關(guān)于我們
書單推薦
新書推薦
|
歐盟《一般數(shù)據(jù)保護條例》GDPR(漢英對照)
歐盟的《一般數(shù)據(jù)保護條例》 (General Data Protection Regulation, GDPR)則是在數(shù)據(jù)保護方面的另一重要立法。這部條例是在歐盟之前的立法基礎(chǔ)上(尤其是1995年的《數(shù)據(jù)保護指令》及相關(guān)成員國國內(nèi)法)歷經(jīng)4年多的協(xié)商和辯論后于2016年4月27日通過,并于2018年5月25日正式生效。超過兩年的準(zhǔn)備期也從一個側(cè)面說明了GDPR本身的重要性和對相關(guān)方可能造成的影響。
GDPR創(chuàng)設(shè)和引入了若干重要性的理念,值得數(shù)據(jù)保護領(lǐng)域的相關(guān)方認真研究和應(yīng)對。比如: 1.強化對數(shù)據(jù)主體的保護。GDPR要求數(shù)據(jù)主體的同意必須是具體的、清晰的,而且是在充分知情的前提下自由作出的。如果是涉及兒童的個人數(shù)據(jù),必須獲得其父母或者其他監(jiān)護人的同意。更重要的是,數(shù)據(jù)主體可以隨時撤回同意,數(shù)據(jù)控制者應(yīng)為此提供便利。雖然GDPR允許在特定場合數(shù)據(jù)控制者出于其合法利益可以處理數(shù)據(jù),但是必須證明其合法利益顯著高于個人權(quán)利和自由。此外,數(shù)據(jù)主體還明確擁有了知情權(quán)、反對權(quán)、被遺忘權(quán)以及數(shù)據(jù)可攜權(quán)。 2.數(shù)據(jù)控制者和處理者的義務(wù)。對于數(shù)據(jù)控制者,GDPR要求符合條件的控制者必須設(shè)立數(shù)據(jù)保護專員(Data Protection Officer)或者指定代表負責(zé)數(shù)據(jù)保護事宜。在設(shè)計產(chǎn)品和服務(wù)時必須嵌入數(shù)據(jù)保護(Compliance by Design和Compliance by Default) 。對個人數(shù)據(jù)要采取安全保障措施,包括數(shù)據(jù)的假名化;對于高風(fēng)險的數(shù)據(jù)處理活動,要進行數(shù)據(jù)保護影響評估和事先協(xié)商;在發(fā)生數(shù)據(jù)泄露時,要及時通知監(jiān)管機構(gòu)等。 3.監(jiān)管。在監(jiān)管方面,GDPR試圖統(tǒng)一監(jiān)管機構(gòu),允許企業(yè)主營業(yè)機構(gòu)所在地的監(jiān)管機構(gòu)實行一站式監(jiān)管,減輕了跨國數(shù)據(jù)流動時企業(yè)的合規(guī)負擔(dān)。但同時,對于違反GDPR相關(guān)規(guī)定的處理行為,該條例設(shè)置了巨額的處罰措施。對于沒有取得用戶同意等行為,處罰高達2000萬歐元或者企業(yè)上一年度全球營業(yè)收入的4%(以較高者為準(zhǔn))。 對于中國企業(yè)來講,尤其要注意的是GDPR的適用范圍。一方面,對于中國企業(yè)在歐洲設(shè)立或者收購而成的子公司,無論其數(shù)據(jù)處理活動是否在歐盟境內(nèi),均需遵守GDPR。另一方面,如果中國企業(yè)為了向歐盟境內(nèi)可識別的自然人提供商品和服務(wù)而收集、處理他們的信息,或者為了監(jiān)控歐盟境內(nèi)可識別的自然人的活動而收集、處理他們的信息,也要受GDPR的管轄。因此,對于已經(jīng)在歐盟進行戰(zhàn)略布局或者擬將業(yè)務(wù)網(wǎng)絡(luò)拓展到歐盟的中國企業(yè)(尤其是銀行、電子商務(wù)、互聯(lián)網(wǎng)、IT企業(yè)和軟硬件生產(chǎn)商)來講,必須重視GDPR的合規(guī),否則將會遭受重大的財務(wù)和聲譽上的損失。 瑞栢律師事務(wù)所長期從事跨國業(yè)務(wù),有自己專門的法律專業(yè)團隊,為了向中國企業(yè)和政府機關(guān)提供更為精準(zhǔn)的歐盟《一般數(shù)據(jù)保護條例》翻譯文本,特組織翻譯編寫了此書。本書收錄了歐盟《一般數(shù)據(jù)保護條例》的中英文全文(包括鑒于條款和正文),采取漢英對照的方式,不僅有利于讀者查詢對照,而且還能讓讀者接觸到法律英語的精準(zhǔn)表達。 中國歐盟商會主席Mats Harborn推薦作序;普華永道全球網(wǎng)絡(luò)的成員機構(gòu)組織專門的法律翻譯團隊精準(zhǔn)翻譯;全文收錄,包括鑒于條款和正文。
隨著《一般數(shù)據(jù)保護條例》的實施日期臨近,將其翻譯成中文無疑是一項非常重要且對所有人有益的工作,這將為面向歐盟從事經(jīng)營活動的中國企業(yè)鋪平道路,使其更好地了解和進行歐盟個人數(shù)據(jù)處理,同時也能夠使中國監(jiān)管者、學(xué)者和企業(yè)之間進行更廣泛的討論。這意味著朝更完善的合規(guī)以及國家之間互相學(xué)習(xí)、互相汲取經(jīng)驗和*佳實踐又邁進了一步;所有人*終都將受益于更加清晰、更具有可預(yù)見性和更有利于行業(yè)健康發(fā)展的數(shù)據(jù)保護規(guī)則。
Mats Harborn(中國歐盟商會主席)
由于歐盟立法者的法律專業(yè)背景,加上法律語言本身的佶屈聱牙,沒有經(jīng)過專業(yè)訓(xùn)練并熟悉相關(guān)領(lǐng)域的人是很難準(zhǔn)確翻譯法律文本的。在法律翻譯方面,準(zhǔn)確性無疑是排在第*位的。這也是為什么熟悉英美法律體系的專業(yè)人員多愿意直接接觸英文原文,而從事跨國法律業(yè)務(wù)的律師事務(wù)所多擁有自己的專業(yè)法律翻譯團隊。出于這樣的考慮,我們投入專門的人員和時間,對GDPR全文(包括序言和正文)進行了中文翻譯,希望能為數(shù)據(jù)保護和合規(guī)領(lǐng)域的監(jiān)管機構(gòu)、學(xué)者、企業(yè)和專業(yè)人士提供一份高質(zhì)量的參考資料。
王景(瑞栢律師事務(wù)所高級顧問律師)
當(dāng)本書出版之際,F(xiàn)acebook正在經(jīng)歷著或許是其成立以來最大的危機。這一切都源于2013年,F(xiàn)acebook允許亞歷山大·科根(Alexander Kogan)在其平臺上發(fā)布了一款性格測試應(yīng)用-- "this is your digital life" ,并通過隨機發(fā)放紅包的方式大力推廣,獲得了30萬用戶的個人信息。而由于當(dāng)時Facebook允許用戶授權(quán)該應(yīng)用獲取社交關(guān)系以及好友信息,導(dǎo)致亞歷山大·科根間接獲得了額外近5000萬人的數(shù)據(jù)。這些數(shù)據(jù)據(jù)稱被用于了其他用戶在最初授權(quán)時完全沒有料到的政治用途,使Facebook成為眾矢之的。當(dāng)西裝革履的扎克伯格在美國國會回答議員咄咄逼人的提問時,他或許后悔為什么他的公司沒有在數(shù)據(jù)合規(guī)方面作出更多的努力。
但Facebook遇到的問題不是一家公司的問題,而是我們這個時代的一個縮影。隨著海量個人數(shù)據(jù)的產(chǎn)生、傳輸、使用和分享,互聯(lián)網(wǎng)應(yīng)用的用戶(數(shù)據(jù)主體)越來越關(guān)心其個人數(shù)據(jù)安全和隱私,采集、處理數(shù)據(jù)的公司(數(shù)據(jù)控制者和處理者)則希望有更多的自由獲得大數(shù)據(jù),并據(jù)此進行精準(zhǔn)廣告投放或產(chǎn)品推廣。監(jiān)管者則一如既往地落后于科技的發(fā)展,一方面不希望給科技和經(jīng)濟發(fā)展制造障礙,另一方面又要平衡個人權(quán)利和自由以及更高層面的法律價值觀。但是無論如何,對數(shù)據(jù)保護方面自由放任的時代已經(jīng)過去,國家和超國家立法是大勢所趨。我國《網(wǎng)絡(luò)安全法》在這方面作出了非常積極的探索和嘗試。歐盟的《一般數(shù)據(jù)保護條例》 (General Data Protection Regulation, GDPR)則是在數(shù)據(jù)保護方面的另一重要立法。這部條例是在歐盟之前的立法基礎(chǔ)上(尤其是1995年的《數(shù)據(jù)保護指令》及相關(guān)成員國國內(nèi)法)歷經(jīng)4年多的協(xié)商和辯論后于2016年4月27日通過,并于2018年5月25日正式生效。超過兩年的準(zhǔn)備期也從一個側(cè)面說明了GDPR本身的重要性和對相關(guān)方可能造成的影響。 GDPR創(chuàng)設(shè)和引入了若干重要性的理念,值得數(shù)據(jù)保護領(lǐng)域的相關(guān)方認真研究和應(yīng)對。比如: 1.強化對數(shù)據(jù)主體的保護。GDPR要求數(shù)據(jù)主體的同意必須是具體的、清晰的,而且是在充分知情的前提下自由作出的。如果是涉及兒童的個人數(shù)據(jù),必須獲得其父母或者其他監(jiān)護人的同意。更重要的是,數(shù)據(jù)主體可以隨時撤回同意,數(shù)據(jù)控制者應(yīng)為此提供便利。雖然GDPR允許在特定場合數(shù)據(jù)控制者出于其合法利益可以處理數(shù)據(jù),但是必須證明其合法利益顯著高于個人權(quán)利和自由。此外,數(shù)據(jù)主體還明確擁有了知情權(quán)、反對權(quán)、被遺忘權(quán)以及數(shù)據(jù)可攜權(quán)。 2.數(shù)據(jù)控制者和處理者的義務(wù)。對于數(shù)據(jù)控制者,GDPR要求符合條件的控制者必須設(shè)立數(shù)據(jù)保護專員(Data Protection Officer)或者指定代表負責(zé)數(shù)據(jù)保護事宜。在設(shè)計產(chǎn)品和服務(wù)時必須嵌入數(shù)據(jù)保護(Compliance by Design和Compliance by Default) 。對個人數(shù)據(jù)要采取安全保障措施,包括數(shù)據(jù)的假名化;對于高風(fēng)險的數(shù)據(jù)處理活動,要進行數(shù)據(jù)保護影響評估和事先協(xié)商;在發(fā)生數(shù)據(jù)泄露時,要及時通知監(jiān)管機構(gòu)等。 3.監(jiān)管。在監(jiān)管方面,GDPR試圖統(tǒng)一監(jiān)管機構(gòu),允許企業(yè)主營業(yè)機構(gòu)所在地的監(jiān)管機構(gòu)實行一站式監(jiān)管,減輕了跨國數(shù)據(jù)流動時企業(yè)的合規(guī)負擔(dān)。但同時,對于違反GDPR相關(guān)規(guī)定的處理行為,該條例設(shè)置了巨額的處罰措施。對于沒有取得用戶同意等行為,處罰高達2000萬歐元或者企業(yè)上一年度全球營業(yè)收入的4%(以較高者為準(zhǔn)). 對于中國企業(yè)來講,尤其要注意的是GDPR的適用范圍。一方面,對于中國企業(yè)在歐洲設(shè)立或者收購而成的子公司,無論其數(shù)據(jù)處理活動是否在歐盟境內(nèi),均需遵守GDPR。另一方面,如果中國企業(yè)為了向歐盟境內(nèi)可識別的自然人提供商品和服務(wù)而收集、處理他們的信息,或者為了監(jiān)控歐盟境內(nèi)可識別的自然人的活動而收集、處理他們的信息,也要受GDPR的管轄。因此,對于已經(jīng)在歐盟進行戰(zhàn)略布局或者擬將業(yè)務(wù)網(wǎng)絡(luò)拓展到歐盟的中國企業(yè)(尤其是銀行、電子商務(wù)、互聯(lián)網(wǎng)、IT企業(yè)和軟硬件生產(chǎn)商)來講,必須重視GDPR的合規(guī),否則將會遭受重大的財務(wù)和聲譽上的損失。 談到GDPR的合規(guī),是一個必要但非常復(fù)雜的過程,需要相關(guān)主體投入大量的管理、財務(wù)資源以及時間成本。對于中國企業(yè)來講,還有一個和國內(nèi)法(如《網(wǎng)絡(luò)安全法》)合規(guī)相銜接的問題。畢竟一般企業(yè)不會為滿足不同法域要求而分別制定不同的企業(yè)規(guī)章制度、操作流程、隱私政策和合同范本。我們在就網(wǎng)絡(luò)安全、數(shù)據(jù)保護以及GDPR相關(guān)問題向中國客戶提供咨詢服務(wù)時,常常發(fā)現(xiàn)企業(yè)迫切需要了解GDPR的具體規(guī)定,而不是似是而非的解讀或者介紹。但遺憾的是,我們在調(diào)查后發(fā)現(xiàn)目前市場上還沒有一份高質(zhì)量的GDPR中文譯本。由于歐盟立法的執(zhí)筆人多有法律專業(yè)背景,加上法律語言本身的佶屈聱牙,沒有經(jīng)過專業(yè)訓(xùn)練并熟悉相關(guān)領(lǐng)域的人是很難準(zhǔn)確翻譯法律文本(甚至是法學(xué)學(xué)術(shù)著作)的。在法律翻譯方面,準(zhǔn)確性無疑是排在第一位的。這也是為什么熟悉英美法律體系的專業(yè)人員多愿意直接接觸英文原文,而從事跨國法律業(yè)務(wù)的律師事務(wù)所多擁有自己的專業(yè)法律翻譯團隊。出于這樣的考慮,我們投入專業(yè)的人員和時間,對GDPR全文(包括鑒于條款和正文)進行了中文翻譯,希望能為數(shù)據(jù)保護和合規(guī)領(lǐng)域的監(jiān)管機構(gòu)、學(xué)者、企業(yè)和專業(yè)人士提供一份高質(zhì)量的參考資料。 在此我要感謝北京瑞栢律師事務(wù)所的專業(yè)律師和翻譯團隊所付出的辛勞與汗水,感謝中國歐盟商會何墨池(Harborn)主席為本書作序。同時也要感謝法律出版社的趙明霞編輯,她對于數(shù)據(jù)保護領(lǐng)域的直覺和興趣,以及對本書的無私幫助,是這本書得以付梓的關(guān)鍵。 最后需要說明的是,數(shù)據(jù)保護是一個全新的、日新月異的領(lǐng)域。相關(guān)法律規(guī)范中的術(shù)語從法律角度、技術(shù)角度和管理角度可能有不同的理解。GDPR中有大量的表述有不止一種的理解和譯法。我們采取了我們認為合理的表述,并不表示否定了其他的表述。我們期待與同仁就GDPR和相關(guān)問題不斷進行探討與交流。 王 景 瑞栢律師事務(wù)所高級顧問律師
序 言
Preface Recent years have witnessed profound changes to the global personal data regulatory landscape-changes that concern individuals, regulators, businesses and academicsalike, regardless of which areas/fields they are from, and wherever they are in the world.The trend towards heightened protection of personal data is rapidly increasing, with more and more countries adopting and strengthening corresponding rules.Indeed, over 100 countries now have such data protection rules. 近年來,全球個人數(shù)據(jù)監(jiān)管格局發(fā)生了深刻的變化,這些變化涉及各個領(lǐng)域及世界各地的個人、監(jiān)管者、企業(yè)和學(xué)者等。隨著越來越多的國家采取和加強相應(yīng)的規(guī)則,強化個人數(shù)據(jù)保護的趨勢正在迅速上升。事實上,目前已經(jīng)有100多個國家制定了這樣的數(shù)據(jù)保護規(guī)則。
With the General Data Protection Regulation (GDPR) scheduled to take effect on 25th May 2018, the European Union (EU) has drawn the world’s attention, not only as it sets relatively high and strict data protection standards, but also as it will have a global impact, applying to businesses all over the world that have operations in the EU.The GDPR is the result of many considerations.These include certain abuses of personal data witnessed since 1995 under the EU Data Protection Directive 95/46/EC-which is being replaced by the GDPR-globalisation and technical advancement in general, and the growing distrust of individuals towards data protection and security.
隨著《一般數(shù)據(jù)保護條例》于2018年5月25日的生效,歐盟受到世界的關(guān)注。這不僅是因為該條例設(shè)定了較高和相對嚴(yán)厲的個人數(shù)據(jù)保護標(biāo)準(zhǔn),而且由于其具有全球性影響,適用于全世界范圍內(nèi)所有面向歐盟從事經(jīng)營活動的企業(yè)!兑话銛(shù)據(jù)保護條例》是在充分考慮大量因素后出臺的,這些因素包括自1995年以來違反95/46/EC號指令(《歐盟數(shù)據(jù)保護指令》,該指令將被《一般數(shù)據(jù)保護條例》取代)的濫用個人數(shù)據(jù)行為、全球化和技術(shù)進步,以及個人對數(shù)據(jù)保護和安全的日益不信任。
I recall Meglena Kuneva, the then European Consumer Commissioner, saying in a speech in 2009 that, "Personal data is the new oil of the internet and the new currency of the digital world." Many have since further pointed out that, unlike oil, the value of which increases with quantity, the value of data does not increase by volume alone.In order to maximise their value, data must be collected, assessed and analysed, and should be allowed to flow freely across borders, provided that reasonable safeguards are in place.
我記得歐委會消費者事務(wù)委員Meglena Kuneva女士曾在2009年的一次演講中說過:“個人數(shù)據(jù)是互聯(lián)網(wǎng)的新能源、數(shù)字世界的新貨幣!贝撕蟾嗳擞种赋觯偷膬r值隨著數(shù)量增長,而數(shù)據(jù)的價值并不單純隨著數(shù)量的增加而增加。為了將數(shù)據(jù)的價值最大化,就必須對數(shù)據(jù)進行收集、評估和分析,并允許數(shù)據(jù)跨境自由流動,前提是要制定合理的保護措施。
European authorities have recognized the paramount importance to strike a proper balance between guaranteeing personal data protection and security on the one hand, while still enabling the use of personal data to boost business competitiveness and modernise society in an effective manner on the other.In addition, the GDPR has also embraced and banked on the fact that we now live in a borderless digital world, in which data protection rules can have a broader scope and an extraterritorial reach.Rules in one jurisdiction will impact not only domestic and foreign companies based there, but also companies based in others.
歐洲當(dāng)局已經(jīng)認識到尋求平衡的重大意義,一方面要保證個人數(shù)據(jù)的保護和安全,另一方面應(yīng)允許使用個人數(shù)據(jù)來有效促進商業(yè)競爭和社會的現(xiàn)代化。此外,《一般數(shù)據(jù)保護條例》也接受并相信,我們當(dāng)前處于一個無邊界的數(shù)字化世界之中,在這樣的世界中數(shù)據(jù)保護規(guī)則可以有更廣的適用范圍并且可延伸至域外。某一國家或地區(qū)的規(guī)則將不僅影響其境內(nèi)的內(nèi)外資企業(yè),而且也將對位于其他國家或地區(qū)的企業(yè)產(chǎn)生影響。
In such a borderless digital world, where data must flow, I am convinced that it is possible through further examination of the international data-transfer toolkit, to ensure smooth cross-border data transfers while guaranteeing an adequate level of protection, without hampering innovation and trade.
在這樣一個數(shù)據(jù)必須流動的無邊界數(shù)字化世界中,我相信,通過對國際數(shù)據(jù)傳輸工具的進一步審查,是有可能在保證充分保護水平的情況下確保數(shù)據(jù)跨境流動順利進行,同時不會妨礙創(chuàng)新和貿(mào)易。
In this regard, although often considered a strict piece of legislation, the GDPR does provide the flexibility for a number of exceptions, such as the binding corporate rules (BCR) for intercompany transfers, the standard contractual clauses for transfers between co-contractors, and allowing data controllers to pursue "compelling legitimate interests" .Such flexibility is essential not only for any activity in our globalised world, but also to unleash the full potential of the data economy.The EU undeniably understands the necessity to ensure cross-border data flows, as was again confirmed in 2017, when the European Commission (EC) issued a very ambitious regulation proposal to ensure the free flow of non-personal data within the EU.
對此,雖然《一般數(shù)據(jù)保護條例》通常被認為是一項嚴(yán)厲的立法,但其卻確實規(guī)定了一些靈活的例外情況,例如公司內(nèi)部之間傳輸?shù)募s束性企業(yè)規(guī)則、聯(lián)合承包商之間數(shù)據(jù)傳輸?shù)臉?biāo)準(zhǔn)合同條款,以及允許數(shù)據(jù)控制者為“謀求正當(dāng)利益”傳輸數(shù)據(jù)。這些彈性規(guī)定不僅對于我們這個全球化世界中的任何活動,而且對于釋放數(shù)據(jù)經(jīng)濟的全部潛力而言都是必要的。歐盟堅定地理解確保數(shù)據(jù)跨境流動的必要性,并在2017年再次對此進行確認,當(dāng)時歐洲委員會發(fā)布了一項非常雄心勃勃的法規(guī)建議來確保非個人數(shù)據(jù)在歐盟內(nèi)部的自由流動。
Greatly influenced by the GDPR, discussions on what is the best way to formulate data protection rules are taking place at both national and international levels, to my great pleasure, as better legislation and regulation can only be achieved through constant exchange between all stakeholders.
受到《一般數(shù)據(jù)保護條例》的極大影響,關(guān)于制定數(shù)據(jù)保護規(guī)則最佳方法的討論在國家和國際層面已然展開。我對此感到非常高興,因為更好的立法和監(jiān)管只有通過所有利益相關(guān)者之間的經(jīng)常性交流才能實現(xiàn)。
With the GDPR’s implementation date drawing near, translating it into Chinese iswithout any doubt a very important undertaking that will be beneficial to all.It will pave the way for China businesses with operations in the EU to better understand and approach their European data handling, while allowing for even wider discussion among Chinese regulators, academics and businesses.It is one step further towards better compliance, and towards countries further learning from each other, building upon each other’s experiences and best practices, so that eventually all can benefit from data protection rules that are clearer, more predictable and conducive to healthy industry development.
隨著《一般數(shù)據(jù)保護條例》的實施日期臨近,將其翻譯成中文無疑是一項非常重要且對所有人有益的工作,這將為面向歐盟從事經(jīng)營活動的中國企業(yè)鋪平道路,使其更好地了解和進行歐盟個人數(shù)據(jù)處理,同時也能夠使中國監(jiān)管者、學(xué)者和企業(yè)之間進行更廣泛的討論。這意味著朝更完善的合規(guī)以及國家之間互相學(xué)習(xí)、互相汲取經(jīng)驗和最佳實踐又邁進了一步;所有人最終都將受益于更加清晰、更具有可預(yù)見性和更有利于行業(yè)健康發(fā)展的數(shù)據(jù)保護規(guī)則。
I therefore thank the Rui Bai Law Firm and the Law Press for taking the initiative, and for the amount of time and energy they have invested in this meaningful project.
因此,對于瑞栢律師事務(wù)所和法律出版社率先承擔(dān)這一工作,并為此富有意義的項目所付出的時間和精力,我深表感謝。
Mats Harborn
President, European Union Chamber of Commerce in China 何墨池 中國歐盟商會主席
瑞栢律師事務(wù)所是獨立的中國律師事務(wù)所,也是普華永道全球網(wǎng)絡(luò)的成員機構(gòu),致力于為客戶提供綜合性的解決方案與高品質(zhì)的法律服務(wù),覆蓋中國內(nèi)地、亞洲及全球。我們與覆蓋地域廣的普華永道全球法律服務(wù)網(wǎng)絡(luò)緊密聯(lián)系,3,500多名律師團隊在90多個國家與地區(qū)提供專業(yè)服務(wù),涵蓋亞太區(qū)12個國家與地區(qū)的20個辦公地點。
一般數(shù)據(jù)保護條例(立法法令)
鑒于條款 第一章 一般規(guī)定 第1條 主題與目標(biāo) 第2條 適用范圍 第3條 地域范圍 第4條 定義 第二章 原則 第5條 與個人數(shù)據(jù)處理相關(guān)的原則 第6條 處理的合法性 第7條 同意的要件 第8條 關(guān)于信息社會服務(wù)相關(guān)的兒童同意的條件 第9條 特殊種類的個人數(shù)據(jù)處理 第10條 有關(guān)刑事定罪和犯罪的個人數(shù)據(jù)的處理 第11條 無須識別個人數(shù)據(jù)的處理 第三章 數(shù)據(jù)主體的權(quán)利 第一節(jié) 信息透明度及其形式 第12條 與數(shù)據(jù)主體行使其權(quán)利相關(guān)的透明信息、交流及其形式 第二節(jié) 個人數(shù)據(jù)信息和獲取 第13條 收集信息時應(yīng)向數(shù)據(jù)主體告知的信息 第14條 并非從數(shù)據(jù)主體處獲取個人數(shù)據(jù)時應(yīng)向數(shù)據(jù)主體告知的信息 第15條 數(shù)據(jù)主體的數(shù)據(jù)訪問權(quán) 第三節(jié) 糾正權(quán)和刪除權(quán) 第16條 糾正權(quán) 第17條 刪除權(quán)(被遺忘權(quán)) 第18條 限制處理權(quán) 第19條 關(guān)于糾正或刪除個人數(shù)據(jù)或限制處理的通知義務(wù) 第20條 個人數(shù)據(jù)的移植權(quán) 第四節(jié) 拒絕權(quán)和自主決定權(quán) 第21條 拒絕權(quán) 第22條 自動化個人決定,包括數(shù)據(jù)畫像 第五節(jié) 限制 第23條 限制 第四章 控制者和處理者 第一節(jié) 一般義務(wù) 第24條 控制者的義務(wù) 第25條 自設(shè)計開始和默認的數(shù)據(jù)保護 第26條 聯(lián)合控制者 第27條 設(shè)立在歐盟之外的控制者或處理者的代表 第28條 處理者 第29條 在控制者或處理者的授權(quán)下處理 第30條 處理活動的記錄 第31條 和監(jiān)管機構(gòu)的合作 第二節(jié) 個人數(shù)據(jù)的安全性 第32條 處理過程的安全性 第33條 向監(jiān)管機構(gòu)通知個人數(shù)據(jù)泄露 第34條 就個人數(shù)據(jù)泄露與數(shù)據(jù)主體交流 第三節(jié) 數(shù)據(jù)保護影響評估和事先咨詢 第35條 數(shù)據(jù)保護影響評估 第36條 事先咨詢 第四節(jié) 數(shù)據(jù)保護專員 第37條 任命數(shù)據(jù)保護專員 第38條 數(shù)據(jù)保護專員的地位 第39條 數(shù)據(jù)保護專員的職責(zé) 第五節(jié) 行為準(zhǔn)則和認證 第40條 行為準(zhǔn)則 第41條 對已批準(zhǔn)行為準(zhǔn)則的監(jiān)督 第42條 認證 第43條 認證機構(gòu) 第五章 向第三國或國際組織傳輸個人數(shù)據(jù) 第44條 傳輸?shù)囊话阍瓌t 第45條 基于充分性決議傳輸數(shù)據(jù) 第46條 須采取適當(dāng)保障的傳輸 第47條 約束性企業(yè)規(guī)則 第48條 歐盟法律未授權(quán)的傳輸或披露 第49條 特定情形下的豁免 第50條 個人數(shù)據(jù)保護的國際合作 第六章 獨立監(jiān)管機構(gòu) 第一節(jié) 獨立地位 第51條 監(jiān)管機構(gòu) 第52條 獨立性 第53條 監(jiān)管機構(gòu)成員的一般條件 第54條 監(jiān)管機構(gòu)設(shè)立規(guī)則 第二節(jié) 管轄權(quán)限、職責(zé)和權(quán)力 第55條 管轄權(quán)限 第56條 主監(jiān)管機構(gòu)的管轄權(quán)限 第57條 職責(zé) 第58條 權(quán)力 第59條 活動報告 第七章 合作和一致性 第一節(jié) 合作 第60條 主監(jiān)管機構(gòu)與其他有關(guān)監(jiān)管機構(gòu)之間的合作 第61條 互助 第62條 監(jiān)管機構(gòu)的聯(lián)合操作 第二節(jié) 一致性 第63條 一致性機制 第64條 歐洲數(shù)據(jù)保護委員會的意見 第65條 歐洲數(shù)據(jù)保護委員會的爭議解決 第66條 緊急程序 第67條 信息交流 第三節(jié) 歐洲數(shù)據(jù)保護委員會 第68條 歐洲數(shù)據(jù)保護委員會 第69條 獨立性 第70條 歐洲數(shù)據(jù)保護委員會的職責(zé) 第71條 報告 第72條 程序 第73條 主席 第74條 主席的職責(zé) 第75條 秘書處 第76條 保密 第八章 救濟、責(zé)任和罰則 第77條 向監(jiān)管機構(gòu)申訴的權(quán)利 第78條 針對監(jiān)管機構(gòu)獲得有效司法救濟的權(quán)利 第79條 針對控制者或處理者獲得有效司法救濟的權(quán)利 第80條 數(shù)據(jù)主體的代表 第81條 訴訟中止 第82條 享有賠償?shù)臋?quán)利和責(zé)任 第83條 處以行政罰款的一般條件 第84條 罰則 第九章 關(guān)于特定處理情形的規(guī)定 第85條 處理與言論和信息自由 第86條 處理和公眾獲得官方文件的權(quán)利 第87條 身份證號碼的處理 第88條 雇用情境下的處理 第89條 與為公共利益進行檔案管理、為科學(xué)、歷史研究或統(tǒng)計目的而處理個人信息相關(guān)的保障和豁免 第90條 保密義務(wù) 第91條 現(xiàn)有教會和宗教協(xié)會的數(shù)據(jù)保護規(guī)定 第十章 授權(quán)法案和執(zhí)行法案 第92條 授權(quán)的行使 第93條 歐盟委員會程序 第十一章 終章 第94條 廢止95/46/EC號指令 第95條 與2002/58/EC號令的關(guān)系 第96條 與先前訂立協(xié)議的關(guān)系 第97條 歐盟委員會的報告 第98條 審閱歐盟其他關(guān)于數(shù)據(jù)保護的法律行為 第99條 生效和適用 Contents General Data Protection Regulation (Legislative acts) Whereas CHAPTER I General provisions Article 1 Subject-matter and objectives Article 2 Material scope Article 3 Territorial scope Article 4 Definitions CHAPTER II Principles Article 5 Principles relating to processing of personal data Article 6 Lawfulness of processing Article 7 Conditions for consent Article 8 Conditions applicable to child's consent in relation to information society services Article 9 Processing of special categories of personal data Article 10 Processing of personal data relating to criminal convictions and offences Article 11 Processing which does not require identification CHAPTER III Rights of the data subject Section 1 Transparency and modalities Article 12 Transparent information, communication and modalities for the exercise of the rights of the data Subject Section 2 Information and access to personal data Article 13 Information to be provided where personal data are collected from the data subject Article 14 Information to be provided where personal data have not been obtained from the data subject Article 15 Right of access by the data subject Section 3 Rectification and erasure Article 16 Right to rectification Article 17 Right to erasure (‘right to be forgotten’) Article 18 Right to restriction of processing Article 19 Notification obligation regarding rectification or erasure of personal data or restriction of Processing Article 20 Right to data portability Section 4 Right to object and automated individual decision-making Article 21 Right to object Article 22 Automated individual decision-making, including profiling Section 5 Restrictions Article 23 Restrictions CHAPTER IV Controller and processor Section 1 General obligations Article 24 Responsibility of the controller Article 25 Data protection by design and by default Article 26 Joint controllers Article 27 Representatives of controllers or processors not established in the Union Article 28 Processor Article 29 Processing under the authority of the controller or processor Article 30 Records of processing activities Article 31 Cooperation with the supervisory authority Section 2 Security of personal data Article 32 Security of processing Article 33 Notification of a personal data breach to the supervisory authority Article 34 Communication of a personal data breach to the data subject Section 3 Data protection impact assessment and prior consultation Article 35 Data protection impact assessment Article 36 Prior consultation Section 4 Data protection officer Article 37 Designation of the data protection officer Article 38 Position of the data protection officer Article 39 Tasks of the data protection officer Section 5 Codes of conduct and certification Article 40 Codes of conduct Article 41 Monitoring of approved codes of conduct Article 42 Certification Article 43 Certification bodies CHAPTER V Transfers of personal data to third countries or international organisations Article 44 General principle for transfers Article 45 Transfers on the basis of an adequacy decision Article 46 Transfers subject to appropriate safeguards Article 47 Binding corporate rules Article 48 Transfers or disclosures not authorised by Union law Article 49 Derogations for specific situations Article 50 International cooperation for the protection of personal data CHAPTER VI Independent supervisory authorities Section 1 Independent status Article 51 Supervisory authority Article 52 Independence Article 53 General conditions for the members of the supervisory authority Article 54 Rules on the establishment of the supervisory authority Section 2 Competence, tasks and powers Article 55 Competence Article 56 Competence of the lead supervisory authority Article 57 Tasks Article 58 Powers Article 59 Activity reports CHAPTER VII Cooperation and consistency Section 1 Cooperation Article 60 Cooperation between the lead supervisory authority and the other supervisory authorities concerned Article 61 Mutual assistance Article 62 Joint operations of supervisory authorities Section 2 Consistency Article 63 Consistency mechanism Article 64 Opinion of the Board Article 65 Dispute resolution by the Board Article 66 Urgency procedure Article 67 Exchange of information Section 3 European data protection board Article 68 European Data Protection Board Article 69 Independence Article 70 Tasks of the Board Article 71 Reports Article 72 Procedure Article 73 Chair Article 74 Tasks of the Chair Article 75 Secretariat Article 76 Confidentiality CHAPTER VIII Remedies, liability and penalties Article 77 Right to lodge a complaint with a supervisory authority Article 78 Right to an effective judicial remedy against a supervisory authority Article 79 Right to an effective judicial remedy against a controller or processor Article 80 Representation of data subjects Article 81 Suspension of proceedings Article 82 Right to compensation and liability Article 83 General conditions for imposing administrative fines Article 84 Penalties CHAPTER IX Provisions relating to specific processing situations Article 85 Processing and freedom of expression and information Article 86 Processing and public access to official documents Article 87 Processing of the national identification number Article 88 Processing in the context of employment Article 89 Safeguards and derogations relating to processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes Article 90 Obligations of secrecy Article 91 Existing data protection rules of churches and religious associations CHAPTER X Delegated acts and implementing acts Article 92 Exercise of the delegation Article 93 Committee procedure
你還可能感興趣
我要評論
|