[免责声明:此备注仅供一般参考。]它不能取代法律意见或作为法律意见。本博客的发布者不承担任何基于本备注的作为或不作为的责任]
注意:本文旨在讨论实施GDPR的欧盟国家的国内法,以及数据保护当局发布的各种指南,以与各自国家的法律制度与GDPR相一致。
介绍
由于大量甚至一些知名组织滥用数据而侵犯隐私,制定《数据保护法/数据隐私法》势在必行。全球各地都感受到了这种需求。对隐私丢失和数据滥用的担忧导致了《通用数据保护条例》(“GDPR”)的颁布,该条例于2018年5月25日生效,似乎是管理在线隐私最严厉的法律之一。GDPR被认为是一个里程碑,是在数字时代加强个人权利的必要步骤。它旨在保护个人的个人信息,并限制机构使用其消费者的个人数据。该条例反映了在理解个人数据和控制者收集数据方面的范式转变。
GDPR提供了许多保护数据的方法,如在数据主体的情况下进行整改、删除等[1]担心数据被滥用。它直接影响所有欧盟成员国,涵盖所有欧盟“既定”实体和某些非欧盟“既定”实体。根据前者,如果一个实体通过其机构之一在欧盟运营,并正在处理欧盟数据主体的信息,无论该处理是否发生在欧盟,该实体都在GDPR的范围内。到目前为止,大约有28个国家通过了与GDPR一致的国家立法。
原则
GDPR提供了数据控制器和处理器必须遵守的严格的数据保护原则[2],同时处理个人资料。控制器[3]必须确保个人资料是:
- 公平、合法和透明地使用;
- 用于指定的、明确的目的;
- 用适当的、相关的、仅限于必要的方式使用;
- 准确,并在必要时保持最新;
- 保存的时间不超过必要的时间;而且
- 以确保适当安全的方式处理,包括防止非法或未经授权的处理、访问、丢失、破坏或损坏。
欧盟成员国的数据保护立法
奥地利
|
捷克共和国
|
卢森堡
|
| 联邦个人资料保护法 监督权力: 奥地利数据保护局 |
第110/2019号法令。有关处理个人资料的条例 监管部门: 个人资料保障办事处(uou) |
8月1日关于组织国家数据保护委员会和一般数据保护框架的法案 监督权力 国家数据保护委员会 |
比利时
|
克罗地亚
|
法国
|
| 自然人在处理个人资料方面的保护 监督权力:Gegevensbeschermingsautoriteit |
监督权力:克罗地亚数据保护个人机构 |
监督权力: 国家信息委员会(libertés_) |
德国
|
爱尔兰
|
丹麦
|
联邦资料保护法(Bundesdatenschutzgesetz - BDSG) 监督权力:联邦数据保护和信息自由专员 |
2018年数据保护法案 监督权力:数据保护委员会 |
监督权力:丹麦数据保护局(Datatilsynet) |
芬兰
|
意大利
|
荷兰
|
监督权力:芬兰资料保障申诉专员(Tietosuojavaltuutetun toimisto) |
第101/2018号法令 监督权力意大利数据保护局每个人都有自己的想法) |
荷兰GDPR实施法案(UitvoeringswetAlgemene Verordening gegevensbescherming) 监督权力:荷兰资料保护局(Autoriteit Persoonsgegevens) |
波兰
|
斯洛伐克
|
西班牙
|
监督权力:个人资料保障办公室主任 |
保护个人数据(2018年第18号法案) 监督权力:个人资料保障办公室 |
监管部门:西班牙数据保护局(机构Española de Protección de Datos) |
瑞典
|
瑞士
|
联合王国
|
| 数据保护法(2018:218) 监督权力:瑞典数据保护局 |
瑞士联邦数据保护法 监督权力:资讯专员办公室 |
监督权力:资讯专员办公室 |
罗马尼亚
|
葡萄牙
|
监督权力:国家个人数据处理监督管理局 |
监督权力:国家数据保护局(CNPD) |
| 联合王国(英国) | |
信息专员办公室(“ICO”)是负责实施《数据保护法》的机构,并提供进一步指导,以提高人们对《数据保护法》下的权利、角色和责任的认识。ICO发布的一些重要指导方针如下:《2018年数据保护法》是GDPR的实施,于2018年5月25日生效。该法案使数据保护法律适应数字时代,在这个时代,处理的数据数量不断增加。它还授权人们控制他们的数据,并通过变化支持英国的企业和组织。
- 指导合同该指南讨论了控制者和处理者之间的合同和责任。它在合同中提供了可以包含在控制器和处理器之间的合同中的条款。它还有助于处理者了解他们在GDPR下的新责任和责任。
- 关于控制器和处理器的指导:该指南提供了一个现成的计算者清单,帮助控制器、处理器和联合控制器轻松确定其角色。此外,本文还概述了在使用处理器时控制器的一些职责。除了对控制者的合同义务外,处理程序还根据GDPR负有一些直接责任,并使处理程序在未能履行合同中提到的任何义务的情况下承担责任。
- 加密: ICO已更新其GDPR指引,就如何合规使用加密技术保护个人资料提供建议。本指南有助于理解加密作为一种适当的技术措施的重要性,以保护组织所持有的个人数据,无论是控制者还是处理者。在实现加密时需要考虑以下事项:
- 选择正确的算法;
- 正确的键大小;
- 正确的软件;而且
- 保管好钥匙。
- 密码: ICO已更新密码使用指引,以保护资料。该指引讨论了密码的使用和选择密码时所需的安全级别。它建议使用合适的哈希算法或其他机制提供类似的保护。
- 豁免: 2018年《GDPR和数据保护法》(“DPA”)规定了一些权利和义务的某些豁免。是否实行豁免取决于具体情况,但不能照例执行。DPA中的豁免免除了一个人在该法案下的一些义务,例如:
- 知情权:知情权;
- 接触权:接触权;
- 处理其他个人权利的;
- 报告个人资料泄露;而且
- 遵守原则。
- 国际转账:本指南澄清了关于
- 个人资料的转移被认为是“受限制的转移”;而且
- 在这种情况下,可以部署哪些机制来传输个人数据。
- 个人数据泄露:《指引》概述了GDPR下的违规通知要求,包括通知中需要包含哪些信息,以及何时要求组织通知监管当局和受影响的人。
| 比利时 |
2018年9月5日,《2018年7月30日关于处理个人数据的自然人保护法》(《法案》)生效,并废除了1992年12月8日关于管理比利时处理个人数据的隐私保护法。该法案适用于从比利时领土上的控制者或处理者处理与机构活动有关的个人数据,无论是否在比利时领土上进行处理。该法案大大扩大了与刑事犯罪和定罪有关的数据处理范围。它决定,为实现其法定目标而必须处理敏感数据的协会和基金会可以对此类数据的处理做出例外处理。
资料保护局(Gegevensbeschermingsautoriteit)是监察机构,负责监察国家对个人资料的保护及使用情况。
| 克罗地亚 |
《一般数据保护条例实施法》(“法案”)规定了GDPR在个人数据处理方面对个人的保护和这类数据的自由流动方面的实施。该法案不适用于主管当局为预防、调查、发现或起诉刑事犯罪或执行刑事制裁而进行的个人数据处理,包括防止公共安全威胁及其预防,以及在国家安全和国防领域。
根据该法案,允许处理员工的生物特征数据,以记录工作时间和控制进入员工同意的场所。该法案还限制通过视频监控系统处理雇员的个人数据,并规定只有在符合有关职业安全的条例规定的条件,以及在采取这种措施之前充分告知雇员的情况下,才能进行这种处理。
克罗地亚数据保护个人机构负责执行与个人数据保护有关的行政和专业任务。
| 丹麦 |
丹麦议会已经通过了《丹麦数据保护法》。该法案在个人数据处理方面保护个人和自由交换这类数据方面补充并实施了GDPR。该法律和GDPR适用于全部或部分通过自动数据处理进行的个人数据的所有处理,以及适用于已或将包含在登记册内的个人数据的其他非自动处理。根据该法案,如果数据主体同意或处理个人数据是为某些目的所必需的,则允许在雇佣环境中处理个人数据。
丹麦数据保护局(Datatilsynet)对本法所适用的数据的处理进行监督。该机构主要根据公共当局或私人的询问处理具体案件,或根据该机构自己主动处理的案件。
| 法国 |
关于个人数据保护的2018年6月20日第2018-493号法律于2018年6月20日颁布,并于2018年6月21日在官方刊物上发表。
该法旨在适应1978年1月6日关于信息技术、数据文件和自由的第78-17号法律(“法国数据保护法”),此前于2018年5月25日生效的《GDPR》和关于保护自然人的指令2016/680,涉及主管当局为预防、调查、侦查或起诉刑事犯罪,或执行应纳入国内法的刑事处罚。
法国国家数据保护委员会(CNIL)负责向个人通报《法国数据保护法》赋予他们的权利。以下是CNIL为促进《数据保护法》而发布的一些指导意见:
- CNIL关于向数据经纪人收集和传输数据的指南:许多公司直接从个人收集数据,无论是在网上还是在纸质表格上,把这些信息传递给“商业合作伙伴”,或更普遍地传递给其他组织,以便他们通过短信或电子邮件发送勘探信息。这种传输必须符合一系列的条件,包括RGPD提出的条件,以便有效,并允许人们保持对其个人数据的控制。
- DPO认证标准:为了确定数据保护主任(DPO)的技能和专门知识,CNIL采用两种标准对DPO进行认证。
- 一个认证参考系统,设定申请的受理条件,以及预计将被认证为DPO的17项技能和专门知识清单;
- 一个认可框架,列出了适用于希望获得CNIL授权,根据CNIL制定的认证框架认证DPO能力的组织的标准。
- 2018年10月11日2018-326号审议。: CNIL通过了GDPR中关于数据保护影响评估(DIPs)的指导方针。
- 指南描述了GDPR第35(3)条规定的三个需要dppa的处理操作示例。该准则还列出了第29条工作组确定的九条标准,如果处理不符合GDPR提供的三个示例中的一个,则这些标准有助于确定处理操作是否需要dppa;
- 《准则》规定,必须在实施对有关自然人的权利和自由构成高风险的治疗之前进行AIPD;必须定期审查,无论如何每三年一次,以确保风险水平保持在可接受的水平;
- 该指南明确规定,数据控制者可以依赖CNIL的行业标准,遵守标准将允许考虑在处理过程中不存在高剩余风险。在解雇的情况下,将有必要引导相关控制者,至少质疑剩余风险的水平,可能需要强制性咨询董事会。
| 芬兰 |
2018年11月13日,芬兰议会批准了数据保护法案——“HE 9/2018 vp”(“法案”)。该法案补充了GDPR,并废除了旧的芬兰个人数据法案(Henkilotietolaki523/1999)。
芬兰数据保护申诉专员(Tietosuojavaltuutetun toimisto)仍然是GDPR下的国家数据保护机构,负责监督芬兰的数据保护。然而,在电子隐私问题上,芬兰通信监管局继续作为监管机构。新立法还在数据保护监察员办公室引入了一个内部咨询委员会。委员会获授权应保障资料申诉专员的要求,就保障资料法例发出谘询声明。
| 德国 |
联邦资料保护法(Bundesdatenschutzgesetz - BDSG)于2018年5月25日生效。该法案适用于完全或部分通过自动化手段处理个人数据,以及不通过自动化手段处理构成归档系统一部分或旨在构成归档系统一部分的个人数据,除非此类处理是由自然人在纯个人或家庭活动中进行的。
联邦数据保护和信息自由专员是负责监督数据保护活动的当局。的一些指导的市建局公布的资料,讨论如下:
- 关于应用程序开发者和应用程序提供商的隐私要求的指导:定向援助针对的是移动应用程序(app)的开发人员和提供者。它揭示了数据保护和技术要求,并通过醒目的例子使其易于理解。
- 加密方法:基于在实践中无法实现绝对数据安全的认识,数据保护法律确立了“充分性”和“必要性”原则。这意味着必须视乎保护有关个人资料的需要而采取适当的保安措施。目前关于使用加密程序的指南是由联邦数据保护官员会议的技术和组织数据保护问题工作组制定的。
| 爱尔兰 |
《2018年数据保护法案》于2018年5月24日签署成为法律,与GDPR同时生效。该法案实施了GDPR允许的减损,代表着对监管和执行框架的重大改革。
数据保护委员会是负责维护欧盟个人数据保护基本权利的国家独立机构。DPC是GDPR的爱尔兰监管机构,拥有与其他重要监管框架相关的职能和权力,包括爱尔兰隐私法规(2011)和欧盟指令。委员会最近发布了组织在GDPR下执行的某些责任。
- 根据《一般保障资料规例》,机构的责任:本局提供资料,说明机构在数据保护法例及一般数据保护规例下的义务,包括对服务用户的透明度,以及如何回应正在行使其数据保护权利的个人。提供以下方面的更详细资料:
- 您在数据保护方面的义务;
- 如何回应个人行使其权利;
- 在你的机构或业务泄露个人资料的情况下,如何向资料保护委员会作出通知。
| 意大利 |
意大利通过了第101/2018号法令,于2018年9月4日生效,该法令涉及将国家立法改编为GDPR关于个人数据处理保护个人的规定,以及此类数据自由流动的规则。
该法令将提供信息社会服务的少数群体门槛定为14年。对于这个年龄以下的儿童,处理他们的数据仍然需要父母的同意。该法令规定了合法处理遗传数据、生物特征数据或与健康有关的数据的具体条件。意大利监管局的任务是至少每两年进行一次。根据该法令,有关死者主体权利的现行做法基本没有改变。这些权利可由拥有适当利益的人行使,或由采取行动保护数据主体或相关家庭利益的人行使。
的意大利数据保护局(Garante每个人都有自己的想法)是根据《私隐法》设立的独立行政机关。它是负责监测《一般数据保护条例》和国家立法实施情况的监督机构。
行为准则:
为商业资讯目的处理个人资料的道德及行为守则:本行为守则规定了处理个人数据所需的充分保障措施和安排,以保护为追求商业信息目的而必须到位的数据主体的权利;这一方面是为了确保业务关系的确定性和透明度,以及充分的知识和商业和经济信息的流通,另一方面是确保处理过的个人数据的质量、相关性、准确性和专题性。
| 荷兰 |
荷兰《GDPR实施法案》(UitvoeringswetAlgemene Verordening gegevensbescherming)(“UAVG”)自2018年5月25日起在荷兰适用。
荷兰资料保护局[Autoriteit Persoonsgegevens(“AP”)]是经法律委任为监管个人资料处理活动的独立行政机构。以下是美联社的部分出版物:
- 美联社对处理登记的建议: 2018年11月28日,荷兰个人数据保护管理局(AP)提供了5项具体建议,组织在维护其处理登记册时应考虑。
- 组织必须说明处理个人数据的期限和目的。根据欧洲隐私立法,个人数据的存储时间不允许超过收集目的所需的时间。组织还必须能够明确提到他们收集这些数据的目的。
- 控制器的详细联系信息必须包含在寄存器中。
- 组织应提供一份组织良好的文件,记录与个人资料有关的所有处理活动,从而使用户能够轻松浏览。
- 存放个人资料的地点或地点必须在登记册内清楚列明。当人们提交访问或删除请求时,这些信息是相关的。
- 组织必须指定每个处理活动的目标。仅仅列举处理活动,从部门的角度,结合处理的各种目的的总结是不够的
- 政策规则优先处理投诉调查当局个人资料:荷兰数据保护局公布了关于投诉调查优先次序的政策规则。根据GDPR,如果数据主体的权利受到GDPR规定的侵犯,每个数据主体都有权向荷兰数据保护局提出投诉。根据GDPR,荷兰数据保护局(Dutch Data Protection Authority)原则上必须调查并回应每份投诉。荷兰数据保护局可自由评估投诉的调查强度。
| 波兰 |
《个人数据保护法》于2018年5月25日生效,以帮助波兰实施《GDPR》。
个人数据保护办公室的总统是波兰领土上保护个人数据的主管机构,由2018年5月10日关于个人数据保护的法案设立。市建局通过或公布的部分指引现讨论如下:
- 关于根据第42和43条进行认证和确定认证标准的指南1/2018:波兰已通过了欧盟关于认证的准则。《准则》探讨了核证作为问责工具的理由;还解释了第42条和43条中认证规定的关键概念,以及可以认证的范围和目的。
- 保障工作地点的个人资料:《指引》指明如何在招聘期间及整个聘用期间处理个人资料。它并不局限于基于雇佣关系的雇佣。它也处理其他越来越流行的雇佣形式,如民法合同。
- 数据控制器的提示-如何应用GDPR:个人资料保障办事处为数据管制员准备了10条建议,以帮助他们在日常生活中应用GDPR规则,例如:
- 建立收集及使用个人资料的适当基础;
- 遵守新规则规定的信息义务;
- 以透明的方式沟通;
- 永远尊重人民的权利;
- 记住,同意可以在任何时候撤回;
- 资料泄露应向个人资料保障办事处总统报告,并在必要时向资料被侵犯的人士报告;
- 不要创建不必要的文档;
- 你有权进行侧写,但要记住有限制;
- 投资一个专业的DPO;
- 小心作弊者。
| 斯洛伐克 |
《个人数据保护》(2018年第18号法案)规定了保护自然人的权利,防止其私人数据受到非法干涉。该法案规定了与个人数据处理有关的权利、义务和责任,以及斯洛伐克共和国个人数据保护办公室的设立、权力范围和组织。
个人数据保护办公室是负责实施该法案的监督机构。以下是房委会公布的部分指引:
- 方法论的指导。2/2018:斯洛伐克共和国个人资料保护办公室发布了关于处理合法性的准则。合法性原则还表达了对公平和合法处理的要求,必须符合欧盟的法律、成员国的法律和良好的道德,以便不侵犯有关人员的基本权利和自由。
- 方法论的指导。3/2018斯洛伐克共和国个人资料保护办事处从个人资料保护的角度发出关于电子商店经营者的义务的准则。双方义务如下:
- 为了允许运营商合法处理客户的个人数据,它必须有适当的法律基础;
- 客户有权知悉处理的条款、如何处理有关人士行使权利的申请等;
- 营办商只应为特定的、明确说明的和合法的目的处理所获得的数据,此外,不得以与该等目的不相符的方式处理数据;
- 营办商应只处理为达到特定处理目的所必需的个人资料;
- 经营者必须处理正确和最新的个人资料;
- 经营者必须只在达到处理目的所需的时间内保存个人资料;
- 营办商必须保证处理后的个人资料有足够的安全性;而且
- 操作员必须能够显示出符合前一种处理的原则。
| 西班牙 |
12月5日颁布的《组织法3/2018》保障了公民和员工的数字权利,超出了GDPR。该法对数据主体的权利作了一些规定。新规则承认每个人都有一系列“数字权利”(或互联网背景下的权利),首先是网络中立权(或被授予互联网访问权而不因技术和/或经济原因受到歧视的权利),最后是数字遗嘱权。
西班牙数据保护局(机构Española de Protección de Datos)(环保署)是负责监察有关保障个人资料的法例条文的遵守情况的公法当局,并享有绝对独立于政府行政当局的权力。工程处发布或通过的指南讨论如下:
- 个人资料处理风险分析实务指南:该指引针对处理个人资料而可能影响违反资料保安的资料控制器/处理机。它就通过适当渠道通知主管当局的义务提供了《RGPD》的解释。它的目标是广泛覆盖西班牙企业、各种小型、中型或大型公司、拥有大数据处理能力的公司和处理能力较弱的公司,并以同样的方式帮助参与管理安全漏洞任务的公共行政部门的负责人和负责处理的人。
- 负责处理个人资料的人士指南:该指南系统地介绍了组织在应用《可持续发展目标指南》时应考虑的主要问题。它的目的是帮助那些负责和负责的人在过渡期间适应新的义务。包括一个准备好的核对者检查表,组织可以使用该检查表来确定他们是否提供了正确应用RGPD所需的步骤。
- 安全漏洞的管理和通知指南:本指南旨在帮助任何想要或需要熟悉有关管理及通知保安漏洞的事宜的人士。它是为处理可能受到数据安全漏洞影响的个人数据的不同数据控制器而设计的,目的是使人们能够理解GDPR的要求u有义务通知主管部门,并在相关情况下通知数据主体,以便通过正确的渠道通知主管部门,提供用于统计和监测的有用和准确的信息,满足新的GDPR要求。
| 瑞典 |
《数据保护法》(2018:218)于2018年5月25日生效。它规定处理社会保险号和处理与刑事犯罪有关的数据。该法案适用于在瑞典个人数据控制员或个人数据助理的场所进行的活动框架内进行的个人数据处理。该法律也适用于不是在瑞典设立,而是在根据国际法适用瑞典法律的地方设立的个人数据控制者所进行的个人数据处理。
瑞典政府已指定瑞典数据保护局(Swedish Data Protection Authority)作为GDPR的监管机构。
| 瑞士 |
瑞士联邦数据保护法(“法案”)和数据保护条例(“条例”)规管全国各地的数据处理活动。本法适用于下列情形之一:
- 数据主体在瑞士有其经常居所,只要数据处理者能够预测损害可能在瑞士持续。
- 数据控制器或处理器(作为潜在的侵权方)是瑞士居民。
- 由数据泄露造成的损害在瑞士持续,只要数据处理程序可以预测损害可能在瑞士持续。
联邦数据保护和信息委员会是负责监督数据保护活动的机构。欧洲委员会最近发布了一份有关引入保障资料风险的技术和组织措施的指引,以及为确保保障个人资料而可采取的措施。
- 技术和组织措施指南-本指南介绍了与现代IT系统相关的数据保护风险。它旨在帮助读者实施措施,确保个人资料得到最佳和适当的保护。本指南主要面向IT系统经理和直接参与个人数据管理的人员,无论他们是否是技术人员。该指南围绕四个主要主题构建——数据访问、数据生命周期、数据传输和信息权。
| 奥地利 |
《关于个人数据保护的联邦法案》(DSG)对《2000年数据保护法》进行了大量修改,以实施GDPR。该法案规定了个人数据的处理、数据保护官员的任命、保持数据的机密性、刑事犯罪的调查或起诉以及数据主体为了修改、纠正或删除而享有的权利。
根据GDPR第8条,该法案规定,在14年开始的信息社会服务过程中,儿童可以同意数据处理,而不是GDPR规定的16年。GDPR第10条一般规定,犯罪数据只能在“官方机构的控制下”处理,除非得到成员国的其他授权。奥地利议员通过规定也可以根据控制者所追求的合法利益来处理犯罪数据,消除了潜在的差距。[4]
| 捷克共和国 |
捷克共和国颁布了第110/2019 Coll号法令。《个人资料处理》,并纳入《GDPR》的条文。该法律于2019年4月24日生效。它取代了旧的《个人数据保护法》(Act No. 101/2000 Coll。,as amended) and regulates personal data processing within the scope of GDPR and also processing of the data by competent authorities for preventing, searching for and detecting criminal activity, ensuring safety and public order.
个人资料保障办事处为实施该法律出版了各种指引材料。其中一些列举如下:
- 资料泄露通知指引[5]:个人资料保障办公室(下称“个人资料保障办公室”)发表有关资料泄露通知的指引。该指引的主要特点如下:
- 概述任何可能危及个人权利和自由的违反个人资料保安的行为,必须予以报告;
- 提供这类事件的例子,包括处理个人资料的电脑受到攻击而导致个人资料外泄,以及载有由人手保存记录的部分个人资料的纸质文件遗失;
- 订明如侵权不太可能对资料当事人的权利及自由造成高风险,例如无法追查曾经是或本应是人工保存记录一部分的纸质文件,则无须作出通知;
- 列出通知中应包括的内容,以及向受影响个人报告数据泄露的义务的例外情况。
- DPIA方法[6]:个人资料保障办事处(下称“个人资料保障处”)公布了进行资料保障影响评估的方法。在方法论中讨论的要点是:
- 包含问题和回答,关于谁需要进行DPIA和何时需要进行DPIA的信息,并概述了DPIA的四个阶段;
- 订明资料控人须确定是否需要就所取得的个人资料、处理的法律依据、资料的保存期限及资料的转移而进行个人资料保密计划;
- 强调数据控制者在执行DPIA时,应提供拟进行的处理活动的系统描述,通过识别与个人数据处理相关的资产、漏洞和威胁,遵循风险评估程序,并确定dia后的风险级别;
- 包括支持信息和通信技术维护不足、个人数据物理保护不足等漏洞的例子。
| 卢森堡 |
2018年8月16日,卢森堡政府通过并发布了2018年8月1日关于组织国家数据保护委员会和实施GDPR的法律,以及2016年4月27日关于个人数据处理方面保护个人和此类数据自由流动的理事会的法律。
该法律废除了2002年8月2日关于个人数据处理方面保护个人的法律。
| 罗马尼亚 |
罗马尼亚议会通过了实施《一般数据保护条例》的第190/2018号法律。该法律规定了处理某些类别个人数据的特别规则、GDPR的减损、关于数据保护官员(“DPO”)和认证机构的规定,以及关于适用于公共和私营实体的制裁的规定。
结论:GDPR的批判
从欧盟各国的国内法可以明显看出,GDPR是一项隐私立法,为即将出台的数据隐私法律提供了指导。GDPR加强了个人隐私权,增加了公司对个人数据的义务。此外,它拥有不受限制的权力,这也就是说,它像大多数对等机构一样,并非没有效力,因为它不仅规定了对组织的义务,而且还规定了对违反组织任何义务的行为处以重罚。
最大的制裁是根据法国国家隐私保护委员会的隐私法实施的,受到限制的委员会开出了约5000万欧元的巨额罚款[7]指控谷歌LLC公司缺乏透明度、信息不充分以及对广告个性化缺乏有效同意。CNIL的决定就像一个警告,严厉的执法行动不只是在理论上,因此,这些组织必须认真对待隐私法。
最近,一些主要的罚款是在2020年实施的,例如:
- 2020年4月,荷兰数据保护局对一家不知名公司开出了迄今为止最大的72.5万欧元(821.16亿美元)罚单,原因是该公司在10个月的时间里非法使用员工指纹扫描记录考勤记录。根据GDPR,生物识别数据被列为敏感信息,受到严格的保护。[8]
- 2020年12月7日,法国数据保护局对谷歌LLC、谷歌爱尔兰有限公司和亚马逊发出了两项总计1亿欧元的罚款,原因是他们违反了cookie。在一次审计中发现,许多cookie被用于营销目的,在没有采取平权措施的情况下自动放置在用户设备上。[9]
- 2020年12月7日,挪威数据保护局(“Datatilsynet”)向挪威体育联合会(“NIF”)发出了一份侵权通知,并处以250万挪威克朗(约250万挪威克朗)的罚款。此前,在测试云解决方案时发生错误,导致320万挪威人的个人数据泄露。[10]
此外,由于全球的数字环境允许通过一次点击就可以访问私人数据,隐私法已经成为了话题,违反它可能意味着数据控制器和处理器的重罚。互联网的无界性引发了一些数据保护的管辖权问题,因此,甚至非欧盟成员国也逐渐出台了与GDPR相一致的补充法律来保护消费者的个人数据。印度和中国已经出台了数据隐私法案,另一方面,中国也将数据隐私原则纳入了中国民法典。
所有组织都迫切需要审查其隐私政策,使其符合各自国家的国家立法和GDPR,这只反映出GDPR的接受程度越来越高,超越了欧盟。
安永会计师事务所|数据隐私和职业健康与安全合规专业顾问
[1]数据主体为“已识别或可识别的自然人”。换句话说,数据主体就是人——从他们那里收集与业务及其操作相关的信息。
[2]处理器是指代表控制者处理个人数据的自然人或法人、公共当局、机构或其他机构。
[3]根据欧盟GDPR第4条,数据控制者是决定为什么和如何处理个人数据的实体(个人、组织等)。另一方面,数据处理器是代表控制器实际执行数据处理的实体。
[4]https://www.dorda.at/en/publications/new-austrian-data-protection-act-implementing-gdpr-passed-austrian-parliament最后一次访问是2020年12月11日。
[5]https://www.uoou.cz/vismo/zobraz_dok.asp?id_org=200144&id_ktg=5020&n=poruseni-zabezpeceni
[6]https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=46497
[7]审议2019年1月21日的限制性成立n°SAN - 2019-001,宣布对公司谷歌LLC进行财务处罚
[8]https://cisomag.eccouncil.org/four-biggest-gdpr-fines-of-2020/最后一次访问是2020年12月11日。
[9]https://www.cnil.fr/en/cookies-financial-penalties-60-million-euros-against-company-google-llc-and-40-million-euros-google-ireland最后访问时间为2020年12月14日
[10]https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2020/varsel-om-overtredelsesgebyr-til-norges-idrettsforbund/
自2018年推出GDPR以来,仍有许多企业没有完全掌握这些规定。这是一篇很棒的文章,概述了关于GDPR法规你需要知道的一切。
大家好,非常感谢您考虑与我们分享关于数据保护影响评估主题的帖子。喜欢解释的方式。我很高兴通过这种有用的文章。我一定会分享这些知识。