根据GDPR第 27 条任命代表时,情况也一样。事实上,我们自己也延续了这种做法,曾撰写博文介绍控制者何时需要欧盟GDPR 代表,但忽略了在这种情况下对处理者的必要关注。在这篇博文中,我们试图填补这一空白。
如前所述,第 27 条的适
用性取决 手机号码数据 于地理因素。虽然对于处理者来说也是如此,但情况略微复杂一些。
在我们陷入困境之前,需要说明的是,虽然我们将在欧盟代表权和欧盟通用数据保护条例 (GDPR),以下内容也适用于英国GDPR。
欧盟 GDPR 适用性 – 第 3(2) 条
在考虑第 27 条是否适用于处理者,以及是 区号 954 所涵盖的城市和地区 否需要代表时,首先应考虑第 3(2) 条。第 3 条涉及欧盟 GDPR 的地域范围,第 27 条规定,该条款仅适用于根据第 3(2) 条将控制者或处理者纳入欧盟 GDPR 范围的情况。
第 3(2) 条则涵盖未在欧盟设立的组织,这些组织过程这个人资料位于欧盟境内的数据主体,其处理涉及向欧盟境内个人提供商品或服务,或监控个人的行为。
因此,第 3(2) 条规定了两部分测试。首先,该组织不得在欧盟境内设立机构。这很容易确定。然而,第二部分可能需要更仔细的审查,因为它要求该组织必须处理与以下方面相关的个人数据:
(a)向欧盟境内的数据主体提供商品或服务(无论是否需要付款);或
(b)监控他们在欧盟境内的行为
换句话说,处理活动必须以某
种方式“针对”欧盟数据主体。在处理者的背景下,这变得更加复杂,因为欧洲数据保护委员会 (EDPB) 在其关于欧盟 GDPR 地域范围的指南(指南 3/2018)中指出,“处理活动的‘针对性’特征与其目的和手段相关;只有作为控制者的实体才能决定针对欧盟内的个人。”
EDPB 补充说,虽然只有控制者才能决定是否“针对”欧盟数据主体,但处理者可以参与因这种针对而发生的处理活动。因此,EDPB 解释说,在确定第 3(2) 条对处理者的适用性时,“重点应放在处理者开展的处理活动与目标定位活动之间的联系上。”数据控制者”
第 27 条适用性
因此,在阐述了欧盟 GDPR 如何根 最新评论 据第 3(2) 条适用于处理者,并先前指出第 27 条适用于第 3(2) 条适用的组织之后,似乎可以安全地认为我们的工作已经完成——好吧,也许还没有。
因为,似乎还有最后一个因素意味着并非所有可能根据第 3(2) 条适用欧盟 GDPR 的处理者都必须指定代表。即控制者的位置。关于控制者的位置是否会影响第 27 条对处理者的适用,一直存在争论,经过研究,我们得出的答案是——也许。
实质上,有人建议,如果符合欧盟 GDPR 第 3(2) 条规定的处理者代表位于欧盟以外的控制者处理数据,则需要任命一名代表。但是,如果同一处理者代表位于欧盟境内的控制者处理数据,则无需任命代表。
为什么?我听到你在问
好吧,为此我们必须考虑代表的目的,代表本质上是作为欧盟内监管机构和数据主体的联络点。现在,当位于欧盟以外的处理者代表位于欧盟内的控制者处理个人数据时,数据主体和监管机构已经可以轻松联系到可以处理他们查询的人——控制者。而且,鉴于控制者最终负责处理者执行的处理,并负责响应数据主体的权利请求,似乎很难想象这样一种情况,即首选方案是通过处理者的代表,他们只需联系处理者,然后处理者再联系控制者。因此,在这些情况下,要求非欧盟处理者任命代表几乎没有任何意义。