وزارة الاتصالات و تكنولوجيا المعلومات
قرار رقم 816 لسنة 2025
بإصدار اللائحة التنفيذية لقانون حماية البيانات الشخصية
الصادر بالقانون رقم 151 لسنة 2020
وزير الاتصالات وتكنولوجيا المعلومات
بعد الاطلاع على الدستور
وعلى قانون العقوبات
وعلى القانون الإجراءات الجنائية
وعلى المرسوم بقانون رقم 96 لسنة 1952 بتنظيم الخبرة أمام جهات القضاء
وعلى قانون المرافعات المدنية والتجارية الصادر بالقانون رقم 13 لسنة 1968
وعلى قانون الإثبات في المواد المدنية والتجارية الصادر بالقانون رقم 25 لسنة 1968
وعلى القانون رقم 34 لسنة 1976 في شأن السجل التجاري
وعلى قانون شركات المساهمة وشركات التوصية بالأسهم والشركات ذات المسئولية المحدودة و شركات الشخص الواحد الصادر بالقانون رقم 159 لسنة 1981
وعلي قانون الطفل الصادر بالقانون رقم 12 لسنة 1996
وعلى قانون التجارة الصادر بالقانون رقم 17 لسنة 1999
وعلي قانون حماية حقوق الملكية الفكرية الصادر بالقانون رقم 82 لسنة 2002
وعلى قانون تنظيم الاتصالات الصادر بالقانون رقم 10 لسنة 2003
وعلي القانون رقم 15 لسنة 2004 بتنظيم التوقيع الالكتروني وإنشاء هيئة تنمية صناعة تكنولوجيا المعلومات
وعلي قانون حماية المنافسة ومنع الممارسات الاحتكارية الصادر بالقانون رقم 3 لسنة 2005
وعلى قانون تنظيم خدمات النقل البري للركاب باستخدام تكنولوجيا المعلومات الصادر بالقانون رقم 87 لسنة 2018
وعلى القانون رقم 175 لسنة 2018 في شأن مكافحة جرائم تقنية المعلومات
وعلى قانون حماية المستهلك الصادر بالقانون رقم 181 لسنة 2018
وعلى قانون البنك المركزي والجهاز المصرفي الصادر بالقانون رقم 194 لسنة 2020
و بناءً على ما ارتاه مجلس الدولة
قرر :
( المادة الأولى )
يعمل بأحكام اللائحة التنفيذية المرافقة لهذا القرار بشأن قانون حماية البيانات الشخصية المشار إليه .
( المادة الثانية )
ينشر هذا القرار في الوقائع المصرية و يعمل به من اليوم التالي لتاريخ نشره .
وزير الاتصالات وتكنولوجيا المعلومات
د / عمرو سميح طلعت
اللائحة التنفيذية لقانون حماية البيانات الشخصية
مادة (1)
في تطبيق أحكام هذه اللائحة يكون للتعريفات الواردة بقانون حماية البيانات الشخصية المشار إليه المعنى ذاته المقصود منها كما يقصد في تطبيق أحكام هذه اللائحة ب القانون : قانون حماية البيانات الشخصية الصادر بالقانون رقم 151 لسنة 2020
السياسات و الإجراءات و الضوابط و المعايير القياسية لجمع البيانات الشخصية و معالجتها و حفظها و تأمينها
مادة (2)
يكون جمع البيانات الشخصية ومعالجتها وحفظها وتأمينها وفقا للضوابط والمعايير القياسية والإجراءات والسياسات الآتية:
أولاً – الضوابط والمعايير القياسية :
1- أن يكون القائم بجمع البيانات الشخصية حاصل على ترخيص أو تصريح بوصفه متحكماً أو معالجاً وذلك الإخلال بالالتزامات المقررة من الجهات المختصة بمزاولة أعمال النشاط .
2- ألا يتم جمع البيانات الشخصية إلا بعد الحصول على موافقة من الشخص المعني بها و إعلانه بالغرض من جمعها بطريقة واضحة و يعد إدلاء الشخص الطبيعي ببياناته الشخصية تنفيذا لتلقي خدمات او معاملات مشروعة بمثابة موافقة علي الحصول علي البيانات ومعالجتها لهذا الغرض ولا يجوز استخدام هذه البيانات لأغراض أخري خلاف ذلك إلا بموافقة مسبقة .
3- الحصول على موافقة المركز على الآليات المستخدمة في جمع البيانات الشخصية وآلية الحصول على موافقة الشخص المعني بالبيانات أو ولي أمره في حالة بيانات الأطفال
4 – – تحديد المدة الزمنية اللازمة للاحتفاظ بالبيانات الشخصية المجمعة وفقا للغرض من جمعها .
5- التزام القائمين على جمع البيانات الشخصية بالحفاظ على سريتها وعدم استخدامها أو تداولها أو الإفصاح عنها بأى صورة من الصور إلا للأسباب المقررة قانونا ووفقا للترخيص أو التصريح الصادر في هذا الشأن .
ثانيا – الإجراءات والسياسات :
1- إعلام الشخص المعني بالبيانات بحقوقه وفق المادة (۲) من القانون .
2- اتخاذ الإجراءات والبرامج التأمينية الصادرة عن المركز والواجب اتباعها بشأن تأمين البيانات الشخصية بما في ذلك الأجهزة والوسائط المستخدمة .
3- الاعتماد في سياسات العمل على إعداد سجل الكتروني مؤمن يتضمن
قيد الأتى :
– موافقة الشخص المعني بالبيانات، وتاريخ صدور هذه الموافقة ، والصورة التي صدرت عليها .
– وصف فئات البيانات الشخصية التي يتم جمعها ونطاق استخدامها .
– المدة الزمنية اللازمة للاحتفاظ بكل فئة من فئات البيانات الشخصية على حدة ، و ارتباطها بالغرض من ذلك .
– الإجراءات التنظيمية والتقنية التي يتم اتباعها بشأن تأمين البيانات بما يتيح للمركز إجراء التفتيش الدوري والتحقق من التزام المرخص والمصرح له بذلك .
السياسات والإجراءات والضوابط والمعايير الفنية لالتزامات المتحكم في البيانات الشخصية
مادة (٣)
تكون التزامات المتحكم في البيانات الشخصية وفقا للضوابط والمعايير الفنية والإجراءات والسياسات الآتية :
أولاً – الضوابط والمعايير الفنية :
1- الحصول على ترخيص أو تصريح من المركز وفقا للفئات والشروط والإجراءات المحددة بهذه اللائحة ، وذلك دون الإخلال بالالتزامات المقررة من الجهات المختصة بمزاولة أعمال النشاط .
2 – عدم مخالفة الغرض المرخص أو المصرح به لاستخدام البيانات الشخصية التي يتم تجميعها ومعالجتها للترخيص أو التصريح الصادر للمتحكم من المركز .
3- التحقق من أن البيانات الشخصية التي يتم تجميعها صحيحة من خلال مراجعة مصدر الحصول عليها سواء من العاملين لديه أو الشخص المعني بالبيانات ذاته ، ومدى اتفاق تلك البيانات مع الغرض من جمعها ومعالجتها وفقا للشروط
المقررة بالترخيص أو التصريح الصادر للمتحكم من المركز .
4- محو البيانات الشخصية فور انقضاء الغرض من الاحتفاظ بها وإخطار الشخص المعنى بالبيانات بهذا المحو ، ولا يجوز أن تظل تلك البيانات في صورة تسمح بتحديد الشخص المعنى بالبيانات حال الاحتفاظ بها لأى سبب من الأسباب
المشروعة بعد انتهاء الغرض منها .
5- إعداد آلية معتمدة من المركز تتيح للشخص المعنى بالبيانات التقدم بطلب للعلم ببياناته الشخصية والاطلاع عليها ، أو العدول عن الموافقة المسبقة على الاحتفاظ بها ، أو تصحيح وتعديل بياناته أو تخصيصها للمعالجة في نطاق محدد أو الاعتراض على إجراء أي معالجة لها .
6- التزام المتحكم المتواجد خارج جمهورية مصر العربية ، وليس له فرع أو مكتب تمثيل داخل البلاد بتعيين ممثل له داخلها من خلال فرع للشركة أو مكتب ينوب عنه أو يمثله ، بحسب الأحوال ، ويتم اعتماده من قبل المركز كممثل للمتحكم
خلال مدة الترخيص أو التصريح ، أما إذا كان المتحكم شخصا طبيعيا فيلتزم بتعيين وكيل له داخل جمهورية مصر العربية.
7-تمكين مفتشي المركز ، بوصفهم من مأموري الضبط القضائي ، من الاطلاع على السجلات الإلكترونية والتأكد من تطبيق المعايير القياسية والإجراءات التقنية الخاصة بتأمين البيانات وحمايتها ، وما يصدر عن المركز من قرارات تنفيذية
في هذا الشأن.
8-التزام المتحكم بحجم ونوعية البيانات الشخصية التي يتيح القانون المنظم لنشاطه الحصول عليها ، وعلى أن تطبق القواعد والضوابط المقررة في القانون على أي بيانات شخصية إضافية حال طلبه لها بما في ذلك قواعد الحفظ والتأمين والنقل ، وذلك حال خلو القانون المنظم لنشاطه من تلك القواعد والضوابط .
9- اتخاذ الإجراءات والتدابير اللازمة لإلزام القائمين على جمع البيانات الشخصية لديه بالحفاظ على سرية تلك البيانات وعدم استخدامها أو تداولها أو الإفصاح عنها بأي صورة من الصور إلا للأسباب المقررة قانونا .
ثانيا – الإجراءات والسياسات :
1- إجراء عمليات دورية للاختبار والتقييم لضمان صحة وسلامة البيانات الشخصية المجمعة وذلك وفقا لآليات التقييم والفحص الدوري التي يصدرها المركز .
2-اتخاذ الإجراءات والتدابير اللازمة لتكون بيانات الشخص المعنى بصورة غير مقروءة ، وألا تظل تلك البيانات في صورة تسمح بتحديد الشخص المعنى بالبيانات ، وذلك حال احتفاظ المتحكم بها استنادا لأسباب قانونية أو لاعتبارات الأمن
القومي ، على أن يتم محو تلك البيانات بانتهاء السبب القانوني أو الغرض منها .
3- اتخاذ الإجراءات التقنية اللازمة للحفاظ على سرية البيانات وعدم اختراقها .
4-اتخاذ الإجراءات التقنية والتنظيمية التي تضمن قدرته على استعادة البيانات الشخصية ، والوصول إليها في توقيت مناسب ، وحصرها عند حصول أي حادث مادي أو تقني .
5- ومع عدم الإخلال بالالتزام الخاص بإعداد السجلات الإلكترونية المشار إليه في المادة (۲) من هذه اللائحة ، يلتزم المتحكم في سياسة عمله بإعداد سجلات الكترونية مؤمنة ، تتضمن قيد الآتي :
– طلبات الشخص المعنى بالبيانات المتعلقة بإضافة أو تعديل بياناتهم الشخصية ، على أن يتضمن ذلك تسجيل البيانات المراد تعديلها وما يفيد إتمام التعديل من عدمه وسبب ذلك .
-طلبات الشخص المعنى بالبيانات المتعلقة بمحو بياناته ، والعدول عن موافقته السابقة ، وما يفيد إتمام عملية المحو من عدمه ، وآلية إبلاغ الشخص المعنى بالبيانات بذلك .
– البيانات الشخصية المتحفظ عليها لأسباب قانونية أو لاعتبارات الأمن القومي ، بما يتيح لمفتشي المركز التأكد من تطبيق المعايير القياسية والإجراءات التقنية الخاصة بتأمين تلك البيانات وحمايتها ، ودون السماح للغير بتحديد الشخص
المعني بالبيانات .
السياسات والإجراءات والضوابط والشروط والتعليمات والمعايير القياسية لالتزامات معالج البيانات الشخصية
مادة(4)
تكون معالجة البيانات الشخصية وفقا للضوابط والمعايير والإجراءات والسياسات الآتية :
أولاً – الضوابط والمعايير :
1- الحصول على ترخيص أو تصريح من المركز وفقا للفئات والشروط والإجراءات المحددة بهذه اللائحة ، وذلك دون الإخلال بالالتزامات المقررة من الجهات المختصة بمزاولة أعمال النشاط .
2- إعداد آلية يتم اعتمادها من المركز تحدد حجم البيانات الشخصية والغرض من المعالجة ، وبما يسمح بتسجيل موافقة الشخص المعني بالبيانات على ذلك وما يفيد إخطار المتحكم والشخص المعني بالبيانات وكل ذى صفة بالمدة اللازمة للمعالجة .
3- التزام المتعاملين في البيانات الشخصية من العاملين لدى المعالج بالحفاظ على سرية تلك البيانات وعدم استخدامها أو تداولها أو الإفصاح عنها بأي صورة من الصور إلا للأسباب التي يقررها القانون.
4- تمكين مفتشي المركز ، بوصفهم من مأموري الضبط القضائي ، من الاطلاع على السجلات الإلكترونية والتأكد من تطبيق المعايير القياسية والإجراءات التقنية الخاصة بتأمين البيانات وحمايتها ، وما يصدر عن المركز من قرارات تنفيذية في هذا
الشأن ، وتطابق أغراض المعالجة مع طبيعة النشاط المرخص به من المركز .
5- التزام المعالج المتواجد خارج جمهورية مصر العربية ، وليس له فرع أو مكتب تمثيل داخل البلاد بتعيين ممثل له داخلها من خلال فرع للشركة أو مكتب ينوب عنه أو يمثله ، بحسب الأحوال ، ويتم اعتماده من قبل المركز كممثل للمعالج خلال مدة الترخيص أو التصريح ، أما إذا كان المعالج شخصا طبيعيا فيلتزم بتعيين وكيل له داخل جمهورية مصر العربية .
6- حظر معالجة أى من البيانات الشخصية في غرض خلاف غرض المتحكم نشاطه إلا إذا كان يقصد إحصائي أو تعليمي وغير هادف للربح ، وبالشروط الآتية :
(أ) الالتزام بالحصول على موافقة الشخص المعني بالبيانات .
(ب) أن يكون موضوع الدراسة ذا صلة بالبيانات الشخصية التي يتم معالجتها .
(ج) حال تداول البيانات الشخصية بأى صورة من الصور يجب أن يتم ترميزها بحيث لا يمكن من خلالها الاستدلال على الشخص المعنى بالبيانات .
7- التزام المعالج بالتعامل مع البيانات الشخصية ، حال معالجتها واستخدامها العمليات تدريب الذكاء الاصطناعي والتقنيات الناشئة والمبتكرة ، وفقا للمبادئ المتعارف عليها محليا وإقليميا ودوليا، بما يضمن استخدام تلك التقنيات بالصورة التي لا يترتب عليها ثمة ضرر بالشخص المعني بالبيانات .
8-التزام المعالج بحجم ونوعية البيانات الشخصية التي يتيح القانون المنظم لنشاطه الحصول عليها ، وعلى أن تطبق القواعد والضوابط المقررة في القانون على أي بيانات شخصية إضافية حال طلبه لها بما في ذلك قواعد الحفظ والتأمين والنقل ، وذلك حال خلو القانون المنظم لنشاطه من تلك القواعد والضوابط .
ثانيا – الإجراءات والسياسات :
1- اتخاذ الإجراءات والتدابير التأمينية اللازمة لتأمين وحماية البيانات الشخصية أثناء معالجتها ، بما في ذلك الأجهزة والوسائط المستخدمة ، وحفظ البيانات الشخصية بصورة غير مقروءة لضمان سريتها وعدم إمكانية ربطها بالشخص المعنى بالبيانات لغير المصرح لهم بذلك.
2- اتخاذ الإجراءات التقنية والتنظيمية التي تضمن قدرته على استعادة البيانات الشخصية والوصول إليها في توقيت مناسب ، وحصرها عند حصول أي حادث مادي أو تقني .
3- الاعتماد في سياسات العمل على إعداد سجل إلكتروني مؤمن ، يتضمن الآتي :
-قيد ووصف عمليات المعالجة التي يجربها ، و فئات البيانات الشخصية التي يستخدمها ونطاق استخدامها ، على أن يتضمن السجل بيانات المعالج ، وصورة عقد المعالجة المبرم مع المتحكم ، وبيانات مسؤول حماية البيانات الخاص بالمتحكم ، وبيانات الممثل القانوني للمتحكم ، ومعايير المعالجة ، وفي حالة نقل البيانات عبر الحدود توضيح البلاد التي يتم نقل البيانات لها ، والنظم الخاصة بتأمينها ومسار البيانات ، ووصف عام للمعايير التقنية المستخدمة لحماية البيانات .
-المدد الزمنية اللازمة لمعالجة كل فئة من فئات البيانات الشخصية على حدة .
– الإجراءات التنظيمية والتقنية التي يتم اتباعها بشأن تأمين البيانات وعمليات المعالجة والحفظ وبما يمكن المركز من إجراء التفتيش الدوري والتحقق من التزام المعالج بها .
– قيد تاريخ وتوقيت عملية محو البيانات بعد الانتهاء من معالجتها أو ما يفيد تسليمها للمتحكم وفقا للأحوال المقررة قانونا .
التزامات المتحكم والمعالج في حالات خرق أو انتهاك البيانات الشخصية
مادة (٥)
يلتزم المتحكم والمعالج ، بحسب الأحوال ، حال حصول خرق أو انتهاك بإبلاغ المركز من خلال البوابة الإلكترونية أو الخط الساخن المعد لهذا الغرض من المركز ، وذلك خلال الأثنين وسبعين ساعة من تاريخ علمه بحصول الخرق أو الانتهاك ، على
أن يتم قيد ذلك بسجل إلكتروني مؤمن و معد لهذا الغرض ، يتضمن الآتى :
1- ساعة وتاريخ علمه بالخرق أو الانتهاك وتوقيت الإبلاغ به .
2- وصف طبيعة الخرق أو الانتهاك وتوفيت حدوثه بما يتيح للمركز التأكد من تقدير عدد تقريبي للبيانات المخترقة .
3- الآثار المحتملة جراء الخرق أو الانتهاك ، وحجم الضرر المتوقع منه .
4-التدابير العاجلة والإجراءات التصحيحية المتخذة حيال هذا الخرق أو الانتهاك .
5- بيانات مسئول حماية البيانات لديه .
6- أي وثائق أو بيانات أو معلومات إضافية يطلبها المركز .
وإذا كان الخرق أو الانتهاك ذو صلة باعتبارات حماية الأمن القومي أو الجهات القائمة عليها ، فيكون الإبلاغ للمركز فوراً على أن يتضمن البلاغ بالإضافة للشروط المشار إليها في الفقرة السابقة ما يأتي :
(أ) صلة الخرق أو الانتهاك باعتبارات حماية الأمن القومي .
(ب) حجم البيانات التي تأثرت بالخرق أو الانتهاك وتقدير الضرر الناشئ عن ذلك.
وفي جميع الأحوال ، يلتزم المتحكم والمعالج، بحسب الأحوال ،بإخطار الشخص المعنى بالبيانات خلال ثلاثة أيام عمل من تاريخ إبلاغ المركز بالخرق أو الانتهاك ، وإجراءات التأمين المتخذة ، وذلك بالوسيلة المتفق عليها (رسالة نصية –
بريد إلكتروني – اتصال هاتفي، والتي يكون قد حددها عند الموافقة على جمع بياناته .
التزامات المركز في حالات خرق أو انتهاك البيانات الشخصية
مادة (6)
على المركز إتاحة طرق ووسائل الاتصال الخاصة بالإبلاغ عن الفرق أو الانتهاك للبيانات الشخصية ، مع مراعاة اعتماد وسيلة اتصال خاصة لتلقي البلاغات المتعلقة باعتبارات الأمن القومي .
كما يلتزم المركز بالتنسيق مع جهات الأمن القومى لتحديد الآليات الخاصة بإخطارها حال تلقي البلاغات المتعلقة بحصول خرق أو انتهاك للبيانات الشخصية .
ويعمل المركز على تدريب وتوعية مسئولى حماية البيانات الشخصية بشكل دوري على معايير لتصنيف طبيعة الخرق أو الانتهاك .
شروط قيد مسئولى حماية البيانات الشخصية
مادة (7)
يشترط لقيد مسئولي حماية البيانات الشخصية الآتي :
1- أن يكون المتقدم حاصلاً على مؤهلات دراسية أو شهادات احترافية مع توافر الخبرة العملية في المجالات ذات الصلة وفقا للمعايير التي يعتمدها مجلس إدارة المركز بهدف حماية البيانات الشخصية .
2- اجتياز الاختبارات المعتمدة من المركز وفقا لطبيعة وحجم نشاط البيانات الشخصية محل طلب القيد
3- ألا يكون قد سبق إدانته فى أى من الجرائم المخلة بالشرف والأمانة .
مستندات القيد بسجل مسئولى حماية البيانات الشخصية
مادة (8)
يقدم طلب القيد بسجل مسئولى حماية البيانات الشخصية ، مرفقا به المستندات الآتية :
1 – صورة تحقيق الشخصية لطالب القيد (الرقم القومى للمصريين -جواز السفر للأجانب) .
2- صورة شخصية حديثة .
3-المؤهلات الدراسية الحاصل عليها .
4-مدة الخبرة العملية في المجالات ذات الصلة .
5- صحيفة الحالة الجنائية المصري ، والأجنبي على أن تكون موثقة من الجهات المعنية .
6- ما يفيد اجتيازه للاختبارات المقررة من المركز للقيد
7- كود مسؤول حماية البيانات الشخصية في حالة إذا كان قد سبق قيده في سجل مسئولى حماية البيانات الشخصية بالمركز المتحكم أو معالج أخر أو في حالة كان قيده كشخص طبيعي ويرغب في قيده لدى متحكم أو معالج .
ويتولي المركز دراسة الطلب ويخطر المتقدم بقبول قيده أو رفضه خلال ثلاثين يوم عمل من تاريخ التقدم للقيد، وله طلب استيفاء أي مستندات لازمة للبت في الطلب خلال مدة يحددها، علي أن يتم إخطار المتقدم بقبول قيده أو رفضه خلال خمسة عشر يوما من تاريخ استيفائه للمستندات
وعلى الممثل القانوني لأي كيان اتخاذ الإجراءات الخاصة بقيد مسئولي حماية البيانات الشخصية بما يسمح لهم بمباشرة مهامهم وفقاً لأحكام القانون .
قيد مسئولي حماية البيانات الشخصية
مادة (9)
ينشأ بالمركز سجل الكتروني يخصص لقيد مسئولي حماية البيانات الشخصية، و يكون لكل مسؤول حماية رقم تعريفي يسمي ( كود مستخدم حماية البيانات الشخصية ) ملحقا به طبيعة وحجم البيانات المسموح له التعامل عليها وفقا لنتائج اجتيازه للاختبار , و يمكن من خلاله الاستدلال على كافة البيانات الخاصة به .
و يتم القيد من خلال البوابة الإلكترونية على السجل المخصص لقيد مسؤول حماية البيانات بالمركز على الروابط المخصصة لذلك من خلال أباً مما يأتي :
1- طلب يقدم من الممثل القانوني للمتحكم أو المعالج لقيد موظف في سجل مسئولي حماية البيانات الشخصية متضمناً ما يفيد اجتيازه للشروط المقررة للقيد و حجم و طبيعة البيانات المسموح له التعامل عليها .
2- طلب يقدم من الشخص الطبيعي متضمنا ما يفيد اجتيازه للشروط المقررة للقيد و حجم و طبيعة البيانات المسموح له التعامل عليها .
ويتم تحديد كود مسئولي حماية البيانات في ضوء اجتيازه لشروط القيد .
إنهاء العلاقة التعاقدية أو استبدال مسئولي حماية البيانات الشخصية
مادة (10)
علي الممثل القانوني لأي متحكم أو معالج، حال رغبته في إنهاء العلاقة مع مسئول حماية البيانات، إخطار المركز بذلك قبل انتهاء هذه العلاقة خلال مدة لا تقل عن خمسة عشر يوماً، على أن يكون قد قدم طلب لتسجيل أو تكليف مسؤول حماية بيانات البديل، والمدة المقررة للقيام بهذه المهام إن كان تعينه بشكل مؤقت , وذلك من خلال البوابة الالكترونية للمركز أو أية وسائل اتصال أخرى يقرها المركز .
وللمركز إيقاف مسئول حماية البيانات الشخصية المقيدة و طلب تغييره، حال إخلاله بأي من شروط القيد، وعلى الممثل القانوني في هذه الحالة قيد مسؤول حماية بيانات شخصية بديل مؤقت من المقيدين لدى المركز سواء كان من هيكله الوظيفي أو يتم التعاقد معه لذات حجم وطبيعة البيانات المتعامل عليها وذلك لحين تعيين مسئول دائم في مدة يتم تحديدها من قبل المركز .
كما يجب على الممثل القانوني تقديم آليات الاتصال بمسئول حماية البيانات البديل و إبلاغها إلى المركز .
حدود اختصاص مسئول حماية البيانات الشخصية
مادة (11)
يحق لمسؤول حماية البيانات الشخصية المقيد بسجل المركز مباشرة مهامه في هيكل وظيفي أو أكثر حال توافر الشرطين الآتيين :
1- موافقة الكيانات المقيدة لها مسئول حماية البيانات الشخصية على القيام بمهامه لدي كيانات أو أشخاص اعتبارية أخري ،و دون أن يؤدي ذلك إلي تعارض المصالح على أن يكون ذلك في حدود حجم و طبيعة البيانات المصرح لمسؤول حماية البيانات الشخصية التعامل عليها .
2- موافقة المركز على عملية قيد مسؤول حماية البيانات الشخصية لأكثر من كيان وفقا لطبيعة و حجم نشاط تلك الكيانات و بعد التأكد من عدم وجود تعارض أو إخلال بمهامه جراء ذلك .
و يجوز قيد مسئول حماية بيانات شخصية واحد لكيانات مرتبطة هيكليا أو تنظيميا و يتكامل نشاطها من خلال تبادل البيانات على أن يتم إخطار المركز بذلك .
التزامات مسئول حماية البيانات الشخصية
مادة (١٢)
بلتزم مسئول حماية البيانات بالأتي :
1- مراقبة تطبيق السياسات التأمينية الصادرة عن المركز والخاصة بتأمين عملية المعالجة والحفظ والتداول وتقديم تقرير سنوي للمركز بحالة حماية الخصوصية عند المتحكم أو المعالج أو عند طلب ذلك .
2- تقديم مسئول حماية البيانات البديل تقرير للمركز ، خلال 15 يوما من تاريخ قيامه بمهامه ، عن حالة حماية الخصوصية ، وذلك حال تغيير مسئول حماية البيانات وفقا للحالات الواردة في المادة (10) من هذه اللائحة .
3-مراقبة عملية تلقى البلاغات والشكاوى الخاصة بالشخص المعنى بالبيانات بالنسبة الطلبات محو أو تعديل أو إضافة بياناته الشخصية والتأكد من تنفيذها .
4- عدم تعارض مهامه مع أى تكليفات أخرى من شأنها الإضرار بحماية البيانات الشخصية .
5- وضع نظام منفصل حال تولى مسئول حماية البيانات الشخصية مجموعة من الهيئات أو المؤسسات أو الشركات ، بما يعينه من أداء مهامه ومسئولياته ، ويمكن المركز من مراجعته .
الدليل الرقمي
مادة (١٣)
يكون الدليل الرقمي المستمد من البيانات الشخصية ذات الحجية في الاثبات المقررة الأدلة المستمدة من البيانات والمعلومات الخطية ، إذا توافرت فيه المعايير والشروط الفنية الآتية :
1- أن تتم عملية جمع أو استخراج الدليل الرقمي ذو الصلة بالبيانات الشخصية باستخدام التقنيات التي تضمن عدم تغيير أو تحديث أو محو أو تحريف البيانات الشخصية والمعلومات ذات الصلة .
2- أن يكون الدليل الرقمي ذو الصلة بالواقعة وفي إطار الموضوع إثباته أو نفيه وفقا لنطاق قرار جهة التحقيق أو المحكمة المختصة .
3- أن يتم جمع الدليل واستخراجه وحفظه بمعرفة مأموري الضبط القضائي المخول لهم التعامل في هذه النوعية من الأدلة أو الخبراء المختصين من جهات التحقيق أو المحاكمة ، على أن يبين في محاضر الضبط أو التقارير الفنية نوع مواصفات البرامج والأدوات والأجهزة التي يتم استخدامها وضمان الحفاظ على الأصل دون عبث به .
4- أن يتم توثيق الأدلة الرقمية بمحضر إجراءات من قبل المختص قبل عمليات الفحص والتحليل من خلال طباعة نسخ من الملفات المخزن عليها أو تصويرها بأى وسيلة مرئية أو رقمية واعتمادها من القائمين على جمع أو استخراج أو تحليل الأدلة الرقمية ، على أن يدون على كل منها تاريخ ووقت الطباعة والتصوير ، والقائم بها ، وبيانات الأجهزة والمعدات والأدوات المستخدمة، والبيانات والمعلومات الخاصة بمحتوى الدليل المضبوط .
المعايير والضوابط الخاصة بالتعامل على البيانات الشخصية الحساسة
مادة (14)
يلتزم كل من المتحكم أو المعالج، بحسب الأحوال ، سواء كان شخصا طبيعيا أو اعتباريًا حال جمع بيانات شخصية حساسة أو نقلها أو تخزينها أو حفظها أو معالجتها أو إتاحتها ، بمراعاة الضوابط والمعايير الآتية :
1- الحصول على ترخيص أو تصريح من المركز وفقا لطبيعة نشاطه ، وفئات التراخيص والتصاريح المحددة بهذه اللائحة .
2- الحصول على موافقة كتابية صريحة (ورقيا أو إلكترونيا) من الشخص المعنى بالبيانات أو ولى الأمر في حالة بيانات الأطفال في غير الأحوال المصرح بها قانونا .
3- أن تكون هذه البيانات أساسية ولازمة للغرض الخاص بطبيعة عمل المتحكم أو المعالج ، ولا يترتب على استخدامها ضرر بالشخص المعنى بها .
4- الالتزام بمعايير التأمين المقررة من المركز بشأن التعامل على البيانات الشخصية الحساسة .
5- في حالة مشاركة الطفل في لعبة أو مسابقة أو أي نشاط آخر يجب ألا يتحصل منه على أكثر مما هو ضروري للمشاركة وألا تستخدم هذه البيانات في عمليات تصنيف أو تتبع أو مراقبة سلوكية للأطفال .
6- أية معايير أخرى يعتمدها مجلس إدارة المركز وتهدف لحماية البيانات الشخصية الحساسة .
7- الإمساك بسجلات إلكترونية مؤمنة وفقا لما تقتضيه متطلبات المركز بشأن الآتي :
(أ) تسجيل موافقات الشخص المعنى بالبيانات الشخصية الحساسة أو ولي أمر الطفل حال التعامل على تلك البيانات بأى صورة من الصور المشار إليها .
(ب) تسجيل طلبات حذف أو محو أو تعديل أو وقف معالجة للبيانات الشخصية الحساسة المقدمة من الشخص المعنى البيانات الحساسة أو ولي أمره الطفل ، وما يفيد تفعيلها .
المعايير والضوابط الخاصة بالتعامل على بيانات الأطفال
مادة (15)
على الحائزين أو المتحكمين أو المعالجين لبيانات الأطفال الأقل من ١٥ سنة الحصول قبل جمع بياناتهم على موافقة كتابية صريحة (ورقية أو إلكترونية) من ولى الأمر على جمع بياناتهم ومعالجتها في سبيل تقديم خدمة أو لغرض ما ، على أن تتضمن الموافقة النطاق الزمني لها ، وذلك دون الإخلال بحق ولى الأمر في العدول عن موافقته أو تعديلها ، ويتولى المركز اعتماد الآليات والصور التي تصدر عنها تلك الموافقات .
وفي حالة الأطفال من 15 سنة حتى 18 سنة ، يلتزم الطفل أو ولي أمره ، بحسب الأحوال ، بتقديم موافقة الأخير على جمع بيانات الطفل ومعالجتها ، ويتولى المركز تحديد آليات ذلك لولى الأمر ، وبما يضمن تحقيق الاشتراطات القانونية
المقررة في هذا الشأن .
السياسات والمعايير والضوابط والقواعد اللازمة لنقل أو تخرين أو مشاركة أو معالجة أو إتاحة أو حماية البيانات الشخصية عبر الحدود
مادة (16)
يكون نقل أو تخزين أو مشاركة أو معالجة أو إتاحة البيانات الشخصية عبر الحدود، وفقا للضوابط والقواعد والسياسات والمعايير الآتية :
أولاً – الضوابط والقواعد :
1- يلتزم المتحكم أو المعالج ، بحسب الأحوال ، حال نقل البيانات الشخصية التي تم جمعها أو تجهيزها للمعالجة إلى دولة أجنبية لمعالجتها أو تخزينها أو مشاركتها ، أن يكون قد حصل على ترخيص أو تصريح بذلك من المركز وفقا لتقديمه لكفاية
مستوى الحماية بتلك الدولة .
2- يلتزم المتحكم أو المعالج ، بحسب الأحوال ، حال نقل البيانات الشخصية التي تم جمعها أو تجهيزها للمعالجة إلى دولة أجنبية لمعالجتها أو تخزينها أو مشاركتها بالحصول على موافقة الشخص المعنى بالبيانات .
3- يلتزم كل من المتحكم أو المعالج ، باتخاذ جميع الإجراءات والتدابير التي تضمن استخدام التقنيات التي تكفل ضمان مستوى الحماية الكافي للبيانات الشخصية أثناء نقلها أو تداولها أو مشاركتها أو تخزينها ، وذلك طبقا لما يتضمنه الترخيص
أو التصريح الصادر له من المركز وبما يتلاءم مع حجم وطبيعة البيانات المرخص أو المصرح له بنقلها أو مشاركتها أو تداولها أو تخزينها أو معالجتها عبر الحدود .
4- يلتزم المتحكم أو المعالج . ، بحسب الأحوال ، بنقل البيانات الشخصية التي تم جمعها أو تجهيزها للمعالجة إلى الدولة أو الدول الأجنبية وفقا لما هو وارد بالترخيص أو التصريح الصادر من المركز بهذا الشأن ويلتزم بتحديث الترخيص أو التصريح حال إضافة دول أخرى خلال مدة الترخيص أو التصريح .
ثانيا – السياسات والمعايير :
يحدد المركز في السياسات التي يعتمدها الدول التي تضمن مستوى كافي من الحماية البيانات الشخصية وفقا لأحكام القانون، على ألا يخل ذلك بوضع آلية للمراجعة الدورية ، وذلك وفقا للمعايير الآتية :
1- وجود تشريعات أو ضوابط ذات صلة بحماية البيانات الشخصية ومدى اتساقها مع أحكام القانون .
2- توافر القواعد والتدابير الفنية والأمنية التي تحقق حماية البيانات الشخصية .
3-توافر القواعد القانونية الخاصة بالتعويض عن الأضرار التي قد تلحق بالشخص المعني بالبيانات حال إساءة استخدام بياناته الشخصية .
ويجوز للمركز في ضوء توافر المعايير المشار إليها الموافقة على إصدار ترخيص أو تصريح المتحكم أو المعالج ، بحسب الأحوال ، لنقل أو تخزين أو مشاركة تلك البيانات إلى أى من الدول الأجنبية الأخرى التي تتوافر بها المعايير ذاتها .
الاشتراطات والإجراءات والاحتياطات والمعايير والقواعد اللازمة لإتاحة البيانات الشخصية المتحكم أو معالج أخر خارج جمهورية مصر العربية
مادة (17)
يجوز للمتحكم أو المعالج، بحسب الأحوال ، إتاحة البيانات الشخصية لمتحكم معالج آخر خارج جمهورية مصر العربية بترخيص من المركز، وذلك وفق الاشتراطات والاحتياطات والمعايير الآتية :
1- توافق نشاط مجموعة المشروعات أو الشركات في طبيعة عمل مشتركة أو متكاملة وبما يحقق مصلحة مشروعة للطرفين أو للشخص المعني بالبيانات .
2- اتخاذ الاحتياطات التي تحقق مستوى من الحماية القانونية والتقنية للبيانات الشخصية لدى المتحكم أو المعالج الموجودة بالخارج والتي لا تقل عن المعمول بـه في جمهورية مصر العربية .
القواعد والشروط والضوابط المتعلقة بالتسويق الإلكتروني المباشر
مادة (18)
يلتزم المرسل ، سواء كان متحكما أو معالجا ، لأى اتصال إلكتروني بغرض التسويق المباشر ، بالقواعد والشروط والضوابط الآتية :
أولاً – القواعد والشروط :
1- أن يكون حاصلاً على ترخيص من المركز بمباشرة نشاط التسويق الإلكتروني المباشر
2- أن يكون قد حصل على موافقة صريحة من الشخص المعني بالبيانات على تلقي الاتصال التسويقي .
3- على المتحكم أو المعالج أو الوسيط التسويقي محو البيانات الشخصية ، الحالتين الآتيتين :
(أ) عدول الشخص المعنى بالبيانات عن موافقته على استخدام بياناته بغرض التسويق الإلكتروني .
(ب) انتهاء المدة المحددة للاحتفاظ بالبيانات أو انتفاء الغرض التسويقي أيهما أقرب .
ثانيا – الضوابط :
1- عدم استخدام البيانات الشخصية المجمعة لنشاط التسويق الإلكتروني لغرض آخر أو تبادلها أو معالجتها لأغراض أخرى إلا بموافقة صريحة من الشخص المعني .
2- أن يتضمن بدء الاتصال بيان شخص المتصل ، وتحديد الغرض التسويقي ، بما يمكن الشخص المعنى من إعمال الحق المخول له برفض الاتصال أو العدول عن موافقته السابقة ، وذلك بأى وسيلة من وسائل الاتصال المعتمدة من المركز في هذا الشأن سواء إرسال الرسائل الشخصية عبر وسائل التواصل الاجتماعي ، رسائل نصية ، أو بريد إلكتروني أو مكالمات هاتفية أو أي وسيلة تقنية أخرى .
3- يتعين على المرسل ، حال كونه وسيطا تسويقيا ، التأكد من حصول المتحكم أو المعالج على موافقة الشخص المعنى على قبول الاتصال التسويقي وفق أغراضه الواجب الإعلان عنها ، كما يلتزم بالاحتفاظ بمصدر حصوله على البيانات الشخصية المتصل به والمتضمنة موافقته على استخدام بياناته، وإلا كان عليه الوقف الفوري لاستخدام تلك البيانات في مجالات التسويق الإلكتروني .
4- الاحتفاظ بسجلات الكترونية يتم إتاحتها للمركز عند الطلب ، تتضمن الآتي :
( أ ) كيفية وتاريخ الحصول على موافقة الشخص المعنى بالبيانات على قبول التسويق الإلكتروني والغرض الخاص به .
(ب) طلبات المحو أو التعديل على تلك الموافقة والإجراءات المتخذة حيالها .
(ج) آليات تأمين وحفظ البيانات الشخصية وفقا للإجراءات المعتمدة من المركز .
وفي جميع الأحوال يخصص المركز وسيلة اتصال لتلقى شكاوى المواطنين المتعلقة بالتسويق الإلكتروني المباشر سواء من خلال موقعه الإلكتروني أو أرقام هاتفية مختصرة .
تصنيف وفئات رخصة متحكم و/أو ومعالج للبيانات الشخصية والبيانات الشخصية الحساسة
مادة (19)
يصدر المركز ترخيص مجمع متحكم معالج للأشخاص الاعتبارية ، وفقا للجداول الآتية :
| عدد السجلات الخاصة بالبيانات الشخصية للأفراد | القيمة السنوية لمقابل رسوم التراخيص متحكم / معالج |
| من 1 إلي 100 ألف | معفي من رسوم الترخيص |
| من 101 ألف إلى 200 ألف | 200 جنيه |
| من 201 ألف إلى 300 ألف | 300 جنيه |
| من 301 ألف إلى 400 ألف | 400 جنيه |
| من 401 ألف إلى 500 ألف | 500 جنيه |
| من 501 ألف إلى 600 ألف | 600 جنيه |
| من 601 ألف إلى 700 ألف | 700 جنيه |
| من 701 ألف إلى 800 ألف | 800 جنيه |
| من 801 ألف إلى 900 ألف | 900 جنيه |
| من 901 ألف إلى مليون | 1000 جنيه |
يتم احتساب قيمة المائة ألف سجل بيانات شخصية فيما يجاوز مليون سجل و حتي مليوني سجل , بقيمة خمسة آلاف جنيه وذلك علي النحو التالي :
| عدد السجلات الخاصة بالبيانات الشخصية للأفراد | القيمة السنوية لمقابل رسوم التراخيص متحكم / معالج |
| من مليون وواحد حتي مليون و مائة ألف | 5 آلاف جنيه |
| من مليون ومائة ألف وواحد حتي مليون ومائتين ألف | 10 آلاف جنيه |
| من مليون ومائتين ألف وواحد حتي مليون و ثلاثمائة ألف | 15 آلاف جنيه |
| من مليون وثلاثمائة ألف وواحد حتي مليون وأربعمائة ألف | 20 آلاف جنيه |
| من مليون وأربعمائة ألف وواحد حتي مليون وخمسمائة ألف | 25 آلاف جنيه |
| من مليون وخمسمائة وواحد حتي مليون وستمائة ألف | 30 آلاف جنيه |
| من مليون وستمائة ألف وواحد حتي مليون وسبعمائة ألف | 35 آلاف جنيه |
| من مليون وسبعمائة وواحد حتى مليون وثمانمائة ألف | 40 آلاف جنيه |
| من مليون وثمانمائة وواحد حتي مليون وتسعمائة ألف | 45 آلاف جنيه |
| من مليون وتسعمائة وواحد حتي 2 مليون | 50 آلاف جنيه |
يتم احتساب قيمة المائة ألف سجل بيانات شخصية فيما يجاوز مليوني سجل و حتى ثلاثة ملايين , بقيمة عشرة آلاف جنيه وذلك علي النحو التالي :
| عدد السجلات الخاصة بالبيانات الشخصية للأفراد | القيمة السنوية لمقابل رسوم التراخيص متحكم / معالج |
| من 2 مليون وواحد حتي 2 مليون و مائة ألف | 60 آلاف جنيه |
| من 2 مليون ومائة ألف وواحد حتي 2 مليون ومائتين ألف | 70 آلاف جنيه |
| من 2 مليون ومائتين ألف وواحد حتي 2 مليون و ثلاثمائة ألف | 80 آلاف جنيه |
| من 2 مليون وثلاثمائة ألف وواحد حتي 2 مليون وأربعمائة ألف | 90 آلاف جنيه |
| من 2 مليون وأربعمائة ألف وواحد حتي 2 مليون وخمسمائة ألف | 100 آلاف جنيه |
| من 2 مليون وخمسمائة وواحد حتي 2 مليون وستمائة ألف | 110 آلاف جنيه |
| من 2 مليون وستمائة ألف وواحد حتي 2 مليون وسبعمائة ألف | 120 آلاف جنيه |
| من 2 مليون وسبعمائة وواحد حتى 2 مليون وثمانمائة ألف | 130 آلاف جنيه |
| من 2 مليون وثمانمائة وواحد حتي 2 مليون وتسعمائة ألف | 140 آلاف جنيه |
| من 2 مليون وثمانمائة وواحد حتى 3 مليون | 150 آلاف جنيه |
يتم احتساب قيمة المائة ألف سجل بيانات شخصية فيما يجاوز ثلاثة ملايين و حتى أربعة ملايين , بقيمة عشرة آلاف جنيه وذلك علي النحو التالي :
| عدد السجلات الخاصة بالبيانات الشخصية للأفراد | القيمة السنوية لمقابل رسوم التراخيص متحكم / معالج |
| من 3 مليون وواحد حتى 3 مليون و مائة ألف | 165 آلاف جنيه |
| من 3 مليون ومائة ألف وواحد حتى 3 مليون ومائتين ألف | 180 آلاف جنيه |
| من 3 مليون ومائتين ألف وواحد حتى 3 مليون و ثلاثمائة ألف | 195 آلاف جنيه |
| من 3 مليون وثلاثمائة ألف وواحد حتى 3 مليون وأربعمائة ألف | 210 آلاف جنيه |
| من 3 مليون وأربعمائة ألف وواحد حتى 3 مليون وخمسمائة ألف | 225 آلاف جنيه |
| من 3 مليون وخمسمائة وواحد حتى 3 مليون وستمائة ألف | 240 آلاف جنيه |
| من 3 مليون وستمائة ألف وواحد حتى 3 مليون وسبعمائة ألف | 255 آلاف جنيه |
| من 3 مليون وسبعمائة وواحد حتى 3 مليون وثمانمائة ألف | 270 آلاف جنيه |
| من 3 مليون وثمانمائة وواحد حتى 3 مليون وتسعمائة ألف | 285 آلاف جنيه |
| من 3 مليون وثمانمائة وواحد حتى 4 مليون | 300 آلاف جنيه |
يتم احتساب قيمة المائة ألف سجل بيانات شخصية فيما يجاوز 4 ملايين و حتى 5 ملايين , بقيمة عشرين آلاف جنيه وذلك علي النحو التالي :
| عدد السجلات الخاصة بالبيانات الشخصية للأفراد | القيمة السنوية لمقابل رسوم التراخيص متحكم / معالج |
| من 4 مليون وواحد حتى 4 مليون و مائة ألف | 320 آلاف جنيه |
| من 4 مليون ومائة ألف وواحد حتى 4 مليون ومائتين ألف | 340 آلاف جنيه |
| من 4 مليون ومائتين ألف وواحد حتى 4 مليون و ثلاثمائة ألف | 360 آلاف جنيه |
| من 4 مليون وثلاثمائة ألف وواحد حتى 4 مليون وأربعمائة ألف | 380 آلاف جنيه |
| من 4 مليون وأربعمائة ألف وواحد حتى 4 مليون وخمسمائة ألف | 400 آلاف جنيه |
| من 4 مليون وخمسمائة وواحد حتى 4 مليون وستمائة ألف | 420 آلاف جنيه |
| من 4 مليون وستمائة ألف وواحد حتى 4 مليون وسبعمائة ألف | 440 آلاف جنيه |
| من 4 مليون وسبعمائة وواحد حتى 4 مليون وثمانمائة ألف | 460 آلاف جنيه |
| من 4 مليون وثمانمائة وواحد حتى 4 مليون وتسعمائة ألف | 480 آلاف جنيه |
| من 4 مليون وثمانمائة وواحد حتى 5 مليون | 500 آلاف جنيه |
– يكون قيمة رسوم الترخيص لحجم البيانات الذي يزيد عن خمسة ملايين سجل للبيانات الشخصية هو الحد الأقصي المقرر قانونا و البالغ قدره 666,666 ألف سنويا بإجمالي 2 مليون جنيه , خلال الثلاث سنوات .
– تكون قيمة الرسوم المقررة لتراخيص متحكم فقط او معالج فقط للأشخاص الاعتبارية نصف القيمة المشار إليه في الجدول أعلاه وفقا لحجم البيانات .
– تكون قيمة الرسوم الخاصة بترخيص المعالجة التي تقوم بها الجمعيات / النقابات/ النوادي للبيانات الشخصية الخاصة بأعضائها و في إطار أنشطتها على النحو التالي :
| الجهة | القيمة السنوية لمقابل رسوم الترخيص |
| الجمعيات | 5 آلاف |
| النقابات | 10 آلاف |
| النوادي ( عدد سجل بيانات أعضاء-أقل من 50 ألف ) | 20 آلاف |
| النوادي ( عدد سجل بيانات أعضاء-أكثر من 50 ألف ) | 50 آلاف |
تصنيف وفئات تصاريح متحكم و /أو معالج للبيانات الشخصية والبيانات الشخصية الحساسة
مادة (20)
يصدر المركز تصريح متحكم و /أو معالج لغرض محدد ومؤقت لمدد متفاوتة لا تزيد عن سنة ميلادية , وللمركز تقدير مدي استمرارية هذا الغرض من عدمه كشرط من شروط الحصول علي التصريح , و يخول التصريح للمصرح له الحصول علي البيانات الشخصية و تحديد طريقة و أسلوب و معايير الاحتفاظ بها أو معالجتها و التحكم فيها أو نقلها طبقا للغرض المحدد بالتصريح و بما لا يتعارض مع أحكام القانون وهذه اللائحة .
و تحدد مقابل رسوم التصريح وفقا للمدة المطلوبة و طبيعة وحجم البيانات الشخصية و ذلك علي النحو الآتي :
| عدد السجلات الخاصة بالبيانات الشخصية للأفراد | رسوم التصريح من شهر الى 3 أشهر بالجنيه المصري | رسوم التصريح لأكثر من 3 أشهر إلى 6 أشهر بالجنيه المصري | رسوم التصريح لأكثر من 6 أشهر إلى 9 أِشهر بالجنيه المصري | رسوم التصريح لأكثر من 9 أشهر إلى سنة بالجنيه المصري |
| من 1 إلى 25 ألف | معفي من الرسوم | معفي من الرسوم | معفي من الرسوم | معفي من الرسوم |
| أكتر من 25 ألف إلي 250 ألف | 10 آلاف جنيه | 10 ألف جنيه | 20 ألف جنيه | 25 ألف جنيه |
| أكتر من 250 ألف إلي 500 ألف | 12,5 آلاف جنيه | 25 ألف جنيه | 37,5 ألف جنيه | 50 ألف جنيه |
| أكتر من 500 ألف إلي مليون | 25 آلاف جنيه | 50 ألف جنيه | 75 ألف جنيه | 100 ألف جنيه |
| أكثر من مليون إلى 2 مليون | 50 آلاف جنيه | 100 ألف جنيه | 150 ألف جنيه | 200 ألف جنيه |
| أكتر من 2 مليون إلى 3 مليون | 75 آلاف جنيه | 150 ألف جنيه | 225 ألف جنيه | 300 ألف جنيه |
| أكتر من 3 مليون إلي 4 مليون | 100 آلاف جنيه | 200 ألف جنيه | 300 ألف جنيه | 400 ألف جنيه |
| أكتر من 4 ألف إلي 5 مليون | 125 آلاف جنيه | 250 ألف جنيه | 375 ألف جنيه | 500 ألف جنيه |
| أكتر من 5 مليون سجل بيان شخصي للأفراد | يكون رسم التصريح لأي فترة من فترات التصريح هو الحد الأقصي المقرر قانونا | |||
تكون قيمة الرسوم المقررة لتصاريح متحكم فقط أو معالج فقط للأشخاص الطبيعية أو الاعتبارية نصف القيمة المشار إليها في الجدول أعلاه وفقا لحجم البيانات .
شروط ترخيص / تصريح المتحكم و المعالج من الأشخاص الاعتبارية للبيانات الشخصية و البيانات الشخصية الحساسة
مادة (21)
بشرط الحصول علي ترخيص / تصريح المتحكم و المعالج من الأشخاص الاعتبارية الآتي:
1- بيان الآلية المستخدمة للحصول على موافقة الشخص المعني بالبيانات على جمع بياناته و الاحتفاظ بها و معالجتها و كذا آليات ممارسة حقوق الشخص المقرر قانونا .
2- تقديم ما يفيد الإمساك بالسجلات الإلكترونية المتعلقة بالتزامات المتحكم والمعالج .
3- تحديد الآليات والإجراءات المستخدمة لتأمين وحماية البيانات الشخصية بما يتوافق مع معايير التأمين الصادرة عن المركز .
4- تقديم ما يفيد التزام المرخص أو المصرح له بتطبيق أحكام القانون وشروط الترخيص أو التصريح بما يمكن المركز من التفتيش والرقابة .
5- تقديم سند العلاقة التعاقدية مع مسئول حماية البيانات الشخصية والمتضمنة صراحة قبوله تحمل مسئوليات مسئول حماية البيانات الشخصية ، وما يفيد التزام المتحكم أو المعالج بمنح مسئول حماية البيانات الشخصية الاستقلالية في تنفيذ مهامه بالقدر الذي يسمح له القيام بها .
6- إقرار بالالتزام بالجزاءات المالية التي يقرها المركز حال مخالفة شروط الترخيص أو التصريح .
7- تقديم ما يفيد الالتزام بالضوابط والمعايير الخاصة بالتعامل على البيانات الشخصية الحساسة وبيانات الأطفال .
شروط تصريح المتحكم والمعالج من الأشخاص الطبيعية للبيانات الشخصية والبيانات الشخصية الحساسة
مادة (22)
يُشترط للحصول على تصريح المتحكم والمعالج من الأشخاص الطبيعية الآتي :
1- بيان الآلية المستخدمة للحصول على موافقة الشخص المعني بالبيانات على جمع بياناته والاحتفاظ بها ومعالجتها ، وكذا آليات ممارسة حقوق الشخص المعنى المقررة قانونا.
2-تحديد الآليات والإجراءات المستخدمة لتأمين وحماية البيانات الشخصية ، وبما يتوافق مع معايير التأمين الصادرة عن المركز .
3- تقديم ما يفيد التزام المصرح له بتطبيق أحكام القانون وشروط التصريح ، وبما يمكن المركز من التفتيش والرقابة .
4- تقديم ما يفيد الالتزام بالضوابط والمعايير الخاصة بالتعامل على البيانات الشخصية الحساسة وبيانات الأطفال .
ترخيص أو تصريح نقل البيانات الشخصية عبر الحدود للأشخاص الاعتبارية
مادة (23)
يمنح الترخيص أو التصريح للمتحكم أو المعالج نقل البيانات الشخصية التي تم جمعها أو تجهيزها للمعالجة من داخل النطاق الجغرافي لجمهورية مصر العربية إلى خارجه ، وذلك وفقا للضوابط والمعايير الخاصة بقواعد التعامل على البيانات
الشخصية عبر الحدود الواردة بهذه اللائحة .
شروط الحصول على ترخيص تصريح لنقل البيانات الشخصية عبر الحدود للأشخاص الاعتبارية
مادة (24)
مع عدم الاخلال بالشروط العامة للحصول على ترخيص تصريح ، يشترط الحصول على ترخيص تصريح النقل البيانات الشخصية عبر الحدود للأشخاص الاعتبارية الآتي :
1- تحديد الوجهة المراد نقل البيانات لها .
2- تقديم ما يفيد طبيعة نشاط المتحكم أو المعالج المراد نقل البيانات الشخصية له .
3-تحديد طبيعة البيانات الشخصية المتعامل عليها .
4-بيان نظم التأمين وأماكن التخزين المؤقتة والنهائية والإجراءات المتخذة الحماية البيانات حال نقلها للمقصد النهائي .
5- تقديم ما يفيد الالتزام بالمعايير والضوابط والقواعد اللازمة لنقل أو تخزين أو مشاركة أو معالجة أو إتاحة البيانات عبر الحدود .
6- تحديد الغرض من نقل البيانات عبر الحدود .
7-تحديد بيانات كافية عن أماكن التخزين المؤقتة والنهائية) طبقا للنماذج الصادرة عن المركز .
8- وصف لفتات البيانات الشخصية المنقولة وحجمها ومدة الاحتفاظ بها .
شروط الحصول على تصريح لنقل البيانات الشخصية عبر الحدود للأشخاص الطبيعية
مادة (25)
مع عدم الاخلال بالشروط العامة للحصول على تصريح ، يشترط الحصول على تصريح لنقل البيانات الشخصية عبر الحدود للأشخاص الطبيعية الآتي :
1- طبيعة ووصف البيانات الشخصية المطلوب نقلها عبر الحدود وحجمها والغرض من النقل .
2- تحديد الوجهة المراد نقل البيانات لها ومدة الاحتفاظ بها .
3- بيان نظم التأمين وأماكن التخزين المؤقتة والنهائية) والإجراءات المتخذة الحماية البيانات حال نقلها للمقصد النهائي .
4- تقديم ما يفيد الالتزام بالمعايير والضوابط والقواعد اللازمة لنقل أو تخزين أو مشاركة البيانات عبر الحدود .
5- تحديد بيانات كافية عن أماكن التخزين المؤقتة والنهائية طبقا للنماذج الصادرة عن المركز .
الإجراءات الخاصة للحصول على ترخيص أو تصريح لنقل البيانات الشخصية عبر الحدود للأشخاص الاعتبارية والطبيعية
مادة (26)
يتقدم ممثل الشخص الاعتباري أو الطبيعي بطلب إلى المركز للحصول على ترخيص أو تصريح ، بحسب الأحوال ، لنقل البيانات الشخصية عبر الحدود من خلال البوابة الإلكترونية المخصصة لذلك، على أن يشتمل الطلب على جميع البيانات
والمستندات المشار إليها في المادتين (24) و (25) من هذه اللائحة .
ويتولى المركز دراسة الطلب من خلال فرق عمل متخصصة ، وفقا للإجراءات والقواعد المقررة ، وله التواصل مع مقدم الطلب حال الحاجة إلى استيضاح أى نقاط أو استيفاء أي مستندات لازمة للبت فيه .
ويقوم المركز بإبلاغ مقدم الطلب بما انتهت إليه الدراسة سواء بالموافقة أو الرفض ، وذلك خلال مدة لا تجاوز 90 يوم عمل من تاريخ استيفائه الجميع المعلومات والمستندات ، ويُعد عدم الرد بمثابة رفض الطلب .
رسوم الحصول على ترخيص أو تصريح لنقل البيانات الشخصية عبر الحدود
مادة (27)
تكون قيمة الرسوم المقررة للحصول على ترخيص أو تصريح نقل البيانات الشخصية عبر الحدود بنسبة (50%) من قيمة الرسوم المقررة للحصول على ترخيص تصريح متحكم أو / ومعالج ، بحسب الأحوال ووفقا الطبيعة وحجم
البيانات الشخصية .
الترخيص أو التصريح الخاص بالتسويق الإلكتروني المباشر
مادة (28)
يصدر الترخيص أو التصريح للمتحكم أو المعالج ، بحسب الأحوال ، المقدمي خدمات التسويق الإلكتروني .
ويتيح هذا الترخيص أو التصريح استخدام البيانات الشخصية في مجالات وأنشطة التسويق الإلكتروني المباشر للنفس أو للغير، وذلك وفقا للشروط والضوابط المقررة قانونا .
فئات الترخيص التصاريح بالتسويق الإلكتروني المباشر
مادة (29)
تحدد فئات الترخيص التصاريح الخاص بالتسويق الإلكتروني المباشر على النحو الآتي :
فئة أولى : الترخيص / التصاريح المتعلق بالتسويق الإلكتروني المباشر للغير : يصدر هذا الترخيص للمتحكم و/أو المعالج من مقدمي خدمات التسويق الإلكتروني المباشر للغير بهدف ترويج سلع أو خدمات أنشطة الغير .
فئة ثانية : الترخيص / التصاريح المتعلق بالتسويق الإلكتروني المباشر للنفس : يصدر هذا الترخيص للمتحكم و/أو المعالج المرخص له بهدف ترويج سلع أو خدمات نشاطه .
كما تحدد قيمة الرسوم المقررة للحصول على الترخيص التصاريح الخاص بالتسويق الإلكتروني على النحو الآتي :
تكون قيمة رسوم ترخيص أو تصريح التسويق الإلكتروني للنفس بنسبة قدرها 10% من قيمة رسوم ترخيص تصريح المتحكم و / أو المعالج ، وتكون قيمة ترخيص أو تصريح التسويق الإلكتروني للغير بنسبة قدرها 25% من قيمة رسوم ترخيص تصريح المتحكم أو المعالج .
ضوابط الحصول على ترخيص تصريح بالتسويق الإلكتروني المباشر
مادة (30)
يكون الحصول على ترخيص تصريح بالتسويق الإلكتروني بغنائه المختلفة ، وفقا للضوابط الآتية :
1- تقديم ما يفيد الحصول على موافقة الجهة المختصة بمزاولة النشاط .
2- الحصول على ترخيص تصريح متحكم أو المعالج .
3- بیان آليات الحصول على موافقة الشخص المعنى بالبيانات على تلقى الاتصال الإلكتروني المباشر بشأن السلعة الخدمة التي يقوم بالتسويق لها .
4- تحديد آليات تمكين الشخص المعنى بالبيانات من رفض الاتصال الإلكتروني أو العدول عن موافقته المسبقة على استقبال تلك الاتصالات .
5- الإمساك بسجلات الكترونية خاصة بتسجيل موافقات الشخص المعنى بالبيانات وما يطرأ عليها من طلبات المحو أو التعديل .
ترخيص تصريح استخدام وسائل المراقبة البصرية في الأماكن العامة
مادة (31)
يصدر المركز الترخيص التصريح لاستخدام وسائل المراقبة البصرية في الأماكن العامة ، والتي من شأنها إتاحة عرض أو تسجيل صور أو فيديوهات للأشخاص الطبيعية وحيازتها ، ويمكن من خلالها الاستدلال عليهم ، وذلك وفقا
للشروط الآتية :
1- الحصول على التراخيص والتصاريح والموافقات اللازمة من الجهات المختصة لاستخدام وسائل المراقبة البصرية في الأماكن العامة .
2- الإعلان في أماكن ظاهرة عن تواجد وسائل مراقبة بصرية .
3- ألا يتم نقل/ إتاحة تسجيل / معالجة ما تم رصده من خلال تلك الوسائل إلى خارج النطاق الجغرافي لجمهورية مصر العربية إلا للأسباب المقررة قانوناً .
4- عدم إجراء أي معالجة من شأنها الوصول للبيانات الشخصية من خلال الصورة الشخصية أو الفيديوهات باستخدام تقنيات مثل تمييز الوجوه Face Recognition أو غيرها من التقنيات المماثلة ، إلا في الأحوال المقررة قانوناً ، أو بموافقة صريحة للشخص المعنى بالبيانات .
5- اتخاذ الإجراءات والتدابير التي تلزم القائمين على العمل بأنظمة وسائل المراقبة البصرية في الأماكن العامة بالحفاظ على سرية تلك البيانات وعدم استخدامها أو تداولها أو الإفصاح عنها بأى صورة من الصور ، إلا للأسباب المقررة قانونا .
6- اتباع الإجراءات والتدابير الصادرة عن المركز والتي تضمن تأمين التسجيلات التي يتم جمعها من خلال وسائل المراقبة البصرية وحمايتها من الاختراق .
7-تمكين المركز من اتخاذ إجراءات الرقابة والتفتيش اللازمة على أنظمة وسائل المراقبة البصرية في الأماكن العامة لتحقيق أهدافه واختصاصاته المقررة قانوناً .
8- ويستثنى من ذلك وسائل المراقبة البصرية الخاصة بمحال إقامة الأفراد على ألا تتجاوز حدودها المكانية .
تكون قيمة الرسوم المقررة للحصول على ترخيص لاستخدام وسائل المراقبة البصرية في الأماكن العامة 1000 جنيه كل ثلاث سنوات ، وتكون قيمة الرسوم المقررة للحصول على تصريح لاستخدام وسائل المراقبة البصرية في الأماكن العامة
500 جنيه سنويا .
شروط الحصول على شهادة الاعتماد لتقديم الاستشارات الخاصة بإجراءات حماية البيانات الشخصية للأشخاص الطبيعية
مادة (32)
يشترط للحصول على شهادة الاعتماد لتقديم الاستشارات الخاصة بإجراءات حماية البيانات الشخصية للأشخاص الطبيعية الآتي :
1- أن يكون المتقدم حاصلا على مؤهلات دراسية أو شهادات احترافية مع توافر الخبرة العملية في المجالات ذات الصلة
2- اجتياز الاختبارات المعتمدة من المركز وفقا لطبيعة وحجم نشاط البيانات الشخصية محل طلب القيد .
3- ألا يكون قد سبق إدانته فى أى من الجرائم المخلة بالشرف والأمانة .
شروط الحصول على شهادة الاعتماد لتقديم الاستشارات الخاصة بإجراءات حماية البيانات الشخصية للأشخاص الاعتبارية
مادة (33)
يشترط للحصول على شهادة الاعتماد لتقديم الاستشارات الخاصة بإجراءات حماية البيانات الشخصية للأشخاص الاعتبارية الآتي :
1- تقديم ما يفيد طبيعة نشاط الشخص الاعتباري وسنده .
2- توافر الخبرة العملية في المجالات ذات الصلة .
3- تقديم ما يفيد حصول العاملين لديه في مجال الاستشارات الخاصة بإجراءات حماية البيانات الشخصية على شهادة اعتماد من المركز وتصريح ساري بمزاولة العمل بمجال الاستشارات .
رسوم الحصول على شهادة الاعتماد لتقديم الاستشارات في مجال حماية البيانات الشخصية للأشخاص الطبيعية/ الأشخاص الاعتبارية
مادة (34)
تكون قيمة الرسوم المقررة الحصول على شهادة الاعتماد لتقديم الاستشارات على النحو الآتي :
. للشخص الطبيعي : خمسة آلاف جنيه سنويا .
. للشخص الاعتباري : خمسين ألف جنيه سنويا .
وتكون مدة صلاحية شهادة الاعتماد ثلاث سنوات من تاريخ إصدارها ، وتجدد الشهادة لمدد مماثلة بذات الرسوم المشار إليها .
البيانات والمستندات اللازمة للحصول على الترخيص التصريح للأشخاص الاعتبارية
مادة (35)
يشترط للحصول على ترخيص تصريح للأشخاص الاعتبارية تقديم البيانات والمستندات الآتية :
1- صورة من السجل التجارى للشخص الاعتباري ، وبيان عنوانه ، وممثله القانوني ، والهيكل التنظيمي له وطبيعة نشاطه ، ووسائل التواصل معه (تليفون – بريد إلكتروني) .
2- تحديد فئة الترخيص التصريح المطلوب الحصول عليه .
3- طبيعة وحجم البيانات الشخصية، وتحديد البيانات الحساسة منها .
4-مدة الاحتفاظ بالبيانات الشخصية .
5- تحديد إجراءات التأمين الخاصة بنقل البيانات الشخصية .
6- بيان آلية محو وتعديل البيانات وفقا لرغبة الشخص المعنى أو للأسباب التي يقررها القانون.
7- تحديد طريقة تخزين البيانات .
8- تحديد مسئول حماية البيانات .
9- بيان آلية الحصول على موافقة الشخص المعني بالبيانات .
10- استيفاء كافة البيانات الفنية عن البنية التحتية المستخدمة ، ومنها (تصنيف مركز البيانات أنواع الأجهزة المستخدمة – الشهادات والاعتمادات الفنية الحالية للشركة من الجهات المختلفة) ، ومدى مطابقتها للاشتراطات والالتزامات الفنية
والتشغيلية الواجب توافرها والتي يحددها المركز .
11- تقديم الشهادات والاعتمادات الفنية التي حصل عليها طالب الترخيص التصريح في شأن تأمين الاحتفاظ بالبيانات الشخصية ومعالجتها ، مع تحديد الجهات المانحة لها ، وتاريخ الحصول عليها ومدة صلاحيتها .
إجراءات الحصول على التراخيص التصاريح للأشخاص الاعتبارية
مادة (36)
يصدر المركز التراخيص التصاريح للأشخاص الاعتبارية من خلال بوابة الكترونية تنشأ بغرض تلقي الطلبات الخاصة باستخراج التراخيص التصاريح للأشخاص الاعتبارية ، وفقا للإجراءات الآتية :
1- يقدم طلب الحصول على أى من التراخيص التصاريح المحددة بهذه اللائحة إلى المركز من خلال البوابة الإلكترونية المخصصة لذلك، على أن يشتمل الطلب على جميع البيانات والمستندات المبينة بهذه اللائحة لكل فئة من فئات التراخيص
واستيفاء الاشتراطات الأخرى التي يحددها المركز.
2- يتولى المركز دراسة الطلب من خلال فرق العمل المتخصصة ، وفقا للإجراءات والقواعد المقررة ، وله التواصل مع مقدم الطلب حال الحاجة إلى استيضاح أي نقاط أو استيفاء أى مستندات لازمة للبت في الطلب .
3- يقوم المركز بإبلاغ مقدم الطلب بما انتهت إليه الدراسة سواء بالموافقة أو الرفض ، وذلك خلال مدة لا تجاوز 90 يوم عمل من تاريخ استيفاته لجميع البيانات والمستندات، ويعد عدم الرد بمثابة رفض للطلب .
البيانات والمستندات اللازمة للحصول على التصريح للأشخاص الطبيعية
مادة (37)
يشترط الحصول على تصريح للأشخاص الطبيعية تقديم البيانات المستندات الآتية :
1 – صورة من تحقيق الشخصية ، وصحيفة الحالة الجنائية ، والمؤهلات الدراسية ، وطبيعة العمل الذي يتولاه .
2- طبيعة التصريح المطلوب الحصول عليه وفئته .
3- الغرض من الحصول على التصريح .
4- طبيعة وحجم البيانات الشخصية المتعامل عليها ، وتحديد البيانات الحساسة منها .
5- تحديد مدة الاحتفاظ بالبيانات الشخصية .
6- بيان آلية محو وتعديل البيانات الشخصية وفقا لرغبة الشخص المعني بالبيانات أو للأسباب التي يقررها القانون .
7- تحديد طريقة تخزين البيانات الشخصية .
8-بيان آلية الحصول على موافقة الشخص المعني بالبيانات الشخصية وتسجيلها .
9- استيفاء كافة البيانات الفنية عن البنية التحتية المستخدمة ومنها (انواع الأجهزة المستخدمة – الشهادات والاعتمادات الغنية الحالية) ، ومدى مطابقتها للاشتراطات والالتزامات الفنية والتشغيلية الواجب توفرها والتي يحددها المركز .
10- تقديم الشهادات والاعتمادات الفنية التي حصل عليها طالب التصريح في شان تأمين الاحتفاظ بالبيانات الشخصية ومعالجتها، مع تحديد الجهات المانحة لها ، وتاريخ الحصول عليها ومدة صلاحيتها .
إجراءات الحصول على التصاريح للأشخاص الطبيعية
مادة (38)
يصدر المركز التصاريح للأشخاص الطبيعية من خلال بوابة الكترونية تنشأ بغرض تلقى الطلبات الخاصة باستخراج التصاريح للأشخاص الطبيعية . وفقا للإجراءات الآتية :
1- يقدم طلب الحصول على أى من فئات التصاريح المحددة بهذه اللائحة إلى المركز من خلال البوابة الإلكترونية المخصصة لذلك، على أن يشتمل الطلب على جميع البيانات والمستندات المبينة بهذه اللائحة لكل فئة من فئات التصاريح واستيفاء الاشتراطات الأخرى التي يحددها المركز .
2- يتولى المركز دراسة الطلب من خلال فرق العمل المتخصصة ، وفقا للإجراءات والقواعد المقررة ، وله التواصل مع مقدم الطلب حال الحاجة إلى استيضاح أي نقاط أو استيفاء أي مستندات لازمة للبت في الطلب .
3-يقوم المركز بإبلاغ مقدم الطلب بما انتهت إليه الدراسة سواء بالموافقة أو الرفض وذلك خلال مدة لا تجاوز 90 يوم من تاريخ استيفاته لجميع البيانات والمستندات ، وبعد عدم الرد بمثابة رفض الطلب .
وفي حالة قبول المركز الطلب يكون التصريح للشخص الطبيعي لمدة لا تجاوز عام ، ويكون هو المسئول عن تطبيق أحكام القانون والقائم بأعمال مسئول حماية البيانات .
أحكام واشتراطات عامة للتراخيص التصاريح للأشخاص الاعتبارية والطبيعية
مادة (39)
– تلتزم كل من الجمعيات والنقابات والنوادي ، حال تعاملها على البيانات الشخصية الخاصة بأعضائها وفي إطار أنشطتها، بالحصول على التراخيص التصاريح اللازمة لذلك وفقا للضوابط والشروط المبينة بالقانون وهذه اللائحة .
– وفي حالة زيادة أعداد سجلات البيانات الشخصية عن البيانات الصادر عنها الترخيص أو التصريح فيتعين على الأشخاص الطبيعية والاعتبارية التقدم للمركز لتعديل الترخيص / التصريح طبقاً لطبيعة وحجم البيانات وفئاتها .
– وتلتزم الأشخاص الاعتبارية الراغبة في الحصول على تراخيص أو تصاريح وفقا لأحكام القانون وهذه اللائحة بالحصول على الموافقات اللازمة المزاولة نشاطها .
تجديد التراخيص / التصاريح
مادة (40)
أولاً – تجديد التراخيص :
ينتهي الترخيص بانتهاء مدته، ويجوز تجديده لمدد أخرى بموجب طلب يتقدم به المرخص له إلى المركز وفق الآليات التي يحددها ، وذلك قبل نهاية مدة الترخيص بثلاثة أشهر على الأقل.
ويكون التجديد وفقا للضوابط والشروط وبعد سداد الرسوم المقررة الإصدار الترخيص .
ثانيا – تجديد التصاريح :
ينتهي التصريح بانتهاء مدته، ويجوز تجديده لأكثر من مرة بموجب طلب يتقدم به المصرح له إلى المركز وفق الآليات التي يحددها ، وذلك قبل نهاية مدة التصريح بشهر على الأقل .
ويكون التجديد وفقا للضوابط والشروط وبعد سداد الرسوم المقررة لإصدار التصريح .
نماذج التراخيص / التصاريح / الاعتمادات
مادة (41)
تعد النماذج الخاصة بالتقدم للحصول على التراخيص التصاريح الاعتمادات في صورة الكترونية تقدم عبر منصة تفاعلية من خلال البوابة الإلكترونية للمركز .
ويتحدد نوع النموذج والشروط والضوابط والإجراءات اللازمة للحصول على التراخيص التصاريح / الاعتمادات في ضوء طبيعة نشاط المتقدم ، والبيانات التي يقوم باختيارها من المحتوى المسجل على المنصة والمتضمن كافة الشرائح والقات والمستويات الخاصة بحجم البيانات الشخصية وطبيعتها وأساليب حفظها وتأمينها والغرض منها وغيرها من المعايير والضوابط والتدابير الأخرى التي يرى مجلس إدارة المركز اعتمادها لحماية البيانات الشخصية .
ويصدر النموذج الكترونيا بعد مراجعة المتطلبات والمستندات والبيانات اللازمة لإصداره ، ومنها الآتي :
1- بيان نوع البيانات الشخصية، والغرض من الاحتفاظ بها أو معالجتها .
2- بيان بالمدد الزمنية للاحتفاظ بالبيانات الشخصية ، و التزام المرخص المصرح له بمحو هذه البيانات فور القضاء الغرض المحدد منها .
3- ما يفيد إمساكه سجل خاص للبيانات الشخصية يتضمن فتاتها ، وتحديد من سيفصح أو يتيح لهم تلك البيانات ، وسند ذلك ، وآليات محوها لديه أو تعديلها ، وكذا أي بيانات أخرى متعلقة بنقل البيانات الشخصية عبر الحدود .
4- بيان بآلية الحصول على موافقة الشخص المعني بالبيانات .
5- إقرار بالالتزامات الخاصة بأمن البيانات الشخصية .
6- إقرار بتوفير الإمكانيات اللازمة بما يمكن المركز من التفتيش والرقابة .
7- إقرار المتعاملين مع المرخص له بضمان سرية البيانات الشخصية .
8- إقرار بالوفاء بالجزاءات المالية والتعويضات التي يقرها المركز .