GDPR

Polityka ochrony danych osobowych (GDPR – Francja)

1. Wprowadzenie
W dniu 20 czerwca 2018 roku Francja przyjęła ustawę nr 2018-493 o ochronie danych osobowych, wdrażającą ogólne rozporządzenie o ochronie danych (GDPR) Unii Europejskiej. Ustawa ta zaktualizowała i zintegrowała wcześniejsze przepisy, w tym ustawę „Informatique et Libertés” z 1978 roku.
Francuski organ nadzorczy – Commission Nationale de l’Informatique et des Libertés (CNIL) – odpowiada za nadzór, doradztwo oraz egzekwowanie przepisów GDPR we Francji. Dzięki temu Francja posiada system ochrony danych osobowych zgodny z wymogami Unii Europejskiej.

2. Zakres stosowania
Francuskie przepisy wdrażające GDPR mają zastosowanie do:
podmiotów przetwarzających dane lub administratorów mających siedzibę we Francji;
organizacji spoza Francji, które oferują towary lub usługi osobom znajdującym się we Francji lub monitorują ich zachowanie.

Przepisy obowiązują niezależnie od miejsca przetwarzania danych (w UE lub poza nią), jeśli dotyczą osób przebywających we Francji.
Obejmują zarówno przetwarzanie automatyczne, jak i nieautomatyczne (jeśli stanowi część uporządkowanego zbioru danych).
Nie obejmują działań o charakterze wyłącznie osobistym lub domowym.

3. Zasady przetwarzania danych
Zgodność z prawem, rzetelność i przejrzystość: dane muszą być przetwarzane zgodnie z prawem i w sposób transparentny.
Ograniczenie celu: dane mogą być wykorzystywane wyłącznie w jasno określonych i legalnych celach.
Minimalizacja danych: należy zbierać tylko dane niezbędne do realizacji celu.
Dokładność: dane powinny być aktualne i poprawne.
Ograniczenie przechowywania: dane mogą być przechowywane tylko przez okres konieczny do realizacji celu.
Bezpieczeństwo i poufność: należy stosować środki techniczne i organizacyjne chroniące dane przed utratą, ujawnieniem lub modyfikacją.

4. Prawa osób, których dane dotyczą
Zgodnie z GDPR oraz prawem francuskim każda osoba ma prawo do:
dostępu do swoich danych oraz informacji o ich przetwarzaniu;
sprostowania nieprawidłowych lub niekompletnych danych;
usunięcia danych („prawo do bycia zapomnianym”) w określonych przypadkach;
ograniczenia przetwarzania;
przenoszenia danych do innego administratora;
sprzeciwu wobec przetwarzania danych na podstawie uzasadnionego interesu lub interesu publicznego.

W przypadku osób poniżej 15 roku życia przetwarzanie danych wymaga zgody rodzica lub opiekuna prawnego, a informacje muszą być przekazane w zrozumiałej formie.

5. Obowiązki podmiotów przetwarzających dane
Podmioty przetwarzające dane muszą działać wyłącznie na podstawie udokumentowanych poleceń administratora.
Są zobowiązane do wdrożenia odpowiednich środków bezpieczeństwa.
Muszą wspierać administratora w realizacji obowiązków prawnych, w tym w obsłudze żądań osób, których dane dotyczą.
W przypadku naruszenia danych należy niezwłocznie poinformować administratora, który ma obowiązek zgłosić incydent do CNIL w ciągu 72 godzin.
Administratorzy powinni prowadzić rejestry czynności przetwarzania oraz przeprowadzać ocenę skutków dla ochrony danych (DPIA) w przypadku wysokiego ryzyka.
W niektórych przypadkach wymagane jest powołanie inspektora ochrony danych (DPO) i jego zgłoszenie do CNIL.

6. Międzynarodowy transfer danych
Przy przekazywaniu danych osobowych poza Europejski Obszar Gospodarczy administrator musi zapewnić odpowiedni poziom ochrony danych w kraju odbiorcy.
Może to nastąpić poprzez:
decyzję Komisji Europejskiej o odpowiednim poziomie ochrony;
zastosowanie standardowych klauzul umownych UE (SCCs).

Po unieważnieniu mechanizmu „Privacy Shield” (16 lipca 2020 r.) przedsiębiorstwa we Francji zobowiązane są do stosowania nowych standardowych klauzul UE (z 4 czerwca 2021 r.) lub innych zgodnych mechanizmów transferu.

7. Nadzór i egzekwowanie przepisów
CNIL posiada szerokie uprawnienia nadzorcze i sankcyjne, w tym:
wydawanie ostrzeżeń i nakazów dostosowania;
ograniczanie lub zakazywanie przetwarzania danych;
nakładanie kar finansowych do 20 milionów euro lub 4% rocznego światowego obrotu (w zależności od tego, która kwota jest wyższa).

Prawo francuskie umożliwia również określenie zasad przetwarzania danych po śmierci osoby. W przypadku braku takich instrukcji dane są przetwarzane zgodnie z obowiązującymi przepisami.

8. Dane kontaktowe
W przypadku pytań dotyczących ochrony danych osobowych lub przysługujących praw prosimy o kontakt z naszym zespołem ds. ochrony danych poprzez e-mail.

Telefon:+1( 205)651-7591

E-mail:service@quenlara.com

Adres:294 LANDERS LOOP,SYLACAUGA,AL 35150-6778,United States

Godziny pracy: Od poniedziałku do piątku, 9:00-12:30 i 14:00-18:00 (czasu środkowoeuropejskiego)