其他
域外观察|欧洲数据保护委员会发布新版《数据控制者、处理者识别牵头监管机构指南》
欧洲数据保护委员会10月份发布了更新版《数据控制者、处理者识别牵头监管机构指南》草案,供公众咨询,此版本是在2018年指南版本基础上、针对联合控制者所做的更新。
值得注意的是,只有在跨境处理数据的情景中,才存在识别牵头监管机构的问题,因此指南首先对跨境处理数据的含义作了进一步说明,主要涉及GDPR中的“营业机构所在地”和“实质性影响”两项标准,符合其中一项即满足跨境处理数据的定义。
在确定了跨境数据处理的前提下,EDPB实际上将牵头监管机构的识别划为四个种类,一是只有数据控制者,二是既有数据控制者又有数据处理者,三是只有数据处理者,四是联合控制者,此次更新主要涉及第四种类型。在第一种情形中,主要涉及识别控制者的管理中心,管理中心可视作控制者的“主要营业机构”,其所在地成员国的监管机构即为牵头监管机构,但如果有关数据处理目的和方式的决定是其他机构做出的,则以其他机构为准;在既有处理者又有控制者的情形中,如果控制者在欧洲经济区内设有营业机构且适用“一站式”机制,则主要识别控制者的主要营业机构,控制者主要营业机构所在地成员国监管机构为牵头监管机构;第三种情形识别处理者的管理中心,如果在欧洲经济区内没有管理中心,则识别其在欧洲经济区内开展主要数据处理活动的地点;第四种情况中,指南阐明了“主要营业机构”的概念不能延伸至联合控制者,需要分别识别控制者的管理中心,管理中心所在地成员国的监管机构即为各自的牵头监管机构。
以下是此次更新版指南草案的中文译本: