حدد قانون حماية البيانات الشخصية مجموعة من الضوابط والشروط الواجب توافرها لإصدار التراخيص والتصاريح والاعتمادات اللازمة لمزاولة الأنشطة المرتبطة بالبيانات الشخصية.
تصنيف التراخيص والتصاريح والاعتمادات
وفق المادة (26) يصدر المركز التراخيص أو التصاريح أو الاعتمادات على النحو الآتي:
- يقوم المركز بتصنيف التراخيص والتصاريح والاعتمادات وتحديد أنواعها، ووضع الشروط الخاصة بمنح كل نوع منها، وذلك وفقًا لما تحدده اللائحة التنفيذية لهذا القانون.
- إصدار الترخيص أو التصريح للمتحكم أو المعالج لإجراء عمليات حفظ البيانات، والتعامل عليها ومعالجتها وفقًا لأحكام هذا القانون.
- إصدار التراخيص أو التصاريح الخاصة بالتسويق الإلكتروني المباشر.
- إصدار التراخيص أو التصاريح الخاصة بالمعالجات التي تقوم بها الجمعيات أو النقابات أو النوادي للبيانات الشخصية لأعضاء تلك الجهات وفي إطار أنشطتها.
- إصدار التراخيص أو التصاريح الخاصة بوسائل المراقبة البصرية في الأماكن العامة.
- إصدار التراخيص أو التصاريح الخاصة بالتحكم ومعالجة البيانات الشخصية الحساسة.
- إصدار التصاريح والاعتمادات الخاصة بالجهات والأفراد التي تتيح لهم تقديم الاستشارات في إجراءات حماية البيانات الشخصية، وإجراءات الامتثال لها.
- إصدار التراخيص والتصاريح الخاصة بنقل البيانات الشخصية عبر الحدود.
وتحدد اللائحة التنفيذية لهذا القانون أنواع هذه التراخيص والتصاريح والاعتمادات وفئاتها ومستوياتها، وإجراءات وشروط إصدارها وتجديدها ونماذجها المستخدمة، وذلك مقابل رسوم لا تتجاوز مليوني جنيه بالنسبة للترخيص، ومبلغ لا يتجاوز خمسمائة ألف جنيه للتصريح أو الاعتماد.
شروط نقل البيانات عبر الحدود
وبحسب المادة (16) يجوز للمتحكم أو المعالج، بحسب الأحوال، إتاحة البيانات الشخصية لمتحكم أو معالج آخر خارج جمهورية مصر العربية بترخيص من المركز متى توافرت الشروط الآتية:
- اتفاق طبيعة عمل كل من المتحكمين أو المعالجين، أو وحدة الغرض الذي يحصلان بموجبه على البيانات الشخصية.
- توافر المصلحة المشروعة لدى كل من المتحكمين أو المعالجين للبيانات الشخصية أو لدى الشخص المعني بالبيانات.
- ألا يقل مستوى الحماية القانونية والتقنية للبيانات الشخصية لدى المتحكم أو المعالج الموجودة بالخارج عن المستوى المتوافر في جمهورية مصر العربية.
وتحدد اللائحة التنفيذية لهذا القانون الاشتراطات والإجراءات والاحتياطات والمعايير والقواعد اللازمة لذلك.
استثناءات نقل البيانات إلى دول ذات مستوى حماية أقل
ووفقًا للمادة (15) استثناءً من حكم المادة (14) من هذا القانون، يجوز في حالة الموافقة الصريحة للشخص المعني بالبيانات أو من ينوب عنه نقل أو مشاركة أو تداول أو معالجة البيانات الشخصية إلى دولة لا يتوافر فيها مستوى الحماية المشار إليها في المادة السابقة، وذلك في الحالات الآتية:
- المحافظة على حياة الشخص المعني بالبيانات، وتوفير الرعاية الطبية أو العلاج أو إدارة الخدمات الصحية له.
- تنفيذ التزامات بما يضمن إثبات حق أو ممارسته أمام جهات العدالة أو الدفاع عنه.
- إبرام عقد، أو تنفيذ عقد مبرم بالفعل، أو سيتم إبرامه بين المسئول عن المعالجة والغير، وذلك لمصلحة الشخص المعني بالبيانات.
- تنفيذ إجراء خاص بتعاون قضائي دولي.
- وجود ضرورة أو إلزام قانوني لحماية المصلحة العامة.
- إجراء تحويلات نقدية إلى دولة أخرى وفق تشريعاتها المحددة والسارية.
- إذا كان النقل أو التداول يتم تنفيذًا لاتفاق دولي ثنائي أو متعدد الأطراف تكون جمهورية مصر العربية طرفًا فيه.
التزامات مسؤول حماية البيانات
والمادة (13) بالإضافة إلى الالتزامات الواردة بالمادة (9) من هذا القانون، يلتزم مسؤول حماية البيانات الشخصية وتابعوه لدى المتحكم أو المعالج باتباع واستيفاء السياسات والإجراءات التأمينية اللازمة لعدم خرق البيانات الشخصية الحساسة أو انتهاكها.
