大數據

舌尖上的地中海數據風味大餐——西班牙篇

西班牙的Tapas絕對是必吃清單里的NO.1。Tapas原意是小盤子,現指飯前開胃的小菜或是二頓正餐之間的點心,分為冷食和熱食,肉類,海鮮和蔬菜等,其特色在于分量少,種類多,一次可嘗到多種味道。Tapas不僅僅是一道美食,更多的是一種西班牙生活方式 – 盡情享受美食,不停尋找與發現生活中細致美麗的瞬間。

在學習了解西班牙個人數據保護中,我們發現,細致而美麗的特點也體現在立法中,從關心死亡者的數字繼承問題,到詳列羅列16種必須任命數據保護官任命情況,特殊情況下的數據保護問題幾乎可以詳細涵蓋我們實務中可能的用到的很多具體場景:商業運營中的數據,視頻監控問題,廣告中的OPT-out、內部投訴體系中的數據、統計目的和公共管理中的存檔中個人數據,與違規和行政制裁有關的個人數據,勞動者的個人數據保護……

讓我們一起看一下細致而美麗的西班牙個人數據保護大餐。

第一部分:西班牙個人數據保護的立法框架

西班牙是一個君主議會立憲制(Monarquía Parlamentaria)國家,也就是立法、行政、司法三權鼎立、相互制約。西班牙有國王(Rey),他是國家元首(Jefe de Estado),國家是由議會(Parlamento)、政府(Gobierno)和最高法院(Tribunal Supremo)共同管理的。

《西班牙憲法》第18條第4款規定的任務就是保護個人數據的基本權利,并指出“法律將限制信息技術的使用,以保障公民的名譽,個人和家庭隱私以及充分行使公民權利。”西班牙第一部有關個人數據保護的立法是1999年頒布的《西班牙個人數據保護基本法》(15/1999),該基本法是依據歐盟的《個人數據保護指令》制定的。按照歐盟的要求,歐盟成員國應當將《個人數據保護指引》引入到本國法律中,依照《個人數據保護指引》所確定的保護原則和標準制定本國的個人數據保護法律。

《西班牙個人數據保護基本法》對個人信息收集和處理過程中出現的有關個人權益的問題進行了規范,共分9個部分。第一部分闡述法規的目的和應用范圍,第二部分列明了數據保護的原則,第三部分處理了有關信息獲取、信息更正、信息刪除和相關程序等個人信息權益的問題,第四至七部分對一些重要的與隱私有關的文件的獲取、數據處理前的義務、國際數據交換和體現數據保護的行為規范等進行了規定,第八部分對處理個人信息過程中的保密方法進行了規定,第九部分對西班牙數據保護局的工作程序進行了規定。

在特定法律和行業中有關保護個人數據的適用法規包括2002年34/2002號《信息社會服務和電子商務法》和2014年電信總局第9/2014號法律。

大家非常熟悉的《歐盟通用數據保護條例(GDPR)》,即歐洲議會和理事會2016年4月27日第(EU)2016/679號條例,關于在處理個人數據以及自由移動這些數據以及廢除指令95/46 / EC自2018年5月25日生效后直接適用于西班牙,效力僅次于憲法,高于西班牙本國法律適用。

2018年12月6日,西班牙政府公報(BOE)公布了經參議院11月21日全體會議通過的《2018年12月5日第3/2018號法律,個人數據保護和數字權利保障組織法》(以下簡稱《西班牙數據保護法》)。該《西班牙數據保護法》包括以十個標題構成的九十七條,以及附加條款、臨時條款、廢除條款和最后條款。

1客體使西班牙法律體系適應GDPR并完成適用;保障公民的數字權利也是法律的目的。規定數據保護不適用于死者,但是補充專門條款(Article3)。
2數據保護原理數據準確性,保密義務,基于同意的數據處理,未成年人同意、基于法定義務,公共利益和行使公權力的數據處理,對特殊種類數據的分類進行補充,對刑事數據做出特別規定
3人的權利強調透明原則,規范了受影響者的知情權,并收集了所謂的“分層信息”。充分分析了GDPR中獲取,糾正,刪除,異議,限制治療權和攜帶權的權利的適用。
4特殊情況下數據的對待比如商業運營中的,視頻監控,廣告、內部投訴體系、統計目的,公共管理中的存檔中,與違規和行政制裁有關。
5如何負責GDPR建立了主動問責制,這需要事先負責人或負責人對可能產生個人數據處理風險的風險進行評估,以根據該評估采取適當的措施。因此,《西班牙數據保護法》分四章闡述,分別針對主動責任的一般措施,處理負責人的制度,數據保護代表以及自我監管和認證機制。
6國際數據傳輸適應GDPR,數據保護機構可以通過程序批準合同模型或有約束力的公司標準。
7數據保護機構對西班牙數據保護局的制度進行了規范,并反映了自治數據保護機構的存在以及控制機構之間的必要合作。
8可能違反數據保護法規的程序在處理任何程序之前,有必要確定該處理是否是跨境的,如果是,則應確定哪個數據保護機構應作為主體。程序啟動后,西班牙數據保護局就有可能根據行為準則的規定將索賠移交給數據保護代表或負責法外沖突解決的機構或實體。
9制裁GDPR建立了一種制裁或糾正措施體系。在此框架中,《西班牙數據保護法》著手描述典型行為,在確定嚴重程度時,要考慮到GDPR確定的區別,從而將非常嚴重,嚴重和輕微違規行為加以區分。
10數字權利保障西班牙《憲法》要求承認和保障公民數字權利的權利,對互聯網環境中可預測的權利和自由進行了規定。網絡中立性和普遍訪問權或獲得安全和數字教育的權利,以及遺忘權,可移植性和數字意志的權利。在工作場所使用數字設備的隱私權框架內對數字斷開連接權的承認以及對互聯網上未成年人的保護都占有重要的地位。最后,數字媒體中言論自由和信息澄清權的保障是顯著的。

第二部分:西班牙數據保護法特別規定

《西班牙數據保護法》在貫徹歐盟GDPR適用的同時,也有新增亮點值得關注。

關于死者的補充規定

雖然西班牙遵守GDPR明確死者不在數據保護的主體范圍,但做出了如下補充規定:

  • 由于家庭原因或實際原因與死者有聯系的人及其繼承人可以聯系負責處理該病的人或負責人,以請求獲取其個人數據,并在適當情況下要求更正或刪除。作為例外,在死者明確禁止或法律規定的情況下,前者不得訪問死者的數據,也不得要求對其進行糾正或刪除。所述禁止不得影響繼承人訪問死者財產數據的權利。
  • 死者明確為其指定的個人或機構也可以根據收到的指示要求訪問其個人數據,并在適當情況下要求更正或刪除。
  • 在未成年人死亡的情況下,這些權力也可以由其法定代表人行使,也可以由財政部行使職權,財政部可以依職權或應任何有關自然人或法人的要求行事。如果有殘疾人死亡,則除前款所述的權力外,還應由被指定行使支持職能的人員行使這些權力。

透明度和信息

《西班牙數據保護法》第11條采納西班牙數據保護局和前第29條數據保護工作組(Article 29 Data Protection Working Party)一直以來的建議——分層訪問信息(the layered approach to information),并將其規定為強制標準。

采用分層訪問信息的方式,第一層至少應當包含第11條要求的以下內容:

1. 數據控制者及其代表(如有)的身份信息。

2. 數據處理目的。

3. 可選擇行使數據保護權。

4. 非從數據所有者處直接獲取的數據信息的數據類型和來源。

未成年人

《西班牙數據保護法》規定十四周歲以下為未成年人,除了未成年人的基本保護要求外,在數字權利保障章節特別規定“互聯網上的未成年人保護”,要求采取措施保護未成年人及其在數字領域的互動信息,例如,發現社交網絡上傳播未成年人照片和個人信息,侵犯其基本權利,檢察院可以進行干預。

數據保護官員

除《歐盟通用數據保護條例》對此已經規范的內容之外,《西班牙數據保護法》明確列舉了16種必須設置數據保護官員的情況,數據保護官需要在西班牙數據保護局注冊。

  1. 專業協會及其總理事會。
  2. 提供教育權的法律規定的任何水平的教學中心,以及公立和私立大學。
  3. 在定期和系統地處理大規模個人數據時,根據其特定法律的規定運營網絡并提供電子通信服務的實體。
  4. 信息社會的服務提供商在開發服務用戶的大規模檔案時。
  5. 6月26日第10/2014號法律第1條所包含的實體,涉及信貸機構的組織,監督和償付能力。
  6. 金融信貸機構。
  7. 保險和再保險實體。
  8. 受證券市場法規管制的投資服務公司。
  9. 電能的分銷商和貿易商以及天然氣的分銷商和貿易商。
  10. 負責評估償付能力和信用的通用文件的實體,或負責管理和預防欺詐的通用文件的實體,包括那些負責防止洗錢和洗錢的法律所規定的文件的實體恐怖融資。
  11. 開展廣告和商業勘探活動的實體,包括商業和市場研究的實體,當它們根據受影響者的偏好進行治療時或進行隱含其簡介的活動時。
  12. 保健中心有法律義務維護患者的病歷。盡管法律上有義務維護患者的病歷,但醫療專業人員還是被排除在外,他們還是單獨開展活動。
  13. 以發布可能涉及個人的商業報告為目標之一的實體。
  14. 依照游戲規則通過電子,計算機,遠程信息處理和交互式渠道開展游戲活動的運營商。
  15. 私人保安公司。
  16. 體育聯合會在處理未成年人數據時。

 合法權益和公共利益

《西班牙數據保護法》明確規定的特定數據處理,默認其數據控制人處理數據的行為合法,或者是為公共利益目的處理數據。

第一種情況數據控制人處理數據行為合法,包括,信用信息系統,公司改制或者公司轉讓,以及個體經營者和自由職業者的詳細聯系信息等,但是僅限于經營領域內為提供具體服務目的而收集地址和聯系方式等信息。第二種情況涉及公共利益的情形包括,視頻監控,不接受廣告信息(advertising opt-outs)的決定記錄,以及檢舉。

 懲罰措施

《西班牙數據保護法》將侵犯數據保護行為具體分為三個基本等級:輕微、嚴重以及特別嚴重,采取《歐盟通用數據保護條例》規定的罰金額,即最低1千萬歐元或者全球年營業額2%,最高2千萬歐元或者全球年營業額4%。

 數字權利

除數據保護領域外,《西班牙數據保護法》第十章對關數字權利做出了一系列規定,例如互聯網的中立性(Internet neutrality),互聯網通用訪問(universal access),教育領域的推廣,以及將被遺忘權(the right to be forgotten)擴展至社交媒體領域等等。

 勞動者相關

《西班牙數據保護法》為勞動者提供充分保護,要求用人單位調整企業內部規范,增加以下內容:

1. 使用數字設備和計量訪問相應內容時,注意保護隱私。

2. 數字斷連,確保不占用非工作時間。

3. 更嚴格規范應用視頻監控和錄音的情形。

4. 使用地理定位系統應尊重勞動者的隱私權。

 數字繼承

除遺囑另有規定外,死者的繼承人、利益相關人和/或委托人可以訪問死者在社交網絡和數字平臺上的內容,并可以要求相應服務提供者使用、修改、終止和移除相關內容。

第三部分:西班牙數據保護局

西班牙數據保護局(AEPD)在歐洲數據保護委員會中代表西班牙王國數據保護當局的身份,是州級的獨立行政機構,它在行使其職能時完全獨立的公共機構。西班牙數據保護局有責任監督《西班牙數據保護法》和GDPR的實施,尤其是行使GDPR第57條規定的只能和該法規第58條規定的權力。同樣,西班牙數據保護局也負責履行其他法律或歐盟法律規則賦予它的職能和權力。

西班牙數據保護局設主席和一名副職,兩人都將由將由部長會議根據皇家法令任命,任期五年。

西班牙數據保護局將負責調查工作,執行預防性審計計劃,包括稅收和社會保障在內的公共管理部門和個人將被要求向西班牙數據保護局提供開展其研究活動所需的數據,報告,背景和證明文件。此外,西班牙數據保護局有責任并行使與國家在數據保護方面的外部行動有關的職能。

第四部分:西班牙數據執法案例

西班牙《國家報》2018年3月15日報道,西班牙數據保護局(AEPD)宣布,因Facebook和WhatsApp對個人用戶隱私保護不當,將對兩家公司分別施以30萬歐元的罰款。據該局調查,對于已經安裝了這些應用程序的用戶,對隱私政策保護不夠。另外,這些用戶必須在特定期限之前必須接受新條款才能繼續使用該服務。

根據歐盟數據保護委員會網站披露,2019年10月17日西班牙數據保護機構對Vueling公司處以3萬歐元的罰款,原因是Vueling公司在其網站上使用了cookie政策并不符合要求。在cookie的管理方面,Vueling公司僅表示:“您可以配置瀏覽器默認接受或拒絕所有cookie,或接收每個cookie的屏幕通知,然后決定是否在您的硬盤上實現它。”你也可以使用“不跟蹤”跟蹤cookie阻止工具。還需要指出的是,“您可以在任何時候撤銷Vueling對cookie的使用所給予的許可,并為此目的配置瀏覽器,您還可以調整瀏覽器設置以防止cookie網站或第三方的安裝。”該公司沒有提供管理系統或cookie配置面板,允許用戶以細粒度的方式刪除它們。為了方便進行這種選擇,公司必須配置面板啟用一種機制或按鈕來拒絕所有cookie,另一種機制或按鈕則啟用所有cookie或能夠以細粒度的方式這樣做,以便管理每個用戶的首選項。

我還沒有學會寫個人說明!

動畫:如何用廣度和深度優先搜索找到女朋友?

上一篇

WannaRen作者主動提供解密密鑰?網友笑稱:這屆黑客太慫了!

下一篇

你也可能喜歡

舌尖上的地中海數據風味大餐——西班牙篇

長按儲存圖像,分享給朋友

ITPUB 每周精要將以郵件的形式發放至您的郵箱


微信掃一掃

微信掃一掃
重庆时时后一8码方法 秒速快三的计划图 四川麻将胡牌公式图 30选5开奖奖结果 大庆五二麻将下载 湖北十一选五历史开奖结果查询结果 欢聚麻将上分微信 11选五5开奖一定牛 新25选7开奖结果查询 叮叮云南麻将 黑龙江快乐十分爱彩乐 双色球3d开奖结果 潘金莲的黄色片 天津体彩11选5 pc蛋蛋99 大庆五二麻将下载 北京pk10冠军预测