السياسات والإجراءات والضوابط والشروط والتعليمات والمعايير القياسية لالتزامات معالجالبيانات الشخصية
تكون معالجة البيانات الشخصية وفقا للضوابط والمعايير والإجراءات والسياسات الآتية :
أولاً – الضوابط والمعايير :
1- الحصول على ترخيص أو تصريح من المركز وفقا للفئات والشروط والإجراءات المحددة بهذه اللائحة ، وذلك دون الإخلال بالالتزامات المقررة من الجهات المختصة بمزاولة أعمال النشاط .
2- إعداد آلية يتم اعتمادها من المركز تحدد حجم البيانات الشخصية والغرض من المعالجة ، وبما يسمح بتسجيل موافقة الشخص المعني بالبيانات على ذلك وما يفيد إخطار المتحكم والشخص المعني بالبيانات وكل ذى صفة بالمدة اللازمة للمعالجة .
3- التزام المتعاملين في البيانات الشخصية من العاملين لدى المعالج بالحفاظ على سرية تلك البيانات وعدم استخدامها أو تداولها أو الإفصاح عنها بأي صورة من الصور إلا للأسباب التي يقررها القانون.
4- تمكين مفتشي المركز ، بوصفهم من مأموري الضبط القضائي ، من الاطلاع على السجلات الإلكترونية والتأكد من تطبيق المعايير القياسية والإجراءات التقنية الخاصة بتأمين البيانات وحمايتها ، وما يصدر عن المركز من قرارات تنفيذية في هذا
الشأن ، وتطابق أغراض المعالجة مع طبيعة النشاط المرخص به من المركز .
5- التزام المعالج المتواجد خارج جمهورية مصر العربية ، وليس له فرع أو مكتب تمثيل داخل البلاد بتعيين ممثل له داخلها من خلال فرع للشركة أو مكتب ينوب عنه أو يمثله ، بحسب الأحوال ، ويتم اعتماده من قبل المركز كممثل للمعالج خلال مدة الترخيص أو التصريح ، أما إذا كان المعالج شخصا طبيعيا فيلتزم بتعيين وكيل له داخل جمهورية مصر العربية .
6- حظر معالجة أى من البيانات الشخصية في غرض خلاف غرض المتحكم نشاطه إلا إذا كان يقصد إحصائي أو تعليمي وغير هادف للربح ، وبالشروط الآتية :
(أ) الالتزام بالحصول على موافقة الشخص المعني بالبيانات .
(ب) أن يكون موضوع الدراسة ذا صلة بالبيانات الشخصية التي يتم معالجتها .
(ج) حال تداول البيانات الشخصية بأى صورة من الصور يجب أن يتم ترميزها بحيث لا يمكن من خلالها الاستدلال على الشخص المعنى بالبيانات .
7- التزام المعالج بالتعامل مع البيانات الشخصية ، حال معالجتها واستخدامها العمليات تدريب الذكاء الاصطناعي والتقنيات الناشئة والمبتكرة ، وفقا للمبادئ المتعارف عليها محليا وإقليميا ودوليا، بما يضمن استخدام تلك التقنيات بالصورة التي لا يترتب عليها ثمة ضرر بالشخص المعني بالبيانات .
8-التزام المعالج بحجم ونوعية البيانات الشخصية التي يتيح القانون المنظم لنشاطه الحصول عليها ، وعلى أن تطبق القواعد والضوابط المقررة في القانون على أي بيانات شخصية إضافية حال طلبه لها بما في ذلك قواعد الحفظ والتأمين والنقل ، وذلك حال خلو القانون المنظم لنشاطه من تلك القواعد والضوابط .
ثانيا – الإجراءات والسياسات :
1- اتخاذ الإجراءات والتدابير التأمينية اللازمة لتأمين وحماية البيانات الشخصية أثناء معالجتها ، بما في ذلك الأجهزة والوسائط المستخدمة ، وحفظ البيانات الشخصية بصورة غير مقروءة لضمان سريتها وعدم إمكانية ربطها بالشخص المعنى بالبيانات لغير المصرح لهم بذلك.
2- اتخاذ الإجراءات التقنية والتنظيمية التي تضمن قدرته على استعادة البيانات الشخصية والوصول إليها في توقيت مناسب ، وحصرها عند حصول أي حادث مادي أو تقني .
3- الاعتماد في سياسات العمل على إعداد سجل إلكتروني مؤمن ، يتضمن الآتي :
-قيد ووصف عمليات المعالجة التي يجربها ، و فئات البيانات الشخصية التي يستخدمها ونطاق استخدامها ، على أن يتضمن السجل بيانات المعالج ، وصورة عقد المعالجة المبرم مع المتحكم ، وبيانات مسؤول حماية البيانات الخاص بالمتحكم ، وبيانات الممثل القانوني للمتحكم ، ومعايير المعالجة ، وفي حالة نقل البيانات عبر الحدود توضيح البلاد التي يتم نقل البيانات لها ، والنظم الخاصة بتأمينها ومسار البيانات ، ووصف عام للمعايير التقنية المستخدمة لحماية البيانات .
-المدد الزمنية اللازمة لمعالجة كل فئة من فئات البيانات الشخصية على حدة .
– الإجراءات التنظيمية والتقنية التي يتم اتباعها بشأن تأمين البيانات وعمليات المعالجة والحفظ وبما يمكن المركز من إجراء التفتيش الدوري والتحقق من التزام المعالج بها .
– قيد تاريخ وتوقيت عملية محو البيانات بعد الانتهاء من معالجتها أو ما يفيد تسليمها للمتحكم وفقا للأحوال المقررة قانونا .