ورقة بحثية لـ”مسار”: قانون حماية البيانات الشخصية تعزيز للحق في الخصوصية أم إيهام بتحسن البيئة التشريعية.. هذه توصياتنا
كتب – أحمد سلامة
أصدر “مسار- مجتمع التقنية والقانون” ورقة بحثية تحت عنوان “قانون حماية البيانات الشخصية.. تعزيز للحق في الخصوصية أم إيهام بتحسن البيئة التشريعية”، أشادت من خلالها بتبني حزمة تشريعات لحماية البيانات الشخصية بغرض جذب الاستثمار.. لكنها أوصت في الوقت ذاته بضرورة إجراء تعديلات تضمن جدية عمل هذه التشريعات بما يصون تلك البيانات بشكل حقيقي.
وذكرت الورقة البحثية أن “المصريون يواجهون ضعفًا في الحماية القانونية لحقهم في الخصوصية على مستويات عديدة، فمن البيانات التي تحصل عليها الجهات الحكومية من الأفراد أثناء إجراء المعاملات الإدارية اليومية، إلى المعلومات التي تجمعها شركات القطاع الخاص عن عملائها، توجد ثغرات تشريعية كثيرة تُعرِّض الحياة الخاصة لأصحاب هذه البيانات والمعلومات للإفشاء دون إرادتهم”.
وأضافت أنه “في ضوء هذا النقص التشريعي لحماية البيانات الشخصية للأفراد، طالب المجتمع المدني المصري على مدار العقدين الماضيين بضرورة التدخل التشريعي لملء هذا الفراغ، وقد تبنت السلطات المصرية أخيرًا حزمة تشريعات تتعلق بتنظيم استخدام تكنولوجيا المعلومات، إلا أن التدخل التشريعي للسلطات في هذا المجال لم يأتِ بهدف حماية حقوق الأفراد في الخصوصية، بقدر ما جاء لتمكين السلطات من السيطرة على الفضاء الرقمي”.
وأوضحت “فبعد ما يقرب من عامين ونصف العام قضتهم لجنة الاتصالات بمجلس النواب المصري في مُناقشة مشروع قانون حماية البيانات الشخصية، وافق المجلس أخيرًا على تمرير القانون، ثم قام رئيس الجمهورية بالتصديق عليه في شهر يوليو من العام الحالي. وقد شهدت عملية وضع القانون مشاركة واسعة للشركات العاملة في قطاع الاتصالات ومشاركة محدودة لمنظمات المجتمع المدني المصري”.
وأردفت “ومن المثير للاهتمام اقتصار قانون حماية البيانات الشخصية على وضع أطر تنظيمية لحماية البيانات المُعالجة إلكترونيًّا فقط، في الوقت الذي تنطوي أغلب التعاملات اليومية، سواء مع القطاع الحكومي أو غير الحكومي، على الإفصاح عن بيانات شخصية غير معالجة إلكترونيًّا بشكل روتيني. ولا توجد تشريعات أخرى تعالج حماية البيانات غير الإلكترونية أو تنظم مشاركتها مع أطراف مُختلفة. وهو ما يؤكد أن إصدار قانون حماية البيانات لم يكن غرضه الحقيقي حماية خصوصية الأفراد، وإنما استخدام هذا التشريع في مخاطبة المجتمع الدولي بأن مصر لديها بيئة قانونية مهيئة للاستثمار تمكنها من عقد شراكات مع أطراف المجتمع الدولي في مجال تكنولوجيا المعلومات”.
واستكملت “اعتمد المُشرِّع المصري عند وضع قانون حماية البيانات الشخصية، على الأخذ بالقواعد المنصوص عليها باللائحة العامة لحماية البيانات الصادرة عن الاتحاد الأوروبي (GDPR)، إلا أن المُشرِّع قد أدخل تعديلات على هذه القواعد أدت إلى صياغة بعض نصوص القانون بشكل مقتضب، خاصة فيما يتعلق بحقوق الأفراد الذين تتم مشاركة بياناتهم الشخصية مع أطراف مختلفة وضمانات حماية الحق في الخصوصية لأصحاب البيانات”.
وتابعت “كما أحال القانون عددًا كبيرًا من الإجراءات المتعلقة بتفعيل قانون حماية البيانات إلى اللائحة التنفيذية للقانون والتي لم تصدر حتى الآن، ورغم ذلك يُعتبر القانون خطوة تشريعية هامة، تحتاج جهودًا كبيرة لإنفاذها على أرض الواقع. ومن أهم الخطوات التي ترى (مسار) أنها مصيرية لجعل قانون حماية البيانات أداة فعالة لحماية خصوصية الأفراد، هي فلسفة التشريع ذاته. فإقدام السلطات المصرية على تنظيم عملية مشاركة البيانات الشخصية يجب أن ينطلق من إيمان حقيقي بحق الأفراد في الخصوصية وليس من مجرد رغبة السلطات في تهيئة بيئة الاستثمار”.
واستدركت الورقة “لكن بقراءة متمعنة في نصوص قانون حماية البيانات الشخصية، نجد أن الحق في الخصوصية لم يكن الدافع الرئيسي لتبني هذا القانون، وإنما استهداف توفير مناخ تشريعي جاذب لحزم المساعدات المالية بصورها المختلفة. وبالرغم من مشروعية هذا الهدف، فإنه لا ينبغي ألا يأتي على حساب حق الأفراد في الخصوصية المحمي بموجب كلٍّ من القانون الدولي والدستور المصري”.
وأشارت مسار إلى أن “قانون حماية البيانات الشخصية استثنى بعض الجهات من الخضوع لأحكامه بشكل مجمل. وتضم الجهات الخارجة عن نطاق سريان القانون، على سبيل المثال، المؤسسات الخاضعة للبنك المركزي وجهات الأمن القومي. وكان يجب على السلطات التشريعية استثناء بعض أنواع البيانات التي تحوزها هذه الجهات بمناسبة ممارستها لوظائفها من الخضوع لأحكام القانون وليس إعفاء كافة ما تحوزه هذه الجهات من بيانات ومعلومات من الخضوع لأحكامه، وذلك لانتهاك هذا التوسع لمبدإ سيادة القانون. حيث يجب أن تخضع هذه الجهات أيضًا للالتزام القانوني بحماية خصوصية الأفراد”.
وشددت الورقة على أن “إقرار قانون حماية البيانات الشخصية خطوة هامة لتوفير الحماية اللازمة لخصوصية المُستخدمين، وتتعاظم هذه الأهمية في ظل وجود بيئة تشريعية فقيرة تغيب عنها الضمانات المُتعلقة بخصوصية الأفراد بشكل عام، هذا بجانب غياب القواعد التنظيمية المُتعلقة بالقواعد والإجراءات اللازمة لحماية البيانات الشخصية، وعدم وضوح سُبل الإنصاف في حالة الاعتداء على الحياة الخاصة”.
لكن “مسار” أوصى بضرورة “إجراء مُراجعة تشريعية واسعة لكافة القوانين الأخرى التي تنظم المُعاملات اليومية التي تتطلب مُشاركة بيانات الأفراد مع الغير، وذلك لجعل أحكام قانون حماية البيانات فعالة، حيث يعتبر هذا القانون هو القاعدة العامة المعنية بتنظيم وحماية كل ما يتعلق بتداول البيانات الشخصية”.
كما أوصى بـ”إعادة النظر في القواعد الإجرائية المنصوص عليها بقانون حماية البيانات الشخصية، على أن يتم تعديل القانون بإضافة كافة الضوابط المُتعلقة بحماية البيانات أو مُشاركتها مع أطراف أخرى، دون الإحالة إلى اللوائح والقرارات التنفيذية، حيث أحال قانون حماية البيانات الشخصية، تفصيلات إجرائية جوهرية إلى اللائحة التنفيذية، وهو ما يتعارض مع الطبيعة الخاصة لقانون حماية البيانات، فهو بطبيعته قانون ذو طابع إجرائي، ما يعني ضرورة أن تكون القواعد الإجرائية شاملة وكافية لتطبيقها بذاتها، وأن يتم النص عليها في القانون لضمان استقرارها، دون الإحالة إلى لوائح وقرارات تنفيذية تصدرها الجهات التنفيذية، وتستطيع تغييرها دون الرجوع إلى السلطة التشريعية”.
ونبهت الورقة البحثية إلى أنه “يجب على السلطات مُراعاة القواعد المُتعلقة بفرض رسوم لحصول الأفراد على بياناتهم الشخصية نظرًا إلى ارتفاع الحد الأقصى المنصوص عليه في القانون بشكل مبالغ فيه (عشرون ألف جنيه مصري). لذلك يجب أن تُراعي قرارات مركز حماية البيانات التكلفة الفعلية لاستخراج البيانات”.
كما يجب -حسب مسار- أن يتبع إصدار قانون حماية البيانات الشخصية تشكيل هيئات مُستقلة قادرة على مُتابعة الالتزامات القانونية للمُخاطَبين بالقانون ورفع وعي المُستخدمين والجهات، وفي هذا الشأن يجب تعديل النصوص الخاصة بتشكيل مجلس إدارة مركز حماية البيانات، بما يضمن تمثيل الأطراف المُختلفة من أصحاب المصالح والمُستخدمين.
وأشارت الورقة إلى أنه يجب تعديل النصوص التي تتعلق بحقوق المُستخدم، لتشمل إلزام المُتحكم أو المُعالج بتقديم البيانات الشخصية التي يطلبها المُستخدم بطريقة مُلائمة يكون للمُستخدم الحق في تحديدها أو اختيارها من بين طرق وصيغ مُتعددة تتفق وحاجة المُستخدم، مع النص على آلية إبلاغ المُستخدم عن حدوث انتهاك للبيانات الشخصية الخاصة به والمدى الزمني الذي يجب أن يتم خلاله إخطار من وقع في حقه الانتهاك.
ولفتت إلى أنه يجب تعديل القانون بإضافة نصوص تُلزم الحائز أو المُتحكم، عند جمع البيانات بشكل مُباشر من المُستخدمين، أن يُسلم المُستخدمين قائمة تتضمن الحقوق الأساسية المُتعلقة بالبيانات التي تم جمعها أو مُعالجتها، على أن تتضمن هذه القائمة، أغراض المُعالجة، وسُبل الاتصال بالحائز أو المُتحكم أو المُعالج لمحو أو تعديل البيانات الشخصية.
للاطلاع اضغط هنا