编者按:GDPR从2018年5月25日正式实施以来,已经走过一年时间。欧盟数据保护委员会对GDPR的执行和实施情况做了阶段性的总结与回顾:实施满一年,欧盟共收到包括投诉、数据泄露通知以及其他类型的案件206326件,11个欧盟国家的数据保护监管机构共作出55955871欧元罚款。与传统法令的执行实施机制不同,GDPR重视监管机构间的合作与一致性机制,并通过相互帮助、联合行动、一站式咨询服务等机制工具和内部市场信息系统(IMI)等信息技术手段保障GDPR在更广的范围达成效果。欧盟数据保护委员会评估后认为,GDPR所带来的预算和人力成本有所增加,同时在一致性机制方面可能造成不必要的资源浪费,需要进一步优化体制机制设计,畅通监管机构间的合作与协同,促进GDPR更有效地执行和落地。
行动纲要
本文件概述了《一般数据保护条例》(GDPR)的实施和执行情况,涵盖合作机制和一致性调查结果。与欧盟第95/46/EC号指令相比,在欧盟指令中,监管机构即使在跨境案件中也是单独工作的,而GDPR规定监管机构有义务进行合作,以提供对GDPR的一致适用。此外,欧洲数据保护委员会(EDPB)提供了一个一致性机制,以进一步促进协调。
GDPR生效九个月后,EDPB成员认为,GDPR合作和一致性机制在实践中运作良好。国家层面的监管机构每天都在努力促进这种合作,这意味着它们之间有许多交流(书面和口头)。
这些合作职责导致了额外的工作量、处理案件的额外时间,并对监管机构的预算产生影响。由于合作,处理跨境案件需要时间,需要进行彻底调查并遵守国家程序规则。国家层面的监管机构必须应对GDPR统一保护和执法方面的挑战。到目前为止,共有6个最终的一站式服务案例。
迄今为止,EDPB在一致性机制方面的经验有限,因为在报告所述期间,没有必要通过这个新的欧盟机构进行争端解决。
一、监管机构间的合作机制和EDPB的一致性机制
合作机制
GDPR要求欧洲经济区(EU-28 +冰岛、挪威和列支敦士登)的监管机构在涉及跨境的情况下密切合作,并通过使用以下工具予以支持:
相互帮助
联合行动
一站式合作机制,引入了主导监管机构对跨境案件进行强制性干预
跨境案件的合作(根据个人的投诉)由国家层面的监管机构执行。EDPB不处理这些案件,除非监管当局之间发生争端或情况紧急。
一致性机制
EDPB的主要任务之一是确保GDPR的一贯适用。确保一致性的一个机会是就GDPR的解释提供一般性指导,这将有助于利益相关方、监管当局和公众对条款的共同理解和适用。自2018年5月25日以来,EDPB批准了第二十九工作组(EDPB的前身)编写的16项指南,并通过了另外5项指南。确保一致性的另一个机会是采纳一致的意见和决定。这些决定主要针对国家监管机构,并确保GDPR的一贯适用和执行。
标准化沟通
为了支持EDPB成员之间的合作和一致性机制,欧盟委员会发展部与EDPB秘书处和EDPB成员一起定制了一个信息技术系统——内部市场信息系统(IMI)。该系统在GDPR开始应用的第一天投入运行。该系统为监管机构间的信息共享提供了一种结构化和保密的方式。
国家层面的监管机构对该系统的反馈非常积极。已经设立了一个专门的专家小组,通过EDPB秘书处向EDPB成员提供的信息技术服务平台不断收集反馈,以确保系统的优化。
在系统的案件登记中心有案件登记之前,必须确定主管当局。该注册表是一个中央数据库,可以启动不同的程序,例如互相帮助、联合行动和一站式机制。附录中的方案概述了系统的功能。
合作机制
a.确定主导机构和相关监管机构的初步程序
在对跨境案件启动一站式程序之前,有必要确定领导合作的机构(主导机构)和其他相关监管机构(相关机构)。主导机构必须领导合作程序,起草决议,相关监管机构则有机会提出反对意见。
主导机构是欧洲经济区内的权力机构EDPB在IMI系统中创建了工作流,使监管机构能够确定各自的角色。这一程序的主要目的是在早期阶段界定清楚各自角色,并避免在程序的后期阶段对权限问题提出异议。如果对哪一个机构应作为主导机构存在意见冲突,EDPB将发挥争议解决机构的作用,并发布具有约束力的决定。
自2018年5月25日以来,已经启动了642个程序,以确定跨境案件中的主导机构和相关监管机构。在642个程序中,有306个已关闭,并确定了主导的监管机构。到目前为止,在选择主导监管机构方面没有争议。24个欧洲经济区国家已经启动了程序,26个监管机构被提请担任主导机构。
b.关于有跨境案件的数据库
这些案件将被登记在一个中央数据库中,从中可以启动不同的程序,例如互相帮助、联合行动和一站式机制。自2018年5月25日以来,30个不同的欧洲经济区监管机关在IMI系统中共登记了281起跨境案件。大部分未决案件来自个人投诉(194起),其余案例(87)有其他来源。案件的三个主要主题涉及数据主体权利的行使、消费者权利和数据泄露。
c.一站式机制
GDPR为跨境案件提供了具体的合作程序(一站式服务)。一站式机制适用的情形,即控制者或处理者在不止一个成员国设有机构,或者数据处理活动对不止一个成员国的个人产生重大影响。
一站式服务机制意味着主导机构和相关监管机构之间的合作。主导机构将领导合作程序,并在相关机构之间达成共识以及就数据控制者或处理者达成协调决策的过程中发挥关键作用。
首先主导机构必须调查该案件,同时遵守国家的相关程序规则(例如,保障被影响的人发表意见的权利)。在这一调查阶段,它可以通过相互协助从另一个监管机构收集信息,或者在各国家法律可预期的情况下进行联合调查。
IMI系统还为主导机构提供了机会,如有必要,可以发起与所有相关机构的非正式沟通,以收集信息并准备相关草案决定。主导机构完成调查,就会准备一份草案,并将其传达给相关监管机构。监管机构可以反对该草案,该反对意见要么导致草案的重新修订,要么触发理事会的争端解决机制。
如果对草案产生争议,但未能达成共识,则启动一致性机制,并将案件提交EDPB。然后,EDPB将充当争端解决机构,并就此案发布具有约束力的裁决。主导机构必须在EDPB的决定的基础上采纳其最终决定。
如果相关的监管机构不反对最初的草案或修订后的草案,他们将被视为同意该草案。主导机构可以采纳其最终决定。
IMI系统提供不同的程序来处理一站式案件:
1.非正式磋商程序;
2.由主导机构提交给相关监管机构的草案决定或修订草案;
3.提交给相关监管机构和EDPB的最终一站式决定。
自2018年5月25日以来,来自14个不同欧洲经济区国家的监管机构启动了45个一站式服务程序。这45个程序处于不同阶段:23个处于非正式磋商阶段,16个处于草案阶段,6个处于最终决定阶段。
这些最后的一站式决策涉及个人权利的行使(如擦除权)、数据处理的合法性依据和数据泄露通知。一站式服务程序的数量有限是可以解释的,因为草案的流转是主导机构根据国家行政程序法进行调查的结果。一站式服务程序的数量正在稳步增加。
d.互相帮助
互助程序允许每个监管机构向其他监管机构索取信息,但也要求采取有效的合作措施(如事先授权、调查等)。这种互助可用于受一站式程序制约的跨境案件(作为起草决议前收集必要信息的初步阶段的一部分),也可用于具有跨境特征的国家案件。
IMI系统允许在没有任何法定期限的情况下使用非正式互助,或者在被要求的监管机构有1个月的法定答复期限要求的情况下使用正式互助。自2018年5月25日以来,来自18个不同欧洲经济区国家的监管机构触发了444项(正式和非正式)互助请求。在444项互助请求中,有353项在23天内发出了答复。其余91起案件仍在进行中,尚未得到请求的监管机构的答复。
e.联合行动
GDPR允许不同成员国的监管机构开展联合调查和联合执法措施。联合行动可用于受一站式程序制约的跨境案件(作为起草决定前收集必要信息的初步阶段的一部分),也可用于包括跨境部分的国家案件。自2018年5月25日至2019年1月31日,没有发起任何联合行动。
f.监管机构对合作机制的评估及改进建议
与欧共体第95/46/EC号指令相比,在欧盟的指令中,即使在跨境案件中,主导机构也是单独工作的,GDPR预见性地规定了监管机构的合作义务,以提供对GDPR的一致适用。
国家层面的监管机构适应了这一新形势。GDPR的优势之一是让监管机构有一定的回旋余地来应对这些挑战。
然而,GDPR正式实施仅9个月,在EDPB层面仍有很多工作要做,以进一步简化程序,使该系统更加有效。分配给当局的资源问题(例如招聘会说英语的工作人员)影响到该系统的全球效率。
一致性机制
a.一致性意见
对于某些类型的决议,国家监督机关在有权通过其决议之前必须征求EDPB的意见。例如,这适用于批准跨境行为准则、采用标准化合同条款或采用描述必须满足数据保护影响评估的处理类型的国家清单。
EDPB发布的一致性意见的目的是保证GDPR在有资格的监管机构想要采取这些具体措施的情况下的一致适用。国家监管机构、EDPB主席或EDPB委员会可要求EDPB就任何在一个以上成员国普遍适用或产生影响的事项发表一致意见。自2018年5月25日以来,EDPB通过了28项关于受数据保护影响评估制约的国家处理清单的意见和1项关于金融监管机构(欧洲经济区内和欧洲经济区外)之间个人数据传输行政安排草案的意见。
目前有3个正在进行的程序,涉及具有约束力的公司规则、数据控制者和处理者之间的标准合同草案以及GDPR指令和电子版权指令之间的相互作用,特别是关于国家数据保护监管机构的权限。
b.争议解决
EDPB作为争端解决机构进行干预,并通过具有约束力的决定,以确保GDPR在以下情况下的一致适用:
在一站式服务机制内发生争议(相关机构提出相关且合理的异议,该异议不被主导机构通过);
对主导机构的决议产生分歧;
监管机构不要求或不遵循EDPB的一致性意见。
从2018年5月25日至2019年2月18日,没有启动任何争端解决。这意味着到目前为止,监管机构能够在当前情况下达成共识,这是合作上的一个良好迹象。
c.监管机构对一致性机制的评估和改进建议
以下分析反映了监管机构对本报告的看法和印象:
到目前为止,EDPB不必充当争端解决机构,这也是因为一站式案件的裁决数量仍然相对较少。由于EDPB迄今为止主要侧重于编写关于国家DPIA清单(关于接受数据保护影响评估的国家级清单)的一致性意见。大多数监管当局强调,EDPB在其他领域的一致性机制方面的经验仍然有限。然而,计划在未来几个月内,将向EDPB提交其他类型的国家层面的措施,如巴塞尔公约区域中心、行为守则、标准合同和与认证有关的问题,从而触发其他领域的一致性机制。
根据第一批反馈经验发现,一致性机制需要许多资源,既费时又要求当局在给定的时间框架内迅速采取行动。在这方面,会议讨论后,可能会延长一致性机制行动的最后期限。
二、国家监管机构的手段和权力
预算和人力资源
在新的法律框架下,监管机构身兼两职。它们不仅处理它们正在增强的执法权力,而且还被要求更加积极参与,这意味着需要更多的预算和工作人员。
a.预算
虽然根据26个欧洲经济区国家的监管机构和EDPS提供的信息,在大多数情况下,2018年和2019年的预算有所增加,但在两种情况下,预算有所减少,在三种情况下,预算没有变化。根据各监管机构提供的信息,后一种现象可以用这段时间的半年计划来解释。
尽管17个答复的监管机构中大多数表示需要增加30-50%的预算,但几乎没有一个国家收到明确要求的预算数额。而在一些极端的情况下,增加预算的需求接近甚至为100%。
b.人力资源
根据来自26个欧洲经济区国家和EDPS的审计员提供的信息,大多数监管机构的工作人员有所增加,而8个监管机构的员工数没有变化。甚至一个监管机构的人员有所减少。鉴于监管机构的权限范围不同(GDPR、电子隐私、信息自由),对人员的要求也各不相同。
《GDPR公约》在国家层面的实施和执行
欧洲经济区31个国家的监管机构报告的案件总数为206,326例。可以区分三种不同类型的案件,即基于投诉的案件、基于数据泄露的通知和其他类型的案例。大多数案件与投诉有关,有94,622起,64,684起是根据数据控制者的数据泄露通知启动的。其中52 %的案件已经结案,1%的案件进入国家司法程序。
更正能力:关于更正权,监管机构有不同的措施可以使用:
向数据控制者或处理者发出警告,指出正在进行的处理操作可能违反GDPR;
向处理操作违反GDPR规定的控制者或处理者发出谴责;
命令控制者或处理者遵守数据主体的请求或使处理操作符合GDPR;
施加行政限制、禁令和罚款。
根据第58.2(i)条,来自11个欧洲经济区国家的监管机构已经处以行政罚款。罚款总额为55,955,871欧元。
三、结论
GDPR生效九个月后,EDPB成员认为,GDPR利用新的合作方式,包括常规交流,在实践中运作良好。已经取得成果的一站式服务案件检验了GDPR的一些核心原则,并得到顺利解决。迄今为止,没有一起跨境案件升级到EDPB层面。
尽管过去几个月来案件数量有所增加,但监管机构报告称,目前工作量是可以控制的,这在很大程度上归功于各国监管机构、第29工作组和理事会在过去两年中的充分准备。
附件:
监管机构间的合作机制和EDPB的一致性机制
预算
人力资源
GDPR在国家一级的实施和执行
来源:欧洲数据保护委员会(EDPB)
编译:京东数字科技研究院研究员张夏明
查看完整版报告:https://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/LIBE/DV/2019/02-25/9_EDPB_report_EN.pdf
声明:本文来自京东数字科技研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
