بقلم : ستيفان غيرينغ، مسؤول الخصوصية العالمية والمستشار العام المساعد في شركة أنتولوجي
غيّرت جائحة كوفيد-19 وجه الأنظمة التعليمية في العالم أجمع بشكل كبير، فتسارعت وتيرة التحول إلى التعليم عبر الإنترنت والتعليم الهجين وازداد الاعتماد على الأدوات الرقمية داخل الفصل الدراسي وخارجه. صحيح أن هذا التحول الرقمي مكّن التعليم المستمر خلال فترة الوباء، إلا أن سرعته أظهرت حاجة إلى التركيز على حماية البيانات في الجامعات ولدى مورّدي التكنولوجيا الذين تتعامل معهم. ومع إعلان دولة الإمارات العربية المتحدة عن قانون حماية البيانات الشخصية في الربع الأخير من عام 2021، يبدو أن الوقت قد حان لتعيد المؤسسات الإماراتية وشركات تكنولوجيا التعليم في الدولة النظر في نهجها المتّبع لحماية البيانات
يُعد قانون حماية البيانات الشخصية أول قانون اتحادي شامل يرمي إلى حماية البيانات في الإمارات العربية المتحدة، وقد صدر كجزء من برنامج إصلاح قانوني وطني أوسع، ويبدو تأثير لائحة الاتحاد الأوروبي العامة لحماية البيانات واضحاً عليه. وبالتالي يفرض قانون حماية البيانات الشخصية مستوى عالياً من حماية البيانات ويضمن حقوق الأفراد، كما يفرض متطلبات صارمة على المؤسسات تضمن امتثالها له من خلال وثائق مفصلة ومنها على سبيل المثال ﺗقييم ﺗﺄثير ﺣﻤﺎﻳﺔ ﺍﻟﺒﻴﺎﻧﺎﺕ.
على غرار المؤسسات الأخرى في مختلف أنحاء العالم، ينبغي على المؤسسات التعليمية في الإمارات العربية المتحدة إدارة حجم متزايد من البيانات الشخصية الخاصة بطلابها لتقديم تجارب شخصية أكثر ولدعم نتائج كل متعلم. وبينما يتم جمع هذه البيانات الشخصية صوناً لمصلحة المؤسسة والمتعلمين فيها، تتحمل الجامعات مسؤولية أكبر، إذ لا بدّ أن تكون حذرة في ما يتعلق بممارسات حماية البيانات واستخدام البيانات الشخصية بالطريقة الصحيحة.
المشهد التنظيمي دائم التغيير
دخل قانون حماية البيانات الشخصية حيز التنفيذ في 2 يناير 2022، إلا أنه لن يُطبق إلا بعد ستة أشهر من نشر اللوائح التنفيذية الأخرى. وبعد نشر هذه الأخيرة، تُمنح المؤسسات مهلة ستة أشهر فقط لتمتثل للقانون الجديد. وبالتالي لن تحظى المؤسسات الأكبر كالمدارس والجامعات إلا بوقت قصير لتقييم القانون الجديد، ومراجعة الوثائق الحالية، وتغيير الحوكمة والعمليات، وإجراء التعديلات الضرورية.
لا شك في أن المؤسسات التي سبق لها أن واءمت نهجها المتّبع لحماية البيانات مع اللائحة العامة لحماية البيانات، ولا سيما الجامعات الدولية التي تتوفر فروع لها في دولة الإمارات العربية المتحدة، ستستفيد من جهودها وستتمكن من التركيز على تقييم مدى ضرورة تعديل برامجها القائمة على اللائحة العامة لحماية البيانات تماشياً مع قانون حماية البيانات الشخصية الجديد.
في المقابل، ستحتاج مؤسسات أخرى إلى مراجعة متطلبات قانون حماية البيانات الشخصية بسرعة والبدء ببناء البرامج اللازمة من خلال تحديد تدفقات البيانات الشخصية داخل مؤسساتها، وتنفيذ السياسات والوثائق المطلوبة، والتأكد من حسن تنفيذ العمليات التي تسهل حقوق الأفراد، والتحقق من قدرة التجار على مساعدتها لتلبية التزامات قانون حماية البيانات الشخصية.
الاستعداد للتغيرات القانونية المقبلة
أمام قادة الجامعات أربع خطوات للبدء بإعداد مؤسساتهم لتتماشى مع القانون الجديد:
- تشكيل فريق لتنفيذ المشروع. تتمثل إحدى الخطوات الأولى الرئيسة في إنشاء فريق متخصص لتنفيذ المشروع، على أن يتمتع أفراده بخبرة عميقة في إدارة المشاريع وبدراية كافية بحماية البيانات ودعم القيادة. وبحسب ما أظهرت التجربة، غالباً ما يكون تنفيذ قانون حماية البيانات في المؤسسات ذات الإدارات اللامركزية بطيئاً بسبب الافتقار إلى الأدوار وعدم تحديد المسؤوليات بوضوح ونقص دعم الإدارة العليا.
- تحديد البيانات الشخصية. يتعيّن على المؤسسات إجراء تمرين تحديد مجالات البيانات وتحديد البيانات الشخصية المعالجة وذات الصلة بالطلاب وأعضاء الهيئة التعليمية والموظفين. ويجب الاحتفاظ بالمعلومات في سجل يُشار إليه باسم سجل أنشطة المعالجة.
- إعداد تقييم الفجوة وخطة العمل. استناداً إلى المعلومات المتعلقة بالبيانات الشخصية المحددة، لا بدّ أن تحدد المؤسسات كيف يفرض قانون حماية البيانات الشخصية عليها إجراء تغييرات على حوكمتها وسياساتها وعملياتها وإشعارات الخصوصية وغير ذلك. ويتعيّن عليها بعد ذلك إعداد خطة عمل لمواجهة الفجوات التي تمّ تحديدها بطريقة تترجم المتطلبات القائمة على المبادئ إلى إجراءات محددة وعملية.
- تقييم مخاطر التجار. يُعد الحفاظ على عملية تقييم مخاطر التجار ركيزة مهمة لبرنامج حماية البيانات في المؤسسة. وكجزء من التنفيذ، يجب على المؤسسات مراجعة التجار الحاليين والعقود ذات الصلة والتأكد من قدرة أي تجار جدد على تلبية متطلبات قانون حماية البيانات الشخصية.
كثيرة هي المكوّنات التي تساهم في إنجاح مؤسسة أكاديمية، ويأتي على رأسها بناء علاقة ثقة مع المتعلمين والموظفين والمحافظة عليها من خلال ممارسات صارمة لحماية البيانات.
رغم تخفيف الإجراءات المتخذة على الصعيد الوطني في فترة الوباء وعودة المؤسسات إلى الوضع “العادي الجديد”، أشارت تقارير عديدة إلى التزام المتعلمين وأولياء أمورهم والمؤسسات الأكاديمية بالاستمرار في التعليم الهجين، مما يعني ارتفاع الحاجة إلى استعمال التقنيات الحديثة وبالتالي إلى الاستمرار في جمع كميات كبيرة من المعلومات الشخصية.
مع الاستفادة من التقنيات القوية بالشراكة مع تجار موثوقين وبالاستناد إلى ممارسات صارمة لحماية البيانات الداخلية وضمان أمنها، يمكن أن تضمن المؤسسات تلبية متطلبات قانون حماية البيانات الشخصية والمحافظة على أمان المعلومات القيّمة وسلامتها. وعندما يطمئن المتعلمون وأفراد الهيئة التعليمية لأن بياناتهم الشخصية في أيادٍ أمينة، سيركزون طبعاً أكثر فأكثر على التعليم.