2019年7月24日,歐洲委員會(“委員會”)發布了一份報告,評估歐洲在實施通用數據保護條例(“GDPR”)方面取得的進展,將其作為其改進數據保護框架的核心組成部分。委員會在其報告中強調了實施工作取得的某些成就,提請注意需要采取進一步行動的問題,并介紹了一些正在進行和計劃中的舉措。
該報告是2018年1月發布的先前報告的后續行動,并在很大程度上得到了正在進行的工作的通報多利益相關方團體由民間社會和企業代表,學者和從業者組成,以支持GDPR的應用。該報告將有助于委員會于2020年5月對GDPR進行正式的兩年期審查。
成員國
委員會強調GDPR在協調整個歐洲的數據保護規則方面取得的成功,為個人和企業提供更大的法律確定性。這要求歐盟成員國積極參與制定國家數據保護法,為其監管機構分配必要的權力和資源,在某些領域制定規則,修改或廢除受GDPR影響的其他國家立法。
雖然委員會普遍贊揚會員國在這方面的工作,但它注意到三個國家(希臘,葡萄牙和斯洛文尼亞)尚未通過GDPR后國家數據保護法,國家立法的統一仍然是大多數會員國的進展。例如,德國對數據保護官員的更嚴格要求)并鼓勵成員國采取措施確保更大程度的協調。
雖然GDPR導致了一套更加一致的歐盟數據保護規則,但令人沮喪的是,對于這些規則的解釋和應用,一些重要的成員國差異仍然存在。
監管機構
同樣,委員會贊揚會員國監督當局的工作,他們認為這些監督當局以平衡的方式行使其新的執法權力,重視制裁對話。但是,委員會希望看到監管機構之間進一步合作,包括與歐洲數據保護委員會(“EDPB”)的工作保持一致,加強利益相關者為EDPB工作提供信息的手段,以及加大支持力度可能缺乏數據保護知識或資源的各方(例如,中小企業)。
在這種情況下,據報道,某些成員國監管機構一直批評英國信息專員在宣布其意圖對英國航空公司和萬豪國際集團公司處以巨額罰款之前未進行咨詢。
個人·權利和企業的合規工作
委員會進一步指出,個人在GDPR下對隱私權的認識有所提高,并且愿意行使這些權利。盡管如此,這方面的努力應該繼續加強個人參與,防止對隱私權的任何誤解或誤解。
委員會還贊揚企業遵守GDPR的努力,這無疑會給一些人帶來挑戰,但也為組織創造了一個及時的機會,以加強內部隱私和數據安全實踐,以及開發隱私友好型服務。委員會還提到了GDPR中的各種工具,使企業能夠證明其合規性,包括標準合同條款,行為準則和GDPR認證。
委員會表示,它將與利益攸關方合作,通過根據最近通過的EDPB 指南更新現有條款和支持認證計劃,最大限度地發揮這些工具的價值。委員會還表示支持GDPR下可用的相關工具(例如,,其他類型的標準條款,例如丹麥監管機構最近提交并由EDP??B 審查的條款。
國際合作
委員會強調它所指的GDPR在國際層面的“向上趨同”,因為許多國家現在正在采用或起草與GDPR的實質和原則相呼應的隱私法,例如在巴西和印度,導致數據隱私領域的全球轉變。委員會還注意到最近的歐盟 - 日本相互充分安排(創建“世界上最大的自you和安全數據流”領域),暗示其他即將出現的充分性調查結果,表明它希望讓新的國家和地區參與充分的討論,并強調目前正在努力更新各國現有的充分性調查結果。
委員會還表示其旨在“充分利用”GDPR的全部潛力,以實現個人數據的國際轉移,重申其打算對標準合同條款采取行動并支持其他轉移機制的發展。鑒于此處報告的兩個關鍵轉移機制,標準合同條款和美國 - 歐盟隱私盾,歐盟法院面臨的未決挑戰,這一舉措將非常重要。委員會還提到正在進行的打擊犯罪和恐怖主義國際合作的努力,以及與其他國家的數據保護執法權力的協調,以促進合作和互助。
歐盟法律政策中的數據保護立法
最后,委員會注意到歐盟政策的其他領域,其中數據保護規則構成法律框架的組成部分,特別是:
1.電信和電子通信服務;
2.健康與研究;
3.人工智能;
4.運輸;
5.能源;
6.競爭;
7.選舉;
8.執法。
委員會在結束報告時指出,應用GDPR的第一年總體上是積極的,但在一些領域仍有工作要做。