朱元发 博士
2018年5月25日,欧盟保护私人数据的装甲车发动,
温故而知新。1978年由法国制定颁布人人皆知的所谓计算机法: 《1978年1月6日关于计算机,文件与自由法》(La loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés)。
1995年欧共体颁布《欧共体95/46关于保护个人数据条例》
2016年欧盟通过数据保护总则(Le règlement no 2016/679, dit règlement général sur la protection des données - RGPD)。该法律已于2018年5月25月生效, 不用其它法律转入程序,
是否遵守该法律?当事者走着瞧吧 : 行政罚款的上限并不低 : 一千万至二千万欧元之间,也可以是企业全球营业额的2% - 4%。更可怕是该总则规定按上限罚款。
不怕一万,只怕万一。切莫以身试法!以卵击石啊!
个人隐私数据 必须明白的若干概念和事理
风过留痕,雁过留声,人过留名。数码时代,数码资料满天飞。
“短短二十年,个人隐私数据问题已从(简单的,孤立的)文件(
大数据处理时代,
然而,对欧洲人来说 : 个人隐私是神圣不可侵犯的。鉴于此,欧盟的立法者在制定《
提纲挈领,掌握四大概念
个人性质数据的定义 : 任何走向一个立即识别或可识别的自然人(“数据主体”)的信息。
数据处理 : 指针对个人数据或个人数据集合实施任何一种操作和一系统的操作,
《数据保护总则》适用范围 : 设于欧盟领土上的企业,组织和协会等。公司与组织设于欧盟之外,
共同责任性 : 《数据保护总则》引入了共同责任性的原则 : 一方面,一个企业和组织在收集和处理个人隐私数据时,
保护个人隐私数据人人有责,数据掌握者理应循规蹈矩妥善处事
数据主体的六大权力神圣不可侵犯
《(欧盟个人隐私)数据保护总则(RGPD)》
数据访问权 : 数据主体,
纠正权 : 数据主体应当有权要求数据收集和控制者无不当延误地纠正有关其不
被遗忘权 : 数据主体有权要求控制者无不当延误地删除有关其的个人数据。
限制处理权 在某些情况之下,数据主体应当有权限制控制者处理(数据)。
关于纠正或删除个人数据或限制处理的通知义务 : 一般来说 ,控制者应当将个人数据进行的任何纠正、删除或者处理限制,
反对权 : 一般情况下,数据主体有权拒绝有关其的个人数据被处理,
数据乱,剪不断,理还原,审时度势高枕无忧
既然欧盟立法已赋予了数据主体六大神圣不可侵犯的权力,
遵守欧盟法律,保护个人隐私数据, 既不能是孤陋寡闻,更不能置之惘闻。
第一步棋 任命数据保护代表(DPO)。
第二步棋 列出数据处理清单。老老实实地列出所有个人数据处理的清单(
第三步棋 决定轻重缓急之事。数据乱,剪不断,理还乱。
第四步棋 注意风险管理。所有的聪明且资深的项目管理者时时刻刻,
第五步棋 组织内部操作工艺 。在企业和组织内保证长期的稳定可靠的数据保护措施,
第六步棋 编撰备忘录。口说无凭,有字据为证。表明企业与组织遵守《
近两年来,号称对付《数据保护总则(RGPD)》
结论 : 切莫以卵击石,以身试法
本文题为《(欧盟个人隐私)数据保护总则(RGPD): 欧盟的装甲车开动了》,为什么说势如破竹的装甲车开动了?
欧盟起草颁布的,凌驾于欧盟成员国之上的(法律)总规五花八门,
A.个人隐私与个人数据保护是欧洲极其敏感的话题。
B. 在欧洲,特别是在法国,一方面,捍卫人权的各种协会多如牛毛,
C. 不怕一万,只怕万一。众所周知,法国有三分一的法律虽然已在《
D. 欧盟的立法者为了显示《〖欧盟个人隐私〗数据保护总则(
小心驶得万年船!切莫被《〖欧盟〗数据保护总规(RGPD)
******
*******
EXEMPLE DE REGISTRE de CNIL
Registre des activités de traitement de [Nom de l’organisme]
Coordonnées du responsable de l’organisme (responsable de traitement ou son représentant si le responsable est situé en dehors de l’UE) | Ex : NOM prénom du responsable légal Adresse CP VILLE Téléphone Adresse de messagerie |
Nom et coordonnées du délégué à la protection des données (si vous avez désigné un DPO) | Ex : NOM prénom du DPO Société (si DPO externe) Adresse CP VILLE Téléphone Adresse de messagerie |
Activités de l’organisme impliquant le traitement de données personnelles
Listez ici les activités pour lesquelles vous traitez des données personnelles.
Activités | Désignation des activités (exemples) |
Activité 1 | Gestion de la paie |
Activité 2 | Gestion des prospects |
Activité 3 | Gestion des fournisseurs |
Activité 4 | Vente en ligne |
Activité 5 | Sécurisation des locaux |
Activité 6 | |
Activité 7 | |
Activité 8 | |
Activité 9 |
Vous devrez créer et tenir à jour une fiche de registre par activité. Le modèle de fiche de registre est disponible sur la page suivante.
***********
Fiche de registre de l’activité 1
(Reprise de l’activité 1 de la liste des activités)
Date de création de la fiche | |
Date de dernière mise à jour de la fiche | |
Nom du responsable conjoint du traitement (dans le cas où la responsabilité de ce traitement de donnée est partagée avec un autre organisme) | |
Nom du logiciel ou de l’application (si pertinent) |
Objectifs poursuivis
Décrivez clairement l’objet du traitement de données personnelles et ses fonctionnalités.
Exemple : pour une activité « formation des personnels » : suivi des demandes de formation et des périodes de formation effectuées, organisation des sessions et évaluation des connaissances
....................................................................................................................................................................................
....................................................................................................................................................................................
...................................................................................................................................................................................
Catégories de personnes concernées
Listez les différents types de personnes dont vous collectez ou utilisez les données.
Exemples : salariés, usagers, clients, prospects, bénéficiaires, etc.
1. .............................................................................................. 2. .............................................................................
3. ............................................................................................... 4. .............................................................................
Catégories de données collectées
Listez les différentes données traitées
Etat-civil, identité, données d'identification, images (nom, prénom, adresse, photographie, date et lieu de naissance, etc.)
..........................................................................................................................................................................................
Vie personnelle (habitudes de vie, situation familiale, etc.)
..........................................................................................................................................................................................
Vie professionnelle (CV, situation professionnelles, scolarité, formation, distinctions, diplômes, etc.)
............................................................................................................................................................................................
Informations d’ordre économique et financier (revenus, situation financière, données bancaires, etc.)
...........................................................................................................................................................................................
Données de connexion (adresses Ip, logs, identifiants des terminaux, identifiants de connexion, informations d'horodatage, etc.)
………………………………………………………………………………………………………………………………..……
Données de localisation (déplacements, données GPS, GSM, …)
………………………………………………………………………………………………………………………………..……
Internet (cookies, traceurs, données de navigation, mesures d’audience, …)
………………………………………………………………………………………………………………………………..……
Autres catégories de données (précisez) :
………………………………………………………………………………………………………………………………..……
………………………………………………………………………………………………………………………………..……
………………………………………………………………………………………………………………………………..……
Des données sensibles sont-elles traitées ?
La collecte de certaines données, particulièrement sensibles, est strictement encadrée par le RGPD et requiert une vigilance particulière. Il s’agit des données révélant l'origine prétendument raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale des personnes, des données génétiques et biométriques, des données concernant la santé, la vie sexuelle ou l’orientation sexuelle des personnes, des données relatives aux condamnations pénales ou aux infractions, ainsi que du numéro d'identification national unique (NIR ou numéro de sécurité sociale).
Oui Non
Si oui, lesquelles ? : ………….………………………………………………………………………..…………………..
Durées de conservation des catégories de données
Combien de temps conservez-vous ces informations ?
.………………….…………………………. jours mois ans
Autre durée
Si vous ne pouvez pas indiquer une durée chiffrée, précisez les critères utilisés pour déterminer le délai d’effacement (par exemple, 3 ans à compter de la fin de la relation contractuelle).
…………………………………………..………………………..………………………..………………..……………………………..
…………………………………………..………………………..………………………..………………..……………………………..
…………………………………………..………………………..………………………..………………..……………………………..
Si les catégories de données ne sont pas soumises aux mêmes durées de conservation, ces différentes durées doivent apparaître dans le registre.
Catégories de destinataires des données
Destinataires internes
(exemples : entité ou service, catégories de personnes habilitées, direction informatique, etc.)
1. …………………………………………………………… 2. .……………………………………………………….
3 …………………………………………………………… 4. .……………………………………………………….
Organismes externes
(Exemples : filiales, partenaires, etc.)
1. …………………………………………………………… 2. .……………………………………………………….
3 …………………………………………………………… 4. .……………………………………………………….
Sous-traitants
(Exemples : hébergeurs, prestataires et maintenance informatiques, etc.)
1. …………………………………………………………… 2. .……………………………………………………….
3 …………………………………………………………… 4. .……………………………………………………….
Transferts des données hors UE
Des données personnelles sont-elles transmises hors de l’Union européenne ?
Oui Non
Si oui, vers quel(s) pays : ………….………………………………………………………………………..…………………..
Dans des situations particulières (transfert vers un pays tiers non couvert par une décision d’adéquation de la Commission européenne, et sans les garanties mentionnées aux articles 46 et47 du RGPD), des garanties spécifiques devront être prévues et documentées dans le registre (article 49 du RGPD). Consultez le site de la CNIL.
Mesures de sécurité
Décrivez les mesures de sécurité organisationnelles et techniques prévues pour préserver la confidentialité des données.
Le niveau de sécurité doit être adapté aux risques soulevés par le traitement. Les exemples suivants constituent des garanties de base à prévoir et peuvent devoir être complétés.
* Contrôle d'accès des utilisateurs
Décrivez les mesures :
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
* Mesures de traçabilité
Précisez la nature des traces (exemple : journalisation des accès des utilisateurs), les données enregistrées (exemple : identifiant, date et heure de connexion, etc.) et leur durée de conservation :
……………………………………..………………………..………………………..………………..……………………………..……………………………………..………………………..………………………..………………..……………………………..
* Mesures de protection des logiciels (antivirus, mises à jour et correctifs de sécurité, tests, etc.)
Décrivez les mesures :
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
* Sauvegarde des données
Décrivez les modalités :
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
* Chiffrement des données
Décrivez les mesures (exemple : site accessible en https, utilisation de TLS, etc.) :
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
* Contrôle des sous-traitants
Décrivez les modalités :
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
* Autres mesures :
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..……………………………..
……………………………………..………………………..………………………..………………..…………………………….
***
- 登录 发表评论
- 1873 次阅读