هذه القوانين تدعمها «مبادئ حماية البيانات» الستة التي تعد في الواقع الجزء الرئيسي من الآليات التشريعية، فباختصار يحظر المبدأ الأول جمع البيانات ما لم تجمع لغرض قانوني يرتبط مباشرة بوظيفة أو نشاط مستخدم البيانات الذي سوف يستخدم البيانات، التي تكون كافية ولكن بلا إفراط فيما يتعلق بهذا الغرض، ويجب جمع البيانات الشخصية فقط من خلال الوسائل المشروعة والعادلة، وهذا يتطلب من مستخدم البيانات إبلاغ صاحب البيانات بالغرض الذي سوف تستخدم البيانات من أجله، وفئات الأشخاص الذين يجوز نقل البيانات لهم، سواء كان تقديم البيانات إجباريا أو طوعيا لصاحب البيانات، وعواقب الفشل في تقديم البيانات، وأن صاحب البيانات لديه الحق في طلب الوصول إلى البيانات وتصحيحها.

يتطلب المبدأ الثاني من مستخدمي البيانات أن تكون البيانات المحفوظة دقيقة ومحدثة، وإذا كان هناك شك في ذلك، يجب على مستخدم البيانات أن يتوقف عن استخدام البيانات على الفور، ولا ينبغي الإبقاء على البيانات لفترة أطول مما هو ضروري للغرض الذي جمعت من أجله، والمبدأ الثالث ينص على أنه من دون موافقة صاحب البيانات، لا يجب استخدام البيانات الشخصية لأي غرض آخر غير الغرض الذي جمعت لاستخدامها فيه وقت جمعها.

أما المبدأ الرابع فينص على أنه يجب على مستخدمي البيانات اتخاذ إجراءات أمنية مناسبة لحماية البيانات الشخصية، ويجب عليهم ضمان أن تتمتع بحماية وافية ضد الوصول أو المعالجة أو المحو أو الاستخدام غير المصرح به أو العرضي من آخرين يفتقرون صلاحية القيام بذلك، والمبدأ الخامس يتعلق بالإعلان المطلوب تقديمه من مستخدم البيانات حيال نوع البيانات الشخصية التي يملكها، وسياساته وممارساته فيما يتعلق بالتعامل مع البيانات الشخصية، ويتحقق هذا عادة من خلال «بيان الخصوصية» الذي يتضمن تفاصيل عن دقة البيانات، وفترة الاحتفاظ بها، وتأمينها، واستخدامها، فضلا عن الإجراءات المتخذة بشأن الوصول إلى البيانات وطلبات تصحيح البيانات.

والمبدأ الأخير يتعلق بحق صاحب البيانات في الوصول إلى البيانات الشخصية الخاصة به، وطلب نسخة من البيانات الشخصية التي يحتفظ بها مستخدم البيانات، وإذا اتضح أن البيانات غير دقيقة، فإن الشخص صاحب البيانات لديه الحق في أن يطلب من مستخدم البيانات تصحيحها.

يحق لضحية التطفل أو الكشف غير المصرح به تقديم شكوى إلى مفوض الخصوصية للبيانات الشخصية عن خرق هذه المبادئ، ولدى المفوض القدرة على إصدار «إخطار تنفيذ» لإجبار مستخدم تلك البيانات على الامتثال للقانون، وعدم الامتثال لهذا الإخطار يعد جريمة يعاقب عليها عند الإدانة بالغرامة والسجن لمدة سنتين، وينص القانون أيضا على الحصول على تعويض، بما في ذلك التعويض عن الأضرار العاطفية.

وثمة عنصر حاسم من القانون يتمثل في السلطة المخولة لمفوض الخصوصية للموافقة على قواعد الممارسة من أجل تقديم «إرشادات عملية» لمستخدمي البيانات وأصحاب البيانات على حد سواء، وتلك الإرشادات التي صدرت حتى الآن من المفوض هي وثائق أساسية نتجت عن مشاورات مفصلة ومطولة مع الجهات المختصة، وعلاوة على ذلك، في حين ينص القانون على أن فشل مستخدم البيانات في التقيد بأي جزء من القانون لا يجوز أن يجعله عرضة للدعاوى المدنية أو الجنائية، فإن الادعاء في مثل هذه المحاكمات بأن مستخدم البيانات قد أخفق في اتباع القوانين يعد دليلا مقبولا.

ما «البيانات الشخصية»؟

إن نقطة الانطلاق في أي قانون لحماية البيانات هي مفهوم «البيانات الشخصية»، أو في بعض القوانين «المعلومات الشخصية»، وقد استخدم هذا المصطلح مرات عديدة في هذا الكتاب، ولكن على ماذا يشتمل تحديدا؟ على الرغم من وجود اختلافات بين القوانين المحلية، فإنها تشترك في مفهوم واسع النطاق إلى حد ما لهذه العبارة، وتستخدم المادة 2(أ) من المبادئ التوجيهية للاتحاد الأوروبي الصيغة الآتية:

أي معلومات تتعلق بشخص طبيعي محدد أو يمكن تحديده («صاحب البيانات»)، والفرد الذي يمكن تحديده هو الشخص الذي يمكن تعريفه بطريقة مباشرة أو غير مباشرة، ولا سيما من خلال الرجوع إلى رقم هوية أو واحد أو أكثر من العوامل المحددة لهويته المادية أو الفسيولوجية أو العقلية أو الاقتصادية أو الثقافية أو الاجتماعية.

ولكن ماذا عن البيانات التي تجمعها ملفات سجل المتصفح أو بطاقة تحديد الهوية باستخدام موجات الراديو الموضوعة في المنتجات أو الملابس؟ إنها لا تشير بالضرورة إلى فرد، ولكن نظرا لأنها تسهل اتخاذ القرارات حول شخص ما، فإنها تستحق الحماية تحت اسم البيانات الشخصية.

Shafi da ba'a sani ba