欧洲数据保护委员会(EDPB)在2024年2月14日的第90次全体会议上,通过了关于控制者主要机构概念的意见,包括适用于一站式机制的标准。此外,还就欧洲委员会提出的一项关于预防和打击儿童性虐待的规定草案发表了一份声明,并讨论了某些在线平台在个性化广告环境中使用的“同意或支付”模式相关指导的范围,并承认有必要就该问题发布额外的指导方针。

意见关于第4条第16款(a)项下的主要机构

该意见是应法国提出的请求而发布的。 监管机构(CNIL)已经确定了对“主要机构”(根据GDPR第4(16)(a)条款)的定义可能存在不同解释以及GDPR第36条款中“中央管理地点”的相关性。CNIL质疑了当考虑中央管理地点是否构成主要机构时,监管机构是否必须首先收集证据来验证所识别的机构是否对处理的目的和方式做出决策,并且有权力实施这些决策。

意见概述了以下关键考虑因素:

  • EDPB得出结论,根据GDPR第4(16)(a)条款,控制者的中央管理地点只能是其主要机构,前提是控制者在多个成员国设有机构,并且该地点是控制者决定处理操作的目的和方式以及能够实施这些决定的地方。EDPB确认了GD的确存在一个跨境性问题,这就是在一个国家设立了一个中央管理地点,但在另一个国家设立了一个或多个从属机构的情况。在这种情况下,该中央管理地点是否可以被视为主要机构。这也引发了其他关于GDPR适用性的问题。

总的来说,EDPB的意见为理解GDPR中“主要机构”的概念提供了重要的指导,强调了控制者在跨境情况下的责任和义务。这对于确保个人数据受到适当保护以及促进数字市场的发展至关重要。 根据EDPB的解释,如果对数据处理的目的和方式的决定以及实施这些决定的权力是在欧盟之外行使(或者在欧盟没有这种决策或实施权力的证据),那么就没有主要机构,一站式机制也不适用。EDPB鼓励监管机构在实践中评估决策的制定地点和实施这些决定的权力所在之处,然后才确定一个机构是否为“主要机构”。

EDPB强调,监管机构有权挑战和不同意控制者基于客观事实的(主要)机构的声明,并可以通过各自的信息收集程序请求进一步信息。 根据GDPR第58(1)(a)条款,监管机构在Article 58(1)(a) GDPR下具有调查权力。如果一个监管机构得出结论称控制者未能证明其主要机构,该意见指出应该与其他监管机构共享评估结果以确保一致性。

EDPB承认在欧盟确定中央管理地点(如地区总部)是监管机构确定决策地点的起点,尽管监管机构仍须根据该意见中概述的标准评估是否构成主要机构。该意见确认了证明主要机构(以及决策地点)的举证责任仍然在控制者身上,并指出根据GDPR第30条等其他考虑因素,有效的处理活动记录可能有助于控制者证明主要机构。

关于《关于预防和打击的条例草案的声明》 关于儿童性虐待的声明与委员会关于对某些服务提供商施加合格义务以侦测、报告和阻止儿童性虐待图像的新规定提案有关。

在声明中,欧洲数据保护委员会(EDPB)承认欧洲议会对委员会提案的最新修订,旨在解决EDPB(以及欧洲数据保护监督员(EDPS)在联合意见04/2022中提出的某些关注,特别是关于提案下对隐私权和个人数据保护基本权利的限制是否合理的问题。例如,EDPB欢迎针对端到端加密通信的检测命令豁免。

然而,EDPB指出提案仍存在模糊不清的地方,并未充分保障隐私和数据保护 - 指出修订并未解决所有联合意见中提出的问题。 欧洲数据保护委员会(EDPB)和欧洲数据保护监督员(EDPS)对私人通信的无差别监控表示关注。例如,EDPB警告称,目前提案中规定发出检测令的标准存在歧义,并且提案中设想的检测技术存在显著的错误率。

有关此问题的新闻稿请点击这里 (opens new window),意见请点击这里 (opens new window),声明请点击这里 (opens new window)