بنودٌ تشريعية مثيرة للجدل حول النص القانوني أثارت صياغة القانون عدة تساؤلات تحديداً فيما يتعلق بالهيكلة المقترحة للهيئة المعنية بحماية البيانات وإنشائها. تنصّ المادة 4 من مشروع قانون حماية البيانات الشخصيَّة على أن يترأس لجنة حماية البيانات وزير الاقتصاد الرقمي والريادة، وهو ما من شأنه أن ينال من استقلالية اللجنة بصفتها هيئة رقابية. يقول المدير التنفيذي لـ"الجمعية الأردنية للمصدر المفتوح"، عيسى محاسنة لـ"سمكس" إنّ "الهيكلة المقترحة تضمّ في جوهرها تضارباً في المصالح، حيث تتواجد السلطة التنفيذية ممثلة بالوزارة وأعضاء من الأجهزة الأمنية، وهم أكبر الجهات الجامعة للمعلومات، وبالتالي يصبح من ينظم ويدير مسألة الحماية هو من يقوم بمعالجة البيانات". حماية البيانات الشخصية ! إليك 7 خطوات بسيطة لتضمن حماية خصوصيتك وبياناتك الشخصية | تكنوفيليا للمعلوميات. ويسأل محاسنه، "هل تستطيع لجنة حماية البيانات، بهيكليتها المقترحة حالياً، على سبيل المثال، أن تحقّق في الشكاوى المتعلقة بانتهاك الخصوصية إذا كان مرتكبوها من السلطة التنفيذية؟". يقول المدير التنفيذي للجمعية الأردنية للمصدر المفتوح"، عيسى محاسنة لـ"سمكس" إنّ "الهيكلة المقترحة تضمّ في جوهرها تضارباً في المصالح، حيث تتواجد السلطة التنفيذية ممثلة بالوزارة وأعضاء من الأجهزة الأمنية، وهم أكبر الجهات الجامعة للمعلومات، وبالتالي يصبح من ينظم ويدير مسألة الحماية هو من يقوم بمعالجة البيانات".
البيانات الصحية على جهة التحكم اتخاذ الإجراءات اللازمة للحفاظ على البيانات الصحية من إساءة استخدامها أو تسريبها أو إتلافها ، والحرص على عدم وصول أو اطلاع أي جهة أو فرد على هذه البيانات باستثناء الفريق الطبي المعني بالحال، وقصر معالجة البيانات على أقل قدر ممكن من الموظفين ممن يتصفون بالأمانة والمسؤولية، وإلزامهم بالتوقيع على تعهد بالمحافظة على سرية البيانات. تصوير ونسخ الوثائق الرسمية على الجهة الامتناع عن نسخ أو تصوير الوثائق الرسمية التي تحدد هوية صاحبها، إلاّ بناء على متطلب وارد من ضمن اختصاصاتها، أو تنفيذًا لمتطلب نظامي، وفي جميع الأحوال يجب إشعار صاحب البيانات قبل تصوير وثائقه الرسمية أو نسخها. تسرُّب البيانات على جهة التحكم أن تُشعِر الجهة المختصة بأي حادثـة تسرُّب أو تلف أو وصول غير مشروع للبيانات فوراً بما لا يتجاوز 72 ساعة، مع إرفاق تقرير يتضمن شرح الواقعة وكيفية حدوثها، ووصف المخاطر المحتملة، والآثار السلبية المتوقعة، وغير ذلك من تفاصيل منصوص عليها. سياسة حماية الخصوصية والبيانات الشخصية العالمية - Cisco. ويجب إشعار صاحب البيانات بتسرُّب بياناته أو تلفها فوراً، وشرح طبيعة الحادثـة والمخاطر المحتملة المترتبة على ذلك. الإفصاح عن البيانات لجهات خارجية يجب على الجهة تخزين البيانات داخل حدود المملكة، ولا يجوز تخزينها أو معالجتها بالخارج إلاّ بعد تقييم الآثار والحصول على الموافقة المطلوبة.
وينص القانون في المادة 16 على أنّ للشخص المعني بالمعالجة الحق في الاعتراض على القرارات ذات التأثير المالي أو معنوي عليه، وعلى المسؤول عن المعالجة إجابة طلبه، إضافة إلى إلزامية إعلام الشخص المعني بالمعالجة خطيًا أو إلكترونيًا بذلك قبل البدء بالمعالجة مع تحديد الفترة الزمنية التي سيتم خلالها معالجة البيانات الشخصية، على أن لا يتم تمديد هذه الفترة إلا بموافقة الشخص المعني بمعالجة بياناته الشخصي وذلك بحسب المادة 17 من القانون.
بالإضافة إلى مسألة اللجنة، تتسّم صياغة مشروع القانون بلغة فضفاضة وعامة، كما تشرح المومني، وتحديداً في المادة 15 الخاصة بالاستثناءات، التي تجيز معالجة البيانات الشخصيَّة من دون الحصول على الموافقة الصريحة والموثقة للشخص المعني بالمعالجة، من أجل "التحقيق للمتطلبات الأمنية" و"تحقيق المصلحة العامة" كما يرد في القانون الذي يعطي صلاحية الولوج إلى المعلومات لعدة جهات مثل "القضاء" و"المدعي العام". تفتح هذه الثغرات الباب أمام "معالجة البيانات بطريقة غير مشروعة ومن دون موافقة الشخص المعني، في حين يُعتبر السماح للكثير من الهيئات بالولوج إلى المعلومات وتصفه المومني بأنه "انتهاك للحق الأساسي وينال من روح القانون والغاية منه ويحرمه من حق المواطن في النسيان في حال أراد ذلك". يوضح أبو بكر الأمر بأنّ "ثمّة الكثير من المؤسسات المعنية التي تحتاج البيانات الشخصيَّة حسب طبيعة عملها، من دون الحصول على موافقة مسبقة، مثل استخدام البيانات للأغراض الطبية الوقائية والتي لا يمكن تأجيل المعالجة الى حين أخذ الموافقة المسبقة من الشخص المعني بالمعالجة". يشرح أبو بكر أنّ "القانون أشار إلى ذلك في عدة مواد، منها: المعالجة التي تتم مباشرة من قبل جهة عامة مختصة بالقدر الذي يقتضيه تنفيذ المهام المنوطة بها قانوناً، أو إن كانت ضرورية للأغراض الطبية، وأخيراً إذا كانت ضرورية لمنع جريمة أو لكشفها بناء على قرار قضائي أو لملاحقة الجرائم المرتكبة خلافاً لأحكام القانون".
وفي حالة وجود تعارض بين القانون الساري وسياسة الخصوصية العالمية هذه، يجب على رئيس مسؤولي شؤون الخصوصية وقسم الشؤون القانونية بشركة Cisco اتخاذ قرار مسؤول فيما يتعلق بالإجراء الذي يجب اتخاذه لحل مثل هذا التضارب كما يجب عليه التشاور مع السلطة التنظيمية ذات الصلة في حالات الشك. 3. 3 مبادئ الخصوصية فيما يلي مبادئ رفيعة المستوى تحدد ممارسات Cisco لجمع البيانات الشخصية أو استخدامها أو الكشف عنها أو حفظها أو تأمينها أو الوصول إليها أو نقلها أو معالجتها بأي طريقة أخرى. الإنصاف يجب على Cisco معالجة البيانات الشخصية بطريقة منصفة وقانونية وشرعية وتتسم بالشفافية. تحديد الغرض تقوم شركة Cisco بجمع البيانات الشخصية لغرض (أغراض) محدد وصريح ومشروع. ويجب أن تكون أي عمليات معالجة لاحقة متوافقة مع هذا الغرض (الأغراض)، إلا إذا حصلت Cisco على موافقة الفرد، أو أن المعالجة مسموح بها قانونًا. التناسب تعالج Cisco البيانات الشخصية المناسبة وذات الصلة وغير المبالغ فيها للغرض (الأغراض) الذي تتم معالجته لأجلها. سلامة البيانات يجب أن تحتفظ شركة Cisco ببيانات شخصية دقيقة وكاملة وحديثة حسبما يعد ضروريًا بشكلٍ منطقي للغرض (الأغراض) التي تتم معالجتها لأجلها.