舌尖上的地中海数据合规风味大餐 | 咀嚼葡萄牙的创新与丰富
提供信息权
葡萄牙《GDPR执行法》规定了向数据主体提供信息的权利的下列附加要求:当法律对控制者或处理者施加了对数据主体可强制执行的保密义务时,数据主体不能行使信息权。
擦除权(删除权)
葡萄牙《GDPR执行法》就擦除权规定了下列附加要求:如果有法律规定的保留期,则只有在保留期届满时才能行使擦除权。
数据可携权
葡萄牙《GDPR执行法》对数据可携权规定了下列附加要求:这项权利只涉及数据主体提供的个人数据,个人数据的可携性应尽可能以公开格式进行。
数据保护不妨碍言论、信息和新闻自由的行使,包括为新闻、文学、艺术或学术表达的目的处理数据。行使言论自由,在披露GDPR第9条规定的或与死者有关的个人数据时必须尊重《葡萄牙宪法》规定的个人尊严和人格权利原则。但言论自由的行使并不会使个人数据的披露合法化,例如披露地址和联系人,众所周知的数据除外。
在官方公报中公布数据必须符合最小化和目的限制原则。如果个人数据“名称”足以保证数据主体的可识别和数据处理的有效性,则不应再发布其他个人数据。在这种情况下被遗忘权具有特殊性质,是通过搜索引擎中的个人数据的去索引来实现的。【注1】
关于给予同意所需的年龄,应当指出的是,葡萄牙“民法典”第47344号法令,第274/1966号政府公报规定了未成年人一般不具备行使其权利的能力的一般规则(未成年人指未满18周岁的人)。父母的责任行使弥补了这种能力的缺乏,这意味着通常是由父母对未成年人的个人数据处理作出合法的同意。
然而,《GDPR执行法》规定,直接向儿童提供信息社会服务时,在儿童至少13岁的情况下,根据同意处理儿童的个人数据是合法的。如果儿童不满13岁,这种处理只有在对儿童负有监护责任(parental responsibilities)的人同意或授权的情况下才是合法的。GDPR规定的同意年龄原则上是16周岁。
该《GDPR执行法》没有对处理与刑事定罪和犯罪有关的数据规定额外的要求。因此,处理与刑事定罪和犯罪有关的数据必须满足的要求是“GDPR”所载的要求。
关于特殊类别的个人数据,《GDPR执行法》规定,处理有关健康或遗传数据的数据:
(1)应遵循信息需要的原则;
(2)在根据“GDPR”第9(2)(H)或(I)条执行时,应由受保密义务约束的专业人员或受保密义务约束的另一人执行;
(3)必须以确保仅通过电子手段获取这类个人数据的方式进行,除非技术上不能实现,或数据主体另有明确指示。
应当指出的是,根据《GDPR执行法》,必须通知数据主体对其有关健康或遗传数据的任何数据的访问,控制者必须确保提供这种可追踪性和通知机制。鉴于通知义务所确定的范围广泛,在处理保健服务范围内的个人健康数据方面存在实践上的困难,需要在今后的判例法中加以解决。
该《GDPR执行法》没有对处理其他特殊类别的个人数据规定额外的要求。因此,处理其他特殊类别的个人必须满足的要求是“GDPR”所载的要求。值得一提的是,在2018年5月25日GDPR申请之前,葡萄牙数据保护局发布了关于在特定情况下处理特殊类别个人数据的一些审议和指导方针,具体内容如下:
(1)第219/2009号审议意见-根据国家人体药品药物警戒制度处理个人数据;
(2)关于在临床研究背景下处理个人数据的第1704/2015号审议意见;
(3) 关于在工作场所使用地理定位技术收集的个人数据处理的第7680/2014号审议意见;
(4)关于处理工人生物特征数据以控制其出勤和出入的原则;
(5)关于第三方获取卫生数据的第51/2001号审议意见;及
(6)关于在教育和教学机构网站上提供学生个人数据的第1495/2016号审议意见。
应注意的是,2008年7月17日第32号法律改变了2006年3月15日关于保留与提供公共电子通信服务或公共通信网络有关的生成或处理的数据的第2006/24/EC号指令,并修订了第2002/58/EC号指令,制定关于保留与提供公共电子通信服务或公共通信网络有关的生成或处理的数据的规则,以确保这些数据可用于调查、侦查和起诉严重罪行。
视频监控仅限于为了保护人员和资产需要时才能使用,这与国家信息保护委员会CNPD在视频监控方面的看法一致。该法规定摄像机不能瞄准公共道路、客户、用户或工作人员保留的区域内部,如浴室,候诊室和更衣室,也不能以捕获键盘的方式指向ATM机。【注2】
《GDPR执行法》规定,数据控制者必须任命具有专业素质、具有数据保护法律和实践经验等方面专业知识的人来担任DPO,但无需进行专业认证。DPO具有技术自主权,负有专业保密的义务,除“GDPR”第37至39条的规定外,还有以下职责:
(1)确保进行定期审计和非定期审计;
(2)提高用户对及时发现安全事件重要性的认识,并认识到在安全事件发生后要立即通知DPO;
(3)确保在GDPR和葡萄牙关于数据保护的立法所涉事项上与数据主体保持联系。
《GDPR执行法》没有规定在个人数据被泄露的情况下通知义务的具体要求。因此,在违反个人数据的情况下必须满足的要求是“GDPR”所载的要求。
在葡萄牙,个人数据泄露的通知必须以CNPD网站上公示的表格形式提供。这种形式可能有一些特殊性。例如,如果询问控制者是否在通知CNPD之前通知了数据主体,以及是否有任何相关的跨境处理,但不询问是否有向第三国或国际组织传输个人数据的情况。必要时,可以通过电子邮件直接向CNPD发送附加信息。
具体法律,如规范电信部门的法律(2004年8月18日第41号法律第3-A条)规定当发生个人数据泄露时,控制者有责任通知CNPD。在这一特定情况下,如果公共电子通信服务提供商承认存在数据泄露行为,则必须向CNPD报告,并且,如果个人数据泄露可能对订阅者或用户的个人数据造成不利影响,提供者还应将该违约行为通知订阅者或用户。
然而,这些法律并没有对个人数据泄露通知义务作出额外规定。因此,在个人数据被泄露的情况下,必须遵守“GDPR”的规定。
根据“GDPR”,如果DPIA表明数据处理将导致高风险,而处理者没有采取措施来减轻风险,则应在进行数据处理之前征求监督当局的意见。
应当指出的是,“CNPD”公布了第1/2018号条例,规定了受DPIA约束的数据处理活动清单。其中包含了在数据处理活动开始前要求进行DPIA的非详尽列表,如下所示:
(1)处理因使用电子设备而产生的信息,这些电子设备通过通信网络传送与健康有关的个人数据;
(2)与特定类别的个人数据或与刑事定罪和犯罪或高度个人化性质的数据有关的个人数据相互关联或处理;
(3)处理与刑事定罪有关的特殊类别的个人数据或与犯罪或高度个人化性质的数据有关的个人数据,如果这类数据不是直接向数据主体收集的,而且确保遵守GDPR的信息职责是不可能或不可行的;
(4)处理涉及或包括大规模用户画像的个人数据;
(5)处理个人数据,以追踪具有评估或分类作用的各数据主体(例如工人、客户)的位置或行为,但对于提供数据主体具体要求的服务必不可少的情况除外;
(6)处理与刑事定罪和犯罪有关的特殊类别的个人数据或具有高度个人性质的数据,以便出于公共利益、科学或历史研究目的或统计目的进行存档,但法律规定的对数据主体权利提供充分保障的个人数据的处理除外;
(7)处理生物特征数据,以便在数据主体是弱势群体时明确识别数据主体,但在处理之前须对数据保护进行影响评估的法律规定的处理除外;
(8)处理弱势群体的遗传数据,但法律规定的处理除外,在此之前对数据保护进行影响评估;以及
(9)利用新技术或创新使用现有技术处理与刑事定罪和犯罪或高度个人化性质的数据有关的特殊类别的个人数据或个人数据。
在葡萄牙,没有任何国家活动总是要事先得到CNPD的协商或授权。在开始数据处理之前,控制者应与监督当局协商的唯一情况是,DPIA表示,在控制者没有采取措施减轻风险的情况下,数据处理将导致很高的风险。
《GDPR执行法》规定,为科学或历史研究目的处理个人数据:
(1)须尊重数据最小化原则,并在可能的情况下,进行个人数据的匿名化或假名化处理;及
(2)必要时,不允许行使GDPR第15条、第16条、第18条和第21条规定的访问、更正、限制和反对数据处理的权利,如果这些权利可能严重损害或使数据处理目的变得不可实现。
关于为科学研究目的处理个人数据的问题,《GDPR执行法》规定,有关同意可涵盖若干研究领域,或仅适用于某些科学研究领域或项目。
《GDPR执行法》将“GDPR”规定的保护范围扩大到已故数据主体的特殊类别的个人数据,以及与私人生活、图像和通信有关的个人数据。死者的权利可以由死者指定的人行使,或者在没有指定人的情况下,由数据主体的继承人行使。数据主体也可决定在其死亡后不得行使这些权利。该法中规定了特殊规定以保护死者:一是当数据属于特殊类别数据,或涉及私人生活的亲密关系,或属于与通信有关的图像或数据时,应当依据该法对数据进行保护;二是被死者或其继承人指定的人可以行使查阅权、纠正权和被遗忘权。
1
行政责任
在确定罚款时,葡萄牙数据保护机构必须考虑以下因素:实体的经济状况,违规情况是否持续存在,违规情况的严重程度,雇员人数和所提供服务的性质。对于非常严重的违法行为,大公司可能会被处以5,000欧元至2000万欧元的罚款或全球年营业额的4%,以较高者为准。中小企业可能会被处以2000欧元至200万欧元的罚款,或全球年营业额的4%,以较高者为准。公共实体也可能会受到罚款,但他们可以在进行罚款后的三年内申请豁免。
根据犯罪情况,实体可能会被处以最高一年或两年的监禁或120至240天收入的刑事罚金,以适用者为准。除国家和集体人员行使公共权力特权外,全体成员和对等人员也应对这些罪行负责。【注3】
2
刑事责任
根据《GDPR执行法》,违反关于数据保护的某些规则和原则可能导致刑事责任:
(1)任何自然人或法人以不符合收集目的的方式使用个人数据,应处以一年以下监禁或罚款;
(2)任何自然人或法人未经适当授权或正当理由,以任何方式获取个人数据,应处以一年以下监禁或罚款;
(3)任何自然人或法人没有合法依据或未经同意复制、删减、放弃或转让个人数据,不论是付费还是免费,不论其目的为何,均应处以一年以下监禁或罚款;
(4)任何自然人或法人未经适当授权而删除、销毁、损坏、隐瞒、控制或修改个人数据,使其无法使用或影响其使用潜力,应处以最高两年监禁或罚款;
(5)任何自然人或法人如嵌入或便利他人嵌入虚假个人数据,意图为自己或他人获得不正当好处,或造成损害,应处以最高两年监禁或罚款;
(6)任何自然人或法人,受法律规定的专业保密义务的约束,在无正当理由和未经合法同意的情况下,全部或部分揭露或披露个人数据,可处一年以下监禁或罚款;
(7)在葡萄牙数据保护局(“CNPD”)为此规定的期限届满后,任何不遵守GDPR和《GDPR执行法》规定的义务的自然人或法人,最高可被处以一年监禁或罚款。
其他数据保护义务也包括在某些特定部门的法律中,例如:
(1)2005年1月26日第12号法律,其中载有关于遗传和健康信息数据保护的具体规定;
(2)2004年8月18日第41号法律,其中对保护电子通信部门的个人数据作出了规定,并载有对电信服务提供商的具体规定。
【注1】转引自“域外观察| 葡萄牙数据保护法生效,完善细化GDPR重点制度”
【注2】转引自“域外观察| 葡萄牙数据保护法生效,完善细化GDPR重点制度”
【注3】转引自“域外观察| 葡萄牙数据保护法生效,完善细化GDPR重点制度”
【注4】转引自“SCA连载GDPR案例分析 | 首例医院违规 葡萄牙数据监管机构认定Barreiro医院违反GDPR”
舌尖上的地中海数据合规风味大餐系列
舌尖上的地中海数据合规风味大餐 | 细腻与硬壳混搭的法国味道
舌尖上的地中海数据合规风味大餐 | 探索意大利的自主与融合
舌尖上的地中海数据合规风味大餐 | 品味西班牙的精细
上周回顾
周一
全球数据保护资讯 | 出售用户定位数据,美四大运营商被罚两亿美元
长租公寓、业主、租客三方叫苦,租金都去哪儿了?——再次认识“租金贷”
【网络研讨会邀请函】未雨绸缪——印度个人数据保护法案的影响和对策| 3.6
周二
周四
往期好文回顾
“告知同意”原则的新发展及对保险业务数据应用带来的影响 (2020.03.05)
人脸识别技术在智慧社区中应用的个人信息保护要点(2020.02.19)
隐私保护设计(PbD):个人信息保护的学霸方法论(2020.02.12)
健康医疗数据合规手册(2020.02.06)
你应该了解的疫情阻断武器 ——互联网医疗(2020.02.04)
欧盟一般数据保护条例(GDPR)的2019年盘点(2020.1.16)
2019年医疗领域数据合规和个人信息保护大事记(2020.01.15)
让我们为您保驾护航
微信:享法互联网JoyLegal
微博:享法互联网法律
电话:010-81050766
邮箱:info@joy-legal.com
24小时内答复咨询
关注和分享,总有一个在路上~