舌尖上的地中海数据风味大餐——西班牙篇
西班牙的Tapas绝对是必吃清单里的NO.1。Tapas原意是小盘子,现指饭前开胃的小菜或是二顿正餐之间的点心,分为冷食和热食,肉类,海鲜和蔬菜等,其特色在于分量少,种类多,一次可尝到多种味道。Tapas不仅仅是一道美食,更多的是一种西班牙生活方式 - 尽情享受美食,不停寻找与发现生活中细致美丽的瞬间。
在学习了解西班牙个人数据保护中,我们发现,细致而美丽的特点也体现在立法中,从关心死亡者的数字继承问题,到详列罗列16种必须任命数据保护官任命情况,特殊情况下的数据保护问题几乎可以详细涵盖我们实务中可能的用到的很多具体场景:商业运营中的数据,视频监控问题,广告中的OPT-out、内部投诉体系中的数据、统计目的和公共管理中的存档中个人数据,与违规和行政制裁有关的个人数据,劳动者的个人数据保护……
让我们一起看一下细致而美丽的西班牙个人数据保护大餐。
第一部分:西班牙个人数据保护的立法框架
西班牙是一个君主议会立宪制(Monarquía Parlamentaria)国家,也就是立法、行政、司法三权鼎立、相互制约。西班牙有国王(Rey),他是国家元首(Jefe de Estado),国家是由议会(Parlamento)、政府(Gobierno)和最高法院(Tribunal Supremo)共同管理的。
《西班牙宪法》第18条第4款规定的任务就是保护个人数据的基本权利,并指出“法律将限制信息技术的使用,以保障公民的名誉,个人和家庭隐私以及充分行使公民权利。”西班牙第一部有关个人数据保护的立法是1999年颁布的《西班牙个人数据保护基本法》(15/1999),该基本法是依据欧盟的《个人数据保护指令》制定的。按照欧盟的要求,欧盟成员国应当将《个人数据保护指引》引入到本国法律中,依照《个人数据保护指引》所确定的保护原则和标准制定本国的个人数据保护法律。《西班牙个人数据保护基本法》对个人信息收集和处理过程中出现的有关个人权益的问题进行了规范,共分9个部分。第一部分阐述法规的目的和应用范围,第二部分列明了数据保护的原则,第三部分处理了有关信息获取、信息更正、信息删除和相关程序等个人信息权益的问题,第四至七部分对一些重要的与隐私有关的文件的获取、数据处理前的义务、国际数据交换和体现数据保护的行为规范等进行了规定,第八部分对处理个人信息过程中的保密方法进行了规定,第九部分对西班牙数据保护局的工作程序进行了规定。
在特定法律和行业中有关保护个人数据的适用法规包括2002年34/2002号《信息社会服务和电子商务法》和2014年电信总局第9/2014号法律。
大家非常熟悉的《欧盟通用数据保护条例(GDPR)》,即欧洲议会和理事会2016年4月27日第(EU)2016/679号条例,关于在处理个人数据以及自由移动这些数据以及废除指令95/46 / EC自2018年5月25日生效后直接适用于西班牙,效力仅次于宪法,高于西班牙本国法律适用。
2018年12月6日,西班牙政府公报(BOE)公布了经参议院11月21日全体会议通过的《2018年12月5日第3/2018号法律,个人数据保护和数字权利保障组织法》(以下简称《西班牙数据保护法》)。该《西班牙数据保护法》包括以十个标题构成的九十七条,以及附加条款、临时条款、废除条款和最后条款。
1 | 客体 | 使西班牙法律体系适应GDPR并完成适用;保障公民的数字权利也是法律的目的。 规定数据保护不适用于死者,但是补充专门条款(Article3)。 |
2 | 数据保护原理 | 数据准确性,保密义务,基于同意的数据处理,未成年人同意、基于法定义务,公共利益和行使公权力的数据处理,对特殊种类数据的分类进行补充,对刑事数据做出特别规定 |
3 | 人的权利 | 强调透明原则,规范了受影响者的知情权,并收集了所谓的“分层信息”。充分分析了GDPR中获取,纠正,删除,异议,限制治疗权和携带权的权利的适用。 |
4 | 特殊情况下数据的对待 | 比如商业运营中的,视频监控,广告、内部投诉体系、统计目的,公共管理中的存档中,与违规和行政制裁有关。 |
5 | 如何负责 | GDPR建立了主动问责制,这需要事先负责人或负责人对可能产生个人数据处理风险的风险进行评估,以根据该评估采取适当的措施。因此,《西班牙数据保护法》分四章阐述,分别针对主动责任的一般措施,处理负责人的制度,数据保护代表以及自我监管和认证机制。 |
6 | 国际数据传输 | 适应GDPR,数据保护机构可以通过程序批准合同模型或有约束力的公司标准。 |
7 | 数据保护机构 | 对西班牙数据保护局的制度进行了规范,并反映了自治数据保护机构的存在以及控制机构之间的必要合作。 |
8 | 可能违反数据保护法规的程序 | 在处理任何程序之前,有必要确定该处理是否是跨境的,如果是,则应确定哪个数据保护机构应作为主体。程序启动后,西班牙数据保护局就有可能根据行为准则的规定将索赔移交给数据保护代表或负责法外冲突解决的机构或实体。 |
9 | 制裁 | GDPR建立了一种制裁或纠正措施体系。在此框架中,《西班牙数据保护法》着手描述典型行为,在确定严重程度时,要考虑到GDPR确定的区别,从而将非常严重,严重和轻微违规行为加以区分。 |
10 | 数字权利保障 | 西班牙《宪法》要求承认和保障公民数字权利的权利,对互联网环境中可预测的权利和自由进行了规定。网络中立性和普遍访问权或获得安全和数字教育的权利,以及遗忘权,可移植性和数字意志的权利。在工作场所使用数字设备的隐私权框架内对数字断开连接权的承认以及对互联网上未成年人的保护都占有重要的地位。最后,数字媒体中言论自由和信息澄清权的保障是显著的。 |
第二部分:西班牙数据保护法特别规定
《西班牙数据保护法》在贯彻欧盟GDPR适用的同时,也有新增亮点值得关注。
关于死者的补充规定
虽然西班牙遵守GDPR明确死者不在数据保护的主体范围,但做出了如下补充规定:
由于家庭原因或实际原因与死者有联系的人及其继承人可以联系负责处理该病的人或负责人,以请求获取其个人数据,并在适当情况下要求更正或删除。
作为例外,在死者明确禁止或法律规定的情况下,前者不得访问死者的数据,也不得要求对其进行纠正或删除。所述禁止不得影响继承人访问死者财产数据的权利。
死者明确为其指定的个人或机构也可以根据收到的指示要求访问其个人数据,并在适当情况下要求更正或删除。
在未成年人死亡的情况下,这些权力也可以由其法定代表人行使,也可以由财政部行使职权,财政部可以依职权或应任何有关自然人或法人的要求行事。如果有残疾人死亡,则除前款所述的权力外,还应由被指定行使支持职能的人员行使这些权力。
透明度和信息
《西班牙数据保护法》第11条采纳西班牙数据保护局和前第29条数据保护工作组(Article 29 Data Protection Working Party)一直以来的建议——分层访问信息(the layered approach to information),并将其规定为强制标准。
采用分层访问信息的方式,第一层至少应当包含第11条要求的以下内容:
1. 数据控制者及其代表(如有)的身份信息。
2. 数据处理目的。
3. 可选择行使数据保护权。
4. 非从数据所有者处直接获取的数据信息的数据类型和来源。
未成年人
《西班牙数据保护法》规定十四周岁以下为未成年人,除了未成年人的基本保护要求外,在数字权利保障章节特别规定“互联网上的未成年人保护”,要求采取措施保护未成年人及其在数字领域的互动信息,例如,发现社交网络上传播未成年人照片和个人信息,侵犯其基本权利,检察院可以进行干预。
数据保护官员
除《欧盟通用数据保护条例》对此已经规范的内容之外,《西班牙数据保护法》明确列举了16种必须设置数据保护官员的情况,数据保护官需要在西班牙数据保护局注册。
专业协会及其总理事会。
提供教育权的法律规定的任何水平的教学中心,以及公立和私立大学。
在定期和系统地处理大规模个人数据时,根据其特定法律的规定运营网络并提供电子通信服务的实体。
信息社会的服务提供商在开发服务用户的大规模档案时。
6月26日第10/2014号法律第1条所包含的实体,涉及信贷机构的组织,监督和偿付能力。
金融信贷机构。
保险和再保险实体。
受证券市场法规管制的投资服务公司。
电能的分销商和贸易商以及天然气的分销商和贸易商。
负责评估偿付能力和信用的通用文件的实体,或负责管理和预防欺诈的通用文件的实体,包括那些负责防止洗钱和洗钱的法律所规定的文件的实体恐怖融资。
开展广告和商业勘探活动的实体,包括商业和市场研究的实体,当它们根据受影响者的偏好进行治疗时或进行隐含其简介的活动时。
保健中心有法律义务维护患者的病历。
尽管法律上有义务维护患者的病历,但医疗专业人员还是被排除在外,他们还是单独开展活动。
以发布可能涉及个人的商业报告为目标之一的实体。
依照游戏规则通过电子,计算机,远程信息处理和交互式渠道开展游戏活动的运营商。
私人保安公司。
体育联合会在处理未成年人数据时。
合法权益和公共利益
《西班牙数据保护法》明确规定的特定数据处理,默认其数据控制人处理数据的行为合法,或者是为公共利益目的处理数据。
第一种情况数据控制人处理数据行为合法,包括,信用信息系统,公司改制或者公司转让,以及个体经营者和自由职业者的详细联系信息等,但是仅限于经营领域内为提供具体服务目的而收集地址和联系方式等信息。第二种情况涉及公共利益的情形包括,视频监控,不接受广告信息(advertising opt-outs)的决定记录,以及检举。
惩罚措施
《西班牙数据保护法》将侵犯数据保护行为具体分为三个基本等级:轻微、严重以及特别严重,采取《欧盟通用数据保护条例》规定的罚金额,即最低1千万欧元或者全球年营业额2%,最高2千万欧元或者全球年营业额4%。
数字权利
除数据保护领域外,《西班牙数据保护法》第十章对关数字权利做出了一系列规定,例如互联网的中立性(Internet neutrality),互联网通用访问(universal access),教育领域的推广,以及将被遗忘权(the right to be forgotten)扩展至社交媒体领域等等。
劳动者相关
《西班牙数据保护法》为劳动者提供充分保护,要求用人单位调整企业内部规范,增加以下内容:
1. 使用数字设备和计量访问相应内容时,注意保护隐私。
2. 数字断连,确保不占用非工作时间。
3. 更严格规范应用视频监控和录音的情形。
4. 使用地理定位系统应尊重劳动者的隐私权。
数字继承
除遗嘱另有规定外,死者的继承人、利益相关人和/或委托人可以访问死者在社交网络和数字平台上的内容,并可以要求相应服务提供者使用、修改、终止和移除相关内容。
第三部分:西班牙数据保护局
西班牙数据保护局(AEPD)在欧洲数据保护委员会中代表西班牙王国数据保护当局的身份,是州级的独立行政机构,它在行使其职能时完全独立的公共机构。西班牙数据保护局有责任监督《西班牙数据保护法》和GDPR的实施,尤其是行使GDPR第57条规定的只能和该法规第58条规定的权力。同样,西班牙数据保护局也负责履行其他法律或欧盟法律规则赋予它的职能和权力。
西班牙数据保护局设主席和一名副职,两人都将由将由部长会议根据皇家法令任命,任期五年。
西班牙数据保护局将负责调查工作,执行预防性审计计划,包括税收和社会保障在内的公共管理部门和个人将被要求向西班牙数据保护局提供开展其研究活动所需的数据,报告,背景和证明文件。此外,西班牙数据保护局有责任并行使与国家在数据保护方面的外部行动有关的职能。
第四部分:西班牙数据执法案例
西班牙《国家报》2018年3月15日报道,西班牙数据保护局(AEPD)宣布,因Facebook和WhatsApp对个人用户隐私保护不当,将对两家公司分别施以30万欧元的罚款。据该局调查,对于已经安装了这些应用程序的用户,对隐私政策保护不够。另外,这些用户必须在特定期限之前必须接受新条款才能继续使用该服务。
根据欧盟数据保护委员会网站披露,2019年10月17日西班牙数据保护机构对Vueling公司处以3万欧元的罚款,原因是Vueling公司在其网站上使用了cookie政策并不符合要求。在cookie的管理方面,Vueling公司仅表示:“您可以配置浏览器默认接受或拒绝所有cookie,或接收每个cookie的屏幕通知,然后决定是否在您的硬盘上实现它。”你也可以使用“不跟踪”跟踪cookie阻止工具。还需要指出的是,“您可以在任何时候撤销Vueling对cookie的使用所给予的许可,并为此目的配置浏览器,您还可以调整浏览器设置以防止cookie网站或第三方的安装。”该公司没有提供管理系统或cookie配置面板,允许用户以细粒度的方式删除它们。为了方便进行这种选择,公司必须配置面板启用一种机制或按钮来拒绝所有cookie,另一种机制或按钮则启用所有cookie或能够以细粒度的方式这样做,以便管理每个用户的首选项。
访问文末左下角点击“阅读原文”获取更多相关内容
或点击以下二维码1秒解锁更多独家法律知识问答。
享法互联网法律团队主要创始人均来自国内著名互联网公司的法务部,依托于北京德和衡律师事务所,享法致力于为高科技创新型公司提供贴心实用的一站式法律管家服务。自成立至今,我们已为近百家公司提供了多样化服务。
享法围绕数据安全,电子商务,网络游戏,视频直播,互联网金融融资等互联网行业领域提供更具互联网思维的产品技术合规,融资并购以及新三板挂牌等法律服务,同时也针对企业的内部股权安排、劳动人事以及员工激励等开发了更实用优惠的专项打包法律服务。
上周回顾
周一
全球数据保护资讯 | 出售用户定位数据,美四大运营商被罚两亿美元
长租公寓、业主、租客三方叫苦,租金都去哪儿了?——再次认识“租金贷”
周二
周四
往期好文回顾
人脸识别技术在智慧社区中应用的个人信息保护要点(2020.02.19)
隐私保护设计(PbD):个人信息保护的学霸方法论(2020.02.12)
健康医疗数据合规手册(2020.02.06)
你应该了解的疫情阻断武器 ——互联网医疗(2020.02.04)
欧盟一般数据保护条例(GDPR)的2019年盘点(2020.1.16)
2019年医疗领域数据合规和个人信息保护大事记(2020.01.15)
「数据合规」2019年度国内新发布的主要规定通览(2020.01.14)
金融领域数据合规和个人信息保护大事记(2020.01.13)
让我们为您保驾护航
微信:享法互联网JoyLegal
微博:享法互联网法律
电话:010-81050766
邮箱:info@joy-legal.com
24小时内答复咨询
关注和分享,总有一个在路上~