قانون حماية البيانات الشخصية المعالجة إلكترونيًا في مصر

بقلم: مسار – مجتمع التقنية والقانون

بتصور وتكليف من مركز إتاحة المعرفة من أجل التنمية لمشروع Fairwork، بالتعاون مع معهد أكسفورد للإنترنت ومركز برلين للعلوم الاجتماعية، وبدعم من الوكالة الألمانية للتعاون الدولي (GIZ).

 السياق العام

في يوليو 2020 صدّق رئيس الجمهورية على القانون رقم 151 لسنة 2020 بإصدار قانون حماية البيانات الشخصية، بعد ا يقرب من عامين ونصف العام قضتهم لجنة الاتصالات بمجلس النواب المصري في مُناقشة مشروع القانون حماية البيانات. وقد شهدت عملية وضع القانون مشاركة بعض الشركات العاملة في قطاع الاتصالات ومشاركة محدودة لمنظمات المجتمع المدني المصري. 

على الرغم من أن القانون قد جاء إعمالا للنص الدستوري المنصوص عليه في المادة 57 من الدستور، إلاّ أنه اقتصر على حماية البيانات الشخصية على وضع أطر تنظيمية لحماية البيانات المُعالجة إلكترونيًّا فقط، في الوقت الذي تنطوي أغلب التعاملات اليومية سواء مع القطاع الحكومي أو غير الحكومي على الإفصاح عن بيانات شخصية غير معالجة إلكترونيًّا بشكل روتيني. ولا توجد تشريعات أخرى تعالج حماية البيانات غير الإلكترونية أو تنظم مشاركتها مع أطراف مُختلفة

وقد اعتمد المُشرِّع المصري عند وضع قانون حماية البيانات الشخصية على الأخذ بالقواعد المنصوص عليها باللائحة العامة لحماية البيانات الصادرة عن الاتحاد الأوروبي (GDPR)، إلا أن المُشرِّع قد أدخل تعديلات على هذه القواعد أدت إلى صياغة بعض نصوص القانون بشكل مقتضب خاصة فيما يتعلق بحقوق الأفراد الذين تتم مشاركة بياناتهم الشخصية مع أطراف مختلفة وضمانات حماية الحق في الخصوصية لأصحاب البيانات. كما أحال القانون عددًا كبيرًا من الإجراءات المتعلقة بتفعيل قانون حماية البيانات إلى اللائحة التنفيذية للقانون التي لم تصدر حتى الآن، هذا التأخير قد ما أدى إلى تعطيل العمل  به.

وفي مرحلة إعداد القانون أبدى  ممثلي وزارات الداخلية والدفاع والخارجية بالإضافة إلى البنك المركزي اعتراضات على خضوعهم للأحكام القانون، وقد تم الاستجابة إلى الاعتراضات و استثناء جهات الأمن القومي والبنك المركزي والجهات التابعة له من الخضوع لأحكام قانون حماية البيانات الشخصية

نطاق تطبيق القانون

يُطبق قانون حماية البيانات الشخصية على المُقيمين في جمهورية مصر العربية من مصريين وأجانب، كما يُمكن أن يُطبق على المقيمين خارج مصر بصفة عامة بشرط أن يكون الفعل المُرتَكب من الأجنبي أو المصري المُقيم في الخارج مُعاقبًا عليه أيضًا بموجب أحد قوانين الدولة التي وقعت بها الجريمة. كما يُطبق القانون على البيانات الشخصية المعالجة إلكترونيًا فقط، دون غيرها من البيانات، كما يقتصر مجال الحماية للبيانات المعالجة إلكترونيًا المرتبطة بالأشخاص الطبيعيين فقط (الأفراد) وهو ما يعني أن نطاق الحماية لا يمتد للبيانات المتعلقة بالشركات والهيئات وغيرها من الكيانات الأخرى

 وقد حدّد القانون الاستثناءات من تطبيقه على سبيل الحصر كالتالي

  • البيانات الشخصية التي يحتفظ بها الأشخاص الطبيعيون للغير ويتم معالجتها للاستخدام الشخصي
  • البيانات الشخصية التي تتم معالجتها بغرض الحصول على البيانات الإحصائية الرسمية أو تطبيقًا لنص قانوني
  • البيانات الشخصية التي تتم معالجتها حصرًا للأغراض الإعلامية بشرط أن تكون صحيحة ودقيقة، وألَّا تستخدم في أغراض أخرى وذلك بدون الإخلال بالتشريعات المنظمة للصحافة والإعلام
  • البيانات الشخصية المتعلقة بمحاضر الضبط القضائي والتحقيقات والدعاوى القضائية
  • البيانات الشخصية لدى جهات الأمن القومي وما تقدره لاعتبارات أخرى
  • البيانات الشخصية لدى البنك المركزي المصري والجهات الخاضعة لرقابته وإشرافه عدا شركات تحويل الأموال وشركات الصرافة

قانون حماية البيانات الشخصية يُركّز بشكل رئيسي على تنظيم حماية البيانات الشخصية المعالجة إلكترونيًا، وبالتالي فإن أحكام هذا القانون تنطبق على الغالبية العظمى من المنصات التجارية على الإنترنت أو تلك ذات تعمل تحت نموذج (الاقتصاد التشاركي) ما دام  نشاطها يتضمن التعامل مع البيانات الشخصية بأي شكل من الأشكال. وقد قدّم القانون تعريفًا لنوعين من البيانات:

  • البيانات الشخصية، وهي “أي بيانات متعلقة بشخص طبيعي مُحدّد أو يمكن تحديده بشكل مباشر أو غير مباشر عن طريق الربط بين هذه البيانات وأي بيانات أخرى كالاسم أو الصوت أو الصورة أو رقم تعريفي أو محدد للهوية عبر الإنترنت أو أي بيانات تحدد الهوية النفسية أو الصحية أو الاقتصادية أو الثقافية أو الاجتماعية”
  • البيانات الشخصية الحساسة، وهي “البيانات التي تفصح عن الصحة النفسية أو العقلية أو البدنية أو  الجينية أو بيانات القياسات الحيوية “البيومترية” أو البيانات المالية أو المعتقدات الدينية أو الآراء السياسية أو الحالة الأمنية وفي جميع الأحوال تعد بيانات الأطفال من البيانات الشخصية الحساسة”

وعلى هذا الأساس فإن قانون حماية البيانات الشخصية سينطبق على العديد من المنصات والشركات التي تُدير عملها بالاعتماد على تقنية المعلومات، على سبيل المثال لا الحصر؛ شركات النقل التشاركي والشركات التي تقدم الخدمات اللوجيستيه ، مثل شركات توصيل الطعام وشركات الشحن ومنصات التجارة الإلكترونية وشركات التكنولوجيا المالية ومنصات تقديم الخدمات، و منصات العمل الحرة و المنصات التي تعمل على توصيل مُتلقّي الخدمة بمقدمها وشركات التسويق الرقمي التي تعتمد على تقنيات الاتصالات والإنترنت في التسويق وشركات تقديم الرعاية الصحية بما في ذلك حجز العيادات والمستشفيات وتوصيل الأدوية

وطبقًا لنصوص القانون والقواعد التنظيمية التي نصّ عليها وتطبيقها على الواقع العملي للشركات والمنصات التي تتعامل مع البيانات الشخصية والبيانات الشخصية الحساسة، فإن هناك تداخل في المسؤوليات والالتزامات التي حدّدها القانون خاصة مع وجود أطراف ثالثة عدّة تحتاج للوصول إلى بيانات شخصية لتنفيذ مهامها

شركات مثل شركات التجارة الإلكترونية ومنصات العمل الحر ومنصات الاقتصاد التشاركي، قد تحتاج في الغالب إلى تعهيد العديد من المهام إلى أطرف ثالثة، وهذا غالبًا ما يتم لأهداف تتعلق بتقليل أعمال التشغيل أو الاستفادة بتخصصات لا تتوفر داخليًا أو الاستعانة بتقنيات متطورة لإنجاز مهام تتعلق بجمع ومعالجة البيانات. وكأمثلة على هذا التداخل؛

  • شركات النقل التشاركي، تجمع البيانات الشخصية عن المستخدمين النهائيين وعن السائقين ، في حين تستعين بمنصات الدفع الإلكتروني (كطرف ثالث) لتنفيذ المدفوعات عبر الإنترنت،  ونظام ملاحة (كطرف ثالث) لاستخدامه في التنقل، وقد تستعين بشركة تسويق إلكتروني (كطرف ثالث) لاستهداف المستخدمين النهائيين بإعلانات مُوجّهة. ما يعني أن شركات النقل التشاركي ستتعامل مع البيانات الشخصية والبيانات الشخصية الحساسة سوء كان ذلك من خلال الشركة نفسها أو عبر التعامل مع أطرف ثالثة، وفي هذه الحالة تكون الشركة وجميع الأطراف الثالثة خاضعين لأحكام القانون
  • منصات التجارة الإلكترونية، تجمع البيانات عن المستخدمين النهائيين والبائعين، في حين تستعين بمنصات الدفع الإلكتروني (كطرف ثالث) لتنفيذ المدفوعات عبر الإنترنت، وشركة شحن (كطرف ثالث) لتوصيل المشتريات من البائع إلى المُستخدم النهائي، وقد تستعين بشركة تسويق إلكتروني (كطرف ثالث) لاستهداف المستخدمين النهائيين بإعلانات مُوجّهة. ما يعني أن شركات النقل التشاركي ستتعامل مع البيانات الشخصية والبيانات الشخصية الحساسة سوء كان ذلك من خلال الشركة نفسها أو عبر التعامل مع أطرف ثالثة، وفي هذه الحالة تكون الشركة وجميع الأطراف الثالثة خاضعين لأحكام القانون
  • شركات الشحن، وبحسب طبيعة عملها فإن لديها وصول إلى بيانات شخصية لأطراف مُتعدّدة، وكمثال على التداخل في عملية جمع البيانات،  فإن شركات الشحن التي تتعامل مع منصات التجارة الإلكترونية سيكون لديها إمكانية الوصول لبيانات شخصية عن مستخدم النهائي والبائع والعمال القائمين على التوصيل، وقد تستعين بنظام ملاحة (كطرف ثالث) لاستخدامه في عملية التوصيل، أو بشركة تسويق إلكتروني (كطرف ثالث) لاستهداف العملاء بإعلانات مُوجّه،  وفي هذه الحالة تكون الشركة وجميع الأطراف الثالثة خاضعين لأحكام القانون
  • منصات تقديم الخدمات تجمع البيانات عن المستخدمين النهائيين ومُقدّمي الخدمة،  في حين تستعين بمنصات الدفع الإلكتروني (كطرف ثالث) لتنفيذ المدفوعات عبر الإنترنت، وقد تستعين بشركة تسويق إلكتروني (كطرف ثالث) لاستهداف المستخدمين النهائيين بإعلانات مُوجّهة،  وفي هذه الحالة تكون الشركة وجميع الأطراف الثالثة خاضعين لأحكام القانون

وفي إطار تحديد الأطراف المختلفة التي تتعامل مع البيانات – خاصة في حالة وجود أنشطة تعهيد للتعامل مع البيانات من قبل أطراف ثالثة – فقد خاطب القانون ثلاث فئات رئيسية تخضع لأحكامه

  • الحائز، أي شخص طبيعي أو اعتباري يحتفظ ببيانات شخصية في أي صورة من الصور أو على أي وسيلة تخزين سواء كان هو مُنشئ البيانات أو انتقلت إليه بأي صورة من الصور. كمثال، هذه الحالة يُمكن أن تنطبق على شركات إدارة الخواديم التي يُخزّن عليها البيانات أو شركات التسويق عبر الهاتف والرسائل القصيرة وشركات الشحن
  • المتحكم، هو أي شخص طبيعي أو اعتباري يكون له الحق في الحصول على البيانات الشخصية وتحديد طريقة وأسلوب ومعايير الاحتفاظ بها أو معالجتها أو التحكم فيها طبقًا للغرض المحدد أو نشاطه. كمثال، هذه الحالة تنطبق على شركات النقل التشاركي ومنصات التجارة الإلكترونية والتسويق الرقمي
  • المعالج، هو أي شخص طبيعي أو اعتباري مختص بطبيعة عمله بمعالجة البيانات الشخصية لصالحه أو لصالح المتحكم مع بالاتفاق معه وفقًا لتعليماته.  كمثال، هذه الحالة تنطبق على شركات الشحن والتسويق الرقمي شركات وشركات المدفوعات الرقمية

 التزامات المُتحكم والمُعالج والحائز

يكفُل القانون عددًا من الضمانات التي تتعلق بحماية البيانات الشخصية للمُستخدمين، وتنعكس هذه الضمانات في صورة التزامات تقع على كل مُعالج أو مُتحكم أو حائز للبيانات. وقد فرَّق القانون بين الالتزامات التي تقع على المُتحكم والمُعالج، بينما أغفل الالتزامات المُتعلقة بالحائز. وقد حدّدت المادة 4 من القانون مجموعة من الالتزامات كالتالي

  • التزامات على المتحكم في البيانات تتعلق  بحقوق المُستخدمين، مثل ضرورة موافقة الشخص المعني بالبيانات، للحصول علي البيانات الشخصية أو تلقيها من الحائز أو من الجهات المختصة بتزويده بها، وكذلك التأكد من صحة البيانات الشخصية واتفاقها وكفايتها مع الغرض المحدد لجمعها، ومحو البيانات الشخصية لدى المُتحكم فور انقضاء الغرض المحدد منها، والتزام المُتحكم بتصحيح أي خطإٍ بالبيانات الشخصية فور إبلاغه أو علمه به.
  • ضرورة حصول المتحكم علي ترخيص أو تصريح من مركز حماية البيانات للتعامل مع البيانات الشخصية، كذلك وضع طريقة وأسلوب ومعايير المعالجة طبقًا للغرض المحدد، التأكد من اتساق الغرض المحدد من جمع البيانات الشخصية مع أغراض معالجتها، وكذلك اتخاذ جميع الإجراءات التقنية والتنظيمية وتطبيق المعايير القياسية اللازمة لحماية البيانات الشخصية وتأمينها حفاظًا علي سِرِّيتها، وعدم اختراقها أو إتلافها أو تغييرها أو العبث بها من قِبَل أي إجراء غير مشروع، وكذلك إمساك سجل خاص للبيانات، يتضمن وصف فئات البيانات الشخصية لديه، وتحديد من سيفصح لهم عن هذه البيانات أو يتيحها لهم، وسنده والمُدد الزمنية وقيودها ونطاقها وآليات محو البيانات الشخصية لديه أو تعديلها وأي بيانات أخرى متعلقة بنقل تلك البيانات الشخصية عبر الحدود، ووصف الإجراءات التقنية والتنظيمية الخاصة بأمن البيانات، وتوفير الإمكانيات اللازمة لإثبات هذه الالتزامات، وتمكين المركز من التفتيش والرقابة للتأكد من ذلك.
  • كما وضع القانون نصا إلزاميا يتعلق بالمُتحكم في البيانات خارج جمهورية مصر العربية ، حيث ألزمه بتعيين ممثل له في جمهورية مصر العربية

الملامح العامة المتعلقة بقواعد وإجراءات حماية البيانات الشخصية

قدم قانون حماية البيانات الشخصية المصري مجموعة من القواعد والإجراءات المتعلقة بحماية البيانات الشخصية بشكل عام، والتي تنطبق على جميع الجهات والكيانات التي تتعامل مع البيانات الشخصية ما دامت من غير الجهات المستثناة من أحكام القانون. على ذلك فإن كل المنصات والشركات التي تتعامل مع بيانات شخصية وبيانات شخصية حساسة يجب أن تلتزم بقواعد وإجراءات حماية البيانات الشخصية التي نص عليها القانون. فيما يلي مُلخّص للقواعد

  • الحق في العلم بأي خرق أو انتهاك، حيث أشار نص المادة 2 من قانون حماية البيانات إلى حق المُستخدم في العلم والمعرفة بأي خرق أو انتهاك لبياناته الشخصية.كما نصت المادة 7 المُتعلقة بالتزامات المُتحكم والمُعالج على أن يتم إبلاغ مركز حماية البيانات فقط في حالة وجود أي خرق للبيانات -وليس صاحب البيانات- خلال اثنتين وسبعين ساعة، وفي حال كان هذا الخرق أو الانتهاك متعلقًا باعتبارات حماية الأمن القومي فيكون الإبلاغ فوريًّا إلى مركز حماية البيانات، وعلى المركز وفي جميع الأحوال إخطار جهات الأمن القومي بالواقعة فورً.
  • الحق في معرفة الهدف من جمع البيانات وأسباب المُعالجة: نص المادة 2 من قانون حماية البيانات الشخصية على تنظيم حق المُستخدم في العلم بالبيانات الشخصية الخاصة به الموجودة لدى أي حائز أو متحكم أو معالج البيانات والاطلاع عليها والوصول إليها أو الحصول عليها.
  •  قواعد وإجراءات إتاحة البيانات الشخصية ومحوها وتعديلها : إتاحة وصول المُستخدم إلى البيانات التي يمتلكها كل من المُتحكم أو المُعالج أو الحائز، وهي خطوة أساسية لتفعيل حقوق المُستخدم المُختلفة، سواء برغبة المُستخدم في محو البيانات وتصحيحها أو تعديلها، أو معرفة أساب جمع ومعالجة البيانات

مُشاركة البيانات عبر الحدود

لم يضع قانون حماية البيانات الشخصية المصري معايير واضحة تمثل الحد الأدنى الذي يجب توافره خلال عملية مُشاركة البيانات عبر الحدود سواء تم ذلك مع أطراف حكومية أو شركات أو مُنظمات خارج مصر، أكتفي قانون حماية البيانات بموجب المادة 14 من ضرورة توافر شرطين عند مُشاركة أو إتاحة البيانات عبر الحدود،

  • الأول: توفر مستوى حماية لا تقل عن مستوى الحماية المنصوص عليها بالقانون المصري
  • والثاني: أن يكون هناك ترخيص من مركز حماية البيانات لمُشاركة البيانات مع أطراف أجنبية

 حدود مسئولية مقدمي الخدمة والآثار المترتبة على مخالفتها

يضع قانون حماية البيانات الشخصية مسؤوليات على مقدمي الخدمة، فبخلاف الالتزامات التي يحددها القانون على كل معالج أو متحكم في البيانات، يضع مسؤوليات مثل :

  • توفير الإمكانيات اللازمة لإثبات التزام مقدم الخدمة بتطبيق أحكام هذا القانون وتمكين مركز حماية البيانات من التفتيش والرقابة.
  • الإبلاغ عن أي خرق أو انتهاك للبيانات الشخصية لديه، من خلال إبلاغ المركز خلال اثنتين وسبعين ساعة ، وفي حال كان هذا الخرق أو الانتهاك متعلقًا باعتبارات حماية الأمن القومي فيكون الإبلاغ فوريا.
  • يلتزم الممثل القانوني للشخص الاعتباري لأي متحكم أو معالج بأن يعين داخل كيانه القانوني وهيكله الوظيفي موظفًا مختصًا مسئولاً عن حماية البيانات الشخصية ، وذلك بقيده في سجل مسئولي حماية البيانات الشخصية بالمركز.
  • ويرتب القانون عقوبات في حالة مخالفات الالتزامات والمسؤوليات، وخاصة في حال تتعلق إفشاء البيانات، أو الامتناع عن طلبات الإفصاح عن البيانات، أو مخالفة أحكام التسويق الإلكتروني، ويواجه في هذه الحالة مقدمي الخدمة عقوبات تتراوح بين خمسون ألف جنيه وخمسة ملايين جنيه أو الحبس لفترة قد تصل إلى 3 سنوات.
Advertisement

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s