاتق الشركات الصغيرة والمتوسطة — باعتبارها شريان الحياة للاقتصادات الراغبة في النمو — قد يكون شلاّلاً. وفقاً للبنك الدولي، تُسهم الشركات الصغيرة والمتوسطة الرسمية بما يصل إلى 60% من إجمالي التوظيف وما يصل إلى 40% من الدخل الوطني (الناتج المحلي الإجمالي) في الدول الناشئة. في جنوب أفريقيا، أسهمت الشركات الصغيرة والمتوسطة بنسبة 36% من الناتج المحلي الإجمالي في عام 2017، وعقدت الحكومة آمالها على هذا القطاع ليوفر 9 من كل 10 وظائف جديدة بحلول عام 2030.
إذن ما المشكلة؟
في جنوب أفريقيا، نستعدّ أيضاً لتطبيق قانوننا المحلي الخاص بحماية البيانات، وهو قانون حماية المعلومات الشخصية المعروف اختصاراً بـ POPI. ولضمان الامتثال، تبدأ الشركات الكبرى في جنوب أفريقيا بترتيب أوضاعها. غير أن ما يترجم إليه ذلك فعلياً هو أن الشركات الكبيرة (ذات الموارد البشرية والميزانيات الضخمة ظاهرياً) تُلقي بروتوكولات الامتثال الخاصة بها على سلسلة التوريد لديها مع توجيه بأن تطبّقها أو تُسجَّل بوصفها غير ممتثلة. ويجب أن يتساءل المرء ما إذا كان المورّد، وهو عادةً شركة صغيرة أو متوسطة، قادراً واقعياً ومالياً على تكرار بروتوكولات الأمان الخاصة بعملائه الأكبر.
ثم يأتي الضربة المزدوجة. يأتي العميل الكبير رقم اثنان، بحجم مماثل من بروتوكولات الامتثال، إلا أنها متشابهة فحسب وليست مطابقة لبروتوكولات العميل الأول. فلنفرض أن العميل الكبير رقم واحد يشترط بطاقات أمنية لموظفيكم للتحكم في الوصول إلى مبناكم، بينما يشترط العميل الكبير رقم اثنان الأمن البيومتري. هل يُتوقع منكم فعلاً تطبيق كليهما لتكونوا ممتثلين لكل عميل؟ ثم تطلبون من موظفيكم القفز فوق هذه العقبات للدخول إلى المبنى؟
أراجع حالياً عدداً من العقود التي تزيد على 40 صفحة لضمان الامتثال لـ POPI من مختلف عملائنا الكبار، ويمكنني التأكيد بأنه لضمان الامتثال الشامل، ليس من المستبعد تماماً أن نحتاج فعلاً إلى تركيب ماسحات بصمات الأصابع والشبكية في مكاتبنا لتلبية متطلبات التحكم في الوصول المحددة الموصوفة. أو ألا يتمكن موظفونا ومستشارونا من أخذ حواسيبهم المحمولة إلى منازلهم — وإن فعلوا، يجب أن تنقلها شركة أمنية. لست متأكداً من تداعيات هذه المتطلبات على التحكم في الوصول وغيره من متطلبات الامتثال في منازل الموظفين، ولا على الهواتف الذكية التي يمتلكها الموظفون عادةً وتتيح لهم الوصول الكامل، عبر السحابة، إلى معظم المعلومات المتاحة عبر الحاسوب المحمول.
يبدو هذا سخيفاً، لكنه ليس مستحيلاً بناءً على الطريقة التي يُطبَّق بها POPI على أرض الواقع، وحقيقة أننا بوصفنا شركة لا نستطيع ببساطة التخلي عن أكبر عملائنا. كما لا يمكننا المخاطرة بعدم الامتثال، إذ ستكون العقوبات نقطة كسر بالنسبة للشركات الصغيرة والمتوسطة. الغرامة على مخالفة POPI هي 10 ملايين راند (ما يعادل نحو 600 ألف جنيه إسترليني)، وربما نكون محظوظين حين نقارن ذلك بغرامات مخالفة GDPR البالغة 20 مليون يورو (ما يعادل نحو 18 مليون جنيه إسترليني) أو 4% من حجم الأعمال العالمي. مؤلم! لا أعرف الكثير من الشركات الصغيرة والمتوسطة القادرة على تحمّل ذلك! وبمعزل عن التكلفة والعملية، تتعارض هذه المتطلبات أيضاً مع ممارسات العمل الحديثة التي تُتيح التعاون وتقلّص المسافات والحاجة إلى وقت التنقل وتكاليفه. أشير بالطبع إلى التقنيات الجديدة التي تدخل وتُغيّر بيئة عملنا اليومي، كمؤتمرات الفيديو، ومشاركة الشاشات والأجهزة عبر الإنترنت، وإمكانية تجميع أفضل فريق من أي مكان في العالم للعمل على مشاريع محددة. هذه بالضبط مزايا الشركات الصغيرة والمتوسطة الرشيقة والمستقلين التي يقدمونها للشركات الكبرى، ومع ذلك ستكون محظورة فعلياً من خلال نهج الشركات الكبرى، بأسلوب «الحزام والحمّالات»، في تطبيق هذا التشريع.
لذا، بينما أتفق مع ضرورة أمن البيانات، أشعر أن النهج التشريعي يمثّل خطوة إلى الأمام وخطوتين إلى الوراء، وأننا أفرطنا في الانحياز نحو حماية البيانات الفردية على حساب بناء مستقبلنا الرقمي. ربما نحتاج إلى قدر أكبر من المنطق السليم والتفكير المستقبلي حين نتصدى لهذه التحديات. GDPR قادم، استعدوا للعواقب غير المقصودة للامتثال!
كما نُشر في AccountinWeb – 8 مايو 2018
https://www.accountingweb.co.uk/community/blogs/kevin-philips/gdpr-is-coming-lessons-from-the-south
#SME #GeneralDataProtectionRegulation #compliance #datasecurity #GDPR #SouthAfrica #EU #POPI