Hvad er CNIL?

Table of Contents

I henhold til EU’s charter om grundlæggende rettigheder skulle alle medlemsstater oprette en databeskyttelsesmyndighed. Disse agenturer har til opgave at beskytte rettighederne for EU-borgeres data i medlemsstaten. Den franske databeskyttelsesmyndighed i Frankrig er CNIL.

I denne artikel vil vi diskutere, hvad CNIL er, hvad dets ansvar er og dets generelle virkninger på erhvervslivet.

Hvad er CNIL?

I modsætning til nyere databeskyttelsesagenturer, som det spanske AEPD, blev Commission Nationale de l’informatique et des Libertés (CNIL) oprettet i 1978 og begyndte sine hovedaktiviteter i 1980. Organisationen blev formaliseret som svar på SAFARI-programmet – et forsøg fra den franske regering på at skabe en centraliseret database over alle franske statsborgere. I dag er det det franske administrative, regulerende organ, der er ansvarligt for at vedtage databeskyttelseslovgivningen. Det sikrer, at indsamling, opbevaring og brug af franske borgeres personoplysninger er i overensstemmelse med både fransk lovgivning og GDPR.

CNIL består af sytten medlemmer fra flere regeringsenheder – hvoraf fire skal være medlemmer af det franske parlament. De øvrige tolv medlemmer vælges af deres repræsentative organisationer.

Hvad er CNIL's ansvar?

CNIL’s ansvarsområder blev oprindeligt beskrevet i den franske databeskyttelseslov (1978). CNIL’s mission er at:

  • Informere franske borgere om databeskyttelsesrettighederne
  • Beskyt franske borgeres ret til beskyttelse af personlige oplysninger
  • Regulere og rådgive den franske regering
  • Foreslå og vedtage certificeringer og virksomhedsregler, der skaber overensstemmelse
  • Samarbejde og deltagelse i Det Europæiske Databeskyttelsesråd (EDPB).
  • Inspicere dataindsamling og administrere sanktioner
  • Vurdere nye teknologier, der kan påvirke franske borgeres databeskyttelsesrettigheder

Hvordan hænger CNIL sammen med EU?

EU’s charter om grundlæggende rettigheder formaliserede først EU-borgernes ret til beskyttelse af deres personoplysninger. I henhold til det oprindelige europæiske databeskyttelsesdirektiv fik databeskyttelsesagenturer i hvert medlemsland et sæt standarder, som de kunne bruge til at vejlede udarbejdelsen af lovgivning.

For nylig er disse fælles standarder imidlertid blevet erstattet af den overordnede ramme for GDPR. GDPR forvaltes af EDPB – som er sammensat af repræsentanter fra de nationale databeskyttelsesmyndigheder i EU’s medlemsstater, herunder CNIL.

Mens lovgivningen vedtages på europæisk plan, varetages håndhævelsen og vejledningen derfor i Frankrig af CNIL.

CNIL er således ansvarlig for at håndhæve tre love:

  1. Fransk lov om databeskyttelse
  2. The GDPR
  3. e-databeskyttelsesdirektivet

Sidstnævnte lov blev vedtaget i 2002 for at lovgive om kommunikationshemmelighed og reglerne om sporing og overvågning.

Hvis der er nogen overtrædelser af ovenstående love, har CNIL beføjelse til at udstede bøder. I tilfælde af overtrædelser af GDPR kan organisationer få bøder på op til 20 millioner euro eller 4 % af den årlige globale omsætning – alt efter hvad der er højest.

Hvem er underlagt CNIL?

Enhver, der er bekendt med GDPR, ved, at enhver organisation, der leverer deres varer og tjenester (betalt eller gratis) til EU-borgere eller overvåger EU-borgeres onlineaktivitet, er underlagt forordningen. Det betyder, at enhver organisation, der indsamler, bruger eller videregiver EU-borgerdata, skal gøre det i henhold til GDPR.

Det omfatter ikke websteder, der ikke henvender sig til EU-borgere, men som kan tilgås af EU-borgere, f.eks. en lokal restaurant i London.

Frankrig har dog også adskillige oversøiske territorier, som betragtes som en integreret del af den franske stat. Derfor skal enhver virksomhed, der falder ind under følgende to kategorier, overholde CNIL:

  1. Virksomheder baseret i Frankrig eller franske oversøiske territorier
  2. Virksomheder, der indsamler eller behandler personoplysninger om franske statsborgere (i metropolen eller de oversøiske territorier)

Hvad er konsekvenserne af manglende overholdelse af CNIL?

Den mest åbenlyse konsekvens af manglende overholdelse er en bøde. CNIL idømte især Google en bøde i en sag fra 2016 (se nedenfor).

Typisk vil CNIL udstede en bøde enten:

  1. Efter en klage eller anmeldelse af en overtrædelse
  2. Efter en CNIL-ledet undersøgelse

Uanset hvad, kan formanden for CNIL udpege en rapportør blandt CNIL’s kommissærer. Den anklagede organisation underrettes og forsynes med den relevante dokumentation. Derefter gennemgår det begrænsede udvalg – bestående af fem CNIL-kommissærer og en formand – sagen.

Hvis organisationen findes skyldig, er organisationen tvunget til at betale en bøde som beskrevet i GDPR.

Bemærkelsesværdige tilfælde af CNIL

Ligesom den spanske AEPD involverede CNIL’s mest bemærkelsesværdige sag Google og “retten til at blive glemt”-konceptet. CNIL argumenterede for, at Google skulle respektere franske afgørelser verden over om retten til at blive glemt. Google hævdede dog, at dette kunne føre til misbrug i “mindre åbne og demokratiske” stater.

Tidligere kunne franske borgere få deres søgeresultater slettet i den europæiske version af Google, men de blev stadig vist globalt. CNIL beordrede Google til at vedtage den samme politik for alle globale resultater. Teknologigiganten blev idømt en bøde på 100.000 euro for manglende overholdelse.

Alligevel appellerede Google afgørelsen og udtalte, at:

“Hvis fransk lov gælder globalt, hvor lang tid vil der så gå, før andre lande – måske mindre åbne og demokratiske – begynder at kræve, at deres love, der regulerer information, også har en global rækkevidde.”

Faktisk er lignende kritik blevet rejst vedrørende EU’s GDPR’s “ekstraterritoriale virkninger”.

Konklusion

Da GDPR stadig er den strengeste databeskyttelseslovgivning på verdensplan, er det afgørende at forstå håndhævelsesdelen for EU’s medlemslande. I de sidste fyrre år har CNIL været ansvarlig for at forsvare franske borgeres databeskyttelsesrettigheder globalt.

For yderligere oplysninger om deres ansvar og aktiviteter henvises til CNIL’s hjemmeside.

Kilder:

https://www.cnil.fr/en/home
https://en.wikipedia.org/wiki/Commission_nationale_de_l%27informatique_et_des_libert%C3%A9s
https://www.bbc.co.uk/news/technology-36332150
https://edps.europa.eu/data-protection/our-work/subjects/eprivacy-directive_en

Sales & Support