انتقادات حقوقية لقانون حماية البيانات الشخصية في الأردن
يدخل “قانون حماية البيانات الشخصية” في الأردن حيّز التنفيذ في شهر شباط/فبراير الجاري، بعدما أقرّه مجلس النواب ضمن دورته الاستثنائية في شهر آب/أغسطس 2023.
تأتي هذه الخطوة بعد عدة سنوات ظلّت فيها مسودة القانون حبيسة أدراج الدوائر الحكومية وديوان التشريع والرأي. عام 2014، قدّمت وزارة الاقتصاد الرقمي (وزارة الاتصالات حينها) أوّل مسودة مشروع لحماية البيانات الشخصية، تلتها نقاشات ومراجعات مكثفة بترحيب ومشاركة نشطاء وخبراء في مجال الحقوق الرقمية نتج عنها عدة مسودات مطوّرة، إلى أن أقرّ مجلس الوزراء مشروع قانون حماية البيانات الشخصية لسنة 2021.
وبعد تحويله إلى مجلس الأمة الأردني، شهد القانون جدلاً بين أعضاء مجلس النواب نظراً لأنه فتح الباب أمام تشريعٍ جديد متعلّق بالبيانات والمعلومات الخاصة بالأفراد وتضاربه مع مصالح واسعة للحكومة وأطراف ثالثة، لا سيما قطاعات الأعمال التي تعتمد على البيانات الشخصية لتصميم إعلاناتها أو حتى بيع هذه البيانات.
وعلى الرغم من الترحيب بهذه الخطوة التشريعية، إلا أن هناك تحفظات وتخوفات أبداها ناشطون على مواقع التواصل الاجتماعي على بعض نصوص مواد القانون التي يرون أنّها قد تؤدي إلى إساءة استخدام المعلومات الشخصية من قبل صانع القرار وأطراف ثالثة. يركّز هذا المقال على تحليل قانوني يسلط الضوء على الضمانات الرئيسية والثغرات في مواد القانون، وتساؤلاتٍ عمّا إذا كان القانون سيقدّم ضمانات للمواطنين الأردنيين تتعلّق بحماية خصوصيتهم.
خطوة في الاتجاه الصحيح، ولكن
يأمل المشرّعون أن يكون قانون حماية البيانات الشخصية في الأردن الناظم الحقيقي لبيانات الأفراد ومنع التعرض لها من الجهات المختلفة، إذ يعد خطوة حيوية نحو تعزيز الأمان الرقمي وصون خصوصية المواطنين بالإضافة إلى احترام حق الأشخاص في حماية بياناتهم الشخصية كما جاء في الأسباب الموجبة للقانون، وذلك في إطار تطوير الحمايات الدستورية فيما يتعلق بحرمة الحياة الخاصة.
تقول الحقوقية وخبيرة التشريعات الإعلامية والرقمية، الدكتورة نهلا المومني، في حديث مع “سمكس”، إنّ “هذا القانون فكرته الأساسية وغايته أنّه ينظّم عمل الجهات التي تقوم بجمع المعلومات حيث كان هناك فراغ تشريعي في هذا الإطار، ويحسب للقانون أنه وضع إطار متكامل لحماية البيانات الشخصية بدءاً من عملية جمع المعلومات وآليات ذلك ومروراً بمعالجتها والغرض والغاية من ذلك والحصول على الموافقة المسبقة ووضع عقوبات على من يخالف أحكام القانون”.
كما تأتي أهمية القانون في تنظيم البيئة الرقمية في ظل التطوّر السريع الذي يشهده العالم فيما يتعلق بالتحول الرقمي، إذ يُعتبَر القانون ضرورياً بالنسبة للأردن الذي يسعى أن يكون بيئة محفزة للاستثمار لأنّ ضمان سرية البيانات أمر مهم للغاية في مجال الاستثمارات الرقمية وتكنولوجيا المعلومات.
يؤكّد عيسى محاسنة، المدير التنفيذي لـ“الجمعية الأردنية للمصدر المفتوح” (JOSA)، أنّ الأسباب الاقتصادية كانت من بين الأسباب الأساسية التي دفعت الأردن باتجاه سن قانون حماية البيانات الشخصية، مستشهداً بأنّ “اللجنة التي درست القانون في مجلس النواب كانت لجنة الاقتصاد والاستثمار وليست اللجنة القانونية”.
يرى محاسنة أنّه وبالإضافة لتنظيم البيانات وحمايتها فإنّ الدولة الأردنية تركّز أيضاً بشكل أكبر على الفائدة الاقتصادية للقانون، لاسيما من ناحية الاستثمارات المتعلقة بقطاع الاتصالات وتكنولوجيا المعلومات ومع سعي الأردن المستمرّ ليكون مركز تكنولوجيا المعلومات في المنطقة. ويضف أنّ “وجود توافق بين التشريعات المختلفة في العالم فيما يتعلق بحماية البيانات، وبالطبع وجود قانون يتواءم مع اللائحة العامة لحماية البيانات (GDPR) الأوروبية، مهمّ لجذب الاستثمارات”.
يرى محاسنة أنّ من أهمّ المواد التي جاء بها القانون هي تلك التي تتعلق بحقوق أصحاب البيانات والتي تتوافق مع عدد من المبادئ الأساسية لـ”اللائحة العامة لحماية البيانات” (GDPR)، خصوصاً ما يتعلق بالتعريفات مثل تعريف البيانات والبيانات الحساسة، إلّا أنّ القانون خالف بعض المبادئ الجوهرية في يتعلق بالخصوصية وحماية البيانات.
فقد عرّف القانون الجديد البيانات الشخصية على أنّها أيّ “بيانات أو معلومات تتعلق بشخص طبيعي من شأنها التعريف به بطريقة مباشرة أو غير مباشرة، مهما كان مصدرها أو شكلها بما في ذلك البيانات المتعلقة بشخصه أو وضعه العائلي أو أماكن تواجده”. كما ميّز البيانات الحسّاسة بأنّها “أي بيانات أو معلومات تتعلق بشخص طبيعي تدل بصورة مباشرة أو غير مباشرة على أصله وعرقه أو تدل على آرائه وانتماءاته السياسية أو معتقداته الدينية أو أي بيانات تتعلق بوضعه المالي أو بحالته الصحية أو الجسدية أو العقلية أو الجينية أو بصماته الحيوية (البيومترية)”، أو “بسجل السوابق الجنائية الخاص به أو أي معلومات أو بيانات يقرر المجلس اعتبارها حساسة إذا كان إفشاؤها أو سوء استخدامها يلحق ضرراً بالشخص المعني بها”.
إلا أنّ المشرع لم يضع تنظيم قانون خاص لها ولم يميّزها عن البيانات الشخصية في معالجته، والتي عادةً ما تحتاج إلى حماية إضافية إذ أخضعها للأحكام ذاتها دون مراعاة أنها تحتاج حماية خاصة واكتفى بإيراد تعريف للبيانات يجمع بين البيانات الشخصية والبيانات الشخصية الحساسة والتزم بذكره في بقية مواد القانون.
ولمعالجة البيانات، نصّ قانون حماية البيانات الشخصية في الأردن على وجوب الحصول على موافقة الفرد المسبقة، كما حدّد الشروط الواجب توفرها للحصول على موافقة الفرد المسبقة لمعالجة بياناته، وفقما بيّنت المادتان 4 و5، مثل أن تكون الموافقة صريحة ومكتوبة خطياً أو إلكترونياً، وأن تكون محددة المدة والغرض، كما اشترط أن تكون لغة الطلب غير مضللة حيث لا يعتد بالموافقة المسبقة إذا صدرت استناداً إلى معلومات غير صحيحة أو مضللة أو ممارسات خادعة، وكذلك إذا تم تغيير طبيعة المعالجة أو نوعها أو هدفها دون الحصول على موافقة بذلك.
وعلى الرغم من سحب مصطلح “الحق في النسيان” الذي كان موجوداً في مسودات القانون السابقة، أبُقِي على مضمونه إذ نصت المادة 10 على الحق في محو البيانات أو إخفائها واتخاذ التدابير اللازمة في عدة حالات، منها إذا تمّت المعالجة لغرض غير الذي جمعت من أجله أو بشكل غير الذي تمت الموافقة المسبقة عليه، أو إذا سحب الشخص المعني الموافقة المسبقة التي كانت تستند إليها المعالجة.
وتضمن القانون صلاحية تقديم الشكاوى ورفع القضايا في حال تمت معالجة البيانات بطرق غير مشروعة، من خلال آليات وأنظمة ستوضع لغايات تنظيم هذا الأمر، في حين يوقع القانون عقوبة على كلّ من يستغلّ وظيفته في الإفصاح عن البيانات.