اعتبارًا من 22 سبتمبر، ستفرض حكومة كيبيك الجزء الأكبر من المتطلبات الجديدة التي تهدف إلى حماية المعلومات الشخصية. تحدي كبير للشركات في كيبيك، الصغيرة والكبيرة. بالنسبة لبعض الشركات الصغيرة والمتوسطة، فقد فات الأوان. بالتأكيد لن يكونوا جاهزين بحلول الموعد النهائي.
“سأكون صادق معك. إنه نفس الشيء إلى حد ما بالنسبة للعديد من الشركات الصغيرة والمتوسطة: لم نفعل شيئًا. لم نأخذ الأمر على محمل الجد لأنه كان معقدا للغاية لدرجة أننا قلنا: “لا ينبغي أن ينطبق هذا علينا”، يوضح مدير الموارد البشرية في شركة صغيرة اتصلت بها صحيفة لابريس. وأخيرًا، ندرك قبل دقيقة واحدة من منتصف الليل أن هذا الأمر يستهدفنا، وليس الشركات الكبرى فقط. »
تريد المديرة عدم الكشف عن هويتها حتى لا تسبب مشاكل لصاحب عملها، الذي هو بعيد كل البعد عن تحقيق أهداف قانون تحديث الأحكام التشريعية المتعلقة بحماية المعلومات الشخصية، المسمى بالقانون 25. وهي لا تريد جذب انتباه لجنة الوصول إلى المعلومات (CAI)، المسؤولة عن التحقيق في مواطن الخلل في القواعد الجديدة، وحتى أقل من تلك الخاصة بقراصنة برامج الفدية، الذين سرقوا المعلومات الشخصية من العشرات من الشركات الصغيرة والمتوسطة في كيبيك في السنوات الأخيرة.
تقول سوليكا مونييه، المحامية المتخصصة في المعلومات الشخصية في شركة Fasken: “من المؤكد تمامًا أن العديد من الشركات لديها مشكلات كبيرة”.
يتعلق هذا الالتزام بجميع البيانات الشخصية التي يتم جمعها من أي شخص طبيعي: العملاء، الموظفون، الموردون، وما إلى ذلك. لا مزيد، من حيث المبدأ، من أرقام رخص القيادة وأرقام التأمين الاجتماعي وتواريخ الميلاد وتفاصيل الاتصال الأخرى المخزنة إلى الأبد في خوادم صاحب العمل أو المؤسسة المالية . لا مزيد من تفاصيل الاتصال الكاملة للعملاء محفوظة في كمبيوتر الميكانيكي أو منظفك.
بشرى سارة لمواطني كيبيك. لكن بالنسبة للشركات، تعني هذه الأحكام الجديدة تحديد وتصنيف كل معلومات شخصية تم جمعها بعناية وفقًا لهذه الأسئلة: هل لا تزال هذه المعلومات مفيدة؟ لفعل ماذا ؟ ألا يجب علينا تدميرها؟ هل القانون يلزمني بالاحتفاظ بها؟
بالنسبة لمديرة الأعمال الصغيرة التي اتصلت بها صحيفة لابريس، فهي مهمة هائلة، لم تتعامل معها إلا قبل أيام قليلة من الموعد النهائي في 22 سبتمبر.
“لدينا مرآب، ولدينا مكتب، ولدينا رجال على الأرض في جميع أنحاء كيبيك… لقد أنشأنا فرقنا لتكون قادرة على تنفيذ دورة حياة المعلومات التي نتلقاها، ولكن لا بأس. كن معقدًا، لأننا تقول: “لدينا قواعد بيانات مختلفة”.
خاصة وأن الشركات يجب أن تحتفظ ببيانات معينة لفترة أطول بسبب الالتزامات القانونية. على سبيل المثال، يجب على الشركات الاحتفاظ بسجلات ضريبية لمدة سبع سنوات حتى تتمكن من الإجابة على الأسئلة الضريبية المحتملة.
تقول سوليكا مونييه: “كلما زاد حجم الشركات، زادت تعقيد الإجراءات التي يتعين اتخاذها”.
قبل أسابيع قليلة من الموعد النهائي، على سبيل المثال، تقول شركة النقل في مونتريال إنها يجب أن تستمر في “بذل جهود كبيرة” للوفاء بالالتزامات الجديدة وأن المساعدة الخارجية نادرة. وكتبت المتحدثة باسم الشركة جوستين لورد دوفور في رسالة بالبريد الإلكتروني إلى صحيفة لابريس: “من الواضح أن هذه التأخيرات أدت إلى نقص في العمالة والخبراء في هذا المجال في السوق”.
وحتى شركة مترو للبقالة، التي تبلغ قيمتها السوقية أكثر من 16 مليار دولار ويعمل بها ما يقرب من 95 ألف موظف، يتعين عليها أن تعمل بجهد مضاعف لإنهاء المهمة في الوقت المحدد. وتوافق نائبة رئيس الاتصالات ماري كلود بيكون، في مقابلة مع صحيفة لابريس، على أنها “لا تزال مهمة شاقة”.
من بين جميع الشركات الكبيرة التي تم الاتصال بها، لم تقبل سوى شركة السوبر ماركت والصيدلة رقم واحد في كيبيك طلب المقابلة الذي قدمته صحيفة لابريس.
وحتى لو كانت الشركات الكبرى مثل مترو تمتلك المزيد من الموارد، فإن التحدي لا يزال كبيرا. لدى البقال ما يعادل ثلاثة أشخاص بدوام كامل يكملون الوظيفة، برفقة مستشارين خارجيين. تقول ماري كلود بيكون: “بالطبع كان بإمكاننا اختيار إرسال عدد قليل من الأشخاص بسرعة أكبر، لكننا لا نرى أي مشاكل خطيرة”.
ومع ذلك، مثل جميع المنظمات، يجب على المجتمع أن يتقدم للأمام، حيث لا أحد يعرف بالضبط كيف سيفسر CAI القواعد الجديدة التي وضعتها كيبيك. ويعترف نائب الرئيس قائلاً: “كان علينا أن نتخذ قرارات مبنية على فرضيات، نظراً لعدم وجود معلومات معينة”.
على سبيل المثال، يتعين على جميع مواقع الويب في كيبيك أن تطلب الإذن من مستخدم الإنترنت قبل جمع المعلومات الشخصية. ويستهدف الإجراء على وجه الخصوص البيانات التي يتم جمعها بواسطة ملفات تعريف الارتباط الخاصة بالتصفح، “ملفات تعريف الارتباط” الشهيرة.
يجب على CAI إصدار “مبادئ توجيهية” حول الطريقة الصحيحة للحصول على موافقة الجمهور. لكن النسخة النهائية من هذه القواعد “من المقرر إصدارها في تشرين الأول/أكتوبر 2023″، بحسب موقع الهيئة، بعد دخول القانون الجديد حيز التنفيذ.
باختصار، سيتعين على الشركات إجراء تعديلات في الأسابيع التالية لدخول الأحكام الجديدة للقانون 25 حيز التنفيذ، كما تؤكد شركة مترو، كما يفعل ديجاردان.
كتبت شانتال كوربيل، المتحدثة باسم التعاونية المالية: “نحن نتابع تحالفات CAI حول هذا الموضوع عندما تنشرها”.
وتشير المحامية السابقة في المفوضية، والتي تعمل الآن لحسابها الخاص، سينثيا تشاسينيو، إلى أن الشركات الأكثر تقدما هي تلك التي تتعامل مع الاتحاد الأوروبي. لقد اضطروا بالفعل إلى التكيف مع القواعد الصارمة المتعلقة بحماية المعلومات الشخصية التي تبنتها في عام 2016. والبعض الآخر محموم تمامًا وينتظر ليرى ماذا ستفعل الحكومة. »
وقال فرانسيس بيروبيه، مدير شؤون المقاطعات في الاتحاد الكندي للأعمال المستقلة: “أعتقد أن لجنة الوصول إلى المعلومات (CAI) قد قللت إلى حد ما من تقدير الدعم المطلوب”. ويطالب بتقديم مساعدة أفضل لإنجاز الإصلاح “المعقد للغاية”.
وفي شركة Borden Ladner Gervais، وهي واحدة من أكبر الشركات من حيث المعلومات الشخصية، يشير المحامي سيمون دو بيرون أيضًا إلى أوجه القصور في المساعدة المقدمة للشركات. ويقول متأسفاً: “للأسف، ليس لدى المفوضية فرع استشاري استراتيجي حقاً”. أعتقد أنها لا تزال تستوعب مشروع القانون رقم 25.
ونتيجة لذلك، بدأت بعض الشركات التي استغرقت وقتًا أطول للرد تشعر بالذعر، وأصبح المحامون المتخصصون في هذا المجال مرهقين.
يقول سيمون دو بيرون: “لا يمكننا أن نكرر أنفسنا… كل شيء يأتي في مرمى النيران في النهاية”.
في CAI، لا أحد يخفي أي سر حول هذا الأمر: من الواضح أن هيئة مراقبة الخصوصية ليست قوية بما فيه الكفاية. وفي ديسمبر/كانون الأول، دعا رئيسها إلى توفير المزيد من الموارد في مقابلة مع صحيفة لابريس. وقالت ديان بويتراس: “من الممل أن أقول ذلك، ولكن هناك مشكلة تتعلق بالموارد”.
وفي دائرة محامي الخصوصية، يتعرض موقع اللجنة لانتقادات بالإجماع. ويجدون فجوات كبيرة في المعلومات المتاحة.
ينشر CAI، على سبيل المثال، “دليل الدعم” لإجراء “تقييمات لعوامل الخصوصية، وهو التزام ساري المفعول منذ الموجة الأولى من التدابير المرتبطة بالقانون 25، في 22 سبتمبر 2022. ومع ذلك، فإن النسخة المتوفرة حاليًا على الإنترنت هي من مارس 2021!
ويحذر النص من أن “المعلومات الواردة في هذا الدليل تعكس القوانين قبل تعديلها بـ [القانون] 25”. وسيتم تنقيحه في وقت لاحق. » بعد مرور عامين ونصف وقبل أيام قليلة من الموجة الثانية من إجراءات القانون، لا تزال الوثيقة غير محدثة.
كتب خورخي باسالاكوا، مدير الاتصالات في CAI، في رسالة بالبريد الإلكتروني إلى صحيفة La Presse: “تعمل المفوضية جاهدة، بكل ما في وسعها، لإبلاغ الشركات”. تعد المنظمة بوضع موقع ويب محسّن على الإنترنت في أي يوم الآن والذي سيكون أكثر قدرة على تزويد الشركات بمعلومات أفضل.
وبالنسبة للعام 2022-2023، عندما دخلت السلسلة الأولى من التدابير المرتبطة بالقانون 25 حيز التنفيذ، تلقت الهيئة 1.5 مليون دولار أكثر من ذي قبل، لكن المنظمة طلبت أربعة أضعاف ذلك.
بالنسبة للفترة 2023-2024، منحت كيبيك ميزانية إضافية قدرها 4.2 مليون دولار.
رفض الوزير المسؤول عن حماية المعلومات الشخصية، جان فرانسوا روبيرج، طلبنا لإجراء مقابلة.
وفي رسالة بالبريد الإلكتروني إلى صحيفة لابريس، قال إنه “يدرك” أن القانون 25 “يتضمن تغييرات كبيرة للشركات”. “إن CAI موجود لدعمهم في هذه التغييرات ولهذا السبب قمنا بمضاعفة ميزانية CAI في السنوات الأخيرة. »
وفي رسالة غير موقعة، أكد المجلس التنفيذي للوزارة أن “الحكومة استمعت لطلبات لجنة الوصول وهي على دراية تامة بالمسؤوليات الجديدة التي أسندها إليها الإصلاح المتعلق بحماية المعلومات الشخصية”.
وتؤكد الوزارة أن موازنة الهيئة ما زالت تضاعفت خلال السنوات السبع الماضية لتصل إلى 12.6 مليون دولار في 2023-2024.
اعتبارًا من 22 سبتمبر، ستحتاج الشركات التي تجمع المعلومات الشخصية إلى:
• اطلب موافقة الشخص المعني قبل جمع أي معلومات شخصية، بما في ذلك بيانات تصفح الإنترنت التي يتم جمعها بواسطة ملفات تعريف الارتباط (ملفات تعريف الارتباط).
• وجود سياسات حوكمة بشأن جمع المعلومات الشخصية والاحتفاظ بها وحمايتها وتدميرها.
• نشر سياسة خصوصية المعلومات الشخصية “بعبارات بسيطة وواضحة”.
• إعلام الأشخاص المستهدفين من خلال جمع المعلومات الشخصية باستخدام أي تقنية تسمح بتحديد هوية الشخص أو موقعه، أو حتى إنشاء ملف تعريفي له.
• تقييم أي اكتساب أو تطوير أو إصلاح شامل لنظام تكنولوجيا المعلومات بهدف حماية المعلومات الشخصية.
• أنظمة التكنولوجيا الافتراضية لأعلى إعدادات الخصوصية.
• ستتمكن لجنة الوصول إلى المعلومات من فرض عقوبات على المخالفين تصل إلى 2% من إجمالي مبيعات الشركة العالمية أو 10 ملايين دولار.
التكلفة المتكررة سنويا التي يمثلها مشروع القانون 25 للقطاع الخاص، وفقا لتقدير الاتحاد الكندي للأعمال المستقلة. يقول فرانسيس بيروبيه، مدير شؤون المقاطعات: “إنها محافظة تمامًا”.