GDPR:不需要影响分析的处理
GDPR:不需要影响分析的处理
摘要
- 定义
- RGPD的案文
- RGPD PDF
- RGPD的申请日期
- RGPD摘要
- CNIL和RGPD
- DPO和RGPD
(文章于2019年10月22日更新于17:03)Cnil已根据GDPR发布了不强制执行数据保护影响评估(DIP)的治疗方法清单。 CNIL在其网站上说,AIPD是一种工具,“不仅有助于建立尊重隐私的数据处理,而且可以证明其符合GDPR的要求”。此列表包含十二种类型的处理操作,认为不需要进行相对影响分析。
一些示例:供应商关系的管理,旨在管理作品和成立委员会活动的处理方法或仅出于人力资源目的实施的处理组织人员的管理方法雇员少于250人(工资管理,培训管理…)。针对公共部门的豁免也包括在此列表中,例如为管理学校,课外和幼儿事务而实施的治疗。警告:此列表并不详尽。 CNIL指出,“不会对个人的权利和自由构成高风险的”处理也不是强制性的。法国组织于2018年11月发布了治疗清单,相反,此分析是强制性的。
什么是RGPD?
缩写RGPD代表保护个人数据的一般法规。在英语中,首字母缩写是GDPR,代表通用数据保护法规。它引用了有关保护个人数据的新的欧洲参考文本。它旨在适应和现代化立法,并协调该领域的欧洲法律框架。欧洲联盟28个成员国中收集有关欧洲居民个人数据的所有公司,公共机构和协会均受到关注。欧盟以外国家/地区的组织也对他们收集和处理来自欧洲居民的个人数据也感到担忧。因此,Gafa,Uber,Airbnb和其他公司也要遵守相关规定。
RGPD的案文
经过长时间的谈判,欧洲议会于2016年4月14日最终通过了GDPR文本,并于2016年4月27日在《官方杂志》上颁布。该文本取代了1995年的欧洲旧版关于保护个人数据的参考文本。该旧指令已在法国用作《数据保护法》的基础。 RGPD文本的最终版本在欧盟网站或CNIL网站上以法语提供PDF格式。
| RGPD条款 | 定义 |
|---|---|
| 问责制 | 实施内部机制和程序以证明符合数据保护规则的义务。 |
| 影响分析 | 处理操作的系统描述(为什么要对数据进行处理以及其必要性)。 |
| 同意 | 案文提到:“有关人员以自由,具体,知情和明确的方式表达了明确的积极行为,表示同意处理有关他的个人数据。” |
| 数据保护官(DPO) | 组织中没有人要控制对GDPR的遵守。 |
| 个人资料(DCP) | 根据文本,是指“与已识别或可识别的自然人有关的任何信息”。例如:名字和姓氏,电话,电子邮件… |
| 被遗忘的权利 | 此权利使公司有义务基于多种理由尽快删除个人数据。 |
| 携带权 | 该权利允许用户以可读格式检索其个人数据,以存储或传输给第三方。 |
| 剖析 | 自动处理个人数据以评估与某人有关的某些个人方面的形式。 |
| 设计隐私 | 这个概念要求在产品或服务设计的上游考虑对个人数据的保护。 |
| 负责治疗 | 单独或与其他人一起确定数据处理目的和方式的自然人或法人,公共权力机构,服务机构或其他机构。 |
RGPD:文本PDF
对于那些希望阅读全文的人,以下是有关保护PDF格式的个人数据的一般规则,或通过单击此处直接下载。
RGPD什么时候适用?
RGPD于2018年5月25日生效。由于它是欧洲法规,而非指令,因此该文本同时在欧盟所有成员国生效,而没有进行转置。在国家法律中。换句话说,法国议会无需投票赞成在法国对案文的转置。自2018年5月25日起,任何违反GDPR的处理都可能导致罚款。最高可处以2000万欧元或上年营业额4%的罚款。这是这两种情况之间保留的最高金额。对于像Facebook或Google这样的网络巨头来说,得分可能高达数千万欧元。但是,跨国公司并不一定是最受关注的公司,因为它们拥有大量的律师和专家全职致力于这一问题。另一方面,对于小型实体(例如VSE,SME或协会)而言,风险较高,而这些实体在该领域通常知之甚少。
GDPR四点总结
RGPD确定了四个关键原则:同意,透明,人权和问责制。
- 同意第七条规定“同意应采取明确的积极行动,数据当事人以自由,具体,知情和明确的方式表达其同意处理其个人数据的同意,例如通过以下方式表达同意:书面声明,包括电子声明或口头声明。”请求者可以随时撤回同意书。对于BtoB公司而言,如果尊重收集目的,则征集同意不是强制性的(允许预先打勾的框)。
- 透明性正如GDPR第12条所述,组织必须向个人提供有关如何处理其数据的清晰明确的信息。所有这些都必须通过合约文件,收集表格或网站的“隐私”页面进行访问。
- 人的权利。新的权利已在法规中列为被所有用户遗忘的权利。组织在请求后只有一个月(而不是两个月)删除数据。数据的可移植权也是新的。它允许个人以可重用的形式检索他提供的信息,以便在必要时将其传输给第三方。
- 问责原则。它汇集了所有旨在使企业在处理个人数据方面承担更大责任的措施。例如,组织需要采取适当的措施来确保数据安全。他们还必须应用“设计隐私”这一概念,要求在产品或服务设计的上游考虑对个人数据的保护。他们还必须选择符合GDPR的分包商或指定数据保护官(DPO)来监视组织对RGPD的遵守情况。
CNIL在RGPD中的作用
和以前一样,Cnil在组织的场所或在线进行审核。根据年度计划,CNIL收到的投诉或媒体信息进行检查。他们还可以进行先前的检查。由于数据保护的基本原则在很大程度上保持不变(数据安全性,公平处理,保留期限等),因此CNIL继续对其进行严格审查。
另一方面,由RGPD产生的新义务和权利(携带权,影响评估等)受管制。但是,目前它们还不是惩罚性的。国务委员会授权CNIL放任至2020年中。目的是帮助组织了解新规定的问题和操作实施。要注意的另一个新颖之处是,对国际参与者的控制是由几个机构进行的,以便在欧洲范围内做出决定。
DPO,RGPD的指挥
英文数据保护官负责确保其工作所在组织的合规性。当员工将数据用于商业目的或内部目的(例如,在HR软件中)时,必须确保员工遵守法规的规定。因此,他需要与所有部门合作。对于“主管部门或公共机构,其核心活动导致其对大型人员和组织进行定期和系统的监视的机构或公共机构,其核心活动导致其应对的组织”,必须指定DPO。 CNIL说:“大规模的所谓敏感数据或与刑事定罪和犯罪有关的数据。最后,DPO可以共享,也就是说,可以在某些条件下(例如,容易达到)指定给多个组织。
通讯
注册通讯
收集的信息旨在提供给CCM Benchmark Group,以确保发送您的新闻通讯。
它们还将根据订阅的选项用于广告定位。
您有权访问和纠正您的个人数据,并有权在法律规定的范围内要求删除。
您也可以随时查看定位选项。详细了解我们的隐私政策。
看一个例子
DPO在某种程度上是计算机和自由通讯员(CIL)的后继者,自2005年以来是可选的,它负责确保遵守公共和私人组织中有关信息技术和自由的法律。但是,DPO的任务更加严格。他必须具有某些资格(专业资格,数据保护法知识)。但是,它的任务与CIL不同,因为它在法规的新义务方面具有建议和意识。