المادة (1) :
يسمى هذا القانون ( قانون حماية البيانات الشخصية لسنة 2023) ويعمل به بعد ستة أشهر من تاريخ نشره في الجريدة الرسمية.
المادة (2) :
يكون للكلمات والعبارات التالية حيثما وردت في هذا القانون المعاني المخصصة لها أدناه ما لم تدل القرينة على غير ذلك:-
الوزارة: وزارة الاقتصاد الرقمي والريادة.
الوزير: وزير الاقتصاد الرقمي والريادة.
المجلس: مجلس حماية البيانات الشخصية المشكل بمقتضى أحكام هذا القانون.
الوحدة: الوحدة التنظيمية المختصة بحماية البيانات الشخصية في الوزارة.
البيانات الشخصية: أي بيانات أو معلومات تتعلق بشخص طبيعي ومن شأنها التعريف به بطريقة مباشرة أو غير مباشرة مهما كان مصدرها أو شكلها بما في ذلك البيانات المتعلقة بشخصه أو وضعه العائلي أو أماكن تواجده.
البيانات الشخصية الحساسة: أي بيانات أو معلومات تتعلق بشخص طبيعي تدل بصورة مباشرة أو غير مباشرة على أصله أو عرقه أو تدل على آرائه او انتماءاته السياسية أو معتقداته الدينية أو أي بيانات تتعلق بوضعه المالي أو بحالته الصحية أو الجسدية أو العقلية أو الجينية أو بصماته الحيوية (البيومترية) أو بسجل السوابق الجنائية الخاص به أو أي معلومات أو بيانات يقرر المجلس اعتبارها حساسة إذا كان إفشاؤها أو سوء استخدامها يلحق ضررا بالشخص المعني بها.
البيانات: البيانات الشخصية والبيانات الشخصية الحساسة.
قواعد البيانات: الملفات أو السجلات الإلكترونية أو غير الإلكترونية التي تشتمل على البيانات.
المعالجة: عملية واحدة أو أكثر يتم اجراؤها بأي شكل أو وسيلة بهدف جمع البيانات أو تسجيلها أو نسخها أو حفظها أو تخزينها أو تنظيمها أو تنقيحها أو استغلالها أو استعمالها أو إرسالها أو توزيعها أو نشرها أو ربطها ببيانات أخرى أو إتاحتها أو نقلها أو عرضها
أو إخفاء هويتها أو ترميزها أو إتلافها أو تقييدها أو محوها أو تعديلها أو توصيفها أو الافصاح عنها بأي وسيلة كانت.
الشخص المعني: الشخص الطبيعي الذي تتم معالجة البيانات الخاصة به.
المسؤول: أي شخص طبيعي أو اعتباري سواء أكان داخل المملكة أم خارجها تكون البيانات في عهدته.
المعالج: الشخص الطبيعي أو الاعتباري الذي يكون مختصا بمعالجة البيانات.
المراقب: الشخص الطبيعي المعين للإشراف على قواعد البيانات والمعالجة وفقا لأحكام هذا القانون.
المتلقي: أي شخص طبيعي أو اعتباري سواء أكان داخل المملكة أم خارجها يتم نقل البيانات إليه أو تبادلها معه من المسؤول.
الموافقة المسبقة: موافقة الشخص المعني المسبقة على المعالجة.
التشخيص: المعالجة الآلية للبيانات للتعرف على اتجاهات الشخص المعني أو ميوله أو خياراته أو سلوكياته.
الإخلال بأمن وسلامة البيانات: أي وصول غير مشروع أو أي عملية أو نقل أو إجراء غير مصرح به على البيانات.
المادة (3) :
أ- تسري أحكام هذا القانون على البيانات وان تم جمعها أو معالجتها قبل نفاذه.
ب- لا تسري أحكام هذا القانون على الأشخاص الطبيعيين الذين يقومون بمعالجة بياناتهم لأغراضهم الشخصية.
المادة (4) :
مع مراعاة المادة (6) من هذا القانون:-
أ- لكل شخص طبيعي الحق في حماية بياناته ولا يجوز معالجتها الا بعد الحصول على الموافقة المسبقة للشخص المعني أو في الاحوال المصرح بها قانونا.
ب- يتمتع الشخص المعني بالحقوق التالية:-
1- العلم والاطلاع والوصول الى البيانات الموجودة لدى المسؤول والحصول عليها.
2- سحب الموافقة المسبقة.
3- التصحيح أو التعديل أو الإضافة أو التحديث للبيانات .
4- تخصيص المعالجة في نطاق محدد.
5- المحو او الاخفاء للبيانات وفقاً لأحكام هذا القانون.
6- الاعتراض على المعالجة والتشخيص اذا كانا غير ضروريين لتحقيق الاغراض التي جمعت البيانات من أجلهما أو كانتا زائدتين على متطلباتها أو تمييزية أو مجحفة أو مخالفة للقانون.
7- نقل نسخة من بياناته من المسؤول الى مسؤول آخر.
8- العلم والمعرفة بأي خرق أو انتهاك أو إخلال بأمن وسلامة بياناته.
ج- لا يترتب على ممارسة الشخص المعني لحقوقه المنصوص عليها في الفقرة (ب) من هذه المادة أي تبعات مالية أو تعاقدية بما لا يخل بحقوق المسؤول.
د- تنظم أحكام هذه المادة بمقتضى نظام يصدر لهذه الغاية .
المادة (5) :
أ- يشترط في الموافقة المسبقة ما يلي:-
1- أن تكون صريحة وموثقة خطيا أو الكترونيا.
2- أن تكون محددة من حيث المدة والغرض .
3- أن يكون الطلب بلغة واضحة وبسيطة وغير مضللة ويمكن الوصول إليه بسهولة.
4- موافقة أحد والدي أو ولي الشخص الذي لا يتمتع بالأهلية القانونية أو موافقة القاضي بناء على طلب الوحدة اذا اقتضت المصلحة الفضلى لمن لا يتمتع بالأهلية القانونية ذلك.
ب- لا يعتد بالموافقة المسبقة في الحالتين التاليتين:-
1- إذا صدرت استنادا إلى معلومات غير صحيحة أو ممارسات خادعة أو مضللة وكانت هي السبب في قرار الشخص المعني بمنحها.
2- اذا تم تغيير طبيعة المعالجة أو نوعها أو اهدافها دون الحصول على موافقة بذلك.
المادة (6) :
أ- تعد المعالجة قانونية ومشروعة ويجوز اجراؤها دون الحصول على الموافقة المسبقة أو اعلام الشخص المعني في الحالات التالية:-
1- المعالجة التي تتم مباشرة من قبل جهة عامة مختصة بالقدر الذي يقتضيه تنفيذ المهام المنوطة بها وفقاً لاحكام التشريعات النافذة أو من خلال جهات أخرى متعاقد معها على أن يتضمن التعاقد مراعاة كافة الالتزامات والشروط المنصوص عليها في هذا القانون والانظمة والتعليمات الصادرة بمقتضاه.
2-اذا كانت ضرورية للأغراض الطبية الوقائية أو التشخيص الطبي أو تقديم الرعاية الصحية من قبل المرخص له بمزاولة أي من المهن الطبية .
3- إذا كانت ضرورية لحماية حياة الشخص المعني أو لحماية مصالحه الحيوية.
4- إذا كانت ضرورية لمنع جريمة أو لكشفها من قبل جهة مختصة أو لملاحقة الجرائم المرتكبة خلافا لأحكام القانون.
5- إذا كانت مطلوبة أو مصرحا بها بموجب أي من التشريعات أو تنفيذا لها أو بقرار من المحكمة المختصة.
6- اذا كانت مطلوبة لأغراض قيام الجهات الخاضعة لرقابة واشراف البنك المركزي الاردني بأعمالها وفقا لما يقرره البنك المركزي الاردني بما في ذلك نقل وتبادل البيانات داخل المملكة أو خارجها.
7- المعالجة التي تتم وفقاً لأحكام النظام الصادر بمقتضى أحكام هذا القانون.
8- إذا كانت ضرورية لأغراض البحث العلمي أو التاريخي شريطة ان لا يكون الغرض منها اتخاذ أي قرار أو اجراء بشأن شخص محدد.
9- اذا كانت ضرورية لأغراض إحصائية أو لمتطلبات الأمن الوطني أو لتحقيق المصلحة العامة.
10- إذا كان محل المعالجة بيانات متاحة للجمهور من الشخص المعني.
ب- لا يجوز الاحتفاظ بالبيانات التي تمت معالجتها بعد انتهاء الغرض من المعالجة ما لم تنص التشريعات على خلاف ذلك.
المادة (7) :
يشترط في المعالجة ما يلي:-
أ- أن يكون الغرض منها مشروعا ومحددا وواضحا .
ب- أن تكون متفقة مع الأغراض التي تم جمع البيانات من أجلها.
ج- أن تتم بوسائل قانونية ومشروعة.
د- أن تستند الى بيانات صحيحة ودقيقة ومحدثة.
هـ- أن لا تؤدي الى تحديد الشخص المعني بعد استنفاذ الغرض منها.
و- أن لا تؤدي إلى التسبب بضرر للشخص المعني أو تنال من حقوقه بشكل مباشر أو غير مباشر.
ز- أن تتم بطريقة تضمن سرية المعلومات وسلامتها وعدم حدوث أي تغيير عليها.
المادة (8) :
يلتزم المسؤول بما يلي:-
أ- اتخاذ الإجراءات اللازمة لحماية البيانات التي في عهدته وتلك التي سلمت إليه من قبل أي شخص آخر.
ب- اتخاذ التدابير الأمنية والتقنية والتنظيمية التي تكفل حماية البيانات من أي إخلال بأمنها وسلامتها أو أي كشف أو تغيير أو إضافة أو إتلاف أو إجراء غير مصرح به وفقا لتعليمات يصدرها المجلس لهذه الغاية.
ج- وضع الآليات والإجراءات التي تخضع لها المعالجة وتلقي الشكاوى بخصوصها والرد عليها وفقًا لأحكام هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه ونشرها على الموقع الإلكتروني الخاص به وفي وسائل الإعلام المتاحة.
د- توفير الوسائل التي من شأنها تمكين الشخص المعني من ممارسة حقوقه وفقا لأحكام هذا القانون.
هـ- تصحيح البيانات غير الكاملة أو غير الدقيقة اذا تبين له عدم صحتها أو عدم مطابقتها مع الواقع قبل البدء بالمعالجة باستثناء البيانات التي جمعت لمنع وقوع الجريمة أو اكتشافها أو ملاحقتها .
و- تمكين الشخص المعني من الاعتراض على المعالجة وسحب الموافقة المسبقة والوصول إلى بياناته وتحديثها، و توفير الوسائل التي يراها مناسبة لتمكينه من ذلك بطريقة آمنة.
المادة (9) :
مع مراعاة المادة (6) من هذا القانون، يتعين على المسؤول وقبل البدء بالمعالجة إعلام الشخص المعني خطيا أو إلكترونيا بما يلي:-
أ- البيانات التي ستتم معالجتها وتاريخ البدء بذلك.
ب- الغرض الذي تجرى من أجله معالجة بياناته.
ج- المدة الزمنية التي ستتم خلالها معالجة البيانات على أن لا يتم تمديد هذه المدة إلا بموافقة الشخص المعني ووفقا لأحكام هذا القانون .
د- المعالج الذي سيشارك المسؤول في تنفيذ المعالجة .
هـ- ضوابط أمن وسلامة وحماية البيانات.
و- معلومات عن التشخيص.
المادة (10) :
أ- يتم محو البيانات أو اخفاؤها واتخاذ التدابير اللازمة لذلك من قبل المسؤول بناء على طلب الشخص المعني أو الوحدة في أي من الحالات التالية:-
1-إذا تمت المعالجة لغرض غير الذي جمعت من أجله أو بشكل غير الذي تمت الموافقة المسبقة عليه.
2-إذا سحب الشخص المعني الموافقة المسبقة التي كانت تستند إليها المعالجة ما لم تتطلب التشريعات الاخرى غير ذلك.
3-إذا خضعت البيانات لمعالجة خلافا لأحكام هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه.
4-إذا كان تنفيذا لالتزام قانوني أو تعاقدي.
ب- لا تسري أحكام الفقرة (أ) من هذه المادة على المعالجة التي تتم وفقا لأحكام المادة (6) من هذا القانون.
المادة (11) :
أ- يلتزم المسؤول بتعيين المراقب في الحالات التالية:-
1-اذا كان العمل الرئيسي للمسؤول معالجة البيانات الشخصية.
2- معالجة البيانات الشخصية الحساسة.
3- معالجة البيانات لمن لا يتمتع بالأهلية القانونية.
4- معالجة البيانات التي تتضمن معلومات مالية.
5- نقل قواعد البيانات إلى خارج المملكة.
6- أي حالة أخرى يقرر المجلس الزام المسؤول بتعيين المراقب لأجلها.
ب- يتولى المراقب المهام والمسؤوليات التالية:-
1- مراقبة إجراءات المسؤول المتعلقة بحماية البيانات وتوثيق مدى توافقها مع أحكام هذا القانون والتشريعات ذات العلاقة.
2- التأكد من إجراء التقييم والفحص الدوري لأنظمة قواعد البيانات وأنظمة معالجة البيانات وأنظمة المحافظة على أمن وسلامة وحماية البيانات بشكل دوري على أن يقوم بتوثيق نتائج التقييم وإصدار التوصيات اللازمة لحماية البيانات ومتابعة تنفيذ هذه التوصيات.
3- العمل كضابط ارتباط مباشر مع الوحدة والجهات الأمنية والقضائية فيما يخص الالتزام بأحكام هذا القانون.
4- وضع تعليمات داخلية لتلقي الشكاوى ودراستها وطلبات الوصول للبيانات، وطلبات تصحيحها أو محوها أو اخفائها أو نقلها، وإتاحة ذلك للشخص المعني وفق أحكام القانون.
5- تمكين الشخص المعني من ممارسة حقوقه المنصوص عليها في هذا القانون.
6- تنظيم البرامج التدريبية اللازمة لموظفي المسؤول والمعالج لتأهيلهم للتعامل مع البيانات بما يتناسب ومتطلبات هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه.
7- أي مهام أو مسؤوليات أخرى منوطة به بمقتضى أحكام هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه.
المادة (12) :
يلتزم المعالج بما يلي:-
أ- إجراء المعالجة وتنفيذها وفقا للمتطلبات والشروط المنصوص عليها في هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه.
ب- عدم تجاوز الغرض المحدد للمعالجة ومدتها .
ج- محو البيانات بانقضاء مدة المعالجة أو تسليمها للمسؤول.
د- الامتناع عن القيام بأي عمل يكون من شأنه إتاحة البيانات أو نتائج المعالجة الا في الأحوال المصرح بها قانونا.
المادة (13) :
تعتبر البيانات التي تجري عليها المعالجة بيانات سرية ويقع على عاتق المسؤول والمعالج المحافظة على سريتها.
المادة (14) :
أ- لا يجوز نقل البيانات وتبادلها بين المسؤول وأي شخص آخر بمن فيهم المتلقي إلا بموافقة الشخص المعني ووفقا للشروط التالية:-
1-أن يحقق النقل مصالح مشروعة للمسؤول والمتلقي.
2- أن يتوافر العلم الكافي لدى الشخص المعني بالمتلقي والأغراض التي ستستخدم البيانات من أجلها.
3- أن لا يكون الغرض من النقل التسويق لمنتجات أو خدمات ما لم يوافق الشخص المعني على ذلك .
ب- يلتزم المسؤول بالاحتفاظ بسجلات توثق فيها البيانات التي تم نقلها أو تبادلها مع المتلقي والغرض من ذلك وتوثيق موافقات الأشخاص المعنيين على النقل.
ج- على الرغم مما ورد في الفقرتين (أ) و(ب) من هذه المادة يجوز نقل البيانات وتبادلها بين الجهات العامة المختصة بالقدر الذي يقتضيه تنفيذ المهام المنوطة بها قانونا .
د- يخضع المتلقي للمسؤوليات والواجبات القانونية ذاتها المقررة على المسؤول.
هـ- يلتزم المسؤول والمعالج والمتلقي بضمان سلامة وأمن البيانات وتهيئة الوسائل المناسبة التي تساعد في اكتشاف وتعقب حالات الاعتداء على أمنها وسلامتها.
المادة (15) :
أ- لا يجوز نقل البيانات إلى أي شخص خارج المملكة بمن في ذلك المتلقي اذا كان مستوى الحماية الذي يوفره لتلك البيانات يقل عما هو منصوص عليه في هذا القانون باستثناء الحالات التالية:-
1-التعاون القضائي الإقليمي أو الدولي بموجب اتفاقيات أو معاهدات دولية نافذة في المملكة.
2-التعاون الدولي أو الإقليمي مع الهيئات أو المنظمات أو الوكالات الدولية أو الإقليمية العاملة في مجال مكافحة الجريمة بأنواعها أو ملاحقة مرتكبيها.
3- تبادل البيانات الطبية الخاصة بالشخص المعني عندما يكون ذلك ضروريًا لعلاجه.
4- تبادل البيانات المتعلقة بالأوبئة أو الكوارث الصحية أو ما يمس الصحة العامة في المملكة.
5- موافقة الشخص المعني على النقل بعد إعلامه بعدم توافر مستوى حماية كاف.
6- العمليات المصرفية وتحويل الأموال الى خارج المملكة.
ب-على المسؤول وقبل البدء بعملية نقل البيانات التحقق من مستوى الحماية الذي يوفره المتلقي خارج المملكة لضمان حماية البيانات وأمنها.
المادة (16) :
أ- يشكل مجلس يسمى (مجلس حماية البيانات الشخصية) برئاسة الوزير وعضوية كل من:-
1- مفوض المعلومات نائبا للرئيس.
2- المفوض العام لحقوق الإنسان.
3-رئيس المركز الوطني للأمن السيبراني.
4-ممثل عن البنك المركزي .
5- ممثلين اثنين عن الاجهزة الامنية يسميهما مديرو تلك الأجهزة بناء على طلب الوزير.
6- أربعة اشخاص من ذوي الخبرة والاختصاص يسميهم مجلس الوزراء على أن يكون من بينهم ممثل عن قطاع الاتصالات وممثل عن قطاع البنوك وممثل عن قطاع تكنولوجيا المعلومات.
ب- تكون مدة العضوية في المجلس أربع سنوات قابلة للتجديد لمرة واحدة.
ج- يصدر المجلس تعليمات تنظم اجتماعاته وآلية اتخاذ قراراته وسائر الشؤون المتعلقة به.
المادة (17) :
يتولى المجلس المهام والصلاحيات التالية:-
أ- إقرار السياسات والاستراتيجيات والخطط والبرامج المتعلقة بحماية البيانات ومراقبة تنفيذها.
ب- اعتماد المعايير والتدابير الخاصة بحماية البيانات بما فيها مدونات السلوك الخاصة بحسن أداء المسؤول والمعالج لأعمالهما.
ج- اصدار التراخيص والتصاريح الخاصة بحفظ البيانات ومعالجتها وتشخيصها ونقلها.
د- اعتماد النماذج المتعلقة بالموافقة المسبقة وسحب الموافقة والاعتراضات والطلبات المقدمة من الشخص المعني وفقا لأحكام هذا القانون.
هـ- النظر في الشكاوى والطلبات المقدمة من الشخص المعني او من يفوضه بحق المسؤول أو المقدمة من المسؤول بحق أي مسؤول آخر واتخاذ الإجراءات اللازمة بشأنها .
و- إبداء الرأي بشأن المعاهدات والاتفاقيات والتشريعات والتعليمات المتعلقة بالبيانات.
ز- تمثيل المملكة في المحافل المحلية والإقليمية والدولية المتعلقة بحماية البيانات.
ح- إصدار قائمة تحدث بشكل دوري بالدول أو الهيئات أو المنظمات الدولية أو الإقليمية المعتمدة لدى المملكة والتي يتوافر لديها مستوى الحماية الكافي للبيانات ونشرها بأي وسيلة يراها مناسبة.
ط- اقتراح خطط التعاون الدولي في مجال حماية البيانات وتبادل الخبرات مع الجهات والمنظمات الدولية.
ي-التنسيق والتعاون مع الجهات والأجهزة الحكومية وغير الحكومية لضمان سلامة إجراءات حماية البيانات.
ك- إقرار التقرير السنوي الخاص بحماية البيانات المعد من الوحدة ورفعه إلى مجلس الوزراء.
ل- اقرار التعليمات المتعلقة بأحكام هذا القانون .
م- أي مهام أخرى ذات علاقة بحماية البيانات.
المادة (18) :
تتولى الوحدة المهام والصلاحيات التالية:-
أ- إعداد مشروعات التشريعات والتعليمات ذات العلاقة بحماية البيانات ورفعها للمجلس.
ب- تلقي البلاغات والشكاوى المتعلقة بمخالفة أحكام هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه والتحقيق فيها والتوصية للمجلس لاتخاذ القرار المناسب بشأنها.
ج- مراقبة الالتزام بأحكام هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه.
د- فتح سجل يقيد فيه مسؤولو ومعالجو ومراقبو حماية البيانات والإشراف عليه وتنظيمه وفقا لتعليمات يصدرها المجلس لهذه الغاية.
هـ - إعداد التقرير السنوي عن أعمال الوحدة ورفعه إلى المجلس لإقراره.
و- أي مهام أخرى يكلفها الوزير أو المجلس بها.
المادة (19) :
يلتزم رئيس المجلس واعضاؤه وموظفو الوحدة بمراعاة السرية التامة لجميع البيانات التي يطلعون عليها وذلك تحت طائلة المسؤولية القانونية ولا يجوز الافصاح عنها إلا وفق احكام القانون.
المادة (20) :
أ-عند حدوث إخلال بأمن وسلامة البيانات من شأنه إحداث ضرر جسيم بالشخص المعني، يتوجب على المسؤول القيام بما يلي:-
1-إبلاغ الأشخاص المعنيين الذين تكون بياناتهم قد تأثرت خلال (24) ساعة من اكتشاف عملية الإخلال، وتزويدهم بالإجراءات اللازمة لتفادي أي عواقب قد تترتب على هذا الإخلال.
2-إبلاغ الوحدة خلال (72) ساعة من اكتشاف عملية الإخلال عن مصدر الإخلال وآليته والأشخاص المعنيين الذين تأثرت بياناتهم بهذا الإخلال وأي معلومات أخرى متوافرة حولها.
ب-يكون المسؤول المتسبب بحدوث الخطأ الجسيم او التعدي ملزما بتعويض الشخص المعني.
المادة (21) :
أ- في حال ارتكاب أي مخالفة لأحكام هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه تقوم الوحدة بإنذار المخالف للتوقف عن المخالفة وإزالة أسبابها وآثارها خلال مدة تحددها في الانذار وإذا انقضت هذه المدة دون تنفيذ مضمون الإنذار يتخذ المجلس بناء على تنسيب الوحدة أيا من الجزاءات التالية:-
1-الإنذار بإيقاف الترخيص أو التصريح جزئيا أو كلياً.
2-إيقاف الترخيص أو التصريح جزئياً أو كلياً.
3-إلغاء الترخيص أو التصريح جزئيا أو كليا.
4-فرض غرامة مالية لا يزيد مقدارها على (500) دينار عن كل يوم تستمر فيه المخالفة على أن لا يزيد مجموع مبلغ الغرامة المفروضة على (3%) من إجمالي الإيرادات السنوية للسنة المالية السابقة للمسؤول المخالف.
ب- يجوز للوحدة نشر بيان بالمخالفات التي ثبت وقوعها على نفقة المخالف بالوسيلة والكيفية التي تراها مناسبة.
ج- لا يحول اتخاذ أي من الإجراءات المنصوص عليها في الفقرة (أ) من هذه المادة دون حق المتضرر من إقامة دعوى التعويض المدني عن الأضرار التي لحقت به نتيجة مخالفة أحكام هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه.
المادة (22) :
أ- مع عدم الاخلال بأي عقوبة أشد ورد النص عليها في أي تشريع آخر يعاقب كل من يخالف أحكام هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه بغرامة لا تقل عن (1000) الف دينار ولا تزيد على (10000) عشرة آلاف دينار وتضاعف العقوبة في حال التكرار.
ب- إضافة إلى العقوبة المنصوص عليها في الفقرة (أ) من هذه المادة يجوز للمحكمة المختصة بناء على طلب النيابة العامة او المتضرر أو من تلقاء نفسها ان تقضي بإتلاف البيانات أو إلغاء قاعدة البيانات موضوع الدعوى التي صدر بها قرار قطعي بالإدانة .
المادة (23) :
تلتزم جميع الجهات التي تتعامل بالبيانات قبل نفاذ أحكام هذا القانون بتوفيق أوضاعها وفقا لأحكامه خلال مدة لا تتجاوز سنة من تاريخ نفاذه.
المادة (24) :
يصدر مجلس الوزراء الأنظمة اللازمة لتنفيذ أحكام هذا القانون بما في ذلك ما يلي:-
أ-1- أنواع التراخيص والتصاريح التي تصدر وفقا لأحكام هذا القانون وشروطها ومتطلباتها وحالات وقفها أو إلغائها.
2- تستثنى الجهات التي تتولى معالجة البيانات للغرض الذي جُمعت من اجله من التراخيص والتصاريح المنصوص عليها في البند (1) من هذه الفقرة.
ب- شروط وإجراءات الحصول على الموافقة المسبقة وسحبها.
ج- شروط الإفصاح عن البيانات والأشخاص الذين يجوز الإفصاح لهم والبيانات المسموح بالإفصاح عنها.
د- تنظيم آليات وإجراءات عمل الوحدة .
المادة (25) :
رئيس الوزراء والوزراء مكلفون بتنفيذ أحكام هذا القانون.