gdpr用户信息保密(应当建立用户信息保密)

gdpr用户信息保密(应当建立用户信息保密)

编辑消息：GDPR于2018年5月25日正式实施。欧盟数据保护委员会对《GDPR》的实施和执行情况进行了逐步总结和回顾：欧盟的执行案件有206326起，包括投诉、数据泄露等类型的案件，11个欧盟国家的数据保护监管机构划拨了55955871欧元的罚款。与传统法律的实施机制不同，GDPR非常重视监管者之间的作和一致性机制，并通过互助、联行动、一站式咨询服务等信息技术手段来确保信息技术的信息化。GDPR取得了更广泛的成果。欧洲数据保护委员会评估后，GDPR带来的预算和人力成本增加，而在一致性机制方面，可能会造成不必要的机制，以进一步优化体制机制设计、监督、作与配，促进GDPR更有效地履行和落地。

行动纲要

本文件概述了一般数据保护条例(GDPR)的实施和执行情况，涵盖了作机制和一致性调查的结果。与欧盟指令相比，在欧盟指令中，监管机构即使在跨境案件中也是单独工作，而GDPR规定监管机构有义务配并向GDPR提供协议。此外，欧洲数据保护委员会(EDPB)为进一步促进协调提供了一致的机制。

经过九个月的GDPR，众议员Epbu认为GDPR的作和共识机制在实践中运作良好。各国监管者每天都在努力工作，这意味着他们之间有很多交流(书面和口头)。

这些作责任导致额外的工作量，额外的办案时间，以及对监管机构预算的影响。由于作，处理跨境案件需要时间，这需要彻底调查并遵守国家程序规则。州级监管机构必须应对GDPR保护和执行方面的挑战。到目前为止，已经有6个最终的一站式服务案例。

到目前为止，EDPB在一致性机制方面的经验有限，因为在报告所述期间，没有必要解决这一新的欧盟机构的争端。

首先，监管因素之间的作机制和edpb的一致性机制。

作机制

GDPR需要监管者，即欧洲经济区(EU-28个冰岛、挪威和列支敦士登)与跨国界密切作并支持以下工具：

-互相帮助。

联作战。

-一站式作机制引入了主要监管机构对跨境案件的强制干预。

跨境案件中的作(基于个人投诉)由国家一级的监管机构实施。除非出现争端或紧急情况，否则EDPB不会解决这些案件。

一致性机制

EDP？B的主要任务之一是确保GDPR的一致适用性。确保一致性的机会是提供关于GDPR的一般性指导，这将有助于利益相关者、监管者和公众共同理解和应用条款。自2018年5月25日以来，EPB批准了第20工作组(EDPB阵线组织)编写的16项准则，并通过了另外5项准则。确保一致性的另一个机会是采纳一致的意见和决定。这些决定主要受制于国家监管机构的目标，并确保GDPR的一致性适用和实施？

标准化

为了支持EDPB成员之间的作和一致性机制，欧洲委员会发展部根据EPB秘书处和EPB成员定制了现有的信息技术系统(IMI)。该系统在GDPR开始申请的天就投入运行。该系统为监管机构之间的信息共享提供了一种结构化和保密的方式。

国家级监管机构对系统的反馈非常积极。根据EDPB秘书处向EDPB成员提供的特别信息技术办公室，成立了一个特别专家组，以确保该系统不断得到加强。

在系统案件登记中心进行案件登记之前，必须确定主管机关。注册表是一个中心数据库，可以启动不同的程序，如互助、联操作和一站式机制。附录中的方案提供了系统的功能概述。

作机制

一种。确定领导机制和相关监管机构的初步方案。

在启动跨境案件一站式办理方案之前，需要确定牵头作的组织(牵头机制)和其他相关监管机构(相关机构)。领导机制必须作进程，决定草案和相关监管机构才会让人敢怒不敢言。

领导机构是欧洲经济区电力组织，该组织的主要机构在欧洲经济区。主要机构被确定为欧盟调查公司/组织的*机关。Edpb在IMI系统中创建工作流，使监管者能够确定各自的角色。这个过程的主要目的是在前期明确自己的角色，避免在规划的后期取消异议。如果原子能机构作为领导机制有任何意见冲突，Epbu将发挥争端解决的作用，并发布具有约束力的决定。

自2018年5月25日以来，已启动642项程序，以确定跨境案件中的主导机制和相关监管机构。在642个计划中，306个已经结束，并已确定了主要监管机构。迄今为止，在选择主要监管机构方面没有争议。24个欧洲经济区已经启动了这一进程，26个监管机构被称为牵头机构。

关于带有跨境案例的数据库

这些情况会登记在*数据库里，从这里可以启动不同的程序，比如互助、联行动、一站式机制等。自2018年5月25日以来，30个不同的欧洲经济区监管机构在IMI系统中登记了281起跨境案件。大多数未决案件来自个人投诉(194起)，其余案件(87起)来自其他来源。该案的三大主题涉及数据主体权利的行使、消费者权利和数据泄露。

C.一站式机构

GDPR为跨境案件提供具体的作程序(一站式服务)。停止机制适用的一种情况，即控制器或处理程序对一个以上的成员国或数据处理活动有重大影响。

一站式服务机制是指主导机制和相关监管机构之间的作。牵头组织将领导行程过程，在相关组织之间达成共识，并在协调数据控制器或处理器的决策过程中发挥关键作用。

领导机构必须调查案件，并遵守国家有关规定。

IMI系统还提供了主导机制的机会，如有必要，可以与所有相关机构启动非正式沟通，以收集信息并准备有关的决定草案。主导机制完成调查，并将准备一个草案并将其传达给相关的监管机构。监管机构可以反对草案，反对派要么导致草案修订或触发安理会的争端解决机制。

如果草案是争议的，则无法达成共识，然后启动一致性机制，案例提交给edpb。然后，EDPB将作为争议解决和这种情况的约束力。主导机制必须根据艾普的决定采用最终决定。

如果相关的监管机构不对原始草案或修订草案，他们将被视为同意草案。领导机构可以采取最终决定。

IMI系统提供不同的程序来处理一站式情况：

1.非正式磋商程序;

2.通过领导机构向有关监管机构提交的决定或修订草案;

3.提交给有关监管机构和艾普布的一次停止决定。

自2018年5月25日起，来自14个不同欧洲经济区的监管机构已启动45个一站式服务程序。这项45个方案处于不同阶段：23个非正式磋商，16个阶段草案，最终决定阶段。

这些最终的一站式决策涉及行使个人权利（如擦除），法性基础和数据披露通知。一站式服务程序的数量有限，因为草案的过程是根据国家行政程序调查领先机制的结果。一站式服务程序的数量稳步增加。

天。互相帮助

互助计划允许每个监管机构向其他监管机构申请信息，但也需要有效的作措施（例如先前授权，调查等）。这样的互助可用于限制限制一站式计划的跨境案例（作为在起草决议之前的必要信息的初步阶段的一部分），也可以用于跨境特征的国家。

IMI系统允许在没有任何法定时限的情况下使用非正式的互助，或者在1个月的法律答复，正式相互帮助的情况下。自2018年5月25日起，来自18个不同欧洲经济区的监管机构已引发444（正式和非正式）的互助请求。在444个互助请求中，在23天内发出了353项答复。剩下的91例仍在进行中，尚未要求监管机构的回应。

e。联行动

GDPR允许不同成员国监管机构进行联调查和联执法措施。并的行动可用于限制限制一站式计划的跨境案例（作为在起草之前收集必要信息的初步阶段的一部分），也可用于包括国家案件，包括跨境部位。 2018年5月25日2019年1月31日，没有开始联行动。

F。作机制监管机制的评估与改进建议

与欧盟大会相比，欧盟的指令，即使在跨境案件中，主导机制也是单独工作，而GDPR预测监管机构的作义务将提供GDPR始终如一。

国家一级的监管机构适应了这种新形势。 GDPR的一个优势是使监管机构成为这些挑战的一定的回归室。

但是，GDP分官方实施只有9个月，仍然有很多工作在EDPB级别进一步简化了该计划，使系统更有效。分配给当局的资源问题（例如招聘公平说英语）影响系统的全球效率。

一致机制

一致性

对于某些类型的决议，国家监管机构必须在决议前征求艾普的建议。例如，这适用于批准跨境行为指南，使用标准化的同条款或使用描述必须符数据保护影响评估的处理类型。

艾普发布的一致意见的目的是确保GDPR与采取这些具体措施的这些具体措施一致。国家监管机构，EDPB主席或EDPB委员会可以要求EDPB对任何普遍适用或受到多个成员国影响的任何内容作出一致意见。自2018年5月25日起，艾普布在国家加工地点上采纳了28次关于数据保护影响评估和1个金融监管机构（欧洲经济区和欧洲经济区外）。关于行政草案的意见。

目前有三个正在进行的程序，涉及绑定公司规则，数据控制器与交易的标准同以及GDPR指令与电子版权指示之间的交互，特别是关于国家数据保护监管机构。允许。

湾争议解决

EDP??B作为争议解决机制干预，并通过约束定决定采用，以确保GDPR与以下条件一致：

- 在一站式服务机制内争议（相关机构提出，理的反对意见，未经通过）;

- 测定主导机制的不同;

- 监管机构不需要或不遵循EDPB的一致性。

从2018年5月25日2019年2月18日，没有解决争端。这意味着到目前为止，监管机构可以根据当前情况达成共识，这是一个良好的作征兆。

C。对一致机制监管机制的评估与改进建议

以下分析反映了监管机构的观点和印象：

到目前为止，艾普布不必充当争端解决，这也是因为一站式案例中的裁决人数仍然相对较小。由于EDPB主要集中在为制定国家DPIA清单的准备方面的一致意见（关于接收数据保护影响评估）。大多数监管机构强调，EDPB在其他领域的一致性机制的经验仍然有限。但是，计划在未来几个月内将其他类型的国家层面提交到EDPB，例如巴塞尔公约区域中心，代码准则，标准同和认证问题，以引发其他领域的一致性机制。

根据批经验，一致性机制需要许多资源，这要求当局在给定的时间范围内快速采取行动。在这方面，会议讨论可能会扩展一致性机制的最终截止日期。

二，国家监管机构的手段和力量

预算和人力资源

根据新的法律框架，监管机构是两项责任。他们不仅应对它们是加强执法权力，而且还要求更积极的参与，这意味着更多的预算和员工。

预算

虽然监管机构和26个欧洲经济区的EDP提供的信息，但在大多数情况下，2018年和2019年预算增加，但在这两种情况下，预算已减少，在三个案例下，预算没有改变。根据各种监管机构提供的信息，后者现象可以使用这次半年计划来解释。

虽然大多数监管机构的17个声誉需要增加30-50％的预算，但几乎没有国家可以获得明确的申请金额。在一些极端情况下，增加预算的需求接近甚100％。

湾人力资源

根据审计员提供的26个欧洲经济区和EDP所提供的信息，大多数监管机构都有所增加，而8个监管机构的员工人数也没有改变。即使是监管机构也有所下降。鉴于不同范围的权威（GDPR，电子隐私，信息自由），人员的要求也不同。

“GDPR公约”的实施和实施

欧洲经济区31个国家的监管机构报告的案件总数为206,326例。可以区分三种不同类型的案例，即基于投诉的案例，基于数据泄漏和其他类型的情况的通知。大多数情况与投诉有关，有94,622,64,684，基于数据控制器的数据泄漏开始。其中，52％的案件已关闭，1％的案件进入国家司法程序。

可责任：关于更正，监管机构有不同的使用措施：

- 警告数据控制器或处理程序，指出处理操作可能违反GDPR;

- 谴责GDPR的控制器或处理程序;

- 令控制器或处理器符数据主体或按照GDPR进行处理操作;

- 应用程序行政限制，禁令和罚款。

根据第58.2条（i）第58.2条，欧洲经济区的监管机构一直是行政罚款。总罚款均为55,955,871欧元。

第三，结论

在GDPR是九个月之后，EDPB成员认为，GDPR使用新的作方法，包括许多日常沟通，在实践中运作。已经实现了结果的一站式服务案例已通过GDPR的一些核心原则进行测试，并已成功解决。迄今为止，没有跨越案例升级到eDPB级别。

虽然过去几个月的案件数量增加，但监管机构报告了目前的工作量被控制，这主要是由于各种国家监管机构，第29个工作组和委员会在过去两年中。完全准备好。

附录：监管机构与EDPB稠度机制的作机制预算人力资源GDPR在国家一级实施和实施

资料来源：欧洲数据保护委员会（EDPB）

编译：景东数字研究所研究员张晓明