لنجاح ثورة التحول الرقمي.. 10 التزامات للامتثال لقانون حماية البيانات الجديد في مصر
الجمعة 25/سبتمبر/2020 - 06:35 م
خصوصية البيانات هي واحدة من أهم الموضوعات التي تدور في أذهان قادة الأعمال حول العالم اليوم وأصبحت حاجة الشركات إلى التحول الرقمي أقوى من أي وقت مضى وهذه الوتيرة السريعة للتحول تشكل مخاطر على "الحق في الخصوصية" أكثر مما رأيناه منذ أن أعلنت الأمم المتحدة أنه حق من حقوق الإنسان العالمية في أربعينيات القرن الماضي.
واستجابة لتداعيات تقدم التكنولوجيا على خصوصية البيانات مثل التعرف على الوجه والذكاء الاصطناعي وتطبيقات التتبع وما إلى ذلك نشرت العديد من البلدان تشريعاتها الخاصة والتي كان لها أيضًا تأثير كبير على مشهد حماية البيانات في الشرق الشرق.
وبعد تقديم اللائحة الأوروبية العامة لحماية البيانات PDPL (اللائحة العامة لحماية البيانات ، والتي يُنظر إليها عمومًا على أنها المعيار الذهبي في تشريعات خصوصية البيانات) ، اتخذ أولئك الذين لديهم أقوى العلاقات الاقتصادية مع الاتحاد الأوروبي نهجًا استباقيًا لخصوصية البيانات. منذ ذلك الحين ، رأينا العديد من البلدان الأخرى تتبع نفس النهج بقوانين حماية البيانات الوطنية والقطاعية المختلفة.
وفي 15 يوليو 2020 ، انضمت مصر أيضًا إلى النادي الحصري لدول الشرق الأوسط بقوانين حماية البيانات الوطنية ، ونشر قانون حماية البيانات الشخصية (القانون رقم 151 لعام 2020) ويدخل PDPL حيز التنفيذ في 14 أكتوبر 2020 ، وهي تجلب مجموعة واسعة من الالتزامات الجديدة للشركات.
- ما هو الجديد؟
لن تشكل PDPL صدمة لأولئك الذين هم على دراية باللائحة العامة لحماية البيانات ، حيث ترتبط مبادئها الرئيسية بروح التنظيم الأوروبي ولكن يكمن الاختلاف الرئيسي في التطبيق العملي للمبادئ والاختلاف في المصطلحات. فيما يلي بعض النقاط الرئيسية:
• الأساس القانوني للمعالجة
يتمثل أحد الاختلافات الجديرة بالملاحظة بين اللائحة العامة لحماية البيانات والتشريع المصري الجديد في أن قانون حماية البيانات الشخصية يوفر قائمة بالقواعد القانونية المسموح بها لمعالجة المعلومات الشخصية التي يمكن استبدالها بموافقة صريحة من الأفراد.
• حقوق الأفراد
يحدد القانون الجديد ستة حقوق فردية ، بما في ذلك الحق في الحصول على المعلومات ، والوصول ، وتصحيح البيانات ، وسحب الموافقة ، وتقييد نطاق المعالجة ، والاعتراض على المعالجة التي تتعارض مع الحقوق والحريات الأساسية للفرد بالإضافة إلى هذه الحقوق الستة ، توفر PDPL متطلبات صارمة للتسويق الرقمي.
• بيانات شخصية حساسة
تعريف البيانات الشخصية الحساسة مشابه جدًا أيضًا لـ GDPR وتعتبر البيانات المتعلقة بحالة الفرد النفسية والنفسية والفسيولوجية والصحة الجينية والوضع المالي والمعتقدات الدينية والآراء السياسية والتاريخ الجنائي / الأمني معلومات حساسة بالإضافة إلى ذلك ، فإن أي بيانات تتعلق بالأطفال تعتبر أيضًا بيانات شخصية حساسة. قد تحتاج المؤسسات إلى ترخيص من مركز حماية البيانات الشخصية (الهيئة) لمعالجة كل من البيانات الشخصية الشخصية والحساسة.
• إشعار خرق البيانات
يجب الكشف عن أي خرق للبيانات للهيئة خلال 72 ساعة. إذا كان الانتهاك يتعلق باعتبارات حماية الأمن القومي ، فيجب أن يكون الإخطار فوريًا وتحتاج المنظمات إلى إخطار الأفراد بشأن خرق البيانات الخاصة بهم في غضون ثلاثة أيام.
• نقل البيانات عبر الحدود
يُحظر نقل البيانات الشخصية أو مشاركتها عبر الحدود ، ما لم تضمن الدولة مستوى حماية للبيانات الشخصية لا يقل عن المتطلبات المنصوص عليها في هذا القانون ، ويخضع للحصول على ترخيص من الهيئة. ومن المتوقع تقديم إرشادات إضافية بشأن هذه الجبهة في الوقت المناسب.
• مسؤول حماية البيانات
يُتوقع من المنظمات تعيين مسؤول حماية البيانات (DPO) ويكون مسؤول حماية البيانات مسؤولاً عن تطبيق أحكام هذا القانون داخل المنظمة ويجب تسجيل تفاصيل مسؤول حماية البيانات لدى الهيئة.
• عقوبات عدم الامتثال
الأحكام الخاصة بالغرامات الإدارية والعقوبات الجنائية لعدم الامتثال صارمة وقد تصل الغرامات إلى 5 ملايين جنيه مع احتمال السجن لأكثر من ستة أشهر.
وللامتثال للقانون ، تحتاج الشركات إلى اتباع نهج شامل وتنفيذ برنامج خصوصية يركز على تلبية الالتزامات التنظيمية بطريقة تدعم استراتيجية العمل الشاملة ولذلك من الضروري للشركات تنفيذ الخطوات العشر التالية:
1- تعيين مسؤول حماية البيانات (DPO) ، وتحديد الأدوار والمسؤوليات المتعلقة بخصوصية البيانات وتقديم التدريب المناسب للموظفين الذين يعالجون البيانات الشخصية.
2- إعداد قائمة أنشطة معالجة البيانات التي يتم إجراؤها في المؤسسة.
3- الإبلاغ عن الغرض وطلب الموافقة ، أثناء تنفيذ إجراءات إدارة الموافقة.
4- مراجعة الحقوق الفردية والاستجابة عندما يسأل الأفراد عن بياناتهم الشخصية.
5- مراجعة الضوابط الفنية الموجودة في المؤسسة للتأكد مما إذا كانت مناسبة للغرض وتدعم متطلبات حماية البيانات.
6- إنشاء العمليات والسياسات والإجراءات لتمكين معالجة البيانات بكفاءة وتسويق رقمي متوافق.
7- إنشاء عملية إدارة خرق البيانات للكشف والتحقيق والإبلاغ عن خرق البيانات الشخصية المحتملة للهيئة.
8- تقييم العقود مع معالجي البيانات لتلبية متطلبات PDPL ويجب أن تكون المخاطر التي يتم إدخالها على البيانات من قبل أطراف ثالثة مفهومة جيدًا وإدارتها.
9- مراجعة آلية نقل البيانات عبر الحدود وحماية بياناتك الشخصية عند نقلها إلى الخارج والتقدم بطلب للحصول على ترخيص (إن وجد).
10- بتوصيل سياسات وممارسات وعمليات حماية البيانات الخاصة بك.