欧盟GDPR:数据控制者的提前咨询

2018-12-20 14:31


欧盟GDPR(又称《通用数据保护条例》)为充分保护个人数据在数据处理程序中的安全,明确了包括数据主体、数据控制者及处理者、数据监管机构等在内各方主体的职责。其中,数据监管机构作为专门设立的权威机构,在数据处理问题的专业性程度上毋庸置疑。因此,欧盟GDPR要求数据控制者在数据处理过程中,必须履行提前咨询的义务,以增强数据处理过程的安全系数。

所谓提前咨询,根据欧盟GDPR的规定,是指在经过数据保护影响评估的基础上,已经显示若控制者不采取一定的措施,该次数据处理会导致极高的风险性,则数据控制者为了降低该次个人数据处理过程的风险系数,必须向专门的数据监管机构进行数据处理前的咨询。提前咨询中,对数据控制者及数据监管机构均有相应的要求。

一、 提前咨询中对数据控制者的要求

在提前咨询中,数据控制者需要就风险问题向数据监管机构寻求建议,而数据控制者能够获取准确实际建议的前提即在于数据监管机构能够充分了解此次即将进行的数据处理的具体情况,提供最为恰当的建议。这也就意味着数据控制者必须向数据监管机构提供其给出建议所必须的各项因素。为避免各数据控制者对必要因素理解不同导致的混乱,使得数据监管机构无法高效地提供相关建议,欧盟GDPR对数据控制者应当提供的信息予以明确规定。

根据欧盟GDPR的规定,数据控制者首先必须向监管机构释明包括所有控制者、共同控制者以及处理者的责任划分,明确各自的职能承担,以便更准确地确认责任主体,处理相关风险。其次,数据控制者必须向监管机构提供其所制定的预期处理风险处理计划,表明其在此次预估风险中所作出的努力,也能够通过其计划的制定反映自己对此次风险把控的程度,使数据监管机构侧面了解数据控制者的想法。再次,数据控制者还需要提供其为了保护作为数据主体的自然人的合法权利及自由所采取的,符合欧盟GDPR规定的相关措施。与之相应的,也应当提供其所配备的数据保护官的详细信息,至少应当包括数据保护官的姓名及具体联系方式,以确保该数据保护官能够及时对数据保护相关事项作出处理。

二、 提前咨询中对监管机构的要求

根据欧盟GDPR的规定,监管机构在接到数据控制者的提前咨询请求时,应当尽可能快地作出恰当的回复。在数据控制者依要求向数据监管机构提供相应信息后,数据监管机构在数据处理者无法准确识别或者判断风险信息,或者认为数据控制者拟采取的处理方式违反了欧盟GDPR的规定时,应当在八周之内向数据控制者就其所提出的咨询问题进行书面回复。当然,若该问题过于复杂, 或者数据监管机构也难以在短时间内准确判断该风险的性质、程度以及提供恰当的解决建议时,根据欧盟GDPR的规定,数据监管机构的回复期限可以另行延长六周。

三、 提前咨询中的其他情况

根据欧盟GDPR的规定,提前咨询除了适用于数据影响评估的风险处理问题外,在欧盟成员国起草与数据处理相关的法案以获取国会通过,或者根据已有立法制定相关实施细则及处理措施时,也应当咨询监管机构。当然,这里的监管机构为该成员国内部的数据监管机构。

综上,提前咨询作为风险预防的有效手段,在个人数据处理过程中发挥着不可替代的作用。

严正声明:本文章内容为佑碧艾商务咨询(上海)有限公司(以下简称LEB)原创作品,LEB对该作品享有全部著作权。欢迎转发,如需以任何形式转载请注明作品出处及标注作者(LEB)署名,违者将承担相应法律责任。特此声明。


推荐新闻
会员升级
会员升级