قانون حماية البيانات الشخصية الأردني

بين الرقمنة والحقوق: قانون حماية البيانات الشخصية الأردني.

     في عصر التطور التكنولجي وتقدم التقنيات وما يحمل معه من مخاطر تتمثل في تنوع الأساليب الجرمية وتطورها لا بل تطور مهارات مُرتكبيها في الولوج الى معلومات وبيانات ضحاياهم تظهر الحاجة الملحة الى وجود إطار تشريعي يصون حق المُستخدم في حماية بياناته الشخصية ويضمن في الوقت ذاته المُعالجة اللاحقة للأضرار ومُعاقبة مرتكبها لو تم التعدي عليها ، فتزايد إعتماد الافراد والمؤسسات على التكنولجيا الرقمية هو واقع واستنادًا على هذا الواقع تم إقرار قانون حماية البيانات الشخصية رقم 24 لسنة 2023 ليكون المظلة القانونية التي تضمن صون الخصوصية وتنظيم التعامل مع بيانات الافراد .

اولاً: الطبيعة التشريعية لقانون حماية البيانات الشخصية

نظَم التشريع قواعد واضحة لجمع البيانات ومعالجتها بما يضمن تحقيق التوازن بين حق الأفراد في الخصوصية وبين حاجة المؤسسات إلى استخدام البيانات لأغراض مشروعة كما نصت بنوده  ويعتمد القانون على مبادئ أساسية مثل الموافقة الصريحة، والغرض المحدد للمعالجة، وتقليل البيانات إلى الحد الضروري، والالتزام بحماية أمن المعلومات.

وقد عرف القانون ابتداءً البيانات الشخصية في المادة 2 بانها (أي بيانات أو معلومات تتعلق بشخص طبيعي ومن شأنها التعريف به بطريقة مباشرة أو غير مباشرة مهما كان مصدرها أو شكلها بما في ذلك البيانات المتعلقة بشخصه أو وضعه العائلي أو أماكن تواجده) ، وفرق القانون بين البيانات الشخصية والبيانات الشخصية الحساسة التي عرَفها في المادة ذاتها بأنها ( أي بيانات أو معلومات تتعلق بشخص طبيعي تدل بصورة مباشرة أو غير مباشرة على أصله أو عرقه أو تدل على آرائه او انتماءاته السياسية أو معتقداته الدينية أو أي بيانات تتعلق بوضعه المالي أو بحالته الصحية أو الجسدية أو العقلية أو الجينية أو بصماته الحيوية  (البيومترية) أو بسجل السوابق الجنائية الخاص به أو أي معلومات أو بيانات يقرر المجلس اعتبارها حساسة إذا كان إفشاؤها أو سوء استخدامها يلحق ضررا بالشخص المعني بها) .

وحسنًا فعل المُشرع في إفراد بندين للتعريف دون أن يقتصر على إدراج تعريف واحد مع وضع عبارة (اي بيانات حساسة او بالاضافة للبيانات الحساسة ) على سبيل المثال ، فهذا من شأنه فتح باب التفسريات والاجتهادات لتكييف ما هو في نطاق البيانات الحساسة وما هو خارجها الامر الذي قد يسلب حق المستخدم في الحماية ،فقيام المشرع بتوخي الدقة في إدراج التعريف لا بل في المُصطلحات الداخلة به يُشكل حماية كبر بالتالي موثوقية اكبر ، كما فرّق المشرع بين المُراقب والمُعالج في المادة 2 ، فالمراقب الجهة التي تحدد غرض المعالجة وعلى غراره المعالج وهي الجهة المختصة بالمعالجة وبذلك يتوزع العبئ القانوني بين الطرفين وتُحدد المسؤوليات تبعًا لذلك.

ثانيًا: حقوق صاحب البيانات

بحكم الخصوصية التي تتمتع بها البيانات وكونها تتصل بهوية صاحبها فقد مَنح القانون صاحب البيانات مجموعة من الحقوق التي تمنحه سيطرة فعلية على معلوماته من أبرزها الحق في الوصول إلى بياناته والإطلاع عليها، والحق في تصحيحها أو محوها، إضافة إلى الحق في سحب الموافقة وفي الاعتراض على المعالجة أو طلب نقل بياناته إلى جهة أخرى وفق شروط محددة وهذا ما نصت عليه المادة 4 من القانون حيث جاء بها :

مع مراعاة المادة (6) من هذا القانون:-

أ- لكل شخص طبيعي الحق في حماية بياناته ولا يجوز  معالجتها الا بعد الحصول على الموافقة المسبقة للشخص المعني أو في الاحوال المصرح بها قانونا.

ب- يتمتع الشخص المعني بالحقوق التالية:-

1- العلم والاطلاع والوصول الى البيانات الموجودة لدى المسؤول والحصول عليها.

2- سحب الموافقة المسبقة.

3- التصحيح أو التعديل أو الإضافة أو التحديث للبيانات .

4- تخصيص المعالجة في نطاق محدد.

5- المحو او الاخفاء للبيانات وفقاً لأحكام هذا القانون.

6- الاعتراض على المعالجة والتشخيص اذا كانا غير ضروريين لتحقيق الاغراض التي جمعت البيانات من أجلهما أو كانتا زائدتين على متطلباتها أو تمييزية أو مجحفة أو مخالفة للقانون.

7- نقل نسخة من بياناته من المسؤول الى مسؤول آخر.

8- العلم والمعرفة بأي خرق أو انتهاك أو إخلال بأمن وسلامة بياناته.

ج- لا يترتب على ممارسة الشخص المعني لحقوقه المنصوص عليها في الفقرة (ب) من هذه المادة أي تبعات مالية أو تعاقدية بما لا يخل بحقوق المسؤول.

د-  تنظم أحكام هذه المادة بمقتضى نظام يصدر لهذه الغاية .

وتفسيرًا لما سلف فقد عرّف القانون الشخص المعني بأنه (الشخص الطبيعي الذي تتم معالجة البيانات الخاصة به) ، وقد اعطى القانون للمعني عدة حقوق جوهرية كما هو واضح ، وهذا ما يتماشى مع الغاية التشريعية لهذا القانون في توفير الحماية لصاحب البيانات انطلاقًا من اساس فكرته تقنية وهذا يخرجها من دائرة كونها مجرد مورد تستخدمه الجهات المختلفة وقت الحاجة الى كونها حق قانوني اصيل  فهذا الربط بين الاساس القانوني وبين ارادة صاحبها يحد من  المُعالجة التعسفية او الغير مُبررة ، إضافة الى ذلك يؤكد التشريع على اهمية الشفافية حيث افردت المادة 9 ما يتعين على المسؤول من واجبات تتمثل في إعلامه للشخص المعني بما يتوجب علمه به .

المادة 9: مع مراعاة المادة (6) من هذا القانون، يتعين على المسؤول وقبل البدء بالمعالجة إعلام الشخص المعني خطيا أو إلكترونيا بما يلي:-

أ- البيانات التي ستتم معالجتها وتاريخ البدء بذلك.

ب- الغرض الذي تجرى من أجله معالجة بياناته.

ج- المدة الزمنية التي ستتم خلالها معالجة البيانات على أن لا يتم تمديد هذه المدة إلا بموافقة الشخص المعني ووفقا لأحكام هذا القانون .

د-  المعالج الذي سيشارك المسؤول في تنفيذ المعالجة .

هـ- ضوابط أمن وسلامة وحماية البيانات.

و-  معلومات عن التشخيص.

وقد تابعت المادة 20 السير على ذات المبدأ حيث فرضت على الجهات المعنية إعلام الشخص عن أي خلل قد يمس بياناته الامر الذي من شأنه ترسيخ مبدأ المساءلة وزيادة الثقة في طريقة تنظيم البيئة الرقمية بأُطر قانونية .

المادة 20:

أ-عند حدوث إخلال بأمن وسلامة البيانات من شأنه إحداث ضرر جسيم بالشخص المعني، يتوجب على المسؤول القيام بما يلي:-

1-إبلاغ الأشخاص المعنيين الذين تكون بياناتهم قد تأثرت خلال (24) ساعة من اكتشاف عملية الإخلال، وتزويدهم بالإجراءات اللازمة لتفادي أي عواقب قد تترتب على هذا الإخلال.

2-إبلاغ الوحدة خلال (72) ساعة من اكتشاف عملية الإخلال عن مصدر الإخلال وآليته والأشخاص المعنيين الذين تأثرت بياناتهم بهذا الإخلال وأي معلومات أخرى متوافرة حولها.

ب-يكون المسؤول المتسبب بحدوث الخطأ الجسيم او التعدي ملزما بتعويض الشخص المعني.

ثالثا: نقل البيانات الى خارج المملكة

لا يسمح القانون بنقل البيانات إلى الخارج إلا إذا كانت الدولة المستقبِلة توفر مستوى حماية مماثلة للمستوى الموجود بالاردن أو إذا توافرت ضمانات قانونية كافية كعقود توفر حماية مناسبة مع الاشارة الى بعض الحالات المستثناة ويهدف هذا التنظيم إلى منع إساءة استخدام البيانات في بيئات تشريعية ضعيفة تعرض حقوق الافراد للخطر ، وقد نصت المادة 15 على :

أ- لا يجوز نقل البيانات إلى أي شخص خارج المملكة بمن في ذلك المتلقي اذا كان مستوى الحماية الذي يوفره لتلك البيانات يقل عما هو منصوص عليه في هذا القانون باستثناء الحالات التالية:-

1-التعاون القضائي الإقليمي أو الدولي بموجب اتفاقيات أو معاهدات دولية نافذة في المملكة.

2-التعاون الدولي أو الإقليمي مع الهيئات أو المنظمات أو الوكالات الدولية أو الإقليمية العاملة في مجال مكافحة الجريمة بأنواعها أو ملاحقة مرتكبيها.

3- تبادل البيانات الطبية الخاصة بالشخص المعني عندما يكون ذلك ضروريًا لعلاجه.

4- تبادل البيانات المتعلقة بالأوبئة أو الكوارث الصحية أو ما يمس الصحة العامة في المملكة.

5- موافقة الشخص المعني على النقل بعد إعلامه بعدم توافر مستوى حماية كاف.

6- العمليات المصرفية وتحويل الأموال الى خارج المملكة.

ب-على المسؤول وقبل البدء بعملية نقل البيانات التحقق من مستوى الحماية الذي يوفره المتلقي خارج المملكة لضمان حماية البيانات وأمنها.

رابعا: العقوبات

فرض القانون عقوبات مالية وإدارية على الاطراف التي تخالف احكام القانون خاصة تلك المخالفات التي تتعدى على خصوصية البيانات دون سند قانوني او تستخدمها خارج الغاية التي جمعت من اجلها ، ويُلاَحظ أن المشرع تدرَّج بالعقوبة فقد أُستِفتحَت المادة 21 بأنه في حال وجود مخالفة لا بد من توجيه إنذار للمُخالف يحثه على إزالة كل من المخالفة واسباها واثارها وفي حال تمنّعه فقد يُرتب المخالف على نفسه جزاء اكثر صرامة كإيقاف الترخيص او التصريح او حتى إلغاءه بالاضافة الى الغرامات المالية مع الإشارة الى حق المتضرر من المخالفة في إقامة دعوى التعويض المدني .

المادة 21:

أ- في حال ارتكاب أي مخالفة لأحكام هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه تقوم الوحدة بإنذار المخالف للتوقف عن المخالفة وإزالة أسبابها وآثارها خلال مدة تحددها في الانذار وإذا انقضت هذه المدة دون تنفيذ مضمون الإنذار يتخذ المجلس بناء على تنسيب الوحدة أيا من الجزاءات التالية:-

1-الإنذار بإيقاف الترخيص أو التصريح جزئيا أو كلياً.

2-إيقاف الترخيص أو التصريح جزئياً أو كلياً.

3-إلغاء الترخيص أو التصريح جزئيا أو كليا.

4-فرض غرامة مالية لا يزيد مقدارها على (500) دينار عن كل يوم تستمر فيه المخالفة على أن لا يزيد مجموع مبلغ الغرامة المفروضة على (3%) من إجمالي الإيرادات السنوية للسنة المالية السابقة للمسؤول المخالف.

ب- يجوز للوحدة نشر بيان بالمخالفات التي ثبت وقوعها على نفقة المخالف بالوسيلة والكيفية التي تراها مناسبة.

ج- لا يحول اتخاذ أي من الإجراءات المنصوص عليها في الفقرة (أ) من هذه المادة دون حق المتضرر من إقامة دعوى التعويض المدني عن الأضرار التي لحقت به نتيجة مخالفة أحكام هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه.

وكذلك تطرقت المادة 22 الى الجانب العقابي لكن بصورة اكثر جسامة تتناسب مع جسامة المخالفة لأحكام القانون ،وقد اشارت الى إمكانية الامر بإتلاف او إالغاء قاعدة البيانات وهذا يعكس التفاوت - دون تناقض -  مع المادة السابقة 21 التي تناولت انتهاكات إدارية وإجرائية مع عقوبات متدرجة من الإنذار الى الغرامات والتي تهدف بالمحصلة الى ضبط الشركات او المؤسسات، من جانب آخر ما تطرقت له المادة 22 من انتهاكات تَمس جوهر حماية البيانات بهدف رفع الانتهاكات الخطيرة ، حيث نصت المادة 22 على التالي :

أ- مع عدم الاخلال بأي عقوبة أشد ورد النص عليها في أي تشريع آخر يعاقب كل من يخالف أحكام هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه بغرامة لا تقل عن (1000) الف دينار ولا تزيد على (10000) عشرة آلاف دينار وتضاعف العقوبة في حال التكرار.

ب- إضافة إلى العقوبة المنصوص عليها في الفقرة (أ) من هذه المادة يجوز للمحكمة المختصة بناء على طلب النيابة العامة او المتضرر أو من تلقاء نفسها ان تقضي بإتلاف البيانات أو إلغاء قاعدة البيانات موضوع الدعوى التي صدر بها قرار قطعي بالإدانة .

ختامًا يُعد قانون حماية البيانات الشخصية خطوة تعزز الثقة الرقمية بالأردن وتوفرأرضية قانونية تتماشى مع المعايير العالمية المُتطورة لكن يبقى نجاح هذا النظام مرهون على تطبيقه بفعالية مع رفع وعي الافراد بأهمية حماية البيانات الشخصية وتجهيز المؤسسات بالبنى الرقمية المناسبة  لتتمكن من تنفيذ أحكامه بكفاءة وهذا لُب ومتن القانون حيث صيغت المبادئ القانونية بالتناسق مع الإلتزامات التي يترتب على الإخلال بها عقوبات رادعة إضافة الى الضمانات التي تنصب بصالح أصحاب البيانات  منذ لحظة تجميع البيانات مرورا باستخدامها .

وحري بنا التأكيد أن تحديث البنية التشريعية بشكل دوري بما يتواكب مع لغة الفضاء الرقمي يُساهم في إبقاء الأردن على إطلاع بالسياسات التحديثية العالمية على الصعيد الدولي ، والأهم هو عكس الرؤية التقدمية لدى المُشرع الأردني وقدرته على الموازنة بين التطوير الرقمي وصون الحقوق .

للمزيد من التفاصيل، اقرأ دليلنا القانوني الشامل: حماية البيانات الشخصية