EDPB发布战略重要性跨境合作案例选择标准

选择具有战略意义的案例 I.EDPB选择案例的标准 1.介绍 在2022年4月于维也纳举行的为期两天的高级别会议上，EDPB成员同意进一步加强战略案例合作 ，并多样化使用的合作方式。特别是，决定EDPB成员将定期集体确定不同成员国具有战略重要性的跨境案例，EDPB将优先考虑并支持这些合作。 本文件这一部分的目的是根据执法合作声明（执法合作声明|欧洲数据保护委员会(europa.eu）） 。参与是自愿的，所有SA都可以提交提案。 需要指出的是，具有战略意义的案件原则上应优先考虑一站式案件，并应本着灵活务实的态度，本着SA之间良好合作的精神处理这些案件。本着同样的精神，SA将在处理案件的早期阶段以非正式的方式交换信息和合作。 最后，应该指出的是，对具有战略意义的案件的处理最终将根据GDPR第VII章规定的实现SA之间合作和一致性的程序和工具进行，并充分利用这些程序和工具。. 2.优先考虑具有战略重要性的案例的标准 具有战略意义的案例是指在几个成员国中自然人的权利和自由可能存在高风险的案例。 SA可以在EDPB框架内向其他SA（以下简称：EDPB成员）提出至少满足下列标准之一的任何案例 ，以便被确定为具有战略重要性的案例，将优先合作并由EDPB支持。 可以使用“案例选择的流程和时间表”部分中包含的标准化表格提交提案。EDPB成员将最终决定哪些提议的案例将被确定为在欧洲层面具有战略重要性的案例。 虽然提案仅满足下列标准之一就足够了，但EDPB成员在确定案例时将考虑提案中满足的标准总数 。应该注意的是，公众辩论的程度和媒体关注的程度并未作为单独的标准包括在内。然而，EDPB成员在进行选择时可以考虑这些因素。最后，应该注意的是，下面的标准列表并不详尽，并且SA可能在其提案中包含额外的推理。 如果提案涉及以下内容，则可能被视为具有战略重要性的案例： -一个结构性或反复出现的问题在几个成员国（基于维也纳声明），特别是当案件涉及与 GDPR的解释、应用或执行有关的一般法律问题时； -一个相关的案例数据保护与其他法律领域的交叉点（基于维也纳声明）； -影响一个案件大量数据主体在几个成员国（基于维也纳声明）； -一个大量投诉在几个会员国； -一个属于EDPB战略范围内的基本问题; -一件事其中GDPR意味着可以假设高风险，如： oGDPR第9条和第10条中提及的特殊类别数据的处理； o关于未成年人等弱势群体的处理； oGDPR第35条第(3)款中提到的需要进行数据保护影响评估(DPIA)的情况，或根据可能导致高风险的处理操作的标准1需要进行DPIA的情况数据保护影响评估指南2 。 1这些标准是：1)评估或评分，包括分析和预测2)具有法律或类似重大影响的自动决策3)系统监控4)敏感数据或高度个人性质的数据5)大规模处理的数据6)匹配或组合数据集7)涉及易受攻击的数据主体的数据8)创新使用或应用新技术或组织解决方案9)当处理本身“阻止数据主体行使权利或使用服务或合同”时。 2数据保护影响评估(DPIA)指南并确定处理是否“可能导致高风险”，以符合EDPB于2018年5月25日批准的第2016/679号法规wp248rev.01的目的。 II.EDPB选择案例的流程和时间表 1.由DPA识别案件 按照2022年4月维也纳会议上的约定，EDPB成员将选择具有战略意义的案例，在短时间内优先合作。这将根据EDPB定义的标准（参见上一节）并使用下面提供的模板来完成。 参与是自愿的，所有SA都可以提交提案。更具体地说，可以提交具有战略意义的案例提案： -由主要监管机构(LSA)，例如在需要技术支持或进行调查的情况下； -或者由相关监管机构(CSA)对不是LSA的特定案例的工作进行优先排序。 当CSA提交案件时，LSA将本着良好合作的精神得到通知，这是欧盟法律的一项基本原则。但是，此信息不会成为批准提交案例以在EDPB内进行讨论和评估的请求。EDPB将在做出决定之前考虑LSA的立场，并且不会在未经LSA同意的情况下就选择具有战略意义的案例做出决定。 2.由ENF小组预选提交给PLEN的案例 为了在维也纳会议成果的基础上再接再厉，ENF小组于2022年6月召开了一次特别会议，以选择2 至5个案例作为“试点项目”提交给2022年7月的全体会议。 必须至少满足上一节中确定的标准之一，才能考虑讨论和预选这些案例，然后才能向全体会议提出建议。 应遵循以下计划： -在2022年5月24日的ENFESG会议之后，同意SA可以在2022年6月15日之前以书面形式向起草小组提交案例提案，并附上一份表格，说明案例符合的标准，以供选择作为战略案例，对提案进行推理（见最后附上的表格草案），以及处理案例的拟议时间表/本案例程序的预计截止日期； -SA应提前将其提议与起草小组讨论的案例告知LSA； -然后，起草小组将审查提议的案例，并在计划于6月底召开的ENFESG临时会议上提交提案以供讨论； -每个SA都应该能够在会议前分析议程上的案例，以确保进行知情讨论； -在这次特别的ENFESG会议上，SA根据他们的分析讨论案例，目的是选择要提交给PLEN的案例，并建议成员加入每个案例的工作团队； -在ENFESG会议期间，小组成员最多选择2至5个案例作为试点项目，供EDPB2022年7月全体会议最终选择； -为了划分工作并能够在商定的时间范围内实际达到预期的结果，应将选定的案例划分为不同的LSA和CSA。 -作为第二步，还将邀请SA在夏季提供额外案例的提案，以便在2022年9月/10月向EDPB 全体会议提交这些提案，以补充战略案例的选择。 -在向EDPB全体会议提交提案之前，应遵循涉及起草小组和执法小组审查共享提案的相同流程，以允许选择总共5个战略案例，包括7月选择的试点项目全体会议。 3.向EDPB2022年7月全体会议提交和最终选择战略案例 2022年7月的EDPBPLEN应在所有提交的案件中选择最多3个案件，在商定的时间范围内处理，原则上不应超过2年。 PLEN应就以下事项作出决定： -哪些案例将纳入第一套战略案例合作机制； -哪些主管部门将组成每个案例的工作组，哪些SA将负责协调该小组（这应该是一个由3/4 主管部门组成的小团队，并且在OSS案例中应该包括LSA，但不必包括所有CSA以保持敏捷 ）； -与不在工作组的CSA定期协商，报告工作进展情况，必要时通过PLEN提交仲裁要点； -在LSA的指导下处理每个案件的计划（延迟调查、交付成果……）在固定的时间期限内，原则上不应超过2年。 为了确保能够在商定的时间范围内实现预期的结果，应将案例和工作量分配给不同的LSA和CSA。 这些战略案例的未来处理，一旦被EDPB全体会议选定，应尽量避免僵化和形式。涉及每一个案件的DPAS应努力从早期阶段开始交流信息并密切合作3。 3这也将涉及非正式合作，将完全遵守GDPR的正式合作。 ☐您的DPA已收到大量投诉有多少？ ☐属于EDPB战略范围内的一个基本问题 ☐GDPR暗示可以承担高风险的情况（处理GDPR第9条和第10条中提到的特殊类别的数据；处理涉及未成年人等弱势群体的情况；或第35条第（3）款中提到的情况）GDPR要求进行数据保护影响评估(DPIA)的情况，或根据数据保护影响评估指南中规定的可能导致高风险的处理操作标准要求进行DPIA的情况。 简要说明： D.这种合作的附加价值是什么？您期望/提供什么样的帮助？ 例如：需要什么样的专业知识，是否有建议的时间表，您期望需要多少支持/能力，您是否会向专家库寻求帮助）