德国数据保护局(德国DPA)发布了《关于实施GDPR的经验的报告》,该报告在2019年11月6日的会议上获得通过(报告;可用德语 这里 和英语 这里)。在此博客中,我们总结了德国DPA在报告中提出的关键问题。

背景

根据欧盟通用数据保护条例第97条,GDPR),要求欧盟委员会在2020年5月25日之前(即GDPR生效两年后)提交有关GDPR实施情况的评估和审查报告。德国DPA希望分享他们的经验,以对此过程做出贡献,并因此发布了该报告。德国DPA认为,GDPR的监管理念和目标在很大程度上已证明是成功的,而GDPR的巨额罚款是培养广泛的数据保护意识的驱动力。但是,他们也承认,在实施GDPR时仍然存在一些不确定性,并且仍然需要监管机构的指导。

报告中指出的关键GDPR问题

德国DPA已经确定了与GDPR实施相关的九个关键问题,并提出了以下建议以改进报告:

1.  使生活更轻松,更实用

德国DPA重申GDPR必须适合日常使用。他们特别提出了以下三个问题:

通过电话收集数据期间的信息义务(GDPR第13条)

  • 如果通过口头或电话联系,德国DPA认为根据GDPR第13条提供全面的信息是“不现实的”。他们提到数据主体关于这方面信息超载的投诉。
  • 建议的解决方案: 实施分层的,基于风险的方法应该足够了,告诉数据主体在哪里可以找到更多的相关信息。

获得个人数据副本的权利(GDPR第15(3)条)

  • 德国DPA承认围绕GDPR第15条第3款规定的个人数据复制权范围的激烈辩论。
  • 建议的解决方案: 个人副本权利的范围应由监督机构等加以阐明。

向监管机构传达数据保护人员详细信息的职责(GDPR第37(7)条)

  • 德国DPA指出,根据GDPR第37条第7款的规定,将数据保护官的联系方式告知监管机构的职责为监管人员增加了额外的工作,并导致监管机构不必要地处理个人数据。
  • 建议的解决方案: GDPR第37(7)条应删除。

2.  Data breach reports

  • 德国DPA指出,自GDPR生效以来,数据泄露通知的数量已大大增加。由于可能要缴纳巨额罚款,许多控制人员在未进行风险评估的情况下通知了违规行为,从而导致了轻微和轻微违规行为的通知。
  • 建议的解决方案: 数据泄露通知义务应仅限于可能对数据主体的权利和自由造成最小风险的案件。

3.  目的限制

  • 德国DPA讨论了处理目的发生变化时进一步处理个人数据的法律依据和要求。
  • 建议的解决方案: 应修订GDPR第6(4)条,以阐明个人信息的进一步处理应限于同一控制者进行的处理。

4.  通过设计保护数据

  • 德国DPA认为,GDPR第25条第(1)款中的按设计要求进行的数据保护并不涵盖生产者的目标群体,因此在实践中几乎没有受到关注。它涵盖了通常不自行开发硬件和软件而是依靠承包商的服务的数据控制器。
  • 建议的解决方案: 应该修改GDPR,以强制生产者通过设计实施数据保护,并且将GDPR第82条中的责任部分扩展到生产者。

5.  监督机关的权力

  • 德国DPA批评其根据GDPR第58条第2款的权力仅限于“加工操作”。但是,GDPR所包含的义务与GDPR第5条规定的处理原则无关(例如,指定数据保护官或维护处理活动记录的职责)。
  • 建议的解决方案: GDPR第58(2)(a)和(b)条中的“加工操作”应删除。

6.  一致性规定

  • 德国DPA解决了缺乏清晰的问题,即是否必须为作为国际数据传输基础的每个行政安排触发一致性机制,并因此提交给监管机构进行授权(第46(3)(b)条) GDPR)。
  • 建议的解决方案: 应该修订GDPR,以阐明必须向欧洲数据保护委员会提交行政安排。

7.  直销

  • 德国DPA指出,欧盟成员国在直接营销方面有非常不同的传统,因此,数据主体的期望也有所不同。
  • 建议解决方案: 欧盟立法机构应制定更详细的直销条款。

8.  分析

  • 德国DPA将配置文件描述为“当今时代的关键数据保护政策挑战之一”。他们指出,GDPR的大多数规定都不涵盖“按原样进行概要分析”,因此,评估通常必须基于GDPR第6条规定的一般要素。
  • 建议的解决方案: GDPR关于配置文件的条款应予修改,以提供更大的透明度和对数据主体的更多控制。此外,进行概要分析的唯一可能法律依据应该是同意或合同必要性。

9. 资质认证

  • 德国DPA和德国认证机构对德国认证机构是否也必须参与GDPR第41条的规定存在争议。
  • 建议的解决方案: 应该明确的是,德国DPA是唯一负责根据GDPR第41条进行认证的机构。

评论

该报告重点介绍了实施GDPR时遇到的一些关键实际问题,需要立法机关或监管机构自己进一步澄清。欧盟委员会是否将在接下来的几个月中将这些评论纳入其报告还有待观察。