باستثناء الحالات التي يجب الترخيص فيها بمقتضى القانون، فإن معالجات البيانات ذات الطابع الشخصي التي تُنفّذ لحساب الدولة أو مؤسسة عمومية أو مجموعة محلية أو شخص اعتباري خاضع للقانون الخاص يُسير مرفقا عموميا، يتم الترخيص فيها بموجب قرار تنظيمي يتم اتخاذه بناء على رأي مسبب من سلطة حماية البيانات ذات الطابع الشخصي.
وتتعلق تلك المعالجات بما يلي:
- أمن الدولة أو الدفاع أو الأمن العمومي؛
- الوقاية أو البحث أو المعاينة أو المتابعة للجرائم الجزائية أو لتنفيذ إدانات جزائية أو تدابير أمنية؛
- إحصاء السكان؛
- البيانات ذات الطابع الشخصي التي تُظهر مباشرة أو بشكل غير مباشر، الأصول العرقية أو الإثنية أو الجهوية أو النسب أو الآراء السياسية أو الفلسفية أو الدينية أو الانتماء النقابي للأشخاص أو التي تتعلق بصحتهم أو حياتهم الجنسية؛
- معالجة الأجور والمعاشات والضرائب والرسوم والتصفيات الأخرى؛
- تنفيذ تحصيل موارد الدولة.
تبت سلطة حماية البيانات ذات الطابع الشخصي، التي يحال إليها طلب الرأي، خلال أجل مدته شهران (2) اعتبارا من استلام الطلب. غير أن تلك المدة يمكن تجديدها مرة واحدة، بقرار مسبّب من الرئيس.
وإذا لم تبت سلطة حماية البيانات ذات الطابع الشخصي التي تم تعهدها حتى انقضاء الأجل المحدد في الفقرة السابقة، فإن الرأي يعتبر إيجابيا.
إن القرار التنظيمي المتخذ بناء على رأي سلطة حماية البيانات ذات الطابع الشخصي والذي يرخص في المعالجات المشار إليها أعلاه، يحدد:
- تسمية وغاية المعالجة؛
- المصلحة التي يمارَس لديها حق النفاذ؛
- فئات البيانات ذات الطابع الشخصي المسجلة؛
- المستقبلين أو فئات المستقبلين المؤهلين لاستلام إبلاغ تلك البيانات؛
- الاستثناءات من التزام الإعلام المنصوص عليها في المادة 50 من القانون رقم 2017-020 المتعلق بحماية البيانات ذات الطابع الشخصي، عند الاقتضاء.