قواعد غير مكتوبة: آثار تأخر الائحة التنفيذية لقانون حماية البيانات على البيانات الحساسة

 

  • مقدمة

  • مفهوم البيانات الشخصية الحساسة وتصنيفاتها المختلفة

  • الالتزامات التي تقع على عاتق مقدمي الخدمة لحماية البيانات الحساسة

  • تبعات إفشاء أو جمع أو تخزين بيانات حساسة دون إذن

  • أثر التوسع في الجهات المستثناة من قانون حماية البيانات على البيانات الحساسة

  • أثر التأخر في صدور اللائحة التنفيذية لقانون حماية البيانات على البيانات الحساسة

مقدمة

مع تزايد أهمية البيانات الشخصية وتأثيراتها المحتملة على مستخدمي الإنترنت في ظل التطورات التكنولوجية المستمرة تزايدت أيضًا الجهود التشريعية التي تسعى إلى حماية تلك البيانات. وتختلف درجات الحماية باختلاف طبيعة البيانات الشخصية التي يتم جمعها أو معالجتها من مقدمي الخدمة.

بدأت المحاولات الأكثر وضوحًا في مصر لفرض صور من الحماية للبيانات الشخصية مع صدور لائحة حماية البيانات الأوروبية.1 وضعت اللائحة مظلة حماية عامة للبيانات الشخصية، ودرجة حماية أعلى لما يعرف بالبيانات الشخصية الحساسة مع شروط وضوابط صارمة للتعامل مع عملية جمعها أو تخزينها أو معالجتها. وعرّفت اللائحة البيانات الحساسة بأنها البيانات التي تكشف عن الأصل العرقي أو الإثني أو الآراء السياسية أو المعتقدات الدينية أو الفلسفية للشخص، وكذلك البيانات الجينية والبيانات البيومترية التي تتم معالجتها فقط لتحديد هوية الإنسان، بالإضافة إلى البيانات المتعلقة بالصحة، وبالحياة الجنسية للشخص أو التوجه الجنسي.2

تأثر قانون حماية البيانات الشخصية المصري إلى حدٍ كبير بلائحة البيانات الأوروبية3، وهذا بالرغم من اختلاف الفلسفة المتعلقة بنطاق ودرجة الحماية وحجم الاستثناءات الواردة على القانون. تناقش هذه الورقة التصنيفات المختلفة للبيانات الحساسة والالتزامات التي تقع على مقدمي الخدمة لحمايتها وتبعات إفشائها، بالإضافة إلى أثر تأخر صدور اللائحة التنفيذية لقانون حماية البيانات الشخصية على البيانات الحساسة.

مفهوم البيانات الشخصية الحساسة وتصنيفاتها المختلفة

يعد قانون حماية البيانات الشخصية أول قانون مصري يصدُر لحماية البيانات الشخصية بشكل عام، وهو أيضًا أول قانون ذو طابع تنظيمي يضع ضوابط وشروط لعملية جمع وتخزين ومعالجة البيانات الشخصية المعالجة إلكترونيًا. تناول قانون حماية البيانات الشخصية تعريف وتصنيفات لأنواع البيانات الحساسة.

عرّف القانون البيانات الحساسة بأنها البيانات التي تفصح عن الصحة النفسية أو العقلية أو البدنية أو الجينية، أو بيانات القياسات الحيوية البيومتريةأو البيانات المالية أو المعتقدات الدينية أو الآراء السياسية أو الحالة الأمنيــة، وفي جميع الأحوال تعد بيانات الأطفال من البيانات الشخصية الحساسة“.

احتوى التعريف السابق على تصنيفات مختلفة للبيانات الحساسة ووفر القانون نطاقات متعددة لحمايتها، ولكن بالرغم من ذلك توجد بعض الإشكاليات المتعلقة بصياغة هذا التعريف، وهي:

أولًا: ضعف الصياغات المستخدمة في تعريف البيانات الحساسة

دومًا ما تعكس الكلمات والعبارات المستخدمة في كتابة القوانين الأهداف التي وضع القانون من أجلها. عبارات القانون تكون بمثابة إشارات دالة للمخاطبين به، فتوضح الفرق بين المساحات التنظيمية والضوابط الإجرائية والاستثناءات، على سبيل المثال. لكن صياغة تعريف البيانات الحساسة، والتي يفهم من إجمالي النصوص التي تنظمها أنها من المفترض مساحة قانونية فائقة العناية، جاءت غير معبرة عن الهدف من كتابة القانون.

استخدم التعريف عبارة البيانات التي تفصحثم أعقبها بأنماط ونماذج للبيانات الحساسة، ولكن غابت عن تلك الصياغة الهدف من حماية تلك البيانات. قد يكون من الأفضل في تلك الحالة استخدام عبارات أكثر دلالة مثل البيانات المعرّفة أو التي تعرّف، وأن يسبّق ذلك بلفظ احتمال لتكون العبارة البيانات التي قد تعرّف، ويُختّم التعريف بعبارة لأحد الأشخاص أو الفئات الوارد تميزهم دون غيرهم“. والمقصد هنا هو الإشارة بشكل واضح أنه لا يجب أن يتم الربط بشكل مباشر بين الشخص وبين ما يرتبط به من بيانات ذات طبيعة قادرة على تمييزه دون غيره أو قد تلحق ضرر كبير بالشخص نتيجة للوصول إليها أو معالجتها.

ثانيًا: قصور التعريف عن تحديد العناصر الأساسية التي تتطلب فرض حماية خاصة للبيانات

تعتمد التعريفات التي تستثني بعض الفئات من نطاق تطبيق قاعدة قانونية ما أو تفرض لهم نطاق عناية أكبر على معيارين. إما على تحديد الفئات التي قد تتمتع بالحماية الفائقة على سبيل الحصر، أو بتحديد العناصر التي متى توافرت تفرض عناية من نوع مختلف، وفي الحالتين يجب أن يكون هناك أمثلة دالة أو تعريفات تفصيلية للعناصر التي تضمنها التعريف.

حاول تعريف البيانات الحساسة الوارد بقانون حماية البيانات أن يجمع بين هذين المعيارين. فأشار القانون إلى بيانات خاصة بفئات محددة، مثل البيانات المتعلقة بالأطفال، وإلى وتصنيفات أخرى لأنواع بيانات ذكرِّت على سيبل الحصر، مثل بيانات الصحة النفسية والبيانات البيومترية. لكن لم يذكر القانون أمثلة واضحة أو عناصر محددة تتعلق بطبيعة البيانات الحساسة، كتحديد ما المقصود بالبيانات الصحية على سبيل المثال.

من الجدير بالذكر أن القانون لم يتضمن تعريفات فرعية لأنماط البيانات التي تم ذكرها، كما أنه لم يُحل إلى اللائحة التنفيذية صلاحية وضع تعريفات لهذه البيانات. يختلف هذا عن التعريف الوارد بلائحة حماية البيانات الأوروبية التي أشارت حيثيات صدورها في الباب المخصص للتعريفات إلى التعريفات التفصيلية. على سبيل المثال، عرفّت اللائحة المقصود ببيانات القياسات الحيويةبأنه البيانات الشخصية الناتجة عن معالجة تقنية محددة تتعلق بالخصائص الجسدية أو الفسيولوجية أو السلوكية لشخص طبيعي، والتي تسمح أو تؤكد التحديد الفريد لهذا الشخص الطبيعي، مثل صور الوجه. عرفّت أيضًا اللائحة البيانات المتعلقة بالصحةبأنها البيانات الشخصية المتعلقة بالصحة البدنية أو العقلية لشخص طبيعي، بما في ذلك توفير خدمات الرعاية الصحية، والتي تكشف عن معلومات حول حالته الصحية.4

ثالثًا: غياب الارتباط بين التعريفات وغموض بعض المصطلحات الواردة بتعريف البيانات الحساسة

بيان وتفصيل القاعدة العامة أمر ضروري لوضوح الاستثناءات. لا يعني ذلك أن تكون الاستثناءات فقط في صورة إعفاء من تطبيق القانون، بل يمتد ذلك للحالات التي يفرض من خلالها القانون ضوابط أكثر عناية من الضوابط الواردة بالقاعدة الأصلية. يستتبع هذا بالضرورة أن يكون ثمة ارتباط بين التعريفات العامة والتعريفات الفرعية.

وضع قانون حماية البيانات الشخصية تعريفًا عامًا للبيانات الشخصية، وهو أي بيانات متعلقة بشخص طبيعي محدد، أو يمكن تحديده بشكل مباشر أو غير مباشر عن طريق الربط بين هذه البيانات وأي بيانات أخرى كالاسم، أو الصوت، أو الصورة، أو رقم تعريفي، أو محدد للهوية عبر الإنترنت، أو أي بيانات تحدد الهوية النفسية، أو الصحية، أو الاقتصادية، أو الثقافية، أو الاجتماعية“.5

جدير بالملاحظة أن التعريف السابق قد تطرق لبعض صور البيانات الحساسة مثل الهوية النفسية والصحية. بالرغم من ذلك، لم يتم ربط تعريف البيانات الحساسة بشكل مباشر بالتعريف العام للبيانات الشخصية. ربط التعريفين يعد أمر ضروري لوجود تكامل بينهما وللتأكيد على أن العنصر الرئيسي في التعريف هو القدرة على الربط بين بعض أنواع البيانات وبين آحاد الأشخاص، ثم يأتي بعدها أنواع أو صور البيانات التي تستلزم قدر فائق من العناية.

بالإضافة إلى ما سبق، توجد بعض الإشكاليات المتعلقة بالنصوص المستخدمة في تعريف البيانات الحساسة. ذكر التعريف أنواع البيانات الحساسة على سبيل الحصر لا المثال، وهو ما يستلزم معه وضع تعريفات فرعية لكل نوع من أنواع البيانات مع ذكر أمثلة. عدم وجود تعريفات تفصيلية للمصطلحات والعبارات المستخدمة في تعريف البيانات الحساسة تسبب في وجود مصطلحات وعبارات غريبة على البيئة التشريعية المصرية. على سبيل المثال، من بين تصنيفات البيانات الحساسة ما يعرف بـالبيانات الأمنيةوهو مصطلح لا يمكن فهمه أو فهم الغرض منه أو نطاق الحماية المتعلق به، أو سبب جمع وتخزين ومعالجة بيانات ذات طابع أمني كبير. يعطي هذا أنطباعًا بأن العبارة مقحمة على نص المادة دون غرض أو مبرر تشريعي مفهوم.

وضوح المصطلحات وعدم غموضها أمر مهم لسببين. الأول يتعلق بحق الشخص المعني بالبيانات أن يدرك نوع وحجم البيانات الحساسة التي ترتبط به ومن ثم حقه في تصحيحها أو محوها. السبب الثاني أن جمع أو تخزين أو معالجة هذه البيانات يضع على مقدم الخدمة أعباء ومسؤوليات قانونية كبيرة، فإن كانت هذه البيانات غير واضحة أو معرفة بشكل غير قابل للتأويل قد يتعرض مقدمي الخدمات لتبعات قانونية كبيرة.

الالتزامات التي تقع على عاتق مقدمي الخدمة لحماية البيانات الحساسة

يضع قانون حماية البيانات الشخصية حظرًا عامًا على جمع البيانات الحساسة أو نقلها أو تخزينها أو حفظها أو معالجتها أو إتاحتها. بعد ذكر تلك القاعدة العامة التي تقضي بالحظر تنتقل نصوص القانون إلى وضع تنظيم خاص بالضوابط والشروط العامة المتعلقة بالحالات التي يمكن خلالها جمع أو معالجة البيانات الحساسة، وهي:

  • موافقة كتابية صريحة من الشخص المعني بالبيانات بالجمع أو المعالجة أو الحفظ.

  • إذا كانت عملية جمع أو حفظ أو تخزين أو معالجة البيانات الحساسة تتعلق ببيانات الأطفال، يلزم موافقة ولي الأمر، وضرورة ألا تكون البيانات المطلوبة لمشاركة الطفل في لعبة أو مسابقة أو أي نشاط آخر تزيد على ما هو ضروري للمشاركة في ذلك.

  • إتباع واستيفاء السياسات والإجراءات التأمينية اللازمة لعدم خرق البيانات الشخصية الحساسة أو انتهاكها، وهي سياسات يختص مركز حماية البيانات الشخصية بنشرها بمجرد تشكيله.

  • الحصول على التراخيص والتصاريح الخاصة بالتحكم ومعالجة البيانات الشخصية الحساسة. وتحدد اللائحة التنفيذية لقانون حماية البيانات الشخصية التي لم تصدر بعد أنواع هذه التراخيص، والتصاريح، والاعتمادات، وفئاتها، ومستوياتها، وإجراءات وشروط إصدارها وتجديدها ونماذجها المستخدمة، وذلك بمقابل رسوم لا تتجاوز مليوني جنيه بالنسبة للترخيص، ومبلغ لا يتجاوز خمسمائة ألف جنيه للتصريح أو الاعتماد.

تبعات إفشاء أو جمع أو تخزين بيانات حساسة دون إذن

يشترك مقدمو الخدمة الذين يجمعون أو يخزنون أو يعالجون البيانات الحساسة مع غيرهم من مقدمي الخدمة في ذات الضوابط المتعلقة بجمع وتحزين ومعالجة البيانات والعقوبات المترتبة على الإخلال بهذه المسؤوليات. لكن يضاف إلى هذه المسؤوليات عقوبات مختلفة قد يواجهها مقدم الخدمة إذا ما أتاح أو تداول أو عالج أو أفشي أو خزن أو نقل أو حفظ بيانات شخصية حساسة دون موافقة الشخص المعني بالبيانات. كما قد يواجه عقوبة إذا كانت عملية الجمع أو التخزين أو المعالجة للبيانات الحساسة قد تمت دون التقيد بالتراخيص أو التصاريح أو بعدم أتباع السياسات التي يصدرها مركز حماية البيانات للتعامل مع البيانات الحساسة.

في حالة الإخلال بهذه المسؤوليات قد يواجه مقدم الخدمة عقوبة الحبس مدة لا تقل عن ثلاثة شهور وقد تصل إلى ثلاث سنوات وبغرامة لا تقل عن خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه، أو بإحدى هاتين العقوبتين.

أثر التوسع في الجهات المستثناة من قانون حماية البيانات على البيانات الحساسة

تضمن قانون حماية البيانات الشخصية عدد من الاستثناءات التي تخرج بعض الأنشطة أو الجهات من نطاق تطبيقه. اعتمد القانون على معيارين مختلفين لعدم الخضوع للضوابط المتعلقة بحماية البيانات. المعيار الأول هو طبيعة البيانات، مثل البيانات الإحصائية التي يجمعها الجهاز المركزي للتعبئة العامة والإحصاء، أو البيانات التي يتم معالجتها للاستخدام الشخصي.

أما المعيار الثاني فيستبعد بعض الجهات الإدارية من الخضوع بالكامل لأحكام القانون. يعطي القانون تلك الجهات صلاحيات غير محددة لحيازة البيانات ومعالجتها مع غياب كامل للرقابة القضائية على هذه الإجراءات، وهو أمر لا يمكن تصوره بشكل مطلق دون وجود محددات تشريعية ترتبط بطبيعة البيانات التي تتحكم بها جهات مثل جهات الأمن القومي.

لا شك في أنه قد توجد صعوبة في استخلاص بعض البيانات التي تتم معالجتها من هذه الجهات بحيث تكون خاضعة لأحكام القانون، ولكن يجب أن يكون ذلك في نطاق محدد. وإن كانت هناك بعض المبررات التي يمكن أن تسوقها جهات الأمن القومي لاستثناء بعض جوانب عملها من الخضوع للقانون فإن هذا لا يعني عدم الخضوع بالكامل دون تحديد لأوجه الاستثناءات، وبيان الأسباب التي تبرر هذا الاستثناء.

لم يستبعد القانون جهات الأمن القومي فقط، ولكن امتد هذا الاستثناء إلى جهات أخرى مثل البنك المركزي والجهات الخاضعة لإشرافه. يُفرِّغ هذا الأمر القانون من مضمونه بشكل كبير. استبعاد القطاع المصرفي المصري بالكامل من الخضوع لأحكام القانون لا يتعارض فقط مع الحقوق الأساسية المنصوص عليها بالمادة 57 من الدستور المصري، والتي تحمي حق الأفراد في الخصوصية، بل إن هذا الاستثناء يتعارض مع الأهداف التي تبنَّاها المشرِّع فيما يتعلق بهدف القانون لجذب الاستثمار.

على الجانب الآخر، هناك فجوة كبيرة تتعلق بالفلسفة التي تبناها المشرِّع في صياغة القانون. فيشير تعريف البيانات الحساسة إلى الطبيعة الخاصة لبعض البيانات مما يستتبع اتخاذ إجراءات وضوابط أكثر تشددًا لحمايتها، كالبيانات المالية، على سبيل المثال. ترتبط البيانات المالية بشكل كبير بالقطاع المصرفي، وهو القطاع المعفى بالكامل من تطبيق قانون حماية البيانات الشخصية. يشير هذا التناقض إلى ضرورة حدوث مراجعة تشريعية للاستثناءات التي تضمنها قانون حماية البيانات لوضع معيار موضوعي محدد يبرر إخراج بعض الأنشطة أو الجهات من نطاق تطبيق القانون.

أثر التأخر في صدور اللائحة التنفيذية لقانون حماية البيانات على البيانات الحساسة

نصت مواد الإصدار في قانون حماية البيانات الشخصية على أن اللائحة التنفيذية يجب أن تصدر خلال ستة أشهر من تاريخ العمل بالقانون. ويبدأ العمل بالقانون بعد مضي ثلاثة أشهر من اليوم التالي لتاريخ نشره. يعني ذلك أن اللائحة التنفيذية لقانون حماية البيانات الشخصية كان من المفترض أن تصدر في الربع الثاني من عام 2021، وهو ما لم يحدث حتى تاريخ كتابة هذه السطور.6 أثر هذا التأخير على سريان قانون حماية البيانات الشخصية وعلى ودخوله حيز النفاذ.

اعتمد المشرِّع عند وضع القانون على فلسلفة تجزئة الالتزامات القانونية المتعلقة بحماية البيانات. فأحال المشرِّع بعضًا من تلك الالتزامات إلى اللائحة التنفيذية بمبرر أن القواعد التي تمت إحالتها ما هي إلا قواعد إجرائية تختص اللائحة بتنظيمها. تجاوزت تلك القواعد الثمانية عشر قاعدة، وهو ما يمكن اعتباره أحد أكثر الإشكاليات تأثيرًا على القانون. فانفراد السلطة التنفيذية ممثلة في وزارة الاتصالاتبتنظيم بعض القواعد يجعلها هي المتحكم الوحيد في طريقة تطبيق القانون وتفسير كثير من قواعده. يؤدي هذا إلى فقد قواعد القانون ميزة ذاتية التنظيم والقدرة على تطبيق قواعد القانون دون ارتباط أو تعليق على قرارات وقواعد تنظيمية تصدرها السلطة التنفيذية.

تتلخص هذه القواعد في محاور رئيسية كالتالي:

  • تصنيف التراخيص والتصاريح والاعتمادات وتحديد أنواعها، ووضع الشروط الخاصة بمنح كل نوع منها.

  • القواعد والشروط والإجراءات والمعايير الفنية المتعلقة بتراخيص وتصاريح اعتماد نشاط جمع البيانات الشخصية.

  • السياسات والإجراءات والمعايير القياسية لجمع ومعالجة وحفظ وتأمين البيانات داخل وخارج مصر.

  • شروط قيد وتسجيل مسؤولي حماية البيانات الشخصية في السجل المخصص بمركز حماية البيانات.

  • التزامات ومهام مسؤولي حماية البيانات الشخصية الذين يتم تعيينهم بالجهات المسؤولة عن جمع ومعالجة البيانات الشخصية.

  • حجية الدليل الرقمي المستمد من البيانات الشخصية، والمعايير والشروط الفنية الواجب توفرها في الدليل.

  • السياسات والمعايير والضوابط المتعلقة بنقل أو مشاركة أو معالجة أو إتاحة البيانات الشخصية عبر الحدود.

  • الإجراءات والاحتياطات والمعايير والقواعد اللازمة لإتاحة البيانات الشخصية لمتحكم أو معالج آخر خارج جمهورية مصر العربية.

  • إجراءات وشروط إصدار وتجديد نماذج التراخيص والتصاريح المستخدمة.

  • تحديد رسوم منح التراخيص والتصاريح والاعتمادات للجهات التي تجمع وتعالِج البيانات.

لتأخر إصدار اللائحة التنفيذية أثر مباشر على حماية البيانات الشخصية الحساسة. يتسبب هذا التأخير في عدم تشكيل مركز حماية البيانات الشخصية حتى الآن. ومركز حماية البيانات الشخصية هي الجهة المعنية بإصدار التراخيص والتصاريح اللازمة لممارسة أنشطة جمع أو حفظ أو معالجة البيانات الحساسة، وكذلك مراقبة والإشراف على مقدمي الخدمة، حيث أنها الجهة المختصة بتلقي الشكاوى وإصدار التقارير الفنية. كما أن التأخر في إصدار اللائحة يعني غياب الضوابط الفنية التي يجب أن يتقيد بها مقدم الخدمة أثناء عملية جمع أو تخزين أو معالجة البيانات الحساسة، وكذلك غياب ضوابط منح ترخيص جمع أو معالجة البيانات الحساسة.

الهوامش

1النظام الأوروبي العام لحماية البيانات أو ما يعرف بلائحة حماية البيانات بالاتحاد الأوروبي، صدر في أبريل من العام 2016 ودخلت حيز النفاذ في شهر مايو من العام 2018.

2يراجع في هذا المعنى التعريفات الواردة بالمواد أرقام 9 و 13 و 14 و 15 من لائحة البيانات الأوروبية، وكذلك المناقشات العامة المتعلقة بإقرار لائحة حماية البيانات الأوروبية المواد بداية من المادة رقم 51 حتى المادة 57.

3المادة رقم 4 “التعريفاتالمنصوص عليها بلائحة حماية البيانات الأوروبية.

4 المادة رقم 1 ” التعريفات المنصوص عليها بقانون حماية البيانات الشخصية رقم 151 لسنة 2020

5 صدر قانون حماية البيانات الشخصية رَقْم 151 لسنة 2020 في يوليو 2020 ونشر بالجريدة الرسمية بالعدد28 مُكرر هـ بتاريخ 15 يوليو 2020، ويعتبر قانون حماية البيانات نافذًا منذ شهر أكتوبر 2020 بعد مضي ثلاثة أشهر من تاريخ نشر القانون.

6 ورقة سياسات بعنوان بدائل تشريعية ممكنة.. عن اللائحة التنفيذية لقانون حماية البيانات الشخصيةصادرة عن مسار مجتمع التقنية والقانون، بتاريخ 8 أغسطس 2021