歐盟GDPR(又稱《通用數據保護條例》)為充分保護個人數據在數據處理程序中的安全,明確了包括數據主體、數據控制者及處理者、數據監管機構等在內各方主體的職責。其中,數據監管機構作為專門設立的權威機構,在數據處理問題的專業性程度上毋庸置疑。因此,歐盟GDPR要求數據控制者在數據處理過程中,必須履行提前諮詢的義務,以增強數據處理過程的安全係數。
所謂提前諮詢,根據歐盟GDPR的規定,是指在經過數據保護影響評估的基礎上,已經顯示若控制者不採取一定的措施,該次數據處理會導致極高的風險性,則數據控制者為了降低該次個人數據處理過程的風險係數,必須向專門的數據監管機構進行數據處理前的諮詢。提前諮詢中,對數據控制者及數據監管機構均有相應的要求。
一、 提前諮詢中對數據控制者的要求
在提前諮詢中,數據控制者需要就風險問題向數據監管機構尋求建議,而數據控制者能夠獲取準確實際建議的前提即在於數據監管機構能夠充分了解此次即將進行的數據處理的具體情況,提供最為恰當的建議。這也就意味著數據控制者必須向數據監管機構提供其給出建議所必須的各項因素。為避免各數據控制者對必要因素理解不同導致的混亂,使得數據監管機構無法高效地提供相關建議,歐盟GDPR對數據控制者應當提供的信息予以明確規定。
根據歐盟GDPR的規定,數據控制者首先必須向監管機構釋明包括所有控制者、共同控制者以及處理者的責任劃分,明確各自的職能承擔,以便更準確地確認責任主體,處理相關風險。其次,數據控制者必須向監管機構提供其所制定的預期處理風險處理計劃,表明其在此次預估風險中所作出的努力,也能夠通過其計劃的制定反映自己對此次風險把控的程度,使數據監管機構側面瞭解數據控制者的想法。再次,數據控制者還需要提供其為了保護作為數據主體的自然人的合法權利及自由所採取的,符合歐盟GDPR規定的相關措施。與之相應的,也應當提供其所配備的數據保護官的詳細信息,至少應當包括數據保護官的姓名及具體聯繫方式,以確保該數據保護官能夠及時對數據保護相關事項作出處理。
二、 提前諮詢中對監管機構的要求
根據歐盟GDPR的規定,監管機構在接到數據控制者的提前諮詢請求時,應當儘可能快地作出恰當的回覆。在數據控制者依要求向數據監管機構提供相應信息後,數據監管機構在數據處理者無法準確識別或者判斷風險信息,或者認為數據控制者擬採取的處理方式違反了歐盟GDPR的規定時,應當在八週之內向數據控制者就其所提出的諮詢問題進行書面回覆。當然,若該問題過於複雜, 或者數據監管機構也難以在短時間內準確判斷該風險的性質、程度以及提供恰當的解決建議時,根據歐盟GDPR的規定,數據監管機構的回覆期限可以另行延長六週。
三、 提前諮詢中的其他情況
根據歐盟GDPR的規定,提前諮詢除了適用於數據影響評估的風險處理問題外,在歐盟成員國起草與數據處理相關的法案以獲取國會通過,或者根據已有立法制定相關實施細則及處理措施時,也應當諮詢監管機構。當然,這裡的監管機構為該成員國內部的數據監管機構。
綜上,提前諮詢作為風險預防的有效手段,在個人數據處理過程中發揮著不可替代的作用。
嚴正聲明:本文章內容為佑碧艾商務諮詢(上海)有限公司(以下簡稱LEB)原創作品,LEB對該作品享有全部著作權。歡迎轉發,如需以任何形式轉載請註明作品出處及標註作者(LEB)署名,違者將承擔相應法律責任。特此聲明。
閱讀更多 LEB企業法務智庫 的文章
