يبدأ مجلس النواب، برئاسة الدكتور على عبد العال، فى مناقشة مشروع قانون الحكومة حول حماية البيانات الشخصية، فى ضوء تقرير لجنة الاتصالات وتكنولوجيا المعلومات، كانطلاقة تشريعية نحو تأمين البيانات الشخصية للمواطنين، لاسيما مع خلو التشريعات القائمة من إطار قانونى ينظم حماية البيانات الشخصية المعالجة إلكترونياً أثناء جمعها أو تخزينها أو معالجتها.
ومن هذا المنطلق جاء القانون ليكشف عن صور حق الأشخاص فى حماية البيانات الشخصية لهم، ويُجرم جمع البيانات الشخصية بطرق غير مشروعة أو بدون موافقة أصحابها، وتجريم معالجتها بطرق تدليسية أو غير مطابقة للأغراض المُصرح بها من قبل صاحب البيانات وتنظيم نقل ومعالجة البيانات عبر الحدود بما يعود بالنفع على المواطنين وعلى الاقتصاد القومى بما يسهم فى حماية الاستثمارات والأعمال، كما يتوافق مع المعايير الدولية فى مجالات حماية البيانات الشخصية، وذلك من خلال قواعد ومعايير واشتراطات يضعها، ويباشر الإشراف عليها المركز المنشأ لهذا الغرض.
ويشير التقرير البرلماني، إلى أهمية مشروع القانون الذى يأتى ليتواكب مع المعيار العالمى الخاص بحماية البيانات الشخصية حالياً فى العالم فالمعيار الأساسى وهو اللائحة العامة لحماية البيانات الشخصية (GDPR) وهذه هى القواعد الذهبية الموجودة فى العالم لحماية البيانات الشخصية للمستخدمين، والعمل حماية خصوصية البيانات بشأن المواطنين والمؤسسات المختلفة داخل وخارج الدولة ويضمن حماية الاستثمارات الوطنية لاسيما المتعاملة مع الاتحاد الأوروبى.
ويضع القانون التزامات على المتحكم والمعالج فى البيانات ليضمن تطبيق معايير حوكمة تكنولوجيا المعلومات داخل المؤسسات المختلفة ويحد من عمليات انتهاك خصوصية البيانات الشخصية.
ويضمن القانون، مستوى مناسب من الحماية القانونية والتقنية للبيانات الشخصية المعالجة إلكترونيًا ومكافحه انتهاك خصوصيتهم، وتقنين وتنظيم أنشطة استخدام البيانات الشخصية فى عمليات الإعلان والتسويق على الإنترنت وفى البيئة الرقمية بشكل عام، ويضع إطار إجرائى لتنظيم عمليات نقل البيانات عبر الحدود، وضمان حماية بيانات المواطنين وعدم نقلها أو مشاركتها مع دول لا تتمتع فيها البيانات بالحماية، وإلزام المؤسسات والجهات والأفراد المتحكمين فى البيانات الشخصية، والمعالجين لها بتعيين مسئول لحماية البيانات الشخصية داخل مؤسساتهم وجهاتهم، بما يسمح بضمان خصوصية بيانات الأفراد، واقتضاء حقوقهم المنصوص عليها فى هذا القانون.
ويضع القانون، إجراءات لتنظيم عمليات نقل البيانات عبر الحدود وضمان حماية بيانات المواطنين وعدم نقلها أو مشاركتها مع دول لا تتمتع فيها البيانات بالحماية، كما تنظيم العمليات المعالجة إلكترونية للبيانات الشخصية، وإصدار تراخيص لمن يقوم بها، وعلى الأخص فيما يتعلق بالبيانات الشخصية الحساسة "ذات الطابع الخاص"،إنشاء مركز حماية البيانات الشخصية كهيئة عامة يكون مختصاً بتنظيم والإشراف على تنفيذ أحكام القانون.
وينص القانون بشكل واضح على عدم جواز جمع البيانات الشخصية أو معالجتها أو الإفصاح عنها بأية وسيلة من الوسائل إلا بموافقة صريحة من الشخص صاحب البيانات أو فى الأحوال المُصرح بها قانوناً، ويكون لصاحب البيانات عدد من الحقوق فى مقدمتها العلم والإطلاع والوصول والحصول على البيانات الشخصية الخاصة به الموجودة لدى أى حائز أو متحكم أو معالج، العدول عن الموافقة المسبقة على الاحتفاظ أو معالجة بياناته الشخصية، والاعتراض على معالجة البيانات الشخصية أو نتائجها متى تعارضت مع الحقوق والحريات الاساسية للشخص المعنى بالبيانات.وعاقب بغرامة لا تقل عن 100 ألف جنيه ولا تجاوز مليون جنية، كل حائز أو متحكم أو معالج امتنع دون مقتضى من القانون من تمكين الشخص المعنى بالبيانات من ممارسة هذه الحقوق.
كما عاقب بغرامة لا تقل عن 200 ألف جنيه ولا تجاوز مليونى جنيه كل من جمع بيانات شخصية دون توفر الشروط المنصوص عليها بالمادة (3)، والتى اشترطت لجمع ومعالجة البيانات الشخصية والاحتفاظ بها عدد من الشروط، ومنها أن تجمع لأغراض مشروعه ومحددة ومعلنه للشخص المعني، أن تكون صحيحة وسليمة ومؤمنة، أن تعالج بطريقة مشروعة وملائمة للأغراض التى تم تجميعها من أجلها، ألا يتم الاحتفاظ بها لمدة أطول من المدة اللازمة للوفاء بالغرض المُحدد لها.
وفرض القانون ، غرامة لا تقل عن 100 ألف جنيه ولا تجاوز مليون جنيه كل حائز أو متحكم أو معالج جمع أو أفشى أو أتاح أو تداول بيانات شخصية معالجة إليكترونيا بأى وسيلة من الوسائل فى غير الأحوال المصرح بها قانونا، أو بدون موافقة الشخص المعنى البيانات.
وتكون العقوبة الحبس مدة لا تقل عن 6 أشهر وبغرامة لا تقل عن 200 ألف جنيه ولا تجاوز مليونى جنيه أو إحداهما إذا أُرتكب ذلك مقابل الحصول على منفعة مادية أو أدبية أو إذا ترتب على ذلك تعريض الشخص المعنى للبيانات للخطر أو الضرر.
وأنشا القانون مركز لحماية البيانات الشخصية، لحماية البيانات الشخصية وتنظيم معالجتها وإتاحتها، وألزم "المتحكم والمعالج"، حال علمهم بوجود خرق أو انتهاك مؤثر على البيانات الشخصية لديه بإبلاغ المركز خلال 24 ساعة، والذى يقوم بدوره بالإخطار الفورى لجهات الأمن القومى بالواقعة، كما يلتزم بموافاته خلال 72 ساعة من تاريخ علمه، بما يأتى، وصف طبيعة الخرق أو الانتهاك، وصورته وأسبابه والعدد التقريبى للبيانات الشخصية وسجلاتها، بيانات مسئول حماية البيانات الشخصية لدية، الآثار المحتملة لحادث الخرق أو الانتهاك، وصف الإجراءات المتخذة والمقترح تنفيذها لمواجهة هذا الخرق أو الانتهاك والتقليل من إثارة السلبية، توثيق الخرق أو الانتهاك للبيانات الشخصية، والإجراءات التصحيحية المتخذة ولمواجهته ويجب على المتحكم والمعالج بحسب الأحوال، إخطار الشخص المعنى بالبيانات متى كان الخرق أو الانتهاك مؤثراً على مصالحه وحقوقه الأساسية، وذلك خلال 10 أيام عمل من تاريخ الإبلاغ وما تم اتخاذه من إجراءات، ويُعاقب المخالف لحكم المادة بغرامة لا تقل عن 300 ألف جنيه ولا تجاوز 3 ملايين جنيه.
وحظر القانون، على المتحكم أو المعالج سواء كان شخصاً طبيعياً أو إعتباريا جمع أو نقل أو تخزين أو حفظ أو معالجة بيانات شخصية حساسة أو إتاحتها إلا بترخيص من مركز حماية البيانات الشخصية المزمع إنشاءه بموجب القانون، مع إلزامة بالحصول على موافقة كتابية وصريحة من صاحب البيانات أو فى الأحوال المصرح بها قانونا، وفى حالة بيانات الأطفال دون سن الـ16 عاماً يلزم موافقة ولى الأمر، ويجب ألا تكون مشاركة الطفل فى لعبة، أو مسابقة، أو أى نشاط أخر، مشروطة بتقديم بيانات شخصية للطفل تزيد على ماهو ضرورى للمشاركة فى ذلك، وفقا للمعايير والضوابط التى تحددها اللائحة التنفيذية للقانون.
وعاقب بالحبس مدة لا تقل عن 3 أشهر وغرامة لا تقل عن 500 ألف جنيه ولا تجاوز 5 ملايين جنيه أو إحداهما كل حائز أو متحكم أو معالج أو مسئول حماية البيانات الشخصية، جمع أو أتاح أو تداول أو عالج أو افشى أو خزن أو نقل أو حفظ بيانات شخصية حساسة بدون موافقة الشخص المعنى بالبيانات أو فى غير الأحوال المصرح بها قانونا.
أيضا تعرض القانون لتنظيم البيانات الشخصية عبر التسويق الإليكتروني، حيث اشترطت (17) لإجراء أى اتصال إليكترونى بغرض التسويق المباشر لصاحب البيانات الشخصية، توافر عدد من الشروط ومنها الحصول على موافقة مسبقة من صاحب البيانات أو إذا كان الاتصال الإلكترونى يتسق مع غرض ونشاط المتحكم فى التسويق لمنتجاته وخدماته دون الإخلال بمصالح وحقوق الشخص المعنى بالبيانات، أن يتضمن الاتصال هوية منشئه ومرسلة، الإشارة بأن الاتصال الإليكترونى مرسل لأغراض التسويق المباشر، وضع آليات واضحة لتمكين الشخص صاحب البيانات من رفض الاتصال الإليكترونى أو العدول عن موافقته على إرسالها.
وألزمت المادة (18) التزامات على المرسل لأى اتصال إلكترونى بغرض التسويق المباشر، ومنها الغرض التسويقى المٌحدد، عدم الإفصاح عن بيانات للشخص المعنى بالبيانات، الاحتفاظ بسجلات إليكترونية مثُبتا بها موافقة الشخص المعنى بالبيانات وتعديلاتها أو عدم اعتراضة على استمرارة بشأن تلقى الأتصال الإليكترونى لمدة 3 سنوات من تاريخ اخر إرسال، ويٌعاقب بغرامة لا تقل عن 100 ألف جنيه ولا تجاوز مليونى جنيه كل من خالف أحكام التسويق الإليكترونى بالمادتين (17، 18).