Qatar: Legal Regulation For The Protection Of Privacy Of Personal Data

في ظل الانتشار المتنامي لوسائل التواصل وتوسع استخدام التكنولوجيا الحديثة ووسائلها وأجهزتها الذكية، وفي وقت أصبح فيه العالم الافتراضي يُشكِل، من خلال شبكات التواصل الاجتماعي المتعددة، بديلًا مريحًا للجمهور، وما يستتبعه ذلك من وجوب تسجيل العديد من البيانات الشخصية لدى هذه المواقع والشبكات، أصبحت البيانات الشخصية للأفراد عُرضة للانتهاك والتَعدِّي عليها من جانب محترفي جرائم الانترنت. ولذلك صار مطلب تحقيق الحماية القانونية لخصوصية البيانات الشخصية ليس مجرد رفاهية بل أصبح تنظيم هذا النوع من الحماية وتحقيقها على أرض الواقع أمراً ضرورياً وحتمياً. لذلك بادَرت معظم الدول والتكتلات إلى إصدار الأنظمة والتشريعات التي تعمل على تحقيق هذه الحماية.

ويعود الفضل في التصدِي لتنظيم الحماية القانونية لخصوصية البيانات الشخصية إلى عدد من المنظمات الدولية التي أصدرت العديد من المبادئ والقواعد في سياق تحقيق هذه الحماية، وجاءت أهم القواعد في تحقيق هذه الحماية من خلال إصدار الاتحاد الأوروبي للّائحة العامة لحماية البيانات (GDPR) General Data Protection Regulation (GDPR)¹.

وقد تم اعتماد اللائحة العامة لحماية البيانات الصادرة برقم (679) لسنة 2016 (GDPR) بتاريخ 14 إبريل 2016، وبدأ سريانها في 25 مايو 2018 على جميع المنظمات التي أُنشئت داخل الاتحاد الأوروبي وعلى المنظمات خارجه إذا كانت تتولى معالجة البيانات الشخصية الخاصة بالأفراد الموجودين داخل الاتحاد الأوروبي.

وعرَّفت المادة (4) من اللائحة الأوروبية البيانات الشخصية محل الحماية بأنها: ("تعني أي معلومات تتعلق بشخص طبيعي محدد أو قابل للتحديد ("صاحب البيانات")؛ والشخص الطبيعي الذي يمكن التعرف عليه هو الشخص الذي يمكن تحديده، بشكل مباشر أو غير مباشر، بوجهٍ خاص بالرجوع إلى مُحدد للهوية مثل الاسم أو رقم التعريف أو رقم الضمان الاجتماعي أو بيانات الموقع أو المعرّف عبر الإنترنت أو إلى واحد أو أكثر من العوامل الخاصة بالهوية البدَنية أو الفسيولوجية أو الجينية أو العقلية أو الاقتصادية أو الثقافية أو الاجتماعية لذلك الشخص الطبيعي"²).

ومن البيانات الشخصية التي وضعت هذه التشريعات بهدف حمايتها، اسم الفرد ولقبه. ويشمل مصطلح "الاسم"، المعنى الواسع له والذي يشمل اسم الشخص ولقبه باعتباره علامة على الشخص وعلى الأسرة التي ينتمي إليها في الوقت نفسه، إذ لا يكفي اسم الشخص وحده لتمييزه عن الأشخاص في المجتمع³. ومن هذه البيانات الصوت والصورة الشخصية. فالاعتداء على أي منهما يعتبر اعداء على خصوصية بيانات الشخص المعني ويستوجب مساءلة مرتكبه، كذلك يعتبر عنوان الشخص من ضمن بياناته الشخصية وكذلك أرقامه الشخصية ورقم هاتفه وحالته الاجتماعية والصحية. وكذلك آرائه السياسية ومعتقداته الدينية تعتبر من ضمن البيانات الشخصية محل الحماية، فضلاً عن البيانات الخاصة بأصوله العرقية والجنسية التي ينتمي إليها. وأيضاً حسابه البنكي ورقم سيارته والبريد الالكتروني الخاص به. بل وتعتبر من البيانات المشمولة بالحماية القانونية حياة الفرد العاطفية. كل هذه أمثلة على البيانات الشخصية محل الحماية ولا شك في تداخل هذه البيانات مع الحق الأصيل في حرمة الحياة الخاصة للإنسان وهو حق كفلته الدساتير وإعلانات حقوق الانسان⁴.

ومن الحقوق التي يكفلها القانون للفرد بالنسبة لبياناته الشخص، حقه في الاطلاع على بياناته الشخصية التي يتم تجميعها أو تخزينها، وكذلك حقه في الاعتراض على معالجة بياناته الشخصية، إذا كانت ثمة مبررات مشروعة للاعتراض، وحق الفرد في تصحيح البيانات الخاطئة ويشمل التصحيح الحق في التعديل بالإضافة وبالمحو والحق في التحديث لبياناته الشخصية. وللفرد الحق في أن يتمسك بالحق في الدخول في طي النسيان أي الحق في طلب مسح البيانات بشكل مطلق خاصة إذا كانت هذه البيانات تتضمن ما يسيء إلى صاحبها.

وقد أصدرت دولة قطر القانون رقم (13) لسنة 2016 بشأن حماية خصوصية البيانات الشخصية، وتضمن القانون أحكاماً تتعلق بحقوق الأفراد في حماية خصوصية بياناتهم الشخصية. ويلزم التنويه إلى أن أحكام هذا القانون تسري على البيانات الشخصية عندما تتم معالجتها على نحو إلكتروني، أو يتم الحصول عليها أو جمعها أو استخراجها على أي نحو تمهيداً لمعالجتها إلكترونياً، أو تتم معالجتها عن طريق الجمع بين المعالجة الإلكترونية والمعالجة التقليدية. ولا تسري أحكام هذا القانون على البيانات الشخصية التي يقوم الأفراد بمعالجتها في نطاق شخصي أو عائلي، أو البيانات الشخصية التي تتم معالجتها بغرض الحصول على البيانات الإحصائية الرسمية.

وعرَّف القانون القطري البيانات الشخصية: ("بأنها بيانات عن الفرد الذي تكون هويته محددة، أو يمكن تحديدها بصورة معقولة، سواء من خلال هذه البيانات أو عن طريق الجمع بينها وبين أية بيانات أخرى")⁵. وعرَّف القانون الفرد: بأنه الشخص الطبيعي الذي تتم معالجة البيانات الشخصية الخاصة به. وعرَّف المراقب بأنه الشخص الطبيعي أو المعنوي الذي يقوم منفرداً أو بالاشتراك مع آخرين بتحديد كيفية معالجة البيانات الشخصية والغرض منها. وعرَّف المعالج بأنه الشخص الطبيعي أو المعنوي الذي يقوم بمعالجة البيانات الشخصية لصالح المراقب.

كما عرَّف القانون معالجة البيانات الشخصية بأنها إجراء عملية أو مجموعة عمليات على البيانات الشخصية، كالجمع والاستلام والتسجيل والتنظيم والتخزين والتهيئة والتعديل والاسترجاع والاستخدام والإفشاء والنشر والنقل والحجب والتخلص والمحو والإلغاء.

وقد منح القانون لكل فرد الحق في حماية خصوصية بياناته الشخصية من الانتهاك والتعدي عليها، وحظر القانون معالجة تلك البيانات الشخصية إلا في إطار الشفافية والأمانة واحترام كرامة الإنسان والممارسات المقبولة. حيث لا يجوز للمراقب معالجة البيانات الشخصية، إلا بعد الحصول على موافقة الفرد، ما لم تكن المعالجة ضرورية لتحقيق غرض مشروع للمراقب أو الغير الذي تُرسل إليه البيانات. كما أجاز القانون للفرد، في أي وقت أن يسحب موافقته السابقة على معالجة بياناته الشخصي،. وأن يعترض كذلك على معالجة بياناته الشخصية إذا كانت غير ضرورية لتحقيق الأغراض التي جمعت من أجلها، أو كانت زائدة على متطلبات هذه الأغراض، أو كانت هذه المعالجة تمييزية أو مجحفة أو مخالفة للقانون.

كما منح القانون للفرد أن يطلب حذف بياناته الشخصية أو محوها عند انتهاء الغرض الذي تمت من أجله معالجة تلك البيانات، أو إذا لم يكن هناك مبرر للاحتفاظ بها لدى المراقب، وهو ما ينطوي عليه الحق في النسيان الذي أشرنا إليه وللفرد كذلك طلب تصحيح بياناته الشخصية، وله الحق في الوصول إلى بياناته الشخصية ومراجعتها.

وأوجب القانون على المراقب، قبل البدء في معالجة أية بيانات شخصية، أن يُعلِم بالأغراض المشروعة التي يرغب المراقب أو أي طرف آخر في معالجة البيانات الشخصية من أجلها. وأوجب القانون على المراقب التحقق من أن البيانات الشخصية التي يجمعها، أو التي يتم جمعها لصالحه، ذات صلة بالأغراض المشروعة وكافية لتحقيقها، وعليه التحقق من أن تلك البيانات دقيقة ومكتملة ومحدثة بما يفي بالأغراض المشروعة، وألا يحتفظ بها لمدة تزيد على المدة الضرورية لتحقيق تلك الأغراض.

كما يجب على كلٍ من المراقب والمعالج اتخاذ الاحتياطات اللازمة لحماية البيانات الشخصية من الضياع أو التلف أو التعديل أو الإفشاء، أو الوصول إليها، أو استخدامها بشكل عارض أو غير مشروع. ويجب أن تكون تلك الاحتياطات متناسبة مع طبيعة وأهمية البيانات الشخصية المراد حمايتها. وعلى المعالج أن يخطر المراقب بوجود أي إخلال بالاحتياطات المشار إليها، أو عند حدوث أي خطر يهدد البيانات الشخصية للأفراد بأي وجه، فور علمه بذلك. ويجب على المراقب إعلام الفرد والإدارة المختصة، بحدوث أي إخلال بشأن هذه الاحتياطات إذا كان من شأن ذلك إحداث ضرر جسيم بالبيانات الشخصية أو بخصوصية الفرد. ويُحظر على المراقب اتخاذ أي قرار أو إجراء من شأنه الحد من تدفق البيانات الشخصية عبر الحدود، إلا إذا كانت معالجة تلك البيانات مخالفة لأحكام هذا القانون، أو كان من شأنها إلحاق ضرر جسيم بالبيانات الشخصية أو بخصوصية الفرد.

وحدد القانون البيانات الشخصية ذات الطبيعة الخاصة والتي استخدمت بعض التشريعات لها مسمى البيانات الحساسة⁶. حيث تعد بيانات شخصية ذات طبيعة خاصة، البيانات المتعلقة بالأصل العرقي، والأطفال، والصحة أو الحالة الجسدية أو النفسية، والمعتقدات الدينية، والعلاقة الزوجية، والجرائم الجنائية. ومنح القانون الوزير المختص أن يضيف أصنافاً أخرى من البيانات الشخصية ذات الطبيعة الخاصة، إذا كان من شأن سوء استخدامها أو إفشائها إلحاق ضرر جسيم بالفرد. وهذه البيانات ذات الطبيعة الخاصة لا يجوز معالجتها إلا بعد الحصول على تصريح بذلك من الإدارة المختصة.

وزاد القانون دواعي الحماية إذا تعلق الأمر ببيانات الأطفال، فأوجب القانون على مالك أو مشغل أي موقع إلكتروني موجه للأطفال، مراعاة وضع إخطار على الموقع حول ماهية بيانات الأطفال، وكيفية استخدامها، والسياسات التي يتبعها في الإفصاح عنها والحصول على موافقة صريحة من ولي أمر الطفل الذي تتم معالجة بيانات شخصية عنه، وذلك عن طريق اتصال إلكتروني أو أي وسيلة أخرى مناسبة وتزويد ولي أمر الطفل، بناءً على طلبه، وبعد التحقق من هويته، بوصف لنوع البيانات الشخصية التي تتم معالجتها، مع بيان الغرض من المعالجة، ونسخة من البيانات التي تمت معالجتها أو جمعها عن الطفل. وكذلك حذف أو محو أو وقف معالجة أية بيانات شخصية تم جمعها من الطفل أو عنه، إذا طلب ولي الأمر ذلك. واشترط القانون ألا تكون مشاركة الطفل في لعبة، أو عرض جائزة، أو أي نشاط آخر، مشروطة بتقديم الطفل بيانات شخصية تزيد على ما هو ضروري للمشاركة في ذلك النشاط، وكلها محددات تزيد من توفير حماية بيانات الأطفال.

وفيما يخص الاعفاءات، فقد أجاز القانون معالجة بعض البيانات الشخصية دون التقيد ببعض أحكام القانون، وذلك لتحقيق حماية الأمن الوطني والأمن العام وحماية العلاقات الدولية للدول،. وحماية المصالح الاقتصادية أو المالية للدولة. ولمنع الجريمة أو جمع معلومات عنها، أو التحقيق فيها. كما أعفى القانون المراقب من الالتزام بأحكام بعض المواد عند تنفيذ مهمة متعلقة بالمصلحة العامة وفقاً للقانون، وكذلك عند تنفيذ التزام قانوني أو أمر من محكمة مختصة، وعندما يكون ذلك بغرض حماية المصالح الحيوية للفرد، وكذلك لتحقيق أغراض البحث العلمي الذي يجرى للمصلحة العامة، وعندما يتعلق الأمر بجمع المعلومات اللازمة للتحقيق في إحدى الجرائم الجنائية، بناءً على طلب رسمي من جهات التحقيق. كما أعفى القانون المراقب من الإفصاح عن أسباب رفضه الالتزام بحقوق الفرد، المنصوص عليها في القانون، إذا كان من شأن ذلك أن يحول دون تحقيق بعض الأغراض المنصوص عليها بشأن حماية مصالح الدولة وأمنها. كذلك أعفى المراقب من الالتزام ببعض الالتزامات الخاصة بمصالح الفرد، إذا كان من شأن الإفصاح الإضرار بالمصالح التجارية لشخص آخر. وإذا كان من شأن تنفيذ هذا الالتزام الإفصاح عن بيانات شخصية تتعلق بفرد آخر لم يوافق على ذلك، وأن الإفصاح قد يترتب عليه ضرر مادي أو معنوي لهذا الفرد أو أي فرد آخر.

وجاءت هذه الاستثناءات في إطار تحقيق بعض المصالح العامة وإن كان من الأفضل أن يتم الحد من هذه القيود على تطبيق الحماية القانونية وأن تخضع لرقابة قضائية.

وفيما يخص التسويق الإلكتروني، فقد حظر القانون إرسال أي اتصال إلكتروني بغرض التسويق المباشر إلى الفرد، إلا بعد الحصول على موافقته المسبقة. ويجب وفق القانون أن يتضمن الاتصال الإلكتروني هوية مُنشئه، وما يفيد بأنه مرسل لأغراض التسويق المباشر، كما يجب أن يتضمن عنواناً صحيحاً يسهل الوصول إليه، ويستطيع الفرد من خلاله أن يرسل طلباً إلى المنشئ بإيقاف تلك الاتصالات أو الرجوع في موافقته على إرسالها. ومنح القانون الحق للفرد في أن يتقدم بشكوى إلى الإدارة المختصة، في حالة مخالفة أحكام هذا القانون والقرارات الصادرة تنفيذاً له. واعتبر القانون أي اتفاق يتم بالمخالفة لأحكامه باطلًا، ووضع القانون جزءات مالية كبيرة تتراوح من مليون إلى خمسة ملايين ريال غرامة في حالة مخالفة أحكامه.

وتجدر الإشارة إلى أن إدارة الامتثال وحماية البيانات بوزارة الاتصالات كانت قد أعلنت مع بداية عام 2021 عن إصدار المبادئ والإرشادات التوجيهية المتعلقة بقانون حماية خصوصية البيانات الشخصية لدعم المخاطبين (أفراد ومؤسسات) بأحكام القانون ولتحقيق فهم مسؤولياتهم وحقوقهم وممارساتهم بموجب هذا القانون.

1 – في هذا المعني – دراسة نقدية لقانون حماية البيانات الشخصية المصري صادرة عن مركز بحوث القانون والتكنولوجيا بالجامعة البريطانية في جمهورية مصر العربية – تحت اشراف أ. د حسن عبدالحميد عميد كلية القانون في الجامعة البريطانية ومدير المركز – بتاريخ 12 اكتوبر 2020 – صفحة 12.
2 – المرجع السابق – الدراسة المشار إليها ص 32، 33.
3 – أنظر: د. ممدوح خليل بحر حماية الحياة الخاصة في القانون الجنائي – دراسة مقارنة – الطبعة 1 – دار النهضة العربية – 1996 ص 253.
4 – تنص المادة (12) من الاعلان العالمي لحقوق الانسان المعتمد من الجمعية العامة للأمم المتحدة بتاريخ 10 ديسمبر عام 1948 على أن: ("لا يجوز تعريضُ أحد لتدخُّل تعسُّفي في حياته الخاصة أو في شؤون أسرته أو مسكنه أو مراسلاته، ولا لحملات تمسُّ شرفه وسمعته. ولكلِّ شخص حقٌّ في أن يحميه القانونُ من مثل ذلك التدخُّل أو تلك الحملات")
5 – ("المادة (1) من القانون رقم (13) لسنة 2016 بشأن حماية خصوصية البيانات الشخصية – الجريدة الرسمية – العدد 15 – تاريخ النشر 29/12/2016).
6 – عرَف قانون حماية البيانات الشخصية المصري رقم 151 لسنة 2020 في مادته الأولى البيانات الحساسة بأنها البيانات التي تفصح عن الصحة النفسية أو العقلية أو البدنية أو الجينية أو بيانات القياسات الحيوية البيومترية أو البيانات المالية أو المعتقدات الدينية أو الآراء السياسية أو الحالة الأمنية، وفي جميع الأحوال تعد بيانات الأطفال من البيانات الشخصية الحساسة.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.