舌尖上的地中海数据合规风味大餐 | 感受希腊的浓郁与清新
穆萨卡(Moussaka)是非常传统的一道希腊菜,甚至被誉为希腊国菜,而简直就是为中国胃量身定做的。它看上去很像意式千层面,口味却南辕北辙,做法是将碎肉、马铃薯与茄子砌成“砖”,加上面皮、奶酪放入烤箱制成。配上希腊人每日必吃的希腊沙拉,鲜美而清淡,充分地发挥了食材本身的特质,正同希腊数据保护法案对公共实体与私人实体的控制者提出不同的规范要求一样,让人感受得到地中海热烈的阳光与清凉的海风。来与我们一起感受希腊数据保护法差异而和谐的规定吧!
一希腊数据保护法律框架
GDPR的国内实施法规
希腊议会于2019年8月底通过了关于个人数据保护机构的第4624/2019号法律(下称《数据保护法》),根据《一般数据保护条例》(GDPR)的规定,并就执行GDPR的相关规定(包括有关儿童同意、处理特殊类别的个人信息、处理员工的个人信息和数据主体的权利),及将其转变为国家法律数据保护指示。目前,《数据保护法》与GDPR共同构成了希腊有关个人数据保护的基本国家法律框架。
《数据保护法》的基本特征是,对作为控制者的公共实体与私人实体之间进行区别,即根据组织类型的不同,对个人数据处理施加的限制也不同。除少数例外,《数据保护法》废除了之前生效的数据保护法,即《关于处理个人数据的个体保护法》(第2472/1997号法)。
其他与个人数据处理有关的国家法律规定,以及希腊数据保护局(下称“HDPA”)指令和法规,在不与GDPR和数据保护法相抵触的范围内继续适用。
HDPA尚未就《数据保护法》的条款以及指导文件发布建议。但是,数据控制者和数据处理者应审查其内部流程,策略和文档,以确保符合新规定。
指导原则
HDPA发布了一些针对GDPR在不同领域对数据控制者的指导原则,包括有关处理个人数据的原则;适用GDPR的实务指南;数据控制者及处理者有关处理活动和相关模板的记录;控制者必须填写个人数据泄露通知表,并以加密形式提交给HDPA;与电子通信有关的义务;数据保护官('DPO')及任命的要求并指定领导机构;数据控制与处理许可证书;数据保护的设计与默认;问责原则;个人信息的传输;数据保护影响评估('DPIA');根据第35条第4款要求进行DPIA的处理操作清单;事先咨询;机构的关于“第13条的注册要求”等。HDPA还援引欧洲数据保护委员会发布的各种准则并相应取代第29条工作团体要求。
判例法
HDPA关于GDPR的判例法包括:
有关处理员工数据的原则(参见HDPA第26/2019号决定);
数据保护设计与默认及准确性原则(参见HDPA 第31/2019号决定);
向HDPA通报有关个人数据泄露的通知(参见HDPA 第14/2019号决定);
根据GDPR第12条向数据主体提供信息(参见HDPA第15/2019号决定和第25/2019号决定);
不遵守数据主体权利的行使(即访问权,删除权和异议权)规定,(参见HDPA第24/2019号决定、第27/2019号决定和第34/2019号决定)。
不再就个人数据处理,记录保存或监控录像对HDPA进行通知。此外,还取消了HDPA授予的用于处理敏感数据的许可证的规定(参见HDPA公告和第46/2018号决定)
※ HDPA尚未发布有关《数据保护法》的任何决定。
数据保护的主要监管者
HDPA负责监测GDPR条款、数据保护法和其他有关保护个人不受希腊领土内个人数据处理之侵害的条款的执行情况。
主要权利、职责和责任
根据《数据保护法》第15条,HDPA除了具有GDPR第58条规定的权力外,还具有以下调查和纠察权力:
根据职权或在接到投诉时进行调查和审核;
向控制者及处理者发出行为违法警告,;
命令控制者或处理者限期改正措施;
命令并施加暂时或终局处理个人数据的限制或禁止;
命令并强制主体将个人信息数据相关材料交付官方;
在调查中扣押并封存任何与个人信息数据相关材料,直到主管司法当局作出决定为止;
命令控制者或处理者中断个人数据的处理,返还或“冻结”相关数据,或销毁归档系统或相关数据;
根据GDPR第82条、GDPR第83条和《数据保护法》第39条实施行政处罚;
发出临时命令并有权颁布行政管理法规。
1. 数据主体权利
信息提供权
当从数据主体收集个人数据时,控制者必须采取适当措施以保护数据主体的合法利益,包括以准确、透明、易懂且易于访问的方式,以清晰明确的方式和通俗易懂的语言提供相应信息,并在有义务在下列情况下告知数据主体其将进一步处理个人数据:
进一步处理的处理目的与初步目的相符,与资料当事人的沟通不是以数码方式进行,而资料当事人的被告知兴趣并不特别高;;
控制者为公共实体,而此类信息将危害下述利益情形时:
适当履行控制者职责;
国家或公共安全以及控制者的不提供信息的利益凌驾于数据主体的利益之上;
建立,行使或抗辩法律主张以及控制者的利益,即不提供信息将超越数据当事人的利益;或
个人数据向公共实体的秘密传输。
此外,如果数据控制者未从数据主体获取个人数据,则公共实体可适用更大范围的例外情形。
遗忘权(删除权)
在非自动化处理的情况下,由于存储的特殊性,无法进行删除,或者只有在付出与之不相称的努力后并且数据当事人认为该利益重要时才可能实现遗忘时,以及与传统或法律保留期限规定相反时,不适用被遗忘权。除非法处理的情况,以处理限制代替删除。
异议权
如果为了公共利益需要处理,而公共利益高于资料当事人的利益,或者法律规定必须处理,则对公共实体不得适用异议权。
访问权
当数据控制者:(1)未告知数据主体义务;(2)仅用于保护或控制数据目的或因强制保留的监管规定而不能删除;(3)数据无法用于其他目的或不成比例的方法提供时,访问权受到限制,但拒绝向数据主体提供访问的原因必须记录在案。
2. 儿童数据
只有在儿童年满15岁并征得其同意的情况下,才可合法处理儿童在提供资讯社会服务方面的个人资料。否则,15岁以下的儿童必须获得父母或监护人的同意才能获得信息社会服务。
3. 特殊类别的数据处理及刑事责任
必要情形下,允许公共和私人实体处理下述特殊类别的数据:
行使由社会保障和社会关护权产生的权利并履行相关义务;
预防医学的目的、对员工工作能力的评估、医疗诊断、提供保健和社会保健或管理保健和社会保健系统和服务,或通过与保健专业人员或受专业保密约束或受其监督的其他人员的协议;或
为了公共卫生领域的公共利益。
此外,在下述情形下允许公共实体在GDPR第9(1)条的范围内处理特殊类别的个人数据:
出于公众利益的绝对必要原因;
为防止对国家或公共安全的重大威胁所必需;或
为了采取人道主义措施,处理数据的利益优先于数据主体的利益。
4. 数据保护专员(DPO)任命、角色与任务
《数据保护法》规定了有关公共实体任命DPO的规范,包括:
DPO的任命(例如,一个人可以担任多个公共机构的DPO;根据专业资格进行选择;可以任命公共实体的员工作为DPO;向HDPA通报任命的规定,非因国家安全原因或保密职责不被禁止);
DPO的立场(例如,参与与数据隐私有关的所有事务;提供必要的资源等);以及
DPO的职责(例如,与HDPA合作;充当与HDPA的联系点等)。
5. 数据泄露通知
违反通知义务的变更/豁免
控制者需要在HDPA网站中提交具体的数据泄露情况并下载相应模板向数据主体以电子形式发送通知。如在该通信泄露中,某些受保密规则保护的信息被披露则适用例外情形。
部门义务
向公众提供电子通信服务的提供商必须向希腊通信安全和隐私管理局(“ADAE”)与HDPA通知有关个人数据泄露情况并填报ADAE网上申报书数据保护影响评估。
国家活动主体的事先咨询/授权
HDPA作为监管机构,通过HDPA第65/2018号决定建立并公开了受DPIA要求的数据保护影响评估处理操作类型清单。但因该清单并未详尽列举,因此控制者有义务评估预期的处理操作对保护个人数据的影响的法律规定没有删除。
HDPA清单每两年进行一次定期常规修订,或由于技术或运营模型的重大发展,以及由于这些新用途带来高风险而导致处理目的发生变更时,进行计划外修订。
6. 科学或历史研究目的的数据处理
在未经数据主体同意的情况下,出于科学研究或历史研究目的或出于与收集或保留统计信息以及控制者的利益有关的目的优先于数据主体的利益,允许对特殊类别的数据进行处理。对此,控制者必须采取适当和具体的措施来保护数据主体的利益,包括限制对控制者和/或处理者的访问权,匿名化处理、加密措施以及DPO的任命等。
数据主体权利的行使可能使科学或历史研究的执行不可能或显着阻碍其进行的权利,则数据主体权利受到限制,但这些限制必须是被认为是其表现所必需的。
除上述内容外,在出于科学或统计目的而允许处理特殊类别数据时必须进行匿名化处理,除非此种处理将违反数据主体的合法利益。
最后,控制者可以发布在研究情况下处理的个人数据,只要数据主体已经同意以书面或发表的方式发表研究结果,但此种发布必须化名。
7. 处理员工数据
《数据保护法》第27条规定了适用于在劳动关系范围内处理员工个人数据的条款。该规定无论雇佣关系的具体类型、合同的有效性以及处理过程是否涉及申请人的或前员工的个人数据,一律适用于所有员工。就劳动合同而言,员工的个人数据可能会受到处理,只要这对于决定劳动合同的签订或遵循劳动合同的履行是绝对必要的。
在特殊情况下,依据雇佣合同的约定或基于数据主体同意,可以处理员工的个人数据。但同意应以书面形式或电子形式提供且必须与劳动合同明确区分。用人主体应通知员工其处理目的以及员工撤回其同意的权利。
尽管有GDPR第9条第1款的具体规定,但允许为履行劳动合同目的而处理特殊类别的个人数据,前提是此种处理是基于《劳动法》《社会保障法》和《社会保险法》产生的权利的形式或者合法义务的履行所必须,且没有数据主体利益处于更高利益的情况。
《数据保护法》还针对通过工作场所的闭路记录系统处理员工的个人数据提出了特别规则,包括分别以书面形式通知员工等要求。
8. 遗传数据处理
《数据保护法》明确禁止任何主体出于健康或寿命保险目的处理基因数据。
9. 处理个人数据用于其他目的
公共实体可以基于履行其职责需要而在必要范围内出于其最初收集目的以外的目的处理个人数据。
检查数据主体提供的信息,因为有合理的迹象表明该信息不正确;
为避免危害国家安全,国防或公共安全或确保税收或关税收入;
起诉刑事犯罪;
为了防止对他人的伤害;
用于编制官方统计数据。
如有必要,允许私人实体进行其他目的的处理:
为避免在公共实体的要求下对国家或公共安全的威胁;
起诉刑事犯罪;
为确立、行使或抗辩法律主张,除非数据主体的利益更重要。
10. 认证机构和认证
数据保护法规定,根据GDPR第42条对认证机构进行的认证是由希腊认证系统(ESYD)根据标准EN-ISO / IEC17065:2012及HDPA规定的额外要求确认。如果HDPA通知ESYD机构不再满足认证要求,或者认证机构违反GDPR和《数据保护法》的规定,则可以撤销认证。
11. 司法保护
根据《数据保护法》,数据主体因违反GDPR规定或其中包含的数据主体的权利而对控制者或处理者提出的损害赔偿要求,将可向控制者、处理者或注册主体所在地或数据当事人住所地有管辖权民事法院提起诉讼。
如果数据主体认为数据处理行为侵害了其合法权益,可以向HDPA报告,对HDPA的决定不服的,还可以将决定上诉至高一级法院。
行政责任
除了根据GDPR第58(2)条规定的纠正权外,《数据保护法》进一步规定,公共实体实施包括在GDPR第83条(4)、(5)及(6)款内(除少数例外)规定的侵权行为,将受到HDPA高达1000万欧元的行政罚款。
《数据保护法》未对GDPR关于私人实体相关规定进行任何变更。
"HDPA于2019年7月30日对普华永道(PWC)处以15万欧元的罚款,理由是该公司在处理员工个人数据时选择并援引了不恰当的法律依据,并违反了责任原则(参见HDPA 第26/2019号决定)。
"刑事责任
《数据保护法》规定,对任何干扰包含个人数据的文件系统并且通过该行为获取其信息、复制品以及一般性信息或处理其中包含的个人数据的主体,可处以刑事处罚,尤其是处以最高一年的监禁处罚。。
此外,任何主体以使用、传输、散布、通过传输公开、提供给他人或与未经授权的人传递,或者允许未经授权的人获得有关所述数据的知识等形式违法处理个人数据,则可能受到监禁的处罚。
对于特殊类别的个人数据,《数据保护法》规定了以下刑事制裁:
监禁至少一年;以及
处以最高100,000欧元的罚款。
此外,如果上述行为人有意获利或侵害他人利益,而其获利总和超过120,000欧元,则犯罪者最高将被处以十年以下有期徒刑。
最后,如果上述行为危及国家安全或国家民主制度,可处以监禁和最高30万欧元的罚款。
舌尖上的地中海数据合规风味大餐系列
舌尖上的地中海数据合规风味大餐 | 细腻与硬壳混搭的法国味道
舌尖上的地中海数据合规风味大餐 | 探索意大利的自主与融合
舌尖上的地中海数据合规风味大餐 | 品味西班牙的精细
上周回顾
周一
全球数据保护资讯 | 出售用户定位数据,美四大运营商被罚两亿美元
长租公寓、业主、租客三方叫苦,租金都去哪儿了?——再次认识“租金贷”
【网络研讨会邀请函】未雨绸缪——印度个人数据保护法案的影响和对策| 3.6
周二
周四
往期好文回顾
“告知同意”原则的新发展及对保险业务数据应用带来的影响 (2020.03.05)
人脸识别技术在智慧社区中应用的个人信息保护要点(2020.02.19)
隐私保护设计(PbD):个人信息保护的学霸方法论(2020.02.12)
健康医疗数据合规手册(2020.02.06)
你应该了解的疫情阻断武器 ——互联网医疗(2020.02.04)
欧盟一般数据保护条例(GDPR)的2019年盘点(2020.1.16)
2019年医疗领域数据合规和个人信息保护大事记(2020.01.15)
让我们为您保驾护航
微信:享法互联网JoyLegal
微博:享法互联网法律
电话:010-81050766
邮箱:info@joy-legal.com
24小时内答复咨询
关注和分享,总有一个在路上~