نشر بالجريدة الرسمية العدد 28
مكرر(ه) بتاريخ 15/ 7/ 2020
قانون رقم 151 لسنة 2020
بإصدار قانون
حماية البيانات الشخصية
باسم الشعب
رئيس الجمهورية
قرر مجلس النواب القانون الآتي نصه ،
وقد أصدرناه :
( المادة الأولي )
يُعمل بأحكام هذا القانون والقانون
المرافق في شأن حماية البيانات الشخصية المعالجة إلكترونيًا جزئيًا أو كليًا لدي أي
حائز أو متحكم أو معالج لها ، وذلك بالنسبة للأشخاص الطبيعيين .
( المادة الثانية )
تسري أحكام هذا القانون والقانون
المرافق له علي كل من ارتكب إحدي الجرائم المنصوص عليها في القانون المرافق متي
كان الجاني من المصريين داخل الجمهورية أو خارجها ، أو كان من غير المصريين
المقيمين داخل الجمهورية ، أو كان من غير المصريين خارج الجمهورية إذا كان الفعل
معاقبًا عليه في الدولة التي وقع فيها تحت أي وصف قانوني وكانت البيانات محل
الجريمة لمصريين أو أجانب مقيمين داخل الجمهورية .
( المادة الثالثة )
لا تسري أحكام القانون المرافق علي ما
يأتي :
1 - البيانات الشخصية التي يحتفظ بها
الأشخاص الطبيعيون للغير ، ويتم معالجتها للاستخدام الشخصي .
2 - البيانات الشخصية التي تتم
معالجتها بغرض الحصول علي البيانات الإحصائية الرسمية أو تطبيقًا لنص قانوني .
3 - البيانات الشخصية التي تتم
معالجتها حصرًا للأغراض الإعلامية بشرط أن تكون صحيحة ودقيقة ، وألا تستخدم في أي
أغراض أخري ، وذلك دون الإخلال بالتشريعات المنظمة للصحافة والإعلام .
4 - البيانات الشخصية المتعلقة بمحاضر
الضبط القضائي والتحقيقات والدعاوي القضائية .
5 - البيانات الشخصية لدي جهات الأمن القومي
، وما تقدره لاعتبارات أخري . ويجب علي المركز ، بناءً علي طلب جهات الأمن القومي
، إخطار المتحكم أو المعالج بتعديل أو محو أو عدم إظهار أو إتاحة أو تداول
البيانات الشخصية ، خلال مدة زمنية محددة ، وفقًا لاعتبارات الأمن القومي ، ويلتزم
المتحكم أو المعالج بتنفيذ ما ورد بالإخطار خلال المدة الزمنية المحددة به .
6 - البيانات الشخصية لدي البنك المركزي
المصري والجهات الخاضعة لرقابته وإشرافه ، عدا شركات تحويل الأموال وشركات الصرافة
، علي أن يراعي في شأنهما القواعد المقررة من البنك المركزي المصري بشأن التعامل
مع البيانات الشخصية .
( المادة الرابعة )
يُصدر الوزير المعني بشئون الاتصالات
وتكنولوجيا المعلومات اللائحة التنفيذية للقانون المرافق خلال ستة أشهر من تاريخ
العمل بهذا القانون .
( المادة الخامسة )
تختص المحاكم الاقتصادية بنظر الجرائم
التي ترتكب بالمخالفة لأحكام القانون المرافق .
( المادة السادسة )
يلتزم المخاطبون بأحكام هذا القانون
بتوفيق أوضاعهم طبقًا لأحكام القانون المرافق ولائحته التنفيذية ، وذلك خلال سنة
من تاريخ صدور هذه اللائحة .
( المادة السابعة )
يُنشر هذا القانون في الجريدة الرسمية
، ويُعمل به بعد مضي ثلاثة أشهر من اليوم التالي لتاريخ نشره .
يُبصم هذا القانون بخاتم الدولة ،
ويُنفذ كقانون من قوانينها .
صدر برئاسة الجمهورية في 22 ذي القعدة
سنة 1441ه
( الموافق 13 يوليه سنة 2020م ) .
عبد الفتاح السيسي
قانون حماية البيانات الشخصية
( الفصل الأول )
التعريفات
مادة ( 1 ) : في تطبيق أحكام هذا
القانون ، يقصد بالكلمات والعبارات التالية المعني المبين قرين كل منها :
البيانات الشخصية : أي بيانات متعلقة
بشخص طبيعي محدد ، أو يمكن تحديده بشكل مباشر أو غير مباشر عن طريق الربط بين هذه
البيانات وأي بيانات أخري كالاسم ، أو الصوت ، أو الصورة ، أو رقم تعريفي ، أو
محدد للهوية عبر الإنترنت ، أو أي بيانات تحدد الهوية النفسية ، أو الصحية ، أو
الاقتصادية ، أو الثقافية ، أو الاجتماعية .
المعالجة : أي عملية إلكترونية أو
تقنية لكتابة البيانات الشخصية ، أو تجميعها ، أو تسجيلها ، أو حفظها ، أو تخزينها
، أو دمجها ، أو عرضها ، أو إرسالها ، أو استقبالها ، أو تداولها ، أو نشرها ، أو
محوها ، أو تغييرها ، أو تعديلها ، أو استرجاعها أو تحليلها وذلك باستخدام أي وسيط
من الوسائط أو الأجهزة الإلكترونية أو التقنية سواء تم ذلك جزئياً أو كليا .
البيانات الشخصية الحساسة : البيانات التي
تفصح عن الصحة النفسية أو العقلية أو البدنية أو الجينية ، أو بيانات القياسات الحيوية
"البيومترية" أو البيانات المالية أو المعتقدات الدينية أو الآراء
السياسية أو الحالة الأمنية ، وفي جميع الأحوال تعد بيانات الأطفال من البيانات
الشخصية الحساسة .
الشخص المعني بالبيانات : أي شخص طبيعي
تنسب إليه بيانات شخصية معالجة إلكترونيًا تدل عليه قانونًا أو فعلاً ، وتمكن من
تمييزه عن غيره .
الحائز : أي شخص طبيعي أو اعتباري ،
يحوز ويحتفظ قانونيًا أو فعليا ببيانات شخصية في أي صورة من الصور ، أو علي أي
وسيلة تخزين سواءً أكان هو المنشئ للبيانات ، أم انتقلت إليه حيازتها بأي صورة .
المتحكم : أي شخص طبيعي أو اعتباري
يكون له بحكم أو طبيعة عمله ، الحق في الحصول علي البيانات الشخصية وتحديد طريقة
وأسلوب ومعايير الاحتفاظ بها ، أو معالجتها والتحكم فيها طبقًا للغرض المحدد أو
نشاطه .
المعالج : أي شخص طبيعي أو اعتباري
مختص بطبيعة عمله ، بمعالجة البيانات الشخصية لصالحه أو لصالح المتحكم بالاتفاق
معه ووفقًا لتعليماته .
إتاحة البيانات الشخصية : كل وسيلة
تحقق اتصال علم الغير بالبيانات الشخصية كالاطلاع أو التداول أو النشر أو النقل أو
الاستخدام أو العرض أو الإرسال أو الاستقبال أو الإفصاح عنها .
أمن البيانات : إجراءات وعمليات تقنية
وتنظيمية من شأنها الحفاظ علي خصوصية البيانات الشخصية وسريتها وسلامتها ووحدتها
وتكاملها فيما بينها . خرق وانتهاك البيانات الشخصية : كل دخول غير مرخص به إلي
بيانات شخصية أو وصول غير مشروع لها ، أو أي عملية غير مشروعة لنسخ أو إرسال أو
توزيع أو تبادل أو نقل أو تداول يهدف إلي الكشف أو الإفصاح عن البيانات الشخصية أو
إتلافها أو تعديلها أثناء تخزينها أو نقلها أو معالجتها .
حركة البيانات الشخصية عبر الحدود :
نقل البيانات أو إتاحتها أو تسجيلها أو تخزينها أو تداولها أو نشرها أو استخدامها
أو عرضها أو إرسالها أو استقبالها أو استرجاعها أو معالجتها ، من داخل النطاق الجغرافي
لجمهورية مصر العربية إلي خارجه أو العكس .
التسويق الإلكتروني : إرسال أي رسالة
أو بيان أو محتوي إعلاني أو تسويقي بأي وسيلة تقنية أيًا كانت طبيعتها أو صورتها
تستهدف بشكل مباشر أو غير مباشر ترويج سلع أو خدمات أو التماسات أو طلبات تجارية
أو سياسية أو اجتماعية أو خيرية موجهة إلي أشخاص بعينهم .
جهات الأمن القومي : رئاسة الجمهورية
ووزارة الدفاع ووزارة الداخلية وجهاز المخابرات العامة وهيئة الرقابة الإدارية .
المركز : مركز حماية البيانات الشخصية
. الترخيص : وثيقة رسمية تصدر عن المركز للشخص الاعتباري تمنحه من خلالها الحق في مزاولة
نشاط جمع البيانات الشخصية الإلكترونية أو تخزينها أو نقلها أو معالجتها أو القيام
بأنشطة التسويق الإلكتروني أو كل ما سبق والتعامل عليها بأي صورة ، وتحدد التزامات
المرخص له وفق القواعد والشروط والإجراءات والمعايير الفنية المحددة باللائحة
التنفيذية لهذا القانون ، وذلك لمدة ثلاث سنوات قابلة للتجديد لمدد أخري .
التصريح : وثيقة رسمية تصدر عن المركز
للشخص الطبيعي أو الاعتباري تمنحه من خلالها الحق في ممارسة نشاط جمع البيانات
الشخصية الإلكترونية أو تخزينها أو نقلها أو معالجتها أو القيام بأنشطة التسويق الإلكتروني
أو كل ما سبق والتعامل عليها بأي صورة ، أو لأداء مهمة أو مهام معينة ، وتحدد هذه
الوثيقة التزامات المصرح له وفق القواعد والشروط والإجراءات والمعايير الفنية
المحددة باللائحة التنفيذية ، لمدة مؤقتة لا تجاوز سنة ، ويجوز تجديدها لأكثر من
مدة .
الاعتماد : شهادة تصدر عن المركز تفيد
أن الشخص الطبيعي أو الاعتباري قد استوفي جميع المتطلبات الفنية والقانونية
والتنظيمية المحددة باللائحة التنفيذية لهذا القانون ويكون بموجبها مؤهلاً لتقديم
الاستشارات في مجال حماية البيانات الشخصية .
الوزير المختص : الوزير المعني بشئون
الاتصالات وتكنولوجيا المعلومات .
( الفصل الثاني )
حقوق الشخص المعني بالبيانات وشروط
جمع ومعالجة البيانات
مادة ( 2 ) : لا يجوز جمع البيانات
الشخصية أو معالجتها أو الإفصاح عنها أو إفشائها بأي وسيلة من الوسائل إلا بموافقة
صريحة من الشخص المعني بالبيانات ، أو في الأحوال المصرح بها قانونًا . ويكون
للشخص المعني بالبيانات الحقوق الآتية :
1 - العلم بالبيانات الشخصية الخاصة
به الموجودة لدي أي حائز أو متحكم أو معالج والاطلاع عليها والوصول إليها أو
الحصول عليها .
2 - العدول عن الموافقة المسبقة علي
الاحتفاظ ببياناته الشخصية أو معالجتها .
3 - التصحيح أو التعديل أو المحو أو
الإضافة أو التحديث للبيانات الشخصية .
4 - تخصيص المعالجة في نطاق محدد .
5
- العلم والمعرفة بأي خرق أو انتهاك لبياناته الشخصية .
6 - الاعتراض علي معالجة البيانات
الشخصية أو نتائجها متي تعارضت مع الحقوق والحريات الأساسية للشخص المعني
بالبيانات . وباستثناء البند (5) من الفقرة السابقة ، يؤدي الشخص المعني بالبيانات
مقابل تكلفة الخدمة المقدمة إليه من المتحكم أو المعالج فيما يخص ممارسته لحقوقه ،
ويتولي المركز إصدار قرارات تحديد هذا المقابل بما لا يجاوز عشرين ألف جنيه .
مادة ( 3 ) : يجب لجمع البيانات
الشخصية ومعالجتها والاحتفاظ بها ، توافر الشروط الآتية :
1 - أن تجمع البيانات الشخصية لأغراض
مشروعة ومحددة ومعلنة للشخص المعني .
2 - أن تكون صحيحة وسليمة ومؤمنة .
3 - أن تعالج بطريقة مشروعة وملائمة
للأغراض التي تم تجميعها من أجلها .
4 - ألا يتم الاحتفاظ بها لدة أطول من
المدة اللازمة للوفاء بالغرض المحدد لها . وتحدد اللائحة التنفيذية لهذا القانون
السياسات والإجراءات والضوابط والمعايير القياسية للجمع والمعالجة والحفظ والتأمين
لهذه البيانات .
( الفصل الثالث )
التزامات المتحكم والمعالج
أولاً : التزامات المتحكم
مادة ( 4 ) : مع مراعاة أحكام المادة
(12) من هذا القانون ، يلتزم المتحكم بما يأتي :
1 - الحصول علي البيانات الشخصية أو
تلقيها من الحائز أو من الجهات المختصة بتزويده بها بحسب الأحوال بعد موافقة الشخص
المعني بالبيانات ، أو في الأحوال المصرح بها قانونا .
2 - التأكد من صحة البيانات الشخصية
واتفاقها وكفايتها مع الغرض المحدد لجمعها .
3 - وضع طريقة وأسلوب ومعايير
المعالجة طبقا للغرض المحدد ، ما لم يقرر تفويض المعالج في ذلك بموجب تعاقد مكتوب
.
4 - التأكد من انطباق الغرض المحدد من
جمع البيانات الشخصية لأغراض معالجتها .
5 - القيام بعمل أو الامتناع عن عمل يكون
من شأنه إتاحة البيانات الشخصية إلا في الأحوال المصرح بها قانونًا .
6 - اتخاذ جميع الإجراءات التقنية والتنظيمية
وتطبيق المعايير القياسية اللازمة لحماية البيانات الشخصية وتأمينها حفاظا علي سريتها
، وعدم اختراقها أو إتلافها أو تغييرها أو العبث بها قِبَل أي إجراء غير مشروع .
7 - محو البيانات الشخصية لديه فور
انقضاء الغرض المحدد منها ، أما في حال الاحتفاظ بها لأي سبب من الأسباب المشروعة
بعد انتهاء الغرض ، فيجب ألا تبقي في صورة تسمح بتحديد الشخص المعني بالبيانات .
8 - تصحيح أي خطأ بالبيانات الشخصية
فور إبلاغه أو علمه به .
9 - إمساك سجل خاص للبيانات ، علي أن يتضمن
وصف فئات البيانات الشخصية لديه ، وتحديد من سيفصح لهم عن هذه البيانات أو يتيحها
لهم وسنده والمدد الزمنية وقيودها ونطاقها وآليات محو البيانات الشخصية لديه أو
تعديلها وأي بيانات أخري متعلقة بنقل تلك البيانات الشخصية عبر الحدود ووصف
الإجراءات التقنية والتنظيمية الخاصة بأمن البيانات .
10 - الحصول علي ترخيص أو تصريح من
المركز للتعامل مع البيانات الشخصية .
11 - يلتزم المتحكم خارج جمهورية مصر
العربية بتعيين ممثل له في جمهورية مصر العربية وذلك علي النحو الذي تبينه اللائحة
التنفيذية .
12 - توفير الإمكانيات اللازمة لإثبات
التزامه بتطبيق أحكام هذا القانون وتمكين المركز من التفتيش والرقابة للتأكد من
ذلك . وفي حال وجود أكثر من متحكم يلتزم كل منهم بجميع الالتزامات المنصوص عليها
في هذا القانون ، وللشخص المعني ممارسة حقوقه تجاه كل متحكم علي حدة .
وتحدد اللائحة التنفيذية لهذا القانون
السياسات والإجراءات والضوابط والمعايير الفنية لتلك الالتزامات .
ثانيا : التزامات المعالج
مادة ( 5 ) : مع مراعاة أحكام المادة
(12) من هذا القانون ، يلتزم معالج البيانات الشخصية بما يأتي :
1 - إجراء المعالجة وتنفيذها طبقا
للقواعد المنظمة لذلك بهذا القانون ولائحته التنفيذية ووفقًا للحالات المشروعة
والقانونية وبناءً علي التعليمات المكتوبة الواردة إليه من المركز أو المتحكم أو
من أي ذي صفة بحسب الأحوال ، وبصفة خاصة فيما يتعلق بنطاق عملية المعالجة وموضوعها
وطبيعتها ونوع البيانات الشخصية واتفاقها وكفايتها مع الغرض المحدد له .
2 - أن تكون أغراض المعالجة وممارستها
مشروعة ، ولا تخالف النظام العام أو الآداب العامة .
3 - عدم تجاوز الغرض المحدد للمعالجة
ومدتها ، ويجب إخطار المتحكم أو الشخص المعني بالبيانات أو كل ذي صفة ، بحسب
الأحوال ، بالمدة اللازمة للمعالجة .
4 - محو البيانات الشخصية بانقضاء مدة
المعالجة أو تسليمها للمتحكم .
5 - القيام بعمل أو الامتناع عن عمل يكون
من شأنه إتاحة البيانات الشخصية أو نتائج المعالجة إلا في الأحوال المصرح بها
قانونًا .
6 - عدم إجراء أي معالجة للبيانات
الشخصية تتعارض مع غرض المتحكم فيها أو نشاطه إلا إذا كان ذلك بغرض إحصائي أو تعليمي
ولا يهدف للربح ودون الإخلال بحرمة الحياة الخاصة .
7 - حماية وتأمين عملية المعالجة
والوسائط والأجهزة الإلكترونية المستخدمة في ذلك وما عليها من بيانات شخصية .
8 - عدم إلحاق أي ضرر بالشخص المعني بالبيانات
بشكل مباشر أو غير مباشر .
9 - إعداد سجل خاص بعمليات المعالجة
لديه ، علي أن يتضمن فئات المعالجة التي يجريها نيابة عن أي متحكم وبيانات الاتصال
به ومسئول حماية البيانات لديه ، والمدد الزمنية للمعالجة وقيودها ونطاقها وآليات
محو البيانات الشخصية لديه أو تعديلها ، ووصفًا للإجراءات التقنية والتنظيمية
الخاصة بأمن البيانات وعمليات المعالجة .
10 - توفير الإمكانيات لإثبات التزامه
بتطبيق أحكام هذا القانون عند طلب المتحكم وتمكين المركز من التفتيش والرقابة
للتأكد من التزامه بذلك .
11 - الحصول علي ترخيص أو تصريح من
المركز للتعامل علي البيانات الشخصية .
12 - يلتزم المعالج خارج جمهورية مصر
العربية بتعيين ممثل له في جمهورية مصر العربية وذلك علي النحو الذي تبينه اللائحة
التنفيذية . وفي حال وجود أكثر من معالج ، يلتزم كل منهم بجميع الالتزامات المنصوص
عليها في هذا القانون وذلك في حال عدم وجود عقد يحدد التزامات ومسئوليات كل منهم
بوضوح .
وتحدد اللائحة التنفيذية لهذا القانون
السياسات والإجراءات والضوابط والشروط والتعليمات والمعايير القياسية لتلك
الالتزامات .
ثالثا : شروط المعالجة
مادة ( 6 ) : تعد المعالجة الإلكترونية
مشروعة وقانونية في حال توفر أي من الحالات الآتية :
1 - موافقة الشخص المعني بالبيانات علي
إجراء المعالجة من أجل تحقيق غرض محدد أو أكثر .
2 - أن تكون المعالجة لازمة وضرورية
تنفيذًا لالتزام تعاقدي أو تصرف قانوني أو لإبرام عقد لصالح الشخص المعني بالبيانات
، أو لمباشرة أي من إجراءات المطالبة بالحقوق القانونية له أو الدفاع عنها .
3 - تنفيذ التزام ينظمه القانون أو
أمر من جهات التحقيق المختصة أو بناءً علي حكم قضائي .
4 - تمكين المتحكم من القيام
بالتزاماته أو أي ذي صفة من ممارسة حقوقه المشروعة ، ما لم يتعارض ذلك مع الحقوق
والحريات الأساسية للشخص المعني بالبيانات .
رابعا : الالتزام بالإخطار والإبلاغ
مادة ( 7 ) : يلتزم كل من المتحكم
والمعالج بحسب الأحوال حال علمه بوجود خرق أو انتهاك للبيانات الشخصية لديه بإبلاغ
المركز خلال اثنتين وسبعين ساعة ، وفي حال كان هذا الخرق أو الانتهاك متعلقًا
باعتبارات حماية الأمن القومي فيكون الإبلاغ فوريا ، وعلي المركز وفي جميع الأحوال
إخطار جهات الأمن القومي بالواقعة فورًا ، كما يلتزم بموافاة المركز خلال اثنتين
وسبعين ساعة من تاريخ علمه بما يأتي :
1 - وصف طبيعة الخرق أو الانتهاك ،
وصورته وأسبابه والعدد التقريبي للبيانات الشخصية وسجلاتها .
2 - بيانات مسئول حماية البيانات
الشخصية لديه .
3 - الآثار المحتملة لحادث الخرق أو
الانتهاك .
4 - وصف الإجراءات المتخذة والمقترح
تنفيذها لمواجهة هذا الخرق أو الانتهاك والتقليل من آثاره السلبية .
5 - توثيق أي خرق أو انتهاك للبيانات
الشخصية ، والإجراءات التصحيحية المتخذة لمواجهته .
6 - أي وثائق أو معلومات أو بيانات يطلبها
المركز . وفي جميع الأحوال يجب علي المتحكم والمعالج ، بحسب الأحوال ، إخطار الشخص
المعني بالبيانات خلال ثلاثة أيام عمل من تاريخ الإبلاغ وما تم اتخاذه من إجراءات
. وتحدد اللائحة التنفيذية لهذا القانون الإجراءات الخاصة بالإبلاغ والإخطار .
( الفصل الرابع )
مسئول حماية البيانات الشخصية
أولاً : تعيين مسئول حماية البيانات
الشخصية
مادة ( 8 ) : ينشأ بالمركز سجل لقيد
مسئولي حماية البيانات الشخصية ، وتحدد اللائحة التنفيذية لهذا القانون شروط القيد
وإجراءاته وآليات التسجيل . ويلتزم الممثل القانوني للشخص الاعتباري لأي متحكم أو
معالج بأن يعين داخل كيانه القانوني وهيكله الوظيفي موظفًا مختصًا مسئولاً عن حماية
البيانات الشخصية ، وذلك بقيده في سجل مسئولي حماية البيانات الشخصية بالمركز ، ويعلن
عن ذلك . ويكون الشخص الطبيعي المتحكم أو المعالج هو المسئول عن تطبيق أحكام هذا
القانون . ثانيا : التزامات مسئول حماية البيانات الشخصية
مادة ( 9 ) : يكون مسئول حماية البيانات
الشخصية مسئولاً عن تنفيذ أحكام القانون ولائحته التنفيذية وقرارات المركز ،
ومراقبة الإجراءات المعمول بها داخل كيانه الإشراف عليها ، وتلقي الطلبات المتعلقة
بالبيانات الشخصية وفقا لأحكام هذا القانون .
ويلتزم علي الأخص بالآتي :
1 - إجراء التقييم والفحص الدوري لنظم
حماية البيانات الشخصية ومنع اختراقها ، وتوثيق نتائج التقييم وإصدار التوصيات
اللازمة لحمايتها .
2 - العمل كنقطة اتصال مباشرة مع
المركز وتنفيذ قراراته ، فيما يخص تطبيق أحكام هذا القانون .
3 - تمكين الشخص المعني بالبيانات من
ممارسة حقوقه المنصوص عليها في هذا القانون .
4 - إخطار المركز في حال وجود أي خرق
أو انتهاك للبيانات الشخصية لديه .
5 - الرد علي الطلبات المقدمة من
الشخص المعني بالبيانات أو كل ذي صفة ، والرد علي المركز في التظلمات المقدمة إليه
من أي منهما وفقا لأحكام هذا القانون .
6 - متابعة القيد والتحديث لسجل البيانات
الشخصية لدي المتحكم أو سجل عمليات المعالجة لدي المعالج ، بما يكفل ضمان دقة البيانات
والمعلومات المقيدة به .
7 - إزالة أي مخالفات متعلقة بالبيانات
الشخصية داخل كيانه ، واتخاذ الإجراءات التصحيحية حيالها .
8 - تنظيم البرامج التدريبية اللازمة
لموظفي كيانه ، لتأهيلهم بما يتناسب مع متطلبات هذا القانون . وتحدد اللائحة التنفيذية
لهذا القانون الالتزامات والإجراءات والمهام الأخرى التي يجب علي مسئول حماية البيانات
الشخصية القيام بها .
( الفصل الخامس ) إجراءات إتاحة البيانات
الشخصية
مادة ( 10 ) : يلتزم كل من المتحكم
والمعالج والحائز عند طلب إتاحة البيانات الشخصية بالإجراءات الآتية :
1 - أن يكون بناءً علي طلب كتابي يقدم
إليه من ذي صفة أو وفقًا لسند قانوني .
2 - التحقق من توافر المستندات
اللازمة لتنفيذ الإتاحة والاحتفاظ بها .
3 - البت في الطلب ومستنداته خلال ستة
أيام عمل من تاريخ تقديمه إليه ، وعند صدور قرار بالرفض يجب أن يكون الرفض مسببًا
، ويعتبر مضي المدة المشار إليها دون رد في حكم الرفض .
مادة ( 11 ) : يكون للدليل الرقمي
المستمد من البيانات الشخصية طبقًا لأحكام هذا القانون ذات الحجية في الإثبات
المقررة للأدلة المستمدة من البيانات والمعلومات الخطية متي استوفت المعايير
والشروط الفنية الواردة باللائحة التنفيذية لهذا القانون .
( الفصل السادس ) البيانات الشخصية
الحساسة
مادة ( 12 ) : يحظر علي المتحكم أو
المعالج سواء كان شخصًا طبيعيا أو اعتباريًا جمع بيانات شخصية حساسة أو نقلها أو
تخزينها أو حفظها أو معالجتها أو إتاحتها إلا بترخيص من المركز .
وفيما عدا الأحوال المصرح بها قانونًا
، يلزم الحصول علي موافقة كتابية وصريحة من الشخص المعني .
وفي حالة إجراء أي عملية مما ذكر
تتعلق ببيانات الأطفال ، يلزم موافقة ولي الأمر . ويجب ألا تكون مشاركة الطفل في لعبة
أو مسابقة أو أي نشاط آخر مشروطة بتقديم بيانات شخصية للطفل تزيد علي ما هو ضروري
للمشاركة في ذلك .
وذلك كله وفقًا للمعايير والضوابط التي
تحددها اللائحة التنفيذية لهذا القانون .
مادة ( 13) : بالإضافة إلي الالتزامات
الواردة بالمادة (9) من هذا القانون ، يلتزم مسئول حماية البيانات الشخصية وتابعوه
لدي المتحكم أو المعالج باتباع واستيفاء السياسات والإجراءات التأمينية اللازمة
لعدم خرق البيانات الشخصية الحساسة أو انتهاكها .
( الفصل السابع ) البيانات الشخصية
عبر الحدود
مادة ( 14 ) : يحظر إجراء عمليات نقل
للبيانات الشخصية التي تم جمعها أو تجهيزها للمعالجة إلي دولة أجنبية أو تخزينها
أو مشاركتها إلا بتوافر مستوي من الحماية لا يقل عن المستوي المنصوص عليه في هذا
القانون ، وبترخيص أو تصريح من المركز . وتحدد اللائحة التنفيذية لهذا القانون السياسات
والمعايير والضوابط والقواعد اللازمة لنقل أو تخزين أو مشاركة أو معالجة أو إتاحة
البيانات الشخصية عبر الحدود وحمايتها .
مادة ( 15 ) : استثناءً من حكم المادة
(14) من هذا القانون ، يجوز في حالة الموافقة الصريحة للشخص المعني بالبيانات أو
من ينوب عنه نقل أو مشاركة أو تداول أو معالجة البيانات الشخصية إلي دولة لا يتوافر
فيها مستوي الحماية المشار إليها في المادة السابقة ، وذلك في الحالات الآتية :
1- المحافظة علي حياة الشخص المعني
بالبيانات ، وتوفير الرعاية الطبية أو العلاج أو إدارة الخدمات الصحية له .
2 - تنفيذ التزامات بما يضمن إثبات حق
أو ممارسته أمام جهات العدالة أو الدفاع عنه .
3 - إبرام عقد ، أو تنفيذ عقد مبرم
بالفعل ، أو سيتم إبرامه بين المسئول عن المعالجة والغير ، وذلك لمصلحة الشخص
المعني بالبيانات .
4 - تنفيذ إجراء خاص بتعاون قضائي دولي
.
5 - وجود ضرورة أو إلزام قانوني
لحماية المصلحة العامة . 6 - إجراء تحويلات نقدية إلي دولة أخري وفقًا لتشريعاتها
المحددة والسارية .
7 - إذا كان النقل أو التداول يتم
تنفيذًا لاتفاق دولي ثنائي أو متعدد الأطراف تكون جمهورية مصر العربية طرفًا فيه .
مادة ( 16 ) : يجوز للمتحكم أو
المعالج ، بحسب الأحوال ، إتاحة البيانات الشخصية لمتحكم أو معالج آخر خارج
جمهورية مصر العربية بترخيص من المركز متي توافرت الشروط الآتية :
1 - اتفاق طبيعة عمل كل من المتحكمين
أو المعالجين ، أو وحدة الغرض الذي يحصلان بموجبه علي البيانات الشخصية .
2 - توافر المصلحة المشروعة لدي كل من
المتحكمين أو المعالجين للبيانات الشخصية أو لدي الشخص المعني بالبيانات .
3 - ألا يقل مستوي الحماية القانونية
والتقنية للبيانات الشخصية لدي المتحكم أو المعالج الموجودة بالخارج عن المستوي
المتوافر في جمهورية مصر العربية .
وتحدد اللائحة التنفيذية لهذا القانون
الاشتراطات والإجراءات والاحتياطات والمعايير والقواعد اللازمة لذلك .
( الفصل الثامن ) التسويق الإلكتروني
المباشر
مادة ( 17 ) : يحظر إجراء أي اتصال
إلكتروني بغرض التسويق المباشر للشخص المعني بالبيانات ، إلا بتوافر الشروط الآتية
:
1 - الحصول علي موافقة من الشخص المعني
بالبيانات .
2 - أن يتضمن الاتصال هوية منشئه
ومرسله .
3 - أن يكون للمرسل عنوان صحيح وكاف
للوصول إليه .
4 - الإشارة إلي أن الاتصال الإلكتروني
مرسل لأغراض التسويق المباشر .
5 - وضع آليات واضحة وميسرة لتمكين
الشخص المعني بالبيانات من رفض الاتصال الإلكتروني أو العدول عن موافقته علي
إرسالها .
مادة ( 18 ) : يلتزم المرسل لأي اتصال
إلكتروني بغرض التسويق المباشر بالالتزامات الآتية : 1 - الغرض التسويقي المحدد .
2 - عدم الإفصاح عن بيانات الاتصال
للشخص المعني بالبيانات .
3 - الاحتفاظ بسجلات إلكترونية مثبت
بها موافقة الشخص المعني بالبيانات وتعديلاتها ، أو عدم اعتراضه علي استمراره ،
بشأن تلقي الاتصال الإلكتروني التسويقي وذلك لمدة ثلاث سنوات من تاريخ آخر إرسال .
وتحدد اللائحة التنفيذية لهذا القانون
القواعد والشروط والضوابط المتعلقة بالتسويق الإلكتروني المباشر .
( الفصل التاسع ) مركز حماية البيانات
الشخصية
مادة ( 19 ) : تنشأ هيئة عامة
اقتصادية تسمي «مركز حماية البيانات الشخصية» ، تتبع الوزير المختص ، وتكون لها
الشخصية الاعتبارية ، ويكون مقرها الرئيس محافظة القاهرة أو إحدى المحافظات
المجاورة لها ، وتهدف إلي حماية البيانات الشخصية وتنظيم معالجتها وإتاحتها ، ولها
في سبيل تحقيق أهدافها أن تباشر جميع الاختصاصات المنصوص عليها بهذا القانون ،
ولها علي الأخص الآتي :
وضع وتطوير السياسات والخطط
الاستراتيجية والبرامج اللازمة لحماية البيانات الشخصية ، والقيام علي تنفيذها .
توحيد سياسات وخطط حماية ومعالجة
البيانات الشخصية داخل الجمهورية .
وضع وتطبيق القرارات والضوابط
والتدابير والإجراءات والمعايير الخاصة بحماية البيانات الشخصية .
وضع إطار إرشادي لمدونات السلوك
الخاصة بحماية البيانات الشخصية ، واعتماد مدونات السلوك الخاصة بحماية البيانات
الشخصية بالجهات المختلفة .
التنسيق والتعاون مع جميع الجهات
والأجهزة الحكومية وغير الحكومية في ضمان إجراءات حماية البيانات الشخصية ،
والتواصل مع جميع المبادرات ذات الصلة .
دعم تطوير كفاءة الكوادر البشرية
العاملة في جميع الجهات الحكومية وغير الحكومية القائمة علي حماية البيانات
الشخصية .
إصدار التراخيص أو التصاريح
والموافقات والتدابير المختلفة المتعلقة بحماية البيانات الشخصية وتطبيق أحكام هذا
القانون .
اعتماد الجهات والأفراد ، ومنحهم
التصاريح اللازمة التي تتيح لهم تقديم الاستشارات في إجراءات حماية البيانات
الشخصية .
تلقي الشكاوي والبلاغات المتعلقة
بأحكام هذا القانون ، وإصدار القرارات اللازمة في شأنها .
إبداء الرأي في مشروعات القوانين
والاتفاقيات الدولية التي تنظم البيانات الشخصية أو تتعلق أو تنعكس نصوصها بصورة
مباشرة أو غير مباشرة عليها .
الرقابة والتفتيش علي المخاطبين
بأحكام هذا القانون ، واتخاذ الإجراءات القانونية اللازمة .
التحقق من شروط حركة البيانات عبر
الحدود ، واتخاذ القرارات المنظمة لها .
تنظيم المؤتمرات وورش العمل والدورات
التدريبية والتثقيفية ، وإصدار المطبوعات لنشر الوعي والتثقيف للأفراد والجهات حول
حقوقهم فيما يتعلق بالتعامل علي البيانات الشخصية .
تقديم جميع أنواع الخبرة والاستشارات
المتعلقة بحماية البيانات الشخصية ، وعلي الأخص لجهات التحقيق والجهات القضائية .
إبرام الاتفاقيات ومذكرات التفاهم
والتنسيق والتعاون وتبادل الخبرات مع الجهات الدولية ذات الصلة بعمل المركز وفقًا
للقواعد والإجراءات المقررة في هذا الشأن .
إصدار الدوريات الخاصة بتحديث إجراءات
الحماية بما يتوافق مع أنشطة القطاعات المختلفة وتوصيات المركز في شأنها .
إعداد وإصدار تقرير سنوي عن حالة
حماية البيانات الشخصية في جمهورية مصر العربية .
مادة ( 20 ) : يكون للمركز مجلس إدارة
، يشكل برئاسة الوزير المختص ، وعضوية كل من :
1 - ممثل عن وزارة الدفاع يختاره وزير
الدفاع .
2 - ممثل عن وزارة الداخلية يختاره
وزير الداخلية .
3 - ممثل عن جهاز المخابرات العامة
يختاره رئيس الجهاز .
4 - ممثل عن هيئة الرقابة الإدارية
يختاره رئيس الهيئة .
5 - ممثل عن هيئة تنمية صناعة
تكنولوجيا المعلومات يختاره رئيس مجلس إدارة الهيئة .
6 - ممثل عن الجهاز القومي لتنظيم
الاتصالات يختاره رئيس مجلس إدارة الجهاز .
7 - الرئيس التنفيذي للمركز .
8 - ثلاثة من ذوي الخبرة يختارهم
الوزير المختص . وتكون مدة عضوية مجلس الإدارة ثلاث سنوات قابلة للتجديد ، ويصدر
بتشكيله ، وتحديد المعاملة المالية لأعضائه قرار من رئيس مجلس الوزراء .
ولمجلس الإدارة أن يشكل من بين أعضائه
لجنة أو أكثر يعهد إليها بصفة مؤقتة ببعض المهام ، وللمجلس أن يفوض رئيس مجلس
الإدارة أو الرئيس التنفيذي للمركز في بعض اختصاصاته .
مادة ( 21 ) : مجلس إدارة المركز هو
السلطة المهيمنة علي شئونه ومباشرة اختصاصاته ، وله أن يتخذ ما يراه لازما من
قرارات لتحقيق أغراض المركز والقانون ولائحته التنفيذية وله على الأخص ما يأتي :
إقرار السياسات والخطط الاستراتيجية
والبرامج اللازمة لحماية البيانات الشخصية .
اعتماد اللوائح والضوابط والتدابير
والمعايير الخاصة بحماية البيانات الشخصية . اعتماد خطط التعاون الدولي وتبادل
الخبرات مع الجهات والمنظمات الدولية .
اعتماد الهيكل التنظيمي واللوائح
المالية والإدارية والموارد البشرية والموازنة السنوية للمركز .
الموافقة علي إنشاء مكاتب أو فروع
للمركز علي مستوي الجمهورية .
قبول المنح والتبرعات والهبات اللازمة
لتحقيق أغراض المركز بعد الحصول علي الموافقات المتطلبة قانونًا .
مادة ( 22 ) : يجتمع مجلس إدارة
المركز بدعوة من رئيسه مرة علي الأقل كل شهر ، وكلما دعت الحاجة لذلك ، ويكون اجتماعه
صحيحًا بحضور أغلبية أعضائه ، وتصدر قراراته بأغلبية ثلثي أصوات الأعضاء الحاضرين
، وللرئيس أن يدعو من يري لحضور الاجتماع دون أن يكون له صوت معدود .
مادة ( 23 ) : يكون للمركز رئيس تنفيذي
، يصدر بتعيينه وتحديد معاملته المالية قرار من رئيس مجلس الوزراء بناءً علي
اقتراح الوزير المختص لمدة أربع سنوات قابلة للتجديد لمرة واحدة .
ويكون مسئولاً أمام مجلس الإدارة عن
سير أعمال المركز فنيا وإداريا وماليا ، ويمثله في صلاته بالغير وأمام القضاء وله
علي الأخص ما يأتي :
1 - الإشراف علي تنفيذ قرارات مجلس
الإدارة .
2 - إدارة المركز والإشراف علي سير
العمل به ، وتصريف شئونه .
3 - عرض تقارير دورية علي مجلس
الإدارة عن نشاط المركز وسير العمل به وما تم إنجازه وفقًا للأهداف والخطط
والبرامج الموضوعة ، وتحديد معوقات الأداء ، والحلول المقترحة لتفاديها .
4 - ممارسة الاختصاصات الأخرى التي
تحددها لوائح المركز .
5 - اتخاذ كل ما يلزم لإنفاذ جميع
مهام المركز واختصاصاته الواردة في المادة (21) من هذا القانون . ويعاون الرئيس
التنفيذي في مباشرة اختصاصاته عدد كاف من الخبراء والفنيين والإداريين وفقًا
للهيكل التنظيمي للمركز .
مادة ( 24 ) : يحظر علي أعضاء مجلس
إدارة المركز والعاملين به ، إفشاء أي وثائق أو مستندات أو بيانات تتعلق بالحالات
التي يقوم المركز برقابتها أو فحصها أو التي يتم تقديمها أو تداولها أثناء فحص أو
إصدار القرارات الخاصة بها ، ويظل هذا الالتزام قائمًا بعد انتهاء العلاقة بالمركز
.
وفي جميع الأحوال ، لا يجوز الإفصاح
عن المعلومات والوثائق والمستندات والبيانات المشار إليها في هذه المادة إلا
لسلطات التحقيق والجهات والهيئات القضائية .
مادة ( 25 ) : للمركز بالتنسيق مع
السلطات المختصة التعاون مع نظرائه بالبلاد الأجنبية وذلك في إطار اتفاقيات
التعاون الدولية والإقليمية والثنائية أو بروتوكولات التعاون المصدق عليها أو
تطبيقًا لمبدأ المعاملة بالمثل بما من شأنه حماية البيانات الشخصية والتحقق من مدي
الامتثال للقانون من قبل المتحكمين والمعالجين خارج الجمهورية ، ويعمل المركز علي
تبادل البيانات والمعلومات بما من شأنه أن يكفل حماية البيانات الشخصية وعدم
انتهاكها والمساعدة في التحقيق في الانتهاكات والجرائم ذات الصلة وتتبع مرتكبيها .
( الفصل العاشر ) التراخيص والتصاريح
والاعتمادات
أولاً : أنواع التراخيص والتصاريح
والاعتمادات
مادة ( 26 ) : يصدر المركز التراخيص
أو التصاريح أو الاعتمادات علي النحو الآتي :
1 - يقوم المركز بتصنيف التراخيص
والتصاريح والاعتمادات وتحديد أنواعها ، ووضع الشروط الخاصة بمنح كل نوع منها ،
وذلك وفقًا لما تحدده اللائحة التنفيذية لهذا القانون .
2 - إصدار الترخيص أو التصريح للمتحكم
أو المعالج لإجراء عمليات حفظ البيانات ، والتعامل عليها ومعالجتها وفقًا لأحكام
هذا القانون .
3 - إصدار التراخيص أو التصاريح
الخاصة بالتسويق الإلكتروني المباشر .
4 - إصدار التراخيص أو التصاريح
الخاصة بالمعالجات التي تقوم بها الجمعيات أو النقابات أو النوادي للبيانات
الشخصية لأعضاء تلك الجهات وفي إطار أنشطتها .
5 - إصدار التراخيص أو التصاريح
الخاصة بوسائل المراقبة البصرية في الأماكن العامة .
6 - إصدار التراخيص أو التصاريح
الخاصة بالتحكم ومعالجة البيانات الشخصية الحساسة .
7 - إصدار التصاريح والاعتمادات
الخاصة بالجهات والأفراد التي تتيح لهم تقديم الاستشارات في إجراءات حماية
البيانات الشخصية ، وإجراءات الامتثال لها .
8 - إصدار التراخيص والتصاريح الخاصة
بنقل البيانات الشخصية عبر الحدود .
وتحدد اللائحة التنفيذية لهذا القانون
أنواع هذه التراخيص والتصاريح والاعتمادات وفئاتها ومستوياتها ، وإجراءات وشروط
إصدارها وتجديدها ونماذجها المستخدمة ، وذلك بمقابل رسوم لا تتجاوز مليوني جنيه
بالنسبة للترخيص ، ومبلغ لا يتجاوز خمسمائة ألف جنيه للتصريح أو الاعتماد .
ثانيا : إجراءات إصدار التراخيص
والتصاريح والاعتمادات
مادة ( 27 ) : تقدم طلبات التراخيص
والتصاريح والاعتمادات علي النماذج التي يضعها المركز مشفوعة بجميع المستندات
والمعلومات التي يحددها ، مع تقديم ما يثبت قدرة المتقدم المالية وقدرته علي توفير
وتنفيذ المتطلبات والمعايير الفنية المقررة ، ويبت في الطلب خلال مدة لا تجاوز
تسعين يومًا من تاريخ استيفائه لجميع المستندات والمعلومات وإلا اعتبر الطلب
مرفوضًا . ويجوز للمركز طلب بيانات أو وثائق أو مستندات أخري للبت في الطلب ، كما
يكون له الحق في طلب توفير ضمانات إضافية لحماية البيانات الشخصية إذا تبين عدم
كفاية الحماية المبينة بالمستندات المقدمة إليه .
كما يجوز للمتحكم أو المعالج الحصول
علي أكثر من ترخيص أو تصريح وفقًا لنوعية البيانات الشخصية المتعامل عليها .
ثالثا : تعديل شروط التراخيص
والتصاريح
مادة ( 28 ) : يجوز للمركز ، وفقًا
لاعتبارات المصلحة العامة ، تعديل شروط الترخيص أو التصريح بعد إصداره في أي من
الحالات الآتية :
1 - الاستجابة إلي الاتفاقيات الدولية
أو الإقليمية أو القوانين الوطنية ذات الصلة .
2 - بناءً علي طلب المرخص له .
3 - اندماج المتحكم أو المعالج مع
آخرين داخل جمهورية مصر العربية أو خارجها .
4 - إذا كان التعديل ضروريًا لتحقيق
أهداف هذا القانون .
رابعا : إلغاء التراخيص والتصاريح
والاعتمادات
مادة ( 29 ) : يجوز للمركز إلغاء
الترخيص أو التصريح أو الاعتماد بعد إصداره في أي من الحالات الآتية :
1 - مخالفة شروط الترخيص أو التصريح
أو الاعتماد .
2 - عدم سداد رسوم تجديد الترخيص أو
التصريح أو الاعتماد
3 - تكرار عدم الامتثال لقرارات
المركز .
4 - التنازل عن الترخيص أو التصريح أو
الاعتماد للغير دون موافقة المركز .
5 - صدور حكم بإفلاس المتحكم أو
المعالج .
خامسا : الجزاءات الإدارية
مادة ( 30 ) : مع عدم الإخلال بأحكام
المسئولية المدنية والجنائية ، يقوم الرئيس التنفيذي للمركز ، في حال ارتكاب أي
مخالفة لأحكام هذا القانون بإنذار المخالف بالتوقف عن المخالفة وإزالة أسبابها أو
آثارها خلال فترة زمنية يحددها ، فإذا انقضت المدة المشار إليها دون تنفيذ مضمون
ذلك الإنذار ، كان لمجلس إدارة المركز أن يصدر قرارًا مسببًا بما يأتي :
1 - الإنذار بإيقاف الترخيص أو
التصريح أو الاعتماد جزئيًا أو كليًا لمدة محددة .
2 - إيقاف الترخيص أو التصريح أو
الاعتماد جزئيًا أو كليًا
3 - سحب الترخيص أو التصريح أو
الاعتماد أو إلغاؤه جزئيًا أو كليًا . 4 - نشر بيان بالمخالفات التي ثبت وقوعها في
وسيلة إعلام أو أكثر واسعة الانتشار علي نفقة المخالف . 5 - إخضاع المتحكم أو
المعالج للإشراف الفني للمركز لتأمين حماية البيانات الشخصية علي نفقتهما بحسب
الأحوال .
( الفصل الحادي عشر ) موازنة المركز
وموارده المالية
مادة ( 31 ) : يكون للمركز موازنة
خاصة تعد علي نمط موازنات الهيئات الاقتصادية طبقا للقواعد التي تحددها لائحة
المركز وتتبع قواعد النظام المحاسبي الموحد ، وذلك دون التقيد بالقواعد والنظم
الحكومية ، وتبدأ السنة المالية للمركز مع بداية السنة المالية للدولة وتنتهي
بنهايتها ، كما يكون للمركز حساب خاص لدي البنك المركزي تودع فيه موارده ، ويجوز
له إنشاء حساب باسمه لدي أحد البنوك التجارية بعد موافقة وزير المالية ، ويرحل
الفائض من موازنة المركز من سنة مالية إلي أخري ، ويتم الصرف من موارده وفقًا
للائحته المالية وذلك في المجالات التي يحددها مجلس إدارته ، وتتكون موارده من
الآتي :
1 - ما يخصص له من موازنة هيئة تنمية
صناعة تكنولوجيا المعلومات .
2 - ما يخصص له من الخزانة العامة بما
لا يقل عن ثلث حصيلة الغرامات المقضي بها تطبيقًا لأحكام هذا القانون .
3 - مقابل الخدمات التي يقوم المركز
بتقديمها
4 - قيمة رسوم ومقابل التراخيص
والتصاريح والاعتمادات التي يتم إصدارها وقيمة التصالحات التي يتم قبولها .
5 - عائد استثمار أموال المركز .
6 - ما يقبله مجلس الإدارة من المنح
والتبرعات والهبات .
( الفصل الثاني عشر ) الطلبات
والشكاوي
أولاً : الطلبات
مادة ( 32 ) : يجوز للشخص المعني
بالبيانات ولكل ذي صفة أن يتقدم إلي أي حائز أو متحكم أو معالج بطلب يتعلق بممارسة
حقوقه المنصوص عليها في هذا القانون ، ويلتزم المقدم إليه الطلب بالرد عليه خلال
ستة أيام عمل من تاريخ تقديمه إليه .
ثانيا : الشكاوي
مادة ( 33 ) : مع عدم الإخلال بالحق
في اللجوء إلي القضاء ، يكون للشخص المعني بالبيانات ولكل ذي صفة ومصلحة مباشرة حق
الشكوى في الحالات الآتية :
1 - انتهاك حق حماية البيانات الشخصية
أو الإخلال به .
2 - الامتناع عن تمكين الشخص المعني
بالبيانات من استيفاء حقوقه .
3 - القرارات الصادرة عن المسئول عن
حماية البيانات الشخصية لدي المعالج أو المتحكم بشأن الطلبات المقدمة إليه .
وتقدم الشكوى إلي المركز ، وله في ذلك
اتخاذ ما يلزم من إجراءات التحقيق ، وعليه أن يصدر قراره خلال ثلاثين يوم عمل من
تاريخ تقديمها إليه ، علي أن يخطر الشاكي والمشكو في حقه بالقرار .
ويلتزم المشكو في حقه بتنفيذ قرار
المركز خلال سبعة أيام عمل من تاريخ إخطاره به ، وإفادة المركز بما تم نحو تنفيذه
.
( الفصل الثالث عشر ) الضبطية
القضائية
مادة ( 34 ) : يكون للعاملين بالمركز
الذين يصدر بتحديدهم قرار من وزير العدل بناءً علي اقتراح الوزير المختص صفة الضبطية
القضائية في إثبات الجرائم التي تقع بالمخالفة لأحكام هذا القانون .
( الفصل الرابع عشر ) الجرائم
والعقوبات
مادة ( 35 ) : مع عدم الإخلال بأي
عقوبة أشد منصوص عليها في أي قانون آخر ، ومع عدم الإخلال بحق المضرور في التعويض
، يعاقب علي الجرائم المنصوص عليها في المواد التالية بالعقوبات المقررة لها .
مادة ( 36 ) : يعاقب بغرامة لا تقل عن
مائة ألف جنيه ولا تجاوز مليون جنيه كل حائز أو متحكم أو معالج جمع أو عالج أو أفشي
أو أتاح أو تداول بيانات شخصية معالجة إلكترونيًا بأي وسيلة من الوسائل في غير
الأحوال المصرح بها قانونًا أو بدون موافقة الشخص المعني بالبيانات .
وتكون العقوبة الحبس مدة لا تقل عن
ستة شهور وبغرامة لا تقل عن مائتي ألف جنيه ولا تجاوز مليوني جنيه ، أو بإحدى
هاتين العقوبتين ، إذا ارتكب ذلك مقابل الحصول علي منفعة مادية أو أدبية ، أو بقصد
تعريض الشخص المعني بالبيانات للخطر أو الضرر .
مادة ( 37 ) : يعاقب بغرامة لا تقل عن
مائة ألف جنيه ولا تجاوز مليون جنيه ، كل حائز أو متحكم أو معالج امتنع دون مقتض
من القانون عن تمكين الشخص المعني بالبيانات من ممارسة حقوقه المنصوص عليها في المادة
(2) من هذا القانون ويعاقب بغرامة لا تقل عن مائتي ألف جنيه ولا تجاوز مليوني جنيه
كل من جمع بيانات شخصية بدون توافر الشروط المنصوص عليها في المادة (3) من هذا
القانون .
مادة ( 38 ) : يعاقب بغرامة لا تقل عن
ثلاثمائة ألف جنيه ولا تجاوز ثلاثة ملايين جنيه ، كل متحكم أو معالج لم يلتزم
بواجباته المنصوص عليها في المواد (4، 5، 7) من هذا القانون .
مادة ( 39 ) : يعاقب بالغرامة التي لا
تقل عن مائتي ألف جنيه ولا تجاوز مليوني جنيه ، كل ممثل قانوني للشخص الاعتباري لم
يلتزم بأحد واجباته المنصوص عليها في المادة (8) من هذا القانون .
مادة ( 40 ) : يعاقب بغرامة لا تقل عن
مائتي ألف جنيه ولا تجاوز مليوني جنيه ، كل مسئول حماية بيانات شخصية لم يلتزم
بمقتضيات وظيفته المنصوص عليها في المادة (9) من هذا القانون . ويعاقب بغرامة لا
تقل عن خمسين ألف جنيه ولا تجاوز خمسمائة ألف جنيه إذا وقعت الجريمة نتيجة لإهمال
مسئول حماية البيانات الشخصية .
مادة ( 41 ) : يعاقب بالحبس مدة لا
تقل عن ثلاثة شهور وبغرامة لا تقل عن خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه
، أو بإحدى هاتين العقوبتين ، كل حائز أو متحكم أو معالج جمع أو أتاح أو تداول أو
عالج أو أفشي أو خزن أو نقل أو حفظ بيانات شخصية حساسة بدون موافقة الشخص المعني
بالبيانات أو في غير الأحوال المصرح بها قانونًا .
مادة ( 42 ) : يعاقب بالحبس مدة لا
تقل عن ثلاثة شهور وبغرامة لا تقل عن خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه
، أو بإحدى هاتين العقوبتين ، كل من خالف أحكام حركة البيانات الشخصية عبر الحدود
المنصوص عليها في المواد (14، 15، 16) من هذا القانون .
مادة ( 43 ) : يعاقب بغرامة لا تقل عن
مائتي ألف جنيه ولا تجاوز مليوني جنيه ، كل من خالف أحكام التسويق الإلكتروني
المنصوص عليها في المادتين (17، 18) من هذا القانون .
مادة ( 44 ) : يعاقب بغرامة لا تقل عن
ثلاثمائة ألف جنيه ولا تجاوز ثلاثة ملايين جنيه ، كل عضو مجلس إدارة أو أي من
العاملين بالمركز خالف الالتزامات المنصوص عليها في المادة (24) من هذا القانون .
مادة ( 45 ) : يعاقب بغرامة لا تقل عن
خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه ، كل من خالف أحكام التراخيص أو
التصاريح أو الاعتمادات المنصوص عليها في هذا القانون .
مادة ( 46 ) : يعاقب بالحبس مدة لا
تقل عن ستة أشهر وبغرامة لا تقل عن مائتي ألف جنيه ولا تجاوز مليوني جنيه ، أو بإحدى
هاتين العقوبتين ، كل من منع أحد العاملين بالمركز ممن يتمتعون بصفة الضبطية
القضائية من أداء عمله .
مادة ( 47 ) : يعاقب المسئول عن
الإدارة الفعلية للشخص الاعتباري المخالف بذات العقوبات المقررة عن الأفعال التي
ترتكب بالمخالفة لأحكام هذا القانون ، إذا ثبت علمه بها ، وكان إخلاله بالواجبات
التي تفرضها عليه تلك الإدارة قد أسهم في وقوع الجريمة .
ويكون الشخص الاعتباري مسئولاً
بالتضامن عن الوفاء بما يحكم به من تعويضات إذا كانت المخالفة قد ارتكبت من أحد
العاملين لديه وباسم الشخص الاعتباري ولصالحه .
مادة ( 48 ) : في جميع الأحوال ،
وفضلاً عن العقوبات المنصوص عليها في هذا القانون ، تقضي المحكمة بنشر حكم الإدانة
في جريدتين واسعتي الانتشار ، وعلي شبكات المعلومات الإلكترونية المفتوحة علي نفقة
المحكوم عليه .
وفي حالة العود ، تضاعف العقوبات
الواردة في هذا الفصل بحديها الأقصى والأدنى .
ويعاقب علي الشروع في ارتكاب الجرائم
المنصوص عليها في هذا القانون بنصف العقوبة المقررة لها .
الصلح والتصالح
مادة ( 49 ) : يجوز للمتهم في أي حالة
كانت عليها الدعوي الجنائية ، وقبل صيرورة الحكم باتا ، إثبات الصلح مع المجني
عليه أو وكيله الخاص أو خلفه العام ، وبموافقة المركز أمام النيابة العامة أو
المحكمة المختصة بحسب الأحوال ، وذلك في الجنح المنصوص عليها في المواد (36، 37،
38، 39، 40، 41، 43) من هذا القانون .
ويكون التصالح مع المركز في الجنح
المنصوص عليها بالمواد (42، 44، 45) من هذا القانون في أي حالة كانت عليها الدعوى
.
وفي جميع الأحوال ، يجب علي المتهم
الذي يرغب في التصالح أن يسدد قبل رفع الدعوي الجنائية مبلغًا يعادل نصف الحد الأدنى
للغرامة المقررة للجريمة .
ويسدد المتهم راغب التصالح بعد رفع
الدعوي وقبل صيرورة الحكم باتا نصف الحد الأقصى للغرامة المقررة للجريمة ، أو قيمة
الغرامة المقضي بها أيهما أكبر .
ويكون السداد في خزانة المحكمة
المختصة أو النيابة العامة أو المركز بحسب الأحوال .
ويترتب علي التصالح انقضاء الدعوي
الجنائية دون أن يكون له أثر علي حقوق المضرور من الجريمة
.