حق الأفراد في حماية بياناتهم الشخصية وفقاً لقانون حماية البيانات الشخصية
في مستهل حديثي عن حق الأفراد في حماية بياناتهم الشخصية ينبغي أن أشير إلى أن مشاركة بيانات الشخص أمر بات ضروري للتفاعل مع الأشخاص الآخرين في مجتمع اليوم، وأصبح من السهل استغلال هذه البيانات لإيذائه، للك فإنه من الضروري حماية هذه البيانات الشخصية، وانطلاقا مما سلف فإن المشرع الأردني وغيره من التشريعات حرصوا على سن التشريعات اللازمة لحماية البيانات الشخصية حيث وأصدر قانون حماية البيانات الشخصية الأردني رقم 24 لسنة 2023 للحفاظ على خصوصيات وحريات الأردنيين لضمان وسلامة وأمن البيانات الشخصية .
ـ وترتيباً على ما تقدم سوف أحاول في هذا المقال أن ألقى الضوء على حق الأفراد في حماية بياناتهم الشخصية وفقاً لقانون حماية البيانات الشخصية، وذلك من خلال العناصر الآتية:-
أولاً: تعريف البيانات الشخصية للأفراد
ثانياً: أنواع البيانات الشخصية للأفراد
ثالثاً: حقوق الشخص المعنى على بياناته الشخصية
رابعاً: الحالات التي يجوز فيها معالجة البيانات الشخصية للشخص المعنى دون الحصول على موافقته
أولاً: تعريف البيانات الشخصية للأفراد
- تعددت تعريفات فقهاء القانون للبيانات الشخصية للأفراد، حيث يرى جانب منهم أنها البيانات التي يهدف كل شخص إحاطتها بسياج من السرية وتشمل كل ما يتعلق بشخصه وصحته وثروته وحياته العائلية،([1]) ويرى جانب آخر من الفقه أنها البيانات التي تتعلق بشخص معين ولا يشترط فيها أن تكون متعلقة بالحياة الخاصة به وإنما يكفي أن تتعلق بالحياة المهنية، أو بحياته العامة، أو انتماءاته السياسية أو النقابية.([2])
ـ وفى ذات الإطار يعرفها جانب آخر من الفقه بأنها البيانات التي تتصل بحرمة الحياة الخاصة للإنسان، والتي ترسم صورة لميوله واتجاهاته، كاتجاهاته السياسية، أو معتقداته الدينية، وتعاملاته المالية والبنكية، وجنسيته وهواياته،([3]) بينما يرى البعض أنها بيانات تلتصق بالشخص الطبيعي وتكون ملازمة له وتجعله معرفاً أو قابلاً للتعريف.([4])
واستخلاصاً مما سبق لعله من المفيد أن نؤكد على أن وضع تعريف جامع مانع للبيانات الشخصية للفرد هو أمر ليس يسير ومن الصعوبة بمكان وذلك لاستنادها على فكرة نسبية متغيرة بتغير الزمان وتغير المكان، إلا أنه على الرغم من ذلك فإنه مما لا شك فيه أن البيانات الشخصية للأفراد يراد بها تلك البيانات المتصلة بالجانب المادي والمعنوي للحياة الخاصة للفرد والتي ينبغي أن لا يتدخل فيها الغير، مراعاة لما تفرضه الحياة الاجتماعية من حدود قيود تقضيها المصالح العامة، أو النظام العام والآداب العامة للمجتمع.
ـ وتأسيساً على ذلك تجدر الإشارة إلى أن تلك البيانات ترتبط ارتباطاً وثيقاً بالحرية الشخصية للأفراد، تلك الحرية التي تستهدف حماية الأفراد والتي تعد بمثابة الحرية الأساسية في المجتمع، فحق الفرد في حرمة بياناته الشخصية يعد جوهر الحقوق والحريات الشخصية، حيث أن الفرد هو الذي يحدد كيفية معيشته دون تدخل من الغير في حياته الخاصة، وينبغي ألا تكون عرضه لألسنة الناس أو موضوعاً للنشر والأضواء على صفحات الجرائد أو شبكات التواصل الاجتماعي لأن انتهاكها يعد اعتداء على كرامة الإنسان.
ـ ولابد من التأكيد على أن الحق في حرمة البيانات الشخصية للأفراد يعد من الحقوق اللصيقة بشخص الفرد، ولذلك فإن هذا الحق يشمل صوراً عديدة تتصل جميعها بأسرار الفرد وحياته الخاصة، وتنبع من حريته الشخصية، ومن أهم صور هذا الحق: حق الفرد في المحافظة على أسراره الشخصية التي لا يجب أن يطلع عليها أحد إلا بإذنه، مثل السر المتعلق بحالته المالية، وحرمة المسكن، وما يقاس على المسكن مثل السيارة الخاصة، والسر المتعلق بحالته الصحية والعائلية والعاطفية، والحق في حماية المعلومات الشخصية الخاصة به، ومراسلاته بصورها المختلفة، ومنها بريده الشخصي، وصورته.
ـ ولقد جاء في قانون حماية البيانات الشخصية الأردني رقم (24) لسنة 2023 في المادة الثانية أن معنى البيانات الشخصية :(أي بيانات أو معلومات تتعلق بشخص طبيعي، ومن شأنها التعريف به بطريقة مباشرة أو غير مباشرة مهما كان مصدرها أو شكلها بما في ذلك البيانات المتعلقة بشخصه أو وضعه العائلي، أو أماكن تواجده).
ثانياً: أنواع البيانات الشخصية للأفراد
1- بيانات شخصية عادية: ويقصد بها البيانات التي يمكن لأي شخص أن يكشفها بنفسه للحصول على الخدمات، كالاسم والعمر والعنوان ورقم الهاتف والبريد الإلكتروني، وكلها بيانات يدلى بها الشخص مرات عديدة في اليوم الواحد فمثلاً تعبئة استمارة لوظيفة ما، تعبئة استمارة للكشف الطبي، النزول في فندق أو إعطاء رقم الهاتف المحمول لأحد الأشخاص.
ولذلك يعتبر من البيانات الشخصية العادية: اللقب، والحالة الاجتماعية، والأرقام الشخصية التي تعطى للشخص في وظيفة ما، ورقم لوحة السيارات، والبصمة، ورقم الحساب البنكي، والصوت والصورة، وعنوان الكمبيوتر IP، وتاريخ الميلاد، ورقم الفاكس وغيرها من البيانات الشخصية التي لابد أن تحظى بالحماية القانونية.([5])
2- بيانات شخصية حساسة: من المسلم به أن البيانات الشخصية الحساسة هي البيانات الشخصية التي تشكل معالجتها مخاطر أو تمييز بالنسبة إلى حماية الحياة الخاصة للشخص، وأن تبين الأصل العرقي، أو الآراء والانتماءات السياسية، أو المعتقدات الدينية، أو أي بيانات تتعلق بحالته الصحية أو الحسية، أو العقلية، أو الاقتصادية، أو انتماءاته الحزبية أو سجله الجرمي، والحالة الجنائية للشخص والسوابق القضائية.
ـ ولقد حاول بعض الفقه القانوني تصنيف البيانات الحساسة حسب درجة حساسيتها وسريتها، وقسمها إلى بيانات حساسة جداً، و هي التي يؤدى المساس بها إلى إحداث التمييز والعنصرية، وبيانات حساسة، وهي تلك التي تكون كذلك عندما يتم تقريبها ومطابقتها مع بيانات أخرى معروفة عن الشخص، وبيانات محايدة وهي البيانات المتعلقة بحياة الشخص اليومية في مجتمعه ويحظر معالجة البيانات الحساسة لتفادى أي تمييز عنصري يقوم على هذه البيانات لأنها تدخل في نطاق الحياة الخاصة.([6])
ـ ولقد جاء تحديد البيانات الشخصية الحساسة في المادة الثانية من قانون حماية البيانات الشخصية الأردني رقم (24) لسنة 2023 بأنها :(أي بيانات تتعلق بشخص طبيعي تدل بصورة مباشرة أو غير مباشرة على أصله أو عرقه، أو تدل على أرائه أو انتماءاته السياسية، أو معتقداته الدينية، أو أي بيانات تتعلق بوضعه المالي أو بحالته الصحية، أو الجسدية، أو العقلية أو الجينية، أو بصماته الحيوية (البيو مترية)، أو يسجل السوابق الجنائية الخاص به، أو أي معلومات أو بيانات يقرر المجلس اعتبارها حساسة إذا كان إفشاؤها أو سواء استخدامها يلحق ضرراً بالشخص المعنى بها).
ـ وهكذا يتضح لنا أن البيانات الشخصية تصنف على أنها “حساسة” في حال ارتباطها بما يلي:
( الانتماء النقابي، الأصل العرقي، التوجهات السياسية أو المعتقدات الدينية، المخالفات الجنائية والدعاوى القضائية، الحياة والصحة البدنية أو العقلية أو الميول الجنسية).
ولقد تناول لائحة الاتحاد الأوروبي لحماية البيانات 679/2016 البيانات الشخصية الحساسة بالتنظيم، وذكرت في المادة التاسعة مضمون هذه الفئة بأنها :(تلك البيانات التي تفصح عن الأصل العرقي، الآراء السياسية، المعتقدات الدينية أو الفلسفية، عضوية الاتحادات التجارية، البيانات الجينية والبيو مترية التي تستخدم بغرض تمييز الجنسية والميول الجنسية).
ولتوضيح المقصود بالحياة الجينية ذكرت اللائحة في المادة الرابعة فقرة 13 تعريف البيانات الجينية بأنها :(البيانات الشخصية المرتبطة بصفات الشخص الطبيعي الجينية الموروثة أو المكتسبة والتي تعطى معلومات مميزة وفريدة عن صحته والتي تنتج عن تحليل العينات البيولوجية من الشخص الطبيعي المعنى).
وفى الفقرة 14عرفت البيانات البيو مترية بأنها :(البيانات الشخصية والسلوكية للشخص الطبيعي والتي تؤكد تميز هذا الشخص مثل صورة الوجه والبصمات)، وفى الفقرة 15 عرفت البيانات الصحية بأنها :(تلك المرتبطة بالصحة الجسدية أو العقلية للشخص الطبيعي، والتي تشمل بنود خدمات الرعاية الطبية والتي تفصح عن معلومات عن حالته الصحية).
ثالثاً: حقوق الشخص المعنى على بياناته الشخصية
ـ مما لا شك فيه أن قانون حماية البيانات الشخصية الأردني رقم (24) لسنة 2023 جاء ليعزز الحقوق والحريات الدستورية والتي نص عليها الدستور الأردني، حيث ورد في المادة السابعة من دستور المملكة الأردنية الهاشمية الحالي أن :(1- الحرية الشخصية مصونة. 2- كل اعتداء على الحقوق والحريات العامة أو حرمة الحياة الخاصة للأردنيين جريمة يعاقب عليه القانون).
كما يهدف قانون حماية البيانات الشخصية إلى إيجاد إطار قانوني يوازن بين آليات حقوق الأفراد في حماية بياناتهم الشخصية وخصوصيتهم المقررة بموجب أحكام الدستور والقوانين ذات العلاقة وبين السماح بمعالجة البيانات والمعلومات والاحتفاظ بها في ظل تقدم هائل في الفضاء الإلكتروني وانتشار مفاهيم الاقتصاد الرقمي والمساهمة في تشجيع التجارة والخدمات الإلكترونية في المملكة، وذلك لبناء بيئة مواتية لتأمين سلامة الفضاء السيبراني ولتحديد الالتزامات والواجبات المفروضة على المسؤول عن البيانات الشخصية ومعالجتها لترسيخ مكانة المملكة في مصاف الدول التي تنظم البيئة الرقمية.
وانطلاقا مما سبق فقد جاءت الفقرة ب من المادة الرابعة من قانون حماية البيانات الشخصية الأردني رقم (24) لسنة 2023 لتعداد حقوق الشخص المعنى على بياناته الشخصية، وقبل توضيح تلك الحقوق ينبغي أولاً تحديد المقصود بالشخص المعنى الذي ورد في الفقرة من المادة سالفة الذكر، والذي يقصد به الشخص الطبيعي الذي تتم معالجة البيانات الخاصة به، والذي له الحق في حماية بياناته، ومن ثم لا يجوز معالجتها إلا بعد الحصول على الموافقة المسبقة منه، أو في الأحوال المصرح بها قانوناً.
ولقد جاء في مقدمة حقوق الشخص المعنى على بياناته الشخصية حق الوصول للبيانات الشخصية، والذي ورد في المادة الرابعة من القانون المشار إليه سابقاً :(يتمتع الشخص المعنى بالحقوق التالية:-
1ـ العلم والاطلاع والوصول إلى البيانات الموجودة لدى المسؤول والحصول عليها ….).
وتفسيراً لذلك فإنه يكون للأفراد الحق في الوصول إلى بياناتهم الشخصية وطلب نسخ منها، والاطلاع عليها لدى المسؤول الذي قد يكون شخص طبيعي أو اعتباري، سواء أكان داخل المملكة أم خارجها، وتكون تلك البيانات في عهدته، وهي البيانات أو المعلومات التي تتعلق بالشخص الطبيعي المعنى، ومن شأنها التعريف به بطريقة مباشرة أو غير مباشرة، مهما كان مصدرها أو شكلها بما في ذك البيانات المتعلقة بشخصه، أو وضعه العائلي، أو أماكن تواجده.
ـ وأعطت المادة الرابعة أيضاً من القانون سالف الكر لشخص المعنى الحق في سحب الموافقة المسبقة منه على معالجة بياناته الشخصية، تأكيداً لحرية الفرد على تلك البيانات، فهو وحده يملك المنع مثلما يملك المنح لمعالجة البيانات الشخصية ويترتب على سحب الموافقة محو البيانات أو إخفاؤها، واتخاذ التدابير اللازمة لذلك من قبل المسؤول بناء على طلب الشخص المعنى أو الوحدة التنظيمية المختصة بحماية البيانات الخصية في وزارة الاقتصاد الرقمي والريادة.
ومن ضمن حقوق الشخص المعنى أيضاً الحق في تصحيح أو تعديل أو إضافة أو تحديث بياناته الشخصية، ولا يخفى عن الفطنة أن حق تصحيح البيانات الشخصية يخول للأفراد طلب تصحيح بياناتهم الشخصية في حال عدم دقتها، أو طلب استكمالها في حال نقصانها، وعلاوة على ذلك خولت المادة الرابعة أيضاً للشخص المعنى الحق في تقييد معالجة بياناته الشخصية، وذلك بتخصيص المعالجة في نطاق محدد.
ـ ويلاحظ أن المعالجة هي عملية واحدة أو أكثر، يتم إجراؤها بأي شكل أو وسيلة بهدف جمع البيانات، أو تسجيلها، أو نسخها، أو حفظها، أو تخزينها، أو تنظيمها، أو تنقيحها، أو استغلالها، أو استعمالها، أو إرسالها، أو توزيعها، أو نشرها، أو ربطها ببيانات أخرى، أو إتاحتها، أو نقلها، أو عرضها، أو إخفاء هويتها، أو ترميزها أو إتلافها، أو تقييدها، أو محوها، أو تعديلها، أو توصيفها، أو الإفصاح عنها بأي وسيلة كانت، وذلك حسبما ورد في المادة الثانية من قانون حماية البيانات الشخصية.
وجدير بالذكر أن القانون المشار إليه ألزم المسؤول بتمكين الشخص المعنى من الاعتراض على المعالجة، وسحب الموافقة المسبقة والوصول إلى بياناته وتحديثها، وتوفير الوسائل التي يراها مناسبة لتمكينه من ذلك بطريقة آمنة، وكذلك خولت المادة الرابعة للشخص المعنى الاعتراض على معالجة مؤسسة ما لبياناته الشخصية، والاعتراض علي التشخيص الذى يعنى المعالجة الآلية للبيانات للتعرف على اتجاهات الشخص المعنى، أو ميوله، أو خياراته، أو سلوكياته، وذلك الاعتراض على المعالجة والتشخيص يحدث غالباً إذا كانا غير ضروريين لتحقيق الأغراض التي جمعت البيانات من أجلهما، أو كانا زائدتين على متطلباتها، أو تمييزية، أو مجحفة، أو مخالفة للقانون.
ويحق للشخص المعنى نقل نسخة من بياناته الشخصية من المسؤول إلى مسؤول آخر، ويلاحظ أنه لا يجوز نقل لبيانات الشخصية المعنى، وأن يحقق النقل مصالح مشروعة للمسؤول والمتلقي، وأن يتوافر العلم الكافي لدى الشخص المعنى بالمتلقي والأغراض التي ستستخدم البيانات من أجلها، وأن لا يكون الغرض من النقل التسويق لمنتجات أو خدمات ما لم يوافق الشخص المعنى على ذلك، ويقصد بالمتلقي أي شخص طبيعي أو اعتباري، سواء أكان داخل المملكة أم خارجها، يتم نقل البيانات إليه، أو تبادلها معه من المسؤول.
ـ ومن الجدير بالملاحظة أن الشخص المعنى يحق له العلم والمعرفة بأي خرق، أو انتهاك أو إخلال بأمن وسلامة بياناته، فله الحق في أن يعلم بأي وصول غير مشروع، أو أي عملية أو نقل أو إجراء غير مصرح به على البيانات.
ولابد من التأكيد على أنه لا يترتب على ممارسة الشخص المعنى لحقوقه السابقة والواردة في الفقرة (ب) من المادة الرابعة من قانون حماية البيانات الشخصية الأردني، أي تبعات مالية، أو تعاقدية، بما لا يخل بحقوق المسؤول، ولا يفوتنا أن ننوه على أنه يشترط في الموافقة المسبقة من الشخص المعنى أن تكون صريحة، وموثقة خطياً، أو إلكترونياً، وأن تكون محددة من حيث المدة والغرض، وأن يكون الطلب بلغة واضحة وبسيطة وغير مضللة ويمكن الوصول إليه بسهولة.([7])
رابعاً: الحالات التي يجوز فيها معالجة البيانات الشخصية للشخص المعنى دون الحصول على موافقته
في واقع الأمر إن حقوق الشخص المعنى بالبيانات والمنصوص عليها في الفقرة (ب) من المادة الرابعة من القانون لا يمكن إعمالها أو تطبيقها على حالات المادة السادسة، ولا يمكن قراءتها بمعزل عن المادة السادسة والتي حددت الحالات التي يجوز فيها إجراء معالجة البيانات الشخصية للشخص المعنى دون الحصول على الموافقة المسبقة، أو إعلامه، وفى هذه الحالات تعد المعالجة قانونية ومشروعة وهذه الحالات تتمثل في:-
1- المعالجة التي تتم مباشرة من قبل جهة عامة مختصة بالقدر الذي يقتضه تنفيذ المهام المنوطة بها وفقاً لأحكام التشريعات النافذة، أو من خلال جهات أخرى متعاقد معها، على أن يتضمن التعاقد مراعاة كافة الالتزامات والشروط المنصوص عليها في هذا القانون، والأنظمة، والتعليمات الصادرة بمقتضاه.
2- إذا كانت ضرورية للأغراض الطبية الوقائية، أو التشخيص الطبي، أو تقديم الرعاية الصحية من قبل المرخص له بمزاولة أي من المهن الطبية.
3- إذا كانت ضرورية لحماية حياة الشخص المعنى، أو لحماية مصالح حيوية.
4- إذا كانت ضرورية لمنع جريمة، أو لكشفها من قبل جهة مختصة، أو لملاحقة الجرائم المرتكبة خلافاً لأحكام القانون.
5- إذا كانت مطلوبة أو مصرحاً بها بموجب أي من التشريعات أو تنفيذاً لها أو بقرار من المحكمة المختصة.
6- إذا كانت مطلوبة لأغراض قيام الجهات الخاضعة لرقابة وإشراف البنك المركزي الأردني بأعمالها، وفقاً لما يقرره البنك المركزي الأردني بما في لك نقل وتبادل البيانات داخل المملكة أو خارجها.
7- المعالجة التي تتم وفقاً لأحكام النظام الصادر بمقتضى أحكام هذا القانون.
8- إذا كانت ضرورية لأغراض البحث العلمي أو التاريخي شريطة أن لا يكون الغرض منها اتخاذ أي قرار أو إجراء بشأن شخص محدد.
9- إذا كانت ضرورية لأغراض إحصائية، أو لمتطلبات الأمن الوطني، أو لتحقيق المصلحة العامة.
10- إذا كان محل المعالجة بيانات متاحة للجمهور من الشخص المعنى، مع ملاحظة أنه لا يجوز الاحتفاظ بالبيانات التي تمت معالجتها بعد انتهاء الغرض من المعالجة، ما لم تنص التشريعات على خلاف ذلك.
ومن الضروري أن يكون الغرض من المعالجة مشروعاً ومحدداً وواضحاً وأن تكون متفقة مع الأغراض التي تم جمع البيانات من أجلها وأن تتم بوسائل قانونية ومشروعة وأن تستند إلى بيانات صحيحة ودقيقة ومحدثة وأن لا تؤدى إلى تحديد الشخص المعنى بعد استنفاذ الغرض منها، وأن لا تؤدى إلى التسبب بضرر للشخص المعنى، أو تنال من حقوقه بشكل مباشر أو غير مباشر، وأن تتم بطريقة تضمن سرية المعلومات وسلامتها وعدم حدوث أي تغيير عليها.
إعداد: الأستاذ/ جمال مرعي
[1] – أنظر سليم، وليد السيد (2012)، ضمانات الخصوصية في الإنترنت، دار الجامعة الجديدة، مصر، ط1، ص24.
[2] – أنظر غنام، محمد غنام، (2013)، دور قانون العقوبات في مكافحة جرائم الكمبيوتر والإنترنت، دار الفكر والقانون، المنصورة، مصر، ط1، ص99.
[3] – عبدالفتاح بيومي حجازي، دراسة قانونية متعمقة في القانون المعلوماتي، دار الكتب القانونية، مصر، ص615.
[4] – انظر المضحكى، حنان ريحان مبارك (2014)، الجرائم المعلوماتية، دراسة مقارنة، منشورات الحلب الحقوقية، بيروت، لبنان، ط1، ص321-329.
[5] – أنظر التهامي، سامح عبد الواحد (2011م)، الحماية القانونية للبيانات الشخصية، دراسة في القانون الغربي، القسم الأول، مجلة الحقوق، الكويت، المجلد 35، العدد 3 سبتمبر، ص389-396.
[6] – أنظر أبو الليل، إبراهيم الدسوقي (2004)، التعاقد عبر الوسائل الاتصال الحديثة، بحث منشور ضمن أعمال مؤتمر القانون والكمبيوتر والإنترنت، كلية الشريعة والقانون، جامعة الإمارات العربية المتحدة، المنعقد في الفترة من 1-3 مايو 2000، المجلد الثالث، ط3، ص1014. انظر أيضا قانون العقوبات الأردني.
[7] – أنظر المادة الخامسة فقرة أ من قانون حماية البيانات الشخصية الأردني رقم (24) لسنة 2023.
