الإطار التشريعي لحماية البيانات الشخصية في القانون المصري

مقدمةأدت الثورة في مجال تكنولوجيا الاتصالات وازدياد الاعتماد عليها من قبل الجميع حكومات وأفراد إلى ازدياد المخاطر المصاحبة لاستخدام تكنولوجيا الاتصالات في أشكالها المختلفة وخاصة المخاطر الخاصة بالاعتداء على الحق في الخصوصية، والتي تمثلت في معظم الأحوال في انتهاك الحق في سرية البيانات الشخصية. وفي مصر، يستخدم أكثر من 50 مليون مصري الإنترنت وفقا للأرقام المعلنة من وزارة الاتصالات المصرية في 2020 وهو رقم يساوي نصف عدد السكان المصريين تقريبًا، كما قفز حجم التجارة الإلكترونية في مصر في ذات العام الى نحو ملياري دولار، وهي أرقام تؤكد نمو هذه السوق بشكل كبير وتؤكد ضرورة حماية رواد هذه السوق حفاظا على الثقة فيها، وبالتالي ضمان استمرارية ازدهارها.  ولما كانت حماية البيانات الشخصية تعد مكونًا رئيسًا في ازدهار التجارة الإلكترونية، وخاصة في ظل ازمة كورونا والتي اجتاحت العالم منذ ما يقارب العام الآن، فإن وجود الإطار التشريعي المناسب لفرض تلك الحماية يعزز من ثقة الأفراد في التعامل عبر الإنترنت مما يعد عاملاً رئيسًا لازدهار التجارة الإلكترونية. قانون حماية البيانات الشخصية المصري رقم 151 لسنة 2020 جاء القانون رقم 151 لسنة 2020 بإصدار قانون حماية البيانات الشخصية المصري متوجا للجهود المصرية الساعية لدفع عجلة التجارة الإلكترونية في البلاد. وقد جاء القانون في 49 مادة بخلاف مواد الإصدار، مقسّمًا إلى أربعة عشر فصلاً تناولت جميع أحكامه وتصنيفات المخاطبين بها وحقوقهم وواجباتهم. جاء الفصل الأول في مادة واحدة حوت التعريفات المستخدمة لاحقًا في القانون ومنها تعريف البيانات الشخصية والبيانات الشخصية الحساسة والشخص المعني بالبيانات و الحائز والمتحكم في البيانات وغيرها، وحددت المادة الوزير المختص بالوزير المعني بشـــؤون الاتصالات وتكنولوجيــــا المعلومات. ويلاحظ على تلك المادة أنها حاولت الاهتداء بلائحة الاتحــاد الأوروبي لحماية البيانات الشخصيـــــة في صياغة العديد من التعريفات، وإن خالفت بعض تعريفاتها تارة وخلت من بعضها تارة أخرى. فقد خلا القانون مثلاً من تعريف “رضاء المعني بالبيانات” وهو تعريف ورد دقيقًا في اللائحة الأوروبية ويحل مشكلات عديدة تتعلق بنطاق الرضا والموافقة على معالجة البيانات، والجدير بالذكر أن طبيعـــة رضا الشخص المعني بالبيانـــــات على المعالجة تعد محورًا للعديد من النزاعات القضائية أو الإدارية بين المستخدمين أو الحكومات و شركات تقديم خدمات الإنترنت العملاقة. كما غاير القانون في تعريف “المتحكم”، حيث ورد بالتعريف بعد أن ذكر أنه الشخص الطبيعي أو الاعتباري الذي يحدد طرق و أسلوب ومعايير المعالجة، عاد وذكر أنه يحدد طرق ومعايير التحكم في البيانات، وهو تزايد غير منتج في المعنى الحقيقي للمتحكم. كما جاء الفصل الثاني في مادتين وضحتا الأحكام الخاصة بحقوق الشخص المعني بالبيانات وشروط جمع ومعالجة البيانات، وعلى الأخص عدم جواز جمع أو معالجة البيانات إلا بموافقة المعني بها وكذا إعطاؤه إمكانية رفضه لذلك في أية مرحلة و العدول عن موافقته المسبقة. وفصَّل الباب الثالث في أربع مواد التزامات المتحكــم والمعالج بما في ذلك التراخيص اللازم الحصول عليها لممارسة النشاط والالتزام بإمساك سجلات تحوي تفاصيل عمليات المعالجة و الالتزام بالإخطار عن أي خرق أمني للمعلومات. أما الفصل الرابع، فجاء في مادتين تناولتا تعيين مسؤول حماية البيانات الشخصية وهو الشخص المسؤول عن حسن تنفيذ أحكام القانون داخل الكيان الذي يعمل به، وحددت المادتان طرق تعيينه وواجباته بالتفصيل. تناول الفصل الخامس والســادس إجراءات إتاحـــــة البيانات وشروط الإتاحة مع إعطاء الدليل الرقمي المستمد من البيانات الشخصية الحجية القانونية للأدلة المستمدة من المعلومات الخطيـــة، وتناول الفصل السادس كل ما يتعلق بالتعامل على البيانات الشخصية الحساسة وبيانات الأطفال. وحدد الفصل السابع إجراءات نقل البيانات الشخصية عبر الحــــدود والاسـتثناءات الواردة على الشـــــروط الموضوعة لذلك. كما نظـــــم الفصل الثامن عمليـــــات التسويـــق الإلكتروني والتي جاء تعريفها في المادة الأولى من القانــون مرتكــزًا على إرســـــال أي رسـالة أو بيــــــــان أو محتوى إعـلاني أو تسويقي بأي وسيلة تقنية أيًا كانت طبيعتها أو صورتها تستهدف بشكل مباشر أو غير مباشر ترويج سلع أو خدمات أو التماسات أو طلبات تجارية أو سياسية أو اجتماعيــــة أو خيرية موجهة إلى أشـخاص بعينهـم. وجدير بالذكر في هذا المقام أن أيًا من المادة الأولى أو الفصل الثامن أتى على ذكر أو تعريف لملفات تعريف الارتباط (cookies) والمستخدمة بشكل أساسي لأغراض التسويق وما جاءت تلك المواد منظمة لاستخدام تلك الملفات ولا طريقة محددة وواضحة لإلغاء استخدامها وهو أمر لو توفر لســــــاعد بشكل كبيــــــر على حماية خصوصيـــــة المستخدمين للمواقع التي تستخدم تلك التقنية للأغراض الإعلانيـــــة مكتفيًا في ذلك بالإحالة إلى اللائحة التنفيذية. وتعد الفصول من التاسع إلي الحادي عشر من أهم فصول القانون فقد نصت على إنشاء مركز حماية البيانات الشخصية، وهي الهيئة المنوط بها مراقبة حسن تطبيق القانون بالإضافة إلى وضع القواعد العامة والنظــم واستراتيجيات حماية البيانــــات الشخصية في مصر ووضع إجراءات وشروط إصدار التراخيص المختلفة في إطار تنفيذ أحكام القانون، وحدد الفصل تشكيل الهيئة واختصاصاتها وحدد الفصل الحادي وموازنة المركز وموارده المالية. الفصل الثاني عشر نظم الطلبات والشكاوى التي يمكــــــن للمعني بالبيانــــــات تقديمهـــــــا لكل من المتحكم والمعالج والإطار الزمني الممنــــوح كلا منهما للرد على ذلك الطلب أو تلك الشكوى. ونص على أن تقدم الشكوى إلى المركز ، وله في ذلك اتخاذ ما يلزم من إجــراءات التحقيق ، وعليه أن يصدر قراره خلال ثلاثين يوم عمل من تاريخ تقديمها إليه، على أن يخطر الشاكي والمشكو في حقه بالقرار . ويلتزم المشكو في حقه بتنفيذ قرار المركز خلال سبعة أيام عمل من تاريخ إخطاره بـه ، وإفادة المركز بمـا تم نحو تنفيذه. أما الفصل الثالث عشر والرابع عشر فقد نظم إعطاء صفة الضبطية القضائية للعاملين بالمركز والعقوبات المقررة لمخالفة أحكام القانون إضافة إلى تنظيم طرق التصالح عن بعض من تلك المخالفات. فعاقب بالغرامة التي لا تقل عن ١٠٠ ألف جنيهًا ولا تجاوز مليون جنيهًا وذلك على المتحكم والمعالج والحائز الذي يفشي ما لديه من بيانات أو إتاحها في غير الأحوال المعاقب عليها قانونًا، والجدير بالذكر هنا أن القانون لم ينظم عمل “الحائز” للبيانات فلا يتصور أصلا حالة حيازة  الحائز لتلك البيانات بسبب قانوني. وعاقب بالعقوبــــة ذاتها المتحكم أو المعالــــج الذي يمنع الشخص المعني بالبيانـــات من ممارســــــة حقوقــــة المخولة له بالقانون. وارتفعت العقوبة بحديها الأدنى والأقصى لتصبح الغرامة من 500 ألف جنيهًا إلى 5 ملايين جنيه في حالة مخالفة أحكام التصاريح أو التراخيص. وتبنى القانون فكرة عقابية جديدة نسبيًا تعاقب المســــؤول عن الإدارة الفعليـــــة للشخص الاعتباري بالعقوبــــات ذاتها المقررة عن الأفعال المخالفــــــة لأحكام هذا القانون، إذا ثبت علمه بها وفي حالة أن أسهم إخلاله بواجباته في وقوعها. والقانون وأن قصد منه أن يكون متماشيًا مع روح اللائحة الأوروبية، فإنه ومن ناحية أخرى قد نجد اختلافات جوهرية بينه وبين القواعد الأوروبية التي تعد القواعد الذهبية عندما يتعلق الأمر بالحماية القانونية للبيانات الشخصية، من أهم تلك الفروق ما تضمنته المادة 20 من القانون و الخاصة بتشكيل مركز حماية البيانات المصري، حيث جاء تشكيل المركز غير محقق لشرط الحياد والاستقلال الذي أكدته قواعد الاتحاد الأوروبي، حيث نصت المادة على أن يترأس الجهاز رئيس الوزراء ويتكون من أعضاء ممثلين عن وزارات الحكومة، بعكس الأجهزة المماثلة في الدول الأوروبية والتي جاء تشكيلهــــا من خبراء مستقلين و أعضاء برلمانييـــن وقضاة مثل مركز حماية المعلومات و الحريات الفرنسي، وذلك توافقا مع قواعد حماية البيانات الأوروبية. وختامًا لاشك في أن إصدار مصر لقانون حماية البيانات الشخصية يعد خطوة على الطريق الصحيح نحو التنمية الاقتصادية لمصر بوجه عام و دفعة للأمام للاقتصاد الرقمي و التجارة الإلكترونية بوجه خاص. وبرغم من أهمية القانون البالغة، فإنه لا يخفى على أحد أنه يلقي بأعباء عديدة وجديدة على كثير من المتعاملين الحاليين في البيانات وهو ما دعا المشرع المصري إلى النص في مواد إصـــداره على مدة أعطاهـــــا للمخاطبين بأحكامـــه لتوفيــق أوضاعهم تماشيًا مع أحكام القانون. فنصت المادة الرابعة من مواد الإصدار على أن يُصدر الوزير المعنـــي بشؤؤن الاتصـــــالات وتكنولوجيـــــا المعلومات اللائحة التنفيذية للقانون المرافق خلال ستة أشهر من تاريخ العمل بهذا القانون.  كما نصت المادة السابعة من مواد الإصدار على أن يُنشر هذا القانون في الجريدة الرسمية ، ويُعمل به بعد مضي ثلاثة أشهر من اليوم التالي لتـاريخ نشـره . أما المادة السادسة من مواد الإصدار فنصت على أن يلتزم المخاطبون بأحكام هذا القانون بتوفيق أوضاعهم طبقًا لأحكام القانون المرافق ولائحته التنفيذية، وذلك خلال سنة من تاريخ صدور هذه اللائحة، ولما كان القانون قد صدر في يوليو 2020،  بما يعني أن تاريخ العمل الفعلي للقانون لن يبدأ قبل أبريل 2022 حيث إن حتى ميعاد الأشهر الستة الممنوحة للوزير المعني بشؤون الاتصالات لإصدار اللائحة التنفيذية هو ميعاد تنظيمي لا يرتب أثرًا على عدم صدور اللائحة في ذلك الميعاد مما قد يؤدي إلى مد فترة البدء في النفاذ الفعلي لمعظم أحكام القانون. سوف تسفر الفترة القادمة و التجارب العملية عند بدء العمل بأحكام القانون عن الممارسات الفضلى التي يجب أن تتوفر والتعديلات التي يمكن إدخالها على القانون من أجل خدمة الغرض منه وهو النهضة الاقتصاديـــــة والحماية المثلى لخصوصيــــة أفــراد الشعب المصري.