然而,GDPR 确实给予成员国有限的空间来决定该法规的某些方面在其国家的应用方式。DPA 2018 将 GDPR 纳入英国法律,并在其中纳入了 GDPR 允许的各种“例外”,从而导致了一些关键差异。
细微的差别……
孩子同意
-
- GDPR 规定儿童可以 目标电话号码或电话营销数据 在 16 岁时同意数据处理,而 DPA 则将其设置为 13 岁。
“标识符”的扩展定义
-
- GDPR 将“标识符”的含义 什么是社交媒体营销 (smm)? 扩展至包括 IP 地址、互联网曲奇饼和 DNA 的定义个人资料
犯罪数据
-
- GDPR 要求处理犯罪数据的人员拥有官方权力,而 DPA 则没有。
自动化决策/处理
-
- GDPR 规定,数据主体有权不接受自动决策或分析,而 DPA 则允许在有正当理由的情况下这样做,并且保障措施旨在保护个人权利和自由。
数据主体权利
-
- GDPR 确保所有数据主体对其个人数据的处理均拥有权利。
- 如果遵守这些权利会严重影响组织在为科学、历史、统计和存档目的处理数据时履行其职能的能力,则 DPA 允许忽视这些权利。
隐私与言论自由
-
- GDPR 为成员国提供了平衡 电报号码 隐私权与言论和信息自由权的权限。
- 《数据保护法》规定,为公共利益而发布的个人数据可免于某些个人数据保护要求。
其他差异
DPA 的范围比 GDPR 更广泛,涵盖:
-
- 对违反 GDPR 的行为进行刑事制裁和罚款(例如,对故意或鲁莽地重新识别个人身份的新罪行引入无限额罚款)匿名化数据)
- 涉及欧盟法律(和 GDPR)范围之外的领域的处理,例如国家安全和移民
- 将欧盟数据保护指令 2016/680(执法指令)转化为英国法律
- 英国独立机构(首次代币发行)维护信息权利和自由
最后,虽然 GDPR 受欧洲联盟法院(CJEU),当英国脱离欧盟时,DPA 将完全受英国司法系统的管辖,而 CJEU 则将受到冷遇。
这些差异为何如此重要?
作为欧盟成员国,意味着数据可以不受阻碍地跨境进出英国。这使得商业活动更便宜、更快捷、更轻松。
然而,当英国脱离欧盟时,数据将不再能够依赖自由流动的数据,这将取决于我们的数据保护法是否被认为是“充分的”(欧盟委员会根据 GDPR 第 45 条的定义)。
这意味着我们的数据保护法必须与欧盟数据保护法足够相似,以便欧盟认为,如果与英国共享,居民的数据得到了“充分”保护。