史上最严数据保护条例欧盟GDPR,你可能需要这版中文全文(上)
翻译:丁晓东,中国人民大学法学院副教授,中国人民大学法学院未来法治研究院副院长。中山大学电子与通信工程专业学士,北京大学、耶鲁大学法学博士、中国人民大学法学博士后。
经过欧盟议会长达四年的讨论,欧盟《一般数据保护条例》(General Data Protection Regulation,简称GDPR)终于 在2018年5月25日生效。
在一些媒体的报道中,这一保护条例被称为“史上最严数据保护条例”。尽管这是现代社会保护个人数据与安全迈出的重要一步,但在国内外的许多媒体报道中,GDPR中的一些条款被误读或是错误理解引起了一些用户、公司、学者的恐慌。
在GDPR即将正式实施之际,严谨的阅读并理解GDPR的原文显得尤为重要。
由于篇幅原因,我们在本文仅给出中文版的上篇,下篇的阅读请前往同期推送的下一条图文。
一般数据保护条例
第一章 一般条款
第二章 原则
第三章 数据主体的权利
第四章 控制者和处理者
第五章 将个人数据转移到第三国或国际组织
第六章 独立监管机构
第七章 合作与一致性
第八章 救济、责任与惩罚
第九章 和特定处理情形相关的条款
第十章 授权法案与实施性法案
第一章 一般条款
第1条 主要事项与目标
1.本条例制定关于处理个人数据中对自然人进行保护的规则,以及个人 数据自由流动的规则。
2.本条例保护自然人的基本权利与自由,特别是自然人享有的个人数据 保护的权利。
3.不能以保护处理个人数据中的相关自然人为由,对欧盟内部个人数据 的自由流动进行限制或禁止。
第2条 适用范围
1.本条例适用于全自动个人数据处理、半自动个人数据处理,以及形成 或旨在形成用户画像的非自动个人数据处理。
2.本条例不适用以下情形:
(a)欧盟法管辖之外的活动中所进行的个人数据处理;
(b)欧盟成员国为履行《欧盟基本条约》(TEU)第2章第5款所规定的活动而进行的个人数据处理;
(c)自然人在纯粹个人或家庭活动中所进行的个人数据处理;
(d) )有关主管部门为预防、调查、侦查、起诉刑事犯罪、执行刑事处罚、防范及预防公共安全威胁而进行的个人数据处理。
3.欧盟机构、实体、办事处和规制机构所进行的个人数据处理,适用(EC)第 45/2001条例。根据本条例第98条,(EC)第45/2001条例和其他适用于此类个人数据处理的欧盟法案应当进行调整,以符合本条例的原则和规则。
4.本条例不影响2000/31/EC指令的适用,特别是2000/31/EC指令第12至15条所规定的中间服务商的责任规则的适用。
第3条 地域范围
1.本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。
2.本条例适用于如下相关活动中的个人数据处理,即使数据控制者或处理者不在欧盟设立:
(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价;或
(b)对发生在欧洲范围内的数据主体的活动进行监控。
3.本条例适用于在欧盟之外设立,但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。
第4条 定义
就本条例而言:
(1)“个人数据”指的是任何已识别或可识别的自然人(“数据主体”)相关的信息;一个可识别的自然人是一个能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。
(2)“处理”是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为,不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。
(3)“限制处理”是指对存储的个人数据进行标记,以限制此后对该数据的处理行为。
(4)“用户画像”指的是为了评估自然人的某些条件而对个人数据进行的任何自动化处理,特别是为了评估自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位置或行踪而进行的处理。
(5)“匿名化”指的是在采取某种方式对个人数据进行处理后,如果没有额外的信息就不能识别数据主体的处理方式。此类额外信息应当单独保存,并且已有技术与组织方式确保个人数据不能关联到某个已识别或可识别的自然人。
(6)“档案系统”指的是根据某种特定标准——不论这种标准是去中心化的、分散的、功能性的或是基于地理而设置的——而可以访问的个人数据的结构化集合。
(7)“控制者”指的是那些决定——不论是单独决定还是共同决定——个人数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体;如果此类处理的方式是由欧盟或成员国的法律决定的,那么对控制者的定义或确定控制者的标准应当由欧盟或成员国的法律来规定。
(8)“处理者”指的是为数据控制者而处理个人数据的自然人或法人、公共机构、规制机构或其他实体。
(9)“接收者”指的是接收数据的自然人、法人、公共机构、规制机构或另一实体,不论其是否为第三方。然而,公共机构基于欧盟或成员国法律的某项特定调查框架而接收个人数据,则不应当被视为接收者;公共机构对此类数据的处理,应当根据处理目的遵循可适用的数据保护规则。
(10)“第三方”指的是除了数据主体、控制者、处理者、控制者或处理者直接授权其处理个人数据之外的自然人或法人、公共机构、规制机构或组织。
(11)数据主体的“同意”指的是数据主体通过一个声明,或者通过某项清晰的确信行动而自由作出的、充分知悉的、不含混的、表明同意对其相关个人数据进行处理的意愿。
(12) “个人数据泄露”是指由于违反安全政策而导致传输、储存、处理中的个人数据被意外或非法损毁、丢失、更改或未经同意而被公开或访问。
(13)“基因数据”指的是和自然人的遗传性或获得性基因特征相关的个人数据,这些数据可以提供自然人生理或健康的独特信息,尤其是通过对自然人生物性样本进行分析而可以得出的独特信息。
(14)“生物性识别数据”指的是基于特别技术处理自然人的相关身体、生理或行为特征而得出的个人数据,这种个人数据能够识别或确定自然人的独特标识,例如脸部形象或指纹数据。
(15)“和健康相关的数据”指的是那些和自然人的身体或精神健康相关的、显示其个人健康状况信息的个人数据,包括和卫生保健服务相关的服务。
(16)“主要营业机构”指的是:
(a)如果控制者在不止一个成员国内有多处营业机构,那么其在欧盟的管理中心所在地是主要营业机构,除非个人数据处理的目的与方式是由控制者的另一个机构决定的,并且这一机构有权实施此决定,在这种情况下,做出此类决定的机构应当被认为是主要营业机构;
(b)如果处理者在不止一个成员国内具有多处机构,那么其在欧盟的管理中心所在地是主要营业机构。如果处理者在欧盟没有管理中心,那么在处理者需要遵守本条例所规定的特殊责任的前提下,其在欧盟的主要处理活动发生地的机构应当被视为主要营业机构。
(17)“代表”指的是控制者或处理者根据第27条在欧盟书面委任,代表控制者或处理者承担本条例所规定的相应责任的自然人或法人。
(18)“经济主体”的含义是采用任意法律形式的进行经济活动的自然人或法人,包括经常进行经济活动的合伙企业或协会;
(19)“企业集团”的含义是控股企业和被控股企业;
(20)“有约束力的公司规则”指的是在某成员国内设立的控制者或处理者,为了在企业集团内部或进行联合经济活动的经济主体内部将个人数据转移或多次转移给位于第三国或多个第三国的控制者或处理者,所遵循的个人数据保护政策。
(21)“监管机构”指的是成员国根据第51条而设立的独立性公共机构。
(22)“相关监管机构”指的是基于如下原因而和个人数据处理相关的监管机构:
(a)控制者或处理者是在某监管机构所在的成员国的境内所设立的;
(b)数据处理对居住在某监管机构所在地成员国的数据主体具有实质性影响;或者
(c)该监管机构已经收到一项申诉;
(23)“跨境处理”指的是:
(a)个人数据处理发生在一个控制者或处理者在多个成员国所设立的多个营业机构内;或者
(b)个人数据处理是在欧盟内的控制者或处理者的单一营业机构内进行的,但其对不止一国的数据主体具有实质性影响。
(24)“相关和合理的异议”指的是对是否存在违反本条例的情形,或者某项和控制者或处理者相关的初步设想是否符合本条例的异议——已有证据表明,这种初步设想的决定会对数据主体的基本权利和自由,以及在某些情形下对欧盟的个人数据的自由流通会带来风险。
(25)“信息社会服务”指的是欧洲议会和欧盟理事会的(EU) 2015/1535指令在第1(1)条(b)点所定义的服务。
(26)“国际组织”指的是依照国际公法、或根据两个或多个国家协议所设立的组织及其下属机构。
1.本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。
2.本条例适用于如下相关活动中的个人数据处理,即使数据控制者或处理者不在欧盟设立:
(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价;或
(b)对发生在欧洲范围内的数据主体的活动进行监控。
3.本条例适用于在欧盟之外设立,但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。
第二章 原则
第5条 个人数据处理原则
1.对于个人数据,应遵循下列规定:
(a)对涉及到数据主体的个人数据,应当以合法的、合理的和透明的方式来进行处理(“合法性、合理性和透明性”);
(b)个人数据的收集应当具有具体的、清晰的和正当的目的,对个人数据的处理不应当违反初始目的。根据第89(1)条,因为公共利益、科学或历史研究或统计目的而进一步处理数据,不视为违反初始目的(“目的限制”);
(c)个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的(“数据最小化”);
(d)个人数据应当是准确的,如有必要,必须及时更新;必须采取合理措施确保不准确的个人数据,即违反初始目的的个人数据,及时得到擦除或更正(“准确性”);
(e)对于能够识别数据主体的个人数据,其储存时间不得超过实现其处理目的所必需的时间;超过此期限的数据处理只有在如下情况下才能被允许:为了实现公共利益、科学或历史研究目的或统计目的,为了保障数据主体的权利和自由,并采取了本条例第89(1)条所规定的合理技术与组织措施。(“限期储存”);
(f) 处理过程中应确保个人数据的安全,采取合理的技术手段、组织措施,避免数据未经授权即被处理或遭到非法处理,避免数据发生意外毁损或灭失(“数据的完整性与保密性”)。
2.控制者有责任遵守以上第1段,并且有责任对此提供证明。(“可问责性”)。
第6条 处理的合法性
1.只有满足至少如下一项条件时,处理才是合法的,且处理的合法性只限于满足条件内的处理:
(a)数据主体已经同意基于一项或多项目的而对其个人数据进行处理;
(b)处理对于完成某项数据主体所参与的契约是必要的,或者在签订契约前基于数据主体的请求而进行的处理;
(c) 处理是控制商履行其法定义务所必需的;
(d)处理对于保护数据主体或另一个自然人的核心利益所必要的;
(e)处理是数据控制者为了公共利益或基于官方权威而履行某项任务而进行的;
(f)处理对于控制者或第三方所追求的正当利益是必要的,这不包括需要通过个人数据保护以实现数据主体的优先性利益或基本权利与自由,特别是儿童的优先性利益或基本权利与自由。
第1段(f)点不适用公共机构在履行其任务时的处理。
2.对于第1段(c)和(e)所规定的处理,成员国可以维持或新制定更多具体条款,以适应本条例规则的适用,成员国为了确保合法与合理处理,可以制定更为明确的规定,包括第9章所规定的其他特定的处理情形。
3.第1段(c)和(e)所规定的处理的基准应当通过如下法律进行规定:
(a)欧盟法;或者
(b)控制者所属的成员国的法律。
处理的目的应当在此法律基准上进行确定,而对于第1段(e)所规定的处理,处理的目的应当是控制者为了公共利益或基于官方权威而履行某项任务。此法律基准可以包含如下特定条款,以适应对本条例规则的适用:对控制者处理的合法性进行监控的一般条件;可以被处理的数据类型;相关数据主体;个人数据公开的目的,以及其可能被公开给的对象;目的限定;储存期限;包括第9章所规定的其他特定的处理情形在内的处理操作和处理程序。欧盟或成员国的法律应当满足公共利益的目标,且应当与实现正当目的成比例。
4.若处理是出于收集个人数据以外的其他目的,如果该目的未经数据主体同意或并非是基于联盟或成员国的法律(在一个民主社会中,若要实现第23(1)条中的目的,法律是必要且合适的),那么为确保该目的与初始目相容,控制商应当考虑以下因素,但不限于以下因素:
(a)个人数据收集时的目的与计划进一步处理的目的之间的所有关联性;
(b)个人数据收集时的语境,特别是数据主体与控制者之间的关系;
(c)个人数据的性质,特别是某些特定类型的个人数据是否符合第9条的规定,或者与刑事定罪和刑事违法相关的个人数据是否符合第10条的规定;
(d) 数据主体计划进一步处理可能造成的结果;
(e)是否具有加密与匿名化措施等恰当保护措施;
第7条 同意的条件
1.当处理是建立在同意基础上的,控制者需要能证明,数据主体已经同意对其个人数据进行处理。
2.如果数据主体的同意是在涉及到其他事项的书面声明的情形下作出的,请求获得同意应当完全区别于其他事项,并且应当以一种容易理解的形式,使用清晰和平白的语言。任何违反本条例的声明都不具有约束力。
3.数据主体应当有权随时撤回其同意。在撤回之前,对于基于同意的处理,其合法性不受影响。在数据主体表达同意之前,数据主体应当被告知这点。撤回同意应当和表达同意一样简单。
4.分析同意是否是自由做出的,应当最大限度地考虑一点是:对契约的履行——包括履行条款所规定的服务——是否要求同意履行契约所不必要的个人数据处理。
第8条 信息社会服务中适用儿童同意的条件
1.在第6(1)条(a)适用的情形下,对于为儿童直接提供信息社会服务的请求,当儿童年满16周岁,对儿童个人数据的处理是合法的。当儿童不满16周岁,只有当对儿童具有父母监护责任的主体同意或授权,此类处理才是合法的。
2.对于年满13周岁的情形,成员国的法律可以降低年龄要求。
3.控制者应当采取合理的努力,结合技术可行性,确保此类情形中对儿童具有父母监护责任的主体已经授权或同意。
第1段不应影响成员国的一般合同法,例如关于儿童的合同有效性、形成与效力的规则。
第9条 对特殊类型个人数据的处理
1.对于那些显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据,应当禁止处理。
2.如果具有如下条件之一,第1段将不适用:
(a)数据主体明确同意基于一个或多个特定目的而授权处理其个人数据,但依照欧盟或成员国的法律规定,数据主体无权解除第1段中所规定的禁令的除外;
(b)处理对于控制者履行责任以及行使其特定权利是必要的,或者对于在雇佣、社会安全与社会保障法领域采取符合欧盟或成员国法律或集体协议的措施以保护数据主体的根本权利和利益是必要的;
(c)数据主体因为身体原因或法律原因而无法表达同意,但处理对于保护数据主体或另一自然人的核心利益却是必要的;
(d)基金、协会或其它具有政治、哲学、宗教或工会目的的非盈利机构的正当性活动中所进行的处理,并且已经采取了恰当的保护措施;或者处理目的仅仅和机构成员、之前成员或具有经常联系的人相关,并且个人数据在未经数据主体同意前不对实体外的人公开;
(e)对数据主体已经明显公开的相关个人数据的处理;
(f)当处理对于提起、行使或辩护法律性主张必要时,或者法院在其所有的司法活动中所进行的处理;
(g)处理对实现实质性的公共利益必要的,建立在欧盟或成员国的法律基准之上、对实现目标是相称的,尊重数据保护权的核心要素,并且为数据主体的基本权利和利益提供合适和特定的保护措施;
(h)处理对于预防性医学或临床医学目的是必要的,或者对于评估雇员的工作能力、医疗诊断、提供——基于欧盟或成员国法律,或遵循和健康职业机构签订的契约并遵循第3段所规定的情形与保障措施——健康或社会保健或治疗或管理健康或社会保健体系是必要的;
(i)在公共健康领域,处理是为了实现公共利益所必要的,例如,在欧盟或成员国内已经为保障数据主体的权利与自由而采取合适与特定措施的法律基础上,处理对于预防严重的跨境健康威胁是必要的,或者为了保障医疗质量和安全、医疗产品或医疗设备的高质量和安全是必要的;或者
(j)处理对于实现符合第89(1)条公共利益、科学或历史研究目的或统计目的是必要的,处理采取了与其期望目的所相称的处理,尊重数据保护权的核心要素,并且对数据主体的基本权利与利益采取了合适与特定的措施。
3.根据欧盟或成员国的有权机构所制定的法律或规则而具有保守职业性秘密责任的职业主体,或者根据欧盟或成员国的有权机构所制定的法律或规则而具有保守秘密责任的自然人,可以为了第2段(h)点所规定的目的而处理第1段所规定的个人数据。
4.对于基因数据、生物性识别数据或健康相关数据的处理,成员国可以维持原有规定,或者作出新的规定,包括对处理基因数据、生物性识别数据或健康相关数据进行限定。
第10条 处理涉及犯罪定罪与违法的个人数据
处理和犯罪定罪与违法相关的个人数据,或处理第6(1)条规定的与安全措施相关的个人数据,只有如下情形才能被允许:当个人数据处理为官方机构控制,或者当欧盟或成员国的法律授权进行处理,并且采取了恰当的措施保障数据主体的权利与自由。任何犯罪定罪的全面性登记只能由官方机构进行。
第11条 不需要识别的处理
1.如果控制者处理个人数据的目的不需要或不再需要控制者对数据主体进行识别,控制者就不再具有为了遵循本条例而维持、获取或处理额外信息以识别数据主体的责任。
2.对于第1段所规定的情形,如果控制者能够证明其不适合识别数据主体,如有可能,数据控制者应当告知数据主体。在此类情形下,除非数据主体为了行使第15至20条所规定的权利,需要提供额外信息而使得对其识别变得可能,第15至20条将不应适用。
第三章 数据主体的权利
第一部分 透明性与模式
第12条 信息、交流与模式的透明性——保证数据主体权利的行使
1.对于和个人信息处理相关的第13和第14条规定的所有信息、或者第15条至22条以及34条所规定的所有交流,控制者应当以一种简洁、透明、易懂和容易获取的形式,以清晰和平白的语言来提供;对于针对儿童的所有信息,尤其应当如此。信息应当以书面形式或其他形式提供,包括在合适的情况下通过电子方式提供。若数据主体的身份可通过其他途径得到证实,那么控制者可依主体申请以口头方式提供相关信息。
2.控制者应当对数据主体行使第15至22条的权利而提供帮助。对于第11(2)条所规定的情形,当数据主体请求其行使第15至22条的权利,控制者不应拒绝,除非控制者能够证明其并不适宜识别数据主体。
3.在数据主体根据第15至22条的规定提出请求后,控制者应当提供信息,不应无故拖延,在任何情形下应当在收到请求后一个月内提供信息。在必要的情形下,考虑到请求的复杂性和多样性,这个期限可以再延长两个月。如果有此类延长,控制者应当在收到请求的一个月内将此类延长以及延长原因告知数据主体。当数据主体以电子形式做出请求,在可行的情况下,对信息的提供也应当以电子形式提供,除非数据主体有不同请求。
4.如果控制者没有采取相应的行动对数据主体的请求做出回应,那么应当及时告知该数据主体其在收到请求后一个月内未能采取行动的具体原因,同时可向监管机构提出申诉,寻求司法救济。
5.第13和第14条所规定的信息以及第15至22条和34条所规定的所有交流与行为都应当是免费的。当数据主体的请求明显不具备正当理由或超过必要限度,特别是当请求是重复性的时候,控制者可以:
(a)结合提供信息、交流或相应行动的行政花费,收取一定的合理费用;或者
(b)拒绝对请求作出行动。
控制者有责任证明数据主体的请求明显是毫无根据的或过分的。
6.在不影响第11条的前提下,控制者可以对第15至21条中提出要求的自然人的身份有合理怀疑,要求数据主体提供必要的额外信息以确认数据主体的身份。
7.根据第13条和14条提供给数据主体的信息可以和标准化的图标一起提供,以便于数据主体以一种一目了然的、易懂的和清晰的方式对计划的数据处理有全盘理解。当图标以电子化的方式提供,它们必须是机器可读的。
8.对于确定图标所提供的信息以及提供标准化图标的程序,欧盟理事会将有权根据第92条制定授权行动。
第二部分 信息与对个人数据的访问
第13条 收集数据主体个人数据时应当提供的信息
1.当收集和数据主体相关的个人数据时,控制者应当为数据主体提供如下信息:
(a)控制者的身份与详细联系方式,以及如果适用的话,控制者的代表;
(b)数据保护官的详细联系方式,如果适用的话;
(c)处理将要涉及到的个人数据的目的,以及处理的法律基础;
(d)当处理是基于(f)点或第6(1)条的时候,控制者或第三方的正当利益;
(e)个人数据的接收者或者接收者的类型,如果有的话;
(f)如果适用的话,控制者期望将数据转移到第三国或国际组织的事实、欧盟委员会作出或未作出充分决定的事实,或者,在第46或47条或者第49(1)条的第二小段所规定的转移情形中,所采取的适当保障措施的参考资料、获取它们备份的方式,或者在那里可以获取它们。
2.除了第1段所规定的信息,控制者应当在获取个人数据时为数据主体提供确保合理与透明处理所必要的进一步信息:
(a)个人数据将被储存的期限,以及确定此期限的标准;
(b)数据主体所拥有的权利:可以要求控制者提供对个人数据的访问、更正或擦除,或者限制或反对相关处理的权利;数据携带权;
(c)当处理是根据第6(1)条或第9(2)条的(a)点而进行的,数据主体拥有可以随时撤回——这种撤回不会影响撤回之前根据同意而进行处理的合法性——同意的权利;
(d)向监管机构进行申诉的权利;
(e)提供个人数据是一项制定法还是合同法的要求,是否对于缔结一项契约是必要的,数据主体是否有责任提供个人数据,以及没有提供此类数据会造成的可能后果。
(f)存在自动化的决策,包括第22(1)和(4)条所规定的用户画像,以及在此类情形下,对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息。
3.若控制者进一步处理个人信息的目的与收集个人信息的目的不一致,那么,控制者应当在进一步处理之前向数据主体提供此类目的的信息,以及提供第2段所规定的相关进一步信息。
4.在数据主体已经拥有信息的情况下,第1,2,3段不应当适用。
第14条 未获得数据主体个人数据的情形下,应当提供的信息
1.当个人数据还没有从数据主体那里收集,控制者应当向数据主体提供如下信息:
(a)控制者的身份与详细联系方式,以及如果适用的话,控制者的代表;
(b)如果适用的话,数据保护官的详细联系方式;
(c)处理将要涉及到的个人数据的目的,以及处理的法律基础;
(d)相关个人数据的类型;
(e)个人数据的接收者或者接收者的类型,如果有的话;
(f)如果适用的话,控制者期望将数据转移到第三国或国际组织、欧盟委员会作出或未作出的充足保护的认定,或者,在第46或47条或者第49(1)条的第二小段所规定的转移情形中,所采取的适当保障措施的参考资料、获取它们备份的方式,或者在那里可以获取它们。
2.除了第1段所规定的信息,控制者应当向数据主体提供如下确保涉及到数据主体的处理是合理与透明的必要信息:
(a)个人数据将被储存的期限,或者如果不可能的话,用来确定此期限的标准;
(b)当处理是根据第6(1)条(f)点而进行的,控制者或第三方所追求的正当利益;
(c)数据主体存在如下权利,可以要求控制者提供对个人数据的访问、更正或擦除,或者限制或反对相关处理,数据携带权;
(d)当处理是根据第6(1)条或第9(2)条的(a)点而进行的,数据主体拥有可以随时撤回——这种撤回不会影响撤回之前根据同意而进行处理的合法性——同意的权利;
(e)向监管机构进行申诉的权利;
(f)个人数据的来源,以及如果适用的话,其来源是否可以是公开性的资源;
(g)存在自动化的决策,包括第22(1)和(4)条所规定的用户画像,以及在此类情形下,对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息。
3.控制者应当按如下方式提供第1段和第2段所规定的信息:
(a)应当在获得个人数据后的一段合理期限内提供信息,如果考虑到个人数据处理的特定情形,应当至少在一个月以内;
(b)如果个人数据是被用来和数据主体进行沟通的,最晚应当在其和数据主体进行第一次沟通时提供信息;
(c)如果个人数据将被计划披露给另一个接收者,那么最晚应当在个人数据被第一次披露时提供信息。
4.当控制者因为与收集个人信息时不一致的目的进一步处理个人信息,控制者应当在进一步处理之前向数据主体提供此类目的的信息,以及提供第2段所规定的相关进一步信息。
5.在如下情形中,第1至4段不适用:
(a)数据主体已经拥有信息;
(b)此类信息的提供是不可能的,或者说需要付出某种不相称的工作,在如下情形中尤其不适用:为了实现公共利益、科学或历史研究目的或统计目的,为了保障数据主体的权利和自由,并采取了本条例第89(1)条所规定的合理技术与组织措施;或者本条第1段所规定的责任会严重妨碍实现处理的目标。在此类情形中,控制者应当采取恰当的措施保护数据主体的权利与自由与正当利益,包括使得信息可以公开获取;
(c)欧盟或成员国为控制者特别制定了获取或公开信息的法律,并且已经对保护数据主体的正当利益制定了恰当的措施;
(d)当个人数据必须保密,必须遵守欧盟或成员国法律所规定的职业秘密责任,包括制定法上的保守秘密责任。
第15条 数据主体的访问权
1.数据主体应当有权从控制者那里得知,关于其的个人数据是否正在被处理,如果正在被处理的话,其应当有权访问个人数据和获知如下信息:
(a)处理的目的;
(b)相关个人数据的类型;
(c)个人数据已经被或将被披露给接收者或接收者的类型,特别是当接收者属于第三国或国际组织时;
(d)在可能的情形下,个人数据将被储存的预期期限,或者如果不可能的话,确定此期限的标准;
(e)数据主体要求控制者纠正或擦除个人数据、限制或反对对数据主体相关的个人数据进行处理的权利;
(f)向监管机构进行申诉的权利;
(g)当个人数据不是从数据主体那里收集的,关于来源的任何信息;
(h)存在自动化的决策,包括第22(1)和(4)条所规定的数据分析,以及在此类情形下,对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息。
2.当个人数据被转移到第三国或一个国际组织,数据主体应当有权获知和转移相关的符合第46条的恰当的保障措施。
3.控制者应当对进行处理的个人数据提供一份备份。对于任何数据主体所要求的额外备份,控制者可以根据管理花费而收取合理的费用。当数据主体通过电子方式而请求,且除非数据主体有其他请求,信息应当以通常使用的电子形式提供。
4.获取第三段中所规定的备份的权利不应当对他人的权利与自由产生负面影响。
第三部分 更正与擦除
第16条 更正权
数据主体应当有权从控制者那里及时得知对与其相关的不正确信息的更正。在考虑处理目的的前提下,数据主体应当有权完善不充分的个人数据,包括通过提供额外声明的方式来进行完善。
第17条 擦除权(“被遗忘权”)
1.数据主体有权要求控制者擦除关于其个人数据的权利,当具有如下情形之一时,控制者有责任及时擦除个人数据:
(a)个人数据对于实现其被收集或处理的相关目的不再必要;
(b)处理是根据第6(1)条(a)点,或者第9(2)条(a)点而进行的,并且没有处理的其他法律根据,数据主体撤回在此类处理中的同意;
(c)数据主体反对根据第21(1)条进行的处理,并且没有压倒性的正当理由可以进行处理,或者数据主体反对根据第21(2)条进行的处理;
(d)已经存在非法的个人数据处理;
(e)为了履行欧盟或成员国法律为控制者所设定的法律责任,个人数据需要被擦除;
(f)已经收集了第8(1)条所规定的和提供信息社会服务相关的个人人数据。
2.当控制者已经公开个人数据,并且负有第1段所规定的擦除个人数据的责任,控制者应当考虑可行技术与执行成本,采取包括技术措施在内的合理措施告知正在处理个人数据的控制者们,数据主体已经要求他们擦除那些和个人数据相关的链接、备份或复制。
3.当处理对于如下目的是必要的,第1和第2段将不适用:
(a)为了行使表达自由和信息自由的权利;
(b)控制者执行或者为了执行基于公共利益的某项任务,或者基于被授予的官方权威而履行某项任务,欧盟或成员国的法律要求进行处理,以便履行其法律职责;
(c)为了实现公共健康领域符合第9(2)条(h)和(i)点以及第9(3)条的公共利益而进行的处理;
(d)如果第1段所提到权利会受严重影响,或者会彻底阻碍实现第89(1)条的公共利益目的、科学或历史研究目的或统计目的;或者
(e)为了提起、行使或辩护法律性主张。
第18条 限制处理权
1.当存在如下情形之一时,数据主体有权要求控制者对处理进行限制:
(a)数据主体对个人数据的准确性有争议,并给与控制者以一定的期限以核实个人数据的准确性;
(b)处理是非法的,并且数据主体反对擦除个人数据,要求对使用其个人数据进行限制;
(c)控制者不再需要个人数据以实现其处理的目的,但数据主体为了提起、行使或辩护法律性主张而需要该个人数据;
(d)数据主体根据第21(1)条的规定而反对处理,因其需要确定控制者的正当理由是否优先于数据主体的正当理由。
2.当处理受第1段的规定所限制,除了储存的情形,此类个人数据只有在如下情形中才能进行处理:获取了数据主体的同意,或者为了提起、行使或辩护法律性主张,或者为了保护另一个自然人或法人的权利,或者为了欧盟或某个成员国的重要公共利益。
3.那些根据第1段规定已经获取了对处理进行限制的数据主体,在限制被解除前,控制者应当告知数据主体。
第19条 关于更正或擦除或限制处理中的通知责任
对于所有根据第16、17(1)、18条而限制或擦除个人数据,或限制处理个人数据,控制者都应当将其告知个人数据已经被披露给的每个接收者——除非此类告知是不可能的,或者需要付出不相称的工作。如果数据主体提出要求,控制者应当将关于接收者的情形告知数据主体。
第20条 数据携带权
1.当存在如下情形时,数据主体有权获得其提供给控制者的相关个人数据,且其获得个人数据应当是经过整理的、普遍使用的和机器可读的,数据主体有权无障碍地将此类数据从其提供给的控制者那里传输给给另一个控制者:
(a)处理是建立在第6(1)条(a)点或9(2)条(a)点所规定的同意,或者6(1)条所规定的合同的基础上的;
(b)处理是通过自动化方式的。
2.在行使第1段所规定的携带权时,如果技术可行,数据主体应当有权将个人数据直接从一个控制者传输到另一个控制者。
3.行使第1段所规定的权利,不能影响第17条的规定。对于控制者为了公共利益,或者为了行使其被授权的官方权威而进行的必要处理,这种权利不适用。
4.第1段所规定的权利不能对他人的权利或自由产生负面影响。
第四部分 反对的权利和自动化的个人决策
第21条 反对权
1.对于根据第6(1)条(e)或(f)点而进行的关乎数据主体的数据处理,包括根据这些条款而进行的用户画像,数据主体应当有权随时反对。此时,控制者须立即停止针对这部分个人数据的处理行为,除非控制者证明,相比数据主体的利益、权利和自由,具有压倒性的正当理由需要进行处理,或者处理是为了提起、行使或辩护法律性主张。
2.当因为直接营销目的而处理个人数据,数据主体有权随时反对为了此类营销而处理相关个人数据,包括反对和此类直接营销相关的用户画像。
3.当数据主体反对为了直接营销目的而处理,将不能为了此类目的而处理个人数据。
4.至晚在和数据主体所进行的第一次沟通中,第1段和第2段所规定的权利应当让数据主体明确知晓,且应当与其他信息区分开来,清晰地告知数据主体。
5.在适用信息社会服务的语境中,尽管存在2002/58/EC指令的规定,数据主体仍可以使用技术性条件、通过自动化方式行使反对权。
6.当个人数据是为了第89(1)条所规定的科学目的或历史研究目的或统计目的,数据主体基于其特定情形应当有权反对对关乎其的个人数据进行处理,除非处理对于实现公共利益的某项任务是必要的。
第22条 自动化的个人决策,包括用户画像
1.数据主体有权反对此类决策:完全依靠自动化处理——包括用户画像——对对数据主体做出具有法律影响或类似严重影响的决策。
2.当决策存在如下情形时,第1段不适用:
(a)当决策对于数据主体与数据控制者的合同签订或合同履行是必要的;
(b)当决策是欧盟或成员国的法律所授权的,控制者是决策的主体,并且已经制定了恰当的措施保证数据主体的权利、自由与正当利益;或者
(c)当决策建立在数据主体的明确同意基础之上。
3.在第2段所规定的(a)和(c)点的情形中,数据控制者应当采取适当措施保障数据主体的权利、自由、正当利益,以及数据主体对控制者进行人工干涉,以便表达其观点和对决策进行异议的基本权利。
4.第2段所规定的决策的基础不适用于第9(1)条所规定的特定类型的个人数据,除非符合第9(2)条(a)点或(g)点的规定,并且已经采取了保护数据主体权利、自由与正当利益的措施。
第五部分限制
第23条 限制
1.若控制者或处理者受欧盟法律或某成员国法律的调整,那么欧盟法律或该成员国法律可以通过立法手段限制第12至22条、34条以及第5条所赋予的责任范围与权利范围,只要其法律条款和第12至22条所赋予的责任与权利相对应。如果此类限制尊重基本权利与自由的核心要素,并且此类限制是实现如下民主社会中的目的所必要和成比例的措施,那么此类限制应当被允许:
(a)国家安全;
(b)国防;
(c)公共安全;
(d)预防、调查、侦查、起诉刑事违法进行或者执行刑法,包括保障公共安全和预防对公共安全的威胁;
(e)其他些欧盟或某个成员国的重要一般公共利益,特别是欧盟或某个成员国的经济或金融利益,包括财政、预算、税收事项、公共健康和社会安全;
(f)司法独立和司法诉讼的保护;
(g)为了规制性职业而预防、调查、保护和起诉违反伦理的行为;
(h)和行使(a)(b)(c)(d)(e)(g)点中所规定的官方权威相联系的某项监控、调查或规制功能;
(i)保护数据主体或其他人的权利和自由;
(j)实施民事法律主张。
2.需要特别注意的是,至少在涉及到如下情形时,任何第1段所规定的立法措施都应当包含特定条款,规定:
(a)处理的目的或处理的类型;
(b)个人数据的类型;
(c)施加限制的范围;
(d)防止滥用或非法性访问或转移的措施;
(e)控制者的具体情况或控制者类型的具体情况;
(f)在考虑了处理的性质、范围和目的或处理类型之后所制定的储存期限和可适用的保障措施;
(g)数据主体的权利和自由所面临的风险;以及
(h)数据主体获知限制的权利,除非这种权利可能影响实现限制的目的。
第四章 控制者和处理者
第一部分 一般性责任
第24条 控制者的责任
1.在考虑了处理的性质、范围、语境与目的,以及考虑了处理对自然人权利与自由所带来的不同概率和程度的风险后,控制者应当采取恰当的技术与组织措施,保证处理符合本条例规定的,并且能够证明处理符合本条例规定。必要时,这些措施应当被审查。
2.第1段所规定的措施,当和处理活动成比例时,应当包括控制者所采用的合适的数据保护政策。
3.遵守第40条所规定的已生效的行为准则,或遵守第42条规定的已生效的认证机制,这可以被用以证明控制者责任的合规性。
第25条 通过设计的数据保护和默认的数据保护
1.在考虑了最新水平、实施成本、处理的性质、处理的范围、处理的语境与目的,以及处理给自然人权利与自由带来的伤害可能性与严重性之后,控制者应当在决定处理方式时和决定处理时,应当采取合适的技术与组织措施,并且在处理中整合必要的保障措施,以便符合本条例的要求和保护数据主体的权利。例如,控制者可以采取匿名化,一种设计用来实施数据保护原则——比如数据最小化原则——的措施。
2.控制者有责任采取适当的技术与组织措施,以保障在默认情况下,只有某个特定处理目的所必要的个人数据被处理。这种责任适用于收集的个人数据的数量、处理的限度,储存的期限以及可访问性。尤其需要注意的是,此类措施必须确保,在默认情况下,如果没有个体介入,个人数据不能为不特定数量的自然人所访问。
3.根据第42条的某种已生效的认证机制,可以被用来证明本条第1段和第2段所规定的合规要求。
第26条 共同控制者
1.当两个或更多控制者联合确定处理的目的与方法,它们就是共同控制者。它们应当以一种透明的方式确定遵守本条例责任的相应责任,尤其当其涉及到行使数据主体个人权利,以及涉及控制者为数据主体——根据他们的合约安排——提供第13条和第14条所规定的信息的相应责任,除非欧盟或成员国的法律已经对对控制者施加了相应责任。
2.第1段所规定的合约安排应当恰当地反映相对于数据主体的共同控制者的相应角色和相互关系。数据主体应当可以知晓安排的实质。
3.不论第1段所规定的合约安排的条款如何,数据主体都可以向任一控制者主张其本条例所赋予的权利。
第27条 不在欧盟所设立的控制者或处理者的代表
1.在第3(2)条适用的情形下,控制者或处理者应当以书面形式在欧盟委任一名代表。
2.此项责任不应当适用于:
(a)除了第9(1)条所规定的特定类型数据的大规模处理,或者第10条所规定的和刑事定罪或违法相关的个人数据处理之外的偶尔性处理,以及考虑到处理的性质、语境、范围和目的,不太可能对自然人的权利与自由带来风险的处理;或者
(b)公共机构或实体。
3.为数据主体提供相关商品或服务,或者监控数据主体的行为,数据主体的所在国之一应当设立代表。
4.为了确保对本条例的遵守,对于所有涉及到处理的事项,控制者或处理者应当做出强制性规定,确保其代表能在控制者或处理者之外收到信息,或者替代控制者或处理者收到信息,对于监管机构和数据主体所要求的事项尤其如此。
5.控制者或处理者委任代表,不能影响控制者或处理者进行的法律行动。
第28条 处理者
1.处理者代表控制者进行处理,控制者只能选用有充分保证的、可采取合适技术与组织措施的、其处理方式符合本条例要求并且保障数据主体权利的处理者。
2.如果没有控制者之前的特别授权或一般书面授权,处理者不应聘用另一个处理者。在具有一般书面授权的情形下,对于涉及到补充或替换其他处理者的变动,处理者都应当告知控制者,以便使控制者有机会反对此类变化。
3.处理者的处理应当受某类合同或其他欧盟法与成员国法的约束,这类合同或法律应当规定处理者相对于控制者的责任、主体事项、处理期限、处理性质与目的、个人数据的类型、数据主体的类型以及控制者的责任与权利的。此类合同或法律尤其应当对如下情形做出规定:
(a)只有在收到控制者的书面指示时才可以处理个人数据,在涉及到将个人数据转移到第三国或某个国际组织的事项中亦是如此,除非欧盟法或成员国法对处理者有要求;在这种情形下,处理者应当在处理之前将法律要求告知控制者,除非告知会影响重要的公共利益;
(b)对于被授权处理个人数据的人,确保其履行保密义务或法律上的适当保密责任;
(c)采取第32条所要求的所有措施;
(d)尊重第2段和第4段规定的聘用另一个处理者的条件;
(e)结合处理的性质,在可能的情形下,通过合适的技术与组织手段帮助控制者履行其责任,以便使得数据主体能够行使其第三章所规定的权利;
(f)结合处理的性质和处理者所能得到的信息,帮助控制者履行第32至36条所规定的责任;
(g)基于控制者的选择,在提供和处理相关的服务结束后,将个人数据删除或返还给控制者,并且删除已有备份,除非欧盟或成员国的法律要求储存个人数据;
(h)给控制者提供所有能够证明其已经遵循本条款规定责任的信息,以及有利于控制者或控制者委任的审计员进行审计和核查的信息。
关于第1段(h)点,如果处理者认为某项指示违反了本条例或其它欧盟或成员国的数据保护条款,其应当立即告知控制者。
4.当处理者代表控制者为了进行特定的处理活动而应聘另一处理者,第3段所规定的控制者和处理者之间的合同或其它法律条款所规定的数据保护责任应当通过合同或欧盟或成员国的法律条款而同等适用于另一处理者,尤其是应当采取充分的保障措施、恰当的技术与组织手段以满足本条例的要求。当另一个处理者无法完成其数据保护职责时,对其责任,处理者应当完全负担。
5.处理者遵守第40条所规定的已生效的行为准则,或者遵守第42条所规定的已生效的验证机制,这可以被作为证据之一,证明处理者已经采取了本条款第1段和第4段所规定的充分保障。
6.在不影响控制者和处理者之间的单独合同的前提下,第3段和第4段所规定的合同或法律条款可以全部或部分运用本条第7段和第8段所规定的格式合同条款,包括它们何时属于根据第42条和第43条规定的赋予给控制者或处理者的验证机制。
7.欧盟委员会可以对于本条第3段和第4段所规定的事项,根据第93(2)条所规定的检查程序而制定格式合同条款。
8.监管机构可以对本条第3段和第4段所规定的事项,根据第63条所规定的一致性机制而制定格式合同条款。
9.第3段和第4段所规定的合同或法律条款必须是书面的,包括以电子形式做出的书面记录。
10.在不影响第82、83、84条的情形下,如果某个处理者因为确定处理目的与方法方而违反了本条例,处理者应当在此次处理中被视为控制者。
第29条 代表控制者或处理者进行的处理
对个人数据有访问权的处理者或控制者、处理者的代表人,未经控制者允许,不得处理该个人数据。欧盟法律或成员国法律另有规定的除外。
第30条 处理活动的记录
1.每个控制者——以及如果有的话——每个控制者的代表,都应当保持其所负责的处理活动的记录。这种记录应当包含所有如下信息:
(a)控制者以及——如果有的话——共同控制者、控制者的代表、数据保护官的姓名、详细联系方式;
(b)处理的目的;
(c)对数据主体的类型以及个人数据的类型的描述;
(d)个人数据已经被披露或将被披露给的接收者——包括位于第三国或国际组织的接收者——的类型;
(e)如果适用的话,将个人数据转移到第三国或国际组织的记录,包括识别此第三国或国际组织的记录,以及在第49(1)条第二分段所提到转移的情形中,对适当保障措施的记录;
(f)如果适用的话,擦除不同种数据类型的预计期限;
(g)如果适用的话,对第32(1)条所规定的技术性与组织性安全措施的一般性描述。
2.每个处理者以及——如果适用的话——处理者的代表对于以控制者名义进行的处理都应当保持保存一份记录,包含如下信息:
(a)处理者或处理者们的名字和详细联系方式、处理者所代表的每个控制者以及——如果有的话——控制者或处理者的代表、数据保护官;
(b)代表每个控制者进行处理的类型;
(c)如果适用的话,将个人数据转移到第三国或国际组织的记录,包括识别此第三国或国际组织的记录,以及在第49(1)条第二分段所提到转移的情形中,对适当保障措施的记录;
(d)如果有的话,对第32(1)条所规定的技术性和组织性安全措施的一般性描述。
3.第1段和第2段所规定的记录应当是书面的,包括以电子形式作出的书面记录。
4.基于监管机构的要求,控制者或处理者以及——在有的情况下——控制者或处理者的代表,应当提供可获取的记录。
5.第1和第2段所规定的责任不适用于雇员少于250人的经济主体或组织,除非其进行的处理不是偶尔性的,而且可能会对数据主体的权利与自由带来风险,或者其处理包含了第9(1)条规定的特定种类的数据或第10条规定的和刑事犯罪和违法相关的个人数据。
第31条 和监管机构的合作
在监管机构的要求下,控制者和处理者以及——在适用的情况下——它们的代表应当配合监管机构的工作。
第二部分 个人数据的安全
第32条 处理的安全
1.在考虑了最新水平、实施成本、处理的性质、处理的范围、处理的语境与目的之后,以及处理给自然人权利与自由带来的伤害可能性与严重性之后,控制者和处理者应当采取包括但不限于如下的适当技术与组织措施,以便保证和风险相称的安全水平:
(a)个人数据的匿名化和加密;
(b)保持处理系统与服务的保密性、公正性、有效性以及重新恢复的能力;
(c)在遭受物理性或技术性事件的情形中,有能力恢复对个人数据的获取与访问;
(d)具有为保证处理安全而常规性地测试、评估与评价技术性与组织性手段有效性的流程。
2.在评估合适的安全级别的时候,应当特别考虑处理所带来的风险,特别是在个人数据传输、储存或处理过程中的的意外或非法销毁、丢失、篡改、未经授权的披露或访问。
3.遵守第40条所规定的已生效的行为准则,或者遵守第42条所规定的已生效的验证机制,这可以被作为证据之一,证明已经遵守了本条款第1段的要求。
4.控制者和处理者应当采取措施确保,除非接到控制者的指示,任何有权访问个人数据的处理者或任何代表控制者和处理者的自然人都不会进行处理,除非欧盟或成员国法律要求进行处理。
第33条 向监管机构报告对个人数据的泄露
1.在个人数据泄露的情形中,如果可行,控制者在知悉后应当及时——至迟在72小时内——将个人数据泄露告知第55条所规定的有权监管机构,除非个人数据泄露对于自然人的权利与自由不太可能会带来风险。对于不能在72小时以内告知监管机构的情形,应当提供延迟告知的原因。
2.处理者在获知个人数据泄露后,应当及时告知控制者。
3.第1段所规定的告知应当至少包括:
(a)描述个人数据泄露的性质,在可能的情形下,描述包括相关数据主体的类型和大致数量,以及涉及到个人数据的类型与大致数量;
(b)告知数据保护官的姓名与详细联系方式,或者可以获取更多信息的其他联系方式;
(c)描述个人数据泄露的可能后果;
(d)描述控制者应对个人数据泄露已经采用或计划采用的措施,包括——如果合适的话——减少负面影响的措施。
4.在不可能同时提供信息的情形下,可以分阶段地及时提供信息。
5.控制者应当记录所有对个人数据的泄露,包括泄露个人数据相关的事实、影响与已经采取的救济行动。参照该记录,监管机构得以核实控制者是否遵守本条例的有关规定。
第34条 向数据主体传达个人数据泄露
1.当个人数据泄露很可能给自然人的权利与自由带来高风险时,控制者应当及时向数据主体传达对个人数据泄露。
2.本条第1段所规定的向数据主体传达,应当以清晰和平白的语言传达个人数据泄露的性质,并且应当至少包括第33(3)条(b)(c)(d)点所提供的信息与建议。
3.当满足如下情形之一时,不要求控制者告知数据主体其个人数据被泄露的信息:
(a)控制者已经采取合适的技术与组织保证措施,并且那些措施已经应用于那些被个人数据泄露所影响的个人数据,特别是已经应用那些使得未被授权访问的个人无法辨识个人数据的措施,例如加密;
(b)控制者已经采取后续措施,保证第1段所规定的给数据主体的权利与自由带来的高风险不再有实现的可能;
(c)告知将需要付出不相称的努力。此时,应存在公告机制或类似措施来承担控制者的告知义务,并且与控制者告知相比,这种措施的告知效果应当至少有相同效果。
4.如果控制者仍然没有将个人数据泄露告知数据主体,监管机构在考虑了个人数据泄露所可能带来的高风险可能性后,可以要求其告知,或者可以认为符合第3段所规定的情形。
第三部分 数据保护影响评估与提前咨询
第35条 数据保护影响评估
1.当某种类型的处理——特别是适用新技术进行的处理——很可能会对自然人的权利与自由带来高风险时,在考虑了处理的性质、范围、语境与目的后,控制者应当在处理之前评估计划的处理进程对个人数据保护的影响。若多项高风险处理活动属于同一种类,那么此时仅对其中某一项活动进行评估即可。
2.如果控制者已经委任数据保护官,当其进行数据保护影响评估时,控制者应当向数据保护官进行咨询。
3.在如下情形中,第1段所规定的数据保护影响评估是尤其必须的:
(a)对与自然人相关的个人因素进行系统性与全面性的评价,此类评价建立在自动化处理——包括用户画像——基础上的,并且其决策对自然人产生法律影响或类似重大影响;
(b)以大规模处理的方式处理第9(1)条所规定的特定类型的数据,或者和第10条规定的定罪与违法相关的个人数据;或者
(c)以大规模的方式系统性地监控某个公众可以访问的空间。
4.监管机构应当建立并公开一个列表,列明符合第1段所要求的数据保护影响评估的处理操作的类型。监管机构应当将此类列表告知第68条所提到欧盟数据保护委员会。
5.监管机构还可以建立一个公开性的列表,列明符合不需要进行数据保护影响评估的处理操作的类型。监管机构应当将此类列表告知欧盟数据保护委员会。
6.在设置第4段与第5段所规定的列表之前,当此类列表涉及到为数据主体提供商品或服务,或者涉及到对多个成员国行为的监管,或者可能实质性地影响欧盟内部个人数据的自由流动,有职权的监管机构应当首先适用第63条所规定的一致性机制。
7.评估应当至少包括:
(a)对计划的处理操作和处理目的的系统性描述,以及——如果适用的话——对控制者所追求的正当利益的描述;
(b)对和目的相关的处理操作的必要性与相称性进行分析;
(c)对第1段所规定的给数据主体的权利与自由带来的风险的评估;
(d)结合数据主体和其他相关个人的权利与正当利益,采取的计划性风险应对措施,包括保障个人数据保护和证明遵循本条例的安全保障、安全措施和机制。
8.评估相关控制者或处理者的处理操作的影响时,特别是评估数据保护影响时,应当合理考虑其对第40条所规定的已生效的行为准则的遵守。
9.在合适的情形下,如果其不影响保护商业或公共利益或处理操作的安全性,控制者应当咨询数据主体或数据主体代表对于其预期处理的观点。
10.当基于第6(1)条(c)或(e)点而进行的处理符合欧盟或成员国为控制者制定涉及到处理操作的法律,并且在制定其法律基准时已经进行了作为一般性影响评估一部分的数据保护影响评估时,第1至7段不应当适用,除非成员国认为,有必要在处理活动前进行此类评估。
11.必要时,控制者应当进行核查,评估处理是否是符合数据保护影响评估,至少当处理操作所带来的风险存在变化时,应进行核查。
第36条 提前咨询
1.当第35条所规定的数据保护影响评估表明,如果控制者不采取措施,处理会带来高风险,那么控制者应当在处理之前咨询监管机构。
2.当监管机构认为,第1段所规定的预期的处理将违反本条例,特别是当控制者无法识别或减小风险,监管机构应当在收到咨询请求的八个星期以内向控制者以及——在适用的情况下——处理者提供书面建议,并且可以使用第58条所规定的权力。考虑到预期处理的复杂性,这种期限可以延长六个星期。监管机构应当在收到咨询请求的一个月内向控制者以及——在适用的情况下——处理者告知延期以及延期的原因。监管机构可以延长期限,直到其获取了咨询所要求的信息。
3.当咨询第1段所规定的监管机构时,控制者应当向监管机构提供如下信息:
(a)在适用的情形下,涉及到处理——特别是当处理是在一群企业内部进行的——的控制者、共同控制者和处理者的相应责任;
(b)预期处理的目的与方法;
(c)为了保障数据主体权利与自由所采取的符合本条例的方法与措施;
(d)在适用的情形下,数据保护官的详细联系方式;
(e)第35条所规定的数据保护影响评估;以及
(f)监管机构要求的所有其它信息。
4.成员国在起草相关立法草案以获得国会通过时,或者根据此类立法措施制定处理相关的规制措施时,应当咨询监管机构。
5.虽然有第1段的规定,但在和控制者履行实现公共利益任务相关的处理中,包括和社会保障与公共健康相关的处理中,成员国法律可以要求控制者在其处理相关的事项中咨询监管机构并且提前获取监管机构的授权。
第四部分 数据保护官
第37条 数据保护官的委任
1.在如下任一情形中,控制者和处理者应当委任数据保护官:
(a)处理是公共机构或公共实体进行操作的,法庭在履行其司法职能时除外;
(b)控制者或处理者的核心处理活动天然性地需要大规模性地对数据主体进行常规和系统性的监控;或者
(c)控制者或处理者的核心活动包含了第9条规定的对某种特殊类型数据的大规模处理和第10条规定的对定罪和违法相关的个人数据的处理。
2.如果一组企业的每一个机构都能很容易联系数据保护官,这一组企业可以任命一个单独的数据保护官。
3.当控制者或处理者是一个公共机构或公共实体,基于它们的组织结构和规模,多个此类公共机构或实体可以共同委任一个数据保护官。
4.除了第1段所规定的情形,在欧盟或成员国法律要求的情形下,控制者或处理者,或代表某类控制者或处理者的协会和其他实体可以委任一名数据保护官。对于此类协会,或代表控制者或处理者的其他实体的活动,数据保护官有权代表它们进行活动。
5.数据保护官的委任必须基于其专业性的素质,其需要具有数据保护法律与实践的专业知识,以及完成第39条所规定的任务的能力。
6.数据保护官应当是控制者或处理者或基于服务合同而完成任务的一名职员。
7.控制者或处理者应当发布数据保护官的详细联系方式,并向监管机构进行报告。
第38条 数据保护官的职位
1.控制者和处理者应当确保,在所有与个人数据保护相关的事项中,数据保护官都应当以一种恰当和及时的方式介入。
2.控制者和处理者应当支持数据保护官履行第39条所规定的责任,应当提供其履行此类责任、访问个人数据、进行处理操作,以及维持其专业性知识的必要资源。
3.控制者和处理者应当确保个人数据保护官不会收到任何关于履行此类责任的指示。个人数据保护官不能因为完成其任务而被控制者或处理者解雇。其可以直接向控制者或处理者的最高管理层进行报告。
4.数据主体可以在所有和处理其个人数据相关的事项中,以及和行使本条例所赋予的权利相关的事项中联系数据保护官。
5.数据保护官在完成其任务时,应当遵守欧盟或成员国的法律,负有保密义务。
6.数据保护官可以完成其他任务或责任。控制者或处理者应当保证任何此类任务和责任不会导致利益冲突。
第39条 数据保护官的任务
1.数据保护官应当至少具有如下任务:
(a)对控制者或处理者,以及那些履行本条例和欧盟其他成员国数据保护条款所规定的处理责任的雇员进行告知,提供建议;
(b)确保遵守本条例、其他欧盟或成员国数据保护条款、和个人数据保护相关的控制者或处理者的政策,包括分配处理操作中以及相关审计中的责任、增强意识以及培训职员;
(c)根据要求,应当对数据保护影响评估以及根据第35条对其实施进行监管的事项提供建议;
(d)和监管机构进行合作;
(e)在与处理相关的事项中,包括第36条所规定的提前咨询中,以及——在适用的情况下——在其他所有相关事项的咨询中,充当监管机构的联系人。
2.数据保护官在履行其任务时,应当结合处理的性质、范围、语境与目的,合理地考虑处理操作所伴随的风险。
第五部分 行为准则与认证
第40条 行为准则
1.成员国、监管机构以及欧盟数据保护委员会与欧盟委员会鼓励在考虑不同处理部门的特征以及微型、小型以及中型经济主体的特定需求的基础上起草促进本条例合理适用的行为准则。
2.协会以及其它代表某类控制者或处理者的实体为了对适用本规则进行细化,可以起草行为准则,或修正或延长此类准则,例如,它们可以起草涉及到如下事项的准则:
(a)合理与透明的处理;
(b)在特定情境下控制者所追求的正当利益;
(c)对个人数据的收集;
(d)对个人数据进行匿名化处置;
(e)提供给公众与数据主体的信息;
(f)数据主体权利的行使;
(g)提供给儿童和保护儿童的信息,以及为了获取儿童监护人同意所采取的形式;
(h)第24条和第25条所规定的措施与程序,以及为了保障第32条所规定的处理安全所采取的措施;
(i)向监管机构通报个人数据泄露,以及将此类个人数据泄露告知数据主体;
(j)将个人数据转移到第三国或国际组织;或者
(k)不影响第77条和第99条所规定的数据主体权利的庭外诉讼性活动,以及为了解决控制者与数据主体在处理相关事项中争议的纠纷解决程序。
3.控制者或处理者除了受本条例约束之外,对于根据第3条不受本条例约束的情形,为了保证在第46(2)条(e)点所规定的将个人数据转移到第三国或国际组织的框架中提供合适的安全措施,也可以受本条第5段所规定的已生效的行为准则约束,或者受本条第9段规定的具有一般性效力的行为准则所约束。为了提供此类合适的安全措施,包括和数据主体权利相关的安全措施,此类控制者或处理者应当通过合同或其他具有法律强制力的措施制定有约束力和可执行的承诺。
4.在不影响第55或56条所规定的有权监管机构的任务与权利的前提下,本条第2段所规定的行为准则应当包括使第41(1)条所规定的实体能履行其监管任务的有效措施,保证负责实施行为准则的控制者或处理者遵循其条款的规定。
5.本条第2段所规定的计划起草、修改行为准则或延长现有准则的协会或其他实体,应当将准则草案、修正案或延期提议提交给符合第55条的有权监管机构。监管机构应当提供一份意见书,表明草案、修正案或延期提议是否符合本条例的规定,如果监管机构认定已经采取了足够和适当的安全保障,其应当批准草案、修正案或延期提议。
6.当准则草案、或修正案或延期提议是根据第5段的规定而被批准的,并且行为准则不涉及多个成员国的处理活动,监管机构应当进行登记并发表准则。
7.当行为准则的草案涉及到多个国家的处理活动,第55条所规定的有权监管机构应当在批准准则草案、修订或延期之前将其按照第63条规定的程序提交给欧盟数据保护委员会,并应提供一份意见书,表明准则草案、修正案或延期是否遵循了本条例,或者——在第3段所规定的情形中——是否提供了恰当的安全措施。
8.当第7段中规定的意见书确认了准则草案、修正案或延期遵循了本条例,或者——在第3段所规定的情形中——提供了恰当的安全措施,欧盟数据保护委员会应当将意见书提交给欧盟委员会。
9.欧盟委员会应当通过制定实施法案确定,根据第8段规定而提交的已生效的行为准则、修正案或延期是否在欧盟具有一般效力。此类法案的制定应当符合第94(2)条所规定的核查程序。
10.对于已经被认定符合第9段中所规定的具有一般有效性的已生效准则,欧盟委员会应当保证其具有适当的公开性。
11.欧盟数据保护委员会应当核查所有登记的已生效行为准则、修正案以及延期,并且应当以恰当的方式使得公众能够获取。
第41条 对已生效行为准则的监控
1.在不影响第57和第58条规定的有权监管机构的任务与权利的前提下,对根据第40条制定的行为准则的合规性监管可以交给如下实体:在准则所规定事项方面具有适当的专业性,并且其合规性监管权力已经得到有权监管机构认证。
2.第1段所规定的实体,当存在如下条件时,可以被委任为有权监管是否遵守行为准则的机构:
(a)已经证明在准则所规定事项方面具有独立性与专业性,满足有权监管机构的要求;
(b)已经确立了相关程序,可以通过程序评估相关控制者和处理者适用准则的资质,监控其对准则条款的遵守,以及间歇性地评估其操作;
(c)已经设立程序和体系,解决关于违反准则,或关于控制者或处理者已经实施、或正在实施准则的方式的申诉,并且已使得此类程序与体系对数据主体和公众透明化;并且
(d)已经表明其符合有权监管机构的要求,其任务和职责不存在利益冲突的情形。
3.有权监管机构应当按照第63条所规定的一致性机制,将认证第1段中所规定的实体的标准草案提交给欧盟数据保护委员会。
4.当控制者或处理者违反准则,第1段所规定的实体在不影响有权监管机构的任务和权利、第八章条款的前提下,应当在适当安全措施的保障下采取合适的行动,包括准则中中止或剔除相关控制者或处理者。实体应当将此类行动以及行动的理由告知有权监管机构。
5.如果第1段所规定的实体不符合或不再符合认证的条件,或者其行为违反了本条例,有权监管机构应当撤回对其的认证。
6.本条不适用于公共机构和公共实体所进行的处理。
第42条 认证
1.成员国、监管机构、欧盟数据保护委员会和欧盟委员会应当鼓励——尤其是在欧盟层面——建立数据保护认证机制、数据保护印章和标记,以证明控制者和处理者的处理操作符合本条例。对此应当考虑微型、小型以及中型经济主体的特定需求。
2.控制者或处理者除了受本条例约束之外,也可以设立符合本条第5段的数据保护认证机制、印章或标记,以便证明,对于根据第3条不受本条例约束的情形,已经对第46(2)条(f)点所规定的将个人数据转移到第三国或国际组织的情形采取了合适的安全措施。为了提供此类合适的安全措施,包括和数据主体权利相关的安全措施,此类控制者或处理者应当通过合同或其他具有法律强制力的措施制定有约束力和可执行的承诺。
3.认证应当是自愿的,而且可以通过透明程序而获得。
4.根据本条而进行的认证,不能减轻控制者或处理者遵循本条例的责任,而且也不对第55条或56条所规定的有权监管机构的任务和权利产生影响。
5.符合本条的认证应当为第43条所规定的认证机构所批准,应当建立在第58(3)条的有权监管机构或第63条的欧盟数据保护委员会所批准的标准之上。当标准被欧盟数据保护委员会所批准,这可以产生一个通用性认证——欧盟数据保护印章。
6.那些将其处理提交认证机制的控制者或处理者,应当将进行认证程序所必需的所有信息与访问权提交给第43条规定的认证机构,在适用的情形下,还应当提交给有权监管机构。
7.颁发给控制者或处理者的认证的有效期最长是三年,如果相关条件满足,同样的情形下有效期可以延长。当认证的条件不满足或不再满足时,在适用的情形下,第43条规定的认证实体或有权监管机构可以撤回认证。
8.欧盟数据保护委员会应当核查所有已登记的验证机制、数据保护印章和标记,而且应当以恰当的方式使得公众能够获取。
第43条 认证机构
1.在不影响第57条和第58条规定的有权监管机构的任务与权利的前提下,具有相应专业性的认证机构可以在告知监管机构后——以便监管机构可以行使第58(2)点h点所规定的权利——颁发和更新认证。成员国应当确保这些认证机构是如下一个机构认可或两个机构同时认可的:
(a)第55或56条所规定的有权监管机构;
(b)按照欧洲议会和理事会的(EC)No 765/2008条例、EN-ISO/IEC 17065/2012设定的,以及满足第55条或第56条的有权监管机构所规定的额外要求的全国性认证机构。
2.只有存在如下情形时,第1段所规定的认证机构才能根据第1段的规定被认证:
(a)已经证明在准则所规定事项方面具有独立性与专业性,满足有权监管机构的要求;
(b)采取措施遵从第42(5)条所规定的标准,并且已经为第55条所规定的有权监管机构或第63条规定的欧盟数据保护委员会所批准;
(c)建立了发行、定期审查和撤回数据保护认证、印章和标记的程序;
(d)已经设立了解决关于违反准则,或关于控制者或处理者已经实施、或正在实施准则的方式的申诉程序和体系,并且数据主体和公众已知悉此类程序和体系;且
(e)已经表明其符合有权监管机构的要求,其任务和职责不存在利益冲突的情形。
3.第1段和第2段所规定的委任认证机构应当建立在第55条或第66条所规定的有权监管机构所批准的基础性标准之上,或者第63条所规定的欧盟数据保护委员会所批准的基础性标准之上。对于本条第1段(b)点所规定的授权,此类要求应当补充(EC) No 765/2008指令所设想的要求,以及描述认证机构方法与程序的技术性规则。
4.在不影响控制者或处理者对本条例的遵守的前提下,第1段所规定的认证机构应当负责颁发认证或撤销此类认证的有效评估。颁发给控制者或处理者的认证的有效期最长是五年,如果相关条件满足,同样的情形下有效期可以延长。
5.第1段所规定的验证机构应当向有权监管机构报告颁发或撤销所要求认证的理由。
6.监管机构应当以容易获取的方式公开本条第3段所规定的要求,以及第42(5)段所规定的标准。监管机构还应当将那些要求和标准传输给欧盟数据保护委员会。欧盟数据保护委员会应当核查所有登记的认证机制与数据保护印章,而且应当通过某种恰当的方式将它们公开。
7.在不影响第八章的前提下,当认证的条件不符合或不再符合,或者当认证机构所采取的行为侵犯了本条例,有权监管机构或全国性的认证机构应当取消根据本条第1段对认证机构的认证。
8.为了细化第42(1)条所规定的数据保护验证机制所需要考虑的条件,欧盟委员会有权制定符合第92条的授权法案。
9.欧盟委员会可以制定实施法案,为验证机制与数据保护印章、标记与机制设定技术标准,以便促进和认可那些验证机制、印章与标记。此类实施法条的制定应当符合第94(2)条所规定的验证程序。
译者介绍:
丁晓东,中国人民大学法学院副教授,中国人民大学法学院未来法治研究院副院长。中山大学电子与通信工程专业学士,北京大学、耶鲁大学法学博士、中国人民大学法学博士后。转载请注明译者和出处。由于译者精力、时间和水平所限,本译稿的疏漏之处在所难免,欢迎对本译稿提出批评和意见,联系邮箱:dingruc@163.com