2026年葡萄牙RGPD速览
葡萄牙全面适用欧盟GDPR 2016/679(RGPD),并叠加了2019年8月8日发布的国内法第58/2019号法律(LPDP)。监管机构为总部位于里斯本的CNPD(国家数据保护委员会)。每一家葡萄牙电商运营商都必须运行合规的Cookie横幅、葡萄牙语隐私政策、处理活动记录(ROPA)、与每一处理者签订的第28条数据处理协议,并具备在30天内响应数据主体请求、在72小时内向CNPD通报数据泄露的运营能力。罚款最高可达2000万欧元或全球年营业额4%——自2018年以来,CNPD已开出多起数百万欧元级别的罚单。
2026年葡萄牙数据保护格局
三部法律文件与一个监管机构,共同管理着葡萄牙任何电子商务企业的个人数据处理。下方卡片集是速查表——请在阅读每个深度章节时随时参考。
RGPD —— 《数据保护通用条例》
欧盟第2016/679号条例 · 自2018年5月25日起生效 · 在包括葡萄牙在内的全部27个欧盟成员国直接适用
第58/2019号法律 —— 葡萄牙LPDP
国内实施法 · 2019年8月8日发布 · 增补了关于同意年龄、视频监控、新闻处理目的等的国内特定规则
CNPD —— 国家数据保护委员会
葡萄牙数据保护监管机构 · 成立于1994年 · 总部位于里斯本Av. D. Carlos I 134号 · 由议会选出的7名委员组成
欧盟GDPR生态体系 —— EDPB与DPF
EDPB负责协调各成员国数据保护机构 · 《欧美数据隐私框架》(2023年7月生效)重新开放对美传输
数据保护官(DPO/EPD)
大规模监控或特殊类别数据处理时强制任命 · 独立履职 · 联系方式须在CNPD登记簿及隐私政策中公开
跨境传输 —— SCC + DPF
标准合同条款(2021年新版欧盟SCC) · 获认证进口方可使用《欧美数据隐私框架》 · 强制要求传输影响评估(TIA)
准备好让您的葡萄牙店铺符合CNPD要求了吗?
Zunapro将RGPD合规内置于每一次葡萄牙市场平台集成中——同意横幅、处理活动记录、第28条数据处理协议、数据主体请求工作流以及72小时数据泄露应对手册。合规是基础设施,而非事后补救。
1. RGPD与第58/2019号法律 —— 葡萄牙的双层框架
RGPD:一部条例,27个国家
《数据保护通用条例》(RGPD)只是欧盟第2016/679号条例的葡萄牙语名称,该条例于2016年4月27日通过,自2018年5月25日起适用。作为一部欧盟条例(而非指令),RGPD在葡萄牙具有直接效力——其99条条款约束在葡萄牙设立的每一位控制者和处理者,同时也约束任何在欧盟境外、向葡萄牙境内人员提供商品或服务的控制者(第3(2)条域外适用条款)。
无论运营者是里斯本的个体经营者、波尔图的有限责任公司(Lda)、向葡萄牙供货的德国企业,还是面向葡萄牙消费者的美国Shopify商家,都须承担相同的义务。该条例奉行技术中立、以风险为导向的原则:高风险处理活动(画像分析、特殊类别数据、大规模监控)触发更严格的义务。
第58/2019号法律:葡萄牙本土层级
RGPD特意为成员国保留了超过50条“开放条款”。葡萄牙通过2019年8月8日发布的第58/2019号法律——即个人数据保护法(LPDP)——行使了这些选择权,该法在RGPD适用日期一年多后发布,取代了此前的第67/98号法律。LPDP在RGPD基础上增补了葡萄牙特有的规则:
- 同意年龄——13岁(LPDP第16条,低于RGPD默认的16岁)。13岁以下儿童须获得可核实的父母同意。
- 视频监控制度(LPDP第19-22条)——闭路电视标识、保留期限(默认30天)、公共场所须向CNPD报备。
- 新闻/学术/艺术处理(LPDP第24条)——在数据保护与言论自由之间取得平衡的有限豁免。
- 行政违法行为(LPDP第37-50条)——补充RGPD第83条罚款规定的葡萄牙特定程序规则。
电子通信法 —— Cookie层级
第三部法律文件完善了该框架:第41/2004号法律,即欧盟《隐私与电子通信指令》2002/58/EC的葡萄牙转化立法。第5(3)条是Cookie同意要求的法律来源——无论Cookie、像素追踪、指纹识别及本地存储技术是否处理个人数据,均须获得事先、自由给予、知情的同意。每个葡萄牙电商网站都需要Cookie横幅,这是出于电子隐私法(而非RGPD本身)的要求。
💡 阅读完整的葡萄牙市场平台集成指南
连接Amazon.es/.fr、Worten、Fnac、Continente和KuantoKusta,同时内置符合RGPD要求的同意采集与ROPA自动生成功能。
2. CNPD —— 葡萄牙数据保护监管机构
机构概况
国家数据保护委员会(CNPD)是葡萄牙的独立监管机构。该机构由1991年4月29日发布的第10/91号法律设立,是欧盟历史最悠久的数据保护机构之一,比1995年的《数据保护指令》早成立四年。CNPD在葡萄牙共和国议会的监督下运作,拥有完整的职能与决策独立性(RGPD第52条)。
CNPD由七名委员组成:一名由议会选举产生、任期五年且不可连任的主席,加上六名委员(两名由议会指派、两名由政府指派、两名由共同选定)。总部位于里斯本D. Carlos I大道134号,邮编1200-651。
CNPD的权力
根据RGPD第57-58条及第58/2019号法律补充规定:
- 调查权——索取信息、开展审计与检查、访问处理设施与记录
- 纠正权——警告、训诫、责令遵守数据主体请求、更正、删除、处理禁令、暂停跨境数据流动
- 行政罚款权——最高可处以2000万欧元或全球年营业额4%的罚款
- 授权与咨询权——批准约束性公司规则(BCR)、标准合同条款(SCC)、认证机制;向议会及政府提供咨询
如何联系CNPD
- 官方网站——
cnpd.pt(决定登记簿、投诉表格、数据泄露通知表格) - 常用邮箱——
[email protected] - 数据泄露通知——cnpd.pt网站上的专用在线表格
- 数据保护官登记——在线表格,须在任命后30天内提供联系方式
CNPD与其他欧盟数据保护机构的比较 —— 葡萄牙风格
CNPD的执法风格温和但技术上极为严谨。与西班牙的AEPD(诉讼倾向明显,每年作出数千项决定)或法国的CNIL(公开公布大额罚款)相比,CNPD作出的决定数量较少,但更专注于系统性违规,并通过EDPB一致性机制密切合作。葡萄牙电商通常通过三种途径引起CNPD关注:数据主体投诉、强制性数据泄露通知,以及由媒体或政治关注引发的审计。
🛡️ Zunapro自动同步CNPD要求
ROPA模板、数据泄露应对手册、数据主体请求工作流以及数据保护官联系名片——全部预先按照CNPD格式和面向葡萄牙消费者的葡语文案配置完成。
3. Cookie同意横幅 —— 每个葡萄牙网站的强制要求
法律依据
Cookie同意义务在葡萄牙有两项互补的法律依据:由第41/2004号法律转化实施的欧盟《隐私与电子通信指令》2002/58/EC第5(3)条,以及RGPD第7条关于同意的要求。二者共同的效果是:任何非用户明确请求服务所严格必需的Cookie、像素追踪、SDK、指纹识别脚本、本地存储对象或类似追踪技术,均须获得事先、自由给予、具体、知情且明确的选择加入同意。
何为“严格必要”
只有一小类因服务严格必需而豁免同意要求:会话Cookie(登录、购物车)、CSRF令牌、负载均衡Cookie、同意偏好Cookie本身、用户主动请求内容所需的多媒体播放器状态,以及用户自主选择的界面自定义(语言、深色模式)。除此之外——GA4、Meta像素、TikTok像素、Hotjar、Clarity、再营销、A/B测试Cookie、第三方CDN字体、嵌入式YouTube/Vimeo播放器、在用户互动前即加载的社交媒体按钮——在放置之前均须获得明确的选择加入同意。
合规横幅应具备的要素
CNPD《Cookie指引》(2019/494号,2022年更新)明确了以下最低要求:
- 第一层须提供“接受”、“拒绝”与“管理偏好”三个选项。拒绝选项须与接受选项同等醒目(相同颜色、大小、位置)。禁止使用诱导性设计中淡化字色的“拒绝”按钮(EDPB规定)。
- 第二层——按非必要类别提供细分开关,默认关闭。
- 禁止Cookie墙——拒绝时拒绝访问属于违法行为(EDPB第05/2020号指引)。
- 禁止“继续浏览即视为同意”——滚动或导航页面不构成同意。
- 撤回同意应与给予同意同样便捷——设置常驻悬浮按钮或页脚链接。
- 每6至12个月重新提示一次,并根据RGPD第7(1)条保留同意审计日志。
“拒绝”按钮陷阱:2024至2026年CNPD审计中最常见的问题,是不对称设计的横幅——醒目的绿色“全部接受”旁边配以字号小、灰色、带下划线文字的“拒绝”按钮。此类设计被视为未能获得有效同意,将使所有Cookie放置行为暴露于执法风险之下。使用Zunapro经CNPD验证的同意横幅 →
同意横幅分级 —— 应提供哪些类别
🍪 阅读完整的葡萄牙Cookie同意指南
CNPD《2019/494号指引》逐条解读、诱导性设计检查清单、GA4的同意模式v2配置,以及针对葡萄牙用户预先验证的Zunapro内置同意横幅。
4. 隐私政策 —— 强制要求且须持续更新
第13条的告知义务
RGPD第12、13和14条要求每一位控制者在收集数据时向数据主体提供详尽信息。对电商网站而言,这一时刻通常出现在每一次表单提交——注册、结账、订阅新闻通讯、联系表单、评价表单。实践中,这些信息通常汇总在一份文件中,即隐私政策(Política de Privacidade),须在每个页面上提供链接,并在每个数据收集点再次呈现。
最低强制内容
一份能够经受住2026年CNPD审计的隐私政策至少应包含:
- 控制者身份——法定名称、税务识别号(NIPC)、注册地址、联系邮箱
- 数据保护官联系方式(如已任命)——专用邮箱,例如
[email protected] - 处理目的——细化清单(订单履行、客户服务、营销、分析、反欺诈、会计)
- 每项目的对应的法律依据——RGPD第6(1)条(同意、合同、法定义务、重大利益、公共利益、正当利益)
- 援引第6(1)(f)条正当利益依据时须提供利益衡量测试
- 数据接收方——支付网关、物流承运商、市场平台、云托管服务商、电子邮件服务商
- 国际传输——目的地国家、机制(SCC/充分性认定/DPF)、保障措施链接
- 各类别的保留期限(发票10年,营销数据在同意有效期内保留,分析数据保留14个月)
- 数据主体权利——完整列举,包括向CNPD投诉的权利
- 提供数据的法定或合同性质及拒绝提供的后果
- 如涉及自动化决策与画像分析,须说明其逻辑及重要性
- 最后更新日期及版本历史
通俗葡萄牙语 —— RGPD第12条
RGPD第12(1)条要求隐私政策须以简明扼要、透明易懂、便于访问的清晰通俗语言撰写。CNPD多次批评那些面向葡萄牙消费者却仅提供英文版本的政策(第58/2019号法律第2条进一步强化了葡语要求)、未列明实际处理者而套用通用模板、将关键信息隐藏在长达上万字的法律术语中,或将隐私政策与使用条款混为一谈的做法。
分层告知 —— 最佳实践
CNPD支持EDPB提出的分层告知方式:顶部提供简要摘要(1至2段说明身份、目的及权利),随后在可折叠区域中提供完整细节;此外,为满足第13条要求,每个表单处应附有一份“信息告知单”(2至3句话的收集告知,链接至完整政策)。
📜 自动生成的葡萄牙语隐私政策
Zunapro根据您实际接入的市场平台、支付服务商和分析工具,自动生成经得起CNPD审查的葡萄牙语隐私政策——每当您接入新的处理者时自动更新。
5. 数据保护官任命 —— 何时以及如何任命
何时强制要求任命数据保护官?
RGPD第37条在三种情形下要求任命数据保护官(Encarregado de Proteção de Dados——EPD):(a) 公共机构(法院除外);(b) 核心活动为定期、系统性的大规模监控;(c) 核心活动为大规模处理特殊类别或犯罪数据。对葡萄牙电商而言,实践中最常触发的是情形(b)。EDPB指引(WP 243 rev.01,CNPD予以认可)明确“核心活动”不包括薪资发放等辅助职能;“大规模”须结合具体情境判断(数据主体数量、处理量、持续时间、地理范围)。
实践中的触发示例
以下是强烈建议或强制要求任命数据保护官的实际门槛:
- 拥有1万名以上CRM客户并进行行为细分
- 在Meta+谷歌广告+TikTok上开展实时再营销,并进行跨设备匹配
- 忠诚度计划跨渠道、跨时间追踪交易历史
- 市场平台运营商同时处理卖家与买家数据
- 健康、美容或药房电商处理可能构成第9条健康数据的信息
- 儿童用品商店为13岁以下用户运行父母同意流程
数据保护官的职责
RGPD第38-39条规定了数据保护官的任务与保护措施:
- 告知与建议控制者、处理者及员工履行其义务
- 监督合规情况,包括对RGPD、第58/2019号法律及内部政策的遵守,以及培训
- 在第35条触发时就数据保护影响评估(DPIA)提供建议
- 作为与监管机构对接的联络点,与CNPD合作
- 独立性——不得就其任务接受指示,也不得因履行职责而被解职(第38(3)条)
- 不得存在利益冲突——数据保护官不得同时担任首席执行官、首席营销官、IT总监或人力资源总监
内部数据保护官 vs 外部数据保护官 + CNPD登记
数据保护官可以是雇员,也可以是外部合同服务提供商。对葡萄牙中小企业而言,外部数据保护官即服务通常费用为每月350至1500欧元,视复杂程度而定。RGPD第37(7)条要求控制者公开数据保护官的联系方式,并通过其在线表格通知CNPD,任何变更须在30天内更新。未能通知属于程序性违规,最高可处以1000万欧元或营业额2%的罚款。
👤 面向葡萄牙卖家的数据保护官即服务
Zunapro与葡萄牙RGPD专家合作,提供起价每月350欧元的外部数据保护官服务——包含CNPD登记、数据保护影响评估支持、数据泄露应对手册及季度合规审计。
6. 数据主体权利 —— 运营服务水平协议(SLA)
葡萄牙数据主体的八项权利
RGPD第三章赋予每一位个人(无论是客户、潜在客户、供应商联系人还是员工)一整套可执行的权利:
- 知情权(第13-14条)——通过隐私政策及收集告知实现
- 访问权(第15条)——确认数据是否被处理,并获取数据副本及处理背景信息
- 更正权(第16条)——更正不准确或不完整的数据
- 删除权(第17条,“被遗忘权”)——在六种法定情形之一适用时予以删除
- 限制处理权(第18条)——在核实期间临时“冻结”数据
- 数据可携权(第20条)——以机器可读格式导出数据主体提供的数据
- 反对权(第21条)——针对直接营销为绝对权利;针对其他处理需进行利益衡量
- 不受纯自动化决策约束的权利(第22条)——包括具有法律或类似重大影响的画像分析
响应时限 —— RGPD第12(3)条
控制者须在30天内作出响应,因复杂性或请求量大可延长两个月——延期须在第一个月内说明原因并予以告知。对于跨多个市场平台运营着数千条记录的葡萄牙电商而言,此项服务水平协议在运营上颇具挑战性。大多数未能履约的情形,源于数据碎片化——分散在Shopify、亚马逊卖家平台、Worten市场平台、电子邮件及会计软件之中。像Zunapro这样的集中式客户数据记录,能将第15条响应时间从数天压缩至数分钟。
身份验证与拒绝
RGPD第12(6)条仅允许在存在合理怀疑时进行额外身份验证。常见做法:核实所留存的电子邮箱,或酌情要求提供经涂黑处理的身份证明文件。只有在请求明显毫无根据或过度时方可拒绝;控制者须证明这一点,或可选择收取合理费用。
删除权与法定保留义务的冲突
一种常见的运营张力是:客户依据第17条要求删除数据,但控制者须依据《增值税法典》第52条保留发票10年,并依据《商法典》第40条保留会计记录10年。RGPD第17(3)(b)条对此作出了解决——为履行法定义务而处理的数据不适用删除权。实践处理方式:将营销及行为数据匿名化,将发票/会计数据保留在访问受限的锁定档案中,并以书面形式告知客户哪些数据已删除、哪些已保留。
运营建议:建立一套能生成审计就绪记录的数据主体请求(DSR)工作流:接收时间戳、身份验证、搜索范围、导出的数据、已作出的删改处理、响应交付情况。CNPD在因投诉而触发的任何审计中都会要求提供这份记录轨迹。Zunapro的数据主体请求工作流 →
7. 个人数据泄露 —— 72小时通知窗口
何为数据泄露
RGPD第4(12)条将个人数据泄露定义为“导致所传输、存储或以其他方式处理的个人数据遭到意外或非法销毁、丢失、篡改、未经授权披露或访问的安全漏洞”。实践中三类泄露常常相互交叠:
- 保密性泄露——未经授权的披露或访问(数据泄漏、黑客窃取、邮件误发)
- 完整性泄露——数据遭未经授权的篡改(数据库被篡改、勒索软件加密)
- 可用性泄露——数据访问权限丧失(勒索软件锁定且无法恢复、服务器损毁)
向CNPD通报 —— 第33条
发生数据泄露时,控制者须在意识到该事件后72小时内通知CNPD,除非该泄露不太可能对自然人的权利和自由造成风险。通知须包含:
- 泄露的性质,并尽可能说明受影响数据主体及记录的类别与大致数量
- 数据保护官或其他联络点的姓名及联系方式
- 该泄露可能造成的后果
- 已采取或拟采取的应对及缓解不利影响的措施
若无法在72小时内提供完整信息,可先行提交部分通知,随后毫不迟延地补充其余信息。CNPD的在线数据泄露通知表格支持分批更新——初次提交可作为暂时性通报,随后在几天内补充详细更新。
向数据主体通报 —— 第34条
若泄露可能对权利和自由造成高风险,控制者还须毫不迟延地以清晰的葡萄牙语向受影响的数据主体通报该泄露,具体说明泄露情况、数据保护官联系方式、后果及缓解措施。第34(3)条规定了三种可豁免直接通知的情形:数据已加密且密钥未被泄露、后续措施已消除高风险,或通知需要付出不成比例的努力(此时须改为公开通报)。
内部泄露登记簿与2026年应对手册
RGPD第33(5)条要求记录所有个人数据泄露事件(即使是无需通知的低风险事件):意识到该事件的时间戳、发现来源、分类、范围、受影响主体的类别与数量、风险评估、通知决定及时间戳、补救措施、根本原因分析、经验教训总结。一份切实可行的72小时应对手册:
- 第0小时——发现——触发警报、立即分流、确定范围
- 第0-4小时——遏制——撤销凭据、隔离系统、保全取证证据
- 第4-24小时——风险评估——数据保护官主导分析,作出通知决定
- 第24-48小时——初步通报CNPD,通过cnpd.pt表格提交(可先提交暂时性通报)
- 第48-72小时——完整通报,并决定是否依据第34条通知数据主体
- 第3-7天——如需要,通知数据主体(电子邮件+公开声明)
- 第7天以后——总结经验教训、更新登记簿、跟进CNPD后续要求
计时从“意识到”开始,而非从“发生”开始。即使某次泄露发生在数周之前,但直到今天才被发现,72小时的计时窗口仍从发现之时起算。反之,仅仅怀疑“可能出了问题”尚不构成“意识到”——只有对泄露确已发生具备合理确定性时,计时才正式启动。Zunapro的数据泄露检测+72小时应对手册 →
8. 跨境数据传输 —— Schrems II判决后的标准合同条款
Schrems II判决的冲击
2020年7月16日,欧盟法院作出Schrems II判决(C-311/18),宣布此前约束着约5000个跨大西洋数据流动的《欧美隐私盾协议》框架无效。法院重申了标准合同条款(SCC)的有效性,但增加了一项关键条件:控制者须核实目的地国家的法律与实践能够提供与RGPD实质等效的保护;若不能,则须实施补充措施,否则应停止该传输。
2026年传输工具箱
RGPD第五章规定了五种可合法授权非欧洲经济区传输的机制:
- 第45条——充分性认定——目前包括:安道尔、阿根廷、加拿大(商业领域)、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、韩国、瑞士、英国、乌拉圭。冰岛、列支敦士登和挪威作为欧洲经济区成员国计入其中。
- 第46条——适当保障措施——标准合同条款、约束性公司规则、经批准的行为准则、认证机制。
- 第47条——约束性公司规则——适用于集团内部,须经主导数据保护机构及EDPB批准。
- 第49条——克减条款——明确同意(仅限偶发情形)、合同必要性、公共/重大利益。不适用于常规商业活动。
- 《欧美数据隐私框架》(DPF)——自2023年7月10日起生效,取代隐私盾协议。经自我认证的美国进口方(AWS、谷歌、微软、Meta、Salesforce、HubSpot、Mailchimp、Stripe、Shopify)获得第45条充分性认定的地位。
2021年新版欧盟SCC与传输影响评估
欧盟委员会的2021年SCC(实施决定2021/914)采用模块化设计,涵盖四种场景:控制者→控制者、控制者→处理者、处理者→处理者、处理者→控制者。旧版2010年SCC自2021年9月27日起对新合同废止,自2022年12月27日起对所有合同废止——2026年若仍在使用2010年版SCC,则属无效,须立即完成迁移。
根据Schrems II判决及EDPB第01/2020号建议,控制者须为每一次非充分性认定传输完成一份传输影响评估(TIA):绘制传输映射图、确定机制(SCC/BCR/DPF)、评估第三国政府数据获取法律(如美国的《外国情报监视法》第702条)、补充措施(欧盟持有密钥的静态加密、假名化)、得出是否实现实质等效保护的结论。CNPD并不要求预先提交TIA,但在涉及非欧洲经济区处理者的任何审计中都会要求提供。
2026年实用技术栈
- 云服务(AWS/GCP/Azure)——已获DPF认证+提供欧盟区域;优先选用欧盟区域,将DPF作为备用方案并存档
- 电子邮件(Mailchimp、SendGrid)——已获DPF认证;欧盟本地替代方案(如Brevo)通常更为可取
- 分析工具(GA4)——已获DPF认证+同意模式v2+IP匿名化
- 客户支持(Zendesk、Intercom)——提供DPF认证及可选的欧盟数据驻留附加服务
- 市场平台API(亚马逊SP-API)——面向欧洲卖家账户走欧盟路由
🌍 默认欧盟区域数据驻留
Zunapro将所有葡萄牙客户数据托管在欧盟区域(法兰克福+里斯本容灾),任何仅限美国的分处理者均提供已获DPF认证的备用方案。针对您的技术栈已预先完成TIA模板。
9. CNPD罚款 —— 最高2000万欧元或全球营业额4%
第83条分级处罚
RGPD第83条设定两级罚款,CNPD可在固定上限与营业额百分比中择高处罚:
| 级别 | 最高罚款 | 涵盖的违规行为 |
|---|---|---|
| 第一级(第83(4)条) | 1000万欧元或全球年营业额2% | 处理记录(第30条)、安全措施(第32条)、数据泄露通知(第33-34条)、数据保护官任命(第37-39条)、数据保护影响评估(第35-36条)、儿童同意(第8条)、认证、行为准则 |
| 第二级(第83(5)条) | 2000万欧元或全球年营业额4% | 合法依据(第5-6条)、同意条件(第7条)、特殊类别数据(第9条)、数据主体权利(第12-22条)、国际传输(第44-49条)、不遵守CNPD命令 |
| 第58/2019号法律 | 葡萄牙特有行政违法行为 | LPDP第37-50条针对葡萄牙特有事项增设了细化罚款(无标识的闭路电视、违反新闻豁免等) |
CNPD如何计算罚款
第83(2)条所列CNPD须考量的因素包括:违规的性质、严重程度及持续时间;是否出于故意或过失;缓解措施的努力程度;技术与组织措施;过往违规记录;与CNPD的配合程度;受影响数据的类别;违规行为是如何被发现的;是否遵守行为准则;因违规获得的经济利益或避免的损失。
CNPD的重大罚款记录
- 430万欧元 —— 国家统计局(INE,2021年)——在未采取第46条保障措施的情况下向美国分处理者传输人口普查数据;迄今葡萄牙最大的RGPD罚款案例
- 125万欧元 —— 巴雷罗医院(Hospital do Barreiro,2018年)——过度访问临床记录;医疗保健是CNPD的重点执法领域
- 40万欧元 —— 里斯本市政厅(Câmara Municipal de Lisboa,2021年)——披露示威活动组织者的个人数据
- 17万欧元 —— 桑坦德托塔银行(Banco Santander Totta,2021年)——对数据主体请求的响应不充分
- 多起因Cookie横幅问题、缺失数据保护官联系方式及未能及时通报泄露事件而对中小企业处以的1万至7.5万欧元罚款
不止于罚款 —— 民事责任
RGPD第82条赋予数据主体针对物质或非物质损害获得赔偿的权利。葡萄牙法院已开始就非物质损害(焦虑、失去控制感)判处每位受影响主体500至5000欧元的赔偿金——一旦乘以数千名受影响主体,民事责任可能远超行政罚款本身。媒体对CNPD决定的报道一贯持续且对声誉造成损害,尤其对面向消费者的品牌影响更大。
💼 网络安全与RGPD保险建议
目前大多数葡萄牙商业保险公司均提供专门的网络安全-RGPD保单,涵盖CNPD罚款(如可投保)、第82条项下的民事责任以及数据泄露应对成本。Zunapro发布经过审核的经纪商名单。
10. 2026年葡萄牙电商RGPD合规清单
将法规转化为实际运营,最有用的工具莫过于一份具体的清单。以下清单汇总了本指南涵盖的每一项可执行事项,并按执法风险排序。
治理与文档
- 若触发第37条要求,须任命数据保护官并向CNPD登记
- 维护一份涵盖每项目的、法律依据、类别、保留期限、接收方及传输情况的处理活动记录(第30条,ROPA)
- 针对高风险处理活动开展数据保护影响评估(第35条,DPIA)
- 与每一处理者(云服务、电子邮件、分析工具、市场平台、支付、承运商)签署第28条数据处理协议
- 为每一次非欧洲经济区传输记录传输影响评估(TIA)
- 维护内部数据泄露登记簿(第33(5)条)
面向用户的合规事项
- 发布涵盖第13/14条每一要素的葡萄牙语隐私政策,分层呈现并标注版本
- 部署符合CNPD要求的Cookie横幅——接受/拒绝对称呈现、非必要类别默认关闭且细分展示、可随时撤回
- 在每个表单处(注册、结账、订阅通讯、评价)展示收集告知
- 提供便捷的数据主体请求渠道——邮箱和/或网页表单,30天内响应
- 立即尊重直接营销的选择退出请求(第21(3)条为绝对权利)
技术与组织措施
- 落实第32条安全要求——静态及传输中加密、访问控制、管理面板多因素认证、漏洞扫描
- 按照设计默认落实数据最小化原则(第25条)
- 执行保留策略并实现自动删除
- 尽可能进行假名化或匿名化处理,尤其是分析数据
- 每年通过桌面推演测试72小时数据泄露应对手册
- 对处理个人数据的员工进行培训——至少每年一次复训
季度合规审计
开展结构化的季度审计,涵盖以下内容:ROPA是否与已接入的处理者保持一致;隐私政策版本是否与当前实际处理情况相符;Cookie横幅脚本清单是否与已声明的类别一致;数据主体请求日志(数量、响应时间、延误原因);数据泄露登记簿(事件、根本原因、补救措施);第28条数据处理协议清单;TIA清单;员工培训记录;数据保护官活动日志(建议、DPIA、与CNPD的互动)。
在一个平台上集中管理您的葡萄牙RGPD合规
Zunapro将每一项RGPD要求——同意横幅、ROPA、第28条数据处理协议、数据主体请求工作流、数据泄露应对手册、TIA模板及符合CNPD格式的数据保护官登记簿——与您的亚马逊、Worten、Fnac和Continente市场平台集成捆绑在一起。合规是基础设施,而非事后补救。
激活RGPD合规 →2026年葡萄牙RGPD常见问题
什么是RGPD,它与GDPR有何关系?
RGPD(Regulamento Geral de Proteção de Dados)只是欧盟《通用数据保护条例》2016/679(GDPR)的葡萄牙语名称。两者其实是同一部法规,仅语言标签不同。
在葡萄牙,RGPD由2019年8月8日发布的国内实施法第58/2019号法律(LPDP——个人数据保护法)加以补充,并由葡萄牙监管机构CNPD(国家数据保护委员会)负责执行。
CNPD是谁,拥有哪些权力?
CNPD(国家数据保护委员会)是葡萄牙的独立数据保护监管机构,由第10/91号法律设立——使其成为欧盟历史最悠久的数据保护机构之一。该机构由七名委员组成,在葡萄牙共和国议会监督下运作。
CNPD调查投诉、审计控制者和处理者、作出具有约束力的决定,并对严重违反RGPD的行为处以最高2000万欧元或全球年营业额4%的行政罚款。其总部位于里斯本D. Carlos I大道134号。
葡萄牙法律是否强制要求Cookie同意横幅?
是的。由第41/2004号法律转化实施的欧盟《隐私与电子通信指令》2002/58/EC第5(3)条要求,在放置任何非必要Cookie之前须获得选择加入的同意。CNPD《2019/494号指引》(2022年更新)详细规定了相关要求:接受/拒绝对称呈现、非必要类别默认关闭且细分展示、禁止Cookie墙、禁止“继续浏览即视为同意”。
只有严格必要的Cookie(会话、购物车、CSRF、语言偏好、同意存储本身)豁免同意要求。其余一切——谷歌分析、Meta像素、TikTok像素、再营销、嵌入式第三方内容——均须获得事先明确同意。
葡萄牙电子商务网站何时必须任命数据保护官?
RGPD第37条规定,在以下情形下必须任命数据保护官(Encarregado de Proteção de Dados——EPD):(a) 核心活动涉及对个人进行大规模系统性监控(行为追踪、画像分析、再营销);(b) 核心活动涉及大规模处理特殊类别数据(健康、生物识别、种族出身);或 (c) 控制者为公共机构。
运营再营销、程序化广告、忠诚度画像,或处理1万条以上客户记录的中大型葡萄牙电商运营商,通常满足此条件,须任命数据保护官并向CNPD登记联系方式。外部数据保护官即服务广泛可得,起价为每月350欧元。
葡萄牙消费者在RGPD下享有哪些权利?
RGPD第15-22条赋予数据主体八项权利:访问权、更正权、删除权(“被遗忘权”)、限制处理权、以机器可读格式获取数据的可携权、反对处理权(针对直接营销为绝对权利),以及不受具有法律效力的纯自动化决策约束的权利。
控制者须在30天内答复,复杂请求可延长60天。除非请求明显毫无根据或过度,否则答复应免费提供。拒绝须说明理由,且可向CNPD申诉。
什么是72小时数据泄露通知规则?
RGPD第33条要求控制者在意识到个人数据泄露事件后72小时内通知CNPD,除非该泄露不太可能对数据主体的权利和自由造成风险。CNPD在cnpd.pt网站提供在线数据泄露通知表格。
如果泄露可能造成高风险,第34条还要求毫不迟延地直接通知受影响的数据主体。未能在72小时内通知本身即构成可处罚的RGPD违规行为(最高1000万欧元或营业额2%)。计时从意识到泄露之时起算,而非从泄露发生之时起算。
Schrems II判决后葡萄牙如何处理跨境数据传输?
继欧盟法院Schrems II判决(C-311/18,2020年7月)之后,向欧洲经济区以外传输个人数据须依据RGPD第46条建立保障措施。葡萄牙电商的默认机制是2021年新版欧盟标准合同条款(实施决定2021/914)。
向美国的传输也可依赖《欧美数据隐私框架》(DPF,2023年7月生效),前提是进口方已获认证——AWS、谷歌、微软、Meta、Salesforce、HubSpot等均在其列。CNPD要求控制者为每一次非欧洲经济区传输记录一份传输影响评估(TIA)。
RGPD下CNPD的最高罚款是多少?
RGPD第83条设定两级罚款:程序性违规(记录、安全、数据泄露通知、数据保护官)最高罚款1000万欧元或全球年营业额2%;实质性违规(合法依据、同意、数据主体权利、国际传输)最高罚款2000万欧元或全球年营业额4%。适用固定上限与百分比中较高的一项。
CNPD已开出多项数百万欧元级别的罚单,包括2021年因未采取保障措施向美国传输数据而对国家统计局(INE)处以430万欧元罚款、对巴雷罗医院处以125万欧元罚款,以及一系列因Cookie横幅和数据主体请求处理问题而对中小企业开出的罚单。
我的葡萄牙电商网站是否需要书面隐私政策?
是的。RGPD第12、13和14条要求控制者向数据主体提供有关处理活动的全面信息——控制者及数据保护官身份、处理目的与法律依据、数据接收方、国际传输目的地国家、保留期限、数据主体权利(包括向CNPD投诉的权利)。
隐私政策须以清晰、通俗的葡萄牙语撰写(第58/2019号法律第2条进一步强化了语言要求),须与使用条款分开,在每个页面上易于访问(通常为页脚链接标准做法),并在接入新处理者或新增处理目的时及时更新。通用的复制粘贴模板通常无法通过CNPD审计。
根据RGPD,我需要保留客户数据多长时间?
RGPD要求数据最小化和存储限制(第5(1)(c)-(e)条)。葡萄牙电商的数据保留期限分层设定:发票数据保留10年(《增值税法典》第52条);会计记录保留10年(《商法典》第40条);营销同意在同意有效期内无限期保留,但须定期重新确认;网站分析数据通常保留14至26个月;闭路电视录像最长保留30天(CNPD第7680/2014号决议)。
每一类别都必须记录在处理活动记录(RGPD第30条)中,并在隐私政策中予以说明。第17条项下的删除权并不能凌驾于法定保留义务之上——就发票而言,应将其保留在锁定的档案中,而非直接删除。
2026年谷歌分析在葡萄牙是否合法?
合法,但须采取保障措施。Schrems II判决后,多个欧盟数据保护机构(奥地利、法国、意大利)裁定标准的GA3实施方式非法。如今,谷歌分析4(GA4)配合《欧美数据隐私框架》认证(自2023年7月生效)及IP匿名化,在葡萄牙提供了可辩护的合规地位——CNPD并未禁止GA4。
最佳实践:部署GA4时启用同意模式v2、开启IP匿名化、在非必要情况下关闭Google Signals,并记录传输影响评估。通过位于欧盟地区的GTM服务器端标记可进一步降低传输风险。Plausible和Matomo等仅限欧盟的替代方案则可完全规避此问题。
数据控制者和数据处理者有什么区别?
RGPD第4条:控制者(responsável pelo tratamento)决定处理的目的和方式——通常是电商企业本身。处理者(subcontratante)根据书面指示代表控制者处理数据——通常是云主机、电子邮件服务商、市场平台和支付网关等供应商。
RGPD第28条要求控制者与处理者就每项处理活动签订书面数据处理协议(DPA)。亚马逊等市场平台及主要SaaS供应商发布标准DPA;较小的葡萄牙供应商往往需要定制的葡萄牙语DPA。控制者和处理者双方若未能合规,均面临第83条罚款。
我能否用正当利益法律依据来代替同意?
视情况而定。RGPD第6(1)(f)条仅在完成书面记录的三步利益衡量测试后,方允许基于正当利益进行处理:(1) 该利益属于正当利益;(2) 处理确属必要;(3) 该利益未被数据主体的权利所超越。
该依据适用于反欺诈、内部行政管理、网络安全,以及部分B2B直接营销场景。但它不适用于Cookie/追踪器(电子隐私法优先适用)、特殊类别数据,也不适用于向已表示反对者进行营销。利益衡量测试须记录在ROPA中。
如果客户向CNPD投诉会发生什么?
CNPD会开立案件,联系控制者要求提交书面说明(通常在10至20个工作日内),可能要求提供文档(ROPA、隐私政策、数据主体请求日志、数据泄露登记簿、数据处理协议),并开展书面或现场调查。该程序最终可能以驳回、警告、纠正令或行政罚款告终。
配合调查并展示可证明的合规姿态,能大幅降低被罚款的可能性。Zunapro的RGPD控制台可按需生成CNPD可接受的葡萄牙语格式的全部标准文档。
一键让您的葡萄牙电商符合RGPD要求
符合CNPD要求的Cookie横幅 · 葡萄牙语隐私政策 · ROPA · 第28条数据处理协议 · 数据主体请求工作流 · 72小时数据泄露应对手册 · TIA模板 · 数据保护官联系名片。全部捆绑于Zunapro上的每一次葡萄牙市场平台集成中。无需法律科技演示,无需长期合同。
🛡️ 激活RGPD合规 →