最具影响力的数字化技术在线社区

168大数据

 找回密码
 立即注册

QQ登录

只需一步,快速开始

1 2 3 4 5
开启左侧

葡萄牙数据保护法生效,完善细化GDPR重点制度

[复制链接]
发表于 2019-9-18 20:09:22 | 显示全部楼层 |阅读模式

马上注册,结交更多数据大咖,获取更多知识干货,轻松玩转大数据

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
摘要:葡萄牙数据保护法遵循了GDPR对欧盟成员国的立法指导,规定了“同意”年龄、刑事制裁和处罚限制、数据保护官、认证、数据主体的权利和数据保护机构的权力等内容。
2019年8月8日,葡萄牙的数据保护法《GDPR执行法》正式公布生效。该法是葡萄牙为了执行GDPR而制定出台的,早在6月14日就已经被批准通过并由总统签署。葡萄牙数据保护法中遵循了GDPR对欧盟成员国的立法指导,规定了“同意”年龄、刑事制裁和处罚限制、数据保护官、认证、数据主体的权利和数据保护机构的权力等内容,适用范围涵盖了在葡萄牙进行的所有数据加工活动,不管数据控制者是私人还是公共性质的组织,也不管数据处理行为是否是为了遵守法律义务或者为了公共利益而进行。但该法在以下内容中对GDPR进行了细化和完善:


  • 数据保护官

数据控制者必须任命具有专业素质、具有数据保护法律和实践经验等方面专业知识的人来担任数据保护官,但无需进行专业认证。数据保护官具有技术自主权,行使该法规定的以下三个职能:确保组织能够进行审计工作,提高对早期检测安全事件重要性的认识,并确保与数据主体在数据保护方面保持联系。GDPR并没有规定这些职能。
  • 儿童保护

该法规定的可以对处理数据表示“同意”的年龄为13周岁,处理13周岁以下儿童的个人数据必须在其代理人通过安全认证的方式表示同意的情况下才是合法的。GDPR规定的原则上是16周岁。
  • 死者保护

该法中规定了特殊规定以保护死者:一是当数据属于特殊类别数据,或涉及私人生活的亲密关系,或属于与通信有关的图像或数据时,应当依据该法对数据进行保护;二是被死者或其继承人指定的人可以行使查阅权、纠正权和被遗忘权。
  • 数据可携权

葡萄牙立法者澄清这一权利仅适用于数据主体提供的数据,因此没有采用第29条工作组的立场,第29条工作组认为数据可携权也可能包括衍生数据。此外,它还阐明了只要有可能,数据的可移植性必须采取开放格式。
  • 视频监控

视频监控仅限于为了保护人员和资产需要时才能使用,这与国家信息保护委员会CNPD在视频监控方面的看法一致。该法规定摄像机不能瞄准公共道路、客户、用户或工作人员保留的区域内部,如浴室,候诊室和更衣室,也不能以捕获键盘的方式指向ATM机。
  • 保密义务
当该法对数据控制者或处理者施加可对抗数据主体的保密义务时,数据主体不得行使GDPR第13至15条规定的“信息和获取个人数据的权利”。
  • 数据留存期
数据留存期限是法律规定的,如果没有相关法律规定可以适用,则留存期限是为相应目的所必需的期限。如果在相应权利的有关时效尚未届满的情况下,有必要的话,数据控制者和处理者可以保留个人数据以证明合同义务或其他性质的义务。被遗忘权只能在保留期结束时行使。
该法规定,只要有足够的技术和组织措施来保证数据主体的权利,就可以永久保留与退休人员社会保障缴款方面有关的个人数据。但永久性保留数据并不符合GDPR的规定。
  • 言论自由

数据保护不妨碍言论、信息和新闻自由的行使,包括为新闻、文学、艺术或学术表达的目的处理数据。行使言论自由,在披露GDPR第9条规定的或与死者有关的个人数据时必须尊重《葡萄牙宪法》规定的个人尊严和人格权利原则。但言论自由的行使并不会使个人数据的披露合法化,例如披露地址和联系人,众所周知的数据除外。
在官方公报中公布数据必须符合最小化和目的限制原则。如果个人数据“名称”足以保证数据主体的可识别和数据处理的有效性,则不应再发布其他个人数据。在这种情况下被遗忘权具有特殊性质,是通过搜索引擎中的个人数据的去索引来实现的。
  • 劳动关系

除非另有法律规定,否则雇员的同意不构成处理其个人数据的合法性条件,但处理对雇员产生法律或经济利益或者处理是履行合同所必需的情况除外。
可以使用员工的生物识别数据进行访问控制或出勤控制。但仅应使用生物特征数据的表示形式,且在收集过程中数据是不可逆的。
  • 健康和遗传数据

访问这类数据必须遵循“需要知道”的原则。如要查阅数据主体的数据,必须通知他,并由数据控制者负责确保访问的可追溯性及通知的有效性。
  • 行政罚款

在确定罚款时,葡萄牙数据保护机构必须考虑以下因素:实体的经济状况,违规情况是否持续存在,违规情况的严重程度,雇员人数和所提供服务的性质。对于非常严重的违法行为,大公司可能会被处以5,000欧元至2000万欧元的罚款或全球年营业额的4%,以较高者为准。中小企业可能会被处以2000欧元至200万欧元的罚款,或全球年营业额的4%,以较高者为准。公共实体也可能会受到罚款,但他们可以在进行罚款后的三年内申请豁免。
根据犯罪情况,实体可能会被处以最高一年或两年的监禁或120至240天收入的刑事罚金,以适用者为准。除国家和集体人员行使公共权力特权外,全体成员和对等人员也应对这些罪行负责。
作者简介:刘耀华,中国信息通信研究院互联网法律研究中心研究员
本文来自CAICT互联网法律研究中心

楼主热帖
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

站长推荐上一条 /1 下一条

关于我们|小黑屋|Archiver|168大数据 ( 京ICP备14035423号|申请友情链接

GMT+8, 2024-3-29 15:37

Powered by BI168大数据社区

© 2012-2014 168大数据

快速回复 返回顶部 返回列表