Главная > Закон


ГЛАВА V – ОБЯЗАННОСТИ ОПЕРАТОРОВ ОБРАБОТОК И ПРАВА ЛИЧНОСТИ

Раздел 1. Обязанности операторов обработок

Статья 32

I. - Лицу, которое, в ответ на вопросы, сообщает персональные данные о себе, оператор обработки или его представитель должен предоставить (в случае, если это не было сделано предварительно) следующие сведения:

Наименование оператора обработки, а также его представителя (если таковой имеется);

Цель обработки, которая будет произведена с данными;

Ожидаемое наличие ответа (обязательное или факультативное);

Возможные, по отношению к этому лицу, последствия отсутствия ответа;

Получатели или категории получателей данных;

Права, предоставляемые этому лицу положениями раздела 2 настоящей главы;

Предполагаемые (если таковые предположения имеются) передачи персональных данных в другие страны, не являющиеся членами ЕС.

Если это лицо сообщает персональные данные о себе в форме ответов на вопросы анкеты, то необходимо, чтобы в анкете были указаны сведения, перечисленные выше в пунктах 1°, 2°, 3° и 6°.

II. - Каждое лицо, являющееся пользователем электронных сетей связи, должно быть полностью и в ясной форме оповещено оператором обработки или его представителем:

- о цели каждого действия, посредством которого по электронным каналам связи осуществляется доступ к информации, хранящейся в его оконечном устройстве связи, либо записывается информация в его оконечное устройство связи;

- и о тех средствах, которые у него имеются для того, чтобы воспрепятствовать этому.

Действие этих положений не распространяется на те случаи, когда доступ к информации, хранящейся в оконечном устройстве пользователя, или запись информации в оконечное устройство пользователя:

- предназначены исключительно для обеспечения либо облегчения связи по электронным каналам;

- либо являются строго необходимыми для оказания услуги сетевой связи, которая была в явной форме запрошена пользователем.

III. – Если персональные данные субъекта были получены не от него, то оператор обработки или его представитель должен сразу по их получении сообщить субъекту все сведения, перечисленные в части I настоящей статьи, либо же, если предполагается сообщать эти данные третьему лицу, то не позднее того, как данные будут в первый раз сообщены.
 
Если персональные данные были изначально собраны для другой цели, то положения предыдущего абзаца не распространяются на обработки, необходимые для хранения этих данных для исторических, статистических или научных целей, в порядке, определенном в Книге II Кодекса о наследии, либо для использования этих данных для статистических целей в порядке, определенном статьей 7-бис закона № 51-711 от 7 июня 1951 года ";Об обязательствах, координации и тайне в области статистики";. Положения предыдущего абзаца не являются обязательными также и в тех случаях, когда субъект персональных данных уже оповещен или когда его оповещение не является возможным, либо для него требуются усилия, несоразмерно большие по сравнению с осуществляемыми обработками.
 
IV. – Если с собранными персональными данными предполагается в скором времени произвести процедуру обезличивания, которую Национальная Комиссия по информатике и свободам предварительно признала соответствующей положениям настоящего Закона, то при оповещении субъекта этих данных оператор обработки может ограничиться сообщением ему сведений, перечисленных в пунктах 1° и 2° части I настоящей статьи.

V. – Положения части I настоящей статьи не распространяются на данные, которые были собраны в порядке, установленном в части III настоящей статьи, и используются в процессе обработки, осуществляемой в интересах государства и затрагивающей вопросы государственной безопасности, обороны или охраны правопорядка, либо имеющей своей целью исполнение приговора суда или действия по обеспечению безопасности, по мере необходимости такого ограничения для достижения конечных целей обработки.
 
VI. – Положения настоящей статьи не распространяются на обработки данных, целью которых является предотвращение, расследование, установление факта уголовных правонарушений или их судебное преследование.

Статья 33

Персональные данные, собираемые поставщиком услуг по удостоверению открытых ключей, с целью выдачи и хранения сертификатов ЭЦП, должны быть им получены непосредственно у субъектов этих данных (за исключением случаев, когда субъект явным образом выразил свое согласие с неисполнением этого требования). Их можно обрабатывать только с той целью, для которой они были собраны.

Статья 34

Оператор обработки должен принять все возможные меры предосторожности, в зависимости от характера данных и рисков, связанных с обработкой, чтобы обеспечить безопасность данных и, в частности, уберечь их от искажения, уничтожения и несанкционированного доступа третьих лиц.

В постановлениях, которые выносятся с учетом заключений Национальной Комиссии по информатике и свободам, могут быть определены технические требования, которым должны соответствовать обработки, перечисленные в пунктах 2° и 6° части II статьи 8.

Статья 35

Субконтракторы, а также лица, подчиненные оператору обработки или субконтрактору, имеют право выполнять операции по обработке персональных данных только по указанию оператора обработки.
 
Каждое лицо, обрабатывающее персональные данные от имени и по поручению оператора обработки, в контексте настоящего Закона считается его субконтрактором.

Субконтрактор должен представить достаточно надежные гарантии принятия мер по обеспечению безопасности и конфиденциальности, в соответствии со статьей 34. Это требование не освобождает оператора обработки от обязанности следить за соблюдением этих мер.

В договоре, который заключается между оператором обработки и субконтрактором, указываются обязанности субконтрактора по обеспечению неприкосновенности и конфиденциальности данных. Кроме того, в этом договоре имеется условие о том, что субконтрактор может действовать только по указанию оператора обработки.

Статья 36

Дольше срока, указанного в пункте 5° статьи 6, персональные данные могут храниться лишь в том случае, когда предполагается их использование для исторических, статистических или научных целей. Порядок выбора данных для такого хранения определен в статье L. 212-4 Кодекса о наследии.

Для обработок, единственной целью которых является обеспечение долговременного хранения архивных документов при условиях, указанных в Книге II Кодекса о наследии, выполнение предварительных процедур, перечисленных в главе IV настоящего Закона, не является обязательным.

Обработка этих данных с целью, отличной от тех, которые перечислены в первом абзаце настоящей статьи, может быть осуществлена:

- либо при наличии явно выраженного согласия субъекта персональных данных;

- либо по разрешению Национальной Комиссии по информатике и свободам;

- либо при выполнении условий, перечисленных в пункте 8° части II и в части IV статьи 8 для данных, упомянутых в части I этой статьи.

Статья 37

Положения настоящего Закона не являются препятствием для применения в пользу третьих лиц положений Титула I закона 78-753 от 17 июля 1978 года «О мерах по улучшению отношений между администрацией и населением и о некоторых административных, социальных и налоговых положениях», а также положений Книги II Кодекса о наследии.
 
Следовательно, лицо, которое имеет право доступа к административным документам или к открытым архивам и осуществляет это право в соответствии с вышеупомянутым законом 78-753 от 17 июля 1978 года и с положениями Книги II Кодекса о наследии, не может считаться третьим лицом, осуществляющим несанкционированный доступ в смысле статьи 34.  

Раздел 2. Права личности, связанные с обработками персональных данных

Статья 38

Каждое физическое лицо вправе, имея законные основания, представить свои возражения против того, чтобы с его персональными данными производилась обработка.

 
Оно имеет право возразить, без каких-либо затрат, против того, чтобы его персональные данные использовались оператором осуществляемой обработки или оператором одной из последующих обработок для исследований и опросов (в частности, тех, которые проводятся в коммерческих целях).

Действие первого абзаца настоящей статьи не распространяется на случаи, когда обработка является обязательной согласно законодательству, а также на случаи, когда в акте, разрешающем обработку, применение этого абзаца явным образом отменяется.

Статья 39

I. - Каждое физическое лицо, удостоверив свою личность, имеет право обратиться к оператору обработки персональных данных, чтобы получить:

Достоверную информацию о том, задействованы ли его персональные данные в этой обработке или не задействованы;
 
Сведения о целях обработки, о категориях обрабатываемых персональных данных и о получателях или о категориях получателей, которым предоставляются эти данные;

Информацию о предполагаемых (если таковые предположения имеются) передачах персональных данных в другие страны, не являющиеся членами ЕС;

Представленные в доступном виде персональные данные, которые имеют к этому лицу отношение, а также все имеющиеся сведения об их источнике;

Информацию, позволяющую ознакомиться с логической схемой автоматизированной обработки, а также оспорить ее, если на основании обработки принимается решение, имеющее правовые последствия для обратившегося лица. При этом необходимо, чтобы предоставленные этому лицу сведения не затрагивали авторские права в смысле положений Книги I и титула IV Книги III Кодекса по интеллектуальной собственности.

Субъекту персональных данных предоставляется, по его запросу, копия этих данных. Оператор обработки может потребовать, чтобы выдача этой копии была оплачена; сумма оплаты в этом случае не может превышать стоимость копирования.
 
Если имеется риск сокрытия или исчезновения персональных данных, то суд соответствующей компетенции может вынести постановление (если потребуется, то и в неотложном порядке) о принятии мер по предотвращению сокрытия или исчезновения данных.

II. – Оператор обработки может отказаться выполнять запросы, которые он считает неправомерными (в частности, из-за их количества, повторяемости или систематического характера). В случае такого отказа, обязанность представления доказательств этой неправомерности лежит на операторе, которому были направлены запросы.

Действие настоящей статьи не распространяется на случаи, когда персональные данные хранятся в виде, заведомо исключающем риск посягательства на неприкосновенность частной жизни субъектов этих данных, и в течение периода времени, не превосходящего по продолжительности тот срок, который необходим для составления статистики или проведения исторических или научных исследований (при отсутствии каких-либо иных целей). За исключением случаев, упомянутых во втором абзаце статьи 36, все отступления от соблюдения положений настоящей статьи, предусмотренные оператором обработки, должны быть указаны в заявке на разрешение или в декларации, которые направляются в Национальную Комиссию по информатике и свободам.

Статья 40

Каждое физическое лицо, удостоверив свою личность, имеет право потребовать от оператора обработки, чтобы, в соответствующих случаях, были исправлены, пополнены, обновлены, заблокированы или удалены его персональные данные, поскольку они неточны, неполны, неоднозначны или неактуальны, либо если имеется запрет на их сбор, использование, распространение или хранение.

Когда субъект персональных данных обращается с таким требованием, оператор обработки должен документально подтвердить (без всяких затрат со стороны субъекта) тот факт, что им были выполнены операции, затребованные согласно положениям предыдущего абзаца.

В случае опротестования данных, обязанность предоставления доказательств лежит на операторе обработки, обеспечивающем право доступа, за исключением случаев, когда установлено, что опротестованные данные были предоставлены самим субъектом либо с его согласия.

После того, как требуемые модификации произведены, субъект данных имеет право на получение возмещения затрат на оплату копии, упомянутой в части I статьи 39.

В случае передачи информация третьему лицу, оператор обработки должен надлежащим и исчерпывающим образом уведомить его обо всех операциях, которые были выполнены в соответствии с положениями первого абзаца настоящей статьи.

В случае если сведения, предоставленные наследникам умершего лица, дают им основание утверждать, что задействованные в обработке персональные данные этого лица не были своевременно актуализированы, то эти наследники, удостоверив свою личность, могут потребовать, чтобы оператор обработки принял к сведению факт кончины и произвел все изменения данных, необходимые в связи с этим.

Когда наследники обращаются с таким требованием, оператор обработки должен документально подтвердить (без всяких затрат со стороны наследников) тот факт, что им были выполнены операции, затребованные согласно положениям предыдущего абзаца.

Статья 41

В порядке исключения из правил, приведенных в статьях 39 и 40, в случае если обработка затрагивает вопросы государственной безопасности, обороны или охраны правопорядка, то право доступа ко всем фигурирующим в ней сведениям и данным осуществляется в соответствии с положениями настоящей статьи.

В Комиссию направляется заявление, после чего она назначает одного из своих членов, входящего либо ранее входившего в состав Государственного совета, Кассационного суда или Счетной палаты, для проведения соответствующих обследований и осуществления необходимых изменений. Он может взять себе в помощники одного из сотрудников Комиссии. Заявитель извещается о проведении проверок.


Если Комиссия, по соглашению с оператором обработки, считает, что предоставление данных, задействованных в обработке, не затрагивает конечные цели этой обработки, а также вопросы государственной безопасности, обороны или охраны правопорядка, то данные могут быть предоставлены заявителю.

Если предполагается, что в обработке используются сведения или данные, предоставление которых не может затронуть указанных для нее целей, то в юридическом акте о создании файла можно указать, что эти сведения и данные могут быть предоставлены заявителю администратором файла в ответ на прямое обращение к нему.

Статья 42

Положения статьи 41 распространяются на обработки, которые осуществляются государственными учреждениями и частными лицами, выполняющими задачи служб общественного назначения, в обязанности которых входит предотвращение, расследование, установление факта уголовных правонарушений, либо контроль и сбор налогов, если такое право предусмотрено в разрешении, о котором говорится в статье 25, 26 или 27.

Статья 43

Когда осуществляется право доступа к медицинским персональным данным, они могут быть предоставлены субъекту этих данных, по его выбору, либо прямо, либо через посредство врача, которого он определяет для этого, в соответствии с положениями статьи L. 1111-7 Кодекса о здравоохранении.

ГЛАВА VI – КОНТРОЛЬ ЗА ОСУЩЕСТВЛЕНИЕМ ОБРАБОТОК

Статья 44

I. – Члены Национальной Комиссии по информатике и свободам, а также сотрудники ее служб, аттестованные согласно положениям последнего абзаца статьи 19, имеют, для выполнения своих функций, право на доступ, в период с 6 часов до 21 часа, в места, помещения, площади, предприятия и учреждения, где осуществляются обработки персональных данных и которые относятся к категории нежилых помещений, за исключением тех их частей, которые предназначаются для частного проживания.

Об этом необходимо предварительно уведомить Прокурора Республики, к территориальной компетенции которого относится инспектируемый объект.

II. – В случае если руководитель объекта возражает, инспекцию можно провести только по разрешению председателя суда большой инстанции, в юрисдикции которого находится инспектируемый объект, либо по разрешению уполномоченного им судьи.

Обращение в эту судебную инстанцию производится согласно требованию Председателя Комиссии. Судья выносит обоснованное постановление, в соответствии с положениями статей 493-498 нового Гражданско-процессуального кодекса. Участие адвоката не является обязательным.

Инспекция проводится под надзором и руководством судьи, который дал на нее разрешение. Во время проведения инспекции он может входить в помещения. В любой момент он может своим решением прекратить или приостановить проведение инспекции.

III. - Члены Комиссии и сотрудники, упомянутые в первом абзаце части I настоящей статьи, могут потребовать предоставления всех документов, необходимых для выполнения их задачи, на каком бы носителе они не был представлены, и взять себе их копию; они могут собирать путем опросов (на месте или по вызову) все нужные им сведения и доказательства; они имеют право доступа к программному обеспечению и к данным, а также право требовать их записи любым возможным способом в документах, которые непосредственно используются для контроля.
 
По запросу Председателя Комиссии, в этом им могут оказывать помощь эксперты, назначенные тем органом, которому они подчиняются.

Только врач может требовать предоставления медицинских данных о конкретном лице, задействованных в обработке, которая необходима для медицинской профилактики, медицинских исследований, медицинской диагностики, назначения медикаментов и лечебных процедур, или для оказания медицинских услуг, и при этом осуществляется работником здравоохранения.


При равноправном участии обеих сторон, составляется протокол проверок и инспекций, которые проводятся в соответствии с положениями настоящей статьи.

IV. - Если для обработки, затрагивающей вопросы государственной безопасности, публикация разрешающего ее юридического акта не является обязательной, то в постановлении Государственного совета, которым, согласно части III статьи 26, это позволено, может быть также указано, что на эту обработку не распространяются положения настоящей статьи.

ГЛАВА VII – МЕРЫ ВЗЫСКАНИЯ, ПРИМЕНЯЕМЫЕ НАЦИОНАЛЬНОЙ КОМИССИЕЙ ПО ИНФОРМАТИКЕ И СВОБОДАМ

Статья 45

I. - Если оператор обработки нарушает обязательства, вытекающие из положений настоящего Закона, то Национальная Комиссия по информатике и свободам может вынести ему предупреждение. Она может также потребовать, чтобы этот оператор прекратил это нарушение в установленный ею срок.

Если оператор обработки не выполняет адресованное ему требование, то Комиссия может применить к нему, после проведения разбирательства в состязательном процессе, следующие меры взыскания:

Денежные взыскания, согласно положениям статьи 47, за исключением случаев, когда обработка осуществляется государством;
 
Предписание прекратить обработку, в случае если она осуществляется в соответствии с положениями статьи 22, либо отзыв разрешения на обработку, данного в соответствии с положениями статьи 25.

II. – В случае крайней необходимости, если осуществление обработки или использование данных влечет за собой нарушение прав и свобод, упомянутых в статье 1, то Комиссия может, после проведения разбирательства в состязательном процессе:

Принять решение о прекращении осуществления обработки, на срок не более чем 3 месяца, если обработка не относится к числу тех, которые упоминаются в частях I и II статьи 26, или к числу тех, которые упоминаются в статье 27 и осуществляются государством;

Принять решение о блокировании некоторых персональных данных, на срок не более чем 3 месяца, если обработка не относится к числу тех, которые упоминаются в частях I и II статьи 26;

Информировать премьер-министра, с тем чтобы он, в случае надобности, принял меры, которые дадут возможность прекратить выявленное нарушение, в случае если обработка относится к числу тех, которые упоминаются в частях I и II статьи 26; не позднее чем через пятнадцать дней после получения этой информации премьер-министр извещает Комиссию о своих действиях, предпринятых в связи с ней.

III. – В случае прямого и тяжкого посягательства на права и свободы, упомянутые в статье 1, Председатель Комиссии может в неотложном порядке потребовать, чтобы судебный орган, к юрисдикции которого оно относится, предписал выполнение (если понадобится, под страхом выплаты нарастающей пени) всех мер безопасности, необходимых для защиты этих прав и свобод.

Статья 46

Меры взыскания, определенные в части I и в пункте 1° части II статьи 45, применяются на основании доклада, составленного одним из членов Национальной Комиссии по информатике и свободам, которого для этой цели назначает ее Председатель. Этот докладчик назначается из числа членов Комиссии, не входящих в «узкий состав». Доклад доводится до сведения оператора обработки, который может подать в Комиссию свои замечания, а также привлечь к участию в деле своего представителя или помощника. Докладчик может представлять Комиссии свои замечания в устной форме, но не имеет права участвовать в принятии решения. Комиссия имеет право заслушать и опросить любых других лиц, если сочтет, что это может существенным образом дополнить имеющуюся у нее информацию.
 
Комиссия может обнародовать те предупреждения, которые она выносит. Она также может, в случае недобросовестности со стороны оператора обработки, дать распоряжение о включении сведений о других применяемых ею мерах взыскания в эти свои публикации, а также об их обнародовании в газетах и других средствах массовой информации, по ее указанию. Затраты при этом возлагаются на тех лиц, к которым применяются меры взыскания.
 
Решения, принимаемые Комиссией в соответствии с положениями статьи 45, должны быть обоснованными и доводиться до сведения оператора обработки. Решения о применении мер взыскания могут быть предметом полной апелляции в Государственном совете.

Статья 47

Размер денежного взыскания, предусмотренного в части I статьи 45, соразмеряется с тяжестью нарушений, которые были допущены, и с тем, какие выгоды были из этого извлечены.

Для первичного нарушения, размер денежного взыскания не может превосходить 150000 евро. В случае если в течение пяти лет, начиная с даты окончательного вхождения в силу ранее наложенного денежного взыскания, было допущено повторное нарушение, то размер налагаемого за него денежного взыскания не может превосходить 300000 евро, либо, в случае если оно налагается на предприятие, 5 % от оборота (без учета налогов) за последний финансовый год, но не более 300000 евро.

Если Национальная Комиссия по информатике и свободам выносит решение о применении денежного взыскания, которое становится окончательным до того, как уголовный суд вынесет окончательный приговор по тем же самым фактам (либо по связанным с ними фактам), то этот суд может постановить, что денежное взыскание засчитывается в сумму штрафа, налагаемого этим приговором.

Денежные взыскания уплачиваются как долг государству, не являющийся ни налогом, ни доходом от имущества.

Статья 48

Комиссия может осуществлять полномочия, возложенные на нее статьей 44, а также частью I, пунктом 1° части II и частью III статьи 45, по отношению к обработкам, которые выполняются, полностью или частично, на территории Франции, в том числе и в тех случаях, когда оператор обработки официально зарегистрирован на территории другой страны-члена ЕС.

Статья 49

Комиссия может, по запросу органа, выполняющего в другой стране-члене ЕС функции, аналогичные ее собственным, выполнить проверки в том же порядке, по тем же самым процедурам и правилам и с применением тех же мер взыскания, что и проверки, предписанные статьей 45, за исключением случаев, когда требуются проверки, упомянутые в части I или II статьи 26.

Комиссия имеет право предоставлять собранные ею и имеющиеся у нее сведения и данные органам, выполняющим в других странах-членах ЕС функции, аналогичные ее собственным, по их запросам.

ГЛАВА VIII – НОРМЫ УГОЛОВНОГО ПРАВА

Статья 50

Нарушения положений настоящего Закона и соответствующие меры наказания предусмотрены статьями с 226-16 по 226-24 Уголовного кодекса.

Статья 51

Наказание в виде тюремного заключения сроком на 1 год и штрафа в размере 15000 евро предусмотрено за чинение препятствий в деятельности Национальной Комиссии по информатике и свободам одним из следующих способов:

Возражая против выполнения функций, порученных членам Комиссии или ее сотрудникам, аттестованным в соответствии с положениями последнего абзаца статьи 19;

 
Отказываясь предоставить членам Комиссии или ее сотрудникам, аттестованным в соответствии с положениями последнего абзаца статьи 19, сведения и документы, которые им нужны для выполнения их функций, или скрывая такие документы и сведения либо способствуя их утрате;

Предоставляя данные, которые не соответствуют записям, сделанным ранее, в момент поступления запроса, либо данные, которые не представляют содержание этих записей в форме прямого доступа.

Статья 52

Прокурор Республики уведомляет Председателя Национальной Комиссии по информатике и свободам обо всех случаях привлечения к уголовной ответственности за нарушения положений раздела 5 главы VI титула II книги II Уголовного кодекса, а также о разбирательстве этих дел (если таковое проводится). Прокурор Республики извещает Председателя Национальной Комиссии по информатике и свободам о дате и теме судебного заседания заказным письмом, посланным не позднее, чем за десять дней до этой даты.

Следственный орган или суд может вызвать Председателя Национальной Комиссии по информатике и свободам или его представителя на предмет подачи его замечаний в письменной форме либо их устного оглашения в судебном заседании.

ГЛАВА IX – ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ МЕДИЦИНСКИХ ИССЛЕДОВАНИЙ

Статья 53

На обработки персональных данных, имеющие своей целью исследования в области здравоохранения, распространяются положения настоящего Закона, за исключением статей 23-26 и 32-38.

Действие положений настоящей главы не распространяется на обработки данных, целью которых является индивидуальное терапевтическое или медицинское наблюдение пациентов. То же относится и к обработкам, позволяющим проводить исследования на основе таких данных, при условии, что эти исследования проводятся работниками, осуществляющими наблюдение, и предназначены для использования исключительно ими.

Статья 54

По каждому запросу на осуществление обработки персональных данных, перед его подачей в Национальную комиссию по информатике и свободам, Консультативный комитет по обработке данных для медицинских исследований, созданный при министерстве, в компетенцию которого входят исследования, и состоящий из специалистов по исследованиям в области здравоохранения, эпидемиологии, генетики и биостатистики, выдает заключение о методике исследований, с учетом положений настоящего Закона, необходимости использования персональных данных и их соответствия целям исследования.

Консультативный комитет должен выдать заявителю свое заключение в течение месяца. Если по истечении этого срока заключения нет, то считается, что оно положительное. При необходимости срок может быть сокращен до двух недель.

Председатель Консультативного комитета может принять решение действовать по упрощенной процедуре.

Затем в Национальную комиссию по информатике и свободам подается заявка на разрешение обработки данных, по которой Комиссия выносит свое решение в порядке, предписанном статьей 25.

Для наиболее распространенных категорий автоматизированных обработок, имеющих своей целью исследования в области здравоохранения и оперирующих персональными данными, по которым невозможно прямо идентифицировать их субъектов, Комиссия может утвердить в качестве стандартных и опубликовать типовые методики, составленные в сотрудничестве с Консультативным комитетом, а также с репрезентативными частными и государственными учреждениями (предприятиями, организациями), и предназначенные для упрощения процедуры, описанной в первых четырех абзацах настоящей статьи.

Для характеристик, представленных в статье 30, в этих методиках указываются стандарты, которым должны соответствовать обработки, относительно которых могут быть поданы запросы на выдачу заключения или заявки на разрешение по упрощенной форме.

Для обработок, соответствующих этим стандартам, в комиссию отправляется только обязательство о соответствии одному из этих стандартов. Председатель Комиссии может разрешить такую обработку, проведя рассмотрение по упрощенной процедуре.

Для других категорий обработок Консультативный комитет, совместно с Национальной Комиссией по информатике и свободам, определяет условия, при которых его заключение не требуется.

Статья 55

Несмотря на правила сохранения профессиональной тайны, работники здравоохранения могут передавать персональные данные, которыми они располагают в рамках обработки данных, разрешенной в соответствии с положениями статьи 53.

Если по этим данным можно идентифицировать их субъектов, то перед передачей необходимо их закодировать. Это требование может быть снято в случае если обработка данных связана с изучением вредных воздействий лекарств, или с протоколами исследований, которые проводятся в рамках совместных национальных или международных исследовательских проектов. Кроме того, это требование может сниматься, если того требует специфика исследования. В заявке на разрешение обработки должно содержаться научно-техническое обоснование снятия требования и указание срока, необходимого для проведения исследования. По истечении этого срока данные хранятся и обрабатываются в порядке, определенном в статье 36.

Результаты обработки данных должны быть представлены в виде, не позволяющем прямо или косвенно идентифицировать субъектов персональных данных.

Необходимо, чтобы эти данные получил руководитель исследований, назначенный с этой целью физическим или юридическим лицом, которому разрешено осуществлять обработку. Этот руководитель следит за сохранностью данных и за безопасностью их обработки, а также за тем, чтобы обработка соответствовала своим целям.
Лица, которые должны осуществлять обработку данных, а также лица, имеющие право доступа к данным, задействованным в обработке, должны сохранять их в режиме профессиональной тайны. За неисполнение этого обязательства они несут ответственность по статье 226-13 Уголовного кодекса.

Статья 56

Любое лицо имеет право представить свои возражения против несоблюдения, для его персональных данных, режима сохранения профессиональной тайны, который необходим, если обработка относится к одному из видов, перечисленных в статье 53.

В случае если для целей исследования необходимо произвести отбор биопроб для идентификации личности, то до осуществления обработки данных необходимо получить информированное согласие субъектов данных.

Данные об умерших лицах, в том числе те, которые приводятся в свидетельствах о причинах смерти, могут быть задействованы в обработке данных, кроме тех случаев, когда их субъект, еще при жизни, письменно оформил свой запрет.

Статья 57

Лицам, которые сообщают персональные данные о себе в ответ на вопросы, а также лицам, являющимся субъектами передаваемых данных, до начала обработки этих данных обязательно предоставляется (каждому персонально) информация:

о характере передаваемых данных;

о цели обработки данных;

о физических и юридических лицах, являющихся получателями данных;

о праве доступа и исправления, предусмотренном статьями 39 и 40;

о праве на представление возражений, которое предусмотрено первым и третьим абзацами статьи 56, а в случае, описанном во втором абзаце этой статьи – информация об обязательности получения согласия.

Однако эта информация может не предоставляться в тех случаях, когда на законных основаниях, добросовестно оцененных лечащим врачом, больного оставляют в неведении о тяжелом диагнозе или о неблагоприятном прогнозе.

Если изначально данные были собраны для иной цели, нежели эта обработка, то можно не соблюдать обязательство персонального оповещения субъектов об обработке этих данных для исследования, в случае если оказывается, что их трудно разыскать. Факт невыполнения этого обязательства отмечается в документации, прилагаемой к заявке на разрешение, по которой принимает свое решение Национальная Комиссия по информатике и свободам.

Статья 58

Лицами, которые выступают в качестве получателей информации и осуществляют права, предоставленные согласно статьям 56 и 57, являются обладатели родительских прав (для несовершеннолетних субъектов данных) и законные представители (для субъектов данных, над которыми установлено опекунство).

Статья 59

Оповещение, предусмотренное положениями настоящей главы, должно обеспечиваться в любом учреждении или центре, выполняющем функции профилактики, диагностики и лечения, в рамках которых может понадобиться произвести передачу персональных данных для осуществления обработки, о которой идет речь в статье 53.

Статья 60

Если обработка данных осуществляется с нарушением условий, установленных в настоящей главе, то Национальная Комиссия по информатике и свободам отзывает (временно или окончательно) разрешение на эту обработку, выданное в соответствии с положениями статьи 54.

То же имеет место и в случае отказов от прохождения проверок, предусмотренных подпунктом f пункта 2° статьи 11.

Статья 61

Передача в страну, не являющуюся членом ЕС, незакодированных персональных данных, задействованных в обработке, целью которой являются исследования в области здравоохранения, разрешается (в порядке, определенном в статье 54) только при условии выполнения правил, приведенных в главе XII.

ГЛАВА X – ОБРАБОТКИ МЕДИЦИНСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ С ЦЕЛЬЮ ОЦЕНКИ И АНАЛИЗА ОПЫТА И РЕЗУЛЬТАТОВ ЛЕЧЕБНОЙ И ПРОФИЛАКТИЧЕСКОЙ ДЕЯТЕЛЬНОСТИ

Статья 62

Обработки медицинских персональных данных, предназначенных для оценки опыта лечебной или профилактической деятельности, разрешаются при условиях, приведенных в настоящей главе.

Положения настоящей главы не распространяются на обработки персональных данных, которые выполняются в целях возмещения расходов и контроля, осуществляемого органами управления фондами медицинского страхования, а также на обработки, выполняемые в учреждениях здравоохранения медиками, ответственными за медицинскую информацию, в порядке, который определен во втором абзаце статьи L. 6113-7 Кодекса о здравоохранении.

Статья 63

Данные из информационных систем, о которых говорится в статье L. 6113-7 Кодекса о здравоохранении, данные из историй болезни, составленных в рамках частной медицинской практики, а также данные, содержащиеся в информационных системах фондов медицинского страхования, могут быть предоставлены для статистических целей оценки или анализа опыта и результатов лечебной и профилактической деятельности только в виде обобщенных статистических показателей, либо в виде данных по отдельным пациентам, но таких, по которым нельзя идентифицировать субъектов данных.

Отступления от положений предыдущего абзаца возможны только по разрешению Национальной Комиссии по информатике и свободам, в порядке, определенном в статьях 64-66 настоящего Закона. В таких случаях, в используемых данных не должны содержаться ни имена, ни фамилии субъектов данных, ни их номера регистрации в Национальном реестре учета физических лиц.

Статья 64

По каждой заявке, Комиссия проверяет представленные заявителем гарантии соблюдения вышеприведенных положений, а также соответствие заявки задачам заявителя или (если он – юридическое лицо) его предмету деятельности. Комиссия проверяет необходимость использования персональных данных, с точки зрения объявленных целей оценки и анализа опыта и результатов лечебной и профилактической деятельности. Путем проверок она убеждается в том, что персональные данные, которые предполагается задействовать в обработке, не содержат ни имен, ни фамилий своих субъектов, ни их номеров регистрации в Национальном реестре учета физических лиц. Кроме того, если заявитель не представил достаточных подтверждений необходимости некоторых сведений из общего числа персональных данных, которые предполагается задействовать в обработке, то Комиссия может запретить их предоставление тем учреждением (предприятием, организацией), где они находятся, и разрешить лишь обработку остальных данных.

Комиссия определяет срок хранения данных, необходимых для обработки, и оценивает меры, предпринимаемые для обеспечения их безопасности, а также для соблюдения режима тайн, охраняемых законом.

Статья 65

Комиссия должна вынести решение в течение 2 месяцев со дня обращения заявителя. Этот срок может быть один раз продлен еще на два месяца. Если за это время решение не принято, то считается, что принято решение об отказе.

По обработкам, имеющим одну и ту же цель, оперирующим с одними и теми же категориями данных и предназначенным для одних и тех же получателей либо для одних и тех же категорий получателей, может быть принято единое решение Комиссии.

Статья 66

Обработки, разрешенные в порядке, предусмотренном статьями 64 и 65, не могут быть использованы для поисков или для идентификации физических лиц. Лица, осуществляющие эти обработки, а также лица, имеющие доступ к данным, которые в них задействованы, либо к их результатам, если с их помощью можно косвенным образом определить субъектов данных, обязаны соблюдать режим профессиональной тайны, а за несоблюдение этого режима несут ответственность по статье 226-13 Уголовного кодекса.

Результаты этих обработок могут передаваться, публиковаться или распространяться только при условии, что невозможно определить по ним лиц, о состоянии которых были собраны исходные данные.

ГЛАВА XI – ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ ЖУРНАЛИСТИКИ, ЛИТЕРАТУРЫ И ИСКУССТВА

Статья 67

Действие пункта 5° статьи 6, статей 8, 9 и 22, пунктов 1° и 3° части I статьи 25, статей 32, 39, 40 и 68-70 не распространяется на обработки персональных данных, осуществляемые исключительно для:

- целей литературы и искусства;

2°- профессиональной журналистской деятельности, с соблюдением правил профессиональной этики.

Для обработок, упомянутых в пункте 2° настоящей статьи, декларация, предусмотренная статьей 22, не является обязательной только в том случае, если оператор обработки назначил лицо, ответственное за защиту данных, принадлежащих печатному или аудиовизуальному органу массовой информации; в обязанности этого лица входит ведение реестра обработок, осуществляемых оператором, и обеспечение, независимым образом, соблюдения положений настоящего Закона. Об этом назначении следует уведомить Национальную Комиссию по информатике и свободам.
 
В случае несоблюдения положений Закона, которые распространяются на обработки, рассматриваемые в настоящей статье, Национальная Комиссия по информатике и свободам дает оператору предписание привести обработку в соответствие с Законом. В случае если ответственное лицо выполняет свои обязанности ненадлежащим образом, то оно смещается со своего поста, по требованию Национальной Комиссии по информатике и свободам либо по результатам согласования с ней.

 
Положения предыдущих абзацев не создают препятствий для применения положений Гражданского кодекса, законодательства о печатных и аудиовизуальных СМИ, а также Уголовного кодекса, определяющих порядок осуществления права на представление возражений, предотвращающих или ограничивающих посягательства на неприкосновенность частной жизни и нанесение репутационного ущерба, а также устраняющих их последствия и, в соответствующих случаях, определяющих меру наказания за эти нарушения.

ГЛАВА XII – ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ В СТРАНЫ, НЕ ЯВЛЯЮЩИЕСЯ ЧЛЕНАМИ ЕС

Статья 68

Оператор обработки может передавать персональные данные в страну, не являющуюся членом ЕС, только если в этой стране обеспечивается достаточный уровень защиты неприкосновенности частной жизни, а также основных прав и свобод личности, в отношении обработок, в которых задействованы или могут быть задействованы эти данные.

Достаточность уровня защиты, обеспечиваемого в стране, оценивается, в частности, по нормам права, действующим в этой стране, по применяемым там мерам безопасности и по конкретным характеристикам обработки – таким, как ее цели и сроки, а также тип, источник и назначение обрабатываемых данных.

Статья 69

Тем не менее, оператор обработки может передать персональные данные в страну, не удовлетворяющую условиям, сформулированным в статье 68, если субъект этих данных явно выразил свое согласие на их передачу, либо если эта передача необходима по одной из следующих причин:

Для защиты жизни субъекта данных;

 
Для защиты общественных интересов;

Для выполнения обязательств по обеспечению возможности установления или осуществления прав, либо для их защиты в суде;

Для просмотра, в установленном порядке, государственного реестра, который, в соответствиями с положениями законодательных и нормативных актов, предназначен для оповещения населения и открыт для просмотра его представителями, а также любыми лицами, которые могут подтвердить законность своих интересов;

Для выполнения договора, заключенного между оператором обработки и субъектом данных, либо для совершения, по требованию последнего, действий, предшествующих подписанию договора;

Для заключения или выполнения договора, заключенного или подлежащего заключению, в интересах субъекта данных, между оператором обработки и третьим лицом.

Отступить от запрета, установленного в статье 68, можно также по решению Национальной Комиссии по информатике и свободам либо, для обработок, упомянутых в части I или II статьи 26, по постановлению Государственного совета, которое принимается с учетом публикуемого обоснованного заключения Комиссии, при условии, что для обработки гарантируется достаточный уровень защиты неприкосновенности частной жизни, а также основных прав и свобод личности, в частности благодаря договорным условиям или внутренним правилам, которые для них установлены.

Решения о разрешении передач персональных данных, принимаемые Национальной Комиссией по информатике и свободам, в соответствии с положениями предыдущего абзаца, доводятся ею до сведения Комиссии Европейских сообществ, а также управляющих органов других стран-членов ЕС.

Статья 70

Если Комиссия Европейских сообществ заявляет, что в стране, не являющейся членом ЕС, не обеспечивается достаточный уровень защиты в отношении передачи или категории передач персональных данных, то Национальная Комиссия по информатике и свободам, получив поданную в соответствии с положениями статьи 23 или 24 декларацию, из которой следует, что в эту страну будут переданы персональные данные, выдает в ответ официальное уведомление о получении декларации, в котором содержится запрет на такую передачу данных.

В случае если, по мнению Национальной Комиссии по информатике и свободам, в стране, не являющейся членом ЕС, не обеспечивается достаточный уровень защиты в отношении передачи или категории передач данных, она незамедлительно извещает об этом Комиссию Европейских сообществ. Когда Национальная Комиссия по информатике и свободам получает поданную в соответствии с положениями статьи 23 или 24 декларацию, из которой следует, что в эту страну будут переданы персональные данные, она в ответ выдает официальное уведомление о получении декларации и может дать оператору обработки предписание о приостановке передачи данных. Если Комиссия Европейских сообществ заявляет, что страна, в которую предполагается передавать данные, обеспечивает достаточный уровень защиты, то Национальная Комиссия по информатике и свободам извещает оператора обработки об отмене приостановки передачи данных. Если Комиссия Европейских сообществ заявляет, что страна, в которую предполагается передавать данные, не обеспечивает достаточный уровень защиты, то Национальная Комиссия по информатике и свободам извещает оператора обработки о запрете на осуществление передачи персональных данных в эту страну.

ГЛАВА XIII – ПРОЧИЕ ПОЛОЖЕНИЯ

Статья 71

Порядок применения настоящего Закона определяется постановлениями Государственного совета, которые принимаются с учетом заключений Национальной Комиссии по информатике и свободам.

Статья 72

Настоящий Закон действует также на территории Французской Полинезии, французских Южных и Антарктических земель, Новой Каледонии и Майотта, а также на островах Уоллис и Футуна.


Если заявитель имеет постоянное местонахождение на одной из этих территорий, то, в отступление от правила, приведенного во втором абзаце статьи 54, Консультативный комитет должен выдать ему свое заключение не позднее, чем через два месяца. В случае крайней необходимости, этот срок может быть сокращен до одного месяца.



Скачать документ

Похожие документы:

  1. Комментарий к федеральному закону от 10 января 2003 года n 19-фз " о выборах президента российской федерации"

    Закон
    ... ГОУ ... РСФСР 1978 ... 78 ... 4 статьи 4 Федерального законаот17января 1992 г. N 2202 ... осуществления последующих избирательных ... быливнесеныизменения Федеральным закономот 4 октября 2010 г. N 263-ФЗ. Ожидается, что строгий учет ... отдельный акт, который прилагается ...
  2. Комментарий к федеральному закону от 10 января 2003 года n 19-фз " о выборах президента российской федерации"

    Закон
    ... ГОУ ... РСФСР 1978 ... 78 ... 4 статьи 4 Федерального законаот17января 1992 г. N 2202 ... осуществления последующих избирательных ... быливнесеныизменения Федеральным закономот 4 октября 2010 г. N 263-ФЗ. Ожидается, что строгий учет ... отдельный акт, который прилагается ...
  3. Е ж е к в а р т а л ь н ы й о т ч е т открытое акционерное общество «квадра - генерирующая компания» код эмитента 43069-a за 2 квартал 2010 г

    Документ
    ... /47 от17.07.2007) внесеныизменения в ... совершении которых имелась заинтересованность и которыебыли ... последующимиизменениями и дополнениями; Федеральный закон «О несостоятельности (банкротстве)» от 26.10.2002 г. № 127-ФЗ, с последующимиизменениями ...
  4. 17 ноября 2009 года Утреннее заседание

    Документ
    ... от общего объема бюджетных средств. Проектом Инвестиционной программы Республики Саха (Якутия), котораявнесена ... были учтены и заложены с учетом ... росписи фонда с последующим внесением изменений в закон в течение календарного ... только с 1 января 2011 года. ...
  5. 17 ноября 2009 года Утреннее заседание

    Заседание
    ... от общего объема бюджетных средств. Проектом Инвестиционной программы Республики Саха (Якутия), котораявнесена ... были учтены и заложены с учетом ... росписи фонда с последующим внесением изменений в закон в течение календарного ... только с 1 января 2011 года. ...

Другие похожие документы..