欧洲数据保护委员会（EDPB）采纳有关主要机构概念的意见

2024年2月13日，欧洲数据保护委员会（EDPB）采纳了关于欧盟一般数据保护条例（GDPR）第4(16)(a)条下控制者主要机构概念的意见04/2024 (opens new window)（以下简称“意见”）。

意见是由法国数据保护局（CNIL）提出的，旨在澄清GDPR第4(16)(a)条中有关在欧盟内部数据控制者“主要机构”的概念。第4(16)(a)条定义了数据控制者在欧盟内的“主要机构”的概念。

这一意见对于那些在欧盟范围内运营的企业来说尤为重要，因为它有助于确定哪个机构应该被视为控制者在欧盟内的主要机构。这有助于确保GDPR的适用和实施在跨境业务中得到正确执行。 根据GDPR中“主要设立”的定义，其“在联盟内的中央管理地点，除非个人数据处理的目的和手段的决定是在联盟内控制者的另一个设立中作出，并且后者设立有权力实施这些决定，那么作出这些决定的设立将被视为主要设立”。主要设立概念是GDPR一站式窗口的基石，因为它在确定哪个欧盟数据保护当局（如果有的话）是跨境数据保护案件的主要监督当局方面起着关键作用。

意见的关键要点包括：

• 在欧盟的数据控制者的“中央管理地点”只有在该设立作出关于数据处理活动目的和手段的决定，并且有权力实施这些决定时才能被视为主要设立。
• 一站式窗口只能适用于跨境数据保护案件，如果数据控制者在联盟内有多个设立时，必须确定哪个设立是主要设立。 如果有证据表明欧盟的某个机构对相关处理活动的目的和手段做出决定，并有权实施这些决定，那么该机构就被视为主要机构。这意味着，如果对相关处理的目的和手段的决定是在欧盟以外做出的（例如，在第三国家的母公司，如美国），则根据《GDPR》第4(16)(a)条的规定，没有主要机构，因此一站式窗口不适用。

数据控制者在确定“中央管理地点”方面的举证责任最终落在他们身上，他们可以利用各种因素来做出这样的确定，包括根据第30条所保留的处理活动记录和隐私政策。数据控制者有责任与监管当局合作。

监管当局可以通过客观审查相关事实并寻求进一步信息来质疑数据控制者的评估。 在确定中央管理地点的过程中，监管机构必须合作并就适合具体案例的细节水平达成共识。确定中央管理地点只是帮助监管机构确定数据处理目的和手段的决策何处制定的初始步骤，同时还要确定实施这些决策的权力所在。监管机构必须评估是否在控制者的另一个机构中做出了关键处理决策，并具有实施这些决策的权力。根据《通用数据保护条例》第60(1)条下的合作机制，监管机构对主要机构的存在性的评估必须与所有相关监管机构共享，以就主题达成共识。

在该意见中，欧洲数据保护委员会还提醒了一站式窗口机制的一般目标，即减少法律不确定性和碎片化。 欧盟数据保护委员会（EDPB）已经在全欧洲范围内对GDPR的应用进行了明确规定，同时为在多个欧盟成员国开展跨境处理活动的组织提供了单一联系点，即主管监管机构。

阅读EDPB的新闻稿 (opens new window)和意见书 (opens new window)。

当前法律分析

我们与世界领先的律师合作，为您提供量身定制的新闻。立即注册，获取我们的免费电子新闻简报。