اللائحة التنفيذية لقانون حماية البيانات الشخصية وأثرها على الامتثال المؤسسي

المقدمة:

بتاريخ 1 نوفمبر 2025، أصدرت وزارة الاتصالات وتكنولوجيا المعلومات القرار رقم 816 لسنة 2025 بشأن إصدار اللائحة التنفيذية لقانون حماية البيانات الشخصية المصري رقم151 لسنة 2020، وقد نُشرت بجريدة الوقائع المصرية بتاريخ 1 نوفمبر 2025.

وقد جاءت اللائحة التنفيذية لتضع إطارًا تفصيليًا من السياسات والإجراءات والضوابط والمعايير القياسية المنظمة لعمليات جمع البيانات الشخصية ومعالجتها وحفظها وتأمينها، فضلًا عن تحديد الضوابط والمعايير الفنية المتعلقة بالتزامات كل من المتحكم والمعالج بالبيانات الشخصية، ولاسيما في حالات خرق أو انتهاك البيانات.

كما تناولت اللائحة بيان شروط قيد مسؤولي حماية البيانات وحدود اختصاصهم، وتنظيم آليات التعامل مع البيانات الشخصية الحساسة وبيانات الأطفال، إلى جانب وضع القواعد المنظمة لنقل أو تخزين أو مشاركة أو معالجة أو إتاحة البيانات الشخصية عبر الحدود، وذلك على النحو الآتي:

أولًا: سياسات وإجراءات وضوابط جمع البيانات الشخصية ومعالجتها:

أوضحت اللائحة أنه في حالة جمع البيانات الشخصية ومعالجتها وحفظها وتأمينها يتعين الالتزام بعدد من السياسات والإجراءات الأساسية، من أبرزها:

• إعلام الشخص المعني بالبيانات بحقوقه المقررة قانونًا
• اتخاذ الإجراءات والبرامج التأمينية الواجب إتباعها بشأن تأمين البيانات الشخصية
• الاعتماد على سجل الكتروني مؤمن يتضمن بيانات محددة، من بينها – على سبيل المثال لا الحصر: –

     – موافقة الشخص المعني بالبيانات.

     – تاريخ صدور الموافقة.

     – الصورة التي صدرت بها تلك الموافقة.

كما وضعت اللائحة عددًا من الضوابط والمعايير القياسية لجمع البيانات الشخصية، من أهمها:

• التزام المتحكم أو المعالج القائم بجمع البيانات بالحصول على التراخيص أو التصاريح الازمة.
• عدم جمع البيانات الشخصية إلا بعد الحصول على موافقة صريحة من الشخص المعني بالبيانات، مع إعلانه بالغرض من جمعها بطريقة واضحة ومحددة.
• تحديد المدة الزمنية الازمة للاحتفاظ بالبيانات الشخصية وفقاً للغرض الذي جمعت من اجله.

ثانياً: السياسات والضوابط والمعايير الفنية لالتزامات المتحكم/المعالج بالبيانات الشخصية:

بينت اللائحة التنفيذية أن التزامات كل من المتحكم/المعالج يجب أن تكون تُمارس سياسات وإجراءات وضوابط ومعايير فنية محددة، وذلك على النحو التالي:

1-التزامات المتحكم بالبيانات الشخصية:

يلتزم المتحكم بعدد من الضوابط والمعايير فنية، من بينها على سبيل المثال لا الحصر:

• الحصول على التراخيص والتصاريح اللازمة من مركز حماية البيانات.
• الالتزام بالغرض المرخص أو المصرح به لاستخدام البيانات الشخصية، وعدم مخالفته.
• التحقق من صحة البيانات الشخصية التي يتم جمعها وذلك من خلال مراجعة مصدر الحصول عليها والتحقق من توافق البيانات الشخصية مع الغرض من جمعها.

أما من حيث الإجراءات والسياسات، فيلتزم المتحكم بإجراء عمليات دورية للاختبار والتقييم لضمان صحة وسلامة البيانات الشخصية المجمعة، واتخاذ الإجراءات التقنية الازمة للحفاظ على سرية البيانات، وذلك علاوة على اتخاذ التدابير الازمة لتكون بيانات الشخص المعني بصورة غير مقروءة.

2-التزامات المعالج للبيانات الشخصية:

حددت اللائحة أن المعالج يلتزم بعدد من الضوابط والمعايير، من أبرزها استخراج التراخيص والتصاريح الازمة من مركز حماية البيانات، وإعداد آلية معتمدة من المركز تحدد الاتي:

• حجم البيانات الشخصية والغرض من المعالجة
• ما يفيد إخطار المتحكم والشخص المعني بالبيانات بالمدة الازمة للمعالجة

كما حظرت اللائحة معالجة أي بيانات شخصية لغير الغرض المحدد من المُتحكم أو نشاطه إلا إذا كان ذلك لأغراض إحصائية أو تعليمية وغير هادف للربح وذلك بالتقيد ببعض الشروط.

وفيما يتعلق بالإجراءات والسياسات يلتزم المعالج باتخاذ الإجراءات التقنية والتنظيمية التي تضمن قدرته على استعادة البيانات الشخصية وتضمن الوصول اليها في التوقيت المناسب وحصرها عند حصول أي حادث مادي أو تقني.

ثالثًا: التزامات المتحكم والمعالج في حالات خرق أو انتهاك البيانات الشخصية:

أوضحت اللائحة التنفيذية التزامات كل من المتحكم والمعالج في حال حدوث أي خرق أو انتهاك للبيانات الشخصية، حيث يلتزمان بإخطار المركز خلال مدة لا تتجاوز اثنين وسبعين ساعة من تاريخ علمه بحدوث الخرق أو الانتهاك، ويتم قيد ذلك بسجل الكتروني مؤمن ومعد لهذا الغرض ويجب أن يتضمن هذا السجل بيانات محددة، من بينها:

• ساعة وتاريخ العلم بالخرق أو الانتهاك وتوقيت الإبلاغ به.
• وصف لطبيعة الخرق أو الانتهاك وتوقيت حدوثه.
• الاثار المحتملة جراء الخرق أو الانتهاك، وحجم الضرر المتوقع منه.

رابعًا: شروط قيد مسؤولي حماية البيانات وحدود اختصاصهم:

نظمت اللائحة التنفيذية شروط قيد مسؤولي حماية البيانات الشخصية، حيث يُشترط أن يكون المتقدم حاصلًا على مؤهلات دراسية أو شهادات احترافية مع توافر الخبرة العملية في المجالات ذات الصلة، بالإضافة الي اجتياز الاختبارات المُعتمدة من المركز، والا يكون قد سبق إدانته في أي من الجرائم المُخلة بالشرف والأمانة.

ومن بين المهام الملقاة على عاتق مسؤول حماية البيانات، على سبيل المثال لا الحصر:

• مراقبة تطبيق السياسات التأمينية الصادرة عن المركز والخاصة بتأمين عملية المعالجة والحفظ والتداول.
• تقديم تقرير سنوي إلى مركز.
• مراقبة عملية تلقى البلاغات والشكاوى الخاصة بالشخص المعنى بالبيانات بالنسبة لطلبات محو أو تعديل او إضافة بيانات.

كما اجازت اللائحة لمسؤول حماية البيانات المقيد بسجل المركز مباشرة مهامه في هيكل وظيفي أو أكثر حال توافر شرطين ومن بينهم، موافقة الكيانات المُقيد لديها على قيامه بمهامه لدى كيانات أو اشخاص اعتبارية أخرى ودون أن يؤدي ذلك الي تعارض المصالح.

خامسًا: معايير وضوابط التعامل مع البيانات الشخصية الحساسة وبيانات الاطفال:

1-البيانات الشخصية الحساسة:

شددت اللائحة على ضرورة التزام كل من المتحكم أو المعالج، عند جمع أو نقل أو تخزين أو حفظ أو معالجة أو إتاحته بيانات شخصية حساسة، بما يلي:

• الحصول على ترخيص أو تصريح من المركز.
• الحصول على موافقة كتابية صريحة (ورقية أو الكترونية) من الشخص المعني بالبيانات أو ولي الامر في حالة بيانات الأطفال.
• أن تكون هذه البيانات أساسية ولازمة للغرض الخاص بطبيعة عمل المتحكم أو المعالج ولا يترتب على استخدامها ضرر بالشخص المعني، وذلك بالإضافة الي بعض الضوابط والمعايير المقررة.

2-بيانات الاطفال:

أكدت اللائحة أنه فيما يخص الأطفال دون سن 15 سنة، يجب على الحائزين أو المتحكمين أو المعالجين أن يحصلوا على موافقة كتابية صريحة (ورقية أو الكترونية) من ولي الامر قبل جمع بيانتهم، على أن تتضمن الموافقة النطاق الزمني لها، مع عدم الاخلال بحق ولي الامر في العدول عن موافقته أو تعديلها.

أما بالنسبة للأطفال من سن 15 سنة وحتى 18 سنة، فيلتزم الطفل او ولي أمره – بحسب الأحوال – بتقديم موافقة الأخير على جمع بيانات الطفل ومعالجتها، ويتولى المركز تحديد آليات تنفيذ ذلك.

سادسًا: القواعد الازمة لنقل أو تخزين أو مشاركة أو معالجة أو اتاحة أو حماية البيانات الشخصية عبر الحدود

أوضحت اللائحة التنفيذية أن المتحكم أو المعالج عليهم الالتزام بعدد من القواعد عند نقل البيانات الشخصية عبر الحدود، من أهمها، الحصول على التراخيص والتصاريح المطلوبة وتحديثها حال إضافة دولة أخرى خلال مدة الترخيص، بالإضافة الي الحصول على موافقة الشخص المعني بالبيانات، والالتزام باتخاذ التدابير التي تضمن استخدام التقنيات التي تكفل ضمان مستوى الحماية الكافي للبيانات الشخصية.

وفيما يتعلق بالسياسات والمعايير، يختص المركز بتحديد الدول التي تضمن مستوى كافٍ من الحماية للبيانات الشخصية، وذلك استنادًا الى بعض المعايير من بينها:

• وجود تشريعات وطنية لحماية البيانات الشخصية ومدى اتساقها مع احكام القانون.
• توافر قواعد وتدابير فنية وامنية لحماية البيانات الشخصية.
• توافر القواعد القانونية الخاصة بالتعويض عن الاضرار التي قد تلحق بالشخص المعني بالبيانات.

وبناءً عليه، يجوز للمركز الموافقة على إصدار التصاريح والتراخيص اللازمة للمتحكم أو المعالج لنقل أو تخزين أو مشاركة البيانات الشخصية إلى أي دولة أجنبية تتوافر بها هذه المعايير.

الخاتمة

في التطبيق العملي، تمثل اللائحة التنفيذية لقانون حماية البيانات الشخصية نقلة نوعية من الإطار التشريعي النظري إلى منظومة تنفيذية ملزمة وقابلة للتطبيق، إذ حدّدت بصورة دقيقة التزامات المتحكمين والمعالجين، وآليات الامتثال، وحدود المسؤولية القانونية، بما يجعل الالتزام بأحكامها واجبًا قانونيًا لا خيارًا تنظيميًا. وقد أسهمت هذه اللائحة في تعزيز الانضباط المؤسسي، ورفع مستوى الوعي بحماية البيانات، والحد من مخاطر الانتهاكات، بما يدعم الثقة في التعاملات الرقمية ويُرسخ حماية الحق في الخصوصية في الواقع العملي.

وإذ تؤكد شركة شورى للمحاماة والتحكيم امتلاكها فريقًا متخصصًا في مجال حماية البيانات الشخصية، فإنها على أتم الاستعداد لتقديم المشورة القانونية المتخصصة، ومساندة الجهات والأفراد في تحقيق الامتثال الكامل لأحكام قانون حماية البيانات الشخصية ولائحته التنفيذية وكافة اللوائح والقرارات ذات الصلة.