يقوم المجلس النواب الأردني حاليا بمناقشة قانون حماية البيانات الشحصية، الذي وافق عليه مجلس الوزراء. اللجنة القانونية في مجلس النواب تمتلك صلاحيات تعديل القانون، ولكن الصياغة الحالية تثير التساؤلات. الصورة لمجلس النواب، متاحة برخصة نَسب المُصنَّف [1] – الترخيص بالمثل 4.0 دولي.
نشر المقال أولًا على موقع سمكس [2] تحت شراكة مع جلوبال فويسز [3].
يشهد الأردن تحولا رقميًا والكترونيًا وزيادة في الاعتماد على التعاملات الإلكترونية عوضا عن الورقية، ويشهد بالتوازي نشاطًا تشريعيًا لإقرار قوانين تحمي البيانات الشخصية، في خطوة لتفعيل الأمن الرقمي لما له من دور بارز في حماية البيانات الشخصيّة، ويبقى السؤال الحاضر هل سيصل قانون حماية البيانات الشخصيّة إلى خواتيمه ويطبق باستقلالية؟
أقرّ مجلس الوزراء الأردني مشروع قانون حماية البيانات الشخصيَّة لسنة 2021 [4]، ورفعه لمجلس النواب، فيما أحاله مجلس النواب إلى لجنة الاقتصاد والاستثمار النيابية مع منحه صفة الاستعجال في 24 يناير / كانون الثاني لاستكمال الحلقات الدستورية المتعلقة بإصدار القانون. ويهدف مشروع القانون إلى إيجاد إطار قانوني يوازن ما بين آليَّات حقوق الأفراد في حماية بياناتهم الشخصيَّة، وبين السَّماح بمعالجة البيانات والمعلومات والاحتفاظ بها في ظل الفضاء الإلكتروني.
يقول مدير السّياسات والاسّتراتيجيات في وزارة الاقتصاد الرقمي والريادة م.توفيق أبو بكر لـ”سمكس” إنّ “مسودة القانون تعمل على تأسيس أطر تنظيمية لحفظ ومعالجة وتداول البيانات ضمن قيود والتزامات واضحة، الأمر الذي يعزز الثقة اللازمة للانخراط بالاقتصاد الرقمي والمساهمة في تشجيع التجارة والخدمات الإلكترونية في المملكة”.
بنودٌ تشريعية مثيرة للجدل حول النص القانوني
أثارت صياغة القانون عدة تساؤلات تحديدًا فيما يتعلق بالهيكلة المقترحة للهيئة المعنية بحماية البيانات وإنشائها. تنصّ المادة 4 [5] من مشروع قانون حماية البيانات الشخصيَّة على أن يترأس لجنة حماية البيانات وزير الاقتصاد الرقمي والريادة، وهو ما من شأنه أن ينال من استقلالية اللجنة بصفتها هيئة رقابية.
يقول المدير التنفيذي لـ”الجمعية الأردنية للمصدر المفتوح”، عيسى محاسنة لـ”سمكس” إنّ “الهيكلة المقترحة تضمّ في جوهرها تضاربًا في المصالح، حيث تتواجد السلطة التنفيذية ممثلة بالوزارة وأعضاء من الأجهزة الأمنية، وهم أكبر الجهات الجامعة للمعلومات، وبالتالي يصبح من ينظم ويدير مسألة الحماية هو من يقوم بمعالجة البيانات”.
ويسأل محاسنه:
هل تستطيع لجنة حماية البيانات، بهيكليتها المقترحة حاليًا، على سبيل المثال، أن تحقّق في الشكاوى المتعلقة بانتهاك الخصوصية إذا كان مرتكبوها من السلطة التنفيذية؟
في المقابل، تشير خبيرة التشريعات الإعلامية وخبيرة الحقوق والحريات الرقمية، الدكتورة نهلا المومني، لـ”سمكس”، إلى “وجود محاولة للتنويع في أعضاء الهيئة، وأنّه يمكن إعادة تشكيل اللجنة لتصبح أكثر استقلالية”. وتحدّد المومني بعض الممارسات الفضلى في اختيار رئيس اللجنة، مثل “إخضاعه لمفاضلات عدّة، وأن يعيّن بالانتخاب، كما وأن تضم الهيئة أعضاء من المجتمع المدني والحكومة وذوي الخبرة ومؤسسات مستقلة وبذلك تكون متوازنة”.
هل ستطبّق الحكومة الممارسات الفضلى؟ يؤكّد مدير السّياسات والاسّتراتيجيات في وزارة الاقتصاد الرقمي والريادة، المهندس توفيق أبو بكر، أنّ الحكومة “تعي الممارسات الفضلى لتنظيم البيانات”.
وفي تبريره، يعيد عدم استقلالية الهيئة إلى “محدودية الموارد المالية وتبنّي مجلس النواب الأردني خطة إدماج الهيئات والوزارات”، حسبما يقول في حديثه مع “سمكس”.
ولذلك، فإنّ “مديرية حماية البيانات الشخصية” التي أنشأتها وزارة الاقتصاد الرقمي والريادة، ستعمل على التشريعات الخاصة بحماية البيانات وستتلقّى البلاغات والشكاوى المتعلقة بمخالفة أحكام هذا القانون، حسبما يقول أبو بكر، مشيرًا إلى أنّ المديرية ستمضي قدمًا في “إعداد اللوائح التنظيمية وملاحظة مستوى النضج في قطاع البيانات”.
بالإضافة إلى مسألة اللجنة، تتسّم صياغة مشروع القانون بلغة فضفاضة وعامة، كما تشرح المومني، وتحديدًا في المادة 15 [5] الخاصة بالاستثناءات، التي تجيز معالجة البيانات الشخصيَّة من دون الحصول على الموافقة الصريحة والموثقة للشخص المعني بالمعالجة، من أجل “التحقيق للمتطلبات الأمنية” و”تحقيق المصلحة العامة” كما يرد في القانون الذي يعطي صلاحية الولوج إلى المعلومات لعدة جهات مثل “القضاء” و”المدعي العام”. تفتح هذه الثغرات الباب أمام “معالجة البيانات بطريقة غير مشروعة ومن دون موافقة الشخص المعني، في حين يُعتبر السماح للكثير من الهيئات بالولوج إلى المعلومات وتصفه المومني بأنه “انتهاك للحق الأساسي وينال من روح القانون والغاية منه ويحرمه من حق المواطن في النسيان في حال أراد ذلك”.
يوضح أبو بكر الأمر بأنّ “ثمّة الكثير من المؤسسات المعنية التي تحتاج البيانات الشخصيَّة حسب طبيعة عملها، من دون الحصول على موافقة مسبقة، مثل استخدام البيانات للأغراض الطبية الوقائية والتي لا يمكن تأجيل المعالجة الى حين أخذ الموافقة المسبقة من الشخص المعني بالمعالجة”. يشرح أبو بكر أنّ “القانون أشار إلى ذلك في عدة مواد، منها: المعالجة التي تتم مباشرة من قبل جهة عامة مختصة بالقدر الذي يقتضيه تنفيذ المهام المنوطة بها قانونًا، أو إن كانت ضرورية للأغراض الطبية، وأخيرًا إذا كانت ضرورية لمنع جريمة أو لكشفها بناء على قرار قضائي أو لملاحقة الجرائم المرتكبة خلافًا لأحكام القانون”.
وينص القانون في المادة 16 على أنّ للشخص المعني بالمعالجة الحق في الاعتراض على القرارات ذات التأثير المالي أو معنوي عليه، وعلى المسؤول عن المعالجة إجابة طلبه، إضافة إلى إلزامية إعلام الشخص المعني بالمعالجة خطيًا أو إلكترونيًا بذلك قبل البدء بالمعالجة مع تحديد الفترة الزمنية التي سيتم خلالها معالجة البيانات الشخصية، على أن لا يتم تمديد هذه الفترة إلا بموافقة الشخص المعني بمعالجة بياناته الشخصي وذلك بحسب المادة 17 من القانون.
قانون ينطبق على الشركات الأجنبية العاملة في المملكة الهاشمية الأردنية
يطبق هذا القانون على جميع الشركات التي تجمع وتعالج البيانات الشخصية للأفراد المتواجدين في المملكة كما يقول أبو بكر، ويخاطب مشروع قانون حماية البيانات الشخصيَّة لسنة 2021 جميع الجهات والمؤسسات والشركات وكل من يعمل على جمع الملفات أو السجلات الإلكترونية أو غير الإلكترونية أو على جمع البيانات الشخصية، سواء كان داخل المملكة أو خارجها، على أن لكل شخص طبيعي الحق في حماية بياناته ولا يجوز جمعها أو معالجتها أو الإفصاح عنها أو إفشائها أو تداولها إلا بعد الحصول على الموافقة المسبقة للشخص المعني، وتسري أحكام هذا القانون على البيانات وإن تم جمعها أو معالجتها قبل نفاذه.
تقول المومني إن “من أهم امتيازات القانون اشتراط وجود موافقة مسبقة للمواطن في استخدام بياناته”. ويشدد القانون في المادة [5]8 على أن تكون الموافقة “صريحة ومكتوبة، وتكون الموافقة محددة بالوقت والغاية، وأن يكون المواطن على دراية مسبقة بما ستخضع له بيناته ولماذا أخذت تلك البيانات، إضافة إلى تجريم معالجة البيانات لغير السبب الذي جمعت لأجله”.
يضمن مشروع القانون كذلك للمواطنين حق النسيان وإخفاء الهوية في المادة 20، التي تتيح لكل شخص أن يصل إلى البيانات الخاصة به والإطّلاع عليها أو محوها، والمطالبة بتعديلها في حال وجود معلومات خاطئة أو غير مطابقة لتوجيهاته أو انتماءاته الدينية أو السياسية أو غير ذلك. والأهم من ذلك، أنّ القانون يجرّم عدم حذف البيانات الاحتفاظ بها بعد طلب المواطن لذلك، كما تؤكّد المومني.
يشمل القانون جميع البيانات الشخصيَّة التي تتعلق بشخص طبيعي، يشرح أبو بكر. وهذه البيانات هي التي من شأنها التعريف به بطريقة مباشرة أو غير مباشرة مهما كان مصدرها أو شكلها بما في ذلك البيانات المتعلقة بشخصه أو وضعه العائلي أو أماكن تواجده ، إضافة إلى البيانات الحساسة التي تدل بصورة مباشرة أو غير مباشرة عن أصله أو عرقه أو تدل على آرائه أوانتماءاته السياسية أو معتقداته الدينية أو أي بيانات تتعلق بوضعه المالي أو بحالته الصحية أو الجسدية أو العقلية أو الجينية أو بصماته الحيوية (البيومترية) أو بسجل السوابق الجنائية الخاص به أو أي معلومات او بيانات يقرر المجلس اعتبارها حساسة اذا كان افشاؤها أو سوء استخدامها يلحق ضررا بالشخص المعني بها.
يؤكّد محاسنه أنّ “حماية البيانات حاجة ملحة وليست ضربًا من الرفاهية”، مشيرًا إلى ضرورة التطرق إلى بعض الجوانب التي أغفلتها مسودة القانون لا سيما في ضوء ما تقوم به الحكومة من رقمنة للخدمات والوثائق الحكومية، والتوجه إلى الهوية الوطنية الذكية التي تحوي البيانات الحيوية الخاصة بكل مواطن. ويتضمّن مشروع الهوية الذكية معرّفات حيوية مثل “مثل بصمة العين وبصمة صاحب الهوية وفي خطوات لاحقة ستحتوي بطاقة الهوية الوطنية على معلومات إضافية بشأن التأمين الصحي ورقم الضمان الاجتماعي وما إلى ذلك”، يشرح محاسنة. ولذلك، “لا بد من تقديم حماية إضافية للبيانات الحيوية مع تغليظ العقوبات المتعلقة بها”.
أين يقع القانون على السلم التشريعي
لا يزال النصّ مشروع قانون نال موافقة مجلس الوزراء. وبعد هذه الموافقة، يحال مشروع القانون إلى مجلس النواب للنظر فيه ليمرّ في خطوات تشريعية من خلال لجنة قانونية تقدّم اقتراحات أو تعديلات، وبعد موافقة مجلس النواب يحال إلى مجلس الأعيان للتناقش أو التعديل، وأخيرًا يرفع للملك لإصدار الموافقة النهائية.
يقول محاسنة إنّ اللجنة القانونية من قبل مجلس النواب “تمتلك كافة الصلاحيات لتعديل أيّ قانون لأنّها تستند إلى رأي خبراء، ثمّ يسيرون بالقانون في حال نُظِر إليه بعين الأهمية”. ويؤكّد على ضرورة “الإسراع في إقرار القانون إذ أنه وبحسب وزارة الاقتصاد الرقمي والريادة يعتبر القانون إحدى أولويات الحكومة الاقتصادية، على غرار المشاريع الكبرى”.
وكان بدأ العمل على مشروع قانون حماية البيانات الشخصيَّة الذي أقرّته الحكومة في عام 2021 منذ العام 2013، وهو “يُعتبر من المشاريع التي تعثرت كثيرًا”، وفقًا للمومني التي تؤكّد أنّ “تأخر الأردن عن مصافي الدول الأخرى في إقرار القانون لا يبرّر وجود محتوى قانوني يشير إلى بعض الإختلالات، أو أن لا يكون القانون بالصورة المأمولة”.