السياسات والإجراءات والضوابط والمعايير الفنية لالتزامات المتحكم في البيانات الشخصية
تكون التزامات المتحكم في البيانات الشخصية وفقا للضوابط والمعايير الفنية والإجراءات والسياسات الآتية :
أولاً – الضوابط والمعايير الفنية :
1- الحصول على ترخيص أو تصريح من المركز وفقا للفئات والشروط والإجراءات المحددة بهذه اللائحة ، وذلك دون الإخلال بالالتزامات المقررة من الجهات المختصة بمزاولة أعمال النشاط .
2 – عدم مخالفة الغرض المرخص أو المصرح به لاستخدام البيانات الشخصية التي يتم تجميعها ومعالجتها للترخيص أو التصريح الصادر للمتحكم من المركز .
3- التحقق من أن البيانات الشخصية التي يتم تجميعها صحيحة من خلال مراجعة مصدر الحصول عليها سواء من العاملين لديه أو الشخص المعني بالبيانات ذاته ، ومدى اتفاق تلك البيانات مع الغرض من جمعها ومعالجتها وفقا للشروط
المقررة بالترخيص أو التصريح الصادر للمتحكم من المركز .
4- محو البيانات الشخصية فور انقضاء الغرض من الاحتفاظ بها وإخطار الشخص المعنى بالبيانات بهذا المحو ، ولا يجوز أن تظل تلك البيانات في صورة تسمح بتحديد الشخص المعنى بالبيانات حال الاحتفاظ بها لأى سبب من الأسباب
المشروعة بعد انتهاء الغرض منها .
5- إعداد آلية معتمدة من المركز تتيح للشخص المعنى بالبيانات التقدم بطلب للعلم ببياناته الشخصية والاطلاع عليها ، أو العدول عن الموافقة المسبقة على الاحتفاظ بها ، أو تصحيح وتعديل بياناته أو تخصيصها للمعالجة في نطاق محدد أو الاعتراض على إجراء أي معالجة لها .
6- التزام المتحكم المتواجد خارج جمهورية مصر العربية ، وليس له فرع أو مكتب تمثيل داخل البلاد بتعيين ممثل له داخلها من خلال فرع للشركة أو مكتب ينوب عنه أو يمثله ، بحسب الأحوال ، ويتم اعتماده من قبل المركز كممثل للمتحكم
خلال مدة الترخيص أو التصريح ، أما إذا كان المتحكم شخصا طبيعيا فيلتزم بتعيين وكيل له داخل جمهورية مصر العربية.
7-تمكين مفتشي المركز ، بوصفهم من مأموري الضبط القضائي ، من الاطلاع على السجلات الإلكترونية والتأكد من تطبيق المعايير القياسية والإجراءات التقنية الخاصة بتأمين البيانات وحمايتها ، وما يصدر عن المركز من قرارات تنفيذية
في هذا الشأن.
8-التزام المتحكم بحجم ونوعية البيانات الشخصية التي يتيح القانون المنظم لنشاطه الحصول عليها ، وعلى أن تطبق القواعد والضوابط المقررة في القانون على أي بيانات شخصية إضافية حال طلبه لها بما في ذلك قواعد الحفظ والتأمين والنقل ، وذلك حال خلو القانون المنظم لنشاطه من تلك القواعد والضوابط .
9- اتخاذ الإجراءات والتدابير اللازمة لإلزام القائمين على جمع البيانات الشخصية لديه بالحفاظ على سرية تلك البيانات وعدم استخدامها أو تداولها أو الإفصاح عنها بأي صورة من الصور إلا للأسباب المقررة قانونا .
ثانيا – الإجراءات والسياسات :
1- إجراء عمليات دورية للاختبار والتقييم لضمان صحة وسلامة البيانات الشخصية المجمعة وذلك وفقا لآليات التقييم والفحص الدوري التي يصدرها المركز .
2-اتخاذ الإجراءات والتدابير اللازمة لتكون بيانات الشخص المعنى بصورة غير مقروءة ، وألا تظل تلك البيانات في صورة تسمح بتحديد الشخص المعنى بالبيانات ، وذلك حال احتفاظ المتحكم بها استنادا لأسباب قانونية أو لاعتبارات الأمن
القومي ، على أن يتم محو تلك البيانات بانتهاء السبب القانوني أو الغرض منها .
3- اتخاذ الإجراءات التقنية اللازمة للحفاظ على سرية البيانات وعدم اختراقها .
4-اتخاذ الإجراءات التقنية والتنظيمية التي تضمن قدرته على استعادة البيانات الشخصية ، والوصول إليها في توقيت مناسب ، وحصرها عند حصول أي حادث مادي أو تقني .
5- ومع عدم الإخلال بالالتزام الخاص بإعداد السجلات الإلكترونية المشار إليه في المادة (۲) من هذه اللائحة ، يلتزم المتحكم في سياسة عمله بإعداد سجلات الكترونية مؤمنة ، تتضمن قيد الآتي :
– طلبات الشخص المعنى بالبيانات المتعلقة بإضافة أو تعديل بياناتهم الشخصية ، على أن يتضمن ذلك تسجيل البيانات المراد تعديلها وما يفيد إتمام التعديل من عدمه وسبب ذلك .
-طلبات الشخص المعنى بالبيانات المتعلقة بمحو بياناته ، والعدول عن موافقته السابقة ، وما يفيد إتمام عملية المحو من عدمه ، وآلية إبلاغ الشخص المعنى بالبيانات بذلك .
– البيانات الشخصية المتحفظ عليها لأسباب قانونية أو لاعتبارات الأمن القومي ، بما يتيح لمفتشي المركز التأكد من تطبيق المعايير القياسية والإجراءات التقنية الخاصة بتأمين تلك البيانات وحمايتها ، ودون السماح للغير بتحديد الشخص
المعني بالبيانات .