"بياناتك الشخصية فى أمان".. القانون يحظر جمعها أو إفشاءها إلا بموافقة صاحبها.. تجريم معالجتها بطريقة تدليسية.. و12 التزاما على المُتحكم فى مقدمتها إمساك سجل خاص بالبيانات.. والإبلاغ الفورى عن حالات الاختراق

القانون يحظر جمع بياناتك الشخصية

كتبت نورا فخرى

الأحد، 11 أكتوبر 2020 04:00 ص

حماية البيانات الشخصية لطالما تبدأ من المعالجة وجمعها، لذا حرص القانون الذي أصدره الرئيس عبد الفتاح السيسي برقم 151 لسنة 2020 علي وضع ضوابط حاسمة تصل لتُجريم جمع البيانات الشخصية بطرق غير مشروعة أو بدون موافقة أصحابها، وتجريم معالجتها بطرق تدليسية أو غير مطابقة للأغراض المُصرح بها من قبل صاحب البيانات، مع وضع التزامات على المتحكم والمعالج في البيانات ليضمن تطبيق معايير حوكمة تكنولوجيا المعلومات داخل المؤسسات المختلفة ويحد من عمليات انتهاك خصوصية البيانات الشخصية.

ويعرف القانون "المتحكم" بأنه شخص طبيعي أو اعتباري يكون له بحكم أو طبيعة عمله الحق في الحصول علي البيانات الشخصية وتحديد طريقة وأسلوب ومعايير الاحتفاظ بها أو معالجتها والتحكم فيها طبقا للغرض المُحدد أو نشاطه، أما "المعالج" فهو شخص طبيعي أو اعتباري مختص بطبيعة عمله بمعالجة البيانات الشخصية لصالحه أو لصالح المتحكم بالاتفاق معه ووفقا لتعليماته.

كما نظم القانون، نقل ومعالجة البيانات عبر الحدود بما يعود بالنفع على المواطنين وعلى الاقتصاد القومي بما يسهم في حماية الاستثمارات والأعمال، كما يتوافق مع المعايير الدولية في مجالات حماية البيانات الشخصية، وذلك من خلال قواعد ومعايير واشتراطات يضعها، ويباشر الإشراف عليها المركز المنشأ لهذا الغرض.

وفي هذا الصدد، جاء القانون رقم 151 لسنة 2020 بالنص بشكل واضح علي عدم جواز جمع البيانات الشخصية أو معالجتها أو الإفصاح عنها أو إفشائها بأي وسيلة من الوسائل إلا بموافقة صريحة من صاحب البيانات أو في الأحوال المصرح بها قانونا، مع التأكيد علي 6 حقوق للشخص صاحب البيانات في مقدمتها العلم بالبيانات الشخصية الخاصة به الموجودة لدي أي حائز أو متحكم أو معالج والاطلاع عليها والوصول إليها أو الحصول عليها، التصحيح أو التعديل أو المحو أو الإضافة أو التحديث للبيانات، تخصيص المعالجة في نطاق محدد، الاعتراض علي معالجة البيانات الشخصية أو نتائجها متى تعارضت مع الحقوق والحريات الأساسية للشخص المعني بالبيانات.

ومنحة القانون حقا هام، حيث العدول عن الموافقة المسبقة علي الاحتفاظ ببياناته الشخصية أو معالجتها، وكذا العلم والمعرفة بأي انتهاك أو خرق بياناته.

وحسب القانون، فأنه باستثناء البند الخاص بالمعرفة بأي انتهاك أو خرق، يؤدي الشخص المعني بالبيانات مقابل تكلفة الخدمة المقدمة إليه من (المتحكم أو المعالج) فيما يخص ممارسته لحقوقه، و يتولى مركز حماية البيانات المزمع إنشاؤه تحديد هذا المقابل بما لا يجاوز 20 ألف جنيه.

إذن ماهي الشروط التي يجب توافرها لجمع البيانات الشخصية ومعالجتها والاحتفاظ بها؟ أن تٌجمع البيانات الشخصية لأغراض مشروعة ومحددة ومعلقة للشخص المعني، أن تكون صحيحة وسليمة ومؤمنة، أن تُعالج بطريقة مشروعة وملائمة للأغراض التي تم تجميعها من أجلها، ألا يتم الاحتفاظ بها لمدة أطول من المدة اللازمة للوفاء بالغرض المحدد لها.

وفي فصل متكامل جاءت التزامات كلا من "المتحكم" و"المعالج" فضلا عن "شروط المعالجة"، وكيفية التعامل حال العلم بوجود خرق في البيانات الشخصية، ويأتي في مقدمة الالتزامات التي وضعها القانون علي المتحكم الحصول علي البيانات الشخصية أو تلقيها من الحائز أو من الجهات المختصة بتزويده بها بعد موافقة الشخص المعني بالبيانات أو الأحوال المصرح بها قانونا، التأكد من صحة البيانات الشخصية واتفاقها وكفايتها مع الغرض المحدد لجمعها، وضع طريقة وأسلوب ومعايير المعالجة طبقا للغرض المحدد مالم يقرر تفويض المعالج في ذلك بموجب تعاقد مكتوب، اتخاذ جميع الإجراءات اللازمة لحماية البيانات وتأمينها حفاظا على سريتها وعدم اخترقاها، محو البيانات لديه فور انقضاء الغرض المحدد منها.

كما ألزم القانون "المتحكم" بإمساك سجل خاص للبيانات علي أن يتضمن وصف فئات البيانات الشخصية لدية وتحديد من سيفصح لهم عن هذه البيانات أو يتحيها لهم وسنده والمدة الزمنية وقيودها ونطاقها وآليات محو البيانات لدية أو تعديلها أو أي بيانات أخرى متعلقة بنقل البيانات عبر الحدود ووصف الاجراءات التقنية والتنظيمية الخاصة بأمن البيانات، والحصول علي ترخيص أو تصريح من مركز حماية البيانات.

في المقابل وضع القانون 12 إلتزاما علي المعالج في مقدمتها أن تكون أغراض المعالجة وممارستها مشروعة ولا تخالف النظام العام أو الاداب العامة، عدم تجاوز الغرض المحدد للمعالجة ومدتها، ويجب إخطار المتحكم أو الشخص المعني بالبيانات أو كل ذي صفة، بحسب الأحوال، بالمدة اللازمة للمعالجة، القيام بعمل أو الامتناع عن عمل يكون من شأنه إتاحة البيانات الشخصية أو نتائج المعالجة إلا في الأحوال بها قانونا، عدم إلحاق أي ضرر بالشخص المعني بالبيانات بشكل مباشر أو غير مباشر، فضلا عن إعداد سجل خاص بعمليات المعالجة لديه، علي أن يتضمن فئات المعالجة التي يجريها نيابة عن أي متحكم وبيانات الاتصال به ومسئول حماية البيانات لديه، والمدد الزمنية للمعالجة وقيودها ونطاقها وآليات محو أو تعديل البيانات الشخصية لديه، ووصفاً للإجراءات التقنية والتنظيمية الخاصة بأمن البيانات وعملية المعالجة.

وألزم القانون المعالج خارج جمهورية مصر العربية بتعيين ممثلاً له في جمهورية مصر العربية.

ولكن كيف تعامل القانون مع اختراق البيانات الشخصية خاصة المتعلقة باعتبارات الأمن القومي ، يجيب عن ذلك المادة (7) والتي ألزمت كل من المتحكم والمعالج، بحسب الأحوال، حال علمه بوجود خرق أو انتهاك للبيانات الشخصية لديه بإبلاغ مركز حماية البيانات الشخصية خلال 72 ساعة من تاريخ وفي حاله كان هذا الخر ق أو الانتهاك متعلقا باعتبارات حماية الأمن القومي فيكون الإبلاغ فوريا، وعلي المركز وفي جميع الأحوال إخطار جهات الأمن القومى بالواقعة فوزا.

كما يلتزم كلا منها، بموافاته خلال اثنين وسبعين ساعة من تاريخ الإبلاغ بما يأتى : وصف طبيعة الخرق أو الانتهاك، وصورته وأسبابه والعدد التقريبي للبيانات الشخصية وسجلاتها، بيانات مسئول حماية البيانات الشخصية لديه، الآثار المحتملة لحادث الخرق أو الانتهاك، وصف الإجراءات المتخذة والمقترح تنفيذها لمواجهة هذا الخرق أو الانتهاك والتقليل من آثاره السلبية، توثيق أى خرق أو انتهاك للبيانات الشخصية، والإجراءات التصحيحية المتخذة لمواجهته، أية وثائق أو معلومات أو بيانات يطلبها المركز.

ووفقا للمادة، فإنه يجب علي كلا من المتحكم والمعالج إخطار الشخص المعني بالبيانات خلال 3 أيام عمل من تاريخ الابلاغ وماتم اتخاذه من إجراءات.

ووفقا للمادة القانونية، فإنه فى جميع الأحوال يجب على المتحكم والمعالج، بحسب الأحوال، إخطار الشخص المعني بالبيانات خلال 3 أيام عمل من تاريخ الإبلاغ وما تم اتخاذه من إجراءات. وتحدد اللائحة التنفيذية لهذا القانون الإجراءات الخاصة بالإبلاغ والإخطار.