عقوبات تنتظر فوري بسبب تسريب بيانات العملاء الشخصية

أعلنت شركة فوري لتكنولوجيا البنوك والمدفوعات الرقمية، صباح اليوم الأحد، تسريب بعض البيانات الشخصية لعملائها، عقب انتهاء شركة 18-GROUP من إجراء الفحص الشامل لأنظمة الأمن السيبراني للشركة، بعد مرور 17 يومًا من تداول أنباء اختراقها.

جاء ذلك بالرغم من نفي الشركة لـ الأنباء المتداولة يوم 9 نوفمبر الجاري التي تفيد بتعرض الشركة إلى هجمة سيبريانية أدت إلى تسريب بيانات العملاء، مؤكدة عدم تعرضها لأي هجوم أو اختراق لنظامها المعلوماتي، وكفاءة وأمان دفاعاتها الالكترونية عبر كل منصاتها وعن كل خدماتها المقدمة الكترونيا.

أزمة شركة فوري

كما أكدت الشركة في بيان لها عقب انتشار شكوى العديد من عملاء الشركة بشأن تعطل خدماتها، أنها أجرت على الفور بحثا في الخوادم الخاصة بالشركة على البث الحي، وبناء على الاختبارات التي أجرتها لشركة فقد تبين أن الخوادم التي تخدم العملاء والبنوك لم تتعرض لأي اختراقات، مشيرة إلى أنه لم يتم تسريب أي بيانات مالية أو بنكية خاصة بالعملاء، وأنها تطبق أعلى معايير الأمن السيبراني طبقا لمتطلبات الجهات الرقابية العالمية.

وعقب مرور 24 ساعة من أنباء اختراقها، أعلنت أنها استعانت بشركة Group-IB إحدى الشركات العالمية في مجال الأمن السيبراني، لفحص أنظمة وتطبيقات شركة فوري المستخدمة من قبل عملاء الشركة من الأفراد والمؤسسات، وانتهت الشركة من فحص البنية التحتية لتطبيقات الشركة المستخدمة من قبل عملاء الشركة.

وبناءً على فحصها للبنية التحتية، أكدت شركة Group – IB أنه لم يتم اختراقها أو تسريب أي بيانات منها وأنها آمنة تمامًا لاستخدام الأفراد والمؤسسات، كما أكدت الشركة على أن سبب توقف تطبيق ماى فوري، هو الضغط الشديد من المتعاملين على التطبيق بما يتجاوز قدرة التطبيق وأن مع هدوء التعامل ستعود كل التطبيقات للعمل بصورة طبيعية.

ومع مرور 17 يومًا لإعلان شركة فوري رسميًا عن تسريب بعض البيانات الشخصية لعملائها، نتيجة تعرض جزء منفصل من بيئة اختبار التطبيقات والبرامج لشركة فوري والمستخدمة في اختبار التطبيقات قبل إحالتها إلى بيئة التشغيل الحية والمنفصلة تماما عن بيئة التشغيل الحية إلى هجوم، فهل يعد ذلك مخالفًا للمواد المنظمة لقانون حماية البيانات الشخصية؟

بالنظر إلى قانون حماية البيانات الشخصية رقم 151 سنة 2020، نجد أن المادة رقم 7 تنص على أنه يلتزم كل من المتحكم والمعالج بحسب الأحوال، حال عمله بوجود خرق أو انتهاك للبيانات الشخصية لدية، يلتزم كل من المتحكم والمعالج، بحسب الأحوال، حال علمه بوجود خرق أو انتهاك للبيانات الشخصية لديه بإبلاغ مركز حماية البيانات الشخصية خلال 72 ساعة، وفي حال كان هذا الخرق أو الانتهاك متعلقًا باعتبارات حماية الأمن القومي، فيكون الإبلاغ فوريًا، وعلى المركز وفي جميع الأحوال إخطار جهات الأمن القومي بالواقعة فورًا، كما يلتزم بموافاته خلال 27 ساعة من تاريخ علمه بما يأتي.

1-وصف طبيعة الخرق أو الانتهاك وصورته وأسبابه والعدد التقريبي للبيانات الشخصية وسجلاتها.
2-بيانات مسئول حماية البيانات الشخصية لديه.
3-الآثار المحتملة لحادث الخرق أو الانتهاك.
4-وصف الإجراءات المتخذة والمقترح تنفيذها لمواجهة هذا الخرق أو الانتهاك والتقليل من أثاره السلبية.
5-توثيق أي خرق أو انتهاك للبيانات الشخصية، والإجراءات التصحيحية المتخذة لمواجهته.
6-آية وثائق أو معلومات أو بيانات يطلبها المركز.

ومنذ ساعات قليلة، أعلنت شركة فوري، إتمام عملية التحقيق الشاملة وفحص البنية التحتية لأنظمة الأمن السيبراني للشركة، مشيرة إلى تعرض جزء منفصل من بيئة اختبار التطبيقات والبرامج لشركة فوري والمستخدمة في اختبار التطبيقات قبل إحالتها إلى بيئة التشغيل الحية والمنفصلة تماما عن بيئة التشغيل الحية لهجوم.

وفي جميع الأحوال يجب على المتحكم والمعالج، بحسب الأحوال، إخطار الشخص المعني بالبيانات خلال 3 أيام عمل من تاريخ الإبلاغ وما تم اتخاذه من إجراءات، وتحدد اللائحة التنفيذية لهذا القانون الإجراءات الخاصة بالإبلاغ والإخطار.

فيما تنص المادة الثانية، على أنه يجوز جمع البيانات الشخصية أو معالجتها أو الإفصاح أو الإفشاء عنها بأية وسيلة من الوسائل إلا بموافقة صريحة من الشخص المعني بالبيانات أو في الأحوال المصرح بها قانونًا.
ويكون للشخص المعني بالبيانات الحقوق التالية:
1-العلم بالبيانات الشخصية الخاصة به الموجودة لدى أي حائز أو متحكم أو معالج والاطلاع عليها والوصول إليها أو الحصول علها.

2-العدول عن الموافقة المسبقة على الاحتفاظ بياناته الشخصية أو معالجتها.
3-التصحيح أو التعديل أو المحو أو الإضافة أو التحديث للبيانات الشخصية.
4-تخصيص المعالجة في نطاق محدد.
5-العلم أو المعرفة بأي خرق أو انتهاك لبياناته الشخصية.
6-الاعتراض على معالجة البيانات الشخصية أو نتائجها متى تعارضت مع الحقوق والحريات الأساسية للشخص المعني بالبيانات.

وباستثناء البند 5 من الفقرة السابقة يؤدي الشخص المعني بالبيانات مقابل تكلفة الخدمة المقدمة إليه من المتحكم أو المعالج، فيما يخص ممارسته لحقوقه ويقول المركز إصدار قرارات تحديد هذا المقابل بما لا يجاور عشرين ألف جنيه.

وتنص المادة الرابعة على التزام المتحكم بما يأتي:

1-الحصول على البيانات الشخصية أو تلقيها من الحائز أو من الجهات المختصة بتزويده بها بحسب الأحوال بعد موافقة الشخص المعنى9 بالبيانات، أو في الأحوال المصرح بها قانونا.
2-التأكد من صحة البيانات الشخصية واتفاقها وكفايتها مع الغرض المحدد لجمعها.
3-وضع طريقة وأسلوب ومعايير المعالجة طبقا للغرض المحدد، ما لم يقرر تفويض المعالج في ذلك بموجب تعاقد مكتوب.
4-التأكد من انطباق الغرض المحدد من جمع البيانات الشخصية لأغراض معالجتها.
5-القيام بعمل أو الامتناع عن عمل يكون من شأنه إتاحة البيانات الشخصية إلا في الأحوال المصرح بها قانونا.

المادة الرابعة المادة الرابعة

عقوبات قد تواجه فوري

وبالنظر إلى العقوبات، تنص المادة 38 على أنه يعاقب بغرامة لا تقل عن ثلاثمائة ألف جنيه ولا تجاوز ثلاثة ملايين جنيه، كل متحكم أو معالج لم يلتزم بواجباته المنصوص عليها في المواد 4 و5 و7 من هذا القانون.

فيما تنص المادة 39 على أنه يعاقب بالغرامة التي لا تقل عن مائتي ألف جنيه ولا تجاوز مليوني جنيه، كل ممثل قانوني للشخص الاعتباري لم يلتزم بأحد واجباته المنصوص عليها في المادة 8 من هذا القانون.
وحسب المادة 40، يعاقب بغرامة لا تقل عن مائتي ألف جنيه ولا تجاوز مليوني جنيه، كل مسئول حماية بيانات شخصية لم يلتزم بمقتضيات وظيفته المنصوص عليها في المادة 9 من هذا القانون.

تراجع سهم فوري

تكبد سهم خسائر خلال تعاملات جلسة اليوم الأحد، عقب اعتراف الشركة صباح اليوم، بتعرض جزء منفصل من بيئة اختبار التطبيقات والبرامج للشركة إلى الاختراق، الأمر الذي أدى إلى تسريب بعض البيانات الشخصية للعملاء، ليغلق سهم فوري عند 5.1 جنيه، تراجعًا من 5.3 جنيه في ختام تعاملات الجلسة الماضية، بمعدل تراجع بلغ 4%.