欧盟通用数据保护条例 Regulation (EU) 2016/679 2016/679

主题和目标 1. 该条例规定了有关在处理个人数据方面保护自然人的规则以及有关个人数据自由流动的规则。 2. 本条例保护自然人的基本权利和自由，特别是保护个人数据的权利。 3. 个人数据在联盟内的自由流动不得因与个人数据处理方面保护自然人有关的原因而受到限制或禁止。

材质范围 1. 本条例适用于全部或部分通过自动化方式处理个人数据，以及以自动化方式以外的方式处理构成归档系统一部分或旨在构成归档系统一部分的个人数据。 2. 本法规不适用于以下个人数据的处理： (一) 进行不属于欧盟法律范围的活动； (二) 成员国在开展属于 TEU 第五章第 2 章范围内的活动时； (三) 由自然人在纯粹的个人或家庭活动过程中进行； (四) 主管当局为了预防、调查、侦查或起诉刑事犯罪或执行刑事处罚，包括防范和防止对公共安全的威胁。 3. 对于欧盟机构、机构、办公室和机构对个人数据的处理，适用第 45/2001 号法规 (EC)。第 45/2001 号法规 (EC) 和适用于此类个人数据处理的其他欧盟法律行为应根据第 98 条适应本法规的原则和规则。 4. 本法规不应影响 2000/31/EC 指令的适用，特别是该指令第 12 至 15 条中中介服务提供商的责任规则。

领土范围 1. 本条例适用于欧盟控制者或处理者机构活动中的个人数据处理，无论处理是否在欧盟境内进行。 2. 本条例适用于非欧盟境内的控制者或处理者对欧盟境内数据主体的个人数据的处理，其中处理活动涉及： (一) 向欧盟内的数据主体提供商品或服务，无论是否需要数据主体付款；或 (二) 监控他们的行为，只要他们的行为发生在联盟内。 3. 本条例适用于未在欧盟境内设立、但在根据国际公法适用成员国法律的地方设立的控制者对个人数据的处理。

定义 就本条例而言： (1) “个人数据”是指与已识别或可识别的自然人（“数据主体”）相关的任何信息；可识别的自然人是指可以直接或间接识别的自然人，特别是通过参考诸如姓名、身份证号码、位置数据、在线标识符等标识符或该自然人的身体、生理、遗传、心理、经济、文化或社会身份的一个或多个特定因素； (2) “处理”是指对个人数据或个人数据集执行的任何操作或一组操作，无论是否通过自动化方式，例如收集、记录、组织、结构化、存储、改编或更改、检索、咨询、使用、通过传输披露、传播或以其他方式提供、对齐或组合、限制、删除或销毁； (3) “限制处理”是指对存储的个人数据进行标记，以限制将来对其进行处理； (4) “分析”是指对个人数据进行任何形式的自动处理，包括使用个人数据来评估与自然人相关的某些个人方面，特别是分析或预测有关该自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为、位置或活动的方面； (5) “假名化”是指以这样的方式处理个人数据，即在不使用附加信息的情况下，个人数据不再能够归属于特定数据主体，前提是此类附加信息单独保存，并受到技术和组织措施的约束，以确保个人数据不会归属于已识别或可识别的自然人； (6) “归档系统”是指根据特定标准可访问的任何结构化个人数据集，无论是集中式、分散式还是在功能或地理基础上分散； (7) “控制者”是指单独或与他人共同确定个人数据处理的目的和方式的自然人或法人、公共当局、机构或其他团体；如果此类处理的目的和方式由联盟或成员国法律确定，则控制者或其提名的具体标准可由联盟或成员国法律规定； (8) “处理者”是指代表控制者处理个人数据的自然人或法人、公共机构、代理机构或其他机构； (9) “接收者”是指向其披露个人数据的自然人或法人、公共机构、代理机构或其他机构，无论是否为第三方。但是，根据联盟或成员国法律可能在特定调查框架内接收个人数据的公共机构不应被视为接收者；这些公共机构对这些数据的处理应根据处理目的遵守适用的数据保护规则； (10) “第三方”是指除数据主体、控制者、处理者以及在控制者或处理者直接授权下被授权处理个人数据的人员之外的自然人或法人、公共机构、机构或团体； (11) 数据主体的“同意”是指数据主体自由给出的、具体的、知情的和明确的意愿，通过声明或明确的肯定行动，表明同意处理与其相关的个人数据； (12) “个人数据泄露”是指导致传输、存储或以其他方式处理的个人数据被意外或非法破坏、丢失、更改、未经授权披露或访问的安全漏洞； (13) “遗传数据”是指与自然人遗传或获得的遗传特征有关的个人数据，这些数据提供有关该自然人的生理或健康的独特信息，特别是通过对有关自然人的生物样本进行分析而产生的数据； (14) “生物识别数据”是指通过与自然人的身体、生理或行为特征相关的特定技术处理而产生的个人数据，这些数据允许或确认该自然人的唯一身份，例如面部图像或指纹数据； (15) “有关健康的数据”是指与自然人的身体或心理健康有关的个人数据，包括提供医疗保健服务，这些数据揭示了有关其健康状况的信息； (16) “主要机构”是指： (一) 对于在多个成员国设有机构的控制者，其在欧盟的中央管理机构所在地，除非关于个人数据处理的目的和方式的决定是在控制者在欧盟的另一个机构中做出的，并且后一个机构有权执行此类决定，在这种情况下，做出此类决定的机构将被视为主要机构； (二) 对于在多个成员国设有机构的处理者，其中央管理机构在欧盟的所在地，或者，如果处理者在欧盟没有中央管理机构，则在处理者机构活动范围内的主要处理活动发生地的欧盟内设立处理者，前提是处理者须遵守本条例规定的具体义务； (17) “代表”是指在联盟内设立的自然人或法人，由控制者或处理者根据第 27 条书面指定，代表控制者或处理者履行本条例规定的各自义务； (18) “企业”是指从事经济活动的自然人或法人，无论其法律形式如何，包括经常从事经济活动的合伙企业或协会； (19) “企业集团”是指控股企业及其受控企业； (20) “具有约束力的公司规则”是指在成员国境内设立的控制者或处理者在向从事联合经济活动的企业集团或企业集团内的一个或多个第三国的控制者或处理者传输或一组个人数据时遵守的个人数据保护政策； (21) “监管机构”是指成员国根据第 51 条设立的独立公共机构； (22) “有关监管机构”是指因以下原因而涉及个人数据处理的监管机构： (一) 控制者或处理者设立在该监管机构成员国境内； (二) 居住在该监管机构成员国的数据主体受到或可能受到处理的重大影响；或 (三) 已向该监管机构提出投诉； (23) “跨境处理”是指： (一) 在欧盟控制者或处理者在多个成员国设立的机构的活动中进行的个人数据处理，其中控制者或处理者设立在多个成员国；或 (二) 在欧盟境内单一控制者或处理者机构的活动范围内进行的个人数据处理，但对多个成员国的数据主体产生重大影响或可能产生重大影响。 (24) “相关且有理由的反对”是指对决定草案是否违反本条例，或与控制者或处理者有关的设想行动是否符合本条例的反对，这清楚地表明了该决定草案对数据主体的基本权利和自由以及（如适用）个人数据在欧盟内的自由流动构成的风险的重要性； (25) “信息社会服务”是指欧洲议会和理事会指令 (EU) 2015/1535 第 1(1) 条 (b) 点定义的服务（ 1 ）； (26) “国际组织”是指受国际公法管辖的组织及其附属机构，或由两个或多个国家之间的协议设立或根据协议设立的任何其他机构。

与个人数据处理相关的原则 1. 个人数据应为： (一) 对数据主体进行合法、公平和透明的处理（“合法性、公平性和透明度”）； (二) 出于指定、明确和合法的目的而收集，并且不会以与这些目的不相符的方式进行进一步处理；根据第 89(1) 条，出于公共利益、科学或历史研究目的或统计目的而进行的进一步处理不应被视为与初始目的不相容（“目的限制”）； (三) 充分、相关且限于处理目的所需的内容（“数据最小化”）； (四) 准确，并在必要时保持最新；必须采取一切合理步骤，确保毫不拖延地删除或纠正不准确的个人数据（考虑到处理目的）（“准确性”）； （五） 以允许识别数据主体的形式保存的时间不超过处理个人数据的目的所需的时间；个人数据可以存储更长时间，只要个人数据将仅出于公共利益的存档目的、科学或历史研究目的或根据第 89(1) 条的统计目的进行处理，但须采取本条例要求的适当技术和组织措施，以保障数据主体的权利和自由（“存储限制”）； （六） 以确保个人数据适当安全的方式进行处理，包括使用适当的技术或组织措施（“完整性和保密性”）防止未经授权或非法处理以及意外丢失、毁坏或损坏。 2. 控制者应负责并能够证明遵守第 1 款（“责任”）。

处理的合法性 1. 仅当至少满足以下条件之一时，处理才合法： (一) 数据主体已同意出于一个或多个特定目的处理其个人数据； (二) 为了履行数据主体作为一方的合同，或者为了在签订合同之前根据数据主体的要求采取措施，必须进行处理； (三) 处理对于遵守控制者所承担的法律义务是必要的； (四) 为了保护数据主体或其他自然人的切身利益而必须进行处理； （五） 处理对于执行为了公共利益而执行的任务或行使控制者的官方权力是必要的； （六） 为了控制者或第三方追求的合法利益，处理是必要的，除非这些利益被需要保护个人数据的数据主体的利益或基本权利和自由所取代，特别是当数据主体是儿童时。 第一段 (f) 点不适用于公共机构在履行其任务时进行的处理。 2. 成员国可以维持或引入更具体的规定，通过更准确地确定处理的具体要求和其他措施来确保合法和公平的处理，包括第九章规定的其他特定处理情况，以适应本条例有关处理的规则的应用，以符合第 1 款的 (c) 和 (e) 点。 3. 第 1 款 (c) 和 (e) 点中提到的处理基础应由以下人员规定： (一) 工会法；或 (二) 控制者须遵守的成员国法律。 处理的目的应根据该法律依据确定，或者就第 1 款 (e) 点所述的处理而言，处理的目的应是执行为公共利益而执行的任务或行使控制者所赋予的官方权力所必需的。该法律依据可能包含适应本条例规则应用的具体规定，尤其是： 控制者处理合法性的一般条件；需要处理的数据类型；有关资料当事人；可能披露个人数据的实体和目的；目的限制；储存期限；处理操作和处理程序，包括确保合法和公平处理的措施，例如第九章规定的其他特定处理情况的措施。联盟或成员国法律应符合公共利益的目标，并与所追求的合法目标相称。 4. 如果出于收集个人数据的目的以外的目的进行的处理并非基于数据主体的同意，也不是基于联盟或成员国法律，而该法律构成民主社会中为保障第 23(1) 条所述目标而采取的必要且相称的措施，则为了确定其他目的的处理是否与最初收集个人数据的目的相一致，控制者应考虑以下因素： (一) 收集个人数据的目的与预期进一步处理的目的之间的任何联系； (二) 收集个人数据的背景，特别是有关数据主体和控制者之间的关系； (三) 个人数据的性质，特别是是否根据第 9 条处理特殊类别的个人数据，或者是否根据第 10 条处理与刑事定罪和犯罪相关的个人数据； (四) 对数据主体进行进一步处理可能产生的后果； （五） 存在适当的保障措施，其中可能包括加密或假名化。

同意的条件 1. 如果处理基于同意，控制者应能够证明数据主体已同意处理其个人数据。 2. 如果数据主体的同意是在还涉及其他事项的书面声明中给出的，则同意请求应以与其他事项明显区分的方式、以易于理解和易于访问的形式、使用清晰和简单的语言提出。该声明中任何构成违反本条例的部分均不具有约束力。 3. 数据主体有权随时撤回其同意。撤回同意不应影响撤回前基于同意进行的处理的合法性。在给予同意之前，应告知数据主体。撤回应与同意一样容易。 4. 在评估是否自由给予同意时，应最大限度地考虑是否： 除其他外 ，合同的履行（包括提供服务）的条件是同意处理履行合同所不需要的个人数据。

信息社会服务方面适用于儿童同意的条件 1. 如果适用第 6 条第 (1) 款 (a) 点，就直接向儿童提供信息社会服务而言，如果儿童年满 16 岁，则处理儿童的个人数据应合法。如果儿童未满 16 岁，则只有在获得对该儿童负有父母责任的人同意或授权的情况下，此类处理才合法。 成员国可以通过法律规定用于这些目的的较低年龄，前提是该较低年龄不低于 13 岁。 2. 在这种情况下，控制者应采取合理措施，考虑现有技术，核实对儿童负有父母责任的人是否已给予或授权同意。 3. 第 1 款不应影响成员国的一般合同法，例如与儿童有关的合同的有效性、成立或效果的规则。

特殊类别个人数据的处理 1. 禁止处理揭示种族或民族血统、政治观点、宗教或哲学信仰或工会会员身份的个人数据，禁止处理用于唯一识别自然人的遗传数据、生物识别数据、有关健康的数据或有关自然人性生活或性取向的数据。 2. 有下列情形之一者，不适用第一项规定： (一) 数据主体已明确同意出于一个或多个指定目的处理这些个人数据，除非联盟或成员国法律规定数据主体不得解除第 1 段中提到的禁止； (二) 为了履行控制者或数据主体在就业和社会保障和社会保护法领域的义务和行使特定权利，处理是必要的，只要它得到联盟或成员国法律或根据成员国法律规定的集体协议的授权，为数据主体的基本权利和利益提供适当的保障； (三) 当数据主体在身体上或法律上无法给予同意时，为了保护数据主体或其他自然人的切身利益，必须进行处理； (四) 处理是在其合法活动过程中进行的，并由具有政治、哲学、宗教或工会目标的基金会、协会或任何其他非营利机构提供适当的保障，条件是处理仅涉及该机构的成员或前成员或与其目的经常接触的人员，并且未经数据主体同意，不得将个人数据披露到该机构之外； （五） 处理涉及数据主体公开公开的个人数据； （六） 处理对于确立、行使或捍卫法律主张或法院行使司法职能时是必要的； （克） 出于重大公共利益的原因，根据欧盟或成员国法律，处理是必要的，该法律应与所追求的目标相称，尊重数据保护权的本质，并提供适当和具体的措施来维护数据主体的基本权利和利益； （八） 为了预防或职业医学、评估员工的工作能力、医疗诊断、提供健康或社会护理或治疗或根据联盟或成员国法律或根据与卫生专业人员的合同管理健康或社会护理系统和服务，并遵守第 3 段中提到的条件和保障措施，处理是必要的； （我） 出于公共卫生领域公共利益的原因，例如防止对健康的严重跨境威胁或确保医疗保健和医药产品或医疗器械的高标准质量和安全，基于联盟或成员国法律，该处理是必要的，该法律规定了适当和具体的措施来保障数据主体的权利和自由，特别是专业保密； (j) 根据欧盟或成员国法律第 89(1) 条，为了公共利益、科学或历史研究目的或统计目的，处理是必要的，应与所追求的目标相称，尊重数据保护权的本质，并提供适当和具体的措施来维护数据主体的基本权利和利益。 3. 第 1 款中提到的个人数据可以出于第 2 款 (h) 点中提到的目的进行处理，前提是这些数据由根据联盟或成员国法律或国家主管机构制定的规则负有专业保密义务的专业人员或由其负责处理，或者由同样根据联盟或成员国法律或国家主管机构制定的规则负有保密义务的另一个人处理。 4. 成员国可以维持或引入进一步的条件，包括有关遗传数据、生物特征数据或健康数据处理的限制。

处理与刑事定罪和犯罪有关的个人数据 根据第 6(1) 条处理与刑事定罪和犯罪或相关安全措施有关的个人数据只能在官方机构的控制下进行，或者在获得为数据主体的权利和自由提供适当保障的联盟或成员国法律授权的情况下进行。任何全面的刑事定罪登记册均应仅在官方机构的控制下保存。

无需识别的处理 1. 如果控制者处理个人数据的目的不需要或不再需要控制者识别数据主体，则控制者没有义务为了遵守本条例的唯一目的而维护、获取或处理附加信息来识别数据主体。 2. 在本条第 1 款所述的情况下，如果控制者能够证明其无法识别数据主体的身份，则控制者应在可能的情况下相应地通知数据主体。在这种情况下，第 15 条至第 20 条不适用，除非数据主体为了行使其在这些条款下的权利，提供了能够识别其身份的附加信息。

透明的信息、沟通和行使数据主体权利的方式 1. 控制者应采取适当措施，以简洁、透明、易懂且易于访问的形式，使用清晰、通俗易懂的语言，提供第 13 条和第 14 条中提到的任何信息以及第 15 条至第 22 条和第 34 条中与数据主体处理相关的任何通信，特别是针对专门针对儿童的任何信息。该信息应以书面形式或通过其他方式提供，包括在适当情况下通过电子方式提供。当数据主体提出要求时，可以口头提供信息，前提是通过其他方式证明数据主体的身份。 2. 控制者应为数据主体行使第 15 条至第 22 条规定的权利提供便利。在第 11 条第（2）款所述情况下，控制者不得拒绝数据主体根据第 15 条至第 22 条行使其权利的请求，除非控制者证明其无法识别数据主体的身份。 3. 控制者应立即向数据主体提供有关根据第 15 条至第 22 条提出的请求所采取行动的信息，并且无论如何应在收到请求后的一个月内提供信息。考虑到请求的复杂性和数量，如有必要，该期限可再延长两个月。控制者应在收到请求后一个月内通知数据主体任何此类延期，并说明延迟的原因。如果数据主体以电子形式提出请求，则应尽可能以电子方式提供信息，除非数据主体另有要求。 4. 如果控制者未根据数据主体的请求采取行动，则控制者应立即并最迟在收到请求后一个月内通知数据主体不采取行动的原因以及向监管机构提出投诉并寻求司法救济的可能性。 5. 根据第 13 条和第 14 条提供的信息以及根据第 15 条至第 22 条和第 34 条采取的任何沟通和采取的任何行动均应免费提供。如果数据主体的请求明显没有根据或过度，特别是由于其重复性，控制者可以： (一) 考虑提供信息或通信或采取所要求的行动的管理费用，收取合理的费用；或 (二) 拒绝按照请求采取行动。 控制者应承担证明请求明显毫无根据或过度的性​​质的责任。 6. 在不影响第 11 条的情况下，如果控制者对提出第 15 条至第 21 条所述请求的自然人的身份有合理怀疑，控制者可以要求提供确认数据主体身份所需的附加信息。 7. 根据第 13 条和第 14 条向数据主体提供的信息可以与标准化图标结合提供，以便以易于看到、理解和清楚易读的方式给出预期处理的有意义的概述。如果图标以电子方式呈现，则它们应是机器可读的。 8. 委员会有权根据第 92 条采取授权行为，以确定图标要呈现的信息以及提供标准化图标的程序。

从数据主体收集个人数据时需要提供的信息 1. 如果从数据主体收集与数据主体相关的个人数据，控制者应在获取个人数据时向数据主体提供以下所有信息： (一) 控制者以及控制者代表（如适用）的身份和联系方式； (二) 数据保护官的联系方式（如适用）； (三) 个人数据处理的目的以及处理的法律依据； (四) 如果处理是基于第 6(1) 条 (f) 点，则控制者或第三方追求的合法利益； （五） 个人数据的接收者或接收者类别（如有）； （六） 在适用的情况下，控制者打算将个人数据转移到第三国或国际组织的事实以及委员会是否存在充分性决定，或者在第 46 条或第 47 条或第 49(1) 条第二项中提到的转移的情况下，提及适当或适当的保障措施以及获取其副本或已提供这些副本的方式。 2. 除了第 1 款中提到的信息外，控制者还应在获取个人数据时向数据主体提供以下必要的进一步信息，以确保公平和透明的处理： (一) 个人数据的存储期限，或者如果不可能，则用于确定该期限的标准； (二) 是否有权要求控制者访问、更正或删除个人数据或限制有关数据主体的处理或反对处理以及数据可移植性的权利； (三) 如果处理是基于第 6(1) 条 (a) 点或第 9(2) 条 (a) 点，则存在随时撤回同意的权利，而不影响撤回之前基于同意进行的处理的合法性； (四) 向监管机构提出投诉的权利； （五） 提供个人数据是否是法定或合同要求，或者是签订合同所必需的要求，以及数据主体是否有义务提供个人数据以及不提供此类数据可能产生的后果； （六） 存在自动决策，包括第 22(1) 和 (4) 条中提到的分析，并且至少在这些情况下，有关所涉及逻辑的有意义的信息，以及此类处理对数据主体的意义和预期后果。 3. 如果控制者打算出于收集个人数据的目的以外的目的进一步处理个人数据，则控制者应在进一步处理之前向数据主体提供有关该其他目的的信息以及第 2 段中提到的任何相关的进一步信息。 4. 如果数据主体已经拥有该信息，则第 1、2 和 3 款不适用。

未从数据主体获得个人数据时应提供的信息 1. 如果尚未从数据主体处获取个人数据，控制者应向数据主体提供以下信息： (一) 控制者以及控制者代表（如适用）的身份和联系方式； (二) 数据保护官的联系方式（如适用）； (三) 个人数据处理的目的以及处理的法律依据； (四) 有关个人数据的类别； （五） 个人数据的接收者或接收者类别（如有）； （六） 在适用的情况下，控制者打算将个人数据转移给第三国或国际组织的接收者，以及委员会是否做出充分性决定，或者在第 46 条或第 47 条或第 49(1) 条第二项中提到的转移的情况下，提及适当或适当的保障措施以及获取其副本的方式或已提供的方式。 2. 除了第 1 款中提到的信息外，控制者还应向数据主体提供以下必要的信息，以确保对数据主体进行公平和透明的处理： (一) 个人数据的存储期限，或者如果不可能，则用于确定该期限的标准； (二) 如果处理是基于第 6(1) 条 (f) 点，则控制者或第三方追求的合法利益； (三) 是否存在要求控制者访问、更正或删除个人数据或限制有关数据主体的处理并反对处理的权利以及数据可移植性的权利； (四) 如果处理是基于第 6(1) 条 (a) 点或第 9(2) 条 (a) 点，则存在随时撤回同意的权利，而不影响撤回之前基于同意进行的处理的合法性； （五） 向监管机构提出投诉的权利； （六） 个人数据的来源，以及如果适用，是否来自可公开访问的来源； （克） 存在自动决策，包括第 22(1) 和 (4) 条中提到的分析，并且至少在这些情况下，有关所涉及逻辑的有意义的信息，以及此类处理对数据主体的意义和预期后果。 3. 控制者应提供第 1 款和第 2 款中提到的信息： (一) 在获取个人数据后的合理期限内，但最迟在一个月内，考虑到处理个人数据的具体情况； (二) 如果个人数据用于与数据主体进行通信，则最晚在与该数据主体首次通信时；或 (三) 如果打算向其他接收者披露，则最迟在首次披露个人数据时。 4. 如果控制者打算出于获取个人数据的目的以外的目的进一步处理个人数据，则控制者应在进一步处理之前向数据主体提供有关该其他目的的信息以及第 2 款中提到的任何相关的进一步信息。 5. 第 1 款至第 4 款不适用于以下情况： (一) 数据主体已经拥有该信息； (二) 提供此类信息被证明是不可能的或将涉及不成比例的努力，特别是为了公共利益的存档目的、科学或历史研究目的或统计目的而进行的处理，但须遵守第 89 条第(1)款所述的条件和保障措施，或者本条第 1 款所述的义务可能导致不可能或严重损害实现该处理的目标。在这种情况下，控制者应采取适当措施保护数据主体的权利、自由和合法利益，包括公开信息； (三) 控制者须遵守的联盟或成员国法律明确规定了获取或披露的情况，并提供了适当的措施来保护数据主体的合法利益；或 (四) 个人数据必须保密，并遵守联盟或成员国法律规定的专业保密义务，包括法定保密义务。

数据主体的访问权 1. 数据主体有权从控制者处获得有关其个人数据是否正在被处理的确认，并且在这种情况下，有权访问个人数据和以下信息： (一) 处理的目的； (二) 有关个人数据的类别； (三) 已经或将要披露个人数据的接收者或接收者类别，特别是第三国或国际组织的接收者； (四) 如果可能，个人数据的存储期限，或者如果不可能，用于确定该期限的标准； （五） 是否有权要求控制者纠正或删除个人数据或限制处理有关数据主体的个人数据或反对此类处理； （六） 向监管机构提出投诉的权利； （克） 如果个人数据不是从数据主体收集的，则有关其来源的任何可用信息； （八） 存在自动决策，包括第 22(1) 和 (4) 条中提到的分析，并且至少在这些情况下，有关所涉及逻辑的有意义的信息，以及此类处理对数据主体的意义和预期后果。 2. 如果个人数据被转移到第三国或国际组织，数据主体应有权获知根据第 46 条与转移相关的适当保障措施。 3. 控制者应提供正在处理的个人数据的副本。对于数据主体请求的任何进一步副本，控制者可以根据管理成本收取合理的费用。数据主体通过电子方式提出请求的，除非数据主体另有要求，信息应当以常用的电子形式提供。 4. 第 3 款中提及的获取副本的权利不得对他人的权利和自由产生不利影响。

整改权 数据主体有权立即要求控制者纠正与其相关的不准确个人数据。考虑到处理的目的，数据主体有权补全不完整的个人数据，包括通过提供补充声明的方式。

删除权（“被遗忘权”） 1. 数据主体有权要求控制者立即删除与其有关的个人数据，并且在以下理由之一适用的情况下，控制者有义务立即删除个人数据： (一) 就收集或以其他方式处理个人数据的目的而言，不再需要这些个人数据； (二) 数据主体撤回根据第 6(1) 条 (a) 点或第 9(2) 条 (a) 点进行处理所依据的同意，并且没有其他法律依据进行处理； (三) 数据主体反对根据第 21(1) 条进行处理，并且没有压倒性的合法理由进行处理，或者数据主体反对根据第 21(2) 条进行处理； (四) 个人数据已被非法处理； （五） 为了遵守控制者所遵守的联盟或成员国法律中的法律义务，必须删除个人数据； （六） 个人数据的收集与提供第 8(1) 条中提到的信息社会服务有关。 2. 如果控制者已公开个人数据并根据第 1 款有义务删除个人数据，则考虑到现有技术和实施成本，控制者应采取合理措施（包括技术措施）通知正在处理个人数据的控制者，数据主体已要求控制者删除这些个人数据的任何链接或复制品。 3. 第 1 款和第 2 款不适用于需要进行处理的情况： (一) 行使言论和信息自由权； (二) 为了遵守要求控制者遵守的联盟或成员国法律进行处理的法律义务，或者为了执行为了公共利益而执行的任务，或者为了行使控制者所拥有的官方权力； (三) 根据第 9(2) 条第 (h) 和 (i) 点以及第 9(3) 条，出于公共卫生领域公共利益的原因； (四) 根据第 89(1) 条，为了公共利益的归档目的、科学或历史研究目的或统计目的，只要第 1 款中提到的权利可能导致不可能或严重损害实现该处理的目标；或 （五） 用于提出、行使或辩护法律主张。

限制处理的权利 1. 在下列情况之一适用的情况下，数据主体有权从控制者那里获得处理限制： (一) 数据主体对个人数据的准确性提出质疑，一段时间内使控制者能够验证个人数据的准确性； (二) 该处理是非法的，并且数据主体反对删除个人数据并要求限制其使用； (三) 控制者不再需要个人数据来进行处理，但数据主体需要这些数据来建立、行使或辩护法律主张； (四) 数据主体反对根据第 21(1) 条进行处理，等待验证控制者的合法理由是否优先于数据主体的合法理由。 2. 如果处理受到第 1 款的限制，则除存储外，此类个人数据仅应在数据主体同意的情况下进行处理，或用于建立、行使或辩护法律主张，或用于保护其他自然人或法人的权利，或出于联盟或成员国的重要公共利益的原因。 3. 根据第 1 款获得处理限制的数据主体应在处理限制解除前由控制者通知。

有关纠正或删除个人数据或限制处理的通知义务 控制者应将根据第 16 条、第 17(1) 条和第 18 条对个人数据进行的任何更正或删除或处理限制告知已向其披露个人数据的每个接收者，除非事实证明这是不可能的或需要付出过多的努力。如果数据主体提出要求，控制者应告知数据主体有关这些接收者的信息。

数据可移植性的权利 1. 数据主体有权以结构化、常用和机器可读的格式接收他或她向控制者提供的有关他或她的个人数据，并有权将这些数据传输给另一个控制者，而不受已提供个人数据的控制者的阻碍，其中： (一) 处理基于第 6(1) 条 (a) 点或第 9(2) 条 (a) 点的同意，或根据第 6(1) 条 (b) 点的合同；和 (二) 处理是通过自动化方式进行的。 2. 在根据第 1 款行使其数据可移植性权利时，数据主体应有权在技术可行的情况下将个人数据从一个控制者直接传输到另一个控制者。 3. 行使本条第 1 款所述权利不应损害第 17 条。该权利不适用于为执行公共利益而执行的任务或行使控制者的官方权力所必需的处理。 4. 第 1 款提及的权利不得对他人的权利和自由产生不利影响。

反对权 1. 数据主体有权基于与其具体情况有关的理由，随时反对根据第 6(1) 条 (e) 或 (f) 点处理与其有关的个人数据，包括基于这些规定的分析。控制者不得再处理个人数据，除非控制者证明有令人信服的合法理由进行处理，该理由凌驾于数据主体的利益、权利和自由之上，或者用于建立、行使或辩护法律主张。 2. 如果出于直接营销目的而处理个人数据，则数据主体有权随时反对出于此类营销目的处理与其相关的个人数据，其中包括与此类直接营销相关的分析。 3. 如果数据主体反对出于直接营销目的进行处理，则不得再为此类目的处理个人数据。 4. 最迟在与数据主体首次沟通时，应明确提请数据主体注意第 1 款和第 2 款中提到的权利，并应与任何其他信息分开清晰地呈现。 5. 在使用信息社会服务的背景下，尽管有指令 2002/58/EC，数据主体仍可以使用技术规范通过自动方式行使其反对权。 6. 如果根据第 89 条第（1）款为科学或历史研究目的或统计目的处理个人数据，数据主体有权基于其具体情况反对处理与其有关的个人数据，除非该处理是为了执行出于公共利益原因而执行的任务所必需的。

自动化个人决策，包括分析 1. 数据主体有权不接受仅基于自动化处理（包括分析）的决定，该决定对他或她产生法律效力或类似地对其产生重大影响。 2. 如果该决定符合以下条件，则第 1 款不适用： (一) 是数据主体与数据控制者之间签订或履行合同所必需的； (二) 经联盟或成员国法律授权，控制者须遵守该法律，该法律还规定了适当的措施来保护数据主体的权利、自由和合法利益；或 (三) 基于数据主体的明确同意。 3. 在第 2 款 (a) 和 (c) 点提到的情况下，数据控制者应采取适当的措施来保护数据主体的权利、自由和合法利益，至少是获得控制者人为干预、表达其观点并对决定提出异议的权利。 4. 第 2 款中提到的决定不应基于第 9 条第 (1) 款中提到的特殊类别的个人数据，除非适用第 9 条第 (2) 款 (a) 或 (g) 点，并且采取了适当措施来保护数据主体的权利、自由和合法利益。

限制 1. 数据控制者或处理者所遵守的联盟或成员国法律可以通过立法措施限制第 12 至 22 条和第 34 条以及第 5 条规定的义务和权利的范围，只要其规定与第 12 至 22 条规定的权利和义务相对应，前提是这种限制尊重基本权利和自由的本质，并且是民主社会中必要且相称的措施，以保障： (一) 国家安全； (二) 防御； (三) 公共安全； (四) 预防、调查、侦查或起诉刑事犯罪或执行刑事处罚，包括防范和防止对公共安全的威胁； （五） 联盟或成员国一般公共利益的其他重要目标，特别是联盟或成员国的重要经济或金融利益，包括货币、预算和税收事项、公共卫生和社会保障； （六） 保护司法独立和司法程序； （克） 预防、调查、侦查和起诉受监管职业的违反道德行为； （八） 在(a)至(e)和(g)点提到的情况下，与行使官方权力有关的监督、检查或监管职能，即使偶尔也是如此； (一) 保护数据主体或他人的权利和自由； (j) 民法索赔的执行。 2. 特别是，第 1 款提及的任何立法措施应至少在相关情况下包含以下具体规定： (一) 处理的目的或处理的类别； (二) 个人数据的类别； (三) 实施限制的范围； (四) 防止滥用或非法访问或转移的保障措施； （五） 控制器的规格或控制器的类别； （六） 考虑到处理或处理类别的性质、范围和目的，存储期限和适用的保障措施； （克） 数据主体的权利和自由面临的风险；和 （八） 数据主体被告知有关限制的权利，除非这可能有损于限制的目的。

控制者的责任 1. 考虑到处理的性质、范围、背景和目的，以及自然人权利和自由的不同可能性和严重程度的风险，控制者应采取适当的技术和组织措施，以确保并能够证明处理是根据本条例进行的。必要时应对这些措施进行审查和更新。 2. 如果与处理活动相称，第 1 款中提到的措施应包括控制者实施适当的数据保护政策。 3. 遵守第 40 条所述经批准的行为准则或第 42 条所述经批准的认证机制可用作证明控制者遵守义务的一个要素。

设计和默认情况下的数据保护 1. 考虑到现有技术、实施成本以及处理的性质、范围、背景和目的，以及处理对自然人权利和自由造成的不同可能性和严重性的风险，控制者应在确定处理方式和处理本身时，实施适当的技术和组织措施，例如假名化，旨在以有效的方式实施数据保护原则，例如数据最小化，并将必要的保障措施纳入数据保护原则。为满足本条例的要求并保护数据主体的权利而进行的处理。 2. 控制者应采取适当的技术和组织措施，以确保默认情况下仅处理每个特定处理目的所需的个人数据。该义务适用于收集的个人数据量、处理范围、存储期限及其可访问性。特别是，此类措施应确保在默认情况下，未经个人干预，不定数量的自然人无法访问个人数据。 3. 根据第 42 条批准的认证机制可用作证明符合本条第 1 款和第 2 款规定要求的要素。

联合控制者 1. 两个以上控制者共同确定处理目的和方式的，为共同控制者。他们应以透明的方式确定各自遵守本条例义务的责任，特别是在行使数据主体的权利以及各自提供第 13 条和第 14 条中提到的信息的责任方面，通过他们之间的安排，除非控制者各自的责任由控制者所遵守的联盟或成员国法律确定。该布置可以指定数据主体的接触点。 2. 第一项所指的安排应适当反映共同控制人各自的角色和关系 相对 数据主体。该安排的实质内容应提供给数据主体。 3. 无论第 1 款中提到的安排条款如何，数据主体都可以根据本条例针对每个控制者行使其权利。

不在联盟内设立的控制者或处理者的代表 1. 在适用第 3 条第(2)款的情况下，控制者或处理者应以书面形式在联盟指定一名代表。 2. 本条第 1 款规定的义务不适用于： (一) 偶尔进行的处理，不包括大规模处理第 9(1) 条中提到的特殊类别数据或处理第 10 条中提到的与刑事定罪和犯罪有关的个人数据，并且考虑到处理的性质、背景、范围和目的，不太可能对自然人的权利和自由造成风险；或 (二) 公共当局或机构。 3. 该代表应设立在数据主体所在的成员国之一，该数据主体的个人数据因向其提供商品或服务而被处理，或其行为受到监控。 4. 控制者或处理者应授权代表除控制者或处理者之外或代替控制者或处理者，特别是监管机构和数据主体，处理与处理相关的所有问题，以确保遵守本条例。 5. 控制者或处理者指定代表不应影响针对控制者或处理者本身提起的法律诉讼。

处理器 1. 如果代表控制者进行处理，控制者应仅使用提供充分保证的处理者来实施适当的技术和组织措施，以使处理满足本条例的要求并确保保护数据主体的权利。 2. 未经控制者事先特定或一般书面授权，处理者不得聘用其他处理者。在一般书面授权的情况下，处理者应通知控制者有关添加或更换其他处理者的任何预期变更，从而使控制者有机会反对此类变更。 3. 处理者的处理应受欧盟或成员国法律规定的合同或其他法律行为的管辖，该合同或其他法律行为对处理者与控制者具有约束力，并规定了处理的主题和持续时间、处理的性质和目的、个人数据的类型和数据主体的类别以及控制者的义务和权利。该合同或其他法律行为应特别规定处理者： (一) 仅根据控制者的书面指示处理个人数据，包括将个人数据传输至第三国或国际组织，除非处理者须遵守的欧盟或成员国法律要求这样做；在这种情况下，处理者应在处理之前告知控制者该法律要求，除非该法律以公共利益的重要理由禁止此类信息； (二) 确保被授权处理个人数据的人员已承诺保密或承担适当的法定保密义务； (三) 采取第 32 条规定的一切措施； (四) 尊重第 2 段和第 4 段中提及的聘请其他处理者的条件； （五） 考虑到处理的性质，在可能的情况下，通过适当的技术和组织措施协助控制者履行控制者对行使第三章规定的数据主体权利的请求做出回应的义务； （六） 考虑处理的性质和处理者可获得的信息，协助控制者确保遵守第 32 至 36 条规定的义务； （克） 根据控制者的选择，在提供与处理相关的服务结束后删除或将所有个人数据返回给控制者，并删除现有副本，除非欧盟或成员国法律要求存储个人数据； （八） 向控制者提供所有必要的信息，以证明遵守本条规定的义务，并允许和促进控制者或控制者授权的其他审计员进行审计，包括检查。 关于第一小段的 (h) 点，如果处理者认为指令违反了本条例或其他欧盟或成员国数据保护规定，则应立即通知控制者。 4. 如果处理者委托另一处理者代表控制者执行特定的处理活动，则应通过联盟或成员国法律下的合同或其他法律行为的方式对该其他处理者施加第 3 款中提到的控制者与处理者之间的合同或其他法律行为中规定的相同数据保护义务，特别是提供足够的保证以实施适当的技术和组织措施，以使处理满足本法规的要求。如果其他处理者未能履行其数据保护义务，则初始处理者仍应对控制者履行该其他处理者的义务承担全部责任。 5. 处理者遵守第 40 条中提到的经批准的行为准则或第 42 条中提到的经批准的认证机制可以用作证明本条第 1 款和第 4 款中提到的充分保证的要素。 6. 在不影响控制者和处理者之间的个人合同的情况下，本条第 3 款和第 4 款中提到的合同或其他法律行为可以全部或部分基于本条第 7 款和第 8 款中提到的标准合同条款，包括当它们是根据第 42 条和第 43 条授予控制者或处理者的证明的一部分时。 7. 委员会可针对本条第 3 款和第 4 款所述事项并根据第 93 条第(2)款所述审查程序制定标准合同条款。 8. 监管机构可以针对本条第 3 款和第 4 款所述事项并根据第 63 条所述的一致性机制采用标准合同条款。 9. 第 3 款和第 4 款提及的合同或其他法律行为应采用书面形式，包括电子形式。 10. 在不影响第 82 条、第 83 条和第 84 条的情况下，如果处理者因确定处理的目的和方式而违反本条例，则该处理者应被视为该处理的控制者。

在控制者或处理者的授权下进行处理 处理者以及在控制者或处理者授权下行事且有权访问个人数据的任何人，除非根据控制者的指示，否则不得处理这些数据，除非联盟或成员国法律要求这样做。

加工活动记录 1. 每个控制者以及控制者的代表（如适用）应保存其负责的处理活动的记录。该记录应包含以下所有信息： (一) 控制者以及联合控制者、控制者代表和数据保护官（如适用）的姓名和联系方式； (二) 处理的目的； (三) 对数据主体类别和个人数据类别的描述； (四) 已经或将要披露个人数据的接收者类别，包括第三国或国际组织的接收者； （五） 在适用的情况下，将个人数据转移到第三国或国际组织，包括该第三国或国际组织的身份识别，以及在第 49(1) 条第二项中提到的转移的情况下，适当保障措施的文件； （六） 在可能的情况下，删除不同类别数据的设想时限； （克） 在可能的情况下，对第 32(1) 条中提到的技术和组织安全措施的一般描述。 2. 每个处理者和处理者代表（如果适用）应保存代表控制者进行的所有类别的处理活动的记录，其中包含： (一) 一个或多个处理者以及该处理者所代表的每个控制者的姓名和联系方式，以及控制者或处理者代表以及数据保护官（如适用）的姓名和联系方式； (二) 代表每个控制者执行的处理类别； (三) 在适用的情况下，将个人数据转移到第三国或国际组织，包括该第三国或国际组织的身份识别，以及在第 49(1) 条第二项中提到的转移的情况下，适当保障措施的文件； (四) 在可能的情况下，对第 32(1) 条中提到的技术和组织安全措施的一般描述。 3. 第 1 款和第 2 款提及的记录应采用书面形式，包括电子形式。 4. 控制者或处理者，以及（如适用）控制者或处理者的代表，应根据要求向监管机构提供记录。 5. 第 1 款和第 2 款中提到的义务不适用于雇用人数少于 250 人的企业或组织，除非其进行的处理可能会对数据主体的权利和自由造成风险、该处理不是偶然的、或者该处理包括第 9 条第（1）款所述的特殊类别数据或与第 10 条所述的刑事定罪和犯罪有关的个人数据。

与监管机构的合作 控制者和处理者及其代表（如适用）应根据要求与监管机构合作执行其任务。

处理安全 1. 考虑到现有技术、实施成本以及处理的性质、范围、背景和目的，以及自然人权利和自由的不同可能性和严重程度的风险，控制者和处理者应实施适当的技术和组织措施，以确保与风险相适应的安全级别，其中酌情包括： (一) 个人数据的假名化和加密； (二) 确保处理系统和服务持续保密性、完整性、可用性和弹性的能力； (三) 在发生物理或技术事件时及时恢复个人数据的可用性和访问的能力； (四) 定期测试、评估和评估技术和组织措施有效性的流程，以确保处理安全。 2. 在评估适当的安全级别时，应特别考虑处理所带来的风险，特别是意外或非法破坏、丢失、更改、未经授权的披露或访问传输、存储或以其他方式处理的个人数据。 3. 遵守第 40 条所述经批准的行为准则或第 42 条所述经批准的认证机制可作为证明遵守本条第 1 款规定的要求的一个要素。 4. 控制者和处理者应采取措施，确保在控制者或处理者授权下有权访问个人数据的任何自然人除非根据控制者的指示，否则不会处理这些数据，除非联盟或成员国法律要求他或她这样做。

向监管机构通知个人数据泄露 1. 如果发生个人数据泄露，控制者应立即并在可行的情况下，在发现此事后 72 小时内，根据第 55 条将个人数据泄露情况通知主管监管机构，除非个人数据泄露不太可能对自然人的权利和自由造成风险。 72小时内未通知监管机构的，应当附有迟延原因。 2. 处理者在意识到个人数据泄露后应立即通知控制者，不得无故拖延。 3. 第 1 款所指的通知至少应： (一) 描述个人数据泄露的性质，包括在可能的情况下，相关数据主体的类别和大致数量以及相关个人数据记录的类别和大致数量； (二) 传达数据保护官员或其他可以获取更多信息的联络点的姓名和联系方式； (三) 描述个人数据泄露可能造成的后果； (四) 描述控制者为解决个人数据泄露问题而采取或建议采取的措施，包括在适当情况下减轻其可能的不利影响的措施。 4. 在不可能同时提供信息的情况下，可以分阶段提供信息，而不会过度延迟。 5. 控制者应记录任何个人数据泄露行为，包括与个人数据泄露相关的事实、其影响以及所采取的补救措施。该文件应使监管机构能够核实本条的遵守情况。

向数据主体传达个人数据泄露事件 1. 当个人数据泄露可能对自然人的权利和自由造成高风险时，控制者应立即将个人数据泄露情况告知数据主体。 2. 与本条第 1 款中提到的数据主体的通信应以清晰、通俗易懂的语言描述个人数据泄露的性质，并至少包含第 33(3) 条 (b)、(c) 和 (d) 点中提到的信息和措施。 3. 如果满足以下任何条件，则无需与第 1 款中提到的数据主体进行通信： (一) 控制者已实施适当的技术和组织保护措施，并且这些措施适用于受个人数据泄露影响的个人数据，特别是那些使未经授权访问的任何人无法理解个人数据的措施，例如加密； (二) 控制者已采取后续措施，确保第 1 款中提到的数据主体的权利和自由的高风险不再可能发生； (三) 这将需要付出不成比例的努力。在这种情况下，应采取公共沟通或类似措施，以同样有效的方式告知数据主体。 4. 如果控制者尚未将个人数据泄露情况告知数据主体，监管机构在考虑个人数据泄露导致高风险的可能性后，可能会要求其这样做，或者可能会决定满足第 3 款中提到的任何条件。

数据保护影响评估 1. 如果某种处理类型，特别是使用新技术，并考虑到处理的性质、范围、背景和目的，可能对自然人的权利和自由造成高风险，则控制者应在处理之前评估预期处理操作对个人数据保护的影响。单个评估可以解决一组具有类似高风险的类似处理操作。 2. 在进行数据保护影响评估时，控制者应征求指定的数据保护官员的建议。 3. 在以下情况下，尤其需要进行第 1 款中提到的数据保护影响评估： (一) 基于自动化处理（包括分析）对与自然人有关的个人方面进行系统和广泛的评估，并据此做出对自然人产生法律效力或类似地对自然人产生重大影响的决策； (二) 大规模处理第 9(1) 条中提到的特殊类别数据，或第 10 条中提到的与刑事定罪和犯罪有关的个人数据；或 (三) 对公共区域进行大规模的系统监控。 4. 监管机构应根据第 1 款建立并公布需要进行数据保护影响评估的处理操作类型清单。监管机构应将这些清单传达给第 68 条中提到的委员会。 5. 监管机构还可以建立并公布不需要数据保护影响评估的处理操作类型清单。监管机构应将这些名单传达给董事会。 6. 在采用第 4 款和第 5 款提到的清单之前，主管监管机构应适用第 63 条中提到的一致性机制，如果此类清单涉及与向数据主体提供商品或服务或监控其在多个成员国的行为有关的处理活动，或者可能严重影响个人数据在欧盟内的自由流动。 7. 评估应至少包含： (一) 对设想的处理操作和处理目的的系统描述，包括（如适用）控制者追求的合法利益； (二) 评估与目的相关的处理操作的必要性和相称性； (三) 对第 1 段中提到的数据主体的权利和自由的风险评估；和 (四) 为应对风险而设想的措施，包括保障措施、安全措施和机制，以确保保护个人数据并证明遵守本条例，同时考虑到数据主体和其他相关人员的权利和合法利益。 8. 在评估相关控制者或处理者执行的处理操作的影响时，特别是为了数据保护影响评估的目的，应适当考虑相关控制者或处理者对第 40 条中提到的经批准的行为准则的遵守情况。 9. 在适当的情况下，控制者应就预期处理征求数据主体或其代表的意见，而不损害商业或公共利益的保护或处理操作的安全。 10. 如果根据第 6(1) 条 (c) 或 (e) 点进行的处理在欧盟法律或控制者所在成员国的法律中具有法律依据，且该法律规范了相关的具体处理操作或一组操作，并且数据保护影响评估已经作为采用该法律依据的一般影响评估的一部分进行，则第 1 至 7 款不应适用，除非成员国认为有必要在处理活动之前进行此类评估。 11. 必要时，控制者应至少在处理操作所代表的风险发生变化时进行审查，以评估处理是否按照数据保护影响评估进行。

事前咨询 1. 如果根据第 35 条进行的数据保护影响评估表明，在控制者不采取措施降低风险的情况下，处理将导致高风险，控制者应在处理前咨询监管机构。 2. 如果监管机构认为第 1 款中提到的预期处理将违反本条例，特别是在控制者没有充分识别或减轻风险的情况下，监管机构应在收到咨询请求后最多八周内向控制者提供书面建议，并且在适用于处理者的情况下，可以使用第 58 条中提到的任何权力。考虑到预期处理的复杂性，该期限可以延长六周。监管机构应在收到咨询请求后一个月内通知控制者和处理者（如适用）任何此类延期以及延迟的原因。这些期限可能会暂停，直到监管机构获得其为磋商目的而要求的信息为止。 3. 控制人依照第1款向监管机构咨询时，应当向监管机构提供： (一) 在适用的情况下，参与处理的控制者、联合控制者和处理者各自的责任，特别是在企业集团内进行的处理； (二) 预期处理的目的和方式； (三) 根据本条例为保护数据主体的权利和自由而提供的措施和保障措施； (四) 如果适用，数据保护官的联系方式； （五） 第 35 条规定的数据保护影响评估；和 （六） 监管机构要求的任何其他信息。 4. 成员国在准备由国家议会通过的立法措施提案或基于此类立法措施的监管措施提案时，应咨询监管机构，其中涉及处理。 5. 尽管有第 1 款的规定，成员国法律可能要求控制者就控制者为了公共利益而执行的任务（包括与社会保护和公共卫生有关的处理）进行处理，与监管机构进行协商并获得监管机构的事先授权。

指定数据保护官 1. 在任何情况下，控制者和处理者均应指定一名数据保护官： (一) 处理由公共当局或机构进行，但以司法身份行事的法院除外； (二) 控制者或处理者的核心活动包括处理操作，由于其性质、范围和/或目的，需要对数据主体进行大规模的定期和系统监控；或 ▼C1 (三) 控制者或处理者的核心活动包括根据第 9 条大规模处理特殊类别的数据或与第 10 条提及的刑事定罪和犯罪有关的个人数据。 ▼B 2. 一组企业可以任命一名数据保护官员，前提是每个企业都可以轻松联系到一名数据保护官员。 3. 如果控制者或处理者是公共机构或机构，则考虑到其组织结构和规模，可以为多个此类机构或机构指定一名数据保护官员。 4. 在第 1 款提到的情况以外的情况下，控制者或处理者或代表控制者或处理者类别的协会和其他机构可以，或者根据联盟或成员国法律的要求，指定一名数据保护官。数据保护官可以代表此类协会和代表控制者或处理者的其他机构。 5. 数据保护官员的指定应基于专业素质，特别是数据保护法律和实践方面的专业知识以及完成第 39 条所述任务的能力。 6. 数据保护官可以是控制者或处理者的工作人员，或者根据服务合同履行任务。 7. 控制者或处理者应公布数据保护官员的联系方式，并将其传达给监管机构。

数据保护官的职位 1. 控制者和处理者应确保数据保护官适当且及时地参与与个人数据保护相关的所有问题。 2. 控制者和处理者应支持数据保护官员执行第 39 条中提到的任务，提供执行这些任务以及访问个人数据和处理操作所需的资源，并保持其专业知识。 3. 控制者和处理者应确保数据保护官不会收到有关执行这些任务的任何指示。他或她不得因执行任务而被控制者或处理者解雇或处罚。数据保护官应直接向控制者或处理者的最高管理层报告。 4. 数据主体可以就与处理其个人数据以及行使本条例规定的权利有关的所有问题联系数据保护官员。 5. 根据联盟或成员国法律，数据保护官员在履行其任务时应受到保密或保密的约束。 6. 数据保护官可以履行其他任务和职责。控制者或处理者应确保任何此类任务和职责不会导致利益冲突。

数据保护官的任务 1. 数据保护官至少应承担以下任务： (一) 通知并建议控制者或处理者以及根据本法规和其他联盟或成员国数据保护规定履行其义务的员工； (二) 监督本条例、其他欧盟或成员国数据保护规定以及控制者或处理者有关个人数据保护的政策的遵守情况，包括责任分配、参与处理操作的员工的意识提高和培训以及相关审计； (三) 根据要求提供有关数据保护影响评估的建议，并根据第 35 条监控其绩效； (四) 与监管机构合作； （五） 作为监管机构就与处理有关的问题（包括第 36 条中提到的事先协商）的联络点，并在适当情况下就任何其他事项进行协商。 2. 数据保护官员在执行任务时应适当考虑与处理操作相关的风险，并考虑处理的性质、范围、背景和目的。

行为准则 1. 成员国、监管机构、理事会和委员会应鼓励制定行为准则，以促进本法规的正确实施，同时考虑到各个加工行业的具体特点以及微型、小型和中型企业的具体需求。 2. 代表控制者或处理者类别的协会和其他机构可以制定行为准则，或者修改或扩展此类准则，以明确本法规的应用，例如： (一) 公平、透明的处理； (二) 控制者在特定情况下追求的合法利益； (三) 个人数据的收集； (四) 个人数据的假名化； （五） 向公众和数据主体提供的信息； （六） 数据主体权利的行使； （克） 向儿童提供的信息和对儿童的保护，以及获得对儿童负有父母责任的人同意的方式； （八） 第 24 条和第 25 条所述的措施和程序以及第 32 条所述的确保处理安全的措施； (一) 向监管机构通报个人数据泄露情况，并向数据主体通报此类个人数据泄露情况； (j) 将个人数据传输至第三国或国际组织；或 (k) 用于解决控制者和数据主体之间有关处理的争议的庭外诉讼和其他争议解决程序，且不损害数据主体根据第 77 条和第 79 条所享有的权利。 3. 除了受本条例约束的控制者或处理者遵守外，根据第 3 条不受本条例约束的控制者或处理者也可以遵守根据本条第 5 款批准并根据本条第 9 款具有普遍有效性的行为准则，以便根据第 46(2) 条 (e) 点所述的条款，在向第三国或国际组织传输个人数据的框架内提供适当的保障。此类控制者或处理者应通过合同或其他具有法律约束力的文书做出具有约束力和可执行的承诺，以应用这些适当的保障措施，包括数据主体权利方面的保障措施。 4. 本条第 2 款所指的行为准则应包含机制，使第 41 条第（1）款所指的机构能够对承诺实施该准则的控制者或处理者遵守其规定的情况进行强制监督，且不影响根据第 55 条或第 56 条规定的主管监督机构的任务和权力。 5. 本条第 2 款中提到的协会和其他机构，如打算制定行为准则或修订或扩展现有准则，应将准则草案、修订或扩展提交给根据第 55 条有权限的监管机构。监管机构应就准则草案、修订或扩展是否符合本条例提出意见，如果认为准则草案、修订或扩展提供了足够的适当保障，则应批准该准则草案、修订或扩展。 6. 如果准则草案、修正案或扩展根据第 5 款获得批准，并且相关行为准则与多个成员国的处理活动无关，则监管机构应注册并公布该准则。 7. 如果行为准则草案涉及多个成员国的处理活动，则根据第 55 条有权的监管机构应在批准准则草案、修订或扩展之前，按照第 63 条所述的程序将其提交给理事会，理事会应就准则草案、修订或扩展是否符合本条例提出意见，或者在本条第 3 款所述的情况下，提供适当的保障措施。 8. 如果第 7 段中提到的意见确认准则草案、修正案或扩展符合本条例，或者在第 3 段中提到的情况下提供了适当的保障措施，则委员会应向委员会提交其意见。 9. 委员会可以通过实施法案的方式，决定根据本条第 8 款向其提交的经批准的行为准则、修正案或延期在联盟内具有普遍效力。这些实施细则应当按照第九十三条第二款规定的审查程序予以通过。 10. 委员会应确保根据第 9 款确定具有普遍有效性的批准规范的适当宣传。 11. 董事会应将所有批准的行为准则、修订和扩展记录在册，并通过适当的方式向公众公布。

监督批准的行为准则 1. 在不影响第 57 条和第 58 条规定的主管监督机构的任务和权力的情况下，对第 40 条规定的行为准则遵守情况的监督可以由具有与准则主题相关的适当专业水平并获得主管监督机构为此目的认可的机构进行。 2. 第 1 款中提到的机构可以被授权监督行为准则的遵守情况，前提是该机构具有以下特征： (一) 证明其在准则主题方面的独立性和专业知识，令主管监管机构满意； (二) 制定程序，使其能够评估相关控制者和处理者应用准则的资格，监督其遵守准则规定的情况，并定期审查其运作情况； (三) 建立程序和结构来处理有关违反准则或控制者或处理者已经或正在执行准则的方式的投诉，并使这些程序和结构对数据主体和公众透明；和 (四) 向主管监管机构证明其任务和职责不会导致利益冲突。 ▼C1 3. 主管监管机构应根据第 63 条所述的一致性机制向理事会提交本条第 1 款所述机构的认证要求草案。 ▼B 4. 在不影响主管监督机构的任务和权力以及第八章的规定的情况下，本条第 1 款所指的机构应在采取适当保障措施的情况下，在控制者或处理者违反代码的情况下采取适当行动，包括暂停或排除相关控制者或处理者使用代码。它应将此类行动以及采取这些行动的理由通知主管监督机构。 ▼C1 5. 如果第 1 款所述机构未满足或不再满足认可要求，或者该机构采取的行动违反本条例，主管监督机构应撤销该机构的认可。 ▼B 6. 本条不适用于公共当局和机构进行的处理。

认证 1. 成员国、监管机构、理事会和委员会应鼓励，特别是在联盟层面，建立数据保护认证机制以及数据保护印章和标志，以证明控制者和处理者的处理操作遵守本法规。考虑中小微企业的具体需求。 2. 除了受本条例约束的控制者或处理者遵守本条例之外，还可以建立根据本条第 5 款批准的数据保护认证机制、印章或标记，以证明不受本条例第 3 条约束的控制者或处理者在根据第 46(2) 条 (f) 点所述条款向第三国或国际组织传输个人数据的框架内提供适当的保障措施。此类控制者或处理者应通过合同或其他具有法律约束力的文书做出具有约束力和可执行的承诺，以应用这些适当的保障措施，包括数据主体权利方面的保障措施。 3. 认证应是自愿的，并通过透明的流程进行。 4. 根据本条进行的认证不会减少控制者或处理者遵守本条例的责任，并且不影响根据第 55 条或第 56 条有权限的监管机构的任务和权力。 5. 本条规定的认证应由第 43 条中提到的认证机构或主管监管机构根据主管监管机构根据第 58(3) 条批准的标准或由委员会根据第 63 条批准的标准颁发。如果标准得到委员会批准，则可能会产生通用认证，即欧洲数据保护印章。 6. 向认证机构提交其处理过程的控制者或处理者应向第 43 条所述的认证机构或适用的主管监督机构提供进行认证程序所需的所有信息和处理活动的访问权限。 ▼C1 7. 向控制者或处理者颁发的认证有效期最长为三年，并且可以在相同条件下更新，前提是继续满足相关标准。如果不满足或不再满足认证标准，则第四十三条所述的认证机构或主管监督机构应酌情撤销认证。 ▼B 8. 委员会应将所有认证机制以及数据保护印章和标记整理到登记册中，并通过任何适当的方式将其公开。

认证机构 1. 在不影响第 57 条和第 58 条规定的主管监管机构的任务和权力的情况下，在数据保护方面具有适当专业水平的认证机构应在通知监管机构以便允许其根据第 58 条第 (2) 款 (h) 点必要时行使其权力后，颁发和更新认证。成员国应确保这些认证机构获得以下一项或两项认证： (一) 根据第 55 条或第 56 条有管辖权的监督机构； (二) 根据欧洲议会和理事会第 (EC) 765/2008 号法规指定的国家认证机构（ 2 ) 根据 EN-ISO/IEC 17065/2012 以及主管机构根据第 55 条或第 56 条制定的附加要求。 2. 第 1 款中提到的认证机构只有在满足以下条件时才应根据该款获得认可： (一) 证明其在认证主题方面的独立性和专业知识，令主管监管机构满意； (二) 承诺遵守第 42(5) 条中提到的标准，并由有权根据第 55 或 56 条规定的监管机构或根据第 63 条规定由董事会批准； (三) 制定数据保护认证、印章和标志的颁发、定期审查和撤销程序； (四) 建立程序和结构来处理有关控制者或处理者已经或正在实施认证的违规行为或认证方式的投诉，并使这些程序和结构对数据主体和公众透明；和 （五） 使主管监管机构满意的证明，他们的任务和职责不会导致利益冲突。 3. ►C1 本条第 1 款和第 2 款所指的认证机构的认可应根据具有权力的监督机构根据第 55 条或第 56 条批准的要求或由委员会根据第 63 条批准的要求进行。 ◄ 在根据本条第 1 款 (b) 点进行认可的情况下，这些要求应补充法规 (EC) No 765/2008 以及描述认证机构方法和程序的技术规则中的规定。 4. 第 1 款中提到的认证机构应负责进行适当的评估，以导致认证或撤销此类认证，但不影响控制者或处理者遵守本法规的责任。认可的有效期最长为五年，如果认证机构符合本条规定的要求，则可以在相同条件下续展。 5. 第一项所指的认证机构应向主管监督机关提供授予或撤回所请求认证的理由。 ▼C1 6. 本条第 3 款提及的要求和第 42 条第(5)款提及的标准应由监管机构以易于获取的形式公布。监管机构还应将这些要求和标准传达给董事会。 ▼B 7. 在不影响第八章的情况下，如果认证机构不满足或不再满足认可条件，或者认证机构采取的行动违反本条例，主管监督机构或国家认可机构应根据本条第一款撤销认证机构的认可。 8. 委员会应有权根据第 92 条采取授权行为，以明确第 42(1) 条中提到的数据保护认证机制应考虑的要求。 9. 委员会可以通过实施法案，制定认证机制和数据保护印章和标志的技术标准，以及促进和认可这些认证机制、印章和标志的机制。这些实施细则应按照第93条第(2)款所述的审查程序予以通过。

转让的一般原则 只有在不违反本条例其他规定的情况下，控制者和处理者必须遵守本章规定的条件，才能将正在处理或打算在传输后处理的个人数据转移到第三国或国际组织，包括将个人数据从第三国或国际组织转移到另一个第三国或另一个国际组织。本章的所有规定均应适用，以确保本条例保障的自然人保护水平不被削弱。

根据充分性决定进行转移 1. 如果委员会认为第三国、该第三国的一个领土或一个或多个特定部门或相关国际组织确保提供充分的保护，则可以将个人数据转移到第三国或国际组织。此类转让不需要任何特定授权。 2. 在评估保护水平是否充分时，委员会应特别考虑以下因素： (一) 法治、尊重人权和基本自由、一般性和部门性相关立法，包括公共安全、国防、国家安全和刑法以及公共当局获取个人数据的相关立法，以及此类立法、数据保护规则、专业规则和安全措施的实施，包括在该国或国际组织中遵守的将个人数据转移到另一个第三国或国际组织的规则、判例法、以及有效和可执行的数据主体权利以及有效的行政和司法补救措施其个人数据正在被传输的数据主体； (二) 第三国或国际组织所管辖的一个或多个独立监管机构的存在和有效运作，负责确保和强制遵守数据保护规则，包括充分的执法权力，协助和建议数据主体行使其权利，并与成员国监管机构合作；和 (三) 有关第三国或国际组织已作出的国际承诺，或具有法律约束力的公约或文书以及参与多边或区域体系所产生的其他义务，特别是与保护个人数据有关的义务。 3. 委员会在评估保护水平的充分性后，可通过实施法案决定第三国、第三国境内的一个或多个特定部门、或国际组织确保本条第 2 款含义内的充分保护水平。实施法应规定至少每四年定期审查的机制，审查应考虑第三国或国际组织的所有相关发展。实施法案应明确其领土和部门的适用，并在适用时确定本条第 2 款 (b) 点中提到的一个或多个监管机构。实施法应按照第93条第(2)款规定的审查程序予以通过。 4. 委员会应持续监测第三国和国际组织的动态，这些动态可能影响根据本条第 3 款通过的决定以及根据 95/46/EC 指令第 25(6) 条通过的决定的运作。 5. 如果现有信息显示，特别是在本条第 3 款所述审查之后，第三国、第三国的一个领土或一个或多个特定部门、或一个国际组织不再确保本条第 2 款含义内的充分保护水平，则委员会应在必要的范围内，通过不具有追溯力的实施行动，废除、修改或暂停本条第 3 款所述的决定。这些实施细则应按照第93条第(2)款所述的审查程序予以通过。 如果有正当理由的紧急情况，委员会应根据第 93 条第(3)款所述的程序立即通过适用的实施法案。 6. 委员会应与第三国或国际组织进行磋商，以纠正导致根据第 5 款作出决定的情况。 7. 根据本条第 5 款作出的决定不影响根据第 46 条至第 49 条向第三国、该第三国境内的一个领土或一个或多个特定部门或有关国际组织传输个人数据。 8. 委员会应在 欧盟官方公报 并在其网站上列出了其已决定提供或不再提供充分保护的第三国、领土和第三国特定部门以及国际组织的名单。 9. 委员会根据 95/46/EC 指令第 25(6) 条通过的决定应继续有效，直至被根据本条第 3 或 5 款通过的委员会决定修改、取代或废除。

转让须遵守适当的保障措施 1. 在没有根据第 45 条第(3)款作出决定的情况下，只有在控制者或处理者提供了适当的保障措施，并且数据主体具有可执行的数据主体权利和有效的法律补救措施的情况下，控制者或处理者才可以将个人数据转移到第三国或国际组织。 2. 第 1 款中提到的适当保障措施可以通过以下方式提供，无需监管机构的任何具体授权： (一) 公共当局或机构之间具有法律约束力且可执行的文书； (二) 根据第 47 条具有约束力的公司规则； (三) 委员会根据第 93(2) 条所述的审查程序通过的标准数据保护条款； (四) 由监管机构采用并由委员会根据第 93(2) 条所述审查程序批准的标准数据保护条款； （五） 根据第 40 条批准的行为准则，以及第三国控制者或处理者具有约束力且可执行的承诺，以实施适当的保障措施，包括数据主体的权利；或 （六） 根据第 42 条批准的认证机制，以及第三国控制者或处理者具有约束力和可执行的承诺，以实施适当的保障措施，包括数据主体的权利。 3. 经主管监督机构授权，还可以提供第 1 款中提到的适当保障措施，特别是通过以下方式： (一) 控制者或处理者与第三国或国际组织的控制者、处理者或个人数据接收者之间的合同条款；或 (二) 将条款纳入公共当局或机构之间的行政安排，其中包括可执行且有效的数据主体权利。 4. 对于本条第 3 款所述情况，监管机构应适用第 63 条所述一致性机制。 5. 成员国或监管机构根据 95/46/EC 指令第 26(2) 条作出的授权应一直有效，直至该监管机构根据需要进行修改、替换或废除。委员会根据第 95/46/EC 号指令第 26(4) 条通过的决定应一直有效，直至根据本条第 2 款通过的委员会决定进行修订、替换或废除（如有必要）。

具有约束力的公司规则 1. 主管监管机构应根据第 63 条规定的一致性机制批准具有约束力的公司规则，前提是： (一) 具有法律约束力，适用于从事联合经济活动的企业集团或企业集团的每个相关成员，包括其雇员，并由其强制执行； (二) 明确授予数据主体在处理其个人数据方面可执行的权利；和 (三) 满足第 2 段规定的要求。 2. 第 1 款中提到的具有约束力的公司规则应至少规定： (一) 企业集团或从事联合经济活动的企业集团及其每个成员的结构和联系方式； (二) 数据传输或一组传输，包括个人数据的类别、处理类型及其目的、受影响的数据主体的类型以及有关第三国的身份； (三) 其对内和对外的法律约束力； (四) 一般数据保护原则的应用，特别是特定目的限制、数据最小化、有限存储期限、数据质量、设计和默认数据保护、处理的法律依据、特殊类别个人数据的处理、确保数据安全的措施以及向不受具有约束力的公司规则约束的机构继续传输的要求； （五） 数据主体在处理方面的权利以及行使这些权利的方式，包括不接受仅基于自动化处理的决定的权利，包括根据第 22 条进行分析的权利、根据第 79 条向主管监督机构和向成员国主管法院提出投诉的权利，以及因违反具有约束力的公司规则而获得补救和（在适当情况下）赔偿的权利； （六） 设立在成员国境内的控制者或处理者接受对未在联盟设立的任何相关成员违反具有约束力的公司规则的行为的责任；仅在证明该会员对造成损害的事件不负有责任的情况下，控制者或处理者才应全部或部分免除该责任； （克） 除第 13 条和第 14 条外，如何向数据主体提供有关具有约束力的公司规则的信息，特别是有关本段 (d)、(e) 和 (f) 点中提到的规定的信息； （八） 根据第 37 条指定的任何数据保护官员或负责监督企业集团或从事联合经济活动的企业集团内具有约束力的公司规则的遵守情况以及监督培训和投诉处理的任何其他个人或实体的任务； (一) 投诉程序； (j) 从事联合经济活动的企业集团或企业集团内的机制，用于确保核查具有约束力的公司规则的遵守情况。此类机制应包括数据保护审计和确保采取纠正措施以保护数据主体权利的方法。此类核查结果应传达给(h)点中提到的个人或实体以及企业集团或从事联合经济活动的企业集团的控股企业的董事会，并应根据要求向主管监管机构提供； (k) 报告和记录规则变更并向监管机构报告这些变更的机制； (l) 与监管机构的合作机制，以确保企业集团或从事联合经济活动的企业集团的任何成员遵守规定，特别是向监管机构提供(j)点所述措施的核查结果； (米) 向主管监管机构报告企业集团成员或从事联合经济活动的企业集团成员在第三国须遵守的任何法律要求的机制，这些法律要求可能对具有约束力的公司规则提供的担保产生重大不利影响；和 (n) 对永久或定期访问个人数据的人员进行适当的数据保护培训。 3. 委员会可以规定控制者、处理者和监管机构之间交换信息的格式和程序，以约束本条含义内的公司规则。这些实施细则应当按照第九十三条第二款规定的审查程序予以通过。

未经联邦法律授权的转让或披露 要求控制者或处理者传输或披露个人数据的法院或法庭的任何判决以及第三国行政当局的任何决定只有在基于提出请求的第三国与欧盟或成员国之间有效的国际协议（例如司法协助条约）的情况下，才能以任何方式得到承认或执行，且不影响根据本章进行传输的其他理由。

特定情况下的减损 1. 如果没有根据第 45 条第(3)款作出充分性决定，或根据第 46 条没有采取适当的保障措施，包括具有约束力的公司规则，则仅在满足以下条件之一的情况下才可以向第三国或国际组织转移或一组个人数据转移： (一) 在被告知由于缺乏充分的决定和适当的保障措施而对数据主体进行此类传输可能存在的风险后，数据主体已明确同意拟议的传输； (二) 该传输是履行数据主体与控制者之间的合同或实施应数据主体请求而采取的合同前措施所必需的； (三) 该传输是控制者与其他自然人或法人之间为了数据主体的利益而签订的合同的签订或履行所必需的； (四) 出于公共利益的重要原因，有必要进行转让； （五） 该转让对于确立、行使或辩护法律主张是必要的； （六） 当数据主体在身体上或法律上无法给予同意时，为了保护数据主体或其他人的切身利益而有必要进行传输； （克） 转移是从登记册进行的，根据联盟或成员国法律，该登记册旨在向公众提供信息，并且可供公众或任何能够证明合法利益的人进行咨询，但仅限于在特定情况下满足联盟或成员国法律规定的咨询条件。 如果传输不能基于第 45 条或第 46 条的规定，包括有关具有约束力的公司规则的规定，并且本款第一款中提到的特定情况的减损均不适用，则只有在传输不重复、仅涉及有限数量的数据主体、为了强制控制者追求不被数据利益或权利和自由凌驾于其之上的合法利益所必需时，才可以向第三国或国际组织进行传输。主体，并且控制者已评估了与数据传输相关的所有情况，并根据该评估提供了有关个人数据保护的适当保障措施。控制者应将转移情况通知监管机构。除了提供第 13 条和第 14 条中提到的信息外，控制者还应告知数据主体传输情况以及所追求的令人信服的合法利益。 2. 根据第 1 款第 (g) 点进行的转让不应涉及登记册中包含的全部个人数据或全部类别的个人数据。如果登记册供具有合法利益的人查阅，则仅应这些人的请求或者他们是接收者时才可进行转让。 3. 第 1 款第 1 项和第 2 项第 (a)、(b) 和 (c) 点不适用于公共当局行使其公共权力所进行的活动。 4. 第 1 款第 (d) 点中提到的公共利益应在欧盟法律或控制者所在成员国的法律中得到承认。 5. 在缺乏充分性决定的情况下，出于公共利益的重要原因，联盟或成员国法律可以明确限制向第三国或国际组织传输特定类别的个人数据。成员国应将此类规定通知委员会。 6. 控制者或处理者应将评估以及本条第 1 款第二项中提到的适当保障措施记录在第 30 条中提到的记录中。

保护个人数据的国际合作 对于第三国和国际组织，委员会和监管机构应采取适当措施： (一) 建立国际合作机制，促进个人数据保护立法的有效执行； (二) 在执行保护个人数据的立法方面提供国际互助，包括通过通知、投诉转交、调查援助和信息交换，但须采取适当的保障措施来保护个人数据及其他基本权利和自由； (三) 让相关利益攸关方参与旨在促进个人数据保护立法执行方面的国际合作的讨论和活动； (四) 促进个人数据保护立法和实践的交流和记录，包括与第三国的管辖权冲突。

监管机构 1. 每个成员国应规定一个或多个独立的公共机构负责监督本条例的实施，以保护自然人在处理方面的基本权利和自由，并促进个人数据在联盟内的自由流动（“监管机构”）。 2. 每个监管机构应促进本条例在整个联盟的一致应用。为此目的，监管机构应根据第七章相互合作并与委员会合作。 3. 如果一个成员国设立了多个监管机构，该成员国应指定一个监管机构在董事会中代表这些机构，并应制定机制以确保其他机构遵守第 63 条中提到的一致性机制的相关规则。 4. 每个成员国应在 2018 年 5 月 25 日之前向委员会通报其根据本章通过的法律条款，并立即通报影响其的任何后续修正案。

独立 1. 各监管机构应完全独立地根据本条例履行职责并行使其权力。 2. 各监管机构的成员在根据本条例执行任务和行使权力时，应不受外部直接或间接的影响，并且不得寻求或接受任何人的指示。 3. 各监管机构的成员不得采取任何与其职责不相符的行为，并且在任职期间不得从事任何不相容的职业，无论是否有酬。 4. 各成员国应确保为各监管机构提供必要的人力、技术和财政资源、场地和基础设施，以有效履行其任务和行使其权力，包括在互助、合作和参与董事会的情况下执行的权力。 5. 每个成员国应确保每个监管机构选择并拥有自己的工作人员，这些工作人员应服从相关监管机构成员的专属指示。 6. 每个成员国应确保每个监管机构受到不影响其独立性的财务控制，并确保其拥有单独的公共年度预算，该预算可能是整个州或国家预算的一部分。

监管机构成员的一般条件 1. 成员国应规定其监管机构的每位成员均应通过透明程序由以下人员任命： — 他们的议会； — 他们的政府； — 他们的国家元首；或 — 根据成员国法律受托任命的独立机构。 2. 每个成员均应具备履行其职责和行使其权力所需的资格、经验和技能，特别是在个人数据保护领域。 3. 根据有关成员国的法律，成员的职责在任期届满、辞职或强制退休时终止。 4. 只有在会员有严重不当行为或不再符合履行职责所需条件的情况下，才可将会员开除。

监察机关设立细则 1. 每个成员国应通过法律规定以下所有内容： (一) 各监管机构的设立； (二) 任命为各监管机构成员所需的资格和资格条件； (三) 每个监管机构的一名或多名成员的任命规则和程序； (四) 每个监管机构成员的任期不少于四年，2016年5月24日之后的首次任命除外，如果有必要通过交错任命程序保护监管机构的独立性，则部分任期可以缩短； （五） 每个监管机构的成员是否有资格连任，如果有的话，可以连任多少届； （六） 规定每个监管机构的成员和工作人员的义务的条件，在任期内和任期结束后从事与其不相容的行为、职业和福利的禁令，以及终止雇用的规则。 2. 每个监管机构的成员和工作人员应根据联盟或成员国法律，在其任期内和任期结束后，对其在执行任务或行使其权力过程中获悉的任何机密信息负有职业保密义务。在任职期间，职业保密义务尤其适用于自然人举报违反本条例的行为。

能力 1. 各监管机构应有权在其成员国境内执行本条例赋予的任务并行使赋予的权力。 2. 如果数据处理是由公共机构或私人机构根据第 6 条第 (1) 款 (c) 或 (e) 点行事，则相关成员国的监管机构应具有管辖权。在这种情况下，第 56 条不适用。 3. 监督机构无权监督法院以司法身份行事的处理操作。

主要监管机构的权限 1. 在不影响第 55 条的情况下，控制者或处理者的主要机构或单一机构的监管机构应有权根据第 60 条规定的程序，担任该控制者或处理者进行的跨境处理的牵头监管机构。 2. 根据第 1 款的规定，如果主题仅与其成员国的机构相关或仅对其成员国的数据主体产生重大影响，则每个监管机构应有权处理向其提出的投诉或可能违反本条例的行为。 3. 在本条第 2 款所述情况下，监管机构应立即将此事通知牵头监管机构。在收到通知后三周内，牵头监管机构应决定是否按照第 60 条规定的程序处理案件，同时考虑监管机构通知其的成员国是否设有控制者或处理者。 4. 牵头监察机关决定处理的，适用本法第六十条规定的程序。通知牵头监管机构的监管机构可以向牵头监管机构提交决定草案。牵头监管机构在准备第 60 条第(3)款所述的决定草案时应充分考虑该草案。 5. 牵头监察机关决定不予处理的，由通报牵头监察机关的监察机关依照本法第六十一条、第六十二条的规定处理。 6. 牵头监管机构应是控制者或处理者进行跨境处理的唯一对话者。

任务 1. 在不影响本条例规定的其他任务的情况下，各监管机构应在其境内： (一) 监督和执行本条例的实施； (二) 提高公众对与处理相关的风险、规则、保障措施和权利的认识和理解。专门针对儿童的活动应受到特别关注； (三) 根据成员国法律，就与保护自然人处理方面的权利和自由有关的立法和行政措施向国民议会、政府和其他机构和团体提供建议； (四) 提高控制者和处理者对其根据本法规承担的义务的认识； （五） 根据要求，向任何数据主体提供有关其根据本条例行使其权利的信息，并在适当情况下为此与其他成员国的监管机构合作； （六） 根据第 80 条处理数据主体或机构、组织或协会提出的投诉，并在适当的范围内调查投诉的主题，并在合理期限内向投诉人通报调查的进展和结果，特别是在需要进一步调查或与其他监管机构协调的情况下； （克） 与其他监管机构合作，包括共享信息和相互协助，以确保本条例适用和执行的一致性； （八） 对本条例的适用情况进行调查，包括根据从其他监管机构或其他公共机构收到的信息； (一) 监测对个人数据保护有影响的相关发展，特别是信息和通信技术以及商业惯例的发展； (j) 采用第 28(8) 条和第 46(2) 条 (d) 点提及的标准合同条款； (k) 根据第 35(4) 条建立并维护与数据保护影响评估要求相关的清单； (l) 就第 36(2) 条所述的处理操作提供建议； (米) 鼓励根据第 40 条第（1）款制定行为准则，并根据第 40 条第（5）款提出意见并批准提供充分保障的行为准则； (n) 鼓励根据第 42 条第（1）款建立数据保护认证机制以及数据保护印章和标志，并根据第 42 条第（5）款批准认证标准； (o) 在适用的情况下，对根据第 42(7) 条颁发的证书进行定期审查； ▼C1 （页） 起草并公布根据第 41 条对行为准则监控机构和根据第 43 条对认证机构进行认可的要求； ▼B （q） 根据第 41 条对行为准则监控机构进行认可，并根据第 43 条对认证机构进行认可； (右) 授权第 46(3) 条提及的合同条款和规定； （数） 根据第 47 条批准具有约束力的公司规则； （吨） 为董事会的活动做出贡献； (u) 保存违反本条例的行为以及根据第 58 条第（2）款采取的措施的内部记录；和 （五） 完成与保护个人数据相关的任何其他任务。 2. 每个监管机构应通过投诉提交表格等措施促进第 1 款 (f) 点中提到的投诉的提交，该表格也可以电子方式填写，但不排除其他通信方式。 3. 每个监管机构的任务对数据主体和数据保护官员（如适用）而言应免费。 4. 如果请求明显毫无根据或过度，特别是由于其重复性，监管机构可以根据行政成本收取合理费用，或拒绝对请求采取行动。监管机构应承担证明该请求明显毫无根据或过分性质的责任。

权力 1. 每个监管机构应拥有以下所有调查权： (一) 命令控制者和处理者，以及（如果适用）控制者或处理者的代表提供执行其任务所需的任何信息； (二) 以数据保护审计的形式进行调查； (三) 对根据第 42 条第（7）款颁发的证书进行审查； (四) 通知控制者或处理者涉嫌违反本条例的行为； （五） 从控制者和处理者处获取所有个人数据以及执行其任务所需的所有信息； （六） 根据欧盟或成员国程序法，访问控制者和处理者的任何场所，包括任何数据处理设备和手段。 2. 每个监管机构应拥有以下所有纠正权力： (一) 向控制者或处理者发出警告，告知其预期的处理操作可能违反本法规的规定； (二) 如果处理操作违反了本条例的规定，则向控制者或处理者发出谴责； (三) 命令控制者或处理者遵守数据主体根据本条例行使其权利的请求； (四) 在适当情况下，命令控制者或处理者以指定方式在指定期限内使处理操作符合本条例的规定； （五） 命令控制者向数据主体传达个人数据泄露情况； （六） 施加临时或明确的限制，包括禁止处理； （克） 根据第 16 条、第 17 条和第 18 条命令纠正或删除个人数据或限制处理，并将此类行动通知根据第 17 条第(2)款和第 19 条向其披露个人数据的接收者； （八） 不符合或者不再符合认证要求的，撤销认证或者责令认证机构撤销依照第四十二条、第四十三条规定颁发的认证，或者责令认证机构不予颁发认证； （我） 除本款所述措施外，或代替本款所述措施，根据每个案件的具体情况，根据第八十三条的规定处以行政罚款； (j) 命令暂停流向第三国接收者或国际组织的数据。 3. 每个监管机构应拥有以下所有授权和咨询权： (一) 根据第 36 条所述的事先协商程序向控制者提出建议； (二) 主动或应请求向国家议会、成员国政府或根据成员国法律向其他机构和团体以及公众就任何与个人数据保护相关的问题发表意见； (三) 如果成员国法律要求事先授权，则授权第 36(5) 条中提到的处理； (四) 根据第 40 条第（5）款发表意见并批准行为准则草案； （五） 根据第 43 条对认证机构进行认可； （六） 根据第 42 条第（5）款颁发认证并批准认证标准； （克） 采用第 28(8) 条和第 46(2) 条 (d) 点提及的标准数据保护条款； （八） 授权第 46(3) 条 (a) 点提及的合同条款； (一) 授权第 46 条第(3)款(b)点所述的行政安排； (j) 根据第 47 条批准具有约束力的公司规则。 4. 根据本条赋予监管机构的权力的行使应受到适当的保障措施的约束，包括根据《宪章》在联盟和成员国法律中规定的有效司法补救措施和正当程序。 5. 各成员国应通过法律规定，其监管机构有权将违反本法规的行为提请司法当局注意，并在适当情况下启动或以其他方式进行法律诉讼，以执行本法规的规定。 6. 每个成员国可以通过法律规定，其监管机构应拥有除第 1、2 和 3 款所述权力之外的额外权力。这些权力的行使不得损害第七章的有效运作。

活动报告 每个监管机构应就其活动制定年度报告，其中可能包括根据第 58 条第（2）款通知的侵权类型和采取的措施类型的清单。这些报告应转交给国家议会、政府和成员国法律指定的其他当局。它们应向公众、委员会和董事会公开。

牵头监管机构与其他相关监管机构之间的合作 1. 牵头监管机构应当按照本条规定与其他有关监管机构合作，努力达成共识。牵头监管机构和有关监管机构应相互交换所有相关信息。 2. 牵头监管机构可随时要求其他有关监管机构根据第 61 条提供相互协助，并可根据第 62 条开展联合行动，特别是为了开展调查或监督涉及另一成员国设立的控制者或处理者的措施的实施。 3. 牵头监管机构应立即将此事的相关信息通报其他有关监管机构。它应立即将决定草案提交其他有关监管机构征求意见，并适当考虑它们的意见。 4. 如果任何其他相关监管机构在根据本条第 3 款进行磋商后四个星期内对决定草案表达了相关且合理的反对意见，则牵头监管机构如果不采纳相关且合理的反对意见，或者认为该反对意见不相关或不合理，则应将该事项提交给第 63 条所述的一致性机制。 5. 如果牵头监管机构打算跟进提出的相关且合理的反对意见，则应向其他有关监管机构提交修订后的决定草案，征求其意见。修订后的决定草案应在两周内接受第 4 段所述的程序。 6. 如果其他有关监管机构在第 4 款和第 5 款规定的期限内没有对牵头监管机构提交的决定草案提出异议，则牵头监管机构和有关监管机构应被视为同意该决定草案并受其约束。 7. 牵头监管机构应采纳该决定并将其通知控制者或处理者的主要机构或单一机构（视情况而定），并将相关决定通知其他相关监管机构和董事会，包括相关事实和理由的摘要。收到投诉的监管机构应将决定通知投诉人。 8. 根据第 7 款的规定，如果投诉被驳回或驳回，收到投诉的监管机构应作出决定，并将其通知投诉人，并通知控制者。 9. 如果牵头监管机构和有关监管机构同意驳回或拒绝投诉的部分内容并对该投诉的其他部分采取行动，则应对该事项的每一部分采取单独的决定。牵头监管机构应就与控制者有关的行动做出决定，并将其通知控制者或处理者在其成员国境内的主要机构或单一机构，并将该决定通知投诉人，而投诉人的监管机构应就有关驳回或驳回该投诉的部分作出决定，并将其通知该投诉人，并将其通知控制者或处理者。 10. 在收到牵头监管机构根据第 7 款和第 9 款做出的决定后，控制者或处理者应采取必要措施，确保其在欧盟的所有机构内的处理活动遵守该决定。控制者或处理者应将为遵守决定而采取的措施通知牵头监管机构，牵头监管机构应通知其他有关监管机构。 11. 在特殊情况下，有关监管机构有理由认为迫切需要采取行动保护信息主体利益的，应当适用第六十六条规定的紧急程序。 12. 牵头监管机构和其他有关监管机构应使用标准化格式，通过电子方式相互提供本条所要求的信息。

互助 1. 监管机构应当相互提供相关信息并相互协助，以一致地实施和适用本条例，并采取措施相互有效合作。互助尤其应涵盖信息请求和监督措施，例如请求进行事先授权和磋商、检查和调查。 2. 每个监管机构应采取一切必要措施，在收到请求后一个月内立即答复另一监管机构的请求，不得无故拖延。此类措施尤其可包括传送有关调查进行的相关信息。 3. 协助请求应包含所有必要的信息，包括请求的目的和理由。交换的信息只能用于所请求的目的。 4. 被请求的监管机构不得拒绝遵守请求，除非： (一) 它无权处理请求的主题事项或请求执行的措施；或 (二) 遵守该请求将违反本条例或收到请求的监管机构应遵守的联盟或成员国法律。 5. 被请求的监管机构应将结果通知请求的监管机构，或者根据情况通知为响应请求而采取的措施的进展情况。被请求的监管机构应提供拒绝遵守第 4 款规定的请求的理由。 6. 通常，被请求的监管机构应使用标准化格式，通过电子方式提供其他监管机构所请求的信息。 7. 被请求监管机构不得对其根据互助请求采取的任何行动收取费用。特殊情况下，监管机构可以商定规则，相互赔偿因提供互助而产生的特定支出。 8. 如果监管机构在收到另一监管机构的请求后一个月内未提供本条第 5 款所述信息，则提出请求的监管机构可以根据第 55 条第(1)款在其成员国境内采取临时措施。在这种情况下，应假定满足了根据第 66(1) 条采取行动的紧急需要，并需要董事会根据第 66(2) 条做出具有紧急约束力的决定。 9. 委员会可以通过实施法案规定本条所述互助的格式和程序，以及监管机构之间以及监管机构与董事会之间通过电子方式交换信息的安排，特别是本条第 6 款所述的标准化格式。这些实施细则应按照第93条第(2)款所述的审查程序予以通过。

监管机构联合行动 1. 监管机构应酌情开展联合行动，包括其他成员国监管机构成员或工作人员参与的联合调查和联合执法措施。 2. 如果控制者或处理者在多个成员国设有机构，或者多个成员国的大量数据主体可能受到处理操作的重大影响，则每个成员国的监管机构均有权参与联合操作。根据第 56 条第（1）或（4）款有权的监管机构应邀请每个成员国的监管机构参与联合行动，并应立即响应监管机构的参与请求。 3. 监管机构可以根据成员国法律并经借调监管机构授权，向参与联合行动的借调监管机构成员或工作人员授予权力，包括调查权，或者在东道监管机构成员国法律允许的范围内，允许借调监管机构成员或工作人员根据借调监管机构成员国法律行使其调查权。此类调查权只能在东道国监管机构成员或工作人员的指导下并在其在场的情况下行使。借调监管机构的成员或工作人员应遵守东道监管机构的成员国法律。 4. 根据第 1 款，如果借调监管机构的工作人员在另一个成员国开展业务，东道监管机构的成员国应根据其开展业务所在成员国的法律，对其行为承担责任，包括对其在业务期间造成的任何损害承担赔偿责任。 5. 在其领土上造成损害的成员国应按照适用于其本国工作人员造成的损害的条件赔偿此类损害。借调监管机构的工作人员对另一成员国境内的任何人造成损害的成员国应全额偿还该另一成员国向有权代表其的人员支付的任何款项。 6. 在不妨碍其行使权利的情况下 相对 第三方，除第 5 款外，在第 1 款规定的情况下，每个成员国不得就第 4 款所述损害向另一成员国请求赔偿。 7. 如果打算进行联合运营，而监管机构未在一个月内遵守本条第 2 款第二句规定的义务，则其他监管机构可根据第 55 条在其成员国境内采取临时措施。在这种情况下，应推定满足根据第 66(1) 条采取行动的紧急需要，并要求理事会根据第 66(2) 条提出意见或做出具有紧急约束力的决定。

一致性机制 为了促进本条例在整个联盟的一致适用，监管机构应通过本节规定的一致性机制相互合作，并在相关情况下与委员会合作。

董事会意见 1. 当主管监管机构拟采取下列任何措施时，董事会应发表意见。为此，主管监督机构应将决定草案传达给理事会，如果： (一) 旨在根据第 35(4) 条采用符合数据保护影响评估要求的处理操作清单； (二) 涉及第 40(7) 条规定的事项，行为准则草案或行为准则的修订或扩展是否符合本条例； ▼C1 (三) 旨在批准根据第 41(3) 条对机构进行认可的要求，根据第 43(3) 条对认证机构进行认可的要求，或根据第 42(5) 条所述的认证标准； ▼B (四) 旨在确定第 46(2) 条 (d) 点和第 28(8) 条中提到的标准数据保护条款； （五） 旨在授权第 46(3) 条 (a) 点中提到的合同条款；或 （六） 旨在批准第 47 条含义内具有约束力的公司规则。 2. 任何监管机构、董事会或委员会主席均可要求董事会审查任何普遍适用或在多个成员国产生影响的事项，以期获得意见，特别是在主管监管机构不遵守第 61 条规定的互助义务或第 62 条规定的联合行动义务的情况下。 3. 在第 1 款和第 2 款所述情况下，董事会应就向其提交的事项发表意见，前提是委员会尚未就同一事项发表意见。该意见应在八周内以简单多数董事会成员的方式通过。考虑到主题事项的复杂性，该期限可能会再延长六周。对于根据第 5 款分发给董事会成员的第 1 款所述决定草案，在主席指定的合理期限内未提出异议的成员，应被视为同意该决定草案。 4. 监管机构和委员会应毫不拖延地通过电子方式，使用标准化格式向董事会传达任何相关信息，包括（视情况而定）事实摘要、决定草案、有必要颁布此类措施的理由以及其他相关监管机构的观点。 5. 董事会主席应及时通过电子方式通知： (一) 向董事会和委员会成员通报已使用标准化格式传达给其的任何相关信息。董事会秘书处根据需要提供相关资料的译文；和 (二) 第 1 款和第 2 款中提到的监督机构和委员会提出意见并予以公布。 ▼C1 6. 第 1 款所述主管监督机关不得在第 3 款所述期限内通过第 1 款所述决定草案。 7. 第一项所称主管监管机关应充分考虑董事会的意见，并应在收到意见后两周内，以电子方式向董事会主席通报是否维持或修改其决定草案，如有，则使用标准化格式向董事会主席通报修改后的决定草案。 8. 如果第 1 款所指的主管监管机构在本条第 7 款所指的期限内通知董事会主席其不打算全部或部分采纳董事会的意见，并提供相关理由，则应适用第 65 条第(1)款。 ▼B

董事会争议解决 1. 为了确保本条例在个别案件中的正确和一致的适用，委员会应在下列情况下作出具有约束力的决定： (一) ►C1 在第 60 条第(4)款所述的情况下，有关监管机构对牵头监管机构的决定草案提出了相关且合理的反对意见，而牵头监管机构没有采纳该反对意见，或者以不相关或不合理为由拒绝了该反对意见。 ◄ 具有约束力的决定应涉及相关和合理反对的所有事项，特别是是否违反本条例； (二) 对于哪个相关监管机构负责主要机构存在争议； (三) 在第 64 条第（1）款所述情况下，主管监管机构未征求委员会的意见，或未遵循委员会根据第 64 条发布的意见。在这种情况下，任何有关监管机构或委员会可将此事通报给委员会。 2. 第 1 款中提到的决定应在主题事项提交后一个月内以董事会三分之二多数成员的多数通过。由于主题事项的复杂性，该期限可能会再延长一个月。第 1 款中提到的决定应向牵头监管机构和所有相关监管机构说明理由，并对他们具有约束力。 3. 如果董事会未能在第 2 款所述期限内做出决定，则应在第 2 款所述第二个月届满后两周内以董事会成员的简单多数通过其决定。如果董事会成员出现分歧，则应由主席投票通过。 4. 有关监管机构不得在第 2 款和第 3 款所述期间就根据第 1 款提交给董事会的主题事项作出决定。 5. 董事会主席应立即将第 1 款所述决定通知有关监管机构。它应将此事通知委员会。监管机构通知第 6 款所述的最终决定后，该决定应立即在董事会网站上公布。 6. 主要监管机构或（视情况而定）收到投诉的监管机构应根据本条第 1 款所述决定作出最终决定，不得无故拖延，最迟在委员会通知其决定后一个月内作出。主要监管机构或（视情况而定）收到投诉的监管机构应将其最终决定分别通知控制者或处理者和数据主体的日期。有关监管机构的最终决定应根据第六十条（七）、（八）和（九）的规定作出。最终决定应提及本条第1款所述的决定，并应明确该款所述的决定将按照本条第5款的规定在理事会网站上公布。最终决定应附有本条第一款所述的决定。

紧急程序 1. 在特殊情况下，当有关监管机构认为迫切需要采取行动保护数据主体的权利和自由时，可以通过减损第六十三条、第六十四条和第六十五条规定的一致性机制或第六十条规定的程序，立即采取旨在在其境内产生法律效力的临时措施，规定的有效期不得超过三个月。监管机构应立即将这些措施以及采取这些措施的理由传达给其他有关监管机构、董事会和委员会。 2. 如果监管机构已根据第 1 款采取措施，并认为需要紧急采取最终措施，则可以要求董事会提出紧急意见或具有紧急约束力的决定，并说明要求此类意见或决定的理由。 3. 如果主管监管机构在迫切需要采取行动的情况下未采取适当措施，则任何监管机构都可以根据具体情况要求理事会提供紧急意见或具有紧急约束力的决定，以保护数据主体的权利和自由，并给出要求此类意见或决定的理由，包括迫切需要采取行动的理由。 4. 根据第 64 条第(3)款和第 65 条第(2)款的规定，本条第 2 款和第 3 款中提到的紧急意见或紧急约束力决定应在两周内以董事会成员的简单多数通过。

信息交流 委员会可以通过一般范围的实施法案，以明确监管机构之间以及监管机构与董事会之间通过电子方式交换信息的安排，特别是第 64 条中提到的标准化格式。 这些实施细则应按照第93条第(2)款所述的审查程序予以通过。

欧洲数据保护委员会 1. 欧洲数据保护委员会（“委员会”）特此作为联盟的一个机构成立，并具有法人资格。 2. 董事会应由其主席代表。 3. 委员会应由每个成员国一个监管机构的负责人和欧洲数据保护监管机构的负责人或其各自的代表组成。 4. 如果一个成员国有多个监管机构负责监督本条例规定的实施，则应根据该成员国的法律任命一名联合代表。 5. 委员会有权参加董事会的活动和会议，但无表决权。委员会应指定一名代表。董事会主席应向委员会通报董事会的活动。 6. 在第 65 条提及的情况下，欧洲数据保护监督员仅对涉及适用于实质上与本条例的规定相对应的联盟机构、机构、办公室和机构的原则和规则的决定拥有投票权。

独立 1. 董事会依照第七十条、第七十一条规定独立履行职责或者行使职权。 ▼C1 2. 在不影响第 70 条第（1）和（2）款所述委员会要求的情况下，委员会在履行其任务或行使其权力时，不得寻求或接受任何人的指示。 ▼B

董事会的任务 1. 董事会应确保本法规的一致应用。为此，董事会应主动或在相关情况下应委员会的要求，特别是： (一) 在不影响国家监管机构任务的情况下，监督并确保本条例在第 64 条和第 65 条规定的情况下的正确适用； (二) 就与欧盟个人数据保护有关的任何问题，包括对本条例的任何拟议修正案，向委员会提供建议； (三) 就控制者、处理者和监管机构之间交换信息的格式和程序向委员会提供建议，以约束公司规则； (四) 根据第 17 条第 (2) 款的规定，发布关于从公共通信服务中删除个人数据链接、副本或复制品的程序的指南、建议和最佳实践； （五） 根据其一名成员的要求或委员会的要求，主动审查涉及本法规应用的任何问题，并发布指南、建议和最佳实践，以鼓励一致应用本法规； （六） 根据本段 (e) 点发布指南、建议和最佳实践，以进一步明确根据第 22(2) 条基于分析做出决策的标准和条件； （克） 根据本段 (e) 点发布指南、建议和最佳实践，以确定个人数据泄露并确定第 33(1) 和 (2) 条中提到的不当延误，以及控制者或处理者需要通知个人数据泄露的特定情况； （八） 根据本段第 (e) 点，就个人数据泄露可能对第 34(1) 条所述自然人的权利和自由造成高风险的情况发布指南、建议和最佳实践。 （我） 根据本段(e)点发布指南、建议和最佳实践，以根据控制者遵守的具有约束力的公司规则和处理者遵守的具有约束力的公司规则以及进一步的必要要求，进一步明确个人数据传输的标准和要求，以确保保护第47条中提到的有关数据主体的个人数据； (j) 根据本段(e)点发布指南、建议和最佳实践，以便根据第49(1)条进一步明确个人数据传输的标准和要求； (k) 为监管机构制定有关实施第 58 条第（1）、（2）和（3）款所述措施以及根据第 83 条规定设定行政罚款的指南； ▼C1 (l) 审查指南、建议和最佳做法的实际应用； ▼B (米) 根据本段 (e) 点发布指南、建议和最佳实践，以建立自然人根据第 54(2) 条举报违反本条例行为的通用程序； (n) 鼓励根据第四十条和第四十二条制定行为准则并建立数据保护认证机制以及数据保护印章和标志； ▼C1 (o) 根据第 42(5) 条批准认证标准，并根据第 42(8) 条维护认证机制和数据保护印章和标记以及根据第 42(7) 条在第三国建立的经认证控制者或处理者的公共登记册； （页） 批准第 43 条第(3)款所述要求，以期对第 43 条所述认证机构进行认可； ▼B （q） 向委员会提供关于第 43(8) 条提及的认证要求的意见； (右) 向委员会提供有关第 12 条第(7)款所述图标的意见； （数） 向委员会提供评估第三国或国际组织保护水平是否充分的意见，包括评估第三国、某一领土或该第三国或国际组织内的一个或多个特定部门是否不再确保充分的保护水平。为此，委员会应向理事会提供所有必要的文件，包括与第三国政府、有关第三国、领土或特定部门或国际组织的信函。 （吨） 就监管机构根据第 64(1) 条所述的一致性机制制定的决定草案、根据第 64(2) 条提交的事项发表意见，并根据第 65 条发布具有约束力的决定，包括在第 66 条所述的情况下； (u) 促进监管机构之间的合作以及有效的双边和多边信息和最佳实践交流； （五） 促进共同培训计划并促进监管机构之间的人员交流，并酌情与第三国监管机构或国际组织之间的人员交流； （w） 促进与世界各地的数据保护监管机构交流有关数据保护立法和实践的知识和文件。 (x) 就根据第 40(9) 条在联盟层面制定的行为准则发表意见；和 (y) 维护一个可公开访问的电子登记册，记录监管机构和法院就一致性机制处理的问题所做出的决定。 2. 如果委员会要求董事会提供建议，考虑到事项的紧迫性，委员会可以指定一个时限。 3. 委员会应将其意见、指导方针、建议和最佳实践提交给委员会和第 93 条提及的委员会，并予以公开。 4. 董事会应在适当的情况下咨询利益相关方，并给予他们在合理期限内发表评论的机会。在不影响第 76 条的情况下，委员会应公开协商程序的结果。

报告 1. 委员会应起草一份关于在欧盟以及相关的第三国和国际组织中处理自然人的保护的年度报告。该报告应公开并转交欧洲议会、理事会和委员会。 2. 年度报告应包括对第 70(1) 条第 (l) 点提及的指南、建议和最佳实践以及第 65 条提及的具有约束力的决定的实际应用的审查。

程序 1. 除非本条例另有规定，董事会应以简单多数成员作出决定。 2. 董事会应以三分之二多数成员通过自己的议事规则，并制定自己的运作安排。

椅子 1. 董事会应以简单多数从其成员中选举一名主席和两名副主席。 2. 主席和副主席的任期为五年，可连任一次。

主席的任务 1. 主席应履行以下任务： (一) 召集董事会会议并制定议程； (二) 将董事会根据第 65 条作出的决定通知牵头监管机构和有关监管机构； (三) 确保董事会及时履行任务，特别是与第 63 条提及的一致性机制有关的任务。 2. 董事会应在其议事规则中规定主席和副主席之间的任务分配。

秘书处 1. 委员会应设有一个秘书处，由欧洲数据保护监督员提供。 2. 秘书处应完全在董事会主席的指示下履行其任务。 3. 参与执行本条例赋予委员会的任务的欧洲数据保护监督员的工作人员应与参与执行欧洲数据保护监督员的任务的工作人员分别接受报告。 4. 在适当的情况下，委员会和欧洲数据保护监督员应制定并发布一份谅解备忘录，以实施本条，确定合作条款，并适用于参与执行本条例赋予委员会的任务的欧洲数据保护监督员的工作人员。 5. 秘书处应向理事会提供分析、行政和后勤支持。 6. 秘书处应特别负责： (一) 董事会的日常事务； (二) 董事会成员、主席和委员会之间的沟通； (三) 与其他机构和公众的沟通； (四) 使用电子方式进行内部和外部沟通； （五） 相关资料的翻译； （六） 董事会会议的筹备和后续行动； （克） 准备、起草和公布关于解决监管机构之间争议的意见、决定以及董事会通过的其他文本。

保密性 1. 如果董事会认为有必要，按照其议事规则的规定，董事会的讨论应当保密。 2. 获取提交给董事会成员、专家和第三方代表的文件应受欧洲议会和理事会第 1049/2001 号法规 (EC) 的管辖（ 3 ）。

向监管机构提出投诉的权利 1. 在不损害任何其他行政或司法补救措施的情况下，如果数据主体认为与其相关的个人数据的处理违反了本条例，则每个数据主体均有权向监管机构提出投诉，特别是在其惯常居住地、工作地点或涉嫌侵权地点的成员国。 2. 收到投诉的监督机构应告知投诉人投诉的进展和结果，包括根据第 78 条寻求司法补救的可能性。

针对监管机构获得有效司法补救的权利 1. 在不影响任何其他行政或非司法补救措施的情况下，每个自然人或法人均有权针对监管机构对其作出的具有法律约束力的决定寻求有效的司法补救措施。 2. 在不影响任何其他行政或非司法补救措施的情况下，如果根据第 55 条和第 56 条有管辖权的监督机构未处理投诉或未在三个月内告知数据主体根据第 77 条提出的投诉的进展或结果，则每个数据主体均有权获得有效的司法补救措施。 3. 针对监管机构的诉讼应向监管机构所在成员国的法院提起。 4. 如果针对监管机构的决定提起诉讼，而监管机构在一致性机制中之前已发表过意见或决定，则监管机构应将该意见或决定提交给法院。

针对控制者或处理者获得有效司法补救的权利 1. 在不影响任何可用的行政或非司法补救措施（包括根据第 77 条向监管机构提出申诉的权利）的情况下，如果每个数据主体认为其在本条例下的权利因不遵守本条例处理其个人数据而受到侵犯，则应有权获得有效的司法救济。 2. 针对控制者或处理者的诉讼应向控制者或处理者设有机构的成员国法院提起。或者，此类诉讼可以向数据主体惯常居住地的成员国法院提起，除非控制者或处理者是行使其公共权力的成员国的公共机构。

数据主体的代表 1. 数据主体有权委托根据成员国法律适当组建、具有符合公共利益的法定目标、并积极致力于保护数据主体在保护其个人数据方面的权利和自由领域的非营利机构、组织或协会代表其提出投诉，代表其行使第77、78和79条中提及的权利，并行使获得所指赔偿的权利根据成员国法律的规定，代表他或她执行第 82 条中的规定。 2. 成员国可以规定，本条第 1 款中提到的任何机构、组织或协会，无论数据主体的授权如何，都有权在该成员国向根据第 77 条有管辖权的监管机构提出投诉，如果认为数据主体在本条例下的权利因处理而受到侵犯，则有权行使第 78 条和第 79 条中提到的权利。

暂停诉讼程序 1. 如果一个成员国的主管法院掌握了另一成员国法院正在审理的、涉及同一控制者或处理者处理的同一标的物的诉讼信息，则应联系另一成员国的该法院以确认此类诉讼的存在。 2. 如果涉及同一控制者或处理者处理的同一主题的诉讼正在另一个成员国的法院悬而未决，则除首先受理的法院以外的任何主管法院都可以暂停其诉讼。 3. 如果这些诉讼在一审中未决，则除首先受理的法院以外的任何法院也可以根据一方当事人的申请，拒绝管辖权，前提是首先受理的法院对有关诉讼具有管辖权，并且其法律允许合并这些诉讼。

赔偿权和责任 1. 任何人因违反本条例规定而遭受物质或非物质损失的，有权就所遭受的损失向控制者或处理者获得赔偿。 2. 任何参与处理的控制者应对违反本条例的处理造成的损害承担责任。仅当处理者没有遵守本条例专门针对处理者的义务，或者其行为超出控制者的合法指示或违反控制者的合法指示时，处理者才应对处理造成的损害承担责任。 3. 如果控制者或处理者证明其对造成损害的事件没有任何责任，则应免除第二款规定的责任。 4. 如果同一处理涉及多个控制者或处理者，或者控制者和处理者两者，并且根据第 2 款和第 3 款，他们应对处理造成的任何损害负责，则每个控制者或处理者应对全部损害承担责任，以确保对数据主体进行有效赔偿。 5. 如果控制者或处理者已根据第 4 款的规定对所遭受的损害支付了全额赔偿，则该控制者或处理者有权根据第 2 款规定的条件向参与同一处理的其他控制者或处理者追回与其所承担的损害赔偿责任部分相应的部分赔偿金。 6. 行使获得赔偿权利的法院程序应向第 79(2) 条所述成员国法律管辖的法院提起。

实施行政罚款的一般条件 1. 各监管机构应确保根据本条对第 4 款、第 5 款和第 6 款所述违反本条例的行为实施的行政罚款在每个案件中都是有效的、相称的和具有劝诫性的。 2. 除第五十八条第（2）款（a）至（h）和（j）点所述措施外，或代替第五十八条第（2）款（a）至（h）和（j）点所述措施，应根据具体情况处以行政罚款。在决定是否处以行政罚款以及根据个案确定行政罚款数额时，应当考虑以下因素： (一) 侵权的性质、严重性和持续时间，考虑到相关处理的性质范围或目的，以及受影响的数据主体的数量和他们遭受的损害程度； (二) 侵权行为的故意或疏忽性质； (三) 控制者或处理者为减轻数据主体遭受的损害而采取的任何行动； (四) 控制者或处理者的责任程度，考虑到他们根据第 25 条和第 32 条实施的技术和组织措施； （五） 控制者或处理者之前的任何相关侵权行为； （六） 与监管机构合作的程度，以纠正侵权行为并减轻侵权行为可能造成的不利影响； （克） 受侵权影响的个人数据类别； （八） 监管机构得知侵权行为的方式，特别是控制者或处理者是否通知了侵权行为，如果通知了，通知的程度如何； (一) 如果先前已针对同一主题对相关控制者或处理者下令采取第 58(2) 条所述措施，则遵守这些措施； (j) 遵守根据第 40 条批准的行为准则或根据第 42 条批准的认证机制；和 (k) 适用于案件具体情况的任何其他加重或减轻处罚的因素，例如直接或间接因侵权而获得的经济利益或避免的损失。 3. 控制者、处理者在同一或者关联的处理操作中故意或者过失违反本条例若干规定的，行政罚款总额不得超过违法行为最严重的数额。 4. 根据第 2 款，违反以下规定的行为将受到最高 10,000,000 欧元的行政罚款，或者对于企业而言，最高可达上一财政年度全球年营业额的 2%，以较高者为准： (一) 控制者和处理者根据第8条、第11条、第25条至第39条、第42条和第43条的义务； (二) 认证机构根据第四十二条和第四十三条的义务； (三) 监督机构根据第 41 条第(4)款承担的义务。 5. 根据第 2 款，违反以下规定的行为将受到最高 20,000,000 欧元的行政罚款，或者对于企业而言，最高可达上一财政年度全球年营业额的 4%，以较高者为准： (一) 根据第 5、6、7 和 9 条规定的处理基本原则，包括同意条件； (二) 第 12 条至第 22 条规定的数据主体的权利； (三) 根据第 44 条至第 49 条将个人数据传输给第三国或国际组织的接收者； (四) 根据第九章通过的成员国法律规定的任何义务； （五） 不遵守监管机构根据第 58(2) 条发出的命令或临时或明确的处理限制或暂停数据流，或违反第 58(1) 条未能提供访问权限。 6. 根据本条第 2 款，不遵守第 58 条第(2)款所述监管机构的命令，应处以最高 20,000,000 欧元的行政罚款，或者对于企业而言，最高处以上一财政年度全球年营业额总额 4% 的行政罚款，以较高者为准。 7. 在不影响第 58 条第(2)款规定的监管机构纠正权力的情况下，各成员国可以制定规则，规定是否以及在何种程度上可以对该成员国设立的公共机构和机构处以行政罚款。 8. 监督机构根据本条行使其权力应根据联盟和成员国法律受到适当的程序保障，包括有效的司法救济和正当程序。 9. 如果成员国的法律制度没有规定行政罚款，本条的适用方式可以是由主管监管机构发起并由主管国家法院处以罚款，同时确保这些法律补救措施有效并与监管机构处以的行政罚款具有同等效力。无论如何，所施加的罚款应有效、相称且具有劝诫性。这些成员国应在 2018 年 5 月 25 日之前向委员会通报其根据本款通过的法律条款，并立即通报影响其的任何后续修订法律或修正案。

处罚 1. 成员国应制定适用于违反本条例的其他处罚的规则，特别是根据第 83 条不受行政罚款的违规行为，并应采取一切必要措施确保其实施。此类处罚应有效、相称且具有劝诫性。 2. 每个成员国应在 2018 年 5 月 25 日之前向委员会通报其根据第 1 款通过的法律规定，并立即通报影响其的任何后续修正案。

言论和信息的处理和自由 1. 成员国应依法协调根据本条例保护个人数据的权利与言论和信息自由的权利，包括出于新闻目的和学术、艺术或文学表达目的的处理。 2. 对于出于新闻目的或学术艺术或文学表达目的进行的处理，如果有必要协调保护权，成员国应规定第二章（原则）、第三章（数据主体的权利）、第四章（控制者和处理者）、第五章（向第三国或国际组织传输个人数据）、第六章（独立监管机构）、第七章（合作与一致性）和第九章（特定数据处理情况）的豁免或减损个人数据的表达和信息自由。 3. 每个成员国应立即向委员会通报其根据第 2 款通过的法律规定，以及影响其的任何后续修订法律或修正案。

处理和公开获取官方文件 公共机构或公共机构或私人机构为了执行公共利益而持有的官方文件中的个人数据，可以由该机构或机构根据该公共机构或机构所遵守的联盟或成员国法律进行披露，以便协调公众对官方文件的访问与根据本条例保护个人数据的权利。

国民身份证号码的处理 成员国可以进一步确定处理国家身份证号或任何其他通用标识符的具体条件。在这种情况下，国家身份证号码或任何其他通用标识符只能在根据本条例保护数据主体的权利和自由的情况下使用。

就业背景下的处理 1. 成员国可以通过法律或集体协议规定更具体的规则，以确保在就业方面保护雇员个人数据处理的权利和自由，特别是为了招聘、履行雇佣合同，包括履行法律或集体协议规定的义务、管理、工作规划和组织、工作场所的平等和多样性、工作中的健康和安全、保护雇主或客户的财产以及个人或集体行使和享受的目的。与雇佣相关的权利和福利的依据，以及终止雇佣关系的目的。 2. 这些规则应包括适当和具体的措施，以维护数据主体的人格尊严、合法利益和基本权利，特别是处理的透明度、在一组企业或一组从事联合经济活动的企业内传输个人数据以及工作场所的监控系统。 3. 每个成员国应在 2018 年 5 月 25 日之前向委员会通报其根据第 1 款通过的法律条款，并立即通报影响这些条款的任何后续修正案。

与出于公共利益、科学或历史研究目的或统计目的的存档目的进行处理有关的保障和克减 1. 根据本条例，出于公共利益、科学或历史研究目的或统计目的而进行的存档处理应受到适当的保障，以保障数据主体的权利和自由。这些保障措施应确保技术和组织措施到位，特别是为了确保尊重数据最小化原则。这些措施可能包括假名，前提是这些目的可以以这种方式实现。如果可以通过不允许或不再允许识别数据主体的进一步处理来实现这些目的，则应以这种方式实现这些目的。 2. 当出于科学或历史研究目的或统计目的处理个人数据时，联盟或成员国法律可以规定对第 15、16、18 和 21 条中提到的权利的减损，但须遵守本条第 1 款中提到的条件和保障措施，只要此类权利可能导致不可能或严重损害特定目的的实现，并且此类减损对于实现这些目的是必要的。 3. 如果出于公共利益的存档目的而处理个人数据，则联盟或成员国法律可以规定对第 15、16、18、19、20 和 21 条中提到的权利的减损，但须遵守本条第 1 款中提到的条件和保障措施，只要这些权利可能导致不可能或严重损害特定目的的实现，并且此类减损对于实现这些目的是必要的。 4. 如果第 2 款和第 3 款中提到的处理同时服务于其他目的，则减损应仅适用于为这些段落中提到的目的进行的处理。

保密义务 1. 成员国可以采用具体规则来规定第 58(1) 条 (e) 和 (f) 点中规定的监管机构的权力，这些权力与控制者或处理者有关，根据联盟或成员国法律或国家主管机构制定的规则，这些控制者或处理者必须遵守专业保密义务或其他同等保密义务，如果这是必要且相称的，以协调个人数据保护权利与保密义务。这些规则仅适用于控制者或处理者因保密义务所涵盖的活动而收到或获得的个人数据。 2. 每个成员国应在 2018 年 5 月 25 日之前向委员会通报根据第 1 款通过的规则，并立即通报影响其的任何后续修正案。

教会和宗教协会现有的数据保护规则 1. 如果在本条例生效时，成员国的教堂和宗教协会或社区适用与保护自然人处理有关的综合规则，则这些规则可以继续适用，前提是它们与本条例保持一致。 2. 根据本条第一款适用综合规则的教会和宗教团体应接受独立监督机构的监督，该监督机构可以是具体的，但须符合本条例第六章规定的条件。

行使代理权 1. 根据本条规定的条件，委员会被授予采取授权行为的权力。 2. 第 12 条第(8)款和第 43 条第(8)款所述的授权应自 2016 年 5 月 24 日起无限期地授予委员会。 3. 欧洲议会或理事会可随时撤销第 12 条第(8)款和第 43 条第(8)款所述的授权。撤销决定应终止该决定中规定的授权。该规定自其在《公约》上公布之日起生效 欧盟官方公报 或其中指定的稍后日期。它不影响任何已经生效的授权行为的有效性。 4. 一旦通过一项授权法案，委员会应同时通知欧洲议会和理事会。 5. 根据第 12 条第（8）款和第 43 条第（8）款通过的授权法案，只有在向欧洲议会和理事会通知该法案后的三个月内，欧洲议会或理事会均未表示反对，或者在该期限届满之前，欧洲议会和理事会均已通知委员会他们不会反对的情况下，该法案才应生效。根据欧洲议会或理事会的倡议，该期限应延长三个月。

委员会程序 1. 委员会应得到一个委员会的协助。该委员会应是第 182/2011 号法规 (EU) 含义内的委员会。 2. 当提及本段时，适用第 182/2011 号法规 (EU) 第 5 条。 3. 当提及本段时，第 182/2011 号法规 (EU) 第 8 条及其第 5 条应适用。

废除指令 95/46/EC 1. 95/46/EC 指令自 2018 年 5 月 25 日起废除。 2. 对已废除指令的引用应解释为对本法规的引用。 95/46/EC 指令第 29 条设立的个人数据处理个人保护工作组应被解释为本法规设立的欧洲数据保护委员会。

与指令 2002/58/EC 的关系 本条例不得对自然人或法人施加与在欧盟公共通信网络中提供公开电子通信服务有关的处理相关的额外义务，这些义务与自然人或法人在指令 2002/58/EC 中规定的相同目标所受的特定义务有关。

与先前签订的协议的关系 成员国在 2016 年 5 月 24 日之前缔结的涉及向第三国或国际组织转移个人数据的国际协议，如果符合该日期之前适用的欧盟法律，则应继续有效，直至修改、替换或撤销。

委员会报告 1. 到 2020 年 5 月 25 日以及此后每四年，委员会应向欧洲议会和理事会提交一份关于本法规评估和审查的报告。报告应当予以公开。 2. 在第 1 款提到的评估和审查的背景下，委员会应特别审查以下方面的应用和运作： (一) 关于向第三国或国际组织转移个人数据的第五章，特别是根据本条例第 45(3) 条通过的决定以及根据 95/46/EC 指令第 25(6) 条通过的决定； (二) 第七章关于合作和一致性。 3. 出于第 1 款的目的，委员会可以要求成员国和监管机构提供信息。 4. 在进行第 1 款和第 2 款中提到的评估和审查时，委员会应考虑欧洲议会、理事会以及其他相关机构或来源的立场和调查结果。 5. 如有必要，委员会应提交适当的提案来修改本条例，特别是考虑到信息技术的发展和信息社会的进步状况。

审查有关数据保护的其他欧盟法律法案 委员会应酌情提交立法提案，以修订有关个人数据保护的其他欧盟法律法案，以确保在处理方面对自然人提供统一和一致的保护。这尤其涉及与保护自然人有关联盟机构、机构、办公室和机构处理以及此类数据自由流动的规则。

生效和适用 1. 本条例自公布之日起第二十日起施行 欧盟官方公报 。 2. 自2018年5月25日起施行。