تفاصيل محاضرة «الإطار التشريعي لحماية البيانات الشخصية ومعالجتها» المقدمة بمعهد محاماة القاهرة الكبرى
كتب: علي عبدالجواد
عقد معهد محاماة القاهرة الكبرى، اليوم، محاضرة لمحامي ومحاميات الجدول العام الملتحقين بالدورة الرابعة من نقابات؛ شمال القاهرة والقاهرة الجديدة وجنوب القاهرة وحلوان، حول “الإطار التشريعي لحماية البيانات الشخصية ومعالجتها، للدكتور محمد حمزة، وذلك من الساعة الواحدة ظهرًا حتى الثالثة عصرًا، بقاعة المؤتمرات باتحاد عمال مصر، تحت رعاية نقيب المحامين، الأستاذ/ رجائي عطية ـ رئيس اتحاد المحامين العرب ـ وبإشراف الأمين العام الأستاذ/ حسين الجمال، ومقرر عام المعهد، والأستاذ إسماعيل طه، عضو مجلس النقابة العامة، ومنسق عام المعهد.
وتناول المحاضر الفرق بين البيانات الشخصية. والبيانات الشخصية الحساسة، والمقصود بمعالحة البيانات وشروط معالجتها، وحقوق الشخص المعنى بالبيانات والتزامات مسئول حماية البيانات الشخصية، والضوابط القانونية للتسويق الالكتروني، وحدود اختصاص مركز حماية البيانات الشخصية.
وشرح الدكتور محمد حمزة، ماهية التحول الرقمي وتطبيقاته، إلى جانب استراتيجيات التحول الرقمي للمؤسسات والنقابات، وقام بشرح عملية التحول الرقمي، وخطوات تطبيقها، مؤكدًا أنه من الضروري عند تطبيق عملية التحول الرقمي يكون بناء على خطة استراتيجية لحماية المعلومات من ثمة أي اختراق يمكن ان يحدث.
وأوضح «حمزة» أن التحول الرقمي له عدة فوائد متنوعة للمؤسسة التي تستخدمه، حيث أنه يوفر الوقت والجهد، ويحسن الكفاءة التشغيلية وينظمها، ويعمل على تحسين الجودة وتبسيط الإجراءات للحصول على الخدمات المقدمة للمستفيدين، ويهمل على خلق فرص لتقديم خدمات مبتكرة وإبداعية بعيدًا عن الطرق التقليدية غي تقديم الخدمات، مشددًا على انه يساعد المؤسسات الحكومية والشركات على التوسع والانتشار، والانتقال إلى شريحة أكبر من العملاء والجمهور.
وأضاف أن التحول الرقمي له عناصر؛ منها الحوسبة السحابية، والأتمتة، وانترنت الأشياء، وتحليل البيانات، إلى جانب التواصل، والذكاء الاصطناعيّ، موضحًا من خلال شرح تفصيلي مطول المعنى لكل عنصر منهم على حدى.
وشدد محمد حمزة، على أهمية تقنية البيانات الجيدة في البنية التحتية خلال عملية التحول الرقمي، إلى جانب الموارد البشرية المدربة والمؤهلة بشكل جيد يمكنها من استخدام البيانات وتحليلها لاتخاذ قرارات فعالة، كما يتطلب تخطيط الرؤى وتنفيذها، وجود كفاءات بشرية وخبرات علمية وعملية مع إيمان بالتغيير والتطوير، بالإضافة إلى ضرورة توفير بنية تحتية أمن معلوماتية تضمن حماية البيانات.
وقام الدكتور محمد حمزة، باحث دكتوراه في القانون والاقتصاد بكلية الحقوق جامعة عين شمس، والمكلف بالمحاضرة في الدورة، خلال المحاضرة الثانية بمراجعة سريعة على ماهية التحول الرقمي وتطبيقاته، إلى جانب استراتيجيات التحول الرقمي للمؤسسات والنقابات، وقام بشرح وتوضيح الاطار التشريعي لحماية البيانات الشخصية في ظل التحول الرقمي، بالإضافة إلى شروط وضوابط جمع البيانات ومعالجتها.
وأكد «حمزة» أن الاطار التشريعي لحماية البيانات الشخصية في ظل التحول الرقمي، وشروط وضوابط جمع البيانات ومعالجتها حدد قانون حماية البيانات الشخصية، الصادر بالقانون رقم 151 لسنة 2020، حقوق الشخص المعنى بالبيانات وشروط جمع ومعالجة البيانات، وتنص المادة (3)، على أنه يجب لجمع البيانات الشخصية ومعالجتها والاحتفاظ بها، توافر شروط منها أن تجمع البيانات الشخصية لأغراض مشروعة ومحددة ومعلنة للشخص المعنى، وأن تكون صحيحة وسليمة ومؤمنة، وأن تعالج بطريقة مشروعة وملائمة للأغراض التي تم تجميعها من أجلها، إلى جانب ألا يتم الاحتفاظ بها لمدة أطول من المدة اللازمة للوفاء بالغرض المحدد لها.
وأوضح أن اللائحة التنفيذية لهذا القانون السياسات والإجراءات والضوابط والمعايير القياسية للجمع والمعالجة والحفظ والتأمين لهذه البيانات؛ حيث تنص المادة (2)، على أنه لا يجوز جمع البيانات الشخصية أو معالجتها أو الإفصاح عنها أو إفشائها بأي وسيلة من الوسائل إلا بموافقة صريحة من الشخص المعنى بالبيانات، أو في الأحوال المصرح بها قانونا.
وأشار إلى أن الشخص المعنى بالبيانات يتمتع بحقوق علم بالبيانات الشخصية الخاصة به الموجودة لدى أي حائز أو متحكم أو معالج والاطلاع عليها والوصول إليها أو الحصول عليها، العدول عن الموافقة المسبقة على الاحتفاظ ببياناته الشخصية أو معالجتها لتصحيح أو التعديل أو المحو أو الإضافة أو التحديث للبيانات الشخصية، وتخصيص المعالجة في نطاق محدد لعلم والمعرفة بأي خرق أو انتهاك لبياناته الشخصية، بالإضافة إلى الاعتراض على معالجة البيانات الشخصية أو نتائجها متى تعارضت مع الحقوق والحريات الأساسية للشخص المعنى بالبيانات.
وتناول في اليوم الثالث من الدورة اختصاصات مسئول حماية البيانات الشخصية، حيث ينشأ بالمركز سجل لقيد مسئولي حماية البيانات الشخصية ، وتحدد اللائحة التنفيذية لهذا القانون شروط القيد وإجراءاته وآليات التسجيل، ويلتزم الممثل القانوني للشخص الاعتباري لأي متحكم أو معالج بأن يعين داخل كيانه القانوني وهيكله الوظيفي موظفًا مختصًا مسئولاً عن حماية البيانات الشخصية، وذلك بقيده في سجل مسئولي حماية البيانات الشخصية بالمركز، ويعلن عن ذلك، ويـكــون الشخـــص الطبيعــي المتحكم أو المعــالج هــو المسئول عن تطـبيــق أحكــام هـذا القـانون .
وعن التزامات مسئول حماية البيانات الشخصية، أكد انه يجب أن يكون مسئول حماية البيانات الشخصية مسئولاً عن تنفيذ أحكام القانون ولائحته التنفيذية وقرارات المركز، ومراقبة الإجراءات المعمول بها داخل كيانه الإشراف عليها ، وتلقي الطلبات المتعلقة بالبيانات الشخصية وفقا لأحكام هذا القانون، ويلـتزم عـلي الأخـص بالآتـي :
1 – إجراء التقييم والفحص الدوري لنظم حماية البيانات الشخصية ومنع اختراقها ، وتوثيق نتائج التقييم وإصدار التوصيات اللازمة لحمايتها .
2 – العمل كنقطة اتصال مباشرة مع المركز وتنفيذ قراراته ، فيما يخص تطبيق أحكام هذا القانون .
3 – تمكين الشخص المعني بالبيانات من ممارسة حقوقه المنصوص عليها في هذا القانون .
4 – إخطار المركز في حال وجود أي خرق أو انتهاك للبيانات الشخصية لديه .
5 – الرد علي الطلبات المقدمة من الشخص المعني بالبيانات أو كل ذي صفة ، والرد علي المركز في التظلمـات المقدمة إليه من أي منهما وفقا لأحكام هذا القانون .
6 – متابعة القيد والتحديث لسجل البيانات الشخصية لدي المتحكم أو سجل عمليات المعالجة لدي المعالج ، بمـا يكفل ضمان دقة البيانات والمعلومات المقيدة به .
7 – إزالة أي مخالفات متعلقة بالبيانات الشخصية داخل كيانه ، واتخاذ الإجراءات التصحيحيـة حيـالها .
8 – تنظيم البرامج التدريبية اللازمة لموظفي كيانه ، لتأهيلهم بما يتناسب مع متطلبات هذا القانون، وتحدد اللائحة التنفيذية لهذا القانون الالتزامات والإجراءات والمهام الأخرى التي يجب علي مسئول حماية البيانات الشخصية القيام بها.
وعن الحجية القانونية للأدلة الرقمية المستمدة من البيانات الشخصية، أوضح أنه وفقًا لما ذكر في قانون رقم 151 لسنة 2020 بإصدار قانون حماية البيانات الشخصية، في المادة (11)، التي نصت على أن يكون للدليل الرقمي المستمد من البيانات الشخصية طبقًا لأحكام هذا القانون ذات الحجية في الإثبات المقررة للأدلة المستمدة من البيانات والمعلومات الخطية متي استوفت المعايير والشروط الفنية الواردة باللائحة التنفيذية لهذا القانون.
وأضاف «حمزة» أنه يحظر على المتحكم أو المعالج سواء كان شخصًا طبيعيا أو اعتباريًا جمع بيانات شخصية حســاسة أو نقلها أو تخــزينها أو حفظهـا أو معــالجتها أو إتاحتها إلا بترخيص مـن المـركـز، وفيما عدا الأحــوال المصرح بها قانونًا ، يلزم الحصول علي موافقة كتــابية وصــريحة من الشخص المعني، وفي حالة إجراء أي عملية ممـا ذكر تتعلق ببيانات الأطفال، يلزم موافقة ولي الأمر، ويجب ألا تكون مشاركة الطفل في لعبة أو مسابقة أو أي نشاط آخر مشروطة بتقديم بيانات شخصية للطفل تزيد علي ما هو ضروري للمشاركة في ذلك.
وذكر أنه بالإضافة إلي الالتزامات الواردة بالمـادة (٩) من هذا القانون، يلتزم مسئول حماية البيانات الشخصية وتابعوه لدي المتحكم أو المعالج باتباع واستيفاء السياسات والإجراءات التأمينية اللازمة لعدم خرق البيانات الشخصية الحساسة أو انتهاكها.
وعن شروط واجراءات نقل البيانات الشخصية عبر الحــــدود، قائل: «يحظر علي المتحكم أو المعالج سواء كان شخصًا طبيعيا أو اعتباريًا جمع بيانات شخصية حســاسة أو نقلها أو تخــزينها أو حفظهـا أو معــالجتها أو إتاحتها إلا بترخيص مـن المـركـز، وفيما عدا الأحــوال المصرح بها قانونًا ، يلزم الحصول علي موافقة كتــابية وصــريحة من الشخص المعني، وفي حالة إجراء أي عملية ممـا ذكر تتعلق ببيانات الأطفال ، يلزم موافقة ولي الأمر ،ويجب ألا تكون مشاركة الطفل في لعبة أو مسابقة أو أي نشاط آخر مشروطة بتقديم بيانات شخصية للطفل تزيد علي ما هو ضروري للمشاركة في ذلك ،وذلك كله وفقًا للمعايير والضوابط التي تحددها اللائحة التنفيذية لهذا القانون».
وأوضح أنه بالإضافة إلي الالتزامات الواردة بالمـادة (٩) من هذا القانون ، يلتزم مسئول حماية البيانات الشخصية وتابعوه لدي المتحكم أو المعالج باتباع واستيفاء السياسات والإجراءات التأمينية اللازمة لعدم خرق البيانات الشخصية الحساسة أو انتهاكها، ويحظر إجراء عمليات نقل للبيانات الشخصية التي تم جمعها أو تجهيزها للمعالجة إلي دولة أجنبية أو تخزينها أو مشاركتها إلا بتوافر مستوي من الحماية لا يقل عن المستوي المنصوص عليه في هذا القانون ، وبترخيص أو تصريح من المركز ،وتحدد اللائحة التنفيذية لهذا القانون السياسات والمعايير والضوابط والقواعد اللازمة لنقل أو تخزين أو مشاركة أو معالجة أو إتاحة البيانات الشخصية عبر الحدود وحمايتها .
وأضاف «حمزة»، انه استثناءً من حكم المـادة (١٤) من هذا القانون ، يجوز في حالة الموافقة الصريحة للشخص المعني بالبيانات أو من ينوب عنه نقل أو مشاركة أو تداول أو معالجة البيانات الشخصية إلي دولة لا يتوافر فيهــا مستوي الحماية المشــار إليها في المـادة السـابقة ، وذلك في الحالات الآتية :
١- المحافظة علي حياة الشخص المعني بالبيانات ، وتوفير الرعاية الطبية أو العلاج أو إدارة الخدمات الصحية له .
٢ – تنفيذ التزامات بما يضمن إثبات حق أو ممارسته أمام جهات العدالة أو الدفاع عنه .
٣ – إبرام عقد ، أو تنفيذ عقد مبرم بالفعل ، أو سيتم إبرامه بين المسئول عن المعالجة والغير ، وذلك لمصلحة الشخص المعني بالبيانات .
٤ – تنفيذ إجراء خاص بتعاون قضائي دولي .
٥ – وجود ضرورة أو إلزام قانوني لحماية المصلحة العامة .
٦ – إجراء تحويلات نقدية إلي دولة أخري وفقًا لتشريعاتها المحددة والسارية .
٧ – إذا كان النقل أو التداول يتم تنفيذًا لاتفاق دولي ثنائي أو متعدد الأطراف تكون جمهورية مصر العربية طرفًا فيه .
وأشار إلى أنه يجوز للمتحكم أو المعالج ، بحسب الأحوال ، إتاحة البيانات الشخصية لمتحكم أو معالج آخر خارج جمهورية مصر العربية بترخيص من المركز متي توافرت الشروط الآتية :
١ – اتفاق طبيعة عمل كل من المتحكمين أو المعالجين ، أو وحدة الغرض الذي يحصلان بموجبه علي البيانات الشخصية .
٢ – توافر المصلحة المشروعة لدي كل من المتحكمين أو المعالجين للبيانات الشخصية أو لدي الشخص المعني بالبيانات .
٣ – ألا يقل مستوي الحماية القانونية والتقنية للبيانات الشخصية لدي المتحكم أو المعالج الموجودة بالخارج عن المستوي المتوافر في جمهورية مصر العربية .
وتحدد اللائحة التنفيذية لهذا القانون الاشتراطات والإجراءات والاحتياطات والمعايير والقواعد اللازمة لذلك .
وعن الضوابط القانونية للتسويق الالكتروني، نبه على أنه يحظر إجراء أي اتصال إلكتروني بغرض التسويق المباشر للشخص المعني بالبيانات ، إلا بتوافر الشروط الآتية :
١ – الحصول علي موافقة من الشخص المعني بالبيانات .
٢ – أن يتضمن الاتصال هوية منشئه ومرسله .
٣ – أن يكون للمرسل عنوان صحيح وكاف للوصول إليه .
٤ – الإشارة إلي أن الاتصال الإلكتروني مرسل لأغراض التسويق المباشر .
٥ – وضع آليات واضحة وميسرة لتمكين الشخص المعني بالبيانات من رفض الاتصال الإلكتروني أو العدول عن موافقته علي إرسالها .
وتابع: « يلتزم المرسل لأي اتصال إلكتروني بغرض التسويق المباشر بالالتزامات الآتية :
١ – الغرض التسويقي المحدد .
٢ – عدم الإفصاح عن بيانات الاتصال للشخص المعني بالبيانات .
٣ – الاحتفاظ بسجلات إلكترونية مثبت بها موافقة الشخص المعني بالبيانات وتعديلاتها ، أو عدم اعتراضه علي استمراره ، بشأن تلقي الاتصال الإلكتروني التسويقي وذلك لمدة ثلاث سنوات من تاريخ آخر إرسال .
وتحدد اللائحة التنفيذية لهذا القانون القواعد والشروط والضوابط المتعلقة بالتسويق الإلكـتروني المبـاشر».
وشرح محمد حمزة العقوبات المتعلقة بحماية البيانات الشخصية، والتي نظمها القانون وفقًا للمواد الأتية:
مادة ( 35 ) :
مع عدم الإخلال بأي عقوبة أشد منصوص عليها في أي قانون آخر ، ومع عدم الإخلال بحق المضرور في التعويض ، يعاقب علي الجرائم المنصوص عليها في المواد التالية بالعقوبات المقررة لها .
مادة ( 36 ) :
يعاقب بغرامة لا تقل عن مائة ألف جنيه ولا تجاوز مليون جنيه كل حائز أو متحكم أو معالج جمع أو عالج أو أفشي أو أتاح أو تداول بيانات شخصية معالجة إلكترونيًا بأي وسيلة من الوسائل في غير الأحوال المصرح بها قانونًا أو بدون موافقة الشخص المعني بالبيانات .
وتكون العقوبة الحبس مدة لا تقل عن ستة شهور وبغرامة لا تقل عن مائتي ألف جنيه ولا تجاوز مليوني جنيه ، أو بإحدى هاتين العقوبتين ، إذا ارتكب ذلك مقابل الحصول علي منفعة مادية أو أدبية ، أو بقصد تعريض الشخص المعني بالبيانات للخطر أو الضرر .
مادة ( 37 ) :
يعاقب بغرامة لا تقل عن مائة ألف جنيه ولا تجاوز مليون جنيه ، كل حائز أو متحكم أو معالج امتنع دون مقتض من القانون عن تمكين الشخص المعني بالبيانات من ممارسة حقــوقه المنصوص عليها في المـادة (٢) من هذا القــانون ويعــاقب بغرامة لا تقــل عن مائتي ألف جنيه ولا تجاوز مليوني جنيه كل من جمع بيانات شخصية بدون توافر الشروط المنصوص عليها في المـادة (٣) من هذا القانون .
مادة ( 38 ) :
يعاقب لا تقل عن ثلاثمائة ألف جنيه ولا تجاوز ثلاثة ملايين جنيه ، كل متحكم أو معالج لم يلتزم بواجباته المنصوص عليها في المواد (٤، ٥، ٧) من هذا القانون .
مادة ( 39 ) :
يعـــاقب بالغرامة التي لا تقـــل عن مائتي ألف جنيه ولا تجـــاوز مليـــوني جنيـــه ، كل ممثل قانوني للشخص الاعتباري لم يلتزم بأحد واجباته المنصوص عليها في المـادة (٨) مـن هـذا القـانون .
مادة ( 40 ) :
يعاقب بغرامة لا تقل عن مائتي ألف جنيه ولا تجاوز مليوني جنيه ، كل مسئول حمـــاية بيـــانات شخصية لم يلتزم بمقتضيات وظيفته المنـصــوص عليهـــا في المـادة (٩) مـن هـذا القـانون . ويعاقب بغرامة لا تقل عن خمسين ألف جنيه ولا تجاوز خمسمائة ألف جنيه إذا وقعت الجريمة نتيجة لإهمال مسئول حماية البيانات الشخصية .
مادة ( 41 ) :
يعاقب بالحبس مدة لا تقل عن ثلاثة شهور وبغرامة لا تقل عن خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه ، أو بإحدى هاتين العقوبتين ، كل حائز أو متحكم أو معالج جمع أو أتاح أو تداول أو عالج أو أفشي أو خزن أو نقل أو حفظ بيانات شخصية حساسة بدون موافقة الشخص المعني بالبيانات أو في غير الأحوال المصرح بها قانونًا .
ومادة ( 42 ) :
يعاقب بالحبس مدة لا تقل عن ثلاثة شهور وبغرامة لا تقل عن خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه ، أو بإحدي هاتين العقوبتين ، كل من خالف أحكام حركة البيانات الشخصية عبر الحدود المنصوص عليها في المواد (١٤، ١٥، ١٦) من هذا القانون .
وأشارت المادة ( 43 )، إلى أنه يعاقب بغرامة لا تقل عن مائتي ألف جنيه ولا تجاوز مليوني جنيه ، كل من خالف أحكام التسويق الإلكتروني المنصوص عليها في المـادتين (١٧، ١٨) من هذا القانون .
وأكدت المادة ( 44 )، أنه يعاقب بغرامة لا تقل عن ثلاثمائة ألف جنيه ولا تجاوز ثلاثة ملايين جنيه ، كل عضو مجلس إدارة أو أي من العاملين بالمركز خالف الالتزامات المنصوص عليها في المـادة (٢٤) مـن هـذا القـانون .
وأوضحت المادة ( 45 )، أنه يعاقب بغرامة لا تقل عن خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه ، كل من خالف أحكام التراخيص أو التصاريح أو الاعتمادات المنصوص عليها في هذا القانون.
ولفتت المادة ( 46 )، إلى أنه يعاقب بالحبس مدة لا تقـــل عن ســتة أشهر وبغرامة لا تقــل عن مــائتي ألف جنيه ولا تجاوز مليوني جنيه ، أو بإحدى هاتين العقوبتين ، كل من منع أحد العاملين بالمركــز ممن يتمتعون بصفة الضبطية القضائية من أداء عمله.
وذكرت المادة ( 47 )، أنه يعاقب المسئول عن الإدارة الفعلية للشخص الاعتباري المخالف بذات العقوبات المقررة عن الأفعال التي ترتكب بالمخالفة لأحكام هذا القانون ، إذا ثبت علمه بها ، وكان إخلاله بالواجبات التي تفرضها عليه تلك الإدارة قد أسهم في وقوع الجريمة، ويكون الشخص الاعتباري مسئولاً بالتضامن عن الوفاء بما يحكم به من تعويضات إذا كانت المخالفة قد ارتكبت من أحد العاملين لديه وباسم الشخص الاعتباري ولصالحه .
وأن المادة (48) نصت عل أنه في جميع الأحوال، وفضــلاً عن العقــوبات المنصوص عليها في هذا القـــانون ، تقضي المحكمة بنشر حكم الإدانة في جريدتين واسعتي الانتشار ، وعلي شبكات المعلومات الإلكترونية المفتوحة علي نفقة المحكوم عليه، وفي حالة العود، تضاعف العقوبات الواردة في هذا الفصل بحديها الأقصى والأدنى، ويعاقب علي الشروع في ارتكاب الجرائم المنصوص عليها في هذا القانون بنصف العقـوبة المقـررة لهـا.