2018年5 月 25 日��,《歐盟個人信息保護條例》(以下簡稱《條例》)在法國生效�。該條例被廣泛認為是歐盟有史以來最為嚴格的個人數(shù)據(jù)保護管理法規(guī)�����。歐盟國家的數(shù)據(jù)保護主管機關(guān)�����,包括法國數(shù)據(jù)保護機關(guān)法國國家信息技術(shù)和自由委員會(CNIL), 會給所有在法企業(yè)一段“寬容期”�,不會立即對違規(guī)企業(yè)進行懲罰。在此期間企業(yè)可以學習個人信息保護法規(guī)�����,開展相關(guān)合規(guī)工作��。
為了幫助在法中國公司順利進行個人信息保護的合規(guī)工作�,以下介紹該條例中的一些基本原則和規(guī)范����。
一、個人信息保護涉及的基本概念
個人信息:可以直接或間接識別一個自然人的任何信息(包括:姓名�����、注冊號碼、電話號碼���、照片����、出生日期�����、地址��、指紋��、銀行帳號�����、NIR號碼等)����。
敏感信息:包括所有與個人的種族或族裔、政治觀點��、哲學或宗教信仰、工會會員資格�����、健康情況或個人隱私等有關(guān)的信息�。原則上,敏感個人信息只能在信息所有人的明確同意下才可被收集和使用�。
個人信息的處理:包括對個人信息的收集、存儲�、使用、傳輸或傳播����,以及其它所有對個人數(shù)據(jù)的文件的使用。
數(shù)據(jù)保護專員(DPO):數(shù)據(jù)保護專員是確保與個人信息處理相關(guān)的法律義務得到遵守的保證人��。法律在大多數(shù)情況下不強制指定一名數(shù)據(jù)保護專員�����,但是一般認為公司需要指定一位數(shù)據(jù)保護專員���。
影響研究/影響評估/隱私影響評估:用于識別和評估信息處理對該數(shù)據(jù)主體權(quán)利造成侵害的風險�����。處理敏感信息時必須事先進行影響評估�����。
個人信息處理的目的:建立計算機應用程序或包含個人數(shù)據(jù)信息的文件的主要目的��,例如:招聘管理���、客戶管理、滿意度調(diào)查���、訂單����、新聞通訊等�。
信息處理負責人:負責確定任何個人信息操作(收集、存儲以及修改等)的目的和方式的自然人或法人�。
分包商:任何為了一個信息處理負責人的利益,或者在其的指導下����、或遵照其指令處理個人信息的人。
個人信息的傳輸:任何向歐盟外的國家進行個人信息的傳輸、轉(zhuǎn)移�,或者以在第三國進行個人信息處理為目的進行的數(shù)據(jù)儲存。
二�����、 《條例》對個人信息處理的基本要求
《歐盟個人信息保護條例》不禁止處理個人信息���,而是對個人信息的處理加以保護性的管理����。
從事處理個人信息的任何人都必須能夠回答以下6個問題:
1��、處理個人信息的人員是誰? 2�����、信息處理的具體內(nèi)容是什么? 3�、處理目的是什么?
? 信息處理負責人;
? 數(shù)據(jù)保護專員
(DPO)�����;
? 公司內(nèi)部相關(guān)的職能服務部門��;
? 信息處理分包商。 ? 各種類型的信息�����;
? 是否存在敏感信息? 個人信息收集�、存儲���、使用���、傳輸或傳播的最終目的。
4���、個人信息處理以及儲存地在哪里進行? 5����、個人信息儲存期限有多久? 6���、如何處理個人信息?
? 個人信息儲存在哪里���?
? 是否向歐盟外國家轉(zhuǎn)移個人信息? ? 信息的處理和保存必須遵守一定的期限�。 ? 處理個人信息必須遵守一定的安全措施��,盡力減少未經(jīng)許可侵犯個人信息的情況�。
此外�,處理個人信息還必須要事先確定信息處理的法律依據(jù)。
三�����、 個人信息處理的六個法律依據(jù)
(一)信息主體的同意���;(二)合同履行的需要���;(三)依據(jù)法律規(guī)定;(四)信息處理負責人的工作需要���;(五)維護信息主體的切身利益的需要�;
(六)公共權(quán)力機構(gòu)履行職責的需要��。
個人信息主體的同意必須以明確的方式作出���,不可模棱兩可���,且該同意是完全可以被自由撤銷的���。信息處理負責人必須能夠提供該信息主體同意的具體化證明。如果個人信息處理是基于其它五個法律基礎(chǔ)之一�����,則不需要事先征得信息主體的同意����。
四���、處理個人信息時應履行的法定義務
(一)處理個人信息的負責人要遵守的主要義務
就個人信息處理的情況����,通知有關(guān)人員(例如:何種信息需被處理�����、其用途���、信息保存期限�����、是否向歐盟以外的國家轉(zhuǎn)讓信息�,以及信息主體的其它權(quán)利),在取得他們的同意后�,再處理其有關(guān)個人信息;建立有利于保護信息主體權(quán)益的信息處理程序��;
擁有250名以上員工的大公司��,需建立個人信息處理活動的登記系統(tǒng)�。法國信息技術(shù)和自由國家委員會(CNIL) 為中小企業(yè)提出了簡化的信息處理登記模式;
在信息處理/信息儲存的服務機構(gòu)設(shè)立時�,即考慮到個人數(shù)據(jù)的保護問題的設(shè)計,保證通過安全和保密的方式儲存信息��;
發(fā)現(xiàn)信息保護安全漏洞后�����,有義務向相關(guān)部門進行通報���;
確定個人信息保存政策�;在處理敏感信息時��,進行影響研究���;
在適當情況下��,任命一名數(shù)據(jù)保護專員�����。
(二)個人信息處理的分包商必須遵守的主要義務僅按照信息處理負責人的指示行事�;
為信息處理負責人提供建議和協(xié)助(處理敏感信息前進行影響研究、信息保護安全隱患提醒�、數(shù)據(jù)安全性處理和儲存、信息銷毀��、在審計過程中提供幫助)��;保證個人信息處理的安全性和機密性��;建立個人信息處理活動的記錄以及記錄的更新機制���。
五、個人信息處理的登記(備案?����。└鶕?jù)《條例》��,公司需進行個人信息處理登記(備案簿),以證明公司是否遵守了該條例所規(guī)定的法定義務�。該登記必須隨時進行更新,詳盡而準確地記錄個人信息處理的負責人���,以及個人信息處理的分包商所進行的所有信息處理情況�����。
員工少于250人的組織機構(gòu)����,原則上不用履行保存數(shù)據(jù)處理活動記錄的義務����。除非以下情況:處理活動可能對數(shù)據(jù)主體的權(quán)利和自由構(gòu)成風險;處理不是偶然性的���;或處理涉及特殊類型的數(shù)據(jù)�。核心業(yè)務涉及大規(guī)模的處理個人數(shù)據(jù)或者敏感數(shù)據(jù)的��,需要建立數(shù)據(jù)處理活動記錄�。
登記記錄必須采用書面形式,包括電子形式,其內(nèi)容一般包括:
(一) 數(shù)據(jù)處理者和任何其他(轉(zhuǎn)包)處理者的名稱和聯(lián)系方式,以及處理者代表其行事的任何控制者的名稱和聯(lián)系方式�;
(二) 如適用,數(shù)據(jù)處理者代表和數(shù)據(jù)保護專員的姓名和聯(lián)系方式���;
(三) 代表每個控制者進行數(shù)據(jù)處理的類別�����;
(四) 如適用��,如果個人數(shù)據(jù)被傳輸?shù)綒W盟境外的國家�����,則需記錄具體國家�����,包括針對此類傳輸?shù)谋U洗胧┯嘘P(guān)的文件(例如將個人數(shù)據(jù)傳輸?shù)綒W盟境外第三國的標準合同或企業(yè)約束規(guī)則);
(五) 對相關(guān)技術(shù)性和組織性措施的一般描述�����。
經(jīng)要求�����,此類記錄必須提供給監(jiān)管機構(gòu)。
六����、信息主體的主要權(quán)利法律明確保護信息主體的下列主要權(quán)利:
直接訪問的權(quán)利:任何人都可以通過直接聯(lián)系持有其個人信息的人,了解有關(guān)他們的所有被儲存的數(shù)據(jù)。
反對權(quán):在說明相應理由的情況下(以商業(yè)營銷為目的時除外)����,有權(quán)反對信息處理負責人為特定目的使用其個人信息數(shù)據(jù)。
更正權(quán):任何人都有權(quán)糾正與其有關(guān)的不準確數(shù)據(jù)(例如:年齡或地址的錯誤),或補充與其有關(guān)的數(shù)據(jù)(例如:補充公寓地址中的門牌號碼)�����。
遺忘權(quán):當處理數(shù)據(jù)的目的已經(jīng)不存在/取消同意/合法利益不再存在/非法處理數(shù)據(jù)/等情況時�����,有權(quán)要求刪除他們的個人數(shù)據(jù)����。
限制處理權(quán):如果信息處理程序與法律要求的數(shù)據(jù)保護措施不符,可要求限制處理他們的個人數(shù)據(jù)�����。
可攜帶權(quán):數(shù)據(jù)主體可向數(shù)據(jù)控制者提交請求,要求對方以機器可讀的形式整理他們的個人數(shù)據(jù)����,以便將這些數(shù)據(jù)轉(zhuǎn)移給其它控制者。如果用戶希望更換數(shù)據(jù)控制者����,可通過數(shù)據(jù)簡單可讀的形式重用這些數(shù)據(jù)。七�、個人信息向歐盟之外第三國的傳輸
涉及歐盟居民的個人數(shù)據(jù)信息是被允許向歐盟外國家進行傳輸?shù)模疤崾悄康牡貒冶粴W盟認可為設(shè)立了足夠的個人信息保障措施���,否則數(shù)據(jù)的傳輸必須采取具體措施以確保個人信息的安全性和機密性����。
根據(jù)歐盟個人信息保護條例�����,個人數(shù)據(jù)信息可以通過下圖所示的方式向歐盟境內(nèi)或境外的國家進行傳輸:
法國德尚DS律所楊蓉����、任曉紅律師 yang@dsavocats.com ren@dsavocats.com
+33 1 53 67 50 00
DS Avocats| 6, rue Duret - 75116 Paris
