تُعدّ البيانات مصدر سُلطة، خصوصًا في عصرٍ ترى فيه جهاتٌ أهميةً تجارية أو تَتبعية أو تنظيمية، لجمع واستخدام وتحليل كل ما نتركه من أجزاءٍ عن حياتنا الشخصية.
في يونيو/ حزيران الماضي، طَرحتْ وزارة الاتصالات مسوّدةً محدّثة لمشروع قانون حماية البيانات الشخصية للاستشارة العامة، وذلك للمرة الثانية خلال عام. وكانت الوزارة قد بدأت في تطوير القانون عام 2014، وأصدرت المسودّة الأولى أواخر عام 2016.
هذه الخطوة مهمّة جدًا، وإن كانت متأخرة. عالميّا، بدأ انتشار قوانين حماية البيانات بعد أن أطلق الاتحاد الأوروبي التوجيهات الإرشادية لحماية البيانات الرقمية عام 1995، كتوجيهاتٍ مُلزمة للدول الأعضاء عند سَنّ قوانين حماية البيانات الخاصة بكل منها، لضمان حماية حق الإنسان الأساسي في خصوصيته، في ظل التبادل التجاري والاجتماعي والتعاون بين الدّول.
ما هو قانون حماية البيانات ولماذا علينا أن نرسل ملاحظاتنا للوزارة؟
جمع البيانات ضروري في الكثير من الأحيان، كحاجة شركات الاتصالات لتوثيق معلومات عن عدد الدقائق التي استهلكتَها شهريًا من أجل الفاتورة، أو حاجة الجامعة لتاريخ تحصيلك العلمي لبناء ملفك الأكاديمي، وحاجة الطبيب لتسجيل وتتبع نتائج فحوصاتك المخبرية لتشخيص حالتك الصحية.
لكننا أحيانا «نتبرع» ببياناتنا الشخصية مقابل خدمات «مجانية»، كأن نتبرع لفيسبوك بمعلومات عن اهتماماتنا مقابل تواصلنا مع الأصدقاء، أو نتبرع بمعلومات عن عاداتنا الشرائية لمتجر من خلال الاشتراك ببطاقة لتحصيل نقاط بدل مشترياتنا لربح خلاط مجانيّ آخر العام.
لكن، ماذا إن قرر المتجر أن يبيع لشركات التأمين، مثلًا، معلوماتنا الشرائية حتى تتنبأ بحالتنا الصحية؟ أو أفصح موظف في قسم تسجيل الطلبة للإعلام عن العلامات المتدنية لطالب ردًا على نشاطه الطلابيّ في الجامعة؟ أو نَشرت هيئة انتخابٍ مستقلة بيانات عن مئات الآلاف من الناخبين بأسمائهم الرباعية وأرقامهم الوطنية معرضّة إياهم لخطر انتحال الشخصية؟
يعطي قانون حماية البيانات المواطنين حقوقًا وضماناتٍ قانونية لمتابعة طرق استخدام بياناتهم من قبل الجهات التي تجمعها، وملاحقتها قانونيًا في حال استُغلت هذه البيانات لأغراض أخرى غير مُصرح بها. يسري هذا القانون على أي جهة تجمع البيانات كشركاتِ التأمين، أو دائرة الأحوال المدنية، أو مراكز البحوث الاستطلاعيّة.
ما يدعو للاحتفاء في المسودة الجديدة
أصدرت وزارة الاتصالات المسوّدة الجديدة من مشروع القانون بعد أن استقبلت ملاحظات القطاع الخاص والمدني على المسوّدة الأولى. كانت حبر ضمن المؤسسات التي قدمت ملاحظاتها لوزارة الاتصالات في ديسمبر/ كانون الأول من العام الماضي. أول ما يدعو للاحتفاء هو جَديّة وزارة الاتصالات في دراسة الملاحظات التي استلمتها من الجهات المختلفة، حيث تضمّنت المسودة الثانية كثيرًا من الملاحظات التي قدمتها حبر على المسودة الأولى.
من الأمور الإيجابية الأخرى التزام مسودة القانون بالمعايير الدولية لحماية البيانات الرقمية، ومنها:
١. شرط حصول الجهة المسيطرة على البيانات (الجهة التي تكون البيانات الشخصية في عهدتها) على موافقة صاحب البيانات المسبقة، الصّريحة والموثقة خطيًا أو إلكترونيًا، وضمان حقه في سحب الموافقة، حسب المادة 10. أي أن شركات الاتصالات، مثلًا، ستكون مسؤولة قانونيًا في حال تاجرت، دون موافقتك المسبقة، بمعلومات سكنك حتى تتمكن حملات مرشحين في دائرة انتخابيّة معينة من الوصول إلى الناخبين المسجلين فيها.
٢. إعلان الجهة المسيطرة على البيانات عن تفاصيل العمليات التي تُخطط لإجرائها على البيانات، حسب المادة 11، ومنها الغرض والمدة الزمنية والجهات الثالثة التي ستُشاركها هذه البيانات. مثلًا، مؤسسة الضمان الإجتماعي لن تستطيع الإفصاح لدائرة الضريبة عن الرواتب الشهرية للمشتركين دون موافقتهم الصريحة والخطية على تفاصيل هذه العملية.
٣. تغليظ العقوبة على الموظف العام الذي يستغل وظيفته في الإفصاح عن البيانات.
في المسودة الجديدة ما يزال «الفيل في الغرفة»
يُشكّل بموجب القانون مجلسٌ يسمى «مجلس حماية البيانات الشخصية»، وهو الهيئة الأساسية لاستقبال شكاوى أصحاب البيانات. تُعد استقلالية المجلس، إداريًا وماليًا، من أهمّ الضمانات لحماية حقوق المواطنين الدستورية، إضافة إلى حصْر الاستثناءات في أضيق الحالات، وأن تكون بموافقة خطية من صاحب الشأن وبناء على قرار قضائي فقط. إلّا أن المسوّدة الثانية للقانون لم تلتفت للمطالبات السابقة باستقلالية المجلس، كما منحت المدعي العام الصلاحية لطلَب الإفصاح عن البيانات الشخصية دون موافقة أو إخبار صاحبها.
أولا: تبعية «مجلس حماية البيانات الشخصية».
السؤال البديهي الذي يخطر في البال أثناء قراءة القانون هو: كيف نضمنُ نزاهة الحَكَم إذا كان هو نفسه المشتكى عليه؟
يَتبعُ مجلس حماية البيانات الشخصية لوزارة الاتصالات، بحسب مسودة القانون، ويرأسه الوزير، فيما يُخصّص ثمانية مقاعد، من أصل 12، لأعضاءٍ ذوي مناصب رفيعة في هيئات ووزارات حكومية (أمناء وزارت الداخلية والعدل والثقافة والإعلام، ومدير عام مركز تكنولوجيا المعلومات الوطني ورئيس هيئة تنظيم قطاع الاتصالات، ونائب محافظ البنك المركزي الأردني)، ما يشكل تضارب مصالح بنيويّ في وجه ممارسة المجلس لمهامّه بحيادية وشفافية. كيف سيضمنُ المشتكي حيادية قرار المجلس عند النظر في شكوى ضد دائرة الأحوال المدنية، مثلًا، لسماحها للبنوك بالنفاذ إلى المعلومات المخزنة على البطاقة الذكية دون أخذ موافقة صاحب الشأن المسبقة، بينما المشتكى عليهما عضوان في المجلس؟
(يمكنكم الإطلاع على اقتراحات حبر لتركيبة المجلس بالنظر إلى قسم «تطبيق القانون واستقلالية قسم مجلس حماية البيانات» في ملاحظاتها على المسوّدة).
ثانيا: استثناءات الإفصاح عن البيانات الشخصية دون موافقة صاحبها.
على الإفصاح عن البيانات أن يكون استنادا إلى قرار قضائي فقط، وذلك امتثالا للمادة 18 من الدستور الأردني التي تَعتبرُ «جميع المراسلات البريدية والبرقية والمخاطبات الهاتفية وغيرها من وسائل الاتصال سريّة لا تخضع للمراقبة أو الاطلاع أو التوقيف أو المصادرة إلا بأمر قضائي وفق أحكام القانون».
الغاية الأساسية من قانون حماية البيانات الشخصية هو تنظيم ممارسات الجهات المسيطرة على البيانات الشخصية بما يضمن حماية حقوق أصحابها. وعلى أي استثناءات لتجاوز شرط الحصول على الموافقة المسبقة من أصحاب البيانات عند الإفصاح، أن تُصاغ في نص القانون، لا بموجب «أنظمة تصدر لهذه الغاية» كما تفيد الفقرة (ب) من المادة 9 في مسودة القانون.
وفي فقرة أخرى يسمح القانون بالإفصاح عن البيانات بقرار من المدعي العام، ما يُوسّع من دائرة الجهات التي يمكنها النفاذ، دون رقابة، إلى البيانات الشخصية.
تبَعيّة مجلس حماية البيانات الشخصية واستثناءات الإفصاح عن البيانات هي أبرز النقاط المتعارضة مع الممارسات العالمية في حماية البيانات الشخصية، لكنها ليست الوحيدة، ما زال ينقص القانون تعريفات بعض المفاهيم مثل التشخيص والموافقة. كما أنه يَعتبر محكمة أمن الدولة، غير المعترف بها عالميا، الجهة المعنيّة بالبتّ في الجرائم المرتبطة بـ«الأمن الوطني».
كلّنا دون استثناء «أصحاب بيانات» يشملهم قانون حماية البيانات الشخصية. ولأن هذا القانون هو الأداة الأساسية لملاحقة استغلال الجهات المختلفة للبيانات التي نتركها عن أماكن عملنا، أو تاريخنا الصحي، أو محتوى مكالماتنا ورسائلنا، أو أيّ بيانات أخرى تخصّنا، فإنه يمكنكم أن تكونوا جزءًا من النقاش حول آلية حماية بياناتكم والدخول إلى موقع وزارة الاتصالات لإرسال ملاحظاتكم على مسوّدة القانون.