إلتزمات الهيئات المعنية
الغرض من القانون رقم 18-07 هو وضع قواعد حماية المعطيات الشخصية التي تؤدي إلى ترسيخ مبادئ جديدة، وتكريس حقوق جديدة، وإنشاء التزامات عديدة.
التزامات المسؤول عن المعالجة:
الالتزامات المرتبطة بـ :
- التصريح بالمعالجة؛
- تعيين مسؤول المعالجة أو ممثله المؤهّل؛
- الحق في الاعلام؛
- الحق في الولوج؛
- الحق في التصحيح؛
- الحق في الاعتراض؛
- المنع من الاستكشاف المباشر؛
- السرية وسلامة المعالجة؛
- معالجة المعطيات ذات الطابع الشخصي في إطار الاتصال الالكتروني؛
- التصديق والتوقيع الالكترونيين؛
- طلب التراخيص (لمعالجة المعطيات، لتحويل المعطيات لشخص آخر أو نحو الخارج، الربط البيني للملفات، معالجة المعطيات الحساسة).
- الالتزام بالتصريح بمعالجة المعطيات ذات الطابع الشخصي أمام السلطة الوطنية. المسؤول عن المعالجة (سواء كان هيئة عمومية أو خاصة) ملزم بإيداع التصريح أمام السلطة الوطنية عن كلما يقوم به من معالجات آلية وغير آلية.
- كل معالجة جديدة لمعطيات ذات طابع شخصي يجب أن تكون محل تصريح مسبق أو طلب ترخيص يقدم للسلطة الوطنية.
- وضعت السلطة الوطنية على موقعها الإلكتروني (anpdp.dz) بوابة رقمية تسمح للمعنيين بمعالجة المعطيات ذات الطابع الشخصي بإنشاء حساب خاص للدخول إلى البوابة، والقيام بملء الاستمارات الالكترونية الخاصة بالتصريح المسبق للمعالجات، طلبات الترخيص، وطلبات الاستشارة، مع إمكانية متابعة مآل طلباتهم.
- كل شخصي طبيعي أو معنوي يقوم بمعالجة معطيات ذات طابع شخصي ملزم بتعيين ممثلها المؤهل وإرسال البيانات المتعلقة بها السلطة الوطنية.
- وضعت السلطة الوطنية على موقعها الإلكتروني (anpdp.dz) بوابة رقمية تسمح للمعنيين بمعالجة المعطيات ذات الطابع الشخصي بإنشاء حساب خاص للدخول إلى البوابة، والقيام بملء الاستمارات الالكترونية الخاصة بالتصريح المسبق للمعالجات، طلبات الترخيص، وطلبات الاستشارة، مع إمكانية متابعة مآل طلباتهم. عند الدخول البوابة الرقمية يمكن ملأ المعلومات الخاصة بالمسؤول عن المعالجة وممثله المؤهل.
- إن المسؤول عن المعالجة أو ممثله المُعيّن يعتبران الممثل الرّسمي والمؤهل اتجاه السلطة الوطنية.
- وفقًا للمادة 32 من القانون رقم 18-07، ما لم يكن قد علم بذلك من قبل، يجب إبلاغ أي شخص يتم استدعائه بهدف جمع معطياته الشخصية مسبقًا وبشكل صريح لا لبس فيه من قبل المسؤول عن المعالجة أو ممثله بالعناصر التالية:
- هوية المسؤول عن المعالجة، وعند الاقتضاء ممثله؛
- الغاية من المعالجة؛
- كلّ المعلومات الإضافية اللاّزمة، لا سيما هوية المتلقي، والالتزام بالرّد وتبعاته، وحقوقه وتحويل المعطيات نحو الخارج.
- عندما لا يتم جمع المعطيات الشخصية من الشخص المعني بها، يجب على المسؤول عن المعالجة أو ممثله، قبل تسجيل البيانات أو توصيلها إلى طرف آخر، تزويد الشخص المعني بالمعلومات المشار إليها أعلاه، ما لم يتبيّن علمه المُسبق بها.
- في حال جمع المعطيات في الشبكات المفتوحة، يجب إبلاغ الشخص المعني، ما لم يكن يعلم مسبقا، أن المعطيات ذات الطابع الشخصي المتعلقة به يمكن أن تنتشر على الشبكات دون ضمانات أمنية، وأنها معرضة لخطر قراءتها واستخدامها من قبل أطراف أخرى غير مرخّص لهم.
- طبقا للمادة 34 من القانون رقم 18ـ07 فإن الشخص المعني له الحق في أن يحصل من المسؤول عن المعالجة على:
-التأكيد على أن المعطيات الشخصية المتعلقة به كانت محلّ معالجة أم لا، وأغراض المعالجة وفئات المعطيات التي تنصبّ عليها والمرسل إليهم.
- إفادته، وفق شكل واضح، بالمعطيات الخاصة به التي تخضع للمعالجة وكذا بكل معلومة متاحة حول مصدر المعطيات.
- يحق للمسؤول عن المعالجة أن يطلب من السلطة الوطنية تحديد آجال للإجابة على طلبات الولوج المشروعة، ويمكنه الاعتراض على الطلبات التعسّفية، لا سيما من حيث عددها وطابعها المتكرّر، ويقع على عاتقه إثبات الطابع التعسّفي لهذا الطلب.
- طبقا للمادة 35 من القانون رقم 18ـ07 فإن الشخص المعني له الحق في أن يحصل مجّانًا من المسؤول عن المعالجة على:
أ ـ تحيين أو تصحيح أو مسح أو غلق المعطيات الشخصية التي تكون معالجتها غير مطابقة لذلك القانون بسبب الطّابع غير المكتمل أو غير الصحيح لتلك المعطيات على الخصوص، أو لكون معالجتها ممنوعة قانونا.
في حالة رفض المسؤول عن المعالجة طلب التحيين أو التصحيح أو المسح أو الغلق أو في حال عدم الرّد في أجل 10 أيام من إخطاره، يحق للشخص المعني أو ورثته تقديم هذا الطلب أمام السلطة الوطنية.
ب ـ إخطار الغير الذين تم إبلاغ المعطيات الشخصية لهم بأي تحديث أو تصحيح أو مسح أو غلق لتلك المعطيات تمّ تنفيذه وفقًا للفقرة "أ" أعلاه، إذا لم يكن ذلك مستحيلًا.
- إذا عاينت السلطة الوطنية بناءً على التحريات بأن طلب المعني أو ورثته مؤسّسا، تصدر قرارا بإجراء التحيين أو التصحيح أو المسح أو الغلق المطلوب وتبلّغه إلى المسؤول عن المعالجة لتنفيذه كما يتمّ تبليغه إلى الغير الذين تلقّوا المعطيات محلّ القرار السّالف الذّكر.
- طبقا للمادة 36 من القانون رقم 18ـ07 فإن الشخص المعني له الحق في الاعتراض، لأسباب مشروعة، على معالجة معطيات ذات طابع شخصي متعلّقة به.
- وله الحق في الاعتراض على استعمال المعطيات المتعلقة به لأغراض دعائية، لا سيما التجارية منها، من طرف المسؤول الحالي عن المعالجة أو أي مسؤول عن معالجة لاحقة.
- إذا عاينت السلطة الوطنية بناءً على التحريات بأن الأسباب التي أسّس عليها الشخص المعني اعتراضه مشروعة أو أن المعطيات التي تمّ الاعتراض بشأنها استُعمِلت لأغراض دعائية دون موافقة الشخص المعني، فإنها تصدر قرارا بالوقف الفوري لمعالجة المعطيات.
- يُقصد بالاستكشاف المباشر، كلّ طلب مباشر يتم عن طريق إرسال رسالة، بغض النظر عن دعامتها أو طبيعتها، موجّهة للترويج، بشكل مباشر أو غير مباشر، للسلع أو الخدمات أو لسمعة الشخص الذي يبيع السلع أو يقدم الخدمات.
- تراقب السلطة الوطنية مدى احترام مقدمي الخدمات والأعوان الاقتصاديين والتجاريين للأحكام المتعلقة بحظر التسويق المباشر المنصوص عليها في المادة 37 من القانون رقم 18-07.
- كلّ شخص كان محلاّ للاستكشاف المباشر دون موافقته المسبقة يحقّ له أن يعترض بأية وسيلة أمام مقدم الخدمة أو العون الاقتصادي أو التجاري المعني، والذي يتعين عليه إنهاء ذلك الاستكشاف على الفور.
- يلتزم مقدم الخدمة أو صاحب الامتياز الاقتصادي أو التجاري بتمكين الشخص المعني بالآلية الفنية التي تسمح له بتقديم الاعتراض المشار إليه في الفقرة أعلاه.
- تطبيقا لأحكام القانون رقم 18-07، في حالة عدم إنهاء الاستكشاف في أجل عشرة (10) أيام، يجوز للشخص المعني إخطار السلطة الوطنية لاتخاذ التدابير اللاّزمة.
- إن معالجة المعطيات ذات الطابع الشخصي يكون سرّيًّا؛
- كلّ شخص يعمل تحت سلطة المسؤول عن المعالجة أو المعالج من الباطن ويطّلع على معطيات ذات طابع شخصي لا يمكنه معالجة تلك المعطيات إلاّ بناءً على تعليمات المسؤول عن المعالجة، إلاّ في حالة تنفيذ التزام قانوني؛
- المسؤول عن المعالجة وكلّ شخص اطّلع بمناسبة وظيفته على معطيات ذات طابع شخصي ملزم باحترام السّر المهني حتى بعد توقفه عن ممارسة وظائفه، وذلك تحت طائلة العقوبات المقرّرة بموجب التشريع السّاري؛
- يجب على المسؤول عن المعالجة وضع ميثاق معلوماتي يوقّع عليه من طرف المتدخّلين الذين يمكنهم الولوج إلى معطيات ذات طابع شخصي (نموذج من الميثاق مُلحق تحت رقم 2 بالمرجع الوطني لأمن المعلومات RNSI-2020).
- المسؤول عن المعالجة مُلزمٌ باتخاذ كافة الاحتياطات اللاّزمة بالنظر إلى طبيعة المعطيات، لا سيما لمنع تعرّضها للتلف أو أيّ ضرر أو الولوج غير المُرخَّص إليها؛
- يُمكن للسلطة الوطنية أن تقرّر تأمين الإرسال، لا سيما عن طريق تشفيره في حالة ما إذا كان سير المعطيات ذات الطابع الشخصي في الشبكة يمكن أن يتضمّن مخاطر على حقوق وحريات وضمانات الأشخاص المعنيين؛
- في حالة جمع المعطيات في شبكة مفتوحة يجب إعلام الشخص المعني، ما لم يكن على علم مسبق بها بأن معطياته ذات الطابع الشخصي يمكن أن تُتداوَل عبر الشبكات من دون ضمانات السلامة، وأنه يُمكن الاطلاع عليها واستعمالها من طرف أشخاص آخرين غير مُرخّص لهم بذلك؛
- يجب على مسؤولي المعالجة وضع الترتيبات التقنية والتنظيمية الملائمة لحماية المعطيات ذات الطابع الشخصي من الاتلاف العَرَضي أو غير المشروع أو الضياع العَرَضي أو التلف أو النشر أو الولوج غير المرخّصيْن، خصوصا عندما تستوجب المعالجة إرسال معطيات عبر شبكة معيّنة وكذا حمايتها من جميع أشكال المعالجة غير المشروعة؛
- يجب أن تضمن هذه الترتيبات مستوى ملائما من السلامة بالنظر إلى المخاطر التي تمثلها المعالجة وإلى طبيعة المعطيات الواجب حمايتها؛
- عندما تتمّ المعالجة لحساب المسؤول عنها، يجب على هذا الأخير اختيار معالج من الباطن يقدّم الضمانات الكافية المتعلّقة بإجراءات السلامة التقنية والتنظيمية للمعالجات الواجب القيام بها ويسهر على احترامها؛
- يجب أن تتمّ المعالجة من الباطن بموجب عقد أو سند قانوني يربط المعالج من الباطن بالمسؤول عن المعالجة، وينصّ على الخصوص بأن لا يتصرّف المعالج من الباطن إلاّ بناءا على تعليمات من المسؤول عن المعالجة وعلى تقيّده بالالتزامات المذكورة في الفقرة 4 أعلاه؛
- تحقيقا لأغراض حفظ الأدلة، تقيّد عناصر العقد أو السند القانوني وكذا المتطلّبات المتعلقة بالترتيبات المنصوص عليها في الفقرة 4 أعلاه كتابة أو في شكل آخر معادل؛
- تلزَم الهيئات ذات الطابع العمومي بتطبيق التدابير الأمنية المنصوص عليها في المرجع الوطني لأمن المعلومات (RNSI-2020) الصادر عن وزارة البريد والاتصالات، لا سيما في شقّه "المجال2 ـ حماية المعطيات ذات الطابع الشخصي". (تعليمة رقم 05/وأ المؤرّخة في 15 مارس 2021 المتضمّنة الوضع حيّز التطبيق للمرجع الوطني لأمن المعلومات)؛
- يمكن للسلطة الوطنية إجراء التحريات المطلوبة ومعاينة المحلاّت والأماكن التي تتمّ فيها المعالجة، باستثناء المحلاّت السّكنية، ويمكنها للقيام بمهامها الولوج إلى المعطيات محلّ المعالجة وجميع المعلومات والوثائق مهما كانت دعامتها
- تراقب السلطة الوطنية مقدم الخدمات فيما يتعلق بالتدابير اللازمة المتخذة لحماية معالجة المعطيات ذات الطابع الشخصي على شبكات الاتصالات الإلكترونية المفتوحة للجمهور.
- إذا أدّت المعالجة المذكورة أعلاه إلى إتلاف المعطيات ذات الطابع الشخصي أو ضياعها أو الكشف عنها أو إلى ولوج غير شرعي إليها، يجب على مزود الخدمات إبلاغ السلطة الوطنية والشخص المعني على الفور، عندما يُحتَمَل أن يؤثر هذا الانتهاك على حياته الخاصة.
- تقوم السلطة الوطنية بمراقبة مدى احتفاظ مزود الخدمات بقائمة جرد محيّنة لحالات انتهاك المعطيات ذات الطابع الشخصي والتدابير المتخذة لمعالجتها.
- طبقًا للمادة 42 من القانون رقم 18-07، وباستثناء الموافقة الصريحة للشخص المعني، فإن المعطيات ذات الطابع الشخصي التي يجمعها مقدمو خدمات التصديق الإلكتروني لأغراض إصدار وتخزين الشهادات المتعلقة بالتوقيعات الإلكترونية يجب أن تكون مباشرة لدى الشخص المعني، ولا يمكن معالجتها إلا للأغراض التي تم جمعها من أجلها.
في حالة إجراء معالجة المعطيات ذات الطابع الشخصي بواسطة مقدّمي التصديق والتوقيع الإلكترونييْن لأغراض أخرى خارج الغرض الذي تم جمعها من أجله، يجوز للشخص المعني الاعتراض على ذلك وفقًا للشروط المذكورة أعلاه.
تخضع لطلب الترخيص المُسبق من السلطة الوطنية كلّ معالجة جديدة للمعطيات ذات الطابع الشخصي وكلّ تحويل لتلك للمعطيات إلى الغير أو نحو الخارج وكلّ ربط بيني للملفات وكل معالجة لمعطيات حساسة.
- كلّ معالجة جديدة لمعطيات ذات طابع شخصي، تستلزم إيداع تصريح مُسبق أو طلب ترخيص على مستوى السلطة الوطنية.
- وفقًا لمقتضيات المادتين 25 مطّة 5 و44 من القانون رقم 18-07، يتعين على كل مسؤول عن المعالجة، سواء كان هيئة عامة أو خاصة، يرغب في نقل معطيات ذات طابع شخصي نحو الخارج، تقديم طلب إلى السلطة الوطنية.
- لا يجوز إرسال المعطيات ذات الطابع الشخصي محلّ المعالجة إلى الغير إلّا من أجل تحقيق غايات متعلقة مباشرة بمهام المسؤول عن المعالجة والمرسل إليه.
- يكون محلاّ للترخيص من السلطة الوطنية كلّ ربط بيني لملفات تخص شخصًا معنويا واحدًا أو أكثر يدير مرفق عام لأغراض مختلفة تتعلق بالمصلحة العامة.
- وضعت السلطة الوطنية على موقعها الإلكتروني (www.anpdp.dz) بوابة رقمية تسمح للمعنيين بمعالجة المعطيات ذات الطابع الشخصي بإنشاء حساب خاص للدخول إلى البوابة، والقيام بملء الاستمارات الالكترونية الخاصة بالتصريح المسبق للمعالجات، طلبات الترخيص، وطلبات الاستشارة، مع إمكانية متابعة مآل طلباتهم.