ENGLISH 现在是:

image.png

学界动态

欧盟首个数据保护条例GDPR明日生效,你可能需要这份中文版的全文(丁晓东译) |下学界动态

时间:2018-05-26   出处:腾讯研究院 中国知识产权司法保护网  作者:  点击:
丁晓东 腾讯研究院  前天
经过欧盟议会长达四年的讨论,欧盟《一般数据保护条例》(General Data Protection Regulation,简称GDPR)终于将在2018年5月25日也就是明天生效。

在一些媒体的报道中,这一保护条例被称为“史上最严数据保护条例”。尽管这是现代社会保护个人数据与安全迈出的重要一步,但在国内外的许多媒体报道中,GDPR中的一些条款被误读或是错误理解引起了一些用户、公司、学者的恐慌。

在GDPR即将正式实施之际,严谨的阅读并理解GDPR的原文显得尤为重要。



译者
丁晓东,中国人民大学法学院副教授,中国人民大学法学院未来法治研究院副院长。中山大学电子与通信工程专业学士,北京大学、耶鲁大学法学博士、中国人民大学法学博士后。转载请注明译者和出处。由于译者精力、时间和水平所限,本译稿的疏漏之处在所难免,欢迎对本译稿提出批评和意见,联系邮箱:dingruc@163.com 



第五章  将个人数据转移到第三国或国际组织

第44条 转移的一般性原则

对于正在处理或计划进行处理的个人数据,将其转移到第三国或国际组织,包括将个人数据从第三国或国际组织转移到另一第三国或另一国际组织,控制者和处理者只有满足本条例的其他条款,以及满足本章规定的条件才能进行转移。为了保证本条例对于自然人的保护程度不会被削弱,本章的所有条款都应当被遵守。

第45条 基于认定具有充足保护的转移

1.当欧盟委员会作出认定,认为相关的第三国、第三国中的某区域或一个或多个特定部门、或国际组织具有充足保护,可以将个人数据转移到第三国或国际组织。此类转移不需要特定的授权。

2.当评估保护程度的充足性时,欧盟委员会应当特别考虑如下因素:

(a)法治、对人权与基本自由的尊重、包括关于公共安全、国防、国家安全、刑法和公共机构访问个人数据的一般性与部门性立法,以及此类立法的实施、数据保护规则、职业规则和安全措施,包括将个人数据转移到另一第三国或国际组织所必须遵循的第三国或国际组织的规则、判例法以及有效可执行的数据主体权利、对其个人数据正在转移的数据主体的司法救济;

(b)在国际组织是主体的情形中,第三国内存在一个或多个有效运作的独立监管机构,保证数据保护规则的实施,包括具有充分的执行权力,在数据主体行使其权利时和与成员国的监管机构合作时提供帮助和建议;

(c)第三国或国际组织已经许下的国际性承诺,或者承诺愿意承担有法律约束力的条约或法律文件所引起的其它责任,以及参加多边或地区性的体系,特别是和数据保护相关的体系所引起的其它责任。

3.在评估了保护程度的充足性之后,欧盟委员会可以通过制定实施性法案,确定本条第2段含义内的第三国、第三国内的领地或一个或多个特定部门或一个国际组织是否具有充足的保护。实施性法案应当提供一种周期性审查,至少每四年对第三国或国际组织的所有相关发展进行审查。实施性法案应当细化其领域性与部门性的实施,以及在适用的情况下确定本条第2段(b)点所规定的一个或多个监管机构。实施性法案的制定应当遵循第93(2)条所规定的验证程序。

4.欧盟委员会应当持续性地监控第三国或国际组织的某些可能会影响根据本条第3款而作出的决定和建立在95/46/EC指令第25(6)条基础之上的决定发挥作用的某些发展。

5.当已有信息显示,第三国或第三国内的一个或多个特殊部门或国际组织不再提供本条第2段所规定的充足的保护,欧盟委员会应当——尤其是在经过第3段所规定的核查后——通过制定不具有溯及力的实施性法案,在必要限度内废止、修正或中止本条第3段所规定的决定。此类实施性法案的制定应当遵循第93(2)条所规定的验证程序。

在具有高度正当性的紧急状态情形中,欧盟委员会应当立即根据第93(3)条规定的程序而制定实施性法案。

6.为了补救导致第5条决定的情形,欧盟委员会应当与第三国或国际组织磋商。

7.符合本条第5段的决定不会影响到将个人数据转移到第三国、第三国内的领地或一个或多个部门、或者第46条至49条所规定的相关国际组织。

8.欧盟委员会应当在欧盟的官方杂志及其网站上发表名单,列明其确定已经具备充足保护或不再具有充足保护的第三国、第三国内的特定部门和国际组织。

9.欧盟委员会在95/46/EC指令第25(6)条基础上而做出的决定,在被欧盟委员会根据本条第3段或第5段而修改、替代或废止前应具有效力。

第46条 转移所需要的适当安全保障

1.如果没有根据第45(3)条而做出的决定,控制者或处理者只有提供适当的保障措施,以及为数据主体提供可执行的权利与有效的法律救济措施,才能将个人数据转移到第三国或一个国际组织。

2.在不要求监管机构提供任何具体授权的情形下,第1段所规定的适当保障措施可以如下方式提供:

(a)公共机构或实体之间之间签订的具有法律约束力和可执行性的文件;

(b)符合第47条的有约束力的公司规则;

(c)欧盟委员会根据第93(2)条规定的核查程序而制定的数据保护标准条款;

(d)监管机构根据第93(2)条规定的核查程序制定并且为欧盟委员会批准的数据保护标准条款;

(e)根据第40条制定的行为准则,以及第三国的控制者或处理者为了采取合适的安全保障而做出的具有约束力和执行力的承诺,包括数据主体的权利;或者

(f)根据第42条而被批准的验证机制,以及第三国的控制者或处理者为了采取合适的安全保障而做出的具有约束力和执行力的承诺,包括数据主体的权利。

3.在需要有权监管机构授权的情形下,第1段所规定的合适安全措施尤其可以通过如下方式进行规定:

(a)控制者或处理者与控制者、处理者或第三国或国际组织的个人数据接收者之间的合同条款;或者

(b)公共机构或公共实体之间在行政性安排中所插入的条款,包括可执行的与有效的数据主体权利。

4.在本条第3段所规定的情形中,监管机构应当适用第63段所规定的一致性机制。

5.成员国或监管机构根据95/46/EC指令的第26(2)条而做出的授权,在被监管机构修改、替代或废止之前应当一直有效。欧盟委员会根据95/46/EC指令第26(4)条而做出的决定,在欧盟委员会按照本条第2段做出必要性的修改、替换或废止决定前应当一直有效。

第47条 有约束力的公司规则

1.在满足如下条件时,对于符合第63条所规定的一致性机制的有约束力的公司规则,有权监管机关应当批准:

(a)具有法律约束力,适用于进行联合经济活动的企业集团或一系列经济主体的所有相关成员——包括其雇员,并且为他们所执行。

(b)在处理个人数据方面明确赋予数据主体以可执行的权利;以及

(c)满足第2段所规定的要求。

2.第1段所规定的有约束力的规则应当至少明确:

(a)进行联合经济活动的企业集团或一系列经济主体,及其每一个成员的架构和详细联系方式;

(b)数据转移或一系列的数据转移,包括个人数据的类型;处理类型及其目的;受影响的数据主体的类型;以及涉及到的对第三国或多个第三国的确定;

(c)规则的法律约束效力,既包括内部的约束力,也包括外部的约束力;

(d)对一般数据保护原则的适用,特别是目的限定、数据最小化、有限的储存期限、数据质量、通过设计的数据保护与默认的数据保护、处理的法律基础、对特定类型个人数据的处理;保障数据安全的措施;以及将数据转移到不受约束性公司规则所约束的实体所做的要求;

(e)和处理相关的数据主体的权利以及行使这些权利的方式,包括有权不被仅仅根据自动化处理——包括符合第22条的用户画像——而对数据主体做出决定,有权按照第79条向有权监管机构和成员国的有权管辖的法庭申诉,以及有权在违反有约束力的公司规则的情形下获取救济和——如果适用的话——赔偿;

(f)对于任何不在欧盟设立的控制者或处理者的相关成员违反约束性公司规则,在成员国的领域内设立的控制者或处理者愿意承担责任;只有当控制者或处理者证明,该成员对于导致损害的事件没有责任,控制者或处理者的此种责任才能被免除;

(g)关于约束性公司规则的信息如何提供给数据主体,特别是第13和14条之外关于本段所规定的(d)(e)(f)点的信息如何提供给数据主体;

(h)根据第37条所委任的所有数据保护官的任务,或者企业集团、或进行联合经济活动的一系列经济主体内部负责监控遵守约束性公司规则、监控培训和处置申诉的所有人或实体的任务;

(i)申诉程序;

(j)企业集团或进行联合经济活动的一系列经济主体,为了核实对约束性公司规则的遵守的而在内部所设立机制。此类机制应当包括数据保护核查以及能够确保采取矫正性活动保护数据主体权利的方法。此类核实结果应当告知(h)点所规定的个人或实体,企业集团或进行联合经济活动的一系列经济主体,而且在有权监管机构的要求下应当能够提供其核实结果;

(k)报告和记录规则变化的机制,以及将此类变化报告给监管机构的机制;

(l)为了保证企业集团或进行联合经济活动的一系列经济主体的合规性而和监管机构一起设立的合作机制,特别是向监管机构提供(j)点所规定的方法的核查结果;

(m)企业集团或进行联合经济活动的一系列经济主体的成员是第三国的主体,可能会对约束性企业规则所提供的保障产生实质性的负面影响,向有权监管机构报告对此类主体是否有法律要求的机制;以及

(n)对于可永久性或经常性访问个人数据的员工进行的适当数据保护培训。

3.欧盟委员会可以明确控制者、处理者和监管机构之间为了本条含义内的约束性公司规则而进行信息交换的形式和程序。此类实施性法案的制定应当遵循第93(2)条所规定的验证程序。

第48条 未经欧盟法授权的转移或披露

任何法庭判决、仲裁裁决或第三国行政机构的决定,若要求控制者或处理者对个人数据进行转移或披露,同时满足以下条件时方能得到认可或执行:一是该判决、裁决或决定必须基于提出请求的第三国与欧盟或其成员国之间订立的法律互助协议等国际条约,二是该判决、裁决或决定不会对本章规定的其他转移形式产生消极影响。

第49条 特殊情形下的克减

1.如果不存在根据第45(3)而做出的充足保护认定或根据第46条而制定的适当安全措施——包括约束性公司规则,将个人数据转移到第三国或国际机构,只有满足如下情形之一才能进行:

(a)数据主体被明确告知,不存在充足保护或适当的安全措施,预期的数据转移存在风险,但之后数据主体仍然明确表示同意预期的数据转移;

(b)转移对于履行数据主体与控制者之间的合同,或者履行数据主体在签订契约前所提出要求是必要的;

(c)控制者和另一自然人或法人之间签订或履行合同时,转移对于实现数据主体的利益是必要的;

(d)转移对于实现公共利益是必要的;

(e)转移对于确立、行使或辩护法律性主张是必要的;

(f)当数据主体基于身体性或法律性原因无法表达同意,为了保护数据主体或其他人的关键利益是必要的;

(g)转移是根据登记册而进行的——这种登记册是欧盟法或成员国法律为了向具有正当利益的一般性公众或个人提供咨询。但是,只有满足欧盟法或成员国法对咨询所规定必要条件,此类个案中的转移才能进行克减。

当转移无法基于第45或第46条,包括基于约束性公司规则的条款的规定而进行,且从(a)点到(g)的克减条件都不符合,将数据转移到第三国或国际组织,这只有在转移满足如下条件时才可以:转移是非重复性的;关乎很小一部分数据主体的权利;对于实现控制者压倒性的正当利益是必要的,并且不会违反数据主体的有限性的利益或权利与自由;控制者已经对围绕数据传输的情形进行评估,而且基于这种评估对个人数据保护采取了合适的安全保障。控制者除了提供第13条和第14条所规定的信息之外,应当将转移和追求的压倒性正当利益告知数据主体。

2.符合第1段(g)点的转移不应当包括登记册里的全部个人数据或所有类型的个人数据。当登记册是为了给具有正当利益的人提供咨询的,只有那些人提出要求,或者那些人是接收者的情形才能进行转移。

3.对于公共机构在行使其公共权力时的活动,第1段的(a)(b)(c)点以及第1段的第二分段不适用。

4.第1段(d)点规定的公共利益应当为欧盟或成员国为控制者所制定的法律所确认。

5.如果不存在充足保护的认定,欧盟或成员国的法律可以基于公共利益而明确做出限制,限制将个人数据转移到第三国或国际组织的特定类型。成员国应当将此类条款告知欧盟委员会。

6.控制者或处理者应当在第30条规定的档案中记录本条第1段第二分段所规定的评估以及合适的安全措施。

第50条 为保护个人数据的国际合作

在涉及到第三国或国际组织的情形中,欧盟委员会和监管机构应当采取合适的措施以:

(a)发展国际合作机制,以便促进对个人数据保护立法的有效实施;

(b)在采取合适安全措施保障个人数据保护和其它基本权利与自由的前提下,通过告知、申诉转介、调查帮助和信息互换为个人数据保护立法的实施提供国际性互助;

(c)在实施个人数据保护立法中,使相关利益方密切参与为了进一步国际合作而进行的讨论和活动;

(d)促进个人数据立法与实践——包括与第三国管辖权冲突——的交换与记录。



第六章  独立监管机构

第一部分 独立性地位

第51条 监管机构

1.为了保护自然人在处理过程中的基本权利与自由,以及促进欧盟内部的个人数据的自由流通,每个成员国应当建立一个或多个独立公共机构,负责监控本条例的实施。

2.每个监管机构都应当帮助本条例在欧盟的一致性适用。基于这种目的,监管机构应当按照第七章的规定彼此合作以及和欧盟委员会合作。

3.当一个成员国确立了不止一个监管机构,该成员国应当在欧盟数据保护委员会委任一个监管机构代表其他机构,而且应当建立一套机制,保证其他机构遵守第63条规定的一致性机制相关的规则。

4.每个成员国都应当将其根据本章所制定的法律条款告知欧盟委员会,[最迟应当在本条例生效的两年内],而且应当及时将影响条款的修订告知欧盟委员会。

第52条 独立性

1.每个监管机构在行使其任务和行使符合本条例的权力时,应当保持完全的独立性。

2.每个监管机构的一个或多个成员在行使其任务和行使符合本条例的权力时,应当不受外部影响,不论是直接的还是间接性的,而且不应接收任何人的指示。

3.监管机构的成员不得从事违反其监管职责的活动,任职期间不得担任任何与其监管工作相冲突的有偿或无偿的职务。

4.每个成员国都必须确保,每个监管机构都具有为了有效履行其任务和行使其权利——包括在欧盟数据保护委员会中互助、合作和参与的履行任务和行使权利——所必需的人力性、技术性与资金资源,前提性与基础性要素。

5.每个成员国都应当确保,每个监管机构都具有选择和雇佣其成员的权力,这只受相关监管机构的一个或多个成员的专门指令的约束。

6.每个成员国都必须确保,在不影响其独立性以及其具有单独和公共性的年度预算的前提下,每个监管机构都受资金控制——此类资金控制可能是州预算或国家预算一部分的——的约束。

第53条 监管机构成员的一般性要求

1.成员国应当通过如下机构以透明化的方式委任其监管机构的每个成员:

-它们的议会;

-它们的政府;

-它们的国家元首;或者

-成员国法律指派的独立性实体。

2.每个成员都应当具有履行其职责和行使其权力所应当具有的资质、经验与技巧,特别是在个人数据保护领域的资质、经验与技巧。

3.成员根据成员国的相关法律结束其任期、辞职或强制性退休时,其职责也相应结束。

4.只有存在严重的不当行为,或者不再符合履行其职责的条件时,成员才可以被解职。

第54条 设立监管机构的规则

1.每个成员国都应当通过法律规定如下事项:

(a)每个监管机构的设立;

(b)被任命为每个监管机构的成员所需要的资质与合适的条件;

(c)任命每个监管机构的一个或多个成员的规则和程序;

(d)每个监管机构的一个或多个成员的不少于四年的任期,(在此条例生效之后的第一次任命例外),如果有必要通过间断性的任命程序来保护监管机构的独立性,一部分成员的任期可以更短;

(e)每个监管机构的一个或多个成员是否可以连任,如果可以的话,可以连任多少个任期;

(f)每个监管机构的成员和员工需要负责的情形,对于其任期内或任期结束后的具有冲突性的行为、任职和收益的禁止条款,以及中止雇佣的规则。

2.每个监管机构的成员和员工都应当遵循欧盟或成员国的法律,对于其履行任务或行使其权力期间所获取的秘密信息,在任职期间或任期结束后都具有保守职业秘密的职责。尤其在自然人报告具有违反本条例的情形下,成员或员工应当履行其保守职业秘密的职责。

第二部分 职权、任务与权力

第55条 职权

1.每个监管机构都有权在其所属的成员国境内根据本条例履行分配给其的任务,行使授予其的权力。

2.当公共机构或私人实体基于第6(1)条的(c)或(e)点而进行处理,成员国的相关监管机构应当拥有职权。在此类情形中,第56条不适用。

3.对于法庭在其司法活动中进行处理操作,监管机构不具有监管职权。

第56条 领导性监管机构的职权

1.在不影响第55条的前提下,控制者或处理者的主要营业机构或唯一营业机构所在地的监管机构应可以充当领导性监管机构,监管控制者或处理者根据第60条程序而进行的跨境处理。

2.第1段的规定可以进行减免,如果主要事项只和成员国内的一个机构相关,或者只在一个成员国内对数据主体产生实质性影响,每个监管机构应当都有权对向其进行的申诉或违反本条例的行为进行处置。

3.对于第2段所规定的情形,监管机构应当将此事项及时告知领导性监管机构。在被告知的三个星期以内,领导性的监管机构应当——结合控制者或处理者是否在通知其的监管机构所在的成员国内有拥有机构——决定,其是否要根据第60条的规定的程序而处置该案例。

4.当领导性监管机构决定处理案件,第60条所规定的程序应当适用。那个告知领导性监管机构的监管机构可以向领导性监管机构提交一份决定草案。当领导性监管机构起草第60(3)条所规定的决定时,其应当尽最大限度地考虑提交的决定草案。

5.当领导性监管机构决定不处置案子,通知领导性监管机构的监管机构应当根据第61条和第62条进行处置。

6.对于控制者或处理者所进行的跨境处理,领导性监管机构应当是该控制者或处理者的唯一面谈者。

第57条 任务

1.在不影响本条例规定的其他任务的前提下,在其管辖范围内,每个监管机构应当:

(a)监控和执行对本条例的实施;

(b)提高公众意识,对和处理相关的风险、规则、安全保障和权利的理解。对针对儿童的活动保持特别注意;

(c)根据成员国的法律、全国性议会、政府以及其他制度和实体对与处理相关的自然人的权利与自由提供建议;

(d)提高控制者与处理者对本条例所规定责任的意识;

(e) 基于要求为所有数据主体提供行使本条例所规定的权利,以及——如果适用的话——和其它成员国的监管机构为了实现这一目的而进行合作;

(f)处置数据主体或实体、组织或协会根据第80条的申诉,采用合适的手段调查申诉的主要事项,在合理期限内向申诉者告知进展和调查结论——特别是如果需要进一步的调查或和监管机构协调;

(g)为保证对本条例适用与执行的一致性和其他监管机构合作,包括分享信息和提供相互协助;

(h)为本条例的适用进行调查,包括基于另一监管机构或其它公共机构提供的信息而进行的调查;

(i)在相关发展——特别是信息和通讯技术、商业实践发展——对个人数据保护产生影响的情况下,对相关发展进行监控;

(j)采用第28(8)条和第46(2)条(d)点规定的标准格式合同;

(k)建立并维持和第35(4)条规定的个人数据保护影响评估相关的条目;

(l)对第36(2)条规定的处理操作给出建议;

(m)鼓励起草符合第40条的行为准则,对符合第40(5)条提供充分安全保障的此类行为准则提供意见并进行批准;

(n)鼓励设立数据保护认证机制以及符合第42(1)条的数据保护印章与标记,并批准符合第42(5)条的认证标准;

(o)在适用的情形下,对根据第42(7)条而颁发的认证进行阶段性审查;

(p)对符合第41条规定的监控行为准则的委派实体,以及符合第43条规定的认证实体,对其标准进行起草并发布;

(q)委任符合第41条规定的监控行为准则的实体,以及符合第43条规定的认证实体;

(r)授权合同条款与第46(3)条规定的条款;

(s)批准符合第47条的约束性合同规则;

(t)欧盟数据保护委员会的活动提供帮助;

(u)对违反本条例的情形以及根据第58(2)条而采取的措施保持内部纪录;并且

(v)完成和个人数据保护相关的其它任务。

2.每个监管机构都应当为第1段(f)点规定的提交申诉提供便利,例如在不排除其它通讯方式的前提下,提供可以通过电子方式填写和提交的申诉方式。

3.每个监管机构的任务履行对于数据主体都应当是免费的,如果适用的话,对于数据保护官也应当是免费的。

4.当请求是明显毫无根据的或过分的,特别是当请求是重复性的,监管可以基于行政花费而收取一定的合理费用,或拒绝对请求作出行动。监管机构有责任证明,请求是明显毫无根据的或过分的。

第58条 权力

1.每个监管机构都具有所有如下调查权力:

(a)要求控制者和处理者,以及——在适合的情形下——控制者或处理者的代表提供履行其任务所需要的所有信息;

(b)以数据保护核查的方式进行调查;

(c)对根据第42(7)所颁布的认证进行审查;

(d)将可能侵犯本条例的情况告知控制者或处理者;

(e)从控制者或处理者那里获取访问个人数据的权力,以及为了行使其任务而所需的所有信息;

(f)按照欧盟与成员国法律的程序法,获取对控制者和处理者的所有房屋建筑及场地,包括数据处理设施和方法的访问权。

2.每个监管机构都有所有如下矫正性权力:

(a)对控制者或处理者颁发警告,警告预期的处理操作可能会侵犯本条例的条款;

(b)当处理操作侵犯本条例条款的时候,对控制者或处理者进行申诫;

(c)命令控制者或处理者尊重数据主体行使符合本条例的权利;

(d)命令控制者或处理者的处理操作符合本条例条款,如果适合的话,应当在特定的期限内以特定的方式完成;

(e)命令控制者将个人数据泄露的情况告知数据主体;

(f)对处理施加暂时性或具有明确期限的禁令;

(g)要求对个人数据进行纠正或擦除,或根据第16条,17条和18条而对处理进行限制,以及将此类行动告知第17(2)条和第19条规定的个人数据披露给的接收者;

(h)撤回认证,或命令认证机构撤回根据第42条和第43条而颁发的认证,或者当认证的要求不满足或不再满足时,命令认证机构不要颁发认证;

(i)视每个案例的情形不同,在本段所规定的措施之外,或者替代本段所规定的措施而采取第83条规定的行政处罚;

(j)要求中止将数据传输到第三国或国际组织。

3.每个监管机构都有所有如下授权和建议的权力:

(a)根据第36条规定的提前咨询条款向控制者提出建议;

(b)主动或根据要求为全国性议会、成员国政府提供意见,或者根据成员国法为其他机构、实体与公众提供和个人数据保护相关的保护;

(c)如果成员国的法律要求此类提前咨询,根据第36(5)条而授权处理;

(d)根据第40(5)条而发布意见以及行为准则;

(e)根据第43条而委任认证机构;

(f)根据第42(5)条颁发认证和批准认证的标准;

(g)制定第28(8)条以及第46(2)条(d)点规定的数据保护标准条款;

(h)授权第46(3)条(a)点规定的合同条款;

(i)授权第46(3)条(b)点规定的行政性安排;

(j)批准符合第47条的约束性公司规则。

4.根据本条而行使赋予给监管机构的权力应当满足合适的安全保障,包括根据欧盟宪章而在欧盟和成员国法律中规定的有效司法救济和正当程序。

5.每个成员国应当通过法律规定,其监管机构为了执行本条例的条款,有权将违反本条例的情形诉诸司法机构,在合适的情形下可以提起或参与法律诉讼。

6.每个成员国都应当通过法律规定,其监管机构具有第1、2和3段规定的附加权力。对那些权利的行使不应当削弱第七章规定的有效运行。

第59条 活动报告

每个监管机构都应当起草一份关于其活动的年度报告,这可以包括其被告知的违法类型以及根据第58(2)条而采取的措施类型。此类报告应当传输给全国性议会、政府以及成员国法律所委任的其他机构。公众、欧盟委员会和欧盟数据保护委员会应当能够获取这些报告。



第七章  合作与一致性

第一部分 合作

第60条 领导性监管机构和其他相关监管机构的合作

1.领导性监管机构应当根据本条和其他相关监管机构进行合作,努力达成共识。领导性监管机构和相关监管机构应当彼此分享相关信息。

2.领导性监管机构可以随时要求其他相关监管机构提供第61条规定的互助合作,而且可以根据第62条而进行联合行动,这尤其适用于如下情形:为了进行调查,或者为了实施涉及到设立在另一成员国的控制者或处理者的措施。

3.领导性监管机构应当及时将事项相关信息告知给其他相关监管机构。对于其他相关监管机构的意见,其应当充分考虑,并及时向其他相关监管机构提交一份决定草案。

4.当其他任何相关监管机构收到第3段中所规定的咨询,并在四周内表达了对决定草案的相关与合理的反对,领导性监管机构如果不同意此相关与合理的反对,或者认为其意见是不相关或不合理的,应当将此事项提交给第63条规定的一致性机制。

5.如果领导性的监管机构同意相关与合理的反对意见,对于此反对意见,其应当将一份修订后的草案决定提交给其他监管机构。修订后的草案决定应当遵守第4段所规定的程序,并且应当在两个星期内做出。

6.如果在第4段和第5段所规定的期间内,其他相关监管机构都没有反对领导性监管机构所提交的决定草案,应当推定领导性的监管机构和相关监管机构对于决定草案具有一致意见,而且应当受其约束。

7.领导性监管机构应当做出决定,将决定的情况——包括相关事实和理由的总结——通知给控制者或处理者的主要营业机构或唯一营业机构,并视情况通过其他相关监管机构以及做出该决定的欧盟数据保护委员会。收到申诉的监管机构应当将决定的情况告知给申诉者。

8.在申诉被撤销或驳回的情形中,第7段的规定可以进行克减,收到申诉的监管机构应当采用决定并将其告知申诉者,由此也告知了控制者。

9.当领导性监管机构和相关监管机构同意撤销或驳回申诉的一部分,对申诉的其他部分采取行动,对于此类其他部分的事项,应当采取单独的决定。领导性监管机构应当采用和控制者行动相关的那部分决定,将其通告给控制者或处理者在成员国境内的主要营业机构或唯一营业机构,由此也告知了申诉者。另一方面,申诉者的监管机构应当采用和撤销或驳回申诉相关的那部分决定,将其告知申诉者,由此也告知了控制者或处理者。

10.当收到领导性监管机构根据第7段和第9段而进行的告知后,控制者或处理者应当采取必要措施,保证其在欧盟所有的所有机构的处理活动都符合决定。控制者或处理者应当向领导性监管机构告知为遵守决定而采取的措施,并通知其他相关监管机构。

11.在极端情形下,当某相关监管机构认为,有充分理由证明需要采取紧急行动以保护数据主体的利益,应当援引第66条有关紧急程序的规定。

12.领导性监管机构和其他相关监管机构应当通过电子方式,以标准化的格式为彼此提供本条所要求提供的信息。

第61条 互相协助

1.监管机构应当为彼此提供信息和互相协助,以便以一种一致性的方式执行和适用本条例,而且应当拥有有效信息以进行有效的相互合作。互相协助尤其应当包括信息请求和监管措施,例如在授权与咨询、检验与调查之前请求信息和采取监管措施。

2.对于另一监管机构的请求,每个监管机构都应当采取恰当的合适措施及时回应,而且至迟应当在收到请求内的一个月内进行。此类措施尤其可以包括传输和调查相关的信息。

3.请求协助应当包括所有必要信息,包括请求的目的与原因。被交换的信息只能被用于实现请求协助的目的。

4.除非存在如下情形,被请求的监管机构不应当拒绝请求:

(a)被请求的监管机构对被请求的主体事项或被请求执行的措施没有职权;或者

(b)被请求的监管机构对请求进行照办,这会侵犯本条例或欧盟或成员国的为被请求的监管机构所制定的法律。

5.被请求的监管机构应将结果告知发出请求的监管机构,而且应当视情况告知为了实现请求而采取的措施。被请求的监管机构如果拒绝按第4段而提出的请求,应当提供说明。

6.基于其他监管机构的请求,被请求的监管机构应当以电子形式,使用标准化的格式提供信息,这应当成为一项规则。

7.所有被请求的监管机构根据请求而进行的互相协作,都不应当收取费用。对于特定情形下因为提供互相协作而产生的特定花费,监管机构之间可以签订补偿规则。

8.当某监管机构在收到另一监管的请求后一个月内仍然不提供第5段所规定的信息,做出请求的监管机构可以根据第55(1)条在其成员国境内采取临时性措施。在这种情形中,可以推定为符合第66(1)条的紧急情况,欧盟数据保护委员会应根据第66(1)条而作出紧急约束性决定。

9.欧盟数据保护委员会可以通过制定实施性法案而细化本条规定的互相协助的形式与程序,在监管机构之间、监管机构和欧盟委员会之间以电子方式进行的信息交换,特别是本条第6段所规定的标准化格式。此类实施性法案的制定应当遵循第93(2)条规定的验证程序。

第62条 监管机构的联合行动

1.在合适的时候,监管机构应当进行联合行动,包括在涉及到其他成员国监管机构的成员或员工的情形下进行联合调查和采取联合执行措施。

2.当控制者或处理者在多个成员国设立机构,或者当两国或两国以上的数据主体可能会受处理操作的实质性影响,这些成员国的监管机构都有权参与联合行动。按照第56(1)或56(4)条规定而拥有职权的监管机构可以邀请这些成员国中的每个国家的监管机构参与联合行动,而且应当及时回应某监管机构的参与请求。

3.一个监管机构可以按照成员国的法律,以及临时调派的监管机构的授权,将调查权等权力授权给临时调查的监管机构的成员或员工。或者,如果监管机构的成员国的法律允许,应当允许临时调派的监管机构的成员或员工行使其符合成员国法律对其做出规定的调查权。只有在东道主监管机构的成员或员工的指导和见证之下,此类权力才能被行使。临时调派的监管机构的成员或员工应当遵守东道主监管机构所在的成员国国家的法律。

4.当根据第一段的规定临时调派的监管机构在另一成员国内活动,东道主监管机构所在的成员国应当对其行动承担责任,包括对活动期间所引起的损害,应当按照其活动地所属的成员国法律承担责任。

5.对于成员国境内所造成的损害,如果其可以适用其成员国的损害赔偿,成员国应当进行赔偿。临时调派的监管机构的某成员国的员工对另一成员国境内的人造成伤害,在另一成员国对个人进行补偿后,某成员国应当对另一成员国进行补偿。

6.除了第5段所规定的情形,在不影响行使相对于第三人权利的前提下,若出现第1段规定的情形,各成员国不得就第4段的损害向相关成员国提出损害赔偿的要求。

7.当存在联合行动的计划,而且当监管机构拒绝遵守本条第2段第二句所设定的责任,其他监管机构可以根据第55条在其境内采取临时性措施。在这种情形中,可以推定为符合第66(1)条的紧急情况,欧盟数据保护委员会应根据第66(2)条而作出紧急约束性决定。

第二部分 一致性

第63条 一致性机制

为了帮助本条例在欧盟的一致性适用,监管机构应当相互合作,以及在相关的情形下通过本部分规定的一致性机制而和欧盟委员会进行合作。

第64条 欧盟数据保护委员会的意见

1.当某个有权监管机构计划采取如下任何一项措施,欧盟数据保护委员会应当发布意见。为此,有权监管机构应当将决定草案告知欧盟数据保护委员会,如果:

(a)决定草案的目标是采取一系列符合第35(4)条所规定的数据保护影响评估要求的处理操作;

(b)决定草案涉及到第40(7)条规定的行为准则草案,或行为准则草案的修订案或延期是否符合本条例;

(c)决定草案的目标是批准符合第41(3)条规定的委派实体,以及符合第43(3)条规定的认证实体的标准;

(d)决定草案的目标是确定第46(2)条(d)点和第28(8)条规定的标准数据保护条款;

(e)决定草案的目标是批准第46(3)条(a)点规定的合同条款;或者

(f)决定草案的目标是批准第47条所指的有效性公司规则。

2.任何监管机构、欧盟数据保护委员会或欧盟委员会的主席都可以提出要求,为了给出意见——特别是当有权监管机构不遵守第61条规定的相互协助的责任或第62条规定的联合行动时——可以对任何关乎一般性使用的事项,或在不止一个成员国产生影响的事项进行核查。

3.对于第1段和第2段提到的情形,欧盟数据保护委员会如果此前没有对类似事项发表过意见,应当对提交给它的事项发布一份意见。这份意见应当在八周内根据欧盟数据保护委员会成员的简单多数来决定。考虑到主要事项的复杂性,八周的期限可以再延长六周。关于第1段规定的按照第5段而在欧盟数据保护委员会中流通的决议草案,如果某成员在欧盟数据保护委员会主席所表明的合理期限内不提出异议,就应当视为同意决议草案。

4.监管机构和欧盟数据保护委员会应当及时以电子化手段,使用标准化的格式将任何相关信息进行沟通。此类信息可以是事实的总结、决议草案、采取此类必要措施的理由,以及其他相关机构的观点。

5.欧盟数据保护委员会的主席应当及时通过电子手段:

(a)通过标准化格式将任何已经获知的相关信息告知欧盟数据保护委员会和欧盟委员会的成员。如有需要,欧盟数据保护委员会的秘书应当提供相关信息的翻译;并且

(b)将意见告知第1段和第2段规定的监管机构和欧盟委员会,并公开意见。

6.在第3段规定的期间内,有权监管机构不应当采用第1段所规定的决议草案。

7.第1段中所规定的监管机构应当最大限度地考虑欧盟数据保护委员会的意见,而且应在收到意见的两周内以电子方式告知欧盟数据保护委员会的主席,其是否会维持或修改其决议草案,以及修改后的决议草案——如果有的话。

8.当相关监管机构在本条第7段规定的期限内通知委员会主席,其并无意遵守委员会的所有意见或意见的一部分,并且提供了相关理由,此种情形下第65(1)条应当适用。

第65条 欧盟数据保护委员会的纠纷解决

1.为了确保在个案中对本条例的正确与融贯适用,欧盟数据保护委员会应当在如下情形中做出有约束力的决定:

(a)在第60(4)条规定的情形中,相关监管机构对领导性机构的草案决定提出了相关与合理的反对,或者领导性机构驳回了反对,认为其不相关或不合理。约束性决定应当涉及相关与合理反对所涉及的所有事项,特别是当其存在违反本条例的情形;

(b)对于哪个监管机构有权管辖主要营业机构存在不同意见;

(c)在第64(1)条规定的情形中,有权监管机构并不请求获得欧盟数据保护委员会的意见,或者并不遵守欧盟数据保护委员会按照第64条发布的意见。在这种情形下,任何相关监管机构或欧盟数据保护委员会都可以将此事项告知欧盟数据保护委员会。

2.三分之二多数的欧盟数据保护委员会成员在将主体事项转交后,应当在1个月以内做出第1段所规定的决定。考虑到主体事项的复杂性,这个期间可以再延长一个月。第1段所规定的决定应当是合理的,应当告知领导性监管机构和所有相关监管机构,并且对它们具有约束力。

3.当欧盟数据保护委员会无法在第2段所规定的期限内做出决定,其应当以欧盟数据保护委员会成员简单多数的方式在第2段所规定的第二个月的期限结束后的两星期内做出决定。如果欧盟数据保护委员会成员的投票刚好完全分裂,那么决定将根据主席的投票而做出。

4.在第2段和第3段所规定的期限内,相关监管机构不应当对根据第1段而提交给欧盟数据保护委员会的主体事项做出决定。

5.欧盟数据保护委员会的主席应当及时将第1段所规定的决定告知相关监管机构。这也就告知了欧盟委员会。在监管机构告知第6段规定的最终决定后,决定应当在欧盟数据保护委员会的网站上及时发表。

6.领导性监管机构或者收到申诉的监管机构应当根据本条第1段所规定的决定性基础及时做出最终决定,至迟应当在欧盟数据保护委员会告知其决定后的一个月以内做出。领导性的监管机构或收到申诉的监管机构应当向欧盟数据保护委员会报告其将该决定告知控制者或处理者以及数据主体的时间。相关监管机构的最终决定应当根据第60(7)(8)(9)条的条款而做出。最终决定应当涉及本条第1段所规定的决定,而且应当具体说明,本条第1段所规定的决定将会根据本条第5段而在欧盟数据保护委员会的网站上发表。最终决定应当附上本条第1段所规定的决定。

第66条 紧急程序

1.在例外情形中,当相关监管机构认为有必要对保护数据主体的权利与自由采取紧急行动,其可以通过第63、64和65条规定的一致性机制或第60条规定的程序来进行克减,立即采取在其境内一段时间内——不超过3个月——具有法律效力的临时性措施。监管机构应当及时将采取这些措施的手段与原因告知其他相关监管机构、欧盟数据保护委员会与欧盟委员会。

2.当监管机构采取符合第1段的措施,以及考虑亟需采用的最终措施,其可以请求欧盟数据保护委员会出具一份紧急意见或紧急约束性决定,并说明提出此请求的原因。

3.如果有必要对保护数据主体的权利与自由采取紧急行动,而有权监管机构却没有采取合适措施,任何监管机构都可以向欧盟数据保护委员会请求一份紧急意见或紧急约束性决定,说明提出此请求的原因,包括需要采取紧急行动的原因。

4.对于第64(3)条和第65(2)条规定的的克减,欧盟数据保护委员会成员的简单多数应当在两个星期内做出本条第2段和第3段规定的紧急意见或紧急约束性决定。

第67条 信息交换

对于监管机构之间、监管机构与欧盟数据保护委员会之间以电子方式进行的信息交换,特别是对于第64条规定的标准化格式,欧盟委员会可以进一步制定细化的实施性法案。

这些实施性法案应当根据第93(2)条规定的验证程序制定。

第三部分 欧盟数据保护委员会

第68条 欧盟数据保护委员会

1.欧盟数据保护委员会特此被设立为欧盟的一个机构,而且将具有法人身份。

2.欧盟数据保护委员会的代表是其主席。

3.欧盟数据保护委员会应当包括每个成员国的每个监管机构的首长、欧盟数据保护监管者的首长,或者他们的代表。

4.当一个成员国内不止一个监管机构负责监控对本条例条款的适用,应当按照成员国的法律任命一个联合代表。

5.欧盟委员会应当有权参与欧盟数据保护委员会的活动与会议,但没有投票权。欧盟委员会应当委任一名代表。欧盟数据保护委员会的主席应当将其活动告知欧盟委员会。

6.对于第65条规定的情形,只有当决议涉及到适用于和本条例规定有实质性对应的欧盟机构、实体、办公室、规制机构的原则和规则时,欧盟数据保护监管者才具有投票权。

第69条 独立性

1.当根据第70条和第71条履行其任务或行使其权力时,欧盟数据保护委员会应当保持其独立性。

2.在不影响第70(1)条(b)点和第70(2)条所规定的欧盟委员会的请求的前提下,欧盟数据保护委员会在履行其任务或行使其权力时,应当避免从任何人那里获取指示。

第70条 欧盟数据保护委员会的任务

1.欧盟数据保护委员会应当确保对本条例的一致性适用。为了实现这一目的,在相关情形中,欧盟数据保护委员应当主动或根据欧盟委员会的请求而采取如下行动:

(a)在不影响全国性监管机构的任务的前提下,确保在第64条和65条所规定的情形中正确适用本条例;

(b)对欧盟数据保护相关的所有事项,包括对本条例的修改动议,向欧盟委员会提供建议;

(c)对为制定约束性公司规则而在控制者、处理者和监管机构之间进行的信息交换的格式与程序向欧盟委员会提供建议;

(d)从第17(2)条规定的公众可以获取的通讯服务中擦除个人信息的链接、备份或复制品,对这种活动的程序发布指导方针、建议和最佳操作;

(e)主动或根据其成员的请求,或根据欧盟委员会的请求核查涉及本条例适用的任何问题,为了鼓励对本条例的适用,发布指导方针、建议和最佳操作;

(f)为了进一步细化第22(2)条规定的基于用户画像的决策的标准和条件,发布符合本段(e)点的指导方针、建议和最佳操作;

(g)为了认定个人数据泄露,确定是否存在第33(1)、(2)条所规定的无理拖延,以及控制者或处理者是否需要告知个人数据泄露,发布符合本段(e)点的指导方针、建议和最佳操作;

(h)对于个人数据违法可能会对第34(1)条规定的自然人的权利与自由带来高风险的情形,发布符合本段(e)点的纲领、建议和最佳操作;

(i)对于符合控制者所遵守的约束性公司规则、处理者所遵守的约束性公司规则的数据转移,以及符合为了保证第47条规定的对数据主体的个人数据保障而采取的必要措施的个人数据转移,为了细化此类转移的标准和要求,发布符合本段(e)点的指导方针、建议和最佳操作;

(j)为了进一步细化第49(1)条规定的个人数据转移所需要的标准和要求,发布符合本段(e)点的指导方针、建议和最佳操作;

(k)对于涉及第58(1)、(2)、(3)条规定的适用措施和确定第83条规定的行政处罚,为监管机构起草指导方针;

(l)对本段(e)点和(f)点规定的指导方针、建议和最佳操作的实际运用进行审查;

(m)对自然人设报告侵犯本条例的行为,为其设立符合第54(2)条的一般程序,,发布符合本段(e)点的指导方针、建议和最佳操作;

(n)鼓励起草行为准则,设立符合第40条和第42条的数据保护认证机制、数据保护印章和标记;

(o)对认证机构进行委任,根据第43条而进行阶段性审查,对符合第43(6)条的委任机构、符合第42(7)条而在第三国设立的被认证的控制者或处理者进行持续性的公共登记;

(p)为了委任第42条规定的认证机构而细化第43(3)条规定的要求;

(q)向欧盟委员会提供关于第43(8)条规定的验证要求的意见;

(r)向欧盟委员会提供关于第12(7)条规定的图标的意见;

(s)评估第三国或国际组织的保护程度,包括评估第三国、某个地区、或该第三国的一个或多个特定部门,或国际组织是否仍然提供足够程度的保护。为了实现这一目的,欧盟委员会应当向欧盟数据保护委员会提供所有必要的记录,包括和该第三国政府的进行的涉及到第三国、某个地区、或该第三国的一个或多个特定部门,或国际组织的通信。

(t)发布按照第64(1)条规定的一致性机制而做出的关于监管机构的决议草案,按第64(2)条提交的事项,以及发布根据第65条,包括第66条规定的约束性决定。

(u)促进监管机构之间的合作,有效的双边或多边信息交换,以及最好的实践;

(v)促进共同培训项目,协助监管机构之间以及——如果适用的话——监管机构与第三国监管机构或国际组织之间的人员交换;

(w)促进与全球数据保护监管机构的知识交流、数据保护立法的记录与实践。

(x)发布关于根据第40(9)条在欧盟层面起草的行为准则的意见;以及

(y)对于监管机构和法庭做出的决定以及根据一致性机制所处置的事项,保持一份公众可以访问的电子登记。

2.当欧盟委员会请求欧盟数据保护委员会提供意见,欧盟委员会可以在考虑事项的紧急程度后表明期限要求。

3.欧盟数据保护委员会应当将其意见、指导纲领、推荐以及最佳操作告知欧盟委员会和第93条规定的理事会,而且应当将它们公开。

4.如果适用的话,欧盟数据保护委员会应当咨询当事人,給与他们在一段合理期限内进行评论的机会。在不影响第76条的前提下,欧盟数据保护委员会应当将咨询程序的结果公之于众。

第71条 报告

1.对于欧盟内部、相关第三国以及国际组织中的数据处理活动,若涉及自然人的保护,欧盟数据保护委员会应当起草年度报告。报告应当公开,而且应当传输给欧洲议会、欧盟理事会和欧盟委员会。

2.年度报告应当包括第70(1)条(l)点规定的对指导方针、建议和最佳操作的实际运用进行审查,以及第65条规定的约束性决议。

第72条 程序

1.欧盟数据保护委员会应当通过其成员的简单多数做出决定,除非本条例有相反规定。

2.欧盟数据保护委员会应当以其成员的三分之二多数制定程序规则,组建其自身的操作机制。

第73条 主席

1.欧盟数据保护委员会应当通过简单多数的方式从其成员中选举一位主席、两位副主席。

2.主席以及副主席职位的任期应当是5年,可以连任一届。

第74条 主席的任务

1.主席具有如下任务:

(a)召集欧盟数据保护委员会的会议,准备会议议程;

(b)将委员会根据第65条而做出的决定告知第65条规定的领导性监管机构和相关监管机构;

(c)保证欧盟数据保护委员会任务的及时履行,特别是和第63规定的一致性机制相关的任务。

2.欧盟数据保护委员会应当在其程序规则中对主席与副主席的任务分工进行分配。

第75条 秘书

1.欧盟数据保护委员会应当有一名秘书,其应当由欧盟数据保护监督者来任命。

2.秘书应当严格按照欧盟数据保护委员会主席的指示履行其职责。

3.欧盟数据保护监管者的员工,如果涉及履行到本条例赋予给欧盟数据保护委员会的任务,应当与涉及履行赋予给欧盟数据保护监管者的任务的员工遵守不同的报告程序。

4.在适用的情况下,欧盟数据保护委员会和欧盟数据保护监管者应当撰写与发布一份实施本条的谅解备忘录,确定它们之间合作的条款,在涉及履行本条例赋予给欧盟数据保护委员会的任务时,谅解备忘录适用于欧盟数据保护监管者的员工。

5.秘书应当向欧盟数据保护委员会提供分析、管理与后期支持。

6.秘书应当对如下事项负责:

(a)欧盟数据保护委员会的日常事务;

(b)欧盟数据保护委员会、欧盟数据保护委员会主席与欧盟委员会之间的交流;

(c)与其他机构及公众的交流;

(d) 内部交流与外部交流中对电子手段的使用;

(e)对相关信息的翻译;

(f)对欧盟数据保护委员会会议的准备与跟踪;

(g)准备、起草与发布欧盟数据保护委员会对监管机构之间分歧的意见与决定,以及其他文本。

第76条 机密性

1.欧盟数据保护委员会若认为根据程序规则的要求,有必要秘密开展某项讨论活动,那么该讨论活动就应当严格保密。

2.访问提交给欧盟数据保护委员会的成员、专家与第三方代表的文件,应当遵守欧洲议会和欧盟理事会的 (EC) No 1049/2001条例[1]。



第八章  救济、责任与惩罚

第77条 向监管机构提起申诉的权利

1.在不影响任何其他行政或司法救济的前提下,每个数据主体都有向监管机构进行申诉的权利,这尤其适用于以下地点的监管机构:数据主体所属的成员国或经常居住地、工作地、或数据主体认为处理其个人数据违反本条例的发生地。

2.收到申诉的监管机构应当告知申诉者申诉的进展和结果,包括符合第78条的司法救济的可能性。

第78条 针对监管机构的有效司法救济权

1.在不影响其他任何行政或司法救济的前提下,任何自然人或法人都有权对关乎他们的监管机构的有法律约束力的决定获得有效的司法救济。

2.在不影响其他任何行政或司法救济的前提下,如果根据第55条和第56条的有权监管机构不处置申诉,或者在三个月内没有向数据主体告知第77条规定的申诉的进展或结果,任何自然人或法人都有权获得有效的司法救济。

3.针对监管机构的法律诉讼应当在监管机构所在的成员国的法庭提起。

4.如果针对监管机构决定的法律诉讼发生在欧盟数据保护委员会根据一致性机制而做出意见或决定之前,监管机构应当将其意见或决定告知法院。

第79条 针对控制者或处理者的有效司法救济权

1.在不影响其他任何行政或司法救济的前提下,包括在不影响第77条规定的向监管机构提交申诉的前提下,任何数据主体认为,由于违反本条例而处理其个人数据,导致其被本条例所赋予的权利被侵犯,在这些情形下其都有获取司法救济的权利。

2.针对控制者或处理者的法律诉讼应当在它们拥有机构的成员国的法庭提起。在其他情形下,此类法律诉讼可以在数据主体的经常居住地的法庭提起,除非控制者或处理者是成员国行使其公共权力的公共机构。

第80条 对数据主体的代表

1.数据主体有权委托非盈利机构、实体或协会代表其行使第77、78、79条规定的权利,以及在成员国法律规定的情形下,代表其行使第82条规定的获得赔偿的权利。非盈利机构、实体或协会应具备如下条件:按照成员国法律设立,其章程目标是实现公共利益,在为了保护数据主体的权利与自由而代表个人提起申诉方面表现积极。

2.不论数据主体是否委托,成员国都可以规定,本条第1段所规定的任何机构、组织或协会如果认为本条例所规定的数据主体的权利已经因为处理而受到侵犯,都有权在成员国向第77条规定的有权监管机构提起申诉,行使第78条和第79条规定的权利。

第81条 法律诉讼的中止

1.当一个成员国的有管辖权的法院获知,另一成员国的法院准备对涉及同一个控制者或处理者处理的同一主要事项进行判决,该法院应当通知另一成员国的法院已经存在此类法律程序。

2.当另一成员国法院准备对涉及同一个控制者或处理者处理的同一主要事项进行判决,除了首先接收案件的法院,所有有权审理的法院都可以停止其法律程序。

3.在那些诉讼等待初审的情形中,如果首先接收案件的法院对涉及的活动具有管辖权而且其法律允许合并审理,所有除了首先接收案件的法院都可以基于相关一方的申请而拒绝管辖。

第82条 获取赔偿的权利与责任

1.任何因为违反本条例而受到物质或非物质性伤害的人都有权从控制者或数据者那里获得对损害的赔偿。

2.任何涉及到处理的控制者都应当对因为违反本条例的处理而受到的损害承担责任。对于处理者,当其没有遵守本条例明确规定的对处理者的要求,或者当其违反控制者的合法指示时,其应当对处理所造成的损失负责。

3.控制者或处理者如果证明自己对引起损失的事件没有任何责任,那么其第2段所规定的责任可以免除。

4.当不止一个控制者或处理者,或控制者与处理者同时涉及到同一处理,而且它们对第2段和第3段规定的处理所引起的所有损失承担责任,每个控制者或处理者都应当对损失负有连带责任,以便保证对数据主体的有效赔偿。

5.当控制者或处理者已经根据第4段的规定对所受损失进行全额赔偿,该控制者或处理者可以按照第2段所规定的条件,要求另一控制者或处理者返回其造成的那部分损失。

6.为了行使其获得赔偿的权利,根据第79(2)条的规定,应当在成员国认可的有管辖权的法院提起诉讼请求。

第83条 行政罚款的一般条件

1..每个监管机构都应当保证,其根据本条而对第4、5、6条所规定的违反本条例的行为进行罚款,在每个案件中都应当是有效的、成比例的和劝诫性的。

2.根据每个案件的具体情形,行政处罚应当在第58(2)条的(a)至(h)点以及(j)点规定的措施基础上进行追加,或者应当代替这些措施。当在每个具体案件中决定是否应当进行行政处罚,以及决定行政处罚的金额,应当充分考虑如下因素:

(a)结合相关处理的性质、范围或目的,被影响的数据主体的数量以及损害程度而确定的违法的性质、严重性与持续时间;

(b)违法的性质是基于故意还是过失;

(c)控制者或处理者为了减轻数据主体损失而采取的所有行动;

(d)结合控制者或处理者采取的符合第25条和第32条的技术性与组织性措施而认定的控制者或处理者的责任程度;

(e)控制者或处理者之前的所有相关违法行为;

(f)为了纠正违法行为和减轻违法所造成的可能负面影响而和监管机构进行合作的程度;

(g)为违法行为所影响的个人数据类型;

(h)监管机构得知违法行为的方式,特别是控制者或处理者是否对违法行为进行了报告,以及在何种程度上进行了报告;

(i)如果对同一主题事项已经对控制者或处理者发布第58(2)条规定的措施,对这些措施是否遵守;

(j)遵守符合第40条的已生效的行为准则或符合第42条的已生效的认证机制;以及

(k)对于案件情形可以适用的所有加重或减轻因素,例如因为违法而直接或间接导致的经济收益、避免的损失。

3.如果控制者或处理者故意或过失性地因为同一或相关的处理操作而违反本条例的条款,行政罚款的总额不应当超过最严重违法所确定的额度。

4.违反如下条款,应当按第2段的规定施加最高10 000 000欧元的行政罚款,如果是企业的话,最高可处相当于其上一年全球总营业额2%的金额的罚款,两者取其高的一项进行罚款:

(a)第8,11,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,42和43条规定的控制者和处理者的责任;

(b)第42条和第43条规定的认证机构的责任;

(c)第41(4)条规定的监管机构的责任。

5.违反如下条款,应当按第2段的规定施加最高20 000 000欧元的行政罚款,如果是企业的话,最高可处相当于其上一年全球总营业额4%的金额的罚款,两者取其高的一项进行罚款:

(a)处理的基本原则,包括第5、6、7和9条规定的同意的条件;

(b)第12条至22条规定的数据主体的权利;

(c)第44条至第49条规定的将个人数据转移到第三国或一个国际组织的接收者;

(d)所有第九章规定的符合成员国法律的责任;

(e)违反监管机构根据第58(2)条对处理所发布的命令、或暂时性或确定性的限制,或对数据流动的中止,或违反第58(1)条拒绝提供访问。

6.违反第58(2)条规定的监管机构发布的命令,应当按第2段的规定施加最高20 000 000欧元的行政罚款,如果是集团的话,可以施加最高前一年全球总营业额4%的罚款,两者取其高的一项进行罚款。

7.在不影响符合第58(2)条的监管机构的矫正权力的前提下,每个成员国都可以制定规则,确定在什么情况下对在其境内设立的公共机构和实体进行行政处罚。

8.监管机构行使本条所规定的权力,应当采取符合欧盟和成员国法律所规定的合适的程序性保障,包括有效的司法救济和正当程序。

9.当成员国的法律体系并不提供行政处罚,本条可以以如下方式适用:可以通过有权监管机构提出行政处罚,然后有职权的全国性法院进行适用,同时,应保证那些法律救济是有效的,而且这些法律救济与监管机构所施加的行政处罚具有同等效力。不论在何种情形中,所施加的处罚必须是有效的、成比例的和劝诫性的。那些成员国应当[在本条例生效两年内]将根据本段所制定的法律条款、所有后续的修正性法律或影响它们的法律修订及时告知欧盟委员会。

第84条 惩罚

1.成员国应当制定可适用于违反本条例的其他惩罚的规则,特别是对于那些不受第83条规定的行政处罚约束的违法行为,成员国应当制定必要措施保证这些惩罚规则得到执行。此类惩罚应当是有效的、成比例的和劝诫性的。

2.对于符合第1段所制定的法律,每个成员国的应当[在本条例生效的两年内]将其法律条款告知欧盟委员会,而且应当及时告知影响条款的后续修订。



第九章  和特定处理情形相关的条款

第85条 处理、表达自由与信息

1.成员国应当通过制定法律调和符合本条例制定的个人数据保护权与表达自由权与信息权,包括调和为了新闻目的和学术、艺术或文学表达目的而进行的处理。

2.对于出于新闻目的和学术、艺术或文学表达目的而进行的处理,如果对于调和符合本条例制定的个人数据保护权与表达自由权与信息权有必要,成员国应当对第二章(原则)、第三章(数据主体的权利)、第四章(控制者和处理者)、第五章(个人数据转移到第三国或国际组织)、第六章(独立监管机构)、第七章(合作与一致性)和第九章(特定数据处理的情形)的规定进行豁免或克减。

3.每个成员国都应当将其按照第2段所制定的法律条款告知欧盟委员会,而且应当将所有后续的修正性法律或影响它们的法律修订及时告知欧盟委员会。

第86条 处理与公众对官方文件的访问

为了调和公众对官方文件的访问与本条例规定的个人数据保护权,对于公共机构或公共实体或为了实现公共利益而履行任务的私人实体所拥有的官方文件中的个人数据,机构或实体可以根据成员国为机构或实体而制定的法律而公开。

第87条 对全国性身份识别号码的处理

成员国可以对处理全国性身份识别号码或其他一般性识别标识的特定情形做出规定。在这种情形下,只有对本条例规定的数据主体的权利与自由采取适当安全保障,才能使用全国性身份识别号码或其他一般性识别标识。

第88条 雇佣语境下的处理

1.多个成员国可以通过法律或通过协定制定特定规则,以保证在雇佣语境下处理雇员个人数据保证其权利与自由。这在如下情形中尤其适用:为了招聘、履行雇佣合同,包括法律或集体合同规定的免除合同;对工作的管理、计划与组织;工作场所的合理性与多样性;工作中的健康与安全,对员工与顾客财产的保护;为了行使和享受雇佣相关的权利与收益;以及为了终止雇佣关系。

2.此类规则应当包括为保障数据主体人身尊严、正当利益与基本权利的合适与特定的措施。这在涉及到如下事项时尤其适用:处理的透明性;在一群企业中转移个人数据;或进行联合经济活动的一群企业和工作场所的监管系统。

3.每个成员国应当[在本条例生效的两年内]将其按照第1段所制定的那些法律条款告知欧盟委员会,而且应当及时告知影响条款的后续修订。

第89条 为了实现公共利益、科学或历史研究或统计目的处理中的安全保障与克减

1.为了实现公共利益、科学或历史研究或统计目而处理,应当采取符合本条例的恰当防护措施,保障数据主体的权利与自由。这些防护措施应当确保,为了保证数据最小化原则,已经采取技术与组织性的措施。这些措施可以包括匿名化,如果匿名化也能实现上诉目的。如果在进一步处理中实现对数据主体无法识别也可以实现上诉目的,那就应当采取这种方式处理。

2.对于为了实现公共利益、科学或历史研究或统计目的处理,成员国的法律可以按照本条第1段所规定的情形与防护措施对第15、16、18、21条所规定的权利进行克减——如果此类权利可能彻底阻碍或严重阻碍实现上述目的,而此类克减对于实现上诉目的是必要的。

3.当个人数据处理是为了实现公共利益,欧盟或成员国的法律可以按照本条第1段所规定的情形与防护措施对第15、16、18、19、20和21条规定的权利进行克减——如果此类权利可能彻底阻碍或严重阻碍实现上述目的,而此类克减对于实现上诉目的是必要的。

4.如果第2段和第3段所规定的处理还有其他目的,克减将只适用于为了实现第2段和第3段中所规定的目的的处理。

第90条 保密责任

1.成员国可以制定特定的规则,对第58(1)条(3)和(f)点所规定的、和作为主体的控制者或处理者相关的、全国性有权机构所设立的监管机构的权力进行规定,如果有必要对个人数据保护与保守秘密进行调和与比例性保护,此特定规则可以施加职业性秘密保守责任或其他同等责任。只有在那些保守秘密责任所涉及的活动中或因为此类活动而接收个人数据,此类规则才适用于控制者或处理者。

2.每个成员国的应当[在本条例生效的两年内] 将其按照第1段所制定的那些法律条款告知欧盟委员会,而且应当及时告知影响条款的后续修订。

第91条 现有的的对教会和宗教协会的数据保护规则

1.在本条例生效后,对于适用于某成员国境内教会、宗教协会或团体的保护自然人在处理相关中的综合性规则,如果它们和本条例保持一致,仍然应当适用。

2.对于那些适用符合第1段的综合性规则的教会和宗教协会,其应当接受一个独立监管机构的监管,如果其满足本条例第六章规定的条件,这种独立监管机构可以是特别指定的。



第十章  授权法案与实施性法案

第92条 对授权的行使

1.欧盟委员会享有授权法案的制定权,此权力受本条所规定的条件所约束。

2.第12(8)条和43(8)条所规定的授权应当[在本条例生效后]的一段不确定的时间内赋予给欧盟委员会。

3.第12(8)条和43(8)条所规定的授权可以随时被欧洲议会或欧盟理事会撤销。撤销决定应当终止决定所特别指明的授予性权力。撤销决定生效日是欧盟官方杂志发布后的第二天或决定所特别标明的日期。撤销决定不应影响任何已经生效的授权性法案。

4.欧盟委员会一旦制定授权性法案,其应当立刻同时告知欧洲议会和欧盟理事会。

5.根据第12(8)条和第43(8)条而指定的授权性法案,只有欧洲议会或欧盟理事会在其收到通知后三个月内都没有表达反对,或者在三个月内欧洲议会或欧盟理事会已经告知欧洲委员会它们不会反对,其才能生效。如果欧洲议会或欧盟理事会提出延期,这个期间可以再延长三个月。

第93条 委员会程序

1.欧盟委员会应当有一个小组对其进行协助。该小组应当是(EU) No 182/2011条例所规定的小组。

2.涉及到此段时,(EU) No 182/2011指令第5条应当适用。

3.涉及到此段时,与(EU) No 182/2011指令第5条配合的(EU) No 182/2011指令第8条应当适用。



第十一章 最后条款

第94条  95/46/EC指令的废止

1.在[本条例生效后的两年]后95/46/EC指令将被废止。

2.当参照废止指令时,应当通过参照本条例来进行解释。对于参照工作小组在95/46/EC指令第29条所规定的处理个人数据中个人保护,这应当以参照本条例所规定的欧盟数据保护委员会来进行解释。

第95条 与2002/58/EC的关系

在欧盟的公共通讯网络中提供公众可获取的电子通讯服务的情形中,对于2002/58/EC指令已经施加特殊责任的事项,本条例不应再对同一事项再向自然人或法人施加额外责任。

第96条 和之前已经达成的协议的关系

对于[在此条例生效]之前的,符合[在此条例生效]之前所制定的法律的,涉及到将个人数据传输到第三国或国际组织的成员国之间已经达成的国际性协议,在其被修改、替代或撤销之前,应当一直具有效力。

第97条 委员会报告

1.在[本条例生效后的四年后],以及在这之后的每四年,欧盟委员会应当向欧洲议会和欧盟理事会提交一份对本条例的评价与审查。该报告应当公之于众。

2.在第1段所规定的评价与审查情形中,欧盟委员会应当尤其检查如下事项的适用与运作:

(a)第五章规定的将个人数据转移到第三国或国际组织,特别是按照本条例第45(3)条而做出的决定,以及根据95/46/EC第25(6)条而做出的决定;

(b)第七章规定的合作与一致性。

3.为了实现第1段的目的,欧盟委员会可以要求成员国和监管机构提供相关信息。

4.为了进行第1段和第2段规定的评价与审查,欧盟理事会应当考虑欧洲议会、欧盟理事会以及其他相关实体与生产商的立场与调查。

5.在必要的情形下,欧盟委员会应当提交修改本条例的合适动议,特别是如果考虑了信息科技的发展以及信息社会中的发展状态。

第98条 对欧盟其他数据保护法案的审查

如果合适的话,欧盟委员会应当提交立法性动议,以便对欧盟的其他个人数据保护法案进行保护,以便保证在处理中对自然人进行一致与一致性的保护。这尤其应当涉及到欧盟机构、实体、办公室和规制机构处理中和自然人保护相关的规则,以及此类数据的自由流动。

第99条 生效与适用

1.本条例的生效时间是其在欧盟官方杂志发布后的二十天后。

2.其适用时间是[本条例生效后的两年后]。

本条例的所有条款都具有约束力,而且应当直接适用于成员国。


[1]欧洲议会和欧盟理事会关于公众访问欧洲议会、欧盟理事会与欧盟委员会文件(OJ L 145, 31.5.2001, p. 43)的(EC) No 1049/2001条例。

相关阅读:

《欧盟数据保护通用条例》:十个误解与争议

来源:人大法学院未来法治研究院  

中国知识产权司法保护网(知产法网)主编


蒋志培 中国人民大学法学博士,曾在英国伯明翰大学法学院、美国约翰马歇尔法学院任高级访问学者,中国人民大学法学院、北京外国语大学法学院兼职教授,中国知识产权司法保护网主编、国家社科基金评审委员会专家,最高人民检察院民行诉讼监督案件专家委员会委员,2014年、2015年受美国约翰马歇尔法学院、中国驻加拿大使馆和加方科技部邀请参加知识产权法律和创新论坛并演讲,2013年12月获得中国版权事业卓越成就奖。