مركز حماية البيانات: مقترح مسار حول اللائحة التنفيذية لقانون حماية البيانات

مقدمة

تحوم الشكوك حول جدية إنفاذ قانون حماية البيانات الشخصية منذ صدوره في عام 2020. فلا توجد حتى الآن أية خطوات عملية تتعلق بشروع الجهات المعنية في استكمال البنيان التشريعي أو إنشاء الهيئات المعنية بتطبيق القانون. هذا بالإضافة إلى استمرار غياب اللائحة التنفيذية التي لم تصدر حتى وقت كتابة هذه السطور.

من بين الهيئات المنتظر تشكيلها لتنفيذ قواعد القانون هو مركز حماية البيانات الشخصية. وفقًا للمادة 19 من القانون، الهدف من إنشاء المركز هو حماية البيانات الشخصية وتنظيم معالجتها وإتاحتها، بالإضافة إلى مباشرة جميع الاختصاصات المنصوص عليها في القانون. ومن الجدير بالذكر أن القواعد المتعلقة بعمل مركز حماية البيانات تعتبر الجانب الأكبر والأهم الذي يجب أن تتناوله اللائحة التنفيذية لقانون حماية البيانات التي لم تصدر بعد.

تسعى هذه الورقة إلى الدفع بمقترح عملي حول تشكيل مركز حماية البيانات، بوصفها الجهة الأهم المنوط بها إنفاذ قانون حماية البيانات الشخصية. تطرح الورقة أطرًا معيارية للضوابط التي يجب اتباعها، وتوجه النظر إلى المخاوف التي يجب أخذها في الاعتبار لضمان تطبيق القانون بشكل ملائم.

تتناول الورقة أيضًا أهم الاختصاصات التي من المفترض أن يمارسها المركز، والتقارير والقواعد الفنية الصادرة عنه. كما تتطرق الورقة إلى قواعد التعاون الدولي مع الهيئات النظيرة لمركز حماية البيانات بالإضافة إلى دور المركز في تلقي الطلبات والشكاوى والبت فيها.

تأثر قانون حماية البيانات الشخصية المصري إلى درجة كبيرة بلائحة حماية البيانات الأوروبية (GDPR). لذلك، سوف تسعى الورقة إلى تضمين أهم القواعد المتعلقة بـ”هيئة حماية البيانات بالاتحاد الأوروبي” التي يمكن أن تتماشى مع قانون حماية البيانات المصري. كما تتناول الورقة مقترحات لتعزيز هذه القواعد بضمانات واضحة يمكن من خلالها تفادي الأخطاء أو التجارب السابقة المتعلقة بعمل الهيئات والأجهزة المستقلة المصرية. لا تغفل تلك المقترحات عن الأخذ في الاعتبار المتغيرات التشريعية في القوانين المصرية الأخرى التي يمكن أن تؤثر أو تتداخل مع عمل مركز حماية البيانات.


أزمة عدم النفاذ الجزئي لقانون حماية البيانات الشخصية بسبب تأخر صدور اللائحة التنفيذية

اعتمد المشرِّع عند وضع قانون حماية البيانات الشخصية على فلسلفة تجزئة الالتزامات القانونية المتعلقة بحماية البيانات. أحال القانون بعضًا من تلك الالتزامات إلى اللائحة التنفيذية بمبرر أن القواعد التي تمت إحالتها ما هي إلا قواعد إجرائية تختص اللائحة بتنظيمها. كان هذا أحد الانتقادات التي وُجِّهت إلى قانون حماية البيانات الشخصية، بجانب عدد آخر من الانتقادات.

توسَّع القانون في إحالة عدد كبير من تنظيم القواعد والإجراءات إلى اللائحة التنفيذية، فتجاوزت ثمانية عشر موضعًا مختلفًا. أدى التوسع في الإحالة إلى لائحة تنفيذية لم تصدر بعد إلى عدم النفاذ الجزئي لقانون حماية البيانات.

يمكن القول أن القواعد التي أُحيلت إلى اللائحة التنفيذية تتلخص في محاور رئيسية، كالتالي:

  • تصنيف التراخيص والتصاريح والاعتمادات وتحديد أنواعها، ووضع الشروط الخاصة بمنح كل نوع منها.
  • القواعد والشروط والإجراءات والمعايير الفنية المتعلقة بتراخيص وتصاريح اعتماد نشاط جمع البيانات الشخصية.
  • السياسات والإجراءات والمعايير القياسية لجمع ومعالجة وحفظ وتأمين البيانات داخل وخارج مصر.
  • شروط قيد وتسجيل مسؤولي حماية البيانات الشخصية في السجل المخصص بمركز حماية البيانات.
  • التزامات ومهام مسؤولي حماية البيانات الشخصية، الذين يتم تعيينهم بالجهات المسؤولة عن جمع ومعالجة البيانات الشخصية.
  • حجية الدليل الرقمي المستمد من البيانات الشخصية، والمعايير والشروط الفنية الواجب توفرها في الدليل.
  • السياسات والمعايير والضوابط المتعلقة بنقل أو مشاركة أو معالجة أو إتاحة البيانات الشخصية عبر الحدود.
  • الإجراءات والاحتياطات والمعايير والقواعد اللازمة لإتاحة البيانات الشخصية لمتحكم أو معالج آخر خارج جمهورية مصر العربية.
  • إجراءات وشروط إصدار وتجديد نماذج التراخيص والتصاريح المستخدمة.
  • تحديد رسوم منح التراخيص والتصاريح والاعتمادات للجهات التي تجمع وتعالج البيانات.

يمكن ملاحظة أن أغلب القواعد التي أُحيلت إلى اللائحة التنفيذية ترتبط بشكل وثيق بعمل مركز حماية البيانات الشخصية. فالمركز هو الجهة المعنية – وفقًا لقانون حماية البيانات – عن إجراءات إصدار السياسات وقواعد العمل، ومنح التراخيص لمسئولي حماية البيانات. بالإضافة إلى مسؤولية المركز عن القواعد المتعلقة بالرقابة والإشراف على تنفيذ هذه السياسات.


نظرة عامة على دور مركز حماية البيانات في ضوء قانون حماية البيانات الشخصية

تبنى قانون حماية البيانات الشخصية المصري فلسفة مغايرة عن التي تبنتها لائحة حماية البيانات الأوروبية فيما يتعلق بتشكيل ودور الهيئة المعنية بالإشراف على نفاذ قانون حماية البيانات. تبنت اللائحة الأوروبية معيار تكوين الهيئة المعنية بوصفها “مفوضية حماية البيانات”، بينما بُني قانون حماية البيانات الشخصية المصري على استحداث ما يعرف بمركز حماية البيانات بوصفه هيئة اقتصادية عامة تابعة لوزير الاتصالات.

الاختلاف هنا لا يتعلق بالمسمى فقط. يمتد هذا الاختلاف بالضرورة إلى إشكالية استقلال هذه الهيئة، ومدى تبعيتها للسلطة التنفيذية، وضمان تمثيل أصحاب المصالح، والتعامل معها كجهة خبرة مستقلة وغيرها من الأدوار والوظائف التي سوف تتأثر برؤية القانون لهذه الهيئة. ستحاول الورقة استدراك هذا الخطأ أثناء استعراض القواعد المعيارية التي يمكن تبنيها في عمل هذه الهيئة عند وضع اللائحة التنفيذية، أو عند إجراء أي تعديلات على قانون حماية البيانات الشخصية مستقبلًا.

أناط قانون حماية البيانات الشخصية لمركز حماية البيانات عدد كبير من الوظائف والمهام. يمكن القول أن كفاءة وقدرة عمل مركز حماية البيانات هي أحد المؤشرات الهامة لقياس جودة ونفاذ قانون حماية البيانات الشخصية.

فيما يلي أهم الوظائف التي يتولاها مركز حماية البيانات:

  • التفتيش والرقابة على الكيانات الخاضعة لقانون حماية البيانات، وتولي العاملون بالمركز الضبطية القضائية لإنفاذ هذه المهام.
  • إصدار التصاريح والتراخيص وشهادات الاعتماد وسجل اعتماد مسئولي حماية البيانات.
  • إصدار القرارات التنفيذية والتعليمات والتوجيهات الدورية وإصدار الأدلة التدريبية وتدريب مسئولي حماية البيانات.
  • تلقي البلاغات والشكاوى وتوقيع العقوبات الإدارية في المخالفات، والتصالح في الجرائم ذات الصلة المتعلقة بتطبيق قانون حماية البيانات الشخصية.
  • تقديم جميع أنواع الخبرة والاستشارات المتعلقة بحماية البيانات الشخصية، وعلى الأخص لجهات التحقيق والجهات القضائية.
  • إبرام الاتفاقيات ومذكرات التفاهم والتنسيق والتعاون وتبادل الخبرات مع الجهات الدولية ذات الصلة بعمل المركز.
  • التواصل مع جهات الأمن القومي لمحو أو تعديل بيانات لدى مقدمي الخدمة، وإبلاغ جهات الأمن القومي بأي خرق أو انتهاك متعلق باعتبارات حماية الأمن القومى.

أهم المبادئ والمعايير المقترحة لتشكيل ودور مركز حماية البيانات

يتحمل مركز حماية البيانات مسؤولية إنفاذ قوانين ولوائح حماية البيانات. يشمل هذا التحقيق في الشكاوى، واتخاذ إجراءات إنفاذ ضد الشركات التي تنتهك القانون، وتثقيف الجمهور حول حقوق حماية البيانات الخاصة بهم.

يمكن أن يساعد مركز حماية البيانات في ضمان اتباع القانون ومساءلة الشركات والأفراد عن أفعالهم من خلال ضمان حماية البيانات الشخصية. كما يمكن أن يساهم المركز في إنشاء بيئة أكثر أمانًا وجدارة بالثقة للشركات والأفراد للعمل فيها.

ينعكس هذا بالتبعية على الاقتصاد الرقمي، حيث تحتاج الشركات إلى أن تكون قادرة على جمع البيانات الشخصية واستخدامها من أجل أن تعمل بشكل فعال. يحتاج الأفراد أيضًا إلى أن يكونوا قادرين على الوثوق في حماية بياناتهم الشخصية من أجل الشعور بالراحة في استخدام الخدمات الرقمية. يجعل هذا من وجود مركز حماية البيانات وتمتعه بالصلاحيات اللازمة لتأدية مهامه بشكل مستقل وفعال أمرًا في غاية الأهمية.

تناقش الورقة في القسم التالي أهم المعايير التي يمكن تضمينها لضمان هذا الدور.

استقلالية مركز حماية البيانات وأهم اختصاصاته

مع كل تشريع جديد يستحدث هيئة أو مجلس معني بإنفاذ أحد القوانين دومًا ما يبدأ الحديث عن استقلال هذه الهيئات والمجالس. في ظل مناخ سياسي تسيطر من خلاله السلطة التنفيذية وتهيمن على كافة المؤسسات باختلاف أشكالها، من الصعب الرجوع إلى تجارب سابقة يمكن اعتبارها قد خلقت كيانات مستقلة. على الرغم من ذلك، يوجد بعض المعايير التي إن توفرت ربما يتمتع مركز حماية البيانات ببعض الاستقلال. ومن الجدير بالذكر أن هذا الاستقلال قد يكون نسبيًا نظرًا لوجود عوامل أخرى، بخلاف القواعد المكتوبة، تلقي بظلالها على حيادية واستقلال الهيئات والمجالس.

يصف قانون حماية البيانات المركز بأنه “هيئة عامة اقتصادية.” يتعارض هذا الوصف مع طبيعة الاختصاصات الموكلة إلى المركز والتي تتسم بكونها ذات طابع خدمي وليس اقتصادي.

تعكس هذه الصياغة الفلسفة التشريعية المتعلقة بإقرار القانون. فتقتصر رؤية المشرع على الدور والعائد الاقتصادي الذي يمكن تحقيقه من إدارة عملية حماية البيانات وإتاحتها. تتجاهل تلك الصياغة الدور الرئيسي الذي يجب أن يكون للمركز، وهو ضمان حماية البيانات الشخصية للأفراد، وإنفاذ القواعد المنصوص عليها بقانون حماية البيانات.

اعتمد القانون في آلية اختيار أعضاء مجلس إدارة مركز حماية البيانات على الترشيح المباشر من بعض الجهات الإدارية، دون ذكر للمعايير أو الخبرات المتعلقة بالأعضاء. كما يغلب على تشكيل مجلس إدارة المركز الطابع الإداري دون تمثيل لأصحاب المصالح أو لمنظمات المجتمع المدني العاملة في مجال حماية البيانات.

بالإضافة إلى ذلك، تشكل الجهات الأمنية ما يقرب من نصف أعضاء المجلس تقريبًا؛ أربعة ممثلين من أصل تسعة أعضاء بمجلس إدارة المركز. لا يمكن فهم هذا الأمر في ظل استثناء جهات الأمن القومي من الخضوع لأحكام قانون حماية البيانات الشخصية. كما أن نصوص القانون لم تتحدث صراحة عن المعايير الخاصة بضرورة عدم وجود تضارب للمصالح بين الوظائف الإدارية التي يتولاها أعضاء المجلس والمهام المتعلقة بإدارة مركز حماية البيانات.

كافة هذه الملاحظات تجعل من مركز حماية البيانات هيئة غير مستقلة من الصعب ضمان عدم حدوث تدخلات مباشرة في إدارتها لعملية هامة مثل حماية بيانات المستخدمين. لذلك، هناك حاجة إلى إجراء تعديلات تشريعية على الوضع الحالي المتعلق بتشكيل واختصاص مركز حماية البيانات.

في القسم التالي تستعرض الورقة بعض المعايير التي قد تساهم في استقلال مركز حماية البيانات، والانعكاسات المترتبة على توافر كل معيار، ومن ثم الآثار السلبية المتوقعة في حالة عدم تحققه.

ضمان تمثيل أصحاب المصلحة المختلفين في تشكيل مركز حماية البيانات

ينبغي أن تنص اللائحة التنفيذية لقانون حماية البيانات على تمثيل أصحاب المصلحة المختلفين في تشكيل مركز حماية البيانات. من الضروري أن يشمل تشكيل المركز الشركات ومنظمات المجتمع المدني لتطوير وتنفيذ السياسات التي تحمي الخصوصية. يساعد هذا في إنشاء نهج أكثر شمولًا وفعالية لحماية البيانات.

دور فعّال في التعاون الدولي والتواصل مع الجهات المثيلة في البلدان المختلفة

جزء هام من استقلالية ونجاح مركز حماية البيانات يرتبط بالتعاون مع الجهات الأجنبية ذات الصلة بعمل المركز. قد يتعاون المركز مع جهات قضائية أو هيئات معنية بحماية البيانات أو مقدمي خدمة في بلدان مختلفة. لذلك يجب أن يمارس مركز حماية البيانات هذا الدور بشكل مستقل عن جهات التعاون الدولي التنفيذية.

يقصد بالاستقلال هنا عدم تأثر المركز بالسياسات التي قد تنتهجها السلطات المصرية، وأن تكون أولوية المركز حماية بيانات المستخدمين، وأن يرتبط أي تغير في سياساته بمدى تعاون الجهات الأجنبية مع المركز في سبيل حماية بيانات المستخدمين في مصر.

من جانب آخر، يجب أن يسعى المركز في أن تكون قوانين حماية البيانات متوافقة مع المعايير الدولية وأفضل الممارسات، مما يساعد الدولة على الوفاء بالتزاماتها القانونية.

يحتاج هذا الدور إلى الحرص الدائم على تبادل الخبرات، والاطلاع الدوري على أفضل الممارسات، وإجراء اختبارات التقييم الدورية. يمكن تحقيق ذلك من خلال إلزام المركز بأن يخصص في تقريره السنوي قسما يتناول التطورات المتعلقة بسبل التعاون الدولي والتجارب الناجحة التي سعى المركز إلى نقلها وفقًا لخطط واضحة.

إقرار قواعد تضمن ممارسة المركز لصلاحياته بشفافية

يجب النص صراحة على التزام مركز حماية البيانات بالعمل بشفافية. يمكن أن يتم ذلك من خلال وضع تقارير منتظمة وضمان نشر هذه التقارير في العلن. كما يجب التقيد بقواعد الإفصاح الاستباقي المتعلقة بنقاشات ومخرجات اجتماعات مجلس إدارة مركز حماية البيانات، والخطط المتعلقة بقرارات المجلس، والأنشطة المتعلقة بالتعاون مع الجهات الحكومية والبرلمانية والجهات المناظرة للمجلس في الدول الأجنبية، ونتائج التحقيقات مع كبرى شركات التقنية.

اعتماد قواعد التنظيم المحايد

يلعب مركز حماية البيانات دورًا هامًا فيما يتعلق بإصدار القواعد التنفيذية والتعليمات الدورية والإرشادات ذات الصلة بإنفاذ قانون حماية البيانات. بالتالي، يلعب المركز دورًا تشريعيًا مخصصًا في نطاق عمله.

يحتاج هذا الدور إلى أن يصدر المركز القواعد التنفيذية بشكل موضوعي ومحايد، متجنبًا بذلك إصدار قواعد ذات طبيعة استثنائية أو قواعد منحازة لمصالح الجهات التي تقوم بجمع أو معالجة البيانات الشخصية. كما يلزم على المركز اعتماد القواعد العامة المتعلقة بإصدار التشريعات، مثل أن تكون القواعد مجردة وتتسم بالطابع التنظيمي الدائم. يجب أن يضمن المركز أيضًا تطبيق قوانين حماية البيانات بشكل متسق وعادل، مما يضمن التعامل مع الحالات المماثلة بنفس الطريقة، بغض النظر عن الأطراف المعنية.

القدرة على مساءلة مركز حماية البيانات

سبق الإشارة إلى ضرورة تمتع مركز حماية البيانات بالاستقلالية التي تساعده على ممارسة صلاحياته ومهامه، إلا أن هناك اعتبارات اخرى ترتبط بشكل مباشر بمفهوم الاستقلال. من بين تلك الاعتبارات القدرة على مساءلة مركز حماية البيانات أو مجلس إدارته عن ما يقوم به من أنشطة وما يصدره من قرارات. يجب أن تخضع قرارات المركز وما يصدر عنه للرقابة القضائية لضمان مشروعية وصحة هذه القرارات. ويتم النظر في الطعون على قرارات المركز أمام إحدى دوائر القضاء الإداري المتخصصة.

التوازن بين الدور الخدمي والدور الاقتصادي لمركز حماية البيانات

يركز قانون حماية البيانات الشخصية على الدور الاقتصادي لمركز حماية البيانات. يعني ذلك أن قانون الحالي يولي اهتمام كبير بطريقة الإدارة المالية لمركز حماية البيانات.

لذلك، يذهب القانون في العديد من نصوصه إلى الجوانب المتعلقة بكيفية تحصيل عائدات للمركز. يعطي هذا انطباع أن المركز هو جهة تحصيل رسوم مقابل إعطاء تصريح بممارسة نشاط جمع وتخزين البيانات.

من المفهوم أن أحد الأدوار الوظيفية للمركز هو ممارسة عملية إعطاء تصاريح ممارسة بعض الأنشطة، إلا أن الهدف الرئيسي من ذلك ليس تحصيل الرسوم. إعطاء التصاريح هو خطوة أولية لضمان الامتثال للقواعد المنصوص عليها في القانون. على الجانب الآخر، يجب أن تقوم فلسفة القانون على أن الهدف من تحصيل الرسوم هو ضمان عمل مركز حماية البيانات بشكل مستقل، وليس بهدف توفير موارد مالية كإحدى الهيئات الاقتصادية. لذلك، هناك حاجة ماسة للتوسع في الدور الخدمي للمركز عند إقرار لائحة القانون.

الاستقلال المالي وضمان قنوات تمويل متنوعة ومستدامة

يجب أن يكون لمركز حماية البيانات ميزانيته الخاصة مع تقليل الاعتماد على التمويل الحكومي كلما أمكن ذلك. تكون تلك الميزانية منفصلة عن سيطرة الجهات التنفيذية ويتم تخصيصها بما يسمح للمركز القيام بواجباته بفعالية. كما يجب إنشاء آليات تمويل مستدامة للهيئة، مثل الرسوم التي تفرض على المستخدمين، أو على الكيانات الراغبة في الحصول على تصاريح ممارسة بعض الأنشطة، أو الغرامات التي تطبق على مقدمي الخدمة.

مدة الولاية وحدودها

يجب أن تشير القواعد المنظمة إلى مدة ولاية مجلس إدارة مركز حماية البيانات. يكون ذلك من خلال وضع حدود زمنية ثابتة للمناصب القيادية داخل مركز حماية البيانات لمنع التأثير غير المبرر وتعزيز الدورة الوظيفية للعاملين بالمركز بشكل منتظم. في كل الأحوال، يجب ألا تزيد مدة ولاية أعضاء المجلس عن ولايتين متتاليتين، على ألا تزيد مدة الولاية الواحدة عن ثلاث سنوات.

الحصانة القانونية

في سبيل مباشرة مركز حماية البيانات لوظيفته، يجب أن يتمتع مجلس إدارة المركز وبعض العاملين به بحصانة قانونية. تمنح تلك الحصانة العاملين بالمركز الحماية من الإجراءات القانونية التي قد تنتج عن قيامهم بواجباتهم بحسن نية.

المقصود بالحصانة هنا هي الحصانة التي تضع العاملين بالمركز في نطاق حماية يسمح لهم بتنفيذ مهامهم، وليس صلاحيات الضبط القضائي التي قد يتمتع بها بعض العاملين بالمركز.

آليات متابعة التقارير الدورية الصادرة عن المركز

استقلال مركز حماية البيانات يعني بالضرورة قدرته على متابعة تنفيذ ما يصدره من قرارات وتقارير وتوصيات تشريعية. يتطلب ذلك أن يكون هناك قنوات اتصال دائمة ومستمرة مع الجهات التشريعية والجهات البرلمانية للأخذ بما ينتهي إليه مجلس إدارة المركز من قرارات وتوصيات.

الاستقلال القانوني

يجب أن يتضمن قانون حماية البيانات الشخصية ولائحته التنفيذية قواعد تضمن الاستقلال القانوني التام للمركز عن السلطة التنفيذية. يقصد بذلك عدم قدرة الجهات التنفيذية على التدخل باقتراح تعديلات على هيكل المركز أو على صلاحياته. لذلك، يجب أن يكون هناك قاعدة تلزم البرلمان والجهات التنفيذية بالحصول على موافقة المركز على إجراء أي تغييرات أو إصدار أي تشريع يخص عمله.

حماية المبلغين عن المخالفات

لا يوجد في مصر حتى الآن أي قانون ينظم عملية حماية المبلغين والشهود. لذلك، يجب أن يكون هناك نص خاص بقانون حماية البيانات أو لائحته التنفيذية تضمن الحماية للمبلغين عن المخالفات. سيسمح ذلك لموظفي المركز وغيرهم بالإبلاغ عن أي محاولة تدخل أو ضغط سياسي دون خوف من التبعات.

دور المركز في إنفاذ مبادئ حماية البيانات

لا يجب أن يقتصر عمل مركز حماية البيانات على لعب أدوار تنفيذية أو روتينية دون وجود أهداف عامة تحكم عمل المركز. من أهم المبادئ التي يجب أن يعمل المركز على إنفاذها هو مبدأ تحجيم البيانات بالإضافة إلى المبادئ الأخرى المنصوص عليها بقانون حماية البيانات.

يمكن للمركز التحقيق في الانتهاكات، وإصدار تحذيرات للشركات، وفرض غرامات إدارية لعدم الامتثال لمبادئ مثل تحجيم البيانات. لفرض تحجيم البيانات إلى الحد الأدنى يمكن للمركز إجراء عمليات تدقيق أو عمليات تفتيش لممارسات جمع البيانات للشركات، ومراجعة سياسات وعقود الخصوصية، ومراجعة الاستمارات المستخدمة لجمع البيانات من الأفراد سواء كانت ورقية أو إلكترونية، والتحقيق في الشكاوى، واتخاذ إجراءات الإنفاذ حسب الحاجة إذا كانت الشركات تجمع أو تحتفظ ببيانات شخصية أكثر من اللازم، أو تستخدم البيانات لأغراض غير متوافقة مع الغرض الأصلي المبلغ به الشخص المعني بالبيانات.

مع ذلك، لا يمكن أن تكون سلطة الإنفاذ في مركز حماية البيانات فعالة إلا إذا كان لديه ما يكفي من الموارد والخبرة والاستقلالية لمراقبة ممارسات الشركات واتخاذ إجراءات قوية ضد الانتهاكات.


الدور التنفيذي والإشرافي والرقابي لمركز حماية البيانات

العمل على ضمان التزام الشركات بقانون حماية البيانات

يمتلك مركز حماية البيانات العديد من الصلاحيات التي تسمح له بإلزام المخاطبين بقانون حماية البيانات بالقواعد التي يصدرها وغيرها من القواعد ذات الصلة بحماية البيانات الشخصية.

ليُنفِذ المركز قواعد القانون بشكل فعلي وليس شكلي يجب أن يكون لديه آليات إضافية بخلاف منح التراخيص وسحبها وتوقيع العقوبات. فيما يلي بعض الآليات اللازم تواجدها في اللائحة التنفيذية لتحقيق ذلك:

  • التحقيقات الخاصة: يمكن لمركز حماية البيانات أن يشرع في إجراء تحقيقات خاصة إذا كان لديه سبب للاعتقاد بأن مقدم خدمة لا يمتثل لقانون حماية البيانات.
  • التوجيه والتوصيات: للمركز أن يصدر توصيات لمساعدة الشركات على فهم قواعد قانون حماية البيانات الشخصية وكيفية والامتثال لها.
  • تقييمات تأثير حماية البيانات: يجب على المخاطبين بالقانون إجراء تقييمات تأثير حماية البيانات لبعض أنشطة المعالجة عالية المخاطر. كما يجب أن يكون للمركز صلاحية مراجعة هذه التقييمات لتحديد المخاطر المحتملة وضمان الامتثال.

إصدار التصاريح والتراخيص

لدى مركز حماية البيانات صلاحيات واسعة تتعلق بمنح التراخيص وغيرها من أشكال الموافقات التي يجب الحصول عليها لمزاولة أنشطة جمع أو تخزين أو معالجة البيانات.

وفقًا لقانون حماية البيانات فمن ضمن اختصاصات المركز “إصدار التراخيص أو التصاريح والموافقات والتدابير المختلفة المتعلقة بحماية البيانات الشخصية وتطبيق أحكام هذا القانون (….) اعتماد الجهات والأفراد ومنحهم التصاريح اللازمة التي تتيح لهم تقديم الاستشارات في إجراءات حماية البيانات الشخصية.”

كما يشير القانون في المادة 26 إلى أن التراخيص والتصاريح الممنوحة من المركز تتعلق بالأنشطة التالية:

  • إصدار الترخيص أو التصريح للمتحكم أو المعالج لإجراء عمليات حفظ البيانات والتعامل عليها ومعالجتها.
  • إصدار الترخيص أو التصريح لأنشطة التسويق الإلكتروني المباشر.
  • إصدار الترخيص أو التصريح لنشاط المعالجات التي تقوم بها الجمعيات أو النقابات أو النوادي للبيانات الشخصية لأعضاء تلك الجهات.
  • إصدار الترخيص أو التصريح المتعلق بوسائل المراقبة البصرية في الأماكن العامة.
  • إصدار الترخيص أو التصريح لتحكم ومعالجة البيانات الشخصية الحساسة.
  • إصدار الترخيص أو التصريح الخاصة بنقل البيانات الشخصية عبر الحدود.
  • إصدار التصاريح والاعتمادات الخاصة بالجهات والأفراد التي تتيح لهم تقديم الاستشارات في إجراءات حماية البيانات الشخصية وإجراءات الامتثال لها.

يتضح من المادة 26 أن القانون يفرق بين أنواع التراخيص التي يصدرها مركز حماية البيانات كالتالي:

  • التراخيص: هي وثيقة تصدر للأشخاص الاعتبارية فقط لمدة ثلاث سنوات قابلة للتجديد. تُمنح تلك الوثيقة للكيانات التي تمارس عملية جمع أو معالجة أو تخزين البيانات بشكل احترافي ومعتاد.
  • التصاريح: هي وثيقة تصدر للأشخاص الطبيعية والاعتبارية لمدة سنة واحدة قابلة للتجديد. تُمنح تلك الوثيقة لممارسة نشاط أو مهمة محددة، أو تُمنح لممارسي نشاط التسويق الإلكتروني على سبيل التحديد.
  • شهادات الاعتماد: هي وثيقة تفيد أن أحد الأشخاص الطبيعية أو الاعتبارية مؤهل لتقديم نشاط الاستشارات في مجال حماية البيانات، وهي وثيقة غير محددة المدة.

على الجانب الأخر، أحال قانون حماية البيانات مساحات تنظيمية واسعة تتعلق بصلاحية منح التراخيص والتصاريح وشهادات الاعتماد إلى اللائحة التنفيذية. وفيما يلي أهم النقاط التي يجب أن تتضمنها اللائحة التنفيذية حين صدورها:

  • كافة نماذج الحصول على التراخيص والتصاريح وشهادات الاعتماد.
  • تدارك إغفال قانون حماية البيانات لعملية التظلم على قرار رفض منح التراخيص والتصاريح وشهادات الاعتماد.
  • إلزام مركز حماية البيانات بتسبيب قرار رفض منح التراخيص والتصاريح وشهادات الاعتماد.
  • تخفيض رسوم منح التصاريح وشهادات الاعتماد، نظرًا لكون هذه الأنشطة لا تعتمد على الملائمة المالية لضمان حماية بيانات المستخدمين.
  • إلغاء عبارة “ويجوز للمركز طلب بيانات أو وثائق أو مستندات أخري للبت في الطلب، كما يكون له الحق في طلب توفير ضمانات إضافية لحماية البيانات الشخصية إذا تبين عدم كفاية الحماية المبينة بالمستندات المقدمة إليه،” الواردة بالمادة 27 من قانون حماية البيانات. تفتح هذه العبارة الباب أمام ضوابط وشروط غير محكمة يصعب الرقابة على صحة ممارستها.
  • وضع تنظيم إجرائي يتطلب شروط وضوابط فنية وإجرائية متقدمة فيما يتعلق بالأنشطة ذات الصلة بالبيانات الشخصية الحساسة.

تلقي الطلبات والشكاوى وإجراء التحقيقات

تعطي المادة 19 من قانون حماية البيانات مركز حماية البيانات صلاحية تلقي الشكاوى والبلاغات المتعلقة بأحكام القانون وإصدار القرارات اللازمة في شأنها. كما يورد القانون بعض التفصيلات المتعلقة بضوابط تقديم الطلبات والشكاوى. تشير المادة 33 من القانون إلى الحالات التي يمكن تحريك شكوى إلى المركز في حال تحققها، وهي:

  • انتهاك حق حماية البيانات الشخصية أو الإخلال به.
  • الامتناع عن تمكين الشخص المعني بالبيانات من استيفاء حقوقه.
  • القرارات الصادرة عن المسئول عن حماية البيانات الشخصية لدى المعالج أو المتحكم بشأن الطلبات المقدمة إليه.

في هذه الحالات، تُقدَّم الشكوى إلى المركز على أن يتخذ المركز ما يلزم من إجراءات التحقيق وأن يصدر قراره خلال ثلاثين يوم عمل من تاريخ تقديم الشكوى. كما يلتزم المركز بإخطار الشاكي والمشكو في حقه بالقرار. ويلتزم المشكو في حقه بتنفيذ قرار المركز خلال سبعة أيام عمل من تاريخ إخطاره به، وإفادة المركز بما تم نحو تنفيذه.

على الرغم من أن القانون وضع إطار زمني واضح لعملية تقديم الشكاوى إلا أنه أحال الضوابط الإجرائية إلي اللائحة التنفيذية التي لم تصدر بعد. فيما يلي بعض النقاط التي يتعين ذكرها على وجه الدقة في عملية تلقي الشكاوى:

  • طرق تقديم الشكوى: من المهم النص صراحة على الطرق المختلفة لتقديم الشكوى. يشمل ذلك تقديم الشكوى كتابة أو شفاهة مع ذكر آليات تقديم مختلفة. على سبيل المثال، تقديم الشكاوى إلى أحد مكاتب/فروع مركز حماية البيانات الشخصية، أو عبر البريد الإلكتروني، أو من خلال نماذج إلكترونية معدة لتقديم الشكوى يتم ملئها وإرسالها عبر موقع المركز.
  • إعداد نماذج للطلبات والشكاوى: يجب أن تتضمن اللائحة التنفيذية لقانون حماية البيانات نماذج تتضمن البيانات الواجب توافرها في الشكوى، وأنواع الطلبات حسب طبيعة المخالفة، وقائمة بالمرفقات التي يجب تقديمها لإثبات المخالفة.
  • التزام المركز بتوفير خدمة مساعدة ودعم فني: في كثير من الأحيان لا تلبي النماذج الإرشادية أو القواعد المدونة الاحتياجات المتعلقة بتقديم الشكوى. بالإضافة إلى ذلك، في بعض الحالات قد يتطلب الأمر تقديم الشكوى بطريقة شفهية، أو يحتاج الشاكي لمتابعة تطورات ومسار الشكوى أو إخطار المركز بأي تفصيلات قد تفيد التحقيق في الشكوى. لذلك، من المهم أن تضع اللائحة التنفيذية تنظيمًا واضحًا لخدمات المساعدة و الدعم الفني بصوره المختلفة.
  • التزام المركز بطلب استيفاء المعلومات المطلوبة: قد تتطلب بعض الشكاوى استيفاء مزيد من المعلومات لفحص الشكوى أو الانتهاء لقرار فيها بشكل واضح. لذلك، يجب على الإدارة المعنية بالمركز طلب هذه المعلومات، ولا يجب أن يكون عدم الاستيفاء سببًا من أسباب حفظ الشكوى. كما يجب أن يكون طلب استيفاء المعلومات المطلوبة من مقدم الشكوى بنفس طريق تقديم الشكوى.
  • إخطار الشاكي بتطورات فحص الشكوى: يقع على مركز حماية البيانات التزام واضح بإخطار مقدم الشكوى بالتطورات التي تطرأ على فحص الشكوى. على سبيل المثال لا الحصر، أنه تم التواصل مع مقدم الخدمة وفي انتظار الرد أو تم تلقي رد من مقدم الخدمة أو جاري إعداد الرد على الشكوى أو صدر قرار في الشكوى وتوضيح النتيجة.
  • تسبيب قرار حفظ الشكوى: في حالة الانتهاء إلى قرار بحفظ الشكوى يجب أن يذكر المركز سبب حفظ الشكوى بعبارات واضحة، سواء كانت أسباب الحفظ إجرائية أو فنية، مما يسمح لمقدم الشكوى أن يعيد تقديم شكواه أو التظلم من القرار.
  • التظلم من قرار الحفظ: يجب أن يتم النص صراحة على آلية تظلم من قرار حفظ الشكوى، ووضع ميعاد تنظيمي للتظلم يبدأ من تاريخ العلم اليقيني لمقدم الشكوى.
  • تقديم المشورة القانونية في مرحلة ما قبل تحريك الشكوى أو مرحلة ما قبل التقاضي: تساعد المكاتب الأمامية وقنوات الدعم الفني على توجيه الشاكي في مرحلة ما قبل تقديم الشكوى. توفر هذه الخدمة كثير من الجهود المبذولة في التحقيق في الشكاوى من خلال استيفاء كافة المعلومات. كما أنها تساعد على تقليل حجم الشكاوى بعد توضيح الموقف للمتقدمين لأخذ المشورة بجدوى التقدم بالشكوى.
  • صلاحية المركز في المبادرة بالفحص التلقائي دون الحاجة إلى شكوى : يجب أن تتضمن اللائحة التنفيذية آلية واضحة تسمح للمركز بأن يبادر بالتحقيق في بعض الحالات دون الحاجة إلى تقديم شكوى بالطرق التقليدية.

لا يختلف تقديم الشكاوى عن تقديم الطلبات إلى حدٍ كبير من حيث الإجراءات. على الصعيد الأخر، يوجد بين الشكاوى والطلبات اختلاف رئيسي في المضمون. يعد تقديم الطلب هو جوهر قانون حماية البيانات وحجر الأساس الذي يمكن البناء عليه في تقييم طريقة عمل مقدم الخدمة.

على الرغم من ذلك، لم يتضمن القانون قواعد واضحة تتعلق بكيفية تقديم الطلبات. لكن يمكن معالجة هذا الأمر عن طريق اللائحة التنفيذية للقانون.

ينبغي أن تحتوي اللائحة التنفيذية على باب خاص تفصيلي يتضمن بعض القواعد لتقديم الطلبات. كما ينبغي أن يلحق باللائحة التنفيذية نماذج إرشادية يمكن الاعتماد عليها أثناء عملية تقديم الطلبات التالية:

  • الطلبات المتعلقة بالحق في الوصول.
  • الطلبات المتعلقة بالحق في المحو: طلب حذف بيانات المستخدمين.
  • الطلبات المتعلقة بالحق في التصحيح: طلب تصحيح البيانات غير الدقيقة أو غير الكاملة.
  • الطلبات المتعلقة بالحق في تقييد المعالجة: الحد من كيفية استخدام البيانات.

التقارير الفنية الصادرة عن مركز حماية البيانات

تلعب أغلب الهيئات المعنية بحماية البيانات دورًا هامًا في الرقابة على عملية جمع وتخزين ومعالجة البيانات الشخصية نظرًا لأهميتها. تعلن هذه الهيئات عن ما تقوم به من خلال تقارير موجّهة للعامة، يمكن من خلالها فهم التطورات المتعلقة بهذا الأمر.

قد تأخذ هذه التقارير شكل التقارير الدورية، نصف سنوية أو سنوية، أو تقارير استثنائية تصدر بين الحين والآخر في بعض القضايا التي قد تحتاج إلى وجود إيضاحات للرأي العام، أو تقارير تعالج قضايا استثنائية يجب أن يتم الإعلان عن تفاصيلها والتي قد لا تحتمل الانتظار إلى موعد التقرير السنوي.

فيما يتعلق بالسياق المصري، لم يتضمن قانون حماية البيانات الشخصية تفاصيل واضحة حول دور مركز حماية البيانات في عملية إصدار التقارير. اكتفى القانون بالإشارة السريعة إلى ذلك أثناء عرض اختصاصات المركز. فنص القانون في المادة 19 على أن من ضمن مهام المركز “إعداد وإصدار تقرير سنوي عن حالة حماية البيانات الشخصية في جمهورية مصر العربية.”

نظرًا لغياب أي قواعد واضحة تشير إلى طبيعة هذه التقارير وما قد تحويه، فسوف تتناول الورقة فيما يلي أهم العناصر التي يجب أن تتضمنها التقارير. كما تتطرق الورقة إلى أنماط/أشكال التقارير التي يمكن إصدارها. تراعي الورقة في القسم التالي تضمين القواعد التي تضمنتها لائحة حماية البيانات الأوروبية في هذا الشأن، اتساقًا مع الفلسفة التشريعية التي تبناها المشرع المصري في التعامل مع اللائحة الأوروبية كمرجع تشريعي لقانون حماية البيانات الشخصية.

التقارير الدورية (السنوية/نصف سنوية)

الهدف من التقارير الدورية بشكل عام هو دعم شفافية تطبيق مقدمي الخدمة للقواعد القانونية. كما أنها تكشف مدى قيام مركز حماية البيانات بدوره في التطبيق المتسق للقانون، ومراقبة فعاليته وتحديد أي مشكلات قد تحتاج إلى معالجة. التقارير الدورية هي خطوة أولية يمكن أن تساهم بشكل تراكمي في التقارير المرحلية المتعلقة بالتقييم العام لقانون حماية البيانات.

من ثم، يجب أن يكون هناك التزام قانوني بالعناصر التي ستتضمنها التقارير الدورية الصادرة عن المركز. في القسم التالي تتناول الورقة أهم العناصر اللازم تواجدها في التقارير الدورية.

  • إحصائيات حول شكاوى حماية البيانات الواردة والشكاوى التي تم حلها أو التي ما زال جاري فحصها، وتحليل الاتجاهات في أنواع أو أحجام الشكاوى.
  • إحصائيات حول عدد القضايا التي أبدى خلالها المركز الرأي الفني، وخاصة في الشكاوى التي أحيلت للمحاكم المختصة.
  • إحصائيات ونماذج للموضوعات المتعلقة بالدور الوظيفي لمركز حماية البيانات ذات الصلة بالتعاون الدولي مع الجهات النظيرة في الدول الأخرى.
  • إحصائيات حول الكيانات المتقدمة للحصول على شهادات الاعتماد وتصاريح ممارسة أنشطة جمع ومعالجة البيانات الشخصية، وبيانات تفصيلية حول الكيانات التي تم منحها بالفعل تصاريح خلال فترة التقرير.
  • ملخص تنفيذي للمخاطبات التي تمت بين مركز حماية البيانات وكبرى شركات التكنولوجيا العالمية ومقدمي خدمات الاتصالات المحلية بوصفهم أكبر جهات جمع البيانات.
  • تحليل لأنماط المخالفات التي تمت من مقدمي الخدمة، ومدى تطور هذه الأنماط مقارنة بالتقارير السابقة.
  • إحصائيات حول عدد الكيانات التي خضعت للتدريب في سبيل الامتثال لقانون حماية البيانات الشخصية.
  • توصيات وتوجيهات للمستخدمين يتم من خلالها الإشارة إلى أهم المخالفات المتعلقة بتطبيق القانون وكيفية تعامل المستخدمين معها.
  • متابعة توصيات التقرير السابق. يمكن للتقارير اللاحقة تتبع التوصيات المعتمدة أو الأثار المترتبة على التوصيات التي لم يتم تناولها. تُظهر هذه المتابعة تأثير مراقبة مركز حماية البيانات والمشورة التي يقدمها على التحسين المستمر لنظام حماية البيانات.
  • مراعاة النشر العلني وبشكل بارز على موقع مركز حماية البيانات على الإنترنت.
  • تضمين رؤى محددة وقائمة على البيانات في تنفيذ حماية البيانات. بدلًا من مجرد بيانات عامة، يمكن أن تشير التقارير إلى إحصائيات مفصلة أو دراسات حالة أو بيانات أخرى حول كيفية عمل القانون في الممارسة العملية. تساعد الإحصائيات الملموسة أصحاب المصلحة على فهم مشهد حماية البيانات بشكل أكثر وضوحًا.
  • يمكن للتقارير أن تعرض إجراءات الإنفاذ لدى مركز حماية البيانات، وكيف يعالج فجوات الموارد أو الخبرة، والمسائل الداخلية الأخرى ذات الصلة بقدرته على الإشراف. يدعم هذا النوع من الشفافية مساءلة مركز حماية البيانات نفسه، وليس فقط مقدمي الخدمة وصانعي السياسات.

التقارير المرحلية لتقييم ملائمة تطبيق القواعد

يجب أن يلعب مركز حماية البيانات دورًا في عملية صنع السياسات المتعلقة بحماية البيانات الشخصية. كما يجب أن يُأخذ رأي المركز بوصفه الجهة المعنية بتطبيق قانون حماية البيانات؛ فالمركز هو الجهة التي يمكنها الوقوف على المشاكل العملية المتعلقة بتطبيق القانون وبالتبعية المعوقات التي تمنع المركز من ممارسة اختصاصاته.

لذلك، يجب أن يكون هناك آليه يُعبِّر من خلالها المركز عن اقتراحاته وآرائه المتعلقة بتطبيق القانون. يمكن تحقيق ذلك عن طريق إصدار تقارير مرحلية توجّه إلى متخذي القرار بشكل عام، والمشرع المصري بشكل خاص.

فيما يلي أهم العناصر اللازم تواجدها في التقارير المرحلية:

  • تقرير يصدر كل 5 سنوات عن تقييم ومراجعة قانون حماية البيانات، بما في ذلك تطبيقه.
  • إبداء الرأي في مدونات قواعد السلوك والشهادات التي يتم منحها لمقدمي الخدمة.
  • تحديد ما إذا كانت هناك حاجة إلى أي تعديلات على اللوائح لمواكبة التطورات التكنولوجية والمجتمعية.
  • يجب أن يتضمن التقرير المرحلي حالة حماية البيانات الشخصية في مصر وأي قضايا تنشأ في تنفيذ القانون من خلال الممارسات العملية.
  • ملخص لتوصيات التقارير السنوية خلال الخمس سنوات المنصرمة.
  • التعديلات المقترحة على قانون حماية البيانات. إذا حدد مركز حماية البيانات سبل تحسين القانون لحماية البيانات الشخصية بشكل أفضل مع تقدم التكنولوجيا والممارسات، فيجب عليه اقتراح تعديلات أو تنقيحات محددة على الحكومة والبرلمان. الإبلاغ عن التغييرات الموصى بها يسمح باستمرار عملية إصلاح حماية البيانات.
  • إصدار توصيات عملية وقابلة للتنفيذ. لكي تكون التقارير مفيدة لواضعي السياسات والشركات يجب أن تقترح خطوات محددة وواقعية لتحسين حماية البيانات.

التقارير الاستثنائية/ النوعية

بخلاف التقارير الدورية التي يتم من خلالها رصد أهم الإحصائيات المتعلقة بإنفاذ القانون، قد يكون من المهم أن يصدر مركز حماية البيانات تقارير نوعية حول بعض الموضوعات المتعلقة بحماية البيانات.

على سبيل المثال، يمكن للمركز إصدار تقارير متخصصة في مجال حماية البيانات الحساسة، أو تقارير استثنائية حول أزمات تسريب بيانات المستخدمين، أو تقارير توضح التغيرات في منهجيات العمل المتبعة، أو الإرشادات الفنية التي تعتبر جزءًا من تصاريح العمل وشهادات الاعتماد.


الدور الفني والاستشاري لمركز حماية البيانات

وضع القواعد والإرشادات الفنية والإشراف على تنفيذها

من أهم الأدوار التي يقوم بها مركز حماية البيانات هو الدور الفني (التقني). يبدأ هذا الدور بإعداد القواعد الفنية والإرشادات العامة، ويمر بالتقييم الفني للكيانات الراغبة في الحصول على تصريح ممارسة نشاط جمع أو معالجة البيانات الشخصية، وينتهي بالتحقيقات التي قد يجريها المركز في المخالفات.

فيما يلي أهم المسؤوليات الفنية الرئيسية في هذا الصدد:

  • إصدار مبادئ توجيهية بشأن المتطلبات المحددة لقانون حماية البيانات الشخصية، مثل تقييمات تأثير حماية البيانات، وعمليات نقل البيانات الدولية، وإخطارات خرق البيانات، وما إلى ذلك. توفر هذه الإرشادات نصائح عملية أكثر تفصيلًا حول كيفية الامتثال لمتطلبات قانون حماية البيانات.
  • إصدار قرارات تنفيذية تساعد الكيانات المختلفة على تنفيذ القواعد المنصوص عليها بقانون حماية البيانات الشخصية ولائحته التنفيذية حين صدورها.
  • توفير إرشادات عامة حول معالجة البيانات الشخصية وحقوق الشخص المعني بها وموظفي حماية البيانات وما إلى ذلك لتعزيز التفسير المتسق لمتطلبات القانون.
  • وضع المعايير الفنية لتخزين ومعالجة البيانات الشخصية.
  • إصدار مبادئ توجيهية لتأمين البيانات الشخصية ومنع انتهاكات البيانات.
  • مراجعة واعتماد سياسات حماية البيانات في الجهات الحكومية والشركات الخاصة.
  • مراقبة الامتثال لقواعد وأنظمة حماية البيانات.
  • تلقي الاستفسارات الفنية والرد عليها.
  • إصدار الأدلة التدريبية الفنية والتدريب عليها.

إصدار التفسيرات الفنية لقانون حماية البيانات

يجب عند وضع تصور لطريقة عمل ودور مركز حماية البيانات أن يتم النظر إلى تكامل الأدوار الوظيفية وارتباطها ببعضها البعض. فيما يتعلق بإلزام المركز بالقيام بدور تقييمي لإنفاذ قانون حماية البيانات الشخصية من خلال التقارير الدورية والمرحلية، فيجب أن تكون جهة التنفيذ والتقييم هي الجهة المنوط بها القيام بدورين تكميليين، كما يلي:

الدور الأول: أن يكون مركز حماية البيانات هو الجهة التي لديها صلاحيات إصدار قرارات تنفيذية وتعليمات ومنشورات تفسيرية لازمة لتطبيق قواعد قانون حماية البيانات. قيام المركز بهذا الدور له ما يبرره، على سبيل المثال لا الحصر، سيكون لدى المركز الخبرات الفنية والعملية على المستوى القانوني والتقني التي تؤهله لتفسير القواعد العامة المذكورة في القانون ولائحته التنفيذية حين صدورها.

كما أن القيام بهذا الدور يأتي على خلفية فهم المركز للإشكاليات اليومية التي تحتاج تدخل بقرارات أو تعليمات أو منشورات تفسيرية قد تساعد في التطبيق الأمثل لقواعد القانون. بالإضافة إلى ذلك، يساعد قيام المركز بالدور التفسيري في تجنب وجود تفسيرات تعيق تنفيذ القانون وبذلك يتسق مع فكرة استقلالية المركز وعدم تدخل الجهات التنفيذية في عمل المركز.

الدور الثاني: يعد هذا الدور أقرب لدور المشرع التنفيذي، وهو دور يفرضه الواقع. يتمثل هذا الدور في حالة السكوت التشريعي، وهو إغفال المشرع لتنظيم بعض النقاط، أو وجود مستجدات لم تكن موجودة وقت إصدار القانون. قد يتدخل المركز في هذه الحالة بإصدار بعض القرارات التي تأخذ في مظهرها الخارجي شكل القرار التنظيمي أو القرار التفسيري إن أمكن.

لا ينفي ما سبق حقيقة وجود تخوفات دائمة من الجمع بين الأدوار التنفيذية والتشريعية. لا تأتي تلك التخوفات من الفراغ، بل أن لها أسبابها المنطقية في الواقع المصري. على الرغم من ذلك، محاولة تنظيم هذا الدور ووضع قيود محددة له قد ترشده إلى حدٍ ما.

المشاركة في القوانين واللوائح ذات الصلة بالبيانات الشخصية

ترتبط عملية مشاركة مركز حماية البيانات في عملية صناعة القوانين ذات الصلة بالبيانات الشخصية بنقطتين هامتين. تتعلق الأولى بالتغيرات الدائمة التي تحدث في القطاعات المرتبطة بالاتصالات وتكنولوجيا المعلومات. يأتي القانون في هذه التغيرات في مرتبة أخيرة بعد نشأة واستقرار أي تطور تكنولوجي.

لذلك، تفرض الضرورة العملية حاجة إلى فهم طبيعة التطور وإقرار قواعد قانونية تتعلق به، بالإضافة إلى في الإشكاليات الفنية العملية التي تواجهها جهات الخبرة في هذا الشأن.

تتعلق النقطة الثانية بالمخاوف من الإسراف في عملية التشريعات في القضايا والموضوعات ذات الصلة بقطاع الاتصالات. يجعل هذا من مركز حماية البيانات ضابط أو منظم له القدرة على الحد من التوسع في أي تشريعات قد تضر بعملية حماية البيانات.

لمزيد من التوضيح يمكن الإشارة إلى النمط التشريعي لفهم هذه النقطة. فقد يرد في مواد إصدار القوانين أو في صدر أحد النصوص القانونية عبارات مثل “بعد الرجوع لقانون حماية البيانات” أو “بما لا يتعارض مع القواعد المنظمة لقانون حماية البيانات.”

يُفهم من هذه العبارات أن المشرع يدرك أن قواعد القانون قد تتماس مع الحماية المقررة للبيانات الشخصية، إلا أن ما يحدث غالبًا يكون عكس ذلك. كثيرًا ما تتضمن هذه القوانين نصوصًا قد تمثل اعتداءًا على قواعد حماية البيانات.

لذلك، وجود نصوص تلزم المشرع بالأخذ برأي مركز حماية البيانات هو ضمانة أساسية يجب توافرها لوجود خط تشريعي واضح للتعامل مع قواعد حماية البيانات. كما أنه من المهم وجود جهة قادرة على أن تعترض بوضوح على النصوص التي قد تمثل اعتداءً على البيانات.

تضمن قانون حماية البيانات نصًا يؤكد على هذا الأمر. نصت المادة 19 من القانون على أن من صلاحيات مركز حماية البيانات “إبداء الرأي في مشروعات القوانين والاتفاقيات الدولية التي تنظم البيانات الشخصية أو تتعلق أو تنعكس نصوصها بصورة مباشرة أو غير مباشرة عليها.” إلا أن هذه الصياغة تعد معيبة وتحمل النص أكثر من معنى.

تشير عبارة “إبداء الرأي” إلى أن دور مركز حماية البيانات هو استشاري. وعلى الرغم من أهمية الدور الاستشاري إلا أنه في النهاية غير ملزم. يعني هذا أن المركز لا يمتلك صلاحية حقيقية.

يمكن التأكيد على إلزامية آراء المركز عن طريق آليتين. الأولى هي الإبقاء على الدور الاستشاري المتمثل في عملية إبداء الرأي مع إضافة حق المركز في الاعتراض على مشاريع القوانين. يكون ذلك من خلال آلية اعتراض واضحة ومدد زمنية يتم عن طريقها توضيح جوانب الاعتراض والحلول المقترحة. الثانية هي إلزام الجهات المقترحة لمشروعات القوانين بالحصول على موافقة المركز قبل البت فيها.

تعد الآليتين محاولة لمشاركة جادة وحقيقية في عملية صناعة القوانين. إلا أن هذه المحاولات لا تغني عن ضرورة وجود حوار مجتمعي حول القوانين بشكل عام، وأخذ رأي أصحاب المصلحة بشكل خاص.

إبداء الرأي الفني كجهة خبرة أمام جهات التقاضي

تشير المادة 19 من قانون حماية البيانات إلى اختصاصات مركز حماية البيانات. تتضمن هذه الاختصاصات “تقديم جميع أنواع الخبرة والاستشارات المتعلقة بحماية البيانات الشخصية، وعلى الأخص لجهات التحقيق والجهات القضائية.”

لم يتضمن القانون تفصيلات واضحة عن الآلية التي يتم من خلالها تقديم خدمات الدعم الفني أو أعمال الخبرة. لذلك، يجب أن تتضمن اللائحة التنفيذية تفاصيل أكثر دقة حول هذا الدور لتجيب على النقاط التالية:

  • إعداد سجلات الخبراء والفنيين: يجب أن تعطي اللائحة التنفيذية لقانون حماية البيانات لمركز حماية البيانات صلاحيات إنشاء سجل خاص. يُقيد بهذا السجل الخبراء العاملون بالمركز والخبراء المستقلون ممن يمكن الاستعانة بهم أمام جهات التحقيق والتقاضي، أو لإعداد تقارير موازية للتقارير الصادرة من الأطراف المختلفة. كما يجب أن تحدد اللائحة ضوابط وشروط الالتحاق بهذه السجلات.
  • حجية التقارير الفنية الصادرة لجهات التحقيق والتقاضي: لم يتضمن قانون حماية البيانات أي تفصيلات واضحة عن أعمال الخبرة ومدى حجية الآراء الفنية الصادرة عن المركز وكيفية الطعن على هذه التقارير. يمكن في هذا الشأن اعتماد القواعد العامة المنصوص عليها في القوانين الأخرى مثل قانون الإجراءات الجنائية. لكن تجدر الإشارة إلى أن الطرح الأخير يتناقض مع الفلسفة التي تبناها المشرع التي كانت تهدف إلى وجود قانون متكامل ينظم كافة التفاصيل المتعلقة بالبيانات الشخصية. لذلك، من الأفضل أن يفرد قسم خاص للقواعد الإجرائية والتي من بينها حجية التقارير الفنية وكيفية الطعن عليها وإمكانية انتداب الخبراء.
  • الاستقلال الفني وعدم جواز التدخل في أعمال الخبرة: يجب أن يكون هناك وضوح في موقف المشرع المصري من جهات الخبرة في مجال الاتصالات وتكنولوجيا المعلومات. يوجد بالفعل خبراء بالجهاز القومي لتنظيم الاتصالات وسيكون هناك خبراء بمركز حماية البيانات، وقد تتزايد الجهات بمرور الوقت. لذلك، من المهم أن يكون هناك رؤية شاملة لكيفية عمل جهات الخبرة، وتحديد أدوارها وكيفية عملها، وقواعد المسائلة التأديبية لهذه الفئات.
  • الفصل بين وظيفة المركز في تحريك البلاغات ودوره كجهة خبرة: يلعب مركز حماية البيانات أدوار مختلفة. من بين تلك الأدوار الدور الرقابي، ودور إصدار التصاريح وشهادات الاعتماد، والدور المتعلق بالتحقيق في البلاغات والشكاوى. من جهة أخرى، يلعب المركز دورًا فنيًا كجهة خبرة. لذلك، توجد حاجة لوجود ضوابط تتعلق بالفصل الكامل بين الأقسام التي تقدم الرأي الفني كجهة خبرة وبين الأقسام الأخرى التي قد تكون ذات صلة بالتحقيق في الشكاوى.

الدور الإرشادي لمركز حماية البيانات

وضع مناهج وأدلة لتدريب الشركات والهيئات والأفراد

من المهم النظر إلى الأدوار والاختصاصات المختلفة التي يقوم بها مركز حماية البيانات على أنها أدوار متكاملة. لا يجب الفصل بين كل دور وآخر. لذلك، بجانب الدور الرقابي والإجرائي للمركز في منح التراخيص وشهادات الاعتماد لا بد من وجود دور إرشادي لضبط الأنشطة المرتبطة باستخدام البيانات الشخصية. يعد هذا الأمر جزءًا أصيلًا من عملية حوكمة البيانات الشخصية.

غياب الدور الإرشادي للمركز يعني أن كل شخص أو جهة مرخص لها القيام بأنشطة ذات صلة بالبيانات الشخصية سوف تعمل بطريقة مختلفة. بالإضافة إلى ذلك، دور المركز في إصدار مناهج تعليمية وأدلة تدريبية سيكون له انعكاس مباشر على انخفاض الخروقات غير العمدية للبيانات الشخصية، بالأخص التي يمكن أن تحدث كنتيجة لنقص الخبرات.

كذلك يتعين تزويد الجهات ذات الصلة بإنفاذ القانون بخلاف المركز، مثل الأجهزة الأمنية وجهات التحقيق والجهات القضائية بقدر من المعرفة يساعدها على تنفيذ أدوارها ذات الصلة بإنفاذ قانون حماية البيانات بفعالية وكفاءة.

على الرغم من أهمية الدور الإرشادي للمركز إلا أن قانون حماية البيانات لم يولي له الاهتمام الكافي. اكتفى القانون بالمرور السريع على هذا الدور في المادة 19 التي تنظم كافة اختصاصات المركز.

إنشاء إدارة متخصصة بالمركز للقيام بالدور الإرشادي سيعظم من هذا الدور. وفيما يلي بعض الأنشطة التي يمكن أن تقوم عليها هذه الإدارة:

  • برامج التدريب المباشر: تنظيم وإجراء ورش عمل وندوات ودورات عبر الإنترنت حول جوانب مختلفة لحماية البيانات، مصممة خصيصًا لمختلف القطاعات والمهن. تزود هذه البرامج العاملين بالمهارات العملية للتعامل مع البيانات الشخصية بشكل آمن ووفقًا لقواعد مهنية.
  • برامج الشهادات: تطوير وتقديم شهادات متخصصة في حماية البيانات للمهنيين العاملين في المجالات عالية المخاطر. توفر هذه البرامج معرفة متعمقة وتثبت الكفاءة في ممارسات حماية البيانات.
  • التعاون التعليمي: قد يتعاون مركز حماية البيانات مع الجامعات والجمعيات المهنية ومعاهد التدريب لتطوير وتوفير حماية مناهج البيانات. يساعد ذلك على دمج الوعي بحماية البيانات في برامج التعليم والتدريب.
  • حملات التوعية: قد يحتاج مركز حماية البيانات إلى تنظيم حملات توعية تستهدف صناعات أو مجموعات معينة من مسؤولي حماية البيانات. يمكن لهذه الحملات زيادة الفهم العام لقواعد حماية البيانات وتشجيع الممارسات المسؤولة في التعامل مع البيانات.
  • تطوير أدلة عملية: تستهدف هذه الأدلة الإجابة على الأسئلة العملية والشائعة حول موضوعات محددة لحماية البيانات، مثل جمع البيانات، وطلبات الوصول، وانتهاكات البيانات، ومراقبة مسؤولي حماية البيانات. توفر هذه الموارد للعاملين معلومات سهلة الوصول بالإضافة إلى أفضل الممارسات للامتثال.
  • إصدار إرشادات خاصة بالقطاع: يحتاج مركز حماية البيانات إلى إنشاء وثائق توجيهية متخصصة تستهدف قطاعات معينة مثل الرعاية الصحية أو المالية أو التعليم. تتناول هذه الإرشادات تحديات ومخاطر معالجة البيانات ذات الصلة بهذه القطاعات.
  • الحفاظ على الموارد عبر الإنترنت: يجب أن يعمل مركز حماية البيانات على وجود مواقع مخصصة تحتوي على معلومات شاملة حول قوانين حماية البيانات واللوائح وأفضل الممارسات. ستعمل هذه المواقع كموارد قيمة للعاملين للتشاور والبقاء على اطلاع دائم بتطورات حماية البيانات.

إصدار التحذيرات والنشرات الخاصة بخرق البيانات

من أهم الوظائف التي يقوم بها مركز حماية البيانات هي إصدار التحذيرات العامة والنشرات المتعلقة بحدوث اختراق للبيانات الخاصة. يرتبط هذا الدور بثقة عموم المستخدمين في جدية عمل المركز. لذلك، يجب أن تتضمن اللائحة التنفيذية بعض الضوابط في عملية نشر التحذيرات، من بينها:

  • سرعة نشر المعلومات الأولية حول حجم وطبيعة البيانات التي تم اختراقها.
  • النشر المستمر حول التطورات والإجراءات التي اتخذها المركز في عملية الاختراق.
  • الإرشادات الأولية التي يجب أن يتبعها المستخدمين أو الأطراف الثالثة المتأثرة بالخروقات.
  • توجيه المستخدمين إلى الإجراءات القانونية التي يمكن اتخاذها.
  • تجنب نشر معلومات غامضة أو غير محددة حول عمليات الاختراق.
  • نشر التقديرات الأولية التي يرى المركز أنها أحد أسباب الاختراق.
  • رفع مستوى التحذيرات في حالة كون البيانات المخترقة بيانات ذات طبيعة حساسة.

دور المركز في التعاون المحلي والدولي

قواعد للتعاون الدولي مع الهيئات النظيرة

تتطلب الطبيعة الخاصة لاختصاصات مركز حماية البيانات قيامه بالتواصل والتنسيق مع الجهات النظيرة له في دول أو اتحادات دولية أو منظمات معنية بحماية البيانات. يعد هذا التواصل أمر ضروري لتبادل الخبرات أو للتحقيق في بعض الشكاوى.

للقيام بهذا الدور المهم على المركز أن يتحلى بعناصر الشفافية اللازمة. وقد يأخذ التعاون الدولي أحد الأشكال التالية، على سبيل المثال:

  • اتفاقات وبروتوكولات التعاون الفني.
  • القرارات الأولية والنتائج النهائية للتحقيقات العابرة للحدود (التحقيقات المشتركة).
  • الاتفاقات الثنائية المبرمة لتبادل المعلومات المتعلقة بحماية البيانات أو طلبات المساعدة المتبادلة.

يحتاج مركز حماية البيانات أن يتبع في أمثلة التعاون الدولي التي تم ذكرها مجموعة من القواعد الإلزامية، من بينها:

النشر الاستباقي والطوعي

لا بد من وجود قواعد تلزم المركز بالنشر الطوعي دون الحاجة للتقدم بطلب. النشر هنا يتضمن بشكل عام كافة الأنشطة الرئيسية للمركز، وبشكل خاص المعلومات الأساسية لأنشطة التعاون الدولي. يجب أيضًا أن يتم النشر في أسرع وقت ممكن وفي مكان/قسم واضح مخصص لنشر الأخبار المتعلقة بأنشطة التعاون الدولي. بالإضافة إلى نشر المرفقات المتعلقة بنصوص الاتفاقات والتحقيقات المشتركة.

الوضوح في نشر المعلومات

يجب أن يتجنب مركز حماية البيانات السكوت عن أنشطة التعاون الدولي، أو نشر الأخبار المقتضبة حول سبل التعاون، أو التراخي في عملية النشر بما يضعف ثقة المستخدمين في عمل المركز.

الإعلان والنشر المستمر عن التحقيقات المشتركة

يجب النص صراحة على النشر المستمر حول التحقيقات المشتركة العابرة للحدود. لا يجب الاكتفاء بالتقارير الأولية المتعلقة بالبدء في التحقيقات، بل يجب أن يمتد النشر للتطورات المتعلقة بالتحقيقات في مراحلها المختلفة، والنشر الكامل للنتائج النهائية.

النشر واسع النطاق عن الخروقات المبلغ عنها من جهات نظيرة

يدخل ضمن سبل التعاون الدولي إبلاغ الهيئات المعنية بحماية البيانات لبعضها البعض في حالة حدوث خروقات، خاصة الخروقات المتعلقة بأنشطة شركات التكنولوجيا الكبرى. في هذه الحالات، يجب على مركز حماية البيانات المصري أن يقوم بالنشر الفوري وواسع النطاق للمعلومات الأولية المتعلقة بالخروقات بالإضافة إلى نشر تعليمات وإرشادات حول كيفية التعامل مع هذا الأمر.

نشر ملخص لأنشطة التعاون الدولي بالتقارير الدورية

يجب أن يتضمن قانون حماية البيانات أو لائحته التنفيذية نصًا ناظمًا يلزم من خلاله المركز بوجود قسم مخصص بالتقارير الدورية والتقارير المرحلية. يتم من خلال هذه التقارير الإشارة إلى أهم التطورات في أنشطة التعاون الدولي. كما يجب أن تتضمن هذه التقارير التحديات التي واجهت المركز أثناء عمله في هذا المجال وخططه في التعاون مع الجهات النظيرة.

بناء الشراكات مع أصحاب المصلحة المختلفين

يلعب مركز حماية البيانات دور المنظم بين الأطراف المختلفة التي تمارس أنشطة تتعلق بالبيانات الشخصية. جزء من اكتمال مهام المركز يعتمد على قدرته على التواصل مع هذه الأطراف.

لذلك، يجب أن يكون هناك آليات تدعم التواصل الدائم بين المركز وأصحاب المصلحة المختلفين. تشمل تلك الآليات غرف الصناعات المرتبطة، مثل غرفة صناعة تكنولوجيا المعلومات، وكذلك أي شكل من التنظيمات يجمع أصحاب المهن المرتبطة، مثل الروابط المهنية والنقابات، وكذلك الأشخاص الاعتبارية الممثلة لمتلقي الخدمة مثل جمعيات حماية المستهلك وغيرها من الجهات.

لتحقيق ذلك يجب النص صراحة على تعيين مسؤول أو إنشاء إدارة بالمركز. تختص هذه الإدارة بالتواصل الدوري مع أصحاب المصلحة المختلفين وتلقي اقتراحاتهم وشكاويهم، وعقد لقاءات دورية نصف سنوية تجمع الأطراف المختلفة لتبادل الآراء حول أوضاع قضايا حماية البيانات، والاستماع إلى أي تطورات قد تؤثر على أنشطتهم. كما يجب أن يتم نشر محاضر الاجتماعات مع أصحاب المصلحة في قسم مخصص لذلك على موقع مركز حماية البيانات الشخصية.