مقدمة
منذ صدور قانون حماية البيانات الشخصية في 2020 لم تتعرض المحاكم المصرية له بالتعليق أو التفسير أو بأي شكل من أشكال التطبيق. يرجع ذلك على الأغلب إلى عدم صدور اللائحة التنفيذية للقانون حتى الآن، مما يعني تعطيله وعدم إمكانية تنفيذ أغلب نصوصه.
جاء أول تعرض للإشكاليات المتعلقة بالتطبيق الفوري لقانون حماية البيانات الشخصية في حكم قضائي صادر عن المحكمة الاقتصادية بالإسكندرية. يكتسب هذا الحكم أهميته لكونه أول تطبيق قضائي بارز في سياق مساءلة شركات الاتصالات عن انتهاك خصوصية المستخدمين بالاعتماد على القوانين الحديثة ذات الصلة بالاتصالات وتكنولوجيا المعلومات. فاعتمد الحكم على كلًا من قانون مكافحة جرائم تقنية المعلومات، وقانون حماية البيانات الشخصية، وقانون حماية المستهلك.
تقدم هذه الورقة قراءة في حيثيات الحكم وأهم الحجج القانونية التي تبنّتها المحكمة في تفسير التشريعات الحديثة، وتتناول المبادئ القضائية الجديدة التي أرستها المحكمة بخصوص مسؤوليات شركات الاتصالات في حماية بيانات العملاء. كما تناقش الورقة منهج المحكمة في تقييم الأدلة واعتمادها على تقارير الخبراء والجهاز القومي لتنظيم الاتصالات، واستدلالها على وجود أضرار أدبية ومادية وربطها بتقصير الشركة المدعى عليها.
بالإضافة إلى ذلك، تعرض الورقة الآثار القانونية لهذا الحكم على التزامات شركات الاتصالات وحقوق المستخدمين، بما في ذلك عدم جدوى دفع مسؤولية الشركة بحجج القوة القاهرة أو الصعوبات الفنية. وأخيرًا تسلط الورقة الضوء على أهمية الحكم كمرجع للقضاة والمحامين والمشرّعين.
خلفية عن القضية الصادر فيها حكم المحكمة الاقتصادية
في فبراير 2025، أصدرت المحكمة الاقتصادية في الإسكندرية حكمًا يلزم شركة أورنج مصر للاتصالات بدفع تعويض قدره 10 ملايين جنيه لامرأة تعرضت لانتهاك بياناتها الشخصية. جاء هذا الحكم على خلفية قيام الشركة باستبدال شريحة هاتف المدعية دون موافقتها، وبناء على ذلك ألزمت المحكمة الشركة بتعويض المدعية عن الأضرار المادية والأدبية التي لحقت بها.
تعود وقائع الدعوى إلى 17 نوفمبر 2022 في أثناء تواجد المدعية خارج مصر، حيث قام مجهولون باستصدار شريحة هاتف جديدة لخطها المحمول دون علمها أو موافقتها. نتيجة لذلك، تمكّن المجهولون من الاستيلاء على حساب واتساب الخاص بالمدعية وابتزازها للتنازل عن دعاوى قضائية كانت قد أقامتها ضد شركة عقارية في الخارج.
حررت المدعية محضرًا بالواقعة وطالبت شركة أورنج بنسخة من عقد الهاتف إلا أن الشركة رفضت تسليمها تلك الوثيقة. دفع ذلك المدعية إلى رفع دعوى أمام المحكمة الاقتصادية طالبت فيها بالتعويض عن الأضرار التي لحقت بها.
تفسير المحكمة لقواعد قانون حماية البيانات الشخصية
اعتمدت المحكمة الاقتصادية على عدد من النصوص الدستورية والقانونية لضمان حماية حق المدعية في الخصوصية ومساءلة الشركة عن الانتهاك الذي وقع عليها. فأوضحت المحكمة في حيثياتها أن البيانات الشخصية تحظى بحماية دستورية وفقًا للمادة 57 من الدستور المصري التي تنص على حرمة الحياة الخاصة وعدم جواز المساس بها.
بالإضافة إلى ذلك، أشارت المحكمة إلى المادة 12 من الإعلان العالمي لحقوق الإنسان التي تعدّ جزءًا أصيلًا من حقوق الإنسان. كما أكدت المحكمة أن أي انتهاك للبيانات الشخصية يُمثّل اعتداءً على الحياة الخاصة يُجرّمه الدستور؛ حيث استندت إلى المادة 99 من الدستور التي تعتبر كل اعتداء على الحقوق والحريات الخاصة جريمة لا تسقط الدعوى الناشئة عنها بالتقادم، مما يعني احتفاظ المتضرر بحقه في التعويض حتى مع مرور الزمن.
بعد التأصيل الدستوري، انتقلت المحكمة إلى تفسير القوانين ذات الصلة بموضوع الدعوى:
قانون مكافحة جرائم تقنية المعلومات رقم 175 لسنة 2018
بيّنت المحكمة أن هذا القانون يفرض على مقدمي خدمات الاتصالات عدة التزامات أبرزها الاحتفاظ بسجلات استخدام وخوادم النظام المعلوماتي لمدة 180 يومًا متصلة. تشمل تلك البيانات بيانات المستخدمين ومحتوى تعاملاتهم وحركة الاتصالات والأجهزة المستخدمة. كما يوجب القانون على الشركة حماية سرية تلك البيانات ومنع الوصول غير المشروع إليها.
اعتمدت المحكمة في تأصيلها لسرية بيانات عملاء الشركة على الفقرة (2) من المادة الثانية من قانون مكافحة جرائم تقنية المعلومات، التي تفرض على مقدم الخدمة «المحافظة على سرية البيانات المحفوظة وعدم إفشائها أو إتاحتها إلا بأمر قضائي مسبب». واعتمدت كذلك على الفقرة (3) التي توجب تأمين البيانات والمعلومات فنّيًا لمنع اختراقها أو اعتراضها. اعتبرت المحكمة أن الشركة المدعى عليها أخلّت بهذه الالتزامات القانونية من خلال سماحها عمليًا بالوصول غير المشروع إلى بيانات المدعية (شريحة هاتفها وما يرتبط بها من خدمات) دون إذن أو رقابة.
قانون حماية البيانات الشخصية رقم 151 لسنة 2020
أشارت المحكمة إلى أن قانون حماية البيانات الشخصية يضع إطارًا شاملًا لحماية بيانات الأفراد، فيحظر معالجة البيانات الشخصية دون موافقة صريحة من صاحبها. كما يُلزم القانون الجهات المتحكمة بالبيانات باتخاذ إجراءات وضوابط صارمة لحمايتها.
استدلت المحكمة بالمادة رقم 4 من الفصل الثالث من قانون حماية البيانات، التي تعدّد التزامات المتحكم في البيانات. يأتي في مقدمة هذه الالتزامات عدم إتاحة البيانات الشخصية أو معالجتها إلا في الأحوال المصرّح بها قانونًا أو بموافقة صاحب البيانات. تنص أيضًا المادة على اتخاذ جميع الإجراءات التقنية والتنظيمية اللازمة لحماية البيانات الشخصية وتأمينها والحفاظ على سريتها ومنع اختراقها أو العبث بها.
اعتبرت المحكمة أن استبدال الشركة لشريحة هاتف المدعية دون موافقتها يُعد معالجة غير مشروعة لبياناتها الشخصية بالمخالفة لنصوص القانون. كما رأت أن تقاعس الشركة عن تأمين بيانات المدعية وإتاحتها للغير يشكل إخلالًا جسيمًا بواجب حماية البيانات المفروض عليها قانونًا.
قانون حماية المستهلك رقم 181 لسنة 2018
استندت المحكمة أيضًا إلى قانون حماية المستهلك الذي يوجب على مزوّدي الخدمات الحفاظ على سرية بيانات العملاء وعدم إفشائها. فتنص المادة 29 من القانون على التزام المورد الذي يبرم عقدًا مع المستهلك بأن يحافظ على خصوصية بيانات ومعلومات المستهلك، وألا يفشيها أو يتداولها بما يخالف القانون، ما لم يثبت قبول المستهلك صراحةً ذلك. كما تلزم ذات المادة المورد باتخاذ جميع الاحتياطات الضرورية لصون سرية هذه البيانات.
في ضوء ذلك، اعتبرت المحكمة أن شركة الاتصالات قد أخفقت في الالتزام بقانون حماية المستهلك فيما يخص المحافظة على سرية بيانات المدعية، حيث سمحت بتداول بيانات تعاقدها وشريحة هاتفها بشكل غير مشروع. كما شددت المحكمة على أن حق المستهلك في سرية بياناته بات جزءًا أساسيًا من منظومة حماية المستهلك القانونية في مصر، وأن انتهاك الخصوصية المعلوماتية يُعد وجهًا من أوجه الإضرار بالمستهلك يستوجب التعويض تمامًا كالإضرار المادي المباشر.
عن طريق هذا المزج بين نصوص الدستور والقوانين ذات الصلة قدّمت المحكمة تفسيرًا متناغمًا يدعم حماية البيانات الشخصية. فعلى جانب، يرسي الدستور المبدأ العام لحرمة الحياة الخاصة وحق التعويض عن انتهاكها. وعلى الجانب الآخر، تضع القوانين واجبات محددة على عاتق شركات التقنية والاتصالات لضمان تلك الحرمة. طبّقت المحكمة هذه النصوص في حكمها، مما مهد لإقرار مسؤولية الشركة التقصيرية كما سيتضح في الأقسام التالية.
الاتجاهات القضائية الجديدة التي سعت إليها المحكمة
بالإضافة إلى تطبيق القواعد القانونية القائمة، أرسى حكم المحكمة الاقتصادية سابقة قضائية جديدة تعيد توجيه فهم القضاء لمسؤوليات شركات الاتصالات. وفيما يلي أبرز هذه الاتجاهات:
مسؤولية شركة الاتصالات كـ«حارس» لبيانات عملائها
اعتبرت المحكمة شركة أورنج في مقام حارس الشيء الخطر فيما يتعلق ببيانات وخطوط عملائها، في تشبيه قانوني يحمل تبعات المسؤولية المفترضة بلا إثبات خطأ. فتنص المادة 178 من القانون المدني المصري على أن حارس الشيء يكون مسؤولًا عمّا يحدث لذلك الشيء من ضرر ما لم يثبت تدخل سبب أجنبي خارج عن إرادته. استنادًا إلى هذه المادة، قررت المحكمة أن شركة الاتصالات هي حارس بيانات المشتركين بحكم تحكمها الفعلي في منظومة تشغيل شرائح الهواتف وما يرتبط بها من بيانات واتصالات. وبناءً على هذا التفسير فإن الشركة تُسأل مسؤولية مفترضة عن أي ضرر ينجم عن إفشاء أو تسريب أو إساءة استخدام البيانات.
هذا التطور في فهم مسؤولية مقدمي الخدمة يُرتب عمليًا نوعًا من المسؤولية المفترضة. فإذا ما تضرر العميل نتيجة خلل يتعلق بخدمة الاتصالات أو بانتهاك بياناته عبر تلك الخدمة يُفترض تقصير الشركة قانونًا دون حاجة لإثبات إهمال تقليدي. كما يقع على الشركة عبء نفي مسؤوليتها بإثبات وجود سبب قهري تسبب في الضرر.
وفي سياق القضية ضد أورنج، لم تثبت الشركة وجود سبب أجنبي ينفي مسؤوليتها؛ فلم تزعم مثلًا بوقوع حادث خارجي غير متوقع أدى لاستبدال الشريحة دون علمها. بالتالي، انعقدت مسؤولية الشركة تلقائيًا بصفتها الحارس على بيانات المدعية.
مدى التزام الشركة بحماية البيانات الشخصية ومنع الوصول غير المشروع
أكد الحكم أن مسؤولية شركة الاتصالات عن حماية بيانات عملائها هي مسؤولية ذات طبيعة إيجابية تتطلب اتخاذ إجراءات فعلية ووقائية لمنع أي وصول غير مصرح به لتلك البيانات. فمن وجهة نظر المحكمة لا يكفي أن تلتزم الشركة بعدم إفشاء بيانات العملاء، بل عليها واجب إلزامي في تأمين نظمها التقنية وسد أي ثغرات يمكن أن ينفذ منها معتدٍ إلى بيانات المشتركين.
أشارت أيضًا المحكمة إلى أن قوانين جرائم تقنية المعلومات وحماية البيانات الشخصية تُلزمان الشركات باتخاذ تدابير الحماية اللازمة ضد الاختراق أو التسريب. الجديد في الأمر هو أن المحكمة ربطت بين هذا الواجب القانوني العام وبين معيار الخطأ التقصيري.
فاعتبرت المحكمة أن تقاعس شركة الاتصالات عن منع استصدار شريحة بديلة دون تحقق من هوية صاحبها وإذنه يمثل خطأ تقصيريًا ثابتًا في حق الشركة المدعى عليها. ولم تقبل المحكمة تبريرات ضمنية ربما تُساق عادةً كأن يُقال إن المدعي عليهم استخدموا حيلة أو تزويرًا للانتحال؛ إذ رأت المحكمة أن واجب الشركة يحتم عليها توقع مثل هذه المحاولات الاحتيالية واتخاذ خطوات صارمة للتحقق (كآليات تحقق متعددة العوامل، أو اشتراط حضور صاحب الخط شخصيًا أو تقديم تفويض رسمي معتمد) لمنع أي استغلال غير مشروع لبيانات العملاء.
رفعت المحكمة معيار العناية الواجبة المطلوب من شركات الاتصالات بهذا الحكم: فمجرد حصول اختراق أو انتحال دون إذن يعني ضمنيًا إخفاق الشركة في واجب الحماية. ويُفهم من سياق الحكم ضمنيًا أن الشركة لا تفلت من المسؤولية إلا إذا أثبتت أن الاختراق أو الانتهاك كان نتيجة ظرف قاهر خارجي (ككارثة طبيعية أو قوة قاهرة تقنية خارجة تمامًا عن سيطرتها) وهو أمر لم تدّعه الشركة في هذه القضية.
التمييز بين البيانات التقنية وسجلات التعاقد (الملكية)
من النقاط الإشكالية التي وضّحها الحكم هو التفرقة بين نوعين من البيانات التي تحتفظ بها شركات الاتصالات والتزاماتها حيال كل منهما:
- البيانات التقنية أو بيانات الاستخدام: تشمل هذه الفئة بيانات حركة الاتصالات، والمحتوى التقني، والمعلومات المتعلقة باستخدام الشبكة. ويلزم قانون مكافحة جرائم تقنية المعلومات الشركات بالاحتفاظ بهذه البيانات لمدة لا تقل عن 180 يومًا. ويجوز، بعد انقضاء هذه المدة، حذف بعض هذه البيانات (مثل بيانات الاستخدام التفصيلية) بموجب القوانين أو سياسات الشركة، ما لم توجد مبررات قانونية تستدعي الاحتفاظ بها لمدة أطول.
- بيانات التعاقد وملكية الخط: وهي بيانات المشترك (العميل) الشخصية وعقد اشتراكه في الخدمة وسجلات ملكيته لرقم الهاتف. أوضحت المحكمة أن هذا النوع من البيانات يختلف عن بيانات الاستخدام الفنية، ولا يجوز للشركة التخلص منه بعد 6 أشهر بحجة أن التزامها القانوني بحفظ البيانات مؤقت. فقد شددت المحكمة على أن سجل التعاقد وملكية الخط يجب الاحتفاظ به طوال فترة سريان التعاقد وربما لسنوات تالية لحماية حقوق المشتركين وللرجوع إليه عند النزاع.
بالإضافة إلى ذلك، اعتبرت المحكمة عدم احتفاظ الشركة بسجلات ملكية الخط الخاص بالمدعية خطأ تقصيريًا مستقلًا يُثبت مسؤوليتها المدنية. كما كشفت أوراق الدعوى أن شركة أورنج زعمت أنها تحتفظ ببيانات العملاء لمدة 6 أشهر فقط وفق القانون، وبالتالي لم يمكنها تقديم نسخة من عقد المدعية بعد مضي تلك المدة. رفضت المحكمة هذا الدفع واعتبرته غير صحيح قانونًا.
فأوضحت المحكمة أن نصوص قانون تنظيم الاتصالات وقانون حماية المستهلك تفرض على الشركات الاحتفاظ بعقود المشتركين وسجلات ملكية الخطوط بشكل آمن ويمكن الرجوع إليه عند الحاجة. هذا المبدأ بالغ الأهمية لأنه يغلق بابًا حاولت بعض الشركات التذرع به للتهرب من مسؤوليتها، حيث كان يمكن أن تدّعي أنها حذفت عقد العميل أو بياناته بعد أشهر بموجب سياسات داخلية.
الآن أصبح واضحًا أن إتلاف عقد المشترك أو فقدانه بغير مبرر مشروع يُعد إهمالًا يُرتب المسؤولية. وقد ورد في الحكم نصًا: “عدم الاحتفاظ بسجلات ملكية الخط تقصير يُثبت المسؤولية. وادعاء حفظ البيانات لـ6 أشهر غير صحيح، حيث يجب الاحتفاظ بسجلات التعاقد”.
عدم جدوى الدفع بـ«صعوبة فنية» أو حجة القوة القاهرة دون إثبات جدي
يتضح مما سبق أن المحكمة أغلقت الباب أمام شركات الاتصالات للاعتماد على حجج عامة لتبرير التقصير. فلم تقبل المحكمة أي قول بأن ما حدث ربما كان نتيجة خطأ موظف منفرد أو ثغرة تقنية عارضة. إذ اعتبرت أن هذه الأمور تقع ضمن نطاق مسؤولية الشركة التي يجب عليها تدريب موظفيها و مراجعة إجراءاتها التقنية باستمرار.
بالتالي، لا تُعفى الشركة من المسؤولية إلا بتقديم دليل قاطع على وقوع قوة قاهرة حقيقية أو حادث خارجي يستحيل دفعه. وهذا لا ينطبق على الأعطال الفنية الروتينية، أو أخطاء الموظفين، أو عمليات الاحتيال المعتادة؛ إذ لا تُعد هذه الحالات قوة قاهرة، بل هي قصور في إجراءات الأمان. برز هذا الاتجاه في الحكم من خلال تبنّي المحكمة لمعيار المادة 178 من القانون المدني، وإلزامها للشركة بإثبات السبب الأجنبي لدرء مسؤوليتها، وهو ما عجزت الشركة عن تحقيقه.
منهج المحكمة في تقييم الأدلة ودور الخبرة الفنية
بالإضافة إلى الاتجاه القضائي الذي سلكته المحكمة، مجتهدة بشكل كبير في إعمال قواعد موضوعية تتعلق بحماية البيانات الشخصية، يجب الإشارة أيضًا إلى الجانب الإجرائي الذي راعته المحكمة. فاتسمت إجراءات نظر هذه القضية بدور واضح في جمع الأدلة الفنية والتحقق من مزاعم المدعية في ظل غياب الطرف المدعى عليه عن الحضور. يتضح من واقع الحكم أن المحكمة لم تكتف بما قدمته المدعية من مستندات أولية، بل اتخذت عدة خطوات استثنائية لضمان الوصول إلى الحقيقة التقنية الكاملة:
انتداب خبير في الاتصالات وتكنولوجيا المعلومات
بناءً على طلب المدعية، أصدرت المحكمة قرارًا بانتداب خبير فني متخصص في مجال الاتصالات وتقنية المعلومات. وكُلّف هذا الخبير بالانتقال إلى مقر شركة أورنج وفحص أنظمتها وسجلاتها المرتبطة بالخط الهاتفي محل النزاع.
حددت المحكمة مهمة الخبير بدقة ليتضمن التحقق من العلاقة بين المدعية وخطها الهاتفي، وكيفية استبدال الشريحة، وما إذا كانت المدعية لا تزال مالكة للخط أم جرى تغيير الملكية لشخص آخر. وفي الحالة الثانية طلبت المحكمة من الخبير تحديد الإجراءات التي اتُبعت في استخراج الشريحة البديلة ومدى صحتها.
عكست هذه الخطوة حرص المحكمة على إجراء فحص فني محايد، بدلاً من الاكتفاء بادعاءات الأطراف، لا سيما وأن الشركة المدعى عليها لم تمثل للدفاع عن نفسها. وبالفعل، قام الخبير بفحص سجلات الشركة وتوصل إلى معلومات تفصيلية حول عملية استبدال الشريحة وكشف عن إخفاقات الشركة في التثبت من هوية طالب الاستبدال.
الاعتماد على تقرير الجهاز القومي لتنظيم الاتصالات
تضمّن ملف الدعوى تقريرًا صادرة عن الجهاز القومي لتنظيم الاتصالات (NTRA). أفاد تقرير NTRA بأن شركة أورنج قصّرت في اتباع القواعد التنظيمية الخاصة بتأمين شرائح الخطوط ومنع استخراج بدل فاقد بدون تحقق سليم. أكد الجهاز على أن إجراءات الشركة في هذه الواقعة خالفت اللوائح، وجاء كذلك تقرير الخبير مدعومًا بتقرير NTRA، ليشكلّا معًا دليلًا قويًا على خطأ الشركة.
تغيب الشركة المدعى عليها – شركة أورنج – عن الحضور
لم تحضر شركة أورنج الجلسات رغم إعلانها قانونيًا، وبالتالي لم تدفع بأي دفوع أو تقدم أدلة دفاعية. ورغم أن غياب المدعى عليه قد يسهّل نظريًا مهمة المدعي، إلا أن المحكمة لم تركن إلى ذلك وحده، بل سعت إلى بناء قناعة راسخة عبر الدليل الفني والتقني حتى تكون أحكامها مستندة إلى يقين موضوعي.
استدلال المحكمة على الأضرار الأدبية والمادية وربطها بتقصير الشركة
من الجوانب البارزة في هذا الحكم القضائي هو اعتداده بالأضرار الأدبية (المعنوية) الناجمة عن انتهاك البيانات الشخصية، إلى جانب الأضرار المادية المباشرة، وإلزام الشركة بالتعويض عنهما معًا. وقد اتبعت المحكمة نهجًا دقيقًا في تقدير هذه الأضرار والاستدلال عليها، كما يتضح من النقاط التالية:
إثبات عناصر المسؤولية التقصيرية الثلاثة:
أوضحت المحكمة أنها وجدت عناصر المسؤولية التقصيرية متوافرة في الدعوى، وهي الخطأ والضرر وعلاقة السببية. فالخطأ تمثل في إخلال شركة أورنج بالتزاماتها القانونية والأمنية تجاه المدعية من خلال السماح عمليًا لشخص غير مصرح له بالحصول على شريحة هاتفها وما تبع ذلك من انتهاك خصوصيتها.
أما الضرر فكان ثنائي الطبيعة؛ تمثل ماديًا فيما لحق المدعية من خسائر أو تكاليف محتملة (مثل اضطرارها لاتخاذ إجراءات قانونية، أو التأثير على مصالحها نتيجة ابتزازها في عملها أو دعواها الأخرى)، وأدبيًا تمثل في معاناتها النفسية وضغوط الابتزاز وانتهاك خصوصيتها. والعلاقة السببية واضحة، إذ لولا تقصير الشركة في حفظ البيانات وتغيير الشريحة دون إذن لما وقع الضرر من الأساس.
الاجتهاد في تقدير التعويض الجابر للضرر:
بعد إثبات المسؤولية، انتقلت المحكمة إلى مرحلة تقدير التعويض المالي المستحق للمدعية. مارست المحكمة في هذا الشأن سلطتها التقديرية الواسعة، والتي أكدتها بحكم حديث لمحكمة النقض المصرية أشارت إليه في حيثياتها (الطعن رقم 10111 لسنة 89 قضائية، جلسة 5/12/2024). ومفاد هذا الطعن هو أن تقدير التعويض موكول لقاضي الموضوع، يقدّره بحسب جسامة الضرر وظروف وقوعه.
استنادًا إلى هذا المبدأ، قدرت المحكمة تعويضًا قدره 10 مليون جنيه مصري عن مجمل الأضرار. ويعكس تقدير المحكمة لمبلغ كبير نسبيًا رؤيتها لخطورة الانتهاك الذي وقع في حق المدعية. فالسماح بالوصول إلى حسابات تواصل خاصة وابتزاز صاحبها يعد انتهاكًا جسيمًا للكرامة والخصوصية، الأمر الذي يستوجب تعويضًا رادعًا.
بالإضافة إلى ذلك، قد يكون البعد الردعي والتأديبي للشركة حاضرًا في ذهن المحكمة، كي يكون الحكم عبرة لهذه الشركة ولغيرها. ورغم أن القانون المصري لا يُقر صراحةً بالتعويضات العقابية، إلا أن اختيار الحد الأقصى من التعويض المتناسب مع الضرر يحقق غاية الردع العام.
ربط الضرر بتقصير الشركة تفصيلًا:
حرصت المحكمة في حكمها على أن تفصّل أوجه الضرر وكيف نتجت مباشرةً عن فعل الشركة. فمثلًا أشارت المحكمة إلى أن استيلاء الجناة على حساب واتساب المدعية مكّنهم من الوصول إلى محادثاتها وصورها، مما سبب لها ألمًا نفسيًا وانتهاكًا لخصوصيتها العائلية والاجتماعية وهذا ضرر أدبي جسيم.
تسبب فعل الشركة كذلك في الإضرار بسمعة المدعية المهنية، وربما أثر على مركزها القانوني في نزاعاتها مع الشركة العقارية؛ إذ اضطرت تحت التهديد للتنازل عن بعض حقوقها أو على الأقل واجهت ضغوطاً للتنازل، وهو ما يشمل أضرارًا مادية ومعنوية. ونظرًا لامتناع أورنج عن تقديم عقد الخط، فقد تُركت المدعية دون سند رسمي يعزز موقفها لفترة، الأمر الذي تطلب منها جهدًا إضافيًا لإثبات ملكيتها للخط وتكبّد نفقات التقاضي، وهذه أيضًا تعد عناصر ضرر مادي.
لقد أكدت كل تلك التفاصيل للمحكمة رابطة السببية المباشرة بين تقصير أورنج والنتائج الضارة التي لحقت بالمدعية، مما أضعف أي محاولة (لو حضرت الشركة) للقول إن تدخل طرف ثالث قد قطع تلك الرابطة. فالشركة هي التي هيأت الفرصة للضرر بالتقصير والإهمال، وكانت باقي التبعات نتيجة طبيعية متوقعة لهذا التقصير.
يمكن القول إن هذا الحكم ارتقى بسقف التعويضات في قضايا انتهاك الخصوصية الرقمية في مصر إلى مستوى غير مسبوق. فلطالما كانت التعويضات عن الأضرار الأدبية رمزية أو محدودة في السابق، إلا أن هذا الحكم يُظهر اتجاهًا قضائيًا واضحًا مفاده أن الضرر الأدبي في مجال انتهاك البيانات خطير وكبير ويبرر تعويضًا بملايين الجنيهات وليس بآلاف بسيطة. ويمثل هذا، بلا شك، تطورًا إيجابيًا يتوافق مع تنامي قيمة البيانات الشخصية وضرورة حمايتها.
الآثار القانونية المحتملة للحكم على شركات الاتصالات وحقوق المستخدمين
يحمل هذا الحكم تداعيات قانونية وتنظيمية مهمة من شأنها التأثير على سلوك شركات الاتصالات مستقبلًا، وتعزيز حقوق المستخدمين في مواجهة الانتهاكات. كما يختبر الحكم مدى فعالية بعض وسائل الدفاع التقليدية كحجة القوة القاهرة في مثل هذه القضايا. فيما يلي أبرز تلك الآثار:
تشديد الالتزامات الواقعة على شركات الاتصالات
قد يشكّل الحكم الصادر عن المحكمة الاقتصادية نقطة تحوّل مهمة في طريقة تعامل شركات الاتصالات مع بيانات العملاء، إذ يُحتمل أن يدفعها إلى مراجعة وتحديث سياساتها الداخلية في ضوء ما بات يتوقع منها من التزام بمعايير الامتثال القانوني والأمني للبيانات الشخصية. فعلى سبيل المثال، قد تتجه الشركات إلى تشديد إجراءات التحقق من هوية المشتركين عند إصدار شرائح بديلة، عبر فرض حضور شخصي أو تفعيل وسائل تحقق إضافية، وذلك تجنبًا للمساءلة المحتملة في حالات انتحال الهوية. كما قد يدفعها هذا الحكم إلى إعادة تقييم سياسات الاحتفاظ بعقود وبيانات العملاء، بحيث يُحتمل أن تُمدد فترات الاحتفاظ أو تُعزّز عمليات الأرشفة الرقمية لضمان توفر السجلات عند الحاجة.
وفي ذات السياق، قد ترى الشركات أن من الضروري تعزيز أنظمة أمن المعلومات لديها، في ضوء ما أشار إليه الحكم من أن الإخفاقات التقنية لا تُعفي من المسؤولية. قد يؤدي هذا إلى استثمارات أكبر في الأمن السيبراني أو تدريب الموظفين على تقنيات مكافحة الاحتيال. كما يُرجح أن تزداد العناية بالشروط التعاقدية وسياسات الاستخدام، في محاولة لإدارة المخاطر القانونية المحتملة. ومع أن فعالية بعض البنود الوقائية قد تكون محدودة أمام القوانين الآمرة أو في حال وقوع إهمال جسيم، فإن الحكم قد يدفع الشركات إلى مراجعة صيغها التعاقدية بدقة أكبر تحسبًا لأي نزاع مستقبلي.
تعزيز حقوق المستخدمين في إطار قوانين حماية البيانات
على الجانب الآخر، شكّل الحكم دعمًا قويًا لحقوق المستخدمين والعملاء في مواجهة الشركات فيما يتعلق ببياناتهم. فقد أصبحت مبادئ حماية البيانات الشخصية المنصوص عليها في القانون رقم 151 لسنة 2020 وغيرها قابلة للنفاذ قضائيًا بشكل مباشر من قبل الأفراد المتضررين، وليس فقط عبر آليات تنظيمية أو شكاوى إدارية. فيما يلي أبرز التأثيرات في هذا الصدد:
- يمكن لأي مستخدم يرى أن بياناته لدى شركة الاتصالات قد تعرضت لتسريب أو انتهاك أن يستند إلى هذا الحكم كسابقة ويطالب بالتعويض الكامل عن أي أضرار لحقت به. كما سيكون الحكم الحالي مرجعًا في مذكرات المحامين ومستنداتهم في قضايا مشابهة مستقبلًا.
- أكّد الحكم أن الضرر الأدبي نتيجة انتهاك الخصوصية معترف به ومُعوَّض عنه متى ثبتت مسؤولة الشركة. يكفل هذا للمستخدمين حقهم في التعويض عن الضرر النفسي والمعنوي الذي قد يصيبهم جرّاء تسريب بياناتهم.
- رسّخ الحكم أيضًا حق المستخدم في الحصول على نسخة من عقده ووثائق اشتراكه من الشركة. إذا امتنعت الشركة عن تزويده بذلك – كما فعلت أورنج – فإن هذا الامتناع يعتبر دليلاً ضدها وليس ضد العميل، ويمكن للمستخدم إبلاغ الجهات التنظيمية أو القضاء لإلزام الشركة بتسليم الوثائق. هذا يعزز شفافية التعامل ويمنح المستهلك ورقة قوة في إثبات حقوقه.
- يعكس الحكم إمكانية اللجوء إلى المحاكم استنادًا إلى قواعد قانون حماية البيانات الشخصية. فحتى في ظل عدم صدور اللائحة التنفيذية للقانون حتى تاريخه، أو عدم تفعيل كامل سلطات مركز حماية البيانات الشخصية، استطاع القضاء عبر المبادئ العامة وأحكام المسؤولية التقصيرية سد هذه الفجوة وحماية الحق محل النزاع. وهذا يضع أساسًا مهمًا لحين تفعيل الآليات الإدارية (كالغرامات والعقوبات المنصوص عليها في القانون) بحيث تتكامل مع التعويضات المدنية.
في الختام، يُعد حكم المحكمة الاقتصادية بالإسكندرية نقطة تحوّل في حماية الحياة الخاصة الرقمية. فقد كرّس الحكم مبدأ المساءلة الجادة لمقدمي خدمات الاتصالات عن أي إجراء يمس حقوق المستخدمين الأساسية. كما ربط الحكم بين نصوص القوانين الحديثة وروح الدستور في حماية الكرامة الإنسانية للمواطنين في الفضاء الإلكتروني. بالإضافة إلى ذلك، أرسى الحكم إمكانية الاستناد إلى قانون حماية البيانات الشخصية، المعطل منذ صدوره في عام 2020، بسبب التأخر في إصدار لائحته التنفيذية.