قانون حرية المعلومات 2000 مقابل اللائحة العامة لحماية البيانات | تحليل، تشريعات الخصوصية

إلى جانب اللائحة العامة لحماية البيانات لعام 2018 وقانون حرية المعلومات لعام 2000، يحق للأشخاص الاطلاع على المعلومات التي تحمل الثقة أو الوصول إليها. توضّح هذه اللوائح ضرورة الإدارة السليمة للبيانات في مختلف المؤسسات وتتيح الكشف عن المعلومات ضمن المهلة الزمنية الدستورية.

قد يؤدي عدم الامتثال للوائح المنصوص عليها في هذه القوانين إلى الصحافة السلبية و/أو الملاحقة القضائية و/أو عقوبة شديدة.

اللائحة العامة لحماية البيانات (GDPR)

تضع اللائحة العامة لحماية البيانات العامة المسؤولية القانونية على المؤسسات التي تحتفظ ببياناتك الخاصة لضمان

• تتم معالجتها بشكل قانوني ومنصف;
• يتم الحصول عليها لأسباب محددة وعلنية وقانونية;
• دقيقة ومحدثة;
• يتم تأمينها من الاسترجاع غير المصرح به أو الفقدان غير المقصود.

الوصول إلى الموضوع

تتيح اللائحة العامة لحماية البيانات للمشتبه بهم وممثليهم القانونيين أو الأطباء أو أقارب المرضى أو الموظفين الاطلاع على المعلومات الشخصية التي تحتفظ بها المؤسسات المعنية عنهم. ويشمل ذلك جميع أشكال الوثائق. سواء كانت في نسخ ورقية أو رقمية، محفوظة على الشبكات أو قواعد البيانات، والأشعة السينية، والصور، وبطاقات المستشفيات، والبريد الإلكتروني. قد تشمل طلبات الموظفين الوصول إلى البيانات الخاصة بالموظفين أو المعلومات المتعلقة بانضباطهم.

الإطار الزمني للرد على طلب السجلات هو شهر واحد (30 يومًا)

قانون حرية المعلومات لعام 2000

يسعى قانون حرية المعلومات إلى تحسين الشفافية والمساءلة في القطاع العام الذي يشمل المؤسسات الحكومية والمجالس والعيادات والمعلمين وأجهزة إنفاذ القانون. ويتيح هذا القانون للمواطنين فرصة الوصول إلى المعلومات الموثوقة التي تحتفظ بها المؤسسة والتي يمكن أن توفر لهم فهمًا أفضل لكيفية قيامها بواجباتها وإجراءات اتخاذ القرار وكيفية استخدام الأموال العامة.

تمكّن لوائح المعلومات البيئية، بالاقتران مع قانون حرية المعلومات، الجمهور من طلب المعلومات المتعلقة بالبيئة التي تحتفظ بها أي مؤسسة.

تشمل أمثلة الطلبات التي تلقتها المنظمات بشأن حرية المعلومات ما يلي:

• الحصول على معلومات عن المطالبات المتعلقة بالمصروفات
• نماذج العقود والرسوم;
• مقدار ومبررات وقف الأنشطة;
• الوصول إلى البيانات المتعلقة بالتوافق مع لوائح وقت العمل الأوروبية;
• ما مدى تعاون المنظمة فيما يتعلق بطلبات حرية المعلومات؟

تمامًا مثل اللائحة العامة لحماية البيانات، فإن الطلبات المتعلقة بحرية المعلومات لها أيضًا إطار زمني تعاقدي. وبمجرد استلام الطلب من قبل المؤسسة المعنية، تبدأ الساعة في التحرك، ويكون أمامها 20 يوم عمل للاستفادة من البيانات. من الضروري أنه بمجرد الحصول على الطلب، يتم إرساله على الفور إلى قسم حرية المعلومات.

الاختلافات بين قانون حرية المعلومات واللائحة العامة لحماية البيانات

يشمل قانون حرية تداول المعلومات المعلومات المخزنة لدى المؤسسات العامة ولا يشمل طلبات الحصول على معلومات خاصة عن الفرد الذي يقدم الطلب. يقتصر قانون حرية المعلومات على تمكين الوصول إلى المعلومات في المجال العام.

يحمي التشريع بموجب اللائحة العامة لحماية البيانات المعلومات الخاصة. وهذا يوفر للجميع الحق الدستوري في الوصول إلى البيانات التي تم جمعها عنهم (من خلال طلب الوصول إلى الموضوع)، وفي حالات معينة، لردع الأفراد الآخرين من الاطلاع على معلوماتك الشخصية أو استخدامها أو تخزينها.

لضمان أن تكون بياناتك آمنة، لا يسمح قانون حرية المعلومات للجمهور باسترداد المعلومات المستثناة من الوصول إليها بموجب اللائحة العامة لحماية البيانات.

عندما تطلب الحصول على بيانات شخصية عن شخص مختلف، سيتم التعامل مع الطلب بموجب قواعد قانون حرية المعلومات، ولكن سيتم استخدام إرشادات اللائحة العامة لحماية البيانات لتحديد ما إذا كان يمكن الكشف عن البيانات.

إذا كان الكشف عن المعلومات سينتهك شروط اللائحة العامة لحماية البيانات، فسيتم رفض الطلب.

كيف يؤثر القانون العام لحماية البيانات العامة على قانون حرية المعلومات

يمكن أن تؤثر اللائحة العامة لحماية البيانات (GDPR) على قانون حرية المعلومات لعام 2000 (قانون حرية المعلومات). فالمادة 40، التي تربط قانون حرية المعلومات بقانون حماية البيانات لعام 1998(” DPA”) – وهو التشريع الذي ستحل اللائحة العامة لحماية البيانات محله، لها التأثير الأكبر على قانون حرية المعلومات. هناك أيضًا تأثير جانبي: بموجب اللائحة العامة لحماية البيانات، يُطلب من المؤسسات مثل المؤسسات العامة تسجيل التزامها بها، وهذا يعني أنه لن يكون هناك مجال على الإطلاق للمؤسسات العامة للاختباء لأنها ملزمة بأن تكون منفتحة على الناس.

بإلقاء نظرة فاحصة على المادة 40 من قانون حرية المعلومات، هناك سببان للاستثناءات المتعلقة بالبيانات الشخصية:

• عندما يقدم شخص ما طلبًا بشأن حرية المعلومات للحصول على معلوماته الشخصية، ينبغي بالتالي اعتبار ذلك طلبًا للوصول إلى الموضوع كما هو مشمول بقانون حرية المعلومات (القسم 40 (1) من قانون حرية المعلومات);
• من شأن التمسك بالاستعلام بموجب قانون حرية المعلومات أن يكشف عن معلومات خاصة تعود لأطراف ثالثة، وسيكون الكشف عن هذه المعلومات مخالفًا للقيم الأساسية لقانون حماية البيانات الشخصية (القسم 40 (2) من قانون حرية المعلومات) – وبالتالي يحتاج إلى تحليل ما إذا كان سيحدث إساءة استخدام للبيانات الشخصية عند الكشف عنها.

ليس للائحة العامة لحماية البيانات أي تأثير على الشكل الأول من تقديم طلبات حرية المعلومات، على الرغم من أن السلطات الحكومية مطالبة بالتعرف على قواعد اللائحة العامة لحماية البيانات الحالية المتعلقة بطلبات الوصول إلى المعلومات الشخصية والرجوع إليها. من ناحية أخرى، أدى تطبيق النظام الأوروبي العام لحماية البيانات إلى زيادة عدم اليقين فيما يتعلق بالتعامل مع النوع الثاني من طلبات حرية المعلومات – التي تتعلق ببيانات الأفراد المختلفة.

كيفية تعزيز اللائحة العامة لحماية البيانات للمساءلة والتوثيق وتأثيرها

يركز القانون العام لحماية البيانات (GDPR) بشكل أكبر على الشفافية والمساءلة مقارنةً بسابقه، قانون حماية البيانات (DPA). وهذا أمر ضروري في حد ذاته بالنسبة للهيئات الحكومية التي يجب أن تولي اهتمامًا كبيرًا بهذا الأمر، لأنه يقع ضمن نطاق واجباتها في أن تكون منفتحة ومسؤولة أمام الجمهور. إن الهدف الأساسي من قانون حرية المعلومات هو السماح لأي مواطن فرد بالوصول إلى أي بيانات مسجلة تحتفظ بها هيئة عامة. ما لم يكن هناك استثناء، يمكن نشر أي سجل تحتفظ به هيئة عامة في إطار قانون حرية المعلومات، ويشمل ذلك جميع السجلات التي تحتفظ بها هيئة ما فيما يتعلق بامتثالها لحماية البيانات. إذا طلب الشخص الذي يطلب الحصول على البيانات معلومات تتعلق بأساليب أمن البيانات في مؤسسة عامة، فقد يكون من الصعب الإجابة على مثل هذه الطلبات بموجب قانون حرية المعلومات إذا كان الكشف عن هذه السجلات سيكشف عن عدم الامتثال للائحة العامة لحماية البيانات، أو الأسوأ من ذلك، قد يشير إلى عدم اتخاذ خطوات تنفيذية لحماية البيانات، خاصةً عندما لا توجد سجلات للكشف عنها. لن يكون هناك أي إخفاء. إن إجراءات إنفاذ القانون العام لحماية البيانات العامة من قبل الوكالات العامة قوية كما هو الحال في المجال العام، مما سيؤدي إلى مزيد من الانتقادات الكبيرة وربما أيضًا التأثير السلبي على السمعة إذا كانت محاولات الامتثال غير كافية بأي شكل من الأشكال.

أحد الأمثلة على الاشتراطات المحدّثة للشفافية في المادة 30 من اللائحة العامة لحماية البيانات، والتي تطالب المؤسسات بالاحتفاظ بسجلات لعمليات المعالجة. ويُتوقع من كل مؤسسة أن تسجل البيانات التالية بوضوح

• هوية وتفاصيل الاتصال بالمراقب (الشخص المسؤول عن حفظ السجلات والمعالجة)، وممثل المراقب، والموظف المسؤول عن حماية البيانات;
• ملخص أسباب جمع المعلومات الخاصة;
• تصنيف أنواع أصحاب البيانات ومجموعات البيانات الشخصية;
• مجموعات المستخدمين الذين سيتم الإفراج عن المعلومات الشخصية لهم، بما في ذلك متلقي الطرف الثالث أو الوكالات الدولية;
• الحدود الزمنية المقترحة لحذف فئات البيانات المختلفة;
• ملخص لتدابير الخصوصية التكنولوجية والداخلية التي وضعتها المؤسسة لتأمين البيانات الخاصة. وهي متاحة لطالبي البيانات للحصول على نسخة من هذه الوثيقة. من المتوقع أن تنشر السلطات العامة المعلومات المطلوبة ما لم يكن هناك سبب وجيه لعدم الكشف عن هذه البيانات.

ليس من الضروري الاحتفاظ بسجل لنشاط معالجة المعلومات فحسب، بل من الضروري أيضًا أن يتم توثيق تفاصيل المعالجة بشكل مناسب وأن تتوافق مع لوائح حماية البيانات. على سبيل المثال، في الوثائق المسجلة، يجب تدوين شرح أسباب جمع البيانات الشخصية في بيان الخصوصية الخاص بالهيئة العامة. إذا لم يكن الأمر كذلك، يمكن لوم الهيئة العامة بشكل عادل على عدم الصراحة والانفتاح بشأن كيفية تعاملها مع البيانات الشخصية.

بالإضافة إلى ذلك، فإن المؤسسات العامة مُلزمة بتسجيل أي انتهاكات للبيانات الشخصية (المادة 33 (5) من اللائحة العامة لحماية البيانات)، والتي تغطي جميع التفاصيل المتعلقة بانتهاك البيانات وعواقبه وأي إجراءات تصحيحية تم اتخاذها. يصبح هذا التقرير “معلومات مسجلة” للهيئات العامة، وبالتالي يمكن الكشف عنها بموجب قانون حرية المعلومات. إذا أظهر السجل وجود انتهاكات متكررة، فإن الكشف عن قائمة مسجلة لانتهاكات البيانات قد يساهم في كشف أوجه القصور في حماية البيانات على نطاق أوسع.

الخلاصة

في الختام، منذ تنفيذ اللائحة العامة لحماية البيانات في مايو 2018، يبدو أن الوكالات العامة واجهت صعوبات أولية محددة فيما يتعلق بإنفاذ الإعفاء بموجب المادة 40 (2) عندما تتضمن البيانات المطلوبة معلومات شخصية تخص طرفًا ثالثًا. لم يعد أساس “المصالح المشروعة” الذي اعتادت السلطات العامة الاعتماد عليه لتبرير الإفصاح عن المعلومات الشخصية مناسبًا. وبالتالي، ثبت أنه من الصعب على السلطات العامة الكشف عن البيانات الشخصية من خلال قانون حرية المعلومات. وبناءً على ذلك، فإن الإفصاح عن المعلومات الخاصة من خلال قانون حرية المعلومات قد شكل مشكلة للهيئات العامة.

وعلاوة على ذلك، ومع الأخذ في الاعتبار الهدف الأساسي من وراء قانون حرية تداول المعلومات، وهو زيادة شفافية الهيئات العامة وإضفاء الشفافية على إجراءاتها التشغيلية وعمليات صنع القرار فيها أمام عامة الناس، فلا مجال أمام المؤسسات العامة لإخفاء أي محاولات فاترة للامتثال للنظام الأوروبي العام لحماية البيانات. تنطبق هذه الشفافية الآن أيضًا على الامتثال للائحة العامة لحماية البيانات، والتي تنص صراحةً على أن تكون بعض الوثائق مرتبة وأن يتم تصنيفها على أنها “معلومات مسجلة”. لا يوجد حاليًا أي عذر للامتثال لحماية البيانات بالنسبة للمؤسسات العامة الخاضعة لقانون حرية المعلومات.