2018年12月6日,西班牙政府公报(BOE)公布了经参议院11月21日全体会议通过的《2018年12月5日第3/2018号法律,个人数据保护和数字权利保障组织法》(以下简称《西班牙数据保护法》)。

《欧盟通用数据保护条例(GDPR)》没有给欧盟成员国预留太多演习时间,因此西班牙新数据保护法大量引用欧盟条例的规定,但其中某些新增内容有必要在此进行讨论。

数据保护官员(Data Protection Officer

除《欧盟通用数据保护条例》对此已经规范的内容之外,《西班牙数据保护法》明确列举了16种必须设置数据保护官员的情况。

除其他企业外,受此条款影响的还包括,经营分析业务的广告宣传公司、提供网络游戏服务的运营商、保险公司学校、在证券市场开展业务的投资服务公司、金融机构以及部分能源公司

透明度和信息

《西班牙数据保护法》第11条采纳西班牙数据保护组织(Spain’s Data Protection Agency)和前第29条数据保护工作组一直以来建议的分层访问信息(the layered approach to information,并将其规定为强制标准。

采用分层访问信息的方式,第一层至少应当满足第11条以下要求:

  1. 数据控制者及其代表(如有)的身份信息。
  2. 数据处理目的。
  3. 提供可行使数据保护权的选项。
  4. 非从数据所有者处直接获取的数据信息的数据类型和来源。

未成年人

《西班牙数据保护法》规定十四周岁以下为未成年人,应当采取措施保护未成年人及其与数字领域的互动信息,例如,当发现社交网络上传播未成年人的照片和个人信息,侵犯其基本权利时,检察院可以进行干预。

合法权益和公共利益

《西班牙数据保护法》明确规定对于特定数据处理情形,默认其数据处理过程中的数据控制人的行为具备合法权益,或者该数据处理行为是为公共利益目的。

第一种情况包括信用信息系统,公司结构调整或者出售公司,以及个体经营者和自由职业者的详细联系信息等,但是仅限于经营领域内为提供具体服务目的而收集地址和联系方式信息。

《西班牙数据保护法》规定涉及公共利益的情形包括,视频监控,选择不接受广告信息的权利,以及检举

有关政治党派的争议

《西班牙数据保护法》通过最后一章对《选举法》作出修改,允许政治党派处理和使用通过网络和其他公共渠道获取的数据,同时规定散发选举广告宣传,包括通过电子方式等,不属于商业宣传。

从技术角度来看,此处的争议焦点在于将网站页面默认为公共来源,而直至今日互联网仍然不被视为公共来源。

惩罚措施

《西班牙数据保护法》将侵犯数据保护行为分类和细化为三个基本等级:(1)轻微;(2)严重;以及(3)特别严重,采取《欧盟通用数据保护条例》规定的惩罚力度,罚金额从最低1千万欧元或者全球年营业额2%,到最高2千万欧元或者全球年营业额4%。

 

《西班牙新数据保护法的九个基本问题(下)》(Nine basic issues concerning the new Data Protection Act (I))

 

作者:Ruth BenitoFernando Díaz

访问我们的网站:http://www.elzaburu.es/en