电子邮件 网上办公

邀兵请将  
您现在所在位置: 德衡商法网  >   业务领域  >   互联网与TMT业务中心   >   网络安全专业委员会

舌尖上的地中海数据合规风味大餐 | 咀嚼葡萄牙的创新与丰富

发布日期:2020-03-22

提起葡萄牙,除了大名顶顶的葡式蛋挞和传奇足球运动员C罗,你还能想起什么?还有C罗爱吃的布拉斯式鳕鱼!葡萄牙人曾说过鳕鱼有1001种做法,每一种都可以表现出鳕鱼的美味。一千余种鳕鱼的做法或许有些夸张的成分,但这也从侧面体现了葡萄牙鳕鱼烹饪的创新与丰富,布拉斯式鳕鱼无疑是个中翘楚。布拉斯式鳕鱼制作起来并不复杂:首先,将洋葱和土豆在油锅中煎熟备用;其次再把鳕鱼煎至八分熟的时候,放入煎好的洋葱和土豆条,最后放上鸡蛋,鸡蛋稍微煎至发黄即可;最后,放入少许的盐,大蒜,辣椒,香菜,橄榄等配料。这样,一道地道的葡萄牙美食,布拉斯式鳕鱼就诞生了!葡萄牙的数据保护立法也具有同样的魅力,在遵守GDPR的规定之外根据本国国情新增了许多创新规定,让我们一起一窥究竟。




一、数据保护的国家立法

2018年5月25日,通用数据保护条例((欧盟)2016/679)(GDPR)在欧盟生效。2019年8月8日,葡萄牙数据保护法《GDPR执行法》正式公布生效,确保葡萄牙执行GDPR,并细化制定了专门适用于本国的数据保护规定,包括“同意”年龄、刑事制裁和处罚限制、数据保护官、认证、数据主体的权利和数据保护机构的权力等内容,适用范围涵盖了在葡萄牙进行的所有数据处理活动,不管数据控制者是私人还是公共性质的组织,也不管数据处理行为是否是为了遵守法律义务或者为了公共利益而进行。




二、数据保护主要监管机构

葡萄牙数据保护局(CNPD)是一个独立的行政机构,在全国范围内拥有权力。该保护局的一般职责是监督和监测个人数据保护领域的法律和条例的遵守情况,同时严格尊重人权和公约、1976年葡萄牙共和国宪法(“宪法”)和法律所载的基本自由和保障。除GDPR第57条规定的职责外,其主要职责如下:

❖ 监督和监测有关个人数据保护的法律、法规的遵守情况,纠正和处罚违反有关法律、法规的行为;

❖ 在葡萄牙或欧洲或国际机构编写关于处理个人数据的任何法律或规章规定和法律文书,发表不具约束力的意见;

❖ 提供接受数据保护影响评估(“DPIA”)的处理作业种类的公开清单,并制定标准,界定GDPR第35条所指的“高风险”概念;

❖ 拟订行为守则监测机构和认证机构的认证标准并提交给EDPB,并确保在获得批准后公布这些标准;以及

❖ 与葡萄牙认证协会(“IPAC”)进行配合合作。

葡萄牙数据保护局的决定具有约束力,但可以对其提出申诉,并可由行政法院对其进行司法审查。




三、《GDPR执行法》

对GDPR的补充及特别规定

 1. 数据主体权利 

1.1.提供信息权

葡萄牙《GDPR执行法》规定了向数据主体提供信息的权利的下列附加要求:当法律对控制者或处理者施加了对数据主体可强制执行的保密义务时,数据主体不能行使信息权。

1.2.擦除权(删除权)

葡萄牙《GDPR执行法》就擦除权规定了下列附加要求:如果有法律规定的保留期,则只有在保留期届满时才能行使擦除权。

1.3.数据可携权

葡萄牙《GDPR执行法》对数据可携权规定了下列附加要求:这项权利只涉及数据主体提供的个人数据,个人数据的可携性应尽可能以公开格式进行。

 2. 言论自由 

数据保护不妨碍言论、信息和新闻自由的行使,包括为新闻、文学、艺术或学术表达的目的处理数据。行使言论自由,在披露GDPR第9条规定的或与死者有关的个人数据时必须尊重《葡萄牙宪法》规定的个人尊严和人格权利原则。但言论自由的行使并不会使个人数据的披露合法化,例如披露地址和联系人,众所周知的数据除外。

在官方公报中公布数据必须符合最小化和目的限制原则。如果个人数据“名称”足以保证数据主体的可识别和数据处理的有效性,则不应再发布其他个人数据。在这种情况下被遗忘权具有特殊性质,是通过搜索引擎中的个人数据的去索引来实现的。[1]

 3. 儿童数据保护 

关于给予同意所需的年龄,应当指出的是,葡萄牙“民法典”第47344号法令,第274/1966号政府公报规定了未成年人一般不具备行使其权利的能力的一般规则(未成年人指未满18周岁的人)。父母的责任行使弥补了这种能力的缺乏,这意味着通常是由父母对未成年人的个人数据处理作出合法的同意。

然而,《GDPR执行法》规定,直接向儿童提供信息社会服务时,在儿童至少13岁的情况下,根据同意处理儿童的个人数据是合法的。如果儿童不满13岁,这种处理只有在对儿童负有监护责任(parental responsibilities)的人同意或授权的情况下才是合法的。GDPR规定的同意年龄原则上是16周岁。

 4. 处理特殊类别的数据 

该《GDPR执行法》没有对处理与刑事定罪和犯罪有关的数据规定额外的要求。因此,处理与刑事定罪和犯罪有关的数据必须满足的要求是GDPR所载的要求。

关于特殊类别的个人数据,《GDPR执行法》规定,处理有关健康或遗传数据的数据:

❖ 应遵循信息需要的原则;

❖ 在根据GDPR第9(2)(H)或(I)条执行时,应由受保密义务约束的专业人员或受保密义务约束的另一人执行;

❖ 必须以确保仅通过电子手段获取这类个人数据的方式进行,除非技术上不能实现,或数据主体另有明确指示。

应当指出的是,根据《GDPR执行法》,必须通知数据主体对其有关健康或遗传数据的任何数据的访问,控制者必须确保提供这种可追踪性和通知机制。

鉴于通知义务所确定的范围广泛,在处理保健服务范围内的个人健康数据方面存在实践上的困难,需要在今后的判例法中加以解决。

《GDPR执行法》没有对处理其他特殊类别的个人数据规定额外的要求。因此,处理其他特殊类别的个人必须满足的要求是GDPR所载的要求。

值得一提的是,在2018年5月25日GDPR申请之前,葡萄牙数据保护局发布了关于在特定情况下处理特殊类别个人数据的一些审议和指导方针,具体内容如下:

❖ 第219/2009号审议意见-根据国家人体药品药物警戒制度处理个人数据;

❖ 关于在临床研究背景下处理个人数据的第1704/2015号审议意见;

❖ 关于在工作场所使用地理定位技术收集的个人数据处理的第7680/2014号审议意见;

❖ 关于处理工人生物特征数据以控制其出勤和出入的原则;

❖ 关于第三方获取卫生数据的第51/2001号审议意见;及

❖ 关于在教育和教学机构网站上提供学生个人数据的第1495/2016号审议意见。

应注意的是,2008年7月17日第32号法律改变了2006年3月15日关于保留与提供公共电子通信服务或公共通信网络有关的生成或处理的数据的第2006/24/EC号指令,并修订了第2002/58/EC号指令,制定关于保留与提供公共电子通信服务或公共通信网络有关的生成或处理的数据的规则,以确保这些数据可用于调查、侦查和起诉严重罪行。

 5. 视频监控 

视频监控仅限于为了保护人员和资产需要时才能使用,这与国家信息保护委员会CNPD在视频监控方面的看法一致。该法规定摄像机不能瞄准公共道路、客户、用户或工作人员保留的区域内部,如浴室,候诊室和更衣室,也不能以捕获键盘的方式指向ATM机。[2]

 6. 数据保护专员(DPO)的义务 

《GDPR执行法》规定,数据控制者必须任命具有专业素质、具有数据保护法律和实践经验等方面专业知识的人来担任DPO,但无需进行专业认证。DPO具有技术自主权,负有专业保密的义务,除GDPR第37至39条的规定外,还有以下职责:

❖ 确保进行定期审计和非定期审计;

❖ 提高用户对及时发现安全事件的重要性的认识,并认识到在安全事件发生后要立即通知DPO;

❖ 确保在GDPR和葡萄牙关于数据保护的立法所涉事项上与数据主体保持联系。

 7. 数据泄露事件发生后的通知义务 

《GDPR执行法》没有规定在个人数据被泄露的情况下通知义务的具体要求。因此,在违反个人数据的情况下必须满足的要求是GDPR所载的要求。

在葡萄牙,个人数据泄露的通知必须以CNPD网站上公示的表格形式提供。这种形式可能有一些特殊性。例如,如果询问控制者是否在通知CNPD之前通知了数据主体,以及是否有任何相关的跨境处理,但不询问是否有向第三国或国际组织传输个人数据的情况。必要时,可以通过电子邮件直接向CNPD发送附加信息。

具体法律,如规范电信部门的法律(2004年8月18日第41号法律第3-A条)规定当发生个人数据泄露时,控制者有责任通知CNPD。在这一特定情况下,如果公共电子通信服务提供商承认存在数据泄露行为,则必须向CNPD报告,并且,如果个人数据泄露可能对订阅者或用户的个人数据造成不利影响,提供者还应将该违约行为通知订阅者或用户。

然而,这些法律并没有对个人数据泄露通知义务作出额外规定。因此,在个人数据被泄露的情况下,必须遵守GDPR的规定。

 8. 数据保护影响评估(DPIA)

根据GDPR,如果DPIA表明数据处理将导致高风险,而处理者没有采取措施来减轻风险,则应在进行数据处理之前征求监督当局的意见。应当指出的是,CNPD公布了第1/2018号条例,规定了受DPIA约束的数据处理活动清单。其中包含了在数据处理活动开始前要求进行DPIA的非详尽列表,如下所示:

❖ 处理因使用电子设备而产生的信息,这些电子设备通过通信网络传送与健康有关的个人数据;

❖ 与特定类别的个人数据或与刑事定罪和犯罪或高度个人化性质的数据有关的个人数据相互关联或处理;

❖ 处理与刑事定罪有关的特殊类别的个人数据或与犯罪或高度个人化性质的数据有关的个人数据,如果这类数据不是直接向数据主体收集的,而且确保遵守GDPR的信息职责是不可能或不可行的;

❖ 处理涉及或包括大规模用户画像的个人数据;

❖ 处理个人数据,以追踪具有评估或分类作用的各数据主体(例如工人、客户)的位置或行为,但对于提供数据主体具体要求的服务必不可少的情况除外;

❖ 处理与刑事定罪和犯罪有关的特殊类别的个人数据或具有高度个人性质的数据,以便出于公共利益、科学或历史研究目的或统计目的进行存档,但法律规定的对数据主体权利提供充分保障的个人数据的处理除外;

❖ 处理生物特征数据,以便在数据主体是弱势群体时明确识别数据主体,但在处理之前须对数据保护进行影响评估的法律规定的处理除外;

❖ 处理弱势群体的遗传数据,但法律规定的处理除外,在此之前对数据保护进行影响评估;以及

❖ 利用新技术或创新使用现有技术处理与刑事定罪和犯罪或高度个人化性质的数据有关的特殊类别的个人数据或个人数据。

在葡萄牙,没有任何国家活动总是要事先得到CNPD的协商或授权。在处理之前,控制者应与监督当局协商的唯一情况是,DPIA表示,在控制者没有采取措施减轻风险的情况下,数据处理将导致很高的风险。

 9. 为科学或历史研究目的进行的处理 

《GDPR执行法》规定,为科学或历史研究目的处理个人数据:

❖ 须尊重数据最小化原则,并在可能的情况下,进行个人数据的匿名化或假名化处理;及

❖ 必要时,不允许行使GDPR第15条、第16条、第18条和第21条规定的访问、更正、限制和反对数据处理的权利,如果这些权利可能严重损害或使数据处理目的变得不可实现。

关于为科学研究目的处理个人数据的问题,《GDPR执行法》规定,有关同意可涵盖若干研究领域,或仅适用于某些科学研究领域或项目。

 10.  死者个人数据保护 

《GDPR执行法》将GDPR规定的保护范围扩大到已故数据主体的特殊类别的个人数据,以及与私人生活、图像和通信有关的个人数据。死者的权利可以由死者指定的人行使,或者在没有指定人的情况下,由数据主体的继承人行使。数据主体也可决定在其死亡后不得行使这些权利。该法中规定了特殊规定以保护死者:一是当数据属于特殊类别数据,或涉及私人生活的亲密关系,或属于与通信有关的图像或数据时,应当依据该法对数据进行保护;二是被死者或其继承人指定的人可以行使查阅权、纠正权和被遗忘权。




四、法律责任

 1. 行政责任 

在确定罚款时,葡萄牙数据保护机构必须考虑以下因素:实体的经济状况,违规情况是否持续存在,违规情况的严重程度,雇员人数和所提供服务的性质。对于非常严重的违法行为,大公司可能会被处以5,000欧元至2000万欧元的罚款或全球年营业额的4%,以较高者为准。中小企业可能会被处以2000欧元至200万欧元的罚款,或全球年营业额的4%,以较高者为准。公共实体也可能会受到罚款,但他们可以在进行罚款后的三年内申请豁免。

根据犯罪情况,实体可能会被处以最高一年或两年的监禁或120至240天收入的刑事罚金,以适用者为准。除国家和集体人员行使公共权力特权外,全体成员和对等人员也应对这些罪行负责。[3]

 2. 刑事责任 

根据《GDPR执行法》,违反关于数据保护的某些规则和原则可能导致刑事责任:

❖ 任何自然人或法人以不符合收集目的的方式使用个人数据,应处以一年以下监禁或罚款;

❖ 任何自然人或法人未经适当授权或正当理由,以任何方式获取个人数据,应处以一年以下监禁或罚款;

❖ 任何自然人或法人没有合法依据或未经同意复制、删减、放弃或转让个人数据,不论是付费还是免费,不论其目的为何,均应处以一年以下监禁或罚款;

❖ 任何自然人或法人未经适当授权而删除、销毁、损坏、隐瞒、控制或修改个人数据,使其无法使用或影响其使用潜力,应处以最高两年监禁或罚款;

❖ 任何自然人或法人如嵌入或便利他人嵌入虚假个人数据,意图为自己或他人获得不正当好处,或造成损害,应处以最高两年监禁或罚款;

❖ 任何自然人或法人,受法律规定的专业保密义务的约束,在无正当理由和未经合法同意的情况下,全部或部分揭露或披露个人数据,可处一年以下监禁或罚款;

❖ 在葡萄牙数据保护局(CNPD)为此规定的期限届满后,任何不遵守GDPR和《GDPR执行法》规定的义务的自然人或法人,最高可被处以一年监禁或罚款。

其他数据保护义务也包括在某些特定部门的法律中,例如:

❖ 2005年1月26日第12号法律,其中载有关于遗传和健康信息数据保护的具体规定;

❖ 2004年8月18日第41号法律,其中对保护电子通信部门的个人数据作出了规定,并载有对电信服务提供商的具体规定。




五、制裁案例

2018年7月17日,葡萄牙数据监管机构(CNPD)认定Barreiro医院违反GDPR,并处以40万欧元的罚款。

资料显示,该医院通过他们的系统向至少9名非医疗专业人员(社会工作者)传送了患者临床数据。相关机构在调查中发现:该医院只有296名医生,但在系统中具备访问功能的账户(医生)则多达985个。此外,Barreiro医院被控“未将本院患者数据与另一家医院的存档数据正确分开,并且发现访问认证机制不足”。最终,葡萄牙数据监管机构(CNPD)认定Barreiro医院违反GDPR,并处以40万欧元的罚款。

处罚理由是:

❖ 未将临床数据的访问权限分开,医院的医生都可以不受限制地访问所有患者档案;

❖医院的个人资料管理系统存在缺陷,该医院只有296名医生,但在系统中具备访问功能的账户(医生)则多达985个。

在Barreiro医院案例中,“未将临床数据的访问权限分开”是被起诉的关键。相关机构认为,Barreiro医院违反了GDPR条例中的“完整性”(integrity)、“保密性”(confidentiality)和“数据最小化”(data minimization)原则,未能确保其系统中数据的数据安全性。[4]

注释:

[1]转引自“域外观察| 葡萄牙数据保护法生效,完善细化GDPR重点制度”

[2]转引自“域外观察| 葡萄牙数据保护法生效,完善细化GDPR重点制度”

[3]转引自“域外观察| 葡萄牙数据保护法生效,完善细化GDPR重点制度”

[4]转引自“SCA连载GDPR案例分析 | 首例医院违规 葡萄牙数据监管机构认定Barreiro医院违反GDPR”

 舌尖上的地中海数据合规风味大餐系列文章 

❖ 舌尖上的地中海数据合规风味大餐 | 品味西班牙的精细

❖ 舌尖上的地中海数据合规风味大餐 | 探索意大利的自主与融合

❖ 舌尖上的地中海数据合规风味大餐 | 细腻与硬壳混搭的法国味道

❖ 舌尖上的地中海数据合规风味大餐 | 感受希腊的浓郁与清新

或许您还想看


【律师视点】辛小天、杨玥祺:“Facebook”们在印度将面临的新数据监管要求

杨玥祺,北京德和衡律师事务所律师助理,毕业于中国政法大学,取得了法学和英语双学位。擅长涉数据合规、电商合规、GDPR、个人信息保护法律事务。为某大型通讯公司撰写PbD(Privacy by Design)合规调研报告;为某国际电子商务平台进行合规体检,出具法律文件;为某国际冻品购销公司撰写隐私政策与服务协议等。参与多家企业的数据合规体检与法律咨询,为企业及时有效地规避了监管风险,为企业的数据合规规划护航。

联系方式

电话:15650793473

邮箱:yangyueqi@deheng.com

质控人:辛小天 互联网与TMT业务中心总监

本文仅代表作者观点,如需转载、节选,请在后台留言联系小编

网络安全专业委员会

  • 娄鹤

    主任

    金融科技合规应用,境内IPO及再融资,公司争议解决

    更多 》

团队其他成员

  辛小天       江智茹       史蕾       陈国彧       周杨       许瑛毅       范思佳    

Copyright@2016    版权所有    德衡商法网    免费服务监督热线:    800-8600-880    400-1191-080

ICP备案号:鲁ICP备05011736号    网站统计