الحبس والغرامة عقوبة معالجة وتداول بيانات شخصية حساسة بالمخالفة للقانون
أصبح ملف حماية البيانات الشخصية واحدًا من أهم الملفات القانونية في العصر الرقمي، خاصة مع توسع استخدام التطبيقات والمنصات الإلكترونية والخدمات الحكومية والمالية والطبية عبر الإنترنت. ومع هذا التوسع، زادت خطورة جمع أو تداول أو تخزين أو إفشاء بيانات المواطنين دون موافقتهم، خصوصًا عندما تكون هذه البيانات من النوع الحساس الذي يمس الحياة الخاصة أو الحالة الصحية أو المعتقدات أو البيانات المالية أو غيرها من المعلومات التي قد يترتب على تسريبها ضرر كبير لصاحبها.
وفي هذا السياق، شدد قانون حماية البيانات الشخصية رقم 151 لسنة 2020 على تجريم التعامل غير المشروع مع البيانات الشخصية الحساسة، وقرر عقوبات رادعة تصل إلى الحبس مدة لا تقل عن 3 أشهر، وغرامة لا تقل عن 500 ألف جنيه ولا تجاوز 5 ملايين جنيه، أو إحدى هاتين العقوبتين، لكل من جمع أو أتاح أو تداول أو عالج أو أفشى أو خزن أو نقل أو حفظ بيانات شخصية حساسة دون موافقة الشخص المعني أو خارج الحالات التي يصرح بها القانون.
ما المقصود بالبيانات الشخصية الحساسة؟
البيانات الشخصية الحساسة هي المعلومات التي ترتبط مباشرة بخصوصية الإنسان وحياته الشخصية، والتي قد يؤدي تداولها أو كشفها إلى ضرر واضح له، سواء اجتماعيًا أو مهنيًا أو ماديًا أو نفسيًا. وتشمل هذه البيانات عادة المعلومات المتعلقة بالصحة، والحالة الجينية أو البيومترية، والبيانات المالية، والآراء أو المعتقدات، وأي معلومات يمنحها القانون درجة حماية أعلى من البيانات العادية.
خطورة هذه البيانات أنها لا تشبه الاسم أو رقم الهاتف فقط، بل قد تكشف تفاصيل دقيقة عن حياة الشخص، ولذلك فإن التعامل معها يحتاج إلى موافقة واضحة وإجراءات حماية صارمة.
العقوبة المقررة في القانون
نصت المادة 41 من قانون حماية البيانات الشخصية على عقوبة واضحة لمن يتعامل مع البيانات الشخصية الحساسة بالمخالفة للقانون. وتشمل العقوبة الحبس مدة لا تقل عن 3 أشهر، وغرامة لا تقل عن 500 ألف جنيه ولا تتجاوز 5 ملايين جنيه، أو إحدى العقوبتين، وذلك إذا قام الحائز أو المتحكم أو المعالج بجمع أو إتاحة أو تداول أو معالجة أو إفشاء أو تخزين أو نقل أو حفظ بيانات شخصية حساسة دون موافقة صاحب البيانات أو في غير الأحوال المصرح بها قانونًا.
وهذا التشديد يعكس أن القانون لا يتعامل مع البيانات الحساسة باعتبارها معلومات عادية، بل باعتبارها حقًا أصيلًا لصاحبها لا يجوز الاقتراب منه دون سند قانوني واضح.
جدول يوضح أبرز صور المخالفة والعقوبة
| الفعل المخالف | التوصيف القانوني |
|---|---|
| جمع بيانات حساسة دون موافقة | مخالفة لقانون حماية البيانات |
| تداول بيانات مريض أو عميل | إفشاء أو تداول غير مشروع |
| تخزين بيانات حساسة دون سند | معالجة غير قانونية |
| نقل بيانات لطرف آخر دون إذن | تداول أو نقل مخالف |
| إتاحة البيانات للعاملين دون ضرورة | إخلال بضوابط الحماية |
| استخدام البيانات في غرض مختلف | مخالفة لمبدأ تحديد الغرض |
| العقوبة | حبس لا يقل عن 3 أشهر وغرامة من 500 ألف إلى 5 ملايين جنيه |
من هو الحائز أو المتحكم أو المعالج؟
القانون لا يخاطب شخصًا واحدًا فقط، بل يضع مسؤولية على أكثر من طرف. فالحائز هو من تكون البيانات تحت يده، سواء كان فردًا أو جهة. أما المتحكم فهو من يحدد طريقة جمع البيانات والغرض من استخدامها. والمعالج هو من ينفذ عمليات المعالجة لصالح المتحكم، مثل شركة تقنية أو مقدم خدمة أو جهة تدير قاعدة بيانات.
وهذا يعني أن المسؤولية لا تقع فقط على من سرب البيانات، بل قد تمتد إلى الجهة التي جمعتها أو خزنتها أو سمحت بالتعامل معها دون ضوابط كافية.
لماذا شدد القانون على البيانات الحساسة؟
البيانات الحساسة قد تستخدم في الابتزاز أو التمييز أو الإضرار بسمعة الأشخاص أو استغلالهم تجاريًا. فمثلًا، تسريب بيانات صحية لمريض قد يؤثر على حياته الاجتماعية أو عمله، وتسريب بيانات مالية قد يعرضه للنصب، وتداول بيانات الأطفال أو الحالات الخاصة قد يشكل خطورة مضاعفة.
لذلك، فإن حماية هذه البيانات ليست رفاهية قانونية، بل ضرورة لحماية الخصوصية والأمان الشخصي والثقة في الخدمات الرقمية.
الموافقة وحدها لا تكفي دائمًا
رغم أن موافقة الشخص المعني بالبيانات شرط أساسي في كثير من الحالات، فإن الموافقة يجب أن تكون واضحة ومحددة ومبنية على معرفة. لا يكفي أن تضع جهة ما بندًا غامضًا في نموذج طويل، ثم تستخدم البيانات في أغراض مختلفة عن التي وافق عليها الشخص.
فإذا وافق المواطن على استخدام بياناته لغرض طبي أو خدمي معين، لا يجوز استخدام هذه البيانات لاحقًا في التسويق أو مشاركتها مع طرف ثالث دون إذن واضح أو سند قانوني.
أمثلة يومية قد تقع تحت المخالفة
قد تحدث المخالفة في مواقف تبدو عادية، مثل قيام موظف بتصوير مستندات تحتوي على بيانات صحية ونشرها في مجموعة عمل، أو إرسال قائمة عملاء تتضمن أرقامًا وبيانات مالية لشركة أخرى دون موافقة، أو تخزين ملفات مرضى على جهاز غير مؤمن، أو استخدام بيانات مستخدمين لأغراض تسويقية دون علمهم.
وتزداد الخطورة عندما تكون البيانات متعلقة بأطفال أو مرضى أو عملاء بنوك أو مستخدمين لخدمات إلكترونية، لأن حجم الضرر هنا قد يكون كبيرًا.
الفرق بين البيانات العادية والبيانات الحساسة
البيانات العادية قد تشمل الاسم، رقم الهاتف، البريد الإلكتروني، أو عنوان السكن. أما البيانات الحساسة فهي أعمق وأكثر خطورة، لأنها تكشف حالة الشخص أو ظروفه أو معلومات خاصة جدًا عنه. ولهذا السبب، فإن القانون يمنحها حماية أعلى وعقوبة أشد عند المخالفة.
ولا يعني ذلك أن البيانات العادية غير محمية، لكنها تختلف في درجة الحساسية وطبيعة الضرر المتوقع من تسريبها أو استخدامها بشكل غير مشروع.
دور المؤسسات في حماية البيانات
على الشركات والمستشفيات والمدارس والتطبيقات والمنصات الإلكترونية أن تضع سياسات واضحة لحماية البيانات، تشمل تحديد من يملك حق الوصول إلى المعلومات، وكيف يتم تخزينها، ومتى يتم حذفها، وهل يتم تشفيرها أو حمايتها من الاختراق.
كما يجب تدريب الموظفين على عدم تداول بيانات العملاء أو المرضى أو المستخدمين خارج نطاق العمل، لأن كثيرًا من التسريبات لا تحدث بسبب اختراق إلكتروني فقط، بل بسبب إهمال أو سوء استخدام داخلي.
مسؤول حماية البيانات ليس إجراءً شكليًا
من بين العناصر المهمة في قانون حماية البيانات وجود مسؤول أو منظومة داخل المؤسسة لمتابعة الالتزام بضوابط حماية البيانات. وهذا الدور لا يجب أن يكون شكليًا، بل يجب أن يتابع طرق الجمع والمعالجة والتخزين والرد على طلبات أصحاب البيانات.
كما أن القانون يتضمن عقوبات على الإخلال بالتزامات مسؤول حماية البيانات، ما يؤكد أن حماية الخصوصية أصبحت جزءًا من مسؤولية الإدارة داخل كل جهة تتعامل مع بيانات المواطنين.
حقوق المواطن في بياناته
لصاحب البيانات حق معرفة لماذا يتم جمع بياناته، ومن سيستخدمها، وإلى متى سيتم الاحتفاظ بها، وهل ستنتقل إلى طرف ثالث أم لا. كما أن له الحق في الاعتراض أو طلب التصحيح أو الحذف في بعض الحالات، وفق الضوابط القانونية.
وهذه الحقوق مهمة لأنها تنقل المواطن من مجرد شخص تُجمع بياناته دون علم إلى طرف أصيل له سلطة على معلوماته الشخصية.
التسويق الإلكتروني والبيانات الشخصية
واحدة من أكثر صور الإزعاج انتشارًا هي استخدام بيانات المواطنين في الرسائل والإعلانات والمكالمات التسويقية دون موافقة. وقد نص القانون على عقوبات خاصة بمخالفة أحكام التسويق الإلكتروني، حيث تصل الغرامات إلى مبالغ كبيرة في حال مخالفة الضوابط القانونية.
لذلك، فإن الشركات التي تعتمد على قوائم أرقام أو بيانات عملاء يجب أن تتأكد من مصدر هذه البيانات وطريقة الحصول عليها، حتى لا تتحول حملاتها التسويقية إلى مخالفة قانونية.
نصائح للمواطنين لحماية بياناتهم
لا تقدم بياناتك الحساسة لأي جهة غير موثوقة، ولا ترسل صور بطاقتك أو بياناتك الطبية أو المالية عبر رسائل غير آمنة. اقرأ شروط استخدام التطبيقات قبل الموافقة، ولا تمنح صلاحيات غير ضرورية، واطلب معرفة سبب جمع البيانات إذا شعرت أن الطلب مبالغ فيه.
كما يجب الحذر من الروابط المجهولة والاستبيانات الوهمية التي تطلب معلومات شخصية مقابل جوائز أو عروض، لأن بعض عمليات جمع البيانات تبدأ بخدعة بسيطة.
رسالة مهمة للمؤسسات والأفراد
القانون أصبح واضحًا في حماية البيانات الشخصية الحساسة، وأي جهة تتعامل مع هذه البيانات دون موافقة أو خارج الحالات القانونية قد تواجه عقوبات كبيرة. لذلك، يجب على المؤسسات التعامل مع بيانات المواطنين باعتبارها أمانة قانونية، لا مجرد ملف يمكن نسخه أو نقله أو استخدامه بلا ضوابط.
وتؤكد متابعة ميكسات فور يو أن حماية البيانات الشخصية أصبحت ضرورة يومية في زمن التحول الرقمي، لأن الخطأ في تداول معلومة واحدة قد يؤدي إلى ضرر كبير، وقد يضع المتسبب تحت طائلة الحبس والغرامة. فالبيانات الحساسة ليست ملكًا للجهات التي تجمعها، بل حق لصاحبها، والقانون وضع عقوبات رادعة لضمان احترام هذا الحق وحمايته.