البرلمان يشن حربا لحماية البيانات الشخصية.. مشروع جديد على أجندة البرلمان
الأحد، 25 أغسطس 2019 03:53 م
يعد قانون "حماية البيانات الشخصية" المُقدم من الحكومة والذي انتهت منه لجنة الاتصالات وتكنولوجيا المعلومات برئاسة النائب أحمد بدوي، أحد التشريعات الهامة علي أجندة البرلمان خلال دور الأنعقاد الخامس من الفصل التشريعي الأول، خاصة مع خلو التشريعات القائمة من إطار قانونى ينظم حماية البيانات الشخصية المعالجة إلكترونياً أثناء جمعها أو تخزينها أو معالجتها.
وتكمن أهمية القانون، لاسيما وأنه ينظم التعامل مع البيانات الشخصية للأفراد علي نطاق واسع، بحيث يكشف عن صور حق الأشخاص في حماية البيانات الشخصية لهم، ويُجرم جمع البيانات الشخصية بطرق غير مشروعه أو بدون موافقة أصحابها، كما يٌجرم معالجتها بطرق تدليسيه أو غير مطابقة للأغراض المصرح بها من قبل صاحب البيانات، كما يتناول أيضا تنظيم نقل ومعالجة البيانات عبر الحدود، بما يعود بالنفع علي المواطنين والاقتصاد القومي، وبما يتفق مع المعايير الدولية في مجالات حماية البيانات الشخصية، من خلال قواعد ومعايير واشتراطات يضعها ويباشر الإشراف عليها مركز حماية البيانات المنشأ لهذا الغرض، وتقنين أنشطة استخدام البيانات الشخصية فى عمليات الإعلان والتسويق على الإنترنت والبيئة الرقمية بشكل عام.
وينعكس القانون في تحقيق العديد من المكاسب الاقتصادية، حيث تُسهم حماية البيانات الشخصية في تطوير وتنمية صناعات التعهيد، وصناعة مراكز البيانات، بما يحقق وفرة اقتصادية كبيرة تُسهم في خلق مزيد من فرص العمل وتُشجع علي جذب الاستثمارات في قطاعات الدولة المختلفة، لاسيما تلك التي تتعامل مع بيانات الافراد الطبيعيين سواء داخل أو خارج مصر، كالفنادق وشركات السياحة والمستشفيات والبنوك، بالإضافة إلي دوره في تعزيز الشمول المالي، وذلك جنباً إلي جنب الدور الذي من المُتوقع أن يلعبه القانون في تعزيز مؤشر حقوق الإنسان من خلال حماية بيانات المواطنين المصريين وضمان وجود إطار قانوني حاكم لجمع وتخزين ومعالجة بياناتهم ووضع ضوابط لنقل البيانات خارج البلاد وتنظيم واستغلالها في أنشطة التسويق الإليكتروني.
ويعرف قانون البيانات الشخصية، بأنها أى بيانات متعلقة بشخص طبيعي محدد أو يمكن تحديده بشكل مباشر أو غير مباشر عن طريق الربط بينها وبين بيانات أخرى، ومنها علي سبيل المثال الاسم أو الصوت، أو الصورة أو رقم تعريفي أو محدد للهوية علي الإنترنت، أو أي بيانات تحدد الهوية النفسية أو الصحية أو الاقتصادية أو الثقافية أو الاجتماعية، أما "البيانات الشخصية الحساسة"، فهي بيانات الصحة النفسية أو العقلية أو البدنية أو الجينية أو بيانات القياسات الحيوية «البيومترية» أو البيانات المالية أو المتعقدات الدينية أو الأراء السياسية أو الحالة الأمنية، وفي جميع الأحوال تُعد بيانات الأطفال من البيانات الشخصية الحساسة.
النائب أحمد بدوى، رئيس لجنة الاتصالات وتكنولوجيا المعلومات، قال إن أهمية القانون الجديد تكمن ضمن حزمة التشريعات المتعلقة بقطاع الاتصالات الممثله في ثالوثي قوانين "جرائم الانترنت" و"المعاملات الإليكترونية و"حماية البيانات"، مشيراً إلي أنه يضمن مستوي مناسب من الحماية القانونية والتقنية للبيانات الشخصية المعالجة اليكترونيا ويضع التزامات علي كل من المتحكم في البيانات ومعالجها باعتبارهما من العناصر الفاعلة في مجالات التعامل مع البيانات الشخصية سواء من خلال الجمع أو النقل أو التخزين.
وأشار بدوي، إلى أن القانون الجديد وضع سياج فعال من الحماية للبيانات الشخصية، و ألزم المؤسسات والجهات والافراد المتحكمين في البيانات الشخصية والمعالجين لها بتعين مسئول لحماية البيانات الشخصي داخل مؤسساتهم بما يسمح بخصوصية بيانات الافراد، مع تنظيم عمليات المعالجة الإليكترونية وإصدار تراخيص لمن يقوم بها لاسيما البيانات الحساسة.
ونص القانون بشكل واضح علي عدم جواز جمع البيانات الشخصية أو معالجتها أو الإفصاح عنها بأية وسيلة من الوسائل إلا بموافقة صريحة من الشخص صاحب البيانات أو في الأحوال المُصرح بها قانوناً، ويكون لصاحب البيانات عدد من الحقوق في مقدمتها العلم والإطلاع والوصول والحصول علي البيانات الشخصية الخاصة به الموجودة لدي أي حائز أو متحكم أو معالج، العدول عن الموافقة المسبقة علي الاحتفاظ أو معالجة بياناته الشخصية، والاعتراض علي معالجة البيانات الشخصية أو نتائجها متي تعارضت مع الحقوق والحريات الاساسية للشخص المعنى بالبيانات.وعاقب بغرامة لا تقل عن 100 ألف جنية ولا تجاوز مليون جنية، كل حائز أو متحكم أو معالج امتنع دون مقتضي من القانون من تمكين الشخص المعني بالبيانات من ممارسة هذه الحقوق.
كما عاقب بغرامة لا تقل عن 200 ألف جنية ولا تجاوز مليوني جنية كل من جمع بيانات شخصية دون توفر الشروط المنصوص عليها بالمادة (3)، والتي اشترطت لجمع ومعالجة البيانات الشخصية والاحتفاظ بها عدد من الشروط، ومنها أن تجمع لأغراض مشروعه ومحددة ومعلنه للشخص المعني، أن تكون صحيحة وسليمة ومؤمنة، أن تعالج بطريقة مشروعة وملائمة للأغراض التي تم تجميعها من أجلها، ألا يتم الاحتفاظ بها لمدة أطول من المدة اللازمة للوفاء بالغرض المُحدد لها.
وفرض القانون ، غرامة لا تقل عن 100 ألف جنية ولا تجاوز مليون جنية كل حائز أو متحكم أو معالج جمع أو افشي أو أتاح أو تداول بيانات شخصية معالجة إليكترونيا بأي وسيلة من الوسائل في غير الأحوال المصرح بها قانونا، أو بدون موافقة الشخص المعني البيانات. وتكون العقوبة الحبس مدة لا تقل عن 6 أشهر وبغرامة لا تقل عن 200 ألف جنية ولا تجاوز مليوني جنية أو إحداهما إذا أُرتكب ذلك مقابل الحصول علي منفعة مادية أو أدبية أو إذا ترتب علي ذلك تعريض الشخص المعني للبيانات للخطر أو الضرر.
وأنشا القانون مركز لحماية البيانات الشخصية، لحماية البيانات الشخصية وتنظيم معالجتها وإتاحتها، وألزم "المتحكم والمعالج"، حال علمهم بوجود خرق أو انتهاك مؤثر علي البيانات الشخصية لديه بإبلاغ المركز خلال 24 ساعة، والذي يقوم بدوره بالإخطار الفورى لجهات الأمن القومي بالواقعة، كما يلتزم بموافاته خلال 72 ساعة من تاريخ علمه، بما يأتي، وصف طبيعة الخرق أو الانتهاك، وصورته وأسبابه والعدد التقريبي للبيانات الشخصية وسجلاتها، بيانات مسئول حماية البيانات الشخصية لدية، الآثار المحتملة لحادث الخرق أو الانتهاك،وصف الإجراءات المتخذة والمقترح تنفيذها لمواجهة هذا الخرق أو الانتهاك والتقليل من اثارة السلبية، توثيق الخرق أو الانتهاك للبيانات الشخصية، والإجراءات التصحيحية المتخذة ولمواجهته ويجب علي المتحكم والمعالج بحسب الأحوال، إخطار الشخص المعني بالبيانات متي كان الخرق أو الانتهاك مؤثراً علي مصالحه وحقوقه الأساسية، وذلك خلال 10 أيام عمل من تاريخ الإبلاغ وما تم اتخاذه من إجراءات، ويُعاقب المخالف لحكم المادة بغرامة لا تقل عن 300 ألف جنية ولا تجاوز 3 ملايين جنية.
وحظر القانون، علي المتحكم أو المعالج سواء كان شخصاً طبيعياً أو إعتباريا جمع أو نقل أو تخزين أو حفظ أو معالجة بيانات شخصية حساسة أو إتاحتها إلا بترخيص من مركز حماية البيانات الشخصية المزمع إنشاءه بموجب القانون، مع إلزامة بالحصول علي موافقة كتابية وصريحة من صاحب البيانات أو في الأحوال المصرح بها قانونا، وفي حالة بيانات الأطفال دون سن الـ16 عاماً يلزم موافقة ولي الأمر، ويجب ألا تكون مشاركة الطفل في لعبة، أو مسابقة، أو أي نشاط أخر، مشروطة بتقديم بيانات شخصية للطفل تزيد علي ماهو ضرورى للمشاركة في ذلك، وفقا للمعايير والضوابط التي تحددها اللائحة التنفيذية للقانون.
وعاقب بالحبس مدة لا تقل عن 3 أشهر وغرامة لا تقل عن 500 ألف جنية ولا تجاوز 5 ملايين جنية أو إحداهما كل حائز أو متحكم أو معالج أو مسئول حماية البيانات الشخصية، جمع أو أتاح أو تداول أو عالج أو افشي أو خزن أو نقل أو حفظ بيانات شخصية حساسة بدون موافقة الشخص المعني بالبيانات أو فى غير الأحوال المصرح بها قانونا.
أيضا تعرض القانون لتنظيم البيانات الشخصية عبر التسويق الإليكتروني، حيث اشترطت (17) لإجراء أي اتصال إليكتروني بغرض التسويق المباشر لصاحب البيانات الشخصية، توافر عدد من الشروط ومنها الحصول علي موافقة مسبقة من صاحب البيانات أو إذا كان الأتصال الإليكتروني يتسق مع غرض ونشاط المتحكم في التسويق لمنتجاته وخدماته دون الإخلال بمصالح وحقوق الشخص المعني بالبيانات، أن يتضمن الاتصال هوية منشئه ومرسلة، الإشارة بأن الاتصال الإليكتروني مرسل لأغراض التسويق المباشر، وضع آليات واضحة لتمكين الشخص صاحب البيانات من رفض الاتصال الإليكتروني أو العدول عن موافقته علي إرسالها.
وألزمت المادة (18) التزامات علي المرسل لأي اتصال إليكتروني بغرض التسويق المباشر، ومنها الغرض التسويقي المٌحدد، عدم الإفصاح عن بيانات للشخص المعني بالبيانات، الاحتفاظ بسجلات إليكترونية مثُبتا بها موافقة الشخص المعني بالبيانات وتعديلاتها أو عدم اعتراضة علي استمرارة بشأن تلقي الأتصال الإليكتروني لمدة 3 سنوات من تاريخ اخر إرسال، ويٌعاقب بغرامة لا تقل عن 100 ألف جنية ولا تجاوز مليوني جنية كل من خالف أحكام التسويق الإليكتروني بالمادتين (17، 18).