حماية البيانات الشخصيّة: قانون حماية البيانات الشخصيّة القطري

ناقشنا في المقالة الأولى اللائحة العامّة لحماية البيانات (GDPR) ومبادئها الرئيسيّة. وفي هذه المقالة، سنسلط الضوء على  كيفيّة تعامل المُشرّع القطريّ مع مبادئ حماية البيانات والحقوق ذات الصلّة. 

أولاً, تمّ تعديل الإطار التشريعيّ لحماية البيانات في قطر بموجب القانون رقم 13 لسنة 2016 بشأن حماية البيانات الشخصيّة، وكان أول تشريع من نوعه في مجلس التعاون لدول الخليج العربية.ومن ثمّ  دخل  حيز التنفيذ عام 2017، لكنّ اللائحة التنفيذيّة لتطبيق هذا القانون لم تصدر بعد. 

لكن عند النظر إلى المبادئ التي تشكل روح التشريع، نجده يتضمّن مبادئ مألوفة في أطر الخصوصيّة الدولية الأخرى، ويتمحور حول حقنا في حماية بياناتنا الشخصيّةالذي يُلزم القانون أي جهة (قانونيّة أو طبيعيّة)والتي تجمع أو تعالج هذه البيانات بالمبادئ التي ناقشناها في المقالة الأولى؛ (1) القانونيّة والعدالة والشفافيّة (2) تحديد الغرض (3) تقليل البيانات إلى الحدّ الأدنى (4) الدقّة (5) قيود التخزين (6) النزاهة والسريّة (يرجى الاطّلاع على المقالة السابقة).  

إذاً، ما هو نطاق قانون حماية البيانات الشخصيّة؟ 

سيُطبّق التشريع القطريّ معظم الأحيان عند التعامل مع البيانات الشخصيّة. 

تنصّ المادّة 2 على تطبيق المتطلبات عند معالجة البيانات الشخصيّة (سواء كانت بياناتٍ تحدّد هويّة الفرد أو يمكن استخدامها مع بيانات أخرى لتحديد الهويّة). وفي حال معالجتها إلكترونيّاً ,الحصول عليها , جمعها , استخراجها بهدف المعالجة الإلكترونيّة، أو عند استخدام كلّ من المعالجة الإلكترونيّة والتقليديّة. 

تستثني المادة ذاتها نوعين من البيانات؛ (1) البيانات التي تمّ جمعها أو معالجتها للاستخدام الشخصيّ أو العائلي (2) البيانات التي تمّ جمعها للأغراض الإحصائيّة وفقاً للقانون رقم 2/2011. 

لفهم التشريع بشكل أوضح علينا معرفة الجهات الفاعلة الرئيسيّة التي تعد أطرافاً في هذا القانون. 

 ومن هنا نقول , أنه يوجد لدينا أربع جهات، صاحب البيانات، ووزارة المواصلات والاتّصالات، وجهات إدارة البيانات، وجهات معالجة البيانات. 

نبدأ أولاً  بصاحب البيانات ألا وهو المستهلك، أي "نحن".  ووزارة المواصلات والاتّصالات هي السلطة المختصة بموجب القانون. 

الجهة الثانية هي جهة إدارة البيانات وهي أيّ جهة طبيعيّة أو قانونيّة، تحدّد بشكل فرديّ أو بالاشتراك مع آخرين طريقة معالجة البيانات الشخصيّة والغرض من معالجتها. 

الجهة الثالثة هي جهة معالجة البيانات وهي أيّ جهة طبيعيّة أو قانونيّة، تقوم بمعالجة البيانات الشخصيّة لصالح جهة الإدارة. ورغم وجود تشابه كبير لا يسمح للمستهلك بالتمييز بينهما،ولكن  من المهمّ لمزوّد الخدمة تعريف عمله، كجهة إدارة بيانات أو جهة معالجة! 

بالإضافة إلى أن القانون يفرض  بوضوح متطلبات قانونية على جهات إدارة البيانات في مواد عدّة مثل (1) معالجة البيانات الشخصيّة بأمانة ووفقاً للقانون، (2) وضع تدابير مناسبة لحماية البيانات، (3) الامتثال لسياسات حماية الخصوصيّة الصادرة عن وزارة المواصلات والاتّصالات بين الحين ولآخر، (4) مراجعة تدابير حماية البيانات الحاليّة قبل تقديم أيّ منتجات أو خدمات جديدة تتعامل مع البيانات الشخصيّة، (5) ضمان دقّة البيانات الشخصيّة التي تمّ جمعها، وأنّها ذات صلة، (4) الامتناع عن الاحتفاظ بالبيانات لفترة أطول من اللازم. وهذه الالتزامات مذكورة بالتفصيل في المواد من 8 إلى 15 من القانون. 

من ناحية أخرى، يتعيّن على كلّ من جهات إدارة البيانات وجهات معالجة البيانات اتّخاذ جميع التدابير اللازمة لحماية البيانات الشخصيّة من الفقدان والتلف والتغيير والإفصاح أو من الوصول إليها واستخدامها عن طريق الخطأ أو بشكل غير قانوني. 

ألا تبدو هذه الالتزامات مألوفة؟! نعم، فهي مستقاة من مبادئ اللائحة العامّة لحماية البيانات التي ناقشناها في المقالة السابقة. لتسهيل المقارنة بين اللائحتين لمن يرغب بذلك، أضع بين أيديكم جدول مقارنة بين مبادئ حماية البيانات في اللائحة العامّة لحماية البيانات والمواد الواردة في قانون حماية البيانات الشخصيّة القطري. 

• القانونيّة والعدالة والشفافيّة مذكورة في المواد 8 و9 و10. 
• تحديد الغرض في المادة 9.2. 
• تقليل البيانات إلى الحدّ الأدنى في المادة 9.3. 
• الدقّة في المادة 9.4. 
• قيود التخزين في المادة 10. 
• النزاهة والسريّة في المواد 8.2 و8.4 و11 و13 و14. 

إذاً، ما هي الحقوق التي يضمنها القانون القطري؟ 

يحدّد القانون عدّة حقوق لأصحاب البيانات في المواد بين 3-7. تنصّ المادتان 3 و 4 على الحقّ الأساسيّ لصاحب البيانات في حماية بياناته من أيّ ضرر، وعدم جمعها بأيّ وسيلة دون موافقة مسبقة منه. كما توضح المواد التالية حقوقاً إضافيّة يتمتّع بها صاحب البيانات بشأن بياناته الشخصيّة. ويمكننا تلخيصها بما يلي: 

سحب الموافقات السابقة. (المادّة 5.1) 

تمنح هذه المادّة صاحب البيانات حقّ سحب موافقته الممنوحة سابقاً لمعالجة بياناته الشخصيّة لغرض ما. ويُلزم هذا الطلب الشركة بإيقاف معالجة البيانات الشخصيّة التي كانت تستند إلى الموافقة السابقة. 

الاعتراض على معالجة البيانات الشخصيّة كونها غير ضروريّة لتحقيق الهدف الذي جُمعت من أجله، أو لكونها تتخطى حدّها أو أنها تمييزيّة أو غير عادلة أو غير قانونيّة. (المادة 5.2) 

تمنح هذه المادّة صاحب البيانات حقّ الاعتراض على معالجة بياناته الشخصيّة. وتماثل عادةً الحقّ في سحب الموافقة، إذا تمّ الحصول على الموافقة بشكل شرعيّ ولم تجر أيّ معالجة خارج الأغراض المشروعة. ولكن قد يكون السيناريو هنا طلب العميل عدم معالجة بياناته الشخصيّة لأغراض معيّنة. 

طلب حذف البيانات الشخصيّة للأسباب المذكورة في المواد أعلاه. (المادة 5.3) 

تمنح هذه المادّة صاحب البيانات حقّ طلب حذف بياناته، وتنطبق بشكل عام على نهاية العلاقة مع العميل. من المهمّ ذكر أنّه لا يُعدّ حقاً مطلقاً، بل يتوقف على جدول الاحتفاظ وفترة الاحتفاظ المنصوص عليها في القوانين النافذة الأخرى. على سبيل المثال، تُلزم المادة 21 من القانون 14/2014 بوضوح مزوّدي الخدمة بالاحتفاظ بمعلومات العميل لمدّة عام واحد. 

طلب تصحيح البيانات الشخصيّة. (المادّة 5.4) 

تمنح هذه المادّة صاحب البيانات حقّ طلب تعديل بياناته الشخصيّة، إذا كان يعتقد أنّ هذه البيانات ليست دقيقة أو تحتاج تحديثاً. كما يُلزم القانون صاحب البيانات بإثبات دقّة هذه المعلومات. 

حقّ الوصول ومراجعة البيانات الشخصيّة. (المادة 6) 

تضمن هذه المادّة لصاحب البيانات حقّ الوصول إلى بياناته الشخصيّة التي تتمّ معالجتها. ويؤكّد القانون أن هذا الحقّ يجب تطبيقه على جميع جهات إدارة البيانات. 

حقّ الإبلاغ عن معالجة البيانات الشخصيّة وغرض هذه المعالجة. (المادة 6.1) 

تضمن هذه المادّة لصاحب البيانات حقّ الحصول على معلومات من الشركة حول البيانات الشخصيّة التي تتمّ معالجتها وسبب هذه المعالجة. 

حق الإبلاغ عن أي إفصاح عن البيانات الشخصية المتعلّقة بصاحب البيانات. (المادة 6.2) 

ينبغي على جهات إدارة البيانات إبلاغ صاحب البيانات بكلّ إفصاح أو خرق أو تسريب لبياناته الشخصيّة، كقاعدة عامّة. ولكن يستحسن الانتظار لمعرفة كيف ستتعامل الجهات المختصة مع هذه المسألة، بما أن اللوائح التنفيذيّة لهذا القانون لم تصدر بعد. 

حقّ الحصول على نسخة من البيانات الشخصيّة. (المادة 6.3) 

يُلزم القانون كلاً من جهات إدارة البيانات وجهات معالجتها بتقديم نسخة عن البيانات لصاحبها بمجرّد طلبها وبعد دفع رسوم هذه الخدمة. 

هل تُعدّ هذه الحقوق كافية لحماية بياناتنا الشخصيّة؟ 

أضاف المُشرّع القطري طبقات حماية إضافية في المادتين 16 و17 حين يتعلّق الأمر بـ "البيانات الشخصية الحساسّة" و "حماية الطفل". 

صَنّفت المادة 16 أنواع البيانات التالية على أنّها "بيانات حساسّة": 

الانتماء العرقيّ والمعتقدات الدينيّة 

البيانات تتعلّق بالأطفال أو العلاقات الأسريّة 

البيانات المتعلّقة بالصحّة، متضمنة الصحّة الجسديّة والذهنيّة أو النفسيّة 

السجّل الجنائي 

من جهةٍ أخرى, تتطلبُ معالجة  أي نوع من البيانات المذكورة إذناً خاصاً من وزير المواصلات والاتّصالات، ويحقّ للوزير إضافة أنواع أخرى إلى هذه القائمة إذا كانت قد تسبب أيّ ضرر لأيّ كان. 

تتناول المادّة 17 جمع المواقع المُخصّصة للأطفال للبيانات. يُلزم القانون مالك أو مُشغل أي موقع موجه لأطفالنا بالإعلان بوضوح عن نوع البيانات التي يجمعها، كيف سيتمّ استخدامها، وسياسة الإفصاح الخاصّة به. بالإضافة إلى ذلك، يُلزم المواقع بالحصول على موافقة مسبقة من الوصيّ قبل جمع أي بيانات. 

تنصّ المادّة 17.4 بوضوح على التزام مالك أو مُشغل الموقع بحذف بيانات الطفل الشخصيّة بناءً على طلب الوصي. وتجدر هنا الإشادة بالمشرّعين! 

إذ تمنح هذه المادّة الوصيّ الصلاحية الكاملة للتحكّم في بيانات الطفل الشخصيّة، وهذا يُعدّ حالة استثنائيّة! إذا عدنا إلى الحقّ الثالث الذي ذكرناه أعلاه،  ألا وهو حقّ الحذف والنسيان، لنجد أنّه ليس حقاً مطلقاً في المادة 5.3 لأنه يقوم على الأسباب المذكورة في المادتين 5.2 و5.3. بينما يختلف الوضع هنا فالحقّ في الحذف مُطلق! 

وأخيرأ, يمنحنا هذا القانون أملاً في مستقبل أفضل، ويمنحنا السيطرة على بيانات أطفالنا الشخصية، والسؤال الذي يطرح نفسه هنا هل سنجيد استخدامه؟