如果您从表面上看《通用数据保护条例》(GDPR),您可能会遗漏一些内容:

它授予成员国的权力。

该法规旨在作为基线,而不是终点。因此,虽然 GDPR 指出了具体的指导方针,但成员国和组织 必须 其次,它还为成员国提供了对特定条款的不同解释或施加额外限制的余地。

以下成员国已经在 GDPR 的基线基础上实施了自己的法律。

  • 奥地利
  • 比利时
  • 德国
  • 斯洛伐克

并且,其他 16 个国家已经起草了法案。

另一个重要的注意事项是,这些权力不仅授予欧盟正式成员的国家。它也适用于欧盟以外仍处于欧盟经济区的 3 个国家:

  • 挪威
  • 冰岛
  • 列支敦士登

GDPR 中专门适用于成员国的条款通常分为以下 2 类中的 1 类:

1. 成员国需要做的事情。

以下是该类别中的一些关键文章:

第 84 条:处罚 

成员国负责确定和执行对 GDPR 违规行为的处罚,并建立负责执行的监管机构。

第 85 条:处理和言论和信息自由 

成员国必须将 GDPR 法规与“言论和信息自由权……”相协调。

2. 成员国被允许做的事情。

以下是该类别中的一些关键文章:

第 6 条:处理的合法性 

成员国可以规定适用于处理个人数据合法性的附加条款,特别是在为遵守法律义务或为公共利益执行任务而需要进行处理时。

第 8 条:适用于儿童同意信息社会服务的条件 

成员国可以将同意处理的年龄更改为低至 13 岁。

第 22 条:自动化个人决策,包括分析 

GDPR 规定,数据主体“有权不受仅基于自动化处理(包括分析)的决定的约束,这会对他或她产生法律效力或类似地对他或她产生重大影响。”

只要实施“适当的措施来保护数据主体的权利和自由以及合法利益”,成员国就可以允许组织绕过这一点。

第 23 条:限制 

成员国可以限制某些 GDPR 条款的范围,“当这种限制尊重基本权利和自由的本质并且是必要和相称的措施时……”以保护 国家和司法利益。

第 89 条:与出于公共利益、科学或历史研究目的或统计目的的存档目的而进行的处理有关的保障措施和减损 

当个人数据被处理“用于科学或历史研究目的或统计目的”或“用于存档以公共利益为目的。”但是,成员国的调整仅限于那些权利的实现可能会损害数据处理特定目的的实现的情况。

组织对 GDPR 了解得越多,监管似乎就越复杂。但也不必如此。 LBMC 信息安全可以帮助您确定您的组织可能会如何受到 GDPR 的影响以及您可以采取哪些措施来合规。