ظلّت اللائحة العامة لحماية البيانات قابلة للتطبيق مباشرةً عبر المنطقة الاقتصادية الأوروبية منذ 25 May 2018. أما قانون حماية البيانات الشخصية الرقمية لعام 2023 في الهند فقد نال المصادقة الرئاسية في أغسطس 2023 لكنه ظلّ خامدًا بانتظار القواعد الفرعية. وتلك القواعد، أي قواعد حماية البيانات الشخصية الرقمية لعام 2025، جرى الإخطار بها في 13 November 2025، فأطلقت بدء سريان متدرّجًا: أحكام مجلس حماية البيانات نفذت فورًا، وتلتها واجبات تسجيل مديري الموافقة عند علامة السنة الواحدة، وتصبح الالتزامات الجوهرية وحقوق صاحب البيانات قابلة للإنفاذ من 13 May 2027 (وزارة الإلكترونيات وتقنية المعلومات 2025؛ Shardul Amarchand Mangaldas 2025). وعليه فإن ما يلي يقابل بين نظام ناضج ومنفَّذ بالكامل ونظام فتيّ مكتمل قانونيًا لكنه ما زال عمليًا داخل مدرج امتثاله. وضعية القانون مذكورة كما هي بتاريخ 6 يونيو 2026، وهو ما يترك نحو أحد عشر شهرًا قبل أن تصير الواجبات الجوهرية وحقوق صاحب البيانات في قانون DPDP قابلة للإنفاذ في 13 May 2027. وبالنسبة لبرنامج يجب عليه أن يعيد تأسيس المعالجة المشروعة على الموافقة، ويدمج مدير موافقة، ويقيم نظامًا لمن هم دون الثامنة عشرة، فإن أحد عشر شهرًا أفق تخطيطي واحد، لا هامش مريح.
الأصل المشترك، وأوجه التباعد الثلاثة المهمة
يتقاسم القانونان أصلًا مشتركًا. فقد اقتبس واضعو القانون الهندي مفردات المساءلة وتحديد الغرض وتقليل البيانات والموافقة من لائحة GDPR، والتشابه وثيق إلى حدّ يجعل مؤسسة متعددة الجنسيات لديها برنامج فاعل للائحة GDPR تملك أصلًا نحو سبعين في المئة مما يطالب به قانون DPDP. أما الثلاثون في المئة الباقية فهي حيث يقع المال والمخاطر، لأن أوجه التباعد بنيوية لا تجميلية.
ثلاثة فروق تهيمن على كل ما عداها. أولًا، المعالجة المشروعة: تقدّم لائحة GDPR ستة أسس مشروعة منها اختبار الموازنة المرن للمصلحة المشروعة، بينما لا يعترف قانون DPDP إلا بالموافقة وبقائمة مغلقة من الاستخدامات المشروعة المعدّدة، دون أن يترك حلًا احتياطيًا عام الغرض حين تكون الموافقة غير عملية. ثانيًا، فهرس الحقوق: تمنح لائحة GDPR ثمانية حقوق لصاحب البيانات منها قابلية النقل والاعتراض والحماية من القرارات المؤتمتة بالكامل، في حين يمنح قانون DPDP مجموعة أضيق ويضيف حق ترشيح ذا طابع خاص. ثالثًا، اقتصاديات الإنفاذ: تحدّ لائحة GDPR الغرامات عند الأكبر من عشرين مليون يورو أو أربعة في المئة من الإيراد السنوي العالمي وتمنح الأفراد حقًا خاصًا في التعويض، بينما يفرض قانون DPDP عقوبات مالية ثابتة تصل إلى مئتين وخمسين كرور روبية دون ربط بالإيراد، ودون مسؤولية جنائية، ودون حق تقاضٍ خاص.
أما بالنسبة للمؤسسة الخاضعة للنظامين فالدرس العملي هو أن الامتثال للائحة GDPR ضروري لكنه غير كافٍ. لا بدّ من توسيع برنامج بمستوى GDPR، لا مجرد نسخه، كي يستوعب البنية القائمة على الموافقة أولًا في قانون DPDP، ونظام الأطفال دون الثامنة عشرة فيه، ونهجه القائم على القائمة السلبية في التحويلات العابرة للحدود، وقاعدة الإخطار بالخرق فيه التي لا تحتمل أي عتبة مخاطر.
رقمان يؤطّران المخاطر. تحكم لائحة GDPR البيانات الشخصية لنحو أربعمئة وخمسين مليون شخص عبر المنطقة الاقتصادية الأوروبية؛ ويحكم قانون DPDP بيانات ما يقارب مليارًا ونصف مليار من أصحاب البيانات في الهند، أي نحو ثلاثة أمثال. ولذلك فمع أن سقف العقوبة لكل واقعة في قانون DPDP أدنى وثابت، فإن العبء التشغيلي الذي يفرضه، أي التقاط الموافقة وسحبها، ومعالجة الحقوق، والإخطار بالخرق دون عتبة، يجري على نطاق سكاني أكبر بكثير. والقدرة المريحة لقاعدة مستخدمين أوروبية قد تغمرها قاعدة هندية، وتلك القدرة يجب بناؤها قبل أن ينفد الوقت: فمع صيرورة الواجبات الجوهرية قابلة للإنفاذ من 13 May 2027، أي على بُعد نحو أحد عشر شهرًا من تاريخ الكتابة، تكون نافذة هندسة خطوط الموافقة والحقوق والخرق لأكثر من مليار صاحب بيانات نافذة ضيقة.
الأدوات والوضعية والبنية التنظيمية
لائحة GDPR لائحة، بمعنى أنها تنطبق مباشرةً في كل دولة عضو دون نقل وطني، وإن احتفظت الدول الأعضاء بمجال محدود للتشريع في نقاط بعينها كسنّ الموافقة الرقمية وبيانات التوظيف. وتُنفَّذ عبر شبكة من السلطات الإشرافية الوطنية المستقلة المنسَّقة من خلال المجلس الأوروبي لحماية البيانات، مع آلية الاتساق ونظام النافذة الواحدة لحلّ القضايا العابرة للحدود. ومن ثمّ يستقرّ وضع القواعد والإرشاد والإنفاذ لدى منظّمين مستقلين، وفي نهاية المطاف لدى المحاكم ومحكمة العدل للاتحاد الأوروبي (تلخّص صفحة إطار GDPR لدينا التزاماته ومن يُلزِمهم والمصدر الرسمي بإيجاز).
أما بنية قانون DPDP فأكثر مركزية وأكثر قيادة من السلطة التنفيذية. فقانون DPDP تشريع أساسي؛ والتفصيل التشغيلي يقيم في قواعد DPDP التي تضعها الحكومة المركزية وتستطيع تعديلها (تبيّن صفحة إطار DPDP لدينا الالتزامات الرئيسية للقانون ومن يُلزِمهم والمصدر الرسمي بإيجاز). ومجلس حماية البيانات في الهند هو الجهة الفاصلة، لكنه أضيق من سلطة إشرافية أوروبية: فهو يحقّق في الخروق ويفرض العقوبات لكنه لا يصدر مدوّنات أو إرشادات مُلزِمة، وتستقرّ سلطة وضع القواعد الجوهرية لدى الحكومة المركزية لا لدى المجلس. وتُرفع الطعون من المجلس إلى محكمة تسوية منازعات الاتصالات والاستئناف. والنتيجة التصميمية أنه في الهند تحتفظ السلطة التنفيذية السياسية بروافع (إعفاءات وقيود تحويل وتعديلات للقواعد) تستقرّ في أوروبا لدى سلطات أو محاكم مستقلة.
النطاق والمدى
تحكم لائحة GDPR البيانات الشخصية المعالَجة كليًا أو جزئيًا بوسائل مؤتمتة، والمعالجة غير المؤتمتة حين تشكّل البيانات أو يُقصد أن تشكّل جزءًا من نظام حفظ. وتفرز فئة خاصة من البيانات الحساسة بموجب المادة 9: الأصل العرقي أو الإثني، والآراء السياسية، والمعتقدات الدينية، والعضوية النقابية، والبيانات الجينية والحيوية، والصحة، والحياة الجنسية أو التوجه الجنسي، وكل منها خاضع لشروط مشدّدة. أما قانون DPDP فأضيق من جهة وأكثر تسطّحًا من جهة أخرى. فهو يحكم البيانات الشخصية الرقمية فحسب، أي البيانات في صورة مرقمنة أو البيانات المجموعة على ورق ثم مرقمنة، ولا ينظّم السجلات غير الرقمية الصرفة. والأهم أنه لا يرسم تمييزًا قانونيًا بين البيانات الشخصية العادية والحساسة. لا توجد طبقة فئة خاصة؛ فالسجلات الصحية وتواريخ التسوّق تقع تحت القواعد الأساسية نفسها، ولا تأتي الحماية الإضافية إلا بشكل غير مباشر عبر آلية المؤتمَن المهمّ على البيانات وأحكام الأطفال. وبالنسبة لمؤسسة خاضعة للنظامين فإن هذا التباين يقطع في الاتجاهين: لا يفرض القانون الهندي شروط المادة 9، لكن المتحكّم الناضج سيبقي عادةً ضوابطه الخاصة بالبيانات الحساسة بموجب GDPR قائمة عالميًا بدلًا من إدارة نظامي تصنيف للبيانات.
ويمتد كلا القانونين إلى ما وراء إقليمه الأم. فلائحة GDPR، بموجب المادة 3، تنطبق على المعالجة في سياق منشأة في الاتحاد الأوروبي بصرف النظر عن مكان وقوع المعالجة، وعلى المتحكّمين خارج الاتحاد الذين يعرضون سلعًا أو خدمات على أفراد في الاتحاد أو يرصدون سلوكهم. وقانون DPDP، بموجب section 7، ينطبق على معالجة البيانات الشخصية الرقمية داخل الهند، وعلى المعالجة خارج الهند حين تكون متعلّقة بعرض سلع أو خدمات على أصحاب بيانات في الهند. ويغفل قانون DPDP الشقّ الخاص برصد السلوك في لائحة GDPR، فيظلّ التنميط المحض لمقيمين هنود دون عرض سلع أو خدمات في منطقة أكثر رماديةً من نظيره الأوروبي.
| البُعد | GDPR | DPDP |
|---|---|---|
| صورة البيانات المشمولة | المؤتمتة، إضافة إلى أنظمة الحفظ اليدوية المهيكلة | الرقمية فقط (مولودة رقميًا أو مرقمنة لاحقًا) |
| طبقة البيانات الحساسة | نعم (الفئات الخاصة بالمادة 9) | لا توجد طبقة قانونية |
| مُطلِق التطبيق خارج الإقليم | المنشأة؛ العرض؛ رصد السلوك | عرض السلع أو الخدمات على أصحاب بيانات في الهند |
| المعالجة المستبعدة | الشخصية أو المنزلية الصرفة؛ إنفاذ القانون بموجب توجيه منفصل | الشخصية أو المنزلية؛ بيانات منشورة معيّنة؛ إعفاءات حكومية واسعة |
الفاعلون والمفردات
تتطابق بنية الأدوار بما يكفي لجعل الترجمة في معظمها واحدًا لواحد، وهو ما يفيد عند صياغة سياسات ثنائية اللغة. فالمتحكّم في لائحة GDPR يصير المؤتمَن على البيانات في قانون DPDP، وهو تأطير قائم على الثقة لكن التزاماته العملية تشبه مع ذلك التزامات المتحكّم. والمعالِج في لائحة GDPR يصير معالِج البيانات، وإن كان قانون DPDP يوجّه معظم واجبات المعالِج عبر عقد المؤتمَن بدلًا من فرض كثير من الواجبات القانونية المباشرة. وصاحب البيانات يصير صاحب البيانات، وبالنسبة للطفل يكون صاحب البيانات هو الطفل بينما يمارس الموافقة أحد الوالدين أو الوصي الشرعي. وتجد السلطة الإشرافية نظيرها في مجلس حماية البيانات في الهند، الذي يفصل ويعاقب لكنه لا يصدر إرشادات مُلزِمة ومن ثمّ ليس منظّمًا كامل الطيف. ولدورين في قانون DPDP لا نظير لهما في لائحة GDPR: المؤتمَن المهمّ على البيانات، وهو فئة تعيّنها الحكومة وتحمل واجبات مشدّدة، ومدير الموافقة، وهو وسيط مسجَّل خاص بالهند يمنح أصحاب البيانات من خلاله الموافقة ويراجعونها ويسحبونها.
المعالجة المشروعة: وجه التباعد المركزي
هنا يفترق النظامان أبعد افتراق وأكثره أثرًا. فلائحة GDPR، بموجب Article 6، توفّر ستة أسس مشروعة: الموافقة، وتنفيذ عقد، والامتثال لالتزام قانوني، وحماية المصالح الحيوية، وأداء مهمة في المصلحة العامة، والمصلحة المشروعة للمتحكّم أو طرف ثالث رهنًا باختبار موازنة في مواجهة حقوق صاحب البيانات. وأساس المصلحة المشروعة مفتوح النسيج عمدًا؛ فهو حصان العمل الذي يتيح للمؤسسات معالجة البيانات لمنع الاحتيال وأمن الشبكة والتسويق المباشر والإدارة داخل المجموعة دون طلب الموافقة عن كل عملية.
ولا يعترف قانون DPDP إلا بطريقين إلى المشروعية: الموافقة بموجب section 7 وقائمة مغلقة من بعض الاستخدامات المشروعة بموجب section 7. وقائمة الاستخدامات المشروعة معدّدة ومنتهية: تقديم البيانات طوعًا من صاحب البيانات لغرض محدد، ووظائف الدولة وتقديم الإعانات أو الخدمات، والامتثال للقانون أو لأوامر المحكمة، وحالات الطوارئ الطبية، والأغراض المتعلّقة بالتوظيف، وأوضاع الكوارث أو النظام العام، ضمن قلة أخرى. ولا يوجد اختبار موازنة متبقٍّ. وإذا كان نشاط معالجة لا ينطبق على بند في القائمة، فالطريق المشروع الوحيد هو الموافقة. وهذا هو أهمّ فرق تشغيلي مفرد لمؤسسة متعددة الجنسيات، لأن تدفقات البيانات التي تتعامل معها أوروبا بأريحية تحت بند المصلحة المشروعة، مثل التحليلات الواسعة أو إثراء التسويق أو التقارير الجماعية العابرة للحدود، قد تتطلّب بنية موافقة صريحة في الهند.
ومعيار الموافقة نفسه متشابه على الورق. فكلاهما يشترط أن تكون الموافقة حرة ومحددة ومستنيرة ولا لبس فيها ومُشار إليها بفعل إيجابي واضح، وكلاهما يشترط أن يكون السحب يسيرًا كالمنح. ويضيف قانون DPDP فوق ذلك سمتين خاصتين بالهند. أولًا، الإشعار المرافق لطلب الموافقة يجب أن يكون مبنّدًا، وعند الطلب متاحًا بالإنجليزية أو بأي من اللغات الواردة في الجدول الثامن للدستور. ثانيًا، يجوز توسيط الموافقة عبر مدير موافقة، وهو منصة مسجَّلة تمنح أصحاب البيانات لوحة معلومات واحدة لمنح الأذونات وإلغائها عبر المؤتمَنين، وهو بناء مؤسسي لا نظير له في لائحة GDPR.
الامتثال للائحة GDPR ضروري لكنه غير كافٍ. لا بدّ من توسيع برنامج بمستوى GDPR، لا مجرد نسخه، كي يستوعب البنية القائمة على الموافقة أولًا في قانون DPDP.
الحقوق والالتزامات والأطفال
تمنح لائحة GDPR طيفًا واسعًا من الحقوق: الوصول، والتصحيح، والمحو، وتقييد المعالجة، وقابلية نقل البيانات، والاعتراض بما في ذلك على التسويق المباشر، والحق في عدم الخضوع لقرار مؤتمت بالكامل يحدث أثرًا قانونيًا أو أثرًا مماثلًا في الأهمية بموجب المادة 22. ويمنح قانون DPDP مجموعة أضيق: الوصول إلى ملخّص للبيانات الشخصية والمعالجة، والتصحيح والمحو، ومعالجة الشكاوى، وحق ترشيح مميّز يتيح لصاحب البيانات تعيين فرد آخر لممارسة حقوقه في حال الوفاة أو فقدان الأهلية. والفجوات مهمّة. فقانون DPDP لا يتضمّن حقًا مستقلًا في قابلية نقل البيانات، ولا حقًا عامًا في الاعتراض، ولا حقًا في التقييد، ولا حماية على نمط المادة 22 من اتخاذ القرارات المؤتمتة. وفي المقابل، حق الترشيح لا نظير له أوروبيًا.
| الحق | GDPR | DPDP |
|---|---|---|
| الوصول | نعم (Art 15) | نعم (ملخّص للبيانات والمعالجة) |
| التصحيح أو التقويم | نعم (Art 16) | نعم |
| المحو | نعم (Art 17) | نعم (عند السحب أو اكتمال الغرض) |
| تقييد المعالجة | نعم (Art 18) | لا |
| قابلية نقل البيانات | نعم (Art 20) | لا |
| الاعتراض | نعم (Art 21) | لا |
| ضمانات على القرارات المؤتمتة | نعم (Art 22) | لا |
| معالجة الشكاوى | عبر شكوى إلى السلطة الإشرافية | نعم (حق قانوني في مواجهة المؤتمَن) |
| الترشيح | لا | نعم |
كلا النظامين مبنيّ على المساءلة، لكنهما يوزّعان الواجبات الأثقل بشكل مختلف. فبموجب لائحة GDPR يحمل كل متحكّم خط أساس من توثيق المساءلة: سجلات أنشطة المعالجة بموجب المادة 30 مع استثناء للمؤسسات الصغيرة، وحماية البيانات بالتصميم وبشكل افتراضي بموجب المادة 25، وتقييم أثر حماية البيانات للمعالجة عالية المخاطر بموجب المادة 35، وعقود معالِج مُلزِمة بموجب المادة 28. ومسؤول حماية البيانات إلزامي بموجب المادة 37 حيث تنطوي الأنشطة الجوهرية على رصد منهجي واسع النطاق أو معالجة واسعة النطاق لبيانات الفئة الخاصة، وعلى المتحكّمين خارج الاتحاد تعيين ممثل في الاتحاد الأوروبي بموجب المادة 27. أما قانون DPDP فيطبّق خط أساس عامًا أخفّ ويركّز الواجبات الثقيلة على المؤتمَن المهمّ على البيانات. فعلى كل مؤتمَن أن ينفّذ ضمانات أمنية معقولة، وأن يحترم الإشعار والموافقة، وأن يمحو البيانات عند السحب أو متى تحقّق الغرض، وأن يكفل امتثال المعالِج عبر العقد. ولا يجب إلا على الكيانات التي تعيّنها الحكومة المركزية مؤتمَنين مهمّين على البيانات أن تعيّن إضافةً إلى ذلك مسؤول حماية بيانات مقيمًا في الهند، وأن تستعين بمدقّق بيانات مستقل، وأن تُجري تقييمات أثر وتدقيقات دورية. ومن ثمّ فالمُطلِق هو التعيين الحكومي لا اختبار المخاطر المُقيَّم ذاتيًا في لائحة GDPR.
ويفرد كلا النظامين الأطفال، وهنا قانون DPDP أكثر صرامة. فلائحة GDPR، بموجب المادة 8، تضع سنّ الموافقة الصحيحة لخدمات مجتمع المعلومات عند السادسة عشرة، مع السماح للدول الأعضاء بخفضها إلى ما لا يقلّ عن الثالثة عشرة. ويعامل قانون DPDP كل من هو دون الثامنة عشرة بوصفه طفلًا ويشترط موافقة قابلة للتحقّق من أحد الوالدين أو الوصي الشرعي قبل معالجة بيانات الطفل. ويذهب أبعد بحظره المعالجة التي يُرجَّح أن تسبّب آثارًا ضارة على رفاه الطفل، وبمنعه التتبّع السلوكي والرصد السلوكي والإعلان المستهدف الموجَّه إلى الأطفال منعًا باتًّا، رهنًا بإعفاءات محدودة قد تخطر بها الحكومة. وبالنسبة لخدمة رقمية عالمية فهذا قيد تصميمي ذو معنى: فطبقة تأكيد العمر وموافقة الوالدين المعايَرة لعتبة أوروبية من الثالثة عشرة إلى السادسة عشرة لن تستوفي قاعدة الهند الخاصة بمن هم دون الثامنة عشرة، ويجب أن تكون منظومات تقنية الإعلان قادرة على إيقاف الاستهداف السلوكي للقاصرين الهنود على نطاق سكاني.
التحويلات العابرة للحدود: أوضاع افتراضية متعاكسة كالمرآة
نموذجا التحويل شبه متعاكسين كالمرآة في وضعهما الافتراضي. فلائحة GDPR، في الفصل الخامس، تنطلق من الحظر: لا يجوز أن تغادر البيانات الشخصية المنطقة الاقتصادية الأوروبية إلا بموجب قرار كفاية، أو ضمانات ملائمة كالبنود التعاقدية القياسية أو القواعد المؤسسية المُلزِمة، أو مجموعة ضيقة من الاستثناءات. والعبء على المُصدِّر في إثبات آلية تحويل مشروعة، ويشترط فقه قضية Schrems II تقييمًا لأثر التحويل في بيئة المراقبة لدى الدولة الوجهة. وهذا نموذج قائمة بيضاء: حظر افتراضي، يُباح فقط حيث توجد آلية قائمة.
أما قانون DPDP فينطلق من الإباحة. فالتحويلات مسموحة إلى أي بلد بشكل افتراضي، ويجوز للحكومة المركزية إصدار قائمة سلبية تقيّد التحويلات إلى ولايات قضائية محددة. وهذا نموذج قائمة سوداء: إباحة افتراضية، تُحظَر فقط حيث تُسمّى الوجهة. ومن حيث المبدأ هو أكثر تساهلًا بكثير، لكن تحفّظين يخفّفان ذلك. أولًا، لم تُملأ بعد أي قائمة سلبية، فتظلّ الملامح العملية غامضة. ثانيًا، تظلّ قواعد توطين البيانات القطاعية، لا سيما من بنك الاحتياطي الهندي لبيانات المدفوعات، منطبقة فوق قانون DPDP وقد تكون أكثر صرامة من النظام العام. وبالنسبة لمؤسسة متعددة الجنسيات يكون التباين صارخًا: نقل بيانات الاتحاد الأوروبي إلى الهند يتطلّب آلية موثَّقة بموجب المادة 46، بينما نقل بيانات هندية إلى الاتحاد الأوروبي لا يتطلّب حاليًا أي شيء بموجب قانون DPDP نفسه، وإن كانت الحوكمة الحصيفة تبقي الضمانات التعاقدية قائمة على أي حال.
الإخطار بالخرق: مصفاة الأهمية المفقودة
يلتقي النظامان عند ساعة من اثنتين وسبعين ساعة لكنهما يتباعدان بحدّة في العتبة والجمهور. فلائحة GDPR تشترط الإخطار للسلطة الإشرافية دون تأخير لا مبرّر له، وحيثما أمكن خلال اثنتين وسبعين ساعة من العلم، لكن فقط حيث يُرجَّح أن يفضي الخرق إلى خطر على حقوق الأفراد وحرياتهم؛ ولا يُخطَر الأفراد المتأثرون إلا حيث يكون الخطر مرتفعًا. وعتبة الخطر تصفّي الحوادث التافهة خارجًا. أما قواعد DPDP فلا تفرض أي عتبة خطر على الإطلاق. فعند العلم بأي خرق للبيانات الشخصية يجب على المؤتمَن أن يبلّغ أصحاب البيانات المتأثرين دون تأخير وأن يزوّد مجلس حماية البيانات بإخطار أولي يتبعه تقرير مفصّل خلال اثنتين وسبعين ساعة يغطّي الخرق وظروفه والتخفيف وهوية أي طرف مسؤول (MediaNama 2025؛ وزارة الإلكترونيات وتقنية المعلومات 2025). وغياب مصفاة الأهمية يعني أن أحجام الإبلاغ عن الخروق في الهند ستجري أعلى من نظيراتها الأوروبية، وفي مواجهة سكان يقاربون مليارًا ونصف مليار صاحب بيانات يجب أن تتسع آلية الإخطار وفقًا لذلك. وسجلات الاستجابة للحوادث المضبوطة على بوابة الخطر في لائحة GDPR يجب إعادة صياغتها لإخطار كل خرق مستوفٍ إلى المجلس وإلى الأفراد المتأثرين معًا.
| الجانب | GDPR | DPDP |
|---|---|---|
| إخطار السلطة | خلال 72 ساعة، إن وُجد خطر على الحقوق | إخطار أولي، ثم تقرير مفصّل خلال 72 ساعة، دون عتبة |
| إخطار الأفراد | فقط إن كان الخطر مرتفعًا | دائمًا، دون تأخير |
| مصفاة الأهمية | نعم (قائمة على المخاطر) | لا توجد |
اقتصاديات الإنفاذ
تختلف اقتصاديات الإنفاذ في النوع لا في الدرجة فحسب. فالغرامات الإدارية في لائحة GDPR تصل إلى عشرة ملايين يورو أو اثنين في المئة من الإيراد السنوي العالمي للطبقة الأدنى، وإلى عشرين مليون يورو أو أربعة في المئة من الإيراد السنوي العالمي للطبقة الأعلى، أيهما أكبر. والربط بالإيراد يوسّع الردع تبعًا لحجم المنشأة. وتنشئ لائحة GDPR أيضًا حقًا خاصًا: فلأصحاب البيانات أن يطلبوا تعويضًا عن الضرر المادي وغير المادي بموجب المادة 82، وأن يقدّموا شكاوى ويلتمسوا سُبلًا قضائية. أما قانون DPDP فيفرض عقوبات مالية ثابتة غير مرتبطة بالإيراد، تُحدَّد بالرجوع إلى جداول ومحدودة بسقف لكل واقعة: حتى مئتين وخمسين كرور روبية للإخفاق في اتخاذ ضمانات أمنية معقولة، وحتى مئتي كرور روبية للإخفاقات في الإخطار بالخرق أو في التزامات بيانات الأطفال، وسقوف أدنى لإخفاقات أخرى. ولا توجد مسؤولية جنائية بموجب قانون DPDP، والأهم أنه لا يوجد حق تقاضٍ خاص ولا تعويض قانوني للأفراد؛ ويجري الإنفاذ عبر مجلس حماية البيانات، مع دفع العقوبات للدولة. ويستحدث قانون DPDP كذلك عقوبات على أصحاب البيانات لتقديمهم شكاوى كاذبة أو تافهة، وهو ما لا نظير له في لائحة GDPR. والأثر الصافي أنه، بالنسبة لمؤسسة بالغة الكبر، يمكن لسقف لائحة GDPR القائم على الإيراد أن يتقزّم أمامه سقف قانون DPDP الثابت، بينما يزيل قانون DPDP عن المؤسسة نفسها التعرّض للدعوى الجماعية والتقاضي الفردي الذي يظلّل الامتثال للائحة GDPR في أوروبا.
الإعفاءات
تُبقي لائحة GDPR الإعفاءات ضيقة ومضبوطة بالقاعدة. فالمادة 23 تتيح لقانون الدولة العضو تقييد الحقوق فقط حيث يكون ذلك ضروريًا ومتناسبًا لأهداف مصلحة عامة معدّدة، وهناك استثناءات محددة للصحافة، والتعبير الأكاديمي والفني والأدبي، وللبحث والأرشفة رهنًا بضمانات. أما قانون DPDP فيمنح إعفاءات أوسع وأكثر تحكّمًا من السلطة التنفيذية. فالمادة 17 تتيح للحكومة المركزية إعفاء أجهزة الدولة من معظم القانون لمصالح السيادة والأمن والنظام العام والعلاقات الودية، وتوفّر إعفاءات للمعالجة الضرورية للبحث أو الأرشفة أو الأغراض الإحصائية، ولشركات ناشئة معيّنة بالإخطار، ولإنفاذ الحقوق القانونية. وسعة الإعفاءات المتجهة إلى الدولة، وكون السلطة التنفيذية هي التي تمنحها وتحدّ منها بدلًا من سلطة أو محكمة مستقلة، من أكثر سمات النظام الهندي إثارةً للجدل وموضوعًا متكررًا في تعليقات المجتمع المدني (Internet Freedom Foundation 2025).
أي ضوابط يجب أن يضيفها برنامج خاضع للنظامين
بالنسبة لمؤسسة داخل النظامين، يكون نموذج التشغيل تقاربًا مع تباعد متعمَّد. فالبنية العملية هي تشغيل خط أساس عالمي واحد بمستوى GDPR وإضافة وحدات خاصة بالهند بدلًا من إدارة برنامجين مستقلين. والأصول القابلة لإعادة الاستخدام من لائحة GDPR كبيرة: فسجلات المعالجة، وضوابط الأمن والاستجابة للخرق، وأدوات حقوق صاحب البيانات للوصول والتصحيح والمحو، وقوالب التعاقد مع المعالِج، وانضباط الخصوصية بالتصميم، كلها تنتقل إلى قانون DPDP بتكييف طفيف. والإضافات الخاصة بالهند هي حيث يتركّز الجهد، وهي بالضبط الضوابط التي سيفتقدها برنامج مقتصر على GDPR في تاريخ إنفاذ 13 May 2027: تصميم أساس مشروع قائم على الموافقة أولًا لا يتّكئ على المصلحة المشروعة؛ والتكامل مع مدير موافقة أو الجاهزية له؛ ونظام أطفال دون الثامنة عشرة بموافقة والدين قابلة للتحقّق وكبح الإعلان السلوكي؛ وسير عمل للترشيح؛ وعملية خرق تخطر بكل حادث مستوفٍ دون بوابة خطر؛ ومراقبة للقائمة السلبية الحكومية العابرة للحدود وقواعد التوطين القطاعية. وفي المقابل، لا تستطيع المؤسسة أن تتقاعد عن أي آلية من آليات GDPR، لأن مجموعة الحقوق الأضيق ونموذج التحويل المتساهل في قانون DPDP لا يخفّفان الواجبات الأوروبية.
ما الذي تغيّره أدوات CCI
يخفق برنامج النظامين في أغلب الأحيان لا على السياسة بل على عدم المعرفة، من حيث الأدلة، بأين تقع البيانات الشخصية، وأي أساس مشروع يتّكئ عليه كل تدفق، وكم ستكلّف واقعة إنفاذ. وتهاجم أساسيات CCI تلك الفجوات بالذات، وكل ادّعاء أدناه هو خفض لاحتمال يدعمه منتج قائم لا ضمان قطعي.
ترسم NetDiagramer بنية البيانات الفعلية، والتدفقات بين الأنظمة، والولايات القضائية التي يعبرها كل تدفق. وبالنسبة لمشكلة التحويل هذا أمر تأسيسي: فلا تستطيع تطبيق القائمة البيضاء لآليات المادة 46 في لائحة GDPR ولا مراقبة القائمة السوداء في قانون DPDP إن لم تكن ترى أي التدفقات تغادر المنطقة الاقتصادية الأوروبية أو تحطّ في الهند. وتُظهِر الطوبولوجيا نفسها كل تدفق يتّكئ حاليًا على المصلحة المشروعة، وهو بالضبط المجتمع الذي يجب إعادة تأسيسه على الموافقة قبل أن يعضّ قانون DPDP.
تحوّل EviGen المساءلة من تمرين توثيق إلى أدلة مؤتمتة. فسجلات المعالجة بموجب المادة 30، وسجلات الموافقة، ومخرجات تقييم الأثر والتدقيق التي يجب أن ينتجها المؤتمَن المهمّ على البيانات، تُولَّد وتُبقى محدّثة من البنية الحية بدلًا من إعادة بنائها من جداول البيانات وقت التدقيق. خطّ أدلة واحد يخدم واجب السجلات الأوروبي وواجبات المساءلة والتدقيق الهندية معًا.
يمنح Evidence Vault عملية الخرق الجدول الزمني المقاوم للعبث الذي تحتاجه كي تصمد أمام قاعدة قانون DPDP الخالية من العتبة. فحين يجب أن يصل كل حادث مستوفٍ إلى المجلس خلال اثنتين وسبعين ساعة وأن يصل كل صاحب بيانات متأثر دون تأخير، لا يكون القيد هو الرغبة بل القدرة على تجميع سرد قابل للدفاع عما حدث، ومتى، ولمن، بسرعة. والخزنة نفسها تستوفي حفظ السجلات بموجب المادتين 33 و34 من لائحة GDPR.
يسعّر cVaR اقتصاديات الإنفاذ المتباعدة بالمال. فهو يقيس التعرّض تحت السقفين، أي الأربعة في المئة المرتبطة بالإيراد في لائحة GDPR والمئتين والخمسين كرور الثابتة لكل واقعة في قانون DPDP، فيرى المجلس سطح عقوبته في ظل النظامين رقمًا واحدًا بدلًا من تجريدين قانونيين، ويستطيع ترتيب المعالجة بحسب خفض الخسارة المتوقع.
يبقي Domain Separation بنيتي البيانات الأوروبية والهندية قابلتين للفصل منطقيًا، فتُفرَض متطلبات التوطين، وقائمة سلبية مستقبلية، ونظاما الأساس المشروع المختلفان لكل ولاية قضائية دون شطر البرنامج كله إلى اثنين. وهو الضابط الذي يجعل التقارب مع التباعد المتعمَّد قابلًا للتشغيل لا مجرد طموح.
إقامة المهمة المزدوجة في الوقت المناسب
تحطّ الواجبات الجوهرية لقانون DPDP في 13 May 2027. ومن تاريخ الكتابة فذلك نحو أحد عشر شهرًا، يُقرأ بعيدًا وليس كذلك: فإعادة الهيكلة القائمة على الموافقة أولًا، وتكامل مدير الموافقة، ونظام من هم دون الثامنة عشرة، برامج تمتدّ على أرباع سنوية متعددة، وتجري متسلسلة أكثر من توازيها لأن كلًا منها يعتمد على رؤية نظيفة لبنية البيانات لا يملكها معظم المؤسسات بعد. وبالعدّ تنازليًا من مايو 2027، يجب أن يبدأ عمل الاكتشاف ورسم خرائط البيانات هذا الربع كي تتّسع مراحل البناء والاختبار والتدقيق قبل الإنفاذ. وحيث تحتاج مؤسسة إلى قيادة خصوصية رفيعة تقود ذلك البناء دون إضافة وظائف دائمة، تقدّم خدمة مدير أمن المعلومات كخدمة من CCI مجموعة من ثمانية ممارسين أو أكثر معتمدين بشهادة CISSP للتغطية المؤقتة أو الجزئية أو عند الطلب أو بعد الحوادث، مع صون الاستقلال لأن CCI لا تدقّق حيث تقود. وتلك المجموعة ليست أوروبية فقط: فلدى CCI ممارسون معتمدون بشهادة CISSP مقيمون في الهند، أي متخصصون رفيعون في خصوصية البيانات يعرفون قانون DPDP، ونموذج مدير الموافقة، والتزامات لغة الجدول الثامن من الداخل. وذلك مهمّ عمليًا، لأن المؤتمَن المهمّ على البيانات يجب أن يعيّن مسؤول حماية بيانات مقيمًا في الهند، ويختصر قائد الخصوصية المحلي أيضًا المسافة إلى المستشار الهندي ومجلس حماية البيانات وواقع الموافقة على نطاق وطني.
والفجوة المتكررة الأخرى تأسيسية لا قانونية: فمعظم المؤسسات لا تستطيع أن تقول، من حيث الأدلة، أين تقع بياناتها الشخصية فعلًا. ويرسم متخصصو جرد البيانات لدى CCI ذلك بالضبط عبر البنى القديمة، والبيانات الساخنة في الأنظمة الحية والبيانات الباردة في الأرشيفات والنسخ الاحتياطية، والسجلات المهيكلة في قواعد البيانات والانتشار غير المهيكل الأصعب بكثير في المستندات وصناديق البريد وملفات المشاركة ومخازن الكائنات. وذلك الجرد هو الشرط المسبق لكل ما يليه، أي إعادة تأسيس الموافقة، وسير عمل الحقوق والمحو، ورؤية التحويل العابر للحدود، وتقييم نطاق الخرق، وكلها لا يمكن الوثوق بها إن كانت خريطة البنية غير مكتملة. وحيث تكون الفجوة في أدوات مصمّمة خصيصًا، يستطيع فريق البحث والتطوير الداخلي، أي الأكاديميون والباحثون بمستوى الدكتوراه والمهندسون الذين بنوا NetDiagramer وEviGen وcVaR وDORA-MAST، أن يؤلّفوا تلك الأساسيات، أي استيعاب الجرد وأدلة التهيئة وتخطيط الطوبولوجيا والقياس، في أداة سريعة للجاهزية للنظامين. وذلك مذكور بوصفه قدرة، مع المنتجات المُسلَّمة دليلًا، لا بوصفه وعد ساعة توقيت. ولتحديد نطاق تقييم جاهزية للنظامين، تحدّث إلى ممارس.
مصفوفة المقارنة الرئيسية جنبًا إلى جنب
| البُعد | GDPR | DPDP |
|---|---|---|
| الأداة | اللائحة (EU) 2016/679 | قانون DPDP 2023 + قواعد DPDP 2025 |
| السريان | 25 May 2018 | متدرّج؛ الواجبات الجوهرية من 13 May 2027 |
| البيانات المشمولة | المؤتمتة واليدوية المهيكلة؛ طبقة حساسة | الرقمية فقط؛ لا طبقة حساسة |
| مُطلِق التطبيق خارج الإقليم | المنشأة؛ العرض؛ الرصد | عرض السلع أو الخدمات على أصحاب بيانات في الهند |
| الأسس المشروعة | ستة، منها المصلحة المشروعة | الموافقة إضافة إلى قائمة مغلقة من الاستخدامات المشروعة |
| نظام البيانات الحساسة | الفئات الخاصة بالمادة 9 | لا يوجد (غير مباشر عبر SDF والأطفال) |
| سنّ الأطفال | 16 (يجوز للدول الأعضاء خفضها إلى 13) | دون 18؛ حظر الإعلان السلوكي |
| الحقوق | ثمانية، منها قابلية النقل والاعتراض والمادة 22 | الوصول والتصحيح والمحو ومعالجة الشكاوى والترشيح |
| مسؤول حماية البيانات | إلزامي قائم على المخاطر | المؤتمَنون المهمّون على البيانات فقط؛ مقيم في الهند |
| نموذج العبور الحدودي | قائمة بيضاء (حظر افتراضي) | قائمة سوداء (إباحة افتراضية) |
| إشعار الخرق | 72 ساعة للسلطة إن وُجد خطر؛ الأفراد إن كان الخطر مرتفعًا | 72 ساعة للمجلس إضافة إلى كل صاحب بيانات متأثر، دون عتبة |
| العقوبة القصوى | EUR 20m أو 4% من الإيراد العالمي | INR 250 crore لكل واقعة، دون ربط بالإيراد |
| حق التقاضي الخاص | نعم (Art 82) | لا يوجد |
| المنظّم | سلطات إشرافية مستقلة | مجلس حماية البيانات (فاصل فقط) |
| وضع القواعد | EDPB، المفوضية، السلطات الإشرافية | الحكومة المركزية |
Acronyms
| الاختصار | المعنى (بالإنجليزية) | الترجمة العربية |
|---|---|---|
| BCR | Binding Corporate Rules | القواعد المؤسسية المُلزِمة |
| CJEU | Court of Justice of the European Union | محكمة العدل للاتحاد الأوروبي |
| DPDP | Digital Personal Data Protection | حماية البيانات الشخصية الرقمية |
| DPIA | Data Protection Impact Assessment | تقييم أثر حماية البيانات |
| DPO | Data Protection Officer | مسؤول حماية البيانات |
| EDPB | European Data Protection Board | المجلس الأوروبي لحماية البيانات |
| EEA | European Economic Area | المنطقة الاقتصادية الأوروبية |
| GDPR | General Data Protection Regulation | اللائحة العامة لحماية البيانات |
| MeitY | Ministry of Electronics and Information Technology (India) | وزارة الإلكترونيات وتقنية المعلومات (الهند) |
| RBI | Reserve Bank of India | بنك الاحتياطي الهندي |
| SA | Supervisory Authority | السلطة الإشرافية |
| SCC | Standard Contractual Clauses | البنود التعاقدية القياسية |
| SDF | Significant Data Fiduciary | المؤتمَن المهمّ على البيانات |
| TDSAT | Telecom Disputes Settlement and Appellate Tribunal | محكمة تسوية منازعات الاتصالات والاستئناف |
References
- European Parliament and Council (2016). Regulation (EU) 2016/679 (General Data Protection Regulation). https://eur-lex.europa.eu/eli/reg/2016/679/oj
- Government of India (2023). The Digital Personal Data Protection Act, 2023. https://www.meity.gov.in/static/uploads/2024/06/2bf1f0e9f04e6fb4f8fef35e82c42aa5.pdf
- Ministry of Electronics and Information Technology (2025). Government notifies DPDP Rules to empower citizens and protect privacy. Press Information Bureau. https://www.pib.gov.in/PressReleasePage.aspx?PRID=2190014
- Ministry of Electronics and Information Technology (2025). Digital Personal Data Protection Rules, 2025 (notification). https://static.pib.gov.in/WriteReadData/specificdocs/documents/2025/nov/doc20251117695301.pdf
- Shardul Amarchand Mangaldas & Co (2025). Enforcement of the DPDP Act and notification of the DPDP Rules. https://www.amsshardul.com/insight/enforcement-of-the-dpdp-act-and-notification-of-the-dpdp-rules/
- MediaNama (2025). Data breach reporting timeline of DPDP Rules 2025 explained. https://www.medianama.com/2025/11/223-data-breach-reporting-timeline-of-dpdp-rules-2025-explained/
- Internet Freedom Foundation (2025). Statement on DPDP Rules 2025. https://internetfreedom.in/
- India Briefing (2025). Digital Personal Data Protection (DPDP) Rules 2025 notified. https://www.india-briefing.com/news/dpdp-rules-2025-india-data-protection-law-compliance-40769.html