查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《互联网法律通讯》
关于与个人数据处理相关的个人数据保护及此类数据自由流动的提案(一般数据保护条例)
【英文标题】 Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)
【作者】 石冰洁(译)任文倩(译)张皓茹(译)胡悦(译)徐美玲(校)
【作者单位】 北京大学法学院{2014级法律硕士}北京大学法学院{2014级法律硕士}北京大学法学院{2015级法律硕士}北京大学法学院{2015级法律硕士}中国青年政治学院{2013级法学硕士}
【分类】 行政管理法【期刊年份】 2016年
【期号】 1【页码】 9
【全文】法宝引证码CLI.A.1242002    
  欧洲委员会
  布鲁塞尔,2012.1.25
  COM(2012)第十一次决议
  2012/0011(COD)
  欧洲议会和理事会
  关于与个人数据处理相关的个人数据保护及此类数据自由流动的提议
  (一般数据保护条例)
  与欧洲经济区相关的文本
  {SEC(2012)72最终决定}
  {SEC(2012)73最终决定}
  解释性备忘录
  1.建议的背景
  这份解释性备忘录进一步详细介绍了COM (2012)9最终决定所列的保护欧盟个人数据的法律框架。这份新的法律框架包含两个立法提案:
  ——欧洲议会和理事会关于与个人数据处理相关的个人数据保护及此类数据自由流动的建议(一般数据保护条例)
  和
  ——欧洲议会和理事会关于通过主管部门的预防、调查、侦查、起诉刑事犯罪或执行刑事处罚来保护个人数据处理及数据自由流动的指令的建议。
  这份解释性备忘录涉及一般数据保护条例的立法建议。
  现有的欧盟数据保护指令(95/46/EC)于1995年通过,其目标有两个:数据保护基本权利保护和、保证个人数据在成员国间自由流通。在保护经由治安和刑事司法合作框架处理的个人资料方面作为联邦层面的一般工具的《欧盟理事会2008/977/JHA号框架决定》是其补充。
  快速的科技发展对个人数据保护带来了新的挑战。数据共享和收集的规模急剧增加。科技使私营企业和公共部门为了从事他们的活动而规模空前地利用个人数据。个人越来越多地使个人信息公开地、全面地可用了。科技改变了经济和社会生活。
  在网络环境中建立信任对于经济发展来说是非常关键的。信任的缺乏使得消费者在网络购物和接受新服务时变得犹豫。这就出现了灵活运用新技术的发展减缓的风险。因此,个人信息保护在欧洲数字化议程,甚至欧洲2020战略中扮演着一个重要角色。
  正如《里斯本条约》所介绍的,《欧盟运行条约》第16条第1款建立了每个人都有权保护有关他/她的个人数据。此外,与《欧盟运行条约》第16条第2款,里斯本条约引入了表决通过个人数据保护规则的特定法律依据。《欧洲联盟基本权利宪章》第8条将个人数据保护规定为一项基本权利。
  欧洲理事会邀请欧盟委员会评估欧盟的数字保护机制的功能,并且在需要之处,进一步提出立法性的和非立法性的法案。在其斯德歌尔摩计划决议中,欧洲理事会推出一全面的欧盟数据保护计划,并在其他国家呼吁修改框架决定。在斯德歌尔摩计划的执行方案中,欧洲委员会强调了确保个人数据保护的基本权利被应用在所有欧盟政策的背景中的必要性。
  在其“欧盟个人数据保护综合方案”的消息中,欧洲委员会断定,就个人数据保护的基本权利,欧盟需要一项更全面清晰的政策。
  就有关的宗旨和原则而言,现有的框架依然是有效的,但是这不能阻止在整个联盟中个人数据保护方式的分裂,法律体系的不稳定以及线上活动尤其存在重大风险的公众的普遍观念。这就是为什么是时候在欧盟建立一个更加强有力、更加清晰的数据保护框架,依靠允许数字经济跨境内市场发展的强执法,使个体能够控制自己的数据并加强对经济交易和公共部门的法律和事件确定性。
  2.利益各方和影响评估的磋商结果
  这一行动是在审查了目前的个人数据保护法律框架的情况下,与所有利益相关者广泛磋商的结果,其进程持续了两年多,包括2009年5月召开的一场高级会议和公开咨询民意的两个阶段:
  ——从2009年7月9日至12月31日,个人数据保护基本权利法律框架的咨询。委员会共收到168条回复,其中,127条来自个人、商业组织和协会,12条来自公共部门。
  ——从2010年11月4日至2011年1月15日,欧洲委员会关于欧盟个人数据保护的综合方案的咨询。委员会共收到305条回复,其中,54条来自公民、31条来自公共部门,220条来自民间组织,尤其是商业协会以及非政府组织。
  对关键的利益相关者进行了有针对性的咨询;2010年6月和7月对成员国政府、私营部门利益相关者以及隐私、数据把偶和消费者组织组织了特殊事件。2010年11月,欧洲委员会副主席雷丁组织了数据保护改革的圆桌会议。2011年1月28日(数据保护日),欧洲委员会和欧盟理事会共同组织了一场高级会议,讨论欧盟法律框架改革以及全球范围内一般数据保护标准的必要性的相关议题。2011年6月16-17日、2011年9月21日,匈牙利和波兰当政委员会分别举办数据保护会议。
  关于特定议题的专题研讨会贯穿了整个2011年。1月,欧洲网络语与信息安全局组织了欧洲数据泄漏通告研讨会。2月,委员会与成员国政府召开会议,讨论警察合作与刑事司法合作的数据保护议题,包括框架决定的执行,基本权利机构举办了“数据保护与隐私”的利益相关者磋商会议。2011年7月13日,国家数据保护部门举办了此次改革关键问题的讨论。2010年11月—12月举办的欧洲晴雨表调查对欧盟的公民进行了咨询。许多学术研究也已经启动。“第29条工作小组”对委员会提供了一些观点和有用的信息。针对委员会2010年11月的交流中提出的议题,欧洲数据保护主管提出了一份全面的意见。
  在2011年7月6日的决议中,欧洲议会批准了一份报告,支持委员会改革数据保护框架的方法。2011年2月24日,欧洲委员会釆用的结论中,广泛支持委员会改革数据保护框架的意图,并对委员会方法中的多种要素表示同意。欧洲经济与社会委员会同样对委员会对95/46/EC指令做出适当的修改,以在所有成员国之间确保欧盟数据保护规则更持续性应用。
  在对综合方案的磋商中,大多数利益相关者都同意一般原则依然有效,但是为了更好地回应新技术(尤其是在线的)的快速发展和日益全球化造成的挑战,有必要适应现有框架,同时保持法律框架的技术中立。针对目前欧盟个人数据保护的碎片化状态,已有严厉的批评提出,尤其是呼吁增强法律确定性和个人数据保护规则协调性的经济利益相关者。个人数据国际转移规则的复杂性被认为对其运营构成了实质性障碍,以为他们通常需要将个人数据从欧盟转移到世界其他地方。
  与其“更好的规制”政策一致,委员会进行了一场政策选择的影响评估。这项影响评估基于改善数据保护国内市场维度的三个政策目标,时个人行使数据保护权时更加高效,并建立了一个覆盖全部欧盟权限领域的全面可持续的框架,包括刑事案件的警方合作和司法合作。三个不同干预程度的政策选择被评估:第一个选择包括最小的立法修正、理论诠释的利用,以及如筹资方案和技术工具的政策支持措施;第二个选择包含一套解决分析中确定的每一个议题的立法规定;第三个选择是通过对所有部门的精确详细的规则的欧盟层面的数据保护的集中化,并建立一个对这些规定的欧盟监测和执法机构。
  根据委员会建立的方法,每一个政策选择在一个军种间指导小组的帮助下,对其实现政策目标的效率、对利益相关者(包括欧盟机构预算内的)的影响、社会影响和基本权利的作用进行评估。环境影响没有被观察。总体影响的分析导致目前提议的优先政策选择是在第二张选择的基础上,融合一些另外两种选择的要素。根据影响评估,其实现将尤其导致对数据控制者和公民的法律确定性、行政负担的减少、欧盟内部数据保护执法的一致性、个人在欧盟内部有效行使数据保护权利以保护其个人数据的可能性以及数据保护监管和执法的效率得到可观的改善。优先政策选择的实施也将有助于简化委员会的目标、减少行政负担,有助于欧洲数字化议程、斯德歌尔摩行动计划和欧洲2020战略的目标。
  2011年9月9日,影响评估委员会发表了影响评估草案的意见。由影响评估委员会的意见来看,对影响评估做了以下更改:
  ——当前法律框架的目标(它们在多大程度上已经被实现,在多大程度上没有被实现),所设想的改革目标已经被阐明;
  ——问题的定义部分增加了更多的证据和额外的解释/澄清;
  ——增加了比例原则部分;
  ——基准情景和优先选择中的所有与行政负担相关的计算和估计都已经完成审查和修订,通知成本和总体分散成本之间的关系已经阐明(包括附件10);
  ——数据保护官员和数据保护影响评估对微型、中小型切的影响已经被更详细地说明。
  影响评估报告和一份执行摘要与这份提议一起发表。
  3.本提议的法律要素
  3.1法律根据
  本提议的法律依据是《欧盟运行条约》第16条,这是《里斯本条约》引入的数据保护规则的新法律依据。本条款允许当成员国在欧盟法律范围内实施活动时对个人数据的处理有关的个人对数据的保护相关规则的采用。它还允许个人数据自由流动相关的规则,包括成员国或行政相对人处理的个人数据。
  一个规则被认为是在为欧盟个人数据保护框架定义的最合适的法律文书。根据《欧盟运行条约》第288条,而对一个规则进行直接适用,将会减少法律破碎化,通过引入一套统一的核心规则、改善个人基本权利的保护,并有助于内部市场运行,从而提供更大的法律确定性。
  只有当需要将2002/58/EC号指令(隐私与电子通信指令)修订到该指令也提供法人合法利益的保护的程度时,才需要参考《欧盟运行条约》第114条第1款。
  3.2辅助性原则和比例原则
  根据辅助性原则(《欧盟条约》第5条第3款),只有当成员国不能充分实现所设想的目标才能釆取联盟层面的行动,但相反,由于所建议的行动的规模或者影响,将会被联盟更好地实现。针对上述问题,辅助性原则分析表明基于下述理由的欧盟层面行动的必要性:
  ——《欧盟基本权利宪章》第8条规定的个人数据保护权,要求在整个联盟内部的相同级别的数据保护。欧盟普遍规则的缺失将会产生成员国间保护的级别不同,在使用不同标准的成员国间产生个人数据跨境流动的限制。
  ——个人数据的跨界传输,无论是内部边界还是外部边界,都在以高增长率增长。此外,还有实施数据保护立法的现实挑战和成员国及其政府部门间的合作的必要,这就需要从欧盟层面进行组织,以确保欧盟法律的统一适用。当个人数据被传输至第三国时,欧盟也是确保相同级别个人保护的有效性和持续性的最佳选择。
  ——成员国并不能单独加少当前形势下的问题,尤其是由于国家立法所导致的破碎化产生的问题。因此,特别需要建立一个允许个人数据在欧盟内部顺利传输,同时又确保欧盟所有个人得到有效保护的统一的、持续的框架。
  ——由于这些问题的性质和规模,拟议的欧盟立法行动将会比成员国层面的类似行动更加有效,这些问题不局限于一个活几个成员国的层面。
  比例原则要求任何干预都是有针对性的,且不超越实现目标所需要的范围。从替代政策选择的识别和评价到立法建议的起草,这一原则都在为本提议提供指导。
  3.3基本权利问题总结
  个人数据保护权是由《欧盟基本权利宪章》第8条、《欧盟运行条约》第16条和《欧洲保护人权和基本自由公约》第8条确立的。根据欧盟法院强调,个人数据保护权并不是一项绝对权力,但必须考虑其与在社会中的功能。数据保护与《欧盟基本权利宪章》第7条所保护的尊重私人和家庭生活密切相关。这在95/46/EC号指令的第1条第1款有所反应,该条文规定,成员国应当保护自然人的基本权利和自由,尤其是处理个人数据时的隐私权。
  《欧盟基本权利宪章》中规定的其他可能受到影响的基本权利如下:言论自由(第11条);营业自由(第16条);财产权,尤其是智慧财产权(第17条第2款);禁止任何基于种族、血源、面容外貌、宗教与信念、政治或任何其它意见、残障或性倾向之歧视(第21条);儿童权利(第24条);高水平的人体健康保护权(第35条);取得文件之自由(第42条);有效救济与公平审判之权利(第47条)。
  3.4本提议的详细解释
  3.4.1第一章—一般规定
  第一条 定义了本条例的主题,就像95/46/EC指令第一条一样,设立本条例的两个目标。
  第二条 确定本条例的适用范围。
  第三条 确定本条例的地域范围。
  第四条 包含本条例中用到的术语的定义。然而有一些定义是从95/46/EC指令中借用而来,其他的是修改、用额外要素补充或者新引进而来(基于2002/58/EC号指令(隐私与电子通信指令)中第2条h款网络隐私的“个人数据泄漏”是由2009/136/EC指令修改而来,“基因数据”、“生物特征辨识数据”、“健康数据”、“主要机构”、“代表”、“企业”、“事业集团”、“绑定企业规则”,以及基于《联合国儿童权利公约》的“儿童”,以及“监管机构”)。
  在同意的定义中,为了避免与“不含糊的”同意的类似混淆,添加了“明确的”标准,以对同意有一个单一一致的定义,确保数据主体对他/她所同意的事物的意识。
  3.4.2第二章—原则
  第五条 制定了与个人数据处理相关的原则,这与95/46/EC号指令的第6条所对应。新增的要素主要是透明度原则、数据澄清的最小化原则以及控制者综合责任和义务的建立。
  第六条 根据95/46/EC号指令的第7条,制定了合法处理的标准,进一步规定利益标准、遵守法律义务与公共利益的平衡。
  第七条 阐明同意的条件作为合法处理的法律依据是效的。
  第八条 为与直接向儿童提供的的信息社会服务相关的儿童个人数据处理的合法性提出了进一步的条件。
  第九条 根据95/46/EC号指令的第8条,提出了处理特殊类别的个人数据的一般禁止,以及这个一般规则的例外情形。
  第十条 阐明控制者没有义务为了遵守本条例任一条款的唯一目的而需要数据主体而获取额外的信息。
  3.4.3第三章—数据主体的权利
  3.4.3.1第一节—透明度和形式
  第十一条 引入了控制者有义务提供透明的、容易获得的和可以理解的信息,尤其是受到马德里国际标准规则在个人数据和隐私保护的启发。
  第十二条 要求控制者提供行使数据主体权利的程序和机制,包括电子请求的方式,要求在一定的最后期限内回复数据主体的请求,以及拒绝的动机。
  第十三条 根据95/46/EC号指令的第12条c款,提出了接受者相关的权利,并扩展到包括共同控制者和处理者在内的所有接受者。
  3.4.3.2第二节—信息和数据访问
  第十四条 根据95/46/EC号指令的第10条和第11条,进一步规定控制者相对于数据主体的信息义务,向数据主体提供额外的信息,包括在存储器件,提起诉讼的权利,与国际传输和数据原始来源相关。也维护95/46/EC号指令中可能的减损,例如,如果纪录或者披露是由法律明确规定的,将不会存在这样的义务。这可以通过竞争监管机构税务或海关部门,或者社会安全问题监管机构申请示例程序。
  第十五条 根据95/46/EC号指令的第12条a款以及新增一些要素,提出数据主体访问其个人数据的权利,如,向数据对象通知存储期间,改正、擦除以及提起诉讼的权利。
  3.4.3.3第三节—改正和擦除
  第十六条 根据95/46/EC号指令的第12条b款,提出数据主体的改正权。
  第十七条 提出数据主体的被遗忘权和擦除权。根据95/46/EC号指令的第12条b款,进一步阐述了擦除权,并提出被遗忘权的条件,包括根据数据主体的请求,使个人数据公开化的控制者有义务通知第三方删除个人数据的任何链接、副本或者复制件。还整合了在特定情况下限制处理的权利,以避免模棱两可的术语“阻塞”。
  第十八条 引入了数据主体移植数据的权利,即,将个人数据从一个电子处理系统传输至另一个,而不被控制者阻止。作为一个前提,也为了进一步改善个人对其个人数据的访问,提出以结构化的和常用的电子格式从控制者处取得那些数据的权利。
  3.4.3.4第四节—提出异议权
  第十九条 提出数据主体提出异议的权利。基于95/46/EC号指令的第14条,以及一些修正,包括举证责任及其在直销中的应用。
  第二十条 数据主体的权利不受制于基于分析的测量。基于一些修正和额外的保护,95/46/EC号指令的第15条第1款的自动化个人决策,并考虑到了欧洲委员会关于分析的建议。
  3.4.3.5第五节—限制条件
  第21条阐明联盟或成员国有权维护或者引入第五条所主张的原则以及第11-20和第32条所主张的数据主体的权利的限制条件。这一条款是基于95/46/EC号指令的第13条、源于《欧盟基本权利宪章》的要求以及欧盟法院和欧洲人权法庭对《人权和基本自由欧洲公约》的解读。
  3.4.4第四章—控制者和处理者
  3.4.4.1第一节—一般义务
  第二十二条 考虑了关于“问责制原则”的辩论,详细描述了控制者遵守本条例的责任义务,并对遵守进行论证,包括通过内部政策的接受方式以及确保遵守的机制。
  第二十三条 提出由设计和默认情况下的数据保护原则引发的控制者的义务。
  第二十四条 真对共同控制者,阐明了关于它们内部关系以及面向数据主体的责任。
  第二十五条 在本条例适用于其处理活动的情况下,赋予了不在联盟范围内成立的控制者在特定条件下要在联盟中指定一名代表的义务。
  第二十六条 部分基于95/46/EC号指令的第17条第2款,并新增的要素,阐明了处理者的地位和义务,包括,如果处理者超出控制者指令的范围对数据进行处理,则将会被认为是一个共同控制者。
  第二十七条 基于95/46/EC号指令的第16条,关于控制者和处理者权限下的处理程序。
  第二十八条 引入了控制者和处理者在其责任下维护处理操作文档的义务,而不是95/46/EC号指令的第18条第1款和第19条要求的对监管机构的一般通知。
  第二十九条 阐明了控制者和处理者与监管机构合作的义务。
  3.4.4.2第二节—数据安全
  第三十条 根据95/46/EC号指令的第17条第1款,规定了控制者和处理者釆取适当的安全处理措施的义务,并扩展了处理者的义务,不论其与控制者之间的合同如何约定。
  第三十一条 和第三十二条根据2002/58/EC号指令(隐私与电子通信指令)的第4条第3款关于个人数据泄漏通知的规定,引入了个人数据泄漏的通知义务。
  3.4.4.3第三节一数据保护影响评估和优先授权
  第三十三条 引入了控制者和处理者在风险处理操作之前,实施数据保护影响评估的义务。
  第三十四条 根据95/46/EC号指令的第20条优先校验的概念,规定了监管机构的授权和磋商强制地优先于处理程序。
  3.4.4.4第四节—数据保护官员
  第三十五条 强制要求公共部门设立数据保护官员,在私营部门,大型企业或者控制者或处理者的核心活动包括需要定期常规监控的处理操作。这是基于95/46/EC号指令的第18条第2款而引入的,该条款为成员国引入这些要求作为一般通知要求的替代。
  第三十六条 陈述数据保护官员的地位。
  第三十七条 提出数据保护官员的核心任务。
  3.4.4.5第五节—行为准则和认证
  第三十八条 根据95/46/EC号指令的第27条第1款中的概念,关注行为准则阐述准则的内容和程序为委员会决定一般行为准则的有效性做准备。
  第三十九条 引入了建立认证机制和数据保护数据封存和标记的可能性。
  3.4.5第五章—个人数据向第三国或者国际组织的传输
  第四十条 清晰讲述了作为一般原则,任何将个人数据向第三国或者国际组织传输,包括向前传输,都必须强制遵守有关章节的义务。
  第四十一条 根据95/46/EC号指令的第25条,设立了接受委员会作出的适当决定的标准、条件和程序。委员会评估一项保护水平是否适当时需要考虑的标准应当明确包括法治、司法救济和独立监督。本条款明确确认了委员会评估一项由第三国领土或者处理部门提供的保护水平的可能性。
  第四十二条 若向没有委员会接受的适当决定的第三国传输个人数据,则要求其提出适当的保护措施,尤其是标准数据保护条款、有约束力的企业规则和合同条款。利用委员会标准数据保护条款的可能性是基于95/46/EC号指令的第26条第4款的基础而提出的。作为一个新的组成部分,目前此标准数据保护条款也可能会被监管机关釆用,被委员会宣布普遍有效。有约束力的企业规则是目前在法律文本中特别提到的。合同条款的选择给了控制者和处理者相当的灵活性,但是仍须经监管机构的事先授权。
  第四十三条 基于当前的实践和监管机关的要求,进一步详细描述以约束企业规则的方式进行传输的条件。
  第四十四条 根据95/46/EC号指令的第26条的现有规定,清晰地描述了数据传输的减损。这尤其适用于保护重要公共利益所要求和需要的数据传输,例如,竞争机构之间、税收或海关部门,或者社会安全事务或者渔业管理部门之家的国际数据传输。此外,在有限的情况下,从控制者和处理者的合法利益上说,数据传输可能是合乎情理的,但必须已经评估并记录此项传输操作的环境。
  第四十五条 明确规定了委员会与第三国的监管机构之间个人数据保护的国际合作机制,尤其是被认为提供适当水平的保护,将2007年6月12日经济合作与发展组织(经合组织)的推荐考虑到执行隐私保护法的跨境合作中。
  3.4.6第六章—独立的监管机构
  3.4.6.1第一节—独立地位
  第四十六条 根据95/46/EC号指令的第28条第1款,要求成员国建立监管部门,并加大监管部门之间以及监管部门与委员会之间的合作的任务。
  第四十七条 受到欧洲议会和理事会45/2001号条例第44条的启发,阐明了监管机构实施欧盟法院的判例法时独立的条件。
  第四十八条 受欧洲议会和理事会45/2001号条例第42条第2-6款启发,为监管机构的成员实施相关的判例法提供了一般条件。
  第四十九条 制定成员国通过法律建立监管机构的规则。
  第五十条 根据95/46/EC号指令的第28条第7款,主张监管机构成员和员工的职业性保密。
  3.4.6.2第二节一职责和权力
  第五十一条 陈述监管机构的权限。基于95/46/EC号指令的第28条第6款(在其成员国领土范围内的权限),如果一个控制者或者处理者建立在几个成员国内,此一般规则就会被当做最主要的权力来实施,以确保应用的统一性(一站式服务)。
  第五十二条 提出监管机构的职责,包括接听并调查投诉,促进公众的风险、规则、保护和权利意识。
  第五十三条 根据95/46/EC号指令的第28条第3和欧洲议会和理事会45/2001号条例第47条,并增加一些新的要素,提出监管机构的权力,如制裁行政犯罪的权力。
  第五十四条 根据95/46/EC号指令的第28条第5款,赋予监管机构制定年度活动报告的义务。
  3.4.7第七章—合作与一致性
  3.4.7.1第一节—合作
  第五十五条 根据95/46/EC号指令的第28条第6款的第二小段,引入强制互助的明确规则,包括不遵守另一监管机构的要求的后果。
  第五十六条 受2008/615/JHA号理事会决定第17条启发,引入联合操作的规则,包括监管机构参与此操作的权利。
  3.4.7.2第二节—一致性
  第五十七条 引入一项一致性机制,以确保与涉及到几个成员国数据主体的处理操作有关的应用的统一。
  第五十八条 制定了欧洲数据保护委员会的意见的程序和条件。
  第五十九条 关注委员会关于在一致性机制下处理的事务的意见,它可能强化欧洲数据保护委员会的意见或者表达一项分歧意见,以及监管机构的措施草案。欧洲数据保护委员会已经在第58条第3款下提出了这件事,可以预期,委员会将会行使其自由裁量权,并发表所需要的意见。
  第六十条 关注委员会要求当需要确保本条例的正确适用时,主管当局暂停其措施草案的决定。
  第六十一条 提出了在紧急程序中釆用临时措施的可能性。
  第六十二条 提出委员会在一致性机制下实施行动的要求。
  第六十三条 提出执行有关成员国监管机构的措施的义务,并规定一致性机制的应用是相应措施的法律效力和执行的先决条件。
  3.4.7.3第三节—欧洲数据保护委员会
  第六十四条 建立欧洲数据保护委员会,由每一成员国数据监管机构的主管和欧洲数据保护监督员组成。欧洲数据保护委员会取代了基于95/46/EC号指令的第29条设立的关于个人数据处理的保护工作组。委员会已经被明确阐述并非欧洲数据保护委员会的成员,但是有权参与活动并作为代表。
  第六十五条 强调并阐述了欧洲数据保护委员会的独立性。
  第六十六条 根据95/46/EC号指令的第30条第1款,描述了欧洲数据保护委员会的任务,并提出一些额外的要素,反映出欧洲数据保护委员会在欧盟内外的日益增加的活动规模。为了能在紧急情况下做出反应,提出委员会在特定时限内征求意见的可能性。
  第六十七条 根据95/46/EC号指令的第30条第6款,要求欧洲数据保护委员会每年提供活动报告。
  第六十八条 制定了欧洲数据保护委员会的决策制定程序,包括釆用也应当扩展到操作性安排的程序规则的义务。
  第六十九条 包含了欧洲数据保护委员会主席和副主席的有关规定。
  第七十条 制定了主席的任务。
  第七十一条 规定欧洲数据保护委员会的秘书处应当由欧洲数据保护监督员提供,并指定了秘书处的任务。
  第七十二条 提出了保密规则。
  3.4.8第八章—救济、责任和制裁
  第七十三条 根据95/46/EC号指令的第28条第4款,提出任何数据主体都有权对监管机构提出控告。也制定了在个人数据泄露的情况下,可以代表数据主体或者独立于数据主体的投诉之外来提起投诉的机构、组织或者协会。
  第七十四条 根据95/46/EC号指令的第28条第3款的一般规定,提出针对监管机构的司法救济权。专门提出要求监管机构对投诉作出行动的司法救济,并阐述了监管机构所在成员国的法院的权限。还提出数据主体所属成员国的监管机构可能在当局监管机构所在的另一个成员国的法院之前代表数据主体提起诉讼程序的可能性。
  第七十五条 根据95/46/EC号指令的第22条,阐述针对控制者或处理者的司法救济权,并可以在被告所在的成员国法院或数据主体所在的成员国法院中作出选择。当涉及相同事项的诉讼都在一致性机制下未决时,法庭可以暂停其诉讼,紧急情况除外。
  第七十六条 制定了法庭审理程序的一般规则,包括机构、组织或者协会在法庭之前代表数据主体的权利,监管机构参与法律程序和平行诉讼中其他成员国法院的信息的权利,以及法庭在这种情况下暂停诉讼的可能性。成员国有义务确保快速的法庭行动。
  第七十七条 根据95/46/EC号指令的第23条,制定了取得补偿的权利和责任,并将这项权利扩展到处理者引起的损失,阐述了共同控制者和共同处理者的责任。
  第七十八条 要求成员国制定处罚规则,制裁违反本条例的行为,并确保其实施。
  第七十九条 要求每一个监管机构制裁本条例目录中列出来的行政犯罪,结合每一个案件的情况,实施最大数额的罚款。
  3.4.9第九章—特定数据处理情况的相关规定
  第八十条 赋予成员国当协调个人数据保护权与言论自由权所需要时,财务本条例免税和减损的具体规定。这建立在欧盟法院对95/46/EC号指令的第9条的解释的基础上。
  第八十一条 加上特殊类别数据的条件,赋予成员国出于健康目的确保诉讼程序具体保障。
  第八十二条 赋予成员国在就业环境下为处理个人数据采用特定法律的授权。
  第八十三条 制定了基于历史的、统计的和科学研究目的而处理个人数据的特定条件。
  第八十四条 在控制者必须遵守保密义务得前提下,赋予成员国在访问个人数据时对监管机构釆取特定规则的权利。
  第八十五条 根据《欧盟运行条约》第17条,如果与本条例接轨,则允许教会现有的全面的数据保护规则的持续应用。
  3.4.10第十章—委托行为和实施行为
  第八十六条 根据《欧盟运行条约》第290条,包含了委托实践的标准条款。这就允许立法者向委员会委托釆取一般应用的非立法性的行为补充或者修改立法的某些不必要的要素的权力。(准立法行为)
  第八十七条 包含了若根据《欧盟运行条约》第291条的相同条件,实施具有法律约束力的行为是必须的情况下,向委员会授予执行权所须的委员会程序的规定。
  3.4.11第十一章—最终条款
  第八十八条 废除95/46/EC号指令。
  第八十九条 阐述与2002/58/EC号指令(隐私与电子通信指令)之间的关系及对其修改。
  第九十条 赋予委员会评估本条例并提交相关报告的义务。
  第九十一条 制定了本条例的生效日期以及与其应用日有关的过渡阶段。
  4.财政预算的影响
  正如在伴随本提议的立法财物报表中详细说明的,本提议的具体财政预算的影响与分派给欧洲数据保护监督员的任务有关。这些影响需要财物维度中的前五个的重新安排。
  本提议对运营支出没有影响。
  为规定而伴随本提议的立法财物报表涵盖了对规定自身的财政预算影响和对数据保护警方和司法指令的财政预算影响。
  2012/0011(COD)
  欧洲议会和理事会
  关于与个人数据处理相关的个人数据保护及此类数据自由流动的提议
  《一般数据保护条例》
  与欧洲经济区相关的文本
  欧洲议会和欧盟理事会,
  参照《欧洲运行条约》,尤其是其中的第16条第2款和第114条第1款,
  在向国家议会传达立法草案之后,
  参照欧洲经济与社会委员会的意见,
  在咨询欧洲数据保护监督员之后,
  依照普通立法程序,
  鉴于:
  (1)保护自然人的个人数据处理是一项基本权利。《欧盟基本权利宪章》第8条第1款和第16条第1款主张每个人都有权保护涉及到他/她的个人数据。
  (2)处理个人数据的目的是为人服务;不论国籍和住所,个人数据处理保护的原则和规则应当尊重他们的基本权利和自由,尤其是个人数据保护权。它应当有助于成就一个地区的自由、安全和公正,一个经济联盟的经济和社会进步,内部市场经济的强化和聚集,以及个人的福祉。
  (3)欧洲议会和理事会在1995年10月24日做出了95/46EC号指令,这一涉及保护个人数据处理和数据自由流动的指令力图协调基本权利保护与有关自然人处理活动的自由,并保证个人数据在成员国之间的自由流动。
  (4)内部市场运行导致的经济和社会整合引起了个人数据跨境流动的大幅提升。整个欧盟内经济参与者与社会参与者、公共参与者与私人参与者之间的数据交换增加。欧盟法律号召成员国的国家机构加强合作和个人数据交换,以便能够履行其职责或者代表另一个成员国的机构执行任务。
  (5)飞速的科技发展和全球化对个人数据保护带来了新的挑战。数据共享和收集规模惊人地增加。技术允许私营企业和公共机构为了从事他们的活动而空前规模地利用个人数据。个人日益使个人信息可以公开地、广泛地获取。科技改变了经济和社会生活,要求进一步促进数据在欧盟内部的自由流动以及向第三国和国际组织的传输,同时确保对个人数据的高水平保护。
  (6)考虑到在内部市场建立允许数字经济发展的信任的重要性,这些发展需要依靠强有力的执法,在欧盟建立一个强有力的、更加清晰地数据保护框架。个人应当控制他们自己的个人数据,对个人、经济运营者和公共机构的法律和实践的确定性应当得到加强。
  (7)95/46EC号指令的宗旨和原则依然是有效的,但是这不能阻止在整个联盟中个人数据保护方式的分裂,法律体系的不稳定以及线上活动尤其存在重大风险的公众的普遍观念。对个人权利和自由的保护水平的差异,尤其是成员国提供的对有关个人数据处理的个人数据保护权,可能妨碍个人数据在整个欧盟内的自由流动。这些差异可能会因而对欧盟层面的经济活动构成障碍,扭曲竞争,阻碍政府在欧盟法律下履行它们的职责。保护水平的差异源于95/46EC号指令的实施和应用存在差异。
  (8)为了确保个人保护的一致性和高水平,并移除个人数据流动的障碍,所有成员国内的关于数据处理的个人权利和自由的保护水平应当相等同。应当在整个欧盟内保证保护关于个人数据处理的自然人的基本权利和自由的原则的一致的、同质的应用。
  (9)在整个欧盟内高效的个人数据保护要求强化并细述数据主体的权利以及个人数据处理的处理者和决定者的义务,但也需要监控和确保遵守个人数据保护规则的同等权利,以及成员国对犯罪者等同的制裁。
  (10)《条约》第16条第2款授权欧洲议会和理事会制定关于个人数据处理的个人保护规则以及有关个人数据自由流动的规则。
  (11)为了确保整个欧盟内对个人保护水平的一致性,阻止分歧阻碍内部市场中的数据自由流动,需要制定一个条例,为包括微型和中小型企业在内的经济运营者提供法律确定性和透明度,为所有成员国的个人提供相同级别的法定权利和义务以及控制者和处理者的职责,确保个人数据处理的一致性监督,所有成员国等同的制裁,以及不同成员国的监管机构之间的高效合作。考虑到微型和中小型企业的具体情况,本条例包括了一些减损。此外,鼓励欧盟机构和法人、成员国及他们的监管机构在应用本条例时考虑微型、中小型企业的具体需求。微型、中小型企业的概念应当参照涉及微型、中小型企业定义的2003年5月6日的2003/361/EC号委员会建议。
  (12)本条例为个人数据处理相关的自然人提供保护,不论其国籍和住所。至于与法人,尤其是作为法人而成立的事业法人有关的数据的保护,包括法人的名称、形式和联系方式,本条例中的保护不得被任何人主张。当法人的名称包含一个或者多个自然人的名称时同样适用。
  (13)对个人的保护应当技术中立,不应当依赖于所使用的技术;否则将会产生严重的规避风险。对个人的保护适用于自动或者手动处理的个人数据处理,如果这些数据已经被包含或者即将被包含在一个文件编排系统中。未根据特定标准编排的文件或者一套文件及他们的封面,不应当属于本条例的范围内。
  (14)对于欧盟法律范围外的活动相关的数据,本条例没有规定解决其基本权利和自由以及自由流动,也没有涉及欧盟机构、法人、办事处和代理处的个人数据处理,这些由欧盟45/2001号条例管辖,也不包括成员国在执行与欧盟一般外交和安全政策有关的个人数据处理。
  (15)本条例不适用于自然人对完全个人的或者家庭的个人数据的处理,比如信件和定居地址,且没有任何有利可图的利益,与专业活动或者商业活动没有任何关系。此豁免也不应当适用于为这些个人的或者家庭的活动提供个人数据处理手段的控制者或者处理者。
  (16)主管机关出于预防、调查、侦查或者起诉刑事犯罪或者执行刑事处罚的目的而进行的有关个人数据处理的个人保护,以及这些数据的自由流动,是欧盟级别的具体法律文件的主体。因此,本条例不适用于基于那些目的的处理活动。然而,公共机构在本条例下为了预防、调查、侦查或者起诉刑事犯罪或者执行刑事处罚的目的而处理的数据应当被欧盟级别的更加具体的法律文件来支配。(XX/YYY号指令)。
  (17)本条例不应当影响2000/31/EC号指令的适用,尤其是该指令第12条到第15条中所规定的中介服务提供商的职责规则。
  (18)当适用本条例制定的规定时,本条例允许考虑公众访问官方文件的原则。
  (19)当在欧盟建立控制者或者处理者的情况下,任何个人数据处理都应当依照本条例执行,无论处理本身是否发生在欧盟内。通过稳定安排,建立意味着活动的的高效的、真实的实践。无论通过分公司还是具有法人资格的子公司,这样的安排的法律形式在这一点上都不是决定性因素。
  (20)为了确保个人不被剥夺他们在本条例下被赋予的保护,不在欧盟内部建立的控制者对欧盟内的数据主体的个人数据处理应当受本条例管辖,当处理活动与向这些数据主体提供商品或者服务有关时,或者与对这些数据主体的行为监控有关时。
  (21)为了决定一个处理活动是否能被认为是监控数据主体的行为,应当确定个人是否用包含将摘要适用于个人的数据处理技术启动互联网跟踪显示系统,特别是为了做出有关她/他的决定或者分析或者预测她的/他的个人喜好、行为和态度。
  (22)在一个成员国的国家法凭借国际公法而适用的情况下,本条例适用于建立在欧盟之外的控制者,例如建立在成员国的使馆或者领馆。
  (23)保护的原则应当适用于任何有关被识别的或者可识别的人的信息。要确定一个人是否为可识别的,需要将控制者或者其他人为了识别个人而相当可能要采取的所有手段都纳入考虑范围内。数据保护的原则不应当适用于已经通过使数据主体不再可识别而匿名化的数据。
  (24)在使用在线服务时,个人可能会与具有其装置、应用程序、工具和协议的网络识别者相关,如互联网通信协议地址或者缓存数据标识符。这可能会留下痕迹,结合独特的标识符和服务器接收的其他信息,被用于为用户创建一个文件并识别他们。由此得出结论,身份证号码、位置数据、网络标识符或者其他特定要素不一定在所有情况下都被视为个人数据。
  (25)应当通过任何实现数据主体自由给出的特定的和知悉的表示的意愿实现的适当方式明确给出同意,通过声明或者数据主体的明确肯定行行动,确保个人知道他们已经对个人数据处理表示同意,包括访问互联网网站时的点击或者通过其他清晰地表示数据主体接受拟议的对其个人数据的处理的声明或者行为。因此,沉默或者不活动不应当构成同意。同意应该覆盖到所有基于相同目的或者用途而实进行的处理活动。如果数据主体的同意是基于电子化请求而给出,那么此请求必须是清楚、简洁并且对使用它所提供的服务来说不是多余的混乱的。
  (26)与健康情况相关的个人数据尤其应当包括关于数据主体健康状态的所有数据;关于供给健康服务的个人注册信息;关于个人医疗保健的支付或者资格的信息;基于健康目的,为了唯一地识别个人而指定的数字、符号或特定的分配;在提供医疗服务过程中所收集的任何个人信息;来源于对身体部位或者整体物质的测试或检查的信息,包括生物样本;医疗保健提供商对个人的鉴定;或者任何其他关于疾病、残疾、疾病风险、病史、临床治疗或者独立于其源头的数据主体的实际生理或者生物医学状态的信息,例如来源于医生、或者其他健康专业人士,意愿,医疗设备或者体外诊断测试。
  (27)欧盟内控制者的主营业地应当根据客观标准确定,且应当包含通过稳定的安排决定关于目的、条件和处理手段的主要决定的管理活动的高效和实际实践。此标准不应当取决于个人数据处理是否在那个位置实际进行;用来个人数据处理或者处理活动的技术手段和技术本身的存在和使用,不应当构成这样的主营业地,因此不是主营业地的决定性标准。欧盟内处理者的主营业地应当是其管理中心所在地。
  (28)事业群应当包括一个控制事业和它所控制的事业,控制事业应当可以对其他事业施以支配性影响,例如,通过所有权,金融参与或者支配规则或者实施个人数据保护规则的权利。
  (29)儿童的个人数据保护应当得到特殊的保护,因为他们可能不知道风险、后果、保障措施以及他们所享有的个人数据处理的相关权利。为了确定一个个体何时为儿童,本条例应当沿用《联合国儿童权利公约》中制定的定义。
  (30)任何与所涉个人有关的个人数据的处理都应当是合法的、公平的且透明的。特别地,处理数据的特定目的在收集数据时就应当是明确的、合法的且坚决的。数据应当是适当的、相关的且限制在处理数据的目的所需要的最小范围内;这就特别要求确保所收集的数据不是过度的,并且数据存储的期间被限制到严格的最小值。只有当处理的目的不能通过其他手段实现时,才应当处理个人数据。应当釆取一切合理步骤确保不准确的个人数据已经被纠正或者删除。为了确保这些数据的保存期不会超出所需要的时间,控制者应当建立擦除或者定期审议的时间限制。
  (31)为了使处理是合法的,应当在相关人的同意或者一些其他合法的基础上对个人数据进行处理,正如本条例中提及的本条例或者其他欧盟法或者成员国法律中规定的。
  (32)在处理是基于数据主体的同意的情况下,控制者应当有责任证明数据主体已经对处理操作作出了同意。特别是在对另一个问题的书面声明的情况下,保障措施应当确保数据主体知悉并给了多大程度的同意。
  (33)为了确保自由同意,应当阐明此同意并没有为个人没有真正的、自由的选择,并且随后无法拒绝或者无损害的撤回同意的情形提供一个有效的法律依据。
  (34)同意不应当为数据主体和控制者之间存在明显的不平衡的情形下的个人数据处理提供一个有效的法律依据。尤其是在数据主体处于依赖控制者的处境的情况下,尤其是,在雇佣关系中,雇主对雇用员工的个人数据处理的情况下。在控制者是公共机构的情况下,公共机构可以凭借其相关的公共权力施加义务,考虑到数据主体的利益,其同意不可以被视为是自由作出的,只有在这种情况下,具体的数据处理中将会存在不平衡。
  (35)在合同或者即将订立合同这种必要的情况下,处理应当是合法的。
  (36)在按照控制者服从的法定义务进行处理的情况下或者在为了公共利益执行任务而需要进行处理的情况下,或者在官方机构的实践中,处理应当有欧盟法的法律依据,或者满足了《欧盟基本权利宪章》对任何权利和自由的限制的要求的成员国法的法律基础。欧盟或者国家法决定了为了公共利益而执行任务的控制者或者官方机构的实践应当是公共管理或者其他受公法或者诸如行业协会一样的私法控制的自然人或者法人。
  (37)在有必要保护对数据主体的生活至关重要的利益的情况下,个人数据的处理应当被同样视为是合法的。
  (38)控制者的合法利益可能为处理提供法律依据,如果数据主体的利益或者基本权利和自由不是高于一切的。这就需要谨慎的评估,特别是当数据主体是儿童的情况下,鉴于儿童应该受到特殊的保护。数据主体应当有权免费反对这一处理,根据他们有关的特定情况。为了确保透明度,控制者有义务向数据主体明确通知所追求的合法利益以及其反对的权利,并且有义务用文件证明这些合法利益。如果法律为立法者提供了公共机构处理数据的法律依据,这个法律依据不应当被公共机构在履行任务中进行处理。
  (39)数据的处理应当严格限制于确保网络和信息安全的目的所需的程度,也就是在给定的信任、意外事件或者危害存储或者传输的数据的可用性、真实性、完整性和机密性的非法或者恶意行为的水平下,一个网络或者信息系统抗拒的能力,这些网络或者系统提供,或者通过其可获取的,由公共机构,计算机应急反应小组,计算机安全事件反映小组,电子通讯网络和服务的提供商以及安全技术和服务提供商提供的相关服务的安全性,构成了有关数据控制者的合法权益。这可能包括,例如,防止未经授权访问电子通讯网络和恶意代码分布,并阻止对计算机和电子通讯系统的“拒绝服务”式的攻击和破坏。
  (40)基于其他目的而处理个人数据的应当仅仅在符合此类数据在最初收集时的目的的情况下被允许,尤其是在此类处理对历史的、统计的或者科学研究目的而言是必要的情况时。在其他目的与此类数据最初被收集时的目的不相符合的情况下,控制者应当取得数据对于对此其他目的的同意,或者应当为了合法处理而将处理置于另一个法律依据的基础上,尤其是制约控制者的欧盟法律或者成员国法律所提供的。在任何情况下,对本条例所制定的规则的适用以及尤其是出于其他目的的数据主体的信息都应当得到确保。
  (41)从本质上说,与基本权利或者隐私相关的特别敏感和脆弱的个人数据应当得到特殊的保护。这些数据不应当被处理,除非数据主体表示了明确的同意。然而,出于特殊需要,应当明确提供此条禁令的减损,特别是在此项处理是由一定的出于允许行使基本自由的目的的协会或者基金会的合法活动中进行的情况下。
  (42)关于处理敏感类别的数据的禁令的减损也应当被允许,如果是由法律作出的,并受制于适当的保护措施,以保护个人数据以及其他几本权利,在基于公共利益的正当依据,特别是基于健康的目的,包括公共健康和社会保障以及医疗服务的管理,特别是为了确保主张健康保险系统的利益和服务以及出于历史的、统计的和科学研究的目的的程序的质量和成本效益。
  (43)此外,官方机构为了实现目标,宪法或者国际法制定的,官方认可的宗教协会的个人数据处理都是基于公共利益而进行的。
  (44)在选举活动的过程中,一个成员国民主系统的运行需要政党汇编公民的政治观点相关的数据,如果建立了适当的保障措施,这类数据的处理可能会基于公共利益的原因被允许。
  (45)如果由控制者处理的数据不允许控制者识别这个自然人,数据控制者不应当有责任为了识别这个数据主体而获得额外的信息,仅仅为了遵守本条例的任何规定这一唯一目的。在请求访问的情况下,控制者应当有权向数据主体询问进一步的信息,以使数据控制者定位这个人寻找的个人数据。
  (46)透明度原则要求任何向公众或者数据主体展示的信息都应当是容易访问的且容易理解的,并使用了清晰、平实的语言。这尤其在一些情形中有关,例如网络广告,行为体的扩散和实践的技术复杂性使数据主体很难知道并理解与其相关的个人数据是否正在被收集,被谁收集以及为了什么用途。鉴于儿童需要特殊保护,当处理是特别地真对一个儿童进行时,任何信息和交流都必须以这个儿童能够容易地理解的清晰、平实的语言。
  (47)应当为数据主体提供促使其行使本条例赋予他们的权利的形式,包括请求机制、免于诉讼,特别是访问数据,改正,擦除和行使其拒绝权。控制者应当有义务在一个固定期限内对数据主体的请求作出回应,如果他不遵从数据主体的请求,则要给他理由。
  (48)公平、透明的处理原则要求数据主体应当知悉尤其是处理操作的存在及其用途,这些数据将会被存储多长时间,访问、改正或者擦除权的存在,以及提起诉讼的权利。当此类数据是从数据主体处收集,数据主体也应当知悉他们是否有义务提供此类数据,以及他们不提供此类数据的后果。
  (49)与有关数据主体的个人数据处理相关的信息应当在收集时提供给他们,或者在数据并非从数据主体处收集而来的情况下,应当根据具体情况的情况,在一个合理期限内将这些信息提供给数据主体。当此类数据能够被合法地向另一方披露时,当此类数据第一次被披露给另一方时,数据主体应当知悉。
  (50)然而,当数据主体已经处理了此类信息,或者法律明确规定了此类数据的记录或者披露,或者对数据主体的信息条款被证明不可能或者将会包含不成比例的努力时,没有必要强加这项义务。后者可能尤其是基于历史的、统计的或者科学研究目的而处理数据的情形;在这方面,数据主体的数量,数据的使用年限,以及所采取的任何补偿措施都可能被考虑其中。
  (51)任何人都有权访问那些被收集的与他们有关的数据,并且容易地行使这项权利,以了结并核实处理的合法性。因此,每一个数据主体应当有权知道并获取相关信息,特别是处理此类数据的用途,处理期间,数据的接收者,正在处理的数据的逻辑是什么,以及至少是基于评估的数据的逻辑,这些处理的结果。这项权利不应当消极地影响他人的权利和自由,包括商业秘密或者智慧财产权,特别是保护软件的著作权。但是,这些考量要素的结果不应当是拒绝数据主体所有信息。
  (52)控制者应当利用所有合理措施来验证请求访问的数据主体的身份,特别是在线上服务和线上鉴定人的情况下。控制者不应当仅仅为了能够应对潜在请求而保留个人数据。
  (53)任何人都有权使与他们有关的个人数据被纠正,并且在这些数据的保留不遵守本条例的情况下,享有“被遗忘权”。特别是,数据主体应当有权使他们的个人数据被擦除并且不再被处理,在此类数据对收集用途或者其他方式的处理来说不是必须时,在数据主体已经撤回他们对处理的同意或者在他们拒绝与其有关的个人数据处理,或者其他方面的个人数据处理不遵守本条例的情况下。这项权利特别有意义,尤其是当数据主体作为一个儿童时作出了同意,这时并未充分老意识到处理所涉及的风险,并且后来希望移除这些个人数据,尤其是网络上的。然而,数据的进一步保留应当被允许,当它对历史的、统计的和科学研究的用途,为了公共卫生领域的公共利益,为了行使言论自由来说是必要的,当法律规定或者当有限制此类数据的处理而不是擦除他们的理由时。
  (54)为了强化网络环境中的“被遗忘权”,擦除权也应当通过一定的方式得以延伸,即使得个人数据公开化的控制者应当有义务向正在处理此类数据的第三方通知数据主体要求他们擦除任何关于那些个人数据的链接、副本及复制。为了擦除这些信息,控制者应当采取一切合理步骤,包括与控制者负责的数据公示的有关的技术措施。关于第三方对个人数据的公示,在控制者已经授权第三方公示的情况下,控制者应当对此项公示负相当的责任。
  (55)为了进一步加强他们对自己的数据的控制以及他们的访问权,在个人数据被通过电子手段,并且以结构化的和常用的格式处理的情况下,数据主体应当也有权以常用的电子格式获取一份关于他们的数据。数据主体也应当有权将那些他们已经提供的数据从一个自动化的应用程序传输到另一个中,如社交网络。这也适用于数据主体根据他们的同意或者履行合同向自动化处理系统提供此类数据的情形。
  (56)在个人数据可能被依法处理以保护数据主体的切身利益,或者基于公共利益,官方机构或者控制者的合法利益的情况下,虽然如此,任何数据主体都应当有权拒绝任何与他们相关的数据的处理。控制者有举证责任证明他们的合法利益可能会覆盖到数据主体的利益或者基本权利和自由。
  (57)当个人数据被出于直销的用途而处理时,数据主体应当有权免费地拒绝这样的处理,并以可以很容易地并且有效地引用的方式。
  (58)每一个自然人都有权不受制于基于通过自动化处理方式的性能分析而采取的措施。然而,当法律明确授权,在订立或者履行合同中执行,或者数据主体表示了他的同意时,这样的措施应当被允许。在任何情况下,这样的处理应当服从适当的保护措施,包括数据主体的特定信息和获得人工干预的权利,以及这样的措施不应当及于儿童。
  (59)特定原则,信息、访问、改正和擦除权,数据移植权,拒绝权,基于性能分析的措施,以对数据主体的个人数据泄漏的通信,以控制者某些相关义务的限制可能会被欧盟或者成员国法律规定,只要对民主社会中为保护公共安全来说是需要的且适当的,包括特别是为应对自然或者认为灾害而对人类生活的保护,对于刑事犯罪或者违反职业道德规范的预防、调查和起诉,欧盟或者成员国的其它公共利益,特别是欧盟或者成员国的重要经济或者财政利益,或者对数据主体或者他人权利和自由的保护。这些限制应当符合《欧盟基本权利宪章》和《欧洲保护人权和基本自由公约》中制定的要求。
  (60)应当为控制者或者代表控制者进行的个人数据处理建立广泛的控制者责任和义务。尤其是,控制者应当确保并且有义务证明每一个处理操作都是遵守本条例的。
  (61)对关于个人数据处理的数据主体的权利和自由的保护要求,在设计处理以及实施处理本身时都要采取适当的技术性和阻止性措施,以确保本条例的要求得以符合。为了确保并证明遵守本条例,控制者应当采取内部政策并实施适当的措施,那些尤其满足通过设计的和默认的数据保护原则的。
  (62)对数据主体权利和自由的保护,以及控制者和处理者的责任和义务,也与监管机构的监督和措施有关,在本条例下要求一个名曲饿的责任分配,包括控制者与其它控制者共同确定了处理的目的、条件和手段的情形,或者代表控制者进行处理操作的情形。
  (63)在一个并非建立在欧盟内部的控制者正在处理居住在欧盟内部的数据主体的个人数据,而其处理活动与向数据主体提供商品或者服务有关,或者与监控他们的行为有关的情况下,控制者应当指定一名代表,除非这个控制者是建立在保证提供适当水平的保护的第三国,或者控制者是一个小型或者中型的企业,或者是一个公共机构或团体,或者控制者只是偶尔地为这样的数据主体提供商品或者服务。这个代表应当代表控制者行动,并且可能被任何监管机构解决。
  (64)为了确定控制者是否只是偶尔地为居住在欧盟内部的数据主体提供商品或者服务,应当查明其是否很明显是控制者的整体活动,向那样的数据主体提供商品或者服务是那些主要活动的辅助。
  (65)为了证明符合了本条例,控制者或者处理者应当归档每一个处理操作。每一个控制者和处理者都应当有义务配合监管机构,并根据要求使这个归档可用,以使得它可以服务于监督那些处理操作。
  (66)为了保持安全性并防治处理违反本条例,控制者或者处理者应当评估此类处理中的固有风险,并采取措施减轻这些风险。这些措施应当确保适当的安全级别,考虑到当前的现有技术,与风险有关的实施成本,以及需要保护的个人数据的性质。在建立确保处理安全性的技术标准和组织措施时,委员会应当促进技术中立性、互用性和创新,并且,在适当情况下,与第三国合作。
  (67)如果不以适当的和及时的方式解决,个人据泄漏可能会导致重大的经济损失和社会伤害,包括对相关个人的身份欺诈。因此,一旦控制者意识到发生了这样的泄漏,控制者应当毫不迟疑地将此泄漏通知给监管机构,可能的话,在24小时之内。在无法在24小时内实现的情况下,应当同通知一起提交一份延误的原因说明。应当毫不迟疑地将通知那些个人数据可能会受到泄漏事件不利影响的人们,以使他们采取必要的预防措施。在泄漏事件可能会导致,例如身份盗窃或者诈骗,物理伤害,严重羞辱或者破坏名誉的情况下,这个泄漏事件将会被看作对数据主体的个人数据或者隐私造成了不利影响。通知应当描述个人数据泄漏的性质和建议,以及对相关个人的建议以减轻千载的不利影响。应当尽合理可能快地通知数据主体,与监管机构密切合作,并尊重它或者其它相关机构(例如,执法机构)提出的指导。例如,数据主体减轻即时风险伤害的机会可能需要对数据主体的立即通知,而针对持续的或者类似的数据泄漏而实施适当措施的必要可能会证明一个更长的延迟是正当的。
  (68)为了确定一起个人数据泄漏是否被及时地通知了监管机构和数据主体,应当确定控制者是否实施并应用了适当的技术性保护和组织性措施来立即建立是否发生了个人数据泄漏事件,以及在对个人的或者经济利益的伤害发生之前,立即通知了监管机构和数据主体,考虑个人数据泄漏的性质和严重性及其后果,以及对数据主体的不利影响。
  (69)在制定适用于个人数据泄漏的通知有关的格式和程序的细则时,应当考虑泄漏事件的环境,包括是否采取了适当的技术性保护措施保护个人数据,有效地限制了身份诈骗或者其它形式的滥用的可能性。此外,在预警披露可能会不必要地伤害泄漏事件环境的调查的情况下,这些规则和程序应当考虑执法机构的合法利益。
  (70)95/46/EC号指令为向监管机构通知个人数据处理的一般义务。虽然这项义务产生了行政和财政负担,但是它并没有在所有情况下都有助于提高对个人数据的保护。因此这种无差别的一般通知义务应当被废除,并且被有效的程序和机制所取代,这些程序和机制聚焦于那些由于他们的性质、范围或者目的可能会对数据主体的权利和自由产生特定风险的处理操作。在这样的情况下,控制者或者处理者在进行处理之前,应当进行数据保护影响评估,这尤其应当包括为确保个人数据保护以及证明遵守本条例的设定的措施、保障和机制。
  (71)这应当尤其适用于新建立的旨在从区域的、国家的或者超国家水平处理大量的个人数据,并且可能会影响到大量的数据主体的大型的登记系统。
  (72)在一些环境下,数据保护影响评估的主体应当比一个单一的计划更宽,这可能是明智的且经济的,例如在公共机构或者团体打算建立一个普遍的应用或者处理平台的情况下,或者几个控制者计划跨一个行业类别或部门引入一个普遍的应用或者处理环境或者广泛应用的活动的情况下。
  (73)数据保护影响评估应当由一个公共机构或者公共团体来进行,如果这样一个评估尚未基于国家法律的规定作出,国家法律正是公共机构或者公共团体履行其任务的依据,并且规定了讨论中的特定的处理操作或者一套操作。
  (74)在数据保护影响评估表明处理操作涉及高度的对数据主体的权利和自由的特定风险的情况下,如排除个人权利,或者通过特定新技术的利用,在开始操作之前,应当就一个可能不遵守本条例的风险性处理咨询监管机构,监管机构应当提出纠正这种情形的计提议。不管是在国家议会所提出的措施的准备过程中,或是根据这样的立法性措施而实施的定义了处理的性质并制定了适当的保障的措施的准备过程中,咨询应当平等地发生。
  (75)当在公共部门进行处理,或者在私营部门中,由大型企业进行处理,或者不论企业的规模,其核心活动包括需要定期且系统的监督的处理操作的情况下,一个人应当协助控制者或者处理者,以监督内部遵守本条例。这些数据保护官,无论是否为控制者的员工,都应当处于独立履行他们的职责和任务的状态。
  (76)考虑到在某些部门进行的处理的具体特征,应当鼓励协会或者其它代表控制者类别的团体在本条例的限制范围内起草行为准则,以促进本条例的有效应用。
  (77)为了强化透明度及对本条例的遵守,应当鼓励认证机制、数据保护数据封存和标记的建立,允许数据主体快速评估相关产品和服务的数据保护水平。
  (78)对于国际贸易和国际合作的扩张而言,个人数据的跨境流动是必要的。这些流动的增加对个人数据的保护引起了新的挑战和关注。然而,当个人数据从欧盟传输至第三国或者国际组织时,本条例所保证的欧盟内部对于个体的保护水平不应当被破坏。在任何情况下,只有在完全遵守本条例的情况下才可能进行向第三国的传输。
  (79)本条例不影响欧盟与第三国家订立的控制包括对数据主体的适当保障的个人数据传输的国际协议。
  (80)委员会可以为了整个欧盟而决定,某些第三国,或者第三国内的领土或者处理部门,或者国际组织提供充分水平的数据保护,从而提供关于被认为会提供这样的保护水平的第三国或者国际组织的整个欧盟范围内的法律确定性和一致性。在这些情况下,向这些国家的个人数据传输可能无需取得进一步的授权即可发生。
  (81)与欧盟建立所依赖的基本价值一致,尤其是对人权的保护,委员会应当在其对第三国的评估中考虑给定的第三国如何尊重法治,实现正义以及国际人权规范和标准。
  (82)委员会可能同样认识到某些第三国,或者第三国内的领土或者处理部门,或者国际组织并未提供充分水平的数据保护。因此向这些国家的个人数据传输应当被禁止。在那种情况下,应当为委员会和这些第三国或者国际组织之间的磋商制定相关规定。
  (83)缺乏适当的决定时,控制者或者处理者应当通过对数据主体的适当的保护措施的方式采取措施弥补第三国内数据保护的缺乏。这些适当的保护措施可能包括利用有拘束力的企业规则,委员会采用的的标准数据保护条款,监管机构采用的标准数据保护条款或者监管机构授权的合同条款,或者其它适当的且成比例的,根据一个数据传输操作或者一套数据传输操作的所有环境而证明是合乎情理的措施,以及由监管机构授权的情形。
  (84)控制者或者处理者运用委员会或者监管机构采用的标准数据保护条款的可能性既不应当阻止控制者或者处理者在更广泛的合同中引用标准数据保护条款,也不能阻止他们直接或者间接地添加其它条款,只要他们与委员会或者监管机构采用的标准合同条款不相矛盾或者有损于数据主体的基本权利和自由。
  (85)集团企业可以适用经过批准的企业规章,来规制从欧盟内部向所述企业处于欧盟之外的组织进行的数据传输。所述规章必须包含必要的原则以及执行的权利以保障所述数据传输的安全或者保证适宜的可供个人数据传输的范围。
  (86)应当制定包含以下内容的条款:在以下情形中,数据传输应当被允许:所述数据传输获得了数据主体的同意;所述数据传输对于合同以及法律诉讼是必要的;欧盟或其成员国就涉及重要公共利益领域制定的法律存在对所述数据传输的要求;所述数据传输是由法律设立的登记机关发起的,且所述登记机关有义务回应公众或法律上有利害关系的人的咨询。在最后一种情形中,所传输的数据不应当是完整的,允许被传输的数据范围也不应当为登记机关收集的所有信息,在登记机关有义务回应法律上有利害关系的人的咨询的情形下,非经所述人员或其他有权成为接收方的人员的申请,不得发生数据传输。
  (87)前述例外尤其适用为重要公共利益的保护之必要而进行的数据传输,比如在公平竞争委员会、税务机关、海关、金融监管机构之间发生的数据传输,在公共安全事务之间发生的数据传输,或者负责刑事犯罪的预防、调查、检测及起诉的机构之间发生的数据传输。
  (88)数据的控制者或处理者出于追求合法权益的目的,在综合评估数据传输的各方因素后,可以进行非频繁的或大规模的数据传输。为历史、统计及科学研究之目的进行数据传输的情形中,应当考虑社会对于知识增长的合理期待。
  (89)在委员会没有认可第三方国家的数据保护标准的情形下,数据的控制者或处理者应当向数据主体保证如果他们的数据被传输,那么所述数据主体将继续享有其数据在联邦内被加工时其作为数据主体享有的基本权利及保护措施。
  (90)第三方国家通过制定法律,规定和其他立法文书的方式,可以在成员国的司法管辖下直接规制自然人及法人的数据加工活动。所述立法文书中的治外法权有可能违反国际法并阻碍本条例承诺的在欧盟范围内对个体权益保护的实现。数据传输必须满足本条约规定的可以向第三方国家进行数据传输的条件。所述传输除去例外情况必须进行披露,以维护欧盟法律或者数据控制者所属国家法律规定的重要公共利益。在什么样的情况下存在重要的公共利益领域将由委员会在授权法案中进一步确定。
  (91)个人数据在不同的国家间的流动将会导致个人无法实现数据保护权利的危险,尤其是个人可能无法避免自己的信息被非法使用或披露。同时,监管机构也会认为其无权对国境之外的行为进行投诉或调查。监管机构试图共同处理跨境事务的合作也可能会被以下因素阻碍:预防或救济权力的不足、法律制度的不同、以及其他实际障碍,如资源限制等。因此,应当促进数据保护监管机构之间的合作,以帮助各监管机构交换信息以及共同进行调查。
  (92)各成员国设立监管机构,并保证其完全独立的行使职权,是个人数据加工过程中对个人进行保护的重要的组成部分。各成员国可以根据其宪法结构、组织结构、行政结构设立多于一个监管机构。
  (93)若成员国设立了多个监管机构,则所述监管机构的设立应当基于法律,并保证各监管机构是高效运作的统一整体。所述成员国应当设立一个专门负责进行联络的机构,以保证多个监管机构的高效运转以及与其他监管机构(如欧盟数据保护委员会及欧盟委员会)间顺利的合作。
  (94)国家应当给予每个监管机构充足的财政及人力支持,为监管机构提供经营场所及基础设施,以满足工作所需,所述工作包括监管机构互相之间的协助以及与欧盟内其他监管机构的合作。
  (95)各成员国应当将本国监管机构的概况写入法律,尤其应当述明所有监督机构应当由国家议会或政府设立,此外概况还应当包括确定机构成员资质的规则以及各机构成员的位置。
  (96)监管机构应当监督本条例条文的适用,并致力于维系整个欧洲地区所述适用的一致性,达到如下目的:在数据加工过程中保护作为数据主体的自然人以及促进个人数据在内部市场流动。
  (97)在个人数据加工过程中,如果数据的控制者或处理者的数据加工行为发生在多个欧盟成员国境内,应当由一个监管机构负责监督所述控制者或处理者在欧盟范围内的行为并作出相关决策,以增强规则适用的一致性,保障法律的确定性以及减少政府行政行为对所述控制者或处理者造成的负担。
  (98)提供上述一站式服务的负责机构,应当是数据控制者或处理者主要机构所在地所属的成员国的监管机构。
  (99)由于本条例同样适用于国内法院,为保障法院独立行使司法权,在法院运用其司法权判断个人数据的加工行为的情况下,负责的监管机构无权进行干涉。但是,根据国内法律,所述例外情形应当被限制在严格的司法审判活动中,而不能被适用于法官可能参与的其他活动中。
  (100)在欧盟范围内,为保证一致的监督以及本条例的执行,各成员国的监管机构应当具有同样的责任与有效的权力,包括进行调查的权力,进行有法律干预的权力,决策的权力以及制裁的权力,尤其在个人进行投诉的案件中以及涉及司法程序的情况下。监管机构调查权力的行使应当遵守欧盟法律与所在成员国的法律。尤其要考虑是否需要获取事先的司法授权。
  (101)每个监管机构应当接收数据主体的投诉并进行调查。根据投诉进行的调查应当根据司法审查的标准确定对于个案适当的调查范围。监管机构应当在合理的一段时间内告知数据主体投诉的结果。如果案件需要进一步调查或与其他监管机构的合作,应当给予数据主体中间阶段的信息。
  (102)监管机构使用各种手段进行社会宣传活动,宣传应当直接面向数据的控制者和处理者,包括微型、小型以及中型企业以及数据主体。
  (103)监管机构应当在实现其职责的过程中互相协助,以保障本条例在内部市场适用于执行的一致性。
  (104)各个监管机构都应当有权参与监管机构之间的共同协作。收到要求的监管机构有义务在一段时间内做出回应。
  (105)为了保证本条例在欧盟范围内适甩的一致性,应当建立促成监管机构以及监管机构与欧盟委员会之间合作的一致性机制。所述机制尤其应当适用在如下情形:某监管机构试图采取措施处理向不同成员国的数据主体提供商品或服务的事务,或试图追踪所述数据主体,或有可能影响个人数据自由流动的事务。上述机制还应当适用在如下情形:某监管机构或者欧盟委员会提出要求,要求某事务应当在此一致性机制下处理。所述机制的运行应当独立于欧盟委员会根据条约有权采取的措施。
  (106)在所述一致性机制适用的过程中,欧盟数据保护委员会应当在一段特定的时期内做出回应,一致性机制的适用是否通过了委员会成员的简单多数决或是否有监管机构或欧盟委员会提出了这样的要求。
  (107)为了遵守本条例,欧盟委员会可以接受对所述事务的意见或要求监管机构暂停执行采取其他措施的决定。
  (108)采取行动保护数据主体的利益是非常急迫的任务,尤其在数据主体行使权利可能受到阻碍的情况下。因此,监管机构应当有权在适用一致性机制的同时采取有一定时间限制的临时措施。
  (109)所述机制的适用应当在满足法律规定的条件时被触发,或者由监管机构执行适用所述机制的决定触发。在与跨境事务相关的其他情形中,所涉监管机构可以在不触发一致性机制的前提下,在双边或多边的基础上进行互相协作及联合调查。
  (110)在欧盟层面上,应当建立欧盟数据保护委员会,委员会应当取代95/46/EC号指令建立的涉及个人数据加工事务的个人保护工作组。所述委员会应当由各成员国的监管机构的负责人及首席欧盟信息保护监督员组成。欧盟委员会应当参与欧盟数据保护委员会的活动。欧盟数据保护委员会应当维护本条例在欧盟范围内适用的一致性,通过向欧盟委员会提建议及促进欧盟内监管机构的合作等方式。欧盟数据保护委员会应当独立行使其职能。
  (111)各成员国的数据主体在他们认为自己由本条例赋予的权利受到侵犯,且监管部门没有回应投诉或没有为保护数据主体权利采取必要行动的情形下,都有权向监管部门提出投诉并有权向法院起诉。
  (112)任何依各成员国法律成立的旨在保护数据主体的权益的团体、组织或协会有权向监管机构提起投诉或代表数据主体向法院起诉,或以自身的名义投诉其认为侵犯了个人数据的行为。
  (113)自然人或法人有权就监管机构与其相关的决定向法院起诉。对监管机构行为提起的诉讼应当由所涉监管机构所在的成员国有管辖权的法院管辖。
  (114)在负责的监管机构所处的成员国与所涉数据主体居住的成员国不同的情形下,为加强对数据主体的法律保护,所述数据主体可以要求任意旨在保护数据主体的权益的团体、组织或协会代表自己向另一成员国有管辖权的法院就监管机构的行为提起诉讼。
  (115)在负责的监管机构处于另一成员国且没有采取措施或没有采取足够措施回应投诉的情形下,所涉数据主体可以要求其经常居住地的监管机构向另一成员国有管辖权的法院就监管机构的行为提起诉讼。接收要求的监管机构可以根据司法审查的标准决定接受此要求是否是恰当的。
  (116)对数据控制者或处理者提起诉讼时,原告有权选择向数据控制者或处理者所在国或数据主体居住国的法院起诉,除非数据控制者是行使其职权的公共机关。
  (117)如果有迹象表明在不同成员国的法院出现了平行诉讼的情形,所涉法院有义务进行交涉。在另一成员国内所涉案件等待处理的同时,法院有权暂停对案件的审理。成员国应当保证法院采取快速有效的措施,以救济或防止违反本条例的行为。
  (118)任何个人可能由于数据控制者或处理者的非法行为受到的损害都应当由数据控制者或处理者负责,若数据控制者或处理者有证据证明其对所述损害不负责任,尤其是损害是由于数据主体的过错或不可抗力导致的,那么数据控制者或处理者可以不负责任。
  (119)无论是受私法还是公法规制的主体,违反本条例要受到处罚。成员国应当保证处罚措施有效,与过错成比例且具有劝阻性,成员国应当采取措施保障处罚的执行。
  (120)为了加强和协调对违反本条例的行为采取的行政处罚,各监管机构应当有权对行政违法行为进行制裁。本条例应当述明上述违法行为并设定行政罚款的上限,罚款应当能够在个案中保证处罚与违规行为的类型、严重性及持续时间成比例并能应对特殊情况。一致性机制也可以用以弥合行政处罚适用中的分歧。
  (121)在符合本条文相关要求的前提下应当允许仅为新闻、艺术或文学表达的目的对个人数据进行加工,以平衡个人数据的保护与自由表达,尤其是欧洲联盟基本权利宪章第11条规定的接受与传播信息的权利。上述允许对个人数据进行加工的情形尤其应当适用于音像领域、新闻档案馆及出版社。因此,成员国应当采取立法措施,确立所述义务豁免及义务减损,以达到平衡基本权利的目的。所述义务豁免及义务减损应当在成员国国内法确立的一般原则、数据主体的权利、数据控制者与处理者、向第三方国家或国际组织进行数据传输、独立的监管机构及合作与一致性等方面有所体现。但是成员国不得就本条例的其他条款制定豁免。为尊重民主社会中自由表达的权利的重要性,某些相关概念应当被阐明,如新闻业等。因此,成员国应当明确列举“新闻业的”行为,如果所述行为的客体是通过各种媒体渠道向公众公开某些信息、观点或思想,明确列举所属行为有利于落实本条例中的义务豁免及义务减损。所述行为不应被局限于媒体业,可以包括盈利性的或非营利性的行为。
  (122)涉及个人健康状况的数据是一类需更更高级别保护的个人数据,对于这一类数据的加工行为通常具有一系列法律上的合理性,如为个人及社会的利益,对这一类数据的加工尤其被运用在保障跨国的医疗的连续性。因此本条例规制协调加工涉及个人健康状况的数据被允许的条件,提供特别的及合适的保障措施来保护公民基本权利及个人数据。个人有权获取涉及其个人健康状况的数据,比如其医疗记录上的诊断信息、检查结果、医生的诊断记录及其他治疗或医疗干预的情况。
  (123)在没有获得数据主体同意的情形下,为维护公共健康领域的公共利益对涉及个人健康状况的数据的加工行为是可以被允许的。“公共健康”的定义参照欧盟第1338/2008,条例及2008年12月16日颁布的有关公共卫生及工作中的健康与安全相关的条例,即所有与健康相关的因素,包括健康状态,疾病状态及残疾等影响对健康状态评定,健康护理需求,健康护理所需资源,接受健康护理的途径,指出的费用以及死亡原因。所述对健康相关的个人数据为公共卫生的目的进行的加工不得导致所述数据被第三方为其他目的的加工行为,第三方包括雇佣方、保险公司及银行。
  (124)个人数据加工领域的个人保护的一般原理同样适用于雇佣的情形。因此,为了规制对雇员的个人数据的加工行为,成员国有权在本条例许可的范围内,通过法律制定雇佣行为中关于雇员个人数据加工行为的特殊规则
  (125)为历史、统计或科学研究目的进行的个人数据加工行为应当同时遵守其他相关法律规定,如临床试验相关的法律法规。
  (126)本条例所述科学研究包括基础科学研究、应用科学研究、及民间资金支持的研究以及考虑欧洲联盟运作条约第179条第1款中有关建立统一的欧盟研究区域的规定。
  (127)鉴于监管机构有权获取数据控制者或处理者所掌握的个人数据,成员国可以在本条例许可的范围内通过法律制定特殊规定,以保障所述监管机构负有职业性保密义务及其他有同等效力的保密义务,以满足保护个人数据安全的需要。
  (128)根据洲联盟运作条约第17条,本条例以尊重且不具偏见的态度对待成员国法律规制下的教会及宗教组织或团体。因此,如果某成员国的教会在本条约生效时适用其他与个人数据保护相关的规则,在现行规则与本条例一致的前提下,现行规则继续有效。所述教会及宗教团体应当建立一个完全独立的监管机构。
  (129)本条例的制定目的为保护基本权利和自然人的自由,尤其是保护个人数据的权利,同时促进个人数据在欧盟范围内的流动,为了实现所述制定目的,根据洲联盟运作条约第290条制定法案的权利应当被赋予欧盟委员会。欧盟委员会尤其应当制定涉及以下内容的授权法案:规制数据加工合法性;规定未成年人同意有效的标准与条件;特殊数据的加工;规定数据主体行使权利时明显过度的要求与费用;与访问权有关的数据主体的信息的标准与要求;被遗忘权与被删除权;基于分析的措施;对数据控制者责任的标准和要求以及对数据报数措施制定及默认的数据保护措施的标准和要求;处理者在加工过程中对于记录和安全性的标准及要求;构成损害个人数据的标准与要求以及向监管机构通报的标准与要求,以及在损害个人数据可能给数据主体造成严重影响的情形;需要事先进行数据保护影响评估的加工行为的标准和条件;认定由于某行为存在发生特定危险的高风险的标准和要求,这样的行为需要进行事前的咨询;数据保护官员的选拔与职责;行为规范;认证机制的标准与要求;集团企业间的数据传输的标准与要求;数据传输中的义务减损;行政处罚;为卫生事务进行的数据加工;雇佣中存在的数据加工及为历史、统计及科学研究目的进行的数据加工。尤其重要的是,欧盟委员会应当在准备工作阶段提供合适的,包括在专家水平上的咨询服务。欧盟委员会在准备和起草授权法案的阶段,应当保证相关文件被同步的、及时的、以适宜的方式传输给欧洲议会及欧洲理事会。
  (130)为了保证在统一条件下执行本条例,执行权应当被授予欧盟委员会,据此欧盟委员会有下列权力:制定加工儿童个人数据的标准形式;数据主体行使权力的标准程序及形式;制定告知数据主体的标准形式;访问权的标准程序及形式;数据移植的权利;数据保护措施存在及缺省状态下的标准形式数据控制者责任的标准形式及记录的标准形式;数据加工安全性的特殊要求;向监管机构通报损害数据行为的标准程序与形式以及规制数据损害方与数据主体的沟通事宜;数据保护影响评估的标准与程序;事前授权与事前咨询的形式与程序;认证的机制及技术标准;第三方国家、地区、属于第三方国家或其他国际组织的信息加工部门的数据保护水平的达标判断标准;未被欧盟法律授权的信息披露;互相协助;联合办公;在一致性机制下做出决定。所述权力的行使应当与欧洲议会及欧洲理事会2011年2月16日通过的欧洲法规第182条保持一致,所述规定确立了欧盟委员会行使执行权的规则和一般原则。欧盟理事会应当考虑针对微型、小型及中型企业采取不同措施。
  (131)以下内容需要经过审查程序:未成年人同意有效的标准形式的确立需要经过特定审查程序;数据主体行使权利的标准程序与形式;告知主体的标准形式;访问权相关的标准程序与形式;数据移植的权利;数据保护措施存在及缺省状态下的标准形式数据控制者责任的标准形式及记录的标准形式;数据加工安全性的特殊要求;向监管机构通报损害数据行为的标准程序与形式以及规制数据损害方与数据主体的沟通事宜;数据保护影响评估的标准与程序;事前授权与事前咨询的形式与程序;认证的机制及技术标准;第三方国家、地区、属于第三方国家或其他国际组织的信息加工部门的数据保护水平的达标判断标准;未被欧盟法律授权的信息披露;互相协助;联合办公;在一致性机制下做出决定。
  (132)在以下案件中,欧盟委员会应当制定可以立即适用的执行法案:与数据保护水平未达标的第三方国家、地区、属于第三方国家或其他国际组织的信息加工部门相关的案件;监管机构在一致性机制之下进行讨论的事务,紧迫需要欧盟委员会制定执行法案。
  (133)本条例的目的之一是平衡对个体的保护以及欧盟范围内数据的自由流通,这个目的无法由成员国达成,而欧盟可以采取在范围与影响上都更为有效的措施以实现所述目的,欧盟可以依据《欧洲联盟条约》第5条规定的权力自主原则采取措施。根据同一条文规定的比例原则,本条例不会超越实现所述规定目的所必要的限度。
  (134)欧盟数据保护指令被本条例取代。但是,欧盟委员会根据欧盟数据保护指令做出的决定以及监管机构根据欧盟数据保护指令做出的授权继续有效。
  (135)本条例适用于与基本权利的保护及使用个人数据的自由相关的事务,2002/58/EC指令确立了相同的目标并规定了一系列特定义务,包括控制者的义务以及个人的权利。2002/58/EC指令应当根据本条例进行修改。
  (136)在冰岛及挪威,本条例构成了对申根协议规定的发展,申根协定中规定的权力部门对个人数据加工的管理适用本条例,适用的依据为欧盟委员会与冰岛共和国及挪威王国根据两国对申根协议的执行、适用及发展情况而达成的协议。
  (137)在瑞士,本条例构成了对申根协议规定的发展,申根协定中规定的权力部门对个人数据加工的管理适用本条例,适用的依据为欧盟委员会、欧洲共同体与瑞士联邦根据瑞士联邦对申根协议的执行、适用及发展情况而达成的协议。
  (138)在列支敦士登,本条例构成了对申根协议规定的发展,申根协定中规定的权力部门对个人数据加工的管理适用本条例,适用的依据为欧盟委员会、欧洲共同体与瑞士联邦达成的协定,列支敦士登公国加入的,欧盟、欧共体与瑞士联邦签署的,有关瑞士联邦根据瑞士联邦对申根协议的执行、适用及发展的协议。
  (139)根据欧盟法院的态度,保护个人数据的权利不是绝对的权利,个人数据的保护必须考虑行为对社会造成的影响,必须根据比例原则与其他基本权利相平衡,本条例尊重各项基本权利并且注重欧洲联盟基本权利一章规定的各项原则以及条约中体现的原则,尤其是尊重私人及家庭生活,家庭及通讯,保护个人数据的权利,思想、感知及宗教自由,表达自由及信息自由,经营自由,获得有效救济与公正审判的权利以及文化、宗教、语言的多样性。
  已采纳本条例:
  第一章:总则第1条:主题与目的
  1.本条例制定加工个人数据的过程中保护个人权利的规则以及个人数据自由流动的规则。
  2.本条例保护自然人的基本权利及自由,尤其是自然人保护个人数据的权利。
  3.不能以在个人数据加工领域保护个人权利为由,阻碍或限制欧盟范围个人数据的自由流动
  第2条:适用范围
  1.本条例适用整体或部分使用自动化手段对个人数据的加工行为,以及使用非自动化手段加工归档系统中或将被编入归档系统中的个人数据的行为。
  2.本条例不适用于以下个人数据加工行为:
  (a)在欧盟法律范围以外,特别是涉及国家安全的活动中的个人数据加工行为;
  (b)欧盟各机构及办公室所为的个人数据加工行为;
  (c)成员国在实行欧洲联盟条约第2章规定的行为时产生的个人数据加工行为;
  (d)自然人做出的,不具有盈利性的,在其个人或家庭活动中存在的个人数据加工行为;
  (e)负责的权力机关行使预防,调查,侦查或起诉刑事犯罪的职权或执行刑事刑罚的职权的过程中发生的个人数据加工行为。
  3.本条例不影响2000/31/EC指令的适用,特别是在该指令的12至15条规定的中介服务供应商的责任规则。
  第3条:地域范围
  1.本条例适用于建立在欧盟内的数据的控制者及处理者所为的加工个人数据的行为。
  2.本条例适用于居住在欧盟内的数据主体的个人数据被欧盟外的数据控制者加工,且所述个人数据加工满足以下条件的情形:
  (a)所述个人数据加工与为欧盟内的数据主体提供商品或服务相关;或
  (b)与检测所述数据主体的行为相关。
  3.本条例同样适用于以下情形:数据控制者不在欧盟内,但其所在国根据国际公法需要适用欧盟成员国的国内法。
  第4条:定义
  为了本条例的目的:
  (1)“数据主体”指一个确定的自然人或可以被确定的自然人,数据的控制者或者其他自然人或法人可以直接或间接地通过可能的方式确定该自然人,特别是通过身正号码、位置数据、在线识别器或一个或多个特定于该人的身体、生理、遗传、精神、经济、文化或社会特性的因素;
  (2)“个人数据”指与数据主体相关的一切信息;
  (3)“处理”指对个人数据或个人数据群进行的任何操作或系列操作,无论所述操作或系列操作否由自动化手段施行,如数据的收集、记录、组织、重构、储存、适应或更改,以及数据的检索、咨询、使用、披露、传播、宣传或其他方式提供、排列或组合、删除或销毁;
  (4)“归档系统”是指任何一种结构化的个人数据群,所述个人数据可以根据特定的标准被获取,数据可能在功能或地理的分类基础上以集中、分散或散布的形式存在;
  (5)“控制者”指能够单独或与他人共同决定的个人资料加工的目的、条件和手段的自然人或法人、公共权力机构或其他组织;而数据加工的目的、条件和手段是由欧盟法或成员国法律决定的,控制者及控制者提名的具体标准可以由欧盟法律或会员国法律规定;
  (6)“处理者”指代表数据控制者加工数据的自然人或法人、公共权力机构或其他组织;
  (7)“接受者”指个人数据被披露时面向的自然或法人、公共权力机构、机构或任何其他组织;
  (8)“数据主体的同意”指的是通过任何特定的、通知性的及明确表示他或她作为数据主体的希望,即同意与他们相关的个人数据的加工,所述同意可以采取陈述的方式做出或数据由主体可以明确推断出为同意的行为做出;
  (9)“侵犯个人数据”指意味着安全漏洞导致的意外或蓄意的非法破坏、丢失、变更、未经授权的披露、访问、传输或以其他方式加工个人数据;
  (10)“遗传数据”指早期胚胎发育过程中遗传或获得的个体特征的所有数据;
  (11)“生物识别数据”是指有关个人的身体,生理或行为,并能够作为个人独1无2的识别特征的数据,如面部图像,或指纹数据。
  (12)“健康相关的数据”,是指关乎个人的身体或精神健康,或向个人提供保健服务的一切信息;
  (13)“主要机构”指欧盟范围内控制者做出个人数据加工的目的、条件和手段的决定的地点;如果做出个人数据加工目的、条件和手段的决定的地点不在欧盟内,则主要机构指控制者在欧盟内进行数据加工活动的机构。对于数据处理者,“主要机构”指其在欧盟内的管理机关所在地;
  (14)“代表”指一类在欧盟中的自然人或在欧盟设立的法人,所述自然人或法人由数据控制者、法案或监管机构及其他欧盟内非控制者的组织安排或设立,并根据本条例履行控制者的义务;
  (15)“企业”指一切法律形式的从事经济活动的实体,尤其指自然人和法人、合伙企业或定期从事经济活动的组织;
  (16)“集团企业”指的是主要企业及其控制的企业;
  (17)“约束性公司规则”指一类个人数据保护政策,在成员国领土内设立的数据控制者或处理者在向一个或多个位于第三方国家且属于同一集团企业的其他数据控制者或处理者传输个人数据的过程中,必须遵守所述个人数据保护政策。
  (18)“未成年人”指年龄小于19周岁的人群。
  (19)“监管机构”指成员国根据本条例第46条建立的公权力机构。
  第二章:原则第5条:个人数据加工相关原则
  对待个人数据必须遵循以下原则:
  (a)对个人数据的加工必须是合法的、公正的,对于数据主体而言透明的。
  (b)个人数据的收集必须有特定的、明确的、合理的目的,对个人数据的加工不得偏离收集时的目的
  (c)在仅加工不含个人数据的信息无法达到既定的目的情况下,允许在能够达到数据加工目的所需的最低限度上对足够的,相关的个人数据进行加工;
  (d)个人数据必须保持准确,并被随时最新;数据控制者或处理者必须采取措施,以保证对于实现数据加工的目的不准确的个人数据能够被及时删除或修正;
  (e)个人数据中可识别数据的存储时间以实现数据加工目的所必须为限;在以下情形中,个人数据的存储时间可以长于上述限制:根据本条例第83条的规则和条件,个人数据仅为历史、统计或科学研究的目的使用的情形,个人数据需要接受审查以评估继续存储的必要性的情形;
  (f)在个人数据加工过程中,负责的数据控制者有义务保证与证明其数据加工行为遵守了本条例规定。
  第6条:合法加工
  对个人数据的加工只有在至少符合下列一条情形的前提下可以被认定为合法:
  (a)数据主体对为一个或多个特定目对其个人数据的加工做出了同意的意思表示;
  (b)个人数据的加工是作为合同一方的数据主体履行合同所必需的或是为了满足数据主体订立合同前或订立合同时的要求;
  (c)数据控制者履行法律义务必须进行个人数据加工;
  (d)为了保障数据主体的重大利益而进行的个人数据加工;
  (e)为保障公共利益所必要的个人数据加工或数据控制者行使其享有的权力时发生的个人数据加工;
  (f)在控制者的合法利益不侵犯数据主体(尤其是未成年人)需要通过保护个人数据而实现的,更重要的基本权利及自由的前提下,若个人数据的加工对于数据控制者追求其合法权益是必要的,则所述加工行为可以被认定为合法。本条不适用公权力机关行使职权时发生的个人数据加工。
  2.为历史、统计或科学研究的目的之必要进行的个人数据加工应当遵守本条例第83条规定的条件与安全要求。
  3.第1款第(c)项、第(e)必须遵守:
  (a)联邦法律,或
  (b)控制者所遵守的成员国国内法。
  成员国国内法律必须符合公共利益的目标,或对于保护他人的权利和自由是必要的,尊重个人数据保护的权利并与追求的合法目标成比例。
  4.当进一步的数据加工的目的与先前收集个人数据时不符,尤其是在合

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
本篇【法宝引证码CLI.A.1242002      关注法宝动态: