“الشائبي”: ملخص لائحة حماية البيانات لمصرف ليبيا المركزي لعام 2025

كتب: الخبير المصرفي “عمران الشائبي”

قال: قبل أن نتحدث عن أهم ما ورد في اللائحة يجب مراعاة الترتيب الهرمي للوثائق الملزِمة والمتبَّعة في الامتثال ويُفضل أن يكون على النحو الآتي:

1. القانون: يصدر عن السلطة التشريعية (البرلمان) ويُنشئ الالتزامات الأساسية والجزاءات، أي لائحة أو منشور أو سياسة يجب ألّا يتعارض معه.
2. اللائحة التنفيذية أو التنظيمية: تُفصِّل أحكام القانون وتحدد الآليات والإجراءات الملزِمة تصدر عن الجهة التنظيمية العليا مثل مصرف ليبيا المركزي في هذه الحالة.
3. المنشور / التعميم / القرار التنظيمي: يصدره المنظّم لبيان تطبيقات محددة أو تعليمات فورية, ويشرح كيفية الامتثال للائحة في سياقات أو قطاعات معينة.
4. السياسة المؤسسية: وثيقة داخلية يقرّها مجلس إدارة الجهة الخاضعة للتنظيم, تُترجِم المتطلبات القانونية والتنظيمية إلى التزامات واضحة للمؤسسة وموظفيها, وقد تتضمن نطاق التطبيق، المسؤوليات، حدّ المخاطر المقبول.
5. الدليل / الإجراءات التفصيلية: تعليمات تشغيلية يومية تشرح “كيف” تُنفَّذ السياسات على مستوى الأقسام والموظفين, وتتغير بسهولة لتواكب التحديثات التقنية أو الإجرائية دون الحاجة لموافقة المشرِّع.

لماذا هذا الترتيب مهم؟ كي يضمن عدم تعارض المستويات الأدنى مع الأعلى, ويسهل عملية التدقيق الداخلي والخارجي؛ إذ يبدأ المدقّقون من التشريعات ويتدرجون نزولاً حتى الإجراءات, ويدعم حوكمة واضحة: كل مستوى يحدّد “ماذا” يجب فعله، والمستوى التالي يوضّح “كيف” يُنفَّذ.
نرجع للائحة: تحدد اللائحة معايير واضحة لإدارة البيانات والخصوصية في المؤسسات المالية الليبية لضمان الامتثال وحماية حقوق الأفراد.

النقاط الأساسية:

• جمع البيانات يكون بموافقة واضحة وبمبرر قانوني صريح.
• تقتصر المعلومات المجموعة على الحد الأدنى الضروري فقط.
• للأفراد حق الوصول لبياناتهم، وتعديلها، وحذفها.
• يُحظر نقل البيانات خارج ليبيا إلا وفق شروط تنظيمية صارمة.
• يجب تشفير البيانات وتخزينها محليًا، مع إجراء تقييمات أمنية منتظمة.
• دورية تقييم الأثر على الخصوصية كل ستة أشهر وخاصة عند إطلاق خدمات جديدة أو معالجة بيانات حساسة.

مخاطر عدم الالتزام:

• غرامات مالية ثقيلة.
• تقييد أو تعليق نشاط المؤسسة المصرفي.
• فقدان الثقة العامة أو السمعة نتيجة الحوادث الأمنية أو انتهاك الخصوصية.
  توصيات استراتيجية للتنفيذ:
• تحديث جميع السياسات الداخلية لتتوافق مع اللوائح الجديدة.
• تحسين البنية التحتية للأمن السيبراني والتشفير.
• تدريب متواصل للموظفين على مبادئ حماية البيانات.
• تفعيل الإجراءات الشفافة للاستجابة للحوادث الأمنية.
• وضع خطة تحول رقمي تُراعي الخصوصية والامتثال.

1. ماذا تعني اللائحة للمصارف الليبية عمليّاً؟
2. تحوّل ثقافي: الانتقال من “ينبغي” إلى “يجب”؛ مسؤولية شخصية على مجلس الإدارة ومدير الامتثال.
3. تحديث حوكمة البيانات: إنشاء أو تعزيز دور Chief Data Protection Officer يفصل بين الامتثال وأمن المعلومات.
4. إعادة هندسة النماذج: كل استمارة فتح حساب، قرض، بطاقة، تطبيق جوّال تحتاج قسم موافقة منفصل واضح.
5. استثمارات تقنية:
   • تشفير قواعد البيانات بالكامل، أنظمة DLP، SIEM، IAM، MFA.
   • مراكز بيانات داخل ليبيا بشهادات PCI-DSS، أو شراكات مع مزود محلي معتمد.
6. سلاسل التوريد: تدقيق أمن معلوماتي لجميع مقدمي الخدمات (Switch بطاقات، مزودي SMS OTP، الحوسبة السحابية الخاصة…).
7. إدارة دورة حياة البيانات: جداول احتفاظ وإتلاف آمن، سجلات وصول غير قابلة للتعديل.
8. تدريب إلزامي: برامج توعية نصف سنوية لجميع الموظفين + تمارين استجابة حوادث.
   يُعاقب كل من يخالف أحكام هذه اللائحة بغرامة مالية قدرها مئة ألف دينار ليبي، عن كل مخالفة، وذلك استناداً للقانون رقم (1) لسنة 2005، بشأن المصارف وتعديله، بالإضافة إلى أية عقوبات أخرى تفرضها الجهة المختصة وفقاً لصلاحياتها.

للعلم في شركتنا (رقمنة الاتصال) نمتلك مستشارين قانونيين
ومستشارين للامتثال يمكنهم تنفيذ كل اللوائح والمنشورات
ومجهزين سياسات مستندية واضحة للتدريب والاعتماد
وكذلك استراتيجية حوكمة مؤتمتة نظامياً بالذكاء الاصطناعي لتسريع الإجراءات الداخلية للمؤسسات، إذا كان مصرفك محتاج للامتثال لكل اللوائح والمنشورات الصادرة من الجهات الرقابية والمصرفية نحن على أتم الاستعداد أن نقوم بذلك.