جريدة الراية - الثلاثاء
14
يونيو 2016م
ناقش
تقرير لجنة الخدمات والمرافق بشأن المشروع
الشورى يوافق على قانون حماية البيانات الشخصية
حظر أي اتصال إلكتروني بغرض التسويق دون موافقة مسبقة
كتبت - منال عباس:
عقد مجلس الشورى جلسته العادية الأسبوعية
أمس في دور انعقاده العادي الرابع والأربعين برئاسة سعادة السيد محمد بن مبارك
الخليفي رئيس المجلس. ووافق المجلس بالإجماع على مشروع قانون بشأن حماية خصوصية
البيانات الشخصية.
استعرض المجلس تقرير لجنة الخدمات والمرافق العامة بشأن مشروع القانون، موضحاً أن
السكرتارية العامة لمجلس الشورى تسلمت مذكرة من الأمانة العامة لمجلس الوزراء، تبلغ
فيها أن مجلس الوزراء الموقر وافق في اجتماعه العادي الأول لعام 2016 المنعقد
بتاريخ السادس من يناير الماضي على مشروع قانون بشأن حماية خصوصية البيانات
الشخصية، وعلى إحالته إلى مجلس الشورى، لمناقشته، طبقاً لأحكام الدستور.
يشتمل المشروع على 32 مادة مقسمة على 8 فصول، في الفصل الأول تتحدّث المادة الأولى
عن تعاريف والثانية عن سريان أحكام القانون على البيانات الشخصية عندما يتم
معالجتها على نحو إلكتروني، أما الفصل الثاني فيتكوّن من 5 مواد، تشمل حقوق
الأفراد، حيث لا يجوز للمراقب معالجة البيانات الشخصية إلا بعد الحصول على موافقة
الفرد، كما بيّن أنه للفرد الوصول إلى بياناته الشخصية وطلب مراجعتها في مواجهة أي
مراقب، وتحدّد بقرار من الوزير الإجراءات المتعلقة بممارسة الأفراد لتلك الحقوق
المنصوص عليها في المادتين (5)، (6)، فيما يتكوّن الفصل الثالث من 8 مواد بشأن
التزامات المراقب والمعالج، يقوم المراقب قبل البدء في معالجة أي بيانات شخصية
بإعلام الفرد بعدّة أمور مبينة في المادة 9، وأشارت إلى ضرورة أن يتحقق المراقب من
أن البيانات الشخصية التي يجمعها أو التي يتم جمعها لصالحه ذات صلة بالأغراض
المشروعة وكافية لتحقيقها، وتضمن الإجراءات التي يتعيّن على المراقب اتخاذها، ومن
بينها تحديد المعالجين المسؤولين عن حماية البيانات الخصوصية وتدريبهم، بالإضافة
إلى اتخاذ الاحتياطات اللازمة لحماية البيانات الشخصية من الضياع أو التلف أو
الإفشاء سواء من المراقب أو المعالج.
يتكوّن الفصل من مادتين تتعلقان بالبيانات الشخصية ذات الطبيعة الخاصة، وتعريف
البيانات الشخصية ذات الطبيعة الخاصة (المادة 16)، وكذلك الالتزامات التي يجب على
مالك أو مشغل أي موقع إلكتروني موجّه للأطفال مراعاتها (المادة 17)، فيما شمل الفصل
الخامس الإعفاءات: المواد من (18) إلى (20) والتي بينت للجهة المختصة معالجة بعض
البيانات الشخصية دون التقيّد بأحكام المواد (4)، (9)، (15)، (17) لتحقيق أغراض،
منها حماية الأمن الوطني والعام والعلاقات الدولية والمصالح الاقتصادية أو المالية
للدولة ومنع أي جريمة، كما نصّ على إعفاء المراقب من الالتزام بأحكام بعض المواد في
5 حالات محدّدة، أما الفصل السادس فتناول الاتصالات الإلكترونية لغرض التسويق
المباشر ويحظر إرسال أي اتصال إلكتروني بغرض التسويق المباشر إلى الفرد إلا بعد
الحصول على موافقته المسبقة، فيما تضمن الفصل السابع العقوبات في المواد من (23)
إلى (25)، أما الفصل الثامن فيتضمن أحكاماً ختاميّة في المواد من (26) إلى (32).
في وجهة نظر وزارة المواصلات والاتصالات
حلول فنية لضبط عملية التسريب وإفشاء المعلومات
5 ملايين ريال غرامة قصوى.. وللقاضي تقديرها حسب التجاوز
استعرض مجلس الشورى أمس وجهة نظر وزارة المواصلات والاتصالات حول مشروع قانون حماية
خصوصية البيانات الشخصية التي تتلخص في أنه ومنذ عام 2011 والوزارة تدرس هذا
المشروع حتى تصل إلى المواد الملائمة لطبيعة المجتمع القطري، وأن الفكرة جاءت من أن
كل وزارة أصبح لديها قاعدة بيانات ومعلومات خاصة بالأفراد وعن الموظفين، وتوصلت
الوزارة لمشروع هذا القانون لخدمة الممارسات العالمية.
وبينت الوزارة أن مشروع هذا القانون نظم العملية بين ثلاث جهات تقريباً الجهة
المختصة والإدارة المختصة، والمعالج والمراقب، والفرد نفسه، ووضع اشتراطات على
المعالج والمراقب قبل أن يقوما بمعالجة بيانات الفرد بأن يمتثلا للضوابط الموجودة
في مشروع القانون، كما أن القانون نظم العملية وأعطى الفرد حقوقاً على أساس أن أي
جهة حكومية أو غير حكومية لا تستغلّ معلوماته إلا بإذنه لأنها معلومات خاصة به، ففي
غياب القانون تجتهد الوزارات وتضع معايير وضوابط حماية وفقاً لسياسات معينة.
ضوابط الحماية
وللمواطن الأحقية في أن يطلب من الإدارة المختصة إضافة حماية أخرى إذا رأى أن
الضوابط الموضوعة لحماية بياناته غير كافية، لأن تسريب معلومات لأي شخص آخر يمكنه
أن يأخذها ويعالجها لأغراض سلبية، ويمكنه أيضاً استخدامها في اختراقات مستقبلية،
فمشروع القانون يلزم جميع القطاعات في الدولة بوضع معايير حماية للبيانات وفقاً لما
تحدّده الدولة، لأنها أكثر جهة مسؤولة عن أمن وسلامة المواطن، كما أن البيانات
الشخصية في أغلب الحالات تكون مرتبطة بخدمة يطلبها الشخص، وعلى الشخص أن يكون ملماً
بهذه الخدمة ولا يجوز لغيره استعمالها، فهذه حماية لحقوق الفرد نصّ عليها الدستور،
وأغلب دساتير العالم.
وحول تسرّب المعلومات، بينت الوزارة أن الحلول الفنية المتوفرة تضبط عملية التسريب
والإفشاء، فالسياسة التي تصدرها الوزارة تكون متكاملة وفيها كل الوسائل الفنية التي
من المفترض التزام كل الجهات بتفعيلها على شبكاتها وعلى أنظمتها، فهذه ستحدّ من
عملية التسرّب، فحالياً هذه الأمور موجودة لكن غير منظمة وتحتاج إلى أن يكون هناك
تصنيف واضح للمعلومات: خاصة، عامة، سرية، فتصنيف كل معلومة يجب أن تفعل بعض الوسائل
الفنية لحمايته.
جرائم الاختراق
وبالنسبة للجرائم الإلكترونية والاختراق، أشارت إلى وضع إطار تشريعي عام لقطاع
الاتصالات والتكنولوجيا عام 2010، وفي هذا الإطار تمّ الاتفاق على خمسة قوانين
رئيسية يفترض أن تكون موجودة في قطر، وتمت المصادقة على هذا الإطار والقوانين
الخمسة هي: قانون الاتصالات، قانون مكافحة الجرائم الإلكترونية، قانون حماية خصوصية
البيانات الشخصية، قانون المعاملات التجارية، قانون حماية البنية التحتية الحساسة،
موضحة أن هذه القوانين مكمّلة لبعضها، وهناك مواد تكمل المواد الموجودة في قانون
مكافحة الجرائم الإلكترونية، بالنسبة لاختراق المعلومات فإن قانون الجرائم
الإلكترونية وقانون العقوبات يعالجان هذا الموضوع، وفي نفس الوقت يردعان مرتكبيها
إذا كانوا موجودين في قطر، أما إذا كانوا خارج قطر فهناك مواد نصّ عليها في قانون
مكافحة الجرائم الإلكترونية بالنسبة لتبادل المُجرمين، وعن طريق الاتفاقيات
الثنائية.
معالجة البيانات
وأشارت إلى أن المواد من (3) - (7) تلزم المعالج والمراقب بتفعيل ما يتعلق بمعالجة
الأمور الخاصة بحقوق الفرد، فهما يتبعان الجهة المختصة لمعالجة البيانات، موضحة أن
بعض الوزارات حسب حجم أعمالها تكتفي بالمراقب فقط، لأنه يعالج المعلومات، وهناك
وزارات بإمكان المراقب أن يستعين بمعالجين، فالمراقب أن يستعين بمعالجين، فالمراقب
إذا كان معه معالجون هو يضع المعايير وفقاً للقانون على أساس أن هؤلاء المعالجين
يتبعونها في معالجة البيانات، فكلاهما يؤدّيان نفس العملية إنما يعتمد على طبيعة
عمل الوزارة وحجمها فقد تحتاج إلى مراقب وقد تحتاج إلى مراقب ومعالجين.
المعالج والمراقب
وفيما يتعلق بإمكانية الفصل بين المعالج والمراقب، بينت الوزارة أن المعلومات
دائماً تكون موجودة في الجهة المختصة، فهذه الجهة هي التي تعيّن المراقب على أساس
أن يقوم بمعالجة البيانات وهي التي تعيّن المعالجين، فحسب حجم البيانات وطبيعة
العمل يستعين المراقب بمعالجين، عن دور مدخل البيانات أشارت إلى أن مدخل البيانات
يدخلها في الجهاز فقط ولا يعالجها، الذي يعالج البيانات شخص آخر هو المراقب، فالذي
يعالج هو الذي يوفّر أو يصمم لك الخدمة التي تريدها، وهو المراقب فعملية المراقبة
تتم وفقاً للمعايير والأنظمة والضوابط التي وضعها مشروع هذا القانون، فالمعالجة غير
إدخال البيانات.
ضوابط وإجراءات
وتتضمن المواد من (8) - (15) التزامات وضوابط وإجراءات لا بد لكل من المراقب
والمعالج استيفاؤها قبل البدء بعملية المعالجة لأن ما يعالج بيانات خاصة بأفراد
ومعلومات أساسية.
وحول ارتفاع الغرامة التي نصّت عليها المادة (13) وهي لا تزيد على خمسة ملايين
ريال، أوضحت أن قيمة الغرامة وضع لها سقف أعلى، وستكون تقديرية للقاضي وفقاً لما
يراه مناسباً بالنسبة للتجاوز، وعلى أي جهة ارتكبت ذلك سواء المراقب أو المعالج أو
مدخل البيانات، فالحكم حسب ملابسات القضية.
البصمة الوراثية
وحول الفصل الرابع من مشروع القانون المعروض وعنوانه (البيانات الشخصية ذات الطبيعة
الخاصة)، بينت الوزارة أن البصمة الوراثية من بيانات الفرد، ومع ذلك لا توضع في
البطاقة الشخصية كباقي البيانات والسبب أنها معلومات أكثر حساسية للفرد، وإن
التعامل مع هذه البيانات يكون بضوابط استثنائية وليس بنفس الضوابط التقليدية، لذلك
أُعطي الوزير الحق في إضافة أصناف أخرى من هذه المعلومات ذات الطبيعة الخاصة إذا
كان إفشاؤها يسبّب ضرراً للفرد، لذلك يجب أن يكون تعامل الجهات (الوزارات) مع هذه
البيانات بطريقة استثنائية كما أوضحنا، كذلك أعطي الوزير صلاحيات بفرض احتياطات
إضافية لغرض حمايتها.
وأشارت الوزارة إلى افراد نص خاص في هذا المشروع لحماية الطفل والسبب المشاكل التي
يواجهها الأطفال مع شبكة الإنترنت والتي تسمى تطبيقات عابرة للقارات، والمقصود من
عبارة تطبيقات عابرة للقارات أن إدارتها ومراكز المعالجة غير موجودة في قطر إنما
بالخارج، فالمادة (17) مثلاً تعزّز حماية الطفل في عملية استخدامه الشبكة
العنكبوتية، وفي حالة عمليات التبادل التجاري وتبادل المعلومات، فإن أول سؤال يوجّه
في هذا الصدد يتعلق بمشروع هذا القانون، إذن هذا المشروع جامع وشامل ويعزّز النقاش
مع الدول التي تتبادل معها دولة قطر تجارياً.
حالات الإعفاء
وبالنسبة للفصل الخامس (الإعفاءات)، أوضحت الوزارة أن كل نظام قانوني فيه حالات
إعفاء لجهات رسمية وسيادية في الدولة من بعض الالتزامات وحماية المجتمع والمصالح
الاقتصادية والمالية للدولة والنظام العام والتوقي من الجريمة، حتى المراقب لديه
استثناءات لبعض الحالات بحيث لا يكون فيها ملزماً باتباع بعض الإجراءات والقيود،
ومنها أخذ موافقة الفرد. ونوّهت بأن الفرد يستقبل رسائل من شركات أو أشخاص على
(الجوال والبريد الإلكتروني) للترويج أو التسويق المباشر لسلعة أو منتج، لذلك سيكون
ممنوعاً بدون الحصول على موافقته المسبقة بموجب المادة (22) من الفصل السادس من
مشروع القانون.
صقر المريخي:
لجنة الخدمات توصي بالموافقة على المشروع
قال السيد صقر فهد المريخي مقرّر لجنة الخدمات والمرافق العامة إن اللجنة توصي مجلس
الشورى الموقر بالموافقة على مشروع القانون كما ورد من الحكومة الموقرة، مشيراً إلى
أن مجلس الشورى كان أحال مشروع القانون إلى لجنة الخدمات والمرافق العامة لدراسته
وتقديم تقرير بشأنه إليه، حيث عقدت اللجنة 3 جلسات لها بتاريخ 21 /3، 4/4، 9/5/2016
درست خلالها مشروع القانون المشار إليه، وجاء الاجتماع الثالث بحضور كل من السيد
خالد الهاشمي وكيل الوزارة المساعد لقطاع الأمن السيبراني بوزارة المواصلات
والاتصالات والسيد إبراهيم بن ميم استشاري قانوني بالوزارة.
قانون رقم (14) لسنة 2014
بإصدار قانون مكافحة الجرائم الإلكترونية
القانون وفقا لأخر تعديل -
قانون رقم (11) لسنة 2004بإصدار قانون العقوبات
قرار وزير الداخلية رقم
(17) لسنة 2015 بتحديد البيانات التي
تدون في البطاقة الشخصية والإجراءات اللازمة للحصول عليها
مشروع قطري لحماية خصوصية البيانات الشخصية