2024年4月18日,欧洲数据保护委员会(EDPB)通过了《2024-2027年战略》行动计划,在未来四年中,EDPB将继续通过制定清晰、简洁和实用的有关重要主题的指南,以及为更广泛的受众开发材料,促进对数据保护法的遵守。行动计划中最大的变化是强调建立新的数字监管框架,加强GDPR与《数字市场法》、《数字服务法》等其他数字法案的兼容性,包含四个重点方面,十二项关键行动。
EDPB 主席 Anu Talus 说:“新战略将现有愿景推向了新的方向,以应对当今的数据保护需求以及不断发展的数字环境。该战略是所有欧盟数据保护机构 (DPA) 共同努力的结果,并确定了未来几年的共同优先事项。”
我们曾在《Zed解读 | GDPR 和《网络安全法》下的数据安全合规对比》一篇中,以欧盟 GDPR 和国内《网络安全法》为代表,对国内外数据安全的合规性进行简要地解读与探讨,分析典型场景的合规性要求与安全挑战,以助力企业更好地应对合规性问题。同时,在《欧盟 GDPR 和 ePD 法规下用户同意对企业的“五要”》这一篇给出示例,GDPR规定了有关个人数据处理活动同意的一般原则,企业采用“用户同意”作为网站或应用程序处理个人数据的法律依据,需要遵守有关用户同意的要求。
在此,数治网DTZed 小编进行全文编译,有错漏之处,还请谅解。请点击下载英文原版对照查看。
以下全文:
欧洲数据保护委员会(EDPB)的使命和法律任务是确保欧盟数据保护规则的一致适用,并促进整个欧洲经济区(EEA)数据保护机构之间的有效合作。
自2018年生效以来,《通用数据保护条例》(GDPR)和《执法指令》(LED)加强了整个欧洲经济区(EEA)的数据保护,并使其现代化和协调一致。数据主体对数据保护权利的认识显著提高,而公共和私营部门的控制者和处理者也越来越意识到自己的义务。与此同时,监督机构正在积极利用其调查和纠正权力在适当时有效执法,并加强了合作。EDPB已经并将继续提供关于数据保护事项的法律和技术指导。除该指南外,EDPB还通过了其他文件,包括具有约束力的决定,以确保欧盟数据保护法的一致适用。EDPB致力于继续所有这些工作。
近年来,EDPB的重点不断演变。特别是,EDPB更加注重加强审计机关之间的合作,目标是确保高效和一致地执行数据保护规则。在未来几年中,EDPB将加强这一活动,同时继续提高包括中小企业在内的广大公众的认识,并支持遵守法律。
在数字化背景下,已经或即将出台的新欧盟法律,将影响数据保护和个人数据保护权利。EDPB重申,需要在这些法律范围内大力保护个人数据,包括与人工智能、欧洲数据战略和数字服务一揽子计划有关的法案。因此,我们将继续就这些法律与GDPR之间的相互作用开展现有工作,同时促进对数据保护问题的必要监督、以个人为中心以及有效保护个人权利。
从广义上来说,欧盟边境管制和执法信息系统以及现有的和新的欧盟信息系统也是如此。EDPB仍然致力于确保对这些系统的协调监督,并对这些系统对保护个人数据的影响保持警惕。
EDPB还将继续应对人工智能等新技术带来的挑战。它将进一步参与这些问题,以促进当局以及全球其他监管机构之间在数据和隐私保护的高法律标准和合作。根据这些目标,EDPB 2024-2027年战略以四大支柱为基础,突出了我们的主要目标和实现这些目标的关键行动。这项战略将得到两项工作方案的补充,EDPB将在年度报告中报告所取得的进展。
加强协调和促进合规
根据EDPB关于欧盟数据保护法关键概念的现有指南,我们将进一步加强努力,以实现该法的一致应用和有效执行。我们做到这一点的方法之一是进一步就重要主题提供简明清晰的指导。EDPB还将为更广泛的受众开发工具,并制作非专家、中小企业和其他相关群体(如儿童)可以访问的内容。我们还将继续评估公共当局如何为执法目的访问和使用个人数据。
关键行动 1
我们将继续在关键问题上提供指导。例如,这将包括对特别脆弱的数据主体(如儿童)适用GDPR的指导,以及对特别值得注意的条款(如合法权益)的适用的指导。EDPB重申其目标是,这种指导将是切实可行的,包括在适当时使用实例,并以相关受众可以理解的方式起草,帮助利益攸关方正确执行数据保护法。
关键行动 2
我们将继续支持制定和实施适当和有效的合规措施,如认证和行为守则。作为这项工作的一部分,EDPB将与主要利益攸关方团体合作,例如帮助解释如何使用这些工具。
关键行动 3
我们将开发信息流,以补充我们以技术和法律为重点的出版物。这些信息流将侧重于无障碍环境,并将为非专家、个人(包括儿童)和中小企业等量身定制。例如,这些可能包括以可访问的方式传达指南核心信息的信息表或概况介绍,或者进一步改进和推广《小型企业数据保护指南》。我们还将投资提高EDPB的知名度,让人们更好地了解EDPB。
加强共同的执法文化和有效合作
在《关于执法合作的维也纳声明》:
- 致欧盟委员会的关于可在欧盟一级协调的程序问题的“愿望清单”函件;
- EDPB-EDPS关于制定与执行《GDPR协议》有关的附加程序规则的提案的第01/2023号联合意见;
- 以及这一领域的其他EDPB倡议和行动的基础上,EDPB将进一步加强努力,确保EDPB成员的有效执法和合作。
EDPB将继续支持开发合作和执法工具,分享专门知识,以加强我们共同程序、方法和决定的稳健性。
关键行动 1
我们将继续履行《维也纳执法合作声明》中的承诺。特别是,EDPB将继续促进确定优先合作的战略案件,并提供方法和工具,促进协调一致的调查和执法方式。还将进一步发展支助专家库、协调执法框架和EDPB借调方案。
关键行动 2
我们将重申致力于“一站式服务”的顺利运作以及《GDPR》中规定的其他合作和一致性条款。作为这项工作的一部分,EDPB将继续通过提供明确和有力的答复,确保GDPR一致性机制下的任何征求意见请求或具有约束力的决定得到有效满足。我们还重申致力于EDPB的合议性质,包括我们根据《GDPR公约》第70条第1款(u)项承担的任务,即促进合作以及有效的双边和多边信息和最佳做法交流。
关键行动 3
EDPB将支持通过欧盟条例的努力,该条例规定了与执行GDPR有关的额外程序规则,包括在立法过程中继续酌情就该提案提供反馈和建议。此外,我们将为其实际实施做准备。除其他外,这些准备工作将包括积极检查我们的工作方法和程序,以确保充分利用本条例提供的机会。
在发展中的数字化时代保障数据保护和跨监管领域
随着欧盟对数字领域监管的发展和技术的快速发展,EDPB认识到有必要在跨监管和跨学科背景下直接解决数据保护的作用和重要性。作为我们应对这一需求的一部分,我们将在这些背景下促进与其他监管机构的一致性与合作,包括在与人工智能监管、欧洲数据战略和数字服务法案相关的主题上。我们还将继续推广以人为本的新技术。
关键行动 1
我们将就GDPR和其他欧盟法案的应用之间的相互作用提供指导,特别是欧盟人工智能法案或源自欧洲数据战略和数字服务的法案。这样做的目的是在整体监管架构中促进数据保护权,并促进不同监管框架的一致适用。EDPB还将准备适用一致性机制,并在涉及个人数据时根据《数据法》通过具有约束力的决定。
关键行动 2
我们将继续监测和评估新的数字技术,以促进以人为本的方法,包括与人工智能和数字身份等有关的技术。必要时,我们将继续发布有关新技术对数据保护的影响以及在快速发展的数字环境中正确应用GDPR的指南。除其他外,该指南将进一步侧重于在新技术背景下实施数据保护概念和原则,特别是在数据主体面临重大风险或数据主体属于儿童等特别弱势群体的领域。
关键行动 3
我们将确保与其他监管机构就影响数据保护的事项进行合作,特别是与消费者保护机构、竞争机构以及其他法案下的主管机构合作,包括《欧盟人工智能法案》或根据《欧洲数据战略》和《数字服务法》通过的法案。此外,EDPB将继续在DMA高级别小组和欧洲数据创新委员会中发挥积极作用。
促进数据保护全球对话
EDPB及其成员将继续推动关于隐私和数据保护的全球对话,支持有效保护数据主体的权利,并认识到数据不会止于欧盟边界。这包括关注国际社会并支持欧盟和非欧盟当局之间的执法合作。
关键行动 1
在EDPB现有工作的基础上,我们将支持活跃于国际论坛的欧洲经济区数据保护机构之间的信息交流与合作。我们还将继续与国际社会合作,促进高数据保护标准,并加强EDPB在国际讨论中的参与。我们将特别参与公共当局关于数据传输、获取个人数据和新兴技术的全球对话。
关键行动 2
EDPB将进一步促进和加强EDPB成员和非欧盟国家当局在数据和隐私保护之间的合作。在这方面,我们将加强努力,为国际合作和支持执法做出贡献,并进一步发展我们目前的方法。
关键行动 3
我们将继续研究GDPR和LED数据传输机制,包括它们在全球对话中的共性、影响和作用。我们将继续关注特定的GDPR工具,包括EDPB在充足性决策、认证、行为准则和有约束力的公司规则程序中的作用,并且我们将为这些工具的实际实施提供进一步的指导。
参考链接:
1.https://www.edpb.europa.eu/news/news/2024/edpb-sets-out-priorities-2024-2027-and-clarifies-implementation-dpf-redress_en
2.https://www.edpb.europa.eu/our-work-tools/our-documents/strategy-work-programme/edpb-strategy-2024-2027_en