خلال هذا الأسبوع أعلنت شركة أمازون أنها تلقت قرار من لجنة لوكسمبورغ الوطنية (CNPD) لحماية البيانات الشخصية بتغريمها مبلغ وقدره 746 مليون يورو بسبب المعالجة غير القانونية للبيانات الشخصية، ولانتهاكها قواعد اللائحة الأوروبية العامة لحماية البيانات (GDPR) وعدم حصولها علي موافقة المستخدمين بطريقة حرة على معالجة بياناتهم الشخصية. وعلى الرغم من رفض امازون للقرار وتعليقها أنها ستقوم باستئنافه، إلا أن القرار يتعلق بالطريقة والكيفية التي يتم بناء عليها عرض الإعلانات للمستخدمين، ومدي اتفاق تلك الطريقة مع القواعد والإجراءات القانونية المتعلقة بحماية الخصوصية.
من المعروف أن اللائحة الأوروبية لحماية البيانات الشخصية تسري منذ مايو 2018 وتقوم هيئات حماية البيانات في أوروبا بفرض غرامات مالية ضخمة على عدد كبير من الشركات بسبب انتهاكات خصوصية البيانات، وعلى الرغم من وجود غرامات بالملايين علي عدد من الشركات مثل الخطوط الجوية البريطانية وجوجل وغيرهم، إلا أن الغرامة التي قررتها لجنة لوكسمبورغ الوطنية (CNPD) لحماية البيانات الشخصية على شركة أمازون هي أكبر غرامة تم إصدارها على الإطلاق، ومن المعروف ان اللائحة الأوروبية تسمح لهيئات حماية البيانات بفرض غرامات تصل إلى 20 مليون يورو أو 4 % من إيرادات الشركة أيهما أكبر.
ومن المعروف أن هذه الغرامة جاءت نتيجة شكوى جماعية في عام 2019 قدمتها مجموعة حقوق الخصوصية الفرنسية La Quadrature du Net نيابة عن 10000 شخص آخر، معللة ذلك بأن نظام استهداف الإعلانات الذي فرضته أمازون يتم تنفيذه بدون موافقة حرة وصريحة من قبل المستخدمين. هذا وقد خضعت أمازون للتدقيق والمراجعة من قبل لجنة حماية البيانات في السنوات الأخيرة بحثاً عن الكم الهائل من البيانات التي جمعتها على مجموعة من المستخدمين والشركاء، بما في ذلك التجار المستقلين الذين يبيعون في سوق البيع بالتجزئة، ومستخدمي مساعدها الرقمي Alexa والمتسوقين الذين يخبرهم تاريخ تصفحهم وشرائهم بما يحدث. وفيما يبدو ان لجنة لوكسمبورغ الوطنية (CNPD) لحماية البيانات الشخصية قد قررت أن تكون أكثر قسوة وشراسة في تحديد قيمة الغرامة المالية بعد أن خفت صوت هيئات حماية البيانات خلال العام الماضي نتيجة covid19.
هذا وتعكس إجراءات لجنة لوكسمبورغ الوطنية (CNPD) لحماية البيانات الشخصية مستوي عالي من النضج في تطبيق القانون والتوقع بأن الخصوصية أصبحت الآن على مائدة المعاملات التجارية في أوروبا بشكل واسع النطاق، وهو أمر ضروري وهام لإجبار الشركات والمؤسسات التجارية على تصحيح ممارساتها، واحترام بيانات المستخدمين بشكل أفضل، ومواجهة العقوبات المفروضة على عدم الامتثال للقانون، وخاصة على مستوي موافقة صاحب البيانات على استخدام بياناتهم ومعالجتها. ومن المعروف أن هذه الحالة لم يكن هناك أي خرق للبيانات ولم يتم الكشف عن بيانات المستخدمين لأي طرف ثالث، وأن أمازون قررت أثناء التحقيقات أنها تجمع البيانات لتحسين تجربة المستخدمين، وتضع إرشادات تحكم ما يمكن للموظفين فعله بها، إلا أن ذلك غير متوافق مع القانون نظراً لان الشركة قد استخدمت ما تعرفه عن المستخدمين لمنح نفسها ميزة غير عادلة في السوق.
وعلى الصعيد المصري، نجد أن قانون حماية البيانات الشخصية قد تناول حقوق الشخص صاحب البيانات وإلزام الشركات والمؤسسات بعدم جمع أو معالجة البيانات الشخصية إلا بعد موافقة صاحبها، وكذا حظر القانون اعمال استخدام البيانات الشخصية في التسويق الإلكتروني المباشر إلا بموافقة صاحب البيانات. وكذا الزم الشركات والمؤسسات بتعيين مسئول لحماية البيانات الشخصية تكون وظيفته التأكد من تطبيق القانون والاشراف على إجراءات الامتثال في مؤسسته. كما فرض القانون غرامات مالية تصل إلي خمسة ملايين جنيه في حال عدم الامتثال او مخالفة القواعد القانونية والفنية الواردة في القانون.
وللحديث بقية!
بقلم د. محمد حجازي، استشاري تشريعات التحول الرقمي والابتكار والملكية الفكرية