2018年5 月 25 日�,《歐盟個人信息保護條例》(以下簡稱《條例》)在法國生效。該條例被廣泛認為是歐盟有史以來最為嚴格的個人數據保護管理法規�。歐盟國家的數據保護主管機關�����,包括法國數據保護機關法國國家信息技術和自由委員會(CNIL), 會給所有在法企業一段“寬容期”�,不會立即對違規企業進行懲罰。在此期間企業可以學習個人信息保護法規����,開展相關合規工作�����。
為了幫助在法中國公司順利進行個人信息保護的合規工作,以下介紹該條例中的一些基本原則和規范�。
一�、個人信息保護涉及的基本概念
個人信息:可以直接或間接識別一個自然人的任何信息(包括:姓名����、注冊號碼、電話號碼�、照片�����、出生日期、地址、指紋�、銀行帳號����、NIR號碼等)。
敏感信息:包括所有與個人的種族或族裔�、政治觀點���、哲學或宗教信仰、工會會員資格、健康情況或個人隱私等有關的信息。原則上�,敏感個人信息只能在信息所有人的明確同意下才可被收集和使用���。
個人信息的處理:包括對個人信息的收集�、存儲����、使用、傳輸或傳播�,以及其它所有對個人數據的文件的使用����。
數據保護專員(DPO):數據保護專員是確保與個人信息處理相關的法律義務得到遵守的保證人����。法律在大多數情況下不強制指定一名數據保護專員,但是一般認為公司需要指定一位數據保護專員。
影響研究/影響評估/隱私影響評估:用于識別和評估信息處理對該數據主體權利造成侵害的風險�。處理敏感信息時必須事先進行影響評估���。
個人信息處理的目的:建立計算機應用程序或包含個人數據信息的文件的主要目的����,例如:招聘管理����、客戶管理、滿意度調查、訂單����、新聞通訊等�。
信息處理負責人:負責確定任何個人信息操作(收集���、存儲以及修改等)的目的和方式的自然人或法人���。
分包商:任何為了一個信息處理負責人的利益�,或者在其的指導下�、或遵照其指令處理個人信息的人。
個人信息的傳輸:任何向歐盟外的國家進行個人信息的傳輸、轉移����,或者以在第三國進行個人信息處理為目的進行的數據儲存����。
二���、 《條例》對個人信息處理的基本要求
《歐盟個人信息保護條例》不禁止處理個人信息���,而是對個人信息的處理加以保護性的管理�。
從事處理個人信息的任何人都必須能夠回答以下6個問題:
1、處理個人信息的人員是誰? 2�、信息處理的具體內容是什么? 3�、處理目的是什么?
? 信息處理負責人���;
? 數據保護專員
(DPO)�;
? 公司內部相關的職能服務部門;
? 信息處理分包商�����。 ? 各種類型的信息���;
? 是否存在敏感信息? 個人信息收集���、存儲���、使用�����、傳輸或傳播的最終目的����。
4����、個人信息處理以及儲存地在哪里進行? 5、個人信息儲存期限有多久? 6���、如何處理個人信息?
? 個人信息儲存在哪里?
? 是否向歐盟外國家轉移個人信息�����? ? 信息的處理和保存必須遵守一定的期限����。 ? 處理個人信息必須遵守一定的安全措施,盡力減少未經許可侵犯個人信息的情況����。
此外�,處理個人信息還必須要事先確定信息處理的法律依據�。
三、 個人信息處理的六個法律依據
(一)信息主體的同意����;(二)合同履行的需要���;(三)依據法律規定;(四)信息處理負責人的工作需要����;(五)維護信息主體的切身利益的需要�;
(六)公共權力機構履行職責的需要����。
個人信息主體的同意必須以明確的方式作出,不可模棱兩可�,且該同意是完全可以被自由撤銷的�����。信息處理負責人必須能夠提供該信息主體同意的具體化證明。如果個人信息處理是基于其它五個法律基礎之一���,則不需要事先征得信息主體的同意。
四、處理個人信息時應履行的法定義務
(一)處理個人信息的負責人要遵守的主要義務
就個人信息處理的情況����,通知有關人員(例如:何種信息需被處理�、其用途����、信息保存期限、是否向歐盟以外的國家轉讓信息�,以及信息主體的其它權利)�,在取得他們的同意后�,再處理其有關個人信息;建立有利于保護信息主體權益的信息處理程序�����;
擁有250名以上員工的大公司���,需建立個人信息處理活動的登記系統���。法國信息技術和自由國家委員會(CNIL) 為中小企業提出了簡化的信息處理登記模式���;
在信息處理/信息儲存的服務機構設立時���,即考慮到個人數據的保護問題的設計�,保證通過安全和保密的方式儲存信息;
發現信息保護安全漏洞后,有義務向相關部門進行通報�;
確定個人信息保存政策�����;在處理敏感信息時,進行影響研究;
在適當情況下,任命一名數據保護專員�。
(二)個人信息處理的分包商必須遵守的主要義務僅按照信息處理負責人的指示行事�;
為信息處理負責人提供建議和協助(處理敏感信息前進行影響研究���、信息保護安全隱患提醒�、數據安全性處理和儲存、信息銷毀、在審計過程中提供幫助)���;保證個人信息處理的安全性和機密性;建立個人信息處理活動的記錄以及記錄的更新機制�����。
五����、個人信息處理的登記(備案薄)根據《條例》���,公司需進行個人信息處理登記(備案簿),以證明公司是否遵守了該條例所規定的法定義務。該登記必須隨時進行更新�,詳盡而準確地記錄個人信息處理的負責人����,以及個人信息處理的分包商所進行的所有信息處理情況���。
員工少于250人的組織機構�����,原則上不用履行保存數據處理活動記錄的義務。除非以下情況:處理活動可能對數據主體的權利和自由構成風險���;處理不是偶然性的;或處理涉及特殊類型的數據���。核心業務涉及大規模的處理個人數據或者敏感數據的,需要建立數據處理活動記錄�。
登記記錄必須采用書面形式���,包括電子形式�,其內容一般包括:
(一) 數據處理者和任何其他(轉包)處理者的名稱和聯系方式,以及處理者代表其行事的任何控制者的名稱和聯系方式���;
(二) 如適用�,數據處理者代表和數據保護專員的姓名和聯系方式;
(三) 代表每個控制者進行數據處理的類別����;
(四) 如適用���,如果個人數據被傳輸到歐盟境外的國家�,則需記錄具體國家���,包括針對此類傳輸的保障措施有關的文件(例如將個人數據傳輸到歐盟境外第三國的標準合同或企業約束規則)�;
(五) 對相關技術性和組織性措施的一般描述。
經要求�,此類記錄必須提供給監管機構���。
六、信息主體的主要權利法律明確保護信息主體的下列主要權利:
直接訪問的權利:任何人都可以通過直接聯系持有其個人信息的人,了解有關他們的所有被儲存的數據�。
反對權:在說明相應理由的情況下(以商業營銷為目的時除外)����,有權反對信息處理負責人為特定目的使用其個人信息數據����。
更正權:任何人都有權糾正與其有關的不準確數據(例如:年齡或地址的錯誤),或補充與其有關的數據(例如:補充公寓地址中的門牌號碼)。
遺忘權:當處理數據的目的已經不存在/取消同意/合法利益不再存在/非法處理數據/等情況時���,有權要求刪除他們的個人數據。
限制處理權:如果信息處理程序與法律要求的數據保護措施不符,可要求限制處理他們的個人數據����。
可攜帶權:數據主體可向數據控制者提交請求����,要求對方以機器可讀的形式整理他們的個人數據,以便將這些數據轉移給其它控制者����。如果用戶希望更換數據控制者�,可通過數據簡單可讀的形式重用這些數據�。七、個人信息向歐盟之外第三國的傳輸
涉及歐盟居民的個人數據信息是被允許向歐盟外國家進行傳輸的����,但前提是目的地國家被歐盟認可為設立了足夠的個人信息保障措施���,否則數據的傳輸必須采取具體措施以確保個人信息的安全性和機密性����。
根據歐盟個人信息保護條例�,個人數據信息可以通過下圖所示的方式向歐盟境內或境外的國家進行傳輸:
法國德尚DS律所楊蓉���、任曉紅律師 yang@dsavocats.com ren@dsavocats.com
+33 1 53 67 50 00
DS Avocats| 6, rue Duret - 75116 Paris
