欧盟通用数据保护条例 Regulation (EU) 2016/679 2016/679

监管机构 1. 每个成员国应规定一个或多个独立的公共机构负责监督本条例的实施，以保护自然人在处理方面的基本权利和自由，并促进个人数据在联盟内的自由流动（“监管机构”）。 2. 每个监管机构应促进本条例在整个联盟的一致应用。为此目的，监管机构应根据第七章相互合作并与委员会合作。 3. 如果一个成员国设立了多个监管机构，该成员国应指定一个监管机构在董事会中代表这些机构，并应制定机制以确保其他机构遵守第 63 条中提到的一致性机制的相关规则。 4. 每个成员国应在 2018 年 5 月 25 日之前向委员会通报其根据本章通过的法律条款，并立即通报影响其的任何后续修正案。

独立 1. 各监管机构应完全独立地根据本条例履行职责并行使其权力。 2. 各监管机构的成员在根据本条例执行任务和行使权力时，应不受外部直接或间接的影响，并且不得寻求或接受任何人的指示。 3. 各监管机构的成员不得采取任何与其职责不相符的行为，并且在任职期间不得从事任何不相容的职业，无论是否有酬。 4. 各成员国应确保为各监管机构提供必要的人力、技术和财政资源、场地和基础设施，以有效履行其任务和行使其权力，包括在互助、合作和参与董事会的情况下执行的权力。 5. 每个成员国应确保每个监管机构选择并拥有自己的工作人员，这些工作人员应服从相关监管机构成员的专属指示。 6. 每个成员国应确保每个监管机构受到不影响其独立性的财务控制，并确保其拥有单独的公共年度预算，该预算可能是整个州或国家预算的一部分。

监管机构成员的一般条件 1. 成员国应规定其监管机构的每位成员均应通过透明程序由以下人员任命： — 他们的议会； — 他们的政府； — 他们的国家元首；或 — 根据成员国法律受托任命的独立机构。 2. 每个成员均应具备履行其职责和行使其权力所需的资格、经验和技能，特别是在个人数据保护领域。 3. 根据有关成员国的法律，成员的职责在任期届满、辞职或强制退休时终止。 4. 只有在会员有严重不当行为或不再符合履行职责所需条件的情况下，才可将会员开除。

监察机关设立细则 1. 每个成员国应通过法律规定以下所有内容： (一) 各监管机构的设立； (二) 任命为各监管机构成员所需的资格和资格条件； (三) 每个监管机构的一名或多名成员的任命规则和程序； (四) 每个监管机构成员的任期不少于四年，2016年5月24日之后的首次任命除外，如果有必要通过交错任命程序保护监管机构的独立性，则部分任期可以缩短； （五） 每个监管机构的成员是否有资格连任，如果有的话，可以连任多少届； （六） 规定每个监管机构的成员和工作人员的义务的条件，在任期内和任期结束后从事与其不相容的行为、职业和福利的禁令，以及终止雇用的规则。 2. 每个监管机构的成员和工作人员应根据联盟或成员国法律，在其任期内和任期结束后，对其在执行任务或行使其权力过程中获悉的任何机密信息负有职业保密义务。在任职期间，职业保密义务尤其适用于自然人举报违反本条例的行为。

能力 1. 各监管机构应有权在其成员国境内执行本条例赋予的任务并行使赋予的权力。 2. 如果数据处理是由公共机构或私人机构根据第 6 条第 (1) 款 (c) 或 (e) 点行事，则相关成员国的监管机构应具有管辖权。在这种情况下，第 56 条不适用。 3. 监督机构无权监督法院以司法身份行事的处理操作。

主要监管机构的权限 1. 在不影响第 55 条的情况下，控制者或处理者的主要机构或单一机构的监管机构应有权根据第 60 条规定的程序，担任该控制者或处理者进行的跨境处理的牵头监管机构。 2. 根据第 1 款的规定，如果主题仅与其成员国的机构相关或仅对其成员国的数据主体产生重大影响，则每个监管机构应有权处理向其提出的投诉或可能违反本条例的行为。 3. 在本条第 2 款所述情况下，监管机构应立即将此事通知牵头监管机构。在收到通知后三周内，牵头监管机构应决定是否按照第 60 条规定的程序处理案件，同时考虑监管机构通知其的成员国是否设有控制者或处理者。 4. 牵头监察机关决定处理的，适用本法第六十条规定的程序。通知牵头监管机构的监管机构可以向牵头监管机构提交决定草案。牵头监管机构在准备第 60 条第(3)款所述的决定草案时应充分考虑该草案。 5. 牵头监察机关决定不予处理的，由通报牵头监察机关的监察机关依照本法第六十一条、第六十二条的规定处理。 6. 牵头监管机构应是控制者或处理者进行跨境处理的唯一对话者。

任务 1. 在不影响本条例规定的其他任务的情况下，各监管机构应在其境内： (一) 监督和执行本条例的实施； (二) 提高公众对与处理相关的风险、规则、保障措施和权利的认识和理解。专门针对儿童的活动应受到特别关注； (三) 根据成员国法律，就与保护自然人处理方面的权利和自由有关的立法和行政措施向国民议会、政府和其他机构和团体提供建议； (四) 提高控制者和处理者对其根据本法规承担的义务的认识； （五） 根据要求，向任何数据主体提供有关其根据本条例行使其权利的信息，并在适当情况下为此与其他成员国的监管机构合作； （六） 根据第 80 条处理数据主体或机构、组织或协会提出的投诉，并在适当的范围内调查投诉的主题，并在合理期限内向投诉人通报调查的进展和结果，特别是在需要进一步调查或与其他监管机构协调的情况下； （克） 与其他监管机构合作，包括共享信息和相互协助，以确保本条例适用和执行的一致性； （八） 对本条例的适用情况进行调查，包括根据从其他监管机构或其他公共机构收到的信息； (一) 监测对个人数据保护有影响的相关发展，特别是信息和通信技术以及商业惯例的发展； (j) 采用第 28(8) 条和第 46(2) 条 (d) 点提及的标准合同条款； (k) 根据第 35(4) 条建立并维护与数据保护影响评估要求相关的清单； (l) 就第 36(2) 条所述的处理操作提供建议； (米) 鼓励根据第 40 条第（1）款制定行为准则，并根据第 40 条第（5）款提出意见并批准提供充分保障的行为准则； (n) 鼓励根据第 42 条第（1）款建立数据保护认证机制以及数据保护印章和标志，并根据第 42 条第（5）款批准认证标准； (o) 在适用的情况下，对根据第 42(7) 条颁发的证书进行定期审查； ▼C1 （页） 起草并公布根据第 41 条对行为准则监控机构和根据第 43 条对认证机构进行认可的要求； ▼B （q） 根据第 41 条对行为准则监控机构进行认可，并根据第 43 条对认证机构进行认可； (右) 授权第 46(3) 条提及的合同条款和规定； （数） 根据第 47 条批准具有约束力的公司规则； （吨） 为董事会的活动做出贡献； (u) 保存违反本条例的行为以及根据第 58 条第（2）款采取的措施的内部记录；和 （五） 完成与保护个人数据相关的任何其他任务。 2. 每个监管机构应通过投诉提交表格等措施促进第 1 款 (f) 点中提到的投诉的提交，该表格也可以电子方式填写，但不排除其他通信方式。 3. 每个监管机构的任务对数据主体和数据保护官员（如适用）而言应免费。 4. 如果请求明显毫无根据或过度，特别是由于其重复性，监管机构可以根据行政成本收取合理费用，或拒绝对请求采取行动。监管机构应承担证明该请求明显毫无根据或过分性质的责任。

权力 1. 每个监管机构应拥有以下所有调查权： (一) 命令控制者和处理者，以及（如果适用）控制者或处理者的代表提供执行其任务所需的任何信息； (二) 以数据保护审计的形式进行调查； (三) 对根据第 42 条第（7）款颁发的证书进行审查； (四) 通知控制者或处理者涉嫌违反本条例的行为； （五） 从控制者和处理者处获取所有个人数据以及执行其任务所需的所有信息； （六） 根据欧盟或成员国程序法，访问控制者和处理者的任何场所，包括任何数据处理设备和手段。 2. 每个监管机构应拥有以下所有纠正权力： (一) 向控制者或处理者发出警告，告知其预期的处理操作可能违反本法规的规定； (二) 如果处理操作违反了本条例的规定，则向控制者或处理者发出谴责； (三) 命令控制者或处理者遵守数据主体根据本条例行使其权利的请求； (四) 在适当情况下，命令控制者或处理者以指定方式在指定期限内使处理操作符合本条例的规定； （五） 命令控制者向数据主体传达个人数据泄露情况； （六） 施加临时或明确的限制，包括禁止处理； （克） 根据第 16 条、第 17 条和第 18 条命令纠正或删除个人数据或限制处理，并将此类行动通知根据第 17 条第(2)款和第 19 条向其披露个人数据的接收者； （八） 不符合或者不再符合认证要求的，撤销认证或者责令认证机构撤销依照第四十二条、第四十三条规定颁发的认证，或者责令认证机构不予颁发认证； （我） 除本款所述措施外，或代替本款所述措施，根据每个案件的具体情况，根据第八十三条的规定处以行政罚款； (j) 命令暂停流向第三国接收者或国际组织的数据。 3. 每个监管机构应拥有以下所有授权和咨询权： (一) 根据第 36 条所述的事先协商程序向控制者提出建议； (二) 主动或应请求向国家议会、成员国政府或根据成员国法律向其他机构和团体以及公众就任何与个人数据保护相关的问题发表意见； (三) 如果成员国法律要求事先授权，则授权第 36(5) 条中提到的处理； (四) 根据第 40 条第（5）款发表意见并批准行为准则草案； （五） 根据第 43 条对认证机构进行认可； （六） 根据第 42 条第（5）款颁发认证并批准认证标准； （克） 采用第 28(8) 条和第 46(2) 条 (d) 点提及的标准数据保护条款； （八） 授权第 46(3) 条 (a) 点提及的合同条款； (一) 授权第 46 条第(3)款(b)点所述的行政安排； (j) 根据第 47 条批准具有约束力的公司规则。 4. 根据本条赋予监管机构的权力的行使应受到适当的保障措施的约束，包括根据《宪章》在联盟和成员国法律中规定的有效司法补救措施和正当程序。 5. 各成员国应通过法律规定，其监管机构有权将违反本法规的行为提请司法当局注意，并在适当情况下启动或以其他方式进行法律诉讼，以执行本法规的规定。 6. 每个成员国可以通过法律规定，其监管机构应拥有除第 1、2 和 3 款所述权力之外的额外权力。这些权力的行使不得损害第七章的有效运作。

活动报告 每个监管机构应就其活动制定年度报告，其中可能包括根据第 58 条第（2）款通知的侵权类型和采取的措施类型的清单。这些报告应转交给国家议会、政府和成员国法律指定的其他当局。它们应向公众、委员会和董事会公开。