空间设计网站,如何注册自己的工作室,赣州91人才网赣州招聘信息,不同类型网站优势来源#xff1a;腾讯研究院摘要#xff1a;经过欧盟议会长达四年的讨论#xff0c;欧盟《一般数据保护条例》#xff08;General Data Protection Regulation#xff0c;简称GDPR#xff09;终于将在2018年5月25日也就是明天生效。经过欧盟议会长达四年的讨论#xff0c… 来源腾讯研究院摘要经过欧盟议会长达四年的讨论欧盟《一般数据保护条例》General Data Protection Regulation简称GDPR终于将在2018年5月25日也就是明天生效。经过欧盟议会长达四年的讨论欧盟《一般数据保护条例》General Data Protection Regulation简称GDPR终于将在2018年5月25日也就是明天生效。在一些媒体的报道中这一保护条例被称为“史上最严数据保护条例”。尽管这是现代社会保护个人数据与安全迈出的重要一步但在国内外的许多媒体报道中GDPR中的一些条款被误读或是错误理解引起了一些用户、公司、学者的恐慌。在GDPR即将正式实施之际严谨的阅读并理解GDPR的原文显得尤为重要。 一般数据保护条例第一章 一般条款第二章 原则第三章 数据主体的权利第四章 控制者和处理者第五章 将个人数据转移到第三国或国际组织第六章 独立监管机构第七章 合作与一致性第八章 救济、责任与惩罚第九章 和特定处理情形相关的条款第十章 授权法案与实施性法案第一章 一般条款第1条 主要事项与目标1本条例制定关于处理个人数据中对自然人进行保护的规则以及个人 数据自由流动的规则。2本条例保护自然人的基本权利与自由特别是自然人享有的个人数据 保护的权利。3不能以保护处理个人数据中的相关自然人为由对欧盟内部个人数据 的自由流动进行限制或禁止。第2条 适用范围1本条例适用于全自动个人数据处理、半自动个人数据处理以及形成 或旨在形成用户画像的非自动个人数据处理。2本条例不适用以下情形(a)欧盟法管辖之外的活动中所进行的个人数据处理(b)欧盟成员国为履行《欧盟基本条约》TEU第2章第5款所规定的活动而进行的个人数据处理(c)自然人在纯粹个人或家庭活动中所进行的个人数据处理(d) 有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。3欧盟机构、实体、办事处和规制机构所进行的个人数据处理适用(EC)第 45/2001条例。根据本条例第98条(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整以符合本条例的原则和规则。4本条例不影响2000/31/EC指令的适用特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。第3条 地域范围1本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理不论其实际数据处理行为是否在欧盟内进行。2本条例适用于如下相关活动中的个人数据处理即使数据控制者或处理者不在欧盟设立(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价或(b)对发生在欧洲范围内的数据主体的活动进行监控。3本条例适用于在欧盟之外设立但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。第4条 定义就本条例而言(1)“个人数据”指的是任何已识别或可识别的自然人“数据主体”相关的信息一个可识别的自然人是一个能够被直接或间接识别的个体特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。(2)“处理”是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。(3)“限制处理”是指对存储的个人数据进行标记以限制此后对该数据的处理行为。(4)“用户画像”指的是为了评估自然人的某些条件而对个人数据进行的任何自动化处理特别是为了评估自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位置或行踪而进行的处理。(5)“匿名化”指的是在采取某种方式对个人数据进行处理后如果没有额外的信息就不能识别数据主体的处理方式。此类额外信息应当单独保存并且已有技术与组织方式确保个人数据不能关联到某个已识别或可识别的自然人。(6)“档案系统”指的是根据某种特定标准——不论这种标准是去中心化的、分散的、功能性的或是基于地理而设置的——而可以访问的个人数据的结构化集合。(7)“控制者”指的是那些决定——不论是单独决定还是共同决定——个人数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体如果此类处理的方式是由欧盟或成员国的法律决定的那么对控制者的定义或确定控制者的标准应当由欧盟或成员国的法律来规定。(8)“处理者”指的是为数据控制者而处理个人数据的自然人或法人、公共机构、规制机构或其他实体。(9)“接收者”指的是接收数据的自然人、法人、公共机构、规制机构或另一实体不论其是否为第三方。然而公共机构基于欧盟或成员国法律的某项特定调查框架而接收个人数据则不应当被视为接收者公共机构对此类数据的处理应当根据处理目的遵循可适用的数据保护规则。(10)“第三方”指的是除了数据主体、控制者、处理者、控制者或处理者直接授权其处理个人数据之外的自然人或法人、公共机构、规制机构或组织。(11)数据主体的“同意”指的是数据主体通过一个声明或者通过某项清晰的确信行动而自由作出的、充分知悉的、不含混的、表明同意对其相关个人数据进行处理的意愿。(12) “个人数据泄露”是指由于违反安全政策而导致传输、储存、处理中的个人数据被意外或非法损毁、丢失、更改或未经同意而被公开或访问。(13)“基因数据”指的是和自然人的遗传性或获得性基因特征相关的个人数据这些数据可以提供自然人生理或健康的独特信息尤其是通过对自然人生物性样本进行分析而可以得出的独特信息。(14)“生物性识别数据”指的是基于特别技术处理自然人的相关身体、生理或行为特征而得出的个人数据这种个人数据能够识别或确定自然人的独特标识例如脸部形象或指纹数据。(15)“和健康相关的数据”指的是那些和自然人的身体或精神健康相关的、显示其个人健康状况信息的个人数据包括和卫生保健服务相关的服务。(16)“主要营业机构”指的是(a)如果控制者在不止一个成员国内有多处营业机构那么其在欧盟的管理中心所在地是主要营业机构除非个人数据处理的目的与方式是由控制者的另一个机构决定的并且这一机构有权实施此决定在这种情况下做出此类决定的机构应当被认为是主要营业机构(b)如果处理者在不止一个成员国内具有多处机构那么其在欧盟的管理中心所在地是主要营业机构。如果处理者在欧盟没有管理中心那么在处理者需要遵守本条例所规定的特殊责任的前提下其在欧盟的主要处理活动发生地的机构应当被视为主要营业机构。(17)“代表”指的是控制者或处理者根据第27条在欧盟书面委任代表控制者或处理者承担本条例所规定的相应责任的自然人或法人。(18)“经济主体”的含义是采用任意法律形式的进行经济活动的自然人或法人包括经常进行经济活动的合伙企业或协会(19)“企业集团”的含义是控股企业和被控股企业(20)“有约束力的公司规则”指的是在某成员国内设立的控制者或处理者为了在企业集团内部或进行联合经济活动的经济主体内部将个人数据转移或多次转移给位于第三国或多个第三国的控制者或处理者所遵循的个人数据保护政策。(21)“监管机构”指的是成员国根据第51条而设立的独立性公共机构。(22)“相关监管机构”指的是基于如下原因而和个人数据处理相关的监管机构(a)控制者或处理者是在某监管机构所在的成员国的境内所设立的(b)数据处理对居住在某监管机构所在地成员国的数据主体具有实质性影响或者(c)该监管机构已经收到一项申诉(23)“跨境处理”指的是(a)个人数据处理发生在一个控制者或处理者在多个成员国所设立的多个营业机构内或者(b)个人数据处理是在欧盟内的控制者或处理者的单一营业机构内进行的但其对不止一国的数据主体具有实质性影响。(24)“相关和合理的异议”指的是对是否存在违反本条例的情形或者某项和控制者或处理者相关的初步设想是否符合本条例的异议——已有证据表明这种初步设想的决定会对数据主体的基本权利和自由以及在某些情形下对欧盟的个人数据的自由流通会带来风险。(25)“信息社会服务”指的是欧洲议会和欧盟理事会的(EU) 2015/1535指令在第11条b点所定义的服务。(26)“国际组织”指的是依照国际公法、或根据两个或多个国家协议所设立的组织及其下属机构。1本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理不论其实际数据处理行为是否在欧盟内进行。2本条例适用于如下相关活动中的个人数据处理即使数据控制者或处理者不在欧盟设立(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价或(b)对发生在欧洲范围内的数据主体的活动进行监控。3本条例适用于在欧盟之外设立但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。第二章 原则第5条 个人数据处理原则1对于个人数据应遵循下列规定(a)对涉及到数据主体的个人数据应当以合法的、合理的和透明的方式来进行处理“合法性、合理性和透明性”(b)个人数据的收集应当具有具体的、清晰的和正当的目的对个人数据的处理不应当违反初始目的。根据第891条因为公共利益、科学或历史研究或统计目的而进一步处理数据不视为违反初始目的“目的限制”(c)个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的“数据最小化”(d)个人数据应当是准确的如有必要必须及时更新必须采取合理措施确保不准确的个人数据即违反初始目的的个人数据及时得到擦除或更正“准确性”(e)对于能够识别数据主体的个人数据其储存时间不得超过实现其处理目的所必需的时间超过此期限的数据处理只有在如下情况下才能被允许为了实现公共利益、科学或历史研究目的或统计目的为了保障数据主体的权利和自由并采取了本条例第891条所规定的合理技术与组织措施。“限期储存”(f) 处理过程中应确保个人数据的安全采取合理的技术手段、组织措施避免数据未经授权即被处理或遭到非法处理避免数据发生意外毁损或灭失“数据的完整性与保密性”。2控制者有责任遵守以上第1段并且有责任对此提供证明。“可问责性”。第6条 处理的合法性1只有满足至少如下一项条件时处理才是合法的且处理的合法性只限于满足条件内的处理(a)数据主体已经同意基于一项或多项目的而对其个人数据进行处理(b)处理对于完成某项数据主体所参与的契约是必要的或者在签订契约前基于数据主体的请求而进行的处理(c) 处理是控制商履行其法定义务所必需的(d)处理对于保护数据主体或另一个自然人的核心利益所必要的(e)处理是数据控制者为了公共利益或基于官方权威而履行某项任务而进行的(f)处理对于控制者或第三方所追求的正当利益是必要的这不包括需要通过个人数据保护以实现数据主体的优先性利益或基本权利与自由特别是儿童的优先性利益或基本权利与自由。第1段f点不适用公共机构在履行其任务时的处理。2对于第1段c和e所规定的处理成员国可以维持或新制定更多具体条款以适应本条例规则的适用成员国为了确保合法与合理处理可以制定更为明确的规定包括第9章所规定的其他特定的处理情形。3第1段c和e所规定的处理的基准应当通过如下法律进行规定(a)欧盟法或者(b)控制者所属的成员国的法律。处理的目的应当在此法律基准上进行确定而对于第1段e所规定的处理处理的目的应当是控制者为了公共利益或基于官方权威而履行某项任务。此法律基准可以包含如下特定条款以适应对本条例规则的适用对控制者处理的合法性进行监控的一般条件可以被处理的数据类型相关数据主体个人数据公开的目的以及其可能被公开给的对象目的限定储存期限包括第9章所规定的其他特定的处理情形在内的处理操作和处理程序。欧盟或成员国的法律应当满足公共利益的目标且应当与实现正当目的成比例。4若处理是出于收集个人数据以外的其他目的如果该目的未经数据主体同意或并非是基于联盟或成员国的法律在一个民主社会中若要实现第231条中的目的法律是必要且合适的那么为确保该目的与初始目相容控制商应当考虑以下因素但不限于以下因素(a)个人数据收集时的目的与计划进一步处理的目的之间的所有关联性(b)个人数据收集时的语境特别是数据主体与控制者之间的关系(c)个人数据的性质特别是某些特定类型的个人数据是否符合第9条的规定或者与刑事定罪和刑事违法相关的个人数据是否符合第10条的规定(d) 数据主体计划进一步处理可能造成的结果(e)是否具有加密与匿名化措施等恰当保护措施第7条 同意的条件1当处理是建立在同意基础上的控制者需要能证明数据主体已经同意对其个人数据进行处理。2如果数据主体的同意是在涉及到其他事项的书面声明的情形下作出的请求获得同意应当完全区别于其他事项并且应当以一种容易理解的形式使用清晰和平白的语言。任何违反本条例的声明都不具有约束力。3数据主体应当有权随时撤回其同意。在撤回之前对于基于同意的处理其合法性不受影响。在数据主体表达同意之前数据主体应当被告知这点。撤回同意应当和表达同意一样简单。4分析同意是否是自由做出的应当最大限度地考虑一点是对契约的履行——包括履行条款所规定的服务——是否要求同意履行契约所不必要的个人数据处理。第8条 信息社会服务中适用儿童同意的条件1在第61条a适用的情形下对于为儿童直接提供信息社会服务的请求当儿童年满16周岁对儿童个人数据的处理是合法的。当儿童不满16周岁只有当对儿童具有父母监护责任的主体同意或授权此类处理才是合法的。2对于年满13周岁的情形成员国的法律可以降低年龄要求。3控制者应当采取合理的努力结合技术可行性确保此类情形中对儿童具有父母监护责任的主体已经授权或同意。第1段不应影响成员国的一般合同法例如关于儿童的合同有效性、形成与效力的规则。第9条 对特殊类型个人数据的处理1对于那些显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据应当禁止处理。2如果具有如下条件之一第1段将不适用(a)数据主体明确同意基于一个或多个特定目的而授权处理其个人数据但依照欧盟或成员国的法律规定数据主体无权解除第1段中所规定的禁令的除外(b)处理对于控制者履行责任以及行使其特定权利是必要的或者对于在雇佣、社会安全与社会保障法领域采取符合欧盟或成员国法律或集体协议的措施以保护数据主体的根本权利和利益是必要的(c)数据主体因为身体原因或法律原因而无法表达同意但处理对于保护数据主体或另一自然人的核心利益却是必要的(d)基金、协会或其它具有政治、哲学、宗教或工会目的的非盈利机构的正当性活动中所进行的处理并且已经采取了恰当的保护措施或者处理目的仅仅和机构成员、之前成员或具有经常联系的人相关并且个人数据在未经数据主体同意前不对实体外的人公开(e)对数据主体已经明显公开的相关个人数据的处理(f)当处理对于提起、行使或辩护法律性主张必要时或者法院在其所有的司法活动中所进行的处理(g)处理对实现实质性的公共利益必要的建立在欧盟或成员国的法律基准之上、对实现目标是相称的尊重数据保护权的核心要素并且为数据主体的基本权利和利益提供合适和特定的保护措施(h)处理对于预防性医学或临床医学目的是必要的或者对于评估雇员的工作能力、医疗诊断、提供——基于欧盟或成员国法律或遵循和健康职业机构签订的契约并遵循第3段所规定的情形与保障措施——健康或社会保健或治疗或管理健康或社会保健体系是必要的(i)在公共健康领域处理是为了实现公共利益所必要的例如在欧盟或成员国内已经为保障数据主体的权利与自由而采取合适与特定措施的法律基础上处理对于预防严重的跨境健康威胁是必要的或者为了保障医疗质量和安全、医疗产品或医疗设备的高质量和安全是必要的或者(j)处理对于实现符合第89(1)条公共利益、科学或历史研究目的或统计目的是必要的处理采取了与其期望目的所相称的处理尊重数据保护权的核心要素并且对数据主体的基本权利与利益采取了合适与特定的措施。3根据欧盟或成员国的有权机构所制定的法律或规则而具有保守职业性秘密责任的职业主体或者根据欧盟或成员国的有权机构所制定的法律或规则而具有保守秘密责任的自然人可以为了第2段h点所规定的目的而处理第1段所规定的个人数据。4对于基因数据、生物性识别数据或健康相关数据的处理成员国可以维持原有规定或者作出新的规定包括对处理基因数据、生物性识别数据或健康相关数据进行限定。第10条 处理涉及犯罪定罪与违法的个人数据处理和犯罪定罪与违法相关的个人数据或处理第61条规定的与安全措施相关的个人数据只有如下情形才能被允许当个人数据处理为官方机构控制或者当欧盟或成员国的法律授权进行处理并且采取了恰当的措施保障数据主体的权利与自由。任何犯罪定罪的全面性登记只能由官方机构进行。第11条 不需要识别的处理1如果控制者处理个人数据的目的不需要或不再需要控制者对数据主体进行识别控制者就不再具有为了遵循本条例而维持、获取或处理额外信息以识别数据主体的责任。2对于第1段所规定的情形如果控制者能够证明其不适合识别数据主体如有可能数据控制者应当告知数据主体。在此类情形下除非数据主体为了行使第15至20条所规定的权利需要提供额外信息而使得对其识别变得可能第15至20条将不应适用。第三章 数据主体的权利第一部分 透明性与模式第12条 信息、交流与模式的透明性——保证数据主体权利的行使1对于和个人信息处理相关的第13和第14条规定的所有信息、或者第15条至22条以及34条所规定的所有交流控制者应当以一种简洁、透明、易懂和容易获取的形式以清晰和平白的语言来提供对于针对儿童的所有信息尤其应当如此。信息应当以书面形式或其他形式提供包括在合适的情况下通过电子方式提供。若数据主体的身份可通过其他途径得到证实那么控制者可依主体申请以口头方式提供相关信息。2控制者应当对数据主体行使第15至22条的权利而提供帮助。对于第112条所规定的情形当数据主体请求其行使第15至22条的权利控制者不应拒绝除非控制者能够证明其并不适宜识别数据主体。3在数据主体根据第15至22条的规定提出请求后控制者应当提供信息不应无故拖延在任何情形下应当在收到请求后一个月内提供信息。在必要的情形下考虑到请求的复杂性和多样性这个期限可以再延长两个月。如果有此类延长控制者应当在收到请求的一个月内将此类延长以及延长原因告知数据主体。当数据主体以电子形式做出请求在可行的情况下对信息的提供也应当以电子形式提供除非数据主体有不同请求。4如果控制者没有采取相应的行动对数据主体的请求做出回应那么应当及时告知该数据主体其在收到请求后一个月内未能采取行动的具体原因同时可向监管机构提出申诉寻求司法救济。5第13和第14条所规定的信息以及第15至22条和34条所规定的所有交流与行为都应当是免费的。当数据主体的请求明显不具备正当理由或超过必要限度特别是当请求是重复性的时候控制者可以(a)结合提供信息、交流或相应行动的行政花费收取一定的合理费用或者(b)拒绝对请求作出行动。控制者有责任证明数据主体的请求明显是毫无根据的或过分的。6在不影响第11条的前提下控制者可以对第15至21条中提出要求的自然人的身份有合理怀疑要求数据主体提供必要的额外信息以确认数据主体的身份。7根据第13条和14条提供给数据主体的信息可以和标准化的图标一起提供以便于数据主体以一种一目了然的、易懂的和清晰的方式对计划的数据处理有全盘理解。当图标以电子化的方式提供它们必须是机器可读的。8对于确定图标所提供的信息以及提供标准化图标的程序欧盟理事会将有权根据第92条制定授权行动。第二部分 信息与对个人数据的访问第13条 收集数据主体个人数据时应当提供的信息1当收集和数据主体相关的个人数据时控制者应当为数据主体提供如下信息(a)控制者的身份与详细联系方式以及如果适用的话控制者的代表(b)数据保护官的详细联系方式如果适用的话(c)处理将要涉及到的个人数据的目的以及处理的法律基础(d)当处理是基于f点或第61条的时候控制者或第三方的正当利益(e)个人数据的接收者或者接收者的类型如果有的话(f)如果适用的话控制者期望将数据转移到第三国或国际组织的事实、欧盟委员会作出或未作出充分决定的事实或者在第46或47条或者第491条的第二小段所规定的转移情形中所采取的适当保障措施的参考资料、获取它们备份的方式或者在那里可以获取它们。2除了第1段所规定的信息控制者应当在获取个人数据时为数据主体提供确保合理与透明处理所必要的进一步信息(a)个人数据将被储存的期限以及确定此期限的标准(b)数据主体所拥有的权利可以要求控制者提供对个人数据的访问、更正或擦除或者限制或反对相关处理的权利数据携带权(c)当处理是根据第61条或第92条的a点而进行的数据主体拥有可以随时撤回——这种撤回不会影响撤回之前根据同意而进行处理的合法性——同意的权利(d)向监管机构进行申诉的权利(e)提供个人数据是一项制定法还是合同法的要求是否对于缔结一项契约是必要的数据主体是否有责任提供个人数据以及没有提供此类数据会造成的可能后果。(f)存在自动化的决策包括第221和4条所规定的用户画像以及在此类情形下对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息。3若控制者进一步处理个人信息的目的与收集个人信息的目的不一致那么控制者应当在进一步处理之前向数据主体提供此类目的的信息以及提供第2段所规定的相关进一步信息。4在数据主体已经拥有信息的情况下第123段不应当适用。第14条 未获得数据主体个人数据的情形下应当提供的信息1当个人数据还没有从数据主体那里收集控制者应当向数据主体提供如下信息(a)控制者的身份与详细联系方式以及如果适用的话控制者的代表(b)如果适用的话数据保护官的详细联系方式(c)处理将要涉及到的个人数据的目的以及处理的法律基础(d)相关个人数据的类型(e)个人数据的接收者或者接收者的类型如果有的话(f)如果适用的话控制者期望将数据转移到第三国或国际组织、欧盟委员会作出或未作出的充足保护的认定或者在第46或47条或者第491条的第二小段所规定的转移情形中所采取的适当保障措施的参考资料、获取它们备份的方式或者在那里可以获取它们。2除了第1段所规定的信息控制者应当向数据主体提供如下确保涉及到数据主体的处理是合理与透明的必要信息(a)个人数据将被储存的期限或者如果不可能的话用来确定此期限的标准(b)当处理是根据第61条f点而进行的控制者或第三方所追求的正当利益(c)数据主体存在如下权利可以要求控制者提供对个人数据的访问、更正或擦除或者限制或反对相关处理数据携带权(d)当处理是根据第61条或第92条的a点而进行的数据主体拥有可以随时撤回——这种撤回不会影响撤回之前根据同意而进行处理的合法性——同意的权利(e)向监管机构进行申诉的权利(f)个人数据的来源以及如果适用的话其来源是否可以是公开性的资源(g)存在自动化的决策包括第221和4条所规定的用户画像以及在此类情形下对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息。3控制者应当按如下方式提供第1段和第2段所规定的信息(a)应当在获得个人数据后的一段合理期限内提供信息如果考虑到个人数据处理的特定情形应当至少在一个月以内(b)如果个人数据是被用来和数据主体进行沟通的最晚应当在其和数据主体进行第一次沟通时提供信息(c)如果个人数据将被计划披露给另一个接收者那么最晚应当在个人数据被第一次披露时提供信息。4当控制者因为与收集个人信息时不一致的目的进一步处理个人信息控制者应当在进一步处理之前向数据主体提供此类目的的信息以及提供第2段所规定的相关进一步信息。5在如下情形中第1至4段不适用(a)数据主体已经拥有信息(b)此类信息的提供是不可能的或者说需要付出某种不相称的工作在如下情形中尤其不适用为了实现公共利益、科学或历史研究目的或统计目的为了保障数据主体的权利和自由并采取了本条例第891条所规定的合理技术与组织措施或者本条第1段所规定的责任会严重妨碍实现处理的目标。在此类情形中控制者应当采取恰当的措施保护数据主体的权利与自由与正当利益包括使得信息可以公开获取(c)欧盟或成员国为控制者特别制定了获取或公开信息的法律并且已经对保护数据主体的正当利益制定了恰当的措施(d)当个人数据必须保密必须遵守欧盟或成员国法律所规定的职业秘密责任包括制定法上的保守秘密责任。第15条 数据主体的访问权1数据主体应当有权从控制者那里得知关于其的个人数据是否正在被处理如果正在被处理的话其应当有权访问个人数据和获知如下信息(a)处理的目的(b)相关个人数据的类型(c)个人数据已经被或将被披露给接收者或接收者的类型特别是当接收者属于第三国或国际组织时(d)在可能的情形下个人数据将被储存的预期期限或者如果不可能的话确定此期限的标准(e)数据主体要求控制者纠正或擦除个人数据、限制或反对对数据主体相关的个人数据进行处理的权利(f)向监管机构进行申诉的权利(g)当个人数据不是从数据主体那里收集的关于来源的任何信息(h)存在自动化的决策包括第221和4条所规定的数据分析以及在此类情形下对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息。2当个人数据被转移到第三国或一个国际组织数据主体应当有权获知和转移相关的符合第46条的恰当的保障措施。3控制者应当对进行处理的个人数据提供一份备份。对于任何数据主体所要求的额外备份控制者可以根据管理花费而收取合理的费用。当数据主体通过电子方式而请求且除非数据主体有其他请求信息应当以通常使用的电子形式提供。4获取第三段中所规定的备份的权利不应当对他人的权利与自由产生负面影响。第三部分 更正与擦除第16条 更正权数据主体应当有权从控制者那里及时得知对与其相关的不正确信息的更正。在考虑处理目的的前提下数据主体应当有权完善不充分的个人数据包括通过提供额外声明的方式来进行完善。第17条 擦除权“被遗忘权”1数据主体有权要求控制者擦除关于其个人数据的权利当具有如下情形之一时控制者有责任及时擦除个人数据(a)个人数据对于实现其被收集或处理的相关目的不再必要(b)处理是根据第61条a点或者第92条a点而进行的并且没有处理的其他法律根据数据主体撤回在此类处理中的同意(c)数据主体反对根据第211条进行的处理并且没有压倒性的正当理由可以进行处理或者数据主体反对根据第212条进行的处理(d)已经存在非法的个人数据处理(e)为了履行欧盟或成员国法律为控制者所设定的法律责任个人数据需要被擦除(f)已经收集了第81条所规定的和提供信息社会服务相关的个人人数据。2当控制者已经公开个人数据并且负有第1段所规定的擦除个人数据的责任控制者应当考虑可行技术与执行成本采取包括技术措施在内的合理措施告知正在处理个人数据的控制者们数据主体已经要求他们擦除那些和个人数据相关的链接、备份或复制。3当处理对于如下目的是必要的第1和第2段将不适用(a)为了行使表达自由和信息自由的权利(b)控制者执行或者为了执行基于公共利益的某项任务或者基于被授予的官方权威而履行某项任务欧盟或成员国的法律要求进行处理以便履行其法律职责(c)为了实现公共健康领域符合第92条h和i点以及第93条的公共利益而进行的处理(d)如果第1段所提到权利会受严重影响或者会彻底阻碍实现第89(1)条的公共利益目的、科学或历史研究目的或统计目的或者(e)为了提起、行使或辩护法律性主张。第18条 限制处理权1当存在如下情形之一时数据主体有权要求控制者对处理进行限制(a)数据主体对个人数据的准确性有争议并给与控制者以一定的期限以核实个人数据的准确性(b)处理是非法的并且数据主体反对擦除个人数据要求对使用其个人数据进行限制(c)控制者不再需要个人数据以实现其处理的目的但数据主体为了提起、行使或辩护法律性主张而需要该个人数据(d)数据主体根据第211条的规定而反对处理因其需要确定控制者的正当理由是否优先于数据主体的正当理由。2当处理受第1段的规定所限制除了储存的情形此类个人数据只有在如下情形中才能进行处理获取了数据主体的同意或者为了提起、行使或辩护法律性主张或者为了保护另一个自然人或法人的权利或者为了欧盟或某个成员国的重要公共利益。3那些根据第1段规定已经获取了对处理进行限制的数据主体在限制被解除前控制者应当告知数据主体。第19条 关于更正或擦除或限制处理中的通知责任对于所有根据第16、171、18条而限制或擦除个人数据或限制处理个人数据控制者都应当将其告知个人数据已经被披露给的每个接收者——除非此类告知是不可能的或者需要付出不相称的工作。如果数据主体提出要求控制者应当将关于接收者的情形告知数据主体。第20条 数据携带权1当存在如下情形时数据主体有权获得其提供给控制者的相关个人数据且其获得个人数据应当是经过整理的、普遍使用的和机器可读的数据主体有权无障碍地将此类数据从其提供给的控制者那里传输给给另一个控制者(a)处理是建立在第61条a点或92条a点所规定的同意或者61条所规定的合同的基础上的(b)处理是通过自动化方式的。2在行使第1段所规定的携带权时如果技术可行数据主体应当有权将个人数据直接从一个控制者传输到另一个控制者。3行使第1段所规定的权利不能影响第17条的规定。对于控制者为了公共利益或者为了行使其被授权的官方权威而进行的必要处理这种权利不适用。4第1段所规定的权利不能对他人的权利或自由产生负面影响。第四部分 反对的权利和自动化的个人决策第21条 反对权1对于根据第61条e或f点而进行的关乎数据主体的数据处理包括根据这些条款而进行的用户画像数据主体应当有权随时反对。此时控制者须立即停止针对这部分个人数据的处理行为除非控制者证明相比数据主体的利益、权利和自由具有压倒性的正当理由需要进行处理或者处理是为了提起、行使或辩护法律性主张。2当因为直接营销目的而处理个人数据数据主体有权随时反对为了此类营销而处理相关个人数据包括反对和此类直接营销相关的用户画像。3当数据主体反对为了直接营销目的而处理将不能为了此类目的而处理个人数据。4至晚在和数据主体所进行的第一次沟通中第1段和第2段所规定的权利应当让数据主体明确知晓且应当与其他信息区分开来清晰地告知数据主体。5在适用信息社会服务的语境中尽管存在2002/58/EC指令的规定数据主体仍可以使用技术性条件、通过自动化方式行使反对权。6当个人数据是为了第891条所规定的科学目的或历史研究目的或统计目的数据主体基于其特定情形应当有权反对对关乎其的个人数据进行处理除非处理对于实现公共利益的某项任务是必要的。第22条 自动化的个人决策包括用户画像1数据主体有权反对此类决策完全依靠自动化处理——包括用户画像——对对数据主体做出具有法律影响或类似严重影响的决策。2当决策存在如下情形时第1段不适用(a)当决策对于数据主体与数据控制者的合同签订或合同履行是必要的(b)当决策是欧盟或成员国的法律所授权的控制者是决策的主体并且已经制定了恰当的措施保证数据主体的权利、自由与正当利益或者(c)当决策建立在数据主体的明确同意基础之上。3在第2段所规定的a和c点的情形中数据控制者应当采取适当措施保障数据主体的权利、自由、正当利益以及数据主体对控制者进行人工干涉以便表达其观点和对决策进行异议的基本权利。4第2段所规定的决策的基础不适用于第91条所规定的特定类型的个人数据除非符合第92条a点或g点的规定并且已经采取了保护数据主体权利、自由与正当利益的措施。第五部分限制第23条 限制1若控制者或处理者受欧盟法律或某成员国法律的调整那么欧盟法律或该成员国法律可以通过立法手段限制第12至22条、34条以及第5条所赋予的责任范围与权利范围只要其法律条款和第12至22条所赋予的责任与权利相对应。如果此类限制尊重基本权利与自由的核心要素并且此类限制是实现如下民主社会中的目的所必要和成比例的措施那么此类限制应当被允许(a)国家安全(b)国防(c)公共安全(d)预防、调查、侦查、起诉刑事违法进行或者执行刑法包括保障公共安全和预防对公共安全的威胁(e)其他些欧盟或某个成员国的重要一般公共利益特别是欧盟或某个成员国的经济或金融利益包括财政、预算、税收事项、公共健康和社会安全(f)司法独立和司法诉讼的保护(g)为了规制性职业而预防、调查、保护和起诉违反伦理的行为(h)和行使abcdeg点中所规定的官方权威相联系的某项监控、调查或规制功能(i)保护数据主体或其他人的权利和自由(j)实施民事法律主张。2需要特别注意的是至少在涉及到如下情形时任何第1段所规定的立法措施都应当包含特定条款规定(a)处理的目的或处理的类型(b)个人数据的类型(c)施加限制的范围(d)防止滥用或非法性访问或转移的措施(e)控制者的具体情况或控制者类型的具体情况(f)在考虑了处理的性质、范围和目的或处理类型之后所制定的储存期限和可适用的保障措施(g)数据主体的权利和自由所面临的风险以及(h)数据主体获知限制的权利除非这种权利可能影响实现限制的目的。第四章 控制者和处理者第一部分 一般性责任第24条 控制者的责任1在考虑了处理的性质、范围、语境与目的以及考虑了处理对自然人权利与自由所带来的不同概率和程度的风险后控制者应当采取恰当的技术与组织措施保证处理符合本条例规定的并且能够证明处理符合本条例规定。必要时这些措施应当被审查。2第1段所规定的措施当和处理活动成比例时应当包括控制者所采用的合适的数据保护政策。3遵守第40条所规定的已生效的行为准则或遵守第42条规定的已生效的认证机制这可以被用以证明控制者责任的合规性。第25条 通过设计的数据保护和默认的数据保护1在考虑了最新水平、实施成本、处理的性质、处理的范围、处理的语境与目的以及处理给自然人权利与自由带来的伤害可能性与严重性之后控制者应当在决定处理方式时和决定处理时应当采取合适的技术与组织措施并且在处理中整合必要的保障措施以便符合本条例的要求和保护数据主体的权利。例如控制者可以采取匿名化一种设计用来实施数据保护原则——比如数据最小化原则——的措施。2控制者有责任采取适当的技术与组织措施以保障在默认情况下只有某个特定处理目的所必要的个人数据被处理。这种责任适用于收集的个人数据的数量、处理的限度储存的期限以及可访问性。尤其需要注意的是此类措施必须确保在默认情况下如果没有个体介入个人数据不能为不特定数量的自然人所访问。3根据第42条的某种已生效的认证机制可以被用来证明本条第1段和第2段所规定的合规要求。第26条 共同控制者1当两个或更多控制者联合确定处理的目的与方法它们就是共同控制者。它们应当以一种透明的方式确定遵守本条例责任的相应责任尤其当其涉及到行使数据主体个人权利以及涉及控制者为数据主体——根据他们的合约安排——提供第13条和第14条所规定的信息的相应责任除非欧盟或成员国的法律已经对对控制者施加了相应责任。2第1段所规定的合约安排应当恰当地反映相对于数据主体的共同控制者的相应角色和相互关系。数据主体应当可以知晓安排的实质。3不论第1段所规定的合约安排的条款如何数据主体都可以向任一控制者主张其本条例所赋予的权利。第27条 不在欧盟所设立的控制者或处理者的代表1在第32条适用的情形下控制者或处理者应当以书面形式在欧盟委任一名代表。2此项责任不应当适用于(a)除了第91条所规定的特定类型数据的大规模处理或者第10条所规定的和刑事定罪或违法相关的个人数据处理之外的偶尔性处理以及考虑到处理的性质、语境、范围和目的不太可能对自然人的权利与自由带来风险的处理或者(b)公共机构或实体。3为数据主体提供相关商品或服务或者监控数据主体的行为数据主体的所在国之一应当设立代表。4为了确保对本条例的遵守对于所有涉及到处理的事项控制者或处理者应当做出强制性规定确保其代表能在控制者或处理者之外收到信息或者替代控制者或处理者收到信息对于监管机构和数据主体所要求的事项尤其如此。5控制者或处理者委任代表不能影响控制者或处理者进行的法律行动。第28条 处理者1处理者代表控制者进行处理控制者只能选用有充分保证的、可采取合适技术与组织措施的、其处理方式符合本条例要求并且保障数据主体权利的处理者。2如果没有控制者之前的特别授权或一般书面授权处理者不应聘用另一个处理者。在具有一般书面授权的情形下对于涉及到补充或替换其他处理者的变动处理者都应当告知控制者以便使控制者有机会反对此类变化。3处理者的处理应当受某类合同或其他欧盟法与成员国法的约束这类合同或法律应当规定处理者相对于控制者的责任、主体事项、处理期限、处理性质与目的、个人数据的类型、数据主体的类型以及控制者的责任与权利的。此类合同或法律尤其应当对如下情形做出规定(a)只有在收到控制者的书面指示时才可以处理个人数据在涉及到将个人数据转移到第三国或某个国际组织的事项中亦是如此除非欧盟法或成员国法对处理者有要求在这种情形下处理者应当在处理之前将法律要求告知控制者除非告知会影响重要的公共利益(b)对于被授权处理个人数据的人确保其履行保密义务或法律上的适当保密责任(c)采取第32条所要求的所有措施(d)尊重第2段和第4段规定的聘用另一个处理者的条件(e)结合处理的性质在可能的情形下通过合适的技术与组织手段帮助控制者履行其责任以便使得数据主体能够行使其第三章所规定的权利(f)结合处理的性质和处理者所能得到的信息帮助控制者履行第32至36条所规定的责任(g)基于控制者的选择在提供和处理相关的服务结束后将个人数据删除或返还给控制者并且删除已有备份除非欧盟或成员国的法律要求储存个人数据(h)给控制者提供所有能够证明其已经遵循本条款规定责任的信息以及有利于控制者或控制者委任的审计员进行审计和核查的信息。关于第1段h点如果处理者认为某项指示违反了本条例或其它欧盟或成员国的数据保护条款其应当立即告知控制者。4当处理者代表控制者为了进行特定的处理活动而应聘另一处理者第3段所规定的控制者和处理者之间的合同或其它法律条款所规定的数据保护责任应当通过合同或欧盟或成员国的法律条款而同等适用于另一处理者尤其是应当采取充分的保障措施、恰当的技术与组织手段以满足本条例的要求。当另一个处理者无法完成其数据保护职责时对其责任处理者应当完全负担。5处理者遵守第40条所规定的已生效的行为准则或者遵守第42条所规定的已生效的验证机制这可以被作为证据之一证明处理者已经采取了本条款第1段和第4段所规定的充分保障。6在不影响控制者和处理者之间的单独合同的前提下第3段和第4段所规定的合同或法律条款可以全部或部分运用本条第7段和第8段所规定的格式合同条款包括它们何时属于根据第42条和第43条规定的赋予给控制者或处理者的验证机制。7欧盟委员会可以对于本条第3段和第4段所规定的事项根据第932条所规定的检查程序而制定格式合同条款。8监管机构可以对本条第3段和第4段所规定的事项根据第63条所规定的一致性机制而制定格式合同条款。9第3段和第4段所规定的合同或法律条款必须是书面的包括以电子形式做出的书面记录。10在不影响第82、83、84条的情形下如果某个处理者因为确定处理目的与方法方而违反了本条例处理者应当在此次处理中被视为控制者。第29条 代表控制者或处理者进行的处理对个人数据有访问权的处理者或控制者、处理者的代表人未经控制者允许不得处理该个人数据。欧盟法律或成员国法律另有规定的除外。第30条 处理活动的记录1每个控制者——以及如果有的话——每个控制者的代表都应当保持其所负责的处理活动的记录。这种记录应当包含所有如下信息(a)控制者以及——如果有的话——共同控制者、控制者的代表、数据保护官的姓名、详细联系方式(b)处理的目的(c)对数据主体的类型以及个人数据的类型的描述(d)个人数据已经被披露或将被披露给的接收者——包括位于第三国或国际组织的接收者——的类型(e)如果适用的话将个人数据转移到第三国或国际组织的记录包括识别此第三国或国际组织的记录以及在第491条第二分段所提到转移的情形中对适当保障措施的记录(f)如果适用的话擦除不同种数据类型的预计期限(g)如果适用的话对第321条所规定的技术性与组织性安全措施的一般性描述。2每个处理者以及——如果适用的话——处理者的代表对于以控制者名义进行的处理都应当保持保存一份记录包含如下信息(a)处理者或处理者们的名字和详细联系方式、处理者所代表的每个控制者以及——如果有的话——控制者或处理者的代表、数据保护官(b)代表每个控制者进行处理的类型(c)如果适用的话将个人数据转移到第三国或国际组织的记录包括识别此第三国或国际组织的记录以及在第491条第二分段所提到转移的情形中对适当保障措施的记录(d)如果有的话对第321条所规定的技术性和组织性安全措施的一般性描述。3第1段和第2段所规定的记录应当是书面的包括以电子形式作出的书面记录。4基于监管机构的要求控制者或处理者以及——在有的情况下——控制者或处理者的代表应当提供可获取的记录。5第1和第2段所规定的责任不适用于雇员少于250人的经济主体或组织除非其进行的处理不是偶尔性的而且可能会对数据主体的权利与自由带来风险或者其处理包含了第91条规定的特定种类的数据或第10条规定的和刑事犯罪和违法相关的个人数据。第31条 和监管机构的合作在监管机构的要求下控制者和处理者以及——在适用的情况下——它们的代表应当配合监管机构的工作。第二部分 个人数据的安全第32条 处理的安全1在考虑了最新水平、实施成本、处理的性质、处理的范围、处理的语境与目的之后以及处理给自然人权利与自由带来的伤害可能性与严重性之后控制者和处理者应当采取包括但不限于如下的适当技术与组织措施以便保证和风险相称的安全水平(a)个人数据的匿名化和加密(b)保持处理系统与服务的保密性、公正性、有效性以及重新恢复的能力(c)在遭受物理性或技术性事件的情形中有能力恢复对个人数据的获取与访问(d)具有为保证处理安全而常规性地测试、评估与评价技术性与组织性手段有效性的流程。2在评估合适的安全级别的时候应当特别考虑处理所带来的风险特别是在个人数据传输、储存或处理过程中的的意外或非法销毁、丢失、篡改、未经授权的披露或访问。3遵守第40条所规定的已生效的行为准则或者遵守第42条所规定的已生效的验证机制这可以被作为证据之一证明已经遵守了本条款第1段的要求。4控制者和处理者应当采取措施确保除非接到控制者的指示任何有权访问个人数据的处理者或任何代表控制者和处理者的自然人都不会进行处理除非欧盟或成员国法律要求进行处理。第33条 向监管机构报告对个人数据的泄露1在个人数据泄露的情形中如果可行控制者在知悉后应当及时——至迟在72小时内——将个人数据泄露告知第55条所规定的有权监管机构除非个人数据泄露对于自然人的权利与自由不太可能会带来风险。对于不能在72小时以内告知监管机构的情形应当提供延迟告知的原因。2处理者在获知个人数据泄露后应当及时告知控制者。3第1段所规定的告知应当至少包括(a)描述个人数据泄露的性质在可能的情形下描述包括相关数据主体的类型和大致数量以及涉及到个人数据的类型与大致数量(b)告知数据保护官的姓名与详细联系方式或者可以获取更多信息的其他联系方式(c)描述个人数据泄露的可能后果(d)描述控制者应对个人数据泄露已经采用或计划采用的措施包括——如果合适的话——减少负面影响的措施。4在不可能同时提供信息的情形下可以分阶段地及时提供信息。5控制者应当记录所有对个人数据的泄露包括泄露个人数据相关的事实、影响与已经采取的救济行动。参照该记录监管机构得以核实控制者是否遵守本条例的有关规定。第34条 向数据主体传达个人数据泄露1当个人数据泄露很可能给自然人的权利与自由带来高风险时控制者应当及时向数据主体传达对个人数据泄露。2本条第1段所规定的向数据主体传达应当以清晰和平白的语言传达个人数据泄露的性质并且应当至少包括第333条bcd点所提供的信息与建议。3当满足如下情形之一时不要求控制者告知数据主体其个人数据被泄露的信息(a)控制者已经采取合适的技术与组织保证措施并且那些措施已经应用于那些被个人数据泄露所影响的个人数据特别是已经应用那些使得未被授权访问的个人无法辨识个人数据的措施例如加密(b)控制者已经采取后续措施保证第1段所规定的给数据主体的权利与自由带来的高风险不再有实现的可能(c)告知将需要付出不相称的努力。此时应存在公告机制或类似措施来承担控制者的告知义务并且与控制者告知相比这种措施的告知效果应当至少有相同效果。4如果控制者仍然没有将个人数据泄露告知数据主体监管机构在考虑了个人数据泄露所可能带来的高风险可能性后可以要求其告知或者可以认为符合第3段所规定的情形。第三部分 数据保护影响评估与提前咨询第35条 数据保护影响评估1当某种类型的处理——特别是适用新技术进行的处理——很可能会对自然人的权利与自由带来高风险时在考虑了处理的性质、范围、语境与目的后控制者应当在处理之前评估计划的处理进程对个人数据保护的影响。若多项高风险处理活动属于同一种类那么此时仅对其中某一项活动进行评估即可。2如果控制者已经委任数据保护官当其进行数据保护影响评估时控制者应当向数据保护官进行咨询。3在如下情形中第1段所规定的数据保护影响评估是尤其必须的(a)对与自然人相关的个人因素进行系统性与全面性的评价此类评价建立在自动化处理——包括用户画像——基础上的并且其决策对自然人产生法律影响或类似重大影响(b)以大规模处理的方式处理第91条所规定的特定类型的数据或者和第10条规定的定罪与违法相关的个人数据或者(c)以大规模的方式系统性地监控某个公众可以访问的空间。4监管机构应当建立并公开一个列表列明符合第1段所要求的数据保护影响评估的处理操作的类型。监管机构应当将此类列表告知第68条所提到欧盟数据保护委员会。5监管机构还可以建立一个公开性的列表列明符合不需要进行数据保护影响评估的处理操作的类型。监管机构应当将此类列表告知欧盟数据保护委员会。6在设置第4段与第5段所规定的列表之前当此类列表涉及到为数据主体提供商品或服务或者涉及到对多个成员国行为的监管或者可能实质性地影响欧盟内部个人数据的自由流动有职权的监管机构应当首先适用第63条所规定的一致性机制。7评估应当至少包括(a)对计划的处理操作和处理目的的系统性描述以及——如果适用的话——对控制者所追求的正当利益的描述(b)对和目的相关的处理操作的必要性与相称性进行分析(c)对第1段所规定的给数据主体的权利与自由带来的风险的评估(d)结合数据主体和其他相关个人的权利与正当利益采取的计划性风险应对措施包括保障个人数据保护和证明遵循本条例的安全保障、安全措施和机制。8评估相关控制者或处理者的处理操作的影响时特别是评估数据保护影响时应当合理考虑其对第40条所规定的已生效的行为准则的遵守。9在合适的情形下如果其不影响保护商业或公共利益或处理操作的安全性控制者应当咨询数据主体或数据主体代表对于其预期处理的观点。10当基于第61条c或e点而进行的处理符合欧盟或成员国为控制者制定涉及到处理操作的法律并且在制定其法律基准时已经进行了作为一般性影响评估一部分的数据保护影响评估时第1至7段不应当适用除非成员国认为有必要在处理活动前进行此类评估。11必要时控制者应当进行核查评估处理是否是符合数据保护影响评估至少当处理操作所带来的风险存在变化时应进行核查。第36条 提前咨询1当第35条所规定的数据保护影响评估表明如果控制者不采取措施处理会带来高风险那么控制者应当在处理之前咨询监管机构。2当监管机构认为第1段所规定的预期的处理将违反本条例特别是当控制者无法识别或减小风险监管机构应当在收到咨询请求的八个星期以内向控制者以及——在适用的情况下——处理者提供书面建议并且可以使用第58条所规定的权力。考虑到预期处理的复杂性这种期限可以延长六个星期。监管机构应当在收到咨询请求的一个月内向控制者以及——在适用的情况下——处理者告知延期以及延期的原因。监管机构可以延长期限直到其获取了咨询所要求的信息。3当咨询第1段所规定的监管机构时控制者应当向监管机构提供如下信息(a)在适用的情形下涉及到处理——特别是当处理是在一群企业内部进行的——的控制者、共同控制者和处理者的相应责任(b)预期处理的目的与方法(c)为了保障数据主体权利与自由所采取的符合本条例的方法与措施(d)在适用的情形下数据保护官的详细联系方式(e)第35条所规定的数据保护影响评估以及(f)监管机构要求的所有其它信息。4成员国在起草相关立法草案以获得国会通过时或者根据此类立法措施制定处理相关的规制措施时应当咨询监管机构。5虽然有第1段的规定但在和控制者履行实现公共利益任务相关的处理中包括和社会保障与公共健康相关的处理中成员国法律可以要求控制者在其处理相关的事项中咨询监管机构并且提前获取监管机构的授权。第四部分 数据保护官第37条 数据保护官的委任1在如下任一情形中控制者和处理者应当委任数据保护官(a)处理是公共机构或公共实体进行操作的法庭在履行其司法职能时除外(b)控制者或处理者的核心处理活动天然性地需要大规模性地对数据主体进行常规和系统性的监控或者(c)控制者或处理者的核心活动包含了第9条规定的对某种特殊类型数据的大规模处理和第10条规定的对定罪和违法相关的个人数据的处理。2如果一组企业的每一个机构都能很容易联系数据保护官这一组企业可以任命一个单独的数据保护官。3当控制者或处理者是一个公共机构或公共实体基于它们的组织结构和规模多个此类公共机构或实体可以共同委任一个数据保护官。4除了第1段所规定的情形在欧盟或成员国法律要求的情形下控制者或处理者或代表某类控制者或处理者的协会和其他实体可以委任一名数据保护官。对于此类协会或代表控制者或处理者的其他实体的活动数据保护官有权代表它们进行活动。5数据保护官的委任必须基于其专业性的素质其需要具有数据保护法律与实践的专业知识以及完成第39条所规定的任务的能力。6数据保护官应当是控制者或处理者或基于服务合同而完成任务的一名职员。7控制者或处理者应当发布数据保护官的详细联系方式并向监管机构进行报告。第38条 数据保护官的职位1控制者和处理者应当确保在所有与个人数据保护相关的事项中数据保护官都应当以一种恰当和及时的方式介入。2控制者和处理者应当支持数据保护官履行第39条所规定的责任应当提供其履行此类责任、访问个人数据、进行处理操作以及维持其专业性知识的必要资源。3控制者和处理者应当确保个人数据保护官不会收到任何关于履行此类责任的指示。个人数据保护官不能因为完成其任务而被控制者或处理者解雇。其可以直接向控制者或处理者的最高管理层进行报告。4数据主体可以在所有和处理其个人数据相关的事项中以及和行使本条例所赋予的权利相关的事项中联系数据保护官。5数据保护官在完成其任务时应当遵守欧盟或成员国的法律负有保密义务。6数据保护官可以完成其他任务或责任。控制者或处理者应当保证任何此类任务和责任不会导致利益冲突。第39条 数据保护官的任务1数据保护官应当至少具有如下任务(a)对控制者或处理者以及那些履行本条例和欧盟其他成员国数据保护条款所规定的处理责任的雇员进行告知提供建议(b)确保遵守本条例、其他欧盟或成员国数据保护条款、和个人数据保护相关的控制者或处理者的政策包括分配处理操作中以及相关审计中的责任、增强意识以及培训职员(c)根据要求应当对数据保护影响评估以及根据第35条对其实施进行监管的事项提供建议(d)和监管机构进行合作(e)在与处理相关的事项中包括第36条所规定的提前咨询中以及——在适用的情况下——在其他所有相关事项的咨询中充当监管机构的联系人。2数据保护官在履行其任务时应当结合处理的性质、范围、语境与目的合理地考虑处理操作所伴随的风险。第五部分 行为准则与认证第40条 行为准则1成员国、监管机构以及欧盟数据保护委员会与欧盟委员会鼓励在考虑不同处理部门的特征以及微型、小型以及中型经济主体的特定需求的基础上起草促进本条例合理适用的行为准则。2协会以及其它代表某类控制者或处理者的实体为了对适用本规则进行细化可以起草行为准则或修正或延长此类准则例如它们可以起草涉及到如下事项的准则(a)合理与透明的处理(b)在特定情境下控制者所追求的正当利益(c)对个人数据的收集(d)对个人数据进行匿名化处置(e)提供给公众与数据主体的信息(f)数据主体权利的行使(g)提供给儿童和保护儿童的信息以及为了获取儿童监护人同意所采取的形式(h)第24条和第25条所规定的措施与程序以及为了保障第32条所规定的处理安全所采取的措施(i)向监管机构通报个人数据泄露以及将此类个人数据泄露告知数据主体(j)将个人数据转移到第三国或国际组织或者(k)不影响第77条和第99条所规定的数据主体权利的庭外诉讼性活动以及为了解决控制者与数据主体在处理相关事项中争议的纠纷解决程序。3控制者或处理者除了受本条例约束之外对于根据第3条不受本条例约束的情形为了保证在第462条e点所规定的将个人数据转移到第三国或国际组织的框架中提供合适的安全措施也可以受本条第5段所规定的已生效的行为准则约束或者受本条第9段规定的具有一般性效力的行为准则所约束。为了提供此类合适的安全措施包括和数据主体权利相关的安全措施此类控制者或处理者应当通过合同或其他具有法律强制力的措施制定有约束力和可执行的承诺。4在不影响第55或56条所规定的有权监管机构的任务与权利的前提下本条第2段所规定的行为准则应当包括使第411条所规定的实体能履行其监管任务的有效措施保证负责实施行为准则的控制者或处理者遵循其条款的规定。5本条第2段所规定的计划起草、修改行为准则或延长现有准则的协会或其他实体应当将准则草案、修正案或延期提议提交给符合第55条的有权监管机构。监管机构应当提供一份意见书表明草案、修正案或延期提议是否符合本条例的规定如果监管机构认定已经采取了足够和适当的安全保障其应当批准草案、修正案或延期提议。6当准则草案、或修正案或延期提议是根据第5段的规定而被批准的并且行为准则不涉及多个成员国的处理活动监管机构应当进行登记并发表准则。7当行为准则的草案涉及到多个国家的处理活动第55条所规定的有权监管机构应当在批准准则草案、修订或延期之前将其按照第63条规定的程序提交给欧盟数据保护委员会并应提供一份意见书表明准则草案、修正案或延期是否遵循了本条例或者——在第3段所规定的情形中——是否提供了恰当的安全措施。8当第7段中规定的意见书确认了准则草案、修正案或延期遵循了本条例或者——在第3段所规定的情形中——提供了恰当的安全措施欧盟数据保护委员会应当将意见书提交给欧盟委员会。9欧盟委员会应当通过制定实施法案确定根据第8段规定而提交的已生效的行为准则、修正案或延期是否在欧盟具有一般效力。此类法案的制定应当符合第942条所规定的核查程序。10对于已经被认定符合第9段中所规定的具有一般有效性的已生效准则欧盟委员会应当保证其具有适当的公开性。11欧盟数据保护委员会应当核查所有登记的已生效行为准则、修正案以及延期并且应当以恰当的方式使得公众能够获取。第41条 对已生效行为准则的监控1在不影响第57和第58条规定的有权监管机构的任务与权利的前提下对根据第40条制定的行为准则的合规性监管可以交给如下实体在准则所规定事项方面具有适当的专业性并且其合规性监管权力已经得到有权监管机构认证。2第1段所规定的实体当存在如下条件时可以被委任为有权监管是否遵守行为准则的机构(a)已经证明在准则所规定事项方面具有独立性与专业性满足有权监管机构的要求(b)已经确立了相关程序可以通过程序评估相关控制者和处理者适用准则的资质监控其对准则条款的遵守以及间歇性地评估其操作(c)已经设立程序和体系解决关于违反准则或关于控制者或处理者已经实施、或正在实施准则的方式的申诉并且已使得此类程序与体系对数据主体和公众透明化并且(d)已经表明其符合有权监管机构的要求其任务和职责不存在利益冲突的情形。3有权监管机构应当按照第63条所规定的一致性机制将认证第1段中所规定的实体的标准草案提交给欧盟数据保护委员会。4当控制者或处理者违反准则第1段所规定的实体在不影响有权监管机构的任务和权利、第八章条款的前提下应当在适当安全措施的保障下采取合适的行动包括准则中中止或剔除相关控制者或处理者。实体应当将此类行动以及行动的理由告知有权监管机构。5如果第1段所规定的实体不符合或不再符合认证的条件或者其行为违反了本条例有权监管机构应当撤回对其的认证。6本条不适用于公共机构和公共实体所进行的处理。第42条 认证1成员国、监管机构、欧盟数据保护委员会和欧盟委员会应当鼓励——尤其是在欧盟层面——建立数据保护认证机制、数据保护印章和标记以证明控制者和处理者的处理操作符合本条例。对此应当考虑微型、小型以及中型经济主体的特定需求。2控制者或处理者除了受本条例约束之外也可以设立符合本条第5段的数据保护认证机制、印章或标记以便证明对于根据第3条不受本条例约束的情形已经对第462条f点所规定的将个人数据转移到第三国或国际组织的情形采取了合适的安全措施。为了提供此类合适的安全措施包括和数据主体权利相关的安全措施此类控制者或处理者应当通过合同或其他具有法律强制力的措施制定有约束力和可执行的承诺。3认证应当是自愿的而且可以通过透明程序而获得。4根据本条而进行的认证不能减轻控制者或处理者遵循本条例的责任而且也不对第55条或56条所规定的有权监管机构的任务和权利产生影响。5符合本条的认证应当为第43条所规定的认证机构所批准应当建立在第583条的有权监管机构或第63条的欧盟数据保护委员会所批准的标准之上。当标准被欧盟数据保护委员会所批准这可以产生一个通用性认证——欧盟数据保护印章。6那些将其处理提交认证机制的控制者或处理者应当将进行认证程序所必需的所有信息与访问权提交给第43条规定的认证机构在适用的情形下还应当提交给有权监管机构。7颁发给控制者或处理者的认证的有效期最长是三年如果相关条件满足同样的情形下有效期可以延长。当认证的条件不满足或不再满足时在适用的情形下第43条规定的认证实体或有权监管机构可以撤回认证。8欧盟数据保护委员会应当核查所有已登记的验证机制、数据保护印章和标记而且应当以恰当的方式使得公众能够获取。第43条 认证机构1在不影响第57条和第58条规定的有权监管机构的任务与权利的前提下具有相应专业性的认证机构可以在告知监管机构后——以便监管机构可以行使第582点h点所规定的权利——颁发和更新认证。成员国应当确保这些认证机构是如下一个机构认可或两个机构同时认可的(a)第55或56条所规定的有权监管机构(b)按照欧洲议会和理事会的(EC)No 765/2008条例、EN-ISO/IEC 17065/2012设定的以及满足第55条或第56条的有权监管机构所规定的额外要求的全国性认证机构。2只有存在如下情形时第1段所规定的认证机构才能根据第1段的规定被认证(a)已经证明在准则所规定事项方面具有独立性与专业性满足有权监管机构的要求(b)采取措施遵从第425条所规定的标准并且已经为第55条所规定的有权监管机构或第63条规定的欧盟数据保护委员会所批准(c)建立了发行、定期审查和撤回数据保护认证、印章和标记的程序(d)已经设立了解决关于违反准则或关于控制者或处理者已经实施、或正在实施准则的方式的申诉程序和体系并且数据主体和公众已知悉此类程序和体系且(e)已经表明其符合有权监管机构的要求其任务和职责不存在利益冲突的情形。3第1段和第2段所规定的委任认证机构应当建立在第55条或第66条所规定的有权监管机构所批准的基础性标准之上或者第63条所规定的欧盟数据保护委员会所批准的基础性标准之上。对于本条第1段b点所规定的授权此类要求应当补充(EC) No 765/2008指令所设想的要求以及描述认证机构方法与程序的技术性规则。4在不影响控制者或处理者对本条例的遵守的前提下第1段所规定的认证机构应当负责颁发认证或撤销此类认证的有效评估。颁发给控制者或处理者的认证的有效期最长是五年如果相关条件满足同样的情形下有效期可以延长。5第1段所规定的验证机构应当向有权监管机构报告颁发或撤销所要求认证的理由。6监管机构应当以容易获取的方式公开本条第3段所规定的要求以及第425段所规定的标准。监管机构还应当将那些要求和标准传输给欧盟数据保护委员会。欧盟数据保护委员会应当核查所有登记的认证机制与数据保护印章而且应当通过某种恰当的方式将它们公开。7在不影响第八章的前提下当认证的条件不符合或不再符合或者当认证机构所采取的行为侵犯了本条例有权监管机构或全国性的认证机构应当取消根据本条第1段对认证机构的认证。8为了细化第421条所规定的数据保护验证机制所需要考虑的条件欧盟委员会有权制定符合第92条的授权法案。9欧盟委员会可以制定实施法案为验证机制与数据保护印章、标记与机制设定技术标准以便促进和认可那些验证机制、印章与标记。此类实施法条的制定应当符合第942条所规定的验证程序。未来智能实验室是人工智能学家与科学院相关机构联合成立的人工智能互联网和脑科学交叉研究机构。未来智能实验室的主要工作包括建立AI智能系统智商评测体系开展世界人工智能智商评测开展互联网城市云脑研究计划构建互联网城市云脑技术和企业图谱为提升企业行业与城市的智能水平服务。 如果您对实验室的研究感兴趣欢迎加入未来智能实验室线上平台。扫描以下二维码或点击本文左下角“阅读原文”
