根据《一般数据保护条例》（条例（欧盟）2016/679（“GDPR”）第10条，处理与刑事定罪相关的个人数据概述了此类数据的处理受到额外限制。OneTrust DataGuide Research分析了成员国在法国、葡萄牙和意大利为就业目的处理与刑事犯罪相关的个人数据的要求，其中包括来自Abreu Advogados的Ricardo Henriques、来自Addleshaw Goddard LLP的Sarah Delon Bouquet和来自Panetta Studio Legale的Rocco Panetta的见解。第二部分侧重于捷克共和国、德国和西班牙的成员国要求。

关于为就业目的处理犯罪数据的一般立法

特别是，GDPR概述了与刑事定罪相关的个人数据的处理只能在官方机构的控制下进行，或在欧盟或成员国法律授权的情况下进行，为数据主体的权利和自由提供适当保障（《GDPR》第10条）。

因此，刑事个人数据的处理在司法管辖范围内有所不同，出于就业目的的处理需要具体的法律依据。

意大利

Rocco Panetta概述说，“在当前的意大利法律框架下，雇主不得再根据意大利数据保护局（“担保人”）的一般授权处理员工的司法数据，因为该授权缺乏任何规定效力。

[此外，]值得注意的是，根据第300/1970号法律第8条[《工人章程》]，在规定禁止雇主调查与评估候选人/雇员工作能力无关的雇员的政治、宗教或工会观点和事实时，不完全排除处理与刑事定罪和犯罪有关的数据的可能性，前提是确保尊重数据主体的权利和自由，特别是意大利宪法和欧洲数据保护立法原则。无论如何，工人/候选人有权因违反上述禁令而未能雇用或被解雇而向法院提出索赔”。

关于一般规定，帕内塔表示，“似乎有必要指出，根据《个人数据保护法》第2-8条，其中包含使国家立法适应《一般数据保护条例》（欧盟）（2016/679）['GDPR]['隐私法']处理与刑事定罪和犯罪有关的个人数据或相关安全措施的合法性，始终符合欧洲立法规定的一般条件，不在公共当局的控制下进行，取决于法律条款的授权，或在法律规定的情况下，法规的授权。在这方面，意大利立法者只考虑了主要规范来源（法律、法令、法令）和次要规范来源（由法律规定的条例）。

否则，当与刑事定罪和犯罪有关的个人数据的处理既不是在公共当局的控制下进行的，也不是法律或法规所允许的，只有在符合司法部一项法令规定的情况下，才能认为这是合法的，该法令确定了数据主体权利和自由的适当保障措施。

在这方面，应注意的是，担保人于2021 6月24日对意大利司法部根据《隐私法》第2-8条第（2）款通过的关于处理与刑事定罪和犯罪有关的个人数据的条例草案以及相关的适当保证（“条例草案”）发表了积极意见，同时建议进行一些修改。

该条例草案大大加强了对司法数据处理的保护，并规定了一套适用于所有处理操作的最低保障，包括根据其他法律规定在公共环境中进行的活动（例如，遵守GDPR规定的比例原则和数据最小化原则，验证数据源的可靠性，定期验证数据准确性，以及更新数据主体的司法地位）。”

葡萄牙

另一方面，在葡萄牙，为就业目的处理与刑事犯罪有关的个人数据受到不同的限制。

里卡多·亨里克（Ricardo Henriques）规定：“关于适用的国家法律，应考虑到必须在个案基础上评估就业背景下的犯罪数据处理。一般而言，国家法律仅在严格必要且相关的情况下才授权在此背景下处理犯罪数据，以评估员工/候选人在执行环境管理计划方面的能力法律（根据《葡萄牙劳动法》）具体规定的情况也是如此。此外，对于认为必要的处理，应逐个分析这些标准。

[此外，]国家法律进一步规定，在合法和合法的情况下，有关雇员或候选人的犯罪数据只能在雇佣关系中提供，前提是其内容仅限于2009年10月1日第12.037号法律[《刑事身份法》]规定的要素。”。

《刑事鉴定法》第3条指出，在下列情况下，可以进行鉴定：

文件被擦除或有伪造证据；

所提供的文件不足以充分查明被告；

被告有不同的身份证件，但信息相互矛盾；

根据主管司法当局的命令，刑事鉴定对警察调查至关重要，主管司法当局将依职权或通过警察当局、公共部或国防部的代表作出决定；

使用其他姓名或不同资格出现在警察记录中；和

由于所提交文件的保存状态或发布地点的时间距离，无法完全确定其基本特征。

法国

关于在法国处理与刑事犯罪有关的个人数据，Sarah Delon Bouquet规定：“法国法律中没有关于为雇用和就业目的获取和处理犯罪数据的一般立法。根据法国一般法律，民法和劳动法的若干条款的原则和组合（《民法》关于尊重个人隐私的第9条、《劳动法》第L.1221-6条等），求职者将不需要提供犯罪记录，除非这与拟议的工作有直接和必要的联系（例如，访问敏感财务信息或资金处理的特定职能）。某些集体劳动协议还规定，如果职位证明有正当理由，可提交犯罪记录。

[此外，]根据《劳动法》第46条，雇主未被列为能够处理与刑事定罪和犯罪有关的数据的人。根据《刑法典》第226-19（2）条和第131-38条，对保存或保存私人犯罪记录的潜在制裁是对个人判处5年监禁和30万欧元罚款，对法人处以150万欧元罚款。雇主不应处理（保存或保存）犯罪记录，仅表明已检查过，而不应提供任何进一步信息”。

对出于就业目的处理与刑事定罪有关的个人数据的特定行业限制

此外，与刑事犯罪有关的个人数据的处理虽然受到一般立法限制，但也将受到特定行业的限制，特别是在金融和医疗领域。

意大利

关于一般规定，帕内塔指出，“关于在雇佣关系中处理司法数据的问题，担保人在其对条例草案的意见中指出，数据主体的同意不能成为合法的法律依据。事实上，在雇主-雇员关系的背景下，考虑到雇员的弱势地位，[他们]的同意不能被视为自由给予。

然而，应注意的是，根据2022年2月15日意大利国务委员会第355号意见，该条例的内容可能会发生变化。

[此外，]还应考虑《隐私法》第2条第八款第（3）项的规定，其中规定，如果法律授权，或在法律有规定的情况下，允许处理与刑事定罪和犯罪有关的数据，或采取相关的安全措施，其中包括：

控制人或数据主体根据法律、法规和集体协议规定的条款，并根据GDPR第9（2）条b）款和第88条，履行与劳动法相关的义务和行使权利，或在雇主-雇员关系框架内行使权利；

履行法律或法规规定的为解决民商事纠纷而进行调解的义务；

根据法律或法规的规定（例如，根据第385/1993号法令[《银行业综合法》]），核实或确定无犯罪记录、个人资格和取消资格；

确定与人的生命有关的事故或事件的责任，或根据相关法律或法规规定的条款（如第209/2005号法令[《私人保险法》]规定的保险公司报告义务）打击欺诈或实际风险情况，以适当开展保险活动；以及

履行有关防止利用金融系统洗钱犯罪所得和资助恐怖主义的适用法律规定的义务。”

葡萄牙

同样，关于葡萄牙为就业目的处理与刑事定罪有关的个人数据的具体部门立法，Henriques指出，“在某些情况下，法律特别规定有必要在所从事的职业范围内查阅候选人或雇员的犯罪记录。特别是，以下活动部门的情况：涉及与未成年人经常接触的就业；专业协会（如医生、律师、牙医、兽医、针灸师等）；公共采购；私人保安；与金匠和银匠相关的职业；金融部门；以及某些活动的实践，如狩猎。

[在制裁方面，]不遵守法律以及雇主违反上述具体规定要求查阅犯罪记录，可能构成行政犯罪，可根据公司营业额和违法者的过错程度处以最高61200欧元的罚款”。

法国

同样地Delon Bouqet强调，“对犯罪数据的处理本身没有特定的行业限制。但是，某些行业（如保险/银行、安全/国防）允许对某些角色和职位的犯罪数据进行此类处理。有关部门涉及安全、防卫、游戏、投注和赌博，允许进入保护区或使用危险设备或产品，或与公共交通公司内人员或货物的安全或危险商品的运输直接相关。存在具体的法律，例如授权监控、安全和现金运输公司通过获取所谓的B2或B3犯罪记录摘录来检查其员工的犯罪记录。这类法律还将提及可保存犯罪记录的期限。这有时在行政调查期间处理。例如，从事私人保安活动的员工需要获得一张专业卡，在获得该卡的过程中，省长将要求提供B2犯罪记录摘录。

[更具体地说，]该数据将由申请人或雇员在线请求并获得（B3证书，提供中央记录中的定罪详情或表明存在定罪），或由省长应雇主要求或由某些当局根据行政调查获得。此外，在收集此类数据之前，申请人需要根据《全球数据保护条例》第13条了解背景调查情况”。

本文：