وضع مشروع حماية البيانات الشخصية، المُقدم من الحكومة، عقوبات مشدده على كلا من المتحكم والمعالج حال عدم إعمال الالتزام القانونى بإبلاغ مركز حماية البيانات الشخصية المزمع إنشاءه بموجب القانون، عن أى خرق أو انتهاك تتعرض له البيانات الشخصية للمواطنين، وذلك بغرامة لا تقل عن 300 ألف جنيه ولا تجاوز 3 ملايين.
وتلزم المادة (7) من مشروع القانون كل من المتحكم والمعالج، بحسب الأحوال، حال علمه بوجود خرق أو انتهاك مؤثر على البيانات الشخصية لدية إبلاغ مركز حماية البيانات الشخصية خلال 24 ساعة، والذى يقوم بدوره بالإخطار الفورى لجهات الأمن القومى بالواقعة، كما يلتزم بموافاته خلال 72 ساعة من تاريخ الإبلاغ بما يأتي، وصف طبيعة الخرق أو الانتهاك، وصورته وأسبابه والعدد التقريبى للبيانات الشخصية وسجلاتها، بيانات مسئول حماية البيانات الشخصية لديه، الآثار المحتملة لحاث الخرق أو الانتهاك، وصف الإجراءات المتخذة والمقترح تنفيذها لمواجهة هذا الخرق أو الانتهاك والتقليل من اثارة السلبية، توثيق الخرق أو الانتهاك للبيانات الشخصية، والإجراءات التصحيحة المتخذة لمواجهته، أيه وثائق أو معلومات أو بيانات يطلبها المركز.
وأوجبت المادة السابعة على المتحكم والمعالج بحسب الأحوال، إخطار الشخص المعنى بالبيانات متى كان الخرق أو الانتهاك مؤثراً على مصالحه وحقوقه الاساسية وذلك خلال 10 أيام عمل من تاريخ الإبلاغ وما تم اتخاذه من إجراءات.وتحدد اللائحة التنفيذية لهذا القانون القواعد والإجراءات الخاصة بالإبلاغ والإخطار.
ويعرف مشروع القانون، "البيانات الشخصية" بأنها تلك المتعلقة بشخص طبيعى محدد أو يمكن تحديده بشكل مباشر أو غير مباشر عن طريق الربط بينها وبين بيانات أخرى كالاسم أو الصوت أو الصورة أو رقم تعريفى أو محدد للهوية عبر الإنترنت، أو أى بيانات تحدد الهوية النفسية أو الصحية أو الاقتصادية أو الثقافية أو الاجتماعية.
