GDPR刚度过了它的第一个生日。在GDPR生效之前,组织感到焦虑,因为该法规规定了严厉的处罚措施。但是他们的焦虑是合理的吗?作为第一步,欧盟成员国自己如何实施GDPR?本文将提供这些问题的简短答案。

当地实施工作

尽管GDPR旨在统一欧盟内部的数据保护法,但它允许欧盟成员国在某些情况下根据所谓的“开放条款”执行更严格的当地法规。这些允许在重要问题上执行本地规则,例如指定数据保护官的要求,儿童的同意年龄,在雇用范围内的数据保护以及数据泄露通知义务。

欧盟成员国通常充分利用了该选项。德国是第一个通过实施GDPR法案的成员国(目前正在制定修正案),但其他欧盟成员国也迅速效仿。

本地实施重点

一些欧盟成员国引入了值得注意的地方规定,特别是对于在这些司法管辖区开展业务的组织。一些例子是:

  • 在德国,连续雇用至少10人来处理自动处理个人数据的组织必须任命一名数据保护官。
  • 法国有一些初步的通报义务,特别是在处理生物特征或遗传数据方面。
  • 荷兰法律保留了以前的荷兰数据保护法中有关处理敏感数据(例如在雇佣环境中)的规定。
  • 匈牙利和西班牙针对死者的个人资料引入了规定。
  • 西班牙法律对与视频监控,举报和个人财务能力有关的数据处理做出了具体规定。
  • 奥地利,捷克共和国和爱尔兰的法律规定放宽对公共机构的罚款制度。

您可以在此处找到所有实施法律及其特色的概述: //www.reedsmith.com/-/media/files/perspectives/2018/gdpr_factsheet_may2018.pdf?la=en.

执法活动如何进行?

在实施GDPR之前,各组织急于实现合规性,因为他们担心高达2000万欧元的潜在高额罚款,占全球年营业额的4%。实际上,欧盟数据保护机构首先必须为GDPR做准备,并为咨询和执法活动做好准备。因此,到目前为止还没有发生预期的罚款,尤其是重罚。

关于现有信息,必须指出,欧盟成员国在报告其执法行动时采取了截然不同的方法。一些国家/地区非常详细,并且会披露详细信息-不仅包括侵权和罚款金额,而且包括当事方名称)(例如,关于Movimento 5 Stelle当事人的意大利或关于支付服务提供商UAB MisterTango的立陶宛)。奥地利,保加利亚和英国等其他国家/地区仅发布匿名报告。除非明确要求,否则其他国家(例如德国)不会发布任何内容。

根据公开的信息,到2019年5月25日GDPR成立一周年之际,只有11个欧盟成员国对任何组织都处以罚款。这些罚款总额约为5600万欧元。这笔款项(GDPR第50条)几乎全部由法国数据保护机构CNIL罚款,原因是Google违反了GDPR的透明度要求。

接下来会发生什么?

有传言说宽限期已经结束,数据保护机构正在加紧准备进一步的执法活动。来自不同国家的以下消息似乎证实了这一点:

  • 爱尔兰数据保护专员Helen Dixon最近表示,爱尔兰的公司“lawyering up” 和 behaving in a “他们期望即将被罚款。
  • 荷兰数据保护局发布了关于罚款的指南,列出了其罚款标准(仅适用于荷兰 这里)。
  • 英国ICO在2019年5月初的一次会议上宣布,距离几家“非常大的案件”仅几周之遥,将处以巨额罚款。

总之,明智的做法是,随着罚款的到来,建议组织遵守GDPR义务并遵守数据保护机构发布的指南。