مدونات ICANN

اقرأ مدونات ICANN لتبقى على اطلاع على آخر أنشطة وضع السياسات والمحافل الإقليمية وغيرها.

مستجدات حول جهود ICANN ذات الصلة بقانون GDPR

23 ديسمبر 2020
بقلم Göran Marby

مع اقتراب العام من نهايته، أود أن أتوقف لحظة لتقديم لمحة عامة حول جهود ICANN فيما يتعلق بالقانون العام لحماية البيانات (GDPR) للاتحاد الأوروبي، وما يمكن توقعه في عام 2021.

توصيات المرحلة 2 لعملية EPDP

كما أشرت في مدونة سابقة عن أن فريق عمل العملية المعجّلة لوضع السياسات (EPDP) - المرحلة 2 قد قدّم تقريره النهائي إلى المنظمة الداعمة للاسماء العامة (GNSO) وأرسله إلى مجلس إدارة ICANN للنظر فيه. وعندما تتخذ منظمة GNSO قراراً بخصوص سياسة ما ويقوم مجلس إدارة ICANN بتوجيهنا لتنفيذ تلك السياسة، ستكون مهمة منظمة ICANN تحقيق ذلك.

يتناول التقرير النهائي للمرحلة الثانية من العملية المعجلة لوضع السياسات EPDP ويلقي الضوء على 22 توصية، 18 منها بخصوص نظام الوصول الموحد/ الإفصاح عن بيانات التسجيل غير العامة (SSAD) لبيانات تسجيل نطاق المستوى الأعلى العام غير العامة. وفي جوابهم مؤخراً، أشار مجلس الإدارة الى أنه ينوي إطلاق مرحلة التصميم التشغيلي (ODP) لتقييم الأثر التشغيلي لتوصيات SSAD الثمان عشرة (18) والتي من المقرر المباشرة بها في بداية عام 2021. وتهدف مرحلة التصميم التشغيلي (ODP) هذه، مثل تقييمات الجدوى التي أعدتها منظمة ICANN سابقًا لمجلس الإدارة قبل النظر في توصيات السياسات، إلى إفادة مجلس الإدارة بالمعلومات من خلال الاختبار الدقيق للمخاطر المحتملة والتكاليف ومتطلبات الموارد والجداول الزمنية للتنفيذ. ولقد طلبتُ من المنظمات الداعمة واللجان الاستشارية تزويدنا بتعليقاتهم وملاحظاتهم حول وثيقة ODP المقترحة وفي موعد أقصاه 22 كانون الثاني (يناير) 2021.

وتتعلق التوصيات الأربع المتبقية بالقضايا التي لم تتمكن EPDP من التوصل إلى نتيجة بشأنها خلال المرحلة الأولى، مثل فترة الاحتفاظ ببيانات التسجيل وعرض معلومات الخصوصية والوكيل. ولقد تم نشر هذه التوصيات الأربع ذات "الأولوية 2" لأجل التعليق العام، وأحثّكم على المشاركة بآرائكم وأفكاركم قبل موعد انتهاء الفترة بتاريخ 22 كانون الثاني (يناير) 2021.

وفي الوقت الذي يراجع فيه مجلس إدارة ICANN التقرير النهائي للمرحلة الثانية من العملية المعجلة لوضع السياسات EPDP، ستنتقل العملية الى المرحلة 2 أ من عملها والتي تهدف الى حل مسألتين عالقتين. الأولى هي السؤال المطروح حول ما إذا كان يجب على سياسة بيانات المسجل التمييز بين بيانات الأشخاص الاعتباريين مقابل الأشخاص الطبيعيين، مع الأخذ بنظر الاعتبار الدراسة التي أجرتها منظمة ICANN و التوجيهات القانونية والتعقيبات الواردة خلال فترة التعليقات العامة. والثاني يتعلق بإمكانية أن يكون لجهات الاتصال الفريدة عناوين بريد إلكتروني موحد غير معرّف في سائر التسجيلات. وسيراجع الفريق التوجيهات القانونية المستلمة حول كل موضوع وسيقوم بتقييم تلك المسائل للتوصل إلى فيما لو يتعين الخروج بتوصيات أخرى حول توجيهات أو متطلبات السياسة.

وهذا الجهد لم يكن بالإمكان القيام به لولا مجتمع ICANN الذي نتقدم بالشكر له. وأود من جانبي أن أعبّر عن امتناني لجميع من اشترك في هذه العملية الهامة والرائعة لتفانيهم المستمر في إيجاد الحلول اللازمة لجعل خدمات دليل بيانات التسجيل متوافقة مع قانون GDPR.

التفاعل والتطورات في أوروبا

في نفس الوقت، استمرت جهود المشاركة لمنظمة ICANN مع المفوضية الأوروبية (EC) وسلطات حماية البيانات الأوروبية والمجلس الأوروبي لحماية البيانات (EDPB). وفي 15 و 16 كانون الأول (ديسمبر) 2020، تم الإعلان عن عدد من مبادرات الاتحاد الأوروبي المهمة ذات الصلة بنظام أسماء النطاقات (DNS) - بما في ذلك بيانات تسجيل اسم النطاق ومزوّدي خدمة DNS. نحن نحثكم على قراءة المزيد بخصوص هذه المبادرات في هذه المدونة المحررة من قبل فريق مشاركة الحكومات.

ومن الجدير بالذكر وبشكل خاص من بين هذه المبادرات هو اقتراح التوجيهات المنقّحة حول أمن الشبكات وأنظمة المعلومات (NIS2 Directive). يتطلب هذا الاقتراح من الدول الأعضاء في الاتحاد الأوروبي التأكد من أن سجلات أسماء النطاقات وأمناء السجلات "يقومون بجمع وحفظ بيانات تسجيل اسم النطاق بشكل دقيق وكامل" و أن "توفر إمكانية الوصول إلى بيانات تسجيل اسم النطاق لنطاقات محددة بناءً على طلبات قانونية ومبررة وحسب الأصول من قبل الجهات الساعية للوصول الشرعي" ووفقاً للقانون العام لحماية البيانات في الاتحاد الأوروبي. وفي آخر رسالة لها إلى منظمة ICANN شدّدت المفوضية الأوروبية EU على أهمية توجيهات NIS2، مشيرةً إلى حقيقة أن الاقتراح "يترك الباب مفتوحًا أمام إمكانية استخدام واجهة أو بوابة إلكترونية أو أدوات تقنية أخرى لتوفير نظام فعال لطلب بيانات التسجيل والوصول إليها".

تضيف توجيهات NIS2 المنقحة الكثير إلى مناقشات المجتمع حول كيف يُمكن تطبيق قانون GDPR على دقة بيانات التسجيل. وكررت المفوضية الأوروبية مراراً وتكراراً وجهة النظر القائلة بأن الالتزام الحالي بالقانون العام لحماية البيانات GDPR، والذي يتطلب من مراقبي البيانات اتخاذ خطوات معقولة لضمان دقة البيانات الشخصية التي تتم معالجتها، يولّد بالفعل خطر عدم الامتثال للقانون العام لحماية البيانات فيما يتعلق ببيانات التسجيل عندما لاتكون هذه الخطوات المتخذة مناسبة. وبالتالي، فمن المثير للإهتمام أن توجيهات NIS2 المنقحة التي اقترحتها المفوضية الأوروبية تجعل من دقة بيانات التسجيل أمراً محدداً بشكل واضح.

وفي الوقت الذي تكون فيه توجيهات NIS2 المنقحة في هذه المرحلة مقترحاً تشريعياً والتي ستأخذ - حالما يتم الاتفاق عليها وتبنّيها في نهاية المطاف - 18 شهراً للتنفيذ ضمن القوانين الوطنية للدول الأعضاء في الاتحاد الأوروبي، يطرح قانون حماية البيانات المعمول به حاليًا في الاتحاد الأوروبي عدداً من التحديات أمام تنفيذ SSAD في الوقت المناسب. وهذا يتضمن عدم اليقين فيما يتعلق بشرعية نقل البيانات من الإتحاد الأوروبي والمنطقة الإقتصادية الأوروبية (EEA) إلى الدول الأخرى عقب قرار Schrems II الصادر عن محكمة العدل التابعة للاتحاد الأوروبي (CJEU) بالإضافة إلى التفسير الذي لا يزال غير واضح لمفاهيم وحدة التحكم والمعالج، خاصة في نماذج أصحاب المصلحة المتعددين المعقدة تقنيًا مثل SSAD.

وأعربت منظمة ICANN عن مخاوفها بهذا الصدد الى سلطات الاتحاد الأوروبي ذات الصلة بمن فيهم المجلس الأوروبي لحماية البيانات EDPB والمفوضية الأوروبية EU. كما عبّرت مؤخراً عن التدابير المقترحة لمجلس EDPB التي تكمّل أدوات النقل لضمان الامتثال لمستوى المجلس الأوروبي لحماية البيانات الشخصية والبنود التعاقدية القياسية المحدثة لنقل البيانات الشخصية إلى دول خارج الاتحاد الأوروبي، وكذلك مشاورات EDPB حول المبادئي التوجيهية لمفاهيم وحدة التحكم والمعالج.

يعتبر المزيد من الوضوح والتوجيه من قبل سلطات الاتحاد الأوروبي ذات الصلة، ضرورياً لتعزيز قدرة منظمة ICANN على تطوير وتنفيذ نموذج للوصول الى البيانات يكون قابلاً للتطبيق. حيث تعتبر مساهماتهم المستمرة أمراً بالغ الأهمية لتحديد ما إذا كان الحل الموضح في التقرير النهائي يمكن تنفيذه وفقاً للقانون العام لحماية البيانات GDPR. وأكدت المفوضية الأوروبية لمنظمة ICANN في آخر رسالة لها أنها لا تزال ملتزمة بتسهيل التفاعلات الجارية حول هذه المسألة مع سلطات حماية البيانات الأوروبية وتناقش معها أيضًا فرص التشاور رسمياً مع مجلس EDPB للمشاركة بالرأي. وبالنسبة لمؤسسة ICANN، كمنظمة فنية، سيكون من الضروري تلقي مثل هذه التوجيهات من أجل تصميم وتنفيذ نظام قابل للتطبيق يوفر طريقة مستقرة وقابلة للتنبؤ وللتشغيل لمقدمي الطلبات الذين لديهم مصلحة مشروعة للوصول إلى بيانات تسجيل gTLD غير العامة. ولا يزال التحدي قائماً: في موازنة المصلحة العامة العالمية التي يخدمها الوصول إلى بيانات تسجيل اسم النطاق مع حقوق الخصوصية لمالكي أسماء النطاقات. وهذا مسألة تتعلق بالسياسة العامة. وعندما يبدو أن قانوناً يحمي بيانات المواطنين يعيق وعن غير قصد الجهود المبذولة لحمايتهم من الاحتيال عبر الإنترنت أو الهجمات الإلكترونية، فإن الأمر يكون متروكاً للمشرّعين لحل هذه المشكلة.

لمزيد من المعلومات والتحديثات والوثائق ذات الصلة، يرجى زيارة موقعنا على صفحتنا المخصصة لـحماية البيانات/ قضايا الخصوصية. أتمنى لكم جميعًا عطلة صحية وسعيدة في جميع أنحاء العالم وأتطلع إلى العمل معكم العام المقبل.

Authors

Göran Marby

Göran Marby

السابق President & CEO