在公众咨询后,欧洲数据保护委员会(EDPB)在2019年11月12日第15次全体会议上通过了有关通用数据保护条例(GDPR)领土范围的最终指南(该指南)。

我们之前已经在博客上考虑了准则草案。两个博客中的第一个博客考虑了GDPR的域外范围(这里),第二篇博客文章则考虑了非欧盟(EU)控制者需要指定位于欧盟的代表(这里)。

该准则旨在在评估控制者或处理者的处理是否属于GDPR的范围之内时,为数据保护机构提供GDPR第3条的通用解释。最终指南保留了指南初稿中采用的解释,但现在包括来自EDPB的进一步解释,以解决公众咨询期间收到的意见。下面,我们在最终版本的指南中考虑了EDPB的一些新增功能 这里.

欧盟未建立处理器

根据公众咨询的反馈,EDPB插入了一个新的指导部分,涉及欧盟未建立的加工商。

该指南指出,为了确定其加工活动是否可能受GDPR第3(2)条的约束,有必要查看加工者的加工活动是否与控制者的目标活动“相关”。如果控制者的加工活动与商品或服务的提供或在欧盟中对个人行为的监视(目标)有关,则指示加工者代表控制者进行加工活动的任何加工者均应属于GDPR第3(2)条。

因此,EDPB建议重点关注处理器执行的处理活动与数据控制器执行的定位活动之间的联系。如果处理者在控制者的指示下进行的处理活动与向欧盟中的数据主体提供商品或服务有关,则未在欧盟设立的处理者的处理活动将受到GDPR的约束。

欧盟代表的责任    

没有欧盟机构的GDPR捕获的控制者或处理者必须符合第27条的规定,指定欧盟代表,除非他们符合豁免标准。 GDPR第80条规定,如果控制人或处理人不遵守规定,则代表应接受执法程序的约束。

在该准则的初稿中,尚不清楚欧盟代表是否应对管制员或加工者未能履行其GDPR义务承担责任:监管机构可以“发起执法”。 反对 代表”(添加重点)。此内容已修改为“开始执行 通过 代表”(添加重点)。这表明,第27条代表将不承担直接责任,而是将成为监督机构可以追究控制者或处理者的渠道。 EDP​​B阐明,直接负有代表责任的可能性仅限于GDPR第30条(处理记录)和第58(1)条(调查权力)中提及的代表直接义务。这鼓励了当地代表服务提供商进入市场,并可以缓解为非欧盟公司寻找本地代表的挑战。

域外执法

如果根据第3条第(2)款在欧盟境外成立并属于GDPR领土范围内的组织没有任命第27条代表,该怎么办?当然,这将违反GDPR,但是监管机构如何启动执法程序? GDPR第50条允许发展国际合作机制,以促进与第三国和国际组织有关的数据保护法规的执行。迄今为止,还没有开发出这样的机制。 EDP​​B在未提供实质性更新的同时,确认正在考虑发展国际合作机制。请随时关注此博客以获取更多更新!