الامتثال · قانون البيانات الأوروبي (Data Act)

قانون البيانات الأوروبي: من يملك البيانات التي تولّدها؟

اعتبارًا من 12 سبتمبر 2025، تعيد اللائحة الأوروبية 2024/2854 تشكيل الوصول إلى بيانات المنتجات المتصلة، وتُسهّل تغيير مزوّد الحوسبة السحابية. إليك ما يعنيه ذلك فعليًا لشركة صغيرة أو متوسطة، بلا مصطلحات قانونية معقّدة.

34 إجابة

ما هو قانون البيانات الأوروبي (Data Act)، وما الذي يتغيّر عمليًا بالنسبة لشركتي؟

قانون البيانات الأوروبي (Data Act، اللائحة الأوروبية 2024/2854) هو القانون الأوروبي الذي يحدد من يمكنه الوصول إلى البيانات التي تولّدها المنتجات المتصلة (الآلات، المركبات، الأجهزة المنزلية الذكية، مستشعرات إنترنت الأشياء) والخدمات الرقمية المرتبطة بها، ومن يمكنه استخدامها. عمليًا، يمنح مستخدم المنتج الحق في الحصول على تلك البيانات ومشاركتها مع أطراف ثالثة يختارها بنفسه.

بالنسبة لشركة صغيرة أو متوسطة، يعني ذلك أمرين ملموسين: إذا كنت تستخدم آلات أو برمجيات متصلة، فلديك حقوق أكبر على البيانات التي تولّدها؛ أما إذا كنت من يصنّعها أو يقدّمها كخدمة، فعليك التزامات جديدة بالشفافية وإتاحة الوصول. إضافة إلى ذلك، تجعل اللائحة تغيير مزوّد الحوسبة السحابية أبسط وأقل تكلفة.

GiBSeS — فهم أي جانب من الطاولة أنت فيه — مستخدم للبيانات أم مزوّد لها — هو الخطوة الأولى التي ننجزها معًا في التشخيص الأولي.

منذ متى يسري قانون البيانات الأوروبي (Data Act)؟ هل عليّ التحرّك فورًا؟

دخل قانون البيانات الأوروبي حيّز التنفيذ في 11 يناير 2024، لكن معظم الالتزامات تسري اعتبارًا من 12 سبتمبر 2025. وهناك مواعيد لاحقة: الالتزام بتصميم المنتجات المتصلة بحيث تكون البيانات متاحة "افتراضيًا" (by default) يخص المنتجات التي تُطرح في السوق بعد 12 سبتمبر 2026، بينما من المقرر إلغاء تكاليف تغيير مزوّد الحوسبة السحابية بالكامل بحلول 12 يناير 2027.

إذن نعم، الجزء الأكبر يسري بالفعل: من الأفضل التحقق من وضعك الآن، دون انتظار المواعيد اللاحقة.

GiBSeS — إذا لم تكن متأكدًا من المواعيد التي تخصّك فعلًا، فإن ترتيب هذه التواريخ بحسب وضعك هو جزء من نقطة الانطلاق التي نعمل عليها معك.

هل يشمل قانون البيانات الأوروبي أيضًا شركة صغيرة مثل شركتي؟

نعم، لكن بشكل مختلف حسب الدور. تنطبق اللائحة على مصنّعي المنتجات المتصلة، ومزوّدي الخدمات المرتبطة بها، ومستخدمي هذه المنتجات (شركات ومستهلكين)، ومزوّدي خدمات الحوسبة السحابية، والجهات المتلقية للبيانات. حتى الشركة الصغيرة التي تكتفي باستخدام آلات أو برمجيات متصلة تندرج ضمن الجهات المشمولة بالحماية.

مع ذلك، توجد إعفاءات مهمة للمنشآت المتناهية الصغر والصغيرة عندما تكون هي من يصنّع المنتج أو يقدّم الخدمة: في هذه الحالة لا تسري الكثير من التزامات مشاركة البيانات. كون الشركة من فئة الشركات الصغيرة والمتوسطة أمر مهم، لكن الوضع يجب تقييمه حالة بحالة.

GiBSeS — تحديد ما إذا كنت جهة مشمولة بالحماية، أو جهة ملزَمة، أو الاثنين معًا، هو بالضبط نوع التوضيح الذي ننطلق منه.

عن أي بيانات نتحدث بالتحديد؟ هل يقتصر الأمر على أجهزة إنترنت الأشياء؟

يتعلق قانون البيانات الأوروبي بالبيانات الناتجة عن استخدام المنتجات المتصلة والخدمات المرتبطة بها: نتحدث عن الآلات الصناعية، والمركبات، والأجهزة الطبية، والأجهزة المنزلية الذكية، والمستشعرات، وكذلك البرمجيات والتطبيقات التي تدير عملها. تشمل هذه البيانات الخام والبيانات التي خضعت لمعالجة أولية والتي يجمعها المنتج أو يسجّلها أو ينقلها أثناء الاستخدام.

في المقابل، لا تدخل ضمن ذلك المعلومات التي يستخلصها المزوّد عبر تحليلات معقّدة واستثمارات خاصة به (ما يُعرف بالبيانات "المشتقّة" أو "المستنتجة")، والتي تبقى خارج نطاق التزام المشاركة.

GiBSeS — التمييز بين البيانات الخام القابلة للمشاركة والبيانات المعالَجة والمحمية هو أحد التقييمات التقنية التي نرافقك فيها.

هل يمكنني الوصول إلى البيانات التي تولّدها آلاتي أو أجهزتي؟

نعم. إذا كنت تستخدم منتجًا متصلًا أو خدمة مرتبطة به، فلديك الحق في الوصول إلى البيانات التي تولّدها من خلال استخدامه، بطريقة سهلة وآمنة ومجانية، وبشكل مباشر ومستمر حيثما كان ذلك ممكنًا تقنيًا. وإذا تعذّر عليك الحصول عليها مباشرة من الجهاز، فإن مالك البيانات (عادة المصنّع أو المزوّد) ملزَم بإتاحتها لك دون تأخير غير مبرَّر.

هذا يكسر ممارسة كانت شائعة: حتى وقت قريب، كانت بيانات آلتك نفسها تبقى غالبًا محبوسة داخل أنظمة الشركة المصنِّعة.

GiBSeS — استعادة السيطرة على بيانات منشآتك الخاصة هو جوهر موضوع "سيادة البيانات" الذي نعمل عليه مع الشركات الصغيرة والمتوسطة.

هل يمكنني تمرير بياناتي إلى مزوّد خارجي، مثل ورشة صيانة مستقلة؟

نعم، وهذا من أكثر المستجدات ملموسية. بناءً على طلبك، يجب على مالك البيانات مشاركتها مع طرف ثالث تختاره أنت — فنّي صيانة مستقل، أو مزوّد خدمات آخر، أو مطوّر حلول. هذا يتيح لك، مثلًا، أن يتولى صيانة منشأتك أو تحسين أدائها من تختاره أنت، دون أن تبقى مرتبطًا بالشركة المصنِّعة.

يجب على الطرف الثالث استخدام البيانات فقط للأغراض المتفق عليها معك، ولا يجوز له بدوره تمريرها لغيره دون موافقتك. وتُستثنى من هذه الآلية الجهات الكبرى المسيطِرة (gatekeepers) التي حدّدها قانون الأسواق الرقمية (Digital Markets Act).

GiBSeS — استخدام هذا الحق لفتح المنافسة في خدمات ما بعد البيع هو رافعة لمكافحة الارتهان لمزوّد واحد (vendor lock-in)، ونساعدك على تفعيلها عمليًا.

أُصنّع أجهزة أو آلات متصلة: ما الذي يجب عليّ فعله؟

بصفتك مصنِّعًا، لديك بعض الالتزامات الأساسية. يجب عليك إبلاغ المشتري بوضوح، قبل البيع، بالبيانات التي يولّدها المنتج، وكيفية الوصول إليها، ومع من يمكن مشاركتها. كما يجب عليك إتاحة البيانات للمستخدم، وعند طلبه، لأطراف ثالثة يحدّدها هو. وبالنسبة للمنتجات التي تُطرح في السوق بعد 12 سبتمبر 2026، يسري أيضًا الالتزام بتصميمها بحيث تكون البيانات متاحة "بالتصميم وبشكل افتراضي" (by design and by default).

يمكنك حماية أسرارك التجارية باتخاذ تدابير مناسبة، لكن لا يجوز لك استخدامها كذريعة لرفض الوصول بشكل كامل.

GiBSeS — مراجعة عقود البيع والوثائق التقنية وبنية المنتج في ضوء قانون البيانات الأوروبي هو عمل ندعمك فيه من البداية إلى النهاية.

أنا مستخدم لمنتجات متصلة: ما الذي يتحسّن بالنسبة لي؟

تحصل على مزيد من التحكّم وقوة تفاوضية أكبر. يمكنك الوصول إلى بيانات استخدام منتجاتك، ونقلها، وتسليمها لمزوّدين خارجيين لأغراض الصيانة أو التحليل أو خدمات جديدة. هذا يقلّل من الاعتماد على مصنِّع واحد ويتيح لك مقارنة عروض الصيانة في سوق مفتوحة.

عمليًا، يمكنك الاستفادة من بيانات كانت في السابق غير متاحة: كفاءة الطاقة، معدّل التآكل، التنبؤ بالأعطال، وتحسين العمليات.

GiBSeS — تحويل هذه الحقوق إلى توفير في التكاليف وقرارات أفضل هو الجانب العملي الذي يهمّنا أكثر من غيره.

ما العلاقة مع GDPR؟ هل يحل قانون البيانات الأوروبي محله؟

لا، قانون البيانات الأوروبي لا يحل محل GDPR ولا يُضعفه: يسري القانونان بالتوازي. يستمر GDPR في تنظيم جميع البيانات الشخصية؛ بينما يضيف قانون البيانات الأوروبي حقوقًا تتعلق بالوصول ونقل البيانات، لكن في حال التعارض، تكون الأولوية لحماية البيانات الشخصية. وعندما تتضمن البيانات التي يولّدها المنتج معلومات شخصية، يبقى من الضروري وجود أساس قانوني صحيح واحترام مبادئ GDPR.

عمليًا، الكثير من مجموعات بيانات إنترنت الأشياء مختلطة (بيانات شخصية وغير شخصية متشابكة): ويجب إدارتها مع مراعاة اللائحتين معًا.

GiBSeS — فكّ التشابك بين البيانات الشخصية وغير الشخصية دون مخالفة أي من اللائحتين هو عقدة نمطية نساعد على حلّها.

هل يمكن لمزوّد ما أن يفرض عليّ شروطًا تعسفية بشأن استخدام البيانات؟

يُدخل قانون البيانات الأوروبي حماية ضد البنود التعاقدية التعسفية المتعلقة بالوصول إلى البيانات واستخدامها، عندما تفرضها شركة على أخرى من طرف واحد. أي بند يُعتبر تعسفيًا لا يكون ملزِمًا: مثل البند الذي يستبعد أو يقيّد بشكل مجحف واضح سبل التعويض في حال الإخلال بالعقد، أو الذي يمنح الطرف الذي يفرضه سلطة أحادية لتحديد ما إذا كانت البيانات المقدَّمة مطابقة أم لا.

هي حماية صُمِّمت بالأساس لإعادة التوازن إلى العلاقة عندما يتمتع الطرف الآخر بقوة تفاوضية كبيرة.

GiBSeS — فحص عقود البيانات بدقة بحثًا عن بنود لم تعد قابلة للاحتجاج بها هو تحقّق سريع لكنه غالبًا ما يكشف الكثير.

هل توجد حمايات أو إعفاءات خاصة بالمنشآت المتناهية الصغر والصغيرة؟

نعم. تستفيد المنشآت المتناهية الصغر والصغيرة من تخفيفات مهمة: فعندما تكون هي من يصنّع منتجًا متصلًا أو يقدّم خدمة مرتبطة به، لا تسري عادة التزامات مشاركة البيانات المنصوص عليها في الفصل الثاني من اللائحة. وهذا يتجنّب تحميل الكيانات الصغيرة نفس الأعباء التي تتحملها الشركات متعددة الجنسيات.

لكن انتبه: يمكن أن يسقط هذا الإعفاء إذا كانت المنشأة المتناهية الصغر أو الصغيرة مرتبطة بشركة أكبر أو شريكة لها. ويجب التحقق من صفة "الشركة الصغيرة والمتوسطة" وفق معايير الاتحاد الأوروبي (عدد الموظفين، حجم الإيرادات، الهيكل المالكي).

GiBSeS — التحقق بدقة مما إذا كنت مشمولًا بالإعفاء — وما إذا كان هيكل شركتك يُسقط هذا الإعفاء — هو تحقّق يستحسن القيام به قبل الاستثمار في أي تعديلات.

هل يساعدني قانون البيانات الأوروبي فعليًا في تغيير مزوّد الحوسبة السحابية؟

نعم، وهذا أحد الأهداف الرئيسية. تُلزم اللائحة مزوّدي خدمات معالجة البيانات (الحوسبة السحابية والحوسبة الطرفية) بإزالة العوائق التقنية والتعاقدية والتجارية أمام تغيير المزوّد. ويجب عليهم ضمان عملية انتقال بمواعيد محدَّدة، ومساعدة العميل في نقل بياناته وتطبيقاته إلى مزوّد آخر أو إلى بنية تحتية محلية (on-premise)، ولا يجوز لهم فرض قيود غير متناسبة.

صُمِّم هذا الأمر تحديدًا للحد من الارتهان لمزوّد واحد (lock-in) الذي يُبقي الشركات رهينة منصة واحدة.

GiBSeS — الارتهان لمزوّد الحوسبة السحابية هو أحد المخاطر التي نقيّمها أولًا: قانون البيانات الأوروبي يمنحك أخيرًا أدوات ملموسة للخروج منه.

هل صحيح أن تكاليف الخروج من الحوسبة السحابية ستُلغى بالكامل؟

نعم. ينص قانون البيانات الأوروبي على خفض تدريجي لتكاليف تغيير المزوّد (switching charges) وإلغائها بالكامل بحلول 12 يناير 2027. خلال الفترة الانتقالية، يمكن للمزوّدين فرض تكاليف مخفَّضة فقط، مرتبطة بالنفقات الفعلية للانتقال، وليس غرامات عقابية. أما التكاليف الاعتيادية لاستخدام الخدمة فتبقى قابلة للفوترة كالمعتاد.

هذا يزيل أحد أقوى الحواجز الاقتصادية أمام تغيير المزوّد، إلى جانب الحواجز التقنية.

GiBSeS — تحديد تكلفة خروجك الفعلية اليوم — وكيف ستنخفض بحلول عام 2027 — هو حساب يغيّر مجرى المفاوضات مع المزوّدين.

ماذا يقول قانون البيانات الأوروبي عن قابلية تشغيل الأنظمة معًا (التشغيل البيني)؟

تفرض اللائحة متطلبات للتشغيل البيني (interoperability) لتسهيل تبادل البيانات والانتقال بين الخدمات. يجب على مزوّدي خدمات الحوسبة السحابية إتاحة واجهات مفتوحة ومعلومات كافية تتيح نقل البيانات وإعادة استخدامها في مكان آخر. كما تنص اللائحة على مواصفات خاصة بفضاءات البيانات الأوروبية المشتركة وإمكانية اعتماد معايير موحَّدة.

الهدف هو ألّا تبقى البيانات "أسيرة" لتنسيق معيّن أو منصة احتكارية.

GiBSeS — تصميم أو اختيار أنظمة قادرة فعلًا على التشغيل البيني، لا مجرد أنظمة تُعلن ذلك دون تطبيقه، هو تقييم تقني مستقل نكون مفيدين فيه.

إذا كان عليّ مشاركة البيانات، فهل أسراري التجارية معرّضة للخطر؟

يسعى قانون البيانات الأوروبي إلى تحقيق توازن: التزام المشاركة لا يلغي حماية الأسرار التجارية. بصفتك مالكًا للبيانات، يمكنك تحديد البيانات المشمولة بالسرّية والاتفاق مع المستخدم أو الطرف الثالث على تدابير مناسبة للحفاظ على سرّيتها (اتفاقيات، تدابير تقنية، شروط استخدام). وفي حالات استثنائية، إذا استمر رغم هذه التدابير وجود خطر جسيم وقابل للإثبات بحدوث ضرر، يمكن تعليق المشاركة أو رفضها.

لكن لا يجوز لك استخدام السرّ التجاري كذريعة عامة لرفض أي وصول: يجب أن يكون الرفض مبرَّرًا ومُبلَّغًا به.

GiBSeS — وضع تدابير حماية للمعرفة الفنية (know-how) تصمد فعليًا، دون الانزلاق إلى رفض غير مشروع، هي نقطة دقيقة نرافقك فيها.

هل يمكن للطرف الثالث الذي أعطيه بياناتي أن يستخدمها لمنافستي؟

توجد حدود دقيقة لذلك. الطرف الثالث الذي يتلقى البيانات بناءً على طلب المستخدم لا يمكنه استخدامها إلا للأغراض والشروط المتفق عليها مع المستخدم نفسه، ولا يجوز له استخدامها لتطوير منتج منافس للمنتج الذي صدرت عنه البيانات. كما لا يجوز له تمرير البيانات لأطراف أخرى دون موافقة.

ومن جهته، لا يجوز أيضًا لمالك البيانات استخدام البيانات غير الشخصية التي يولّدها المستخدم لاستخلاص معلومات عن وضعه الاقتصادي أو استراتيجياته بطريقة تضرّ بمركزه التجاري.

GiBSeS — صياغة اتفاقيات المشاركة بحيث تكون هذه المحظورات فعّالة حقًا هي جزء من العمل التعاقدي الذي نتابعه.

هل عليّ مشاركة البيانات مجانًا، أم يمكنني طلب مقابل مادي؟

بالنسبة لمستخدم المنتج، يكون الوصول إلى بياناته الخاصة مجانيًا. أما عندما تُتاح البيانات لشركة ثالثة، فيمكن لمالك البيانات طلب تعويض معقول وغير تمييزي، يستند إلى التكاليف المتكبَّدة لإتاحة البيانات. وإذا كانت الجهة المتلقية شركة صغيرة أو متوسطة أو جهة بحثية، فلا يجوز أن يتجاوز التعويض تلك التكاليف، دون هوامش ربح إضافية.

ومع ذلك، يجب أن تكون الشروط المالية عادلة وشفافة وألّا تُستخدم كحاجز خفي أمام الوصول.

GiBSeS — تحديد تعويض قابل للدفاع عنه — لا مجاني بشكل مبالغ ولا مانع للوصول — هو تقييم اقتصادي وتعاقدي مصمَّم خصيصًا لحالتك.

ما هي العقوبات، ومن يراقب الامتثال لقانون البيانات الأوروبي؟

لا يحدّد قانون البيانات الأوروبي مبالغ غرامات موحَّدة على المستوى الأوروبي: بل يترك لكل دولة عضو مهمة تحديد العقوبات، التي يجب أن تكون فعّالة ومتناسبة ورادعة. وتُعيّن كل دولة سلطة أو أكثر مختصة بالرقابة على المستوى الوطني؛ وفيما يخص البيانات الشخصية، تبقى الاختصاص لسلطات حماية البيانات (في إيطاليا هيئة "Garante").

إذن، تعتمد المبالغ والإجراءات على القواعد الوطنية للتطبيق: بالنسبة لحالتك الخاصة، يجب التحقق من كيفية تبنّي الدولة المختصة لهذه اللائحة.

GiBSeS — معرفة الجهة التي تراقبك وبأي عقوبات، في بلدك، هو توضيح يجنّبك مفاجآت غير سارّة.

عمليًا، من أين أبدأ لأصبح ممتثلًا؟

المسار العملي يبدأ من أربع خطوات: 1) حصر المنتجات والخدمات المتصلة التي تستخدمها أو تقدّمها والبيانات التي تولّدها؛ 2) تحديد دورك (مستخدم، مالك بيانات، مصنِّع، مزوّد حوسبة سحابية) والالتزامات أو الحقوق المترتبة على ذلك؛ 3) مراجعة العقود — البيع، الخدمة، الحوسبة السحابية — للبحث عن بنود لم تعد قابلة للاحتجاج بها أو تكاليف خروج يجب إعادة التفاوض عليها؛ 4) مواءمة تدابير حماية البيانات الشخصية والأسرار التجارية.

لا حاجة لقلب كل شيء رأسًا على عقب: المطلوب هو فهم أين أنت معرّض للخطر، وأين، على العكس، تمنحك اللائحة رافعة لصالحك.

GiBSeS — هذا الحصر المكوَّن من أربع خطوات هو بالضبط التشخيص الأولي الذي نعمل به مع الشركات الصغيرة والمتوسطة.

هل يجب إعادة صياغة عقودي بين الشركات (B2B) الموقَّعة بالفعل؟

ليس بالضرورة كلها، لكن يجب إعادة قراءتها. الحمايات الجديدة المتعلقة بالبنود التعسفية والوصول إلى البيانات تؤثر أيضًا على العلاقات القائمة، وقد تصبح بعض البنود غير ملزِمة. وبالنسبة للعقود ذات المدة غير المحدَّدة أو طويلة الأجل القائمة بالفعل، تنص اللائحة على فترات انتقالية، لكن التوجّه واضح: يجب أن تتكيّف الشروط المتعلقة بالبيانات.

هذا هو الوقت المناسب لمراجعة مركَّزة للعقود التي تتناول البيانات والحوسبة السحابية والخدمات المتصلة، دون انتظار نزاع قانوني.

GiBSeS — مراجعة تعاقدية مركَّزة على النقاط التي يتناولها قانون البيانات الأوروبي هي تدخّل سريع بعائد ملموس.

ما الفرق بين قانون البيانات الأوروبي (Data Act) وقانون حوكمة البيانات (Data Governance Act) و GDPR؟

هي ثلاث أدوات متكاملة ضمن الاستراتيجية الأوروبية للبيانات. يحمي GDPR البيانات الشخصية. أما قانون حوكمة البيانات (Data Governance Act، اللائحة الأوروبية 2022/868) فيضع القواعد والهياكل اللازمة للمشاركة الطوعية والموثوقة للبيانات (الوسطاء، إيثار البيانات، إعادة استخدام البيانات العامة). في حين يحدّد قانون البيانات الأوروبي (Data Act) من له الحق في الوصول إلى البيانات التي تولّدها المنتجات المتصلة واستخدامها، وينظّم تغيير مزوّد الحوسبة السحابية والبنود التعاقدية.

باختصار: GDPR يوضّح كيفية حماية البيانات الشخصية، وقانون حوكمة البيانات يوضّح كيفية مشاركتها بثقة، وقانون البيانات الأوروبي يحدّد من يمكنه الحصول عليها واستخدامها.

GiBSeS — التوجّه بين لوائح متداخلة، دون خلط أو ازدواجية في العمل، هو جزء من القيمة التي يقدّمها مستشار مستقل.

لماذا يُعدّ قانون البيانات الأوروبي مهمًا استراتيجيًا، لا مجرد التزام قانوني؟

لأنه ينقل السلطة على البيانات إلى من يولّدها. فأبعد من الالتزام القانوني، يعني ذلك بالنسبة لشركة صغيرة أو متوسطة إمكانية استعادة السيطرة على بيانات منشآتها الخاصة، واختيار المزوّدين والشركاء التقنيين بحرية، وكسر الارتهان لمزوّد الحوسبة السحابية، وخفض تكاليف الخروج. إنه الأساس العملي لسيادة البيانات: تقليل الاعتماد على مزوّد واحد والحفاظ على السيطرة على معلوماتك الخاصة.

من هذا المنظور، يصبح الامتثال فرصة لإعادة تصميم خياراتك التقنية بشكل أفضل، لا مجرد إجراء شكلي.

GiBSeS — تحويل قانون البيانات الأوروبي من التزام إلى رافعة لمكافحة الارتهان لمزوّد واحد وتحقيق الاستقلالية التقنية هو بالضبط الأسلوب الذي نتعامل به معه إلى جانبك.

هل ينطبق قانون البيانات الأوروبي على شركتي حتى لو لم يكن لديّ مقر أو منشأة في الاتحاد الأوروبي؟

نعم. يعتمد قانون البيانات الأوروبي (اللائحة 2024/2854) على معيار السوق، لا معيار مكان التأسيس: فهو ينطبق على كل من يطرح في سوق الاتحاد الأوروبي منتجات متصلة أو يقدّم خدمات مرتبطة بها وخدمات معالجة بيانات لمستخدمين وعملاء داخل الاتحاد، بغض النظر عن مكان مقره القانوني. كون شركتك مقرّها الولايات المتحدة أو المملكة المتحدة أو سويسرا أو آسيا لا يعفيها من الالتزامات.

عمليًا، إذا وصلت آلتكم أو جهاز إنترنت الأشياء الخاص بكم أو خدمتكم السحابية إلى مستخدم أوروبي، فأنتم داخل نطاق اللائحة ويجب عليكم الامتثال كما لو كنتم شركة أوروبية.

GiBSeS — تساعد GiBSeS الشركات الصغيرة والمتوسطة خارج الاتحاد الأوروبي على فهم ما إذا كان قانون البيانات الأوروبي يخصّها وكيف، منذ البداية، قبل أن يتحول إلى عائق أمام دخولها إلى السوق الأوروبية.

ماذا يندرج بالتحديد ضمن "المنتجات المتصلة" و"الخدمات المرتبطة" إذا كنت أصدّر إلى أوروبا؟

يُقصد بالمنتج المتصل أي سلعة تحصل على بيانات أو تولّدها أو تجمعها حول استخدامها أو بيئتها، وتكون قادرة على نقلها عبر خدمة اتصال إلكتروني أو اتصال مادي أو إمكانية الوصول إلى الجهاز: الآلات الصناعية، المركبات، الأجهزة الطبية، الأجهزة المنزلية الذكية، المستشعرات، المعدّات الزراعية، وبشكل عام أجهزة إنترنت الأشياء. أما الخدمات المرتبطة فهي الخدمات الرقمية (التطبيقات، المنصات، وظائف الحوسبة السحابية) التي بدونها لا يمكن للمنتج أداء وظيفة أو أكثر، أو التي يربطها المزوّد بالمنتج.

إذا كنتم تبيعون أجهزة "تتحدث" مع خدمتكم السحابية أو تطبيقكم، فمن شبه المؤكد أنكم تندرجون ضمن الفئتين معًا.

GiBSeS — تقوم GiBSeS برسم خريطة لمنتجكم ومنظومته الرقمية لتحديد بدقة الالتزامات الخاصة بقانون البيانات الأوروبي التي تصبح سارية في السوق الأوروبية.

منذ متى يجب أن أكون ممتثلًا لقانون البيانات الأوروبي لأستمر في البيع في أوروبا؟

قانون البيانات الأوروبي ساري المفعول منذ 11 يناير 2024، لكنه يُطبَّق بشكل عام اعتبارًا من 12 سبتمبر 2025. بعض الأحكام لها مواعيد خاصة بها: التزامات تصميم المنتجات بحيث تكون البيانات متاحة "بالتصميم" (by design) تسري على المنتجات المتصلة التي تُطرح في السوق بعد 12 سبتمبر 2026، بينما تدخل قواعد إلغاء تكاليف تغيير مزوّد الحوسبة السحابية حيّز التنفيذ الكامل اعتبارًا من 12 يناير 2027.

إذا كنتم تخططون لإطلاق منتجات جديدة أو تحديثات لها موجَّهة للسوق الأوروبية، فيجب أخذ هذه التواريخ بعين الاعتبار منذ مرحلة التصميم، لا في اللحظات الأخيرة قبل البيع.

GiBSeS — تبني GiBSeS معكم خارطة طريق متوافقة مع هذه المواعيد، بحيث لا يتأخر دخولكم إلى السوق الأوروبية بسبب تعديلات في اللحظة الأخيرة.

عمليًا، ما الذي يجب أن أتيحه للمستخدمين الأوروبيين لمنتجاتي؟

يحقّ للمستخدم الأوروبي (سواء كان شركة أو مستهلكًا) الوصول إلى البيانات التي يولّدها باستخدام منتجكم المتصل أو الخدمة المرتبطة به، ومشاركتها مع أطراف ثالثة يختارها بنفسه، مثل مزوّد صيانة أو خدمات آخر. وبصفتكم مالك البيانات (data holder)، يجب عليكم إتاحة هذه البيانات بطريقة سهلة وآمنة ومجانية للمستخدم، وبشكل مستمر وفي الوقت الفعلي حيثما أمكن ذلك تقنيًا.

لم يعد بإمكانكم التعامل مع بيانات استخدام المنتج كأصل حصري خاص بكم: فالتحكم ينتقل جزئيًا إلى العميل الأوروبي.

GiBSeS — تساعدكم GiBSeS على إعادة تصميم تدفقات وعقود البيانات بما يتوافق مع اللائحة، دون التنازل عن أكثر مما تتطلبه فعليًا.

هل يجب عليّ إعادة تصميم منتجاتي لبيعها في الاتحاد الأوروبي؟

في كثير من الحالات، نعم، ولو جزئيًا على الأقل. يُدخل قانون البيانات الأوروبي مبدأ "الوصول إلى البيانات بالتصميم وبشكل افتراضي" (by design and by default): يجب تصميم المنتجات المتصلة والخدمات المرتبطة بها وتصنيعها بحيث يتمكن المستخدم من الوصول بسهولة وأمان، وبشكل مباشر حيثما أمكن، إلى البيانات المولَّدة. قد يتطلب ذلك تعديلات على البرمجيات الثابتة (firmware)، والواجهات، وواجهات برمجة التطبيقات (API)، والوثائق التقنية.

يسري التزام التصميم على المنتجات التي تُطرح في السوق الأوروبية بعد 12 سبتمبر 2026، وبالتالي فإن من يصمم اليوم إصدارات جديدة لديه هامش زمني للتكيّف.

GiBSeS — ترافق GiBSeS فرقكم التقنية لدمج إمكانية الوصول إلى البيانات في المنتج منذ مرحلة التصميم، تجنّبًا لتعديلات لاحقة مكلفة.

هل أحتاج إلى ممثل أو جهة اتصال في أوروبا فيما يخص قانون البيانات الأوروبي؟

لا ينص قانون البيانات الأوروبي على التزام عام بتعيين ممثل في الاتحاد الأوروبي مماثل لما تنص عليه المادة 27 من GDPR بالنسبة لجميع الجهات. مع ذلك، يجب أن تكونوا قابلين للوصول إليكم وقادرين على إدارة الامتثال في السوق الأوروبية: معلومات واضحة للمستخدم، قنوات للرد على طلبات الوصول إلى البيانات، والقدرة على التواصل مع السلطات المختصة.

وتتوقف الحاجة إلى شخصية أو كيان مرجعي في الاتحاد الأوروبي على نموذج عملكم (البيع المباشر، عبر مستورد، عبر موزّع)، ويجب تقييمها حالة بحالة، خاصة بالاقتران مع لوائح أوروبية أخرى تشترط بالفعل وجود ممثل.

GiBSeS — تساعدكم GiBSeS، كمستشار مستقل، على تنظيم حضور امتثال متناسب في أوروبا، دون الارتباط بمزوّد أو وسيط واحد.

من المسؤول عن الامتثال: أنا المصنِّع الأجنبي، أم المستورد، أم الموزّع الأوروبي؟

يوكل قانون البيانات الأوروبي الالتزامات الرئيسية إلى "مالك البيانات" (data holder)، أي الجهة التي لها الحق أو الالتزام بإتاحة البيانات: وعادة ما يكون المصنِّع أو مزوّد الخدمة المرتبطة الذي يتحكم في بيانات المنتج، حتى لو كان أجنبيًا. للمستوردين والموزّعين الأوروبيين دور، لكنهم لا يُعفونكم تلقائيًا من مسؤولياتكم المتعلقة بتصميم المنتج وإتاحة البيانات.

يجب تحديد المسؤوليات بوضوح في العقود على امتداد سلسلة التوريد: فأي اتفاق غير واضح قد يُبقي الالتزام (والمخاطرة) على عاتقكم أنتم كمصنِّعين.

GiBSeS — تحلّل GiBSeS سلسلة التوزيع الخاصة بكم في الاتحاد الأوروبي وتساعد على توزيع الأدوار والمسؤوليات في العقود بحيث لا يبقى أي التزام دون تغطية.

أنا مزوّد حوسبة سحابية من خارج الاتحاد الأوروبي ولديّ عملاء أوروبيون: ما هي التزاماتي المتعلقة بتغيير المزوّد والتشغيل البيني؟

إذا كنتم تقدّمون خدمات معالجة بيانات (حوسبة سحابية، حوسبة طرفية وما شابه) لعملاء داخل الاتحاد الأوروبي، فإن قانون البيانات الأوروبي يُلزمكم بتسهيل تغيير المزوّد (switching): إزالة العوائق التعاقدية والتجارية والتقنية، وتحديد مواعيد واضحة للانتقال، وضمان قابلية نقل البيانات والأصول الرقمية، واستيفاء متطلبات التشغيل البيني. ويجب خفض تكاليف تغيير المزوّد تدريجيًا، وابتداءً من 12 يناير 2027 لن يعود بالإمكان فرضها (باستثناء حالات انتقالية استثنائية مبنية على التكاليف الفعلية).

ينطبق هذا حتى لو كانت بنيتكم التحتية خارج الاتحاد الأوروبي، طالما أن العميل أوروبي.

GiBSeS — تدعم GiBSeS مزوّدي الخدمات من خارج الاتحاد الأوروبي في تكييف العقود، ورسوم إخراج البيانات (egress)، وبُنى قابلية النقل، للبقاء تنافسيين وممتثلين في سوق الحوسبة السحابية الأوروبية.

هل يحدّ قانون البيانات الأوروبي من نقل البيانات غير الشخصية لعملائي الأوروبيين إلى خارج الاتحاد الأوروبي؟

نعم، جزئيًا. يفرض الفصل السابع من قانون البيانات الأوروبي بشكل خاص على مزوّدي خدمات معالجة البيانات اتخاذ تدابير لمنع الوصول إلى البيانات غير الشخصية المحفوظة داخل الاتحاد الأوروبي ونقلها دوليًا، عندما يتعارض ذلك مع قانون الاتحاد أو قوانين الدول الأعضاء. وإذا طلبت حكومة أو سلطة في دولة ثالثة الحصول على هذه البيانات، يجب على المزوّد الالتزام بضمانات دقيقة قبل الاستجابة للطلب.

بالنسبة لشركة مقرّها، على سبيل المثال، الولايات المتحدة أو آسيا، يعني هذا أن طلبات الوصول "المحلية" قد تدخل في تعارض مع الالتزامات الأوروبية: هذا موضوع يجب إدارته، لا تجاهله.

GiBSeS — تساعد GiBSeS على وضع حوكمة وتدابير تقنية تصمد أمام الازدواجية بين بلدكم الأصلي والقواعد الأوروبية للبيانات.

ما العلاقة بين قانون البيانات الأوروبي و GDPR عندما تتضمن بيانات المنتج بيانات شخصية؟

يعمل قانون البيانات الأوروبي إلى جانب GDPR، دون أن يحل محله. عندما تتضمن البيانات التي يولّدها المنتج المتصل بيانات شخصية، يستمر تطبيق GDPR بشكل كامل: وفي حال التعارض، تكون الأولوية لتشريع حماية البيانات الشخصية، ويلزم وجود أساس قانوني صحيح لكل عملية معالجة أو مشاركة. يضيف قانون البيانات الأوروبي حقوقًا في الوصول والمشاركة، لكنه لا يُنشئ بحد ذاته أساسًا قانونيًا جديدًا لمعالجة البيانات الشخصية.

بالنسبة لمن يبيع في الاتحاد الأوروبي، يعني هذا ضرورة إدارة مستويين في آن واحد: الوصول/قابلية النقل (قانون البيانات الأوروبي) ومشروعية المعالجة (GDPR).

GiBSeS — تنسّق GiBSeS الامتثال لقانون البيانات الأوروبي و GDPR ضمن منظومة واحدة، بحيث لا يتعارض القانونان في منتجاتكم وعقودكم.

ما الذي أخاطر به فعليًا في حال عدم الامتثال: غرامات، أم توقيف البضائع في الجمارك؟

تُحدَّد العقوبات على مخالفة قانون البيانات الأوروبي من قِبل كل دولة عضو على حدة، ويجب أن تكون فعّالة ومتناسبة ورادعة؛ وعندما يتعلق الأمر بمخالفة تخص البيانات الشخصية، يمكن أن تُضاف عقوبات GDPR (حتى 20 مليون يورو أو 4% من إجمالي الإيرادات العالمية السنوية). وبالإضافة إلى الغرامات، يمكن أن يترجم عدم الامتثال إلى نزاعات تعاقدية مع عملاء وشركاء أوروبيين وصعوبات تجارية في الوصول إلى السوق.

الخطر الرئيسي بالنسبة لشركة من خارج الاتحاد الأوروبي ليس "توقيفًا جمركيًا" تلقائيًا بقدر ما هو خسارة عملاء ومناقصات وشراكات أوروبية لأن المنتج لا يستوفي المتطلبات التي أصبحت السوق تتوقعها.

GiBSeS — تترجم GiBSeS هذه المخاطر إلى أولويات ملموسة، وتساعدكم على حماية وصولكم إلى السوق الأوروبية قبل أن يتحول إلى مشكلة تجارية أو قانونية.

من أين أبدأ، عمليًا، لأكون ممتثلًا لقانون البيانات الأوروبي وأدخل السوق الأوروبية؟

يبدأ مسار معقول من ثلاث خطوات: (1) حصر منتجاتكم وخدماتكم لفهم أيها "متصل" أو "مرتبط" وما هي البيانات التي تولّدها؛ (2) تحديد دوركم (مالك بيانات، مزوّد خدمات حوسبة سحابية، إلخ) والمواعيد ذات الصلة؛ (3) التحقق من تصميم المنتج، والعقود مع المستخدمين والشركاء الأوروبيين، والتدابير المتعلقة بالنقل الدولي للبيانات.

من هنا تُحدَّد خطة تكيّف مرتَّبة حسب الأولوية، مع تركيز الجهود حيث يكون خطر السوق والعقوبات أعلى، دون إثقال المنظمة بإجراءات غير ضرورية.

GiBSeS — توجّه GiBSeS، بصفتها مستشارًا تقنيًا مستقلًا، الشركات الصغيرة والمتوسطة من خارج الاتحاد الأوروبي خطوة بخطوة في هذا المسار، بحيث يبقى الوصول إلى السوق الأوروبية سريعًا ودون ارتباط بمزوّد واحد.

هذا المحتوى ذو طابع إعلامي ولا يشكل استشارة قانونية.

لنُقيّم وضع بياناتك معًا

لا حاجة لاستشارة قانونية لا نهاية لها: يكفي تحديد دورك بالنسبة لقانون البيانات الأوروبي، وقراءة مركَّزة لعقودك، لفهم أين أنت معرَّض للخطر وأين، على العكس، تمنحك اللائحة رافعة ضد الارتهان لمزوّد واحد. بصفتنا مستشارًا مستقلًا، نخبرك بما يهم فعلًا شركتك الصغيرة أو المتوسطة.

احجز تشخيصًا أوليًا