الدليل القانوني الأشمل للشركات المصرية الناشئة - الحلقة العاشرة: حماية البيانات
إن إصدار اللائحة العامة لحماية البيانات ، وقانون حماية البيانات المصري رقم 151 لعام 2020 يعني أنه يجب على الشركات الناشئة الالتزام بمجموعة جديدة من المتطلبات القانونية، وإلا ستخضع لعقوبات صارمة. فيما يلي النقاط الرئيسية في إطار كلا من اللائحة العامة لحماية البيانات وقانون حماية البيانات المصري، والتي تهم الشركات الناشئة العاملة في مصر ومنطقة الشرق الأوسط وشمال إفريقيا.
متى تتعارض الشركات الناشئة مع قوانين حماية البيانات؟
تطبق قوانين حماية البيانات على البيانات الشخصية التي يمكنها، بشكل مباشر أو غير مباشر، تحديد هوية الشخص الطبيعي («موضوع البيانات») عندما يتم معالجتها إلكترونيًا من قبل مقدمي الخدمات. وتتضمن هذه البيانات الاسم أو الصوت أو العناوين الإلكترونية أو الصور أو أي مؤشرات للهوية الاجتماعية أو الثقافية أو النفسية لموضوع البيانات (والتي يشار إليها جمعاً بمصطلح «البيانات الشخصية»).
المثال الأكثر شيوعًا للبيانات الشخصية التي تخضع لقوانين حماية البيانات، هي البيانات التي يحولها موضوعات البيانات للحصول على خدمات عبر تطبيقات الهاتف المحمول مثل خدمات توصيل الطعام والمشتريات عبر الإنترنت وعمليات الشراء و الحجوزات عبر الإنترنت والخدمات المماثلة. يصبح مقدم الخدمة ملزمًا بقوانين حماية البيانات عندما يقوم بأحد الأدوار الثلاثة التالية: معالجة البيانات الشخصية أو التحكم في البيانات الشخصية أو كونه حائزاً للبيانات الشخصية.
ما هي قوانين حماية البيانات التي تنطبق على عمليات الشركة الناشئة في مصر؟
عند العمل في مصر، سيتعين على الشركة الناشئة الالتزام بقانون حماية البيانات المصري الصادر مؤخرًا، وهو أول قانون ينظم صراحة حماية البيانات الشخصية المعالجة إلكترونيًا.
ينظم قانون حماية البيانات المصري معالجة والتحكم في وحيازة البيانات الشخصية داخل أراضي مصر، سواء كانت لمواطنين مصريين أو أجانب. كما أنه يتعين، في حالة ورود واشتراك الأجانب في هذه العمليات أن يمتثل مقدم الخدمة للائحة العامة لحماية البيانات الخاصة بالاتحاد الأوروبي.
ما الفرق بين معالجة البيانات الشخصية والتحكم فيها وحيازتها؟ هل هناك فرق جوهري بين الأدوار الثلاثة من منظور كل من اللائحة العامة لحماية البيانات وقانون حماية البيانات المصري؟
كما ذُكر أعلاه، فقد بُني قانون حماية البيانات المصري إلى حد كبير على اللائحة العامة لحماية البيانات، وبالتالي هناك اختلافات قليلة جدًا غير جوهرية بين التشريعين "إن وجدت". ومع ذلك، تجدر الإشارة إلى أنه لم يتم بعد إصدار اللائحة التنفيذية لقانون حماية البيانات المصري، التي من المتوقع أن توضح بالتفصيل العديد من الجوانب المتعلقة بالقانون.
وبناءًا على ذلك، حُددت العمليات الثلاث على النحو التالي:
- المعالج: أي شخص طبيعي أو اعتباري (على سبيل المثال: شركة) يقوم، بحكم طبيعة أنشطته، بمعالجة البيانات الشخصية لصالحه أو لصالح المتحكم بالبيانات.
- المتحكم: أي شخص طبيعي أو اعتباري (على سبيل المثال: شركة) يحق له، بحكم طبيعة أنشطته، الحصول على البيانات الشخصية وتحديد طريقة ومعايير حيازة هذه البيانات أو معالجتها أو التحكم فيها بما يتماشى مع الغرض من أنشطته.
- الحائز: أي شخص طبيعي أو اعتباري (على سبيل المثال: شركة) يحوز بالبيانات الشخصية قانونياً أو وقائعياً بأي شكل من الأشكال، أو بأي وسيلة من وسائل التخزين، بصرف النظر عما إذا كان ذلك الشخص قد احتفظ بالبيانات في البداية أو تم نقلها إليه.
على سبيل المثال، إذا قدم موضوع البيانات معلوماته إلى تطبيق الهاتف المحمول لتوصيل الطعام، فسيتم اعتبار مشغل تطبيقات الهاتف المحمول بمثابة متحكم، وبالتالي يُطلب منه تحديد معايير كيفية نقل البيانات والاحتفاظ بها. إذا تمت معالجة البيانات إلكترونيًا من قبل الشركة الناشئة لتسجيل نوع الطعام وتوجيه السائق المختص لتوصيل الطعام، فسيتم اعتبار الشركة الناشئة كمعالج أيضًا. في جميع الحالات، سيتم دائمًا اعتبار الشركة الناشئة حائزاً للبيانات طالما تم تخزين البيانات داخل قاعدة بياناتها.
ما هي التزامات الشركة الناشئة بموجب قانون حماية البيانات المصري واللائحة العامة لحماية البيانات؟
كما ذُكر أعلاه، فقد بُني قانون حماية البيانات المصري إلى حد كبير على اللائحة العامة لحماية البيانات، وبالتالي هناك اختلافات قليلة جدًا غير جوهرية بين التشريعين "إن وجدت". ومع ذلك، فإن الالتزامات التي يفرضها القانونان تتصل ببذل العناية اللازمة لممارسة أي من الأدوار، على النحو التالي:
الالتزام الأول هو الحصول على الموافقة الخطية لموضوع البيانات. تتطلب جميع المعاملات تقريبًا التي تحتاج معالجة البيانات والتحكم فيها موافقة موضوع البيانات، بموجب قانون حماية البيانات المصري واللائحة العامة لحماية البيانات. كما يجب أن تمتد هذه الموافقة إلى أي معالجة للبيانات الشخصية تتم عبر الحدود. لا تكون موافقة موضوع البيانات مطلوبة عندما يجب الكشف عن البيانات الشخصية بسبب التزام قانوني (على سبيل المثال، أمر محكمة أو أمر من سلطة حكومية).
الالتزام الثاني هو بذل قصارى الجهود للحفاظ على أمن البيانات وإتاحة السيطرة الكاملة لموضوع البيانات على بياناته. بمعنى أن موضوع البيانات يجب أن يكون قادرًا على استرداد بياناته أو تغييرها أو حذفها من قاعدة بيانات مقدم الخدمة في أي وقت. ويُعرف هذا عادةً بالحق في أن يُنسى. علاوة على ذلك، فإن المعالج والمتحكم بالبيانات ملزمون بإتلاف البيانات بمجرد أن تصبح غير مطلوبة للمعالجة. وتجدر الإشارة إلى أن كلا من قانون حماية البيانات المصري واللائحة العامة لحماية البيانات يتطلبان هذه الالتزامات.
الالتزام الثالث هو أن المعالج الذي يعالج البيانات بالنيابة عن المتحكم يجب أن يكون لديه أساس ملزم (أي عقد) مع المتحكم ينص على الشروط التالية: '1' لن تتم المعالجة إلا بناء على تعليمات موثقة من المتحكم ؛ '2' يضمن المعالج أن الأشخاص المأذون لهم بمعالجة البيانات الشخصية سيحافظون على سرية هذه البيانات أو يخضعون لالتزام قانوني بالسرية وعدم الإفصاح عنها ؛ '3' يوفر المعالج حدًا أدنى من مستوى الضمان يحدده المتحكم؛ '4' يجب أن يساعد المعالج في ضمان الامتثال للقانون.
عندما يتعلق الأمر بالعلاقة بين المتحكم والمعالج، يجب أن يكون لدى المتحكم أساس قانوني (أي عقد) يفصل التعليمات التي يتعهد بها المعالج لمعالجة بياناته، كما يجب أن يورد العقد تفاصيل الضمانات التي سيوفرها المعالج لضمان المستوى المطلوب من المتحكم فيما يتعلق بالأمان والتحكم في البيانات المعنية.
الالتزام الأخير هو تعيين موظف حماية البيانات من قبل المعالج. يتولى هذا الموظف ، في إطار قانون حماية البيانات المصري واللائحة العامة لحماية البيانات ، مسؤولية إجراء عمليات فحص منتظمة لأمن البيانات، وإخطار السلطات المختصة بانتهاكات البيانات، والتعامل مع جميع إدعاءات وحوادث خرق البيانات داخل منظمة مقدمي الخدمات التابع لها، وإخطار السلطات بأي خرق في غضون 72 ساعة من حدوثه.
وتجدر الإشارة إلى أن قانون حماية البيانات المصري يفرض التزامًا على مقدم الخدمة بالحصول على ترخيص ،إذن أو تصريح لأداء أنشطته. إلا أن القانون ليس واضحًا بشأن الوثيقة التي يجب أن يحصل عليها مقدم الخدمة لأن هذا متروك تحديده من خلال اللوائح التنفيذية التي لم يتم إصدارها بعد في وقت هذا المنشور.
متى يُطلب من الشركة الناشئة الامتثال للائحة العامة لحماية البيانات؟
بصفتك مقدم خدمة في مصر، إذا تضمنت معالجة البيانات والتحكم فيها بيانات مواطني الاتحاد الأوروبي و/أو شركات الاتحاد الأوروبي سواء داخل أراضي الاتحاد الأوروبي أو خارجه، من خلال عرض السلع/الخدمات أو مراقبة سلوك الأفراد في أراضي الاتحاد الأوروبي، فعليك الامتثال لأحكام اللائحة العامة لحماية البيانات.
اقرأ أيضا:
- الدليل القانوني الأشمل للشركات المصرية الناشئة - الحلقة الأولى: إجراءات تأسيس الشركات التجارية
- الدليل القانوني الأشمل للشركات المصرية الناشئة - الحلقة الثانية: قانون الاستثمار
- الدليل القانوني الأشمل للشركات المصرية الناشئة - الحلقة الثالثة: قانون تنمية المشروعات المتوسطة والصغيرة ومتناهية الصغر
- الدليل القانوني الأشمل للشركات المصرية الناشئة - الحلقة الرابعة: اختيار نوع شركتك
- الدليل القانوني الأشمل للشركات المصرية الناشئة - الحلقة الخامسة: الحسابات المصرفية للشركات
- الدليل القانوني الأشمل للشركات المصرية الناشئة - الحلقة السادسة: عقود العمل والأجور
- الدليل القانوني الأشمل للشركات المصرية الناشئة - الحلقة السابعة: العلامات التجارية وبراءات الاختراع
- الدليل القانوني الأشمل للشركات المصرية الناشئة - الحلقة الثامنة: حقوق النشر للتطبيقات
- الدليل القانوني الأشمل للشركات المصرية الناشئة - الحلقة التاسعة: ترخيص التكنولوجيا المالية
- مصدر الصورة: Manuel Geissinger من Pexels
موقع إبداع مصر غير مسؤول عن مضمون التعليقات