الجوانب القانونية لحماية البيانات الشخصية الإلكترونية
فرضت جائحة كورونا على العديد من الدول الاتجاه إلى طرق غير تقليدية لتسيير المرافق العامة بانتظام واطراد، من خلال استبدال الطرق التقليدية لتقديم الخدمة بطرق أخرى إلكترونية يتم من خلالها تقديم الخدمات عن بُعد، مقابل تخزين العديد من البيانات الشخصية في المواقع الإلكترونية والتطبيقات، إضافة إلى استحداث تطبيقات أخرى تعنى بمتابعة حركة المصابين، أو تسهيل حركة من تلقوا اللقاح في إطار مكافحة الوباء.هذا التحول الرقمي المتسارع جدَّد النقاش حول الجوانب القانونية لحماية البيانات الشخصية الإلكترونية، ومدى مشروعية تجميع البيانات ومعالجتها، إضافة إلى دور السُّلطات العامة في الرقابة على الخصوصية، فكثافة البيانات الشخصية الإلكترونية تُثير مخاطر الاستخدام غير المشروع للبيانات، كبيعها وسرقة الحسابات من خلالها، إضافة إلى إشكاليات الرقابة غير القانونية على البيانات الشخصية، الأمر الذي يُحتم وضع الأطر التنظيمية لحماية الخصوصية الإلكترونية، إلى جانب تفعيل دور هيئة الاتصالات في حماية البيانات باستخدام سُلطاتها التنظيمية الوقائية، إضافة إلى سُلطتها الجزائية.ونظراً لأهمية هذا الموضوع وحداثته، نتناول في هذه الدراسة القيمة القانونية للحق في حماية خصوصية البيانات الشخصية الإلكترونية، ثم التعريف بلائحة حماية الخصوصية، وطبيعتها القانونية، ثم نعرج لضوابط المعالجة المشروعة للبيانات، ونختم بالسُّلطة التنظيمية والجزائية لهيئة الاتصالات في الكويت.
أولاً: القيمة القانونية للحق في حماية خصوصية البيانات الشخصية الإلكترونية
لم ينص الدستور الكويتي على الحق في حماية خصوصية البيانات الشخصية الإلكترونية بشكل مباشر بطبيعة الأمر، لكن سبق أن أسست المحكمة الدستورية في الحكم رقم 3 لسنة 1982 الحق في حماية الخصوصية على نص المادة 30 من الدستور: «الحرية الشخصية مكفولة»، وبالتالي: «فحق المواطن في حريته الشخصية يقتضي صون كرامته، والحفاظ على معطيات حياته، وعدم انتهاك أسراره فيها، إعمالاً لحقه في احترام حياته الخاصة».فكل ما يتعلق بالحياة الخاصة للإنسان جزء من الكيان المعنوي الشخصي الواجب حمايته، وعدم الكشف عنه إلا بموافقة الشخص المعني، وبالتالي نرى أن البيانات الشخصية الإلكترونية، بما تتضمنه من معلومات شخصية، هي في حقيقتها جزء لا يتجزأ من الحق الدستوري في حماية الخصوصية.على المستوى التشريعي، خصَّص المشرّع في القانون رقم 20 لسنة 2014 بشأن المعاملات الإلكترونية الفصل السابع منه لحماية البيانات وخصوصيتها في المعاملات الإلكترونية، ثم صدر القانون رقم 37 لسنة 2014 بإنشاء الهيئة العامة للاتصالات، الذي منح في المادة الثالثة منه للهيئة سُلطة تنظيم قطاع الاتصالات، خاضعة في هذه السُّلطة للمبادئ الدستورية العامة، وأهمها احترام الحق في الخصوصية. وفي إطار هذه السُّلطة التنظيمية أصدرت هيئة الاتصالات اللائحة رقم 21 لسنة 21 بشأن حماية خصوصية البيانات والمنشورة بجريدة الكويت اليوم في 4 أبريل 2021، باعتبارها اللائحة المنظمة لحماية خصوصية البيانات الإلكترونية.ثانياً: اللائحة رقم 21 لسنة 21 بشأن حماية البيانات
تُكيف لائحة الخصوصية المشار إليها بأنها لائحة ضبط إداري خاص تستند للتفويض التشريعي بقانون الاتصالات للهيئة في إصدار هذه اللوائح، بهدف تنظيم وحماية النظام العام الإلكتروني، وتعرف اللائحة البيانات الشخصية محل الحماية ونطاق تطبيق اللائحة، ثم تضع المفهوم القانوني للمعالجة الإلكترونية وضوابط مشروعيتها، والتي سنتناولها على التوالي.تعرف اللائحة البيانات الشخصية بأنها: «البيانات ذات الصلة بشخص طبيعي أو اعتباري محدد الهوية، أو يمكن تحديده من خلال هذه البيانات بطريقة مباشرة، كتحديد الاسم والهوية والمعلومات المالية أو الصحية أو العرقية أو الدينية أو أي معلومات تسمح بتحديد الموقع الجغرافي للشخص أو أنظمة تعقب الأشخاص أو البصمة الشخصية أو الوراثية، أو أي ملف صوتي للشخص...».ونرى أن المعيار هنا عام لتحديد ماهية البيانات الشخصية، فكل بيان محدد الهوية أو يمكن تحديده لشخص طبيعي أو اعتباري يعتبر بيانا شخصيا خاضعا للحماية القانونية لخصوصية البيانات وفقا لهذه اللائحة، أياً كانت صورة هذا البيان وفق الأمثلة المذكورة في النص، أو أي بيان آخر مستجد في المستقبل.تطبق أحكام اللائحة على كل شخص طبيعي أو اعتباري يقوم بجمع ومعالجة بيانات شخصية من خلال مراكز معلومات يمتلكها بهدف تقديم خدمة اتصالات وتقنية معلومات، من خلال شبكة اتصالات عامة أو تطبيق ذكي، سواء كان ذلك في القطاع العام أو الخاص، ويستثنى من ذلك الشخص الطبيعي الذي يقوم بجمع ومعالجة بيانات شخصية أو عائلية خاصة، والجهات الأمنية التي تقوم بجمع البيانات لأغراض منع الجرائم والتحقيق فيها أو الكشف عنها أو مقاضاة مرتكبيها أو تطبيق العقوبات الجنائية أو منع التهديدات المتعلقة بالأمن العام.من المهم في هذا المقام التعريف بمفهوم معالجة البيانات وفقا لهذه اللائحة، وهي:«أي عملية أو مجموعة من العمليات يتم اتخاذها على البيانات الشخصية، سواء كانت داخل دولة الكويت أو خارجها باستخدام الوسائل الآلية أو وسائل أخرى مثل جمع وتسجيل وتنظيم وتحليل وتخزين أو تعديل واسترجاع أو استخدام أو الإفصاح من خلال الإرسال والنشر أو جعلها متاحة أو دمجها أو تقييدها أو حذفها أو إتلافها». وفي هذا التعريف الموسع إسباغ حماية مسبقة على كل معالجة إلكترونية تتم في الكويت أو خارجها.ثالثاً: الضوابط القانونية للمعالجة المشروعة طبقاً للائحة الخصوصية
تفرض اللائحة مجموعة من الضوابط القانونية للمعالجة المشروعة في حال الجمع والتخزين، ثم تُقر حقوق لأصحاب البيانات الشخصية على بياناتهم، فضوابط المعالجة المشروعة للبيانات في حال الجمع والتخزين، هي:1- الالتزام بالشفافية، من خلال الكشف عن جميع معلومات وشروط الخدمة، وكيفية طلب تغييرها وإلغائها، مع تحديد هوية مقدم الخدمة، وكيفية الاتصال به.2- توضيح الغرض من جمع البيانات الشخصية للمستخدم والأساس القانوني لأي إجراء يتم عليها، إضافة للالتزام باستخدام المعلومات فقط في الغرض الذي تم جمع البيانات على أساسه.3- الالتزام بالحصول على موافقة طالب الخدمة المسبقة على جمع ومعالجة البيانات الشخصية، مع وجوب إخطاره في حال نقل البيانات إلى خارج الكويت، أو في حال إجراء أي معالجة للبيانات في غير الأغراض التي تم الجمع على أساسها.4- تحديد الجهات التي قد يتم الكشف عن البيانات الشخصية لها.5- في حال تخزين البيانات الشخصية، يجب الاحتفاظ بها في الشكل الذي يسمح بتحديد هوية أصحاب البيانات، مع تقديم معلومات عن الفترة التي سيتم فيها تخزين البيانات خلالها، ومكان تخزينها. 6- الالتزام باستخدام التدابير الفنية والتنظيمية التي تضمن سلامة وسرية البيانات، والالتزام بأمن وحماية المعلومات، وإخطار هيئة الاتصالات عند حدوث أي خطر اختراق للبيانات.4- الالتزام بسرية المعلومات وخصوصيتها: فيجب عدم الكشف عن أي معلومات شحصية دون الحصول على موافقة الشخص صاحب البيانات الشخصية، أو من يمثله قانونا، مع اشتراط الحصول على موافقة صاحب البيانات قبل الكشف عن بياناته الشخصية إلى أي شركة تابعة أو طرف ثالث لأي أغراض تسويقية لا تتعلق مباشرة بتوفير خدمة اتصالات وتقنية المعلومات المطلوبة، مع ضرورة إلزام مقدم الخدمة بسياسة خصوصية مكتوبة منشورة على موقعه، إضافة لتوفير إشعار خصوصية متضمنا سياسة معالجة البيانات وحقوق الأفراد بالموافقة والرفض.بالمقابل، فإن لصاحب البيانات الشخصية حقوقا يجب الالتزام بها من قبل مقدم الخدمة، ويمكن تلخيص هذه الحقوق بالتالي:1- الحق في الوصول للمعلومة، فيتم تمكين الأشخاص من الاطلاع والنفاذ على بياناتهم بسهولة ويُسر.2- الحق في تعديل المعلومة وتصحيحها إذا كانت المعلومة غير صحيحة أو قديمة أو غير صالحة.3- الحق في الاعتراض والإتلاف والمحو، فلصاحب البيانات الحق بمعرفة جميع المعلومات والشروط الخاصة بمعالجة بياناته الشخصية والموافقة عليها، ويحق له أيضا سحب موافقته في أي وقت من الأوقات، ولا يؤثر سحب الموافقة على مشروعية المعالجة قبل سحبها، ويحق لصاحب البيانات طلب إتلاف البيانات كليا عند سحب الموافقة، تطبيقا لنص المادة 5 وحذفها إذا لم تعد البيانات لازمة أو لم تعد البيانات لازمة لتقديم الخدمة، وإذا لم يعد المستخدم مشتركا في الخدمة التي تم جمع المعلومات على أساسها.رابعاً: السُّلطة التنظيمية والجزائية لهيئة الاتصالات في حماية خصوصية البيانات
لهيئة الاتصالات، بموجب قانونها، سُلطة تنظيمية وجزائية تميزها عن غيرها من الهيئات الإدارية في الكويت، باعتبارها سُلطة إدارية تنظيمية مستقلة، فللهيئة - بما لها من سُلطة تنظيمية - أن تُصدر اللوائح والتعليمات لمقدمي الخدمات الإلكترونية المرخص لهم بتعزيز التدابير الأمنية، إضافة لإصدار إرشادات متعلقة بخصوصية البيانات، وفي حال مخالفة أحكام لائحة الخصوصية، فللهيئة - بحكم سُلطتها الجزائية- توقيع الجزاءات الإدارية المنصوص عليها بما يتناسب وحجم المخالفة. وتتمثل تلك الجزاءات بما نصَّت عليه المادة 64 من قانون الاتصالات، وهي:- إنذار المخالف لإزالة المخالفة خلال 30 يوما من الإنذار.- وقف الترخيص لمدة ثلاثة أشهر.- إزالة المخالفة على نفقة المخالف.- خفض الخدمات المرخص بها، بما لا يتجاوز خدمة واحدة عن كل مخالفة.- تحصيل غرامة مالية بما لا يتجاوز مليون دينار كويتي في كل مخالفة.- التحفظ على المعدات والأجهزة والآلات والمعدات، لحين الفصل النهائي في النزاع.- إلغاء الترخيص.وتُضاعف الغرامة في حال التكرار، أو يدفع المخالف ضعفي قيمة الضرر، أيهما أكبر.يصدر الجزاء بقرار إداري من الهيئة، يجب أن تراعى فيه المبادئ الحاكمة لتوقيع الجزاء من ضمان حق الدفاع، والتناسب ما بين المخالفة والجزاء، وعدم تعدد الجزاءات عن ذات المخالفة، وباعتباره قرارا إداريا، فيمكن مراجعته بالتظلم الإداري لدى الهيئة، ويخضع بحكم طبيعته القانونية لرقابة القضاء الإداري بالإلغاء والتعويض.خامساً: نحو تفعيل سُلطات هيئة الاتصالات
رغم التأخر النسبي في إصدار لائحة حماية البيانات الشخصية في الكويت، لكنها تُعد خطوة في الاتجاه الصحيح، لن تُؤتي ثمارها إلا بتفعيل السُّلطة التنظيمية لهيئة الاتصالات، من خلال سنّ اللوائح والإرشادات والتعليمات المسبقة حول كل ما يخص خصوصية البيانات، ثم رقابة مدى الالتزام بها من مقدمي الخدمات، مع ضرورة حماية المستفيدين، والتعامل بجدية مع كل شكاوى انتهاك الخصوصية الإلكترونية.ختاماً، تبقى النصوص نصوصا شكلية خالية الوفاض عديمة الأثر إذا لم تقترن بآلية جزاء تمنحها قوتها الإلزامية، الأمر الذي يستوجب أيضا التفعيل الحقيقي للسُّلطة الجزائية لهيئة الاتصالات بتوقيع الجزاءات الإدارية لكل من تثبت في حقه مخالفة لأحكام قانون الاتصالات بشكل عام، ولائحة الخصوصية بشكل خاص.*أستاذة مساعدة بقسم القانون العام كلیة الحقوق جامعة الكويت