اهم الاخبار
السبت 28 ديسمبر 2024
#الجمهوريةـالجديدة
رئيس التحرير
خالد العوامي

سياسة

الأحد.. مجلس النواب يناقش قانون حماية البيانات الشخصية

حماية البيانات الشخصية .. تشهد الجلسة العامة للبرلمان برئاسة الدكتور على عبد العال يوم الأحد المقبل مجلس النواب في جلستة العامة يوم الاحد المقبل، مناقشة تقرير اللجنة المشتركة من لجنة الاتصالات وتكنولوجيا المعلومات، ومكاتب لجان الشئون الدستورية والتشريعية، الخطة والموازنة والدفاع والأمن القومي. تناقش الجلسة مشروع القانون المقدم من الحكومة بشأن إصدار قانون حماية البيانات الشخصية، ومشروع قانون مُقدم من السيد النائب أشرف عمارة و60 نائباً أخرين أكثر من عُشر عدد أعضاء المجلس. في ذات الموضوع وقد اوضي تقرير اللجنة المشتركة والتي اختارت النائب احمد بدوي رئيس لجنة الاتصالات وتكنولوجيا المعلومات مقررا للموضوع اوصت بالموافقة علي التقرير ودعت اعضاء المجلس بالموافقة علية ويهدف مشروع القانون إلى التواكب مع المعيار العالمي الخاص بحماية البيانات الشخصية حالياً في العالم فالمعيار الأساسي وهو اللائحة العامة لحماية البيانات الشخصية (GDPR) وهذه هي القواعد الذهبية الموجودة في العالم لحماية البيانات الشخصية للمستخدمين، كما يعمل علي حماية خصوصية البيانات بشأن المواطنين والمؤسسات المختلفة داخل وخارج الدولة ويضمن حماية الاستثمارات الوطنية وخاصة المتعاملة مع الاتحاد الأوربي. ومن أهم النقاط التي يقوم عليها القانون هي وضع التزامات على المتحكم والمعالج في البيانات ليضمن تطبيق معايير حوكمة تكنولوجيا المعلومات داخل المؤسسات المختلفة ويحد من عمليات انتهاك خصوصية البيانات الشخصية. كما تم صياغة القواعد القانونية وتنظيم الإجراءات المتعلقة بحماية البيانات والأنشطة المعلوماتية بما يحقق الالتزامات الدستورية الواردة في المواد 28، 31، 57، من الدستور. وبالنظر إلى الاعتبارات المتقدمة رأت اللجنة أن مشروع القانون جاء متوخياً الأهداف الآتية: • ضمان مستوى مناسب من الحماية القانونية والتقنية للبيانات الشخصية المعالجة إلكترونياً. • وضع آليات كفيلة بالتصدي للأخطار الناجمة عن استخدام البيانات الشخصية للمواطنين، ومكافحة انتهاك خصوصيتهم. • تطبيق إطار معياري يتواكب مع التشريعات الدولية لحماية البيانات الشخصية للأفراد، وحرياتهم، واحترام خصوصيتهم. • صياغة التزامات على كل من المتحكم في البيانات، ومعالج البيانات باعتبارهما من العناصر الفاعلة في مجالات التعامل في البيانات الشخصية، سواء عن طريق الجمع أو النقل أو التبادل أو التخزين أو التحليل أو المعالجة باي صورة من الصور. • إلزام المؤسسات والجهات والأفراد المتحكمين في البيانات الشخصية، والمعالجين لها بتعيين مسئول لحماية البيانات الشخصية داخل مؤسساتهم وجهاتهم، بما يسمح بضمان خصوصية بيانات الأفراد، واقتضاء حقوقهم المنصوص عليها في هذا القانون. • تقنين وتنظيم أنشطة استخدام البيانات الشخصية في عمليات الإعلان والتسويق على الانترنت، وفى البيئة الرقمية بشكل عام. • وضع إطار إجرائي لتنظيم عمليات نقل البيانات عبر الحدود وضمان حماية بيانات المواطنين وعدم نقلها أو مشاركتها مع دول لا تتمتع فيها البيانات بالحماية. • تنظيم العمليات المعالجة إلكترونية للبيانات الشخصية، وإصدار تراخيص لمن يقوم بها، وعلى الأخص فيما يتعلق بالبيانات الشخصية الحساسة "ذات الطابع الخاص". • إنشاء مركز حماية البيانات الشخصية كهيئة عامة يكون مختصاً بتنظيم والإشراف على تنفيذ أحكام القانون. ثانيًا ـــ أهم الأحكام التي تضمنها مشروع القانون المعروض: انتظم مشروع القانون كما ورد من الحكومة في ست مواد إصدار وتسعة وأربعون مادة قانون على النحو التالي: (أ‌) مواد الإصدار: المادة الأولى: من قانون الإصدار حددت نطاق سريان القانون. المادة الثانية: من مواد الإصدار تضمنت الاستثناءات الواردة على نطاق سريان القانون. المادة الثالثة: تنص على اختصاص وزير الاتصالات وتكنولوجيا المعلومات بإصدار اللائحة التنفيذية. المادة الرابعة: اختصت المحاكم الاقتصادية بنظر المنازعات المتعلقة بأى جرائم أو أي شكوى متعلقة بالبيانات الشخصية. المادة الخامسة: ألزمت المخاطبين بأحكام هذا القانون بتوفيق أوضاعهم خلال سنة من تاريخ صدور اللائحة التنفيذية. المادة السادسة: وهي المادة المتعلقة بنشر القانون في الجريدة الرسمية والعمل به بعد مُضي ثلاثة أشهر من اليوم التالي لتاريخ نشره. • مواد مشروع القانون: جاءت أبرز التعديلات التي أدخلتها اللجنة على مشروع القانون على النحو التالى:- الباب الأول (التعريفات) مادة(1) - إضافة عبارة ومنها على سبيل المثال إلى تعريف البيانات الشخصية. - تمت إعادة صياغة تعريف البيانات الشخصية الحساسة ليصبح: بيانات الصحة النفسية أو العقلية أو البدنية أو الجينية، أو بيانات القياسات الحيوية "البيومترية" أو البيانات المالية أو المعتقدات الدينية أو الآراء السياسية أو الحالة الأمنية، وفى جميع الأحوال تُعد بيانات الأطفال من البيانات الشخصية الحساسة. - تمت إعادة صياغة تعريف الحائز ليصبح: أي شخص طبيعي، يحوز ويحتفظ قانونياً أو فعلياً ببيانات شخصية في أي صورة من الصور، أو على أية وسيلة تخزين سواءً أكان هو المنشئ للبيانات، أو انتقلت إليه حيازتها بأية صورة. - تمت إعادة صياغة تعريف المعالـج ليصبح: أي شخص طبيعي أو اعتباري يختص بطبيعة عمله، بمعالجة البيانات الشخصية لصالح المتحكم وبالاتفاق معه ووفقًا لتعليماته. - استبدال عبارة الاعتباريين تمنحهم بعبارة الإعتبارية تمنحهم من خلال إلى تعريف الترخيـــــص. - استبدال كلمة تمنحهم بعبارة تمنحه من خلالها، واستبدال عبارة لمدد أخري بعبارة لأكثر من مدة إلى تعريف التصريح. الباب الثانى (حقوق الشخص المعني بالبيانات) - تمت تعديل مسمى الباب الثانى بإضافة وشروط جمع ومعالجة البيانات. مادة (2) - إضافة بند جديد برقم (6) ونصه " الاعتراض على معالجة البيانات الشخصية أو نتائجها متى تعارضت مع الحقوق والحريات الأساسية للشخص المعني بالبيانات". - إضافة عبارة وفى جميع الأحوال تنظم اللائحة التنفيذية الشروط والإجراءات اللازمة لممارسة الشخص المعني لحقوقه فى نهاية المادة. مادة (3) بند (2) من المادة إضافة كلمة (ومؤمنة). الباب الثالث التزامات المتحكم والمعالج (التزامات المتحكم) مادة (4) - بند (3) من المادة إضافة عبارة "بموجب تعاقد مكتوب" في نهاية البند. وكذلك استحداث بندين 11 ، 12 ونصهما كالأتى: بند (11) " يلتزم المتحكم خارج جمهورية مصر العربية وفقا للبند (2) من المادة الأولى من مواد قانون الإصدار بتعيين ممثلاً له في جمهورية مصر العربية يتم التعامل معه من قبل المركز أو الشخص المعنى بالبيانات لأغراض ضمان الامتثال لهذا القانون ". بند (12) " توفير الإمكانيات اللازمة لإثبات التزامه بتطبيق أحكام هذا القانون وتمكين المركز من التفتيش والرقابة للتأكد من ذلك ". - استبدال عبارة "وللشخص المعنى ممارسة حقوقه تجاه كل متحكم على حده" بعبارة "وذلك في حال عدم وجود عقد يُحدد التزامات ومسئوليات كل منهم بوضوح" في الفقرة قبل الأخيرة من المادة المشار إليها. مادة (5) (التزامات المعالج) - إعادة ترتيب البنود استحداث بند جديد برقم (5) ونصه الأتى " عدم إشراك معالج أخر دون إذن كتابى مسبق من المتحكم". - بند (7) والذى أصله في مشروع القانون بند (6) تم إعادة صياغته ليصبح " عدم إجراء أية معالجة للبيانات الشخصية تتعارض مع غرض أو نشاط المتحكم فيها. إلا إذا كانت البيانات الشخصية لغرض إحصائي أو تعليمي أو لا يهدف للربح ودون الإخلال بحرمة الحياة الخاصة وفي جميع الاحوال يجب أن تكون تلك البيانات مجهلة. - استحداث بند جديد برقم (13) ونصه الأتى "يلتزم المعالج خارج جمهورية مصر العربية وفقا للبند (2) من المادة الأولى من مواد قانون الإصدار بتعيين ممثلاً له في جمهورية مصر العربية يتم التعامل معه من قبل المركز أو الشخص المعنى بالبيانات لأغراض ضمان الامتثال لهذا القانون". - تم إعادة صياغة الفقرة قبل الأخيرة لتصبح كالأتى " وفي حال وجود أكثر من معالج يلتزم كل منهم فضلا عن الالتزامات المنصوص عليها في العقود المبرمة بينهم بكافة الالتزامات المنصوص عليها في هذا القانون". مادة (6) (شروط المعالجة) استحداث إضافة بند جديد برقم (5) ونصه الأتى" أن تكون المعالجة ضرورية لحماية المصالح الحيوية للشخص المعنى بالبيانات أو لأجل المصلحة العامة". مادة (7) (الالتزام بالإخطار والابلاغ) - تمت تعديل مسمى المادة بإضافة عبارة "عن خرق وانتهاك البيانات الشخصية" - تم إضافة عبارة "مؤثر علي" واستبدال عبارة "من تاريخ علمه" بعبارة "تاريخ الإبلاغ" إلى الفقرة الأولى. - بند (5) استبدال عبارة "الخرق أو الانتهاك" بعبارة "أي خرق أو انتهاك". - تم إعادة صياغة الفقرة قبل الأخيرة لتصبح " ويجب على المتحكم والمعالج بحسب الأحوال، إخطار الشخص المعنى بالبيانات متى كان الخرق أو الانتهاك مؤثراً على مصالحه وحقوقه الأساسية وذلك خلال عشرة أيام عمل من تاريخ الإبلاغ وما تم اتخاذه من إجراءات". "وتحدد اللائحة التنفيذية لهذا القانون القواعد والإجراءات الخاصة بالإبلاغ والإخطار". الباب الرابع مسئول حماية البيانات الشخصية (تعيين مسئول حماية البيانات الشخصية) مادة (8) تم إعادة صياغة المادة لتصبح كما يلى: يلتزم الممثل القانوني للشخص الاعتباري، لأي متحكم أو معالج بما يلي: 1- تعيين موظف مختص مسئول عن حماية البيانات الشخصية داخل كيانه القانوني وهيكله الوظيفي بما يضمن استقلاليته وعدم التأثير على قراراته المتعلقة بالتزاماته الواردة في المادة رقم (9). 2- قيد الموظف المسئول عن حماية البيانات الشخصية في سجل مسئولي حماية البيانات الشخصية بالمركز، والإعلان عن ذلك. 3- توفير الإمكانيات اللازمة لممارسة مسئول حماية البيانات الشخصية اختصاصاته وفقاً لمقتضيات وظيفته. ويكون الشخص الطبيعي المتحكم أو المعالج هو المسئول عن تطبيق أحكام هذا القانون. وتحدد اللائحة التنفيذية لهذا القانون قواعد وشروط وإجراءات القيد وآليات التسجيل. مادة (9) (التزامات مسئول حماية البيانات الشخصية) - تم استبدال عبارة "عن الإشراف على الامتثال لأحكام" بعبارة "عن تنفيذ أحكام" وإضافة عبارة "ولائحته التنفيذية " في أخر الفقرة الأولى. - بند (2) إضافة عبارة " والتشاور عند الاقتضاء مع المركز في أي موضوعات تخص حماية البيانات الشخصية أو معالجتها". - بند (3) إضافة عبارة " العمل على". - بند (5) إضافة كلمة " متابعة". - استحداث بند جديد برقم (9) ونصه الاتي "الإشراف على الامتثال لسياسات تأمين البيانات الشخصية". الباب الخامس (إجراءات إتاحة البيانات الشخصية) مادة (10) بند (3) استبدال عبارة " بحد أقصى" بكلمة "خلال". الباب السادس البيانات الشخصية الحساسة مادة (12) - تم إضافة عبارة " أو في الأحوال المصرح بها قانوناً" فى نهاية الفقرة الأولى. - تم إضافة عبارة " دون سن السادسة عشر" إلى الفقرة الثانية. مادة (13) تم إعادة صياغة المادة لتصبح فضلاً عن الألتزامات الواردة بالمادة 9 من هذا القانون "يلتزم مسئول حماية البيانات الشخصية بالإشراف على امتثال المتحكم والمعالج وتابعوهم باستيفاء السياسات والإجراءات التأمينية اللازمة لعدم خرق أو انتهاك البيانات الشخصية الحساسة". الباب السابع البيانات الشخصية عبر الحدود مادة (14) - تم إضافة عبارة "أو تخزين" بالفقرتين الأولى والثانية. الباب الثامن التسويق الإلكتروني المباشر مادة (17) بند (1) تم إضافة عبارة " أو إذا كان الاتصال الإلكتروني يتسق مع غرض ونشاط المتحكم في التسويق لمنتجاته وخدماته وذلك دون الإخلال بمصالح وحقوق الشخص المعنى بالبيانات". مادة (18) - بند (3) إضافة عبارة " أو عدم اعتراضه على استمراره " وكلمة "وذلك". - إضافة فقرة أخيرة إلى المادة نصها " وتحدد اللائحة التنفيذية القواعد والشروط والضوابط المتعلقة بالتسويق الإلكتروني المباشر". الباب التاسع مركز حماية البيانات الشخصية مادة (19) - إضافة عبارة " ويكون مقرها محافظة الجيزة ويجوز لها إنشاء فروع في كافة المحافظات" إلى الفقرة الأولى. - استحداث بند جديد برقم (8) ونصه "إنشاء وتنظيم سجل قيد مسئولي حماية البيانات الشخصية". مادة (20) - إعادة ترتيب البنود أرقام (3، 4، 5، 6). - استحداث بند جديد برقم (8) ونصه "ممثل عن الجهاز القومي لتنظيم الاتصالات يختاره رئيس مجلس إدارة الجهاز". مادة (21) إعادة صياغة بند (3) ليصبح كالأتى: " تفعيل خطط واتفاقيات وبروتوكولات التعاون الدولي المختلفة وتبادل الخبرات مع الجهات والمنظمات الدولية". استحداث مادة برقم (25) وعنوانها (التعاون الدولى) ونصها كالأتى: "يقوم مركز حماية البيانات الشخصية بالتنسيق مع السلطات المختصة بالتعاون مع نظرائه بالبلاد الأجنبية في إطار اتفاقيات التعاون الدولية والإقليمية والثنائية أو بروتوكولات التعاون المصدق عليها، أو تطبيقا لمبدأ المعاملة بالمثل، بما من شأنه حماية البيانات الشخصية والتحقق من مدى الامتثال للقانون من قبل المتحكمين والمعالجين خارج الجمهورية ويعمل على تبادل المعلومات بما من شأنه أن يكفل حماية وعدم انتهاك البيانات الشخصية والمساعدة على التحقيق في الجرائم ذات الصلة وتتبع مرتكبيها". الباب العاشر التراخيص والتصاريح والاعتمادات (أنواع التراخيص والتصاريح والاعتمادات) مادة (26) أصلها المادة (25) بند (2) تم إضافة كلمة "وتخزين" وعبارة "أو نقلها أو تداولها أو إتاحتها". تم إضافة عبارة "خمسة مليون" وكلمة "مليون" في الفقرة الأخيرة. مادة (27) أصلها المادة (26) (إجراءات إصدار التراخيص والتصاريح والاعتمادات) تم إضافة عبارة "خمسة مليون" وكلمة "مليون" في الفقرة الأخيرة. مادة (30) أصلها المادة (29) (الجزاءات الإدارية) - بند (4) استبدال نص البند ليصبح كالأتى " تقرير غرامة إدارية لا تزيد عن مائتين ألف جنيه مصري". - استحداث بند جديد برقم (5) ونصه " شطب مسئول حماية البيانات الشخصية من السجل". الباب الحادي عشر موازنة المركز وموارده المالية مادة (31) أصلها مادة (30) - تم إضافة عبارة " المالية والإدارية" في الفقرة الأولي. - استحداث بند جديد برقم (3) ونصه "حصيلة الغرامات الإدارية". الباب الرابع عشر الجرائم والعقوبات رأت اللجنة استحداث مادة جديدة برقم (35) ونصها كالأتى: "لا يجوز، في غير حالة التلبس بالجريمة، رفع أو تحريك الدعوى الجنائية إلا بناء على طلب الرئيس التنفيذي للمركز في أي من الجرائم المنصوص عليها في هذا القانون". مادة (37) تم دمج المادتين (35 و36) من مشروع القانون في المادة (37) وتم إعادة صياغتها لتصبح "يعاقب بغرامة لا تقل عن مائة ألف جنيه ولا تجاوز مليون جنيه كل حائز أو متحكم أو معالج جمع أو عالج أو أفشي أو أتاح أو تداول بيانات شخصية معالجة إلكترونياً بأى وسيلة من الوسائل في غير الأحوال المصرح بها قانوناً أو بدون موافقة الشخص المعنى بالبيانات. وتكون العقوبة الحبس مدة لا تقل عن ستة شهور وبغرامة لا تقل عن مائتي ألف جنيه ولا تجاوز مليوني جنيه أو بإحدى هاتين العقوبتين إذا أُرتكب ذلك مقابل الحصول على منفعة مادية أو أدبية، أو إذا ترتب على ذلك تعريض الشخص المعني للبيانات للخطر أو الضرر". مادة (38) أصلها المادة (37) تم إعادة صياغة المادة لتصبح " يُعاقب بغرامة لا تقل عن مائة ألف جنيه ولا تجاوز مليون جنيه، كل حائز أو متحكم أو معالج امتنع دون مقتضى من القانون عن تمكين الشخص المعني بالبيانات من ممارسة حقوقه المنصوص عليها في المادة (2) من هذا القانون. ويُعاقب بغرامة لا تقل عن مائتي ألف جنيه ولا تجاوز مليوني جنيه كل من جمع بيانات شخصية دون توفر الشروط المنصوص عليها في المادة (3) من هذا القانون". مادة (39) أصلها المادة (38) تم إعادة صياغة المادة لتصبح " يُعاقب بغرامة لا تقل عن ثلاثمائة ألف جنيه ولا تجاوز ثلاثة ملايين جنيه، كل متحكم أو معالج لم يلتزم بواجباته المنصوص عليها في المواد (4، 5، 7) من هذا القانون". مادة (40) أصلها المادة (39) تم إعادة صياغة المادة لتصبح " يُعاقب بالغرامة التي لا تقل عن مائتي ألف جنيه ولا تجاوز مليوني جنيه، كل ممثل قانوني للشخص الاعتباري لم يلتزم بإحدى واجباته المنصوص عليها في المادة (8) من هذا القانون. مادة (41) أصلها المادة (40) تم إعادة صياغة المادة لتصبح " يُعاقب بغرامة لا تقل عن مائتي ألف جنيه ولا تجاوز مليوني جنيه، كل مسئول حماية بيانات شخصية لم يلتزم بمقتضيات وظيفته المنصوص عليها في المادة (9) من هذا القانون. ويُعاقب بغرامة لا تقل عن خمسين ألف جنيه ولا تجاوز خمسمائة ألف جنيه إذا وقعت الجريمة نتيجةً لإهمال مسئول حماية البيانات الشخصية. مادة (42) أصلها المادة (41) تم استبدال العقوبة التي نصت عليها المادة "يُعاقب بالحبس مدة لا تقل عن ثلاثة شهور وبغرامة لا تقل عن خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه أو بإحدى هاتين العقوبتين" مادة (43) أصلها المادة (42) تم استبدال العقوبة التي نصت عليها المادة لتصبح " يُعاقب بالحبس مدة لا تقل عن ثلاثة شهور وبغرامة لا تقل عن خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه أو بإحدى هاتين العقوبتين، كل من خالف أحكام حركة البيانات الشخصية عبر الحدود المنصوص عليها في المواد (14، 15، 16) من هذا القانون". مادة (44) أصلها المادة (43) تم استبدال العقوبة التي نصت عليها المادة لتصبح " يُعاقب بغرامة لا تقل عن مائتي ألف جنيه ولا تجاوز مليوني جنيه". مادة (45) أصلها المادة (44) تم استبدال العقوبة التي نصت عليها المادة لتصبح " يُعاقب بغرامة لا تقل عن ثلاثمائة ألف جنيه ولا تجاوز ثلاثة ملايين جنيه" بعبارة " يُعاقب بالحبس مدة لا تقل عن ثلاثة أشهر وبغرامة لا تقل عن مائة ألف جنيه". مادة (46) أصلها المادة (45) تم استبدال العقوبة التي نصت عليها المادة لتصبح " يُعاقب بغرامة لا تقل عن خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه" بعبارة " يُعاقب بالحبس مدة لا تقل عن سنة وبغرامة لا تقل عن ثلاثمائة ألف جنيه ولا تجاوز ثلاثة ملايين جنيه أو بإحدى هاتين العقوبتين ". مادة (49) أصلها المادة (48) - تم إضافة فقرة أولي للمادة نصها " في جميع الأحوال وفضلاً عن العقوبات المنصوص عليها في هذا القانون تقضي المحكمة بنشر حكم الإدانة في جريدتين واسعتي الانتشار، وعلى شبكات المعلومات الإلكترونية المفتوحة علي نفقة المحكوم عليه". - تم إضافة حرف (و) للفقرة الثانية من المادة لتصبح " وفي حالة العود". مادة (50) أصلها المادة (49) تم تعديل أرقام المواد المذكورة في هذه المادة لتصبح "(37، 38، 39، 40، 41، 42، 44)، (43، 45، 46) وذلك نتيجة لاستحداث مادتين على مشروع القانون. اقرأ أيضا: الاحد ..مجلس النواب يصوت نهائيا على 4 قوانين ويناقش حماية البيانات الشخصية وتنظيم قوائم الكيانات الإرهابية