اقتراحات وملاحظات الجمعية الأردنية للمصدر المفتوح على مسودة قانون حماية البيانات الشخصية
الجمعية الأردنية للمصدر المفتوح
إن الحق في الخصوصية هو في صلب اهتماماتنا في الجمعية الأردنية للمصدر المفتوح (جوسا)، وعليه تابعنا بشكل حثيث مراحل صياغة قانون حماية البيانات الشخصية على مدار السنوات السابقة، وقدمنا مقترحاتنا لوزارة الاقتصاد الرقمي والريادة في كل مرة طرح فيها للاستشارة العامة حسب المعايير العالمية للبيانات الشخصية.
وبعد دراسة مسودة القانون التي أرسلتها الحكومة إلى مجلس النواب، والمحالة للجنة الاقتصاد والاستثمار، تبين لنا وجود مجموعة من الإشكالات في مشروع القانون، وعليه نعرض هذه الملاحظات ونقترح التعديلات الآتية:
إلغاء التراخيص والتصاريح التي يمكن للمجلس إصدارها استناداً على هذا القانون
وضح مشروع القانون شروط الموافقة المسبقة لمعالجة البيانات وبين كذلك الاستثناءات من الموافقة المسبقة. وفي هذا السياق، تعتبر إضافة أي ترخيص أو تصريح غير متناسقةٍ مع الحقوق المذكورة في القانون للمواطنين والضمانات التي يقدمها لضمان عدم إساءة استخدام البيانات الشخصية، وتضع جهودا إضافية مالية وإدارية على الشركات، خصوصاً أن مشروع القانون لم يحدد الحالات والشروط لإعطاء هذه التراخيص. وعليه، ولعدم توافق فكرة التراخيص والتصاريح مع باقي مواد القانون، نقترح ما يلي:
- إلغاء كل ذكر للترخيص أو التصريح من مشروع القانون والاكتفاء بشروط المعالجة المبينة في مشروع القانون.
منح استقلالية أكبر لمجلس حماية البيانات الشخصية
لم يتضمن مشروع القانون ضمانات لاستقلالية مجلس حماية البيانات الشخصية من الناحية المالية والإدارية، مما قد يؤثر سلباً على مهامه وأدواره، ويقلل من حياديته وشفافيته، ويمنع من مراقبة الجهات الحكومية على الرغم أنها تعد من أكبر الجهات التي تعالج البيانات الشخصية في الأردن، إذ أن غالبية أعضاء المجلس المقترحين هم ممثلين عن جهات حكومية. لذا نقترح إجراء التعديلات التالية على مشروع قانون حماية البيانات الشخصية:
- منح المجلس شخصية اعتبارية مستقلة مالياً وادارياً، ويكون لها ميزانية مستقلة يتم إعدادها حسب الأصول.
- توسيع استقلالية المجلس لتكون دون أي تدخل من قبل أية جهة (سواء حكومية أو غير حكومية) في أعماله، وأن يتم ترشيح بعض أفراده على الأقل من مؤسسات مستقلة أو منتخبة
وفي حال عدم إنشاء مؤسسة مستقلة تعنى بالمراقبة والتحقيق في الاعتداءات على البيانات الشخصية، نقترح أن تكون مراقبة الالتزام بالقانون من قبل الجهات الحكومية والنظر في الشكاوى والتحقيق فيها، إذا كانت الجهة موضوع الشكوى جهة حكومية، من مهام ديوان المحاسبة، عملاً بالمادة (٣) فقرة (هـ) من قانون ديوان المحاسبة رقم (28) لسنة 1952 وتعديلاته.
توفير حماية إضافية للبيانات الشخصية الحساسة.
لم يفرق مشروع القانون في مستوى الحماية بين البيانات الشخصية والبيانات الشخصية الحساسة من حيث الموافقة والعقوبات بوضوح، واقتصر أثر البيانات الحساسة على كونه شرط كافٍ لتعيين مراقب، لذا نقترح إجراء التعديلات التالية على مشروع قانون حماية البيانات الشخصية:
- اشتراط الحصول على الموافقة المسبقة الصريحة الخطية قبل إجراء أي معالجة للبيانات الشخصية الحساسة.
- إعطاء الحق لمجلس حماية البيانات الشخصية بتحديد متطلبات إضافية لمعالجة أي نوع من البيانات الشخصية الحساسة.
- تغليظ العقوبات في حال مخالفة أحكام القانون فيما يتعلق بحماية البيانات الشخصية الحساسة.
تعديل نص المادة ٦ فقرة أ بند ٧
نقترح تعديل نص المادة المتعلقة بالاستثناءات، والاستعاضة بالنص الأصلي للمسودة حين صدرت من وزارة الاقتصاد الرقمي كالتالي:
|
النص الأصلي |
التعديل المقترح |
|
٧- إذا كانت ضرورية لأغراض إحصائية أو لمتطلبات الأمن الوطني أو لتحقيق المصلحة العامة |
٧- إذا كانت ضرورية لأغراض إحصائية أو للمتطلبات الأمنية لتحقيق المصلحة العامة. |
إذ أن النص -كما هو عليه الآن- يستخدم مصطلح "المصلحة العامة" لوحده دون اقترانه بالمتطلبات الأمنية، مما يجعل هذا الاستثناء فضفاضا في ضوء أن الحالات التي يمكن أن تحقق معالجة البيانات فيها المصلحة العامة غير مفصّلة في القانون.
⸻
بالإضافة إلى التعديلات العامة السابقة، نود الإشارة إلى بعض الإشكالات في بعض المواد بعد مقارنة مسودة القانون مع أفضل الممارسات العالمية:
|
المادة |
الملاحظة |
|
المادة 2 (التعريفات) |
يقتصر تعريف "التشخيص" على المعالجة الآلية، مما قد يقصي أي تشخيص يشتمل على تدخل بشري في المعالجة من نطاق التعريف. |
|
المادة 6-أ-2 |
لا ينبغي أن تكون جميع أنواع التشخيص الطبي ذريعة لمعالجة البيانات الشخصية دون موافقة، إذ يجب حصر الاستثناء بكونها ضرورية لتقديم الرعاية الصحية لمن يحتاجها. |
|
المادة 9 |
أسوة بالقوانين العالمية للبيانات الشخصية كالـGDPR، نقترح إضافة "حقوق الشخص المعني وسبل استخدامها" إلى قائمة البنود التي يجب إعلام الشخص المعني بها. |
|
المادة 10-أ |
يعد استخدام مصطلح "اخفاؤها" غير واضح ويتناقض مع الحقوق التي يمنحها هذا القانون، إذ أن الإخفاء لا يقتضي إزالة المعرفات من البيانات. لذلك نقترح استبدال هذا المصطلح ب"تجهيلها" مع إضافة تعريف له يضمن تحويلها لبيانات غير شخصية. |
|
المادة 14-أ |
من المعايير العالمية الفضلى لحماية البيانات الشخصية، ألا يجوز الاعتماد على المصلحة المشروعة كأساس لنقل البيانات خارج المملكة، وعليه نقترح إلغاء البند 1، ومنح الشخص المعني حق الاعتراض على النقل وإيقافه، وهذا يضمن عدم التعدي على البيانات عند نقلها. |
|
المادة 17-ك |
نقترح أن يفرض القانون نشر التقرير السنوي علنا وأمن يكون متاحا للعامة، أسوة بالممارسات العالمية الفضلى. |
محتوى هذا الموقع مرخص برخصة المشاع الإبداعي نسب المصنف - الترخيص بالمثل 3.0 دولي (CC-BY-SA 3.0)، إلا إذا ورد خلاف ذلك.