不可能使任何设备符合 GDPR，因为负责遵守 GDPR 的是系统的其余部分。

相机可以或不能以符合 GDPR 的标准进行销售，但这两种方式都没有什么区别。相机可以连接到在几秒钟内删除数据的系统（可用于人数统计），因此符合 GDPR 相当简单。完全相同的摄像头可用于进行面部识别并与其他系统共享数据的系统，这些系统可能永远不符合 GDPR。

戴尔等 PC 制造商会说笔记本电脑符合 GDPR 吗？如果您使用那台笔记本电脑登录 Facebook，GDPR 是 Facebook 的问题，而不是戴尔的问题。

您需要查看整个系统，GDPR 不仅仅是设备问题。

您可能希望让设备供应商证明他们没有将任何数据发送到其他地方，因为他们可能会将数据发送到自己的服务进行诊断或记录。这在 GDPR 中可能很重要，但对于一般的安全和隐私也很重要和必要。

不要做任何假设，要小心互联网上陌生人的建议。如果这很重要，请寻求专业的法律建议。例如，虽然我积极推动设备安全，但GDPR可能不需要端到端加密。“适当的技术措施”可能不会扩展到在专用网络上提供端到端加密的成本高昂（在处理器、电池等方面）。对于网站，是的，加上SSL，即使不需要，成本也可以忽略不计。设备更复杂。正如您所建议的，可认证的设备可能不存在，那么您是否适合构建自定义设备，以满足不明确的 GDPR 要求？

除了 Simon 的回答之外，如果您更详细地查看 GDPR，则 GDPR 更多地是关于流程而不是 IT 系统。当然，那里有一些技术性的东西（主要是加密和假名化），但在更大的部分，它决定了你可以对数据做什么。请记住以下所有内容，我不是律师——只是一个在准备 GDPR 方面有经验的人。

TL;DR：设备本身不能合规或不合规。不过，相机可能很棘手。关于你的认证问题，答案似乎还没有。

关于 GDPR 的一些一般情况

首先，它为客户的数据定义了一个特定的选择加入机制。这意味着作为数据处理法人实体，您需要保留给予该同意的客户的记录，并且该同意必须指定您将使用哪些数据以及您将其用于什么目的。请参阅Wiki 部分 2.4 和 2.5。

其次，它赋予用户获取公司存储的关于他或她的所有数据的明确权利。这意味着必须提供每个系统中可以与特定用户相关联的每个数据。您可以想象，在大型公司中，各种系统都保存着以某种方式连接到用户的数据，这有点麻烦。如果您查看他们的系统，我想 Netflix 会对此感到一些乐趣：

来源（幻灯片 12）

以下文章继续授予纠正错误数据并将其完全删除的权利——当然，前提是没有其他法律要求您保留数据（例如税法或账单审计法）。

当然，前 50 篇文章中的其他 40 篇文章中存在大量陷阱，这些文章定义了我什至没有提到的您的责任和消费者权利。就像无法将数据放在不符合欧盟标准的任何地方一样——如果你读到这件事似乎无处不在，当然不是美国。

相机注意事项

另一个可能影响设备的有趣的事情是第 32 条——“处理的安全性” ——它有点模糊，但如果你的相机在医疗大楼前，那么你可能会争辩说你需要加密的端到端加密相机上的所有数据也是静止的。

考虑到现有技术、实施成本和处理的性质、范围、背景和目的以及自然人权利和自由的不同可能性和严重程度的风险，控制者和处理者应实施适当的技术和组织措施，以确保与风险相适应的安全级别，包括酌情包括：

(a) 个人数据的假名化和加密；

(b) 确保处理系统和服务的持续机密性、完整性、可用性和弹性的能力；

(c) 在发生物理或技术事故时，能够及时恢复个人数据的可用性和访问权限；

(d) 定期测试、评估和评价技术和组织措施的有效性以确保处理安全的过程。

由于在欧盟法律之后，一个人的照片（谢天谢地）被视为个人数据，您可能需要对照片或视频进行假名或加密。

关于认证

我一直无法找到任何基于法规本身的内容。当然，有很多人向您出售听起来像 GDPR 的“认证”，但截至今天，似乎没有一个（我能找到的）满足法规的要求。