فرض قانون حماية البيانات الشخصية عقوبات صارمة على كل من يخل بالالتزامات المقررة لحماية حقوق أصحاب البيانات الشخصية، وفي مقدمتها تمكين الشخص المعني بالبيانات من ممارسة حقوقه التي كفلها القانون.
ووفقًا للمادة (37)، يُعاقب بغرامة لا تقل عن مائة ألف جنيه ولا تتجاوز مليون جنيه، كل حائز أو متحكم أو معالج يمتنع دون مقتضٍ من القانون عن تمكين الشخص المعني بالبيانات من ممارسة حقوقه المنصوص عليها في المادة (2) من هذا القانون، كما يُعاقب بغرامة لا تقل عن مائتي ألف جنيه ولا تتجاوز مليوني جنيه كل من جمع بيانات شخصية دون توافر الشروط المنصوص عليها في المادة (3) من هذا القانون.
قانون حماية البيانات الشخصية
وبحسب المادة (16)، يجوز للمتحكم أو المعالج، بحسب الأحوال، إتاحة البيانات الشخصية لمتحكم أو معالج آخر خارج جمهورية مصر العربية بترخيص من المركز متى توافرت الشروط الآتية:.
- اتفاق طبيعة عمل كل من المتحكمين أو المعالجين، أو وحدة الغرض الذي يحصلان بموجبه على البيانات الشخصية
- توافر المصلحة المشروعة لدى كل من المتحكمين أو المعالجين للبيانات الشخصية أو لدى الشخص المعني بالبيانات
- ألا يقل مستوى الحماية القانونية والتقنية للبيانات الشخصية لدى المتحكم أو المعالج الموجودة بالخارج عن المستوى المتوافر في جمهورية مصر العربية
وتحدد اللائحة التنفيذية لهذا القانون الاشتراطات والإجراءات والاحتياطات والمعايير والقواعد اللازمة لذلك.
استثناءً من حكم المادة (14) من هذا القانون، يجوز وفقًا للمادة (15) في حالة الموافقة الصريحة للشخص المعني بالبيانات أو من ينوب عنه نقل أو مشاركة أو تداول أو معالجة البيانات الشخصية إلى دولة لا يتوافر فيها مستوى الحماية المشار إليه في المادة السابقة، وذلك في الحالات الآتية:.
- المحافظة على حياة الشخص المعني بالبيانات وتوفير الرعاية الطبية أو العلاج أو إدارة الخدمات الصحية له
- تنفيذ التزامات بما يضمن إثبات حق أو ممارسته أمام جهات العدالة والدفاع عنه
- إبرام عقد، أو تنفيذ عقد مبرم بالفعل، أو سيتم إبرامه بين المسؤول عن المعالجة والغير لمصلحة الشخص المعني بالبيانات
- تنفيذ إجراء خاص بتعاون قضائي دولي
- وجود ضرورة أو إلزام قانوني لحماية المصلحة العامة
- إجراء تحويلات نقدية إلى دولة أخرى وفق تشريعاتها المحددة والسارية
- إذا كان النقل أو التداول يتم تنفيذًا لاتفاق دولي ثنائي أو متعدد الأطراف تكون جمهورية مصر العربية طرفًا فيه
بالإضافة إلى الالتزامات الواردة بالمادة (9) من هذا القانون، يلتزم مسؤول حماية البيانات الشخصية وتابعوه لدى المتحكم أو المعالج باتباع واستيفاء السياسات والإجراءات التأمينية اللازمة لعدم خرق البيانات الشخصية الحساسة أو انتهاكها.