在这篇博客中,我们讨论了这个问题如此复杂的一些根本原因。虽然人们理解这些法规,但实施和遵守这些法规的实际情况才是真正的挑战。我们的结论是,没有一种万能的解决方案,每个组织的情况应该根据具体情况单独处理。即便如此,通常也没有明确的答案,有必要做出深思熟虑的、基于风险的决策。我们建议的一些主要考虑因素包括:
数据自由流动
GDPR 对欧盟居民的自由流动施 手机号码数据 加了限制个人资料来自欧盟。由于没有对数据的物理边境检查,数据可以在全球范围内快速畅通无阻地流动,几乎无法追踪和追踪。
因此,GDPR 规定数据控制者负责确保他们使用的个人数据得到处理合法地,无论在何处处理或由谁处理,都应公平透明。虽然控制者应尽一切合理努力确保这一点,但实际上管理和监控起来非常困难。
映射数据流
为了管理个人数据的跨境流动,首先 下载此免费关键词研究模板 需要绘制数据流图,了解数据是如何、在何处以及由谁来处理的。
这在最好的情况下也是极具挑战性的,尤其是当数据流量可以几乎同时跨越不同组织之间的多个边界向多个方向流动时。对于使用人工智能、广告技术、医疗技术、金融科技和物联网(物联网)业务。即使在更传统的组织中,也需要映射越来越长的数据处理链。
确定数据实际保存和处理的位置也非常困难。很多数据都保存在“云”中,虽然大多数云数据存储解决方案都会确定特定的区域或国家进行处理(或者至少确定它们是否位于欧盟),但算法或基于规则的处理可以在不同的司法管辖区同时进行。
云端保存的数据可由来自不同国家的多个组织轻松访问、修改和删除。这些数据可以(而且经常)用于多个项目和目的。由于数据控制者确保数据安全保存并得到适当处理至少可以说是困难的。这带来了巨大的风险,如果不彻底了解数据的流动方式,就无法评估。
数据流与法律结构不对应
数据映射更加复杂,因为 GDPR 假设无边界数 电报号码 据流可以映射到基于领土或国家的组织法律结构。
对于那些通常为税收目的而设立的法律结构,这尤其成问题,因为这些法律结构并不反映实际运营情况。例如,在卢森堡、都柏林或海峡群岛注册的公司不一定过程在这些司法管辖区内处理数据。鉴于上述困难,很难确定他们及其处理器在哪个司法管辖区处理数据。
确定适当的主导机构
客户经常问我们“我们能否确定一个主导机构?”以及“我们是否必须在多个国家的机构注册?”
在大多数情况下,您会指定主要机构所在成员国的主管部门。同样,如果一家公司在欧盟拥有广泛的本地业务,但将管理和处理决策权集中在某个特定成员国,则主要机构将在该成员国确定。
不可避免的是,对于一些企业来说,确定主要机构将是一项复杂的工作,并且可能会确定多个主要机构,因为处理决策是在地方层面做出的,并且不同国家的情况有所不同。
然而,对于无法证明在欧盟内设有主要机构(英国脱欧完成后,许多英国公司都会遇到这种情况)且无法确定单一主管机构的公司,则无法指定牵头主管机构。这些组织可能仍需要在欧盟内指定一名代表来管理与欧盟数据主体的沟通,但他们将无法享受牵头主管机构一站式服务的好处。
英国脱欧过渡期结束后,英国母公司的子公司可能需要在欧盟适当的主导机构注册为首次代币发行将不再参与“一站式”系统。他们是否能够向另一个数据保护机构注册并利用一站式原则将取决于相关子公司是否拥有关于整个欧盟范围内数据处理的实际决策权,或者是否只是按照其非欧盟母公司的指示行事。在后一种情况下,不太可能提名一个单一的牵头机构。
对于在不同成员国拥有多家子公司的集团公司,决定每个子公司是否需要在其当地注册监督机构应根据具体情况进行评估。决定将再次取决于处理决策的制定地点。需要进行详细的数据映射练习,确定谁是数据控制者并因此负责处理,以便做出此决定。
当两个或多个位于欧盟的控制者联合做出决策时,与所有联合控制者处理一样,他们必须根据 GDPR 确定各自的责任。欧洲数据保护委员会 (EDPB) 建议,这将扩展到主导机构机制,以便联合控制者指定一个机构,该机构将拥有执行与处理相关的决策所需的权力。
定义控制者和处理者的关系
GDPR 依赖于定义数据控制者、联合控制者、共同控制者和数据处理器和子处理器关系来定义责任和义务。在最简单的形式中,控制者确定处理的目的和方法,如果由两个或多个控制者设置,则它们被视为联合控制者,如果他们独立确定相同数据的用途(即一个控制者将数据提供给另一个控制者的数据库(例如学校/教育部),则他们是共同的控制者。但是,关系的性质将取决于情况和处理活动。