GDPR режим; заборона; AT
Право у всіх його формах
==> Закон від 6 січня 1978 року
У своїй початковій редакції Закон про захист даних передбачав різні попередні формальності залежно від якості контролера даних.
- Принцип
- Автоматизована обробка персональних даних, що здійснюється від імені держави, державних установ, місцевих органів влади та юридичних осіб, що регулюються приватним правом, що керують державною службою, вважалася небезпечною і вимагала, як така, висновок CNIL, потім регуляторної акт уповноваження.
- Ця думка була визнана сприятливою через два місяці, її можна поновлювати один раз.
- Якби воно було несприятливим, це могло бути скасовано лише указом, прийнятим за згодою Державної ради, або, у випадку місцевих органів влади, рішенням нарадчого органу, затвердженим указом, прийнятим за згодою Ради Держава (стаття 15)
- Автоматизована обробка персональних даних, що здійснюється від імені держави, державних установ, місцевих органів влади та юридичних осіб, що регулюються приватним правом, що керують державною службою, вважалася небезпечною і вимагала, як така, висновок CNIL, потім регуляторної акт уповноваження.
- Виняток
- Обробка інших юридичних осіб (зокрема цивільних чи комерційних компаній та асоціацій) підпорядковувалась простому режиму декларування, пов’язаному із зобов’язанням, що обробка відповідає вимогам законодавства.
==> Закон від 6 серпня 2004 року
Транспонуючи Європейську директиву від 24 жовтня 1995 р. Про захист фізичних осіб при обробці персональних даних та про вільне переміщення таких даних, закон від 6 серпня 2004 р. Поклав край різниці на основі органічного критерію ( державний сектор/приватний сектор) для визначення формальностей, які слід виконати до здійснення лікування.
Відтепер закон встановлює розрізнення, базуючись на суттєвому критерії, між даними, передбачаючи, що формальності можуть бути полегшені для "найпоширеніших категорій обробки державного або приватного характеру, які явно не передбачають порушення конфіденційності та свобод ".
Таким чином, враховується ризик, який представляє обробка стосовно прав людей.
Хоча обробка нечутливих даних підпадає під режим декларування, обробка конфіденційних даних підлягає режиму авторизації.
==> Закон від 20 червня 2018 року
Транспонуючи Загальний регламент про захист даних (RGPD), закон від 20 червня 2018 року спрощує, усуваючи їх більшу частину часу, попередні формальності, накладені законом 1978 року, незалежно від того, чи відповідають вони за зобов'язаннями чи дозволами.
Ці формальності замінюються обов’язком контролера провести аналіз впливу заздалегідь у випадку високого ризику для прав і свобод відповідної особи та, за необхідності, проконсультуватися з CNIL.
Однак, як це дозволено регламентом, закон зберігає попередні формальності щодо певного лікування.
Для найбільш конфіденційних даних їх обробка суто і просто заборонена Законом про захист даних.
У балансі три типи правових режимів застосовуються до обробки персональних даних:
- Режим відповідальності
- Режим дозволу
- Режим заборони
Що стосується останнього режиму, дві категорії персональних даних, в принципі, не можуть бути оброблені:
- Конфіденційні дані
- Дані про порушення
I) Конфіденційні дані
Конфіденційні дані, у значенні Закону про захист даних, бувають двох типів:
- По-перше, це дані, які розкривають передбачуване расове чи етнічне походження, політичні думки, релігійні чи філософські переконання або членство в профспілці фізичної особи
- З іншого боку, це генетичні дані, біометричні дані з метою однозначної ідентифікації фізичної особи, дані про стан здоров’я чи дані щодо статевого життя чи сексуальної орієнтації фізичної особи.
Для цих так званих конфіденційних даних принципом, викладеним у статті 8 Закону про захист даних, є заборона обробки. Обгрунтування цієї заборони викладено в статті 51 GDPR.
Згідно з цим викладом, зазначено, що персональні дані, які за своєю природою є особливо чутливими з точки зору основних прав і свобод, заслуговують на особливий захист, оскільки контекст, в якому вони обробляються, може спричинити ризики. свободи та права.
Принцип заборони обробки конфіденційних даних має кілька винятків:
II) Дані про порушення
==> GDPR
Стаття 10 GDPR передбачає, що обробка персональних даних, що стосуються кримінальних засуджень та пов'язаних з ними злочинів або заходів безпеки, може здійснюватися лише під контролем державних органів, або якщо обробка дозволена законодавством Союзу або законодавством Держава-член, яка надає відповідні гарантії прав і свобод зацікавлених осіб.
Будь-який повний реєстр судимостей за злочини може вестись лише під контролем державних органів.
==> Закон про захист даних
З точки зору розділ 9 Закону про захист даних обробка персональних даних, що стосуються кримінальних засуджень, правопорушень або пов’язаних із ними заходів безпеки, може здійснюватися лише:
Закон N ° 2018-493 від 20 червня 2018 року стосовно захисту персональних даних, що передаються розділ 10 GDPR, була піддана цензурі Конституційною радою у своєму рішенні n ° 2018-765 DC від 12 червня 2018 року, у своєму стаття 9, ал. 1.
Нагадуючи, що стаття 10 РГПД не дозволяє обробку персональних даних у кримінальних справах, що не підпадають під дію директиви того ж дня, лише в певних випадках, серед яких виявляється здійснення такої обробки "під контролем державних органів", Конституційна рада постановила: "Законодавець обмежився відтворенням цих термінів у оскаржуваних положеннях, не визначивши ні себе, ні категорії осіб, які можуть діяти під контролем державної влади, ні яких цілей слід переслідувати шляхом впровадження таких даних обробка.
Внаслідок масштабів, які може обробити ця обробка, та характеру оброблюваної інформації, вважалося, що ці положення впливають своїми наслідками на основоположні гарантії, що надаються громадянам для здійснення громадських свобод.
Отже, слова "під контролем державного органу або" вважалися такими, що були понесені "негативною некомпетентністю" (параграф 45).
Нагадуємо, принцип негативної некомпетентності означає, що законодавцеві належить повною мірою реалізувати свою компетенцію щодо встановлення норм, що стосуються основних гарантій, що надаються громадянам для здійснення громадських свобод
У зв'язку з цим положення, на які посилалася Конституційна рада для перегляду, були конкретними в тому, що вони дозволяли здійснювати обробку даних у кримінальних справах, не вказуючи жодним чином, хто може скористатися цим дозволом, ні від імені кого.
У своїх зауваженнях перед Конституційною радою прем'єр-міністр, щоб захистити конституційність положення, що міститься в 1 ° статті 13, стверджував, що воно "враховує самі умови чітких і безумовних положень статті 10 Регламенту захисту прав громадян і тому не може бути корисно оспорюватися ".
Однак, з одного боку, загалом, як випливає із практики Конституційної ради у питаннях транспонування директив, конституційні вимоги, що випливають із статті 88-1, не мають переваги над правилами юрисдикції, встановленими в Конституції. і, отже, не обмежувати повноваження конституційного судді гарантувати, що законодавець не втратив своєї компетенції, в тому числі, коли він обмежився виведенням необхідних наслідків з європейських положень.
З іншого боку, у цій справі Конституційна рада вважала, що стаття 10 GDPR, яка дозволяє, за винятком, державам-членам забезпечувати обробку персональних даних, що стосуються кримінальних засуджень, правопорушень та заходів безпеки, не передбачає обмежити гарантії, які в цьому випадку можуть бути прийняті кожною державою, крім гарантованих GDPR.
Однак, з огляду на вимоги статті 34 Конституції, Конституційна рада постановила, що законодавець не може обмежуватися однаковим відтворенням термінів "під контролем публічної влади", що розділ 10 GDPR, без зазначення категорій осіб, які можуть здійснювати під таким контролем обробку персональних даних у кримінальних справах, та без зазначення цілей такої обробки.
Беручи до уваги їх невизначений обсяг, Конституційна рада підкреслила, як результат рішення N ° 2004-499 DC, що оскаржувані положення зачіпали основоположні гарантії, надані громадянам для здійснення громадських свобод, які входять до компетенції законодавця, через те, наскільки така обробка може набути, та характер оброблюваної інформації.
Тому він засудив ці положення як заплямовані негативною некомпетентністю.
З огляду на цю цензуру, з розділ 10 Європейського регламенту передбачає, що така обробка персональних даних у кримінальних справах може - зокрема - "здійснюватися лише під контролем державних органів", отже, від законодавця залежить, якщо він бажає адаптувати національне законодавство до цих положень, щоб вказати, які категорії осіб могли б отримати від них вигоду та від імені яких цілей.