حصلت «المال» على نسخة من مقترحات اللائحة التنفيذية لقانون حماية البيانات الشخصية رقم 151 لسنة 2020التى تقدمت بها عدد من كبرى شركات التكنولوجيا العالمية مؤخرا إلى اللجنة المختصة فى وزارة الاتصالات برئاسة المستشار جوزيف إدوارد.
يشار إلى أن أكثر من 15 شركة عالمية منها جوجل ومايكروسوفت وأمازون وفودافون وفيسبوك وتويتر وماستر كارد وآى بى إم وأوبر وكريم لطلب خدمات النقل الذكى وأوليكس وساب أعدت المقترحات بالتعاون مع مكتب محرم وشركاه للسياسات العامة ومكتب «إدسيرو» للاستشارات القانونية والمحاماة .
كان الرئيس عبد الفتاح السيسى صدق على إصدار قانون حماية البيانات الشخصية فى يوليو من العام الماضى بعد موافقة البرلمان عليه بأغلبية الثلثين، وتم نشره فى الجريدة الرسمية ويتكون من 49 مادة.
وبحسب القانون، فإنه يقصد بالبيانات الشخصية أى بيانات متعلقة بشخص طبيعى محدد أو يمكن تحديده بشكل مباشر أو غير مباشر عن طريق الإسم أو الصوت أو الصورة أو رقم تعريفى أو أى بيانات تحدد الهوية النفسية أو الصحية أو الاقتصادية أو الثقافية أو الاجتماعية.
أما المعالجة فهى أى عملية إلكترونية أو تقنية لكتابة البيانات الشخصية أو تجميعها أو تسجيلها أو حفظها أو تخزينها أو دمجها أو عرضها أو إرسالها أو إستقبالها أو تداولها أو نشرها أو محوها أو تغييرها أو تعديلها أو استرجاعها أو تحليلها باستخدام أى وسيط من الوسائط أو الأجهزة الإلكترونية أو القنية سواء تم ذلك بشكل كلى أو جزئى .
بينما يقصد بالمتحكم أى شخص طبيعى أو اعتبارى يكون له بحكم أو طبيعة عمله الحق فى الحصول على البيانات الشخصية وتحديد طريقة وأسلوب ومعايير الاحتفاظ بها طبقا للغرض المحدد أو نشاطه، أما المعالج فهو أى شخص طبيعى أو اعتبارى مختص بطبيعة عمله بمعالجة البيانات الشخصية لصالحه أو لصالح المتحكم بالاتفاق معه وفقا لتعليماته .
الفصل الثانى – حقوق الشخص المعنى بالبيانات
يرى مسئولو الشركات أن المادة الثانية من الفصل الثانى بالقانون والمعنون بـ ( حقوق الشخص المعنى بالبيانات ) والتى تنص على أنه«لا يجوز جمع البيانات الشخصية أو معالجتها أو الإفصاح عنها أو إفشائها بأى وسيلة من الوسائل إلا بموافقة صريحة من الشخص المعنى بالبيانات، أو فى الأحوال المصرح بها قانونا» من شأنها إلزام القائمين على معالجة البيانات بطلبات غير قابلة للتحقيق قد تتحول إلى شكاوى غير صحيحة فى ظل عدم الإحالة إلى اللائحة التنفيذية لتوضيح الإجراءات اللازمة لممارسة الشخص المعنى لحقوقه .
لذلك طالبوا بضرورة توضيح وتحديد ضوابط وآليات ونطاق البيانات المتعلقة بهذه الحقوق لاسيما حق المحو وطريقة الرد على طلباتها وما يعد كافيا ومستوفيا دون الإخلال بالمدد الزمنية المحددة فى القانون.
يذكر أن الشخص المعنى بالبيانات هو أى شخص طبيعى تنسب إليه بيانات شخصية معالجة إلكترونيا تدل عليه قانونا أو فعلا وتمكن من تمييزه عن غيره
صعوبة تأمين كافة أنواعها .. ومسئولية مشتركة على «المتحكم» و«المعالج»
على صعيد آخر، أجمعوا على أن شروط جمع ومعالجة البيانات والتزامات المتحكم والمعالج فى البيانات الواردة فى المواد 3 و4 و5 من الفصل ذاته بشأن تأمين البيانات وإتخاذ جميع الاجراءات التقنية والتنظيمية لحمايتها والحفاظ على سريتها سيؤدى إلى إلزام المتحكمين والمعالجين بتأمين جميع أنواع البيانات الشخصية على حد سواء دون النظر لاختلاف طبيعتها وأهميتها وبالتالى اختلاف طرق التأمين ومن ثم استحالة التطبيق .
صعوبة تأمين كافة أنواعها .. ومسئولية مشتركة على «المتحكم» و«المعالج»
لذلك فإنه يجب فى هذا الصدد توضيح أن المسئولية تقع على كاهل كلا من المتحكم والمعالج فى تحديد الطرق والمعايير المناسبة لتأمين البيانات طبقا لاختلاف أهميتها وطبيعتها والتطورات التكنولوجية دون فرض طرق أو معايير محددة على غرار القوانين الدولية .
وأكدوا على استحالة تطبيق الالتزام الوارد فى المادة 7 والتى تنص على : «يلتزم كلا من المتحكم والمعالج بحسب الأحوال حال علمه بوجود خرق أو انتهاك للبيانات الشخصية لديه بإبلاغ مركز حماية البيانات الشخصية خلال 72 ساعة» بسبب وجود أعداد كبيرة من الاختراقات والانتهاكات اليومية فى نطاق المحاولات الغير مكتملة مما يتسبب فى اغراق المركز بالاخطارات غير ضرورية وتشتيت تركيز المعنيين إلى جانب الإضرار الغير مبرر بسمعة كلا من المتحكم والمعالج بسبب عمومية الالتزام باخطار الشخص المعنى.
وشددوا على أهمية توضيح درجات الخرق وقدر الضرر الواقع على البيانات والشخص المعنى بحيث تكون المسئوليات محددة وليست عامة وبالتبعية تحديد حالات الالتزام بابلاغ المركز وحالات الالتزام بابلاغ كلا من المركز والشخص المعنى .
يشار إلى أنه بموجب القانون سيتم إنشاء هيئة عامة اقتصادية تسمى «مركز حماية البيانات الشخصية» تتبع وزير الاتصالات وتكون لها شخصية إعتبارية وتتخذ من محافظة القاهرة أو إحدى المحافظات المجاورة لها مقرا لها وتهدف إلى حماية البيانات الشخصية وتنظيم معالجتها وإتاحتها
الفصل الرابع – تعيين مسئول حماية البيانات الشخصية والتزاماته
أكدوا أن عدم وجود إلزام على المتحكم والمعالج بتوفير الإمكانيات والموارد البشرية لمسئول حماية البيانات وخلق الإطار المناسب لضمان تأدية إلتزاماته فى المواد 8 و9 و13 و40 من الفصلين الرابع والسادس المتعلقين بتعيين مسئول حماية البيانات الشخصية والتزاماته والعقوبات المحتملة ستسبب فى عزوف الكوادر المؤهلة عن الالتحاق بهذه الوظيفة خاصة مع وضع المسئولية التنفيذية كاملة على المنصب وليس مسئولية إشرافية على غرار كافة القوانين الدولية .
لذلك يجب توضيح إلزام المتحكم والمعالج بتوفير الإمكانيات والموارد البشرية اللازمة لممارسة مسئول حماية البيانات الشخصية اختصاصاته وفقا لمقتضيات وظيفته والتأكيد على دوره الأشرافى وليس التنفيذى.
دور مسئول حماية البيانات إشرافى وليس تنفيذى ..وتعدد التراخيص عبء كبير
بينما رأوا أن مسألة تعدد التراخيص والتصاريح لكل من المتحكم ومعالج البيانات الواردة فى المادتين 26 و27 يمثل عبئاً كبيراً وبالتالى يجب توضيح وتحديد آليات التراخيص والتصاريح وشروط منحها، علاوة على امكانية التقديم والحصول عليها عبر الإنترنت دون الاضرار باستمرارية نشاط المتحكم والمعالج وامكانية ضمها وتجديدها تلقائيا بشروط محددة. بالاضافة إلى إمكانية إضافة البلاد التى يرغب المتحكم والمعالج فى نقل البيانات إليها ضمن ترخيص وتصريح نقل البيانات عبر الحدود.
وتابعوا أن تحديد مدة زمنية قصيرة للرد على طلبات وشكاوى وقرارات مركز حماية البيانات الشخصية كما هو وارد فى المواد 2 و10 و32 و33 سيؤدى إلى الوقوع فى مخالفات وتوقيع عقوبات على خلاف القوانين الدولية،لذلك يجب التأكيد على الرد فى المدة المحددة طالما أنه يوضح حالة الطلب والمدة اللازمة لاستيفاء كامل الطلب حتى وإن كان مازال قيد الاستيفاء .
كما أشاروا إلى خلو المادتين 4 و5 من القانون من وجود ضوابط للمعالج للقيام بدوره وإشراك معالجين آخرين دون علم المتحكم من شأنه إضعاف قدرته على الالتزام بواجباته المنصوص عليها، لذلك يجب التأكيد على عدم السماح للمعالج بمعالجة البيانات الشخصية لأغراض أخرى إلا إذا كانت مجهلة وإلا أصبح المعالج فى حكم المتحكم وتنطبق عليه إلتزامات المتحكم والعقوبات المتعلقة وتوضيح عدم إمكانبة إشراك معالج أخر دون إذن كتابى مسبق من المتحكم
الفصل السادس – البيانات الشخصية الحساسة
يعتقد مسئولو الشركات أن المادة 12 الواردة فى الفصل السادس المعنون بـ «البيانات الشخصية الحساسة» والتى تشترط ضرورة توافر موافقة ولى الأمر إذا كانت البيانات الشخصية للأطفال من شأنها تقييد تقديم خدمات الاتصالات ومعالجة بيانات المشتركين الذين تتراوح أعمارهم بين 16و 18 عاما بسبب شرط موافقة ولى الأمر خاصة إذ ما تم تفسير سن الطفل بـ 18 عاما .
ضرورة السماح بمعالجة الداتا للأشخاص من سن 16 عاما
وبناءا على ذلك، فإنه يجب على وزارة الاتصالات إدراج عمليات المعالجة والتسويق لبيانات الأشخاص من سن 16 عاما كما هو مطبق فى العقود الخدمية بمجال الاتصالات .
والبيانات الشخصية الحساسة هى البيانات التى تفصح عن الصحة النفسية أو العقلية أو البدنية أو الجينية أو بيانات القياسات الحيوية ( البيومترية ) أو البيانات المالية أو المعتقدات الدينية أو الآراء السياسية أوالحالة الأمنية وفى جميع الأحوال تعد بيانات الأطفال من البيانات الشخصية الحساسة .
الفصل الثامن – التسويق الإلكترونى المباشر
وقالوا إن المادة 17 من الفصل الثامن المعنون بـ «التسويق الإلكترونى المباشر» والتى تنص على «يحظر إجراء أى اتصال إلكترونى بغرض التسويق المباشر للشخص المعنى بالبيانات إلا بتوافر شروط منها الحصول على موافقة من الشخص المعنى بالبيانات، أن يكون للمرسل عنوان صحيح وكاف للوصول إليه» يستحيل تطبيقها وتلحق ضررا بالغا بمصالح وربحية المتحكم.
لذلك يجب التأكيد على إتاحة حق الاعتراض وخاصة على التسويق عموما سواء كان التسويق لمنتجات أو خدمات طالما كانت متوافقة مع نشاط المتحكم وأغراضه المشروعه .
ويقصد مفهوم التسويق الإلكترونى طبقا للقانون إرسال أى رسالة أو بيان أو محتوى إعلانى أو تسويقى بأى وسيلة تقنية أيا كانت طبيعتها أو صورتها تستهدف بشكل مباشر أو غير مباشر ترويج سلع أو خدمات أو طلبات تجارية أو سياسية أو اجتماعية أو خيرية موجهة إلى أشخاص بعينهم .
تنفيذ جزاءات إدارية تصاعدية على المخالفين
أما المادة 30 والمتعلقة بالجزاءات الإدارية وبالأخص البند المتعلق بنشر بيان المخالفات التى ثبت وقوعها فى وسيلة إعلام أو أكثر واسعة الانتشار على نفقة المخالف يسهم فى الإضرار بسمعة المتحكم والمعالج أثناء عملية تصحيح المخالفة دون إجراء تصعيدى ومن ثم التأثير السلبى على ربحيته واستمراريته ولذا يجب ترتيب الجزاءات وإدراج آلية تصاعدية للجزاءات وتحديد مدة زمنية للمتحكم والمعالج للرد وإزالة المخالف مع إمكانية مد المهلة الزمنية بموافقة مركز حماية البيانات الشخصية إذ دعت الحاجة لذلك قبل الانتفال لجزاء أعلى للتصعيد ضد المتحكم أو المعالج.
يذكر أن أحكام القانون لا تسرى على البيانات الشخصية التى يحتفظ بها الأشخاص الطبيعيون للغير ويتم معالجتها للاستخدام الشخصى، إلى جانب البيانات الشخصية التى تتم معالجتها بغرض الحصول على البيانات الإحصائية الرسمية، والبيانات الشخصية التى تتم معالجتها للأغراض الإعلامية بشرط أن تكون صحيحة ودقيقة ولا تستخدم فى أى أغراض أخرى وذلك دون الإخلال بالتشريعات المنظمة للصحافة والإعلام.
بالإضافة إلى البيانات الشخصية المتعلقة بمحاضر الضبط القضائى والتحقيقات والدعاوى القضائية، فضلا عن البيانات الشخصية لدى جهات الأمن القومى، وأخيرا البيانات الشخصية لدى البنك المركزى المصرى والجهات الخاضعة لرقابته وإشرافه عدا شركات تحويل الأموال والصرافة على أن يراعى فى شأنهما القواعد المقررة من المركزى بشأن التعامل مع البيانات الشخصية.