قوانين خصوصية البيانات في مصر: قانون حماية البيانات الشخصية (PDPL) رقم 151/2020 واللائحة التنفيذية لعام 2025

يخضع إطار خصوصية البيانات في مصر للقانون رقم 151 لسنة 2020 بشأن حماية البيانات الشخصية، وهو أول تشريع شامل لحماية البيانات في البلاد. وقد فعّل القرار الوزاري رقم 816 لسنة 2025 المتطلبات الكاملة للقانون اعتباراً من 1 نوفمبر 2025، على أن يبدأ الإنفاذ الكامل في 31 أكتوبر 2026.
إجابة سريعة
يقوم نظام حماية البيانات في مصر على القانون رقم 151 لسنة 2020 بشأن حماية البيانات الشخصية (المشار إليه اختصاراً بـ PDPL)، وهو أول تشريع مخصص لحماية البيانات الشخصية في البلاد. صدر القانون في أكتوبر 2020، لكنه ظل شبه معطل لخمس سنوات، لأن اللائحة التنفيذية اللازمة لتفعيل أحكامه الأساسية لم تصدر قط.
وتغيّر ذلك في 1 نوفمبر 2025، حين أصدر وزير الاتصالات وتكنولوجيا المعلومات القرار الوزاري رقم 816 لسنة 2025، الذي أقر اللائحة التنفيذية لقانون حماية البيانات الشخصية. ونُشرت اللائحة في الجريدة الرسمية ودخلت حيز النفاذ في اليوم التالي لنشرها. وقد استحدثت اللائحة نظام ترخيص إلزامياً، وآليات تفصيلية لممارسة حقوق أصحاب البيانات، وإجراءات للنقل عبر الحدود، وجداول زمنية للإخطار بالاختراقات، ومتطلبات خاصة بمسؤول حماية البيانات.
وتُمنح المؤسسات فترة سماح مدتها سنة واحدة، على أن يبدأ الإنفاذ الكامل في 31 أكتوبر 2026. ومن المتوقع أن تُفتح بوابة التقديم الإلكترونية التابعة لمركز حماية البيانات الشخصية للحصول على التراخيص والتصاريح في منتصف يونيو 2026 تقريباً.
الأساس الدستوري للخصوصية
يُرسّخ دستور مصر لعام 2014 الخصوصية بوصفها حقاً أساسياً. وتنص المادة 57 على أن الحياة الخاصة مصونة، وهي في حماية القانون، ولا يجوز المساس بها. ويحمي هذا النص الأفراد من المراقبة والتفتيش والتدخل في الاتصالات الشخصية من دون إذن.
والأهم من ذلك بالنسبة لحماية البيانات، أن المادة 57 تنص أيضاً على أن جميع وسائل الاتصال (بما في ذلك المراسلات البريدية والبرقية والرسائل الإلكترونية والمكالمات الهاتفية) لا تُنتهك، وسريتها مكفولة. ولا يجوز الاطلاع عليها أو رقابتها إلا بأمر قضائي، ولمدة محددة، وفي الأحوال التي يبينها القانون.
وقد شكّلت هذه الحماية الدستورية الأساس المعياري للقانون رقم 151 لسنة 2020. ويترجم هذا القانون الحق الدستوري في الخصوصية إلى التزامات تشريعية محددة ملزمة لكيانات القطاعين العام والخاص على حد سواء.
القانون رقم 151 لسنة 2020: الإطار الأساسي
النطاق والامتداد الإقليمي
يُطبَّق القانون على معالجة البيانات الشخصية للأشخاص الطبيعيين المقيمين في مصر. ونطاقه الإقليمي واسع: إذ يسري القانون على أي شخص طبيعي أو اعتباري، سواء كان داخل مصر أو خارجها، يعالج البيانات الشخصية للمقيمين في مصر بأي وسيلة، بما في ذلك الوسائل الإلكترونية والرقمية والوسائل التقليدية غير الآلية.
ويُدخل هذا الامتداد خارج الحدود الشركات الأجنبية التي تُشغّل منصات وخدمات رقمية ضمن نطاق القانون، إذا كانت تجمع أو تعالج بيانات تخص مقيمين في مصر.
وتُعرَّف البيانات الشخصية بأنها أي معلومة تتعلق بشخص طبيعي محدد الهوية أو يمكن التعرف على هويته. ويُقر القانون بشكل منفصل فئة البيانات الشخصية الحساسة، التي تحظى بحماية معززة. وتشمل الفئات الحساسة ما يلي:
- البيانات الصحية العقلية والنفسية والجسدية والوراثية
- البيانات المالية والمصرفية
- المعتقدات الدينية والفكرية
- الآراء السياسية
- السجل الجنائي والسوابق القضائية
- البيانات البيومترية المستخدمة لأغراض التعريف بالهوية
الأسس القانونية للمعالجة
يُقر القانون عدة أسس قانونية تبرر معالجة البيانات الشخصية:
الموافقة هي الأساس الرئيسي، وتخضع لشروط صارمة. إذ يجب أن تكون الموافقة صريحة، ومحددة بالغرض المعلن، وممنوحة بحرية، ومستنيرة، وموثّقة. ويجب على المتحكم في البيانات إبلاغ أصحاب البيانات بغرض الجمع، وفئات البيانات التي تُعالج، وهوية المتحكم، والحقوق المتاحة لهم. ويجوز سحب الموافقة في أي وقت، وبمجرد سحبها يجب على المتحكم التوقف عن المعالجة.
وتميّز اللائحة التنفيذية بين الموافقة الصريحة (المطلوبة لمعظم عمليات المعالجة، والبيانات الحساسة، والتسويق المباشر) وفئة ضيقة من الموافقة الضمنية، التي لا تُطبَّق إلا حيث تكون المعالجة ضرورية بشكل قاطع لتقديم خدمة أو معاملة مشروعة طلبها صاحب البيانات صراحة.
وتشمل الأسس القانونية الإضافية ما يلي:
- تنفيذ عقد يكون صاحب البيانات طرفاً فيه
- الامتثال لالتزام قانوني مفروض على المتحكم في البيانات
- حماية مصالح حيوية عندما لا يستطيع صاحب البيانات إبداء الموافقة
- تنفيذ مهمة تُؤدى تحقيقاً للمصلحة العامة
- المصالح المشروعة للمتحكم في البيانات، شريطة ألا تتجاوز الحقوق الأساسية لصاحب البيانات
ويستلزم استخدام البيانات التي جُمعت لغرض معين في غرض آخر الحصول على موافقة متجددة.
معالجة البيانات الحساسة
تخضع معالجة البيانات الشخصية الحساسة لمتطلبات أكثر صرامة من البيانات الشخصية العادية. ولا يجوز إجراؤها إلا بموافقة صريحة من صاحب البيانات، أو بموجب استثناءات قانونية محددة بدقة:
- الامتثال لالتزامات قانون العمل
- حماية مصالح حيوية عندما يكون صاحب البيانات غير قادر جسدياً أو قانونياً على إبداء الموافقة
- أغراض الصحة العامة، بما في ذلك إدارة الأوبئة
- الإجراءات القضائية أو الدفاع عن الحقوق القانونية
ويجب أن تمتثل معالجة البيانات الحساسة، حتى في إطار أي استثناء، لمتطلبات تقليل البيانات وتحديد الغرض ومتطلبات الأمان الواردة في القانون.
حقوق أصحاب البيانات
يمنح القانون أصحاب البيانات مجموعة شاملة من الحقوق. ويجب على المتحكمين في البيانات وضع آليات معتمدة من مركز حماية البيانات الشخصية لتمكين أصحاب البيانات من ممارسة هذه الحقوق، والرد ضمن مهل زمنية محددة. وتشمل هذه الحقوق:
الحق في الحصول على معلومات: يجب على المتحكمين في البيانات تقديم إشعار واضح وشفاف عند نقطة الجمع، يتضمن هوية المتحكم، وغرض المعالجة، وفئات البيانات المجمّعة، ومدد الاحتفاظ بها، والحقوق المتاحة، وما إذا كانت البيانات ستُنقل دولياً.
حق الاطلاع: يجوز لأصحاب البيانات طلب تأكيد ما إذا كانت بياناتهم قيد المعالجة، والحصول على نسخة منها.
الحق في التصحيح: يجوز للأفراد طلب تصحيح البيانات الشخصية غير الدقيقة أو غير المكتملة.
الحق في المحو: يجوز لأصحاب البيانات طلب حذف بياناتهم عند انتهاء الغرض من المعالجة، أو سحب الموافقة، أو عندما تفتقر المعالجة إلى أساس قانوني.
الحق في تقييد المعالجة: يجوز للأفراد طلب تعليق المعالجة لحين حسم نزاع بشأن دقة البيانات أو تحديد حق قانوني.
الحق في الاعتراض: يجوز لأصحاب البيانات الاعتراض على المعالجة التي لا تستند إلى موافقة أو عقد، ولهم الاعتراض على المعالجة لأغراض التسويق المباشر في أي وقت.
الحق في سحب الموافقة: يجوز سحب الموافقة في أي وقت، ويجب على المتحكم في البيانات التوقف عن المعالجة فور استلام طلب السحب.
الحق في نقل البيانات: يجوز للأفراد طلب تقديم بياناتهم بصيغة قابلة للاستخدام ومنظّمة.
الحق في تقديم شكوى: يجوز لأصحاب البيانات تقديم شكاوى إلى مركز حماية البيانات الشخصية، الذي يجب عليه البت فيها خلال 30 يوم عمل.
الحق في التعويض: يجوز للأفراد الذين يلحق بهم ضرر مادي أو معنوي جراء مخالفات هذا القانون طلب التعويض المدني عبر المحاكم.
مركز حماية البيانات الشخصية (PDPC)
التأسيس والصلاحيات

أُنشئ مركز حماية البيانات الشخصية (PDPC) بموجب المادة 19 من القانون، بوصفه هيئة عامة مستقلة تابعة لوزارة الاتصالات وتكنولوجيا المعلومات. وقد أدخلت اللائحة التنفيذية الصادرة في نوفمبر 2025 المركز حيز التشغيل الفعلي رسمياً، وحددت إطاره التنظيمي.
وتشمل صلاحيات مركز حماية البيانات الشخصية ما يلي:
- وضع السياسات الوطنية لحماية البيانات والمعايير التقنية
- إصدار تراخيص وتصاريح المعالجة وتعليقها وإلغاؤها
- تلقي شكاوى أصحاب البيانات والتحقيق فيها (خلال 30 يوم عمل للبت فيها)
- إجراء عمليات تفتيش على أنشطة المتحكمين والمعالجين
- فرض غرامات إدارية وإحالة المخالفات الجنائية إلى النيابة العامة
- الاحتفاظ بسجل مسؤولي حماية البيانات المرخّصين
- نشر اللائحة التنفيذية والإرشادات على موقعه الرسمي
أُطلق الموقع الإلكتروني لمركز حماية البيانات الشخصية عقب صدور اللائحة التنفيذية، ويتضمن نص اللائحة المنشور إلى جانب إرشادات تنظيمية. ومن المتوقع أن تُفتح بوابة الترخيص الإلكترونية (التي سيقدّم من خلالها المتحكمون والمعالجون ومسؤولو حماية البيانات طلباتهم) في منتصف يونيو 2026 تقريباً.
نظام الترخيص
من أبرز السمات المميزة لإطار حماية البيانات في مصر نظام الترخيص المسبق الإلزامي. فعلى عكس نهج التقييم الذاتي أو التسجيل المتبع في الاتحاد الأوروبي أو المملكة المتحدة أو الولايات المتحدة، تشترط مصر على معظم المتحكمين في البيانات والمعالجين الحصول على ترخيص أو تصريح من مركز حماية البيانات الشخصية قبل بدء أنشطة المعالجة.
وتضع اللائحة التنفيذية هيكلاً متدرجاً للرسوم يستند إلى حجم سجلات البيانات الشخصية المُعالَجة:
| حجم البيانات (عدد السجلات) | رسم الترخيص السنوي |
|---|---|
| من 1 إلى 100,000 | معفى |
| من 100,001 إلى 200,000 | 200 جنيه مصري |
| من 200,001 إلى 300,000 | 300 جنيه مصري |
| من 300,001 إلى 1,000,000 | من 400 إلى 1,000 جنيه مصري (متدرج) |
| من 1,000,001 إلى 2,000,000 | من 5,000 إلى 50,000 جنيه مصري (متدرج) |
| من 2,000,001 إلى 5,000,000 | من 60,000 إلى 500,000 جنيه مصري (متدرج) |
| أكثر من 5,000,000 | سقف أقصاه 2,000,000 جنيه مصري سنوياً (بحد أقصى 3 سنوات) |
وتحصل تراخيص المتحكم فقط أو المعالج فقط على تخفيض بنسبة 50% في الرسوم. ويتوفر ترخيص مشترك للمتحكم والمعالج معاً للكيانات التي تعمل بالصفتين.
يُشترط الحصول على تراخيص منفصلة بالنسبة لما يلي:
- عمليات نقل البيانات عبر الحدود (بسعر يعادل 50% من رسم ترخيص المتحكم أو المعالج المطبق)
- أنشطة التسويق الإلكتروني المباشر (ترخيص المادة 28)
- أنظمة المراقبة المرئية في الأماكن العامة (ترخيص المادة 31)
كما تميّز اللائحة بين الترخيص المستمر (لأنشطة المعالجة الدائمة والمتواصلة) والتصريح المؤقت (لأغراض معالجة محددة ومحدودة المدة، تُحتسب رسومها وفق حجم البيانات ومدة المعالجة معاً). ويجب أن تتضمن طلبات الترخيص معلومات تفصيلية عن البيانات محل المعالجة، والتدابير الأمنية المطبقة، ومدد الاحتفاظ بالبيانات، وهوية مسؤول حماية البيانات.
نقل البيانات عبر الحدود
اشتراط الحصول على تصريح مسبق
يحظر القانون نقل البيانات الشخصية إلى خارج مصر من دون تصريح مسبق من مركز حماية البيانات الشخصية. وهذه قاعدة صارمة: فلا مجال للتصديق الذاتي، ولا للاكتفاء بالبنود التعاقدية القياسية وحدها، ولا للاعتماد على قرار كفاية الحماية من دون موافقة رسمية.
وقبل إجراء أي عملية نقل دولية، يجب على المتحكم في البيانات أو المعالج القيام بما يلي:
- الحصول على ترخيص نقل عبر الحدود من مركز حماية البيانات الشخصية (يُقدَّم بشكل منفصل عن ترخيص المعالجة)
- إثبات أن الدولة المستقبِلة توفر مستوى كافياً من حماية البيانات
- تحديد الدولة المستقبِلة، والجهة الأجنبية، وفئات البيانات وأحجامها، والتدابير الأمنية، ومواقع التخزين، ومدد الاحتفاظ
تقييم كفاية الحماية
يُقيّم مركز حماية البيانات الشخصية مستوى الحماية في الدولة المستقبِلة استناداً إلى ما إذا كانت تمتلك تشريعاً لحماية البيانات الشخصية يتسق مع مبادئ القانون المصري، وتدابير تقنية وأمنية كافية، وآليات قانونية تتيح تعويض أصحاب البيانات الذين يلحق بهم ضرر.
ولم يُصدر مركز حماية البيانات الشخصية حتى منتصف عام 2026 قائمة رسمية بالدول ذات الحماية الكافية. ويجب على المؤسسات الساعية للحصول على تصاريح النقل تناول هذه المعايير في طلباتها على أساس كل حالة على حدة.
الاستثناءات
وفي حال لم تستوفِ الدولة المستقبِلة معيار كفاية الحماية، يجوز مع ذلك المضي في عملية النقل بموافقة صريحة من صاحب البيانات، إذا كانت عملية النقل تندرج ضمن فئة قانونية محددة:
- الضرورة الطبية أو حماية المصالح الحيوية
- تنفيذ عقد بناءً على طلب صاحب البيانات
- الدفاع عن الحقوق القانونية في الإجراءات القضائية
- الامتثال للمعاهدات الدولية التي تكون مصر طرفاً فيها
ويجب أن تلتزم جميع عمليات النقل المعتمدة التزاماً دقيقاً بالتصاريح الصادرة. وتفرض الالتزامات المستمرة على المتحكمين في البيانات الحفاظ على مستويات حماية معادلة طوال دورة حياة البيانات في الخارج.
الإخطار بخرق البيانات
إخطار مركز حماية البيانات الشخصية
يجب على المتحكمين في البيانات والمعالجين إخطار مركز حماية البيانات الشخصية بأي خرق للبيانات الشخصية خلال 72 ساعة من علمهم به، من خلال سجل إلكتروني مخصص. وفي حال أثار الخرق مخاوف تتعلق بالأمن القومي، يُشترط الإخطار الفوري.
ويجب أن يتضمن إخطار الخرق ما يلي:
- وصف طبيعة الخرق والبيانات المتأثرة به
- العدد التقريبي للسجلات وأصحاب البيانات المعنيين
- الآثار المحتملة المترتبة على الخرق
- التدابير المتخذة أو المقترحة لمعالجة الخرق
إخطار الأفراد
وحيثما يشكّل الخرق خطراً كبيراً على أصحاب البيانات، يجب على المتحكم في البيانات أيضاً إخطار الأفراد المتأثرين خلال ثلاثة أيام عمل من علمه بالخرق. ويجب أن يتم الإخطار عبر وسائل تواصل متفق عليها مسبقاً، وأن يتضمن وصفاً للخرق وآثاره والخطوات العلاجية المتخذة.
متطلبات مسؤول حماية البيانات
من يجب عليه تعيين مسؤول حماية بيانات
بموجب القانون واللائحة التنفيذية، يجب على جميع الكيانات الاعتبارية التي تعالج بيانات شخصية تعيين مسؤول حماية بيانات. ويجب أن يكون هذا المسؤول:
- مسجلاً رسمياً لدى مركز حماية البيانات الشخصية (في سجل مسؤولي حماية البيانات الخاص بالمركز)
- مُعلَناً للعموم بصفته مسؤول حماية البيانات في المؤسسة
- مستقلاً عن اتخاذ القرارات التشغيلية المتعلقة بمعالجة البيانات
ويجوز للأشخاص الطبيعيين (كأصحاب الأعمال الفردية والمتحكمين أو المعالجين الأفراد) تعيين مسؤول حماية بيانات طوعياً، لكنهم غير ملزمين بذلك بموجب الإطار الإلزامي ذاته.
وتشمل مسؤوليات مسؤول حماية البيانات مراقبة الامتثال للقانون ولائحته التنفيذية، والتعامل مع طلبات أصحاب البيانات، وتقديم المشورة للمؤسسة في مسائل حماية البيانات، والعمل كجهة الاتصال الرئيسية مع مركز حماية البيانات الشخصية، ورفع تقارير عن مسائل الامتثال إلى الإدارة العليا.
مؤهلات مسؤول حماية البيانات
تشترط اللائحة التنفيذية أن يحمل مسؤولو حماية البيانات مؤهلات مهنية وخبرة عملية ذات صلة، وأن يجتازوا اختبارات معتمدة من مركز حماية البيانات الشخصية. ولم تُنشر إجراءات الاختبار والاعتماد الخاصة بالمركز بشكل كامل حتى أوائل عام 2026.
ويجب على المتحكمين الأجانب الذين ليس لديهم وجود محلي في مصر تعيين ممثل أو وكيل محلي معتمد ليكون جهة الاتصال الخاصة بهم مع مركز حماية البيانات الشخصية.
عدم التعيين
يستوجب عدم تعيين مسؤول حماية بيانات مسجل غرامة تتراوح بين 200,000 و2,000,000 جنيه مصري بموجب أحكام العقوبات الجزائية الواردة في القانون.
العقوبات والإنفاذ
العقوبات الجزائية

يجمع هيكل العقوبات في القانون بين الجزاءات الجزائية والغرامات الإدارية. وتُصنَّف العقوبات الجزائية وفق نوع المخالفة ودرجة خطورتها:
مخالفات المعالجة العامة للبيانات (المعالجة غير المصرح بها التي تسبب ضرراً): السجن مدة لا تقل عن ستة أشهر، و/أو غرامة تتراوح بين 200,000 و2,000,000 جنيه مصري.
مخالفات البيانات الشخصية الحساسة (جمع أو إفشاء أو تداول أو نقل البيانات الحساسة من دون موافقة أو أساس قانوني): السجن مدة لا تقل عن ثلاثة أشهر، و/أو غرامة تتراوح بين 500,000 و5,000,000 جنيه مصري.
مخالفات النقل عبر الحدود (نقل البيانات الشخصية إلى خارج مصر من دون تصريح من مركز حماية البيانات الشخصية): السجن مدة لا تقل عن ثلاثة أشهر، و/أو غرامة تتراوح بين 500,000 و5,000,000 جنيه مصري.
المخالفات المشددة (المخالفات التي تُرتكب لتحقيق منفعة مادية أو معنوية، أو بقصد الإضرار بصاحب البيانات): السجن مدة لا تقل عن ستة أشهر، و/أو غرامة تتراوح بين 200,000 و2,000,000 جنيه مصري.
حرمان أصحاب البيانات من حقوقهم (رفض إعمال حقوق أصحاب البيانات من دون مبرر قانوني): غرامة تتراوح بين 100,000 و1,000,000 جنيه مصري.
إهمال مسؤول حماية البيانات (المخالفة التي تُعزى إلى إهمال مسؤول حماية البيانات): غرامة تتراوح بين 50,000 و500,000 جنيه مصري.
مخالفات أمن البيانات (عدم كفاية التدابير الأمنية بما يؤدي إلى وقوع خرق): غرامات تتراوح بين 300,000 و3,000,000 جنيه مصري.
مخالفات التسويق (التسويق الإلكتروني المباشر غير المصرح به): غرامات تتراوح بين 200,000 و2,000,000 جنيه مصري.
وفي جميع الأحوال، تملك المحاكم صلاحية الأمر بنشر الحكم في صحيفتين واسعتي الانتشار وعلى الإنترنت، على نفقة المحكوم عليه. ويُعاقب على الشروع في ارتكاب المخالفات بنصف العقوبة المقررة.
المسؤولية المدنية
يجوز لأصحاب البيانات الذين يلحق بهم ضرر مادي أو معنوي نتيجة مخالفة أحكام القانون رفع دعاوى مدنية للمطالبة بالتعويض. وينص القانون على التعويض عن الأضرار المالية وغير المالية على حد سواء، بما في ذلك الإضرار بالسمعة والمعاناة النفسية. وقد تناولت قضية قضائية في عام 2024 (رقم 19754) مخالفات خصوصية تتعلق بنشر معلومات شخصية من دون تصريح، مما يشير إلى استعداد المحاكم المصرية للتعامل مع دعاوى حماية البيانات حتى قبل التفعيل الكامل لإطار الإنفاذ الرسمي.
الغرامات الإدارية
يملك مركز حماية البيانات الشخصية صلاحية مستقلة لفرض غرامات إدارية على مخالفات القانون ولائحته التنفيذية، تتراوح بين 200,000 و5,000,000 جنيه مصري، بحسب طبيعة المخالفة ودرجة خطورتها.
ولم يصدر مركز حماية البيانات الشخصية حتى منتصف عام 2026 أي إجراءات إنفاذ علنية رسمية. ويمثل الموعد النهائي في 31 أكتوبر 2026 نهاية فترة السماح الانتقالية التي مدتها سنة واحدة، وبداية الإنفاذ الفعلي.
القوانين المتقاطعة
قانون مكافحة جرائم تقنية المعلومات رقم 175 لسنة 2018
يوفر القانون رقم 175 لسنة 2018 بشأن مكافحة جرائم تقنية المعلومات طبقة تكميلية من الحماية الجزائية للبيانات الشخصية، ويعمل جنباً إلى جنب مع قانون حماية البيانات الشخصية وليس بديلاً عنه.
وتُجرّم المادة 25 من قانون مكافحة جرائم تقنية المعلومات الإفشاء أو الاستخدام غير المشروع للبيانات الشخصية وأي سلوك ينتهك خصوصية الأفراد من دون موافقتهم. وتفرض المادة 26 عقوبات مشددة على استخدام تقنية المعلومات لمعالجة البيانات الشخصية بطريقة تضر بسمعة الشخص أو كرامته.
ويجب على مزودي الخدمة بموجب قانون مكافحة جرائم تقنية المعلومات الاحتفاظ بسجلات النظام والاتصالات لمدة 180 يوماً والتعاون مع جهات الأمن القومي في التحقيقات. ويتقاطع هذا الالتزام مع مبادئ الاحتفاظ بالبيانات في قانون حماية البيانات الشخصية، مما يستلزم من المؤسسات الموازنة بين متطلبات الاحتفاظ بموجب قانون الأمن والتزامات تقليل البيانات.
قانون الاتصالات
ينظم قانون الاتصالات المصري سرية البنية التحتية للاتصالات، ويتقاطع مع القانون حيثما يعالج مزودو خدمات الاتصالات البيانات الشخصية للمشتركين، بما في ذلك سجلات المكالمات وبيانات الموقع ومعلومات الفوترة. وتعمل التزامات قطاع الاتصالات المتعلقة بأمن البيانات والاحتفاظ بها والإفصاح عنها للسلطات جنباً إلى جنب مع متطلبات قانون حماية البيانات الشخصية.
بيانات الأطفال
يضع القانون ولائحته التنفيذية متطلبات موافقة متفاوتة بحسب العمر لمعالجة البيانات الشخصية للأطفال:
دون سن 15 عاماً: يُشترط الحصول على موافقة كتابية صريحة من الوصي القانوني للطفل قبل أي جمع أو معالجة للبيانات الشخصية. ولا يجوز جعل مشاركة الطفل في لعبة أو مسابقة أو أي نشاط آخر مشروطة بتقديم بيانات شخصية تتجاوز ما هو ضروري بشكل قاطع لتلك المشاركة.
من 15 إلى 18 عاماً: يجب أن تُقدَّم الموافقة من الطفل أو الوصي بحسب الظروف، وفق آليات يضعها مركز حماية البيانات الشخصية والشروط القانونية المعمول بها.
وتقيّد اللائحة التنفيذية التنميط السلوكي وتتبع الأطفال ومراقبتهم بما يتجاوز ما هو ضروري بشكل قاطع للغرض المعلن. وينبغي للمؤسسات التي تطوّر تطبيقات أو منصات أو خدمات موجهة للأطفال في مصر أو يستخدمها الأطفال أن تطبق آليات للتحقق من العمر وأن تبني مسارات عمل للحصول على موافقة الوصي قبل موعد الإنفاذ في أكتوبر 2026.
التسويق الإلكتروني المباشر
اشتراط ترخيص منفصل
يستلزم التسويق الإلكتروني المباشر (بما في ذلك رسائل البريد الإلكتروني الترويجية، والرسائل النصية القصيرة، والإشعارات الفورية، والاتصالات المشابهة) الحصول على ترخيص منفصل من مركز حماية البيانات الشخصية، يختلف عن ترخيص المعالجة القياسي الخاص بالمتحكم أو المعالج. ويُحدَّد رسم هذا الترخيص بنسبة 50% من رسم ترخيص المتحكم أو المعالج المطبق.
ويجب أن يثبت طلب الترخيص الحصول على موافقة صريحة ومحددة الغرض على الاتصالات التسويقية، وأن تكون هذه الموافقة مرتبطة إثباتياً بالتسويق الإلكتروني المباشر وليست مدمجة مع موافقات أخرى.
الموافقة وتحديد الغرض
تفرض اللائحة التنفيذية تحديداً صارماً لغرض بيانات التسويق: فلا يجوز استخدام البيانات الشخصية المجمّعة لأغراض التسويق الإلكتروني المباشر في أي غرض آخر إلا بعد الحصول على موافقة صريحة جديدة على ذلك الاستخدام الثانوي.
ويُشترط المحو الإلزامي لبيانات التسويق عند سحب الموافقة أو عند انتهاء الغرض المعلن. ويجب أن تكون آليات السحب متاحة عبر أي قناة تواصل يعتمدها مركز حماية البيانات الشخصية.
وتتحمل الجهات الوسيطة في التسويق، من وكالات ومنصات طرف ثالث تُستخدم لإيصال الاتصالات التسويقية، التزامات مستقلة بالتحقق من أن المتحكم الأصلي حصل على موافقة صحيحة وموثّقة قبل مشاركة البيانات.
متطلبات أمن البيانات

يجب على المتحكمين في البيانات والمعالجين تطبيق تدابير تقنية وتنظيمية مناسبة لحماية البيانات الشخصية من الوصول غير المصرح به، والإتلاف العرضي، والفقدان، والتعديل، أو الإفشاء غير المشروع. ويجب أن تتناسب هذه التدابير مع حساسية البيانات، والمخاطر المرتبطة بالمعالجة، وأحدث ما هو متاح من تقنيات أمنية.
وتشترط اللائحة التنفيذية أن تعالج التدابير الأمنية ما يلي:
- التشفير واستخدام الأسماء المستعارة عند الاقتضاء
- ضوابط الوصول إلى الأنظمة وإجراءات التحقق من الهوية
- قدرات التسجيل وتتبع سجلات المراجعة
- إجراءات استمرارية الأعمال والتعافي من الكوارث
- الاختبار والتقييم الدوريان لأنظمة الأمن
ويجب تقديم إشعارات الخصوصية باللغة العربية، وأن تكون شفافة، وأن تُسلَّم في وقت الجمع أو قبل أي إفصاح لطرف ثالث.
الذكاء الاصطناعي والتقنيات الناشئة
تُدمج الاستراتيجية الوطنية الثانية للذكاء الاصطناعي (2025-2030) في مصر، التي أطلقها الرئيس السيسي في يناير 2025، حماية البيانات بوصفها متطلباً أساسياً لتطوير ذكاء اصطناعي مسؤول. وتقوم الاستراتيجية على ستة ركائز (الحوكمة، والتقنية، والبيانات، والبنية التحتية، والمنظومة، والكفاءات)، وتعمل جنباً إلى جنب مع إطار حوكمة البيانات الوارد في قانون حماية البيانات الشخصية.
وتتضمن اللائحة التنفيذية إشارات محددة إلى الذكاء الاصطناعي والتقنيات الناشئة، وتشترط امتثال المعالجة القائمة على الذكاء الاصطناعي للمبادئ المعترف بها، وألا تُسفر تلك المعالجة عن ضرر لأصحاب البيانات. ويجب على المتحكمين الذين يستخدمون الذكاء الاصطناعي في اتخاذ القرارات الآلية أن يكونوا مستعدين لإثبات وجود آليات معتمدة من مركز حماية البيانات الشخصية تمكّن أصحاب البيانات من ممارسة حقوقهم.
وتتوخى الاستراتيجية أيضاً إنشاء مركز متخصص للذكاء الاصطناعي المسؤول بوصفه هيئة رقابية متخصصة، من المرجح أن تتفاعل مع مركز حماية البيانات الشخصية بشأن مسائل حوكمة البيانات المرتبطة بالذكاء الاصطناعي مع نضج هذا الإطار.
التطورات الأخيرة (2024-2026)
نوفمبر 2025: صدور اللائحة التنفيذية. أدخل القرار الوزاري رقم 816 لسنة 2025، الصادر في 1 نوفمبر 2025، الإطار التشغيلي للقانون حيز النفاذ بعد تأخر دام خمس سنوات. ونُشرت اللائحة في الجريدة الرسمية ودخلت حيز النفاذ في اليوم التالي.
ديسمبر 2025: نشر اللائحة للعموم. نُشر النص الكامل للائحة التنفيذية على موقع مركز حماية البيانات الشخصية في ديسمبر 2025، إلى جانب وثائق إرشادية تنظيمية أولية.
يناير 2025: إطلاق الاستراتيجية الوطنية للذكاء الاصطناعي 2025-2030. أطلق الرئيس السيسي الاستراتيجية الوطنية الثانية للذكاء الاصطناعي في مصر، مؤكداً على حوكمة البيانات المتسقة مع القانون بوصفها شرطاً مسبقاً لنشر ذكاء اصطناعي مسؤول عبر مختلف القطاعات.
منتصف 2026: توقع فتح بوابة الترخيص الخاصة بمركز حماية البيانات الشخصية. من المتوقع أن تُفتح بوابة التقديم الإلكترونية الخاصة بالمركز لتراخيص المعالجة، وتراخيص النقل عبر الحدود، وتسجيل مسؤولي حماية البيانات، وطلبات التصاريح، في منتصف يونيو 2026 تقريباً.
31 أكتوبر 2026: الموعد النهائي للإنفاذ. تنتهي فترة السماح البالغة سنة واحدة في 31 أكتوبر 2026. واعتباراً من ذلك التاريخ، تصبح المؤسسات التي لا تملك تراخيص سارية من مركز حماية البيانات الشخصية معرّضة بشكل كامل للعقوبات الإدارية والجزائية والمدنية المنصوص عليها في القانون.
قضية قضائية في عام 2024 (رقم 19754). تناولت إحدى المحاكم المصرية مخالفة خصوصية تتعلق بنشر معلومات شخصية عبر الإنترنت من دون تصريح، مما يظهر تفاعل القضاء مع حقوق حماية البيانات قبل بدء الإنفاذ التنظيمي الرسمي.
قائمة التحقق من الامتثال للشركات
ينبغي للمؤسسات التي تعالج البيانات الشخصية للمقيمين في مصر أن تنجز الخطوات التالية قبل الموعد النهائي في أكتوبر 2026:
رسم خريطة البيانات: يُنجز قبل فتح البوابة
- تحديد جميع البيانات الشخصية التي تُجمع أو تُخزَّن أو تُشارَك
- تصنيف البيانات وفق فئتها (بيانات شخصية عادية مقابل بيانات شخصية حساسة)
- توثيق أغراض المعالجة، ومدد الاحتفاظ، وتدفقات البيانات
- تحديد جميع عمليات النقل الدولية التي تشمل بيانات المقيمين في مصر
التحضير للترخيص
- تحديد فئات الترخيص المنطبقة (متحكم، معالج، نقل عبر الحدود، تسويق، مراقبة)
- احتساب فئات الرسوم المطبقة بناءً على أحجام السجلات
- إعداد وثائق الطلب، بما يشمل التدابير الأمنية، وجداول الاحتفاظ بالبيانات، وبيانات مسؤول حماية البيانات
- تقديم الطلبات عبر بوابة مركز حماية البيانات الشخصية فور فتحها (المتوقع في منتصف يونيو 2026)
تعيين مسؤول حماية البيانات
- تحديد وتعيين مسؤول حماية بيانات مؤهل يستوفي متطلبات التأهيل الخاصة بمركز حماية البيانات الشخصية
- إتمام تسجيل مسؤول حماية البيانات لدى المركز
- يجب على المتحكمين الأجانب الذين ليس لديهم وجود محلي تعيين ممثل محلي معتمد
إشعارات الخصوصية والموافقة
- تحديث إشعارات الخصوصية بما يمتثل لمتطلبات القانون، باللغة العربية حيثما يُشترط ذلك
- مراجعة آليات الموافقة للتأكد من أنها صريحة وموثّقة ومحددة الغرض
- بناء مسارات عمل منفصلة للموافقة على البيانات الحساسة، وبيانات الأطفال، والتسويق المباشر
- تطبيق آليات لسحب الموافقة
الاستجابة للاختراقات
- وضع إجراء موثّق للاستجابة للاختراقات
- التأكد من إمكانية الوفاء التشغيلي بمهلة الإخطار البالغة 72 ساعة الخاصة بمركز حماية البيانات الشخصية
- اختبار مسارات إخطار الأفراد الخاصة بالاختراقات عالية الخطورة
إدارة الموردين
- حصر معالجي البيانات من أطراف ثالثة ومراجعة اتفاقيات معالجة البيانات
- التأكد من امتلاك الوسطاء التسويقيين سجلات موافقة صحيحة قبل مشاركة البيانات
عمليات النقل الدولية
- تحديد جميع تدفقات البيانات عبر الحدود التي تشمل بيانات المقيمين في مصر
- الحصول على تراخيص نقل منفصلة عبر الحدود من مركز حماية البيانات الشخصية لكل عملية نقل
- تناول مدى كفاية حماية الدولة المستقبِلة على أساس كل حالة على حدة ضمن طلبات الترخيص
قراءات ذات صلة
للاطلاع على قوانين موافقة التسجيل التي تتقاطع مع الخصوصية في مصر، راجع دليلنا حول قوانين التسجيل في مصر.
Frequently Asked Questions
ما هو القانون الرئيسي لحماية البيانات في مصر؟
التشريع الأساسي لحماية البيانات في مصر هو القانون رقم 151 لسنة 2020 بشأن حماية البيانات الشخصية (PDPL). صدر هذا القانون في أكتوبر 2020 ودخل حيز النفاذ في يناير 2021، إلا أن التنفيذ الكامل تأخر إلى أن أصدر القرار الوزاري رقم 816 لسنة 2025 اللائحة التنفيذية في 1 نوفمبر 2025. ويغطي القانون معالجة البيانات الشخصية بالوسائل الآلية وغير الآلية في القطاعين العام والخاص.
ما هي اللائحة التنفيذية ومتى دخلت حيز النفاذ؟
اللائحة التنفيذية هي القواعد التنفيذية الصادرة بموجب القانون، وتحدد التفاصيل التشغيلية له، بما في ذلك نظام الترخيص، ومتطلبات مسؤول حماية البيانات، والجداول الزمنية للإخطار بالاختراقات، وإجراءات النقل عبر الحدود، وهياكل الرسوم. وقد أصدرها وزير الاتصالات وتكنولوجيا المعلومات بموجب القرار الوزاري رقم 816 لسنة 2025 في 1 نوفمبر 2025، ودخلت حيز النفاذ في اليوم التالي، لتضع حداً لتأخر دام خمس سنوات في التنفيذ.
هل تحتاج المؤسسات إلى ترخيص لمعالجة البيانات الشخصية في مصر؟
نعم. تشترط اللائحة التنفيذية على معظم المتحكمين في البيانات والمعالجين الحصول على ترخيص أو تصريح من مركز حماية البيانات الشخصية قبل معالجة البيانات الشخصية. وتُعفى الكيانات التي تعالج 100,000 سجل أو أقل من رسوم الترخيص، لكنها قد لا تزال بحاجة إلى التسجيل. ويُشترط الحصول على تراخيص منفصلة لعمليات نقل البيانات عبر الحدود، والتسويق الإلكتروني المباشر، والمراقبة المرئية في الأماكن العامة. ومن المتوقع أن تُفتح بوابة الترخيص الخاصة بالمركز في منتصف يونيو 2026 تقريباً.
ما هو الموعد النهائي للامتثال لقانون حماية البيانات الشخصية المصري؟
تمنح اللائحة التنفيذية فترة سماح انتقالية مدتها سنة واحدة، ما يعني أن الموعد النهائي للإنفاذ الكامل هو 31 أكتوبر 2026. واعتباراً من ذلك التاريخ، تصبح المؤسسات التي لا تملك تراخيص سارية من مركز حماية البيانات الشخصية وبرامج ممتثلة لحماية البيانات معرّضة للغرامات الإدارية والعقوبات الجزائية والمسؤولية المدنية بموجب القانون.
ما هي عقوبات مخالفة قانون حماية البيانات الشخصية المصري؟
تعتمد العقوبات على نوع المخالفة. إذ تستوجب المعالجة غير المصرح بها للبيانات الشخصية الحساسة أو عمليات النقل عبر الحدود من دون ترخيص السجن مدة لا تقل عن ثلاثة أشهر وغرامة تتراوح بين 500,000 و5,000,000 جنيه مصري. ويستوجب حرمان أصحاب البيانات من حقوقهم غرامة تتراوح بين 100,000 و1,000,000 جنيه مصري. ويستوجب عدم تعيين مسؤول حماية بيانات مسجل غرامة تتراوح بين 200,000 و2,000,000 جنيه مصري. كما يجوز للمحاكم الأمر بنشر الإدانة في الصحف وعلى الإنترنت.
هل يمكن نقل البيانات الشخصية إلى خارج مصر؟
نعم، لكن عمليات النقل تستلزم ترخيصاً منفصلاً للنقل عبر الحدود من مركز حماية البيانات الشخصية، إضافة إلى ترخيص المعالجة القياسي. ويُقيّم المركز ما إذا كانت الدولة المستقبِلة توفر حماية كافية للبيانات. وحيثما يتعذر إثبات كفاية الحماية، لا يُسمح بعمليات النقل إلا بموافقة صريحة من صاحب البيانات لأغراض قانونية محددة، كالضرورة الطبية، أو تنفيذ العقد، أو الإجراءات القضائية.
من يجب عليه تعيين مسؤول حماية بيانات بموجب قانون حماية البيانات الشخصية المصري؟
يجب على جميع الكيانات الاعتبارية (الشركات والمؤسسات والهيئات العامة) التي تعالج بيانات شخصية تعيين مسؤول حماية بيانات مسجل لدى مركز حماية البيانات الشخصية. ويجب أن يستوفي هذا المسؤول متطلبات التأهيل التي يضعها المركز، وأن يجتاز اختبارات معتمدة منه، وأن يُعلَن للعموم. ويجب على المؤسسات الأجنبية التي ليس لديها وجود محلي في مصر تعيين ممثل محلي معتمد للقيام بمهام مسؤول حماية البيانات.
ما هو متطلب الإخطار بخرق البيانات بموجب قانون حماية البيانات الشخصية المصري؟
يجب على المتحكمين في البيانات إخطار مركز حماية البيانات الشخصية بأي خرق للبيانات الشخصية خلال 72 ساعة من علمهم به. وحيثما تنشأ اعتبارات تتعلق بالأمن القومي، يُشترط الإخطار الفوري. وإذا شكّل الخرق خطراً كبيراً على أصحاب البيانات، يجب أيضاً إخطار الأفراد المتأثرين خلال ثلاثة أيام عمل. ويجب أن تتضمن الإخطارات وصفاً للخرق، والبيانات والأفراد المتأثرين، والآثار المحتملة، والخطوات العلاجية المتخذة.
كيف يتعامل قانون حماية البيانات الشخصية المصري مع بيانات الأطفال؟
يستلزم الأطفال دون سن 15 عاماً موافقة كتابية صريحة من الوصي القانوني قبل أي جمع أو معالجة للبيانات الشخصية. أما بالنسبة للأطفال الذين تتراوح أعمارهم بين 15 و18 عاماً، فتُحدَّد إجراءات الموافقة من قبل مركز حماية البيانات الشخصية بما يتسق مع الشروط القانونية المعمول بها. ولا يجوز أن تكون المعالجة لأغراض الألعاب أو المسابقات أو الأنشطة الأخرى مشروطة بجمع بيانات تتجاوز ما هو ضروري بشكل قاطع. وتُقيَّد اللائحة التنفيذية التنميط السلوكي للأطفال.
Updates
تحديث شامل: تضمين القرار الوزاري رقم 816/2025 (اللائحة التنفيذية، النافذة اعتباراً من 1 نوفمبر 2025)، وتحديث فئات رسوم الترخيص، والجدول الزمني لبوابة مركز حماية البيانات الشخصية (منتصف يونيو 2026)، وموعد الإنفاذ في أكتوبر 2026، ومتطلبات تسجيل مسؤول حماية البيانات، وحدود أعمار بيانات الأطفال، وقواعد ترخيص التسويق المباشر، والتوافق مع استراتيجية الذكاء الاصطناعي 2025-2030، وهيكل العقوبات الموسّع من القانون رقم 151/2020.
النشر الأولي، وتناول القانون رقم 151/2020، وإنشاء مركز حماية البيانات الشخصية، وإطار النقل عبر الحدود، ونظرة عامة على القرار التنفيذي رقم 816.
Sources and References
- Library of Congress - تفعيل قانون حماية البيانات الشخصية في مصر (2025)(loc.gov).gov
- Library of Congress - قانون حماية البيانات في مصر (2020)(loc.gov).gov
- ICLG - حماية البيانات في مصر 2025-2026(iclg.com)
- Chambers - دليل حماية البيانات والخصوصية 2026: مصر(practiceguides.chambers.com)
- Baker McKenzie - تحديث مهم بشأن حماية البيانات في مصر 2026(bakermckenzie.com)
- Kennedys Law - العد التنازلي للامتثال لقانون حماية البيانات الشخصية المصري 2026(kennedyslaw.com)
- Legal 500 - نظرة عامة على اللائحة التنفيذية لقانون حماية البيانات الشخصية المصري(legal500.com)
- GLA and Company - نظرة أولى على اللائحة التنفيذية لقانون حماية البيانات الشخصية المصري(glaco.com)
- Access Partnership - مصر تنتهي من اللائحة التنفيذية لقانون حماية البيانات الشخصية(accesspartnership.com)
- Clyde and Co - تحديث تنظيمي بشأن خصوصية البيانات في مصر 2026(clydeco.com)
- Shand Partners - اللائحة التنفيذية لقانون حماية البيانات في مصر(shandpartners.com)
- WIPO Lex - القانون رقم 175 لسنة 2018 بشأن مكافحة جرائم الإنترنت في مصر(wipo.int).gov
- ID Legal - نظرة عامة على الأمن السيبراني والجرائم الإلكترونية وحماية البيانات في مصر(id.com.eg)
- Digital Watch Observatory - الاستراتيجية الوطنية المصرية للذكاء الاصطناعي 2025-2030(dig.watch)
- PwC الشرق الأوسط - قانون حماية البيانات في مصر(pwc.com)
- CADE Project - مصر تُفعّل قانون حماية البيانات مع اللائحة التنفيذية(cadeproject.org)