الكومبس ـ خاص: انتشرت معلومات شخصية على موقع أثينا (Athena) في جامعة ستوكهولم تخص الطلاب وتتضمن أرقامهم الشخصية. فهل من خطورة في ذلك؟
مارتن في الثلاثينات من العمر يدرس أعمال مصرفية ومالية في جامعة ستوكهولم قدم إلى السويد العام 2017. وخلال الحصة الدرسية لاحظ مارتن أن المعلم المشرف عليه قام بإدراج البيانات الخاصة بالطلاب على موقع Athena متضمنة كل الأرقام الشخصية (personnummer) للطلاب بحيث يستطيع أي طالب الحصول على المعلومات كافة بسهولة، الأمر الذي رأى مارتن أنه يتنافى مع قوانين حماية البيانات (GDPR).
(Athena) أثينا هو نظام إلكتروني يستخدم في العديد من الجامعات السويدية، بما في ذلك جامعة ستوكهولم، لإدارة التعليم والدورات الدراسية. ويتيح النظام للطلاب والمعلمين الوصول إلى معلومات متعددة تتعلق بالدورات الدراسية، مثل المواد الدراسية، والجداول الزمنية، والمهام، والمناقشات الأكاديمية. ويمكن للطلاب استخدامه لتحميل الواجبات، والاطلاع على النتائج، والتواصل مع المعلمين والزملاء.
كما يستخدم النظام لإدارة البيانات الأكاديمية، وقد يشمل معلومات حساسة مثل الأرقام الشخصية للطلاب في بعض الحالات، ما يجعله عرضة لانتهاكات إذا لم تتم إدارة البيانات بشكل صحيح وفقاً لقوانين حماية البيانات.
يقول مارتن: “قدمت عرضاً تقديمياً (presentation)، وأثناء العرض أعربت عن مخاوفي بشأن نشر بياناتنا الشخصية دون موافقتنا. أوقفني المحاضر ولم يسمح لي بإكمال عرضي، وقام بفصل الكمبيوتر المحمول الخاص بي وأمرني بالابتعاد”.
ولا تتعلق المسألة فقط بالمعلومات الحساسة، بل أيضاً بدرجات مارتن، حيث كان يخشى أن يقوم المدرس بتخفيض درجاته عمداً، لكن بعد مراسلته المسؤولة عن البرنامج تمت معالجة أمره حيث حصل على طمأنة منها بأن درجاته لن تتأثر بذلك.
يقول مارتن “كنت أدافع عن القانون السويدي بما يخص قوانين حماية البيانات (GDPR) فالأرقام الشخصية هي معلومات خاصة في السويد ولم يكن للمدرس الحق في نشرها للجميع. قد تؤدي إلى تعرضي والطلاب الآخرين للملاحقة أو الاحتيال أو العديد من المشاكل الأخرى إذا وقعت في الأيادي الخطأ”.
تواصل مارتن مع الجامعة وشرح كل تفاصيل ما حدث وقامت الجامعة بحذف كل البيانات الشخصية من موقع أثينا بعد أن بقيت منشورة أياماً. وأعلمت مارتن أن انتشار البيانات قد يشكل خطورة لكن بنسبة بسيطة جداً، وهو ما لم يتفق مارتن معه.
لدى مارتن الكثير من التساؤلات حول عدم اتباع موظفي الجامعة دورات ليكونوا على قدر من المعرفة بالبيانات المحمية وكيفية التعامل معها وكذلك مدى خطورة انتشار هذه البيانات لأشخاص من ذوي البيانات المحمية.
تواصلت الكومبس مع جامعة ستوكهولم، وقالت المتحدثة الإعلامية في قسم الاتصالات كارين تيلين في رد مكتوب “إن قسم تقنية المعلومات على علم بذلك وكانت حادثة فردية معزولة ولم تكن ناتجة عن منصة Athena نفسها، وقد تم حذف الواجبات التي تحتوي على أرقام الهوية الشخصية”.
هيئة حماية الخصوصية (IMY):
تواصلت الكومبس مع هيئة حماية الخصوصية Integritetsskyddsmyndigheten (IMY) للتعليق عن الموضوع ولمعرفة ما إن كان ذلك يعتبر انتهاكاً للقانون وسؤالها عن ما إن كان يحق للطالب المضي قدماً بالشكوى وكان جوابها كالتالي:
الهيئة لا تقدم قرارات ملزمة ضمن إطار طلبات الاستفسار ولكن يمكننا تقديم المعلومات التوجيهية التالية وفقاً للائحة حماية البيانات العامة (GDPR):
1. الأساس القانوني لمعالجة البيانات:
وفقاً للائحة حماية البيانات العامة (GDPR)، يجب أن يكون هناك أساس قانوني لمعالجة البيانات الشخصية لتكون قانونية.
هذا الأساس القانوني يمكن أن يكون:
- التزاماً قانونياً
- موافقة الشخص المعني
- موازنة للمصالح
2. المبادئ الأساسية في معالجة البيانات:
يجب على جميع معالجات البيانات الشخصية أن تتبع المبادئ الأساسية المنصوص عليها في اللائحة العامة لحماية البيانات.
هذه المبادئ تنطبق على جميع أنواع معالجة البيانات الشخصية وتحدد الإطار النهائي للمعالجة المسموح بها.
3. مبدأ تقليل البيانات:
مبدأ تقليل البيانات يتطلب من الجهة المسؤولة عن معالجة البيانات أن تقتصر كمية البيانات الشخصية على ما هو ضروري لتحقيق الغرض من المعالجة.
لا يُسمح بجمع البيانات الشخصية للاحتياجات المستقبلية غير المحددة أو لأنها “قد تكون مفيدة في المستقبل”.
4. الأرقام الشخصية وخصوصيتها:
تُعتبر الأرقام الشخصية بيانات شخصية حساسة بشكل خاص، وترى IMY أنه يجب الحد من كشف الأرقام الشخصية قدر الإمكان.
5. مبدأ السلامة والسرية:
تنص اللائحة على مبدأ السلامة والسرية، مما يعني أن الجهة المسؤولة عن معالجة البيانات ملزمة بحماية جميع البيانات الشخصية بحيث لا يصل إليها أشخاص غير مصرح لهم ولا تُستخدم بطريقة غير قانونية.
يجب أيضًا التأكد من عدم فقدان البيانات أو تدميرها، مثلًا عن طريق الحوادث.
6. التدابير الأمنية:
يجب على الجهة المسؤولة عن معالجة البيانات تنفيذ تدابير أمنية تقنية وتنظيمية مناسبة، وتشمل هذه التدابير:
- التدابير التقنية: مثل الجدران النارية (firewalls)، التشفير، التمويه (pseudonymization)، النسخ الاحتياطي، وحماية مضادة للفيروسات.
- التدابير التنظيمية: مثل السياسات والإجراءات والتعليمات الداخلية.
ريم لحدو