+7 (499) 550-80-03
4people@grfc.ru
    • Главная Аналитика и законодательство Международные акты и акты иностранных государств в области персональных данных Акты иностранных государств Франция
    28 сентября 2022

    Франция

     

    ЗАКОНОДАТЕЛЬСТВО ФРАНЦИИ В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Система законодательства в области персональных данных. Основные нормативно-правовые акты

    Права, связанные с защитой персональных данных, имеют конституционную природу, однако это не значит, что во французской Конституции прямо предусмотрена защита персональных данных. Указанные права получили защиту через призму защиты частной жизни, право на которую закреплено в Конституции Франции. Необходимо отметить значение Гражданского кодекса Франции, в котором предусмотрена статья об уважении частной жизни (статья 9), а также специальный нормативный правовой акт от 6 января 1978 года № 78-17 «Закон об информации, картотеках и свободах» (Loi № 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, далее – Закон об информации).

    Франция, являясь членом Европейского союза, обязана в своем нормотворчестве не вступать в противоречие с правом ЕС. Имплементация единого для  ЕС Общего Регламента защиты персональных данных (General Data Protection Regulation, далее – GDPR) во Франции реализована в Законе об информации.

    Французский надзорный орган (Национальная комиссия по информатизации и свободе, Commission Nationale de l’Informatique et des Libertés, далее – CNIL) вправе издавать руководящие принципы и рекомендации по вопросам защиты персональных данных.

    Территориальное  действие законодательства о персональных данных

    Положения Закона об информации применяются при обработке контролером и оператором персональных данных, полученных на территории Франции, независимо от того, происходит обработка во Франции или вне ее пределов. Таким образом, Закон об информации имеет экстерриториальное действие в отношении данных, полученных на территории Франции. Он применяется и в том случае, если осуществляется обработка персональных данных лица, проживающего во Франции, когда контроллер не зарегистрирован на ее территории. В то же время есть исключения из данного правила, когда контролер, не зарегистрированный во Франции, подчиняется своему национальному законодательству.

    Основные понятия

    Персональные данные

    Это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу, отражающая физическую, физиологическую, генетическую, ментальную, экономическую, культурную или социальную идентичность этого физического лица. Идентифицируемое физическое лицо – это лицо, которое может быть идентифицировано прямо или косвенно, в частности, путем ссылки на идентификатор либо на один или несколько факторов, специфичных для данного лица.

    Регистрационный номер физического лица в национальном идентификационном справочнике допускается обрабатывать без согласия субъекта персональных данных в случаях:

    • обработки в статистических целях (в зашифрованном виде);
    • использования в научных и исторических исследовательских целях (в зашифрованном виде);
    • обмена между административными органами в целях дистанционного электронного администрирования.

    Чувствительные данные

    Это персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах,  касающиеся здоровья или интимной жизни, сексуальной ориентации, генетические или биометрические данные.

    Трансграничная передача

    Контролер может передавать персональные данные в не входящее в ЕС государство только в том случае, если:

    • государство обеспечивает достаточный уровень защиты конфиденциальности и основных прав и свобод субъектов персональных данных в отношении обработки персональных данных;
    • страна входит в список стран с адекватным уровнем защиты;
    • контролер оценил все обстоятельства передачи и считает, что надлежащие гарантии существуют.

    Достаточность уровня защиты, обеспечиваемой государством, оценивается на основе положений, действующих в этом государстве, применяемых мер безопасности, конкретных характеристик обработки, таких как ее цели и продолжительность, а также характер, происхождение и назначение обрабатываемых персональных данных.

    В то же время контролер вправе передавать персональные данные государству, которое не соответствует вышеуказанным требованиям, если лицо, к которому относятся данные, дало прямое согласие на их передачу или если передача необходима для одного из следующих случаев:

    • защиты жизни данного субъекта персональных данных;
    • защиты общественных интересов;
    • соблюдения обязательств, обеспечивающих признание, осуществление или защиту законного права;
    • ознакомления с данными, содержащимися в публичном реестре;
    • исполнения договора между контролером и субъектом персональных данных или преддоговорных процедур по инициативе субъекта персональных данных;
    • заключения или исполнения договора в интересах субъекта данных между контролером и третьей стороной.

    В случае передачи контролером данных в страны, которые не включены в список адекватных, он обязан уведомить об этом Национальную комиссию по информатизации и свободе.

    Государственный орган Франции также вправе передавать персональные данные в страны, не обеспечивающие адекватный уровень защиты персональных данных, а также в страны, законодательное регулирование которых не предусматривает достаточный уровень конфиденциальности, если такая передача осуществляется в целях исполнения возложенных на него функций и задач, когда защита общественного интереса превалирует над правами и интересами субъекта персональных данных. При этом орган государственной власти, который осуществляет передачу, обязан информировать получателя данных о цели обработки, предусмотренной для таких персональных данных. Кроме того, в этом случае государственный орган обязан информировать CNIL о такой передаче, а также должен отслеживать дату и время передачи, информацию о получателе, обоснование передачи и передаваемые персональные данные.

    Биометрические данные

    Закон об информации не предусматривает регулирование обработки биометрических данных. Для этих целей применяется GDPR и постановления CNIL. Биометрические данные относятся к чувствительным данным, обработка которых запрещена, за исключением некоторых перечисленных в законодательстве случаев.

    Определение биометрических данных по GDPR включает все виды морфологических (отпечаток пальца, форма руки, радужная оболочка и т. д.), биологических (слюна, кровь, ДНК и т. д.) или поведенческих (походка и т. п.) характеристик.

    Персональные данные несовершеннолетних

    Возраст, с которого допускается самостоятельное предоставление согласия на обработку персональных данных, установлен во французском Законе об информации – 15 лет (статья 45). До указанного возраста согласие от несовершеннолетнего предоставляется законным представителем совместно с заинтересованным несовершеннолетним.

    На контролеров возлагается обязанность использовать простые и понятные несовершеннолетнему формулировки, поясняющие обработку его персональных данных.

    Оператор и обработчик (понятие обработчика, оформление отношений с обработчиком, полномочия)

    Оператор во французском законодательстве – это контролер.
    Контролер – это физическое или юридическое лицо, государственный орган, учреждение или иной орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных.

    Контролер должен принять все необходимые меры предосторожности в отношении рисков, связанных с обработкой, для обеспечения безопасности данных и, в частности, для предотвращения их искажения, повреждения или несанкционированного доступа третьих лиц.

    Обработчик во французском законодательстве – это процессор.
    Процессор – это физическое или юридическое лицо, государственный орган, учреждение или иной орган, обрабатывающий персональные данные от имени контролера.

    Контракт, связывающий процессора с контролером, включает указание на обязательства, возлагаемые на процессора в отношении защиты безопасности и конфиденциальности данных, и предусматривает, что процессор может действовать только по указанию контролера. Контракт должен содержать следующие условия: предмет обработки, продолжительность обработки, характер и цель, виды персональных данных и категории субъектов, обязанности и права контролера.

    Права субъекта персональных данных (отзыв согласия, требование о прекращении обработки)

    Любое физическое лицо имеет право по законным причинам возражать против обработки его персональных данных. Исключение составляют случаи, когда обработка соответствует юридическому обязательству или когда это предусмотрено положением закона.

    Согласно Закону об информации никакое судебное решение, связанное с оценкой поведения лица, не может основываться на автоматизированной обработке персональных данных.

    Право на информацию об обработке персональных данных не распространяется на случаи, когда такая обработка осуществляется от имени государства и в интересах общественной безопасности. Это применяется в том числе при обработке персональных данных государственными налоговыми органами.

    У субъекта персональных данных имеются права: на доступ к своим данным, на исправление, удаление, ограничение обработки. В силу Закона об информации контролер обязан информировать субъекта персональных данных о праве определять судьбу его персональных данных после его смерти.

    При продвижении товара контролер обязан удалить персональные данные, которые были собраны, когда субъект этих данных был несовершеннолетним, по его требованию или обеспечить их удаление.

    Согласно Закону об информации, контролер обязан предоставить субъекту персональных данных:

    • сведения о наименовании и контактные данные контролера либо его представителя;
    • контактные данные уполномоченного по защите данных (если применимо);
    • информацию о цели обработки для которой предназначены данные;
    • разъяснение прав.

    В дополнение к перечисленному, в определенных случаях контролер должен предоставить субъекту дополнительную информацию:

    • о правовой основе обработки персональных данных;
    • о сроке хранения персональных данных или, если это невозможно, критериях, используемых для определения этого периода;
    • о категориях получателей персональных данных (если применимо), в том числе тех, которые установлены в государствах не входящих в Европейский союз, или в рамках международных организаций;
    • дополнительную информацию, в том числе, когда персональные данные собираются без ведома субъекта персональных данных.

    Субъект персональных данных имеет право получить от контролера данных подтверждение того, что личные данные обрабатываются или не обрабатываются, право на доступ к этим данным, а также информацию о:

    • целях и правовой основе обработки;
    • категории персональных данных;
    • получателе или категории получателей, которым были переданы персональные данные, в частности получателях, которые были учреждены в государствах, не входящих в Европейский союз, или в рамках международных организаций.

    Права субъекта персональных данных могут быть ограничены в рамках соразмерности принципам демократического общества, с учетом интересов соответствующего субъекта персональных данных, в целях:

    • осуществления расследования, исследования, административного или судебного разбирательства;
    • в целях предупреждения и раскрытия уголовных преступлений, их расследования или уголовного преследования, или исполнения наказаний;
    • защиты общественной безопасности;
    • защиты национальной безопасности;
    • защиты прав и свобод других лиц.

    В целях соблюдения этих ограничений контролер вправе задерживать или ограничивать сообщение субъекту данных предусмотренной законодательством информации относительно обработки, ограничивать право на доступ к персональным данным, не информировать субъекта об отказе исправить или удалить, а также о причинах такого решения. Контролер фиксирует фактические и юридические основания, на которых основано это решение, и передает эту информацию CNIL.

    В случае указанных ограничений прав субъект вправе обратиться в CNIL с целью проведения проверки. Комиссия указанного органа информирует заинтересованное лицо о проведении необходимых проверок и о его праве на обращение в суд. Если данная комиссия по согласованию с контролером данных установит, что передача соответствующей информации не угрожает государственной безопасности, обороне или общественной безопасности, эти данные могут быть сообщены субъекту персональных данных. Информация предоставляется в электронной форме или в форме, в которой был направлен запрос. В случае возникновения спора, бремя доказывания обоснованности своей позиции лежит на контролере данных, которому был адресован запрос субъекта персональных данных.

    Требования к согласию

    Согласие на обработку персональных данных является первым в списке правовых оснований. При этом Закон об информации не содержит специальных требований к оформлению согласия.

    Законный интерес

    Законный интерес предусмотрен как основание для обработки персональных данных (при условии, что этот интерес не перекрывается интересами конфиденциальности субъекта данных и субъект данных не воспользовался своим правом на возражение).

    Отраслевое регулирование в области персональных данных

    Медицина

    По общему правилу, согласно статье 6 Закона об информации, обработка персональных данных, касающихся здоровья, запрещена. Однако есть исключения, которые предусмотрены в статье 44 указанного закона:

    • если обработка необходима для целей профилактической медицины, медицинской диагностики, оказания помощи или лечения, для управления услугами здравоохранения и такая обработка осуществляется медицинским работником или другим лицом, на которого возложена профессиональная обязанность по сохранению тайны под угрозой применения уголовной ответственности (по статье 226-13 Уголовного кодекса Франции);
    • если осуществляется статистическая обработка Национальным институтом статистики и экономических исследований или одним из министерств в соответствии со специальным законодательным регулированием данной деятельности;
    • если обработка медицинских данных осуществляется в общественных интересах;
    • если обработка биометрических данных осуществляется работодателем или администрацией строго для контроля доступа к рабочим местам, а также для работы приложений и устройств, используемых в рамках выполнения трудовой деятельности;
    • если обработка связана с повторным использованием общедоступной информации, при условии, что эта обработка не имеет цели повторной идентификации;
    • если обработка необходима для публичных исследований с разрешения СNIL;
    • если обработка необходима для выполнения функций органами, ответственными за управление медицинским страхованием, а также ответственными за выплату пособий органами дополнительного медицинского страхования;
    • если обработка осуществляется региональными органами здравоохранения и назначенным ими государственным органом;
    • если обработка осуществляется государством в целях разработки, мониторинга или оценки государственной политики в области здравоохранения, а также в целях сбора, использования и распространения статистических данных в этой области.

    Обработка медицинских данных в соответствии с вышеуказанными целями представляет общественный интерес. Гарантия высоких стандартов качества и безопасности медицинских услуг и лекарственных средств или медицинских изделий также служит цели общественного интереса.

    Правила обработки медицинских данных устанавливаются CNIL с учетом специальной платформы медицинских данных, утвержденной Кодексом здравоохранения, а также мнения заинтересованных государственных органов и частных организаций.

    При этом обработка медицинских данных допускается только после предварительного уведомления CNIL о гарантиях соответствия такой обработки утвержденным стандартам.

    Стандарты могут включать в себя описание и процессуальные гарантии, соблюдение которых обеспечивает низкий уровень угрозы конфиденциальности.

    Несмотря на обязанность по соблюдению врачебной тайны, представители медицинских профессий могут передавать имеющиеся медицинские данные лицу, ответственному за обработку данных. Когда эти данные позволяют идентифицировать лиц, их передача должна осуществляться на условиях, гарантирующих их конфиденциальность. CNIL может принять руководящие принципы в отношении технических процессов, которые необходимо соблюдать. Разглашение результатов обработки медицинских данных допускается, если прямая или косвенная идентификация субъекта персональных данных невозможна.

    Лица, у которых собираются персональные данные или о которых такие данные передаются, информируются об этом в соответствии с положениями Европейского регламента 2016/679 от 27.04.2016, если субъект персональных данных не воспользовался правом оставаться в неведении относительно диагноза или прогноза.

    В соответствии с Законом об информации, доступ к медицинским данным имеют законные представители несовершеннолетнего или лицо, назначенное органом опеки, либо попечитель в отношении лица, чье состояние не позволяет ему самостоятельно принимать решения.

    Для обработки медицинских данных в интересах несовершеннолетнего, в том числе осуществляемой в исследовательских целях или исходя из общественного интереса, достаточно согласия только одного из родителей несовершеннолетнего, если получение согласия второго родителя затруднительно. Несовершеннолетний в возрасте 15 лет и старше вправе возражать против того, чтобы родители имели доступ к его данным, полученным в ходе обследования. В дальнейшем такой несовершеннолетний получает информацию и осуществляет свои права самостоятельно. В целях указанной обработки несовершеннолетний от 15 лет и старше вправе возражать против информирования родителей об обработке персональных данных, если он не хочет информировать их о профилактике, диагностике, лечении и т.п. либо если семья разобщена и несовершеннолетний получает пособие по медицинскому страхованию. В дальнейшем такой несовершеннолетний осуществляет свои права самостоятельно.

    В случае, если исследование требует обработки генетических данных, перед осуществлением их обработки должно быть получено информированное и явно выраженное согласие заинтересованных лиц. Исключения могут быть предусмотрены Кодексом общественного здравоохранения.

    Закон об информации предусматривает создание и полномочия комитета по аудиту в сфере обработки медицинских данных. Данный закон уделяет этому особое внимание. Отчет об аудите рассматривается CNIL. При необходимости доступ к медицинским данным может быть приостановлен.

    Согласно Закону об информации, специальная комиссия CNIL может осуществлять проверки с доступом в различные помещения и получать любую информацию. Однако, что касается медицинских данных, их передача может осуществляться только с разрешения и в присутствии врача.

    Трудовые отношения

    Обработка биометрических данных работников осуществляется работодателями и администрациями, если это необходимо для контроля доступа на рабочие места, а также к устройствам и приложениям, используемым в соответствии с задачами, возложенными на сотрудников, стажеров или поставщиков услуг.

    Работодателю не обязательно получать письменное согласие на обработку персональных данных, так как это предполагается изначально. Разрешено отслеживание геолокации транспортных средств, управляемых сотрудниками, если это осуществляется во время работы и сотрудники проинформированы об этом. Разрешена запись телефонных разговоров сотрудников, если это соответствует заранее определенной цели, например, для обучения или оценки качества обслуживания. Разрешено изучение рабочей электронной почты, если у писем нет пометки «личное».

    Каждый потенциальный работодатель должен соблюдать следующие принципы:

    • Информация, запрашиваемая у кандидата в любой форме, должна быть предназначена исключительно для оценки его способности выполнять предлагаемую работу или для оценки его профессиональных навыков. Другими словами, никакая информация частного характера запрашиваться не должна.
    • Кандидат должен быть проинформирован о методах и приемах найма, используемых до их внедрения.
    • Ни один кандидат не может быть исключен из процесса найма по дискриминационным причинам (например, пол, сексуальная ориентация, возраст, семейное положение или беременность, генетические особенности, политические взгляды, профсоюз, религиозные убеждения и т.д.).

    Недопустимо в отношении кандидатов на работу:

    • Требовать прохождения медицинского освидетельствования на этапе приема на работу. Медицинское освидетельствование возможно только после приема на работу в соответствии с действующими правилами. Для определенных категорий работников (работников, назначенных на ночные смены, работников в возрасте до 18 лет, работников, подвергшихся воздействию специфических биологических агентов и т.д.) визит на медицинское освидетельствование должен состояться до их назначения на должность.
    • Проводить тестирование на алкоголь или наркотики. Однако такое тестирование можно проводить после приема на работу, если внутренние правила работодателя требуют проведения тестирования, но только для тех работников, для которых употребление наркотиков представляет серьезную опасность для их безопасности или безопасности других работников (например, работников, которые управляют транспортными средствами, обращаются с опасными материалами и т.д.). Для этого тестирования требуется предварительное согласие работника. В любом случае такие тесты должны быть ограничены теми сотрудниками, которые занимают должности, подверженные риску.

    Для целей найма работодатель имеет право собирать дополнительную информацию для выполнения своих юридических обязательств (например, номер социального страхования заявителя для обязательных деклараций социального страхования) или для бесперебойного функционирования кадровых служб.

    В любом случае обработка персональных данных в процессе найма и подбора персонала должна быть включена в политику конфиденциальности персональных данных соискателей/сотрудников и зарегистрирована в журнале учета деятельности по обработке в соответствии с Общим регламентом защиты данных (GDPR). Вся информация, собранная о заявителе/работнике, должна рассматриваться как конфиденциальная, что означает, что доступ должен предоставляться только лицам, уполномоченным на это для выполнения своих обязанностей, а также строго в рамках их трудовых обязанностей (например, кадровые службы).

    Использование биометрических данных на предприятиях

    В конце марта 2019 года CNIL опубликовал Типовой регламент, регулирующий использование биометрического контроля доступа к рабочему месту. В отличие от многих элементов личной информации, биометрические данные (такие как лицо человека или отпечатки пальцев) уникальны и, если они украдены или иным образом скомпрометированы, не могут быть изменены. В соответствии со статьей 9 GDPR биометрические данные, собранные «с целью однозначной идентификации физического лица» требуют дополнительной защиты. GDPR уполномочивает государства-члены применять такие дополнительные меры защиты. Таким образом, французский Закон об информации с внесенными в него поправками теперь предусматривает, что работодатели (государственные или частные), желающие использовать биометрический контроль доступа, должны соблюдать обязательные типовые правила, принятые CNIL, первым из которых является Типовой регламент.

    Типовой регламент, который CNIL доработал и принял после консультаций с общественностью, устанавливает жесткие требования к обработке биометрических данных для контроля доступа на рабочие места.

    Обоснование использования биометрии: Типовой регламент требует, чтобы работодатели обосновывали использование биометрии на основе конкретного контекста рабочего места (например, наличие опасного оборудования, ценностей, конфиденциальных материалов или продуктов, подлежащих строгому регулированию) и демонстрировали, почему использование других традиционных средств аутентификации (например, бейджей или паролей) не является адекватным с точки зрения безопасности. Такое обоснование должно быть задокументировано работодателем, включая обоснование выбора одного биометрического признака вместо другого для аутентификации. Типовой регламент также описывает различные типы биометрических систем контроля доступа, основанных на способе передачи и хранения данных, и сопутствующие риски безопасности данных, связанные с хранением биометрических шаблонов в центральной базе данных.

    Поддержание надежной безопасности данных: Типовой регламент детализирует множество способов, с помощью которых работодатели должны поддерживать надежные организационные и технологические процедуры безопасности данных. Перечисленные меры безопасности относятся к данным, организации, аппаратным средствам, программному обеспечению и компьютерным каналам. Работодатель должен не реже одного раза в год проверять выполнение этих мер. Типовой регламент также предусматривает максимальные сроки хранения биометрических данных. Например, необработанные биометрические данные (такие как фотография или аудиозапись) не могут храниться дольше, чем это необходимо для создания биометрического шаблона, который может быть проанализирован программным обеспечением системы. Кроме того, любые полученные биометрические шаблоны должны быть зашифрованы и в итоге удалены, как только сотрудник прекратил работу в организации. Типовое положение также определяет типы индивидуальных персональных данных, которые могут храниться на устройстве биометрического контроля, и типы данных журнала, которые могут быть собраны.

    Локализация (положения, требования, ответственность)

    Согласно статье L.111-1 Кодекса французского наследия, государственные архивы считаются «национальными сокровищами». Кодекс предусматривает, что национальные сокровища должны храниться на территории Франции и могут быть вывезены за пределы Франции только временно, по предварительному разрешению Министерства культуры Франции.

    В соответствии со статьей L.211-4 Кодекса французского наследия публичными архивами являются:

    • документы, вытекающие из деятельности государства, органов местного самоуправления, государственных учреждений и других государственных образований;
    • документы, полученные в результате оказания государственных услуг или осуществления государственных услуг частными организациями.
    • реестры государственных или министерских должностных лиц и нотариальные реестры.

    Указанные публичные данные должны храниться и обрабатываться в центрах обработки данных, расположенных во Франции, управление которыми также должно осуществляться во Франции.

    В соответствии с налоговым законодательством: бумажные счета-фактуры должны храниться на территории Франции в месте, доступном для любого запроса французской налоговой администрации.

    Ответственность за нарушения в сфере персональных данных

    Президент CNIL может предупредить контролера и процессора о совершаемых нарушениях при обработке персональных данных, а также направить официальное требование:

    • устранить нарушение;
    • привести свою деятельность в соответствие с законодательством;
    • информировать субъекта об утечке;
    • внести уточнения или удалить либо заблокировать обработку персональных данных, уведомить субъекта персональных данных о принятых мерах.

    В случае если контролер или процессор не соблюдают направленное им предупреждение и не исполняют перечисленные выше мероприятия, после завершения разбирательства со стороны надзорного органа могут быть применены следующие меры:

    • требование об устранении нарушений;
    • судебный запрет на приведение обработки персональных данных в соответствие с законодательством с уплатой штрафа в размере не более 100 000 евро за день просрочки (за исключением случаев, когда обработка осуществляется государством);
    • временное или постоянное ограничение обработки данных, ее запрет или отзыв разрешения, выданного с тем же требованием или Законом об информации (за исключением случаев, обработки, связанной
      с государственной безопасностью и обороной);
    • отзыв сертификата или предписание соответствующему органу по сертификации об отказе в сертификации или отзыве предоставленного сертификата;
    • приостановка потоков данных, отправляемых получателю, находящемуся в третьей стране или международной организации (за исключением обработки, связанной с государственной безопасностью или обороной);
    • частичная или полная приостановка внутренних корпоративных правил (норм);
    • административный штраф в размере не более 10 млн евро или, в случае компании, 2% от общего годового оборота за предыдущий год, в зависимости от того, что больше. В определенных случаях указанные суммы увеличиваются, соответственно, до 20 млн евро и 4% от указанного оборота (эта норма не распространяется на обработку, осуществляемую государственными органами).

    Помимо административной ответственности в соответствии со статьей 40 Закона об информации некоторые нарушения положений данного закона предусматривают наказания по статьям 226-16 — 226-24 Уголовного кодекса.  Они включают в себя ответственность за:

    • осуществление обработки персональных данных без соблюдения формальностей, предусмотренных Законом об информации (наказывается лишением свободы на пять лет и штрафом в размере 300 000 евро);
    • обработку персональных данных, включая информацию о регистрационных номерах физических лиц в национальном реестре идентификации физических лиц без их согласия (карается лишением свободы на пять лет и штрафом в размере 300 000 евро);
    • обработку персональных данных без осуществления мер, предусмотренных статьями 24, 25, 30 и 32 GDPR (т.е. без записи операций по обработке и мер по безопасности обработки), которая наказывается лишением свободы на пять лет и штрафом в размере 300 000 евро;
    • непредоставление поставщиком услуг электронной связи, контролером или обработчиком уведомления CNIL о нарушении персональных данных (наказывается лишением свободы на пять лет и штрафом в размере 300 000 евро);
    • сбор персональных данных мошенническими, недобросовестными или незаконными способами (наказывается лишением свободы на пять лет и штрафом в размере 300 000 евро);
    • обработку персональных данных физического лица, несмотря на законное возражение этого лица, если такая обработка осуществляется с целью разведки, в частности, в коммерческих целях (наказывается лишением свободы на пять лет и штрафом в размере 300 000 евро);
    • хранение чувствительных персональных данных (за исключением случаев, предусмотренных законодательством) без явного согласия субъекта данных (наказывается лишением свободы на пять лет и штрафом в размере 300 000 евро. Такие же штрафы применяются и к неавтоматизированной обработке персональных данных);
    • обработку персональных данных в целях медицинских исследований, если субъекту данных не была предоставлена информация о передаче, праве доступа, исправлении и возражении, характере передаваемых данных и получателях таких данных или если обработка осуществлялась, несмотря на законное возражение субъекта данных или при отсутствии информированного и прямо выраженного согласия этого лица, или осуществлялась обработка персональных данных умершего лица, несмотря на отказ, выраженный последним при жизни (наказывается лишением свободы на пять лет и штрафом в размере 300 000 евро);
    • хранение персональных данных сверх срока, предусмотренного Законом об информации или нормативными актами, если только такое хранение не осуществляется в исторических, статистических или научных целях на условиях, предусмотренных Законом об информации (наказывается лишением свободы на пять лет и штрафом в размере 300 000 евро);
    • злоупотребление целями обработки (наказывается лишением свободы на пять лет и штрафом в размере 300 000 евро);
    • несанкционированное разглашение данных, которое может привести к нарушению конфиденциальности субъекта данных или его частной жизни, а также к причинению ущерба (наказывается лишением свободы на пять лет и штрафом в размере 300 000 евро или штрафом в размере 100 000 евро, если оно было совершено по неосторожности);
    • передачу персональных данных в нарушение главы V GDPR (карается лишением свободы на пять лет и штрафом в размере 300 000 евро);
    • воспрепятствование действиям CNIL (наказывается лишением свободы на один год и штрафом в размере 15 000 евро).

    В соответствии со статьей 226-23 Уголовного кодекса в случаях, предусмотренных выше, может быть вынесен приказ об удалении всех или части обрабатываемых персональных данных, в отношении которых было совершено преступление.

    Обработка персональных данных умерших лиц

    Права субъекта персональных данных, предусмотренные Главой 2 Закона об информации, прекращаются со смертью соответствующего субъекта персональных данных. Однако любой субъект персональных данных может определить правила, касающиеся хранения, удаления и передачи его личных данных после его смерти.

    Эти правила могут быть общими или конкретными. Общие правила касаются всех персональных данных, относящихся к субъекту персональных данных, и могут быть зарегистрированы у доверенной третьей стороны, сертифицированной CNIL.Ссылки на общие правила и доверенное третье лицо, у которого они зарегистрированы, заносятся в единый реестр, условия которого устанавливаются декретом Государственного совета, принятым после мотивированного и опубликованного заключения CNIL.

    Конкретные правила обработки персональных данных также регистрируются у соответствующих контролеров данных. Для таких правил предусмотрено отдельное согласие субъекта.

    Субъект персональных данных может отозвать или изменить указанные выше правила обработки в любое время.

    Общие и конкретные правила обработки персональных данных после смерти субъекта могут быть исполнены назначенным им ответственным лицом. Такое лицо вправе потребовать их выполнения соответствующими контролерами данных, если такое лицо не назначено и не указано иное, наследники субъекта персональных данных также имеют право ознакомиться с этими правилами после смерти их автора и потребовать от контролеров персональных данных их исполнения. Любые условия, ограничивающие предусмотренные Законом об информации права субъекта персональных данных в отношении обработки его данных после смерти, считаются недействительными.

    При отсутствии общих и конкретных правил, наследники могут осуществлять права в необходимом объеме:

    • Для организации распоряжения имуществом умершего. Наследники могут получить доступ к обработке персональных данных, в целях идентификации и получения информации, необходимой для реализации и распределения имущества. Они также могут получать цифровые активы или данные, которые передаются наследникам.
    • Для закрытия учетных записей умершего, возражения против продолжения обработки или обновления персональных данных.

    По требованию наследников контролер обязан бесплатно предоставить им информацию, доказывающую выполнение их требований к обработке персональных данных умершего лица. Разногласия наследников по рассматриваемому вопросу разрешаются в суде.

    Любой провайдер общедоступных онлайн-коммуникационных услуг информирует пользователя о судьбе его данных после его смерти и предоставляет ему право выбрать, передавать ли свои данные третьей стороне, которую он укажет.

    Сведения об умерших лицах, в том числе сведения, содержащиеся в свидетельствах о смерти, могут обрабатываться в целях исследования, изучения или оценки в области здравоохранения, за исключением случаев, когда заинтересованное лицо в письменной форме выразило свой отказ в письменной форме при жизни.

     Урегулирование споров. Досудебная процедура. Право на обращение в суд

     Граждане в качестве средств правовой защиты вправе:

    • подавать жалобы в CNIL (статья 11 Закона об информации);
    • требовать возмещения материального или нематериального ущерба (статья 43 Закона об информации).

    Надзорный орган в сфере персональных данных, его полномочия

    Главным надзорным органом в сфере персональных данных во Франции является Национальный совет по информатике и свободам CNIL. Данный орган состоит из 18 членов.

    Закон об информации уделяет существенное внимание полномочиям данного органа и подробно описывает его функции и порядок формирования.

    CNIL является независимым административным органом. Он выполняет следующие функции:

    • информирует всех заинтересованных лиц и всех ответственных за обработку об их правах и обязанностях и может с этой целью предоставлять соответствующую информацию для всех участников отношений, включая территориальные образования, малые и средние предприятия;
    • обеспечивает осуществление обработки персональных данных в соответствии с положениями Закона об информации и другими положениями, касающимися защиты персональных данных, предусмотренными законодательными и нормативными актами, законодательством Европейского cоюза и международными обязательствами Франции.

    На этом основании CNIL:

    • Дает рекомендации в отношении методов обработки.
    • Разрабатывает и публикует руководящие принципы, рекомендации или справочные материалы, призванные способствовать приведению обработки персональных данных в соответствие с документами, касающимися защиты персональных данных, и проводит предварительную оценку рисков со стороны менеджеров по обработке и их подрядчиков.  Поощряет разработку кодексов поведения, определяющих обязанности менеджеров по обработке данных и их подрядчиков с учетом риска для прав и свобод физических лиц, связанного с обработкой их персональных данных, особенно несовершеннолетних.  Утверждает и публикует справочные материалы, предназначенные для обеспечения соблюдения требований при обработке персональных данных о состоянии здоровья. Во всех областях своей деятельности учитывает положение людей, не обладающих цифровыми навыками, и особые потребности территориальных образований, микропредприятий, малых и средних предприятий.
    • Во взаимодействии с государственными и частными организациями, представляющими соответствующие заинтересованные стороны, разрабатывает и издает типовые правила, направленные на обеспечение безопасности систем обработки персональных данных и регулирование обработки биометрических, генетических и медицинских данных. Таким образом, за исключением обработки, осуществляемой от имени государства, действующего в рамках своих государственных полномочий, CNIL предписывает дополнительные меры, в том числе технические и организационные, для обработки биометрических, генетических и медицинских данных в соответствии со статьей 4 статьи 9 Закона об информации и GDPR.
    • Рассматривает претензии и жалобы, поданные заинтересованным лицом или каким-либо учреждением, организацией или ассоциацией, рассматривает или расследует предмет претензии в необходимой степени и информирует автора претензии о ходе работы и результатах расследования в разумные сроки.
    • Отвечает на запросы государственных органов о предоставлении рекомендаций и, в соответствующих случаях, от судов, а также консультирует лиц и организации, которые внедряют или планируют внедрить автоматизированную обработку персональных данных.
    • Незамедлительно уведомляет прокурора республики на условиях, предусмотренных статьей 40 Уголовно-процессуального кодекса, когда CNIL становится известно о преступлении или правонарушении, и представляет замечания в ходе уголовного судопроизводства на условиях, предусмотренных статьей 41 указанного Кодекса;
    • По специальному решению поручает одному или нескольким своим членам или генеральному секретарю на условиях, предусмотренных статьей 19 Закона об информации, провести проверку всех видов обращений и получить копии всех документов или информационных носителей;
    • Принимает решение о сертификации лиц, продуктов, систем данных или процедур. Утверждает для тех же целей сертифицирующие органы на основании их аккредитации национальным органом по аккредитации.
    • Сертифицирует стандарты по анонимизации персональных данных, разрабатывает общие методологии сертификации третьими лицами таких стандартов, утверждает стандарты и публикует их.

    Обзор отражает авторский взгляд ведущего специалиста по юридическому
    сопровождению А.С. Мишкиной на законодательство     Французской Республики

     

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.