在《通用数据保护条例》颁布三周年之际，库利启动了一系列侧重于GDPR的网络研讨会。

我们的第一次网络研讨会涵盖了我们认为与实施这一开创性的个人数据隐私制度有关的“您应该知道的十大关键发展”。

#1： GDPR：它就在这里，永远不会消失！

关于改革GDPR的必要性有一些争论。然而，如果我们考虑到欧盟委员会在其2020年GDPR评估报告中指出，它认为GDPR已达到其目标，那么这项改革在短期内不太可能发生。对欧盟委员会而言，GDPR赋予了个人更大的权利，而企业正在发展合规文化，并将数据保护作为竞争优势。

#2： 游戏时间似乎结束了（对于公司和DPA而言）

回顾过去三年国家数据保护机构的执法工作，我们看到执法领域出现了一些变化：

• 2018年6月至年底：国家当局正在组建和重组其团队，以使其内部结构和资源与GDPR下的新角色保持一致。这导致很少执行
• 2019年：执法力度在2019年有所增加，但主要包括小额罚款和针对小公司
• 2020年：国家数据保护机构开始实施非常高的罚款，但其中许多都被上诉
• 2021：今年，我们开始看到更成熟和复杂的执法决定

#3： GDPR：全球连锁反应

GDPR在全球范围内一直是一个巨大的灵感来源。一些国家已经开始实施与GDPR相一致的新数据保护框架，如美国的《加利福尼亚消费者隐私法》和巴西的《个人数据保护普通法》（LGPD）。印度正在密切关注，预计将在今年年底完成一项法律。

#4： 数据传输已成为一项关键挑战

数据传输已成为全球组织面临的关键挑战。在欧洲法院Schrems II案之后，公司需要在将任何数据转移到欧洲经济区之外之前完成数据转移影响评估，评估数据进口国的法律和实践。

尽管欧洲法院没有宣布SCC无效，但公司现在还必须按照欧洲数据保护委员会的指导，以额外的合同和技术措施来补充SCC。

#5： 英国脱欧增加了复杂性

英国脱欧后，我们现在有两个GDPR——英国GDPR和欧盟GDPR。虽然目前这两个框架基本相同，但我们可以预期未来会出现一些偏差。英国脱欧还带来了一些与DPO、代表和BCR任命相关的重复。

#6： 欧盟国家利用这种可能性通过国家法律进行微调

GDPR为欧盟数据保护框架带来了相当数量的协调，但是，重要的是要注意到，欧盟成员国仍然有可能通过在指定DPO、处理需要数据保护影响评估的活动等领域施加额外要求，在本地微调GDPR，或者为儿童提供在线服务需要父母同意的年龄。

#7： 同意还是不同意，这就是问题所在

GDPR提高了同意的门槛：预先勾选的方框无效，公司应能够证明个人在同意时是完全自由的。此外，可以随时撤回同意。所有这些都使同意成为难以依赖的法律基础。

#8： 监管机构指南：造成清晰还是更多混乱？（谢天谢地，它是黑白相间的……没有灰色区域会引起混淆。）

自2018年以来，EDPB和国家数据保护机构就虚拟语音助理、数据泄露通知、国际数据传输以及控制者和处理者概念等多个问题发布了大量指南。在大多数情况下，指南比GDPR更具限制性。

欧洲法院也通过Fashion ID、Orange和Schrems II等案件在定义GDPR方面发挥了积极作用。

#9： 更加复杂和平衡的数据处理/共享协议

数据处理者和控制者之间的关系已经变得更加成熟和复杂。关系的所有步骤——从入职阶段、合同执行之后以及整个合同关系期间——都受到GDPR的影响。

#10： 还有更多的事情要做：2022年怎么样？

欧盟委员会在数据保护方面相当活跃。与GDPR类似，即将出台新的立法，如《人工智能条例》。我们期待变化的另一个领域是电子隐私。

从美国的角度来看，有很多活动，如前所述，GDPR激励了它。除CCPA外，2018年，阿拉巴马州颁布了数据泄露通知法，华盛顿、弗吉尼亚和纽约等州也开始引入基线隐私法立法。

本文：https://cioctocdo.com/gdpr-three-years-road-10-key-developments-you-sho…