[導讀]經過歐盟議會長達四年的討論,歐盟《一般數據保護條例》(General Data Protection Regulation,簡稱GDPR)終於將在2018年5月25日生效。
來源:人大法學院未來法治研究院
翻譯:丁曉東,中國人民大學法學院副教授,中國人民大學法學院未來法治研究院副院長。中山大學電子與通信工程專業學士,北京大學、耶魯大學法學博士、中國人民大學法學博士後。
經過歐盟議會長達四年的討論,歐盟《一般數據保護條例》(General Data Protection Regulation,簡稱GDPR)終於將在2018年5月25日生效。
在一些媒體的報導中,這一保護條例被稱為「史上最嚴數據保護條例」。儘管這是現代社會保護個人數據與安全邁出的重要一步,但在國內外的許多媒體報導中,GDPR中的一些條款被誤讀或是錯誤理解引起了一些用戶、公司、學者的恐慌。
在GDPR即將正式實施之際,嚴謹的閱讀並理解GDPR的原文顯得尤為重要。
第五章 將個人數據轉移到第三國或國際組織
第44條 轉移的一般性原則
對於正在處理或計劃進行處理的個人數據,將其轉移到第三國或國際組織,包括將個人數據從第三國或國際組織轉移到另一第三國或另一國際組織,控制者和處理者只有滿足本條例的其他條款,以及滿足本章規定的條件才能進行轉移。為了保證本條例對於自然人的保護程度不會被削弱,本章的所有條款都應當被遵守。
第45條 基於認定具有充足保護的轉移
1.當歐盟委員會作出認定,認為相關的第三國、第三國中的某區域或一個或多個特定部門、或國際組織具有充足保護,可以將個人數據轉移到第三國或國際組織。此類轉移不需要特定的授權。
2.當評估保護程度的充足性時,歐盟委員會應當特別考慮如下因素:
(a)法治、對人權與基本自由的尊重、包括關於公共安全、國防、國家安全、刑法和公共機構訪問個人數據的一般性與部門性立法,以及此類立法的實施、數據保護規則、職業規則和安全措施,包括將個人數據轉移到另一第三國或國際組織所必須遵循的第三國或國際組織的規則、判例法以及有效可執行的數據主體權利、對其個人數據正在轉移的數據主體的司法救濟;
(b)在國際組織是主體的情形中,第三國內存在一個或多個有效運作的獨立監管機構,保證數據保護規則的實施,包括具有充分的執行權力,在數據主體行使其權利時和與成員國的監管機構合作時提供幫助和建議;
(c)第三國或國際組織已經許下的國際性承諾,或者承諾願意承擔有法律約束力的條約或法律文件所引起的其它責任,以及參加多邊或地區性的體系,特別是和數據保護相關的體系所引起的其它責任。
3.在評估了保護程度的充足性之後,歐盟委員會可以通過制定實施性法案,確定本條第2段含義內的第三國、第三國內的領地或一個或多個特定部門或一個國際組織是否具有充足的保護。實施性法案應當提供一種周期性審查,至少每四年對第三國或國際組織的所有相關發展進行審查。實施性法案應當細化其領域性與部門性的實施,以及在適用的情況下確定本條第2段(b)點所規定的一個或多個監管機構。實施性法案的制定應當遵循第93(2)條所規定的驗證程序。
4.歐盟委員會應當持續性地監控第三國或國際組織的某些可能會影響根據本條第3款而作出的決定和建立在95/46/EC指令第25(6)條基礎之上的決定發揮作用的某些發展。
5.當已有信息顯示,第三國或第三國內的一個或多個特殊部門或國際組織不再提供本條第2段所規定的充足的保護,歐盟委員會應當——尤其是在經過第3段所規定的核查後——通過制定不具有溯及力的實施性法案,在必要限度內廢止、修正或中止本條第3段所規定的決定。此類實施性法案的制定應當遵循第93(2)條所規定的驗證程序。
在具有高度正當性的緊急狀態情形中,歐盟委員會應當立即根據第93(3)條規定的程序而制定實施性法案。
6.為了補救導致第5條決定的情形,歐盟委員會應當與第三國或國際組織磋商。
7.符合本條第5段的決定不會影響到將個人數據轉移到第三國、第三國內的領地或一個或多個部門、或者第46條至49條所規定的相關國際組織。
8.歐盟委員會應當在歐盟的官方雜誌及其網站上發表名單,列明其確定已經具備充足保護或不再具有充足保護的第三國、第三國內的特定部門和國際組織。
9.歐盟委員會在95/46/EC指令第25(6)條基礎上而做出的決定,在被歐盟委員會根據本條第3段或第5段而修改、替代或廢止前應具有效力。
第46條 轉移所需要的適當安全保障
1.如果沒有根據第45(3)條而做出的決定,控制者或處理者只有提供適當的保障措施,以及為數據主體提供可執行的權利與有效的法律救濟措施,才能將個人數據轉移到第三國或一個國際組織。
2.在不要求監管機構提供任何具體授權的情形下,第1段所規定的適當保障措施可以如下方式提供:
(a)公共機構或實體之間之間籤訂的具有法律約束力和可執行性的文件;
(b)符合第47條的有約束力的公司規則;
(c)歐盟委員會根據第93(2)條規定的核查程序而制定的數據保護標準條款;
(d)監管機構根據第93(2)條規定的核查程序制定並且為歐盟委員會批准的數據保護標準條款;
(e)根據第40條制定的行為準則,以及第三國的控制者或處理者為了採取合適的安全保障而做出的具有約束力和執行力的承諾,包括數據主體的權利;或者
(f)根據第42條而被批准的驗證機制,以及第三國的控制者或處理者為了採取合適的安全保障而做出的具有約束力和執行力的承諾,包括數據主體的權利。
3.在需要有權監管機構授權的情形下,第1段所規定的合適安全措施尤其可以通過如下方式進行規定:
(a)控制者或處理者與控制者、處理者或第三國或國際組織的個人數據接收者之間的合同條款;或者
(b)公共機構或公共實體之間在行政性安排中所插入的條款,包括可執行的與有效的數據主體權利。
4.在本條第3段所規定的情形中,監管機構應當適用第63段所規定的一致性機制。
5.成員國或監管機構根據95/46/EC指令的第26(2)條而做出的授權,在被監管機構修改、替代或廢止之前應當一直有效。歐盟委員會根據95/46/EC指令第26(4)條而做出的決定,在歐盟委員會按照本條第2段做出必要性的修改、替換或廢止決定前應當一直有效。
第47條 有約束力的公司規則
1.在滿足如下條件時,對於符合第63條所規定的一致性機制的有約束力的公司規則,有權監管機關應當批准:
(a)具有法律約束力,適用於進行聯合經濟活動的企業集團或一系列經濟主體的所有相關成員——包括其僱員,並且為他們所執行。
(b)在處理個人數據方面明確賦予數據主體以可執行的權利;以及
(c)滿足第2段所規定的要求。
2.第1段所規定的有約束力的規則應當至少明確:
(a)進行聯合經濟活動的企業集團或一系列經濟主體,及其每一個成員的架構和詳細聯繫方式;
(b)數據轉移或一系列的數據轉移,包括個人數據的類型;處理類型及其目的;受影響的數據主體的類型;以及涉及到的對第三國或多個第三國的確定;
(c)規則的法律約束效力,既包括內部的約束力,也包括外部的約束力;
(d)對一般數據保護原則的適用,特別是目的限定、數據最小化、有限的儲存期限、數據質量、通過設計的數據保護與默認的數據保護、處理的法律基礎、對特定類型個人數據的處理;保障數據安全的措施;以及將數據轉移到不受約束性公司規則所約束的實體所做的要求;
(e)和處理相關的數據主體的權利以及行使這些權利的方式,包括有權不被僅僅根據自動化處理——包括符合第22條的用戶畫像——而對數據主體做出決定,有權按照第79條向有權監管機構和成員國的有權管轄的法庭申訴,以及有權在違反有約束力的公司規則的情形下獲取救濟和——如果適用的話——賠償;
(f)對於任何不在歐盟設立的控制者或處理者的相關成員違反約束性公司規則,在成員國的領域內設立的控制者或處理者願意承擔責任;只有當控制者或處理者證明,該成員對於導致損害的事件沒有責任,控制者或處理者的此種責任才能被免除;
(g)關於約束性公司規則的信息如何提供給數據主體,特別是第13和14條之外關於本段所規定的(d)(e)(f)點的信息如何提供給數據主體;
(h)根據第37條所委任的所有數據保護官的任務,或者企業集團、或進行聯合經濟活動的一系列經濟主體內部負責監控遵守約束性公司規則、監控培訓和處置申訴的所有人或實體的任務;
(i)申訴程序;
(j)企業集團或進行聯合經濟活動的一系列經濟主體,為了核實對約束性公司規則的遵守的而在內部所設立機制。此類機制應當包括數據保護核查以及能夠確保採取矯正性活動保護數據主體權利的方法。此類核實結果應當告知(h)點所規定的個人或實體,企業集團或進行聯合經濟活動的一系列經濟主體,而且在有權監管機構的要求下應當能夠提供其核實結果;
(k)報告和記錄規則變化的機制,以及將此類變化報告給監管機構的機制;
(l)為了保證企業集團或進行聯合經濟活動的一系列經濟主體的合規性而和監管機構一起設立的合作機制,特別是向監管機構提供(j)點所規定的方法的核查結果;
(m)企業集團或進行聯合經濟活動的一系列經濟主體的成員是第三國的主體,可能會對約束性企業規則所提供的保障產生實質性的負面影響,向有權監管機構報告對此類主體是否有法律要求的機制;以及
(n)對於可永久性或經常性訪問個人數據的員工進行的適當數據保護培訓。
3.歐盟委員會可以明確控制者、處理者和監管機構之間為了本條含義內的約束性公司規則而進行信息交換的形式和程序。此類實施性法案的制定應當遵循第93(2)條所規定的驗證程序。
第48條 未經歐盟法授權的轉移或披露
任何法庭判決、仲裁裁決或第三國行政機構的決定,若要求控制者或處理者對個人數據進行轉移或披露,同時滿足以下條件時方能得到認可或執行:一是該判決、裁決或決定必須基於提出請求的第三國與歐盟或其成員國之間訂立的法律互助協議等國際條約,二是該判決、裁決或決定不會對本章規定的其他轉移形式產生消極影響。
第49條 特殊情形下的克減
1.如果不存在根據第45(3)而做出的充足保護認定或根據第46條而制定的適當安全措施——包括約束性公司規則,將個人數據轉移到第三國或國際機構,只有滿足如下情形之一才能進行:
(a)數據主體被明確告知,不存在充足保護或適當的安全措施,預期的數據轉移存在風險,但之後數據主體仍然明確表示同意預期的數據轉移;
(b)轉移對於履行數據主體與控制者之間的合同,或者履行數據主體在籤訂契約前所提出要求是必要的;
(c)控制者和另一自然人或法人之間籤訂或履行合同時,轉移對於實現數據主體的利益是必要的;
(d)轉移對於實現公共利益是必要的;
(e)轉移對於確立、行使或辯護法律性主張是必要的;
(f)當數據主體基於身體性或法律性原因無法表達同意,為了保護數據主體或其他人的關鍵利益是必要的;
(g)轉移是根據登記冊而進行的——這種登記冊是歐盟法或成員國法律為了向具有正當利益的一般性公眾或個人提供諮詢。但是,只有滿足歐盟法或成員國法對諮詢所規定必要條件,此類個案中的轉移才能進行克減。
當轉移無法基於第45或第46條,包括基於約束性公司規則的條款的規定而進行,且從(a)點到(g)的克減條件都不符合,將數據轉移到第三國或國際組織,這隻有在轉移滿足如下條件時才可以:轉移是非重複性的;關乎很小一部分數據主體的權利;對於實現控制者壓倒性的正當利益是必要的,並且不會違反數據主體的有限性的利益或權利與自由;控制者已經對圍繞數據傳輸的情形進行評估,而且基於這種評估對個人數據保護採取了合適的安全保障。控制者除了提供第13條和第14條所規定的信息之外,應當將轉移和追求的壓倒性正當利益告知數據主體。
2.符合第1段(g)點的轉移不應當包括登記冊裡的全部個人數據或所有類型的個人數據。當登記冊是為了給具有正當利益的人提供諮詢的,只有那些人提出要求,或者那些人是接收者的情形才能進行轉移。
3.對於公共機構在行使其公共權力時的活動,第1段的(a)(b)(c)點以及第1段的第二分段不適用。
4.第1段(d)點規定的公共利益應當為歐盟或成員國為控制者所制定的法律所確認。
5.如果不存在充足保護的認定,歐盟或成員國的法律可以基於公共利益而明確做出限制,限制將個人數據轉移到第三國或國際組織的特定類型。成員國應當將此類條款告知歐盟委員會。
6.控制者或處理者應當在第30條規定的檔案中記錄本條第1段第二分段所規定的評估以及合適的安全措施。
第50條 為保護個人數據的國際合作
在涉及到第三國或國際組織的情形中,歐盟委員會和監管機構應當採取合適的措施以:
(a)發展國際合作機制,以便促進對個人數據保護立法的有效實施;
(b)在採取合適安全措施保障個人數據保護和其它基本權利與自由的前提下,通過告知、申訴轉介、調查幫助和信息互換為個人數據保護立法的實施提供國際性互助;
(c)在實施個人數據保護立法中,使相關利益方密切參與為了進一步國際合作而進行的討論和活動;
(d)促進個人數據立法與實踐——包括與第三國管轄權衝突——的交換與記錄。
第六章 獨立監管機構
第一部分 獨立性地位
第51條 監管機構
1.為了保護自然人在處理過程中的基本權利與自由,以及促進歐盟內部的個人數據的自由流通,每個成員國應當建立一個或多個獨立公共機構,負責監控本條例的實施。
2.每個監管機構都應當幫助本條例在歐盟的一致性適用。基於這種目的,監管機構應當按照第七章的規定彼此合作以及和歐盟委員會合作。
3.當一個成員國確立了不止一個監管機構,該成員國應當在歐盟數據保護委員會委任一個監管機構代表其他機構,而且應當建立一套機制,保證其他機構遵守第63條規定的一致性機制相關的規則。
4.每個成員國都應當將其根據本章所制定的法律條款告知歐盟委員會,[最遲應當在本條例生效的兩年內],而且應當及時將影響條款的修訂告知歐盟委員會。
第52條 獨立性
1.每個監管機構在行使其任務和行使符合本條例的權力時,應當保持完全的獨立性。
2.每個監管機構的一個或多個成員在行使其任務和行使符合本條例的權力時,應當不受外部影響,不論是直接的還是間接性的,而且不應接收任何人的指示。
3.監管機構的成員不得從事違反其監管職責的活動,任職期間不得擔任任何與其監管工作相衝突的有償或無償的職務。
4.每個成員國都必須確保,每個監管機構都具有為了有效履行其任務和行使其權利——包括在歐盟數據保護委員會中互助、合作和參與的履行任務和行使權利——所必需的人力性、技術性與資金資源,前提性與基礎性要素。
5.每個成員國都應當確保,每個監管機構都具有選擇和僱傭其成員的權力,這隻受相關監管機構的一個或多個成員的專門指令的約束。
6.每個成員國都必須確保,在不影響其獨立性以及其具有單獨和公共性的年度預算的前提下,每個監管機構都受資金控制——此類資金控制可能是州預算或國家預算一部分的——的約束。
第53條 監管機構成員的一般性要求
1.成員國應當通過如下機構以透明化的方式委任其監管機構的每個成員:
-它們的議會;
-它們的政府;
-它們的國家元首;或者
-成員國法律指派的獨立性實體。
2.每個成員都應當具有履行其職責和行使其權力所應當具有的資質、經驗與技巧,特別是在個人數據保護領域的資質、經驗與技巧。
3.成員根據成員國的相關法律結束其任期、辭職或強制性退休時,其職責也相應結束。
4.只有存在嚴重的不當行為,或者不再符合履行其職責的條件時,成員才可以被解職。
第54條 設立監管機構的規則
1.每個成員國都應當通過法律規定如下事項:
(a)每個監管機構的設立;
(b)被任命為每個監管機構的成員所需要的資質與合適的條件;
(c)任命每個監管機構的一個或多個成員的規則和程序;
(d)每個監管機構的一個或多個成員的不少於四年的任期,(在此條例生效之後的第一次任命例外),如果有必要通過間斷性的任命程序來保護監管機構的獨立性,一部分成員的任期可以更短;
(e)每個監管機構的一個或多個成員是否可以連任,如果可以的話,可以連任多少個任期;
(f)每個監管機構的成員和員工需要負責的情形,對於其任期內或任期結束後的具有衝突性的行為、任職和收益的禁止條款,以及中止僱傭的規則。
2.每個監管機構的成員和員工都應當遵循歐盟或成員國的法律,對於其履行任務或行使其權力期間所獲取的秘密信息,在任職期間或任期結束後都具有保守職業秘密的職責。尤其在自然人報告具有違反本條例的情形下,成員或員工應當履行其保守職業秘密的職責。
第二部分 職權、任務與權力
第55條 職權
1.每個監管機構都有權在其所屬的成員國境內根據本條例履行分配給其的任務,行使授予其的權力。
2.當公共機構或私人實體基於第6(1)條的(c)或(e)點而進行處理,成員國的相關監管機構應當擁有職權。在此類情形中,第56條不適用。
3.對於法庭在其司法活動中進行處理操作,監管機構不具有監管職權。
第56條 領導性監管機構的職權
1.在不影響第55條的前提下,控制者或處理者的主要營業機構或唯一營業機構所在地的監管機構應可以充當領導性監管機構,監管控制者或處理者根據第60條程序而進行的跨境處理。
2.第1段的規定可以進行減免,如果主要事項只和成員國內的一個機構相關,或者只在一個成員國內對數據主體產生實質性影響,每個監管機構應當都有權對向其進行的申訴或違反本條例的行為進行處置。
3.對於第2段所規定的情形,監管機構應當將此事項及時告知領導性監管機構。在被告知的三個星期以內,領導性的監管機構應當——結合控制者或處理者是否在通知其的監管機構所在的成員國內有擁有機構——決定,其是否要根據第60條的規定的程序而處置該案例。
4.當領導性監管機構決定處理案件,第60條所規定的程序應當適用。那個告知領導性監管機構的監管機構可以向領導性監管機構提交一份決定草案。當領導性監管機構起草第60(3)條所規定的決定時,其應當盡最大限度地考慮提交的決定草案。
5.當領導性監管機構決定不處置案子,通知領導性監管機構的監管機構應當根據第61條和第62條進行處置。
6.對於控制者或處理者所進行的跨境處理,領導性監管機構應當是該控制者或處理者的唯一面談者。
第57條 任務
1.在不影響本條例規定的其他任務的前提下,在其管轄範圍內,每個監管機構應當:
(a)監控和執行對本條例的實施;
(b)提高公眾意識,對和處理相關的風險、規則、安全保障和權利的理解。對針對兒童的活動保持特別注意;
(c)根據成員國的法律、全國性議會、政府以及其他制度和實體對與處理相關的自然人的權利與自由提供建議;
(d)提高控制者與處理者對本條例所規定責任的意識;
(e) 基於要求為所有數據主體提供行使本條例所規定的權利,以及——如果適用的話——和其它成員國的監管機構為了實現這一目的而進行合作;
(f)處置數據主體或實體、組織或協會根據第80條的申訴,採用合適的手段調查申訴的主要事項,在合理期限內向申訴者告知進展和調查結論——特別是如果需要進一步的調查或和監管機構協調;
(g)為保證對本條例適用與執行的一致性和其他監管機構合作,包括分享信息和提供相互協助;
(h)為本條例的適用進行調查,包括基於另一監管機構或其它公共機構提供的信息而進行的調查;
(i)在相關發展——特別是信息和通訊技術、商業實踐發展——對個人數據保護產生影響的情況下,對相關發展進行監控;
(j)採用第28(8)條和第46(2)條(d)點規定的標準格式合同;
(k)建立並維持和第35(4)條規定的個人數據保護影響評估相關的條目;
(l)對第36(2)條規定的處理操作給出建議;
(m)鼓勵起草符合第40條的行為準則,對符合第40(5)條提供充分安全保障的此類行為準則提供意見並進行批准;
(n)鼓勵設立數據保護認證機制以及符合第42(1)條的數據保護印章與標記,並批准符合第42(5)條的認證標準;
(o)在適用的情形下,對根據第42(7)條而頒發的認證進行階段性審查;
(p)對符合第41條規定的監控行為準則的委派實體,以及符合第43條規定的認證實體,對其標準進行起草並發布;
(q)委任符合第41條規定的監控行為準則的實體,以及符合第43條規定的認證實體;
(r)授權合同條款與第46(3)條規定的條款;
(s)批准符合第47條的約束性合同規則;
(t)歐盟數據保護委員會的活動提供幫助;
(u)對違反本條例的情形以及根據第58(2)條而採取的措施保持內部紀錄;並且
(v)完成和個人數據保護相關的其它任務。
2.每個監管機構都應當為第1段(f)點規定的提交申訴提供便利,例如在不排除其它通訊方式的前提下,提供可以通過電子方式填寫和提交的申訴方式。
3.每個監管機構的任務履行對於數據主體都應當是免費的,如果適用的話,對於數據保護官也應當是免費的。
4.當請求是明顯毫無根據的或過分的,特別是當請求是重複性的,監管可以基於行政花費而收取一定的合理費用,或拒絕對請求作出行動。監管機構有責任證明,請求是明顯毫無根據的或過分的。
第58條 權力
1.每個監管機構都具有所有如下調查權力:
(a)要求控制者和處理者,以及——在適合的情形下——控制者或處理者的代表提供履行其任務所需要的所有信息;
(b)以數據保護核查的方式進行調查;
(c)對根據第42(7)所頒布的認證進行審查;
(d)將可能侵犯本條例的情況告知控制者或處理者;
(e)從控制者或處理者那裡獲取訪問個人數據的權力,以及為了行使其任務而所需的所有信息;
(f)按照歐盟與成員國法律的程序法,獲取對控制者和處理者的所有房屋建築及場地,包括數據處理設施和方法的訪問權。
2.每個監管機構都有所有如下矯正性權力:
(a)對控制者或處理者頒發警告,警告預期的處理操作可能會侵犯本條例的條款;
(b)當處理操作侵犯本條例條款的時候,對控制者或處理者進行申誡;
(c)命令控制者或處理者尊重數據主體行使符合本條例的權利;
(d)命令控制者或處理者的處理操作符合本條例條款,如果適合的話,應當在特定的期限內以特定的方式完成;
(e)命令控制者將個人數據洩露的情況告知數據主體;
(f)對處理施加暫時性或具有明確期限的禁令;
(g)要求對個人數據進行糾正或擦除,或根據第16條,17條和18條而對處理進行限制,以及將此類行動告知第17(2)條和第19條規定的個人數據披露給的接收者;
(h)撤回認證,或命令認證機構撤回根據第42條和第43條而頒發的認證,或者當認證的要求不滿足或不再滿足時,命令認證機構不要頒發認證;
(i)視每個案例的情形不同,在本段所規定的措施之外,或者替代本段所規定的措施而採取第83條規定的行政處罰;
(j)要求中止將數據傳輸到第三國或國際組織。
3.每個監管機構都有所有如下授權和建議的權力:
(a)根據第36條規定的提前諮詢條款向控制者提出建議;
(b)主動或根據要求為全國性議會、成員國政府提供意見,或者根據成員國法為其他機構、實體與公眾提供和個人數據保護相關的保護;
(c)如果成員國的法律要求此類提前諮詢,根據第36(5)條而授權處理;
(d)根據第40(5)條而發布意見以及行為準則;
(e)根據第43條而委任認證機構;
(f)根據第42(5)條頒發認證和批准認證的標準;
(g)制定第28(8)條以及第46(2)條(d)點規定的數據保護標準條款;
(h)授權第46(3)條(a)點規定的合同條款;
(i)授權第46(3)條(b)點規定的行政性安排;
(j)批准符合第47條的約束性公司規則。
4.根據本條而行使賦予給監管機構的權力應當滿足合適的安全保障,包括根據歐盟憲章而在歐盟和成員國法律中規定的有效司法救濟和正當程序。
5.每個成員國應當通過法律規定,其監管機構為了執行本條例的條款,有權將違反本條例的情形訴諸司法機構,在合適的情形下可以提起或參與法律訴訟。
6.每個成員國都應當通過法律規定,其監管機構具有第1、2和3段規定的附加權力。對那些權利的行使不應當削弱第七章規定的有效運行。
第59條 活動報告
每個監管機構都應當起草一份關於其活動的年度報告,這可以包括其被告知的違法類型以及根據第58(2)條而採取的措施類型。此類報告應當傳輸給全國性議會、政府以及成員國法律所委任的其他機構。公眾、歐盟委員會和歐盟數據保護委員會應當能夠獲取這些報告。
第七章 合作與一致性
第一部分 合作
第60條 領導性監管機構和其他相關監管機構的合作
1.領導性監管機構應當根據本條和其他相關監管機構進行合作,努力達成共識。領導性監管機構和相關監管機構應當彼此分享相關信息。
2.領導性監管機構可以隨時要求其他相關監管機構提供第61條規定的互助合作,而且可以根據第62條而進行聯合行動,這尤其適用於如下情形:為了進行調查,或者為了實施涉及到設立在另一成員國的控制者或處理者的措施。
3.領導性監管機構應當及時將事項相關信息告知給其他相關監管機構。對於其他相關監管機構的意見,其應當充分考慮,並及時向其他相關監管機構提交一份決定草案。
4.當其他任何相關監管機構收到第3段中所規定的諮詢,並在四周內表達了對決定草案的相關與合理的反對,領導性監管機構如果不同意此相關與合理的反對,或者認為其意見是不相關或不合理的,應當將此事項提交給第63條規定的一致性機制。
5.如果領導性的監管機構同意相關與合理的反對意見,對於此反對意見,其應當將一份修訂後的草案決定提交給其他監管機構。修訂後的草案決定應當遵守第4段所規定的程序,並且應當在兩個星期內做出。
6.如果在第4段和第5段所規定的期間內,其他相關監管機構都沒有反對領導性監管機構所提交的決定草案,應當推定領導性的監管機構和相關監管機構對於決定草案具有一致意見,而且應當受其約束。
7.領導性監管機構應當做出決定,將決定的情況——包括相關事實和理由的總結——通知給控制者或處理者的主要營業機構或唯一營業機構,並視情況通過其他相關監管機構以及做出該決定的歐盟數據保護委員會。收到申訴的監管機構應當將決定的情況告知給申訴者。
8.在申訴被撤銷或駁回的情形中,第7段的規定可以進行克減,收到申訴的監管機構應當採用決定並將其告知申訴者,由此也告知了控制者。
9.當領導性監管機構和相關監管機構同意撤銷或駁回申訴的一部分,對申訴的其他部分採取行動,對於此類其他部分的事項,應當採取單獨的決定。領導性監管機構應當採用和控制者行動相關的那部分決定,將其通告給控制者或處理者在成員國境內的主要營業機構或唯一營業機構,由此也告知了申訴者。另一方面,申訴者的監管機構應當採用和撤銷或駁回申訴相關的那部分決定,將其告知申訴者,由此也告知了控制者或處理者。
10.當收到領導性監管機構根據第7段和第9段而進行的告知後,控制者或處理者應當採取必要措施,保證其在歐盟所有的所有機構的處理活動都符合決定。控制者或處理者應當向領導性監管機構告知為遵守決定而採取的措施,並通知其他相關監管機構。
11.在極端情形下,當某相關監管機構認為,有充分理由證明需要採取緊急行動以保護數據主體的利益,應當援引第66條有關緊急程序的規定。
12.領導性監管機構和其他相關監管機構應當通過電子方式,以標準化的格式為彼此提供本條所要求提供的信息。
第61條 互相協助
1.監管機構應當為彼此提供信息和互相協助,以便以一種一致性的方式執行和適用本條例,而且應當擁有有效信息以進行有效的相互合作。互相協助尤其應當包括信息請求和監管措施,例如在授權與諮詢、檢驗與調查之前請求信息和採取監管措施。
2.對於另一監管機構的請求,每個監管機構都應當採取恰當的合適措施及時回應,而且至遲應當在收到請求內的一個月內進行。此類措施尤其可以包括傳輸和調查相關的信息。
3.請求協助應當包括所有必要信息,包括請求的目的與原因。被交換的信息只能被用於實現請求協助的目的。
4.除非存在如下情形,被請求的監管機構不應當拒絕請求:
(a)被請求的監管機構對被請求的主體事項或被請求執行的措施沒有職權;或者
(b)被請求的監管機構對請求進行照辦,這會侵犯本條例或歐盟或成員國的為被請求的監管機構所制定的法律。
5.被請求的監管機構應將結果告知發出請求的監管機構,而且應當視情況告知為了實現請求而採取的措施。被請求的監管機構如果拒絕按第4段而提出的請求,應當提供說明。
6.基於其他監管機構的請求,被請求的監管機構應當以電子形式,使用標準化的格式提供信息,這應當成為一項規則。
7.所有被請求的監管機構根據請求而進行的互相協作,都不應當收取費用。對於特定情形下因為提供互相協作而產生的特定花費,監管機構之間可以籤訂補償規則。
8.當某監管機構在收到另一監管的請求後一個月內仍然不提供第5段所規定的信息,做出請求的監管機構可以根據第55(1)條在其成員國境內採取臨時性措施。在這種情形中,可以推定為符合第66(1)條的緊急情況,歐盟數據保護委員會應根據第66(1)條而作出緊急約束性決定。
9.歐盟數據保護委員會可以通過制定實施性法案而細化本條規定的互相協助的形式與程序,在監管機構之間、監管機構和歐盟委員會之間以電子方式進行的信息交換,特別是本條第6段所規定的標準化格式。此類實施性法案的制定應當遵循第93(2)條規定的驗證程序。
第62條 監管機構的聯合行動
1.在合適的時候,監管機構應當進行聯合行動,包括在涉及到其他成員國監管機構的成員或員工的情形下進行聯合調查和採取聯合執行措施。
2.當控制者或處理者在多個成員國設立機構,或者當兩國或兩國以上的數據主體可能會受處理操作的實質性影響,這些成員國的監管機構都有權參與聯合行動。按照第56(1)或56(4)條規定而擁有職權的監管機構可以邀請這些成員國中的每個國家的監管機構參與聯合行動,而且應當及時回應某監管機構的參與請求。
3.一個監管機構可以按照成員國的法律,以及臨時調派的監管機構的授權,將調查權等權力授權給臨時調查的監管機構的成員或員工。或者,如果監管機構的成員國的法律允許,應當允許臨時調派的監管機構的成員或員工行使其符合成員國法律對其做出規定的調查權。只有在東道主監管機構的成員或員工的指導和見證之下,此類權力才能被行使。臨時調派的監管機構的成員或員工應當遵守東道主監管機構所在的成員國國家的法律。
4.當根據第一段的規定臨時調派的監管機構在另一成員國內活動,東道主監管機構所在的成員國應當對其行動承擔責任,包括對活動期間所引起的損害,應當按照其活動地所屬的成員國法律承擔責任。
5.對於成員國境內所造成的損害,如果其可以適用其成員國的損害賠償,成員國應當進行賠償。臨時調派的監管機構的某成員國的員工對另一成員國境內的人造成傷害,在另一成員國對個人進行補償後,某成員國應當對另一成員國進行補償。
6.除了第5段所規定的情形,在不影響行使相對於第三人權利的前提下,若出現第1段規定的情形,各成員國不得就第4段的損害向相關成員國提出損害賠償的要求。
7.當存在聯合行動的計劃,而且當監管機構拒絕遵守本條第2段第二句所設定的責任,其他監管機構可以根據第55條在其境內採取臨時性措施。在這種情形中,可以推定為符合第66(1)條的緊急情況,歐盟數據保護委員會應根據第66(2)條而作出緊急約束性決定。
第二部分 一致性
第63條 一致性機制
為了幫助本條例在歐盟的一致性適用,監管機構應當相互合作,以及在相關的情形下通過本部分規定的一致性機制而和歐盟委員會進行合作。
第64條 歐盟數據保護委員會的意見
1.當某個有權監管機構計劃採取如下任何一項措施,歐盟數據保護委員會應當發布意見。為此,有權監管機構應當將決定草案告知歐盟數據保護委員會,如果:
(a)決定草案的目標是採取一系列符合第35(4)條所規定的數據保護影響評估要求的處理操作;
(b)決定草案涉及到第40(7)條規定的行為準則草案,或行為準則草案的修訂案或延期是否符合本條例;
(c)決定草案的目標是批准符合第41(3)條規定的委派實體,以及符合第43(3)條規定的認證實體的標準;
(d)決定草案的目標是確定第46(2)條(d)點和第28(8)條規定的標準數據保護條款;
(e)決定草案的目標是批准第46(3)條(a)點規定的合同條款;或者
(f)決定草案的目標是批准第47條所指的有效性公司規則。
2.任何監管機構、歐盟數據保護委員會或歐盟委員會的主席都可以提出要求,為了給出意見——特別是當有權監管機構不遵守第61條規定的相互協助的責任或第62條規定的聯合行動時——可以對任何關乎一般性使用的事項,或在不止一個成員國產生影響的事項進行核查。
3.對於第1段和第2段提到的情形,歐盟數據保護委員會如果此前沒有對類似事項發表過意見,應當對提交給它的事項發布一份意見。這份意見應當在八周內根據歐盟數據保護委員會成員的簡單多數來決定。考慮到主要事項的複雜性,八周的期限可以再延長六周。關於第1段規定的按照第5段而在歐盟數據保護委員會中流通的決議草案,如果某成員在歐盟數據保護委員會主席所表明的合理期限內不提出異議,就應當視為同意決議草案。
4.監管機構和歐盟數據保護委員會應當及時以電子化手段,使用標準化的格式將任何相關信息進行溝通。此類信息可以是事實的總結、決議草案、採取此類必要措施的理由,以及其他相關機構的觀點。
5.歐盟數據保護委員會的主席應當及時通過電子手段:
(a)通過標準化格式將任何已經獲知的相關信息告知歐盟數據保護委員會和歐盟委員會的成員。如有需要,歐盟數據保護委員會的秘書應當提供相關信息的翻譯;並且
(b)將意見告知第1段和第2段規定的監管機構和歐盟委員會,並公開意見。
6.在第3段規定的期間內,有權監管機構不應當採用第1段所規定的決議草案。
7.第1段中所規定的監管機構應當最大限度地考慮歐盟數據保護委員會的意見,而且應在收到意見的兩周內以電子方式告知歐盟數據保護委員會的主席,其是否會維持或修改其決議草案,以及修改後的決議草案——如果有的話。
8.當相關監管機構在本條第7段規定的期限內通知委員會主席,其並無意遵守委員會的所有意見或意見的一部分,並且提供了相關理由,此種情形下第65(1)條應當適用。
第65條 歐盟數據保護委員會的糾紛解決
1.為了確保在個案中對本條例的正確與融貫適用,歐盟數據保護委員會應當在如下情形中做出有約束力的決定:
(a)在第60(4)條規定的情形中,相關監管機構對領導性機構的草案決定提出了相關與合理的反對,或者領導性機構駁回了反對,認為其不相關或不合理。約束性決定應當涉及相關與合理反對所涉及的所有事項,特別是當其存在違反本條例的情形;
(b)對於哪個監管機構有權管轄主要營業機構存在不同意見;
(c)在第64(1)條規定的情形中,有權監管機構並不請求獲得歐盟數據保護委員會的意見,或者並不遵守歐盟數據保護委員會按照第64條發布的意見。在這種情形下,任何相關監管機構或歐盟數據保護委員會都可以將此事項告知歐盟數據保護委員會。
2.三分之二多數的歐盟數據保護委員會成員在將主體事項轉交後,應當在1個月以內做出第1段所規定的決定。考慮到主體事項的複雜性,這個期間可以再延長一個月。
第1段所規定的決定應當是合理的,應當告知領導性監管機構和所有相關監管機構,並且對它們具有約束力。
3.當歐盟數據保護委員會無法在第2段所規定的期限內做出決定,其應當以歐盟數據保護委員會成員簡單多數的方式在第2段所規定的第二個月的期限結束後的兩星期內做出決定。如果歐盟數據保護委員會成員的投票剛好完全分裂,那麼決定將根據主席的投票而做出。
4.在第2段和第3段所規定的期限內,相關監管機構不應當對根據第1段而提交給歐盟數據保護委員會的主體事項做出決定。
5.歐盟數據保護委員會的主席應當及時將第1段所規定的決定告知相關監管機構。這也就告知了歐盟委員會。在監管機構告知第6段規定的最終決定後,決定應當在歐盟數據保護委員會的網站上及時發表。
6.領導性監管機構或者收到申訴的監管機構應當根據本條第1段所規定的決定性基礎及時做出最終決定,至遲應當在歐盟數據保護委員會告知其決定後的一個月以內做出。領導性的監管機構或收到申訴的監管機構應當向歐盟數據保護委員會報告其將該決定告知控制者或處理者以及數據主體的時間。相關監管機構的最終決定應當根據第60(7)(8)(9)條的條款而做出。最終決定應當涉及本條第1段所規定的決定,而且應當具體說明,本條第1段所規定的決定將會根據本條第5段而在歐盟數據保護委員會的網站上發表。最終決定應當附上本條第1段所規定的決定。
第66條 緊急程序
1.在例外情形中,當相關監管機構認為有必要對保護數據主體的權利與自由採取緊急行動,其可以通過第63、64和65條規定的一致性機制或第60條規定的程序來進行克減,立即採取在其境內一段時間內——不超過3個月——具有法律效力的臨時性措施。監管機構應當及時將採取這些措施的手段與原因告知其他相關監管機構、歐盟數據保護委員會與歐盟委員會。
2.當監管機構採取符合第1段的措施,以及考慮亟需採用的最終措施,其可以請求歐盟數據保護委員會出具一份緊急意見或緊急約束性決定,並說明提出此請求的原因。
3.如果有必要對保護數據主體的權利與自由採取緊急行動,而有權監管機構卻沒有採取合適措施,任何監管機構都可以向歐盟數據保護委員會請求一份緊急意見或緊急約束性決定,說明提出此請求的原因,包括需要採取緊急行動的原因。
4.對於第64(3)條和第65(2)條規定的的克減,歐盟數據保護委員會成員的簡單多數應當在兩個星期內做出本條第2段和第3段規定的緊急意見或緊急約束性決定。
第67條 信息交換
對於監管機構之間、監管機構與歐盟數據保護委員會之間以電子方式進行的信息交換,特別是對於第64條規定的標準化格式,歐盟委員會可以進一步制定細化的實施性法案。
這些實施性法案應當根據第93(2)條規定的驗證程序制定。
第三部分 歐盟數據保護委員會
第68條 歐盟數據保護委員會
1.歐盟數據保護委員會特此被設立為歐盟的一個機構,而且將具有法人身份。
2.歐盟數據保護委員會的代表是其主席。
3.歐盟數據保護委員會應當包括每個成員國的每個監管機構的首長、歐盟數據保護監管者的首長,或者他們的代表。
4.當一個成員國內不止一個監管機構負責監控對本條例條款的適用,應當按照成員國的法律任命一個聯合代表。
5.歐盟委員會應當有權參與歐盟數據保護委員會的活動與會議,但沒有投票權。歐盟委員會應當委任一名代表。歐盟數據保護委員會的主席應當將其活動告知歐盟委員會。
6.對於第65條規定的情形,只有當決議涉及到適用於和本條例規定有實質性對應的歐盟機構、實體、辦公室、規制機構的原則和規則時,歐盟數據保護監管者才具有投票權。
第69條 獨立性
1.當根據第70條和第71條履行其任務或行使其權力時,歐盟數據保護委員會應當保持其獨立性。
2.在不影響第70(1)條(b)點和第70(2)條所規定的歐盟委員會的請求的前提下,歐盟數據保護委員會在履行其任務或行使其權力時,應當避免從任何人那裡獲取指示。
第70條 歐盟數據保護委員會的任務
1.歐盟數據保護委員會應當確保對本條例的一致性適用。為了實現這一目的,在相關情形中,歐盟數據保護委員應當主動或根據歐盟委員會的請求而採取如下行動:
(a)在不影響全國性監管機構的任務的前提下,確保在第64條和65條所規定的情形中正確適用本條例;
(b)對歐盟數據保護相關的所有事項,包括對本條例的修改動議,向歐盟委員會提供建議;
(c)對為制定約束性公司規則而在控制者、處理者和監管機構之間進行的信息交換的格式與程序向歐盟委員會提供建議;
(d)從第17(2)條規定的公眾可以獲取的通訊服務中擦除個人信息的連結、備份或複製品,對這種活動的程序發布指導方針、建議和最佳操作;
(e)主動或根據其成員的請求,或根據歐盟委員會的請求核查涉及本條例適用的任何問題,為了鼓勵對本條例的適用,發布指導方針、建議和最佳操作;
(f)為了進一步細化第22(2)條規定的基於用戶畫像的決策的標準和條件,發布符合本段(e)點的指導方針、建議和最佳操作;
(g)為了認定個人數據洩露,確定是否存在第33(1)、(2)條所規定的無理拖延,以及控制者或處理者是否需要告知個人數據洩露,發布符合本段(e)點的指導方針、建議和最佳操作;
(h)對於個人數據違法可能會對第34(1)條規定的自然人的權利與自由帶來高風險的情形,發布符合本段(e)點的綱領、建議和最佳操作;
(i)對於符合控制者所遵守的約束性公司規則、處理者所遵守的約束性公司規則的數據轉移,以及符合為了保證第47條規定的對數據主體的個人數據保障而採取的必要措施的個人數據轉移,為了細化此類轉移的標準和要求,發布符合本段(e)點的指導方針、建議和最佳操作;
(j)為了進一步細化第49(1)條規定的個人數據轉移所需要的標準和要求,發布符合本段(e)點的指導方針、建議和最佳操作;
(k)對於涉及第58(1)、(2)、(3)條規定的適用措施和確定第83條規定的行政處罰,為監管機構起草指導方針;
(l)對本段(e)點和(f)點規定的指導方針、建議和最佳操作的實際運用進行審查;
(m)對自然人設報告侵犯本條例的行為,為其設立符合第54(2)條的一般程序,發布符合本段(e)點的指導方針、建議和最佳操作;
(n)鼓勵起草行為準則,設立符合第40條和第42條的數據保護認證機制、數據保護印章和標記;
(o)對認證機構進行委任,根據第43條而進行階段性審查,對符合第43(6)條的委任機構、符合第42(7)條而在第三國設立的被認證的控制者或處理者進行持續性的公共登記;
(p)為了委任第42條規定的認證機構而細化第43(3)條規定的要求;
(q)向歐盟委員會提供關於第43(8)條規定的驗證要求的意見;
(r)向歐盟委員會提供關於第12(7)條規定的圖標的意見;
(s)評估第三國或國際組織的保護程度,包括評估第三國、某個地區、或該第三國的一個或多個特定部門,或國際組織是否仍然提供足夠程度的保護。為了實現這一目的,歐盟委員會應當向歐盟數據保護委員會提供所有必要的記錄,包括和該第三國政府的進行的涉及到第三國、某個地區、或該第三國的一個或多個特定部門,或國際組織的通信。
(t)發布按照第64(1)條規定的一致性機制而做出的關於監管機構的決議草案,按第64(2)條提交的事項,以及發布根據第65條,包括第66條規定的約束性決定。
(u)促進監管機構之間的合作,有效的雙邊或多邊信息交換,以及最好的實踐;
(v)促進共同培訓項目,協助監管機構之間以及——如果適用的話——監管機構與第三國監管機構或國際組織之間的人員交換;
(w)促進與全球數據保護監管機構的知識交流、數據保護立法的記錄與實踐。
(x)發布關於根據第40(9)條在歐盟層面起草的行為準則的意見;以及
(y)對於監管機構和法庭做出的決定以及根據一致性機制所處置的事項,保持一份公眾可以訪問的電子登記。
2.當歐盟委員會請求歐盟數據保護委員會提供意見,歐盟委員會可以在考慮事項的緊急程度後表明期限要求。
3.歐盟數據保護委員會應當將其意見、指導綱領、推薦以及最佳操作告知歐盟委員會和第93條規定的理事會,而且應當將它們公開。
4.如果適用的話,歐盟數據保護委員會應當諮詢當事人,給與他們在一段合理期限內進行評論的機會。在不影響第76條的前提下,歐盟數據保護委員會應當將諮詢程序的結果公之於眾。
第71條 報告
1.對於歐盟內部、相關第三國以及國際組織中的數據處理活動,若涉及自然人的保護,歐盟數據保護委員會應當起草年度報告。報告應當公開,而且應當傳輸給歐洲議會、歐盟理事會和歐盟委員會。
2.年度報告應當包括第70(1)條(l)點規定的對指導方針、建議和最佳操作的實際運用進行審查,以及第65條規定的約束性決議。
第72條 程序
1.歐盟數據保護委員會應當通過其成員的簡單多數做出決定,除非本條例有相反規定。
2.歐盟數據保護委員會應當以其成員的三分之二多數制定程序規則,組建其自身的操作機制。
第73條 主席
1.歐盟數據保護委員會應當通過簡單多數的方式從其成員中選舉一位主席、兩位副主席。
2.主席以及副主席職位的任期應當是5年,可以連任一屆。
第74條 主席的任務
1.主席具有如下任務:
(a)召集歐盟數據保護委員會的會議,準備會議議程;
(b)將委員會根據第65條而做出的決定告知第65條規定的領導性監管機構和相關監管機構;
(c)保證歐盟數據保護委員會任務的及時履行,特別是和第63規定的一致性機制相關的任務。
2.歐盟數據保護委員會應當在其程序規則中對主席與副主席的任務分工進行分配。
第75條 秘書
1.歐盟數據保護委員會應當有一名秘書,其應當由歐盟數據保護監督者來任命。
2.秘書應當嚴格按照歐盟數據保護委員會主席的指示履行其職責。
3.歐盟數據保護監管者的員工,如果涉及履行到本條例賦予給歐盟數據保護委員會的任務,應當與涉及履行賦予給歐盟數據保護監管者的任務的員工遵守不同的報告程序。
4.在適用的情況下,歐盟數據保護委員會和歐盟數據保護監管者應當撰寫與發布一份實施本條的諒解備忘錄,確定它們之間合作的條款,在涉及履行本條例賦予給歐盟數據保護委員會的任務時,諒解備忘錄適用於歐盟數據保護監管者的員工。
5.秘書應當向歐盟數據保護委員會提供分析、管理與後期支持。
6.秘書應當對如下事項負責:
(a)歐盟數據保護委員會的日常事務;
(b)歐盟數據保護委員會、歐盟數據保護委員會主席與歐盟委員會之間的交流;
(c)與其他機構及公眾的交流;
(d) 內部交流與外部交流中對電子手段的使用;
(e)對相關信息的翻譯;
(f)對歐盟數據保護委員會會議的準備與跟蹤;
(g)準備、起草與發布歐盟數據保護委員會對監管機構之間分歧的意見與決定,以及其他文本。
第76條 機密性
1.歐盟數據保護委員會若認為根據程序規則的要求,有必要秘密開展某項討論活動,那麼該討論活動就應當嚴格保密。
2.訪問提交給歐盟數據保護委員會的成員、專家與第三方代表的文件,應當遵守歐洲議會和歐盟理事會的 (EC) No 1049/2001條例[1]。
第八章 救濟、責任與懲罰
第77條 向監管機構提起申訴的權利
1.在不影響任何其他行政或司法救濟的前提下,每個數據主體都有向監管機構進行申訴的權利,這尤其適用於以下地點的監管機構:數據主體所屬的成員國或經常居住地、工作地、或數據主體認為處理其個人數據違反本條例的發生地。
2.收到申訴的監管機構應當告知申訴者申訴的進展和結果,包括符合第78條的司法救濟的可能性。
第78條 針對監管機構的有效司法救濟權
1.在不影響其他任何行政或司法救濟的前提下,任何自然人或法人都有權對關乎他們的監管機構的有法律約束力的決定獲得有效的司法救濟。
2.在不影響其他任何行政或司法救濟的前提下,如果根據第55條和第56條的有權監管機構不處置申訴,或者在三個月內沒有向數據主體告知第77條規定的申訴的進展或結果,任何自然人或法人都有權獲得有效的司法救濟。
3.針對監管機構的法律訴訟應當在監管機構所在的成員國的法庭提起。
4.如果針對監管機構決定的法律訴訟發生在歐盟數據保護委員會根據一致性機制而做出意見或決定之前,監管機構應當將其意見或決定告知法院。
第79條 針對控制者或處理者的有效司法救濟權
1.在不影響其他任何行政或司法救濟的前提下,包括在不影響第77條規定的向監管機構提交申訴的前提下,任何數據主體認為,由於違反本條例而處理其個人數據,導致其被本條例所賦予的權利被侵犯,在這些情形下其都有獲取司法救濟的權利。
2.針對控制者或處理者的法律訴訟應當在它們擁有機構的成員國的法庭提起。在其他情形下,此類法律訴訟可以在數據主體的經常居住地的法庭提起,除非控制者或處理者是成員國行使其公共權力的公共機構。
第80條 對數據主體的代表
1.數據主體有權委託非盈利機構、實體或協會代表其行使第77、78、79條規定的權利,以及在成員國法律規定的情形下,代表其行使第82條規定的獲得賠償的權利。非盈利機構、實體或協會應具備如下條件:按照成員國法律設立,其章程目標是實現公共利益,在為了保護數據主體的權利與自由而代表個人提起申訴方面表現積極。
2.不論數據主體是否委託,成員國都可以規定,本條第1段所規定的任何機構、組織或協會如果認為本條例所規定的數據主體的權利已經因為處理而受到侵犯,都有權在成員國向第77條規定的有權監管機構提起申訴,行使第78條和第79條規定的權利。
第81條 法律訴訟的中止
1.當一個成員國的有管轄權的法院獲知,另一成員國的法院準備對涉及同一個控制者或處理者處理的同一主要事項進行判決,該法院應當通知另一成員國的法院已經存在此類法律程序。
2.當另一成員國法院準備對涉及同一個控制者或處理者處理的同一主要事項進行判決,除了首先接收案件的法院,所有有權審理的法院都可以停止其法律程序。
3.在那些訴訟等待初審的情形中,如果首先接收案件的法院對涉及的活動具有管轄權而且其法律允許合併審理,所有除了首先接收案件的法院都可以基於相關一方的申請而拒絕管轄。
第82條 獲取賠償的權利與責任
1.任何因為違反本條例而受到物質或非物質性傷害的人都有權從控制者或數據者那裡獲得對損害的賠償。
2.任何涉及到處理的控制者都應當對因為違反本條例的處理而受到的損害承擔責任。對於處理者,當其沒有遵守本條例明確規定的對處理者的要求,或者當其違反控制者的合法指示時,其應當對處理所造成的損失負責。
3.控制者或處理者如果證明自己對引起損失的事件沒有任何責任,那麼其第2段所規定的責任可以免除。
4.當不止一個控制者或處理者,或控制者與處理者同時涉及到同一處理,而且它們對第2段和第3段規定的處理所引起的所有損失承擔責任,每個控制者或處理者都應當對損失負有連帶責任,以便保證對數據主體的有效賠償。
5.當控制者或處理者已經根據第4段的規定對所受損失進行全額賠償,該控制者或處理者可以按照第2段所規定的條件,要求另一控制者或處理者返回其造成的那部分損失。
6.為了行使其獲得賠償的權利,根據第79(2)條的規定,應當在成員國認可的有管轄權的法院提起訴訟請求。
第83條 行政罰款的一般條件
1..每個監管機構都應當保證,其根據本條而對第4、5、6條所規定的違反本條例的行為進行罰款,在每個案件中都應當是有效的、成比例的和勸誡性的。
2.根據每個案件的具體情形,行政處罰應當在第58(2)條的(a)至(h)點以及(j)點規定的措施基礎上進行追加,或者應當代替這些措施。當在每個具體案件中決定是否應當進行行政處罰,以及決定行政處罰的金額,應當充分考慮如下因素:
(a)結合相關處理的性質、範圍或目的,被影響的數據主體的數量以及損害程度而確定的違法的性質、嚴重性與持續時間;
(b)違法的性質是基於故意還是過失;
(c)控制者或處理者為了減輕數據主體損失而採取的所有行動;
(d)結合控制者或處理者採取的符合第25條和第32條的技術性與組織性措施而認定的控制者或處理者的責任程度;
(e)控制者或處理者之前的所有相關違法行為;
(f)為了糾正違法行為和減輕違法所造成的可能負面影響而和監管機構進行合作的程度;
(g)為違法行為所影響的個人數據類型;
(h)監管機構得知違法行為的方式,特別是控制者或處理者是否對違法行為進行了報告,以及在何種程度上進行了報告;
(i)如果對同一主題事項已經對控制者或處理者發布第58(2)條規定的措施,對這些措施是否遵守;
(j)遵守符合第40條的已生效的行為準則或符合第42條的已生效的認證機制;以及
(k)對於案件情形可以適用的所有加重或減輕因素,例如因為違法而直接或間接導致的經濟收益、避免的損失。
3.如果控制者或處理者故意或過失性地因為同一或相關的處理操作而違反本條例的條款,行政罰款的總額不應當超過最嚴重違法所確定的額度。
4.違反如下條款,應當按第2段的規定施加最高10 000 000歐元的行政罰款,如果是企業的話,最高可處相當於其上一年全球總營業額2%的金額的罰款,兩者取其高的一項進行罰款:
(a)第8,11,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,42和43條規定的控制者和處理者的責任;
(b)第42條和第43條規定的認證機構的責任;
(c)第41(4)條規定的監管機構的責任。
5.違反如下條款,應當按第2段的規定施加最高20 000 000歐元的行政罰款,如果是企業的話,最高可處相當於其上一年全球總營業額4%的金額的罰款,兩者取其高的一項進行罰款:
(a)處理的基本原則,包括第5、6、7和9條規定的同意的條件;
(b)第12條至22條規定的數據主體的權利;
(c)第44條至第49條規定的將個人數據轉移到第三國或一個國際組織的接收者;
(d)所有第九章規定的符合成員國法律的責任;
(e)違反監管機構根據第58(2)條對處理所發布的命令、或暫時性或確定性的限制,或對數據流動的中止,或違反第58(1)條拒絕提供訪問。
6.違反第58(2)條規定的監管機構發布的命令,應當按第2段的規定施加最高20 000 000歐元的行政罰款,如果是集團的話,可以施加最高前一年全球總營業額4%的罰款,兩者取其高的一項進行罰款。
7.在不影響符合第58(2)條的監管機構的矯正權力的前提下,每個成員國都可以制定規則,確定在什麼情況下對在其境內設立的公共機構和實體進行行政處罰。
8.監管機構行使本條所規定的權力,應當採取符合歐盟和成員國法律所規定的合適的程序性保障,包括有效的司法救濟和正當程序。
9.當成員國的法律體系並不提供行政處罰,本條可以以如下方式適用:可以通過有權監管機構提出行政處罰,然後有職權的全國性法院進行適用,同時,應保證那些法律救濟是有效的,而且這些法律救濟與監管機構所施加的行政處罰具有同等效力。不論在何種情形中,所施加的處罰必須是有效的、成比例的和勸誡性的。那些成員國應當[在本條例生效兩年內]將根據本段所制定的法律條款、所有後續的修正性法律或影響它們的法律修訂及時告知歐盟委員會。
第84條 懲罰
1.成員國應當制定可適用於違反本條例的其他懲罰的規則,特別是對於那些不受第83條規定的行政處罰約束的違法行為,成員國應當制定必要措施保證這些懲罰規則得到執行。此類懲罰應當是有效的、成比例的和勸誡性的。
2.對於符合第1段所制定的法律,每個成員國的應當[在本條例生效的兩年內]將其法律條款告知歐盟委員會,而且應當及時告知影響條款的後續修訂。
第九章 和特定處理情形相關的條款
第85條 處理、表達自由與信息
1.成員國應當通過制定法律調和符合本條例制定的個人數據保護權與表達自由權與信息權,包括調和為了新聞目的和學術、藝術或文學表達目的而進行的處理。
2.對於出於新聞目的和學術、藝術或文學表達目的而進行的處理,如果對於調和符合本條例制定的個人數據保護權與表達自由權與信息權有必要,成員國應當對第二章(原則)、第三章(數據主體的權利)、第四章(控制者和處理者)、第五章(個人數據轉移到第三國或國際組織)、第六章(獨立監管機構)、第七章(合作與一致性)和第九章(特定數據處理的情形)的規定進行豁免或克減。
3.每個成員國都應當將其按照第2段所制定的法律條款告知歐盟委員會,而且應當將所有後續的修正性法律或影響它們的法律修訂及時告知歐盟委員會。
第86條 處理與公眾對官方文件的訪問
為了調和公眾對官方文件的訪問與本條例規定的個人數據保護權,對於公共機構或公共實體或為了實現公共利益而履行任務的私人實體所擁有的官方文件中的個人數據,機構或實體可以根據成員國為機構或實體而制定的法律而公開。
第87條 對全國性身份識別號碼的處理
成員國可以對處理全國性身份識別號碼或其他一般性識別標識的特定情形做出規定。
在這種情形下,只有對本條例規定的數據主體的權利與自由採取適當安全保障,才能使用全國性身份識別號碼或其他一般性識別標識。
第88條 僱傭語境下的處理
1.多個成員國可以通過法律或通過協定製定特定規則,以保證在僱傭語境下處理僱員個人數據保證其權利與自由。這在如下情形中尤其適用:為了招聘、履行僱傭合同,包括法律或集體合同規定的免除合同;對工作的管理、計劃與組織;工作場所的合理性與多樣性;工作中的健康與安全,對員工與顧客財產的保護;為了行使和享受僱傭相關的權利與收益;以及為了終止僱傭關係。
2.此類規則應當包括為保障數據主體人身尊嚴、正當利益與基本權利的合適與特定的措施。這在涉及到如下事項時尤其適用:處理的透明性;在一群企業中轉移個人數據;或進行聯合經濟活動的一群企業和工作場所的監管系統。
3.每個成員國應當[在本條例生效的兩年內]將其按照第1段所制定的那些法律條款告知歐盟委員會,而且應當及時告知影響條款的後續修訂。
第89條 為了實現公共利益、科學或歷史研究或統計目的處理中的安全保障與克減
1.為了實現公共利益、科學或歷史研究或統計目而處理,應當採取符合本條例的恰當防護措施,保障數據主體的權利與自由。這些防護措施應當確保,為了保證數據最小化原則,已經採取技術與組織性的措施。這些措施可以包括匿名化,如果匿名化也能實現上訴目的。如果在進一步處理中實現對數據主體無法識別也可以實現上訴目的,那就應當採取這種方式處理。
2.對於為了實現公共利益、科學或歷史研究或統計目的處理,成員國的法律可以按照本條第1段所規定的情形與防護措施對第15、16、18、21條所規定的權利進行克減——如果此類權利可能徹底阻礙或嚴重阻礙實現上述目的,而此類克減對於實現上訴目的是必要的。
3.當個人數據處理是為了實現公共利益,歐盟或成員國的法律可以按照本條第1段所規定的情形與防護措施對第15、16、18、19、20和21條規定的權利進行克減——如果此類權利可能徹底阻礙或嚴重阻礙實現上述目的,而此類克減對於實現上訴目的是必要的。
4.如果第2段和第3段所規定的處理還有其他目的,克減將只適用於為了實現第2段和第3段中所規定的目的的處理。
第90條 保密責任
1.成員國可以制定特定的規則,對第58(1)條(3)和(f)點所規定的、和作為主體的控制者或處理者相關的、全國性有權機構所設立的監管機構的權力進行規定,如果有必要對個人數據保護與保守秘密進行調和與比例性保護,此特定規則可以施加職業性秘密保守責任或其他同等責任。只有在那些保守秘密責任所涉及的活動中或因為此類活動而接收個人數據,此類規則才適用於控制者或處理者。
2.每個成員國的應當[在本條例生效的兩年內] 將其按照第1段所制定的那些法律條款告知歐盟委員會,而且應當及時告知影響條款的後續修訂。
第91條 現有的的對教會和宗教協會的數據保護規則
1.在本條例生效後,對於適用於某成員國境內教會、宗教協會或團體的保護自然人在處理相關中的綜合性規則,如果它們和本條例保持一致,仍然應當適用。
2.對於那些適用符合第1段的綜合性規則的教會和宗教協會,其應當接受一個獨立監管機構的監管,如果其滿足本條例第六章規定的條件,這種獨立監管機構可以是特別指定的。
第十章 授權法案與實施性法案
第92條 對授權的行使
1.歐盟委員會享有授權法案的制定權,此權力受本條所規定的條件所約束。
2.第12(8)條和43(8)條所規定的授權應當[在本條例生效後]的一段不確定的時間內賦予給歐盟委員會。
3.第12(8)條和43(8)條所規定的授權可以隨時被歐洲議會或歐盟理事會撤銷。撤銷決定應當終止決定所特別指明的授予性權力。撤銷決定生效日是歐盟官方雜誌發布後的第二天或決定所特別標明的日期。撤銷決定不應影響任何已經生效的授權性法案。
4.歐盟委員會一旦制定授權性法案,其應當立刻同時告知歐洲議會和歐盟理事會。
5.根據第12(8)條和第43(8)條而指定的授權性法案,只有歐洲議會或歐盟理事會在其收到通知後三個月內都沒有表達反對,或者在三個月內歐洲議會或歐盟理事會已經告知歐洲委員會它們不會反對,其才能生效。如果歐洲議會或歐盟理事會提出延期,這個期間可以再延長三個月。
第93條 委員會程序
1.歐盟委員會應當有一個小組對其進行協助。該小組應當是(EU) No 182/2011條例所規定的小組。
2.涉及到此段時,(EU) No 182/2011指令第5條應當適用。
3.涉及到此段時,與(EU) No 182/2011指令第5條配合的(EU) No 182/2011指令第8條應當適用。
第十一章 最後條款
第94條 95/46/EC指令的廢止
1.在[本條例生效後的兩年]後95/46/EC指令將被廢止。
2.當參照廢止指令時,應當通過參照本條例來進行解釋。對於參照工作小組在95/46/EC指令第29條所規定的處理個人數據中個人保護,這應當以參照本條例所規定的歐盟數據保護委員會來進行解釋。
第95條 與2002/58/EC的關係
在歐盟的公共通訊網絡中提供公眾可獲取的電子通訊服務的情形中,對於2002/58/EC指令已經施加特殊責任的事項,本條例不應再對同一事項再向自然人或法人施加額外責任。
第96條 和之前已經達成的協議的關係
對於[在此條例生效]之前的,符合[在此條例生效]之前所制定的法律的,涉及到將個人數據傳輸到第三國或國際組織的成員國之間已經達成的國際性協議,在其被修改、替代或撤銷之前,應當一直具有效力。
第97條 委員會報告
1.在[本條例生效後的四年後],以及在這之後的每四年,歐盟委員會應當向歐洲議會和歐盟理事會提交一份對本條例的評價與審查。該報告應當公之於眾。
2.在第1段所規定的評價與審查情形中,歐盟委員會應當尤其檢查如下事項的適用與運作:
(a)第五章規定的將個人數據轉移到第三國或國際組織,特別是按照本條例第45(3)條而做出的決定,以及根據95/46/EC第25(6)條而做出的決定;
(b)第七章規定的合作與一致性。
3.為了實現第1段的目的,歐盟委員會可以要求成員國和監管機構提供相關信息。
4.為了進行第1段和第2段規定的評價與審查,歐盟理事會應當考慮歐洲議會、歐盟理事會以及其他相關實體與生產商的立場與調查。
5.在必要的情形下,歐盟委員會應當提交修改本條例的合適動議,特別是如果考慮了信息科技的發展以及信息社會中的發展狀態。
第98條 對歐盟其他數據保護法案的審查
如果合適的話,歐盟委員會應當提交立法性動議,以便對歐盟的其他個人數據保護法案進行保護,以便保證在處理中對自然人進行一致與一致性的保護。這尤其應當涉及到歐盟機構、實體、辦公室和規制機構處理中和自然人保護相關的規則,以及此類數據的自由流動。
第99條 生效與適用
1.本條例的生效時間是其在歐盟官方雜誌發布後的二十天後。
2.其適用時間是[本條例生效後的兩年後]。
本條例的所有條款都具有約束力,而且應當直接適用於成員國。
[1]歐洲議會和歐盟理事會關於公眾訪問歐洲議會、歐盟理事會與歐盟委員會文件(OJ L 145, 31.5.2001, p. 43)的(EC) No 1049/2001條例。