ЗАКОНОДАТЕЛЬСТВО ЕГИПТА В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Система законодательства
- Конституция Арабской Республики Египет;
- Закон Арабской Республики Египет «О защите данных» от 13.07.2020 (далее – Закон о защите данных) и Постановление № 151 о его утверждении;
- Закон Арабской Республики Египет № 175 от 2018 года «О преступлениях против кибербезопасности и информационных технологий» (далее – Закон о борьбе с киберпреступностью).
Закон о защите данных состоит из 14 глав, содержащих 49 статей. В первой главе раскрыты основные определения, в остальных — установлены рамки, определяющие отношения между субъектом данных, с одной стороны, и пользователями данных, с другой. Нормативный правовой акт предполагает создание Центра по защите персональных данных (DPC), в задачи которого входят контроль за соблюдением закона о защите персональных данных, выдача лицензий, разрешений и аккредитаций компаниям, сбор и обработка пользовательских данных.
Закон о борьбе с киберпреступностью содержит 45 статей, касающихся различных правонарушений, которые широко связаны с Интернетом. Правовой акт охватывает преступления против конфиденциальности, целостности и доступности компьютерных данных. Распространяется на пользователей (как физических, так и юридических лиц), менеджеров юридических лиц, поставщиков услуг, веб-администраторов и государственных должностных лиц; касается широкого круга вопросов, начиная от борьбы с онлайн-преступностью и заканчивая цензурой веб-страниц с конфиденциальным контентом.
Материальная сфера действия
Закон о защите данных применяется к любым физическим лицам в отношении контроля или обработки персональных данных, к любым персональным данным, которые подлежат электронной обработке, частично или полностью.
Закон не применяется к персональным данным, которые:
- сохраняются физическими лицами для третьих лиц и обрабатываются исключительно для личного использования;
- обрабатываются для целей официальной статистики или в соответствии с нормативными актами Египта;
- обрабатываются исключительно в целях СМИ, при условии, что указанные персональные данные являются правильными и точными и не должны использоваться для каких-либо других целей без ущерба для любых применимых правил в отношении прессы и средств массовой информации в Египте;
- связанные с судебными ордерами на арест, расследованиями и судебными исками;
- обрабатываются органами национальной безопасности или находятся в ведении Центрального банка Египта (далее – CBE) и организаций, подлежащих его контролю и надзору, за исключением компаний, занимающихся денежными переводами и обменом валюты, при условии, что они принимают во внимание правила, установленные CBE, регулирующие персональные данные.
Территориальная сфера действия
Закон применим к любому лицу, которое его нарушает:
- гражданин Египта внутри или за пределами Египта;
- не египтянин, проживающий на территории Египта;
- не египтянин за пределами Египта, если деяние наказуемо в любой форме в стране, где оно произошло, и субъект данных, пострадавший от нарушения, является гражданином Египта или не египтянином, проживающим в Египте.
Основные понятия и принципы
Персональные данные – это любые данные, относящиеся к любому физическому лицу, которое уже определено или которое может быть определено прямо или косвенно путем сопоставления данных с любыми другими данными, включая имя, голос, идентификационный номер и данные, определяющие психологическое или физическое здоровье, экономический статус, культурную, социальную идентичность.
Конфиденциальные данные – это любые данные, которые раскрывают данные о психологическом, психическом, физическом или генетическом здоровье, биометрические данные, финансовые данные, религиозные убеждения, политические взгляды или условия безопасности, и, во всех случаях, данные о детях считаются конфиденциальными личными данными.
Трансграничная передача персональных данных
Закон о защите данных запрещает любой акт передачи, хранения и/или обмена личными данными, которые были собраны или подготовлены для обработки, любому иностранному государству, если не выполнены следующие два основных условия:
- применение уровня защиты, который не ниже того, который предусмотрен Законом о защите данных;
- получена лицензия или разрешение Центра защиты данных Египта (DPC).
Международная передача персональных данных может осуществляться только после получения явного согласия субъекта данных в следующих случаях:
- для спасения жизни указанного субъекта данных, оказания медицинской помощи или лечения, управления их медицинскими услугами;
- для выполнения обязательств по доказыванию, исполнению или защите любого права субъекта данных в любом компетентном суде за пределами Египта;
- заключения или реализации договора, который заключен между обработчиком данных и третьими сторонами в интересах субъекта данных;
- для осуществления процедуры, связанной с международным судебным сотрудничеством;
- при наличии юридической необходимости или обязательства защищать общественные интересы;
- денежных переводов в другую страну в соответствии с ее конкретным и действующим законодательством;
- в тех случаях, когда передача или распространение осуществляются
в соответствии с международным двусторонним или многосторонним соглашением, участником которого является Египет.
Контролер или обработчик могут раскрывать персональные данные другому контролеру обработчика за границей с лицензией от DPC, когда выполняются следующие условия:
- существует соответствие в характере работы каждого из контролеров или обработчиков или цели, для которой они получают персональные данные;
- существует законный интерес для каждого из контролеров или обработчиков персональных данных или субъекта данных;
- уровень правовой и технической защиты персональных данных за рубежом не ниже уровня защиты в Египте.
Биометрические данные
Конкретного определения в Законе не приводится, однако биометрические данные подпадают под определение конфиденциальных данных.
Обработка и хранение персональных данных должны осуществляться в соответствии со следующими принципами:
- минимизация данных (данные должны собираться в объеме, достаточном для достижения цели, известной субъекту данных);
- точность и безопасность (данные должны быть правильными, действительными и безопасными);
- законность (обработка данных должна осуществляться законным образом и соответствовать целям, для которых они были собраны);
- ограничение хранения (данные не должны храниться дольше, чем это необходимо для достижения цели).
О несовершеннолетних
Данные детей, как упоминалось, классифицируются как конфиденциальные данные, передача, сбор, хранение или обработка которых осуществляются только с согласия опекуна. Любое лицо в возрасте до 18 лет считается ребенком.
Оператор и обработчик
Контролер (оператор) данных – это любое физическое или юридическое лицо, которое в силу характера работы имеет право получать персональные данные и определять процесс и критерии хранения или обработки персональных данных и контролировать их в соответствии с определенной целью.
Обработчик данных – это любое физическое или юридическое лицо, чья работа связана с обработкой персональных данных в своих интересах или в интересах контролера данных, в соответствии с соглашением с контролером данных и его инструкциями.
Лицо, имеющее отношение к данным, – это любое физическое лицо, которому юридически или фактически приписываются персональные данные, отличает это лицо от других.
Владелец данных – это любое физическое или юридическое лицо, которое юридически или фактически владеет и хранит любые персональные данные с помощью любых средств хранения, независимо от того, является ли оно создателем данных или если они были переданы ему любым способом.
Права субъекта данных
Права субъектов данных включают:
- право на получение информации (о типе персональных данных, которые хранятся у контролера, владельца или обработчика данных; кроме того, субъект данных имеет право быть проинформированным о любом нарушении или нарушении его прав на защиту данных);
- право на доступ (право субъекта данных на получение персональных данных, хранящихся у обработчика, владельца или контролера данных);
- право на исправление (право изменять свои персональные данные);
- право на удаление (право удалять свои персональные данные);
- право на возражение/отказ (право возражать против обработки персональных данных или ее результатов, когда это противоречит основным правам и свободам субъекта данных, и отозвать любое согласие, которое было дано на хранение или обработку персональных данных; кроме того, Закон о защите данных дает субъекту данных право отказаться от электронного общения или отозвать согласие на электронный маркетинг);
- право ограничить обработку персональных данных определенным объемом.
Согласие на обработку персональных данных
Персональные данные не могут быть собраны, обработаны или раскрыты никакими способами, кроме как с явного согласия субъекта данных.
Вопрос о форме выражения такого согласия может послужить поводом для дискуссий. Нет сомнений в необходимости письменной формы при выдаче разрешения на обработку и сбор конфиденциальных персональных данных.
Также Закон запрещает любое электронное сообщение в целях прямого маркетинга лицу, имеющему отношение к данным, за исключением случаев получения его согласия.
Законный интерес
Обработка персональных данных правомерна, если это необходимо для соблюдения законных прав контролера или любого соответствующего лица, если это не противоречит основным правам и свободам субъектов данных.
Понятие общественного интереса в Законе не раскрыто.
Локализация
Закон о защите персональных данных поддерживает позицию по локализации центров обработки данных и созданию безопасной среды для распространения информации в киберпространстве.
Урегулирование споров. Ответственность за нарушения, штрафы
Закон предусматривает, что хозяйственные суды правомочны рассматривать преступления, совершенные в нарушение его положений.
Надзорный орган
Согласно Закону, независимым надзорным органом является Центр защиты данных Египта (DPC), который осуществляет надзор за соблюдением Закона и применением штрафов к его нарушителям.
Совет директоров DPC состоит из 10 членов: представителей Министерства обороны, Министерства внутренних дел, Службы общей разведки, Органа административного контроля, Управления по развитию индустрии информационных технологий, Национального органа регулирования телекоммуникаций, генерального директора центра и троих представителей органов безопасности, которые освобождены от применения к ним Закона. DPC уполномочен осуществлять надзор и обеспечивать соблюдение Закона о защите данных, включая, среди прочего, выдачу необходимых лицензий, разрешений и сертификацию в соответствии с Законом о защите данных.
Полномочия:
- выдавать и отзывать необходимые лицензии, разрешения
и/или разрешения, связанные со сбором и/или обработкой персональных данных; - издавать нормативные акты, регулирующие обработку персональных данных;
- получать жалобы, связанные с нарушениями защиты персональных данных;
- осуществлять надзор, мониторинг и проверку любых физических и юридических лиц, имеющих дело с персональными данными;
- устанавливать, разрабатывать и внедрять политику, необходимую для защиты персональных данных, и ее выполнение;
- унифицировать политику и планы защиты и обработки персональных данных на территории Египта;
- разрабатывать и внедрять решения, правила, меры, процедуры
и стандарты для защиты персональных данных; - создать руководящую основу для кодексов поведения в области защиты персональных данных и утверждения кодексов поведения различных организаций;
- координировать и сотрудничать со всеми правительственными и неправительственными органами в обеспечении процедур защиты персональных данных и связи со всеми соответствующими инициативами;
- поддерживать развитие компетентности персонала, работающего во всех правительственных и неправительственных органах, в области защиты персональных данных;
- выдавать лицензии, разрешения, согласования и различные меры, связанные с защитой персональных данных и обеспечением соблюдения положений Закона о защите данных;
- заниматься аккредитаций юридических или физических лиц и предоставлять им необходимые разрешения для предоставления консультаций в отношении мер по защите персональных данных;
- получать жалобы и сообщения, связанные с положениями Закона, и принимать необходимые решения;
- консультировать по проектам законов и международных соглашений, которые прямо или косвенно связаны с регулированием или воздействием на персональные данные;
- осуществлять надзор и проверку соблюдения субъектами положений Закона о защите данных, а также принимать необходимые юридические меры;
- проверять условия трансграничной передачи персональных данных и издавать решения, регулирующие те же;
- организовывать конференции, семинары, тренинги и образовательные курсы, а также выпускать публикации для повышения осведомленности и информирования физических и юридических лиц об их правах в отношении работы
с персональными данными; - предоставлять все виды экспертных знаний и консультировать по вопросам, связанным с защитой персональных данных, в частности, следственные и судебные органы;
- заключать соглашения и меморандумы о взаимопонимании, координации сотрудничества и обмене знаниями
с международными организациями, которые имеют отношение к работе ЦОД; - выпускать циркуляры, обновляющие меры по защите персональных данных, в соответствии с деятельностью различных секторов и рекомендациями ЦОД;
- подготавливать и выпускать ежегодный отчет о состоянии защиты персональных данных в Египте.
Обзор отражает авторский взгляд ведущего специалиста по юридическому
сопровождению А.В. Сидоровой на законодательство Арабской Республики Египет