عقدت وزارة الإتصالات وتكنولوجيا المعلومات حوارات مجتمعية مع شركات التكنولوجيا المحلية والعالمية العاملة فى مصر ومشغلى المحمول والقطاعات المعنية بتطبيق أحكام قانون حماية البيانات الشخصية.
قالت الوزراة ، أن ذلك يأتى فى إطار حرص الوزارة على التوعية واجراء لقاءات نقاشية لكافة البنود الخاصة بأحكام القانون وسبل تطبيقها من خلال اجراءات ميسرة تتضمنها اللائحة التنفيذية للقانون المقرر اصدارها خلال الفترة المقبلة؛ وذلك بحضور المهندس محمد نصر الدين مساعد وزير الاتصالات وتكنولوجيا المعلومات للبنية المعلوماتية الدولية، ولجنة إعداد اللائحة التنفيذية للقانون برئاسة المستشار جوزيف إدوارد.
وخلال الاجتماعات ناقش ممثلو الشركات عدد من المقترحات حول أفضل السبل لإصدار التراخيص والتصاريح والاعتمادات من مركز حماية البيانات الشخصية المزمع انشائه؛ حيث أكدت وزارة الاتصالات وتكنولوجيا المعلومات على حرصها على تسهيل اجراءات الحصول على التراخيص من خلال عملية مدمجة واحدة وفقا للأغراض الخاصة بالكيان، مع وضع معايير قابلة للقياس وملائمة كافة القطاعات المخاطبة بأحكام القانون مع اختلاف انشطتها.
شهدت اللقاءات النقاشية الرد على كافة استفسارات الشركات الناشئة والصغيرة حيث أكدت وزارة الاتصالات وتكنولوجيا المعلومات على أهمية حماية بيانات المصريين بما لايتعارض مع نمو أعمال هذه الشركات فى إطار رؤية الدولة الاستراتيجية لتنمية الشركات الناشئة والصناعات الصغيرة والمتوسطة.
ورداً على الاستفسارات الخاصة بالمعايير المطلوبة في تعيين مسؤولي حماية البيانات داخل الشركات، وكيفية ضمان أدائه لعمله بكفاءة؛ أوضحت الوزارة أنه سيتم عقد ندوات للتوعية ودورات لبناء قدرات المسؤولين بالشركات المخاطبة بأحكام القانون خلال الفترة المقررة قانونيا لتوفيق أوضاع الشركات وفقا لأحكام القانون والتزاماته.
كما تم الاعلان على أنه سيتم إتاحة آليات للتواصل مع الوزارة للاستماع الى كافة الرؤى واستكمال النقاشات فى إطار العمل على الانتهاء من اعداد اللائحة التنفيذية لقانون حماية البيانات الشخصية فى أقرب وقت.
يذكر أنه قد تم التصديق على قانون رقم 151 لسنة 2020 والخاص بحماية البيانات الشخصية من السيد رئيس الجمهورية فى يوليو الماضى؛ ويأتى القانون متماشيا مع أفضل الممارسات الدولية وخاصة اللائحة الأوروبية لحماية البيانات الشخصية GDPR؛ ويعد خطوة هامة لتعزيز جهود وزارة الاتصالات وتكنولوجيا المعلومات فى توطين صناعة مراكز البيانات فى مصر وخلق بيئة آمنة لتداول المعلومات فى الفضاء الالكتروني.
يهدف القانون إلى حماية البيانات الشخصية للمصريين؛ وذلك من خلال اطار تشريعى يحكم العلاقة بين المتحكمين في البيانات والمستخدمين لها ويحدد آليات تنظيم أنشطة استخدام البيانات الشخصية فى عمليات الإعلان والتسويق على الإنترنت وفى البيئة الرقمية بشكل عام، ويجرم معالجتها بطرق غير مطابقة للأغراض المصرَّح بها من قبَل صاحب البيانات، كما يلزم جامعى ومعالجى البيانات عموما الحصول على التراخيص والتصاريح والاعتمادات اللازمة لمباشرة أعمالهم.
كانت وزارة الاتصالات وتكنولوجيا المعلومات قد عقدت عدة لقاءات شهدت حضورا متميزا من الشركات المحلية وكبرى الشركات العالمية العاملة في قطاع الاتصالات وتكنولوجيا المعلومات بمصر ومنها فيس بوك وتويتر وامازون ومايكروسوفت و IBM ومشغلى المحمول الاربعة فى مصر.
تهدف وزارة الاتصالات وتكنولوجيا المعلومات إلى دعوة أعضاء لجنة الاتصالات وتكنولوجيا المعلومات بمجلس النواب، وكذلك القطاعات الطبية والتعليمية والتجارية وغيرها من القطاعات المخاطبة بأحكام هذا القانون لاجراء مناقشات موسعة والاستماع الى رؤيتهم حول الشروط والقواعد المقررة لهذا القانون وأفضل السبل لتنفيذ هذه الأحكام.
تضمنت مقترحات اللائحة التنفيذية لقانون حماية البيانات الشخصية رقم 151 لسنة 2020 ، عدداً من البنود التى تقدمت بها عدد من كبرى شركات التكنولوجيا العالمية مؤخراً إلى اللجنة المختصة فى وزارة الاتصالات برئاسة المستشار جوزيف إدوارد.
وطبقاً للقانون، فإنه يقصد بالبيانات الشخصية أى بيانات متعلقة بشخص طبيعى محدد أو يمكن تحديده بشكل مباشر أو غير مباشر عن طريق الإسم أو الصوت أو الصورة أو رقم تعريفى أو أى بيانات تحدد الهوية النفسية أو الصحية أو الاقتصادية أو الثقافية أو الاجتماعية.
أما المعالجة فهى أى عملية إلكترونية أو تقنية لكتابة البيانات الشخصية أو تجميعها أو تسجيلها أو حفظها أو تخزينها أو دمجها أو عرضها أو إرسالها أو إستقبالها أو تداولها أو نشرها أو محوها أو تغييرها أو تعديلها أو استرجاعها أو تحليلها باستخدام أى وسيط من الوسائط أو الأجهزة الإلكترونية أو القنية سواء تم ذلك بشكل كلى أو جزئى .
بينما يقصد بالمتحكم أى شخص طبيعى أو اعتبارى يكون له بحكم أو طبيعة عمله الحق فى الحصول على البيانات الشخصية وتحديد طريقة وأسلوب ومعايير الاحتفاظ بها طبقا للغرض المحدد أو نشاطه، أما المعالج فهو أى شخص طبيعى أو اعتبارى مختص بطبيعة عمله بمعالجة البيانات الشخصية لصالحه أو لصالح المتحكم بالاتفاق معه وفقا لتعليماته .
يرى مسئولو الشركات أن المادة الثانية من الفصل الثانى بالقانون والمعنون بـ ( حقوق الشخص المعنى بالبيانات ) والتى تنص على أنه«لا يجوز جمع البيانات الشخصية أو معالجتها أو الإفصاح عنها أو إفشائها بأى وسيلة من الوسائل إلا بموافقة صريحة من الشخص المعنى بالبيانات، أو فى الأحوال المصرح بها قانونا» من شأنها إلزام القائمين على معالجة البيانات بطلبات غير قابلة للتحقيق قد تتحول إلى شكاوى غير صحيحة فى ظل عدم الإحالة إلى اللائحة التنفيذية لتوضيح الإجراءات اللازمة لممارسة الشخص المعنى لحقوقه .
لذلك طالبوا بضرورة توضيح وتحديد ضوابط وآليات ونطاق البيانات المتعلقة بهذه الحقوق لاسيما حق المحو وطريقة الرد على طلباتها وما يعد كافيا ومستوفيا دون الإخلال بالمدد الزمنية المحددة فى القانون.
أجمعوا على أن شروط جمع ومعالجة البيانات والتزامات المتحكم والمعالج فى البيانات الواردة فى المواد 3 و4 و5 من الفصل ذاته بشأن تأمين البيانات وإتخاذ جميع الاجراءات التقنية والتنظيمية لحمايتها والحفاظ على سريتها سيؤدى إلى إلزام المتحكمين والمعالجين بتأمين جميع أنواع البيانات الشخصية على حد سواء ، وذلك دون النظر لاختلاف طبيعتها وأهميتها وبالتالى اختلاف طرق التأمين ومن ثم استحالة التطبيق .
أضافوا ، إنه يجب توضيح أن المسئولية تقع على كاهل كلا من المتحكم والمعالج فى تحديد الطرق والمعايير المناسبة لتأمين البيانات طبقا لاختلاف أهميتها وطبيعتها والتطورات التكنولوجية دون فرض طرق أو معايير محددة على غرار القوانين الدولية .
أكدوا على استحالة تطبيق الالتزام الوارد فى المادة 7 والتى تنص على : «يلتزم كلا من المتحكم والمعالج بحسب الأحوال حال علمه بوجود خرق أو انتهاك للبيانات الشخصية لديه بإبلاغ مركز حماية البيانات الشخصية خلال 72 ساعة» بسبب وجود أعداد كبيرة من الاختراقات والانتهاكات اليومية فى نطاق المحاولات الغير مكتملة مما يتسبب فى اغراق المركز بالاخطارات غير ضرورية وتشتيت تركيز المعنيين إلى جانب الإضرار الغير مبرر بسمعة كلا من المتحكم والمعالج بسبب عمومية الالتزام باخطار الشخص المعنى.
أشاروا، أهمية توضيح درجات الخرق وقدر الضرر الواقع على البيانات والشخص المعنى بحيث تكون المسئوليات محددة وليست عامة وبالتبعية تحديد حالات الالتزام بابلاغ المركز وحالات الالتزام بابلاغ كلا من المركز والشخص المعنى .
أكدوا، أن عدم وجود إلزام على المتحكم والمعالج بتوفير الإمكانيات والموارد البشرية لمسئول حماية البيانات وخلق الإطار المناسب لضمان تأدية إلتزاماته فى المواد 8 و9 و13 و40 من الفصلين الرابع والسادس المتعلقين بتعيين مسئول حماية البيانات الشخصية والتزاماته والعقوبات المحتملة ستسبب فى عزوف الكوادر المؤهلة عن الالتحاق بهذه الوظيفة خاصة مع وضع المسئولية التنفيذية كاملة على المنصب وليس مسئولية إشرافية على غرار كافة القوانين الدولية .
لذلك يجب توضيح إلزام المتحكم والمعالج بتوفير الإمكانيات والموارد البشرية اللازمة لممارسة مسئول حماية البيانات الشخصية اختصاصاته وفقا لمقتضيات وظيفته والتأكيد على دوره الأشرافى وليس التنفيذى.
قالوا، أن مسألة تعدد التراخيص والتصاريح لكل من المتحكم ومعالج البيانات الواردة فى المادتين 26 و27 يمثل عبئاً كبيراً وبالتالى يجب توضيح وتحديد آليات التراخيص والتصاريح وشروط منحها، علاوة على امكانية التقديم والحصول عليها عبر الإنترنت دون الاضرار باستمرارية نشاط المتحكم والمعالج وامكانية ضمها وتجديدها تلقائيا بشروط محددة. بالاضافة إلى إمكانية إضافة البلاد التى يرغب المتحكم والمعالج فى نقل البيانات إليها ضمن ترخيص وتصريح نقل البيانات عبر الحدود.
أوضحوا، أن تحديد مدة زمنية قصيرة للرد على طلبات وشكاوى وقرارات مركز حماية البيانات الشخصية كما هو وارد فى المواد 2 و10 و32 و33 سيؤدى إلى الوقوع فى مخالفات وتوقيع عقوبات على خلاف القوانين الدولية،لذلك يجب التأكيد على الرد فى المدة المحددة طالما أنه يوضح حالة الطلب والمدة اللازمة لاستيفاء كامل الطلب حتى وإن كان مازال قيد الاستيفاء .
أشاروا إلى خلو المادتين 4 و5 من القانون من وجود ضوابط للمعالج للقيام بدوره وإشراك معالجين آخرين دون علم المتحكم من شأنه إضعاف قدرته على الالتزام بواجباته المنصوص عليها، لذلك يجب التأكيد على عدم السماح للمعالج بمعالجة البيانات الشخصية لأغراض أخرى إلا إذا كانت مجهلة وإلا أصبح المعالج فى حكم المتحكم وتنطبق عليه إلتزامات المتحكم والعقوبات المتعلقة وتوضيح عدم إمكانبة إشراك معالج أخر دون إذن كتابى مسبق من المتحكم
يعتقد مسئولو الشركات أن المادة 12 الواردة فى الفصل السادس المعنون بـ «البيانات الشخصية الحساسة» والتى تشترط ضرورة توافر موافقة ولى الأمر إذا كانت البيانات الشخصية للأطفال من شأنها تقييد تقديم خدمات الاتصالات ومعالجة بيانات المشتركين الذين تتراوح أعمارهم بين 16و 18 عاما بسبب شرط موافقة ولى الأمر خاصة إذ ما تم تفسير سن الطفل بـ 18 عاما .
أكدوا، إن المادة 17 من الفصل الثامن المعنون بـ «التسويق الإلكترونى المباشر» والتى تنص على «يحظر إجراء أى اتصال إلكترونى بغرض التسويق المباشر للشخص المعنى بالبيانات إلا بتوافر شروط منها الحصول على موافقة من الشخص المعنى بالبيانات، أن يكون للمرسل عنوان صحيح وكاف للوصول إليه» يستحيل تطبيقها وتلحق ضررا بالغا بمصالح وربحية المتحكم.
أضافوا : لذلك يجب التأكيد على إتاحة حق الاعتراض وخاصة على التسويق عموما سواء كان التسويق لمنتجات أو خدمات طالما كانت متوافقة مع نشاط المتحكم وأغراضه المشروعه .
ويقصد بمفهوم التسويق الإلكترونى طبقا للقانون إرسال أى رسالة أو بيان أو محتوى إعلانى أو تسويقى بأى وسيلة تقنية أيا كانت طبيعتها أو صورتها تستهدف بشكل مباشر أو غير مباشر ترويج سلع أو خدمات أو طلبات تجارية أو سياسية أو اجتماعية أو خيرية موجهة إلى أشخاص بعينهم .
أوضحوا، أن المادة 30 والمتعلقة بالجزاءات الإدارية وبالأخص البند المتعلق بنشر بيان المخالفات التى ثبت وقوعها فى وسيلة إعلام أو أكثر واسعة الانتشار على نفقة المخالف يسهم فى الإضرار بسمعة المتحكم والمعالج أثناء عملية تصحيح المخالفة دون إجراء تصعيدى ومن ثم التأثير السلبى على ربحيته واستمراريته ولذا يجب ترتيب الجزاءات وإدراج آلية تصاعدية للجزاءات وتحديد مدة زمنية للمتحكم والمعالج للرد وإزالة المخالف مع إمكانية مد المهلة الزمنية بموافقة مركز حماية البيانات الشخصية إذ دعت الحاجة لذلك قبل الانتفال لجزاء أعلى للتصعيد ضد المتحكم أو المعالج.