قانون حماية البيانات الشخصية رقم ١٥١ لسنة ٢٠٢٠
بقلم: أحمد أشرف مشرف
محامي وباحث بقوانين التجارة الدولية والملكية الفكرية
نشهد الآن صدور قانون حماية البيانات الشخصية رقم ١٥١ لسنة ٢٠٢٠
اصبح لدينا قانون وطني اصيل – مثل قانون خصوصية المستهلك في كاليفورنيا الشهير – متوافق مع معايير اللائحة العامة لحماية البيانات الصادرة عن الاتحاد الاوروبي.
الذي ينظم بدوره حماية البيانات الشخصية للمستخدمين وتنظيم معالجتها وحدودها وارتباطها بالغرض المستهدف منها.
مما سيجبر تطبيقات التواصل الاجتماعي والبنوك والقائمين على التسويق الإلكتروني وغيرهم ان يوفقوا أوضاعهم مع القانون المصري خلال سنة من صدور اللائحة التنفيذية واستصدار الوثائق التي حددها القانون ، وستصدر اللائحة التنفيذية خلال ستة أشهر من تاريخ العمل بهذا القانون.
وبصدور مثل هذا التشريع يجعلنا نتساءل هل سيتطرق القانون أو اللائحة التنفيذية إلى الإخطار بالإنتهاك الذي يمثل دوراً هاماً في تحديد مسئولية المتحكم ؟ وما مدى توافقه مع الGDPR التي ألزمت بدورها المتحكم بالإخطار بالإنتهاك خلال ٧٢ ساعة وإلا أصبح سئ النية.
ونجد ان المشرع المصري اعطي للمعنين بالبيانات (المستخدمين)الحق في ان يتم إعلانهم عند حدوث إختراق لبياناتهم الشخصية وأفرد فصلا كاملا (الفصل الثالث) لينظم إلتزامات المتحكم والمعالج ونجد قيام المشرع بفرض العديد من الأحكام والإجراءات على كلا من المتحكم والمعالج الغرض منها حماية البيانات الشخصية للمستخدمين (المعنيين البيانات) بإعتبارهم الطرف المذعن.
وتضمن القانون إنشاء مركز حماية البيانات الشخصية بإعتبارها هيئة اقتصادية تتبع لوزير الاتصالات وتكنولوجيا المعلومات وتكون مقرها الرئيسي في محافظة القاهرة أو إحدى المحافظات المجاورة لها ، وفي سبيل تحقيق أهدافها لها ان تباشر جميع الاختصاصات المنصوص عليها بهذا القانون ولعل من اهمها:
١- تلقي الشكاوي والبلاغات المتعلقه معكم هذا القانون وإصدار قرارات الازمه في شأنها.
٢- وإبداء الرأي في المشروعات والاتفاقيات الدولية التي تنظم البيانات الشخصية.
٣- الرقابة والتفتيش على المخاطبين باحكام هذا القانون التحقق من شروط حركه البيانات عبر الحدود وإتخاذ القرارات المنظمه لها.
وبالنظر للقانون نجد انه ينظم حقوق المستخدمين (المعنين بالبيانات الشخصية) في التصحيح والتعديل والمحو لبياناتهم الشخصية فضلا عن أخذ موافقتهم قبل جمع المعلومات الشخصية او معالجتها.
أجاز القانون للمستخدمين (المعنين بالبيانات الشخصية) بإعطائهم الحق في الإطلاع على بياناتهم عن طريق إلزام كل من المتحكم أو المعالج والحائز بإستقبال طلب إتاحة البيانات الشخصية على ان يكون الطلب كتابي من ذي صفة أو وفقا لسند قانوني وان يتم التحقق من توافر المستندات اللازمة لتنفيذ الإتاحة والاحتفاظ بها على ان يتم البت في الطلب ومستنداته خلال ستة أيام عمل من تاريخ تقديمه إلية.
وإذا صدر قرار برفض الإتاحة نص القانون على ان يكون مسببا ويعتبر مضي المدة المشار إليها دون رد في حكم الرفض.
وأفرد الفصل السادس للبيانات الشخصية الحساسة
البيانات الشخصية الحساسة هي البيانات التي تفصح عن الصحة النفسية او العقلية او البدنية او الجينية او البيانات الماليه او المعتقدات الدينية او الاراء السياسية او الحاله الامنية وفي جميع الاحوال تعد بيانات الاطفال من البيانات الشخصية الحساسه كما هو وارد في الماده (١) من فصل التعريفات.
فأصبح محظورا على المتحكم او المعالج سواء كان شخصا طبيعيا او إعتباريا القيام بجمع البيانات الشخصية الحساسة او بنقلها او بتخزينها او حفظها او معالجتها او الا بترخيص من المركز حماية البيانات الشخصية وذلك فيما عدا الأحوال المصرح بها قانونا ويلزم الحصول على موافقة كتابية وصريحة من الشخص المعنى اما اذا تعلق الأمر بإجراء أي عملية مما ذكر تتعلق ببيانات الأطفال يجب الحصول على موافقة ولي الامر وذلك يتوافق مع قواعد ال GDPR بحيث انها أفردت أحكاما خاصة بحماية الأطفال وإستلزمت الحصول على موافقة ولي الامر إذا تعلق الأمر بأي عمليات خاصة بالبيانات الشخصية للأطفال والتي بدورها حددت سن الطفل ستة عشر سنة.
ومن احد الأحكام الواجب ذكرها في وجهه نظرنا التي نظمها قانون حماية البيانات الشخصية أحكام البيانات الشخصية عبر الحدود وقام بحظر إجراء أي عمليات تخص البيانات الشخصية من نقل أو تجهيز للمعالجة وغيرة إلى دولة أجنبية إلا إذا توافر مستوى من الحماية لا يقل عن المستوى المنصوص علية من القانون ، وبترخيص او تصريح من مركز حماية البيانات الشخصية وتم ترك تحديد السياسات والمعايير والضوابط اللازمة لإجراء أي من العمليات للبيانات الشخصية عبر الحدود وحمايتها للائحة التنفيذيه التي سوف تصدر من وزير التكنولوجيا والمعلومات.
على ان القانون أستثنى نقل البيانات الشخصية أو معالجتها أو مشاركتها لدولة أجنبية لا يتوافر فيها مستوى الحماية المشار الية إذا تم الحصول على موافقة صريحة للشخص المعنى بالبيانات او من ينوب عنه في حالات محددة منصوص عليها فى المادة ١٥ من القانون.
ولعل أحد الأحكام الهامة التي أشار القانون فيها للائحة التنفيذية هي كون الدليل الرقمي المستمد من البيانات الشخصية طبقا لأحكام هذا القانون لديها ذات الحجية في الاثبات المقررة للأدلة المستمدة من البيانات والمعلومات الخطية متى إستوفت المعايير والشروط الفنية الواردة باللائحة التنفيذية لهذا القانون.
ولا تسري احكام هذا القانون على ما يأتي :
١ – البيانات الشخصية التي يحتفظ بها الأشخاص الطبيعيون للغير ، ويتم معالجتها للإستخدام الشخصي.
٢- البيانات الشخصية التي تتم معالجتها بغرض الحصول على البيانات الإحصائية الرسمية أو تطبيقا لنص قانوني.
٣- البيانات الشخصية التي تتم معالجتها حصرا للأغراض الإعلامية بشرط أن تكون صحيحة ودقيقة وألا تستخدم في اي أغراض أخرى ، وذلك دون إخلال بالتشريعات المنظمة للصحافة والإعلام.
٤- البيانات الشخصية المتعلقة بمحاضر الضبط القضائي والتحقيقات والدعاوي القضائية.
٥- البيانات الشخصية لدى جهات الأمن القومي ، وما تقدرة لإعتبارات أخرى.
ويجب على المركز بناء على طلب جهات الامن القومي ، إخطار المتحكم أو المعالج بتعديل أو محو أو عدم إظهار أو إتاحة او تدوال البيانات الشخصية ، خلال مدة زمنية محددة ، وفقا لاعتبارات الأمن القومي ، يلتزم المتحكم أو المعالج بتنفيذ ما ورد بالإخطار خلال المدة الزمنية المحددة بة.
٦- البيانات الشخصية لدى البنك المركزي والجهات الخاضعو لرقابتة واشرافة عدا شركات تحويل الأموال وشركات الصرافة ، على أن يراعى في شأنهما القواعد المقررة من البنك المركزي المصري بشأن التعامل مع البيانات الشخصية.
وأخيرا نظم القانون في الفصل الرابع عشر الجرائم والعقوبات من المادة (٣٥) الى المادة (٤٨) وتتمثل العقوبات من حبس وغرامات شديدة مما يدل على اهتمام المشرع والدوله بدرء جرائم إنتهاك حمايه البيانات الشخصية ونجد أنه نفس المنهج المتبع في الإتحاد الاوروبي من غرامات تصل ١٠ مليون يورو و٢% من نسبة المبيعات ، ٢٠ مليون يورو و ٤ % من نسبة المبيعات .
مع الوضع فى الاعتبار ان قانون حماية البيانات الشخصية المصري تضمن إمكانيه الصلح في اي حالة كانت عليها الدعوى قبل صيرورة الحكم باتا من ، إثبات الصلح مع المجني عليه هو وكيله و الخاص أو خلفه العام و بموافقة المركز أمام النيابة العامة أو المحكمة المختصة بحسب الاحوال وفى الجنح المنصوص عليها في المواد (٣٦ ، ٣٧ ، ٣٨ ، ٣٩ ، ٤٠ ، ٤١ ، ٤٣)
ويكون التصالح مع المركز في الجنح المنصوص عليها بالمواد (٤٢ ، ٤٤ ، ٤٥) من هذا القانون في أي حالة كانت عليها الدعوى.
وفي جميع الأحوال ، يجب على المتهم الذى يرغب فى التصالح أن يسدد قبل رفع الدعوى الجنائية مبلغا يعادل نصف الحد الأدنى للغرامة المقررة للجريمة ، ويسدد المتهم الراغب في التصالح بعد رفع الدعوى وقبل صيرورة الحكم باتاً نصف الحد الأقصى للغرامة المقررة للجريمة او قيمة الغرامة المقضي بها أيهما أكبر ، ويكون السداد في خزانة المحكمة المختصة أو النيابة العامة او المركز بحسب الأحوال ويترتب على التصالح إنقضاء الدعوى الجنائية دون ان يكون له أثر في حقوق المضرور من الجريمة.
الشكر موصول لمن استطاعوا ان يظهروا بذلك التشريع المصري للنور بدلا من الخضوع بإرادتنا التعاقدية لأحكام قوانين اجنبية.
وكأي تشريع جديد عندما يوضع موضع التطبيق قد تظهر مشكلات عملية تتطلب بعض التعديلات إلا أنها
خطوة مضيئة ومشجعة وننتظر بشدة صدور اللائحة التنفيذية للحصول على الرؤية الكاملة لقانون حماية البيانات الشخصية.