إلزامية السرية
تتم معالجة البيانات ذات الطابع الشخصي بسرية مطلقة. ويتم القيام بها حصرا من قبل أشخاص يعملون تحت سلطة مسؤول المعالجة وبناء على تعليماته فقط.
للقيام بالمعالجة، يجب على المسؤول اختيار أشخاص يتمتعون، من حيث الحفاظ على سرية البيانات، بكافة الضمانات؛ سواء على مستوى المعارف الفنية والقانونية أو الاستقامة الشخصية، ودون المساس بتطبيق أحكام القانون رقم 2017-020 المتعلّق بحماية البيانات ذات الطابع الشخصي، يُوقَّع تعهد كتابي من قبل الأشخاص المدعوين لمعالجة تلك البيانات بمراعاة سرية وأمن البيانات.
يشمل العقد الذي يربط المعالج الوسيط مع مسؤول المعالجة الإشارة إلى الالتزامات في مجال حماية أمن وسرية البيانات المترتبة على المعالج الوسيط، وعلى وكلائه المتدخلين في معالجة البيانات ذات الطابع الشخصي. وينص على أنه لا يمكن للمعالج الوسيط أن يتصرف إلا بناء على تعليمات مسؤول المعالجة.
إلزامية الأمن
يُلزَم مسؤول المعالجة باتخاذ كل الاحتياطات المناسبة فيما يخص طبيعة البيانات، وخاصة للحيلولة دون تشويهها أو إتلافها أو أن ينفذ إليها أطراف غير مرخص لهم في ذلك. ويتخذ على وجه الخصوص كل الإجراءات الهادفة إلى:
- ضمان ألاَّ يتمكن الأشخاص المرخص لهم من النفاذ إلا إلى البيانات ذات الطابع الشخصي التي تدخل ضمن صلاحياتهم؛
- ضمان التمكن من التحقق والإثبات اللاحق لهوية الأشخاص الذين نفذوا إلى نظام المعلومات وماهية البيانات التي تمت قراءتها أو إدخالها في النظام و في أي وقت ومن قبل أي شخص؛
- ضمان التمكن من التحقق وإثبات هوية الأطراف الأخرى التي يمكن إرسال البيانات ذات الطابع الشخصي إلهم؛
- منع أي شخص غير مرخص له من النفاذ إلى المباني أو المعدات المستخدمة لمعالجة البيانات؛
- منع القيام، في جميع الظروف، من قراءة أو نسخ أو تغيير أو محو أو تدمير أو نقل دعائم البيانات من قبل شخص غير مرخص له؛
- منع الإدخال غير المرخص فيه لأي بيانات في نظام المعلومات، وكذا أي اطلاع أو أي تغيير أو أي محو غير مرخص فيه للبيانات المسجلة؛
- منع القيام باستخدام نظم معالجات البيانات من قبل أشخاص غير مرخص لهم، وذلك بواسطة استخدام منشآت إرسال البيانات؛
- حفظ البيانات من خلال إنشاء نسخ احتياطية؛
- تحديث البيانات وعند الاقتضاء تحويلها من أجل تخزين دائم.
إلزامية الحفظ
لا يمكن حفظ البيانات ذات الطابع الشخصي بعد المدة الضرورية إلا لمعالجتها لأغراض تاريخية أو إحصائية أو علمية.
إلزامية الاستدامة
يلزم مسؤول المعالجة باتخاذ جميع التدابير المناسبة لضمان إمكانية استغلال البيانات ذات الطابع الشخصي المعالجة في وقت لاحق؛ بغض النظر عن الدعامة التقنية المستخدمة.