قانون حماية البيانات الشخصية

قانون رقم ١٥١ لسنة ٢٠٢٠
تاريخ النشر :
١٥ – ٠٧ – ٢٠٢٠
نوع الجريدة :
القوانين الرئيسية
مضمون التشريع :
قانون رقم ١٥١ لسنة ٢٠٢٠ بإصدار قانون حماية البيانات الشخصية محدثاً حتى عام ٢٠٢٣.
نص التشريع
الجريدة الرسمية – العدد ٢٨ مكرر (هـ) – في ١٥ يوليه سنة ٢٠٢٠
_________________________

قانون رقم ١٥١ لسنة ٢٠٢٠
بإصدار قانون حماية البيانات الشخصي
(محدثاً حتى عام ٢٠٢٣)
باسـم الشـعـب
رئيـس الجمهـورية
قرر مجلس النواب القانون الآتي نصه، وقـد أصـدرناه:

(المادة الأولى)
يُعمل بأحكام هذا القانون والقانون المرافق في شأن حماية البيانات الشخصية المعالجة إلكترونيًا جزئيًا أو كليًا لدي أي حائز أو متحكم أو معالج لها، وذلك بالنسبة للأشخاص الطبيعيين.

(المادة الثانية)
تسري أحكام هذا القانون والقانون المرافق له على كل من ارتكب إحدى الجرائم المنصوص عليها في القانون المرافق متي كان الجاني من المصريين داخل الجمهورية أو خارجها، أو كان من غير المصريين المقيمين داخل الجمهورية، أو كان من غير المصريين خارج الجمهورية إذا كان الفعل معاقبًا عليه في الدولة التي وقع فيها تحت أي وصف قانوني وكانت البيانات محل الجريمة لمصريين أو أجانب مقيمين داخل الجمهورية.

(المادة الثالثة)
لا تسري أحكام القانون المرافق على ما يأتي:
١ – البيانات الشخصية التي يحتفظ بها الأشخاص الطبيعيون للغير، ويتم معالجتها للاستخـدام الشخـصي.

٢ – البيانات الشخصية التي تتم معالجتها بغرض الحصول على البيانات الإحصائية الرسمية أو تطبيقًا لنص قانوني.

٣ – البيانات الشخصية التي تتم معالجتها حصرًا للأغراض الإعلامية بشرط أن تكون صحيحة ودقيقة، وألا تستخدم في أي أغراض أخري، وذلك دون الإخلال بالتشريعات المنظمة للصحافة والإعلام.

٤ – البيانات الشخصية المتعلقة بمحاضر الضبط القضائي والتحقيقات والدعاوي القضائية.

٥ – البيانات الشخصية لدي جهات الأمن القومي، وما تقدره لاعتبارات أخري. ويجب على المركز، بناءً على طلب جهات الأمن القومي، إخطار المتحكم أو المعالج بتعديل أو محو أو عدم إظهار أو إتاحة أو تداول البيانات الشخصية، خلال مدة زمنية محددة، وفقًا لاعتبارات الأمن القومي، ويلتزم المتحكم أو المعالج بتنفيذ ما ورد بالإخطار خلال المدة الزمنية المحددة به.

٦ – البيانات الشخصية لدي البنك المركزي المصري والجهات الخاضعة لرقابته وإشرافه، عدا شركات تحويل الأموال وشركات الصرافة، على أن يراعي في شأنهما القواعد المقررة من البنك المركزي المصري بشأن التعامل مع البيانات الشخصية.

(المادة الرابعة)
يُصدر الوزير المعني بشئون الاتصالات وتكنولوجيا المعلومات اللائحة التنفيذية للقانون المرافق خلال ستة أشهر من تاريخ العمل بهذا القانون.

(المادة الخامسة)
تختص المحاكم الاقتصادية بنظر الجرائم التي ترتكب بالمخالفة لأحكام القانون المرافق.

(المادة السادسة)
يلتزم المخاطبون بأحكام هذا القانون بتوفيق أوضاعهم طبقًا لأحكام القانون المرافق ولائحته التنفيذية، وذلك خلال سنة من تاريخ صدور هذه اللائحة.

(المادة السابعة)
يُنشر هذا القانون في الجريدة الرسمية، ويُعمل به بعد مضي ثلاثة أشهر من اليوم التالي لتـاريخ نشـره.
يُبصم هذا القانون بخاتم الدولة، ويُنفذ كقانون من قوانينها.
صدر برئاسة الجمهورية في ٢٢ ذي القعدة سنة ١٤٤١هـ
(الموافق ١٣ يوليه سنة ٢٠٢٠م).

عبد الفتـاح السيسـي
قانون حماية البيانات الشخصية

(الفصل الأول)
التعريفـات

مادة (١):
في تطبيق أحكام هـذا القـانون، يقصد بالكلمات والعبـارات التـالية المعني المبـين قـرين كـل منهـا:
البيـانات الشخصيـة: أي بيــانات متعلقـة بشخــص طبيعي محــدد، أو يمكـن تحـديده بشكل مباشر أو غير مباشر عن طريق الربط بين هذه البيانات وأي بيانات أخري كالاسم، أو الصوت، أو الصورة، أو رقم تعريفي، أو محدد للهوية عبر الإنترنت، أو أي بيانات تحدد الهوية النفسية، أو الصحية، أو الاقتصادية، أو الثقافية، أو الاجتماعية.

المعـالجة: أي عملية إلكترونية أو تقنية لكتــابة البيـانات الشخصية، أو تجميعها، أو تسجيلها، أو حفظها، أو تخزينها، أو دمجها، أو عرضها، أو إرسالها، أو استقبالها، أو تداولها، أو نشرها، أو محوها، أو تغييرها، أو تعديلها، أو استرجاعها أو تحليلها وذلك باستخدام أي وسيط من الوسائط أو الأجهزة الإلكترونية أو التقنية سواء تم ذلك جـزئيا أو كليـًا.

البيانات الشخصية الحساسة: البيـانات التي تفصـح عن الصحة النفسيـة أو العقليـة أو البدنية أو الجينية، أو بيانات القياسات الحيوية “البيومترية” أو البيانات المـالية أو المعتقدات الدينية أو الآراء السياسية أو الحالة الأمنيــة، وفي جميع الأحوال تعد بيــانات الأطفــال من البيانات الشخصية الحساسة.

الشخص المعني بالبيانات: أي شـخـص طبيعي تنسـب إليه بيــانات شـخصية معــالجة إلكترونيًا تدل عليه قانونًا أو فعلاً، وتمكن من تمييزه عن غيره.

الحــائز: أي شـخص طـبيعي أو اعتباري، يحـوز ويحتفـظ قـانونيًا أو فعليا ببيـانات شخصية في أي صورة من الصور، أو على أي وسيلة تخزين سواءً أكان هو المنشئ للبيانات، أم انتقلت إليه حيازتها بأي صورة.

المتحـكـم: أي شــخـــص طبيــعي أو اعتبـاري يكــون لــه بحـكـم أو طــبيعـــة عـمــله، الحق في الحصول على البيانات الشخصية وتحديد طريقة وأسلوب ومعايير الاحتفاظ بها، أو معالجتها والتحكم فيها طبقًا للغرض المحدد أو نشاطه.

المعـالج: أي شخص طبيعي أو اعتباري مختص بطبيعة عمله، بمعالجة البيانات الشخصية لصالحه أو لصالح المتحكم بالاتفاق معه ووفقًا لتعليماته.

إتـاحة البيـانات الشخصية: كـل وسـيـلة تحقـق اتصال علم الغير بالبيـانات الشخصيـة كالاطلاع أو التداول أو النشر أو النقل أو الاستخدام أو العرض أو الإرسال أو الاستقبال أو الإفصـاح عنهـا.

أمـن البيـانات: إجراءات وعمليات تقنيـة وتنظيمية من شـأنها الحفـاظ على خصوصية البيانات الشخصية وسريتها وسلامتها ووحدتها وتكاملها فيما بينها.

خـرق وانتهـاك البيانات الشخصية: كل دخــول غير مرخــص بـه إلى بيـانات شخصية أو وصول غير مشروع لها، أو أي عملية غير مشروعة لنسخ أو إرسال أو توزيع أو تبادل أو نقل أو تداول يهدف إلى الكشف أو الإفصاح عن البيانات الشخصية أو إتلافها أو تعديلها أثناء تخزينها أو نقلها أو معالجتها.

حركة البيانات الشخصية عبر الحدود: نقل البيانات أو إتاحتها أو تسجيلها أو تخزينها أو تداولها أو نشرها أو استخدامها أو عرضها أو إرسالها أو استقبالها أو استرجاعها أو معالجتها، من داخل النطاق الجغرافي لجمهورية مصر العربية إلى خارجه أو العكس.

التسـويق الإلـكـتروني: إرسـال أي رسـالة أو بيـان أو محتوي إعـلاني أو تسويقي بأي وسيلة تقنية أيًا كانت طبيعتها أو صورتها تستهدف بشكل مباشر أو غير مباشر ترويج سلع أو خدمات أو التماسات أو طلبات تجارية أو سياسية أو اجتماعية أو خيرية موجهة إلى أشـخاص بعينهـم.

جهـات الأمـن القـومي: رئاسة الجمهورية ووزارة الدفاع ووزارة الداخليـة وجهاز المخابرات العامة وهيئة الرقابة الإدارية.

المـركــز: مركـز حمـاية البيـانات الشخصيـة.

الـترخيـص: وثيقة رسمية تصدر عن المركز للشخص الاعتباري تمنحـه من خلالها الحق في مزاولة نشاط جمع البيانات الشخصية الإلكترونية أو تخزينها أو نقلهـا أو معالجتهـا أو القيام بأنشطة التسويق الإلكتروني أو كل ما سبق والتعامل عليها بأي صورة، وتحدد التزامات المرخص له وفق القواعد والشروط والإجراءات والمعايير الفنية المحددة باللائحة التنفيذية لهذا القانون، وذلك لمدة ثلاث سنوات قابلة للتجديد لمـدد أخري.

التصـريح: وثيقة رسمية تصدر عن المركز للشخص الطبيعي أو الاعتباري تمنحه من خلالها الحق في ممـارسة نشاط جمع البيانات الشخصية الإلكترونية أو تخزينها أو نقلها أو معالجتها أو القيام بأنشطة التسويق الإلكتروني أو كل ما سبق والتعامل عليها بأي صورة، أو لأداء مهمة أو مهام معينة، وتحدد هذه الوثيقة التزامات المصرح له وفق القواعد والشروط والإجراءات والمعايير الفنية المحددة باللائحة التنفيذية، لمدة مؤقتة لا تجاوز سنة، ويجوز تجديدها لأكـثر مـن مـدة.

الاعتمـاد: شـهادة تصدر عن المركز تفـيد أن الشخص الطبيعي أو الاعتبـاري قد استوفي جميع المتطلبات الفنية والقانونية والتنظيمية المحددة باللائحة التنفيذية لهذا القانون ويكون بموجبها مؤهلاً لتقديم الاستشارات في مجال حماية البيانات الشخصية.

الـوزير المختـص: الوزير المعني بشئون الاتصالات وتكنولوجيا المعلومات.

(الفصل الثاني)
حقوق الشخص المعنى بالبيانات وشروط جمع ومعالجة البيانات

مادة ( ٢ ):
لا يجوز جمع البيانات الشخصية أو معالجتها أو الإفصاح عنها أو إفشائها بأي وسيلة من الوسائل إلا بموافقة صريحة من الشخص المعني بالبيانات، أو في الأحوال المصـرح بهـا قـانونًا.
ويكون للشخص المعني بالبيانات الحقوق الآتية:
١ – العلم بالبيانات الشخصية الخاصة به الموجودة لدي أي حائز أو متحكم أو معالج والاطلاع عليها والوصول إليها أو الحصول عليها.

٢ – العدول عن الموافقة المسبقة على الاحتفاظ ببياناته الشخصية أو معالجتها.

٣ – التصحيح أو التعديل أو المحو أو الإضافة أو التحديث للبيانات الشخصية.

٤ – تخصيص المعالجة في نطاق محدد.

٥ – العلم والمعرفة بأي خرق أو انتهاك لبياناته الشخصية.

٦ – الاعتراض على معالجة البيانات الشخصية أو نتائجها متي تعارضت مع الحقوق والحريات الأساسية للشخص المعني بالبيانات. وباستثناء البند (٥) من الفقرة السابقة، يؤدي الشخص المعني بالبيانات مقابل تكلفة الخدمة المقدمة إليه من المتحكم أو المعالج فيما يخص ممارسته لحقوقه، ويتولى المركز إصدار قرارات تحديد هذا المقابل بما لا يجاوز عشرين ألف جنيه.

مادة ( ٣ ):
يجب لجمع البيانات الشخصية ومعالجتها والاحتفاظ بها، توافر الشروط الآتية:
١ – أن تجمع البيانات الشخصية لأغراض مشروعة ومحددة ومعلنة للشخص المعني.

٢ – أن تكون صحيحة وسليمة ومؤمنة.

٣ – أن تعالج بطريقة مشروعة وملائمة للأغراض التي تم تجميعها من أجلها.

٤ – ألا يتــم الاحتفــاظ بهـا لمــدة أطــول من المــدة اللازمـــة للـوفـــاء بالغــــرض المحــدد لهــا.
وتحدد اللائحة التنفيذية لهذا القانون السياسات والإجراءات والضوابط والمعايير القياسية للجمع والمعالجة والحفظ والتأمين لهذه البيانات.

(الفصل الثـالث)
التزامات المتحكم والمعالج
أولا: التزامات المتحكم

مادة ( ٤ ):
مع مراعاة أحكام المـادة (١٢) من هذا القانون، يلتزم المتحكم بمـا يأتي:
١ – الحصول على البيانات الشخصية أو تلقيها من الحائز أو من الجهات المختصة بتزويده بها بحسب الأحوال بعد موافقة الشخص المعني بالبيانات، أو في الأحوال المصرح بهـا قـانونـًا.

٢ – التأكد من صحة البيانات الشخصية واتفاقها وكفايتها مع الغرض المحدد لجمعها.

٣ – وضع طريقة وأسلوب ومعايير المعالجة طبقا للغرض المحدد، ما لم يقرر تفويض المعالج في ذلك بموجب تعاقد مكتوب.

٤ – التأكد من انطباق الغرض المحدد من جمع البيانات الشخصية لأغراض معالجتها.

٥ – القيام بعمل أو الامتناع عن عمل يكون من شـأنه إتـاحة البيــانات الشخصية إلا في الأحوال المصرح بها قانونًا.

٦ – اتخاذ جميع الإجراءات التقنية والتنظيمية وتطبيق المعايير القياسية اللازمة لحماية البيــانات الشخصية وتأمينهـا حفــاظـًا على سريتها، وعدم اخــتراقها أو إتلافهـا أو تغييرها أو العبث بها قِبَل أي إجراء غير مشروع.

٧ – محو البيانات الشخصية لديه فور انقضاء الغرض المحدد منها، أما في حال الاحتفاظ بها لأي سبب من الأسباب المشروعة بعد انتهاء الغرض، فيجب ألا تبقي في صورة تسمح بتحديد الشخص المعني بالبيانات.

٨ – تصحيح أي خطأ بالبيانات الشخصية فور إبلاغه أو علمه به.

٩ – إمساك سجل خاص للبيانات، على أن يتضمن وصف فئات البيانات الشخصية لديه، وتحديد من سيفصح لهم عن هذه البيانات أو يتيحها لهم وسنده والمدد الزمنية وقيودها ونطاقها وآليات محو البيانات الشخصية لديه أو تعديلها وأي بيانات أخري متعلقة بنقل تلك البيانات الشخصية عبر الحدود ووصف الإجراءات التقنية والتنظيمية الخاصة بأمن البيانات.

١٠ – الحصول على ترخيص أو تصريح من المركز للتعامل مع البيانات الشخصية.

١١ – يلتزم المتحكم خارج جمهورية مصر العربية بتعيين ممثل له في جمهورية مصر العربية وذلك على النحو الذي تبينه اللائحة التنفيذية.

١٢ – توفير الإمكانيات اللازمة لإثبات التزامه بتطبيق أحكام هذا القانون وتمكين المركز من التفتيش والرقابة للتأكد من ذلك.

وفي حال وجود أكثر من متحكم يلتزم كل منهم بجميع الالتزامات المنصوص عليها في هذا القانون، وللشخص المعني ممارسة حقوقه تجاه كل متحكم على حدة.

وتحدد اللائحة التنفيذية لهذا القانون السياسات والإجراءات والضوابط والمعايير الفنية لتلك الالتزامات.

ثانيا: التزامات المعالج

مادة ( ٥ ):
مع مراعاة أحكام المـادة (١٢) من هذا القانون، يلتزم معالج البيانات الشخصية بما يأتي:
١ – إجراء المعالجة وتنفيذها طبقـًا للقواعد المنظمة لذلك بهذا القانون ولائحته التنفيذية ووفقًا للحالات المشروعة والقانونية وبناءً على التعليمات المكتوبة الواردة إليه من المركز أو المتحكم أو من أي ذي صفة بحسب الأحوال، وبصفة خاصة فيما يتعلق بنطاق عملية المعالجة وموضوعها وطبيعتها ونوع البيانات الشخصية واتفاقها وكفايتها مع الغـرض المحـدد لـه.

٢ – أن تـكــون أغراض المعــالجة وممـــارستها مشروعة، ولا تخــالف النظــام العـــام أو الآداب العـامة.

٣ – عدم تجاوز الغرض المحدد للمعالجة ومدتها، ويجب إخطار المتحكم أو الشخص المعني بالبيانات أو كل ذي صفة، بحسب الأحوال، بالمدة اللازمة للمعالجة.

٤ – محو البيانات الشخصية بانقضاء مدة المعالجة أو تسليمها للمتحكم.

٥ – القيام بعمل أو الامتناع عن عمل يكون من شـــأنه إتـاحة البيــانات الشخصية أو نتائج المعالجة إلا في الأحوال المصرح بها قانونًا.

٦ – عدم إجراء أي معــالجة للبيــانات الشخصية تتعارض مع غرض المتحكم فيهــا أو نشاطه إلا إذا كان ذلك بغرض إحصائي أو تعليمي ولا يهدف للربح ودون الإخلال بحرمة الحياة الخاصة.

٧ – حماية وتأمين عملية المعالجة والوسائط والأجهزة الإلكترونية المستخدمة في ذلك وما عليها من بيانات شخصية.

٨ – عدم إلحاق أي ضرر بالشخص المعني بالبيانات بشكل مباشر أو غير مباشر.

٩ – إعداد سجل خاص بعمليات المعــالجة لديه، على أن يتضمن فئــات المعــالجة التي يجريها نيابة عن أي متحكم وبيانات الاتصال به ومسئول حماية البيانات لديه، والمدد الزمنية للمعالجة وقيودها ونطاقها وآليات محو البيانات الشخصية لديه أو تعديلها، ووصفًا للإجراءات التقنية والتنظيمية الخاصة بأمن البيانات وعمليات المعالجة.

١٠ – توفير الإمكانيات لإثبات التزامه بتطبيق أحكام هذا القانون عند طلب المتحكم وتمكين المركز من التفتيش والرقابة للتأكد من التزامه بذلك.

١١ – الحصول على ترخيص أو تصريح من المركز للتعامل على البيانات الشخصية.

١٢ – يلتزم المعالج خارج جمهورية مصر العربية بتعيين ممثل له في جمهورية مصر العربية وذلك على النحو الذي تبينه اللائحة التنفيذية.

وفي حال وجود أكثر من معالج، يلتزم كل منهم بجميع الالتزامات المنصوص عليها في هذا القانون وذلك في حال عدم وجود عقد يحدد التزامات ومسئوليات كل منهم بوضوح.

وتحدد اللائحة التنفيذية لهذا القانون السياسات والإجراءات والضوابط والشروط والتعليمات والمعايير القياسية لتلك الالتزامات.

ثالثا: شروط المعالجة

مادة ( ٦ ):
تعد المعالجة الإلكترونية مشروعة وقانونية في حال توفر أي من الحالات الآتية:
١ – موافقة الشخص المعني بالبيانات على إجراء المعالجة من أجل تحقيق غرض محدد أو أكثر.

٢ – أن تكون المعــالجة لازمة وضرورية تنفــيذًا لالـتزام تعـــاقدي أو تصرف قــانوني أو لإبـرام عقد لصالح الشخص المعني بالبيانات، أو لمباشرة أي من إجراءات المطالبة بالحقوق القانونية له أو الدفاع عنها.

٣ – تنفيذ التزام ينظمه القانون أو أمر من جهات التحقيق المختصة أو بناءً على حكم قضائي.

٤ – تمكين المتحكم من القيام بالتزاماته أو أي ذي صفة من ممارسة حقوقه المشروعة، ما لم يتعارض ذلك مع الحقوق والحريات الأساسية للشخص المعني بالبيانات.

رابعا: الالتزام بالإخطار والإبلاغ

مادة ( ٧ ):

يلتزم كل من المتحكم والمعالج بحسب الأحوال حال علمه بوجود خرق أو انتهاك للبيانات الشخصية لديه بإبلاغ المركز خلال اثنتين وسبعين ساعة، وفي حال كان هذا الخرق أو الانتهاك متعلقًا باعتبارات حماية الأمن القومي فيكون الإبلاغ فوريا، وعلى المركز وفي جميع الأحوال إخطار جهات الأمن القومي بالواقعة فورًا، كما يلتزم بموافاة المركز خلال اثنتين وسبعين ساعة من تاريخ علمه بما يأتي:

١ – وصف طبيعة الخرق أو الانتهاك، وصورته وأسبابه والعدد التقريبي للبيانات الشخصيـة وسجـلاتها.

٢ – بيانات مسئول حماية البيانات الشخصية لديه.

٣ – الآثار المحتملة لحادث الخرق أو الانتهاك.

٤ – وصف الإجراءات المتخذة والمقترح تنفيذها لمواجهة هذا الخرق أو الانتهاك والتقليل من آثاره السلبية.

٥ – توثيق أي خرق أو انتهاك للبيــانات الشخصية، والإجــراءات التصحيحية المتخـذة لمواجهتـه.

٦ – أي وثائق أو معلومات أو بيانات يطلبها المركز.

وفي جميع الأحوال يجب على المتحكم والمعالج، بحسب الأحوال، إخطار الشخص المعني بالبيانات خلال ثلاثة أيام عمل من تاريخ الإبلاغ وما تم اتخاذه من إجراءات.

وتحدد اللائحة التنفيذية لهذا القانون الإجراءات الخاصة بالإبلاغ والإخطار.

(الفصل الرابع)
مسئول حماية البيانات الشخصية

أولا: تعيين مسئول حماية البيانات الشخصية

مادة ( ٨ ):
ينشأ بالمركز سجل لقيد مسئولي حماية البيانات الشخصية، وتحدد اللائحة التنفيذية لهذا القانون شروط القيد وإجراءاته وآليات التسجيل.

ويلتزم الممثل القانوني للشخص الاعتباري لأي متحكم أو معالج بأن يعين داخل كيانه القانوني وهيكله الوظيفي موظفًا مختصًا مسئولاً عن حماية البيانات الشخصية، وذلك بقيده في سجل مسئولي حماية البيانات الشخصية بالمركز، ويعلن عن ذلك.

ويـكــون الشخـــص الطبيعــي المتحكم أو المعــالج هــو المسئول عن تطـبيــق أحكــام هـذا القـانون.

ثانيا: التزامات مسئول حماية البيانات الشخصية

مادة ( ٩ ):
يكون مسئول حماية البيانات الشخصية مسئولاً عن تنفيذ أحكام القانون ولائحته التنفيذية وقرارات المركز، ومراقبة الإجراءات المعمول بها داخل كيانه الإشراف عليها، وتلقي الطلبات المتعلقة بالبيانات الشخصية وفقا لأحكام هذا القانون. ويلـتزم على الأخـص بالآتـي:
١ – إجراء التقييم والفحص الدوري لنظم حماية البيانات الشخصية ومنع اختراقها، وتوثيق نتائج التقييم وإصدار التوصيات اللازمة لحمايتها.

٢ – العمل كنقطة اتصال مباشرة مع المركز وتنفيذ قراراته، فيما يخص تطبيق أحكام هذا القانون.

٣ – تمكين الشخص المعني بالبيانات من ممارسة حقوقه المنصوص عليها في هذا القانون.

٤ – إخطار المركز في حال وجود أي خرق أو انتهاك للبيانات الشخصية لديه.

٥ – الرد على الطلبات المقدمة من الشخص المعني بالبيانات أو كل ذي صفة، والرد على المركز في التظلمـات المقدمة إليه من أي منهما وفقا لأحكام هذا القانون.

٦ – متابعة القيد والتحديث لسجل البيانات الشخصية لدي المتحكم أو سجل عمليات المعالجة لدي المعالج، بمـا يكفل ضمان دقة البيانات والمعلومات المقيدة به.

٧ – إزالة أي مخالفات متعلقة بالبيانات الشخصية داخل كيانه، واتخاذ الإجراءات التصحيحيـة حيـالها.

٨ – تنظيم البرامج التدريبية اللازمة لموظفي كيانه، لتأهيلهم بما يتناسب مع متطلبات هذا القانون.

وتحدد اللائحة التنفيذية لهذا القانون الالتزامات والإجراءات والمهام الأخرى التي يجب على مسئول حماية البيانات الشخصية القيام بها.

(الفصل الخامس)
إجراءات إتاحة البيانات الشخصية

مادة ( ١٠ ):
يلتزم كل من المتحكم والمعالج والحائز عـند طـلـب إتاحــة البيانات الشخصية بالإجــراءات الآتيــة:
١ – أن يكون بناءً على طلب كتابي يقدم إليه من ذي صفة أو وفقًا لسند قانوني.

٢ – التحقق من توافر المستندات اللازمة لتنفيذ الإتاحة والاحتفاظ بها.

٣ – الــبت في الطـلـب ومستنداته خلال سـتة أيام عمل من تاريخ تقــديمه إليه، وعند صدور قرار بالرفض يجب أن يكون الرفض مسببًا، ويعتبر مضي المدة المشار إليها دون رد في حكم الرفض.

مادة ( ١١ ):
يكون للدليل الرقمي المستمد من البيانات الشخصية طبقًا لأحكام هذا القانون ذات الحجية في الإثبات المقررة للأدلة المستمدة من البيانات والمعلومات الخطية متي استوفت المعايير والشروط الفنية الواردة باللائحة التنفيذية لهذا القانون.

(الفصل السادس)
البيانات الشخصية الحساسة

مادة ( ١٢ ):
يحظر على المتحكم أو المعالج سواء كان شخصًا طبيعيا أو اعتباريًا جمع بيانات شخصية حســاسة أو نقلها أو تخــزينها أو حفظهـا أو معــالجتها أو إتاحتها إلا بترخيص مـن المـركـز. وفيما عدا الأحــوال المصرح بها قانونًا، يلزم الحصول على موافقة كتــابية وصــريحة من الشخص المعني. وفي حالة إجراء أي عملية ممـا ذكر تتعلق ببيانات الأطفال، يلزم موافقة ولي الأمر.

ويجب ألا تكون مشاركة الطفل في لعبة أو مسابقة أو أي نشاط آخر مشروطة بتقديم بيانات شخصية للطفل تزيد على ما هو ضروري للمشاركة في ذلك.

وذلك كله وفقًا للمعايير والضوابط التي تحددها اللائحة التنفيذية لهذا القانون.

مادة ( ١٣ ):
بالإضافة إلى الالتزامات الواردة بالمـادة (٩) من هذا القانون، يلتزم مسئول حماية البيانات الشخصية وتابعوه لدي المتحكم أو المعالج باتباع واستيفاء السياسات والإجراءات التأمينية اللازمة لعدم خرق البيانات الشخصية الحساسة أو انتهاكها.

(الفصل السابع)
البيانات الشخصية عبر الحدود

مادة ( ١٤ ):
يحظر إجراء عمليات نقل للبيانات الشخصية التي تم جمعها أو تجهيزها للمعالجة إلي دولة أجنبية أو تخزينها أو مشاركتها إلا بتوافر مستوي من الحماية لا يقل عن المستوي المنصوص عليه في هذا القانون، وبترخيص أو تصريح من المركز.

وتحدد اللائحة التنفيذية لهذا القانون السياسات والمعايير والضوابط والقواعد اللازمة لنقل أو تخزين أو مشاركة أو معالجة أو إتاحة البيانات الشخصية عبر الحدود وحمايتها.

مادة ( ١٥ ):
استثناءً من حكم المـادة (١٤) من هذا القانون، يجوز في حالة الموافقة الصريحة للشخص المعني بالبيانات أو من ينوب عنه نقل أو مشاركة أو تداول أو معالجة البيانات الشخصية إلي دولة لا يتوافر فيهــا مستوي الحماية المشــار إليها في المـادة السـابقة، وذلك في الحالات الآتية:

١- المحافظة على حياة الشخص المعني بالبيانات، وتوفير الرعاية الطبية أو العلاج أو إدارة الخدمات الصحية له.

٢ – تنفيذ التزامات بما يضمن إثبات حق أو ممارسته أمام جهات العدالة أو الدفاع عنه.

٣ – إبرام عقد، أو تنفيذ عقد مبرم بالفعل، أو سيتم إبرامه بين المسئول عن المعالجة والغير، وذلك لمصلحة الشخص المعني بالبيانات.

٤ – تنفيذ إجراء خاص بتعاون قضائي دولي.

٥ – وجود ضرورة أو إلزام قانوني لحماية المصلحة العامة.

٦ – إجراء تحويلات نقدية إلي دولة أخري وفقًا لتشريعاتها المحددة والسارية.

٧ – إذا كان النقل أو التداول يتم تنفيذًا لاتفاق دولي ثنائي أو متعدد الأطراف تكون جمهورية مصر العربية طرفًا فيه.

مادة ( ١٦ ):
يجوز للمتحكم أو المعالج، بحسب الأحوال، إتاحة البيانات الشخصية لمتحكم أو معالج آخر خارج جمهورية مصر العربية بترخيص من المركز متي توافرت الشروط الآتية:

١ – اتفاق طبيعة عمل كل من المتحكمين أو المعالجين، أو وحدة الغرض الذي يحصلان بموجبه على البيانات الشخصية.

٢ – توافر المصلحة المشروعة لدي كل من المتحكمين أو المعالجين للبيانات الشخصية أو لدي الشخص المعني بالبيانات.

٣ – ألا يقل مستوي الحماية القانونية والتقنية للبيانات الشخصية لدي المتحكم أو المعالج الموجودة بالخارج عن المستوي المتوافر في جمهورية مصر العربية.

وتحدد اللائحة التنفيذية لهذا القانون الاشتراطات والإجراءات والاحتياطات والمعايير والقواعد اللازمة لذلك.

(الفصل الثامن)
التسويق الإلكتروني المباشر

مادة ( ١٧ ):
يحظر إجراء أي اتصال إلكتروني بغرض التسويق المباشر للشخص المعني بالبيانات، إلا بتوافر الشروط الآتية:
١ – الحصول على موافقة من الشخص المعني بالبيانات.

٢ – أن يتضمن الاتصال هوية منشئه ومرسله.

٣ – أن يكون للمرسل عنوان صحيح وكاف للوصول إليه.

٤ – الإشارة إلى أن الاتصال الإلكتروني مرسل لأغراض التسويق المباشر.

٥ – وضع آليات واضحة وميسرة لتمكين الشخص المعني بالبيانات من رفض الاتصال الإلكتروني أو العدول عن موافقته على إرسالها.

مادة ( ١٨ ):
يلتزم المرسل لأي اتصال إلكتروني بغرض التسويق المباشر بالالتزامات الآتية:
١ – الغرض التسويقي المحدد.

٢ – عدم الإفصاح عن بيانات الاتصال للشخص المعني بالبيانات.

٣ – الاحتفاظ بسجلات إلكترونية مثبت بها موافقة الشخص المعني بالبيانات وتعديلاتها، أو عدم اعتراضه على استمراره، بشأن تلقي الاتصال الإلكتروني التسويقي وذلك لمدة ثلاث سنوات من تاريخ آخر إرسال.

وتحدد اللائحة التنفيذية لهذا القانون القواعد والشروط والضوابط المتعلقة بالتسويق الإلكـتروني المبـاشر.

(الفصل التاسع)
مركز حماية البيانات الشخصية

مادة ( ١٩ ):
تنشأ هيئة عامة اقتصادية تسمي «مركز حماية البيانات الشخصية»، تتبع الوزير المختص، وتكون لها الشخصية الاعتبـــارية، ويكون مقـــرها الرئيس محـــافظة القــاهرة أو إحدى المحافظات المجاورة لها، وتهدف إلى حماية البيانات الشخصية وتنظيم معالجتها وإتاحتها، ولها في سبيل تحقيق أهدافها أن تباشر جميع الاختصاصات المنصوص عليها بهذا القانون، ولها على الأخص الآتي:

وضع وتطوير السياسات والخطط الاستراتيجية والبرامج اللازمة لحماية البيانات الشخصية، والقيام على تنفيذها.

توحيد سياسات وخطط حماية ومعالجة البيانات الشخصية داخل الجمهورية.

وضع وتطبيق القرارات والضوابط والتدابير والإجراءات والمعايير الخاصة بحماية البيانات الشخصية.

وضع إطار إرشادي لمدونات السلوك الخاصة بحماية البيانات الشخصية، واعتماد مدونات السلوك الخاصة بحماية البيانات الشخصية بالجهات المختلفة.

التنسيق والتعاون مع جميع الجهات والأجهزة الحكومية وغير الحكومية في ضمان إجراءات حماية البيانات الشخصية، والتواصل مع جميع المبادرات ذات الصلة.

دعم تطوير كفاءة الكوادر البشرية العاملة في جميع الجهات الحكومية وغير الحكومية القائمة على حماية البيانات الشخصية.

إصدار التراخيص أو التصاريح والموافقات والتدابير المختلفة المتعلقة بحماية البيانات الشخصية وتطبيق أحكام هذا القانون.

اعتماد الجهات والأفراد، ومنحهم التصاريح اللازمة التي تتيح لهم تقديم الاستشارات في إجراءات حماية البيانات الشخصية.

تلقي الشكاوى والبلاغات المتعلقة بأحكام هذا القــانون، وإصدار القرارات اللازمة في شـأنهـا.

إبداء الرأي في مشروعات القوانين والاتفاقيات الدولية التي تنظم البيانات الشخصية أو تتعلق أو تنعكس نصوصها بصورة مباشرة أو غير مباشرة عليها.

الرقابة والتفتيش على المخاطبين بأحكام هذا القانون، واتخاذ الإجراءات القانونية اللازمة.

التحقق من شروط حركة البيانات عبر الحدود، واتخاذ القرارات المنظمة لها.

تنظيم المؤتمرات وورش العمل والدورات التدريبية والتثقيفية، وإصدار المطبوعات لنشر الوعي والتثقيف للأفراد والجهات حول حقوقهم فيما يتعلق بالتعامل على البيانات الشخصية.

تقــديم جميع أنواع الخبرة والاستشارات المتعلقــة بحمــاية البيــانات الشخصيــة، وعلى الأخص لجهات التحقيق والجهات القضائية.

إبرام الاتفاقيات ومذكرات التفاهم والتنسيق والتعاون وتبادل الخبرات مع الجهات الدولية ذات الصلة بعمل المركز وفقًا للقواعد والإجراءات المقررة في هذا الشأن.

إصدار الدوريات الخاصة بتحديث إجراءات الحماية بما يتوافق مع أنشطة القطاعات المختلفة وتوصيات المركز في شأنها.

إعداد وإصدار تقرير سنوي عن حالة حماية البيانات الشخصية في جمهورية مصر العربية.

مادة ( ٢٠ ):
يكون للمركز مجلس إدارة، يشكل برئاسة الوزير المختص، وعضوية كل من:
١ – ممثل عن وزارة الدفاع يختاره وزير الدفاع.

٢ – ممثل عن وزارة الداخلية يختاره وزير الداخلية.

٣ – ممثل عن جهاز المخابرات العامة يختاره رئيس الجهاز.

٤ – ممثل عن هيئة الرقابة الإدارية يختاره رئيس الهيئة.

٥ – ممثل عن هيئة تنمية صناعة تكنـــولوجيا المعـلــومات يختـــاره رئيس مجلس إدارة الهيئــة.

٦ – ممثل عن الجهاز القومي لتنظيم الاتصالات يختاره رئيس مجلس إدارة الجهاز.
٧ – الرئيس التنفيذي للمركز.

٨ – ثلاثة من ذوي الخبرة يختارهم الوزير المختص.

وتكون مدة عضوية مجلس الإدارة ثلاث سنوات قابلة للتجديد، ويصدر بتشكيله، وتحديد المعاملة المـالية لأعضائه قرار من رئيس مجلس الوزراء.

ولمجلس الإدارة أن يشكل من بين أعضائه لجنة أو أكثر يعهد إليها بصفة مؤقتة ببعض المهام، وللمجلس أن يفوض رئيس مجلس الإدارة أو الرئيــس التنفــيذي للمـركــز في بعـض اختصـاصاته.

مادة ( ٢١ ):
مجلس إدارة المركز هو السلطة المهيمنة على شئونه ومباشرة اختصاصاته، وله أن يتخذ ما يـراه لازمـًا من قــرارات لتحقيـــق أغراض المركـــز والقــانون ولائحتــه التنـفــيذية وله على الأخص ما يأتي:
إقرار السياسات والخطط الاستراتيجية والبرامج اللازمة لحماية البيانات الشخصية.

اعتماد اللوائح والضوابط والتدابير والمعايير الخاصة بحماية البيانات الشخصية.

اعتماد خطط التعاون الدولي وتبادل الخبرات مع الجهات والمنظمات الدولية.

اعتماد الهيكل التنظيمي واللوائح المـالية والإدارية والموارد البشرية والموازنة السنوية للمركز.

الموافقة على إنشاء مكاتب أو فروع للمركز على مستوي الجمهورية.

قبول المنح والتبرعات والهبات اللازمة لتحقيق أغراض المركز بعد الحصول على الموافقات المتطلبة قانونًا.

مادة ( ٢٢ ):
يجتمع مجلس إدارة المركز بدعوة من رئيسه مرة على الأقل كل شهر، وكلمـا دعت الحاجة لذلك، ويكون اجتماعه صحيحًا بحضور أغلبية أعضائه، وتصدر قراراته بأغلبية ثلثي أصوات الأعضاء الحاضرين، وللرئيس أن يدعو من يري لحضور الاجتماع دون أن يكون له صوت معدود.

مادة ( ٢٣ ):
يكون للمركز رئيس تنفيذي، يصدر بتعيينه وتحديد معاملته المـالية قرار من رئيس مجلس الوزراء بناءً على اقتراح الوزير المختص لمدة أربع سنوات قابلة للتجديد لمرة واحدة.

ويكون مسئولاً أمام مجلس الإدارة عن ســـير أعمال المركز فنيـًا وإداريـًا وماليـًا، ويمثله في صلاته بالغير وأمام القضاء وله على الأخص ما يأتي:
١ – الإشراف على تنفيذ قرارات مجلس الإدارة.

٢ – إدارة المركز والإشراف على سير العمل به، وتصريف شئونه.

٣ – عرض تقارير دوريــة على مجلس الإدارة عن نشــاط المركز وســير العمـــل به وما تم إنجازه وفقًا للأهداف والخطط والبرامج الموضوعة، وتحــديد معـوقات الأداء، والحلـول المقـترحة لتفـاديها.

٤ – ممـارسة الاختصاصات الأخرى التي تحددها لوائح المركز.

٥ – اتخاذ كل ما يلزم لإنفاذ جميع مهام المركز واختصاصاته الواردة في المـادة (٢١) مـن هـذا القـانون.
ويعاون الرئيس التنفيذي في مباشرة اختصاصاته عدد كاف من الخبراء والفنيين والإداريين وفقًا للهيكل التنظيمي للمركز.

مادة ( ٢٤ ):
يحظر على أعضاء مجلس إدارة المركز والعاملين به، إفشاء أي وثائق أو مستندات أو بيانات تتعلق بالحــالات التي يقوم المركـــز برقــابتهـــا أو فحصها أو التي يتم تقــديمها أو تداولها أثناء فحص أو إصدار القرارات الخاصة بها، ويظل هذا الالتزام قائمًا بعد انتهـاء العـلاقة بالمركـز.

وفي جميع الأحوال، لا يجوز الإفصاح عن المعلومات والوثائق والمستندات والبيانات المشار إليها في هذه المـادة إلا لسلطات التحقيق والجهات والهيئات القضائية.

مادة ( ٢٥ ):
للمركز بالتنسيق مع السلطات المختصة التعاون مع نظــرائه بالبــلاد الأجنبيــة وذلك في إطار اتفاقيات التعاون الدولية والإقليمية والثنائية أو بروتوكولات التعاون المصدق عليها أو تطبيقًا لمبدأ المعاملة بالمثل بما من شأنه حماية البيانات الشخصية والتحقق من مدي الامتثال للقانون من قبل المتحكمين والمعالجين خارج الجمهورية، ويعمل المركز على تبادل البيانات والمعلومات بما من شأنه أن يكفل حماية البيانات الشخصية وعدم انتهاكها والمساعدة في التحقيق في الانتهاكات والجرائم ذات الصلة وتتبع مرتكبيها.

(الفصل العاشر)
التراخيص والتصاريح والاعتمادات

أولا: أنواع التراخيص والتصاريح والاعتمادات

مادة ( ٢٦ ):
يصدر المركز التراخيص أو التصاريح أو الاعتمادات على النحو الآتي:
١ – يقوم المركز بتصنيف التراخيص والتصاريح والاعتمادات وتحديد أنواعها، ووضع الشروط الخاصة بمنح كل نوع منها، وذلك وفقًا لمـا تحدده اللائحة التنفيذية لهذا القانون.

٢ – إصدار الترخيص أو التصريح للمتحكم أو المعالج لإجراء عمليات حفظ البيانات، والتعامل عليها ومعالجتها وفقًا لأحكام هذا القانون.

٣ – إصدار التراخيص أو التصاريح الخاصة بالتسويق الإلكتروني المباشر.

٤ – إصدار التراخيص أو التصاريح الخاصة بالمعالجات التي تقوم بها الجمعيات أو النقابات أو النوادي للبيانات الشخصية لأعضاء تلك الجهات وفي إطار أنشطتها.

٥ – إصدار التراخيص أو التصاريح الخاصة بوسائل المراقبة البصرية في الأماكن العامة.

٦ – إصدار التراخيص أو التصاريح الخاصة بالتحكم ومعالجة البيانات الشخصية الحساسة.

٧ – إصدار التصاريح والاعتمادات الخاصة بالجهات والأفراد التي تتيح لهم تقديم الاستشارات في إجراءات حماية البيانات الشخصية، وإجراءات الامتثال لها.

٨ – إصدار التراخيص والتصاريح الخاصة بنقل البيانات الشخصية عبر الحدود.

وتحدد اللائحة التنفيذية لهذا القانون أنواع هذه التراخيص والتصاريح والاعتمادات وفئاتها ومستوياتها، وإجراءات وشروط إصدارها وتجــديدها ونمـــاذجها المستخــدمة، وذلك بمقــابل رســوم لا تتجاوز مليوني جنيه بالنسبة للترخيص، ومبلغ لا يتجاوز خمسمائة ألف جنيه للتصريح أو الاعتماد.

ثانيا: إجراءات إصدار التراخيص والتصاريح والاعتمادات

مادة ( ٢٧ ):
تقدم طلبات التراخيص والتصاريح والاعتمادات على النماذج التي يضعها المركز مشفوعة بجميع المستندات والمعلومات التي يحددها، مع تقديم ما يثبت قدرة المتقدم المـالية وقدرته على توفير وتنفيذ المتطلبات والمعايير الفنية المقررة، ويبت في الطلب خلال مدة لا تجاوز تسعين يومًا من تاريخ استيفائه لجميع المستندات والمعلومات وإلا اعتبر الطلب مرفوضًا.

ويجوز للمركز طلب بيانات أو وثائق أو مستندات أخري للبت في الطلب، كما يكون له الحق في طلب توفير ضمانات إضافية لحماية البيانات الشخصية إذا تبين عدم كفاية الحماية المبينة بالمستندات المقدمة إليه. كما يجوز للمتحكم أو المعالج الحصول على أكثر من ترخيص أو تصريح وفقًا لنوعية البيانات الشخصية المتعامل عليها.

ثالثًا: تعديل شروط التراخيص والتصاريح

مادة ( ٢٨ ):
يجوز للمركز، وفقًا لاعتبارات المصلحة العامة، تعديل شروط الترخيص أو التصريح بعد إصداره في أي من الحالات الآتية:
١ – الاستجابة إلى الاتفاقيات الدولية أو الإقليمية أو القوانين الوطنية ذات الصلة.

٢ – بناءً على طلب المرخص له.

٣ – اندماج المتحكم أو المعالج مع آخرين داخل جمهورية مصر العربية أو خارجها.

٤ – إذا كان التعديل ضروريًا لتحقيق أهداف هذا القانون.

رابعا: إلغاء التراخيص والتصاريح والاعتمادات

مادة ( ٢٩ ):
يجــوز للمركز إلغــاء الترخيــص أو التصـــريح أو الاعتمـــاد بعـــد إصــداره في أي مـن الحـالات الآتيـة:
١ – مخالفة شروط الترخيص أو التصريح أو الاعتماد.

٢ – عدم سداد رسوم تجديد الترخيص أو التصريح أو الاعتماد.

٣ – تكرار عدم الامتثال لقرارات المركز.

٤ – التنازل عن الترخيص أو التصريح أو الاعتماد للغير دون موافقة المركز.

٥ – صدور حكم بإفلاس المتحكم أو المعالج.

خامسا: الجزاءات الإدارية

مادة ( ٣٠ ):
مع عدم الإخلال بأحكام المسئولية المدنية والجنائية، يقوم الرئيس التنفيذي للمركز، في حال ارتكاب أي مخالفة لأحكام هذا القانون بإنذار المخالف بالتوقف عن المخالفة وإزالة أسبابها أو آثارها خلال فترة زمنية يحددها، فإذا انقضت المدة المشار إليها دون تنفيذ مضمون ذلك الإنذار، كان لمجلس إدارة المركز أن يصدر قرارًا مسببًا بمـا يأتي:

١ – الإنذار بإيقاف الترخيص أو التصريح أو الاعتماد جزئيًا أو كليًا لمدة محددة.

٢ – إيقاف الترخيص أو التصريح أو الاعتماد جزئيًا أو كليًا.

٣ – سحب الترخيص أو التصريح أو الاعتماد أو إلغاؤه جزئيًا أو كليًا.

٤ – نشر بيان بالمخالفات التي ثبت وقوعها في وسيلة إعلام أو أكثر واسعة الانتشار على نفقـة المخـالف.
٥ – إخضاع المتحكم أو المعالج للإشراف الفني للمركز لتأمين حماية البيانات الشخصية على نفقتهما بحسب الأحوال.

(الفصل الحادي عشر)
موازنة المركز وموارده المالية

مادة ( ٣١ ):
يكون للمركز موازنة خاصة تعد على نمط موازنات الهيئات الاقتصادية طبقـًا للقواعد التي تحددها لائحة المركز وتتبع قواعد النظام المحاسبي الموحد ، وذلك دون التقيد بالقواعد والنظم الحكومية ، وتبدأ السنة المـالية للمركز مع بداية السنة المـالية للدولة وتنتهي بنهايتها ، كما يكون للمركز حساب خاص لدي البنك المركزي تودع فيه موارده ، ويجوز له إنشاء حساب باسمه لدي أحـــد البنـــوك التجـــارية بعد موافقــة وزير المـالية ، ويرحل الفـــائض من موازنة المركز من سنة مالية إلي أخري ، ويتم الصرف من موارده وفقًا للائحته المـالية وذلك في المجالات التي يحددها مجلس إدارته ، وتتكون موارده من الآتي :

١ – ما يخصص له من موازنة هيئة تنمية صناعة تكنولوجيا المعلومات.

٢ – ما يخصص له من الخزانة العامة بما لا يقل عن ثلث حصيلة الغرامات المقضي بها تطبيقًا لأحكام هذا القانون.

٣ – مقابل الخدمات التي يقوم المركز بتقديمها.

٤ – قيمة رسوم ومقابل التراخيص والتصــاريح والاعتمادات التي يتم إصدارها وقيمة التصالحات التي يتم قبولها.

٥ – عائد استثمار أموال المركز.

٦ – ما يقبله مجلس الإدارة من المنح والتبرعات والهبات.

(الفصل الثاني عشر)
الطلبات والشكاوى

أولا: الطلبات

مادة ( ٣٢ ):
يجــوز للشخص المعني بالبيانات ولكل ذي صفة أن يتقــدم إلى أي حائز أو متحكم أو معالج بطلب يتعلق بممارسة حقوقه المنصوص عليها في هذا القانون، ويلتزم المقدم إليه الطلب بالرد عليه خلال ستة أيام عمل من تاريخ تقديمه إليه.

ثانيا: الشكاوى

مادة ( ٣٣ ):
مع عدم الإخلال بالحق في اللجوء إلى القضاء، يكون للشخص المعني بالبيانات ولكل ذي صفة ومصلحة مباشرة حق الشكوى في الحالات الآتية:
١ – انتهاك حق حماية البيانات الشخصية أو الإخلال به.

٢ – الامتناع عن تمكين الشخص المعني بالبيانات من استيفاء حقوقه.

٣ – القرارات الصـــادرة عن المسـئــول عن حمــاية البيانات الشخصيـــة لدي المعــالج أو المتحكم بشأن الطلبات المقدمة إليه.

وتقدم الشكوى إلى المركز، وله في ذلك اتخاذ ما يلزم من إجــراءات التحقيق، وعليه أن يصدر قراره خلال ثلاثين يوم عمل من تاريخ تقديمها إليه، على أن يخطر الشاكي والمشكو في حقه بالقرار. ويلتزم المشكو في حقه بتنفيذ قرار المركز خلال سبعة أيام عمل من تاريخ إخطاره بـه، وإفادة المركز بمـا تم نحو تنفيذه.

 

(الفصل الثالث عشر)
الضبطية القضائية

مادة ( ٣٤ ):
يكون للعاملين بالمركز الذين يصدر بتحديدهم قرار من وزير العدل بناءً على اقتراح الوزير المختص صفة الضبطية القضائية في إثبات الجرائم التي تقع بالمخالفة لأحكام هذا القانون.

(الفصل الرابع عشر)
الجرائم والعقوبات

مادة ( ٣٥ ):
مع عدم الإخلال بأي عقوبة أشد منصوص عليها في أي قانون آخر، ومع عدم الإخلال بحق المضرور في التعويض، يعاقب على الجرائم المنصوص عليها في المواد التالية بالعقوبات المقررة لها.

مادة ( ٣٦ ):
يعاقب بغرامة لا تقل عن مائة ألف جنيه ولا تجاوز مليون جنيه كل حائز أو متحكم أو معالج جمع أو عالج أو أفشي أو أتاح أو تداول بيانات شخصية معالجة إلكترونيًا بأي وسيلة من الوسائل في غير الأحوال المصرح بها قانونًا أو بدون موافقة الشخص المعني بالبيانات.

وتكون العقوبة الحبس مدة لا تقل عن ستة شهور وبغرامة لا تقل عن مائتي ألف جنيه ولا تجاوز مليوني جنيه، أو بإحدى هاتين العقوبتين، إذا ارتكب ذلك مقابل الحصول على منفعة مادية أو أدبية، أو بقصد تعريض الشخص المعني بالبيانات للخطر أو الضرر.

مادة ( ٣٧ ):
يعاقب بغرامة لا تقل عن مائة ألف جنيه ولا تجاوز مليون جنيه، كل حائز أو متحكم أو معالج امتنع دون مقتض من القانون عن تمكين الشخص المعني بالبيانات من ممارسة حقــوقه المنصوص عليها في المـادة (٢) من هذا القــانون ويعــاقب بغرامة لا تقــل عن مائتي ألف جنيه ولا تجاوز مليوني جنيه كل من جمع بيانات شخصية بدون توافر الشروط المنصوص عليها في المـادة (٣) من هذا القانون.

مادة ( ٣٨ ):
يعاقب بغرامة لا تقل عن ثلاثمائة ألف جنيه ولا تجاوز ثلاثة ملايين جنيه، كل متحكم أو معالج لم يلتزم بواجباته المنصوص عليها في المواد (٤، ٥، ٧) من هذا القانون.

مادة ( ٣٩ ):
يعـــاقب بالغرامة التي لا تقـــل عن مائتي ألف جنيه ولا تجـــاوز مليـــوني جنيـــه، كل ممثل قانوني للشخص الاعتباري لم يلتزم بأحد واجباته المنصوص عليها في المـادة (٨) مـن هـذا القـانون.

مادة ( ٤٠ ):
يعاقب بغرامة لا تقل عن مائتي ألف جنيه ولا تجاوز مليوني جنيه، كل مسئول حمـــاية بيـــانات شخصية لم يلتزم بمقتضيات وظيفته المنـصــوص عليها في المـادة (٩) مـن هـذا القـانون. ويعاقب بغرامة لا تقل عن خمسين ألف جنيه ولا تجاوز خمسمائة ألف جنيه إذا وقعت الجريمة نتيجة لإهمال مسئول حماية البيانات الشخصية.

مادة ( ٤١ ):
يعاقب بالحبس مدة لا تقل عن ثلاثة شهور وبغرامة لا تقل عن خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه، أو بإحدى هاتين العقوبتين، كل حائز أو متحكم أو معالج جمع أو أتاح أو تداول أو عالج أو أفشي أو خزن أو نقل أو حفظ بيانات شخصية حساسة بدون موافقة الشخص المعني بالبيانات أو في غير الأحوال المصرح بها قانونًا.

مادة ( ٤٢ ):
يعاقب بالحبس مدة لا تقل عن ثلاثة شهور وبغرامة لا تقل عن خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه، أو بإحدى هاتين العقوبتين، كل من خالف أحكام حركة البيانات الشخصية عبر الحدود المنصوص عليها في المواد (١٤، ١٥، ١٦) من هذا القانون.

مادة ( ٤٣ ):
يعاقب بغرامة لا تقل عن مائتي ألف جنيه ولا تجاوز مليوني جنيه، كل من خالف أحكام التسويق الإلكتروني المنصوص عليها في المـادتين (١٧، ١٨) من هذا القانون.

مادة ( ٤٤ ):

يعاقب بغرامة لا تقل عن ثلاثمائة ألف جنيه ولا تجاوز ثلاثة ملايين جنيه، كل عضو مجلس إدارة أو أي من العاملين بالمركز خالف الالتزامات المنصوص عليها في المـادة (٢٤) مـن هـذا القـانون.

مادة ( ٤٥ ):
يعاقب بغرامة لا تقل عن خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه، كل من خالف أحكام التراخيص أو التصاريح أو الاعتمادات المنصوص عليها في هذا القانون.

مادة ( ٤٦ ):
يعاقب بالحبس مدة لا تقـــل عن ســتة أشهر وبغرامة لا تقــل عن مــائتي ألف جنيه ولا تجاوز مليوني جنيه، أو بإحدى هاتين العقوبتين، كل من منع أحد العاملين بالمركــز ممن يتمتعون بصفة الضبطية القضائية من أداء عمله.

مادة ( ٤٧ ):
يعاقب المسئول عن الإدارة الفعلية للشخص الاعتباري المخالف بذات العقوبات المقررة عن الأفعال التي ترتكب بالمخالفة لأحكام هذا القانون، إذا ثبت علمه بها، وكان إخلاله بالواجبات التي تفرضها عليه تلك الإدارة قد أسهم في وقوع الجريمة.
ويكون الشخص الاعتباري مسئولاً بالتضامن عن الوفاء بما يحكم به من تعويضات إذا كانت المخالفة قد ارتكبت من أحد العاملين لديه وباسم الشخص الاعتباري ولصالحه.
مادة ( ٤٨ ):
في جميع الأحوال، وفضــلاً عن العقــوبات المنصوص عليها في هذا القـــانون، تقضي المحكمة بنشر حكم الإدانة في جريدتين واسعتي الانتشار، وعلى شبكات المعلومات الإلكترونية المفتوحة على نفقة المحكوم عليه.

وفي حالة العود، تضاعف العقوبات الواردة في هذا الفصل بحديها الأقصى والأدنى.
ويعاقب على الشروع في ارتكاب الجرائم المنصوص عليها في هذا القانون بنصف العقـوبة المقـررة لهـا.

الصلح والتصالح

مادة ( ٤٩ ):
يجوز للمتهم في أي حالة كانت عليها الدعوي الجنائية، وقبل صيرورة الحكم بـاتـًا، إثبات الصلح مع المجني عليه أو وكيله الخاص أو خلفه العام، وبموافقة المركز أمام النيابة العامة أو المحكمة المختصة بحسب الأحوال، وذلك في الجنح المنصوص عليها في المواد (٣٦، ٣٧، ٣٨، ٣٩، ٤٠، ٤١، ٤٣) من هذا القانون.
ويكون التصالح مع المركز في الجنح المنصوص عليها بالمواد (٤٢، ٤٤، ٤٥) من هذا القانون في أي حالة كانت عليها الدعوي.

وفي جميع الأحوال، يجب على المتهم الذي يرغب في التصالح أن يسدد قبل رفع الدعوي الجنائية مبلغًا يعادل نصف الحد الأدنى للغرامة المقررة للجريمة.

ويسدد المتهم راغب التصالح بعد رفع الدعوي وقبل صيرورة الحكم بـاتـًا نصف الحد الأقصى للغرامة المقررة للجريمة، أو قيمة الغرامة المقضي بها أيهما أكبر.
ويكــون الســـداد في خـــزانة المحكمـــة المختصــة أو النيـــابة العــامة أو المركـــز بحســب الأحــوال.
ويترتب على التصالح انقضاء الدعوي الجنائية دون أن يكون له أثر على حقوق المضـرور مـن الجـريمـة.