共同决定处理的目的和手段时,他们就是联合控制者。他们应以明确的方式确定在监管规定下各自的责任与义务,尤其是通过他们之间的安排,确定关于行使数据主体的权利和第13条和14条提及的他们各自的提供信息的职责,除非到目前为止,控制者各自的责任由联盟或成员国法律确定哪些控制者是主体。这种安排可以指定数据主体的联系点。
2. 第一款提到的安排应当及时反映各自的角色和联合控制者相对数据主体的关系。该安排的实质,应使数据主体得知。
3. 不论在第1款所指的安排条款,数据主体可以根据本规定行使他或她的权利,不论是否与控制者一致。
第27条
未在联盟中设立的控制者或处理者的代理人
1. 如果适用第3条第2款的,控制者或处理者应当以书面形式指定联盟中的代理人。
2. 该义务不适用于:
(a)偶然的处理,在一个大的范围里,不包括对第9条第1款提及的数据的特殊类别的处理,或者第10条提及的有关刑事定罪和处罚的个人数据的处理,而且考虑到处理的性质、内容、范围和目的,这种处理不太可能导致自然人的权利和自由的风险;或者
(b)一个公共权力机关或机构。
3. 代理人应当被建立在一个成员国中,这些成员国的数据主体及其个人数据根据提供给它们的货物或服务被处理,或者它们的行为被监控。
4. 为确保遵守本条例的目的,代理人应被控制者或处理者授权,以及特别是监管机构和数据主体的授权来处理所有的相关问题。
5. 控制者或处理者对代理人的指定,应对于代理人可能做出的不利于控制者或处理者自身的法律行为无损权益。
第28条
处理者
1. 当处理是以控制者的名义进行的,控制者只使用处理者实施的适当的技术和组织措施提供充分保证,以这种方式使处理满足法规的要求,确保对数据主体权利的保护。
2.如果未经控制者特别的或一般的的事先书面授权,该控制者不能引入另一个控制者参与。在一般的书面授权的情况下,处理者应该通知控制者任何有关增加或替换其他控制者的变化,以使控制者有机会应对这样的变化。
3. 一个处理者的处理应遵守联盟或成员国法律下的在合同或其他法律行为,即控制者与处理者相结合,提出处理的主题和处理的期限,性质和处理目的,个人数据的类别、数据主体的分类和控制者的权利义务。该合同或其他法律行为应规定,特别是处理者:
(a)处理个人数据只能基于控制者的书面指示,包括有关个人数据向一个第三世界国家或一个国际组织的转移,除非联盟或成员国法律所允许这样做的,该处理者是主体;在这种情况下,处理者在处理之前,应通知控制者有关法律的要求,除非法律由于重大公共利益的原因禁止提供这样的信息;
(b) 确保个人被授权处理个人数据,且已承诺保密或在适当的法定保密义务下;
(c)根据第32条要求的采取所有措施;
(d)遵守第2款和第4款提到的引入其他处理者的条件;
(e)考虑到处理的性质,运用适当的技术和组织措施协助控制者,因为到目前为止这是可能的,为履行控制者的义务,以适应第三章规定的行使数据主体权利的要求;
(f)考虑到处理的性质和处理者可得到的信息,协助控制者以确保其遵守第32条至36条规定的义务;
(g)一旦选择了控制者,就需要删除或向该控制者返还所有的个人数据,在提供有关处理服务的最后,删除现有的版本,联盟或成员国法律允许存储的个人数据除外;
(h)提供给控制者所有必要的信息,以证明符合在本条中规定的义务,并允许和促进审计,包括检查,由控制者或由控制者授权的另一核数师进行。
关于第一项的第h项,处理者应当立即通知控制者,如果在其看来,一个指令违反了本条例或其他联盟或成员国的数据保护规定。
4. 在处理者引入其他处理者执行代表控制者的特定处理活动,第3款提及的控制者和处理者之间的合同或其他法律行为中的相同的数据保护的要求,应通过联盟或成员国法律在合同或其他法律行为施加给其他处理者,特别是实施适当的技术和组织措施提供充分保证,以这样的方式,确保处理能满足本规范要求。其他处理者未能履行其数据保护义务的,最初处理者应保持就其他处理者义务的履行对控制者承担责任。
5. 第40条所提及的一个处理者遵守的一个被认可的行为准则,或在第42条提及的一个经批准的认证机制,可以作为一个元素用来证明本条的第1款和第4款中提到的充分保证。
6. 在不损害控制者和处理者之间的单个合同情况下,在本条第3款和第4款提及的合同或其他法律行为,可能基于,本条第7款和第8款提及的标准化的合同条款的全部或部分,包括当它们成为依据第42条和第43条授权给控制者和处理者的认证的一部分。
7. 欧盟委员会可就本条第3款和第4款所指的事项制定标准化的合同条款,并按照第93条第2款所指的审查程序。
8. 监督机关可以采用根据本条第3款和第4款所指事项的标准化的合同条款,并按照第63条所指的一致性机制。
9. 第3款和第4款所指的合同或其他法律行为,应当以书面形式,包括电子形式;
10. 在不损害第82条、83条和84条的情况下,如果一个处理者违反本条例的规定决定处理的目的和手段,该处理者可以在处理方面被认为是控制者。
第29条
在控制者或处理者的权限下处理
有权访问个人数据的处理者以及在控制者或处理者的权限下作为的任何人,除控制者指令外不得处理那些数据,除非联盟或成员国法律允许这么做。
第30条
处理活动的记录
1. 每一位控制者,以及如适用控制者的代理人,应当依其职责保持处理活动的记录。那个记录应当包括以下所有信息:
(a)控制者以及如适用的联合控制者、控制者代理人和数据保护员的姓名和联系信息;
(b)处理的目的;
(c)数据主体的类别和个人数据的分类的描述;
(d)个人数据已经或将要被公开的收件人的类别,包括在第三世界国家或国际组织的收件人;
(e)如适用,将个人数据向第三世界国家或国际组织的传输,包括该第三国或国际组织的鉴定,以及在第49条第1款第二款提及的传输的情况下,对文档采取适当的安全措施;
(f)如可能,则对擦除不同类别的数据设定时间限制;
(g)如可能,对第32条第1项提及的技术和组织安全措施进行一般性描述。
第31条
和监督机构的合作
在事务执行的过程之中,应用控制者、应用处理者以及它们的代表,应当根据要求与监管机构进行合作。
第32条
处理过程的安全性
1.统筹考虑最先进的技术、实施成本、处理过程(包括其性质、范围、目的)以及自然人自由权利变化可能性和严重性的风险。控制者、处理者应当执行合适的技术措施和有组织性的措施来保证合理应对风险的安全水平,尤其要酌定考虑以下因素:
(a)个人数据的匿名化和加密;
(b)数据系统保持持续的保密性、完整性、可用性以及弹性的能力;
(c)在发生自然事故或者技术事故发的情况下,存储有用信息以及及时获取个人信息的能力;
(d)定期对测试、访问、评估技术性措施以及组织性措施的有效性进行处理,力求确保处理过程的安全性。
2.安全账户的等级评估应当尤其重视处理过程中的风险问题,特别是抵御意外和非法销毁、损失、变更、未经授权披露或者是个人数据的传送、存储和处理过程中的风险。
3.参考第40条采取一种合法行为或者参考42条采取一种认证机制,这可以用来说明本条第一款要求的合规性。
4.控制者以及处理者应当逐步采取措施,以求确保在部门规制之下操作个人数据的自然人不能对数据进行处理,除非获得控制者的指示,或者其根据联邦或州宪法确有必要。
第33条
监管机构对个人数据泄露的通知
1.在个人数据泄露的情况下,控制者不能不当延误,而且至少应当在知道之时起72小时以内,根据第55条向监管机构进行通知,除非个人数据的泄露不会导致自然人权利和自由的风险。如果通知迟于72小时,需要对迟延原因进行解释。
2.在控制者知道发生信息泄露而不当延误时,处理者应当通知控制者。
3.第一款所说的通知,至少应当包括:
(a)对于所泄露的个人数据的性质进行描述,包括相关数据主体以及数据记录的种类和大致数量;
(b)和数据保护局或者是其他获取更多信息的联系点交流名称和联系方式;
(c)描述个人信息泄露的可能情况;
(d)重视个人数据泄露问题,描述控制者采取的或者计划采取的措施,包括在适当情况下能够减轻可能的负面影响的措施。
4.只要没有造成不适当的进一步延误,在信息不可能同时提供的情况下可以分阶段进行。
5.控制者应当记录任何个人数据泄露情况,包括和个人数据泄露有关的事实、影响和采取的补救性措施,这些可以使得监管机构验证行为的合规性。
第34条
关于数据主体的个人数据交流
当个人数据泄露可能对自然人权利和自由形成很高的风险时,控制者应当毫不延误地就个人数据泄露的主体进行交流。
本条第一款提到的数据主体交流,应当至少应当包括第33条第三款的(b)(c)(d)三项所涉及的信息和建议,并且用清晰平实的语言描述个人数据泄露的性质以及内容。
在一下这些情况下,不能适用第一款所提到的数据主体交流:
(a)控制者已经采取合适的技术性、组织性保护措施,而且此类措施已经被应用于受到信息泄露影响的个人信息之中,尤其是那些未经授权任何人都无法得知的技术,比如,数据加密技术;
(b)控制者已经采取能够确保第一款所提到的(自然人)权利和自由不受侵犯的高风险不再可能实现的措施。
(c)这会涉及到不相称的努力。在这样的情况下,就应当有一个能够使得数据主体获得平等有效通知的公共交流机制或者相类似的举措。
如果控制者并未就数据主体进行个人数据交流,考虑到个人数据信息泄露的高度风险,监管机构可以要求其这样做或者可以决定其符合第三款列出的任何条件。
第三节
数据保护影响评估以及事先咨询
第35条
数据保护影响评估
1.鉴于一种数据处理方式,尤其是使用新技术进行数据处理,统筹考虑处理过程的性质、范围、内容和目的,(不难得知)这很可能对自然人权利和自由带来高度风险。在进行数据处理之前,控制者应当对就个人数据保护所设想的处理操作方式的影响进行评估。一个单一的评估方法也许能够对目前的相似的高风险状况,提供相类似的一组操作方式。
2.当进行数据保护影响评估时,受委任的控制者可以向数据保护局寻求帮助。
3.以下情形尤其适用于第一款所说的数据保护:
(a)对自然人个人情况评估所进行的系统和广义上的理解也是基于自动处理(包括分析)以及基于依据
(b)第9条第一款提到的大范围的数据处理或者第十条提到的关于刑事定罪和罪行相关的个人信息。
(c)一个大规模的公共可访问区域的系统性监测。
4.监督机构应当根据第一款,建立并且公布一套数据处理机制,使其符合评估影响的需要。监管机构应当就这些与第68条所提到的董事会进行交流。
5.监督机构也可以建立以及向公众发布并不强制要求数据评估保护的处理机制种类。监管机构应当就此与董事会进行交流。
6.在采取第四款第五款的措施之前,监管机构应当应用63条的监管机制,包括与货物提供、服务提供、数据主体或者某些成员国的行为管控相关或者与可能会实质上影响到个人数据自由运动相关的处理活动。
7.评估至少包括以下内容:
(a)对于所设想机制以及处理目的(包括数据应用、控制者追求的立法利益)的系统性描述;
(b)对与处理目的相关的处理机制必要性的评估;
(c)对第一款所提到的数据主体的权利自由的风险性评估;
(d)所设想的处理风险的举措,包括保障措施、安全措施、确保个人数据保护安全的机制以及说明数据主体权利和立法利益方面的合规性举措。
8.在评估处理机制影响的过程中,对于40条所规定的相关管理者以及处理者行为的合法性应当考虑在内,尤其是关于数据保护评估目的的部分。
9.合适的情况下,管理者应当寻求数据主体或者他们在预期处理方面的代表的观点,不能对商业利益保护、个人利益保护或者处理机制的安全保护持有偏见。
10.依据第六条第一款(c)项或(e)项的处理,有联盟法律或者成员国国内法的依据,在这些法律之中,管理者是一方主体。这些法律规制了具体的处理方式或者一系列仍受争议的的机制。数据保护影响评估方式已经被当做是一般影响评估的一个部分得到实施。第一款到第七款不能得到适用,除非成员国认为处理活动的事先评估确有必要。
11.必要时,如果处理方式是根据数据保护影响评估所作出的,在处理机制的风险出现变化的时候,处理管理者应当对评估进行审查。
第36条
事先咨询
1.第35条下的数据保护影响评估表明,如果控制者没有采取措施减少风险,那么处理过程将会是高风险的。因而,控制者应当在处理之前向监督机构进行咨询。
2.第一款中监管机构预期处理在控制者没有完全认定或者减少风险的情况,是对第一款规定的违反。监督机构应当至迟在8周以内向控制者提出书面建议,也可以使用第58条所规定的权力。考虑到预期处理的复杂性,这一期限可以延迟六周。监管机构应当就任何延长期间的情况通知控制者以及处理者,并且说明迟延理由。这些期间可以中止,直到监管机构实现它所要求的咨询目的。
3.根据第一款向监管机构咨询时候,管理者应当提供:
(a)控制者,控制者和处理者的联合部门的代表职责,尤其是关于处理过程的企业团体;
(b)预期处理的目的和手段;
(c)根据本法保护数据主体权利自由的保障措施;
(d)应用时,数据保护局的联系方式;
(e)35条所规定的数据保护影响评估;
(d)其他。
4.成员国应当在准备方案期间向监管机构咨询国家议会所指定的立法措施,或者基于这些立法措施且和数据处理有关的规章。
5.根据第一款,成员国的法律也许需要先向控制者咨询,对于涉及公共利益(包括社会保护和公众健康)的处理程序,应当获得监管机构的预先授权。
第四节
数据保护局
第37条
数据保护局人员的指派
1.在以下情况下,控制者和处理者应当指派数据保护人员:
(a)公共当局或者机构施行的处理措施,而非法院基于行使司法权进行的;
(b)控制者或者处理者数据处理机制的核心活动是性质、范围和(或者)目的,需要进行定期和系统的大规模数据主体监控;
(c)根据第9条的大规模特殊种类数据处理方式以及第10条的刑事指控和犯罪,控制者和处理者的核心活动构成大规模的特殊数据种类;
2.如果可以在企业指派数据保护人员,企业团体可以任命一个独立的数据保护人员。
3.鉴于控制者和肩负按部门是一种公共的部门或者机构,考虑到它们的组织结构和规模,独立的数据保护人员可以被一些这样的部门或者机构所指派。
4.除了第一款所涉及的情况,控制者、处理者、处理协会、其他代表不同种类的部门或者根据联盟或者成员国法律应当设立的部门,应当指派数据保护人员。数据保护人员可以根据这些机构以及代表控制不嗯或者处理者的其他主题进行活动。
5.数据保护人员的指派应当给予职业能力,尤其是关于数据保护法律的专业知识以及39条所提到的完成任务的经验和能力。
6.数据保护人员可以是控制者或者处理者的成员,他们基于一种服务上的联系完成任务。
7.控制者或者处理者应当公布数据保护人员的联系方式,并且将名旦告知监管机构。
第38条
数据保护人员的地位
1.在进行个人数据保护的任何相关活动时,控制者和处理者应当保证数据处理人员的参与是合适的而且及时的。
2.控制者和处理者应当对数据保护人员根据第39条所执行的活动予以支持(通过提供执行任务的必要资源、接触个人数据和处理机制的必要方式以及个人专业知识的培训)
3.控制者和处理者应当确保对数据保护人员不下达任何指令,他们不能因为执行任务的原因而被解雇或者受到刑事处罚。数据保护人员直接向最高管理者报告工作。和
4.数据主体可以就所有关于自身数据以及本章程规定下的自身权利问题,与数据保护人员进行联系。
5.根据联盟法律或者成员国法律,数据保护人员应当对其执行的任务内容进行保密。
6.数据保护人员也可以执行其他的任务,履行其他职责。控制者或者处理者应当确保这些执行活动不会导致利益冲突。
第39条
数据保护人员的任务
1.数据保护人员的任务至少包括:
(a)向控制者、处理者以及根据本章程或者根据其他联盟法律成员国法律规定的义务进行数据处理的人员,提出通知和建议。
(b)和监控本章程、其他联盟成员国法律、控制者处理者关于个人数据的相关政策(包括职责、意识提高、人员培训)以及相关审计活动的合规性;
(c)根据35条提出对于数据保护影响评估和监控的建议;
(d)和监管机构合作;
(e)作为监管机构与处理活动的连接点,包括36条提到的事先咨询或者其他咨询活动。
2.数据保护人员应当适当考虑他们的任务以及和处理机制有关的风险(考虑到处理活动的性质、范围、内容以及目的)。
第5章
行为法规和认证
第40条
行为法规
1.为了本章程得到更好地应用,成员国、监管机构、董事会和委员会应当鼓励行为法规的起草。起草应当考虑不同的处理者的具体特点,以及小微企业和中等规模企业的具体需要。
2.为了使得本法得到具体应用,协会和其他代表不同种类的主体可以为行为法规的制定、修订、扩充做准备:
(a)公平透明的处理程序;
(b)在具体情形下,控制者的立法利益;
(c)个人数据收集;
(d)个人数据的虚假信息;
(e)向公众和其他数据主体提供的信息;
(f)数据主体权利的行使;
(g)关于儿童保护以及父母抚养责任持有人同意的方式的信息收集;
(h)第24条和第25条提到的保护措施以及32条提到的确保安全措施;
(i)向监管机构以及其他数据主体进行个人数据泄露的通知;
(j)向第三国或者国际组织传输个人数据;
(k)根据第77条、第79条,不违背地看待数据主体权利,重视关于控制者和其他数据主体冲突解决的庭外程序以及其他冲突解决程序。
3.控制者和处理者应当制作有约束力和强制力的承诺,在保障数据主体的权利时作为保障。
4.第二款所说的行为法规应当包括使得41条第一款所提到的主体在进行强制监控时能够应用的守则。守则应当根据第55条或者第56条,不受监管机构权力制约,不偏不倚地得到执行。
5.本条第二款所说的协会和其他意图准备修订或者扩充现有守则的主体,应当根据第55条提交守则草案,修正案。监管机构应当提出草案、修正案是否符合本章程规定的意见,如果具备充分合理的保障,监管机构应当予以批准。
6.当符合第五款的草案或者修正案已经获得批准,且与成员国所进行的处理活动没有联系的时候,监管机构应当登记公开守则。
7.关于一些成员国处理活动的行为法规草案,根据第55条,监管机构应当在批准守则草案、修正案之前,依据63条的程序向董事会进行提交,而且应当附有草案、修正案是否合规的意见,根据第3款的情况提出合理的保障措施。
8.根据第七款的意见,提出合理的保障措施,董事会应当向委员会提交意见。
9.委员会可以通过采取措施来决定根据第八款提交的批准的行为法规、修正案在联盟内具有普遍的有效性。实施行为应当符合第93条第2款的规定。
10.委员会应当保证对符合第九款规定具有有效性的守则进行信息公开。
11.董事会会应当对行为法规、修正案进行整理和登记,并且采用合适的方式进行信息公开。
第41条
行为法规的合法性监控
1.监管机构依据第57条和第58条的规定,不违背规定,执行任务和行使权力。可以由某个机构主体对根据第40条所施行的活动的加以合法性监控。
2.第一款所说的主体一种可以被认可的监督合规性主体。应当负责进行如下行为:
(a)说明它关于守则主体问题的独立性和专业性,以求获得监管机构的同意;
(b)建立能让其取得管理者和处理者评估资格的程序,对于行为合法性的加农以及对自身机制进行的阶段性复审;
(c)建立处理对违反守则或者控制者、处理者以前及现在对守则的执行情况的控告程序和结构。让程序和结构透明化和公开化;
(d)向负责的监管机构说明它的任务和职责的履行不会造成利益冲突。
3.负责的监管机构应当根据63条向董事会提交本条第一款所说相关主体的标准化草案。
4.第一款所提到的主体应当遵从合理的保障机制,在违反行为法规时采取合理措施,包括暂停或者排除管理者或处理者的管理权力。此外,应当将负责这些行动的相关监督主体以及行动原因进行通知。
5.如果主体行为违反或者不再满足资格,监管机构应当撤销主体资格。
6.本条不适用于公共部门和主体。
第42条
认证
1.出于数据保护保密标志以及说明管理者处理者处理机制合法性的需要,成员国、监管机构,委员会的董事应当尤其在联盟内激励数据保护认证机制。特别需要考量小微企业以及中等规模企业的特殊要求。
2.数据保护认证机制和根据本条第五款的密封标志可以基于说明控制者、处理者行为合理性的目的而建立。这些控制者或者处理者应当做出有约束力和强制力的承诺,包括关于数据主体的相关权利。
3.认证应当出于自愿,程序应当透明。
4.管理者、处理者的职责不能因为根据本条进行的认证而减少,必须不违背第55条或者第56条,得到监管机构的授权。
5.基于根据第58条第三款监管机构制定的标准或者基于根据第63条董事会所制定的标准,认证必须由第43条所提到的认证主体进行。如果标准由董事会制定,将由欧洲数据保护局来进行认证。
6.控住部门、处理者依照认证机制提交其处理过程时,应当提供43条所说认证主体或者负责的监管机构的信息以及具体处理活动,这些对于执行认证程序很有必要。
7.控制者、处理者的认证时间最长不超过三年,但是,如果有继续进行的需要,在相同的情况下,期间可以重新计算。当认证主体或者相关负责的监管机构不再符合条件时,认证程序将会被取消。
8.董事会应当将所有认证机制、数据保护密封标志进行整理和注册,并以任何合理的方式对公众进行公开。
第43条
认证主体
1.对于有关数据保护问题有一定程度经验的认证主体,在为了行使依据第58条获得的权力通知监管机构之后,可以公布及更新认证。成员国应当确定这些主体应当被以下至少一个机构授权:
(a)第55条或者第56条体积的监管机构;
(b)符合欧洲议会通过的EC第765/2008规定、委员会通过的EN-ISO/IEC 17065/2012规定以及依据第55条或第56条监管机构所制定的额外要求的国际证人主体。
2.第一款提到的认证主体只有在以下情况下才能得到授权:
(a)根据监管机构的要求,说明他们在数据主体相关问题上的独立性和经验性;
(b)承诺遵照第42条第5款提到的标准以及获得第55条、第56条或者是第63条所说的董事会的监管机构的认可;
(c)建立公开、阶段性复审以及取消数据保护认证,保密标志的程序;
(d)建立处理对违反守则或者控制者、处理者以前及现在对守则的执行情况的控告程序和结构。让程序和结构透明化和公开化;
(e)向负责的监管机构说明它的任务和职责的履行不会造成利益冲突。
3.第一款和第二款所提到的认证主体的授权必须基于第55条、第56条或者是第63条所说的董事会的监管机构的认可。在符合本条第一款所述条件下,应当根据欧洲议会通过的EC第765/2008规定以及描述认证主体认证方法和程序的技术要求,对相关要求进行补充。
4.第一款所说的认证主体应当对导致认证开始或者取消的合理的评估负责。鉴定合格最长应当在五年内进行公布,如果满足本条所列条件,在相同的情况下,期间可以重新起算。
5.第一款所说的数据主体应当向监管机构提供准予认证和撤销认证的理由。
6.第三款所说的要求以及第42条第5款所说的标准应当以一种简便的方式向公众公开。监管机构也应当向董事会传达具体要求和标准。董事会应当将所有认证机制、数据保护密封标志进行整理和注册,并以任何合理的方式对公众进行公开。
7.遵照第八章的规定,负责的监管机构或者国际鉴定主体在认证主体的行为违反规定或者认证条件不满足或者不再满足的情况下,应当撤销认证。
8.委员会应当被授权依据第92条,为了实现具体化认证要求的目的,来采取一些被授权进行的行动(考虑到第42条第一款所提到的数据保护认证机制)
9.委员会可以采取措施规定认证机制和数据保护密封标志的技术性标准。行动应当根据第93条第2款的规定进行实施。
