Search
Close this search box.

أمن نظم المعلومات

دليل السلامة

يمكنكم الاطلاع على “دليل السلامة” من أجل حماية المعطيات الشخصية لمؤسستكم.

الباب الثالث، الفرع الثالث من القاون 08-09 : الالتزام بسرية وسلامة المعالجات والسر المهني

المادة 23

1.     يجب على المسؤول عن المعالجة القيام بالإجراءات التقنية والتنظيمية الملائمة لحماية المعطيات ذات الطابع الشخصي من الإتلاف العرضي أو غير المشروع أو الضياع العرضي أو التلف أو الإذاعة أو الولوج غير المرخص ، خصوصا عندما تستوجب المعالجة إرسال معطيات عبر شبكة معينة ، وكذا حمايتها من أي شكل من أشكال المعالجة غير المشروعة . ويجب أن تضمن هذه لإجراءات مستوى ملائما من السلامة بالنظر إلى المخاطر التي تمثلها المعالجة وطبيعة المعطيات الواجب حمايتها  وذلك مع الأخذ بعين الاعتبار التقنيات المستعملة في هذا المجال والتكاليف المترتبة عن القيام بها ؛

2.     عندما تجرى المعالجة لحساب المسؤول عن المعالجة ،يجب على هذا الأخير اختيار معالج من الباطن يقدم الضمانات الكافية بالنظر إلى إجراءات السلامة التقنية والتنظيمية المتعلقة بالمعالجة الواجب القيام بها ،ويسهر كذلك على احترام هذه الإجراءات ؛

3.     تنظم عملية المعالجة من الباطن بموجب عقد أو محرر قانوني يربط المعالج من الباطن بالمسؤول عن المعالجة وينص خصوصا على ألا يتصرف المعالج من الباطن إلا بتعليمات من المسؤول عن المعالجة وعلى تقيده كذلك بالالتزامات المنصوص عليها في البند 1 أعلاه ؛

4.     تضمن عناصر العقد أو المحرر القانوني المتعلق بحماية المعطيات وكذا المتطلبات المتعلقة بالإجراءات المشار إليها في البند 1 أعلاه كتابة أو عن طريق شكل آخر معادل ، وذلك لأغراض حفظ الأدلة .

يتخذ المسؤولون عن معالجة المعطيات الحساسة أو ذات الصلة بالصحة الإجراءات الملائمة بغرض :

‌أ)        الحيلولة دون ولوج أي شخص غير مأذون له إلى المنشآت المستعملة لمعالجة هذه المعطيات ( مراقبة دخول المنشآت) ؛

‌ب)    الحيلولة دون قراءة أو نسخ أو تعديل أو سحب دعامات المعطيات من قبل أشخاص غير مأذون لهم (مراقبة دعامات المعطيات )

‌ج)     الحيلولة دون الإدخال غير المأذون به وكذا التعرف على معطيات ذات طابع شخصي تم إدراجها أو تغييرها أو الحذف غير المأذون به لهذه المعطيات (مراقبة الإدراج )؛

‌د)       منع استعمال أنظمة المعالجة الآلية للمعطيات بواسطة معدات إرسال معطيات من قبل أشخاص غير مرخص لهم (مراقبة الاستعمال) ؛

‌ه)       ضمان ولوج الأشخاص المرخص لهم فقط إلى المعطيات المعنية بالإذن (مراقبة الولوج )؛

‌و)      ضمان التحقق من الهيئات التي يمكن أن تنقل المعطيات ذات الطابع الشخصي إليها عبر معدات إرسال معطيات (مراقبة الإرسال)؛

‌ز)      ضمان إمكانية المراجعة البعدية لطبيعة المعطيات ذات الطابع الشخصي التي تم إدخالها وتوقيت إدخالها ولصالح من تم ذلك، وذلك في أجل يلائم طبيعة المعالجة ويحدد في النصوص التنظيمية المطبقة على كل قطاع على حدة (مراقبة الإدخال)؛

‌ح)     منع قراءة أو استنساخ أو تغيير أو حذف معطيات ذات طابع شخصي أثناء إرسال المعطيات أو دعامات المعطيات ، بدون إذن ( مراقبة النقل )؛

2.     يمكن للجنة الوطنية أن تعفي من بعض إجراءات الأمن تبعا لطبيعة الهيئة المسؤولة عن المعالجة ولنوع المعدات المستعملة لإجرائها ، شريطة ضمان احترام حقوق وحريات وضمانات الأشخاص المعنيين .

لا يجوز لأي شخص يعمل تحت سلطة المسؤول عن المعالجة أو سلطة المعالج من الباطن ، وكذا المعالج من الباطن في حد ذاته والذي يلج إلى معطيات ذات طابع شخصي ، أن يعالج هذه المعطيات دون تعليمات المسؤول عن المعالجة ، إلا في حال ما اقتضت ذلك التزامات قانونية .

يلزم المسؤول عن معالجة المعطيات ذات الطابع الشخصي وكذا الأشخاص الذين اطلعوا أثناء ممارستهم لمهامهم على معطيات معالجة ذات طابع شخصي باحترام السر المهني حتى بعد توقفهم عن ممارسة مهامهم ، وذلك طبقا لأحكام القانون الجنائي .

لا تعفي أحكام الفقرة أعلاه من الالتزام بتوفير المعلومات طبقا للمقتضيات القانونية المطبقة على الملفات المعنية أو طبقا لقواعد القانون العادي.