دليل حماية البيانات للشركات

مقدمة

في يوليو 2020، صدر قانون حماية البيانات الشخصية رقم 151 لسنة 2020، وهو القانون المعني بحماية البيانات الشخصية المعالجة إلكترونيًّا. ينظم القانون الالتزامات والمسؤوليات التي تقع على الأفراد والجهات التي قد تحوز البيانات الشخصية للمستخدمين. لكن بعض من هذه الالتزامات والمسؤوليات يمكن اعتباره مؤجل لحين إصدار اللائحة التنفيذية للقانون والتي كان من المفترض أن تصدر بعد ستة أشهر من تاريخ العمل بالقانون، حيث أحالت مواد القانون عددًا كبيرًا من الجوانب الإجرائية إلى اللائحة التنفيذية ومن بينها بعض الالتزامات القانونية المتعلقة بحماية البيانات.

من الجدير بالذكر أيضًا أن التأخير في إصدار اللائحة التنفيذية للقانون تسبب في تعطيل تشكيل مركز حماية البيانات المختص بإصدار التراخيص اللازمة للجهات التي تقوم بأنشطة جمع وتخزين ومعالجة البيانات.

يسعى هذا الدليل إلى توضيح الفئات المخاطبة بقانون حماية البيانات الشخصية، وشرح الالتزامات التي تُفرض بمجرد إصدار القانون والمسؤوليات الفنية المرتبطة باللائحة التنفيذية للقانون التي لم تصدُر بعد. كما يتناول الدليل أنواع التراخيص المختلفة اللازمة لممارسة أنشطة جمع أو معالجة أو تخزين البيانات، والتفرقة بين أنواع البيانات الشخصية المختلفة التي تستلزم درجات مختلفة من الحماية، وكذلك الأنشطة المستثناة من قانون حماية البيانات الشخصية.

ما الفرق بين أنواع التراخيص اللازم الحصول عليها لممارسة نشاط معالجة البيانات؟ وما هي الجهة المسؤولة عن إصدارها؟

يختص مركز حماية البيانات، الذي لم يتم تشكيله بعد، وحده دون غيره بإصدار كافة التراخيص/التصاريح والموافقات المرتبطة بأنشطة جمع ومعالجة البيانات الشخصية.

تحتاج بعض الأنشطة إلى جمع ومعالجة البيانات بشكل مستمر، مثل أنشطة التسويق الإلكتروني، والتي لا يمكن ممارستها دون الحصول على تصريح أو ترخيص بمزاولة النشاط، بينما تحتاج بعض الأنشطة إلى جمع ومعالجة البيانات بشكل مؤقت أو عرضي، حيث لا يقوم نشاط الشركة أو الجهة بالأساس على جمع ومعالجة البيانات لكن قد تلجأ الشركة إلى ذلك لأسباب متعددة من بينها تطوير أنشطة الشركة وقراءة خارطة المهتمين بمنتجات وخدمات الشركة. يوضح الجدول التالي الاختلاف بين أنواع التراخيص ومن له حق الحصول عليها الأنشطة المصرح بها والشروط والمستندات المطلوبة للحصول على التراخيص.

بعض الشرورط والضوابط المتعلقة بالحصول على ترخيص جمع ومعالجة البيانات وفقًا لقانون حماية البيانات الشخصية رقم 151 لسنة 2020


إذا كان الفرق بين التصريح والترخيص يتعلق بالمدة وطبيعة الكيان القانوني الذي يحق له الحصول على أي منهم، فما هي التراخيص/التصاريح النوعية التي يجب الحصول عليها؟

يمكن للشركة أو الشخص الذي يقوم بمعالجة البيانات أن يحصل على تصريح إذا كان الهدف القيام بمهمة لا تتجاوز سنة، أو ترخيص إذا كانت الشركة او الجهة تقوم بنشاط حمع ومعالجة البيانات بشكل مستمر. يوجد أنواع مختلفة للتراخيص أو التصاريح التي تصدر من مركز حماية البيانات وتختلف متطلبات الحصول على أي منهم وفقًا لشروط وضوابط تحددها اللائحة التنفيذية التي لم تصدر بعد.

  • الترخيص أو التصريح لإجراء عمليات حفظ البيانات والتعامل عليها ومعالجتها بشكل عام.
  • التراخيص أو التصاريح الخاصة بالتسويق الإلكتروني المباشر.
  • التراخيص أو التصاريح الخاصة بالمعالجات التي تقوم بها الجمعيات أو النقابات أو النوادي للبيانات الشخصية لأعضاء تلك الجهات وفي إطار أنشطتها.
  • التراخيص أو التصاريح الخاصة بوسائل المراقبة البصرية في الأماكن العامة.
  • التراخيص أو التصاريح الخاصة بالتحكم ومعالجة البيانات الشخصية الحساسة.
  • التصاريح والاعتمادات الخاصة بالجهات والأفراد التي تتيح لهم تقديم الاستشارات في إجراءات حماية البيانات الشخصية وإجراءات الامتثال لها.
  • التراخيص والتصاريح الخاصة بنقل البيانات الشخصية عبر الحدود.

ما هي الأسباب التي قد تؤدي إلى إلغاء التراخيص أو التصاريح أو الاعتمادات؟

يحق للجهة مصدرة الترخيص/التصريح/الاعتماد، وهي مركز حماية البيانات الشخصية، أن تقوم بإلغاء الترخيص أو التصريح أو الاعتماد بعد إصداره في أي من الحالات التالية:

  • مخالفة شروط الترخيص أو التصريح أو الاعتماد.
  • عدم سداد رسوم تجديد الترخيص أو التصريح أو الاعتماد.
  • تكرار عدم الامتثال لقرارات مركز حماية البيانات.
  • التنازل عن الترخيص أو التصريح أو الاعتماد للغير دون موافقة مركز حماية البيانات.
  • صدور حكم بإفلاس المتحكم أو المعالج.

ما هي الجهات والشركات المُلزَمة بقواعد وإجراءات قانون حماية البيانات؟

يطبق قانون حماية البيانات الشخصية على كل شخص أو جهة أو كيان تقوم بجمع  أو معالجة أو حيازة البيانات الشخصية للأشخاص الطبيعية. يمكن أن تكون هذه الجهة منشأة فردية أو شركة من شركات الأموال أو شركات الأشخاص أو الأندية أو الجمعيات والمؤسسات وغيرها من الأشكال القانونية التي تمارس إحدى المهن التي بحكم طبيعتها تقوم بجمع أو معالجة أو حيازة البيانات الشخصية.


ما هي طبيعة البيانات التي في حالة جمعها أو تخزينها أو حيازتها يلزم التقيد بأحكام قانون حماية البيانات الشخصية؟

يوفر قانون حماية البيانات الشخصية مظلة حماية للبيانات الشخصية للأشخاص الطبيعين فقط. يعني هذا بمفهوم المخالفة أن القانون لن يُطبَق على البيانات التي يتم جمعها أو تخزينها أو معالجتها للأشخاص الاعتبارية، مثل بيانات الشركات والمؤسسات والجمعيات الأهلية والأندية والروابط وغيرها من الكيانات.


ما هو تاريخ نفاذ القانون؟ وما هي العلاقة بين نفاذ القانون وتوفيق الأوضاع المرتبط بصدور اللائحة التنفيذية؟

دخل قانون حماية البيانات الشخصية حيز التطبيق الفعلي بمرور 3 أشهر على تاريخ إصداره، أي في 13 أكتوبر 2020. يعني هذا أنه من الممكن بالفعل مسائلة الأشخاص والكيانات التي يخاطبها القانون في حالة ارتكابهم جرائم يعاقب عليها القانون.

لكن يوجد فارق بين تاريخ نفاذ القانون والمواعيد الخاصة بتوفيق الأوضاع. ينص القانون على ضرورة اتخاذ إجراءات توفيق الأوضاع خلال سنة من تاريخ صدور اللائحة التنفيذية، والتي لم تصدر حتى كتابة هذه السطور. يعني هذا أنه لا يمكن المسائلة عن جميع الأحكام التي تم النص عليها في القانون وتقترن بضوابط فنية تم إحالتها إلى اللائحة التنفيذية.

على سبيل المثال، يعاقب قانون حماية البيانات الشخصية بعقوبة مالية لا تقل عن خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه إذا لم تلتزم الجهات المخاطبة بالقانون بالتقيد بضوابط الحصول على التراخيص أو التصاريح اللازمة والمتعلقة بنشاط جمع ومعالجة البيانات الشخصية. هذا النص يعد غير قابل للتطبيق في الوقت الحالي لارتباطه بشكل مباشر بصدور اللائحة التنفيذية التي تتضمن الضوابط والإجراءات المتعلقة بالحصول على التراخيص أو التصاريح، بالإضافة  إلى عدم تشكيل الجهة المعنية بإصدار هذه التراخيص وهي مركز حماية البيانات.

في حالات أخرى يمكن تطبيق قواعد القانون بشكل مباشر دون الحاجة إلى صدور اللائحة التنفيذية، مثل عقوبة الحبس مدة لا تقل عن ثلاثة شهور و/أو بغرامة لا تقل عن خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه، لكل حائز أو متحكم أو معالج جمع أو أتاح أو تداول أو عالج أو أفشى أو خزن أو نقل أو حفظ بيانات شخصية حساسة بدون موافقة الشخص المعني بالبيانات أو في غير الأحوال المصرح بها قانونًا.


ما هي الجهات والأنشطة المستثناة من تطبيق قواعد وشروط قانون حماية البيانات الشخصية؟

توجد بعض الجهات المستثناة بالكامل من تطبيق قواعد وأحكام قانون حماية البيانات الشخصية، وهي محددة على سبيل الحصر. تلك الجهات هي جهات الأمن القومي والبنك المركزي والجهات التابعة له. أما فيما يتعلق بالأنشطة المستثناة من تطبيق أحكام القانون فهي أيضًا تم ذكرها على سبيل الحصر، كالتالي:

  • البيانات الشخصية التي يحتفظ بها الأشخاص الطبيعيون للغير والتي يتم معالجتها للاستخدام الشخصي. وهو ما يعني أن معالجة الأشخاص الطبيعية لبيانات الغير لغير الأغراض الشخصية، الأغراض التجارية على سبيل المثال، لا تدخل ضمن البيانات المستثناة من تطبيق أحكام القانون.
  • البيانات الشخصية التي تتم معالجتها بشكل حصري للأغراض الإعلامية بشرط أن تكون هذه البيانات صحيحة ودقيقة.
  • البيانات الشخصية التي تتم معالجتها بغرض الحصول علي البيانات الإحصائية الرسمية أو تطبيقًا لنص قانوني، وهو ما يعني أنه إذا كان هناك بعض الأنشطة التي ينظم عملها قوانين أخرى تلزمها بمعالجة البيانات فهي معفاة من التقيد بأحكام وشروط قانون حماية البيانات.

إذا كانت جهة أو شركة تدير أحد الأنشطة المستثناة من قانون حماية البيانات الشخصية، هل يعني هذا أنها معفاة بالكامل من أحكام القانون؟

يتوقف هذا على طبيعة الأنشطة التي تمارسها هذه الجهات. على سبيل المثال، إذا كانت الشركة تقوم بمعالجة البيانات الشخصية لأغراض إعلامية بالإضافة إلى معالجة بيانات أخرى تتعلق بأغراض دعائية أو تجارية في نفس الوقت، فتكون الشركة في تلك الحالة ملزمَة بالحصول على ترخيص/تصريح والتقيد بكامل أحكام القانون للبيانات الشخصية التي يتم معالجتها في غير الأغراض الإعلامية.


ما هي أهم القواعد والشروط التي يجب التقيد بها أثناء عملية معالجة البيانات الشخصية لتجنب المسائلة القانونية؟

توجد بعض القواعد التي يفضل الالتزام بها لتجنب العقوبات المنصوص عليها بقانون حماية البيانات الشخصية، وهي:

  • ضرورة الحصول على موافقة صريحة من الأشخاص في حالة جمع بياناتهم الشخصية أو معالجتها أو الإفصاح عنها أو إفشائها.
  • يجب أن تكون عملية معالجة البيانات لسبب مشروع ومعلن، أي أن تكون المعالجة مرتبطة بالنشاط المرخص له بذلك، وأن تكون المعالجة وفقًا لأحكام القانون.
  • ينصح بأن تتم عملية المعالجة في نطاق محدد وواضح.
  • يجب أن يتم إخطار العملاء بأي خرق أو انتهاك لبياناتهم الشخصية.
  • عدم الاحتفاظ بالبيانات لمدة أطول من المدة اللازمة للوفاء بالغرض المحدد لها.
  • التأكد من صحة البيانات التي يتم معالجتها.
  • اتخاذ جميع الإجراءات التقنية والتنظيمية اللازمة لحماية البيانات الشخصية وتأمينها للحفاظ علي سريتها.
  • محو البيانات الشخصية فور انقضاء الغرض المحدد منها. وفي حال الاحتفاظ بها لأي سبب من الأسباب المشروعة بعد انتهاء الغرض فيجب ألا تبقي في صورة تسمح بتحديد الشخص المعني بالبيانات.

ما هي الطلبات التي يمكن أن يطلبها أحد العملاء الذين تتم معالجة بياناتهم وفقًا لقانون حماية البيانات الشخصية؟

البيانات الشخصية التي يتم جمعها أو تخزينها أو معالجتها هي ليست ملك للشخص أو الشركة أو الجهة التي تقوم بذلك، وبالتالي للشخص الذي يتم معالجة بياناته أن يطلب التالي:

  • يحق للعميل أن يطلب معرفة البيانات الشخصية الخاصة به والاطلاع عليها والوصول إليها أو الحصول عليها.
  • يحق للعميل أن يتراجع عن الموافقة الصريحة المسبقة علي الاحتفاظ ببياناته الشخصية أو معالجتها.
  • يحق للعميل أن يطلب تصحيح أو تعديل أو محو أو إضافة أو تحديث بياناته الشخصية.

هل يمكن للشركة أو الجهة التي ينطبق عليها أحكام قانون حماية البيانات الشخصية الاستعانة بمتخصصين للقيام بالشروط والضوابط المنصوص عليها بالقانون؟

يُلزِم قانون حماية البيانات الشخصية الممثل القانوني للشخص الاعتباري لأي متحكم أو معالج بأن يعين داخل كيانه القانوني وهيكله الوظيفي موظفًا مختصًا مسئولاً عن حماية البيانات الشخصية، وأن يقيد مسئول حماية البيانات في سجل خاص بمركز حماية البيانات الشخصية الذي لم يتم إنشائه بعد.

وظيفة مسئول حماية البيانات هي وظيفة استحدثها قانون حماية البيانات الشخصية ولكن لا يمكن الجزم بشكل واضح بطبيعة هذه المهنة لغياب اللائحة التنفيذية للقانون، إلا أنها بطبيعة الحال تجمع بين الطابع التقني والإداري، وفقًا للمهام المكلف بها.

يعني هذا أن الشركات أو الجهات أو الأشخاص الاعتبارية ملزَمة بتعيين شخص أو إدارة معنية بالإجراءات والقواعد المتعلقة بتطبيق القانون والآثار المترتبة عليه، ولكن لم يوضح القانون إذا ما كان يمكن للشركات أن تستعين بمتخصصين من خارج الشركة لحماية البيانات. قد تنظم اللائحة التنفيذية التي لم تصدر بعد الاستعانة بمتخصصين من الخارج أو تؤكد على التزام كل شركة بتعيين مسئول لحماية البيانات.

أما في حالة كون نشاط معالجة البيانات يتم من خلال شخص طبيعي فيكون الشخص الطبيعي هو المسئول عن تطبيق قواعد وإجراءات القانون بنفسه دون الحاجة للاستعانة بمسئول حماية البيانات.


ما هي مهام ومسئوليات مسئول حماية البيانات؟

يُلزِم قانون حماية البيانات الشخصية الشركة أو الجهة التي تقوم بمعالجة البيانات بإمساك سجل خاص للبيانات. قيد وتحديث هذا السجل هو أحد مهام مسئول حماية البيانات ضمن مهام أخرى. ويتضمن سجل البيانات الآتي:

  • وصف فئات البيانات الشخصية
  • تحديد من سيفصح لهم عن هذه البيانات أو يتيحها لهم
  • سنده والمدد الزمنية وقيودها ونطاقها
  • آليات محو البيانات الشخصية لديه أو تعديلها
  • أي بيانات أخري متعلقة بنقل تلك البيانات الشخصية عبر الحدود
  • وصف الإجراءات التقنية والتنظيمية الخاصة بأمن البيانات

مسئول حماية البيانات يعد مسئولًا عن تنفيذ أحكام القانون ولائحته التنفيذية وقرارات مركز حماية البيانات، ومراقبة الإجراءات المعمول بها، و الإشراف عليها، بالإضافة إلى تلقي الطلبات المتعلقة بالبيانات الشخصية داخل إطار عمل الشركة أو الجهة. كما ينص القانون على مهام محددة لمسئول حماية البيانات، وهي:

  • القيام بإجراءات التقييم والفحص الدوري لنظم حماية البيانات الشخصية ومنع اختراقها ، وتوثيق نتائج التقييم وإصدار التوصيات اللازمة لحمايتها.
  •  العمل كنقطة اتصال مباشرة مع مركز حماية البيانات وتنفيذ قراراته.
  • تمكين الشخص المعني بالبيانات من ممارسة حقوقه المنصوص عليها في قانون حماية البيانات الشخصية.
  • إخطار مركز حماية البيانات في حال وجود أي خرق أو انتهاك للبيانات الشخصية لديه.
  • الرد علي الطلبات المقدمة من الشخص المعني بالبيانات أو كل ذي صفة، والرد علي مركز حماية البيانات في التظلمات المقدمة إليه.
  • متابعة القيد والتحديث لسجل البيانات الشخصية لدي المتحكم أو سجل عمليات المعالجة لدي المعالج، بما يكفل ضمان دقة البيانات والمعلومات المقيدة به.
  • إزالة أي مخالفات متعلقة بالبيانات الشخصية داخل الشركة أو الجهة، واتخاذ الإجراءات التصحيحية حيالها.
  • تنظيم البرامج التدريبية اللازمة لموظفي الشركة أو الجهة.

ما المقصود بالبيانات الحساسة؟ وما هي أنواعها؟

البيانات الشخصية الحساسة هي نوع من البيانات ذو طبيعة خاصة. ويسعى قانون حماية البيانات الشخصية لفرض صور إضافية لحماية هذا النوع من البيانات أثناء عملية جمعها وتخزينها ومعالجتها لأن الكشف عنها قد يسبب ضرر بالغ بالمستخدم. حدد القانون أنواع البيانات الحساسة على سبيل الحصر، وهي:

  •  البيانات التي تُفصِح عن الصحة النفسية أو العقلية أو البدنية أو الجينية.
  •  البيانات القياسات الحيوية “البيومترية”.
  •  البيانات المالية.
  •  بيانات المعتقدات الدينية أو الآراء السياسية أو الحالة الأمنية.
  •  كافة البيانات المتعلقة بالأطفال.

ما هي المسؤوليات الإضافية المتعلقة بجمع ومعالجة البيانات الحساسة؟

يوجد عدد من المسؤوليات الإضافية التي يجب مراعتها أثناء جمع أو تخزين أو معالجة البيانات الحساسة، وبالأخص للشركات والجهات التي تقدم خدمات مالية أو طبية أو تتعلق بالأطفال بشكل عام. يمكن توضيح هذه المسؤوليات في نقاط محددة:

  • يجب الحصول على ترخيص/تصريح خاص من مركز حماية البيانات بجمع البيانات الشخصية الحساسة أو نقلها أو تخزينها أو حفظها أو معالجتها أو إتاحتها سواء كان المتحكم أو المعالج  شخصًا طبيعيا أو اعتباريًا.
  • إذا لم يكن هناك نصًا قانونيًا يلزم بجمع البيانات أومعالجتها، يَلزم الحصول علي موافقة كتابية وصريحة من الشخص المعني، موضحًا بها طبيعة البيانات التي سوف يتم جمعها أو معالجتها.
  • في حالة إجراء أي عملية جمع  أو معالجة بيانات تتعلق ببيانات الأطفال، يلزم موافقة ولي الأمر. وفي كل الأحوال يجب ألا تكون مشاركة الطفل في لعبة أو مسابقة أو أي نشاط آخر مشروطة بتقديم بيانات شخصية للطفل تزيد علي ما هو ضروري للمشاركة في ذلك.
  • التقيد بالمعايير والإجراءات التأمينية الخاصة لعدم خرق البيانات الشخصية الحساسة أو انتهاكها.

مخالفة الضوابط المتعلقة بجمع البيانات الشخصية الحساسة أو نقلها أو تخزينها أو حفظها أو معالجتها أو إتاحتها، قد يترتب عليها عقوبة الحبس مدة لا تقل عن ثلاثة شهور  وقد تصل إلى ثلاث ثلاث سنوات، و/أو بغرامة لا تقل عن خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه.


كيف عرَّف القانون نشاط التسويق الإلكتروني؟ وما هي ضوابط ممارسة هذا النشاط؟

عرَّف قانون حماية البيانات الشخصية مصطلح التسويق الإلكتروني بأنه “إرسال أي رسالة أو بيان أو محتوي إعلاني أو تسويقي بأي وسيلة تقنية أيًا كانت طبيعتها أو صورتها تستهدف بشكل مباشر أو غير مباشر ترويج سلع أو خدمات أو التماسات أو طلبات تجارية أو سياسية أو اجتماعية أو خيرية موجهة إلي أشخاص بعينهم”. ممارسة هذا النشاط تتطلب الحصول على ترخيص/تصريح خاص للمارسة، وفقًا للمعايير التي سوف تحددها اللائحة التنفيذية.

يحدد قانون حماية البيانات الشخصية بعض الضوابط الأساسية المتعلقة بممارسة نشاط التسويق الإلكتروني والتي يترتب على مخالفتها مسئولية قانونية، وهي:

  • الحصول علي موافقة من الشخص المعني بالبيانات.
  • أن يتضمن الاتصال هوية منشئه ومرسله.
  • أن يكون للمرسل عنوان صحيح وكاف للوصول إليه.
  • الإشارة إلي أن الاتصال الإلكتروني مرسَل لأغراض التسويق المباشر.
  • وضع آليات واضحة وميسرة لتمكين الشخص المعني بالبيانات من رفض الاتصال الإلكتروني أو العدول عن موافقته علي إرسالها.
  • الغرض التسويقي المحدد.
  • الاحتفاظ بسجلات إلكترونية مثبت بها موافقة الشخص المعني بالبيانات وتعديلاتها، أو عدم اعتراضه علي استمراره، بشأن تلقي الاتصال الإلكتروني التسويقي وذلك لمدة ثلاث سنوات من تاريخ آخر إرسال.

مخالفة الضوابط والشروط المتعلقة بنشاط التسويق الإلكتروني قد يترتب عليها عقوبة الغرامة التي لا تقل عن مائتي ألف جنيه ولا تجاوز مليوني جنيه.