当保护隐私和个人数据成为联盟的事务时 欧洲的
因此,GDPR 法规允许在尊重私人生活的权利和出于与保护环境以及港口有效经济管理相关的原因处理某些个人数据的权利之间取得平衡。
这种公平的平衡将能够协调每个人的利益,同时尊重:港口的经济和环境利益以及保护每个人的隐私。
这非常正确地回应了《欧洲人权公约》(让我们记住,欧盟是该公约的缔约方)第 8 条第 2 款,根据该公约,可以对尊重私人权利施加适当的限制当合法利益受到威胁时的生活。
Me Zakine,律师、法学博士,为您提供有关 GDPR 对隐私影响的文字。
读他的肖像 这里
《欧洲人权公约》第八条规定:
第 8 条 – 私人和家庭生活受到尊重的权利
1 每个人都有被尊重的权利 他的私人和家庭生活、他的家和他的信件.
2 公共当局只能在法律规定的范围内干预这项权利的行使,并且构成民主社会中的一项措施, 对于国家安全、公共安全、国家经济福祉、维护秩序和预防刑事犯罪、保护健康或道德或保护他人的权利和自由是必要的。
这导致欧洲议会和理事会 2016 年 4 月 27 日颁布的有关个人数据处理和此类数据自由流动的个人保护条例 (EU) 2016/679 的基本适用。并废除指令 95/46/EC(一般数据保护条例), 直接应用监管
《欧洲人权公约》第八条规定:
第 8 条 – 私人和家庭生活受到尊重的权利
1 每个人的私人和家庭生活、家庭和信件均有权受到尊重。
2 公共当局只能在法律规定的范围内干预这项权利的行使,并且构成民主社会中的一项措施, 对于国家安全、公共安全、国家经济福祉、维护秩序和预防刑事犯罪、保护健康或道德或保护他人的权利和自由是必要的。
这导致欧洲议会和理事会 2016 年 4 月 27 日颁布的有关个人数据处理和此类数据自由流动的个人保护条例 (EU) 2016/679 的基本适用。并废除指令 95/46/EC(一般数据保护条例), 直接应用监管
在您打算开发和提供的技术的背景下引用它似乎很重要。
因此,2016 年 4 月 27 日规定的第 4 号规定:
个人数据的处理应旨在为人类服务。个人数据保护权不是一项绝对权利;必须根据其在社会中的功能来考虑这项权利,并根据比例原则与其他基本权利进行权衡。 本条例尊重所有基本权利,并遵守《宪章》承认的、载入条约的自由和原则, 特别是尊重私人和家庭生活、家庭和通讯、保护个人数据, 思想、良心和宗教自由,言论和信息自由,企业自由,获得有效补救和诉诸公正法庭的权利,以及宗教和语言多样性。
个人数据的处理必须符合欧洲立法者规定的目标,该目标从该法规的第 6 条和第 7 条中可以清楚地看出:
(六)科技的快速发展和全球化给个人数据保护带来了新的挑战。 个人数据收集和共享的规模显着增加。 技术使私营公司和公共机构能够以前所未有的方式在其活动中使用个人数据。越来越多的个人在全球范围内公开提供有关自己的信息。技术已经改变了经济和社会关系,并且预计将继续下去 促进个人数据在欧盟内部的自由流动及其向第三国和国际组织的转移,同时确保对个人数据的高水平保护。
(7)这些发展需要欧盟建立强大且更加一致的数据保护框架,并严格执行规则,因为重要的是要建立让数字经济在整个内部市场发展的信心。自然人应对与其相关的个人数据拥有控制权。 应加强个人、经济经营者和公共当局的法律和实际安全。
(10) « 为了确保对自然人的一致和高水平的保护,并消除欧盟内部个人数据流动的障碍,在处理这些数据方面对自然人的权利和自由的保护水平应所有成员国均等价。
第 10 条建议,法国从一开始就采用非常严格的制度,并考虑到欧盟每个成员国提供有效和类似保护的要求。
关于该条例第 15 条规定:
“为了避免造成严重的规避风险,对个人的保护应该在技术上保持中立,而不应该依赖于所使用的技术。 如果个人数据包含或打算包含在文件中,则它应适用于使用自动化流程处理个人数据以及手动处理。未按照特定标准构建的文件或文件集及其封面不应属于本法规的范围。”
因此,无论采用何种方式处理个人数据,法规 通用数据保护条例 每当收集个人数据时都必须适用。
另外,举例来说,无论是可以检测车牌的视频监控摄像头还是法规规定的技术 通用数据保护条例 立即适用。
这一要求是立法者希望提供最大限度保护的一部分 个人数据和隐私.
对 GDPR 法规叙述的分析,提供了欧盟追求的目标的全球视角
朗诵18:
“该规定不适用于自然人在严格的个人或家庭活动中进行的个人数据处理,因此与专业或商业活动无关。个人或家庭活动可能包括交换信件和维护地址簿,或使用社交网络以及与这些活动相关的在线活动。 但是,本法规适用于为此类个人或家庭活动提供处理个人数据的手段的控制者或处理者。 »
因此,如果我们在考虑您的数据处理活动的情况下审查法规,则该法规的范围允许您应用您的技术,即使它涉及拍摄仅进行个人活动的船只。
朗诵32:
“ 应通过明确的积极行为表示同意,数据主体可以自由、具体、知情和明确地表明同意处理与其有关的个人数据,例如通过书面声明(包括电子声明)或通过口头声明。这尤其可以通过在咨询网站时选中一个框、选择信息社会服务的某些技术参数或通过在这种情况下明确表明数据主体接受其或他的数据主体的拟议处理的另一声明或其他行为来完成。她的个人资料。因此,如果出现沉默、默认选中复选框或不活动的情况,则不能表示同意。所给予的同意应适用于具有相同目的的所有处理活动。当处理有多个目的时,应获得所有目的的同意。如果在以电子方式提交请求后获得了数据主体的同意,则该请求必须清晰简洁,并且不得不必要地干扰所授予的服务的使用。
提供一个让船主自由、明确和明确同意的系统是适当的。
朗诵39:
“任何个人数据的处理都应该合法和公平。与自然人有关的个人数据被收集、使用、访问或以其他方式处理的事实以及这些数据正在或将被处理的程度应对有关自然人透明。 透明度原则要求与这些个人数据处理相关的所有信息和通信均易于获取、易于理解,并以清晰简单的术语表述。该原则特别适用于向相关人员传达的有关控制者身份和处理目的的信息,以及旨在确保控制者身份的其他信息。 公平、透明地对待有关自然人 他们有权获得有关他们的待处理个人数据的确认和通信。应告知自然人与个人数据处理相关的风险、规则、保障和权利以及行使与此处理相关的权利的方式。 特别是,处理个人数据的具体目的应当明确、合法,并在收集个人数据时确定。。个人数据应该是充分的、相关的,并且仅限于处理这些数据的目的所必需的数据。这尤其需要确保数据保留的持续时间严格限制在最短的时间内。仅当通过其他方式无法合理实现处理目的时,才应处理个人数据。 为了确保数据的保存时间不会超过必要的时间,控制者应设定删除或定期审查的最后期限。应采取一切合理措施确保不准确的个人数据得到纠正或删除。。个人数据的处理方式应确保适当的安全性和保密性,包括防止未经授权访问这些数据和用于处理数据的设备,以及防止未经授权使用这些数据和设备。
精准分析监管规定
- 第二条 实质性范围
“1. 本条例适用于 个人数据的处理, 自动化的 全部或部分,以及对文件中包含或打算出现的个人数据的非自动处理。
- 精确分析定义
第 4 条 定义 就本条例而言,我们的意思是:
- “个人数据”是指与已识别或可识别的自然人(以下简称“数据主体”)有关的任何信息;被视为“可识别的自然人” 可以直接或间接识别的自然人,特别是 通过引用标识符,例如姓名、身份证号码、 位置数据、在线标识符或针对其身体、生理、遗传、心理、经济、文化或社会身份的一个或多个特定元素;
一个 个人资料 是与已识别或可识别的自然人有关的任何信息。
自然人可以被识别:
直接(例如:名字和姓氏);
间接(例如:通过电话号码或 牌照,一个标识符,例如数量 社会保障、邮政或电子邮件地址,也可以是语音或图像)。
(2) “处理”是指任何操作或一组操作,无论是否通过自动化方式执行并应用于个人数据或数据集,例如收集、记录、组织、结构化、保存、改编或修改、提取、咨询、使用、通过传输、传播或任何其他形式提供、协调或互连、限制、删除或销毁进行交流;
3) “限制处理”是指对存储的个人数据进行标记,以限制其未来的处理;
(4) “分析”是指对个人数据进行任何形式的自动处理,包括使用此类个人数据来评估与自然人相关的某些个人方面,特别是分析或预测有关工作表现、经济状况、健康状况的事项、该自然人的个人偏好、兴趣、可靠性、行为、位置或活动;
(5) “假名化”是指以这样的方式处理个人数据,即在不使用附加信息的情况下,个人数据不再归属于特定数据主体,前提是此类附加信息单独保存并接受审查。确保个人数据不归属于已识别或可识别的自然人的技术和组织措施;
6) “文件”是指根据确定的标准可访问的任何结构化个人数据集,无论该数据集是集中式、分散式还是在功能或地理上分布的;
7) “控制者”是指单独或与他人共同确定处理目的和方式的自然人或法人、公共机构、服务机构或其他机构;如果此类处理的目的和方式由欧盟法律或成员国法律确定,则可以指定控制者,或者可以由处理方的法律或处理方规定适用于其指定的具体标准。成员国的法律;
9) “接收者”是指接收个人数据的自然人或法人、公共机构、服务机构或其他机构,无论是否为第三方。但是,可能会收到个人数据通信的公共机构 职员 在根据欧盟法律或成员国法律进行的特定实况调查任务中,不被视为接收者;有关公共当局对这些数据的处理符合适用的数据保护规则,具体取决于处理的目的;
10) “第三方”是指自然人或法人、公共机构、服务或机构,但数据主体、控制者、处理者以及在控制者处理或分包商直接授权下被授权处理的人员除外个人数据;
11) 数据主体的“同意”是指数据主体通过声明或明确的积极行为接受处理与其相关的个人数据的任何自由、具体、知情和明确的意愿表达。加工;
作为技术运营的一部分,必须实施知情同意和清晰公正的信息系统。
这使我们在捕获和处理个人数据之前关注先前提供的信息的透明度和忠诚度。
第三章 数据主体的权利
第一节 透明度和模式
第十二条 信息和通信的透明度以及数据主体权利的行使方法
1.控制者应采取适当措施,提供第 13 条和第 14 条中提到的任何信息,并根据第 15 条至第 22 条和第 34 条,以简明、透明、易于理解的方式向数据主体进行有关处理的任何沟通。并以清晰简单的方式易于获取,特别是对于专门针对儿童的任何信息。
信息以书面形式或通过其他方式提供,包括在适当情况下以电子方式提供。当数据主体提出请求时,可以口头提供信息,前提是可以通过其他方式证明数据主体的身份。
2. 控制者应协助数据主体行使第 15 条至第 22 条规定的权利。在第 11 条第(2)款所述的情况下,控制者不得拒绝对数据主体的请求采取行动。行使第 15 条至第 22 条赋予他的权利,除非控制者证明他无法识别数据主体。
3.控制者应尽快(无论如何在收到请求后一个月内)向数据主体提供根据第 15 条至第 22 条提出请求后所采取措施的信息。如有必要,考虑到请求的复杂性和数量,该截止日期可以延长两个月。数据控制者应在收到请求后一个月内告知数据主体延期事宜以及推迟的原因。 如果数据主体以电子形式提交请求,则信息将尽可能以电子方式提供,除非数据主体另有要求。
4.如果数据控制者没有回应数据主体提出的请求,他应立即并最迟在收到请求后一个月内通知数据主体不采取行动的原因和可能性。向监管机构提出投诉并寻求法律追索。
5. 根据第 13 条和第 14 条提供信息,以及根据第 15 条至第 22 条和第 34 条进行任何沟通和采取任何行动,无需付费。如果个人的请求明显没有根据或过度,特别是由于其重复性,数据控制者可以:
- (a) 要求支付合理的费用,其中考虑到提供信息、进行沟通或采取所要求的行动所产生的行政费用;
(b) 拒绝遵守此类请求。数据控制者有责任证明该请求明显没有根据或过度。
6. 在不影响第 11 条的情况下,如果控制者对提交第 15 条至第 21 条所述请求的自然人的身份有合理怀疑,他可以要求向他提供必要的补充信息,以确认该自然人的身份。有关人士。
7.根据第 13 条和第 14 条向数据主体传达的信息可以附有标准化图标,以便提供计划处理的良好概览、易于查看、理解和清晰可读。当图标以电子方式呈现时,它们是机器可读的。 8. 委员会有权根据第 92 条采取授权行为,以确定以图标形式呈现的信息以及规范提供标准化图标的程序。
第 2 节 信息和个人数据的访问
第十三条 向数据主体收集个人数据时应提供的信息
1. 当从数据主体收集与数据主体相关的个人数据时,数据控制者应在获取相关数据时向数据主体提供以下所有信息:
- a) 控制者以及控制者代表(如适用)的身份和联系方式
- b) 适用时,数据保护官的联系方式;
- c) 处理个人数据的目的以及处理的法律依据;
- (d) 如果处理是基于第 6(1)(f) 条,则控制者或第三方追求的合法利益;
- (e) 个人数据的接收者或接收者类别(如果存在);
(f) 在适用的情况下,控制者是否打算将个人数据转移到第三国或国际组织,以及是否存在委员会发布的决定充分性报告,或者在第 1 条中提到的转移的情况下第 46 条或第 47 条,或第 49 条第(1)款第二项,提及适当或改编的担保以及获取其副本或地点的方式在哪里提供它们;
2. 除了第 1 款中提到的信息外,控制者还应在获取个人数据时向数据主体提供以下附加信息,以确保公平和透明的处理:
- a) 个人数据的保留期限,或者在不可能的情况下,用于确定该期限的标准;
(b) 是否存在要求控制者访问个人数据、更正或删除个人数据、或限制与数据主体相关的处理的权利,或反对处理的权利和数据可移植性的权利;
- (c) 根据第 6(1)(a) 条或第 9(2)(a) 条进行处理)、存在随时撤回同意的权利,不影响撤销前基于同意进行的处理的合法性;
- (d) 向监管机构提出投诉的权利;
- (e) 关于提供个人数据的要求是否具有监管或合同性质,或者是否以签订合同为条件,数据主体是否有义务提供个人数据,以及不提供个人数据可能产生的后果的信息提供该数据;
- (f) 是否存在自动决策,包括第 22(1) 和 (4) 条中提到的分析,以及至少在这种情况下,关于基本逻辑的有用信息,以及重要性和预期后果对数据主体的此类处理。
3. 当打算出于收集个人数据的目的以外的目的进一步处理个人数据时,控制者应首先向数据主体提供有关该其他目的的信息以及第 2 款中提到的任何其他相关信息。
4. 当数据主体已经拥有此信息时,第 1、2 和 3 款不适用。第 14 条 未从数据主体收集个人数据时应提供的信息 1. 如果未从数据主体收集个人数据,控制者应向数据主体提供以下所有信息: (a) 身份控制者以及控制者代表(如适用)的联系方式;
- (b) 如果适用,数据保护官的联系方式;
- (c) 处理个人数据的目的以及处理的法律依据;
- (d) 有关个人数据的类别;
- (e) 如适用,个人数据的接收者或接收者类别;
- (f) 在适用的情况下,控制者打算将个人数据转移给第三国或国际组织的接收者的事实,以及委员会是否做出充分性决定,或者在涉及转移的情况下在第 46 条或第 47 条或第 49 条第(1)款第二项中,提及适当或调整的担保以及实施这些担保的方法时,应获取副本或在哪里提供它们;
2.除了第1款中提到的信息外,控制者还应向数据主体提供以下必要的信息,以确保数据主体的公平和透明处理:
- (a) 个人数据的保存期限,或者,如果不可能,则用于确定该期限的标准;
- b) 如果处理是基于第 6(1)(f) 条,则控制者或第三方追求的合法利益;
(c) 是否存在要求控制者访问个人数据、更正或删除个人数据或限制与数据主体相关的处理的权利,以及反对处理的权利和数据可移植性的权利;
- (d) 如果处理是根据第 6(1)(a) 条或第 9(2)(a) 条进行的,则存在随时撤回同意的权利,且不影响基于同意进行的处理的合法性撤回之前;
- e) 向监管机构提出投诉的权利;
- f) 个人数据的来源,以及(如适用)表明这些数据是否来自可公开访问的来源的声明;
- (g) 是否存在自动决策,包括第 22(1) 和 (4) 条中提到的分析,以及至少在这种情况下,有关基本逻辑以及重要性和预期后果的有用信息对数据主体的此类处理。
3.控制者应提供第1款和第2款中提到的信息:
- (a) 在获得个人数据后的合理时间内,但不超过一个月,考虑到处理个人数据的具体情况;
- (b) 如果个人数据用于与数据主体进行通信,则最迟在与该人首次通信时;
(c) 如果打算将信息传达给其他接收者,最迟应在首次传达个人数据时进行。 4. 当打算出于获取个人数据的目的以外的目的对个人数据进行进一步处理时,控制者应首先向数据主体提供有关此其他目的的信息以及第 2 款中提到的任何其他相关信息5. 第 1 款至第 4 款不适用于以下情况:
- (a) 数据主体已经拥有该信息;
- (b) 提供此类信息被证明是不可能的或需要付出不成比例的努力,特别是为了公共利益的档案目的、科学或历史研究目的或统计目的而进行处理,但须遵守第 89 条所述的条件和保证( 1),或者本条第 1 款中提到的义务可能导致不可能或严重损害实现所述处理的目标。在这种情况下,控制者应采取适当措施保护数据主体的权利、自由和合法利益,包括公开信息;
- (c) 控制者须遵守的联盟或成员国法律明确规定了信息的获取或通信,并规定了适当的措施来保护有关数据主体的合法利益;或者
- (d) 必须根据联盟或成员国法律规定的专业保密义务(包括专业保密的法律义务)对个人数据进行保密。
第十五条 数据主体的访问权
1. 数据主体有权从控制者处获得关于其个人数据是否正在被处理的确认,如果正在处理,则有权访问此类个人数据以及以下信息:
- a) 处理的目的;
- (b) 有关个人数据的类别;
- (c) 已经或将要接收个人数据的接收者或接收者类别,特别是设在第三国或国际组织的接收者;
- (d) 在可能的情况下,个人数据的预计保留期限,或者在不可能的情况下,用于确定该期限的标准; e) 是否有权要求控制者更正或删除个人数据,或限制处理与数据主体相关的个人数据,或反对此类处理的权利;
- (f) 向监管机构提出投诉的权利;
- (g) 如果未从数据主体收集个人数据,则有关其来源的任何可用信息;
- (h) 自动决策的存在,包括第 22(1) 和 (4) 条中提到的分析,以及至少在这种情况下,关于基本逻辑的有用信息,以及重要性和预期后果对数据主体的此类处理。
2.当个人数据被转移到第三国或国际组织时,数据主体有权根据第 46 条获知与该转移相关的适当保障措施。
3.控制者提供正在处理的个人数据的副本。控制者可能会要求根据数据主体请求的任何额外副本的管理成本支付合理的费用。如果数据主体以电子方式提交请求,则应以常用的电子形式提供信息,除非数据主体另有要求。
4. 第 3 款中提及的获取副本的权利不影响他人的权利和自由。
该条例第十二条和第十三条 GDPR 明确指出,必须实施非常精确和严格的法律框架,以避免出现任何困难,并让公司遵守尊重隐私和保护个人数据的规定。 符合欧洲立法者所追求的目标。
第三节 整改和删除
第十六条 纠正权
数据主体有权尽快从控制者处获得与其相关的不准确个人数据的更正。
考虑到处理的目的,数据主体有权补全不完整的个人数据,包括提供补充声明。
第 17 条 删除权(“被遗忘权”)
1. 发生以下情况之一时,数据主体有权要求控制者立即删除与其相关的个人数据,并且控制者有义务立即删除这些个人数据。以下理由适用:
- a) 就收集或以其他方式处理个人数据的目的而言,不再需要这些个人数据;
- (b) 数据主体根据第 6(1)(a) 条或第 9(2)(a) 条撤回了处理所依据的同意,并且没有其他法律依据进行处理;
- (c) 数据主体反对根据第 21(1) 条进行处理,并且没有压倒性的合法理由进行处理,或者数据主体反对根据第 21(1) 条第 21 条第 2 款进行处理;
- d) 个人数据遭到非法处理;
- e) 必须删除个人数据,以遵守欧盟法律或控制者所在成员国法律规定的法律义务;
- (f) 个人数据是在提供第 8 条第 (1) 款所述信息社会服务的背景下收集的。
2. 如果控制者已公开个人数据并有义务根据第 1 款删除这些数据,则考虑到现有技术和实施成本,控制者应采取合理措施(包括技术措施)通知处理此类个人数据的控制者数据主体已要求此类控制者删除此类个人数据的任何链接或复制品。
3. 第 1 款和第 2 款不适用于以下情况: a) 为了行使言论和信息自由权;
- (b) 遵守欧盟法律或控制者所属成员国法律规定的要求进行处理的法律义务,或为了公共利益或行使公共权力而执行任务归属于控制者;
- (c) 出于公共卫生领域公共利益的原因,根据第 9 条第 (2) 款和第 9 条第 (3) 款的 (h) 和 (i) 点;
- (d) 出于公共利益的档案目的、科学或历史研究目的或根据第 89 条第(1)款的统计目的,在第 1 款中提到的权利可能使其不可能或严重损害的范围内实现所述处理的目标;或者
- e) 合法权利的建立、行使或捍卫。
联系我们:
常见问题
Le RGPD s’applique-t-il aux données personnelles traitées par un port ?
Oui, le RGPD s’applique à tout traitement de données personnelles, y compris dans le cadre de la gestion portuaire. Il permet de concilier protection de la vie privée et intérêts économiques ou environnementaux.
Puis-je m’opposer au traitement de mes données personnelles par un port ?
Oui, vous avez le droit de vous opposer au traitement pour des motifs légitimes, sauf si le responsable démontre des motifs impérieux. Le RGPD prévoit une mise en balance des intérêts.
Quels sont les délais pour répondre à une demande d’accès aux données ?
Le responsable doit répondre dans un délai d’un mois, prolongeable de deux mois en cas de complexité. En cas de non-respect, vous pouvez saisir la 法国国家信息实验室.
Que faire si mes données sont utilisées sans mon consentement par un port ?
Vous pouvez porter plainte auprès de la CNIL ou engager une action en justice pour violation du RGPD. Le responsable risque des sanctions financières.
Combien coûte une mise en conformité RGPD pour un port ?
Les coûts varient selon la taille et la complexité : audit, DPO, formation. Une consultation avec un avocat spécialisé permet d’estimer le budget.
