欧盟通用数据保护条例 Regulation (EU) 2016/679 2016/679

控制者的责任 1. 考虑到处理的性质、范围、背景和目的，以及自然人权利和自由的不同可能性和严重程度的风险，控制者应采取适当的技术和组织措施，以确保并能够证明处理是根据本条例进行的。必要时应对这些措施进行审查和更新。 2. 如果与处理活动相称，第 1 款中提到的措施应包括控制者实施适当的数据保护政策。 3. 遵守第 40 条所述经批准的行为准则或第 42 条所述经批准的认证机制可用作证明控制者遵守义务的一个要素。

设计和默认情况下的数据保护 1. 考虑到现有技术、实施成本以及处理的性质、范围、背景和目的，以及处理对自然人权利和自由造成的不同可能性和严重性的风险，控制者应在确定处理方式和处理本身时，实施适当的技术和组织措施，例如假名化，旨在以有效的方式实施数据保护原则，例如数据最小化，并将必要的保障措施纳入数据保护原则。为满足本条例的要求并保护数据主体的权利而进行的处理。 2. 控制者应采取适当的技术和组织措施，以确保默认情况下仅处理每个特定处理目的所需的个人数据。该义务适用于收集的个人数据量、处理范围、存储期限及其可访问性。特别是，此类措施应确保在默认情况下，未经个人干预，不定数量的自然人无法访问个人数据。 3. 根据第 42 条批准的认证机制可用作证明符合本条第 1 款和第 2 款规定要求的要素。

联合控制者 1. 两个以上控制者共同确定处理目的和方式的，为共同控制者。他们应以透明的方式确定各自遵守本条例义务的责任，特别是在行使数据主体的权利以及各自提供第 13 条和第 14 条中提到的信息的责任方面，通过他们之间的安排，除非控制者各自的责任由控制者所遵守的联盟或成员国法律确定。该布置可以指定数据主体的接触点。 2. 第一项所指的安排应适当反映共同控制人各自的角色和关系 相对 数据主体。该安排的实质内容应提供给数据主体。 3. 无论第 1 款中提到的安排条款如何，数据主体都可以根据本条例针对每个控制者行使其权利。

不在联盟内设立的控制者或处理者的代表 1. 在适用第 3 条第(2)款的情况下，控制者或处理者应以书面形式在联盟指定一名代表。 2. 本条第 1 款规定的义务不适用于： (一) 偶尔进行的处理，不包括大规模处理第 9(1) 条中提到的特殊类别数据或处理第 10 条中提到的与刑事定罪和犯罪有关的个人数据，并且考虑到处理的性质、背景、范围和目的，不太可能对自然人的权利和自由造成风险；或 (二) 公共当局或机构。 3. 该代表应设立在数据主体所在的成员国之一，该数据主体的个人数据因向其提供商品或服务而被处理，或其行为受到监控。 4. 控制者或处理者应授权代表除控制者或处理者之外或代替控制者或处理者，特别是监管机构和数据主体，处理与处理相关的所有问题，以确保遵守本条例。 5. 控制者或处理者指定代表不应影响针对控制者或处理者本身提起的法律诉讼。

处理器 1. 如果代表控制者进行处理，控制者应仅使用提供充分保证的处理者来实施适当的技术和组织措施，以使处理满足本条例的要求并确保保护数据主体的权利。 2. 未经控制者事先特定或一般书面授权，处理者不得聘用其他处理者。在一般书面授权的情况下，处理者应通知控制者有关添加或更换其他处理者的任何预期变更，从而使控制者有机会反对此类变更。 3. 处理者的处理应受欧盟或成员国法律规定的合同或其他法律行为的管辖，该合同或其他法律行为对处理者与控制者具有约束力，并规定了处理的主题和持续时间、处理的性质和目的、个人数据的类型和数据主体的类别以及控制者的义务和权利。该合同或其他法律行为应特别规定处理者： (一) 仅根据控制者的书面指示处理个人数据，包括将个人数据传输至第三国或国际组织，除非处理者须遵守的欧盟或成员国法律要求这样做；在这种情况下，处理者应在处理之前告知控制者该法律要求，除非该法律以公共利益的重要理由禁止此类信息； (二) 确保被授权处理个人数据的人员已承诺保密或承担适当的法定保密义务； (三) 采取第 32 条规定的一切措施； (四) 尊重第 2 段和第 4 段中提及的聘请其他处理者的条件； （五） 考虑到处理的性质，在可能的情况下，通过适当的技术和组织措施协助控制者履行控制者对行使第三章规定的数据主体权利的请求做出回应的义务； （六） 考虑处理的性质和处理者可获得的信息，协助控制者确保遵守第 32 至 36 条规定的义务； （克） 根据控制者的选择，在提供与处理相关的服务结束后删除或将所有个人数据返回给控制者，并删除现有副本，除非欧盟或成员国法律要求存储个人数据； （八） 向控制者提供所有必要的信息，以证明遵守本条规定的义务，并允许和促进控制者或控制者授权的其他审计员进行审计，包括检查。 关于第一小段的 (h) 点，如果处理者认为指令违反了本条例或其他欧盟或成员国数据保护规定，则应立即通知控制者。 4. 如果处理者委托另一处理者代表控制者执行特定的处理活动，则应通过联盟或成员国法律下的合同或其他法律行为的方式对该其他处理者施加第 3 款中提到的控制者与处理者之间的合同或其他法律行为中规定的相同数据保护义务，特别是提供足够的保证以实施适当的技术和组织措施，以使处理满足本法规的要求。如果其他处理者未能履行其数据保护义务，则初始处理者仍应对控制者履行该其他处理者的义务承担全部责任。 5. 处理者遵守第 40 条中提到的经批准的行为准则或第 42 条中提到的经批准的认证机制可以用作证明本条第 1 款和第 4 款中提到的充分保证的要素。 6. 在不影响控制者和处理者之间的个人合同的情况下，本条第 3 款和第 4 款中提到的合同或其他法律行为可以全部或部分基于本条第 7 款和第 8 款中提到的标准合同条款，包括当它们是根据第 42 条和第 43 条授予控制者或处理者的证明的一部分时。 7. 委员会可针对本条第 3 款和第 4 款所述事项并根据第 93 条第(2)款所述审查程序制定标准合同条款。 8. 监管机构可以针对本条第 3 款和第 4 款所述事项并根据第 63 条所述的一致性机制采用标准合同条款。 9. 第 3 款和第 4 款提及的合同或其他法律行为应采用书面形式，包括电子形式。 10. 在不影响第 82 条、第 83 条和第 84 条的情况下，如果处理者因确定处理的目的和方式而违反本条例，则该处理者应被视为该处理的控制者。

在控制者或处理者的授权下进行处理 处理者以及在控制者或处理者授权下行事且有权访问个人数据的任何人，除非根据控制者的指示，否则不得处理这些数据，除非联盟或成员国法律要求这样做。

加工活动记录 1. 每个控制者以及控制者的代表（如适用）应保存其负责的处理活动的记录。该记录应包含以下所有信息： (一) 控制者以及联合控制者、控制者代表和数据保护官（如适用）的姓名和联系方式； (二) 处理的目的； (三) 对数据主体类别和个人数据类别的描述； (四) 已经或将要披露个人数据的接收者类别，包括第三国或国际组织的接收者； （五） 在适用的情况下，将个人数据转移到第三国或国际组织，包括该第三国或国际组织的身份识别，以及在第 49(1) 条第二项中提到的转移的情况下，适当保障措施的文件； （六） 在可能的情况下，删除不同类别数据的设想时限； （克） 在可能的情况下，对第 32(1) 条中提到的技术和组织安全措施的一般描述。 2. 每个处理者和处理者代表（如果适用）应保存代表控制者进行的所有类别的处理活动的记录，其中包含： (一) 一个或多个处理者以及该处理者所代表的每个控制者的姓名和联系方式，以及控制者或处理者代表以及数据保护官（如适用）的姓名和联系方式； (二) 代表每个控制者执行的处理类别； (三) 在适用的情况下，将个人数据转移到第三国或国际组织，包括该第三国或国际组织的身份识别，以及在第 49(1) 条第二项中提到的转移的情况下，适当保障措施的文件； (四) 在可能的情况下，对第 32(1) 条中提到的技术和组织安全措施的一般描述。 3. 第 1 款和第 2 款提及的记录应采用书面形式，包括电子形式。 4. 控制者或处理者，以及（如适用）控制者或处理者的代表，应根据要求向监管机构提供记录。 5. 第 1 款和第 2 款中提到的义务不适用于雇用人数少于 250 人的企业或组织，除非其进行的处理可能会对数据主体的权利和自由造成风险、该处理不是偶然的、或者该处理包括第 9 条第（1）款所述的特殊类别数据或与第 10 条所述的刑事定罪和犯罪有关的个人数据。

与监管机构的合作 控制者和处理者及其代表（如适用）应根据要求与监管机构合作执行其任务。

处理安全 1. 考虑到现有技术、实施成本以及处理的性质、范围、背景和目的，以及自然人权利和自由的不同可能性和严重程度的风险，控制者和处理者应实施适当的技术和组织措施，以确保与风险相适应的安全级别，其中酌情包括： (一) 个人数据的假名化和加密； (二) 确保处理系统和服务持续保密性、完整性、可用性和弹性的能力； (三) 在发生物理或技术事件时及时恢复个人数据的可用性和访问的能力； (四) 定期测试、评估和评估技术和组织措施有效性的流程，以确保处理安全。 2. 在评估适当的安全级别时，应特别考虑处理所带来的风险，特别是意外或非法破坏、丢失、更改、未经授权的披露或访问传输、存储或以其他方式处理的个人数据。 3. 遵守第 40 条所述经批准的行为准则或第 42 条所述经批准的认证机制可作为证明遵守本条第 1 款规定的要求的一个要素。 4. 控制者和处理者应采取措施，确保在控制者或处理者授权下有权访问个人数据的任何自然人除非根据控制者的指示，否则不会处理这些数据，除非联盟或成员国法律要求他或她这样做。

向监管机构通知个人数据泄露 1. 如果发生个人数据泄露，控制者应立即并在可行的情况下，在发现此事后 72 小时内，根据第 55 条将个人数据泄露情况通知主管监管机构，除非个人数据泄露不太可能对自然人的权利和自由造成风险。 72小时内未通知监管机构的，应当附有迟延原因。 2. 处理者在意识到个人数据泄露后应立即通知控制者，不得无故拖延。 3. 第 1 款所指的通知至少应： (一) 描述个人数据泄露的性质，包括在可能的情况下，相关数据主体的类别和大致数量以及相关个人数据记录的类别和大致数量； (二) 传达数据保护官员或其他可以获取更多信息的联络点的姓名和联系方式； (三) 描述个人数据泄露可能造成的后果； (四) 描述控制者为解决个人数据泄露问题而采取或建议采取的措施，包括在适当情况下减轻其可能的不利影响的措施。 4. 在不可能同时提供信息的情况下，可以分阶段提供信息，而不会过度延迟。 5. 控制者应记录任何个人数据泄露行为，包括与个人数据泄露相关的事实、其影响以及所采取的补救措施。该文件应使监管机构能够核实本条的遵守情况。

向数据主体传达个人数据泄露事件 1. 当个人数据泄露可能对自然人的权利和自由造成高风险时，控制者应立即将个人数据泄露情况告知数据主体。 2. 与本条第 1 款中提到的数据主体的通信应以清晰、通俗易懂的语言描述个人数据泄露的性质，并至少包含第 33(3) 条 (b)、(c) 和 (d) 点中提到的信息和措施。 3. 如果满足以下任何条件，则无需与第 1 款中提到的数据主体进行通信： (一) 控制者已实施适当的技术和组织保护措施，并且这些措施适用于受个人数据泄露影响的个人数据，特别是那些使未经授权访问的任何人无法理解个人数据的措施，例如加密； (二) 控制者已采取后续措施，确保第 1 款中提到的数据主体的权利和自由的高风险不再可能发生； (三) 这将需要付出不成比例的努力。在这种情况下，应采取公共沟通或类似措施，以同样有效的方式告知数据主体。 4. 如果控制者尚未将个人数据泄露情况告知数据主体，监管机构在考虑个人数据泄露导致高风险的可能性后，可能会要求其这样做，或者可能会决定满足第 3 款中提到的任何条件。

数据保护影响评估 1. 如果某种处理类型，特别是使用新技术，并考虑到处理的性质、范围、背景和目的，可能对自然人的权利和自由造成高风险，则控制者应在处理之前评估预期处理操作对个人数据保护的影响。单个评估可以解决一组具有类似高风险的类似处理操作。 2. 在进行数据保护影响评估时，控制者应征求指定的数据保护官员的建议。 3. 在以下情况下，尤其需要进行第 1 款中提到的数据保护影响评估： (一) 基于自动化处理（包括分析）对与自然人有关的个人方面进行系统和广泛的评估，并据此做出对自然人产生法律效力或类似地对自然人产生重大影响的决策； (二) 大规模处理第 9(1) 条中提到的特殊类别数据，或第 10 条中提到的与刑事定罪和犯罪有关的个人数据；或 (三) 对公共区域进行大规模的系统监控。 4. 监管机构应根据第 1 款建立并公布需要进行数据保护影响评估的处理操作类型清单。监管机构应将这些清单传达给第 68 条中提到的委员会。 5. 监管机构还可以建立并公布不需要数据保护影响评估的处理操作类型清单。监管机构应将这些名单传达给董事会。 6. 在采用第 4 款和第 5 款提到的清单之前，主管监管机构应适用第 63 条中提到的一致性机制，如果此类清单涉及与向数据主体提供商品或服务或监控其在多个成员国的行为有关的处理活动，或者可能严重影响个人数据在欧盟内的自由流动。 7. 评估应至少包含： (一) 对设想的处理操作和处理目的的系统描述，包括（如适用）控制者追求的合法利益； (二) 评估与目的相关的处理操作的必要性和相称性； (三) 对第 1 段中提到的数据主体的权利和自由的风险评估；和 (四) 为应对风险而设想的措施，包括保障措施、安全措施和机制，以确保保护个人数据并证明遵守本条例，同时考虑到数据主体和其他相关人员的权利和合法利益。 8. 在评估相关控制者或处理者执行的处理操作的影响时，特别是为了数据保护影响评估的目的，应适当考虑相关控制者或处理者对第 40 条中提到的经批准的行为准则的遵守情况。 9. 在适当的情况下，控制者应就预期处理征求数据主体或其代表的意见，而不损害商业或公共利益的保护或处理操作的安全。 10. 如果根据第 6(1) 条 (c) 或 (e) 点进行的处理在欧盟法律或控制者所在成员国的法律中具有法律依据，且该法律规范了相关的具体处理操作或一组操作，并且数据保护影响评估已经作为采用该法律依据的一般影响评估的一部分进行，则第 1 至 7 款不应适用，除非成员国认为有必要在处理活动之前进行此类评估。 11. 必要时，控制者应至少在处理操作所代表的风险发生变化时进行审查，以评估处理是否按照数据保护影响评估进行。

事前咨询 1. 如果根据第 35 条进行的数据保护影响评估表明，在控制者不采取措施降低风险的情况下，处理将导致高风险，控制者应在处理前咨询监管机构。 2. 如果监管机构认为第 1 款中提到的预期处理将违反本条例，特别是在控制者没有充分识别或减轻风险的情况下，监管机构应在收到咨询请求后最多八周内向控制者提供书面建议，并且在适用于处理者的情况下，可以使用第 58 条中提到的任何权力。考虑到预期处理的复杂性，该期限可以延长六周。监管机构应在收到咨询请求后一个月内通知控制者和处理者（如适用）任何此类延期以及延迟的原因。这些期限可能会暂停，直到监管机构获得其为磋商目的而要求的信息为止。 3. 控制人依照第1款向监管机构咨询时，应当向监管机构提供： (一) 在适用的情况下，参与处理的控制者、联合控制者和处理者各自的责任，特别是在企业集团内进行的处理； (二) 预期处理的目的和方式； (三) 根据本条例为保护数据主体的权利和自由而提供的措施和保障措施； (四) 如果适用，数据保护官的联系方式； （五） 第 35 条规定的数据保护影响评估；和 （六） 监管机构要求的任何其他信息。 4. 成员国在准备由国家议会通过的立法措施提案或基于此类立法措施的监管措施提案时，应咨询监管机构，其中涉及处理。 5. 尽管有第 1 款的规定，成员国法律可能要求控制者就控制者为了公共利益而执行的任务（包括与社会保护和公共卫生有关的处理）进行处理，与监管机构进行协商并获得监管机构的事先授权。

指定数据保护官 1. 在任何情况下，控制者和处理者均应指定一名数据保护官： (一) 处理由公共当局或机构进行，但以司法身份行事的法院除外； (二) 控制者或处理者的核心活动包括处理操作，由于其性质、范围和/或目的，需要对数据主体进行大规模的定期和系统监控；或 ▼C1 (三) 控制者或处理者的核心活动包括根据第 9 条大规模处理特殊类别的数据或与第 10 条提及的刑事定罪和犯罪有关的个人数据。 ▼B 2. 一组企业可以任命一名数据保护官员，前提是每个企业都可以轻松联系到一名数据保护官员。 3. 如果控制者或处理者是公共机构或机构，则考虑到其组织结构和规模，可以为多个此类机构或机构指定一名数据保护官员。 4. 在第 1 款提到的情况以外的情况下，控制者或处理者或代表控制者或处理者类别的协会和其他机构可以，或者根据联盟或成员国法律的要求，指定一名数据保护官。数据保护官可以代表此类协会和代表控制者或处理者的其他机构。 5. 数据保护官员的指定应基于专业素质，特别是数据保护法律和实践方面的专业知识以及完成第 39 条所述任务的能力。 6. 数据保护官可以是控制者或处理者的工作人员，或者根据服务合同履行任务。 7. 控制者或处理者应公布数据保护官员的联系方式，并将其传达给监管机构。

数据保护官的职位 1. 控制者和处理者应确保数据保护官适当且及时地参与与个人数据保护相关的所有问题。 2. 控制者和处理者应支持数据保护官员执行第 39 条中提到的任务，提供执行这些任务以及访问个人数据和处理操作所需的资源，并保持其专业知识。 3. 控制者和处理者应确保数据保护官不会收到有关执行这些任务的任何指示。他或她不得因执行任务而被控制者或处理者解雇或处罚。数据保护官应直接向控制者或处理者的最高管理层报告。 4. 数据主体可以就与处理其个人数据以及行使本条例规定的权利有关的所有问题联系数据保护官员。 5. 根据联盟或成员国法律，数据保护官员在履行其任务时应受到保密或保密的约束。 6. 数据保护官可以履行其他任务和职责。控制者或处理者应确保任何此类任务和职责不会导致利益冲突。

数据保护官的任务 1. 数据保护官至少应承担以下任务： (一) 通知并建议控制者或处理者以及根据本法规和其他联盟或成员国数据保护规定履行其义务的员工； (二) 监督本条例、其他欧盟或成员国数据保护规定以及控制者或处理者有关个人数据保护的政策的遵守情况，包括责任分配、参与处理操作的员工的意识提高和培训以及相关审计； (三) 根据要求提供有关数据保护影响评估的建议，并根据第 35 条监控其绩效； (四) 与监管机构合作； （五） 作为监管机构就与处理有关的问题（包括第 36 条中提到的事先协商）的联络点，并在适当情况下就任何其他事项进行协商。 2. 数据保护官员在执行任务时应适当考虑与处理操作相关的风险，并考虑处理的性质、范围、背景和目的。

行为准则 1. 成员国、监管机构、理事会和委员会应鼓励制定行为准则，以促进本法规的正确实施，同时考虑到各个加工行业的具体特点以及微型、小型和中型企业的具体需求。 2. 代表控制者或处理者类别的协会和其他机构可以制定行为准则，或者修改或扩展此类准则，以明确本法规的应用，例如： (一) 公平、透明的处理； (二) 控制者在特定情况下追求的合法利益； (三) 个人数据的收集； (四) 个人数据的假名化； （五） 向公众和数据主体提供的信息； （六） 数据主体权利的行使； （克） 向儿童提供的信息和对儿童的保护，以及获得对儿童负有父母责任的人同意的方式； （八） 第 24 条和第 25 条所述的措施和程序以及第 32 条所述的确保处理安全的措施； (一) 向监管机构通报个人数据泄露情况，并向数据主体通报此类个人数据泄露情况； (j) 将个人数据传输至第三国或国际组织；或 (k) 用于解决控制者和数据主体之间有关处理的争议的庭外诉讼和其他争议解决程序，且不损害数据主体根据第 77 条和第 79 条所享有的权利。 3. 除了受本条例约束的控制者或处理者遵守外，根据第 3 条不受本条例约束的控制者或处理者也可以遵守根据本条第 5 款批准并根据本条第 9 款具有普遍有效性的行为准则，以便根据第 46(2) 条 (e) 点所述的条款，在向第三国或国际组织传输个人数据的框架内提供适当的保障。此类控制者或处理者应通过合同或其他具有法律约束力的文书做出具有约束力和可执行的承诺，以应用这些适当的保障措施，包括数据主体权利方面的保障措施。 4. 本条第 2 款所指的行为准则应包含机制，使第 41 条第（1）款所指的机构能够对承诺实施该准则的控制者或处理者遵守其规定的情况进行强制监督，且不影响根据第 55 条或第 56 条规定的主管监督机构的任务和权力。 5. 本条第 2 款中提到的协会和其他机构，如打算制定行为准则或修订或扩展现有准则，应将准则草案、修订或扩展提交给根据第 55 条有权限的监管机构。监管机构应就准则草案、修订或扩展是否符合本条例提出意见，如果认为准则草案、修订或扩展提供了足够的适当保障，则应批准该准则草案、修订或扩展。 6. 如果准则草案、修正案或扩展根据第 5 款获得批准，并且相关行为准则与多个成员国的处理活动无关，则监管机构应注册并公布该准则。 7. 如果行为准则草案涉及多个成员国的处理活动，则根据第 55 条有权的监管机构应在批准准则草案、修订或扩展之前，按照第 63 条所述的程序将其提交给理事会，理事会应就准则草案、修订或扩展是否符合本条例提出意见，或者在本条第 3 款所述的情况下，提供适当的保障措施。 8. 如果第 7 段中提到的意见确认准则草案、修正案或扩展符合本条例，或者在第 3 段中提到的情况下提供了适当的保障措施，则委员会应向委员会提交其意见。 9. 委员会可以通过实施法案的方式，决定根据本条第 8 款向其提交的经批准的行为准则、修正案或延期在联盟内具有普遍效力。这些实施细则应当按照第九十三条第二款规定的审查程序予以通过。 10. 委员会应确保根据第 9 款确定具有普遍有效性的批准规范的适当宣传。 11. 董事会应将所有批准的行为准则、修订和扩展记录在册，并通过适当的方式向公众公布。

监督批准的行为准则 1. 在不影响第 57 条和第 58 条规定的主管监督机构的任务和权力的情况下，对第 40 条规定的行为准则遵守情况的监督可以由具有与准则主题相关的适当专业水平并获得主管监督机构为此目的认可的机构进行。 2. 第 1 款中提到的机构可以被授权监督行为准则的遵守情况，前提是该机构具有以下特征： (一) 证明其在准则主题方面的独立性和专业知识，令主管监管机构满意； (二) 制定程序，使其能够评估相关控制者和处理者应用准则的资格，监督其遵守准则规定的情况，并定期审查其运作情况； (三) 建立程序和结构来处理有关违反准则或控制者或处理者已经或正在执行准则的方式的投诉，并使这些程序和结构对数据主体和公众透明；和 (四) 向主管监管机构证明其任务和职责不会导致利益冲突。 ▼C1 3. 主管监管机构应根据第 63 条所述的一致性机制向理事会提交本条第 1 款所述机构的认证要求草案。 ▼B 4. 在不影响主管监督机构的任务和权力以及第八章的规定的情况下，本条第 1 款所指的机构应在采取适当保障措施的情况下，在控制者或处理者违反代码的情况下采取适当行动，包括暂停或排除相关控制者或处理者使用代码。它应将此类行动以及采取这些行动的理由通知主管监督机构。 ▼C1 5. 如果第 1 款所述机构未满足或不再满足认可要求，或者该机构采取的行动违反本条例，主管监督机构应撤销该机构的认可。 ▼B 6. 本条不适用于公共当局和机构进行的处理。

认证 1. 成员国、监管机构、理事会和委员会应鼓励，特别是在联盟层面，建立数据保护认证机制以及数据保护印章和标志，以证明控制者和处理者的处理操作遵守本法规。考虑中小微企业的具体需求。 2. 除了受本条例约束的控制者或处理者遵守本条例之外，还可以建立根据本条第 5 款批准的数据保护认证机制、印章或标记，以证明不受本条例第 3 条约束的控制者或处理者在根据第 46(2) 条 (f) 点所述条款向第三国或国际组织传输个人数据的框架内提供适当的保障措施。此类控制者或处理者应通过合同或其他具有法律约束力的文书做出具有约束力和可执行的承诺，以应用这些适当的保障措施，包括数据主体权利方面的保障措施。 3. 认证应是自愿的，并通过透明的流程进行。 4. 根据本条进行的认证不会减少控制者或处理者遵守本条例的责任，并且不影响根据第 55 条或第 56 条有权限的监管机构的任务和权力。 5. 本条规定的认证应由第 43 条中提到的认证机构或主管监管机构根据主管监管机构根据第 58(3) 条批准的标准或由委员会根据第 63 条批准的标准颁发。如果标准得到委员会批准，则可能会产生通用认证，即欧洲数据保护印章。 6. 向认证机构提交其处理过程的控制者或处理者应向第 43 条所述的认证机构或适用的主管监督机构提供进行认证程序所需的所有信息和处理活动的访问权限。 ▼C1 7. 向控制者或处理者颁发的认证有效期最长为三年，并且可以在相同条件下更新，前提是继续满足相关标准。如果不满足或不再满足认证标准，则第四十三条所述的认证机构或主管监督机构应酌情撤销认证。 ▼B 8. 委员会应将所有认证机制以及数据保护印章和标记整理到登记册中，并通过任何适当的方式将其公开。

认证机构 1. 在不影响第 57 条和第 58 条规定的主管监管机构的任务和权力的情况下，在数据保护方面具有适当专业水平的认证机构应在通知监管机构以便允许其根据第 58 条第 (2) 款 (h) 点必要时行使其权力后，颁发和更新认证。成员国应确保这些认证机构获得以下一项或两项认证： (一) 根据第 55 条或第 56 条有管辖权的监督机构； (二) 根据欧洲议会和理事会第 (EC) 765/2008 号法规指定的国家认证机构（ 2 ) 根据 EN-ISO/IEC 17065/2012 以及主管机构根据第 55 条或第 56 条制定的附加要求。 2. 第 1 款中提到的认证机构只有在满足以下条件时才应根据该款获得认可： (一) 证明其在认证主题方面的独立性和专业知识，令主管监管机构满意； (二) 承诺遵守第 42(5) 条中提到的标准，并由有权根据第 55 或 56 条规定的监管机构或根据第 63 条规定由董事会批准； (三) 制定数据保护认证、印章和标志的颁发、定期审查和撤销程序； (四) 建立程序和结构来处理有关控制者或处理者已经或正在实施认证的违规行为或认证方式的投诉，并使这些程序和结构对数据主体和公众透明；和 （五） 使主管监管机构满意的证明，他们的任务和职责不会导致利益冲突。 3. ►C1 本条第 1 款和第 2 款所指的认证机构的认可应根据具有权力的监督机构根据第 55 条或第 56 条批准的要求或由委员会根据第 63 条批准的要求进行。 ◄ 在根据本条第 1 款 (b) 点进行认可的情况下，这些要求应补充法规 (EC) No 765/2008 以及描述认证机构方法和程序的技术规则中的规定。 4. 第 1 款中提到的认证机构应负责进行适当的评估，以导致认证或撤销此类认证，但不影响控制者或处理者遵守本法规的责任。认可的有效期最长为五年，如果认证机构符合本条规定的要求，则可以在相同条件下续展。 5. 第一项所指的认证机构应向主管监督机关提供授予或撤回所请求认证的理由。 ▼C1 6. 本条第 3 款提及的要求和第 42 条第(5)款提及的标准应由监管机构以易于获取的形式公布。监管机构还应将这些要求和标准传达给董事会。 ▼B 7. 在不影响第八章的情况下，如果认证机构不满足或不再满足认可条件，或者认证机构采取的行动违反本条例，主管监督机构或国家认可机构应根据本条第一款撤销认证机构的认可。 8. 委员会应有权根据第 92 条采取授权行为，以明确第 42(1) 条中提到的数据保护认证机制应考虑的要求。 9. 委员会可以通过实施法案，制定认证机制和数据保护印章和标志的技术标准，以及促进和认可这些认证机制、印章和标志的机制。这些实施细则应按照第93条第(2)款所述的审查程序予以通过。