2018年5 月 25 日,《歐盟個(gè)人信息保護(hù)條例》(以下簡(jiǎn)稱《條例》)在法國(guó)生效��。該條例被廣泛認(rèn)為是歐盟有史以來最為嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)管理法規(guī)�。歐盟國(guó)家的數(shù)據(jù)保護(hù)主管機(jī)關(guān),包括法國(guó)數(shù)據(jù)保護(hù)機(jī)關(guān)法國(guó)國(guó)家信息技術(shù)和自由委員會(huì)(CNIL), 會(huì)給所有在法企業(yè)一段“寬容期”��,不會(huì)立即對(duì)違規(guī)企業(yè)進(jìn)行懲罰�����。在此期間企業(yè)可以學(xué)習(xí)個(gè)人信息保護(hù)法規(guī)��,開展相關(guān)合規(guī)工作�����。
為了幫助在法中國(guó)公司順利進(jìn)行個(gè)人信息保護(hù)的合規(guī)工作�,以下介紹該條例中的一些基本原則和規(guī)范�。
一、個(gè)人信息保護(hù)涉及的基本概念
個(gè)人信息:可以直接或間接識(shí)別一個(gè)自然人的任何信息(包括:姓名�、注冊(cè)號(hào)碼����、電話號(hào)碼�、照片、出生日期����、地址、指紋����、銀行帳號(hào)、NIR號(hào)碼等)�����。
敏感信息:包括所有與個(gè)人的種族或族裔�、政治觀點(diǎn)、哲學(xué)或宗教信仰����、工會(huì)會(huì)員資格、健康情況或個(gè)人隱私等有關(guān)的信息����。原則上�����,敏感個(gè)人信息只能在信息所有人的明確同意下才可被收集和使用�����。
個(gè)人信息的處理:包括對(duì)個(gè)人信息的收集��、存儲(chǔ)����、使用�����、傳輸或傳播���,以及其它所有對(duì)個(gè)人數(shù)據(jù)的文件的使用���。
數(shù)據(jù)保護(hù)專員(DPO):數(shù)據(jù)保護(hù)專員是確保與個(gè)人信息處理相關(guān)的法律義務(wù)得到遵守的保證人。法律在大多數(shù)情況下不強(qiáng)制指定一名數(shù)據(jù)保護(hù)專員�����,但是一般認(rèn)為公司需要指定一位數(shù)據(jù)保護(hù)專員����。
影響研究/影響評(píng)估/隱私影響評(píng)估:用于識(shí)別和評(píng)估信息處理對(duì)該數(shù)據(jù)主體權(quán)利造成侵害的風(fēng)險(xiǎn)。處理敏感信息時(shí)必須事先進(jìn)行影響評(píng)估�。
個(gè)人信息處理的目的:建立計(jì)算機(jī)應(yīng)用程序或包含個(gè)人數(shù)據(jù)信息的文件的主要目的,例如:招聘管理����、客戶管理、滿意度調(diào)查�����、訂單�����、新聞通訊等��。
信息處理負(fù)責(zé)人:負(fù)責(zé)確定任何個(gè)人信息操作(收集�����、存儲(chǔ)以及修改等)的目的和方式的自然人或法人。
分包商:任何為了一個(gè)信息處理負(fù)責(zé)人的利益��,或者在其的指導(dǎo)下���、或遵照其指令處理個(gè)人信息的人��。
個(gè)人信息的傳輸:任何向歐盟外的國(guó)家進(jìn)行個(gè)人信息的傳輸���、轉(zhuǎn)移,或者以在第三國(guó)進(jìn)行個(gè)人信息處理為目的進(jìn)行的數(shù)據(jù)儲(chǔ)存�。
二、 《條例》對(duì)個(gè)人信息處理的基本要求
《歐盟個(gè)人信息保護(hù)條例》不禁止處理個(gè)人信息��,而是對(duì)個(gè)人信息的處理加以保護(hù)性的管理�。
從事處理個(gè)人信息的任何人都必須能夠回答以下6個(gè)問題:
1、處理個(gè)人信息的人員是誰? 2��、信息處理的具體內(nèi)容是什么? 3����、處理目的是什么?
? 信息處理負(fù)責(zé)人;
? 數(shù)據(jù)保護(hù)專員
(DPO)�;
? 公司內(nèi)部相關(guān)的職能服務(wù)部門;
? 信息處理分包商�。 ? 各種類型的信息����;
? 是否存在敏感信息? 個(gè)人信息收集�����、存儲(chǔ)�����、使用�����、傳輸或傳播的最終目的����。
4���、個(gè)人信息處理以及儲(chǔ)存地在哪里進(jìn)行? 5��、個(gè)人信息儲(chǔ)存期限有多久? 6�、如何處理個(gè)人信息?
? 個(gè)人信息儲(chǔ)存在哪里����?
? 是否向歐盟外國(guó)家轉(zhuǎn)移個(gè)人信息����? ? 信息的處理和保存必須遵守一定的期限���。 ? 處理個(gè)人信息必須遵守一定的安全措施���,盡力減少未經(jīng)許可侵犯?jìng)€(gè)人信息的情況。
此外�����,處理個(gè)人信息還必須要事先確定信息處理的法律依據(jù)����。
三、 個(gè)人信息處理的六個(gè)法律依據(jù)
(一)信息主體的同意�;(二)合同履行的需要;(三)依據(jù)法律規(guī)定����;(四)信息處理負(fù)責(zé)人的工作需要;(五)維護(hù)信息主體的切身利益的需要��;
(六)公共權(quán)力機(jī)構(gòu)履行職責(zé)的需要。
個(gè)人信息主體的同意必須以明確的方式作出�����,不可模棱兩可�,且該同意是完全可以被自由撤銷的。信息處理負(fù)責(zé)人必須能夠提供該信息主體同意的具體化證明�����。如果個(gè)人信息處理是基于其它五個(gè)法律基礎(chǔ)之一����,則不需要事先征得信息主體的同意��。
四����、處理個(gè)人信息時(shí)應(yīng)履行的法定義務(wù)
(一)處理個(gè)人信息的負(fù)責(zé)人要遵守的主要義務(wù)
就個(gè)人信息處理的情況,通知有關(guān)人員(例如:何種信息需被處理����、其用途、信息保存期限����、是否向歐盟以外的國(guó)家轉(zhuǎn)讓信息��,以及信息主體的其它權(quán)利)��,在取得他們的同意后�,再處理其有關(guān)個(gè)人信息���;建立有利于保護(hù)信息主體權(quán)益的信息處理程序�;
擁有250名以上員工的大公司�,需建立個(gè)人信息處理活動(dòng)的登記系統(tǒng)。法國(guó)信息技術(shù)和自由國(guó)家委員會(huì)(CNIL) 為中小企業(yè)提出了簡(jiǎn)化的信息處理登記模式�;
在信息處理/信息儲(chǔ)存的服務(wù)機(jī)構(gòu)設(shè)立時(shí),即考慮到個(gè)人數(shù)據(jù)的保護(hù)問題的設(shè)計(jì)�,保證通過安全和保密的方式儲(chǔ)存信息;
發(fā)現(xiàn)信息保護(hù)安全漏洞后����,有義務(wù)向相關(guān)部門進(jìn)行通報(bào);
確定個(gè)人信息保存政策��;在處理敏感信息時(shí)����,進(jìn)行影響研究�;
在適當(dāng)情況下�,任命一名數(shù)據(jù)保護(hù)專員。
(二)個(gè)人信息處理的分包商必須遵守的主要義務(wù)僅按照信息處理負(fù)責(zé)人的指示行事��;
為信息處理負(fù)責(zé)人提供建議和協(xié)助(處理敏感信息前進(jìn)行影響研究���、信息保護(hù)安全隱患提醒���、數(shù)據(jù)安全性處理和儲(chǔ)存、信息銷毀�����、在審計(jì)過程中提供幫助)�;保證個(gè)人信息處理的安全性和機(jī)密性��;建立個(gè)人信息處理活動(dòng)的記錄以及記錄的更新機(jī)制���。
五�����、個(gè)人信息處理的登記(備案?���。└鶕?jù)《條例》,公司需進(jìn)行個(gè)人信息處理登記(備案簿)���,以證明公司是否遵守了該條例所規(guī)定的法定義務(wù)���。該登記必須隨時(shí)進(jìn)行更新,詳盡而準(zhǔn)確地記錄個(gè)人信息處理的負(fù)責(zé)人��,以及個(gè)人信息處理的分包商所進(jìn)行的所有信息處理情況�。
員工少于250人的組織機(jī)構(gòu),原則上不用履行保存數(shù)據(jù)處理活動(dòng)記錄的義務(wù)��。除非以下情況:處理活動(dòng)可能對(duì)數(shù)據(jù)主體的權(quán)利和自由構(gòu)成風(fēng)險(xiǎn)���;處理不是偶然性的����;或處理涉及特殊類型的數(shù)據(jù)����。核心業(yè)務(wù)涉及大規(guī)模的處理個(gè)人數(shù)據(jù)或者敏感數(shù)據(jù)的,需要建立數(shù)據(jù)處理活動(dòng)記錄。
登記記錄必須采用書面形式�����,包括電子形式���,其內(nèi)容一般包括:
(一) 數(shù)據(jù)處理者和任何其他(轉(zhuǎn)包)處理者的名稱和聯(lián)系方式,以及處理者代表其行事的任何控制者的名稱和聯(lián)系方式�;
(二) 如適用�,數(shù)據(jù)處理者代表和數(shù)據(jù)保護(hù)專員的姓名和聯(lián)系方式;
(三) 代表每個(gè)控制者進(jìn)行數(shù)據(jù)處理的類別�;
(四) 如適用,如果個(gè)人數(shù)據(jù)被傳輸?shù)綒W盟境外的國(guó)家���,則需記錄具體國(guó)家�����,包括針對(duì)此類傳輸?shù)谋U洗胧┯嘘P(guān)的文件(例如將個(gè)人數(shù)據(jù)傳輸?shù)綒W盟境外第三國(guó)的標(biāo)準(zhǔn)合同或企業(yè)約束規(guī)則);
(五) 對(duì)相關(guān)技術(shù)性和組織性措施的一般描述�。
經(jīng)要求,此類記錄必須提供給監(jiān)管機(jī)構(gòu)�����。
六�、信息主體的主要權(quán)利法律明確保護(hù)信息主體的下列主要權(quán)利:
直接訪問的權(quán)利:任何人都可以通過直接聯(lián)系持有其個(gè)人信息的人,了解有關(guān)他們的所有被儲(chǔ)存的數(shù)據(jù)���。
反對(duì)權(quán):在說明相應(yīng)理由的情況下(以商業(yè)營(yíng)銷為目的時(shí)除外),有權(quán)反對(duì)信息處理負(fù)責(zé)人為特定目的使用其個(gè)人信息數(shù)據(jù)�����。
更正權(quán):任何人都有權(quán)糾正與其有關(guān)的不準(zhǔn)確數(shù)據(jù)(例如:年齡或地址的錯(cuò)誤),或補(bǔ)充與其有關(guān)的數(shù)據(jù)(例如:補(bǔ)充公寓地址中的門牌號(hào)碼)�����。
遺忘權(quán):當(dāng)處理數(shù)據(jù)的目的已經(jīng)不存在/取消同意/合法利益不再存在/非法處理數(shù)據(jù)/等情況時(shí)��,有權(quán)要求刪除他們的個(gè)人數(shù)據(jù)�����。
限制處理權(quán):如果信息處理程序與法律要求的數(shù)據(jù)保護(hù)措施不符�,可要求限制處理他們的個(gè)人數(shù)據(jù)。
可攜帶權(quán):數(shù)據(jù)主體可向數(shù)據(jù)控制者提交請(qǐng)求����,要求對(duì)方以機(jī)器可讀的形式整理他們的個(gè)人數(shù)據(jù),以便將這些數(shù)據(jù)轉(zhuǎn)移給其它控制者����。如果用戶希望更換數(shù)據(jù)控制者���,可通過數(shù)據(jù)簡(jiǎn)單可讀的形式重用這些數(shù)據(jù)。七���、個(gè)人信息向歐盟之外第三國(guó)的傳輸
涉及歐盟居民的個(gè)人數(shù)據(jù)信息是被允許向歐盟外國(guó)家進(jìn)行傳輸?shù)?�,但前提是目的地?guó)家被歐盟認(rèn)可為設(shè)立了足夠的個(gè)人信息保障措施����,否則數(shù)據(jù)的傳輸必須采取具體措施以確保個(gè)人信息的安全性和機(jī)密性�。
根據(jù)歐盟個(gè)人信息保護(hù)條例,個(gè)人數(shù)據(jù)信息可以通過下圖所示的方式向歐盟境內(nèi)或境外的國(guó)家進(jìn)行傳輸:
法國(guó)德尚DS律所楊蓉�����、任曉紅律師 yang@dsavocats.com ren@dsavocats.com
+33 1 53 67 50 00
DS Avocats| 6, rue Duret - 75116 Paris
