يدخل “قانون حماية البيانات الشخصية” في الأردن حيّز التنفيذ في شهر شباط/فبراير الجاري، بعدما أقرّه مجلس النواب ضمن دورته الاستثنائية في شهر آب/أغسطس 2023.
تأتي هذه الخطوة بعد عدة سنوات ظلّت فيها مسودة القانون حبيسة أدراج الدوائر الحكومية وديوان التشريع والرأي. عام 2014، قدّمت وزارة الاقتصاد الرقمي (وزارة الاتصالات حينها) أوّل مسودة مشروع لحماية البيانات الشخصية، تلتها نقاشات ومراجعات مكثفة بترحيب ومشاركة نشطاء وخبراء في مجال الحقوق الرقمية نتج عنها عدة مسودات مطوّرة، إلى أن أقرّ مجلس الوزراء مشروع قانون حماية البيانات الشخصية لسنة 2021.
وبعد تحويله إلى مجلس الأمة الأردني، شهد القانون جدلاً بين أعضاء مجلس النواب نظراً لأنه فتح الباب أمام تشريعٍ جديد متعلّق بالبيانات والمعلومات الخاصة بالأفراد وتضاربه مع مصالح واسعة للحكومة وأطراف ثالثة، لا سيما قطاعات الأعمال التي تعتمد على البيانات الشخصية لتصميم إعلاناتها أو حتى بيع هذه البيانات.
وعلى الرغم من الترحيب بهذه الخطوة التشريعية، إلا أن هناك تحفظات وتخوفات أبداها ناشطون على مواقع التواصل الاجتماعي على بعض نصوص مواد القانون التي يرون أنّها قد تؤدي إلى إساءة استخدام المعلومات الشخصية من قبل صانع القرار وأطراف ثالثة. يركّز هذا المقال على تحليل قانوني يسلط الضوء على الضمانات الرئيسية والثغرات في مواد القانون، وتساؤلاتٍ عمّا إذا كان القانون سيقدّم ضمانات للمواطنين الأردنيين تتعلّق بحماية خصوصيتهم.
خطوة في الاتجاه الصحيح، ولكن
يأمل المشرّعون أن يكون قانون حماية البيانات الشخصية في الأردن الناظم الحقيقي لبيانات الأفراد ومنع التعرض لها من الجهات المختلفة، إذ يعد خطوة حيوية نحو تعزيز الأمان الرقمي وصون خصوصية المواطنين بالإضافة إلى احترام حق الأشخاص في حماية بياناتهم الشخصية كما جاء في الأسباب الموجبة للقانون، وذلك في إطار تطوير الحمايات الدستورية فيما يتعلق بحرمة الحياة الخاصة.
تقول الحقوقية وخبيرة التشريعات الإعلامية والرقمية، الدكتورة نهلا المومني، في حديث مع “سمكس”، إنّ “هذا القانون فكرته الأساسية وغايته أنّه ينظّم عمل الجهات التي تقوم بجمع المعلومات حيث كان هناك فراغ تشريعي في هذا الإطار، ويحسب للقانون أنه وضع إطار متكامل لحماية البيانات الشخصية بدءاً من عملية جمع المعلومات وآليات ذلك ومروراً بمعالجتها والغرض والغاية من ذلك والحصول على الموافقة المسبقة ووضع عقوبات على من يخالف أحكام القانون”.
كما تأتي أهمية القانون في تنظيم البيئة الرقمية في ظل التطوّر السريع الذي يشهده العالم فيما يتعلق بالتحول الرقمي، إذ يُعتبَر القانون ضرورياً بالنسبة للأردن الذي يسعى أن يكون بيئة محفزة للاستثمار لأنّ ضمان سرية البيانات أمر مهم للغاية في مجال الاستثمارات الرقمية وتكنولوجيا المعلومات.
يؤكّد عيسى محاسنة، المدير التنفيذي لـ“الجمعية الأردنية للمصدر المفتوح” (JOSA)، أنّ الأسباب الاقتصادية كانت من بين الأسباب الأساسية التي دفعت الأردن باتجاه سن قانون حماية البيانات الشخصية، مستشهداً بأنّ “اللجنة التي درست القانون في مجلس النواب كانت لجنة الاقتصاد والاستثمار وليست اللجنة القانونية”.
يرى محاسنة أنّه وبالإضافة لتنظيم البيانات وحمايتها فإنّ الدولة الأردنية تركّز أيضاً بشكل أكبر على الفائدة الاقتصادية للقانون، لاسيما من ناحية الاستثمارات المتعلقة بقطاع الاتصالات وتكنولوجيا المعلومات ومع سعي الأردن المستمرّ ليكون مركز تكنولوجيا المعلومات في المنطقة. ويضف أنّ “وجود توافق بين التشريعات المختلفة في العالم فيما يتعلق بحماية البيانات، وبالطبع وجود قانون يتواءم مع اللائحة العامة لحماية البيانات (GDPR) الأوروبية، مهمّ لجذب الاستثمارات”.
يرى محاسنة أنّ من أهمّ المواد التي جاء بها القانون هي تلك التي تتعلق بحقوق أصحاب البيانات والتي تتوافق مع عدد من المبادئ الأساسية لـ”اللائحة العامة لحماية البيانات” (GDPR)، خصوصاً ما يتعلق بالتعريفات مثل تعريف البيانات والبيانات الحساسة، إلّا أنّ القانون خالف بعض المبادئ الجوهرية في يتعلق بالخصوصية وحماية البيانات.
فقد عرّف القانون الجديد البيانات الشخصية على أنّها أيّ “بيانات أو معلومات تتعلق بشخص طبيعي من شأنها التعريف به بطريقة مباشرة أو غير مباشرة، مهما كان مصدرها أو شكلها بما في ذلك البيانات المتعلقة بشخصه أو وضعه العائلي أو أماكن تواجده”. كما ميّز البيانات الحسّاسة بأنّها “أي بيانات أو معلومات تتعلق بشخص طبيعي تدل بصورة مباشرة أو غير مباشرة على أصله وعرقه أو تدل على آرائه وانتماءاته السياسية أو معتقداته الدينية أو أي بيانات تتعلق بوضعه المالي أو بحالته الصحية أو الجسدية أو العقلية أو الجينية أو بصماته الحيوية (البيومترية)”، أو “بسجل السوابق الجنائية الخاص به أو أي معلومات أو بيانات يقرر المجلس اعتبارها حساسة إذا كان إفشاؤها أو سوء استخدامها يلحق ضرراً بالشخص المعني بها”.
إلا أنّ المشرع لم يضع تنظيم قانون خاص لها ولم يميّزها عن البيانات الشخصية في معالجته، والتي عادةً ما تحتاج إلى حماية إضافية إذ أخضعها للأحكام ذاتها دون مراعاة أنها تحتاج حماية خاصة واكتفى بإيراد تعريف للبيانات يجمع بين البيانات الشخصية والبيانات الشخصية الحساسة والتزم بذكره في بقية مواد القانون.
ولمعالجة البيانات، نصّ قانون حماية البيانات الشخصية في الأردن على وجوب الحصول على موافقة الفرد المسبقة، كما حدّد الشروط الواجب توفرها للحصول على موافقة الفرد المسبقة لمعالجة بياناته، وفقما بيّنت المادتان 4 و5، مثل أن تكون الموافقة صريحة ومكتوبة خطياً أو إلكترونياً، وأن تكون محددة المدة والغرض، كما اشترط أن تكون لغة الطلب غير مضللة حيث لا يعتد بالموافقة المسبقة إذا صدرت استناداً إلى معلومات غير صحيحة أو مضللة أو ممارسات خادعة، وكذلك إذا تم تغيير طبيعة المعالجة أو نوعها أو هدفها دون الحصول على موافقة بذلك.
وعلى الرغم من سحب مصطلح “الحق في النسيان” الذي كان موجوداً في مسودات القانون السابقة، أبُقِي على مضمونه إذ نصت المادة 10 على الحق في محو البيانات أو إخفائها واتخاذ التدابير اللازمة في عدة حالات، منها إذا تمّت المعالجة لغرض غير الذي جمعت من أجله أو بشكل غير الذي تمت الموافقة المسبقة عليه، أو إذا سحب الشخص المعني الموافقة المسبقة التي كانت تستند إليها المعالجة.
وتضمن القانون صلاحية تقديم الشكاوى ورفع القضايا في حال تمت معالجة البيانات بطرق غير مشروعة، من خلال آليات وأنظمة ستوضع لغايات تنظيم هذا الأمر، في حين يوقع القانون عقوبة على كلّ من يستغلّ وظيفته في الإفصاح عن البيانات.
مجلس حماية البيانات: الخصم والحكم
يشير قانون حماية البيانات الشخصية في المادة 16 إلى تشكيل “مجلس حماية البيانات الشخصية” ليكون مسؤولاً عن النظر في الشكاوى المقدمة بحق المسؤول أو الجهة التي قد تقوم بالاطلاع على البيانات أو معالجتها بدون موافقة الشخص المعني، بالإضافة إلى اعتماد المعايير والتدابير الخاصة بحماية البيانات، وإصدار التراخيص والتصاريح لتخزين ومعالجة وتشخيص ونقل البيانات وغيرها من المهام الرقابية والتنظيمية، من بين عدة مهام أخرى.
ولكنّ هيكلية “مجلس حماية البيانات”، أثارت شكوكاً وتساؤلات حول مدى قدرة هذا المجلس على القيام بدوره بحيادية، إذ أنّ هيكلية المجلس الحالية يتكون معظمها من السلطة التنفيذية ما قد يتسبّب بتضارب في المصالح وتقليل القدرة على محاسبة الجهات الحكومية في حال انتهاكها للبيانات خصوصاً أنّها من أكثر الجهات التي تجمع وتعالج، كما تخالف المعايير الدولية لحماية البيانات التي ترى أهمية الاستقلالية حتى يتمكن المجلس من القيام بدوره وضمان تطبيقه الممارسات الفضلى.
على سبيل المثال، تترأّس وزارة الاقتصاد والريادة بشخص الوزير هذا المجلس، وهي وزارة “لديها اهتمامات في تطوير قطاع تكنولوجيا المعلومات والشركات التي تتمثّل مصالحها في جمع أكبر قدر من البيانات الشخصية وليس بالضرورة حماية خصوصية أصحاب البيانات”، بحسب موجز سياسات أصدرته منظمة “أكسس ناو” (Access now) عام 2022. علاوة على ذلك، يضم المجلس شخصين من الأجهزة الأمنية وممثلاً عن البنك المركزي، كما أوكل نصّ القانون مهمة تسمية أربعة من الخبراء ليكونوا جزءاً من المجلس إلى رئاسة الوزراء، ما سيقوّض استقلالية المجلس كهيئة رقابية أكثر فأكثر.
“إذا تضرّر شخصٌ ما من معالجة للبيانات قامت بها إحدى الجهات التي يتكون منها المجلس، كيف يمكن أرفع شكوى ضدّ جهة هي عضو فيه؟ كيف ستراقب الجهة المراقِبة نفسها أصلاً؟ كيف يمكن أن آخذ حقي من الوزارة التي ترأس نفسها اللجنة التي تنظر في الشكاوى؟”، يتساءل محاسنة، مؤكّداً أنّ “هذا تضاربٌ في المصالح”.
وفي هذا الصدد، تشير المومني إلى أنّ “وجود مجلس خاص يراقب ويشرف على حماية البيانات الشخصية نقطة هامة ويوفر جهة خاصة يتظلم لديها الأفراد وتراقب في الوقت ذاته تطبيق القانون”. ومع ذلك، لتوفير أكبر قدر من الضمانات الخاصة بهذا المجلس، “يمكن النظر في أن تكون آليات تسمية الخبراء واضحة وتوفير ضمانات تتعلق بكيفية إنهاء عمل الأعضاء كما هو معمول به في التشريعات المقارنة”.
لغة فضفاضة و”استثناءات” واسعة
على الرغم من أنّ مواد قانون حماية البيانات الشخصية في الأردن نصّت على حقوق الفرد في حماية بياناته الشخصية واشتراط موافقته على معالجة بياناته، بالإضافة إلى تحديد شروط عملية المعالجة والتزامات المسؤول عنها، إلا أنّها في نفس الوقت فسحت المجال لاستثناءاتٍ فضفاضة كان من الممكن تضييقها.
توسّع المشرّع في تعداد الحالات التي يتاح بها الوصول إلى البيانات ومعالجتها دون الحصول على موافقة أو إعلام الشخص المعني لعدة أسبابK ومنها، إن كانت معالجة البيانات من قبل جهة عامة مختصة، وإذا كانت ضرورية للأغراض الطبية الوقائية، ولحماية حياة الشخص المعني ولمنع الجريمة أو كشفها، ولأغراض البحث العلمي، ولأغراض إحصائية أو لمتطلبات الأمن الوطني.
ترى المومني أنّ قانون حماية البيانات الشخصية في الأردن “تضمّن استثناءات تتوافق والمنطق القانوني وكذلك تتوافق مع المعايير الدولية لحقوق الإنسان والممارسات الفضلى المعمول بها في التشريعات المقارنة”. في المقابل، تضمّن القانون كذلك استثناءات لبعض الجهات المتعاقَد معها، على أن يتضمّن التعاقد مراعاة ما ورد في قانون حماية البيانات الشخصية”، وهو ما قد يؤدّي، بحسب المومني، إلى معالجة بعض البيانات الشخصية للأفراد من قبل بعض الجهات المتعاقد معها، خاصّة أنّ “الأفراد عموماً لا يمتلكون الوعي الكافي للاطّلاع على العقود ومحتواها، كما أنّ بعض العقود مع الشركات الخاصة هي عقود لا يملك الأفراد فيها خيارات واسعة بالرفض أو القبول”.
شملت اللائحة أيضاً استثناءات مطلوبة لأغراض قيام الجهات الخاضعة لرقابة وإشراف البنك المركزي، بما في ذلك نقل وتبادل البيانات داخل وخارج الأردن وفقاً لما يقرره البنك المركزي الأردني. وهذا يعني أن جهات واسعة مثل البنوك وشركات التأمين يتاح لها معالجة البيانات دون الحصول على موافقة الشخص المعني.
بالإضافة إلى ذلك، شملت الاستثناءات مصطلحات ذات دلالات واسعة في منح الصلاحية للمعالجة مثل “الأمن الوطني” و”المصلحة الوطنية”، والتي لا تحمل دلالة واضحة ومن دون أن يوضح المشرّع المقصود بها على وجه التحديد. ويقول محاسنة، المدير التنفيذي لـ”الجمعية الأردنية للمصدر المفتوح”، إنّ “استخدام مصطلح ’المصلحة العامة‘ لوحده دون اقترانه بالمتطلبات الأمنية، يجعل هذا الاستثناء فضفاضاً، لا سيما وأنّ الحالات التي يمكن أن تحقق فيها معالجة البيانات المصلحة العامة غير مفصلة بالقانون”.
لم يكتفِ المشرّع بالتوسّع في الاستثناءات الممنوحة لجهات معالجة البيانات، بل أضاف أيضاً مواد تتعلق بإصدار تراخيص وتصاريح لمعالجة البيانات دون الحصول على موافقة الشخص المعني، وذلك وفقاً لتعليمات يصدرها مجلس الوزراء؛ “فكرة التراخيص تخالف جوهر القانون الذي أُوجد لحماية بيانات الأشخاص، وتخالف اللائحة العامة لحماية البيانات (GDPR)، فكلّ معالجة للبيانات يجب أن تعتمد على موافقة صريحة من صاحب البيانات “، يعقّب محاسنة.
تطبيق القانون..تفاؤل حذر
ألزم قانون حماية البيانات الشخصية الأردني جميع الجهات التي تتعامل بالبيانات بتوفيق أوضاعها خلال مدة لا تتجاوز سنة من تاريخ نفاذه.إلا أنّه أمام الاستثناءات الواسعة وإصدار التصاريح والتراخيص التي وردت في القانون، بدت الأمور أقلّ تفاؤلاً.
فمحاسنة الذي كان متفائلاً بسبب تضمّن الأسباب الموجبة الكثير من الأمور المتعلقة بالحق في الخصوصية، يبدي تحفظاً على الاستثناءات المتعلقة بالتصاريح وإرسال مسودة القانون بالأساس إلى لجنة الاقتصاد والاستثمار بدلاً من اللجنة القانونية. كما يلفت إلى أنّ القانون يحتاج إلى تطبيق أنظمة وتعليمات مذكورة في نصوصه، وكذلك إنشاء مجلس حماية البيانات الشخصية الذي لم يُشكّل حتى الآن.
وأخيراً، يشير محاسنة إلى أنّ الجهة الجاهزة الآن لتطبيق القانون هي القضاء، مستائلاً “هل القضاة على دراية بحيثيات وتفاصيل القانون وهو قانون جديد ويدخل مفاهيم وجرائم جديدة؟”.
“أرى أن نعطي وقتاً لتطبيق القانون. إنّها الطريقة الوحيدة التي ستتيح لنا اكتشاف الثغرات مباشرة”، تختم المومني.
الصورة الرئيسية من أ ف ب.
