عنوان مدونة واحدة

هذا تعليق واحد على مدونة

الاستحواذ غير القانوني على البيانات الشخصية ونشرها

مدخل

في العصر الرقمي، أصبحت البيانات الشخصية من أهم الأصول القانونية للأفراد. فأسماء الأشخاص، وألقابهم، وأرقام هواتفهم، وأرقام هوياتهم الوطنية، وعناوينهم، وصورهم، وعناوين بريدهم الإلكتروني، وعناوين بروتوكول الإنترنت (IP)، ومعلوماتهم المصرفية، وبياناتهم الصحية، وحساباتهم على مواقع التواصل الاجتماعي، ومعلومات مواقعهم، وسجلات حياتهم الخاصة، تُخزَّن الآن في أنظمة رقمية. ولذلك، فإن الحصول على البيانات الشخصية أو نشرها أو مشاركتها بشكل غير قانوني مع أطراف ثالثة قد يؤثر بشكل مباشر ليس فقط على الحياة الخاصة، بل أيضاً على سمعة الشخص، وأمنه، ووضعه الاقتصادي، وحياته الاجتماعية.

يُعدّ الحصول على البيانات الشخصية ونشرها بطريقة غير مشروعة انتهاكًا خطيرًا بموجب القانون التركي، ويترتب عليه عواقب بموجب القانون الجنائي وقانون حماية البيانات. ومن الأمثلة على ذلك: نشر رقم هاتف شخص ما على وسائل التواصل الاجتماعي، أو استخدام صورته على حساب مزيف، أو مشاركة عنوانه، أو إفشاء معلوماته الشخصية لأطراف ثالثة، أو قيام موظف سابق بنسخ معلومات العملاء، أو اختراق قاعدة بيانات عبر هجمات إلكترونية، أو نشر معلومات خاصة في مجموعات تيليجرام/واتساب.

في تركيا، يكفل الدستور حماية البيانات الشخصية. تنص المادة 20 من الدستور على أن لكل فرد الحق في طلب حماية بياناته الشخصية؛ ويشمل هذا الحق الحق في الاطلاع على البيانات الشخصية، والوصول إليها، وطلب تصحيحها أو حذفها، ومعرفة ما إذا كانت تُستخدم للأغراض المقصودة منها. كما تنص المادة نفسها على أنه لا يجوز معالجة البيانات الشخصية إلا في الحالات المنصوص عليها في القانون أو بموافقة صريحة من صاحبها.

ازدادت أهمية هذه المسألة، لا سيما مع ازدياد استخدام وسائل التواصل الاجتماعي والإنترنت. فاليوم، يُمكن الحصول على البيانات الشخصية أو نشرها بطرق غير قانونية من قِبل الأزواج السابقين أو الشركاء السابقين، أو الموظفين، أو الحسابات المزيفة، لأغراض احتيالية، أو نتيجة لثغرات أمنية في الشركات. لذا، من الضروري أن يعرف ضحايا انتهاكات البيانات الشخصية السبل القانونية المتاحة لهم، والتزامات الشركات، والعقوبات التي قد يواجهها مرتكبو هذه الانتهاكات.

ما هي البيانات الشخصية؟

البيانات الشخصية هي أي معلومات تتعلق بشخص طبيعي محدد أو قابل للتحديد. هذا التعريف واسع النطاق. لكي تُعتبر البيانات بيانات شخصية، لا يشترط بالضرورة أن تكون معلومات تعريفية مباشرة، مثل رقم الهوية الوطنية التركية. أي معلومة تُعرّف شخصًا ما بشكل مباشر أو غير مباشر يمكن اعتبارها بيانات شخصية.

قد تشمل البيانات الشخصية الاسم، واسم العائلة، ورقم الهاتف، والعنوان، وعنوان البريد الإلكتروني، والصورة، ولقطات الكاميرا، والتسجيل الصوتي، وعنوان IP، ولوحة ترخيص السيارة، ومعلومات الحساب المصرفي، ومعلومات بطاقة الائتمان، ورقم العميل، واسم المستخدم، وحساب وسائل التواصل الاجتماعي، ومعلومات الموقع، والمعلومات المهنية، والمعلومات التعليمية، والمعلومات الصحية، والبيانات البيومترية، وبصمة الإصبع، والتوقيع، ومعلومات العائلة، وسجل التسوق.

يُفسَّر مفهوم البيانات الشخصية تفسيراً واسعاً في ممارسات محكمة الاستئناف العليا. فقد نصّ قرار صادر عن الدائرة الجنائية الثانية عشرة في محكمة الاستئناف العليا على أن أي معلومة تخص شخصاً محدداً أو قابلاً للتحديد يمكن أن تُشكّل موضوعاً مادياً للجريمة بموجب المادة 136 من قانون العقوبات التركي؛ وتُعتبر المعلومات الديموغرافية، وأرقام الهواتف، وعناوين البريد الإلكتروني، ومعلومات الحسابات المصرفية، والمعلومات الصحية، وما شابهها من المعلومات، بيانات شخصية. وأكد القرار أن المعلومات المعروفة للجميع أو التي يسهل الوصول إليها يمكن اعتبارها أيضاً بيانات شخصية بالمعنى القانوني.

لذا، فإنّ حججًا مثل "هذه المعلومات كانت متاحةً مسبقًا على الإنترنت"، أو "كان الجميع يعرف رقم الهاتف"، أو "تمّ نشر الصورة على وسائل التواصل الاجتماعي" لا تضمن دائمًا الامتثال القانوني. فمجرد كون المعلومات متاحةً مسبقًا في مكانٍ ما لا يعني إمكانية استخدامها بلا حدود، أو مشاركتها على حسابات أخرى، أو نشرها لأطراف ثالثة. يجب تقييم الغرض من استخدام البيانات الشخصية، ونطاق الموافقة، وسياق المشاركة، وأسس الامتثال القانوني بشكلٍ منفصل.

ما هو الاستحواذ غير القانوني على البيانات الشخصية؟

يشير الاستحواذ غير القانوني على البيانات الشخصية إلى الوصول إلى البيانات الشخصية أو الحصول عليها أو نسخها أو تسجيلها أو نقلها إلى أطراف ثالثة دون موافقة الشخص المعني أو ترخيص قانوني منه. ويمكن أن يتم هذا الاستحواذ رقميًا أو من خلال المستندات الورقية.

على سبيل المثال، يمكن اعتبار النسخ غير المصرح به لدليل الهاتف الخاص بشخص ما، والوصول غير المصرح به إلى حسابات البريد الإلكتروني والمراسلات، والوصول غير المصرح به إلى سجلات المستشفى، ونقل موظف سابق لقائمة عملاء الشركة إلى محرك أقراص USB، والمشاركة غير المصرح بها لنسخ وثائق الهوية، والحصول على معلومات مصرفية عبر رابط مزيف، ونسخ الصور من حسابات وسائل التواصل الاجتماعي، أو تصدير المعلومات من قواعد البيانات، جميعها بمثابة استحواذ غير قانوني على البيانات الشخصية.

لا يشترط بالضرورة أن تكون البيانات سرية أو خاصة لكي تحدث هذه الجريمة. المهم هو أن تتعلق البيانات بشخص حقيقي وأن يتم الحصول عليها بطريقة غير مشروعة. بالطبع، عند التعامل مع بيانات شخصية حساسة، مثل البيانات الصحية، أو بيانات الحياة الجنسية، أو البيانات البيومترية، أو الآراء السياسية، أو المعتقدات الدينية، أو عضوية النقابات العمالية، تزداد خطورة الانتهاك، ويخضع الأمر لتقييم أكثر دقة بموجب القانون الجنائي وقانون حماية البيانات الشخصية.

ما هو النشر غير القانوني للبيانات الشخصية؟

يشمل نشر البيانات الشخصية نقل البيانات الشخصية التي تم الحصول عليها أو امتلاكها إلى أطراف ثالثة، ومشاركتها على وسائل التواصل الاجتماعي، ونشرها على موقع ويب، وإرسالها إلى مجموعات واتساب أو تيليجرام، وتوزيعها على قوائم البريد الإلكتروني، ونشرها على المنتديات، أو جعلها متاحة للآخرين بأي شكل من الأشكال.

على سبيل المثال، قد يشكل نشر رقم هاتف شخص ما على وسائل التواصل الاجتماعي بطريقة تستهدفه، أو الكشف عن عنوانه، أو استخدام صورته على حساب مزيف، أو إرسال معلوماته الشخصية إلى جهات خارجية، أو إعطاء قائمة عملائه لمنافس، أو مشاركة معلومات رواتب الموظفين في مجموعة بريد إلكتروني، أو مشاركة البيانات الصحية للمرضى مع أشخاص غير مصرح لهم، أو نشر المراسلات الخاصة عبر الإنترنت، نشرًا غير قانوني للبيانات الشخصية.

أقرت الدائرة الجنائية الثانية عشرة في محكمة الاستئناف العليا، في قرار يتعلق باستخدام صورة شخصية للضحية على حساب مزيف على وسائل التواصل الاجتماعي، بأنه حتى لو لم تعتبر الصورة صورة تتعلق بالحياة الخاصة، فإنها تشكل بيانات شخصية ويمكن تقييم استخدامها كصورة شخصية على حساب مزيف تم إنشاؤه باسم الضحية في نطاق المادة 136 من قانون العقوبات التركي.

وفي قرار آخر صادر عن الدائرة الجنائية الرابعة لمحكمة الاستئناف العليا، تم ذكر أن نشر الصور التي تم إنشاؤها باستخدام برنامج فوتوشوب مع اسم شخص ما على موقع إلكتروني يشكل جريمة نشر البيانات الشخصية بشكل غير قانوني بموجب المادة 136 من قانون العقوبات التركي؛ وأنه ينبغي تقييم أحكام الجرائم المتزامنة من حيث علاقة الفعل نفسه بجريمة التشهير.

المادة 135 من قانون العقوبات التركي: التسجيل غير القانوني للبيانات الشخصية

تُنظَّم الجرائم المتعلقة بالبيانات الشخصية في قسمٍ مستقل من قانون العقوبات التركي. أول هذه الجرائم هي جريمة تسجيل البيانات الشخصية، المنصوص عليها في المادة 135 من قانون العقوبات التركي. ووفقًا للمادة 135، يُعاقَب بالسجن من سنة إلى ثلاث سنوات كل من يُسجِّل بيانات شخصية بصورة غير قانونية. كما تُضاعف العقوبة إلى النصف إذا كانت البيانات الشخصية تتعلق بآراء الأفراد السياسية أو الفلسفية أو الدينية، أو أصولهم العرقية، أو ميولهم الأخلاقية غير المشروعة، أو حياتهم الجنسية، أو حالتهم الصحية، أو انتماءاتهم النقابية.

يُعدّ فعل "التسجيل" جوهريًا هنا. قد لا يكون الجاني قد نشر البيانات بعد، ولكن إذا قام بتسجيل بيانات شخصية بشكل غير قانوني في نظام أو ملف أو أرشيف أو هاتف أو حاسوب أو ذاكرة فلاش أو قاعدة بيانات، فقد يُطبّق عليه قانون العقوبات التركي، وتحديدًا المادة 135. على سبيل المثال، قد يُعتبر موظف المستشفى الذي يُسجّل معلومات المرضى لأغراض شخصية، أو صاحب العمل الذي يُنشئ أرشيفًا غير قانوني لبيانات خاصة عن موظف، أو الشخص الذي يُدرج معلومات شخصية خاصة بشخص آخر دون إذن، ضمن نطاق هذا القانون.

المادة 136 من قانون العقوبات التركي: الكشف عن البيانات أو نشرها أو الحصول عليها بصورة غير قانونية

تُعدّ المادة 136 من قانون العقوبات التركي (TCK) القاعدة الجزائية الأساسية المتعلقة بالحصول غير المشروع على البيانات الشخصية ونشرها. وبموجب هذه المادة، يُعاقب بالسجن من سنتين إلى أربع سنوات كل من يُعطي أو ينشر أو يحصل بشكل غير مشروع على بيانات شخصية تخص شخصًا آخر. وإذا كان موضوع الجريمة هو أقوال وصور مُسجلة وفقًا للفقرتين الخامسة والسادسة من المادة 236 من قانون الإجراءات الجنائية (CMK)، تُضاعف العقوبة.

تنص المادة 136 من قانون العقوبات التركي على ثلاثة أفعال بديلة: الإعطاء، والنشر، والاستحواذ. الإعطاء هو نقل البيانات الشخصية إلى شخص محدد. النشر هو جعل البيانات متاحة للعامة أو لجمهور أوسع. الاستحواذ هو الحصول على البيانات بطريقة غير مشروعة من قبل الجاني.

في هذه الجريمة، لا يشترط بالضرورة أن تكون للبيانات الشخصية للضحية قيمة اقتصادية. فقد يشمل ذلك رقم الهاتف، أو الصورة، أو العنوان، أو البريد الإلكتروني، أو اسم المستخدم على مواقع التواصل الاجتماعي، أو معلومات الهوية، أو المراسلات الخاصة. ويجب أن يكون الفعل غير قانوني. وتُقيّم حالاتٌ مثل السلطة القانونية، والموافقة الصريحة، واستخدام الأدلة اللازمة في نطاق الدفاع عن النفس، أو النشاط الصحفي المشروع، بشكل منفصل في كل حالة على حدة.

المادة 137 من قانون العقوبات التركي: الظروف المشددة

تنص المادة 137 من قانون العقوبات التركي على تشديد العقوبة في حال ارتكاب جرائم تتعلق بالبيانات الشخصية من قبل أفراد معينين أو باستغلال امتيازات معينة. وإذا ارتكب موظف عام الجرائم المحددة في المادتين 135 و136 من القانون نفسه، وذلك باستغلال السلطة الممنوحة له بحكم منصبه أو باستغلال امتيازات تمنحها له مهنة أو حرفة معينة، تُشدد العقوبة إلى النصف.

يُعدّ هذا البند بالغ الأهمية للمؤسسات العامة، ومنظمات الرعاية الصحية، والبنوك، وشركات المحاماة، وشركات التأمين، وشركات الموارد البشرية، ومراكز الاتصال، وشركات البرمجيات، ومنصات التجارة الإلكترونية، والهيئات المهنية التي تعالج بيانات العملاء. وذلك لأن هؤلاء الأفراد قد يتمتعون بإمكانية الوصول إلى بيانات أكثر من الشخص العادي بحكم مهنتهم أو واجباتهم. ويؤدي إساءة استخدام هذه البيانات إلى عقوبة جنائية أشدّ.

فعلى سبيل المثال، قد يشكل قيام مسؤول حكومي بالاستعلام عن معلومات المواطنين من النظام وتقديمها إلى أطراف ثالثة، أو قيام موظف في مستشفى بنشر معلومات المرضى، أو قيام موظف في بنك بمشاركة معلومات العملاء، أو قيام موظف في شركة بنقل قائمة عملاء إلى منافس، أو قيام محترف باستخدام البيانات التي تم الحصول عليها أثناء أداء واجباته دون إذن، ظرفاً مشدداً بموجب المادة 137 من قانون العقوبات التركي.

المادة 138 من قانون العقوبات التركي: عدم إتلاف البيانات

تنص المادة 138 من قانون العقوبات التركي على تجريم عدم حذف البيانات. وقد يُعرّض عدم قيام المسؤولين عن حذف البيانات من النظام، حتى بعد انقضاء المدد القانونية المحددة، للمساءلة الجنائية. كما ينص حكم صادر عن المحكمة الدستورية على أن المادة 138 من قانون العقوبات التركي تنص على عقوبة السجن لمن يمتنع عن حذف البيانات بعد انقضاء مدة الاحتفاظ القانونية بها.

يُؤكد هذا البند على أهمية جمع البيانات الشخصية بشكل قانوني، وحذفها أو إتلافها بعد انقضاء المدة اللازمة. لذا، تُعدّ سياسات الاحتفاظ بالبيانات وإتلافها، وقوائم جرد البيانات، وفترات الاحتفاظ بها، وسجلات إتلافها، أمورًا بالغة الأهمية للشركات. وعلى وجه الخصوص، لا ينبغي تخزين بيانات الموظفين، وسجلات العملاء، ولقطات الكاميرات، ونماذج الطلبات، وسجلات المواقع الإلكترونية، وبيانات العملاء السابقين إلى أجل غير مسمى.

العلاقة بين قانون حماية البيانات الشخصية والقانون الجنائي

لا يقتصر التحقيق الجنائي بموجب قانون العقوبات التركي على الاستحواذ غير القانوني على البيانات الشخصية ونشرها، بل قد يترتب عليه أيضًا تبعات إدارية وقانونية خاصة بموجب القانون رقم 6698 بشأن حماية البيانات الشخصية. ويفرض هذا القانون التزامات على مراقبي البيانات لمنع المعالجة غير القانونية للبيانات الشخصية، ومنع الوصول غير القانوني إليها، وضمان حفظها.

لذا، إذا سُرّبت بيانات عملاء شركة ما، فإن المسألة لا تقتصر على تحديد الجاني فحسب، بل تتعداها إلى أسئلة أخرى، مثل: هل اتخذت الشركة التدابير التقنية والإدارية اللازمة؟ هل اكتشفت اختراق البيانات في الوقت المناسب؟ هل أبلغت مجلس الإدارة والجهات المعنية؟ هل كانت سياسات أمن البيانات لديها كافية؟ هل تم تقييد صلاحيات وصول الموظفين؟ هل تم الاحتفاظ بسجلات البيانات؟.

ينص قرار مجلس حماية البيانات الشخصية بشأن إجراءات الإبلاغ عن خرق البيانات على أنه إذا تم الحصول على البيانات الشخصية من قبل الآخرين من خلال وسائل غير قانونية، فيجب على مراقب البيانات إخطار صاحب البيانات والمجلس في أسرع وقت ممكن؛ وتفسر عبارة "في أسرع وقت ممكن" على أنها 72 ساعة للإخطار إلى المجلس.

ما هو اختراق البيانات؟

يُعرَّف اختراق البيانات بأنه الاستحواذ غير المصرح به، أو الكشف، أو التعديل، أو الفقدان، أو الحذف، أو جعل البيانات الشخصية غير قابلة للوصول، أو الوصول غير القانوني إليها من قِبل أفراد غير مصرح لهم. ولا يقتصر حدوث اختراقات البيانات على الهجمات الخارجية فقط، بل قد تشمل أيضًا إرسال بريد إلكتروني إلى مُستلم خاطئ، أو الوصول إلى مجلد سحابي مفتوح، أو استمرار موظف سابق في الوصول إلى النظام، أو نقل معلومات العملاء إلى منافس، أو الوصول إلى نظام إدارة علاقات العملاء (CRM) بسبب كلمة مرور ضعيفة، أو الاطلاع على ملفات شخص آخر نتيجة خطأ في المصادقة.

تُظهر الإعلانات الأخيرة المتعلقة باللائحة العامة لحماية البيانات (GDPR) تنوع خروقات البيانات في الواقع العملي. فعلى سبيل المثال، أفاد إعلانٌ عامٌّ صادرٌ عام 2026 بشأن اللائحة العامة لحماية البيانات (GDPR) بأنه تم الحصول على وصول غير مصرح به إلى مطالبات التعويضات الخاصة بأطراف ثالثة نتيجةً لعدم كفاية ضوابط الترخيص والتلاعب بمعلمات الاستعلام على موقع إلكتروني لإحدى الشركات.

وفي بيان آخر صدر عام 2026، أفاد مهاجمون باختراق قواعد بيانات على خادم يُشغّل نظام إدارة علاقات العملاء (CRM) لشركة تجزئة، ما أدى إلى تسريب بيانات الهوية والاتصال، وتأثر نحو 4.5 مليون شخص. تُظهر هذه الأمثلة أن أمن البيانات بالغ الأهمية، ليس فقط لشركات التكنولوجيا الكبرى، بل لجميع الشركات التي تُعالج بيانات العملاء.

نشر البيانات الشخصية على وسائل التواصل الاجتماعي

تُعدّ وسائل التواصل الاجتماعي من أكثر المنصات شيوعاً لنشر البيانات الشخصية بشكل غير قانوني. فمشاركة رقم هاتف شخص ما، أو الكشف عن عنوانه، أو استخدام صورته على حساب مزيف، أو نشر معلوماته الشخصية كمنشور، أو مشاركة لقطات شاشة لمراسلاته الخاصة، أو نشر معلوماته الشخصية بهدف استهدافه، كلها أمور قد تؤدي إلى المسؤولية الجنائية.

الخطأ الأكثر شيوعًا هنا هو افتراض أن "ملف تعريف الشخص مُتاح للعامة". فمجرد وجود صورة شخص ما على ملفه الشخصي في وسائل التواصل الاجتماعي لا يعني أنه يُمكنه استخدامها على حساب مزيف أو توزيعها على جهات خارجية لأغراض أخرى. فالموافقة والسياق والغرض من الاستخدام هي العوامل الحاسمة.

على سبيل المثال، قد يُعتبر استخدام صورة الضحية المأخوذة من حسابها على إنستغرام في حساب مواعدة مزيف، أو مشاركة رقم هاتفها مع رسالة "مضايقتها"، أو الكشف عن عنوانها أثناء جدال، أو نشر بياناتها الشخصية بغرض تنظيم عملية قتل جماعي، مخالفاً للمادة 136 من قانون العقوبات التركي. كما قد يُصنّف هذا الفعل ضمن جرائم الإهانة، أو التهديد، أو الابتزاز، أو انتهاك الخصوصية.

الفرق بين جريمة البيانات الشخصية وانتهاك الخصوصية

في الواقع العملي، غالباً ما يُخلط بين المادتين 136 و134 من قانون العقوبات التركي. تنظم المادة 136 الإفصاح غير القانوني عن البيانات الشخصية أو نشرها أو الحصول عليها. أما المادة 134، فتنظم جريمة انتهاك خصوصية الحياة الخاصة. ليس كل انتهاك للبيانات الشخصية يُعدّ انتهاكاً لخصوصية الحياة الخاصة، ولكن في بعض الحالات، قد تتداخل الجريمتان.

على سبيل المثال، قد يُعتبر استخدام صورة شخصية لشخص يرتدي ملابس عادية على حساب مزيف نشرًا غير قانوني للبيانات الشخصية، وليس انتهاكًا للخصوصية. في المقابل، يمكن اعتبار مشاركة صور شخصية خاصة، أو مراسلات خاصة، أو صور من منزل الشخص، أو معلومات صحية، أو بيانات تتعلق بحياته الجنسية، انتهاكًا للخصوصية وجريمة تتعلق بالبيانات الشخصية.

يُعدّ هذا التمييز بالغ الأهمية لإجراء التحقيق على النحو الأمثل وتحديد طبيعة الجريمة بدقة. فبدلاً من الاكتفاء بوصف الحادثة في الشكوى بعبارة "انتهكت خصوصيتي" أو "تم نشر بياناتي الشخصية"، ينبغي أن تُحدد الشكوى بوضوح البيانات التي تم الحصول عليها، وكيفية الحصول عليها، وأين تمت مشاركتها، ومن استلمها، وطبيعتها.

ماذا ينبغي على الضحية أن تفعل؟

يجب على الأفراد الذين تم الحصول على بياناتهم الشخصية أو نشرها بطريقة غير قانونية، أولاً وقبل كل شيء، الحفاظ على الأدلة. يجب تسجيل منشورات وسائل التواصل الاجتماعي، ولقطات الشاشة، والروابط الإلكترونية، وأسماء المستخدمين، والتواريخ والأوقات، والرسائل، وعناوين البريد الإلكتروني، وأرقام الهواتف، والمجموعة أو المنصة التي تم النشر عليها، والشهود، وأي طلبات دفع أو ابتزاز.

إذا نُشر المحتوى على وسائل التواصل الاجتماعي أو موقع إلكتروني، فقد لا يكفي مجرد التقاط صورة للشاشة. يجب تسجيل الرابط الكامل، ومعلومات الملف الشخصي للحساب الذي شارك المحتوى، وتاريخ النشر، وما إذا كان الحساب عامًا، والسياق الذي نُشرت فيه البيانات. من المهم جمع الأدلة قبل أن يُغلق الجاني حسابه أو يحذف المحتوى.

يمكن بعد ذلك تقديم شكوى جنائية إلى النيابة العامة. قد تتضمن الشكوى طلبًا بتقييم المواد ذات الصلة من قانون العقوبات التركي، ولا سيما المادة 136، ولكن أيضًا، بحسب الظروف، المواد 135، 137، 138، 134، 125، 106، 107، 243، أو 244. في حال كان الجاني مجهولًا، يجب تقديم طلبات للحصول على سجلات عناوين IP وسجلات الاتصال من منصة التواصل الاجتماعي، ومعلومات تخصيص عناوين IP من مزود خدمة الإنترنت، ومعلومات الخطوط من مشغلي شبكات GSM، والمواد الرقمية لفحصها من قبل خبير.

إجراءات تقديم الشكاوى وتحقيق النيابة العامة

إن جريمة الكشف غير القانوني عن البيانات الشخصية أو نشرها أو الحصول عليها، كما هو مُعرَّف في المادة 136 من قانون العقوبات التركي، لا تُعدّ عمومًا جريمةً تستوجب تقديم شكوى. ولذلك، يجوز للنيابة العامة أن تبدأ تحقيقًا تلقائيًا بمجرد علمها بارتكاب الجريمة. ومع ذلك، من الأهمية بمكان لضمان فعالية التحقيق أن يُقدِّم الضحية شكوى جنائية مُفصَّلة، وأن يُقدِّم الأدلة، وأن يُحدِّد طلبات مُحدَّدة للتحقيق.

ينبغي أن يركز تحقيق النيابة العامة بشكل خاص على ما يلي: كيف تم الحصول على البيانات الشخصية؟ من قام بمشاركة البيانات؟ على أي منصة تمت المشاركة؟ كم عدد الأشخاص الذين اطلعوا على البيانات؟ هل البيانات لا تزال متاحة؟ هل حساب الجاني حقيقي أم مزيف؟ لمن ترتبط سجلات عناوين IP؟ إذا تم تسريب البيانات من نظام شركة، فهل تعاني الشركة من ثغرة أمنية؟ هل الشخص الذي شارك البيانات مسؤول حكومي، أو موظف، أو شخص لديه صلاحيات وصول مهنية؟

تُحدد الإجابات على هذه الأسئلة تصنيف الجريمة ونطاق المسؤولية الجنائية. فعلى سبيل المثال، لا يُعتبر قيام مستخدم عادي لوسائل التواصل الاجتماعي بمشاركة رقم هاتف الضحية بنفس خطورة قيام موظف عام بإعطاء معلومات عنوان مُستقاة من النظام إلى طرف ثالث. في الحالة الثانية، قد يُطبّق الشكل المُشدّد للجريمة المنصوص عليه في المادة 137 من قانون العقوبات التركي.

التزامات الشركات بأمن البيانات

غالباً ما يرتبط الاستحواذ غير القانوني على البيانات الشخصية بثغرات أمنية في الشركات. تعالج مواقع التجارة الإلكترونية، والمؤسسات الصحية، وشركات التأمين، والبنوك، والمؤسسات التعليمية، وشركات الموارد البشرية، وشركات البرمجيات، ومراكز الاتصال كميات هائلة من البيانات الشخصية. لذا، من الضروري اتخاذ التدابير التقنية والإدارية اللازمة لحماية هذه البيانات.

وفقًا لقانون حماية البيانات الشخصية التركي، يلتزم مراقبو البيانات باتخاذ التدابير اللازمة لضمان مستوى مناسب من الأمان لمنع المعالجة غير القانونية للبيانات الشخصية والوصول غير المصرح به إليها، ولضمان حفظها. وتؤكد الهيئة أن تدابير أمن البيانات يجب تحديدها وفقًا لهيكل وأنشطة ومخاطر كل مراقب بيانات، ولا يمكن فرض نموذج واحد موحد.

في هذا السياق، يتعين على الشركات اتخاذ تدابير مثل تفويض الوصول، وكلمات المرور القوية، والمصادقة متعددة العوامل، وتسجيل السجلات، والتشفير، وإخفاء البيانات، والنسخ الاحتياطي، واختبار الاختراق، وتدريب الموظفين، والالتزام بالسرية، واتفاقيات معالجة البيانات، وسياسات الاحتفاظ بالبيانات وإتلافها، وخطط الاستجابة لاختراقات البيانات. وإلا، ففي حال حدوث اختراق للبيانات، لن يواجه المهاجم وحده المسؤولية الإدارية والقانونية، بل سيواجهها أيضاً مراقب البيانات الذي لم يتخذ الاحتياطات اللازمة.

الإبلاغ عن اختراق البيانات وقاعدة الـ 72 ساعة

إذا علم مسؤول حماية البيانات أن بيانات شخصية قيد المعالجة قد تم الحصول عليها من قبل جهات أخرى بطرق غير مشروعة، فعليه إخطار صاحب البيانات وهيئة حماية البيانات الشخصية في أسرع وقت ممكن. ووفقًا لقرار الهيئة رقم 2019/10، يجب إخطار الهيئة، كقاعدة عامة، في غضون 72 ساعة من العلم بالانتهاك.

يجب أن يتضمن الإخطار تحديد وقت وقوع الاختراق، ووقت اكتشافه، وفئات البيانات المتأثرة، وعدد المتضررين، ومصدر الاختراق، والإجراءات المتخذة، وكيفية إبلاغ المتضررين، وقنوات التواصل التي يمكنهم من خلالها تلقي معلومات حول الاختراق. كما يشترط نموذج إخطار الاختراق في قانون حماية البيانات الشخصية تقديم تفسير للتأخير إذا تجاوزت مدة الإبلاغ 72 ساعة.

قد يُعدّ التأخير في الإبلاغ سببًا لفرض عقوبات على مراقب البيانات. في أحد ملخصات قرارات قانون حماية البيانات الشخصية الصادر عام 2026، ذُكر أنه إذا قام مراقب البيانات بإخطار أصحاب البيانات بتأخير 17 شهرًا، وقام المجلس بتأخير 10 أشهر، فإن ذلك يتجاوز "أقصر مدة" ويُعتبر خرقًا لأمن البيانات.

الحق في التعويض

يحق للأفراد الذين تم الحصول على بياناتهم الشخصية أو نشرها بشكل غير قانوني، بالإضافة إلى الإجراءات الجنائية، المطالبة بتعويضات عن الأضرار المادية والمعنوية. وقد يكون نشر البيانات الشخصية قد أضر بسمعة الضحية، أو أخلّ بعلاقاته المهنية، أو عرّض سلامته للخطر، أو تسبب له بأضرار اقتصادية، أو أدى إلى ضائقة نفسية.

يُستحق التعويض المالي عند إثبات وقوع ضرر ملموس. على سبيل المثال، في حال حدوث خسارة مالية نتيجة إساءة استخدام المعلومات الشخصية، أو سحب أموال باستخدام بيانات مصرفية، أو خسارة تجارية نتيجة نشر قائمة عملاء، يُمكن المطالبة بتعويض مالي. أما الأضرار غير المالية، فتنشأ في حالات مثل انتهاك الحقوق الشخصية، والإضرار بالخصوصية، وفقدان السمعة، والإخلال بالأمن والسلم.

بموجب المادة 11 من قانون حماية البيانات الشخصية، يحق للأفراد طلب حذف بياناتهم الشخصية أو تصحيحها، أو تصحيحها إذا كانت ناقصة أو غير دقيقة، ومعرفة الغرض من معالجتها، والمطالبة بالتعويض عن الأضرار الناجمة عن المعالجة غير القانونية. لذا، ينبغي على المتضرر النظر في سبل التعويض المتاحة في القانون الجنائي، وقانون حماية البيانات الشخصية، والقانون المدني في آن واحد.

كيف ينبغي جمع الأدلة؟

تُعدّ عملية جمع الأدلة بالغة الأهمية في حالات اختراق البيانات الشخصية، إذ يُمكن حذف المحتوى الرقمي بسرعة، وإغلاق الحسابات، وتغيير أسماء المستخدمين، أو نشر البيانات على منصات مختلفة. لذا، يجب على الضحية أولاً جمع أدلة تتوافق مع القانون.

في حال وجود منشور على وسائل التواصل الاجتماعي، يجب تسجيل الرابط الكامل، ولقطة الشاشة، وتسجيل الشاشة، واسم المستخدم، ورابط الملف الشخصي، وتاريخ ووقت النشر، ومحتوى المنشور، ومن يمكنه الوصول إليه. في حال وجود مجموعة على واتساب أو تيليجرام، يجب الحصول على اسم المجموعة، وعدد المشاركين، ومحتوى الرسالة، وتاريخها. في حال وجود بريد إلكتروني، يجب حفظ نص البريد الإلكتروني ومعلومات ترويسة البريد الإلكتروني. في حال وجود منشور على موقع إلكتروني، يجب الحصول على رابط الصفحة، وتاريخ النشر، وإذا أمكن، توثيق رسمي أو من خبير.

لا يجوز استخدام أساليب غير قانونية عند جمع الأدلة. كما أن الوصول غير المصرح به إلى حساب شخص آخر، أو فحص هاتفه سرًا، أو اختراق كلمات المرور، أو الوصول غير المصرح به إلى الأنظمة الخاصة، قد يُعرّض الضحية لمخاطر جنائية. يجب على الضحية توثيق المحتوى الذي تراه على حسابها، أو الذي يُرسل إليها، أو الذي تصل إليه علنًا، توثيقًا قانونيًا.

الدفاع من منظور المشتبه به أو المتهم

يتطلب التصدي لجرائم البيانات تحليلاً فنياً وقانونياً. أولاً، يجب التحقق مما إذا كانت المعلومات المتداولة تشكل بيانات شخصية، وما إذا كانت البيانات تتعلق بشخص حقيقي، وما إذا كان من الممكن تحديد هوية الضحية، وما إذا تم الحصول على البيانات بطريقة غير قانونية، وما إذا كان الجاني قد تصرف عن قصد.

في بعض الحالات، قد تتم مشاركة البيانات بموافقة صريحة من الضحية. وفي حالات أخرى، قد تتم مشاركة البيانات بسبب التزام قانوني. وفي بعض الأحيان، قد تنشأ أسس قانونية كالحق في الإبلاغ، والحق في المطالبة والدفاع، والمصلحة المشروعة، أو تقديم الأدلة في المحاكمة. إلا أن هذه الأسس ليست مطلقة. فحجة الشرعية أضعف، لا سيما في حالات الاستهداف، والتشهير العلني، والانتقام، أو تحقيق مكاسب اقتصادية على وسائل التواصل الاجتماعي.

من وجهة نظر محامي الدفاع، يجب فحص سجلات بروتوكول الإنترنت، وملكية الحساب، واستخدام الجهاز، ومن قام بمشاركة البيانات، ومن كان على علم بالبيانات سابقاً، وما إذا تم الحصول على الأدلة بشكل قانوني، وما إذا كان العنصر العقلي للجريمة قد تم استيفاؤه بعناية.

خاتمة

يُعدّ الحصول على البيانات الشخصية ونشرها بطريقة غير مشروعة من أبرز قضايا القانون الجنائي وقانون الإنترنت في العصر الرقمي. ويترتب على الحصول على بيانات مثل أرقام الهواتف، والعناوين، والصور، ومعلومات الهوية، والبيانات المصرفية، والمعلومات الصحية، وحسابات وسائل التواصل الاجتماعي، وعناوين بروتوكول الإنترنت، ورسائل البريد الإلكتروني، أو المراسلات الخاصة، أو الكشف عنها لأطراف ثالثة، أو نشرها عبر الإنترنت دون موافقة أو ترخيص قانوني، عواقب قانونية وخيمة.

بحسب قانون العقوبات التركي، تنظم المادة 135 التسجيل غير القانوني للبيانات الشخصية، والمادة 136 الكشف غير القانوني عن البيانات الشخصية أو نشرها أو الحصول عليها، وتتناول المادة 137 الظروف المشددة، بينما تنظم المادة 138 جريمة عدم إتلاف البيانات. إضافةً إلى ذلك، وبحسب تفاصيل كل حالة، قد تُطبق جرائم أخرى مثل انتهاك الخصوصية، والتشهير، والتهديد، والابتزاز، والدخول غير المصرح به إلى نظام معلومات، والاحتيال، أو تعطيل النظام.

وفقًا لقانون حماية البيانات الشخصية التركي، يلتزم مراقبو البيانات باتخاذ التدابير التقنية والإدارية اللازمة لمنع المعالجة غير القانونية للبيانات الشخصية والوصول غير المصرح به إليها. وفي حال حدوث خرق للبيانات، قد يكون هناك التزام بإخطار مجلس الإدارة والأفراد المعنيين. وتُعدّ سياسات أمن البيانات، والاحتفاظ بها، وإتلافها، وتفويض الوصول إليها، وسجلات البيانات، وتدريب الموظفين، وخطط الاستجابة لخرق البيانات، أمورًا بالغة الأهمية، لا سيما بالنسبة للشركات.

إن أهم خطوة بالنسبة للضحية هي الحفاظ السريع والقانوني على الأدلة. يجب تسجيل المنشورات، والروابط الإلكترونية، ولقطات الشاشة، والرسائل، وأسماء المستخدمين، ومعلومات التاريخ والوقت، وغيرها من الآثار الرقمية؛ ثم تقديم شكوى جنائية مفصلة إلى النيابة العامة، وإذا لزم الأمر، ينبغي النظر في طلبات تطبيق قانون حماية البيانات الشخصية، وإزالة المحتوى، والمطالبة بالتعويض.

ختاماً، لا ينبغي النظر إلى انتهاكات البيانات الشخصية على أنها مجرد منشور على الإنترنت أو تسريب بيانات روتيني. فالبيانات الشخصية جزء أساسي من الهوية الرقمية للفرد وحياته الخاصة. لذا، في حال الادعاءات المتعلقة بالحصول على البيانات الشخصية ونشرها بشكل غير قانوني، من الأهمية بمكان التعامل مع هذه القضية باحترافية، مع مراعاة القانون الجنائي، واللائحة العامة لحماية البيانات (GDPR)، وقانون تقنية المعلومات، والأدلة الرقمية، وجوانب التعويض.

أضف تعليقًا

زر الاتصال الآن