Facebook X-twitter Linkedin

info@shuralawfirm.com

Egypt:0020502313307

Contact us

The Executive Regulations of the Personal Data Protection Law and Their Impact on Corporate Compliance

|

The Executive Regulations of the Personal Data Protection Law and Their Impact on Corporate Compliance

Share the article via:

The Executive Regulations of the Personal Data Protection Law and Their Impact on Corporate Compliance

Introduction:

On November 1, 2025, the Ministry of Communications and Information Technology issued Decision No. 816 of 2025 concerning the issuance of the Executive Regulations of the Egyptian Personal Data Protection Law No. 151 of 2020, which were published in the Official Gazette on November 1, 2025.

The Executive Regulations were issued to establish a detailed framework of policies, procedures, controls, and standard criteria governing the collection, processing, storage, and protection of personal data, in addition to specifying technical controls and standards related to the obligations of both the data controller and processor, particularly in cases of data breaches or violations.

The regulations also addressed the conditions for registering Data Protection Officers and defining their scope of authority, organizing mechanisms for handling sensitive personal data and children’s data, in addition to establishing rules governing the transfer, storage, sharing, processing, or cross-border provision of personal data, as follows:

First: Policies, Procedures, and Controls for the Collection and Processing of Personal Data

The regulations clarified that when collecting, processing, storing, and securing personal data, a number of fundamental policies and procedures must be followed, the most prominent of which are:

  • Informing the data subject of their legally granted rights.
  • Implementing the required security measures and programs for protecting personal data.
  • الاعتماد على سجل الكتروني مؤمن يتضمن بيانات محددة، من بينها – على سبيل المثال لا الحصر: –

     – موافقة الشخص المعني بالبيانات.

     – Recording the date of the consent.

     – الصورة التي صدرت بها تلك الموافقة.

كما وضعت اللائحة عددًا من الضوابط والمعايير القياسية لجمع البيانات الشخصية، من أهمها:

  • التزام المتحكم أو المعالج القائم بجمع البيانات بالحصول على التراخيص أو التصاريح الازمة.
  • عدم جمع البيانات الشخصية إلا بعد الحصول على موافقة صريحة من الشخص المعني بالبيانات، مع إعلانه بالغرض من جمعها بطريقة واضحة ومحددة.
  • تحديد المدة الزمنية الازمة للاحتفاظ بالبيانات الشخصية وفقاً للغرض الذي جمعت من اجله.

ثانياً: السياسات والضوابط والمعايير الفنية لالتزامات المتحكم/المعالج بالبيانات الشخصية:

بينت اللائحة التنفيذية أن التزامات كل من المتحكم/المعالج يجب أن تكون تُمارس سياسات وإجراءات وضوابط ومعايير فنية محددة، وذلك على النحو التالي:

1-التزامات المتحكم بالبيانات الشخصية:

يلتزم المتحكم بعدد من الضوابط والمعايير فنية، من بينها على سبيل المثال لا الحصر:

  • الحصول على التراخيص والتصاريح اللازمة من مركز حماية البيانات.
  • الالتزام بالغرض المرخص أو المصرح به لاستخدام البيانات الشخصية، وعدم مخالفته.
  • التحقق من صحة البيانات الشخصية التي يتم جمعها وذلك من خلال مراجعة مصدر الحصول عليها والتحقق من توافق البيانات الشخصية مع الغرض من جمعها.

أما من حيث الإجراءات والسياسات، فيلتزم المتحكم بإجراء عمليات دورية للاختبار والتقييم لضمان صحة وسلامة البيانات الشخصية المجمعة، واتخاذ الإجراءات التقنية الازمة للحفاظ على سرية البيانات، وذلك علاوة على اتخاذ التدابير الازمة لتكون بيانات الشخص المعني بصورة غير مقروءة.

2-التزامات المعالج للبيانات الشخصية:

حددت اللائحة أن المعالج يلتزم بعدد من الضوابط والمعايير، من أبرزها استخراج التراخيص والتصاريح الازمة من مركز حماية البيانات، وإعداد آلية معتمدة من المركز تحدد الاتي:

  • حجم البيانات الشخصية والغرض من المعالجة
  • ما يفيد إخطار المتحكم والشخص المعني بالبيانات بالمدة الازمة للمعالجة

كما حظرت اللائحة معالجة أي بيانات شخصية لغير الغرض المحدد من المُتحكم أو نشاطه إلا إذا كان ذلك لأغراض إحصائية أو تعليمية وغير هادف للربح وذلك بالتقيد ببعض الشروط.

وفيما يتعلق بالإجراءات والسياسات يلتزم المعالج باتخاذ الإجراءات التقنية والتنظيمية التي تضمن قدرته على استعادة البيانات الشخصية وتضمن الوصول اليها في التوقيت المناسب وحصرها عند حصول أي حادث مادي أو تقني.

ثالثًا: التزامات المتحكم والمعالج في حالات خرق أو انتهاك البيانات الشخصية:

أوضحت اللائحة التنفيذية التزامات كل من المتحكم والمعالج في حال حدوث أي خرق أو انتهاك للبيانات الشخصية، حيث يلتزمان بإخطار المركز خلال مدة لا تتجاوز اثنين وسبعين ساعة من تاريخ علمه بحدوث الخرق أو الانتهاك، ويتم قيد ذلك بسجل الكتروني مؤمن ومعد لهذا الغرض ويجب أن يتضمن هذا السجل بيانات محددة، من بينها:

  • ساعة وتاريخ العلم بالخرق أو الانتهاك وتوقيت الإبلاغ به.
  • وصف لطبيعة الخرق أو الانتهاك وتوقيت حدوثه.
  • الاثار المحتملة جراء الخرق أو الانتهاك، وحجم الضرر المتوقع منه.

رابعًا: شروط قيد مسؤولي حماية البيانات وحدود اختصاصهم:

نظمت اللائحة التنفيذية شروط قيد مسؤولي حماية البيانات الشخصية، حيث يُشترط أن يكون المتقدم حاصلًا على مؤهلات دراسية أو شهادات احترافية مع توافر الخبرة العملية في المجالات ذات الصلة، بالإضافة الي اجتياز الاختبارات المُعتمدة من المركز، والا يكون قد سبق إدانته في أي من الجرائم المُخلة بالشرف والأمانة.

ومن بين المهام الملقاة على عاتق مسؤول حماية البيانات، على سبيل المثال لا الحصر:

  • مراقبة تطبيق السياسات التأمينية الصادرة عن المركز والخاصة بتأمين عملية المعالجة والحفظ والتداول.
  • تقديم تقرير سنوي إلى مركز.
  • مراقبة عملية تلقى البلاغات والشكاوى الخاصة بالشخص المعنى بالبيانات بالنسبة لطلبات محو أو تعديل او إضافة بيانات.

كما اجازت اللائحة لمسؤول حماية البيانات المقيد بسجل المركز مباشرة مهامه في هيكل وظيفي أو أكثر حال توافر شرطين ومن بينهم، موافقة الكيانات المُقيد لديها على قيامه بمهامه لدى كيانات أو اشخاص اعتبارية أخرى ودون أن يؤدي ذلك الي تعارض المصالح.

خامسًا: معايير وضوابط التعامل مع البيانات الشخصية الحساسة وبيانات الاطفال:

1-البيانات الشخصية الحساسة:

شددت اللائحة على ضرورة التزام كل من المتحكم أو المعالج، عند جمع أو نقل أو تخزين أو حفظ أو معالجة أو إتاحته بيانات شخصية حساسة، بما يلي:

  • الحصول على ترخيص أو تصريح من المركز.
  • الحصول على موافقة كتابية صريحة (ورقية أو الكترونية) من الشخص المعني بالبيانات أو ولي الامر في حالة بيانات الأطفال.
  • أن تكون هذه البيانات أساسية ولازمة للغرض الخاص بطبيعة عمل المتحكم أو المعالج ولا يترتب على استخدامها ضرر بالشخص المعني، وذلك بالإضافة الي بعض الضوابط والمعايير المقررة.

2-بيانات الاطفال:

أكدت اللائحة أنه فيما يخص الأطفال دون سن 15 سنة، يجب على الحائزين أو المتحكمين أو المعالجين أن يحصلوا على موافقة كتابية صريحة (ورقية أو الكترونية) من ولي الامر قبل جمع بيانتهم، على أن تتضمن الموافقة النطاق الزمني لها، مع عدم الاخلال بحق ولي الامر في العدول عن موافقته أو تعديلها.

أما بالنسبة للأطفال من سن 15 سنة وحتى 18 سنة، فيلتزم الطفل او ولي أمره – بحسب الأحوال – بتقديم موافقة الأخير على جمع بيانات الطفل ومعالجتها، ويتولى المركز تحديد آليات تنفيذ ذلك.

سادسًا: القواعد الازمة لنقل أو تخزين أو مشاركة أو معالجة أو اتاحة أو حماية البيانات الشخصية عبر الحدود

أوضحت اللائحة التنفيذية أن المتحكم أو المعالج عليهم الالتزام بعدد من القواعد عند نقل البيانات الشخصية عبر الحدود، من أهمها، الحصول على التراخيص والتصاريح المطلوبة وتحديثها حال إضافة دولة أخرى خلال مدة الترخيص، بالإضافة الي الحصول على موافقة الشخص المعني بالبيانات، والالتزام باتخاذ التدابير التي تضمن استخدام التقنيات التي تكفل ضمان مستوى الحماية الكافي للبيانات الشخصية.

وفيما يتعلق بالسياسات والمعايير، يختص المركز بتحديد الدول التي تضمن مستوى كافٍ من الحماية للبيانات الشخصية، وذلك استنادًا الى بعض المعايير من بينها:

  • وجود تشريعات وطنية لحماية البيانات الشخصية ومدى اتساقها مع احكام القانون.
  • توافر قواعد وتدابير فنية وامنية لحماية البيانات الشخصية.
  • توافر القواعد القانونية الخاصة بالتعويض عن الاضرار التي قد تلحق بالشخص المعني بالبيانات.

وبناءً عليه، يجوز للمركز الموافقة على إصدار التصاريح والتراخيص اللازمة للمتحكم أو المعالج لنقل أو تخزين أو مشاركة البيانات الشخصية إلى أي دولة أجنبية تتوافر بها هذه المعايير.

Conclusion

في التطبيق العملي، تمثل اللائحة التنفيذية لقانون حماية البيانات الشخصية نقلة نوعية من الإطار التشريعي النظري إلى منظومة تنفيذية ملزمة وقابلة للتطبيق، إذ حدّدت بصورة دقيقة التزامات المتحكمين والمعالجين، وآليات الامتثال، وحدود المسؤولية القانونية، بما يجعل الالتزام بأحكامها واجبًا قانونيًا لا خيارًا تنظيميًا. وقد أسهمت هذه اللائحة في تعزيز الانضباط المؤسسي، ورفع مستوى الوعي بحماية البيانات، والحد من مخاطر الانتهاكات، بما يدعم الثقة في التعاملات الرقمية ويُرسخ حماية الحق في الخصوصية في الواقع العملي.

وإذ تؤكد شركة شورى للمحاماة والتحكيم امتلاكها فريقًا متخصصًا في مجال حماية البيانات الشخصية، فإنها على أتم الاستعداد لتقديم المشورة القانونية المتخصصة، ومساندة الجهات والأفراد في تحقيق الامتثال الكامل لأحكام قانون حماية البيانات الشخصية ولائحته التنفيذية وكافة اللوائح والقرارات ذات الصلة.

More Articles

|

The Legal Validity of a Reservation Form in Real Estate Sale Contracts

Read More

|

Enhancing Trust and Accountability in Artificial Intelligence: A Due Diligence Guideline Framework

Read More

|

Dubai Court of Cassation redraws the requirements for registering the statement of appeal.

Read More

|

Property Title Insurance Document: An Innovative Legal Tool to Promote Egyptian Real Estate Exports and Attract Foreign Investment

Read More

|

Opening the Saudi Financial Market to Foreign Investors

Read More

|

Standards for Valuing a Company’s Intangible Assets

Read More

|

The Executive Regulations of the Personal Data Protection Law and Their Impact on Corporate Compliance

Read More

|

Expedited and Electronic Arbitration under the 2025 Rules of the Egyptian Center for Arbitration and Settlement of Financial Disputes

Read More

|

The Secretariat of Government Tenders and Procurement Committees Issues the “Code of Principles” for Competitors’ Complaints and Price Adjustment Requests

Read More

|

The Emergence of Artificial Intelligence on the Policy Agenda: Insights from the 2025 OECD Report

Read More

|

The Federal Supreme Court Settles the Dispute on the Dissolution and Liquidation of a Single-Person Company

Read More

|

Legal Precedent: The Court of Cassation establishes a principle regarding conflicting judgments and the authority of res judicata

Read More
Chat With Us Contact Us Contact Us