这篇文章是由尼克·泰勒(Nick Tyler)写的。 

欧盟委员会今天通过向欧洲议会发送了法规草案,完成了改革欧盟数据保护指令的任务。该法规草案包含全面的改革,旨在协调整个欧盟27个成员国的数据保护法律,并提高欧盟公民的素质。’互联网时代的隐私保护。

遵守义务和制裁将分为两层,一层针对中小型企业,另一层针对大型跨国组织。中小型企业有权享受某些豁免,以减轻管理负担,例如,无需任命数据保护官员和最高100万欧元的制裁上限。在欧盟拥有250多名员工的跨国公司将不得不任命一名数据保护官,并且可能因严重违规而面临高达全球年营业额2%的制裁。欧盟以外的跨国公司如果要向欧盟公民推销产品和服务,也必须遵守数据保护规则。

关键条款包括:

A 单一通知 到组织设立所在国家的数据保护机构。对于被认为存在特定风险的一系列处理活动,例如系统的和广泛的配置文件以及大规模的视频监视,仍有义务通知并事先获得批准。

问责原则 适用于处理个人数据的人员,包括对中小型企业的影响评估以及对所有组织的自上而下的问责制。

数据breach 如果可行,请在24小时内通知国家数据保护机构,如果有受到伤害的风险则通知个人。

加强个人控制 他们对数据的处理包括在处理数据而不是假定数据之前征得他们的明确同意,以及即使将数据由欧盟以外的公司处理,他们也可以将其事项转介给本国的数据保护机构。

数据Portability 这意味着个人将可以更轻松地访问自己的数据,并能够更轻松地将其从一个服务提供商转移到另一家服务提供商。

A 被遗忘的权利 如果组织没有任何正当理由保留数据,则包括个人在内的个人都可以删除其数据。该权利提供对合法历史数据(例如报纸档案馆)的豁免,并力求在隐私权和言论自由权之间取得平衡。

制裁制度至少已从2011年11月发布的法规草案中淡化,该草案提议制裁措施占全球年营业额的5%。

与11月初的草案相比,该法规草案进行了一些“商业友好”更改。选择加入商业营销的提议已被选择退出所取代,并且有关儿童隐私的规定现在需要13岁以下的父母同意,而不是18岁。

此外,尽管强调对欧盟以外的国际数据传输具有约束力的公司规则,但合同条款,欧盟标准合同和适当性的认定,以及国家或国际组织(例如美国安全港)的国际承诺将仍然适用。鉴于该规章草案所设想的变化,如果通过该规章草案,则可能需要审查和修改现有的国际数据传输机制。

新的欧洲数据保护委员会将不再是批准法规草案11月版中提议的执法行动和制裁的跨国监管者。取而代之的是,其权力将限于确保法规的一致适用,而无权在个别情况下推翻裁决。

委员会’提议的法规草案和随附的指令现在将提交欧洲议会和欧盟成员国(在部长会议中开会)进行讨论。该法规仅在欧洲议会通过后两年才生效,我们希望在通过立法过程的过程中会有进一步的变化。这意味着任何变化都可能接近三年。