Bir kişisel veri veya DCP (genellikle "kişisel veri"), Fransız hukukunda kimliği belirli bir gerçek kişiyle ilgili herhangi bir bilgiye karşılık gelir veya bir kimlik numarasına veya belirli bir veya daha fazla öğeye atıfta bulunularak doğrudan veya dolaylı olarak tanımlanabilir. o. Veri gibi çeşitli yasal enstrümanlar ile korunmaktadır Veri Koruma Yasası, dosya ve özgürlükler 1978 den ve veri koruma Hakkında Genel Yönetmelik veya RGPD (kaldırılması Direktifi 95/46 / AT at) Topluluğun ve Sözleşmesi n o kişisel verilerin korunması 108 arasında Avrupa Konseyi . Gibi Fransız CNIL , birçok ülke şu anda sahip kişisel verilerin korunmasından sorumlu yetkilileri genellikle, bağımsız idari otoriteler kişisel veri koruma yasaları uygulamakla sorumludur (veya eşdeğeri).
Fransa'da yasa, "herkesin kendisiyle ilgili kişisel verilerin kullanımlarına karar verme ve bunları kontrol etme hakkına sahip olduğunu" belirtir.
Avrupa GDPR yönetmeliği, kişisel verilerin korunmasına ilişkin 20 Haziran 2018 tarihli yasa ile iç hukuka uyarlanmıştır. Ek olarak, bu yasa CNIL'e ek görevler ve veri koruma konularında artan kontrol ve yaptırım gücü verir.
Kişisel verilerin korunması hukukunun dayandığı çeşitli metinlerde kabul edilen tanımlar temelde farklılık göstermemekle birlikte değişken düzeyde ayrıntı sunmaktadır.
Avrupa Birliği hukukuGenel Veri Koruma Yönetmeliği'nin 4. maddesi , kişisel verileri “kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi […]; "Tanımlanabilir gerçek kişi" olarak kabul edilir, doğrudan veya dolaylı olarak, özellikle isim, kimlik numarası, konum verileri, çevrimiçi tanımlayıcı gibi bir tanımlayıcıya veya bir veya fiziksel, fizyolojik, genetik, psikolojik, ekonomik, kültürel veya sosyal kimliğine özgü daha spesifik unsurlar” olarak tanımlanmıştır. Bu tanım, 95/46/EC sayılı Direktifin 2. Maddesinde yer alan ve kişinin "özellikle bir kimlik numarasına veya bir veya daha fazla belirli, belirli öğeye atıfta bulunularak tanımlanabilir hale geldiğini" belirten 2. Maddede belirtilenden biraz daha ayrıntılıdır . , fizyolojik, psikolojik, ekonomik, kültürel veya sosyal kimlik”.
Fransız hakkıKişisel Verilerin Korunması Kanunu'nun 2. maddesine göre kişisel veriler, "kimliği belirli bir gerçek kişiye veya bir kimlik numarasına veya kendisine özgü bir veya birden fazla unsura atıfta bulunularak doğrudan veya dolaylı olarak belirlenebilen her türlü bilgiyi" ifade eder. ”. “Bir kişinin kimliği belirlenebilir olup olmadığını belirlemek için, kimliğinin belirlenmesini sağlamak için mevcut olan veya denetleyicinin veya başka herhangi bir kişinin erişebileceği tüm araçların dikkate alınması gerektiğini” ekler. Aktarım sırasında, Fransız yasa koyucu 1995 yönergesinin şartlarını tam olarak tekrarlamadı, bu yönerge 26. gerekçesine “bir kişinin tanımlanabilir olup olmadığını belirlemek için, makul olarak uygulanabilecek tüm yöntemlerin dikkate alınması gerekir, ya da kontrolör veya başka bir kişi tarafından, söz konusu kişiyi tanımlamak için ”.
6 Ocak 1978 tarihli orijinal veri işleme kanunu ve özgürlükleri, daha çok "sahte bilgi"ye atıfta bulunur, "ilgili tarafın profilinin veya kişiliğinin bir tanımını" verenlere (madde 2) ve "herhangi bir biçimde izin verilen bilgilere" atıfta bulunur. doğrudan veya başvuruda bulundukları gerçek kişilerin kimliklerinin belirtilmesi” (Madde 4).
Topluluk dışı yasaAvrupa Konseyi 108 Sözleşmesi'nin 2. maddesinde kişisel veri "kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi" olarak tanımlanmıştır.
Kişisel veri kavramı geniş bir şekilde tanımlanmıştır ve ulusal mahkemeler ve yetkililer tarafından yaygın olarak kullanılmaktadır.
Kişisel veri örnekleriKişisel veriler, kimliği belirli bir gerçek kişiyle ilgili veya bir veya daha fazla tanımlayıcı kullanılarak doğrudan veya dolaylı olarak belirlenebilen her türlü bilgidir. Bu tanımlayıcılar ad, ad, yüz fotoğrafı gibi doğrudan tanımlayıcı bilgiler olabileceği gibi doğum tarihi ve yeri, ev adresi, e-posta adresi, takma ad, referans numarası, sahte anonimleştirme kodu veya bilgileri çapraz kontrol ederek kişiye bağlanabilen telefon numarası. Bir IP adresi , kişinin gerçek adını bilmeden internette davranışlarını izlemek, ayrıntılı "profiller" oluşturmak ve böylece kişiselleştirilmiş reklamlar göndermek için kullanılabildiğinden, sabit veya dinamik kişisel veri olarak kabul edilir. tarama alışkanlıkları ve satın alma geçmişi.
Bu veriler, kan grubu, sosyal güvenlik veya banka kartı numarası gibi nesnel veya ilgili kişilerle ilgili görüşler veya değerlendirmeler ( örneğin müşteri yönetimi yazılımının "not defteri alanlarında" gibi) gibi öznel olabilir. hatta doğru olmalı.
Verilerin kişisel olması için yapılandırılması veya hatta bir veritabanında bulunması gerekmez. Onlara sahip olan kişi tarafından mutlaka sömürülebilir olmaları gerekmez.
Aynı şekilde, format önemsizdir: görüntüler (fotoğraflar, resimler, çizimler), videolar (CCTV kayıtları), sesler (ses örnekleri), vücudun bir kısmı (parmak izi , retinal veya venöz) olabilir.
Öte yandan, kişisel veriler yalnızca bir gerçek kişiyi ilgilendirebilir, tüzel kişilere ilişkin bilgiler kişisel verilere ilişkin düzenlemeler çerçevesinde yer almaz. Ancak ticaret ve şirket sicili gibi dosyalar , yöneticilere ilişkin bilgiler de dahil olmak üzere çok sayıda kişisel veri içermektedir, bu noktada diğer hususların yanı sıra kişisel verilere ilişkin düzenlemelerin de sınırlayıcı olabilecek diğer düzenlemelerle birlikte değerlendirilmesi gerektiği unutulmamalıdır. kişisel verileri silme veya bunlara erişme hakkı gibi belirli haklar.
Yolcu adı kaydı (PNR) verileri örneğiYolcu İsim Kaydı (PNR ) verileri, birlikte seyahat eden yolcular için bir seyahatin tüm detaylarına ilişkin kişisel verilerdir . CNIL , ve onun Avrupa muadili G29 , bunun yapıldığı kuyu kullanıma kadar devletler arasında bu verilerin değiş ilgili olarak saygısını sorunlarının belirli sayıda yükseltir düşünün özel hayata özellikle birlikte, ABD'nin hangi yasa bu verileri Avrupa Birliği yasalarından daha az koruyor . G29, PNR verilerinin değişimine ilişkin Temmuz 2007 tarihli AB ve Amerika Birleşik Devletleri arasındaki anlaşmanın birçok hükmünü içeren Kasım 2007 tarihli Avrupa Konseyi çerçeve kararına ilişkin görüşünde şunları bildirmiştir: “Avrupa PNR'ı yönetemez. için genelleştirilmiş gözetim tüm yolcuların” . Nisan 2012'de Avrupa Parlamentosu, Avrupalı hava yolcuları hakkındaki bilgilerin Amerikan makamları tarafından saklanmasına onay verdi. Nisan 2016'da Avrupa Parlamentosu, AB Yolcu Adı Kaydı Veri Direktifini kabul etti.
Tıbbi veri örneğiTıbbi veri kayıtlı oldukları özellikle "olarak kabul edilir hassas veri RGPD ve tarafından" Veri Koruma Yasası . Sadece kanunla düzenlenen belirli durumlarda, örneğin hastanede yatan bir hastanın bilgisayarlı tıbbi dosyası için toplanabilirler . 2003 Babusiaux raporu, bunların anonim hale getirildikten sonra CPAM'a (birincil sağlık sigortası fonlarına), karşılıklı derneklere ve sigorta şirketlerine gönderilmesini tavsiye etti . Doktorların küçük bir azınlığı, tıbbi gizliliğin korunması gerektiğini iddia ederek, Carte Vitale yürürlüğe girdiğinde tıbbi kayıtların bilgisayarlaştırılmasına isyan etti . "Sağlık sigortasına ilişkin kanun" (13 Ağustos 2004), bir Sağlık Verileri Enstitüsü'nün (IDS, kamu çıkar grubu , 2007'de faaliyete geçti ) oluşturulmasını sağlar ve daha sonra da kanunun kalitesinin basitleştirilmesi ve iyileştirilmesine ilişkin 2011 kanununa tabidir. ); bir araya Devleti, getiren ulusal sağlık sigortası fonları , tamamlayıcı sağlık sigortası kuruluşlarının Ulusal Birliği ve sağlık profesyonellerinin Ulusal Birliği ve hastalık riskinin yönetimi için kullanılan bilgi sistemlerinin tutarlılık ve kalitesini sağlamak zorundadır; o "üyelerine kullanılabilir hale getirir, Sağlık Yüksek Kurumu , sağlık profesyonellerinin bölgesel birlikleri tarafından belirlenmiş ve belli organları Danıştay Kararı hastalığı risk yönetimi maksatlarla veya, sağlık kaygıları kamu bilgi sistemlerinden veri üyeleri, Ulusal Bilişim ve Özgürlükler Komisyonu ile istişareden sonra alınan Danıştay kararnamesiyle belirlenen anonimliği garanti eden koşullar altında ” ve yıllık faaliyet raporu yayınlar.
AIDS örneğiFransa'da 1990'ların sonunda, Sağlık Bakanı Bernard Kouchner , AIDS'in zorunlu bulaşıcı hastalıklar listesine dahil edilmesini önerdi , bu da zorunlu ancak anonimleştirilmiş seropozitif insanlar beyanı anlamına geliyordu . Bu yaklaşım, veriler anonimleştirildiği sürece AIDS'e karşı savaşan dernekler tarafından desteklenmektedir .
Avrupa AIDS İzleme Merkezi direktörü Jean-Baptiste Brunet de , “ bireysel özgürlüklerin ihlal edilmesinin risklerinin” altını çizen Ulusal AIDS Konseyi'nden farklı olarak bu fikri desteklemektedir . hastaların menfaati "" yükümlülük, otomatik bir cihaz, düzenlemelere uyulmaması durumunda yanıltıcı bir yaptırım sistemi veya hatta halk sağlığı kanununda yasal bir değişiklik anlamına gelir .
Mayıs 1999'da bir kararname, 1998 tarihli sağlık gözetimi yasasına göre AIDS'in zorunlu olarak bildirilmesini zorunlu kılar . Başka bir kararname,6 Mayıs 1999, 1999 yazında AIDS'e karşı savaşan dernekleri endişelendirdi, çünkü muhtemelen kişisel verilerin Halk Sağlığı Gözetimi Enstitüsü tarafından uygulanan otomatik işlemeye ayrımcılık riskiyle dahil edilmesi . Bakan daha sonra bu kararnamenin değiştirileceğini ve CNIL'in otomatik işleme sağlık izleme enstitüsü tarafından Eylül 2009'da uygulanmasını erteleyeceğini duyurdu .
Biyometrik veri örneğiBiyometri “morfolojik veya davranışsal bir özelliği dijital parmak izine dönüştürmekten oluşan bir tanımlama teknolojisini ifade eder. Amacı, vücudunun değiştirilemez ve yönetilemez bir bölümünü ölçerek bir kişinin benzersizliğini kanıtlamaktır ”. Yerleşim 2016/679 olarak tanımlar "ile ilgili özel teknik işleme kaynaklanan kişisel verilerin fizyolojik, fiziksel veya izin vermek veya bu tür yüz resimler veya parmak izi veri olarak, eşsiz kimliğini doğrulamaya bir birey davranışsal“(Madde 4 (14)) .
Söz konusu özelliklerin kullanılabilmesi için belirli kümülatif gereksinimleri karşılaması gerekir: benzersiz, evrensel, kalıcı ve ölçülebilir olmalıdır. Bir biyometrik tanımlama veya doğrulama cihazı tarafından kullanılması muhtemel olan vücudun özellikleri, özellikle parmak izi , elin dış hatları, retinanın , irisin, parmağın venöz ağının analizidir . ya da yüz, yüz geometrisi, DNA'ya kadar . Kayıt sırasında bu özelliklerden elde edilen tüm biyometrik veriler kişisel verilerdir.
Biyometrik veri hukuku beri Fransız yasalarına göre spesifik bir rejime tabidir n o CNIL onların tedavisi önceden izin yapar Veri Koruma Yasası, Madde 25 belirir 2004-801 6 Ağustos 2004,. Kişisel verilerin korunmasına ilişkin genel düzenleme, bunları, işlenmesi ilke olarak yasaklanmış olan “özel kişisel veri kategorileri” (Madde 9 (1)) olarak nitelendirmektedir.
Kişisel veriler bazen, tanımlayıcı olmayan verilerin aksine yanlışlıkla "hassas veriler" olarak anılır ve bu da genellikle "hassas veriler" olarak adlandırılan "özel kişisel veri kategorileri" ile karıştırılmasına yol açar. Bu nedenle, “kişilerin ırksal veya etnik kökenlerini, siyasi, felsefi veya dini görüşlerini veya sendika üyeliğini doğrudan veya dolaylı olarak ortaya çıkaran veya bunların sağlık veya cinsel hayatıyla ilgili olan kişisel verilerdir” (Değişiklik md. 8). Veri koruma Yasası). Yönetmelik, “bir gerçek kişiyi benzersiz şekilde tanımlamak amacıyla “genetik veriler” ve “biyometrik veriler” ekler (Madde 9).
Diğer bir yanlış isim ise “özel veriler”dir, çünkü özellikle kişisel veriler kanunla garanti edilen korumayı kaybetmeden çok iyi kamuya açık hale getirilebilir. Bununla birlikte, Kişisel verilerin korunmasını ve Gizliliğe saygıyı açıkça ayırmak gerekir (ki bu, Kişisel Verilerin Korunması ve Gizliliğin benzer bir kullanımının olduğu Anglo Sakson ülkelerinde bu kadar net değildir), çünkü ikincisi daha geniş bir kavramdır, ancak yine de ilişkili. Gerçekten de Kişisel Verilerin toplanması, kullanılması ve işlenmesi bir kişinin itibarını, imajını, duygusal ve sosyal kişisel yaşamını veya psikolojisini ciddi şekilde etkileyebilir.
Öte yandan, kısaltılmış adı olan “kişisel veriler” yaygın olarak kullanılmakta ve yaygın olarak kabul görmektedir.
Gizlilik, herkese açık verilerToplumlarımız, internet ve sosyal medya ile birlikte mahremiyet görüşümüzün genişlemesine tanık oluyor. Her gün, bazen bilinçli olarak Facebook, Instagram veya Twitter profillerimizde, bazen de bazı sitelerden gelen çerezlerin kabul edilmesinin bıraktığı izlerimizle istemeden birçok bilgi ve veri paylaşıyoruz. Dijital profillerimizde bilgi yayınlayarak ve paylaşarak, bu verilerin üyeliğini önce ağımızla (arkadaşlar, takipçiler vb.), ardından platformla ve bu profillere erişimi olan tüm kişilerle paylaşmayı kabul ediyoruz . Bu bilgiler tüm dünya ile paylaşılsa dahi kişisel veri olarak kalır. Çevrimiçi sermaye yönetimi amacıyla kişisel bilgilerin bu yeni stratejik ifşa biçimleri hiçbir şekilde mahremiyetten feragat anlamına gelmez ; gizliliğimizi koruma ihtiyacımız hala devam ediyor. Sosyal medyada kendini ifşa etmek için birden fazla motivasyon var. Gözlemlenen sosyal ağa bağlı olarak, sosyal sermayenizi yönetmenin birkaç yolu ortaya çıkar. Hepsi, kullanıcının çevrimiçi sunumunun ayarlanmasına izin verir, bazıları ise seçilen detayların az ya da çok farklı alanlarda bir araya getirilmesine izin verir. Sosyolog Antonio Casilli'ye göre, sosyal medyada, sosyal sermaye kavramı "bilgi ve iletişim teknolojilerinin aracılık ettiği ilişkiler yoluyla maddi, bilgi veya duygusal kaynakların elde edilmesini" ifade eder. Sosyal sermayenin bu ifşası ve yönetimi, mahremiyet kaybı gibi maliyetlere tabidir ; Kendinizi tanıtmak, özellikle bağlantıları çekmek için özel hayatınızın bir kısmını feda etmek anlamına gelir. Yine de Antonio Casilli'ye göre, "paylaşılan verilerin hiçbiri özel veya herkese açık değildir, bir şekilde kullanıcıların bir geri bildirim almak için çevrelerine (burada, kişisel çevrimiçi ağlarının üyelerine) gönderdiği bir sinyali temsil eder. ) söz konusu ortamın. Gizlilik sonra birden fazla taraflar arasında bir anlaşma arayışı dayanmaktadır; aktörler, çıkarlarıyla yüzleşmeye ve potansiyel olarak mahrem bilgileri açığa çıkarma açısından alıp vermeye hazırdır. Gizlilik, mahremiyet ve mahremiyet , yalnızca bireye özgü özelliklere bağlı olmayıp, bağlamsal hale gelmekte ve dolayısıyla toplu istişareye tabi olmaktadır.
Anonimleştirme işlemine konu olan veriler kişisel veri olarak kabul edilmez. Genel Veri Koruma Yönetmeliği'nin 26. gerekçesine göre, 'anonim bilgilere, yani kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin olmayan bilgilere veya verinin veri gizliliğini sağlayacak şekilde anonim hale getirilen kişisel verilere veri koruma ilkelerinin uygulanmasına gerek yoktur. özne artık tanımlanamaz veya tanımlanamaz. Dolayısıyla bu düzenleme, istatistiksel veya araştırma amaçları da dahil olmak üzere, bu tür anonim bilgilerin işlenmesi için geçerli değildir ”.
Ancak, tıbbi araştırmalar gibi alanlarda sıklıkla kullanılan "gerçekten anonimleştirilmiş" veriler ile "sözde anonimleştirilmiş" veriler ("gizli" referans kodu kullanılarak) arasında bir ayrım yapılmalıdır. veri, kişisel veridir ve bu nedenle kişisel veri düzenlemesi kapsamına girer.
Öte yandan, kişisel verilerin toplanması, anında anonimleştirilse bile, veri koruma ilkelerine tabi bir veri işleme olarak kalır.
Ancak anonimleştirme tekniklerinin etkinliği bazı araştırmacılar tarafından sorgulanmaktadır. Massachusetts Eyaleti çalışanlarının anonimleştirilmiş tıbbi verileri (hastane ziyaretleri, tıbbi konsültasyonlar), aynı şehrin seçmen kütükleriyle çaprazlanarak "yeniden tanımlandı". Eyalet valisinin kimliği yeniden belirlenebildi, üçü erkek olmak üzere aynı doğum tarihini paylaşan sadece altı kişi ve bunlardan sadece biri aynı posta kodunu paylaştı, toplam 54.000 sakinden ve. yedi posta kodu. Anonimleştirmenin etkinliği ayrıca bilginin ayrıntı düzeyine de bağlıdır, çünkü küçük örneklerde veya birkaç kişiye kadar çok ince ayrıntı düzeyinde olması durumunda, anonimleştirme mevcut olmaz.
Daha yakın zamanlarda, MIT araştırmacıları tarafından yapılan bir araştırma , 1,5 milyon kişilik bir telefon veritabanındaki bireylerin %95'ini tanımlamak için dört coğrafi konumlu noktanın yeterli olduğunu gösterdi .
Kişisel veriler, kullanımlarından kaynaklanan potansiyel ekonomik değer aracılığıyla, bir şirketin maddi olmayan varlığının bir parçasıdır ve kurumsal düzey de dahil olmak üzere bazılarının "veri ekonomisi" olarak adlandırdığı şeyin merkezinde yer alır. Çeşitli iş modelleri, kullanıcıları tarafından sağlanan veriler karşılığında ücretsiz hizmetler sağlamayı içerenler de dahil olmak üzere, kişisel verilerin kullanımına dayanmaktadır; bunlar, esas olarak pazarlama kişiselleştirmesi ve davranışsal hedefleme için kullanılır .
Son skandallar (yani Facebook-Cambridge Analytica ), büyük seçimlerde seçmenlerin siyasi tercihlerini doğrudan veya dolaylı olarak etkilemek için kişisel verilerin siyasi amaçlarla kullanıldığını da göstermiştir.
Ayrıca, daha önce anonimleştirme işlemine tabi tutulan topluluklar veya idareler tarafından üretilen kişisel veriler, açık veri politikaları çerçevesinde kamu yararına yönelik olarak yayılabilir .
Kişisel veriler, özellikle ilgili kişilerin kimliği, davranışı, alışkanlıkları veya tercihleri hakkında bilgi sağladığından, kullanımları Avrupa Sözleşmesi ile korunan özel ve aile hayatına saygı hakkı ile çelişmektedir . temel özgürlükler (Madde 8 paragraf 1), Avrupa Temel Haklar Şartı (Madde 7) ve Medeni Kanun (Madde 9).
Bazı durumlarda, veri koruma yasasının ilgili kişilere sunduğu hakların kullanılması, özellikle unutulma hakkının uygulanmasında, ifade özgürlüğü veya bilgi edinme hakkı gibi diğer temel özgürlüklerle çatışmalara yol açmaktadır .
Google vakasıKişisel veri sızıntıları bazen harici kuruluşlar tarafından yapılan bilgisayar korsanlığının sonucuysa, bunların sahipleri tarafından gönüllü olarak yapıldığı ve kullanıcıları cezalandırma riski olduğu da olur. Ağustos 2014'te, bir Gmail e-posta kullanıcısı, e-posta eki olarak bir çocuk pornografisi fotoğrafı gönderdikten sonra Google tarafından yerel yetkililere bildirildi. Ancak Google, kullanım şartlarında bunu açıkça söylüyor: “Otomatik sistemlerimiz size sunmak için içeriğinizi (e-postalar dahil) analiz eder […] Bu analiz gönderme, alma ve içerik depolama sırasında gerçekleşir”.
Bu eylemin esasına kimse itiraz edemezse, bu haber, Google tarafından gerçekleştirilen borsaların muazzam kontrolünü vurgulamaktadır. Bu yöntem, CNIL'in "Güvenlik amacıyla kişisel verilere erişim, kitlesel ve koşulsuz olması nedeniyle demokratik bir toplumda kabul edilemez" diyen 29. maddesiyle de çelişmektedir. Yetkili ulusal makamlar tarafından verilerin saklanması, erişimi ve kullanımı, demokratik bir toplumda kesinlikle gerekli ve orantılı olanlarla sınırlı olmalıdır. Önemli ve etkili garantilere tabi olmalıdırlar ”.
Kişisel bilgilerin otomatik olarak işlenmesine ilişkin ilk yasa , 1970 yılında Hessen Eyalet Meclisi tarafından kabul edildi . Kişisel verilerin korunmasına ilişkin ilk ulusal yasa , 11 Mayıs 1973 tarihli İsveç Datalagen'iydi .
Kişisel Verilerin Korunması Kanunu'nun 1. Maddesi, "herkesin kendisiyle ilgili kişisel verilerin kullanımlarına karar verme ve kontrol etme hakkı vardır" der. Bu alandaki mevcut çeşitli yasal araçlar, kişisel verilerinin işlenmesinden sorumlu kişinin, kişisel verileri üzerinde kontrolünü elinde bulundurmasını sağlayan haklardan yararlanan veri sahibinin temel haklarını korumak için uyması gereken bir dizi ilkeyi ortaya koymaktadır. .
Kişisel verilerin korunmasına ilişkin Fransız pozitif hukuku, 95/46/EC sayılı Direktifin aktarılmasını sağlayan değiştirilmiş Veri Koruma Yasası'ndan oluşmaktadır . 25 Mayıs 2018'de Genel Veri Koruma Yönetmeliği , aktarılması gerekmeyen bir doğrudan uygulama standardı olduğu için Avrupa Birliği genelinde yürürlüğe girmiştir. Bununla birlikte, Kişisel Verilerin Korunması Kanununun bu Yönetmelik hükümlerine, özellikle de mevcut çok sayıda açılış maddesi ile yetki verilen ulusal tercihlere uygun hale getirilmesi için 13 Aralık 2017 tarihinde Bakanlar Kuruluna bir yasa tasarısı sunulmuştur. topluluk metni (işlemeye izin vermek için minimum yaş, hassas veriler için rejim vb.).
Özetle, kişisel verilerin korunması kanunu, veri sorumlusunun aşağıdaki ilkelere uymasını şart koşar:
Veri sahiplerinin bilgi edinme, verilerin düzeltilmesi ve hatta silinmesi (bazen “unutulma hakkı” veya “listeden çıkarma” olarak anılır), işlemeye itiraz etme veya sınırlandırma hakkı ve Yönetmelik ile, talep veri taşınabilirliği (buna “ taşınabilirlik hakkı ” denir ).
İsviçreVeri Koruma Federal Kanunu 19 Haziran 1992 (o kadar üzerinde durdu Ocak 1 çok sıkı kurulan 2011) gizlilik koruması açıkça veri konuya tarafından izin verilmeyen işlem neredeyse tüm verileri yasaklayarak. Özellikle, aşağıdakiler öngörülmüştür:
Ayrıca, herhangi bir kişi (dosyayı yöneten) bir şirketten kendisiyle ilgili verilerin düzeltilmesini veya silinmesini yazılı olarak talep edebilir. Şirket otuz gün içinde cevap vermek zorundadır.
Tüm sistem, bir Federal Veri Koruma ve Şeffaflık Görevlisinin yetkisine tabidir .
Çin2012'den bu yana ve ANP Daimi Komitesinin internetten verilerin korunmasını güçlendirme çağrısında bulunan ve "kişisel verilerin" ilk tanımını öneren bir "kararı", ikincisinin korunmasına ilişkin hükümler, özellikle birçok metinden ilham almıştır. sektörel, 2017 yılına kadar ve siber güvenlik yasasının (CSL, 2017), o zamandan beri çok sayıda metinle desteklenen bir tür çerçeve yasa. Bu fonlar arasında: (1) teorik olarak isteğe bağlı, ancak uygulamada büyük ölçüde zorunlu olan ve toplama, saklama, kullanma, paylaşma, aktarma ve yayınlama açısından alınması gereken önlemleri belirten bir standart (Kişisel Bilgi Güvenliği Şartnamesi veya "PISS"). kişisel verilerin (Mayıs 2018); (2) kişisel verilerin sınır ötesi transferlerini düzenleyen yeni bir yönetmelik taslağı (Haziran 2019).
Tüm bu yasal ve düzenleyici sistem, büyük ölçüde GDPR'den esinlenmiştir. GDPR genellikle hem daha kapsamlı hem de kesin olmasına ve farklı bir başlangıç noktasından (bireysel hakların korunması, CSL ulusal güvenliğin korunmasında ısrar ederken) ilerlemesine rağmen, iki rejim aşağıdakiler de dahil olmak üzere birçok noktada hemfikirdir: ( 1) verilerinin toplanmasından önce kullanıcının onayını alma ihtiyacı (siber güvenlikle ilgili Çin yasaları “açık” onay bile gerektirir); (2) aranan amaçla ilgili olarak toplanan bilgilerin en aza indirilmesi gibi belirli ilkeler; depolama süresinin en aza indirilmesi, vb. ; (3) kullanıcıların verilere erişme ve bunların düzeltilmesini veya silinmesini talep etme hakkı; (4) verilerin üçüncü taraflarla paylaşılmasının sınırlandırılması (PISS buna yalnızca “gerektiğinde” ve alıcının güvenliğini sağlayabilmesi koşuluyla izin verir); (5) kişisel verilerin ulusötesi aktarımları için sözleşmeye dayalı bir yaklaşımın benimsenmesi.
Bununla birlikte, kayda değer farklılıklar devam etmektedir. Bazı durumlarda, Çin yasalarının GDPR'den daha kısıtlayıcı olduğu ortaya çıkıyor. Bu nedenle: (1) siber güvenlik yasası, sınır ötesi transferlerden elde edilen kâr miktarının on katına kadar cezalar öngörmektedir, Çin'de daha sıkı kontrollere tabidir: kullanıcı, hassas verilerin herhangi bir çıktısında bilgilendirilmiş ve onay vermiş olmalıdır. , bir risk değerlendirme raporu ibraz edilmiş ve yetkililer tarafından onaylanmış olmalıdır, vb. ; (2) kişisel verilerin güvenliği açısından, Çin külliyatı uygulanacak araçlar konusunda çok daha kuralcıdır; yıllık denetim ve eğitim, acil durum planlarının oluşturulması, belirli kriterleri karşılayan kuruluşlarda tam zamanlı “veri güvenliği görevlisi” pozisyonunun oluşturulması, herhangi bir güvenlik ihlalinin yetkililere bildirilmesi vb. Ancak, Çin'de "unutulma hakkı" bu şekilde tanınmamaktadır ve kullanıcıların talebi üzerine verilerin silinmesi, yasalaştırıldığı gibi çeşitli koşullara (rızanın olmaması, yasa dışı toplama veya kullanım vb.) tabidir. PISS” standardı. Ayrıca, ağ operatörleri ve hizmet sağlayıcıların toplanan verileri denetleyici idareler ve kamu güvenliği kurumları ile paylaşmaları gerekmesine rağmen, kişisel verilerin korunmasından sorumlu belirli bir makam bulunmamaktadır.
Vatandaşların haklarını savunmalarına izin veren etkili bir kanalın yokluğunda, bu kanunun uygulanması esas olarak hükümetin inisiyatifindedir ve çok kusurlu olmaya devam etmektedir. İlk "kampanya" Çinli dijital devleri hedef aldı: Alibaba, Tencent, Sina, Baidu, vb. sırayla denetlendi. 2018 yılında, Kamu Güvenliği Bakanlığı öncülüğünde suç ve kötü niyetli davranışlara (hırsızlık, kişisel verilerin satışı) odaklanılmıştır. Daha sonra 2019 yılında en popüler cep telefonu uygulamalarında yasa dışı mı yoksa aşırı miktarda mı veri topladıkları değerlendirildi. Mali ve cezai yaptırımlar öngörülmektedir, ancak çoğu zaman şirketlere düzeltici önlemler almaları emredilmektedir ve bazı durumlarda başvurular çevrimdışına alınmaktadır. Uygulama, kamu yetkililerinin inisiyatifiyle büyük ölçüde dikey kalmaktadır. Bu kampanya mantığı, aktörlere ve sektörlere bağlı olarak zamanla değişen yoğunlukta bir uygulama ile otomatik olarak sonuçlanır. Ayrıca yasa, koşullara ve Devletin üstün çıkarlarına uyarlanmaya açıktır. Örneğin: Şubat 2020'de Çin hükümeti, COVID-19 salgınıyla mücadele etmek için Tencent ve Alibaba tarafından geliştirilen ve potansiyel olarak etkilenmiş bireyleri izlemeye yönelik çözümlerin kullanımını genelleştirdi. New York Times'a göre, Alibaba'nın uygulaması, kullanıcıları bilgilendirmeden otomatik olarak polisle veri paylaştı.
Amerika Birleşik DevletleriVeri sahibi açıkça aynı fikirde değilse, bu veriler satılabilir. Bu, örneğin bordro yazılımı verileri için geçerlidir.
Ulusal Bilişim ve Özgürlükler Komisyonu, bilgi teknolojisi ve özgürlükler kanununun uygulanmasından ve bireylerin haklarına saygı gösterilmesinden sorumlu bağımsız idari makamdır. Bunun için veri sorumlularına destek olur, veri sahiplerini hakları konusunda bilgilendirir, yaptırıma yol açabilecek şikayetleri alır ve araştırır.
Dijital bütünlük bilgilendirme kaderini tayin hakkını garanti ederek daha iyi bir veri koruma sağlamayı hedefleyen gelişmekte olan bir hukuki kavramdır. Temel haklar kapsamında tanıtılan dijital bütünlük hakkı, veri koruması da dahil olmak üzere tüm dijital haklar için bir gerekçe olarak önerilmektedir.
Toplama yöntemleri özellikle dijital teknolojilerle çeşitlenmiştir. Bu yöntemler, bireyler tarafından gönüllü olarak doldurulan bir form aracılığıyla bilgi toplamaktan, izleri kaydetmeye (tarama alışkanlıkları, bağlantı adresinin coğrafi konumu, danışılan siteler, bireyler veya ağlarla kurulan ilişkiler vb.) kadar değişebilir.
İstismar biçimleri, bireylerin kendileri tarafından, bir arama motoru kullanılarak veya çevrimiçi sosyal ağlarda bilgi aranarak veya kuruluşlar tarafından gerçekleştirilebilir: hedefli pazarlama, devlet tarafından nüfus listelenmesi, istenmeyen ticari e-postaların ( spam ) toplu olarak gönderilmesi vb. . Web'deki ( Google , Amazon ) ve sosyal ağlardaki ( Facebook , Twitter ) büyük oyuncuların iş modeli, büyük ölçüde kullanıcıların kişisel verilerinin kullanımına dayanmaktadır.
Pierre Bellanger , 2014'te bir mülkiyet hakkının yaratılmasını öneriyor: ağlar üzerindeki dijital izi. Bu hak, bir Avrupa vatandaşından herhangi bir verinin alınmasının veya işlenmesinin Avrupa yasalarına uygun olduğunu, ancak buna ek olarak, bu verilerin Birlik dışına herhangi bir şekilde ihraç edilmesinin bir vergiye tabi olduğunu varsayar: “veri”.
Veri koruma makamları birliği olan AFAPDP, böyle bir mülkiyet hakkının yaratılmasını reddediyor. 18 Ekim 2018'de Paris'teki mecliste toplanan dernek, "kişisel verilerin insan kişiliğinin kurucu unsurları olduğunu ve bu nedenle onlar üzerinde devredilemez haklara sahip olduğunu" ilan eden bir kararı oyladı. Bu karar CNIL tarafından önerildi .
Kişisel verilerin paylaşılması ve sızdırılması, ilgili bireyler için ciddi sonuçlar doğurabilecek bir veri güvenliği ve gizliliği ihlalidir. Ancak bunlar sıktır:
Belgesel'de Elise Lucet , Nakit soruşturması : Mayıs 2021'de France 2'de "Kişisel verilerimiz altın değerindedir", Fransa'daki kişisel verilerin korunmasındaki kusurları vurgulamaktadır.
Genel
Teknik yönler
Yasal yönler
İncelemeler