اجتمعت سلطة حماية البيانات ذات الطابع الشخصي تحت رئاسة السيد محمد الأمين ولد سيدي يوم الثلاثاء الموافق 14 يناير 2025 بحضور أعضائها التالية أسماؤهم:
النائب فاطمة محمد يرب الجيد، النائب ازعوره شيخا بيديه، محمد ولد بوب، خطري ولد اليزيد، آمدو عمر صال، القاضي يحيى ولد باريك، القاضي محمد عبد الرحمن ولد محمد مفيد اب، الأستاذ المحامي محمد المامي ولد مولاي اعل.
وبعد الاطلاع على:
-
- القانون رقم 2017-020 الصادر بتاريخ 17 يوليو 2017 المتعلق بحماية البيانات ذات الطابع الشخصي؛
- المرسوم رقم 2022- 13 بتاريخ 18 فبراير 2022 المتعلق بتشكيلة وتنظيم وسير عمل سلطة حماية البيانات ذات الطابع الشخصي؛
- النظام الداخلي لسلطة حماية البيانات ذات الطابع الشخصي المعدل (المصادق عليه من طرف الوزير الأول بتاريخ 22 نوفمبر 2023).
تقرر المداولة التالية:
1- مجال التطبيق:
تشمل معالجة البيانات ذات الطابع الشخصي، في سياق تسيير الزبناء، كل الملفات أو قواعد البيانات التي تتضمن بيانات متعلقة بالزبناء.
وتشمل هذه المعالجات أيضاً بيانات الأشخاص الطبيعيين الذين يمثلون أو ينوبون عن الزبناء من الشخصيات الاعتبارية.
وعيا منها بضرورة القيام بمعالجة البيانات ذات الطابع الشخصي للزبناء، فإن سلطة حماية البيانات ذات الطابع الشخصي ترى أهمية تبسيط الإجراءات المسبقة لهذا النوع من المعالجات نظرا لكونها من المعالجات الأكثر اطرادا.
2- الغاية من المعالجة:
يمكن لمسؤولي المعالجة إنشاء نظام لتسيير البيانات ذات الطابع الشخصي للزبناء للغايات التالية:
-
- تسيير العقود والطلبيات والتسليمات؛
- إعداد وإرسال الفواتير؛
- المحاسبة وتسيير حسابات الزبناء؛
- إعداد إحصائيات تجارية؛
- تنفيذ أنشطة الاستطلاع والترويج للزبناء بما يتماشى مع المادة 18 من القانون 2017-020 المتعلق بحماية البيانات ذات الطابع الشخصي وكذلك مع القوانين والنظم السارية؛
- تسيير برامج الوفاء.
3- فئات البيانات المعالجة:
تشمل المعلومات المتعلقة بالأشخاص الطبيعيين، التي يتم جمعها لغرض تسيير الزبناء:
أ- بيانات الأشخاص الطبيعيين:
الاسم، اللقب، العنوان، الهاتف، الفاكس، البريد الإلكتروني، الرمز الداخلي للمعالجة المحدد للزبون (تاريخ الميلاد أو الصورة في إطار برنامج الوفاء مثلا).
ب- البيانات المتعلقة بالمبادلات:
رقم المبادلة، تفاصيل الشراء، الاشتراك، أو الخدمة المقدمة.
ج- البيانات المتعلقة بمتابعة العلاقات التجارية:
طلبات الوثائق، طلبات التجربة، المنتج المشترى، الخدمة أو الاشتراك، الكمية، المبلغ، الانتظام، عنوان التسليم، تواريخ الشراء والخدمات المقدمة، إرجاع المنتجات، مصدر البيع (البائع، الممثل، الشريك، التابع) أو الطلب، المراسلات مع الزبون وخدمة ما بعد البيع، التبادلات وآراء الزبناء، الأشخاص المسؤولين عن العلاقة مع الزبناء.
د- البيانات المتعلقة بتسديد الفواتير:
شروط الدفع، التخفيضات الممنوحة، الإيصالات، الأرصدة والمبالغ المتأخرة، إلخ.
ه- البيانات المتعلقة باختيار الأشخاص لتنفيذ أنشطة الوفاء، الاستطلاع، اختبار المنتجات والترويج.
و- البيانات المتعلقة بمساهمات الأشخاص الذين يتركون تقييمات على المنتجات أو الخدمات أو المحتوى، بما في ذلك أسماؤهم المستعارة.
4- مدة الاحتفاظ بالبيانات المعالجة:
لا يجوز أن تتجاوز مدة الاحتفاظ بالبيانات المجمعة المدة اللازمة لتسيير العلاقات التجارية.
ومع ذلك يمكن أرشفة البيانات التي تتيح إثبات حق أو عقد، أو التي تُحفظ للامتثال لالتزام قانوني، وفقًا للأحكام التشريعية والتنظيمية الجاري بها العمل.
5- حقوق الأشخاص المعنيين:
يجب على المسؤول عن المعالجة احترام حق الزبناء في الحصول على المعلومات المتعلقة بمعالجة بياناتهم الشخصية، ويجب تضمين هذا الحق في العقود المختلفة مع ذكر ما يلي:
-
- اسم مسؤول المعالجة؛
- طبيعة البيانات المجمعة؛
- المستقبلين أو فئات المستقبلين الذين تبلغ لهم البيانات؛
- الغرض من المعالجة كما هو محدد في هذه المداولة؛
- عناوين المسؤول الذي يمكن للأشخاص المعنيين لديه ممارسة حقوقهم في النفاذ، والتصحيح، والاعتراض والحذف؛
- رقم التصريح الصادر عن سلطة حماية البيانات ذات الطابع الشخصي.
6- النفاذ إلى البيانات:
يجب أن يكون النفاذ إلى البيانات المجمعة في إطار نظام تسيير الزبناء حصريًا، وفي حدود اختصاص الجهات التالية:
-
- المصالح التجارية والمحاسبية والإدارية واللوجستية ومصالح ما بعد البيع؛
- المصالح المسؤولة عن الرقابة (مراقبو الحسابات، المدققون، والمصالح المسؤولة عن الإجراءات الداخلية أو الخارجية للرقابة)؛
- المعالج الوسيط الذي يربطه عقد مع مسؤول المعالجة لتنفيذ بعض أو كل الغايات المنصوص عليها في المادة 2 من هذه المداولة؛
- مؤسسات القرض المسيرة للحسابات المصرفية؛
- السلطات القضائية ومساعدو القضاء في إطار مهامهم القانونية والتنظيمية.
يمكن لمسؤول المعالجة تبليغ البيانات الشخصية موضوع هذه المداولة، للإدارات أو الهيئات العمومية، تطبيقًا لالتزام قانوني، مع مراعاة مداولة سلطة حماية البيانات ذات الطابع الشخصي في هذا الخصوص.
7- أمن وسرية البيانات:
يجب على مسؤول المعالجة اتخاذ كافة التدابير اللازمة من أجل الحفاظ على سلامة وسرية البيانات، تفاديا لإتلافها وتشويهها والإضرار بها أو الاطلاع عليها من طرف الأشخاص غير المخولين، طبقا لمقتضيات المادة 47 من القانون رقم 2017-020 المتعلق بحماية البيانات ذات الطابع الشخصي.
عندما يتم اللجوء من طرف مسؤول المعالجة إلى معالج وسيط، يجب على هذا الأخير أن يقدم ضمانات كافية تتعلق بالإجراءات الأمنية والتقنية والتنظيمية، ويجب على مسؤول المعالجة التأكد من الالتزام بهذه الإجراءات.
8– نقل البيانات إلى الخارج :
يجب الحصول على ترخيص سلطة حماية البيانات ذات الطابع الشخصي قبل نقل البيانات إلى الخارج طبقا للمادة 22 من القانون رقم 2017-020 المتعلق بحماية البيانات ذات الطابع الشخصي.
9- الربط البيني مع ملفات أخرى:
يخضع الربط البيني مع ملفات أخرى، والتي تكون غاياتها الرئيسية مختلفة، لترخيص مسبق من سلطة حماية البيانات ذات الطابع الشخصي، طبقا للمادة 28 من القانون رقم 2017-020 المتعلق بحماية البيانات ذات الطابع الشخصي.
10- إجراءات التصريح بالمعالجة لدى سلطة حماية البيانات ذات الطابع الشخصي:
تخضع معالجة البيانات ذات الطابع الشخصي المتعلقة بالزبناء لنظام التصريح المسبق لدى سلطة حماية البيانات ذات الطابع الشخصي.
حرر في نواكشوط بتاريخ: الثلاثاء الموافق 14 يناير 2025
محمد الأمين ولد سيدي
