波兰公布个人数据保护法草案 旨在执行欧盟一般数据保护条例

字号:  | [关闭本页]
时间:2017-10-23 | 点击(387)

译自:2017年9月21日【波兰】iapp.org
编译:工业和信息化部国际经济技术合作中心 魏简康凯 黄婧

  上周,波兰国家立法中心公布了一揽子法律草案,其中包括《个人数据保护法》的修订草案。这一揽子草案将修改波兰的法律框架,使其符合欧盟的《一般数据保护条例》(General Data Protection Regulation,简称GDPR)。

数据保护法草案将提供更强大的数据保护

  数据保护法草案明确了数据保护机构(Data Protection Authority,简称DPA)进行审查可采取的手段。例如,数据保护机构可要求被审查方所提供的文件翻译成波兰语,且翻译费用由被审查方承担。此外,数据保护机构可访问对个人数据进行处理的设备、媒体和IT系统,还可要求被审查方复印或打印存储在上述媒体、设备或系统上的文件和信息。最后,数据保护机构的审核过程将是个案分析,这是出于务实的考虑。类似情形第二次出现的话,数据保护机构在大多情况下将维持之前做出的决定。这对数据保护机构而言是有利的,同时对于投诉而言也是有利的,因为纠纷将得到更快地处理。

  值得注意的是,该草案给数据保护机构增设了一项引人关注的权力。根据该草案的规定,数据保护机构应发布关于确保个人数据处理安全的技术和组织措施的建议。该建议将由数据保护机构在考虑具体活动的情形下提出,并定期更新。建议的项目应与利益相关方协商,其活动范围由该项目涵盖。这一规定可能为数据控制方、数据处理方和数据保护机构之间的合作开启一个新的篇章。

一揽子法律草案对波兰法律框架的影响

  本次一揽子法律草案将成为近年来波兰法律框架变化最大的一次,涵盖超过175页的法律文本和145页的修改理由。该草案目前正在征求公众意见,已通知近200家商业组织和协会,在30天内提交评论、意见和修改建议。

  此次修改涵盖了涉及个人数据处理相关关键部门的法律,包括数字、能源、基础设施、文化、金融(含银行和保险)、就业、体育和旅游、健康和司法。以下从企业角度出发,简要描述一些修法要点。

雇佣法——同意和生物统计数据

  从实际角度出发,至少有一些修改对企业来说是重要的。其中一项与雇佣法有关。在当前的法律框架下,有关应聘者和雇员数据的范围是不明确且有争议的。数据保护机构认为,除了雇佣法中列举的数据(如名字、姓氏、教育背景、地址)外,雇主不能处理其他数据,也不应要求应聘者提供任何其他数据。而一些从业人员认为,在已获得同意处理应聘者(或雇员)更多数据的情形下,这样的做法是毫无根据的。过去,在与监管机构发生争议的情况下,很难证明这种同意是应聘者自由作出且是有效的。

  在新的法律草案下,这一情况将会改变。根据草案的规定,只有在数据与雇佣关系相关且应聘者或雇员以书面或电子形式同意的前提下,雇主才能获得在雇佣法相关条款直接提及的数据之外的其他个人数据。同样地,雇主也能获得员工的生物统计数据,前提是这些数据与雇佣关系有关,且员工以书面或电子方式同意。这两项修改对于雇主来说应当是非常有利的,因为新规定允许雇主出于合理雇佣关系目的收集更多的数据。

银行法——贷款机构和自动化特征分析

  过去的几个月里在波兰一直讨论的一个热点是,银行和其他金融机构(如贷款机构和保险公司)是否可对其客户进行自动化特征分析(profiling);如果可以,那么在哪些情形下可以进行自动化特征分析,另外这种数据处理对现有和潜在客户进行会产生什么后果。一些从业人员认为,银行在进行自动化特征分析时应征得客户的同意,而另一些从业人员认为根据现行法律银行应对客户进行自动化特征分析。这些讨论似乎对执行欧盟《一般数据保护条例》的波兰法律草案产生了影响。已公布的草案参考了欧盟《一般数据保护条例》,将“自动化特征分析”的定义纳入了银行法。

  一般来说,根据已公布的草案,银行和贷款机构可能会对个人数据进行处理(包括个人数据的自动化特征分析),以评估信用级别和分析信用风险。这种数据处理也可用于统计目的,或者履行单个法规中明确规定的义务,但前提是这种统计和分析来源于非个人数据,且该结果不能作为对特定自然人作出决定的依据。此外,一般来说,为了预防犯罪目的可以进行这种数据处理。

酒店和休闲行业——健康数据和通知

  目前情况下,酒店运营商和所有者为处理客人的健康数据寻找法律依据可能是一个问题。这些数据涵盖了从烟瘾到严重残疾等情况。新法律草案澄清了这一问题,即授权提供酒店服务的企业作为数据控制方处理此类数据。此外,参考欧盟《一般数据保护条例》第14条规定,《一般数据保护条例》中一项与通知数据主体相关的要求是有限的。根据草案,在间接收集客人数据(即从第三方收集)的情况下,酒店应在酒店服务开始后通知数据主体(译者注:即酒店客人)。这对酒店行业是一项重要的变化,根据第14条第2(a)项,这些信息应在提供服务后一个月内提供给数据主体。

  目前的草案正在征求企业意见,在草案制定和生效之前我们应该等待进一步的评论意见。但可以确定的一点是,草案应在2018年5月之前生效,这样每个人都有时间为新的法律做好准备。

相关文章
2017/10/30欧盟将建立ICT产品和服务 网络安全认证机制
2017/10/30俄罗斯政府批准《2025年前发展民航工业产品出口战略》
2017/10/23五分之一的大型企业现已 聘任首席数字官
2017/10/19俄罗斯政府考虑延长购车优惠计划并支持航空产业发展
2017/10/19欧盟将建立投资审查框架
最新文章
2017/11/17“中国制造2025”国际合作论坛英国主宾国论坛在上海举行
2017/11/17“工业和信息化5G时代专题馆”亮相第十九届高交会
2017/11/16中国最大工业设计展览会下月1日在汉举办
2017/11/16三万平米工业设计大展免费参观注册已经开始
2017/11/10“中国制造2025”国际合作论坛智能制造专场论坛在沪举行