تحت الأضواء: مشروع قانون حماية البيانات الشخصية
ما هو مشروع قانون حماية البيانات الشخصية تحديدا وما تأثيره على الأعمال؟ وضع مكتب الشرقاوي وسرحان للاستشارات القانونية، الملامح الرئيسية لمشروع القانون المدرج حاليا ضمن جدول أعمال مجلس النواب في الدورة التشريعية الخامسة والأخيرة والتي انطلقت أمس الثلاثاء، وكذا تداعياته على الأفراد والشركات.
ويتعلق مشروع القانون بحماية خصوصية وأمن البيانات الشخصية ومن المقرر تطبيقه على المواطنين المصريين والأجانب المقيمين على حد سواء. ويعد مشروع القانون النسخة المصرية من اللائحة الأوروبية لحماية البيانات الشخصية (GDPR ). ويحمي مشروع القانون أية بيانات شخصية مثل الاسم أو العنوان أو الصورة وكل ما من شأنه أن يؤدي إلى تحديد هوية فرد ما. وينص على عدم جواز جمع البيانات الشخصية، أو معالجتها أو الإفصاح أو الإفشاء عنها بأية وسيلة من الوسائل إلا بموافقة الشخص المعني، أو في الأحوال المصرح بها قانونا. ويوفر مشروع القانون درجة أكبر من الحماية للبيانات الشخصية الحساسة، مثل ديانة الشخص أو البيانات الصحية الخاصة به. ينص التشريع على حقوق صاحب البيانات المتعلقة بالمعلومات الشخصية، بما في ذلك الحق في المطالبة بحذفها إذا تعارضت مع الحقوق والحريات الأساسية للشخص المعنى بالبيانات، كما يحدد التزامات للمؤسسات التي تعمل في مجال جمع ومعالجة البيانات الشخصية.
الملامح الرئيسية لمشروع القانون التي قد تؤثر على أصحاب الأعمال:
- القيود المفروضة على قدرة المؤسسات في جمع أو استخدام أو نقل أو الاحتفاظ بالبيانات الشخصية، إلا بموافقة الشخص المعني، أو في الأحوال المصرح بها قانونا.
- متطلبات الحصول على ترخيص والوفاء بشروط أخرى إذا تم التحكم في البيانات أو معالجتها (وهذا هو حال جميع المؤسسات).
- اللوائح والشروط الخاصة بالشركات العاملة في مجال التسويق المباشر.
هل يجب أن تقلق بشأن تلك اللوائح؟ ينطبق مشروع القانون على أي شخص أو شركة تجمع أو تتحكم أو يتداول أو يعالج أو يحفظ أو يخزن بيانات لأغراض غير شخصية. ينطبق هذا التعريف على كل الأعمال التجارية أو الشركات والمنظمات العاملة في مصر. ويترتب على عدم الامتثال عواقب وخيمة تشمل السجن والغرامات وإلغاء التراخيص التي سيصدرها مركز حماية البيانات الشخصية المزمع إنشائه بموجب القانون، ونشر الحكم الجنائي في وسائل الإعلام.
كيف يمكن الاستعداد وكم من الوقت لديك؟ تتمثل نقطة البداية في تتبع دورة البيانات من وقت استلام مؤسستك لها، وحتى معالجتها وتخزينها إلى أن يتم حذفها. بعد ذلك، عليك التأكد من الامتثال لكل مبدأ من مبادئ حماية البيانات والتي تم إفراغها في التزامات قانونية (نستعرضها بمزيد من التفاصيل أدناه). والخطوة التالية، هي توثيق ذلك في سياسة وتنفيذها، ولا تنسى تدريب العاملين لديك. ومن المتوقع أن يمتثل هؤلاء الذين سيخضعون للقانون لتلك المتطلبات خلال 18 شهرا من تاريخ إصداره، (على افتراض أن اللائحة التنفيذية ستصدر في الموعد المحدد).
الآن وقد تعرفتم على الأساسيات، هيا نتعرف على المباديء الأهم لحماية البيانات الشخصية المذكورة في القانون. وفيما يلي نشرح بالتفصيل ثلاثة منها لتوضيح الصورة عما تعنيه. وهذه المباديء مستقر عليها في اللائحة الأوروبية العامة لحماية البيانات وتنعكس أيضا في القانون المصري:
- القانونية والإنصاف والشفافية
- تحديد الغرض
- تقليل استخدام البيانات
- الدقة
- تقليل التخزين
- النزاهة والخصوصية (الأمن)
- المحاسبة
القانونية والإنصاف والشفافية: ينص المبدأ على عدم الحصول على أو تخزين أي بيانات شخصية إلكترونيا أو ماديا. والاستثناء الوحيد هو وجود سبب قانوني، مثل وجود موافقة من الشخص صاحب البيانات أو إذا كانت البيانات غير معرفة باسم الشخص أو إذا كان للشركة الحق الشرعي في الاحتفاظ بها أو في حالة وجود مسؤولية قانونية مذكورة في العقد. وفي كل الأحوال يجب الكشف عن سبب جمع المعلومات واستخدامها.
كيفية التطبيق: اسأل نفسك لماذا تجمع هذه البيانات ولماذا تستخدمها، وتأكد من مشروعية هذه الأسباب. مثلا في حالة قيام المؤسسات المالية بتخزين بيانات العملاء الشخصية تطبيقا لقوانين غسيل الأموال. وتذكر أن الوضع الأمثل هو الحصول على موافقة صاحب البيانات.
الدقة: وهذا مبدأ واضح ويتطلب أن تتأكد أن البيانات المجمعة صحيحة وأنه تم تصحيح جميع البيانات غير الدقيقة.
كيفية التطبيق: راجع البيانات وتأكد من صحتها واسمح للأشخاص بمراجعة بياناتهم وتصحيحها. فمثلا، عند قيام أحد الأشخاص بتغيير عنوان سكنه، فإما أن تقوم بتحديث البيانات أو التوضيح له أن آخر تحديث هو بعنوانهم المسجل لديك.
النزاهة والخصوصية (الأمن): يجب أن تتخذ الإجراءات الفنية والتنظيمية المطلوبة لحماية البيانات كي تحصن نفسك من انتهاك الخصوصية أو القرصنة أو التدمير أو التعديلات أو تلف البيانات الشخصية. وتنطوي التدابير الفنية هنا على ما هو أكثر من مجرد معالجة مخاطر الأمن السيبراني- فهي تغطي إجراءات مثل التخلص الآمن من المستندات التي تحتوي على بيانات شخصية وتأمين الوصول إلى أي موقع بمستندات أو أجهزة يمكنها الوصول إلى البيانات. وفي الوقت نفسه، تتضمن الإجراءات التنظيمية التنسيق بين الموظفين المعنيين في الشركة فيما يتعلق بعمليات تأمين البيانات.
كيف تمتثل؟ يجب عليك صياغة وتنفيذ سياسة أمان للبيانات، وتدريب العاملين لديك عليها. كما يجب تعيين موظف خصيصا لحماية البيانات للقيام بفحص وتقييم وتوثيق أنظمة الحماية بصورة منتظمة. ومن الضروري الإبلاغ عن أية حالات تسريب للبيانات فور وقوعها.
ما الذي يجب تغييره في مشروع القانون الحالي؟ حماية البيانات مسألة جيدة بالطبع وتؤدي في نهاية المطاف إلى بيئة عمل أفضل للجميع، لكن نشعر بالقلق في الغالب بسبب عقوبات السجن التي تمتد إلى خارج الحدود الإقليمية وفقا للصياغة الحالية. ويمثل ذلك تهديدا شخصيا لكبار المسؤولين التنفيذيين في وادي السليكون وسياتل. ونعتبر ذلك تهديدا قد يدفع بعض الشركات إلى إعاد النظر في استثماراتها في مصر.