القواعد المطبقة حتى 28 ديسمبر 2015 لجمع ومعالجة البيانات الشخصية لم تعد صالحة في عام 2016
كانت القاعدة هي أن معالجة البيانات الشخصية ستجذب التزام المشغل بإخطار الهيئة الوطنية للإشراف على معالجة البيانات الشخصية (ANSPDCP). نوضح كيف تحول الالتزام بإخطار البيانات الشخصية من القاعدة إلى استثناء بعد قرار رئيس ANSPDCP رقم. 200 / 2015.
من يحتفظ بالتزام إخطار ANSPDCP اعتبارًا من عام 2016؟
وفقًا للقانون المعياري المشار إليه، فإن أي كيان - شركة، منظمة غير حكومية، مؤسسة عامة، شخص طبيعي مرخص له، منظمة حكومية، إلخ. - التي تقوم بجمع ومراقبة معالجة البيانات الشخصية من تلك المفصلة أدناه، ملزمة بإخطار ANSPDCP.
1. معالجة البيانات الشخصية المتعلقة بالأصل العرقي أو الإثني، والمعتقدات السياسية أو الدينية أو الفلسفية أو ما شابه ذلك، والعضوية النقابية، والحياة الصحية أو الجنسية
أي أن معالجة البيانات يمكن أن تؤدي إلى التمييز ضد الشخص المعني. إنه معيار يُلزم المشغلين بإخطار ANSPDCP من أجل حماية الحقوق الدستورية للمواطنين، التي تكفلها المادة. 4 الفقرة. (2) من الدستور.
ويتعلق هذا المعيار بالمشغلين الذين يقومون بأنشطة في مجال الصحة، وتوفير خدمات مسح السوق والتعداد، وشركات التأمين، والشركات التي تم تنظيم النقابات العمالية فيها، وما إلى ذلك.
2. معالجة البيانات الشخصية الجينية والبيومترية
تلتزم معاهد البحث والتطوير في المجال الصحي، والكيانات، بخلاف السلطات العامة، التي تدير السجلات السكانية وتحتفظ بها، منذ عام 2015، بإخطار ANSPDCP إلى الحد الذي تقوم فيه بمعالجة هذه البيانات الشخصية.
3. البيانات الشخصية التي تسمح، بشكل مباشر أو غير مباشر، بتحديد الموقع الجغرافي للأشخاص الطبيعيين من خلال وسائل الاتصال الإلكترونية
ويعتبر مقدمو خدمات الاتصالات هم المشغلين الاقتصاديين الرئيسيين المستهدفين من خلال تطبيق هذا المعيار. بالإضافة إلى ذلك، يمكن أيضًا مراعاة مقدمي خدمة سيارات الأجرة الذين يستخدمون وسائل تحديد موقع العملاء لتلقي الطلبات، إلى الحد الذي يرفض فيه الأشخاص المقدمون أيضًا هويتهم (اللقب والاسم الأول وأي معلومات شخصية أخرى)، بصرف النظر عن الموقع التي يمكن أن تؤدي إلى تحديد الهوية).
4. فيما يتعلق بارتكاب جرائم من قبل صاحب البيانات أو الإدانات الجنائية أو التدابير الأمنية أو العقوبات الإدارية أو المخالفة المطبقة على صاحب البيانات، والتي تنفذها كيانات القانون الخاص
إن المركزية في قاعدة بيانات الأشخاص الذين ارتكبوا جرائم و/أو المدانين أو الذين تم اتخاذ تدابير أمنية ضدهم، مثل الاحتجاز أو الحبس الاحتياطي أو الإقامة الجبرية أو التدابير المخالفة، تُلزم أي شخص، بغض النظر عما إذا كان يقوم بتنفيذ أعمال اقتصادية أم لا. الأنشطة أم لا، لإخطار ANSPDCP.
5. معالجة البيانات الشخصية بالوسائل الإلكترونية
فهو يجمع بين فئتين كبيرتين: الأشخاص الذين يصدرون الفواتير الإلكترونية بمعنى القانون المالي الجديد وأولئك الذين يقومون بأنشطة التجارة الإلكترونية. بشكل رئيسي، جميع الأنشطة التي يتم تنفيذها باستخدام الوسائل الإلكترونية - من خلال المعدات الإلكترونية وشبكات الكابلات والألياف الضوئية والراديو والأقمار الصناعية وغيرها، المستخدمة لمعالجة المعلومات أو تخزينها أو نقلها - والتي تنطوي على معالجة البيانات الشخصية، تفرض على الأشخاص الذين يقومون بأنشطة إخطار ANSPDCP هذه.
وبالتالي، يمتد نطاق الأشخاص الذين يكتسبون صفة مشغل البيانات الشخصية إلى جميع الشركات التي تدير متاجر عبر الإنترنت أو منصات رقمية، وتبرم وثائق التأمين بالوسائل الإلكترونية، وتستخدم أدوات الدفع الإلكترونية، وما إلى ذلك.
6. المعالجة التي تهدف إلى مراقبة و/أو تقييم جوانب معينة من الشخصية، مثل الكفاءة المهنية أو المصداقية أو السلوك أو غير ذلك
يبدو أن المعيار المذكور أعلاه يستهدف وكالات التوظيف. إلا أن الأفق يمتد إلى المؤسسات التعليمية وأصحاب العمل، بغض النظر عن المجال الذي يعملون فيه وبغض النظر عن الوسائل المستخدمة للحصول على المعلومات المذكورة ومركزيتها.
7. معالجة البيانات الشخصية بالوسائل الإلكترونية ضمن أنظمة السجلات بهدف اعتماد قرارات تلقائية فردية فيما يتعلق بتحليل الملاءة المالية والوضع الاقتصادي المالي والحقائق التي من المحتمل أن تجذب المسؤولية التأديبية أو المخالفة أو الجنائية للأشخاص الطبيعيين، من خلال كيانات القانون الخاص
حتمًا، كان لا بد من الاحتفاظ بالتزام إخطار ANSPDCP من قبل مكاتب الائتمان وأي أنظمة تسجيل أخرى من نوع مكاتب الائتمان.
8. تتم معالجة البيانات الشخصية للقاصرين ضمن أنشطة التسويق المباشر
كل من الفاعلين الاقتصاديين الذين يتمثل نشاطهم الأساسي في الإعلان عن طريق إجراء الحملات التسويقية وغيرها من الخدمات الإعلانية بهدف جذب والاحتفاظ بالعملاء الذين لم يبلغوا سن 18 عامًا والمستفيدين من هذه الخدمات، وذلك فقط في حدود توفير قواعد البيانات من قبل هؤلاء لاحقًا أو سيتم الاستيلاء عليها في نهاية الحملات الإعلانية.
9. تتم معالجة البيانات الشخصية للقاصرين عبر الإنترنت أو الرسائل الإلكترونية
مديرو المواقع التي تطلب معلومات من المستخدمين لتحديد العمر والهوية، وكذلك جميع الأشخاص الذين يقومون بأنشطة التجارة الإلكترونية ممن تم ذكرهم في النقطة 5 وليس فقط، والمستفيدون منهم هم الأشخاص الذين لم يبلغوا سن 18 عامًا والذين المعلومات ولكن تم جمعها لمعالجة البيانات الشخصية.
الوكلاء الاقتصاديون الرئيسيون المستهدفون هم أولئك الذين يقومون بأنشطة في مجال المقامرة والإنتاج السينمائي المخصص للبالغين، سواء من خلال بيئة الإنترنت.
10. معالجة البيانات الشخصية المتعلقة بالأصل العرقي أو الإثني، أو المعتقدات السياسية أو الدينية أو الفلسفية أو ما شابه ذلك، أو عضوية النقابات العمالية، بالإضافة إلى البيانات المتعلقة بالحالة الصحية والحياة الجنسية لأعضائها، والتي تقوم بها الجمعيات والمؤسسات أو أي منظمات أخرى ليس لها غرض موروثي حصريًا لتحقيق تفاصيل نشاط المنظمة، إلى الحد الذي يتم فيه الكشف عن البيانات لأطراف ثالثة دون موافقة الشخص المعني
ولا يأخذ هذا المعيار في الاعتبار الجمعيات والمؤسسات والنقابات والمنظمات المماثلة الأخرى، إلا بالقدر الذي تجعل المعلومات المذكورة أعلاه متاحة لأطراف ثالثة، دون طلب موافقة الأشخاص المعنيين صراحة. لا تعتبر موافقة أصحاب البيانات قد تم الحصول عليها بشكل صحيح طالما لم يتم تزويد صاحب البيانات بمعلومات مثل:
(ط) البيانات الشخصية المنقولة بالفعل،
(2) هوية الأطراف الثالثة التي يتم إرسال البيانات إليها،
(3) فئات المشاركين ضمن الأطراف الثالثة التي يتم إرسال البيانات إليها،
(4) الطرق الملموسة لممارسة حق الوصول والتدخل والمعارضة في العلاقة مع الأطراف الثالثة والمنظمات الموردة.
إذا تم الحصول على موافقة الأشخاص المعنيين مع الاستيفاء التراكمي للشروط المذكورة، فإن إخطار ANSPDCP فيما يتعلق بمعالجة البيانات الشخصية لم يعد إلزاميًا من قبل هذه الكيانات، ولكن من الممكن أن يظل الالتزام بالإخطار قائمًا مسؤولية الأطراف الثالثة التي تتلقى البيانات.
عندما يلزم القانون كيانات معينة بمعالجة البيانات الشخصية المفصلة أعلاه، لم يعد إخطار ANSPDCP إلزاميًا.
ومع ذلك، بغض النظر عن معالجة البيانات الشخصية التي تتم أو الأساس الذي يتم على أساسه جمع هذه البيانات ومعالجتها، فإن الالتزام بإخطار ANSPDCP موجود في جميع الحالات التي يتم فيها نقل البيانات الشخصية إلى بلدان تقع خارج الاتحاد الأوروبي، المنطقة الاقتصادية الأوروبية، وكذلك الدول التي لم تعترف لها المفوضية الأوروبية، بقرارها، بمستوى مناسب من الحماية.
قبل صدور القرار رقم . رقم 200/2015 من قبل رئيس ANSPDCP، معالجة البيانات الشخصية من الفئات أدناه، باستثناء المشغلين من الالتزام بإخطار ANSPDCP بالمواقف التالية:
- عندما تتم معالجة البيانات الشخصية المتعلقة بمقدمي الالتماسات من قبل السلطات والمؤسسات العامة المركزية والمحلية، والخدمات العامة اللامركزية للوزارات والهيئات المركزية الأخرى، والشركات والجمعيات الوطنية، والشركات التجارية ذات المصالح الإقليمية أو المحلية والمناطق ذاتية الحكم، من أجل الوفاء ببعض الالتزامات القانونية؛
- عندما تشير معالجة البيانات الشخصية إلى موظفيها والمتعاونين الخارجيين ويتم تنفيذها من قبل كيانات القانون العام والخاص، من أجل الوفاء بالالتزامات القانونية؛
- عندما تشير معالجة البيانات الشخصية إلى مالكي أو مستأجري عقار مستخدم بشكل مشترك ويتم تنفيذه من قبل جمعيات المالكين أو المستأجرين، في ممارسة الحقوق والالتزامات التي ينص عليها القانون، لغرض إدارة ذلك ملكية؛
- عندما يكون الغرض الوحيد من المعالجة هو الاحتفاظ بسجل مخصص بموجب القانون لإعلام الجمهور ومفتوح للتشاور لعامة الناس أو لأي شخص يثبت مصلحة مشروعة، بشرط أن تقتصر المعالجة على البيانات الضرورية تمامًا للحفاظ على قال التسجيل.
ألغى نفس القانون المعياري إجراء الإخطار المبسط فيما يتعلق بمعالجة البيانات الشخصية.
