欧盟通用数据保护条例 Regulation (EU) 2016/679 2016/679

向监管机构提出投诉的权利 1. 在不损害任何其他行政或司法补救措施的情况下，如果数据主体认为与其相关的个人数据的处理违反了本条例，则每个数据主体均有权向监管机构提出投诉，特别是在其惯常居住地、工作地点或涉嫌侵权地点的成员国。 2. 收到投诉的监督机构应告知投诉人投诉的进展和结果，包括根据第 78 条寻求司法补救的可能性。

针对监管机构获得有效司法补救的权利 1. 在不影响任何其他行政或非司法补救措施的情况下，每个自然人或法人均有权针对监管机构对其作出的具有法律约束力的决定寻求有效的司法补救措施。 2. 在不影响任何其他行政或非司法补救措施的情况下，如果根据第 55 条和第 56 条有管辖权的监督机构未处理投诉或未在三个月内告知数据主体根据第 77 条提出的投诉的进展或结果，则每个数据主体均有权获得有效的司法补救措施。 3. 针对监管机构的诉讼应向监管机构所在成员国的法院提起。 4. 如果针对监管机构的决定提起诉讼，而监管机构在一致性机制中之前已发表过意见或决定，则监管机构应将该意见或决定提交给法院。

针对控制者或处理者获得有效司法补救的权利 1. 在不影响任何可用的行政或非司法补救措施（包括根据第 77 条向监管机构提出申诉的权利）的情况下，如果每个数据主体认为其在本条例下的权利因不遵守本条例处理其个人数据而受到侵犯，则应有权获得有效的司法救济。 2. 针对控制者或处理者的诉讼应向控制者或处理者设有机构的成员国法院提起。或者，此类诉讼可以向数据主体惯常居住地的成员国法院提起，除非控制者或处理者是行使其公共权力的成员国的公共机构。

数据主体的代表 1. 数据主体有权委托根据成员国法律适当组建、具有符合公共利益的法定目标、并积极致力于保护数据主体在保护其个人数据方面的权利和自由领域的非营利机构、组织或协会代表其提出投诉，代表其行使第77、78和79条中提及的权利，并行使获得所指赔偿的权利根据成员国法律的规定，代表他或她执行第 82 条中的规定。 2. 成员国可以规定，本条第 1 款中提到的任何机构、组织或协会，无论数据主体的授权如何，都有权在该成员国向根据第 77 条有管辖权的监管机构提出投诉，如果认为数据主体在本条例下的权利因处理而受到侵犯，则有权行使第 78 条和第 79 条中提到的权利。

暂停诉讼程序 1. 如果一个成员国的主管法院掌握了另一成员国法院正在审理的、涉及同一控制者或处理者处理的同一标的物的诉讼信息，则应联系另一成员国的该法院以确认此类诉讼的存在。 2. 如果涉及同一控制者或处理者处理的同一主题的诉讼正在另一个成员国的法院悬而未决，则除首先受理的法院以外的任何主管法院都可以暂停其诉讼。 3. 如果这些诉讼在一审中未决，则除首先受理的法院以外的任何法院也可以根据一方当事人的申请，拒绝管辖权，前提是首先受理的法院对有关诉讼具有管辖权，并且其法律允许合并这些诉讼。

赔偿权和责任 1. 任何人因违反本条例规定而遭受物质或非物质损失的，有权就所遭受的损失向控制者或处理者获得赔偿。 2. 任何参与处理的控制者应对违反本条例的处理造成的损害承担责任。仅当处理者没有遵守本条例专门针对处理者的义务，或者其行为超出控制者的合法指示或违反控制者的合法指示时，处理者才应对处理造成的损害承担责任。 3. 如果控制者或处理者证明其对造成损害的事件没有任何责任，则应免除第二款规定的责任。 4. 如果同一处理涉及多个控制者或处理者，或者控制者和处理者两者，并且根据第 2 款和第 3 款，他们应对处理造成的任何损害负责，则每个控制者或处理者应对全部损害承担责任，以确保对数据主体进行有效赔偿。 5. 如果控制者或处理者已根据第 4 款的规定对所遭受的损害支付了全额赔偿，则该控制者或处理者有权根据第 2 款规定的条件向参与同一处理的其他控制者或处理者追回与其所承担的损害赔偿责任部分相应的部分赔偿金。 6. 行使获得赔偿权利的法院程序应向第 79(2) 条所述成员国法律管辖的法院提起。

实施行政罚款的一般条件 1. 各监管机构应确保根据本条对第 4 款、第 5 款和第 6 款所述违反本条例的行为实施的行政罚款在每个案件中都是有效的、相称的和具有劝诫性的。 2. 除第五十八条第（2）款（a）至（h）和（j）点所述措施外，或代替第五十八条第（2）款（a）至（h）和（j）点所述措施，应根据具体情况处以行政罚款。在决定是否处以行政罚款以及根据个案确定行政罚款数额时，应当考虑以下因素： (一) 侵权的性质、严重性和持续时间，考虑到相关处理的性质范围或目的，以及受影响的数据主体的数量和他们遭受的损害程度； (二) 侵权行为的故意或疏忽性质； (三) 控制者或处理者为减轻数据主体遭受的损害而采取的任何行动； (四) 控制者或处理者的责任程度，考虑到他们根据第 25 条和第 32 条实施的技术和组织措施； （五） 控制者或处理者之前的任何相关侵权行为； （六） 与监管机构合作的程度，以纠正侵权行为并减轻侵权行为可能造成的不利影响； （克） 受侵权影响的个人数据类别； （八） 监管机构得知侵权行为的方式，特别是控制者或处理者是否通知了侵权行为，如果通知了，通知的程度如何； (一) 如果先前已针对同一主题对相关控制者或处理者下令采取第 58(2) 条所述措施，则遵守这些措施； (j) 遵守根据第 40 条批准的行为准则或根据第 42 条批准的认证机制；和 (k) 适用于案件具体情况的任何其他加重或减轻处罚的因素，例如直接或间接因侵权而获得的经济利益或避免的损失。 3. 控制者、处理者在同一或者关联的处理操作中故意或者过失违反本条例若干规定的，行政罚款总额不得超过违法行为最严重的数额。 4. 根据第 2 款，违反以下规定的行为将受到最高 10,000,000 欧元的行政罚款，或者对于企业而言，最高可达上一财政年度全球年营业额的 2%，以较高者为准： (一) 控制者和处理者根据第8条、第11条、第25条至第39条、第42条和第43条的义务； (二) 认证机构根据第四十二条和第四十三条的义务； (三) 监督机构根据第 41 条第(4)款承担的义务。 5. 根据第 2 款，违反以下规定的行为将受到最高 20,000,000 欧元的行政罚款，或者对于企业而言，最高可达上一财政年度全球年营业额的 4%，以较高者为准： (一) 根据第 5、6、7 和 9 条规定的处理基本原则，包括同意条件； (二) 第 12 条至第 22 条规定的数据主体的权利； (三) 根据第 44 条至第 49 条将个人数据传输给第三国或国际组织的接收者； (四) 根据第九章通过的成员国法律规定的任何义务； （五） 不遵守监管机构根据第 58(2) 条发出的命令或临时或明确的处理限制或暂停数据流，或违反第 58(1) 条未能提供访问权限。 6. 根据本条第 2 款，不遵守第 58 条第(2)款所述监管机构的命令，应处以最高 20,000,000 欧元的行政罚款，或者对于企业而言，最高处以上一财政年度全球年营业额总额 4% 的行政罚款，以较高者为准。 7. 在不影响第 58 条第(2)款规定的监管机构纠正权力的情况下，各成员国可以制定规则，规定是否以及在何种程度上可以对该成员国设立的公共机构和机构处以行政罚款。 8. 监督机构根据本条行使其权力应根据联盟和成员国法律受到适当的程序保障，包括有效的司法救济和正当程序。 9. 如果成员国的法律制度没有规定行政罚款，本条的适用方式可以是由主管监管机构发起并由主管国家法院处以罚款，同时确保这些法律补救措施有效并与监管机构处以的行政罚款具有同等效力。无论如何，所施加的罚款应有效、相称且具有劝诫性。这些成员国应在 2018 年 5 月 25 日之前向委员会通报其根据本款通过的法律条款，并立即通报影响其的任何后续修订法律或修正案。

处罚 1. 成员国应制定适用于违反本条例的其他处罚的规则，特别是根据第 83 条不受行政罚款的违规行为，并应采取一切必要措施确保其实施。此类处罚应有效、相称且具有劝诫性。 2. 每个成员国应在 2018 年 5 月 25 日之前向委员会通报其根据第 1 款通过的法律规定，并立即通报影响其的任何后续修正案。