投資法國:關於數據和隱私合法性,您應該了解哪些信息?

25 11 月 2022 投資法國:關於數據和隱私合法性,您應該了解哪些信息?

Posted at 00:00h in Outbound Investment by

一、立法及主管機關

 

主要立法

歐盟通用數據保護條例(GDPR):自 2018 年 5 月 25 日起生效,這是歐盟的主要數據保護法規。

法國數據保護法案(FDPA):1978 年 1 月 6 日生效。為了符合 GDPR 的要求,後來在 2018 年 6 月 20 日通過兩項法案完成了修訂。

主管當局

法國國家資訊自由委員會 (CNIL):法國資料保護機構,其任務是確保有效地執行有關資料隱私的法律法規。CNIL 還針對特定領域(例如健康,保險,報告系統等)發布了一些數據保護建議和指南。

 

二、基本定義 1

 

資料控制者

這意味著單獨或與他人共同決定處理個人數據的目的和手段的自然人或法人,公共機構,監管機構或其他實體。

資料處理者

指為資料控制者目的而處理個人資料的自然人或法人、公共機構、監管機構或其他實體。

資料主體

指已識別或可識別的自然人。

個人資料

這意味著與數據主體有關的任何信息。

敏感性資料

這是指顯示種族或族裔背景、政治觀點、宗教或哲學信仰或工會成員資格、遺傳資料、自然人生物特徵資料,以及與自然人健康、個人性生活或性取向有關的資料的個人資料。

 

三、數據控制者和處理器的主要義務 2

 

資料處理記錄

每個數據控制者,處理者及其代表應保存所有類型的處理活動的記錄,並應根據要求將此記錄提供給監管機構。

資料保護影響評估

當處理過程可能對有關人士的權利和自由構成高風險時,數據控制者必須進行數據保護影響評估。

資料保護主任的委任

在①以下情況下,必須委任數據保護官員:對個人進行大規模的例行和系統監控; 或②大規模處理敏感數據。

數據洩露報告

數據控制者應在意識到數據洩露後的 72 小時內通知有關情況的主管機關,除非違反不太可能對自然人的權利和自由構成風險。在監管機構無法在 72 小時內通知的情況下,數據控制者應提供延遲通知的原因。

在了解數據洩露事件後,數據處理者應立即通知數據控制者,而不會出現不必要的延遲。

 

四、資料主體權利 3

 

訪問權

數據主體應該有權從控制者那裡知道他們的個人數據是否正在處理中。如果正在處理,數據主體應該有權訪問個人數據並接收一定量的附加信息。

糾正權

資料當事人有權要求更正與其有關的不正確資料。

刪除權

數據主體有權要求控制者刪除其個人數據。

反對權

數據主體有權隨時基於特殊情況,公共或合法利益的理由反對處理個人數據。

攜帶權

數據主體有權獲得提供給控制器的相關個人數據的權利,並且該數據獲得的個人數據應進行整理,常用和機器可讀。數據主體有權從其提供的控制器向另一個控制器無阻地傳輸此類數據。

 

五、罰則

近年來,CNIL 發行了一系列主要機票,例如:

1.谷歌:不符合規範的 cookie 設置和缺乏透明度

2021 年 12 月,谷歌被罰款總額 150 億歐元,因為其網站提供了一個接受 cookie 的按鈕,但沒有類似的按鈕拒絕 cookie,並且用戶需要多次單擊以拒絕所有 cookie。這種設計意味著用戶出於方便的原因更有可能接受 cookie,干擾互聯網用戶的同意自由。更嚴重的是,有很多人受到影響,公司可以從通過 cookie 收集的數據中獲得廣告收入中獲得巨大利潤。CNIL 在 2021 年 2 月警告谷歌有關此漏洞的問題,命令谷歌為法國用戶提供一種在 3 個月內拒絕接受 cookie 的簡便方法,否則他們將不得不支付每天延遲 10 萬歐元。最後,該罰款由谷歌和愛爾蘭谷歌分期支付 90 萬歐元和 6000 萬歐元。

2019 年 1 月,Google 因為在告知用戶如何處理其數據以及在個性化廣告方面缺乏有效的用戶同意而沒有透明和清晰,因此被罰款 5,000 萬歐元。

2.家樂福:不符合資料保護要求

2020 年 11 月,法國家樂福被罰款 225 萬歐元,家樂福銀行被罰款 80 萬歐元。就家樂福法國而言,CNIL 發現了該公司的一些不合規範情況,包括向數據主體提供不完整,不足和難以理解的信息,數據存儲時間過長,以及未能響應數據主體行使訪問個人數據或反對文本或電子郵件廣告的權利的請求。對於家樂福銀行,CNIL 裁定該公司未能公平處理數據當事人的個人數據,未能根據 GDPR 的要求通知數據當事人,並且未能合法使用 cookie。

與近年來中國引入的更分散的數據和隱私規範法規相比,法國自 1978 年以來建立了相關系統,其立法在 GDPR 時代變得更加集中化。中文和法文的資料與隱私符合規範系統之間也存在許多重大差異,例如法例的適用範圍、敏感資訊的定義,以及本地化資料儲存的要求。

簡而言之,在法國投資時,公司應該充分了解其數據保護義務。ASIALIANS 團隊對中國和法國的數據和隱私符合規定方面具有深入的了解,可以幫助公司遵守法國的規範要求。如欲了解更多詳情,請致電 asiallians@asiallians.com與我們聯絡。

  1. GDPR 第 4 和第 9 條;FDPA 第 2 和第 6 節。
  2. GDPR 第 30、33、35、37 條;FDPA 第 57-58、60、62 條。
  3. GDPR 第 16 至 17 條第 20-21 條;FDPA 第 50-52 條第 56 條。