يدخل مشروع قانون الحكومة بشأن حماية البيانات الشخصية محطته الأخيرة داخل البرلمان، لاسيما بعدما أعلن النائب أحمد بدوى، رئيس لجنة الاتصالات وتكنولوجيا المعلومات، الانتهاء منه تمهيداً لمناقشته بالجلسات العامة للمجلس قبل نهاية دور الإنعقاد الحالى، كأحد القوانين الهامة وانطلاقة تشريعية نحو تأمين البيانات الشخصية للمواطنين، لاسيما مع خلو التشريعات القائمة من إطار قانونى ينظم حماية البيانات الشخصية المعالجة إلكترونياً أثناء جمعها أو تخزينها أو معالجتها.
ويأتى القانون ليحقق العديد من المزايا والمكاسب، والتى أكد عليها ممثلو الحكومة أثناء مناقشته سواء للدولة المصرية أو المواطنين، حيث يعمل على حماية وتشجيع الاستثمارات والقطاعات الاقتصادية المختلفة في مصر والتى تتعامل مع بيانات لأفراد طبيعين سواء داخل مصر أو خارجها، مثل شركات الطيران، الفنادق، شركات السياحة، المستشفيات، المعامل الطبية، البنوك، شركات التأمين، تكنولوجيا المعلومات وغيرها من المؤسسات، بالإضافة إلى تعزيز الشموال المالى لاسيما بعد إعلان البنك المركزى استراتيجية التكنولوجيا الرقمية.
ويلعب القانون دوراً هاماً في تحسين مؤشرات حقوق الإنسان بالنسبة لمصر، انطلاقًا من أن الحفاظ على البيانات الشخصية حق من حقوق الإنسان، حيث يعمل علي حماية البيانات الشخصية للمواطنين المصريين وضمان وجود إطار قانوني حاكم لجمع وتخزين ومعالجة بياناتهم ووضع ضوابط لنقل تلك البيانات خارج البلاد وتنظيم واستغلال تلك البيانات في أنشطة التسويق الإليكتروني.
مكسب أخر يُحققه القانون الجديد، حسبما أكد مسؤؤل وزارة الاتصالات وتكنولوجيا المعلومات محمد حجازى، لاسيما فى ظل اللائحة الجديدة التى اعتمدها الاتحاد الأوروبي، وفرضت قيود مع المتعاملين معه لحماية بيانات المواطنين الأوروبيين، وبالتالى هذه القيود سيتم فرضها على كافة القطاعات داخل الدول الأخرى ومن بينها مصر والتى يتعامل معها مواطنون أوروبيون سواء كان قطاع سياحى أو فنادق أو استثمار ومعاملات تجارية.
ويعرف قانون "البيانات الشخصية" بأنه أى بيانات متعلقة بشخص طبيعي محدد أو يمكن تحديده بشكل مباشر أو غير مباشر عن طريق الربط بينها وبين بيانات أخرى، ومنها علي سبيل المثال الأسم أو الصوت، أو الصورة أو رقم تعريفي أو محدد للهوية علي الإنترنت، أو أي بيانات تحدد الهوية النفسية أو الصحية أو الاقتصادية أو الثقافية أو الإجتماعية، أما "البيانات الشخصية الحساسة"، فهي بيانات الصحة النفسية أو العقلية أو البدنية أو الجينية أو بيانات القياسات الحيوية "البيومترية" أو البيانات المالية أو المتعقدات الدينية أو الأراء السياسية أو الحالة الأمنية، وفي جميع الأحوال تُعد بيانات الأطفال من البيانات الشخصية الحساسة.
ويضمن القانون، مستوى مناسب من الحماية القانونية والتقنية للبيانات الشخصية المعالجة إلكترونيًا، وتقنين وتنظيم أنشطة استخدام البيانات الشخصية فى عمليات الإعلان والتسويق على الإنترنت وفى البيئة الرقمية بشكل عام، ويضع إطار إجرائى لتنظيم عمليات نقل البيانات عبر الحدود، وضمان حماية بيانات المواطنين وعدم نقلها أو مشاركتها مع دول لا تتمتع فيها البيانات بالحماية.
وأكدت المادة (2) بشكل واضح، عدم جواز جمع البيانات الشخصية أو معالجتها أو الأفصاح عنها بأية وسيلة من الوسائل إلا بموافقة صريحة من الشخص صاحب البيانات أو في الأحوال المُصرح بها قانوناً، ويكون لصاحب البيانات عدد من الحقوق في مقدمتها العلم والإطلاع والوصول والحصول علي البيانات الشخصية الخاصة به الموجودة لدي أي حائز أو متحكم أو معالج، العدول عن الموافقة المسبقة علي الاحتفاظ أو معالجة بياناته الشخصية، والاعتراض علي معالجة البيانات الشخصية أو نتائجها متي تعارضت مع الحقوق والحريات الاساسية للشخص المعنى بالبيانات.
واشترط القانون في مادته الثالثة، لجمع ومعالجة البيانات الشخصية والاحتفاظ بها عدد من الشروط، ومنها أن تجمع لأغراض مشروعه ومحددة ومعلنه للشخص المعني، أن تكون صحيحة وسليمة ومؤمنة، أن تعالج بطريقة مشروعة وملائمة للأغراض التي تم تجميعها من أجلها، ألا يتم الاحتفاظ بها لمدة أطول من المدة اللازمة للوفاء بالغرض المحدد لها،ويُعاقب القانون بغرامة لا تقل عن 100 ألف جنية ولا تجاوز مليون جنية، كل حائز أو متحكم أو معالج امتنع دون مقتضي من القانون من تمكين الشخص المعني بالبيانات من ممارسة حقوقة الوارد بالمادة (2) ويعاقب بغرامة لا تقل عن 200 ألف جنية ولا تجاوز مليوني جنية كل من جمع بيانات شخصية دون توفر الشروط المنصوص عليها بالمادة (3).
ويحظر القانون، علي المتحكم أو المعالج سواء كان شخصاً طبيعياً أو إعتباريا جمع أو نقل أو تخزين أو حفظ أو معالجة بيانات شخصية حساسة أو إتاحتها إلا بترخيص من مركز حماية البيانات الشخصية المزمع إنشاءه بموجب القانون، مع إلزامة بالحصول علي موافقة كتابية وصريحة من صاحب البيانات أو في الأحوال المصرح بها قانونا، وفي حالة بيانات الأطفال دون سن الـ16 عاماً يلزم موافقة ولي الأمر، ويجب ألا تكون مشاركة الطفل في لعبة، أو مسابقة، أو أي نشاط أخر، مشروطة بتقديم بيانات شخصية للطفل تزيد علي ماهو ضرورى للمشاركة في ذلك، وفقا للمعايير والضوابط التي تحددها اللائحة التنفيذية للقانون.
كما حظر في مادته (14) إجراء عمليات نقل أو تخزين أو مشاركة البيانات الشخصية التي تم جمعها أو تجهيزها للمعالجة إلي دولة أجنبية إلا بتوفر مستوي من الحماية لا يقل عن تلك المنصوص عليها في هذا القانون، وبترخيص من مركز حماية البيانات الشخصية.
وأستثناءاً من حكم المادة السابقة، يجيز القانون في مادته (15) الموافقة الصريحة للشخص صاحب البيانات الشخصية أو من ينوب عنه، نقل أو مشاركة أو تداول أو معالجة البيانات الشخصية إلي دولة لا يتوفر فيها مستوي الحماية المنصوص عليها وذلك في عدد من الحالات، ومنها المحافظة علي حياة الشخص صاحب البيانات وتوفير الرعاية الطبية أو العلاج، تنفيذ إلتزامات بما يضمن إثبات أو ممارسة حق أمام العدالة أو الدفاع عنه، إجراء تحويلات نقدية إلي دولة أخرى وفقا لتشريعاتها المحددة والسارية، ويعاقب القانون المخالف لأحكام حركة البيانات الشخصية عبر الحدود، بالحبس مدة لا تقل عن ثلاثه شهور وبغرامة لا تقل عن 500 ألف جنية ولا تجاوز 5 ملايين جنية أو إحداهما.
ونظم القانون التعامل مع البيانات الشخصية عبر التسويق الإليكتروني، حيث اشترطت (17) لإجراء أي اتصال إليكتروني بغرض التسويق المباشر لصاحب البيانات الشخصية، توافر عدد من الشروط ومنها الحصول علي موافقة مسبقة من صاحب البيانات أو إذا كان الأتصال الإليكتروني يتسق مع غرض ونشاط المتحكم في التسويق لمنتجاته وخدماته دون الإخلال بمصالح وحقوق الشخص المعني بالبيانات، أن يتضمن الاتصال هوية منشئه ومرسلة، الإشارة بأن الاتصال الإليكتروني مرسل لأغراض التسويق المباشر، وضع آليات واضحة لتمكين الشخص صاحب البيانات من رفض الاتصال الإليكتروني أو العدول عن موافقته علي إرسالها.
كما وضع القانون في المادة (18) التزامات علي المرسل لأي اتصال إليكتروني بغرض التسويق المباشر، ومنها الغرض التسويقي المٌحدد، عدم الإفصاح عن بيانات للشخص المعني بالبيانات، الاحتفاظ بسجلات إليكترونية مثُبتا بها موافقة الشخص المعني بالبيانات وتعديلاتها أو عدم اعتراضة علي استمرارة بشأن تلقي الأتصال الإليكتروني لمدة 3 سنوات من تاريخ اخر إرسال، ويٌعاقب بغرامة لا تقل عن 100 ألف جنية ولا تجاوز مليوني جنية كل من خالف أحكام التسويق الإليكتروني بالمادتين (17، 18)
وأنشا القانون مركز لحماية البيانات الشخصية، يهدف لحماية البيانات الشخصية وتنظيم معالجتها وإتاحتها، وألزم "المتحكم والمعالج"، حال علمهم بوجود خرق أو انتهاك مؤثر علي البيانات الشخصية لديه بإبلاغ المركز خلال 24 ساعة، والذي يقوم بدوره بالإخطار الفورى لجهات الأمن القومي بالواقعة، كما يلتزم بموافاته خلال 72 ساعه من تاريخ علمه، بما يأتي، وصف طبيعة الخرق أو الانتهاك، وصورته وأسبابه والعدد التقريبي للبيانات الشخصية وسجلاتها، بيانات مسئول حماية البيانات الشخصية لدية، الأثار المحتملة لحادث الخرق أو الانتهاك،وصف الإجراءات المتخذة والمقترح تنفيذها لمواجهة هذا الخرق أو الانتهاك والتقليل من اثارة السلبية، توثيق الخرق أو الانتهاك للبيانات الشخصية، والأجراءات التصحيحة المتخذة لمواجهته، ويجب علي المتحكم والمعالج بحسب الأحوال، إخطار الشخص المعني بالبيانات متي كان الخرق أو الانتهاك مؤثراً علي مصالحه وحقوقه الأساسية، وذلك خلال 10 أيام عمل من تاريخ الإبلاغ وما تم اتخاذه من إجراءات، ويُعاقب المخالف لحكم المادة بغرامة لا تقل عن 300 ألف جنية ولا تجاوز 3 ملايين جنية.
ويعاقب بالحبس مدة لا تقل عن 3 أشهر وغرامة لا تقل عن 500 ألف جنية ولا تجاوز 5 ملايين جنية أو إحداهما كل حائز أو متحكم أو معالج أو مسئول حماية البيانات الشخصية، جمع أو أتاح أو تداول أو عالج أو افشي أو خزن أو نقل أو حفظ بيانات شخصية حساسة بدون موافقة الشخص المعني بالبيانات أو فى غير الأحوال المصرح بها قانونا.