欧盟GDPR:监管机构的联合行动

2018-12-07 16:45


根据欧盟GDPR(又称《通用数据保护条例》)的规定,欧盟各成员国内部以及欧盟层面都应当设立数据监管机构来监督个人数据处理行为的合规与否。根据欧盟GDPR及各成员国内部的法律规定,不同的数据监管机构有不同的分工。但同时,数据处理过程中存在跨境转移、数据处理等较为复杂的情形,往往也并非一个数据监管机构即可以完成对整个数据处理过程的监管。因此,数据监管机构相互之间的配合就显得必不可少。

欧盟GDPR中对监管机构的联合行动作出了相应规定,以期通过不同区域、不同层级之间数据监管机构的相互配合,达到对数据处理过程中数据控制者及处理者的全方位监管,减少数据处理活动中的违规行为,避免作为数据主体的自然人其合法权益受到不必要的损失。根据欧盟GDPR的规定,在合适的时候,各监管机构之间应当进行联合行动,这一联合行动也包括在涉及到其他成员国监管机构的成员或者员工的情况下进行的联合调查和联合执行措施。所谓“合适的时候”,欧盟GDPR则通过列举的方式进行了明晰。

首先,当该数据控制者或者处理者在欧盟多个成员国内部均设立了数据处理机构,或者该次数据处理活动会对两国或者两国以上的数据主体造成影响时,所涉及到的成员国可以就此次数据处理活动开展联合行动。这些所涉及成员国中的监管机构在处理此次数据处理事件时,必须及时要求其他所涉及到的成员国内部的数据监管机构进行配合,同时其也必须对接收到的联合行动邀请作出及时回应,以确保不同数据监管机构之间的良好沟通配合。

其次,一个数据监管机构可以根据所属成员国的法律规定或者临时调派的监管机构的授权,将对此次数据处理事件的调查授权给临时调派的监管机构的人员。若无授权,在成员国法律允许的情形下,也应当允许临时调派机构的成员或者员工在遵循该成员国法律规定的前提下行使响应的调查权。但是根据欧盟GDPR的规定,只有在东道主数据监管机构的成员或者员工的监督下,该临时性调派机构的成员或者员工的调查权才能够行使。为确保东道主数据监管机构对临时调派机构的调查行为能够切实监管,根据欧盟GDPR的规定,东道主数据监管机构需要对临时调派机构的调查行为负责,该临时调派机构的成员及员工也必须遵守东道主数据监管机构所属国的法律规定。

再次,对于在一个成员国内造成的损害,只要是数据处理活动中由于监管造成,若可以由该成员国进行赔偿,则应当由该成员国承担响应的损害赔偿责任。若其中涉及到临时调派的数据监管机构,则在损害发生国对遭受损害的数据主体进行补偿后,该临时派遣机构的所属国也应当对遭受损害的数据主体进行补偿。而在其他情形下的联合行动中,任何联合行动的参加国不得就受到的损害向其他联合行动参加国要求损害赔偿。数据监管机构的联合行动中,各参与方均应当自担风险,不得要求同作为参与者的其他成员国承担损害赔偿责任。

最后,根据欧盟GDPR的规定,若在联合行动中,有监管机构拒绝承担根据欧盟GDPR的联合行动中规定的其应当承担的责任,其他监管机构可以根据欧盟GDPR第55条的规定采取临时性措施,欧盟委员会可根据此紧急情况作出紧急约束性决定。

综上,数据监管机构之间的联合行动旨在通过不同国家之间数据监管机构的相互配合,达到对所有数据处理活动的充分监管,旨在最大程度降低不必要的损失,维护数据主体的合法权益。

严正声明:本文章内容为佑碧艾商务咨询(上海)有限公司(以下简称LEB)原创作品,LEB对该作品享有全部著作权。欢迎转发,如需以任何形式转载请注明作品出处及标注作者(LEB)署名,违者将承担相应法律责任。特此声明。


推荐新闻
会员升级
会员升级