PHOTO
26 01 2017
أصدرت دولة قطر قانونًا جديدًا بشأن الخصوصية وحماية البيانات الشخصية وهو القانون رقم 13 لسنة 2016 ("قانون حماية البيانات"). في حين أن القانون الجديد لم يدخل حيز النفاذ بعد، إلا أنه من المتوقع أن ينشر القانون في الجريدة الرسمية قريبًا وأن يدخل حيز النفاذ بعد 6 أشهر من تاريخ نشره في الجريدة الرسمية.
يتمثل الهدف من إصدار هذا القانون في توفير درجة معينة من الحماية وتحديد المبادئ التوجيهية الخاصة بمعالجة البيانات الشخصية في قطر.
هذا وتهدف هذه المقالة إلى تسليط الضوء على أبرز ما جاء في قانون حماية البيانات وتحليل الأثر المحتمل من وجهة نظر البنوك والمؤسسات المالية المرخص لها بالعمل في دولة قطر.
السمات الرئيسية للقانون
يمتد نطاق قانون حماية البيانات ليشمل البيانات الشخصية التي يتم معالجتها إلكترونيًا أو الحصول عليها أو جمعها أو استخراجها من أجل المعالجة الإلكترونية أو معالجتها من خلال مجموعة من الأساليب والطرق التقليدية والإلكترونية لمعالجة البيانات. ومع ذلك، لا يطبق قانون حماية البيانات على حماية ومعالجة البيانات الشخصية الخاصة أو البيانات التي تم تجميعها لأغراض الحصول على الإحصائيات الرسمية.
يمنح قانون حماية البيانات بعض الحقوق للأفراد والتي تشمل حق منح أو سحب الموافقة على أي معالجة لبياناتهم الشخصية؛ كما يتمتع الفرد بالحق في مراجعة أي بيانات شخصية خاصة به قد تم تخزينها وله الحق في أن يطلب إجراء أي تعديلات أو تصحيحات إذا كانت البيانات غير دقيقة.
ولحماية هذه الحقوق، يضع قانون حماية البيانات عبئًا ثقيلًا على وحدات التحكم في أو جمع البيانات (أي الأفراد أو الشركات الذي تحدد طريقة معالجة البيانات والغرض منها)، وأجهزة المعالجة لضمان أن يتم التعامل مع البيانات الشخصية بعناية وأن يتم حمايتها على النحو الواجب من أي تسريب أو فقدان أو الكشف غير المصرح به عن البيانات. كما يوجه القانون وحدات التحكم في البيانات إلي وضع إجراءات وتدابير كافية لضمان الحفاظ على البيانات الشخصية في مكان آمن. فيما يلي بعض التوجيهات الصادرة لوحدات التحكم في البيانات الشخصية:
مراجعة إجراءات خصوصية البيانات؛
تحديد أجهزة المعالجة المسؤولة عن حماية خصوصية البيانات الشخصية؛
التدريب ورفع الوعي بين المعالجين للمعلومات؛
إنشاء النظم الداخلية الآمنة لاستلام والنظر في الشكاوى والإدارة الفعالة للبيانات الشخصية؛
استخدام التقنيات المناسبة؛
إجراء مراجعة شاملة لتحديد مستوي الامتثال؛ و
التحقق من امتثال المعالج للبيانات بالتعليمات الصادرة.
يتم منح الحماية المضافة للبيانات الشخصية ذات الطابع الخاص وهي: المعلومات التي تتعلق بالعرق أو المعتقدات الشخصية أو الأطفال والصحة والعلاقات والسجلات الجنائية التي يمكن معالجتها بعد الحصول على موافقة من الإدارة المختصة في وزارة النقل والاتصالات. كما يتم توفير الحماية للأطفال أيضًا بموجب قانون حماية البيانات من ملاك ومشغلي المواقع الشخصية الخاصة بالأطفال الذين يلتزمون بالكشف عن محتويات مواقعهم الإلكترونية على شبكة الإنترنت والحصول على موافقة ولي أمر الطفل قبل أن يتم معالجة البيانات.
وقد تم فرض حظر على التسوق الإلكتروني المباشر من خلال الاتصالات الإلكترونية للأفراد دون الحصول على موافقة مسبقة منه. وبغض النظر عما سبق، فهناك بعض الاستثناءات التي ينص عليها قانون حماية البيانات والتي تسمح للسلطات المختصة أو المعالجين للبيانات بمعالجة البيانات الشخصية دون التقيد بأحكام معينة، ونعرض فيما يلي لهذه الاستثناءات:
حماية الأمن القومي والأمن العام؛
حماية العلاقات الدولية التي دخلت فيها الدولة؛
حماية المصالح المالية أو الاقتصادية للدولة؛
الوقاية من وجمع البيانات أو التحقيق في الجرائم؛
تنفيذ المهام التي لها علاقة بالمصلحة العامة وفقًا لما ينص عليه القانون؛
تنفيذ التزام بموجب القانون أو أمر صادر عن المحكمة ذات الاختصاص القضائي؛
حماية مصالح الأفراد الحيوية؛
لأغراض البحث العلمي التي يتم القيام بها للمصلحة العامة؛
وجمع المعلومات اللازمة للتحقيق في الجرائم بناءً على طلب رسمي من جهات التحقيقات.
ينص قانون حماية البيانات على غرامات مالية كبيرة بشأن حالات عدم الامتثال أو الانتهاكات التشريعية. تتراوح العقوبات من 1,000,000 ريال قطري حتى 5,000,000 ريال قطري؛ ولكن من الجدير بالذكر أن العقوبات هي عبارة عن غرامات مالية فقط ولم ينص القانون على عقوبة السجن فيما يتعلق بحالات عدم الامتثال.
أثر القانون على القطاع المالي القطري
يتم تنظيم البنوك في قطر من قبل مصرف قطر المركزي باستثناء البنوك التي تعمل في مركز قطر المالي. هذا ويتم استبعاد البنوك في مركز قطر المالي من نطاق تطبيق المادة الحالية، حيث أصدر مركز قطر المالي قواعد حماية البينات ولوائح حماية البيانات الخاصة به، والتي تعود لعام 2005، والتي تسري على كافة الشركات العاملة في مركز قطر المالي بما في ذلك البنوك.
أصدر مصرف قطر المركزي تعليمات للبنوك بوضع آليات وإجراءات سوف تؤمَّن وتحمي البيانات والمعلومات الشخصية لعملائها. ينبغي على هذه البنوك إتباع هذه المبادئ التوجيهية الصارمة للتأكد من حماية الشبكات/ نظم الحاسوب الخاصة بهم واستخدام طرق التشفير المناسبة ورصد المعلومات.
قد يتسبب سن قانون حماية البيانات في بعض الصعوبات العملية بالنسبة للبنوك سواء بسبب عدم الوضوح أو الطبيعة الذاتية للقانون؛ ويمكن الإشارة لبضع أمثلة على ذلك- يتم توجيه البنوك، بموجب التعليمات الصادرة عن مصرف قطر المركزي، للاحتفاظ ببيانات العملاء لمدة 15 عامًا على الأقل. ومع ذلك، يمنح قانون حماية البيانات الحق للأفراد في المطالبة بحذف بياناتهم الشخصية بمجرد استيفاء الغرض الذي تم جمع المعلومات الخاصة بهم من أجلها، مما قد يؤدي إلى حالات عدم الامتثال لفترة الاحتفاظ بالبيانات المذكورة أعلاه. من الأمثلة الأخرى على ذلك، إجراءات "معرفة العميل الذي تتعامل معه" والتي يطلب من البنوك القيام بها؛ ويمكن أن تكون البيانات الشخصية خلال هذه العملية ذات طبيعة خاصة (على النحو المحدد في قانون حماية البيانات) في قانون البنوك. ومع ذلك، وفقًا لما ينص عليه قانون حماية البيانات، يجوز لك معالجة هذه المعلومات فقط بعد الحصول على موافقة من الإدارة المعنية في وزارة النقل والاتصالات؛ ولكن ليس من الواضح إذا ما كانت البنوك بحاجة إلى الحصول على موافقة شاملة من وزارة النقل والاتصالات في هذا الصدد؛ وسوف يختلف ذلك من حالة لأخرى، وقد تمثل هذه العملية عبئًا على البنوك.
علاوة على ذلك، يُسمح للبنوك في قطر في الوقت الحالي بالاستعانة بمصادر خارجية للقيام ببعض الوظائف غير الأساسية لمقدمي الخدمات لأغراض تخفيض التكاليف وتحسين الخدمة أو توفير وقت الخدمات الأساسية، شريطة التأكد من وضع الضوابط والمبادئ التوجيهية اللازمة والكافية للحد من المخاطر. ومع ذلك، يبدو أن قانون حماية البيانات يضع التزاماً إضافيًا على عاتق البنوك، بدلًا من المعالجين للبيانات، للتأكد من أن البيانات الشخصية التي تم الحصول عليها تلبي الأغراض القانونية المشروعة وأن يتم معالجتها وفقًا لما ينص عليه القانون.
وبالإضافة إلى ذلك، قد ينبغي على البنوك إعادة النظر في أنشطة التسويق والترويج الخاصة بها، والتي بموجبها يقوم عملاؤها في الوقت الحالي بالتقرب بطريقة مباشرة منهم من خلال الاتصالات الإلكترونية لتسويق منتجاتهم وخدماتهم. قد لا تكون الأنشطة مثل تحديثات رسائل البريد الإلكتروني أو التسويق عبر الرسائل النصية القصيرة غير ممكنه بموجب ما ينص عليه قانون حماية البيانات؛ ومع ذلك، لا تزال هناك بعض المخاطر العملية غير الواضحة في الوقت الحالي، حيث أن الأقسام ذات الصلة في قانون حماية البيانات ما زالت مفتوحة للتأويل والتفسير نظرًا لدلالتها الواسعة والفضفاضة.
توصيات للبنوك
كما ذكر أعلاه، سيدخل قانون حماية البيانات حيز النفاذ بعد 6 أشهر (ويجوز تمديد هذه المدة بموجب قرار صادر عن مجلس الوزراء) اعتبارًا من تاريخ نشره في الجريدة الرسمية؛ ولكي تمتثل البنوك مع القانون اعتبارًا من تاريخ دخوله حيز النفاذ، ينبغي على البنوك العاملة في دولة قطر أن تضع بعض الخطوات الاحترازية المذكورة أعلاه في اعتبارها:
رفع مستوي التوعية الداخلي وبين مزودي الخدمات؛
مراجعة الوثائق والاتفاقيات والسياسات والتنازلات والموافقات الداخلية وغيرها من وجهة نظر الامتثال لقانون حماية البيانات وتحديد المسائل التي يتعين تناولها؛
إجراء التدريبات الداخلية للإدارات ذات الصلة مثل إدارة تقنية المعلومات والإدارة القانونية وإدارة التسويق والدعم الفني والإدارات الأخرى، للتعامل مع أي أسئلة أو مخاوف لدي العملاء فيما يتعلق بقانون حماية البيانات وحقوقهم المنصوص عليها في القانون؛
إجراء تدريبات لمزودي الخدمات المسؤولين عن معالجة البيانات وإعادة النظر في تقييمات المخاطر الداخلية وخطط التخفيف من حدتها؛
تحديد المشاكل المحتملة على نطاق واسع واتخاذ الخطوات اللازمة لتصحيح وتدارك هذه المشاكل والقيام بوضع الإجراءات والتدابير المناسبة إذا كانت المخاطر لا تزال غير واضحة؛ و
إعادة النظر في جميع الإجراءات الأمنية المطبقة من قبل البنوك ومزودي الخدمات وتقييم إذا ما كانت هناك أي إجراءات أو خطوات أخرى يتعين اتخاذها أو الاستثمارات التي يتعين القيام بها لحماية بيانات العملاء.
© Al Tamimi & Company 2017
