Retour à l'index du journal officiel
Voir le BBCode
Voir l'historique
Voir la dernière modification par ligne (git blame)
Loi portant protection des données personnelles Article 1.- Le traitement de données personnelles n'est licite que s'il repose sur une base juridique prévue par la loi. Parmi les bases juridiques acceptables figurent le consentement de la personne concernée, l'exécution d'un contrat, le respect d'une obligation légale, la protection des intérêts vitaux de la personne concernée, l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, et l'intérêt légitime poursuivi par le responsable du traitement ou par un tiers. En cas de traitement fondé sur le consentement, celui-ci doit être spécifique, informé, libre et univoque. La personne concernée a le droit de retirer son consentement à tout moment. Article 1-1.- Sont considérées, dans ce texte, comme données personnelles toutes données susceptibles, individuellement ou associées à d'autres informations, d'identifier une personne physique. Elles incluent les informations d'état civil, les coordonnées, les informations de localisation, les informations bancaires, les identifiants destinés à identifier une personne ou choisis par la personne, ainsi que toute information concernant l'apparence physique ou l'identité culturelle, sociale, génétique ou économique. Elles excluent les identifiants techniques non choisis par l'utilisateur et ne contenant pas d'indication sur des données personnelles. Article 2.- Les données personnelles ne peuvent pas être conservées au-delà de 10 ans pour atteindre les finalités pour lesquelles elles sont traitées, sauf si une obligation légale impose une conservation plus longue. Ceci ne s'applique pas si la personne à laquelle se réfèrent ces données a renouvelé son consentement explicite, informé et libre à la conservation de ces données au-delà de cette limite ; dans ce cas, après le franchissement de cette limite, ce consentement doit être renouvelé au moins une fois tous les 5 ans. Article 3.- Tout citoyen Ostarien a le droit d'obtenir gratuitement du responsable du traitement la confirmation que des données personnelles la concernant sont ou ne sont pas traitées, ainsi que le cas échéant, l'accès à ces données et la rectification des données inexactes. Article 4.- Toute personne concernée a le droit d'obtenir du responsable du traitement l'effacement de ses données personnelles dans un délai de 3 mois. Si la personne faisant valoir son droit à l'effacement n'a pas rempli toutes ses obligations légales ou contractuelles vis-à-vis du service, en particulier celles relatives à un paiement le responsable du traitement peut refuser d'effacer les données personnelles nécessaires jusqu'à ce que lesdites obligations soient remplies ; dans ce cas, il doit en informer le demandeur, et lui indiquer la marche à suivre afin de remplir les obligations restantes. Ce refus de l'effacement est contestable devant l'autorité de contrôle chargée de surveiller l'application de la présente loi, ainsi que devant la justice. Lorsque les données sont nécessaires au traitement d'une affaire judiciaire, une institution judiciaire compétente peut autoriser, ou ordonner, le refus de l'effacement de ces données, ainsi que leur transmission aux autorités judiciaires. Article 5.- Toute personne concernée a le droit de recevoir les données personnelles la concernant, qu'elle a fournies à un responsable du traitement, dans un format structuré, ouvert, couramment utilisé et lisible par machine, et a le droit de transmettre ces données à un autre responsable du traitement. Article 6.- Les responsables du traitement doivent limiter la collecte et le traitement des données personnelles au strict nécessaire pour atteindre les finalités pour lesquelles elles sont traitées, à moins que la personne, pleinement informée des conditions de leur utilisation et des raisons qui les justifient, consente explicitement et librement à ce que ses données personnelles soient collectées et traitées dans un cadre non strictement nécessaire. Article 7.- Abrogé. Article 8.- Tout organisme public ou privé qui détermine les finalités et les moyens du traitement de données personnelles est considéré comme le responsable du traitement et est soumis aux obligations définies par la présente loi. Article 9.- Les responsables du traitement peuvent désigner un délégué à la protection des données chargé de veiller à la conformité du traitement des données personnelles avec la présente loi. Article 10.- En cas de violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles transmises, conservées ou traitées d'une autre manière, le responsable du traitement notifie cette violation à l'autorité de contrôle compétente dans les meilleurs délais et, si possible, dans les 72 heures suivant la constatation de la violation. Article 11.- Lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, le responsable du traitement notifie également la violation à la personne concernée dans les meilleurs délais, sauf dans les cas où la législation prévoit des mesures appropriées pour protéger ces droits et libertés. Article 12.- Lorsqu'un type de traitement, en particulier lorsqu'il utilise de nouvelles technologies, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, le responsable du traitement réalise, préalablement au traitement, une évaluation d'impact sur la protection des données. L'évaluation d'impact comprend une description systématique des opérations de traitement envisagées, une évaluation de la nécessité et de la proportionnalité du traitement par rapport à la finalité, une évaluation des risques pour les droits et libertés des personnes concernées, et les mesures envisagées pour y remédier. Article 13.- Tout transfert de données personnelles vers un pays tiers ou à une organisation internationale est soumis à des garanties appropriées conformément à la législation en vigueur, notamment les clauses contractuelles types adoptées par l'autorité de contrôle compétente. Lorsqu'une personne concernée, pleinement informée des implications d'un tel transfert sur ses données personnelles, et en particulier sur leur protection, y a donné son consentement explicite, celui-ci peut être autorisé sans nécessité de garanties appropriées. Article 14.- Le responsable du traitement coopère en permanence avec l'autorité de contrôle compétente, en fournissant toutes les informations nécessaires pour permettre la réalisation des missions de cette autorité, notamment dans le cadre d'enquêtes et d'inspections. Article 15.- Une autorité de contrôle indépendante baptisée Autorité de Contrôle du Numérique (ACN) est établie et chargée de surveiller l'application de la présente loi. Elle exerce ses missions en toute impartialité et dispose des ressources nécessaires pour accomplir efficacement ses fonctions. L'ACN est habilitée à recevoir des plaintes, à effectuer des enquêtes, à mener des audits et à imposer des sanctions administratives en cas de violation des dispositions de la présente loi. Article 16.- En cas de violation des dispositions de la présente loi, l'ACN peut infliger des sanctions administratives proportionnées à la gravité de la violation. Les sanctions administratives peuvent inclure des avertissements, des amendes, des restrictions temporaires ou permanentes du traitement de données, la suspension des transferts internationaux de données, ou toute autre mesure appropriée. Article 17.- Le Gouvernement, en collaboration avec l'ACN, met en place des campagnes de sensibilisation du public visant à informer les citoyens ostariens sur leurs droits en matière de protection des données et sur les bonnes pratiques à adopter dans l'utilisation des technologies numériques. Article 18.- Le système éducatif intègre des programmes d'éducation à la protection des données dans le cadre scolaire, afin de sensibiliser les jeunes générations aux enjeux liés à la vie privée et à la sécurité des données. Article 19.- Les responsables du traitement disposent d'un délai d'un an, à compter de la date d'entrée en vigueur du présent texte, pour se conformer aux obligations qu'il contient. Nulle sanction ne pourra être prononcée sur la base du présent texte avant la fin de ce délai. Promulgué le 8 janvier 221 à Lunont François Pelichon, Président de la République d’Ostaria.