تتعرض البيانات الشخصية للمواطنين، لدى المؤسسات والشركات خاصة الخدمية، كـ”شركات الاتصالات وشركات نقل المواطنين”، وتطبيقاتها المختلفة، لانتهاكات واسعة، بتسريبها إلى شركات التسويق الإلكتروني.
وصدَّق البرلمان المصري مؤخرًا، على القانون رقم 151 لسنة 2020، بشأن حماية البيانات الشخصية، لدى الأشخاص الطبيعيين والاعتباريين من المؤسسات والشركات المصرح لها بجمع البيانات الشخصية، ومن المفترض أن تصدر لائحته التنفيذية خلال الأشهر الستة المقبلة، لوضع النص الشارح والمفسر لمواد القانون، والإجراءات والخطوات العملية لتنفيذه.
انتهاك واستغلال
من خلال هذه التسريبات تتمكن شركات التسويق من إرسال ملايين الرسائل النصية، إلى المستهدفين من الإعلانات، ويحتاج المعلنون إلى تحديد شرائح معينة من المواطنيين لاستهدافهم، بحسب نوعية المُنتج وأسعاره، وهو ما توفره لهم شركات المحمول، والنقل، بحسب خبراء في مجال الدعاية.
تمد شركات اتصالات، ونقل، بحسب اتهامات مواطنين، وباحثين في مجال الدعاية، شركات التسويق، بتفصيلات عن العملاء تتعلق بالنوع، والقطاع الجغرافي، فتتمكن شركات التسويق أو أقسام التسويق في الشركات المُعلِنة من خلال تلك البيانات، من تحديد أرقام النساء مثلًا، بل والفئات العمرية وسط النساء، فترسل كل شركة إعلانات بمنتجاتها عبر رسائل نصية، بما يتناسب مع النساء وكل فئة عمرية منهن، كما تتمكن من تحديد الموقع الجغرافي ومحل السكن، وبناءً عليه يتم تحديد العوامل البيئية والمستوى الاجتماعي، واللذان يُحددان من خلال محل السكن، ما يعرض المواطنين لحصار و”ابتزاز دعائي”، فضلًا عما يترتب على تسريب هذه البيانات، من تعد على الحريات الشخصية، وتعريض المواطنين للنصب والاستنزاف المالي، وربما تعريض حياتهم للخطر، بإتاحة هذه المعلومات أمام من يطلبها.
القضاء على المتاجرة في بيانات عملاء
ظل القانون المصري، عاجزًا عن التصدي لتلك الممارسات، تاركًا الأمر مرة لجهاز حماية المستهلك، وأخرى للجهاز القومي لتنظيم الاتصالات، والذي تقدم العام الماضي ببلاغ إلى النيابة ضد شركات اتصالات، بعد تلقيه شكاوى عديدة من مواطنين، تلقوا رسائل إعلانية من عدة شركات أبرزها وأكثرها إزعاجًا رسائل من “شركات إبادة الحشرات” ما اعتبره الجهاز يشكل انتهاكًا لحرمة الحياة الخاصة، بقي الوضع هكذا، حتى صدور “قانون حماية البيانات الشخصية” رقم 151 لسنة 2020، والذي صدق عليه مجلس النواب الشهر الماضي.
القانون الجديد، يُعتبر نقلة كبيرة في طريق حماية البيانات الشخصية للمواطنين، من الانتهاك، والقضاء على المتاجرة في بيانات عملاء الشركات المصرح لها بجمع بيانات شخصية، ونص القانون على أنه: “يعمل بأحكام هذا القانون والقانون المرافق فى شأن حماية البيانات الشخصية المعالجة الكترونيًا جزئيًا أو كليًا لدى أى حائز أو متحكم أو معالج لها، وذلك بالنسبة للأشخاص الطبيعيين” ونص في المادة الثانية على أنه “لا يجوز جمع البيانات الشخصية أو معالجتها أو الأفصاح عنها أو إفشائها بأي وسيلة من الوسائل، إلا بموافقة صريحة من الشخص المعني بالبيانات، أو في الأحوال المصرح بها قانونًا”.
نص القانون، على إنشاء هيئة عامة اقتصادية تسمى “مركز حماية البيانات الشخصية”
مركز حماية البيانات
كما نص القانون، على إنشاء هيئة عامة اقتصادية تسمى “مركز حماية البيانات الشخصية” من ضمن مهامها إصدار التراخيص والاعتمادات للشركات بجمع البيانات، والرقابة والتفتيش على المخاطبين بأحكام القانون، واتخاذ الإجراءات القانونية اللازمة، ويُكون المركز من ممثل عن وزارة الدفاع، وممثل عن وزارة الداخلية، وممثل عن جهاز المحابرات العامة ، وممثل عن هيئة الرقابة الإدارية، وممثل عن هيئة تنمية صناعة تكنولوجيا المعلومات، وممثل عن الجهاز القومي لتنظيم الاتصالات، والرئيس التنفيذي للمركز، وثلاثة من ذوي الخبرة يختارهم الوزير المختص “وزير الاتصالات”.
مسؤول حماية البيانات
ألزم القانون، المخاطبين به من مؤسسات وشركات، والمتحكمين في البيانات الشخصية، بتعيين مسؤول بكل مؤسسة، يسمى “مسؤول حماية البيانات الشخصية، يكون مهمته تنفيذ أحكام القانون داخل مؤسسته وتمكين الأشخاص المعنيين بالبيانات من ممارسة حقوقهم المنصوص عليها في القانون، والرد على طلبات وتظلمات الأشخاص المعنيين بالبيانات، ويكون همزة الوصل بين مؤسسته ومركز حماية البيانات الشخصية، وإبلاغه عن أي اختراق للبيانات.
حقوق المعنيين بالبيانات الشخصية
وفيما يتعلق بحقوق الشخص المعني بالبيانات، ضمن القانون حقوقه في: “العلم بالبيانات الشخصية الخاصة به الموجودة لدى أى حائز أو متحكم أو معالج والإطلاع عليها والوصول إليها والحصول عليها”، كما يحق له العدول عن الموافقة المسبقة على الاحتفاظ بياناته الشخصية أو معالجتها، إضافة إلي حقه في التصحيح أو التعديل أو المحو أو الإضافة أو التحديثات للبيانات الشخصية مع تخصيص المعالجة فى نطاق محدد، ويحق له أيضًاالعلم والمعرفة بأي انتهاك أو خرق لبياناته الشخصية، والاعتراض على معالجة البيانات الشخصية أو نتائجها متى تعارضت مع الحقوق والحريات الأساسية للشخص المعني بالبيانات.
لا تسري أحكام القانون المرافق على البيانات الشخصية التي يحتفظ بها الأشخاص الطبيعيون للغير ويتم معالجتها للاستخدام الشخصي
الجهات المستثناة من أحكام القانون
ولا تسري أحكام القانون المرافق على البيانات الشخصية التي يحتفظ بها الأشخاص الطبيعيون للغير ويتم معالجتها للاستخدام الشخصي، والبيانات الشخصية التى تتم معالجتها بغرض الحصول على البيانات الإحصائية الرسمية أو تطبيقًا لنص قانوني، والبيانات الشخصية التى تتم معالجتها حصرًا للأغراض الإعلامية بشرط أن تكون صحيحة ودقيقة، وإلا تستخدام فى أغراض أخرى وذلك دون الإخلال بالتشريعات المنظمة للصحافة والإعلام، والبيانت الشخصية المتعلقة بمحاضر الضبط القضائى والتحقيقات والدعاوى القضائية، والبيانات الشخصية لدى جهات الأمن القومى وما تقدره لاعتبارات أخرى، ولبيانات الشخصية لدى البنك المركزي المصري والجهات الخاضعة لرقابته وإشرافه عدا شركات تحويل الأموال وشركات الصرافة على أن يراعى في شأنهما القواعد المقررة من البنك المركزي المصري بشأن التعامل مع البيانات الشخصية.
الجرائم وعقوباتها
من أهم الجرائم التي نص عليها القانون وعقوباتها: أنه يعاقب بغرامة لا تقل عن مائة ألف جنيه ولا تتجاوز مليون جنيه، كل حائز أو متحكم أو معالج جمع أو عالج أو أفشى أو أتاح أو تداول بيانات شخصية معالجة إليكترونيًا أو بأي وسيلة أو من الوسائل في غير الأحوال المصرح بها قانونًا أو بدون موافقة الشخص المعني بالبيانات، وتكون العقوبة بالحبس مدة لا تقل عن ستة أشهر، وبغرامة لا تقل عن مائتي ألف جنيه ولا تقل عن مليوني جنيه، أو بإحدى هاتين العقوبتين، إذا ارتكب ذلك مقابل منفعة مادية أو أدبية، أو بقصد تعريض الشخصي المعني بالبيانات للخطر أو الضرر.
كما نص القانون، على أنه يُعاقب بغرامة لا تقل عن مائة ألف جنيه ولا تتجاوز مليون جنيه، كل شخص امتنع دون مقتض من القانون عن تمكين الشخص المعني بالبيانات من ممارسة حقوقة المنصوص عليها في القانون.
كما نص القانون على أنه يعاقب بالحبس مدة لا تقل عن ثلاثة أشهر وبغرامة لا تقل عن خمسمائة ألف جنية ولا تتجاوز خمسة ملايين، أو بإحدى هاتين العقوبتين، كل حائز أو متحكم أو معالج جمع أو أتاح أو تداول أو عالج أو أفشى أو خزن أو نقل أو حفظ بيانات شخصية حساسة بدون موافقة المعني بالبيانات “البيانات الشخصية الحساسة هي البيانات التي تفصح عن الصحة النفسية أو العقلية أو البدنية أو الجينية أو بيانات القياسات الحيوية أو البيانات المالية أو المعتقدات الدينية والآراء السياسية أو الحالة الأمنية وفي جميع الأحوال تعد بيانات الأطفال من البيانات الشخصية الحساسة”.
قانون حماية البيانات الشخصية في عقوباته لم يراعي حجم الشركات ورؤوس أموالها من حيث الغرامات المقررة نتيجة انتهاك البيانات
ملاحظات حول القانون
القانون وعلى عكس أغلب القوانين التي سنها البرلمان في السنوات الأخيرة، جاء مُنحازًا للحريات الشخصية، وشملت مواده كافة الأشكال التي يُمكن معها التلاعب بالبيانات الشخصية لعملاء الشركات المصرح لها بجمع بيانات شخصية عن عملائها، ويعتبر نهاية لعصر متاجرة الشركات ببيانات العملاء، وبيعها سواء بمقابل مالي مباشر، أو غير مباشر، في صفقات مشبوهة، إلا أن القانون في عقوباته لم يراعي حجم الشركات ورؤوس أموالها من حيث الغرامات المقررة نتيجة انتهاك البيانات، إذا كان يجب زيادة الغرامة في حديها الأدنى والأقصى، كما أن عقوبة الحبس للمسؤول عن انتهاك أو تسريب البيانات كانت قليلة في حدها الأدنى في بعض الحالات.