2024年2月13日，欧洲数据保护委员会（EDPB）通过了一份关于GDPR第4条规定的控制者“主要机构”概念的意见 (opens new window)。该意见旨在澄清以下两个方面：（i）对于在欧盟拥有多个机构的控制者，确定控制者是否在欧盟拥有“主要机构”的相关条件；（ii）在这些情况下所谓的“一站式窗口”机制的应用。

以下是EDPB意见的概述。

现有的EDPB指南，例如关于识别主监管机构的指南（请参阅我们之前的博客帖子 (opens new window)），已经包含了一些关于“主要机构”的相关内容。 在欧盟《通用数据保护条例》第4(16)(a)条规定的“主设立”概念尚未详细考虑，定义为“在联盟内设立的中央管理地点，除非个人数据处理的目的和方式决策在联盟内的控制者的另一个设立中被作出，并且该设立有权实施这些决策，此时作出这些决策的设立将被视为主设立”。本意见旨在填补监管指导中的这一空白，响应法国监管机构的要求。

首先，EDPB提醒《通用数据保护条例》不允许在欧盟确定“主设立”时进行“论坛购物”。决定应基于客观标准，而不是主观指定。

其次，EDPB讨论了组织“主要管理地点”的含义，如在欧盟其他领域法律中解释的那样，这是一个重要的概念。 根据普遍理解，公司的“真正驻地”通常被认为是公司的总部，即中央管理和控制的地点。

欧洲数据保护委员会在其意见中得出以下关键观点：

• 如果控制者在“中央管理地点”满足两个累积条件，即：控制者（i）就处理的目的和方式作出决策；以及（ii）有权实施这些决定，那么控制者的“中央管理地点”可能符合其“主要机构”的定义；
• 一站式窗口机制只有在有证据表明控制者的欧盟机构中的一个满足上述第1点提到的两个条件时才能应用；
• 如果欧盟机构中没有任何一个实际上就处理的手段和处理目的做出决策，或者有权实施这些决定 - 因为这些权力是在欧盟之外行使的 - 那么在欧盟就不应该有任何“主要机构”，一站式窗口机制也不应适用； 在GDPR的框架下，对于监管当局（SA）对概念的实际应用，举证责任落在控制者身上，他们还有义务配合SA就这方面进行评估。控制者可以依靠诸如处理活动记录和隐私政策等元素来证实他们的主张；而SA保留挑战控制者主张的权力，基于对相关事实的客观审查，并有可能要求进一步信息。

考文顿隐私与网络安全团队很乐意协助任何涉及在欧盟设立业务的相关问题，以GDPR的角度，以及其他数据保护和网络安全事务。

（本博客文章得到Diane Valat的贡献。）