【前言】《通用數據保護條例》(GDPR) 是迄今為止覆蓋面最廣的全球性數據隱私保護法規,其於2016年4月15日在歐洲議會通過,並已於 2018 年 5 月 25 日琥生效。根據該法案,任何處理歐洲公民個人數據的組織都必須遵守該條例,而不合規的企業,可能面臨高達 2000 萬歐元或 4% 年營業額的罰款。以下為筆者就GDRP規則與要求,經綜合整理形成的系列解讀文章,今天是第八篇:
1)
2)
3)
4)
5)
6)
7)
8)數據保護監管機構及其職責、合作
數據保護監管機構及其職責、合作
一、數據保護監管機構
1、歐盟數據保護理事會
GDPR要求,為促進本條例的統一實施,應設立歐盟數據保護理事會作為一個獨立的歐盟機構。同時為實現其目標,理事會應有法人資格。理事會應由其主席代表,它取代了有關對指令95 / 46 / EC制定的個人數據處理有關的保護工作小組。理事會由各成員國監督機構的負責人和歐洲數據保護主管或其各自的代表組成。
歐洲委員會有權在沒有投票權的情況下參加理事會的活動和會議,歐洲數據保護主管只對涉及適用於歐盟各機構、機關、辦事處和機構的原則和規則的決定擁有表決權。理事會應致力於促進該條例在歐盟內的一致適用,包括向歐洲委員會提供建議,特別是關於第三國或國際組織的保護水平,並促進整個歐盟內監督機構的合作。理事會有權獨立執行任務。
GDPR規定,如果多數成員或歐洲委員會有關的監督當局提出要求,在應用一致性機制時,歐盟數據保護理事會應在確定的時間內發表意見。理事會還有權在監督機構之間發生爭議時,作出具有法律約束力的決定。為此,原則上它應由三分之二多數成員提出,在明確規定的情況下,當監管機構之間存在相互矛盾的意見時,做出具有法律約束力的決定。特別是在主管監管機構和監管機構的合作機制中,判斷案件是否違反了本條例規定。
2、秘書處
根據GDPR規定,歐盟數據保護理事會設秘書處。秘書處應完全按照理事會主席的指示履行其職務。歐洲數據保護主管的工作人員參與執行理事會根據本法規所指派的任務,應與其執行歐洲數據保護主管所指派的任務進行分開報告。
3、成員國數據保護監管機構
(1)監管機構的設立
GDPR要求,為保護個人數據,成員國有義務建立有獨立執行權的監管機構。成員國應該建立多個監管機構以反映其憲法、組織和行政結構。
(2)監管機構人員任命
GDPR要求,成員國應以法規形式確定監管機構官員資格,並通過透明程序如由議會、政府、國家首腦根據成員國法律予以獨立任命。
(3)監管機構的獨立性
GDPR要求,成員國應確保其監管機構不會應財務而喪失獨立性,每個監管機構都應該有一個獨立的、公開的年度預算,這可能是整個政府或國家預算的一部分。
同時,為了確保監管機構的獨立性,部門成員應誠實行事,避免發生與其職責不符的行為。在監察官任職期間,其不應參與任何不相容的職業,無論是否有收入。
另外,監管機構應當有自己的工作人員,由監察機關或者成員國法律設立的獨立機構選定,服從監管機構的特別指令。
(4)設施保障
GDPR要求,成員國應向監督機構提供必要的財政和人力資源、房地和基礎設施,以便有效執行其任務,包括與聯盟內的其他監督當局相互協助和合作的任務。
二、數據保護監管機構的職責
1、監管機構的職責
根據GDPR規定,監管機構應在其所屬成員國的領土上行使權力,並根據本條例執行職責,職責範圍涉及:
(1)設立在成員國領土上的控制者或處理者的數據處理活動;
(2)由公共當局或私人機構為公共利益而執行的數據處理;
(3)未在歐盟中設立機構的控制者或處理者對駐留在歐盟內的數據主體進行的數據處理。
職責內容主要包括處理數據主體提出的申訴,調查本條例的適用情況,並提高公眾對與處理有關的風險、規則、保障措施和權利的認識和理解和加強面向兒童的活動。
2、保護數據權利+促進數據流動
GDPR要求,監管機構應致力於本條例在歐盟中的貫徹應用,以便保護主體的數據權利並促進個人數據在國內市場中的自由流動。為此目的,監管機構應相互合作並與歐洲委員會合作,無需在成員國之間達成互助或進行合作的任何協議。
3、做出監管決定
GDPR要求,監管機構應根據本條例的規定,做出具有約束力的決定。如果監管機構根據GDPR作為主管監管機構時,應在決策過程中密切參與和協調有關監察機關的工作。如果主管監管機構做出了全部或部分地駁回數據主體投訴的決定,接受投訴的主管部門應採納該決定。
4、監管決定的執行
GDPR要求,監管決定應由主管監管機構和當地監管機構共同商定,並且直接約束數據主體或單一控制者或處理者。數據控制者或處理者應採取必要的措施,以確保遵守本規定,並將決策執行到控制者或處理者的主要組織中,以確保對GDPR的遵守,例如涉及某成員國在特定用工範圍內處理僱員的個人數據,但在這種情況下,監管機構應及時通知主管監管機構。
5、臨時監管措施與協作
GDPR提出,為提高公眾數據保護水平,監管機構採取的活動應包括針對數據控制者和處理者以及微型、中小型企業以及數據主體的具體措施,其中當數據主體權利受到威脅時,監管機構應立即採取臨時措施。臨時措施其本國領土的有效期不得超過3個月。
GDPR強調,上述緊急程序是監管機構為了臨時措施能產生法律效力而採取的。在強制適用的案件和跨國相關的案件中,主管監管機構和有關監管機構應在不觸發一致機制的情況下,在有關雙邊或多邊的基礎上進行相互協助和聯合行動。
三、數據保護監管機構授權、保障與合作
GDPR提出,為了確保本條例在歐盟內統一適用與執行,成員國應授予監管機構以相同的任務和有效的權力,包括調查、糾正權和制裁的權力,以及授權和諮詢權力。特別當數據主體申訴時,在不損害成員國起訴權的前提下,監管機構應提醒司法當局注意控制者的侵權行為並參與法律訴訟。這些權力還包括在數據處理中施加臨時或明確限制的權力,包括禁令。會員國可以自己規定保護個人數據的其他任務。
GDPR要求,監管機構的權力應當受歐盟和成員國法律規定的適當程序保障,並可以在合理時間內公正、公平、合理地行使。具體而言,每項措施都應該是適當的、必要的和相稱的,以確保遵守本條例,考慮到每一個案件的情況,尊重每一個人的權利,並避免不必要的成本和對相關人員的過度傷害。
調查權應按照成員國程序法的具體要求行使,例如要求獲得事先的司法授權。監管機構的每一項具有法律約束力的措施,應當以書面形式明確內容,並指示處理問題的監管機構、措施的簽發日期、措施負責人的簽名或監管機構成員的簽名,給出該措施的理由並指出有效的補救辦法。這不能排除會員國程序法提出的額外要求。通過一項具有法律約束力的決定,意味著通過該決定的監督當局所在的成員國可能會提起司法審查。
2、主管監管機構及其他監管機構的合作
(1)成員國可基於其法律體系和法定程序存在若干監督機構,並確保這些監督機構在一致性機制中有效參與。但成員國應當特別指定特定監督機構,確保其與其他監管機構、歐盟數據保護理事會和歐洲委員會保持迅速而順利的合作。
(2)當個人數據的處理行為是在一個設立在歐盟範圍內控制者或處理者構建的環境下完成的,且該控制者或處理者設立在多個成員國中,或數據處理行為是在一個設立在歐盟的處理者或控制者的行為下完成的,但其將實質性影響或有可能實際性影響的數據主體分佈在多個成員國中,則其主要控制者和處理者所在的成員國的監管機構將應作為主管監管機構。
(3)主管監管機構應與以下成員國的監管機構進行合作:(a)控制者或處理者在該成員國領土上有一個機構;(b)居住在其領土上的數據主題受到重大影響;(c)相關方已向該成員國提出申訴。此外,雖未在該成員國居留但該數據主體已提出投訴的,該等受理投訴的監管當局,亦應作為相關監管機構。
為確保的GDPR實施,歐盟數據保護理事會應發佈針對相關問題的指導方針,說明哪些數據處理構成對多個成員國的數據主體產生實質性影響及其標準,其中包括肯定標準和否決標準。
(4)如果數據控制者或處理者在幾個成員國都設有機構,未擔任主管監管機構的監管機構有權利處理區域案件, 但是隻能處理單一會員國中的案件,並且該案件只涉及單一成員國的數據主體,例如對成員國就業員工個人資料的處理。在這種情況下,監管機構應及時通知主管監管機構。在得到通知後,主管監管機構應決定是否根據主管監管機構與其他監管機構("一站式機構")的合作協定處理案件,還是通知區域一級處理此案的監管機構。
在決定是否處理該案件時,主管監管機構應考慮控制者或處理者所在成員國是否設立了監管機構,以確保處理決定有效執行。主管監管機構決定處理案件時,可以通知監管機構提交草案。在"一站式合作機制"中,主管監管機構應盡最大努力來完成它的起草決定。
根據GDPR為了滿足公共利益的需要,政府部門或私人機構所進行的數據處理不適用主管監管機構規則和"一站式機制"。在這種情況下,設立在成員國的監督機構有權行使本條例授予的權力。
(5)當處理投訴的機構不是主管監管機構時,主管監管機構應與監管機構緊密合作,並遵守本規例所指明的合作及一致性規定。在這種情況下,監管機構應當採取措施,包括實施行政罰款,最大限度地考慮主管監督機構的意見,並應繼續負責對該成員國領域內的調查,並與主管監管機構進行聯絡。
(6)當另一監管機構根據GDPR規定應作為管制員或處理活動的主要監管機構,但投訴所涉的主題或所涉侵權具體標的物的發現,均是處於另一成員國所涉的控制器或處理器處理活動中的,而且該事項並不會對其他成員國的數據主體產生重大影響或不太可能產生重大影響時,則接到投訴的或發現該潛在違規事項的或根據GDPR規定被告知相關事態的監管機構,應立即尋求與該數據控制者達成共同認可的解決方案,如果不成功,則應依規行使其全部權力,其中涵蓋:在監督當局成員國領土內進行具體處理,對該成員國領土上的數據主體的處理,在監管機構成員國領土上針對數據對象提供商品或服務的情況下進行的處理,以及考慮到成員國法律規定的相關法律義務而必須評估的處理。
(7)每個監管機構都應該與其他監管機構合作。被請求協助的監管機構應在規定的時間內對該請求作出回應,以確保本條例在國內市場的一致應用。如果提出互相幫助執行請求的監管機構在一個月內未收到回應的,其可以自行採取臨時措施。
(8)為了確保本條例在整個歐盟內的一致適用,應建立一個涉及各監管機構之間的一致性合作機制。這一機制應特別適用於這些擬採取的措施將會在幾個會員國中對大量數據主體產生實質性影響的情形,以及其他任何有關監管機構或歐洲委員會要求在一致機制中處理這類問題的情況。需要說明的是,這一機制不應影響歐洲委員會在條約規定的權力範圍內可能採取的任何措施。
作者∣陳德志 律師,錦天城律所資深律師,上海市律師協會證券業務研究委委員,從事法律行業十餘年,主要執業領域為:資本市場、併購重組、投資融資、企業合規建議與建設。
上海錦天城律師助理孫清對本文亦有幫助。
閱讀更多 百律 的文章
