معهد المحاسبين: شركات خليجية عدة لم تلتزم بلائحة حماية البيانات
أفاد معهد المحاسبين القانونيين في إنجلترا وويلز بأن العديد من الشركات في دول مجلس التعاون الخليجي لا تزال غير ملتزمة بلائحة الاتحاد الأوروبي العامة لحماية البيانات.
وينبغي عليها أن تتصرّف فوراً تجاه ذلك، أو المخاطرة بعدم اللحاق بالتطورات الراهنة، وكذلك التعرّض لغرامات قد تصل قيمتها إلى 20 مليون يورو أو 4% من الحركة المالية السنوية على الصعيد العالمي. وقامت المؤسسة المتخصصة في المحاسبة والتمويل بإعداد قائمة مرجعية لتسهيل عملية الامتثال للائحة العامة لحماية البيانات.
وقال مايكل آرمسترونغ، المحاسب القانوني المعتمد والمدير الإقليمي لمعهد المحاسبين القانونيين في الشرق الأوسط وأفريقيا وجنوب آسيا: لا يزال العديد من الشركات في دول مجلس التعاون الخليجي لا تعلم إذا كانت اللائحة العامة لحماية البيانات تؤثر عليها، أو أنها ملتزمة بها أم لا.
ومع تطبيق قانون اللائحة العامة لحماية البيانات في الاتحاد الأوروبي بدءاً من 25 مايو 2018، يتعيّن على الشركات في مختلف أنحاء العالم الالتزام بالمعايير العالية لمتطلبات الامتثال، وذلك مع الطريقة التي يتعاملون بها مع البيانات الشخصية. ويتوجب على قادة الأعمال والشركات على مستوى المنطقة أن يبادروا بالعمل لزيادة الوعي بحقيقة أنهم قد يتأثروا بهذه اللائحة.
وأضاف: نعمل في معهد المحاسبين القانونيين بشكل وثيق مع شركائنا التجاريين لضمان اتخاذ جميع الشركات كافة التدابير اللازمة تماشياً مع متطلبات الامتثال. وفيما يتعلق بمن سيفرض الغرامات خارج الاتحاد الأوروبي وكيفية تطبيقها، فإن القانون ينص على أن هذه المسؤولية تقع على عاتق السلطة المشرفة في الدول الأعضاء في الاتحاد الأوروبي.
حيث تزاول الشركة أعمالها بنشاط. ومن المهم للغاية أن تكون الشركات الإقليمية على أهبة الاستعداد، وأن تتجنّب التعرّض لغرامات ضخمة أو عقوبات جسيمة. ولقد بذل فريق العمل لدينا جهوداً كبيرة لوضع قائمة مرجعية لهؤلاء الذين يتطلعون للالتزام باللائحة العامة لحماية البيانات بالشكل الصحيح، ونوصي تلك الشركات بالاطلاع على قائمتنا ومتابعتها.
وتشير القائمة المرجعية للائحة العامة لحماية البيانات إلى أنه يجب تعيين أحد كبار المديرين للإشراف على العملية، فالأمر لا يتعلق فقط بقسم التكنولوجيا، لذلك من الضروري أن يتولى أحد كبار الموظفين مثل المدير أو الشريك أو المدير الأول مسؤولية الإشراف على العملية.
ويجب مراجعة المعلومات الحالية ومعطيات الأمن الإلكتروني، وتحديثها حسب الضرورة. ولا ينبغي أن ينطوي ذلك على عملية تجديد مكلفة، بل يمكن أن يكون تحديثاً يتماشى مع آلية العمل في شركتك، وأنظمة تقنية المعلومات.
ومن المهم تصنيف البيانات، وقبل تقييم ما يجب القيام به، يجب أن تعرف طبيعة البيانات لديك، وحينها ستعرف ما يتوجب عليك فعله. ولا بد من مراجعة العقود مع العملاء والموردين والموظفين لضمان الامتثال للائحة العامة لحماية البيانات. ستحتاج إلى فهم وضعك ومسؤولياتك فيما يتعلق بكل من بيانات العملاء وبيانات الشركة. وعلى أقل تقدير، يجب تحديث العقود لتعكس متطلبات اللائحة العامة لحماية البيانات.
ويجب صياغة سياسات وإجراءات حماية البيانات. وتطرح اللائحة العامة لحماية البيانات مبدأ «المساءلة» ويعني هذا أنه يجب على جميع الشركات ألا تضمن فقط امتثالها للائحة العامة لحماية البيانات، بل وأن تثبت ذلك أيضاً.
وهناك حاجة لتدريب الموظفين، ولن يحتاج جميع الموظفين إلى فهم بنود اللائحة العامة لحماية البيانات بالكامل، ولكن يجب على جميع الموظفين أن يدركوا على الأقل أن حماية البيانات تعتبر مسألة تخص الجميع.
عملية معقدة
تعتبر اللائحة العامة لحماية البيانات عملية معقدة، وتتطلب من جميع الشركات الكبيرة والصغيرة في جميع أنحاء العالم وعبر كافة القطاعات أن تعزّز من مستوى حماية البيانات الشخصية لجميع مواطني الاتحاد الأوروبي.
وإذا ما كانت شركة ما خارج منطقة الاتحاد الأوروبي تستخدم بيانات شخصية ترتبط بموضوعات البيانات في الاتحاد الأوروبي، فإن تلك الشركة قد تخضع لآليات الامتثال لهذه اللائحة. ومن المحتمل أن تتأثر الشركات في دول مجلس التعاون الخليجي، وفي أي مكان حول العالم، باللائحة العامة لحماية البيانات إذا كانت تقدم منتجات للأفراد ضمن الاتحاد الأوروبي.
