المطابقة مع القانون
المطابقة مع أحكام القانون رقم 18-07
إن معالجة المعطيات الشخصية تخضع إلى مبادئ. وأّنّ احترام هذه المبادئ يسمح لكم بمطابقة ما تقومون به من معالجات مع أحكام القانون رقم 18-07.
المبـــــادئ:
كلّ الهيئات العمومية و الخواص الذين يقومون بمعالجة معطيات ذات الطابع شخصي مُلزمون بإعداد قائمة بذلك و التصريح بجميع عمليات معالجة المعطيات ذات الطابع الشخصي التي تتمّ على مستواهم أو على مستوى مَقَرُّ المعالج من الباطن.
- يودع لدى السلطة الوطنية لحماية المعطيات ذات الطابع الشخصي أو يُرسل إليها تصريح بعمليات المعالجة الموجودة، يتضمّن الالتزام بأن تلك العمليات تتمّ بشكلٍ مطابقٍ لأحكام القانون رقم 18-07.
- بالنسبة لكل معالجة جديدة لمعطيات ذات طابع شخصي، فإنه لا بدّ من تقديم أمام السلطة الوطنية لحماية المعطيات ذات الطابع الشخصي تصريحا مُسبقا أو طلب ترخيص.
- إن السلطة الوطنية لحماية المعطيات ذات الطابع الشخصي سوف تضع مُستقبلاً (شهر أوت 2023) عبر موقعها الالكتروني تحت تصرّف الهيئات العمومية و الخواص المعنيّين استمارات التصاريح و التصاريح المُسبقة.
- معالجة المعطيات ذات الطابع الشخصي لا يمكن أن تتمّ إلاّ بالموافقة الصّريحة للشخص المعني.
- معالجة المعطيات ذات الطابع الشخصي و التي تتعلّق بطفل لا يمكن أن تتمّ إلاّ بعد الحصول على موافقة ممثله الشرعي أو بإذن من القاضي المختصّ عند الاقتضاء.
يجب أن تكون المعطيات الشخصية:
- معالجة بطريقة مشروعة ونزيهة،
- مجمعة لغايات محددة، وواضحة ومشروعة وأن لا تعالج لاحقا بطريقة تتنافى مع هذه الغايات،
- ملائمة ومناسبة وغير مبالغ فيها بالنظر إلى الغايات التي من أجلها تم جمعها أو معالجتها،
- صحيحة وكاملة ومحيّنة إذا اقتضى الأمر،
- محفوظة خلال مدّة لا ينبغي أن تتعدّى المدّة الضّرورية لتحقيق الغايات التي جُمِعَت و عُولجَت من أجلها؛
يمكن للسلطة الوطنية، في حال وجود مصلحة مشروعة أن تُرَخِّصَ بحفظ المعطيات ذات الطابع الشخصي لغايات تاريخية أو إحصائية أو علمية، بناءً على طلب المسؤول عن المعالجة.
يُمنع معالجة المعطيات الحسّاسة بمفهوم القانون رقم 18-07 ما عدا في الحالات التالية:
- الموافقة المُسبقة للشخص المعني؛
- إذا كانت المعالجة مُبرّرة بأسباب تتعلّق بالمصلحة العامة و كانت ضرورية لضمان ممارسة المهام القانونية أو النظامية للمسؤول عن المعالجة؛
- إذا كان القانون ينصّ عليها؛
- بترخيص من السلطة الوطنية؛
- الحالات المنصوص عليها في البنود من "أ" إلى "هـ" من الفقرة 3 من المادة 18 من القانون رقم 18-07.
- إن المعطيات ذات الطابع الشخصي محلّ المعالجة لا يُمكن تحويلها إلى الغير إلاّ من أجل تحقيق غايات مرتبطة مباشرة بمهام المسؤول عن المعالجة و المرسل إليه؛
- يخضع إلى ترخيص من السلطة الوطنية، كلّ ربط بيني لملفات تابعة لشخص أو عدّة أشخاص معنويين يسيّرون مرفقا عموميًّا لأغراض مختلفة مرتبطة بالمنفعة العامة؛
- تطبّق نفس الأحكام المذكورة في الفقرة أعلاه على كلّ ربط بيني لملفات تابعة لأشخاص طبيعيين لأغراض مختلفة؛
- يجب أن يسمح الربط البيني للملفات ببلوغ أهداف مشروعة و شرعية بالنسبة إلى المسؤولين عن المعالجة. و يجب أن لا تتضمّن أيّ تمييز أو تقليص من الحقوق و الحريات و الضمانات الممنوحة للأشخاص المعنية؛
- إن السلطة الوطنية لحماية المعطيات ذات الطابع الشخصي سوف تضع مُستقبلاً (شهر أوت 2023) عبر موقعها الالكتروني تحت تصرّف الهيئات العمومية و الخواص المعنيّين استمارات الربط البيني للملفات.
- المسؤول عن المعالجة مُلزمٌ باتخاذ كافة الاحتياطات اللاّزمة بالنظر إلى طبيعة المعطيات، لا سيما لمنع تعرّضها للتلف أو أيّ ضرر أو الولوج غير المُرخَّص إليها؛
- يُمكن للسلطة الوطنية أن تقرّر تأمين الإرسال، لا سيما عن طريق تشفيره في حالة ما إذا كان سير المعطيات ذات الطابع الشخصي في الشبكة يمكن أن يتضمّن مخاطر على حقوق و حريات و ضمانات الأشخاص المعنيين؛
- في حالة جمع المعطيات في شبكة مفتوحة يجب إعلام الشخص المعني، ما لم يكن على علم مسبق بها بأن معطياته ذات الطابع الشخصي يمكن أن تُتداوَل عبر الشبكات من دون ضمانات السلامة و أنه يُمكن الاطلاع عليها و استعمالها من طرف أشخاص آخرين غير مُرخّص لهم بذلك؛
- يجب على مسؤولي المعالجة وضع الترتيبات التقنية و التنظيمية الملائمة لحماية المعطيات ذات الطابع الشخصي من الاتلاف العَرَضي أو غير المشروع أو الضياع العَرَضي أو التلف أو النشر أو الولوج غير المرخّصيْن، خصوصا عندما تستوجب المعالجة إرسال معطيات عبر شبكة معيّنة و كذا حمايتها من جميع أشكال المعالجة غير المشروعة؛
يجب أن تضمن هذه الترتيبات مستوى ملائما من السلامة بالنظر إلى المخاطر التي تمثلها المعالجة و إلى طبيعة المعطيات الواجب حمايتها؛
- عندما تتمّ المعالجة لحساب المسؤول عنها، يجب على هذا الأخير اختيار معالج من الباطن يقدّم الضمانات الكافية المتعلّقة بإجراءات السلامة التقنية و التنظيمية للمعالجات الواجب القيام بها و يسهر على احترامها؛
- يجب أن تتمّ المعالجة من الباطن بموجب عقد أو سند قانوني يربط المعالج من الباطن بالمسؤول عن المعالجة، و ينصّ على الخصوص بأن لا يتصرّف المعالج من الباطن إلاّ بناءا على تعليمات من المسؤول عن المعالجة و على تقيّده بالالتزامات المذكورة في الفقرة 4 أعلاه؛
- تحقيقا لأغراض حفظ الأدلة، تقيّد عناصر العقد أو السند القانوني و كذا المتطلّبات المتعلقة بالترتيبات المنصوص عليها في الفقرة 4 أعلاه كتابة أو في شكل آخر معادل؛
- تلزَم الهيئات ذات الطابع العمومي بتطبيق التدابير الأمنية المنصوص عليها في المرجع الوطني لأمن المعلومات (RNSI-2020) الصادر عن وزارة البريد و الاتصالات، لا سيما في شقّه "المجال2 ـ حماية المعطيات ذات الطابع الشخصي". (تعليمة رقم 02/PM المؤرّخة في 3 يوليو 2016 المتضمّنة الوضع حيّز التطبيق للمرجع الوطني لأمن المعلومات)؛
- يمكن للسلطة الوطنية إجراء التحريات المطلوبة و معاينة المحلاّت و الأماكن التي تتمّ فيها المعالجة، باستثناء المحلاّت السّكنية، و يمكنها للقيام بمهامها الولوج إلى المعطيات محلّ المعالجة و جميع المعلومات و الوثائق مهما كانت دعامتها.
- إن معالجة المعطيات ذات الطابع الشخصي يكون سرّيًّا؛
- كلّ شخص يعمل تحت سلطة المسؤول عن المعالجة أو المعالج من الباطن و يطّلع على معطيات ذات طابع شخصي لا يمكنه معالجة تلك المعطيات إلاّ بناءً على تعليمات المسؤول عن المعالجة، إلاّ في حالة تنفيذ التزام قانوني؛
- المسؤول عن المعالجة و كلّ شخص اطّلع بمناسبة وظيفته على معطيات ذات طابع شخصي ملزم باحترام السّر المهني حتى بعد توقفه عن ممارسة وظائفه، و ذلك تحت طائلة العقوبات المقرّرة بموجب التشريع السّاري؛
- يجب على المسؤول عن المعالجة وضع ميثاق معلوماتي يوقّع عليه من طرف المتدخّلين الذين يمكنهم الولوج إلى معطيات ذات طابع شخصي (نموذج من الميثاق مُلحق تحت رقم 2 بالمرجع الوطني لأمن المعلومات RNSI-2020).
- وفقًا لمتطلبات المادتين 25 مطّة 5 و 44 من القانون رقم 18-07، يتعين على كل مسؤول عن المعالجة، سواء كان هيئة عامة أو خاصة، يرغب في نقل معطيات ذات طابع شخصي نحو الخارج، تقديم طلب إلى السلطة الوطنية؛
- إن السلطة الوطنية لحماية المعطيات ذات الطابع الشخصي سوف تضع مُستقبلاً (شهر أوت 2023) عبر موقعها الالكتروني تحت تصرّف الهيئات العمومية و الخواص المعنيّين استمارات طلب ترخيص نقل المعطيات ذات الطابع الشخصي نحو الخارج.
- يُقصد بالاستكشاف المباشر، كلّ طلب مباشر يتم عن طريق إرسال رسالة، بغض النظر عن دعامتها أو طبيعتها، موجّهة للترويج، بشكل مباشر أو غير مباشر، للسلع أو الخدمات أو لسمعة الشخص الذي يبيع السلع أو يقدم الخدمات؛
- تتحقق السلطة الوطنية من مدى امتثال مقدمي الخدمات والأعوان الاقتصاديين والتجاريين للأحكام المتعلقة بحظر التسويق المباشر المنصوص عليها في المادة 37 من القانون رقم 18-07؛
- يحق لكلّ شخص كان محلاّ للاستكشاف المباشر دون موافقته المسبقة أن يعترض بأية وسيلة أمام مقدم الخدمة أو العون الاقتصادي أو التجاري المعني، والذي يتعين عليه إنهاء ذلك الاستكشاف على الفور؛
- يلتزم مقدم الخدمة أو صاحب الامتياز الاقتصادي أو التجاري بتمكين الشخص المعني بالآلية الفنية التي تسمح له بتقديم الاعتراض المشار إليه في الفقرة أعلاه؛
- تطبيقا لأحكام القانون رقم 18-07، في حالة عدم إنهاء الاستكشاف في غضون عشرة (10) أيام، يجوز للشخص المعني إخطار السلطة الوطنية لاتخاذ التدابير اللاّزمة