Зобов’язання щодо захисту персональних даних - професіонали

Перевірено 03 квітня 2019 року - Дирекція правової та адміністративної інформації (Прем’єр-міністр), Міністерство юстиції

щодо

Створення та обробка персональних даних (ідентифікаційний номер, ім'я, адреса, номер телефону, фото, IP-адреса, зокрема) покладаються на зобов'язання, спрямовані на захист конфіденційності та особистих свобод. За нові зобов'язання відповідають компанії, адміністрації, громади, асоціації чи інші організації, що дозволяють надавати більш широкі права своїм клієнтам/користувачам. Режим санкцій також еволюціонує.

Згорнути все Розгорнути все

Що таке особисті дані ?

Це вся інформація, що стосується ідентифікованої або ідентифікуваної фізичної особи, прямо чи опосередковано, з використанням ідентифікатора або одного або декількох елементів, характерних для його особи.

Це може бути, наприклад, ім'я, ім'я, адреса електронної пошти, місцезнаходження, номер посвідчення особи, IP-адреса, фотографія '' соціальний або культурний профіль.

Правила застосовуються, коли вони використовуються, зберігаються чи збираються у цифровому вигляді або на папері.

Хто зацікавлений ?

Регламент застосовується до будь-якої обробки персональних даних, за деякими винятками (файли безпеки залишаються під управлінням штатів та, наприклад, обробка у кримінальних справах).

  • Контролери даних (компанії, адміністрації, асоціації чи інші органи) та їх субпідрядники (провайдери хостингу, інтегратори програмного забезпечення, комунікаційні агентства та ін.), Створені в Європейському Союзі (ЄС), незалежно від місця обробки даних.
  • Контролери даних та їх субпідрядники, створені за межами ЄС, коли вони здійснюють обробку, спрямовану на надання товарів або послуг європейським резидентам, або коли вони націлюють їх на алгоритмічні методи (техніка профілювання).

На практиці, таким чином, регламент застосовується, коли європейський резидент, незалежно від його національності, безпосередньо націлений на обробку даних, в тому числі через Інтернет або через підключені об'єкти (прилади автоматизації будинку, наприклад, вимірюють фізичну активність).

Закон осіб

Посилена згода та прозорість

Персональні дані повинні бути:

  • Оброблено законним, справедливим та прозорим способом та зібрано для конкретних цілей
  • Явний та законний
  • Адекватний, відповідний та обмежений цілями обробки
  • Точний і в курсі
  • Тимчасово та надійно зберігається.

Клієнти мають право доступу до своїх даних і можуть виправити їх та виступити проти їх використання.

За запитом компанія, яка зберігає персональні дані, повинна повідомити суб’єкта даних наступне:

  • Особа, відповідальна за справу
  • Призначення обробки даних
  • Обов’язковий або необов’язковий характер відповідей
  • Права на доступ, виправлення, допит та заперечення
  • Зобов'язання, викликані передачею даних.

Право на перенесення даних

Будь-який бажаючий може відновити надані ними дані у багаторазовому вигляді, а потім передати їх третій стороні (наприклад, соціальна мережа).

Переносимість стосується лише даних, зібраних за контрактом або згодою.

Право забути

Кожна людина має право на стирання своїх даних та вилучення зі списку (право просити пошукову систему видалити певні результати, пов’язані з їхніми іменами та прізвищами).

Право на повідомлення

У разі порушення безпеки даних, що спричиняє високий ризик для фізичних осіб, контролер даних повинен негайно попередити їх, за винятком певних ситуацій (наприклад, дані вже зашифровані). Він також повинен повідомити CNIL протягом 72 годин.

Право на компенсацію матеріальної або моральної шкоди

Кожен, хто зазнав матеріальної або моральної шкоди внаслідок порушення європейських норм, може отримати від контролера (або процесора) компенсацію за свою шкоду.

Групові дії

Будь-яка людина може доручити асоціації або організації, що працюють у галузі захисту даних, подати скаргу чи апеляцію та отримати відшкодування у разі порушення їх даних.

Зобов'язання компаній, адміністрацій, громад, асоціацій

Загальне зобов'язання щодо безпеки та конфіденційності

Контролер даних повинен впроваджувати заходи безпеки для приміщень та інформаційних систем, щоб запобігти спотворенню, пошкодженню або доступу до файлів сторонніми сторонами.

Він повинен вжити всіх необхідних заходів для дотримання захисту персональних даних від дизайну товару або послуги.

Таким чином, потрібно обмежити обсяг даних, що обробляються з самого початку (так званий принцип "мінімізації"), і повинен весь час демонструвати цю відповідність.

Доступ до даних зарезервований лише для призначених осіб або третіх осіб, які мають спеціальні та одноразові дозволи (наприклад, податкова служба).

Контролер даних повинен встановити розумний термін зберігання особистої інформації.

Усі зобов’язання щодо звітності скасовано, за винятком, передбаченим національним законодавством (певні операції з обробки у секторі охорони здоров’я чи громадської безпеки, що здійснюються від імені держави).

Інформаційне зобов’язання

Компанія, яка зберігає персональні дані, повинна повідомити суб'єкта даних про:

  • Особа, відповідальна за справу
  • Мета обробки даних
  • Обов’язковий або необов’язковий характер відповідей
  • Права доступу, виправлення, допиту та заперечення
  • Передача даних.

Оператор персональних даних (наприклад, інтернет-продавець) повинен виконувати певні зобов’язання, зокрема:

  • Отримати угоду з клієнтом
  • Поінформуйте клієнтів про їх право доступу, модифікації та видалення зібраної інформації
  • Забезпечити безпеку інформаційних систем
  • Забезпечити конфіденційність даних
  • Вкажіть період збереження даних.

Мета збору інформації повинна бути точною, а дані відповідно до цієї мети.

Знати: цифровий вік, вік, з якого неповнолітній може погодитись лише на обробку своїх персональних даних для використання послуги в Інтернеті (наприклад, у соціальних мережах), встановлений 15 років. Дозвіл батьків потрібен до цього віку. Інформація, що стосується обробки даних неповнолітнього, повинна бути написана чіткими та простими словами.

Оцінка впливу у випадку високого ризику для прав і свобод людей

Для обробки даних, що представляє високий ризик для прав і свобод людей, контролер повинен провести аналіз впливу на конфіденційність (PIA), щоб оцінити, зокрема, походження, характер, особливості та серйозність цього ризику.

Відповідні дані повинні стосуватися:

  • Делікатна інформація (походження, політична, релігійна, союзна думка), зокрема біометрична чи генетична;
  • Оцінка людей (наприклад, профілювання);
  • Файли з конкретною метою (статистичні дослідження INSEE, обробка медичних досліджень, наприклад);
  • Передача даних за межі Європейського Союзу.

Занотовувати: передача даних за межі ЄС більше не заборонена, але вони повинні дотримуватись кількох умов, зокрема, щоб третя країна забезпечувала належний рівень захисту, стверджує Європейська комісія. Дозвіл CNIL потрібен, якщо контрактні положення відрізняються від положень Європейської комісії. Передані дані залишаються предметом законодавства ЄС не лише щодо їх передачі, а й для будь-якої подальшої обробки/передачі.

Співробітник із захисту даних

Контролер даних та процесор повинні призначити особу з питань захисту даних:

  • Якщо їх діяльність є частиною державного сектору
  • Якщо їх основна діяльність веде до регулярного та систематичного моніторингу людей у ​​великих масштабах
  • Якщо їх основна діяльність передбачає широкомасштабну обробку конфіденційних даних або даних, що стосуються кримінальних засуджень та правопорушень.

Делегат відповідає за:

  • Інформувати та консультувати контролера даних (або процесора) та його працівників
  • Контролювати дотримання європейських норм та законодавства Франції про захист даних
  • Проконсультувати організацію щодо проведення аналізу впливу та перевірити його виконання
  • Співпрацювати з наглядовим органом та бути його контактом.

Працівник служби захисту даних повинен мати наступні якості та навички:

  • Ефективно спілкуйтеся та виконуйте свої обов'язки з повною незалежністю (не мають конфлікту інтересів з іншими місіями)
  • Досвід законодавства та практики (захист даних), набутий, зокрема, шляхом постійного навчання
  • Добре знання сектору діяльності та організації організації (операції з обробки, інформаційні системи та потреби організації з точки зору захисту даних та безпеки)
  • Ефективна внутрішня позиція для звітування на вищому рівні організації
  • Запуск ретрансляційної мережі в межах дочірніх підприємств групи, наприклад, та/або групи внутрішніх експертів (ІТ-експерт, юрист, експерт із комунікацій, перекладач, наприклад).

Делегатом може бути особа з технічної, юридичної чи іншої галузі.

Інші зобов’язання

Усі організації (державні та приватні), які обробляють персональні дані, повинні вести реєстр усіх обробок.

Однак компанії, що мають менше 250 працівників, повинні реєструвати лише:

  • Не випадкові процедури
  • Обробка може спричинити ризик для прав і свобод людей
  • Обробка конфіденційних даних.