Listed On

corporate law firms in Egypt - corporate law firms in Egypt
The Legal 500 EMEA
logo
mobile logo
09 مارس
0 Comments

قانون حماية البيانات الشخصية داخل جمهورية مصر العربية

Posted by cxxsx
in مدونة
قانون حماية البيانات الشخصية

شهد العقد الأخير تحولات جوهرية في البيئة الرقمية العالمية، حيث أصبحت البيانات الشخصية تمثل أصلًا اقتصاديًا ذا قيمة استراتيجية، و في الوقت ذاته عنصرًا حساسًا يرتبط ارتباطًا وثيقًا بالحقوق الدستورية للأفراد، و على رأسها الحق في الخصوصية.

و في هذا السياق، صدر في مصر القانون رقم 151 لسنة 2020 بشأن حماية البيانات الشخصية، ليؤسس لأول مرة إطارًا تشريعيًا متكاملًا ينظم عمليات جمع و معالجة و تخزين و نقل البيانات الشخصية، و يضع منظومة رقابية و عقابية تهدف إلى تحقيق التوازن بين متطلبات الاقتصاد الرقمي و ضمانات حماية الحقوق الفردية.

أولًا: الأساس الدستوري و التشريعي لحماية البيانات

يندرج قانون حماية البيانات الشخصية في إطار الحماية الدستورية للخصوصية، حيث قرر الدستور المصري صراحة حرمة الحياة الخاصة و سرية المراسلات و الاتصالات. و يُعد القانون رقم 151 لسنة 2020 تجسيدًا تشريعيًا لهذه الحماية في البيئة الرقمية.

و قد تبنى المشرع المصري نموذجًا تنظيميًا يجمع بين:

  1. حماية حقوق صاحب البيانات؛
  2. تنظيم التزامات المتحكم و المعالج؛
  3. إنشاء جهة رقابية متخصصة (مركز حماية البيانات الشخصية
  4. تقرير نظام عقابي ذي طبيعة جنائية و إدارية.

ثانياً: التعريفات

رسخت المادة (1) من القانون في داخلها بعض التعريفات المتعلقة بمضمون هذا القانون لتوضيح أي غموض يتعلق بقراءة القانون و التي سنقتبس منها بعض التعريفات و هي كالأتي:

  • البيانات الشخصية: أي بيانات متعلقة بشخص طبيعي محدد، أو يمكن تحديده بشكل مباشر أو غير مباشر عن طريق الربط بين هذه البيانات و أي بيانات أخرى كالاسم، أو الصوت، أو الصورة، أو رقم تعريفي، أو محدد للهوية عبر الإنترنت، أو أي بيانات تحدد الهوية النفسية، أو الصحية، أو الاقتصادية، أو الثقافية، أو الاجتماعية.
  • المعالجة: أي عملية إلكترونية أو تقنية لكتابة البيانات الشخصية، أو تجميعها، أو تسجيلها، أو حفظها، أو تخزينها، أو دمجها، أو عرضها، أو إرسالها، أو استقبالها، أو تداولها، أو نشرها، أو محوها، أو تغييرها، أو تعديلها، أو استرجاعها أو تحليلها و ذلك باستخدام أي وسيط من الوسائط أو الأجهزة الإلكترونية أو التقنية سواء تم ذلك جزئيا أو كليا.
  • الحائز: أي شخص طبيعي أو اعتباري، يحوز و يحتفظ قانونيا أو فعليا ببيانات شخصية في أي صورة من الصور، أو على أي وسيلة تخزين سواء أكان هو المنشئ للبيانات، أم انتقلت إليه حيازتها بأي صورة.
  • المتحكم: أي شخص طبيعي أو اعتباري يكون له بحكم أو طبيعة عمله، الحق في الحصول على البيانات الشخصية و تحديد طريقة و أسلوب و معايير الاحتفاظ بها، أو معالجتها و التحكم فيها طبقا للغرض المحدد أو نشاطه.
  • المعالج: أي شخص طبيعي أو اعتباري مختص بطبيعة عمله، بمعالجة البيانات الشخصية لصالحه أو لصالح المتحكم بالاتفاق معه و وفقا لتعليماته.
  • خرق و انتهاك البيانات الشخصية: كل دخول غير مرخص به إلى بيانات شخصية أو وصول غير مشروع لها، أو أي عملية غير مشروعة لنسخ أو إرسال أو توزيع أو تبادل أو نقل أو تداول يهدف إلى الكشف أو الإفصاح عن البيانات الشخصية أو إتلافها أو تعديلها أثناء تخزينها أو نقلها أو معالجتها.

ثالثاً: نطاق تطبيق القانون

حدد القانون نطاق تطبيقه على كل من يقوم بجمع بمعالجة بيانات شخصية او الاحتفاظ بها، كليًا أو جزئيًا، بواسطة وسائل إلكترونية.

كما أن المادة (3) من القانون حددت الشروط الواجب توافرها في هذه الحالات و هي:

  • أن تجمع البيانات الشخصية لأغراض مشروعة و محددة و معلنة للشخص المعني.
  • أن تكون صحيحة و سليمة و مؤمنة.
  • أن تعالج بطريقة مشروعة و ملائمة للأغراض التي تم تجميعها من أجلها.
  • ألا يتم الاحتفاظ بها لمدة أطول من المدة اللازمة للوفاء بالغرض المحدد لها.

و تحدد اللائحة التنفيذية لهذا القانون السياسات و الإجراءات و الضوابط و المعايير القياسية للجمع و المعالجة و الحفظ و التأمين لهذه البيانات.

طبقاً للمادة (2) من اللائحة التنفيذية رقم 151 لسنة 2020 بشأن حماية البيانات الشخصية يكون جمع البيانات الشخصية و معالجتها و حفظها و تأمينها وفقا للضوابط و المعايير القياسية و الإجراءات و السياسات الآتية:

1- الضوابط و المعايير القياسية

  • أن يكون القائم بجمع البيانات الشخصية حاصل على ترخيص أو تصريح بوصفه متحكما أو معالجا، و ذلك دون الإخلال بالالتزامات المقررة من الجهات المختصة بمزاولة أعمال النشاط.
  • ألا يتم جمع البيانات الشخصية إلا بعد الحصول على موافقة من الشخص المعنى بها و إعلانه بالغرض من جمعها بطريقة واضحة، و يعد إدلاء الشخص الطبيعي ببياناته الشخصية تنفيذا لتلقى خدمات أو معاملات مشروعة بمثابة موافقة على الحصول على البيانات و معالجتها لهذا الغرض، و لا يجوز استخدام هذه البيانات الأغراض أخرى خلاف ذلك إلا بموافقة مسبقة.
  • الحصول على موافقة المركز على الآليات المستخدمة في جمع البيانات الشخصية، و آلية الحصول على موافقة الشخص المعنى بالبيانات أو ولي أمره في حالة بيانات الأطفال.
  • تحديد المدة الزمنية اللازمة للاحتفاظ بالبيانات الشخصية المجمعة وفقا للغرض من جمعها.

التزام القائمين على جمع البيانات الشخصية بالحفاظ على سريتها و عدم استخدامها أو تداولها أو الإفصاح عنها بأي صورة من الصور إلا للأسباب المقررة قانونا و وفقا للترخيص أو التصريح الصادر في هذا الشأن.

2- الإجراءات و السياسات

  • إعلام الشخص المعنى بالبيانات بحقوقه وفق المادة (2) من القانون.
  • اتخاذ الإجراءات و البرامج التأمينية الصادرة عن المركز و الواجب اتباعها بشأن تأمين البيانات الشخصية بما في ذلك الأجهزة و الوسائط المستخدمة.
  • الاعتماد في سياسات العمل على إعداد سجل إلكتروني مؤمن يتضمن قيد الآتي:
  1. موافقة الشخص المعنى بالبيانات، و تاريخ صدور هذه الموافقة، و الصورة التي صدرت عليها وصف فئات البيانات الشخصية التي يتم جمعها و نطاق استخدامها.
  2. المدة الزمنية اللازمة للاحتفاظ بكل فئة من فئات البيانات الشخصية على حدة، و ارتباطها بالغرض من ذلك.
  3. الإجراءات التنظيمية و التقنية التي يتم اتباعها بشأن تأمين البيانات بما يتيح للمركز إجراء التفتيش الدوري و التحقق من التزام المرخص أو المصرح له بذلك.

رابعاً: التزامات المتحكم و المعالج

1. المتحكم

ألزمت المادة (4) من القانون المتحكم بعدد من الواجبات، و اهمها:

  • الحصول على البيانات الشخصية أو تلقيها بعد موافقة الشخص المعنى بالبيانات، أو في الأحوال المصرح بها قانونا.
  • التأكد من صحة البيانات الشخصية و اتفاقها و كفايتها مع الغرض المحدد لجمعها.
  • وضع طريقة و أسلوب و معايير المعالجة طبقا للغرض المحدد، ما لم يقرر تفويض المعالج في ذلك بموجب تعاقد مكتوب.
  • التأكد من انطباق الغرض المحدد من جمع البيانات الشخصية لأغراض معالجتها.
  • القيام بعمل أو الامتناع عن عمل يكون من شأنه إتاحة البيانات الشخصية إلا في الأحوال المصرح بها قانونا.
  • اتخاذ جميع الإجراءات التقنية و التنظيمية و تطبيق المعايير القياسية اللازمة لحماية البيانات الشخصية و تأمينها حفاظا على سريتها، و عدم اختراقها أو إتلافها أو تغييرها أو العبث بها قبل أي إجراء غير مشروع.
  • محو البيانات الشخصية لديه فور انقضاء الغرض المحدد منها، أما في حال الاحتفاظ بها لأي سبب من الأسباب المشروعة بعد انتهاء الغرض، فيجب ألا تبقى في صورة تسمح بتحديد الشخص المعنى بالبيانات.
  • تصحيح أي خطأ بالبيانات الشخصية فور إبلاغه أو علمه به.
  • إمساك سجل خاص للبيانات، على أن يتضمن وصف فئات البيانات الشخصية لديه، و تحديد من سيفصح لهم عن هذه البيانات أو يتيحها لهم و سنده و المدد الزمنية و قيودها و نطاقها و آليات محو البيانات الشخصية لديه أو تعديلها و أي بيانات أخرى متعلقة بنقل تلك البيانان الشخصية عبر الحدود و وصف الإجراءات التقنية و التنظيمية الخاصة بأمن البيانات.
  • الحصول على ترخيص أو تصريح من المركز للتعامل مع البيانات الشخصية.
  • يلتزم المتحكم خارج جمهورية مصر العربية بتعيين ممثل له في جمهورية مصر العربية و ذلك على النحو الذي تبينه اللائحة التنفيذية.
  • توفير الإمكانيات اللازمة لإثبات التزامه بتطبيق أحكام هذا القانون و تمكين المركز من التفتيش و الرقابة للتأكد من ذلك.

و فى حال وجود أكثر من متحكم يلتزم كل منهم بجميع الالتزامات المنصوص عليها في هذا القانون، و للشخص المعنى ممارسة حقوقه تجاه كل متحكم على حدة.

و تحدد اللائحة التنفيذية لهذا القانون السياسات و الإجراءات و الضوابط و المعايير الفنية لتلك الالتزامات.

2. المعالج

ألزمت المادة (5) من القانون، المعالج بمعالجة البيانات وفق تعليمات المتحكم، و تأمينها، و الاحتفاظ بسجل للمعالجة.

و يظهر من ذلك أن المسؤولية لا تقع على عاتق المتحكم وحده، بل تمتد إلى المعالج، مما يعزز فكرة “سلسلة الامتثال”. و حددت الالتزامات كالاتي:

  • إجراء المعالجة و تنفيذها طبقا للقواعد المنظمة لذلك بهذا القانون و لائحته التنفيذية و وفقا للحالات المشروعة و القانونية و بناء على التعليمات المكتوبة الواردة إليه من المركز أو المتحكم أو من أي ذي صفة بحسب الأحوال، و بصفة خاصة فيما يتعلق بنطاق عملية المعالجة و موضوعها و طبيعتها و نوع البيانات الشخصية و اتفاقها و كفايتها مع الغرض المحدد له.
  • أن تكون أغراض المعالجة و ممارستها مشروعة، و لا تخالف النظام العام أو الآداب العامة.
  • عدم تجاوز الغرض المحدد للمعالجة و مدتها، و يجب إخطار المتحكم أو الشخص المعني بالبيانات أو كل ذي صفة، بحسب الأحوال، بالمدة اللازمة للمعالجة.
  • محو البيانات الشخصية بانقضاء مدة المعالجة أو تسليمها للمتحكم.
  • القيام بعمل أو الامتناع عن عمل يكون من شأنه إتاحة البيانات الشخصية أو نتائج المعالجة إلا في الأحوال المصرح بها قانونا.
  • عدم إجراء أي معالجة للبيانات الشخصية تتعارض مع غرض المتحكم فيها أو نشاطه إلا إذا كان ذلك بغرض إحصائي أو تعليمي ولا يهدف للربح ودون الإخلال بحرمة الحياة الخاصة.
  • حماية و تأمين عملية المعالجة و الوسائط و الأجهزة الإلكترونية المستخدمة في ذلك و ما عليها من بيانات شخصية.
  • عدم إلحاق أي ضرر بالشخص المعني بالبيانات بشكل مباشر أو غير مباشر.
  • إعداد سجل خاص بعمليات المعالجة لديه، على أن يتضمن فئات المعالجة التي يجريها نيابة عن أي متحكم و بيانات الاتصال به و مسئول حماية البيانات لديه، و المدد الزمنية للمعالجة و قيودها و نطاقها و آليات محو البيانات الشخصية لديه أو تعديلها، و وصفا للإجراءات التقنية و التنظيمية الخاصة بأمن البيانات و عمليات المعالجة.
  • توفير الإمكانيات لإثبات التزامه بتطبيق أحكام هذا القانون عند طلب المتحكم و تمكين المركز من التفتيش و الرقابة للتأكد من التزامه بذلك.
  • الحصول على ترخيص أو تصريح من المركز للتعامل على البيانات الشخصية.
  • يلتزم المعالج خارج جمهورية مصر العربية بتعيين ممثل له في جمهورية مصر العربية و ذلك على النحو الذي تبينه اللائحة التنفيذية.

و في حال وجود أكثر من معالج، يلتزم كل منهم بجميع الالتزامات المنصوص عليها في هذا القانون و ذلك في حال عدم وجود عقد يحدد التزامات و مسئوليات كل منهم بوضوح.

و تحدد اللائحة التنفيذية لهذا القانون السياسات و الإجراءات و الضوابط و الشروط و التعليمات و المعايير القياسية لتلك الالتزامات.

خامساً: إخطار اختراق البيانات

يلتزم كل من المتحكم و المعالج بحسب الأحوال حال علمه بوجود خرق أو انتهاك للبيانات الشخصية لديه بإبلاغ المركز خلال اثنتين و سبعين ساعة، و في حال كان هذا الخرق أو الانتهاك متعلقا باعتبارات حماية الأمن القومي فيكون الإبلاغ فوريا، و على المركز و في جميع الأحوال إخطار جهات الأمن القومي بالواقعة فورا، كما يلتزم بموافاة المركز خلال اثنتين و سبعين ساعة من تاريخ علمه بما يأتي:

  1. وصف طبيعة الخرق أو الانتهاك، و صورته و أسبابه و العدد التقريبي للبيانات الشخصية و سجلاتها.
  2. بيانات مسئول حماية البيانات الشخصية لديه.
  3. الآثار المحتملة لحادث الخرق أو الانتهاك.
  4. وصف الإجراءات المتخذة و المقترح تنفيذها لمواجهة هذا الخرق أو الانتهاك و التقليل من آثاره السلبية.
  5. توثيق أي خرق أو انتهاك للبيانات الشخصية، و الإجراءات التصحيحية المتخذة لمواجهته.
  6. أي وثائق أو معلومات أو بيانات يطلبها المركز.

و في جميع الأحوال يجب على المتحكم و المعالج، بحسب الأحوال، إخطار الشخص المعني بالبيانات خلال ثلاثة أيام عمل من تاريخ الإبلاغ و ما تم اتخاذه من إجراءات.

و اخيراً يمثل القانون رقم 151 لسنة 2020 إطارًا حديثًا لحماية البيانات الشخصية في مصر، قائمًا على حماية حقوق الأفراد و تنظيم التزامات الجهات المعالجة للبيانات. و مع بدء تطبيقه الفعلي، أصبح الامتثال له ضرورة قانونية و مؤسسية لضمان بيئة رقمية آمنة و متوازنة.