في المغرب، تخضع معالجة المعطيات ذات الطابع الشخصي للقانون رقم 09-08 المتعلق بحماية الأشخاص الذاتيين تجاه معالجة المعطيات الشخصية، وتحت مراقبة اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي (CNDP).

أولاً: التزامات الشركة الرقمية عند جمع بيانات الزبناء

1. التصريح أو طلب الترخيص لدى CNDP

• يجب القيام بتصريح مسبق بالمعالجة لدى CNDP.
• بعض المعالجات تتطلب ترخيصاً مسبقاً (خاصة المعطيات الحساسة أو نقل المعطيات إلى الخارج).

2. تحديد الغرض المشروع

• يجب أن تكون المعالجة لأغراض محددة، مشروعة، ومعلنة للزبون.
• يمنع استعمال البيانات لأغراض أخرى غير مصرح بها.

3. الحصول على موافقة صريحة

• يجب إخبار الزبون بهوية المسؤول عن المعالجة، الغرض منها، الجهات المتلقية للبيانات، وحقوقه القانونية.
• في بعض الحالات، يشترط الحصول على موافقة صريحة (خاصة في التسويق الإلكتروني).

4. احترام مبدأ التناسب

• جمع فقط المعطيات الضرورية لتحقيق الغرض المعلن.

5. ضمان أمن وسرية المعطيات

• اتخاذ تدابير تقنية وتنظيمية لحماية البيانات من الولوج غير المشروع أو الضياع أو الإتلاف.

6. تمكين الزبناء من ممارسة حقوقهم

• الحق في الولوج إلى بياناتهم.
• الحق في التصحيح أو التحيين.
• الحق في التعرض على المعالجة لأسباب مشروعة.

7. نقل المعطيات إلى الخارج

• يمنع نقل البيانات إلى دولة أجنبية إلا إذا كانت توفر مستوى حماية كافٍ أو بعد الحصول على ترخيص من CNDP.

ثانياً: العقوبات في حالة المعالجة غير المشروعة

وفق المواد 54 إلى 61 من القانون 09-08، يمكن أن تتعرض الشركة أو مسؤولوها لـ:

1. عقوبات مالية

• غرامات تتراوح غالباً بين 20.000 و300.000 درهم، حسب نوع المخالفة.

2. عقوبات حبسية

• قد تصل إلى 3 أشهر إلى سنة حبسا، خاصة في حالات:
  • المعالجة دون تصريح أو ترخيص.
  • جمع البيانات بطرق احتيالية أو غير مشروعة.
  • نقل المعطيات إلى الخارج دون إذن.
  • عرقلة ممارسة الأفراد لحقوقهم.

3. تدابير إدارية

• يمكن لـ CNDP إصدار إنذار، أو أمر بوقف المعالجة، أو سحب الترخيص.

نصيحة عملية
يوصى لأي شركة رقمية بـ:

• إجراء تدقيق قانوني لحماية المعطيات (Data Protection Audit).
• إعداد سياسة خصوصية واضحة ومطابقة للقانون 09-08.
• تعيين مسؤول داخلي عن حماية المعطيات لتتبع الامتثال.

إذا رغبت، يمكنني تزويدك بلائحة تحقق (Checklist) عملية للامتثال القانوني.