欧洲数据保护委员会(EDPB)发布了 意见 关于电子隐私权指令(指令2002/58 / EC)与通用数据保护条例(GDPR)(条例(EU)2016/679)之间相互影响的意见(意见)。该意见回答了比利时数据保护机构提出的问题,特别是:

  1. 数据保护机构(DPA)是否有能力监管触发GDPR和ePrivacy指令的处理;
  2. DPA在行使GDPR规定的权力时是否应考虑《电子隐私权指令》(和/或其国家实施法规);
  3. 合作和一致性机制是否应适用于既触发GDPR又触发ePrivacy指令的处理;和
  4. ePrivacy Directive和GDPR的规定可以控制处理的程度。

EDP​​B还针对ePrivacy指令与GDPR之间的相互作用提供了更一般的指导。该博客列出了意见的主要内容。

电子隐私指令与GDPR之间的划分

GDPR第95条规定,如果《隐私权指令》规定了与GDPR具有相同目标的特定义务,则GDPR不得施加其他义务。例如,GDPR和《电子隐私权指令》都要求公司在数据泄露后通知相关监管机构。单独的通知是不必要的,并且会“造成额外的负担,而没有立即明显的数据保护利益”。在这种情况下,只需发出一个数据泄露通知。

GDPR通用性与ePrivacy指令专业

《电子隐私权指令》可能“particularise”GDPR更笼统的规定。如果《电子隐私指令》对GDPR的规定进行了更具体的规定,则《电子隐私指令》中的特定规定优先于更为一般的GDPR规定。但是,如果ePrivacy指令未特别提及,则对个人数据的任何处理仍受GDPR的约束。其中一个例子是关于交通数据的《电子隐私权指令》第6条的应用,该法律限制了处理此类数据的合法依据的数量。 GDPR还规定了对个人数据的合法处理,为处理提供了更多依据。在这种情况下,将对ePrivacy指令进行更严格的规定。这意味着公司不会从GDPR更为宽松的处理制度中受益。他们必须改为遵守ePrivacy指令。

执法

The ePrivacy Directive 具体化s and complements GDPR’s enforcement provisions. DPAs can enforce on GDPR matters, but their enforcement powers under the ePrivacy Directive depend on the local laws implementing the ePrivacy Directive. Not all DPAs are empowered to enforce the ePrivacy Directive in their countries. The Opinion offers clarification on this point. It states that DPAs may only take an infringement under the ePrivacy Directive into account if they are empowered to do so by local law. This is important as a breach may trigger both GDPR and the ePrivacy Directive. Maximum fines under each regime differ widely. GDPR fines can range as high as 4% of a company’s annual global turnover. In contrast, the maximum fine under the ePrivacy Directive depends on local implementing law. In the United Kingdom, the maximum fine under the ePrivacy Directive is £500,000.

评论

许多公司从事在线行为广告并使用跟踪cookie。他们应了解规范这些行为的《电子隐私权指令》和GDPR下的单独制度。该意见及时提醒了双重监管制度。我们也期待有关长期运行的《电子隐私法规》最终定稿的进一步消息,该法规即将取代《电子隐私指令》。 《电子隐私权法规》可能会加大对违反法律的公司的潜在制裁。 《电子隐私权法规》不太可能在2021年之前生效。目前的草案中的措词将该法规的通过推迟了24个月。欧洲理事会仍在审查该条例草案的重要领域。随后,欧洲理事会,议会和委员会将进行三方讨论。但是,2019年5月即将举行的选举可能会进一步推迟这一过程。我们将继续为您提供该领域的最新动态。