اللائحة التنفيذية لقانون حماية البيانات الشخصية: التطبيق العملي والتحديات القانونية
اللائحة التنفيذية لقانون حماية البيانات الشخصية في مصر تمثل نقطة التحول الحقيقية في مسار تنظيم حماية البيانات الشخصية رقم 151 لسنة 2020، إذ أنهت حالة الجمود التشريعي التي استمرت لسنوات، ونقلت القانون من إطار المبادئ العامة إلى نطاق التطبيق العملي والامتثال القانوني.
فقد صدور اللائحة التنفيذية لقانون حماية البيانات الشخصية رقم ١٥١ لسنة ٢٠٢٠،بعد قرابة ٥ سنوات من الترقب لتكتب بها نهاية حالة ” التشريع غير المكتمل ” ولتفتح نافذة جديدة وفعلية للبدء في التطبيق لأحد اهم القوانين المرتبطة بالتحول الرقمي في مصر. فالسوابق التشريعية تؤكد أن أي قانون ذا طابع فني او تقني تظل غير قادرة مالم تترجم أحكامها الموضوعية إلى قواعد إجرائية واضحة ، وهو ما حاولت اللائحة التنفيذية تحقيقه. فلا شك ان صدور قانون حماية البيانات الشخصية لم يصدر من فراغ بل جاء استجابة لتسارع السياق الرقمي العالمي ، ما جعل البيانات الشخصية أصلاً اقتصادياً بذات أهمية أي من الموارد التقليدية وايضاً أرضاً خصبة لعمليات انتهاك الخصوصية وإساءة الاستخدام ومن ثم يتأكد ان إصدار القانون ذاته ليس كافياً بل يجب النظر لكيفية تفعيله دون أن يصير عبئاً يعوق الأنشطة الاقتصادية او ان يبقى نص شكلي بلا اثر. اهم ما يتحقق بإصدار اللائحة التنفيذية هو نقل القانون من مستوى المباديء العامة إلى قواعد قابلة للتنفيذ. فقد عالجت تفاصيل مثلت فيما سبق نقطة غموض جوهرية مثل إجراءات الترخيص وحدود اختصاصات “المتحكم” و”المعالج” واليات الاحتفاظ بالبيانات والتأمين الفني والتنظيمي. يعد هذا التفصيل مكسب حقيقي من ناحية اليقين القانوني خاصة للأشخاص والكيانات العاملة في مجالات تعتمد بشكل أساسي على معالجة البيانات ، إذ لم يعد الامتثال تقديري او خاضع لتفسيرات مختلفة بل اصبح محددا بمعايير وإجراءات. اللافت ان للائحة لم تجعل حقوق صاحب البيانات شعار قانوني بل حولتها إلى التزام عملي ، فالحق فالعلم او الوصول او التصحيح او المحو لم يعد نصوص ولكن أصبحت حقوق يقابلها إجراءات قانونية واجبة على المتحكمين والمعالجين ، فبدأ من سياسات الخصوصية وانتهى بكيفية الرد على طلبات أصحاب البيانات. كما اولت الاهتمام بمسألة الموافقة فاشترطت اللائحة ان تكون صريحة ومحددة وقابلة للإثبات وهو ما يعيد ضبط العلاقة بين المستخدم والكيانات التي تجمع البيانات ويضع حداً واضح لـ ” الموافقة الضمنية ” التي لطالما أفرغت الحماية من مضمونها. من الزوايا الجوهرية في اللائحة التنفيذية تكريس مفهوم المسؤولية المؤسسية عن حماية البيانات، وليس الاكتفاء بمساءلة فردية أو جزائية لاحقة. فقد ألزمت بعض الجهات بتعيين مسؤول لحماية البيانات، وحددت إطارًا عامًا لمهامه، بما يعكس انتقال التشريع المصري إلى منطق الحوكمة والوقاية بدلًا من الاكتفاء بالعقاب. كذلك شددت اللائحة على التزام الإبلاغ عن حوادث اختراق البيانات خلال مدد زمنية محددة، سواء لمركز حماية البيانات أو لأصحاب البيانات، وهو توجه يعزز الشفافية ويُحمِّل المؤسسات عبئًا حقيقيًا في تأمين نظمها المعلوماتية. ايضًا يظل تنظيم نقل البيانات الشخصية إلى خارج البلاد من أكثر النقاط حساسية، لتداخله مع اعتبارات السيادة والأمن القومي من جهة، ومتطلبات الاستثمار والتكامل الاقتصادي من جهة أخرى. وقد سلكت اللائحة التنفيذية مسارًا وسطًا، فلم تفرض حظرًا مطلقًا، ولم تترك الأمر دون ضوابط. إذ اشترطت توافر مستوى حماية مناسب في الدولة المنقول إليها البيانات، والحصول على تصاريح مسبقة في حالات معينة، بما يحقق قدرًا من الطمأنينة للدولة، وفي الوقت ذاته لا يغلق الباب أمام الشركات متعددة الجنسيات أو الخدمات العابرة للحدود. ورغم الإطار المتقدم الذي جاءت به اللائحة التنفيذية، فإن التحدي الأكبر يظل في التطبيق العملي. ففعالية القانون مرهونة بقدرة مركز حماية البيانات الشخصية على القيام بدور مزدوج: رقابي وإرشادي في آن واحد. كما أن نشر ثقافة حماية البيانات داخل المؤسسات، خاصة الصغيرة والمتوسطة، سيكون عاملًا حاسمًا في نجاح المنظومة.
خلاصة القول
إن اللائحة التنفيذية لقانون حماية البيانات الشخصية تمثل خطوة نوعية في مسار بناء نظام قانوني حديث للفضاء الرقمي في مصر. فهي لا تحمي الخصوصية فحسب، بل تضع أساسًا قانونيًا ضروريًا لاقتصاد رقمي قائم على الثقة والانضباط. ويبقى الرهان الحقيقي على حسن التطبيق، والتوازن بين متطلبات الحماية وضرورات التطور، وهو التوازن الذي سيحكم في النهاية نجاح هذا القانون أو تحوله إلى مجرد نص جيد الصياغة محدود الأثر.
علي أبو عليو
محامي وباحث قانوني
