ويعرف مشروع القانون، «البيانات الشخصية» بأنها تلك المتعلقة بشخص طبيعى محدد أو يمكن تحديده بشكل مباشر أو غير مباشر عن طريق الربط بينها وبين بيانات أخرى كالاسم أو الصوت أو الصورة أو رقم تعريفى أو محدد للهوية عبر الإنترنت، أو أى بيانات تحدد الهوية النفسية أو الصحية أو الاقتصادية أو الثقافية أو الاجتماعية، أما «البيانات الحساسة» هى التى تُفصح عن الصحة النفسية أو العقلية أو البدنية أو الجينية، أو البيانات المالية أو الدينية أو الآراء السياسية أو الحالة الأمنية وبيانات الأطفال جزء منها، و«المتحكم» هوالشخص الطبيعى أو الاعتبارى الذى يكون له بحكم عمله الحق فى الحصول على البيانات الشخصية وتحديد طريقة وأسلوب ومعايير الاحتفاظ بها، أو معالجتها والتحكم فيها طبقًا للغرض المحدد أو نشاطه، أما «المعالج» فهو الشخص الطبيعى أو الاعتبارى المختص بطبيعة عمله بمعالجة البيانات الشخصية لصالحه، أو لصالح المتحكم بالاتفاق معه ووفقًا لتعليماته.
وتنص المادة «2» من مشروع القانون على عدم جواز جمع البيانات الشخصية أو معالجتها أو الإفصاح عنها أو إفشائها بأية وسيلة من الوسائل الإ بموافقة صريحة من الشخص المعنى بالبيانات أو فى الأحوال المصرح بها قانونًا، مع التأكيد على حقوق المعنى بالبيانات، ومنها العلم والاطلاع والوصول والحصول على البيانات الشخصية الخاصة به الموجودة لدى أى حائز أو مٌتحكم أو مٌعالج والعدول عن الموافقة المسبقة على الاحتفاظ أو معالجة بياناته الشخصية، والعلم بأى خرق أو انتهاك لبياناته الشخصية.
ويعاقب القانون بالحبس مدة لا تقل عن 3 أشهر وبغرامة لا تقل عن 100 ألف جنيه ولا تجاوز مليون جنيه أو بإحدى هاتين العقوبتين، كل حائز أو متحكم أو معالج امتنع دون مقتضى من القانون عن تمكين الشخص المعنى بالبيانات من ممارسة حقوقه المنصوص عليها بالمادة 2 من هذا القانون، ويعاقب بذات العقوبة كل من جمع بيانات شخصية دون توافر الشروط المنصوص عليها فى المادة «2».
وحظر القانون على «المتحكم أو المعالج» جمع أو نقل أو تخزين أو حفظ أو معالجة بيانات شخصية حساسة أو إتاحتها إلا بترخيص من المركز، مع الإلزام بالحصول على موافقة كتابية من الشخص المعنى، وفى حالة بيانات الأطفال يٌلزم موافقة ولى الأمر، مع التأكيد ألا تكون مشاركة الطفل فى لعبة أو مسابقة أو أى نشاط آخر مشروطة بتقديم بيانات شخصية للطفل تزيد على ما هو ضرورى للمشاركة فى ذلك، وفى هذا الصدد، يلتزم مسؤول حماية البيانات الشخصية وتابعوه باستيفاء السياسيات والإجراءات التأمينية اللازمة لعدم خرق أو انتهاك البيانات الشخصية الحساسة.
كما حظرت المادة «14» إجراء عمليات نقل أو مشاركة البيانات الشخصية التى تم جمعها أو تجهيزها للمعالجة إلى دولة أجنبية إلا بتوفير مستوى من الحماية لا يقل عن المنصوص عليها فى القانون وبترخيص من المركز، وتحدد اللائحة ضوابط ذلك.
واستثناءً من المادة السابقة، أجاز القانون فى مادته «15» حالة الموافقة الصريحة للشخص المعنى بالبيانات أو من ينوب عنه، نقل أو مشاركة أو تداول أو معالجة البيانات الشخصية إلى دولة لا يتوفر فيها مستوى الحماية المنصوص عليه فى المادة السابقة، وذلك فى 7 حالات محددة، تتمثل فى المحافظة على حياة الشخص المعنى بالبيانات وتوفير الرعاية الطبية أو العلاج أو إدارة الخدمات الصحية له، وتنفيذ التزامات بما يضمن إثبات أو ممارسة حق أمام العدالة أو الدفاع عنه، إبرام أو تنفيذ عقدم مبرم أو سيبرم بين المسؤول عن المعالحة والغير لمصلحة الشخص المعنى بالبيانات، تنفيذ إجراء خاص بتعاون قضائى دولى، وجود ضرورة أو إلزام قانونى لحماية المصلحة العامة، إجراء تحويلات نقدية إلى دولة أخرى وفقًا لتشريعاتها المحدودة والسارية، وإذا كان النقل أو التداول يتم تنفيذًا لاتفاق ثنائى أو متعدد الأطراف مصر طرفًا فيه.
وتعاقب نصوص القانون بالحبس وبغرامة لا تقل عن 300 ألف جنيه ولا تجاوز 3 ملايين جنيه، أو بإحدى هاتين العقوبتين كل من خالف أحكام حركة البيانات الشخصية والحدود المنصوص عليها فى المواد 14، و15 من القانون، فيما تحظر المادة «17» إجراء أى اتصال إلكترونى بغرض التسويق المباشر للشخص المعنى بالبيانات إلا بتوافر شروط محددة، منها الحصول على الموافقة المسبقة من الشخص المعنى بالبيانات، وتضمين الاتصال هوية منشئه ومرسله، وأن يكون للمرسل عنوان صحيح كاف للوصول إليه، الإشارة بأن الاتصال الإلكترونى مرسل لأغراض التسويق المباشر، وضع آليات واضحة وميسرة لتمكين الشخص المعنى بالبيانات من رفض الاتصال الإلكترونى أو العدول عن موافقته على إرسالها.
وألزمت المادة «18» المرسل لأى اتصال إلكترونى بغرض التسويق المباشر بالغرض التسويقى المحدد، وعدم الإفصاح عن بيانات الاتصال للشخص المعين بالبيانات، والاحتفاظ بسجلات إلكترونية مثبتًا بها موافقة الشخص المعنى بالبيانات وتعديلاتها بشأن تلقى الاتصالات الإلكترونية التسويقية لمدة 3 سنوات من تاريخ آخر إرسال، ويعاقب بالحبس مدة لا تقل عن 3 أشهر وبغرامة لا تقل عن 100 ألف جنيه ولا تجاوز مليون جنيه أو بإحدى هاتين العقوبتين كل من خالف أحكام التسويق الإلكترونى المنصوص عليه فى المادتين ،17، 18 من هذا القانون.
وألزم القانون «المتحكم» بموافقة الشخص المعنى بالبيانات للحصول على البيانات الشخصية أو تلقيها من الحائز أو من الجهات المختصة بتزويده بها، أو أن تكون فى الأحوال المصرح بها قانونًا، واتخاذ كل الإجراءات وتطبيق المعايير القياسية لحماية وتأمين البيانات الشخصية حفاظًا على سريتها وعدم اختراقها أو إتلافها أو تغييرها أو العبث بها، ومحو البيانات الشخصية فور انقضاء الغرض المحدد منها، أما فى حال الاحتفاظ بها لأى سبب من الأسباب المشروعة فيجب ألا تبقى فى صورة تسمح بتحديد الشخص المعنى بالبيانات، وتصحيح أى خطأ بالبيانات الشخصية فور إبلاغه أو علمه بها، فى المقابل وضع التزامات على «المعالج»، ويعاقب «المتحكم والمعالج» المخالف لهذه الالتزامات بالحبس مدة لا تقل عن 6 أشهر وبغرامة لا تقل عن 200 ألف جنيه ولا تجاوز مليونى جنيه أو بإحدى هاتين العقوبتين.
ويعاقب القانون بالحبس مدة لا تقل عن 6 أشهر وبغرامة لا تقل عن 200 ألف جنيه ولا تجاوز مليونى جنيه أو بإحدى هاتين العقوبتين كل متحكم أو معالج عالج أو أتاح أو تداول بيانات شخصية بأى وسيلة فى غير الأحوال غير المصرح بها قانونًا أو بدون موافقة الشخص المعنى بالبيانات، فيما ينشئ القانون هيئة عامة اقتصادية «مركز حماية البيانات الشخصية» تقوم بوضع السياسيات والخطط الاستراتيجية والبرامج اللازمة لحماية البيانات الشخصية ومعالجتها، ووضع إطار إرشادى لمدونات سلوك حماية البيانات، إعداد وإصدار تقرير سنوى عن حالة حماية البيانات الشخصة داخل مصر.
ويحظر على مجلس الإدارة وجميع العاملين، إفشاء أية وثائق أو مستندات أو بيانات تتعلق بالحالات التى يقوم المركز برقابتها أو فحصها أو التى يتم تقديمها أو تداولها أثناء فحص أو إصدار القرارات الخاصة بها، ويظل الالتزام قائمًا بعد انتهاء العلاقة بالمركز، وفى جميع الأحوال لا يجوز الإفصاح عن المعلومات والوثائق والمستندات والبيانات المشار إليها إلا لسلطات التحقيق والجهات والهيئات القضائية، ويعاقب المخالف بالحبس مدة لا تقل عن سنة وبغرامة لا تقل عن 300 ألف جنيه ولا تجاوز 3 ملايين جنيه أو بإحدى هاتين العقوبتين.
وألزم القانون «المتحكم والمعالج» حال علمه بوجود خرق أو انتهاك للبيانات الشخصية لديه إبلاغ المركز خلال 24 ساعة من تاريخ حدوث الواقعة والذى يقوم بدوره بالإخطار الفورى لجهات الأمن القومى بالواقعة، كما يلتزم بموافاته خلال 72 ساعة من تاريخ الإبلاغ بوصف طبيعة الخرق وصورته وأسبابه وبيانات مسؤول حماية البيانات ووصف الإجراءات المتخذة والمقترحة لمواجهة هذا الخرق والتقليل من آثاره وأى وثائق يطلبها المركز، ويحب على المتحكم والمعالج إخطار الشخص المعنى بالبيانات خلال 10 أيام عمل من تاريخ الإبلاع وما تم اتخاذه من إجراءات، ويُعاقب المخالف لحكم المادة بالحبس مدة لا تقل عن 6 أشهر وبغرامة لا تقل عن 200 ألف جنيه ولا تجاوز مليونى جنيه أو بإحدى هاتين العقوبتين.
وحدد المشروع، التزامات مسؤول حماية البيانات الشخصية، والذى يكون بمثابة نقطة اتصال مباشرة مع المركز وتنفيذ قراراته، بتمكين الشخص المعنى بالبيانات من ممارسة حقوقه، وإخطار المركز حال وجود أى خرق أو انتهاك للبيانات الشخصية، بالإضافة إلى تلقى الطلبات المتعلقة بالبيانات الشخصية وإجراء التقييم والفحص الدورى لنظام حماية البيانات ومنع اختراقها، والرد على التظلمات المقدمة إليه سواء من الشخص المعنى بالبيانات أو كل ذى صفة، العمل على إزالة أى مخالفات متعلقة بالبيانات الشخصية داخل كيانه وتصحيحها، ويعاقب المخالف لهذه الالتزامات بالحبس مدة لا تقل عن 6 أشهر وبغرامة لا تقل عن 100 ألف جنيه ولا تجاوز مليون جنيه أو بإحدى هاتين العقوبتين، كما يعاقب بالحبس مدة لا تقل عن 3 أشهر وغرامة لا تقل عن 50 ألف جنيه ولا تجاوز 500 ألف جنيه أو بإحدى هاتين العقوبتين، إذا وقعت الجريمة نتيجة لإهمال المسؤول عن حماية البيانات.
ونظم القانون إصدار التراخيص والتصاريح والاعتمادات من المركز، ومنها إصدار التراخيص أو التصاريح الخاصة بالتسويق الإلكترونى المباشر وبالمعالجات التى تقوم بها الجمعيات أو النقابات أو النوادى للبيانات الشخصية لأعضاء تلك الجهات، وفى إطار نشاطها، وأيضًا الخاصة بوسائل المراقبة البصرية فى الأماكن العامة، وحدد رسومًا لا تتجاوز مليونى جنيه، بالنسبة إلى الترخيص وبما لا يتجاوز عن 500 ألف جنيه للتصريح أو الاعتماد، ويبت فى الطلبات خلال مدة لا تجاوز 90 يومًا من تاريخ استيفاء المستندات وإلا اعتبر مرفوضًا.
وللشخص المعنى بالبيانات حق تقديم شكوى إلى المركز حال انتهاك حق حماية البيانات الشخصية أو الإخلال به، ويصدر قرار فى شأنه خلال 30 يوم عمل من تاريخ تقديمها إليه، ويلتزم المشكو فى حقه بتنفيذ قرار المركز خلال 7 أيام عمل من تاريخ إخطاره به.
كما منح القانون، صفة الضبطية القضائية فى إثبات الجرائم التى تقع بالمخالفة لأحكام القانون، وذلك للعاملين بالمركز الذين يصدر بتحديدهم قرارًا من وزير العدل بناء على اقتراح الوزير المختص، ويعاقب بالحبس مدة لا تقل عن 6 أشهر وبغرامة لا تقل عن 200 ألف جنيه ولا تجاوز مليونى جنيه أو بإحدى هاتين العقوبتين كل من منع أحد العاملين بالمركز ممن يتمتعون بصفة الضبطية القضائية من أداء عملهم.
ويعاقب بالحبس مدة لا تقل عن سنة وبغرامة لا تقل عن 300 ألف جنيه ولا تجاوز 3 ملايين جنيه أو إحداهما، كل حائز أو متحكم أو معالج جمع أو أتاح أو تداول أو أفشى أو خزن أو نقل أو حفظ بيانات شخصية حساسة بدون موافقة الشخص المعنى بالبيانات أو فى غير الأحوال المصرح لها قانونًا، كما عاقب بالحبس مدة لا تقل عن 6 أشهر وبغرامة لا تقل عن 300 ألف جنيه ولا تجاوز 3 ملايين جنيه أو بإحدى هاتين العقوبتين كل من خالف أحكام التراخيص أو التصاريح او الاعتمادات، وفى حالة العودة تضاعف العقوبة فى باب العقوبات بحديها الأقصى والأدنى، ويعاقب على الشروع بالجرائم المنصوص عليها بنصف العقوبة.