تناقش لجنة الاتصالات وتكنولوجيا المعلومات بمجلس النواب، على مدار يومى الاثنين والثلاثاء، مشروع القانون المقدم من النائب أشرف عمارة ونحو 60 نائباً بشأن حماية البيانات الشخصية بحضور ممثلى وزارات الاتصالات وتكنولوجيا المعلومات، والداخلية، والعدل، والخارجية، وزارة الدولة للهجرة وشئون المصريين بالخارج، علاوة عن مركز المعلومات ودعم اتخاذ القرار بمجلس الوزراء والجهاز المركزى للتعبئة والإحصاء.
وجاءت نصوص مشروع قانون حماية البيانات الشخصية المزمع أن يبدأ مناقشته الأسبوع القادم فى (15) مادة، نصها كالآتى:
الأحكام العامة والتعريفات
مادة (1): الغرض:
الغرض من هذا القانون هو ضمان وحماية كل ما يتعلق بمعالجة البيانات الشخصية للأفراد، لاسيما خصوصية البيانات الشخصية والأسرية بإعتبارها أحد أهم الحريات الشخصية والحقوق الأساسية للأشخاص الطبيعيين.
مادة (2): التعريفات:
فى تطبيق أحكام هذا القانون، تكون للكلمات والعبارات التالية، المعاني الموضحة قرين كل منها، ما لم يقتض السياق معنى آخر:
- الوزارة: وزارة الاتصالات وتكنولوجيا المعلومات.
- الوزير: وزير الاتصالات وتكنولوحيا المعلومات.
- الإدارة المختصة: الوحدة الإدارية المختصة بالوزارة.
- الجهة المختصة: أى جهة حكومية تختص أو تتداخل أعمالها بمعالجة البيانات الشخصية والإشراف عليها.
- الفرد: الشخص الطبيعي الذي تتم معالجة البيانات الشخصية الخاصة به.
- المراقب: الشخص الطبيعي أو المعنوي الذي يقوم منفرداً أو بالاشتراك مع آخرين بتحديد كيفية معالجة البيانات الشخصية والغرض منها.
- المعالج: الشخص الطبيعي أو المعنوي الذي يقوم بمعالجة البيانات الشخصية لصالح المراقب.
- البيانات الشخصية “البيانات ذات الطابع الشخصي”: أي معلومات عن الفرد الذي تكون هويته محددة، أو يمكن تحديدها بصورة معقولة، سواء من خلال هذه البيانات أو عن طريق الجمع بينها وبين أية بيانات أخرى، بما في ذلك الصوت والصورة، والمتعلقة بشخص ذاتي مُعرف أو قابل للتعرف عليه والمسمى أيضاً “بالشخص المعنى”.
- معالجة البيانات الشخصية: كل عملية أو مجموعة عمليات تُجرى على البيانات الشخصية، بمساعدة طرق آلية أو بدونها، كالجمع والاستلام والتسجيل والتنظيم والتخزين والتهيئة والتعديل والاسترجاع والاستخدام والإفشاء والنشر والنقل والحجب والتخلص والمحو والإلغاء و الإيصال عن طريق الإرسال أو الإذاعة أو الإنترنت أو أي شكل آخر من أشكال إتاحة المعلومات.
- حركة البيانات الشخصية للخارج: إتاحة البيانات الشخصية أو مشاهدتها أو استرجاعها أو استخدامها أو تخزينها خارج حدود الدولة.
- ملف البيانات الشخصية أو(ملف) : كل مجموعة مهيكلة من البيانات الشخصية يمكن الوصول إليها وفق معايير معينة سواء كانت هذه المجموعة مركزة أو غير مركزة أو موزعة بطريقة وظيفية أو جغرافية، مثل المحفوظات وبنوك البيانات وملفات الإحصاء والتوثيق.
- المرسل إليه : الشخص الذاتي أو المعنوي أو الكيان المعنوي أو أي كيان أخر يتوصل إلى بيانات الشخص المعني، ولا تعتبر كجهة مرسل إليها الهيئات، جهاز حماية البيانات الشخصية المنشئة بموجب المادة 29 من هذا القانون، التي يمكن أن يتوصل بالبيانات في إطار تنفيذ أحكام هذا القانون.
- الغرض المشروع: الغرض الذي تتم لأجله معالجة البيانات الشخصية للفرد، طبقاً للتشريعات المنظمة.
- الممارسات المقبولة: أنشطة معالجة تحددها أو تقرها الإدارة المختصة، تتعلق بأنواع مختلفة من الأغراض المشروعة.
- التسويق المباشر “الإستقراء”: إرسال أي مادة إعلانية أو تسويقية بأي وسيلة إلى أشخاص بعينهم، بهدف الدعاية التجارية لمنتجات أو خدمات.
- الاتصالات السلكية واللاسلكية: إرسال أو بث أو استقبال الإشارات أو الرموز أو الصور أو الأشكال أو الأصوات أو البيانات أو النصوص أو المعلومات، أياً كان نوعها أو طبيعتها، عن طريق الوسائل السلكية أو اللاسكية أو الراديوية أو البصرية، أو غيرها من وسائل الاتصالات الكهرومغناطيسية أو بأية وسائل اتصالات أخرى مشابهة.
- إتصال إلكتروني: اتصال يتم بواسطة أي من الاتصالات السلكية واللاسلكية.
- إنشاء اتصال إلكتروني: إنشاء أو إرسال أو نقل اتصال إلكتروني، أو المساعدة في ذلك، أو توجيه المعالج بذلك.
- مشغل الموقع الإلكتروني: الشخص الذي يشغل موقعاً على شبكة الإنترنت، أو يعرض منتجات أو خدمات من خلاله، ويقوم بجمع أو معالجة البيانات الشخصية لمستخدمي ذلك الموقع أو زواره.
مادة (3): نطاق التطبيق:
تسري أحكام هذا القانون على البيانات الشخصية المسجلة على وسائط الإعلام المادية مما يجعلها عرضة للمعالجة الإلكترونية، أو التي يتم الحصول عليها أو جمعها أو استخراجها على أي نحو آخر تمهيداً لمعالجتها إلكترونياً، أو التي تتم معالجتها عن طريق الجمع بين المعالجة الإلكترونية والمعالجة التقليدية، وإلى أي شكل من أشكال الاستخدام اللاحق لهذه البيانات.
ويحكم هذا القانون جميع عمليات معالجة البيانات الشخصية:
- عندما يتم معالجتها داخل حدود جمهورية مصر العربية في إطار أنشطة إنشاء المراقب.
- عندما يكون المسؤول غير مقيم داخل جمهورية مصر العربية ولكن يلجأ لأغراض معالجة بيانات ذات طابع شخصي إلى وسائل آلية أو غير آلية توجد في الأراضي المصرية، باستثناء المعالجات التي لا تستعمل إلا لأغراض العبور فوق التراب الوطني أو في أراضي دولة لها تشريع في مجال حماية البيانات الشخصية.
في الحالة المنصوص عليها في مادة (3) من البند 2 أعلاه، يجب على المراقب أن يبلغ جهاز حماية البيانات الشخصية بهوية ممثل له مقيم بجمهورية مصر العربية يقوم، دون الإخلال بمسؤوليته الشخصية، بالحلول محله في جميع حقوقه وإلتزاماته الناتجة عن أحكام هذا القانون والنصوص المتخذة لتطبيقه.
ولا تسري أحكام هذا القانون على:
البيانات الشخصية التي يحتفظ بها الأشخاص الطبيعيون ويتم معالجتها في نطاق شخصي أو عائلي حصراً.
البيانات الشخصية التي تتم معالجتها بغرض الحصول على البيانات الإحصائية الرسمية، أو تطبيقاً لنص تشريعي مستقل.
البيانات الشخصية المتعلقة بالتحقيقات القضائية، وقضايا الإرهاب وكافة أشكال الجريمة المنظمة. ومع ذلك، في هذه الحالات، فإن الجهة المسؤولة عن هذة التحقيقات أولا إخطار (جهاز حماية البيانات الشخصية) بطبيعة البيانات التي بوحذتها والغرض من معالجتها وأهميتها لدعم هذة التحقيقات.
الباب الثانى
حقوق الأفراد
المادة (4): جودة البيانات:
1- البيانات الشخصية يجب أن:
أ. تُجمع لأهداف محددة ومعلنة ومشروعة وألا تعالج لاحقا بطريقة تتنافى مع تلك الغايات.
ب. تُعالج بطريقة نزيهة ومشروعة في إطار الشفافية والأمانة وإحترام كرامة الإنسان والممارسات المقبولة، وفقاً لأحكام هذا القانون.
ج. تكون ملاءمة ومناسبة وغير مفرطة بالنظر إلى الأهداف التي تم تجميعها ومعالجتها لاحقا من أجلها.
د. تكون صحيحة ودقيقة وينقضي حفظها وأرشفتها بعد زوال الأهداف التي جُمعت من أجلها، ويجب إتخاذ كل التدابير اللازمة حتى يتم مسح أو تصحيح البيانات الخاطئة أو غير المكتملة بالنظر إلى الأهداف التي تم تجميعها أو معالجتها لاحقا من أجلها، ويجب تحديثها بشكل مستمر بحيث تستجيب إلى الوضع الحالي للمتضررين.
ه. لا تُحفظ في شكل يسمح بتحديد هوية الطرف المعني لفترة أطول من اللازم للأغراض التي تم جمعها أو تسجيلها.
و. تُلغى عندما تكون غير ضرورية أو ذات صلة للغرض الذي تم جمعها أو تسجيلها، وبناءاً على طلب من المسؤول عن المعالجة وإذا كان ثمة مبرر مشروع، يمكن لجهاز حماية البيانات الشخصية أن يسمح بتجديد حفظ وأرشفة البيانات الشخصية المعالجة لمدد أخرى محددة.
2- يحق لجهاز حماية البيانات الشخصية إصدار أي قرارات إدارية إضافية للحفاظ على خصوصية البيانات الشخصية المعالجة، وعلى المراقب أن يحترم أحكام البنود السابقة تحت مراقبة جهاز حماية البيانات الشخصية.
3- يحظر جمع البيانات عن طريق الوسائل الاحتيالية أو غير العادلة أو غير المشروعة.
المادة (5): حقوق الأفراد في الإخطار أثناء تجميع البيانات الشخصية:
لا يجوز للمراقب أو من يمثله معالجة البيانات الشخصية، إلا بعد الحصول على موافقة الطرف المعني وإخطاره مسبقاً بطريقة صحيحة ودقيقة لا لبس فيها بالعناصر التالية، ما عدا إذا كان على علم مسبق بها:
أ. هوية وعنوان المراقب أو عند الاقتضاء ممثله.
ب. الطبيعة الإجبارية أو الاختيارية لإستجابتهم للأسئلة المثارة.
ج. عواقب الحصول على البيانات أو رفض توريدها.
د. إمكانية ممارسة حقوق الوصول والتصحيح والإلغاء.
ه. الغرض من جمع هذة البيانات والمتلقين للمعلومات، وأي معلومات إضافية أخرى.
و. التصريح عن الموافقة الصادرة للمعالج من جهاز حماية البيانات الشخصية بشأن جمع بيانات شخصية.
ز. يجب أن تتضمن الوثائق المعتمدة لتجميع البيانات الشخصية المعلومات المشار إليها في البند السابق.
ح.عندما تستخدم الاستبيانات أو الأشكال الأخرى في تجميع البيانات، تكون التحذيرات المشار إليها في القسم السابق مقروءة بوضوح.
إذا لم يتم جمع البيانات الشخصية بمعرفة الشخص المعالج، فيجب على المسؤول عن المعالجة أو من يمثله أن يزود الشخص المعني على الأقل بالمعلومات المشار إليها في الفقرات (أ) و(ب) و(ج) و(د) و(ه) و(و) أعلاه ما لم يكن الشخص على علم بها مسبقا، وذلك قبل تسجيل البيانات أو عند الإتصال الأول للمعلومات على أبعد تقدير إذا كان معتزما إيصالها للغير.
لا تنطبق أحكام هذة المادة على البيانات المستمدة من مصادر متاحة للجمهور أو التي تستخدم لأغراض الإعلانات التجارية.
في حالة جمع المعلومات في شبكات مفتوحة، يجب على الشخص المعني أن يعلم بالأمر، ما لم يكن على علم مسبقا بأن البيانات الشخصية المتعلقة به يمكن أن تتداول في الشبكات دون ضمانات الخصوصية وأنها قد تتعرض للقراءة والاستعمال من قبل أفراد غير مرخص لهم.
المادة (6): حدود الحق في الإخطار:
لا يطبق الحق في الإخطار المنصوص عليه في المادة 5 أعلاه :
أ. على البيانات الشخصية التي يكون جمعها ومعالجتها ضروريين للدفاع الوطني والأمن الداخلي أو الخارجي للدولة أو للوقاية من جريمة.
ب. إذا اتضح أن إخبار الشخص المعني متعذر ولاسيما في حالة معالجة البيانات لأغراض إحصائية أو تاريخية أو علمية، وفي هذه الحالة يلزم المسؤول عن المعالجة بأخذ أذن جهاز حماية البيانات الشخصية بإستحالة إخطار الشخص المعني وبأن يقدم إليه أسباب هذه الاستحالة.
ج. إذا كان هناك نص تشريعي أخر ينص صراحة على تسجيل البيانات ذات الطابع الشخصي أو إيصالها.
د. على معالجة البيانات ذات الطابع الشخصي المنجزة حصرا لأغراض صحافية أو فنية أو أدبية.
في جميع الأحوال تتطلب معالجة البيانات الشخصية موافقة صريحة من الشخص المعني بالأمر، ما لم ينص القانون على خلاف ذلك، ولا تكون الموافقة مطلوبة عند جمع البيانات الشخصية لممارسة مهام الإدارة في نطاق العمل، خاصة البيانات المتعلقة بحماية مصلحة حيوية للطرف المعني وفقا لأحكام الفقرة 6 من المادة 7 من هذا القانون أو عندما تظهر البيانات في مصادر متاحة
المادة (7): الحق في الولوج الوصول:
يحق للشخص المعني أن يحصل من المسؤول عن المعالجة وعلى الفور على ما يلي:
أ. تأكيد على أن البيانات الشخصية المتعلقة به تعالج أو لا تعالج وكذا على معلومات مرتبطة على الأقل بأهداف المعالجة وفئات البيانات التي تنصب عليها والمرسل إليهم أو فئات المرسل إليهم أو فئات المرسل إليهم الذين أوصلت إليهم البيانات الشخصية.
ب. إحاطة بالبيانات التي تخضع للمعالجة أو بكل معلومة متاحة حول مصدر البيانات.
ج. معرفة المنطق الذي يحكم كل معالجة آلية للمعطيات ذات الطابع الشخصي المتعلقة به.
د. يحق للمراقب أن يطلب من جهاز حماية البيانات الشخصية تحديد آجال الإجابة على طلبات الولوج المشروعة.
المادة (8): الحق فى التصحيح:
يحق للشخص المعني تقديم طلب إرجاء أو تصحيح أو مسح أو إغلاق الولوج إلى البيانات الشخصية التي تتناقض معالجتها مع أحكام هذا القانون ولاسيما بسبب الطابع غير المكتمل أو غير الصحيح لتلك البيانات، مرفقاً به ما يثبت صحة طلبه، ويلزم المسؤول عن المعالجة بالقيام بالتصحيحات المطلوبة بحد أقصى 7 أيام.
في حالة الرفض أو عدم الإستجابة للطلب داخل الأجل المذكور، يحق للمعني بالأمر إيداع طلب تصحيح لدى جهاز حماية البيانات الشخصية، الذي يقوم بفحص الطلب والعمل على إجراء التصحيحات اللازمة في أقرب الآجال. ويجب إبقاء المعني بالأمر على إطلاع بالمآل المخصص لطلبه، كما يبلغ الجهاز الأطراف الأخرى الذين وصلت إليهم البيانات الشخصية بقراراته في خلال 48 ساعة من وقت صدور القرار التصحيحي.
المادة (9): الحق في الاعتراض:
يحق للشخص المعني أن يعترض لأسباب مشروعة على القيام بمعالجة بيانات تخصه، دون مصاريف على استعمال البيانات المتعلقة به لأغراض الاستقراءات ولاسيما التجارية منها من قبل المسؤول الحالي عن المعالجة أو مسؤول عن معالجة لاحقة.
لا تطبق أحكام الفقرة الأولى إذا كانت المعالجة تستجيب لإلتزام قانوني أخر.
المادة (10): منع الإستقراء المباشر:
يمنع الاستقراء المباشر بواسطة آلية إتصال أو جهاز الاستنساخ البعدي أو بريد إلكتروني أو وسيلة تستخدم تكنولوجيا ذات طبيعة مماثلة بإستعمال بيانات شخصية في أي شكل من الأشكال لم يعبر الشخص المعني عن رضاه المسبق عن استقبال الاستقراءات المباشرة بهذه الوسيلة.
في تطبيق أحكام هذة المادة، يراد بالرضى كل تعبير عن الإرادة الحرة والمميزة وعن علم يقبل بموجبه شخص معين باستعمال البيانات الشخصية التي تخصه لأغراض الاستقراء المباشر.
يعد استقراء مباشراً إرسال أية رسالة موجهة للترويج والإعلان المباشر أو غير المباشر لسلع أو خدمات أو بسمعة شخص يبيع سلعا أو يقدم خدمات تجارية.
غير أنه يرخص بالاستقراء المباشر عن طريق البريد الإلكتروني إذا ما طلبت البيانات مباشرة من المرسل إليه، مع التقيد بأحكام هذا القانون، بمناسبة بيع أو تقديم خدمات، إذا كان الاستقراء المباشر يهم منتجات أو خدمات مشابهة يقدمها نفس الشخص الذاتي أو المعنوي، وتبين للمرسل إليه بشكل صريح ولا يشوبه لبس وبسيط توفره على إمكانية الإعتراض، باستثناء التكلفة المرتبطة بإرسال الرفض، على استعمال بياناته وقت جمع هذه الأخيرة وكلما وجه إليه بريد إلكتروني لأجل الاستقراء.
وفي جميع الحالات، يمنع إرسال رسائل بواسطة آليات الاتصال الهاتفي وجهاز الاستنساخ البعدي والبريد الإلكتروني لأجل الاستقراء المباشر دون الإشارة إلى بيانات صحيحة يمكن أن تعين المرسل إليه على إرسال طلب توقيف هذه الإيصالات بشكل مجاني غير تلك المرتبطة بإرسالها.
كما يمنع إخفاء هوية الشخص الذي أوصلت لفائدته الرسائل وذكر موضوع لا صلة له بالخدمات المقترحة.
المادة (11): انعدام الآثار:
لا يمكن للأحكام القضائية أن تتضمن تقييما لسلوك شخص من الأشخاص أن يكون مبنيا على معالجة آلية لبيانات ذات طابع شخصي يكون الغرض منها تقييم وتحليل لبعض جوانب شخصيته.
لا يمكن كذلك لأي قرار آخر تنشأ عنه آثار قانونية تجاه شخص من الأشخاص أن يتخذ فقط بناء على معالجة آلية لبيانات يكون الغرض منها تحديد صفات الشخص المعني أو تقييم بعض جوانب شخصيته.
الباب الثالث
البيانات الشخصية ذات الطبيعة الخاصة
المادة (12): أنواع البيانات الشخصية ذات الطبيعة الخاصة:
تعد البيانات المتعلقة بالأصل العرقي، والإيديولجيات السياسية، والأطفال، والصحة أو الحالة الجسدية أو النفسية، والمعتقدات الدينية، والعلاقات الزوجية، والجرائم الجنائية بيانات محمية بشكل خاص.
ولجهاز حماية البيانات الشخصية أن يضيف أصنافاً أخرى من البيانات الشخصية ذات الطبيعة الخاصة، إذا كان من شأن سوء إستخدامها أو إفشائها إلحاق ضرر جسيم بالفرد. ولا يجوز معالجة البيانات الشخصية ذات الطبيعة الخاصة، إلا بعد الحصول على تصريح بذلك من الجهة المختصة،
وللجهة الإدارية المختصة، بقرار منها، فرض احتياطات إضافية لغرض حماية البيانات الشخصية ذات الطبيعة الخاصة.
وفي جميع الأحوال لا يجوز جمع ومعالجة ونقل وحفظ بيانات شخصية تتعلق بالأصل العرقي، والمعتقدات الدينية، والعلاقات الزوجية إلا بغرض تحقيق مصلحة عامة وبعد أخذ تصريح خاص بذلك من جهاز حماية البيانات الشخصية.
المادة (13): بيانات الطفل:
مع مراعاة الأحكام المنصوص عليها في هذا القانون، يجب على مالك أو مشغل أي موقع إلكتروني موجه للأطفال، مراعاة ما يلي:
أ. وضع إخطار على الموقع حول ماهية بيانات الأطفال، وكيفية استخدامها، والسياسات التي يتبعها في الإفصاح عنها.
ب. الحصول على موافقة صريحة من ولي أمر الطفل الذي تتم معالجة بيانات شخصية عنه، وذلك عن طريق اتصال إلكتروني أو أي وسيلة إتصال أخرى مناسبة.
ج. تزويد ولي أمر الطفل، بناءاً على طلبه، وبعد التحقق من هويته، بوصف لنوع البيانات الشخصية التي تتم معالجتها، مع بيان الغرض من المعالجة، ونسخة من البيانات التي تمت معالجتها أو جمعها عن الطفل.
د. حذف أو محو أو وقف معالجة أية بيانات شخصية تم جمعها من الطفل أو عنه، إذا طلب ولي الأمر ذلك.
ه.ألا تكون مشاركة الطفل في لعبة، أو مسابقة، أو أي نشاط آخر، مشروطة بتقديم الطفل بيانات شخصية تزيد على ما هو ضروري للمشاركة في ذلك النشاط.
الباب الرابع
التزامات المراقب والمعالج
المادة (14):
يجب على المراقب إتخاذ الإجراءات التالية:
أ. مراجعة إجراءات حماية الخصوصية قبل إدراج عمليات معالجة جديدة.
ب. تدريب وتوعية المعالجين على حماية البيانات الشخصية.
ج. وضع نظم داخلية لتلقي ودراسة الشكاوى، وطلبات الوصول للبيانات، وطلبات تصحيحها أو حذفها، وإتاحة ذلك للأفراد.
د. وضع نظم داخلية للإدارة الفعالة للبيانات الشخصية، والإبلاغ عن أي تجاوز للإجراءات التي تهدف إلى حمايتها.
ه. استخدام الوسائل التكنولوجية المناسبة لتمكين الأفراد من ممارسة حقهم في الوصول إلى البيانات الشخصية ومراجعتها وتصحيحها بشكل مباشر.
المادة (15):
باستثناء أحكام تشريعية خاصة، تخضع عملية معالجة البيانات الشخصية إلى ما يلي :
1- تصريح مسبق إذا كانت المعالجة تتناول :
أ. البيانات الشخصية المشار إليها في المادة الثانية عشر في الباب الثالث، ويعفى من الإذن المذكور المعالجات التي تقوم بها جمعية أو أي مجموعة أخرى لا تستهدف الربح وذات طابع ديني أو فلسفي أو سياسي أو نقابي أو ثقافي أو رياضي، شرط ألا تخص هذه البيانات إلا أعضاء هذه الجمعية أو المجموعة، وعند الاقتضاء الأشخاص الذين تربطهم بها اتصالات منتظمة في إطار أنشطتها.
وألا تتناول إلا البيانات التي توصل إلى الغير إلا إذا وافق الأشخاص المعنيون بشكل صريح وتمكنت المجموعة من تقديم الحجة على هذة الموافقة عند أول طلب للسلطات المختصة.
ب. إستعمال البيانات الشخصية لأهداف أخرى غير تلك التي جمعت من أجلها.
ج. البيانات الجينية، بإستثناء البيانات المستعملة من قبل الأطباء ولأغراض طبية فقط، سواء تعلق الأمر بالطب الوقائي أو بالفحوصات أو العلاجات.
د. بيانات متعلقة بالمخالفات أو الإدانات أو التدابير الوقائية باستثناء تلك المنفذة من من قبل الهيئات القضائية المختلفة.
ه. بيانات تتضمن الرقم القومي للشخص الذي تُعالج بياناته.