2018年6月20日法国在现有“1978年法案”(关于信息技术、数据文件和公民自由的法案)中纳入了一般数据保护条例 (“GDPR”)条款,该法案管理个人数据保护。
法国数据保护机构(法国国家信息委员会,“CNIL”)作为法国监管机构,其指导方针澄清了1978年法案。
1978年法案已被多次修订,该法案涵盖了算法、儿童、法院判决中犯罪数据匿名化、金融制裁、最重要的是法国的特色:数字继承。
第一项执行法令于2018年8月3日发布,即第2018-687号法令,规定了CNIL的组织和运作,规定CNIL将发布需要数据保护影响评估(DPIA)的列表(DPIA黑名单),详细说明数据主体的权利(例如,在出于科学、历史研究或统计目的进行数据处理时,可以放弃访问权、纠正权、限制权和反对权),建立数据分类制度(行政、财务、运营和医疗)。
通过以上澄清,1978年法案最终与GDPR保持一致,确定了适用于法国个人数据保护的一般框架。
该法案主要包括以下五个方面:
CNIL会定期在其网站上发布指南,该指南更多地与GDPR相关,而不是该法案本身:
除了指南外,CNIL还发布了一系列GDPR合规工具,包括:
CNIL还在2021年推出了一个“沙盒”,旨在为选定的项目提供支持和法律确定性。2022年,CNIL沙盒致力于教育或EdTech领域的数字工具。
自GDPR生效以来,CNIL已对多项违反立法的违规行为进行制裁,并对公司发出警告。
制裁主要针对:
只要处理涉及个人数据,无论数据控制者或处理者是法人还是自然人、公众还是私人,该法案都适用。
该法第48条还规定了(任何人有权制定在其死后存储和删除其个人数据的准则)对已故个人的适用。
根据法案第3条,其规定适用于在法国设立的控制者或处理者的活动范围内进行的个人数据处理,无论该处理是否在法国进行。
该法第2条规定,它适用于个人数据的自动处理以及出现在归档系统中的个人数据的非自动处理。
自然人为进行严格的个人或家庭活动而进行的处理不受该法的约束。
CNIL是国家监管机构。它是一个独立的行政机构,由18名成员组成,包括议员、高等法院代表、合格的公众人物和一名主席。
作为法国数据保护机构,CNIL的主要任务是控制和审计对数据保护立法的遵守情况,并在未能补救违规行为的情况下实施制裁。
根据GDPR,CNIL获得进入和检查的权利与之前法国数据保护制度下的权利基本相同,虽然现场搜索的场所性质更加明确,但仍受到保密限制。该法案现在还赋予了借用身份进行在线控制的权利(尽管进行在线审计的权力是在2014年确立的)。
此外,自2020年以来,欧洲监管合作有所增加。通过与EDPB及欧洲同行合作,CNIL裁定通过GoogleAnalytics收集和处理的个人数据被谷歌转移到美国,没有充分的保障措施排除美国情报部门访问个人数据的可能性。2021年,CNIL与卢森堡数据保护机构(“CNPD”)密切合作,针对AmazonEuropeCore发起的调查导致了欧洲数据保护机构迄今为止宣布的最高制裁(2021年7月16日为7.46亿欧元))(尽管该决定尚不可执行)。该索赔是由一家法国协会向CNIL提出的。
对于2022年,CNIL的控制计划侧重于以下领域:商业勘探、远程工作人员监控以及云计算的使用。
5.1.同意
关于未成年人的同意,该法第45条规定,未成年人可以单独同意处理与直接提供信息服务有关的个人数据,年龄为15岁。未满15岁的,处理前应取得未成年人及其监护人共同同意。
5.2.与数据主体签订合同
5.3.法律义务
5.4.数据主体的利益
5.5.公共利益
5.6.数据控制者的合法权益
5.7.历史和科学研究目的
该法规定,对于为历史、统计或科学目的保留数据所必需的处理,如果数据最初是为其他目的收集的,则可以免除控制者通知数据主体的义务。
该法案第4条规定了与GDPR相同的原则;即:
根据GDPR,法国废除了其事先通知制度;但部分处理仍需通知CNIL授权或征求意见。
到目前为止,CNIL仅确定出于研究目的和公共利益目的处理健康数据会触发此事先通知义务,并在线发布了相关的授权申请表。
此外,该法第31条和第32条规定,以下数据需要法令或部长裁定授权才能处理:
该法案对数据传输规定了以下两项限制:
欧盟法院(“CJEU”)于2020年7月16日宣布“隐私盾”无效,并且欧盟委员会于2021年6月4日通过了新的标准合同条款,CNIL发布了详细指南,以帮助数据控制者识别和管理欧盟以外的个人数据传输。CNIL还发布了一些关于将个人数据传输到美国的指南和建议。最近,CNIL向使用GoogleAnalytics的几个组织发出正式通知,命令他们停止使用GoogleAnalytics,使用这些工具收集的个人数据不符合第44条规定的要求。根据这些决定,CNIL于2022年7月发布了有关如何使分析工具符合GDPR的指南。
该法第57条和第60条明确规定控制者、处理者及其代表应根据GDPR第30条规定的条件保存数据处理记录。
根据该法第62条,控制者必须在GDPR第35条规定的条件下处理个人数据之前执行DPIA。当处理可能对相关人员的权利和自由造成高风险时,必须进行DPIA。
一般来说,满足以下至少两个标准的处理操作需要进行DPIA:
例如,如果一家公司建立了一个监控其员工活动的系统,则该数据处理符合系统监控的标准和涉及弱势群体的数据的标准,因此有必要实施DPIA。
如果在进行DPIA后处理的剩余风险水平仍然很高,则控制者在处理之前应咨询CNIL。
CNIL的网站上有英文版的实用工具,例如上面提到的有助于DPIA的PIA软件,以及DPIA指南(模板、知识库、方法论和适用于连接对象的指南)。
CNIL指定以下类型的处理不需要DPIA:
该法第57条规定,控制者应根据GDPR第四章第4节的条件任命一名数据保护官(“DPO”)。任命DPO是CNIL合规的关键点之一。它强烈鼓励法国公司任命DPO,即使根据GDPR的标准,公司没有义务这样做。
DPO的任命必须通过填写包含详细联系信息的表格在线通知CNIL。
此外,第2018-318号审议通过了DPO资格标准,列出了获得DPO认证所需的17项能力,包括:
该法案第58条提到了向CNIL发出数据泄露通知的规定,还规定了向数据主体通报数据泄露的义务。该法案特别要求电子通信服务提供商记录违规行为,以便CNIL可以验证合规性。
该法案没有关于保留数据的时限的具体规定。
然而,CNIL于2020年7月发布了一份关于数据保留期限的实用指南,详细说明了个人数据保留的主要原则并提供了有关实施的实用建议。
根据指南,CNIL会定期提供有关特定处理的保留期限的指南或推荐良好做法。例如,在使用cookie和跟踪设备的建议中,CNIL认为cookie的生命周期为6个月是良好做法,或者受众测量跟踪设备的生命周期不应超过13个月。
CNIL建议根据处理目的(例如,业务关系的持续时间)评估保留期或确定保留期的标准,并保留证明此评估合理性的文件。
当个人未满15岁时,需要由未成年人及其父母共同提供同意。
控制者也有义务向此类未成年人提供信息,其措辞必须适合他们的年龄,因为必须让儿童意识到使用互联网的风险,特别是当他们在社交网络上创建帐户时。
2021年6月9日,CNIL发布了一系列加强未成年人在线个人数据保护的建议:
该法第6条规定,禁止处理特殊类别的个人数据(敏感个人数据)。
此外,该法第44条规定,该法第6条不适用于:
社会安全号码('NIR')第2019-341号法令(“NIR法令”)列出了使用NIR处理活动的控制者类别和允许的目的。其包括以下内容:
该法第60条规定数据处理者进行的处理应受合同或书面协议约束。
该法第48条列出了当直接从数据主体收集或间接收集个人数据时控制者应向数据主体提供的信息。
数据主体的知情权在以下情况下受到限制:
该法案第82条在其修订中规定,使用cookie需要数据主体的同意。
CNIL发布了关于使用“cookie和跟踪设备”的指南,在Cookie指南中,CNIL指出:
Cookies指南还规定,某些cookies无需征得同意,例如允许用户身份验证的cookies和跟踪器、保留电子商务网站上购物车内容的cookies或保留用户对cookies使用选择权的cookies和跟踪器。
该法规定,可以在GDPR第21条的条件下行使反对处理数据的权利。
根据该法第56条,如果法律要求进行处理,或者存在授权处理的压倒性明文规定,则不能行使反对权(除非在市场营销的情况下,反对权是绝对的)。
该法案并未实施GDPR中的数据可移植性权利。
该法第47条规定,任何对个人具有法律效力或重大影响的决定均不得仅基于个人数据的自动处理做出。
与国家安全和国防有关的处理和以预防、调查和起诉刑事犯罪为目的的处理没有此类限制。该法第95条补充说,禁止任何基于特殊类别的个人数据对自然人进行歧视的画像。
限制处理权:该法案并未实施GDPR中的限制处理权。
该法案规定了CNIL及其委员会/主席的权力,可以在控制者或处理者违反GDPR或该法案规定的义务的情况下采取纠正措施并实施制裁。
制裁程序分两步进行(可选的通知阶段,然后是制裁阶段):
如果控制者/处理者仍处于违规状态,它可以:
根据该法第20条,强制措施和金融制裁可能并不总是在正式通知之前发出。
然而,在实践中,CNIL很少实施大规模制裁,而是更倾向于采取更合作的方式,与控制者/处理者讨论并与他们合作以实现合规。
CNIL已发布各种执法行动,其中包括以下内容:
精彩推荐