انسجامًا مع التوجه العالمي في معايير الخصوصية، ذهب الأردن لتأطير حقوق الأفراد في ملكية بياناتهم عبر العمل على قانون لحماية بيانات المواطنين الشخصية من الاستغلال أو إساءة الاستخدام. وعلى الرغم من وجود شكوك حول مدى تطبيق بنود هذا القانون حال صدوره، تعتبر هذه الخطوة ضرورية لوقف الفوضى في التعامل مع بيانات الأردنيين من الجانب الحكومي، ومنع الشركات الخاصة من الجمع الجائر للبيانات الشخصية واستغلالها لتحقيق الربح، دون أخذ مصلحة المستخدمين أو خصوصيتهم بعين الاعتبار. ولعل اللائحة العامة لحماية البيانات الأوروبية تجسد قدرة التشريع على فرض واقع عملي جديد في ”سوق البيانات الشخصية“.
ومرت مسودة القانون عبر السنين الماضية بمراحل الصياغة المختلفة في وزارة الاتصالات وتكنولوجيا المعلومات (وزارة الاقتصاد الرقمي والريادة لاحقًا) وعرضت للاستشارة العامة أكثر من مرة. وبعد الوصول لصيغة معينة نشرت على موقع ديوان التشريع والرأي، أُرسلت بعد عامين لمجلس النواب بصيغة مختلفة تمامًا عن تلك التي وردت في خلال مراحل الصياغة، مما يطعن في روح مبادئ المشاركة الإلكترونية والاستشارة العامة التي أقرتها الوزارة ذاتها. وبعد سبع سنوات من ”الصياغة“، لا نعرف موعد إقرار هذا القانون، ونجهل أسباب التلكؤ والتأخير أو لمصلحة من يتم ذلك.
وقبل نقاش بنود مسودة القانون ونقاط ضعفها، لا بد من توضيح مفهوم البيانات الشخصية للحد من اللغط المقترن بقوانين الخصوصية. تمثل البيانات الشخصية تلك البيانات التي تتعلق بالفرد (إنسان وليس شركة مثلاً) وتعرف به بطريقة مباشرة أو غير مباشرة؛ إذ لا يشمل ذلك بيانات البشر التي لا يمكن استخدامها للتعريف بشخص بعينه. فمثلًا، لا تعتبر معالجة بيانات الحركة المرورية معالجة للبيانات الشخصية، إلا إذا جُمِعت البيانات بطريقة تسمح بتحديد هوية أشخاص معينين. وغاية القول هنا أن حماية البيانات الشخصية لا تعني بالضرورة —وكما يدعي البعض— تقويض معالجة البيانات لخير البشرية، بل توفر ضماناتٍ لمنع مراقبة الأشخاص أو استغلال هويتهم لتحقيق الربح دون موافقة.
والآن، نستعرض أهم التغيرات التي نقترح القيام بها على مسودة القانون الحالية لتتواءم مع معايير الخصوصية العالمية:
أولًا: إلغاء التراخيص والتصاريح التي يمكن للمجلس إصدارها استنادًا إلى هذا القانون
وضح مشروع القانون شروط الموافقة المسبقة لمعالجة البيانات الشخصية، وبين كذلك الاستثناءات من الموافقة المسبقة. لكن القانون يختتم مواده بذكر أنظمة تنظم إصدار التراخيص أو التصاريح دون أي توضيح. وفي هذا السياق، تعتبر إضافة أي ترخيص أو تصريح غير متناسقةٍ مع الحقوق المعطاة في القانون للمواطنين والضمانات التي يقدمها لمنع إساءة استخدام البيانات الشخصية، خصوصًا أن مشروع القانون لم يحدد الحالات والشروط لإعطاء هذه التراخيص أو يبين ماهيتها. وعليه، ولعدم الحاجة للتراخيص والتصاريح، لا بد من إلغاء كل ذِكر للترخيص أو التصريح من مشروع القانون والاكتفاء بشروط المعالجة المبينة في مشروع القانون.
ثانيًا: توفير حماية إضافية للبيانات الشخصية الحساسة
لم يفرق مشروع القانون في الحماية بين البيانات الشخصية والبيانات الشخصية الحساسة من حيث الموافقة والعقوبات بوضوح، واقتصر تأثير معالجة البيانات الحساسة على كونه شرطًا كافيًا لتعيين مراقب لحماية البيانات داخل المؤسسة التي تعالج البيانات، مما يجعل فصلها في التعريف ونص القانون ليس له أثرٌ عملي كبير. وغفل كذلك مشروع القانون عن شمول بعض أنواع البيانات الحساسة في التعريف، وتعامل معها بشكل لا يتناسب مع تبعات إساءة استخدامها. لذا لا بد من اشتراط الحصول على موافقة مسبقة صريحة وخطية قبل إجراء أي معالجة للبيانات الشخصية الحساسة، وإعطاء الحق لمجلس حماية البيانات الشخصية بتحديد متطلبات إضافية لمعالجة أي نوع من البيانات الشخصية الحساسة، وتغليظ العقوبات في حال مخالفة أحكام القانون فيما يتعلق بحماية البيانات الشخصية الحساسة.
ثالثًا: منح استقلالية أكبر لمجلس حماية البيانات الشخصية
لم يتضمن مشروع القانون ضمانات حقيقية لاستقلالية مجلس حماية البيانات الشخصية من الناحية المالية والإدارية، مما قد يؤثر سلبًا على مهامه وأدواره، ويقلل من حياديته وشفافيته، ويمنع من الرقابة على الحكومة بصفتها أكبر معالج للبيانات الشخصية في الأردن، إذ أن غالبية أعضاء المجلس المقترحين هم موظفون حكوميون. لذا يجب منح المجلس شخصية اعتبارية مستقلة ماليًا واداريًا، بحيث يكون لها ميزانية مستقلة تُعد حسب الأصول، ولا بد من توسيع استقلالية المجلس لتكون دون أي تدخل من قبل أية جهة (سواء حكومية أو غير حكومية) في أعماله، وأن يتم ترشيح بعض أفراده على الأقل من مؤسسات مستقلة أو منتخبة.
وفي النهاية، ليس بوسعنا إلا أن ندعو مجلس النواب —وهي الجهة التي لديها مشروع القانون الآن— إلى أخذ النقاط السالفة بعين الاعتبار، وذلك للوصول إلى قانون عصري لحماية البيانات الشخصية. وكذلك ندعو المجلس أن يقر القانون دون تأجيل، لأن انتهاكات البيانات الشخصية تحدث بشكل يومي في الأردن دون حسيب أو رقيب.