机构名称:
¥ 3.0
在2020年10月,欧洲数据保护委员会(“ EDPB”)决定建立一个协调的执法框架('CEF'),以期简化监督当局之间的执法和合作。从那时起,已经完成了两项CEF措施:2022年公共机构使用云服务的第一个和2023年的第二个有关数据保护官员的指定和位置。在第三年,EDPB选择了“控制者访问权的实施”主题。此CEF动作的一个特殊重点是EDPB指南01/2022关于数据主体权利 - 访问权权利(“指南01/2022”)。在整个2024年,EEA的30个监督当局(“ SAS”)对某些控制者的遵守符合GDPR 1的访问权进行了协调的调查。CEF行动是通过以下一种或几种方式在国家一级实施的:(1)事实调查练习,(2)评估是否有必要进行正式调查,以及/(3)开始正式执法调查,或进行正在进行的正式调查的随访开始。在2023年11月至2024年2月之间,这些SAS在CEF行动的背景下讨论了其目标和行动的手段。在这种情况下,SAS同意与控制器联系时要使用的问卷。调查表是被起草的,而没有专注于特定部门或类型的控制器,并具有模块化设计,以便SAS可以全面或部分使用或补充其领域或国家特定问题。总共1,185个控制者对问卷做出了回应。这些控制器是同样私人实体,从中小企业到活跃于许多不同行业和领域以及各种类型的公共实体的大公司。本报告汇总了参加CEF行动2的所有SA的发现2。总体而言,参与SA的三分之二大约三分之二评估了响应控制者从“平均”到“高”的访问权的遵守水平。一个重要的因素确定对遵守级别产生影响的是控制器收到的访问请求量以及控制器组织的大小。调查结果表明,对于收到大量访问请求或大型组织的控制者而言,合规性的水平通常更高。但是,SAS对2023年收到非常少数的访问请求数量的大量控制器感到惊讶 - 这可能表明并非所有访问请求实际上都被认为是这样的,这可能指出了整体意识问题。基于调查结果,控制器不太了解指南的内容01/2022。这些准则为 - 除其他指南提供了广泛的指导,以帮助控制者实施访问权的不同要素,同时也涉及该权利的便利及其例外和局限性。由于这种较低的认识水平,在指南01/2022中开发的某些方面在实践中没有遵循某些控制者。尽管如此,参与SAS仍观察到EEA的积极发现。包括实施指南01/2022中提到的最佳实践或控制器主动实施的其他实践,例如用户友好的在线表单,使数据主体能够轻松地提交访问请求,自动服务系统允许数据主体在几次点击中自动下载其个人数据,并在任何时间和程序中,并在任何时间和程序中进行审核,以定期审核可访问的过程。
2024协调的执法行动实施...
主要关键词
相关文件推荐
