حدد قانون حماية البيانات الشخصية مجموعة من الاشتراطات الواجب توافرها قبل السماح بنقل أو مشاركة البيانات، بما يضمن توفير مستوى مناسب من الحماية يتوافق مع المعايير القانونية المعتمدة.
شروط نقل البيانات وفقًا للمادة 16
وبحسب المادة (16) يجوز للمتحكم أو المعالج، بحسب الأحوال، إتاحة البيانات الشخصية لمتحكم أو معالج آخر خارج جمهورية مصر العربية بترخيص من المركز متى توافرت الشروط الآتية:
- اتفاق طبيعة عمل كل من المتحكمين أو المعالجين، أو وحدة الغرض الذي يحصلان بموجبه على البيانات الشخصية.
- توافر المصلحة المشروعة لدى كل من المتحكمين أو المعالجين للبيانات الشخصية أو لدى الشخص المعني بالبيانات.
- ألا يقل مستوى الحماية القانونية والتقنية للبيانات الشخصية لدى المتحكم أو المعالج الموجودة بالخارج عن المستوى المتوافر في جمهورية مصر العربية.
وتحدد اللائحة التنفيذية لهذا القانون الاشتراطات والإجراءات والاحتياطات والمعايير والقواعد اللازمة لذلك.
حالات استثنائية لنقل البيانات لدولة غير آمنة
ووفقًا للمادة (15) استثناءً من حكم المادة (14) من هذا القانون، يجوز في حالة الموافقة الصريحة للشخص المعني بالبيانات أو من ينوب عنه نقل أو مشاركة أو تداول أو معالجة البيانات الشخصية إلى دولة لا يتوافر فيها مستوى الحماية المشار إليها في المادة السابقة، وذلك في الحالات الآتية:
- المحافظة على حياة الشخص المعني بالبيانات، وتوفير الرعاية الطبية أو العلاج أو إدارة الخدمات الصحية له.
- تنفيذ التزامات بما يضمن إثبات حق أو ممارسته أمام جهات العدالة أو الدفاع عنه.
- إبرام عقد، أو تنفيذ عقد مبرم بالفعل، أو سيتم إبرامه بين المسؤول عن المعالجة والغير، وذلك لمصلحة الشخص المعني بالبيانات.
- تنفيذ إجراء خاص بتعاون قضائي دولي.
- وجود ضرورة أو إلزام قانوني لحماية المصلحة العامة.
- إجراء تحويلات نقدية إلى دولة أخرى وفقًا لتشريعاتها المحددة والسارية.
- إذا كان النقل أو التداول يتم تنفيذًا لاتفاق دولي ثنائي أو متعدد الأطراف تكون جمهورية مصر العربية طرفًا فيه.
التزامات مسؤول حماية البيانات الشخصية
والمادة (13) بالإضافة إلى الالتزامات الواردة بالمادة (9) من هذا القانون، يلتزم مسؤول حماية البيانات الشخصية وتابعوه لدى المتحكم أو المعالج باتباع واستيفاء السياسات والإجراءات التأمينية اللازمة لعدم خرق البيانات الشخصية الحساسة أو انتهاكها.
وطبقًا للمادة (10)، يلتزم كل من المتحكم والمعالج والحائز عند طلب إتاحة البيانات الشخصية بالإجراءات الآتية:
- أن يكون بناءً على طلب كتابي يقدم إليه من ذي صفة أو وفقًا لسند قانوني.
- التحقق من توافر المستندات اللازمة لتنفيذ الإتاحة والاحتفاظ بها.
- البت في الطلب ومستنداته خلال ستة أيام عمل من تاريخ تقديمه إليه، وعند صدور قرار بالرفض يجب أن يكون الرفض مسببًا، ويعتبر مضي المدة المشار إليها دون رد في حكم الرفض.
ووفقًا للمادة (9)، يكون مسؤول حماية البيانات الشخصية مسؤولًا عن تنفيذ أحكام القانون ولائحته التنفيذية وقرارات المركز، ومراقبة الإجراءات المعمول بها داخل كيانه الإشراف عليها، وتلقي الطلبات المتعلقة بالبيانات الشخصية وفقًا لأحكام هذا القانون. ويلتزم على الأخص بالآتي:
- إجراء التقييم والفحص الدوري لنظم حماية البيانات الشخصية ومنع اختراقها، وتوثيق نتائج التقييم وإصدار التوصيات اللازمة لحمايتها.
- العمل كنقطة اتصال مباشرة مع المركز وتنفيذ قراراته، فيما يخص تطبيق أحكام هذا القانون.
- تمكين الشخص المعني بالبيانات من ممارسة حقوقه المنصوص عليها في هذا القانون.
- إخطار المركز في حال وجود أي خرق أو انتهاك للبيانات الشخصية لديه.
- الرد على الطلبات المقدمة من الشخص المعني بالبيانات أو كل ذي صفة، والرد على المركز في التظلمات المقدمة إليه من أي منهما وفقًا لأحكام هذا القانون.
- متابعة القيد والتحديث لسجل البيانات الشخصية لدى المتحكم أو سجل عمليات المعالجة لدى المعالج، بما يكفل ضمان دقة البيانات والمعلومات المقيدة به.
- إزالة أي مخالفات متعلقة بالبيانات الشخصية داخل كيانه، واتخاذ الإجراءات التصحيحية حيالها.
- تنظيم البرامج التدريبية اللازمة لموظفي كيانه، لتأهيلهم بما يتناسب مع متطلبات هذا القانون.
وتحدد اللائحة التنفيذية لهذا القانون الالتزامات والإجراءات والمهام الأخرى التي يجب على مسؤول حماية البيانات الشخصية القيام بها.
