【数据法学】陈炜权 白玛歌 赵波:《欧盟一般数据保护条例》与中国:我们应当了解什么?
B D A I L C
欢 迎 关 注
荷兰蒂尔堡大学法学院是欧洲个人数据保护法研究的重镇,有着欧洲最大的数据隐私研究团队。该法学院多位学者深度参与了《欧盟一般数据保护条例》的起草、论证工作。随着中国数据经济的兴起,欧盟立法界和法学界对中国数据保护的法制发展和现状也表现出极大兴趣。近期蒂尔堡大学法学院的资深研究员赵波博士领衔的研究团队发布了他们的研究成果《<欧盟一般数据保护条例>与中国:我们应当了解什么?》。该成果将《欧盟一般数据保护条例》同中国的具体实际勾连起来,全面、精确地阐释了这部重要立法的基本内容及其可能对中国数据控制者和处理者带来的影响。对欧盟居民的数据或者对来自欧盟数据有强烈需求的中国企业而言,这份最新成果无疑具有较大的借鉴意义。在征得赵波研究员同意后,我们将这份报告的中文要点摘出以飨读者。(接上文【数据法学】陈炜权 白玛歌 赵波:《欧盟一般数据保护条例》与中国:我们应当了解什么?)
Matthew Snowden
《欧盟一般数据保护条例》与中国:
我们应当了解什么?
文 /
陈炜权 Weiquan Chen
白玛歌 Magda Brewczyńska
赵波 Bo Zhao (项目负责人)
5什么是数据保护原则?
第5条 说明条款39
为遵守《条例》,所有数据控制者和处理者在数据处理中必须理解并遵循下列数据保护原则:
合法、公平和透明原则,是指数据应当以合法、公平和透明的方式进行处理。
目的限制原则,是指只能为特定、明确和合法的目的收集数据,并不得以同其(原)目的相冲突的方式进行进一步的数据处理;在特殊情况下,《条例》允许进一步的数据处理,比如为了科学(研究)和统计目的的数据处理,但是必须有到位的合理保障措施。
数据最小化原则,是指处理的数据应当充分、相关,并仅限于为实现数据处理目的之必要范围内。
准确性原则,是指数据应当准确并及时更新;应当采取所有合理措施确保删除或修正不准确的个人数据。
储存限制原则,要求数据在以能识别数据主体的形式储存时,储存期限不得超过为实现处理目的所必要的时间。但是数据可以储存更长的时间,比如是为了科学(研究)或统计目的,并且有合理措施保障数据主体的权利和自由。
完整性和保密性原则,要求数据处理应当采用合理的技术和组织措施,以确保数据安全的方式进行;数据安全包括保护数据以防止未经授权或非法的数据处理,以及数据的意外丢失、损毁或损坏。
承担责任原则,是指数据控制者有责任遵循数据保护原则,并且能够证明其遵循数据保护原则。
6如何确保数据处理的合法性?
第6条第1款
数据处理是指任何对数据或数据组进行的处理操作或一系列处理操作,不论是否采用自动化的方式,例如收集、记录、组织、结构化、储存、调整或改变、撤回、查询、使用、通过传递或传播(或其它可行方除和销毁。
仅当至少满足以下条件之一时,数据处理行为才合法:
数据主体已经同意为了一个或多个具体目的进行数据处理;
数据处理是履行数据主体缔结合同的必要条件(数据主体是该合同一方),或者是应数据主体要求,为了在缔结合同前采取行动而进行;
数据处理是履行欧盟或成员国法律规定的数据控制者义务的必要条件;
数据处理是保护数据主体或其他自然人至关重要利益(性命攸关的)的必要条件;
数据处理是基于公共利益开展工作,或者是授权控制者行使公共权力的必要条件;
数据处理是数据控制者或第三人实现其寻求合法利益目的的必要条件,除非数据主体个人数据保护之利益或基本权利和自由优先于这些利益。
当数据处理目的与原先数据收集目的不同,并且该处理并未依据数据主体的同意,或者并未依据欧盟或成员国法律保障的公共利益目的的,控制者应当结合以下因素考虑新的处理目的是否与原数据处理目的一致:
原先目的与新目的之间的联系;
数据收集的特定情形,例如数据主体和控制者的关系;
个人数据的特性,例如特殊种类的个人数据;
数据处理可能对数据主体产生的影响;和
合理保障措施的存在。
7如何确保特殊种类个人数据处理的合法性?
第9条 说明条款51-54
基因数据是指同自然人遗传或获得的遗传特征有关的个人数据,该类数据提供关于该自然人的生理或健康的特有信息,特别是通过分析该自然人生物样本获取的数据。
生物数据是指通过对自然人的身体、生理或行为特征进行特定技术处理而产生的个人数据,这类数据允许或确认识别该自然人的特定身份,例如面部图像或指纹数据。
关于健康的数据是指与自然人身体或心理健康有关的个人数据,包括提供医疗保健服务,这些数据显示有关他/她的健康状况的信息。
原则上不得处理特殊种类的个人数据,除非以下某一情形适用:
数据主体已经明确同意处理这类数据,但欧盟或成员国法律另行规定除外;
数据处理是在就业、社会保障和社会保护法律领域中履行义务和行使特定权利的必要条件,并且经欧盟或成员国法律授权,或由提供合理措施保障数据主体根本权利和利益的集体合同授权;
当数据主体因为身体或法律上的原因不能表示同意时,数据处理是保护数据主体或另一个自然人至关重大利益的必要条件;
数据处理在非营利性组织的合法性活动中开展,该数据处理仅涉及该组织内部成员、前成员、或者与该组织宗旨相关维持经常联系的人员,并且个人数据未经数据主体同意不对(组织)外公开;
与数据主体已经明确公开的个人数据相关的数据处理;
数据处理是成立、行使或保护合法诉求,或者法院行使司法职权的必要条件;依据欧盟或成员国法律,基于重要公共利益的需要有必要进行数据处理,并且该欧盟或成员国法律应当同(数据处理)寻求的目的相适应,尊重数据保护权利的本质,并提供适当、具体措施,以保障数据主体的基本权利和利益;
依据欧盟法律、成员国法律或同医保专家(成立)的合同,且遵循职业保密义务,基于以下原因数据处理成为必要:为预防医学或职业病医学,评估雇员的工作能力,医疗诊断,提供健康、社会保健或治疗,或为了健康或社会保健系统和服务之管理目的;
基于公共健康领域之公共利益的原因,数据处理成为必要;例如依据欧盟或成员国法律规定,防范严重的跨境健康威胁,或者确保卫生保健、药物或医学设备的高质量和高安全性;
依据欧盟或成员国法律规定,数据处理是实现公共利益中保存资料(存档)、科学或历史研究或统计目的的必要条件;该欧盟或成员国法律应当与(数据处理)寻求的目的相适应,尊重数据保护权利之本质特征,并提供适当和具体的措施,以保障数据主体的基本权利和利益。
8什么是同意的条件?
第6条第1款(a)和第7条 说明条款32,42,43和58
儿童的同意
儿童在《条例》中受到特殊保护。当数据处理基于同意,并且与直接为儿童提供的信息社会服务(例如社交媒体平台或网上商店)相关的,仅当儿童至少为16周岁时该数据处理才合法。
低于16周岁的,同意须由儿童监护人做出或授权做出,并且控制者应当考虑当前可行的科技手段,以采取合理措施进行验证。
成员国法对儿童的同意做出更低的年龄规定的,不得低于13周岁。
基于同意而进行个人数据处理的,要求同意应当是自由做出,具体、知情并明白无误地体现数据主体的意图。
数据主体必须通过明确的肯定性行为同意进行数据处理,例如通过书面声明(包括电子形式)或口头声明。控制者应当把其同意请求,以能同其它事项明显区分开来的形式表现出来,使用清楚、通俗的语言,并采用便于理解和容易获取的方式。沉默、事前勾选同意和不作为不能构成同意。数据处理有多个目的的,应当对各处理目的分别表示同意。如果表示同意是在电子形式的(同意)请求做出后,该请求应当清楚、简短,并不对提供的服务产生不必要的干扰。数据处理是基于数据主体同意而进行的,控制者应当能够证明数据主体对该数据处理表示了同意。
数据主体有权在任何时候撤回同意,而撤回同意应当与同意的表达同样容易。在获取同意前,控制者必须告知数据主体拥有撤回同意的权利。撤回同意不应当影响撤回前基于同意实施的数据处理的合法性。合同履行,不应当以同意处理对合同履行不必要的数据为条件。
9什么是数据主体的权利和控制者的相应义务?
第11-22条 说明条款57-72
数据主体的请求明显缺乏依据或超出范围的,尤其是重复请求的,数据控制者可以采取以下措施之一:
考虑提供信息、沟通或采取行动的管理成本,收取合理费用;或
拒绝根据请求采取行动。
但是控制者应当承担证明数据主体的请求明显缺乏依据或超出范围的责任。
当控制者处理个人数据,不能证明其无法识别或不能再识别数据主体的,应承担一系列义务。这些义务分别与《条例》第12至22条规定的数据主体权利相对应。
控制者应当采取合理措施,为数据主体提供数据处理活动的相关信息。提供信息应当以简洁、透明、易懂和便于获取的方式,并使用明确和简单的语言,尤其是向儿童提供信息时。信息应当在原则上以书面形式或其它形式提供,包括电子形式。
控制者应当为数据主体行使权利提供便利,并且在收到(权利)请求之日起任何情境下都要在一个月内、及时(没有不当拖延)回应数据主体。考虑到请求的复杂性和数量,该期限必要时可以额外延长两个月。控制者应当在收到请求之日起一个月内通知数据主体延期决定及延期的原因。请求以电子形式作出的,控制者也应当也电子形式答复,除非数据主体另行要求。
控制者没有根据请求采取行动的,至少应在收到请求之日起一个月内及时告知数据主体不采取行动的原因,以及向监管机构申诉和寻求司法救济的可能性。
10什么是控制者和处理者的共同义务?
第27条 说明条款80
指定在欧盟的代理人
在中国的控制者或处理者,以在欧盟的数据主体为目标(客户)或对其进行监测的(参见第3节“《条例》如何适用于在中国的企业和组织?”),应当以书面形式在数据主体所在某成员国中指定一名代理人。但是该义务不适用以下情境:如果数据处理是临时的,不包括大规模地处理特殊种类的个人数据,并且考虑到数据处理的本质、情境、范围和目的,不太可能对自然人的权利和自由带来危险。
代理人应当以控制者或处理者的名义行为,并可以和控制者或处理者一起,或代表控制者或处理者,同监管机构进行沟通和协商。代理人应当由控制者或处理者以书面委托方式明确指定,以其名义进行涉及《条例》义务的行为。指定代理人不影响《条例》下的控制者或处理者的义务或责任。指定代理人应当根据控制者或处理者的委托开展工作,包括与有权监管机构合作。控制者或处理者违反法律规定的,代理人应当受执行程序约束。
第32条 说明条款83
确保数据处理的安全性
考虑当前技术水平、实施成本以及数据处理的性质、范围、情形和目的,连同对自然人权利和自由带来危险的各种可能和程度等因素,控制者和处理者应当采取合理的技术和组织措施,以确保与风险相适应的安全水平,例如包括以下措施:
个人数据的匿名化和加密;
能确保数据处理系统和处理服务的持续保密性、完整性、可用性和恢复能力;
能及时修复数据可用性和取得个人信息;
定期测试和评估确保数据处理安全措施有效性的程序。
第30条 说明条款82
记录数据处理活动
控制者、处理者和其代理人(如适用),应当对职责范围内数据处理进行记录。该义务不适用于雇员少于250人的企业和组织,除非数据处理:
可能对数据主体的权利和自由造成危险;
不是临时性的;或者
包括特殊种类的个人数据。记录应当为书面形式,包括电子形式。控制者或处理者以及其代理人,应当在监管机构提出要求时提供该记录。
第31条
与监管机构合作
控制者、处理者和其代理人,应当基于监管机构的要求,配合监管机构行使职权。
第37-39条 说明条款97
任命数据保护员
当在中国境内的控制者和处理者的核心行动包含以下因素时,应任命数据保护员:
数据处理操作要求对数据主体进行大规模定期和系统性监测;或者
对特殊种类的个人数据进行大规模处理。
此外,除非欧盟及成员国法律另有要求,是否任命数据保护员可以自行选择。
企业团体中各个企业能够便捷地联系到数据保护员的,企业团体可以只任命一名数据保护员。数据保护员可以是控制者或处理者的内部职员,也可以根据服务合同开展工作。控制者或处理者应当公布数据保护员的具体联系方式,并通知监管机构。控制者或处理者应当采取措施,确保数据保护员的独立性以及有能力开展工作和履行职责。数据保护员的职责包括,比如:
通知和建议控制者或处理者以及有关雇员在《条例》下的义务;
监督遵守《条例》以及相关欧盟或成员国数据保护法规;
就数据保护影响评估提出意见并监督其实施;
和监管机构合作,并且作为监管机构在数据处理问题方面的联系人。
11什么是控制者的具体义务?
第5条第2款和第24条
证明遵守法律
控制者有义务证明自己遵守《条例》。这意味着控制者应当证明自己实施的技术和组织措施,足以确保其依照《条例》的规定进行数据处理。必要时这些措施应当重新评估和更新。
《条例》允许每位数据控制者自行决定在特定情形下哪些是合理措施。这些措施可能在不同类型的企业和组织之间存在很大的差别,尽管如此,一般性措施通常包括:实施数据保护政策,保持数据处理记录,对职员开展数据保护培训,任命数据保护员或进行数据保护影响评估。《条例》认可通过遵守经批准的行为准则和(通过)认证体系,以证明控制者对《条例》的遵守。
第25条 说明条款78
嵌入设计之数据保护和默认之数据保护
嵌入设计之数据保护的概念,要求控制者在决定数据处理方式时以及在处理过程中,都应考虑当前技术水平、实施成本、数据处理的性质、范围、情形和目的,以及给自然人权利和自由带来危险的可能和程度,实施合理的技术和组织措施。这些技术和组织措施用来贯彻数据保护原则,并将必要保障融合到数据处理中,以达到《条例》要求并保护数据主体权利。
默认之数据保护要求控制者通过实施合理的技术和组织措施,把数据处理减少到以下程度:即只处理对各(数据处理)特定目的必要的数据。这适用于所收集的个人数据的数量,数据处理的程度,数据的存储期限和数据的可获取性。这些措施特别应当确保在默认情形下,未经个人介入,个人数据不得被其他任意自然人访问。
第33条 说明条款85,87和88
通知监管机构个人数据泄露
发生数据泄露的,控制者应当在知晓数据泄露后72小时内通知监管机构,除非该泄露不大可能威胁自然人权利和自由。不能在72小时内通知的,控制者需要提供迟延原因。
提供给监管机构的通知,应当至少包括:
描述个人数据泄露的本质特性(若可能,包括相关数据主体的类型和大致数量,以及相关个人数据记录);
通知数据保护员或其他联系人的姓名和具体联系方式;
描述泄露可能引发的后果,已经采取的和建议采取的应对措施。
当不可能同时提供所有信息时,可以及时、分阶段提供信息。控制者应当记录所有个人数据泄露(情况),包括个人数据泄露的事实、影响和采取的补救措施。该记录应当能够使监管机构验证对《条例》的遵守。
第34条说明条款86和87
通知数据主体个人数据泄露
当个人数据泄露可能对自然人权利和自由带来高度危险的,控制者应该把数据泄漏的情况及时通知数据主体。通知应当使用清晰和简单的语言,包括提供给监管机构的类似信息。
通知数据主体不适用于以下情况:
已采取了合理的技术和组织保护措施,并且这些措施已应用于被泄露的个人数据,特别是例如数据加密技术等措施,使得未经授权者无法读取个人数据;
已采取相应后续措施,确保给数据主体的权利和自由可能带来的高度危险不大可能发生;或者
当通知数据主体带来不成比例之努力时,应选择公告或类似措施,以同样有效的方式通知数据主体。
第35-36条 说明条款84和89-93
数据保护影响评估和事先咨询
数据处理可能对自然人的权利和自由造成高度危险的,控制者应当在进行数据处理之前,对意图实施的数据处理操作进行数据保护影响评估。
评估应当至少包括某些信息,例如:
系统地描述数据处理操作和处理目的;
对与处理目的有关的处理操作的必要性和恰当性的评估;
对数据主体权利的风险评估;以及
应对风险的处理措施。
当数据保护影响评估表明,数据处理如果不采取降低危险措施时将引发高风险的,控制者有义务在处理之前咨询监管机构。
有以下情形之一的,一般需要进行评估:
对该自然人个人因素进行的系统和广泛的评定,该评定基于自动化处理,并且根据该评定做出的决定会产生同该自然人有关的法律效力,或者对自然人有相似的重大影响;
大规模地处理特殊种类的个人数据;
对可公开接触的领域进行大规模及系统的监测。
12什么是处理者的具体义务?
第28和29条 说明条款81
代表控制者只依照合同或其它法律依据来处理数据
控制者应只任用按照《条例》规定,为个人数据处理提供充分保障的处理者。处理者的数据处理应当依照书面形式的合同或其它法律依据(包括以电子形式),明确标的和处理期限,处理的本质特性和目的,个人数据种类和数据主体类型,以及控制者的权利义务。合同或其它法律依据,可以全部或部分依据欧盟委员会或监管机构制定的标准合同条款,包括这些条款是授予控制者或处理者认证的一部分的情景。
该合同和法律依据还应规定处理者:
只能基于控制者的书面指示处理个人数据,除非欧盟或成员国法律另行规定;•承诺保密或者履行适当法定保密义务;
遵守任用其它处理者的要求;
通过合理的技术和组织措施,协助控制者确保数据主体权利的行使;
协助控制者确保遵循数据处理安全,通知监管机构和数据主体个人数据泄露,数据保护影响评估以及向有权监管机构的事先咨询的规定;
按照控制者的选择,在数据处理结束后删除或返还控制者所有个人数据,并且删除现存备份文件,除非欧盟或成员国法律另行规定;
向控制者提供所有证明遵守处理者义务的必要信息,并提供所有允许和有利于审计的必要信息。
处理者如果认为控制者的指示违反《条例》或其它欧盟或成员国数据保护规定的,应当立即通知控制者。
任用其它处理者
当处理者任用其它处理者来代表控制者实施特定数据处理活动时,其它处理者应当依据欧盟或成员国法律,承担原处理者与控制者之间的合同或其它书面法律文件所列之相同义务。其它处理者未能履行数据保护义务的,原处理者应当就其它处理者义务的履行,对控制者承担全部责任。
第33条第2款
通知控制者数据泄漏
数据处理者在获知个人数据泄露后,应及时通知控制者。
第28条第5款
证明提供充分保障
处理者需要证明它们提供了充分保障,从而控制者能委托其代替控制者进行数据处理。为此,处理者可以采取某些措施,例如(遵循)行为准则或(取得)认证。
13向欧盟境外转移数据的条件有哪些?
国际组织是指国际公法管辖的组织和附属机构,或者由两个或多个国家设立、或基于协议设立的其它主体。
《条例》旨在减少欧盟成员国间个人数据流通障碍,但同时对向欧盟境外的数据转移设置了高门槛。因此当数据转移至欧盟境外,例如由在中国的控制者或处理者进行处理时,应当有特殊保障措施到位。这也同样适用于数据由某第三国或国际组织,再转移至另一第三国或国际组织的情景。为遵循《条例》规定,向第三国或国际组织转移个人数据必须符合《条例》规定的法律依据。
第45条 说明条款103-107
基于适当性保障决定的数据转移
个人数据允许被转移到已经由欧盟委员会认定的,能确保对个人数据提供适当保护水平的第三国或国际组织。这就是所谓基于适当性决定的数据转移。目前(欧盟委员会)没有向中国颁发适当性决定,并且在短期内该情况发生的可能性很低。因此,应当寻求其它法律依据将个人数据转移至中国。
缺少关于中国的适当性决定,并不排除利用适当性决定作为法律依据进一步转移(数据)的可能,这意味着数据(包括从中国)进一步转移到其它由欧盟委员会认定能提供适当数据保护水平的第三国。目前,这些第三国包括:安道尔、阿根廷、加拿大(限于商业组织)、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士、乌拉圭和美国(限于所谓的隐私保护框架)。
第46条 说明条款108和109
将个人数据转移到中国可能的法律依据有哪些?
1.基于合理保障的数据转移
缺少适当性决定的,如果控制者或处理者已经提供合理保障,并且数据主体的权利能够得以有效行使、且存在有效法律救济的,(控制者或处理者)可以合法转移数据至第三国或国际组织。
合理保障可以通过以下之方式实现,无须监管机构的特别批准:
标准数据保护条款。它们应当由欧盟委员会采纳,或者由监管机构采纳并经欧盟委员会批准。目前,虽然《条例》还没有新的标准数据保护条款模板被采纳,但依旧能依据《欧盟数据保护指令》采纳的国际数据转移合同模板来转移数据。目前有两套针对欧盟境内的数据控制者向设立于欧盟境外的数据控制者转移数据的标准合同条款,以及一套针对欧盟境内的控制者向设立于欧盟境外的处理者转移数据的合同条款。这三个文件都可以在线访问获取。(https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en)
第4(20)条47条 说明条款110
有约束力的公司规章。有约束力的公司规章是设立于成员国境内的控制者或处理者所遵循的个人数据保护政策。其针对向参与共同经济活动的企业集团或公司集团内部,位于某个或多个第三国的控制者或处理者进行的数据转移(或一系列数据转移)。有约束力的公司规章需要取得有权监管机构的批准。在满足以下条件时,有望获得批准:
有约束力的公司规章具有法律约束力,对企业团体每个成员都适用和施行;
规章明确赋予数据主体关于数据处理的可行使的权利;和
规章符合《条例》对内容的要求。
经批准的行为准则以及有约束力和执行力的承诺。不受《条例》调整的控制者或处理者,通过遵守经批准的行为准则,可以证明为合法数据转移提供了合理保障。该控制者或处理者应当通过合同或其它有约束力的法律文件,做出有约束力和执行力的承诺,以实现这些(包括数据主体权利的)合理保障。
经批准的认证体系以及有约束力和执行力的承诺。不受《条例》调整的控制者或处理者,可以通过确立认证体系的方式,证明其提供了合理保障的事实。该控制者或处理者应当通过合同或其它有约束力的法律文件,作出有约束力和执行力的承诺,以实现这些(包括数据主体权利的)合理保障。
根据有权监管机构的授权,控制者或处理者与在第三国或国际组织的控制者、处理者或个人数据接收者之间的合同条款,可以(为数据转移)提供合理保障。
第49条 说明条款111-116
2.基于特定情形下的克减条款的数据转移
缺少适当性决定或上述合理保障的,个人数据转移至第三国或国际组织应当基于以下条件之一进行:
明确同意。在被告知数据转移可能引发的危险后,数据主体明确同意所计划的数据转移。
作为合同履行或实施合同缔结前措施的必要条件。数据转移是数据主体和控制者之间合同履行,或者基于数据主体要求实施合同缔结前措施的必要条件。
作为(基于)数据主体利益履行或缔结合同的必要条件。数据转移是基于数据主体利益,缔结或履行控制者和另一个自然人或法人之间合同的必要条件。
作为(实现)公共利益的必要条件。数据转移是实现重要公共利益原因的必要条件。该公共利益应当由适用于控制者的欧盟或成员国法律认可。
作为确立、行使或保护合法诉求的必要条件。
作为特定条件下保护数据主体和他人至关重大利益的必要条件。数据主体由于身体或法律上原因而无法表示同意的,数据转移是保护数据主体或他人至关重大利益的必要条件。
作为向公众公开的登记,或者向任何能证明在查阅登记上有合法权益、并请求查阅的人公开的登记。转移的数据可以来源于向公众公开的登记,或者向证明在查阅登记上有合法利益、并请求查阅的任何人公开的登记;但该情形仅限于在满足欧盟或成员国法律规定之咨询条件的特别情况下。
作为实现控制者重大迫切利益的必要条件。
上述所有条件都不满足的,数据向欧盟境外转移仍旧可以在满足下列所有要求的条件下进行:
该转移不具备重复性的;
该转移只涉及有限的数据主体;
该转移是控制者追求重大紧迫合法权益目的之必要条件,且该利益不低于数据主体的合法权益;
控制者已经对数据转移的所有条件进行评估,并且提供了个人数据保护的合理保障;
同数据转移有关的条件,特别包括个人数据的特性,意图进行的数据处理的目的和期限,以及数据来源国、第三国和(转移)目的地国的情况。
控制者应当将数据转移通知数据主体和监管机构。
数据控制者或处理者应当将(数据保护风险)评估以及(其提供的)合理保障记录于数据处理活动记录中。
14什么是独立数据保护监管机构,其权力如何?
第51-59条说明条款117-129,132-133和150
各成员国的监管机构
各成员国都至少有一个独立公共机构负责监督《条例》实施。所有监管机构都致力于《条例》的统一实施,相互合作,并配合欧盟委员会工作。各成员国之监管机构有权在其领域内行使《条例》赋予的职能和权力。其主要职能包括:
监督以及强制实施《条例》;
处理和调查申诉;
对《条例》的实施展开调查;
批准有约束力以及针对数据转移至第三国的公司规章;
保存对违反《条例》行为和实施纠正措施的内部记录。
为了行使职能,监管机构被赋予调查、纠正、批准和建议的权力。
主要的调查权力包括:
命令控制者、处理者或两者的代理人提供(监管机构)开展工作所需要的任何信息;
以数据保护审计方式进行调查;
通知控制者或处理者其涉嫌违反《条例》的行为;
向控制者或处理者获取所有个人数据以及所有(监管机构)履行职能所必要的
信息的访问权。
主要的纠正权力包括:
警告控制者或处理者其打算进行的数据处理操作可能违反《条例》;
训诫数据处理操作违反《条例》的控制者或处理者;
命令控制者或处理者配合数据主体行使权利的要求;
命令控制者或处理者遵循《条例》来进行处理操作;
命令控制者将个人数据泄露通知数据主体;
强制实施临时或永久的限制,包括禁止处理数据;
命令修正或删除个人数据,或限制数据处理;
撤回认证或要求认证机构撤回认证,或当认证条件得不到满足或不再满足时,
要求认证机构停止颁发认证;
结合以上措施或者单独进行行政罚款;命
令暂停向在第三国或国际组织的接收者转移数据。
主要的批准和建议权力包括:
发表意见和批准行为准则草案;
授权认证主体;
颁发认证并批准认证标准;
采纳标准数据保护条款;
批准合同条款;
批准有约束力的公司规章。
第64-76条 说明条款136-140
欧盟数据保护委员会
作为欧盟的独立机构,欧盟数据保护委员会具有自己的独立法人资格。委员会的主要职能在于确保《条例》的统一实施。由此,除了其它职权,它还有权解决成员国监管机构之间的纠纷,有权提供建议和指导,并且批准实施于全欧盟的行为准则和认证机制。委员会将影响未来欧盟数据保护政策的制订。
15《条例》规定了哪些救济措施、法律责任和处罚?
第77条 说明条款141
就控制者或处理者向监管机构申诉
当任何数据主体认为与其相关的数据处理违反了《条例》,有权向监管机构提起申诉。无论控制者或处理者的机构或其它设置位于何处,(数据主体)均可以向监管机构申诉,尤其是在数据主体经常居住地、工作地或涉嫌侵权地的监管机构。根据申诉,监管机构可以对违反《条例》的控制者或处理者行使调查权或纠正权。
第79条 说明条款145和147
针对控制者或处理者的司法救济
数据主体认为其在《条例》中的权利受到侵犯并行使司法救济权利的,控制者和处理者可能会卷入司法诉讼。针对控制者或处理者的诉讼程序,应当在控制者或处理者之设立机构或其它设置所在的成员国法院提起。但当控制者或处理者在欧盟没有设立机构或其它设置时,可以在数据主体经常居住地的成员国法院提起诉讼程序。
第82条 说明条款146
赔偿和责任
个人因控制者或处理者违反《条例》遭受物质或非物质损害的,控制者或处理者有义务就损害对其赔偿。
任何参与数据处理的控制者都应对违反《条例》的数据处理造成的损害承担责任;
仅当未履行《条例》对处理者规定的特殊义务,或其行为同控制者指示相悖,或超出指示范围时,处理者对数据处理造成的损害有责任。
如果能证明无论如何都对造成损害的事件没有责任的,可以免除控制者或处理者的责任。
当多名控制者或处理者,或者某一控制者和处理者共同参与同一个数据处理(活动)时,每个控制者或处理者都可能承担全部损害责任,以确保对数据主体的有效赔偿。
控制者或处理者在已经对造成之损害进行全额赔偿的,该控制者或处理者应当有权向其它参与同一处理活动的控制者或处理者提出主张,要求它们补偿对应的损害责任赔偿额。
第83-84条 说明条款148,150和152
行政罚款和其它处罚
除了赔偿和责任,控制者和处理者不遵守《条例》的,监管机构将施以行政罚款。
如果《条例》的违反涉及到以下问题,行政罚款的额度最高可达1000万欧元,或上一财务年度全球营业额的2%(取较高者):
同意处理关于儿童的数据;
不要求进行识别的数据处理;
融合实施嵌入数据保护之设计和和默认之数据保护原则;
共同控制者对各自守法义务的约定;
在欧盟内没有设立机构或其它设置的控制者和处理者指定代理人的义务;•控制者对处理者的任用;
处理者仅依据控制者事先之同意任用(其它处理者),以及只根据控制者之指示处理数据;
(控制者和处理者)保存记录的义务;
控制者和处理者同监管机构的配合;
实施技术和组织措施确保数据处理安全;
根据《条例》规定报告数据泄露;
进行数据保护影响评估;
任命数据保护员。
如果《条例》的违反涉及到以下问题,行政罚款最高可达2000万欧元,或上一财务年度全球年营业额的4%(取较高者):
基本数据处理原则,包括同意的条件;
数据主体权利;
个人数据转移至在第三国或国际组织的接收者;
不遵守监管机构的命令,违反其对数据处理的临时或永久限制以及暂停数据流通的决定,或者在监管机构行使调查权时无法提供(数据)使用权;
违反监管机构行使纠正权时发布的命令。各成员国应制定其它适用于违反《条例》的惩罚性规定,特别是针对不适用于上述行政罚款的违法行为,并采取所有必要措施确保实施。
感谢作者的授权
本文仅作学习交流之用
内田正泰
往期荐读
编辑:钟柳依
欢迎点击“阅读原文”