أطلقت مؤسسة مسار والمبادرة المصرية للحقوق الشخصية تعليقًا قانونيًا مشتركًا على اللائحة التنفيذية لقانون حماية البيانات الشخصية، بعنوان: «اللائحة التنفيذية لقانون حماية البيانات الشخصية: اختبار تحويل القواعد العامة إلى التزامات قابلة للمساءلة»، لإتاحة قراءة تحليلية مبكرة للائحة بوصفها النص الذي يحدد التطبيق العملي للحق في الخصوصية وحماية البيانات داخل المجال الرقمي، ويكشف كيف ستُدار دورة حياة البيانات الشخصية داخل الجهات العامة والخاصة، وكيفية ممارسة أصحاب البيانات حقوقهم، وحدود التزامات المتحكمين والمعالجين، أدوات الرقابة والإنفاذ التي ستُفعّلها الدولة.

ويأتي إطلاق التعليق في سياق انتقال قانون حماية البيانات الشخصية رقم 151 لسنة 2020 من مرحلة الإطار التشريعي العام إلى مرحلة القواعد التشغيلية التفصيلية، بعد صدور اللائحة التنفيذية بقرار وزير الاتصالات وتكنولوجيا المعلومات رقم 816 لسنة 2025، التي تنظم بصورة مفصلة مسائل محورية مثل الموافقة، والتراخيص والتصاريح، والسجلات والالتزام بالتوثيق، والإخطار بخرق البيانات، ونقل البيانات عبر الحدود، والبيانات الحساسة وبيانات الأطفال، والتسويق الإلكتروني المباشر، وغيرها من الملفات التي ظل تطبيق القانون معلقًا عليها عمليًا لسنوات.

واعتمدت المنظمتان في التعليق على منهج يقوم على قراءة اللائحة بوصفها نصًا مُشغِّلًا للقانون؛ أي أنها ليست مجرد تكرار للأحكام العامة، بل ترجمة لها إلى إجراءات ومعايير، وأدوار مؤسسية ومسارات إدارية، يمكن القياس عليها وترتيب المسؤولية القانونية عند الإخلال بها. أن أهمية اللائحة لا تنحصر في كونها استكمالًا فنيًا للقانون، بل لأنها تحدد على أرض الواقع مسارات الامتثال وحدود المساءلة، من خلال بيان ما يتعين على الجهات المُخاطبة بالقانون القيام به على نحو محدد حتى يُعد سلوكها امتثالًا، وما يُصنَّف بوصفه مخالفة للامتثال القانوني. ويُبرز التعليق القانوني على اللائحة كيفية التعامل مع التفاوت الواسع بين كيانات ضخمة تمتلك بنى تقنية وقانونية متقدمة، وبين كيانات أصغر مثل المشروعات الناشئة والجمعيات الأهلية ووسائل الإعلام والمبادرات المحلية التي قد تواجه كلفة امتثال غير متناسبة مع حجم نشاطها. وفي المقابل، توضح اللائحة ما ينبغي أن يتوافر للأفراد عمليًا حتى لا تظل حقوقهم وعدًا قانونيًا بلا أدوات تشغيل واضحة.

ومن هذا المنطلق، يفحص التعليق مسارين متوازيين. الأول يتتبع مدى استيفاء اللائحة لمتطلبات التفويض التي أحالها إليها القانون، مثل تنظيم منظومة التراخيص والتصاريح والاعتماد، ومعايير تأمين البيانات، وقيد ومسؤوليات مسؤولي حماية البيانات، وضوابط نقل البيانات عبر الحدود، وشروط حجية الدليل الرقمي المستمد من البيانات الشخصية. أما المسار الثاني فيرصد الإشكاليات التي تكشفها اللائحة على مستوى التصميم التنظيمي والحماية الحقوقية وقابلية الامتثال، وما قد ينتج عنها من آثار عملية مباشرة على أصحاب البيانات وعلى الجهات الخاضعة للقانون. وبناء على المسارين، يختتم التعليق بتوصيات إجرائية وتشريعية لتحسين قدرة القانون على حماية البيانات وقابليته للامتثال والمساءلة. 

ويشير التعليق إلى أن اللائحة، رغم أنها غطّت جانبًا كبيرًا من الموضوعات التي أحالها إليها القانون، فإن هذا الاستيفاء يظل في أجزاء منه أقرب إلى الوفاء الشكلي بالإحالات، من دون أن يحقق بالقدر الكافي اليقين القانوني الذي تحتاجه منظومة حماية البيانات كي تعمل بثقة وعدالة وشمول.

يبرز في التعليق مسألة فعالية الموافقة بوصفها أساسًا جوهريًا لحماية البيانات؛ فبينما يؤكد القانون على مبدأ الموافقة الصريحة، تُقر اللائحة عمليًا بنمط من الموافقة الضمنية عندما يقدّم الشخص بياناته للحصول على خدمة أو معاملة، وهو ما قد يُفرغ شرط الموافقة المستنيرة من مضمونه إذا لم تقترن هذه القاعدة بضمانات واضحة وحد أدنى ملزم لمعايير الإخطار والفهم، وبضوابط تمنع التوسع في جمع بيانات غير ضرورية تحت ستار "اللازم لتقديم الخدمة".

يركّز التعليق، من زاوية حقوق أصحاب البيانات، على أن القيمة العملية لصدور اللائحة التنفيذية لا تُقاس بمجرد تعداد الحقوق في النصوص، بل بقدرتها على تحويل هذه الحقوق إلى ممارسة قابلة للتحقق. ويتطلب ذلك وجود إطار إجرائي موحّد ومُلزم يحدد داخل كل كيان جهة تلقي طلبات أصحاب البيانات، وشكل الطلبات المقبولة، والمهل الزمنية للرد، وأثر عدم الرد، وآليات التصعيد، وكيفية توثيق الاستجابة بما يسمح بالقياس والمساءلة. غير أن اللائحة، وفق قراءة التعليق، لا تقدم تنظيمًا إجرائيًا عامًا ومتماسكًا لطلبات الوصول والتصحيح والمحو وتقييد المعالجة والاعتراض وسحب الموافقة، وهو ما قد يؤدي إلى تفاوت مسارات ممارسة الحقوق بين جهة وأخرى، ويضعف إمكانية التحقق من الامتثال وترتيب المسؤولية عند المخالفة.

ويتفاقم هذا القلق لأن اللائحة لم تحسم بصورة واضحة كلفة ممارسة حقوق أصحاب البيانات ولا معايير تقديرها، بما يفتح الباب لقرارات تنظيمية لاحقة قد تترجم عمليًا إلى عوائق مالية تمس جوهر الحق في الخصوصية وحماية البيانات، وبصورة أشد وطأة على الفئات الأقل دخلًا.

كما يتوقف التعليق عند اتساع الاستثناءات التي تُضعف مبدأ شمولية الحماية، وعلى رأسها الاستثناء المرتبط بجهات الأمن القومي بصياغته الفضفاضة وصلاحياته الإلزامية غير المنضبطة، والاستثناء المتعلق بالبنك المركزي والقطاع المصرفي، بما ينذر بانقسام مستويات الحماية وتفاوت حقوق الأفراد وآليات الإنفاذ بحسب الجهة الحائزة للبيانات. ويرى التعليق أن أي استثناءات تمس الحق في الخصوصية ينبغي، وفق المعايير الدستورية والحقوقية، أن تُضبط بضمانات موضوعية وإجرائية ورقابية واضحة، حتى لا تتحول إلى منطقة خارج القانون يُستحال معها توقّع حدود التدخل أو الانتهاكات.

وعلى صعيد نقل البيانات عبر الحدود، يوضح التعليق أن اللائحة تكرس نهج الترخيص أو التصريح المسبق بوصفه المدخل الرئيسي للسماح بالنقل حتى مع توافر مستوى حماية كافٍ في الدولة المستقبلة، وتقصر النقل على الدول المحددة في الترخيص وتلزم بتحديثه عند إضافة دول جديدة، وهو ما قد يثقل تشغيل الخدمات العابرة للحدود، ويستدعي -وفق التعليق- ضوابط أكثر تحديدًا لتشغيل الاستثناءات وحدود تفسيرها.

ويولي التعليق اهتمامًا خاصًا ببنية الحوكمة وآليات الإنفاذ، إذ يبرز أن مركز حماية البيانات الشخصية هو الفاعل المحوري في تشغيل المنظومة بحكم اختصاصاته الواسعة، التي تشمل إصدار التراخيص والتصاريح، واعتماد مسؤولي حماية البيانات والمستشارين، وتلقي الشكاوى والفصل فيها، والقيام بأعمال التفتيش والرقابة. غير أن موقع المركز داخل البنية التنفيذية وتبعيته المؤسسية ينعكسان مباشرة على كيفية ممارسة هذه الصلاحيات، بما يثير مخاوف عملية تتعلق بدرجة الاستقلال والشفافية وإمكانية تجنب تضارب المصالح.

وفي هذا السياق، يوضح التعليق أن فعالية جهة التنظيم لا تتوقف على اتساع أدواتها وحده، بل على وجود ضمانات إجرائية تحكم استخدامها بصورة عادلة ومتسقة، وعلى إتاحة المعلومات العامة والمعايير المنظمة للقرارات، وإشراك أصحاب المصلحة في صياغة الإرشادات والمعايير الفنية، وتبني منهج قائم على تقييم المخاطر يوازن بين حجم المعالجة وحساسيتها وبين أعباء الامتثال، بدلًا من تحويل المنظومة إلى مسار بيروقراطي يكتفي بالأوراق والإجراءات.

ويشير التعليق أيضًا إلى ثغرات في التزامات الشفافية المتعلقة بعمل مركز حماية البيانات، على رأسها غياب إطار مُلزم للتقرير السنوي عن حالة حماية البيانات ونشر البيانات المجمعة، وضعف تنظيم الدور التوعوي والتدريبي، رغم أن تمكين الحقوق لا يتحقق إلا بمعرفة الأفراد بحقوقهم وبقدرة الجهات على فهم التزاماتها وتنفيذها تقنيًا وإجرائيًا. ويؤكد التعليق أن غياب هذه الأطر قد يفتح الباب لانتقائية في الإنفاذ أو تفاوت في مستويات الامتثال، ويُضعف قدرة الجمهور والباحثين والإعلام والبرلمان على تقييم أداء المنظومة بموضوعية.

ومن القضايا التي يبرزها التعليق بوصفها اختبارًا حقيقيًا لمدى جاهزية المنظومة، مسألة استخدام البيانات في تدريب نماذج الذكاء الاصطناعي والتقنيات الناشئة. فبينما تتضمن اللائحة التزامًا عامًا بعدم الإضرار وبالاحتكام إلى "المبادئ المتعارف عليها محليًا وإقليميًا ودوليًا"، يرى التعليق أن هذا المستوى من العمومية يحتاج إلى تحويله إلى معايير تشغيلية قابلة للتحقق والتدقيق والمساءلة، تشمل تحديد حالات تقييم الأثر، وضبط نطاق البيانات والغرض، وقواعد إعادة الاستخدام، وتمكين الحقوق مثل الاعتراض والمحو وسحب الموافقة ضمن حدود الواقع التقني، فضلًا عن تضمين اعتبارات الضرر المجتمعي مثل التمييز والإقصاء والوصم، وليس الاكتفاء بتصور الضرر الفردي المباشر.

واختتمت المنظمتان التعليق بمجموعة توصيات تستهدف سد الفجوات التي أفرزتها اللائحة وتعزيز اتساق المنظومة مع الغاية الدستورية والحقوقية من حماية الخصوصية. وتؤكد المؤسستان أن جزءًا معتبرًا من هذه التوصيات يمكن إنجازه فورًا عبر قرارات تنظيمية وأدلة مُلزمة يصدرها المركز، خاصة فيما يتعلق بتوحيد إجراءات ممارسة الحقوق، ووضع معايير واضحة للموافقة والإخطار، وتبني نماذج موحدة للإبلاغ عن خروقات البيانات، وإرساء منهج قائم على المخاطر في التفتيش وتحديد المتطلبات. كما يطرح التعليق توصيات تشريعية متوسطة المدى تتعلق بتعزيز استقلال جهة التنظيم، ومراجعة الاستثناءات الواسعة، وتحقيق تناسب أوضح بين العقوبات وطبيعة المخالفات، وتدعيم حق الأفراد في التعويض وجبر الضرر.

وتؤكد مؤسسة مسار والمبادرة المصرية للحقوق الشخصية أن إطلاق هذا التعليق القانوني يأتي في إطار التزامهما بدعم الحق في الخصوصية وحماية البيانات باعتباره حقًا أساسيًا لا ينفصل عن حرية التعبير والأمان الشخصي والحقوق الاقتصادية والاجتماعية في العصر الرقمي، وأن ضماناته لا يجب أن تُختزل في لغة الامتثال البيروقراطي أو في توازنات السوق، بل في قواعد واضحة تتيح للأفراد فهم ما يحدث لبياناتهم وممارسة حقوقهم بلا عوائق، وتضمن أن تتحول التزامات الجهات إلى واجبات قابلة للإثبات والمساءلة.

وتدعو المؤسستان الجهات التنظيمية وصناع القرار والكيانات الخاضعة للقانون ووسائل الإعلام والمهنيين والباحثين إلى التعامل مع اللائحة بوصفها إطارًا حيًا قابلًا للتقويم والتحسين، وإلى فتح مسارات تشاور شفافة حول الأدلة الإرشادية والمعايير الفنية التي ستحدد مستقبل حماية البيانات في مصر، بما يوازن بين متطلبات التحول الرقمي وبين صون جوهر الحق في الخصوصية، ويمنع أن تتحول حماية البيانات إلى عنوان واسع تُدار تحته إجراءات بيروقراطية، بينما يظل المواطن بلا مسار واضح لممارسة حقه ولا ضمانة حقيقية لردع الانتهاك.

اقرأ التعليق كاملًا من هنا