Article 1
يهدف هذا القانون إلى ضمان حق كل شخص في حماية معطياته الشخصية ويضبط الشروط والإجراءات الواجب احترامها في إطار معالجة تلك المعطيات.
يهدف هذا القانون إلى ضمان حق كل شخص في حماية معطياته الشخصية ويضبط الشروط والإجراءات الواجب احترامها في إطار معالجة تلك المعطيات.
تنطبق أحكام هذا القانون على المعالجة الآلية وغير الآلية للمعطيات الشخصية والتي تتم على التراب التونسي فيما لا يتعارض مع مقتضيات الأمن العام والدفاع الوطني وفقا للتشريع الجاري به العمل.
ولا تنطبق على معالجة المعطيات الشخصية لغايات الاستعمال الشخصي أو العائلي.
تتم معالجة المعطيات الشخصية وفقا لقواعد الشفافية والأمانة واحترام كرامة الذات البشرية ولأحكام هذا القانون وتحت مراقبة هيئة حماية المعطيات الشخصية.
ويحجر في كل الحالات استعمال تلك المعطيات لغاية الإساءة إلى الأشخاص أو التشهير بهم أو لأي غاية إجرامية.
يقصد على معنى هذا القانون, بـ :
1. المعطيات الشخصية: كل البيانات مهما كان مصدرها أو شكلها والتي تجعل شخصا طبيعيا معرّفا أو قابلا للتعريف بطريقة مباشرة أو غير مباشرة, من خلال العديد من المعلومات أو الرموز, ولا سيما من خلال عنصر محدد للهوية مثل اللقب أو رقم التعريف أو الوضعية العائلية أو بيانات محددة للمكان أو معرف على الانترنت, أو أي عناصر أخرى خاصة بالشخص ومتعلقة بسماته الجسمانية أو الجينية أو النفسية أو بسلوكياته الاقتصادية أو الثقافية أو الاجتماعية.
2. معالجة المعطيات الشخصية: العمليات المنجزة سواء بطريقة آلية أو غير آلية, والتي تهدف خاصة إلى جمع معطيات شخصية أو الاطّلاع عليها أو تسجيلها أو نسخها أو حفظها أو تخزينها أو تنظيمها أو تنقيحها أو استغلالها أو استعمالها أو إرسالها أو توزيعها أو نشرها أو ربطها بمعطيات أخرى أو إحالتها أو تحويلها أو نقلها بأي شكل من الأشكال, او إخفاء هويتها, أو ترميزها أو فسخها أو إتلافها.
3. الهيئة: هيئة حماية المعطيات الشخصية.
4. المعطيات الحسّاسة: المعطيات الشخصية التي تشكل معالجتها مخاطر أو تمييزا بالنسبة إلى حماية الحياة الخاصة للشخص المعني بالمعالجة, كأن تبيّن الأصل العرقي أو الجيني أو الآراء والانتماءات السياسية أو النقابية أو المعتقدات الدينية أو الإيديولوجية أو الفلسفية لذلك الشخص, او تكون متعلقة بصحته أو بحياته الجنسية أو بأي تتبع جزائي يشمله أو حكم جزائي يصدر ضده.
5. المعطيات الجينية: المعطيات الشخصية المتعلقة بالخصائص الجينية الوراثية أو المكتسبة لشخص طبيعي والتي توفر معلومات مميزة عنه أو عن وضعه الصحي والتي تكون ناتجة بالخصوص, عن تحليل عينة بيولوجية لذلك الشخص.
6. المعطيات البيومترية: المعطيات الشخصية الناتجة عن معالجة فنية خصوصية, والمتعلقة بالخصائص الجسدية أو الفيسيولوجية لشخص طبيعي, والتي تمكّن من التعرف على هويته الفريدة أو تأكّدها, مثل صور الوجه أو معطيات البصمات.
7. المعطيات المتعلقة بالصحة: المعطيات الشخصية المتعلقة بالوضعية الصحية البدنية أو النفسية للمعني بالمعالجة.
8. الشخص المعني بالمعالجة: كل شخص طبيعي تكون معطياته الشخصية موضوع معالجة, وكذلك وليّه أو ورثته إلا إذا اعترض الشخص على ذلك صراحة قبل وفاته.
9. المسؤول عن المعالجة: كل شخص طبيعي أو معنوي, تونسي أو أجنبي, ينتمي إلى القطاع الخاص أو العمومي, وكل سلطة عمومية, يتولون تحديد طبيعة المعطيات الشخصية والغاية من المعالجة وطرقها.
10. الغير: كل شخص طبيعي أو معنوي باستثناء الشخص المعني بالمعالجة والمسؤول عن المعالجة والمناول والأشخاص الخاضعين لسلطتهما والمخول لهم قانونا معالجة المعطيات الشخصية.
11. المناول: كل شخص طبيعي أو معنوي عمومي أو خاص يقوم بمعالجة المعطيات الشخصية لحساب المسؤول عن المعالجة وتحت رقابته.
12. الآوي للمعطيات: كل مزوّد لخدمة خارجية وبغض النظر عن الوسائل المستعملة يقوم بإيواء معطيات شخصية وتأمينها لحساب المسؤول عن المعالجة.
13. هيكل عمومي: كل سلطة عمومية أو شخص عمومي.
14. المكلف بحماية المعطيات الشخصية: هو الشخص الذي يعيّن من قبل المسؤول عن المعالجة ويعمل على ضمان احترام قواعد حماية المعطيات الشخصية ويقوم بالرد على طلبات النفاذ إلى المعطيات الشخصية.
15. السجلّ: كلّ مجموعة مهيكلة من المعطيات يمكن الولوج إليها وفق معايير محددة سواء كانت مجمعة أو موزعة بطريقة وظيفية أو جغرافية.
16. موافقة الشخص المعني بالمعالجة: كلّ فعل يترك أثرا كتابيا أو إلكترونيا ويعبّر من خلاله الشخص المعني بالمعالجة عن موافقته على معالجة معطياته الشخصية النابعة عن إرادة حرة وصريحة وعلى دراية بعملية المعالجة.
17. النفاذ المباشر: ولوج الشخص المعني بالمعالجة إلى معطياته الشخصية موضوع المعالجة وتمكينه من الحصول على نسخة منها إذا طلب ذلك.
18. النفاذ غير المباشر: ولوج الشخص المعني بالمعالجة إلى معطياته الشخصية عبر الجهات المخولة لذلك بمقتضى هذا القانون.
19. نقل المعطيات الشخصية: تمكين الشخص المعني بالمعالجة في نقل معطياته الشخصية من مسؤول عن المعالجة إلى مسؤول آخر.
20. النسيان: تمكين الشخص المعني بالمعالجة في فسخ معطياته الشخصية أو إخفاء هويته في الصور التي يحددها هذا القانون.
21. الإحالة: تمكين الغير من معطيات شخصية أو السماح له بالاطلاع عليها أو بتخزينها.
22. التحويل: إحالة معطيات شخصية خارج البلاد التونسية.
23. تحديد الملامح: كل شكل من أشكال المعالجة الآلية للمعطيات الشخصية يهدف إلى تقييم بعض الجوانب الخاصة لشخص طبيعي تكون الغاية منه التعرف على خصوصياته أو ميولاته أو خياراته أو سلوكياته بما يؤثر في مركزه القانوني.
24. إخفاء الهوية: معالجة المعطيات الشخصية بطريقة لا تسمح قطعا بالتعرف على الشخص المعني بالمعالجة.
25. الترميز: معالجة المعطيات الشخصية بشكل لا يسمح بالتعرف مباشرة على الشخص المعني بالمعالجة وذلك عبر الالتجاء إلى رمز يحتفظ به على حدة ويخضع إلى تدابير فنية وتنظيمية بغاية ضمان عدم التعرف على الشخص المعني بالمعالجة من خلال معطياته الشخصية.
26. التسويق والدعاية: مجموع الأنشطة وكل الخدمات الثانوية المرتبطة بها, التي تمكّن من توفير منتوجات وخدمات أو من إحالة رسائل إشهارية إلى فئات من المواطنين عن طريق البريد أو الهاتف الجوال أو أي طرق أخرى مباشرة بهدف الإعلام أو بغاية الحصول على ردة فعل من قبل الشخص المعني بالمعالجة.
27. التموقع: استعمال تقنية تمكّن من معرفة مكان وجود الشخص المعني بالمعالجة وتنقلاته.
28. الأجهزة الالكترونية المتصلة: أجهزة إلكترونية عادة محمولة متصلة بشبكات تواصل تسمح بجمع معطيات شخصية, تخزينها, معالجتها وإرسالها.
يتعين على المسؤول عن المعالجة إعلام الشخص المعني بها بصفة مسبقة وبأي وسيلة تترك أثرا كتابيا أو إلكترونيا بطبيعة معطياته الشخصية موضوع المعالجة والغاية من المعالجة وطرقها والحقوق التي يضمنها له القانون. ويتم ضبط شروط وإجراءات هذا الإعلام بمقتضى قرار من الهيئة.
كما يتعين عليه إعلام المعني بالمعالجة بوجود طريقة آلية في اتخاذ القرارات أو في تحديد الملامح والمعلومات التي تأسست عليها المعالجة وانعكاساتها المنتظرة عليه.
تحجّر معالجة المعطيات الشخصية دون الحصول على الموافقة المسبقة للشخص المعني بالمعالجة.
لا يمكن معالجة المعطيات الشخصية المتعلقة بقاصر أو بعديم أهلية إلا بعد الحصول على موافقة وليه أو بإذن قضائي.
ويمكن للقاضي أن يأذن بالمعالجة ولو دون موافقة الولي إذا اقتضت ذلك المصلحة القضلى للطفل أو تحقيق منفعة لعديم الأهلية, وللقاضي الرجوع في الإذن في أي وقت.
لا تشترط موافقة الشخص المعني بالمعالجة إذا كان تجميع المعطيات الشخصية ضروريا لممارسة حرية الإعلام أو لاحترام التزام قانوني أو تعاقدي او لتحقيق مصلحة عامة في مجال الأمن العام أو الدفاع الوطني أو الصحة العمومية أو لأغراض توثيقية أو إحصائية, أو لأغراض البحث العلمي أو التاريخي.
فيما عدا المعطيات الشخصية التي تتم معالجتها وجوبا بمقتضى قوانين خاصة, يمكن للشخص المعني بالمعالجة, في أي وقت, الرجوع في موافقته, بما فيها معالجة معطيات التموقع المستعملة لغاية التسويق, دون أن يكون لذلك مفعول رجعي.
تحجّر معالجة المعطيات الشخصية لأغراض أو بأشكال غير التي كانت موضوع موافقة الشخص المعني بالمعالجة إلا بعد الحصول على موافقته من جديد أو بترخيص من الهيئة.
إذا كانت معالجة نفس المعطيات الشخصية تهدف إلى تحقيق غايات مختلفة فإن موافقة الشخص المعني بالمعالجة تكون في شكل وبطريقة تميزها بوضوح بالنسبة إلى كل غاية من المعالجة.
يحجّر توظيف معالجة المعطيات الشخصية لأغراض دعائية أو تسويقية, إلا بموافقة المعني بالمعالجة.
يمارس حق النفاذ المباشر أو غير المباشر بالنظر إلى طبيعة المعطيات المعالجة, ولا يمكن التنازل عنه مسبقا.
تحدد الهيئة بمقتضى قرار أصناف المعطيات الشخصية التي يسمح بالنفاذ إليها طبقا للتشريع الجاري به العمل.
ولا يمكن الحدّ من هذا الحق من قبل المسؤول عن المعالجة, إلا إذا كانت الغاية من ذلك حماية المعني بالمعالجة أو حماية حقوق الغير أو في حالة التعسف في استعمال هذا الحق.
يقدم مطلب النفاذ المباشر من قبل الشخص المعني بالمعالجة إلى المسؤول عن المعالجة بأي وسيلة تترك أثرا كتابيا أو إلكترونيا ويكون مرفقا بما يثبت هويته.
ويمكن للمعني بالمعالجة أن يطلب بنفس الطريقة الحصول على نسخة من تلك المعطيات, تسلّم له في أجل لا يتجاوز خمسة عشر يوما من تاريخ تقديم المطلب.
إذا تعدد المسؤولون عن معالجة المعطيات الشخصية أو إذا تمت المعالجة بواسطة مناول, فإن حق النفاذ يمارس لدى كل واحد منهم.
يمكن للشخص المعني بالمعالجة في نطاق ممارسته لحق النفاذ المباشر إلى معطياته الشخصية, المطالبة بتحيينها أو فسخها.
إذا كانت معالجة المعطيات الشخصية بطريقة آلية, فإنه يتوجب على المسؤول عن المعالجة وكذلك المناول توفير كافة التقنيات اللازمة لتمكين الشخص المعني بالمعالجة من إرسال مطلب النفاذ بطريقة إلكترونية وكذلك تمكينه من طلب تعديل معطياته أو تغييرها أو تصحيحها أو فسخها, وإرسال وصل استلام المطلب بنفس الطريقة.
يمكن أو يوظف معلوم خدمة على كل عملية نفاذ إلى المعطيات الشخصية يستخلص لفائدة المسؤول عن المعالجة ويتم ضبط مبلغه بمقتضى قرار من الهيئة.
ويتعين على المسؤول عن المعالجة إرجاع مبلغ المعلوم إلى الشخص المعني بالمعالجة إذا تبين أن المعطيات الشخصية غير صحيحة أو أنه لا يجب على المسؤول معالجتها.
تختص الهيئة بالنظر في النزاعات المتعلقة بممارسة حق النفاذ المباشر وتصدر قرارها في أجل ستين يوما من تاريخ تقديم العريضة.
يقدم مطلب النفاذ غير المباشر إلى الهيئة عندما تتعلق المعالجة بمعطيات شخصية متصلة بالصحة ويمارس بواسطة الطبيب الذي يعينه الشخص المعني بالمعالجة للغرض صلب المطلب.
يتولى الطبيب الاطلاع على المعطيات الشخصية موضوع المطلب وإعداد تقرير في الغرض يرفع إلى الهيئة, التي لها أن تأذن للمسؤول عن المعالجة بتصحيح تلك المعطيات أو بفسخها بطلب من الشخص المعني بالمعالجة, ويحرر محضر في الغرض يتم إعلامه به.
فيما عدا المعالجة الضرورية لتحقيق التزام قانوني أو تعاقدي, يحق للشخص المعني بالمعالجة الاعتراض على معالجة معطياته الشخصية بواسطة مطلب يقدمه إلى المسؤول عن المعالجة بأي وسيلة تترك أثرا كتابيا أو إلكترونيا, ويشترط في الاعتراض أن يكون مؤسسا على أسباب وجيهة ومشروعة.
ويترتب عن الاعتراض إيقاف المعالجة بصفة فورية, إلا إذا قدم المسؤول عن المعالجة أسبابا مشروعة وجدية تبرر استمرار المعالجة وتكون لها الأفضلية على الأسباب التي قدمها المعني بالمعالجة.
تختص الهيئة بالنظر في كل النزاعات المتعلقة بممارسة حق الاعتراض, وتصدر قراراتها في أجل ستين يوما من تاريخ تقديم مطلب الاعتراض.
وإذا كان الشخص المعني بالمعالجة قاصرا أو عديم الأهلية, فإن الهيئة تحيل الملف مرفقا برأيها إلى القاضي المختص الذي يتعهد بالنظر في النزاع.
للشخص المعني بالمعالجة الحق في نقل نسخة من معطياته الشخصية من مسؤول عن المعالجة إلى مسؤول آخر, وليس لأي من المسؤولين أن يعارض في ذلك النقل.
عندما تكون الإمكانيات التقنية اللازمة متوفرة لدى المسؤول عن المعالجة, فإنه يحق للشخص المعني بالمعالجة مطالبته بنقل معطياته الشخصية بشكل مباشر.
ولا يجب أن يترتب عن ممارسة حق النقل مساس بحقوق وحريات الغير.
يحق للمعني بالمعالجة طلب فسخ معطياته الشخصية أو إخفاء هويته, ويكون المسؤول ملزما بإنجاز ذلك بصفة فورية إذا توفرت أحد الأسباب التالية:
- إذا تمت معالجة المعطيات الشخصية بشكل أو لغرض غير الذي جمعت من أجله,
- إذا سحب الشخص المعني بالمعالجة الموافقة التي كانت تستند إليها المعالجة,
- إذا خضعت المعطيات الشخصية لمعالجة غير مشروعة,
- إذا كان من الضروري فسخ المعطيات الشخصية لتنفيذ التزام قانوني أو تعاقدي محمول على المسؤول عن المعالجة أو لانقضائه.
يتعين على المسؤول عن المعالجة فسخ المعطيات الشخصية التي يعالجها أو إخفاء هوية أصحابها في الصور المنصوص عليها بالفصل السابق أو إذا تحقق الغرض من المعالجة.
يتعين على المسؤول عن المعالجة عندما يتلقى طلب فسخ معطيات شخصية أن يتخذ التدابير اللازمة, بما في ذلك التدابير الفنية, ويتم إعلام المسؤولين عن المعالجة الذين تمت إحالة أو تحويل تلك المعطيات إليهم بذلك الطلب.
لا يسري حق النسيان عندما تكون المعالجة ضرورية من أجل:
- الامتثال لمقتضيات قانونية تستوجب مواصلة المعالجة,
- أسباب تتعلق بالمصلحة العامة في مجال الصحة,
- أغراض التوثيق من أجل المصلحة العامة, وأغراض البحث العلمي أو التاريخي أو أغراض إحصائية,
- تثبيت الحقوق أو ممارستها أو الدفاع عنها أمام القضاء.
يحق لأي شخص مطالبة كل مسؤول عن محرك بحث وطني بحذف الرابط المقترن باسمه ولقبه ويكون المسؤول ملزما بإجراء ذلك الحذف.
ولا يعني حذف الرابط فسخ المعطيات من المصدر.
يجب أن تكون كل عملية معالجة للمعطيات الشخصية معروفة لدى العموم, ولهذا الغرض فإنه يتوجب إعلام الهيئة بتلك العمليات، وتمسك الهيئة سجلا في الغرض يوضع على ذمة العموم عبر موقعها الالكتروني.
يشترط في المسؤول عن المعالجة أن يكون منتصبا بالبلاد التونسية وفي المناول وممثله القانوني أن يكونا مقيمين بالتراب التونسي وألاّ تكون لهم جميعا سوابق عدلية.
تحجر معالجة المعطيات الشخصية التي تتعلق بالأصول العرقية أو الجينية للشخص أو بمعتقداته الدينية أو بأفكاره وانتماءاته السياسية أو الفلسفية أو النقابية أو بمعطياته البيومترية أو الصحية والجنسية.
غير أنه يمكن بصفة استثنائية, معالجة هذه المعطيات بمقتضى ترخيص من الهيئة بما فيها المعطيات البيومترية وذلك حصريا للتعرّف على الأشخاص الطبيعيين وفي حدود ما يسمح به التشريع الجاري به العمل.
يحجر ربط إسداء خدمة أو منفعة لفائدة المعني بالمعالجة, بشرط موافقته على معالجة معطياته الشخصية أو استغلالها في غير الأغراض التي جمعت من أجلها.
لا تنطبق أحكام هذا القسم, باستثناء مقتضيات الفصلين 36 و 53 من هذا القانون, على كل سلطة عمومية أو هيكل عمومي مكلّف بالتوقّي من الجرائم والبحث والتحقيق فيها والتتبع في شأنها أو بتنفيذ العقوبات الجزائية والوقاية من التهديدات للأمن العام أو الدفاع الوطني أو المصالح النقدية للدولة طبقا للتشريع الجاري به العمل.
تخضع كل عملية معالجة للمعطيات الشخصية إلى إعلام مسبق لدى الهيئة. وينسحب نفس الإجراء عند كل تغيير يطرأ أثناء عملية المعالجة.
وتخضع معالجة بعض الأصناف من المعطيات الشخصية التي يضبطها هذا القانون إلى ترخيص مسبق من الهيئة.
فيما عدا الهياكل العمومية المرخص لها في معالجة المعطيات الشخصية بمقتضى نصوص تشريعية, تخضع وجوبا معالجة المعطيات الشخصية من قبل الهياكل العمومية إلى ترخيص في الغرض بمقتضى أمر حكومي بعد اخذ رأي الهيئة ويتضمّن هوية الهيكل المسؤول عن المعالجة والغرض من المعالجة والجهات التي تحال إليها المعطيات.
يكون المسؤول عن المعالجة والمناول مسؤولين بالتضامن مدنيا عن كل خرق لأحكام هذا القانون.
ويتوجب على المسؤول عن المعالجة عند تصور وتصميم عملية المعالجة أن يتّخذ جميع الاحتياطات اللازمة والتدابير الفنية الملائمة التي تضمن حماية المعطيات الشخصية.
كما يجب عليه توثيق كل إثباتات تطابق المعالجة مع معايير الحماية المنصوص عليها بهذا القانون.
يتعين على المسؤول عن المعالجة أو المناول اتخاذ كل التدابير اللازمة للمحافظة على أمن المعطيات وسلامتها ومنع الغير من الاطلاع عليها أو إدخال تغييرات عليها أو الإضرار بها.
يتعين على المسؤول عن المعالجة القيام بصفة دورية وحسب نوعية المعالجة بدراسة لمخاطرها وإعلام الهيئة بنتائج الدراسة. ويتم ضبط دورية الدراسة حسب نوعية المعالجة بمقتضى أمر حكومي.
يجب على المسؤول عن المعالجة والمناول أن يبادرا بإصلاح المعطيات الشخصية التي بحوزتهما وإتمامها وتعديلها أو تحيينها أو التشطيب عليها بطلب من الشخص المعني بالمعالجة أو كلما تبين لهما أنها غير صحيحة أو ناقصة أو عند بلوغ الهدف المنشود من معالجتها.
ويجب عليهما إعلام الشخص المعني بالمعالجة بهذه العمليات بواسطة أي وسيلة تترك أثرا كتابيا أو إلكترونيا, وذلك في أجل أقصاه شهر من تاريخ حصولها.
وفي صورة عدم استجابة المسؤول عن المعالجة أو المناول لطلبه في أجل أقصاه شهر, للشخص المعني بالمعالجة أن يعترض على ذلك لدى الهيئة.
يجب على المسؤول عن معالجة المعطيات الشخصية والمناول وكذلك أعوانهما, ولو بعد انتهاء المعالجة أو زوال صفتهم, المحافظة على سرية المعطيات الشخصية والمعلومات التي تمت معالجتها.
يحجّر على المسؤول عن المعالجة تجميع المعطيات الشخصية من الغير إلا في صورة موافقة الشخص المعني بالمعالجة على ذلك أو بموجب القانون.
إذا طرأ نزاع حول صحة معطيات شخصية، فإنه يتعين على كل من المسؤول عن المعالجة والمناول، التنصيص صلب سجل على وجود ذلك النزاع إلى حين البت فيه.
وعند حصول حادث من شأنه إلحاق ضرر بتلك المعطيات أو التأثير عليها، فإنه يتعين على المسؤول عن المعالجة أو المناول إعلام الهيئة بذلك وبالتدابير المتخذة في الغرض خلال اثنين وسبعين ساعة من وقت حصول العلم له بالحادث. وفي صورة عدم رفع الضرر، يتعين عليه أن يعلم بذلك الأشخاص المعنيين بالمعالجة في أجل أقصاه خمسة عشر يوما من تاريخ حصول العلم بالحادث بواسطة أي وسيلة تترك أثرا كتابيا أو الكترونيا.
تحجر إحالة المعطيات الشخصية إلى الغير دون موافقة الشخص المعني بالمعالجة.
إلا أنّه بإمكان الهيئة بطلب من المسؤول عن المعالجة الترخيص في إحالتها إذا كانت المعطيات ضرورية لإجراء بحوث ودراسات تاريخية أو توثيقية أو إحصائية أو علمية أو لتنفيذ التزام قانوني أو تعاقدي, كل ذلك بشرط أن يتعهد الشخص المحالة إليه تلك المعطيات بتوفير الضمانات الكفيلة بحمايتها والحقوق المرتبطة بها طبق الشروط المضمّنة بالترخيص, وعدم استعمالها في غير الغرض الذي أحيلت من أجله.
ويقدّم مطلب الترخيص إلى الهيئة في أجل لا يتجاوز الشهر من تاريخ رفض المعني بالمعالجة إحالة معطياته الشخصية إلى الغير.
يمكن إحالة المعطيات الشخصية التي وقعت معالجتها لغايات معينة، وذلك لإعادة معالجتها لغايات تاريخية أو علمية أو توثيقية أو إحصائية، شريطة الحصول على موافقة المعني بالمعالجة.
يحجر في كل الحالات تحويل المعطيات الشخصية نحو بلاد أجنبية إذا كان ذلك من شأنه المساس بالأمن العام أو الدفاع الوطني.
تخضع إلى الإعلام المسبق لدى الهيئة عملية تحويل المعطيات الشخصية نحو الدول الأجنبية التي تضبط قائمتها بقرار من الهيئة.
تستند الهيئة عند ضبط هذه القائمة إلى ما توفره الدول من ضمانات كافية لحماية المعطيات الشخصية.
ويخضع تحويل المعطيات الشخصية نحو باقي الدول إلى ترخيص مسبق من الهيئة.
يتعين على المسؤول عن المعالجة أو المناول عند الاقتضاء إتلاف المعطيات الشخصية بصفة فورية بمبادرة منه أو بطلب من الشخص المعني بالمعالجة طبقا لأحكام الفصل 27 من هذا القانون.
يتعين على المسؤول عن المعالجة وكذلك المناول الذي يعتزم التوقف نهائيا عن نشاط المعالجة, إعلام الهيئة بذلك قبل شهر من تاريخ التوقف.
وفي صورة وفاة أو إفلاس المسؤول عن المعالجة أو المناول أو حلّ الشخص المعنوي أو مصادرته, يجب على الورثة أو أمين الفلسة أو المصفي, حسب الحالة, إعلام الهيئة بذلك في أجل لا يتجاوز ثلاثة أشهر من تاريخ حدوثها.
ويمكن للهيئة في حالة التوقف عن النشاط لأحد الأسباب المذكورة بهذا الفصل أن تقرر في أجل أقصاه شهرا من تاريخ الإبلاغ, إحالة المعطيات الشخصية في إحدى الصورتين التاليتين:
- إذا رأت أن تلك المعطيات مفيدة لأن تستخدم في أغراض تاريخية أو توثيقية أو إحصائية أو علمية,
- إذا اقترح من تولى الإعلام إحالة كل المعطيات الشخصية أو البعض منها إلى شخص طبيعي أو معنوي يحدّد هويته بكل دقة, ولا تتم الإحالة بصفة فعلية إلا بعد الحصول على موافقة الأشخاص المعنيين بالمعالجة. وفي صورة عدم الحصول على هذه الموافقة خلال ثلاثة أشهر من تاريخ طلبها, يتعين على من تولى الإعلام إتلاف المعطيات الشخصية.
في حالة توقف نشاط المسؤول عن المعالجة أو المناول لإحدى الأسباب المذكورة بالفصل السابق, يمكن للشخص المعني بالمعالجة أو ورثته أو كل شخص له مصلحة أو النيابة العمومية أن يطلبوا في أي وقت من الهيئة اتخاذ التدابير الملائمة لحفظ المعطيات الشخصية وحمايتها أو إتلافها.
وعلى الهيئة أن تصدر قرارها في أجل شهر من تاريخ تقديم الطلب ويكون قرارها معللا.
عندما يصبح المسؤول عن المعالجة ملزما بإتلاف معطيات شخصية سبق له إحالتها, فإنه يجب عليه إعلام الجهات المحالة إليها بضرورة إتلافها.
يجب على الذوات المعنوية سواء كانت عمومية أو خاصة, التي تعالج معطيات شخصية وتشغل أكثر من خمسين عونا أو تعالج معطيات حساسة, أن تعيّن مكلّفا بحماية المعطيات الشخصية وتعلم الهيئة بذلك وتنشره للعموم في أجل خمسة عشر يوما.
ويجب على المسؤول عن المعالجة مدّ المكلّف بحماية المعطيات الشخصية بالوسائل البشرية والمادية التي تتطلبها مهامه.
يضطلع المكلّف بحماية المعطيات الشخصية بالمهام التالية:
- مسك سجل في عمليات المعالجة المنجزة من قبل المسؤول على المعالجة أو المناول,
- تلقي مطالب النفاذ إلى المعطيات الشخصية,
- تنظيم كل الأنشطة الداخلية المتعلقة بحماية المعطيات الشخصية,
- إعداد برنامج عمل لتحسين حماية المعطيات الشخصية بالتعاون مع المسؤول عن المعالجة,
- إعداد تقرير سنوي للأنشطة المتعلقة بحماية المعطيات الشخصية يحال إلكترونيا إلى الهيئة وينشر على الموقع الإلكتروني للهيكل.
- ربط الصلة بين الهيكل المعني الذي ينتمي إليه وهيئة حماية المعطيات الشخصية.
تخضع معالجة المعطيات الشخصية المتعلقة بالدفاع الوطني أو بالأمن العام أو بالتوقي من الجرائم أو بالتتبعات الجزائية و الأحكام الصادرة فيها , إلى قواعد خاصة تقتضيها طبيعة تلك المعطيات و المهام الموكلة للسلط العمومية المكلفة بمعالجتها, وتضبط هذه القواعد الخاصة بالتشريع الجاري به العمل.
تتم ممارسة حق النفاذ غير المباشر بواسطة أحد أعضاء مجلس الهيئة إذا تعلقت المعالجة بمعطيات شخصية متصلة بالأمن العام أو بالدفاع الوطني وبواسطة محام يعينه الشخص المعني بالمعالجة إذا كانت المعطيات الشخصية متصلة بالبحث والتحقيق في الجرائم.
يتولى عضو الهيئة أو المحامي بحسب الحالة طلب الاطلاع على المعطيات الشخصية موضوع المطلب واعداد تقرير في الغرض يرفع الى الهيئة التي لها أن تأذن للمسؤول عن المعالجة بتصحيح تلك المعطيات أو بفسخها بطلب من الشخص المعني بالمعالجة, ويحرر محضر في الغرض يتم إعلامه به.
وإذا تبين للهيئة أن اطلاع الشخص المعني بالمعالجة على المعطيات الشخصية لا يتعارض مع أغراض المعالجة ولا يلحق ضررا بالأمن العام أو بالدفاع الوطني, فإنها تأذن بتمكينه من نسخة من تلك المعطيات ما لم يعارض المسؤول عن المعالجة في ذلك بالنظر لسرية تلك المعطيات.
و تختص الهيئة بالبت في النزاعات الناشئة عن معالجة هذا الصنف من المعطيات الشخصية, في أجل ستين يوما من تاريخ تقديم المطلب.
لا يمكن استعمال وسائل المراقبة البصرية إلا إذا كانت ضرورية لضمان سلامة الأشخاص والوقاية من الحوادث وحماية الممتلكات أو تنظيم حركة الدخول إلى الفضاءات العامة والخروج منها, على ألاّ تركز إلاّ بعد إعلام الهيئة وفي:
- الفضاءات المفتوحة للعموم و مداخلها،
- الفضاءات المخصصة للنقل البري والبحري والجوي للمسافرين و البضائع و بالمأوى،
- فضاءات العمل الجماعي.
ويحجر في جميع الحالات أن تكون التسجيلات البصرية مرفقة بتسجيلات صوتية.
كما يحجر تركيز هذه الوسائل بشكل يسمح بالكشف عن المنشآت الأمنية و العسكرية.
و يخضع استعمال وسائل المراقبة البصرية سواء كانت محمولة أو متنقلة من قبل أعوان الدولة والجماعات المحلية إلى إعلام الهيئة و يمكن في هذه الحالة إجراء تسجيلات صوتية.
ولا يمكن تركيز مراقبة بصرية على الطريق العام إلا من قبل السلطات العمومية وبعد إعلام الهيئة.
تخضع وسائل المراقبة البصرية المركزة في الفضاءات التربوية أو الصحية أو في غرف الاحتفاظ وفي السجون أو الإصلاح إلى الترخيص المسبق من الهيئة.
يمكن أن يقدم الإعلام أو مطلب الترخيص سواء من قبل المسؤول عن المعالجة أو المناول أو من قبل الشخص الذي قام بتركيز نظام المراقبة.
تضبط الهيئة بقرار معايير تركيز وسائل المراقبة البصرية و كيفية إعلام العموم بطريقة واضحة و مستمرة بوجود تلك الوسائل و كذلك شروط و إجراءات مشاهدة الصور عن بعد المسجلة بهذه الوسائل.
تحدد مدة الاحتفاظ بالتسجيلات بثلاثين يوما و ترفع إلى ستين يوما بالنسبة لمنظومات المراقبة الخاصة بالأمن العام ويمكن التمديد في هذه المدة بثلاثة أشهر بإذن من النيابة العمومية مع امكانية تجديد الطلب كلما اقتضت الضرورة.
تحجر إحالة التسجيلات البصرية إلا في الحالات التالية:
- إذا أعطى الشخص المعني بالمعالجة موافقته أو بطلب منه,
- إذا كانت الإحالة ضرورية لتنفيذ مهام موكلة الى السلطات العمومية و تتعلق بالأمن العام أو الدفاع الوطني,
- إذا كانت الإحالة ضرورية لغاية معاينة الجرائم او الكشف عنها او تتبع مرتكبيها.
ويجب على المسؤول عن المعالجة تضمين هذه الإحالات في سجل مرقم تحدد مواصفاته ضمن قرار الهيئة المنصوص عليه بالفصل 56 من هذا القانون.
و في صورة لجوء السلط المكلفة بالأمن العام أو بالدفاع الوطني إلى أنظمة مراقبة بصرية مركزة من طرف خواص, فإنه يتوجب على هؤلاء الخواص إعلام الهيئة بذلك.
تخضع إلى الترخيص المسبق من الهيئة عملية التعرف على الشخص الطبيعي من خلال الوجه أو من خلال الأرقام المنجمية للسيارات المنجزة من قبل المصالح العمومية والخاصة عبر تسجيلات وسائل المراقبة البصرية المركزة طبق التشريع الجاري به العمل.
تخضع معالجة المعطيات الشخصية المتعلقة بالصحة إلى ترخيص مسبق من الهيئة, التي بإمكانها تأجيل البت في مطلب الترخيص إلى حين استشارة الهياكل المختصة في المجال الطبي.
يمكن للهيئة أن تحدد عند إسناد الترخيص للاحتياطات و الاجراءات الواجب اتخاذها لضمان حماية المعطيات الشخصية المتعلقة بالصحة.
وتحدد الهيئة بمقتضى قرار الآجال القصوى للاحتفاظ بتلك المعطيات بعد انقضاء مدة المعالجة إلا اذا تم اخفاء هوية أصحابها.
وتحجر إحالة المعطيات الشخصية المتعلقة بالصحة أو تحويلها إلى الخارج دون ترخيص مسبق من الهيئة.
لا يمكن معالجة المعطيات الشخصية المتعلقة بالصحة إلا في الحالات التالية:
- اذا كانت المعالجة منجزة من قبل مؤسسة صحية عمومية أو خاصة أو طاقم طبي في إطار أداء مهامهم،
- إذا كانت المعالجة لازمة لتحقيق أغراض منصوص عليها بالقانون،
- إذا كانت المعالجة ضرورية لتطوير الصحة وحمايتها بما في ذلك البحوث حول الأمراض والوقاية منها ومعالجتها،
- إذا كان للمعالجة انعكاس إيجابي على صحة الشخص المعني بها.
تحجر معالجة المعطيات الشخصية المتعلقة بالصحة إلا من قبل الأطباء والإطارات شبه الطبية العاملين تحت مسؤوليتهم, أو الأشخاص الخاضعين بحكم وظيفتهم في الميدان الصحي إلى واجب المحافظة على السر المهني.
يحجر إيواء المعطيات الشخصية المتعلقة بالصحة خارج التراب الوطني.
وإذا تم الإيواء فوق التراب التونسي فإنه يشترط في المستضيف أن يكون متعمدا من قبل الهياكل المختصة وأن يستجيب لشروط سلامة المنظومات والشبكات طبقا للتشريع الجاري به العمل.
و تصدر الهيئة قرارا يضبط الإطار المرجعي الواجب احترامه عند ايواء تلك المعطيات.
يجب الالتجاء إلى ترميز المعطيات الشخصية أو إخفاء هوية أصحابها، كلما سمحت مقتضيات البحث العلمي بذلك طبقا للإجراءات التي تضبط بقرار من الهيئة.
يجب الالتجاء إلى ترميز المعطيات الشخصية أو إخفاء هوية أصحابها، كلما سمحت مقتضيات البحث العلمي بذلك طبقا للإجراءات التي تضبط بقرار من الهيئة.
لا تجوز إحالة أو نشر المعطيات الشخصية الواقع معالجتها في إطار البحث العلمي إلا إذا وافق المعني بالمعالجة على ذلك صراحة, أو إذا كانت الإحالة أو النشر ضروريين لتقديم نتائج البحث.
يجب على الصحفيين في نطاق نشاطهم, عدم إتاحة المعطيات الشخصية التي بلغت إلى علمهم بمناسبة تحقيقاتهم, للعموم بما من شأنه أن يجعل الأشخاص المعنيين بها معرفين أو قابلين للتعريف, كما يمنع عليهم نشر المعطيات الحساسة و المعطيات الخاصة بالقاصرين.
تعتبر المعطيات المتعلقة بالتموقع من قبيل المعطيات الشخصية الحساسة التي لا تجوز معالجتها إلا عند الضرورة و بعد إعلام الهيئة.
يجب على المسؤول عن المعالجة أو المناول إعلام أعوانه بوضع نظام لتحديد تموقعهم في إطار ممارسة عملهم.
تخضع معالجة المعطيات المتعلقة بالتموقع عبر تطبيقات الأجهزة الطرفية للاتصالات إلى قواعد تضبط بقرار من الهيئة بعد أخذ رأي الهياكل المكلفة بالرقابة والتعديل في مجال الاتصال الالكتروني.
تخضع الأجهزة الطرفية للاتصالات المتصلة المستوردة أو المصنعة محليا و المعدّة للتسويق إلى المصادقة والتثبت من احترام المعايير المعتمدة في حماية المعطيات الشخصية طبقا للتشريع الجاري به العمل.
تضبط الهيئة بمقتضى قرار شروط الحماية بعد أخذ رأي الهياكل المكلفة بالرقابة والتعديل في مجال الاتصال الالكتروني.
يخضع إيواء المعطيات الشخصية على التراب التونسي إلى الإعلام المسبق للهيئة.
ويخضع إيواءها خارج التراب التونسي إلى نفس القواعد المنصوص عليها بالفصل 46 من هذا القانون.
ولا يمكن إيواء المعطيات الشخصية التي تعالجها ذات معنوية عمومية خارج التراب التونسي.
يعتبر مستضيف المعطيات الشخصية بمثابة المناول, ويخضع على هذا الأساس بالتضامن مع المسؤول عن المعالجة إلى كافة الواجبات والالتزامات المحمولة على هذا الأخير.
للشخص المعني بالمعالجة الحق في الاعتراض على قرار تأسس حصريا على معالجة آلية طبق أحكام الفصلين 20 و21 من هذا القانون، بما في ذلك تحديد الملامح وما يترتب عنه من آثار قانونية إلا إذا كانت المعالجة ضرورية لتحقيق التزام قانوني أو تعاقدي.
يحدث سجل يطلق عليه اسم "سجل المعرّف الوحيد للمواطن", تضبط أهدافه والمعطيات الشخصية الواجب تضمينه صلبه بمقتضى أمر حكومي, تمسكه وتديره الوزارة المكلفة بالجماعات المحلية.
يخضع مسك و إدارة "سجل المعرف الوحيد للمواطن" لنفس الشروط و الإجراءات المنطبقة على معالجة المعطيات الشخصية يتوجب على الأشخاص المرخص لهم في استعمال" سجل المعرف الوحيد للمواطن" تيسير مهمة الرقابة التي تقوم بها الهيئة كما يتوجب عليهم تعيين مكلف بحماية المعطيات الشخصية.
يمنح " المعرف الوحيد للمواطن"الى:
- كل شخص مسجل عند الولادة بسجل الحالة المدنية.
- كل شخص تونسي الجنسية ولد في دولة أجنبية عند تسجيله لدى البعثة الدبلوماسية أو القنصلية التونسية المعتمدة في تلك الدولة.
- كل شخص اكتسب الجنسية التونسية.
يتعين الاحتفاظ بالمعطيات المتعلقة بهم لمدة ثلاثين سنة بعد الوفاة أو فقدان الجنسية نهائيا.
يحجر اسناد نفس" المعرف الوحيد للمواطن" لأكثر من شخص و إسناد الشخص الواحد أكثر من "معرف وحيد للمواطن".
يشترط في "المعرف الوحيد للمواطن" أن لا تكون له أي دلالة،و تحدد أهدافه ومحتواه ومواصفاته الفنية وقواعد مسكه و إدارة سجله بمقتضى أمر حكومي بعد استشارة الهيئة.
يتعين على الوزارة المكلفة بالجماعات المحلية تركيز منظومة على الخط تخول لكل مواطن الاطلاع على كل العمليات التي طرأت على معرفه الوحيد والهياكل التي استعملته.
يحجر استعمال "المعرف الوحيد للمواطن" إلا من قبل الاشخاص العموميين أو الخواص المكلفين بتسيير مرفق عمومي والذين تضبط قائمتهم و أغراض استعمالهم للمعرف الوحيد للمواطن بأمر حكومي يصدر بناء على رأي الهيئة.
يحجر التنصيص على "المعرف الوحيد للمواطن" بالوثائق الرسمية التي تسلمها مصالح الدولة التونسية باستثناء المراسلات الإدارية بين الهياكل العمومية أو الخاصة المشار إليها بالفصل السابق.
تحدث هيئة عمومية مستقلة تسمى هيئة حماية المعطيات الشخصية، تتمتع بالشخصية المعنوية و الاستقلالية الإدارية والمالية ويكون مقرها تونس العاصمة.
وتضبط طرق سير عمل الهيئة بمقتضى نظام داخلي يصادق عليه مجلس الهيئة وينشر على الموقع الإلكتروني للهيئة.
تتولى الهيئة بالخصوص القيام بالمهام التالية:
- التعهد تلقائيا بمراقبة عمليات معالجة المعطيات الشخصية.
- مباشرة المهام المسندة لها بالقانون و لها في ذلك أن تستعين بأعوان الضابطة العدلية.
- إبداء الرأي في مشاريع القوانين والنصوص الترتيبية ذات العلاقة بمجال حماية المعطيات الشخصية.
- تقديم الاستشارات للذوات العمومية والخاصة حول جميع المسائل المتصلة بمعالجة المعطيات الشخصية.
- المساهمة في أنشطة البحث والتكوين والدراسة ذات الصلة بحماية المعطيات الشخصية.
- إرساء ونشر ثقافة حماية المعطيات الشخصية بالتعاون مع كافة الهياكل العمومية ومكونات المجتمع المدني.
- مراقبة التقييم الدوري لمستوى حماية المعطيات الشخصية الذي يقوم به المسؤولون عن المعالجة.
- تبادل التجارب والكفاءات مع نظيراتها من الهيئات الأجنبية وكذلك الهيئات الدولية والإقليمية العاملة في مجال حماية المعطيات الشخصية والحياة الخاصة.
- المشاركة في كافة الهيئات الإقليمية والدولية المكلفة بحماية المعطيات الشخصية والتعاون مع هياكل الأمم المتحدة في هذا المجال بعد إعلام وزارة الشؤون الخارجية.
- العمل بالتعاون مع هيئة النفاذ إلى المعلومة وكافة المؤسسات العمومية المعنية بالرقابة و التعديل, من أجل إصدار القرارات وإعداد الأدلة والإطارات المرجعية المشتركة ذات الصلة بالنفاذ إلى المعطيات الشخصية.
- إعداد تقرير سنوي لنشاطها وعرضه على رئيس الجمهورية ورئيس مجلس نواب الشعب ورئيس الحكومة ينشر بالموقع الإلكتروني للهيئة.
- إعداد تقارير دورية عن وضع حماية المعطيات الشخصية تنشر بالموقع الإلكتروني للهيئة.
تتركب الهيئة من هيكل تقريري جماعي يسمى "مجلس الهيئة" وجهاز إداري ووحدة البحث والتقصي ووحدة التدقيق والرقابة الداخلية.
يتكون مجلس الهيئة من رئيس وعضوين يمارسون مهامهم كامل الوقت لمدة ثلاث سنوات قابلة للتجديد مرة واحدة يتم تعيينهم بمقتضى أمر حكومي ويكون من بينهم وجوبا قاض إداري. ويجب أن يستجيب الأعضاء إلى الشروط التالية:
- تونسي الجنسية.
- نقي السوابق العدلية.
- يتمتع بالاستقلالية والنزاهة والحياد.
- من ذوي الخبرة والكفاءة في مجال حماية المعطيات الشخصية أو في المجالات ذات الصلة.
ويمكن اعفاء أحد الأعضاء بمقتضى أمر حكومي بناء على تقرير معلل صادر عن عضوين بسبب ارتكابه خطأ جسيما على أن يتم تعويضه بنفس الصيغ ولباقي المدة.
يؤدي أعضاء مجلس الهيئة أمام رئيس الجمهورية اليمين التالية: "أقسم بالله العظيم أن أعمل على حماية المعطيات الشخصية بأمانة واستقلالية وحياد ونزاهة وأن أحافظ على السر المهني".
يتوجب على رئيس الهيئة وأعضائها وأعوانها المحافظة على السر المهني في خصوص المعطيات الشخصية والمعلومات التي بلغت إلى علمهم بحكم وظيفتهم، ولو بعد زوال صفتهم.
يتمتع أعضاء المجلس بأجور وامتيازات تضبط بمقتضى أمر حكومي.
يجتمع المجلس بدعوة من رئيسه بصفة دورية ويتم استدعاء الأعضاء ثلاثة أيام على الأقل قبل تاريخ الجلسة بأي وسيلة تترك أثرا كتابيا أو إلكترونيا مصحوبا بمشروع جدول الأعمال.
لا تكون اجتماعات مجلس الهيئة قانونية إلا بحضور أغلبية الأعضاء من بينهم رئيس المجلس.
ويمكن لرئيس المجلس دعوة كل شخص يرى فائدة في حضوره إلى المشاركة في اجتماعات المجلس.
يتخذ المجلس قراراته بأغلبية الأعضاء الحاضرين وفي صورة تساوي الأصوات يرجح صوت الرئيس.
يتولى مجلس الهيئة بالخصوص:
- اتخاذ القرارات الترتيبية.
- البت في التصاريح ومطالب الترخيص والنظر في الشكايات.
- المصادقة على النظام الداخلي للهيئة.
- المصادقة على التقرير السنوي للهيئة.
- اقتراح مشروع ميزانية الهيئة.
- اقتراح التنظيم الهيكلي للهيئة.
- اقتراح النظام الأساسي الخاص لأعوان الهيئة.
رئيس الهيئة هو ممثلها القانوني وآمر صرفها يسهر على سير أعمالها ويشرف على تسييرها الإداري والمالي وإعداد مشروع الميزانية والتقرير السنوي لها.
يمكن لرئيس الهيئة تفويض البعض من صلاحياته لفائدة أحد الأعضاء والكاتب العام.
يشتمل الجهاز الإداري على مصالح إدارية ومالية وفنية وفق تنظيم هيكلي يقترحه مجلس الهيئة وتتم المصادقة عليه بمقتضى أمر حكومي.
يخضع أعوان الهيئة إلى أحكام القانون عدد 78 لسنة 1985 المتعلق بضبط النظام الأساسي العام لأعوان الدواوين والمؤسسات العمومية ذات الصبغة الصناعية والتجارية والشركات التي تمتلك الدولة أو الجماعات العمومية في رأس مالها بصفة مباشرة وكليا. وتضبط القواعد الأساسية الخاصة بهم بنظام أساسي خاص يضبط بمقتضى أمر حكومي.
يسير الجهاز الاداري للهيئة كاتب عام تحت إشراف رئيس الهيئة ويقوم بالمهام التالية:
- مساعدة رئيس الهيئة في تسيير الهيئة،
- تنفيذ المهام التي يوكلها له مجلس الهيئة،
- إعداد الملفات المعروضة على مجلس الهيئة،
- التصرف الإداري والمالي،
- إعداد مشروع الميزانية،
- إدارة نظام المعلومات المتعلق بأعمال الهيئة وصيانته،
- حفظ وثائق الهيئة،
- إعداد مشاريع تقارير الهيئة وإحالتها على المجلس،
- ويتم تعيين الكاتب العام بقرار يتم اتخاذه بأغلبية أعضاء مجلس الهيئة بعد الدعوة للترشح.
تتولى الوحدة البحث والتقصي في الملفات والشكايات المتعهد بها من قبل مجلس الهيئة وإعدادا مشاريع القرارات المتعلقة بتسليط عقوبات مالية.
يترأس هذه الوحدة قاض يتم تعيينه بمقتضى أمر حكومي.
ويضمن القاضي ممارسة حق الدفاع ومبدأ المواجهة.
تتولى الوحدة إرساء نظام رقابة داخلية للإجراءات الإدارية والمالية والمحاسبية تضمن سلامة القوائم المالية ونزاهتها وشفافيتها ومطابقتها للقوانين الجاري بها العمل.
ترفع وحدة التدقيق والرقابة الداخلية تقاريرها إلى مجلس الهيئة مباشرة وبصفة دورية.
تتكون الموارد المالية للهيئة من:
- المنحة السنوية المخصصة من ميزانية الدولة.
- معاليم إيداع التصاريح ومطالب الترخيص.
- المداخيل الأخرى المتأتية من أنشطة الهيئة.
- الهيئات والتبرعات والعطايا غير المشروطة.
لا تخضع قواعد التصرف الإداري والمالي للهيئة إلى مجلة المحاسبة العمومية.
تمسك الهيئة حساباتها طبقا للنظام المحاسبي على المؤسسات مع مراعاة طابعها غير الربحي. وتخضع صفقاتها إلى نظام صفقات المنشآت العمومية .
تخضع الحسابات المالية للهيئة إلى الرقابة اللاحقة لدائرة المحاسبات.
وتنشر الهيئة تقريرها المالي السنوي على موقعها الإلكتروني.
يتخذ مجلس الهيئة القرارات التالية :
- تحديد القواعد والضمانات الضرورية لحماية المعطيات الشخصية ومدونات السلوك والمعايير المرجعية الواجب احترامها في معالجة المعطيات الشخصية. تنشر بالرائد الرسمي للجمهورية وبالموقع الإلكتروني للهيئة.
- منح التراخيص وسحبها والموافقة على التصاريح والرجوع فيها في الصور المقررة بهذا القانون.
- إيقاف المعالجة في الحالات المنصوص عليها بهذا القانون.
- إحالة الشكايات على النيابة العمومية.
- إسناد علامة الهيئة و سحبها.
يودع الإعلام أو مطلب الترخيص المسبق بمقر الهيئة أو يوجه بواسطة رسائل مضمونة الوصول مع الإعلام بالبلوغ أو من خلال الاستمارة المدرجة بالموقع الإلكتروني للهيئة أو بأي وسيلة أخرى تترك أثرا كتابيا أو إلكترونيا.
ويقدم الإعلام أو مطلب الترخيص المسبق والمؤيدات المرفقة بهما من قبل المسؤول عن المعالجة, أو مناوله أو الممثل القانوني, ولا يعفي الإجراء من المسؤولية تجاه المعنيين بالمعالجة.
تحدد الهيئة بموجب مقرر البيانات والتنصيصات الواجب تضمينها بأنموذج الإعلام أو مطلب الترخيص.
تنظر الهيئة في مطلب الترخيص وتصدر قرارا معللا بالقبول أو بالرفض في أجل شهرين من تاريخ إيداعه, ويمكن التمديد في هذا الأجل لمدة شهر واحد ومرة واحدة بقرار معلل من رئيس الهيئة.
إلا أنه و في حالة التأكد القائم على أسباب جدية وواجب التبادل السريع للمعلومات يمكن البت في أجل لا يتجاوز عشرة أيام.
وينقطع سريان أجل البت في المطلب إذا طلبت الهيئة الإدلاء بتوضيحات أو وثائق إضافية.
يتم إعلام المسؤول عن المعالجة بالقرار المتعلق بمطلب الترخيص المسبق بأي وسيلة تترك أثرا كتابيا أو إلكترونيا في أجل أقصاه خمسة عشرة يوما من تاريخ صدور القرار.
ويتم الطعن في ذلك القرار لدى المحكمة الإدارية في أجل شهر من تاريخ الإعلام به, وفق الإجراءات الخاصة بدعاوى تجاوز السلطة المنصوص عليها بالقانون المتعلق بالمحكمة الإدارية.
تسند الهيئة بمقتضى قرار بطلب من المسؤول عن المعالجة علامة مطابقة تسمى "علامة سلامة المعطيات الشخصية" بعد إجراء الأبحاث اللازمة للتأكد من استجابة المعني بالأمر للمواصفات المرجعية التي تحددها الهيئة بمقتضى قرار.
وتسند علامة الهيئة لمدة سنتين, يصبح خلالها المسؤول عن المعالجة خاضعا إلى الإعلام عوضا عن الترخيص.
ويتم سحب علامة الهيئة بقرار معلل من قبلها في صورة معاينتها لمخالفة المواصفات المرجعية التي أسندت على أساسها تلك العلامة.
ترفع الشكايات المتعلقة بمعالجة المعطيات الشخصية إلى الهيئة مباشرة أو عن طريق محام بمقتضى عريضة تتضمن كافة البيانات المتعلقة بالشاكي و المشتكى به و موضوع الشكوى, مرفقة بجميع الوثائق و المؤيدات.
تودع العريضة ومؤيداتها بمقر الهيئة أو توجه إليها بواسطة رسالة مضمونة الوصول مع الإعلام بالبلوغ أو على الموقع الإلكتروني للهيئة.
و تحرر وحدة البحث والتقصي تقريرا أوليا بعد إنهاء أعمالها يحال على الأطراف المعنية بأي وسيلة تترك أثرا كتابيا أو الكترونيا، الذين يتعين عليهم الإجابة عليه في أجل خمسة عشرة يوما من تاريخ التبليغ ويمكنهم الإستعانة بمحام في الغرض.
وبانقضاء الأجل المذكور يحرر قاضي وحدة البحث والتقصي مشروع قرار يحال على مجلس الهيئة.
يمكن لرئيس الهيئة في صورة معاينة إخلال بأحكام هذا القانون أن يوجه تنبيها إلى المسؤول عن المعالجة يدعوه فيه إلى تدارك الإخلال ويحدد له أجلا لذلك.
وفي صورة تمادي المسؤول عن المعالجة في الإخلال بعد التنبيه عليه، أو في صورة ارتكابه لإخلال جسيم، يوجه إليه رئيس الهيئة إنذارا مع إمكانية الإذن بنشره على موقع الهيئة.
و يتولى رئيس الهيئة رفع الإنذار في صورة معاينة تدارك الإخلالات، و يتم نشر قرار الرفع إذا سبق نشر الإنذار.
يتم إعلام المسؤولين عن المعالجة بقرار التنبيه أو الإنذار بأي وسيلة تترك أثرا كتابيا أو الكترونيا و يمكن التظلم من هذا القرار أمام مجلس الهيئة في أجل شهر من تاريخ الإعلام به.
في صورة حصول انتهاك جسيم لأحكام هذا القانون يترتب عنه ضرر فادح لحقوق الأشخاص المعنيين بالمعالجة, يتخذ رئيس الهيئة بناء على شكاية أو تعهد تلقائي, قرارا في الإيقاف الفوري للمعالجة إذا تعلق الأمر بذوات خاصة و بقرار من رئيس الحكومة، باقتراح من الهيئة، إذا تعلق الأمر بسلطة عمومية.
يتعهد مجلس الهيئة بالملفات المحالة عليه من طرف رئيس وحدة البحث والتقصي وفي الطعون في قرارات التنبيه والإنذار الصادرة عن رئيس الهيئة.
ويمكن له إذا رأى فائدة في ذلك أن يستكمل التحقيق أو يستمع إلى الأطراف و الشهود.
إذا تبين لمجلس الهيئة أن الأفعال موضوع ملف الإحالة تشكل مخالفة تستوجب عقوبة بخطية مالية لا غير، فإنه يتخذ قرارا بتسليط العقوبة في أجل شهرين من تاريخ الإحالة.
إذا تبين لمجلس الهيئة أن الأفعال موضوع ملف الإحالة تستوجب عقوبة بالسجن فإنه يتخذ قرارا بإحالته إلى النيابة العمومية.
تبلغ قرارات العقوبات الصادرة عن مجلس الهيئة إلى المعنيين بها بالطرق الإدارية أو بواسطة عدل التنفيذ.
يتم الطعن في العقوبات الصادرة عن مجلس الهيئة موضوع الفرع الخامس من هذا الباب أمام المحكمة الإدارية بتونس وفق الإجراءات المنصوص عليها بالقوانين المنظمة للقضاء الإداري.
ويتم الطعن في قرارات مجلس الهيئة أمام المحكمة الإدارية بتونس وفق نفس إجراءات و آجال التقاضي في دعوة تجاوز السلطة.
علاوة على العقوبات الإدارية المتمثلة في التنبيه والإنذار والإيقاف الفوري للمعالجة وسحب الترخيص و سحب علامة الهيئة, يترتب عن مخالفة أحكام هذا القانون عقوبات مالية تسلط من قبل مجلس الهيئة و عقوبات بالسجن وبخطية مالية تسلط من قبل المحاكم الجزائية.
والمحاولة موجبة العقاب.
يعاقب بخطية مالية تتراوح بين ألف (1.000 د.) وعشرة آلاف دينار (10.000د.) كل من خالف أحكام الفصول 5 و13 فقرة ثالثة و16 فقرة ثانية و22 و26 و27 و32 و 34 فقرة ثانية و36 فقرة ثانية و37 و38 و39و40 و42 و48 و50 و51 و57 و58 الفقرتان الثانية و الثالثة, و64 و65 و68 و70 و72 فقرة أخيرة و 77 فقرة أخيرة و78 و 81 من هذا القانون.
يعاقب بخطية مالية تتراوح بين عشرة ألاف دينار (10.000 د.) وخمسين ألاف دينار (50.000 د.) كل من خالف أحكام الفصول 10 و12 و34 فقرة أولى و34 فقرة اخيرة و59 و60 فقرة ثالثة من هذا القانون.
يعاقب بخطية مالية تتراوح بين ستين ألف دينار (60.000 د.) ومائة ألف دينار (100.000 د.) كل من خالف أحكام الفصول 6 و24 و54 فقرة ثانية من هذا القانون.
يعاقب بالسجن لمدة عام وبخطية مالية قدرها خمسين ألف دينار(50.000 د.) أو بإحدى هاتين العقوبتين كل من خالف أحكام الفصول 3 الفقرة الثانية و20 فقرة ثانية و 46 و63 من هذا القانون.
يعاقب بالسجن لمدة عامين وبخطية مالية قدرها مائة ألف دينار (100.000 د.) أو بإحدى هاتين العقوبتين كل من خالف أحكام الفصول 7 و25 و31 و41 و43 و47 و58 فقرة أولى و61 و62 والفصل 60 فقرة أخيرة و80من هذا القانون.
يعاقب بالسجن من عامين إلى 5 أعوام وبخطية مالية قدرها مئتا ألف دينار (200.000 د.) أو بإحدى هاتين العقوبتين كل من خالف أحكام الفصل 45 من هذا القانون.
يدخل هذا القانون حيز النفاذ بعد ستة أشهر من تاريخ نشره بالرائد الرسمي للجمهورية التونسية, وبانقضاء الأجل المذكور تلغى أحكام القانون الأساسي عدد 63 لسنة 2004 المتعلق بحماية المعطيات الشخصية.
ويواصل مجلس الهيئة بتركيبته الحالية ممارسة المهام الموكلة إليه بمقتضى القانون عدد 63 لسنة 2004،كما يمارس ابتداء من تاريخ دخول هذا القانون حيز النفاذ المهام والصلاحيات المنصوص عليها بهذا القانون إلى حين تركيز مجلس الهيئة الجديد.
تحال على وجه الملكية إلى الهيئة الوطنية لحماية المعطيات الشخصية المحدثة بمقتضى القانون الأساسي عدد 63 لسنة 2004 التعلق بحماية المعطيات الشخصية.
ويحرر ممثل عن كلتا الهيئتين وممثل عن الوزارة المكلفة بالمالية وممثل عن الوزارة المكلفة بأملاك الدولة والشؤون العقارية كشفا يحال إلى الوزارة المكلفة بأملاك الدولة والشؤون العقارية التي تتولى ترسيمه بالسجل الخاص بالهيئة.
تحيل الهيئة الوطنية لحماية المعطيات الشخصية وجوبا إلى الهيئة جميع الملفات و البيانات مهما كانت الوسائط الحاملة لها.
إلى حين صدور القوانين الأساسية المنظمة للقضاء الإداري وفق مقتضيات الدستور تنطبق القوانين والتراتيب الجاري بها العمل المتعلقة بضبط صلاحيات المحكمة الإدارية وتنظيمها والإجراءات المتبعة لديها على الأحكام المنصوص عليها بهذا القانون.
يهدف هذا القانون إلى ضمان حق كل شخص في حماية معطياته الشخصية ويضبط الشروط والإجراءات الواجب احترامها في إطار معالجة تلك المعطيات.
تنطبق أحكام هذا القانون على المعالجة الآلية وغير الآلية للمعطيات الشخصية والتي تتم على التراب التونسي فيما لا يتعارض مع مقتضيات الأمن العام والدفاع الوطني وفقا للتشريع الجاري به العمل.
ولا تنطبق على معالجة المعطيات الشخصية لغايات الاستعمال الشخصي أو العائلي.
تتم معالجة المعطيات الشخصية وفقا لقواعد الشفافية والأمانة واحترام كرامة الذات البشرية ولأحكام هذا القانون وتحت مراقبة هيئة حماية المعطيات الشخصية.
ويحجر في كل الحالات استعمال تلك المعطيات لغاية الإساءة إلى الأشخاص أو التشهير بهم أو لأي غاية إجرامية.
يقصد على معنى هذا القانون, بـ :
1. المعطيات الشخصية: كل البيانات مهما كان مصدرها أو شكلها والتي تجعل شخصا طبيعيا معرّفا أو قابلا للتعريف بطريقة مباشرة أو غير مباشرة, من خلال العديد من المعلومات أو الرموز, ولا سيما من خلال عنصر محدد للهوية مثل اللقب أو رقم التعريف أو الوضعية العائلية أو بيانات محددة للمكان أو معرف على الانترنت, أو أي عناصر أخرى خاصة بالشخص ومتعلقة بسماته الجسمانية أو الجينية أو النفسية أو بسلوكياته الاقتصادية أو الثقافية أو الاجتماعية.
2. معالجة المعطيات الشخصية: العمليات المنجزة سواء بطريقة آلية أو غير آلية, والتي تهدف خاصة إلى جمع معطيات شخصية أو الاطّلاع عليها أو تسجيلها أو نسخها أو حفظها أو تخزينها أو تنظيمها أو تنقيحها أو استغلالها أو استعمالها أو إرسالها أو توزيعها أو نشرها أو ربطها بمعطيات أخرى أو إحالتها أو تحويلها أو نقلها بأي شكل من الأشكال, او إخفاء هويتها, أو ترميزها أو فسخها أو إتلافها.
3. الهيئة: هيئة حماية المعطيات الشخصية.
4. المعطيات الحسّاسة: المعطيات الشخصية التي تشكل معالجتها مخاطر أو تمييزا بالنسبة إلى حماية الحياة الخاصة للشخص المعني بالمعالجة, كأن تبيّن الأصل العرقي أو الجيني أو الآراء والانتماءات السياسية أو النقابية أو المعتقدات الدينية أو الإيديولوجية أو الفلسفية لذلك الشخص, او تكون متعلقة بصحته أو بحياته الجنسية أو بأي تتبع جزائي يشمله أو حكم جزائي يصدر ضده.
5. المعطيات الجينية: المعطيات الشخصية المتعلقة بالخصائص الجينية الوراثية أو المكتسبة لشخص طبيعي والتي توفر معلومات مميزة عنه أو عن وضعه الصحي والتي تكون ناتجة بالخصوص, عن تحليل عينة بيولوجية لذلك الشخص.
6. المعطيات البيومترية: المعطيات الشخصية الناتجة عن معالجة فنية خصوصية, والمتعلقة بالخصائص الجسدية أو الفيسيولوجية لشخص طبيعي, والتي تمكّن من التعرف على هويته الفريدة أو تأكّدها, مثل صور الوجه أو معطيات البصمات.
7. المعطيات المتعلقة بالصحة: المعطيات الشخصية المتعلقة بالوضعية الصحية البدنية أو النفسية للمعني بالمعالجة.
8. الشخص المعني بالمعالجة: كل شخص طبيعي تكون معطياته الشخصية موضوع معالجة, وكذلك وليّه أو ورثته إلا إذا اعترض الشخص على ذلك صراحة قبل وفاته.
9. المسؤول عن المعالجة: كل شخص طبيعي أو معنوي, تونسي أو أجنبي, ينتمي إلى القطاع الخاص أو العمومي, وكل سلطة عمومية, يتولون تحديد طبيعة المعطيات الشخصية والغاية من المعالجة وطرقها.
10. الغير: كل شخص طبيعي أو معنوي باستثناء الشخص المعني بالمعالجة والمسؤول عن المعالجة والمناول والأشخاص الخاضعين لسلطتهما والمخول لهم قانونا معالجة المعطيات الشخصية.
11. المناول: كل شخص طبيعي أو معنوي عمومي أو خاص يقوم بمعالجة المعطيات الشخصية لحساب المسؤول عن المعالجة وتحت رقابته.
12. الآوي للمعطيات: كل مزوّد لخدمة خارجية وبغض النظر عن الوسائل المستعملة يقوم بإيواء معطيات شخصية وتأمينها لحساب المسؤول عن المعالجة.
13. هيكل عمومي: كل سلطة عمومية أو شخص عمومي.
14. المكلف بحماية المعطيات الشخصية: هو الشخص الذي يعيّن من قبل المسؤول عن المعالجة ويعمل على ضمان احترام قواعد حماية المعطيات الشخصية ويقوم بالرد على طلبات النفاذ إلى المعطيات الشخصية.
15. السجلّ: كلّ مجموعة مهيكلة من المعطيات يمكن الولوج إليها وفق معايير محددة سواء كانت مجمعة أو موزعة بطريقة وظيفية أو جغرافية.
16. موافقة الشخص المعني بالمعالجة: كلّ فعل يترك أثرا كتابيا أو إلكترونيا ويعبّر من خلاله الشخص المعني بالمعالجة عن موافقته على معالجة معطياته الشخصية النابعة عن إرادة حرة وصريحة وعلى دراية بعملية المعالجة.
17. النفاذ المباشر: ولوج الشخص المعني بالمعالجة إلى معطياته الشخصية موضوع المعالجة وتمكينه من الحصول على نسخة منها إذا طلب ذلك.
18. النفاذ غير المباشر: ولوج الشخص المعني بالمعالجة إلى معطياته الشخصية عبر الجهات المخولة لذلك بمقتضى هذا القانون.
19. نقل المعطيات الشخصية: تمكين الشخص المعني بالمعالجة في نقل معطياته الشخصية من مسؤول عن المعالجة إلى مسؤول آخر.
20. النسيان: تمكين الشخص المعني بالمعالجة في فسخ معطياته الشخصية أو إخفاء هويته في الصور التي يحددها هذا القانون.
21. الإحالة: تمكين الغير من معطيات شخصية أو السماح له بالاطلاع عليها أو بتخزينها.
22. التحويل: إحالة معطيات شخصية خارج البلاد التونسية.
23. تحديد الملامح: كل شكل من أشكال المعالجة الآلية للمعطيات الشخصية يهدف إلى تقييم بعض الجوانب الخاصة لشخص طبيعي تكون الغاية منه التعرف على خصوصياته أو ميولاته أو خياراته أو سلوكياته بما يؤثر في مركزه القانوني.
24. إخفاء الهوية: معالجة المعطيات الشخصية بطريقة لا تسمح قطعا بالتعرف على الشخص المعني بالمعالجة.
25. الترميز: معالجة المعطيات الشخصية بشكل لا يسمح بالتعرف مباشرة على الشخص المعني بالمعالجة وذلك عبر الالتجاء إلى رمز يحتفظ به على حدة ويخضع إلى تدابير فنية وتنظيمية بغاية ضمان عدم التعرف على الشخص المعني بالمعالجة من خلال معطياته الشخصية.
26. التسويق والدعاية: مجموع الأنشطة وكل الخدمات الثانوية المرتبطة بها, التي تمكّن من توفير منتوجات وخدمات أو من إحالة رسائل إشهارية إلى فئات من المواطنين عن طريق البريد أو الهاتف الجوال أو أي طرق أخرى مباشرة بهدف الإعلام أو بغاية الحصول على ردة فعل من قبل الشخص المعني بالمعالجة.
27. التموقع: استعمال تقنية تمكّن من معرفة مكان وجود الشخص المعني بالمعالجة وتنقلاته.
28. الأجهزة الالكترونية المتصلة: أجهزة إلكترونية عادة محمولة متصلة بشبكات تواصل تسمح بجمع معطيات شخصية, تخزينها, معالجتها وإرسالها.
يتعين على المسؤول عن المعالجة إعلام الشخص المعني بها بصفة مسبقة وبأي وسيلة تترك أثرا كتابيا أو إلكترونيا بطبيعة معطياته الشخصية موضوع المعالجة والغاية من المعالجة وطرقها والحقوق التي يضمنها له القانون. ويتم ضبط شروط وإجراءات هذا الإعلام بمقتضى قرار من الهيئة.
كما يتعين عليه إعلام المعني بالمعالجة بوجود طريقة آلية في اتخاذ القرارات أو في تحديد الملامح والمعلومات التي تأسست عليها المعالجة وانعكاساتها المنتظرة عليه.
تحجّر معالجة المعطيات الشخصية دون الحصول على الموافقة المسبقة للشخص المعني بالمعالجة.
لا يمكن معالجة المعطيات الشخصية المتعلقة بقاصر أو بعديم أهلية إلا بعد الحصول على موافقة وليه أو بإذن قضائي.
ويمكن للقاضي أن يأذن بالمعالجة ولو دون موافقة الولي إذا اقتضت ذلك المصلحة القضلى للطفل أو تحقيق منفعة لعديم الأهلية, وللقاضي الرجوع في الإذن في أي وقت.
لا تشترط موافقة الشخص المعني بالمعالجة إذا كان تجميع المعطيات الشخصية ضروريا لممارسة حرية الإعلام أو لاحترام التزام قانوني أو تعاقدي او لتحقيق مصلحة عامة في مجال الأمن العام أو الدفاع الوطني أو الصحة العمومية أو لأغراض توثيقية أو إحصائية, أو لأغراض البحث العلمي أو التاريخي.
فيما عدا المعطيات الشخصية التي تتم معالجتها وجوبا بمقتضى قوانين خاصة, يمكن للشخص المعني بالمعالجة, في أي وقت, الرجوع في موافقته, بما فيها معالجة معطيات التموقع المستعملة لغاية التسويق, دون أن يكون لذلك مفعول رجعي.
تحجّر معالجة المعطيات الشخصية لأغراض أو بأشكال غير التي كانت موضوع موافقة الشخص المعني بالمعالجة إلا بعد الحصول على موافقته من جديد أو بترخيص من الهيئة.
إذا كانت معالجة نفس المعطيات الشخصية تهدف إلى تحقيق غايات مختلفة فإن موافقة الشخص المعني بالمعالجة تكون في شكل وبطريقة تميزها بوضوح بالنسبة إلى كل غاية من المعالجة.
يحجّر توظيف معالجة المعطيات الشخصية لأغراض دعائية أو تسويقية, إلا بموافقة المعني بالمعالجة.
يمارس حق النفاذ المباشر أو غير المباشر بالنظر إلى طبيعة المعطيات المعالجة, ولا يمكن التنازل عنه مسبقا.
تحدد الهيئة بمقتضى قرار أصناف المعطيات الشخصية التي يسمح بالنفاذ إليها طبقا للتشريع الجاري به العمل.
ولا يمكن الحدّ من هذا الحق من قبل المسؤول عن المعالجة, إلا إذا كانت الغاية من ذلك حماية المعني بالمعالجة أو حماية حقوق الغير أو في حالة التعسف في استعمال هذا الحق.
يقدم مطلب النفاذ المباشر من قبل الشخص المعني بالمعالجة إلى المسؤول عن المعالجة بأي وسيلة تترك أثرا كتابيا أو إلكترونيا ويكون مرفقا بما يثبت هويته.
ويمكن للمعني بالمعالجة أن يطلب بنفس الطريقة الحصول على نسخة من تلك المعطيات, تسلّم له في أجل لا يتجاوز خمسة عشر يوما من تاريخ تقديم المطلب.
إذا تعدد المسؤولون عن معالجة المعطيات الشخصية أو إذا تمت المعالجة بواسطة مناول, فإن حق النفاذ يمارس لدى كل واحد منهم.
يمكن للشخص المعني بالمعالجة في نطاق ممارسته لحق النفاذ المباشر إلى معطياته الشخصية, المطالبة بتحيينها أو فسخها.
إذا كانت معالجة المعطيات الشخصية بطريقة آلية, فإنه يتوجب على المسؤول عن المعالجة وكذلك المناول توفير كافة التقنيات اللازمة لتمكين الشخص المعني بالمعالجة من إرسال مطلب النفاذ بطريقة إلكترونية وكذلك تمكينه من طلب تعديل معطياته أو تغييرها أو تصحيحها أو فسخها, وإرسال وصل استلام المطلب بنفس الطريقة.
يمكن أو يوظف معلوم خدمة على كل عملية نفاذ إلى المعطيات الشخصية يستخلص لفائدة المسؤول عن المعالجة ويتم ضبط مبلغه بمقتضى قرار من الهيئة.
ويتعين على المسؤول عن المعالجة إرجاع مبلغ المعلوم إلى الشخص المعني بالمعالجة إذا تبين أن المعطيات الشخصية غير صحيحة أو أنه لا يجب على المسؤول معالجتها.
تختص الهيئة بالنظر في النزاعات المتعلقة بممارسة حق النفاذ المباشر وتصدر قرارها في أجل ستين يوما من تاريخ تقديم العريضة.
يقدم مطلب النفاذ غير المباشر إلى الهيئة عندما تتعلق المعالجة بمعطيات شخصية متصلة بالصحة ويمارس بواسطة الطبيب الذي يعينه الشخص المعني بالمعالجة للغرض صلب المطلب.
يتولى الطبيب الاطلاع على المعطيات الشخصية موضوع المطلب وإعداد تقرير في الغرض يرفع إلى الهيئة, التي لها أن تأذن للمسؤول عن المعالجة بتصحيح تلك المعطيات أو بفسخها بطلب من الشخص المعني بالمعالجة, ويحرر محضر في الغرض يتم إعلامه به.
فيما عدا المعالجة الضرورية لتحقيق التزام قانوني أو تعاقدي, يحق للشخص المعني بالمعالجة الاعتراض على معالجة معطياته الشخصية بواسطة مطلب يقدمه إلى المسؤول عن المعالجة بأي وسيلة تترك أثرا كتابيا أو إلكترونيا, ويشترط في الاعتراض أن يكون مؤسسا على أسباب وجيهة ومشروعة.
ويترتب عن الاعتراض إيقاف المعالجة بصفة فورية, إلا إذا قدم المسؤول عن المعالجة أسبابا مشروعة وجدية تبرر استمرار المعالجة وتكون لها الأفضلية على الأسباب التي قدمها المعني بالمعالجة.
تختص الهيئة بالنظر في كل النزاعات المتعلقة بممارسة حق الاعتراض, وتصدر قراراتها في أجل ستين يوما من تاريخ تقديم مطلب الاعتراض.
وإذا كان الشخص المعني بالمعالجة قاصرا أو عديم الأهلية, فإن الهيئة تحيل الملف مرفقا برأيها إلى القاضي المختص الذي يتعهد بالنظر في النزاع.
للشخص المعني بالمعالجة الحق في نقل نسخة من معطياته الشخصية من مسؤول عن المعالجة إلى مسؤول آخر, وليس لأي من المسؤولين أن يعارض في ذلك النقل.
عندما تكون الإمكانيات التقنية اللازمة متوفرة لدى المسؤول عن المعالجة, فإنه يحق للشخص المعني بالمعالجة مطالبته بنقل معطياته الشخصية بشكل مباشر.
ولا يجب أن يترتب عن ممارسة حق النقل مساس بحقوق وحريات الغير.
يحق للمعني بالمعالجة طلب فسخ معطياته الشخصية أو إخفاء هويته, ويكون المسؤول ملزما بإنجاز ذلك بصفة فورية إذا توفرت أحد الأسباب التالية:
- إذا تمت معالجة المعطيات الشخصية بشكل أو لغرض غير الذي جمعت من أجله,
- إذا سحب الشخص المعني بالمعالجة الموافقة التي كانت تستند إليها المعالجة,
- إذا خضعت المعطيات الشخصية لمعالجة غير مشروعة,
- إذا كان من الضروري فسخ المعطيات الشخصية لتنفيذ التزام قانوني أو تعاقدي محمول على المسؤول عن المعالجة أو لانقضائه.
يتعين على المسؤول عن المعالجة فسخ المعطيات الشخصية التي يعالجها أو إخفاء هوية أصحابها في الصور المنصوص عليها بالفصل السابق أو إذا تحقق الغرض من المعالجة.
يتعين على المسؤول عن المعالجة عندما يتلقى طلب فسخ معطيات شخصية أن يتخذ التدابير اللازمة, بما في ذلك التدابير الفنية, ويتم إعلام المسؤولين عن المعالجة الذين تمت إحالة أو تحويل تلك المعطيات إليهم بذلك الطلب.
لا يسري حق النسيان عندما تكون المعالجة ضرورية من أجل:
- الامتثال لمقتضيات قانونية تستوجب مواصلة المعالجة,
- أسباب تتعلق بالمصلحة العامة في مجال الصحة,
- أغراض التوثيق من أجل المصلحة العامة, وأغراض البحث العلمي أو التاريخي أو أغراض إحصائية,
- تثبيت الحقوق أو ممارستها أو الدفاع عنها أمام القضاء.
يحق لأي شخص مطالبة كل مسؤول عن محرك بحث وطني بحذف الرابط المقترن باسمه ولقبه ويكون المسؤول ملزما بإجراء ذلك الحذف.
ولا يعني حذف الرابط فسخ المعطيات من المصدر.
يجب أن تكون كل عملية معالجة للمعطيات الشخصية معروفة لدى العموم, ولهذا الغرض فإنه يتوجب إعلام الهيئة بتلك العمليات، وتمسك الهيئة سجلا في الغرض يوضع على ذمة العموم عبر موقعها الالكتروني.
يشترط في المسؤول عن المعالجة أن يكون منتصبا بالبلاد التونسية وفي المناول وممثله القانوني أن يكونا مقيمين بالتراب التونسي وألاّ تكون لهم جميعا سوابق عدلية.
تحجر معالجة المعطيات الشخصية التي تتعلق بالأصول العرقية أو الجينية للشخص أو بمعتقداته الدينية أو بأفكاره وانتماءاته السياسية أو الفلسفية أو النقابية أو بمعطياته البيومترية أو الصحية والجنسية.
غير أنه يمكن بصفة استثنائية, معالجة هذه المعطيات بمقتضى ترخيص من الهيئة بما فيها المعطيات البيومترية وذلك حصريا للتعرّف على الأشخاص الطبيعيين وفي حدود ما يسمح به التشريع الجاري به العمل.
يحجر ربط إسداء خدمة أو منفعة لفائدة المعني بالمعالجة, بشرط موافقته على معالجة معطياته الشخصية أو استغلالها في غير الأغراض التي جمعت من أجلها.
لا تنطبق أحكام هذا القسم, باستثناء مقتضيات الفصلين 36 و 53 من هذا القانون, على كل سلطة عمومية أو هيكل عمومي مكلّف بالتوقّي من الجرائم والبحث والتحقيق فيها والتتبع في شأنها أو بتنفيذ العقوبات الجزائية والوقاية من التهديدات للأمن العام أو الدفاع الوطني أو المصالح النقدية للدولة طبقا للتشريع الجاري به العمل.
تخضع كل عملية معالجة للمعطيات الشخصية إلى إعلام مسبق لدى الهيئة. وينسحب نفس الإجراء عند كل تغيير يطرأ أثناء عملية المعالجة.
وتخضع معالجة بعض الأصناف من المعطيات الشخصية التي يضبطها هذا القانون إلى ترخيص مسبق من الهيئة.
فيما عدا الهياكل العمومية المرخص لها في معالجة المعطيات الشخصية بمقتضى نصوص تشريعية, تخضع وجوبا معالجة المعطيات الشخصية من قبل الهياكل العمومية إلى ترخيص في الغرض بمقتضى أمر حكومي بعد اخذ رأي الهيئة ويتضمّن هوية الهيكل المسؤول عن المعالجة والغرض من المعالجة والجهات التي تحال إليها المعطيات.
يكون المسؤول عن المعالجة والمناول مسؤولين بالتضامن مدنيا عن كل خرق لأحكام هذا القانون.
ويتوجب على المسؤول عن المعالجة عند تصور وتصميم عملية المعالجة أن يتّخذ جميع الاحتياطات اللازمة والتدابير الفنية الملائمة التي تضمن حماية المعطيات الشخصية.
كما يجب عليه توثيق كل إثباتات تطابق المعالجة مع معايير الحماية المنصوص عليها بهذا القانون.
يتعين على المسؤول عن المعالجة أو المناول اتخاذ كل التدابير اللازمة للمحافظة على أمن المعطيات وسلامتها ومنع الغير من الاطلاع عليها أو إدخال تغييرات عليها أو الإضرار بها.
يتعين على المسؤول عن المعالجة القيام بصفة دورية وحسب نوعية المعالجة بدراسة لمخاطرها وإعلام الهيئة بنتائج الدراسة. ويتم ضبط دورية الدراسة حسب نوعية المعالجة بمقتضى أمر حكومي.
يجب على المسؤول عن المعالجة والمناول أن يبادرا بإصلاح المعطيات الشخصية التي بحوزتهما وإتمامها وتعديلها أو تحيينها أو التشطيب عليها بطلب من الشخص المعني بالمعالجة أو كلما تبين لهما أنها غير صحيحة أو ناقصة أو عند بلوغ الهدف المنشود من معالجتها.
ويجب عليهما إعلام الشخص المعني بالمعالجة بهذه العمليات بواسطة أي وسيلة تترك أثرا كتابيا أو إلكترونيا, وذلك في أجل أقصاه شهر من تاريخ حصولها.
وفي صورة عدم استجابة المسؤول عن المعالجة أو المناول لطلبه في أجل أقصاه شهر, للشخص المعني بالمعالجة أن يعترض على ذلك لدى الهيئة.
يجب على المسؤول عن معالجة المعطيات الشخصية والمناول وكذلك أعوانهما, ولو بعد انتهاء المعالجة أو زوال صفتهم, المحافظة على سرية المعطيات الشخصية والمعلومات التي تمت معالجتها.
يحجّر على المسؤول عن المعالجة تجميع المعطيات الشخصية من الغير إلا في صورة موافقة الشخص المعني بالمعالجة على ذلك أو بموجب القانون.
إذا طرأ نزاع حول صحة معطيات شخصية، فإنه يتعين على كل من المسؤول عن المعالجة والمناول، التنصيص صلب سجل على وجود ذلك النزاع إلى حين البت فيه.
وعند حصول حادث من شأنه إلحاق ضرر بتلك المعطيات أو التأثير عليها، فإنه يتعين على المسؤول عن المعالجة أو المناول إعلام الهيئة بذلك وبالتدابير المتخذة في الغرض خلال اثنين وسبعين ساعة من وقت حصول العلم له بالحادث. وفي صورة عدم رفع الضرر، يتعين عليه أن يعلم بذلك الأشخاص المعنيين بالمعالجة في أجل أقصاه خمسة عشر يوما من تاريخ حصول العلم بالحادث بواسطة أي وسيلة تترك أثرا كتابيا أو الكترونيا.
تحجر إحالة المعطيات الشخصية إلى الغير دون موافقة الشخص المعني بالمعالجة.
إلا أنّه بإمكان الهيئة بطلب من المسؤول عن المعالجة الترخيص في إحالتها إذا كانت المعطيات ضرورية لإجراء بحوث ودراسات تاريخية أو توثيقية أو إحصائية أو علمية أو لتنفيذ التزام قانوني أو تعاقدي, كل ذلك بشرط أن يتعهد الشخص المحالة إليه تلك المعطيات بتوفير الضمانات الكفيلة بحمايتها والحقوق المرتبطة بها طبق الشروط المضمّنة بالترخيص, وعدم استعمالها في غير الغرض الذي أحيلت من أجله.
ويقدّم مطلب الترخيص إلى الهيئة في أجل لا يتجاوز الشهر من تاريخ رفض المعني بالمعالجة إحالة معطياته الشخصية إلى الغير.
يمكن إحالة المعطيات الشخصية التي وقعت معالجتها لغايات معينة، وذلك لإعادة معالجتها لغايات تاريخية أو علمية أو توثيقية أو إحصائية، شريطة الحصول على موافقة المعني بالمعالجة.
يحجر في كل الحالات تحويل المعطيات الشخصية نحو بلاد أجنبية إذا كان ذلك من شأنه المساس بالأمن العام أو الدفاع الوطني.
تخضع إلى الإعلام المسبق لدى الهيئة عملية تحويل المعطيات الشخصية نحو الدول الأجنبية التي تضبط قائمتها بقرار من الهيئة.
تستند الهيئة عند ضبط هذه القائمة إلى ما توفره الدول من ضمانات كافية لحماية المعطيات الشخصية.
ويخضع تحويل المعطيات الشخصية نحو باقي الدول إلى ترخيص مسبق من الهيئة.
يتعين على المسؤول عن المعالجة أو المناول عند الاقتضاء إتلاف المعطيات الشخصية بصفة فورية بمبادرة منه أو بطلب من الشخص المعني بالمعالجة طبقا لأحكام الفصل 27 من هذا القانون.
يتعين على المسؤول عن المعالجة وكذلك المناول الذي يعتزم التوقف نهائيا عن نشاط المعالجة, إعلام الهيئة بذلك قبل شهر من تاريخ التوقف.
وفي صورة وفاة أو إفلاس المسؤول عن المعالجة أو المناول أو حلّ الشخص المعنوي أو مصادرته, يجب على الورثة أو أمين الفلسة أو المصفي, حسب الحالة, إعلام الهيئة بذلك في أجل لا يتجاوز ثلاثة أشهر من تاريخ حدوثها.
ويمكن للهيئة في حالة التوقف عن النشاط لأحد الأسباب المذكورة بهذا الفصل أن تقرر في أجل أقصاه شهرا من تاريخ الإبلاغ, إحالة المعطيات الشخصية في إحدى الصورتين التاليتين:
- إذا رأت أن تلك المعطيات مفيدة لأن تستخدم في أغراض تاريخية أو توثيقية أو إحصائية أو علمية,
- إذا اقترح من تولى الإعلام إحالة كل المعطيات الشخصية أو البعض منها إلى شخص طبيعي أو معنوي يحدّد هويته بكل دقة, ولا تتم الإحالة بصفة فعلية إلا بعد الحصول على موافقة الأشخاص المعنيين بالمعالجة. وفي صورة عدم الحصول على هذه الموافقة خلال ثلاثة أشهر من تاريخ طلبها, يتعين على من تولى الإعلام إتلاف المعطيات الشخصية.
في حالة توقف نشاط المسؤول عن المعالجة أو المناول لإحدى الأسباب المذكورة بالفصل السابق, يمكن للشخص المعني بالمعالجة أو ورثته أو كل شخص له مصلحة أو النيابة العمومية أن يطلبوا في أي وقت من الهيئة اتخاذ التدابير الملائمة لحفظ المعطيات الشخصية وحمايتها أو إتلافها.
وعلى الهيئة أن تصدر قرارها في أجل شهر من تاريخ تقديم الطلب ويكون قرارها معللا.
عندما يصبح المسؤول عن المعالجة ملزما بإتلاف معطيات شخصية سبق له إحالتها, فإنه يجب عليه إعلام الجهات المحالة إليها بضرورة إتلافها.
يجب على الذوات المعنوية سواء كانت عمومية أو خاصة, التي تعالج معطيات شخصية وتشغل أكثر من خمسين عونا أو تعالج معطيات حساسة, أن تعيّن مكلّفا بحماية المعطيات الشخصية وتعلم الهيئة بذلك وتنشره للعموم في أجل خمسة عشر يوما.
ويجب على المسؤول عن المعالجة مدّ المكلّف بحماية المعطيات الشخصية بالوسائل البشرية والمادية التي تتطلبها مهامه.
يضطلع المكلّف بحماية المعطيات الشخصية بالمهام التالية:
- مسك سجل في عمليات المعالجة المنجزة من قبل المسؤول على المعالجة أو المناول,
- تلقي مطالب النفاذ إلى المعطيات الشخصية,
- تنظيم كل الأنشطة الداخلية المتعلقة بحماية المعطيات الشخصية,
- إعداد برنامج عمل لتحسين حماية المعطيات الشخصية بالتعاون مع المسؤول عن المعالجة,
- إعداد تقرير سنوي للأنشطة المتعلقة بحماية المعطيات الشخصية يحال إلكترونيا إلى الهيئة وينشر على الموقع الإلكتروني للهيكل.
- ربط الصلة بين الهيكل المعني الذي ينتمي إليه وهيئة حماية المعطيات الشخصية.
تخضع معالجة المعطيات الشخصية المتعلقة بالدفاع الوطني أو بالأمن العام أو بالتوقي من الجرائم أو بالتتبعات الجزائية و الأحكام الصادرة فيها , إلى قواعد خاصة تقتضيها طبيعة تلك المعطيات و المهام الموكلة للسلط العمومية المكلفة بمعالجتها, وتضبط هذه القواعد الخاصة بالتشريع الجاري به العمل.
تتم ممارسة حق النفاذ غير المباشر بواسطة أحد أعضاء مجلس الهيئة إذا تعلقت المعالجة بمعطيات شخصية متصلة بالأمن العام أو بالدفاع الوطني وبواسطة محام يعينه الشخص المعني بالمعالجة إذا كانت المعطيات الشخصية متصلة بالبحث والتحقيق في الجرائم.
يتولى عضو الهيئة أو المحامي بحسب الحالة طلب الاطلاع على المعطيات الشخصية موضوع المطلب واعداد تقرير في الغرض يرفع الى الهيئة التي لها أن تأذن للمسؤول عن المعالجة بتصحيح تلك المعطيات أو بفسخها بطلب من الشخص المعني بالمعالجة, ويحرر محضر في الغرض يتم إعلامه به.
وإذا تبين للهيئة أن اطلاع الشخص المعني بالمعالجة على المعطيات الشخصية لا يتعارض مع أغراض المعالجة ولا يلحق ضررا بالأمن العام أو بالدفاع الوطني, فإنها تأذن بتمكينه من نسخة من تلك المعطيات ما لم يعارض المسؤول عن المعالجة في ذلك بالنظر لسرية تلك المعطيات.
و تختص الهيئة بالبت في النزاعات الناشئة عن معالجة هذا الصنف من المعطيات الشخصية, في أجل ستين يوما من تاريخ تقديم المطلب.
لا يمكن استعمال وسائل المراقبة البصرية إلا إذا كانت ضرورية لضمان سلامة الأشخاص والوقاية من الحوادث وحماية الممتلكات أو تنظيم حركة الدخول إلى الفضاءات العامة والخروج منها, على ألاّ تركز إلاّ بعد إعلام الهيئة وفي:
- الفضاءات المفتوحة للعموم و مداخلها،
- الفضاءات المخصصة للنقل البري والبحري والجوي للمسافرين و البضائع و بالمأوى،
- فضاءات العمل الجماعي.
ويحجر في جميع الحالات أن تكون التسجيلات البصرية مرفقة بتسجيلات صوتية.
كما يحجر تركيز هذه الوسائل بشكل يسمح بالكشف عن المنشآت الأمنية و العسكرية.
و يخضع استعمال وسائل المراقبة البصرية سواء كانت محمولة أو متنقلة من قبل أعوان الدولة والجماعات المحلية إلى إعلام الهيئة و يمكن في هذه الحالة إجراء تسجيلات صوتية.
ولا يمكن تركيز مراقبة بصرية على الطريق العام إلا من قبل السلطات العمومية وبعد إعلام الهيئة.
تخضع وسائل المراقبة البصرية المركزة في الفضاءات التربوية أو الصحية أو في غرف الاحتفاظ وفي السجون أو الإصلاح إلى الترخيص المسبق من الهيئة.
يمكن أن يقدم الإعلام أو مطلب الترخيص سواء من قبل المسؤول عن المعالجة أو المناول أو من قبل الشخص الذي قام بتركيز نظام المراقبة.
تضبط الهيئة بقرار معايير تركيز وسائل المراقبة البصرية و كيفية إعلام العموم بطريقة واضحة و مستمرة بوجود تلك الوسائل و كذلك شروط و إجراءات مشاهدة الصور عن بعد المسجلة بهذه الوسائل.
تحدد مدة الاحتفاظ بالتسجيلات بثلاثين يوما و ترفع إلى ستين يوما بالنسبة لمنظومات المراقبة الخاصة بالأمن العام ويمكن التمديد في هذه المدة بثلاثة أشهر بإذن من النيابة العمومية مع امكانية تجديد الطلب كلما اقتضت الضرورة.
تحجر إحالة التسجيلات البصرية إلا في الحالات التالية:
- إذا أعطى الشخص المعني بالمعالجة موافقته أو بطلب منه,
- إذا كانت الإحالة ضرورية لتنفيذ مهام موكلة الى السلطات العمومية و تتعلق بالأمن العام أو الدفاع الوطني,
- إذا كانت الإحالة ضرورية لغاية معاينة الجرائم او الكشف عنها او تتبع مرتكبيها.
ويجب على المسؤول عن المعالجة تضمين هذه الإحالات في سجل مرقم تحدد مواصفاته ضمن قرار الهيئة المنصوص عليه بالفصل 56 من هذا القانون.
و في صورة لجوء السلط المكلفة بالأمن العام أو بالدفاع الوطني إلى أنظمة مراقبة بصرية مركزة من طرف خواص, فإنه يتوجب على هؤلاء الخواص إعلام الهيئة بذلك.
تخضع إلى الترخيص المسبق من الهيئة عملية التعرف على الشخص الطبيعي من خلال الوجه أو من خلال الأرقام المنجمية للسيارات المنجزة من قبل المصالح العمومية والخاصة عبر تسجيلات وسائل المراقبة البصرية المركزة طبق التشريع الجاري به العمل.
تخضع معالجة المعطيات الشخصية المتعلقة بالصحة إلى ترخيص مسبق من الهيئة, التي بإمكانها تأجيل البت في مطلب الترخيص إلى حين استشارة الهياكل المختصة في المجال الطبي.
يمكن للهيئة أن تحدد عند إسناد الترخيص للاحتياطات و الاجراءات الواجب اتخاذها لضمان حماية المعطيات الشخصية المتعلقة بالصحة.
وتحدد الهيئة بمقتضى قرار الآجال القصوى للاحتفاظ بتلك المعطيات بعد انقضاء مدة المعالجة إلا اذا تم اخفاء هوية أصحابها.
وتحجر إحالة المعطيات الشخصية المتعلقة بالصحة أو تحويلها إلى الخارج دون ترخيص مسبق من الهيئة.
لا يمكن معالجة المعطيات الشخصية المتعلقة بالصحة إلا في الحالات التالية:
- اذا كانت المعالجة منجزة من قبل مؤسسة صحية عمومية أو خاصة أو طاقم طبي في إطار أداء مهامهم،
- إذا كانت المعالجة لازمة لتحقيق أغراض منصوص عليها بالقانون،
- إذا كانت المعالجة ضرورية لتطوير الصحة وحمايتها بما في ذلك البحوث حول الأمراض والوقاية منها ومعالجتها،
- إذا كان للمعالجة انعكاس إيجابي على صحة الشخص المعني بها.
تحجر معالجة المعطيات الشخصية المتعلقة بالصحة إلا من قبل الأطباء والإطارات شبه الطبية العاملين تحت مسؤوليتهم, أو الأشخاص الخاضعين بحكم وظيفتهم في الميدان الصحي إلى واجب المحافظة على السر المهني.
يحجر إيواء المعطيات الشخصية المتعلقة بالصحة خارج التراب الوطني.
وإذا تم الإيواء فوق التراب التونسي فإنه يشترط في المستضيف أن يكون متعمدا من قبل الهياكل المختصة وأن يستجيب لشروط سلامة المنظومات والشبكات طبقا للتشريع الجاري به العمل.
و تصدر الهيئة قرارا يضبط الإطار المرجعي الواجب احترامه عند ايواء تلك المعطيات.
يجب الالتجاء إلى ترميز المعطيات الشخصية أو إخفاء هوية أصحابها، كلما سمحت مقتضيات البحث العلمي بذلك طبقا للإجراءات التي تضبط بقرار من الهيئة.
يجب الالتجاء إلى ترميز المعطيات الشخصية أو إخفاء هوية أصحابها، كلما سمحت مقتضيات البحث العلمي بذلك طبقا للإجراءات التي تضبط بقرار من الهيئة.
لا تجوز إحالة أو نشر المعطيات الشخصية الواقع معالجتها في إطار البحث العلمي إلا إذا وافق المعني بالمعالجة على ذلك صراحة, أو إذا كانت الإحالة أو النشر ضروريين لتقديم نتائج البحث.
يجب على الصحفيين في نطاق نشاطهم, عدم إتاحة المعطيات الشخصية التي بلغت إلى علمهم بمناسبة تحقيقاتهم, للعموم بما من شأنه أن يجعل الأشخاص المعنيين بها معرفين أو قابلين للتعريف, كما يمنع عليهم نشر المعطيات الحساسة و المعطيات الخاصة بالقاصرين.
تعتبر المعطيات المتعلقة بالتموقع من قبيل المعطيات الشخصية الحساسة التي لا تجوز معالجتها إلا عند الضرورة و بعد إعلام الهيئة.
يجب على المسؤول عن المعالجة أو المناول إعلام أعوانه بوضع نظام لتحديد تموقعهم في إطار ممارسة عملهم.
تخضع معالجة المعطيات المتعلقة بالتموقع عبر تطبيقات الأجهزة الطرفية للاتصالات إلى قواعد تضبط بقرار من الهيئة بعد أخذ رأي الهياكل المكلفة بالرقابة والتعديل في مجال الاتصال الالكتروني.
تخضع الأجهزة الطرفية للاتصالات المتصلة المستوردة أو المصنعة محليا و المعدّة للتسويق إلى المصادقة والتثبت من احترام المعايير المعتمدة في حماية المعطيات الشخصية طبقا للتشريع الجاري به العمل.
تضبط الهيئة بمقتضى قرار شروط الحماية بعد أخذ رأي الهياكل المكلفة بالرقابة والتعديل في مجال الاتصال الالكتروني.
يخضع إيواء المعطيات الشخصية على التراب التونسي إلى الإعلام المسبق للهيئة.
ويخضع إيواءها خارج التراب التونسي إلى نفس القواعد المنصوص عليها بالفصل 46 من هذا القانون.
ولا يمكن إيواء المعطيات الشخصية التي تعالجها ذات معنوية عمومية خارج التراب التونسي.
يعتبر مستضيف المعطيات الشخصية بمثابة المناول, ويخضع على هذا الأساس بالتضامن مع المسؤول عن المعالجة إلى كافة الواجبات والالتزامات المحمولة على هذا الأخير.
للشخص المعني بالمعالجة الحق في الاعتراض على قرار تأسس حصريا على معالجة آلية طبق أحكام الفصلين 20 و21 من هذا القانون، بما في ذلك تحديد الملامح وما يترتب عنه من آثار قانونية إلا إذا كانت المعالجة ضرورية لتحقيق التزام قانوني أو تعاقدي.
يحدث سجل يطلق عليه اسم "سجل المعرّف الوحيد للمواطن", تضبط أهدافه والمعطيات الشخصية الواجب تضمينه صلبه بمقتضى أمر حكومي, تمسكه وتديره الوزارة المكلفة بالجماعات المحلية.
يخضع مسك و إدارة "سجل المعرف الوحيد للمواطن" لنفس الشروط و الإجراءات المنطبقة على معالجة المعطيات الشخصية يتوجب على الأشخاص المرخص لهم في استعمال" سجل المعرف الوحيد للمواطن" تيسير مهمة الرقابة التي تقوم بها الهيئة كما يتوجب عليهم تعيين مكلف بحماية المعطيات الشخصية.
يمنح " المعرف الوحيد للمواطن"الى:
- كل شخص مسجل عند الولادة بسجل الحالة المدنية.
- كل شخص تونسي الجنسية ولد في دولة أجنبية عند تسجيله لدى البعثة الدبلوماسية أو القنصلية التونسية المعتمدة في تلك الدولة.
- كل شخص اكتسب الجنسية التونسية.
يتعين الاحتفاظ بالمعطيات المتعلقة بهم لمدة ثلاثين سنة بعد الوفاة أو فقدان الجنسية نهائيا.
يحجر اسناد نفس" المعرف الوحيد للمواطن" لأكثر من شخص و إسناد الشخص الواحد أكثر من "معرف وحيد للمواطن".
يشترط في "المعرف الوحيد للمواطن" أن لا تكون له أي دلالة،و تحدد أهدافه ومحتواه ومواصفاته الفنية وقواعد مسكه و إدارة سجله بمقتضى أمر حكومي بعد استشارة الهيئة.
يتعين على الوزارة المكلفة بالجماعات المحلية تركيز منظومة على الخط تخول لكل مواطن الاطلاع على كل العمليات التي طرأت على معرفه الوحيد والهياكل التي استعملته.
يحجر استعمال "المعرف الوحيد للمواطن" إلا من قبل الاشخاص العموميين أو الخواص المكلفين بتسيير مرفق عمومي والذين تضبط قائمتهم و أغراض استعمالهم للمعرف الوحيد للمواطن بأمر حكومي يصدر بناء على رأي الهيئة.
يحجر التنصيص على "المعرف الوحيد للمواطن" بالوثائق الرسمية التي تسلمها مصالح الدولة التونسية باستثناء المراسلات الإدارية بين الهياكل العمومية أو الخاصة المشار إليها بالفصل السابق.
تحدث هيئة عمومية مستقلة تسمى هيئة حماية المعطيات الشخصية، تتمتع بالشخصية المعنوية و الاستقلالية الإدارية والمالية ويكون مقرها تونس العاصمة.
وتضبط طرق سير عمل الهيئة بمقتضى نظام داخلي يصادق عليه مجلس الهيئة وينشر على الموقع الإلكتروني للهيئة.
تتولى الهيئة بالخصوص القيام بالمهام التالية:
- التعهد تلقائيا بمراقبة عمليات معالجة المعطيات الشخصية.
- مباشرة المهام المسندة لها بالقانون و لها في ذلك أن تستعين بأعوان الضابطة العدلية.
- إبداء الرأي في مشاريع القوانين والنصوص الترتيبية ذات العلاقة بمجال حماية المعطيات الشخصية.
- تقديم الاستشارات للذوات العمومية والخاصة حول جميع المسائل المتصلة بمعالجة المعطيات الشخصية.
- المساهمة في أنشطة البحث والتكوين والدراسة ذات الصلة بحماية المعطيات الشخصية.
- إرساء ونشر ثقافة حماية المعطيات الشخصية بالتعاون مع كافة الهياكل العمومية ومكونات المجتمع المدني.
- مراقبة التقييم الدوري لمستوى حماية المعطيات الشخصية الذي يقوم به المسؤولون عن المعالجة.
- تبادل التجارب والكفاءات مع نظيراتها من الهيئات الأجنبية وكذلك الهيئات الدولية والإقليمية العاملة في مجال حماية المعطيات الشخصية والحياة الخاصة.
- المشاركة في كافة الهيئات الإقليمية والدولية المكلفة بحماية المعطيات الشخصية والتعاون مع هياكل الأمم المتحدة في هذا المجال بعد إعلام وزارة الشؤون الخارجية.
- العمل بالتعاون مع هيئة النفاذ إلى المعلومة وكافة المؤسسات العمومية المعنية بالرقابة و التعديل, من أجل إصدار القرارات وإعداد الأدلة والإطارات المرجعية المشتركة ذات الصلة بالنفاذ إلى المعطيات الشخصية.
- إعداد تقرير سنوي لنشاطها وعرضه على رئيس الجمهورية ورئيس مجلس نواب الشعب ورئيس الحكومة ينشر بالموقع الإلكتروني للهيئة.
- إعداد تقارير دورية عن وضع حماية المعطيات الشخصية تنشر بالموقع الإلكتروني للهيئة.
تتركب الهيئة من هيكل تقريري جماعي يسمى "مجلس الهيئة" وجهاز إداري ووحدة البحث والتقصي ووحدة التدقيق والرقابة الداخلية.
يتكون مجلس الهيئة من رئيس وعضوين يمارسون مهامهم كامل الوقت لمدة ثلاث سنوات قابلة للتجديد مرة واحدة يتم تعيينهم بمقتضى أمر حكومي ويكون من بينهم وجوبا قاض إداري. ويجب أن يستجيب الأعضاء إلى الشروط التالية:
- تونسي الجنسية.
- نقي السوابق العدلية.
- يتمتع بالاستقلالية والنزاهة والحياد.
- من ذوي الخبرة والكفاءة في مجال حماية المعطيات الشخصية أو في المجالات ذات الصلة.
ويمكن اعفاء أحد الأعضاء بمقتضى أمر حكومي بناء على تقرير معلل صادر عن عضوين بسبب ارتكابه خطأ جسيما على أن يتم تعويضه بنفس الصيغ ولباقي المدة.
يؤدي أعضاء مجلس الهيئة أمام رئيس الجمهورية اليمين التالية: "أقسم بالله العظيم أن أعمل على حماية المعطيات الشخصية بأمانة واستقلالية وحياد ونزاهة وأن أحافظ على السر المهني".
يتوجب على رئيس الهيئة وأعضائها وأعوانها المحافظة على السر المهني في خصوص المعطيات الشخصية والمعلومات التي بلغت إلى علمهم بحكم وظيفتهم، ولو بعد زوال صفتهم.
يتمتع أعضاء المجلس بأجور وامتيازات تضبط بمقتضى أمر حكومي.
يجتمع المجلس بدعوة من رئيسه بصفة دورية ويتم استدعاء الأعضاء ثلاثة أيام على الأقل قبل تاريخ الجلسة بأي وسيلة تترك أثرا كتابيا أو إلكترونيا مصحوبا بمشروع جدول الأعمال.
لا تكون اجتماعات مجلس الهيئة قانونية إلا بحضور أغلبية الأعضاء من بينهم رئيس المجلس.
ويمكن لرئيس المجلس دعوة كل شخص يرى فائدة في حضوره إلى المشاركة في اجتماعات المجلس.
يتخذ المجلس قراراته بأغلبية الأعضاء الحاضرين وفي صورة تساوي الأصوات يرجح صوت الرئيس.
يتولى مجلس الهيئة بالخصوص:
- اتخاذ القرارات الترتيبية.
- البت في التصاريح ومطالب الترخيص والنظر في الشكايات.
- المصادقة على النظام الداخلي للهيئة.
- المصادقة على التقرير السنوي للهيئة.
- اقتراح مشروع ميزانية الهيئة.
- اقتراح التنظيم الهيكلي للهيئة.
- اقتراح النظام الأساسي الخاص لأعوان الهيئة.
رئيس الهيئة هو ممثلها القانوني وآمر صرفها يسهر على سير أعمالها ويشرف على تسييرها الإداري والمالي وإعداد مشروع الميزانية والتقرير السنوي لها.
يمكن لرئيس الهيئة تفويض البعض من صلاحياته لفائدة أحد الأعضاء والكاتب العام.
يشتمل الجهاز الإداري على مصالح إدارية ومالية وفنية وفق تنظيم هيكلي يقترحه مجلس الهيئة وتتم المصادقة عليه بمقتضى أمر حكومي.
يخضع أعوان الهيئة إلى أحكام القانون عدد 78 لسنة 1985 المتعلق بضبط النظام الأساسي العام لأعوان الدواوين والمؤسسات العمومية ذات الصبغة الصناعية والتجارية والشركات التي تمتلك الدولة أو الجماعات العمومية في رأس مالها بصفة مباشرة وكليا. وتضبط القواعد الأساسية الخاصة بهم بنظام أساسي خاص يضبط بمقتضى أمر حكومي.
يسير الجهاز الاداري للهيئة كاتب عام تحت إشراف رئيس الهيئة ويقوم بالمهام التالية:
- مساعدة رئيس الهيئة في تسيير الهيئة،
- تنفيذ المهام التي يوكلها له مجلس الهيئة،
- إعداد الملفات المعروضة على مجلس الهيئة،
- التصرف الإداري والمالي،
- إعداد مشروع الميزانية،
- إدارة نظام المعلومات المتعلق بأعمال الهيئة وصيانته،
- حفظ وثائق الهيئة،
- إعداد مشاريع تقارير الهيئة وإحالتها على المجلس،
- ويتم تعيين الكاتب العام بقرار يتم اتخاذه بأغلبية أعضاء مجلس الهيئة بعد الدعوة للترشح.
تتولى الوحدة البحث والتقصي في الملفات والشكايات المتعهد بها من قبل مجلس الهيئة وإعدادا مشاريع القرارات المتعلقة بتسليط عقوبات مالية.
يترأس هذه الوحدة قاض يتم تعيينه بمقتضى أمر حكومي.
ويضمن القاضي ممارسة حق الدفاع ومبدأ المواجهة.
تتولى الوحدة إرساء نظام رقابة داخلية للإجراءات الإدارية والمالية والمحاسبية تضمن سلامة القوائم المالية ونزاهتها وشفافيتها ومطابقتها للقوانين الجاري بها العمل.
ترفع وحدة التدقيق والرقابة الداخلية تقاريرها إلى مجلس الهيئة مباشرة وبصفة دورية.
تتكون الموارد المالية للهيئة من:
- المنحة السنوية المخصصة من ميزانية الدولة.
- معاليم إيداع التصاريح ومطالب الترخيص.
- المداخيل الأخرى المتأتية من أنشطة الهيئة.
- الهيئات والتبرعات والعطايا غير المشروطة.
لا تخضع قواعد التصرف الإداري والمالي للهيئة إلى مجلة المحاسبة العمومية.
تمسك الهيئة حساباتها طبقا للنظام المحاسبي على المؤسسات مع مراعاة طابعها غير الربحي. وتخضع صفقاتها إلى نظام صفقات المنشآت العمومية .
تخضع الحسابات المالية للهيئة إلى الرقابة اللاحقة لدائرة المحاسبات.
وتنشر الهيئة تقريرها المالي السنوي على موقعها الإلكتروني.
يتخذ مجلس الهيئة القرارات التالية :
- تحديد القواعد والضمانات الضرورية لحماية المعطيات الشخصية ومدونات السلوك والمعايير المرجعية الواجب احترامها في معالجة المعطيات الشخصية. تنشر بالرائد الرسمي للجمهورية وبالموقع الإلكتروني للهيئة.
- منح التراخيص وسحبها والموافقة على التصاريح والرجوع فيها في الصور المقررة بهذا القانون.
- إيقاف المعالجة في الحالات المنصوص عليها بهذا القانون.
- إحالة الشكايات على النيابة العمومية.
- إسناد علامة الهيئة و سحبها.
يودع الإعلام أو مطلب الترخيص المسبق بمقر الهيئة أو يوجه بواسطة رسائل مضمونة الوصول مع الإعلام بالبلوغ أو من خلال الاستمارة المدرجة بالموقع الإلكتروني للهيئة أو بأي وسيلة أخرى تترك أثرا كتابيا أو إلكترونيا.
ويقدم الإعلام أو مطلب الترخيص المسبق والمؤيدات المرفقة بهما من قبل المسؤول عن المعالجة, أو مناوله أو الممثل القانوني, ولا يعفي الإجراء من المسؤولية تجاه المعنيين بالمعالجة.
تحدد الهيئة بموجب مقرر البيانات والتنصيصات الواجب تضمينها بأنموذج الإعلام أو مطلب الترخيص.
تنظر الهيئة في مطلب الترخيص وتصدر قرارا معللا بالقبول أو بالرفض في أجل شهرين من تاريخ إيداعه, ويمكن التمديد في هذا الأجل لمدة شهر واحد ومرة واحدة بقرار معلل من رئيس الهيئة.
إلا أنه و في حالة التأكد القائم على أسباب جدية وواجب التبادل السريع للمعلومات يمكن البت في أجل لا يتجاوز عشرة أيام.
وينقطع سريان أجل البت في المطلب إذا طلبت الهيئة الإدلاء بتوضيحات أو وثائق إضافية.
يتم إعلام المسؤول عن المعالجة بالقرار المتعلق بمطلب الترخيص المسبق بأي وسيلة تترك أثرا كتابيا أو إلكترونيا في أجل أقصاه خمسة عشرة يوما من تاريخ صدور القرار.
ويتم الطعن في ذلك القرار لدى المحكمة الإدارية في أجل شهر من تاريخ الإعلام به, وفق الإجراءات الخاصة بدعاوى تجاوز السلطة المنصوص عليها بالقانون المتعلق بالمحكمة الإدارية.
تسند الهيئة بمقتضى قرار بطلب من المسؤول عن المعالجة علامة مطابقة تسمى "علامة سلامة المعطيات الشخصية" بعد إجراء الأبحاث اللازمة للتأكد من استجابة المعني بالأمر للمواصفات المرجعية التي تحددها الهيئة بمقتضى قرار.
وتسند علامة الهيئة لمدة سنتين, يصبح خلالها المسؤول عن المعالجة خاضعا إلى الإعلام عوضا عن الترخيص.
ويتم سحب علامة الهيئة بقرار معلل من قبلها في صورة معاينتها لمخالفة المواصفات المرجعية التي أسندت على أساسها تلك العلامة.
ترفع الشكايات المتعلقة بمعالجة المعطيات الشخصية إلى الهيئة مباشرة أو عن طريق محام بمقتضى عريضة تتضمن كافة البيانات المتعلقة بالشاكي و المشتكى به و موضوع الشكوى, مرفقة بجميع الوثائق و المؤيدات.
تودع العريضة ومؤيداتها بمقر الهيئة أو توجه إليها بواسطة رسالة مضمونة الوصول مع الإعلام بالبلوغ أو على الموقع الإلكتروني للهيئة.
و تحرر وحدة البحث والتقصي تقريرا أوليا بعد إنهاء أعمالها يحال على الأطراف المعنية بأي وسيلة تترك أثرا كتابيا أو الكترونيا، الذين يتعين عليهم الإجابة عليه في أجل خمسة عشرة يوما من تاريخ التبليغ ويمكنهم الإستعانة بمحام في الغرض.
وبانقضاء الأجل المذكور يحرر قاضي وحدة البحث والتقصي مشروع قرار يحال على مجلس الهيئة.
يمكن لرئيس الهيئة في صورة معاينة إخلال بأحكام هذا القانون أن يوجه تنبيها إلى المسؤول عن المعالجة يدعوه فيه إلى تدارك الإخلال ويحدد له أجلا لذلك.
وفي صورة تمادي المسؤول عن المعالجة في الإخلال بعد التنبيه عليه، أو في صورة ارتكابه لإخلال جسيم، يوجه إليه رئيس الهيئة إنذارا مع إمكانية الإذن بنشره على موقع الهيئة.
و يتولى رئيس الهيئة رفع الإنذار في صورة معاينة تدارك الإخلالات، و يتم نشر قرار الرفع إذا سبق نشر الإنذار.
يتم إعلام المسؤولين عن المعالجة بقرار التنبيه أو الإنذار بأي وسيلة تترك أثرا كتابيا أو الكترونيا و يمكن التظلم من هذا القرار أمام مجلس الهيئة في أجل شهر من تاريخ الإعلام به.
في صورة حصول انتهاك جسيم لأحكام هذا القانون يترتب عنه ضرر فادح لحقوق الأشخاص المعنيين بالمعالجة, يتخذ رئيس الهيئة بناء على شكاية أو تعهد تلقائي, قرارا في الإيقاف الفوري للمعالجة إذا تعلق الأمر بذوات خاصة و بقرار من رئيس الحكومة، باقتراح من الهيئة، إذا تعلق الأمر بسلطة عمومية.
يتعهد مجلس الهيئة بالملفات المحالة عليه من طرف رئيس وحدة البحث والتقصي وفي الطعون في قرارات التنبيه والإنذار الصادرة عن رئيس الهيئة.
ويمكن له إذا رأى فائدة في ذلك أن يستكمل التحقيق أو يستمع إلى الأطراف و الشهود.
إذا تبين لمجلس الهيئة أن الأفعال موضوع ملف الإحالة تشكل مخالفة تستوجب عقوبة بخطية مالية لا غير، فإنه يتخذ قرارا بتسليط العقوبة في أجل شهرين من تاريخ الإحالة.
إذا تبين لمجلس الهيئة أن الأفعال موضوع ملف الإحالة تستوجب عقوبة بالسجن فإنه يتخذ قرارا بإحالته إلى النيابة العمومية.
تبلغ قرارات العقوبات الصادرة عن مجلس الهيئة إلى المعنيين بها بالطرق الإدارية أو بواسطة عدل التنفيذ.
يتم الطعن في العقوبات الصادرة عن مجلس الهيئة موضوع الفرع الخامس من هذا الباب أمام المحكمة الإدارية بتونس وفق الإجراءات المنصوص عليها بالقوانين المنظمة للقضاء الإداري.
ويتم الطعن في قرارات مجلس الهيئة أمام المحكمة الإدارية بتونس وفق نفس إجراءات و آجال التقاضي في دعوة تجاوز السلطة.
علاوة على العقوبات الإدارية المتمثلة في التنبيه والإنذار والإيقاف الفوري للمعالجة وسحب الترخيص و سحب علامة الهيئة, يترتب عن مخالفة أحكام هذا القانون عقوبات مالية تسلط من قبل مجلس الهيئة و عقوبات بالسجن وبخطية مالية تسلط من قبل المحاكم الجزائية.
والمحاولة موجبة العقاب.
يعاقب بخطية مالية تتراوح بين ألف (1.000 د.) وعشرة آلاف دينار (10.000د.) كل من خالف أحكام الفصول 5 و13 فقرة ثالثة و16 فقرة ثانية و22 و26 و27 و32 و 34 فقرة ثانية و36 فقرة ثانية و37 و38 و39و40 و42 و48 و50 و51 و57 و58 الفقرتان الثانية و الثالثة, و64 و65 و68 و70 و72 فقرة أخيرة و 77 فقرة أخيرة و78 و 81 من هذا القانون.
يعاقب بخطية مالية تتراوح بين عشرة ألاف دينار (10.000 د.) وخمسين ألاف دينار (50.000 د.) كل من خالف أحكام الفصول 10 و12 و34 فقرة أولى و34 فقرة اخيرة و59 و60 فقرة ثالثة من هذا القانون.
يعاقب بخطية مالية تتراوح بين ستين ألف دينار (60.000 د.) ومائة ألف دينار (100.000 د.) كل من خالف أحكام الفصول 6 و24 و54 فقرة ثانية من هذا القانون.
يعاقب بالسجن لمدة عام وبخطية مالية قدرها خمسين ألف دينار(50.000 د.) أو بإحدى هاتين العقوبتين كل من خالف أحكام الفصول 3 الفقرة الثانية و20 فقرة ثانية و 46 و63 من هذا القانون.
يعاقب بالسجن لمدة عامين وبخطية مالية قدرها مائة ألف دينار (100.000 د.) أو بإحدى هاتين العقوبتين كل من خالف أحكام الفصول 7 و25 و31 و41 و43 و47 و58 فقرة أولى و61 و62 والفصل 60 فقرة أخيرة و80من هذا القانون.
يعاقب بالسجن من عامين إلى 5 أعوام وبخطية مالية قدرها مئتا ألف دينار (200.000 د.) أو بإحدى هاتين العقوبتين كل من خالف أحكام الفصل 45 من هذا القانون.
يدخل هذا القانون حيز النفاذ بعد ستة أشهر من تاريخ نشره بالرائد الرسمي للجمهورية التونسية, وبانقضاء الأجل المذكور تلغى أحكام القانون الأساسي عدد 63 لسنة 2004 المتعلق بحماية المعطيات الشخصية.
ويواصل مجلس الهيئة بتركيبته الحالية ممارسة المهام الموكلة إليه بمقتضى القانون عدد 63 لسنة 2004،كما يمارس ابتداء من تاريخ دخول هذا القانون حيز النفاذ المهام والصلاحيات المنصوص عليها بهذا القانون إلى حين تركيز مجلس الهيئة الجديد.
تحال على وجه الملكية إلى الهيئة الوطنية لحماية المعطيات الشخصية المحدثة بمقتضى القانون الأساسي عدد 63 لسنة 2004 التعلق بحماية المعطيات الشخصية.
ويحرر ممثل عن كلتا الهيئتين وممثل عن الوزارة المكلفة بالمالية وممثل عن الوزارة المكلفة بأملاك الدولة والشؤون العقارية كشفا يحال إلى الوزارة المكلفة بأملاك الدولة والشؤون العقارية التي تتولى ترسيمه بالسجل الخاص بالهيئة.
تحيل الهيئة الوطنية لحماية المعطيات الشخصية وجوبا إلى الهيئة جميع الملفات و البيانات مهما كانت الوسائط الحاملة لها.
إلى حين صدور القوانين الأساسية المنظمة للقضاء الإداري وفق مقتضيات الدستور تنطبق القوانين والتراتيب الجاري بها العمل المتعلقة بضبط صلاحيات المحكمة الإدارية وتنظيمها والإجراءات المتبعة لديها على الأحكام المنصوص عليها بهذا القانون.