作为GDPR执法的协调机构,EDPB承认各成员国实现协作和一致性机制时的确遇到了挑战。
编译:对外经济贸易大学金融科技实验室
编者按
欧洲数据保护委员会(European Data Protection Board,EDPB)于今年2月发布GDPR实施情形的报告。报告内容主要聚焦于数据跨境传输机制、欧盟会员国间合作机制(含EDPB工作情形)以及中小企业法规遵守等议题。正如我在《欧盟<一般数据保护条例>的周年回顾与反思》一文中所指出的,各成员国GDPR执法不统一,一站式机制难以落实等问题被人诟病。作为GDPR执法的协调机构,EDPB承认各成员国实现协作和一致性机制时的确遇到了挑战。同时,EDPB也承认GDPR对中小企业带来重负。尽管EDPB已经认识到GDPR在实体规则和执法程序方面的问题,但其依然初衷不改。特别是,EDPB特别指出,要保守对待2019年日本大阪G20《关于贸易和数字经济的部长声明》中的“可信数据自由流动”的立场,并呼呼加快通过电子隐私法案。就此而言,欧盟明确彰显了为数字经济建规立制的政治考量,提升“欧盟法律体系在全球的影响力“已经成为其首要目的。但这是否符合GDPR设定的保护个人数据权利和促进数据自由流动的目标?实值反思。
——对外经贸大学数字经济与法律创新研究中心执行主任 许可
概述
在数据跨境传输机制方面,EDPB欢迎各国提出“第三国适当性评估”的申请,并表达其在评估是否具有充分性时,将着重于评估是否能使权利切实执行、纠正措施是否有效执行以及对于持续性的转移是否有足够保护措施等。EDPB特别建议欧盟委员会,应保守看待G20或G7等会议所进行的“数据自由流通”概念,并确保个人数据保护水平不会因此受到影响。
而在其他跨境传输机制上,EDPB建议欧盟执委会应尽快更新标准协议条款,使其能与GDPR规定相符;同时公布目前正在“企业约束规则”(BindingCooperation Rules, BCR)机制下审查40家企业,预期至少半数将于今年审结;而在验证及行为准则方面,EDPB预期将于今年底完成相关指引的公告。
在欧盟会员国间合作机制上,EDPB强调其将着重于探讨新兴技术发展如何兼顾个人数据保护,以使GDPR作为技术中立的架构,能在保护个人数据同时兼顾创新。此外,EDPB承认由于各国程序规范上的差异,使得合作面临挑战,并建议持续观察程序差异对于GDPR执行成效上的影响。EDPB同时认为目前各国监管机构所获得的资源仍然不足,建议各成员国应提供监管机构更充足的资源。
在中小企业议题上,EDPB承认GDPR给中小企业带来挑战。对此,在各国监管机构提供相关工具以支持中小企业遵守GDPR外,EDPB也将持续投入相关支持工具的开发,以减轻中小企业的负担。
整体而言,EDPB认为GDPR实施大体上是成功的,并能提高欧盟法律体系在全球的知名度,目前并无修改GDPR的需求。
EDPB对GDPR的总体陈述
在这一年半的时间里,GDPR的应用是成功的。数据保护作为一项基本权利被加强了,对于数据保护原则的解释也更加一致。数据主体权利得到加强,数据主体越来越了解行使其数据保护权利的方式。此外,单一的一套规则带来了更多的法律确定性,“一站式服务”建立了单一的对话机制,这都使得欧盟内部的数据控制者和处理者获益良多。该框架增加了监管机构(SAs)调查和纠正的权力,包括巨额罚款。GDPR还有助于提高欧盟法律框架的全球知名度,并被视为欧盟以外的一个典范。
自GDPR生效以来,EDPB作为欧盟的新决策机构——在第29工作组(“ WP 29”)工作的基础上——通过了各种意见和指南来阐明GDPR,并确保各国监管机构在执行GDPR方面保持一致。
更具体地说,EDPB这样做的目的是制订关于新兴技术的指导方针。在这方面,EDPB强调,GDPR是一个技术中立的框架,全面并且能够通过适应不同情况来促进创新,而不需要特定行业的立法加以补充。EDPB强调,GDPR完全适用于新出现的技术,并会持续关注新出现的技术对个人资料保护的影响。
EDPB承认,GDPR的实施一直颇具挑战性,尤其是对中小企业而言。各国监管机构一直在开发一些工具来支持中小企业遵守GDPR。EDPB致力促进这些工具的发展,以进一步减轻行政负担。
EDPB相信,数据保护当局之间的合作将建立共同的数据保护文化和一致的监测实践。然而,EDPB表示,在实现协作和一致性机制时的确遇到了挑战。特别地,国家程序和实践的不一致对合作机制产生了负面影响。这主要是由于投诉处理程序、当事人在诉讼中的地位、受理标准、诉讼期限、最后期限等方面的不同。EDPB正在研究克服这些挑战的可能解决办法,确保与合作程序相关的关键概念的共同应用。欧洲委员会应审查各国国家程序是否妨碍了合作机制的有效性,立法者也可在增强协调方面发挥作用。
EDPB强调,GDPR赋予各国监管机构的权力和任务的有效实现在很大程度上取决于他们可利用的资源。在这方面,EDPB指出,大多数监管机构都指出,可供他们使用的资源不足。因此,各成员国必须为所有监管机构提供足够的资源来执行其任务,这非常重要。EDPB指出,这尤其适用于一站式服务机制,因为它的成功取决于各国监管机构在个案和合作方面所能够投入的时间和精力。
其次,EDPB强调,个人数据向第三国或国际组织的转移是数字环境的一个组成部分。EDPB欢迎第三国在在适当性评估机制下与欧盟建立联系。第三国适当性评估是确保从欧盟转移到第三国和国际组织的个人资料得到持续保护的重要工具。EDPB仍致力于对欧盟委员会开发的针对GDPR强化要求的工具进行独立评估,特别是可执行的权利、有效的赔偿和与后续转让有关的保障措施。EDPB认为这些评估极为重要。EDPB强调,必须及时收到所有相关文件,以便进行全面评估。
EDPB认为,欧洲委员会迫切需要使现有的一套标准合同条款与GDPR相一致,并草拟涵盖新的转让方案的标准合同条款。特别是一组处理者到处理者的标准合同条款,将允许根据GDPR第46条对此类传输进行适当的调整。
综上所述,经过短短20个月的实施,EDPR对GDPR的执行持积极态度,认为现时修订立法文本为时过早。与此同时,EDPB呼吁欧盟立法者,特别是欧盟委员会,加快通过电子隐私法案,以完善欧盟的数据保护和通信保密框架。
第97条对GDPR进行评估的问卷,欧洲数据保护委员会的答复
除了上述一般性政策信息外,EDPB还希望提供其成员对欧盟执行委员会发送的GDPR评估问卷的综合信息。这使EDPB作为一个整体可以以欧盟范围的角度传达一些其他信息。
I. 第五章
以下内容构成了EDPB关于国际转移工具的总体观点的简要答复,以回应委员会的问题。关于这些问题的具体答案,请参照具体国家。
充分性决定
EDPB欢迎第三国在作出适当决定的情况下与欧盟接触。充分性决定是确保从欧洲经济区转移到第三国和国际组织的个人资料得到持续保护的重要解决方案。EDPB仍致力于对欧盟执行委员会制定的针对GDPR强化要求的工具进行独立评估,特别是针对可强制执行的权利、有效的补救措施和有关后续转让的保障措施。EDPR认为这些评估极为重要。教育局会参与评估现时的充分性决定和采纳未来的充分性决定,同时强调必须及时收到所有相关文件,以便进行全面评估。
GDPR与日本达成的第一个互惠的充分性决定,既是联盟维持其与国际合作伙伴之间必要的数据交换能力的令人鼓舞的信号,也是为调整业务惯例而应考虑的重要先例,为未来的充分性决定以及对现有决策的审查带来参考。
在实质问题上,充分性决定应侧重于根据GDPR第45(2)条直接规定的评估标准,在理论和实践上对有关第三国的现行立法进行评估。
在与日本的充分性决定中(这是GDPR下此类决定的唯一例子),对有关第三国立法的评估与专门商定的仅适用于欧盟与该第三国之间转让的附加规则是相结合的。
EDPB注意到了欧盟执行委员会和日本当局对《补充规则(SupplementaryRules)》具有约束力和可执行性的一再承诺和保证,同时邀请欧盟执行委员会继续监督其约束性和在日本的有效适用性,因为其法律价值是欧盟——日本之间的决定充分性的重要组成部分。
EDPB鼓励欧盟执行委员会确保以补充规则为基础的充分性架构将是可持续且可靠的系统,不会引起与外国实体有效合规以及第三国数据保护机构的强制执行相关的实际问题。
对于这些规则,尤其是根据充分性决定从欧盟转移过来的个人数据的继续转移相关的规则,是否存在精确而有效的系统来控制,这必须由欧盟委员会进行定期监控。
EDPB认为,在采用充分性决定时,有关EDPB咨询程序的方面尚待改进。确实,绝对有必要事先将所有相关文件充分传输并翻译成英文,然后再发送给EDPB,以便在最终通过适当性决定之前进行知情且有益的讨论。充分性决定中应包含规定,以使SA能够有效地合作以执行数据保护规则。这也适用于欧洲委员会对现有充分性决定的任何审查。在这种情况下,欧洲委员会应就是否需要修改的总体评估咨询EDPB,而不仅仅是对有关充分性决定的建议补充。从这个角度来看,不同行为者之间有效和可靠的合作对于使各方以有用的方式行使其咨询职能和职责至关重要。
在国际谈判领域,委员会应继续其现行做法,在有关贸易协定的讨论中排除掉数据保护相关部分。EDPB还强调,即使在上一届G20和G7上讨论了“信任的存在”,也需要对诸如“数据的自由流通”之类的概念保持谨慎。这也使人想到,在考虑任何自由数据流动之前,有必要提供强有力的数据保护规则,以确保GDPR或充分性决定为此类数据提供的保护级别在继续传输时不会受到损害。
标准合同条款
GDPR第46条第5款规定,欧盟委员会根据955466CE号第26条第4款通过的决定将一直有效,直到被修改、替换或废止。在此基础上,组织仍将欧盟执行委员会根据指令955466CE采纳的不同套的标准合同条款(SCC)用作第46条的适当保护措施。但是,这些SCC并未考虑到GDPR带来的变化。这给相关组织提出了法律和运营问题或担忧,这些组织发现自己处在微妙的状况中,尤其是如何解决自从2018年5月25日起应用新框架以来在旧制度下通过的文书的使用所造成的空白。更具体地讲,针对发生在控制者与处理者之间的关系而要求使用2010年的控制者至处理者SCC的转移,这并不反映GDPR第28条对处理者义务进行的变更。如今迫切需要委员会向组织提供所有更新后的SCC,以确保法律的确定性并解决因使用“旧” SCC而导致的运营问题。提供最新的SCC时,还可以考虑到欧盟法院正在审理的有关国际转让的当前案件。
此外,现有的SCC并不适合所有传输方案,尤其是那些以处理者与处理者之间的关系发生的情境,或者不是将个人数据从EEA中的处理者传输到EEA以外的控制者的情况。根据利益相关者提供给SA的信息,这些情况在实践中经常发生。在不久的将来会采用更多的SCC,这将便于根据GDPR第46条对这种转让进行适当的安排。
监管机构的国际转移工具
EDPB回顾了其在现有国际转移工具(例如具有约束力的公司规则(BCR))和新工具(例如行为准则和认证机制,作为转移工具或具有法律约束力的工具,以及在公共之间转移个人数据的行政安排)方面当局正在进行的工作。
关于BCR,EDPB已根据GDPR更新了其针对控制者和处理者的BCR参考。此更新是理事会的一项持续任务,以确保参考文献以最准确的方式反映GDPR的要求。其更新还应考虑SA的实际经验。自GDPR生效以来,EDPB就批准BCR的国家决策采纳了3项积极意见,同时有40多个BCR正在审批中,预计其中一半将在2020年底前获得批准。
关于作为转让工具的《行为准则和认证(Codes of Conduct andCertification)》,EDPB目前正在为有兴趣的利益相关者准备指南,预计可在2020年底之前最终定稿,以便在提交公众咨询之前首次采用。
最后,关于具有法律约束力的文书和行政安排,EDPB还正在准备针对公共当局和希望将个人数据转移到EEA以外的公共实体的机构的指南。这些准则已被采纳,并将在最终采纳之前发布以供公众咨询。
II. 第七章
1.合作机制
第七章介绍的新的合作文书是朝着正规化和加强欧盟内部SA之间的交流与合作迈出的重要一步。专用系统中的监管机构(SA)之间的大量交互活动证明,合作已经是一个具体的现实。
为了使SA在正式OSS程序启动之前就能够进行合作,EDPB在内部市场信息(IMI)中创建了专用的工作流程,以帮助SA识别牵头监管机构(LSA)和相关监管机构的各自角色(CSA)。在2018年5月25日至2019年12月31日期间,启动了1346项程序来识别LSA和CSA。所有SA至少已被识别为LSA或CSA。
所有具有跨境组成部分的案件都在中央数据库(IMI案件寄存器)中注册,从中可以启动所有合作和一致性程序。并非所有在案件登记册中登记的案件都涉及一站式服务程序。
与案件登记簿相关的案件可以:
提出一项申诉,并可能导向第60条程序;
提出几项申诉,结果可能导向若干个第60条程序;
与一致性程序(第64、65或66条),第61条(自愿)互助或第62条联合行动有关,不一定会导致任何“一站式服务(One Stop Shop Art)”中的第60条程序;
也可用于跨境通讯,即根据GDPR第4条第23款转移与跨境处理无关的投诉,因此不会导致第60条程序。
如上所述,IMI系统中案例的定义是一个广义术语。应当指出,IMI案件登记册不包括那些仍处于确定LSA和CSA角色的初步阶段的跨境案件。此外,并不是所有在单个SA上提交的跨境投诉都可能上传到IMI。因此,IMI统计可能与SA的国家报告有所不同,因为国家案件管理系统通常围绕个人投诉进行组织。
从2018年5月25日到2019年12月31日,已在IMI注册807起案件。详细分类如下。
1.1 OSS——第60条程序
A、您的DPA是否涉及任何OSS案件?如果是这样,自2018年5月以来有过多少个案件了?
在处理第60条程序时,IMI系统提供了不同的步骤:
非正式磋商,以收集必要的信息并促进相关SA之间的通信;
LSA向CSA提交的决定草案,触发正式的OSS程序;
LSA向CSA提交的有关CSA的修订决定提出了合理且相关的异议;
最终决定已提交给所有EDPB成员。
在2018年5月25日至2019年12月31日期间,牵头监管机构(LSA)根据第60条第3款发布了141项决定草案,其中有79条导致了第60条第6款的最终决定。到目前为止,已有21个SA采纳了作为LSA的那些决定草案,而所有SA都充当了相关的监督机构(CSA)。详细分类如下。
B、在与主管/相关DPA的合作中,您是否遇到过任何问题/障碍?如果是,请描述它们。
EDPB成员在一站式服务机制框架中发现的挑战如下:
不同的国家行政程序
EDPB成员认为国家管理程序中的差异是主要挑战,尤其是在以下方面:投诉处理程序,当事方在诉讼中的地位,受理标准,诉讼期限,期限,与其他SA共享机密信息的可能性,CSA关于措施草案等的具体咨询。
关于合作机制的概念的不同解释
根据合作机制实际应用的经验,EDPB成员认为有必要就与合作机制有关的几个术语达成共识(例如“相关信息”,“不拖延”,“起草决定”,“和解”)以确保其有效运作。
EDPB一直在致力于解决理事会专门专家小组中的这些问题。
CSA参与此案
由于上述问题,LSA在合作程序的开始,CSA参与的时间以及向他们传达相关信息方面采用了不同的方法。
EDPB建议其成员尽快按照GDPR第60条的要求交换所有相关的事实和法律信息,并立即提交决定草案。
此外,必须以英文提供OSS所需的所有文件和信息,这需要SA的额外人力和财力资源。
C、您将如何解决这些问题?
一站式服务和合作机制仍然是相对较新的程序。为了更好地理解潜在的障碍并找到可用的解决方案,EDPB特别采取了以下步骤:
对于《GDPR》第60条,进一步澄清适用的程序步骤;
分析不同的国家行政程序法律和惯例;
进一步努力就GDPR一站式服务和合作程序的关键概念和术语达成共同的解释;
加强SA之间的沟通;
利用GDPR提供的所有工具来加强合作,包括联合运营。
除了EDPB成员自己采取的步骤外,欧盟委员会还应监测国家程序是否阻碍了合作机制的充分有效性,最终立法者也可能在确保进一步协调方面发挥作用。
D、你的国家行政程序与OSS兼容吗?(例如,你是否确定了可以称为“决定草案”的明确步骤?)在你提出这样的决定草案之前,是否听取了各方的意见?)
总体而言,EDPB成员认为其国家行政程序与OSS程序兼容。但是,GDPR中规定的合作机制与国家程序之间的相互作用引起了一些担忧。如先前的答复所述,存在一些显著差异,例如:
投诉处理程序,包括受理标准;
处理投诉或案件的时间范围(即某些法律有严格的期限,而其他法律则没有期限);
程序各方行使听证权的方式;
申诉人的角色(申诉人并非总是被视为是在上诉庭之前的诉讼的当事方);
不同的投诉处理方法,包括通过维护特定投诉人的权利来解决投诉,友好解决和对投诉的优先级进行适当处理。
E、你是否有适用《GDPR》第56(2)条的克减条款(即所谓的“本地个案”,即只涉及你的成员国内某机构的侵权或投诉,或只对你的成员国内的资料当事人有重大影响)的情况?
SA使用了第56条第2款的程序65次。详细分类如下:
f. OSS是否达到了预期?如果没有,您会认为它的缺点是什么?如何补救?
到目前为止,GDPR下的SA在OSS机制的应用和实施方面已经获得了宝贵的经验,并且通常将OSS和合作机制视为加强跨境合作的有效手段。如前所述,由于GDPR的应用仍相对较新,因此对GDPR提供的OSS机制本身进行详尽的评估为时过早。
但是,应该强调的是,一站式服务程序的有效应用取决于对GDPR关键术语的一致解释,国家行政程序的统一,SA的充足人力和财力,通讯工具的进一步改进合理的案件处理时间表。
1.2 互助——第61条程序
A、您是否曾经在进行调查时使用过此工具?
SA已触发115互助(第61条)程序。在进行调查时,大多数SA都使用了互助。
此外,SA在自愿的基础上启动了2427项相互协助的程序。在设计IMI的GDPR模块时,SA根据SA之间合作的一般原则,引入了这一程序,以便在不需要紧迫期限的情况下更灵活地相互协助。
第六十一条正式互助
第六十一条自愿互助
B、您是否曾经在监视另一成员国实施的措施的执行情况时使用过此工具?
三个SA使用此工具来监视另一成员国实施的措施的执行情况。
C、该工具有效地促进了您的工作吗?如果是,怎么办?如果没有,为什么?
绝大多数的SA都认为互助是合作的非常有用的工具,在应用互助程序方面没有遇到任何特殊障碍。同时,他们认为,正式的互助只规定了有限的期限(在18个月内大约执行115项程序),而正式互助预计将严格在最后期限1个月进行答复。因此,目前无法对该工具的有效性进行详细评估。更常用的是自愿互助性交换,没有法律规定的最后期限和严格的回答义务。
D、您是否遇到其他任何阻碍有效使用此工具的问题?如何补救?
大多数SA在应用此过程时没有遇到任何特殊障碍。
1.3 联合行动——第62条程序
A、在进行调查时,您是否曾经使用过此工具(既从另一个DPA接收员工,又向另一个DPA派遣员工)?
SA尚未触发联合操作程序。但是,一些SA正在考虑在2020年开始这种合作。
B、您是否曾经在监视另一成员国实施的措施的执行情况时使用过此工具?
请参阅对1.3.a的答复。
C、它有效地促进了您的工作吗?如果是,怎么办?如果没有,为什么?
请参阅对1.3.a的答复。
D、您在使用此工具时是否遇到任何问题(例如,管理方面的问题)?如何补救?
SA没有足够的实践经验来回答这个问题。但是,一个SA指出了一个法律问题,因为其国家法律不包含任何实施GDPR第62条程序的规定。
EDPB正在努力实际使用此工具,以便在法律框架的限制内以及在SA的经验基础上提供更多的清晰度和一致性。
2. 一致性机制
2.1 意见-GDPR第64条程序
A、您是否曾经根据第64(1)条向理事会提交任何决定草案?
在2018年5月25日至2019年12月31日期间,EDPB根据GDPR第64条第(1)款采纳了36项意见:
关于GDPR第35条第(4)款的31条意见(所有EU + EEA国家)
2条关于具有约束力的公司规则的意见(Equinix Inc.和ExxonMobil Corporation)(GDPR第47条)(英国SA和BE SA)
2条关于根据GDPR第41条(AT SA和UK SA)对行为准则监督机构进行认证的要求草案的意见
1条关于根据GDPR第28(8)条制定的标准合同条款草案的意见(DK SA)
B、您是否曾经根据第64条第2款向董事会提交任何决定草案?
EDPB根据GDPR第64条第2款采纳了6条意见:
根据第35条(5)GDPR(CZ SA、ES SA和FR SA)对国家DPIA清单的3个意见;
1条关于欧洲经济区和非欧洲经济区金融监管机构之间转移个人数据的行政安排的意见(EDPB秘书处代表主席);
1条关于ePrivacy Directive与GDPR之间相互作用的意见,尤其是关于SA的权限,任务和权力(BE SA);
1条关于与主要或单一机构(FR SA和SE SA)相关的情况发生变化的监管机构权限的意见。
C、通过遵守第64(7)条GDPR的义务,即最大限度地考虑EDPB的意见,您有什么问题吗?如果是,请描述一下。
总体而言,到目前为止,尚未发现遵守GDPR第64(7)条的主要问题。
GDPR没有包括明确的程序来确保对决定草案所做的更改完全符合理事会要求的更改。EDPB通过修改其议事规则解决了这一问题,以进一步详细阐述GDPR第64(7)条的实际实施,并阐明了在通过EDPB意见后适用的程序步骤(EDPB第10.6条到第10.8条)。EDPB议事规则的新版本可确保对EDPB意见的执行情况进行密切监控。这导致了EDPB意见的全面实施。
最后,实践表明,第64条第(7)款规定的为期两周的截止日期可能相对较短,因为SA也需要一些时间进行内部验证。
D.“决定草案的沟通”是否完成?哪些文件被提交为“附加信息”?
在设计IMI系统时,由SA和EDPB秘书处确定了每种第64条第(1)款程序的文件和信息的精确列表,并将结果嵌入该系统中。实际上,当未提供所有相关信息时,SA不能从技术上发送请求。
SA尤其应提供相关事实的摘要,其他SA以及所涉各方的意见的摘要,EDPB应考虑的要素,SA的决定草案以及所有相关附件以及其他明确要求的文件,例如行为准则或BCR相关意见等。
E、是否有关于翻译的问题并提供任何其他相关信息?
根据EDPB程序规则(RoP)的23(2),由SA制定的GDPR第64 – 66条和GDPR第70条所规定程序的文件应以英文提交。EDPB秘书处可以根据EDPB RoP第11(2)条翻译其他有用的文件。目前,所有发起第64条程序的SA均以英文提供了所有文件,并且SA发起第64条程序的文件无需翻译。
一些SA提出了与将文档发送到EDPB时必须提供的翻译以及EDPB通过的意见的校对有关的问题(数量不断增加,成本,耗时)。
F、该工具是否履行其功能,即确保对GDPR的解释一致?
通常,在迄今为止EDPB已使用该程序的情况下,该工具已被证明有助于确保对GDPR的一致解释。到现在为止,所有SA都表现出致力于应用程序并将EDPB的意见纳入其国家决策的承诺。
尽管GDPR直接建立了该流程,但对于每个意见而言,涵盖特定主题并在整个EEA区域都适用会更加有效。例如,这可以避免在DPIA清单上的31条意见。实际上,就GDPR第64(1)(a)-(e)条而言,采用28种不同的意见导致文件的繁多,从而使公众和利益相关者更难获得相关信息。同时,EDPB认识到GDPR中的选择使每个SA都能考虑到国家的特殊性。
关于第64条第1款(f)项,工作仍在进行中,如果没有更多经验,则很难评估该特定条款的工具的效率。
此外,第64条第(2)款有效地允许董事会就普遍相关的问题达成共同立场。实际上,它也被用来填补立法者留下的空白,例如,在64(1)中未提及第46(3)(b)条和第35(5)条。
到目前为止,EDPB能够在法定期限内发表所有意见。但是,实践表明,GDPR中规定的截止日期(8 周与约6周的和)对于在所有成员之间达成协议而言可能相对较短。
2.2 争端解决-GDPR第65条程序
A、是否使用过这个程序?如果是,你在这个过程中有什么经历?
EDPB尚未通过任何有约束力的决定,因为到目前为止,相关的SA已能够在合作机制中就跨境案件达成共识。一个SA过去曾要求对EDPB做出第65条具有约束力的决定,但此提呈在程序上为时过早,随后被撤回。
B、哪些文件被提交给了EDPB?
请参阅对问题2.2.a的答复。
C、谁准备了这些文件的翻译,如果有的话,准备了多少时间?提交给EDPB的所有文件都翻译了吗?
请参阅对问题2.2.a的答复。
通常,根据EDPB RoP的第23(2)条,SA应根据GDPR第64-66条和GDPR第70条规定的程序起草的文件应以英文提交。秘书处可根据EDPB RoP第11条第2款翻译其他文件。
2.3 紧急程序–第66条程序
A、在紧急情况下,你采取过什么措施吗?
此过程尚未触发。
3. 信息交流:标准化沟通
A、你通过IMI系统进行标准化通信的经验是什么?
自2018年5月25日起,SA已使用内部市场信息(IMI)系统以标准化和安全的方式交换GDPR合作与一致性机制所需的信息。IMI是由欧盟委员会DG GROW开发的系统,并与EDPB秘书处和国家级SA紧密合作,适应了GDPR的需求。该系统从第一天开始就被频繁使用。为了确保系统适应SA的不断变化的需求,EDPB创建了一个专门的专家小组,讨论并验证了系统的必要更改(即EDPB书面程序的新工作流程,字段名称的若干更改,字段中可用字符的数量,适用于不同程序的报告,将信息互助请求的双边工作流程更改为多边等)。此外,在EDPB秘书处内还创建了EDPB IMI帮助台,专职人员为用户提供日常帮助。
EDPB的大多数成员对IMI系统的使用感到满意。但是,由于尚未使用几种程序(GDPR第62条,第65条或第66条),因此目前无法进行总体评估。大多数SA认为,应与DG GROW合作进一步调整IMI系统以适应其需求(例如,应对捆绑投诉,大量通知和整体用户友好性的问题)。
4. 欧洲数据保护委员会
A、你能根据第70条中列出的任务提供EDPB工作的指示性故障吗?
B、对于EDPB秘书处:您能根据第75条列出的任务提供EDPB秘书处工作和资源分配(全时工作当量)的指示性分类吗?
EDPB秘书处
EDPB秘书处由多方面的团队组成,可促进董事会的公正有效决策,并充当清晰,一致的沟通的门户。为此,在一个FTE的领导下,一个由19个FTE组成的团队汇集了法律,IT和通信专家,并由经验丰富的管理团队提供支持。秘书处处理一系列任务,从确保尊重法律框架,起草法律文件,问题管理和提供IT解决方案到确保透明的沟通,处理媒体关系和计划以及组织会议。
目前,根据第75条第(6)款(f)的规定,有9名FTE案件官员向EDPB专家小组(ESG)和全体会议提供分析支持和行政支持。
在分析支持方面(占9%的案件官工作量的45%),EDPB秘书处负责“准备,起草和发表意见,解决监督机构之间争端的决定和其他案文。根据第75条第(6)款(g)项。因此,自2018年5月以来,EDPB秘书处牵头起草了EDPB通过的67份文件中的45份(67%),更具体地说:
39项一致性意见(共42项),
1条建议(共1条),
15份正式文件中的5份(其他政治文件包括关于政治运动的声明,关于脱欧或ICO的信息说明,作为BCR SA负责人,LIBE报告...)
此外,EDPB秘书处的案件官员会定期为EDPB指南草案提供支持(自2019年5月起为9条指南),并起草了许多信息说明,总结了全体会议的主要讨论要点。
案件官员还处理要求公众访问文档,信息安全(LISO)和DPO活动的请求。最后,他们提供有关信息和媒体查询的法律专业知识。
在对ESG的行政支持方面(占9%的案件干事工作量的55%),案件干事与小组协调员密切合作以计划会议,准备议程,共享会议文件,记录会议记录,确保交流每天提供信息,并在必要时提供其他管理支持。
此外,EDPB秘书处雇用4名FTE来提供纯粹的行政和后勤支持。该支持包括:
组织所有EDPB会议和活动。这包括会议计划,设施管理,处理与会者的邀请和报销,协调安全和餐饮;
根据第75(6)(e)条,协调所有欧盟官方语言的所有官方文件的翻译和校对。
管理SA的联系人列表,并确保访问EDPB的安全IT系统和邮件列表;
担任与秘书处,EDPB,主席和副主席的支出(会议,代表团,合同,采购)有关的财务业务的业务启动官员;
此外,为了实现成员之间的有效而安全的通信和信息交换并保证官方文档随时间推移的一致性,4 FTE处理IT事务和记录管理。他们的任务包括:
提供有关EDPB IT通信工具和一站式通信工具(EDPB网站,EDPB信息交换平台,EDPB IMI交换系统以实现合作和一致性,EDPB视频会议系统)的开发,使用,维护,支持,培训,统计和用户指南,根据GDPR第75(6)(d)条。
为EDPB会议的组织提供IT支持(视频会议设施,全体会议投票系统),
制定和实施文件管理政策和程序以及EDPB命名约定;确保规则和概念的应用,特别是文件的注册,归档,保存和转移(4个中的1个FTE)
为确保与第三方的透明及时沟通,秘书处包括2名FTE,负责处理所有外部沟通。根据第75(6)(c)条,其任务除其他外包括:
日常媒体关系(媒体监测,答复信息查询,协调采访请求以及组织新闻发布会和媒体简报会)以及起草和分发新闻稿;
外部通信与EDPB通信网络的协调,包括关于EDPB新闻的联合通信,联合宣传运动和联合开发通信工具;
确保EDPB的在线形象(社交媒体帐户+网站);
制作EDPB出版物,包括年度报告(包括根据第71条第2款进行的利益相关方调查);
公共信息的协调(开放日,信息站在国际会议和答复公民的询问);
与外部利益相关者的关系管理:利益相关者活动的组织,跟进和协调会议和参加会议的要求,演讲准备,主席和副主席的简介和介绍;
确保与其他机构的公共关系。
根据GDPR第75(6)(a)和(b)条,所有工作人员都为确保EDPB的日常业务以及EDPB成员,其主席与委员会之间的每日信息交流做出了贡献。
EDPS水平支持服务
根据与EDPB达成的MoUse,EDPS负责确保EDPB获得足够的人力和财力资源,并在需要时提供行政支持。
4EDPS FTE正在提供与财务和采购有关的必要支持(包括购买所有商品和服务,偿还全体会议和小组会议的差旅费用),向EDPB秘书处工作人员提供人力资源支持(包括selection选,招聘,薪金,评估,促进,学习和发展以及对道德的尊重),支持预算的准备,监督和执行,其他横向事务(包括道德,内部控制和与不同审计利益相关者的联络),以及与EDPB外部沟通有关的一些技术支持。
5. 人力,技术和财政资源,用于有效合作和参与一致性机制
EDPB指出,GDPR的有效应用和一站式机制的成功很大程度上取决于SA可以使用的时间和资源。因此,至关重要的是,会员国应向SA提供增强的人力,财力和技术资源。这将使SA能够正确执行其增加的任务量,并满足立法者和公众的期望。
EDPB秘书处也需要足够的资源,该秘书处在准备和执行委托给EDPB的许多任务中起着关键作用。
A、你的DPA有多少员工(全时工作当量)?请提供至少2016, 2017, 2018、2019和2020年度的预测数字吗?
B、你的DPA的预算是多少?请提供数字(以欧元为单位)至少2016, 2017, 2018、2019和2020年度的预测。
SA的预算必须根据国家权限,活动范围和财务责任范围的可能差异来解释。
C、你的DPA是否处理了超出GDPR委托的任务?如果是,请在这些任务和GDPR委托的任务之间提供一个指示性分类。
SA提供的答案表明,除了GDPR委托的SA之外,它们还都执行某些任务。尽管大多数SA也负责与执法指令,ePrivacy框架以及欧盟机构和大型系统的协调监督有关的事务,但国家法律还为其分配了许多其他任务。SA的各个答案提供了更详细的概述。
D、你将如何从人力、财务和技术的角度来评估你的DPA的资源?
大多数SA明确表示它们没有足够的资源,而有些SA在此阶段认为不需要更多资源。
E、更具体地说,您的DPA是否有适当的准备来促进合作和一致性机制?有多少人致力于合作和一致性机制的问题?
大多数SA表示他们没有适当的能力来为合作与一致性机制做出贡献。
在SA中,处理这些问题的工作人员数量有所不同。有关更多详细信息,请检查由SA提供的单个答案。
6. 执法
EDPB成员自2018年5月以来采取的执法行动数据显示,大多数SA越来越重视和努力实施数据保护法律。
EDPB感谢GDPR和SA所提供的新的执法工具,这些工具使用了各种纠正措施,即不仅是行政罚款,还包括警告和谴责。
A、2018年5月以来,您收到了多少投诉(不包括信息请求)?什么样的沟通方式可以算作投诉?
在2018年5月25日至2019年11月30日期间,EU/EEA SA共收到约275.557份投诉。如下图所示,每个SA收到的投诉的数字差异很大。
关于投诉的定义,SA通常会依据GDPR第77条的规定,因此将确定的自然人或满足条件的非营利组织,组织或协会向SA提交的投诉视为投诉GDPR第80条提供的规定——认为处理与他或她有关的个人数据侵犯了GDPR。
上表中有关投诉的数字必须根据在国家一级使用“投诉”概念的可能差异来解释(例如,不同的可受理性要求、将明确的调解请求视为投诉等)。而且,仅信息请求通常不被视为投诉。
EDPB意识到了这些差异,并正在努力寻找可能的前进方向。
B、自2018年5月以来,您使用了哪些矫正权力?
C、你是否在所谓的“友好和解”的帮助下解决任何可能违反监管的行为?
一些SA根据其国家法律或明确程序中的规定,通过所谓的“友好和解”或“热心解决”解决可能的侵权行为。其他SA旨在以调解的方式解决案件,即使这不是诉讼程序的正式结果,也不会在双方之间达成协议或满足数据当事人的请求时结案。当数据主体的权利受到威胁或涉及到轻微侵权时,这尤其常见。有9个SA没有利用和解协议。
D、自2018年5月起,您共处以多少罚款?请提供示例。
在2018年5月25日至2019年11月30日期间,有22个EU/EEA SA运用了罚款这一矫正权力,总共发出了约785笔罚款。只有8个SA尚未执行任何行政罚款,尽管大多数SA正在进行中,可能会导致在不久的将来实施行政罚款。
大部分罚款与这些相关:处理个人数据的原则(GDPR第5条);处理的合法性(GDPR第6条);有效同意(GDPR第7条);处理特殊类别的个人数据(GDPR第9条);数据主体的透明度和权利(GDPR第12至22条);处理和数据泄露的安全性(GDPR第32至34条)。
E、你考虑了哪些减轻或加重的情况?
几个SA表示,通常在执行行政罚款时会考虑GDPR第83条提到的所有因素。它们在很大程度上依赖于于2018年5月25日获得批准通过的2016/679条例的适用。设置行政罚款的准则工作组于2017年10月3日获得了EDPB的批准。此外,一些SA采纳了专门针对确立行政罚款标准的内部准则或程序。
依赖于SA到2019年底描述该行为的个人贡献,最经常考虑的情况是:与SA的合作程度;侵权是否具有系统性的重复性质;诉讼是否是有意的;控制者为纠正问题或避免日后侵权而采取的措施;侵权的性质和持续时间;以前的相关侵权是否由同一控制者做出;控制者的性质(例如,行业内的专业人员,受公众关注的实体);受影响的个人数据的类别以及受影响的数据主体的数量。
7. 其他要求
7.1 数据泄露通知(GDPR第33条)
欧盟委员会要求SA提供有关通知给SA的个人数据泄露的数字。
7.2 中小企业倡议
欧盟执行委员会询问SA是否对中小型企业采取了主动行动,如果是,则采取了哪些主动行动。
几个SA提到了包括咨询热线以及开发或参与由欧盟资助的针对中小型企业的项目等。组织或参加针对中小企业的研讨会、培训等也是相关的举措。
为了继续满足中小企业的特殊需求,EDPB意识到开发更多工具以帮助他们适当实施GDPR并尽可能减轻其行政负担的重要性。在任何情况下,都应保持立法者在案文中倡导的基于风险的方法,因为数据主体的风险不取决于控制者中的人数。
EDPB成员已经设计了几种工具来支持中小企业遵守GDPR:
本文来源:碳链价值原文标题:欧洲数据保护委员会评估GDPR:面临挑战,但修改尚早
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。