قال المحامي أشرف ناجي، إن القانون المصري وضع عقوبات رادعة، بشأن حالات اختراق البيانات الشخصية، ويعني بها أي بيانات متعلقة بشخص محدد أو يمكن تحديده بشكل مباشر أو غير مباشر، وذلك عن طريق الربط بين هذه البيانات وبين بيانات أخرى، مثل الاسم أو الصورة أو الصوت أو رقم تعريفي محدد للهوية عبر الإنترنت.
 
البيانات الحساسة
وأضاف المحامي، أن هناك بيانات عرّفها القانون بالبيانات الحساسة، مثل تحديد الهوية سواء الصحية أو النفسية أو الثقافية أو الاقتصادية أو الاجتماعية، كونها تفصح عن الصحة العقلية أو النفسية أو البدنية أو الجينية، أو البيانات الدينية أو المالية أو الحالية الأمنية أو الآراء السياسية وجزء منها هو بيانات الأطفال، وذلك وفقًا للقانون رقم 151 لسنة 2020 لحماية البيانات الشخصية، وتضمن نص القانون ضوابط وشروط التعامل مع اختراق البيانات الشخصية.
 
غرامة 3 ملايين جنيه
ونصت المادة 38 من القانون على: «يعاقب كل معالج أو متحكم لم يلتزم بواجباته المنصوص عليها داخل المواد 4 و5 و7، بغرامة لا تقل عن 300 ألف جنيه، ولا تزيد عن 3 ملايين جنيه»، ويقصد بالمعالج أي شخص طبيعي أو اعتباري مختص بطبيعة عمله، بمعالجة البيانات الشخصية لصالحه أو لصالح المتحكم، بالاتفاق معه ووفقًا لتعليماته، والمتحكم هو أي شخص طبيعي أو اعتباري يكون له أو بحكم طبيعية عمله الحق في الحصول على البيانات الشخصية وتحديد معايير وطريقة أسلوب الاحتفاظ بها، أو التحكم فيها أو معالجتها طبقًا للغرض المحدد. 
 
وأضاف «ناجي» أنه وفقًا لنص المادة 7 يلتزم كل من المعالج والمتحكم وفقًا للأحوال، حال العلم بوجود أي خرق أو انتهاك للبيانات الشخصية، أي كل دخول غير مرخص إلى بيانات شخصية أو وصول غير مشروع، أو أي نسخ أو إرسال أو توزيع أو تبادل أو تداول أو نقل، بهدف الكشف أو الإفصاح عن البيانات الشخصية أو تعديلها أو إتلافها، أثناء تخزينها أو النقل لمعالجتها، حال تعلق الأمر باعتبارات حماية الأمن القومي أي جهات رئاسة الجمهورية أو وزارة الداخلية والدفاع، وهيئات الرقابة الإدارية، فيقوم بالإبلاغ بشكل فوري عن خرق أو انتهاك البيانات الشخصية فعليه إبلاغ المركز خلال 72 ساعة.
 
وأوضح المحامي أنه على المركز إخطار جهات الأمن القومي بالواقعة فورًا، وذلك في جميع الأحوال، ويلتزم بموافاة مركز حماية البيانات الشخصية، خلال 72 ساعة من تاريخ علمه بـ 6 شروط الآتية: 
 
1- وصف طبيعة الانتهاك أو الخرق، وصورة منه والعدد التقريبي للبيانات الشخصية وسجلاتها وأسبابه.
2- الآثار المحتملة لحادث الانتهاك أو الخرق.  
3ـ وجود بيانات مسئول حماية البيانات الشخصية لديه.
4- وصف الإجراءات المتخذة تجاهه، والمقترح تنفيذها لمواجهة هذا الانتهاك أو الخرق، والتقليل من آثاره السلبية.
5- توثيق أي انتهاك أو خرق للبيانات الشخصية، والإجراءات التصحيحية المتخذة لمواجهة الانتهاك.
6- تقديم أي معلومات أو بيانات أو وثائق يطلبها المركز.
 
ونوه بأنه يجب على المعالج أو المتحكم في جميع الأحوال، إخطار الشخص المعني بالبيانات، وذلك خلال 3 أيام فقط من علمه من تاريخ الإبلاغ وما الإجراءات اليت تم اتخاذها، بالإضافة لتحديد اللائحة التنفيذية لقانون الإجراءات الخاصة بالإخطار والإبلاغ.