Оновлення персональних даних Етика та законодавство

персональних

(Допис розміщено 31 серпня 2017 р., Оновлено 9 листопада 2018 р.)

На особисті дані поширюється правовий режим, який змінився у Франції та Європейському Союзі в травні 2018 року.

Справді, з 25 травня 2018 року Загальне положення про захист персональних даних (RGPD) 1, яке застосовується у всіх країнах Європейського Союзу, замінило стару директиву від 14 жовтня 1995 року про захист персональних даних. Закон Франції від 6 січня 1978 року, відомий як "Informatique et Libertés", адаптований відповідно.

Тут ми знайдемо основи того, що повинен знати дослідник або бібліотекар про персональні дані, які він або вона покликані обробляти.

Що таке особисті дані ?

Персональні дані - це вся інформація, що стосується ідентифікованої фізичної особи або яку можна ідентифікувати шляхом перетину даних, що стосуються її. Очевидно, що номер соціального страхування - це особисті дані. Вік ("13 років" або "54 роки") - це також особисті дані, хоча ця інформація здається апріорі нешкідливий і без проблем, він дозволяє ідентифікувати когось, якщо ви зустрінете його з адресою. Багато іншої інформації становить особисті дані, серед яких: ім'я, ім'я, вік, професія, фото, поштова адреса, електронна адреса, номер телефону, дата народження, номер IP (Інтернет Протокол), будь-який ідентифікаційний номер, наприклад, реєстраційний номер каталогу (NIR, який зазвичай називають номером соціального страхування), відбиток пальця, дані геолокації та всі "елементи, що стосуються їх фізичних, фізіологічних, загальних, психічних, економічних, культурна чи соціальна ідентичність »2 .

Що слід робити при обробці персональних даних ?

Особа повинна поважати правила захисту персональних даних, здійснюючи "обробку персональних даних". Вважається, що дослідник обробляє персональні дані, коли він колекція особисті дані під час співбесіди, а також коли він робить нотатки таких даних із документа, до якого він звертається, або надсилає такі дані електронною поштою своїй команді. Нижче наведено обробку персональних даних: "збір, запис, організація, структурування, зберігання, адаптація або модифікація, вилучення, консультація, використання, передача шляхом передачі, розповсюдження або будь-яка інша форма надання, узгодження або взаємозв'язок, обмеження, стирання або знищення »персональних даних (ст. 4 Загального регламенту захисту даних-RGPD).

Контролер повинен забезпечити захист оброблюваних персональних даних. Як тільки дослідник або документаліст обробляє таку інформацію, контролер повинен забезпечити дотримання прав суб'єктів даних.
Хто ця людина відповідає за обробку? Відповідно до Загального регламенту захисту даних, "фізична або юридична особа, державний орган, служба чи інший орган, який самостійно або спільно з іншими визначає цілі та засоби обробки. "3. Ця особа, яка визначає цілі та засоби обробки персональних даних, не обов'язково є фізичною особою, яка фактично проводить консультації або збирає персональні дані (дослідник, інженер-дослідник, бібліотекар). Залежно від конкретного випадку, контролером даних буде директор лабораторії або підрозділу, який точно встановлює теми дослідження в лабораторії або підрозділі і який вирішує, що дослідження буде проводитись на таку-то тему, вивчаючи такий-то корпус; саме докторант вирішить провести дипломну роботу з даного предмету; саме дослідник вирішить взяти участь у певній колекційній роботі. 4

Для дотримання правил, встановлених Загальним положенням про захист персональних даних (RGPD), особа, відповідальна за обробку персональних даних, повинна діяти наступним чином.

A) Переконайтеся, що обробка персональних даних є законною (надайте правову основу для обробки)

Контролер повинен мати поважну причину для обробки персональних даних: він повинен мати змогу обґрунтувати причину, з якої він обробляє ці дані. Загальне положення про захист персональних даних передбачає шість можливих правових основ для обробки персональних даних 5. Обробка даних є законною, коли вона базується на одній із цих шести правових основ:

  • 1) контролер даних отримав згоду від суб’єктів даних з метою на цю обробку своїх персональних даних;
  • 2) контролер обробляє ці персональні дані, оскільки він зобов'язаний це робити в силу законного зобов'язання;
  • 3) обробка необхідна для захисту життєво важливих інтересів суб’єкта даних;
  • 4) обробка необхідна для виконання завдання, що відповідає суспільним інтересам (або підпадає під здійснення державних повноважень, покладених на контролера);
  • 5) обробка необхідна для законних інтересів, яких переслідує контролер 6 […];
  • 6) обробка необхідна для виконання контракту, стороною якого є суб’єкт даних [...].

Підстава 5) не застосовується до обробки, що здійснюється у державному секторі (GDPR це забороняє). Що стосується підстави 6), це більше стосується приватного сектору і рідко застосовуватиметься до обробки, що здійснюється в рамках державної структури (оскільки відносини між фізичними особами та державними структурами регулюються законом, рідко угодами або контрактами, що вимагають отримання інформації про Персона).
Залишаються перші чотири підстави для обґрунтування обробки персональних даних, що проводиться в рамках науково-дослідної роботи. Залежно від контексту дослідження, контролер може викликати:

  • перша причина: дослідник проводить опитування за допомогою співбесід або опитувальників та збирає особисті дані з цього приводу. Дослідник повинен фактично отримати згоду зацікавлених людей на здійснення цього збору даних;
  • друга підстава (юридичне зобов'язання) рідко застосовуватиметься до обробки персональних даних у дослідницькій діяльності 7;
  • третя підстава (захист життєво важливих інтересів) також не буде правовою основою для обробки у дослідницькому секторі 8;
  • четверта підстава (обробка необхідна для виконання місії державної служби) може служити правовою основою для обробки державними архівними службами (місія, що представляє суспільний інтерес). Навряд чи це зможе стати правовою основою для лікування, яке проводиться в рамках досліджень (за винятком питань медичних досліджень та епідеміології).

Чи можуть дослідники базувати обробку персональних даних, які вони проводять для своїх досліджень, лише на згоді зацікавлених осіб? Ні. Це означає, що за умови, що вона дотримується інших правил захисту даних (див. Нижче), дослідник має дійсну правову основу:

  • коли обробляє дані, зібрані іншим дослідником за згодою суб’єкта даних;
  • або коли він обробляє дані, які були зібрані згідно із законодавчим зобов'язанням (наприклад, дані, що обробляються податковою адміністрацією для розрахунку податку);
  • або коли він обробляє персональні дані, зібрані для захисту життєво важливих інтересів людини;
  • або коли він обробляє дані, які обробляються з метою "виконання завдання, що становить суспільний інтерес (дані, що містяться в публічних архівах);
  • або коли він обробляє дані, зібрані веб-компанією, яка мала комерційний інтерес 9 у зборі таких даних;
  • або, нарешті, коли він обробляє дані, які були зібрані компанією з метою виконання договору із суб'єктом даних 10 .

Поки дослідник обґрунтовує таку правову основу, вона має право обробляти персональні дані в дослідницькій обстановці, якщо вона також застосовує шість правил, встановлених Загальним регламентом захисту даних (GDPR).

Б) Поважайте також шість загальних принципів при обробці персональних даних

Контролер повинен до і до кінця обробки дотримуватися шести загальних принципів. Порушення будь-якого з цих принципів суворо санкціоновано. Ось список 11:

Нарешті, як тільки дослідник має правову основу для обробки персональних даних і дотримується шести загальних принципів, зазначених вище, він, нарешті, повинен повідомити суб’єктів даних та дозволити їм реалізовувати свої права за таких умов:.

В) Обов'язок інформувати зацікавлених осіб:

Як і до GDPR, контролер повинен інформувати суб'єктів даних про існування обробки їх даних, інформувати їх про мету. Вони також повинні повідомити суб'єктів даних про своє право доступу, виправлення та видалення даних, що стосуються них, наприклад, у такій формі:

Відповідно до закону "Informatique et Liberté" від 6 січня 1978 року ви маєте право доступу, виправлення та видалення даних, що стосуються вас. Для здійснення цього права, будь-ласка, зв’яжіться з «……… .» [тут вкажіть поштову або телефонну або електронну адресу особи, відповідальної за забезпечення цього права, в організації]. 14 .

а) Обов'язок інформувати у разі стягнення з відповідних осіб:

У разі збору даних (наприклад, під час співбесіди), на практиці дослідник надаватиме цю інформацію зацікавленим особам. Дивіться допис " Для своїх опитувань дослідник використовує соціальні мережі ".

b) Який обов'язок інформувати у разі простої консультації з документами, що містять персональні дані ?

Якщо дослідник проводить своє дослідження в існуючому корпусі, не збираючи дані самостійно від зацікавлених осіб, вона звільняється від контакту з цими особами, щоб повідомити їх про те, що вона буде консультуватися або навіть брати до уваги їхні персональні дані для цілей наукового або історичні дослідження, оскільки надання такої інформації зацікавленим особам виявляється неможливим або вимагатиме непропорційних зусиль. 15

в) Дозволити людям реалізовувати своє право на доступ, виправлення та заперечення:

Контролер зобов'язаний видаляти персональні дані, як тільки це більше не потрібно для дослідження, для якого вони були зібрані 16, або як тільки суб'єкти даних вимагають цього 17 .

Однак зібрані дані можуть зберігатися, якщо їх видалення ризикує "зробити неможливим або серйозно перешкодити досягненню цілей" обробки (ст. 89 Європейського регламенту від 27 квітня 2016 р. Та ст. 40.II закону від 6 січня 1978 р.). Дивіться публікацію "Дослідники анонімують дані своїх досліджень" та публікацію "Дослідники використовують соціальні мережі для своїх досліджень".

Примітка щодо конфіденційних даних (або "спеціальних категорій даних")

Конфіденційні дані (або "спеціальні категорії персональних даних" відповідно до Загального регламенту захисту даних (RGPD), або навіть "певні категорії даних" згідно із французьким законом від 6 січня 1978 року зі змінами 18 - це ті, що стосуються расових чи етнічних походження, політичні думки, релігійні чи філософські переконання чи членство в профспілках, а також генетичні та біометричні дані щодо здоров’я, статевого життя чи сексуальної орієнтації фізичної особи.

Обробка цих спеціальних категорій даних заборонена,

  • якщо суб'єкти даних не дали свою дійсну "явну згоду", або
  • якщо контролер даних не попросив та не отримав від CNIL дозволу на проведення такої обробки конфіденційних даних для наукових або історичних дослідницьких цілей. У цьому випадку конфіденційні дані повинні бути негайно анонімізовані 19. Дивіться публікацію "Дослідники анонімують свої дані досліджень".

Саме контролер вживає всіх необхідних заходів для захисту прав суб’єктів даних. Його консультує співробітник з питань захисту даних (DPO), який частіше називають службовцем з питань захисту даних (DPO). GDPR зобов'язує будь-який державний орган призначити особу з питань захисту даних (DPO). Дивіться допис "Службовець з питань захисту даних (DPO) та CNIL".

Бібліографія:

  • Веб-сайт кореспондента CNRS Informatique et Libertés: http://www.cil.cnrs.fr/CIL/ та, зокрема, 7 принципів захисту даних.
  • Анн-Івонн Ле Дайн, Філіпп Госселін, Інформаційний звіт до Національної асамблеї про вплив нових європейських стандартів захисту персональних даних на законодавство Франції, 22 лютого 2017 р. (Доступний в Інтернеті та доступний для завантаження). http://www.assemblee-nationale.fr/14/rap-info/i4544.asp.

Фотографія: особа, що заповнює анкету, Trontnort. За ліцензією CC BY-NC 2.0.

Під редакцією Енн-Лоре Серін