2019年5月25日,GDPR实施已满周年,一年实施期间让众多跨境企业尤其是在欧洲市场开展业务的跨境企业如履薄冰,社会各界对于GDPR是非功过莫衷一是。周年之际,欧洲数据保护委员会发布官方周年报告First Overview On the Implementation of the GDPR and the Roles and Means of the National Supervisory Authorities,对GDPR一年实施予以检视。全文翻译如下,并将报告附图附于报告正文对应各处,以便查阅。

实施概况

本文件概述《通用数据保护条例》(GDPR)的实施和执行情况,同时涵盖合作机制及一致性调查。
相较于各监管机构在跨境案件中各行其是的欧洲理事会第95/46/EC号指令而言,GDPR为各监管当局创设了一项合作义务,以确保GDPR的一体化适用。除此之外,欧洲数据保护委员会(EDPB,European Data Protection Board)还提供一套一体化机制以进一步促进一致性。
在GDPR开始实施后九个月内,欧洲数据保护委员会委员认为,GDPR合作及一致性机制在实践中运作良好。各国家监管机构每日尽力促进该等合作,这意味着他们之间进行了大量的交流(书面或口头)。
此等合作义务导致超额工作量、处理案件的额外时间并对监管者的预算产生影响。由于合作,处理跨境界案件需要时间,因为需要进行全面调查,并需要遵守国家程序规则。国家监管机构必须应对一体保护及GDPR实施而带来的这些挑战。
截至目前,共有六宗终结的“一站式站点”(One-Stop-Shop)案件。
迄今为止,欧洲数据保护委员会关于一体化的经验仍然有限,因为在报告期内并无必须经由这个新的欧盟机构解决的纠纷。

一、监管机构之间的合作机制及欧洲数据保护委员会的一体化机制

▶ 合作机制
GDPR要求欧洲经济区(欧盟28国+冰岛、挪威及列支敦士登)的监管机构在含有跨界因素的案件中紧密合作,并通过使用如下工具予以支持:

  • 相互协助
  • 联合行动
  • 一站式合作机制,其引进了跨境案件中主导监管机构的强制干预
    跨境案件(例如基于自然人的投诉)的合作由国家监管机构处理。除非监管机构之间发生争议或情况紧急,否则欧洲数据保护委员会并不处理该等案件。

▶ 一体化机制
欧洲数据保护委员会的主要任务之一即在于确保GDPR的一体化适用。
确保一体化的一个机会是就GDPR的解释提供一般性指导,这将有助于利益相关者、监管当局和公众对这些规定的共同理解和适用。从2018年5月25日开始,欧洲数据保护委员会已批准“第29条工作组”(欧洲数据保护委员会的前身)编写的16项准则,并通过了5项附加准则。
另一机会在于通过一体化意见和决定。这些决定主要针对国家监管机构并确保GDPR的一体化适用和实施。
▶ 标准化交流
为支持欧洲数据保护委员会委员之间的合作和一体化机制,欧盟委员会成长部(DG Grow of the EU Commission)汇通欧洲数据保护委员会秘书处及欧洲数据保护委员会委员已改造了一项现存的IT系统——内部市场信息系统(IMI,Internal Market Information system)。该系统于GDPR开始实施的第一天即已投入运行。该系统提供结构化及保密性的方式以在监管机构之间分享信息。
各国家监管者对于该系统的反馈非常积极。已经建立了一个专门的专家小组,以确保在EDPB秘书处向EDPB成员提供的专门IT帮助台支持所收集反馈的基础上不断增强系统。
在系统的案件登记册中生成案件之前,必须确定主管当局。该等注册是中央数据库,从这里可以启动不同程序,例如相互协助、联合行动和一站式机制。

(一)合作机制

1.用以确定主导和有关监管机构的初步程序

在就跨境案件启动一站式程序之前,有必要确定主导合作的监管机构(主导监管机构,Lead SA)以及其他有关监管机构(有关监管机构,Concerned SA)。主导监管机构将必须主导合作程序,起草决定,有关监管机构可以提出反对意见。
主导监管机构是欧洲经济区内的监管机构,受调查的组织在其内设有主要机构。主要机构被确认为受调查公司或组织在欧盟的中央管理机构。
欧洲数据保护委员会已在IMI系统中设立工作流,以使各监管机构确认其各自职责。该程序的主要,戳在于在早期阶段确认职责,以避免避免在程序后期阶段对权限问题提出异议。
在就哪一监管机构应当担任主导监管机构的问题上发生争议时,欧洲数据保护委员会具有争议解决机构的作用,并作出有拘束力的决定。
自从2018年5月25日开始,已启动642项程序以确认跨境案件中的主导监管机构和有关监管机构。在642项程序中,306项程序已经终结并已确认主导监管机构。
截至目前,尚无关于主导监管机构选择的争议产生。
24个欧洲经济区国家已启动程序且26个监管机构已被提名担任主导监管机构。

2.涉及跨境因素的案件数据库

这些案件将在一个中央数据库中注册,在这里可以启动不同的程序,诸如相互协助、联合行动及一站式机制。
自2018年5月25日开始,30个不同的欧洲经济区监管机构已在IMI系统总共注册281件含跨境因素的案件。
已立案的案件大部分来自个人投诉(194宗)。其余案例 (87宗) 则来源于其他。
这些个案的三个主要主题,与数据主体权利的行使、消费者权益及数据泄露有关。

3.一站式机制

GDPR为跨境案件提供一个特别的合作程序(一站式)。跨境案件产生于数据控制者或数据处理者在一个以上成员国设有机构的情形,或者数据处理活动实质性影响超过一个成员国自然人的情形。
一站式机制意味着主导监管机构与有关监管机构之间的合作。主导监管机构将领导合作程序,并在有关监管机构之间达成共识并就数据控制者或处理器达成一致性决定的过程中发挥关键作用。
主导监管机构首先必须调查案件,同时需遵守相关国际程序规则(例如向受影响者提供聆讯的权利)。在调查阶段,主导监管机构可以通过相互协助方式从其他监管机构搜集信息,或在各自国内法所预见的情况下进行联合调查。
IMI系统还允许主导监管机构发起与所有有关监管机构的信息交流(如有必要),以搜集信息用于准备起草决定草案。
一旦主导监管机构完成调查,其将起草决定草案并将草案传达给有关监管机构。有关监管机构可以反对决定草案,由此或者导致决定草案修正案,或者触发委员会的争议解决机制。
如就决定草案发生争议且未达成共识,将触发一致性机制,相关案件将提交欧洲数据保护委员会。欧洲数据保护委员会将扮演争议解决机构并就案件作出有拘束力的决定。主导监管机构必须根据欧洲数据保护委员会的决定作出其终局性决定。
如果有关监管机构为反对最初的决定草案或其修正案,则视为他们同意决定草案,在这种情况下,主导监管机构可以作出其终局性决定。
IMI系统提供不同程序处理一站式案件:

  • 非正式磋商程序;
  • 主导监管机构提交给有关监管机构的决定草案或修正案;
  • 提交给有关监管机构和欧洲数据保护委员会的终局性一站式决定。
    自2018年5月25日,来自14个欧洲经济区的监管机构已启动45项一站式程序。该45项程序处于不同阶段:23项处于非正式磋商阶段,16项处于决议草案阶段,6项已作出终局性决定。

这些首例终局性性一站式决定,与自然人权利行使(例如删除权)、数据处理的适当法律基础及数据泄露通知相关。
一站式程序数量有限其来有自,因为决定草案的发布是主导监管机构在尊重国内行政程序法的基础上进行调查的结果。一站式程序的数量正在稳步增加。

4.相互协助

相互协助程序允许各监管机构向其他监管机构索要信息或请求采取任何其他有效合作措施(诸如事先授权、调查等)。
相互协助可用于受一站式程序约束的跨国界案件(作为在起草决定之前收集必要要素的初步阶段的一部分),也可以用于具有跨界因素的国内案件。
IMI系统允许使用非正式相互协助而无任何法定期限;或使用正式相互协助,在该等情况下,受邀提供协助的监管机构应于一个月的法定期限内答复协助请求。
自2018年5月25日,来自欧洲经济区18个不同国家的监管机构已发起444起正式或非正式的相互协助请求。该44起相互协助请求中的353宗案件中,答复于23日内发出,剩余91宗案件仍在进行中,受邀协助监管机构尚未答复。

5.联合行动

GDPR允许不同成员国的监管机构采取联合调查及联合执行措施。联合行动可用于受一站式程序约束的跨国界案件(作为在起草决定之前收集必要要素的初步阶段的一部分),也可以用于具有跨界因素的国内案件。
自2018年5月25日至2019年1月31日,尚未发起过联合行动。

6.合作机制评估及监管机构改进建议

相较于各监管机构在跨境案件中各行其是的欧洲理事会第95/46/EC号指令而言,GDPR为各监管当局创设了一项合作义务,以确保GDPR的一体化适用。
国家监管机构已适应这种新形势。GDPR的优势之一在于让监管机构有回旋余地来适应这种新形势。
然而,GDPR仅适用9个月,欧洲数据保护委员会层面仍有工作待做,以进一步简化程序使系统更加高效。分配给当局的资源问题(以及招聘同时会讲英语的人员的可能性)对于该系统的全球效率产生影响。

(二)一体化机制

1.一体化意见

就某些类型的决定,国内监管机构在授权作出决定前必须向欧洲数据保护委员会请示意见。这一原则适用于批准跨境行为准则、采用标准化合同条款或制定规定必须接受数据保护影响评估数据处理类型的国家清单。
欧洲数据保护委员会的一体化意见目的在于确保有权监管机构意图采取那些特殊措施的案件中GDPR的一体化适用。
每一国内监管机构、欧洲数据保护委员会主席或理事会可请求欧洲数据保护委员会就任何普遍适用的事项或在不止一个成员国产生效果的事项发表一体化意见。
自2018年5月25日起,欧洲数据保护委员会已就数据处理应当接受数据保护影响评估的国家清单提出28项意见,就金融机构之间传输个人数据的行政协议草案(欧洲经济区内外)提出1项意见。目前,有3个正在进行的程序,其涉及具有约束力的公司规则、控制者与处理者之间的标准合同草案、GDPR和电子隐私指令之间的相互作用,特别是国家数据保护监管机构的权限。

2.争议解决

欧洲数据保护委员会在下述案件中作为争议解决机构介入,并作出有约束力的决定,以确保GDPR的一体化适用:

  • 发生于一站式机制内的争议(有关监管机构提出相关且合理的异议而主导监管机构不予听取);
  • 在确定主导监管机构问题上产生的分歧;
  • 某一监管机构不请求或不遵守欧洲数据保护委员会的一体化意见。
    自2018年5月25日起至2019年2月18日,尚未启动任何争议解决程序。这意味着到目前为止,监管机构能够就目前所有情况达成共识,就合作而言这是一个良好的迹象。

3.一体化机制评估及监管机构提出的改进建议

下列分析反映监管机构在本报告中的观点和看法。
截至目前,欧洲数据保护委员会并未扮演争议解决机构,也因为一站式案件产生的决定数量仍然相对较少。
由于欧洲数据保护委员会目前仍主要集中于起草有关国家数据保护影响评估清单的一体化意见,多数监管机构强调欧洲数据保护委员会在其他领域的一体化机制经验仍然有限。然而,预计未来几个月内,其他类型的国内措施,诸如有约束力公司规则、行为准则、标准合同及与认证相关事项将提交至欧洲数据保护委员会,并因此触发其他领域的一体化机制。
有人指出,根据最初的经验,已经发现一致性机制需要诸多资源、消耗时间,并要求当局在规定时限内迅速采取行动。就此而言,可能有必要延长最后期限。

二、国家监管机构的手段及权力

(一)预算及人力资源

在新的法律框架下,监管机构身兼两职。它们不仅涉及加强执法权力,同时还要求他们更多参与,这意味着需要更多预算和人员。

1.预算

尽管根据来自欧洲经济区26个国家监管机构和欧洲数据保护主管(EDPS)的信息显示,多数案件2018年及2019年预算有所增加,但在2宗案件中预算减少,在另外3宗案件中预算未发现变化。根据各监管机构提供的信息,后一种现象可以通过这一时期的半年计划来解释。
尽管17个回复的监管机构多数认为它们需要增加30%-50%的预算,但几乎没有监管机构收到所要求的数额。有一些极端的例子,这种需求接近甚至100%。

2.人力资源

根据来自欧洲经济区26个国家监管机构和欧洲数据保护主管(EDPS)的信息,多数监管机构人员数量已有所增加,但仍有8家监管机构的职员数量未发生变化。甚至有一家监管机构的人员编制缩减。
鉴于监管机构的权限范围不同(GDPR、电子隐私、信息自由),对增加人员编制的要求也各不相同。

(二)GDPR在国家层面的实施和执行

来自欧洲经济区31个国家的监管机构报告的案件总数为206326件。这些案件可以区分为三类,即基于投诉的案件、基于数据泄露通知的案件以及其他类型案件。案件多数与申诉有关(94622件),64684件则系因数据控制者数据泄露通知而致。
52%的案件已经完结,另有1%的案件在国内法院受到质疑。

纠正权力:
关于纠正权力,监管机构有如下不同手段可兹使用:

  • 对拟采取的处理行为可能违反GDPR的数据控制者或处理者发出警告;
  • 对处理行为已经违反GDPR的数据控制者或处理者予以训诫;
  • 命令数据控制者或处理者遵守数据主体的请求或整改其处理行为以符合GDPR;
  • 施加行政限制、禁令或罚款。

来自欧洲经济区的11个监管机构已根据GDPR第58.2条第(i)项作出行政罚款,处以罚款的总额为55955871欧元。

三、结语

GDPR实施九个月后,欧洲数据保护委员会委员认为,GDPR经由新合作方式及大量日常交流在实践中运行良好。已经作出结果的一站式案件测试了GDPR的某些核心原则并顺利解决。目前,尚未有一宗跨境案件上升到欧洲数据保护委员会层面。
尽管最近一个月案件数量增加,然而各监管机构报告工作量目前仍属可控,这在很大程度上要归功于监管机构、第29条工作组和委员会在过去两年中所作的周密准备。