《欧洲议会及欧洲理事会取代95/46/EC指令的保护自然人的个人数据处理及个人数据自由流动的2016年4月27日2016/679欧盟法律》(《一般数据保护法》)
第一章 一般规定
第一条 对象和目标
1.本法规定在个人数据处理方面对自然人进行保护的规则以及与个人数据的自由流动相关的规则。
2.本法保护自然人的基本权利和自由,特别是自然人对个人数据保护拥有的权利。
3.个人数据在欧盟国家内的自由流动,不得因在个人数据处理方面对自然人进行保护方面的理由受到限制或禁止。
第二条 适用范围
1.本法适用于完全或部分通过自动化方式进行的个人数据处理和不以自动化方式进行但构成备案系统一部分或以构成备案系统一部分为目的的个人数据处理。
2.本法不适用于:
(a)在欧盟法律管辖范围之外的活动中进行的个人数据处理;
(b)成员国在进行《欧盟条约》第五篇第二章范围内的活动时进行的个人数据处理;
(c)自然人在纯粹私人或家庭活动中进行的个人数据处理;
(d)主管当局为刑事犯罪的预防、调查、侦查或检举或刑事处罚的执行(包括公共安全威胁的防范和阻止)进行的个人数据处理。
3.欧盟委员会第45/2001号法律适用于欧盟各机构、团体、办事处和代理机构进行的个人数据处理。根据(本法)第九十八条的规定,对欧盟委员会第45/2001号法律和适用于此类个人数据处理的其他欧盟法案应进行修订以使其符合本法的原则和规则。
4.本法不影响第2000/31/EC号指令的适用,特别是该指令第十二条到第十五条的中间服务提供商责任规则的适用。
第三条 地域范围
1.本法适用于控制人或处理人在欧盟的机构在开展活动的过程中进行的个人数据处理,无论该处理是否在欧盟发生。
2.本法适用于并非在欧盟设立的控制人或处理人对位于欧盟的数据主体的个人数据进行的处理,只要处理活动与以下方面相关:
(a)向欧盟的数据主体提供货物或服务,无论是否需要数据主体付款;或者
(b)对数据主体在欧盟发生的行为进行监督。
3.本法适用于并非在欧盟设立,而是在根据国际公法适用欧盟成员国法律的地方设立的控制人进行的个人数据处理。
第四条 定义
1.“个人数据”是指与身份经确认或身份可确认的自然人(“数据主体”)相关的任何信息;身份可确认的自然人是指身份可直接或间接确认的自然人,特别是在参考某一标识,例如姓名、身份编号、位置数据、在线标识,或该自然人身体、生理、遗传、精神、经济、文化或社会身份的某一个或多个具体因素的情况下;
2.“处理”是指对个人数据或成套个人数据进行的任何操作或系列操作,无论是否采用自动化方式,例如收集、记录、组织、构造、存储、改编或变更、检索、查阅、使用、通过传输披露、传播或以其他方式提供、排列或组合、限制、删除或销毁;
3.“处理限制”是指以限制将来对其进行的处理为目的而将存储的个人数据进行标记;
4.“特性分析”是指对个人数据进行的任何形式的自动化处理,包括使用个人数据评估与某个自然人相关的某些个性化方面,特别是分析或预测与该自然人在工作表现、经济状况、健康、个人偏好、兴趣、可信度、行为、位置或流动相关的方面;
5.“假名化”是指采用某种方式处理个人数据,使得该数据在不使用额外信息的情况下不再可归属于某个特定数据主体,前提是该额外信息单独保存,且对其的使用须采用技术和组织措施,以确保该数据不可归属于某个身份经确认或身份可确认的自然人;
6.“备案系统”是指任何一套结构化的个人数据,可根据特定标准访问,无论以功能还是地理位置为依据进行集中、分散或传播;
7.“控制者”是指单独或与他人一同确定个人数据处理目的和方式的自然人或法人、公共机构、代理机构或其他实体;若该处理目的和方式由欧盟或成员国法律确定,则控制者或其具体提名标准亦可由欧盟或成员国法律规定;
8.“处理者”是指代表控制者处理个人数据的自然人或法人、公共机构、代理机构或其他实体;
9.“接收者”是指对其披露个人数据的自然人或法人、公共机构、代理机构或另一实体,无论是否为第三方;但根据欧盟或成员国法律可在某一特定询问进行之时接收个人数据的公共机构不得被视为接收者;该公共机构对相关数据的处理应根据处理的目的在符合适用数据保护规则的情况下进行;
10.“第三方”是指经授权处理个人数据的自然人或法人、公共机构、代理机构或其他实体,但数据主体、控制人、处理人及经控制人或处理人直接授权的人除外;
11.“同意”是指数据主体通过声明或明确的肯定性行动,依照其意思自愿做出的任何特定的、知情的、明确的表示,同意对与他或她有关的个人数据进行处理;
12.“个人数据泄露”是指导致对传输、存储或以其他方式处理的个人数据的意外或非法的销毁、损失、更改、未经授权的披露或访问;
13.“遗传数据”是指与某个自然人的继承性或获得性遗传特征相关的个人数据,该数据显示与该自然人的生理或健康相关的独特信息且主要来自对相关自然人生物样本的分析;
14.“生物计量数据”是指由与某个自然人的身体、生理或行为特征相关的特定技术处理产生的个人数据,该个人数据认可或确认该自然人的独特身份,例如面部图像或指纹数据;
15.“相关健康数据”是指与某个自然人的身体或精神健康相关的个人数据,包括提供保健服务的情况下相关的个人数据,该数据揭示该自然人的健康状况;
16.“主要营业场所”:
(a)对于在一个以上欧盟成员国内拥有营业处所的控制人,是指其在欧盟内的中央管理机构,除非就个人数据的处理目的和方式所作的决定是在控制人位于欧盟国家内的另一营业处所作出的,且后一营业设施有权使得该决定被执行,而在此情况下作出决定的营业处所应被视为主要营业场所;
(b)对于在一个以上欧盟成员国内拥有营业处所的处理人,是指其在欧盟的中央管理机构;或者若处理人在欧盟没有中央管理机构,则是指在处理人受本法规定的义务约束的情况下,其主要处理活动作为某一营业处所的活动发生的位于欧盟的该营业场所;
17.“代表”是指经控制人或处理人依据(本法)第二十七条的规定以书面形式指定,就本法所规定的控制人或处理人各自的义务代表控制人或处理人的自然人或法人;
18.“企业”是指从事经济活动的自然人或法人,无论其法律形式,包括定期从事经济活动的合伙企业或联营企业;
19.“企业集团”是指某个控股企业及其所控制的企业;
20.“有约束力的公司规则”是指在成员国境内设立的控制者或处理者所遵守的,有关在从事共同经济活动的企业集团或企业集团内部向位于一个或多个第三国内的控制人或处理人进行个人数据传输或一系列传输的个人数据保护政策;
21.“监管机构”是指成员国依据(本法)第五十一条的规定设立的公共机构;
22.“相关监管机构”是指因以下原因而与个人数据的处理相关的监管机构:
(a)控制者或处理者设立于该监管机构所在成员国境内;
(b)处理严重影响或可能严重影响居住在该监管机构所在成员国的数据主体;或者
(c)已有向该监管机构提出的投诉;
23.“跨境处理”是指以下任何一种处理:
(a)位于欧盟的控制者或处理者作为一个以上成员国的营业场所的活动所进行的个人数据处理(在控制者或处理者设立于一个以上成员国的情况下);或者
(b)位于欧盟的控制者或处理者作为其唯一营业场所的活动所进行的严重影响或可能严重影响位于一个以上成员国的数据主体的个人数据处理。
24.“有关联和理由充分的异议”是指就是否存在违反本法的情况或是否与控制者或处理者相关的预期行为符合本法的规定提出的异议;该异议明确论证决定草案对数据主体的基本权利和自由造成的风险的程度,以及如果适用的话个人数据在欧盟的流动;
25.“信息社会服务”是指欧洲议会和欧洲理事会第(EU)2015/1535号指令第1(1)条(b)项定义的服务[30];
26.“国际组织”是指国际公法管辖的组织及其下属机构,或者由两个或多个国家之间通过协定设立的或基于两个或多个国家之间的协定设立的任何其他机构。
第二章 原则
第五条 与个人数据处理相关的原则
1.个人数据:
(a)应以对数据主体合法、公平并透明的方式处理(“合法性、公正性和透明性”);
(b)应出于具体、明确和正当的目的收集,且之后不应以与该目的不相符的方式处理;但在收集后为第八十九条第1款所述之符合公共利益的存档目的、科学或历史研究目的或统计目的进行的处理,不应被视为不符合最初目的(“目的限制”);
(c)应是充分的、有关联的且仅限于对该目的有必要的范围内(“数据最小化”);
(d)应是准确的且如有必要应始终处于最新状态;必须采取所有合理措施来确保就其处理目的而言不准确的数据及时得以清除或更正(“精准性”);
(e)应仅在对于其处理目的而言有必要的期间内保存,保存的格式应使控制人能够对数据主体的身份进行确认;若根据第八十九条第1款的规定,个人数据仅为符合公共利益的存档目的、科学或历史研究目的或统计目的进行处理,个人数据可在更长期间内保存,但应采取本法所要求的适当的技术和组织措施来保障数据主体的权利和自由(“存储限制”);
(f)按确保个人数据充分安全的方式处理,包括使用适当的技术或组织措施防止未经授权的或不合法的处理、意外损失、销毁或损坏(“完整性和保密性”)。
2.控制人应负责并能够证明其遵守第1款的规定(“可问责性”)。
第六条 处理的合法性
1.仅在满足以下至少一个条件的情况下,处理才是合法的:
(a)数据主体同意为一个或多个特定目的处理其个人数据;
(b)处理对于履行数据主体为其中一方当事人的合同而言,或对于应数据主体的请求在签订合同前采取措施是有必要的;
(c)处理对于遵守控制人应履行的法定义务而言是有必要的;
(d)处理对于保护数据主体或另一自然人的切身利益是有必要的;
(e)处理对于执行符合公共利益的任务或在行使赋予控制人的职务权限中是有必要的;
(f)处理对于控制人或第三方追求的正当利益是有必要的,除非该利益为数据主体的基本权利和自由所超越,而后者需要对个人数据进行保护,尤其是在数据主体是儿童的情况下。
(本条)第1款(f)项的规定不适用于公共机构在执行任务过程中进行的处理。
2.成员国可维持或采取更为具体的规定来配合本法有关处理的规定的适用,以遵守(本条)第1款(c)项和(e)项的要求;该规定的维持或采取可通过确定能够确保合法和公平的处理的更为具体的处理要求及其他措施来实现,包括适用于(本法)第九章所规定的其他具体处理情形的措施。
3.第1款(c)项和(e)项所述的处理的依据应当如下:
(a)欧盟法律;或者
(b)控制者应遵守的成员国法律。
处理的目的应根据该法律依据确定,就(本条)第1款(e)项所述的处理而言,应对于执行符合公共利益的任务或在行使赋予控制人的职务权限的过程中是有必要的。该法律依据可包括适应本法规定的适用的具体规定,其中包括规定控制人处理合法性的一般条件、需进行处理的数据的类型、相关数据主体、个人数据可向其披露的实体及可披露个人数据的目的、目的范围、存储期、处理操作和处理程序,包括确保合法和公平处理的措施,例如(本法)第九章所规定的适用于其他特定处理情形的措施。欧盟或成员国法律应符合公共利益目标且与所追求的合法目的相适应。
4.若处理的目的并非收集个人数据所为之目的,而该处理是依据数据主体的同意进行的或其依据的欧盟或成员国法律构成在民主社会中保障(本法)第二十三条第1款所述的目标的必要和适当措施,则为确定为另一目标进行的处理是否与最初收集个人数据所为之目的相一致,除其他事项外,控制者还应考虑:
(a)收集个人数据所为之目的与准备进行的其他处理目的之间的任何联系;
(b)收集个人数据的背景,特别是有关数据主体和控制人之间的关系;
(c)个人数据的性质,特别是处理的个人数据是否含有(本法)第九条所述的特殊类型个人数据或者(本法)第十条所述的与犯罪记录和违法行为相关的个人数据;
(d)准备进行的其他处理可能对数据主体造成的影响;
(e)适当保障措施的存在,其中包括加密和假名化。
第七条 同意的条件
1.若处理是依据数据主体的同意进行的,控制者应当能够证明数据主体已同意对其个人数据进行处理。
2.若数据主体将在一份同时也涉及其他事宜的书面声明中给予其同意,则在对于该同意的请求中,应使用清楚直白的语言,以易于理解和获得的形式并以可明确与其他事宜区分的方式提出请求。该声明中构成违反本法的任何部分均不具约束力。
3.数据主体有权在任何时候撤回同意。同意的撤回不对依据撤回前的同意进行的处理的合法性具有影响。数据主体在给予同意前应被告知上述情况。数据主体撤回同意应与给予同意同样容易。
4.在评估同意是否为自愿做出之时,除其他事项外,还应在最大程度上考虑合同的履行,包括服务的提供,是否基于对履行合同不必要的个人数据的同意。
第八条 适用于儿童的与信息社会服务相关的同意的条件
1.在第六条第1款(a)项适用的情况下,就直接向儿童提供的信息社会服务而言,若相关儿童的年龄在16岁以上,则对该儿童个人数据的处理将是合法的;若相关儿童的年龄在16岁以下,则仅在对该儿童承担父母责任的人给予同意或授权的情况下,对该儿童个人数据的处理才是合法的。
成员国可通过法律为上述目的规定更低的年龄,但此年龄不得低于13岁。
2.在此类情况下,控制人应根据可用技术的情况,尽合理的努力确认同意是否由对该儿童承担父母责任的人给予或经这些人授权。
3.(本条)第1款的规定不影响成员国一般合同法的适用,例如与儿童相关的合同的合法性、成立或效力的规则。
第九条 特殊类型个人数据的处理
1.透露种族或民族、政治观点、宗教或哲学信仰或工会会员身份的个人数据的处理,仅为确定自然人的身份而进行的遗传数据或生物计量数据的处理,以及对与健康相关的数据或与自然人的性生活或性取向相关的数据进行的处理都是被禁止的。
2.若存在以下任何情况,(本条)第1款的规定不予适用:
(a)数据主体明确同意为一个或多个特定目的处理上述个人数据,除非欧盟或成员国的法律规定数据主体不得解除(本条)第1款所述的禁止;
(b)处理对于控制者或数据主体履行雇佣和社会保障以及社会保护法律所规定的义务及行使该法律所赋予的权利而言是有必要的,前提是欧盟或成员国法律授权进行该处理,或依据成员国法律的规定签订且规定为数据主体的基本权利和利益提供适当保障的劳资协议授权此处理;
(c)在数据主体在身体或法律上均无法给予同意的情况下,处理对于保护数据主体或另一自然人的切身利益是有必要的;
(d)处理是由某个具有政治、哲学、宗教或工会目的的基金会、协会或任何其他非营利机构在其正当活动中进行的,且以处理仅与该机构或因该机构的宗旨而与其有定期联系的人相关,同时数据不会在未经数据主体同意的情况下向外界披露为前提;
(e)处理与个人明确公之于众的数据相关;
(f)处理对于法定请求权的确立、行使和抗辩而言或在法院行使其司法权力之时是有必要的;
(g)根据欧盟或成员国法律的规定,处理因重大公共利益的理由是有必要的,该法律与追求的目的相称,尊重数据保护权利的本质,并为保障数据主体的基本权利和利益规定恰当和具体的措施;
(h)根据欧盟或成员国法律的规定,或依据与健康专业人士签订的合同的规定以及在符合(本条)第3款所述的条件和保障措施的情况下,处理对于预防医学或职业医学的目的、雇员工作能力的评估、健康或社会护理或治疗的提供、健康或社会护理系统和服务的管理是有必要的;
(i)根据欧盟或成员国法律的规定,即为保障数据主体的权利和自由特别是职业秘密规定恰当和具体措施的规定,处理因公共健康领域公共利益的理由是有必要的,例如防护严重的跨境健康威胁,或确保健康护理、医药产品或医疗设备的质量和安全的高标准;或者
(j)根据欧盟或成员国法律的规定,即与追求的目的相称,尊重数据保护权利的本质,并为保障数据主体的基本权利和利益规定恰当和具体的措施的规定,处理对于(本法)第八十九条第1款所述的符合公共利益的存档目的、科学或历史研究目的或统计目的是有必要的。
3.若处理由负有欧盟或成员国法律或国家主管机关制定的规则所规定的职业保密义务的专业人士进行或负责,或由同样负有欧盟或成员国法律或国家主管机关制定的规则所规定的职业保密义务的另一人士进行,则(本条)第1款所述的个人数据可为(本条)第2款(h)项所述的目的处理。
4.成员国可就遗传数据、生物计量数据或与健康相关的数据的处理维持或采取其他条件,包括限制。
第十条 与犯罪记录和违法行为相关的个人数据处理
依据(本法)第六条第1款的规定对与犯罪记录和违法行为相关的个人数据的处理,仅可在官方机构控制下或在为数据主体的权利和自由规定相应保护措施的欧盟或成员国法律授权的情况下进行。任何与犯罪记录相关的综合登记册仅可处于官方机构控制之下。
第十一条 无需确认身份的处理
1.若控制者处理个人数据的目的不需要或不再需要控制者对数据主体进行身份确认,则控制者无需仅为遵守本条之目的维持、获取或处理其他信息以对数据主体进行身份确认。
2.若在本条第1款所述的、情况下,控制人能够证明其不处于需要对数据主体进行身份确认的情况,则如有可能控制人应将此情况告知数据主体。在此情况下,(本法)第十五条至第二十条不适用,除非数据主体为行使上述条款所规定的权利而提供能够使其身份被确认的其他信息。
第三章 数据主体的权利
第一节 透明度和形式
第十二条 透明度信息、通信和数据主体行使权利的形式
1.控制者应采取适当的措施,以简洁、透明、易于理解和获得的形式并使用清楚、直白的语言提供(本法)第十三条和第十四条所述的信息以及第十五条至第二十二条及第三十四条规定的与数据主体相关的任何沟通信息,特别是明确发送给儿童的任何信息。信息应以书面形式或其他方式提供,如果适当还应包括电子方式。若数据主体请求,亦可以口头形式提供信息,前提是数据主体的身份通过其他方式证明。
2.控制者应促进(本法)第十五条至第二十二条规定的数据主体权利的行使。在(本法)第十一条第2款所述的情况下,控制者不得拒绝按照数据主体为行使第十五条至第二十二条规定的权利提出的请求行事,除非控制者能够证明其所处的境况使之不能确定数据主体的身份。
3.控制者应向数据主体提供与其按(本法)第十五条至第二十二条规定的请求采取的行动相关的信息;该信息的提供不得发生不当延误,且无论如何都应在收到请求后一个月内提供。如有必要,上述期限可根据请求的复杂性和请求的数目延长两个月。控制者应在收到请求后一个月内将任何此类延期连同延期的理由告知数据主体。在数据主体以电子方式提出请求的情况下,控制者应尽可能以电子方式提供信息,除非数据主体另有要求。
4.若控制者未能按照数据主体的请求采取行动,则应将未能采取行动的情况和向监管机构投诉及寻求救济的可能性告知数据主体;对数据主体的告知不得发生不当延误,且最晚应在收到请求后一个月内告知。
5.根据(本法)第十三条和第十四条的规定提供的信息及根据第十五条至第二十二条和第三十四条的规定进行的任何通信和采取的任何行动都是免费的。若数据主体提出的请求明显没有根据或过分,特别是在该请求具有重复性的情况下,控制者可:
(a)根据应请求提供信息或通信或采取行动所需的管理成本,收取一笔合理的费用;或者
(b)拒绝按请求采取行动。
控制者应承担请求明显没有根据或过分的举证责任。
6.在不影响(本法)第十一条规定的前提下,若控制人有合理的理由怀疑提出第十五条至第二十一条所述请求的自然人的身份,则控制人可要求其提供对于确认数据主体的身份有必要的其他信息。
7.为能够以容易看见、易于理解和清晰可读的方式对准备进行的处理做有意义的简要描述,依据(本法)第十三条和第十四条的规定应向数据主体提供的信息可结合标准化图标提供。若这些图标以电子方式呈现,则应具有可机读的形式。
8.欧盟委员会有权为确定图标展现的信息和提供标准化图标的程序,根据(本法)第九十二条的规定采取委托行为。
第二节 信息和个人数据的访问
第十三条 从数据主体处收集个人数据的情况下应提供的信息
1.若数据主体的个人数据是从该数据主体处收集的,在获得个人数据之时,控制者应向数据主体提供所有以下信息:
(a)控制者以及如果适用的话控制者代表的身份和详细联系信息;
(b)如果适用的话,数据保护官的详细联系信息;
(c)个人数据原本的处理目的以及处理的法律依据;
(d)在处理是依据(本法)第六条第1款(f)项的规定进行的情况下,控制者或第三方所追求的正当权益;
(e)如有的话,个人数据接收者或接收者的种类;
(f)如果适用的话,控制者准备向第三国或国际组织传输数据及欧盟委员会作出或未作出“充分性决定”的事实;或者在(本法)第四十六条或第四十七条或第四十九条第1款所述传输的情况下,适当或合适的保障措施的内容及获取该措施复本的方式或能够得到该复本的地点。
2.除(本条)第1款所述的信息外,在获得个人数据之时,控制人还应向数据主体提供对于确保公平和透明的处理有必要的以下信息:
(a)个人数据将存储的期限,若不可能提供此信息则应提供用于确定该期限的标准;
(b)数据主体向控制者请求访问、更正或消除个人数据或者限制与数据主体相关的处理的权利,或者反对处理的权利及对数据可携性的权利;
(c)在处理是依据第六条第1款(a)项或第九条第2款(a)项的规定进行的情况下,数据主体有权在任何时候撤回同意;同意的撤回不对依据撤回前的同意进行的处理的合法性具有影响。
(d)向监管机构进行投诉的权利;
(e)个人数据的提供是否是法定或合同要求,或对于签订合同是有必要的要求,以及数据主体是否有义务提供个人数据以及不提供该数据可能产生的后果;
(f)(本法)第二十二条第1款和第4款所述的自动化决策,包括特性分析的存在,以及至少在该情况下与相关逻辑有关的有意义信息和此类处理对数据主体的意义和预期影响。
3.若控制者准备继续处理个人数据的目的与收集该个人数据的目的不同,则在继续处理之前,控制者应向数据主体提供与其他目的相关的信息以及(本条)第2款所述的任何其他相关信息。
4.在数据主体已经拥有该信息的情况下,(本条)第1款、第2款和第3款的规定不适用。
第十四条 未从数据主体处获得个人数据的情况下应提供的信息
1.在未从数据主体处获得个人数据的情况下,控制者应向数据主体提供以下信息:
(a)控制者以及如果适用的话控制者代表的身份和详细联系信息;
(b)如果适用的话,数据保护官的详细联系信息;
(c)个人数据原本的处理目的以及处理的法律依据;
(d)相关个人数据的种类;
(e)如有的话,个人数据接收者或接收者的种类;
(f)如果适用的话,控制人准备向第三国或国际组织传输数据及欧盟委员会作出或未作出“充分性决定”的事实;或者在(本法)第四十六条或第四十七条或第四十九条第1款所述传输的情况下,适当或合适的保障措施的内容及获取该措施复本的方式或能够得到该复本的地点。
2.除(本条)第1款所述的信息外,在获得个人数据时,控制者还应向数据主体提供对于确保公平和透明处理而言有必要的以下信息:
(a)个人数据将存储的期限,若不可能提供此信息则应提供用于确定该期限的标准;
(b)在处理是依据(本法)第六条第1款(f)项的规定进行的情况下,控制者或第三方追求的正当权益;
(c)数据主体向控制者请求访问、更正或消除个人数据或者限制与数据主体相关的处理的权利,或者反对处理的权利及对数据可携带权;
(d)在处理是依据(本法)第六条第1款(a)项或第九条第2款(a)项的规定进行的情况下,数据主体有权在任何时候撤回同意;同意的撤回不对依据撤回前的同意进行的处理的合法性具有影响。
(e)向监管机构进行投诉的权利;
(f)个人数据的起源,以及如果适用的话个人数据是否来源于公开可访问的来源;
(g)(本法)第二十二条第1款和第4款所述的自动化决策,包括特性分析的存在,以及至少在该情况下与相关逻辑有关的有意义信息和此类处理对数据主体的意义和预期影响。
3.控制者应按以下规定提供(本条)第1款和第2款中述的信息:
(a)根据个人数据处理的具体情况,在获得个人数据后的合理时间内提供,但最晚应在获得个人数据后一个月内提供;
(b)若个人数据将被用于与数据主体进行沟通,最晚应在首次与数据主体沟通之时;或者
(c)如预计将向另一接收者披露,最晚应在个人数据披露之时。
4.若控制者准备继续处理个人数据的目的与获得该个人数据的目的不同,则在继续处理之前,控制者应向数据主体提供与其他目的相关的信息以及(本条)第2款所述的任何其他相关信息。
5.(本条)第1款至第4款的规定在以下情况不适用:
(a)数据主体已经拥有信息;
(b)根据(本法)第八十九条第1款所述的条件和保障措施,或者在本条第1款所述的义务可能使得该处理目标的实现不可能或影响该处理目标的实现的情况下,该信息的提供经证明是不可能的或需要作出不相称的努力,特别是对于符合公共利益的存档目的、科学或历史研究目的或统计目的而言;在该情况下,控制者应采取适当的措施保护数据主体的权利、自由和正当权益,包括使得该等信息公开可得;
(c)对控制者具有约束力的欧盟或成员国法律对数据的获得和披露有明确规定,同时规定控制者应采取适当的措施保护数据主体的正当权益;或者
(d)在根据欧盟或成员国法律规定的职业保密义务,包括法定保密义务仍应对个人数据保密的情况下。
第十五条 数据主体的访问权
1.数据主体有权从控制者处得到与其相关的个人数据是否正在被处理的确认;若个人数据正在被处理,还有权得到该个人数据的访问权限和以下信息:
(a)处理的目的;
(b)相关个人数据的种类;
(c)已经或将要向其披露个人数据的接收者的种类,包括在第三国或国际组织内的接收者;
(d)个人数据存储的期限,若不可能提供此信息则应提供用于确定该期限的标准;
(e)数据主体向控制者请求访问、更正或消除个人数据或者限制与数据主体相关的处理的权利,或者反对处理的权利及对数据可携性的权利;
(f)向监管机构进行投诉的权利;
(g)在个人数据并非从数据主体处收集的情况下,能够得到的与该数据的来源相关的信息;
(h)(本法)第二十二条第1款和第4款所述的自动化决策,包括特性分析的存在,以及至少在该情况下与相关逻辑有关的有意义信息和此类处理对数据主体的意义和预期影响。
2.在个人数据被传输到第三国或国际组织的情况下,依据(本法)第四十六条的规定,数据主体有权被告知与传输相关的适当保护措施。
3.控制人应提供一份正在处理的个人数据的复印件。若数据主体要求更多复印件,则控制人可根据其管理成本收取一笔合理的费用。在数据主体以电子方式提出请求的情况下,控制人应以普遍可用的电子形式提供信息,除非数据主体另有要求。
4.获得(本条)第3款所述复印件的权利不对其他人的权利和自由具有不利影响。
第三节 更正和删除
第十六条 更正权
数据主体有权从控制人处不受不当延误地更正与其相关的不准确个人信息。根据处理的目的,数据主体有权要求将不完整的个人信息补充完整,包括通过提供补充声明的方式补充完整。
第十七条 删除权(“被遗忘权”)
1.数据主体有权从控制者处不受不当延误地删除与其相关的个人信息,且若以下任何一个理由适用,控制者有义务在没有不当延误的情况下删除个人数据:
(a)控制者不再为收集或以其他方式处理个人数据的目的需要个人数据;
(b)数据主体根据(本法)第六条第1款(a)项的规定或第九条第2款(a)项的规定撤回处理所依据的同意,由此处理不再有法律依据;
(c)数据主体依据(本法)第二十一条第1款的规定反对处理而处理没有超越此依据的其他法律依据;或者数据主体依据第二十一条第2款的规定反对处理;
(d)个人数据被非法处理;
(e)个人数据因遵守对控制人具有约束力的欧盟或成员国法律所规定的法律义务的原因而被删除;
(f)个人数据是为提供(本法)第八条第1款所述的信息社会服务而收集的。
2.若控制者已将个人数据公开且负有(本条)第1款规定的消除个人数据的义务,控制人应根据可利用的技术和执行成本,采取包括技术措施在内的合理措施告知正在处理个人数据的控制者,数据主体已经请求该控制者消除相关个人数据的链接或复本或复制品的情况。
3.因以下理由处理是有必要的情况下,(本条)第1款和第2款的规定不予适用:
(a)行使言论自由和信息自由的权利;
(b)为遵守对控制者具有约束力的欧盟或成员国法律规定的要求,对个人数据进行处理的法定义务,或为执行符合公共利益的任务,或在行使赋予控制者的职权的过程中;
(c)为(本法)第九条第2款(h)项和(i)项和第九条第3款所述的公共健康领域公共利益方面的理由;
(d)若(本条)第1款所述的权利可能使得该处理的目标的实现不可能或严重影响该处理目标实现,为(本法)第八十九条第1款所述的符合公共利益的存档目的、科学或历史研究目的或统计目的第1款;或者
(e)为了确立、行使法律上的诉权或者防御他人行使法律上的诉权。
第十八条 限制处理权
1.在以下任何情况下,数据主体都有权从控制者处获得对处理的限制:
(a)数据主体质疑个人数据的准确性,在此情况下对处理进行限制的时间应使得控制人能够对个人数据的准确性进行确认;
(b)处理是非法的,且数据主体反对消除个人数据并请求对个人数据的使用进行限制;
(c)控制者不再为处理目的而需要个人数据,但数据主体为了确立、行使法律上的诉权或者防御他人行使法律上的诉权而需要个人数据;
(d)数据主体依据(本法)第二十一条第1款的规定,在对控制人的法律依据是否超越于数据主体的法律依据进行证成。
2.在处理根据(本条)第1款的规定被限制的情况下,除存储以外,控制者应仅在经数据主体同意的情况下处理相关个人数据,或为了确立、行使法律上的诉权或者防御他人行使法律上的诉权,或为另一自然人或法人权利的保护,或为符合欧盟或成员国重要公共利益的原因处理相关个人数据。
3.控制者在将(本条)第1款所述的处理限制取消之前,应将此情况告知获得此处理限制的数据主体。
第十九条 就个人数据的更正、删除或处理限制进行告知的义务
控制者应将根据(本法)第十六条、第十七条第1款和第十八条的规定对个人数据进行的任何更正、删除或对处理进行的任何限制告知其个人数据被披露的每个接收者,除非被证明不可能或需要进行不相称的努力。若数据主体要求,控制人应将该接收者的情况告知数据主体。
第二十条 数据可携带权
1.在以下情况下,数据主体有权以结构化、普遍使用和可机读的格式从某一控制者处接收其之前提供给该控制者的与其相关的个人数据,并有权在不受该控制者妨碍的情况下将该数据提供给另一控制人:
(a)处理是依据(本法)第六条第1款(a)项或第九条第2款(a)项规定的同意或依据第六条第1款(b)项规定的合同进行的;并且
(b)处理通过自动化方式执行。
2.在行使(本条)第1款规定的数据可携性权利时,在技术可行的情况下,数据主体有权要求将个人数据直接从一个控制者处传输到另一控制者处。
3.本条第1款所述权利的形式不对(本法)第十七条的规定具有影响。该权利不适用于对于执行符合公共利益的任务或在行使赋予控制者的职权的过程中有必要的处理。
4.(本条)第1款所述的权利不应当对其他人的权利和自由具有不利影响。
第四节 反对权和自动化个人决策
第二十一条 反对权
1.数据主体有权在任何时候以与其特定处境有关的理由反对依据(本法)第六条第1款(e)项或(f)项的规定对其个人数据进行的处理,包括根据该规定进行的特性分析。除非控制者能够证明存在超越于数据主体的利益、权利和自由的强有力的法律依据,或者确立、行使法律上的诉权或者防御他人行使法律上的诉权有强有力的法律依据。
2.若为直销目的处理个人数据,则数据主体有权在任何时候反对为此营销对其个人数据进行处理,包括与该直销相关的特性分析。
3.若数据主体反对为直销目的处理其个人数据,则控制人不得再为此目的对该数据主体的个人数据进行处理。
4.控制者应最迟在首次告知数据主体时,明确提请数据主体注意(本条)第1款和第2款所述的权利,且应明确将该提请与任何其他信息分开。
5.在使用信息社会服务的情况下,尽管第2002/58/EC号指令另有规定,数据主体仍可通过自动化方式并使用技术规范来行使其反对权。
6.若为(本法)第八十九条第1款所述的科学或历史研究目的或统计目的进行处理,数据主体有权以其具体情况为由反对处理其个人数据,除非该处理对于执行符合公共利益的任务是有必要的。
第二十二条 包括特性分析在内的自动化个人决策
1.若仅根据对数据主体个人数据的自动化处理作出的决定,包括特性分析,产生与该数据主体相关的法律影响或对其有类似的重要影响,该数据主体有权不受该决定约束。
2.(本条)第1款的规定在以下情况不予适用:
(a)决定对于数据主体和数据控制者之间合同的签订或履行是有必要的;
(b)决定系经由欧盟或成员国法律授权;控制者受该法律约束且该法律规定了保护数据主体的权利和自由及正当权益的适当措施的;或者
(c)决定是依据数据主体的明确同意作出的。
3.在(本条)第2款(a)项和(c)项所述的情况下,数据控制者应实施适当的措施来保障数据主体的权利和自由及正当权益,至少包括获得控制者的人为干涉的权利、表达其观点的权利和同意决定的权利。
4.(本条)第2款所述的决定不应依据(本法)第九条第1款所述的个别数据的特殊类型作出,除非第九条第2款(a)项或(g)项适用且保障数据主体的权利和自由及正当权益的适当措施已经制定。
第五节 限制
第二十三条 限制
1.对数据控制人或处理人有约束力的欧盟或成员国法律,可通过立法措施限制(本法)第十二条至第二十二条和第三十四条以及第五条规定的义务和权利的范围,只要其规定与第十二条至第二十二条规定的权利和义务相符,前提是该限制尊重基本权利和自由的本质并且是民主社会中保障以下方面的必要和适当措施:
(a)国家安全;
(b)国防;
(c)公共安全;
(d)刑事犯罪的预防、调查、侦查或检举或刑事处罚的执行,包括公共安全威胁的防范和阻止;
(e)欧盟或成员国公众利益的其他重要目标,特别是欧盟或成员国的重要经济或财务利益,包括货币、预算和税务事宜,以及公共卫生和社会保障;
(f)司法独立和诉讼程序的保护;
(g)违反管制行业职业道德情况的预防、调查、发现和检举;
(h)在以上(a)、(b)、(c)、(d)、(e)和(g)项情况下,即使只是偶尔,与职务权限的形式相关联的监视、检查或管制职能;
(i)数据主体或其他人的权利和自由的保护;
(j)民法诉权的行使。
2.如果相关,第1款所述的任何立法措施特别是应至少包括以下方面的具体措施:
(a)处理的目的或处理的分类;
(b)个人数据的分类;
(c)采用的限制的范围;
(d)防止滥用或非法访问或传输的保障措施;
(e)对控制者的具体要求或控制者的类型;
(f)根据处理的性质、范围和目的或处理的种类确定存储的期限及适用的保障措施;
(g)数据主体的权利和自由面临的风险;以及
(h)数据主体获知关于限制的状况的权利,除非可能会对限制的目的造成影响。
第四章 控制者和处理者
第一节 一般义务
第二十四条 控制者的责任
1.控制者应根据处理的性质、范围、背景和目的,各种可能的风险的严重程度以及自然人权利和自由,实施适当的技术和组织措施,以确保根据本法的规定进行处理并能够对此进行证明。该措施应在有必要的情况下审核和更新。
2.为与处理活动相适应,(本条)第1款所述的措施应包括控制者实施的适当的数据保护政策。
3.处理者对(本法)第四十条所述经批准的行为准则或第四十二条所述经批准的证明机制的遵守,可被用作证明遵守控制者义务的要素。
第二十五条 通过设计和默认保护数据
1.根据当前技术水平、执行成本,处理的性质、范围、背景及目的,各种可能的风险的严重程度以及自然人权利和自由,控制人在确定处理方式时及进行处理时,应以有效的方式实施适当的技术和组织措施,例如以执行数据保护原则为目的的假名化,例如数据最小化,并将必要的保护措施融入处理中,以达到本法的要求及保护数据主体的权利。
2.控制者应实施适当的技术和组织措施以确保在默认方式下仅处理对于处理的具体目的有必要的个人数据。此义务适用于收集的个人数据的数量、处理的范围、个人数据存储的期限和个人数据的可访问性。特别是该措施应确保在默认方式下,不经与数量不确定的自然人交涉不可访问个人数据。
3.处理者对(本法)第四十二条所述经批准的认证机制的遵守,可被用作证明本条第1款和第2款所述要求的要素。
第二十六条 联合控制者
1.若两个或多个控制者共同确定处理的目的和方式,这些控制者为联合控制者。联合控制者应以透明的方式通过他们之间的安排确定各自的责任,以遵守本法规定的义务,特别是就行使数据主体的权利及他们各自提供(本法)第十三条和第十四条所述的信息的责任而言,除非这些控制人各自的责任由对他们具有约束力的欧盟和成员国的法律确定。在上述安排中可为数据主体指定一个联系点。
2.(本条)第1款所述的安排应充分反映联合控制者各自对数据主体负有的责任及他们之间的关系。联合控制者应将此安排的要点告知数据主体。
3.无论(本条)第1款所述的安排中有何种条款,数据主体都可针对每个控制人行使本法所规定的权利。
第二十七条 不设立在欧盟的控制者或处理者的代表
1.若(本法)第三条第2款的规定适用,控制者或处理者应以书面形式指定一名在欧盟内的代表。
2.此义务不适用于:
(a)偶然发生且通常不包括(本法)第九条第1款所述的特殊种类的数据或与第十条所述的犯罪记录和违法行为相关的个人数据,同时根据其性质、背景、范围和目的不可能导致对自然人的权利和自由造成风险的处理;或者
(b)公共机构或实体。
3.代表应设立在其中一个成员国,数据主体应位于该成员国且其个人数据在该成员国为向其提供的货物或服务而进行处理,或者其行为在该成员国受到监管。
4.代表应经控制者或处理者委托,或除经控制者或处理者委托外还经监管机构和数据主体委托,或由经监管机构和数据主体代替控制者或处理者委托,处理与数据处理相关的所有事宜,以确保本法的规定得到遵守。
5.控制者或处理者对代表的指定,不影响针对控制者或处理者提起的任何法律诉讼。
第二十八条 处理者
1.若处理是代表控制者进行的,控制者应仅使用提供了充分保证的处理者,即该控制者将实施适当的技术和组织措施,以使处理达到本法的要求并确保对数据主体的权利进行保护。
2.处理者不得在未事先得到控制者特别或一般书面授权的情况下雇用另一处理者。若为一般书面授权,处理者应将准备进行的与增加或替换其他处理者相关的任何更改告知控制者,以给予控制者反对此类更改的机会。
3.处理者进行的处理应受根据欧盟或成员国法律签订的合同或其他法律文件管辖;就控制者而言该合同或其他法律文件对处理者具有约束力并阐述处理的主旨和期限、处理的性质和目的、个人数据的种类和数据主体的类型以及控制者的义务和权利。该合同或其他法律文件应特别规定处理者应:
(a)仅根据控制者的有证明文件的指令来处理个人数据,包括就将个人数据传输到第三国或国际组织发出的指令,除非对该处理者有约束力的欧盟或成员国法律要求其进行个人数据处理;在此情况下处理者应在处理之前将该法律要求告知控制者,除非相关法律因公众利益方面的重要理由禁止告知;
(b)确保经授权处理个人数据的人使自己承担保密义务或已经承担适当的法定保密义务;
(c)采取依据(本法)第三十二条的规定所需的所有措施;
(d)尊重(本条)第2款和第4款所述的雇用另一处理者的条件;
(e)根据处理的性质在可能的范围内通过适当的技术和组织措施帮助控制者,使得控制者能够对数据主体行使(本法)第三章规定的权利的请求履行其回应义务;
(f)根据处理的性质和控制者能够获得的信息帮助控制者确保遵守(本法)第三十二条至第三十六条规定的义务;
(g)根据控制者的选择,在与处理相关的服务提供完毕之后删除或向控制者归还所有个人数据并删除所有现存复本,除非欧盟或成员国法律要求存储个人数据;
(h)向控制者提供对于证明遵守本条款规定的义务有必要的所有信息并体谅和配合控制者或控制者委托的另一审计人进行的审计,包括检查。
关于第1小段(h)项的规定,若处理者认为某个指令违反本法的规定或成员国数据保护规定,应立即通知控制者。
4.若某个处理者雇用另一处理者代表控制者执行特定处理活动,(本条)第3款所述的控制者与处理者之间的合同或其他法律文件规定的数据保护义务,应通过根据欧盟或成员国法律的规定签订的合同或其他法律文件的方式,同样施加于其他处理者,特别是提供充分保证的义务,即以使得处理达到本法的要求的方式来实施适当的技术和组织措施。若其他处理者未能履行其数据保护义务,原处理者仍应就其他处理者义务的履行对控制者负全部责任。
5.处理者对(本法)第四十条所述的经批准的行为准则或第四十四条所述的经批准的认证机制的遵守,可被用作证明本条第1款和第4款所述的充分保证的要素。
6.在不影响控制者与处理者之间的任何个体合同的情况下,本条第3款和第4款所述的合同或其他法律文件可全部或部分以本条第7款和第8款所述的标准合同条款为基础,包括在这些标准合同条款是依据(本法)第四十二条和第四十三条授予控制者或处理者的证明的一部分的情况下。
7.欧盟委员会可根据(本法)第九十三条第2款所述的审查程序为本条第3款和第4款所述的事项规定标准合同条款。
8.监管机构可根据(本法)第六十三条所述的一致性机制为本条第3款和第4款所述的事项采用标准合同条款。
9.(本条)第3款和第4款所述的合同或其他法律文件应为书面形式(包括电子方式)的合同或法律文件。
10.在不影响(本法)第八十二条、第八十三条和第八十四条规定的前提下,若处理者因确定处理的目的和方式而违反本法的规定,则就该处理而言,处理者应被视为控制者。
第二十九条 经控制者或处理者授权的处理
除非得到控制者的指示,处理者或者经控制者或处理者授权对个人数据有访问权限的任何人不得处理该数据,除非欧盟或成员国法律要求处理。
第三十条 处理活动记录
1.每一控制者,以及如果适用的话,控制者的代表应就其负责的处理活动维持一份记录。该记录应包含以下所有信息:
(a)控制者,以及如果适用的话,联合控制者、控制者代表和数据保护官员的姓名和详细联系信息;
(b)处理的目的;
(c)对数据主体类型和个人数据种类的描述;
(d)已经或将要向其披露个人数据的接收者的类型,包括在第三国或国际组织内的接收者;
(e)向第三国或国际组织进行的个人数据的传输,如果适用的话还包括该第三国或国际组织的身份认定,以及如为(本法)第四十九条第1款第(2)段所述的传输还包括相关保障措施的资料;
(f)如果适用的话,消除不同种类数据的预计时限;
(g)如果适用的话,对(本法)第三十二条第1款所述的技术和组织安全措施的总体描述。
2.每一处理者,以及如果适用的话,处理者的代表应维持代表处理者进行的各种处理活动的记录,其中应包括:
(a)该处理者或多个处理者,该处理者代表行事的每一控制者,如果适用的话,控制者或处理人的代表,以及数据保护官员的姓名和详细联系信息;
(b)代表每一控制者进行的控制的种类;
(c)如果适用的话,向第三国或国际组织进行的个人数据传输,包括该第三国或国际组织的身份认定,以及在(本法)第四十九条第1款第(2)段所述的数据转移的情况下适当保障措施的文件证据;
(d)如果可能的话,对(本法)第三十二条第1款所述的技术和组织安全措施的总体描述。
3.(本条)第1款和第2款所述的记录应为书面形式的记录,包括电子方式。
4.经监管机构请求,控制者和处理者,以及如果适用的话他们的代表应向监管机构提供该记录。
5.(本条)第1款和第2款所述的义务不适用于雇佣人数在250人以下的企业或组织,除非其进行的处理可能导致对数据主体的权利和自由造成的威胁,或者处理并非偶然发生,或者处理的数据包括(本法)第九条第1款所述的特殊种类的数据或与第十条所述的犯罪记录和违法行为相关的个人数据。
第三十一条 与监管机构合作
经监管机构请求,控制者和处理者,以及如果适用的话他们的代表应配合监管机构执行其任务。
第二节 个人数据的安全
第三十二条 处理的安全
1.控制者和处理者应根据当前技术水平、执行成本和处理的性质、范围、背景及目的,以及各种可能的风险和处理对自然人权利和自由造成的影响的程度,实施适当的技术和组织措施,以确保与风险相适应的安全等级,视情况而定其中应包括:
(a)个人数据的假名化和加密;
(b)确保处理系统和服务的持续保密性、完整性、可得性和适应性的能力;
(c)在发生物理或技术故障的情况下及时恢复个人数据可得性和个人数据访问的能力;
(d)定期测试、评估和评价确保处理安全的技术措施和组织措施的有效性的程序。
2.在评估适当的安全等级时应特别考虑处理所造成的风险,特别是传输、存储或以其他方式处理个人数据的意外或非法破坏、遗失、更改、未经授权的披露或访问。
3.处理人对(本法)第四十条所述的经批准的行为准则或第四十二条所述的经批准的证明机制的遵守,可被用作证明遵守本条第1款所述的要求的要素。
4.控制者和处理者应采取措施确保经控制者或处理者授权对个人数据有访问权限的任何自然人仅按控制者的指示处理个人数据,除非欧盟或成员国法律要求其处理。
第三十三条 将违反个人数据安全规定的情况报告监管机构
1.若发生违反个人数据安全规定的情况,控制者应将此情况报告(本法)第五十五条规定的主导监管机构;此报告不应不当延误且如果可行应在获知此情况72小时之内进行,除非违反个人数据安全规定的情况不可能对自然人权利和自由造成风险。若未能在72小时之内进行报告,则在报告时应随附对延误的原因进行的说明。
2.在获知违反个人数据安全规定的情况后,处理者应及时向控制者报告,不得不当延误。
3.(本条)第1款所述的报告至少应:
(a)描述违反个人数据安全规定的情况的性质,如有可能还应包括相关数据主体的类型和大概数目以及相关个人数据的种类和大概数目;
(b)显示数据保护官的姓名和详细联系信息或可获得更多信息的其他联系点;
(c)描述违反个人数据安全规定的情况可能造成的后果;
(d)描述控制者采取或拟采取的处理违反个人数据安全规定的情况的措施,如果适当还应包括消除其可能产生的不利影响的措施。
4.在不可能同时提供信息的情况下,可以没有不当延误地分阶段提供信息。
5.控制者应记录任何违反个人数据安全规定的情况,内容包括与违反个人数据安全规定的情况相关的事实、影响和采取的纠正措施。该记录应使得监管机构能够对遵守本条的情况进行确认。
第三十四条 将违反个人数据安全规定的情况告知数据主体
1.若违反个人数据安全规定的情况可能对自然人的权利和自由造成高风险,控制者应及时将此情况告知数据主体,不得不当延误。
2.在进行本条第1款所述的告知违反个人数据安全规定情况时,应使用清楚直白的语言对违反个人数据安全规定的性质进行描述,且告知的内容应至少包括(本法)第三十三条第3款(b)项、(c)项和(d)项规定的信息和建议。
3.在以下任何情况下无需向数据主体进行本条第1款所述的告知:
(a)控制人已经实施恰当的技术和组织保护措施,且已经将该措施应用于受违反个人数据安全规定的情况影响的个人数据,特别是使得未获访问授权的人不能够理解个人数据的措施,例如加密;
(b)控制人已经采取确保(本条)第1款所述的对数据主体的权利和自由造成的高风险不可能成为现实的后续措施;
(c)进行(本条)第1款所述的告知需要不相称的努力。在此情况下,应使用大众传播方式或能以相同效果告知数据主体的类似措施代替告知。
4.若控制人尚未将违反个人数据安全规定的情况告知数据主体,监管机构可根据违反个人数据安全规定的情况造成高风险的可能性,要求控制人进行告知或确定(本条)第3款所述的任何情况是否发生。
第三节 数据保护影响评估和事先咨询
第三十五条 数据保护影响评估
1.若根据处理的性质、范围、背景和目的来看,某一类处理特别是使用新技术的处理可能导致对自然人权利和自由造成高风险,控制者应在处理之前就预期处理操作对个人数据保护的影响进行评估。每次评估都可针对带来类似高风险的此类处理操作进行。
2.在进行数据保护影响评估时,如果指定了数据保护官,控制者应从数据保护官处寻求意见。
3.(本条)第1款所述的数据保护影响评估在以下情况下尤其需要:
(a)对与自然人相关的个性化方面进行系统和广泛的评估,该评估以自动化处理包括特性分析为基础,且据其作出的决定产生与该自然人相关的法律影响或对该自然人有类似的重要影响;
(b)对(本法)第九条第1款所述的大规模特殊种类数据进行的处理,或对第十条所述的与犯罪记录和违法行为相关的个人数据进行的处理;或者
(c)对可公开访问的区域进行的大规模系统监视。
4.对于受(本条)第1款所述的数据保护影响评估要求约束的处理操作的类型,监管机构应制作和公布一份清单。监管机构应将该清单告知(本法)第六十八条所述的理事会。
5.对于无需进行数据保护影响评估的处理操作的类型,监管机构亦可制作和公布一份清单。监管机构应向(本法)第六十八条所述的理事会提供该清单。
6.在采用(本条)第4款和第5款所述的清单之前,若该清单涉及与向数据主体提供货物或服务相关的处理活动,或涉及在若干成员国对其行为进行的监视,或可能严重影响个人数据在欧盟内的自由流动,则主导监管机构应适用(本法)第六十三条所述的一致性机制。
7.评估应至少包括:
(a)对预期的处理操作和处理的目的进行的系统描述,如果适用还应包括控制者所追求的正当权益;
(b)对处理操作对于目的的必要性和相称性进行评估;
(c)对(本条)第1款所述的对数据主体的权利和自由造成的风险进行评估;以及
(d)预计将用于处理风险的措施,包括考虑到数据主体和其他相关者的权利和正当利益,确保保护个人数据和证明遵守本法的保障措施、安全措施和机制。
8.在评估控制者或处理者进行的处理操作的影响时,应充分考虑相关控制者或处理者对(本法)第四十条所述的经批准的行为准则的遵守情况,特别是在进行数据保护影响评估时。
9.如果恰当,控制者应在不影响对商业或公共利益的保护或处理操作的安全的情况下,从数据主体或他们的代表处寻求对即将进行的处理的意见。
10.若根据对处理者有约束力的欧盟法律或成员国法律的规定,依据(本法)第六条第1款(c)项或(e)项的规定进行的处理有法律依据,而该法律管辖相关具体处理操作或系列处理操作;同时,在采用该法律依据的情况下,数据保护影响评估已经作为总体影响评估的一部分得以执行,则(本条)第1款至第7款的规定不适用,除非成员国认为有必要在处理活动之前进行该评估。
11.如有必要,控制者应至少在处理操作带来的风险发生改变时进行审核,以确定处理是否根据数据保护影响评估结果进行。
第三十六条 事先咨询
1.若根据(本法)第三十五条的规定进行的数据保护影响评估显示,如果控制者不采取措施降低风险,处理将带来很高的风险,控制者在进行处理之前应先咨询监管机构。
2.若监管机构认为(本条)第1款所述的处理将违反本法的规定,尤其是在控制者未能充分确定或降低风险的情况下,监管机构应在收到咨询请求后最多八周内,向控制者提供书面建议,并且在对处理者适用的情况下可使用(本法)第五十八条所述的任何权力。在考虑准备进行的处理的复杂性后可将上述期限延长六周。监管机构应在收到咨询请求后一个月内将任何此类延期和延期的理由告知控制者,如果适用还应告知处理者。监管机构获得其所需要的供咨询用的信息之前上述期限可暂停计算。
3.在依据(本条)第1款的规定向监管机构进行咨询时,控制者应向监管机构提供:
(a)参与处理的控制者、联合控制者,以及如果适用还应包括处理者各自的责任,特别是企业集团内部的处理;
(b)准备进行的处理的目的和方式;
(c)为依据本法的规定保护数据主体的权利和自由而提供的措施和保障;
(d)如果适用的话,数据保护官的详细联系信息;
(e)(本法)第三十五条规定的数据保护影响评估;以及
(f)监管机构要求的其他信息。
4.在准备起草法律措施提交议会通过时,或根据该法律措施制定与处理相关的监管措施之时,成员国应咨询监管机构。
5.尽管(本条)第1款另有规定,对于控制者为符合公共利益的任务进行的处理,包括与社会保护和公共卫生相关的处理,成员国法律可要求控制者咨询监管机构并事先得到监管机构的授权。
第四节 数据保护官
第三十七条 数据保护官的指定
1.在以下情况下控制者和处理者应指定一名数据保护官:
(a)处理由公共机构或实体进行,行使其司法职能的法院除外;
(b)控制者或处理者的主要活动是这些处理操作,由于此类操作的性质、范围和/或目的,需要对大规模的数据主体进行定期和系统监视;或者
(c)控制者或处理者的主要活动是依据(本法)第九条规定进行的大规模特殊种类数据的处理,以及对第十条所述的与犯罪记录和违法犯罪相关的个人数据进行的处理。
2.企业集团可以仅指定一名数据保护官,前提是其每家企业都能很方便地联系到该数据保护官。
3.若控制者或处理者是公共机构或实体,则可根据该机构或实体的组织结构或规模为多个机构或实体指定同一名数据保护官。
4.在(本条)第1款所述情况以外的其他情况下,控制者、处理者、协会或代表各种控制者或处理者的其他实体可在欧盟法律或成员国法律要求下指定一名数据保护官。该数据保护官可代表上述协会或代表各种控制者或处理者的其他实体。
5.数据保护官应根据专业素养特别是数据保护法专业知识、实践经验及完成(本法)第三十九条所述任务的能力来指定。
6.数据保护官可为控制者或处理者的职员,亦可为根据服务合同执行任务的人。
7.控制者或处理者应公布数据保护官的详细联系信息并将该信息告知监管机构。
第三十八条 数据保护官的职位
1.控制者和处理者应确保数据保护官恰当且及时地参与有关个人数据保护的所有事宜。
2.在数据保护官执行(本法)第三十九条所述的任务时,控制者和处理者应通过提供执行该任务、访问个人数据和处理操作以及运用专业知识所需的资源来支持该数据保护官。
3.控制者和处理者应确保数据保护官不会收到与该任务的执行相关的任何指示。控制者或执行者不得为执行该任务的原因开除或惩罚数据保护官。数据保护官直接向控制者或处理者的最高管理层报告。
4.数据主体可就与其个人数据的处理和行使本法规定的其权利相关的所有事宜与数据保护官联系。
5.数据保护官应根据欧盟或成员国的法律对其执行的任务承担保密义务。
6.数据保护官亦可履行其他任务和职责。控制者或处理者应确保任何此类任务不会和职责引起利益冲突。
第三十九条 数据保护官的任务
1.数据保护官应至少承担以下任务:
(a)依据本法、欧盟或成员国数据保护规定告知控制者或处理者及执行处理任务的雇员的义务;
(b)监督本法、欧盟或成员国数据保护规定及控制者或处理者个人数据保护政策的遵守情况,包括责任分配、意识提升和参加处理操作的雇员培训及相关审计活动;
(c)在需要时就数据保护影响评估提供建议并依据(本法)第三十五条的规定监督其执行;
(d)与监管机构配合;
(e)就与处理相关的事项担任监管机构的联系点,这些事项包括(本法)第三十六条所述的事先咨询以及如恰当就任何其他事项提供的咨询。
2.数据保护官在执行其任务时,应根据处理的性质、范围、背景和目的充分考虑与处理操作相关的风险。
第五节 行为准则和认证
第四十条 行为准则
1.成员国、监管机构、理事会和欧盟委员会应根据不同处理部门的具体特征及中小微企业的具体需求,鼓励制定以促进本法的正确适用为目的的行为准则。
2.协会和代表不同类型控制者或处理者的其他机构可编写行为准则,或修改或扩展该准则,以对本法的适用进行详细规定,例如以下方面的规定:
(a)公平和透明的处理;
(b)控制者在具体情形下追求的合法权益;
(c)个人数据的收集;
(d)个人数据的假名化;
(e)向公众和数据主体提供的信息;
(f)数据主体权利的行使;
(g)向儿童提供的信息和儿童的保护,以及从对儿童负有父母责任的人处获得同意的方式;
(h)(本法)第二十四条和第二十五条所述的措施和程序以及确保第三十二条所述的处理的安全的措施;
(i)将违反个人数据安全规定的情况通报监管机构并将违反个人数据安全规定的情况告知数据主体;
(j)向第三国或国际组织进行的个人数据的传输;或者
(k)解决控制者与数据主体之间因处理发生的争议的庭外程序和其他争议解决程序,但(本法)第七十七条和第七十九条规定的数据主体的权利不受影响。
3.除受本法约束的控制人或处理人应当遵守外,依据第三条的规定不受本法约束的控制者或处理者亦应遵守依据本条第5款的规定批准的且依据本条第9款的规定具有普遍效力的行为准则,以根据(本法)第四十六条第2款(e)项所述的条款就向第三国或国际组织进行的个人数据传输提供适当的保障措施。该控制者或处理者应通过契约性或其他具有法律约束力的文件,就该适当保障措施(包括与数据主体的权利相关的保障措施)的适用作出有约束力和法律执行力的承诺。
4.本条第2款所述的行为准则应包含一些机制,使得(本法)第四十一条第1款所述的机构能够在第五十五条或第五十六条规定的主导监管机构的任务和权力不受影响的情况下,对承诺适用该行为准则的控制者或处理者遵守其规定的情况进行监督。
5.本条第2款所述的准备编写行为准则或修改或扩充现有准则的协会和其他机构应向依据第五十五条规定为主导监管机构提交一份行为准则、修改或扩充的草案。监管机构应就该行为准则、修改或扩充的草案是否符合本法的规定发表意见,且若认为该行为准则、修改或扩充的草案能够提供充分的适当保障措施,则应批准该行为准则、修改或扩充。
6.若行为准则、修改或扩充的草案被根据(本条)第5款的规定批准且相关行为准则与数个成员国内进行的处理活动不相关,则监管机构应登记和公布该行为准则。
7.若行为准则草案与数个成员国内进行的处理活动相关,则依据(本法)第五十五条规定为主导监管机构在批准行为准则、修改或扩充的草案之前,应在(本法)第六十三条所述的程序中将该草案提交给理事会;理事会应就该行为准则、修改或扩充的草案是否符合本法的规定,或者在(本条)第3款所述情形下能够提供适当的保障措施发表意见。
8.若(本条)第7款所述的意见证实行为准则、修改或扩充的草案符合本法的规定,或者在(本条)第3款所述情形下能够提供适当的保障措施,理事会应将其意见提交欧盟委员会。
9.欧盟委员会可通过实施法案来确定依据(本条)第8款的规定向其提交的经批准的行为准则、修改或扩充对欧盟国家具有普遍效力。上述实施法案应根据(本法)第九十三条第2款规定的审查程序采用。
10.欧盟委员会应确保根据(本条)第9款的规定被确定为具有普遍效力的经批准的行为准则得以适当公布。
11.理事会应将所有经批准的行为准则、修订和扩充整理成册并应通过适当方式使之公开可得。
第四十一条 监督经批准的行为准则
1.在不影响(本法)第五十七条和第五十八条规定的主导监管机构的任务和权力的情况下,依据第四十条的规定监督行为准则的遵守情况可由在对行为准则的对象具有相应专业水平并经主导监管机构认可的机构进行。
2.在以下情况下,(本条)第1款所述的机构可经认定对行为准则的遵守情况进行监督:
(a)该机构已经按主导监管机构的要求证明了其与行为准则的对象相关的独立性和专业性;
(b)该机构制定了使其能够对相关控制者和处理者适用准则的资格进行评估,对遵守准则的规定的情况进行监督,并定期对准则的运作进行审核的程序;
(c)该机构制定了相关程序和安排,能够对与违反行为准则的情况或有关控制者或处理者已经或正在执行准则的方式的投诉进行处理,并使得该程序和安排对于数据主体和公众是透明的;并且
(d)该机构已经按主导监管机构的要求证明其任务和职责不会导致利益冲突。
3.主导监管机构应依据(本法)第六十三条所述的一致性机制,将本条第1款所述机构的认定标准的草案提交理事会。
4.在不影响监管机构的任务和权力及(本法)第八章的规定的前提下,(本条)第1款所述的机构应根据相关保障措施的规定,针对控制者或处理者违反准则的情况采取相应措施,包括暂时认定相关控制者或处理者未遵守行为准则,或将相关控制者或处理者从遵守行为准则的控制者或处理者中排除。该机构应将此类措施和采取此类措施的理由告知主导监管机构。
5.对于不符合或不再符合认定条件或若其行为违反本法规定的机构,主导监管机构应取消认定。
6.本条规定不适用于公共机构或实体进行的处理。
第四十二条 认证
1.为证明控制人和处理人的处理操作符合本法的规定,成员国、监管机构、理事会和欧盟委员会应鼓励设置数据保护认证机制以及数据保护印章和标识,特别是在欧盟层面。在此过程中应考虑到中小微企业的特定需求。
2.除应由受本法约束的控制者或处理者遵守外,为证明依据第三条规定不受本法约束的控制者或处理者根据第四十六条第2款(e)项所述条件在向第三国或国际组织传输个人数据的框架内提供的适当保障措施的存在,亦可设置本条第5款所述的经批准的数据保护认证机制、印章或标志。该控制者或处理者应通过契约性或其他具有法律约束力的文件,就该适当保障措施,包括与数据主体的权利相关的保障措施的适用作出有约束力和法律执行力的承诺。
3.认证应是自愿的,且可通过透明程序获得。
4.依据本条款的规定进行的认证不减少控制人或处理人对遵守本法的规定负有的责任,且不影响(本法)第五十五条或第五十六条规定的主导监管机构的任务和权力。
5.依据本条规定进行的认证应由(本法)第四十三条所述的认证机构或主导监管机构,根据经该主导监管机构依据第五十八条第3款的规定或理事会依据第六十三条的规定批准的标准出具。若该标准由理事会批准,则认证可为加盖欧洲数据保护印章的通用认证。
6.将其处理提交证明机制的控制者或处理者,应在对(本法)第四十三条所述的认证机构或如有的话主导监管机构执行认证程序有必要的情况下,提供所有信息和对其处理活动的访问。
7.向控制者或处理者出具的认证最长期限为三年,并可在同等条件下延期,前提是控制者或处理者仍然达到相关要求。若控制者或处理者不符合或不再符合相关要求,视情况而定,(本法)第四十三条所述的认证机构或主导监管机构应撤回认证。
8.理事会应将所有认证机制以及数据保护印章和标志整理成册并应通过适当方式使之公开可得。
第四十三条 认证机构
1.在不影响(本法)第五十七条和第五十八条规定的监管机构的任务和权力的情况下,在通知监管机构以获得依据(本法)第五十八条第2款(h)项的规定行使监管机构的权力的许可后(如有必要),在数据保护方面有相应专业水平的认证机构应出具和更新认证证书。成员国应确保该认证机构经以下一个或两个机构认可:
(a)(本法)第五十五条或第五十六条规定的主导监管机构;
(b)根据欧洲议会和理事会[31]第765/2008号(欧盟委员会)条例及EN-ISO/IEC 17065/2012标准和(本法)第五十五条或第五十六条规定的主导监管机构制定的其他要求命名的国家认可机构。
2.仅在符合以下条件的情况下才可对(本条)第1款所述的认证机构进行认定:
(a)该认证机构已经按主导监管机构的要求证明了其与认证对象相关的独立性和专业性;
(b)该认证机构承诺尊重(本法)第四十二条第5款所述的经第五十五条或第五十六条所规定的主导监管机构或经第六十三条规定的理事会批准的标准;
(c)该认证机构制定了出具、定期审核和撤回数据保护认证、印章和标志的程序;
(d)该机构制定了相关程序和安排,能够对有关违反认证的情况或控制者或处理者已经或正在进行认证的方式的投诉进行处理,并使得该程序和安排对于数据主体和公众是透明的;并且
(e)该认证机构已经按主导监管机构的要求证明其任务和职责不会导致利益冲突。
3.(本条)第1款和第2款所述的认证机构的认定,应根据经(本法)第五十五条或第五十六条规定的主导监管机构或经第六十三条规定的理事会批准的标准进行。若为依据本条第1款(b)项规定进行的认定,上述要求应对第765/2008号(欧盟委员会)条例规定的要求以及规定认证机构方法和程序的技术准则进行补充。
4.在控制者或处理者对遵守本法的规定所负的责任不受影响的情况下,第1款所述的认证机构应负责就认证的出具或撤回进行适当评估。出具的认证最长期限为五年,并可在同等条件下延期,前提是认证机构仍然达到本条规定的相关要求。
5.第1款所述的认证机构应向主导监管机构提供授予或撤回请求认证的理由。
6.监管机构应以易于访问的形式公布本条第3款所述的要求以及(本法)第四十二条第5款所述的标准。监管机构还应将该要求和标准提交理事会。理事会应将所有认证机制和数据保护印章整理成册并应通过适当方式使之公开可得。
7.在不影响(本法)第八章规定的前提下,若认证机构不符合或不再符合认定条件或认证机构的行为违反本法的规定,主导监管机构或国家认定机构应取消依据本条第1款规定对认证机构进行的认定。
8.为具体说明应为(本法)第四十二条第1款所述的数据保护认证机制考虑的要求,欧盟委员会应被授予根据第九十二条规定的采取委托行为的权力。
9.欧盟委员会可采取实施细则来规定认证机制的技术标准、数据保护印章和标志以及宣传和确认该认证机制、印章和标志的机制。这些实施细则应根据(本法)第九十三条第2款所述的审核程序采用。
第五章 个人数据向第三国或国际组织的传输
第四十四条 传输的一般原则
若根据本法的其他规定,控制者和处理者应遵守本章规定的条件,包括个人数据从某个第三国或国际组织继续向另一第三国或国际组织传输的条件,则仅在控制者和处理者遵守这些条件的情况下才可进行对正在处理的个人数据或在传输到第三国或国际组织后将被处理的个人数据进行的任何传输。为确保本法所保证的自然人保护水平不受损害,本章的所有规定都应予以适用。(www.xing528.com)
第四十五条 基于充分性决定的传输
1.若欧盟委员会认为相关第三国、该第三国的某个领域或一个或多个特定地区,或国际组织能够确保提供充分的数据保护,则可向第三国或国际组织进行个人数据传输。此类传输无需任何明确授权。
2.在评估保护程度的充分性时,欧盟委员会应特别考虑以下因素:
(a)法治,对人权和基本自由的尊重,相关综合和部门立法,包括与公共安全、国防、国家安全、刑法及公共机构对个人数据的访问相关的立法及其实施,数据保护规则,职业规范和安全措施,包括适用于个人数据向另一第三国或国际组织继续传输且在该国或国际组织内得以遵守的准则,判例法,有效且有法律执行力的数据主体权利,以及适用于个人数据被传输的数据主体的有效行政和司法救济;
(b)第三国境内的或管辖某个国际组织的一个或多个独立监管机构的存在及其有效运作,以及确保和强制数据保护准则的遵守的责任,包括充分的执行权,帮助数据主体行使其权利并就此向数据主体提供建议的责任,以及与成员国的监管机构合作的责任;以及
(c)相关第三国或国际组织参与的国际承诺,或因具有法律约束力的协定或法律文件或该第三国或国际组织参与的多边或地区体制产生的其他义务,特别是与个人数据保护相关的义务。
3.在评估保护程度的充分性后,欧盟委员会可通过实施法案决定由某第三国、该第三国某个领域或一个或多个特定地区或某个国际组织来确保本条第2款意义下的充分保护。该实施细则应规定定期审核机制,至少四年进行一次审核并考虑到第三国或国际组织的所有相关进展。实施细则应具体规定领域和地区的适用范围,并且如果适用应确定本条第2款(b)项所述的监管机构。实施细则应根据(本法)第九十三条第2款所述的审查程序通过。
4.对于第三国和国际组织可能影响依据本条第3款规定通过的决定的运作,或根据第95/46/EC号指令第25条第6款规定通过的决定的运作的进展,欧盟委员会应进行持续监督。
5.若可获得的信息显示,特别是在本条第3款所述的审核之后,由某第三国、该第三国境内某个领域或一个或多个特定地区或某个国际组织不再能够确保本条第2款意义下的充分保护,则欧盟委员会应在必要的情况下通过无追溯力的实施细则,废除、修改或暂停适用本条第3款所述的决定。该实施细则应根据(本法)第九十三条第2款规定的审查程序通过。
若有充分的理由证明存在不可避免的紧急情况,欧盟委员会根据(本法)第九十三条第3款所述的程序通过可立即采取适用的实施法案。
6.为对导致依据(本条)第5款作出的决定的情形进行补救,欧盟委员会应与第三国或国际组织进行协商。
7.依据本条第5款作出的决定不影响依据(本法)第四十六条至第四十九条规定向某第三国、该第三国内某个领域或一个或多个特定地区或某个国际组织进行的个人数据传输。
8.对于其认为能够或不再能够确保充分保护的第三国、第三国的领域和特定地区以及国际组织,欧盟委员会应在《欧盟官方公报》和其网站上公布一份名单。
9.欧盟委员会根据第95/46/EC号指令第25条第6款规定通过的决定持续有效,直至其被根据本条第3款或第5款规定通过的决定所修改、替代或废除。
第四十六条 需提供适当保障措施的传输
1.若没有依据(本法)第四十五条第3款规定作出的决定,控制者或处理者仅可在提供适当保障措施且数据主体拥有有法律执行力的权利和有效的法律救济的情况下,向第三国或国际组织传输个人数据。
2.(本条)第1款所述的适当保障措施可通过以下形式来规定,无须主管机构特别授权:
(a)公共机构或实体之间的具有约束力和法律执行力的法律文件;
(b)(本法)第四十七条规定的有约束力的公司规则;
(c)欧盟委员会根据(本法)第九十三条第2款的审查程序通过的标准数据保护条款;
(d)监管机构通过并经欧盟委员会依据(本法)第九十三条第2款的审查程序通过的标准数据保护条款;
(e)(本法)第四十条规定的经批准的行为准则和位于第三国的控制者或处理者作出的适用于适当的保障措施,包括数据主体权利的保障措施的具有约束力和法律执行力的承诺;或者
(f)(本法)第四十二条规定的经批准的认证机制和位于第三国的控制者或处理者作出的适用于适当的保障措施,包括数据主体权利的保障措施的具有约束力和法律执行力的承诺。
3.经主导监管机构授权,(本条)第1款所述的适当保障措施亦可由其他文件规定,特别是:
(a)控制者或处理者与位于第三国或国际组织的个人数据控制者、处理者或接收者之间的合同条款;或者
(b)包含有法律执行力和有效的数据主体权利插入公共机构或实体之间的行政安排的条款。
4.在本条第3款所述的情形下,监管机构应适用(本法)第六十三条所述的一致性机制。
5.成员国或监管机构根据第95/46/EC号指令第26条第2款的规定给予的授权持续有效,直至其被成员国在必要情况下修改、替代或废除。成员国或监管机构根据第95/46/EC号指令第26条第4款通过的决定持续有效,直至其被欧盟委员会根据本条第2款的规定通过的决定所修改、替代或废除。
第四十七条 有约束力的公司规则
1.主导监管机构应根据第六十三条规定的一致性机制批准有约束力的公司规则,但前提是:
(a)这些规则具有法律约束力,适用于企业集团或从事共同经济活动的联合企业的每一相关成员,并被企业集团或从事共同经济活动的企业集团的每一相关成员执行,包括其各自的雇员;
(b)这些规则明确就数据主体个人数据的处理向数据主体赋予可强制执行的权利;并且
(c)这些规则满足(本条)第2款规定的要求。
2.(本条)第1款所述的有约束力的公司规则至少应具体规定:
(a)企业集团或从事共同经济活动的联合企业及其每一成员的组织机构和详细联系信息;
(b)可进行的数据传输或系列数据传输,包括个人数据的种类、处理的类型及其目的、受影响的数据主体的类型及相关第三国或问题国家的识别;
(c)该规则对内和对外具有法律约束力的性质;
(d)一般数据保护原则的适用,特别是目的范围、数据最小化、有限保存期、数据质量、通过设计或默认方式提供的数据保护、处理的法律依据、特殊种类个人数据的处理、确保数据安全的措施以及适用于向不受具有约束力的公司规则所约束的机构进行继续传输的要求;
(e)数据主体对处理拥有的权利及行使该权利的方式,包括不受仅根据自动化处理所作的决定,包括(本法)第二十二条规定的特性分析约束的权利,根据第七十九条的规定向主导监管机构投诉和向成员国有合法管辖权的法院起诉的权利,获得救济以及如果恰当的话对违反有约束力的公司规则的情况所作的赔偿;
(f)在某成员国境内设立的控制者或处理者接受在非欧盟境内设立的任何相关成员违反有约束力的公司规则的责任;仅在其能够证明该成员无须对造成损害的事件负责的情况下,该控制者或处理者才能被全部或部分免于承担责任;
(g)除(本法)第十三条和第十四条的规定外,向数据主体提供与有约束力的公司规则相关的信息的方式,特别是与本段(d)项、(e)项和(f)项所述规定相关的信息;
(h)根据(本法)第三十七条的规定指定的任何数据保护官,或企业集团或从事共同经济活动的联合企业内负责有约束力的公司规则的遵守情况的任何其他人或实体的任务,以及监督培训和申诉处理;
(i)申诉程序;
(j)企业集团或从事共同经济活动的联合企业确保对有约束力的公司规则的遵守情况进行认证的机制。该机制应包括数据保护审计和确保保护数据主体权利的矫正措施。此认证结果应告知(本款)(h)项所述之人或实体,相关企业集团控股企业的董事会或从事共同经济活动的联合企业的欧洲数据保护委员会,且经主导监管机构请求应向主导监管机构提供;
(k)报告和记录规则的更改的机制以及向监管机构报告该变更的机制;
(l)与监管机构之间确保企业集团或从事共同经济活动的联合企业的任何成员遵守规则的合作机制,特别是通过向监管机构提供(j)项所述措施的认证结果进行合作;
(m)向主导监管机构报告企业集团或从事共同经济活动的联合企业的任何成员在某第三国应服从的可能对有约束力的公司规则所提供的保证具有重大不利影响的任何法律要求;以及
(n)就数据保护向对个人数据有永久或定期访问权限的人员提供培训。
3.欧盟委员会可规定控制者、处理者与监管机构之间就本条意义下的有约束力的公司规则进行信息交换的形式和程序。该实施细则应根据(本法)第九十三条第2款规定的审查程序通过。
第四十八条 未经欧盟法律授权的传输或披露
任何第三国的法院或法庭要求控制者或处理者传输或披露个人数据的任何判决,或任何第三国的行政当局要求控制者或处理者传输或披露个人数据的任何决定,仅在根据提出请求的第三国与欧盟或成员国之间有效的国际条约(例如法律协助条约)作出的情况下才可被承认或强制执行,本章规定的其他传输依据不受影响。
第四十九条 特定情况下的部分例外
1.若没有(本法)第四十五条第3款所述的充分性决定或没有第四十六条所述的适当保障措施包括有约束力的公司规则,仅在满足以下任何一个条件的情况下才可向第三国或国际组织进行个人数据传输或系列传输:
(a)在被告知没有充分性决定和适当保障措施的情况可能对数据主体造成的风险后,数据主体仍然明确同意拟进行的传输;
(b)传输对于数据主体与控制者之间合同的履行或对于应数据主体的请求采取合同签订前的措施是有必要的;
(c)传输对于控制者与另一自然人或法人之间符合数据主体利益的合同的订立或履行是有必要的;
(d)处理因重大公共利益方面的理由而有必要;
(e)处理对于确立、行使法律上的诉权或者防御他人行使法律上的诉权是有必要的;
(f)在数据主体在身体或法律上没有能力给予同意的情况下,处理对于保护数据主体或其他人的切身利益是有必要的;
(g)传输是从某一登记册进行的,而根据欧盟或成员国的法律,设置该登记册的目的是向公众提供信息,并对普通公众或可证明其正当权益的任何人提供咨询,但仅限于在每一具体情况下符合欧盟或成员国有关咨询的法律规定的条件的范围内。
若不能根据(本法)第四十五条或第四十六条的规定,包括与有约束力的公司规则相关的规定进行传送,且本段(a)项至(g)项所述的任何“特定情况下的部分例外”都不适用,则仅可在相关条件均符合的情况下才可向第三国或国际组织进行传输,即传输不重复,仅与有限数目的数据主体相关,对于控制者追求的数据主体的基本权利和自由不能超越的优先合法权益而有必要,控制者已经对数据传数的环境进行评估且已经根据评估结果就个人数据的保护提供适当的保障措施。控制者应将传输情况告知监管机构。除提供(本法)第十三条和第十四条所述的信息外,控制者还应将传输情况和所追求的优先合法权益的情况告知数据主体。
2.依据第1款(g)项的规定进行的传输不应包括登记册中登记的全部个人数据或全部种类的个人数据。若设置登记册的目的是供拥有正当权益的人查阅,则仅在经此人请求或仅在此人为接收者的情况下才可进行传输。
3.第1款第1分款(a)项、(b)项和(c)项和第2分款不适用于公共机构在行使其公共权力过程中进行的活动。
4.第1款第1分款(d)项所述的公共利益应得到对控制者有约束力的欧盟或成员国法律承认。
5.若没有充分性决定,欧盟或成员国法律可为公共利益方面的重要原因,明确为向第三国或国际组织传输的特殊种类个人数据设置限制。成员国应将该规定通知欧盟委员会。
6.控制者或处理者应将本条第1款第2分款所述的评估情况和适当保障措施记载到(本法)第三十条所述的记录中。
第五十条 个人数据保护的国际合作
对于第三国和国际组织,欧盟委员会和监管机构应为以下目的采取适当的措施,以期:
(a)制定国际合作机制以促进个人数据保护立法的有效实施;
(b)在个人数据保护立法的实施过程中,根据保护个人数据以及其他基本权利和自由的适当保障措施提供国际协助,包括通过通知、投诉送达、调查协助和信息交流进行的协助;
(c)促使利益相关者参与以促进个人数据保护立法实施的国际合作为目的的讨论和活动;
(d)促进个人数据保护立法和实际操作的交流和文献汇编,包括对与第三国的管辖权冲突进行的交流和文献汇编。
第六章 独立监管机构
第一节 独立地位
第五十一条 监管机构
1.各成员国应规定由一个或多个独立公共机构负责对本法的适用情况进行监督,以保护自然人在个人数据处理方面的基本权利和自由,并促进个人数据在欧盟内的自由流动。
2.各监管机构应促成本法在欧盟内的持续适用。为此,各监管机构应根据(本法)第七章的规定相互配合并与欧盟委员会配合。
3.若某一成员国设立一个以上的监管机构,则该成员国应指定一个监管机构在欧洲数据保护委员会代表所有监管机构,并应制定确保其他监管机构遵守与(本法)第六十三条所述的一致性机制相关的准则。
4.各成员国最迟应在2018年5月25日将其依据本章规定通过的法律通报欧盟委员会,且之后应毫不延误地将对其有影响的任何后续修订通报欧盟委员会。
第五十二条 独立性
1.各监管机构在根据本法规定执行任务和行使权力时应完全独立行事。
2.在根据本法规定执行任务和行使权力时,各监管机构的成员都不应直接或间接受外部影响,亦不应寻求或听取任何人的指令。
3.各监管机构的成员都应避免与其职责不符的任何行为,且在任职期间不应从事任何与其职责不符的职业,无论从事此种职业有无报酬。
4.各成员国应确保向各监管机构提供对于该监管机构有效执行任务和行使权利有必要的人力、技术和财务资源、处所及基础设施,包括需在相互协作、合作和欧洲数据保护委员会的参与下执行的任务和行使的权利。
5.各成员国都应确保各监管机构选择和拥有自己的工作人员,工作人员应仅服从相关监管机构中的一家机构或数家机构的指示。
6.各成员国都应确保各监管机构所受的财务控制不影响其独立性,且其有单独的、公开的年度预算,该预算可构成总国家预算的一部分。
第五十三条 监管机构成员的一般条件
1.各成员国应规定其监管机构的各个成员通过透明的程序任命:
——该成员国议会;
——该成员国政府;
——该成员国国家元首;或者
——根据该成员国法律委托其任命的独立机构;
2.各成员都应具有履行职责和行使权力所需的资格、经验和技能,特别是在个人数据保护领域。
3.成员的职责在任期届满、辞职或根据相关成员国法律强制退休时终止。
4.成员仅在发生严重行为不当或不再满足履行职责所需条件时方可被解职。
第五十四条 监管机构的设立规则
1.各成员国都应通过法律对以下事宜进行规定:
(a)各监管机构的设立;
(b)被任命为各监管机构成员须满足的资格和能力条件;
(c)各监管机构成员任命的规则和程序;
(d)各监管机构成员的任期不得少于四年,2016年5月24日后的第一次任命除外;在对保护监管机构的独立性有必要的情况下,一部分监管机构成员亦可通过错开任命程序获得较短的任期;
(e)各监管机构的成员是否有连任的资格;如果有,可连任的任期;
(f)规定各监管机构的成员和工作人员义务的条款,任期内和任期后与该条款不一致的活动、职业和利益的禁令以及规定终止雇用的规则。
2.对于在执行任务或行使权力的过程中获知的任何机密信息,各监管机构的成员和工作人员都应根据欧盟或成员国法律的规定,在任期内和任期结束后负有职业保密义务。在任期内,该职业保密义务尤其适用于自然人报告的违反本法的情况。
第二节 资格、任务和权力
第五十五条 资格
1.各监管机构拥有根据本法规定在自己的成员国境内执行赋予其的任务和行使赋予其的权力的资格。
2.若处理由公共机构或私营机构按照第六条第1款(c)项或(e)项的规定执行,则相关成员国的监管机构拥有任职资格。在此情况下(本法)第五十六条的规定不适用。
3.监管机构无权对法院在行使司法职能时进行的运作进行监督。
第五十六条 主导监管机构的资格
1.对于某控制者或处理者根据第六十条规定的程序进行的跨境个人数据处理,在不影响第五十五条规定的前提下,该控制者或处理者的主要营业场所或唯一营业场所的监管机构拥有担任主导监管机构的资格。
2.作为(本条)第1款规定的部分例外,每一监管机构都有处理向其进行的投诉或可能存在的违反本法的情况,前提是投诉的事项或违反本法的情况仅与位于其成员国境内的营业场所相关或仅对位于其成员国境内的数据主体有严重影响。
3.在本条第2款所述情形下,监管机构应毫不延误地将相关情况告知主导监管机构。收到通知后,主导监管机构应根据控制者或处理者在发出通知之监管机构所在的成员国是否有营业场所的事实,在三周内决定是否根据(本法)第六十条规定的程序处理此情况。
4.若主导监管机构决定处理此情况,(本法)第六十条规定的程序应予以适用。向主导监管机构发出通知的监管机构应向主导监管机构提交一份决定草案。主导监管机构在编写第六十条第3款所述的决定草案时应最大程度地考虑上述决定草案。
5.若主导监管机构决定不处理此情况,则向主导监管机构发出通知的监管机构应根据(本法)第六十一条和第六十二条的规定处理此情况。
6.对于某个控制者或处理者进行的跨境处理,主导监管机构应为该控制者或处理者的唯一对话者。
第五十七条 任务
1.在不影响本法规定的其他任务的前提下,各监管机构应在其境内:
(a)监督和执行本法的适用;
(b)促进与处理相关的风险、规则、保障措施和权利的公众意识和理解。对专门针对儿童的活动给予特别关注;
(c)根据成员国法律的规定,就与保护自然人个人数据处理的权利和自由相关的立法和行政措施向国家议会、政府及其他机构和实体提供建议;
(d)提升控制者和处理者对本法规定的义务的意识;
(e)应数据主体请求,向数据主体提供与本法规定的权利的行使相关的信息,以及如果适当的话为此与其他成员国的监管机构合作;
(f)根据(本法)第八十条的规定处理数据主体、实体、组织或协会提出的投诉,在适当的范围内调查投诉事项,并在合理时间内将调查进展和调查结果告知投诉人,特别是是否需要进一步调查或者与另一监管机构进行协调;
(g)为确保本法适用和实施的一致性与其他监管机构合作以及向其他监管机构提供协助,包括与其他监管机构共享信息;
(h)对本法的适用情况进行调查,包括根据从另一监管机构或其他公共机构处获得的信息进行调查;
(i)监控相关发展,只要这些发展对个人数据保护有影响,特别是信息通信技术及商业行为的发展;
(j)采用(本法)第二十八条第8款和第四十六条第2款(d)项所述的标准合同条款;
(k)就(本法)第三十五条第4款所述的数据影响评估要求制定和维持一份清单;
(l)对(本法)第三十六条第2款所述的处理操作提供建议;
(m)鼓励依据(本法)第四十条的规定制定行为准则,并依据第四十条第5款的规定就提供充分保障措施的行为准则出具意见并批准该行为准则;
(n)鼓励依据(本法)第四十二条第1款的规定建立数据保护认证机制和设置数据保护印章和标识,并依据(本法)第四十二条第5款的规定批准认证标准;
(o)如果适用的话,对依据(本法)第四十二条第7款的规定出具的认证进行定期审核;
(p)制定和公布依据(本法)第四十一条规定对相关机构监督行为准则遵守情况的资格认定以及依据第四十三条的规定对相关认证机构进行认定的标准;
(q)依据(本法)第四十一条规定对相关机构监督行为准则遵守情况的资格进行认定,以及依据第四十三条规定对相关认证机构进行认定;
(r)批准(本法)第四十六条第3款所述的合同条款和规定;
(s)依据(本法)第四十七条的规定批准有约束力的公司规则;
(t)对欧洲数据保护委员会的活动提供帮助;
(u)对违反本法的情况和根据(本法)第五十八条第2款规定采取的措施进行内部记录;以及
(v)完成与个人数据保护相关的任何其他任务。
2.各监管机构应通过各种措施来促进第1款(f)项所述投诉的提交,例如可以电子方式填写的投诉提交表,但不排除其他通信方式的使用。
3.各监管机构不应为执行任务向数据主体,以及如果适用亦不应向数据保护官收取费用。
4.若数据主体提出的请求明显没有根据或过分,特别是在该请求重复提出的情况下,监管机构可根据管理成本收取一笔合理的费用或拒绝按请求采取行动。监管机构应承担请求明显没有根据或过分的举证责任。
第五十八条 权力
1.各监管机构均具有以下调查权力:
(a)命令控制者和处理者,以及如果适用命令控制者或处理者的代表提供该监管机构执行任务所需的任何信息;
(b)以数据保护审计的形式进行调查;
(c)对依据第四十二条第7款规定出具的认证进行审核;
(d)将违反本法规定的指控告知控制者或处理者;
(e)从控制者和处理者处获得所有个人数据和该监管机构执行任务所需的所有信息的访问权限;
(f)根据欧盟或成员国程序法的规定,获得控制者和处理者任何场所的进入权限,包括任何数据处理设备和财产的接触权限;
2.各监管机构均具有以下纠正权力:
(a)在某个控制者或处理者准备进行的处理操作可能违反本法规定的情况下,向该控制者或处理者发出警告;
(b)在某个控制者或处理者进行的处理操作违反本法规定的情况下,向该处理者或处理者发出训斥;
(c)命令控制者或处理者满足数据主体依据本法规定提出的行使权利的请求;
(d)命令控制者或处理者使得处理操作符合本法的规定,如果适用应以规定的方式并在规定的期限内进行;
(e)命令控制者将违反个人数据安全规定的情况告知数据主体;
(f)对处理施加临时或最终限制,包括禁令;
(g)依据(本法)第十六条、第十七条和第十八条的规定,命令对个人数据进行更正或消除或对处理进行限制,并依据(本法)第十七条第2款和第十九条的规定将上述行为告知个人数据披露于其的接收人;
(h)依据(本法)第四十二条和第四十三条的规定撤回认定或命令认证机构撤回认证;或在认证机构不符合或不再符合认定要求的情况下命令认证机构不得出具或再出具认证;
(i)根据具体情况,在本段所述措施之外,或作为对本款所述措施的替代,依据第八十三条规定采取行政罚款;
(j)命令暂停数据向位于第三国或国际组织内的接收人流动。
3.各监管机构都有以下授权和建议权力:
(a)根据(本法)第三十六条所述的事先咨询程序向控制者提供建议;
(b)主动或应请求,就与个人数据保护相关的任何问题向国家议会、成员国政府或根据成员国法律向其他机构及公众出具意见;
(c)在成员国法律要求事先授权的情况下,授权进行(本法)第三十六条第5款所述的处理;
(d)依据(本法)第四十条第5款的规定出具意见及批准行动准则草案;
(e)依据(本法)第四十三条规定对认证机构进行认定;
(f)根据(本法)第四十二条第5款的规定出具认证和批准认证标准;
(g)采用(本法)第二十八条第8款和第四十六条第2款(d)项所述的标准数据保护条款;
(h)批准(本法)第四十六条第3款(a)项所述的合同条款;
(i)批准(本法)第四十六条第3款(b)项所述的行政安排;
(j)依据(本法)第四十七条的规定批准有约束力的企业准则。
4.依据本条规定行使赋予监管机构的权力,应以根据本章规定在欧盟和成员国法律中规定的适当保障措施为前提,包括有效的司法救济和正当程序。
5.各成员国应通过法律规定其监管机构有权将违反本法的情况提交司法当局,及如果适当应启动或进行其他法律程序,以强制执行本法的规定。
6.各成员国可通过法律规定其监管机构对本条第1款、第2款和第3款所述的事项有其他权力。该权力的行使不影响第七章的有效运作。
第五十九条 活动报告
各监管机构都应编写一份活动的年度报告。该年度报告的内容可包括根据(本法)第五十八条第2款规定通报的违反本法的类型的清单和采取措施的类型的清单。上述报告应传送给国家议会、政府和成员国法律指定的其他机构,并应提供给公众、欧盟委员会和欧洲数据保护委员会。
第七章 合作和一致性
第一节 合作
第六十条 主导监管机构与其他相关监管机构之间的合作
1.主导监管机构应根据本条规定与其他相关监管机构合作,以尽力与其他相关监管机构达成共识。主导监管机构与其他相关监管机构应相互交流所有相关信息。
2.主导监管机构可在任何时候请求其他相关监管机构依据(本法)第六十一条规定提供相互协助,并可依据(本法)第六十二条规定采取联合行动,特别是为对在另一成员国设立的控制者或处理者进行调查或为监督与之相关的措施的实施情况。
3.主导监管机构应毫不延误地将关于合作的相关信息通知其他相关监管机构。此外,主导监管机构应毫不延误地将其决定草案提交给其他相关监管机构并适当考虑其他相关监管机构的意见。
4.主导监管机构依据本条第3款规定向任何其他相关监管机构征求意见后,若该监管机构在四周内对相关决定草案提出有相关性且理由充分的反对意见,而主导监管机构不接受该反对意见或认为该反对意见不具相关性或理由不充分,则主导监管机构应将相关事项提交(本法)第六十三条所述的一致性机制。
5.若主导监管机构准备接受该有相关性且理由充分的反对意见,则应向其他相关监管机构提交一份经修改的决定草案以征求其意见。该经修改的决定草案应在两周内经过(本条)第4款所述的程序。
6.若任何其他相关监管机构都未在(本条)第4款和第5款所述的期限内对主导监管机构提交的决定草案提出反对意见,则主导监管机构和其他相关监管机构应被视为就该决定草案达成一致并受该决定草案约束。
7.主导监管机构应将通过的决定通知控制者或处理者(视情况而定)的主要营业场所或唯一营业场所,并将相关决定通报其他相关监管机构和欧洲数据保护委员会,内容包括一份对相关事实和理由的摘要。接受申诉的监管机构应将决定通知给投诉者。
8.作为第7款的部分例外,若申诉被驳回或不予受理,接受投诉的监管机构应作出上文所述的决定并通知投诉者,同时通报相关控制者。
9.若主导监管机构和相关监管机构同意驳回或不予受理一部分申诉而受理另一部分申诉,应对每一部分申诉分别作决定。主导监管机构应对与控制者行为相关的一部分作决定,并应将决定通知给控制者或处理者在成员国境内设立的主要营业场所或其唯一营业场所,同时告知投诉人;接受投诉的监管机构应就该申诉被驳回或不予受理的部分作决定,并应将此决定通知申诉人,同时通报相关控制者或处理者。
10.被告知主导监管机构依据第7款和第9款规定所作的决定后,控制者或处理者应采取必要措施确保其在欧盟内的所有营业场所在处理活动方面均遵守决定。控制者或处理者应将为遵守决定采取的措施通报主导监管机构,由主导监管机构通知其他相关监管机构。
11.若在特殊情况下,某相关监管机构有理由认为,为保护数据主体的权益需采取紧急行动,则(本法)第六十六条所述的紧急程序应予以适用。
12.主导监管机构及其他相关监管机构应使用标准化格式,通过电子方式相互提供根据本条规定需要提供的信息。
第六十一条 相互协助
1.为确保一致实施和适用本法,各监管机构应互相提供相关信息和相关协助,并应为相互合作制定有效措施。相互协助的范围应特别包括信息请求和监管措施,例如执行事先授权和咨询、检查和调查的请求。
2.收到请求后,各监管机构应毫不延误地,即最迟不得超过收到请求后一个月采取所有适当措施对另一监管机构的请求作出回应。此类措施可特别包括与进行调查相关的信息的传输。
3.在提出帮助请求时应提供所有必要的信息,包括请求的目的和理由。交换的信息仅可用于请求的目的。
4.被请求的监管机构不得拒绝遵照请求行事,除非:
(a)其没有按请求的内容行事或实施请求其实施措施的资格;或者
(b)遵照请求行事将导致该监管机构违反本法或对其有约束力的欧盟或成员国法律。
5.被请求的监管机构应将采取的措施的结果,或者视情况而定将进展告知提出请求的监管机构,以此对请求作出回应。若被请求的监管机构依据第4款规定拒绝遵照请求行事,则应将理由告知提出请求的监管机构。
6.通常情况下,被请求的监管机构应使用标准化格式,通过电子方式提供其他监管机构请求的信息。
7.被请求的监管机构不得为依据相互协助请求采取的任何行动收取费用。特殊情况下,对于因提供相互协助而发生的特定支出,各监管机构可就补偿规则达成一致。
8.若某一监管机构收到另一监管机构提出的请求后未能在一个月内提供(本条)第5款所述的信息,提出请求的监管机构可根据第五十五条第1款规定在其成员国境内采取临时措施。在此情况下,应推定依(本法)第六十六条第1款规定的采取紧急行动的条件符合且欧洲数据保护委员会应依据(本法)第六十六条第2款规定作出的有约束力的紧急决定。
9.欧盟委员会可通过实施细则具体规定本条所述的相互协助的形式和程序,以及各监管机构之间和监管机构与欧洲数据保护委员会通过电子方式进行信息交流的安排,特别是本条第6款所述的标准化格式。这些实施细则应根据(本法)第九十三条第2款所述的审查程序通过。
第六十二条 监管机构的联合行动
1.各监管机构应根据情况开展联合行动,包括其他成员国监管机构的成员或工作人员参与的联合调查和联合实施措施。
2.若控制者或处理者在多个成员国都有营业场所,或者一个以上成员国内大量数据主体有可能受到处理操作的严重影响,则对上述每个成员国而言,应有一个监管机构有权参与联合行动。(本法)第五十六条第1款或第五十六条第4款所述的主导监管机构应邀请上述每个成员国的监管机构参与联合行动,并应毫不延误地对任何监管机构提出的参与联合行动的请求作出回应。
3.任何监管机构都可根据成员国的法律及支持监管机构的授权,向参与联合行动的支持监管机构的成员或工作人员授权,包括调查权,或者在主办监管机构所在成员国的法律许可的情况下,允许支持监管机构的成员或工作人员根据支持监管机构所在成员国法律的规定行使调查权。上述调查权仅可在主办监管机构成员或工作人员指导或在场的情况下行使。支持监管机构的成员或工作人员应受主办监管机构的成员国法律约束。
4.若支持监管机构的工作人员根据第1款规定在另一成员国境内进行操作,主办监管机构的成员国应对这些工作人员的行动负责,包括根据工作人员进行操作所在的成员国法律对他们在操作过程中造成的任何损害承担责任。
5.成员国境内发生损害时,成员国应根据适用于其工作人员造成损害的条款,对损害进行弥补。若支持监管机构的工作人员对另一成员国境内的任何人造成损害,对于另一成员国代表其成员国向享有权益的人支付的任何款项,其成员国应全额赔偿。
6.在不影响第三方权利的行使并且除第5款规定外,在第1款规定的情况下,各成员国应避免就第4款所述的损害向另一成员国提出赔偿请求。
7.在准备采取联合行动而监管机构未能在一个月内遵守本条第2款第二句规定的义务时,其他监管机构可根据(本法)第五十五条规定在其成员国境内采取临时措施。在此情况下,应推定第六十六条第1款规定的采取紧急行动的条件符合且需要欧洲数据保护委员会依据第六十六条第2款规定作出有约束力的紧急决定。
第二节 一致性
第六十三条 一致性机制
为促进本法在欧盟国家一致适用,各监管机构应通过本条规定的一致性机制相互合作,且如果相关的话与欧盟委员会合作。
第六十四条 欧洲数据保护委员会的意见
1.若某个具有法定权力的监管机构准备采取以下任何措施,欧洲数据保护委员会应对此发表意见。为此,在以下情况下,该具有法定权力的监管机构应将决定草案通报欧洲数据保护委员会:
(a)该具有法定权力的监管机构旨在根据(本法)第三十五条第4款规定的数据保护影响评估的要求采用一份处理操作清单;
(b)该具有法定权力的监管机构即将依据(本法)第四十条第7款的规定就某一行为准则草案或某一行为准则的修改或扩充是否符合本法的规定作出决定;
(c)该具有法定权力的监管机构旨在依据(本法)第四十一条第3款的规定批准相关机构的认定标准,并依据第四十三条第3款的规定批准相关认证机构的认证标准;
(d)该具有法定权力的监管机构旨在批准(本法)第四十六条第2款(d)项和第二十八条第8款所述的标准数据保护条款;
(e)该具有法定权力的监管机构旨在批准(本法)四十六条第3款(a)项所述的合同条款;或者
(f)该具有法定权力的监管机构旨在批准(本法)第四十七条意义下的有约束力的公司规则。
2.任何监管机构、欧洲数据保护委员会主席或欧盟委员会可要求任何具有普遍适用性的事项或在一个以上欧盟成员国产生影响的事项经欧洲数据保护委员会审核,以获得欧洲数据保护委员会的意见,特别是在具有法定权力的监管机构未根据(本法)第六十一条的规定遵守相互协助义务或根据第六十二条的规定遵守联合行动义务的情况下。
3.在第1款和第2款所述情形下,欧洲数据保护委员会应对提交于其的事项发表意见,倘若其尚未就同一事务发表意见。此意见应在八周内经欧洲数据保护委员会成员的简单多数通过。该期限可根据相关事项的复杂性延长六周。就第1款所述的依据第5款给欧洲数据保护委员会成员传阅的决定草案而言,未在主席指定的合理期限内提出反对意见的成员应被视为同意该决定草案。
4.各监管机构和欧盟委员会应在没有不当延误的情况下,使用标准化格式通过电子方式将相关信息传达给欧洲数据保护委员会,视情况而定内容包括事实摘要、决定草案、有必要实施该措施的理由以及其他相关主管机构的意见。
5.欧洲数据保护委员会主席应在没有不当延误的情况下通过电子方式:
(a)将使用标准化格式向其传达的任何相关信息通报欧洲数据保护委员会成员和欧盟委员会。若有必要,欧洲数据保护委员会秘书处应提供相关信息的翻译件;并且
(b)将相关意见告知第1款所述,并且视情况而定告知第2款所述的监管机构并将其公布。
6.主导监管机构不应在第3款所述的期限内通过第1款所述的决定草案。
7.第1款所述的监管机构应最大程度地考虑欧洲数据保护委员会的意见,并应在收到意见后两周内,以标准化格式并通过电子方式告知欧洲数据保护委员会主席其将维持决定草案还是将修改决定草案,如有的话还应包括经修改的决定草案。
8.若相关监管机构在本条第7款所述的期限内告知欧洲数据保护委员会主席其不准备听从欧洲数据保护委员会的全部或部分意见,并说明相关理由,则(本法)第六十五条第1款的规定应予以适用。
第六十五条 由欧洲数据保护委员会解决争议
1.为确保本法在具体情形中正确和一致适用,欧洲数据保护委员会在以下情况下应通过一个有约束力的决定:
(a)在(本法)第六十条第4款所述的情况下,某一相关主管机构对主导监管机构的决定草案提出有相关性且理由充分的反对意见,或者主导监管机构否决了不具相关性或理由不充分的反对意见;在此情况下,该有约束力的决定应涉及有相关性且理由充分的反对意见相关的所有事项,特别是是否存在违反本法的情况;
(b)对于作为主要营业场所的相关监管机构的资格的观点相互抵触;
(c)在(本法)第六十四条第1款所述的情况下,某一具有法定权力的监管机构未要求欧洲数据保护委员会出具意见,或未听从欧洲数据保护委员会根据(本法)第六十四条的规定出具的意见,在此情况下,任何相关监管机构或欧盟委员会可将相关情况告知欧洲数据保护委员会。
2.第1款所述的决定应在相关事项被提交后一个月内通过欧洲数据保护委员会成员的三分之二多数来通过。此期限可根据相关事件的复杂性延长一个月。第1款所述的决定应理由充分并应发送给主导监管机构和所有相关监管机构且对其有约束力。
3.若欧洲数据保护委员会不能在第2款所述的期限内通过决定,则应在第2款所述期限的第二个月期满后两周内通过欧洲数据保护委员会成员的简单多数来通过决定。若欧洲数据保护委员会成员赞同和反对的票数均等,则应通过欧洲数据保护委员会主席的投票来通过决定。
4.相关监管机构不应在第2款和第3款所述的期限内就提交欧洲数据保护委员会的事项通过决定。
5.欧洲数据保护委员会主席应在没有不当延误的情况下,将第1款所述的决定通知相关监管机构,同时还应将该决定通报欧盟委员会。相关监管机构通知第6款所述的最终决定后,欧洲数据保护委员会应在毫不延误的情况下将决定公布在网站上。
6.主导监管机构或者视情况而定接受申诉的监管机构,应在没有不当延误的情况下,最迟不超过欧洲数据保护委员会通知其决定后一个月根据本条第1款所述的决定通过其最终决定。主导监管机构或者视情况而定接受申诉的监管机构应将其把最终决定分别通知控制者或处理者及数据主体的日期通报欧洲数据保护委员会。相关监管机构的最终决定应根据(本法)第六十条第7款、第8款和第9款的规定通过。最终决定应引用本条第1款所述的决定,且在最终决定中应说明该段所述的决定将根据本条第5款的规定公布在欧洲数据保护委员会的网站上。最终决定应附有本条第1款所述的决定。
第六十六条 紧急程序
1.在特殊情况下,若某个相关监管机构认为,为保护数据主体的权利和自由需要采取紧急行动,则该相关监管机构可通过(本法)第六十三条、第六十四条和第六十五条所述一致性机制的部分例外或通过(本法)第六十条所述的程序,立即采取将在其境内产生法律效果的临时措施,该措施的有效期不应超过三个月。该相关监管机构应毫不延误地将该措施及采取该措施的理由通知其他相关监管机构、欧洲数据保护委员会和欧盟委员会。
2.若某个监管机构已经依据第1款的规定采取措施并认为迫切需要采取最终措施,可请求欧洲数据保护委员会出具紧急意见或作出有约束力的紧急决定,但应说明请求出具意见或做出决定的理由。
3.若某个主导监管机构在为保护数据主体的权利和自由需要采取紧急行动的情况下未能采取适当措施,任何监管机构都可请求欧洲数据保护委员会出具紧急意见,或视情况而定要求其作出有约束力的紧急决定,但应说明请求出具意见或做出决定的理由,包括需要采取紧急行动的理由。
4.作为(本法)第六十四条第3款和第六十五条第2款的部分例外,本条第2款和第3款所述的紧急意见或有约束力的紧急决定应在两周内以欧洲数据保护委员会成员的简单多数通过。
第六十七条 信息交流
欧盟委员会可通过有普遍适用性的实施细则来具体规定各监管机构之间以及监管机构与欧洲数据保护委员会之间通过电子方式进行信息交流的安排,特别是(本法)第六十四条所述的标准化格式。
该实施细则应根据(本法)第九十三条第2款所述的审查程序通过。
第三节 欧洲数据保护委员会
第六十八条 欧洲数据保护委员会
1.欧洲数据保护委员会据此作为欧盟的一个机构设立,具有法律人格。
2.欧洲数据保护委员会由主席代表。
3.欧洲数据保护委员会由各成员国某个监管机构的最高长官和欧洲数据保护监督组织的最高长官或其代表组成。
4.若在某一成员国内有一个以上的监管机构负责依据本法的规定监督本法规定的适用,则应根据该成员国法律的规定任命一个共同代表。
5.欧盟委员会有权在没有表决权的情况下参加欧洲数据保护委员会的活动和会议。欧盟委员会应指定一名代表。欧洲数据保护委员会的主席应将欧洲数据保护委员会的活动告知欧盟委员会。
6.在(本法)第六十五条所述的情况下,欧洲数据保护监督组织仅可对与适用于欧盟机构、实体、办事处、代表处的原则和规则行使表决权,上述原则和规则本质上与本法的规定一致。
第六十九条 独立性
1.欧洲数据保护委员会在依据(本法)第七十条和第七十一条的规定执行任务或行使权力时应完全独立行事。
2.在不影响(本法)第七十条第1款(b)项和第七十条第2款所述的欧盟委员会请求的前提下,欧洲数据保护委员会在执行任务或行使权力时不应寻求或听取任何人的指示。
第七十条 欧洲数据保护委员会的任务
1.欧洲数据保护委员会应确保本法的一致适用。为此,欧洲数据保护委员会应主动或如果相关应欧盟委员会的请求,特别执行以下任务:
(a)在不影响国家监管机构的任务的前提下,在(本法)第六十四条和第六十五条规定的情况下监督和确保本法的正确适用;
(b)就与欧盟国家内的个人数据保护相关的任何问题向欧盟委员会提出建议,包括就拟对本法进行的修订提出建议;
(c)就控制者、处理者和各监管机构之间针对有约束力的公司规则进行信息交流的形式和程序向欧盟委员会提出建议;
(d)就从(本法)第十七条第2款所述的公开可得的通信服务上去除个人数据的链接、拷贝或复制品的程序,提供指南、建议和最佳做法;
(e)主动或应某个成员的请求或应欧盟委员会的请求,检查涉及本法的适用的问题并提供指南、建议和最佳做法,以鼓励本法的一致适用;
(f)根据本段(e)项的规定提供指南、建议和最佳做法,以对依据(本法)第二十二条第2款的规定根据特性分析作出决定的标准和条件作进一步具体规定;
(g)根据本段(e)项的规定提供指南、建议和最佳做法,以对(本法)第三十三条第1款所述的违反个人数据安全规定的情况进行证实,以及对(本法)第三十三条第2款所述的不当延误及控制者或处理者应通知的违反个人数据安全规定的情况进行确定;
(h)针对(本法)第三十四条第1款所述的违反个人数据安全规定可能对自然人的权利和自由造成高风险的情形,根据本段(e)项的规定提供指南、建议和最佳做法;
(i)根据本段(e)项的规定提供指南、建议和最佳做法,以对依据控制人遵守的有约束力的公司规则、处理人遵守的有约束力的公司规则进行的个人数据传输的标准和要求以及其他必要要求作进一步具体规定,从而确保第四十七条所述的相关数据主体个人数据的保护;
(j)根据本段(e)项的规定提供指南、建议和最佳做法,以对依据(本法)第四十九条第1款的规定进行的个人数据传输的标准和要求作进一步具体规定;
(k)就(本法)第五十八条第1款、第2款和第3款所述措施的适用以及(本法)第八十三条所述行政罚款金额的确定为各监管机构制定指南;
(l)检查(e)项和(f)项所述指南、建议和最佳做法的实际运用情况;
(m)为根据(本法)第五十四条第2款确立自然人报告违反本法情况的通用程序,根据本段(e)项的规定提供指南、建议和最佳做法;
(n)鼓励依据(本法)第四十条和第四十二条的规定制定行为准则和建立数据保护认证机制及设置数据保护印章和标识;
(o)依据(本法)第四十三条的规定进行认证机构的认定和定期审核,依据(本法)第四十三条第6款的规定维持经认证的实体的公共登记册,并依据(本法)第四十二条第7款的规定维持在第三国设立的经认证的控制人或处理人的公共登记册;
(p)针对(本法)第四十二条规定的认证机构的认可对(本法)第四十三条第3款所述的要求作具体规定;
(q)就(本法)第四十三条第8款所述的认证要求向欧盟委员会提供意见;
(r)就(本法)第十二条第7款所述的图标向欧盟委员会提供意见;
(s)就第三国或国际组织内保护程度充分性的评估向欧盟委员会提供意见,包括对第三国、该第三国内的某个领域或一个或多个特定地区,或国际组织是否已经不再能够确保提供充分的数据保护进行的评估;为此,欧盟委员会应向欧洲数据保护委员会提供所有必要的证明文件,包括与第三国政府之间就该第三国、领域或特定地区进行的通信或与国际组织进行的通信;
(t)针对依据(本法)第六十四条第2款的规定提交审核的事项,依据(本法)第六十四条第1款所述的一致性机制对监管机构的决定草案发表意见,并依据(本法)第六十五条的规定作出有约束力的决定,包括在(本法)第六十六条所述的情况下;
(u)促进监管机构之间的合作以及有效的双边和多边信息交流及最佳做法;
(v)创立共同培训计划,以及如果适当的话促进监管机构与第三国的监管机构和国际组织间的人才交流;
(w)促进与世界各地数据保护监管机构之间就数据保护立法和做法进行的知识和文献交流;
(x)就依据(本法)第四十条第9款的规定在欧盟层面制定的行为准则发表意见;以及
(y)对监管机构和法院在一致性机制中处理之事宜所作的决定维持一份可公开访问的电子登记册。
2.若欧盟委员会请求获得欧洲数据保护委员会的建议,可根据相关事务的紧急程度指定一个期限。
3.欧洲数据保护委员会应将其意见、指南、建议和最佳做法传达给欧盟委员会和(本法)第九十三条所述的委员会并将其公布。
4.欧洲数据保护委员会应在适当情形下咨询相关方,并给予相关方在合理时间内发表意见的机会。欧洲数据保护委员会应使得咨询程序的结果公开可得,(本法)第七十六条的规定不受影响。
第七十一条 报告
1.欧洲数据保护委员会应就欧盟国家,以及如果相关应就第三国及国际组织内自然人个人数据处理的保护编写一份年度报告,并应将此报告公布及传送给欧洲议会、欧盟理事会和欧盟委员会。
2.年度报告的内容应包括对(本法)第七十条第1款(l)项所述的指南、建议和最佳做法实际应用的审核以及(本法)第六十五条所述的有约束力决定。
第七十二条 程序
1.除非本法另有规定,欧洲数据保护委员会应通过成员的简单多数来做决定。
2.欧洲数据保护委员会应通过成员的三分之二多数来通过程序规则及组织自己的运营安排。
第七十三条 主席
1.欧洲数据保护委员会应采用简单多数原则从成员中选举一名主席和两名副主席。
2.主席和副主席任期五年,期满可连任一次。
第七十四条 主席的任务
1.主席应执行以下任务:
(a)召开欧洲数据保护委员会会议及准备会议议程;
(b)依据(本法)第六十五条的规定将欧洲数据保护委员会通过的决定通知主导监管机构和相关监管机构;
(c)确保欧洲数据保护委员会任务的及时执行,特别是与(本法)第六十三条所述的一致性机制相关的任务。
2.欧洲数据保护委员会应在其议事规则中规定主席和副主席的任务分配。
第七十五条 秘书处
1.欧洲数据保护委员会应设秘书处,秘书处由欧洲数据保护监督组织提供。
2.秘书处仅应按照欧洲数据保护委员会主席的指示执行任务。
3.欧洲数据保护监督组织参与执行本法赋予欧洲数据保护委员会之任务的工作人员所遵循的报告关系,应与参与执行本法赋予欧洲数据保护监督组织的任务的工作人员分开。
4.如果适当,欧洲数据保护委员会和欧洲数据保护监督组织应制定和公布备忘录以实施本条规定,确定双方之间的合作条款,并适用于欧洲数据保护监督组织参与执行本法赋予欧洲数据保护委员会之任务的工作人员。
5.秘书处应向欧洲数据保护委员会提供分析、管理和后勤方面的支持。
6.秘书处应特别负责以下事项:
(a)欧洲数据保护委员会的日常事务;
(b)欧洲数据保护委员会成员、欧洲数据保护委员会主席与欧盟委员会之间的沟通;
(c)与其他机构和公众的沟通;
(d)电子方式在内部和外部沟通中的使用;
(e)相关信息的翻译;
(f)欧洲数据保护委员会会议的准备和跟踪;
(g)监管机构之间争议解决的意见、决定以及欧洲数据保护委员会采用的其他文本的准备、起草和公布。
第七十六条 保密
1.若欧洲数据保护委员会认为有必要,可根据程序规则对其讨论进行保密。
2.向欧洲数据保护委员会成员、专家和第三方代表提交的文件的访问权限由欧洲议会和欧盟理事会第1049/2001号(欧盟)条例规定[32]。
第八章 救济、责任和惩罚
第七十七条 向监管机构申诉的权利
1.在不影响任何其他行政或司法救济的情况下,每一数据主体都有权在认为与其相关的个人数据处理违反本法规定的情况下,向监管机构申诉,特别是向其经常居住地、工作地或指控侵权行为发生地所在的成员国的监管机构申诉。
2.接受申诉的监管机构应将申诉处理的进度和结果,包括依据(本法)第七十八条的规定寻求司法救济的可能性告知申诉者。
第七十八条 针对监管机构的有效司法救济的权利
1.在不影响任何其他行政或非司法救济的情况下,每一自然人或法人都有权针对监管机构作出的与之相关的有法律约束力的决定寻求有效司法救济。
2.在不影响任何其他行政或非司法救济的前提下,若(本法)第五十五条或第五十六条所述的监管机构未对投诉进行处理或未依据(本法)第七十七条的规定在三个月内将投诉处理的进度或结果告知数据主体,相关数据主体有权获得有效司法救济。
3.针对监管机构的诉讼应在该监管机构设立地所在成员国的法院提起。
4.若数据主体针对监管机构的决定提起诉讼,而该决定是在欧洲数据保护委员会在一致性机制中发表意见或作出决定后作出的,则监管机构应将该意见或决定递交法院。
第七十九条 针对控制者或处理者的有效司法救济的权利
1.在不影响能够获得的任何其他行政或非司法救济,包括依据(本法)第七十七条的规定向监管机构投诉的权利的前提下,若相关数据主体认为不符合本法规定对其个人数据进行的处理侵犯了其在本法规定下的权利,该数据主体有权获得有效司法救济。
2.针对控制者或处理者的诉讼应在控制者或处理者有营业场所的成员国的法院提起,或者在数据主体有经常居住地的成员国的法院提起,除非控制者或处理者是某个成员国行使公权力的公共机构。
第八十条 数据主体的代表
1.数据主体有权委托根据成员国的法律正式组建、具有符合公共利益的法定目标并且活跃在数据主体个人数据权利和自由保护领域的非营利机构、组织和协会,在符合相关成员国法律规定的情况下,代表其申诉,代表其行使(本法)第七十七条、第七十八条和第七十九条所述的权利以及代表其接受(本法)第八十二条所述的赔偿。
2.各成员国可规定,若认为数据主体根据本法享有的权利因个人数据处理受到侵犯,本条第1款所述的任何机构、组织或协会有权在不经该数据主体委托的情况下,在该成员国境内向(本法)第七十七条所述的有合法管辖权的监管机构投诉及行使(本法)第七十八条和第七十九条所述的权利。
第八十一条 诉讼中止
1.若成员国有合法管辖权的法院得到信息,同一控制者或处理者就有关处理的同一诉讼标的在位于另一成员国的法院提起诉讼且该诉讼尚未完结,该有合法管辖权的法院应联系位于该其他成员国的法院,以证实此诉讼的存在。
2.若同一控制者或处理者就有关处理的同一诉讼标的在位于另一成员国的法院提起诉讼且该诉讼尚未完结,除先诉法院外,任何有合法管辖权的法院均可中止该诉讼。
3.若诉讼的一审尚未完结,除先诉法院外,任何法院可经任何一方当事人请求拒绝管辖,只要先诉法院对相关诉讼有司法管辖权且法律允许诉讼合并。
第八十二条 赔偿的权利及责任
1.因违反本法遭受物质或非物质损失的任何人有权为遭受的损害从控制者或处理者处获得赔偿。
2.参与处理的任何控制者应当对违反本法规定的处理造成的损害负责。仅在其未能遵守本法明确施加的义务或其行为超出或有悖于控制者的合法指示的情况下,处理者将对处理造成的损害负责。
3.若能够证明不应在任何方面对引起损害的事件负责,控制者或处理者可免于承担第2款规定的责任。
4.若一个以上的控制者或处理者参与同一处理,或一个控制者和一个处理者共同参与同一处理,且根据第2款和第3款的规定须对处理造成的任何损害负责,则每一控制者或处理者都应对全部损害负责,以确保数据主体获得有效赔偿。
5.若控制者或处理者根据第4款的规定对造成的损害进行了充分赔偿,该控制者或处理者有权根据第2款规定的条件,对参与同一诉讼的其他控制者或处理者应对损害负有的部分责任,从该控制者或处理者处收回与之相应的赔偿。
6.为行使获得赔偿的权利而提起的诉讼应在(本法)第七十九条第2款所述的根据成员国法律规定有合法管辖权的法院提起。
第八十三条 处以行政罚款的一般条件
1.各监管机构应确保在每个案件中依据本条规定对第4款、第5款和第6款所述的违反本法的情况处以的行政罚款都是有效的、适当的且具有劝诫效果。
2.各监管机构应根据每个案件的具体情况,在(本法)第五十八条第2款(a)项至(h)项和(j)项所述的措施之外处以行政罚款或以行政罚款代替该措施。在确定是否处以行政罚款及行政罚款的金额时,应充分考虑到以下事项:
(a)违法行为的性质、严重程度和持续时间,考虑到相关处理的目的、受影响的数据主体的数目和数据主体受损害的程度;
(b)违法行为的故意或过失性质;
(c)控制者或处理者为减轻对数据主体造成损害采取的措施;
(d)控制者或处理者责任的范围,考虑到控制人或处理人依据(本法)第二十五条和第三十二条的规定实施的技术和组织措施;
(e)控制者或处理者之前的相关违法行为;
(f)为补救违法行为及减轻违法行为可能产生的不利影响而与监管机构配合的程度;
(g)受违法行为影响的个人数据的种类;
(h)监管机构获知违法行为的方式,特别是违法行为是否由控制者或处理者通知,以及如由控制者或处理者通知的话通知的程度;
(i)在先前已经为一事项向控制者或处理者发出执行(本法)第五十八条第2款所述的措施的命令的情况下,该措施的遵守情况;
(j)遵守(本法)第四十条所述的经批准的行为准则或第四十二条所述的经批准的认证机制;以及
(k)任何其他加重或减轻案情的因素,例如直接或间接因违法行为获得的财务收益或避免的损失。
3.若控制者或处理者出于故意或过失,为相同或有关联的处理操作违反本法的数条规定,行政罚款的总金额不应超过为最严重的违法行为规定的金额。
4.对违反以下义务的情况,应根据第2款的规定处以最高10000000欧元的罚款,如受处罚人是企业,最高罚款应为相当于其上一财务年度全世界总营业额的2%,以金额较高者为准:
(a)(本法)第八条、第十一条、第二十五条、第二十六条、第二十七条、第二十八条、第二十九条、第三十条、第三十一条、第三十二条、第三十三条、第三十四条、第三十五条、第三十六条、第三十七条、第三十八条、第三十九条、第四十二条和第四十三条所述的控制者和处理者的义务;
(b)(本法)第四十二条和第四十三条所述的认证机构的义务;
(c)(本法)第四十一条第4款所述的监管机构的义务。
5.对违反以下义务的情况,应根据第2款的规定处以最高20000000欧元的罚款,如受处罚人是企业,最高罚款应为相当于其上一财务年度全世界总营业额的4%,以金额较高者为准:
(a)处理的基本原则,包括第五条、第六条、第七条和第九条所述的同意的条件;
(b)(本法)第十二条至第二十二条所述的数据主体的权利;
(c)(本法)第四十四条至第四十九条所述的向位于第三国或国际组织内的接收者进行的个人数据传输;
(d)根据第九章的规定通过的成员国法律所规定的任何义务;
(e)未遵守(本法)第五十八条第2款所述的监管机构对数据处理作出的命令或施加的临时或最终限制或暂停数据流动的命令,或未能按(本法)第五十八条第1款的规定提供访问权限。
6.对不遵守(本法)第五十八条第2款所述的监管机构的命令应根据第2款的规定处以最高20000000欧元的罚款,如受处罚人是企业,最高罚款应为相当于其上一财务年度全世界总营业额的4%,以金额较高者为准:
7.在不影响(本法)第五十八条第2款所述的监管机构的矫正权力的前提下,各成员国可就是否向在该成员国境内设立的公共机构和实体处以行政罚款及处以行政罚款的程度制定规则。
8.依据本条规定赋予监管机构的权力的行使,以根据本章规定在欧盟和成员国法律规定的适当保障措施,包括有效司法救济和正当程序为前提。
9.若成员国的法律体系未规定行政罚款,本条可按罚款由具有法定权力的监管机构处罚并由有管辖权的国家法院实施的方式适用,同时确保可获得的法律救济均有效且与监管机构处以的行政罚款具有相同效果。任何情况下处以的罚款都应是有效的、适当的且具有劝诫效果。各成员国应在2018年5月25日前将依据本段规定通过的法律规定通报欧盟委员会,且之后应毫不延误地将任何后续修订或对其有影响的修订通报欧盟委员会。
第八十四条 惩罚
1.成员国应就适用于违反本法的其他惩罚制定规则,特别是对于不能按第八十三条的规定处以行政罚款的情况,并应采取所有必要的措施确保该规则的实施。该惩罚应是有效的、适当的且具有劝诫效果。
2.各成员国应在2018年5月25日前将依据第1款的规定通过的法律规定通报欧盟委员,且之后应毫不延误地将对其有影响的任何后续修订通报欧盟委员会。
第九章 特别处理情形下的规定
第八十五条 处理以及信息和言论自由
1.各成员国应通过法律协调本法规定的保护个人数据的权利与信息和言论自由的权利,包括为新闻及学术、艺术或文学表达进行的处理。
2.对于为新闻及学术、艺术或文学表达进行的处理,若对于协调保护个人数据的权利与信息和言论自由有必要,各成员国应规定第二章(原则)、第三章(数据主体的权利)、第四章(控制者和处理者)、第五章(个人数据向第三国或国际组织的传输)、第六章(独立监管机构)、第七章(合作和一致性)及第九章(特别处理情形下的规定)的豁免或部分例外。
3.各成员国应将依据第2款的规定通过的法律规定通报欧盟委员会,且之后应毫不延误地将任何后续修订或对其有影响的修订通报欧盟委员会。
第八十六条 官方文件的处理和公共访问
公共机构、公共实体或私营机构为执行符合公共利益的任务而持有的官方文件中的个人数据可由该机构或机关根据对其有约束力的欧盟或成员国法律的规定披露,以协调官方文件的公共访问权限与本法所规定的保护个人数据的权利。
第八十七条 国民身份编号的处理
成员国还可为国民身份编号或任何其他具有普遍适用性的身份标识的处理规定具体条件。在此情况下国民身份编号或任何其他具有普遍适用性的身份标识仅可在依据本法的规定为数据主体的权利和自由提供适当保障措施的情况下使用。
第八十八条 在雇佣时进行的处理
1.为确保在雇佣时对雇员个人数据进行处理的权利和自由的保护,各成员国可通过法律或集体合同规定更为具体的规则,特别是为了招聘和雇用合同的履行,包括法律或集体合同规定的义务的解除,工作的管理、规划和组织,工作场所的平等和多元化,工作时的健康和安全,雇主或客户财产的保护,单独或集体行使和享受有关雇佣的权利和利益,以及为了终止雇佣关系。
2.上述规则应包括保障数据主体的人格尊严、合法权益和基本权利的适当和具体措施,特别是在处理的透明度、在企业集团或从事共同经济活动的联合企业内部进行的个人数据传输以及工作场所的监督体系方面。
3.各成员国应在2018年5月25日前将依据第1款的规定通过的法律规定通报欧盟委员会,且之后应毫不延误地将对其有影响的任何后续修订通报欧盟委员会。
第八十九条 有关为符合公共利益的存档目的、科学或历史研究目的或统计目的进行的处理的保障和减损
1.为符合公共利益的存档目的、科学或历史研究目的或统计目的进行的处理,应在根据本法的规定为数据主体的权利和自由采取适当保障措施的情况下进行。该保障措施应确保所有技术和组织措施都已制定,特别是确保数据最小化原则得到尊重的措施。该措施可包括假名化,只要上述目的可以此方式实现。若上述目的可通过不允许或不再允许对数据主体进行身份认证的进一步处理实现,应以此方式实现上述目的。
2.在为科学或历史研究目的或统计目的处理个人数据的情况下,若(本法)第十五条、第十六条、第十八条和第二十一条所述权利可能使得上述目的的实现不可能或受到严重影响,而规定减损该权利对于上述目的的实现有必要,则在符合本条第1款所述的条件和保障措施的情况下,欧盟或成员国法律可减损该权利。
3.在为符合公共利益的存档目的处理个人数据的情况下,若(本法)第十五条、第十六条、第十八条、第十九条、第二十条和第二十一条所述权利可能使得上述目的的实现不可能或受到严重影响,而减损该权利对于上述目的的实现有必要,则在符合本条第1款所述的条件和保障措施的情况下,欧盟或成员国法律可减损该权利。
4.在第2款和第3款所述的处理同时也对另一目的的实现起作用的情况下,相关减损仅适用于上述处理目的。
第九十条 保密的义务
1.对于根据欧盟法律或相关成员国法律或国家监管机构制定的规则应遵守职业保密义务或同等的其他保密义务的控制者或处理者而言,在对于协调个人数据保护的权利与保密义务有必要时,各成员国可通过具体规则对(本法)第五十八条第1款(e)项和(f)项规定的监管机构的权力进行规定。该规则仅适用于因保密义务范围内的活动接收到的个人数据,或者在进行保密义务范围内的活动过程中获得的个人数据。
2.各成员国应在2018年5月25日前将依据第1款的规定通过的法律规定通报欧盟委员会,且之后应毫不延误地将对其有影响的任何后续修订通报欧盟委员会。
第九十一条 教会和宗教协会的现行数据保护规则
1.若本法生效时,成员国境内的教会、宗教协会或社区已经适用了与个人数据处理的自然人保护相关的综合规则,该规则应继续适用,但前提是与本法的规定相符。
2.根据第1款的规定适用综合规则的教会和宗教协会应接受独立监管机构的有针对性的监督,前提是该监督符合本法第六章规定的条件。
第十章 委托立法和实施细则
第九十二条 委托的行使
1.进行委托立法的权力根据本条规定的条件,被授予欧盟委员会。
2.第十二条第8款和第四十三条第8款所述的权力自2016年5月24日无限期授予欧盟委员会。
3.欧洲议会或欧盟理事会可在任何时候取消授予(本法)第十二条第8款和第四十三条第8款所述的权力。取消决定将终止该决定中的权力的授予。取消决定自其于《欧盟官方公报》上公布之日或于该决定中较晚的日期生效。取消决定不对已经生效的任何委托立法的效力具有影响。
4.一旦进行委托立法,欧盟委员会应同时告知欧洲议会和欧盟委员会。
5.若收到欧盟委员会就依据(本法)第十二条第8款和第四十三条第8款的规定进行委托立法发出的通知后,欧洲议会或欧盟委员会未在三个月内表示反对,或欧洲议会和欧盟委员会均在上述期限届满之前告知欧盟委员会不会表示反对,相关委托立法即生效。欧洲议会或欧盟委员会可主动要求将上述期限延长三个月。
第九十三条 委员会程序
1.欧盟委员会应由一个委员会来提供帮助。该委员会应为第182/2011号(欧盟)条例意义下的委员会。
2.在述及本段时,第182/2011号(欧盟)条例第五条的规定应予以适用。
3.在述及本段时,第182/2011号(欧盟)条例第八条和第五条的规定应予以适用。
第十一章 最终条款
第九十四条 第95/46/EC号指令的废除
1.第95/46/EC号指令于2018年5月25日废除。
2.凡述及已废除的指令应被解释为是对本法的述及。凡述及第95/46/EC号指令第二十九条设立的关于个人数据处理的个人保护工作组应被解释为是指本法设立的欧洲数据保护委员会。
第九十五条 与第2002/58/EC号指令之间的关系
对于所有自然人和法人而言,除对在欧盟国家公共通信网络提供公开可得的电子通信服务负有的特定义务外,本法不应就相关处理向他们施加与第2002/58/EC号指令具有相同目标的其他义务。
第九十六条 与之前达成的协定之间的关系
各成员国在2016年5月24日前达成且根据欧盟法律的规定在2016年5月24日前适用的有关向第三国或国际组织进行的个人数据传输的国际协定仍然有效,直至被修订、替换或废除。
第九十七条 委员会报告
1.2020年5月25日前及以后每隔四年,欧盟委员会应就本法的评估和审查向欧洲议会和欧盟委员会提交一份报告。该报告应予以公布。
2.有关第1款所述的评估和审查,欧盟委员会应特别检查以下各章规定的适用和作用:
(a)第五章有关向第三国或国际组织进行的个人数据传输的规定,特别是关于依据本法第四十五条第3款的规定通过的决定和依据第95/46/EC号指令第二十五条第6款的规定通过的决定的规定;
(b)第七章有关合作和一致性的规定。
3.关于第1款之目的,欧盟委员会可要求各成员国和监管机构提供信息。
4.在进行第1款和第2款所述的评估和审查时,欧盟委员会应将欧洲议会、欧盟委员会和其他相关机构或来源的态度和调查结果考虑在内。
5.如有必要,欧盟委员会应在考虑相关因素特别是信息技术发展的情况下,根据信息社会进步的情况,就本法的修订提交适当的建议书。
第九十八条 对其他欧盟数据保护法律文件的审议
如果适当,欧盟委员会应提交对欧盟其他个人数据保护法律进行修订的立法建议书,以确保在个人数据处理方面对自然人进行统一和一致的保护。此规定尤其适用于欧盟机构、实体、办事处和代表处制定的与个人数据处理自然人保护相关的规则以及就该数据的自由流动制定的规则。
第九十九条 生效和适用
1.本法于在《欧盟官方公报》上公布后第二十天生效。
2.本法自2018年5月25日起适用。
本法对于所有成员国的国内实体均具有约束力且直接地和完全地适用于所有成员国。
【注释】
[1]也有人译作“一般数据保护法条例”或“数据保护通用条例”。考虑到GDPR是由具有立法权的欧盟机构制定的,这里按照汉语的习惯用法和我国法律体系中的通行称谓使用了“法”的表述,而没有采用国内学者关于欧盟法的研究中通常将“Regulation”译作“条例”的做法。“General”一词,主要意图是提示GDPR具有“一般法”“可普遍适用”的性质,这里按照我国法学界的习惯用语译作“一般”。
[2]参见:王四新.《欧盟数据保护一般规则》简评.中国信息安全,2016(3):74-78.何治乐,黄道丽.欧盟《一般数据保护条例》的出台背景及影响.信息安全与通信保密,2014(10):72-75.
[3]王融.《欧盟数据保护通用条例》详解.大数据,2016(2):45.
[4][德]Christopher Kuner:《欧盟的隐私和数据保护》,温珍奎译,载周汉华主编:《个人信息保护前沿问题研究》,法律出版社2006年版,第32—33页。
[5]2016年5月4日公布于《欧盟官方公报》的GDPR正式文本在99个条文之前还有很长的(约占这个文本总篇幅四分之一强的)由“鉴于”(whereas)一词领起的文字,这些文字的每一段左侧都标有带括号的阿拉伯数字,共173段,其表达了欧盟立法者制定GDPR有关条文时的基本考虑,本章视需要略加引用,为方便起见,引用时表述为“GDPR前言第某段”,段落序号即这些文字各段左侧标有的阿拉伯数字。
[6]王融.《欧盟数据保护通用条例》详解.大数据,2016(2):46.
[7]风帆:《欧盟拟推新法:16岁以下禁用社交媒体和电子邮件》,http://tech.qq.com/a/20151215/047497.htm,2015年12月15日。
[8]曹亚廷.数据可携带权及其对征信业影响初探.征信,2016(9):26.
[9]张里安,韩旭至.“被遗忘权”:大数据时代下的新问题.河北法学,2017(3):42.
[10]王融,没有“删除权”何谈“被遗忘”.上海法治报,2016年6月22日,第B04版.张里安,韩旭至.“被遗忘权”:大数据时代下的新问题.河北法学,2017(3):44.
[11]W Gregory Voss.Preparing for the Proposed EU General Data Protection Regulation:With or Without Amendments.Business Law Today,November,2012.
[12]王融.《欧盟数据保护通用条例》详解.大数据,2016(2).
[13]吴琼.欧盟数据保护立法取得重大进展.法制日报,2013年10月29日.
[14]W.Gregory Voss.One Year and Loads of Data Later,Where are we?An Update on the Proposed European Union General Data Protection Regulation.Journal of Internet Law,April,2013.
[15]张敏,马民虎.欧盟数据保护立法改革之发展趋势分析.网络与信息安全学报,2016(2).王融.《欧盟数据保护通用条例》详解.大数据,2016(2).
[16]Paul De Hert,Vagelis.Three Scenarios for International Governance of Data Privacy:Towards an International Data Privacy Organization,Preferably a UN Agency?A Journal of Law and Policy for the Information Society,Summer,2013.
[17]桂畅旎.欧盟《通用数据保护法案》的影响与对策.中国信息安全,2017(7):92.
[18]王融.大数据时代:欧盟能否重建数据保护新秩序.中国信息安全,2016(1):41.
[19]The Privacy Advisor.Does the EU's Right To Be Forgotten Pose a Threat to Companies in the U.S.,available at:https://iapp.org/news/a/does-the-eus-right-to-be-forgotten-pose-a-threat-to-companiesin-the-u-s/.html,2017-05-08.Peter Swire,Yianni Lagos.Why the Right to Data Portability Likely Reduces Consumer Welfare:Antitrust and Privacy C ritique.Maryland Law Review,2013(2):335.
[20]李军.欧盟数据保护新法意义重大.财经,2016(2).
[21]中国IDC圈编译.欧洲新数据保护法对于数据中心运营商意味着什么.http://news.idcquan.com/gjzx/124612.shtml
[22]张立翘.被遗忘权制度框架及引入中国的可行性.互联网金融与法律,2015(2).
[23]Jeffrey Rosen.The Deciders:The Future of Privacy and Free Speech in the Age of Facebook and Google.Fordham Law Review,2012(80).
[24]大卫·鄂多斯.数据保护与公共言论:在Web2.0时代调和权利.新闻战线,2014(10):50.
[25]何波.欧洲提出数字基本权利宪章.中国信息安全,2017(5):100-101.
[26]欧盟这样保护个人信息.新京报,2012年8月11日.
[27]杨合庆.中华人民共和国网络安全法解读.中国法制出版社,2017:96-97.
[28]参见:北京市第一中级人民法院(2015)一中民终字第09558号民事判决书。
[29]杨合庆.中华人民共和国网络安全法解读.中国法制出版社,2017:22-23.
[30]2015年9月9日欧洲议会和欧洲理事会第2015/1535号(欧盟)指令在信息社会服务技术规程和准则领域规定了信息提供的程序(2015年9月17日第241期《欧盟官方公报》第1页)。按:该注释是GDPR的正式文本中原本就存在的。
[31]2008年7月9日欧洲议会和理事会第765/2008号(欧盟委员会)条例阐述了与产品营销相关的认可和市场监督要求并废除了第339/93号(欧洲经济共同体)条例(2008年8月13日第218期《欧盟官方公报》第30页)。按:该注释是GDPR的正式文本中原本就存在的。
[32]2001年5月30日关于公开访问欧洲议会、欧盟理事会和欧洲委员会文件的欧洲议会和欧盟理事会第1049/2001号(欧盟)条例(2001年5月31日第145期《欧盟官方公报》第43页)。按:该注释是GDPR的正式文本中原本就存在的。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。