欧盟通用数据保护条例 Regulation (EU) 2016/679 2016/679

牵头监管机构与其他相关监管机构之间的合作 1. 牵头监管机构应当按照本条规定与其他有关监管机构合作，努力达成共识。牵头监管机构和有关监管机构应相互交换所有相关信息。 2. 牵头监管机构可随时要求其他有关监管机构根据第 61 条提供相互协助，并可根据第 62 条开展联合行动，特别是为了开展调查或监督涉及另一成员国设立的控制者或处理者的措施的实施。 3. 牵头监管机构应立即将此事的相关信息通报其他有关监管机构。它应立即将决定草案提交其他有关监管机构征求意见，并适当考虑它们的意见。 4. 如果任何其他相关监管机构在根据本条第 3 款进行磋商后四个星期内对决定草案表达了相关且合理的反对意见，则牵头监管机构如果不采纳相关且合理的反对意见，或者认为该反对意见不相关或不合理，则应将该事项提交给第 63 条所述的一致性机制。 5. 如果牵头监管机构打算跟进提出的相关且合理的反对意见，则应向其他有关监管机构提交修订后的决定草案，征求其意见。修订后的决定草案应在两周内接受第 4 段所述的程序。 6. 如果其他有关监管机构在第 4 款和第 5 款规定的期限内没有对牵头监管机构提交的决定草案提出异议，则牵头监管机构和有关监管机构应被视为同意该决定草案并受其约束。 7. 牵头监管机构应采纳该决定并将其通知控制者或处理者的主要机构或单一机构（视情况而定），并将相关决定通知其他相关监管机构和董事会，包括相关事实和理由的摘要。收到投诉的监管机构应将决定通知投诉人。 8. 根据第 7 款的规定，如果投诉被驳回或驳回，收到投诉的监管机构应作出决定，并将其通知投诉人，并通知控制者。 9. 如果牵头监管机构和有关监管机构同意驳回或拒绝投诉的部分内容并对该投诉的其他部分采取行动，则应对该事项的每一部分采取单独的决定。牵头监管机构应就与控制者有关的行动做出决定，并将其通知控制者或处理者在其成员国境内的主要机构或单一机构，并将该决定通知投诉人，而投诉人的监管机构应就有关驳回或驳回该投诉的部分作出决定，并将其通知该投诉人，并将其通知控制者或处理者。 10. 在收到牵头监管机构根据第 7 款和第 9 款做出的决定后，控制者或处理者应采取必要措施，确保其在欧盟的所有机构内的处理活动遵守该决定。控制者或处理者应将为遵守决定而采取的措施通知牵头监管机构，牵头监管机构应通知其他有关监管机构。 11. 在特殊情况下，有关监管机构有理由认为迫切需要采取行动保护信息主体利益的，应当适用第六十六条规定的紧急程序。 12. 牵头监管机构和其他有关监管机构应使用标准化格式，通过电子方式相互提供本条所要求的信息。

互助 1. 监管机构应当相互提供相关信息并相互协助，以一致地实施和适用本条例，并采取措施相互有效合作。互助尤其应涵盖信息请求和监督措施，例如请求进行事先授权和磋商、检查和调查。 2. 每个监管机构应采取一切必要措施，在收到请求后一个月内立即答复另一监管机构的请求，不得无故拖延。此类措施尤其可包括传送有关调查进行的相关信息。 3. 协助请求应包含所有必要的信息，包括请求的目的和理由。交换的信息只能用于所请求的目的。 4. 被请求的监管机构不得拒绝遵守请求，除非： (一) 它无权处理请求的主题事项或请求执行的措施；或 (二) 遵守该请求将违反本条例或收到请求的监管机构应遵守的联盟或成员国法律。 5. 被请求的监管机构应将结果通知请求的监管机构，或者根据情况通知为响应请求而采取的措施的进展情况。被请求的监管机构应提供拒绝遵守第 4 款规定的请求的理由。 6. 通常，被请求的监管机构应使用标准化格式，通过电子方式提供其他监管机构所请求的信息。 7. 被请求监管机构不得对其根据互助请求采取的任何行动收取费用。特殊情况下，监管机构可以商定规则，相互赔偿因提供互助而产生的特定支出。 8. 如果监管机构在收到另一监管机构的请求后一个月内未提供本条第 5 款所述信息，则提出请求的监管机构可以根据第 55 条第(1)款在其成员国境内采取临时措施。在这种情况下，应假定满足了根据第 66(1) 条采取行动的紧急需要，并需要董事会根据第 66(2) 条做出具有紧急约束力的决定。 9. 委员会可以通过实施法案规定本条所述互助的格式和程序，以及监管机构之间以及监管机构与董事会之间通过电子方式交换信息的安排，特别是本条第 6 款所述的标准化格式。这些实施细则应按照第93条第(2)款所述的审查程序予以通过。

监管机构联合行动 1. 监管机构应酌情开展联合行动，包括其他成员国监管机构成员或工作人员参与的联合调查和联合执法措施。 2. 如果控制者或处理者在多个成员国设有机构，或者多个成员国的大量数据主体可能受到处理操作的重大影响，则每个成员国的监管机构均有权参与联合操作。根据第 56 条第（1）或（4）款有权的监管机构应邀请每个成员国的监管机构参与联合行动，并应立即响应监管机构的参与请求。 3. 监管机构可以根据成员国法律并经借调监管机构授权，向参与联合行动的借调监管机构成员或工作人员授予权力，包括调查权，或者在东道监管机构成员国法律允许的范围内，允许借调监管机构成员或工作人员根据借调监管机构成员国法律行使其调查权。此类调查权只能在东道国监管机构成员或工作人员的指导下并在其在场的情况下行使。借调监管机构的成员或工作人员应遵守东道监管机构的成员国法律。 4. 根据第 1 款，如果借调监管机构的工作人员在另一个成员国开展业务，东道监管机构的成员国应根据其开展业务所在成员国的法律，对其行为承担责任，包括对其在业务期间造成的任何损害承担赔偿责任。 5. 在其领土上造成损害的成员国应按照适用于其本国工作人员造成的损害的条件赔偿此类损害。借调监管机构的工作人员对另一成员国境内的任何人造成损害的成员国应全额偿还该另一成员国向有权代表其的人员支付的任何款项。 6. 在不妨碍其行使权利的情况下 相对 第三方，除第 5 款外，在第 1 款规定的情况下，每个成员国不得就第 4 款所述损害向另一成员国请求赔偿。 7. 如果打算进行联合运营，而监管机构未在一个月内遵守本条第 2 款第二句规定的义务，则其他监管机构可根据第 55 条在其成员国境内采取临时措施。在这种情况下，应推定满足根据第 66(1) 条采取行动的紧急需要，并要求理事会根据第 66(2) 条提出意见或做出具有紧急约束力的决定。

一致性机制 为了促进本条例在整个联盟的一致适用，监管机构应通过本节规定的一致性机制相互合作，并在相关情况下与委员会合作。

董事会意见 1. 当主管监管机构拟采取下列任何措施时，董事会应发表意见。为此，主管监督机构应将决定草案传达给理事会，如果： (一) 旨在根据第 35(4) 条采用符合数据保护影响评估要求的处理操作清单； (二) 涉及第 40(7) 条规定的事项，行为准则草案或行为准则的修订或扩展是否符合本条例； ▼C1 (三) 旨在批准根据第 41(3) 条对机构进行认可的要求，根据第 43(3) 条对认证机构进行认可的要求，或根据第 42(5) 条所述的认证标准； ▼B (四) 旨在确定第 46(2) 条 (d) 点和第 28(8) 条中提到的标准数据保护条款； （五） 旨在授权第 46(3) 条 (a) 点中提到的合同条款；或 （六） 旨在批准第 47 条含义内具有约束力的公司规则。 2. 任何监管机构、董事会或委员会主席均可要求董事会审查任何普遍适用或在多个成员国产生影响的事项，以期获得意见，特别是在主管监管机构不遵守第 61 条规定的互助义务或第 62 条规定的联合行动义务的情况下。 3. 在第 1 款和第 2 款所述情况下，董事会应就向其提交的事项发表意见，前提是委员会尚未就同一事项发表意见。该意见应在八周内以简单多数董事会成员的方式通过。考虑到主题事项的复杂性，该期限可能会再延长六周。对于根据第 5 款分发给董事会成员的第 1 款所述决定草案，在主席指定的合理期限内未提出异议的成员，应被视为同意该决定草案。 4. 监管机构和委员会应毫不拖延地通过电子方式，使用标准化格式向董事会传达任何相关信息，包括（视情况而定）事实摘要、决定草案、有必要颁布此类措施的理由以及其他相关监管机构的观点。 5. 董事会主席应及时通过电子方式通知： (一) 向董事会和委员会成员通报已使用标准化格式传达给其的任何相关信息。董事会秘书处根据需要提供相关资料的译文；和 (二) 第 1 款和第 2 款中提到的监督机构和委员会提出意见并予以公布。 ▼C1 6. 第 1 款所述主管监督机关不得在第 3 款所述期限内通过第 1 款所述决定草案。 7. 第一项所称主管监管机关应充分考虑董事会的意见，并应在收到意见后两周内，以电子方式向董事会主席通报是否维持或修改其决定草案，如有，则使用标准化格式向董事会主席通报修改后的决定草案。 8. 如果第 1 款所指的主管监管机构在本条第 7 款所指的期限内通知董事会主席其不打算全部或部分采纳董事会的意见，并提供相关理由，则应适用第 65 条第(1)款。 ▼B

董事会争议解决 1. 为了确保本条例在个别案件中的正确和一致的适用，委员会应在下列情况下作出具有约束力的决定： (一) ►C1 在第 60 条第(4)款所述的情况下，有关监管机构对牵头监管机构的决定草案提出了相关且合理的反对意见，而牵头监管机构没有采纳该反对意见，或者以不相关或不合理为由拒绝了该反对意见。 ◄ 具有约束力的决定应涉及相关和合理反对的所有事项，特别是是否违反本条例； (二) 对于哪个相关监管机构负责主要机构存在争议； (三) 在第 64 条第（1）款所述情况下，主管监管机构未征求委员会的意见，或未遵循委员会根据第 64 条发布的意见。在这种情况下，任何有关监管机构或委员会可将此事通报给委员会。 2. 第 1 款中提到的决定应在主题事项提交后一个月内以董事会三分之二多数成员的多数通过。由于主题事项的复杂性，该期限可能会再延长一个月。第 1 款中提到的决定应向牵头监管机构和所有相关监管机构说明理由，并对他们具有约束力。 3. 如果董事会未能在第 2 款所述期限内做出决定，则应在第 2 款所述第二个月届满后两周内以董事会成员的简单多数通过其决定。如果董事会成员出现分歧，则应由主席投票通过。 4. 有关监管机构不得在第 2 款和第 3 款所述期间就根据第 1 款提交给董事会的主题事项作出决定。 5. 董事会主席应立即将第 1 款所述决定通知有关监管机构。它应将此事通知委员会。监管机构通知第 6 款所述的最终决定后，该决定应立即在董事会网站上公布。 6. 主要监管机构或（视情况而定）收到投诉的监管机构应根据本条第 1 款所述决定作出最终决定，不得无故拖延，最迟在委员会通知其决定后一个月内作出。主要监管机构或（视情况而定）收到投诉的监管机构应将其最终决定分别通知控制者或处理者和数据主体的日期。有关监管机构的最终决定应根据第六十条（七）、（八）和（九）的规定作出。最终决定应提及本条第1款所述的决定，并应明确该款所述的决定将按照本条第5款的规定在理事会网站上公布。最终决定应附有本条第一款所述的决定。

紧急程序 1. 在特殊情况下，当有关监管机构认为迫切需要采取行动保护数据主体的权利和自由时，可以通过减损第六十三条、第六十四条和第六十五条规定的一致性机制或第六十条规定的程序，立即采取旨在在其境内产生法律效力的临时措施，规定的有效期不得超过三个月。监管机构应立即将这些措施以及采取这些措施的理由传达给其他有关监管机构、董事会和委员会。 2. 如果监管机构已根据第 1 款采取措施，并认为需要紧急采取最终措施，则可以要求董事会提出紧急意见或具有紧急约束力的决定，并说明要求此类意见或决定的理由。 3. 如果主管监管机构在迫切需要采取行动的情况下未采取适当措施，则任何监管机构都可以根据具体情况要求理事会提供紧急意见或具有紧急约束力的决定，以保护数据主体的权利和自由，并给出要求此类意见或决定的理由，包括迫切需要采取行动的理由。 4. 根据第 64 条第(3)款和第 65 条第(2)款的规定，本条第 2 款和第 3 款中提到的紧急意见或紧急约束力决定应在两周内以董事会成员的简单多数通过。

信息交流 委员会可以通过一般范围的实施法案，以明确监管机构之间以及监管机构与董事会之间通过电子方式交换信息的安排，特别是第 64 条中提到的标准化格式。 这些实施细则应按照第93条第(2)款所述的审查程序予以通过。

欧洲数据保护委员会 1. 欧洲数据保护委员会（“委员会”）特此作为联盟的一个机构成立，并具有法人资格。 2. 董事会应由其主席代表。 3. 委员会应由每个成员国一个监管机构的负责人和欧洲数据保护监管机构的负责人或其各自的代表组成。 4. 如果一个成员国有多个监管机构负责监督本条例规定的实施，则应根据该成员国的法律任命一名联合代表。 5. 委员会有权参加董事会的活动和会议，但无表决权。委员会应指定一名代表。董事会主席应向委员会通报董事会的活动。 6. 在第 65 条提及的情况下，欧洲数据保护监督员仅对涉及适用于实质上与本条例的规定相对应的联盟机构、机构、办公室和机构的原则和规则的决定拥有投票权。

独立 1. 董事会依照第七十条、第七十一条规定独立履行职责或者行使职权。 ▼C1 2. 在不影响第 70 条第（1）和（2）款所述委员会要求的情况下，委员会在履行其任务或行使其权力时，不得寻求或接受任何人的指示。 ▼B

董事会的任务 1. 董事会应确保本法规的一致应用。为此，董事会应主动或在相关情况下应委员会的要求，特别是： (一) 在不影响国家监管机构任务的情况下，监督并确保本条例在第 64 条和第 65 条规定的情况下的正确适用； (二) 就与欧盟个人数据保护有关的任何问题，包括对本条例的任何拟议修正案，向委员会提供建议； (三) 就控制者、处理者和监管机构之间交换信息的格式和程序向委员会提供建议，以约束公司规则； (四) 根据第 17 条第 (2) 款的规定，发布关于从公共通信服务中删除个人数据链接、副本或复制品的程序的指南、建议和最佳实践； （五） 根据其一名成员的要求或委员会的要求，主动审查涉及本法规应用的任何问题，并发布指南、建议和最佳实践，以鼓励一致应用本法规； （六） 根据本段 (e) 点发布指南、建议和最佳实践，以进一步明确根据第 22(2) 条基于分析做出决策的标准和条件； （克） 根据本段 (e) 点发布指南、建议和最佳实践，以确定个人数据泄露并确定第 33(1) 和 (2) 条中提到的不当延误，以及控制者或处理者需要通知个人数据泄露的特定情况； （八） 根据本段第 (e) 点，就个人数据泄露可能对第 34(1) 条所述自然人的权利和自由造成高风险的情况发布指南、建议和最佳实践。 （我） 根据本段(e)点发布指南、建议和最佳实践，以根据控制者遵守的具有约束力的公司规则和处理者遵守的具有约束力的公司规则以及进一步的必要要求，进一步明确个人数据传输的标准和要求，以确保保护第47条中提到的有关数据主体的个人数据； (j) 根据本段(e)点发布指南、建议和最佳实践，以便根据第49(1)条进一步明确个人数据传输的标准和要求； (k) 为监管机构制定有关实施第 58 条第（1）、（2）和（3）款所述措施以及根据第 83 条规定设定行政罚款的指南； ▼C1 (l) 审查指南、建议和最佳做法的实际应用； ▼B (米) 根据本段 (e) 点发布指南、建议和最佳实践，以建立自然人根据第 54(2) 条举报违反本条例行为的通用程序； (n) 鼓励根据第四十条和第四十二条制定行为准则并建立数据保护认证机制以及数据保护印章和标志； ▼C1 (o) 根据第 42(5) 条批准认证标准，并根据第 42(8) 条维护认证机制和数据保护印章和标记以及根据第 42(7) 条在第三国建立的经认证控制者或处理者的公共登记册； （页） 批准第 43 条第(3)款所述要求，以期对第 43 条所述认证机构进行认可； ▼B （q） 向委员会提供关于第 43(8) 条提及的认证要求的意见； (右) 向委员会提供有关第 12 条第(7)款所述图标的意见； （数） 向委员会提供评估第三国或国际组织保护水平是否充分的意见，包括评估第三国、某一领土或该第三国或国际组织内的一个或多个特定部门是否不再确保充分的保护水平。为此，委员会应向理事会提供所有必要的文件，包括与第三国政府、有关第三国、领土或特定部门或国际组织的信函。 （吨） 就监管机构根据第 64(1) 条所述的一致性机制制定的决定草案、根据第 64(2) 条提交的事项发表意见，并根据第 65 条发布具有约束力的决定，包括在第 66 条所述的情况下； (u) 促进监管机构之间的合作以及有效的双边和多边信息和最佳实践交流； （五） 促进共同培训计划并促进监管机构之间的人员交流，并酌情与第三国监管机构或国际组织之间的人员交流； （w） 促进与世界各地的数据保护监管机构交流有关数据保护立法和实践的知识和文件。 (x) 就根据第 40(9) 条在联盟层面制定的行为准则发表意见；和 (y) 维护一个可公开访问的电子登记册，记录监管机构和法院就一致性机制处理的问题所做出的决定。 2. 如果委员会要求董事会提供建议，考虑到事项的紧迫性，委员会可以指定一个时限。 3. 委员会应将其意见、指导方针、建议和最佳实践提交给委员会和第 93 条提及的委员会，并予以公开。 4. 董事会应在适当的情况下咨询利益相关方，并给予他们在合理期限内发表评论的机会。在不影响第 76 条的情况下，委员会应公开协商程序的结果。

报告 1. 委员会应起草一份关于在欧盟以及相关的第三国和国际组织中处理自然人的保护的年度报告。该报告应公开并转交欧洲议会、理事会和委员会。 2. 年度报告应包括对第 70(1) 条第 (l) 点提及的指南、建议和最佳实践以及第 65 条提及的具有约束力的决定的实际应用的审查。

程序 1. 除非本条例另有规定，董事会应以简单多数成员作出决定。 2. 董事会应以三分之二多数成员通过自己的议事规则，并制定自己的运作安排。

椅子 1. 董事会应以简单多数从其成员中选举一名主席和两名副主席。 2. 主席和副主席的任期为五年，可连任一次。

主席的任务 1. 主席应履行以下任务： (一) 召集董事会会议并制定议程； (二) 将董事会根据第 65 条作出的决定通知牵头监管机构和有关监管机构； (三) 确保董事会及时履行任务，特别是与第 63 条提及的一致性机制有关的任务。 2. 董事会应在其议事规则中规定主席和副主席之间的任务分配。

秘书处 1. 委员会应设有一个秘书处，由欧洲数据保护监督员提供。 2. 秘书处应完全在董事会主席的指示下履行其任务。 3. 参与执行本条例赋予委员会的任务的欧洲数据保护监督员的工作人员应与参与执行欧洲数据保护监督员的任务的工作人员分别接受报告。 4. 在适当的情况下，委员会和欧洲数据保护监督员应制定并发布一份谅解备忘录，以实施本条，确定合作条款，并适用于参与执行本条例赋予委员会的任务的欧洲数据保护监督员的工作人员。 5. 秘书处应向理事会提供分析、行政和后勤支持。 6. 秘书处应特别负责： (一) 董事会的日常事务； (二) 董事会成员、主席和委员会之间的沟通； (三) 与其他机构和公众的沟通； (四) 使用电子方式进行内部和外部沟通； （五） 相关资料的翻译； （六） 董事会会议的筹备和后续行动； （克） 准备、起草和公布关于解决监管机构之间争议的意见、决定以及董事会通过的其他文本。

保密性 1. 如果董事会认为有必要，按照其议事规则的规定，董事会的讨论应当保密。 2. 获取提交给董事会成员、专家和第三方代表的文件应受欧洲议会和理事会第 1049/2001 号法规 (EC) 的管辖（ 3 ）。