اللائحة العامة لحماية البيانات GDPR
اللائحة العامة لحماية البيانات – الاتحاد الأوروبي
البرلمان الأوروبي و المفوضية الأوروبية
قانون رقم 2016/679 – 27 أبريل 2016
بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وحرية نقل هذه البيانات وإلغاء القانون 95/46/EC
General Data Protection Regulation
إعداد وترجمة إلى اللغة العربية:
د.م. حقوقي/ مصطفى عبيد، موسوعة العلوم القانونية، مركز البحوث والدراسات متعدد التخصصات.
الطبعة الأولى – يوليو 2018
الفصل الأول: الأحكام العامة
المادة 1: الموضوع والأهداف
- يضع هذا القانون القواعد المتعلقة بحماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية والقواعد المتعلقة بحرية حركة البيانات الشخصية.
- يحمي هذا القانون الحقوق والحريات الأساسية للأشخاص الطبيعيين وخاصة حقهم في حماية البيانات الشخصية.
- لا يجوز تقييد حرية نقل البيانات الشخصية داخل الاتحاد الأوروبي أو حظرها لأسباب تتعلق بحماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية.
المادة 2: نطاق تطبيق القانون
- ينطبق هذا القانون على معالجة البيانات الشخصية كلياً أو جزئياً بالوسائل الآلية والتجهيز بخلاف الوسائل الآلية للبيانات الشخصية التي تشكل جزءاً من نظام حفظ الملفات أو يُقصد منها أن تشكل جزءاً من نظام حفظ الملفات.
- لا ينطبق هذا القانون على معالجة البيانات الشخصية:
(أ) في سياق نشاط يقع خارج نطاق قانون الاتحاد؛
(ب) من قبل الدول الأعضاء عند القيام بأنشطة تقع ضمن نطاق الفصل 2 من الباب الخامس من TEU؛
(ج) من قبل شخص طبيعي في سياق نشاط شخصي أو منزلي بحت؛
(د) من جانب السلطات المختصة لأغراض منع الجرائم الجنائية أو التحقيق فيها أو اكتشافها أو مقاضاة مرتكبيها أو تنفيذ العقوبات الجنائية، بما في ذلك صون ومنع التهديدات التي يتعرض لها الأمن العام.
- لتجهيز البيانات الشخصية من قبل مؤسسات الاتحاد وهيئاته ومكاتبه ووكالاته، تطبق اللائحة (EC) رقم 45/2001. ويجب تكييف اللائحة (EC) رقم 45/2001 والأفعال القانونية الأخرى للاتحاد التي تنطبق على معالجة البيانات الشخصية وفقًا لمبادئ وقواعد هذه اللائحة وفقًا للمادة 98.
- لا تمس هذه اللائحة تطبيق التوجيه 2000/31/EC، ولا سيما قواعد المسئولية الخاصة بمقدمي خدمات الوساطة في المواد 12 إلى 15 من ذلك التوجيه.
المادة 3: النطاق الإقليمي
- ينطبق هذا النظام على معالجة البيانات الشخصية في سياق أنشطة مؤسسة تحكّم أو معالج في الاتحاد، بغض النظر عما إذا كانت المعالجة تتم في الاتحاد أم لا.
- تنطبق هذه اللائحة على معالجة البيانات الشخصية لموضوعات البيانات الموجودة في الاتحاد من خلال وحدة تحكّم أو معالج غير مُنشأ في الاتحاد، حيث تتعلق أنشطة المعالجة بما يلي:
(أ) عرض السلع أو الخدمات، بغض النظر عما إذا كان دفع صاحب البيانات مطلوبًا، لأصحاب هذه البيانات في الاتحاد؛ أو
(ب) مراقبة سلوكهم فيما يتعلق بسلوكهم داخل الاتحاد.
- تنطبق هذه اللائحة على معالجة البيانات الشخصية من قبل مراقب غير منصوص عليه في الاتحاد، ولكن في مكان ينطبق فيه قانون الدول الأعضاء بموجب القانون الدولي العام.
المادة 4: تعريفات
لأغراض هذا النظام:
(1) “البيانات الشخصية” تعني أي معلومات تتعلق بشخص طبيعي محدد أو قابل للتحديد (“صاحب البيانات”)؛ والشخص الطبيعي الذي يمكن تحديده هو الشخص الذي يمكن تحديده بشكل مباشر أو غير مباشر، بشكل خاص بالرجوع إلى معرف مثل الاسم أو رقم التعريف أو بيانات الموقع أو معرف عبر الإنترنت أو إلى واحد أو أكثر من العوامل المحددة للفيزيائية، الفيزيولوجية، الهوية الجينية أو العقلية أو الاقتصادية أو الثقافية أو الاجتماعية لهذا الشخص الطبيعي؛
(2) تعني “المعالجة” أي عملية أو مجموعة من العمليات التي تتم على بيانات شخصية أو على مجموعات من البيانات الشخصية، سواء كانت أو لم تكن بالوسائل الآلية، مثل الجمع أو التسجيل أو التنظيم أو الترتيب أو التخزين أو التعديل أو التغيير أو الاسترجاع أو التشاور أو الاستخدام أو الإفشاء عن طريق الإرسال أو النشر أو إتاحتها أو محاذاتها أو دمجها أو تقييدها أو محوها أو تدميرها؛
(3) “تقييد المعالجة” يعني وضع علامات على البيانات الشخصية المخزنة بهدف الحد من معالجتها في المستقبل؛
(4) “التنميط” يعني أي شكل من أشكال المعالجة الآلية للبيانات الشخصية التي تتكون من استخدام البيانات الشخصية لتقييم بعض الجوانب الشخصية المتعلقة بالشخص الطبيعي، وخاصة لتحليل أو التنبؤ بالجوانب المتعلقة بأداء الشخص الطبيعي في العمل والوضع الاقتصادي أو الصحة أو التفضيلات الشخصية أو الاهتمامات أو الاعتمادية أو السلوك أو الموقع أو الحركات؛
(5) “اسم مستعار” يعني معالجة البيانات الشخصية بطريقة لا يمكن بعدها إرجاع البيانات الشخصية إلى شخص طبيعي معين من البيانات دون استخدام معلومات إضافية، شريطة أن يتم الاحتفاظ بهذه المعلومات الإضافية بشكل منفصل وتخضع للتقنية والتدابير التنظيمية لضمان عدم عزو البيانات الشخصية إلى شخص طبيعي محدد أو قابل للتحديد؛
(6) يعني “نظام حفظ الملفات” أي مجموعة منظمة من البيانات الشخصية يمكن الوصول إليها وفقاً لمعايير محددة، سواء كانت مركزية أو لا مركزية أو موزعة على أساس وظيفي أو جغرافي؛
(7) “المراقب” يعني الشخص الطبيعي أو الاعتباري أو السلطة العامة أو الوكالة أو الهيئة الأخرى التي تحدد بمفردها أو بالاشتراك مع الآخرين أغراض ووسائل معالجة البيانات الشخصية؛ عندما تحدد أغراض ووسائل مثل هذه الإجراءات بموجب قانون الاتحاد أو قانون الدول الأعضاء، يجوز توفير تحكم أو معايير محددة لترشيحه من قبل الاتحاد أو قانون الدول الأعضاء؛
(8) “المعني” يعني الشخص الطبيعي أو الاعتباري أو السلطة العامة أو الوكالة أو الهيئة الأخرى التي تعالج البيانات الشخصية نيابة عن المراقب؛
(9) “المتلقي” يعني الشخص الطبيعي أو الاعتباري، أو السلطة العامة، أو الوكالة أو هيئة أخرى، يتم الإفصاح عن البيانات الشخصية، سواء كانت طرفًا ثالثًا أم لا. ومع ذلك، لا تعتبر السلطات العامة التي قد تتلقى بيانات شخصية في إطار تحقيق معين وفقا لقانون الاتحاد أو الدول الأعضاء، جهات متلقية؛ تكون معالجة تلك البيانات بواسطة تلك السلطات العامة مطابقة لقواعد حماية البيانات المعمول بها وفقا لأغراض المعالجة؛
(10) “الطرف الثالث” يعني الشخص الطبيعي أو الاعتباري، أو السلطة العامة، أو الوكالة أو الهيئة بخلاف صاحب البيانات، أو المتحكم، أو المعالج، أو الأشخاص الذين يُسمح لهم، تحت السلطة المباشرة للمراقب أو المعالج، بمعالجة البيانات الشخصية؛
(11) تعني “موافقة” صاحب البيانات أي إشارة محددة ومحددة بشكل واضح لا لبس فيه لرغبات العملية التي يقوم بها، من خلال بيان أو بإجراءات إيجابية واضحة، وهي تعني اتفاقًا على معالجة البيانات الشخصية التي تتعلق به أو إجراء المعالجة من أجلها؛
(12) “خرق البيانات الشخصية” يعني خرق الأمن الذي يؤدي إلى التدمير العرضي أو غير القانوني أو الخسارة أو التغيير أو الكشف غير المصرح به أو الوصول إلى البيانات الشخصية المنقولة أو المخزنة أو التي تتم معالجتها بطريقة أخرى؛
(13) “البيانات الوراثية” تعني البيانات الشخصية المتعلقة بالخصائص الوراثية الموروثة أو المكتسبة لشخص طبيعي والتي تعطي معلومات فريدة عن علم وظائف الأعضاء أو صحة ذلك الشخص الطبيعي والتي تنتج، على وجه الخصوص، من تحليل عينة حيوية من الشخص الطبيعي المعني.
(14) “البيانات البيومترية” تعني البيانات الشخصية الناتجة عن معالجة فنية محددة تتعلق بالخصائص الفيزيولوجية أو الفسيولوجية أو السلوكية للشخص الطبيعي، والتي تسمح أو تؤكد الهوية الفريدة لهذا الشخص الطبيعي، مثل صور الوجه؛
(15) “البيانات المتعلقة بالصحة” تعني البيانات الشخصية المتعلقة بالصحة البدنية أو العقلية لشخص طبيعي، بما في ذلك توفير خدمات الرعاية الصحية، والتي تكشف عن معلومات عن حالته الصحية؛
(16) تعني “المؤسسة الرئيسية”:
(أ) فيما يتعلق بالمراقب المالي للمنشآت في أكثر من دولة عضو، مكان إدارتها المركزية في الاتحاد، ما لم يتم اتخاذ قرارات بشأن أغراض ووسائل معالجة البيانات الشخصية في منشأة أخرى للمراقب أو في منشأة يمتلك الاتحاد والمؤسسة الثانية سلطة تنفيذ مثل هذه القرارات فيها، وفي هذه الحالة تعتبر المؤسسة التي اتخذت مثل هذه القرارات المؤسسة الرئيسية؛
(ب) فيما يتعلق بالمعالج مع المؤسسات في أكثر من دولة عضو، مكان إدارتها المركزية في الاتحاد، أو إذا لم يكن للمعالج إدارة مركزية في الاتحاد، فإن إنشاء المعالج في الاتحاد حيث يكون القيام بأنشطة المعالجة في سياق أنشطة منشأة المعالج إلى الحد الذي يخضع فيه المعالج لالتزامات محددة بموجب هذه اللائحة؛
(17) “الممثل” يعني الشخص الطبيعي أو المعنوي المنشأ في الاتحاد والذي يمثله المراقب أو المعالج كتابة بموجب المادة 27، ويمثل المراقب أو المعالج فيما يتعلق بالتزامات كل منهما بموجب هذا النظام؛
(18) “المؤسسة” تعني الشخص الطبيعي أو الاعتباري الذي يقوم بنشاط اقتصادي، بغض النظر عن شكله القانوني، بما في ذلك الشراكات أو الجمعيات التي تشارك بانتظام في نشاط اقتصادي؛
(19) “مجموعة التعهدات” تعني التعهد الرقابي والتعهدات التي تنبثق منها وتحتوي عليها؛
(20) “قواعد الشركات الملزمة” تعني سياسات حماية البيانات الشخصية التي تلتزم بها وحدة تحكم أو معالج منشأة على أراضي دولة عضو للتحويلات أو مجموعة من عمليات نقل البيانات الشخصية إلى وحدة تحكم أو معالج في واحد أو أكثر من بلدان ضمن مجموعة من المشاريع، أو مجموعة من الشركات تعمل في نشاط اقتصادي مشترك؛
(21) “السلطة الإشرافية” تعني سلطة عامة مستقلة تنشئها دولة عضو عملاً بالمادة 51؛
(22) “السلطة الإشرافية المعنية” تعني السلطة الإشرافية المعنية بمعالجة البيانات الشخصية للأسباب التالية:
(أ) يتم إنشاء وحدة التحكم أو المعالج على أراضي الدولة العضو لتلك السلطة الإشرافية؛
(ب) الأشخاص المعنيين بالبيانات المقيمين في الدولة العضو في تلك السلطة الإشرافية متأثرون إلى حد كبير أو يحتمل أن يتأثروا تأثراً كبيراً بالمعالجة ؛ أو
(ج) قدمت شكوى إلى تلك السلطة الإشرافية؛
(23) تعني “المعالجة عبر الحدود” إما:
(أ) معالجة البيانات الشخصية التي تحدث في سياق أنشطة المؤسسات في أكثر من دولة عضو لوحدة تحكم أو معالج في الاتحاد حيث يتم إنشاء وحدة التحكم أو المعالج في أكثر من دولة عضو؛ أو
(ب) معالجة البيانات الشخصية التي تتم في سياق أنشطة منشأة واحدة لجهاز تحكم أو معالج في الاتحاد ولكنها تؤثر بشكل كبير أو من المحتمل أن تؤثر بشكل جوهري على موضوعات البيانات في أكثر من دولة عضو.
(24) “الاعتراض ذو الصلة والمنطق” يعني اعتراض على مشروع قرار بشأن ما إذا كان هناك انتهاك لهذه اللائحة، أو ما إذا كان الإجراء المتوخى فيما يتعلق بوحدة التحكم أو المعالج يتوافق مع هذه اللائحة، مما يدل بوضوح على أهمية المخاطر التي يفرضها مشروع المقرر فيما يتعلق بالحقوق والحريات الأساسية لموضوعات البيانات، وحيثما ينطبق ذلك التدفق الحر للبيانات الشخصية داخل الاتحاد؛
(25) “خدمة مجتمع المعلومات” تعني الخدمة المحددة في النقطة (ب) من المادة 1 (1) من التوجيه (الاتحاد الأوروبي) 2015/1535 (19) الصادر عن البرلمان الأوروبي والمفوضية الأوروبية ؛
(26) تعني “المنظمة الدولية” منظمة وهيئاتها الفرعية التي يحكمها القانون الدولي العام، أو أي هيئة أخرى منشأة بموجب اتفاقية بين دولتين أو أكثر أو على أساسها.
الفصل الثاني: مبادئ
المادة 5: المبادئ المتعلقة بمعالجة البيانات الشخصية
- البيانات الشخصية يجب أن تكون:
(أ) يتم معالجتها بطريقة مشروعة وعادلة وبطريقة شفافة فيما يتعلق بصاحب البيانات (“المشروعية والإنصاف والشفافية”)؛
(ب) جُمعت لأغراض محددة وصريحة ومشروعة ولم تتم معالجتها بطريقة تتنافى مع هذه الأغراض؛ ولا تعتبر المعالجة الإضافية لأغراض الأرشفة للمصلحة العامة أو لأغراض البحث العلمي أو البحثي أو الأغراض الإحصائية، وفقاً للمادة 89 (1)، متعارضة مع الأغراض الأولية (“تحديد الهدف”)؛
(ج) ملائمة ومتلائمة ومحدودة لما هو ضروري فيما يتعلق بالأغراض التي تتم معالجتها (“تقليل البيانات”)؛
(د) دقيقة ومستكملة؛ يجب اتخاذ كل خطوة معقولة للتأكد من أن البيانات الشخصية غير الدقيقة، مع مراعاة الأغراض التي تتم معالجتها من أجلها، يتم محوها أو تصحيحها دون تأخير (“الدقة”)؛
(هـ) يتم الاحتفاظ بها بشكل يسمح بتحديد هوية المعنيين بالبيانات لمدة أطول من اللازم للأغراض التي تتم معالجة البيانات الشخصية من أجلها؛ ويمكن تخزين البيانات الشخصية لفترات أطول طالما أن البيانات الشخصية ستتم معالجتها فقط لأغراض الأرشفة للمصلحة العامة، أو لأغراض البحث العلمي أو التاريخي أو الأغراض الإحصائية وفقًا للمادة 89 (1) مع مراعاة التنفيذ الفني والتنظيمي المناسب والتدابير المطلوبة بموجب هذا النظام من أجل الحفاظ على حقوق وحريات صاحب البيانات (“قيود التخزين”)؛
(و) يتم معالجتها بطريقة تضمن الأمن المناسب للبيانات الشخصية، بما في ذلك الحماية من المعالجة غير المصرح بها أو غير القانونية وضد الفقد أو التلف أو التلف العرضي، وذلك باستخدام التدابير الفنية أو التنظيمية المناسبة (“السلامة والسرية”).
- يتحمل المراقب المسؤولية عن الفقرة 1 (المساءلة) ويجب أن يكون قادراً على إثبات الامتثال لها.
المادة 6: قانونية التجهيز
- لا تكون المعالجة قانونية إلا إذا كان أحد ما يلي ينطبق على الأقل:
(أ) أن يكون صاحب البيانات قد وافق على معالجة بياناته الشخصية لأغراض محددة أو أكثر؛
(ب) تكون المعالجة ضرورية لأداء عقد يكون صاحب البيانات طرفًا فيه أو من أجل اتخاذ خطوات بناءً على طلب من صاحب البيانات الخاضعة للمعالجة قبل الدخول في العقد؛
(ج) المعالجة ضرورية للامتثال لالتزام قانوني يخضع له المراقب؛
(د) المعالجة ضرورية لحماية المصالح الحيوية لصاحب البيانات أو لشخص طبيعي آخر؛
(ه) المعالجة ضرورية لأداء مهمة تتم للمصلحة العامة أو ضمن ممارسة السلطة الرسمية المخولة للمراقب؛
(و) المعالجة ضرورية لأغراض المصالح المشروعة التي ينتهجها المراقب أو طرف ثالث، إلا إذا تم تجاوز هذه المصالح من قبل المصالح أو الحقوق والحريات الأساسية لصاحب البيانات التي تتطلب حماية البيانات الشخصية، ولا سيما حيث يكون صاحب البيانات طفلًا.
لا تنطبق النقطة (و) من الفقرة الفرعية الأولى على المعالجة التي تقوم بها السلطات العامة في أداء مهامها.
- يجوز للدول الأعضاء أن تبقي أو تطبق أحكاماً أكثر تحديداً لتكييف تطبيق قواعد هذا النظام فيما يتعلق بمعالجة الامتثال للنقطتين (ج) و(هـ) من الفقرة 1 وذلك بتحديد متطلبات محددة بشكل أدق للمعالجة وغيرها من تدابير لضمان المعالجة المشروعة والعادلة بما في ذلك حالات المعالجة المحددة الأخرى على النحو المنصوص عليه في الفصل التاسع.
- يحدد أساس التجهيز المشار إليه في النقطة (ج) و(هـ) من الفقرة 1 بما يلي:
(أ) قانون الاتحاد؛ أو
(ب) قانون الدول الأعضاء الذي يخضع له المراقب.
يجب أن يكون الغرض من المعالجة على هذا الأساس القانوني أو، فيما يتعلق بالتجهيز المشار إليه في النقطة (هـ) من الفقرة 1، ضروري لأداء مهمة تتم للمصلحة العامة أو في ممارسة رسمية للسلطة المخولة في وحدة التحكم. وقد يشتمل هذا الأساس القانوني على أحكام محددة لتكييف تطبيق قواعد هذا النظام، بما في ذلك الشروط العامة التي تحكم قانونية المعالجة من جانب المراقب؛ أنواع البيانات التي تخضع للمعالجة؛ أصحاب البيانات المعنية؛ ولأغراض محددة يمكن الكشف عن البيانات الشخصية؛ وتحديد الغرض وفترات التخزين وتجهيز العمليات وإجراءات المعالجة، بما في ذلك اتخاذ تدابير لضمان المعالجة المشروعة والعادلة، كتلك الخاصة بحالات المعالجة المحددة الأخرى كما هو منصوص عليه في الفصل التاسع، ويجب أن يحقق الاتحاد أو قانون الدول الأعضاء هدفاً للمصلحة العامة وأن يكون متناسباً مع الهدف المشروع المنشود.
- إذا كانت المعالجة لأي غرض بخلاف تلك التي تم جمع البيانات الشخصية بناءً عليها لا تستند إلى موافقة صاحب البيانات أو على قانون الاتحاد أو الدول الأعضاء الذي يشكل تدبيراً ضرورياً ومتناسبًا في مجتمع ديمقراطي للحفاظ على الأهداف المشار إليها في المادة 23 (1)، يجب على المراقب أن يتحقق، من أجل التأكد مما إذا كانت المعالجة لغرض آخر متوافقة مع الغرض الذي يتم من أجله جمع البيانات الشخصية في البداية، من مراعاة أمور منها:
(أ) أي صلة بين الأغراض التي جمعت من أجلها البيانات الشخصية والغرض من المعالجة الإضافية المقصودة؛
(ب) السياق الذي جمعت فيه البيانات الشخصية، لا سيما فيما يتعلق بالعلاقة بين أصحاب البيانات وجهاز التحكم؛
(ج) طبيعة البيانات الشخصية، ولا سيما ما إذا كانت تتم معالجة فئات خاصة من البيانات الشخصية، عملاً بالمادة 9، أو ما إذا كانت البيانات الشخصية المتعلقة بالإدانات الجنائية والجرائم تتم معالجتها، عملاً بالمادة 10؛
(د) العواقب المحتملة للمعالجة الإضافية المقصودة لأصحاب البيانات؛
(ه) وجود ضمانات مناسبة، والتي قد تشمل التشفير أو الاسم المستعار.
المادة 7: شروط الموافقة
- عندما تعتمد المعالجة على الموافقة، يجب أن يكون المتحكم قادراً على إثبات أن صاحب البيانات قد وافق على معالجة بياناته الشخصية.
- إذا كانت موافقة صاحب البيانات مقدمة في سياق تصريح كتابي يتعلق أيضًا بمسائل أخرى، فيجب تقديم طلب الموافقة بطريقة يمكن تمييزها بوضوح عن المسائل الأخرى، وفي شكل واضح ويمكن الوصول إليه بسهولة، وباستخدام لغة واضحة ومفهومة. وأي جزء من هذا الإعلان الذي يشكل انتهاكا لهذه اللائحة لن يكون ملزماً.
- يحق للجهة المعنية بالبيانات سحب موافقتها في أي وقت. ولا يؤثر سحب الموافقة على قانونية التجهيز بناءً على الموافقة قبل سحبها. وقبل إعطاء الموافقة، يجب إخطار صاحب البيانات بذلك، ويجب أن يكون الانسحاب سهلاً مثلما يتم منح الموافقة.
- عند تقييم ما إذا كانت الموافقة تُمنَح بحرية، يجب مراعاة أقصى ما إذا كان أداء العقد، بما في ذلك تقديم الخدمة، مشروطًا بالموافقة على معالجة البيانات الشخصية غير الضرورية لأداء هذا العقد.
المادة 8: الشروط المطبقة على موافقة الطفل فيما يتعلق بخدمات مجتمع المعلومات
- حيثما تنطبق النقطة (أ) من المادة 6 (1)، فيما يتعلق بعرض خدمات مجتمع المعلومات على الطفل مباشرة، يجب أن تكون معالجة البيانات الشخصية للطفل مشروعة حيث يكون عمر الطفل 16 سنة على الأقل. وإذا كان عمر الطفل أقل من 16 سنة، فإن هذه المعالجة لا تكون مشروعة إلا إذا تم منح الموافقة أو التصريح بها من قبل صاحب المسؤولية الأبوية على الطفل.
يجوز للدول الأعضاء أن تنص بموجب القانون على سن أقل لهذه الأغراض بشرط ألا تقل هذه السن الدنيا عن 13 سنة.
- يجب على المتحكم بذل جهود معقولة للتحقق في مثل هذه الحالات من أن الموافقة أو الموافقة من قبل صاحب المسؤولية الأبوية على الطفل صحيحة، مع الأخذ بعين الاعتبار التكنولوجيا المتاحة.
- لا تؤثر الفقرة 1 على قانون العقود العام للدول الأعضاء مثل القواعد المتعلقة بصحة العقد أو تكوينه أو أثره فيما يتعلق بالطفل.
المادة 9: معالجة فئات خاصة من البيانات الشخصية
- يُحظر معالجة البيانات الشخصية التي تكشف عن الأصل العرقي أو الإثني أو الآراء السياسية أو المعتقدات الدينية أو الفلسفية أو العضوية النقابية، ومعالجة البيانات الوراثية والبيانات البيومترية بغرض تحديد هوية الشخص الطبيعي بشكل فريد أو البيانات المتعلقة بالصحة أو البيانات المتعلقة بالحياة الجنسية للشخص الطبيعي أو الميول الجنسية.
- لا تنطبق الفقرة 1 إذا كان أحد الشروط التالية ينطبق:
(أ) أعطى صاحب البيانات موافقة صريحة على معالجة هذه البيانات الشخصية لغرض محدد واحد أو أكثر، باستثناء الحالات التي ينص فيها قانون الاتحاد أو الدول الأعضاء على أن الحظر المشار إليه في الفقرة 1 قد لا يرفعه صاحب البيانات؛
(ب) تكون المعالجة ضرورية لأغراض تنفيذ الالتزامات وممارسة الحقوق الخاصة للمراقب أو للمادة الخاضعة في قانون العمل والضمان الاجتماعي والحماية الاجتماعية بقدر ما يسمح به الاتحاد أو الدولة العضو قانون أو اتفاق جماعي وفقًا لقانون الدول الأعضاء ينص على ضمانات مناسبة للحقوق الأساسية ومصالح صاحب البيانات؛
(ج) المعالجة ضرورية لحماية المصالح الحيوية لصاحب البيانات أو لشخص طبيعي آخر حيث يكون صاحب البيانات غير قادر جسديًا أو قانونيًا على منح الموافقة؛
(د) تتم المعالجة في سياق أنشطتها المشروعة بضمانات مناسبة من قبل مؤسسة أو جمعية أو أي هيئة أخرى غير هادفة للربح ذات هدف سياسي أو فلسفي أو ديني أو نقابي بشرط أن تكون المعالجة فقط للأعضاء أو لأعضاء سابقين في الهيئة أو للأشخاص الذين لديهم اتصال منتظم به فيما يتعلق بأغراضها، وأن البيانات الشخصية لا يتم الكشف عنها خارج تلك الهيئة دون موافقة أصحاب البيانات؛
(ه) تتعلق المعالجة بالبيانات الشخصية التي يتم نشرها بشكل علني من قبل صاحب البيانات؛
(و) التجهيز ضروري لإقامة الدعاوى القانونية أو ممارستها أو الدفاع عنها أو عندما تكون المحاكم تعمل بصفتها القضائية؛
(ز) أن المعالجة ضرورية لأسباب تتعلق بمصلحة عامة كبيرة، على أساس قانون الاتحاد أو الدول الأعضاء الذي يتناسب مع الهدف المنشود، وتحترم جوهر الحق في حماية البيانات وتوفر تدابير مناسبة ومحددة لحماية الحقوق الأساسية ومصالح صاحب البيانات؛
(ح) المعالجة ضرورية لأغراض الطب الوقائي أو المهني، لتقييم القدرة على العمل للموظف، والتشخيص الطبي، وتوفير الرعاية الصحية أو الرعاية الاجتماعية أو العلاج أو إدارة نظم وخدمات الرعاية الصحية أو الاجتماعية على أساس قانون الاتحاد أو الدول الأعضاء أو بموجب عقد مع أخصائي صحي وخاضعة للشروط والضمانات المشار إليها في الفقرة 3؛
(ل) المعالجة ضرورية لأسباب تتعلق بالمصلحة العامة في مجال الصحة العامة، مثل الحماية من التهديدات الخطيرة عبر الحدود للصحة أو ضمان مستويات عالية من جودة وسلامة الرعاية الصحية والمنتجات الطبية أو الأجهزة الطبية، على أسس الاتحاد أو قانون الدول الأعضاء الذي ينص على تدابير مناسبة ومحددة لحماية حقوق وحريات صاحب البيانات، ولا سيما السرية المهنية؛
(ي) المعالجة ضرورية لأغراض الأرشفة في المصلحة العامة، أو لأغراض البحث العلمي أو التاريخي أو الأغراض الإحصائية وفقاً للمادة 89 (1) استناداً إلى قانون الاتحاد أو الدول الأعضاء الذي يتناسب مع الهدف المنشود، ويحترم جوهر الحق في حماية البيانات وتوفير تدابير مناسبة ومحددة لحماية الحقوق الأساسية ومصالح صاحب البيانات.
- يجوز معالجة البيانات الشخصية المشار إليها في الفقرة 1 للأغراض المشار إليها في النقطة (ح) من الفقرة 2 عندما تتم معالجة هذه البيانات من جانب أو تحت مسؤولية شخص محترف إلى الالتزام بالسرية المهنية بموجب قانون الاتحاد أو الدولة العضو أو القواعد التي تضعها الهيئات الوطنية المختصة أو أي شخص آخر يخضع أيضا للالتزام بالسرية بموجب قانون الاتحاد أو الدول الأعضاء أو القواعد التي تضعها الهيئات الوطنية المختصة.
- يجوز للدول الأعضاء الحفاظ على أو إدخال مزيد من الشروط، بما في ذلك القيود، فيما يتعلق بمعالجة البيانات الوراثية أو البيانات البيومترية أو البيانات المتعلقة بالصحة.
المادة 10: معالجة البيانات الشخصية المتعلقة بالإدانات الجنائية والجرائم
لا تتم معالجة البيانات الشخصية المتعلقة بالإدانات الجنائية والجرائم أو التدابير الأمنية ذات الصلة القائمة على المادة 6 (1) إلا تحت إشراف السلطة الرسمية أو عندما يكون التوثيق مصرحًا به بموجب قانون الاتحاد أو قانون الدول الأعضاء الذي ينص على ضمانات مناسبة لحقوق وحريات أصحاب البيانات. ويظل أي سجل شامل للإدانات الجنائية تحت سيطرة السلطة الرسمية فقط.
المادة 11: المعالجة التي لا تتطلب تحديد الهوية
- إذا كانت الأغراض التي تقوم وحدة التحكم بمعالجة البيانات الشخصية وفقاً لها لا تتطلب أو لم تعد تتطلب تحديد هوية صاحب البيانات من قبل وحدة التحكم، فيجب على مراقب التحكم عدم الاحتفاظ أو الحصول على أو معالجة معلومات إضافية من أجل تحديد صاحب البيانات لغرض وحيد هو الامتثال لهذه اللائحة.
- في الحالات التي يشار إليها في الفقرة 1 من هذه المادة، تستطيع وحدة التحكم إثبات أنها ليست في وضع يسمح لها بتحديد موضوع البيانات، وعلى المراقب أن يقوم بإبلاغ صاحب البيانات وفقًا لذلك، إن أمكن. وفي مثل هذه الحالات، لا تنطبق المواد من 15 إلى 20 إلا إذا كان صاحب البيانات، لغرض ممارسة حقوقه بموجب هذه المواد، يوفر معلومات إضافية تمكن من تحديد هويته.
الفصل الثالث: حقوق صاحب البيانات
القسم 1: الشفافية والطرائق
المادة 12: شفافية المعلومات والاتصالات وطرائق لممارسة حقوق صاحب البيانات
- على المراقب أن يتخذ التدابير المناسبة لتقديم أي معلومات مشار إليها في المادتين 13 و14 وأي رسالة بموجب المواد من 15 إلى 22 و34 تتعلق بالتعامل مع صاحب البيانات في صيغة موجزة وشفافة وسهلة الفهم ويمكن الوصول إليها بسهولة، وذلك باستخدام لغة واضحة، لا سيما بالنسبة لأي معلومات موجهة على وجه التحديد إلى الطفل. ويجب تقديم المعلومات كتابة أو بوسائل أخرى، بما في ذلك، عند الاقتضاء، بالوسائل الإلكترونية. وعند طلب صاحب البيانات، قد يتم تقديم المعلومات شفويا، بشرط إثبات هوية صاحب البيانات بوسائل أخرى.
- على المراقب أن ييسر ممارسة الحقوق الخاضعة للمادة بموجب المواد من 15 إلى 22. وفي الحالات المشار إليها في المادة 11 (2)، ولا يرفض المراقب التصرف بناءً على طلبات صاحب البيانات الخاضعة لممارسة حقوقه، بموجب المواد من 15 إلى 22، ما لم تثبت وحدة التحكم أنها ليست في وضع يمكنها من تحديد صاحب البيانات.
- يجب على المراقب أن يقدم معلومات عن الإجراءات المتخذة بشأن طلب بموجب المواد من 15 إلى 22 إلى صاحب البيانات دون تأخير لا داعي له، وعلى أي حال خلال شهر واحد من استلام الطلب. ويجوز تمديد تلك الفترة بشهرين آخرين عند الضرورة، مع مراعاة تعقيد الطلبات وعددها. ويجب على المراقب أن يقوم بإبلاغ صاحب البيانات عن أي تمديد من هذا القبيل في غضون شهر واحد من استلام الطلب، جنباً إلى جنب مع أسباب التأخير. وحيثما يكون صاحب البيانات ينفذ الطلب عن طريق وسيلة إلكترونية، يجب توفير المعلومات بالوسائل الإلكترونية حيثما أمكن، ما لم يطلب صاحب البيانات خلاف ذلك.
- إذا لم تتخذ وحدة التحكم إجراءً بناءً على طلب صاحب البيانات، فيجب على المراقب أن يقوم بإبلاغ صاحب البيانات دون تأخير وعلى أقصى تقدير خلال شهر واحد من استلام الطلب بأسباب عدم اتخاذ إجراء وبإمكانية تقديم شكوى لدى سلطة إشرافية والسعي للحصول على تعويض قضائي.
- المعلومات المقدمة بموجب المادتين 13 و14 وأي رسالة وأي إجراءات تتخذ بموجب المواد من 15 إلى 22 و34 تقدم مجاناً. وعندما تكون الطلبات الواردة من صاحب البيانات غير واضحة أو مفرطة بشكل واضح، خاصة بسبب طابعها التكراري، يمكن لجهاز التحكم إما:
(أ) فرض رسم معقول مع مراعاة التكاليف الإدارية لتوفير المعلومات أو الاتصالات أو اتخاذ الإجراء المطلوب؛ أو:
(ب) رفض العمل بناءً على الطلب.
يتحمل المتحكم عبء إثبات الطابع الظاهر أو غير الواضح بشكل مفرط للطلب.
- دون الإخلال بالمادة 11، حيث يكون لدى المراقب شكوك معقولة بشأن هوية الشخص الطبيعي الذي يتقدم بالطلب المشار إليه في المواد من 15 إلى 21، يجوز للمراقب أن يطلب توفير معلومات إضافية ضرورية لتأكيد هوية صاحب البيانات.
- يمكن تقديم المعلومات التي يتم تقديمها إلى الأشخاص المعنيين بالبيانات وفقاً للمادتين 13 و14 مع أيقونات معيارية من أجل إعطاء نظرة سهلة ومفهومة ومقروءة بوضوح لمدى معالجتها. حيث يتم تقديم الرموز إلكترونيًا ويمكن قراءتها آليًا.
- يحق للجنة اعتماد الأفعال المفوضة وفقا للمادة 92 لغرض تحديد المعلومات التي ستقدمها الأيقونات وإجراءات تقديم الأيقونات الموحدة.
القسم 2: المعلومات والوصول إلى البيانات الشخصية
المادة 13: المعلومات التي يتعين تقديمها حيث يتم جمع البيانات الشخصية من صاحب البيانات
- عندما يتم جمع البيانات الشخصية المتعلقة بصاحب البيانات من صاحب البيانات، يجب على وحدة التحكم، في الوقت الذي يتم فيه الحصول على البيانات الشخصية، أن تعرض البيانات مع جميع المعلومات التالية:
(أ) الهوية وتفاصيل الاتصال بمراقب الحسابات، وعند الاقتضاء، من ممثل المراقب؛
(ب) تفاصيل الاتصال لموظف حماية البيانات، حيثما ينطبق ذلك؛
(ج) أغراض المعالجة التي يقصد بها البيانات الشخصية وكذلك الأساس القانوني للمعالجة؛
(د) إذا كانت المعالجة تستند إلى النقطة (و) من المادة 6 (1)، أو المصالح المشروعة التي ينتهجها المراقب أو طرف ثالث؛
(هـ) المتلقين أو فئات المستفيدين من البيانات الشخصية، إن وجدت؛
(و) عندما يكون ذلك ممكنا، أن المراقب المالي ينوي نقل البيانات الشخصية إلى بلد ثالث أو منظمة دولية ووجود أو عدم وجود قرار كفاية من قبل اللجنة، أو في حالة التحويلات المشار إليها في المادة 46 أو 47، أو الفقرة الفرعية الثانية من المادة 49 (1)، مع الإشارة إلى الضمانات المناسبة أو المتناسبة مع الوسائل التي يمكن من خلالها الحصول على نسخة منها أو في مكان توفرها.
- بالإضافة إلى المعلومات المشار إليها في الفقرة 1، يجب على المراقب، في الوقت الذي يتم فيه الحصول على البيانات الشخصية، أن يقدم البيانات مع المعلومات الإضافية التالية اللازمة لضمان معالجة عادلة وشفافة:
(أ) الفترة التي سيتم فيها تخزين البيانات الشخصية، أو إذا كان ذلك غير ممكن، المعايير المستخدمة لتحديد تلك الفترة؛
(ب) وجود الحق في طلب وصول المراقب إلى وتصحيح أو مسح البيانات الشخصية أو تقييد المعالجة المتعلقة بصاحب البيانات أو الاعتراض على المعالجة وكذلك الحق في إمكانية نقل البيانات؛
(ج) إذا كانت المعالجة تستند إلى النقطة (أ) من المادة 6 (1) أو النقطة (أ) من المادة 9 (2)، فإن وجود الحق في سحب الموافقة في أي وقت، دون التأثير على قانونية المعالجة القائمة على الموافقة قبل انسحابها؛
(د) الحق في تقديم شكوى لدى سلطة إشرافية؛
(هـ) ما إذا كان توفير البيانات الشخصية شرطًا قانونيًا أو تعاقديًا، أو متطلبًا ضروريًا لإبرام عقد، وكذلك ما إذا كان صاحب البيانات ملزمًا بتقديم البيانات الشخصية والعواقب المحتملة لعدم توفير هذه البيانات؛
(و) وجود آلية صنع القرار الآلي، بما في ذلك التنميط، المشار إليها في المادة 22 (1) و(4)، وعلى الأقل في تلك الحالات، معلومات مفيدة عن المنطق المعني، وكذلك الأهمية والعواقب المتوخاة من مثل هذه المعالجة لصاحب البيانات.
- عندما تعتزم وحدة التحكم إجراء مزيد من المعالجة للبيانات الشخصية لأي غرض بخلاف تلك التي تم جمع البيانات الشخصية من أجلها، يجب على المراقب، قبل إجراء تلك المعالجة الإضافية، توفير معلومات حول ذلك الغرض الآخر وكذلك أي معلومات إضافية ذات صلة على النحو المشار إليه في الفقرة 2.
- لا تنطبق الفقرات 1 و2 و3 على الأماكن التي توجد فيها بالفعل هذه البيانات وبقدر ما يكون توافرها.
المادة 14: المعلومات التي يجب تقديمها في حالة عدم الحصول على البيانات الشخصية من صاحب البيانات
- في حالة عدم الحصول على بيانات شخصية من صاحب البيانات، يجب على المراقب أن يقدم البيانات الخاضعة بالمعلومات التالية:
(أ) الهوية وتفاصيل الاتصال بمراقب الحسابات، وعند الاقتضاء، من ممثل المراقب؛
(ب) تفاصيل الاتصال لموظف حماية البيانات، حيثما ينطبق ذلك؛
(ج) أغراض المعالجة التي يقصد بها البيانات الشخصية وكذلك الأساس القانوني للمعالجة؛
(د) فئات البيانات الشخصية المعنية؛
(هـ) المتلقين أو فئات المستفيدين من البيانات الشخصية، إن وجدت؛
(و) إذا كان قابلاً للتطبيق، أن المراقب المالي يعتزم نقل البيانات الشخصية إلى مستلم في بلد ثالث أو منظمة دولية ووجود أو عدم وجود قرار كفاية من قبل اللجنة، أو في حالة التحويلات المشار إليها في المادة 46 أو 47 أو الفقرة الفرعية الثانية من المادة 49 (1)، بالإشارة إلى الضمانات المناسبة أو المناسبة ووسائل الحصول على نسخة منها أو في مكان توفرها.
- بالإضافة إلى المعلومات المشار إليها في الفقرة 1، يجب على المراقب أن يوفر البيانات الخاضعة بالمعلومات التالية الضرورية لضمان معالجة عادلة وشفافة فيما يتعلق بصاحب البيانات:
(أ) الفترة التي سيتم فيها تخزين البيانات الشخصية، أو إذا كان ذلك غير ممكن، المعايير المستخدمة لتحديد تلك الفترة؛
(ب) إذا كانت المعالجة تستند إلى النقطة (و) من المادة 6 (1)، أو المصالح المشروعة التي ينتهجها المراقب أو طرف ثالث؛
(ج) وجود الحق في طلب وصول المراقب إلى وتصحيح أو مسح البيانات الشخصية أو تقييد المعالجة المتعلقة بصاحب البيانات والاعتراض على المعالجة وكذلك الحق في إمكانية نقل البيانات؛
(د) إذا كانت المعالجة تستند إلى النقطة (أ) من المادة 6 (1) أو النقطة (أ) من المادة 9 (2)، فإن وجود الحق في سحب الموافقة في أي وقت، دون التأثير على مشروعية التجهيز على أساس الموافقة قبل انسحابها؛
(ه) الحق في تقديم شكوى لدى سلطة إشرافية؛
(و) من المصدر الذي تنشأ منه البيانات الشخصية، وإن أمكن، ما إذا كانت مصدرها من المصادر المتاحة للجمهور؛
(ز) وجود آلية صنع القرار الآلي، بما في ذلك التنميط، المشار إليها في المادة 22 (1) و(4)، وعلى الأقل في تلك الحالات، معلومات مفيدة عن المنطق المعني، وكذلك الأهمية والعواقب المتوخاة من مثل هذه المعالجة لصاحب البيانات.
- على المراقب أن يوفر المعلومات المشار إليها في الفقرتين 1 و2:
(أ) في غضون فترة معقولة بعد الحصول على البيانات الشخصية، ولكن على أبعد تقدير في غضون شهر واحد، مع مراعاة الظروف المحددة التي تتم فيها معالجة البيانات الشخصية؛
(ب) إذا كانت البيانات الشخصية ستستخدم للتواصل مع صاحب البيانات، على أبعد تقدير في وقت الاتصال الأول بصاحب البيانات؛ أو
(ج) إذا كان من الصائب الكشف إلى مستلم آخر، على أبعد تقدير عند الكشف عن البيانات الشخصية لأول مرة.
- عندما تعتزم وحدة التحكم إجراء مزيد من المعالجة للبيانات الشخصية لأي غرض بخلاف تلك التي تم الحصول عليها من البيانات الشخصية، يجب على المراقب توفير البيانات قبل إجراء تلك المعالجة الإضافية بمعلومات حول ذلك الغرض الآخر ومع أي معلومات إضافية ذات صلة على النحو المشار إليه في الفقرة 2.
- لا تنطبق الفقرات 1 إلى 4 حيث:
(أ) أن يكون لصاحب البيانات المعلومات بالفعل؛
(ب) أن توفير مثل هذه المعلومات يثبت أنه مستحيل أو ينطوي على جهد غير متناسب، لا سيما فيما يتعلق بمعالجة أغراض الأرشفة في المصلحة العامة أو لأغراض البحث العلمي أو التاريخي أو الأغراض الإحصائية، رهناً بالشروط والضمانات المشار إليها في المادة 89 (1) أو بقدر ما من المحتمل أن يجعل الالتزام المشار إليه في الفقرة 1 من هذه المادة مستحيلاً أو يضعف بشكل خطير تحقيق أهداف هذه المعالجة. في مثل هذه الحالات، يجب على المراقب أن يتخذ التدابير المناسبة لحماية حقوق وحريات البيانات والمصالح المشروعة، بما في ذلك إتاحة المعلومات للجمهور؛
(ج) يتم تحديد صراحة أو بالإفصاح عن طريق قانون الاتحاد أو قانون الدول الأعضاء الذي يخضع له المراقب ويؤمن تدابير مناسبة لحماية المصالح المشروعة لصاحب البيانات. أو
(د) حيث يجب أن تظل البيانات الشخصية سرية تخضع لالتزام السرية المهنية التي ينظمها قانون الاتحاد أو الدول الأعضاء، بما في ذلك الالتزام القانوني بالسرية.
المادة 15: حق الوصول عن طريق صاحب البيانات
- يحق لصاحب البيانات الحصول على تأكيد من وحدة تحكم على ما إذا كانت البيانات الشخصية المتعلقة به يتم معالجتها أم لا، وفي هذه الحالة، يحق له الوصول إلى البيانات الشخصية والمعلومات التالية:
(أ) أغراض المعالجة؛
(ب) فئات البيانات الشخصية المعنية؛
(ج) المستلمون أو فئات المستلمين الذين تم الكشف عن بياناتهم الشخصية أو سيتم الكشف عنها، ولا سيما المستلمون في بلدان ثالثة أو المنظمات الدولية؛
(د)، حيثما أمكن، الفترة الزمنية التي ستخزن فيها البيانات الشخصية، أو، إن لم يكن ممكنا، المعايير المستخدمة لتحديد تلك الفترة؛
(هـ) وجود حق له تجاه المراقب لطلب أو تصحيح أو محو البيانات الشخصية أو تقييد معالجة البيانات الشخصية المتعلقة بصاحب البيانات أو الاعتراض عليها؛
(و) الحق في تقديم شكوى لدى سلطة إشرافية؛
(ز) إذا لم يتم جمع البيانات الشخصية من صاحب البيانات، أو أي معلومات متاحة فيما يتعلق بمصدرها؛
(ح) وجود آلية صنع القرار الآلي، بما في ذلك التنميط، المشار إليها في المادة 22 (1) و(4)، وعلى الأقل في تلك الحالات، معلومات مفيدة عن المنطق المعني، وكذلك الأهمية والعواقب المتوخاة من مثل هذه المعالجة لصاحب البيانات.
- في حالة نقل البيانات الشخصية إلى بلد ثالث أو إلى منظمة دولية، يحق لصاحب البيانات أن يكون على علم بالضمانات المناسبة عملاً بالمادة 46 المتعلقة بالنقل.
- يجب على المراقب توفير نسخة من البيانات الشخصية التي تتم معالجتها. بالنسبة لأي نسخ إضافية يطلبها صاحب البيانات، قد تفرض وحدة التحكم رسومًا معقولة استنادًا إلى التكاليف الإدارية. وإذا كان صاحب البيانات يجعل الطلب بالوسائل الإلكترونية، وما لم يطلب خلاف ذلك صاحب البيانات، فيتم توفير المعلومات في شكل إلكتروني شائع الاستخدام.
- لا يؤثر الحق في الحصول على نسخة مشار إليها في الفقرة 3 بشكل سلبي في حقوق وحريات الآخرين.
القسم 3: التصحيح والمحو
المادة 16: الحق في التصحيح
يكون لصاحب البيانات الحق في الحصول من المراقب دون تأخير غير مبرر على تصحيح البيانات الشخصية غير الدقيقة المتعلقة به. مع الأخذ في الاعتبار أغراض المعالجة، ويجب أن يكون صاحب البيانات له الحق في استكمال البيانات الشخصية غير الكاملة، بما في ذلك عن طريق تقديم بيان تكميلي.
المادة 17: الحق في المسح (“الحق في النسيان”)
- يحق لصاحب البيانات أن يحصل من المراقب على حق محو البيانات الشخصية المتعلقة به دون تأخير لا مبرر له، ويجب أن يتحمل المتحكم مسئولية محو البيانات الشخصية دون أي تأخير لا مبرر له في الحالات التي ينطبق فيها أحد الأسس التالية:
(أ) لم تعد البيانات الشخصية ضرورية فيما يتعلق بالأغراض التي تم تجميعها أو معالجتها بطريقة أخرى؛
(ب) يقوم صاحب البيانات بسحب الموافقة التي تستند إليها المعالجة وفقًا للنقطة (أ) من المادة 6 (1) أو النقطة (أ) من المادة 9 (2)، وحيث لا يوجد أساس قانوني آخر للمعالجة.
(ج) تخضع البيانات للكائنات المعالجة طبقاً للمادة 21 (1) ولا توجد أسس شرعية طاغية للتجهيز، أو تخضع البيانات للمعالجة وفقاً للمادة 21 (2)؛
(د) معالجة البيانات الشخصية بصورة غير قانونية؛
(هـ) يجب محو البيانات الشخصية للامتثال لالتزام قانوني في قانون الاتحاد أو الدول الأعضاء الذي يخضع له المراقب؛
(و) تم جمع البيانات الشخصية فيما يتعلق بعرض خدمات مجتمع المعلومات المشار إليها في المادة 8 (1).
- عندما تكون وحدة التحكم قد جعلت البيانات الشخصية عامة وملزمة بموجب الفقرة 1 لمحو البيانات الشخصية، ويجب على المراقب المالي، مع الأخذ في الاعتبار التكنولوجيا المتاحة وتكلفة التنفيذ، اتخاذ خطوات معقولة، بما في ذلك التدابير التقنية، لإبلاغ المتحكمين الذين يقومون بمعالجة البيانات الشخصية التي طلبها صاحب البيانات من خلال وحدات التحكم هذه من أي ارتباطات إلى نسخ تلك البيانات الشخصية.
- لا تنطبق الفقرتان 1 و2 على المدى الذي يلزم فيه التجهيز:
(أ) لممارسة الحق في حرية التعبير والمعلومات؛
(ب) للامتثال لالتزام قانوني يتطلب التجهيز بموجب قانون الاتحاد أو قانون الدول الأعضاء الذي يخضع له المراقب أو لأداء مهمة تتم للمصلحة العامة أو في ممارسة السلطة الرسمية المخولة للمراقب؛
(ج) لأسباب تتعلق بالمصلحة العامة في مجال الصحة العامة وفقاً للنقطتين (ح) و(ط) من المادة 9 (2) وكذلك المادة 9 (3)؛
(د) لأغراض الأرشفة للمصلحة العامة، أو لأغراض البحث العلمي أو التاريخي أو الأغراض الإحصائية وفقا للمادة 89 (1) بقدر ما من المحتمل أن يجعل الحق المشار إليه في الفقرة 1 مستحيلاً أو يضعف بشكل خطير إنجاز أهداف هذه المعالجة؛ أو
(ه) لإنشاء المطالبات القانونية أو ممارستها أو الدفاع عنها.
المادة 18: الحق في تقييد المعالجة
- يكون لصاحب البيانات الحق في الحصول على إيجاد قيود على وحدة التحكم في المعالجة حيث ينطبق أحد الشروط التالية:
(أ) يتم الاعتراض على دقة البيانات الشخصية من خلال صاحب البيانات، لفترة تسمح للمراقب بالتحقق من دقة البيانات الشخصية؛
(ب) المعالجة غير قانونية ويعارض صاحب البيانات محو البيانات الشخصية ويطلب تقييد استخدامها بدلاً من ذلك؛
(ج) لم تعد وحدة التحكم بحاجة إلى البيانات الشخصية لأغراض المعالجة، ولكنها مطلوبة من قبل البيانات الخاضعة لإنشاء المطالبات القانونية أو ممارستها أو الدفاع عنها؛
(د) اعترض صاحب البيانات على المعالجة بموجب المادة 21 (1) في انتظار التحقق مما إذا كانت الأسباب الشرعية للمراقب تتجاوز قواعد البيانات.
- في حالة تقييد التجهيز بموجب الفقرة 1، يجب ألا تتم معالجة مثل هذه البيانات الشخصية، باستثناء التخزين، إلا بموافقة صاحب البيانات أو لإنشاء مطالبات قانونية أو ممارستها أو الدفاع عنها أو لحماية حقوق شخص آخر، شخص طبيعي أو اعتباري، أو لأسباب تتعلق بالمصلحة العامة للاتحاد أو لدولة عضو.
- يقوم المراقب بإبلاغ صاحب البيانات الذي يحصل على تقييد المعالجة عملاً بالفقرة 1 قبل رفع قيود المعالجة.
المادة 19: التزام الإخطار فيما يتعلق بتصحيح أو محو البيانات الشخصية أو تقييد المعالجة
يجب أن تقوم وحدة التحكم بالإبلاغ عن أي تصحيح أو محو للبيانات الشخصية أو تقييد المعالجة التي تتم وفقًا للمادة 16 والمادة 17 (1) والمادة 18 لكل مستلم تم الكشف عن بياناته الشخصية، ما لم يثبت أن ذلك مستحيلًا أو ينطوي على قدر غير متناسب من الجهد، ويجب على وحدة التحكم إبلاغ صاحب البيانات عن هؤلاء المستلمين إذا كان صاحب البيانات يطلب ذلك.
المادة 20: الحق في قابلية نقل البيانات
- يحق لصاحب البيانات الحصول على البيانات الشخصية المتعلقة به، والتي قدمها إلى مراقب، في صيغة منظمة وشائعة الاستخدام وقابلة للقراءة الآلية وله الحق في نقل هذه البيانات إلى وحدات تحكم أخرى، دون عائق من وحدة التحكم التي تم توفير البيانات الشخصية لها، حيث:
(أ) تستند المعالجة إلى الموافقة وفقًا للنقطة (أ) من المادة 6 (1) أو النقطة (أ) من المادة 9 (2) أو العقد بموجب النقطة (ب) من المادة 6 (1)؛ و
(ب) تتم المعالجة بوسائل آلية.
- عند ممارسة حقه في نقل البيانات عملا بالفقرة 1، يكون لصاحب البيانات الحق في إرسال البيانات الشخصية مباشرة من وحدة تحكم إلى أخرى، حيثما يكون ذلك مجديا من الناحية التقنية.
- لا تمس ممارسة الحق المشار إليه في الفقرة 1 من هذه المادة بالمادة 17. ولا يسري هذا الحق على المعالجة اللازمة لأداء مهمة تتم للمصلحة العامة أو في ممارسة السلطة الرسمية، المخولة في وحدة تحكم.
- لا يؤثر الحق المشار إليه في الفقرة 1 سلباً على حقوق وحريات الآخرين.
القسم 4: الحق في الاعتراض واتخاذ القرارات الفردية الآلية
المادة 21: الحق في الاعتراض
- يحق للشخص الخاضع للبيانات أن يعترض، لأسباب تتعلق بوضعه الخاص، في أي وقت على معالجة البيانات الشخصية المتعلقة به والتي تستند إلى النقطة (هـ) أو (و) من المادة 6 (1)، بما في ذلك التنميط على أساس تلك الأحكام. ويجب ألا يقوم المراقب بمعالجة البيانات الشخصية إلا إذا أثبتت وحدة التحكم أسبابًا مشروعة مقنعة للمعالجة التي تتجاوز المصالح والحقوق والحريات الخاصة بصاحب البيانات أو لإنشاء الدعاوى القانونية أو ممارستها أو الدفاع عنها.
- في حالة معالجة البيانات الشخصية لأغراض التسويق المباشر، يكون لصاحب البيانات الحق في الاعتراض في أي وقت على معالجة البيانات الشخصية المتعلقة به في مثل هذا التسويق، والتي تشمل التنميط إلى الحد الذي ترتبط به هذه المعلومات المباشرة بالتسويق.
- في حالة خضوع البيانات للمواد المعالجة لأغراض التسويق المباشر، لن تتم معالجة البيانات الشخصية لمثل هذه الأغراض.
- وفي موعد لا يتجاوز موعد الاتصال الأول مع صاحب البيانات، يُوجَّه الحق المشار إليه في الفقرتين 1 و2 صراحةً إلى صاحب البيانات ويُعرض بوضوح وبصورة منفصلة عن أي معلومات أخرى.
- في سياق استخدام خدمات مجتمع المعلومات، وعلى الرغم من التوجيه 2002/58/EC، يجوز لصاحب البيانات أن يمارس حقه في الاعتراض بالوسائل الآلية باستخدام المواصفات الفنية.
- عندما تتم معالجة البيانات الشخصية لأغراض بحثية علمية أو تاريخية أو أغراض إحصائية وفقا للمادة 89 (1)، يكون لصاحب البيانات، لأسباب تتعلق بوضعه الخاص، الحق في الاعتراض على معالجة البيانات الشخصية المتعلقة به أو له، ما لم تكن المعالجة ضرورية لأداء مهمة يتم تنفيذها لأسباب المصلحة العامة.
المادة 22: صنع القرار الفردي الآلي، بما في ذلك التنميط
- يحق لصاحب البيانات ألاّ يخضع لقرار يعتمد فقط على المعالجة الآلية، بما في ذلك التنميط، الذي ينتج عنه آثارًا قانونية تتعلق به أو تؤثر عليه بشكل ملحوظ.
- لا تنطبق الفقرة 1 إذا كان القرار:
(أ) ضروري للدخول في أو تنفيذ عقد بين صاحب البيانات ومراقب البيانات؛
(ب) مرخص من قبل قانون الاتحاد أو الدولة العضو الذي يخضع له المراقب ويضع أيضا التدابير المناسبة لحماية حقوق وحريات البيانات والمصالح المشروعة. أو:
(ج) مبني على موافقة صريحة لصاحب البيانات.
- في الحالات المشار إليها في النقطتين (أ) و(ج) من الفقرة (2)، يجب على مراقب البيانات تنفيذ التدابير المناسبة لحماية حقوق الشخص المعني وحرياته ومصالحه المشروعة، على الأقل الحق في الحصول على تدخل بشري من جانبه للمراقب المالي، للتعبير عن وجهة نظره أو للطعن في القرار.
- لا يجوز أن تستند القرارات المشار إليها في الفقرة 2 إلى فئات خاصة من البيانات الشخصية المشار إليها في المادة 9 (1)، ما لم تنطبق النقطة (أ) أو (ز) من المادة 9 (2) والتدابير المناسبة لحماية البيانات حقوق وحريات الشخص والمصالح المشروعة.
القسم 5: قيود
المادة 23: قيود
- يجوز لقانون الاتحاد أو الدول الأعضاء الذي يخضع له مراقب البيانات أو المعالج أن يقيد من خلال تدبير تشريعي نطاق الالتزامات والحقوق المنصوص عليها في المواد من 12 إلى 22 والمادة 34، وكذلك المادة 5 لأن أحكامه تتوافق مع الحقوق والواجبات المنصوص عليها في المواد 12 إلى 22، عندما يحترم هذا التقييد جوهر الحقوق والحريات الأساسية، وهو إجراء ضروري ومتناسب في مجتمع ديمقراطي لحماية:
(أ) الأمن القومي؛
(ب) الدفاع؛
(ج) الأمن العام؛
(د) منع الجرائم الجنائية أو التحقيق فيها أو كشفها أو مقاضاة مرتكبيها أو تنفيذ عقوبات جنائية، بما في ذلك صون ومنع تهديدات الأمن العام؛
(هـ) أهداف مهمة أخرى للمصلحة العامة للاتحاد أو لدولة عضو، وخاصة مصلحة اقتصادية أو مالية مهمة للاتحاد أو لدولة عضو، بما في ذلك الشؤون النقدية، والميزانية، والضرائب، والصحة العامة والضمان الاجتماعي.
(و) حماية استقلال القضاء والإجراءات القضائية؛
(ز) منع انتهاكات الأخلاقيات المتعلقة بالمهن الخاضعة للتنظيم والتحقيق فيها وكشفها ومقاضاة مرتكبيها؛
(ح) وظيفة مراقبة أو تفتيش أو تنظيم متصلة، حتى ولو كانت من حين لآخر، بممارسة السلطة الرسمية في الحالات المشار إليها في النقاط (أ) إلى (هـ) و(ز)؛
(ل) حماية صاحب البيانات أو حقوق الآخرين وحرياتهم؛
(ي) إنفاذ مطالبات القانون المدني.
- على وجه الخصوص، يجب أن يتضمن أي تدبير تشريعي مشار إليه في الفقرة 1 أحكاما محددة، على الأقل، حسب الاقتضاء، فيما يتعلق بما يلي:
(أ) أغراض المعالجة أو فئات المعالجة؛
(ب) فئات البيانات الشخصية؛
(ج) نطاق القيود المقدمة؛
(د) الضمانات لمنع إساءة الاستعمال أو الوصول غير القانوني أو النقل؛
(هـ) مواصفات جهاز التحكم أو فئات وحدات التحكم؛
(و) فترات التخزين والضمانات المعمول بها مع مراعاة طبيعة ونطاق وأغراض المعالجة أو فئات المعالجة؛
(ز) المخاطر على حقوق وحريات الأشخاص المعنيين بالبيانات؛ و:
(ح) حق الأشخاص المعنيين بالبيانات في الاطلاع على التقييد، ما لم يكن ذلك ضارًا بهدف التقييد.
الفصل الرابع: التحكم والمعالجة
القسم 1: التزامات عامة
المادة 24: مسؤولية وحدة التحكم
- مع الأخذ بعين الاعتبار طبيعة ونطاق وسياق وأغراض المعالجة وكذلك مخاطر تنوع الاحتمالات وشدتها بالنسبة لحقوق وحريات الأشخاص الطبيعيين، يجب على المراقب أن ينفذ التدابير الفنية والتنظيمية المناسبة لضمان وتمكين إثبات أن المعالجة تتم وفقًا لهذه اللائحة. يجب مراجعة هذه التدابير وتحديثها عند الضرورة.
- حيثما تكون متناسبة مع أنشطة التجهيز، فإن التدابير المشار إليها في الفقرة 1 تشمل تنفيذ السياسات المناسبة لحماية البيانات من قبل المراقب.
- يجوز استخدام الالتزام بمدونات السلوك المعتمدة كما هو مشار إليه في المادة 40 أو آليات التصديق المعتمدة كما هو مشار إليه في المادة 42 كعنصر يبرهن من خلاله على الامتثال لالتزامات المراقب المالي.
المادة 25: حماية البيانات حسب التصميم وبشكل افتراضي
- مع مراعاة أحدث ما توصلت إليه التكنولوجيا، وتكلفة التنفيذ، وطبيعة المعالجة، ونطاقها، وسياقها وأغراضها، وكذلك مخاطر اختلاف الاحتمالات وشدتها بالنسبة لحقوق وحريات الأشخاص الطبيعيين التي تشكلها المعالجة، يجب، في وقت تقرير وسائل المعالجة وفي وقت المعالجة نفسها، تنفيذ التدابير التقنية والتنظيمية المناسبة، مثل الاسم المستعار، والتي تم تصميمها لتنفيذ مبادئ حماية البيانات، مثل تقليل البيانات بطريقة فعالة ودمج الضمانات اللازمة في المعالجة من أجل تلبية متطلبات هذه اللائحة وحماية حقوق أصحاب البيانات.
- على المراقب أن يقوم بتنفيذ التدابير الفنية والتنظيمية المناسبة لضمان أن البيانات الشخصية الضرورية فقط لكل غرض محدد للمعالجة تتم بشكل افتراضي. وينطبق هذا الالتزام على كمية البيانات الشخصية التي تم جمعها، ومدى معالجتها، وفترة تخزينها وإمكانية الوصول إليها. وعلى وجه الخصوص، يجب أن تضمن هذه التدابير أن البيانات الشخصية بشكل افتراضي لا يمكن الوصول إليها دون تدخل فردي لعدد غير محدد من الأشخاص الطبيعيين.
- يمكن استخدام آلية اعتماد معتمدة وفقًا للمادة 42 كعنصر لإثبات الامتثال للمتطلبات المنصوص عليها في الفقرتين 1 و2 من هذه المادة.
المادة 26: وحدات التحكم المشتركة
- إذا قام اثنان أو أكثر من المتحكمين معاً بتحديد أغراض ووسائل المعالجة، فيجب أن يكونا متحكمين مشتركين. وتحدد بطريقة شفافة مسؤوليات كل منهما عن الامتثال للالتزامات بموجب هذه اللائحة، خاصة فيما يتعلق بممارسة حقوق صاحب البيانات وواجبات كل منهما في تقديم المعلومات المشار إليها في المادتين 13 و14 بالوسائل والترتيب فيما بينهما ما لم يتم تحديد مسؤوليات كل مراقب من قبل الاتحاد أو قانون الدول الأعضاء الذي يخضع له المراقبون. وقد يقوم الترتيب بتعيين نقطة اتصال لأصحاب البيانات.
- يجب أن يعكس الترتيب المشار إليه في الفقرة 1 الأدوار والعلاقات الخاصة بالمراقبين المشتركين فيما يتعلق بأصحاب البيانات. ويجب إتاحة جوهر الترتيب لأصحاب البيانات.
- بصرف النظر عن شروط الترتيب المشار إليه في الفقرة 1، يجوز لصاحب البيانات أن يمارس حقوقه بموجب هذه اللائحة فيما يتعلق بكل من المتحكمين والعكس.
المادة 27: ممثلو وحدات التحكم أو المعالجات غير المنشئة في الاتحاد
- حيثما تنطبق المادة 3 (2)، يجب على المراقب أو المعالج أن يعين كتابة ممثل في الاتحاد.
- لا ينطبق الالتزام المنصوص عليه في الفقرة 1 من هذه المادة على:
(أ) المعالجة التي تكون عرضية، والتي لا تشمل، على نطاق واسع، معالجة فئات البيانات الخاصة المشار إليها في المادة 9 (1) أو معالجة البيانات الشخصية المتعلقة بالإدانات الجنائية والجرائم المشار إليها في المادة 10، والتي من غير المحتمل أن تؤدي إلى خطر على حقوق وحريات الأشخاص الطبيعيين، مع الأخذ في الاعتبار طبيعة وسياق ونطاق وأغراض المعالجة؛ أو
(ب) سلطة عامة أو هيئة عامة.
- يتم إنشاء الممثل في إحدى الدول الأعضاء حيث يتم التعامل مع الأشخاص المعنيين بالبيانات، الذين تتم معالجة بياناتهم الشخصية فيما يتعلق بعرض السلع أو الخدمات لهم، أو الذين يتم رصد سلوكهم.
- يفوض المندوب من قبل المراقب أو المعالج معالجته بالإضافة إلى أو بدلاً من المراقب أو المعالج من قبل، على وجه الخصوص، السلطات الإشرافية وأصحاب البيانات، في جميع القضايا المتعلقة بالتجهيز، لأغراض ضمان الامتثال مع هذا النظام.
- يجب أن يكون تعيين ممثل من قبل وحدة التحكم أو المعالج دون المساس بالإجراءات القانونية التي يمكن أن تبدأ ضد وحدة التحكم أو المعالج أنفسهم.
المادة 28: المعالج
- في حالة إجراء التجهيز نيابة عن المراقب، يجب على المراقب استخدام المعالجات فقط التي توفر ضمانات كافية لتنفيذ التدابير الفنية والتنظيمية المناسبة بطريقة تجعل المعالجة تلبي متطلبات هذه اللائحة وتكفل حماية حقوق صاحب البيانات.
- لا يجب على المعالج إشراك معالج آخر دون إذن كتابي مسبق محدد أو عام من وحدة التحكم، وفي حالة الترخيص الخطي العام، يجب على المعالج إبلاغ المراقب بأي تغييرات مقصودة تتعلق بإضافة أو استبدال المعالجات الأخرى، مما يعطي المراقب فرصة للاعتراض على مثل هذه التغييرات.
- تخضع المعالجة بواسطة المعالج لعقد أو أي إجراء قانوني آخر بموجب قانون الاتحاد أو دولة عضو، يكون ملزماً للمعالج فيما يتعلق بوحدة التحكم والذي يحدد موضوع ومدة المعالجة، والطبيعة والغرض من المعالجة ونوع البيانات الشخصية وفئات مواضيع البيانات والتزامات وحقوق المراقب، ويجب أن ينص العقد أو أي قانون آخر، على وجه الخصوص، على أن المعالج:
(أ) يعالج البيانات الشخصية فقط بناءً على تعليمات موثقة من المراقب، بما في ذلك فيما يتعلق بنقل البيانات الشخصية إلى بلد ثالث أو منظمة دولية، ما لم يكن ذلك مطلوبًا بموجب قانون الاتحاد أو قانون الدول الأعضاء الذي يخضع له المعالج؛ وفي هذه الحالة، يجب على المعالج إبلاغ المراقب لهذا الشرط القانوني قبل المعالجة، ما لم يحظر ذلك القانون هذه المعلومات على أسس مهمة للمصلحة العامة؛
(ب) التأكد من أن الأشخاص المرخص لهم بتجهيز البيانات الشخصية قد ألزموا أنفسهم بالسرية أو يكونوا تحت الالتزام القانوني الملائم للسرية؛
(ج) يتخذ جميع التدابير المطلوبة وفقا للمادة 32؛
(د) يحترم الشروط المشار إليها في الفقرتين 2 و4 لإشراك معالج آخر؛
(هـ) مراعاة طبيعة المعالجة، ويساعد المراقب على اتخاذ التدابير التقنية والتنظيمية المناسبة، بقدر ما يكون ذلك ممكناً، من أجل الوفاء بالتزام المراقب بالرد على طلبات ممارسة حقوق صاحب البيانات المنصوص عليها في الفصل الثالث.
(و) يساعد المراقب في ضمان الامتثال للالتزامات بموجب المواد 32 إلى 36 مع الأخذ في الاعتبار طبيعة المعالجة والمعلومات المتاحة للمعالج؛
(ز) عند اختيار وحدة التحكم أو حذف أو إرجاع جميع البيانات الشخصية إلى وحدة التحكم بعد انتهاء تقديم الخدمات المتعلقة بالتجهيز، وحذف النسخ الحالية ما لم يتطلب قانون الاتحاد أو الدول الأعضاء تخزين البيانات الشخصية؛
(ح) يتيح المراقب لكل المعلومات اللازمة لإثبات الامتثال للالتزامات المنصوص عليها في هذه المادة والسماح والمساهمة في عمليات التدقيق، بما في ذلك عمليات التفتيش، التي يقوم بها المراقب المالي أو مدقق آخر يفوضه المراقب المالي.
فيما يتعلق بالنقطة (ح) من الفقرة الفرعية الأولى، يجب على المعالج إبلاغ وحدة التحكم على الفور إذا رأى أن التعليمات تنتهك هذه اللائحة أو أحكام حماية البيانات الأخرى للاتحاد أو الدول الأعضاء.
- في حالة قيام المعالج بإشراك معالج آخر للقيام بأنشطة معالجة محددة نيابة عن المراقب، يتم فرض نفس التزامات حماية البيانات المنصوص عليها في العقد أو أي تصرف قانوني آخر بين المراقب والمعالج على النحو المشار إليه في الفقرة 3. على ذلك المعالج الآخر عن طريق عقد أو أي فعل قانوني آخر بموجب قانون الاتحاد أو دولة عضو، ولا سيما توفير ضمانات كافية لتنفيذ التدابير الفنية والتنظيمية المناسبة بطريقة تجعل المعالجة تلبي متطلبات هذه اللائحة. وفي حالة فشل المعالج الآخر في الوفاء بالتزاماته الخاصة بحماية البيانات، يجب أن يظل المعالج الأولي مسؤولاً بشكل كامل أمام وحدة التحكم عن أداء التزامات ذلك المعالج الأخرى.
- يجوز استخدام المعيار لمدونة سلوك معترف بها كما هو مشار إليه في المادة 40 أو آلية اعتماد معتمدة على النحو المشار إليه في المادة 42 كعنصر يبرهن من خلاله على تقديم ضمانات كافية على النحو المشار إليه في الفقرتين 1 و4 في هذه المادة.
- دون الإخلال بعقد فردي بين المراقب والمعالج، يجوز أن يستند العقد أو أي تصرف قانوني آخر مشار إليه في الفقرتين 3 و4 من هذه المادة، كليًا أو جزئيًا، على الشروط التعاقدية القياسية المشار إليها في الفقرات. 7 و8 من هذه المادة، بما في ذلك عندما تكون جزءًا من شهادة تمنح للمراقب أو المعالج وفقًا للمادتين 42 و43.
- يجوز للجنة وضع شروط تعاقدية قياسية للمسائل المشار إليها في الفقرتين 3 و4 من هذه المادة ووفقا لإجراءات الفحص المشار إليها في المادة 93 (2).
- يجوز للسلطة الإشرافية أن تعتمد بنود تعاقدية قياسية للمسائل المشار إليها في الفقرتين 3 و4 من هذه المادة وبما يتفق مع آلية الاتساق المشار إليها في المادة 63.
- يكون العقد أو أي تصرف قانوني آخر مشار إليه في الفقرتين 3 و4 خطياً، بما في ذلك في شكل إلكتروني.
- دون الإخلال بالمواد 82 و83 و84، إذا انتهك المعالج هذا النظام بتحديد أغراضه وطرق معالجته، ويعتبر المعالج متحكمًا فيما يتعلق بتلك المعالجة.
المادة 29: المعالجة تحت سلطة جهاز التحكم أو المعالج
لا يجوز للمعالج وأي شخص يعمل تحت سلطة المراقب أو المعالج، الذي لديه إمكانية الوصول إلى البيانات الشخصية، معالجة هذه البيانات إلا بناء على تعليمات من المراقب، إلا إذا كان ذلك مطلوبًا من قبل الاتحاد أو قانون الدول الأعضاء.
المادة 30: سجلات أنشطة التجهيز
يجب على كل وحدة تحكم، وعند الاقتضاء، ممثل المراقب، الاحتفاظ بسجل لأنشطة المعالجة تحت مسؤوليتها. ويجب أن يحتوي هذا السجل على جميع المعلومات التالية:
(أ) اسم وتفاصيل وحدة التحكم، وحيثما ينطبق ذلك، وحدة التحكم المشتركة، وممثل وحدة التحكم وموظف حماية البيانات؛
(ب) أغراض المعالجة؛
(ج) وصف لفئات مواضيع البيانات وفئات البيانات الشخصية؛
(د) فئات المستفيدين الذين تم الكشف عن بياناتهم الشخصية أو سيتم الكشف عنها، بما في ذلك المستلمون في بلدان ثالثة أو منظمات دولية؛
(هـ) عند الاقتضاء، نقل البيانات الشخصية إلى بلد ثالث أو منظمة دولية، بما في ذلك تحديد ذلك البلد الثالث أو المنظمة الدولية، وفي حالة التحويلات المشار إليها في الفقرة الفرعية الثانية من المادة 49 (1)، توثيق الضمانات المناسبة؛
(و) كلما أمكن، الحدود الزمنية المتوخاة لمحو فئات البيانات المختلفة؛
(ز) إذا أمكن، وصف عام للتدابير الأمنية الفنية والتنظيمية المشار إليها في المادة 32 (1).
- يجب على كل معالج، وعند الاقتضاء، ممثل المعالج، الاحتفاظ بسجل لجميع فئات أنشطة المعالجة التي تتم نيابة عن وحدة تحكم، يحتوي على:
(أ) الاسم وتفاصيل الاتصال الخاصة بالمعالج أو المعالجات وكل وحدة تحكم نيابة عن المعالج، وحيثما ينطبق ذلك، للمراقب أو ممثل المعالج، وموظف حماية البيانات؛
(ب) فئات المعالجة التي تتم نيابة عن كل مراقب؛
(ج) عند الاقتضاء، نقل البيانات الشخصية إلى بلد ثالث أو منظمة دولية، بما في ذلك تحديد ذلك البلد الثالث أو المنظمة الدولية، وفي حالة التحويلات المشار إليها في الفقرة الفرعية الثانية من المادة 49 (1)، توثيق الضمانات المناسبة؛
(د) حيثما أمكن، وصف عام لتدابير الأمن الفنية والتنظيمية المشار إليها في المادة 32 (1).
- يجب أن تكون السجلات المشار إليها في الفقرتين 1 و2 مكتوبة، بما في ذلك في شكل إلكتروني.
- على وحدة التحكم أو المعالج، وعند الاقتضاء، وحدة التحكم أو ممثل المعالج، إتاحة السجل للسلطة الإشرافية عند الطلب.
- لا تنطبق الالتزامات المشار إليها في الفقرتين 1 و2 على مؤسسة أو منظمة يعمل بها أقل من 250 شخصاً ما لم يكن من المحتمل أن تؤدي المعالجة التي تجريها إلى خطر على حقوق وحريات أصحاب البيانات، من حين لآخر، أو أن المعالجة تشمل فئات خاصة من البيانات كما هو مشار إليه في المادة 9 (1) أو البيانات الشخصية المتعلقة بالإدانات الجنائية والجرائم المشار إليها في المادة 10.
المادة 31: التعاون مع السلطة الإشرافية
يتولى المراقب والمعالِج، وعند الاقتضاء، ممثليهما، التعاون، عند الطلب، مع السلطة الإشرافية في أداء مهامها.
القسم 2: أمن البيانات الشخصية
المادة 32: أمن المعالجة
- مراعاة أحدث ما توصلت إليه التكنولوجيا، وتكاليف التنفيذ، وطبيعة المعالجة، ونطاقها، وسياقها، وأغراضها، فضلاً عن مخاطر تنوع الاحتمالات وشدتها بالنسبة لحقوق وحريات الأشخاص الطبيعيين ووحدة التحكم والمعالج، ويجب تنفيذ التدابير التقنية والتنظيمية المناسبة لضمان مستوى من الأمن مناسب للمخاطر، بما في ذلك، ضمن أمور أخرى، ما يلي:
(أ) الاسم المستعار وتشفير البيانات الشخصية؛
(ب) القدرة على ضمان السرية المستمرة والنزاهة والتوافر ومرونة نظم وخدمات المعالجة؛
(ج) القدرة على استعادة التوافر والوصول إلى البيانات الشخصية في الوقت المناسب في حالة وقوع حادث مادي أو تقني؛
(د) عملية للاختبار والتقييم وتقييم فعالية الإجراءات التقنية والتنظيمية لضمان أمن المعالجة.
- عند تقييم المستوى الملائم للحساب الأمني يجب أن يؤخذ بالاعتبار على وجه الخصوص المخاطر التي يتم تقديمها من خلال المعالجة، وخاصة من التدمير العرضي أو غير القانوني أو الفقد أو التغيير أو الكشف غير المصرح به أو الوصول إلى البيانات الشخصية المنقولة أو المخزنة أو المصنعة أو غير ذلك.
- يجوز استخدام التمسك بمدونة سلوك معتمدة على النحو المشار إليه في المادة 40 أو آلية اعتماد معتمدة كما هو مشار إليه في المادة 42 كعنصر يبرهن من خلاله على الامتثال للمتطلبات المنصوص عليها في الفقرة 1 من هذه المادة.
- على وحدة التحكم والمعالج اتخاذ الخطوات اللازمة لضمان عدم قيام أي شخص طبيعي يتصرف تحت سلطة جهاز التحكم أو المعالج الذي لديه إمكانية الوصول إلى البيانات الشخصية بمعالجتها إلا بناء على تعليمات من وحدة التحكم، ما لم يكن مطلوبًا منها لذلك عن طريق الاتحاد أو قانون الدول الأعضاء.
المادة 33: الإخطار بخرق البيانات الشخصية للسلطة الإشرافية
- في حالة خرق البيانات الشخصية، يجب على المراقب دون تأخير لا داعي له، وحيثما كان ذلك ممكناً، في موعد لا يتجاوز 72 ساعة بعد علمه، إخطار خرق البيانات الشخصية إلى السلطة الإشرافية المختصة وفقا للمادة 55، ما لم يكن خرق البيانات الشخصية من المرجح أن يؤدي إلى خطر على حقوق وحريات الأشخاص الطبيعيين، وفي حالة عدم إرسال الإخطار إلى السلطة الإشرافية خلال 72 ساعة فإن ذلك يجب أن يكون مصحوبًا بأسباب التأخير.
- على المعالج إخطار جهاز التحكم دون تأخير غير مبرر بعد أن يصبح على دراية بخرق البيانات الشخصية.
- يكون الإخطار المشار إليه في الفقرة 1 على الأقل:
(أ) وصف طبيعة خرق البيانات الشخصية بما في ذلك حيثما أمكن، والفئات والعدد التقريبي لأصحاب البيانات المعنية والفئات والعدد التقريبي لسجلات البيانات الشخصية المعنية؛
(ب) إبلاغ الاسم وتفاصيل الاتصال بموظف حماية البيانات أو أي نقطة اتصال أخرى يمكن الحصول منها على مزيد من المعلومات؛
(ج) وصف النتائج المحتملة لخرق البيانات الشخصية؛
(د) وصف التدابير المتخذة أو المقترح أن يتخذها المراقب المالي لمعالجة خرق البيانات الشخصية، بما في ذلك، عند الاقتضاء، تدابير للتخفيف من آثاره الضارة المحتملة.
- حيثما، وحيث أنه لا يمكن توفير المعلومات في نفس الوقت، يمكن تقديم المعلومات على مراحل دون مزيد من التأخير غير المبرر.
- يجب على المراقب أن يوثق أي خروقات للبيانات الشخصية، بما في ذلك الحقائق المتعلقة بخرق البيانات الشخصية وتأثيراتها والإجراءات التصحيحية المتخذة. ويجب أن تمكن هذه الوثائق السلطة الإشرافية من التحقق من الامتثال لهذه المادة.
المادة 34: التواصل من خرق البيانات الشخصية لصاحب البيانات
- عندما يكون خرق البيانات الشخصية من المرجح أن يؤدي إلى مخاطر عالية على حقوق وحريات الأشخاص الطبيعيين، يجب على المراقب أن يشرح خرق البيانات الشخصية لصاحب البيانات دون تأخير غير مبرر.
- يجب أن يوضح البلاغ المقدم إلى صاحب البيانات المشار إليه في الفقرة 1 من هذه المادة، بوضوح وبصورة واضحة، طبيعة خرق البيانات الشخصية ويحتوي على الأقل على المعلومات والتدابير المشار إليها في النقاط (ب) و(ج) و(د) من المادة 33 (3).
- لا يلزم إرسال البلاغ إلى صاحب البيانات المشار إليه في الفقرة 1 إذا تم استيفاء أي من الشروط التالية:
(أ) نفذت وحدة التحكم تدابير الحماية الفنية والتنظيمية المناسبة، وتم تطبيق تلك التدابير على البيانات الشخصية المتأثرة بانتهاك البيانات الشخصية، ولا سيما تلك التي تجعل البيانات الشخصية غير مفهومة لأي شخص غير مخول بالوصول إليها، مثل التشفير.
(ب) اتخذ المراقب المالي تدابير لاحقة تضمن أنه من غير المحتمل أن تتجسد المخاطر المرتفعة على حقوق وحريات الأشخاص المعنيين بالبيانات المشار إليها في الفقرة 1؛
(ج) قد يتطلب جهداً غير متناسب. وفي مثل هذه الحالة، يجب أن يكون هناك اتصال عام أو إجراء مماثل يتم من خلاله إعلام الأشخاص المعنيين بالبيانات بطريقة فعالة على قدم المساواة.
- إذا لم تقم وحدة التحكم بالفعل بنقل خرق البيانات الشخصية إلى صاحب البيانات، فإن السلطة الإشرافية، بعد أن تنظر في احتمال حدوث خرق للبيانات الشخصية مما أدى إلى ارتفاع احتمال المخاطر، قد تتطلب ذلك أو قد تقرر أن أي من يتم استيفاء الشروط المشار إليها في الفقرة 3.
القسم 3: تقييم تأثير حماية البيانات والتشاور المسبق
المادة 35: تقييم تأثير حماية البيانات
- إذا كان نوع المعالجة على وجه الخصوص باستخدام تكنولوجيات جديدة، ومع مراعاة طبيعة العملية ونطاقها وسياقها وأغراضها، وكان من المرجح أن يؤدي هذا النوع إلى مخاطر كبيرة لحقوق وحريات الأشخاص الطبيعيين، فإنه يتوجب، قبل المعالجة، إجراء تقييم لأثر عمليات المعالجة المتوخاة على حماية البيانات الشخصية. وقد يتناول التقييم الفردي مجموعة من عمليات المعالجة المماثلة التي تنطوي على مخاطر عالية مماثلة.
- يجب على المراقب أن يسعى إلى الحصول على مشورة مسؤول حماية البيانات، عند تحديده، عند إجراء تقييم تأثير حماية البيانات.
- يتعين على وجه الخصوص تقييم أثر حماية البيانات المشار إليه في الفقرة 1 في حالة:
(أ) تقييم منهجي واسع النطاق للجوانب الشخصية المتعلقة بالأشخاص الطبيعيين يستند إلى المعالجة الآلية، بما في ذلك التنميط، والتي تستند إليها القرارات التي تنتج آثارًا قانونية تتعلق بالشخص الطبيعي أو تؤثر بشكل ملحوظ على الشخص الطبيعي؛
(ب) المعالجة على نطاق واسع من فئات البيانات الخاصة المشار إليها في المادة 9 (1)، أو البيانات الشخصية المتعلقة بالإدانات الجنائية والجرائم المشار إليها في المادة 10؛ أو
(ج) مراقبة منتظمة لمنطقة يسهل الوصول إليها علانية على نطاق واسع.
- تضع السلطة الإشرافية قائمة علنية بنوع عمليات المعالجة التي تخضع لمتطلبات تقييم أثر حماية البيانات عملاً بالفقرة 1. وتقوم السلطة الإشرافية بإبلاغ هذه القوائم إلى المجلس المشار إليه في المادة 68. .
- يجوز للسلطة الإشرافية أن تنشئ وتعرض قائمة بنوع عمليات المعالجة التي لا يتطلب تقييم تأثير حماية البيانات عليها. وتقوم السلطة الإشرافية بإبلاغ هذه القوائم إلى المجلس.
- قبل اعتماد القائمتين المشار إليهما في الفقرتين 4 و5، تطبق السلطة الإشرافية المختصة آلية الاتساق المشار إليها في المادة 63 حيث تشمل هذه القوائم أنشطة التجهيز المرتبطة بعرض السلع أو الخدمات لأصحاب البيانات، أو لمراقبة سلوكهم في العديد من الدول الأعضاء، أو قد يؤثر بشكل كبير على حرية حركة البيانات الشخصية داخل الاتحاد.
- يجب أن يحتوي التقييم على الأقل:
(أ) وصفًا منهجيًا لعمليات المعالجة المتوخاة ولأغراض المعالجة، بما في ذلك، عند الاقتضاء، المصلحة المشروعة التي ينتهجها المراقب؛
(ب) تقييم لضرورة وتناسب عمليات المعالجة فيما يتعلق بالأغراض؛
(ج) تقييم المخاطر على حقوق وحريات الأشخاص المعنيين بالبيانات المشار إليها في الفقرة 1؛ و
(د) التدابير المتوخاة للتصدي للمخاطر، بما في ذلك الضمانات والتدابير والآليات الأمنية لضمان حماية البيانات الشخصية وإثبات الامتثال لهذه اللائحة مع مراعاة الحقوق والمصالح المشروعة لموظفي البيانات وغيرهم من الأشخاص المعنيين.
- يراعى الامتثال لمدونات السلوك المعتمدة، المشار إليها في المادة 40 من قبل وحدات التحكم أو المعالجات ذات الصلة، في تقييم أثر عمليات المعالجة التي تقوم بها وحدات التحكم أو المعالجات، لا سيما لأغراض حماية البيانات.
- عند الاقتضاء، يسعى المراقب إلى الحصول على آراء الأشخاص المعنيين بالبيانات أو ممثليهم بشأن المعالجة المقصودة، دون المساس بحماية المصالح التجارية أو العامة أو أمن عمليات المعالجة.
- عندما يكون التجهيز بموجب النقطة (ج) أو (هـ) من المادة 6 (1) له أساس قانوني في قانون الاتحاد أو في قانون الدولة العضو التي يخضع لها المراقب، ينظم هذا القانون عملية المعالجة المحددة أو مجموعة من العمليات المعنية، ويتم إجراء تقييم لتأثير حماية البيانات كجزء من تقييم التأثير العام في سياق اعتماد ذلك الأساس القانوني، ولا تسري الفقرات 1 إلى 7 ما لم تعتبرها الدول الأعضاء ضرورية لتنفيذ مثل هذا التقييم قبل أنشطة المعالجة.
- عند الضرورة، يجب على المراقب إجراء مراجعة لتقييم ما إذا كانت المعالجة تتم وفقًا لتقييم تأثير حماية البيانات على الأقل عند حدوث تغيير في المخاطر التي تمثلها عمليات المعالجة.
المادة 36: التشاور المسبق
- يجب على المراقب أن يتشاور مع السلطة الإشرافية قبل المعالجة حيث يشير تقييم تأثير حماية البيانات بموجب المادة 35 إلى أن المعالجة ستؤدي إلى مخاطر عالية في غياب التدابير التي يتخذها جهاز التحكم للتخفيف من المخاطر.
- عندما ترى السلطة الإشرافية أن التجهيز المقصود المشار إليه في الفقرة 1 من شأنه أن ينتهك هذا النظام، ولا سيما عندما لا يحدد المراقب المالي أو يحدِّد المخاطر بدرجة كافية، يتعين على السلطة الإشرافية، في غضون فترة تصل إلى ثمانية أسابيع من استلام طلب الاستشارة، وتقديم مشورة خطية إلى المراقب، وحيثما ينطبق ذلك على المعالج، كما يجوز له استخدام أي من صلاحياته المشار إليها في المادة 58. ويجوز تمديد هذه المدة لمدة ستة أسابيع، مع مراعاة مدى تعقيد النظام. المعالجة المقصودة. ويجب على السلطة الإشرافية إبلاغ وحدة التحكم، وعند الاقتضاء، المعالج، بأي تمديد من هذا القبيل في غضون شهر واحد من استلام طلب التشاور مع أسباب التأخير. ويمكن تعليق تلك الفترات إلى أن تحصل السلطة الإشرافية على المعلومات التي طلبتها لأغراض التشاور.
- عند التشاور مع السلطة الإشرافية بموجب الفقرة 1، يجب على المراقب أن يزود السلطة الإشرافية بما يلي:
(أ) عند الاقتضاء، مسؤوليات كل من المراقب المالي والمراقبات المشتركة والمجهزين المشتركين في المعالجة، وخاصة للتجهيز داخل مجموعة من المشروعات؛
(ب) أغراض ووسائل المعالجة المقصودة؛
(ج) التدابير والضمانات المنصوص عليها لحماية حقوق وحريات الأشخاص المعنيين بالبيانات وفقا لهذه اللائحة؛
(د) عند الاقتضاء، تفاصيل الاتصال لموظف حماية البيانات؛
(ه) تقييم تأثير حماية البيانات المنصوص عليه في المادة 35؛ و
(و) أي معلومات أخرى تطلبها السلطة الإشرافية.
- تتشاور الدول الأعضاء مع السلطة الإشرافية أثناء إعداد مقترح لاتخاذ إجراء تشريعي يعتمده برلمان وطني، أو تدبير تنظيمي يستند إلى مثل هذا التدبير التشريعي، الذي يتعلق بالتجهيز.
- بصرف النظر عن الفقرة 1، يجوز لقانون الدول الأعضاء أن يطلب من المراقبين التشاور مع السلطة الإشرافية والحصول على إذن مسبق من جانبها فيما يتعلق بالتعامل مع المراقب المالي لأداء مهمة يقوم بها المراقب في المصلحة العامة، بما في ذلك التجهيز، فيما يتعلق بالحماية الاجتماعية والصحة العامة.
القسم 4: موظف حماية البيانات
المادة 37: تعيين مسئول حماية البيانات
- يجب على وحدة التحكم والمعالج تعيين مسؤول حماية البيانات في أي حالة:
(أ) تتم التجهيز بواسطة سلطة عامة أو هيئة عامة، باستثناء المحاكم التي تعمل بصفتها القضائية؛
(ب) تتكون الأنشطة الأساسية لوحدة التحكم أو المعالج من عمليات معالجة تتطلب، بحكم طبيعتها ونطاقها و/أو أغراضها، مراقبة منظمة ومنتظمة لأصحاب البيانات على نطاق واسع؛ أو
(ج) تتكون الأنشطة الأساسية لوحدة التحكم أو المعالج من معالجة على نطاق واسع من فئات البيانات الخاصة وفقًا للمادة 9 والبيانات الشخصية المتعلقة بالإدانات الجنائية والجرائم المشار إليها في المادة 10.
- يجوز لمجموعة من المؤسسات تعيين موظف وحيد لحماية البيانات شريطة أن يكون من السهل الوصول إلى موظف حماية البيانات من كل مؤسسة.
- عندما تكون وحدة التحكم أو المعالج مرفق عام أو هيئة عامة، يجوز تعيين موظف وحيد لحماية البيانات لعدة سلطات أو هيئات من هذا القبيل، مع مراعاة هيكلها وحجمها التنظيمي.
- في الحالات الأخرى غير المشار إليها في الفقرة 1، يجوز لوحدة التحكم أو المعالج أو الجمعيات والهيئات الأخرى التي تمثل فئات المراقبين أو المعالجين، أو، حسب ما يقتضيه قانون الاتحاد أو دولة عضو، تعيين موظف لحماية البيانات. ويجوز لموظف حماية البيانات العمل لمثل هذه الجمعيات والهيئات الأخرى التي تمثل وحدات التحكم أو المعالجات.
- يُعين مسؤول حماية البيانات على أساس الصفات المهنية، ولا سيما معرفة الخبراء بقانون وممارسات حماية البيانات والقدرة على الوفاء بالمهام المشار إليها في المادة 39.
- يجوز لموظف حماية البيانات أن يكون أحد موظفي وحدة التحكم أو المعالج، أو يقوم بتنفيذ المهام على أساس عقد الخدمة.
- يجب على المراقب أو المعالج نشر تفاصيل الاتصال لموظف حماية البيانات وإبلاغها إلى السلطة الإشرافية.
المادة 38: موقف مسؤول حماية البيانات
- يجب على وحدة التحكم والمعالج التأكد من مشاركة ضابط حماية البيانات، بشكل صحيح وفي الوقت المناسب، في جميع القضايا التي تتعلق بحماية البيانات الشخصية.
- يجب أن يدعم جهاز التحكم والمعالج مسؤول حماية البيانات في أداء المهام المشار إليها في المادة 39 من خلال توفير الموارد اللازمة لتنفيذ تلك المهام والوصول إلى البيانات الشخصية وعمليات المعالجة، والحفاظ على معرفته أو معرفتها.
- على وحدة التحكم والمعالج التأكد من أن مسؤول حماية البيانات لا يتلقى أي تعليمات تتعلق بممارسة تلك المهام. ولا يجوز فصله أو معاقبته من قبل المراقب أو المعالج لأداء مهامه. ويجب أن يقوم مسؤول حماية البيانات بالإبلاغ مباشرة إلى أعلى مستوى إداري من وحدة التحكم أو المعالج.
- يجوز لموظفي البيانات الاتصال بمسؤول حماية البيانات فيما يتعلق بجميع القضايا المتعلقة بمعالجة بياناتهم الشخصية وممارسة حقوقهم بموجب هذه اللائحة.
- يلتزم موظف حماية البيانات بالسرية أو السرية فيما يتعلق بأداء مهامه، وفقا لقانون الاتحاد أو الدول الأعضاء.
- قد يضطلع موظف حماية البيانات بمهام واجبات أخرى. ويجب على وحدة التحكم أو المعالج التأكد من أن أي من هذه المهام والواجبات لا يؤدي إلى تضارب في المصالح.
المادة 39: مهام مسؤول حماية البيانات
- يجب أن يكون لموظف حماية البيانات المهام التالية على الأقل:
(أ) إبلاغ وحدة التحكم أو المعالج والموظفين الذين يقومون بالمعالجة بالتزاماتهم بموجب هذه اللائحة وأحكام حماية البيانات الأخرى للاتحاد أو الدول الأعضاء؛
(ب) لرصد الامتثال لهذه اللائحة، مع أحكام أخرى لحماية بيانات الاتحاد أو الدول الأعضاء وسياسات وحدة التحكم أو المعالج فيما يتعلق بحماية البيانات الشخصية، بما في ذلك إسناد المسؤوليات، وإذكاء الوعي وتدريب الموظفين المشاركة في عمليات المعالجة، وعمليات التدقيق ذات الصلة؛
(ج) تقديم المشورة عند الطلب فيما يتعلق بتقييم تأثير حماية البيانات ورصد أدائها عملاً بالمادة 35؛
(د) التعاون مع السلطة الإشرافية؛
(هـ) العمل كنقطة اتصال للسلطة الإشرافية بشأن القضايا المتعلقة بالتجهيز، بما في ذلك المشاورات السابقة المشار إليها في المادة 36، والتشاور، عند الاقتضاء، فيما يتعلق بأي مسألة أخرى.
- يجب على مسؤول حماية البيانات في أداء مهامه أن يعير الاعتبار الواجب للمخاطر المرتبطة بعمليات المعالجة، مع الأخذ في الاعتبار طبيعة المعالجة ونطاقها وسياقها وأغراضها.
القسم 5: مدونات السلوك والشهادات
المادة 40: قواعد السلوك
- تشجع الدول الأعضاء والسلطات الرقابية والمجلس واللجنة وضع مدونات لقواعد السلوك تهدف إلى المساهمة في التطبيق السليم لهذه اللائحة، مع مراعاة السمات المحددة لقطاعات التجهيز المختلفة والاحتياجات الخاصة، من الشركات المتوسطة والصغيرة والصغيرة جداً.
- يجوز للجمعيات والهيئات الأخرى التي تمثل فئات أجهزة التحكم أو المعالجات أن تعد مدونات لقواعد السلوك، أو تعدل أو توسِّع هذه القوانين، لغرض تحديد تطبيق هذه اللائحة، مثل ما يتعلق بما يلي:
(أ) معالجة عادلة وشفافة؛
(ب) المصالح المشروعة التي ينتهجها المتحكمون في سياقات محددة؛
(ج) جمع البيانات الشخصية؛
(د) الاسم المستعار للبيانات الشخصية؛
(هـ) المعلومات المقدمة للجمهور ولمواد البيانات؛
(و) ممارسة حقوق أصحاب البيانات؛
(ز) المعلومات المقدمة إلى الأطفال وحمايتهم، والطريقة التي يتم بها الحصول على موافقة حاملي المسؤولية الأبوية على الأطفال؛
(ح) التدابير والإجراءات المشار إليها في المادتين 24 و25 وتدابير ضمان سلامة التجهيز المشار إليها في المادة 32؛
(1) الإخطار بخرق البيانات الشخصية للسلطات الإشرافية وإبلاغ خروقات البيانات الشخصية لأصحاب البيانات؛
(ي) نقل البيانات الشخصية إلى بلدان ثالثة أو منظمات دولية؛ أو
(ك) إجراءات خارج المحكمة وإجراءات أخرى لتسوية المنازعات لحل النزاعات بين المراقبين وأصحاب البيانات فيما يتعلق بالتجهيز، دون المساس بحقوق الأشخاص المعنيين بالبيانات وفقاً للمادتين 77 و79.
- بالإضافة إلى الالتزام من قبل المراقبين أو المعالجات الخاضعة لهذه اللائحة، فإن قواعد السلوك المعتمد بموجب الفقرة 5 من هذه المادة والتي لها صلاحية عامة بموجب الفقرة 9 من هذه المادة يمكن أيضًا الالتزام بها من قبل وحدات التحكم أو المعالجات التي لا تخضع إلى هذا النظام عملاً بالمادة 3 من أجل توفير ضمانات ملائمة في إطار عمليات نقل البيانات الشخصية إلى بلدان ثالثة أو منظمات دولية بموجب الشروط المشار إليها في النقطة (هـ) من المادة 46 (2). ويجب على جهات التحكم أو المعالجات هذه أن تضع التزامات ملزمة وقابلة للتنفيذ، من خلال الاتفاقيات التعاقدية أو غيرها من الصكوك الملزمة قانونًا، لتطبيق تلك الضمانات المناسبة بما في ذلك فيما يتعلق بحقوق الأشخاص المعنيين بالبيانات.
- تتضمن مدونة السلوك المشار إليها في الفقرة 2 من هذه المادة آليات تمكن الهيئة المشار إليها في المادة 41 (1) من تنفيذ المراقبة الإلزامية للامتثال لأحكامها من قبل المراقبين أو المعالجات التي تتعهد بتطبيقها. دون الإخلال بمهام وسلطات السلطات الإشرافية المختصة بموجب المادة 55 أو 56.
- يجب على الجمعيات والهيئات الأخرى المشار إليها في الفقرة 2 من هذه المادة والتي تعتزم إعداد مدونة لقواعد السلوك أو تعديل أو تمديد مدونة موجودة أن تقدم مشروع القانون أو التعديل أو التمديد إلى السلطة الإشرافية المختصة وفقاً للمادة 55. ويجب على السلطة الإشرافية أن تقدم رأياً حول ما إذا كان مشروع القانون أو التعديل أو الإرشاد يتوافق مع هذه اللائحة ويوافق على مشروع القانون أو التعديل أو الإرشاد إذا وجد أنه يوفر ضمانات مناسبة كافية.
- عندما تتم الموافقة على مشروع القانون، أو التعديل أو التمديد وفقا للفقرة 5، وحيث لا ترتبط مدونة السلوك المعنية بأنشطة التجهيز في العديد من الدول الأعضاء، تسجل السلطة الإشرافية القانون وتنشره.
- إذا كان مشروع مدونة قواعد السلوك يتعلق بأنشطة التجهيز في العديد من الدول الأعضاء، فإن السلطة الإشرافية المختصة وفقاً للمادة 55 يجب، قبل الموافقة على مشروع القانون، التعديل أو التمديد، أن تقدمه في الإجراء المشار إليه في المادة 63 إلى المجلس الذي يقدم رأيه بشأن ما إذا كان مشروع القانون أو التعديل أو الإرشاد يتوافق مع هذه اللائحة أو، في الحالة المشار إليها في الفقرة 3 من هذه المادة، يوفر ضمانات مناسبة.
- عندما يؤكد الرأي المشار إليه في الفقرة 7 أن مشروع القانون أو التعديل أو الإرشاد يتوافق مع هذه اللائحة أو، في الحالة المشار إليها في الفقرة 3، يوفر ضمانات مناسبة، يقدم المجلس رأيه إلى اللجنة.
- يجوز للجنة، من خلال تنفيذ الأفعال، أن تقرر أن مدونة السلوك أو التعديل أو الإقرار المعتمد لها بموجب الفقرة 8 من هذه المادة لها صلاحية عامة داخل الاتحاد. يتم تبني إجراءات التنفيذ هذه وفقًا لإجراءات الفحص المنصوص عليها في المادة 93 (2).
- تضمن اللجنة الدعاية المناسبة للقوانين التي تمت الموافقة عليها والتي لها صلاحية عامة وفقا للفقرة 9.
- يجمع المجلس جميع مدونات السلوك المعتمدة والتعديلات والتوسعات في سجل، ويتيحها للجمهور عن طريق الوسائل المناسبة.
المادة 41: رصد مدونات السلوك المعتمدة
- دون الإخلال بمهام وسلطات السلطة الإشرافية المختصة بموجب المادتين 57 و58، يجوز لرصد الامتثال لمدونة قواعد سلوك عملاً بالمادة 40 أن يقوم بها جهاز يتمتع بمستوى مناسب من الخبرة فيما يتعلق موضوع الرمز وهو معتمد لهذا الغرض من قبل السلطة الإشرافية المختصة.
- يجوز اعتماد الهيئة المشار إليها في الفقرة 1 لرصد الامتثال لمدونة قواعد السلوك التي يكون لدى تلك الهيئة فيها:
(أ) أظهرت استقلالها وخبرتها فيما يتعلق بموضوع المدونة بما يرضي السلطة الإشرافية المختصة؛
(ب) وضع إجراءات تسمح له بتقييم أهلية المراقبين والمجهزين المعنيين لتطبيق الشفرة، ومراقبة امتثالهم لأحكامه والمراجعة الدورية لتشغيله؛
(ج) وضع إجراءات وهياكل للتعامل مع الشكاوى المتعلقة بالتعدي على القانون أو الطريقة التي نفذت بها الشفرة أو يجري تنفيذها بواسطة المراقب أو المعالج، وجعل تلك الإجراءات والهياكل شفافة ل البيانات والجمهور، و:
(د) تبين بما يرضي السلطة الإشرافية المختصة أن مهامها وواجباتها لا تؤدي إلى تضارب في المصالح.
- على السلطة الإشرافية المختصة أن تقدم مشروع معايير اعتماد هيئة على النحو المشار إليه في الفقرة 1 من هذه المادة إلى مجلس الإدارة عملاً بآلية الاتساق المشار إليها في المادة 63.
- دون الإخلال بمهام وسلطات السلطة الإشرافية المختصة وأحكام الفصل الثامن، تتخذ الهيئة المشار إليها في الفقرة 1 من هذه المادة، مع مراعاة الضمانات المناسبة، الإجراء المناسب في حالات التعدي على المدونة، وحدة تحكم أو معالج، بما في ذلك تعليق أو استبعاد وحدة التحكم أو المعالج المعني من الرمز. وعليها أن تبلغ السلطة الإشرافية المختصة بهذه الإجراءات وأسباب اتخاذها.
- تلغي السلطة الإشرافية المختصة اعتماد الهيئة على النحو المشار إليه في الفقرة 1 إذا لم تكن شروط الاعتماد مستوفاة أو لم تعد مستوفاة أو عندما تكون الإجراءات التي تتخذها الهيئة منتهكة لهذه اللائحة.
- لا تنطبق هذه المادة على التجهيز الذي تقوم به السلطات والهيئات العامة.
المادة 42: التصديق
- تشجع الدول الأعضاء والسلطات الرقابية والمجلس واللجنة، على وجه الخصوص على مستوى الاتحاد، على إنشاء آليات لإصدار شهادات حماية البيانات وأختام وعلامات حماية البيانات، بغرض إظهار الامتثال لقانون المعالجة هذا. والعمليات من قبل وحدات التحكم والمعالجات، يجب أن تأخذ في الاعتبار الاحتياجات الخاصة للشركات الصغيرة والمتوسطة والصغيرة جداً.
- بالإضافة إلى الالتزام من قبل المتحكمين أو المعالجات الخاضعة لهذا النظام، يمكن إنشاء آليات شهادة حماية البيانات أو الأختام أو العلامات المعتمدة بموجب الفقرة 5 من هذه المادة بغرض إثبات وجود ضمانات مناسبة توفرها وحدات التحكم أو المعالجات التي لا تخضع لهذا النظام وفقا للمادة 3 في إطار نقل البيانات الشخصية إلى دول ثالثة أو منظمات دولية بموجب الشروط المشار إليها في النقطة (و) من المادة 46 (2). ويجب على جهات التحكم أو المعالجات هذه أن تضع التزامات ملزمة وقابلة للتنفيذ، عن طريق الصكوك التعاقدية أو غيرها من الصكوك الملزمة قانونًا، لتطبيق هذه الضمانات المناسبة، بما في ذلك فيما يتعلق بحقوق الأشخاص المعنيين بالبيانات.
- يجب أن تكون الشهادة طوعية ومتاحة عبر عملية شفافة.
- لا تؤدي الشهادة بموجب هذه المادة إلى تخفيض مسؤولية المراقب أو المعالج عن الامتثال لهذه اللائحة، ولا تخل بمهام وسلطات سلطات الإشراف المختصة بموجب المادة 55 أو 56.
- تصدر شهادة بموجب هذه المادة من قبل هيئات التصديق المشار إليها في المادة 43 أو من قبل السلطة الإشرافية المختصة، على أساس المعايير المعتمدة من قبل تلك السلطة الإشرافية المختصة عملاً بالمادة 58 (3) أو بمعرفة المجلس بموجب المادة 63. وعندما تتم الموافقة على المعايير من قبل المجلس، قد ينتج عن ذلك شهادة مشتركة، بختم حماية البيانات الأوروبي.
- يجب على وحدة التحكم أو المعالج التي تقدم معالجتها إلى آلية إصدار الشهادات أن توفر لهيئة الاعتماد المشار إليها في المادة 43، أو حيثما يكون ملائماً، السلطة الإشرافية المختصة، مع جميع المعلومات والوصول إلى أنشطة التجهيز اللازمة لإجراء عملية الاعتماد.
- تصدر شهادة لجهاز تحكم أو معالج لمدة لا تزيد على ثلاث سنوات ويجوز تجديدها، في ظل نفس الظروف، بشرط استمرار تلبية المتطلبات ذات الصلة. ويتم سحب الشهادات، حسب ما يقتضيه الحال، من قبل هيئات التصديق المشار إليها في المادة 43 أو من قبل السلطة الإشرافية المختصة حيث لا تكون متطلبات التصديق قائمة أو لم تعد مستوفاة.
- يقوم المجلس بجمع جميع آليات إصدار الشهادات وأختام وعلامات حماية البيانات في سجل، وإتاحتها للجمهور بأي وسيلة مناسبة.
المادة 43: هيئات التصديق
- دون الإخلال بمهام وسلطات السلطة الإشرافية المختصة بموجب المادتين 57 و58، يتعين على هيئات منح الشهادات التي تتمتع بمستوى مناسب من الخبرة فيما يتعلق بحماية البيانات، بعد إبلاغ السلطة الإشرافية من أجل السماح لها بممارسة صلاحياتها. وفقاً للنقطة (ح) من المادة 58 (2) عند الضرورة، إصدار وتجديد الشهادة. وتضمن الدول الأعضاء أن تكون هيئات التصديق هذه معتمدة من جانب واحد أو اثنين مما يلي:
(أ) السلطة الإشرافية المختصة بموجب المادة 55 أو 56؛
(ب) هيئة الاعتماد الوطنية المسماة وفقًا للائحة (EC) رقم 765/2008 الخاصة بالبرلمان الأوروبي والمجلس (20) وفقًا لـ EN-ISO/IEC 17065/2012 والمتطلبات الإضافية التي تحددها سلطة الإشراف المختصة بموجب المادة 55 أو 56.
- يجب أن تكون هيئات التصديق المشار إليها في الفقرة 1 معتمدة وفقًا لهذه الفقرة فقط عندما يكون لديها:
(أ) إثبات استقلاليتهم وخبرتهم فيما يتعلق بموضوع الشهادة بما يرضي السلطة الإشرافية المختصة؛
(ب) تعهد باحترام المعايير المشار إليها في المادة 42 (5) والتي وافقت عليها السلطة الإشرافية المختصة وفقاً للمادة 55 أو 56 أو من قبل المجلس عملاً بالمادة 63؛
(ج) وضع إجراءات لإصدار شهادات حماية البيانات والأختام والعلامات واستعراضها دوريا وسحبها؛
(د) وضع إجراءات وهياكل للتعامل مع الشكاوى المتعلقة بالتعدي على المصادقة أو الطريقة التي نفذت بها أو التي يجري تنفيذها من قبل المراقب أو المعالج، وجعل تلك الإجراءات والهياكل شفافة لأصحاب البيانات والجمهور، و:
(هـ) أثبتت، على نحو يرضي السلطة الإشرافية المختصة، أن مهامها وواجباتها لا تؤدي إلى تضارب في المصالح.
- يتم اعتماد هيئات التصديق على النحو المشار إليه في الفقرتين 1 و2 من هذه المادة على أساس معايير معتمدة من قبل السلطة الإشرافية المختصة وفقاً للمادة 55 أو 56 أو من قبل المجلس وفقًا للمادة 63. وفي حالة الاعتماد بموجب النقطة (ب) من الفقرة 1 من هذه المادة، تكمل تلك المتطلبات المنصوص عليها في اللائحة (المفوضية الأوروبية) رقم 765/2008 والقواعد الفنية التي تصف طرق وإجراءات وهيئات إصدار الشهادات.
- تكون هيئات التصديق المشار إليها في الفقرة 1 مسؤولة عن التقييم السليم الذي يؤدي إلى التصديق أو سحب هذه الشهادة دون المساس بمسؤولية المراقب أو المعالج عن الامتثال لهذه اللائحة. ويصدر الاعتماد لمدة خمس سنوات كحد أقصى ويجوز تجديده على نفس الشروط بشرط أن تستوفي هيئة إصدار الشهادات المتطلبات المنصوص عليها في هذه المادة.
- على هيئات منح الشهادات المشار إليها في الفقرة 1 أن تزود سلطات الإشراف المختصة بأسباب منح أو سحب الشهادة المطلوبة.
- تعلن السلطة المشرفة عن الشروط المشار إليها في الفقرة 3 من هذه المادة والمعايير المشار إليها في المادة 42 (5) في شكل يسهل الوصول إليه. كما يجب على السلطات الإشرافية أن ترسل هذه المتطلبات والمعايير إلى مجلس الإدارة. ويقوم مجلس الإدارة بجمع كل آليات إصدار الشهادات وأختام حماية البيانات في سجل، ويجعلها متاحة للجمهور بأي وسيلة مناسبة.
- دون الإخلال بالفصل الثامن، تلغي السلطة الإشرافية المختصة أو هيئة الاعتماد الوطنية اعتماد جهة إصدار الشهادات بموجب الفقرة 1 من هذه المادة حيث لا تكون شروط الاعتماد، أو لم تعد، مستوفاة أو حيثما تكون الإجراءات التي اتخذتها هيئة إصدار الشهادات تنتهك هذه اللائحة.
- يحق لّلجنة اعتماد الأفعال المفوضة وفقا للمادة 92 لغرض تحديد المتطلبات الواجب مراعاتها لآليات توثيق حماية البيانات المشار إليها في المادة 42 (1).
- يجوز لّلجنة اعتماد أفعال تنفيذية تضع المعايير التقنية لآليات إصدار الشهادات وأختام وعلامات حماية البيانات، وآليات لتشجيع واعتماد آليات التصديق، والأختام والعلامات. يتم تبني إجراءات التنفيذ هذه وفقاً لإجراءات الفحص المشار إليها في المادة 93 (2).
الفصل الخامس: نقل (تحويل) البيانات الشخصية إلى دول ثالثة أو منظمات دولية
المادة 44: المبدأ العام للنقل
لا يتم إجراء أي نقل للبيانات الشخصية التي تخضع للمعالجة أو المعدة للتجهيز بعد النقل إلى بلد ثالث أو إلى منظمة دولية إلا إذا تم الامتثال للشروط المنصوص عليها في هذا الفصل، وفقًا لأحكام هذا النظام الأخرى، بواسطة وحدة التحكم والمعالج، بما في ذلك عمليات نقل البيانات الشخصية من بلد ثالث أو منظمة دولية إلى بلد ثالث آخر أو إلى منظمة دولية أخرى. وتطبق جميع أحكام هذا الفصل لضمان عدم تقويض مستوى حماية الأشخاص الطبيعيين المكفولين بموجب هذا النظام.
المادة 45: التحويلات على أساس قرار كفاية
- يجوز نقل البيانات الشخصية إلى بلد ثالث أو منظمة دولية عندما تقرر اللجنة أن الدولة الثالثة أو إقليمًا أو قطاعًا محددًا أو أكثر داخل هذا البلد الثالث أو المنظمة الدولية المعنية تضمن وجود مستوى الحماية. ولا يتطلب مثل هذا التحويل أي تفويض محدد.
- عند تقييم مدى كفاية مستوى الحماية، يتعين على اللجنة، على وجه الخصوص، مراعاة العناصر التالية:
(أ) سيادة القانون، واحترام حقوق الإنسان والحريات الأساسية، والتشريعات ذات الصلة، العامة منها والقطاعية، بما في ذلك فيما يتعلق بالأمن العام والدفاع والأمن القومي والقانون الجنائي، ووصول السلطات العامة إلى البيانات الشخصية، فضلاً عن تنفيذ مثل هذه التشريعات، وقواعد حماية البيانات، والقواعد المهنية والتدابير الأمنية، بما في ذلك قواعد نقل البيانات الشخصية إلى بلد ثالث آخر أو منظمة دولية أخرى يتم الامتثال لها في ذلك البلد أو المنظمة الدولية، وقانون الدعوى، وكذلك حقوق موضوعية قابلة للإنفاذ وتعويض فعّال إداري وقانوني لأصحاب البيانات التي يتم نقل بياناتهم الشخصية؛
(ب) وجود أو أداء فعال لسلطة أو أكثر من سلطات الإشراف المستقلة في البلد الثالث أو التي تخضع لها منظمة دولية، مع مسؤولية ضمان وفرض الامتثال لقواعد حماية البيانات، بما في ذلك صلاحيات الإنفاذ الكافية، للمساعدة والإرشاد لأصحاب البيانات في ممارسة حقوقهم والتعاون مع السلطات الإشرافية للدول الأعضاء؛ و
(ج) الالتزامات الدولية التي دخلها بلد ثالث أو منظمة دولية معنية، أو التزامات أخرى ناشئة عن اتفاقيات أو عقود ملزمة قانوناً وكذلك عن مشاركتها في أنظمة متعددة الأطراف أو إقليمية، ولا سيما فيما يتعلق بحماية البيانات الشخصية.
- يجوز للجنة، بعد تقييم مدى كفاية مستوى الحماية، أن تقرر، عن طريق تنفيذ القانون، أن بلدًا ثالثًا أو إقليمًا أو قطاعًا محددًا أو أكثر ضمن بلد ثالث أو منظمة دولية يضمن مستوى كافياً من الحماية بالمعنى المقصود في الفقرة 2 من هذه المادة. ويجب أن ينص قانون التنفيذ على آلية للمراجعة الدورية، كل أربع سنوات على الأقل، تأخذ في الاعتبار جميع التطورات ذات الصلة في البلد الثالث أو المنظمة الدولية. ويحدد القانون المنفذ تطبيقه الإقليمي والقطاعي ويحدد، حيثما ينطبق ذلك، السلطة أو السلطات الإشرافية المشار إليها في النقطة (ب) من الفقرة 2 من هذه المادة. ويعتمد القانون المنفذ وفقاً لإجراءات الفحص المشار إليها في المادة 93 (2).
- تقوم اللجنة، على أساس مستمر، برصد التطورات في بلدان ثالثة والمنظمات الدولية التي يمكن أن تؤثر على سير عمل القرارات المعتمدة عملاً بالفقرة 3 من هذه المادة والمقررات المعتمدة على أساس المادة 25 (6) من التوجيه 95/46/EC.
- عندما تكشف المعلومات المتاحة، على وجه الخصوص بعد الاستعراض المشار إليه في الفقرة 3 من هذه المادة، على أن بلدًا ثالثًا أو إقليمًا أو قطاعًا محددًا أو أكثر ضمن بلد ثالث أو منظمة دولية لم تعد تضمن مستوى كافٍ من الحماية بالمعنى المقصود في الفقرة 2 من هذه المادة، بالقدر اللازم أو إلغاء أو تعديل أو تعليق القرار المشار إليه في الفقرة 3 من هذه المادة عن طريق تنفيذ أفعال بدون أثر رجعي، يتم تبني إجراءات التنفيذ هذه وفقاً لإجراءات الفحص المشار إليها في المادة 93 (2).
على أساس الضرورة الحتمية والمبررة حسب الأصول، تعتمد اللجنة إجراءات التنفيذ المطبقة على الفور وفقا للإجراء المشار إليه في المادة 93 (3).
- تدخل اللجنة في مشاورات مع بلد ثالث أو منظمة دولية بهدف معالجة الوضع الذي يؤدي إلى اتخاذ القرار عملاً بالفقرة 5.
- لا يُخل القرار عملاً بالفقرة 5 من هذه المادة بتحويل البيانات الشخصية إلى بلد ثالث أو إقليم أو قطاع محدد أو أكثر داخل هذا البلد الثالث أو المنظمة الدولية المعنية عملاً بالمواد من 46 إلى 49.
- تنشر المفوضية في الجريدة الرسمية للاتحاد الأوروبي وعلى موقعها الإلكتروني قائمة بالبلدان والأقاليم والقطاعات المحددة في بلد ثالث ومنظمات دولية قررت بشأنها مستوى مناسب من الحماية أو لم تعد مضمونة.
- تظل القرارات التي تعتمدها اللجنة على أساس المادة 25 (6) من التوجيه 95/46/EC سارية المفعول حتى يتم تعديلها أو استبدالها أو إلغاؤها بموجب قرار اللجنة المعتمد وفقاً للفقرة 3 أو 5 من هذه المادة.
المادة 46: التحويلات تخضع لضمانات مناسبة
- في حالة عدم وجود قرار عملاً بالمادة 45 (3)، يجوز لجهاز التحكم أو المعالج نقل البيانات الشخصية إلى بلد ثالث أو منظمة دولية فقط إذا كان المتحكم أو المعالج يوفر ضمانات مناسبة، شريطة أن تكون البيانات قابلة للإنفاذ، وحقوق وسبل الانتصاف القانونية الفعالة لأصحاب البيانات متوفرة.
- يجوز النص على الضمانات المناسبة المشار إليها في الفقرة 1، دون اشتراط الحصول على إذن محدد من السلطة الإشرافية، عن طريق:
(أ) عقد ملزم قانوناً وقابل للتنفيذ بين السلطات أو الهيئات العامة؛
(ب) قواعد الشركات الملزمة وفقا للمادة 47؛
(ج) الشروط القياسية لحماية البيانات التي اعتمدتها اللجنة وفقاً لإجراءات الفحص المشار إليها في المادة 93 (2)؛
(د) الشروط القياسية لحماية البيانات التي تعتمدها السلطة الإشرافية وتوافق عليها اللجنة وفقا لإجراءات الفحص المشار إليها في المادة 93 (2)؛
(هـ) مدونة سلوك معتمدة بموجب المادة 40 مع التزامات ملزمة وقابلة للتنفيذ من جانب المراقب أو المعالج في الدولة الثالثة لتطبيق الضمانات المناسبة، بما في ذلك فيما يتعلق بحقوق أصحاب البيانات؛ أو
(و) آلية اعتماد معتمدة وفقًا للمادة 42 بالإضافة إلى التزامات ملزمة وقابلة للتنفيذ من جانب المراقب أو المعالج في البلد الثالث لتطبيق الضمانات المناسبة، بما في ذلك حقوق أصحاب البيانات.
- رهناً بإذن من السلطة الإشرافية المختصة، يجوز أيضا توفير الضمانات المناسبة المشار إليها في الفقرة 1، على وجه الخصوص، عن طريق:
(أ) الشروط التعاقدية بين وحدة التحكم أو المعالج وجهاز التحكم أو المعالج أو مستلم البيانات الشخصية في بلد ثالث أو منظمة دولية؛ أو
(ب) إدراج الأحكام في الترتيبات الإدارية بين السلطات العامة أو الهيئات التي تشمل حقوق موضوعية قابلة للتنفيذ وفعالة للبيانات.
- تطبق السلطة الإشرافية آلية الاتساق المشار إليها في المادة 63 في الحالات المشار إليها في الفقرة 3 من هذه المادة.
- تظل التفويضات من قبل دولة عضو أو سلطة إشرافية على أساس المادة 26 (2) من التوجيه 95/46/EC سارية المفعول حتى يتم تعديلها أو استبدالها أو إلغاؤها، عند الضرورة، من قبل تلك السلطة الإشرافية. تظل القرارات التي تعتمدها اللجنة على أساس المادة 26 (4) من التوجيه 95/46/EC سارية المفعول حتى يتم تعديلها أو استبدالها أو إلغاؤها، إذا لزم الأمر، بقرار من اللجنة يعتمد وفقاً للفقرة 2 من هذه المادة.
المادة 47: قواعد الشركات الملزمة
- تعتمد السلطة الإشرافية المختصة قواعد الشركة الملزمة وفقاً لآلية الاتساق المنصوص عليها في المادة 63، شريطة أن:
(أ) تكون ملزمة قانونًا وتنطبق على كل عضو معني بمجموعة التعهدات أو مجموعة الشركات التي تمارس نشاطًا اقتصاديًا مشتركًا، بما في ذلك موظفيها، وينفذها كل عضو معني؛
(ب) إعطاء حقوق قابلة للتنفيذ صراحة لأصحاب البيانات فيما يتعلق بمعالجة بياناتهم الشخصية؛ و
(ج) الوفاء بالشروط المنصوص عليها في الفقرة 2.
- تحدد قواعد الشركات الملزمة المشار إليها في الفقرة 1 على الأقل:
(أ) هيكل وتفاصيل الاتصال بمجموعة المشروعات، أو مجموعة الشركات التي تعمل في نشاط اقتصادي مشترك وكل عضو من أعضائها؛
(ب) عمليات نقل البيانات أو مجموعة التحويلات، بما في ذلك فئات البيانات الشخصية، ونوع المعالجة وأغراضها، ونوع الأشخاص المعنيين بالبيانات المتأثرة، وتحديد البلد الثالث أو البلدان المعنية؛
(ج) طبيعتها الملزمة قانونًا، داخليًا وخارجيًا على حد سواء؛
(د) تطبيق مبادئ حماية البيانات العامة، لا سيما الحد من الغرض، وتقليل البيانات، وفترات التخزين المحدودة، وجودة البيانات، وحماية البيانات عن طريق التصميم والتقصير، والأساس القانوني للمعالجة، ومعالجة الفئات الخاصة من البيانات الشخصية، وتدابير ضمان أمن البيانات والمتطلبات المتعلقة بالتحويلات إلى الهيئات غير الملزمة بقواعد الشركة الملزمة؛
(هـ) حقوق الأشخاص المعنيين بالبيانات فيما يتعلق بالتجهيز والوسائل لممارسة تلك الحقوق، بما في ذلك الحق في عدم التعرض لقرارات تستند فقط إلى المعالجة الآلية، بما في ذلك التنميط وفقا للمادة 22، والحق في تقديم شكوى بشأن السلطة الإشرافية المختصة أمام المحاكم المختصة في الدول الأعضاء وفقا للمادة 79، وللحصول على تعويض، وحيثما يكون مناسباً، التعويض عن خرق لقواعد الشركات الملزمة؛
(و) قبول المراقب أو المعالج القائم على أراضي دولة عضو المسؤولية عن أي خرق لقواعد الشركة الملزمة من قبل أي عضو غير مؤسس في الاتحاد؛ يجب إعفاء جهاز التحكم أو المعالج من هذه المسؤولية، كليًا أو جزئيًا، فقط إذا أثبت أن هذا العضو غير مسؤول عن الحدث الذي أدى إلى حدوث الضرر؛
(ز) كيفية توفير المعلومات المتعلقة بالقواعد المشتركة الملزمة، ولا سيما الأحكام المشار إليها في النقاط (د) و(هـ) و(و) من هذه الفقرة لأصحاب البيانات بالإضافة إلى المادتين 13 و14؛
(ح) مهام أي مسؤول عن حماية البيانات تم تعيينه وفقا للمادة 37 أو أي شخص أو كيان آخر مسؤول عن رصد الامتثال لقواعد المنظمة الملزمة داخل مجموعة المنشآت، أو مجموعة الشركات العاملة في نشاط اقتصادي مشترك، وكذلك مراقبة التدريب والتعامل مع الشكاوى؛
(1) إجراءات الشكوى؛
(ي) الآليات داخل مجموعة التعهدات، أو مجموعة الشركات العاملة في نشاط اقتصادي مشترك لضمان التحقق من الامتثال لقواعد الشركات الملزمة. ويجب أن تتضمن هذه الآليات تدقيقات لحماية البيانات وطرق لضمان اتخاذ إجراءات تصحيحية لحماية حقوق صاحب البيانات. وينبغي إبلاغ نتائج هذا التحقق إلى الشخص أو الكيان المشار إليه في النقطة (ح) وإلى مجلس الإدارة الرقابية لمجموعة من المشاريع، أو إلى مجموعة الشركات التي تعمل في نشاط اقتصادي مشترك، ويجب أن تكون متاحة بناء على طلب إلى السلطة الإشرافية المختصة؛
(ك) آليات الإبلاغ وتسجيل التغييرات في القواعد والإبلاغ عن تلك التغييرات للسلطة الإشرافية؛
(ل) آلية التعاون مع السلطة الإشرافية لضمان امتثال أي عضو في مجموعة التعهدات، أو مجموعة الشركات العاملة في نشاط اقتصادي مشترك، ولا سيما عن طريق إتاحة للسلطة الإشرافية نتائج التحقق من التدابير المشار إليها إلى النقطة (ي)؛
(م) آليات الإبلاغ إلى السلطة الإشرافية المختصة عن أي متطلبات قانونية يخضع لها عضو في مجموعة المنشآت أو مجموعة من الشركات التي تمارس نشاطًا اقتصاديًا مشتركًا في بلد ثالث من المحتمل أن يكون له تأثير سلبي كبير على الضمانات التي توفرها قواعد الشركات الملزمة؛ و
(ن) التدريب المناسب على حماية البيانات للموظفين الذين لهم نفاذ دائم أو منتظم إلى البيانات الشخصية.
- يجوز للجنة تحديد شكل وإجراءات تبادل المعلومات بين المراقبين والمجهزين والسلطات الرقابية لقواعد الشركات الملزمة في إطار معنى هذه المادة. ويتم تبني إجراءات التنفيذ هذه وفقًا لإجراءات الفحص المنصوص عليها في المادة 93 (2).
المادة 48: التحويلات أو الإفصاحات غير المصرح بها بموجب قانون الاتحاد
لا يجوز الاعتراف بأي حكم صادر عن محكمة أو هيئة قضائية وأي قرار يصدر عن سلطة إدارية لدولة ثالثة يتطلب تحكمًا أو معالجًا لنقل البيانات الشخصية أو الكشف عنها إلا بأية طريقة إذا استندت إلى اتفاقية دولية، مثل قانون متبادل أو معاهدة معمول بها بين الدولة الثالثة الطالبة والاتحاد أو الدولة العضو، دون المساس بأسباب أخرى للنقل بموجب هذا الفصل.
المادة 49: الاستثناءات لمواقف محددة
- في حالة عدم وجود قرار كفاية عملاً بالمادة 45 (3) أو بالضمانات المناسبة عملاً بالمادة 46، بما في ذلك قواعد الشركات الملزمة، يجب أن يكون النقل أو مجموعة من عمليات نقل البيانات الشخصية إلى بلد ثالث أو منظمة دولية تحدث فقط وفقاً لأحد الشروط التالية:
(أ) إذا كان صاحب البيانات قد وافق صراحة على النقل المقترح، بعد إبلاغه بالمخاطر المحتملة لمثل هذه التحويلات بالنسبة للبيانات الخاضعة لغياب قرار كفاية والضمانات المناسبة؛
(ب) أن النقل ضروري لأداء عقد بين صاحب البيانات والمراقب أو تنفيذ التدابير السابقة للتعاقد المتخذة بناء على طلب من صاحب البيانات؛
(ج) يكون النقل ضروريًا لإبرام أو تنفيذ عقد مبرم لمصلحة صاحب البيانات بين المراقب وأحد الأشخاص الطبيعيين أو الاعتباريين الآخرين؛
(د) أن النقل ضروري لأسباب مهمة تهم الجمهور؛
(هـ) يكون النقل ضروريًا لإنشاء الدعاوى القانونية أو ممارستها أو الدفاع عنها؛
(و) يكون النقل ضروريًا لحماية المصالح الحيوية لصاحب البيانات أو الأشخاص الآخرين، حيث يكون صاحب البيانات غير قادر جسديًا أو قانونيًا على منح الموافقة؛
(ز) يتم التحويل من السجل الذي يقصد به، وفقا لقانون الاتحاد أو الدول الأعضاء، توفير المعلومات للجمهور وهو مفتوح للتشاور من قبل الجمهور بشكل عام أو من قبل أي شخص يمكنه إظهار مصلحة مشروعة، ولكن فقط إلى الحد الذي يتم فيه استيفاء الشروط المنصوص عليها في قانون الاتحاد أو قانون الدول الأعضاء في حالة معينة.
عندما لا يمكن أن يستند النقل إلى حكم في المادة 45 أو 46، بما في ذلك الأحكام الخاصة بقواعد الشركات الملزمة، ولا ينطبق أي استثناء من الحالات المعينة المشار إليها في الفقرة الفرعية الأولى من هذه الفقرة، فإنه يُسمح بذلك فقط إذا كان النقل غير متكرر، ويتعلق فقط بعدد محدود من أصحاب البيانات، وهو ضروري لأغراض المصالح المشروعة الملزمة التي يتبعها المراقب والتي لا يتم تجاوزها من قبل المصالح أو الحقوق والحريات لصاحب البيانات، على أن تقوم وحدة التحكم بتقييم جميع الظروف المحيطة بنقل البيانات وقدمت على أساس هذا التقييم ضمانات مناسبة فيما يتعلق بحماية البيانات الشخصية. ويجب على المراقب إبلاغ السلطة الإشرافية بالنقل. ويجب على المراقب أن يقوم، بالإضافة إلى توفير المعلومات المشار إليها في المادتين 13 و14، بإبلاغ صاحب البيانات بالنقل والمصالح المشروعة المقنعة.
- لا ينطوي النقل بموجب النقطة (ز) من الفقرة الفرعية الأولى من الفقرة 1 على كامل البيانات الشخصية أو فئات كاملة من البيانات الشخصية الواردة في السجل. وعندما يكون السجل مقصوداً للتشاور من قبل الأشخاص الذين لهم مصلحة مشروعة، يتم النقل فقط بناء على طلب هؤلاء الأشخاص أو إذا كانوا هم المستلمون.
- لا تنطبق النقاط (أ) و(ب) و(ج) من الفقرة الفرعية الأولى من الفقرة 1 والفقرة الفرعية الثانية منها على الأنشطة التي تقوم بها السلطات العامة في ممارسة سلطاتها العامة.
- يتم الاعتراف بالمصلحة العامة المشار إليها في النقطة (د) من الفقرة الفرعية الأولى من الفقرة 1 في قانون الاتحاد أو في قانون الدولة العضو التي يخضع لها المراقب.
- في حالة عدم وجود قرار كفاية، يجوز لقانون الاتحاد أو قانون الدول الأعضاء، لأسباب مهمة تتعلق بالمصلحة العامة، وضع قيود وأحكام صريحة على نقل فئات معينة من البيانات الشخصية إلى بلد ثالث أو منظمة دولية. تقوم الدول الأعضاء بإخطار هذه الأحكام إلى اللجنة.
- على المراقب أو المعالج توثيق التقييم وكذلك الضمانات المناسبة المشار إليها في الفقرة الفرعية الثانية من الفقرة 1 من هذه المادة في السجلات المشار إليها في المادة 30.
المادة 50: التعاون الدولي لحماية البيانات الشخصية
فيما يتعلق ببلدان ثالثة ومنظمات دولية، تتخذ اللجنة والسلطات الرقابية الخطوات المناسبة من أجل:
(ا) تطوير آليات التعاون الدولي لتسهيل الإنفاذ الفعال للتشريعات لحماية البيانات الشخصية؛
(ب) تقديم المساعدة المتبادلة الدولية في مجال إنفاذ التشريعات لحماية البيانات الشخصية، بما في ذلك من خلال الإخطار وإحالة الشكوى والمساعدة في التحقيقات وتبادل المعلومات، مع مراعاة الضمانات المناسبة لحماية البيانات الشخصية وغيرها من الحقوق والحريات الأساسية؛
(ج) إشراك أصحاب المصلحة المعنيين في المناقشات والأنشطة الرامية إلى تعزيز التعاون الدولي في إنفاذ التشريعات لحماية البيانات الشخصية؛
(د) تعزيز تبادل وتوثيق تشريعات وممارسات حماية البيانات الشخصية، بما في ذلك النزاعات القضائية مع دول ثالثة.
الفصل السادس: سلطات إشراف مستقلة
القسم 1: وضع مستقل
المادة 51: السلطة الإشرافية
- على كل دولة عضو أن تتولى مسؤولية واحدة أو أكثر من السلطات العامة المستقلة لتكون مسؤولة عن مراقبة تطبيق هذه اللائحة، من أجل حماية الحقوق والحريات الأساسية للأشخاص الطبيعيين فيما يتعلق بالتجهيز وتسهيل التدفق الحر للبيانات الشخصية، داخل الاتحاد (“السلطة الإشرافية”).
- تساهم كل سلطة إشرافية في التطبيق المتسق لهذه اللائحة في جميع أنحاء الاتحاد، ولهذا الغرض، تتعاون السلطات الإشرافية مع بعضها البعض ومع اللجنة وفقاً للفصل السابع.
- في حالة إنشاء أكثر من سلطة إشرافية واحدة في دولة عضو، تعين تلك الدولة العضو السلطة الإشرافية التي تمثل تلك السلطات في المجلس، وتحدد الآلية التي تضمن امتثال السلطات الأخرى للقواعد المتعلقة آلية الاتساق المشار إليها في المادة 63.
- تقوم كل دولة عضو بإخطار اللجنة بأحكام قانونها الذي تعتمده بموجب هذا الفصل، في موعد أقصاه 25 أيار/ مايو 2018، وبدون تأخير، بأي تعديل لاحق يمسها.
المادة 52: الاستقلال
- تعمل كل سلطة إشرافية باستقلالية تامة في أداء مهامها وممارسة سلطاتها وفقاً لهذه اللائحة.
- يظل عضو أو أعضاء كل سلطة إشرافية، في أدائهم لمهامهم وممارسة سلطاتهم وفقا لهذه اللائحة، خاليين من التأثير الخارجي، سواء كان مباشرا أو غير مباشر، ولا يجوز لهم التماس أو أخذ تعليمات من أي شخص.
- يمتنع عضو أو أعضاء كل سلطة إشرافية عن أي عمل يتعارض مع واجباتهم ولا يجوز لهم، أثناء فترة ولايتهم، أن يشتغلوا في أي مهنة غير متوافقة، سواء أكانت مربحة أم لا.
- تكفل كل دولة عضو تزويد كل سلطة إشرافية بالموارد البشرية والتقنية والمالية والمباني والبنية التحتية اللازمة لأداء مهامها بفعالية وممارسة سلطاتها، بما في ذلك تلك التي ستنفذ في سياق المساعدة والتعاون والمشاركة في المجلس.
- على كل دولة عضو أن تضمن اختيار كل سلطة إشرافية وأن يكون لديها موظفوها الخاصون الذين يخضعون للتوجيه الحصري لعضو أو أعضاء السلطة الإشرافية المعنية.
- تضمن كل دولة عضو أن تخضع كل سلطة إشرافية لرقابة مالية لا تؤثر على استقلاليتها وأن لديها ميزانيات سنوية منفصلة وعامة، والتي قد تكون جزءًا من الميزانية العامة للدولة أو الميزانية الوطنية.
المادة 53: الشروط العامة لأعضاء السلطة المشرفة
- تنص الدول الأعضاء على تعيين كل عضو من سلطاتها الإشرافية من خلال إجراء شفاف عن طريق:
– برلمانهم
– حكومتهم
– رئيس الدولة؛ أو:
– هيئة مستقلة يعهد إليها بالتعيين بموجب قانون الدول الأعضاء.
- يتمتع كل عضو بالمؤهلات والخبرات والمهارات، لا سيما في مجال حماية البيانات الشخصية، اللازمة لأداء واجباته وممارسة سلطاته.
- تنتهي واجبات العضو في حالة انتهاء مدة الخدمة، أو الاستقالة، أو التقاعد الإجباري، وفقا لقانون الدولة العضو المعنية.
- لا يجوز فصل العضو إلا في حالات سوء السلوك الجسيم أو إذا لم يعد العضو مستوفياً للشروط اللازمة لأداء الواجبات.
المادة 54: قواعد إنشاء السلطة الإشرافية
- تنص كل دولة عضو بموجب القانون على كل ما يلي:
(أ) إنشاء كل سلطة إشرافية؛
(ب) المؤهلات وشروط الأهلية المطلوبة للتعيين كعضو في كل سلطة إشرافية؛
(ج) القواعد والإجراءات الخاصة بتعيين العضو أو أعضاء كل سلطة إشرافية؛
(د) مدة عضوية العضو أو أعضاء كل سلطة إشرافية لمدة لا تقل عن أربع سنوات، باستثناء أول تعيين بعد 24 مايو 2016، ويمكن أن يتم جزء منها لفترة أقصر حيث يكون ذلك ضروريًا لحماية استقلال السلطة الإشرافية عن طريق إجراء التعيين المتعجل؛
(ﻫ) ما إذا كان عدد الأعضاء أو أعضاء كل سلطة إشرافية مؤهلاً لإعادة التعيين، وإذا كان الأمر كذلك، بالنسبة لعدد المصطلحات؛
(و) الشروط التي تحكم التزامات العضو أو أعضاء وموظفي كل سلطة إشرافية، وحظر الأفعال والمهن والفوائد التي تتعارض مع ذلك خلال فترة المنصب وبعدها والقواعد التي تحكم وقف العمل.
- يخضع العضو أو الأعضاء وموظفو كل سلطة إشرافية، وفقا لقانون الاتحاد أو الدول الأعضاء، لواجب السرية المهنية أثناء وبعد انتهاء فترة ولايتهم، فيما يتعلق بأي معلومات سرية تأتي لمعرفتهم في سياق أداء مهامهم أو ممارسة صلاحياتهم، خلال فترة ولايتهم، ينطبق واجب السرية المهني على وجه الخصوص على الإبلاغ من قبل الأشخاص الطبيعيين عن انتهاكات هذا النظام.
القسم 2: الكفاءة والمهام والقوى
المادة 55: المهارة
- تكون كل سلطة إشرافية مختصة بأداء المهام المسندة إليها وممارسة الصلاحيات الممنوحة لها وفقاً لهذه اللائحة على أراضي الدولة العضو الخاصة بها.
- إذا كانت المعالجة تتم بواسطة السلطات العامة أو الهيئات الخاصة العاملة على أساس النقطة (ج) أو (هـ) من المادة 6 (1)، تكون السلطة الإشرافية للدولة العضو المعنية مختصة، في مثل هذه الحالات، لا تنطبق المادة 56.
- لا تكون السلطات الإشرافية مختصة بالإشراف على عمليات تجهيز المحاكم التي تعمل بصفتها القضائية.
المادة 56: اختصاص السلطة الإشرافية الرئيسية
- دون الإخلال بالمادة 55، تكون السلطة الإشرافية للمؤسسة الرئيسية أو المنشأة الوحيدة للمراقب أو المعالج مختصة للقيام بدور السلطة الإشرافية الرئيسية للمعالجة عبر الحدود التي يقوم بها المراقب أو المعالج وفقا للإجراء المنصوص عليه في المادة 60.
- بموجب عدم التقيد بالفقرة 1، تكون كل سلطة إشرافية مختصة بمعالجة الشكوى المقدمة إليها أو أي انتهاك محتمل لهذه اللائحة، إذا كان الموضوع يتعلق فقط بمؤسسة في دولها الأعضاء أو يؤثر جوهريًا في أصحاب البيانات فقط في دولة عضو.
- في الحالات المشار إليها في الفقرة 2 من هذه المادة، يتعين على السلطة الإشرافية إبلاغ السلطة الإشرافية الرئيسية دون إبطاء في هذا الشأن. وفي غضون ثلاثة أسابيع بعد إبلاغها، يجب على السلطة الإشرافية الرئيسية أن تقرر ما إذا كانت ستتعامل مع الحالة وفقًا للإجراء المنصوص عليه في المادة 60، مع الأخذ بعين الاعتبار ما إذا كان هناك جهاز تحكم أو معالج في الدولة العضو التي أبلغتها السلطة الإشرافية بذلك.
- حيثما تقرر السلطة الإشرافية الرئيسية التعامل مع القضية، تطبق الإجراءات المنصوص عليها في المادة 60. ويجوز للسلطة الإشرافية التي أبلغت السلطة الإشرافية الرئيسية أن تقدم إلى السلطة الإشرافية الرئيسية مسودة لاتخاذ قرار. يجب على السلطة الإشرافية الرئيسية أن تأخذ في الاعتبار هذا المشروع عند إعداد مشروع المقرر المشار إليه في المادة 60 (3).
- عندما تقرر السلطة الإشرافية الرئيسية عدم التعامل مع القضية، يتعين على السلطة الإشرافية التي أبلغت السلطة الإشرافية الرئيسية أن تتولى أمرها وفقاً للمادتين 61 و62.
- يجب أن تكون السلطة الإشرافية الرئيسية المحاور الوحيد لوحدة التحكم أو المعالج للمعالجة عبر الحدود التي تنفذها وحدة التحكم أو المعالج.
المادة 57: المهام
- دون الإخلال بمهام أخرى منصوص عليها في هذا النظام، على كل سلطة إشرافية أن تكون على أراضيها:
(أ) مراقبة وتطبيق هذا النظام؛
(ب) تعزيز الوعي العام وفهم المخاطر والقواعد والضمانات والحقوق المتعلقة بالتجهيز. يجب أن تحظى الأنشطة الموجهة خصيصًا للأطفال باهتمام خاص؛
(ج) تقديم المشورة، وفقا لقانون الدول الأعضاء، والبرلمان الوطني، والحكومة، والمؤسسات والهيئات الأخرى بشأن التدابير التشريعية والإدارية المتعلقة بحماية حقوق الأشخاص الطبيعيين وحرياتهم فيما يتعلق بالتجهيز؛
(د) تعزيز وعي المتحكمين والمجهزين بالتزاماتهم بموجب هذه اللائحة؛
(هـ) تقديم معلومات، عند الطلب، لأي معلومات تتعلق بممارسة حقوقهم بموجب هذه اللائحة، والتعاون، عند الاقتضاء، مع السلطات الإشرافية في الدول الأعضاء الأخرى لهذا الغرض؛
(و) التعامل مع الشكاوى المقدمة من صاحب البيانات، أو بواسطة هيئة أو منظمة أو جمعية وفقاً للمادة 80، والتحقيق، قدر الإمكان، في موضوع الشكوى وإبلاغ صاحب الشكوى بالتقدم المحرز ونتائج التحقيق في غضون فترة معقولة، لا سيما إذا كان من الضروري إجراء مزيد من التحقيق أو التنسيق مع سلطة إشرافية أخرى؛
(ز) التعاون مع هيئات الإشراف الأخرى، بما في ذلك تبادل المعلومات وتقديم المساعدة المتبادلة، بهدف ضمان الاتساق في تطبيق هذه اللوائح وإنفاذها؛
(ح) إجراء تحقيقات بشأن تطبيق هذه اللائحة، بما في ذلك على أساس المعلومات الواردة من سلطة إشرافية أخرى أو من سلطة عامة أخرى؛
(1) رصد التطورات ذات الصلة، بقدر ما يكون لها تأثير على حماية البيانات الشخصية، لا سيما تطوير تكنولوجيا المعلومات والاتصالات والممارسات التجارية؛
(ي) اعتماد بنود تعاقدية قياسية مشار إليها في المادة 28 (8) وفي النقطة (د) من المادة 46 (2)؛
(ك) إنشاء قائمة والحفاظ عليها فيما يتعلق بمتطلبات تقييم أثر حماية البيانات عملاً بالمادة 35 (4)؛
(ل) تقديم المشورة بشأن عمليات التجهيز المشار إليها في المادة 36 (2)؛
(م) تشجيع وضع مدونات لقواعد السلوك وفقاً للمادة 40 (1) وإبداء الرأي والموافقة على قواعد السلوك تلك التي توفر ضمانات كافية، وفقاً للمادة 40 (5)؛
(ن) التشجيع على إنشاء آليات لإصدار شهادات حماية البيانات وأختام وعلامات حماية البيانات وفقاً للمادة 42 (1)، والموافقة على معايير التصديق عملاً بالمادة 42 (5)؛
(س) عند الاقتضاء، إجراء مراجعة دورية للشهادات الصادرة وفقا للمادة 42 (7)؛
(ع) صياغة ونشر معايير اعتماد هيئة لرصد مدونات السلوك عملاً بالمادة 41 ومن هيئة إصدار الشهادات عملاً بالمادة 43؛
(ف) إجراء اعتماد هيئة لرصد مدونات السلوك عملاً بالمادة 41 ومن هيئة إصدار الشهادات عملاً بالمادة 43؛
(ص) تأذن بالبنود والشروط التعاقدية المشار إليها في المادة 46 (3)؛
(ق) الموافقة على قواعد الشركة الملزمة وفقا للمادة 47؛
(ر) المساهمة في أنشطة المجلس؛
(ش) الاحتفاظ بسجلات داخلية لانتهاكات هذا النظام وللتدابير المتخذة وفقا للمادة 58 (2)؛ و
(ت) القيام بأية مهام أخرى متعلقة بحماية البيانات الشخصية.
- تقوم كل سلطة إشرافية بتيسير تقديم الشكاوى المشار إليها في النقطة (و) من الفقرة (1) عن طريق إجراءات مثل استمارة تقديم الشكوى التي يمكن أن تكتمل إلكترونياً، دون استبعاد وسائل الاتصال الأخرى.
- يكون أداء مهام كل سلطة إشرافية بالمجان لصاحب البيانات، وعند الاقتضاء، لموظف حماية البيانات.
- عندما تكون الطلبات بلا أساس أو لا أساس لها من الصحة، ولا سيما بسبب طابعها المتكرر، يجوز للسلطة الإشرافية أن تفرض رسوماً معقولة على أساس التكاليف الإدارية، أو ترفض التصرف بناء على الطلب. وتتحمل السلطة الإشرافية عبء إثبات الطابع غير الواضح أو الزائد بشكل واضح للطلب.
المادة 58: القوى
- تتمتع كل سلطة إشرافية بجميع سلطات التحقيق التالية:
(أ) طلب وحدة التحكم والمعالج، وعند الاقتضاء، وحدة التحكم أو ممثل المعالج لتوفير أي معلومات يتطلبها لأداء مهامه؛
(ب) إجراء تحقيقات في شكل تدقيقات لحماية البيانات؛
(ج) إجراء مراجعة للشهادات الصادرة عملاً بالمادة 42 (7)؛
(د) إخطار المراقب أو المعالج بالتعدي المزعوم على هذه اللائحة؛
(ه) الحصول، من وحدة التحكم والمعالج، على إمكانية الوصول إلى جميع البيانات الشخصية وإلى جميع المعلومات اللازمة لأداء مهامها؛
(و) الحصول على إمكانية الوصول إلى أي من مباني وحدة التحكم والمعالج، بما في ذلك أي معدات وأدوات لمعالجة البيانات، وفقًا للقانون الإجرائي للاتحاد أو الدول الأعضاء.
- تتمتع كل سلطة إشرافية بالسلطات التصحيحية التالية:
(أ) إصدار تحذيرات إلى وحدة التحكم أو المعالج التي من المرجح أن تنتهك عمليات المعالجة أحكام هذا النظام؛
(ب) إصدار التوبيخ إلى وحدة تحكم أو معالج حيث انتهكت عمليات المعالجة أحكام هذا النظام؛
(ج) أن تطلب من وحدة التحكم أو المعالج الامتثال لطلبات صاحب البيانات لممارسة حقوقه بموجب هذه اللائحة؛
(د) أن تطلب من وحدة التحكم أو المعالج جعل عمليات المعالجة متوافقة مع أحكام هذا النظام، عند الاقتضاء، بطريقة محددة وضمن فترة محددة؛
(هـ) أن تطلب من وحدة التحكم أن تنقل خرق البيانات الشخصية إلى صاحب البيانات؛
(و) فرض قيود مؤقتة أو نهائية تتضمن فرض حظر على المعالجة؛
(ز) أن تأمر بتصحيح أو محو البيانات الشخصية أو تقييد المعالجة بموجب المواد 16 و17 و18 والإخطار بهذه الإجراءات إلى المستفيدين الذين تم الكشف عن بياناتهم الشخصية عملاً بالمادة 17 (2) والمادة 19.
(ح) سحب شهادة أو أمر هيئة التصديق بسحب شهادة صادرة عملاً بالمادتين 42 و43 أو أن تأمر هيئة إصدار الشهادات بعدم إصدار الشهادة إذا لم تكن متطلبات التصديق أو لم تعد مستوفاة؛
(1) فرض غرامة إدارية وفقا للمادة 83، بالإضافة إلى أو بدلاً من التدابير المشار إليها في هذه الفقرة، تبعا لظروف كل حالة على حدة؛
(ي) أن تأمر بتعليق تدفق البيانات إلى مستلم في بلد ثالث أو إلى منظمة دولية.
- تتمتع كل سلطة إشرافية بجميع الصلاحيات الاستنادية والاستشارية التالية:
(أ) تقديم المشورة إلى المراقب وفقا لإجراء التشاور المسبق المشار إليه في المادة 36؛
(ب) أن يصدر، بمبادرة منه أو عند الطلب، آراء إلى البرلمان الوطني، أو حكومة الدولة العضو، أو، وفقا لقانون الدول الأعضاء، إلى المؤسسات والهيئات الأخرى وكذلك للجمهور بشأن أي قضية تتعلق بحماية البيانات الشخصية.
(ج) الإذن بالتجهيز المشار إليه في المادة 36 (5)، إذا كان قانون الدولة العضو يتطلب هذا الإذن المسبق؛
(د) إصدار الرأي والموافقة على مسودة مدونات السلوك وفقاً للمادة 40 (5)؛
(هـ) اعتماد هيئات منح الشهادات عملاً بالمادة 43؛
(و) إصدار الشهادات والموافقة على معايير التصديق وفقا للمادة 42 (5)؛
(ز) اعتماد بنود حماية البيانات القياسية المشار إليها في المادة 28 (8) وفي النقطة (د) من المادة 46 (2)؛
(ح) الموافقة على الشروط التعاقدية المشار إليها في النقطة (أ) من المادة 46 (3)؛
(1) الإذن بالترتيبات الإدارية المشار إليها في النقطة (ب) من المادة 46 (3)؛
(ي) الموافقة على قواعد الشركة الملزمة وفقا للمادة 47.
- تخضع ممارسة السلطات الممنوحة للسلطة الإشرافية بموجب هذه المادة لضمانات مناسبة، بما في ذلك سبل الانتصاف القضائية الفعالة ومراعاة الأصول القانونية، المنصوص عليها في قانون الاتحاد وقانون الدول الأعضاء وفقاً للميثاق.
- على كل دولة عضو أن تنص، بموجب القانون، على أن تكون لسلطتها الإشرافية سلطة إخضاع السلطات القضائية للانتهاك، وعند الاقتضاء، الشروع في إجراءات قانونية أو المشاركة فيها، من أجل إنفاذ أحكام قواعد هذه اللائحة.
- يجوز لكل دولة عضو أن تنص، بموجب القانون، على أن تكون لسلطتها الإشرافية صلاحيات إضافية للأفراد المشار إليهم في الفقرات 1 و2 و3. ولا يخل بممارسة هذه السلطات التنفيذ الفعال للفصل السابع.
المادة 59: تقارير النشاط
يجب على كل سلطة إشرافية أن تعد تقريراً سنوياً عن أنشطتها، قد يتضمن قائمة بأنواع الانتهاكات المُبلغ عنها وأنواع التدابير المتخذة وفقاً للمادة 58 (2). وتحال هذه التقارير إلى البرلمان الوطني والحكومة والسلطات الأخرى كما حددها قانون الدول الأعضاء. وتتاح للجمهور وللمفوضية وللمجلس.
الفصل السابع: التعاون والاتساق
القسم 1: التعاون
المادة 60: التعاون بين السلطة الإشرافية الرئيسية والسلطات الرقابية الأخرى المعنية
- تتعاون السلطة الإشرافية الرئيسية مع السلطات الإشرافية الأخرى المعنية وفقاً لهذه المادة في مسعى للتوصل إلى توافق في الآراء. وتقوم السلطة الإشرافية الرئيسية والسلطات الرقابية المعنية بتبادل جميع المعلومات ذات الصلة مع بعضها البعض.
- يجوز للسلطة الإشرافية الرئيسية أن تطلب في أي وقت من السلطات الإشرافية الأخرى المعنية تقديم المساعدة المتبادلة بموجب المادة 61، ويجوز لها إجراء عمليات مشتركة وفقاً للمادة 62، خاصة لإجراء تحقيقات أو لمراقبة تنفيذ تدبير يتعلق بمراقب، أو معالج تم إنشاؤه في دولة عضو أخرى.
- تقوم السلطة الإشرافية الرئيسية، دون إبطاء، بإبلاغ المعلومات ذات الصلة بصاحبها إلى السلطات الإشرافية الأخرى المعنية. ويجب عليها دون إبطاء أن تقدم مشروع مقرر إلى السلطات الإشرافية الأخرى المعنية لرأيها وأن تأخذ في الحسبان آراءها.
- إذا اعترضت أي من السلطات الإشرافية الأخرى المعنية خلال فترة أربعة أسابيع بعد استشارتها وفقاً للفقرة 3 من هذه المادة، اعتراضاً ذا صلة ومبرراً على مشروع المقرر، فإن السلطة الإشرافية الرئيسية، إذا لم تفعل ذلك، إتباع الاعتراض المعني أو المعقول، أو كان من رأيها أن الاعتراض غير ذي صلة أو غير مبرر، تعرض المسألة على آلية الاتساق المشار إليها في المادة 63.
- عندما تعتزم السلطة الإشرافية الرئيسية اتباع الاعتراض ذي الصلة والمسبب المنطقي، عليها أن تقدم إلى السلطات الإشرافية الأخرى مشروع مقرر منقّحاً لإبداء رأيها. ويخضع مشروع المقرر المنقح للإجراء المشار إليه في الفقرة 4 في غضون أسبوعين.
- عندما لا تعترض أي من سلطات الإشراف الأخرى المعنية على مشروع المقرر المقدم من السلطة الإشرافية الرئيسية خلال الفترة المشار إليها في الفقرتين 4 و5، تعتبر السلطة الإشرافية الرئيسية والسلطات الرقابية المعنية متفقة مع مشروع القرار هذا وتكون ملزمة به.
- تعتمد السلطة الإشرافية الرئيسية وتخطر القرار بالمؤسسة الرئيسية أو المنشأة الواحدة للمراقب أو المعالج، حسب الحالة، وتخطر السلطات الإشرافية الأخرى المعنية ومجلس الإدارة بالقرار المعني، بما في ذلك ملخص الحقائق والأسباب ذات الصلة. ويجب على السلطة الإشرافية التي قدمت بها الشكوى إبلاغ صاحب الشكوى بالقرار.
- بموجب عدم التقيد بالفقرة 7، حيث يتم رفض أو رفض الشكوى، يجب أن تعتمد السلطة الإشرافية التي قدمت بها الشكوى القرار وإخطاره إلى مقدم الشكوى وإبلاغ مراقبته بذلك.
- عندما توافق السلطة الإشرافية الرئيسية والسلطات الرقابية المعنية على رفض أو رفض أجزاء من الشكوى والتصرف في أجزاء أخرى من تلك الشكوى، يتم اعتماد قرار منفصل لكل جزء من هذه الأجزاء من المسألة. ويجب على السلطة الإشرافية الرئيسية أن تتخذ قراراً بشأن الجزء المتعلق بالإجراءات المتعلّقة بوحدة التحكم، وعليها إخطار المؤسسة الرئيسية أو المنشأة الواحدة للمراقب أو المعالج في إقليم الدولة العضو بها، وعليها إبلاغ صاحب الشكوى بذلك، وتعتمد السلطة الإشرافية لمقدم الشكوى القرار المرتبط بالجزء المتعلق بفصل أو رفض هذه الشكوى، وعليها إخطار صاحب الشكوى بذلك وتخطر المراقب أو معالجها بذلك.
- بعد إخطاره بقرار السلطة الإشرافية الرئيسية عملاً بالفقرتين 7 و9، يتعين على وحدة التحكم أو المعالج اتخاذ التدابير اللازمة لضمان الامتثال للقرار فيما يتعلق بمعالجة الأنشطة في سياق جميع منشآتها في الاتحاد. ويجب على المراقب أو المعالج إخطار الإجراءات المتخذة للامتثال لقرار السلطة الإشرافية الرئيسية، والتي يجب أن تبلغ السلطات الإشرافية الأخرى المعنية.
- عندما يكون لدى سلطة الإشراف المعنية، في ظروف استثنائية، أسباب تدعو إلى اعتبار أن هناك حاجة ملحة للتصرف من أجل حماية مصالح أصحاب البيانات، تطبق إجراءات الاستعجال المشار إليها في المادة 66.
- على السلطة الإشرافية الرئيسية والسلطات الرقابية الأخرى المعنية أن تقدم المعلومات المطلوبة بموجب هذه المادة إلى بعضها البعض بوسائل إلكترونية، باستخدام نسق موحد.
المادة 61: تبادل المساعدة
- على السلطات الإشرافية أن تزود بعضها بالمعلومات ذات الصلة والمساعدة المتبادلة من أجل تنفيذ وتطبيق هذه اللائحة بطريقة متسقة، ووضع تدابير للتعاون الفعال مع بعضها البعض. يجب أن تغطي المساعدة المتبادلة، على وجه الخصوص، طلبات المعلومات والتدابير الرقابية، مثل طلبات تنفيذ التفويضات المسبقة والمشاورات والتفتيش والتحقيقات.
- تتخذ كل سلطة إشرافية جميع التدابير اللازمة للرد على طلب هيئة إشرافية أخرى دون تأخير لا داعي له، وفي موعد لا يتجاوز شهر واحد من تلقي الطلب. وقد تشمل هذه التدابير، على وجه الخصوص، إرسال المعلومات ذات الصلة بشأن إجراء التحقيق.
- تحتوي طلبات المساعدة على جميع المعلومات الضرورية، بما في ذلك الغرض من الطلب وأسبابه. وتستخدم المعلومات المتبادلة فقط للغرض الذي طُلبت من أجله.
- لا ترفض السلطة الإشرافية المطلوبة الامتثال للطلب إلا إذا:
(أ) ليست مختصة بصاحب الطلب أو التدابير المطلوب تنفيذها؛ أو
(ب) من شأن الامتثال للطلب أن ينتهك هذا النظام أو قانون الاتحاد أو الدول الأعضاء الذي تخضع له السلطة الإشرافية التي تتلقى الطلب.
- يجب على السلطة الإشرافية المطلوبة أن تبلغ السلطة الإشرافية الطالبة بالنتائج أو، حسب مقتضى الحال، بالتقدم المحرز في التدابير المتخذة من أجل الاستجابة للطلب. ويتعين على السلطة الإشرافية المطلوبة أن تقدم أسباباً لرفض الامتثال للطلب المقدم عملاً بالفقرة 4.
- يتعين على السلطات الإشرافية المطلوبة، كقاعدة عامة، أن تقدم المعلومات التي تطلبها السلطات الإشرافية الأخرى بالوسائل الإلكترونية، باستخدام نسق موحد.
- لا تفرض السلطات الإشرافية المطلوبة أي رسم على أي إجراء يتخذه منها بناء على طلب المساعدة المتبادلة. ويجوز للسلطات الإشرافية الاتفاق على قواعد لتعويض بعضها البعض عن نفقات محددة ناشئة عن توفير المساعدة المتبادلة في ظروف استثنائية.
- في الحالات التي لا توفر فيها سلطة إشرافية المعلومات المشار إليها في الفقرة 5 من هذه المادة في غضون شهر واحد من تلقي طلب هيئة إشرافية أخرى، يجوز للسلطة الإشرافية الطالبة أن تتخذ تدبيراً مؤقتاً بشأن إقليم الدولة العضو فيها وفقاً لما يلي: المادة 55 (1). وفي هذه الحالة، يفترض أن الحاجة الملحة للعمل بموجب المادة 66 (1) يجب الوفاء بها وتتطلب قرارًا ملحًا عاجلاً من المجلس وفقًا للمادة 66 (2).
- يجوز للجنة، عن طريق تنفيذ الأفعال، أن تحدد صيغة وإجراءات المساعدة المتبادلة المشار إليها في هذه المادة والترتيبات الخاصة بتبادل المعلومات بالوسائل الإلكترونية بين السلطات الإشرافية، وبين السلطات الإشرافية والمجلس، ولا سيما النموذج الموحد المشار إليه في الفقرة 6 من هذه المادة. ويتم تبني إجراءات التنفيذ هذه وفقاً لإجراءات الفحص المشار إليها في المادة 93 (2).
المادة 62: العمليات المشتركة للسلطات الإشرافية
- تقوم السلطات الإشرافية، عند الاقتضاء، بعمليات مشتركة بما في ذلك التحقيقات المشتركة وتدابير الإنفاذ المشتركة التي يشارك فيها أعضاء أو سلطات السلطات الإشرافية للدول الأعضاء الأخرى.
- عندما يكون للمراقب أو المعالج منشآت في العديد من الدول الأعضاء أو عندما يكون من المحتمل أن يتأثر عدد كبير من مواد البيانات في أكثر من دولة عضو تأثرًا كبيرًا بعمليات المعالجة، يكون للسلطة الإشرافية لكل من هذه الدول الأعضاء الحق في ذلك. وللمشاركة في العمليات المشتركة، على السلطة الإشرافية المختصة وفقاً للمادة 56 (1) أو (4) أن تدعو السلطة الإشرافية لكل من تلك الدول الأعضاء للمشاركة في العمليات المشتركة وتستجيب دون إبطاء لطلب سلطة إشرافية بالمشاركة.
- يجوز للسلطة الإشرافية، وفقا لقانون الدول الأعضاء، وبإذن من السلطة الإشرافية الرئيسية، أن تمنح سلطات، بما في ذلك صلاحيات التحقيق الخاصة بأعضاء السلطة الإشرافية أو الموظفين المشتركين في عمليات مشتركة أو، فيما يتعلق بقانون تسمح الدولة العضو في السلطة الإشرافية المضيفة، السماح لأعضاء هيئة الإشراف أو الموظفين المعتمدين بممارسة صلاحياتهم التحقيقية وفقاً لقانون الدولة العضو في هيئة الإشراف المعتمد. ولا يجوز ممارسة سلطات التحقيق هذه إلا بتوجيه أعضاء هيئة الإشراف المضيفة وحضورهم. ويخضع أعضاء هيئة الإشراف أو الموظفين المعتمدين لقانون الدولة العضو في السلطة الإشرافية المضيفة.
- عندما يكون موظفو سلطة الإشراف المعتمدة، وفقا للفقرة 1، في دولة عضو أخرى، تتحمل الدولة العضو في السلطة الإشرافية المضيفة المسؤولية عن أفعالهم، بما في ذلك المسؤولية عن أي ضرر يلحق بهم أثناء عملياتهم، وفقا لقانون الدولة العضو التي تعمل في أراضيها.
- يجب على الدولة العضو التي وقع الضرر في أراضيها أن تسدد تعويضاَ مناسباً، في ظل الظروف السارية، عن الأضرار التي يسببها موظفوها. ويجب على الدولة العضو في سلطة الإشراف على الإعارة، التي تسبب موظفوها في إلحاق ضرر بأي شخص في إقليم دولة عضو أخرى، أن تسدد للدولة العضو الأخرى بالكامل أية مبالغ دفعتها للأشخاص الذين يحق لهم ذلك نيابة عنهم.
- دون الإخلال بممارسة حقوقها تجاه أطراف ثالثة، باستثناء الفقرة 5، تمتنع كل دولة عضو، في الحالة المنصوص عليها في الفقرة 1، من طلب سداد من دولة عضو أخرى فيما يتعلق بالضرر المشار إليه في الفقرة 4.
- عندما تكون العملية المشتركة مقصودة ولا تقوم سلطة إشرافية، في غضون شهر واحد، بالامتثال للالتزام المنصوص عليه في الجملة الثانية من الفقرة 2 من هذه المادة، يجوز للسلطات الإشرافية الأخرى أن تعتمد تدبيرا مؤقتا على أراضي إقليمها. والدولة العضو وفقاً للمادة 55، وفي هذه الحالة، يفترض أن الحاجة الملحة للعمل بموجب المادة 66 (1) توجب عليها الوفاء بها وتتطلب رأي أو قرار ملزم عاجل من المجلس وفقا للمادة 66 (2).
القسم 2: الاتساق
المادة 63: آلية الاتساق
من أجل المساهمة في التطبيق المتسق لهذه اللائحة في جميع أنحاء الاتحاد، تتعاون السلطات الإشرافية مع بعضها البعض، وعند الاقتضاء، مع اللجنة، من خلال آلية الاتساق على النحو المبين في هذا القسم.
المادة 64: رأي المجلس
- يصدر المجلس رأياً حيث تعتزم سلطة إشرافية مختصة اعتماد أي من التدابير الواردة أدناه. وتحقيقاً لهذه الغاية، تقوم السلطة الإشرافية المختصة بإبلاغ مشروع القرار إلى المجلس، عندما:
(أ) تهدف إلى اعتماد قائمة بعمليات المعالجة التي تخضع لمتطلبات تقييم تأثير حماية البيانات وفقا للمادة 35 (4)؛
(ب) يتعلق بمسألة عملاً بالمادة 40 (7) ما إذا كان مشروع مدونة السلوك أو التعديل أو التمديد لمدونة قواعد السلوك يتوافق مع هذه اللائحة؛
(ج) يهدف إلى الموافقة على معايير اعتماد هيئة وفقًا للمادة 41 (3) أو هيئة إصدار الشهادات وفقًا للمادة 43 (3)؛
(د) يهدف إلى تحديد الشروط القياسية لحماية البيانات المشار إليها في النقطة (د) من المادة 46 (2) وفي المادة 28 (8)؛
(هـ) يهدف إلى تفويض البنود التعاقدية المشار إليها في النقطة (أ) من المادة 46 (3)؛ أو:
(و) يهدف إلى الموافقة على قواعد الشركات الملزمة بالمعنى المقصود في المادة 47.
- يجوز لأي سلطة إشرافية أو رئيس المجلس أو اللجنة أن يطلب من المجلس دراسة أي مسألة تتعلق بالتطبيق العام أو التأثيرات المنتجة في أكثر من دولة عضو بهدف الحصول على رأي، لا سيما عند وجود جهة إشرافية مختصة لا تمتثل السلطة لالتزامات المساعدة المتبادلة وفقا للمادة 61 أو للعمليات المشتركة وفقا للمادة 62.
- في الحالات المشار إليها في الفقرتين 1 و2، يصدر المجلس رأياً بشأن المسألة المقدمة إليه شريطة ألا يكون قد أصدر بالفعل رأياً بشأن نفس المسألة. ويعتمد هذا الرأي في غضون ثمانية أسابيع بالأغلبية البسيطة لأعضاء المجلس. ويمكن تمديد تلك الفترة لمدة ستة أسابيع أخرى، مع مراعاة مدى تعقيد الموضوع. وفيما يتعلق بمشروع المقرر المشار إليه في الفقرة 1 والذي عمم على أعضاء المجلس وفقاً للفقرة 5، يعتبر العضو الذي لم يعترض خلال فترة معقولة من الرئيس، متفقاً مع مشروع المقرر.
- تقوم السلطات الإشرافية واللجنة، دون تأخير لا داعي له، بالاتصال بالوسائل الإلكترونية إلى المجلس، باستخدام أي صيغة موحدة، وتزويده بأي معلومات ذات صلة، بما في ذلك حسب مقتضى الحال، موجزاً للوقائع ومشروع المقرر وأسبابه، سواء كان هذا التدبير ضرورياً أو غير ضروري، وكذلك آراء سلطات الإشراف الأخرى المعنية.
- يقوم رئيس المجلس، دون أي مبرر، بتأخير المعلومات بالوسائل الإلكترونية:
(أ) أعضاء المجلس واللجنة بأية معلومات ذات صلة تم إبلاغها بها باستخدام نموذج موحد. وتقوم أمانة المجلس، عند الضرورة، بترجمة المعلومات ذات الصلة؛ و:
(ب) السلطة الإشرافية المشار إليها، حسب الحالة، في الفقرتين 1 و2، ولجنة الرأي وإعلانها.
- لا تعتمد السلطة الإشرافية المختصة مشروع مقررها المشار إليه في الفقرة 1 خلال الفترة المشار إليها في الفقرة 3.
- تأخذ السلطة الإشرافية المشار إليها في الفقرة 1 في اعتبارها تماماً رأي مجلس الإدارة، وفي غضون أسبوعين من تلقي الرأي، تبلغ رئيس مجلس الإدارة بالوسائل الإلكترونية ما إذا كانت ستحتفظ بمشروع القرار أو تعدله. و، إن وجدت، مشروع المقرر المعدل، وذلك باستخدام شكل موحد.
- إذا أبلغت السلطة الإشرافية المعنية رئيس مجلس الإدارة خلال الفترة المشار إليها في الفقرة 7 من هذه المادة بأنها لا تنوي اتباع رأي مجلس الإدارة، كليًا أو جزئيًا، تنطبق المادة 65 (1) في تقديم الأسباب ذات الصلة.
المادة 65: حل النزاع من قبل المجلس
- من أجل ضمان التطبيق الصحيح والمتسق لهذه اللائحة في الحالات الفردية، يعتمد مجلس الإدارة قرارًا ملزمًا في الحالات التالية:
(أ) إذا رفعت هيئة إشرافية معنية، في قضية مشار إليها في المادة 60 (4)، اعتراضًا مناسبًا ومسبقًا على مشروع قرار من السلطة الرئيسية أو رفضت السلطة الرئيسية مثل هذا الاعتراض على أنه غير مناسب أو مسبب. ويتعلّق القرار الملزم بجميع الأمور التي هي موضوع الاعتراض المعني والمبرر، ولا سيما إذا كان هناك انتهاك لهذه اللائحة؛
(ب) إذا كانت هناك وجهات نظر متضاربة بشأن أي من السلطات الإشرافية المعنية تختص بالمؤسسة الرئيسية؛
(ج) إذا كانت السلطة الإشرافية المختصة لا تطلب رأي المجلس في الحالات المشار إليها في المادة 64 (1)، أو لا تتبع رأي المجلس الصادر بموجب المادة 64. وفي هذه الحالة، فإنه يجوز لأي من السلطة الإشرافية المعنية أو للجنة نقل الموضوع إلى المجلس.
- يعتمد القرار المشار إليه في الفقرة 1 خلال شهر واحد من إحالة الموضوع بأغلبية ثلثي أعضاء المجلس. ويمكن تمديد تلك الفترة بشهر إضافي بسبب تعقيد الموضوع. ويكون المقرر المشار إليه في الفقرة 1 مسببًا وموجهًا إلى السلطة الإشرافية الرئيسية وجميع السلطات الرقابية المعنية وملزمًا بها.
- إذا لم يتمكن المجلس من اتخاذ قرار خلال الفترات المشار إليها في الفقرة 2، فإنه يعتمد قراره في غضون أسبوعين بعد انقضاء الشهر الثاني المشار إليه في الفقرة 2 بأغلبية بسيطة من أعضاء المجلس. وعندما ينقسم أعضاء المجلس، يتم اتخاذ القرار بالتصويت من رئيسه.
- لا يجوز للسلطات الرقابية المعنية أن تتخذ قرارا بشأن الموضوع المقدم إلى المجلس بموجب الفقرة 1 خلال الفترات المشار إليها في الفقرتين 2 و3.
- يخطر رئيس المجلس، دون تأخير لا مسوغ له، بالقرار المشار إليه في الفقرة 1 للسلطات الإشرافية المعنية. وعليها أن تبلغ اللجنة بذلك. وينشر القرار على الموقع الإلكتروني للمجلس دون إبطاء بعد إخطار السلطة الإشرافية بالقرار النهائي المشار إليه في الفقرة 6.
- تعتمد السلطة الإشرافية الرئيسية أو السلطة الإشرافية التي قدمت بها الشكوى، حسب الحالة، قرارها النهائي على أساس القرار المشار إليه في الفقرة 1 من هذه المادة، دون تأخير لا داعي له وخلال حد أقصى بعد شهر واحد من إخطار المجلس بقراره. ويجب على السلطة الإشرافية الرئيسية أو، حسب الحالة، أن تكون السلطة الإشرافية التي قدمت بها الشكوى، إبلاغ المجلس بالتاريخ الذي يتم فيه إبلاغ قرارها النهائي على التوالي إلى وحدة التحكم أو المعالج وإلى صاحب البيانات. ويعتمد القرار النهائي لسلطات الإشراف المعنية بموجب أحكام المادة 60 (7) و(8) و(9). ويشير القرار النهائي إلى القرار المشار إليه في الفقرة 1 من هذه المادة ويحدد أن القرار المشار إليه في تلك الفقرة سينشر على الموقع الإلكتروني للمجلس وفقاً للفقرة 5 من هذه المادة. ويرفق القرار النهائي بالقرار المشار إليه في الفقرة 1 من هذه المادة.
المادة 66: إجراءات عاجلة
- في ظروف استثنائية، عندما ترى سلطة إشرافية معنية أن هناك حاجة ملحة للتصرف من أجل حماية حقوق وحريات الأشخاص المعنيين بالبيانات، يجوز لها، من خلال عدم التقيد بآلية الاتساق المشار إليها في المواد 63 و64. و65 أو الإجراء المشار إليه في المادة 60، أن تعتمد على الفور تدابير مؤقتة تهدف إلى إحداث آثار قانونية على أراضيها مع فترة محددة من الصلاحية والتي لا تتجاوز ثلاثة أشهر. وتقوم السلطة الإشرافية، دون إبطاء، بإبلاغ عن تلك الإجراءات وأسباب اعتمادها إلى السلطات الإشرافية الأخرى المعنية وإلى المجلس واللجنة.
- عندما تتخذ هيئة إشرافية تدبيراً وفقاً للفقرة 1 وترى أن التدابير النهائية يجب أن تُعتمد بشكل عاجل، يجوز لها طلب رأي عاجل أو قرار مُلزم عاجل من المجلس، مع تقديم أسباب لطلب مثل هذا الرأي أو القرار.
- يجوز لأي سلطة إشرافية أن تطلب رأيًا عاجلاً أو قرارًا ملزمًا عاجلاً، حسب الحالة، من مجلس الإدارة حيث لم تتخذ هيئة إشرافية مختصة تدبيرًا مناسبًا في حالة تكون هناك حاجة ملحة للتصرف فيها، لحماية حقوق وحريات الأشخاص المعنيين بالبيانات، مع إعطاء أسباب لطلب مثل هذا الرأي أو القرار، بما في ذلك الحاجة الملحة للتصرف.
- بموجب استثناء من المادة 64 (3) والمادة 65 (2)، يتم تبني رأي عاجل أو قرار ملزم عاجل المشار إليه في الفقرتين 2 و3 من هذه المادة في غضون أسبوعين بأغلبية بسيطة من أعضاء المجلس.
المادة 67: تبادل المعلومات
يجوز للهيئة أن تعتمد أفعالاً ذات نطاق عام من أجل تحديد الترتيبات الخاصة بتبادل المعلومات بالوسائل الإلكترونية بين السلطات الإشرافية، وبين السلطات الإشرافية والمجلس، ولا سيما الشكل الموحد المشار إليه في المادة 64.
يتم تبني إجراءات التنفيذ هذه وفقاً لإجراءات الفحص المشار إليها في المادة 93 (2).
القسم 3: مجلس حماية البيانات الأوروبي
المادة 68: مجلس حماية البيانات الأوروبي
- يتم إنشاء مجلس حماية البيانات الأوروبي (“مجلس الإدارة”) كهيئة تابعة للاتحاد وله شخصية قانونية.
- يمثل المجلس برئيسه.
- يتألف المجلس من رئيس سلطة إشرافية واحدة لكل دولة عضو ومن المشرف الأوروبي على حماية البيانات، أو من ممثليهم المعنيين.
- في أي دولة عضو في أكثر من سلطة إشرافية تكون مسؤولة عن مراقبة تطبيق الأحكام وفقا لهذه اللائحة، يتم تعيين ممثل مشترك وفقا لقانون تلك الدولة العضو.
- يحق للجنة المشاركة في أنشطة المجلس واجتماعاته دون حق التصويت. وتقوم اللجنة بتعيين ممثل. ويقوم رئيس المجلس بإبلاغ اللجنة بأنشطة المجلس.
- في الحالات المشار إليها في المادة 65، يكون للمشرف الأوروبي على حماية البيانات حقوق التصويت فقط على القرارات التي تتعلق بالمبادئ والقواعد المطبقة على مؤسسات الاتحاد وهيئاته ومكاتبه ووكالاته التي تتوافق جوهريًا مع تلك الخاصة بهذه اللائحة.
المادة 69: الاستقلال
- يتصرف المجلس بشكل مستقل عند قيامه بمهامه أو ممارسة صلاحياته بموجب المادتين 70 و71.
- دون المساس بطلبات اللجنة المشار إليها في النقطة (ب) من المادة 70 (1) وفي المادة 70 (2)، يجب على المجلس، في أدائه لمهامه أو ممارسة صلاحياته، ألاّ يسعى إلى أو يأخذ تعليمات من أي شخص.
المادة 70: مهام المجلس
- يضمن المجلس التطبيق المتسق لهذه اللائحة. وتحقيقا لهذه الغاية، يقوم المجلس، بمبادرة منه أو عند الاقتضاء، بناء على طلب اللجنة، على وجه الخصوص بما يلي:
(أ) مراقبة وضمان التطبيق الصحيح لهذه اللائحة في الحالات المنصوص عليها في المادتين 64 و65 دون الإخلال بمهام سلطات الإشراف الوطنية؛
(ب) إسداء المشورة للجنة بشأن أي مسألة تتعلق بحماية البيانات الشخصية في الاتحاد، بما في ذلك أي تعديل مقترح لهذه اللائحة؛
(ج) إسداء المشورة للجنة بشأن شكل وإجراءات تبادل المعلومات بين المراقبين والمجهزين والسلطات الرقابية بشأن قواعد الشركات الملزمة؛
(د) إصدار مبادئ توجيهية وتوصيات وأفضل الممارسات بشأن إجراءات محو الوصلات أو نسخ أو تكرار البيانات الشخصية من خدمات الاتصالات المتاحة للجمهور على النحو المشار إليه في المادة 17 (2)؛
(ه) أن تدرس، بمبادرة منها، بناء على طلب أحد أعضائها أو بناء على طلب اللجنة، أي مسألة تغطي تطبيق هذه اللائحة، وإصدار مبادئ توجيهية وتوصيات وأفضل الممارسات من أجل تشجيع التطبيق المتسق لهذه اللائحة؛
(و) إصدار مبادئ توجيهية وتوصيات وأفضل الممارسات وفقاً للنقطة (هـ) من هذه الفقرة لمواصلة تحديد معايير وشروط القرارات المستندة إلى التوصيف وفقاً للمادة 22 (2)؛
(ز) إصدار مبادئ توجيهية وتوصيات وأفضل الممارسات وفقاً للنقطة (هـ) من هذه الفقرة لتحديد خروقات البيانات الشخصية وتحديد التأخير غير المبرر المشار إليه في المادة 33 (1) و(2) وللظروف الخاصة المطلوبة من وحدة التحكم أو المعالج لإخطار خرق البيانات الشخصية؛
(ح) إصدار مبادئ توجيهية وتوصيات وأفضل الممارسات وفقاً للنقطة (هـ) من هذه الفقرة فيما يتعلق بالظروف التي يُحتمل أن يؤدي فيها خرق البيانات الشخصية إلى خطر كبير على حقوق وحريات الأشخاص الطبيعيين المشار إليهم في المادة 34 (1).
(خ) إصدار مبادئ توجيهية وتوصيات وأفضل الممارسات وفقاً للنقطة (هـ) من هذه الفقرة لغرض مواصلة تحديد معايير ومتطلبات نقل البيانات الشخصية استناداً إلى قواعد الشركات الملزمة التي يلتزم بها المراقبون والقواعد المؤسسية الملزمة التي تلتزم بها المعالجات والمتطلبات الإضافية اللازمة لضمان حماية البيانات الشخصية لأصحاب البيانات المعنية المشار إليها في المادة 47؛
(ي) إصدار مبادئ توجيهية وتوصيات وأفضل الممارسات وفقاً للنقطة (هـ) من هذه الفقرة لغرض مواصلة تحديد معايير ومتطلبات نقل البيانات الشخصية على أساس المادة 49 (1)؛
(ك) وضع مبادئ توجيهية للسلطات الإشرافية فيما يتعلق بتطبيق التدابير المشار إليها في المادة 58 (1) و(2) و(3) وتحديد الغرامات الإدارية بموجب المادة 83؛
(ل) استعراض التطبيق العملي للمبادئ التوجيهية والتوصيات وأفضل الممارسات المشار إليها في النقطتين (هـ) و(و)؛
(م) إصدار مبادئ توجيهية وتوصيات وأفضل الممارسات وفقاً للنقطة (هـ) من هذه الفقرة لوضع إجراءات مشتركة للإبلاغ عن الأشخاص الطبيعيين بانتهاك هذه اللائحة عملاً بالمادة 54 (2)؛
(ن) التشجيع على وضع مدونات لقواعد السلوك وإنشاء آليات لإصدار شهادات حماية البيانات وأختام وعلامات حماية للبيانات بموجب المادتين 40 و42؛
(س) القيام باعتماد هيئات إصدار الشهادات واستعراضها الدوري عملاً بالمادة 43 والاحتفاظ بسجل عام للهيئات المعتمدة وفقاً للمادة 43 (6) ولأجهزة التحكم أو المعالجات المعتمدة المنشأة في بلدان ثالثة عملاً بالمادة 42 (7)؛
(ع) تحديد المتطلبات المشار إليها في المادة 43 (3) من أجل اعتماد هيئات إصدار الشهادات بموجب المادة 42؛
(ف) تزويد اللجنة برأي بشأن متطلبات التصديق المشار إليها في المادة 43 (8)؛
(ص) تزويد اللجنة برأي بشأن الأيقونات المشار إليها في المادة 12 (7)؛
(ق) تزويد اللجنة برأي لتقييم مدى كفاية مستوى الحماية في بلد ثالث أو منظمة دولية أخرى، بما في ذلك تقييم ما إذا كان بلد ثالث أو إقليم أو قطاع محدد أو أكثر داخل هذا البلد الثالث، أو منظمة دولية لم تعد تضمن مستوى مناسب من الحماية. وتحقيقا لهذه الغاية، يجب على اللجنة تزويد المجلس بجميع الوثائق اللازمة، بما في ذلك المراسلات مع حكومة البلد الثالث، فيما يتعلق بذلك البلد الثالث أو الإقليم أو القطاع المحدد، أو مع المنظمة الدولية.
(ر) إصدار آراء بشأن مشاريع مقررات السلطات الإشرافية عملا بآلية الاتساق المشار إليها في المادة 64 (1)، بشأن المسائل المقدمة عملا بالمادة 64 (2) وإصدار قرارات ملزمة عملاً بالمادة 65، بما في ذلك في القضايا المشار إليها في المادة 66؛
(ش) تعزيز التعاون والتبادل الفعال والمتعدد الأطراف للمعلومات وأفضل الممارسات بين السلطات الإشرافية؛
(5) تعزيز برامج التدريب المشتركة وتسهيل تبادل الموظفين بين السلطات الإشرافية والسلطات الإشرافية في البلدان الثالثة أو مع المنظمات الدولية، عند الاقتضاء؛
(ث) تعزيز تبادل المعارف والوثائق المتعلقة بتشريعات وممارسات حماية البيانات مع السلطات الإشرافية لحماية البيانات في جميع أنحاء العالم.
(د) إصدار آراء بشأن مدونات السلوك الموضوعة على مستوى الاتحاد عملاً بالمادة 40 (9)؛ و
(ذ) الاحتفاظ بسجل إلكتروني متاح للجمهور بالقرارات التي تتخذها السلطات الإشرافية والمحاكم بشأن القضايا التي يتم التعامل معها في آلية الاتساق.
- عندما تطلب اللجنة مشورة من المجلس، قد تشير إلى حد زمني، مع مراعاة مدى إلحاح المسألة.
- يحول المجلس آراءه ومبادئه التوجيهية وتوصياته وأفضل الممارسات إلى اللجنة وإلى اللجنة المشار إليها في المادة 93 ويجعلها عامة.
- يتشاور المجلس، عند الاقتضاء، مع الأطراف المهتمة ويعطيهم الفرصة للتعليق خلال فترة معقولة. ويقوم المجلس، دون المساس بالمادة 76، بإتاحة نتائج إجراء التشاور للجمهور.
المادة 71: التقارير
- يضع المجلس تقريرا سنويا عن حماية الأشخاص الطبيعيين فيما يتعلق بالتجهيز في الاتحاد، وعند الاقتضاء، في بلدان ثالثة ومنظمات دولية. ويُعمم التقرير ويُحال إلى البرلمان الأوروبي وإلى المجلس وإلى اللجنة.
- يجب أن يتضمن التقرير السنوي مراجعة للتطبيق العملي للمبادئ التوجيهية والتوصيات وأفضل الممارسات المشار إليها في النقطة (1) من المادة 70 (1) بالإضافة إلى القرارات الملزمة المشار إليها في المادة 65.
المادة 72: الإجراء
- يتخذ المجلس القرارات بأغلبية بسيطة من أعضائه، ما لم ينص على خلاف ذلك في هذا النظام.
- يعتمد المجلس نظامه الداخلي الخاص به بأغلبية ثلثي أعضائه وينظم ترتيباته التشغيلية الخاصة به.
المادة 73: الرئيس
- ينتخب المجلس رئيساً ونائبين له من بين أعضائه بأغلبية بسيطة.
- تكون مدة ولاية الرئيس ونواب الرئيس خمس سنوات قابلة للتجديد مرة واحدة.
المادة 74: مهام الرئيس
- يكون للرئيس المهام التالية:
(أ) عقد اجتماعات المجلس وإعداد جدول أعماله؛
(ب) إخطار المقررات التي يعتمدها المجلس عملاً بالمادة 65 إلى السلطة الإشرافية الرئيسية والسلطات الرقابية المعنية؛
(ج) ضمان أداء مهام المجلس في الوقت المناسب، لا سيما فيما يتعلق بآلية الاتساق المشار إليها في المادة 63.
- يحدد المجلس توزيع المهام بين الرئيس ونواب الرئيس في نظامه الداخلي.
المادة 75: السكرتارية
- يكون للمجلس أمانة، والتي يجب أن يوفرها المشرف الأوروبي على حماية البيانات.
- تؤدي الأمانة مهامها حصرياً بتعليمات رئيس المجلس.
- يجب أن يخضع موظفو المشرف الأوروبي على حماية البيانات والمشاركين في تنفيذ المهام الممنوحة للمجلس بموجب هذا النظام لخطوط تقارير منفصلة من الموظفين المشاركين في تنفيذ المهام الموكلة إلى المشرف الأوروبي على حماية البيانات.
- عند الاقتضاء، يقوم مجلس الإدارة والمشرف الأوروبي على حماية البيانات بإنشاء ونشر مذكرة تفاهم لتنفيذ هذه المادة، وتحديد شروط تعاونهما، ويسريان على موظفي المشرف الأوروبي على حماية البيانات المشاركين في تنفيذ المهام الممنوحة لهم وعلى المجلس بموجب هذا النظام.
- تقدم الأمانة الدعم التحليلي والإداري واللوجستي إلى المجلس.
- تكون الأمانة مسؤولة بوجه خاص عن:
(أ) الأعمال اليومية للمجلس.
(ب) الاتصال بين أعضاء المجلس ورئيسه واللجنة؛
(ج) التواصل مع المؤسسات الأخرى والجمهور؛
(د) استخدام الوسائل الإلكترونية للاتصالات الداخلية والخارجية؛
(هـ) ترجمة المعلومات ذات الصلة؛
(و) إعداد ومتابعة اجتماعات المجلس؛
(ز) إعداد وصياغة ونشر الآراء والقرارات المتعلقة بتسوية النزاعات بين السلطات الإشرافية والنصوص الأخرى التي يعتمدها المجلس.
المادة 76: سرية
- تكون مناقشات المجلس سرية عندما يراها المجلس ضرورية، على النحو المنصوص عليه في نظامه الداخلي.
- يخضع الوصول إلى الوثائق المقدمة إلى أعضاء مجلس الإدارة والخبراء وممثلي الأطراف الثالثة بموجب اللائحة (21) (EC) رقم1049/2001 الصادرة عن البرلمان الأوروبي والمجلس.
الفصل الثامن: سبل الانتصاف والمسؤولية والغرامات
المادة 77: الحق في تقديم شكوى لدى سلطة إشرافية
- دون المساس بأي سبيل انتصاف إداري أو قضائي آخر، يحق لكل شخص صاحب البيانات تقديم شكوى إلى سلطة إشرافية، خاصة في الدولة العضو في محل إقامته المعتاد أو مكان عمله أو مكان الانتهاك المزعوم، إذا كان صاحب البيانات يعتبر أن معالجة البيانات الشخصية المتعلقة به أو بها تنتهك هذا النظام.
- تبلغ السلطة الإشرافية التي قدمت بها الشكوى إلى صاحب الشكوى بشأن التقدم المحرز ونتائج الشكوى، بما في ذلك إمكانية الانتصاف القضائي بموجب المادة 78.
المادة 78: الحق في الحصول على تعويض قضائي فعال ضد سلطة إشرافية
- دون المساس بأي سبيل انتصاف إداري أو غير قضائي، يكون لكل شخص طبيعي أو اعتباري الحق في الحصول على تعويض قضائي فعال ضد قرار ملزم من جانب سلطة إشرافية بشأنها.
- دون المساس بأي سبيل انتصاف إداري أو غير قضائي آخر، يكون لكل صاحب بيانات الحق في سبيل انتصاف قضائي فعال عندما لا تتولى السلطة الإشرافية المختصة بموجب المادتين 55 و56 شكوى أو لا تبلغ عن خضوع البيانات في غضون ثلاثة أشهر للتقدم أو ظهور نتيجة للشكوى المقدمة عملاً بالمادة 77.
- ترفع الدعاوى المرفوعة ضد سلطة إشرافية أمام محاكم الدولة العضو التي تنشأ فيها السلطة الإشرافية.
- عندما ترفع الدعوى ضد قرار صادر عن سلطة إشرافية سبقه رأي أو قرار من مجلس الإدارة في آلية الاتساق، تحيل السلطة الإشرافية هذا الرأي أو القرار إلى المحكمة.
المادة 79: الحق في الحصول على تعويض قضائي فعال ضد جهاز تحكم أو معالج
- دون المساس بأي سبيل انتصاف إداري أو غير قضائي، بما في ذلك الحق في تقديم شكوى لدى سلطة إشرافية عملاً بالمادة 77، يكون لكل صاحب بيانات الحق في سبيل انتصاف قضائي فعلي إذا اعتبر ذلك أو تم انتهاك حقوقه بموجب هذه اللائحة نتيجة لمعالجة بياناته الشخصية في حالة عدم امتثال لهذه اللائحة.
- ترفع المداولات ضد مراقب أو معالج أمام محاكم الدولة العضو التي يوجد بها جهاز تحكم أو معالج. وبدلاً من ذلك، يجوز عرض هذه الإجراءات على محاكم الدولة العضو التي يكون فيها الشخص المعني بالبيانات محل إقامته المعتاد، ما لم يكن المتحكم أو المعالج سلطة عامة لدولة عضو تعمل في ممارسة سلطاتها العامة.
المادة 80: تمثيل أصحاب البيانات
- يكون لصاحب البيانات الحق في تفويض هيئة أو منظمة أو جمعية غير ربحية، تم تشكيلها بالشكل المناسب وفقا لقانون دولة عضو، ولها أهداف قانونية تكون في المصلحة العامة، وتنشط في مجال حماية حقوق وحريات أصحاب البيانات فيما يتعلق بحماية بياناتهم الشخصية لتقديم الشكوى نيابة عنه، لممارسة الحقوق المشار إليها في المواد 77 و78 و79 نيابة عنه. وممارسة الحق في الحصول على التعويض المشار إليه في المادة 82 نيابة عنه / ها حيث ينص على ذلك قانون دولة عضو.
- يجوز للدول الأعضاء أن تنص على أن أي هيئة أو منظمة أو جمعية مشار إليها في الفقرة 1 من هذه المادة، بغض النظر عن ولاية صاحب البيانات، لها الحق في أن تقدم، في تلك الدولة العضو، شكوى إلى السلطة الإشرافية المختصة إلى المادة 77 وممارسة الحقوق المشار إليها في المادتين 78 و79 إذا رأت أن حقوق صاحب البيانات بموجب هذا النظام قد انتهكت نتيجة للتجهيز.
المادة 81: تعليق الإجراءات
- إذا كانت لدى محكمة مختصة تابعة لدولة عضو معلومات عن الإجراءات، تتعلق بنفس الموضوع فيما يتعلق بالتجهيز من قبل نفس المتحكم أو المعالج، وهي معلقة في محكمة في دولة عضو أخرى، فإنها تتصل بتلك المحكمة في الدولة العضو الأخرى لتأكيد وجود مثل هذه الإجراءات.
- إذا كانت الدعاوى المتعلقة بنفس الموضوع فيما يتعلق بتجهيز نفس المتحكم أو المعالج في انتظار المراجعة في محكمة في دولة عضو أخرى، يجوز لأي محكمة مختصة بخلاف المحكمة التي رفعت الدعوى لأول مرة أن توقف إجراءاتها.
- في الحالات التي تكون فيها هذه الدعاوى معلقة في المحكمة الابتدائية، يجوز لأي محكمة أخرى بخلاف المحكمة التي رفعت فيها الدعوى لأول مرة، أن ترفض، بناء على طلب أحد الطرفين، الولاية القضائية إذا كانت المحكمة التي قُبلت في الأصل ولها ولاية قضائية على الإجراءات المعنية ويسمح قانونها توحيد ذلك.
المادة 82: الحق في التعويض والمسؤولية
- يحق لأي شخص عانى من ضرر مادي أو غير مادي نتيجة لانتهاك هذه اللائحة الحصول على تعويض من المراقب أو المعالج عن الأضرار التي لحقت به.
- تتحمل أي وحدة تحكم تشارك في المعالجة المسؤولية عن الأضرار الناجمة عن المعالجة التي تنتهك هذه اللائحة. ويكون المعالج مسؤولاً عن الضرر الناجم عن المعالجة فقط في الحالات التي لا يمتثل فيها لالتزامات هذه اللائحة الموجهة تحديدًا إلى المعالجات أو حيث يكون قد تصرف خارج نطاق أو مخالفاً للتعليمات القانونية لجهاز التحكم.
- يُعفى المتحكم أو المعالج من المسؤولية بموجب الفقرة 2 إذا ثبت أنه ليس مسؤولاً بأي شكل من الأشكال عن الحدث الذي أدى إلى حدوث الضرر.
- في حالة وجود أكثر من وحدة تحكم أو معالج، أو كل من وحدة التحكم والمعالج، يشاركون في نفس المعالجة أينما كانوا، بموجب الفقرتين 2 و3، فإنها مسؤولة عن أي ضرر ناتج عن المعالجة، ويجب أن تكون كل وحدة تحكم أو معالج مسؤولة عن الضرر بأكمله من أجل ضمان تعويض فعال لصاحب البيانات.
- عندما يكون لدى وحدة التحكم أو المعالج، وفقا للفقرة 4، تعويض كامل عن الأضرار التي لحقت، يحق لوحدة التحكم أو المعالج المطالبة مرة أخرى من وحدات التحكم أو المعالجات الأخرى المشاركة في نفس المعالجة بذلك الجزء من التعويض المقابل للجزء الخاص بهم من المسؤولية عن الضرر، وفقا للشروط المنصوص عليها في الفقرة 2.
- ترفع دعاوى المحكمة لممارسة الحق في الحصول على تعويض أمام المحاكم المختصة بموجب قانون الدولة العضو المشار إليها في المادة 79 (2).
المادة 83: الشروط العامة لفرض الغرامات الإدارية
- تضمن كل سلطة إشرافية أن يكون فرض الغرامات الإدارية بموجب هذه المادة فيما يتعلق بانتهاك هذه اللائحة المشار إليها في الفقرات 4 و5 و6، في كل حالة على حدة، فعالاً ومتناسباً ورادعاً.
- تفرض الغرامات الإدارية، تبعاً لظروف كل حالة على حدة، بالإضافة إلى، أو بدلاً من، التدابير المشار إليها في النقاط (أ) إلى (ح) و(ي) من المادة 58 (2). وعند تقرير ما إذا كان سيتم فرض غرامة إدارية وتحديد مبلغ الغرامة الإدارية في كل حالة على حدة يجب مراعاة ما يلي:
(أ) طبيعة الانتهاك وخطورته ومدته مع الأخذ في الاعتبار نطاق أو غرض المعالجة المعنية وكذلك عدد الأشخاص المعنيين بالبيانات المتأثرة ومستوى الضرر الذي لحق بهم؛
(ب) الطابع المتعمد أو الإهمال للانتهاك؛
(ج) أي إجراء تتخذه وحدة التحكم أو المعالج للتخفيف من الأضرار التي يتعرض لها أفراد البيانات؛
(د) درجة مسؤولية وحدة التحكم أو المعالج مع مراعاة التدابير الفنية والتنظيمية التي تنفذها بموجب المادتين 25 و32؛
(هـ) أي انتهاكات سابقة ذات صلة من وحدة التحكم أو المعالج؛
(و) درجة التعاون مع السلطة الإشرافية، من أجل معالجة الانتهاك والتخفيف من الآثار الضارة المحتملة للانتهاك؛
(ز) فئات البيانات الشخصية المتأثرة بالانتهاك؛
(ح) الطريقة التي أصبح بها الانتهاك معروفاً للسلطة الإشرافية، وبخاصة ما إذا كان المراقب أو المعالج قد قاما بإخطار الانتهاك، وإذا كان الأمر كذلك؛
(ل) عندما تكون التدابير المشار إليها في المادة 58 (2) قد أُمرت سابقاً ضد المراقب أو المعالج المعني فيما يتعلق بالموضوع نفسه، والامتثال لتلك التدابير؛
(ي) الالتزام بمدونة السلوك المعتمدة طبقاً للمادة 40 أو آليات التصديق المعتمدة وفقاً للمادة 42؛ و:
(ك) أي عامل مشدد أو مخفف آخر ينطبق على ظروف الحالة، مثل المنافع المالية المكتسبة أو الخسائر التي يتم تجنبها، بشكل مباشر أو غير مباشر، من الانتهاك.
- إذا كان المتحكم أو المعالج عن قصد أو إهمال، لنفس العمليات أو عمليات المعالجة المرتبطة بها، ينتهك عدة أحكام من هذا النظام، فإن المبلغ الإجمالي للغرامة الإدارية يجب ألا يتجاوز المبلغ المحدد للانتهاك الأكبر.
- تخضع مخالفات الأحكام التالية، وفقا للفقرة 2، لغرامات إدارية تصل إلى 000 000 10 يورو، أو في حالة التعهد، بما يصل إلى 2 في المائة من إجمالي قيمة التداول السنوية في السنة المالية السابقة، أيهما أعلى:
(أ) التزامات وحدة التحكم والمعالج بموجب المواد 8 و11 و25 إلى 39 و42 و43؛
(ب) التزامات هيئة إصدار الشهادات عملاً بالمادتين 42 و43؛
(ج) التزامات هيئة المتابعة بموجب المادة 41 (4).
- تخضع خرق الأحكام التالية، وفقا للفقرة 2، لغرامات إدارية تصل إلى 000 000 20 يورو، أو في حالة التعهد، بما يصل إلى 4 في المائة من إجمالي قيمة التداول السنوية في السنة المالية السابقة، أيهما أعلى:
(أ) المبادئ الأساسية للمعالجة، بما في ذلك شروط الموافقة، عملاً بالمواد 5 و6 و7 و9؛
(ب) حقوق أصحاب البيانات عملاً بالمواد 12 إلى 22؛
(ج) نقل البيانات الشخصية إلى مستلم في بلد ثالث أو منظمة دولية بموجب المواد من 44 إلى 49؛
(د) أي التزامات بمقتضى قانون الدول الأعضاء يتم اعتمادها بموجب الفصل التاسع؛
(هـ) عدم الامتثال لأمر أو قيد مؤقت أو نهائي على معالجة أو تعليق تدفقات البيانات من جانب السلطة الإشرافية عملاً بالمادة 58 (2) أو الإخفاق في توفير الوصول بما يخالف المادة 58 (1).
- يخضع عدم الامتثال لأمر صادر من السلطة الإشرافية على النحو المشار إليه في المادة 58 (2)، وفقا للفقرة 2 من هذه المادة، لغرامات إدارية تصل إلى 000 000 20 يورو، أو في حالة التعهد، ما يصل إلى 4 ٪ من إجمالي قيمة التداول السنوية في جميع أنحاء العالم للسنة المالية السابقة، أيهما أعلى.
- دون الإخلال بالسلطات التصحيحية للسلطات الإشرافية عملاً بالمادة 58 (2)، يجوز لكل دولة عضو أن تضع القواعد بشأن ما إذا كان يجوز فرض غرامات إدارية على السلطات العامة والهيئات المنشأة في تلك الدولة وإلى أي مدى.
- تخضع ممارسة السلطة الإشرافية لسلطاتها بموجب هذه المادة لضمانات إجرائية مناسبة وفقاً لقانون الاتحاد وقانون الدول الأعضاء، بما في ذلك سبل الانتصاف القضائية الفعالة ومراعاة الأصول القانونية.
- في الحالات التي لا ينص فيها النظام القانوني للدولة العضو على الغرامات الإدارية، يجوز تطبيق هذه المادة على نحو يبدأ فيه الغرامة من قبل السلطة الإشرافية المختصة وتفرضها المحاكم الوطنية المختصة، مع ضمان أن تكون تلك السبل القانونية فعالة ولها تأثير معادل للغرامات الإدارية التي تفرضها السلطات الإشرافية. وفي جميع الأحوال، تكون الغرامات المفروضة فعالة ومتناسبة ورادعة. وتخطر تلك الدول الأعضاء اللجنة بأحكام قوانينها التي تعتمدها عملا بهذه الفقرة في 25 أيار / مايو 2018، ودون تأخير، أي قانون تعديل لاحق أو تعديل يمسها.
المادة 84: الجزاءات
- تضع الدول الأعضاء القواعد المتعلقة بالعقوبات الأخرى السارية على مخالفات هذه اللائحة، لا سيما فيما يتعلق بالانتهاكات التي لا تخضع للغرامات الإدارية بموجب المادة 83، وتتخذ جميع التدابير اللازمة لضمان تنفيذها. وتكون هذه العقوبات فعالة ومتناسبة ورادعة.
- على كل دولة عضو إخطار اللجنة بأحكام قانونها التي تعتمدها وفقاً للفقرة 1 بحلول 25 مايو 2018، وبدون تأخير أي تعديل لاحق يؤثر عليها.
الفصل التاسع: أحكام تتعلق بحالات معالجة محددة
المادة 85: المعالجة وحرية التعبير والمعلومات
- تسهر الدول الأعضاء، بموجب القانون، على الحق في حماية البيانات الشخصية بموجب هذه اللائحة مع الحق في حرية التعبير والمعلومات، بما في ذلك التجهيز للأغراض الصحفية وأغراض التعبير الأكاديمي والفني أو الأدبي.
- بالنسبة للتجهيز المنفذ لأغراض صحفية أو لغرض التعبير الفني أو الأدبي، يجب على الدول الأعضاء أن تنص على إعفاءات أو استثناءات من الفصل الثاني (المبادئ)، الفصل الثالث (حقوق صاحب البيانات)، الفصل الرابع (المتحكم والمعالج)، الفصل الخامس (نقل البيانات الشخصية إلى بلدان ثالثة أو منظمات دولية)، الفصل السادس (سلطات إشرافية مستقلة)، الفصل السابع (التعاون والاتساق) والفصل التاسع (حالات معالجة بيانات محددة) إذا كانت ضرورية للتوفيق بين الحق في حماية البيانات الشخصية مع حرية التعبير والمعلومات.
- تخطر كل دولة عضو اللجنة بأحكام قانونها الذي اعتمدته عملاً بالفقرة 2، ودون إبطاء، أي قانون تعديل لاحق أو تعديل يمسها.
المادة 86: المعالجة والوصول العام إلى الوثائق الرسمية
يجوز للسلطة أو الهيئة الإفصاح عن البيانات الشخصية في الوثائق الرسمية التي تحتفظ بها سلطة عامة أو هيئة عامة أو هيئة خاصة لأداء مهمة تتم في إطار الصالح العام وفقا لقانون الاتحاد أو الدول الأعضاء تخضع السلطة أو الهيئة للتوفيق بين وصول الجمهور إلى الوثائق الرسمية مع الحق في حماية البيانات الشخصية بموجب هذه اللائحة.
المادة 87: تجهيز رقم التعريف الوطني
يجوز للدول الأعضاء تحديد الشروط المحددة لمعالجة رقم التعريف الوطني أو أي معرّف آخر للتطبيق العام. وفي هذه الحالة، لا يجوز استخدام رقم التعريف الوطني أو أي معرف آخر للتطبيق العام إلا بموجب ضمانات مناسبة لحقوق وحريات البيانات الخاضعة لهذه اللائحة.
المادة 88: المعالجة في سياق التوظيف
- يجوز للدول الأعضاء، بموجب القانون أو الاتفاقات الجماعية، أن تنص على قواعد أكثر تحديداً لضمان حماية الحقوق والحريات فيما يتعلق بمعالجة البيانات الشخصية للموظفين في سياق العمل، لا سيما لأغراض التوظيف، وأداء عقد العمل، بما في ذلك الوفاء بالالتزامات المنصوص عليها بموجب القانون أو عن طريق الاتفاقات الجماعية والإدارة والتخطيط وتنظيم العمل والمساواة والتنوع في مكان العمل والصحة والسلامة في العمل، وحماية صاحب العمل أو ممتلكات العميل ولأغراض ممارسة والتمتع، على أساس فردي أو جماعي، بالحقوق والمنافع المتعلقة بالتوظيف، ولغرض إنهاء علاقة العمل.
- يجب أن تتضمن هذه القواعد تدابير مناسبة ومحددة لحماية البيانات التي تخضع لها الكرامة الإنسانية والمصالح المشروعة والحقوق الأساسية، ولا سيما فيما يتعلق بشفافية المعالجة، أو نقل البيانات الشخصية في إطار مجموعة من المشاريع، أو مجموعة من الشركات المتعاونة، وفي النشاط الاقتصادي المشترك وأنظمة المراقبة في مكان العمل.
- تقوم كل دولة عضو بإخطار اللجنة بأحكام قانونها التي تعتمدها عملاً بالفقرة 1 بحلول 25 أيار / مايو 2018، ودون تأخير، أي تعديل لاحق يمسها.
المادة 89: الضمانات والاستثناءات المتعلقة بالتجهيز لأغراض الأرشفة للمصلحة العامة أو لأغراض البحث العلمي أو التاريخي أو للأغراض الإحصائية
- تخضع عملية أغراض الأرشفة للمصلحة العامة، أو لأغراض البحث العلمي أو التاريخي أو الأغراض الإحصائية، للضمانات المناسبة، وفقا لهذه اللائحة، لحقوق وحريات صاحب البيانات. وتضمن هذه الضمانات وجود تدابير تقنية وتنظيمية على وجه الخصوص لضمان احترام مبدأ تقليل البيانات إلى الحد الأدنى. وقد تشمل تلك التدابير انتقاء أسماء شريطة أن تتحقق تلك الأغراض بهذه الطريقة. وحيثما يمكن تحقيق هذه الأهداف بمزيد من المعالجة التي لا تسمح أو لم تعد تسمح بتحديد أصحاب البيانات، يجب أن تتحقق تلك الأغراض على هذا النحو.
- في حالة معالجة البيانات الشخصية لأغراض بحثية علمية أو تاريخية أو لأغراض إحصائية، يجوز أن ينص قانون الاتحاد أو الدول الأعضاء على استثناءات من الحقوق المشار إليها في المواد 15 و16 و18 و21، رهناً بالشروط والضمانات المشار إليها في الفقرة 1 من هذه المادة بقدر ما من المحتمل أن تجعل هذه الحقوق مستحيلة أو تعوق بشكل خطير تحقيق أغراض محددة، وهذه الاستثناءات ضرورية لتحقيق تلك الأغراض.
- في حالة معالجة البيانات الشخصية لأغراض الأرشفة في سبيل المصلحة العامة، يجوز أن ينص قانون الاتحاد أو الدول الأعضاء على حالات عدم التقيد بالحقوق المشار إليها في المواد 15 و16 و18 و19 و20 و21، رهناً بالشروط والضمانات المشار إليها في الفقرة 1 من هذه المادة بقدر ما يحتمل أن تجعل هذه الحقوق مستحيلة أو تعوق بشكل خطير تحقيق أغراض محددة، وهذه الاستثناءات ضرورية لتحقيق تلك الأغراض.
- عندما تخدم المعالجة المشار إليها في الفقرتين 2 و3 في نفس الوقت غرضاً آخر، لا ينطبق الاستثناء إلا على المعالجة للأغراض المشار إليها في تلك الفقرات.
المادة 90: التزامات السرية
- يجوز للدول الأعضاء أن تعتمد قواعد محددة تحدد سلطات السلطات الإشرافية المنصوص عليها في النقطتين (هـ) و(و) من المادة 58 (1) فيما يتعلق بالمراقبين أو المعالجات الخاضعة، بموجب قانون الاتحاد أو الدول الأعضاء، أو القواعد التي تضعها الهيئات الوطنية المختصة، إلى الالتزام بالسرية المهنية أو الالتزامات المكافئة الأخرى للسرية عندما يكون ذلك ضروريًا ومتناسبًا للتوفيق بين حق حماية البيانات الشخصية وبين الالتزام بالسرية. وتنطبق هذه القواعد فقط فيما يتعلق بالبيانات الشخصية التي يتلقاها المتحكم أو المعالج نتيجة لنشاط مشمول بالتزام السرية أو حصل عليه.
- تخطر كل دولة عضو اللجنة بالقواعد المعتمدة عملا بالفقرة 1 بحلول 25 أيار / مايو 2018، ودون تأخير، أي تعديل لاحق يمسها.
المادة 91: قواعد حماية البيانات الحالية للكنائس والجمعيات الدينية
- في الأماكن التي تطبق فيها الكنائس والجمعيات الدينية أو المجتمعات المحلية في دولة عضو، وقت سريان هذه اللائحة، القواعد الشاملة المتعلقة بحماية الأشخاص الطبيعيين فيما يتعلق بالتجهيز، قد يستمر تطبيق هذه القواعد، شريطة أن يتم دمجها مع هذا النظام.
- تخضع الكنائس والجمعيات الدينية التي تطبق قواعد شاملة وفقاً للفقرة 1 من هذه المادة لإشراف سلطة إشرافية مستقلة، قد تكون محددة، شريطة استيفاء الشروط المنصوص عليها في الفصل السادس من هذه اللائحة.
الفصل العاشر: الأفعال المفوضة وتنفيذ الأفعال
المادة 92: ممارسة الوفد
- تمنح سلطة اعتماد الأفعال المفوضة إلى اللجنة وفقاً للشروط المنصوص عليها في هذه المادة.
- يمنح تفويض السلطة المشار إليه في المادة 12 (8) والمادة 43 (8) إلى اللجنة لفترة غير محددة من الوقت من 24 مايو 2016.
- يجوز في أي وقت إلغاء تفويض السلطة المشار إليها في المادة 12 (8) والمادة 43 (8) من قبل البرلمان الأوروبي أو المجلس. يضع قرار الإلغاء نهاية لتفويض السلطة المحدد في ذلك القرار، ويبدأ سريانه في اليوم التالي لنشره في الجريدة الرسمية للاتحاد الأوروبي أو في تاريخ لاحق محدد فيه. ولا يؤثر على صلاحية أي من الأفعال المفوضة بالفعل.
- بمجرد اعتمادها لتفويض العمل، يجب على اللجنة إخطارها في الوقت نفسه إلى البرلمان الأوروبي والمجلس.
- لا يدخل القانون المفوض المعتمد عملاً بالمادة 12 (8) والمادة 43 (8) حيز التنفيذ إلا في حالة عدم إبداء أي اعتراض من قبل البرلمان الأوروبي أو المجلس خلال فترة ثلاثة أشهر من الإخطار بهذا الإجراء إلى البرلمان الأوروبي والمجلس الأوروبي، أو إذا كان البرلمان الأوروبي والمجلس قد أبلغا اللجنة أنهما لن يعترضا قبل انتهاء تلك الفترة. وتمدد تلك الفترة بثلاثة أشهر بمبادرة من البرلمان الأوروبي أو المجلس.
المادة 93: إجراء اللجنة
- تساعد اللجنة المفوضية الأوروبية، وتكون هذه اللجنة لجنة بالمعنى المقصود في لائحة الاتحاد الأوروبي رقم 182/2011.
- حيثما تمت الإشارة إلى هذه الفقرة، تطبق المادة 5 من اللائحة (الاتحاد الأوروبي) رقم 182/2011.
- في حالة الإشارة إلى هذه الفقرة، تطبق المادة 8 من اللائحة (الاتحاد الأوروبي) رقم 182/2011، بالاقتران مع المادة 5 منها.
الفصل الحادي عشر: حكم نهائي
المادة 94: إلغاء التوجيه 95/46/EC
- يلغى التوجيه 95/46/EC اعتبارًا من 25 مايو 2018.
- تفسر الإشارات إلى التوجيه الملغي كإشارات إلى هذه اللائحة. وتفسر الإشارات إلى الفرقة العاملة المعنية بحماية الأفراد فيما يتعلق بمعالجة البيانات الشخصية المنشأة بموجب المادة 29 من التوجيه 95/46/EC على أنها إشارة إلى مجلس حماية البيانات الأوروبي المنشأ بموجب هذه اللائحة.
المادة 95: العلاقة مع التوجيه 2002/58/EC
لا تفرض هذه اللائحة التزامات إضافية على الأشخاص الطبيعيين أو الاعتباريين فيما يتعلق بالتجهيز، وفيما يتعلق بتوفير خدمات الاتصالات الإلكترونية المتاحة للجمهور في شبكات الاتصالات العامة في الاتحاد، وفيما يتعلق بالمسائل التي تخضع فيها لالتزامات محددة بنفس الهدف المنصوص عليها في التوجيه 2002/58/EC.
المادة 96: العلاقة مع الاتفاقات المبرمة سابقا
تظل الاتفاقيات الدولية المتعلقة بنقل البيانات الشخصية إلى دول ثالثة أو منظمات دولية التي أبرمتها الدول الأعضاء قبل 24 مايو 2016، والتي تتوافق مع قانون الاتحاد الساري قبل ذلك التاريخ، سارية المفعول حتى يتم تعديلها أو استبدالها أو إلغائها.
المادة 97: تقارير اللجنة
- بحلول 25 أيار / مايو 2020 وكل أربع سنوات بعد ذلك، تقدم اللجنة تقريرا عن تقييم واستعراض هذه اللائحة إلى البرلمان الأوروبي والمجلس. ويجب أن تكون التقارير علنية.
- في سياق التقييمات والاستعراضات المشار إليها في الفقرة 1، تدرس اللجنة على وجه الخصوص تطبيق وأداء:
(أ) الفصل الخامس بشأن نقل البيانات الشخصية إلى بلدان ثالثة أو منظمات دولية مع اعتبار خاص للمقررات المعتمدة عملاً بالمادة 45 (3) من هذه اللائحة والمقررات المعتمدة على أساس المادة 25 (6) من التوجيه 95/46/EC.
(ب) الفصل السابع بشأن التعاون والاتساق.
- لأغراض الفقرة 1، يجوز للجنة طلب معلومات من الدول الأعضاء والسلطات الرقابية.
- عند إجراء التقييمات والاستعراضات المشار إليها في الفقرتين 1 و2، تراعي اللجنة مواقف ونتائج البرلمان الأوروبي والمجلس والهيئات أو المصادر الأخرى ذات الصلة.
- تقدم اللجنة، عند الاقتضاء، مقترحات مناسبة لتعديل هذه اللائحة، مع الأخذ في الاعتبار على وجه الخصوص التطورات في تكنولوجيا المعلومات وفي ضوء حالة التقدم في مجتمع المعلومات.
المادة 98: مراجعة القواعد واللوائح القانونية للاتحاد الأخرى المتعلقة بحماية البيانات
تقدم المفوضية، عند الاقتضاء، مقترحات تشريعية بهدف تعديل القوانين القانونية للاتحاد الأخرى المتعلقة بحماية البيانات الشخصية، من أجل ضمان حماية موحدة ومتسقة للأشخاص الطبيعيين فيما يتعلق بالتجهيز. ويتعلق ذلك على وجه الخصوص بالقواعد المتعلقة بحماية الأشخاص الطبيعيين فيما يتعلق بالتجهيز من جانب مؤسسات الاتحاد وهيئاته ومكاتبه ووكالاته وعن حرية انتقال هذه البيانات.
المادة 99: الدخول حيز التنفيذ والتطبيق
- يبدأ نفاذ هذا النظام في اليوم العشرين الذي يلي نشره في الجريدة الرسمية للاتحاد الأوروبي.
- يُطبق هذا النظام اعتباراً من 25 مايو 2018.
تكون هذه اللائحة ملزمة في مجموعها وقابلة للتطبيق مباشرة في جميع الدول الأعضاء.
حُرر في بروكسل، في 27 نيسان / إبريل 2016
للبرلمان الأوروبي والمفوضية الأوروبية
اللائحة العامة لحماية البيانات
- ترجمة وإعداد: د.م. حقوقي/ مصطفى عبيد، موسوعة العلوم القانونية، مركز البحوث والدراسات متعدد التخصصات. جميع الحقوق محفوظة.