أجريت مؤخراً محادثة مع شخص أخبرني أنه اضطر إلى شرح بأدب لموظف أنه نعم، يمكنه حذف بياناته المصرفية من نظام الموارد البشرية. وهذا يتوافق مع المتطلبات الجديدة للائحة العامة لحماية البيانات (GDPR) التي تنص على أن الأشخاص يمكنهم الاطلاع على جميع بيانات التعريف الشخصية التي تحتفظ بها الشركة عنهم، ثم طلب حذفها كلياً أو جزئياً في غضون 30 يوماً. ثم انتقل الشخص إلى شرح للموظف أنه إن تمت إزالة بياناته المصرفية، فلن يكون بمقدور الشركة دفع راتبه في نهاية الشهر.
وبالمثل، يمكن للموظف عند مغادرة منصبه أن يطلب من صاحب العمل السابق مسح جميع معلوماته الشخصية. غير أن ذلك يحول بوضوح دون قدرة صاحب العمل السابق على تزويده بتوصية في المستقبل.
دون الانتقاص من أهمية التحكم في كيفية جمع معلوماتنا الشخصية وتخزينها ومعالجتها، أتساءل إن كنا قد بالغنا في GDPR. كيف سيعمل حق الموظف السابق في المحو على أرض الواقع؟ ملفات الموظفين قد تكون سهلة نسبياً للعثور عليها وحذفها، لا سيما إن كانت رقمية. ستحتاج الشركة إلى معرفة ما إذا كانت نسخ ورقية قد أُعدّت، وأين توجد. الأرشيفات الرسمية شيء، لكن النسخ العشوائية في أدراج مدير المالية أو على ذاكرات USB شيء آخر.
لنتأمل الآن ميزانية العام الماضي، أو ما قبله، حيث كان بيتر مُدرجاً ومُعرَّفاً في تفاصيل ميزانية الرواتب. المحو سيعني أن الميزانية لن توازن، فسنضطر إلى "إخفاء هوية" بيتر، محتفظين بقيمه لكن حاجبين اسمه. تأمل هذا الأمر للحظة في سياق معدلات دوران الموظفين… العودة عاماً أو عامَين للوراء لفهم كيف تمت صياغة الميزانية قد تُفضي إلى قائمة من "مجهولي الهوية"، مما يحرم المراجع من القدرة على تحليل السياق وفهم تكوين الميزانية.
فكرة أخرى: ماذا يحدث في مراجعة حسابات، خارجية أو ضريبية (قد تمتد إلى سبع سنوات للخلف)، حين لا تستطيع تقديم تفاصيل داعمة للقيود المحاسبية لأن بيانات الشخص الشخصية حُذفت بموجب GDPR؟ هل ستقبل مصلحة الضرائب هذا رداً على استفسار مراجعة؟ أشك في ذلك.
فضلاً عن ذلك، في العالم الرقمي، تتسع بصمة بياناتنا الشخصية وتنتشر بعيداً وبسرعة. صحيح أنه من ناحية ربما يكون البحث عنها أسهل من المعلومات الورقية، لكن من ناحية أخرى: يا لها من شبكة متشابكة حياتنا الرقمية. عنوان البريد الإلكتروني لذلك الموظف السابق في سلسلة رسائل بريد إلكتروني تضم أشخاصاً آخرين؟ نشرة إخبارية للشركة مع صورة بتسمية توضيحية لحدث بناء الفريق تشمل الموظف؟ منشور على LinkedIn كتبه الموظف نيابةً عن الشركة مع نقاش حيوي في التعليقات؟ هل يُباد سائر البيانات والاتصالات والمحتوى ببساطة للامتثال لـ GDPR؟ "آسف يا سعيد، أعلم أن هذه كانت محادثة قيّمة مع عميل ومن الجيد الاحتفاظ بسجل لها، لكن يجب حذفها لأنها تذكر بيتر. وبالمناسبة، يرجى حذف جميع النسخ التي ما زلت تحتفظ بها من النشرة الإخبارية قبل أربع سنوات واستبدالها بهذه النسخة المُنقَّحة. نعم، أعلم أننا أفسدنا الصورة بتغطية وجه بيتر، لكن هذا هو الحال…"
كيف يمكن أن يكون هذا قابلاً للتطبيق؟ وهل هو ضروري أصلاً: ما لم تكن جاسوساً، هل يهم ظهورك في صورة مع الفريق الفائز في مسابقة الشركة عام 2014؟ ومع ذلك، قد تجد شركات من جميع الأحجام نفسها غارقة في الأعمال الإدارية، وهي تتتبع أتفه الإشارات ضمن مهلة الامتثال البالغة 30 يوماً. على المدى البعيد، قد تُعيد الشركات النظر في اتصالاتها المؤسسية أو الأنظمة التي تستخدمها — مُفضِّلةً نظاماً واحداً يحكم الجميع لتسهيل البحث في البيانات، بدلاً من أفضل الحلول المتخصصة التي تُتيح لموظفيها العمل على أكمل وجه. أم ستبدأ الشركات في طلب رفع الموظفين لحقهم في المحو لحماية أنفسها من المرة التي يُذكر فيها بيتر في النشرة الإخبارية؟ وهل سيكون ذلك قانونياً أصلاً؟
ثمة سؤال جوهري: متى تصبح البيانات الشخصية بيانات مؤسسية؟ التاريخ لا يمكن تغييره، بيتر كان جزءاً من الشركة، وراتب بيتر كان جزءاً من ميزانية العام الماضي. المدونة والنشرة الإخبارية للشركة تمثلان تاريخها. كلٌّ من الميزانية والمدونة والنشرة الإخبارية ملكيةٌ للشركة وتعكس، بطرق مختلفة، تاريخ الشركة. هل يمتد GDPR ليشمل تغيير هذا التاريخ أو إعادة كتابته؟
قد تبدو بعض الأمثلة ساخرة بعض الشيء، لكن إن طُبِّق حرف القانون بأشد التفسيرات صرامةً… لا تزال الأمور في بداياتها: لم يُطبَّق GDPR سوى منذ شهر واحد، ومن المرجح أن بعض هذه التفاصيل ستُحسم مع مرور الوقت. لكن مع إشارة الولايات المتحدة وأستراليا والهند إلى أنها ستحذو حذو الاتحاد الأوروبي، لا شك أن هذا قد يصبح بسرعة المعيار العالمي. وعدد إشعارات GDPR التي أراها اليوم من شركات جنوب أفريقية يدل على انعدام الحدود في العالم الرقمي. آمل ألا نكون قد قيّدنا قدرتنا على العمل في عالم متصاعد الرقمية والاعتماد على البيانات، بإغراقه في البيروقراطية.
كما نُشر في AccountingWeb بتاريخ 26 يونيو 2018