مقدمة
وضع قانون حماية البيانات الشخصية، الصادر في منتصف عام 2020، تصورًا عامًا لوضع أطر تنظيمية تضمن حماية البيانات الشخصية المعالجة إلكترونيًا. في سبيل ذلك استحدث القانون هيئة مستقلة تعمل على إنفاذ القانون وضمان تطبيقه، سميت بمركز حماية البيانات الشخصية. وفي المقابل ألزم مقدمي الخدمة بعدد من الالتزامات، وعهد تنفيذ هذه الالتزامات إلى شخص/ إدارة لدى كل مقدم خدمة، وسمي هذا الشخص بمسئول حماية البيانات.
يلعب مسئول حماية البيانات دورًا محوريًا في عملية حفظ ومعالجة البيانات الشخصية، فهو الشخص المسئول عن مخاطبة كافة الأطراف. فمسئول حماية البيانات هو الشخص الذي يُمثِل مقدم الخدمة أمام مركز حماية البيانات وكذلك أمام متلقي الخدمة، وهو أيضًا الشخص المسئول عن وضع وإنفاذ القواعد الداخلية المتعلقة بإجراءات حفظ ومعالجة وتعديل البيانات الشخصية.
تتناول هذه الورقة تعريف لوظيفة مسئول حماية البيانات والالتزامات التي يفرضها عليه قانون حماية البيانات الشخصية. كما تعرض الورقة شروط تعيين مسئول حماية البيانات وأثر عدم الالتزام بتلك الشروط بالإضافة إلى أثر إخلال مسئول حماية البيانات بالتزاماته القانونية.
تتطرق الورقة أيضًا إلى أثر عدم تجريم إخلال مسئول حماية البيانات الشخصية بالتزاماته تجاه البيانات الشخصية الحساسة، وتبعات تأخر صدور اللائحة التنفيذية للقانون وإنشاء مركز حماية البيانات على التزامات مسئول حماية البيانات وأخيرًا إلى مدى جواز الصلح في جرائم مسئول حماية البيانات.
تعريف مسئول حماية البيانات الشخصية
أدخل قانون حماية البيانات الشخصية مجموعة من التعريفات والمسميات الوظيفية الجديدة على البيئة التشريعية المصرية. من بين تلك التعريفات تعريف البيانات الشخصية، والبيانات الشخصية الحساسة، ومركز حماية البيانات الشخصية، بالإضافة إلى صفات ومسميات وظيفية لبعض المتعاملين مع البيانات الشخصية مثل الحائز ، والمتحكم، والمعالج، ومسئول حماية البيانات الشخصية.
خصص قانون حماية البيانات الشخصية الفصل الأول منه لتعريف بعض الكلمات والعبارات الواردة فيه، لكن لم تشمل تلك التعريفات أي تعريف لمسئول حماية البيانات الشخصية، إلا أنه يمكن استنتاج هذا التعريف من خلال الفصل الرابع من القانون المسمى ب”مسئول حماية البيانات الشخصية”. فيمكن تعريف مسئول حماية البيانات الشخصية بأنه مسمى وظيفي ينطبق على أحد الموظفين العاملين لدى الشخص الاعتباري المتحكم أو المعالج للبيانات الشخصية، والمقيد اسمه بالسجل المعد لذلك لدى مركز حماية البيانات الشخصية. أما في حالة إذا كان المتحكم أو المعالج شخصًا طبيعيًا، فتنطبق عليه صفة مسئول حماية البيانات، بالإضافة إلى صفة المتحكم، أو المعالج للبيانات الشخصية، أو كلاهما معًا.
تعيين مسئول حماية البيانات الشخصية
وضع قانون حماية البيانات الشخصية بعض القواعد العامة الخاصة بتعيين مسئول حماية البيانات الشخصية، من بينها:
- إنشاء سجل خاص بمركز حماية البيانات الشخصية يُقيَد فيه مسئولي حماية البيانات الشخصية العاملين لدى كل شخص اعتباري متحكم أو معالج للبيانات الشخصية.
- إلزام الممثل القانوني لكل شخص اعتباري متحكم أو معالج للبيانات الشخصية بتعيين موظف مختص مسئول عن حماية البيانات.
- إلزام الممثل القانوني لكل شخص اعتباري متحكم أو معالج للبيانات الشخصية بقيد مسئول حماية البيانات الشخصية التابع له في السجل المعد لذلك لدى مركز حماية البيانات الشخصية.
- إلزام الممثل القانوني لكل شخص اعتباري متحكم أو معالج للبيانات الشخصية بالإعلان عن الموظف المختص المسئول عن حماية البيانات الشخصية التابع له.
- إعفاء الشخص الطبيعي المتحكم أو المعالج للبيانات الشخصية من تعيين مسئول حماية بيانات تابع له، وفي المقابل إلزامه بذات مهام والتزامات مسئول حماية البيانات.
أما القواعد المتعلقة بشروط القيد بسجل مسئولي حماية البيانات بمركز حماية البيانات، وإجراءاته، وآليات التسجيل فيه، فقد أحال القانون تنظيمها إلى لائحته التنفيذية، التي كان من المفترض أن تصدر في الربع الثاني من عام 2021 بحد أقصى، وهو ما لم يحدث حتى الآن.
أثر عدم تعيين مسئول حماية البيانات الشخصية
بعد أن ألزم قانون حماية البيانات الشخصية الممثل القانوني لكل شخص اعتباري متحكم أو معالج للبيانات الشخصية (مقدم الخدمة) بتعيين موظف مختص مسئول عن حماية البيانات وفرض عليه عدد من الالتزامات التي سبق إيضاحها، فقد رتب القانون على مخالفة هذه الالتزامات مجموعة من الجزاءات. تنقسم الجزاءات إلى جزاءات إدارية تُوقع بواسطة مركز حماية البيانات الشخصية على المخالف لهذه الالتزامات، وأخرى جنائية تُوقع بواسطة المحاكم الجنائية.
أولًا: الجزاءات الإدارية المترتبة على عدم تعيين مسئول حماية بيانات
-
الجزاءات التي تُوقع بواسطة الرئيس التنفيذي لمركز حماية البيانات الشخصية
منح القانون الرئيس التنفيذي لمركز حماية البيانات الشخصية سلطة إنذار مقدم الخدمة المخالف لأحكام هذا القانون بالتوقف عن المخالفة وإزالة أسبابها وآثارها خلال مدة زمنية يحددها في الإنذار.
-
الجزاءات التي تُوقع بواسطة مجلس إدارة جهاز حماية البيانات الشخصية
أجاز القانون لمجلس إدارة مركز حماية البيانات الشخصية أن يصدر قرارًا مسببًا بالجزاءات الموقعة على مقدم الخدمة في حالة عدم التزام بالإنذار الصادر عن الرئيس التنفيذي للجهاز وانقضاء مدته. والجزاءات هي:
- الإنذار بإيقاف الترخيص أو التصريح أو الاعتماد جزئيًا أو كليًا لمدة محددة.
- إيقاف الترخيص أو التصريح أو الاعتماد جزئيًا أو كليًا.
- سحب الترخيص أو التصريح أو الاعتماد أو إلغاؤه جزئيًا أو كليًا.
- نشر بيان بالمخالفات التي ثبت وقوعها في وسيلة إعلام أو أكثر واسعة الانتشار على نفقة المخالف.
- إخضاع المتحكم أو المعالج للإشراف الفني للمركز لتأمين البيانات الشخصية على نفقتهما.
ثانيًا: الجزاءات الجنائية المترتبة على عدم تعيين مسئول حماية بيانات
يُعاقِب قانون حماية البيانات مقدم الخدمة في حال عدم تعيين مسئول حماية البيانات وفي حال عدم الالتزام بأي من القواعد والضوابط المنصوص عليها في القانون لتعيينه. قرر القانون لمرتكب تلك الجريمة عقوبة الغرامة المالية التي لا تقل عن مئتي ألف جنيه ولا تجاوز مليوني جنيه، وذلك مع عدم الإخلال بأي عقوبة أشد منصوص عليها في قانون آخر.
يُعاقِب القانون أيضًا المسئول عن الإدارة الفعلية لمقدم الخدمة بذات العقوبة إذا ثبت علمه بها، وكان إخلاله بالواجبات التي تفرضها عليها إدارته قد أسهم في وقوع هذه الجريمة. ويكون مقدم الخدمة مسئولًا بالتضامن عن الوفاء بما يحكم به من تعويضات إذا كانت الجريمة قد ارتكبت من أحد العاملين لديه وباسم مقدم الخدمة ولصالحه. وبالإضافة إلى الغرامة كعقوبة أصلية، تقضي المحكمة بعقوبة تبعية وجوبية وهي نشر حكم الإدانة في جريدتين واسعتي الانتشار وعلى شبكة المعلومات الإلكترونية المفتوحة على نفقة المحكوم عليه.
التزامات مسئول حماية البيانات الشخصية
يُعَد مسئول حماية البيانات الشخصية بمثابة حلقة وصل بين مقدم الخدمة، ومركز حماية البيانات، والشخص المعني بالبيانات. حدد القانون في المادتين (9) و(13) مجموعة من الالتزامات المنوط بمسئول حماية البيانات القيام بها، وأحال للائحته التنفيذية – التي لم تصدر بعد – تنظيم مجموعة أخرى من الالتزامات والمهام. لم ينص القانون على أي ضوابط للالتزامات المحالة إلى اللائحة التنفيذية، بل تركها جميعًا لسلطة وزير الاتصالات وتكنولوجيا المعلومات، باعتباره المسئول عن إصدار اللائحة التنفيذية بموجب مادة الإصدار الرابعة للقانون.
يمكن إيجاز التزامات مسئول حماية البيانات الشخصية المنصوص عليها في القانون في النقاط التالية:
- المسئولية عن تنفيذ أحكام القانون ولائحته التنفيذية، وقرارات مركز حماية البيانات الشخصية.
- المسئولية عن مراقبة الإجراءات المعمول بها داخل كيان مقدم الخدمة الذي يعمل لديه والإشراف عليها.
- العمل كنقطة اتصال مباشر مع مركز حماية البيانات الشخصية وتنفيذ قراراته بشأن تطبيق أحكام قانون حماية البيانات الشخصية.
- تلقي الطلبات المتعلقة بالبيانات الشخصية المقدَمة من الشخص المعني بالبيانات أو من كل ذي صفة والرد عليها.
- الرد على مركز حماية البيانات الشخصية في التظلمات المقدَمة إليه من الشخص المعني بالبيانات أو ممن له صفة.
- تمكين الشخص المعني بالبيانات من ممارسة حقوقه المنصوص عليها في قانون حماية البيانات الشخصية.
- إجراء التقييم والفحص الدوري لنظم حماية البيانات الشخصية، ومنع اختراقها، وتوثيق نتائج التقييم، وإصدار التوصيات اللازمة.
- الالتزام باتباع واستيفاء السياسيات والإجراءات التأمينية اللازمة لعدم خرق البيانات الشخصية الحساسة أو انتهاكها.
- إخطار مركز حماية البيانات الشخصية حال وجود أي خرق أو انتهاك للبيانات الشخصية لديه.
- متابعة القيد والتحديث لسجل البيانات الشخصية لدى المتحكم في البيانات أو سجل عمليات المعالجة لدى معالج البيانات، بما يكفل ضمان دقة البيانات والمعلومات المقيَدة.
- إزالة أي مخالفات متعلقة بالبيانات الشخصية داخل كيان مقدم الخدمة الذي يعمل لديه واتخاذ الإجراءات التصحيحية حيالها.
- تنظيم البرامج التدريبية اللازمة لموظفي كيان مقدم الخدمة الذي يعمل لديه وتأهيلهم بما يتناسب مع متطلبات قانون حماية البيانات الشخصية.
أثر إخلال مسئول حماية البيانات الشخصية بالتزاماته القانونية
ينص قانون حماية البيانات الشخصية على مجموعة من الجزاءات التي تُوقع في حال مخالفة مسئول حماية البيانات الشخصية لأي من التزاماته القانونية. تنقسم الجزاءات إلى جزاءات إدارية وجزاءات جنائية. تُوقع الجزاءات الإدارية بواسطة مركز حماية البيانات الشخصية، وهي ذات الجزاءات التي تُوقع في حالة عدم تعيين مسئول حماية بيانات شخصية أو في حالة ارتكاب أي مخالفة أخرى لأحكام هذا القانون. أما الجزاءات الجنائية فتُوقع بواسطة المحاكم الجنائية، ويمكن إيجازها في الآتي:
يُعاقِب القانون مسئول حماية البيانات الشخصية في حال عدم الالتزام بمقتضيات وظيفته والتزاماته المنصوص عليها في القانون بالغرامة المالية التي لا تقل عن مئتي ألف جنيه ولا تجاوز مليوني جنيه إذا كانت الجريمة عمدية، والغرامة التي لا تقل عن خمسين ألف جنيه ولا تجاوز خمسمائة ألف جنيه إذا كانت الجريمة قد وقعت نتيجة لإهمال مسئول حماية البيانات الشخصية، وذلك مع عدم الإخلال بأي عقوبة أشد منصوص عليها في قانون آخر.
وبالإضافة إلى ذلك، يُعاقِب القانون أيضًا المسئول عن الإدارة الفعلية لمقدم الخدمة بذات العقوبة إذا ثبت علمه بها، وكان إخلاله بالواجبات التي تفرضها عليها إدارته قد أسهم في وقوع هذه الجريمة. وكذلك يكون مقدم الخدمة مسئولًا بالتضامن عن الوفاء بما يحكم به من تعويضات إذا كانت الجريمة قد ارتُكِبت من أحد العاملين لديه وباسم مقدم الخدمة ولصالحه. وبالإضافة إلى الغرامة كعقوبة أصلية، تقضي المحكمة بعقوبة تبعية وجوبية وهي نشر حكم الإدانة في جريدتين واسعتي الانتشار وعلى شبكة المعلومات الإلكترونية المفتوحة على نفقة المحكوم عليه.
أثر عدم تجريم إخلال مسئول حماية البيانات الشخصية بالتزاماته تجاه البيانات الشخصية الحساسة
اقتصر المُشرِع في قانون حماية البيانات الشخصية على تجريم إخلال مسئول حماية البيانات بالالتزامات المنصوص عليها في المادة (9) فقط، دون أن يقرر أي جزاء جنائي على مخالفة الالتزامات المنصوص عليها في المادة (13)، في حين أن الأخيرة تمثل الالتزامات الأكثر أهمية مقارنة بغيرها من الالتزامات.
تختص المادة (13) من القانون بالتزامات اتباع السياسات والإجراءات التأمينية اللازمة لحماية البيانات الشخصية الحساسة وعدم خرقها أو انتهاكها. والبيانات الحساسة هي بيانات ذات طبيعة مختلفة عن غيرها من البيانات الشخصية، حسبما عرفها المُشرِع في القانون. وضع المُشرِع للبيانات الحساسة تعريفًا خاصًا يميزها عن غيرها من البيانات وعرفها بأنها “البيانات التي تفصح عن الصحة النفسية أو العقلية أو البدنية أو الجينية، أو بيانات القياسات الحيوية (البيوميترية) أو البيانات المالية أو المعتقدات الدينية أو الآراء السياسية أو الحالة الأمنية، وفي جميع الأحوال تعد بيانات الأطفال من البيانات الحساسة”.
عدم تجريم الإخلال بالالتزامات الخاصة بالبيانات الشخصية الحساسة يُشكِل خلل في سياسة التجريم والعقاب التي انتهجها المُشرِع بشأن الحماية الجنائية للبيانات الحساسة. يترتب على هذا إهدار لجانب كبير من الحماية الجنائية الخاصة بالبيانات الحساسة وغموض حول المسئولية الجنائية لمسئول حماية البيانات حال تعمده عدم اتباع الإجراءات التأمينية اللازمة لحماية البيانات الحساسة من الاختراق أو الانتهاك أو في حال إهماله في اتباع الإجراءات التأمينية.
كما أن عدم تجريم إخلال مسئول حماية البيانات بالالتزامات الخاصة بالبيانات الحساسة يتعارض مع فلسفة المُشرِع في هذا القانون والتي اعتمدت على تشديد العقوبات الجنائية المقررة إذا كان محل الجريمة المرتكبة بيانات شخصية حساسة مقارنة بالعقوبات المقررة عن ذات الأفعال الإجرامية إذا كان محلها بيانات شخصية غير حساسة.
جرَم المُشرِع جمع أو معالجة أو تداول أو إفشاء أو إتاحة البيانات الشخصية في غير الأحوال المصرح بها قانونًا أو دون موافقة الشخص المعني بالبيانات. يُعاقِب القانون ارتكاب أي من هذه الأفعال بالغرامة المالية التي لا تقل عن مئة ألف جنيه ولا تجاوز مليون جنيه. أما في حال أن كانت البيانات الشخصية بيانات حساسة، فتكون العقوبة المقررة لأي من هذه الأفعال هي الحبس مدة لا تقل عن ثلاثة أشهر وبغرامة لا تقل عن خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه أو بإحدى هاتين العقوبتين.
تبعات تأخر صدور اللائحة التنفيذية للقانون على التزامات مسئول حماية البيانات
اعتمد المُشرِع عند وضع القانون على فلسفة تجزئة الالتزامات القانونية المتعلقة بحماية البيانات. أحال المُشرِع بعضًا من تلك الالتزامات إلى اللائحة التنفيذية بمبرر أن القواعد التي تمت إحالتها ما هي إلا قواعد إجرائية تختص اللائحة بتنظيمها. يُعَد ذلك أحد أكثر الإشكاليات تأثيرًا على القانون؛ فانفراد السلطة التنفيذية –ممثلة في وزارة الاتصالات– بتنظيم بعض القواعد يجعلها المتحكم الوحيد في طريقة تطبيق القانون وتفسير كثير من قواعده. يؤدي ذلك إلى فقدان قواعد القانون ميزة ذاتية التنظيم والقدرة على التطبيق تلك القواعد دون ارتباط بقرارات وقواعد تنظيمية تصدرها السلطة التنفيذية.
نَصَت مواد الإصدار في قانون حماية البيانات الشخصية على أن اللائحة التنفيذية يجب أن تصدر خلال ستة أشهر من تاريخ العمل بالقانون، ويبدأ العمل بالقانون بعد مضي ثلاثة أشهر من اليوم التالي لتاريخ نشره. يعني ذلك أن اللائحة التنفيذية لقانون حماية البيانات الشخصية كان من المفترض أن تصدر في الربع الثاني من عام 2021، وهو ما لم يحدث حتى الآن.
كما نص القانون على إنشاء “مركز حماية البيانات الشخصية” باعتباره هيئة اقتصادية عامة تتبع وزير الاتصالات وتكنولوجيا المعلومات. يكون لهذا المركز العديد من الاختصاصات من بينها حماية البيانات الشخصية، وتنظيم معالجتها وإتاحتها، وإصدار التراخيص والتصاريح اللازمة لممارسة أنشطة جمع أو حفظ أو معالجة البيانات الشخصية، واعتماد الجهات والأفراد، والرقابة والإشراف على مقدمي الخدمة، وتلقي الشكاوى، وإصدار التقارير الفنية، والتفتيش على المخاطبين بأحكام هذا القانون.
بالإضافة إلى ذلك، ينص القانون على أن يكون لمركز حماية البيانات الشخصية مجلس إدارة يكون هو السلطة المهيمنة على شئون المركز ومباشرة اختصاصاته. يكون للمركز أيضًا رئيس تنفيذي يُمِثل المركز في صلاته بالغير وأمام القضاء، ويكون مسئولًا أمام مجلس الإدارة عن سير أعمال المركز إداريًا وفنيًا وماليًا. يُشكَل مجلس الإدارة ويُعيَن الرئيس التنفيذي للمركز بقرار من رئيس مجلس الوزراء.
حتى كتابة هذه السطور، يقتصر وجود مركز حماية البيانات الشخصية في نصوص القانون فقط. فلم يتم إنشاء المركز ولم يُصدِر رئيس مجلس الوزراء أي قرار بتشكيل مجلس إدارته أو بتعيين رئيس تنفيذي له بسبب التأخر في إصدار اللائحة التنفيذية للقانون.
أثر هذا التأخر على سريان قانون حماية البيانات الشخصية وعلى ودخوله حيز النفاذ. كما أثر أيضًا على بعض القواعد المتعلقة بتعيين مسئول حماية البيانات الشخصية. من بين تلك القواعد قيد مسئول حماية البيانات لدى المركز بسجل مسئولي حماية البيانات الشخصية وآليات التسجيل في المركز التي أحال القانون تنظيمها إلى اللائحة التنفيذية.
ترتب على هذا إعفاء ضمني مؤقت من التزام كل مقدم خدمة بتعيين مسئول حماية البيانات، نظرًا لاستحالة تعيينه في غياب اللائحة التنفيذية. وبالتبعية أيضًا إعفاء مقدمي الخدمة من الجزاءات الإدارية المترتبة على عدم تعيين مسئول حماية بيانات لعدم إنشاء مركز حماية البيانات الشخصية باعتباره المختص بتوقيع تلك الجزاءات على المخالفين لأحكام القانون. وكذلك الإعفاء من المسئولية الجنائية المترتبة على عدم تعيينه لحين صدور هذه اللائحة وإنشاء المركز.
مدى جواز الصلح في جرائم مسئول حماية البيانات
منح قانون حماية البيانات الشخصية الحق للمتهم في إثبات الصلح مع المجني عليه في بعض الجرائم. والمجني عليه هو الشخص المعني بالبيانات، والذي عرفه القانون بأنه كل شخص طبيعي تنسب إليه بيانات شخصية معالجة إلكترونيًا تدل عليه قانونًا أو فعلًا وتمكن تمييزه من غيره.
من بين الجرائم التي يمكن إثبات الصلح فيها الجرائم المتعلقة بعدم تعيين مسئول حماية البيانات الشخصية أو عدم الالتزام بالضوابط القانونية لتعيينه. يجوز أيضًا إثبات الصلح في الجرائم الناتجة عن إخلال مسئول حماية البيانات الشخصية بمقتضيات وظيفته والتزاماته المنصوص عليها في القانون، سواء عن عمد أو نتيجة لإهماله في القيام بها، وذلك وفقًا لمجموعة من الضوابط، تتمثل في الآتي:
- يُثبَت الصلح قبل صيرورة الحكم في الدعوى الجنائية باتًا.
- يُثبَت الصلح مع المجني عليه بشخصه، أو وكيله الخاص، أو خلفه العام.
- يُثبَت الصلح بموافقة مركز حماية البيانات الشخصية أمام النيابة العامة أو المحكمة المختصة، حسب الأحوال.
الأثر المترتب على الصلح في جرائم مسئول حماية البيانات
لم يوضح المُشرِع في قانون حماية البيانات الشخصية الأثر المترتب على الصلح، وذلك على خلاف ما أفصح عنه صراحة بشأن الأثر المترتب على التصالح. ولكن بالعودة للقواعد العامة لقانون الإجراءات الجنائية فإن الدعوى الجنائية تنقضي كأصل عام بصدور حكم نهائي بات فيها. والمقصود بالانقضاء هو انتهاء الدعوى الجنائية.
قد تنقضي الدعوى الجنائية لأسباب أخرى غير الحكم البات، ومن بينها الصلح مع المجني عليه. تختلف الطبيعة الإجرائية والأثر المترتب على عملية الصلح باختلاف المرحلة التي يتم خلالها من مراحل التقاضي المختلفة، وذلك كالآتي:
- مرحلة التحقيق: في حالة الصلح أمام جهة التحقيق المختصة في مرحلة التحقيق الابتدائي يجب على جهة التحقيق حفظ الأوراق بشأن الجريمة التي تم الصلح عليها، وعدم تحريك الدعوى الجنائية، أو الأمر بألا وجه لإقامة الدعوى الجنائية إذا كانت اتخذت أحد إجراءات التحقيق.
- مرحلة المحاكمة: يترتب على الصلح في مرحلة المحاكمة، أن تقضي المحكمة – من تلقاء نفسها ولو لم يدفع بذلك أي من الخصوم – بانقضاء الدعوى الجنائية، باعتبار أن أسباب الانقضاء من النظام العام.
خاتمة
تناولت الورقة تعريف وظيفة مسئول حماية البيانات والالتزامات المتعلقة بها. لكن يجدر الإشارة أن جزءًا كبيرًا من هذه الالتزامات يظل رهنًا باستكمال الإطار التشريعي المتعلق بعملية حماية البيانات الشخصية. فمنذ صدور قانون حماية البيانات الشخصية في منتصف عام 2020 لازال هذا القانون غير قابل للتنفيذ بشكل كامل لعدم صدور اللائحة التنفيذية للقانون التي أحال إليها القانون عدد كبير من القواعد الإجرائية ومن أهمها إنشاء مركز حماية البيانات الشخصية.