著名的欧盟法规 GDPR(《通用数据保护条例》General Data Protection Regulation)彻底 改变了企业处理个人数据的方式。数据保护已成为企业组织最紧迫的问题之一。数据保护涉 及个人在处理其个人数据方面的权利、数据安全以及数据控制者的责任。GDPR 是世界上 最全面的隐私和数据安全法,规定了所有收集欧盟个人数据的公司的义务,包括处理欧盟个 人数据的塞尔维亚公司。数字时代的数据保护带来了独特的挑战,使我国顺理成章地引入了确保数据安全的立法。受 到 GDPR 的启发,塞尔维亚于 2018 年颁布了《个人数据保护法》(the Law on Personal Data Protection),对个人数据的保护、数据被处理的个人的权利、个人数据的收集和处理 、数据控制者的义务、获得数据主体的同意、数据安全、数据向国外转移以及对违反个人数 据保护的处罚等内容进行了规定。
什么是 “个人数据”
根据《塞尔维亚个人数据保护法》,个人数据是指可直接或间接识别特定个人的任何信息。 例如,这些数据可能包括姓名、身份证号码、个人身份号码、住址、健康记录、身体或心理 特征描述、电子邮件地址、互联网活动历史(分享、喜欢、点击)、互联网搜索历史、计算 机或智能手机 IP 地址以及类似信息。如果设备或浏览器是个性化的,从网站下载的 cookies 也被视为个人数据。
谁是数据主体?
数据主体只能是自然人。这意味着,根据《塞尔维亚个人数据保护法》,任何形式的法人实 体都不享有数据保护。
数据控制者的责任
法律实体和个人都有权处理个人数据(如收集、记录、数据使用等),根据《塞尔维亚个人 数据保护法》,这些主体可以是数据控制者,也可以是数据处理者。“数据处理”一词通常并 不完全清楚。重要的是,仅仅访问数据就可视为对个人数据的处理。“处理”可能是指主动行 为,但也可能包括被动行为,如存储和保留数据。数据控制者是决定数据处理目的和方式的 自然人或公司,而数据处理者是代表数据控制者处理个人数据的自然人或法律实体。数据控 制者决定 “为何 ”和 “如何 ”收集和存储数据。另一方面,数据处理者对数据处理没有控制权 ,也不对数据处理的目的、方法和持续时间做出重要决定;他们完全按照数据控制者提供的 指示行事。数据控制者的责任包括实施适当的技术、组织和人事措施,以确保完全遵守《塞尔维亚个人 数据保护法》。数据控制者还有义务确保只处理必要的个人数据以实现处理目的,并确保数 据用于的目的已经获得个人同意。例如,在网上购物时,顾客往往需要提供自己的电子邮件地址,以便在平台上注册账户,这 就是提供电子邮件地址(个人数据)的目的。但这并不意味着卖方可以使用客户的电子邮件 地址向其发送优惠和促销信息,因为客户并没有为此目的提供 “个人数据”。在本例中,拥有 网站的公司是其客户数据的数据控制者。个人数据还可通过网站收集的 cookies 收集。对于每项处理活动,数据控制者必须透明公开 。
数据保护官
为确保与收集和处理个人数据相关的所有规定得到遵守,数据控制者和数据处理者可任命一 名数据保护官(DPO)。此人可以是数据控制者或数据处理者的员工,也可以是通过合同 (如自由职业协议)聘用的外部实体。通常情况下,一名律师会被任命为数据保护官。虽然 数据保护官不一定要有法律背景,但在理解程序、提供意见、准备呈件等类似方面的法律经 验无疑对有效履行《塞尔维亚个人数据保护法》规定的这一职责至关重要。
数据保护官还可能承担其他责任,但这些责任不应导致利益冲突。例如,数据保护官不能是 代表数据控制者确定个人数据处理目的和方式的数据控制者的雇员。
数据保护官负责就数据控制者或数据处理者是否充分保护数据的法律义务向其提供信息和意 见。此外,数据保护官还是与公共信息和个人数据保护专员合作的联络人。数据保护官的聘 用通常由数据控制者和数据处理者自行决定。不过,《塞尔维亚个人数据保护法》规定了必 须任命数据保护官的具体情况。
这些案例如下:
- 处理由公共机构进行,但法院在履行司法职责时进行的处理除外。
- 数据控制者或数据处理者的核心活动由处理业务组成,这些业务因其性质、范围或目的 ,需要对大量数据主体进行定期和系统的监控。例如,互联网服务提供商,其作为数据处理 者的主要核心活动往往涉及对大量个人进行定期和系统的监控。
- 数据控制者或数据处理者的核心活动包括大规模处理特殊类别的个人数据(揭示种族或 民族血统、政治观点、宗教或哲学信仰、工会会员身份、遗传数据、用于唯一识别个人身份 的生物特征数据、有关健康的数据、或有关个人性生活或性取向的数据)或与刑事定罪和违 法行为有关的个人数据。强制任命数据保护官的一个实际例子涉及私人药房,如果它们开展 的活动涉及通过电子处方签发处方,因为这涉及大规模处理个人数据。
处理个人数据的法律依据
《塞尔维亚个人数据保护法》规定了处理个人数据的法律依据,只有具有法律依据的处理才 被视为合法。为了确保合法的数据保护,处理必须基于以下法律依据之一:
- 数据主体的明确同意:数据处理基于个人的明确同意。
- 为履行合同或应数据主体要求而必须进行的处理:为履行协议规定的义务或数据当事人 要求的其他行动而必须进行的处理。例如,在履行雇佣合同时处理姓名和银行账户信息等个 人数据。
- 为履行数据控制者的法律义务所必需:为履行数据控制者的法律义务而必须进行处理。
- 保护数据当事人或其他个人的重要利益所必需:为保护重要利益而必须进行的处理,通 常是在危及生命的情况下,如预防和控制流行病。
- 为公共利益执行任务或行使赋予数据控制者的官方权力所必需:这适用于因养老金、医 疗、伤残保险或与反洗钱和反恐融资措施相关的银行义务等法律规定的法律义务而收集和处 理个人数据的情况。
- 为数据控制者或第三方追求的合法利益所必需,除非这些利益被数据主体的利益或基本 权利和自由所压倒,特别是如果数据主体是未成年人。这通常与通过有限的视频监控保护雇 主的财产和安全以及类似情况有关。
尽管上述数据处理的每项法律依据都值得特别关注,但考虑到同意是收集和处理个人数据最 不充分的依据,公司在这方面必须特别谨慎,因此本博客将重点讨论数据主体的同意作为合 法处理和数据保护的条件。
资料当事人的同意
数据主体的同意是处理个人数据的六种可能的法律依据之一。它代表了个人的意愿声明,通 过它,个人允许为特定目的处理其数据。数据主体的同意必须是自由、具体、知情和明确的 。在根据数据主体的同意处理个人数据时,数据控制者必须能够证明数据主体已同意处理其 个人数据,且该同意必须记录在案。
获得同意的形式多种多样。一个常见的例子是获得数据主体的同意,作为访问和使用某些网 站的条件。这通常是通过接受网站的 “隐私政策”来实现的,数据主体通过在表示接受网站隐 私政策的声明旁边的方框内打勾来表示同意。欧盟的做法规定,不应预先勾选方框,数据主 体必须自愿勾选方框,使同意成为主动和明确的行为。
同意作为处理个人数据的法律依据,不能转让给另一个数据控制者,也不能从另一个数据控 制者处获得。例如,在将整个业务从一个法律实体转移到另一个法律实体的情况下,同意不 能以这种方式转移。
当然,数据主体有权随时撤销其同意,而不会对其地位造成任何负面影响。撤销同意并不影 响撤销前根据同意进行的处理的合法性。撤销同意必须与给予同意一样简单,尤其是在通过 同意按钮在线给予同意的情况下。数据被处理的个人必须能够以同样简单的方式轻松撤销同 意。如果数据控制者处理数据没有其他法律依据,撤销同意必须导致删除个人数据,并停止 与撤销同意的个人数据有关的任何其他活动。
在不对数据主体的地位造成法律后果的情况下,不能修改或撤销的意愿声明不能被视为有效 的同意。这一点在雇主收集和处理雇员个人数据时尤为重要。在这种情况下,雇员同意的自 愿性值得怀疑,因为雇员不太可能因为潜在的影响而拒绝给予雇主同意。因此,数据主体( 雇员)的同意不应成为收集和处理雇员个人数据的依据。
数据主体的同意必须确保合同的执行不以非履行合同所必需的同意为条件,才能被视为自由 给予的同意。例如,如果签订或执行服务合同的条件是获得数据当事人同意为直接营销目的 进行数据处理,则这种同意不被视为自由给予的同意。
删除权(被遗忘权)
随着数据保护的发展和扩大,删除权(又称被遗忘权)在理论和实践中得到了广泛应用。删 除权 "是指个人要求数据控制者删除数据主体现有个人数据的权利,前提是这一要求有法律 允许的依据。
塞尔维亚《个人数据保护法》概述了删除权的以下法律依据:
- 提供个人数据的目的已不复存在。
- 数据主体已依法撤销同意,且没有其他处理个人数据的法律依据。
- 数据主体已根据数据保护法提出反对处理。
- 非法处理个人数据。
- 为履行数据控制者的法律义务,必须删除个人数据。
- 为使用互联网服务(如谷歌搜索、酒店预订等)而从年满 15 周岁的未成年人处收集 的数据。
然而,删除权并不是绝对的,它受到某些限制,其中之一就是行使表达和信息自由。例如, 在个人数据保护专员受理的一起案件中,一项关于删除权的请求被驳回。该请求要求删除某 新闻门户网站上的个人数据,该门户网站曾发表过一篇关于某公司董事的文章。删除这些数 据会妨碍行使表达和信息自由。新闻例外是《塞尔维亚个人数据保护法》规定的一项条款, 在某些情况下,新闻研究和媒体信息发布不受适用于其他数据控制者的某些个人数据保护义 务的约束。因此,如果有人想申请删除自己的数据或行使被遗忘权,建议咨询律师或数据保护专家,以 了解行使这项权利可能遇到的限制。
医学数据保护
众所周知,医学领域经常处理高度敏感的个人数据,因此医学数据保护和数据安全至关重要 。
最近,塞尔维亚共和国的一家医疗机构受到了个人数据保护专员的警告,因为该机构的任何 员工都可以查阅病人的医疗记录。必须指出的是,未经个人明确同意或没有其他法律依据而 获取个人数据构成非法处理个人数据。
此外,由于医疗机构作为数据控制者处理个人数据,因此有义务确保所有必要的条件(人员 、信息技术等),以便合法、安全地处理患者的个人数据。
审视本案中数据保护违规行为的性质,我们不禁要问,为什么医疗机构的这一行为是非法的 ?人们可能会问:患者向医疗机构提供个人资料的目的仅仅是为了让主治医生和相关工作人 员查阅自己的信息,还是希望医疗机构的所有员工都能查阅自己的个人(敏感)资料?
这只是非法处理医学个人数据的一种方式。为确保医学领域的数据保护,所有医疗机构都必 须采取适当的安全措施,并确保数据安全的条件。
公司——数据控制者应采取哪些步骤确保个人数据得到保护?
塞尔维亚《个人数据保护法》并未规定公司为确保合法收集和处理个人数据而应采取的确切 步骤。数据安全步骤源自法律规定的原则。合法、公平和透明是数据控制者必须遵守的基本 原则。这包括向数据被处理的个人提供有关收集和处理其个人数据的完整而清晰的信息,数 据控制者必须与这些个人保持公平的关系。公司应首先确定正在收集哪些个人数据,这些数据存储在哪里,哪些人可以访问这些数据 ——这一过程被称为数据映射。其次,数据管理应符合法律原则。这包括创建一份其数据正 在被处理的个人名单,明确处理数据的法律依据和目的,并向员工提供有关合法收集和处理 个人数据的教育。此外,公司还需要确定保护个人数据的强制性文件并创建这些文件。记录流程还包括保存数 据正在被处理的个人请求记录,以及向第三方传输数据和向境外输出数据的证据。
数据保护律师
对所有公司而言,数据保护无疑是一个较新且极具挑战性的领域,需要在律师的协助下履行 《塞尔维亚个人数据保护法》规定的所有义务。这包括制定有关个人数据处理的内部法案、 数据保护的强制性文件,以及避免因违反个人数据保护规定而受到处罚。无论您是想聘请律师担任公司的数据保护官,还是需要咨询和制定有效的内部数据安全程序 ,请随时通过电子邮件与Pekić律师事务所联系 [email protected]
Main photo: Photo by towfiqu-barbhuiya on unsplash