الثورة – عرض غصون سليمان:
باتت حماية البيانات الشخصية الشغل الشاغل للأفراد والمؤسسات في ظل انفتاح غير مسبوق على وسائل التقنية والمعلوماتية ووسائل التواصل التي أخذت تتجاوز الكثير من الضوابط المفترضة للوصول إلى غايات وأهداف وبشكل غير مشروع إلى بيانات شخصية مختلفة.
وبناء على أحكام المادة/ ٤٥/من قانون حماية البيانات الشخصية رقم/١٢/لعام ٢٠٢٤ حددت رئاسة مجلس الوزراء وفق التعليمات التنفيذية الصادرة حول القانون المذكور من هيئة حماية البيانات الشخصية والتي أشارت من خلالها إلى تفاصيل واضحة وغنية متعلقة بمعطيات /٢١/مادة بدءا من الترخيص والتصريح وليس انتهاء بالنماذج والأدلة الاسترشادية.
فحول سياسة حماية ومعالجة البيانات الشخصية يلتزم المتحكم والمعالجة وفق المادة ٣ من التعليمات التنفيذية بوضع سياسة حماية ومعالجة البيانات الشخصية في مكان ظاهر وواضح وعرضها الكترونيا عند الاشتراك بالمنظومات أو التطبيقات الإلكترونية بشكل يتيح لصاحب البيانات الشخصية الإطلاع عليها وقراءتها بشكل واضح قبل إعطاء موافقته على جمع ومعالجة بياناته الشخصية.
أي يجب أن تتضمن سياسة حماية ومعالجة البيانات الشخصية آلية ونوع البيانات التي سيتم جمعها والغرض من معالجتها او مشاركتها ومدة الاحتفاظ بها.
*موافقة صاحب البيانات
وعن موافقة موافقة صاحب البيانات الشخصية يلتزم المتحكم والمعالج قبل معالجة البيانات الشخصية أو الإفصاح عنها أو إلغائها بالحصول على الموافقة الصريحة لصاحب البيانات، ويشترط في هذا الأمر أن تصدر الموافقة من شخص كامل الأهلية، وبطريقة واضحة ودون إكراه أو تدليس، وأن تكون الموافقة كتابية أو إلكترونية أو بأي وسيلة أخرى يحددها المتحكم أو المعالج،
كما يجب أن يكون المعالج قادرا على إثبات حصوله على الموافقة من صاحب البيانات والاحتفاظ بسجلات إلكترونية لإثبات ذلك كدليل عند تلقي شكوى ما أو عند الضرورة.
أيضا يحق لصاحب البيانات طلب محو بياناته لدى المتحكم عند انتهاء الغرض من معالجتها،أو اذا كانت بياناته التي تمت معالجتها لا تتوافق مع أحكام هذا القانون .
*خرق البيانات الشخصية
أوضحت التعليمات التنفيذية بأن خرق البيانات الشخصية هو كل وصول غير مشروع إلى البيانات من قبل أشخاص أو جهات غير مخولة ويمكن أن يكون الخرق من خارج المنظومة المعلوماتية أو من قبل أشخاص مجهولين بالعمل على المنظومة،وبالتالي يلتزم كل من المتحكم والمعالجة بضمان سرية البيانات الشخصية من خلال تشغيل أنظمة متخصصة بحماية البيانات الشخصية من الاختراق، ويقع على عاتقه ضمان عدم العبث بها أو إساءة استخدامها مع ضمان استعادتها عند وقوع اي خرق.
وضرورة إبلاغ الهيئة فور علمه بخرق البيانات الشخصية،خاصة إذا كان الخرق متعلقا باعتبارات حماية الأمن الوطني ما يتوجب على الهيئة إبلاغ الجهات المختصة بالخرق فورا.
وفيما اذا كان بالإمكان العدول عن الموافقة فإن المادة /٥/من القانون أجازت لصاحب البيانات الشخصية الحق بالعدول عن موافقته على معالجة بياناته الشخصية في أي وقت وله إبلاغ المتحكم بذلك بأي وسيلة توثق هذا العدول كالبريد الالكتروني أو الفاكس أو طلب خطي مسجل في ديوان المرخص له.
وعلى المتحكم عند تصحيح البيانات الشخصية أن يلتزم بضمان دقة وسلامة البيانات الشخصية من خلال فحص ومراجعة الوثائق الداعمة إن اقثضت الضرورة ذلك، وتوثيق كافة التحديثات والتصحيحات التي أجريت على البيانات الشخصية.
*الاعتراض وتقديم الشكوى
أكدت التعليمات التنفيذية أنه يحق لصاحب البيانات الشخصية أو كل ذي صفة عند علمه بمعالجة بياناته الشخصية من قبل المتحكم أو المعالج بما يخالف أحكام القانون ومخالفتها للحقوق والحريات الأساسية للشخص صاحب البيانات، تقديم طلب بالاعتراض على معالجة هذه البيانات ونتائجها،أو تقديم تظلم لدى مسؤول حماية البيانات الشخصية.
يلتزم مسؤول حماية البيانات الشخصية بالرد على الطلبات المقدمة من صاحب البيانات أو كل ذي صفة، وإعلام الهيئة في التظلمات المقدمة إليه من أي منهم وفقا لأحكام هذا القانون.
*إجراءات الحصول على ترخيص
وفقا للمادة /١١/من القانون رقم ١٢ يلتزم المتحكم او المعالج للحصول على ترخيص او تصريح من الهيئة قبل البدء بمعالجة اي من البيانات الشخصية بتقديم طلب للهيئة متضمنا الاسم والعنوان والبريد الإلكتروني لطالب الترخيص او التصريح، وكذلك الاسم والعنوان والبريد الإلكتروني لمسؤول حماية البيانات الشخصية والغرض من معالجة البيانات، وتحديد وتصنيف تلك التي ستتم مشاركتها أو أسماء الجهات التي ستتم المشاركة معها والغاية من المشاركة. المعايير والإجراءات المتبعة لديه لإدارة وحماية البيانات الشخصية لدى طالب الترخيص، والإجراءات الفنية والتنظيمية المتبعة.
وبالتالي يجب على مسؤول حماية البيانات الشخصية إعلام الهيئة في حال وجود أي خرق للبيانات الشخصية لديه وتقديم البيانات الفنية المتعلقة بالخرق وفق نموذج تعتمده الهيئة للإبلاغ عن الخرق وطريقته وآثاره ونتائجه.
مع جمع وتوثيق وحفظ أصل كافة البيانات الفنية المتعلقة بعملية الخرق، وتتضمن بيانات الخرق على الأقل..وصف الآثار المحتملة للاختراق، المواصفة الفنية للمنظومة المعلوماتية المخترقة، أسماء الحسابات المستخدمة في عملية الخرق، ملفات تسجيل الأحداث لأنظمة التشغيل وقواعد البيانات والشبكات وأنظمة الحماية والمنصات البرمجية،العناوين الرقمية وتاريخ وتوقيت استخدامها، وغيرها الكثير من التفاصيل الأخرى.
*بيانات الطفل
وفيما يتعلق بالبيانات الشخصية الحساسة للطفل أو عديم الأهلية، على المتحكم أو المعالج عند الحصول على موافقة النائب الشرعي للطفل مراعاة عدة أحكام منها،ألا ينتج عن موافقة النائب الشرعي على المعالجة اي ضرر على المصالح المادية أو المعنوية للطفل أو عديم الأهلية، وتمكين الطفل صاحب البيانات الشخصية من ممارسة حقوقه المنصوص عليها في المادة/٣ /من القانون وتعليماته التنفيذية عند اكتمال أهليته. بحيث يكون الهدف من المعالجة واضحا ومباشرا وآمنا وخاليا من التدليس والتضليل. ،وأن تكون المعالجة مقتصرة على الحد الأدنى من البيانات الشخصية لتحقيق الغرض المحدد منها.
كما يجب على المتحكم أو المعالج أن يطلب من الطفل الحد الأدنى من بيانات النائب الشرعي، وذلك بغرض التحقق من هويته للحصول على موافقته.
ووفقا المادة /١٧/لايجوز للمتحكم او المعالج الإفصاح عن عن البيانات الشخصية للطفل أو مشاركتها مع الغير إلا بعد الحصول على الموافقة الصريحة للنائب الشرعي على ذلك
وعلى المتحكم أيضا وفق المادة /١٨/ الامتناع عن تصوير الوثائق الرسمية الورقية -الصادرة عن الجهات العامة- التي تحدد هوية صاحب البيانات الشخصية أو نسخها إلا بناء على طلب من جهة عامة مختصة ،أو تنفيذا لأحكام قانون أو نظام نافذ.وتوفير الحماية اللازمة لتلك الوثائق وإتلاقها فور انتهاء الغرض منها مالم يكن هناك متطلب نظامي للاحتفاظ بها.
*عبر الحدود
أما البيانات الشخصية عبر الحدود وحسب المادة /١٩/ يلتزم المتحكم أو المعالج قبل نقل البيانات الشخصية خارج الجمهورية العربية السورية بالحصول على الموافقة الصريحة من صاحب البيانات الشخصية،وإلا يترتب على نقلها اي ضرر على الأمن الوطني،مع الالتزام بالضوابط والنواظم الصادرة عن مجلس إدارة الهيئة بخصوص نقل البيانات خارج الحدود.
ويحظر على المرخص له نقل البيانات الشخصية العائدة لأكثر من صاحب بيانات عبر الحدود إلا بموافقة الهيئة.
أخيرا يتم اختيار مسؤول حماية البيانات الشخصية من قبل المتحكم وفقا للضوابط والنواظم الصادرة عن الهيئة وبعد موافقتها يجب أن تتوافر بالشخص المؤهلات المطلوبة للقيام بالمهام الموكلة إليه والمنصوص عليها بالقانون ،وأن يكون ملما بالقانون وتعليماته التنفيذية، وممارسة حماية البيانات الشخصية المتبعة لدى المتحكم أو المعالج، أن يكون لديه كفاءة مهنية ونقدية على التعامل بصورة منتظمة وصحيحة مع كل المسائل المتعلقة بحماية البيانات الشخصية.
وعندما يكون المتحكم أو المعالج جهة عامة، يجوز للجنة العامة وبالتنسيق مع الهيئة، تعيين مسؤول واحد لحماية البيانات لعدة هيئات أو مؤسسات تتبع لها مع مراعاة هيكلها الإداري وحجمها التنظيمي.