• 意大利执行《通用数据保护条例》(二)
  • 发布时间:2018-10-15 00:18 | 作者:皇家国际 | 来源: | 浏览:1200 次
  • 意大利地图
    皇家国际消息:意大利2018年第101号《法令》(“《法令》”)于9月19日生效。在欧洲《通用数据保护条例》(“GDPR”)[1]生效后,意大利通过《法令》修订了《个人数据保护法》(2003年第196号立法,“《个人数据保护法》”)。《法令》的新版本将《通用数据保护条例》作为处理个人数据的主要法规,并规定必须尊重个人尊严和基本权利及自由。《法令》还对行政处罚和刑事处罚作出了重大改革,以方便解决未决处罚程序。

    行政处罚:《法令》规定,如违反如下条款,相关责任人将面临高达20,000,000.00欧元或(如为企业)该企业全球范围内年营收4%的巨额罚款,且以数额较大者为准:
     
    >有关未成年人个人数据处理必须取得其父母或监护人同意的规定;
    >有关所谓“垃圾信息”的规定;
    >有关公共网络服务商或为公众可获取的通讯服务处理的订阅人及用户通讯量的数据处理相关规定;
    >有关个人基因、生物及健康数据的保护;
    >特定类型数据处理的道德标准,包括涉及雇佣关系存续期间处理个人数据;
    >保险监管机构(IVASS)出台有关为预防、打击强制第三方保险领域欺诈行为而建立的索赔数据库的运作方式及规程的规定;
    >禁止为不涉及数据持有人所提供活动、产品或服务的营销、销售或开展市场调研或商业往来之目的向第三方传达、转让及传播登记在异议公众登记册的个人数据。
     
    刑事处罚:就刑事处罚而言,请注意虽然《法令》初稿意图通过彻底删除刑事处罚实现大规模去刑事化,但新《法令》仍涉及如下犯罪行为,其中原《个人数据保护法》对部分犯罪行为已有所规定,而此次更新的《个人数据保护法》另外规定了其他犯罪行为。
     
    但无论如何,《法令》明确将属于2001年第231号法项下规定的相关犯罪行为清单、有关个人数据保护的犯罪行为,即有关企业需为其员工的犯罪行为承担责任摈除在外,不纳入更新后的《个人数据保护法》。
     
    •非法处理个人数据:保留《个人数据保护法》第167条规定,但延伸了其适用范畴,不仅适用于谋利驱使的犯罪行为(此前规定),更新后措辞更改为还包括意图对他人造成损害而犯下的犯罪行为。
     
    该犯罪行为将面临6至18个月的刑期。但如果相关数据属特殊类别数据(依《通用数据保护条例》第9条规定)且涉及定罪及犯罪行为(依《通用数据保护条例》第10条规定),且系为自身或其他人士谋利而使用数据或数据的使用给其他相关人士造成损害,还将面临最高3年的刑期。
     
    《法令》规定了公诉人同数据保护执法部门之间的信息流动,即当公诉人得知根据《个人数据保护法》第167条规定发生违法行为后应不加延迟地通知数据保护执法部门,而数据保护执法部门以详尽报告的形式向公诉人提供其在调查过程中收集的文件。为防止处罚过度,如行政处罚同样适用该案件,应相应减轻该案件所适用的刑事处罚。
     
    大规模处理个人数据的违法交流及传播:《个人数据保护法》第167-bis条规定了一项新的犯罪行为,旨在处罚在意图给他人造成损害或为自身或他人谋利目的驱使下,违反特定法律要求而大规模传播数据的行为(例如,相关人士未就此给予同意)。该罪行将面临1至6年不等的刑期,但是如果同时适用行政处罚,所判处的刑期应减少。
     
    以欺诈手段获取大规模处理的个人数据:《个人数据保护法》第167-ter条进一步规定,如果任何人士以欺诈手段取得经大规模处理、包含个人数据的自动生成档案或其实质部分,以此谋利或给他人造成损害的,构成犯罪,将面临刑事处罚,该条规定同第167-bis条紧密相连,刑期为1至4年。
     
    向数据保护执法部门作出虚假陈述,阻挠数据保护执法部门执行任务或行使职权:原《个人数据保护法》第168条规定,向数据保护执法部门作出虚假声明或陈述将面临刑事处罚,刑期为6个月至3年不等,该条规定在更新后予以保留。此外,故意阻挠或干扰数据保护执法部门的监管举措或相关法律程序或数据保护执法部门调查工作的,将面临最高刑期为1年的刑事处罚。
     
    违反数据保护执法部门管理办法:保留原《个人数据保护法》第170条对相关罪行的刑事处罚,尽管有关人士提议拟废除该条规定。《法令》规定,此项罪行将面临3个月至2年监禁。
     
    违反关于远程监控以及调查员工意见的规定:《个人数据保护法》第171条保留了关于违反劳动法的相关规定。可能招致处罚的行为包括使用旨在监控员工行为的工具、未经内部劳资委员会或雇员代表机构事先同意也未经劳工监察局授权安装潜在的监控设备(1970年第300号法律(即劳工法)第4条)以及调查与员工职业技能评估无关的事实(1970年第300号法律第8条)。
     
    实施上述行为可能被处以154.00欧元至1,549.00欧元的罚款或者15日到1年的监禁,构成更加严重的违法情形除外。情节严重的,可能单处或并处罚款、监禁以及追究刑事责任。如果考虑到用人单位的经济状况,上述罚款基准金额对不足以有效处罚违法行为,法院可以将罚款金额增加至不超过基准金额的5倍。
     
    有利于被告原则:关于有利于被告原则,《个人数据保护法》第24条规定,对于发生于2018年9月19日之前的并且根据新法不再被认定为犯罪的行为,适用行政处罚代替刑事处罚,但前提是尚未作出最终、约束力的判决。在后一种情况下,鉴于法律不再将相关行为认定为犯罪,有可能通过执行法官撤销判决。
     
    方便诉讼程序结案:《法令》规定,截至于2018年5月25日尚未结案的处罚程序(相关程序并未因禁止令而判决),可以通过支付最低处罚金额五分之二的金额解决。为实现这一目的,当事人必须在2018年9月19日起的90日内付款。该期限届满后,如果当事人未提交答辩,《法令》规定当事人必须按照违法行为通知书或者先前投诉所列的处罚决定执行。
     
    为公众提供服务的电信服务运营商的义务:《法令》确认,电信行业运营商(例如电话或互联网服务供应商)有义务指定适当措施,保护交通及位置等个人数据,并确保实施数据安全政策。欧盟《通用数据保护条例》规定了同利益相关方沟通时的清晰原则,《法令》也遵照该条例明确规定向服务订购人以及(如可行)向用户提供的信息政策和网络安全违规风险通知((先前版本《个人数据保护法》已经将此作为一项强制义务)时,必须在考虑到相关人士的类别和年龄组别(并且相关人士是未成年人的情况下特别注意)的前提下采用清楚、适当和适合的语言。
     
    然而,欧盟《网络与信息安全指令》[2]规定的核心服务运营商向计算机安全事件应急小组(CSIRT)报告安全事件的义务,并不适用于电信服务运营商[3],除了其承担的特定行业的义务外。《网络与信息安全指令》以及为实施该欧盟指令而通过的2018年第65号《法令》认定的核心服务为银行、金融市场、能源、数字服务和基础设施、运输和医疗。
     
    关于其他运营商,第29条项下关于数据保护的工作组警告,安全事件也可能被认定为违反个人数据保护规定,因此除了《网络与信息安全指令》规定的报告外,还应当按照《通用数据保护条例》第32条向数据保护主管机关提交单独报告(所谓数据安全事故)。
    注释:
    1.欧洲议会和欧洲委员会2016年4月27日有关就处理个人信息保护自然人和保护该等数据自由移动的第2016/679 号条例(欧盟),以及废除第95/46/EC号指令(《通用数据保护条例》)。
     
    2.欧洲议会和理事会 2016年7月6日颁布的2016年第1148号指令关于欧盟内网络和信息安全通用措施的规定。该指令通过2018年第65号法令在意大利执行。
     
    3.根据《电子身份识别和信托服务指令》(eIDAS)(欧洲议会和理事会2014年7月23日关于内部市场电子交易的电子识别和信托服务欧盟2014年910指令,废除1999/93/EC号指令),此类豁免主体是公共通信网络的其他供应商以及信托服务供应商(例如电子签名服务的供应商)。
  • 相关内容
  • 2010-2013 皇家国际 版权所有 琼ICP备14001732号
  • 皇家国际24小时免费提供开户、汇款、取款等服务!