قانون حماية البيانات الشخصية – القانون رقم 151 لسنة 2020
المادة 1 إصدار
يعمل بأحكام هذا القانون والقانون المرافق في شأن حماية البيانات الشخصية المعالجة إلكترونيا جزئيا أو كليا لدى أي حائز أو متحكم أو معالج لها ، وذلك بالنسبة للأشخاص الطبيعيين .
المادة 2 إصدار
تسري أحكام هذا القانون والقانون المرافق له على كل من ارتكب إحدى الجرائم المنصوص عليها في القانون المرافق متى كان الجاني من المصريين داخل الجمهورية أو خارجها ، أو كان من غير المصريين المقيمين داخل الجمهورية ، أو كان من غير المصريين خارج الجمهورية إذا كان الفعل معاقباً عليه في الدولة التي وقع فيها تحت أي وصف قانونی وكانت البيانات محل الجريمة لمصريين أو أجانب مقيمين داخل الجمهورية .
المادة 3 إصدار
لا تسري أحكام القانون المرافق على ما يأتي :
1- البيانات الشخصية التي يحتفظ بها الأشخاص الطبيعيون للغير ، ويتم معالجتها للاستخدام الشخصي .
۲ – البيانات الشخصية التي تتم معالجتها بغرض الحصول على البيانات الإحصائية الرسمية أو تطبيقاً لنص قانونی .
٣ – البيانات الشخصية التي تتم معالجتها حصراً للأغراض الإعلامية بشرط أن تكون صحيحة ودقيقة ، وألا تستخدم في أي أغراض أخرى ، وذلك دون الإخلال بالتشريعات المنظمة للصحافة والإعلام .
4- البيانات الشخصية المتعلقة بمحاضر الضبط القضائي والتحقيقات والدعاوى القضائية .
5 – البيانات الشخصية لدى جهات الأمن القومي ، وما تقدره لاعتبارات أخرى .
ويجب على المركز ، بناءً على طلب جهات الأمن القومي ، إخطار المتحكم أو المعالج بتعديل أو محو أو عدم إظهار أو إتاحة أو تداول البيانات الشخصية ، خلال مدة زمنية محددة ، وفقاً لاعتبارات الأمن القومي ، ويلتزم المتحكم أو المعالج بتنفيذ ما ورد بالإخطار خلال المدة الزمنية المحددة به .
6- البيانات الشخصية لدى البنك المركزى المصرى والجهات الخاضعة لرقابته وإشرافه ، عدا شركات تحويل الأموال وشركات الصرافة ، على أن يراعى في شأنهما القواعد المقررة من البنك المركزى المصرى بشأن التعامل مع البيانات الشخصية .
المادة 4 إصدار
يصدر الوزير المعنى بشئون الاتصالات وتكنولوجيا المعلومات اللائحة التنفيذية للقانون المرافق خلال ستة أشهر من تاريخ العمل بهذا القانون .
المادة 5 إصدار
تختص المحاكم الاقتصادية بنظر الجرائم التي ترتكب بالمخالفة لأحكام القانون المرافق .
المادة 6 إصدار
يلتزم المخاطبون بأحكام هذا القانون بتوفيق أوضاعهم طبقا لأحكام القانون المرافق ولائحته التنفيذية ، وذلك خلال سنة من تاريخ صدور هذه اللائحة .
المادة 7 إصدار
ينشر هذا القانون في الجريدة الرسمية ، ويعمل به بعد مضي ثلاثة أشهر من اليوم التالي لتاريخ نشره .
يبصم هذا القانون بخاتم الدولة ، وينفذ كقانون من قوانينها .
صدر برئاسة الجمهورية في 22ذي القعدة سنة 1441ه
( الموافق 13 يولية سنة 2020م).
عبد الفتاح السيسي
المادة 1
في تطبيق أحكام هذا القانون ، يقصد بالكلمات والعبارات التالية المعنى المبين قرين كل منها :
البيانات الشخصية: أي بيانات متعلقة بشخص طبيعي محدد ، أو يمكن تحديده بشكل مباشر أو غير مباشر عن طريق الربط بين هذه البيانات وأي بيانات أخرى كالاسم ، أو الصوت ، أو الصورة ، أو رقم تعريفي ، أو محدد للهوية عبر الإنترنت ، أو أي بيانات تحدد الهوية النفسية ، أو الصحية ، أو الاقتصادية ، أو الثقافية ، أو الاجتماعية .
المعالجة : أي عملية إلكترونية أو تقنية لكتابة البيانات الشخصية ، أو تجميعها ، أو تسجيلها ، أو حفظها ، أو تخزينها ، أو دمجها ، أو عرضها ، أو إرسالها ، أو استقبالها ، أو تداولها ، أو نشرها ، أو محوها ، أو تغييرها ، أو تعديلها ، أو استرجاعها أو تحليلها وذلك باستخدام أي وسيط من الوسائط أو الأجهزة الإلكترونية أو التقنية سواء تم ذلك جزئيا أو كلياً .
البيانات الشخصية الحساسة : البيانات التي تفصح عن الصحة النفسية أو العقلية أو البدنية أو الجينية ، أو بيانات القياسات الحيوية البيومترية أو البيانات المالية أو المعتقدات الدينية أو الآراء السياسية أو الحالة الأمنية ، وفي جميع الأحوال تعد بيانات الأطفال من البيانات الشخصية الحساسة .
الشخص المعني بالبيانات : أي شخص طبیعی تنسب إليه بيانات شخصية معالجة إلكترونيا تدل عليه قانوناً أو فعلاً ، وتمكن من تمييزه عن غيره .
الحائز : أي شخص طبيعي أو اعتباری ، يحوز ويحتفظ قانونياً أو فعلياً ببيانات شخصية في أي صورة من الصور ، أو على أي وسيلة تخزين سواءً أكان هو المنشئ للبيانات ، أم انتقلت إليه حيازتها بأي صورة .
المتحكم: أي شخص طبيعي أو اعتباری یکون له بحكم أو طبيعة عمله ، الحق في الحصول على البيانات الشخصية وتحديد طريقة وأسلوب ومعايير الاحتفاظ بها ، أو معالجتها والتحكم فيها طبقا للغرض المحدد أو نشاطه .
المعالج : أي شخص طبيعي أو اعتباری مختص بطبيعة عمله ، بمعالجة البيانات الشخصية لصالحه أو لصالح المتحكم بالاتفاق معه ووفقا لتعليماته .
إتاحة البيانات الشخصية : كل وسيلة تحقق اتصال علم الغير بالبيانات الشخصية کالاطلاع أو التداول أو النشر أو النقل أو الاستخدام أو العرض أو الإرسال أو الاستقبال أو الإفصاح عنها .
أمن البيانات : إجراءات وعمليات تقنية وتنظيمية من شأنها الحفاظ على خصوصية البيانات الشخصية وسريتها وسلامتها ووحدتها وتكاملها فيما بينها .
خرق وانتهاك البيانات الشخصية : كل دخول غير مرخص به إلى بيانات شخصية أو وصول غير مشروع لها ، أو أي عملية غير مشروعة لنسخ أو إرسال أو توزيع أو تبادل أو نقل أو تداول يهدف إلى الكشف أو الإفصاح عن البيانات الشخصية أو إتلافها أو تعديلها أثناء تخزينها أو نقلها أو معالجتها .
حركة البيانات الشخصية عبر الحدود : نقل البيانات أو إتاحتها أو تسجيلها أو تخزينها أو تداولها أو نشرها أو استخدامها أو عرضها أو إرسالها أو استقبالها أو استرجاعها أو معالجتها ، من داخل النطاق الجغرافي لجمهورية مصر العربية إلى خارجه أو العكس .
التسويق الإلكتروني : إرسال أي رسالة أو بيان أو محتوى إعلاني أو تسويقي بأي وسيلة تقنية أياً كانت طبيعتها أو صورتها تستهدف بشكل مباشر أو غير مباشر ترویج سلع أو خدمات أو التماسات أو طلبات تجارية أو سياسية أو اجتماعية أو خيرية موجهة إلى أشخاص بعينهم .
جهات الأمن القومي : رئاسة الجمهورية ووزارة الدفاع ووزارة الداخلية وجهاز المخابرات العامة وهيئة الرقابة الإدارية .
المركز: مركز حماية البيانات الشخصية.
الترخيص : وثيقة رسمية تصدر عن المركز للشخص الاعتباری تمنحه من خلالها الحق في مزاولة نشاط جمع البيانات الشخصية الإلكترونية أو تخزينها أو نقلها أو معالجتها أو القيام بأنشطة التسويق الإلكتروني أو كل ما سبق والتعامل عليها بأي صورة ، وتحدد التزامات المرخص له وفق القواعد والشروط والإجراءات والمعايير الفنية المحددة باللائحة التنفيذية لهذا القانون ، وذلك لمدة ثلاث سنوات قابلة للتجديد لمدد أخرى .
التصريح : وثيقة رسمية تصدر عن المركز للشخص الطبيعي أو الاعتباری تمنحه من خلالها الحق في ممارسة نشاط جمع البيانات الشخصية الإلكترونية أو تخزينها أو نقلها أو معالجتها أو القيام بأنشطة التسويق الإلكتروني أو كل ما سبق والتعامل عليها بأي صورة ، أو لأداء مهمة أو مهام معينة ، وتحدد هذه الوثيقة التزامات المصرح له وفق القواعد والشروط والإجراءات والمعايير الفنية المحددة باللائحة التنفيذية ، لمدة مؤقتة لا تجاوز سنة ، ويجوز تجديدها لأكثر من مدة .
الاعتماد : شهادة تصدر عن المركز تفيد أن الشخص الطبيعي أو الاعتباری قد استوفی جميع المتطلبات الفنية والقانونية والتنظيمية المحددة باللائحة التنفيذية لهذا القانون ویکون بموجبها مؤهلاً لتقديم الاستشارات في مجال حماية البيانات الشخصية .
الوزير المختص : الوزير المعنى بشئون الاتصالات وتكنولوجيا المعلومات .
المادة 2
لا يجوز جمع البيانات الشخصية أو معالجتها أو الإفصاح عنها أو إفشائها بأي وسيلة من الوسائل إلا بموافقة صريحة من الشخص المعني بالبيانات ، أو في الأحوال المصرح بها قانوناً .
ويكون للشخص المعني بالبيانات الحقوق الآتية :
1- العلم بالبيانات الشخصية الخاصة به الموجودة لدى أي حائز أو متحكم أو معالج والاطلاع عليها والوصول إليها أو الحصول عليها .
٢ – العدول عن الموافقة المسبقة على الاحتفاظ ببياناته الشخصية أو معالجتها .
٣ – التصحيح أو التعديل أو المحو أو الإضافة أو التحديث للبيانات الشخصية .
4- تخصيص المعالجة في نطاق محدد .
5 – العلم والمعرفة بأي خرق أو انتهاك لبياناته الشخصية .
6- الاعتراض على معالجة البيانات الشخصية أو نتائجها متى تعارضت مع الحقوق والحريات الأساسية للشخص المعني بالبيانات .
وباستثناء البند (5) من الفقرة السابقة ، يؤدى الشخص المعني بالبيانات مقابل تكلفة الخدمة المقدمة إليه من المتحكم أو المعالج فيما يخص ممارسته لحقوقه ، ويتولى المركز إصدار قرارات تحديد هذا المقابل بما لا يجاوز عشرين ألف جنيه .
المادة 3
يجب لجمع البيانات الشخصية ومعالجتها والاحتفاظ بها ، توافر الشروط الآتية :
1- أن تجمع البيانات الشخصية لأغراض مشروعة ومحددة ومعلنة للشخص المعني .
۲ – أن تكون صحيحة وسليمة ومؤمنة .
۳- أن تعالج بطريقة مشروعة وملائمة للأغراض التي تم تجميعها من أجلها .
4- ألا يتم الاحتفاظ بها لمدة أطول من المدة اللازمة للوفاء بالغرض المحدد لها .
وتحدد اللائحة التنفيذية لهذا القانون السياسات والإجراءات والضوابط والمعايير القياسية للجمع والمعالجة والحفظ والتأمين لهذه البيانات .
المادة 4
مع مراعاة أحكام المادة (12) من هذا القانون ، يلتزم المتحكم بما يأتي :
1- الحصول على البيانات الشخصية أو تلقيها من الحائز أو من الجهات المختصة بتزويده بها بحسب الأحوال بعد موافقة الشخص المعني بالبيانات ، أو في الأحوال المصرح بها قانونا .
۲ – التأكد من صحة البيانات الشخصية واتفاقها وكفايتها مع الغرض المحدد لجمعها .
٣- وضع طريقة وأسلوب ومعايير المعالجة طبقا للغرض المحدد ، ما لم يقرر تفویض المعالج في ذلك بموجب تعاقد مکتوب .
4- التأكد من انطباق الغرض المحدد من جمع البيانات الشخصية لأغراض معالجتها .
ه – القيام بعمل أو الامتناع عن عمل يكون من شأنه إتاحة البيانات الشخصية إلا في الأحوال المصرح بها قانوناً .
6- اتخاذ جميع الإجراءات التقنية والتنظيمية وتطبيق المعايير القياسية اللازمة لحماية البيانات الشخصية وتأمينها حفاظا على سريتها ، وعدم اختراقها أو إتلافها أو تغييرها أو العبث بها قبل أي إجراء غير مشروع.
۷ – محو البيانات الشخصية لديه فور انقضاء الغرض المحدد منها ، أما في حال الاحتفاظ بها لأي سبب من الأسباب المشروعة بعد انتهاء الغرض ، فيجب ألا تبقي في صورة تسمح بتحديد الشخص المعني بالبيانات .
۸- تصحيح أي خطأ بالبيانات الشخصية فور إبلاغه أو علمه به .
۹ – إمساك سجل خاص للبيانات ، على أن يتضمن وصف فئات البيانات الشخصية لديه ، وتحديد من سيفصح لهم عن هذه البيانات أو يتيحها لهم وسنده والمدد الزمنية وقيودها ونطاقها وآليات محو البيانات الشخصية لديه أو تعديلها وأي بيانات أخرى متعلقة بنقل تلك البيانات الشخصية عبر الحدود ووصف الإجراءات التقنية والتنظيمية الخاصة بأمن البيانات .
۱۰ – الحصول على ترخيص أو تصريح من المركز للتعامل مع البيانات الشخصية .
11- يلتزم المتحكم خارج جمهورية مصر العربية بتعيين ممثل له في جمهورية مصر العربية وذلك على النحو الذي تبينه اللائحة التنفيذية .
۱۲ – توفير الإمكانيات اللازمة لإثبات التزامه بتطبيق أحكام هذا القانون وتمكين المركز من التفتيش والرقابة للتأكد من ذلك .
وفي حال وجود أكثر من متحكم يلتزم كل منهم بجميع الالتزامات المنصوص عليها في هذا القانون ، وللشخص المعني ممارسة حقوقه تجاه كل متحكم على حدة .
وتحدد اللائحة التنفيذية لهذا القانون السياسات والإجراءات والضوابط والمعاییر الفنية لتلك الالتزامات .
المادة 5
مع مراعاة أحكام المادة (12) من هذا القانون ، يلتزم معالج البيانات الشخصية بما يأتي :
1- إجراء المعالجة وتنفيذها طبقا للقواعد المنظمة لذلك بهذا القانون ولائحته التنفيذية ووفقا للحالات المشروعة والقانونية وبناء على التعليمات المكتوبة الواردة إليه من المركز أو المتحكم أو من أي ذي صفة بحسب الأحوال ، وبصفة خاصة فيما يتعلق بنطاق عملية المعالجة وموضوعها وطبيعتها ونوع البيانات الشخصية واتفاقها وكفايتها مع الغرض المحدد له .
2 – أن تكون أغراض المعالجة وممارستها مشروعة ، ولا تخالف النظام العام أو الآداب العامة .
3- عدم تجاوز الغرض المحدد للمعالجة ومدتها ، ويجب إخطار المتحكم أو الشخص المعني بالبيانات أو كل ذي صفة ، بحسب الأحوال ، بالمدة اللازمة للمعالجة .
4- محو البيانات الشخصية بانقضاء مدة المعالجة أو تسليمها للمتحكم .
5 – القيام بعمل أو الامتناع عن عمل يكون من شأنه إتاحة البيانات الشخصية أو نتائج المعالجة إلا في الأحوال المصرح بها قانوناً .
6- عدم إجراء أي معالجة للبيانات الشخصية تتعارض مع غرض المتحكم فيها أو نشاطه إلا إذا كان ذلك بغرض إحصائي أو تعلیمی ولا يهدف للربح ودون الإخلال بحرمة الحياة الخاصة .
۷ – حماية وتأمين عملية المعالجة والوسائط والأجهزة الإلكترونية المستخدمة في ذلك وما عليها من بيانات شخصية .
۸- عدم إلحاق أي ضرر بالشخص المعني بالبيانات بشكل مباشر أو غير مباشر .
9- إعداد سجل خاص بعمليات المعالجة لديه ، على أن يتضمن فئات المعالجة التي يجريها نيابة عن أي متحكم وبيانات الاتصال به ومسئول حماية البيانات لديه ، والمدة الزمنية للمعالجة وقيودها ونطاقها وآليات محو البيانات الشخصية لديه أو تعديلها ، ووصفا للإجراءات التقنية والتنظيمية الخاصة بأمن البيانات وعمليات المعالجة .
۱۰ – توفير الإمكانيات لإثبات التزامه بتطبيق أحكام هذا القانون عند طلب المتحكم وتمكين المركز من التفتيش والرقابة للتأكد من التزامه بذلك .
11- الحصول على ترخيص أو تصريح من المركز للتعامل على البيانات الشخصية .
۱۲ – يلتزم المعالج خارج جمهورية مصر العربية بتعيين ممثل له في جمهورية مصر العربية وذلك على النحو الذي تبينه اللائحة التنفيذية .
وفي حال وجود أكثر من معالج ، يلتزم كل منهم بجميع الالتزامات المنصوص عليها في هذا القانون وذلك في حال عدم وجود عقد يحدد التزامات ومسئوليات كل منهم بوضوح .
وتحدد اللائحة التنفيذية لهذا القانون السياسات والإجراءات والضوابط والشروط والتعليمات والمعايير القياسية لتلك الالتزامات .
المادة 6
تعد المعالجة الإلكترونية مشروعة وقانونية في حال توفر أي من الحالات الآتية :
1 – موافقة الشخص المعني بالبيانات على إجراء المعالجة من أجل تحقيق غرض محدد أو أكثر .
۲ – أن تكون المعالجة لازمة وضرورية تنفيذاً لالتزام تعاقدي أو تصرف قانونی أو لإبرام عقد لصالح الشخص المعني بالبيانات ، أو لمباشرة أي من إجراءات المطالبة بالحقوق القانونية له أو الدفاع عنها .
٣ – تنفيذ التزام ينظمه القانون أو أمر من جهات التحقيق المختصة أو بناء على حكم قضائی .
4- تمكين المتحكم من القيام بالتزاماته أو أي ذي صفة من ممارسة حقوقه المشروعة ، ما لم يتعارض ذلك مع الحقوق والحريات الأساسية للشخص المعني بالبيانات .
المادة 7
يلتزم كل من المتحكم والمعالج بحسب الأحوال حال علمه بوجود خرق أو انتهاك للبيانات الشخصية لديه بإبلاغ المركز خلال اثنتين وسبعين ساعة ، وفي حال كان هذا الخرق أو الانتهاك متعلقًا باعتبارات حماية الأمن القومي فيكون الإبلاغ فوريا ، وعلي المركز وفي جميع الأحوال إخطار جهات الأمن القومي بالواقعة فورًا ، كما يلتزم بموافاة المركز خلال اثنتين وسبعين ساعة من تاريخ علمه بما يأتي :
1 – وصف طبيعة الخرق أو الانتهاك ، وصورته وأسبابه والعدد التقريبي للبيانات الشخصيـة وسجـلاتها .
2 – بيانات مسئول حماية البيانات الشخصية لديه .
3 – الآثار المحتملة لحادث الخرق أو الانتهاك .
4 – وصف الإجراءات المتخذة والمقترح تنفيذها لمواجهة هذا الخرق أو الانتهاك والتقليل من آثاره السلبية .
5 – توثيق أي خرق أو انتهاك للبيــانات الشخصية ، والإجــراءات التصحيحية المتخـذة لمواجهتـه .
6 – أي وثائق أو معلومات أو بيانات يطلبها المركز .
وفي جميع الأحوال يجب علي المتحكم والمعالج ، بحسب الأحوال ، إخطار الشخص المعني بالبيانات خلال ثلاثة أيام عمل من تاريخ الإبلاغ وما تم اتخاذه من إجراءات .
وتحدد اللائحة التنفيذية لهذا القانون الإجراءات الخاصة بالإبلاغ والإخطار .
المادة 8
ينشأ بالمركز سجل لقيد مسئولى حماية البيانات الشخصية ، وتحدد اللائحة التنفيذية لهذا القانون شروط القيد وإجراءاته وآليات التسجيل .
ويلتزم الممثل القانوني للشخص الاعتباري لأي متحكم أو معالج بأن يعين داخل كيانه القانوني وهيكله الوظيفي موظفا مختصا مسئولا عن حماية البيانات الشخصية ، وذلك بقيده في سجل مسئولى حماية البيانات الشخصية بالمركز ، ويعلن عن ذلك .
ويكون الشخص الطبيعي المتحكم أو المعالج هو المسئول عن تطبيق أحكام هذا القانون .
المادة 9
يكون مسئول حماية البيانات الشخصية مسئولا عن تنفيذ أحكام القانون ولائحته التنفيذية وقرارات المركز ، ومراقبة الإجراءات المعمول بها داخل كيانه الإشراف عليها ، وتلقى الطلبات المتعلقة بالبيانات الشخصية وفقا لأحكام هذا القانون .
ويلتزم على الأخص بالآتي :
1- إجراء التقييم والفحص الدوري لنظم حماية البيانات الشخصية ومنع اختراقها ، وتوثيق نتائج التقييم وإصدار التوصيات اللازمة لحمايتها .
۲ – العمل كنقطة اتصال مباشرة مع المركز وتنفيذ قراراته ، فيما يخص تطبيق أحكام هذا القانون .
٣- تمكين الشخص المعني بالبيانات من ممارسة حقوقه المنصوص عليها في هذا القانون .
4 – إخطار المركز في حال وجود أي خرق أو انتهاك للبيانات الشخصية لديه .
5- الرد على الطلبات المقدمة من الشخص المعني بالبيانات أو كل ذي صفة ، والرد على المركز في التظلمات المقدمة إليه من أي منهما وفقا لأحكام هذا القانون .
٦- متابعة القيد والتحديث لسجل البيانات الشخصية لدى المتحكم أو سجل عمليات
المعالجة لدى المعالج ، بما يكفل ضمان دقة البيانات والمعلومات المقيدة به .
۷- إزالة أي مخالفات متعلقة بالبيانات الشخصية داخل كيانه ، واتخاذ الإجراءات التصحيحية حيالها .
۸- تنظيم البرامج التدريبية اللازمة لموظفی کیانه ، لتأهيلهم بما يتناسب مع متطلبات هذا القانون .
وتحدد اللائحة التنفيذية لهذا القانون الالتزامات والإجراءات والمهام الأخرى التي يجب على مسئول حماية البيانات الشخصية القيام بها .
المادة 10
يلتزم كل من المتحكم والمعالج والحائز عند طلب إتاحة البيانات الشخصية بالإجراءات الآتية :
1- أن يكون بناء على طلب كتابي يقدم إليه من ذي صفة أو وفقا لسند قانونی .
۲ – التحقق من توافر المستندات اللازمة لتنفيذ الإتاحة والاحتفاظ بها .
۳ – البت في الطلب ومستنداته خلال ستة أيام عمل من تاريخ تقديمه إليه ، وعند صدور قرار بالرفض يجب أن يكون الرفض مسببا ، ويعتبر مضي المدة المشار إليها دون رد في حكم الرفض .
المادة 11
يكون للدليل الرقمي المستمد من البيانات الشخصية طبقا لأحكام هذا القانون ذات الحجية في الإثبات المقررة للأدلة المستمدة من البيانات والمعلومات الخطية متى استوفت المعايير والشروط الفنية الواردة باللائحة التنفيذية لهذا القانون .
المادة 12
يحظر على المتحكم أو المعالج سواء كان شخصا طبيعيا أو اعتباریا جمع بیانات شخصية حساسة أو نقلها أو تخزينها أو حفظها أو معالجتها أو إتاحتها إلا بترخيص من المركز .
وفيما عدا الأحوال المصرح بها قانوناً ، يلزم الحصول على موافقة كتابية وصريحة من الشخص المعني .
وفي حالة إجراء أي عملية مما ذكر تتعلق ببيانات الأطفال ، يلزم موافقة ولي الأمر .
ويجب ألا تكون مشاركة الطفل في لعبة أو مسابقة أو أي نشاط آخر مشروطة بتقديم بیانات شخصية للطفل تزيد على ما هو ضروري للمشاركة في ذلك .
وذلك كله وفقا للمعايير والضوابط التي تحددها اللائحة التنفيذية لهذا القانون .
المادة 13
بالإضافة إلى الالتزامات الواردة بالمادة (9) من هذا القانون ، يلتزم مسئول حماية البيانات الشخصية وتابعوه لدى المتحكم أو المعالج باتباع واستيفاء السياسات والإجراءات التأمينية اللازمة لعدم خرق البيانات الشخصية الحساسة أو انتهاكها .
المادة 14
يحظر إجراء عمليات نقل للبيانات الشخصية التي تم جمعها أو تجهيزها للمعالجة إلى دولة أجنبية أو تخزينها أو مشاركتها إلا بتوافر مستوى من الحماية لا يقل عن المستوى المنصوص عليه في هذا القانون ، وبترخيص أو تصريح من المركز .
وتحدد اللائحة التنفيذية لهذا القانون السياسات والمعايير والضوابط والقواعد اللازمة لنقل أو تخزين أو مشاركة أو معالجة أو إتاحة البيانات الشخصية عبر الحدود وحمايتها .
المادة 15
استثناء من حكم المادة (14) من هذا القانون ، يجوز في حالة الموافقة الصريحة للشخص المعني بالبيانات أو من ينوب عنه نقل أو مشاركة أو تداول أو معالجة البيانات الشخصية إلى دولة لا يتوافر فيها مستوى الحماية المشار إليها في المادة السابقة ، وذلك في الحالات الآتية :
1- المحافظة على حياة الشخص المعني بالبيانات ، وتوفير الرعاية الطبية أو العلاج أو إدارة الخدمات الصحية له .
۲ – تنفيذ التزامات بما يضمن إثبات حق أو ممارسته أمام جهات العدالة أو الدفاع عنه .
3- إبرام عقد ، أو تنفيذ عقد مبرم بالفعل ، أو سيتم إبرامه بین المسئول عن المعالجة والغير ، وذلك لمصلحة الشخص المعني بالبيانات .
4- تنفيذ إجراء خاص بتعاون قضائی دولی .
5 – وجود ضرورة أو إلزام قانونی لحماية المصلحة العامة .
6- إجراء تحويلات نقدية إلى دولة أخرى وفقا لتشريعاتها المحددة والسارية .
۷- إذا كان النقل أو التداول يتم تنفيذا لاتفاق دولى ثنائي أو متعدد الأطراف تكون جمهورية مصر العربية طرفا فيه .
المادة 16
يجوز للمتحكم أو المعالج ، بحسب الأحوال ، إتاحة البيانات الشخصية لمتحكم أو معالج آخر خارج جمهورية مصر العربية بترخيص من المركز متى توافرت الشروط الآتية :
1- اتفاق طبيعة عمل كل من المتحكمين أو المعالجين ، أو وحدة الغرض الذي يحصلان بموجبه على البيانات الشخصية .
۲- توافر المصلحة المشروعة لدى كل من المتحكمين أو المعالجين للبيانات الشخصية أو لدى الشخص المعني بالبيانات .
۳- ألا يقل مستوى الحماية القانونية والتقنية للبيانات الشخصية لدى المتحكم أو المعالج الموجودة بالخارج عن المستوى المتوافر في جمهورية مصر العربية .
وتحدد اللائحة التنفيذية لهذا القانون الاشتراطات والإجراءات والاحتياطات والمعاییر والقواعد اللازمة لذلك .
المادة 17
يحظر إجراء أي اتصال إلكتروني بغرض التسويق المباشر للشخص المعني بالبيانات ، إلا بتوافر الشروط الآتية:
1- الحصول على موافقة من الشخص المعني بالبيانات .
۲ – أن يتضمن الاتصال هوية منشئه ومرسله .
٣- أن يكون للمرسل عنوان صحیح وكاف للوصول إليه .
4 – الإشارة إلى أن الاتصال الإلكتروني مرسل لأغراض التسويق المباشر .
5- وضع آليات واضحة وميسرة لتمكين الشخص المعني بالبيانات من رفض الاتصال الإلكتروني أو العدول عن موافقته على إرسالها .
المادة 18
يلتزم المرسل لأي اتصال إلكتروني بغرض التسويق المباشر بالالتزامات الآتية :
1 – الغرض التسويقي المحدد .
۲- عدم الإفصاح عن بيانات الاتصال للشخص المعني بالبيانات .
٣ – الاحتفاظ بسجلات إلكترونية مثبت بها موافقة الشخص المعني بالبيانات وتعديلاتها ، أو عدم اعتراضه على استمراره ، بشأن تلقي الاتصال الإلكتروني التسويقي وذلك لمدة ثلاث سنوات من تاريخ آخر إرسال .
وتحدد اللائحة التنفيذية لهذا القانون القواعد والشروط والضوابط المتعلقة بالتسويق الإلكتروني المباشر .
المادة 19
تنشأ هيئة عامة اقتصادية تسمي «مركز حماية البيانات الشخصية» ، تتبع الوزير المختص ، وتكون لها الشخصية الاعتبـــارية ، ويكون مقـــرها الرئيس محـــافظة القــاهرة أو إحدي المحافظات المجاورة لها ، وتهدف إلي حماية البيانات الشخصية وتنظيم معالجتها وإتاحتها ، ولها في سبيل تحقيق أهدافها أن تباشر جميع الاختصاصات المنصوص عليها بهذا القانون ، ولها علي الأخص الآتي :
وضع وتطوير السياسات والخطط الاستراتيجية والبرامج اللازمة لحماية البيانات الشخصية ، والقيام علي تنفيذها .
توحيد سياسات وخطط حماية ومعالجة البيانات الشخصية داخل الجمهورية .
وضع وتطبيق القرارات والضوابط والتدابير والإجراءات والمعايير الخاصة بحماية البيانات الشخصية .
وضع إطار إرشادي لمدونات السلوك الخاصة بحماية البيانات الشخصية ، واعتماد مدونات السلوك الخاصة بحماية البيانات الشخصية بالجهات المختلفة .
التنسيق والتعاون مع جميع الجهات والأجهزة الحكومية وغير الحكومية في ضمان إجراءات حماية البيانات الشخصية ، والتواصل مع جميع المبادرات ذات الصلة .
دعم تطوير كفاءة الكوادر البشرية العاملة في جميع الجهات الحكومية وغير الحكومية القائمة علي حماية البيانات الشخصية .
إصدار التراخيص أو التصاريح والموافقات والتدابير المختلفة المتعلقة بحماية البيانات الشخصية وتطبيق أحكام هذا القانون .
اعتماد الجهات والأفراد ، ومنحهم التصاريح اللازمة التي تتيح لهم تقديم الاستشارات في إجراءات حماية البيانات الشخصية .
تلقي الشكاوي والبلاغات المتعلقة بأحكام هذا القــانون ، وإصدار القرارات اللازمة في شـأنهـا .
إبداء الرأي في مشروعات القوانين والاتفاقيات الدولية التي تنظم البيانات الشخصية أو تتعلق أو تنعكس نصوصها بصورة مباشرة أو غير مباشرة عليها .
الرقابة والتفتيش علي المخاطبين بأحكام هذا القانون ، واتخاذ الإجراءات القانونية اللازمة .
التحقق من شروط حركة البيانات عبر الحدود ، واتخاذ القرارات المنظمة لها .
تنظيم المؤتمرات وورش العمل والدورات التدريبية والتثقيفية ، وإصدار المطبوعات لنشر الوعي والتثقيف للأفراد والجهات حول حقوقهم فيما يتعلق بالتعامل علي البيانات الشخصية .
تقــديم جميع أنواع الخبرة والاستشارات المتعلقــة بحمــاية البيــانات الشخصيــة ، وعلي الأخص لجهات التحقيق والجهات القضائية .
إبرام الاتفاقيات ومذكرات التفاهم والتنسيق والتعاون وتبادل الخبرات مع الجهات الدولية ذات الصلة بعمل المركز وفقًا للقواعد والإجراءات المقررة في هذا الشأن .
إصدار الدوريات الخاصة بتحديث إجراءات الحماية بما يتوافق مع أنشطة القطاعات المختلفة وتوصيات المركز في شأنها .
إعداد وإصدار تقرير سنوي عن حالة حماية البيانات الشخصية في جمهورية مصر العربية .
المادة 20
يكون للمركز مجلس إدارة ، يشكل برئاسة الوزير المختص ، وعضوية كل من :
1- ممثل عن وزارة الدفاع يختاره وزير الدفاع .
۲ – ممثل عن وزارة الداخلية يختاره وزير الداخلية .
3- ممثل عن جهاز المخابرات العامة يختاره رئيس الجهاز .
4- ممثل عن هيئة الرقابة الإدارية يختاره رئيس الهيئة .
5 – ممثل عن هيئة تنمية صناعة تكنولوجيا المعلومات يختاره رئيس مجلس إدارة الهيئة.
6- ممثل عن الجهاز القومى لتنظيم الاتصالات يختاره رئيس مجلس إدارة الجهاز .
۷ – الرئيس التنفيذي للمركز .
۸- ثلاثة من ذوي الخبرة يختارهم الوزير المختص .
وتكون مدة عضوية مجلس الإدارة ثلاث سنوات قابلة للتجديد ، ويصدر بتشكيله ، وتحديد المعاملة المالية لأعضائه قرار من رئيس مجلس الوزراء.
ولمجلس الإدارة أن يشكل من بين أعضائه لجنة أو أكثر يعهد إليها بصفة مؤقتة ببعض المهام ، وللمجلس أن يفوض رئيس مجلس الإدارة أو الرئيس التنفيذي للمركز في بعض اختصاصاته .
المادة 21
مجلس إدارة المركز هو السلطة المهيمنة على شئونه ومباشرة اختصاصاته ، وله أن يتخذ ما يراه لازما من قرارات لتحقيق أغراض المركز والقانون ولائحته التنفيذية وله على الأخص ما يأتي :
إقرار السياسات والخطط الاستراتيجية والبرامج اللازمة لحماية البيانات الشخصية .
اعتماد اللوائح والضوابط والتدابير والمعايير الخاصة بحماية البيانات الشخصية .
اعتماد خطط التعاون الدولي وتبادل الخبرات مع الجهات والمنظمات الدولية .
اعتماد الهيكل التنظيمي واللوائح المالية والإدارية والموارد البشرية والموازنة السنوية للمركز .
الموافقة على إنشاء مكاتب أو فروع للمركز على مستوى الجمهورية .
قبول المنح والتبرعات والهبات اللازمة لتحقيق أغراض المركز بعد الحصول على الموافقات المتطلبة قانونا .
المادة 22
يجتمع مجلس إدارة المركز بدعوة من رئيسه مرة على الأقل كل شهر ، وكلما دعت الحاجة لذلك ، ويكون اجتماعه صحيحا بحضور أغلبية أعضائه ، وتصدر قراراته بأغلبية ثلثي أصوات الأعضاء الحاضرين ، وللرئيس أن يدعو من يرى لحضور الاجتماع دون أن يكون له صوت معدود .
المادة 23
يكون للمركز رئيس تنفيذي ، يصدر بتعيينه وتحديد معاملته المالية قرار من رئيس مجلس الوزراء بناء على اقتراح الوزير المختص لمدة أربع سنوات قابلة للتجديد لمرة واحدة .
ويكون مسئولا أمام مجلس الإدارة عن سير أعمال المركز فنيا وإداريا وماليا ، ويمثله في صلاته بالغير وأمام القضاء وله على الأخص ما يأتي :
١- الإشراف على تنفيذ قرارات مجلس الإدارة .
۲ – إدارة المركز والإشراف على سير العمل به ، وتصريف شئونه .
۳- عرض تقارير دورية على مجلس الإدارة عن نشاط المركز وسير العمل به وما تم إنجازه وفقا للأهداف والخطط والبرامج الموضوعة ، وتحديد معوقات الأداء ، والحلول المقترحة لتفاديها .
4- ممارسة الاختصاصات الأخرى التي تحددها لوائح المركز .
5 – اتخاذ كل ما يلزم لإنفاذ جميع مهام المركز واختصاصاته الواردة في المادة (21) من هذا القانون .
ويعاون الرئيس التنفيذي في مباشرة اختصاصاته عدد كاف من الخبراء والفنيين والإداريين وفقاً للهيكل التنظيمي للمركز .
المادة 24
يحظر على أعضاء مجلس إدارة المركز والعاملين به ، إفشاء أي وثائق أو مستندات أو بيانات تتعلق بالحالات التي يقوم المركز برقابتها أو فحصها أو التي يتم تقديمها أو تداولها أثناء فحص أو إصدار القرارات الخاصة بها ، ويظل هذا الالتزام قائما بعد انتهاء العلاقة بالمركز .
وفي جميع الأحوال ، لا يجوز الإفصاح عن المعلومات والوثائق والمستندات والبيانات المشار إليها في هذه المادة إلا لسلطات التحقيق والجهات والهيئات القضائية .
المادة 25
للمركز بالتنسيق مع السلطات المختصة التعاون مع نظرائه بالبلاد الأجنبية وذلك في إطار اتفاقيات التعاون الدولية والإقليمية والثنائية أو بروتوكولات التعاون المصدق عليها أو تطبيقا لمبدأ المعاملة بالمثل بما من شأنه حماية البيانات الشخصية والتحقق من مدى الامتثال للقانون من قبل المتحكمين والمعالجين خارج الجمهورية ، ويعمل المركز على تبادل البيانات والمعلومات ما من شأنه أن يكفل حماية البيانات الشخصية وعدم انتهاكها والمساعدة في التحقيق في الانتهاكات والجرائم ذات الصلة وتتبع مرتكبيها .
المادة 26
يصدر المركز التراخيص أو التصاريح أو الاعتمادات على النحو الآتي :
1- يقوم المركز بتصنيف التراخيص والتصاريح والاعتمادات وتحديد أنواعها ، ووضع الشروط الخاصة بمنح كل نوع منها ، وذلك وفقا لما تحدده اللائحة التنفيذية لهذا القانون .
۲ – إصدار الترخيص أو التصريح للمتحكم أو المعالج لإجراء عمليات حفظ البيانات ، والتعامل عليها ومعالجتها وفقا لأحكام هذا القانون .
3- إصدار التراخيص أو التصاريح الخاصة بالتسويق الإلكتروني المباشر .
4- إصدار التراخيص أو التصاريح الخاصة بالمعالجات التي تقوم بها الجمعيات أو النقابات أو النوادي للبيانات الشخصية لأعضاء تلك الجهات وفي إطار أنشطتها .
5 – إصدار التراخيص أو التصاريح الخاصة بوسائل المراقبة البصرية في الأماكن العامة .
6 – إصدار التراخيص أو التصاريح الخاصة بالتحكم ومعالجة البيانات الشخصية الحساسة .
۷- إصدار التصاريح والاعتمادات الخاصة بالجهات والأفراد التي تتيح لهم تقديم الاستشارات في إجراءات حماية البيانات الشخصية ، وإجراءات الامتثال لها .
۸- إصدار التراخيص والتصاريح الخاصة بنقل البيانات الشخصية عبر الحدود .
وتحدد اللائحة التنفيذية لهذا القانون أنواع هذه التراخيص والتصاريح والاعتمادات وفئاتها ومستوياتها ، وإجراءات وشروط إصدارها وتجديدها ونماذجها المستخدمة ، وذلك بمقابل رسوم لا تتجاوز مليون جنيه بالنسبة للترخيص ، ومبلغ لا يتجاوز خمسمائة ألف جنيه للتصريح أو الاعتماد .
المادة 27
تقدم طلبات التراخيص والتصاريح والاعتمادات على النماذج التي يضعها المركز مشفوعة بجميع المستندات والمعلومات التي يحددها ، مع تقديم ما يثبت قدرة المتقدم المالية وقدرته على توفير وتنفيذ المتطلبات والمعايير الفنية المقررة ، ويبت في الطلب خلال مدة لا تجاوز تسعين يوما من تاريخ استيفائه لجميع المستندات والمعلومات والا اعتبر الطلب مرفوضاً .
ويجوز للمركز طلب بيانات أو وثائق أو مستندات أخرى للبت في الطلب ، كما يكون له الحق في طلب توفير ضمانات إضافية لحماية البيانات الشخصية إذا تبين عدم كفاية الحماية المبينة بالمستندات المقدمة إليه.
كما يجوز للمتحكم أو المعالج الحصول على أكثر من ترخيص أو تصريح وفقا لنوعية البيانات الشخصية المتعامل عليها .
المادة 28
يجوز للمركز ، وفقا لاعتبارات المصلحة العامة ، تعديل شروط الترخيص أو التصريح بعد إصداره في أي من الحالات الآتية :
1- الاستجابة إلى الاتفاقيات الدولية أو الإقليمية أو القوانين الوطنية ذات الصلة .
۲ – بناء على طلب المرخص له .
٣ – اندماج المتحكم أو المعالج مع آخرين داخل جمهورية مصر العربية أو خارجها .
4 – إذا كان التعديل ضروريا لتحقيق أهداف هذا القانون .
المادة 29
يجوز للمركز إلغاء الترخيص أو التصريح أو الاعتماد بعد إصداره في أي من الحالات الآتية :
1-مخالفة شروط الترخيص أو التصريح أو الاعتماد .
۲ – عدم سداد رسوم تجديد الترخيص أو التصريح أو الاعتماد .
٣ – تکرار عدم الامتثال لقرارات المركز .
4 – التنازل عن الترخيص أو التصريح أو الاعتماد للغير دون موافقة المركز .
5 – صدور حكم بإفلاس المتحكم أو المعالج .
المادة 30
مع عدم الإخلال بأحكام المسئولية المدنية والجنائية ، يقوم الرئيس التنفيذي للمركز ، في حال ارتكاب أي مخالفة لأحكام هذا القانون بإنذار المخالف بالتوقف عن المخالفة وإزالة أسبابها أو آثارها خلال فترة زمنية يحددها ، فإذا انقضت المدة المشار إليها دون تنفيذ مضمون ذلك الإنذار ، كان لمجلس إدارة المركز أن يصدر قرارا مسببا بما يأتي :
١ – الإنذار بإيقاف الترخيص أو التصريح أو الاعتماد جزئيا أو كليا لمدة محددة .
۲ – إيقاف الترخيص أو التصريح أو الاعتماد جزئيا أو كليا .
3 – سحب الترخيص أو التصريح أو الاعتماد أو إلغاؤه جزئيا أو كليا .
4- نشر بيان بالمخالفات التي ثبت وقوعها في وسيلة إعلام أو أكثر واسعة الانتشار على نفقة المخالف .
5 – إخضاع المتحكم أو المعالج للإشراف الفني للمركز لتأمين حماية البيانات الشخصية على نفقتهما بحسب الأحوال .
المادة 31
يكون للمركز موازنة خاصة تعد على نمط موازنات الهيئات الاقتصادية طبقا للقواعد التي تحددها لائحة المركز وتتبع قواعد النظام المحاسبي الموحد ، وذلك دون التقيد بالقواعد والنظم الحكومية ، وتبدأ السنة المالية للمركز مع بداية السنة المالية للدولة وتنتهي بنهايتها ، كما يكون للمركز حساب خاص لدى البنك المركزی تودع فيه موارده ، ويجوز له إنشاء حساب باسمه لدى أحد البنوك التجارية بعد موافقة وزير المالية ، ويرحل الفائض من موازنة المركز من سنة مالية إلى أخرى ، ويتم الصرف من موارده وفقا للائحته المالية وذلك في المجالات التي يحددها مجلس إدارته ، وتتكون موارده من الآتي :
1-ما يخصص له من موازنة هيئة تنمية صناعة تكنولوجيا المعلومات .
۲ – ما يخصص له من الخزانة العامة بما لا يقل عن ثلث حصيلة الغرامات المقضى بها تطبيقا لأحكام هذا القانون .
3- مقابل الخدمات التي يقوم المركز بتقديمها .
4- قيمة رسوم ومقابل التراخيص والتصاريح والاعتمادات التي يتم إصدارها وقيمة التصالحات التي يتم قبولها.
5 – عائد استثمار أموال المركز .
6- ما يقبله مجلس الإدارة من المنح والتبرعات والهبات .
المادة 32
يجوز للشخص المعني بالبيانات ولكل ذي صفة أن يتقدم إلى أي حائز أو متحكم أو معالج بطلب يتعلق بممارسة حقوقه المنصوص عليها في هذا القانون ، ويلتزم المقدم إليه الطلب بالرد عليه خلال ستة أيام عمل من تاريخ تقديمه إليه .
المادة 33
مع عدم الإخلال بالحق في اللجوء إلى القضاء ، يكون للشخص المعني بالبيانات ولكل ذي صفة ومصلحة مباشرة حق الشكوى في الحالات الآتية :
١- انتهاك حق حماية البيانات الشخصية أو الإخلال به .
۲ – الامتناع عن تمكين الشخص المعني بالبيانات من استيفاء حقوقه .
٣ – القرارات الصادرة عن المسئول عن حماية البيانات الشخصية لدى المعالج أو المتحكم بشأن الطلبات المقدمة إليه .
وتقدم الشكوى إلى المركز ، وله في ذلك اتخاذ ما يلزم من إجراءات التحقيق ، وعليه أن يصدر قراره خلال ثلاثين يوم عمل من تاريخ تقديمها إليه ، على أن يخطر الشاکی والمشكو في حقه بالقرار .
ويلتزم المشكو في حقه بتنفيذ قرار المركز خلال سبعة أيام عمل من تاريخ إخطاره به ، وإفادة المركز بما تم نحو تنفيذه .
المادة 34
يكون للعاملين بالمركز الذين يصدر بتحديدهم قرار من وزير العدل بناء على اقتراح الوزير المختص صفة الضبطية القضائية في إثبات الجرائم التي تقع بالمخالفة لأحكام هذا القانون .
المادة 35
مع عدم الإخلال بأي عقوبة أشد منصوص عليها في أي قانون آخر ، ومع عدم الإخلال بحق المضرور في التعويض ، يعاقب على الجرائم المنصوص عليها في المواد التالية بالعقوبات المقررة لها .
المادة 36
يعاقب بغرامة لا تقل عن مائة ألف جنيه ولا تجاوز مليون جنيه كل حائز أو متحكم أو معالج جمع أو عالج أو أفشي أو أتاح أو تداول بيانات شخصية معالجة إلكترونيا بأي وسيلة من الوسائل في غير الأحوال المصرح بها قانونا أو بدون موافقة الشخص المعني بالبيانات .
وتكون العقوبة الحبس مدة لا تقل عن ستة شهور وبغرامة لا تقل عن مائتي ألف جنيه ولا تجاوز مليونى جنيه ، أو بإحدى هاتين العقوبتين ، إذا ارتكب ذلك مقابل الحصول على منفعة مادية أو أدبية ، أو بقصد تعريض الشخص المعني بالبيانات للخطر أو الضرر .
المادة 37
يعاقب بغرامة لا تقل عن مائة ألف جنيه ولا تجاوز مليون جنيه ، كل حائز أو متحكم أو معالج امتنع دون مقتض من القانون عن تمكين الشخص المعني بالبيانات من ممارسة حقوقه المنصوص عليها في المادة (2) من هذا القانون ويعاقب بغرامة لا تقل عن مائتي ألف جنيه ولا تجاوز مليونى جنيه كل من جمع بیانات شخصية بدون توافر الشروط المنصوص عليها في المادة (3) من هذا القانون .
المادة 38
يعاقب بغرامة لا تقل عن ثلاثمائة ألف جنيه ولا تجاوز ثلاثة ملايين جنيه ، كل متحكم أو معالج لم يلتزم بواجباته المنصوص عليها في المواد (4، 5، 7) من هذا القانون .
المادة 39
يعاقب بالغرامة التي لا تقل عن مائتي ألف جنيه ولا تجاوز مليونى جنيه، كل ممثل قانوني للشخص الاعتباری لم يلتزم بأحد واجباته المنصوص عليها في المادة (8) من هذا القانون .
المادة 40
يعاقب بغرامة لا تقل عن مائتي ألف جنيه ولا تجاوز مليونى جنيه ، كل مسئول حماية بيانات شخصية لم يلتزم بمقتضیات وظيفته المنصوص عليها في المادة (9) من هذا القانون .
ويعاقب بغرامة لا تقل عن خمسين ألف جنيه ولا تجاوز خمسمائة ألف جنيه إذا وقعت الجريمة نتيجة الإهمال مسئول حماية البيانات الشخصية .
المادة 41
يعاقب بالحبس مدة لا تقل عن ثلاثة شهور وبغرامة لا تقل عن خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه ، أو بإحدى هاتين العقوبتين ، كل حائز أو متحكم أو معالج جمع أو أتاح أو تداول أو عالج أو أفشي أو خزن أو نقل أو حفظ بيانات شخصية حساسة بدون موافقة الشخص المعني بالبيانات أو في غير الأحوال المصرح بها قانونا .
المادة 42
يعاقب بالحبس مدة لا تقل عن ثلاثة شهور وبغرامة لا تقل عن خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه ، أو بإحدى هاتين العقوبتين ، كل من خالف أحکام حركة البيانات الشخصية عبر الحدود المنصوص عليها في المواد (14، 15، 16) من هذا القانون .
المادة 43
يعاقب بغرامة لا تقل عن مائتي ألف جنيه ولا تجاوز مليونى جنيه ، كل من خالف أحكام التسويق الإلكتروني المنصوص عليها في المادتين (17، 18) من هذا القانون .
المادة 44
يعاقب بغرامة لا تقل عن ثلاثمائة ألف جنيه ولا تجاوز ثلاثة ملايين جنيه ، كل عضو مجلس إدارة أو أي من العاملين بالمركز خالف الالتزامات المنصوص عليها في المادة (24) من هذا القانون .
المادة 45
يعاقب بغرامة لا تقل عن خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه ، كل من خالف أحكام التراخيص أو التصاريح أو الاعتمادات المنصوص عليها في هذا القانون .
المادة 46
يعاقب بالحبس مدة لا تقل عن ستة أشهر وبغرامة لا تقل عن مائتي ألف جنيه ولا تجاوز مليونى جنيه ، أو بإحدى هاتين العقوبتين ، كل من منع أحد العاملين بالمركز ممن يتمتعون بصفة الضبطية القضائية من أداء عمله .
المادة 47
يعاقب المسئول عن الإدارة الفعلية للشخص الاعتبارى المخالف بذات العقوبات المقررة عن الأفعال التي ترتكب بالمخالفة لأحكام هذا القانون ، إذا ثبت علمه بها ، وكان إخلاله بالواجبات التي تفرضها عليه تلك الإدارة قد أسهم في وقوع الجريمة .
ويكون الشخص الاعتباری مسئولاً بالتضامن عن الوفاء بما يحكم به من تعويضات إذا كانت المخالفة قد ارتكبت من أحد العاملين لديه وباسم الشخص الاعتباری ولصالحه .
المادة 48
في جميع الأحوال ، وفضلا عن العقوبات المنصوص عليها في هذا القانون ، تقضي المحكمة بنشر حكم الإدانة في جريدتين واسعتي الانتشار ، وعلى شبكات المعلومات الإلكترونية المفتوحة على نفقة المحكوم عليه. وفي حالة العود ، تضاعف العقوبات الواردة في هذا الفصل بحديها الأقصى والأدنی .
ويعاقب على الشروع في ارتكاب الجرائم المنصوص عليها في هذا القانون بنصف العقوبة المقررة لها .
المادة 49
يجوز للمتهم في أي حالة كانت عليها الدعوى الجنائية ، وقبل صيرورة الحكم باتا ، إثبات الصلح مع المجنى عليه أو وكيله الخاص أو خلفه العام ، وبموافقة المركز أمام النيابة العامة أو المحكمة المختصة بحسب الأحوال ، وذلك في الجنح المنصوص عليها في المواد (36، 37، 38، 39، 40، 41،43) من هذا القانون .
ويكون التصالح مع المركز في الجنح المنصوص عليها بالمواد (42، 44،45) من هذا القانون في أي حالة كانت عليها الدعوى .
وفي جميع الأحوال ، يجب على المتهم الذي يرغب في التصالح أن يسدد قبل رفع الدعوى الجنائية مبلغاً يعادل نصف الحد الأدنى للغرامة المقررة للجريمة .
ويسدد المتهم راغب التصالح بعد رفع الدعوى وقبل صيرورة الحكم باتاً نصف الحد الأقصى للغرامة المقررة للجريمة ، أو قيمة الغرامة المقضي بها أيهما أكبر .
ويكون السداد في خزانة المحكمة المختصة أو النيابة العامة أو المركز بحسب الأحوال .
ويترتب على التصالح انقضاء الدعوى الجنائية دون أن يكون له أثر على حقوق المضرور من الجريمة .