أكد قانون حماية البيانات الشخصية في المادة (41) على توقيع عقوبات صارمة ضد من يجمع أو يتيح أو يفشي أو يخزن أو ينقل بيانات شخصية حساسة دون موافقة صاحبها أو في غير الأحوال المصرح بها قانونًا. وتتمثل العقوبات في الحبس لمدة لا تقل عن ثلاثة أشهر، وغرامة تتراوح بين 500 ألف جنيه إلى 5 ملايين جنيه، أو بإحدى هاتين العقوبتين.
كما نصت المادة (2) من القانون على أنه لا يجوز جمع أو معالجة أو الإفصاح عن البيانات الشخصية إلا بموافقة صريحة من الشخص المعني أو وفقًا للحالات التي يحددها القانون.
ويمنح القانون أصحاب البيانات الشخصية عدة حقوق، منها الاطلاع على بياناتهم، والعدول عن الموافقة على معالجتها، وتصحيحها أو تعديلها، ومعرفة أي انتهاك قد تتعرض له بياناتهم، والاعتراض على معالجتها في حال تعارضها مع حقوقهم وحرياتهم الأساسية.
