域外观察|欧洲数据保护委员会发布新版《数据控制者、处理者识别牵头监管机构指南》

欧洲数据保护委员会10月份发布了更新版《数据控制者、处理者识别牵头监管机构指南》草案，供公众咨询，此版本是在2018年指南版本基础上、针对联合控制者所做的更新。

值得注意的是，只有在跨境处理数据的情景中，才存在识别牵头监管机构的问题，因此指南首先对跨境处理数据的含义作了进一步说明，主要涉及GDPR中的“营业机构所在地”和“实质性影响”两项标准，符合其中一项即满足跨境处理数据的定义。

在确定了跨境数据处理的前提下，EDPB实际上将牵头监管机构的识别划为四个种类，一是只有数据控制者，二是既有数据控制者又有数据处理者，三是只有数据处理者，四是联合控制者，此次更新主要涉及第四种类型。在第一种情形中，主要涉及识别控制者的管理中心，管理中心可视作控制者的“主要营业机构”，其所在地成员国的监管机构即为牵头监管机构，但如果有关数据处理目的和方式的决定是其他机构做出的，则以其他机构为准；在既有处理者又有控制者的情形中，如果控制者在欧洲经济区内设有营业机构且适用“一站式”机制，则主要识别控制者的主要营业机构，控制者主要营业机构所在地成员国监管机构为牵头监管机构；第三种情形识别处理者的管理中心，如果在欧洲经济区内没有管理中心，则识别其在欧洲经济区内开展主要数据处理活动的地点；第四种情况中，指南阐明了“主要营业机构”的概念不能延伸至联合控制者，需要分别识别控制者的管理中心，管理中心所在地成员国的监管机构即为各自的牵头监管机构。

以下是此次更新版指南草案的中文译本：