DPC与国际伙伴的合作经验

1.OSS 模式的建立

欧盟数据保护法律框架为欧盟数据保护、监管机构之间的合作开创了一个新纪元，DPC 已经从其所处的一个享有排他性权限的法制环境转变为在欧盟范围内为数据权利保护提供协调的法治环境。“一站式机制”（One-Stop-Shop Mechanism，以下简称为OSS）是根据GDPR 建立的，旨在精简在欧盟多个成员国开展业务或其他活动的组织机构与数据保护、监督机构之间的工作环节。在OSS模式下，DPC 是首要监督机构，负责监督许多跨国公司（包括技术和社交媒体公司）的个人数据跨境处理业务。

在GDPR 出台之前的几年里，鉴于许多大型技术跨国公司的欧洲总部都设在爱尔兰，DPC 在欧盟和全球层面上的数据监管作用越来越突出。自2018年5月25日以来，随着OSS 的推出，DPC 已经在保障欧盟范围内数百万人的数据权利和法规执行方面发挥了重要作用。为了应对GDPR，DPC 在2018年成立了一个新的OSS 操作团队，以在OSS 模式以及更广泛的国际背景下促进爱尔兰与其他成员国数据保护机构的协商，协调所有涉及欧盟数据保护委员会（the European Data Protection Board，以下简称为EDPB）的合作，与EDPB 共享跨境案件的相关信息。这有利于DPC 对跨境案件的积极追踪和报告，以及与其他监督机构的信息交换工作。

此外，2018年期间，DPC 积极参与欧盟大型IT 系统监管机构的工作计划，具体包括欧洲刑警组织（Europol）、欧洲发展援助委员会（Eurodac）、海关信息系统（Customs Information System）、IMI 数据库以及欧洲司法联合监督机构（the Joint Supervisory Body of Eurojust）等单位的工作。DPC 同时继续参与其作为申根签证信息系统（the Schengen and Visa Information Systems）观察员的协调监督工作。

2.数据跨境处理中对首要监督机构的认定

OSS 的原则要求，在欧盟不同成员国拥有多个机构的组织仅受一个数据保护局（the Data Protection Authority，以下简称为“DPA”）的监管，而非受各机构所在地的成员国的数据保护机构监管。这些组织在欧盟拥有一个“主要机构（a main establishment）”，并从事“跨境处理”。一个组织的主要机构通常是其中央管理机构（例如其总部）所在地，然而，对于数据控制者而言，如果处理个人数据的决定是由其中央管理机构以外的欧盟范围内的其他机构作出的，那么该机构即为其主要机构；对于数据处理者而言，如果没有中央管理机构，那么主要机构便是其在欧盟范围内进行主要数据处理活动的地方。(www.xing528.com)

在GDPR 中，凡涉及以下两种情形之一的行为即构成数据的“跨境处理”。第一种情况是，在超过一个的成员国内建立数据控制器或处理器，并在超过一个的成员国内所属机构中进行数据处理活动；第二种情况是，数据控制器或处理器虽然仅在一个成员国内建立，但数据处理过程实质上影响到超过一个的成员国的数据主体或可能对其产生实质性影响。

在上述任何一种情况下，GDPR 下“主要机构”的概念将用于确定“首要监督机构（the lead supervisory authority）”，主要负责与数据跨境处理相关的投诉或其他问题。根据GDPR 的规则，跨国公司在成员国内主要机构（如上所述）所在地的DPA 即为首要监督机构，如果跨国公司违反了GDPR 中一项或多项规定，该跨国公司仅受一套监管准则的约束，而非不同成员国数据保护机构多重行动的约束。

3.DPC 与其他DPA 的合作

首要监督机构的职责包括调查与跨境处理有关的投诉或涉嫌侵权的行为，并就此案起草一份决定草案，然后在可能的情况下，必须与其他被视为“相关监管机构（the concerned supervisory authorities）”的欧盟数据保护机构在协调一致的情况下作出决定，例如最先收到跨境处理投诉的机构。这意味着，在起草决定草案时，主要监管机构不仅必须最大限度地考虑收到投诉的DPA 的意见，而且在最终决定作出之前必须与所有相关监督机构分享决定草案，并与他们进行协商、考虑他们的意见。如果协商不一致，GDPR 规定了一个争议解决机制，最终将由EDPB的成员对决定草案中的争议问题作出多数决议。

在OSS 机制下，DPC 是主要机构位于爱尔兰境内的许多跨国公司的首要监督机构，包括大型技术公司和社交媒体公司。作为一个首要监督机构，DPC 现在不仅负责处理直接向DPC 提出的个人投诉，而且需要处理最初向其他欧盟数据保护机构提出的投诉。2018年5月25日至12月31日期间，DPC 通过OSS 机制收到136 起由个人向其他欧盟数据保护机构提出的数据跨境处理投诉。因为投诉人直接与其所在地的DPA 进行沟通，这一新的投诉受理渠道要求DPC 与投诉所在地的欧盟其他DPA 密切合作，进行信息交流。在实践中，这意味着，所有跨境处理投诉的新进展都必须由DPC 发送给其他DPA，后者在需要时将更新内容翻译为相关国家的语言后再发送至投诉人。