تم تشريع قانون حماية البيانات الشخصية الأردني (PDPL) لضمان حماية خصوصية البيانات الشخصية للأردنيين وتحديد آليات جمع هذه البيانات وكيفية تخزينها ومعالجتها؛ حيث يلزم القانون الشركات بالحصول على موافقة صريحة من العملاء قبل استخدام أو معالجة معلوماتهم. ومع ذلك، أثيرت مخاوف بشأن استخدام شركة المدفوعات والتسوية الأردنية (JoPACC) وشركات الاتصالات بيانات العملاء دون موافقة مسبقة لتسهيل تحويل الأموال عبر خدمات CLIQ؛ حيث أثار التعاون وتشارك البيانات بين مزود خدمة CLIQ وشركات الاتصالات تساؤلات حول ما إذا كانت هذه الممارسات تتعارض مع قانون حماية البيانات الشخصية الأردني، وما الإجراءات التي يجب أن تتخذها الشركات للامتثال للقانون.

 

 

ينص القانون رقم (24) لسنة 2023 قانون حماية البيانات الشخصية في المادة (4) منه على: مع مراعاة المادة 6 من هذا القانون: أ- لكل شخص طبيعي الحق في حماية بياناته ولا يجوز معالجتها إلا بعد الحصول على الموافقة المسبقة للشخص المعني أو في الأحوال المصرح بها قانونا. ومن أجل حماية بيانات الأفراد فلا بد من اتباع طرق عدة: أولاها وأهمها، كما نص على ذلك القانون بشكل صريح، الحصول على إذن صريح؛ حيث يُلزم القانون الشركات بالحصول على إذن صريح وشفاف من صاحب البيانات قبل جمع أو معالجة أو نقل معلوماته الشخصية.

كما نص القانون في المادة الخامسة منه على وجوب تحديد مدة الإذن والأغراض منها، فيجب عند جمع البيانات الشخصية أن تكون محددة الأغراض وصريحة ومشروعة، وعدم معالجتها بشكل يتعارض مع تلك الأغراض وأن ينص بشكل واضح على مدة سريان الإذن بالجمع والمعالجة.

كما يجب أن تكون بيانات المجموعة ملائمة ومرتبطة ومحدودة بما هو ضروري بالنسبة للأغراض التي تُعالج من أجلها. وللشفافية والمساءلة أهمية كبيرة بنظر القانون؛ حيث يتعين على الأطراف التي تجمع بيانات مستخدمي خدماتهم أن تكون إجراءاتهم شفافة بشأن عمليات معالجة البيانات وتضمن حماية البيانات الشخصية.

وبالنظر الى التعاون بين شركة JoPACC مع شركات الاتصالات لتمكين تحويل الأموال عبر خدمات CLIQ، ففي هذه الخدمة، تستخدم الشركة بيانات العملاء لتقديم الخدمة بسرعة، إلا أن المشكلة الرئيسية هنا هي ما إذا كانت JoPACC وشركات الاتصالات تنتهك بنود قانون حماية البيانات الشخصية أم لا من حيث استخدام بيانات العملاء من دون موافقة صريحة، مما قد يخالف مبدأ تحديد الأغراض التي نص عليها القانون.

ويمكن لـJoPACC وشركات الاتصالات تحقيق الامتثال لقانون PDPL من خلال اتباع العديد من الإجراءات لضمان التوافق مع أحكام القانون، وذلك من خلال؛ أولا: الحصول على إذن صريح، فيجب تأمين آليات قوية للحصول على الإذن الصريح من العملاء. ويتضمن ذلك تحديث الشروط والإشعارات ووضع معلومات واضحة وبسيطة حول كيفية استخدام البيانات لخدمات CLIQ.

كما يتوجب تطوير آليات، بحيث يتم استخدام بيانات العملاء فقط إذا وافق العملاء بشكل نشط على ذلك. ومن الممكن استخدام أنظمة إدارة الموافقة؛ فأنظمة إدارة الموافقة تستخدم لتوثيق الموافقات التي يتم الحصول عليها من العملاء على مستوى تفصيلي، ولا بد أن تكون عمليات معالجة البيانات شفافة لضمان إعلام العملاء بكيفية استخدام البيانات.

كما يتوجب تحديث سياسة الخصوصية لتشمل استخدام البيانات ضمن خدمات CLIQ، وإبلاغ العملاء بأي تغييرات في عمليات استخدام البيانات. وهذا يتطلب تدقيقا دوريا، فلا بد من إجراء عمليات تدقيق دورية للبيانات لضمان استخدامها فقط للأغراض المقصودة. كما أن تدقيق ممارسات جمع البيانات من الآليات الواجب اتباعها، وذلك لجمع البيانات الضرورية فقط وتحسين إجراءات الأمان لحماية المعلومات الشخصية من الوصول غير المصرح به أو الاختراق.

بالختام، يبدو أن استخدام JoPACC وشركات الاتصالات لبيانات العملاء في خدمات CLIQ من دون موافقة مسبقة يتعارض مع قانون حماية البيانات الشخصية الأردني. لذا، سيتعين على الشركات الحصول على موافقة صريحة من عملائها، وتحسين الشفافية، وتحديد أغراض استخدام البيانات بوضوح، وضمان وجود آليات حماية قوية للامتثال للقانون. ستساعد هذه الخطوات الشركات على الامتثال لقانون PDPL وكسب ثقة العملاء.