【律师视点】舌尖上的地中海数据合规风味大餐 | 品味西班牙的精细
德衡律师集团合伙人
西班牙的Tapas绝对是必吃清单里的NO.1。Tapas原意是小盘子,现指饭前开胃的小菜或是二顿正餐之间的点心,分为冷食和热食,肉类,海鲜和蔬菜等,其特色在于分量少,种类多,一次可尝到多种味道。Tapas不仅仅是一道美食,更多的是一种西班牙生活方式 - 尽情享受美食,不停寻找与发现生活中细致美丽的瞬间。
在学习了解西班牙个人数据保护中,我们发现,细致而美丽的特点也体现在立法中,从关心死亡者的数字继承问题,到详列罗列16种必须任命数据保护官任命情况,特殊情况下的数据保护问题几乎可以详细涵盖我们实务中可能的用到的很多具体场景:商业运营中的数据,视频监控问题,广告中的OPT-out、内部投诉体系中的数据、统计目的和公共管理中的存档中个人数据,与违规和行政制裁有关的个人数据,劳动者的个人数据保护……
让我们一起看一下细致而美丽的西班牙个人数据保护大餐。
第一部分:
西班牙个人数据保护的立法框架
西班牙是一个君主议会立宪制(Monarquía Parlamentaria)国家,也就是立法、行政、司法三权鼎立、相互制约。西班牙有国王(Rey),他是国家元首(Jefe de Estado),国家是由议会(Parlamento)、政府(Gobierno)和最高法院(Tribunal Supremo)共同管理的。
《西班牙宪法》第18条第4款规定的任务就是保护个人数据的基本权利,并指出“法律将限制信息技术的使用,以保障公民的名誉,个人和家庭隐私以及充分行使公民权利。”西班牙第一部有关个人数据保护的立法是1999年颁布的《西班牙个人数据保护基本法》(15/1999),该基本法是依据欧盟的《个人数据保护指令》制定的。按照欧盟的要求,欧盟成员国应当将《个人数据保护指引》引入到本国法律中,依照《个人数据保护指引》所确定的保护原则和标准制定本国的个人数据保护法律。《西班牙个人数据保护基本法》对个人信息收集和处理过程中出现的有关个人权益的问题进行了规范,共分9个部分。第一部分阐述法规的目的和应用范围,第二部分列明了数据保护的原则,第三部分处理了有关信息获取、信息更正、信息删除和相关程序等个人信息权益的问题,第四至七部分对一些重要的与隐私有关的文件的获取、数据处理前的义务、国际数据交换和体现数据保护的行为规范等进行了规定,第八部分对处理个人信息过程中的保密方法进行了规定,第九部分对西班牙数据保护局的工作程序进行了规定。
在特定法律和行业中有关保护个人数据的适用法规包括2002年34/2002号《信息社会服务和电子商务法》和2014年电信总局第9/2014号法律。
大家非常熟悉的《欧盟通用数据保护条例(GDPR)》,即欧洲议会和理事会2016年4月27日第(EU)2016/679号条例,关于在处理个人数据以及自由移动这些数据以及废除指令95/46 / EC自2018年5月25日生效后直接适用于西班牙,效力仅次于宪法,高于西班牙本国法律适用。
2018年12月6日,西班牙政府公报(BOE)公布了经参议院11月21日全体会议通过的《2018年12月5日第3/2018号法律,个人数据保护和数字权利保障组织法》(以下简称《西班牙数据保护法》)。该《西班牙数据保护法》包括以十个标题构成的九十七条,以及附加条款、临时条款、废除条款和最后条款。
第二部分:
西班牙数据保护法特别规定
《西班牙数据保护法》在贯彻欧盟GDPR适用的同时,也有新增亮点值得关注。
(一)关于死者的补充规定
虽然西班牙遵守GDPR明确死者不在数据保护的主体范围,但做出了如下补充规定:
1.由于家庭原因或实际原因与死者有联系的人及其继承人可以联系负责处理该病的人或负责人,以请求获取其个人数据,并在适当情况下要求更正或删除。
作为例外,在死者明确禁止或法律规定的情况下,前者不得访问死者的数据,也不得要求对其进行纠正或删除。所述禁止不得影响继承人访问死者财产数据的权利。
2.死者明确为其指定的个人或机构也可以根据收到的指示要求访问其个人数据,并在适当情况下要求更正或删除。
3.在未成年人死亡的情况下,这些权力也可以由其法定代表人行使,也可以由财政部行使职权,财政部可以依职权或应任何有关自然人或法人的要求行事。如果有残疾人死亡,则除前款所述的权力外,还应由被指定行使支持职能的人员行使这些权力。
(二)透明度和信息
《西班牙数据保护法》第11条采纳西班牙数据保护局和前第29条数据保护工作组(Article 29 Data Protection Working Party)一直以来的建议——分层访问信息(the layered approach to information),并将其规定为强制标准。
采用分层访问信息的方式,第一层至少应当包含第11条要求的以下内容:
1. 数据控制者及其代表(如有)的身份信息。
2. 数据处理目的。
3. 可选择行使数据保护权。
4. 非从数据所有者处直接获取的数据信息的数据类型和来源。
(三)未成年人
《西班牙数据保护法》规定十四周岁以下为未成年人,除了未成年人的基本保护要求外,在数字权利保障章节特别规定“互联网上的未成年人保护”,要求采取措施保护未成年人及其在数字领域的互动信息,例如,发现社交网络上传播未成年人照片和个人信息,侵犯其基本权利,检察院可以进行干预。
(四)数据保护官员
除《欧盟通用数据保护条例》对此已经规范的内容之外,《西班牙数据保护法》明确列举了16种必须设置数据保护官员的情况,数据保护官需要在西班牙数据保护局注册。
1.专业协会及其总理事会。
2.提供教育权的法律规定的任何水平的教学中心,以及公立和私立大学。
3.在定期和系统地处理大规模个人数据时,根据其特定法律的规定运营网络并提供电子通信服务的实体。
4.信息社会的服务提供商在开发服务用户的大规模档案时。
5.6月26日第10/2014号法律第1条所包含的实体,涉及信贷机构的组织,监督和偿付能力。
6.金融信贷机构。
7.保险和再保险实体。
8.受证券市场法规管制的投资服务公司。
9.电能的分销商和贸易商以及天然气的分销商和贸易商。
10.负责评估偿付能力和信用的通用文件的实体,或负责管理和预防欺诈的通用文件的实体,包括那些负责防止洗钱和洗钱的法律所规定的文件的实体恐怖融资。
11.开展广告和商业勘探活动的实体,包括商业和市场研究的实体,当它们根据受影响者的偏好进行治疗时或进行隐含其简介的活动时。
12.保健中心有法律义务维护患者的病历。
尽管法律上有义务维护患者的病历,但医疗专业人员还是被排除在外,他们还是单独开展活动。
13.以发布可能涉及个人的商业报告为目标之一的实体。
14.依照游戏规则通过电子,计算机,远程信息处理和交互式渠道开展游戏活动的运营商。
15.私人保安公司。
16.体育联合会在处理未成年人数据时。
(五)合法权益和公共利益
《西班牙数据保护法》明确规定的特定数据处理,默认其数据控制人处理数据的行为合法,或者是为公共利益目的处理数据。
第一种情况数据控制人处理数据行为合法,包括,信用信息系统,公司改制或者公司转让,以及个体经营者和自由职业者的详细联系信息等,但是仅限于经营领域内为提供具体服务目的而收集地址和联系方式等信息。第二种情况涉及公共利益的情形包括,视频监控,不接受广告信息(advertising opt-outs)的决定记录,以及检举。
(六)惩罚措施
《西班牙数据保护法》将侵犯数据保护行为具体分为三个基本等级:轻微、严重以及特别严重,采取《欧盟通用数据保护条例》规定的罚金额,即最低1千万欧元或者全球年营业额2%,最高2千万欧元或者全球年营业额4%。
(七)数字权利
除数据保护领域外,《西班牙数据保护法》第十章对关数字权利做出了一系列规定,例如互联网的中立性(Internet neutrality),互联网通用访问(universal access),教育领域的推广,以及将被遗忘权(the right to be forgotten)扩展至社交媒体领域等等。
(八)劳动者相关
《西班牙数据保护法》为劳动者提供充分保护,要求用人单位调整企业内部规范,增加以下内容:
1. 使用数字设备和计量访问相应内容时,注意保护隐私。
2. 数字断连(digital disconnection),确保不占用非工作时间。
3. 更严格规范应用视频监控和录音的情形。
4. 使用地理定位系统应尊重劳动者的隐私权。
(九)数字继承
除遗嘱另有规定外,死者的继承人、利益相关人和/或委托人可以访问死者在社交网络和数字平台上的内容,并可以要求相应服务提供者使用、修改、终止和移除相关内容。
第三部分:
西班牙数据保护局
西班牙数据保护局(AEPD)在欧洲数据保护委员会中代表西班牙王国数据保护当局的身份,是州级的独立行政机构,它在行使其职能时完全独立的公共机构。西班牙数据保护局有责任监督《西班牙数据保护法》和GDPR的实施,尤其是行使GDPR第57条规定的只能和该法规第58条规定的权力。同样,西班牙数据保护局也负责履行其他法律或欧盟法律规则赋予它的职能和权力。
西班牙数据保护局设主席和一名副职,两人都将由将由部长会议根据皇家法令任命,任期五年。
西班牙数据保护局将负责调查工作,执行预防性审计计划,包括税收和社会保障在内的公共管理部门和个人将被要求向西班牙数据保护局提供开展其研究活动所需的数据,报告,背景和证明文件。此外,西班牙数据保护局有责任并行使与国家在数据保护方面的外部行动有关的职能。
第四部分:
西班牙数据执法案例
西班牙《国家报》2018年3月15日报道,西班牙数据保护局(AEPD)宣布,因Facebook和WhatsApp对个人用户隐私保护不当,将对两家公司分别施以30万欧元的罚款。据该局调查,对于已经安装了这些应用程序的用户,对隐私政策保护不够。另外,这些用户必须在特定期限之前必须接受新条款才能继续使用该服务。
根据欧盟数据保护委员会网站披露,2019年10月17日西班牙数据保护机构对Vueling公司处以3万欧元的罚款,原因是Vueling公司在其网站上使用了cookie政策并不符合要求。在cookie的管理方面,Vueling公司仅表示:“您可以配置浏览器默认接受或拒绝所有cookie,或接收每个cookie的屏幕通知,然后决定是否在您的硬盘上实现它。”你也可以使用“不跟踪”跟踪cookie阻止工具。还需要指出的是,“您可以在任何时候撤销Vueling对cookie的使用所给予的许可,并为此目的配置浏览器,您还可以调整浏览器设置以防止cookie网站或第三方的安装。”该公司没有提供管理系统或cookie配置面板,允许用户以细粒度的方式删除它们。为了方便进行这种选择,公司必须配置面板启用一种机制或按钮来拒绝所有cookie,另一种机制或按钮则启用所有cookie或能够以细粒度的方式这样做,以便管理每个用户的首选项。
或许您还想看
【律师视点】史蕾:信息保护标准解读系列之三 |《信息安全技术个人信息安全规范》解读
史蕾,德衡律师集团合伙人,互联网与TMT业务中心秘书长。曾就职于环球资源(NASQ:GSOL)和奇虎360公司法务部,拥有十多年的公司内部法务工作经验。擅长股权激励、公司治理及互联网产品合规风控;专注互联网游戏、直播、互联网教育与出版、大数据和网络安全等行业领域;新三板挂牌及公司治理。主要业绩:为某大数据公司提供用户隐私保护项目提供专项合规筛查服务,并提供整改建议和员工培训;为多家科技类创业公司提供股权激励方案制定;为互联网公司搭建海外融资架构;互联网教育科技企业新三板挂牌项目;代表多家挂牌公司完成新三板定向增发;担任多家互联网或高科技公司日常法律顾问。
联系方式
电话:15810040811
邮箱:shilei@deheng.com
✦质控人:辛小天 互联网与TMT业务中心总监
✦本文仅代表作者观点,如需转载、节选,请在后台留言联系小编