第一章
一般規定
第1條
主題與目標
1.本法就對與個人數據的處理相關的自然人的保護及個人數據的自由流動訂立規則。
2.本法保護自然人的基本權利和自由,尤其是自然人的個人數據保護權。
3.不得以保護與處理的個人數據相關的自然人為由,限制或禁止個人數據在歐盟內部的自由流動。
第2條
適用範圍
1.本法適用於完全或部分以自動管道對個人數據的處理,構成或擬構成整理彙集系統一部分的自動管道除外。
2.本法不適用於以下個人數據的處理:
(a)發生在聯盟法律範圍之外的活動過程中;
(b)由成員國在歐洲聯盟條約第五卷第2章範圍內進行活動時;
(c)由自然人在純粹的個人或家庭活動的過程中;
(d)由首長當局為預防、調查、偵查或起訴的刑事犯罪,執行的刑事處罰的目的,包括防範和封锁公共安全受到威脅。
3.歐盟機构、委員會、辦事處和專業行政部門(代理機构)處理個人數據,適用第45/2001號條例。
根據本法第98條,處理個人數據適用第45/2001號條例和其他聯盟法律法規的,應當符合本法的原則和規則。
4.本法不影響2000/31 / EC指令的適用,特別是該指令第12條至第15條中的中間服務提供者的責任規則。
第3條
地域範圍
1.本法適用於設立在歐盟內的控制者或處理者對個人數據的處理,無論其處理行為是否發生在歐盟內。
2.本法適用於對歐盟內的數據主體的個人資料處理,即使控制者和處理者沒有設立在歐盟內,其處理行為:
(a)發生在向歐盟內的數據主體提供商品或服務的過程中,無論此項商品或服務是否需要數據主體支付對價; 或
(b)是對數據主體發生在歐盟內的行為進行的監控的。
3.本法適用於設立在歐盟之外,但依據國際公法歐盟成員國法律可適用地的控制者對個人數據的處理。
第4條
定義
為本法之目的:
(1)“個人數據”是指任何指向一個已識別或可識別的自然人(“數據主體”)的資訊。 該可識別的自然人能够被直接或間接地識別,尤其是通過參照諸如姓名、身份證號碼、定位數據、線上身份識別這類標識,或者是通過參照針對該自然人一個或多個如物理、生理、遺傳、心理、經濟、文化或社會身份的要素。
(2)“處理”是指針對個人數據或個人數據集合的任何一個或一系列操作,諸如收集、記錄、組織、建構、存儲、自我調整或修改、檢索、諮詢、使用、披露、傳播或其他的利用,排列、組合、限制、删除或銷毀,無論此操作是否採用自動化的手段。
(3)“處理限制”是指對已存儲的個人數據的標識,用於在將來限制他們的處理行為;
(4)“剖析”是指為評估與自然人相關的某些個人情况,對個人數據進行任何自動化處理、利用的管道,特別是針對與自然人的工作表現、經濟狀況、健康狀況、個人偏好、興趣、信度、習性、位置或行踪相關的分析和預測。
(5)“匿名化”是一種使個人數據在不使用額外資訊的情况下不指向特定數據主體對待個人資料處理管道。 該處理管道將個人數據與其他額外資訊分別存儲,並且使個人數據因科技和組織手段而無法指向一個可識別和已識別的自然人。
(6)“整理彙集系統”是一種依照特定標準,如集中、分散或功能分佈或地域基準存取個人數據的結構化集合。
(7)“控制者”是能單獨或聯合决定個人數據的處理目的和管道的自然人、法人、公共機构、行政機關或其他非法人組織。 其中個人資料處理的目的和管道,以及控制者或控制者資格的具體標準由歐盟或其成員國的法律予以規定。
(8)“處理者”是指為控制者處理個人數據的自然人、法人、公共機构、行政機關或其他非法人組織。
(9)“接收者”是指接收到被傳遞的個人數據的,無論其是否是協力廠商的自然人、法人、公共機构、行政機關或其他非法人組織。 但是,政府因在歐盟或其成員國法律框架內特定調查接收到個人數據的,不得被視為“接收者”; 政府處理這些數據應當根據資料處理的目的,遵循可適用的數據保護規則。
(10)“協力廠商”是指數據主體、控制者、處理者以及在控制者或處理者直接授權處理個人數據者以外的自然人、法人、公共機构、行政機關或其他非法人組織。
(11)數據主體的“同意”是指數據主體依照其意願自願做出的任何指定的、具體的、知情的及明確的訓示。 通過聲明或明確肯定的行為作出的這種訓示,意味著其同意與他或她有關的個人數據被處理。
(12)“個人數據外泄”是指個人數據在傳輸、存儲或進行其他處理時的安全問題引發的個人數據被意外或非法破壞、損失、變更、未經授權披露或訪問。
(13)“基因數據”是指與自然人先天或後天的遺傳性特徵相關的個人數據。 這類數據傳達了與該自然人生理機能或健康狀況相關的獨特資訊,並且上述數據往往來自於對該自然人生物樣本的分析結果。
(14)“生物識別數據”是通過對自然人的物理、生物或行為特徵進行特定的科技處理的得到的個人數據。 這類數據生成了那個自然人的唯一標識,比如人臉影像或指紋識別數據。
(15)“有關健康的數據”是指與自然人身體或精神健康有關的個人數據,包括能揭示關於他或她的健康狀況的健康保健服務所提供的數據。
(16)“主營業地”意味著:
(a)對於營業機构在多個成員國的的控制者,除非控制者在歐盟內的另一個營業機构能够决定並有能力貫徹個人數據的處理目的和管道,否則其在歐盟內的主要管理者所在地被視為主營業地。
(b)對於營業機构在多個成員國的處理者,其在歐盟內的主要管理者所在地,在本法下承擔特定義務; 如果處理者在歐盟內沒有主要管理者,在處理者的營業機构的營業範圍內進行主要處理行為的營業地,在本法下承擔特定義務。
(17)“代表”指由控制者和處理者依照第27條書面指定的,代表控制者和處理者分別履行本法規定的義務的歐盟內的自然人、法人。
(18)“企業”是指參與經濟活動的自然人或法人,無論其為何種組織形式,可以包括合夥或經常性參與經濟活動的協會。
(19)“企業團體”是指一個管控性的企業以及受其管控的企業群。
(20)“約束性企業規則”是指成員國領土上的控制者和處理者通過事業集團或企業集團進行的聯合經濟活動,而致個人資料傳輸或系列傳輸到一個或多個協力廠商國家的控制者或處理者時必須遵循的個人數據保護政策。
(21)“監管機构”是指一個獨立的,由成員國依據第51條設立的公權力機构。
(22)“有關監管機构”是與人資料處理有關的監管機构,因為:
(a)控制者或處理者是建立在監管機构所在的成員國領土上的;
(b)居住在監管機构所在成員國的數據主體被或可能被處理行為嚴重影響; 或
(c)一個由監管機构提交的申訴;
(23)“跨境處理”是指以下情形之一:
(a)個人資料處理發生在一個歐盟內的設立在多個成員國的控制者或處理者在多個成員國的營業機构的活動中。
(b)個人數據的處理發生在一個歐盟內的控制者或處理者的唯一營業機构的活動中,但是這種處理嚴重影響或可能會嚴重影響多個成員國的數據主體。
(24)“相關與合理抗告”是指一種關於是否存在違反本法情况,或是控制者或處理者是否存在遵守本法的預設行為的抗告。 這個抗告清晰地表明了有關資料主體的基本權利和自由的決議草案所造成的風險的重要影響,以及此種抗告也適用於歐盟內的個人數據自由流動。
(25)“資訊時代服務”是指歐洲議會和理事會的指令(歐盟)2015/1535的第一條(1)款的(b)項中定義的服務。
(26)“國際組織”是指依照國際公法設立的組織及其下屬機構,或依據或以兩個或更多國家之間達成的協定為基礎建立的其他機構。
第二章
原則
第5條
與個人資料處理相關的原則
1.個人數據應:
(a)以合法、公正、透明的管道處理與數據主體有關的(“合法性、公平性和透明性”);
(b)為特定的、明確的、合法的目的收集,並且不符合以上目的不得以一定的管道進行進一步的處理; 為公共利益、科學,或歷史研究目的,或統計目的而進一步處理,按照第89條第(1)款,不應被視為不符合初始目的(“目的限制”);
(c)充分、相關以及以該個人資料處理目的之必要為限度進行處理(“數據最小化”);
(d)準確,必要,及時; 為了個人數據被毫不延遲地處理、删除或修正的目的,必須採取一切合理的步驟確保個人數據是不精確的(“精度”);
(e)在不超過個人資料處理目的之必要的情形下,允許以數據主體以可識別的形式保存; 為了保護數據主體的權利和自由,依據第89條(1)予以實施本法所要求的適度的科技和組織措施,只要個人數據將僅僅以為達到公共利益、科學或歷史研究或統計的目的而處理,個人數據能被長時間存儲(“存儲限制”)。
(f)以確保個人數據適度安全的管道處理,包括使用適當的科技或組織措施來對抗未經授權、非法的處理、意外遺失、滅失或損毀的保護措施(“完整性和機密性”)。
2.控制者應該負責,並能够證明符合第一項(“問責制”)。
第6條
處理的合法性
1.只有在適用以下至少一條的情况下,處理視為合法:
(a)數據主體同意他或她的個人數據為一個或多個特定目而處理;
(b)處理是為履行數據主體參與的契约之必要,亦或處理是因數據主體在簽訂合同前的請求而採取的措施;
(c)處理是為履行控制者所服從的法律義務之必要;
(d)處理是為了保護數據主體或另一個自然人的切身利益之必要;
(e)處理是為了執行公共利益領域的任務或行使控制者既定的公務職權之必要;
(f)處理是控制者或者協力廠商為了追求合法利益的之必要,但此利益被要求保護個人數據的數據主體的利益或基本權利以及自由覆蓋的除外,尤其是數據主體為兒童的情形下。
前第一款(f)項不適用於政府當局在履行其職責時進行的處理。
2.成員國可以維持或引入更具體的規定來適應本法關於處理的條款應用,通過設定包括在第九部分中規定的其他具體處理情形,設定更準確具體的處理要求和其他措施來確保合法和公平的處理,以遵守第一款的(c)項和(e)項,
3.第一款的(c)項和(e)項所指的處理的依據如下:
(a)歐盟法律; 或
(b)控制者所屬的成員國法律。
處理的目的應當依據法律確定,或者根據第一款(e)項中所指之處理,即應當為了執行公共利益領域的任務或行使控制者既定的公務職權之必要。 法律依據可以包括具體條款以此來適應本法條款的應用,特別是:調整控制者處理合法性的一般條件; 被處理的資料類型; 與數據主體相關的; 個人數據可能被披露的實體和目的; 目的限制; 存儲期限; 以及處理操作和處理程式,包括確保合法和公平處理的措施,諸如那些在第九部分提及的其他具體處理情况。 歐盟或成員國法律應當符合公共利益的目標以及與追求的正當目標相稱。
4.當處理不是為了個人數據被收集時的那個目的,並且這個目的不是基於數據主體的同意,亦非基於在民主社會構成一個必要且適當措施來保障第23條(1)款所指之目標的歐盟或成員國法律,控制者應當為了查明為其他目的進行的處理是否與個人數據最初被收集時的目的相一致而考慮,特別是:
(a)任何在個人數據被收集時的目的和預期進一步處理的目的之間的聯系;
(b)個人數據被收集時的情形,尤其是關於數據主體和控制者的關係的;
(c)個人數據的性質,尤其不管是依據第9條被處理的特殊類別的個人數據,還是依據第10條與刑事定罪和罪行有關的個人數據;
(d)預期進一步處理給數據主體可能造成的後果;
(e)適當的可能包括加密或匿名化的保障措施的存在。
第7條
同意的要件
1.如處理是基於同意,則控制者應能證明數據主體已經同意處理他或她的個人數據。
2.如數據主體通過書面聲明的管道作出同意,且書面聲明涉及其他事項,那麼同意應以易於理解且與其他事項顯著區別的形式呈現。 構成違反本法的聲明的任何部分,均不具約束力。
3.數據主體有權隨時撤回他或她的同意。 同意的撤回不應影響在撤回前基於同意作出的合法的資料處理。 在作出同意前,數據主體應被告知上述權利。 撤回同意應與作出同意同樣容易。
4.當評估同意是否是自由作出時,應盡最大可能考慮,還應考慮契约的履行,包括服務的提供是否是基於對履行契约不必要的個人數據的同意。
第8條
關於資訊時代服務適用於兒童同意的條件
1.如適用第6條第1款(a)項,關於直接向兒童提供資訊時代服務的,對16周歲以上兒童的個人數據的處理為合法。 兒童未滿16周歲時,處理只有在征得父母責任的主體同意情形下,或授權兒童同意的範圍內合法。
如低齡不低於13周歲,則成員國可以通過法律為那些目的向低齡提供。
2.考慮到現有科技,控制者應當作出合理的努力,去核實在此種情況下,父母責任的主體同意或授權。
3.第1款不應影響成員國的一般契约法律,諸如與兒童有關的契约效力、構成或實行。
第9條
特殊種類的個人資料處理
1.對揭示種族或民族出身,政治觀點、宗教或哲學信仰,工會成員的個人數據,以及以唯一識別自然人為目的的基因數據、生物特徵數據,健康、自然人的性生活或性取向的數據的處理應當被禁止。
2.如果符合以下情形,則第1款不適用:
(a)數據主體對以一個或數個特定目的對上述個人數據的處理給予了明確同意,但依照歐盟或者成員國的法律規定,第1款規定的禁止情形不能被數據主體援引的除外。
(b)資料處理為實現控制者或數據主體在工作、社會保障以及社會保障法的範疇內履行義務、行使權利之目的,則是必要。 應當在歐盟或成員國的法律認可下,或者依據成員國對數據主體的基本權利和利益提供適當的保障的法律規定訂立的集體協定的範圍內實施。
(c)資料處理是對於保護數據主體或另一個自然人的切身利益之必要,但數據主體物理上或法律上無法給予同意時;
(d)資料處理是由政治、哲學、宗教、工會性質的協會、組織或其他非營利組織在有適當安全保障的合法活動中實施的,處理應當僅僅與該組織的成員或前成員或與該組織依組織宗旨為聯系的定期連絡人相關,並且相關個人數據未經數據主體同意不得向組織外的人披露。
(e)處理被數據主體明顯地公開的個人數據;
(f)資料處理為合法訴求的成立、行使或辯護或者法庭司法權的行使之必要;
(g)為了實質的公共利益,資料處理是必要的。 依據歐盟或者成員國的法律,追求該目的是適當的,應當尊重數據保護的基本權利,應當提供適當、特定的措施來保障數據主體的基本權利和利益;
(h)為實現以下目的,資料處理是必要的。 為了預防醫學和職業醫學,為了雇員的工作能力評估,醫療診斷,提供衛生社會保健或治療或衛生社會保健體系以及服務的構建,應當依據歐盟或成員國的法律或者依據與保健專業人士的契约,並且遵守第3款要求的條件和保障。
(i)在公共健康的領域為了公共利益的考量,對於特定專業秘密的資料處理是必要的。 譬如,抵禦嚴重的跨境衛生威脅,確保衛生保健、藥品或醫療器械高標準的質量和安全,依據聯盟或成員國的法律規定以適當的、特定的措施來保障數據主體的權利與自由;
(j)為了公共利益、科學或歷史研究的目的,或者統計的目的,依照第89條第(1)款基於聯盟或者成員國的法律,追求該目的是適當的,應當尊重數據保護的基本權利,應當提供適當、特定的措施來保障數據主體的基本權利和利益。
3.為實現第2款(h)項中的目的,第1款中的個人數據可能被處理,那些數據應當被一個依據歐盟或者成員國的法律或國家法定機构製定的規則負有保守專業秘密的義務的專業人士處理,或者說這是他的責任; 或者由另一個同樣依據歐盟或者成員國的法律或國家法定機构製定的規則遵守保密義務的人處理。
4.成員國可以保持或者引進進一步的條件,包括指向基因數據、生物特徵數據或者健康數據的個人資料處理的限制。
第10條
有關刑事定罪和罪行的個人數據的處理
有關刑事定罪和罪行的,或有關基於第6條第1款的安全措施的個人數據的處理應當在公務職權的控制下開展,或者被歐盟或成員國法律授權為保護數據主體的自由和權利而提供保護措施的處理。 任何刑事定罪的綜合登記應當只能在公務職權的控制下保存。
第11條
無需認證的處理
1.如果控制者不需要或者不再需要認證其所掌控的個人數據的數據主體,那麼若僅僅根據本章程的要求和規定,控制者就沒有義務保存、獲取或者處理額外的資訊來認證數據主體。
2.如果有本條第一款所提到的情况,那麼在可能的情况下,控制者應當告知數據主體,說明自己並無對數據主體進行認證的職責。 只有在數據主體出於行使自身權利需要,而且提供額外的身份證明資訊的情况下,第15條至第20條才能得以適用。
第三章
數據主體權利
第一節
資訊透明度和資訊機制
第12條
數據主體行使權利的透明度、交流和模式
1.控制者應當以一種簡單透明、明晰且容易獲取的管道,通過清楚明確的語言,採取合適措施提供第13條和第14條所提到的任何資訊,以及根據第15條到第22條和第34條所提及的關於數據主體處理過程的溝通資訊(尤其是關於兒童的任何資訊)。 控制者應當提供書面資料,在其他情况下,若有必要,可以採用電子管道。 如果數據主體能够通過其他管道得到認證,那麼在數據主體的要求下,能够以口頭管道提供資訊。
2.控制者應當根據第15條到第22條的規定幫助數據主體行使權利。 在第11條第2款的情形下,除非控制者說明自己不具有數據主體的認證職責,否則,對於數據主體根據第15條至第22條行使自身權利的要求,控制者不能拒絕。
3.控制者應當及時(在任何情况下不得超過一個月)提供根據第15條至第22條採取的行動資訊。 考慮到要求的複雜性和數量,在必要的時候,這一期限可以再延長兩個月。 對於延期提供資訊的任何情况,控制者都應當通知數據主體相關情形和延遲原因。 在可能的情况下,這些資訊能够以電子管道提供,除非數據主體對提供管道有特殊要求。
4.如果控制者沒有根據數據主體的要求採取行動,控制者應當及時通知(至遲不超過一個月)數據主體未採取行動的原因、向監督機構提起申訴以求尋求司法救濟的可能性。
5.根據第13條和第14條所提供的資訊以及根據第15條至第22條和第34條提供的任何溝通行動都應當免費提供。 在數據主體提出的要求無法查明、超出提供範圍,尤其是重複提起要求的情形下,控制者也可以:
(a)考慮到提供資訊、交流或者採取行動的行政成本,行政部門可以收取合理的費用;
(b)拒絕受理數據主體的請求。
控制者應當承擔說明那些無法查明或者居於其提供範圍之外的數據的責任。
6.在不違背第11條的前提下,控制者在對自然人依據第15條到第22條所提出的要求持有合理懷疑時,可以要求數據主體提供額外的必要的資訊來證明身份。
7.根據第13條和第14條的要求,控制者應當採用標準化的圖標,以簡潔明瞭、清晰可視、曉暢易讀的管道向數據主體提供資訊。 這些圖標以電子管道呈現,這樣就可以以機讀的管道進行資訊的讀取工作。
8.歐盟委員會應當被授予根據第92條的規定採取措施來製定標準化圖標的資訊和程式的權利。
第2節
個人數據資訊和獲取
第13條
數據主體收集的個人數據的提供
1.鑒於數據主體能够獲取與自身有關的個人數據,控制者應當在獲取個人資訊時,向數據主體提供以下資訊:
(a)控制者的身份和詳細聯繫方式,適當時還要提供代表人的身份和詳細聯繫方式;
(b)適當時提供數據保護局的詳細聯繫方式;
(c)個人資訊處理的目的以及處理的法律基礎;
(d)當處理過程是依據(f)項和第6條第一款的規定進行的,應當說明控制者或者協力廠商追求的立法利益;
(e)如果可以,應當提供個人數據接收方或者接受方的種類;
(f)在適當的情况下,應當提供控制者意圖將個人數據向第三國或者國家組織進行傳輸的事實、委員會是否就此問題做出過充分決議、第46、47條或者第49條第1款第二小段提及情形的相關資訊。 此外,還包括所採取的保護個人資訊的合理安全措施以及獲取影本的管道。
2.除了第一款提到的資訊,控制者在獲取個人數據時,出於證實處理過程的公正和透明的需要,在必要的情况下,應當向數據主體提供如下資訊:
(a)個人數據的儲存階段,在無法提供的情形下,應當提供階段劃分的决定標準;
(b)有資格處理數據主體權利要求的,能够獲取、修正、删除個人資訊或者管制數據權利的控制者的資訊;
(c)根據第6條(a)項或者第9條第2款(a)項所進行的在不觸犯法律的前提下,處理過程資訊、任意取消滿意度的相關資訊;
(d)向監督機構提起申訴的權利;
(e)個人數據條款是否應當在法律條文中、在契约契約中規定。 還是應當作為締結契约的必要條件進行規定。 此外,還應當包括數據主體是否有義務提供個人數據以及無法提供數據情形下的可能的後果的資訊;
(f)自動的決策機制,包括第22條第1款以及第4款提到的分析過程所涉及的邏輯程式以及對數據主體的處理過程的重要意義和設想結果。
3.鑒於控制者進一步處理個人資訊的意圖,控制者應當在此之前向數據主體提供與第2款有關的資訊。
4.當數據主體已經獲得這些資訊時,第1款、第2款、第3款不能得以適用。
第14條
並非從數據主體處獲取的個人數據的提供
1.當個人資訊並非從數據主體處獲得時,控制者應當向數據主體提供如下資訊;
(a)控制者的身份和詳細聯繫方式,適當時還要提供代表人;
(b)適當時提供數據保護局的詳細聯繫方式;
(c)個人資訊處理的目的以及處理的法律基礎;
(d)相關個人數據的種類;
(e)個人數據接收方或者接受方的種類;
(f)在適當的情况下,應當提供控制者意圖將個人數據向第三國或者國家組織進行傳輸的事實、委員會是否就此問題做出過充分決議、第46、47條或者第49條第1款第二項提及情形的相關資訊。 此外,還包括所採取的保護個人資訊的合理安全措施以及獲取影本的管道。
2.除了第一款提到的資訊,控制者在獲取個人數據時,出於證實處理過程的公正和透明的需要,在必要的情况下,應當向數據主體提供如下資訊:
(a)個人數據的儲存階段,在無法提供的情形下,應當提供階段劃分的决定標準;
(b)鑒於第6條第1款(f)項的處理過程,控制者或者協力廠商追求的立法利益;
(c)有資格處理數據主體權利要求的,能够獲取、修正、删除個人資訊或者管制數據權利的控制者的資訊;
(d)根據第6條第1款(a)項或者第9條第2款(a)項所進行的在不觸犯法律的前提下,處理過程資訊、任意取消滿意度的相關資訊;
(e)向監督機構提起申訴的權利;
(f)個人數據獲取的來源,在合適的情况下,提供是否是通過公共管道獲取的資訊;
(g)自動的決策機制,包括第22條第1款以及第4款提到的分析過程所涉及的邏輯程式以及對數據主體的處理過程的重要意義和設想結果。
3.控制者應當根據第1款和第2款的規定提供資訊:
(a)在獲取個人數據之後的合理期限內(至遲不超過一個月),提供與個人數據獲取具體情形有關的資訊;
(b)如果個人數據將要用於數據主體間的交流,那麼資訊提供時間最遲不超過第一次交流活動;
(c)如果可以披露接收方,那麼資訊提供時間最遲不晚於個人數據的首次披露時間。
4.鑒於控制者進一步處理個人資訊的意圖,控制者應當在此之前向數據主體提供與第2款有關的資訊。
5.第1款至第4款在以下情形不得適用:
(a)數據主體已經獲得這些資訊;
(b)這些資訊的提供是不可能的,尤其是根據第89條第1款規定或者本條第1款提及的義務規定,出於公共利益、科學或者歷史調查和統計調查的目的所進行的不均衡的努力。 在這些情况下,控制者應當採取合適的措施去保護數據主體的權利和自由以及法律利益(包括公開資訊的措施);
(c)控制者應當根據聯盟或者成員國法律所規定的獲取或者披露個人資訊的規定,採取合適的措施來保護數據主體的法律利益;
(d)根據聯盟或者成員國法律以及保密法規定的職業保密制度,個人數據必須保密。
第15條
數據訪問權
數據主體應當有權從管理者處確認關於該主體的個人數據是否正在被處理,以及有權在該種情况下訪問個人數據和以下資訊:
(a)處理的目的;
(b)有關個人數據的類別;
(c)個人數據已經被洩露或者將會被洩露給的接受者或接受者類別,特別是第三國或國際組織的接受者;
(d)在可能的情况下,預想的個人資料存儲期間; 或者不可能時,用於確定該期間的標準;
(e)有權要求管理者糾正或删除該個人數據或者限制或拒絕處理關於該數據主體的個人數據;
(f)向監管機构提出投訴的權利;
(g)在個人數據並非由數據主體收集的情况下,關於其來源的任何可用資訊。
(h)自動化決策,包括第22條第1款和第4款提到的概要,以及涉及到的至少在前述情况下有意義的邏輯方面的資訊,和這種處理行為對數據主體而言的意義和預想的後果。
如果將個人數據轉移到第三國或國際組織,數據主體應當有權根據第46條獲得有關轉讓的適當保障的通知。
控制者應提供正在處理的個人數據的副本。 對於數據主體要求的任何進一步的文字,控制者可以根據管理成本收取合理的費用。 如果數據主體通過電子管道提出請求,除非數據主體另有要求,資訊應當以常用的電子形式提供。
獲得第3款所指副本的權利不得對他人的權利和自由產生不利影響。
第16條
糾正權
數據主體應當有權要求控制者無不當延誤地糾正有關其的不準確個人數據。 考慮到處理的目的,數據主體應當有權使不完整的個人數據完整,包括通過提供補充聲明的管道。
第17條
擦除權(被遺忘權)
數據主體有權要求控制者無不當延誤地删除有關其的個人數據,並且在下列理由之一的情况下,控制者有義務無不當延誤地删除個人數據:
(a)就收集或以其他管道處理個人數據的目的而言,該個人數據已經是不必要的;
(b)數據主體根據第6條第1款(a)項或第9條第2款(a)項撤回同意,並且在沒有其他有關(數據)處理的法律依據的情况下;
(c)數據主體根據第21條第1款反對處理,並且沒有有關(數據)處理的首要合法依據,或者數據主體根據第21條第2款反對處理;
(d)個人數據被非法處理;
(e)為遵守控制者所受制的聯盟或成員國法律規定的法定義務,個人數據必須被删除;
(f)個人數據是根據第8條第1款所提及的資訊時代服務的提供而收集的。
如果控制者已將個人數據公開,並且根據第1款有義務删除這些個人數據,控制者在考慮現有科技及實施成本後,應當採取合理步驟,包括科技措施,通知正在處理個人數據的控制者,數據主體已經要求這些控制者删除該個人數據的任何連結、副本或複製件。
當處理(數據)對於以下情形而言是必要的時,第1款和第2款不應當被適用:
(a)為了行使言論和資訊自由的權利;
(b)為了遵守需要由控制者所受制的聯盟或成員國法律處理的法定義務,或為了公共利益或在行使被授予控制者的官方許可權時執行任務;
(c)根據第9條第2款(h)、(i)項以及第9條第3款,為了公共衛生領域的公共利益的原因;
(d)根據第89條第1款,為了公共利益的存檔目的、科學或歷史研究目的或統計目的,只要第1款所述的權利很可能表現為不可能的或者很可能嚴重損害該處理目標的實現;
(e)為了設立、行使或捍衛合法權利。
第18條
限制處理權
在下列情况之一,數據主體應當有權限制控制者處理(數據):
(a)數據主體對個人數據的準確性提出爭議,且允許控制者在一定期間內核實個人數據的準確性;
(b)該處理是非法的,並且數據主體反對删除該個人數據,而是要求限制使用該個人數據;
(c)控制者基於該處理目的不再需要該個人數據,但數據主體為設立、行使或捍衛合法權利而需要該個人數據;
(d)數據主體在核實控制者的法律依據是否優先於數據主體的法律依據之前已根據第21條第1款反對處理。
如果處理(行為)根據第1款受到限制,除儲存之外,這些個人數據只應在數據主體同意的情况下,或為設立、行使或捍衛合法權利,或為保護其他自然人或法人的權利,或為了聯盟或成員國的重要公共利益的原因被處理。
根據第1款有權限制處理(數據)的數據主體應當在處理限制解除之前收到控制者的通知。
第19條
關於糾正或删除個人數據或限制處理的通知義務
除非被證明不可能完成或者包含不成比例的工作量,控制者應當將根據第16條、第17條第1款以及第18條對個人數據進行的任何糾正、删除或者處理限制,傳達給已向其披露個人數據的接收者。
如果數據主體請求,控制者應當通知數據主體這些接收者。
第20條
反對權
數據主體有權基於與其特定情况有關的理由,在任何時候依據第6條第1款(e)項或(f)項拒絕有關其的個人數據被處理,包括根據這些規定進行概況分析。 控制者不得再處理該個人數據,除非控制者證明其有關(數據)處理的強制性法律依據優先於數據主體的利益、權利和自由,或者為了設立、行使或捍衛其合法權利。
如果為了直接行銷的目的而處理個人數據,數據主體有權在任何時候反對有關其的個人數據為進行此類行銷而被處理,其中包括與此類直接行銷相關的概況分析。
如果數據主體反對以直接行銷為目的的處理,則個人數據不得再為此目的而被處理。
最遲在與數據主體第一次通信時,第1款和第2款中提到的權利應當明確提請數據主體注意,並應清楚地、與任何其他資訊分開提交。
第四節
拒絕權和自主決定權
第21條
拒絕權
1.數據主體擁有拒絕權,在關於他/她的特定情形下,在任何時間處理關係到他/她第6條第1款第(e)或第(f)項規定的個人數據,包括基於這些條款的分析。 控制者不能處理個人數據,除非控制者能够證明不顧數據主體的利益、權利和自由處理數據或者建立、行使或維護這種法律權利具有令人信服的正當化理由。
2.個人數據因為直接行銷的目的被處理的,數據主體應當有權利拒絕在任何時間因為這種商業目處理關係到他/她的個人數據,這種商業目的包括分析達到有關這種直接行銷的程度。
3.數據主體拒絕因直接的商業目的處理數據的,個人數據不應該因任何這種目的被處理。
4.至少在與數據主體第一次溝通時,在第一款和第二款指代的權利應該明確地提起數據主體的注意,應該被清晰地呈現且與任何其他的資訊相區分。
5.在資訊時代服務使用的背景下,即使有歐共體2002年的指令,數據主體可以通過使用技術規範的自動化管道行使他/她的拒絕權。
6.根據第89條第1款個人數據因科學或歷史研究或統計的目的被處理的,數據主體在關於他/她的特定情形下,有權利拒絕對他/她的個人數據進行處理,除非這種處理對於一個因為公共利益的任務的履行是必要的。
第22條
自主化的個人決策,包括分析
1.數據主體有權利不受一個僅僅依靠包括分析的自動化處理的决定的限制,這會產生關於他/她或僅僅影響他/她的法律後果。
2.第一款不適用,如果這個決定:
(a)對於數據主體和一個數據控制者之間的一個契约的建立和履行是必要的。
(b)這個控制者是數據主體,以及確立保護數據主體權利、自由和正當化利益的適當措施是聯盟或成員國的法律所規定的; 或
(c)基於數據主體的明確同意。
3.在涉及到第2款第(a)和(c)項的情况下,數據控制者應當實施適當的措施保護數據主體的權利、自由和正當化利益,至少獲得對控制者部分的人為干預權,表達他/她的觀點和爭奪決定權。
4.在第二款涉及的决定不應當基於第9條第1款提及的個人數據的特殊分類,除非適用第9條第2款的第(a)或(g)項和確立適當的措施維護數據主體的權利、自由和正當化利益。
第五節
限制
第23條
限制
1.聯盟或成員國的法律規定數據控制者或處理者是主體,可以通過立法措施限制第12條至22條和第34條的權利與義務的範圍,以及第5條中與在第12條至22條的權利義務相對應的條款。 這樣一種限制尊重了基本權利和自由的本質,是一種在民主社會必要的、相符合的措施,以此維護:
(a)國家安全;
(b)防衛;
(c)公共安全;
(d)刑事犯罪的預防、調查、偵查、起訴或者刑事處罰的執行,包括對公共安全威脅的防範和預防;
(e)聯盟或一個成員國一般公共利益的其他重要目標,特別是聯盟或成員國的重要經濟或財政利益,包括貨幣、預算和稅收等事項、公共衛生和社會保障;
(f)司法獨立與司法程式的保護;
(g)違反職業道德規範的預防、調查、偵查和起訴;
(h)監督、檢查或相關的監管職能,甚至偶爾行使官方權力在涉及到第(a)(b)(c)(d)(e)(f)和(g)項的情形下。
(i)對數據主體或其他人的權利與自由的保護。
(j)民事訴訟賠償的執行。
2.特別是,在第1款所指的任何立法措施,應至少包含具體的規定,有關的,如:
(a)處理的目的或處理的分類;
(b)個人數據的分類;
(c)引入的限制範圍;
(d)防止濫用或非法使用或轉讓的保障措施;
(e)控制者的具體說明或控制者分類;
(f)存儲期限和適用的保障措施,考慮到性質、範圍和處理的用途或處理的分類;
(g)對數據主體權利和自由的威脅; 和
(h)數據主體被告知限制的權利,否則將不利於限制的目的。
第四章
控制者和處理者
第一節
基本義務
第24條
控制者的義務
1.考慮到性質、範圍、內容和處理的用途以及處理給自然人的權利和自由帶來的不同可能性和嚴重程度的風險,控制者應當實施適當的科技和組織措施,以確保並能够證明,根據本條例進行處理。 這些措施應在必要時進行審查和更新。
2.有關處理活動相稱的,第1款所指的措施應包括由控制者實施適當的數據保護政策。
3.遵守第40條提及的行為準則或第42條提及的經準予的認證機制,可以作為一個元素,以證明符合控制者的義務。
第25條
通過設計和默認的數據保護
1.考慮到現狀,執行的成本和性質,範圍,內容和處理的用途以及處理給自然人的權利和自由帶來的不同可能性和嚴重程度的風險,控制者應該在確定處理手段和在處理的同時,實施適當的科技和組織措施,如匿名化,即目的是實施數據保護原則,如數據最小化,以有效的管道,在處理時實施必要的保障措施,以符合法律要求,保護數據主體的權利。
2.控制者應該實施適當的科技和組織措施以確保,在默認情况下只有對每個特定處理目的有必要的個人數據才能被處理。 該義務適用於收集的個人數據的數量,資料處理的程度,數據的存儲期限和數據的可及性。 特別是,這些措施應確保在沒有個人對無限數量自然人的干預下,個人數據在默認情况是不可訪問的。
3.根據第42條的經準予的認證機制可以作為一個元素,以證明符合本條第1款和第2款的要求。
第26條
聯合控制者
1.當由兩個或兩個以上的控制者共同决定處理的目的和手段時,他們就是聯合控制者。 他們應以明確的管道確定在監管規定下各自的責任與義務,尤其是通過他們之間的安排,確定關於行使數據主體的權利和第13條和14條提及的他們各自的提供資訊的職責,除非到目前為止,控制者各自的責任由聯盟或成員國法律確定哪些控制者是主體。 這種安排可以指定數據主體的聯系點。
2.第一款提到的安排應當及時反映各自的角色和聯合控制者相對數據主體的關係。 該安排的實質,應使數據主體得知。
3.不論在第1款所指的安排條款,數據主體可以根據本規定行使他或她的權利,不論是否與控制者一致。
第27條
未在聯盟中設立的控制者或處理者的代理人
1.如果適用第3條第2款的,控制者或處理者應當以書面形式指定聯盟中的代理人。
2.該義務不適用於:
(a)偶然的處理,在一個大的範圍裏,不包括對第9條第1款提及的數據的特殊類別的處理,或者第10條提及的有關刑事定罪和處罰的個人數據的處理,而且考慮到處理的性質、內容、範圍和目的,這種處理不太可能導致自然人的權利和自由的風險; 或者
(b)一個公共權力機關或機构。
3.代理人應當被建立在一個成員國中,這些成員國的數據主體及其個人數據根據提供給它們的貨物或服務被處理,或者它們的行為被監控。
4.為確保遵守本條例的目的,代理人應被控制者或處理者授權,以及特別是監管機构和數據主體的授權來處理所有的相關問題。
5.控制者或處理者對代理人的指定,應對於代理人可能做出的不利於控制者或處理者自身的法律行為無損權益。
第28條
處理者
1.當處理是以控制者的名義進行的,控制者只使用處理者實施的適當的科技和組織措施提供充分保證,以這種管道使處理滿足法規的要求,確保對數據主體權利的保護。
2.如果未經控制者特別的或一般的的事先書面授權,該控制者不能引入另一個控制者參與。 在一般的書面授權的情况下,處理者應該通知控制者任何有關新增或替換其他控制者的變化,以使控制者有機會應對這樣的變化。
3.一個處理者的處理應遵守聯盟或成員國法律下的在契约或其他法律行為,即控制者與處理者相結合,提出處理的主題和處理的期限,性質和處理目的,個人數據的類別、數據主體的分類和控制者的權利義務。 該契约或其他法律行為應規定,特別是處理者:
(a)處理個人數據只能基於控制者的書面訓示,包括有關個人數據向一個第三世界國家或一個國際組織的轉移,除非聯盟或成員國法律所允許這樣做的,該處理者是主體; 在這種情況下,處理者在處理之前,應通知控制者有關法律的要求,除非法律由於重大公共利益的原因禁止提供這樣的資訊;
(b)確保個人被授權處理個人數據,且已承諾保密或在適當的法定保密義務下;
(c)根據第32條要求的採取所有措施;
(d)遵守第2款和第4款提到的引入其他處理者的條件;
(e)考慮到處理的性質,運用適當的科技和組織措施協助控制者,因為到目前為止這是可能的,為履行控制者的義務,以適應第三章規定的行使數據主體權利的要求;
(f)考慮到處理的性質和處理者可得到的資訊,協助控制者以確保其遵守第32條至36條規定的義務;
(g)一旦選擇了控制者,就需要删除或向該控制者返還所有的個人數據,在提供有關處理服務的最後,删除現有的版本,聯盟或成員國法律允許存儲的個人數據除外;
(h)提供給控制者所有必要的資訊,以證明符合在本條中規定的義務,並允許和促進稽核,包括檢查,由控制者或由控制者授權的另一核數師進行。
關於第一項的第h項,處理者應當立即通知控制者,如果在其看來,一個指令違反了本條例或其他聯盟或成員國的數據保護規定。
4.在處理者引入其他處理者執行代表控制者的特定處理活動,第3款提及的控制者和處理者之間的契约或其他法律行為中的相同的數據保護的要求,應通過聯盟或成員國法律在契约或其他法律行為施加給其他處理者,特別是實施適當的科技和組織措施提供充分保證,以這樣的管道,確保處理能滿足本規範要求。 其他處理者未能履行其數據保護義務的,最初處理者應保持就其他處理者義務的履行對控制者承擔責任。
5.第40條所提及的一個處理者遵守的一個被認可的行為準則,或在第42條提及的一個經準予的認證機制,可以作為一個元素用來證明本條的第1款和第4款中提到的充分保證。
6.在不損害控制者和處理者之間的單個契约情况下,在本條第3款和第4款提及的契约或其他法律行為,可能基於,本條第7款和第8款提及的標準化的契约條款的全部或部分,包括當它們成為依據第42條和第43條授權給控制者和處理者的認證的一部分。
7.歐盟委員會可就本條第3款和第4款所指的事項製定標準化的契约條款,並按照第93條第2款所指的審查程式。
8.監督機關可以採用根據本條第3款和第4款所指事項的標準化的契约條款,並按照第63條所指的一致性機制。
9.第3款和第4款所指的契约或其他法律行為,應當以書面形式,包括電子形式;
10.在不損害第82條、83條和84條的情况下,如果一個處理者違反本條例的規定决定處理的目的和手段,該處理者可以在處理方面被認為是控制者。
第29條
在控制者或處理者的許可權下處理
有權訪問個人數據的處理者以及在控制者或處理者的許可權下作為的任何人,除控制者指令外不得處理那些數據,除非聯盟或成員國法律允許這麼做。
第30條
處理活動的記錄
1.每一位控制者,以及如適用控制者的代理人,應當依其職責保持處理活動的記錄。 那個記錄應當包括以下所有資訊:
(a)控制者以及如適用的聯合控制者、控制者代理人和數據保護員的姓名和聯系資訊;
(b)處理的目的;
(c)數據主體的類別和個人數據的分類的描述;
(d)個人數據已經或將要被公開的收件人的類別,包括在第三世界國家或國際組織的收件人;
(e)如適用,將個人數據向第三世界國家或國際組織的傳輸,包括該第三國或國際組織的鑒定,以及在第49條第1款第二款提及的傳輸的情况下,對檔案採取適當的安全措施;
(f)如可能,則對擦除不同類別的數據設定時間限制;
(g)如可能,對第32條第1項提及的科技和組織安全措施進行一般性描述。
第31條
和監督機構的合作
在事務執行的過程之中,應用控制者、應用處理者以及它們的代表,應當根據要求與監管機构進行合作。
第32條
處理過程的安全性
1.統籌考慮最先進的科技、實施成本、處理過程(包括其性質、範圍、目的)以及自然人自由權利變化可能性和嚴重性的風險。 控制者、處理者應當執行合適的科技措施和有組織性的措施來保證合理應對風險的安全水准,尤其要酌定考慮以下因素:
(a)個人數據的匿名化和加密;
(b)數據系統保持持續的保密性、完整性、可用性以及彈性的能力;
(c)在發生自然事故或者科技事故發的情况下,存儲有用資訊以及及時獲取個人資訊的能力;
(d)定期對測試、訪問、評估技術性措施以及組織性措施的有效性進行處理,力求確保處理過程的安全性。
2.安全帳戶的等級評估應當尤其重視處理過程中的風險問題,特別是抵禦意外和非法銷毀、損失、變更、未經授權披露或者是個人數據的傳送、存儲和處理過程中的風險。
3.參攷第40條採取一種合法行為或者參攷42條採取一種認證機制,這可以用來說明本條第一款要求的合規性。
4.控制者以及處理者應當逐步採取措施,以求確保在部門規制之下操作個人數據的自然人不能對數據進行處理,除非獲得控制者的訓示,或者其根據聯邦或州憲法確有必要。
第33條
監管機构對個人數據洩露的通知
1.在個人數據洩露的情况下,控制者不能不當延誤,而且至少應當在知道之時起72小時以內,根據第55條向監管機构進行通知,除非個人數據的洩露不會導致自然人權利和自由的風險。 如果通知遲於72小時,需要對遲延原因進行解釋。
2.在控制者知道發生資訊洩露而不當延誤時,處理者應當通知控制者。
3.第一款所說的通知,至少應當包括:
(a)對於所洩露的個人數據的性質進行描述,包括相關資料主體以及數據記錄的種類和大致數量;
(b)和數據保護局或者是其他獲取更多資訊的聯系點交流名稱和聯繫方式;
(c)描述個人資訊洩露的可能情况;
(d)重視個人數據洩露問題,描述控制者採取的或者計畫採取的措施,包括在適當情况下能够減輕可能的負面影響的措施。
4.只要沒有造成不適當的進一步延誤,在資訊不可能同時提供的情况下可以分階段進行。
5.控制者應當記錄任何個人數據洩露情况,包括和個人數據洩露有關的事實、影響和採取的補救性措施,這些可以使得監管機构驗證行為的合規性。
第34條
關於數據主體的個人數據交流
當個人數據洩露可能對自然人權利和自由形成很高的風險時,控制者應當毫不延誤地就個人數據洩露的主體進行交流。
本條第一款提到的數據主體交流,應當至少應當包括第33條第三款的(b)(c)(d)三項所涉及的資訊和建議,並且用清晰平實的語言描述個人數據洩露的性質以及內容。
在一下這些情况下,不能適用第一款所提到的數據主體交流:
(a)控制者已經採取合適的技術性、組織性保護措施,而且此類措施已經被應用於受到資訊洩露影響的個人資訊之中,尤其是那些未經授權任何人都無法得知的科技,比如,資料加密科技;
(b)控制者已經採取能够確保第一款所提到的(自然人)權利和自由不受侵犯的高風險不再可能實現的措施。
(c)這會涉及到不相稱的努力。 在這樣的情况下,就應當有一個能够使得數據主體獲得平等有效通知的公共交流機制或者相類似的舉措。
如果控制者並未就數據主體進行個人數據交流,考慮到個人數據資訊洩露的高度風險,監管機构可以要求其這樣做或者可以决定其符合第三款列出的任何條件。
第三節
數據保護影響評估以及事先諮詢
第35條
數據保護影響評估
1.鑒於一種資料處理管道,尤其是使用新技術進行資料處理,統籌考慮處理過程的性質、範圍、內容和目的,(不難得知)這很可能對自然人權利和自由帶來高度風險。 在進行資料處理之前,控制者應當對就個人數據保護所設想的處理操作管道的影響進行評估。 一個單一的評估方法也許能够對現時的相似的高風險狀況,提供相類似的一組操作管道。
2.當進行數據保護影響評估時,受委任的控制者可以向數據保護局尋求幫助。
3.以下情形尤其適用於第一款所說的數據保護:
(a)對自然人個人情况評估所進行的系統和廣義上的理解也是基於自動處理(包括分析)以及基於依據
(b)第9條第一款提到的大範圍的資料處理或者第十條提到的關於刑事定罪和罪行相關的個人資訊。
(c)一個大規模的公共可訪問區域的系統性監測。
4.監督機構應當根據第一款,建立並且公佈一套資料處理機制,使其符合評估影響的需要。 監管機构應當就這些與第68條所提到的董事會進行交流。
5.監督機構也可以建立以及向公眾發佈並不強制要求數據評估保護的處理機制種類。 監管機构應當就此與董事會進行交流。
6.在採取第四款第五款的措施之前,監管機构應當應用63條的監管機制,包括與貨物提供、服務提供、數據主體或者某些成員國的行為管控相關或者與可能會實質上影響到個人數據自由運動相關的處理活動。
7.評估至少包括以下內容:
(a)對於所設想機制以及處理目的(包括數據應用、控制者追求的立法利益)的系統性描述;
(b)對與處理目的相關的處理機制必要性的評估;
(c)對第一款所提到的數據主體的權利自由的風險性評估;
(d)所設想的處理風險的舉措,包括保障措施、安全措施、確保個人數據保護安全的機制以及說明數據主體權利和立法利益方面的合規性舉措。
8.在評估處理機制影響的過程中,對於40條所規定的相關管理者以及處理者行為的合法性應當考慮在內,尤其是關於數據保護評估目的的部分。
9.合適的情况下,管理者應當尋求數據主體或者他們在預期處理方面的代表的觀點,不能對商業利益保護、個人利益保護或者處理機制的安全保護持有偏見。
10.依據第六條第一款(c)項或(e)項的處理,有聯盟法律或者成員國國內法的依據,在這些法律之中,管理者是一方主體。 這些法律規制了具體的處理管道或者一系列仍受爭議的的機制。 數據保護影響評估管道已經被當做是一般影響評估的一個部分得到實施。 第一款到第七款不能得到適用,除非成員國認為處理活動的事先評估確有必要。
11.必要時,如果處理管道是根據數據保護影響評估所作出的,在處理機制的風險出現變化的時候,處理管理者應當對評估進行審查。
第36條
事先諮詢
1.第35條下的數據保護影響評估表明,如果控制者沒有採取措施减少風險,那麼處理過程將會是高風險的。 因而,控制者應當在處理之前向監督機構進行諮詢。
2.第一款中監管機构預期處理在控制者沒有完全認定或者减少風險的情况,是對第一款規定的違反。 監督機構應當至遲在8周以內向控制者提出書面建議,也可以使用第58條所規定的權力。 考慮到預期處理的複雜性,這一期限可以延遲六周。 監管機构應當就任何延長期間的情况通知控制者以及處理者,並且說明遲延理由。 這些期間可以中止,直到監管機构實現它所要求的諮詢目的。
3.根據第一款向監管機构諮詢時候,管理者應當提供:
(a)控制者,控制者和處理者的聯合部門的代表職責,尤其是關於處理過程的企業團體;
(b)預期處理的目的和手段;
(c)根據本法保護數據主體權利自由的保障措施;
(d)應用時,數據保護局的聯繫方式;
(e)35條所規定的數據保護影響評估;
(d)其他。
4.成員國應當在準備方案期間向監管機构諮詢國家議會所指定的立法措施,或者基於這些立法措施且和資料處理有關的規章。
5.根據第一款,成員國的法律也許需要先向控制者諮詢,對於涉及公共利益(包括社會保護和公眾健康)的處理程式,應當獲得監管機构的預先授權。
第四節
數據保護局
第37條
數據保護局人員的指派
1.在以下情况下,控制者和處理者應當指派數據保護人員:
(a)公共當局或者機构施行的處理措施,而非法院基於行使司法權進行的;
(b)控制者或者處理者資料處理機制的覈心活動是性質、範圍和(或者)目的,需要進行定期和系統的大規模數據主體監控;
(c)根據第9條的大規模特殊種類資料處理管道以及第10條的刑事指控和犯罪,控制者和處理者的覈心活動構成大規模的特殊數據種類;
2.如果可以在企業指派數據保護人員,企業團體可以任命一個獨立的數據保護人員。
3.鑒於控制者和肩負按部門是一種公共的部門或者機构,考慮到它們的組織結構和規模,獨立的數據保護人員可以被一些這樣的部門或者機构所指派。
4.除了第一款所涉及的情况,控制者、處理者、處理協會、其他代表不同種類的部門或者根據聯盟或者成員國法律應當設立的部門,應當指派數據保護人員。 數據保護人員可以根據這些機构以及代表控制不嗯或者處理者的其他主題進行活動。
5.數據保護人員的指派應當給予職業能力,尤其是關於數據保護法律的專業知識以及39條所提到的完成任務的經驗和能力。
6.數據保護人員可以是控制者或者處理者的成員,他們基於一種服務上的聯系完成任務。
7.控制者或者處理者應當公佈數據保護人員的聯繫方式,並且將名旦告知監管機构。
第38條
數據保護人員的地位
1.在進行個人數據保護的任何相關活動時,控制者和處理者應當保證資料處理人員的參與是合適的而且及時的。
2.控制者和處理者應當對數據保護人員根據第39條所執行的活動予以支持(通過提供執行任務的必要資源、接觸個人數據和處理機制的必要管道以及個人專業知識的培訓)
3.控制者和處理者應當確保對數據保護人員不下達任何指令,他們不能因為執行任務的原因而被解雇或者受到刑事處罰。 數據保護人員直接向最高管理者報告工作。 和
4.數據主體可以就所有關於自身數據以及本章程規定下的自身權利問題,與數據保護人員進行聯系。
5.根據聯盟法律或者成員國法律,數據保護人員應當對其執行的任務內容進行保密。
6.數據保護人員也可以執行其他的任務,履行其他職責。 控制者或者處理者應當確保這些執行活動不會導致利益衝突。
第39條
數據保護人員的任務
1.數據保護人員的任務至少包括:
(a)向控制者、處理者以及根據本章程或者根據其他聯盟法律成員國法律規定的義務進行資料處理的人員,提出通知和建議。
(b)和監控本章程、其他聯盟成員國法律、控制者處理者關於個人數據的相關政策(包括職責、意識提高、人員培訓)以及相關稽核活動的合規性;
(c)根據35條提出對於數據保護影響評估和監控的建議;
(d)和監管機构合作;
(e)作為監管機构與處理活動的連接點,包括36條提到的事先諮詢或者其他諮詢活動。
2.數據保護人員應當適當考慮他們的任務以及和處理機制有關的風險(考慮到處理活動的性質、範圍、內容以及目的)。
第5章
行為法規和認證
第40條
行為法規
1.為了本章程得到更好地應用,成員國、監管機构、董事會和委員會應當鼓勵行為法規的起草。 起草應當考慮不同的處理者的具體特點,以及小微企業和中等規模企業的具體需要。
2.為了使得本法得到具體應用,協會和其他代表不同種類的主體可以為行為法規的製定、修訂、擴充做準備:
(a)公平透明的處理程式;
(b)在具體情形下,控制者的立法利益;
(c)個人數據收集;
(d)個人數據的虛假資訊;
(e)向公眾和其他數據主體提供的資訊;
(f)數據主體權利的行使;
(g)關於兒童保護以及父母撫養責任持有人同意的管道的資訊收集;
(h)第24條和第25條提到的保護措施以及32條提到的確保安全措施;
(i)向監管機构以及其他數據主體進行個人數據洩露的通知;
(j)向第三國或者國際組織傳輸個人數據;
(k)根據第77條、第79條,不違背地看待數據主體權利,重視關於控制者和其他數據主體衝突解决的庭外程式以及其他衝突解决程式。
3.控制者和處理者應當製作有約束力和強制力的承諾,在保障數據主體的權利時作為保障。
4.第二款所說的行為法規應當包括使得41條第一款所提到的主體在進行強制監控時能够應用的守則。 守則應當根據第55條或者第56條,不受監管機构權力制約,不偏不倚地得到執行。
5.本條第二款所說的協會和其他意圖準備修訂或者擴充現有守則的主體,應當根據第55條提交守則草案,修正案。 監管機构應當提出草案、修正案是否符合本章程規定的意見,如果具備充分合理的保障,監管機构應當予以批准。
6.當符合第五款的草案或者修正案已經獲得批准,且與成員國所進行的處理活動沒有聯系的時候,監管機构應當登記公開守則。
7.關於一些成員國處理活動的行為法規草案,根據第55條,監管機构應當在準予守則草案、修正案之前,依據63條的程式向董事會進行提交,而且應當附有草案、修正案是否合規的意見,根據第3款的情况提出合理的保障措施。
8.根據第七款的意見,提出合理的保障措施,董事會應當向委員會提交意見。
9.委員會可以通過採取措施來决定根據第八款提交的準予的行為法規、修正案在聯盟內具有普遍的有效性。 實施行為應當符合第93條第2款的規定。
10.委員會應當保證對符合第九款規定具有有效性的守則進行資訊公開。
11.董事會會應當對行為法規、修正案進行整理和登記,並且採用合適的管道進行資訊公開。
第41條
行為法規的合法性監控
1.監管機构依據第57條和第58條的規定,不違背規定,執行任務和行使權力。 可以由某個機构主體對根據第40條所施行的活動的加以合法性監控。
2.第一款所說的主體一種可以被認可的監督合規性主體。 應當負責進行如下行為:
(a)說明它關於守則主體問題的獨立性和專業性,以求獲得監管機构的同意;
(b)建立能讓其取得管理者和處理者評估資格的程式,對於行為合法性的加農以及對自身機制進行的階段性複審;
(c)建立處理對違反守則或者控制者、處理者以前及現在對守則的執行情况的控告程式和結構。 讓程式和結構透明化和公開化;
(d)向負責的監管機构說明它的任務和職責的履行不會造成利益衝突。
3.負責的監管機构應當根據63條向董事會提交本條第一款所說相關主體的標準化草案。
4.第一款所提到的主體應當遵從合理的保障機制,在違反行為法規時採取合理措施,包括暫停或者排除管理者或處理者的管理權力。 此外,應當將負責這些行動的相關監督主體以及行動原因進行通知。
5.如果主體行為違反或者不再滿足資格,監管機构應當撤銷主體資格。
6.本條不適用於公共部門和主體。
第42條
認證
1.出於數據保護保密標誌以及說明管理者處理者處理機制合法性的需要,成員國、監管機构,委員會的董事應當尤其在聯盟內激勵數據保護認證機制。 特別需要考量小微企業以及中等規模企業的特殊要求。
2.數據保護認證機制和根據本條第五款的密封標誌可以基於說明控制者、處理者行為合理性的目的而建立。 這些控制者或者處理者應當做出有約束力和強制力的承諾,包括關於數據主體的相關權利。
3.認證應當出於自願,程式應當透明。
4.管理者、處理者的職責不能因為根據本條進行的認證而减少,必須不違背第55條或者第56條,得到監管機构的授權。
5.基於根據第58條第三款監管機构製定的標準或者基於根據第63條董事會所製定的標準,認證必須由第43條所提到的認證主體進行。 如果標準由董事會製定,將由歐洲數據保護局來進行認證。
6.控住部門、處理者依照認證機制提交其處理過程時,應當提供43條所說認證主體或者負責的監管機构的資訊以及具體處理活動,這些對於執行認證程式很有必要。
7.控制者、處理者的認證時間最長不超過三年,但是,如果有繼續進行的需要,在相同的情况下,期間可以重新計算。 當認證主體或者相關負責的監管機构不再符合條件時,認證程式將會被取消。
8.董事會應當將所有認證機制、數據保護密封標誌進行整理和注册,並以任何合理的管道對公眾進行公開。
第43條
認證主體
1.對於有關資料保護問題有一定程度經驗的認證主體,在為了行使依據第58條獲得的權力通知監管機构之後,可以公佈及更新認證。 成員國應當確定這些主體應當被以下至少一個機构授權:
(a)第55條或者第56條體積的監管機构;
(b)符合歐洲議會通過的EC第765/2008規定、委員會通過的EN-ISO/IEC 17065/2012規定以及依據第55條或第56條監管機构所製定的額外要求的國際證人主體。
2.第一款提到的認證主體只有在以下情况下才能得到授權:
(a)根據監管機构的要求,說明他們在數據主體相關問題上的獨立性和經驗性;
(b)承諾遵照第42條第5款提到的標準以及獲得第55條、第56條或者是第63條所說的董事會的監管機构的認可;
(c)建立公開、階段性複審以及取消數據保護認證,保密標誌的程式;
(d)建立處理對違反守則或者控制者、處理者以前及現在對守則的執行情况的控告程式和結構。 讓程式和結構透明化和公開化;
(e)向負責的監管機构說明它的任務和職責的履行不會造成利益衝突。
3.第一款和第二款所提到的認證主體的授權必須基於第55條、第56條或者是第63條所說的董事會的監管機构的認可。 在符合本條第一款所述條件下,應當根據歐洲議會通過的EC第765/2008規定以及描述認證主體認證方法和程式的科技要求,對相關要求進行補充。
4.第一款所說的認證主體應當對導致認證開始或者取消的合理的評估負責。 鑒定合格最長應當在五年內進行公佈,如果滿足本條所列條件,在相同的情况下,期間可以重新起算。
5.第一款所說的數據主體應當向監管機构提供準予認證和撤銷認證的理由。
6.第三款所說的要求以及第42條第5款所說的標準應當以一種簡便的管道向公眾公開。 監管機构也應當向董事會傳達具體要求和標準。 董事會應當將所有認證機制、數據保護密封標誌進行整理和注册,並以任何合理的管道對公眾進行公開。
7.遵照第八章的規定,負責的監管機构或者國際鑒定主體在認證主體的行為違反規定或者認證條件不滿足或者不再滿足的情况下,應當撤銷認證。
8.委員會應當被授權依據第92條,為了實現具體化認證要求的目的,來採取一些被授權進行的行動(考慮到第42條第一款所提到的數據保護認證機制)
9.委員會可以採取措施規定認證機制和數據保護密封標誌的技術性標準。 行動應當根據第93條第2款的規定進行實施
轉自歐卡2存儲網,原文連結: http://www.ets2stor.com/netsafe/12143M462017.html
聯繫方式:
QQ:3880430919
郵箱: 3880430919@qq.com