歐洲一般數據保護條例
 譯者:丁曉東

第一章  一般條款

第二章  原則

第三章  數據主體的權利

第四章  控制者和處理者

第五章  將個人數據轉移到第三國或國際組織

第六章  獨立監管機構

第七章  合作與一致性

第八章  救濟、責任與懲罰

第九章  和特定處理情形相關的條款

第十章  授權法案與實施性法案


第一章  一般條款

第1條 主要事項與目標

1.本條例制定關于處理個人數據中對自然人進行保護的規則,以及個人  數據自由流動的規則。

2.本條例保護自然人的基本權利與自由,特別是自然人享有的個人數據保護的權利。

3.不能以保護處理個人數據中的相關自然人為由,對歐盟內部個人數據的自由流動進行限制或禁止。

第2條 適用范圍

1.本條例適用于全自動個人數據處理、半自動個人數據處理,以及形成或旨在形成用戶畫像的非自動個人數據處理。

2.本條例不適用以下情形:

(a)歐盟法管轄之外的活動中所進行的個人數據處理;

(b)歐盟成員國為履行《歐盟基本條約》(TEU)第2章第5款所規定的活動而進行的個人數據處理;

(c)自然人在純粹個人或家庭活動中所進行的個人數據處理;

(d) )有關主管部門為預防、調查、偵查、起訴刑事犯罪、執行刑事處罰、防范及預防公共安全威脅而進行的個人數據處理。

3.歐盟機構、實體、辦事處和規制機構所進行的個人數據處理,適用(EC)第 45/2001條例。根據本條例第98條,(EC)第45/2001條例和其他適用于此類個人數據處理的歐盟法案應當進行調整,以符合本條例的原則和規則。

4.本條例不影響2000/31/EC指令的適用,特別是2000/31/EC指令第12至15條所規定的中間服務商的責任規則的適用。

第3條 地域范圍

1.本例適用于在歐盟內部設立的數據控制者或處理者對個人數據的處理,不論其實際數據處理行為是否在歐盟內進行。

2.本條例適用于如下相關活動中的個人數據處理,即使數據控制者或處理者不在歐盟設立:

(a)為歐盟內的數據主體提供商品或服務——不論此項商品或服務是否要求數據主體支付對價;或

(b)對發生在歐洲范圍內的數據主體的活動進行監控。

3.本條例適用于在歐盟之外設立,但基于國際公法成員國的法律對其有管轄權的數據控制者的個人數據處理。

第4條 定義

就本條例而言:

(1)“個人數據”指的是任何已識別或可識別的自然人(“數據主體”)相關的信息;一個可識別的自然人是一個能夠被直接或間接識別的個體,特別是通過諸如姓名、身份編號、地址數據、網上標識或者自然人所特有的一項或多項的身體性、生理性、遺傳性、精神性、經濟性、文化性或社會性身份而識別個體。

(2)“處理”是指任何一項或多項針對單一個人數據或系列個人數據所進行的操作行為,不論該操作行為是否采取收集、記錄、組織、構造、存儲、調整、更改、檢索、咨詢、使用、通過傳輸而公開、散布或其他方式對他人公開、排列或組合、限制、刪除或銷毀而公開等自動化方式。

(3)“限制處理”是指對存儲的個人數據進行標記,以限制此后對該數據的處理行為。

(4)“用戶畫像”指的是為了評估自然人的某些條件而對個人數據進行的任何自動化處理,特別是為了評估自然人的工作表現、經濟狀況、健康、個人偏好、興趣、可靠性、行為方式、位置或行蹤而進行的處理。

(5)“匿名化”指的是在采取某種方式對個人數據進行處理后,如果沒有額外的信息就不能識別數據主體的處理方式。此類額外信息應當單獨保存,并且已有技術與組織方式確保個人數據不能關聯到某個已識別或可識別的自然人。

(6)“檔案系統”指的是根據某種特定標準——不論這種標準是去中心化的、分散的、功能性的或是基于地理而設置的——而可以訪問的個人數據的結構化集合。

(7)“控制者”指的是那些決定——不論是單獨決定還是共同決定——個人數據處理目的與方式的自然人或法人、公共機構、規制機構或其他實體;如果此類處理的方式是由歐盟或成員國的法律決定的,那么對控制者的定義或確定控制者的標準應當由歐盟或成員國的法律來規定。

(8)“處理者”指的是為數據控制者而處理個人數據的自然人或法人、公共機構、規制機構或其他實體。

(9)“接收者”指的是接收數據的自然人、法人、公共機構、規制機構或另一實體,不論其是否為第三方。然而,公共機構基于歐盟或成員國法律的某項特定調查框架而接收個人數據,則不應當被視為接收者;公共機構對此類數據的處理,應當根據處理目的遵循可適用的數據保護規則。

(10)“第三方”指的是除了數據主體、控制者、處理者、控制者或處理者直接授權其處理個人數據之外的自然人或法人、公共機構、規制機構或組織。

(11)數據主體的“同意”指的是數據主體通過一個聲明,或者通過某項清晰的確信行動而自由作出的、充分知悉的、不含混的、表明同意對其相關個人數據進行處理的意愿。

(12) “個人數據泄露”是指由于違反安全政策而導致傳輸、儲存、處理中的個人數據被意外或非法損毀、丟失、更改或未經同意而被公開或訪問。

(13)“基因數據”指的是和自然人的遺傳性或獲得性基因特征相關的個人數據,這些數據可以提供自然人生理或健康的獨特信息,尤其是通過對自然人生物性樣本進行分析而可以得出的獨特信息。

(14)“生物性識別數據”指的是基于特別技術處理自然人的相關身體、生理或行為特征而得出的個人數據,這種個人數據能夠識別或確定自然人的獨特標識,例如臉部形象或指紋數據。

(15)“和健康相關的數據”指的是那些和自然人的身體或精神健康相關的、顯示其個人健康狀況信息的個人數據,包括和衛生保健服務相關的服務。

(16)“主要營業機構”指的是:

(a)如果控制者在不止一個成員國內有多處營業機構,那么其在歐盟的管理中心所在地是主要營業機構,除非個人數據處理的目的與方式是由控制者的另一個機構決定的,并且這一機構有權實施此決定,在這種情況下,做出此類決定的機構應當被認為是主要營業機構;

(b)如果處理者在不止一個成員國內具有多處機構,那么其在歐盟的管理中心所在地是主要營業機構。如果處理者在歐盟沒有管理中心,那么在處理者需要遵守本條例所規定的特殊責任的前提下,其在歐盟的主要處理活動發生地的機構應當被視為主要營業機構。

(17)“代表”指的是控制者或處理者根據第27條在歐盟書面委任,代表控制者或處理者承擔本條例所規定的相應責任的自然人或法人。

(18)“經濟主體”的含義是采用任意法律形式的進行經濟活動的自然人或法人,包括經常進行經濟活動的合伙企業或協會;

(19)“企業集團”的含義是控股企業和被控股企業;

(20)“有約束力的公司規則”指的是在某成員國內設立的控制者或處理者,為了在企業集團內部或進行聯合經濟活動的經濟主體內部將個人數據轉移或多次轉移給位于第三國或多個第三國的控制者或處理者,所遵循的個人數據保護政策。

(21)“監管機構”指的是成員國根據第51條而設立的獨立性公共機構。

(22)“相關監管機構”指的是基于如下原因而和個人數據處理相關的監管機構:

(a)控制者或處理者是在某監管機構所在的成員國的境內所設立的;

(b)數據處理對居住在某監管機構所在地成員國的數據主體具有實質性影響;或者

(c)該監管機構已經收到一項申訴;

(23)“跨境處理”指的是:

(a)個人數據處理發生在一個控制者或處理者在多個成員國所設立的多個營業機構內;或者

(b)個人數據處理是在歐盟內的控制者或處理者的單一營業機構內進行的,但其對不止一國的數據主體具有實質性影響。

(24)“相關和合理的異議”指的是對是否存在違反本條例的情形,或者某項和控制者或處理者相關的初步設想是否符合本條例的異議——已有證據表明,這種初步設想的決定會對數據主體的基本權利和自由,以及在某些情形下對歐盟的個人數據的自由流通會帶來風險。

(25)“信息社會服務”指的是歐洲議會和歐盟理事會的(EU) 2015/1535指令在第1(1)條(b)點所定義的服務。

(26)“國際組織”指的是依照國際公法、或根據兩個或多個國家協議所設立的組織及其下屬機構。

1.本例適用于在歐盟內部設立的數據控制者或處理者對個人數據的處理,不論其實際數據處理行為是否在歐盟內進行。

2.本條例適用于如下相關活動中的個人數據處理,即使數據控制者或處理者不在歐盟設立:

(a)為歐盟內的數據主體提供商品或服務——不論此項商品或服務是否要求數據主體支付對價;或

(b)對發生在歐洲范圍內的數據主體的活動進行監控。

3.本條例適用于在歐盟之外設立,但基于國際公法成員國的法律對其有管轄權的數據控制者的個人數據處理。

第二章  原則

第5條 個人數據處理原則

1.對于個人數據,應遵循下列規定:

(a)對涉及到數據主體的個人數據,應當以合法的、合理的和透明的方式來進行處理(“合法性、合理性和透明性”);

(b)個人數據的收集應當具有具體的、清晰的和正當的目的,對個人數據的處理不應當違反初始目的。根據第89(1)條,因為公共利益、科學或歷史研究或統計目的而進一步處理數據,不視為違反初始目的(“目的限制”);

(c)個人數據的處理應當是為了實現數據處理目的而適當的、相關的和必要的(“數據最小化”);

(d)個人數據應當是準確的,如有必要,必須及時更新;必須采取合理措施確保不準確的個人數據,即違反初始目的的個人數據,及時得到擦除或更正(“準確性”);

(e)對于能夠識別數據主體的個人數據,其儲存時間不得超過實現其處理目的所必需的時間;超過此期限的數據處理只有在如下情況下才能被允許:為了實現公共利益、科學或歷史研究目的或統計目的,為了保障數據主體的權利和自由,并采取了本條例第89(1)條所規定的合理技術與組織措施。(“限期儲存”);

(f) 處理過程中應確保個人數據的安全,采取合理的技術手段、組織措施,避免數據未經授權即被處理或遭到非法處理,避免數據發生意外毀損或滅失(“數據的完整性與保密性”)。

2.控制者有責任遵守以上第1段,并且有責任對此提供證明。(“可問責性”)。

第6條 處理的合法性

1.只有滿足至少如下一項條件時,處理才是合法的,且處理的合法性只限于滿足條件內的處理:

(a)數據主體已經同意基于一項或多項目的而對其個人數據進行處理;

(b)處理對于完成某項數據主體所參與的契約是必要的,或者在簽訂契約前基于數據主體的請求而進行的處理;

(c) 處理是控制商履行其法定義務所必需的;

(d)處理對于保護數據主體或另一個自然人的核心利益所必要的;

(e)處理是數據控制者為了公共利益或基于官方權威而履行某項任務而進行的;

(f)處理對于控制者或第三方所追求的正當利益是必要的,這不包括需要通過個人數據保護以實現數據主體的優先性利益或基本權利與自由,特別是兒童的優先性利益或基本權利與自由。

第1段(f)點不適用公共機構在履行其任務時的處理。

2.對于第1段(c)和(e)所規定的處理,成員國可以維持或新制定更多具體條款,以適應本條例規則的適用,成員國為了確保合法與合理處理,可以制定更為明確的規定,包括第9章所規定的其他特定的處理情形。

3.第1段(c)和(e)所規定的處理的基準應當通過如下法律進行規定:

(a)歐盟法;或者

(b)控制者所屬的成員國的法律。

處理的目的應當在此法律基準上進行確定,而對于第1段(e)所規定的處理,處理的目的應當是控制者為了公共利益或基于官方權威而履行某項任務。此法律基準可以包含如下特定條款,以適應對本條例規則的適用:對控制者處理的合法性進行監控的一般條件;可以被處理的數據類型;相關數據主體;個人數據公開的目的,以及其可能被公開給的對象;目的限定;儲存期限;包括第9章所規定的其他特定的處理情形在內的處理操作和處理程序。歐盟或成員國的法律應當滿足公共利益的目標,且應當與實現正當目的成比例。

4.若處理是出于收集個人數據以外的其他目的,如果該目的未經數據主體同意或并非是基于聯盟或成員國的法律(在一個民主社會中,若要實現第23(1)條中的目的,法律是必要且合適的),那么為確保該目的與初始目相容,控制商應當考慮以下因素,但不限于以下因素:

(a)個人數據收集時的目的與計劃進一步處理的目的之間的所有關聯性;

(b)個人數據收集時的語境,特別是數據主體與控制者之間的關系;

(c)個人數據的性質,特別是某些特定類型的個人數據是否符合第9條的規定,或者與刑事定罪和刑事違法相關的個人數據是否符合第10條的規定;

(d) 數據主體計劃進一步處理可能造成的結果;

(e)是否具有加密與匿名化措施等恰當保護措施;

第7條 同意的條件

1.當處理是建立在同意基礎上的,控制者需要能證明,數據主體已經同意對其個人數據進行處理。

2.如果數據主體的同意是在涉及到其他事項的書面聲明的情形下作出的,請求獲得同意應當完全區別于其他事項,并且應當以一種容易理解的形式,使用清晰和平白的語言。任何違反本條例的聲明都不具有約束力。

3.數據主體應當有權隨時撤回其同意。在撤回之前,對于基于同意的處理,其合法性不受影響。在數據主體表達同意之前,數據主體應當被告知這點。撤回同意應當和表達同意一樣簡單。

4.分析同意是否是自由做出的,應當最大限度地考慮一點是:對契約的履行——包括履行條款所規定的服務——是否要求同意履行契約所不必要的個人數據處理。

第8條 信息社會服務中適用兒童同意的條件

1.在第6(1)條(a)適用的情形下,對于為兒童直接提供信息社會服務的請求,當兒童年滿16周歲,對兒童個人數據的處理是合法的。當兒童不滿16周歲,只有當對兒童具有父母監護責任的主體同意或授權,此類處理才是合法的。

2.對于年滿13周歲的情形,成員國的法律可以降低年齡要求。

3.控制者應當采取合理的努力,結合技術可行性,確保此類情形中對兒童具有父母監護責任的主體已經授權或同意。

第1段不應影響成員國的一般合同法,例如關于兒童的合同有效性、形成與效力的規則。

第9條 對特殊類型個人數據的處理

1.對于那些顯示種族或民族背景、政治觀念、宗教或哲學信仰或工會成員的個人數據、基因數據、為了特定識別自然人的生物性識別數據、以及和自然人健康、個人性生活或性取向相關的數據,應當禁止處理。

2.如果具有如下條件之一,第1段將不適用:

(a)數據主體明確同意基于一個或多個特定目的而授權處理其個人數據,但依照歐盟或成員國的法律規定,數據主體無權解除第1段中所規定的禁令的除外;

(b)處理對于控制者履行責任以及行使其特定權利是必要的,或者對于在雇傭、社會安全與社會保障法領域采取符合歐盟或成員國法律或集體協議的措施以保護數據主體的根本權利和利益是必要的;

(c)數據主體因為身體原因或法律原因而無法表達同意,但處理對于保護數據主體或另一自然人的核心利益卻是必要的;

(d)基金、協會或其它具有政治、哲學、宗教或工會目的的非盈利機構的正當性活動中所進行的處理,并且已經采取了恰當的保護措施;或者處理目的僅僅和機構成員、之前成員或具有經常聯系的人相關,并且個人數據在未經數據主體同意前不對實體外的人公開;

(e)對數據主體已經明顯公開的相關個人數據的處理;

(f)當處理對于提起、行使或辯護法律性主張必要時,或者法院在其所有的司法活動中所進行的處理;

(g)處理對實現實質性的公共利益必要的,建立在歐盟或成員國的法律基準之上、對實現目標是相稱的,尊重數據保護權的核心要素,并且為數據主體的基本權利和利益提供合適和特定的保護措施;

(h)處理對于預防性醫學或臨床醫學目的是必要的,或者對于評估雇員的工作能力、醫療診斷、提供——基于歐盟或成員國法律,或遵循和健康職業機構簽訂的契約并遵循第3段所規定的情形與保障措施——健康或社會保健或治療或管理健康或社會保健體系是必要的;

(i)在公共健康領域,處理是為了實現公共利益所必要的,例如,在歐盟或成員國內已經為保障數據主體的權利與自由而采取合適與特定措施的法律基礎上,處理對于預防嚴重的跨境健康威脅是必要的,或者為了保障醫療質量和安全、醫療產品或醫療設備的高質量和安全是必要的;或者

(j)處理對于實現符合第89(1)條公共利益、科學或歷史研究目的或統計目的是必要的,處理采取了與其期望目的所相稱的處理,尊重數據保護權的核心要素,并且對數據主體的基本權利與利益采取了合適與特定的措施。

3.根據歐盟或成員國的有權機構所制定的法律或規則而具有保守職業性秘密責任的職業主體,或者根據歐盟或成員國的有權機構所制定的法律或規則而具有保守秘密責任的自然人,可以為了第2段(h)點所規定的目的而處理第1段所規定的個人數據。

4.對于基因數據、生物性識別數據或健康相關數據的處理,成員國可以維持原有規定,或者作出新的規定,包括對處理基因數據、生物性識別數據或健康相關數據進行限定。

第10條 處理涉及犯罪定罪與違法的個人數據

處理和犯罪定罪與違法相關的個人數據,或處理第6(1)條規定的與安全措施相關的個人數據,只有如下情形才能被允許:當個人數據處理為官方機構控制,或者當歐盟或成員國的法律授權進行處理,并且采取了恰當的措施保障數據主體的權利與自由。任何犯罪定罪的全面性登記只能由官方機構進行。

第11條 不需要識別的處理

1.如果控制者處理個人數據的目的不需要或不再需要控制者對數據主體進行識別,控制者就不再具有為了遵循本條例而維持、獲取或處理額外信息以識別數據主體的責任。

2.對于第1段所規定的情形,如果控制者能夠證明其不適合識別數據主體,如有可能,數據控制者應當告知數據主體。在此類情形下,除非數據主體為了行使第15至20條所規定的權利,需要提供額外信息而使得對其識別變得可能,第15至20條將不應適用。

第三章  數據主體的權利

第一部分 透明性與模式

第12條 信息、交流與模式的透明性——保證數據主體權利的行使

1.對于和個人信息處理相關的第13和第14條規定的所有信息、或者第15條至22條以及34條所規定的所有交流,控制者應當以一種簡潔、透明、易懂和容易獲取的形式,以清晰和平白的語言來提供;對于針對兒童的所有信息,尤其應當如此。信息應當以書面形式或其他形式提供,包括在合適的情況下通過電子方式提供。若數據主體的身份可通過其他途徑得到證實,那么控制者可依主體申請以口頭方式提供相關信息。

2.控制者應當對數據主體行使第15至22條的權利而提供幫助。對于第11(2)條所規定的情形,當數據主體請求其行使第15至22條的權利,控制者不應拒絕,除非控制者能夠證明其并不適宜識別數據主體。

3.在數據主體根據第15至22條的規定提出請求后,控制者應當提供信息,不應無故拖延,在任何情形下應當在收到請求后一個月內提供信息。在必要的情形下,考慮到請求的復雜性和多樣性,這個期限可以再延長兩個月。如果有此類延長,控制者應當在收到請求的一個月內將此類延長以及延長原因告知數據主體。當數據主體以電子形式做出請求,在可行的情況下,對信息的提供也應當以電子形式提供,除非數據主體有不同請求。

4.如果控制者沒有采取相應的行動對數據主體的請求做出回應,那么應當及時告知該數據主體其在收到請求后一個月內未能采取行動的具體原因,同時可向監管機構提出申訴,尋求司法救濟。

5.第13和第14條所規定的信息以及第15至22條和34條所規定的所有交流與行為都應當是免費的。當數據主體的請求明顯不具備正當理由或超過必要限度,特別是當請求是重復性的時候,控制者可以:

(a)結合提供信息、交流或相應行動的行政花費,收取一定的合理費用;或者

(b)拒絕對請求作出行動。

控制者有責任證明數據主體的請求明顯是毫無根據的或過分的。

6.在不影響第11條的前提下,控制者可以對第15至21條中提出要求的自然人的身份有合理懷疑,要求數據主體提供必要的額外信息以確認數據主體的身份。

7.根據第13條和14條提供給數據主體的信息可以和標準化的圖標一起提供,以便于數據主體以一種一目了然的、易懂的和清晰的方式對計劃的數據處理有全盤理解。當圖標以電子化的方式提供,它們必須是機器可讀的。

8.對于確定圖標所提供的信息以及提供標準化圖標的程序,歐盟理事會將有權根據第92條制定授權行動。

第二部分 信息與對個人數據的訪問

第13條 收集數據主體個人數據時應當提供的信息

1.當收集和數據主體相關的個人數據時,控制者應當為數據主體提供如下信息:

(a)控制者的身份與詳細聯系方式,以及如果適用的話,控制者的代表;

(b)數據保護官的詳細聯系方式,如果適用的話;

(c)處理將要涉及到的個人數據的目的,以及處理的法律基礎;

(d)當處理是基于(f)點或第6(1)條的時候,控制者或第三方的正當利益;

(e)個人數據的接收者或者接收者的類型,如果有的話;

(f)如果適用的話,控制者期望將數據轉移到第三國或國際組織的事實、歐盟委員會作出或未作出充分決定的事實,或者,在第46或47條或者第49(1)條的第二小段所規定的轉移情形中,所采取的適當保障措施的參考資料、獲取它們備份的方式,或者在那里可以獲取它們。

2.除了第1段所規定的信息,控制者應當在獲取個人數據時為數據主體提供確保合理與透明處理所必要的進一步信息:

(a)個人數據將被儲存的期限,以及確定此期限的標準;

(b)數據主體所擁有的權利:可以要求控制者提供對個人數據的訪問、更正或擦除,或者限制或反對相關處理的權利;數據攜帶權;

(c)當處理是根據第6(1)條或第9(2)條的(a)點而進行的,數據主體擁有可以隨時撤回——這種撤回不會影響撤回之前根據同意而進行處理的合法性——同意的權利;

(d)向監管機構進行申訴的權利;

(e)提供個人數據是一項制定法還是合同法的要求,是否對于締結一項契約是必要的,數據主體是否有責任提供個人數據,以及沒有提供此類數據會造成的可能后果。

(f)存在自動化的決策,包括第22(1)和(4)條所規定的用戶畫像,以及在此類情形下,對于相關邏輯、包括此類處理對于數據主體的預期后果的有效信息。

3.若控制者進一步處理個人信息的目的與收集個人信息的目的不一致,那么,控制者應當在進一步處理之前向數據主體提供此類目的的信息,以及提供第2段所規定的相關進一步信息。

4.在數據主體已經擁有信息的情況下,第1,2,3段不應當適用。

第14條 未獲得數據主體個人數據的情形下,應當提供的信息

1.當個人數據還沒有從數據主體那里收集,控制者應當向數據主體提供如下信息:

(a)控制者的身份與詳細聯系方式,以及如果適用的話,控制者的代表;

(b)如果適用的話,數據保護官的詳細聯系方式;

(c)處理將要涉及到的個人數據的目的,以及處理的法律基礎;

(d)相關個人數據的類型;

(e)個人數據的接收者或者接收者的類型,如果有的話;

(f)如果適用的話,控制者期望將數據轉移到第三國或國際組織、歐盟委員會作出或未作出的充足保護的認定,或者,在第46或47條或者第49(1)條的第二小段所規定的轉移情形中,所采取的適當保障措施的參考資料、獲取它們備份的方式,或者在那里可以獲取它們。

2.除了第1段所規定的信息,控制者應當向數據主體提供如下確保涉及到數據主體的處理是合理與透明的必要信息:

(a)個人數據將被儲存的期限,或者如果不可能的話,用來確定此期限的標準;

(b)當處理是根據第6(1)條(f)點而進行的,控制者或第三方所追求的正當利益;

(c)數據主體存在如下權利,可以要求控制者提供對個人數據的訪問、更正或擦除,或者限制或反對相關處理,數據攜帶權;

(d)當處理是根據第6(1)條或第9(2)條的(a)點而進行的,數據主體擁有可以隨時撤回——這種撤回不會影響撤回之前根據同意而進行處理的合法性——同意的權利;

(e)向監管機構進行申訴的權利;

(f)個人數據的來源,以及如果適用的話,其來源是否可以是公開性的資源;

(g)存在自動化的決策,包括第22(1)和(4)條所規定的用戶畫像,以及在此類情形下,對于相關邏輯、包括此類處理對于數據主體的預期后果的有效信息。

3.控制者應當按如下方式提供第1段和第2段所規定的信息:

(a)應當在獲得個人數據后的一段合理期限內提供信息,如果考慮到個人數據處理的特定情形,應當至少在一個月以內;

(b)如果個人數據是被用來和數據主體進行溝通的,最晚應當在其和數據主體進行第一次溝通時提供信息;

(c)如果個人數據將被計劃披露給另一個接收者,那么最晚應當在個人數據被第一次披露時提供信息。

4.當控制者因為與收集個人信息時不一致的目的進一步處理個人信息,控制者應當在進一步處理之前向數據主體提供此類目的的信息,以及提供第2段所規定的相關進一步信息。

5.在如下情形中,第1至4段不適用:

(a)數據主體已經擁有信息;

(b)此類信息的提供是不可能的,或者說需要付出某種不相稱的工作,在如下情形中尤其不適用:為了實現公共利益、科學或歷史研究目的或統計目的,為了保障數據主體的權利和自由,并采取了本條例第89(1)條所規定的合理技術與組織措施;或者本條第1段所規定的責任會嚴重妨礙實現處理的目標。在此類情形中,控制者應當采取恰當的措施保護數據主體的權利與自由與正當利益,包括使得信息可以公開獲取;

(c)歐盟或成員國為控制者特別制定了獲取或公開信息的法律,并且已經對保護數據主體的正當利益制定了恰當的措施;

(d)當個人數據必須保密,必須遵守歐盟或成員國法律所規定的職業秘密責任,包括制定法上的保守秘密責任。

第15條 數據主體的訪問權

1.數據主體應當有權從控制者那里得知,關于其的個人數據是否正在被處理,如果正在被處理的話,其應當有權訪問個人數據和獲知如下信息:

(a)處理的目的;

(b)相關個人數據的類型;

(c)個人數據已經被或將被披露給接收者或接收者的類型,特別是當接收者屬于第三國或國際組織時;

(d)在可能的情形下,個人數據將被儲存的預期期限,或者如果不可能的話,確定此期限的標準;

(e)數據主體要求控制者糾正或擦除個人數據、限制或反對對數據主體相關的個人數據進行處理的權利;

(f)向監管機構進行申訴的權利;

(g)當個人數據不是從數據主體那里收集的,關于來源的任何信息;

(h)存在自動化的決策,包括第22(1)和(4)條所規定的數據分析,以及在此類情形下,對于相關邏輯、包括此類處理對于數據主體的預期后果的有效信息。

2.當個人數據被轉移到第三國或一個國際組織,數據主體應當有權獲知和轉移相關的符合第46條的恰當的保障措施。

3.控制者應當對進行處理的個人數據提供一份備份。對于任何數據主體所要求的額外備份,控制者可以根據管理花費而收取合理的費用。當數據主體通過電子方式而請求,且除非數據主體有其他請求,信息應當以通常使用的電子形式提供。

4.獲取第三段中所規定的備份的權利不應當對他人的權利與自由產生負面影響。

第三部分 更正與擦除

第16條 更正權

數據主體應當有權從控制者那里及時得知對與其相關的不正確信息的更正。在考慮處理目的的前提下,數據主體應當有權完善不充分的個人數據,包括通過提供額外聲明的方式來進行完善。

第17條 擦除權(“被遺忘權”)

1.數據主體有權要求控制者擦除關于其個人數據的權利,當具有如下情形之一時,控制者有責任及時擦除個人數據:

(a)個人數據對于實現其被收集或處理的相關目的不再必要;

(b)處理是根據第6(1)條(a)點,或者第9(2)條(a)點而進行的,并且沒有處理的其他法律根據,數據主體撤回在此類處理中的同意;

(c)數據主體反對根據第21(1)條進行的處理,并且沒有壓倒性的正當理由可以進行處理,或者數據主體反對根據第21(2)條進行的處理;

(d)已經存在非法的個人數據處理;

(e)為了履行歐盟或成員國法律為控制者所設定的法律責任,個人數據需要被擦除;

(f)已經收集了第8(1)條所規定的和提供信息社會服務相關的個人人數據。

2.當控制者已經公開個人數據,并且負有第1段所規定的擦除個人數據的責任,控制者應當考慮可行技術與執行成本,采取包括技術措施在內的合理措施告知正在處理個人數據的控制者們,數據主體已經要求他們擦除那些和個人數據相關的鏈接、備份或復制。

3.當處理對于如下目的是必要的,第1和第2段將不適用:

(a)為了行使表達自由和信息自由的權利;

(b)控制者執行或者為了執行基于公共利益的某項任務,或者基于被授予的官方權威而履行某項任務,歐盟或成員國的法律要求進行處理,以便履行其法律職責;

(c)為了實現公共健康領域符合第9(2)條(h)和(i)點以及第9(3)條的公共利益而進行的處理;

(d)如果第1段所提到權利會受嚴重影響,或者會徹底阻礙實現第89(1)條的公共利益目的、科學或歷史研究目的或統計目的;或者

(e)為了提起、行使或辯護法律性主張。

第18條 限制處理權

1.當存在如下情形之一時,數據主體有權要求控制者對處理進行限制:

(a)數據主體對個人數據的準確性有爭議,并給與控制者以一定的期限以核實個人數據的準確性;

(b)處理是非法的,并且數據主體反對擦除個人數據,要求對使用其個人數據進行限制;

(c)控制者不再需要個人數據以實現其處理的目的,但數據主體為了提起、行使或辯護法律性主張而需要該個人數據;

(d)數據主體根據第21(1)條的規定而反對處理,因其需要確定控制者的正當理由是否優先于數據主體的正當理由。

2.當處理受第1段的規定所限制,除了儲存的情形,此類個人數據只有在如下情形中才能進行處理:獲取了數據主體的同意,或者為了提起、行使或辯護法律性主張,或者為了保護另一個自然人或法人的權利,或者為了歐盟或某個成員國的重要公共利益。

3.那些根據第1段規定已經獲取了對處理進行限制的數據主體,在限制被解除前,控制者應當告知數據主體。

第19條 關于更正或擦除或限制處理中的通知責任

對于所有根據第16、17(1)、18條而限制或擦除個人數據,或限制處理個人數據,控制者都應當將其告知個人數據已經被披露給的每個接收者——除非此類告知是不可能的,或者需要付出不相稱的工作。如果數據主體提出要求,控制者應當將關于接收者的情形告知數據主體。

第20條 數據攜帶權

1.當存在如下情形時,數據主體有權獲得其提供給控制者的相關個人數據,且其獲得個人數據應當是經過整理的、普遍使用的和機器可讀的,數據主體有權無障礙地將此類數據從其提供給的控制者那里傳輸給給另一個控制者:

(a)處理是建立在第6(1)條(a)點或9(2)條(a)點所規定的同意,或者6(1)條所規定的合同的基礎上的;

(b)處理是通過自動化方式的。

2.在行使第1段所規定的攜帶權時,如果技術可行,數據主體應當有權將個人數據直接從一個控制者傳輸到另一個控制者。

3.行使第1段所規定的權利,不能影響第17條的規定。對于控制者為了公共利益,或者為了行使其被授權的官方權威而進行的必要處理,這種權利不適用。

4.第1段所規定的權利不能對他人的權利或自由產生負面影響。

第四部分 反對的權利和自動化的個人決策

第21條 反對權

1.對于根據第6(1)條(e)或(f)點而進行的關乎數據主體的數據處理,包括根據這些條款而進行的用戶畫像,數據主體應當有權隨時反對。此時,控制者須立即停止針對這部分個人數據的處理行為,除非控制者證明,相比數據主體的利益、權利和自由,具有壓倒性的正當理由需要進行處理,或者處理是為了提起、行使或辯護法律性主張。

2.當因為直接營銷目的而處理個人數據,數據主體有權隨時反對為了此類營銷而處理相關個人數據,包括反對和此類直接營銷相關的用戶畫像。

3.當數據主體反對為了直接營銷目的而處理,將不能為了此類目的而處理個人數據。

4.至晚在和數據主體所進行的第一次溝通中,第1段和第2段所規定的權利應當讓數據主體明確知曉,且應當與其他信息區分開來,清晰地告知數據主體。

5.在適用信息社會服務的語境中,盡管存在2002/58/EC指令的規定,數據主體仍可以使用技術性條件、通過自動化方式行使反對權。

6.當個人數據是為了第89(1)條所規定的科學目的或歷史研究目的或統計目的,數據主體基于其特定情形應當有權反對對關乎其的個人數據進行處理,除非處理對于實現公共利益的某項任務是必要的。

第22條 自動化的個人決策,包括用戶畫像

1.數據主體有權反對此類決策:完全依靠自動化處理——包括用戶畫像——對對數據主體做出具有法律影響或類似嚴重影響的決策。

2.當決策存在如下情形時,第1段不適用:

(a)當決策對于數據主體與數據控制者的合同簽訂或合同履行是必要的;

(b)當決策是歐盟或成員國的法律所授權的,控制者是決策的主體,并且已經制定了恰當的措施保證數據主體的權利、自由與正當利益;或者

(c)當決策建立在數據主體的明確同意基礎之上。

3.在第2段所規定的(a)和(c)點的情形中,數據控制者應當采取適當措施保障數據主體的權利、自由、正當利益,以及數據主體對控制者進行人工干涉,以便表達其觀點和對決策進行異議的基本權利。

4.第2段所規定的決策的基礎不適用于第9(1)條所規定的特定類型的個人數據,除非符合第9(2)條(a)點或(g)點的規定,并且已經采取了保護數據主體權利、自由與正當利益的措施。

第五部分限制

第23條 限制

1.若控制者或處理者受歐盟法律或某成員國法律的調整,那么歐盟法律或該成員國法律可以通過立法手段限制第12至22條、34條以及第5條所賦予的責任范圍與權利范圍,只要其法律條款和第12至22條所賦予的責任與權利相對應。如果此類限制尊重基本權利與自由的核心要素,并且此類限制是實現如下民主社會中的目的所必要和成比例的措施,那么此類限制應當被允許:

(a)國家安全;

(b)國防;

(c)公共安全;

(d)預防、調查、偵查、起訴刑事違法進行或者執行刑法,包括保障公共安全和預防對公共安全的威脅;

(e)其他些歐盟或某個成員國的重要一般公共利益,特別是歐盟或某個成員國的經濟或金融利益,包括財政、預算、稅收事項、公共健康和社會安全;

(f)司法獨立和司法訴訟的保護;

(g)為了規制性職業而預防、調查、保護和起訴違反倫理的行為;

(h)和行使(a)(b)(c)(d)(e)(g)點中所規定的官方權威相聯系的某項監控、調查或規制功能;

(i)保護數據主體或其他人的權利和自由;

(j)實施民事法律主張。

2.需要特別注意的是,至少在涉及到如下情形時,任何第1段所規定的立法措施都應當包含特定條款,規定:

(a)處理的目的或處理的類型;

(b)個人數據的類型;

(c)施加限制的范圍;

(d)防止濫用或非法性訪問或轉移的措施;

(e)控制者的具體情況或控制者類型的具體情況;

(f)在考慮了處理的性質、范圍和目的或處理類型之后所制定的儲存期限和可適用的保障措施;

(g)數據主體的權利和自由所面臨的風險;以及

(h)數據主體獲知限制的權利,除非這種權利可能影響實現限制的目的。

第四章  控制者和處理者

第一部分 一般性責任

第24條 控制者的責任

1.在考慮了處理的性質、范圍、語境與目的,以及考慮了處理對自然人權利與自由所帶來的不同概率和程度的風險后,控制者應當采取恰當的技術與組織措施,保證處理符合本條例規定的,并且能夠證明處理符合本條例規定。必要時,這些措施應當被審查。

2.第1段所規定的措施,當和處理活動成比例時,應當包括控制者所采用的合適的數據保護政策。

3.遵守第40條所規定的已生效的行為準則,或遵守第42條規定的已生效的認證機制,這可以被用以證明控制者責任的合規性。

第25條 通過設計的數據保護和默認的數據保護

1.在考慮了最新水平、實施成本、處理的性質、處理的范圍、處理的語境與目的,以及處理給自然人權利與自由帶來的傷害可能性與嚴重性之后,控制者應當在決定處理方式時和決定處理時,應當采取合適的技術與組織措施,并且在處理中整合必要的保障措施,以便符合本條例的要求和保護數據主體的權利。例如,控制者可以采取匿名化,一種設計用來實施數據保護原則——比如數據最小化原則——的措施。

2.控制者有責任采取適當的技術與組織措施,以保障在默認情況下,只有某個特定處理目的所必要的個人數據被處理。這種責任適用于收集的個人數據的數量、處理的限度,儲存的期限以及可訪問性。尤其需要注意的是,此類措施必須確保,在默認情況下,如果沒有個體介入,個人數據不能為不特定數量的自然人所訪問。

3.根據第42條的某種已生效的認證機制,可以被用來證明本條第1段和第2段所規定的合規要求。

第26條 共同控制者

1.當兩個或更多控制者聯合確定處理的目的與方法,它們就是共同控制者。它們應當以一種透明的方式確定遵守本條例責任的相應責任,尤其當其涉及到行使數據主體個人權利,以及涉及控制者為數據主體——根據他們的合約安排——提供第13條和第14條所規定的信息的相應責任,除非歐盟或成員國的法律已經對對控制者施加了相應責任。

2.第1段所規定的合約安排應當恰當地反映相對于數據主體的共同控制者的相應角色和相互關系。數據主體應當可以知曉安排的實質。

3.不論第1段所規定的合約安排的條款如何,數據主體都可以向任一控制者主張其本條例所賦予的權利。

第27條 不在歐盟所設立的控制者或處理者的代表

1.在第3(2)條適用的情形下,控制者或處理者應當以書面形式在歐盟委任一名代表。

2.此項責任不應當適用于:

(a)除了第9(1)條所規定的特定類型數據的大規模處理,或者第10條所規定的和刑事定罪或違法相關的個人數據處理之外的偶爾性處理,以及考慮到處理的性質、語境、范圍和目的,不太可能對自然人的權利與自由帶來風險的處理;或者

(b)公共機構或實體。

3.為數據主體提供相關商品或服務,或者監控數據主體的行為,數據主體的所在國之一應當設立代表。

4.為了確保對本條例的遵守,對于所有涉及到處理的事項,控制者或處理者應當做出強制性規定,確保其代表能在控制者或處理者之外收到信息,或者替代控制者或處理者收到信息,對于監管機構和數據主體所要求的事項尤其如此。

5.控制者或處理者委任代表,不能影響控制者或處理者進行的法律行動。

第28條 處理者

1.處理者代表控制者進行處理,控制者只能選用有充分保證的、可采取合適技術與組織措施的、其處理方式符合本條例要求并且保障數據主體權利的處理者。

2.如果沒有控制者之前的特別授權或一般書面授權,處理者不應聘用另一個處理者。在具有一般書面授權的情形下,對于涉及到補充或替換其他處理者的變動,處理者都應當告知控制者,以便使控制者有機會反對此類變化。

3.處理者的處理應當受某類合同或其他歐盟法與成員國法的約束,這類合同或法律應當規定處理者相對于控制者的責任、主體事項、處理期限、處理性質與目的、個人數據的類型、數據主體的類型以及控制者的責任與權利的。此類合同或法律尤其應當對如下情形做出規定:

(a)只有在收到控制者的書面指示時才可以處理個人數據,在涉及到將個人數據轉移到第三國或某個國際組織的事項中亦是如此,除非歐盟法或成員國法對處理者有要求;在這種情形下,處理者應當在處理之前將法律要求告知控制者,除非告知會影響重要的公共利益;

(b)對于被授權處理個人數據的人,確保其履行保密義務或法律上的適當保密責任;

(c)采取第32條所要求的所有措施;

(d)尊重第2段和第4段規定的聘用另一個處理者的條件;

(e)結合處理的性質,在可能的情形下,通過合適的技術與組織手段幫助控制者履行其責任,以便使得數據主體能夠行使其第三章所規定的權利;

(f)結合處理的性質和處理者所能得到的信息,幫助控制者履行第32至36條所規定的責任;

(g)基于控制者的選擇,在提供和處理相關的服務結束后,將個人數據刪除或返還給控制者,并且刪除已有備份,除非歐盟或成員國的法律要求儲存個人數據;

(h)給控制者提供所有能夠證明其已經遵循本條款規定責任的信息,以及有利于控制者或控制者委任的審計員進行審計和核查的信息。

關于第1段(h)點,如果處理者認為某項指示違反了本條例或其它歐盟或成員國的數據保護條款,其應當立即告知控制者。

4.當處理者代表控制者為了進行特定的處理活動而應聘另一處理者,第3段所規定的控制者和處理者之間的合同或其它法律條款所規定的數據保護責任應當通過合同或歐盟或成員國的法律條款而同等適用于另一處理者,尤其是應當采取充分的保障措施、恰當的技術與組織手段以滿足本條例的要求。當另一個處理者無法完成其數據保護職責時,對其責任,處理者應當完全負擔。

5.處理者遵守第40條所規定的已生效的行為準則,或者遵守第42條所規定的已生效的驗證機制,這可以被作為證據之一,證明處理者已經采取了本條款第1段和第4段所規定的充分保障。

6.在不影響控制者和處理者之間的單獨合同的前提下,第3段和第4段所規定的合同或法律條款可以全部或部分運用本條第7段和第8段所規定的格式合同條款,包括它們何時屬于根據第42條和第43條規定的賦予給控制者或處理者的驗證機制。

7.歐盟委員會可以對于本條第3段和第4段所規定的事項,根據第93(2)條所規定的檢查程序而制定格式合同條款。

8.監管機構可以對本條第3段和第4段所規定的事項,根據第63條所規定的一致性機制而制定格式合同條款。

9.第3段和第4段所規定的合同或法律條款必須是書面的,包括以電子形式做出的書面記錄。

10.在不影響第82、83、84條的情形下,如果某個處理者因為確定處理目的與方法方而違反了本條例,處理者應當在此次處理中被視為控制者。

第29條 代表控制者或處理者進行的處理

對個人數據有訪問權的處理者或控制者、處理者的代表人,未經控制者允許,不得處理該個人數據。歐盟法律或成員國法律另有規定的除外。

第30條 處理活動的記錄

1.每個控制者——以及如果有的話——每個控制者的代表,都應當保持其所負責的處理活動的記錄。這種記錄應當包含所有如下信息:

(a)控制者以及——如果有的話——共同控制者、控制者的代表、數據保護官的姓名、詳細聯系方式;

(b)處理的目的;

(c)對數據主體的類型以及個人數據的類型的描述;

(d)個人數據已經被披露或將被披露給的接收者——包括位于第三國或國際組織的接收者——的類型;

(e)如果適用的話,將個人數據轉移到第三國或國際組織的記錄,包括識別此第三國或國際組織的記錄,以及在第49(1)條第二分段所提到轉移的情形中,對適當保障措施的記錄;

(f)如果適用的話,擦除不同種數據類型的預計期限;

(g)如果適用的話,對第32(1)條所規定的技術性與組織性安全措施的一般性描述。

2.每個處理者以及——如果適用的話——處理者的代表對于以控制者名義進行的處理都應當保持保存一份記錄,包含如下信息:

(a)處理者或處理者們的名字和詳細聯系方式、處理者所代表的每個控制者以及——如果有的話——控制者或處理者的代表、數據保護官;

(b)代表每個控制者進行處理的類型;

(c)如果適用的話,將個人數據轉移到第三國或國際組織的記錄,包括識別此第三國或國際組織的記錄,以及在第49(1)條第二分段所提到轉移的情形中,對適當保障措施的記錄;

(d)如果有的話,對第32(1)條所規定的技術性和組織性安全措施的一般性描述。

3.第1段和第2段所規定的記錄應當是書面的,包括以電子形式作出的書面記錄。

4.基于監管機構的要求,控制者或處理者以及——在有的情況下——控制者或處理者的代表,應當提供可獲取的記錄。

5.第1和第2段所規定的責任不適用于雇員少于250人的經濟主體或組織,除非其進行的處理不是偶爾性的,而且可能會對數據主體的權利與自由帶來風險,或者其處理包含了第9(1)條規定的特定種類的數據或第10條規定的和刑事犯罪和違法相關的個人數據。

第31條 和監管機構的合作

在監管機構的要求下,控制者和處理者以及——在適用的情況下——它們的代表應當配合監管機構的工作。

第二部分 個人數據的安全

第32條 處理的安全

1.在考慮了最新水平、實施成本、處理的性質、處理的范圍、處理的語境與目的之后,以及處理給自然人權利與自由帶來的傷害可能性與嚴重性之后,控制者和處理者應當采取包括但不限于如下的適當技術與組織措施,以便保證和風險相稱的安全水平:

(a)個人數據的匿名化和加密;

(b)保持處理系統與服務的保密性、公正性、有效性以及重新恢復的能力;

(c)在遭受物理性或技術性事件的情形中,有能力恢復對個人數據的獲取與訪問;

(d)具有為保證處理安全而常規性地測試、評估與評價技術性與組織性手段有效性的流程。

2.在評估合適的安全級別的時候,應當特別考慮處理所帶來的風險,特別是在個人數據傳輸、儲存或處理過程中的的意外或非法銷毀、丟失、篡改、未經授權的披露或訪問。

3.遵守第40條所規定的已生效的行為準則,或者遵守第42條所規定的已生效的驗證機制,這可以被作為證據之一,證明已經遵守了本條款第1段的要求。

4.控制者和處理者應當采取措施確保,除非接到控制者的指示,任何有權訪問個人數據的處理者或任何代表控制者和處理者的自然人都不會進行處理,除非歐盟或成員國法律要求進行處理。

第33條 向監管機構報告對個人數據的泄露

1.在個人數據泄露的情形中,如果可行,控制者在知悉后應當及時——至遲在72小時內——將個人數據泄露告知第55條所規定的有權監管機構,除非個人數據泄露對于自然人的權利與自由不太可能會帶來風險。對于不能在72小時以內告知監管機構的情形,應當提供延遲告知的原因。

2.處理者在獲知個人數據泄露后,應當及時告知控制者。

3.第1段所規定的告知應當至少包括:

(a)描述個人數據泄露的性質,在可能的情形下,描述包括相關數據主體的類型和大致數量,以及涉及到個人數據的類型與大致數量;

(b)告知數據保護官的姓名與詳細聯系方式,或者可以獲取更多信息的其他聯系方式;

(c)描述個人數據泄露的可能后果;

(d)描述控制者應對個人數據泄露已經采用或計劃采用的措施,包括——如果合適的話——減少負面影響的措施。

4.在不可能同時提供信息的情形下,可以分階段地及時提供信息。

5.控制者應當記錄所有對個人數據的泄露,包括泄露個人數據相關的事實、影響與已經采取的救濟行動。參照該記錄,監管機構得以核實控制者是否遵守本條例的有關規定。

第34條 向數據主體傳達個人數據泄露

1.當個人數據泄露很可能給自然人的權利與自由帶來高風險時,控制者應當及時向數據主體傳達對個人數據泄露。

2.本條第1段所規定的向數據主體傳達,應當以清晰和平白的語言傳達個人數據泄露的性質,并且應當至少包括第33(3)條(b)(c)(d)點所提供的信息與建議。

3.當滿足如下情形之一時,不要求控制者告知數據主體其個人數據被泄露的信息:

(a)控制者已經采取合適的技術與組織保證措施,并且那些措施已經應用于那些被個人數據泄露所影響的個人數據,特別是已經應用那些使得未被授權訪問的個人無法辨識個人數據的措施,例如加密;

(b)控制者已經采取后續措施,保證第1段所規定的給數據主體的權利與自由帶來的高風險不再有實現的可能;

(c)告知將需要付出不相稱的努力。此時,應存在公告機制或類似措施來承擔控制者的告知義務,并且與控制者告知相比,這種措施的告知效果應當至少有相同效果。

4.如果控制者仍然沒有將個人數據泄露告知數據主體,監管機構在考慮了個人數據泄露所可能帶來的高風險可能性后,可以要求其告知,或者可以認為符合第3段所規定的情形。

第三部分 數據保護影響評估與提前咨詢

第35條 數據保護影響評估

1.當某種類型的處理——特別是適用新技術進行的處理——很可能會對自然人的權利與自由帶來高風險時,在考慮了處理的性質、范圍、語境與目的后,控制者應當在處理之前評估計劃的處理進程對個人數據保護的影響。若多項高風險處理活動屬于同一種類,那么此時僅對其中某一項活動進行評估即可。

2.如果控制者已經委任數據保護官,當其進行數據保護影響評估時,控制者應當向數據保護官進行咨詢。

3.在如下情形中,第1段所規定的數據保護影響評估是尤其必須的:

(a)對與自然人相關的個人因素進行系統性與全面性的評價,此類評價建立在自動化處理——包括用戶畫像——基礎上的,并且其決策對自然人產生法律影響或類似重大影響;

(b)以大規模處理的方式處理第9(1)條所規定的特定類型的數據,或者和第10條規定的定罪與違法相關的個人數據;或者

(c)以大規模的方式系統性地監控某個公眾可以訪問的空間。

4.監管機構應當建立并公開一個列表,列明符合第1段所要求的數據保護影響評估的處理操作的類型。監管機構應當將此類列表告知第68條所提到歐盟數據保護委員會。

5.監管機構還可以建立一個公開性的列表,列明符合不需要進行數據保護影響評估的處理操作的類型。監管機構應當將此類列表告知歐盟數據保護委員會。

6.在設置第4段與第5段所規定的列表之前,當此類列表涉及到為數據主體提供商品或服務,或者涉及到對多個成員國行為的監管,或者可能實質性地影響歐盟內部個人數據的自由流動,有職權的監管機構應當首先適用第63條所規定的一致性機制。

7.評估應當至少包括:

(a)對計劃的處理操作和處理目的的系統性描述,以及——如果適用的話——對控制者所追求的正當利益的描述;

(b)對和目的相關的處理操作的必要性與相稱性進行分析;

(c)對第1段所規定的給數據主體的權利與自由帶來的風險的評估;

(d)結合數據主體和其他相關個人的權利與正當利益,采取的計劃性風險應對措施,包括保障個人數據保護和證明遵循本條例的安全保障、安全措施和機制。

8.評估相關控制者或處理者的處理操作的影響時,特別是評估數據保護影響時,應當合理考慮其對第40條所規定的已生效的行為準則的遵守。

9.在合適的情形下,如果其不影響保護商業或公共利益或處理操作的安全性,控制者應當咨詢數據主體或數據主體代表對于其預期處理的觀點。

10.當基于第6(1)條(c)或(e)點而進行的處理符合歐盟或成員國為控制者制定涉及到處理操作的法律,并且在制定其法律基準時已經進行了作為一般性影響評估一部分的數據保護影響評估時,第1至7段不應當適用,除非成員國認為,有必要在處理活動前進行此類評估。

11.必要時,控制者應當進行核查,評估處理是否是符合數據保護影響評估,至少當處理操作所帶來的風險存在變化時,應進行核查。

第36條 提前咨詢

1.當第35條所規定的數據保護影響評估表明,如果控制者不采取措施,處理會帶來高風險,那么控制者應當在處理之前咨詢監管機構。

2.當監管機構認為,第1段所規定的預期的處理將違反本條例,特別是當控制者無法識別或減小風險,監管機構應當在收到咨詢請求的八個星期以內向控制者以及——在適用的情況下——處理者提供書面建議,并且可以使用第58條所規定的權力。考慮到預期處理的復雜性,這種期限可以延長六個星期。監管機構應當在收到咨詢請求的一個月內向控制者以及——在適用的情況下——處理者告知延期以及延期的原因。監管機構可以延長期限,直到其獲取了咨詢所要求的信息。

3.當咨詢第1段所規定的監管機構時,控制者應當向監管機構提供如下信息:

(a)在適用的情形下,涉及到處理——特別是當處理是在一群企業內部進行的——的控制者、共同控制者和處理者的相應責任;

(b)預期處理的目的與方法;

(c)為了保障數據主體權利與自由所采取的符合本條例的方法與措施;

(d)在適用的情形下,數據保護官的詳細聯系方式;

(e)第35條所規定的數據保護影響評估;以及

(f)監管機構要求的所有其它信息。

4.成員國在起草相關立法草案以獲得國會通過時,或者根據此類立法措施制定處理相關的規制措施時,應當咨詢監管機構。

5.雖然有第1段的規定,但在和控制者履行實現公共利益任務相關的處理中,包括和社會保障與公共健康相關的處理中,成員國法律可以要求控制者在其處理相關的事項中咨詢監管機構并且提前獲取監管機構的授權。

第四部分 數據保護官

第37條 數據保護官的委任

1.在如下任一情形中,控制者和處理者應當委任數據保護官:

(a)處理是公共機構或公共實體進行操作的,法庭在履行其司法職能時除外;

(b)控制者或處理者的核心處理活動天然性地需要大規模性地對數據主體進行常規和系統性的監控;或者

(c)控制者或處理者的核心活動包含了第9條規定的對某種特殊類型數據的大規模處理和第10條規定的對定罪和違法相關的個人數據的處理。

2.如果一組企業的每一個機構都能很容易聯系數據保護官,這一組企業可以任命一個單獨的數據保護官。

3.當控制者或處理者是一個公共機構或公共實體,基于它們的組織結構和規模,多個此類公共機構或實體可以共同委任一個數據保護官。

4.除了第1段所規定的情形,在歐盟或成員國法律要求的情形下,控制者或處理者,或代表某類控制者或處理者的協會和其他實體可以委任一名數據保護官。對于此類協會,或代表控制者或處理者的其他實體的活動,數據保護官有權代表它們進行活動。

5.數據保護官的委任必須基于其專業性的素質,其需要具有數據保護法律與實踐的專業知識,以及完成第39條所規定的任務的能力。

6.數據保護官應當是控制者或處理者或基于服務合同而完成任務的一名職員。

7.控制者或處理者應當發布數據保護官的詳細聯系方式,并向監管機構進行報告。

第38條 數據保護官的職位

1.控制者和處理者應當確保,在所有與個人數據保護相關的事項中,數據保護官都應當以一種恰當和及時的方式介入。

2.控制者和處理者應當支持數據保護官履行第39條所規定的責任,應當提供其履行此類責任、訪問個人數據、進行處理操作,以及維持其專業性知識的必要資源。

3.控制者和處理者應當確保個人數據保護官不會收到任何關于履行此類責任的指示。個人數據保護官不能因為完成其任務而被控制者或處理者解雇。其可以直接向控制者或處理者的最高管理層進行報告。

4.數據主體可以在所有和處理其個人數據相關的事項中,以及和行使本條例所賦予的權利相關的事項中聯系數據保護官。

5.數據保護官在完成其任務時,應當遵守歐盟或成員國的法律,負有保密義務。

6.數據保護官可以完成其他任務或責任。控制者或處理者應當保證任何此類任務和責任不會導致利益沖突。

第39條 數據保護官的任務

1.數據保護官應當至少具有如下任務:

(a)對控制者或處理者,以及那些履行本條例和歐盟其他成員國數據保護條款所規定的處理責任的雇員進行告知,提供建議;

(b)確保遵守本條例、其他歐盟或成員國數據保護條款、和個人數據保護相關的控制者或處理者的政策,包括分配處理操作中以及相關審計中的責任、增強意識以及培訓職員;

(c)根據要求,應當對數據保護影響評估以及根據第35條對其實施進行監管的事項提供建議;

(d)和監管機構進行合作;

(e)在與處理相關的事項中,包括第36條所規定的提前咨詢中,以及——在適用的情況下——在其他所有相關事項的咨詢中,充當監管機構的聯系人。

2.數據保護官在履行其任務時,應當結合處理的性質、范圍、語境與目的,合理地考慮處理操作所伴隨的風險。

第五部分 行為準則與認證

第40條 行為準則

1.成員國、監管機構以及歐盟數據保護委員會與歐盟委員會鼓勵在考慮不同處理部門的特征以及微型、小型以及中型經濟主體的特定需求的基礎上起草促進本條例合理適用的行為準則。

2.協會以及其它代表某類控制者或處理者的實體為了對適用本規則進行細化,可以起草行為準則,或修正或延長此類準則,例如,它們可以起草涉及到如下事項的準則:

(a)合理與透明的處理;

(b)在特定情境下控制者所追求的正當利益;

(c)對個人數據的收集;

(d)對個人數據進行匿名化處置;

(e)提供給公眾與數據主體的信息;

(f)數據主體權利的行使;

(g)提供給兒童和保護兒童的信息,以及為了獲取兒童監護人同意所采取的形式;

(h)第24條和第25條所規定的措施與程序,以及為了保障第32條所規定的處理安全所采取的措施;

(i)向監管機構通報個人數據泄露,以及將此類個人數據泄露告知數據主體;

(j)將個人數據轉移到第三國或國際組織;或者

(k)不影響第77條和第99條所規定的數據主體權利的庭外訴訟性活動,以及為了解決控制者與數據主體在處理相關事項中爭議的糾紛解決程序。

3.控制者或處理者除了受本條例約束之外,對于根據第3條不受本條例約束的情形,為了保證在第46(2)條(e)點所規定的將個人數據轉移到第三國或國際組織的框架中提供合適的安全措施,也可以受本條第5段所規定的已生效的行為準則約束,或者受本條第9段規定的具有一般性效力的行為準則所約束。為了提供此類合適的安全措施,包括和數據主體權利相關的安全措施,此類控制者或處理者應當通過合同或其他具有法律強制力的措施制定有約束力和可執行的承諾。

4.在不影響第55或56條所規定的有權監管機構的任務與權利的前提下,本條第2段所規定的行為準則應當包括使第41(1)條所規定的實體能履行其監管任務的有效措施,保證負責實施行為準則的控制者或處理者遵循其條款的規定。

5.本條第2段所規定的計劃起草、修改行為準則或延長現有準則的協會或其他實體,應當將準則草案、修正案或延期提議提交給符合第55條的有權監管機構。監管機構應當提供一份意見書,表明草案、修正案或延期提議是否符合本條例的規定,如果監管機構認定已經采取了足夠和適當的安全保障,其應當批準草案、修正案或延期提議。

6.當準則草案、或修正案或延期提議是根據第5段的規定而被批準的,并且行為準則不涉及多個成員國的處理活動,監管機構應當進行登記并發表準則。

7.當行為準則的草案涉及到多個國家的處理活動,第55條所規定的有權監管機構應當在批準準則草案、修訂或延期之前將其按照第63條規定的程序提交給歐盟數據保護委員會,并應提供一份意見書,表明準則草案、修正案或延期是否遵循了本條例,或者——在第3段所規定的情形中——是否提供了恰當的安全措施。

8.當第7段中規定的意見書確認了準則草案、修正案或延期遵循了本條例,或者——在第3段所規定的情形中——提供了恰當的安全措施,歐盟數據保護委員會應當將意見書提交給歐盟委員會。

9.歐盟委員會應當通過制定實施法案確定,根據第8段規定而提交的已生效的行為準則、修正案或延期是否在歐盟具有一般效力。此類法案的制定應當符合第94(2)條所規定的核查程序。

10.對于已經被認定符合第9段中所規定的具有一般有效性的已生效準則,歐盟委員會應當保證其具有適當的公開性。

11.歐盟數據保護委員會應當核查所有登記的已生效行為準則、修正案以及延期,并且應當以恰當的方式使得公眾能夠獲取。

第41條 對已生效行為準則的監控

1.在不影響第57和第58條規定的有權監管機構的任務與權利的前提下,對根據第40條制定的行為準則的合規性監管可以交給如下實體:在準則所規定事項方面具有適當的專業性,并且其合規性監管權力已經得到有權監管機構認證。

2.第1段所規定的實體,當存在如下條件時,可以被委任為有權監管是否遵守行為準則的機構:

(a)已經證明在準則所規定事項方面具有獨立性與專業性,滿足有權監管機構的要求;

(b)已經確立了相關程序,可以通過程序評估相關控制者和處理者適用準則的資質,監控其對準則條款的遵守,以及間歇性地評估其操作;

(c)已經設立程序和體系,解決關于違反準則,或關于控制者或處理者已經實施、或正在實施準則的方式的申訴,并且已使得此類程序與體系對數據主體和公眾透明化;并且

(d)已經表明其符合有權監管機構的要求,其任務和職責不存在利益沖突的情形。

3.有權監管機構應當按照第63條所規定的一致性機制,將認證第1段中所規定的實體的標準草案提交給歐盟數據保護委員會。

4.當控制者或處理者違反準則,第1段所規定的實體在不影響有權監管機構的任務和權利、第八章條款的前提下,應當在適當安全措施的保障下采取合適的行動,包括準則中中止或剔除相關控制者或處理者。實體應當將此類行動以及行動的理由告知有權監管機構。

5.如果第1段所規定的實體不符合或不再符合認證的條件,或者其行為違反了本條例,有權監管機構應當撤回對其的認證。

6.本條不適用于公共機構和公共實體所進行的處理。

第42條 認證

1.成員國、監管機構、歐盟數據保護委員會和歐盟委員會應當鼓勵——尤其是在歐盟層面——建立數據保護認證機制、數據保護印章和標記,以證明控制者和處理者的處理操作符合本條例。對此應當考慮微型、小型以及中型經濟主體的特定需求。

2.控制者或處理者除了受本條例約束之外,也可以設立符合本條第5段的數據保護認證機制、印章或標記,以便證明,對于根據第3條不受本條例約束的情形,已經對第46(2)條(f)點所規定的將個人數據轉移到第三國或國際組織的情形采取了合適的安全措施。為了提供此類合適的安全措施,包括和數據主體權利相關的安全措施,此類控制者或處理者應當通過合同或其他具有法律強制力的措施制定有約束力和可執行的承諾。

3.認證應當是自愿的,而且可以通過透明程序而獲得。

4.根據本條而進行的認證,不能減輕控制者或處理者遵循本條例的責任,而且也不對第55條或56條所規定的有權監管機構的任務和權利產生影響。

5.符合本條的認證應當為第43條所規定的認證機構所批準,應當建立在第58(3)條的有權監管機構或第63條的歐盟數據保護委員會所批準的標準之上。當標準被歐盟數據保護委員會所批準,這可以產生一個通用性認證——歐盟數據保護印章。

6.那些將其處理提交認證機制的控制者或處理者,應當將進行認證程序所必需的所有信息與訪問權提交給第43條規定的認證機構,在適用的情形下,還應當提交給有權監管機構。

7.頒發給控制者或處理者的認證的有效期最長是三年,如果相關條件滿足,同樣的情形下有效期可以延長。當認證的條件不滿足或不再滿足時,在適用的情形下,第43條規定的認證實體或有權監管機構可以撤回認證。

8.歐盟數據保護委員會應當核查所有已登記的驗證機制、數據保護印章和標記,而且應當以恰當的方式使得公眾能夠獲取。

第43條 認證機構

1.在不影響第57條和第58條規定的有權監管機構的任務與權利的前提下,具有相應專業性的認證機構可以在告知監管機構后——以便監管機構可以行使第58(2)點h點所規定的權利——頒發和更新認證。成員國應當確保這些認證機構是如下一個機構認可或兩個機構同時認可的:

(a)第55或56條所規定的有權監管機構;

(b)按照歐洲議會和理事會的(EC)No 765/2008條例、EN-ISO/IEC 17065/2012設定的,以及滿足第55條或第56條的有權監管機構所規定的額外要求的全國性認證機構。

2.只有存在如下情形時,第1段所規定的認證機構才能根據第1段的規定被認證:

(a)已經證明在準則所規定事項方面具有獨立性與專業性,滿足有權監管機構的要求;

(b)采取措施遵從第42(5)條所規定的標準,并且已經為第55條所規定的有權監管機構或第63條規定的歐盟數據保護委員會所批準;

(c)建立了發行、定期審查和撤回數據保護認證、印章和標記的程序;

(d)已經設立了解決關于違反準則,或關于控制者或處理者已經實施、或正在實施準則的方式的申訴程序和體系,并且數據主體和公眾已知悉此類程序和體系;且

(e)已經表明其符合有權監管機構的要求,其任務和職責不存在利益沖突的情形。

3.第1段和第2段所規定的委任認證機構應當建立在第55條或第66條所規定的有權監管機構所批準的基礎性標準之上,或者第63條所規定的歐盟數據保護委員會所批準的基礎性標準之上。對于本條第1段(b)點所規定的授權,此類要求應當補充(EC) No 765/2008指令所設想的要求,以及描述認證機構方法與程序的技術性規則。

4.在不影響控制者或處理者對本條例的遵守的前提下,第1段所規定的認證機構應當負責頒發認證或撤銷此類認證的有效評估。頒發給控制者或處理者的認證的有效期最長是五年,如果相關條件滿足,同樣的情形下有效期可以延長。

5.第1段所規定的驗證機構應當向有權監管機構報告頒發或撤銷所要求認證的理由。

6.監管機構應當以容易獲取的方式公開本條第3段所規定的要求,以及第42(5)段所規定的標準。監管機構還應當將那些要求和標準傳輸給歐盟數據保護委員會。歐盟數據保護委員會應當核查所有登記的認證機制與數據保護印章,而且應當通過某種恰當的方式將它們公開。

7.在不影響第八章的前提下,當認證的條件不符合或不再符合,或者當認證機構所采取的行為侵犯了本條例,有權監管機構或全國性的認證機構應當取消根據本條第1段對認證機構的認證。

8.為了細化第42(1)條所規定的數據保護驗證機制所需要考慮的條件,歐盟委員會有權制定符合第92條的授權法案。

9.歐盟委員會可以制定實施法案,為驗證機制與數據保護印章、標記與機制設定技術標準,以便促進和認可那些驗證機制、印章與標記。此類實施法條的制定應當符合第94(2)條所規定的驗證程序。

第五章  將個人數據轉移到第三國或國際組織

第44條 轉移的一般性原則

對于正在處理或計劃進行處理的個人數據,將其轉移到第三國或國際組織,包括將個人數據從第三國或國際組織轉移到另一第三國或另一國際組織,控制者和處理者只有滿足本條例的其他條款,以及滿足本章規定的條件才能進行轉移。為了保證本條例對于自然人的保護程度不會被削弱,本章的所有條款都應當被遵守。

第45條 基于認定具有充足保護的轉移

1.當歐盟委員會作出認定,認為相關的第三國、第三國中的某區域或一個或多個特定部門、或國際組織具有充足保護,可以將個人數據轉移到第三國或國際組織。此類轉移不需要特定的授權。

2.當評估保護程度的充足性時,歐盟委員會應當特別考慮如下因素:

(a)法治、對人權與基本自由的尊重、包括關于公共安全、國防、國家安全、刑法和公共機構訪問個人數據的一般性與部門性立法,以及此類立法的實施、數據保護規則、職業規則和安全措施,包括將個人數據轉移到另一第三國或國際組織所必須遵循的第三國或國際組織的規則、判例法以及有效可執行的數據主體權利、對其個人數據正在轉移的數據主體的司法救濟;

(b)在國際組織是主體的情形中,第三國內存在一個或多個有效運作的獨立監管機構,保證數據保護規則的實施,包括具有充分的執行權力,在數據主體行使其權利時和與成員國的監管機構合作時提供幫助和建議;

(c)第三國或國際組織已經許下的國際性承諾,或者承諾愿意承擔有法律約束力的條約或法律文件所引起的其它責任,以及參加多邊或地區性的體系,特別是和數據保護相關的體系所引起的其它責任。

3.在評估了保護程度的充足性之后,歐盟委員會可以通過制定實施性法案,確定本條第2段含義內的第三國、第三國內的領地或一個或多個特定部門或一個國際組織是否具有充足的保護。實施性法案應當提供一種周期性審查,至少每四年對第三國或國際組織的所有相關發展進行審查。實施性法案應當細化其領域性與部門性的實施,以及在適用的情況下確定本條第2段(b)點所規定的一個或多個監管機構。實施性法案的制定應當遵循第93(2)條所規定的驗證程序。

4.歐盟委員會應當持續性地監控第三國或國際組織的某些可能會影響根據本條第3款而作出的決定和建立在95/46/EC指令第25(6)條基礎之上的決定發揮作用的某些發展。

5.當已有信息顯示,第三國或第三國內的一個或多個特殊部門或國際組織不再提供本條第2段所規定的充足的保護,歐盟委員會應當——尤其是在經過第3段所規定的核查后——通過制定不具有溯及力的實施性法案,在必要限度內廢止、修正或中止本條第3段所規定的決定。此類實施性法案的制定應當遵循第93(2)條所規定的驗證程序。

在具有高度正當性的緊急狀態情形中,歐盟委員會應當立即根據第93(3)條規定的程序而制定實施性法案。

6.為了補救導致第5條決定的情形,歐盟委員會應當與第三國或國際組織磋商。

7.符合本條第5段的決定不會影響到將個人數據轉移到第三國、第三國內的領地或一個或多個部門、或者第46條至49條所規定的相關國際組織。

8.歐盟委員會應當在歐盟的官方雜志及其網站上發表名單,列明其確定已經具備充足保護或不再具有充足保護的第三國、第三國內的特定部門和國際組織。

9.歐盟委員會在95/46/EC指令第25(6)條基礎上而做出的決定,在被歐盟委員會根據本條第3段或第5段而修改、替代或廢止前應具有效力。

第46條 轉移所需要的適當安全保障

1.如果沒有根據第45(3)條而做出的決定,控制者或處理者只有提供適當的保障措施,以及為數據主體提供可執行的權利與有效的法律救濟措施,才能將個人數據轉移到第三國或一個國際組織。

2.在不要求監管機構提供任何具體授權的情形下,第1段所規定的適當保障措施可以如下方式提供:

(a)公共機構或實體之間之間簽訂的具有法律約束力和可執行性的文件;

(b)符合第47條的有約束力的公司規則;

(c)歐盟委員會根據第93(2)條規定的核查程序而制定的數據保護標準條款;

(d)監管機構根據第93(2)條規定的核查程序制定并且為歐盟委員會批準的數據保護標準條款;

(e)根據第40條制定的行為準則,以及第三國的控制者或處理者為了采取合適的安全保障而做出的具有約束力和執行力的承諾,包括數據主體的權利;或者

(f)根據第42條而被批準的驗證機制,以及第三國的控制者或處理者為了采取合適的安全保障而做出的具有約束力和執行力的承諾,包括數據主體的權利。

3.在需要有權監管機構授權的情形下,第1段所規定的合適安全措施尤其可以通過如下方式進行規定:

(a)控制者或處理者與控制者、處理者或第三國或國際組織的個人數據接收者之間的合同條款;或者

(b)公共機構或公共實體之間在行政性安排中所插入的條款,包括可執行的與有效的數據主體權利。

4.在本條第3段所規定的情形中,監管機構應當適用第63段所規定的一致性機制。

5.成員國或監管機構根據95/46/EC指令的第26(2)條而做出的授權,在被監管機構修改、替代或廢止之前應當一直有效。歐盟委員會根據95/46/EC指令第26(4)條而做出的決定,在歐盟委員會按照本條第2段做出必要性的修改、替換或廢止決定前應當一直有效。

第47條 有約束力的公司規則

1.在滿足如下條件時,對于符合第63條所規定的一致性機制的有約束力的公司規則,有權監管機關應當批準:

(a)具有法律約束力,適用于進行聯合經濟活動的企業集團或一系列經濟主體的所有相關成員——包括其雇員,并且為他們所執行。

(b)在處理個人數據方面明確賦予數據主體以可執行的權利;以及

(c)滿足第2段所規定的要求。

2.第1段所規定的有約束力的規則應當至少明確:

(a)進行聯合經濟活動的企業集團或一系列經濟主體,及其每一個成員的架構和詳細聯系方式;

(b)數據轉移或一系列的數據轉移,包括個人數據的類型;處理類型及其目的;受影響的數據主體的類型;以及涉及到的對第三國或多個第三國的確定;

(c)規則的法律約束效力,既包括內部的約束力,也包括外部的約束力;

(d)對一般數據保護原則的適用,特別是目的限定、數據最小化、有限的儲存期限、數據質量、通過設計的數據保護與默認的數據保護、處理的法律基礎、對特定類型個人數據的處理;保障數據安全的措施;以及將數據轉移到不受約束性公司規則所約束的實體所做的要求;

(e)和處理相關的數據主體的權利以及行使這些權利的方式,包括有權不被僅僅根據自動化處理——包括符合第22條的用戶畫像——而對數據主體做出決定,有權按照第79條向有權監管機構和成員國的有權管轄的法庭申訴,以及有權在違反有約束力的公司規則的情形下獲取救濟和——如果適用的話——賠償;

(f)對于任何不在歐盟設立的控制者或處理者的相關成員違反約束性公司規則,在成員國的領域內設立的控制者或處理者愿意承擔責任;只有當控制者或處理者證明,該成員對于導致損害的事件沒有責任,控制者或處理者的此種責任才能被免除;

(g)關于約束性公司規則的信息如何提供給數據主體,特別是第13和14條之外關于本段所規定的(d)(e)(f)點的信息如何提供給數據主體;

(h)根據第37條所委任的所有數據保護官的任務,或者企業集團、或進行聯合經濟活動的一系列經濟主體內部負責監控遵守約束性公司規則、監控培訓和處置申訴的所有人或實體的任務;

(i)申訴程序;

(j)企業集團或進行聯合經濟活動的一系列經濟主體,為了核實對約束性公司規則的遵守的而在內部所設立機制。此類機制應當包括數據保護核查以及能夠確保采取矯正性活動保護數據主體權利的方法。此類核實結果應當告知(h)點所規定的個人或實體,企業集團或進行聯合經濟活動的一系列經濟主體,而且在有權監管機構的要求下應當能夠提供其核實結果;

(k)報告和記錄規則變化的機制,以及將此類變化報告給監管機構的機制;

(l)為了保證企業集團或進行聯合經濟活動的一系列經濟主體的合規性而和監管機構一起設立的合作機制,特別是向監管機構提供(j)點所規定的方法的核查結果;

(m)企業集團或進行聯合經濟活動的一系列經濟主體的成員是第三國的主體,可能會對約束性企業規則所提供的保障產生實質性的負面影響,向有權監管機構報告對此類主體是否有法律要求的機制;以及

(n)對于可永久性或經常性訪問個人數據的員工進行的適當數據保護培訓。

3.歐盟委員會可以明確控制者、處理者和監管機構之間為了本條含義內的約束性公司規則而進行信息交換的形式和程序。此類實施性法案的制定應當遵循第93(2)條所規定的驗證程序。

第48條 未經歐盟法授權的轉移或披露

任何法庭判決、仲裁裁決或第三國行政機構的決定,若要求控制者或處理者對個人數據進行轉移或披露,同時滿足以下條件時方能得到認可或執行:一是該判決、裁決或決定必須基于提出請求的第三國與歐盟或其成員國之間訂立的法律互助協議等國際條約,二是該判決、裁決或決定不會對本章規定的其他轉移形式產生消極影響。

第49條 特殊情形下的克減

1.如果不存在根據第45(3)而做出的充足保護認定或根據第46條而制定的適當安全措施——包括約束性公司規則,將個人數據轉移到第三國或國際機構,只有滿足如下情形之一才能進行:

(a)數據主體被明確告知,不存在充足保護或適當的安全措施,預期的數據轉移存在風險,但之后數據主體仍然明確表示同意預期的數據轉移;

(b)轉移對于履行數據主體與控制者之間的合同,或者履行數據主體在簽訂契約前所提出要求是必要的;

(c)控制者和另一自然人或法人之間簽訂或履行合同時,轉移對于實現數據主體的利益是必要的;

(d)轉移對于實現公共利益是必要的;

(e)轉移對于確立、行使或辯護法律性主張是必要的;

(f)當數據主體基于身體性或法律性原因無法表達同意,為了保護數據主體或其他人的關鍵利益是必要的;

(g)轉移是根據登記冊而進行的——這種登記冊是歐盟法或成員國法律為了向具有正當利益的一般性公眾或個人提供咨詢。但是,只有滿足歐盟法或成員國法對咨詢所規定必要條件,此類個案中的轉移才能進行克減。

當轉移無法基于第45或第46條,包括基于約束性公司規則的條款的規定而進行,且從(a)點到(g)的克減條件都不符合,將數據轉移到第三國或國際組織,這只有在轉移滿足如下條件時才可以:轉移是非重復性的;關乎很小一部分數據主體的權利;對于實現控制者壓倒性的正當利益是必要的,并且不會違反數據主體的有限性的利益或權利與自由;控制者已經對圍繞數據傳輸的情形進行評估,而且基于這種評估對個人數據保護采取了合適的安全保障。控制者除了提供第13條和第14條所規定的信息之外,應當將轉移和追求的壓倒性正當利益告知數據主體。

2.符合第1段(g)點的轉移不應當包括登記冊里的全部個人數據或所有類型的個人數據。當登記冊是為了給具有正當利益的人提供咨詢的,只有那些人提出要求,或者那些人是接收者的情形才能進行轉移。

3.對于公共機構在行使其公共權力時的活動,第1段的(a)(b)(c)點以及第1段的第二分段不適用。

4.第1段(d)點規定的公共利益應當為歐盟或成員國為控制者所制定的法律所確認。

5.如果不存在充足保護的認定,歐盟或成員國的法律可以基于公共利益而明確做出限制,限制將個人數據轉移到第三國或國際組織的特定類型。成員國應當將此類條款告知歐盟委員會。

6.控制者或處理者應當在第30條規定的檔案中記錄本條第1段第二分段所規定的評估以及合適的安全措施。

第50條 為保護個人數據的國際合作

在涉及到第三國或國際組織的情形中,歐盟委員會和監管機構應當采取合適的措施以:

(a)發展國際合作機制,以便促進對個人數據保護立法的有效實施;

(b)在采取合適安全措施保障個人數據保護和其它基本權利與自由的前提下,通過告知、申訴轉介、調查幫助和信息互換為個人數據保護立法的實施提供國際性互助;

(c)在實施個人數據保護立法中,使相關利益方密切參與為了進一步國際合作而進行的討論和活動;

(d)促進個人數據立法與實踐——包括與第三國管轄權沖突——的交換與記錄。

第六章  獨立監管機構

第一部分 獨立性地位

第51條 監管機構

1.為了保護自然人在處理過程中的基本權利與自由,以及促進歐盟內部的個人數據的自由流通,每個成員國應當建立一個或多個獨立公共機構,負責監控本條例的實施。

2.每個監管機構都應當幫助本條例在歐盟的一致性適用。基于這種目的,監管機構應當按照第七章的規定彼此合作以及和歐盟委員會合作。

3.當一個成員國確立了不止一個監管機構,該成員國應當在歐盟數據保護委員會委任一個監管機構代表其他機構,而且應當建立一套機制,保證其他機構遵守第63條規定的一致性機制相關的規則。

4.每個成員國都應當將其根據本章所制定的法律條款告知歐盟委員會,[最遲應當在本條例生效的兩年內],而且應當及時將影響條款的修訂告知歐盟委員會。

第52條 獨立性

1.每個監管機構在行使其任務和行使符合本條例的權力時,應當保持完全的獨立性。

2.每個監管機構的一個或多個成員在行使其任務和行使符合本條例的權力時,應當不受外部影響,不論是直接的還是間接性的,而且不應接收任何人的指示。

3.監管機構的成員不得從事違反其監管職責的活動,任職期間不得擔任任何與其監管工作相沖突的有償或無償的職務。

4.每個成員國都必須確保,每個監管機構都具有為了有效履行其任務和行使其權利——包括在歐盟數據保護委員會中互助、合作和參與的履行任務和行使權利——所必需的人力性、技術性與資金資源,前提性與基礎性要素。

5.每個成員國都應當確保,每個監管機構都具有選擇和雇傭其成員的權力,這只受相關監管機構的一個或多個成員的專門指令的約束。

6.每個成員國都必須確保,在不影響其獨立性以及其具有單獨和公共性的年度預算的前提下,每個監管機構都受資金控制——此類資金控制可能是州預算或國家預算一部分的——的約束。

第53條 監管機構成員的一般性要求

1.成員國應當通過如下機構以透明化的方式委任其監管機構的每個成員:

-它們的議會;

-它們的政府;

-它們的國家元首;或者

-成員國法律指派的獨立性實體。

2.每個成員都應當具有履行其職責和行使其權力所應當具有的資質、經驗與技巧,特別是在個人數據保護領域的資質、經驗與技巧。

3.成員根據成員國的相關法律結束其任期、辭職或強制性退休時,其職責也相應結束。

4.只有存在嚴重的不當行為,或者不再符合履行其職責的條件時,成員才可以被解職。

第54條 設立監管機構的規則

1.每個成員國都應當通過法律規定如下事項:

(a)每個監管機構的設立;

(b)被任命為每個監管機構的成員所需要的資質與合適的條件;

(c)任命每個監管機構的一個或多個成員的規則和程序;

(d)每個監管機構的一個或多個成員的不少于四年的任期,(在此條例生效之后的第一次任命例外),如果有必要通過間斷性的任命程序來保護監管機構的獨立性,一部分成員的任期可以更短;

(e)每個監管機構的一個或多個成員是否可以連任,如果可以的話,可以連任多少個任期;

(f)每個監管機構的成員和員工需要負責的情形,對于其任期內或任期結束后的具有沖突性的行為、任職和收益的禁止條款,以及中止雇傭的規則。

2.每個監管機構的成員和員工都應當遵循歐盟或成員國的法律,對于其履行任務或行使其權力期間所獲取的秘密信息,在任職期間或任期結束后都具有保守職業秘密的職責。尤其在自然人報告具有違反本條例的情形下,成員或員工應當履行其保守職業秘密的職責。

第二部分 職權、任務與權力

第55條 職權

1.每個監管機構都有權在其所屬的成員國境內根據本條例履行分配給其的任務,行使授予其的權力。

2.當公共機構或私人實體基于第6(1)條的(c)或(e)點而進行處理,成員國的相關監管機構應當擁有職權。在此類情形中,第56條不適用。

3.對于法庭在其司法活動中進行處理操作,監管機構不具有監管職權。

第56條 領導性監管機構的職權

1.在不影響第55條的前提下,控制者或處理者的主要營業機構或唯一營業機構所在地的監管機構應可以充當領導性監管機構,監管控制者或處理者根據第60條程序而進行的跨境處理。

2.第1段的規定可以進行減免,如果主要事項只和成員國內的一個機構相關,或者只在一個成員國內對數據主體產生實質性影響,每個監管機構應當都有權對向其進行的申訴或違反本條例的行為進行處置。

3.對于第2段所規定的情形,監管機構應當將此事項及時告知領導性監管機構。在被告知的三個星期以內,領導性的監管機構應當——結合控制者或處理者是否在通知其的監管機構所在的成員國內有擁有機構——決定,其是否要根據第60條的規定的程序而處置該案例。

4.當領導性監管機構決定處理案件,第60條所規定的程序應當適用。那個告知領導性監管機構的監管機構可以向領導性監管機構提交一份決定草案。當領導性監管機構起草第60(3)條所規定的決定時,其應當盡最大限度地考慮提交的決定草案。

5.當領導性監管機構決定不處置案子,通知領導性監管機構的監管機構應當根據第61條和第62條進行處置。

6.對于控制者或處理者所進行的跨境處理,領導性監管機構應當是該控制者或處理者的唯一面談者。

第57條 任務

1.在不影響本條例規定的其他任務的前提下,在其管轄范圍內,每個監管機構應當:

(a)監控和執行對本條例的實施;

(b)提高公眾意識,對和處理相關的風險、規則、安全保障和權利的理解。對針對兒童的活動保持特別注意;

(c)根據成員國的法律、全國性議會、政府以及其他制度和實體對與處理相關的自然人的權利與自由提供建議;

(d)提高控制者與處理者對本條例所規定責任的意識;

(e) 基于要求為所有數據主體提供行使本條例所規定的權利,以及——如果適用的話——和其它成員國的監管機構為了實現這一目的而進行合作;

(f)處置數據主體或實體、組織或協會根據第80條的申訴,采用合適的手段調查申訴的主要事項,在合理期限內向申訴者告知進展和調查結論——特別是如果需要進一步的調查或和監管機構協調;

(g)為保證對本條例適用與執行的一致性和其他監管機構合作,包括分享信息和提供相互協助;

(h)為本條例的適用進行調查,包括基于另一監管機構或其它公共機構提供的信息而進行的調查;

(i)在相關發展——特別是信息和通訊技術、商業實踐發展——對個人數據保護產生影響的情況下,對相關發展進行監控;

(j)采用第28(8)條和第46(2)條(d)點規定的標準格式合同;

(k)建立并維持和第35(4)條規定的個人數據保護影響評估相關的條目;

(l)對第36(2)條規定的處理操作給出建議;

(m)鼓勵起草符合第40條的行為準則,對符合第40(5)條提供充分安全保障的此類行為準則提供意見并進行批準;

(n)鼓勵設立數據保護認證機制以及符合第42(1)條的數據保護印章與標記,并批準符合第42(5)條的認證標準;

(o)在適用的情形下,對根據第42(7)條而頒發的認證進行階段性審查;

(p)對符合第41條規定的監控行為準則的委派實體,以及符合第43條規定的認證實體,對其標準進行起草并發布;

(q)委任符合第41條規定的監控行為準則的實體,以及符合第43條規定的認證實體;

(r)授權合同條款與第46(3)條規定的條款;

(s)批準符合第47條的約束性合同規則;

(t)歐盟數據保護委員會的活動提供幫助;

(u)對違反本條例的情形以及根據第58(2)條而采取的措施保持內部紀錄;并且

(v)完成和個人數據保護相關的其它任務。

2.每個監管機構都應當為第1段(f)點規定的提交申訴提供便利,例如在不排除其它通訊方式的前提下,提供可以通過電子方式填寫和提交的申訴方式。

3.每個監管機構的任務履行對于數據主體都應當是免費的,如果適用的話,對于數據保護官也應當是免費的。

4.當請求是明顯毫無根據的或過分的,特別是當請求是重復性的,監管可以基于行政花費而收取一定的合理費用,或拒絕對請求作出行動。監管機構有責任證明,請求是明顯毫無根據的或過分的。

第58條 權力

1.每個監管機構都具有所有如下調查權力:

(a)要求控制者和處理者,以及——在適合的情形下——控制者或處理者的代表提供履行其任務所需要的所有信息;

(b)以數據保護核查的方式進行調查;

(c)對根據第42(7)所頒布的認證進行審查;

(d)將可能侵犯本條例的情況告知控制者或處理者;

(e)從控制者或處理者那里獲取訪問個人數據的權力,以及為了行使其任務而所需的所有信息;

(f)按照歐盟與成員國法律的程序法,獲取對控制者和處理者的所有房屋建筑及場地,包括數據處理設施和方法的訪問權。

2.每個監管機構都有所有如下矯正性權力:

(a)對控制者或處理者頒發警告,警告預期的處理操作可能會侵犯本條例的條款;

(b)當處理操作侵犯本條例條款的時候,對控制者或處理者進行申誡;

(c)命令控制者或處理者尊重數據主體行使符合本條例的權利;

(d)命令控制者或處理者的處理操作符合本條例條款,如果適合的話,應當在特定的期限內以特定的方式完成;

(e)命令控制者將個人數據泄露的情況告知數據主體;

(f)對處理施加暫時性或具有明確期限的禁令;

(g)要求對個人數據進行糾正或擦除,或根據第16條,17條和18條而對處理進行限制,以及將此類行動告知第17(2)條和第19條規定的個人數據披露給的接收者;

(h)撤回認證,或命令認證機構撤回根據第42條和第43條而頒發的認證,或者當認證的要求不滿足或不再滿足時,命令認證機構不要頒發認證;

(i)視每個案例的情形不同,在本段所規定的措施之外,或者替代本段所規定的措施而采取第83條規定的行政處罰;

(j)要求中止將數據傳輸到第三國或國際組織。

3.每個監管機構都有所有如下授權和建議的權力:

(a)根據第36條規定的提前咨詢條款向控制者提出建議;

(b)主動或根據要求為全國性議會、成員國政府提供意見,或者根據成員國法為其他機構、實體與公眾提供和個人數據保護相關的保護;

(c)如果成員國的法律要求此類提前咨詢,根據第36(5)條而授權處理;

(d)根據第40(5)條而發布意見以及行為準則;

(e)根據第43條而委任認證機構;

(f)根據第42(5)條頒發認證和批準認證的標準;

(g)制定第28(8)條以及第46(2)條(d)點規定的數據保護標準條款;

(h)授權第46(3)條(a)點規定的合同條款;

(i)授權第46(3)條(b)點規定的行政性安排;

(j)批準符合第47條的約束性公司規則。

4.根據本條而行使賦予給監管機構的權力應當滿足合適的安全保障,包括根據歐盟憲章而在歐盟和成員國法律中規定的有效司法救濟和正當程序。

5.每個成員國應當通過法律規定,其監管機構為了執行本條例的條款,有權將違反本條例的情形訴諸司法機構,在合適的情形下可以提起或參與法律訴訟。

6.每個成員國都應當通過法律規定,其監管機構具有第1、2和3段規定的附加權力。對那些權利的行使不應當削弱第七章規定的有效運行。

第59條 活動報告

每個監管機構都應當起草一份關于其活動的年度報告,這可以包括其被告知的違法類型以及根據第58(2)條而采取的措施類型。此類報告應當傳輸給全國性議會、政府以及成員國法律所委任的其他機構。公眾、歐盟委員會和歐盟數據保護委員會應當能夠獲取這些報告。

第七章  合作與一致性

第一部分 合作

第60條 領導性監管機構和其他相關監管機構的合作

1.領導性監管機構應當根據本條和其他相關監管機構進行合作,努力達成共識。領導性監管機構和相關監管機構應當彼此分享相關信息。

2.領導性監管機構可以隨時要求其他相關監管機構提供第61條規定的互助合作,而且可以根據第62條而進行聯合行動,這尤其適用于如下情形:為了進行調查,或者為了實施涉及到設立在另一成員國的控制者或處理者的措施。

3.領導性監管機構應當及時將事項相關信息告知給其他相關監管機構。對于其他相關監管機構的意見,其應當充分考慮,并及時向其他相關監管機構提交一份決定草案。

4.當其他任何相關監管機構收到第3段中所規定的咨詢,并在四周內表達了對決定草案的相關與合理的反對,領導性監管機構如果不同意此相關與合理的反對,或者認為其意見是不相關或不合理的,應當將此事項提交給第63條規定的一致性機制。

5.如果領導性的監管機構同意相關與合理的反對意見,對于此反對意見,其應當將一份修訂后的草案決定提交給其他監管機構。修訂后的草案決定應當遵守第4段所規定的程序,并且應當在兩個星期內做出。

6.如果在第4段和第5段所規定的期間內,其他相關監管機構都沒有反對領導性監管機構所提交的決定草案,應當推定領導性的監管機構和相關監管機構對于決定草案具有一致意見,而且應當受其約束。

7.領導性監管機構應當做出決定,將決定的情況——包括相關事實和理由的總結——通知給控制者或處理者的主要營業機構或唯一營業機構,并視情況通過其他相關監管機構以及做出該決定的歐盟數據保護委員會。收到申訴的監管機構應當將決定的情況告知給申訴者。

8.在申訴被撤銷或駁回的情形中,第7段的規定可以進行克減,收到申訴的監管機構應當采用決定并將其告知申訴者,由此也告知了控制者。

9.當領導性監管機構和相關監管機構同意撤銷或駁回申訴的一部分,對申訴的其他部分采取行動,對于此類其他部分的事項,應當采取單獨的決定。領導性監管機構應當采用和控制者行動相關的那部分決定,將其通告給控制者或處理者在成員國境內的主要營業機構或唯一營業機構,由此也告知了申訴者。另一方面,申訴者的監管機構應當采用和撤銷或駁回申訴相關的那部分決定,將其告知申訴者,由此也告知了控制者或處理者。

10.當收到領導性監管機構根據第7段和第9段而進行的告知后,控制者或處理者應當采取必要措施,保證其在歐盟所有的所有機構的處理活動都符合決定。控制者或處理者應當向領導性監管機構告知為遵守決定而采取的措施,并通知其他相關監管機構。

11.在極端情形下,當某相關監管機構認為,有充分理由證明需要采取緊急行動以保護數據主體的利益,應當援引第66條有關緊急程序的規定。

12.領導性監管機構和其他相關監管機構應當通過電子方式,以標準化的格式為彼此提供本條所要求提供的信息。

第61條 互相協助

1.監管機構應當為彼此提供信息和互相協助,以便以一種一致性的方式執行和適用本條例,而且應當擁有有效信息以進行有效的相互合作。互相協助尤其應當包括信息請求和監管措施,例如在授權與咨詢、檢驗與調查之前請求信息和采取監管措施。

2.對于另一監管機構的請求,每個監管機構都應當采取恰當的合適措施及時回應,而且至遲應當在收到請求內的一個月內進行。此類措施尤其可以包括傳輸和調查相關的信息。

3.請求協助應當包括所有必要信息,包括請求的目的與原因。被交換的信息只能被用于實現請求協助的目的。

4.除非存在如下情形,被請求的監管機構不應當拒絕請求:

(a)被請求的監管機構對被請求的主體事項或被請求執行的措施沒有職權;或者

(b)被請求的監管機構對請求進行照辦,這會侵犯本條例或歐盟或成員國的為被請求的監管機構所制定的法律。

5.被請求的監管機構應將結果告知發出請求的監管機構,而且應當視情況告知為了實現請求而采取的措施。被請求的監管機構如果拒絕按第4段而提出的請求,應當提供說明。

6.基于其他監管機構的請求,被請求的監管機構應當以電子形式,使用標準化的格式提供信息,這應當成為一項規則。

7.所有被請求的監管機構根據請求而進行的互相協作,都不應當收取費用。對于特定情形下因為提供互相協作而產生的特定花費,監管機構之間可以簽訂補償規則。

8.當某監管機構在收到另一監管的請求后一個月內仍然不提供第5段所規定的信息,做出請求的監管機構可以根據第55(1)條在其成員國境內采取臨時性措施。在這種情形中,可以推定為符合第66(1)條的緊急情況,歐盟數據保護委員會應根據第66(1)條而作出緊急約束性決定。

9.歐盟數據保護委員會可以通過制定實施性法案而細化本條規定的互相協助的形式與程序,在監管機構之間、監管機構和歐盟委員會之間以電子方式進行的信息交換,特別是本條第6段所規定的標準化格式。此類實施性法案的制定應當遵循第93(2)條規定的驗證程序。

第62條 監管機構的聯合行動

1.在合適的時候,監管機構應當進行聯合行動,包括在涉及到其他成員國監管機構的成員或員工的情形下進行聯合調查和采取聯合執行措施。

2.當控制者或處理者在多個成員國設立機構,或者當兩國或兩國以上的數據主體可能會受處理操作的實質性影響,這些成員國的監管機構都有權參與聯合行動。按照第56(1)或56(4)條規定而擁有職權的監管機構可以邀請這些成員國中的每個國家的監管機構參與聯合行動,而且應當及時回應某監管機構的參與請求。

3.一個監管機構可以按照成員國的法律,以及臨時調派的監管機構的授權,將調查權等權力授權給臨時調查的監管機構的成員或員工。或者,如果監管機構的成員國的法律允許,應當允許臨時調派的監管機構的成員或員工行使其符合成員國法律對其做出規定的調查權。只有在東道主監管機構的成員或員工的指導和見證之下,此類權力才能被行使。臨時調派的監管機構的成員或員工應當遵守東道主監管機構所在的成員國國家的法律。

4.當根據第一段的規定臨時調派的監管機構在另一成員國內活動,東道主監管機構所在的成員國應當對其行動承擔責任,包括對活動期間所引起的損害,應當按照其活動地所屬的成員國法律承擔責任。

5.對于成員國境內所造成的損害,如果其可以適用其成員國的損害賠償,成員國應當進行賠償。臨時調派的監管機構的某成員國的員工對另一成員國境內的人造成傷害,在另一成員國對個人進行補償后,某成員國應當對另一成員國進行補償。

6.除了第5段所規定的情形,在不影響行使相對于第三人權利的前提下,若出現第1段規定的情形,各成員國不得就第4段的損害向相關成員國提出損害賠償的要求。

7.當存在聯合行動的計劃,而且當監管機構拒絕遵守本條第2段第二句所設定的責任,其他監管機構可以根據第55條在其境內采取臨時性措施。在這種情形中,可以推定為符合第66(1)條的緊急情況,歐盟數據保護委員會應根據第66(2)條而作出緊急約束性決定。

第二部分 一致性

第63條 一致性機制

為了幫助本條例在歐盟的一致性適用,監管機構應當相互合作,以及在相關的情形下通過本部分規定的一致性機制而和歐盟委員會進行合作。

第64條 歐盟數據保護委員會的意見

1.當某個有權監管機構計劃采取如下任何一項措施,歐盟數據保護委員會應當發布意見。為此,有權監管機構應當將決定草案告知歐盟數據保護委員會,如果:

(a)決定草案的目標是采取一系列符合第35(4)條所規定的數據保護影響評估要求的處理操作;

(b)決定草案涉及到第40(7)條規定的行為準則草案,或行為準則草案的修訂案或延期是否符合本條例;

(c)決定草案的目標是批準符合第41(3)條規定的委派實體,以及符合第43(3)條規定的認證實體的標準;

(d)決定草案的目標是確定第46(2)條(d)點和第28(8)條規定的標準數據保護條款;

(e)決定草案的目標是批準第46(3)條(a)點規定的合同條款;或者

(f)決定草案的目標是批準第47條所指的有效性公司規則。

2.任何監管機構、歐盟數據保護委員會或歐盟委員會的主席都可以提出要求,為了給出意見——特別是當有權監管機構不遵守第61條規定的相互協助的責任或第62條規定的聯合行動時——可以對任何關乎一般性使用的事項,或在不止一個成員國產生影響的事項進行核查。

3.對于第1段和第2段提到的情形,歐盟數據保護委員會如果此前沒有對類似事項發表過意見,應當對提交給它的事項發布一份意見。這份意見應當在八周內根據歐盟數據保護委員會成員的簡單多數來決定。考慮到主要事項的復雜性,八周的期限可以再延長六周。關于第1段規定的按照第5段而在歐盟數據保護委員會中流通的決議草案,如果某成員在歐盟數據保護委員會主席所表明的合理期限內不提出異議,就應當視為同意決議草案。

4.監管機構和歐盟數據保護委員會應當及時以電子化手段,使用標準化的格式將任何相關信息進行溝通。此類信息可以是事實的總結、決議草案、采取此類必要措施的理由,以及其他相關機構的觀點。

5.歐盟數據保護委員會的主席應當及時通過電子手段:

(a)通過標準化格式將任何已經獲知的相關信息告知歐盟數據保護委員會和歐盟委員會的成員。如有需要,歐盟數據保護委員會的秘書應當提供相關信息的翻譯;并且

(b)將意見告知第1段和第2段規定的監管機構和歐盟委員會,并公開意見。

6.在第3段規定的期間內,有權監管機構不應當采用第1段所規定的決議草案。

7.第1段中所規定的監管機構應當最大限度地考慮歐盟數據保護委員會的意見,而且應在收到意見的兩周內以電子方式告知歐盟數據保護委員會的主席,其是否會維持或修改其決議草案,以及修改后的決議草案——如果有的話。

8.當相關監管機構在本條第7段規定的期限內通知委員會主席,其并無意遵守委員會的所有意見或意見的一部分,并且提供了相關理由,此種情形下第65(1)條應當適用。

第65條 歐盟數據保護委員會的糾紛解決

1.為了確保在個案中對本條例的正確與融貫適用,歐盟數據保護委員會應當在如下情形中做出有約束力的決定:

(a)在第60(4)條規定的情形中,相關監管機構對領導性機構的草案決定提出了相關與合理的反對,或者領導性機構駁回了反對,認為其不相關或不合理。約束性決定應當涉及相關與合理反對所涉及的所有事項,特別是當其存在違反本條例的情形;

(b)對于哪個監管機構有權管轄主要營業機構存在不同意見;

(c)在第64(1)條規定的情形中,有權監管機構并不請求獲得歐盟數據保護委員會的意見,或者并不遵守歐盟數據保護委員會按照第64條發布的意見。在這種情形下,任何相關監管機構或歐盟數據保護委員會都可以將此事項告知歐盟數據保護委員會。

2.三分之二多數的歐盟數據保護委員會成員在將主體事項轉交后,應當在1個月以內做出第1段所規定的決定。考慮到主體事項的復雜性,這個期間可以再延長一個月。第1段所規定的決定應當是合理的,應當告知領導性監管機構和所有相關監管機構,并且對它們具有約束力。

3.當歐盟數據保護委員會無法在第2段所規定的期限內做出決定,其應當以歐盟數據保護委員會成員簡單多數的方式在第2段所規定的第二個月的期限結束后的兩星期內做出決定。如果歐盟數據保護委員會成員的投票剛好完全分裂,那么決定將根據主席的投票而做出。

4.在第2段和第3段所規定的期限內,相關監管機構不應當對根據第1段而提交給歐盟數據保護委員會的主體事項做出決定。

5.歐盟數據保護委員會的主席應當及時將第1段所規定的決定告知相關監管機構。這也就告知了歐盟委員會。在監管機構告知第6段規定的最終決定后,決定應當在歐盟數據保護委員會的網站上及時發表。

6.領導性監管機構或者收到申訴的監管機構應當根據本條第1段所規定的決定性基礎及時做出最終決定,至遲應當在歐盟數據保護委員會告知其決定后的一個月以內做出。領導性的監管機構或收到申訴的監管機構應當向歐盟數據保護委員會報告其將該決定告知控制者或處理者以及數據主體的時間。相關監管機構的最終決定應當根據第60(7)(8)(9)條的條款而做出。最終決定應當涉及本條第1段所規定的決定,而且應當具體說明,本條第1段所規定的決定將會根據本條第5段而在歐盟數據保護委員會的網站上發表。最終決定應當附上本條第1段所規定的決定。

第66條 緊急程序

1.在例外情形中,當相關監管機構認為有必要對保護數據主體的權利與自由采取緊急行動,其可以通過第63、64和65條規定的一致性機制或第60條規定的程序來進行克減,立即采取在其境內一段時間內——不超過3個月——具有法律效力的臨時性措施。監管機構應當及時將采取這些措施的手段與原因告知其他相關監管機構、歐盟數據保護委員會與歐盟委員會。

2.當監管機構采取符合第1段的措施,以及考慮亟需采用的最終措施,其可以請求歐盟數據保護委員會出具一份緊急意見或緊急約束性決定,并說明提出此請求的原因。

3.如果有必要對保護數據主體的權利與自由采取緊急行動,而有權監管機構卻沒有采取合適措施,任何監管機構都可以向歐盟數據保護委員會請求一份緊急意見或緊急約束性決定,說明提出此請求的原因,包括需要采取緊急行動的原因。

4.對于第64(3)條和第65(2)條規定的的克減,歐盟數據保護委員會成員的簡單多數應當在兩個星期內做出本條第2段和第3段規定的緊急意見或緊急約束性決定。

第67條 信息交換

對于監管機構之間、監管機構與歐盟數據保護委員會之間以電子方式進行的信息交換,特別是對于第64條規定的標準化格式,歐盟委員會可以進一步制定細化的實施性法案。

這些實施性法案應當根據第93(2)條規定的驗證程序制定。

第三部分 歐盟數據保護委員會

第68條 歐盟數據保護委員會

1.歐盟數據保護委員會特此被設立為歐盟的一個機構,而且將具有法人身份。

2.歐盟數據保護委員會的代表是其主席。

3.歐盟數據保護委員會應當包括每個成員國的每個監管機構的首長、歐盟數據保護監管者的首長,或者他們的代表。

4.當一個成員國內不止一個監管機構負責監控對本條例條款的適用,應當按照成員國的法律任命一個聯合代表。

5.歐盟委員會應當有權參與歐盟數據保護委員會的活動與會議,但沒有投票權。歐盟委員會應當委任一名代表。歐盟數據保護委員會的主席應當將其活動告知歐盟委員會。

6.對于第65條規定的情形,只有當決議涉及到適用于和本條例規定有實質性對應的歐盟機構、實體、辦公室、規制機構的原則和規則時,歐盟數據保護監管者才具有投票權。

第69條 獨立性

1.當根據第70條和第71條履行其任務或行使其權力時,歐盟數據保護委員會應當保持其獨立性。

2.在不影響第70(1)條(b)點和第70(2)條所規定的歐盟委員會的請求的前提下,歐盟數據保護委員會在履行其任務或行使其權力時,應當避免從任何人那里獲取指示。

第70條 歐盟數據保護委員會的任務

1.歐盟數據保護委員會應當確保對本條例的一致性適用。為了實現這一目的,在相關情形中,歐盟數據保護委員應當主動或根據歐盟委員會的請求而采取如下行動:

(a)在不影響全國性監管機構的任務的前提下,確保在第64條和65條所規定的情形中正確適用本條例;

(b)對歐盟數據保護相關的所有事項,包括對本條例的修改動議,向歐盟委員會提供建議;

(c)對為制定約束性公司規則而在控制者、處理者和監管機構之間進行的信息交換的格式與程序向歐盟委員會提供建議;

(d)從第17(2)條規定的公眾可以獲取的通訊服務中擦除個人信息的鏈接、備份或復制品,對這種活動的程序發布指導方針、建議和最佳操作;

(e)主動或根據其成員的請求,或根據歐盟委員會的請求核查涉及本條例適用的任何問題,為了鼓勵對本條例的適用,發布指導方針、建議和最佳操作;

(f)為了進一步細化第22(2)條規定的基于用戶畫像的決策的標準和條件,發布符合本段(e)點的指導方針、建議和最佳操作;

(g)為了認定個人數據泄露,確定是否存在第33(1)、(2)條所規定的無理拖延,以及控制者或處理者是否需要告知個人數據泄露,發布符合本段(e)點的指導方針、建議和最佳操作;

(h)對于個人數據違法可能會對第34(1)條規定的自然人的權利與自由帶來高風險的情形,發布符合本段(e)點的綱領、建議和最佳操作;

(i)對于符合控制者所遵守的約束性公司規則、處理者所遵守的約束性公司規則的數據轉移,以及符合為了保證第47條規定的對數據主體的個人數據保障而采取的必要措施的個人數據轉移,為了細化此類轉移的標準和要求,發布符合本段(e)點的指導方針、建議和最佳操作;

(j)為了進一步細化第49(1)條規定的個人數據轉移所需要的標準和要求,發布符合本段(e)點的指導方針、建議和最佳操作;

(k)對于涉及第58(1)、(2)、(3)條規定的適用措施和確定第83條規定的行政處罰,為監管機構起草指導方針;

(l)對本段(e)點和(f)點規定的指導方針、建議和最佳操作的實際運用進行審查;

(m)對自然人設報告侵犯本條例的行為,為其設立符合第54(2)條的一般程序,,發布符合本段(e)點的指導方針、建議和最佳操作;

(n)鼓勵起草行為準則,設立符合第40條和第42條的數據保護認證機制、數據保護印章和標記;

(o)對認證機構進行委任,根據第43條而進行階段性審查,對符合第43(6)條的委任機構、符合第42(7)條而在第三國設立的被認證的控制者或處理者進行持續性的公共登記;

(p)為了委任第42條規定的認證機構而細化第43(3)條規定的要求;

(q)向歐盟委員會提供關于第43(8)條規定的驗證要求的意見;

(r)向歐盟委員會提供關于第12(7)條規定的圖標的意見;

(s)評估第三國或國際組織的保護程度,包括評估第三國、某個地區、或該第三國的一個或多個特定部門,或國際組織是否仍然提供足夠程度的保護。為了實現這一目的,歐盟委員會應當向歐盟數據保護委員會提供所有必要的記錄,包括和該第三國政府的進行的涉及到第三國、某個地區、或該第三國的一個或多個特定部門,或國際組織的通信。

(t)發布按照第64(1)條規定的一致性機制而做出的關于監管機構的決議草案,按第64(2)條提交的事項,以及發布根據第65條,包括第66條規定的約束性決定。

(u)促進監管機構之間的合作,有效的雙邊或多邊信息交換,以及最好的實踐;

(v)促進共同培訓項目,協助監管機構之間以及——如果適用的話——監管機構與第三國監管機構或國際組織之間的人員交換;

(w)促進與全球數據保護監管機構的知識交流、數據保護立法的記錄與實踐。

(x)發布關于根據第40(9)條在歐盟層面起草的行為準則的意見;以及

(y)對于監管機構和法庭做出的決定以及根據一致性機制所處置的事項,保持一份公眾可以訪問的電子登記。

2.當歐盟委員會請求歐盟數據保護委員會提供意見,歐盟委員會可以在考慮事項的緊急程度后表明期限要求。

3.歐盟數據保護委員會應當將其意見、指導綱領、推薦以及最佳操作告知歐盟委員會和第93條規定的理事會,而且應當將它們公開。

4.如果適用的話,歐盟數據保護委員會應當咨詢當事人,給與他們在一段合理期限內進行評論的機會。在不影響第76條的前提下,歐盟數據保護委員會應當將咨詢程序的結果公之于眾。

第71條 報告

1.對于歐盟內部、相關第三國以及國際組織中的數據處理活動,若涉及自然人的保護,歐盟數據保護委員會應當起草年度報告。報告應當公開,而且應當傳輸給歐洲議會、歐盟理事會和歐盟委員會。

2.年度報告應當包括第70(1)條(l)點規定的對指導方針、建議和最佳操作的實際運用進行審查,以及第65條規定的約束性決議。

第72條 程序

1.歐盟數據保護委員會應當通過其成員的簡單多數做出決定,除非本條例有相反規定。

2.歐盟數據保護委員會應當以其成員的三分之二多數制定程序規則,組建其自身的操作機制。

第73條 主席

1.歐盟數據保護委員會應當通過簡單多數的方式從其成員中選舉一位主席、兩位副主席。

2.主席以及副主席職位的任期應當是5年,可以連任一屆。

第74條 主席的任務

1.主席具有如下任務:

(a)召集歐盟數據保護委員會的會議,準備會議議程;

(b)將委員會根據第65條而做出的決定告知第65條規定的領導性監管機構和相關監管機構;

(c)保證歐盟數據保護委員會任務的及時履行,特別是和第63規定的一致性機制相關的任務。

2.歐盟數據保護委員會應當在其程序規則中對主席與副主席的任務分工進行分配。

第75條 秘書

1.歐盟數據保護委員會應當有一名秘書,其應當由歐盟數據保護監督者來任命。

2.秘書應當嚴格按照歐盟數據保護委員會主席的指示履行其職責。

3.歐盟數據保護監管者的員工,如果涉及履行到本條例賦予給歐盟數據保護委員會的任務,應當與涉及履行賦予給歐盟數據保護監管者的任務的員工遵守不同的報告程序。

4.在適用的情況下,歐盟數據保護委員會和歐盟數據保護監管者應當撰寫與發布一份實施本條的諒解備忘錄,確定它們之間合作的條款,在涉及履行本條例賦予給歐盟數據保護委員會的任務時,諒解備忘錄適用于歐盟數據保護監管者的員工。

5.秘書應當向歐盟數據保護委員會提供分析、管理與后期支持。

6.秘書應當對如下事項負責:

(a)歐盟數據保護委員會的日常事務;

(b)歐盟數據保護委員會、歐盟數據保護委員會主席與歐盟委員會之間的交流;

(c)與其他機構及公眾的交流;

(d)內部交流與外部交流中對電子手段的使用;

(e)對相關信息的翻譯;

(f)對歐盟數據保護委員會會議的準備與跟蹤;

(g)準備、起草與發布歐盟數據保護委員會對監管機構之間分歧的意見與決定,以及其他文本。

第76條 機密性

1.歐盟數據保護委員會若認為根據程序規則的要求,有必要秘密開展某項討論活動,那么該討論活動就應當嚴格保密。

2.訪問提交給歐盟數據保護委員會的成員、專家與第三方代表的文件,應當遵守歐洲議會和歐盟理事會的 (EC) No 1049/2001條例

第八章  救濟、責任與懲罰

第77條 向監管機構提起申訴的權利

1.在不影響任何其他行政或司法救濟的前提下,每個數據主體都有向監管機構進行申訴的權利,這尤其適用于以下地點的監管機構:數據主體所屬的成員國或經常居住地、工作地、或數據主體認為處理其個人數據違反本條例的發生地。

2.收到申訴的監管機構應當告知申訴者申訴的進展和結果,包括符合第78條的司法救濟的可能性。

第78條 針對監管機構的有效司法救濟權

1.在不影響其他任何行政或司法救濟的前提下,任何自然人或法人都有權對關乎他們的監管機構的有法律約束力的決定獲得有效的司法救濟。

2.在不影響其他任何行政或司法救濟的前提下,如果根據第55條和第56條的有權監管機構不處置申訴,或者在三個月內沒有向數據主體告知第77條規定的申訴的進展或結果,任何自然人或法人都有權獲得有效的司法救濟。

3.針對監管機構的法律訴訟應當在監管機構所在的成員國的法庭提起。

4.如果針對監管機構決定的法律訴訟發生在歐盟數據保護委員會根據一致性機制而做出意見或決定之前,監管機構應當將其意見或決定告知法院。

第79條 針對控制者或處理者的有效司法救濟權

1.在不影響其他任何行政或司法救濟的前提下,包括在不影響第77條規定的向監管機構提交申訴的前提下,任何數據主體認為,由于違反本條例而處理其個人數據,導致其被本條例所賦予的權利被侵犯,在這些情形下其都有獲取司法救濟的權利。

2.針對控制者或處理者的法律訴訟應當在它們擁有機構的成員國的法庭提起。在其他情形下,此類法律訴訟可以在數據主體的經常居住地的法庭提起,除非控制者或處理者是成員國行使其公共權力的公共機構。

第80條 對數據主體的代表

1.數據主體有權委托非盈利機構、實體或協會代表其行使第77、78、79條規定的權利,以及在成員國法律規定的情形下,代表其行使第82條規定的獲得賠償的權利。非盈利機構、實體或協會應具備如下條件:按照成員國法律設立,其章程目標是實現公共利益,在為了保護數據主體的權利與自由而代表個人提起申訴方面表現積極。

2.不論數據主體是否委托,成員國都可以規定,本條第1段所規定的任何機構、組織或協會如果認為本條例所規定的數據主體的權利已經因為處理而受到侵犯,都有權在成員國向第77條規定的有權監管機構提起申訴,行使第78條和第79條規定的權利。

第81條 法律訴訟的中止

1.當一個成員國的有管轄權的法院獲知,另一成員國的法院準備對涉及同一個控制者或處理者處理的同一主要事項進行判決,該法院應當通知另一成員國的法院已經存在此類法律程序。

2.當另一成員國法院準備對涉及同一個控制者或處理者處理的同一主要事項進行判決,除了首先接收案件的法院,所有有權審理的法院都可以停止其法律程序。

3.在那些訴訟等待初審的情形中,如果首先接收案件的法院對涉及的活動具有管轄權而且其法律允許合并審理,所有除了首先接收案件的法院都可以基于相關一方的申請而拒絕管轄。

第82條 獲取賠償的權利與責任

1.任何因為違反本條例而受到物質或非物質性傷害的人都有權從控制者或數據者那里獲得對損害的賠償。

2.任何涉及到處理的控制者都應當對因為違反本條例的處理而受到的損害承擔責任。對于處理者,當其沒有遵守本條例明確規定的對處理者的要求,或者當其違反控制者的合法指示時,其應當對處理所造成的損失負責。

3.控制者或處理者如果證明自己對引起損失的事件沒有任何責任,那么其第2段所規定的責任可以免除。

4.當不止一個控制者或處理者,或控制者與處理者同時涉及到同一處理,而且它們對第2段和第3段規定的處理所引起的所有損失承擔責任,每個控制者或處理者都應當對損失負有連帶責任,以便保證對數據主體的有效賠償。

5.當控制者或處理者已經根據第4段的規定對所受損失進行全額賠償,該控制者或處理者可以按照第2段所規定的條件,要求另一控制者或處理者返回其造成的那部分損失。

6.為了行使其獲得賠償的權利,根據第79(2)條的規定,應當在成員國認可的有管轄權的法院提起訴訟請求。

第83條 行政罰款的一般條件

1..每個監管機構都應當保證,其根據本條而對第4、5、6條所規定的違反本條例的行為進行罰款,在每個案件中都應當是有效的、成比例的和勸誡性的。

2.根據每個案件的具體情形,行政處罰應當在第58(2)條的(a)至(h)點以及(j)點規定的措施基礎上進行追加,或者應當代替這些措施。當在每個具體案件中決定是否應當進行行政處罰,以及決定行政處罰的金額,應當充分考慮如下因素:

(a)結合相關處理的性質、范圍或目的,被影響的數據主體的數量以及損害程度而確定的違法的性質、嚴重性與持續時間;

(b)違法的性質是基于故意還是過失;

(c)控制者或處理者為了減輕數據主體損失而采取的所有行動;

(d)結合控制者或處理者采取的符合第25條和第32條的技術性與組織性措施而認定的控制者或處理者的責任程度;

(e)控制者或處理者之前的所有相關違法行為;

(f)為了糾正違法行為和減輕違法所造成的可能負面影響而和監管機構進行合作的程度;

(g)為違法行為所影響的個人數據類型;

(h)監管機構得知違法行為的方式,特別是控制者或處理者是否對違法行為進行了報告,以及在何種程度上進行了報告;

(i)如果對同一主題事項已經對控制者或處理者發布第58(2)條規定的措施,對這些措施是否遵守;

(j)遵守符合第40條的已生效的行為準則或符合第42條的已生效的認證機制;以及

(k)對于案件情形可以適用的所有加重或減輕因素,例如因為違法而直接或間接導致的經濟收益、避免的損失。

3.如果控制者或處理者故意或過失性地因為同一或相關的處理操作而違反本條例的條款,行政罰款的總額不應當超過最嚴重違法所確定的額度。

4.違反如下條款,應當按第2段的規定施加最高10 000 000歐元的行政罰款,如果是企業的話,最高可處相當于其上一年全球總營業額2%的金額的罰款,兩者取其高的一項進行罰款:

(a)第8,11,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,42和43條規定的控制者和處理者的責任;

(b)第42條和第43條規定的認證機構的責任;

(c)第41(4)條規定的監管機構的責任。

5.違反如下條款,應當按第2段的規定施加最高20 000 000歐元的行政罰款,如果是企業的話,最高可處相當于其上一年全球總營業額4%的金額的罰款,兩者取其高的一項進行罰款:

(a)處理的基本原則,包括第5、6、7和9條規定的同意的條件;

(b)第12條至22條規定的數據主體的權利;

(c)第44條至第49條規定的將個人數據轉移到第三國或一個國際組織的接收者;

(d)所有第九章規定的符合成員國法律的責任;

(e)違反監管機構根據第58(2)條對處理所發布的命令、或暫時性或確定性的限制,或對數據流動的中止,或違反第58(1)條拒絕提供訪問。

6.違反第58(2)條規定的監管機構發布的命令,應當按第2段的規定施加最高20 000 000歐元的行政罰款,如果是集團的話,可以施加最高前一年全球總營業額4%的罰款,兩者取其高的一項進行罰款。

7.在不影響符合第58(2)條的監管機構的矯正權力的前提下,每個成員國都可以制定規則,確定在什么情況下對在其境內設立的公共機構和實體進行行政處罰。

8.監管機構行使本條所規定的權力,應當采取符合歐盟和成員國法律所規定的合適的程序性保障,包括有效的司法救濟和正當程序。

9.當成員國的法律體系并不提供行政處罰,本條可以以如下方式適用:可以通過有權監管機構提出行政處罰,然后有職權的全國性法院進行適用,同時,應保證那些法律救濟是有效的,而且這些法律救濟與監管機構所施加的行政處罰具有同等效力。不論在何種情形中,所施加的處罰必須是有效的、成比例的和勸誡性的。那些成員國應當[在本條例生效兩年內]將根據本段所制定的法律條款、所有后續的修正性法律或影響它們的法律修訂及時告知歐盟委員會。

第84條 懲罰

1.成員國應當制定可適用于違反本條例的其他懲罰的規則,特別是對于那些不受第83條規定的行政處罰約束的違法行為,成員國應當制定必要措施保證這些懲罰規則得到執行。此類懲罰應當是有效的、成比例的和勸誡性的。

2.對于符合第1段所制定的法律,每個成員國的應當[在本條例生效的兩年內]將其法律條款告知歐盟委員會,而且應當及時告知影響條款的后續修訂。

第九章  和特定處理情形相關的條款

第85條 處理、表達自由與信息

1.成員國應當通過制定法律調和符合本條例制定的個人數據保護權與表達自由權與信息權,包括調和為了新聞目的和學術、藝術或文學表達目的而進行的處理。

2.對于出于新聞目的和學術、藝術或文學表達目的而進行的處理,如果對于調和符合本條例制定的個人數據保護權與表達自由權與信息權有必要,成員國應當對第二章(原則)、第三章(數據主體的權利)、第四章(控制者和處理者)、第五章(個人數據轉移到第三國或國際組織)、第六章(獨立監管機構)、第七章(合作與一致性)和第九章(特定數據處理的情形)的規定進行豁免或克減。

3.每個成員國都應當將其按照第2段所制定的法律條款告知歐盟委員會,而且應當將所有后續的修正性法律或影響它們的法律修訂及時告知歐盟委員會。

第86條 處理與公眾對官方文件的訪問

為了調和公眾對官方文件的訪問與本條例規定的個人數據保護權,對于公共機構或公共實體或為了實現公共利益而履行任務的私人實體所擁有的官方文件中的個人數據,機構或實體可以根據成員國為機構或實體而制定的法律而公開。

第87條 對全國性身份識別號碼的處理

成員國可以對處理全國性身份識別號碼或其他一般性識別標識的特定情形做出規定。在這種情形下,只有對本條例規定的數據主體的權利與自由采取適當安全保障,才能使用全國性身份識別號碼或其他一般性識別標識。

第88條 雇傭語境下的處理

1.多個成員國可以通過法律或通過協定制定特定規則,以保證在雇傭語境下處理雇員個人數據保證其權利與自由。這在如下情形中尤其適用:為了招聘、履行雇傭合同,包括法律或集體合同規定的免除合同;對工作的管理、計劃與組織;工作場所的合理性與多樣性;工作中的健康與安全,對員工與顧客財產的保護;為了行使和享受雇傭相關的權利與收益;以及為了終止雇傭關系。

2.此類規則應當包括為保障數據主體人身尊嚴、正當利益與基本權利的合適與特定的措施。這在涉及到如下事項時尤其適用:處理的透明性;在一群企業中轉移個人數據;或進行聯合經濟活動的一群企業和工作場所的監管系統。

3.每個成員國應當[在本條例生效的兩年內]將其按照第1段所制定的那些法律條款告知歐盟委員會,而且應當及時告知影響條款的后續修訂。

第89條 為了實現公共利益、科學或歷史研究或統計目的處理中的安全保障與克減

1.為了實現公共利益、科學或歷史研究或統計目而處理,應當采取符合本條例的恰當防護措施,保障數據主體的權利與自由。這些防護措施應當確保,為了保證數據最小化原則,已經采取技術與組織性的措施。這些措施可以包括匿名化,如果匿名化也能實現上訴目的。如果在進一步處理中實現對數據主體無法識別也可以實現上訴目的,那就應當采取這種方式處理。

2.對于為了實現公共利益、科學或歷史研究或統計目的處理,成員國的法律可以按照本條第1段所規定的情形與防護措施對第15、16、18、21條所規定的權利進行克減——如果此類權利可能徹底阻礙或嚴重阻礙實現上述目的,而此類克減對于實現上訴目的是必要的。

3.當個人數據處理是為了實現公共利益,歐盟或成員國的法律可以按照本條第1段所規定的情形與防護措施對第15、16、18、19、20和21條規定的權利進行克減——如果此類權利可能徹底阻礙或嚴重阻礙實現上述目的,而此類克減對于實現上訴目的是必要的。

4.如果第2段和第3段所規定的處理還有其他目的,克減將只適用于為了實現第2段和第3段中所規定的目的的處理。

第90條 保密責任

1.成員國可以制定特定的規則,對第58(1)條(3)和(f)點所規定的、和作為主體的控制者或處理者相關的、全國性有權機構所設立的監管機構的權力進行規定,如果有必要對個人數據保護與保守秘密進行調和與比例性保護,此特定規則可以施加職業性秘密保守責任或其他同等責任。只有在那些保守秘密責任所涉及的活動中或因為此類活動而接收個人數據,此類規則才適用于控制者或處理者。

2.每個成員國的應當[在本條例生效的兩年內] 將其按照第1段所制定的那些法律條款告知歐盟委員會,而且應當及時告知影響條款的后續修訂。

第91條 現有的的對教會和宗教協會的數據保護規則

1.在本條例生效后,對于適用于某成員國境內教會、宗教協會或團體的保護自然人在處理相關中的綜合性規則,如果它們和本條例保持一致,仍然應當適用。

2.對于那些適用符合第1段的綜合性規則的教會和宗教協會,其應當接受一個獨立監管機構的監管,如果其滿足本條例第六章規定的條件,這種獨立監管機構可以是特別指定的。

第十章  授權法案與實施性法案

第92條 對授權的行使

1.歐盟委員會享有授權法案的制定權,此權力受本條所規定的條件所約束。

2.第12(8)條和43(8)條所規定的授權應當[在本條例生效后]的一段不確定的時間內賦予給歐盟委員會。

3.第12(8)條和43(8)條所規定的授權可以隨時被歐洲議會或歐盟理事會撤銷。撤銷決定應當終止決定所特別指明的授予性權力。撤銷決定生效日是歐盟官方雜志發布后的第二天或決定所特別標明的日期。撤銷決定不應影響任何已經生效的授權性法案。

4.歐盟委員會一旦制定授權性法案,其應當立刻同時告知歐洲議會和歐盟理事會。

5.根據第12(8)條和第43(8)條而指定的授權性法案,只有歐洲議會或歐盟理事會在其收到通知后三個月內都沒有表達反對,或者在三個月內歐洲議會或歐盟理事會已經告知歐洲委員會它們不會反對,其才能生效。如果歐洲議會或歐盟理事會提出延期,這個期間可以再延長三個月。

第93條 委員會程序

1.歐盟委員會應當有一個小組對其進行協助。該小組應當是(EU) No 182/2011條例所規定的小組。

2.涉及到此段時,(EU) No 182/2011指令第5條應當適用。

3.涉及到此段時,與(EU) No 182/2011指令第5條配合的(EU) No 182/2011指令第8條應當適用。

第十一章 最后條款

第94條  95/46/EC指令的廢止

1.在[本條例生效后的兩年]后95/46/EC指令將被廢止。

2.當參照廢止指令時,應當通過參照本條例來進行解釋。對于參照工作小組在95/46/EC指令第29條所規定的處理個人數據中個人保護,這應當以參照本條例所規定的歐盟數據保護委員會來進行解釋。

第95條 與2002/58/EC的關系

在歐盟的公共通訊網絡中提供公眾可獲取的電子通訊服務的情形中,對于2002/58/EC指令已經施加特殊責任的事項,本條例不應再對同一事項再向自然人或法人施加額外責任。

第96條 和之前已經達成的協議的關系

對于[在此條例生效]之前的,符合[在此條例生效]之前所制定的法律的,涉及到將個人數據傳輸到第三國或國際組織的成員國之間已經達成的國際性協議,在其被修改、替代或撤銷之前,應當一直具有效力。

第97條 委員會報告

1.在[本條例生效后的四年后],以及在這之后的每四年,歐盟委員會應當向歐洲議會和歐盟理事會提交一份對本條例的評價與審查。該報告應當公之于眾。

2.在第1段所規定的評價與審查情形中,歐盟委員會應當尤其檢查如下事項的適用與運作:

(a)第五章規定的將個人數據轉移到第三國或國際組織,特別是按照本條例第45(3)條而做出的決定,以及根據95/46/EC第25(6)條而做出的決定;

(b)第七章規定的合作與一致性。

3.為了實現第1段的目的,歐盟委員會可以要求成員國和監管機構提供相關信息。

4.為了進行第1段和第2段規定的評價與審查,歐盟理事會應當考慮歐洲議會、歐盟理事會以及其他相關實體與生產商的立場與調查。

5.在必要的情形下,歐盟委員會應當提交修改本條例的合適動議,特別是如果考慮了信息科技的發展以及信息社會中的發展狀態。

第98條 對歐盟其他數據保護法案的審查

如果合適的話,歐盟委員會應當提交立法性動議,以便對歐盟的其他個人數據保護法案進行保護,以便保證在處理中對自然人進行一致與一致性的保護。這尤其應當涉及到歐盟機構、實體、辦公室和規制機構處理中和自然人保護相關的規則,以及此類數據的自由流動。

第99條 生效與適用

1.本條例的生效時間是其在歐盟官方雜志發布后的二十天后。

2.其適用時間是[本條例生效后的兩年后]。

本條例的所有條款都具有約束力,而且應當直接適用于成員國。

歐洲議會和歐盟理事會關于公眾訪問歐洲議會、歐盟理事會與歐盟委員會文件(OJ L 145, 31.5.2001, p. 43)的(EC) No 1049/2001條例。

譯者注:轉載請注明譯者和出處。由于譯者精力、時間和水平所限,本譯稿的疏漏之處在所難免,歡迎對本譯稿提出批評和意見,聯系郵箱:[email protected] .

譯者簡介:丁曉東,法學博士,中國人民大學法學院副教授。
文章來源:中國憲政網
發布時間:2018/9/24
 
分享到: 豆瓣 更多
【打印此文】 【收藏此文】 【關閉窗口】
 
深圳风采公式