في يوليو 2020، صدر قانون حماية البيانات الشخصية (رَقْم 151 لسنة 2020) وبعد مرور سنة على إصداره، ما تزال أغلب القواعد المنصوص عليها في القانون مُعلّقة، لعدم صدور اللائحة التنفيذية، حيث أحال القانون عددًا كبيرًا من الجوانب الإجرائية إلى اللائحة التنفيذية، بل إن القانون أحال إلى اللائحة التنفيذية تفصيلات جوهرية تتعلق ببعض القواعد الموضوعية التي لا يُمكن سريان القانون دون إقرارها.
تذكر مواد الإصدار في قانون حماية البيانات الشخصية أن المواعيد التي يجب أن تصدر خلالها اللائحة التنفيذية للقانون، ستة أشهر من تاريخ العمل به،1 كما حدد القانون تاريخ العمل بالقانون بعد مضي ثلاثة أشهر من اليوم التالي لتاريخ نشره،2 وهو ما يعني أن اللائحة التنفيذية لقانون حماية البيانات الشخصية كان من المفترض أن تصدر في الربع الثاني من العام الجاري.
كانت مسار – مجتمع التقنية والقانون، قد نشرت ورقة بحثية عن قانون حماية البيانات في نهاية العام الماضي، حيث أشارت الورقة إلى مجموعة من القضايا الرئيسية في القانون، منها: الهدف من إقرار قانون حماية البيانات الشخصية، والتوسع في الاستثناءات على حماية البيانات الشخصية، وضمانات وحقوق المُستخدمين في أثناء جمع ومعالجة البيانات الشخصية وإجراءات إتاحة البيانات الشخصية، والتزامات المُتحكم والمُعالج والحائز، ومُشاركة البيانات عبر الحدود، وصلاحيات وتشكيل مركز حماية البيانات.3
تُركِّز هذه الورقة على التداعيات والآثار المُترتبة على التأخر في إصدار اللائحة التنفيذية لقانون حماية البيانات الشخصية، مع إشارة سريعة إلى السياقات والملابسات المرتبطة بعملية وضع اللائحة التنفيذية للقانون، خاصة في ظل غياب حوار مجتمعي جاد، يتعلق بخروج لائحة تنفيذية تحظى بقبول من الأطراف المختلفة.
القانون مُعطّل بسبب اللائحة التنفيذية
اعتمد المُشرِّع عند وضع قانون حماية البيانات الشخصية على فلسلفة تجزئة الالتزامات القانونية المتعلقة بحماية البيانات، فأحال بعضًا منها إلى اللائحة التنفيذية بمبرر أن القواعد التي تمت إحالتها ما هي إلا قواعد إجرائية تختص اللائحة بتنظيمها، وهو ما كان أحد الانتقادات التي وُجِّهت إلى قانون حماية البيانات الشخصية، بجانب عدد آخر من الانتقادات، مثل: ارتفاع قيمة رسوم حصول الأفراد على بياناتهم الشخصية، وعدم النص صراحة على السياسات والمعايير والضوابط اللازمة لنقل أو تخزين أو مشاركة أو معالجة أو إتاحة البيانات الشخصية عبر الحدود، وعدم وجود نصوص إجرائية واضحة تُنظِّم الإجراءات المُتعلِّقة بمحو وتصحيح وتعديل البيانات الشخصية لدى الحائز أو المُتحكم أو المُعالج، يُراجع في ذلك التوصيات الصادرة في التعليق الصادر عن مسار – مجتمع التقنية والقانون، حول قانون حماية البيانات الشخصية، بعنوان: “قانون حماية البيانات الشخصية.. تعزيز للحق في الخصوصية أم إيهام بتحسين البيئة التشريعية؟“.4
وقد توسَّع القانون في إحالة مساحات واسعة من تنظيم القواعد والإجراءات، فتجاوزت ثمانية عشر موضعًا مختلفًا، وهو ما يُمكن اعتباره أحد أكثر الإشكاليات تأثيرًا على القانون، حيث إن وضع تنظيم بعض القواعد بشكل منفرد في يد السلطة التنفيذية _مُمثلة في وزارة الاتصالات_ يجعل السلطة التنفيذية هي المتحكم الوحيد في طريقة تطبيق القانون وتفسير كثير من قواعده، فتفقد قواعد القانون مِيزة ذاتية التنظيم والقدرة على تطبيق قواعد القانون بدون ارتباط أو تعليق على قرارات وقواعد تنظيمية تصدرها السلطة التنفيذية. ويمكن أن نقول إن هذه القواعد تتلخص في محاور رئيسية، كالتالي:
- تصنيف التراخيص والتصاريح والاعتمادات وتحديد أنواعها، ووضع الشروط الخاصة بمنح كل نوع منها.
- القواعد والشروط والإجراءات والمعايير الفنية المتعلقة بتراخيص وتصاريح اعتماد نشاط جمع البيانات الشخصية.
- السياسات والإجراءات والمعايير القياسية لجمع ومعالجة وحفظ وتأمين البيانات داخل وخارج مصر.
- شروط قيد وتسجيل مسؤولي حماية البيانات الشخصية في السجل المخصص بمركز حماية البيانات.
- التزامات ومهام مسؤولي حماية البيانات الشخصية، الذين يتم تعيينهم بالجهات المسؤولة عن جمع ومعالجة البيانات الشخصية.
- حجية الدليل الرقمي المستمد من البيانات الشخصية، والمعايير والشروط الفنية الواجب توفرها في الدليل.
- السياسات والمعايير والضوابط المتعلقة بنقل أو مشاركة أو معالجة أو إتاحة البيانات الشخصية عبر الحدود.
- الإجراءات والاحتياطات والمعايير والقواعد اللازمة لإتاحة البيانات الشخصية لمتحكم أو معالج آخر خارج جمهورية مصر العربية.
- إجراءات وشروط إصدارها وتجديدها ونماذج التراخيص والتصاريح المستخدمة.
- تحديد رسوم منح التراخيص والتصاريح والاعتمادات للجهات التي تجمع وتُعالِج البيانات.
بقراءة سريعة للمحاور السابقة يتضح أنه يستحيل البَدْء الفعلي في تنفيذ القواعد المنصوص عليها بقانون حماية البيانات قبل الانتهاء من إقرار لائحته التنفيذية، كما يظهر تأخُّر عمل وزارة الاتصالات وتكنولوجيا المعلومات، لكونها الجهة المنوط بها البت في إصدار اللائحة، خاصة وأن الفلسفة التي انتهجها المُشرِّع في عملية إصدار قانون حماية البيانات الشخصية، ترتب عليها تركز أغلب القواعد الجوهرية في اللائحة، ما أدى إلى تعطيل قواعد القانون كاملة نتيجة عدم إقرار اللائحة.
ضوابط إجرائية يجب تضمينها باللائحة التنفيذية
تؤكد مسار – مجتمع التقنية والقانون، أن هناك بعض الضوابط الإجرائية التي يجب أن تتضمنها اللائحة التنفيذية لقانون حماية البيانات، بجانب المواضع التي أحال القانون تنظيمها إلى اللائحة التنفيذية، منها على سبيل المثال:
- ملاءمة إتاحة البيانات الشخصية: يجب أن تتضمن اللائحة بعض الضوابط، التي تتعلق بتقديم البيانات الشخصية التي يطلبها المُستخدم بطريقة مُلائمة، حيث يكون للمُستخدم الحق في تحديدها أو اختيارها من بين طرق وصيغ مُتعددة تتفق وحاجة المُستخدم.
- آلية واضحة وثابتة للإبلاغ عن حدوث انتهاك، مثل: تسريب البيانات الشخصية: يجب أن تتضمن اللائحة، النص صراحة على آلية إبلاغ المُستخدم عن حدوث أي انتهاك للبيانات الشخصية الخاصة به، والمدى الزمني الذي يجب خلاله إبلاغ المُستخدم بحجم الضرر المعلوماتي الذي لحق بالبيانات الشخصية للمستخدم.
- تنظيم إجراءات تصحيح أو تعديل أو محو البيانات: لا يكفي النص في القانون على حق المستخدم في محو أو تعديل البيانات، فهذا الأمر يجب وضع قواعد إجرائية ملزمة له بواسطة اللائحة التنفيذية، وأن تتضمن طريقة تقديم الطلب ومواعيد الرد عليه، وحدود مسؤولية المُعالج أو المتحكم في حالة عدم اتخاذ هذه الإجراءات.
النتائج المترتبة على التأخر في إصدار اللائحة التنفيذية
تأخير صدور اللوائح التنفيذية للقوانين هي ممارسة مُنتشرة في السياقات التشريعية المصرية، فأغلب التشريعات التي صدرت خلال الأعوام السابقة، استغرق إصدار لوائحها التنفيذية وقتًا طويلًا، وقد تصل المدَّة بين إقرار القانون وإصدار لائحته التنفيذية إلى ما يزيد على سنتين في بعض الحالات، يظل خلالها القانون مُعطلًا بشكل كلي أو جزئي حسب طبيعة القانون وما قد يتضمنه من قواعد، وهو ما حدث على سبيل المثال عند إصدار اللائحة التنفيذية لقانون تنظيم الإعلام والصحافة (قانون رَقْم 180 لسنة 2018) واللائحة التنفيذية لقانون مكافحة جرائم تقنية المعلومات (قانون رَقْم 175 لسنة 2018). ويترتب على هذا التأخر تبعات كثيرة على تطبيق القوانين عمومًا. وفي إطار تناولنا قانون حماية البيانات الشخصية، فهناك أثران مُباشران:
1. التعطيل الكامل لقانون حماية البيانات الشخصية
تضمَّن قانون حماية البيانات الشخصية أربعة عشر فصلًا مُستقلًّا، خصص المشرِّع اثني عشر فصلًا منها لوضع القواعد التنظيمية الخاصة بالتعريفات الأساسية، وتحديد مسؤوليات الأطراف المختلفة عن عملية جمع ومعالجة وتخزين البيانات الشخصية المُعالجة إلكترونيًّا، ودور الجهات المختلفة في تطبيق القانون. وخصص القانون الفصلين الأخيرين لدور جهات الضبط والتحري، والعقوبات التي توقع في حالة مخالفة القانون، ما يعني أن قانون حماية البيانات الشخصية تغلب عليه الصبغة التنظيمية، وبالتالي يحتاج إلى لوائح وقرارات تنظيمية لتنفيذه، والتأخير الحادث في إصدار هذه اللوائح قد عطل القانون بشكل كامل، بما في ذلك النصوص العقابية، حيث إن تطبيقها يرتبط بوضوح القواعد التنظيمية وقابليتها للتنفيذ، على سبيل المثال، مُساءلة مُقدمي الخدمة عن المخالفات التي تتعلق بتنفيذ القانون يرتبط بداية بتحديد الاشتراطات الفنية والاحتياطات التي يجب أن يلتزم بها مُقدم الخدمة.
ثم إن القانون من القوانين المُستحدثة التي لم يسبق تنظيمها في وقت سابق، فلا توجد قوانين أو لوائح مُلغاة قد يتم العمل بها بشكل مؤقت إلى حين الانتهاء من إصدار اللائحة التنفيذية. يُضاف إلى ذلك، ضعف صور الحماية بالبنية التشريعية وتراجعها فيما يتعلق بتوفير ضمانات كافية لحقوق المُستخدمين لحماية بياناتهم الشخصية أو حماية حقهم في الخصوصية عمومًا.
ب– عدم البَدْء في تشكيل الهيئات المعنية بتطبيق القانون
تعهدت أغلبية القوانين المتعلقة بحماية البيانات الشخصية بالإجراءات والضوابط المتعلقة بحماية البيانات الشخصية إلى إحدى الهيئات المستقلة، بواسطة متابعة تنفيذ القواعد التي يتضمَّنها القانون، ويكون لهذه الهيئات صلاحيات متنوعة، بداية من إقرار السياسات العامة المُتعلقة بعملية تخزين ومعالجة وجمع البيانات، مرورًا بإصدار التراخيص اللازمة للجهات التي تقوم بأنشطة مرتبطة بالبيانات، وصولًا إلى الرقابة على هذه الجهات، وتدريب العاملين بها، وتلقي الشكاوى المتعلقة بأي انتهاك قد يحدث في هذا الإطار.
وقد استحدث قانون حماية البيانات الشخصية المصري هيئة جديدة معنية، سُميت: “جهاز حماية البيانات” أسوة بلائحة حماية البيانات الأوروبية (GDPR)، التي اعتمد عليها المُشرِّع المصري في وضع القانون. ووضع القانون قواعد تشكيل هذا الجهاز واختصاصاته، ولم تتم إحالة أيٍّ من القواعد المُنظمة لهذا الجهاز إلى اللائحة التنفيذية لقانون حماية البيانات، وهو ما يعني_نظريًّا_ إمكانية البَدْء في تشكيل الجهاز، لكن الواقع العملي يُفرِّغ هذا التشكيل من مضمونه، فبالرغم من أن تشكيل الجهاز لا يحتاج إلى إقرار اللائحة التنفيذية، فإن ممارسة هذا الجهاز صلاحياته تظل قيد التنفيذ بشكل كامل إلى حين صدور هذه اللائحة.
يُعدُّ تشكيل الجهاز والبدء في ممارسة اختصاصه وصلاحياته، مؤشرًا مهمًّا على البَدْء الفعلي في تنفيذ قواعد القانون، وبيان أوجه القصور الذي قد يدعو إلى الحاجة إلى تدخل تشريعي لمعالجة نِقَاط الضعف، لذلك فإن التأخر في تشكيل الجهاز واللائحة التنفيذية قد يُظهر عدم وجود إرادة سياسية لوجود قانون جاد وفعَّال يساهم في تعزيز ممارسات حماية البيانات الشخصية.
أثر غياب المشاركة المجتمعية في وضع اللائحة التنفيذية لقانون حماية البيانات الشخصية
عمومًا، لا توجد مشاركة مجتمعية تُذكر في عملية إقرار القانون واللائحة التنفيذية، ولا توجد أيضًا شفافية تامة في عمليات الإقرار، لذلك لا توجد معلومات كافية عن أسباب تأخُّر صدور اللائحة، باستثناء تصريحات مقتضبة تحمل بعض التناقضات:
- في مطلع شهر إبريل 2021، أصدر وزير الاتصالات تصريحًا: “أنه قد تم إصدار قانون حماية البيانات الشخصية العام الماضي، وجاري العمل على إصدار لائحته التنفيذية التي تتضمن إنشاء جهاز لتنظيم وتقنين تداول البيانات في مصر.”5 وهو ما يتفق نسبيًّا مع التصريحات الصادرة عن رئيس لجنة الاتصالات بمجلس النواب في شهر مارس 2021، أنه من المتوقع صدور اللائحة التنفيذية للقانون خلال 30 يومًا.6
- تغيَّرت التصريحات لاحقًا، فأكد وزير الاتصالات وتكنولوجيا المعلومات _في نهاية شهر مايو 2021_ أن “اللائحة التنفيذية لقانون حماية البيانات الشخصية ستستغرق وقتًا أكبر من المحدد لها لإصدارها للحوار المجتمعي مع الشركات ومنظمات المجتمع المدني، حتى تخرج بالشكل الذي يحمى بيانات المواطنين والشركات بشكل آمن.”7 وعلى خلفية هذا التأخير، تقدم أحد نواب البرلمان بطلب إحاطة، بسبب تأخر صدور اللائحة التنفيذية لقانون حماية البيانات الشخصية،8 ولم تستطع “مسار” إيجاد أي ردود رسمية حول الرد على طلب الإحاطة.
الأسباب التي ساقها وزير الاتصالات المصري كسبب للتأخير، التي يأتي على رأسها ضرورة إجراء حوار مجتمعي، فتحت الباب أمام تساؤلات تتعلق بكيفية إدارة هذا الحوار، والأطراف المختلفة التي تُشارك فيه، وما هي النِّقَاط التي يدور حولها النقاش.
عمومًا، لا يمكن رسم ملامح واضحة للحوار المجتمعي الذي أشار إليه وزير الاتصالات، فالبيانات الإعلامية التي صدرت عن وزارة الاتصالات في هذا الشأن تحدثت عن إجراء حوار مع ممثلين من قطاع الاتصالات وتكنولوجيا المعلومات بمصر، ومنها: “فيس بوك” و“تويتر” و“أمازون” و“مايكروسوفت” و“IBM” ومشغلي شبكات المحمول الأربع في مصر (فودافون مصر، أورانج مصر، اتصالات مصر، الشركة المصرية للاتصالات)، لمناقشة مشروع اللائحة التنفيذية للقانون، دون تحديد محاور هذا الحوار، كما لم يتم ذكر أطراف أخرى قامت بالمشاركة في هذا الحوار، مثل: منظمات المجتمع المدني المعنية، أو غرف الصناعات المتخصصة أو الأكاديميين أو القانونيين وغيرهم ممن لهم علاقة بهذا القانون.
وقد انعكس غياب تمثيل الفئات المختلفة عن الحوار المجتمعي على محاور النقاش، حيث ارتكزت مخرجات هذا النقاش حول مخاوف الجهات المسؤولة عن عملية جمع ومعالجة البيانات فقط، دون وجود محاور ذات صلة بحقوق المستخدمين واحترام وتعزيز الحق في الخصوصية. وتُشير المعلومات المتوفِّرة في الإعلام المصري إلى وجود تطمينات للشركات المشاركة في الحوار، بفضل عرض صياغات مقترحة لبعض مواد اللائحة التنفيذية للقانون، خاصة بعد أن قدَّمت بعض الشركات مقترحًا للائحة التنفيذية، تعبر عن الأولويات والمخاوف التي تتعلق بتأثير قانون حماية البيانات على عملهم.9
توصيات
الإشكاليات التي استعرضتها هذه الورقة، من تأخرٍ في عملية إصدار اللائحة التنفيذية لقانون حماية البيانات الشخصية، والملابسات المرتبطة بعملية الإقرار، يرتهن زوالها بأمرين رئيسيين:
الأول: هو ضرورة وجود إطار زمني محدد ومعلن، لإنهاء عملية إقرار اللائحة التنفيذية لقانون حماية البيانات الشخصية، وضرورة إعمال قواعد ومعايير الشفافية عن مراحل إقرار اللائحة وما قد يصحب ذلك من معوقات مختلفة، وتوضيح أي تغيرات تطرأ في الجدول الزمني بشكل علني.
الثاني: هو ضرورة ارتباط الحوار المجتمعي، بقواعد جادة وإشراك لكافة الفئات المختلفة في عملية وضع اللائحة، وذلك تداركًا للأخطاء التي حدثت خلال عملية وضع قانون حماية البيانات، حيث استُدعيت بعض الأطراف للمناقشة في وضع القانون بشكل انتقائي، ثم إن هذه المشاركة غاب عنها الإعلان المُسبق عن عقدها، وغاب عنها أيضًا الإعلان عن مخرجات هذه الاجتماعات والآراء المختلفة التي تم طرحها أثناءها.