باختصار: يخضع نقل البيانات الشخصية خارج المغرب لتنظيم صارم بموجب المادتين 43 و44 من القانون 09-08. يتعين على كل شركة ترغب في نقل بيانات إلى بلد لا يوفر مستوى حماية كافٍ الحصول على ترخيص مسبق من اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي (CNDP). يُعرّض عدم الامتثال لعقوبات جنائية تصل إلى سنة حبسًا وغرامة 200,000 درهم.
يرافق الخبراء المحاسبون في Upsilon Consulting الشركات الدولية والفروع التابعة لمجموعات أجنبية في تحقيق الامتثال لعمليات نقل البيانات العابرة للحدود.
لماذا يُعدّ النقل الدولي للبيانات قضية محورية؟
مع عولمة التبادلات الاقتصادية، تنقل الشركات المغربية وفروع المجموعات الدولية بيانات شخصية عبر الحدود يوميًا: رواتب مركزية، أنظمة CRM مشتركة، استضافة سحابية في الخارج، التعاقد من الباطن لخدمات تكنولوجيا المعلومات. تخضع تدفقات البيانات هذه لإطار قانوني صارم في المغرب.
يُخصص القانون 09-08 المتعلق بحماية الأشخاص الذاتيين تجاه معالجة المعطيات ذات الطابع الشخصي مادتيه 43 و44 للنقل الدولي للبيانات. والهدف هو ضمان تمتع البيانات الشخصية للمقيمين في المغرب بمستوى حماية مكافئ، بغض النظر عن بلد الوجهة.
المبدأ: الحظر ما لم توجد حماية كافية
تُرسي المادة 43 من القانون 09-08 مبدأً واضحًا: لا يجوز نقل البيانات ذات الطابع الشخصي إلى دولة أجنبية إلا إذا كانت تلك الدولة تضمن مستوى حماية كافٍ للحياة الخاصة والحريات والحقوق الأساسية للأشخاص فيما يخص معالجة تلك البيانات.
تُقيّم اللجنة الوطنية (CNDP) مدى كفاية مستوى الحماية مع مراعاة:
- طبيعة البيانات المنقولة
- الغرض من المعالجة المزمعة
- مدة المعالجة
- بلد الوجهة النهائية
- القواعد القانونية والأمنية السارية في البلد المستقبل
- القواعد المهنية وتدابير الأمان المطبقة
تنشر اللجنة الوطنية وتُحدّث قائمة الدول التي توفر مستوى حماية كافٍ. تُعتبر دول الاتحاد الأوروبي عمومًا ذات مستوى كافٍ، بالنظر إلى وجود النظام الأوروبي العام لحماية البيانات (RGPD).
الاستثناءات: متى يُسمح بالنقل دون حماية كافية
تنص المادة 44 على استثناءات تسمح بالنقل حتى إلى بلد لا يوفر مستوى حماية كافٍ، في الحالات التالية:
- موافقة الشخص المعني صراحةً على النقل المقترح
- ضرورة النقل لتنفيذ عقد بين الشخص المعني والمسؤول عن المعالجة
- ضرورة النقل لحماية المصلحة العامة
- ضرورة النقل لإثبات حق أمام القضاء أو ممارسته أو الدفاع عنه
- ضرورة النقل لحماية حياة الشخص المعني
- إجراء النقل انطلاقًا من سجل عمومي
خارج هذه الاستثناءات، يجب على المسؤول عن المعالجة الحصول على ترخيص مسبق من اللجنة الوطنية.
إجراءات الترخيص لدى اللجنة الوطنية
للحصول على ترخيص اللجنة الوطنية لنقل دولي، يجب على الشركة:
1. تقديم طلب ترخيص
يجب توجيه الطلب إلى اللجنة الوطنية متضمنًا:
- التعريف الكامل بالمسؤول عن المعالجة في المغرب
- التعريف بمتلقي البيانات في البلد الأجنبي
- طبيعة البيانات المنقولة
- الغرض من النقل
- بلد الوجهة
- تدابير الأمان المُتخذة
2. تقديم ضمانات كافية
يجب على المسؤول عن المعالجة إثبات وجود ضمانات كافية لحماية البيانات. يمكن أن تتخذ هذه الضمانات عدة أشكال:
- البنود التعاقدية النموذجية (CCT): عقود موحدة بين مُصدّر البيانات ومستوردها، تفرض التزامات بالحماية. نشرت اللجنة الوطنية نماذج بنود مستوحاة من المعايير الدولية.
- القواعد المؤسسية الملزمة (BCR — Binding Corporate Rules): سياسات داخلية تعتمدها مجموعة متعددة الجنسيات لتنظيم عمليات النقل داخل المجموعة. يجب أن توافق عليها اللجنة الوطنية.
- مدونات السلوك القطاعية: تعتمدها الجمعيات المهنية وتصادق عليها اللجنة الوطنية.
3. انتظار قرار اللجنة الوطنية
تتوفر اللجنة الوطنية على أجل لدراسة الطلب. في حالة عدم الرد ضمن الأجل القانوني، يُعتبر الصمت رفضًا. لذلك من الضروري إعداد ملف كامل واستباق الآجال.
الآثار العملية على الشركات
فروع المجموعات الدولية
تتأثر بشكل خاص الفروع المغربية لمجموعات أجنبية. نقل بيانات الموارد البشرية إلى الشركة الأم (الرواتب، التقييمات، الملفات التأديبية)، ومشاركة قواعد بيانات العملاء مع كيانات أخرى في المجموعة، أو استخدام أنظمة ERP مركزية — كلها تشكل عمليات نقل خاضعة للترخيص.
التوصية: وضع قواعد مؤسسية ملزمة (BCR) تغطي جميع التدفقات داخل المجموعة والمصادقة عليها لدى اللجنة الوطنية.
الخدمات السحابية (AWS، Azure، Google Cloud)
يُشكل استخدام خدمات سحابية تقع خوادمها في الخارج نقلًا دوليًا للبيانات بموجب القانون 09-08. حتى لو تم التعاقد مع مزود الخدمة السحابية عبر كيان محلي، فإن البيانات تنتقل فعليًا خارج الأراضي المغربية.
التوصية: إعطاء الأولوية لمناطق مراكز البيانات التي توفر مستوى حماية كافٍ، وإدراج بنود تعاقدية نموذجية في العقود مع مزود الخدمة السحابية، والتصريح بالنقل لدى اللجنة الوطنية.
التعاقد من الباطن في الخارج (outsourcing)
غالبًا ما تنطوي إسناد الخدمات (المحاسبة، مراكز الاتصال، التطوير المعلوماتي) إلى مقدمي خدمات أجانب على نقل بيانات شخصية. يظل المسؤول عن المعالجة في المغرب مسؤولًا بالكامل عن حماية البيانات المُسندة إلى المتعاقد من الباطن.
التوصية: إدراج بنود حماية البيانات في كل عقد تعاقد من الباطن دولي والتحقق من تدابير أمان مقدم الخدمة.
العقوبات في حالة النقل غير المشروع
تنص المادتان 60 و61 من القانون 09-08 على عقوبات صارمة في حالة النقل الدولي غير المرخص:
| المخالفة | العقوبة الجنائية | الغرامة |
|---|---|---|
| نقل إلى بلد دون حماية كافية بدون ترخيص | 3 أشهر إلى سنة حبسًا | 20,000 إلى 200,000 درهم |
| عرقلة مراقبة اللجنة الوطنية | 3 أشهر إلى 6 أشهر حبسًا | 10,000 إلى 50,000 درهم |
تُطبق هذه العقوبات على المسؤول عن المعالجة، أي مدير الشركة أو الشخص المعنوي ذاته. في حالة العود، يمكن مضاعفة العقوبات.
كيف يرافقكم Upsilon Consulting
يساعدكم الخبراء المحاسبون والمستشارون القانونيون في Upsilon Consulting في:
- تدقيق تدفقات بياناتكم العابرة للحدود لتحديد عمليات النقل الخاضعة للترخيص
- صياغة بنود تعاقدية نموذجية مُكيّفة مع علاقاتكم التجارية
- إعداد وإيداع ملف الترخيص لدى اللجنة الوطنية
- وضع قواعد مؤسسية ملزمة (BCR) للمجموعات متعددة الجنسيات
- تكوين فرقكم على الممارسات الجيدة لنقل البيانات
اقرأ أيضًا
