Follow ICT
شعار الموقع الاساسى
جايزة 160
جايزة 160

10 معلومات عن قانون حماية البيانات الجديد وموعد تنفيذه

بعد عدة سنوات من النقاش، أطلقت الحكومة المصرية أول قانون مستقل بشأن حماية البيانات للجمهورية، والذي يهدف إلى تنظيم وحماية بيانات المواطنين على الإنترنت، وفي 15 يوليو 2020، نُشر القرار رقم 151 لسنة 2020 بإصدار قانون حماية البيانات الجديد في الجريدة الرسمية.

وعلّق مكتب بيكر ماكينزي مصر للاستشارات القانونية والمحاماة، على هذا القانون، من خلال شرح وتحليل حصل عليه Follow ICT وننشره على النحو التالي:

يقول التقرير أن القانون تمت صياغة أحكامه على غرار اللائحة العامة للاتحاد الأوروبي لحماية البيانات GDPR، كما يتبنى القانون مفاهيم وتعريفات مماثلة، ومن المأمول أن يساعد القانون الجديد مصر على جذب الاستثمار الأجنبي من خلال زيادة ثقة المستهلك في معالجة البيانات الإلكترونية ووضع معايير واضحة للشركات التي تتطلع إلى الاستفادة من نمو الاقتصاد الرقمي.

موعد بدء العمل بقانون حماية البيانات الجديد

يدخل القانون حيز النفاذ بعد ثلاثة أشهر من تاريخ نشره في الجريدة الرسمية (أي في 15 أكتوبر 2020).

آليات تنفيذ القانون

كجزء من القانون الجديد، سيصدر وزير الاتصالات وتكنولوجيا المعلومات لائحة القانون (اللائحة) في غضون ستة أشهر أخرى من تاريخ دخول القانون حيز النفاذ في مصر.

الدكتور عمرو طلعت وزير الاتصالات

وستنص اللائحة بمزيد من التفصيل، دور الجهة الرقابية الجديدة وكيفية إنفاذ القانون الجديد، وستحصل الشركات على فترة سماح مدتها 12 شهرًا للامتثال للقانون من تاريخ نشر اللائحة (على سبيل المثال، من المتوقع أن يكون الامتثال مطلوبًا في غضون 18 شهرًا على الأقل من 15 أكتوبر 2020، إذا تم إصدار اللائحة بشكل فعال في غضون 6 أشهر وقد يستغرق إصدار اللائحة وقتًا أطول).

وفي هذا الإشعار، يقدم مكتب حلمي حمزة وشركائهما (التابع لمكتب بيكر ماكينزي مصر) نظرة عامة حول الأحكام الرئيسية لمساعدة الشركات في الاستعداد لتطبيق القانون الجديد:

النقاط الرئيسية

يسري القانون اعتبارًا من 15 أكتوبر 2020 وسيكون أمام الشركات 18 شهرًا على الأقل من هذا التاريخ للامتثال.

تتيح فترة السماح للشركات الوطنية المصرية فترة زمنية سخية للنظر في تأثير القانون ووضع برنامج امتثال مناسب، نظرًا لأن العديد من المتطلبات ستكون جديدة تمامًا بالنسبة لهم.

يفرض القانون التزامات على كل من المتحكم ومعالج البيانات، على الرغم من أن العديد من الالتزامات المفروضة مباشرة على معالجي البيانات تعكس على وجه التحديد دورهم المحدود في إملاء طريقة ووسائل معالجة البيانات الشخصية.

سرقة البيانات الشخصية

وفقًا للقانون قد يرتكب الجرائم:

الشركات المصرية العاملة في مصر أو في الخارج.

الشركات الأجنبية العاملة في مصر.

الشركات الأجنبية، متى كانت الجريمة يُعاقب عليها القانون في الدولة التي يوجد بها الجاني، وكانت البيانات لشخص معنيّ من المصريين المقيمين في مصر أو من الأجانب المقيمين بها.

يقدم القانون موعدًا نهائيًا للإبلاغ عن الخرق على غرار اللائحة العامة للاتحاد الأوروبي لحماية البيانات، فعلى وجه التحديد، يجب إخطار الجهة الرقابية (كما هو محدد أدناه) بانتهاكات البيانات من المتحكم أو المعالج، حسب الأحوال، في غضون 72 ساعة.

تلتزم الشركات الأجنبية التي تعالج البيانات الشخصية في مصر بتعيين ممثل لها في مصر، وسيتم نشر مزيد من التفاصيل في اللائحة.

يجب على كل متحكم ومعالج بيانات في مصر تعيين مسؤول حماية بيانات مقيم في مصر.

يفرض القانون أيضًا إطار عمل للترخيص والتصاريح والاعتماد الأمني لمعالجة البيانات، ومراقبتها والتعامل في البيانات الحساسة، والتسويق الإلكتروني، ونقل البيانات عبر الحدود.

ويجب على الشركات تتبع نشر اللائحة، والتي ستنص على المزيد من التفاصيل حول الأحكام الرئيسية في القانون مثل تطبيقه خارج الحدود الإقليمية.

نطاق التطبيق

تنطبق المادة 1 من القانون فقط على البيانات الشخصية التي تمت معالجتها إلكترونيًا، سواء جزئيًا أو كليًا، وبالتالي لا تنطبق على البيانات المحفوظة حصريًا بتنسيق مادي، وهذا يتعارض مع الموقف في اللائحة العامة للاتحاد الأوروبي لحماية البيانات (GDPR) وقوانين حماية البيانات المعمول بها في بعض البلدان الأفريقية الأخرى.

تحدد المادة 3 عددًا من الاستثناءات المهمة للقانون، على سبيل المثال عندما يكون معالج البيانات شخص طبيعي ويعالجها للاستخدام الشخصي، أو متى يتم استخدام البيانات لأغراض إعلامية بشرط أن تكون صحيحة ودقيقة وتستخدم فقط لهذا الغرض، أو بالنسبة للبيانات الشخصية التي يملكها البنك المركزي المصري أو أي من الكيانات الخاضعة لاختصاصه (باستثناء شركات تحويل الأموال والصرافة).

الجرائم المنصوص عليها في القانون تنطبق خارج الحدود الإقليمية، ولا يتم تطبيق العقوبات إلا إذا كانت الجريمة مُعاقب عليها أيضَا بموجب القانون (بأي شكل) في البلد الأجنبي الذي وقع فيه الجُرم، ويكون الجناة الذين تم القبض عليهم من المصريين أو الأجانب داخل مصر أو خارجها وأن يتعلق موضوع البيانات بمصريين أو غير مصريين مقيمين في مصر.

يبقى أن نرى إلى أي مدى ستوضح اللائحة كيفية تطبيق القانون على المتحكم والمعالج الأجنبي، بالإضافة إلى ذلك، نلاحظ أن المادة 3 يمكن أن تؤدي إلى معاقبة الشركة مرتين إذا كان صاحب البيانات مصريًا يقيم في بلد أجنبي، وأن خرق القانون المرتكب يؤدي أيضًا إلى فرض عقوبات بموجب قانون البلد الأجنبي.

شروط المعالجة

بموجب المادة 3 من القانون، تم تكرار العديد من المبادئ الأساسية نفسها للائحة العامة للاتحاد الأوروبي لحماية البيانات، مثل أن المعالجة يجب أن تكون قانونية وشفافة وأنه يجب الاحتفاظ بالبيانات الشخصية التي تم جمعها لمدة لا تزيد عن الوقت اللازم للوفاء بالغرض المقصود، وينطبق الشيء نفسه أيضًا على القواعد القانونية التي يمكن أن يعتمدها المتحكمون في معالجة البيانات الشخصية بشكل شرعي، وتشمل هذه موافقة صاحب البيانات حيث تكون المعالجة في مصلحة المتحكم المشروعة (بشرط ألا تتعارض هذه الأخيرة مع الحقوق والحريات الأساسية للمعني بالبيانات).

الإذن بمعالجة البيانات الشخصية الحساسة هو الأكثر صرامة، والأهم من ذلك أن تعريف البيانات الحساسة بموجب القانون يشمل بيانات الأطفال والتي تتطلب موافقة ولي الأمر القانوني، والموافقة مطلوبة أيضًا كأساس قانوني للتسويق المباشر.

مسؤول حماية البيانات الشخصية

تعيين مسؤول حماية البيانات

يجب على المتحكم ومعالج البيانات الشخصية تعيين مسؤول حماية البيانات (DPO) الذي سيكون نقطة الاتصال الأساسية للشركة ذات الصلة في جميع التعاملات مع الجهة الرقابية، وستحتفظ الجهة الرقابية بسجل رسمي لجميع مسؤولي حماية البيانات المسجلين، والأهم من ذلك لا يوجد بموجب القانون أي استثناءات من هذا الالتزام للشركات الصغيرة.

ينص القانون على أن مسؤول حماية البيانات هو المعني بتنفيذ مقتضيات القانون ويحدد أيضًا مجموعة من الواجبات الإضافية عليه في المادة 9، ويتوخى القانون حاليًا أن يكون مسؤول حماية البيانات موظفًا في شركة مصرية، ومن ثم يبدو في الوقت الحالي عدم إمكانية الاستعانة بمصادر خارجية لهذه الوظيفة، ومن المأمول أن توضح اللائحة هذه النقطة، وما إذا كان يمكن تعيين مسؤول حماية بيانات عالمي أو مجموعة شركات (أي لتلبية التزامات العديد من الشركات داخل مجموعة الشركات).

بالنسبة للمتحكمين في البيانات خارج مصر، يجب تعيين ممثل محلي كنقطة اتصال لأصحاب البيانات المصريين والجهة الرقابية.

نقل البيانات عبر الحدود

تنص المادة 14 من القانون على أنه من أجل نقل البيانات الشخصية خارج مصر، يجب أن تحصل الشركة على ترخيص من الجهة الرقابية ويجب ألا تُنقل البيانات الشخصية إلا إلى الدولة التي توفر نفس مستوى الحماية للبيانات الشخصية التي توفرها مصر بموجب القانون.

تنص المادة 15 على عدد من الاستثناءات من قيود المادة 14، والتي تشترط جميعها أولاً على الحصول على الموافقة الصريحة لصاحب البيانات.

شروط الإخطار

في حالة حدوث خرق أمني، بخلاف ما تنص عليه اللائحة العامة للاتحاد الأوروبي لحماية البيانات (GDPR)، يتعين على كل من المتحكم والمعالج إبلاغ الجهة الرقابية بالحادثة في غضون 72 ساعة، وفي حالة حدوث خرق يؤثر على الأمن القومي، يجب على الشركات الإبلاغ عن الحادث إلى الجهة الرقابية وجهات الأمن القومي على الفور، بما في ذلك وزارة الداخلية وجهاز المخابرات العامة وغيرها.

ويجب أن تكون الشركات على دراية أيضًا بالالتزام الحالي بالإبلاغ عن أي هجمات إلكترونية إلى الجهاز القومي لتنظيم الاتصالات كجزء من قانون مكافحة جرائم الإنترنت والجرائم التكنولوجية.

حقوق صاحب البيانات

تورد المادة 2 من القانون بالتفصيل قائمة بالحقوق الممنوحة لأصحاب البيانات فيما يتعلق ببياناتهم الشخصية، والتي تشمل، من بين أمور أخرى، الحق في إلغاء الموافقة على المعالجة، والاعتراض عليها، وتصحيح بياناتهم. ومع ذلك، ومن المثير للاهتمام، أن ممارسة هذه الحقوق يمكن أن تخضع لدفع رسوم تصل إلى 20000 جنيه مصري كحد أقصى (ما يعادل حوالي 1250 دولارًا أمريكيًا).

وعلى عكس اللائحة العامة للاتحاد الأوروبي لحماية البيانات، وكجزء من الالتزام بالشفافية، لا يتعين على المتحكمين في البيانات في مصر الكشف عن إشعار الخصوصية قبل معالجة البيانات الشخصية، ومع ذلك يجب عليهم الاحتفاظ بسجل وفقًا للمادة 4 التي تصف آلية حذف هذه البيانات وفترة الاحتفاظ بها وما إلى ذلك.

سرقة البيانات الشخصية

الجهة الرقابية والعقوبات

سيتم إنفاذ القانون من خلال إنشاء جهة جديد رقابية لحماية البيانات تُسمى مركز حماية البيانات الشخصية (الجهة الرقابية)، تنص المادة 19 على قائمة شاملة بواجبات واختصاصات الجهة الرقابية التي ستكون مسؤولة على وجه الخصوص عن إصدار التراخيص للشركات من أجل معالجة البيانات أو إجراء عمليات نقلها عبر الحدود وستنظر هذه الجهة الرقابية خلال 90 يومًا في طلب الحصول على الترخيص، وسيكون الحد الأقصى لرسوم الطلب 2 مليون جنيه مصري (ما يعادل حوالي 125000 دولار أمريكي).

قد يؤدي عدم الانصياع للقانون إلى فرض الجهة الرقابية عقوبات جنائية ومالية مرهقة على كل من المتحكم والمعالج، حسب الظروف، كما يمكن أيضًا تحميل المديرين المسؤولية الشخصية عن الانتهاكات التنظيمية.

تشمل بعض المخالفات والعقوبات الرئيسية ما يلي:

المادة 36 – الإفصاح غير القانوني عن البيانات الشخصية، والذي سينتج عنه غرامة تتراوح بين 100000 إلى 1 مليون جنيه مصري (6300 دولار أمريكي إلى 63000 دولار أمريكي)، وستُضاعف الغرامات إذا كان الإفصاح لتحقيق منفعة أخلاقية على حساب صاحب البيانات، وإلى أيضًا السجن لمدة لا تقل عن ستة أشهر، وإذا كان الإفصاح غير المصرح به يتعلق ببيانات حساسة، فإن الغرامات المفروضة ستتراوح بين 500000 إلى 5 ملايين جنيه مصري (ما يعادل حوالي 31000 دولار أمريكي إلى 315000 دولار أمريكي) والسجن لمدة ثلاثة أشهر على الأقل.

المادة 40 – عدم تعيين مسؤول حماية البيانات أو عدم قيام مسؤول حماية البيانات بتنفيذ واجباته سيؤدي إلى غرامة تتراوح بين 200000 إلى 2 مليون جنيه مصري (ما يعادل حوالي 12500 دولار أمريكي إلى 125000 دولار أمريكي).

المادة 42 – سيؤدي انتهاك شروط نقل البيانات عبر الحدود إلى غرامة تتراوح بين 500000 إلى 5 ملايين جنيه مصري (ما يعادل حوالي 31000 دولار أمريكي إلى 315000 دولار أمريكي) والسجن لمدة ثلاثة أشهر على الأقل.

المادة 42 – يترتب على مخالفة قواعد التسويق الإلكتروني غرامة لا تقل عن 200000 جنيه مصري إلى 2 مليون جنيه مصري (ما يعادل حوالي 12500 دولار أمريكي إلى 125000 دولار أمريكي).

القانون يدعم خطة التحول الرقمي

وفي نهاية التقرير، أكدت بيكر ماكينزي أن القانون الجديد يمثل خطوة مهمة نحو تعزيز حقوق الخصوصية للمصريين المقيمين في مصر وإنشاء أساس قانوني شفاف ومتين لدعم نمو قطاع التكنولوجيا المصري ودفع التحول الرقمي في مصر إلى الأمام.

وشددت على أن الشركات المحلية أمامها الكثير من العمل الذي يتعين عليهم القيام به، مع التوصية بالبدء الآن في التفكير في الخطوات التي يتعين عليهم اتخاذها لتحقيق الامتثال، وبينما تبدو فترة السماح سخية، إلا أننا ندرك من واقع خبرتنا في إعداد الشركات لإنفاذ اللائحة العامة للاتحاد الأوروبي لحماية البيانات أن العمل سيستغرق وقتًا طويلًا. أما بالنسبة للمنظمات متعددة الجنسيات الممتثلة بالفعل للائحة العامة لحماية البيانات أو غيرها من الأطر المماثلة الخاصة بالخصوصية فإن القانون لا يقدم الكثير من المبادئ الجديدة، إلا أن السهولة التي سيؤمنها القانون لحصول هذه الشركات على التراخيص والتصاريح تُعد أمرًا هامًا.