الحماية القانونية للبيانات الشخصية

تعرف البيانات ذات الطبيعة الشخصية بكونها البيانات التي يمكن عن طريقها الاستدلال على هوية شخص ما، سواءاً صرحت تلك البيانات بهوية ذلك الشخص، كاسمه مثلاً، أو احتوت في مجموعها على بيانات يمكن عن طريق معالجتها تحديد هوية هذا الشخص. أولت التشريعات الدولية المختلفة اهتماماً متعاظماً لحماية حق الأفراد في الخصوصية نظراً لإعتماد أنماط الحياة المعاصرة باطراد على البنى التكنولوجية في مختلف أوجه الإدارة والإتصال، ما نتج عنه تعاظماً في كمية البيانات التي تحوذها الدولة والمؤسسات الخاصة، ما استدعى أن ينظر المشرع بوجه العناية إلى الكيفية التي يتم بها جمع، وحفظ، ومعالجة البيانات التي يمكن أن تحتوى على معلومات خاصة بالأفراد؛ وما قد ينتج عن إساءة استخدامها من انتهاك لخصوصيتهم، وذلك في ظل فراغ تشريعي مصري يضمن خصوصية المواطنين؛ بحيث يجرم جمع البيانات الشخصية بطرق غير مشروعة، ومعالجتها بطرق تدليسية، ونقلها عبر الحدود الجغرافية، ويجرم إفشاءها؛ ما قد يعرض المواطنين لإنتهاك حرمة حياتهم الخاصة وحقهم في الخصوصية. تستعرض الورقة مفهوم البيانات الشخصية وتعرض لجهود حماية البيانات الشخصية عربياً ودولياً، ولموقف المشرع المصري من البيانات الشخصية.

تعريف البيانات الشخصية

يقصد بالبيانات الشخصية كل معلومة أو صوت أو صورة متعلقة بشخص ما، معرف أو قابل للتعرف عليه سواء بصورة مباشرة أو غير مباشرة، ولاسيما من خلال الرجوع إلي عناصر مميزة لهويته البدنية أو الفيزيولوجية أو الجينية أو النفسية أو الاقتصادية أو الثقافية أو الاجتماعية1.

عرف المشرع الفرنسي البيانات الشخصية بأنها أي معلومة تتعلق بشخص طبيعي محددة هويته أو من الممكن تحديد هويته بطريقة مباشرة أوغير مباشرة.

حيث يقصد بالبيانات الشخصية في المادة الثانية من قانون المعلوماتية والحريات الفرنسي رقم 78لسنة 1978 والمعدل بأحكام القانون الصادر في 30يناير2002 بانها :”كل المعلومات المتعلقة بشخص طبيعي محدد أو يمكن تحديده مباشرة بواسطة رقم معين، أو بواسطة عنصر أو أكثر خاص به2″. وبناءً عليه ، ذهبت محكمة النقض الفرنسية بأن كشف رب العمل عن موطن العامل بدون موافقة الأخير يعتبر اعتداء علي حياته الخاصة.

وقد توسع المجلس القومي للمعلوماتية والحريات الفرنسي في تعريف البيانات الشخصية بأنها تلك البيانات التي تسمح، عند معالجتها، بالوصول إلي البيانات الشخصية، وبذلك يشمل البيانات الغير مباشرة والغير مرتبطة بالشخص، ولكن يمكن تكون بيانات شخصية بعد إجراء عملية معالجة3.

الجهود الدولية في حماية البيانات ذات الطبيعة الشخصية

يرجع أول قانون في شأن حماية البيانات إلي مقاطعة هيسن في ألمانيا في العام 1970، وتبع ذلك صدور تشريعات في السويد عام 1973، والولايات المتحدة في 1974، وألمانيا في عام1977، وفرنسا1978، وأعقب ذلك ميلاد معاهدات وقواعد إرشادية تعد مرجعية دولية، يذكر منها المبادئ التوجيهية لمنظمة التعاون الاقتصادي والتنمية، والتي صدرت عام 1980، والمعنية بتنظيم حماية الخصوصية وتدفق البيانات الشخصية عبر الحدود، وكذلك اتفاقية مجلس أوروبا الصادرة في عام 1981، والتي تهتم بحماية الأفراد فيما يتعلق بالمعالجة الآلية للبيانات الشخصية، وبالإضافة إلى المبادئ التوجيهية بشأن معالجة البيانات الشخصية الصادرة عن الاتحاد الأوروبي.

أ) المبادئ التوجيهية لمنظمة التعاون الاقتصادي والتنمية (OECD):
أعدت منظمة التعاون الاقتصادي والتنمية في عام 1980 مجموعة قواعد لحماية الخصوصية ولضمان نقل البيانات ذات الطبيعة الشخصية عبر الحدود، ، وتبني مجلس المنظمة هذه القواعد وصدقت عليها كلاً من الولايات المتحدة الأمريكية، النمسا، نيوزلندا، بلجيكا، كندا، الدنمارك، المملكة المتحدة، فلندا، فرنسا، المانيا، اليونان، اليابان، وسويسرا.
تعد تلك المبادئ إرشادية غير ملزمة بحيث لا يتم توقيع جزاءات علي الدول الأعضاء حال مخالفتها، ولكن لا يمكن أغفال أهمية ما أنتجته تلك المبادئ من قواعد تشريعية وإدارية تتعلق بالحصول علي البيانات عبر وسائل عادلة ومشروعة، واستخدامها في الاغراض المحددة سلفاً والتي تم على أساسها جمع البيانات وذلك بعد موافقة أصاحبها، هذا بالاضافة إلي مبدأ الوقاية الأمنية للبيانات الشخصية خلال مراحل الجمع والتخزين والنقل والمعالجة، ومبدأ مشاركة الأفراد بحيث يحق للمواطنين الاطلاع علي البيانات الخاصة بهم وأحقيتهم في تعديلها ومحوها.

ب) اتفاقية مجلس أوروبا Council of Europe:
تعتبر اتفاقية مجلس أوروبا اتفاق دولي معني بحماية الأشخاص في مواجهة مخاطر المعالجة الآلية للبيانات ذات الطبيعة الشخصية، وتعد تلك الاتفاقية ملزمة للدول الأطراف، وتتضمن علي مبادئ تمثل الحدود الدنيا للقواعد التي يجب أن يتضمنها تشريع الدول الموقعة علي الإتفاقية، تتشابه هذه المبادئ مع تلك التي تقررها المبادئ التوجيهية لمنظمة التعاون الأقتصادي والتنمية (OECD).
تجسدت في تلك المبادئ ضرورة كون البيانات صحيحة، وكاملة، ومستمدة بطرق مشروعة، ويتم تحديد الفترة الزمنية للاحتفاظ بها، كما يحق للشخص المعني الإطلاع علي البيانات وتعديلها ومحوها إذا كانت غير صحيحة، ويحق أيضا للشخص المعني ملاحقة من يقوم بإفشاء تلك البيانات4 أو في حالة استخدامها في غير الأغراض المحددة سلفاً.

ج) مبادئ الاتحاد الأوروبي التوجيهية بشأن معالجة البيانات الشخصية:
سعي الاتحاد الأوروبي لتوحيد قواعد حماية الخصوصية بدءً من عام 1976 ، فقد أصدر تعليمات 8/4/76 المتعلقة بحماية الافراد من انشطة التقييم الالي للبيانات The protection of the individual against the technical evolution of informatics ، وتعليمات 8/5/79 المتعلقة بحماية الافراد في مواجهة التطور التقني لمعالجة البيانات The protection of the rights of the individual in the face of technical developments in data processing 5.
ينص التوجيه الاوروبي رقم95/46 في مادته السادسة علي المبادئ الأساسية لحماية البيانات حيث يقرر ضرورة مراعاة التعامل مع البيانات الشخصية بالشروط التالية:
1)المعالجة النزيهة والقانونية.
2) الجمع لأغراض واضحة ومحددة ومشروعة.
3) اتصال البيانات بالغرض، ومراعاة عدم معالجتها بطريقة أخري غير متوافقة مع تلك الأغراض.
4) مراعاة ان تكون البيانات دقيقة، وأن يتم تحديثها عند الضرورة، ويراعي اتخاذ كل ماهو معقول من خطوات لضمان مسح أو تصحيح البيانات غير الدقيقة أو غير الكاملة.
5) الاحتفاظ بالبيانات في شكل يسمح بتحديد صاحب البيانات لمدة لا تزيد عما هو ضروري للأغراض التي جمعت من أجلها أو يتم معالجتها من أجلها6.

تجارب الدول العربية في حماية البيانات الشخصية

تونس: أصدرت تونس قانون رقم63 لسنة 2004 الخاص بحماية المعطيات الشخصية7، وبموجبه يحظر جمع البيانات الشخصية إلا في أغراض مشروعة ومحددة وواضحة، واشترط القانون وجوب اخذ موافقة الشخص المعني بالأمر، وأناط القانون إلي الهيئة الوطنية لحماية المعطيات الشخصية منح تصاريح الحصول علي البيانات.

واشترط القانون ان تكون البيانات المجمعة لتحقيق مصلحة حيوية للشخص المعني بالأمر أولأغراض علمية ثابتة، كما اشترط القانون لإجراء عملية معالجة البيانات الشخصية ضرورة استخراج تصريح مسبق يودع بمقر الهيئة الوطنية لحماية المعطيات الشخصية.

تتمتع الهيئة الوطنية لحماية المعطيات الشخصية بالشخصية المعنوية والاستقلال المادي، و تتكون من قضاة وممثلين لوزراء الداخلية، والدفاع، والتعليم العالي، والصحة، وخبراء في مجال الاتصال، هذا بجانب أعضاء يتم اختيارهم من مجلس النواب والشخصيات المتصلة المجال، وتقدم الهيئة تقرير سنوي لرئيس الجمهورية.
كما نص القانون علي حزمة من المحظورات وهي:

  • يحظر معالجة البيانات الشخصية المتعلقة بطفل إلا بعد أخذ موافقة وليه وإذن قاضي الأسرة، ويجوز لقاضي الأسرة أن يصرح بمعالجة البيانات بدون موافقة الولي إذا اقتضت مصلحة الطفل الفضلى ذلك، وللقاضي الرجوع في الإذن.
  • يحظر استعمال البيانات الشخصية لأغراض دعائية إلا بموافقة صريحة وخاصة من الشخص المعني بالأمر .

أوجب القانون إعلام الأشخاص الذين تم جمع المعطيات عنهم مسبقاً بطلب كتابي متضمن علي نوع المعطيات الشخصية المراد معالجتها، وأهداف تلك المعالجة، ومدة حفظ المعطيات الشخصية، واسم الشخص الطبيعي أو المعنوي المستفيد من المعطيات، واسم المسؤول عن المعالجة.

نص القانون علي عقوبات ماسة بالحرية وغرامات مالية، فقرر السجن لمن يفشي البيانات إلي بلاد أجنبية في حال ان تكون متعلقة بالأمن العام أو بالمصالح الحيوية للبلاد التونسية، وأيضاً لمن تعمد إحالة المعطيات الشخصية لتحقيق منفعة شخصية أو لغيره بغرض إلحاق الضرر بالشخص المعني بالإمر.

المغرب: أصدرت المغرب قانون “حماية الأشخاص الذاتيين تجاه معالجة المعطيات ذات الطابع الشخصي” في 2009، وضع القانون إجراءات للحفاظ علي سرية المعطيات للإشخاص، وأوجب القيام بإجراءات تقنية وتنظيمية ملائمة لحماية المعطيات ذات الطابع الشخصي من الإتلاف أو الإذاعة، بالإضافة إلى حمايتها من أي شكل من أشكال المعالجة غير المشروعة. يشترط القانون الحصول إذن مسبق من اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي لمعالجة المعطيات، ويمنح هذا الإذن بناء علي موافقة الشخص المعني.

يعطي القانون للشخص المعني الحق في الحصول علي تأكيد بأن المعطيات ذات الطابع الشخصي المتعلقة به تعالج أو لا تعالج، كما يحق للشخص المعني ان يتقدم بطلب للمسؤول عن المعالجة لتصحيح المعطيات أو محوها.
وتتألف اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي من 7 أعضاء :

  1. رئيس اللجنة يعينه الملك
  2. أعضاء يتم تعينهم من الملك باقتراح من :الوزير الأول، رئيس مجلس النواب، رئيس مجلس المستشارين .

وتمتد عضوية اللجنة خمس سنوات قابلة للتجديد مرة واحدة .

ينص القانون على إلتزم أعضاء اللجنة الوطنية بكتمان السر المهني، ويحظي الأعضاء والموظفين أو الأعوان العاملين باللجنة من الحماية بالحصانة، فلا يجوز المساس بشخصهم أو أهانتهم ومن يقوم بذلك يضع نفسه تحت طائلة أحكام القانون الجنائي. كما يحظر علي المسئول عن المعالجة نقل البيانات إلي دولة أجنبية إلا إذا كانت هذه الدولة تضمن مستوي حماية كاف للحياة الشخصية وللحريات والحقوق الأساسية للأشخاص، وتعد اللجنة الوطنية قائمة الدول المتوفر فيها تلك المعايير وذلك بعد إجراء تقييم كافي لبيان مستوي الحماية الذي تضمنه دولة معينة ، وإجراءات الأمن التي تطبق فيها، واستثني القانون نقل المعطيات ذات الطابع الشخصي إلى دولة لا تتوفر فيها الشروط السابقة في حال الموافقة الصريحة للشخص الذي تخصه المعطيات ،أو في الحالات التالية:

أ)إذا كان النقل ضرورياً من أجل المحافظة علي حياة الشخص المعني، أو المحافظة علي المصلحة العامة، أو تنفيذاً لإجراء متعلق بتعاون قضائي دولي، أو الوقاية من إصابات مرضية.

ب)إذا كان النقل يتم تنفيذ لاتفاق ثنائي أو متعدد الأطراف يكون المغرب عضواً فيه.

ج)بناء علي إذن صريح ومعلل للجنة الوطنية.

خصص القانون الباب السابع للعقوبات في حال مخالفة أحكامه، فقرر المعاقبة بالحبس من ثلاثة أشهر إلي سنة وبغرامة من 000,20 إلي 000,200 درهم أو بإحدي هاتين العقوبتين لكل من يقوم بجمع معطيات ذات طابع شخصي بطريقة تدليسية، أو أنجز معالجة المعطيات بطريقة غير نزيهة أو مشروعة، أو بطريقة متعارضة مع الإغراض المحددة والمعلنة والمصرح بها.

كما قرر القانون المعاقبة بالحبس من ستة أشهر إلي سنة وبغرامة من 50.000 إلي 300.000 درهم أو بإحدي هاتين العقوبتين لكل من قام دون الموافقة الصريحة للأشخاص المعنيين؛ بمعالجة معطيات ذات طابع شخصي تبين بشكل مباشر أو غير مباشر الأصول العرقية، أو الآراء السياسية أو الفلسفية أو الدينية أو الانتماءات النقابية للأشخاص المعنيين أو المتعلقة بصحة هؤلاء.

حماية البيانات الشخصية في التشريع المصري

لم تحظ الخصوصية وحماية البيانات الشخصية بالعناية الكافية في التشريع المصري، حيث خلت البنية التشريعية من قانون خاص يحمي سرية البيانات الخاصة سواء للأفراد أو للشركات، فقد أكتفي الدستور المصري بالاشارة إلي التزام الدولة حماية الحياة الخاصة للأفراد8.

ذهبت المحكمة الدستورية العليا إلي أن “ثمة مناطق من الحياة الخاصة لكل فرد تمثل أغواراً لايجوز النفاذ إليها، وينبغي دوماً – ولاعتبار مشروع – ألا يقتحمها أحد ضماناً لسريتها، وصوناً لحرمتها، ودفعاً لمحاولة التلصص عليها، أو اختلاس بعض جوانبها، وبوجه خاص من خلال الوسائل العلمية الحديثة التي بلغ تطورها حداً مذهلاً، وكان لتنامي قدراتها علي الاختراق أثراً بعيداً علي الناس جميعهم حتي في أدق شئونهم، بل وببياناتهم الشخصية التي غدا الاطلاع عليها، وتجميعها نهباً لأعينها ولآذانها، وكثيراً ما ألحق النفاذ إليها الحرج أو الضرر بأصحابها، وهذه المناطق من خواص الحياة ودخائلها، تصون مصلحتين قد تبدوان منفصلتين، إلا أنهما تتكاملان، ذلك أنهما تتعلقان بوجه عام بنطاق المسائل الشخصية التي ينبغي كتمانها، وكذلك نطاق استقلال كل فرد ببعض قراراته الهامة التي تكون-بالنظر إلي خصائصها وآثارها- أكثر اتصالاً بمصيره وتأثيراً في أوضاع الحياة التي اختار أنماطها، وتبلور هذه المناطق جميعها-التي يلوذ الفرد بها، مطمئناً لحرمتها ليهجع إليها بعيداً عن أشكال الرقابة وأدواتها-الحق في أن تكون للحياة الخاصة تخومها بما يرعي الروابط الحميمة في نطاقها، ولئن كانت بعض الوثائق الدستورية لاتقرر هذا الحق بنص صريح فيها إلا أن البعض يعتبره من أشمل الحقوق وأوسعها، وهو كذلك أعمقها اتصالاً بالقيم التي تدعو إليها الأمم المتحضرة”9.

وعلى الرغم من عدم إيلاء المشرع المصري أهمية لوجود قانون خاص معني بحماية البيانات الشخصية، فبمراجعة بمراجعة القوانين المصرية يتضح وجود نصوص قانونية تجرم إفشاء البيانات الشخصية، حيث سلك المشرع إلي تشديد العقوبة لمن يفشي سر خصوصي أؤتمن عليه بحكم وظيفته كالاطباء والجراحين والقوابل يعاقب بالحبس مدة لا تزيد علي ستة أشهر10.
وفي هذا الاتجاه نصت المادة (9) من قانون260 لسنة1960 في شأن الأحوال المدنية المعدل بالقانون رقم 11 لسنة 1965 والقانون رقم 158 لسنة 1980 علي أن البيانات التي تحويها سجلات الأحوال المدنية تعتبر سرية11، ولما كانت هذه البيانات سراً فإن إفشائها من قبل الموظف يوقعه تحت طائلة القانون والمساءلة بموجب أحكام قانون العقوبات. كما قرر المشرع معاقبة كل من أخل بسرية البيانات الإحصائية أو أفشى بياناً من البيانات الفردية أو سرا من أسرار الصناعة أو التجارة أو غير ذلك من أساليب العمل التي يكون قد اطلع عليها بمناسبة عمله بالحبس12. كما حرص المشرع علي سرية بيانات العملاء البنكية، فحظر الإطلاع والإفشاء بغير المقرر للأشخاص والجهات المسموح لها وفقاً لأحكام القانون، و يمتد الحظر حتي بعد زوال العلاقة بين العميل والبنك13، ويسري الحظر علي جميع الأشخاص والجهات بما في ذلك الجهات التي يخولها القانون سلطة الإطلاع أو الحصول علي الأوراق أو البيانات المحظورة إفشاء سريتها طبقاً لأحكام قانون سرية الحسابات بالبنوك، ويظل هذا الحظر قائماً حتى ولو انتهت العلاقة بين العميل والبنك لأي سبب من الأسباب .

كما تنص المادة الثانية : “……وفي جميع الأحوال لا يجوز الكشف عن شخصية صاحب الحسابات أو الوديعة المرقمة إلا بإذن كتابي منه أو من أحد ورثته أو من أحد الموصي لهم بكل أو بعض هذه الأموال أو من النائب القانوني أو الوكيل المفوض في ذلك أو بناء علي حكم قضائي واجب النفاذ أو حكم محكمين نهائي”.
كما نصت المادة الخامسة علي انه “يحظر علي رؤساء وأعضاء مجالس إدارة البنوك ومديريها أو العاملين بها إعطاء أو كشف أية معلومات أو بيانات عن عملاء البنوك أو حساباتهم أو ودائعهم أو الأمانات أو الخزائن الخاصة بهم أو معاملاتهم في شأنها تمكين الغير من الإطلاع عليها في غير الحالات المرخص بها بمقتضى أحكام القانون”، ويسري هذا الحظر علي كل من يطلع بحكم مهنته أو وظيفته أو عمله بطريق غير مباشر علي البيانات والمعلومات المشار إليها.

وقد قرر المشرع عقوبات في حال الإخلال بإحكام نصوص القانون بغرامة لا تقل ألف جنيه ولا تزيد عن عشرين ألف جنيه وفقا لنص المادة السابعة.

كما حرص المشرع علي حماية بيانات الطفل؛ فقد قرر تغريم من ينشر بيانات تخص هوية طفل معرض للخطر، حيث نصت المادة 116 مكرر (ب) من قانون الطفل 12 لسنة 1996:”مع عدم الإخلال بأي عقوبة أشد ينص عليها في قانون آخر ، يعاقب بغرامة لا تقل عن عشرة آلاف جنيه ولا تجاوز خمسين ألف جنيه كل من نشر أو أذاع بأحد أجهزة الإعلام أي معلومات أو بيانات ، أو أي رسوم أو صور تتعلق بهوية الطفل حال عرض أمره على الجهات المعنية بالأطفال المعرضين للخطر أو المخالفين للقانون”

كما حظر القانون إفشاء من اتصل علمه بحكم عمله إفشاء بيانات ومعلومات متعلقة بالتوقيع الإلكتروني، ففرض المشرع على تلك البيانات السرية وقرر توقيع الغرامة لمن يخالف ذلك، كما اشترط المشرع نشر الحكم لمن يثبت ضده مخالفة القانون علي ان ينشر في جريدتين واسعتي الانتشار وذلك علي نفقة من صدر ضده الحكم بالادانة14.

وقد ابرمت حكومتي جمهورية مصر العربية و رومانيا اتفاق التعاون في مجال مكافحة الجريمة في 3/12/200315، وبمطالعة نصوص الاتفاق يتبين تبادل دولي للمعلومات وبيانات عن الأشخاص المتورطين في أنشطة وجرائم الجماعات والمنظمات الإرهابية وإنتاج وتهريب المخدرات.

فقد اشترط بند (و/10) علي مراعاة مجموعة قواعد لحماية البيانات الشخصية يتعهد الطرفان المتعاقدان الالتزام بها وعدم الاخلال بها :

“(و) في سائر حالات نقل البيانات الشخصية يتولى الطرف المتعاقد المصدر إخطار الطرف المتعاقد المتلقي بالمدة الزمنية المحددة لاستخدام البيانات التي ينبغي عقب انقضائها محو تلك البيانات وفقا لتشريعاته الوطنية بصرف النظر عن المدة الزمنية المحددة، ويجب محو أية بيانات شخصية متعلقة بأي شخص في حالة انعدام سبب حفظها، ويجب إخطار الطرف المتعاقد المصدر بأية عملية محو لمثل هذه البيانات وأسباب هذا المحو، وحال إنهاء العمل بهذا الاتفاق يجب تدمير كافة البيانات المتلقاة وفقاً لأحكامه.”

تبقى تلك النصوص القانونية نصوص متفرقة تعالج بعض أوجه الخصوصية في مجالات محددة، ويستدعى ذلك إصدار قانون ينظم طرق جمع البيانات بوسائل مشروعة، ويحدد كيفية الحفاظ عليها، ويقرر مدد حفظها والغرض المحدد لها، وكذلك كيفية استخدام البيانات ومعالجتها دون الضرر بصاحب الشأن ومعاقبة من يتجاوز ذلك، وكذلك أحقية صاحب البيانات في تعديلها أو محوها.

لتحميل الورقة مدرج بها الهوامش

Tweet about this on TwitterShare on Facebook0Share on Google+1Share on LinkedIn0Share on Tumblr0Email this to someone