التعدي على البيانات الشخصية الإلكترونية

بواسطة /

المسؤولية الجزائية عن التعدي على البيانات الشخصية

اهتم المشرع الأردني اهتمام بالغا بالبيانات الشخصية ولبى نداء العديد من الفقهاء القانونين بضرورة سن تشريعي قانوني خاص بحماية البيانات الشخصية لما تمثله هذه البيانات من أهمية للشخص المعني بها  و ما قد ينتجه التعدي عليها بإفشائها أو  معالجتها دون إذن مسبق منه أو دون مسوغ قانوني من  ضرر بالغ بالشخص المعني، وإزاء تلك الأهمية ورغبة من المشرع في الزام جميع الأطراف المخاطبة بهذا القانون ببذل الجهد اللازمة لحماية البيانات الشخصية فقد وضع المشرع الضوابط اللازمة لعملية معالجة أو تعديل أو تشخيص البيانات الشخصية وجعلها ملزمة لجميع الأطراف وانتهى الى فرض عقوبات جزائية على من يخالف أحكام هذا القانون

وفي هذا المقال سوف نتناول أحكام المسؤولية الجزائية عن التعدي على البيانات الشخصية على النحو الاتي:

أولا: تعريف جريمة التعدي على البيانات الشخصية

ثانيا: محل جريمة التعدي على البيانات الشخصية

ثالثا: صور جرائم التعدي على البيانات الشخصية

رابعا: عقوبة مخالفة أحكام قانون البيانات الشخصية

 

أولا: تعريف جريمة التعدي على البيانات الشخصية

لم يعرف قانون حماية البيانات الشخصية جريمة التعدي على البيانات الشخصية بشكل مباشر، إلا أنه عرف في المادة الثانية منه بعض صور هذه الجريمة تحت مسمى الإخلال بأمن وسلامة البيانات الشخصية، حيث عرف هذا الإخلال بأنه : ( أي وصول غير مشروع أو أي عملية أو نقل أو إجراء غير مصرح به على البيانات ).

– وترتيبا على ذلك فيمكننا تعريف جريمة التعدي على البيانات الشخصية بأنها:  قيام الجاني بأفعال مادية  من شأنها الوصول الى  بيانات الأفراد بشكل غير مشروع والا طلاع عليها أو نقلها أو معالجتها دون الحصول على موافقة مسبقة من الشخص المعني بهذه البيانات أو بدون  مسوغ من القانون يجيز ذلك.

  • والملاحظ أن جريمة التعدي على البيانات الشخصية قد تحدث في بيئة رقمية وبوسائل إلكترونية وذلك إذا ما كانت البيانات الشخصية محل الاعتداء محفوظة على قواعد بيانات وسجلات إلكترونية سواء على أحد أجهزة الحواسيب أو السيرفرات أو المواقع الإلكترونية أو غيرها من قواعد بيانات رقمية منشأة لحفظ البيانات الشخصية، كما قد تحدث  هذه الجريمة بالاطلاع أو بالتعديل أو بالمعالجة الغير مشروعة في السجلات والدفاتر الورقية، وذلك إذا كانت هذه السجلات أو الدفاتر معدة لإثبات هذه البيانات وأيا كانت طريقة الاعتداء على البيانات الشخصية للأفراد فإنها متى حدثت فتكون  خاضعة لهذا القانون وغيره من تشريعات ورد فيها تجريم وعقاب أشد من الوارد في هذ القانون.

ثانيا: محل جريمة التعدي على البيانات الشخصية

جعل المشرع الأردني الهدف من هذا التشريع وبشكل مباشر هو حماية البيانات الشخصية للأفراد  وعرف هذه البيانات  في المادة ( 2 ) منه على أنها : ( أي بيانات أو معلومات تتعلق بشخص طبيعي ومن شأنها التعريف به بطريقة مباشرة أو غير مباشرة مهما كان مصدرها أو شكلها بما في ذلك البيانات المتعلقة بشخصه أو وضعه العائلي أو أماكن تواجده. ) وكذلك البيانات الشخصية الحساسة والتي عرفتها ذات المادة بأنها : ( أي بيانات أو معلومات تتعلق بشخص طبيعي تدل بصورة مباشرة أو غير مباشرة على أصله أو عرقه أو تدل على آرائه أو انتماءاته السياسية أو معتقداته الدينية أو أي بيانات تتعلق بوضعه المالي أو بحالته الصحية أو الجسدية أو العقلية أو الجينية أو بصماته الحيوية  (البيومترية) أو بسجل السوابق الجنائية الخاص به أو أي معلومات أو بيانات يقرر المجلس اعتبارها حساسة إذا كان إفشاؤها أو سوء استخدامها يلحق ضررا بالشخص المعني بها).

وبالتالي فالمحل في جرائم التعدي على البيانات الشخصية هو هذه البيانات ذاتها والتي تتمثل في جميع المعلومات التي تدل على شخص ما، سواء بشكل مباشر أو غير مباشر، وكذلك البيانات التي تتعلق بأصله أو محل سكنه أو مكان تواجده إضافة الى البيانات الشخصية الأكثر تفصيلا والأشد حساسية مثل البيانات المتعلقة بالمعتقد الديني أو المتعلقة بالحالة الصحية أو الجينية.

ثالثا: صور جرائم التعدي على البيانات الشخصية

حاول المشرع الأردني مواجهة جميع صور التعدي على البيانات الشخصية واضعا في الاعتبار ما قد يستجد منها، خاصة مع تحول  طريقة حفظ هذه البيانات من الطريقة الكلاسيكية في صورة دفاتر ملموسة وقيد البيانات فيها يدويا،  إلى الطريقة التقنية وذلك بحفظ البيانات بشكل عام والبيانات الشخصية خصوصا في صورة قواعد بيانات وسجلات إلكترونية.

ويظهر حرص المشرع على الإلمام بجميع صور التعدي على البيانات الشخصية وكفل الحماية اللازمة لحفظها من خلال ذكر صور التعدي عليها بشكل فضفاض، ودون تحديد طرق التعدي بشكل جازم حتى لا ينغلق الباب أمام  التشريع الجديد  في مواجهة أي صورة جديدة من صور التعدي على البيانات الشخصية أو الإخلال بأمانها  وع ذلك فقد أورد المشرع الأردني مجموعة من صور  الأعمال التي تعد خرق لحق الشخص في حماية بياناته الشخصية ثم وضع العقاب المناسب لهذه الصور على النحو الآتي :

1جريمة معالجة في للبيانات الشخصية دون الحصول على إذن مسبق من الشخص المعني:

وقد تناولت المادة ( 4  ) من قانون حماية البيانات الشخصية هذه الجريمة حيث  قررت المادة في مقدمتها على حق الشخص في  الحفاظ على بيانته الشخصية وحمايتها، ومنعت أي معالجة لهذه البيانات إلا بعد الحصول على إذن مسبق من الشخص المعني بها، أو في حالة  توافر مسوغ قانوني لذلك ويتمثل الركن المادي لهذه الجريمة بقيام الجاني بالاطلاع على البيانات الشخصية لشخص آخر والقيام بالتعديل، أو التشخيص، أو  المعالجة لها سواء تم ذلك يدويا بالتعديل في الدفاتر الورقية والسجلات، أو إلكترونيا بالتعديل في قواعد البيانات والسجلات الإلكترونية حيث نصت المادة ( 4 ) من القانون على : ( مع مراعاة المادة (6) من هذا القانون:-

أ- لكل شخص طبيعي الحق في حماية بياناته ولا يجوز  معالجتها إلا بعد الحصول على الموافقة المسبقة للشخص المعني أو في الأحوال المصرح بها قانونا.

ب- يتمتع الشخص المعني بالحقوق التالية:-

1- العلم والاطلاع والوصول الى البيانات الموجودة لدى المسؤول والحصول عليها.

2- سحب الموافقة المسبقة.

3- التصحيح أو التعديل أو الإضافة أو التحديث للبيانات .

4- تخصيص المعالجة في نطاق محدد.

5- المحو أو الإخفاء للبيانات وفقاً لأحكام هذا القانون.

6- الاعتراض على المعالجة والتشخيص إذا  كانا غير ضروريين لتحقيق الأغراض التي جمعت البيانات من أجلهما أو كانتا زائدتين على متطلباتها أو تمييزية أو مجحفة أو مخالفة للقانون.

7- نقل نسخة من بياناته من المسؤول الى مسؤول آخر.

8- العلم والمعرفة بأي خرق أو انتهاك أو إخلال بأمن وسلامة بياناته.

ج- لا يترتب على ممارسة الشخص المعني لحقوقه المنصوص عليها في الفقرة (ب) من هذه المادة أي تبعات مالية أو تعاقدية بما لا يخل بحقوق المسؤول.

د-  تنظم أحكام هذه المادة بمقتضى نظام يصدر لهذه الغاية )  .

  • وعلى الرغم من ذلك فقد أجاز المشرع معالجة البيانات الشخصية في بعض الحالات حتى لو لم يسبقها موافقة مسبقة من الشخص المعني، وذلك إذا توافرت أحد  الحالات التي حددتها المادة ( 6 ) من هذا القانون، إذ تكون هذه الحالة المعالجة مشروعة ولا تعد جريمة جزائية يعاقب عليها فاعلها، حيث نصت المادة على تلك الحالات بقولها : ( أ- تعد المعالجة قانونية ومشروعة ويجوز إجراؤها دون الحصول على الموافقة المسبقة أو إعلام الشخص المعني في الحالات التالية:-

1- المعالجة التي تتم مباشرة من قبل جهة عامة مختصة بالقدر الذي يقتضيه تنفيذ المهام المنوطة بها وفقاً لأحكام التشريعات النافذة أو من خلال جهات أخرى متعاقد معها على أن يتضمن التعاقد مراعاة كافة الالتزامات والشروط المنصوص عليها في هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه.

2-اذا كانت ضرورية للأغراض الطبية الوقائية أو التشخيص الطبي أو تقديم الرعاية الصحية من قبل المرخص له بمزاولة أي من المهن الطبية .

3- إذا  كانت ضرورية لحماية حياة الشخص المعني أو لحماية مصالحه الحيوية.

4- إذا  كانت ضرورية لمنع جريمة أو لكشفها من قبل جهة مختصة أو لملاحقة الجرائم المرتكبة خلافا لأحكام القانون.

5- إذا  كانت مطلوبة أو مصرحا بها بموجب أي من التشريعات أو تنفيذا لها أو بقرار من المحكمة المختصة.

6- إذا  كانت مطلوبة لأغراض قيام الجهات الخاضعة لرقابة وإشراف البنك المركزي الأردني بأعمالها وفقا لما يقرره البنك المركزي الأردني بما في ذلك نقل وتبادل البيانات داخل المملكة أو خارجها.

7- المعالجة التي تتم وفقاً لأحكام النظام الصادر بمقتضى أحكام هذا القانون.

8- إذا  كانت ضرورية لأغراض البحث العلمي أو التاريخي شريطة أن لا يكون الغرض منها اتخاذ أي قرار أو إجراء بشأن شخص محدد.

9- إذا  كانت ضرورية لأغراض إحصائية أو لمتطلبات الأمن الوطني أو لتحقيق المصلحة العامة.

10- إذا  كان محل المعالجة بيانات متاحة للجمهور من الشخص المعني.

ب- لا يجوز الاحتفاظ بالبيانات التي تمت معالجتها بعد انتهاء الغرض من المعالجة ما لم تنص التشريعات على خلاف ذلك ).

2- جريمة مخالفة المعالج الشروط القانونية للمعالجة المشروعة

إذا كان المشرع قد أجاز معالجة البيانات الشخصية سواء بعد الحصول على موافقة الشخص المعني، أو في الحالات التي يكون  أساس معالجة البيانات الشخصية هو القانون، إلا أن المشرع لم يكن ليسمح بترك عملية المعالجة دون ضوابط وشروط  وهو ما قرره المشرع صراحة في المادة ( 7 ) من القانون حيث نص على  الشروط والإجراءات التي يجب الالتزام بها أثناء القيام بالمعالجة فقد نصت المادة ( 7 ) من قانون حماية البيانات الشخصية على : ( يشترط في المعالجة ما يلي:-

أ-   أن يكون الغرض منها مشروعا ومحددا وواضحا .

ب- أن تكون متفقة مع الأغراض التي تم جمع البيانات من أجلها.

ج-  أن تتم بوسائل قانونية ومشروعة.

د-   أن تستند الى بيانات صحيحة ودقيقة ومحدثة.

هـ- أن لا تؤدي الى تحديد الشخص المعني بعد استنفاذ الغرض منها.

و-  أن لا تؤدي إلى التسبب بضرر للشخص المعني أو تنال من حقوقه بشكل مباشر أو غير مباشر.

ز-   أن تتم بطريقة تضمن سرية المعلومات وسلامتها وعدم حدوث أي تغيير عليها ).

  • كما نصت المادة ( 12 ) من ذات القانون على الالتزامات التي يجب على المعالج التقيد بها أثناء عملية المعالج حيث نصت على : (يلتزم المعالج بما يلي:-

أ-  إجراء المعالجة وتنفيذها وفقا للمتطلبات والشروط المنصوص عليها في هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه.

ب- عدم تجاوز الغرض المحدد للمعالجة ومدتها .

ج-  محو البيانات بانقضاء مدة المعالجة أو تسليمها للمسؤول.

د-   الامتناع عن القيام بأي عمل يكون من شأنه إتاحة البيانات أو نتائج المعالجة إلا في الأحوال المصرح بها قانونا ) .

  • وترتيبا على هاذين النصين فإذا ثبت أن المعالج  لم يلتزم بتلك الشروط والالتزامات وبشكل عمدي، فيكون مرتكبا لأحد الأفعال الخارقة لقانون حماية البيانات الشخصية، ما يرتب المسؤولية الجزائية ويستأهل عقاب الجاني بالعقوبات المقررة وفقا لهذا القانون مالم يكن هناك عقاب اشد في تشريع آخر ينطبق على الواقعة محل التجريم.

3- جريمة مخالفة المسؤول الالتزامات المقررة عليه أثناء إجراء معالجة البيانات الشخصية

عرفت المادة ( 2 ) من قانون حماية البيانات الشخصية المسؤول على أنه : (أي شخص طبيعي أو اعتباري سواء أكان داخل المملكة أم خارجها تكون البيانات في عهدته ).

  • وإذا كان المسؤول عن البيانات الشخصية بهذه الأهمية فإن تقرير المسؤولية الجزائية في مواجهته امر حتمي، فهو من يضع يده على البيانات الشخصية للفرد والأجدر بأن يفرض لها الحماية اللازمة ، ولا مشكلة في توقيع العقوبات الجزائية على المسؤول اذا كان شخصا طبيعيا، لكن يثور تساؤل عن كيفية توقيع المسؤولية الجزائية على المسؤول إذا  كان شخصا معنويا ؟
    وللإجابة على هذا التساؤل فإن الناظر الى طبيعة العقوبات المقررة على خرق أحكام هذا القانون يجدها عبارة عن غرامات مالية وليس فيها عقوبات مقيدة للحرية وبالتالي فمن المقبول توقيعها على المسول سواء كان شخصا طبيعيا أو اعتباريا.

  • وإذا كان المشرع قد وضع العديد من الالتزامات والواجبات التي يجب على المسؤول أن يتقيد بتطبيقها أثناء وجود البيانات الشخصية تحت يده، أو في أوقات معالجتها، أو نقلها، أو  تشخيصها فان ذلك يقتضي تقرير المسؤولية الجزائية عليه في حالة مخالفته عمدا لأي من هذه الالتزامات، ومن اهم هذه الالتزامات ما قررته المادة (8 /أ ، ب ) من القانون بقولها :(يلتزم المسؤول بما يلي:-

أ- اتخاذ الإجراءات اللازمة لحماية البيانات التي في عهدته وتلك التي سلمت إليه من قبل أي شخص آخر.

ب- اتخاذ التدابير الأمنية والتقنية والتنظيمية التي تكفل حماية البيانات من أي إخلال بأمنها وسلامتها أو أي كشف أو تغيير أو إضافة أو إتلاف أو إجراء غير مصرح به وفقا لتعليمات يصدرها المجلس لهذه الغاية ) .

  • كذلك في حالة مخالفته لالتزامه بتعيين مراقب في الحالات المنصوص عليها في المادة (11 /أ ) من هذا القانون حيث نصت على : (أ- يلتزم المسؤول بتعيين المراقب في الحالات التالية:-

1-اذا كان العمل الرئيسي للمسؤول معالجة البيانات الشخصية.

2- معالجة البيانات الشخصية الحساسة.

3- معالجة البيانات لمن لا يتمتع بالأهلية القانونية.

4- معالجة البيانات التي تتضمن معلومات مالية.

5- نقل قواعد البيانات إلى خارج المملكة.

6- أي حالة أخرى يقرر المجلس الزام المسؤول بتعيين المراقب لأجلها ).

كذلك تقوم المسؤولية الجزائية في مواجهة المسؤول في حالة مخالفته الالتزام بمنع نقل البيانات إلا في الحالات المنصوص عليها في القانون وبالشروط والكيفية التي يقررها وذلك وفقا لما نصت عليه المادة (14 ) منه حيث جاء نصها : ( أ- لا يجوز نقل البيانات وتبادلها بين المسؤول وأي شخص آخر بمن فيهم المتلقي إلا بموافقة الشخص المعني ووفقا للشروط التالية:-

1-أن يحقق النقل مصالح مشروعة للمسؤول والمتلقي.

2- أن يتوافر العلم الكافي لدى الشخص المعني بالمتلقي والأغراض التي ستستخدم البيانات من أجلها.

3- أن لا يكون الغرض من النقل التسويق لمنتجات أو خدمات ما لم يوافق الشخص المعني على ذلك .

ب- يلتزم المسؤول بالاحتفاظ بسجلات توثق فيها البيانات التي تم نقلها أو تبادلها مع المتلقي والغرض من ذلك وتوثيق موافقات الأشخاص المعنيين على النقل.

ج- على الرغم مما ورد في الفقرتين (أ) و(ب) من هذه المادة يجوز نقل البيانات وتبادلها بين الجهات العامة المختصة بالقدر الذي يقتضيه تنفيذ المهام المنوطة بها قانونا .

د-  يخضع المتلقي للمسؤوليات والواجبات القانونية ذاتها المقررة على المسؤول.

هـ- يلتزم المسؤول والمعالج والمتلقي بضمان سلامة وأمن البيانات وتهيئة الوسائل المناسبة التي تساعد في اكتشاف وتعقب حالات الاعتداء على أمنها وسلامتها ) .

  • فضلا عن ذلك تقوم المسؤولية الجزائية في مواجهة المسؤول في أي حالة أخرى يكون فيها إخلالا عمديا بالواجبات التي يقررها عليه القانون، خاصة إذا  أدى هذا الإخلال الى وقوع ضرر مباشر أو غير مباشر بالشخص المعني بالبيانات.

رابعا: عقوبة مخالفة أحكام قانون البيانات الشخصية

لم يتشدد المشرع لأردني في العقوبات التي يجب توقيها على من يثبت مخالفته لحكام هذا القانون سواء كان شخصا طبيعيا أو معنويا، إلا أنه لم يمنع توقيع أي عقوبة أشد يكون تشريع آخر قد نص عليها لمواجهة احد الأفعال الإجرامية التي تناولها قانون حماية البيانات الشخصية أيضا،  والناظر الى العقوبات المقررة يجد أن جميعها قد خلا من  أي عقوبة مقيدة للحرية، واكتفى المشرع بتقرير عقوبات إدارية على الجهة المخالفة لهذه الأحكام مثل الإنذار، أو إيقاف التراخيص، أو إلغاء التراخيص، الى جانب العقوبات المالية المتمثلة في الغرامة، وقد وردت هذه العقوبات في المادتين ( 21 ـ 22 ) من القانون حيث نصت المدة ( 21 ) على
( أ- في حال ارتكاب أي مخالفة لأحكام هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه تقوم الوحدة بإنذار المخالف للتوقف عن المخالفة وإزالة أسبابها وآثارها خلال مدة تحددها في الإنذار وإذا انقضت هذه المدة دون تنفيذ مضمون الإنذار يتخذ المجلس بناء على تنسيب الوحدة أيا من الجزاءات التالية:-

1-الإنذار بإيقاف الترخيص أو التصريح جزئيا أو كلياً.

2-إيقاف الترخيص أو التصريح جزئياً أو كلياً.

3-إلغاء الترخيص أو التصريح جزئيا أو كليا.

4-فرض غرامة مالية لا يزيد مقدارها على (500) دينار عن كل يوم تستمر فيه المخالفة على أن لا يزيد مجموع مبلغ الغرامة المفروضة على (3%) من إجمالي الإيرادات السنوية للسنة المالية السابقة للمسؤول المخالف.

ب- يجوز للوحدة نشر بيان بالمخالفات التي ثبت وقوعها على نفقة المخالف بالوسيلة والكيفية التي تراها مناسبة.

ج- لا يحول اتخاذ أي من الإجراءات المنصوص عليها في الفقرة (أ) من هذه المادة دون حق المتضرر من إقامة دعوى التعويض المدني عن الأضرار التي لحقت به نتيجة مخالفة أحكام هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه).

كما نصت المادة ( 22 ) على : ( أ- مع عدم الإخلال بأي عقوبة أشد ورد النص عليها في أي تشريع آخر يعاقب كل من يخالف أحكام هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه بغرامة لا تقل عن (1000) الف دينار ولا تزيد على (10000) عشرة آلاف دينار وتضاعف العقوبة في حال التكرار.

ب- إضافة إلى العقوبة المنصوص عليها في الفقرة (أ) من هذه المادة يجوز للمحكمة المختصة بناء على طلب النيابة العامة أو المتضرر أو من تلقاء نفسها أن تقضي بإتلاف البيانات أو إلغاء قاعدة البيانات موضوع الدعوى التي صدر بها قرار قطعي بالإدانة ).

إعداد : محمد إسماعيل حنفي

وانظر  مقال محامي جرائم  إنترنت، منشور على موقع محامي الأردن – حماة الحق.

مقالات ذات صلة

Scroll to Top