غرامة تصل لـ3 ملايين جنيه للشركات الناقلة للإنترنت حال الاحتفاظ ببيانات المستخدمين
ألزم قانون حماية البيانات الشخصية، المتحكم أو المعالج للخدمة بعدد من الواجبات لضمان الحفاظ على بيانات المستخدمين، وإحكام الرقابة على أي عمليات مشبوهة قد تتم عن طريق استخدام الإنترنت، بينما قضى بمعاقبة مخالفي تلك الالتزامات، بغرامة تتراوح بين 300 ألف جنيه و3 ملايين جنيه، ومن أبرز هذه المخالفات عدم محو البيانات الشخصية لديه، فور انقضاء الغرض المحدد منها، أما في حال الاحتفاظ بها لأي سبب من الأسباب المشروعة بعد انتهاء الغرض، فيجب عليه عدم إبقائها في صورة تسمح بتحديد الشخص المعني بالبيانات.
وحسب القانون يعرف المتحكم بالخدمة أو المعالج لها بأنه "أي شخص طبيعي أو اعتباري يكون له بحكم أو طبيعة عـمله، الحق في الحصول على البيانات الشخصية وتحديد طريقة وأسلوب ومعايير الاحتفاظ بها، أو معالجتها والتحكم فيها طبقًا للغرض المحدد أو نشاطه".
ووفقا لما أقره القانون يلتزم المتحكم بمـا يأتي:
- الحصول على البيانات الشخصية أو تلقيها من الحائز أو من الجهات المختصة بتزويده بها، بعد موافقة الشخص المعني بالبيانات، أو في الأحوال المصرح بهـا قـانونـًا.
- التأكد من صحة البيانات الشخصية واتفاقها وكفايتها مع الغرض المحدد لجمعها.
- وضع طريقة وأسلوب ومعايير المعالجة طبقا للغرض المحدد، ما لم يقرر تفويض المعالج في ذلك بموجب تعاقد مكتوب.
- التأكد من انطباق الغرض المحدد من جمع البيانات الشخصية لأغراض معالجتها.
- القيام بعمل أو الامتناع عن عمل يكون من شأنه إتاحة البيانات الشخصية بما يخالف الأحوال المصرح بها قانونًا.
- يلتزم المتحكم باتخاذ جميع الإجراءات التقنية والتنظيمية وتطبيق المعايير القياسية اللازمة لحماية البيانات الشخصية وتأمينهـا حفــاظـًا على سريتها، وعدم اختراقها أو إتلافهـا أو تغييرها أو العبث بها قِبَل أي إجراء غير مشروع.
- يلتزم بتصحيح أي خطأ بالبيانات الشخصية فور إبلاغه أو علمه به.
- الزم القانون المتحكم في خدمات الانترنت بإمساك سجل خاص للبيانات، يتضمن وصف فئات البيانات الشخصية لديه، وتحديد من سيفصح لهم عن هذه البيانات أو يتيحها لهم وسنده والمدد الزمنية وقيودها ونطاقها وآليات محو البيانات الشخصية لديه أو تعديلها وأي بيانات أخري متعلقة بنقل تلك البيانات الشخصية عبر الحدود ووصف الإجراءات التقنية والتنظيمية الخاصة بأمن البيانات.
- الحصول على ترخيص أو تصريح من المركز للتعامل مع البيانات الشخصية.
- توفير الإمكانيات اللازمة لإثبات التزامه بتطبيق أحكام هذا القانون وتمكين المركز من التفتيش والرقابة للتأكد من ذلك.
وفي حال وجود أكثر من متحكم يلتزم كل منهم بجميع الالتزامات السابقة، وبينما يتعين على الشخص المعني ممارسة حقوقه تجاه كل متحكم على حدة.