تحيا مصر تنشر تقرير إصدار قانون حماية البيانات الشخصية

ينظر مجلس النواب، برئاسة الدكتور علي عبد العال، في جلساته العامة الأسبوع المقبل، تقرير اللجنة المشتركة من لجنة الاتصالات وتكنولوجيا المعلومات، ومكاتب لجان الشئون الدستورية والتشريعية، الخطة والموازنة والدفاع والأمن القومي، عن مشروع القانون المقدم من الحكومة بشأن إصدار قانون حماية البيانات الشخصية، ومشروع قانون مُقدم من النائب أشرف عمارة و(60) نائباً أخرين أكثر من عُشر عدد أعضاء المجلس.

ورأت اللجنة أن مشروع القانون جاء متوخياً الأهداف الآتية:
• ضمان مستوى مناسب من الحماية القانونية والتقنية للبيانات الشخصية المعالجة إلكترونياً.
• وضع آليات كفيلة بالتصدي للأخطار الناجمة عن استخدام البيانات الشخصية للمواطنين، ومكافحة انتهاك خصوصيتهم.
• تطبيق إطار معياري يتواكب مع التشريعات الدولية لحماية البيانات الشخصية للأفراد، وحرياتهم، واحترام خصوصيتهم.
• صياغة التزامات على كل من المتحكم في البيانات، ومعالج البيانات باعتبارهما من العناصر الفاعلة في مجالات التعامل في البيانات الشخصية، سواء عن طريق الجمع أو النقل أو التبادل أو التخزين أو التحليل أو المعالجة باي صورة من الصور.
• إلزام المؤسسات والجهات والأفراد المتحكمين في البيانات الشخصية، والمعالجين لها بتعيين مسئول لحماية البيانات الشخصية داخل مؤسساتهم وجهاتهم، بما يسمح بضمان خصوصية بيانات الأفراد، واقتضاء حقوقهم المنصوص عليها في هذا القانون.
• تقنين وتنظيم أنشطة استخدام البيانات الشخصية في عمليات الإعلان والتسويق على الانترنت، وفى البيئة الرقمية بشكل عام.
• وضع إطار إجرائي لتنظيم عمليات نقل البيانات عبر الحدود وضمان حماية بيانات المواطنين وعدم نقلها أو مشاركتها مع دول لا تتمتع فيها البيانات بالحماية.
• تنظيم العمليات المعالجة إلكترونية للبيانات الشخصية، وإصدار تراخيص لمن يقوم بها، وعلى الأخص فيما يتعلق بالبيانات الشخصية الحساسة "ذات الطابع الخاص".
• إنشاء مركز حماية البيانات الشخصية كهيئة عامة يكون مختصاً بتنظيم والإشراف على تنفيذ أحكام القانون.

ثانيًا ـــ أهم الأحكام التي تضمنها مشروع القانون المعروض:
انتظم مشروع القانون كما ورد من الحكومة في ست مواد إصدار وتسعة وأربعون مادة قانون على النحو التالي:
(أ‌) مواد الإصدار:
المادة الأولى: من قانون الإصدار حددت نطاق سريان القانون.
المادة الثانية: من مواد الإصدار تضمنت الاستثناءات الواردة على نطاق سريان القانون.
المادة الثالثة: تنص على اختصاص وزير الاتصالات وتكنولوجيا المعلومات بإصدار اللائحة التنفيذية.
المادة الرابعة: اختصت المحاكم الاقتصادية بنظر المنازعات المتعلقة بأى جرائم أو أي شكوى متعلقة بالبيانات الشخصية.
المادة الخامسة: ألزمت المخاطبين بأحكام هذا القانون بتوفيق أوضاعهم خلال سنة من تاريخ صدور اللائحة التنفيذية.
المادة السادسة: وهي المادة المتعلقة بنشر القانون في الجريدة الرسمية والعمل به بعد مُضي ثلاثة أشهر من اليوم التالي لتاريخ نشره.

(ب‌) مواد مشروع القانون:
يحتوي على تسعة وأربعون مادة، تندرج تحت أربعة عشرة باب أساسية، وتجرى أحكامه على النحو الآتي:
- الباب الأول تضمن المادة (1) التعريف بالمصطلحات الواردة بالقانون؛ تفادياً للخلاف حول المقصود منها.
- وتضمن الباب الثاني بالمادتين (3،2) حقوق الشخص المعنى بالبيانات، وشروط جمع ومعالجة البيانات الشخصية والاحتفاظ بها.
- وأشار الباب الثالث بالمواد (7،6،5،4) إلى التزامات المتحكم والمعالج، وشروط المعالجة والالتزام بالإخطار والإبلاغ.
- ونظم الباب الرابع بالمادتين (9،8) أحكام تعيين مسئول حماية البيانات الشخصية والتزاماته.
- ونظم الباب الخامس بالمادتين (11،10) إجراءات إتاحة البيانات الشخصية، وحجية الدليل الرقمي في الإثبات.
- وتضمن الباب السادس بالمادتين (12.،13) أحكام حركة البيانات الشخصية الحساسة.
- ونظم الباب السابع في المواد (16،15،14) أحكام حركة البيانات الشخصية عبر الحدود.
- وجاء الباب الثامن بالمادتين (18،17) لينظم أحكام التسويق الإلكتروني المباشر.
- ونظم الباب التاسع إنشاء وأحكام واختصاصات مركز حماية البيانات الشخصية بالمواد (24،23،22،21،20،19).
- وتضمن الباب العاشر أنواع التراخيص والتصاريح وإجراءات إصدارهم وتعديل شروطهم وإلغائهم والجزاءات الإدارية بالمواد (25 ،29،28،27،26).
- ونظم الباب الحادي عشر موازنة مركز حماية البيانات الشخصية وموارده المالية بالمادة (30).
- وتضمن الباب الثاني عشر أحكام تقديم الطلبات والشكاوى بالمادتين (32،31).
- ونظم الباب الثالث عشر الضبطية القضائية بالمادة (33).
- ونظم الباب الرابع عشر بالمواد من (34 – 49) أحكام الجرائم والعقوبات والصلح والتصالح عليها.
ثالثاً ـ القواعد الدستورية، الحاكمة لمشروع القانون:
أ‌- الدستور:
نص في مادته (28) على أن:
الأنشطة الاقتصادية الإنتاجية والخدمية والمعلوماتية مقاومات أساسية للاقتصاد الوطني، وتلتزم الدولة بحمايتها، وزيادة تنافسيتها، وتوفير المُناخ الجاذب للاستثمار، وتعمل علي زيادة الإنتاج، وتشجيع التصدير، وتنظيم الاستيراد.
وتولي الدولة اهتماماً خاصاً بالمشروعات المتوسطة والصغيرة ومتناهية الصغر في كافة المجالات وتعمل على تنظيم القطاع غير الرسمي وتأهيله.
نص في مادته (31) على أن:
أمن الفضاء المعلوماتي جزء أساسي من منظومة الاقتصاد والأمن القومي، وتلتزم الدولة باتخاذ التدابير اللازمة للحفاظ عليه، على النحو الذي ينظمه القانون.
نص في مادته (57) على أن:
للحياة الخاصة حرمة وهي مصونة لا تُمس.
وللمراسلات البريدية، والبرقية، والالكترونية، والمحادثات الهاتفية، وغيرها من وسائل الاتصال حرمة، وسريتها مكفولة، ولا تجوز مصادرتها أو الاطلاع، أو رقابتها إلا بأمر قضائى مسبب، ولمدة محددة، وفى الأحوال التي يبينها القانون.
كما تلتزم الدولة بحماية حق المواطنين في استخدام وسائل الاتصال العامة بكافة اشكالها، ولا يجوز تعطيلها او وقفها أو حرمان المواطنين منها، بشكل تعسفى، وينظم القانون ذلك.

رابعاً ـ مراجعة مجلس الدولة لمشروع القانون المعروض (*):
عرض مشروع القانون المرافق على قسم التشريع بمجلس الدولة، وقد كان للقسم ما ارتآه من ملاحظات شكلية وموضوعية على مواد مشروع القانون بما تستقيم معها أحكامه على الأسس القانونية السليمة وهو ما أخذته اللجنة بعين الاعتبار بتلافيها لكافة الملاحظات الواردة من مجلس الدولة.
خامساً ـ أهم التعديلات التي أدخلتها اللجنة على مشروع القانون:
بعد أن أجرت اللجنة مناقشات مستفيضة حول مواد مشروع القانون المعروض، فقد ارتأت اللجنة إدخال بعض التعديلات عليه، أهمها:
• مواد الإصدار:
أدخلت اللجنة بعض التعديلات على المادة الأولى وذلك على النحو التالى:
تمت إعادة صياغة الفقرة الأولى من المادة وإضافة بندين لها ليصبح نصها كالأتى:
يُعمل بأحكام هذا القانون والقانون المرافق في شأن حماية البيانات الشخصية:
1- أى بيانات شخصية تتم معالجتها إلكترونياً جزئياً أو كلياً لدى أي حائز أو متحكم أو معالج لها داخل جمهورية مصر العربية سواء كانت المعالجة داخل أو خارج جمهورية مصر العربية.
2- معالجة البيانات الشخصية بالنسبة للأشخاص الطبيعيين المصريين والأجانب المقيمين داخل جمهورية مصر العربية متى كانت المعالجة تستهدف تقديم سلع أو منتجات أو خدمات سواء بمقابل مادى أو مجانية لهؤلاء الأشخاص أو تستهدف تحديد سلوكهم في البيئة الرقمية.
- أدخلت اللجنة تعديل على المادة الثانية بالبند (5) إضافة عبارة عدم (إظهار أو إتاحة أو تداول) البيانات الشخصية.
- وافقت اللجنة على إضافة بند جديد برقم (6) الى نص المادة الثانية من مواد الإصدار بناء على الخطاب الوارد من السيد محافظ البنك المركزى المصرى، ونصه الأتى :
" البيانات الشخصية لدى البنك المركزى المصرى والجهات الخاضعة لإشرافه".

• مواد مشروع القانون:
جاءت أبرز التعديلات التي أدخلتها اللجنة على مشروع القانون على النحو التالى:-
الباب الأول (التعريفات)
مادة(1)
- إضافة عبارة ومنها على سبيل المثال إلى تعريف البيانات الشخصية.
- تمت إعادة صياغة تعريف البيانات الشخصية الحساسة ليصبح: بيانات الصحة النفسية أو العقلية أو البدنية أو الجينية، أو بيانات القياسات الحيوية "البيومترية" أو البيانات المالية أو المعتقدات الدينية أو الآراء السياسية أو الحالة الأمنية، وفى جميع الأحوال تُعد بيانات الأطفال من البيانات الشخصية الحساسة.
- تمت إعادة صياغة تعريف الحائز ليصبح: أي شخص طبيعي، يحوز ويحتفظ قانونياً أو فعلياً ببيانات شخصية في أي صورة من الصور، أو على أية وسيلة تخزين سواءً أكان هو المنشئ للبيانات، أو انتقلت إليه حيازتها بأية صورة.
- تمت إعادة صياغة تعريف المعالـج ليصبح: أي شخص طبيعي أو اعتباري يختص بطبيعة عمله، بمعالجة البيانات الشخصية لصالح المتحكم وبالاتفاق معه ووفقًا لتعليماته.
- استبدال عبارة الاعتباريين تمنحهم بعبارة الإعتبارية تمنحهم من خلال إلى تعريف الترخيـــــص.
- استبدال كلمة تمنحهم بعبارة تمنحه من خلالها، واستبدال عبارة لمدد أخري بعبارة لأكثر من مدة إلى تعريف التصريح.

الباب الثانى (حقوق الشخص المعني بالبيانات)
- تمت تعديل مسمى الباب الثانى بإضافة وشروط جمع ومعالجة البيانات.
مادة (2)
- إضافة بند جديد برقم (6) ونصه " الاعتراض على معالجة البيانات الشخصية أو نتائجها متى تعارضت مع الحقوق والحريات الأساسية للشخص المعني بالبيانات".
- إضافة عبارة وفى جميع الأحوال تنظم اللائحة التنفيذية الشروط والإجراءات اللازمة لممارسة الشخص المعني لحقوقه فى نهاية المادة.
مادة (3)
بند (2) من المادة إضافة كلمة (ومؤمنة).




الباب الثالث التزامات المتحكم والمعالج (التزامات المتحكم)
مادة (4)
- بند (3) من المادة إضافة عبارة "بموجب تعاقد مكتوب" في نهاية البند.
وكذلك استحداث بندين 11 ، 12 ونصهما كالأتى:
بند (11) " يلتزم المتحكم خارج جمهورية مصر العربية وفقا للبند (2) من المادة الأولى من مواد قانون الإصدار بتعيين ممثلاً له في جمهورية مصر العربية يتم التعامل معه من قبل المركز أو الشخص المعنى بالبيانات لأغراض ضمان الامتثال لهذا القانون ".
بند (12) " توفير الإمكانيات اللازمة لإثبات التزامه بتطبيق أحكام هذا القانون وتمكين المركز من التفتيش والرقابة للتأكد من ذلك ".
- استبدال عبارة "وللشخص المعنى ممارسة حقوقه تجاه كل متحكم على حده" بعبارة "وذلك في حال عدم وجود عقد يُحدد التزامات ومسئوليات كل منهم بوضوح" في الفقرة قبل الأخيرة من المادة المشار إليها.

مادة (5) (التزامات المعالج)
- إعادة ترتيب البنود استحداث بند جديد برقم (5) ونصه الأتى " عدم إشراك معالج أخر دون إذن كتابى مسبق من المتحكم".
- بند (7) والذى أصله في مشروع القانون بند (6) تم إعادة صياغته ليصبح " عدم إجراء أية معالجة للبيانات الشخصية تتعارض مع غرض أو نشاط المتحكم فيها. إلا إذا كانت البيانات الشخصية لغرض إحصائي أو تعليمي أو لا يهدف للربح ودون الإخلال بحرمة الحياة الخاصة وفي جميع الاحوال يجب أن تكون تلك البيانات مجهلة.
- استحداث بند جديد برقم (13) ونصه الأتى "يلتزم المعالج خارج جمهورية مصر العربية وفقا للبند (2) من المادة الأولى من مواد قانون الإصدار بتعيين ممثلاً له في جمهورية مصر العربية يتم التعامل معه من قبل المركز أو الشخص المعنى بالبيانات لأغراض ضمان الامتثال لهذا القانون".
- تم إعادة صياغة الفقرة قبل الأخيرة لتصبح كالأتى " وفي حال وجود أكثر من معالج يلتزم كل منهم فضلا عن الالتزامات المنصوص عليها في العقود المبرمة بينهم بكافة الالتزامات المنصوص عليها في هذا القانون".

مادة (6) (شروط المعالجة)
استحداث إضافة بند جديد برقم (5) ونصه الأتى" أن تكون المعالجة ضرورية لحماية المصالح الحيوية للشخص المعنى بالبيانات أو لأجل المصلحة العامة".

مادة (7) (الالتزام بالإخطار والابلاغ)
- تمت تعديل مسمى المادة بإضافة عبارة "عن خرق وانتهاك البيانات الشخصية"
- تم إضافة عبارة "مؤثر علي" واستبدال عبارة "من تاريخ علمه" بعبارة "تاريخ الإبلاغ" إلى الفقرة الأولى.
- بند (5) استبدال عبارة "الخرق أو الانتهاك" بعبارة "أي خرق أو انتهاك".
- تم إعادة صياغة الفقرة قبل الأخيرة لتصبح " ويجب على المتحكم والمعالج بحسب الأحوال، إخطار الشخص المعنى بالبيانات متى كان الخرق أو الانتهاك مؤثراً على مصالحه وحقوقه الأساسية وذلك خلال عشرة أيام عمل من تاريخ الإبلاغ وما تم اتخاذه من إجراءات".
"وتحدد اللائحة التنفيذية لهذا القانون القواعد والإجراءات الخاصة بالإبلاغ والإخطار".

الباب الرابع مسئول حماية البيانات الشخصية (تعيين مسئول حماية البيانات الشخصية)
مادة (8)
تم إعادة صياغة المادة لتصبح كما يلى: يلتزم الممثل القانوني للشخص الاعتباري، لأي متحكم أو معالج بما يلي:
1- تعيين موظف مختص مسئول عن حماية البيانات الشخصية داخل كيانه القانوني وهيكله الوظيفي بما يضمن استقلاليته وعدم التأثير على قراراته المتعلقة بالتزاماته الواردة في المادة رقم (9).
2- قيد الموظف المسئول عن حماية البيانات الشخصية في سجل مسئولي حماية البيانات الشخصية بالمركز، والإعلان عن ذلك.
3- توفير الإمكانيات اللازمة لممارسة مسئول حماية البيانات الشخصية اختصاصاته وفقاً لمقتضيات وظيفته.
ويكون الشخص الطبيعي المتحكم أو المعالج هو المسئول عن تطبيق أحكام هذا القانون.
وتحدد اللائحة التنفيذية لهذا القانون قواعد وشروط وإجراءات القيد وآليات التسجيل.

مادة (9) (التزامات مسئول حماية البيانات الشخصية)
- تم استبدال عبارة "عن الإشراف على الامتثال لأحكام" بعبارة "عن تنفيذ أحكام" وإضافة عبارة "ولائحته التنفيذية " في أخر الفقرة الأولى.
- بند (2) إضافة عبارة " والتشاور عند الاقتضاء مع المركز في أي موضوعات تخص حماية البيانات الشخصية أو معالجتها".
- بند (3) إضافة عبارة " العمل على".
- بند (5) إضافة كلمة " متابعة".
- استحداث بند جديد برقم (9) ونصه الاتي "الإشراف على الامتثال لسياسات تأمين البيانات الشخصية".

الباب الخامس (إجراءات إتاحة البيانات الشخصية)
مادة (10)
بند (3) استبدال عبارة " بحد أقصى" بكلمة "خلال".


الباب السادس البيانات الشخصية الحساسة
مادة (12)
- تم إضافة عبارة " أو في الأحوال المصرح بها قانوناً" فى نهاية الفقرة الأولى.
- تم إضافة عبارة " دون سن السادسة عشر" إلى الفقرة الثانية.

مادة (13)
تم إعادة صياغة المادة لتصبح فضلاً عن الألتزامات الواردة بالمادة 9 من هذا القانون "يلتزم مسئول حماية البيانات الشخصية بالإشراف على امتثال المتحكم والمعالج وتابعوهم باستيفاء السياسات والإجراءات التأمينية اللازمة لعدم خرق أو انتهاك البيانات الشخصية الحساسة".

الباب السابع البيانات الشخصية عبر الحدود
مادة (14)
- تم إضافة عبارة "أو تخزين" بالفقرتين الأولى والثانية.



الباب الثامن التسويق الإلكتروني المباشر
مادة (17)
بند (1) تم إضافة عبارة " أو إذا كان الاتصال الإلكتروني يتسق مع غرض ونشاط المتحكم في التسويق لمنتجاته وخدماته وذلك دون الإخلال بمصالح وحقوق الشخص المعنى بالبيانات".
مادة (18)
- بند (3) إضافة عبارة " أو عدم اعتراضه على استمراره " وكلمة "وذلك".
- إضافة فقرة أخيرة إلى المادة نصها " وتحدد اللائحة التنفيذية القواعد والشروط والضوابط المتعلقة بالتسويق الإلكتروني المباشر".
الباب التاسع مركز حماية البيانات الشخصية
مادة (19)
- إضافة عبارة " ويكون مقرها محافظة الجيزة ويجوز لها إنشاء فروع في كافة المحافظات" إلى الفقرة الأولى.
- استحداث بند جديد برقم (8) ونصه "إنشاء وتنظيم سجل قيد مسئولي حماية البيانات الشخصية".

مادة (20)
- إعادة ترتيب البنود أرقام (3، 4، 5، 6).
- استحداث بند جديد برقم (8) ونصه "ممثل عن الجهاز القومي لتنظيم الاتصالات يختاره رئيس مجلس إدارة الجهاز".

مادة (21)
إعادة صياغة بند (3) ليصبح كالأتى:
" تفعيل خطط واتفاقيات وبروتوكولات التعاون الدولي المختلفة وتبادل الخبرات مع الجهات والمنظمات الدولية".

استحداث مادة برقم (25) وعنوانها (التعاون الدولى) ونصها كالأتى:
"يقوم مركز حماية البيانات الشخصية بالتنسيق مع السلطات المختصة بالتعاون مع نظرائه بالبلاد الأجنبية في إطار اتفاقيات التعاون الدولية والإقليمية والثنائية أو بروتوكولات التعاون المصدق عليها، أو تطبيقا لمبدأ المعاملة بالمثل، بما من شأنه حماية البيانات الشخصية والتحقق من مدى الامتثال للقانون من قبل المتحكمين والمعالجين خارج الجمهورية ويعمل على تبادل المعلومات بما من شأنه أن يكفل حماية وعدم انتهاك البيانات الشخصية والمساعدة على التحقيق في الجرائم ذات الصلة وتتبع مرتكبيها".


الباب العاشر التراخيص والتصاريح والاعتمادات (أنواع التراخيص والتصاريح والاعتمادات)
مادة (26) أصلها المادة (25)
بند (2) تم إضافة كلمة "وتخزين" وعبارة "أو نقلها أو تداولها أو إتاحتها".
تم إضافة عبارة "خمسة مليون" وكلمة "مليون" في الفقرة الأخيرة.

مادة (27) أصلها المادة (26) (إجراءات إصدار التراخيص والتصاريح والاعتمادات)
تم إضافة عبارة "خمسة مليون" وكلمة "مليون" في الفقرة الأخيرة.

مادة (30) أصلها المادة (29) (الجزاءات الإدارية)
- بند (4) استبدال نص البند ليصبح كالأتى " تقرير غرامة إدارية لا تزيد عن مائتين ألف جنيه مصري".
- استحداث بند جديد برقم (5) ونصه " شطب مسئول حماية البيانات الشخصية من السجل".

الباب الحادي عشر موازنة المركز وموارده المالية
مادة (31) أصلها مادة (30)
- تم إضافة عبارة " المالية والإدارية" في الفقرة الأولي.
- استحداث بند جديد برقم (3) ونصه "حصيلة الغرامات الإدارية".

الباب الرابع عشر الجرائم والعقوبات
رأت اللجنة استحداث مادة جديدة برقم (35) ونصها كالأتى:
"لا يجوز، في غير حالة التلبس بالجريمة، رفع أو تحريك الدعوى الجنائية إلا بناء على طلب الرئيس التنفيذي للمركز في أي من الجرائم المنصوص عليها في هذا القانون".

مادة (37)
تم دمج المادتين (35 و36) من مشروع القانون في المادة (37) وتم إعادة صياغتها لتصبح "يعاقب بغرامة لا تقل عن مائة ألف جنيه ولا تجاوز مليون جنيه كل حائز أو متحكم أو معالج جمع أو عالج أو أفشي أو أتاح أو تداول بيانات شخصية معالجة إلكترونياً بأى وسيلة من الوسائل في غير الأحوال المصرح بها قانوناً أو بدون موافقة الشخص المعنى بالبيانات.
وتكون العقوبة الحبس مدة لا تقل عن ستة شهور وبغرامة لا تقل عن مائتي ألف جنيه ولا تجاوز مليوني جنيه أو بإحدى هاتين العقوبتين إذا أُرتكب ذلك مقابل الحصول على منفعة مادية أو أدبية، أو إذا ترتب على ذلك تعريض الشخص المعني للبيانات للخطر أو الضرر".

مادة (38) أصلها المادة (37)
تم إعادة صياغة المادة لتصبح " يُعاقب بغرامة لا تقل عن مائة ألف جنيه ولا تجاوز مليون جنيه، كل حائز أو متحكم أو معالج امتنع دون مقتضى من القانون عن تمكين الشخص المعني بالبيانات من ممارسة حقوقه المنصوص عليها في المادة (2) من هذا القانون.
ويُعاقب بغرامة لا تقل عن مائتي ألف جنيه ولا تجاوز مليوني جنيه كل من جمع بيانات شخصية دون توفر الشروط المنصوص عليها في المادة (3) من هذا القانون".

مادة (39) أصلها المادة (38)
تم إعادة صياغة المادة لتصبح " يُعاقب بغرامة لا تقل عن ثلاثمائة ألف جنيه ولا تجاوز ثلاثة ملايين جنيه، كل متحكم أو معالج لم يلتزم بواجباته المنصوص عليها في المواد (4، 5، 7) من هذا القانون".

مادة (40) أصلها المادة (39)
تم إعادة صياغة المادة لتصبح " يُعاقب بالغرامة التي لا تقل عن مائتي ألف جنيه ولا تجاوز مليوني جنيه، كل ممثل قانوني للشخص الاعتباري لم يلتزم بإحدى واجباته المنصوص عليها في المادة (8) من هذا القانون.

مادة (41) أصلها المادة (40)
تم إعادة صياغة المادة لتصبح " يُعاقب بغرامة لا تقل عن مائتي ألف جنيه ولا تجاوز مليوني جنيه، كل مسئول حماية بيانات شخصية لم يلتزم بمقتضيات وظيفته المنصوص عليها في المادة (9) من هذا القانون.
ويُعاقب بغرامة لا تقل عن خمسين ألف جنيه ولا تجاوز خمسمائة ألف جنيه إذا وقعت الجريمة نتيجةً لإهمال مسئول حماية البيانات الشخصية.

مادة (42) أصلها المادة (41)
تم استبدال العقوبة التي نصت عليها المادة "يُعاقب بالحبس مدة لا تقل عن ثلاثة شهور وبغرامة لا تقل عن خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه أو بإحدى هاتين العقوبتين"

مادة (43) أصلها المادة (42)
تم استبدال العقوبة التي نصت عليها المادة لتصبح " يُعاقب بالحبس مدة لا تقل عن ثلاثة شهور وبغرامة لا تقل عن خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه أو بإحدى هاتين العقوبتين، كل من خالف أحكام حركة البيانات الشخصية عبر الحدود المنصوص عليها في المواد (14، 15، 16) من هذا القانون".

مادة (44) أصلها المادة (43)
تم استبدال العقوبة التي نصت عليها المادة لتصبح " يُعاقب بغرامة لا تقل عن مائتي ألف جنيه ولا تجاوز مليوني جنيه".

مادة (45) أصلها المادة (44)
تم استبدال العقوبة التي نصت عليها المادة لتصبح " يُعاقب بغرامة لا تقل عن ثلاثمائة ألف جنيه ولا تجاوز ثلاثة ملايين جنيه" بعبارة " يُعاقب بالحبس مدة لا تقل عن ثلاثة أشهر وبغرامة لا تقل عن مائة ألف جنيه".

مادة (46) أصلها المادة (45)
تم استبدال العقوبة التي نصت عليها المادة لتصبح " يُعاقب بغرامة لا تقل عن خمسمائة ألف جنيه ولا تجاوز خمسة ملايين جنيه" بعبارة " يُعاقب بالحبس مدة لا تقل عن سنة وبغرامة لا تقل عن ثلاثمائة ألف جنيه ولا تجاوز ثلاثة ملايين جنيه أو بإحدى هاتين العقوبتين ".





مادة (49) أصلها المادة (48)
- تم إضافة فقرة أولي للمادة نصها " في جميع الأحوال وفضلاً عن العقوبات المنصوص عليها في هذا القانون تقضي المحكمة بنشر حكم الإدانة في جريدتين واسعتي الانتشار، وعلى شبكات المعلومات الإلكترونية المفتوحة علي نفقة المحكوم عليه".
- تم إضافة حرف (و) للفقرة الثانية من المادة لتصبح " وفي حالة العود".

مادة (50) أصلها المادة (49)
تم تعديل أرقام المواد المذكورة في هذه المادة لتصبح "(37، 38، 39، 40، 41، 42، 44)، (43، 45، 46) وذلك نتيجة لاستحداث مادتين على مشروع القانون.