عقوبات رادعة بقانون البيانات الشخصية للمخالفين

تستكمل لجنة الاتصالات وتكنولوجيا المعلومات بمجلس النواب ,  غدا الاثنين , نظر مشروع القانون المقدم من الحكومة بشأن مشروع قانون  " حماية البيانات الشخصية " وكانت اللجنة قد عقدت سلسلة اجتماعات مكثفة, طوال الأسابيع الماضية لمناقشة مواد القانون, وأخذ المقترحات بشأنها.

 

وتنص مسودة القانون , علي عدد من العقوبات للمخالفين منها :  يعاقب القانون بالحبس مدة لا تقل عن 3 أشهر وبغرامة لا تقل عن 100 ألف جنيه ولا تجاوز مليون جنيه أو بإحدى هاتين العقوبتين، كل حائز أو متحكم أو معالج امتنع دون مقتضى من القانون عن تمكين الشخص المعنى بالبيانات من ممارسة حقوقه المنصوص عليها بالمادة 2 من هذا القانون، ويعاقب بذات العقوبة كل من جمع بيانات شخصية دون توافر الشروط المنصوص عليها فى المادة «2».ويحظر القانون على «المتحكم أو المعالج» جمع أو نقل أو تخزين أو حفظ أو معالجة بيانات شخصية حساسة أو إتاحتها إلا بترخيص من المركز، مع الإلزام بالحصول على موافقة كتابية من الشخص المعنى، وفى حالة بيانات الأطفال يٌلزم موافقة ولى الأمر، مع التأكيد ألا تكون مشاركة الطفل فى لعبة أو مسابقة أو أى نشاط آخر مشروطة بتقديم بيانات شخصية للطفل تزيد على ما هو ضرورى للمشاركة فى ذلك، وفى هذا الصدد، يلتزم مسئول حماية البيانات الشخصية وتابعوه باستيفاء السياسيات والإجراءات التأمينية اللازمة لعدم خرق أو انتهاك البيانات الشخصية الحساسة.

 كما يحظر في المادة "14" إجراء عمليات نقل أو مشاركة البيانات الشخصية التى تم جمعها أو تجهيزها للمعالجة إلى دولة أجنبية إلا بتوفير مستوى من الحماية لا يقل عن المنصوص عليها فى القانون وبترخيص من المركز، وتحدد اللائحة ضوابط ذلك.وأجاز القانون فى مادته «15» حالة الموافقة الصريحة للشخص المعنى بالبيانات أو من ينوب عنه، نقل أو مشاركة أو تداول أو معالجة البيانات الشخصية إلى دولة لا يتوفر فيها مستوى الحماية المنصوص عليه فى المادة السابقة، وذلك فى 7 حالات محددة، تتمثل فى المحافظة على حياة الشخص المعنى بالبيانات وتوفير الرعاية الطبية أو العلاج أو إدارة الخدمات الصحية له، وتنفيذ التزامات بما يضمن إثبات أو ممارسة حق أمام العدالة أو الدفاع عنه، إبرام أو تنفيذ عقدم مبرم أو سيبرم بين المسئول عن المعالجة والغير لمصلحة الشخص المعنى بالبيانات، تنفيذ إجراء خاص بتعاون قضائى دولى، وجود ضرورة أو إلزام قانونى لحماية المصلحة العامة، إجراء تحويلات نقدية إلى دولة أخرى وفقًا لتشريعاتها المحدودة والسارية، وإذا كان النقل أو التداول يتم تنفيذًا لاتفاق ثنائى أو متعدد الأطراف مصر طرفًا فيه.

 

ويعاقب القانون بالحبس وبغرامة لا تقل عن 300 ألف جنيه ولا تجاوز 3 ملايين جنيه، أو بإحدى هاتين العقوبتين كل من خالف أحكام حركة البيانات الشخصية والحدود المنصوص عليها فى المواد 14، و15 من القانون، فيما تحظر المادة «17» إجراء أى اتصال إلكترونى بغرض التسويق المباشر للشخص المعنى بالبيانات إلا بتوافر شروط محددة، منها الحصول على الموافقة المسبقة من الشخص المعنى بالبيانات، وتضمين الاتصال هوية منشئه ومرسله، وأن يكون للمرسل عنوان صحيح كاف للوصول إليه، الإشارة بأن الاتصال الإلكترونى مرسل لأغراض التسويق المباشر، وضع آليات واضحة وميسرة لتمكين الشخص المعنى بالبيانات من رفض الاتصال الإلكترونى أو العدول عن موافقته على إرسالها.وألزمت المادة «18» المرسل لأى اتصال إلكترونى بغرض التسويق المباشر بالغرض التسويقى المحدد، وعدم الإفصاح

عن بيانات الاتصال للشخص المعين بالبيانات، والاحتفاظ بسجلات إلكترونية مثبتًا بها موافقة الشخص المعنى بالبيانات وتعديلاتها بشأن تلقى الاتصالات الإلكترونية التسويقية لمدة 3 سنوات من تاريخ آخر إرسال، ويعاقب بالحبس مدة لا تقل عن 3 أشهر وبغرامة لا تقل عن 100 ألف جنيه ولا تجاوز مليون جنيه أو بإحدى هاتين العقوبتين كل من خالف أحكام التسويق الإلكترونى المنصوص عليه فى المادتين 17، 18 من هذا القانون.

 

وألزم القانون «المتحكم» بموافقة الشخص المعنى بالبيانات للحصول على البيانات الشخصية أو تلقيها من الحائز أو من الجهات المختصة بتزويده بها، أو أن تكون فى الأحوال المصرح بها قانونًا، واتخاذ كل الإجراءات وتطبيق المعايير القياسية لحماية وتأمين البيانات الشخصية حفاظًا على سريتها وعدم اختراقها أو إتلافها أو تغييرها أو العبث بها، ومحو البيانات الشخصية فور انقضاء الغرض المحدد منها، أما فى حال الاحتفاظ بها لأى سبب من الأسباب المشروعة فيجب ألا تبقى فى صورة تسمح بتحديد الشخص المعنى بالبيانات، وتصحيح أى خطأ بالبيانات الشخصية فور إبلاغه أو علمه بها، فى المقابل وضع التزامات على «المعالج»، ويعاقب «المتحكم والمعالج» المخالف لهذه الالتزامات بالحبس مدة لا تقل عن 6 أشهر وبغرامة لا تقل عن 200 ألف جنيه ولا تجاوز مليونى جنيه أو بإحدى هاتين العقوبتين.ويعرف مشروع القانون  «البيانات الشخصية» بأنها تلك المتعلقة بشخص طبيعى محدد أو يمكن تحديده بشكل مباشر أو غير مباشر عن طريق الربط بينها وبين بيانات أخرى كالاسم أو الصوت أو الصورة أو رقم تعريفى أو محدد للهوية عبر الإنترنت، أو أى بيانات تحدد الهوية النفسية أو الصحية أو الاقتصادية أو الثقافية أو الاجتماعية، أما «البيانات الحساسة» هى التى تُفصح عن الصحة النفسية أو العقلية أو البدنية أو الجينية، أو البيانات المالية أو الدينية أو الآراء السياسية أو الحالة الأمنية وبيانات الأطفال جزء منها، و«المتحكم» هو الشخص الطبيعى أو الاعتبارى الذى يكون له بحكم عمله الحق فى الحصول على البيانات الشخصية وتحديد طريقة وأسلوب ومعايير الاحتفاظ بها، أو معالجتها والتحكم فيها طبقًا للغرض المحدد أو نشاطه، أما «المعالج» فهو الشخص الطبيعى أو الاعتبارى المختص بطبيعة عمله بمعالجة البيانات الشخصية لصالحه، أو لصالح المتحكم بالاتفاق معه ووفقًا لتعليماته.