تحتفظ شركة تصنيع ألمانية لها عمليات في الولايات المتحدة والهند والبرازيل والصين والإمارات العربية المتحدة والمملكة العربية السعودية والمملكة المتحدة وسويسرا، كحد أدنى، بمصفوفة تتبع لنحو أربعين مسار نقل متمايز عبر الحدود. لكل مسار أساس قانوني (البنود التعاقدية القياسية، أو قرار الكفاية، أو قواعد الشركات الملزمة، أو استثناء)، وتقييم أثر النقل، ومواصفات للتدابير الأمنية في الملحق الثاني (Annex II)، وانسياب التزامات على المعالجين الفرعيين، ووتيرة تحديث مرتبطة بدورات التجديد وتغيّرات قوانين المراقبة في الدولة المستقبِلة. الشركة الفرعية الألمانية التابعة لشركة أم أمريكية سيكون لديها آلية مختلفة لكل فئة من البيانات الشخصية، ولكل وحدة أعمال، ولكل مزوّد سحابي، ولكل ولاية قضائية لاحقة. فِرَق الشؤون القانونية في أكبر الشركات متعددة الجنسيات تدير اليوم مصفوفة آليات النقل كمنتج امتثال قائم بذاته، بمالكين معيَّنين، وضبط للإصدارات، ومسار تدقيق للتغيّرات التنظيمية، وتقويم للتجديد.
هذا هو الأساس القانوني الكامن تحت مسألة موطن البيانات. وقد تناولت المقالتان المرافقتان عن موطن البيانات كقرار نشر والسحابة داخل منطقتك طبقة الشراء وآليات المزوّد السحابي. تركّز هذه المقالة على الآليات القانونية ذاتها: الفصل الخامس من GDPR بالتفصيل، والبنود التعاقدية القياسية المحدَّثة والتزام تقييم أثر النقل المرتبط بها، وقرارات الكفاية الحالية وطعن Latombe على إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة (EU-US Data Privacy Framework) الذي يُرجَّح أن ينتج عنه Schrems III في 2026 أو 2027، والأنظمة القضائية خارج الاتحاد الأوروبي التي تكاثرت منذ 2022، ولماذا تكون الإجابة البنيوية هي الآلية الوحيدة التي تطوي المصفوفة بدلاً من صيانتها.
المصفوفة أصبحت منتج تتبع
كان لحقبة ما قبل GDPR فئتان مهمّتان من آليات النقل: قرارات الكفاية والبنود التعاقدية القياسية. وكانت معظم الشركات متعددة الجنسيات تتتبع مدخلاً واحداً في المصفوفة لكل زوج من المنشأ والمقصد، وتجدّده سنوياً. أما حقبة ما بعد GDPR فقد ضاعفت المدخلات. فطوّرت كل آلية في الفصل الخامس وحدات فرعية. وأضافت كل آلية بموجب المادة 46 التزام تقييم أثر النقل بعد Schrems II. وطوّر كل قرار كفاية دورة تجديد (اعتُمدت كفاية المملكة المتحدة أصلاً في 28 يونيو 2021 ببند انقضاء مدته أربع سنوات، ثم جُدِّدت في 2025 بعد إعادة تقييم المفوضية لنظام حماية البيانات البريطاني لما بعد Brexit، بما في ذلك قانون البيانات (الاستخدام والوصول) لعام 2025). وتبنّت كل ولاية قضائية خارج الاتحاد الأوروبي نظامها الخاص بالنقل الصادر: اتفاقية النقل الدولي البريطانية IDTA وملحقها، وقانون حماية البيانات السويسري المنقّح revFADP منذ 1 سبتمبر 2023، والعقد القياسي الصيني CAC النافذ في 1 يونيو 2023، وقواعد DPDP الهندية المُعلَن عنها في 13 نوفمبر 2025، والمرسوم بقانون اتحادي إماراتي رقم 45 لسنة 2021 مع لوائحه التنفيذية المنشورة في 2025، واللوائح التنفيذية لنظام حماية البيانات الشخصية السعودي PDPL الصادرة في سبتمبر 2023 إضافة إلى لوائح نقل البيانات الصادرة في سبتمبر 2024.
بحلول 2026، تتتبع شركة متعددة الجنسيات متوسطة إلى كبيرة الحجم، لكل زوج من المنشأ والمقصد: الأساس القانوني، وآلية المادة 46 (أو ما يعادلها)، والتدابير الأمنية في الملحق الثاني (محدّدة لا عامة)، وجرد المعالجين الفرعيين، وتقييم أثر النقل مع تحليل لقوانين المراقبة في الدولة المقصد وفق توصيات المجلس الأوروبي لحماية البيانات (EDPB) بشأن الضمانات الأوروبية الأساسية رقم 02/2020، وتاريخ التجديد، وآلية الطوارئ في حال إبطال الأساس الأساسي. وينتهي الفريق الذي يدير هذه المصفوفة بمستودع آليات نقل أكبر من وثائق منتجه، وتنمو المصفوفة نمواً مضاعفاً مع كل ولاية قضائية جديدة تدخلها الشركة.
النمو بنيوي. ولا تنكمش أي من الآليات. المصفوفة لا تفعل سوى إضافة مدخلات. والسؤال الاستراتيجي هو ما إذا كانت المؤسسة ستصون المصفوفة كمنتج امتثال دائم، أم أنها ستغيّر بنيتها بحيث تصبح المصفوفة غير ضرورية لمعظم بياناتها.
آليات الاتحاد الأوروبي بالتفصيل
الفصل الخامس من GDPR هو الإطار المرجعي، ومعظم المكافئات الوطنية مصاغة على نموذجه. خمس عائلات من الآليات.
قرارات الكفاية (المادة 45). يجوز للمفوضية الأوروبية أن تقرّر أن دولة ثالثة أو إقليماً أو قطاعاً أو منظمة دولية تكفل مستوى حماية كافياً. وتُراجَع قرارات الكفاية كل أربع سنوات. وتغطي قرارات الكفاية الحالية أندورا والأرجنتين وكندا (التجاري فقط، بموجب PIPEDA) وجزر فارو وغيرنزي وإسرائيل واليابان (المشغّلون الخاصون التجاريون) وجيرزي وجزيرة مان ونيوزيلندا وكوريا الجنوبية (2021) وسويسرا والمملكة المتحدة (اعتُمدت في 28 يونيو 2021، وجُدِّدت في 2025) والأوروغواي والولايات المتحدة عبر إطار خصوصية البيانات (قرار المفوضية التنفيذي المؤرخ 10 يوليو 2023). وإطار DPF محل طعن قائم حالياً.
البنود التعاقدية القياسية (المادة 46(2)(ج)). حدّث قرار المفوضية التنفيذي (الاتحاد الأوروبي) 2021/914 المؤرخ 4 يونيو 2021 البنود التعاقدية القياسية لتصبح أداة وحدوية (modular). أربع وحدات: متحكم إلى متحكم، ومتحكم إلى معالج، ومعالج إلى معالج، ومعالج إلى متحكم. ويتيح بند الالتحاق (docking clause) لأطراف إضافية الانضمام بمرور الوقت. والملاحق هي حيث يقع العمل الفعلي: الملحق الأول يسمّي الأطراف، ويصف النقل، ويحدّد السلطة الإشرافية المختصة؛ والملحق الثاني يحدّد التدابير التقنية والتنظيمية (وقد ذكر EDPB مراراً أنها يجب أن تكون محدّدة لا عامة)؛ والملحق الثالث يدرج المعالجين الفرعيين للوحدتين 2 و3. وقد أُلغيت البنود التعاقدية القياسية السابقة في 27 ديسمبر 2022؛ وأي عقد لا يزال يعتمد عليها غير ممتثل.
تقييم أثر النقل (البند 14 من بنود 2021 إضافة إلى توصيات EDPB رقم 01/2020). ست خطوات: اعرف عمليات نقلك (التخطيط)، وحدّد أداة النقل، وقيّم الفعالية في ضوء جميع ظروف النقل بما في ذلك قانون الدولة الثالثة، واعتمد التدابير التكميلية (التقنية والتعاقدية والتنظيمية)، والخطوات الإجرائية، وأعد التقييم على فترات مناسبة. وقد كان EDPB صريحاً بشأن التدابير التكميلية: التدابير التقنية (التشفير بمفاتيح محفوظة خارج الدولة الثالثة، وإخفاء الهوية الزائف pseudonymisation حيث تستحيل إعادة التعريف من دون معلومات إضافية يتعذر الوصول إليها، والمعالجة المجزّأة عبر معالجين متعددين بحيث لا يملك أي منهم سجلاً كاملاً) هي الفئة الوحيدة التي يُقرّ EDPB بأنها فعّالة بالفعل حين يسمح قانون الدولة الثالثة بوصول حكومي غير متناسب. أما التدابير التعاقدية والتنظيمية وحدها فغير كافية.
قواعد الشركات الملزمة (المادة 47). قواعد داخل المجموعة ملزمة قانوناً تمنح أصحاب البيانات حقوقاً قابلة للإنفاذ، تعتمدها السلطة الإشرافية الرائدة عبر آلية الاتساق بناءً على رأي من EDPB. وتستغرق مهل الاعتماد ثمانية عشر إلى أربعة وعشرين شهراً كحد أدنى، وغالباً ثلاث إلى أربع سنوات. ويوجد نحو مائتي جهة معتمَدة حائزة على قواعد الشركات الملزمة في سجل EDPB بحلول 2026. وقد حلّت توصيات EDPB رقم 1/2026 الصادرة في يناير 2026 بشأن قواعد الشركات الملزمة للمعالجين محل إرشادات 2008، وأوضحت طبقة Schrems II: حتى مع قواعد شركات ملزمة معتمَدة، يلزم تقييم مكافئ لتقييم أثر النقل، لأن قواعد الشركات الملزمة وحدها لا تزيح قانون الدولة الثالثة. والاعتقاد الخاطئ بأن قواعد الشركات الملزمة تُعفي من التزامات تقييم أثر النقل منتشر على نطاق واسع.
الاستثناءات (المادة 49). الموافقة الصريحة، وضرورة العقد، والأسباب المهمة المتعلقة بالمصلحة العامة، والمطالبات القانونية، والمصالح الحيوية، والسجل العام، والمصالح المشروعة القاهرة (لمرة واحدة، محدودة، بضمانات). وتنص إرشادات EDPB رقم 2/2018 على أن الاستثناءات يجب أن تُفسَّر تفسيراً تقييدياً، وألا تُستخدم إلا استثنائياً، ولا تُستخدم أبداً لعمليات نقل منهجية أو متكررة. والاستثناءات ليست استراتيجية طويلة الأجل، وترفضها السلطات الإشرافية بصورة معتادة حين تُستخدم كأساس أساسي.
تقع المادة 48 بجوار الآليات المذكورة أعلاه، وهي الأكثر نسياناً باطّراد لدى المؤسسات. فأحكام محاكم الدول الثالثة أو سلطاتها الإدارية لا يُعترف بها إلا عبر اتفاقيات دولية (معاهدات المساعدة القانونية المتبادلة). وهذا الحكم موجّه مباشرة نحو المطالبات خارج الإقليمية مثل قانون CLOUD Act الأمريكي، وهو السبب البنيوي وراء استمرار التفاوض على الاتفاقية التنفيذية بين الولايات المتحدة والاتحاد الأوروبي بموجب CLOUD Act منذ 2019 من دون حسم. وتتناول المقالة المرافقة عن مناطق السحابة سبب بقاء انكشاف CLOUD Act قائماً رغم كل بنية إقليمية يستطيع مزوّد ذو شركة أم أمريكية بناءها.
الأنظمة القضائية خارج الاتحاد الأوروبي
استُنسِخ نموذج الفصل الخامس، مع تنويعات، في أنحاء العالم. وكل ولاية قضائية تضيف وثائق بدلاً من أن تزيل أياً منها.
المملكة المتحدة. يبقى UK GDPR هو الأداة الحاكمة، معدَّلاً بقانون حماية البيانات لعام 2018 وقانون البيانات (الاستخدام والوصول) لعام 2025 (الموافقة الملكية في 19 يونيو 2025). وقد أصلحت المملكة المتحدة قواعد اتخاذ القرار الآلي، ووسّعت الموافقة على البحث العلمي، وأقرّت قائمة قانونية بالمصالح المشروعة. ودخلت اتفاقية النقل الدولي للبيانات البريطانية IDTA والملحق البريطاني لبنود الاتحاد الأوروبي التعاقدية القياسية حيز النفاذ في 21 مارس 2022؛ ويتيح الملحق للمصدّرين الالتحاق ببنود اتحاد أوروبي موقّعة بالفعل. وتتبع أداة تقييم مخاطر النقل التابعة لمكتب مفوّض المعلومات (ICO)، المنشورة في 17 نوفمبر 2022، نهجاً أكثر استناداً إلى التناسب من خطوات EDPB الست، بإشارة صريحة إلى ما إذا كان النقل "يزيد المخاطر زيادة كبيرة" بدلاً من إطار EDPB الأكثر صرامة "ضمان حماية مكافئة جوهرياً". وقد جُدِّدت كفاية المملكة المتحدة لتلقّي بيانات الاتحاد الأوروبي في 2025، مع إبداء المفوضية تحفظات بشأن الوصول لأغراض الأمن القومي بموجب قانون صلاحيات التحقيق لعام 2016.
سويسرا. دخل القانون الاتحادي المنقّح لحماية البيانات حيز النفاذ في 1 سبتمبر 2023. وينشر المفوّض الاتحادي لحماية البيانات والمعلومات (FDPIC) قائمة الكفاية السويسرية الخاصة (الملحق 1 من مرسوم حماية البيانات)، الموازية لقائمة الاتحاد الأوروبي لكن غير المطابقة لها. وقد صادق FDPIC على بنود الاتحاد الأوروبي 2021/914 التعاقدية القياسية بوصفها ممتثلة لعمليات النقل السويسرية في 27 أغسطس 2021 مع ملحق سويسري وحدوي. ودخل جسر كفاية إطار خصوصية البيانات بين سويسرا والولايات المتحدة حيز النفاذ في 15 سبتمبر 2024. وتلزم التقييمات المكافئة لتقييم أثر النقل بموجب المادة 16 من revFADP، متوائمة رسمياً مع خطوات EDPB الست لكن بإرشادات FDPIC أخف وطأة.
الصين. دخل قانون حماية المعلومات الشخصية (PIPL) حيز النفاذ في 1 نوفمبر 2021، مع قانون الأمن السيبراني لعام 2017 وقانون أمن البيانات لعام 2021 كركيزتين موازيتين. وتحكم المادة 38 من PIPL النقل عبر الحدود عبر أربع آليات قانونية: التقييم الأمني لإدارة الفضاء السيبراني الصينية CAC (إلزامي لمشغّلي البنية التحتية الحرجة للمعلومات، أو معالجي المعلومات الشخصية لأكثر من مليون فرد، أو عمليات النقل التي تتجاوز 100,000 سجل معلومات شخصية أو 10,000 سجل معلومات شخصية حساسة سنوياً)، وشهادة حماية المعلومات الشخصية من جهة معتمَدة من CAC، والعقد القياسي CAC (النافذ في 1 يونيو 2023) مع تقييم إلزامي لأثر حماية المعلومات الشخصية وإيداع إقليمي لدى CAC خلال عشرة أيام عمل، وشروط أخرى في القوانين واللوائح. وقد خفّفت أحكام CAC الصادرة في مارس 2024 بشأن تعزيز وتنظيم تدفقات البيانات عبر الحدود من العتبات وأدخلت إعفاءات القائمة السلبية لمناطق التجارة الحرة؛ ووسّعت إرشادات 2025 خيارات الشهادة داخل المجموعة. ويبقى النطاق خارج الإقليمي لـ PIPL واسعاً.
الهند. أصبح قانون حماية البيانات الشخصية الرقمية لعام 2023، المسنون في 11 أغسطس 2023، نافذاً عبر قواعد DPDP المُعلَن عنها في 13 نوفمبر 2025. وبدأ مجلس حماية البيانات عمله في الربع الأول من 2026. ونموذج الهند للنقل عبر الحدود قائمة سلبية: تُعلِن الحكومة عن الدول التي تُقيَّد النقل إليها، مع السماح افتراضياً بالنقل إلى جميع الدول غير المدرجة. لا قائمة كفاية إيجابية. وتبقى الطبقات القطاعية أكثر صرامة: يلزم توجيه بنك الاحتياطي الهندي بشأن تخزين بيانات نظام الدفع لعام 2018 بالتخزين الكامل في الهند لبيانات الدفع؛ ويلزم مجلس الأوراق المالية والبورصات الهندي بحفظ السجلات في الهند لأسواق رأس المال؛ وتفعل هيئة تنظيم وتطوير التأمين الأمر ذاته للتأمين. ومعاملة DPDP بوصفه مكافئاً لـ GDPR يغفل التوطين القطاعي الذي كثيراً ما يكون هو الحاكم.
المملكة المتحدة / سويسرا / الهند / الصين. لكل منها آليتها الخاصة للنقل الصادر، وآليتها الخاصة للنقل الوارد، والتزامها الخاص المكافئ لتقييم أثر النقل. والشركة متعددة الجنسيات التي لها عمليات في خمس ولايات قضائية خارج الاتحاد الأوروبي تتتبع خمس مجموعات من الآليات على حدة.
الإمارات العربية المتحدة. دخل المرسوم بقانون اتحادي رقم 45 لسنة 2021 بشأن حماية البيانات الشخصية حيز النفاذ في 2 يناير 2022، مع مكتب البيانات الإماراتي (TDRA / IA) كجهة إشرافية. وصيغت اللوائح التنفيذية اعتباراً من 2022 ونُشرت على مراحل في 2025. ويسمح القانون الاتحادي بالنقل عبر الحدود إلى الدول ذات الحماية الكافية (قائمة سينشرها مكتب البيانات)، أو عبر ضمانات تعاقدية (نماذج البنود التعاقدية القياسية الإماراتية المتوقعة من مكتب البيانات)، أو الموافقة الصريحة، أو ضرورة العقد. ويُعد قانون حماية البيانات رقم 5 لسنة 2020 لمركز دبي المالي العالمي ولوائح حماية البيانات لسوق أبوظبي العالمي لعام 2021 أداتين قائمتين بذاتهما متوائمتين مع GDPR، لهما قائمتا كفاية خاصتان وبنود تعاقدية قياسية متوائمة مع GDPR. ويفرض ADHICS V2 موطن البيانات الإماراتي للمعلومات الصحية المحمية فوق القانون الاتحادي؛ ولا يزال النقل عبر الحدود يتطلب موافقة دائرة الصحة. وتضيف لائحة حماية بيانات المستهلك الصادرة عن مصرف الإمارات المركزي لعام 2021 توقعات بالمعالجة داخل الدولة للخدمات المالية.
المملكة العربية السعودية. دخل نظام حماية البيانات الشخصية (المرسوم الملكي م/19 بتاريخ 24 سبتمبر 2021، المعدَّل بالمرسوم الملكي م/148 الصادر في مارس 2023) حيز النفاذ في 14 سبتمبر 2023 بفترة سماح مدتها سنة حتى 14 سبتمبر 2024. والهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) هي الجهة الإشرافية، مع تولّي المكتب الوطني لإدارة البيانات تصنيف البيانات. ونُشرت اللوائح التنفيذية في سبتمبر 2023 ولوائح نقل البيانات في سبتمبر 2024. ويُسمح بالنقل عبر الحدود حيث تتمتع الجهة المقصد بحماية كافية وفق قائمة SDAIA (الصادرة 2024)، أو عبر ضمانات مناسبة (قواعد مشتركة ملزمة أو نماذج بنود تعاقدية قياسية تصدرها SDAIA)، أو عبر الشهادة، أو بموافقة صريحة أو ضرورة عقد لعمليات النقل لمرة واحدة. وللبيانات الشخصية الحرجة قيود إضافية. ويفرض إطار SAMA التنظيمي للحوسبة السحابية على القطاع المصرفي طبقة بمتطلبات أكثر صرامة داخل المملكة، بما في ذلك حقوق التفتيش المباشر لـ SAMA على المزوّدين السحابيين عبر خطابات جانبية.
ستة عشر نظاماً قضائياً (ست عائلات آليات في الاتحاد الأوروبي إضافة إلى عشرة مكافئات وطنية مذكورة أعلاه)، لكل منها متطلب توثيق خاص. ومصفوفة المؤسسة العالمية تجري بحاصل الضرب المضاعف للولايات القضائية التي تعمل فيها.
تقويم من Schrems II إلى Schrems III
الآليات القانونية ليست مستقرة. فإطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة محل طعن قائم أمام المحكمة العامة لمحكمة العدل الأوروبية (CJEU) في قضية Latombe ضد المفوضية (القضية T-553/23)، المرفوعة في سبتمبر 2023. وتهيمن حجتان على القضية: محكمة مراجعة حماية البيانات المنشأة بموجب الأمر التنفيذي 14086 ليست محكمة مستقلة بالمعنى المقصود في المادة 47 من الميثاق، والجمع الجماعي لا يزال مسموحاً به بموجب المادة 702 من FISA والأمر التنفيذي 12333. وقد عُقدت جلسة المحكمة العامة في 2025؛ ويُتوقع الحكم في 2026. وقد أشارت منظمة NOYB (منظمة Max Schrems) إلى طعن موازٍ. ويصنّف معظم المعلقين القانونيين إبطال DPF بوصفه النتيجة الأرجح على أفق ثلاث إلى خمس سنوات، مع شيوع استخدام التسمية الدارجة "Schrems III".
تضمّنت إعادة إقرار RISAA في أبريل 2024 (قانون إصلاح الاستخبارات وتأمين أمريكا، الذي مدّد المادة 702 من FISA حتى أبريل 2026) توسيعاً لتعريف "مزوّد خدمة الاتصالات الإلكترونية" ليشمل احتمالاً مراكز البيانات ومالكي ومشغّلي المعدّات. ورأى المنظمون في الاتحاد الأوروبي ومجتمع محامي الخصوصية أن RISAA يفاقم مخاوف Schrems II بدلاً من معالجتها؛ وكان رأي EDPB رقم 5/2023 بشأن DPF قد نبّه بالفعل إلى مخاوف باقية حول عمليات النقل اللاحقة، والاستثناءات لأغراض الأمن القومي، وآلية الانتصاف. والإرشاد العملي من EDPB ومعظم سلطات حماية البيانات كان الاستمرار في تنفيذ البنود التعاقدية القياسية حتى مع المورّدين المعتمَدين في DPF، كخط دفاع احتياطي. والمؤسسات التي تحوّلت إلى الاعتماد على DPF وتخلّت عن البنود التعاقدية القياسية بعد يوليو 2023 ستجد نفسها، إذا سقط DPF في 2026 أو 2027، بلا آلية احتياطية قائمة.
الدرس من Schrems II إلى Schrems III هو أن قرارات الكفاية للولايات القضائية ذات أنظمة المراقبة الواسعة لها عمر افتراضي بنيوي. فقد حلّ DPF محل Privacy Shield، الذي حل محل Safe Harbour. وكل خلف كان أكثر تفصيلاً من سابقه؛ وكل واحد طُعن فيه على الأسس نفسها؛ وكل واحد سقط في نهاية المطاف. والجهاز القانوني يسابق محكمة العدل ويخسر.
إجراءات الإنفاذ وما وجدته فعلاً
يوضّح سجل الإنفاذ الحديث ما تعاقب عليه السلطات الإشرافية فعلاً.
غرامة لجنة حماية البيانات الأيرلندية المؤرخة 22 مايو 2023 على Meta Platforms Ireland بقيمة 1.2 مليار يورو عن عمليات نقل Facebook من الاتحاد الأوروبي إلى الولايات المتحدة بموجب البنود التعاقدية القياسية من دون تدابير تكميلية كافية هي أكبر غرامة GDPR مسجَّلة. وكانت النتائج: البنود التعاقدية القياسية وحدها غير كافية بعد Schrems II؛ ونُفِّذ التشفير لكنه لم يستبعد وصول السلطات الأمريكية لأن Meta كانت تملك المفاتيح؛ ولم يعالج تقييم أثر النقل مخاطر FISA 702 معالجة كافية. وأُمرت Meta بتعليق عمليات النقل، وهو ما أصبح غير ذي موضوع حين اعتُمد DPF بعد ستة أسابيع.
غرامة لجنة حماية البيانات الأيرلندية المؤرخة 2 مايو 2025 على TikTok بقيمة 530 مليون يورو كانت عن نقل بيانات المستخدمين الأوروبيين إلى الصين من دون تقييم أو معالجة كافية لنظام المراقبة الصيني. وكانت النتائج: البنود التعاقدية القياسية قائمة لكن تقييم أثر النقل كان شكلياً؛ ولم يُطبَّق إطار الضمانات الأوروبية الأساسية لـ EDPB تطبيقاً صارماً على PIPL وقانون الأمن السيبراني وقانون أمن البيانات؛ ولم تقيّد التدابير التكميلية وصول الحكومة الصينية تقييداً ذا معنى. وأُمرت TikTok بتعليق المعالجة غير الممتثلة خلال ستة أشهر.
غرامة سلطة حماية البيانات الهولندية المؤرخة 26 أغسطس 2024 على Uber Technologies بقيمة 290 مليون يورو كانت عن نقل بيانات السائقين من المنطقة الاقتصادية الأوروبية إلى الولايات المتحدة من دون آلية نقل مناسبة لفترة ممتدة. وأوضحت الغرامة أنه حتى شركة مقرها الولايات المتحدة ولها حضور أوروبي واسع يمكن أن تُضبط عاملة من دون آلية بموجب الفصل الخامس إذا لم تُصَن الوثائق الرسمية.
قرارات Google Analytics عبر سلطات إشرافية متعددة (سلطة حماية البيانات النمساوية ديسمبر 2021، وCNIL فبراير 2022، والهيئة الإيطالية Garante يونيو 2022، والهيئة النرويجية Datatilsynet مارس 2023) وجدت تدفقات Google Analytics من الاتحاد الأوروبي إلى الولايات المتحدة غير قانونية بموجب البنود التعاقدية القياسية والتدابير التكميلية لأن Google، بوصفها مزوّد خدمة اتصالات إلكترونية، خاضعة للمادة 702 من FISA. وكان الأثر التراكمي تحوّلاً على مستوى الصناعة بعيداً عن أدوات التحليلات الأمريكية في عمليات النشر الموجَّهة للاتحاد الأوروبي.
عبر سجل الإنفاذ، النمط المشترك هو: بنود تعاقدية قياسية قائمة، وتدابير الملحق الثاني عامة لا محدّدة، وتقييم أثر النقل غائب أو شكلي، والتشفير موجود لكن المزوّد يملك المفاتيح، والوصول عن بُعد من الدول الثالثة غير موصوف بأنه نقل. وتنطبق كل نتيجة على خطوة في خطوات EDPB الست تخطّتها المؤسسة أو تسرّعت فيها. الآلية كانت موجودة؛ والانضباط التشغيلي خلفها لم يكن.
الإجابة البنيوية
يوجد الجهاز القانوني لأن البيانات تعبر الحدود. وكل آلية نقل هي محاولة القانون لحوكمة تدفق يصبح، بمجرد السماح به، غير قابل للحوكمة عملياً: فنظام المراقبة في الولاية المستقبِلة، ومحاكمها، وأجهزة استخباراتها لا يمكن التعاقد على استبعادها. وكل آلية تنفّذها المؤسسة هي توثيق لخطر قبلته. المصفوفة تنمو؛ والوثائق تنمو؛ وتقويم التجديد ينمو؛ وخطر الإنفاذ ينمو.
الإجابة البنيوية تطوي المصفوفة. فإذا لم تغادر البيانات الولاية القضائية التي جُمعت فيها، فلا يلزم أي آلية نقل لتلك البيانات. وتصبح مهمة المنصة هي ضمان ألا تحدث أصلاً التدفقات التي يهتم بها المنظم، بدلاً من بناء جهاز قانوني حول تدفقات ما كان للبنية أن تسمح بها قط.
تعني إحضار وحدة التخزين الخاصة بك من نوفانترا أن بيانات العميل تعيش في حاوية العميل الخاصة، في المنطقة التي يختارها العميل، تحت بيانات اعتماد يُصدرها العميل ويستطيع إلغاءها. وتتناول المقالة المرافقة عن موطن البيانات واقع النشر الذي ينتج عن ذلك: لم يعد موطن البيانات التزاماً من المورّد بل خاصية لحساب التخزين نفسه. فبالنسبة لشركة فرعية ألمانية، تعيش البيانات في ألمانيا؛ ولمنشأة في أبوظبي، تعيش البيانات في الإمارات؛ ولفرع في الرياض، تعيش البيانات داخل المملكة. وبيانات كل شركة فرعية هي عملية نشرها الخاصة، ولا يحدث النقل عبر الحدود قط في طبقة التخزين.
تُغلق مفاتيح التشفير التي يتحكم بها العميل من نوفانترا حلقة التعاون المتبقية في مستوى البيانات. فحتى حين يصل طلب خارج إقليمي إلى مشغّل السحابة الأساسية، تكون البيانات غير قابلة للقراءة من دون استجابة خدمة مفاتيح العميل. ويقرّ إطار التدابير التكميلية لـ EDPB بأن المفاتيح التي يحوزها العميل واحدة من الفئات القليلة من التدابير التقنية القادرة على بلوغ سقف الحماية المكافئة جوهرياً في Schrems II.
يضمن عزل قاعدة بيانات لكل مؤسسة من نوفانترا أن ينتج النشر متعدد الولايات القضائية N قاعدة بيانات منفصلة مثبَّتة على المنطقة، كل منها قابل للتفتيش بشكل مستقل من قبل المنظم الخاص بها، من دون تدفقات بين قواعد البيانات تتطلب آلية بموجب الفصل الخامس. وتتناول المقالة المرافقة عن السحابة داخل منطقتك آليات المزوّد السحابي الكامنة تحت ذلك.
يجعل مسار التدقيق الذي يكشف العبث من نوفانترا لكل مؤسسة أيَّ تدفق بين المؤسسات (تبادل حزم بين المقر الرئيسي والفرع، أو تجميع الأدلة، أو تسليم حادث) تبادلاً موقَّعاً، مضبوط الإصدار، متعاقَداً عليه، بسجل على الجانبين. وتنطبق الترتيبات القانونية (التحكم المشترك بموجب المادة 26، وعقود المعالجين بموجب المادة 28، وقواعد الشركات الملزمة بموجب المادة 47 للتدفقات الحقيقية داخل المجموعة) على مصنوعات المنصة مباشرة. وتصبح وثائق آلية النقل هي سجل التدقيق الخاص بالمنصة، لا منتج امتثال منفصلاً.
وللعملاء الذين تتطلب ولايتهم القضائية أو نموذج التهديد لديهم ذلك، يشغّل النشر السيادي من نوفانترا المنصة بأكملها داخل البنية التحتية الخاصة بالعميل. النشر السيادي هو الإجابة البنيوية للعملاء الذين أدار فريقهم القانوني المصفوفة، وسعّر صيانتها على أفق خمس سنوات مع Schrems III على التقويم واستمرار دورة إعادة إقرار FISA 702، وخلص إلى أن أرخص آلية هي الآلية التي لا توجد.
لا شيء من هذا ميزة. كل واحد منها هو الإجابة البنيوية لسؤال طُلب من الجهاز القانوني حلّه ويعترف بشكل متزايد بأنه لا يستطيع حلّه على نطاق واسع. الأطر لم تتوقف عن التكاثر. ودورات التجديد لم تتوقف عن التسارع. وSchrems III على التقويم. إما أن تطوي البنية المصفوفة، أو أن تصونها المؤسسة إلى الأبد، فتدفع تكلفة التوثيق، وخطر الإنفاذ، وتقويم التجديد إلى ما لا نهاية. وتتناول المقالات المرافقة كل التزام بنيوي بعمق؛ وتوجد هذه المقالة لتقديم الحجة القانونية على أن البنية ليست رفاهية بل الآلية الوحيدة التي تنخفض تكلفتها بدلاً من أن ترتفع مع استمرار تشظّي المشهد القضائي.