المادة رقم ١ – اصدار
يعمل بأحكام هذا القانون والقانون المرافق فى شأن حماية البيانات الشخصية المعالجة إلكترونيا جزئيا أو كليا لدى أى حائز أو متحكم أو معالج لها ، وذلك بالنسبة للأشخاص الطبيعيين .
المادة رقم ٢ – اصدار
تسرى أحكام هذا القانون والقانون المرافق له على كل من ارتكب إحدى الجرائم المنصوص عليها فى القانون المرافق متى كان الجانى من المصريين داخل الجمهورية أو خارجها ، أو كان من غير المصريين المقيمين داخل الجمهورية ، أو كان من غير المصريين خارج الجمهورية إذا كان الفعل معاقبا عليه فى الدولة التى وقع فيها تحت أى وصف قانونى وكانت البيانات محل الجريمة لمصريين أو أجانب مقيمين داخل الجمهورية.
المادة رقم ٣ – اصدار
لا تسرى أحكام القانون المرافق على ما يأتى :
البيانات الشخصية التى يحتفظ بها الأشخاص الطبيعيون للغير ، ويتم معالجتها للاستخدام الشخصى.
البيانات الشخصية التى تتم معالجتها بغرض الحصول على البيانات الإحصائية الرسمية أو تطبيقا لنص قانونى.
البيانات الشخصية التى تتم معالجتها حصرا للأغراض الإعلامية بشرط أن تكون صحيحة ودقيقة، وألا تستخدم فى أى أغراض أخرى، وذلك دون الإخلال بالتشريعات المنظمة للصحافة والإعلام.
البيانات الشخصية المتعلقة بمحاضر الضبط القضائى والتحقيقات والدعاوى القضائية.
البيانات الشخصية لدى جهات الأمن القومى ، وما تقدره لاعتبارات أخرى.
ويجب على المركز ، بناء على طلب جهات الأمن القومى ، إخطار المتحكم أو المعالج بتعديل أو محو أو عدم إظهار أو إتاحة أو تداول البيانات الشخصية ، خلال مدة زمنية محددة ، وفقا لاعتبارات الأمن القومى ، ويلتزم المتحكم أو المعالج بتنفيذ ما ورد بالإخطار خلال المدة الزمنية المحددة به.
٦ – البيانات الشخصية لدى البنك المركزى المصرى والجهات الخاضعة لرقابته وإشرافه ، عدا شركات تحويل الأموال وشركات الصرافة ، على أن يراعى فى شأنهما القواعد المقررة من البنك المركزى المصرى بشأن التعامل مع البيانات الشخصية.
المادة رقم ٤ – اصدار
يصدر الوزير المعنى بشئون الاتصالات وتكنولوجيا المعلومات اللائحة التنفيذية للقانون المرافق خلال ستة أشهر من تاريخ العمل بهذا القانون.
المادة رقم ٥ – اصدار
تختص المحاكم الاقتصادية بنظر الجرائم التى ترتكب بالمخالفة لأحكام القانون المرافق.
المادة رقم ٦ – اصدار
يلتزم المخاطبون بأحكام هذا القانون بتوفيق أوضاعهم طبقا لأحكام القانون المرافق ولائحته التنفيذية ، وذلك خلال سنة من تاريخ صدور هذه اللائحة.
المادة رقم ٧ – اصدار
ينشر هذا القانون فى الجريدة الرسمية، ويعمل به بعد مضى ثلاثة أشهر من اليوم التالى لتـاريخ نشره . يبصم هذا القانون بخاتم الدولة ، وينفذ كقانون من قوانينها.
صدر برئاسة الجمهورية فى ٢٢ ذى القعدة سنة ١٤٤١هـ
( الموافق ١٣ يولية سنة ٢٠٢٠ م ).
عبد الفتاح السيسى
قانون حماية البيانات الشخصية
( الفصل الأول )
التعريفـات
مادة (١)
فى تطبيق أحكام هذا القانون ، يقصد بالكلمات والعبارات التالية المعنى المبين قرين كل منها :
البيانات الشخصية : أى بيانات متعلقة بشخص طبيعى محدد ، أو يمكن تحديده بشكل مباشر أو غير مباشر عن طريق الربط بين هذه البيانات وأى بيانات أخرى كالاسم ، أو الصوت ، أو الصورة ، أو رقم تعريفى ، أو محدد للهوية عبر الإنترنت ، أو أى بيانات تحدد الهوية النفسية، أو الصحية ، أو الاقتصادية ، أو الثقافية ، أو الاجتماعية.
المعالجة : أى عملية إلكترونية أو تقنية لكتابة البيانات الشخصية ، أو تجميعها ، أو تسجيلها ، أو حفظها ، أو تخزينها ، أو دمجها ، أو عرضها ، أو إرسالها ، أو استقبالها ، أو تداولها ، أو نشرها ، أو محوها ، أو تغييرها ، أو تعديلها ، أو استرجاعها أو تحليلها وذلك باستخدام أى وسيط من الوسائط أو الأجهزة الإلكترونية أو التقنية سواء تم ذلك جزئيا أو كليًا.
البيانات الشخصية الحساسة : البيانات التى تفصح عن الصحة النفسية أو العقلية أو البدنية أو الجينية ، أو بيانات القياسات الحيوية ” البيومترية ” أو البيانات المالية أو المعتقدات الدينية أو الآراء السياسية أو الحالة الأمنية ، وفى جميع الأحوال تعد بيانات الأطفال من البيانات الشخصية الحساسة.
الشخص المعنى بالبيانات : أى شخص طبيعى تنسب إليه بيانات شخصية معالجة إلكترونيا تدل عليه قانونا أو فعلا ، وتمكن من تمييزه عن غيره.
الحائز : أى شخص طبيعى أو اعتبارى ، يحوز ويحتفظ قانونيا أو فعليا ببيانات شخصية فى أى صورة من الصور ، أو على أى وسيلة تخزين سواء أكان هو المنشئ للبيانات ، أم انتقلت إليه حيازتها بأى صورة .
المتحكم : أى شخص طبيعى أو اعتبارى يكون له بحكم أو طبيعة عمله ، الحق فى الحصول على البيانات الشخصية وتحديد طريقة وأسلوب ومعايير الاحتفاظ بها ، أو معالجتها والتحكم فيها طبقا للغرض المحدد أو نشاطه.
المعالج : أى شخص طبيعى أو اعتبارى مختص بطبيعة عمله ، بمعالجة البيانات الشخصية لصالحه أو لصالح المتحكم بالاتفاق معه ووفقًا لتعليماته.
إتاحة البيانات الشخصية : كل وسيلة تحقق اتصال علم الغير بالبيانات الشخصية كالاطلاع أو التداول أو النشر أو النقل أو الاستخدام أو العرض أو الإرسال أو الاستقبال أو الإفصاح عنها.
أمن البيانات : إجراءات وعمليات تقنية وتنظيمية من شأنها الحفاظ على خصوصية البيانات الشخصية وسريتها وسلامتها ووحدتها وتكاملها فيما بينها.
خرق وانتهاك البيانات الشخصية : كل دخول غير مرخص به إلى بيانات شخصية أو وصول غير مشروع لها ، أو أى عملية غير مشروعة لنسخ أو إرسال أو توزيع أو تبادل أو نقل أو تداول يهدف إلى الكشف أو الإفصاح عن البيانات الشخصية أو إتلافها أو تعديلها أثناء تخزينها أو نقلها أو معالجتها.
حركة البيانات الشخصية عبر الحدود : نقل البيانات أو إتاحتها أو تسجيلها أو تخزينها أو تداولها أو نشرها أو استخدامها أو عرضها أو إرسالها أو استقبالها أو استرجاعها أو معالجتها ، من داخل النطاق الجغرافى لجمهورية مصر العربية إلى خارجه أو العكس.
التسويق الإلكترونى : إرسال أى رسالة أو بيان أو محتوى إعلانى أو تسويقى بأى وسيلة تقنية أيا كانت طبيعتها أو صورتها تستهدف بشكل مباشر أو غير مباشر ترويج سلع أو خدمات أو التماسات أو طلبات تجارية أو سياسية أو اجتماعية أو خيرية موجهة إلى أشـخاص بعينهـم.
جهات الأمن القومى : رئاسة الجمهورية ووزارة الدفاع ووزارة الداخلية وجهاز المخابرات العامة وهيئة الرقابة الإدارية .
المركز : مركز حماية البيانات الشخصية.
الترخيص : وثيقة رسمية تصدر عن المركز للشخص الاعتبارى تمنحه من خلالها الحق فى مزاولة نشاط جمع البيانات الشخصية الإلكترونية أو تخزينها أو نقلها أو معالجتها أو القيام بأنشطة التسويق الإلكترونى أو كل ما سبق والتعامل عليها بأى صورة ، وتحدد التزامات المرخص له وفق القواعد والشروط والإجراءات والمعايير الفنية المحددة باللائحة التنفيذية لهذا القانون ، وذلك لمدة ثلاث سنوات قابلة للتجديد لمدد أخرى.
التصريح : وثيقة رسمية تصدر عن المركز للشخص الطبيعى أو الاعتبارى تمنحه من خلالها الحق فى ممارسة نشاط جمع البيانات الشخصية الإلكترونية أو تخزينها أو نقلها أو معالجتها أو القيام بأنشطة التسويق الإلكترونى أو كل ما سبق والتعامل عليها بأى صورة ، أو لأداء مهمة أو مهام معينة ، وتحدد هذه الوثيقة التزامات المصرح له وفق القواعد والشروط والإجراءات والمعايير الفنية المحددة باللائحة التنفيذية ، لمدة مؤقتة لا تجاوز سنة ، ويجوز تجديدها لأكثر من مدة .
الاعتماد : شهادة تصدر عن المركز تفيد أن الشخص الطبيعى أو الاعتبارى قد استوفى جميع المتطلبات الفنية والقانونية والتنظيمية المحددة باللائحة التنفيذية لهذا القانون ويكون بموجبها مؤهلا لتقديم الاستشارات فى مجال حماية البيانات الشخصية.
الوزير المختص : الوزير المعنى بشئون الاتصالات وتكنولوجيا المعلومات.
( الفصل الثانى )
حقوق الشخص المعنى بالبيانات وشروط جمع ومعالجة البيانات
المادة رقم ٢
لا يجوز جمع البيانات الشخصية أو معالجتها أو الإفصاح عنها أو إفشائها بأى وسيلة من الوسائل إلا بموافقة صريحة من الشخص المعنى بالبيانات ، أو فى الأحوال المصرح بها قانونا.
ويكون للشخص المعنى بالبيانات الحقوق الآتية :
العلم بالبيانات الشخصية الخاصة به الموجودة لدى أى حائز أو متحكم أو معالج والاطلاع عليها والوصول إليها أو الحصول عليها.
العدول عن الموافقة المسبقة على الاحتفاظ ببياناته الشخصية أو معالجتها.
التصحيح أو التعديل أو المحو أو الإضافة أو التحديث للبيانات الشخصية.
تخصيص المعالجة فى نطاق محدد.
العلم والمعرفة بأى خرق أو انتهاك لبياناته الشخصية.
الاعتراض على معالجة البيانات الشخصية أو نتائجها متى تعارضت مع الحقوق والحريات الأساسية للشخص المعنى بالبيانات.
وباستثناء البند (٥) من الفقرة السابقة ، يؤدى الشخص المعنى بالبيانات مقابل تكلفة الخدمة المقدمة إليه من المتحكم أو المعالج فيما يخص ممارسته لحقوقه ، ويتولى المركز إصدار قرارات تحديد هذا المقابل بما لا يجاوز عشرين ألف جنيه.
المادة رقم ٣
يجب لجمع البيانات الشخصية ومعالجتها والاحتفاظ بها ، توافر الشروط الآتية :
- أن تجمع البيانات الشخصية لأغراض مشروعة ومحددة ومعلنة للشخص المعنى.
- أن تكون صحيحة وسليمة ومؤمنة.-
- أن تعالج بطريقة مشروعة وملائمة للأغراض التى تم تجميعها من أجلها.
ألا يتم الاحتفاظ بها لمدة أطول من المدة اللازمة للوفاء بالغرض المحدد لها.
وتحدد اللائحة التنفيذية لهذا القانون السياسات والإجراءات والضوابط والمعايير القياسية للجمع والمعالجة والحفظ والتأمين لهذه البيانات.
( الفصل الثـالث )
التزامات المتحكم والمعالج
أولا : التزامات المتحكم
المادة رقم (٤)
مع مراعاة أحكام المـادة (١٢) من هذا القانون ، يلتزم المتحكم بما يأتى :
الحصول على البيانات الشخصية أو تلقيها من الحائز أو من الجهات المختصة بتزويده بها بحسب الأحوال بعد موافقة الشخص المعنى بالبيانات ، أو فى الأحوال المصرح بها قانونا.
التأكد من صحة البيانات الشخصية واتفاقها وكفايتها مع الغرض المحدد لجمعها.
وضع طريقة وأسلوب ومعايير المعالجة طبقا للغرض المحدد ، ما لم يقرر تفويض المعالج فى ذلك بموجب تعاقد مكتوب.
التأكد من انطباق الغرض المحدد من جمع البيانات الشخصية لأغراض معالجتها.
القيام بعمل أو الامتناع عن عمل يكون من شأنه إتاحة البيانات الشخصية إلا فى الأحوال المصرح بها قانونا.
اتخاذ جميع الإجراءات التقنية والتنظيمية وتطبيق المعايير القياسية اللازمة لحماية البيانات الشخصية وتأمينها حفاظا على سريتها ، وعدم اختراقها أو إتلافها أو تغييرها أو العبث بها قبل أى إجراء غير مشروع.
محو البيانات الشخصية لديه فور انقضاء الغرض المحدد منها ، أما فى حال الاحتفاظ بها لأى سبب من الأسباب المشروعة بعد انتهاء الغرض ، فيجب ألا تبقى فى صورة تسمح بتحديد الشخص المعنى بالبيانات.
تصحيح أى خطأ بالبيانات الشخصية فور إبلاغه أو علمه به.
إمساك سجل خاص للبيانات ، على أن يتضمن وصف فئات البيانات الشخصية لديه ، وتحديد من سيفصح لهم عن هذه البيانات أو يتيحها لهم وسنده والمدد الزمنية وقيودها ونطاقها وآليات محو البيانات الشخصية لديه أو تعديلها وأى بيانات أخرى متعلقة بنقل تلك البيانات الشخصية عبر الحدود ووصف الإجراءات التقنية والتنظيمية الخاصة بأمن البيانات.
الحصول على ترخيص أو تصريح من المركز للتعامل مع البيانات الشخصية.
يلتزم المتحكم خارج جمهورية مصر العربية بتعيين ممثل له فى جمهورية مصر العربية وذلك على النحو الذى تبينه اللائحة التنفيذية.
توفير الإمكانيات اللازمة لإثبات التزامه بتطبيق أحكام هذا القانون وتمكين المركز من التفتيش والرقابة للتأكد من ذلك.
وفى حال وجود أكثر من متحكم يلتزم كل منهم بجميع الالتزامات المنصوص عليها فى هذا القانون ، وللشخص المعنى ممارسة حقوقه تجاه كل متحكم على حدة.
وتحدد اللائحة التنفيذية لهذا القانون السياسات والإجراءات والضوابط والمعايير الفنية لتلك الالتزامات.
ثانيا : التزامات المعالج
المادة رقم ٥
مع مراعاة أحكام المادة (١٢) من هذا القانون ، يلتزم معالج البيانات الشخصية بما يأتى :
إجراء المعالجة وتنفيذها طبقا للقواعد المنظمة لذلك بهذا القانون ولائحته التنفيذية ووفقا للحالات المشروعة والقانونية وبناء على التعليمات المكتوبة الواردة إليه من المركز أو المتحكم أو من أى ذى صفة بحسب الأحوال ، وبصفة خاصة فيما يتعلق بنطاق عملية المعالجة وموضوعها وطبيعتها ونوع البيانات الشخصية واتفاقها وكفايتها مع الغرض المحدد له.
أن تكون أغراض المعالجة وممارستها مشروعة ، ولا تخالف النظام العام أو الآداب العامة.
عدم تجاوز الغرض المحدد للمعالجة ومدتها ، ويجب إخطار المتحكم أو الشخص المعنى بالبيانات أو كل ذى صفة ، بحسب الأحوال ، بالمدة اللازمة للمعالجة.
محو البيانات الشخصية بانقضاء مدة المعالجة أو تسليمها للمتحكم.
القيام بعمل أو الامتناع عن عمل يكون من شأنه إتاحة البيانات الشخصية أو نتائج المعالجة إلا فى الأحوال المصرح بها قانونا.
عدم إجراء أى معالجة للبيانات الشخصية تتعارض مع غرض المتحكم فيها أو نشاطه إلا إذا كان ذلك بغرض إحصائى أو تعليمى ولا يهدف للربح ودون الإخلال بحرمة الحياة الخاصة.
حماية وتأمين عملية المعالجة والوسائط والأجهزة الإلكترونية المستخدمة فى ذلك وما عليها من بيانات شخصية.
عدم إلحاق أى ضرر بالشخص المعنى بالبيانات بشكل مباشر أو غير مباشر.
إعداد سجل خاص بعمليات المعالجة لديه ، على أن يتضمن فئات المعالجة التى يجريها نيابة عن أى متحكم وبيانات الاتصال به ومسئول حماية البيانات لديه ، والمدد الزمنية للمعالجة وقيودها ونطاقها وآليات محو البيانات الشخصية لديه أو تعديلها ، ووصفا للإجراءات التقنية والتنظيمية الخاصة بأمن البيانات وعمليات المعالجة.
توفير الإمكانيات لإثبات التزامه بتطبيق أحكام هذا القانون عند طلب المتحكم وتمكين المركز من التفتيش والرقابة للتأكد من التزامه بذلك.
الحصول على ترخيص أو تصريح من المركز للتعامل على البيانات الشخصية.
يلتزم المعالج خارج جمهورية مصر العربية بتعيين ممثل له فى جمهورية مصر العربية وذلك على النحو الذى تبينه اللائحة التنفيذية.
وفى حال وجود أكثر من معالج ، يلتزم كل منهم بجميع الالتزامات المنصوص عليها فى هذا القانون وذلك فى حال عدم وجود عقد يحدد التزامات ومسئوليات كل منهم بوضوح.
وتحدد اللائحة التنفيذية لهذا القانون السياسات والإجراءات والضوابط والشروط والتعليمات والمعايير القياسية لتلك الالتزامات.
ثالثا : شروط المعالجة
المادة رقم ٦
تعد المعالجة الإلكترونية مشروعة وقانونية فى حال توفر أى من الحالات الآتية :
موافقة الشخص المعنى بالبيانات على إجراء المعالجة من أجل تحقيق غرض محدد أو أكثر.
أن تكون المعالجة لازمة وضرورية تنفيذا لالتزام تعاقدى أو تصرف قانونى أو لإبرام عقد لصالح الشخص المعنى بالبيانات ، أو لمباشرة أى من إجراءات المطالبة بالحقوق القانونية له أو الدفاع عنها.
تنفيذ التزام ينظمه القانون أو أمر من جهات التحقيق المختصة أو بناء على حكم قضائى.
تمكين المتحكم من القيام بالتزاماته أو أى ذى صفة من ممارسة حقوقه المشروعة ، ما لم يتعارض ذلك مع الحقوق والحريات الأساسية للشخص المعنى بالبيانات.
رابعا : الالتزام بالإخطار والإبلاغ
المادة رقم ٧
يلتزم كل من المتحكم والمعالج بحسب الأحوال حال علمه بوجود خرق أو انتهاك للبيانات الشخصية لديه بإبلاغ المركز خلال اثنتين وسبعين ساعة ، وفى حال كان هذا الخرق أو الانتهاك متعلقا باعتبارات حماية الأمن القومى فيكون الإبلاغ فوريا ، وعلى المركز وفى جميع الأحوال إخطار جهات الأمن القومى بالواقعة فورا ، كما يلتزم بموافاة المركز خلال اثنتين وسبعين ساعة من تاريخ علمه بما يأتي
وصف طبيعة الخرق أو الانتهاك ، وصورته وأسبابه والعدد التقريبى للبيانات الشخصية وسجلاتها.
بيانات مسئول حماية البيانات الشخصية لديه.
الآثار المحتملة لحادث الخرق أو الانتهاك.
وصف الإجراءات المتخذة والمقترح تنفيذها لمواجهة هذا الخرق أو الانتهاك والتقليل من آثاره السلبية.
توثيق أى خرق أو انتهاك للبيانات الشخصية ، والإجراءات التصحيحية المتخذة لمواجهته.
أى وثائق أو معلومات أو بيانات يطلبها المركز.
وفى جميع الأحوال يجب على المتحكم والمعالج ، بحسب الأحوال ، إخطار الشخص المعنى بالبيانات خلال ثلاثة أيام عمل من تاريخ الإبلاغ وما تم اتخاذه من إجراءات ، وتحدد اللائحة التنفيذية لهذا القانون الإجراءات الخاصة بالإبلاغ والإخطار.
( الفصل الرابع )
مسئول حماية البيانات الشخصية
أولا: تعيين مسئول حماية البيانات الشخصية
المادة رقم ٨
ينشأ بالمركز سجل لقيد مسئولى حماية البيانات الشخصية ، وتحدد اللائحة التنفيذية لهذا القانون شروط القيد وإجراءاته وآليات التسجيل.
ويلتزم الممثل القانونى للشخص الاعتبارى لأى متحكم أو معالج بأن يعين داخل كيانه القانونى وهيكله الوظيفى موظفا مختصا مسئولا عن حماية البيانات الشخصية ، وذلك بقيده فى سجل مسئولى حماية البيانات الشخصية بالمركز ، ويعلن عن ذلك.
ويكون الشخص الطبيعى المتحكم أو المعالج هو المسئول عن تطبيق أحكام هذا القانون.
ثانيا : التزامات مسئول حماية البيانات الشخصية
المادة رقم ٩
يكون مسئول حماية البيانات الشخصية مسئولا عن تنفيذ أحكام القانون ولائحته التنفيذية وقرارات المركز ، ومراقبة الإجراءات المعمول بها داخل كيانه الإشراف عليها ، وتلقى الطلبات المتعلقة بالبيانات الشخصية وفقا لأحكام هذا القانون.
ويلتزم على الأخص بالآتى :
إجراء التقييم والفحص الدورى لنظم حماية البيانات الشخصية ومنع اختراقها ، وتوثيق نتائج التقييم وإصدار التوصيات اللازمة لحمايتها.
العمل كنقطة اتصال مباشرة مع المركز وتنفيذ قراراته ، فيما يخص تطبيق أحكام هذا القانون.
تمكين الشخص المعنى بالبيانات من ممارسة حقوقه المنصوص عليها فى هذا القانون.
إخطار المركز فى حال وجود أى خرق أو انتهاك للبيانات الشخصية لديه.
الرد على الطلبات المقدمة من الشخص المعنى بالبيانات أو كل ذى صفة ، والرد على المركز فى التظلمات المقدمة إليه من أى منهما وفقا لأحكام هذا القانون.
متابعة القيد والتحديث لسجل البيانات الشخصية لدى المتحكم أو سجل عمليات المعالجة لدى المعالج ، بما يكفل ضمان دقة البيانات والمعلومات المقيدة به.
إزالة أى مخالفات متعلقة بالبيانات الشخصية داخل كيانه ، واتخاذ الإجراءات التصحيحية حيالها.
تنظيم البرامج التدريبية اللازمة لموظفى كيانه ، لتأهيلهم بما يتناسب مع متطلبات هذا القانون.
وتحدد اللائحة التنفيذية لهذا القانون الالتزامات والإجراءات والمهام الأخرى التى يجب على مسئول حماية البيانات الشخصية القيام بها.
( الفصل الخامس )
إجراءات إتاحة البيانات الشخصية
المادة رقم ١٠
يلتزم كل من المتحكم والمعالج والحائز عند طلب إتاحـة البيانات الشخصية بالإجراءات الآتية :
أن يكون بناء على طلب كتابى يقدم إليه من ذى صفة أو وفقا لسند قانونى.
التحقق من توافر المستندات اللازمة لتنفيذ الإتاحة والاحتفاظ بها.
البت فى الطلب ومستنداته خلال ستة أيام عمل من تاريخ تقديمه إليه ، وعند صدور قرار بالرفض يجب أن يكون الرفض مسببا ، ويعتبر مضى المدة المشار إليها دون رد فى حكم الرفض.
المادة رقم١١
يكون للدليل الرقمى المستمد من البيانات الشخصية طبقا لأحكام هذا القانون ذات الحجية فى الإثبات المقررة للأدلة المستمدة من البيانات والمعلومات الخطية متى استوفت المعايير والشروط الفنية الواردة باللائحة التنفيذية لهذا القانون.
( الفصل السادس )
البيانات الشخصية الحساسة
المادة رقم١٢
يحظر على المتحكم أو المعالج سواء كان شخصا طبيعيا أو اعتباريا جمع بيانات شخصية حسـاسة أو نقلها أو تخزينها أو حفظها أو معالجتها أو إتاحتها إلا بترخيص من المركز.
وفيما عدا الأحوال المصرح بها قانونا ، يلزم الحصول على موافقة كتابية وصريحة من الشخص المعنى.
وفى حالة إجراء أى عملية مما ذكر تتعلق ببيانات الأطفال ، يلزم موافقة ولى الأمر.
ويجب ألا تكون مشاركة الطفل فى لعبة أو مسابقة أو أى نشاط آخر مشروطة بتقديم بيانات شخصية للطفل تزيد على ما هو ضرورى للمشاركة فى ذلك.
وذلك كله وفقا للمعايير والضوابط التى تحددها اللائحة التنفيذية لهذا القانون.
المادة رقم١٣
بالإضافة إلى الالتزامات الواردة بالمادة (٩) من هذا القانون ، يلتزم مسئول حماية البيانات الشخصية وتابعوه لدى المتحكم أو المعالج باتباع واستيفاء السياسات والإجراءات التأمينية اللازمة لعدم خرق البيانات الشخصية الحساسة أو انتهاكها.
( الفصل السابع )
البيانات الشخصية عبر الحدود
المادة رقم١٤
يحظر إجراء عمليات نقل للبيانات الشخصية التى تم جمعها أو تجهيزها للمعالجة إلى دولة أجنبية أو تخزينها أو مشاركتها إلا بتوافر مستوى من الحماية لا يقل عن المستوى المنصوص عليه فى هذا القانون ، وبترخيص أو تصريح من المركز .
وتحدد اللائحة التنفيذية لهذا القانون السياسات والمعايير والضوابط والقواعد اللازمة لنقل أو تخزين أو مشاركة أو معالجة أو إتاحة البيانات الشخصية عبر الحدود وحمايتها.
المادة رقم١٥
استثناء من حكم المادة (١٤) من هذا القانون ، يجوز فى حالة الموافقة الصريحة للشخص المعنى بالبيانات أو من ينوب عنه نقل أو مشاركة أو تداول أو معالجة البيانات الشخصية إلى دولة لا يتوافر فيها مستوى الحماية المشار إليها فى المادة السابقة ، وذلك فى الحالات الآتية :
المحافظة على حياة الشخص المعنى بالبيانات، وتوفير الرعاية الطبية أو العلاج أو إدارة الخدمات الصحية له.
تنفيذ التزامات بما يضمن إثبات حق أو ممارسته أمام جهات العدالة أو الدفاع عنه.
إبرام عقد ، أو تنفيذ عقد مبرم بالفعل ، أو سيتم إبرامه بين المسئول عن المعالجة والغير ، وذلك لمصلحة الشخص المعنى بالبيانات.
تنفيذ إجراء خاص بتعاون قضائى دولى.
وجود ضرورة أو إلزام قانونى لحماية المصلحة العامة.
إجراء تحويلات نقدية إلى دولة أخرى وفقًا لتشريعاتها المحددة والسارية.
إذا كان النقل أو التداول يتم تنفيذًا لاتفاق دولى ثنائى أو متعدد الأطراف تكون جمهورية مصر العربية طرفا فيه.
المادة رقم ١٦
يجوز للمتحكم أو المعالج ، بحسب الأحوال ، إتاحة البيانات الشخصية لمتحكم أو معالج آخر خارج جمهورية مصر العربية بترخيص من المركز متى توافرت الشروط الآتية :
اتفاق طبيعة عمل كل من المتحكمين أو المعالجين ، أو وحدة الغرض الذى يحصلان بموجبه على البيانات الشخصية.
توافر المصلحة المشروعة لدى كل من المتحكمين أو المعالجين للبيانات الشخصية أو لدى الشخص المعنى بالبيانات.
ألا يقل مستوى الحماية القانونية والتقنية للبيانات الشخصية لدى المتحكم أو المعالج الموجودة بالخارج عن المستوى المتوافر فى جمهورية مصر العربية.
وتحدد اللائحة التنفيذية لهذا القانون الاشتراطات والإجراءات والاحتياطات والمعايير والقواعد اللازمة لذلك.
( الفصل الثامن )
التسويق الإلكترونى المباشر
المادة رقم ١٧
يحظر إجراء أى اتصال إلكترونى بغرض التسويق المباشر للشخص المعنى بالبيانات ، إلا بتوافر الشروط الآتية :
الحصول على موافقة من الشخص المعنى بالبيانات.
أن يتضمن الاتصال هوية منشئه ومرسله.
أن يكون للمرسل عنوان صحيح وكاف للوصول إليه.
الإشارة إلى أن الاتصال الإلكترونى مرسل لأغراض التسويق المباشر.
وضع آليات واضحة وميسرة لتمكين الشخص المعنى بالبيانات من رفض الاتصال الإلكترونى أو العدول عن موافقته على إرسالها.
المادة رقم ١٨
يلتزم المرسل لأى اتصال إلكترونى بغرض التسويق المباشر بالالتزامات الآتية :
الغرض التسويقى المحدد.
عدم الإفصاح عن بيانات الاتصال للشخص المعنى بالبيانات.
الاحتفاظ بسجلات إلكترونية مثبت بها موافقة الشخص المعنى بالبيانات وتعديلاتها ، أو عدم اعتراضه على استمراره ، بشأن تلقى الاتصال الإلكترونى التسويقى وذلك لمدة ثلاث سنوات من تاريخ آخر إرسال.
وتحدد اللائحة التنفيذية لهذا القانون القواعد والشروط والضوابط المتعلقة بالتسويق الإلكترونى المباشر.
( الفصل التاسع )
مركز حماية البيانات الشخصية
المادة رقم ١٩
تنشأ هيئة عامة اقتصادية تسمى « مركز حماية البيانات الشخصية » ، تتبع الوزير المختص ، وتكون لها الشخصية الاعتبارية ، ويكون مقرها الرئيس محافظة القاهرة أو إحدى المحافظات المجاورة لها ، وتهدف إلى حماية البيانات الشخصية وتنظيم معالجتها وإتاحتها ، ولها فى سبيل تحقيق أهدافها أن تباشر جميع الاختصاصات المنصوص عليها بهذا القانون ، ولها على الأخص الآتى :
وضع وتطوير السياسات والخطط الاستراتيجية والبرامج اللازمة لحماية البيانات الشخصية ، والقيام على تنفيذها.
توحيد سياسات وخطط حماية ومعالجة البيانات الشخصية داخل الجمهورية.
وضع وتطبيق القرارات والضوابط والتدابير والإجراءات والمعايير الخاصة بحماية البيانات الشخصية.
وضع إطار إرشادى لمدونات السلوك الخاصة بحماية البيانات الشخصية ، واعتماد مدونات السلوك الخاصة بحماية البيانات الشخصية بالجهات المختلفة.
التنسيق والتعاون مع جميع الجهات والأجهزة الحكومية وغير الحكومية فى ضمان إجراءات حماية البيانات الشخصية ، والتواصل مع جميع المبادرات ذات الصلة.
دعم تطوير كفاءة الكوادر البشرية العاملة فى جميع الجهات الحكومية وغير الحكومية القائمة على حماية البيانات الشخصية.
إصدار التراخيص أو التصاريح والموافقات والتدابير المختلفة المتعلقة بحماية البيانات الشخصية وتطبيق أحكام هذا القانون.
اعتماد الجهات والأفراد ، ومنحهم التصاريح اللازمة التى تتيح لهم تقديم الاستشارات فى إجراءات حماية البيانات الشخصية.
تلقى الشكاوى والبلاغات المتعلقة بأحكام هذا القانون ، وإصدار القرارات اللازمة فى شأنها.
إبداء الرأى فى مشروعات القوانين والاتفاقيات الدولية التى تنظم البيانات الشخصية أو تتعلق أو تنعكس نصوصها بصورة مباشرة أو غير مباشرة عليها.
الرقابة والتفتيش على المخاطبين بأحكام هذا القانون ، واتخاذ الإجراءات القانونية اللازمة.
التحقق من شروط حركة البيانات عبر الحدود ، واتخاذ القرارات المنظمة لها.
تنظيم المؤتمرات وورش العمل والدورات التدريبية والتثقيفية ، وإصدار المطبوعات لنشر الوعى والتثقيف للأفراد والجهات حول حقوقهم فيما يتعلق بالتعامل على البيانات الشخصية.
تقديم جميع أنواع الخبرة والاستشارات المتعلقة بحماية البيانات الشخصية ، وعلى الأخص لجهات التحقيق والجهات القضائية.
إبرام الاتفاقيات ومذكرات التفاهم والتنسيق والتعاون وتبادل الخبرات مع الجهات الدولية ذات الصلة بعمل المركز وفقا للقواعد والإجراءات المقررة فى هذا الشأن.
إصدار الدوريات الخاصة بتحديث إجراءات الحماية بما يتوافق مع أنشطة القطاعات المختلفة وتوصيات المركز فى شأنها.
إعداد وإصدار تقرير سنوى عن حالة حماية البيانات الشخصية فى جمهورية مصر العربية.
المادة رقم ٢٠
يكون للمركز مجلس إدارة ، يشكل برئاسة الوزير المختص ، وعضوية كل من :
ممثل عن وزارة الدفاع يختاره وزير الدفاع.
ممثل عن وزارة الداخلية يختاره وزير الداخلية.
ممثل عن جهاز المخابرات العامة يختاره رئيس الجهاز.
ممثل عن هيئة الرقابة الإدارية يختاره رئيس الهيئة.
ممثل عن هيئة تنمية صناعة تكنولوجيا المعلومات يختاره رئيس مجلس إدارة الهيئة .
ممثل عن الجهاز القومى لتنظيم الاتصالات يختاره رئيس مجلس إدارة الجهاز.
الرئيس التنفيذى للمركز.
ثلاثة من ذوى الخبرة يختارهم الوزير المختص.
وتكون مدة عضوية مجلس الإدارة ثلاث سنوات قابلة للتجديد ، ويصدر بتشكيله ، وتحديد المعاملة المالية لأعضائه قرار من رئيس مجلس الوزراء .
ولمجلس الإدارة أن يشكل من بين أعضائه لجنة أو أكثر يعهد إليها بصفة مؤقتة ببعض المهام ، وللمجلس أن يفوض رئيس مجلس الإدارة أو الرئيس التنفيذى للمركز فى بعض اختصاصاته.
المادة رقم ٢١
مجلس إدارة المركز هو السلطة المهيمنة على شئونه ومباشرة اختصاصاته ، وله أن يتخذ ما يراه لازما من قرارات لتحقيق أغراض المركز والقانون ولائحته التنفيذية وله على الأخص ما يأتى :
إقرار السياسات والخطط الاستراتيجية والبرامج اللازمة لحماية البيانات الشخصية.
اعتماد اللوائح والضوابط والتدابير والمعايير الخاصة بحماية البيانات الشخصية.
اعتماد خطط التعاون الدولى وتبادل الخبرات مع الجهات والمنظمات الدولية.
اعتماد الهيكل التنظيمى واللوائح المالية والإدارية والموارد البشرية والموازنة السنوية للمركز.
الموافقة على إنشاء مكاتب أو فروع للمركز على مستوى الجمهورية.
قبول المنح والتبرعات والهبات اللازمة لتحقيق أغراض المركز بعد الحصول على الموافقات المتطلبة قانونا.
المادة رقم ٢٢
يجتمع مجلس إدارة المركز بدعوة من رئيسه مرة على الأقل كل شهر ، وكلمـا دعت الحاجة لذلك، ويكون اجتماعه صحيحا بحضور أغلبية أعضائه ، وتصدر قراراته بأغلبية ثلثى أصوات الأعضاء الحاضرين، وللرئيس أن يدعو من يرى لحضور الاجتماع دون أن يكون له صوت معدود .
المادة رقم ٢٣
يكون للمركز رئيس تنفيذى ، يصدر بتعيينه وتحديد معاملته المالية قرار من رئيس مجلس الوزراء بناء على اقتراح الوزير المختص لمدة أربع سنوات قابلة للتجديد لمرة واحدة .
ويكون مسئولا أمام مجلس الإدارة عن سير أعمال المركز فنيا وإداريا وماليا ، ويمثله فى صلاته بالغير وأمام القضاء وله على الأخص ما يأتى :
الإشراف على تنفيذ قرارات مجلس الإدارة.
إدارة المركز والإشراف على سير العمل به ، وتصريف شئونه.
عرض تقارير دورية على مجلس الإدارة عن نشاط المركز وسير العمل به وما تم إنجازه وفقا للأهداف والخطط والبرامج الموضوعة ، وتحديد معوقات الأداء ، والحلول المقترحة لتفاديها.
ممارسة الاختصاصات الأخرى التى تحددها لوائح المركز.
اتخاذ كل ما يلزم لإنفاذ جميع مهام المركز واختصاصاته الواردة فى المادة (٢١) من هذا القانون.
ويعاون الرئيس التنفيذى فى مباشرة اختصاصاته عدد كاف من الخبراء والفنيين والإداريين وفقا للهيكل التنظيمى للمركز.
المادة رقم ٢٤
يحظر على أعضاء مجلس إدارة المركز والعاملين به ، إفشاء أى وثائق أو مستندات أو بيانات تتعلق بالحالات التى يقوم المركز برقابتها أو فحصها أو التى يتم تقديمها أو تداولها أثناء فحص أو إصدار القرارات الخاصة بها ، ويظل هذا الالتزام قائما بعد انتهاء العلاقة بالمركز.
وفى جميع الأحوال ، لا يجوز الإفصاح عن المعلومات والوثائق والمستندات والبيانات المشار إليها فى هذه المادة إلا لسلطات التحقيق والجهات والهيئات القضائية.
المادة رقم ٢٥
للمركز بالتنسيق مع السلطات المختصة التعاون مع نظرائه بالبلاد الأجنبية وذلك فى إطار اتفاقيات التعاون الدولية والإقليمية والثنائية أو بروتوكولات التعاون المصدق عليها أو تطبيقا لمبدأ المعاملة بالمثل بما من شأنه حماية البيانات الشخصية والتحقق من مدى الامتثال للقانون من قبل المتحكمين والمعالجين خارج الجمهورية ، ويعمل المركز على تبادل البيانات والمعلومات بما من شأنه أن يكفل حماية البيانات الشخصية وعدم انتهاكها والمساعدة فى التحقيق فى الانتهاكات والجرائم ذات الصلة وتتبع مرتكبيها.
( الفصل العاشر )
التراخيص والتصاريح والاعتمادات
أولا : أنواع التراخيص والتصاريح والاعتمادات
المادة رقم ٢٦
يصدر المركز التراخيص أو التصاريح أو الاعتمادات على النحو الآتى :
يقوم المركز بتصنيف التراخيص والتصاريح والاعتمادات وتحديد أنواعها ، ووضع الشروط الخاصة بمنح كل نوع منها ، وذلك وفقًا لما تحدده اللائحة التنفيذية لهذا القانون.
إصدار الترخيص أو التصريح للمتحكم أو المعالج لإجراء عمليات حفظ البيانات ، والتعامل عليها ومعالجتها وفقًا لأحكام هذا القانون.
إصدار التراخيص أو التصاريح الخاصة بالتسويق الإلكترونى المباشر.
إصدار التراخيص أو التصاريح الخاصة بالمعالجات التى تقوم بها الجمعيات أو النقابات أو النوادى للبيانات الشخصية لأعضاء تلك الجهات وفى إطار أنشطتها.
إصدار التراخيص أو التصاريح الخاصة بوسائل المراقبة البصرية فى الأماكن العامة.
إصدار التراخيص أو التصاريح الخاصة بالتحكم ومعالجة البيانات الشخصية الحساسة.
إصدار التصاريح والاعتمادات الخاصة بالجهات والأفراد التى تتيح لهم تقديم الاستشارات فى إجراءات حماية البيانات الشخصية ، وإجراءات الامتثال لها.
إصدار التراخيص والتصاريح الخاصة بنقل البيانات الشخصية عبر الحدود.
وتحدد اللائحة التنفيذية لهذا القانون أنواع هذه التراخيص والتصاريح والاعتمادات وفئاتها ومستوياتها ، وإجراءات وشروط إصدارها وتجديدها ونماذجها المستخدمة ، وذلك بمقـابل رسوم لا تتجاوز مليونى جنيه بالنسبة للترخيص ، ومبلغ لا يتجاوز خمسمائة ألف جنيه للتصريح أو الاعتماد.
ثانيا : إجراءات إصدار التراخيص والتصاريح والاعتمادات
المادة رقم ٢٧
تقدم طلبات التراخيص والتصاريح والاعتمادات على النماذج التى يضعها المركز مشفوعة بجميع المستندات والمعلومات التى يحددها ، مع تقديم ما يثبت قدرة المتقدم المـالية وقدرته على توفير وتنفيذ المتطلبات والمعايير الفنية المقررة ، ويبت فى الطلب خلال مدة لا تجاوز تسعين يوما من تاريخ استيفائه لجميع المستندات والمعلومات وإلا اعتبر الطلب مرفوضا.
ويجوز للمركز طلب بيانات أو وثائق أو مستندات أخرى للبت فى الطلب ، كما يكون له الحق فى طلب توفير ضمانات إضافية لحماية البيانات الشخصية إذا تبين عدم كفاية الحماية المبينة بالمستندات المقدمة إليه، كما يجوز للمتحكم أو المعالج الحصول على أكثر من ترخيص أو تصريح وفقًا لنوعية البيانات الشخصية المتعامل عليها.
ثالثًا : تعديل شروط التراخيص والتصاريح
المادة رقم ٢٨
يجوز للمركز ، وفقا لاعتبارات المصلحة العامة ، تعديل شروط الترخيص أو التصريح بعد إصداره فى أى من الحالات الآتية :
الاستجابة إلى الاتفاقيات الدولية أو الإقليمية أو القوانين الوطنية ذات الصلة.
بناء على طلب المرخص له.
اندماج المتحكم أو المعالج مع آخرين داخل جمهورية مصر العربية أو خارجها.
إذا كان التعديل ضروريًا لتحقيق أهداف هذا القانون.
رابعا : إلغاء التراخيص والتصاريح والاعتمادات
المادة رقم ٢٩
يجوز للمركز إلغاء الترخيص أو التصريح أو الاعتماد بعد إصداره فى أى من الحالات الآتية :
مخالفة شروط الترخيص أو التصريح أو الاعتماد.
عدم سداد رسوم تجديد الترخيص أو التصريح أو الاعتماد.
تكرار عدم الامتثال لقرارات المركز.
التنازل عن الترخيص أو التصريح أو الاعتماد للغير دون موافقة المركز.
صدور حكم بإفلاس المتحكم أو المعالج.
خامسا : الجزاءات الإدارية
المادة رقم ٣٠
مع عدم الإخلال بأحكام المسئولية المدنية والجنائية ، يقوم الرئيس التنفيذى للمركز، فى حال ارتكاب أى مخالفة لأحكام هذا القانون بإنذار المخالف بالتوقف عن المخالفة وإزالة أسبابها أو آثارها خلال فترة زمنية يحددها، فإذا انقضت المدة المشار إليها دون تنفيذ مضمون ذلك الإنذار ، كان لمجلس إدارة المركز أن يصدر قرارًا مسببًا بما يأتى :
الإنذار بإيقاف الترخيص أو التصريح أو الاعتماد جزئيا أو كليا لمدة محددة.
إيقاف الترخيص أو التصريح أو الاعتماد جزئيا أو كليا.
سحب الترخيص أو التصريح أو الاعتماد أو إلغاؤه جزئيا أو كليا.
نشر بيان بالمخالفات التى ثبت وقوعها فى وسيلة إعلام أو أكثر واسعة الانتشار على نفقـة المخالف.
إخضاع المتحكم أو المعالج للإشراف الفنى للمركز لتأمين حماية البيانات الشخصية على نفقتهما بحسب الأحوال.
( الفصل الحادى عشر )
المادة رقم ٣١
موازنة المركز وموارده المالية
يكون للمركز موازنة خاصة تعد على نمط موازنات الهيئات الاقتصادية طبقـا للقواعد التى تحددها لائحة المركز. وتتبع قواعد النظام المحاسبى الموحد ، وذلك دون التقيد بالقواعد والنظم الحكومية ، وتبدأ السنة المالية للمركز مع بداية السنة المالية للدولة وتنتهى بنهايتها . كما يكون للمركز حساب خاص لدى البنك المركزى تودع فيه موارده ، ويجوز له إنشاء حساب باسمه لدى أحد البنـوك التجارية بعد موافقة وزير المالية ، ويرحل الفائض من موازنة المركز من سنة مالية إلى أخرى ، ويتم الصرف من موارده وفقًا للائحته المالية وذلك فى المجالات التى يحددها مجلس إدارته ، وتتكون موارده من الآتى :
ما يخصص له من موازنة هيئة تنمية صناعة تكنولوجيا المعلومات.
ما يخصص له من الخزانة العامة بما لا يقل عن ثلث حصيلة الغرامات المقضى بها تطبيقا لأحكام هذا القانون.
مقابل الخدمات التى يقوم المركز بتقديمها.
قيمة رسوم ومقابل التراخيص والتصاريح والاعتمادات التى يتم إصدارها وقيمة التصالحات التى يتم قبولها.
عائد استثمار أموال المركز.
ما يقبله مجلس الإدارة من المنح والتبرعات والهبات.
( الفصل الثانى عشر )
الطلبات والشكاوى
أولا : الطلبات
المادة رقم ٣٢
يجوز للشخص المعنى بالبيانات ولكل ذى صفة أن يتقدم إلى أى حائز أو متحكم أو معالج بطلب يتعلق بممارسة حقوقه المنصوص عليها فى هذا القانون ، ويلتزم المقدم إليه الطلب بالرد عليه خلال ستة أيام عمل من تاريخ تقديمه إليه.
ثانيا : الشكاوى
المادة رقم ٣٣
مع عدم الإخلال بالحق فى اللجوء إلى القضاء ، يكون للشخص المعنى بالبيانات ولكل ذى صفة ومصلحة مباشرة حق الشكوى فى الحالات الآتية :
انتهاك حق حماية البيانات الشخصية أو الإخلال به.
الامتناع عن تمكين الشخص المعنى بالبيانات من استيفاء حقوقه.
القرارات الصادرة عن المسئول عن حماية البيانات الشخصية لدى المعالج أو المتحكم بشأن الطلبات المقدمة إليه.
وتقدم الشكوى إلى المركز ، وله فى ذلك اتخاذ ما يلزم من إجراءات التحقيق ، وعليه أن يصدر قراره خلال ثلاثين يوم عمل من تاريخ تقديمها إليه ، على أن يخطر الشاكى والمشكو فى حقه بالقرار.ويلتزم المشكو فى حقه بتنفيذ قرار المركز خلال سبعة أيام عمل من تاريخ إخطاره به ، وإفادة المركز بما تم نحو تنفيذه.
( الفصل الثالث عشر )
الضبطية القضائية
المادة رقم ٣٤
يكون للعاملين بالمركز الذين يصدر بتحديدهم قرار من وزير العدل بناءً على اقتراح الوزير المختص صفة الضبطية القضائية فى إثبات الجرائم التى تقع بالمخالفة لأحكام هذا القانون.
( الفصل الرابع عشر )
الجرائم والعقوبات
المادة رقم ٣٥
مع عدم الإخلال بأى عقوبة أشد منصوص عليها فى أى قانون آخر ، ومع عدم الإخلال بحق المضرور فى التعويض ، يعاقب على الجرائم المنصوص عليها فى المواد التالية بالعقوبات المقررة لها.
المادة رقم ٣٦
يعاقب بغرامة لا تقل عن مائة ألف جنيه ولا تجاوز مليون جنيه كل حائز أو متحكم أو معالج جمع أو عالج أو أفشى أو أتاح أو تداول بيانات شخصية معالجة إلكترونيًا بأى وسيلة من الوسائل فى غير الأحوال المصرح بها قانونًا أو بدون موافقة الشخص المعنى بالبيانات.
وتكون العقوبة الحبس مدة لا تقل عن ستة شهور وبغرامة لا تقل عن مائتى ألف جنيه ولا تجاوز مليونى جنيه ، أو بإحدى هاتين العقوبتين ، إذا ارتكب ذلك مقابل الحصول على منفعة مادية أو أدبية ، أو بقصد تعريض الشخص المعنى بالبيانات للخطر أو الضرر.
المادة رقم ٣٧
يعاقب بغرامة لا تقل عن مائة ألف جنيه ولا تجاوز مليون جنيه ، كل حائز أو متحكم أو معالج امتنع دون مقتض من القانون عن تمكين الشخص المعنى بالبيانات من ممارسة حقوقه المنصوص عليها فى المادة (٢) من هذا القانون ويعاقب بغرامة لا تقل عن مائتى ألف جنيه ولا تجاوز مليونى جنيه كل من جمع بيانات شخصية بدون توافر الشروط المنصوص عليها فى المادة (٣) من هذا القانون.
المادة رقم ٣٨
يعاقب بغرامة لا تقل عن ثلاثمائة ألف جنيه ولا تجاوز ثلاثة ملايين جنيه ، كل متحكم أو معالج لم يلتزم بواجباته المنصوص عليها فى المواد (٤ ، ٥ ، ٧) من هذا القانون.
المادة رقم ٣٩
يعاقب بالغرامة التى لا تقل عن مائتى ألف جنيه ولا تجاوز مليونى جنيه ، كل ممثل قانونى للشخص الاعتبارى لم يلتزم بأحد واجباته المنصوص عليها فى المادة (٨) من هذا القانون.
المادة رقم ٤٠
يعاقب بغرامة لا تقل عن مائتى ألف جنيه ولا تجاوز مليونى جنيه ، كل مسئول حماية بيانات شخصية لم يلتزم بمقتضيات وظيفته المنصوص عليها فى المادة (٩) من هذا القانون.
ويعاقب بغرامة لا تقل عن خمسين ألف جنيه ولا تجاوز خمسمائة ألف جنيه إذا وقعت الجريمة نتيجة لإهمال مسئول حماية البيانات الشخصية.
المادة رقم ٤١
يعاقب بالحبس مدة لا تقل عن ثلاثة شهور وبغرامة لا تقل عن خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه ، أو بإحدى هاتين العقوبتين ، كل حائز أو متحكم أو معالج جمع أو أتاح أو تداول أو عالج أو أفشى أو خزن أو نقل أو حفظ بيانات شخصية حساسة بدون موافقة الشخص المعنى بالبيانات أو فى غير الأحوال المصرح بها قانونا.
المادة رقم ٤٢
يعاقب بالحبس مدة لا تقل عن ثلاثة شهور وبغرامة لا تقل عن خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه ، أو بإحدى هاتين العقوبتين ، كل من خالف أحكام حركة البيانات الشخصية عبر الحدود المنصوص عليها فى المواد (١٤ ، ١٥ ، ١٦) من هذا القانون.
المادة رقم ٤٣
يعاقب بغرامة لا تقل عن مائتى ألف جنيه ولا تجاوز مليونى جنيه ، كل من خالف أحكام التسويق الإلكترونى المنصوص عليها فى المادتين (١٧ ، ١٨) من هذا القانون.
المادة رقم ٤٤
يعاقب بغرامة لا تقل عن ثلاثمائة ألف جنيه ولا تجاوز ثلاثة ملايين جنيه ، كل عضو مجلس إدارة أو أى من العاملين بالمركز خالف الالتزامات المنصوص عليها فى المادة (٢٤) من هذا القانون.
المادة رقم ٤٥
يعاقب بغرامة لا تقل عن خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه ، كل من خالف أحكام التراخيص أو التصاريح أو الاعتمادات المنصوص عليها فى هذا القانون.
المادة رقم ٤٦
يعاقب بالحبس مدة لا تقل عن ستة أشهر وبغرامة لا تقل عن مائتى ألف جنيه ولا تجاوز مليونى جنيه ، أو بإحدى هاتين العقوبتين ، كل من منع أحد العاملين بالمركز ممن يتمتعون بصفة الضبطية القضائية من أداء عمله.
المادة رقم ٤٧
يعاقب المسئول عن الإدارة الفعلية للشخص الاعتبارى المخالف بذات العقوبات المقررة عن الأفعال التى ترتكب بالمخالفة لأحكام هذا القانون ، إذا ثبت علمه بها ، وكان إخلاله بالواجبات التى تفرضها عليه تلك الإدارة قد أسهم فى وقوع الجريمة .ويكون الشخص الاعتبارى مسئولا بالتضامن عن الوفاء بما يحكم به من تعويضات إذا كانت المخالفة قد ارتكبت من أحد العاملين لديه وباسم الشخص الاعتبارى ولصالحه.
المادة رقم ٤٨
فى جميع الأحوال ، وفضلا عن العقوبات المنصوص عليها فى هذا القانون ، تقضى المحكمة بنشر حكم الإدانة فى جريدتين واسعتى الانتشار ، وعلى شبكات المعلومات الإلكترونية المفتوحة على نفقة المحكوم عليه .
وفى حالة العود ، تضاعف العقوبات الواردة فى هذا الفصل بحديها الأقصى والأدنى.
ويعاقب على الشروع فى ارتكاب الجرائم المنصوص عليها فى هذا القانون بنصف العقوبة المقررة لها.
الصلح والتصالح
المادة رقم ٤٩
يجوز للمتهم فى أى حالة كانت عليها الدعوى الجنائية ، وقبل صيرورة الحكم باتا ، إثبات الصلح مع المجنى عليه أو وكيله الخاص أو خلفه العام ، وبموافقة المركز أمام النيابة العامة أو المحكمة المختصة بحسب الأحوال ، وذلك فى الجنح المنصوص عليها فى المواد (٣٦ ، ٣٧ ، ٣٨ ، ٣٩ ، ٤٠ ، ٤١ ، ٤٣) من هذا القانون.
ويكون التصالح مع المركز فى الجنح المنصوص عليها بالمواد (٤٢ ، ٤٤ ، ٤٥) من هذا القانون فى أى حالة كانت عليها الدعوى.
وفى جميع الأحوال ، يجب على المتهم الذى يرغب فى التصالح أن يسدد قبل رفع الدعوى الجنائية مبلغا يعادل نصف الحد الأدنى للغرامة المقررة للجريمة.
ويسدد المتهم راغب التصالح بعد رفع الدعوى وقبل صيرورة الحكم باتًا نصف الحد الأقصى للغرامة المقررة للجريمة ، أو قيمة الغرامة المقضى بها أيهما أكبر.
ويكون السداد فى خزانة المحكمة المختصة أو النيابة العامة أو المركز بحسب الأحوال.
ويترتب على التصالح انقضاء الدعوى الجنائية دون أن يكون له أثر على حقوق المضرور من الجريمة
