هذه الوحدة التعليمية هي مورد مرجعي للمحاضرين

 

قانون حماية البيانات 

 

البيانات الشخصية محمية بموجب الحق في الخصوصية في الصكوك الدولية لحقوق الإنسان. وعلى سبيل المثال، قضت المحكمة الأوروبية لحقوق الإنسان بأن بيانات الهاتف ورسائل البريد الإلكتروني واستخدام الإنترنت (كوبلاند ضد المملكة المتحدة، 2007، الصفحتان 41 و42) والبيانات المخزنة على خوادم الكمبيوتر ("Wieser and Bicos Beteiligungen GmbH" ضد النمسا، الفقرة 45)، تقع ضمن نطاق حماية المادة 8 (1) من الاتفاقية الأوروبية لحقوق الإنسان. ويمكن أن يؤدي مجرد تخزين البيانات الشخصية إلى انتهاك حق المستخدم في الخصوصية. ويعتمد الانتهاك على السياق الذي تم فيه جمع البيانات وطريقة جمعها ومعالجتها واستخدامها ونتائج هذه المعالجة (س. وماربر ضد المملكة المتحدة، 2008). وعلاوة على ذلك، في قضية تريستان دونوسو ضد بنما وإيشر وآخرون ضد البرازيل (2009)، رأت محكمة البلدان الأمريكية لحقوق الإنسان أن البيانات التي تم جمعها ونقلها عبر التقنيات الرقمية الجديدة والإنترنت مشمولة بالمادة 11 من الاتفاقية الأمريكية لحقوق الإنسان لعام 1969. وعلاوة على ذلك، فإن المادة 8 من الاتفاقية الأفريقية تغطي اتفاقية الاتحاد بشأن الأمن الإلكتروني وحماية البيانات الشخصية لعام 2014 الحق في "احترام البيانات الشخصية". وعلاوة على ذلك، فإن المادة 8 (1) من ميثاق الحقوق الأساسية للاتحاد الأوروبي لعام 2000 والمادة 16 (1) من معاهدة عمل الاتحاد الأوروبي لعام 1957 (المعروفة أيضًا بمعاهدة روما) تنظر في حماية الأشخاص البيانات كحق أساسي من حقوق الإنسان.

وتشمل حماية البيانات إنشاء المعلومات الشخصية وجمعها وتخزينها وتحليلها واستخدامها ومشاركتها. وتغطي حماية البيانات إنشاء وجمع البيانات الشخصية لأن "الحق في الخصوصية لا يتأثر فقط بفحص أو استخدام المعلومات المتعلقة بشخص ما بواسطة إنسان أو خوارزمية ... [(برنال، 2016) ولكن أيضًا] ... مجرد توليد وجمع البيانات المتعلقة بهوية الشخص أو أسرته أو حياته ... (انظر A/HRC/27/37، الفقرة 20 ... [؛ روتارو ضد رومانيا، 2000؛ كوب ضد سويسرا، 1998؛ ورومان زاخاروف ضد روسيا، 2015)]" (A/HRC/39/29، الفقرة 7).

كما يمكن الاستعلام عن قواعد البيانات التي تحتوي على بيانات شخصية والبحث فيها وتحريرها وتحديثها والوصول إليها من قبل الوكالات العامة والخاصة بين البلدان وعبرها. وتختلف إدارة عمليات جمع الوكالات الخاصة والعامة للمعلومات وتخزينها واستخدامها ومشاركتها باختلاف البلد. ووفقًا لتقرير صادر عن مفوض الأمم المتحدة السامي لحقوق الإنسان لعام 2018، "زاد من الترابط بين معالجة البيانات العامة والخاصة وسجل التتبع حتى الآن مما يشير إلى إساءة الاستخدام الجماعي والمتكرر للمعلومات الشخصية من قبل بعض المؤسسات التجارية تؤكد أن الإجراءات التشريعية ضرورية لتحقيق مستوى مناسب من حماية الخصوصية" (نقلاً عن A/HRC/RES/34/7، الفقرة 5 (و) وA/HRC/RES/38/7، الفقرة A/HRC/39/29، الفقرة 27). ويمكن معالجة البيانات الشخصية من قبل البلدان ذات قوانين حماية البيانات القوية أو قوانين حماية البيانات الضعيفة أو البلدان التي لا توجد بها قوانين لحماية البيانات. وعلى سبيل المثال، في غانا، يمكّن القسم 60 من قانون حماية البيانات لعام 2012 الحكومة من الوصول إلى البيانات الشخصية دون أمر قضائي أو أمر قانوني آخر (على سبيل المثال، أمر من المحكمة) لصالح الأمن القومي.

كما تختلف ممارسات حماية البيانات أيضًا بين السلطات العامة والخاصة. وفي الولايات المتحدة، على سبيل المثال، يتم تنظيم أنواع معينة فقط من البيانات التي تم جمعها وتخزينها وتحليلها ومشاركتها بواسطة الشركات الخاصة (على سبيل المثال، البيانات المالية والصحية والتعليمية وبيانات الأطفال؛ ماراس ووانت، 2019). وعلاوة على ذلك، تختلف الحماية في بعض البلدان اعتمادًا على نوع البيانات (على سبيل المثال، يتم منح محتوى البريد الإلكتروني حماية أكبر من عنوان البريد الإلكتروني للمرسل أو المستلم). وتختلف قوانين حماية البيانات وفقًا لأنواع البيانات ومصادرها (مثل البيانات القطاعية والبيانات عبر الإنترنت والبيانات غير المتصلة بالإنترنت والبيانات الحساسة) وموضوعات البيانات (مثل البالغين والأطفال). ويوجد في المكسيك قانونان لحماية البيانات، أحدهما ينظم القطاع الخاص، القانون الفيدرالي بشأن حماية البيانات الشخصية التي تحتفظ بها الأطراف الخاصة لعام 2010، والآخر الذي ينظم القطاع العام، وهو القانون العام لحماية البيانات الشخصية في حيازة الموضوعات الملزمة 2017. ويوجد في المكسيك أيضًا بعض الأحكام في القانون التي تنظم البيانات الخاصة المتعلقة بالخدمات السحابية، بما في ذلك تنظيم وصول أجهزة إنفاذ القانون إلى البيانات المخزنة في السحابة ومعالجة البيانات بعد إنهاء الخدمات السحابية.

وتتطلب طبيعة الإنترنت العابرة للحدود تنظيمًا عابرًا للحدود لحماية البيانات يمتد إلى ما وراء الأطر الوطنية والقانون. وتشمل الأمثلة اتفاقية الاتحاد الأفريقي بشأن الأمن الإلكتروني وحماية البيانات الشخصية لعام 2014 والقانون التكميلي للجماعة الاقتصادية لدول غرب إفريقيا (ECOWAS) بشأن حماية البيانات الشخصية داخل المجموعة الاقتصادية لدول غرب أفريقيا (ECOWAS). وتأثرت هذه القوانين والأطر الإقليمية بتوجيه الاتحاد الأوروبي لحماية البيانات (التوجيه 1995/46/EC) (جرينليف، 2011؛ أورجي، 2017؛ ماكوليلو، 2013a؛ ماكوليلو، 2013 ب). وتم استبدال التوجيه 1995/46/EC باللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR) في 25 مايو 2018. ويحكم قانون حماية البيانات الفردي هذا معالجة البيانات وتخزينها واستخدامها وتبادلها في الدول الأعضاء في الاتحاد الأوروبي والدول والوكالات الأخرى، والمنظمات الخاصة خارج الاتحاد الأوروبي التي توفر السلع والخدمات للاتحاد الأوروبي، وتعالج بيانات المقيمين في الاتحاد الأوروبي. وتسعى اللائحة العامة لحماية البيانات إلى تنسيق المعالجة الآمنة للبيانات وتخزينها واستخدامها وتبادلها للمعلومات الشخصية يقلل هذا القانون من البصمة الرقمية للمستخدمين والطريقة التي تستغل بها التطبيقات والتكنولوجيا وخدمات ومنصات الإنترنت هذه البصمة. وتعزز اللائحة العامة لحماية البيانات حقوق الخصوصية للأفراد وتعزز التدفق الحر للبيانات الشخصية عبر الحدود من خلال تنسيق ممارسات حماية البيانات. وقدمت اللائحة العامة لحماية البيانات وضوحًا بشأن ما يشكل البيانات الشخصية، ووضع قواعد للتعامل مع البيانات، والأدوار والمسؤوليات المحددة لأولئك الذين يتحكمون في البيانات الشخصية ويعالجونها، وخلق عقوبات أكبر لعدم الامتثال، والإخطار الإجباري بانتهاك البيانات في غضون 72 ساعة من وقوع الحادث.

وتفرض هذه اللائحة التزامات جديدة على مراقبي البيانات (أي الكيان الذي يحدد أسباب معالجة البيانات والطرق المستخدمة لمعالجة البيانات)، ومعالجي البيانات (أي الكيان المسؤول عن معالجة البيانات بناءً على الأساليب التي يحددها متحكم بيانات). وينظم القانون العام لحماية البيانات الوصول إلى البيانات، وتصحيحها، ومسحها، وشفافية معالجي البيانات ووحدات التحكم؛ يوفر الحق في الاعتراض على ممارسات التنميط؛ يفرض التزامات أمان البيانات على الشركات التي تعالج البيانات؛ ويوفر صلاحيات متزايدة لسلطات حماية البيانات ويسهل التنسيق والتعاون في معالجة البيانات وحمايتها. وتنص هذه اللائحة أيضًا على غرامات وعقوبات باهظة في حالة عدم الامتثال.

هل كنت تعلم؟

في قضية Google Spain SL، Google Inc ضد Agencia Española de Protección de Datos، Mario Costeja González (2014)، حددت محكمة العدل الأوروبية مشغلي محركات البحث، مثل Google، كمراقبين للبيانات لأنهم يتحكمون في البيانات الشخصية التي يحتفظ بها طرف ثالث مواقع الويب عن طريق إتاحة هذه المواقع للآخرين وتحديد طريقة إتاحة هذه المواقع.

كما أن للمستخدمين الحق في إعلامهم بمعالجة البيانات؛ والحق في الوصول إلى البيانات المعالجة؛ والحق في تصحيح البيانات المعالجة؛ والحق في المحو ("الحق في النسيان"؛ يحق لصاحب البيانات طلب وحذف بياناته من سجلات وحدة التحكم في البيانات، ومنع الاستخدام الإضافي ونقل البيانات الشخصية لصاحب البيانات من قبل أطراف ثالثة)؛ والحق في الاعتراض على معالجة البيانات؛ والحق في تقييد معالجة البيانات؛ والحق في قابلية نقل البيانات (على سبيل المثال، يحق لصاحب البيانات طلب بياناته الشخصية من مراقب البيانات ونقل تلك البيانات إلى مراقب بيانات آخر)؛ والحق في عدم التعرض لقرار يعتمد حصريًا على عملية آلية (على سبيل المثال، التنميط).

الحق في النسيان

في قضية Google Spain SL، Google Inc. ضد Agencia Española de Protección de Datos، Mario Costeja González (2014)، فسرت محكمة العدل الأوروبية التوجيه 1995/46/EC على أنه يتيح للمستخدمين طلب إلغاء فهرسة بياناتهم الشخصية من محركات البحث والمتصفحات. وعلى وجه التحديد، رأت المحكمة أن للأفراد الحق في مطالبة مراقبي البيانات (على سبيل المثال، المتصفحات ومشغلي محركات البحث، مثل Google) بإزالة الروابط إلى مواقع الويب الخاصة بأطراف أخرى والتي تتضمن مواقع غير صحيحة أو غير كاملة أو غير ذات صلة أو لم تعد ذات صلة أو لم تعد صالحة معلومات عنها. وعلى وجه الخصوص، يمكن للفرد أن يطلب حذف الروابط التي تظهر بسبب عمليات البحث عن اسم المستخدم لهذا المحتوى. وتقتصر عملية إلغاء الفهرسة هذه على المحتوى الذي تمت فهرسته تحت اسم المستخدم. ولن تمنع عملية إلغاء الفهرسة هذه إتاحة هذا المحتوى المفهرس تحت مصطلح بحث مختلف بناءً على المحتوى أو المنشور أو أي مصدر آخر أو ناشر أو مؤلف المحتوى.

كما تنطبق اللائحة العامة لحماية البيانات) على مؤسسات الاتحاد الأوروبي، والتي فسرتها محكمة العدل الأوروبية على نطاق واسع على أنها منظمة تعالج البيانات في سياق أنشطتها، حتى لو كانت هذه الأنشطة ضئيلة (والتيمو ضد نايه، 2014). وطالما أنها تحدث في سياق بعض الترتيبات الموجودة في الاتحاد الأوروبي، فإن معالجة البيانات هذه مشمولة باللائحة العامة لحماية البيانات. وتخضع أيضًا المنظمات التي لها مكاتب في الاتحاد الأوروبي وتلك التي تروج أو تبيع خدمات التسويق أو الإعلان التي تستهدف المقيمين في الاتحاد الأوروبي إلى اللائحة العامة لحماية البيانات. وتخضع بعض المؤسسات غير التابعة للاتحاد الأوروبي للائحة العامة لحماية البيانات، إذا قامت بمعالجة البيانات الشخصية لتقديم سلع وخدمات إلى المقيمين في الاتحاد الأوروبي ومراقبة سلوك المستهلك في الاتحاد الأوروبي لتحديد سمات المستهلك وتحديد الأنماط والتنبؤ بالتفضيلات الشخصية للمستخدمين.

ولا تنطبق اللائحة العامة لحماية البيانات على معالجة البيانات الشخصية لأسباب تتعلق بالأمن القومي ووفقًا للسياسة الخارجية والأمنية المشتركة للاتحاد الأوروبي (أي فيما يتعلق بمسائل الدفاع والأمن) لا تنطبق اللائحة العامة لحماية البيانات أيضًا على البيانات التي تتم معالجتها بواسطة مؤسسات الاتحاد الأوروبي، والتي تحكمها اللائحة (EC) رقم 45/2001 الصادرة عن البرلمان الأوروبي والمجلس بتاريخ 18 ديسمبر 2000 "بشأن حماية الأفراد فيما يتعلق بالمعالجة البيانات الشخصية من قبل مؤسسات وهيئات المجتمع وحول حرية نقل هذه البيانات ". ولا ينطبق القانون العام لحماية البيانات أيضًا على البيانات التي تتم معالجتها من قبل السلطات العامة في سياق منع الجرائم واكتشافها والتحقيق فيها ومقاضاة مرتكبيها، والتي تخضع لتوجيه (الاتحاد الأوروبي) 2016/680 للبرلمان الأوروبي ومجلس 27 أبريل. و2016 "بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية من قبل السلطات المختصة لأغراض منع الجرائم الجنائية أو التحقيق فيها أو الكشف عنها أو مقاضاتها أو تنفيذ العقوبات الجنائية، وحول حرية نقل هذه البيانات. "

واتفاقية مجلس أوروبا لحماية الأفراد فيما يتعلق بالمعالجة التلقائية للبيانات الشخصية لعام 1981 (ETS رقم 108) هي معاهدة دولية ملزمة قانونًا لحماية البيانات. ودعا بروتوكول اختياري إضافي للاتفاقية، وهو البروتوكول الإضافي لاتفاقية حماية الأفراد فيما يتعلق بالمعالجة التلقائية للبيانات الشخصية، فيما يتعلق بالسلطات الإشرافية وتدفقات البيانات عبر الحدود لعام 2001، إلى إنشاء سلطات إشرافية لضمان حماية البيانات واحترام الخصوصية في مشاركة البيانات. وبروتوكول آخر (CETS رقم 223) عدل وتحديث اتفاقية 1981 (أي البروتوكول المعدل لاتفاقية حماية الأفراد فيما يتعلق بالمعالجة التلقائية للبيانات الشخصية لعام 2018). ووفقًا لمجلس أوروبا (بدون تاريخ)، فإن تحديث الاتفاقية "سعى إلى تحقيق هدفين رئيسيين: التعامل مع التحديات الناتجة عن استخدام تقنيات المعلومات والاتصالات الجديدة وتعزيز التنفيذ الفعال للاتفاقية" (انظر كذلك: المستجدات الرئيسية في تحديث الاتفاقية؛ وجدول مقارن لاتفاقية 1981 والاتفاقية المحدثة).

بالإضافة إلى قوانين حماية البيانات الوطنية والإقليمية والدولية، هناك إرشادات ومبادئ تم وضعها من قبل البلدان والمنظمات الحكومية الدولية وتنفيذها من قبل القطاعين العام والخاص في جميع أنحاء العالم، مثل منظمة التعاون الاقتصادي والتنمية (منظمة التعاون الاقتصادي والتنمية (OECD) إرشادات حول حماية الخصوصية وتدفق البيانات الشخصية عبر الحدود (1980؛ 2013).

فيما يلي مبادئ الخصوصية وحماية البيانات الواردة في إرشادات منظمة التعاون الاقتصادي والتنمية بشأن حماية الخصوصية وتدفقات البيانات الشخصية عبر الحدود لعام 2013:

مبدأ تقييد التحصيل

يجب أن تكون هناك قيود على جمع البيانات الشخصية ويجب الحصول على أي من هذه البيانات بوسائل قانونية وعادلة، وعند الاقتضاء، بمعرفة أو موافقة صاحب البيانات.

مبدأ جودة البيانات

يجب أن تكون البيانات الشخصية ذات صلة بالأغراض التي سيتم استخدامها من أجلها، ويجب أن تكون دقيقة وكاملة ومحدثة بالقدر اللازم لتلك الأغراض.

مبدأ مواصفات الغرض

يجب تحديد الأغراض التي يتم جمع البيانات الشخصية من أجلها في موعد لا يتجاوز وقت جمع البيانات والاستخدام اللاحق يقتصر على تحقيق تلك الأغراض أو غيرها من الأغراض التي لا تتعارض مع تلك الأغراض وكما هو محدد في كل مناسبة للتغيير الغرض.

استخدم مبدأ التقييد

لا ينبغي الكشف عن البيانات الشخصية أو إتاحتها أو استخدامها بطريقة أخرى لأغراض أخرى غير تلك المحددة وفقًا للفقرة 9 باستثناء:

  • بموافقة صاحب البيانات؛ أو
  • سلطة القانون.
 

مبدأ الضمانات الأمنية

يجب حماية البيانات الشخصية بضمانات أمنية معقولة ضد مخاطر مثل فقدان البيانات أو الوصول غير المصرح به أو إتلافها أو استخدامها أو تعديلها أو الكشف عنها.

مبدأ الانفتاح

يجب أن تكون هناك سياسة عامة للانفتاح حول التطورات والممارسات والسياسات المتعلقة بالبيانات الشخصية. ويجب أن تكون الوسائل متاحة بسهولة لإثبات وجود وطبيعة البيانات الشخصية، والأغراض الرئيسية لاستخدامها، بالإضافة إلى الهوية والإقامة المعتادة لمراقب البيانات.

مبدأ المشاركة الفردية

يجب أن يكون للفرد الحق:

  • للحصول من مراقب البيانات، أو خلاف ذلك، على تأكيد ما إذا كان مراقب البيانات لديه بيانات متعلقة به أم لا
  • أن يبلغه بالبيانات المتعلقة به في غضون فترة زمنية معقولة؛ بتهمة غير مفرطة، إن وجدت؛ بطريقة معقولة وبصيغة يسهل فهمها له؛
  • إبداء الأسباب في حالة رفض الطلب المقدم بموجب الفقرتين الفرعيتين (أ) و(ب)، والقدرة على الطعن في هذا الرفض؛
  • الاعتراض على البيانات المتعلقة به، وإذا نجح التحدي في محو البيانات أو تصحيحها أو إكمالها أو تعديلها.
 

مبدأ المساءلة

يجب أن يكون مراقب البيانات مسؤولاً عن الامتثال للتدابير التي تؤدي إلى تنفيذ المبادئ المذكورة أعلاه.

وقد تم تبني مبادئ مماثلة في القانون الوطني. وانظر، على سبيل المثال، قانون الخصوصية لنيوزيلندا لعام 1993 وقانون الخصوصية الأسترالي لعام 1988. 

 
التالي: قوانين الإخطار بخرق البيانات
العودة إلى الأعلى