كما حددها القانون.. التزامات المتحكم والمعالج للبيانات الشخصية
كتب: علي عبدالجواد
حدد الفصل الثالث من قانون حماية البيانات الشخصية رقم ١٥١ لسنة ٢٠٢٠ وتعديلاته، التزامات المتحكم والمعالج للبيانات الشخصية، والوضع إذا كان المعالج خارج جمهورية مصر العربية، أو كان هناك أكثر من معالج ومتحكم للبيانات في نفس الوقت، ونعرض تفاصيل ذلك فيما يلي؛
التزامات المتحكم والمعالج
أولا : التزامات المتحكم
المادة رقم (٤)
مع مراعاة أحكام المـادة (١٢) من هذا القانون ، يلتزم المتحكم بما يأتى :
الحصول على البيانات الشخصية أو تلقيها من الحائز أو من الجهات المختصة بتزويده بها بحسب الأحوال بعد موافقة الشخص المعنى بالبيانات ، أو فى الأحوال المصرح بها قانونا.
التأكد من صحة البيانات الشخصية واتفاقها وكفايتها مع الغرض المحدد لجمعها.
وضع طريقة وأسلوب ومعايير المعالجة طبقا للغرض المحدد ، ما لم يقرر تفويض المعالج فى ذلك بموجب تعاقد مكتوب.
التأكد من انطباق الغرض المحدد من جمع البيانات الشخصية لأغراض معالجتها.
القيام بعمل أو الامتناع عن عمل يكون من شأنه إتاحة البيانات الشخصية إلا فى الأحوال المصرح بها قانونا.
اتخاذ جميع الإجراءات التقنية والتنظيمية وتطبيق المعايير القياسية اللازمة لحماية البيانات الشخصية وتأمينها حفاظا على سريتها ، وعدم اختراقها أو إتلافها أو تغييرها أو العبث بها قبل أى إجراء غير مشروع.
محو البيانات الشخصية لديه فور انقضاء الغرض المحدد منها ، أما فى حال الاحتفاظ بها لأى سبب من الأسباب المشروعة بعد انتهاء الغرض ، فيجب ألا تبقى فى صورة تسمح بتحديد الشخص المعنى بالبيانات.
تصحيح أى خطأ بالبيانات الشخصية فور إبلاغه أو علمه به.
إمساك سجل خاص للبيانات ، على أن يتضمن وصف فئات البيانات الشخصية لديه ، وتحديد من سيفصح لهم عن هذه البيانات أو يتيحها لهم وسنده والمدد الزمنية وقيودها ونطاقها وآليات محو البيانات الشخصية لديه أو تعديلها وأى بيانات أخرى متعلقة بنقل تلك البيانات الشخصية عبر الحدود ووصف الإجراءات التقنية والتنظيمية الخاصة بأمن البيانات.
الحصول على ترخيص أو تصريح من المركز للتعامل مع البيانات الشخصية.
يلتزم المتحكم خارج جمهورية مصر العربية بتعيين ممثل له فى جمهورية مصر العربية وذلك على النحو الذى تبينه اللائحة التنفيذية.
توفير الإمكانيات اللازمة لإثبات التزامه بتطبيق أحكام هذا القانون وتمكين المركز من التفتيش والرقابة للتأكد من ذلك.
وفى حال وجود أكثر من متحكم يلتزم كل منهم بجميع الالتزامات المنصوص عليها فى هذا القانون ، وللشخص المعنى ممارسة حقوقه تجاه كل متحكم على حدة.
وتحدد اللائحة التنفيذية لهذا القانون السياسات والإجراءات والضوابط والمعايير الفنية لتلك الالتزامات.
ثانيا : التزامات المعالج
المادة رقم ٥
مع مراعاة أحكام المادة (١٢) من هذا القانون ، يلتزم معالج البيانات الشخصية بما يأتى :
إجراء المعالجة وتنفيذها طبقا للقواعد المنظمة لذلك بهذا القانون ولائحته التنفيذية ووفقا للحالات المشروعة والقانونية وبناء على التعليمات المكتوبة الواردة إليه من المركز أو المتحكم أو من أى ذى صفة بحسب الأحوال ، وبصفة خاصة فيما يتعلق بنطاق عملية المعالجة وموضوعها وطبيعتها ونوع البيانات الشخصية واتفاقها وكفايتها مع الغرض المحدد له.
أن تكون أغراض المعالجة وممارستها مشروعة ، ولا تخالف النظام العام أو الآداب العامة.
عدم تجاوز الغرض المحدد للمعالجة ومدتها ، ويجب إخطار المتحكم أو الشخص المعنى بالبيانات أو كل ذى صفة ، بحسب الأحوال ، بالمدة اللازمة للمعالجة.
محو البيانات الشخصية بانقضاء مدة المعالجة أو تسليمها للمتحكم.
القيام بعمل أو الامتناع عن عمل يكون من شأنه إتاحة البيانات الشخصية أو نتائج المعالجة إلا فى الأحوال المصرح بها قانونا.
عدم إجراء أى معالجة للبيانات الشخصية تتعارض مع غرض المتحكم فيها أو نشاطه إلا إذا كان ذلك بغرض إحصائى أو تعليمى ولا يهدف للربح ودون الإخلال بحرمة الحياة الخاصة.
حماية وتأمين عملية المعالجة والوسائط والأجهزة الإلكترونية المستخدمة فى ذلك وما عليها من بيانات شخصية.
عدم إلحاق أى ضرر بالشخص المعنى بالبيانات بشكل مباشر أو غير مباشر.
إعداد سجل خاص بعمليات المعالجة لديه ، على أن يتضمن فئات المعالجة التى يجريها نيابة عن أى متحكم وبيانات الاتصال به ومسئول حماية البيانات لديه ، والمدد الزمنية للمعالجة وقيودها ونطاقها وآليات محو البيانات الشخصية لديه أو تعديلها ، ووصفا للإجراءات التقنية والتنظيمية الخاصة بأمن البيانات وعمليات المعالجة.
توفير الإمكانيات لإثبات التزامه بتطبيق أحكام هذا القانون عند طلب المتحكم وتمكين المركز من التفتيش والرقابة للتأكد من التزامه بذلك.
الحصول على ترخيص أو تصريح من المركز للتعامل على البيانات الشخصية.
يلتزم المعالج خارج جمهورية مصر العربية بتعيين ممثل له فى جمهورية مصر العربية وذلك على النحو الذى تبينه اللائحة التنفيذية.
وفى حال وجود أكثر من معالج ، يلتزم كل منهم بجميع الالتزامات المنصوص عليها فى هذا القانون وذلك فى حال عدم وجود عقد يحدد التزامات ومسئوليات كل منهم بوضوح.
وتحدد اللائحة التنفيذية لهذا القانون السياسات والإجراءات والضوابط والشروط والتعليمات والمعايير القياسية لتلك الالتزامات.