Regulation (EU) 2016/679 of the European Parliament and of the Council

欧洲议会和欧盟理事会 2016 年 679 号条例

第一章一般规定（第 1-4 条）
第二章原则（第 5-11 条）
第三章数据主体的权利（第 12-23 条）
第四章控制者和处理者（第 24-43 条）
第五章向第三国或国际组织传输个人数据（第 44-50 条）
第六章独立监管机构（第 51-59 条）
第七章合作与一致性（第 60-76 条）
第八章救济、责任和处罚（第 77-84 条）
第九章特定处理情况的规定（第 85-91 条）
第十章授权行为和执行行为（第 92-93 条）
第十一章最后规定（第 94-99 条）

第一章一般规定

第 1 条主题和目标

本条例规定了与自然人相关的个人数据处理以及个人数据自由流动方面的规则。
本条例保护自然人的基本权利和自由，特别是其个人数据受保护的权利。
不得因与自然人相关的个人数据处理保护有关的原因而限制或禁止在欧盟内自由流动个人数据。

第 2 条实质范围

本条例适用于全部或部分通过自动化方式进行的个人数据处理，以及通过非自动化方式进行的、构成归档系统一部分或拟构成归档系统一部分的个人数据处理。
本条例不适用于以下个人数据处理：
a) 在欧盟法律范围之外的活动过程中进行的处理；
b) 成员国在履行《欧盟条约》第五编第二章范围内的活动时进行的处理；
c) 自然人在纯粹的私人或家庭活动过程中进行的处理；
d) 主管当局为预防、调查、发现或起诉刑事犯罪或执行刑事处罚的目的，包括保障和预防对公共安全的威胁而进行的处理。
对于欧盟机构、机关、办事处和代理机构处理个人数据，适用第 45/2001 号条例（EC）。第 45/2001 号条例（EC）和其他适用于此类个人数据处理的欧盟法律行为应根据本条例第 98 条调整为符合本条例的原则和规则。
本条例不应影响第 2000/31/EC 号指令的适用，特别是该指令第 12 至 15 条关于中介服务提供者责任规则的适用。

第 3 条地域范围

本条例适用于在欧盟境内设立的控制者或处理者的机构活动中进行的个人数据处理，无论该处理是否在欧盟境内进行。
本条例适用于对位于欧盟境内的数据主体的个人数据进行处理，即使控制者或处理者未在欧盟境内设立，但其处理活动与以下情况相关：
a) 向欧盟境内的此类数据主体提供商品或服务，无论是否需要数据主体付款；或
b) 监控其行为，只要其行为发生在欧盟境内。
本条例适用于未在欧盟境内设立但根据国际公法适用成员国法律的地方的控制者对个人数据的处理。

第 4 条定义

为本条例之目的：

“个人数据” 是指任何与已识别或可识别的自然人（“数据主体”）相关的信息；可识别的自然人是指可以直接或间接地被识别的人，特别是通过参考诸如姓名、身份证号码、位置数据、在线标识符等标识符，或参考该自然人的身体、生理、遗传、心理、经济、文化或社会身份的一个或多个特定因素。
“处理” 是指对个人数据或个人数据集进行的任何操作或一组操作，无论是否通过自动化方式，例如收集、记录、组织、结构化、存储、改编或修改、检索、查询、使用、通过传输披露、传播或以其他方式提供、对齐或组合、限制、删除或销毁。
“处理限制” 是指对存储的个人数据进行标记，目的是限制其未来的处理。
“画像” 是指任何形式的自动化个人数据处理，包括使用个人数据来评估与自然人相关的某些个人方面，特别是分析或预测该自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为、位置或移动等方面。
“假名化” 是指以个人数据在没有使用额外信息的情况下不再归属于特定数据主体的方式处理个人数据，前提是该额外信息被单独保存，并受制于技术和组织措施，以确保个人数据不归属于已识别或可识别的自然人。
“归档系统” 是指任何可根据特定标准访问的结构化个人数据集，无论是集中式、分散式还是按功能或地理基础分布。
“控制者” 是指单独或与他人共同确定个人数据处理目的和方式的自然人或法人、公共机构、代理机构或其他机构；如果此类处理的目的和方式由欧盟或成员国法律确定，则控制者或提名的具体标准可由欧盟或成员国法律规定。
“处理者” 是指代表控制者处理个人数据的自然人或法人、公共机构、代理机构或其他机构。
“接收者” 是指向其披露个人数据的自然人或法人、公共机构、代理机构或其他机构，无论是否为第三方。然而，根据欧盟或成员国法律在特定调查框架内可能接收个人数据的公共当局不应被视为接收者；这些公共当局对此类数据的处理应根据处理目的符合适用的数据保护规则。
“第三方” 是指数据主体、控制者、处理者以及在控制者或处理者直接授权下有权处理个人数据的人员之外的自然人或法人、公共机构、代理机构或机构。
“数据主体的同意” 是指数据主体通过声明或明确的肯定性行动表示的任何自由给予的、具体的、知情的和明确的意愿表示，表明其同意处理与其相关的个人数据。
“个人数据泄露” 是指安全漏洞，导致意外或非法销毁、丢失、修改、未经授权披露或访问传输、存储或以其他方式处理的个人数据。
“遗传数据” 是指与自然人遗传或获得性遗传特征相关的个人数据，这些数据提供有关该自然人生理或健康的独特信息，特别是通过对该自然人的生物样本进行分析而获得的数据。
“生物识别数据” 是指通过对自然人的身体、生理或行为特征进行特定技术处理而获得的个人数据，这些数据允许或确认对该自然人的唯一识别，例如面部图像或指纹数据。
“健康数据” 是指与自然人身体或心理健康相关的个人数据，包括提供医疗保健服务，揭示其健康状况信息的数据。
“主要机构” 是指：
a) 对于在多个成员国设有机构的控制者，其在欧盟内的中央管理机构所在地，除非关于个人数据处理目的和方式的决定是在欧盟内控制者的另一机构作出，并且该机构有权实施此类决定，在这种情况下，作出此类决定的机构应被视为主要机构；
b) 对于在多个成员国设有机构的处理者，其在欧盟内的中央管理机构所在地，或者，如果处理者在欧盟内没有中央管理机构，则其在欧盟内的机构所在地，在该机构进行主要处理活动，前提是该处理者受本条例规定的特定义务约束。
“代表” 是指根据第 27 条由控制者或处理者书面指定、在欧盟境内设立的自然人或法人，代表控制者或处理者履行其在本条例下的各自义务。
“企业” 是指从事经济活动的自然人或法人，无论其法律形式如何，包括定期从事经济活动的合伙企业或协会。
“企业集团” 是指控制性企业及其受控企业。
“有约束力的公司规则” 是指由在成员国领土内设立的控制者或处理者遵守的个人数据保护政策，用于在企业集团内或从事联合经济活动的企业集团内向一个或多个第三国的控制者或处理者传输或一组传输个人数据。
“监管机构” 是指成员国根据第 51 条设立的独立公共机构。
“相关监管机构” 是指因以下原因与个人数据处理相关的监管机构：
a) 控制者或处理者设在该监管机构所在成员国的领土内；
b) 居住在该监管机构所在成员国的数据主体受到或可能受到该处理的实质性影响；或
c) 已向该监管机构提出投诉。
“跨境处理” 是指以下任一情况：
a) 在欧盟内多个成员国设有机构的控制者或处理者的机构活动背景下进行的个人数据处理，且该控制者或处理者在多个成员国设有机构；或
b) 在欧盟内控制者或处理者单一机构的活动背景下进行的个人数据处理，但对多个成员国的数据主体产生或可能产生实质性影响。
“相关和合理的反对” 是指对关于是否存在违反本条例行为的决定草案，或关于拟议的控制者或处理者相关行动是否符合本条例的决定草案提出的反对，该反对清楚地表明该决定草案对数据主体的基本权利和自由以及（如适用）欧盟内个人数据自由流动构成的风险的重要性。
“信息社会服务” 是指欧洲议会和理事会 (EU) 2015/1535 号指令第 1(1)(b) 条定义的服务。
“国际组织” 是指受国际公法管辖的组织及其下属机构，或任何由两个或更多国家之间或在此基础上设立的机构。

第二章原则

第 5 条个人数据处理原则

个人数据应当：
a) 以合法、公平和透明的方式处理，涉及数据主体（“合法性、公平性和透明性”）；
b) 为特定、明确和合法的目的收集，不得以与这些目的不相容的方式进一步处理；根据第 89(1) 条，为公共利益、科学或历史研究目的或统计目的的归档而进行的进一步处理，不应被视为与最初目的不相容（“目的限制”）；
c) 充分、相关并限制在与其处理目的相关的必要范围内（“数据最小化”）；
d) 准确，并在必要时保持最新；必须采取一切合理步骤，确保不准确的个人数据（考虑到其处理目的）被及时删除或更正（“准确性”）；
e) 以保持数据主体可识别形式存储的时间不超过处理个人数据目的所需的时间；个人数据可以存储更长时间，前提是个人数据将仅根据第 89(1) 条为公共利益、科学或历史研究目的或统计目的的归档而处理，并遵守本条例要求的适当技术和组织措施，以保障数据主体的权利和自由（“存储限制”）；
f) 以确保个人数据适当安全的方式处理，包括防止未经授权或非法处理以及防止意外丢失、销毁或损坏，使用适当的技术或组织措施（“完整性和保密性”）。
控制者应负责并能够证明遵守第 1 款（“问责制”）。

第 6 条处理的合法性

处理仅在以下至少一种情况下才合法：
a) 数据主体已同意为一个或多个特定目的处理其个人数据；
b) 处理对于履行数据主体作为一方的合同或为应数据主体要求在订立合同前采取措施是必要的；
c) 处理对于控制者遵守法律义务是必要的；
d) 处理对于保护数据主体或另一自然人的重大利益是必要的；
e) 处理对于执行符合公共利益的任务或行使授予控制者的官方权力是必要的；
f) 处理对于控制者或第三方追求的合法利益是必要的，除非数据主体的利益或基本权利和自由（需要保护个人数据）凌驾于这些利益之上，特别是当数据主体是儿童时。
第一小段 (f) 点不适用于公共当局在执行其任务时进行的处理。
成员国可以维持或引入更具体的规定，通过更精确地确定处理的具体要求和其他措施，以确保合法和公平的处理，包括第 IX 章规定的其他特定处理情况，从而调整本条例规则在遵守第 1 款 (c) 和 (e) 点方面的处理适用。
第 1 款 (c) 和 (e) 点所述处理的依据应由以下规定：
a) 欧盟法律；或
b) 控制者所受的成员国法律。
该法律基础应确定处理目的，或者就第 1 款 (e) 点所述处理而言，应为执行符合公共利益的任务或行使授予控制者的官方权力所必需。该法律基础可包含具体规定以调整本条例规则的适用，除其他外：控制者处理的一般合法性条件；受处理的数据类型；相关数据主体；个人数据可披露给的实体及目的；目的限制；存储期限；以及处理操作和处理程序，包括确保合法和公平处理的措施，例如第 IX 章规定的其他特定处理情况的措施。欧盟或成员国法律应符合公共利益目标，并与所追求的合法目标相称。
当为个人数据收集目的以外的目的进行处理不是基于数据主体的同意或基于欧盟或成员国法律（该法律构成民主社会中保障第 23(1) 条所述目标的必要和相称措施）时，控制者为确定用于另一目的的处理是否与最初收集个人数据的目的相容，应考虑除其他外：
a) 个人数据收集目的与拟议进一步处理目的之间的任何联系；
b) 收集个人数据的背景，特别是关于数据主体与控制者之间的关系；
c) 个人数据的性质，特别是是否根据第 9 条处理特殊类别的个人数据，或是否根据第 10 条处理与刑事定罪和犯罪相关的个人数据；
d) 拟议进一步处理对数据主体可能产生的后果；
e) 适当保障措施的存在，可能包括加密或假名化。

第 7 条同意的条件

当处理基于同意时，控制者应能够证明数据主体已同意处理其个人数据。
如果数据主体的同意是在也涉及其他事项的书面声明的背景下给出的，同意请求应以与其他事项明显区分的方式呈现，采用可理解和易于访问的形式，使用清晰和通俗的语言。此类声明中构成违反本条例的任何部分均不具有约束力。
数据主体应有权随时撤回其同意。撤回同意不影响基于同意在撤回前进行的处理的合法性。在给予同意之前，应告知数据主体这一点。撤回同意应与给予同意一样容易。
在评估同意是否自由给予时，应最大程度地考虑除其他外，履行合同（包括提供服务）是否以同意处理对于履行该合同不必要的个人数据为条件。

第 8 条关于信息社会服务中儿童同意的适用条件

当第 6(1)(a) 条适用时，关于直接向儿童提供信息社会服务，儿童个人数据的处理在儿童至少 16 岁的情况下是合法的。当儿童低于 16 岁时，此类处理仅在且仅在监护人给予或授权同意的情况下才合法。成员国可以通过法律规定为此目的的较低年龄，但该较低年龄不得低于 13 岁。
控制者应在此类情况下做出合理努力以验证同意是否由监护人给予或授权，考虑现有技术。
第 1 款不应影响成员国的一般合同法，例如关于与儿童有关的合同的有效性、订立或效力的规则。

第 9 条特殊类别个人数据的处理

禁止处理揭示种族或民族出身、政治观点、宗教或哲学信仰或工会成员资格的个人数据，以及处理遗传数据、为唯一识别自然人目的的生物识别数据、健康数据或有关自然人性生活或性取向的数据。
第 1 款在以下任一情况下不适用：
a) 数据主体已明确同意为一个或多个特定目的处理此类个人数据，除非欧盟或成员国法律规定数据主体不得解除第 1 款所述的禁止；
b) 处理对于履行控制者或数据主体在就业、社会保障和社会保护法领域的义务和行使特定权利是必要的，只要欧盟或成员国法律或根据成员国法律的集体协议授权并提供适当保障措施以保障数据主体的基本权利和利益；
c) 处理对于保护数据主体或另一自然人的重大利益是必要的，而数据主体在身体上或法律上无法给予同意；
d) 处理由基金会、协会或任何其他非营利机构在其合法活动过程中进行，具有政治、哲学、宗教或工会目标，并有适当保障措施，且条件是该处理仅涉及该机构的成员或前成员或与其目的有定期联系的人员，且个人数据未经数据主体同意不向该机构外披露；
e) 处理涉及数据主体明显公开的个人数据；
f) 处理对于法律索赔的建立、行使或辩护是必要的，或当法院在其司法能力下行事时；
g) 处理出于重大公共利益原因是必要的，基于欧盟或成员国法律，该法律应与所追求的目标相称，尊重数据保护权的本质，并提供适当和具体的措施以保障数据主体的基本权利和利益；
h) 处理对于预防或职业医学目的、评估员工工作能力、医疗诊断、提供健康或社会护理或治疗或管理健康或社会护理系统和服务是必要的，基于欧盟或成员国法律或根据与健康专业人员的合同，并受第 3 款所述条件和保障措施约束；
i) 处理出于公共卫生领域的公共利益原因是必要的，例如防范严重的跨境健康威胁或确保医疗保健和药品或医疗器械的高质量和安全标准，基于欧盟或成员国法律，该法律规定适当和具体的措施以保障数据主体的权利和自由，特别是职业保密；
j) 处理出于公共利益、科学或历史研究目的或统计目的的归档是必要的，根据第 89(1) 条，基于欧盟或成员国法律，该法律应与所追求的目标相称，尊重数据保护权的本质，并提供适当和具体的措施以保障数据主体的基本权利和利益。
当第 1 款所述个人数据由受欧盟或成员国法律或国家主管机构制定的规则约束的职业保密义务的专业人员或在专业人员责任下处理，或由同样受欧盟或成员国法律或国家主管机构制定的规则约束的保密义务的另一人处理时，可为第 2 款 (h) 点所述目的处理。
成员国可以维持或引入关于处理遗传数据、生物识别数据或健康数据的进一步条件，包括限制。

第 10 条与刑事定罪和犯罪相关的个人数据处理

基于第 6(1) 条的与刑事定罪和犯罪或相关安全措施相关的个人数据处理应仅在官方当局控制下进行，或当欧盟或成员国法律授权处理并提供适当保障措施以保障数据主体的权利和自由时进行。任何刑事定罪的综合登记应仅在官方当局控制下保存。

第 11 条不需要识别的处理

如果控制者处理个人数据的目的不要求或不再要求控制者识别数据主体，控制者没有义务为维护、获取或处理额外信息以仅为了遵守本条例而识别数据主体。
在本条第 1 款所述情况下，当控制者能够证明其无法识别数据主体时，控制者应在可能情况下告知数据主体。在此类情况下，第 15 至 20 条不适用，除非数据主体为行使这些条款下的权利提供额外信息使其能够被识别。

第三章数据主体的权利

第一节透明度和模式

第 12 条数据主体行使权利的透明信息、沟通和模式

控制者应采取适当措施，以简洁、透明、易懂和易于获取的形式，使用清晰明确的语言，向数据主体提供第 13 条和第 14 条所述的任何信息，以及根据第 15 条至第 22 条和第 34 条与处理相关的任何沟通，特别是针对儿童的任何信息。信息应以书面或其他形式提供，包括在适当情况下以电子方式提供。应数据主体的要求，信息可以口头提供，前提是数据主体的身份通过其他方式得到证明。
控制者应促进数据主体根据第 15 条至第 22 条行使其权利。在第 11 条第 2 款所述的情况下，控制者不得拒绝应数据主体的请求行使其根据第 15 条至第 22 条享有的权利，除非控制者证明其无法识别数据主体。
控制者应在收到请求后一个月内，毫不延迟地向数据主体提供根据第 15 条至第 22 条对请求采取行动的信息。考虑到请求的复杂性和数量，该期限可以延长两个月。控制者应在收到请求后一个月内将任何此类延期通知数据主体，并说明延期的理由。数据主体以电子方式提出请求的，信息应尽可能以电子方式提供，除非数据主体另有要求。
如果控制者不对数据主体的请求采取行动，控制者应毫不延迟地且在收到请求后最迟一个月内将不采取行动的理由以及向监管机构投诉和寻求司法救济的可能性告知数据主体。
根据第 13 条和第 14 条提供的信息以及根据第 15 条至第 22 条和第 34 条采取的任何沟通和任何行动应免费提供。数据主体的请求明显无根据或过度的，特别是由于其重复性，控制者可以：
a) 收取合理费用，考虑到提供信息或沟通或采取所请求行动的行政成本；或
b) 拒绝应请求采取行动。
控制者应承担证明请求明显无根据或过度的责任。
在不影响第 11 条的情况下，如果控制者对提出第 15 条至第 21 条所述请求的自然人身份有合理怀疑，控制者可以要求提供额外信息以确认数据主体的身份。
根据第 13 条和第 14 条向数据主体提供的信息可以与标准化图标结合提供，以便以易于查看、易懂和清晰可读的方式提供有意义的治疗概述。图标以电子方式呈现的，应具有机器可读性。
委员会应有权根据第 92 条通过授权行为，以确定图标要呈现的信息和提供标准化图标的方式。

第二节个人数据的信息和访问

第 13 条从数据主体收集个人数据时应提供的信息

从数据主体收集与数据主体相关的个人数据时，控制者应在获得个人数据时向数据主体提供以下所有信息：
a) 控制者的身份和联系方式，以及在适当情况下控制者代表的身份和联系方式；
b) 在适当情况下，数据保护官的联系方式；
c) 个人数据拟用于的处理目的以及处理的法律依据；
d) 如果处理基于第 6 条第 1 款 (f) 项，控制者或第三方追求的合法利益；
e) 个人数据的接收者或接收者类别（如有）；
f) 在适当情况下，控制者打算将个人数据转移到第三国或国际组织的事实，以及委员会是否有充分性决定，或者在第 46 条或第 47 条所述的转移情况下，或在第 49 条第 1 款第二项所述的情况下，提及适当或合适的保障措施以及获得其副本的方式或它们已提供的位置。
除第 1 款所述信息外，控制者应在获得个人数据时向数据主体提供以下进一步信息，以确保公平和透明的处理：
a) 个人数据将被存储的期限，如果不可能，则提供用于确定该期限的标准；
b) 有权要求控制者访问和更正或删除个人数据或限制涉及数据主体的处理，以及反对处理的权利，以及数据可移植性的权利；
c) 如果处理基于第 6 条第 1 款 (a) 项或第 9 条第 2 款 (a) 项，存在随时撤回同意的权利，且不影响基于同意在撤回前处理的合法性；
d) 向监管机构投诉的权利；
e) 提供个人数据是否是法定或合同要求，或签订合同所必需的要求，以及数据主体是否有义务提供个人数据，以及不提供此类数据的可能后果；
f) 存在第 22 条第 1 款和第 4 款所述的自动化决策（包括画像），且至少在这些情况下，关于所涉逻辑的有意义信息，以及此类处理对数据主体的重要性和预期后果。
如果控制者打算将个人数据用于收集目的以外的目的进行进一步处理，控制者应在进一步处理之前向数据主体提供关于该其他目的的信息以及第 2 款所述的任何相关进一步信息。
在数据主体已经拥有信息的范围和程度上，第 1 款、第 2 款和第 3 款不适用。

第 14 条未从数据主体获得个人数据时应提供的信息

未从数据主体获得个人数据时，控制者应向数据主体提供以下信息：
a) 控制者的身份和联系方式，以及在适当情况下控制者代表的身份和联系方式；
b) 在适当情况下，数据保护官的联系方式；
c) 个人数据拟用于的处理目的以及处理的法律依据；
d) 相关的个人数据类别；
e) 个人数据的接收者或接收者类别（如有）；
f) 在适当情况下，控制者打算将个人数据转移到第三国或国际组织接收者的事实，以及委员会是否有充分性决定，或者在第 46 条或第 47 条所述的转移情况下，或在第 49 条第 1 款第二项所述的情况下，提及适当或合适的保障措施以及获得其副本的方式或它们已提供的位置。
除第 1 款所述信息外，控制者还应向数据主体提供以下信息，以确保对数据主体的公平和透明处理：
a) 个人数据将被存储的期限，如果不可能，则提供用于确定该期限的标准；
b) 如果处理基于第 6 条第 1 款 (f) 项，控制者或第三方追求的合法利益；
c) 有权要求控制者访问和更正或删除个人数据或限制涉及数据主体的处理，以及反对处理的权利，以及数据可移植性的权利；
d) 如果处理基于第 6 条第 1 款 (a) 项或第 9 条第 2 款 (a) 项，存在随时撤回同意的权利，且不影响基于同意在撤回前处理的合法性；
e) 向监管机构投诉的权利；
f) 个人数据的来源，以及在适当情况下是否来自公开可访问的来源；
g) 存在第 22 条第 1 款和第 4 款所述的自动化决策（包括画像），且至少在这些情况下，关于所涉逻辑的有意义信息，以及此类处理对数据主体的重要性和预期后果。
控制者应在以下时间内提供第 1 款和第 2 款所述的信息：
a) 在获得个人数据后的合理期限内，但最迟不超过一个月，同时考虑到个人数据被处理的具体情况；
b) 如果个人数据将用于与数据主体通信，则最迟在与该数据主体首次通信时；或
c) 如果设想向另一接收者披露，则最迟在首次披露个人数据时。
如果控制者打算将个人数据用于获得目的以外的目的进行进一步处理，控制者应在进一步处理之前向数据主体提供关于该其他目的的信息以及第 2 款所述的任何相关进一步信息。
在以下范围和程度上，第 1 款至第 4 款不适用：
a) 数据主体已经拥有该信息；
b) 提供此类信息被证明是不可能的或会涉及不成比例的努力，特别是为公共利益、科学或历史研究目的或统计目的的归档处理，但须符合第 89 条第 1 款所述的条件和保障措施，或者如果本条第 1 款所述的义务可能使该处理的目标不可能实现或严重损害。在这种情况下，控制者应采取适当措施保护数据主体的权利和自由以及合法利益，包括公开提供信息；
c) 获得或披露由控制者所属的欧盟或成员国法律明确规定，且该法律规定了保护数据主体合法利益的适当措施；或
d) 个人数据必须根据欧盟或成员国法律规定的专业保密义务（包括法定保密义务）保持机密。

第 15 条数据主体的访问权

数据主体应有权从控制者获得确认是否正在处理与其相关的个人数据，如果是，则有权访问个人数据以及以下信息：
a) 处理目的；
b) 相关的个人数据类别；
c) 个人数据已被或将被披露给的接收者或接收者类别，特别是第三国或国际组织的接收者；
d) 如果可能，个人数据将被存储的预期期限，如果不可能，则提供用于确定该期限的标准；
e) 有权要求控制者更正或删除个人数据或限制涉及数据主体的个人数据处理，或反对此类处理；
f) 向监管机构投诉的权利；
g) 如果个人数据不是从数据主体收集的，关于其来源的任何可用信息；
h) 存在第 22 条第 1 款和第 4 款所述的自动化决策（包括画像），且至少在这些情况下，关于所涉逻辑的有意义信息，以及此类处理对数据主体的重要性和预期后果。
个人数据被转移到第三国或国际组织时，数据主体应有权被告知根据第 46 条与转移相关的适当保障措施。
控制者应提供正在处理的个人数据的副本。数据主体要求任何进一步副本的，控制者可以收取基于行政成本的合理费用。数据主体以电子方式提出请求的，除非数据主体另有要求，信息应以常用电子形式提供。
获得第 3 款所述副本的权利不得对他人权利和自由产生不利影响。

第 16 条更正权

数据主体应有权从控制者毫不延迟地获得更正与其相关的不准确个人数据。
考虑到处理目的，数据主体应有权通过提供补充声明等方式完成不完整的个人数据。

第三节更正和删除

第 17 条删除权（“被遗忘权”）

数据主体应有权从控制者毫不延迟地获得删除与其相关的个人数据，控制者有义务毫不延迟地删除个人数据，如果存在以下理由之一：
a) 个人数据对于收集或处理的目的不再必要；
b) 数据主体撤回处理所依据的同意（根据第 6 条第 1 款 (a) 项或第 9 条第 2 款 (a) 项），且没有其他处理法律依据；
c) 数据主体根据第 21 条第 1 款反对处理，且没有凌驾性的合法理由进行处理，或数据主体根据第 21 条第 2 款反对处理；
d) 个人数据被非法处理；
e) 个人数据必须被删除以遵守控制者所属的欧盟或成员国法律规定的法律义务；
f) 个人数据是就第 8 条第 1 款所述的信息社会服务提供而收集的。
如果控制者已公开个人数据且有义务根据第 1 款删除个人数据，控制者应考虑到可用技术和实施成本，采取合理步骤（包括技术措施），通知正在处理个人数据的控制者：数据主体已请求此类控制者删除任何链接到、复制或复制这些个人数据的内容。
在处理属于以下情况所必需的范围内，第 1 款和第 2 款不适用：
a) 行使言论自由和信息权；
b) 遵守欧盟或成员国法律规定的要求处理的法律义务（控制者所属），或为执行公共利益任务或行使授予控制者的官方权力而执行的任务；
c) 根据第 9 条第 2 款 (h) 项和 (i) 项以及第 9 条第 3 项，基于公共卫生领域的公共利益原因；
d) 根据第 89 条第 1 款，为公共利益、科学或历史研究目的或统计目的的归档，如果第 1 款所述的权利可能使该处理的目标不可能实现或严重损害；或
e) 法律索赔的建立、行使或辩护。

第 18 条限制处理权

数据主体应有权从控制者获得限制处理，如果存在以下情况之一：
a) 数据主体对个人数据的准确性提出争议，在控制者验证个人数据准确性的期间；
b) 处理是非法的，数据主体反对删除个人数据，而是请求限制其使用；
c) 控制者不再需要个人数据用于处理目的，但数据主体需要其用于法律索赔的建立、行使或辩护；
d) 数据主体已根据第 21 条第 1 款反对处理，等待验证控制者的合法理由是否凌驾于数据主体的理由之上。
根据第 1 款限制处理的个人数据，除存储外，仅可在数据主体同意的情况下处理，或用于法律索赔的建立、行使或辩护，或为保护另一自然人或法人的权利，或为欧盟或成员国的重大公共利益原因。
根据第 1 款获得限制处理的数据主体应在限制处理解除前被控制者告知。

第 19 条关于个人数据更正或删除或限制处理的通知义务

控制者应将根据第 16 条、第 17 条第 1 款和第 18 条进行的任何个人数据更正或删除或限制处理传达给个人数据已被披露给的每个接收者，除非这被证明是不可能的或涉及不成比例的努力。
如果数据主体请求，控制者应告知数据主体这些接收者。

第 20 条数据可移植权

数据主体应有权以结构化、常用和机器可读的格式接收与其相关的个人数据（其已向控制者提供），并有权将这些数据传输给另一控制者而不受提供个人数据的控制者阻碍，如果：
a) 处理基于根据第 6 条第 1 款 (a) 项或第 9 条第 2 款 (a) 项的同意，或根据第 6 条第 1 款 (b) 项的合同；且
b) 处理通过自动化方式进行。
在行使第 1 款所述的数据可移植权时，数据主体应有权将个人数据直接从一个控制者传输到另一控制者，如果技术上可行。
行使本条第 1 款所述权利不得影响第 17 条。该权利不适用于为执行公共利益任务或行使授予控制者的官方权力所必需的处理。
第 1 款所述权利不得对他人权利和自由产生不利影响。

第四节反对权和自动化个人决策

第 21 条反对权

数据主体应有权基于与其特定情况相关的理由，随时反对处理与其相关的个人数据，如果处理基于第 6 条第 1 款 (e) 项或 (f) 项，包括基于这些条款的画像。除非控制者证明存在凌驾于数据主体利益、权利和自由之上的强制性合法理由进行处理，或为法律索赔的建立、行使或辩护，否则控制者不得再处理个人数据。
个人数据被用于直接营销目的处理的，数据主体应有权随时反对为营销目的处理与其相关的个人数据，包括与此类直接营销相关的画像。
数据主体反对为直接营销目的处理的，个人数据不得再为此类目的处理。
最迟在与数据主体首次通信时，第 1 款和第 2 款所述的权利应明确提请数据主体注意，并应清晰且与其他信息分开呈现。
在使用信息社会服务的背景下，且在不影响 2002/58/EC 号指令的情况下，数据主体可以通过使用技术规范以自动化方式行使其反对权。
个人数据根据第 89 条第 1 款被用于科学或历史研究目的或统计目的处理的，数据主体基于与其特定情况相关的理由，应有权反对处理与其相关的个人数据，除非处理是为执行公共利益任务所必需的。

第 22 条自动化个人决策（包括画像）

数据主体应有权不受仅基于自动化处理（包括画像）的决定的约束，如果该决定对其产生法律效力或类似地显著影响其。
在以下情况下，第 1 款不适用：
a) 决定对于数据主体与数据控制者之间签订或履行合同是必要的；
b) 决定被控制者所属的欧盟或成员国法律授权，且该法律也规定了保护数据主体权利和自由以及合法利益的适当措施；或
c) 决定基于数据主体的明确同意。
在第 2 款 (a) 项和 (c) 项所述的情况下，数据控制者应实施适当措施保护数据主体的权利和自由以及合法利益，至少包括获得控制者人工干预的权利、表达其观点的权利以及对决定提出异议的权利。
第 2 款所述决定不得基于第 9 条第 1 款所述的特殊类别个人数据，除非第 9 条第 2 款 (a) 项或 (g) 项适用，且已实施保护数据主体权利和自由以及合法利益的适当措施。

第五节限制

第 23 条限制

控制者或处理者所属的欧盟或成员国法律可以通过立法措施限制第 12 条至第 22 条和第 34 条规定的义务和权利的范围，以及第 5 条（在其规定与第 12 条至第 22 条规定的权利和义务相对应的范围内），如果此类限制尊重基本权利和自由的本质，且是民主社会中为保护以下目的所必需和相称的措施：
a) 国家安全；
b) 国防；
c) 公共安全；
d) 刑事犯罪的预防、调查、发现或起诉，或刑事处罚的执行，包括保障和预防对公共安全的威胁；
e) 欧盟或成员国的重要公共利益目标，特别是欧盟或成员国的重要经济或财政利益，包括货币、预算和税收事项、公共卫生和社会保障；
f) 司法独立和司法程序的保护；
g) 受监管职业违反职业道德的预防、调查、发现和起诉；
h) 与 (a) 至 (e) 项和 (g) 项所述情况下行使官方权力相关的监测、检查或监管职能；
i) 数据主体或他人权利和自由的保护；
j) 民事法律索赔的执行。
特别是，第 1 款所述的任何立法措施应至少包含具体规定（在相关情况下）：
a) 处理目的或处理类别；
b) 个人数据类别；
c) 引入限制的范围；
d) 防止滥用或非法访问或转移的保障措施；
e) 控制者或控制者类别的规范；
f) 存储期限和适用的保障措施，同时考虑到处理的性质、范围和目的或处理类别；
g) 对数据主体权利和自由的风险；以及
h) 数据主体被告知限制的权利，除非这可能损害限制的目的。

第四章控制者和处理者

第一节一般义务

第 24 条控制者的责任

考虑到处理的性质、范围、背景和目的，以及自然人权利和自由面临的不同可能性和严重程度的风险，控制者应实施适当的技术和组织措施，以确保并能够证明处理是按照本条例进行的。这些措施应在必要时进行审查和更新。
如果与处理活动相称，第 1 款所述措施应包括控制者实施适当的数据保护政策。
遵守第 40 条所述的经批准的行为准则或第 42 条所述的经批准的认证机制，可用作证明控制者履行义务的要素。

第 25 条设计的数据保护和默认的数据保护

考虑到技术水平、实施成本以及处理的性质、范围、背景和目的，以及处理对自然人权利和自由造成的不同可能性和严重程度的风险，控制者应在确定处理手段时和处理本身时，实施适当的技术和组织措施（例如假名化），旨在有效地实施数据保护原则（例如数据最小化），并将必要的保障措施纳入处理中，以满足本条例的要求并保护数据主体的权利。
控制者应实施适当的技术和组织措施，以确保默认情况下仅处理针对每个具体处理目的所必需的个人数据。该义务适用于收集的个人数据量、其处理范围、存储期限和可访问性。特别是，此类措施应确保默认情况下个人数据在未经个人干预的情况下不对无限数量的自然人开放。
根据第 42 条批准的认证机制可用作证明符合本条第 1 款和第 2 款规定要求的要素。

第 26 条联合控制者

两个或两个以上控制者共同确定处理目的和方式的，应为联合控制者。他们应以透明的方式通过彼此之间的安排确定各自遵守本条例义务的责任，特别是关于数据主体权利的行使以及他们各自提供第 13 条和第 14 条所述信息的义务，除非且在此范围内，控制者的各自责任由控制者所属的欧盟或成员国法律确定。该安排可指定数据主体的联系点。
第 1 款所述安排应适当反映联合控制者相对于数据主体的各自角色和关系。安排的本质应向数据主体提供。
无论第 1 款所述安排的条款如何，数据主体可以针对每个控制者行使其在本条例下的权利。

第 27 条未在欧盟设立的控制者或处理者的代表

在第 3 条第 2 款适用的情况下，控制者或处理者应书面指定一名在欧盟境内的代表。
第 1 款规定的义务不适用于：
a) 偶尔进行的处理，不包括大规模处理第 9 条第 1 款所述的特殊类别数据或第 10 条所述的与刑事定罪和犯罪相关的个人数据，且考虑到处理的性质、背景、范围和目的，不太可能对自然人的权利和自由造成风险；或
b) 公共当局或机构。
代表应设立在数据主体所在的成员国之一，向其提供商品或服务，或监控其行为。
代表应受控制者或处理者授权，除控制者或处理者外或代替控制者或处理者，特别是监管机构和数据主体，就与处理相关的所有问题接受联系，以确保遵守本条例。
控制者或处理者指定代表不应损害可以对控制者或处理者本身提起的法律行动。

第 28 条处理者

处理代表控制者进行时，控制者应仅使用提供充分保证的处理者，以实施适当的技术和组织措施，使处理符合本条例的要求并确保保护数据主体的权利。
处理者在未经控制者事先具体或一般书面授权的情况下不得聘用另一处理者。在一般书面授权的情况下，处理者应将任何拟议的变更（涉及增加或替换其他处理者）通知控制者，从而使控制者有机会对此类变更提出异议。
处理者进行的处理应受欧盟或成员国法律下的合同或其他法律行为约束，该合同或法律行为对处理者具有约束力并规定处理的主题和持续时间、处理的性质和目的、个人数据类型和数据主体类别以及控制者的义务和权利。该合同或其他法律行为应特别规定处理者：
a) 仅根据控制者的书面指示处理个人数据，包括关于将个人数据转移到第三国或国际组织的指示，除非处理者所属的欧盟或成员国法律要求这样做；在这种情况下，处理者应在处理前将该法律要求通知控制者，除非该法律因重要的公共利益理由禁止此类信息；
b) 确保获准处理个人数据的人员已承诺保密或受适当的法定保密义务约束；
c) 采取根据第 32 条要求的所有措施；
d) 尊重第 2 款和第 4 款关于聘用另一处理者的条件；
e) 考虑到处理的性质，通过适当的技术和组织措施协助控制者（在可能范围内），以履行控制者回应数据主体行使其第三章规定权利的请求的义务；
f) 考虑到处理性质和处理者可获得的信息，协助控制者确保遵守第 32 条至第 36 条的义务；
g) 在控制者选择的情况下，在与处理相关的服务结束后删除或向控制者返回所有个人数据，并删除现有副本，除非欧盟或成员国法律要求存储个人数据；
h) 向控制者提供证明遵守本条规定义务所需的所有信息，并允许和协助控制者或控制者授权的另一审计员进行审计（包括检查）。
关于第一小段 (h) 项，如果处理者认为指示违反本条例或其他欧盟或成员国数据保护规定，应立即通知控制者。
处理者为代表控制者执行特定处理活动而聘用另一处理者时，应通过欧盟或成员国法律下的合同或其他法律行为对该另一处理者施加与处理者和控制者之间的合同或其他法律行为（如第 3 款所述）中规定的相同数据保护义务，特别是提供充分保证以实施适当的技术和组织措施，使处理符合本条例的要求。如果该另一处理者未能履行其数据保护义务，初始处理者应对该另一处理者义务的履行向控制者承担全部责任。
处理者遵守第 40 条所述的经批准行为准则或第 42 条所述的经批准认证机制，可用作证明第 1 款和第 4 款所述充分保证的要素。
在不影响控制者和处理者之间的单独合同的情况下，第 3 款和第 4 款所述的合同或其他法律行为可以全部或部分基于第 7 款和第 8 款所述的标准合同条款，包括当它们是根据第 42 条和第 43 条授予控制者或处理者的认证的一部分时。
委员会可以根据第 93 条第 2 款所述的审查程序，为本条第 3 款和第 4 款所述事项制定标准合同条款。
监管机构可以根据第 63 条所述的一致性机制，为本条第 3 款和第 4 款所述事项采用标准合同条款。
第 3 款和第 4 款所述的合同或其他法律行为应采用书面形式，包括电子形式。
在不影响第 82 条、第 83 条和第 84 条的情况下，如果处理者通过确定处理目的和方式违反本条例，则处理者应就该处理被视为控制者。

第 29 条在控制者或处理者授权下进行处理

处理者及在控制者或处理者授权下行事的任何人员（有权访问个人数据），除控制者指示外不得处理这些数据，除非欧盟或成员国法律要求这样做。

第 30 条处理活动记录

每个控制者以及在适当情况下控制者的代表，应维护其负责的处理活动记录。该记录应包含以下所有信息：
a) 控制者的名称和联系方式，以及在适当情况下联合控制者、控制者的代表和数据保护官的名称和联系方式；
b) 处理目的；
c) 数据主体类别和个人数据类别的描述；
d) 个人数据已被或将被披露给的接收者类别，包括第三国或国际组织的接收者；
e) 在适当情况下，将个人数据转移到第三国或国际组织，包括该第三国或国际组织的识别，以及第 49 条第 1 款第二项所述转移情况下适当保障措施的记录；
f) 如果可能，不同类别数据的预期删除时间限制；
g) 如果可能，第 32 条第 1 款所述技术和组织安全措施的一般描述。
每个处理者以及在适当情况下处理者的代表，应维护代表控制者进行的所有类别处理活动的记录，包含：
a) 处理者的名称和联系方式以及其代表的每个控制者的名称和联系方式，以及在适当情况下控制者或处理者的代表和数据保护官的名称和联系方式；
b) 代表每个控制者进行的处理类别；
c) 在适当情况下，将个人数据转移到第三国或国际组织，包括该第三国或国际组织的识别，以及第 49 条第 1 款第二项所述转移情况下适当保障措施的记录；
d) 如果可能，第 32 条第 1 款所述技术和组织安全措施的一般描述。
第 1 款和第 2 款所述的记录应采用书面形式，包括电子形式。
控制者或处理者以及在适当情况下控制者或处理者的代表，应根据请求向监管机构提供记录。
第 1 款和第 2 款所述的义务不适用于雇员少于 250 人的企业或组织，除非其进行的处理可能对数据主体的权利和自由造成风险、处理不是偶尔的，或处理包括第 9 条第 1 款所述的特殊类别数据或第 10 条所述的与刑事定罪和犯罪相关的个人数据。

第 31 条与监管机构合作

控制者和处理者以及在适当情况下其代表，应根据请求与监管机构合作，以履行其任务。

第二节个人数据的安全

第 32 条处理安全

考虑到技术水平、实施成本以及处理的性质、范围、背景和目的，以及自然人权利和自由面临的不同可能性和严重程度的风险，控制者和处理者应实施适当的技术和组织措施，以确保与风险相适应的安全级别，包括在适当情况下：
a) 个人数据的假名化和加密；
b) 确保处理系统和服务的持续机密性、完整性、可用性和弹性的能力；
c) 在发生物理或技术事件时及时恢复个人数据的可用性和访问的能力；
d) 定期测试、评估和评价确保处理安全的技术和组织措施有效性的流程。
在评估适当的安全级别时，应特别考虑处理所带来的风险，特别是意外或非法销毁、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据。
遵守第 40 条所述的经批准行为准则或第 42 条所述的经批准认证机制，可用作证明符合本条第 1 款规定要求的要素。
控制者和处理者应采取措施，确保在控制者或处理者授权下行事并有权访问个人数据的任何自然人，除控制者指示外不得处理这些数据，除非其所属的欧盟或成员国法律要求这样做。

第 33 条向监管机构通知个人数据泄露

在发生个人数据泄露的情况下，控制者应在意识到后毫不延迟地且在可行情况下不迟于 72 小时，向根据第 55 条有管辖权的监管机构通知个人数据泄露，除非个人数据泄露不太可能对自然人的权利和自由造成风险。如果未在 72 小时内向监管机构通知，应附上延迟的理由。
处理者在意识到个人数据泄露后应毫不延迟地通知控制者。
第 1 款所述通知应至少：
a) 描述个人数据泄露的性质，包括在可能情况下，相关数据主体的类别和大致数量以及相关个人数据记录的类别和大致数量；
b) 传达数据保护官或其他联系点的名称和联系方式，以获取更多信息；
c) 描述个人数据泄露的可能后果；
d) 描述控制者为解决个人数据泄露已采取或拟采取的措施，包括在适当情况下减轻其可能不利影响的措施。
如果无法同时提供信息，信息可以分阶段提供，且不应有进一步的不当延迟。
控制者应记录任何个人数据泄露，包括与个人数据泄露相关的事实、其影响和采取的补救措施。该记录应使监管机构能够验证对本条的遵守情况。

第 34 条向数据主体传达个人数据泄露

当个人数据泄露可能对自然人的权利和自由造成高风险时，控制者应毫不延迟地向数据主体传达个人数据泄露。
本条第 1 款所述向数据主体的传达应以清晰明确的语言描述个人数据泄露的性质，并至少包含第 33 条第 3 款 (b)、(c) 和 (d) 项所述的信息和措施。
在满足以下任何条件的情况下，不需要向数据主体进行第 1 款所述传达：
a) 控制者已实施适当的技术和组织保护措施，且这些措施已应用于受个人数据泄露影响的个人数据，特别是使个人数据对任何未经授权访问的人无法理解的措施，例如加密；
b) 控制者已采取后续措施，确保第 1 款所述对数据主体权利和自由的高风险不再可能实现；
c) 这将涉及不成比例的努力。在这种情况下，应改为进行公开传达或类似措施，以同等有效的方式告知数据主体。
如果控制者尚未向数据主体传达个人数据泄露，监管机构在考虑个人数据泄露导致高风险的可能性后，可以要求其这样做，或可以决定满足第 3 款所述的任何条件。

第三节数据保护影响评估和事先咨询

第 35 条数据保护影响评估

如果某种类型的处理（特别是使用新技术）考虑到处理的性质、范围、背景和目的，很可能对自然人的权利和自由造成高风险，控制者应在处理前对拟议处理操作对个人数据保护的影响进行评估。单一评估可以解决一组呈现类似高风险的类似处理操作。
控制者在进行数据保护影响评估时应寻求数据保护官的建议（如果已指定）。
在以下情况下，特别需要进行第 1 款所述的数据保护影响评估：
a) 对与自然人相关的个人方面进行系统和广泛的评估，基于自动化处理（包括画像），并据此作出对自然人产生法律效力或类似地显著影响自然人的决定；
b) 大规模处理第 9 条第 1 款所述的特殊类别数据，或第 10 条所述的与刑事定罪和犯罪相关的个人数据；或
c) 大规模系统地监控公共可访问区域。
监管机构应建立并公布需要进行数据保护影响评估的处理操作类型清单。监管机构应将这些清单传达给第 68 条所述的委员会。
监管机构还可以建立并公布不需要进行数据保护影响评估的处理操作类型清单。监管机构应将这些清单传达给委员会。
在第 4 款和第 5 款所述清单通过之前，如果此类清单涉及与向多个成员国的数据主体提供商品或服务或监控其行为相关的处理活动，或可能实质性影响欧盟内个人数据的自由流动，主管监管机构应根据第 63 条适用一致性机制。
评估应至少包含：
a) 对拟议处理操作和处理目的的系统描述，包括在适当情况下控制者追求的合法利益；
b) 对处理操作相对于目的的必要性和相称性的评估；
c) 对第 1 款所述数据主体权利和自由风险的评估；以及
d) 为解决风险而设想的措施，包括保障措施、安全措施和确保个人数据保护并证明遵守本条例的机制，同时考虑数据主体和其他相关人员的权利和合法利益。
相关控制者或处理者遵守第 40 条所述的经批准行为准则，应在评估此类控制者或处理者执行的处理操作的影响时予以适当考虑，特别是为了数据保护影响评估的目的。
在适当情况下，控制者应就拟议处理征求数据主体或其代表的意见，但不影响商业或公共利益或处理操作安全的保护。
如果根据第 6 条第 1 款 (c) 项或 (e) 项进行的处理在欧盟法律或控制者所属的成员国法律中有法律依据，且该法律规定了具体的处理操作或一组相关操作，并且已作为通过该法律基础的一般影响评估的一部分进行了数据保护影响评估，则第 1 款至第 7 款不适用，除非成员国认为在处理活动前有必要进行此类评估。
在必要时，控制者应进行审查，以评估处理是否按照数据保护影响评估进行，至少在风险发生变化时。

第 36 条事先咨询

如果根据第 35 条进行的数据保护影响评估表明，在控制者未采取措施减轻风险的情况下处理将导致高风险，控制者应在处理前咨询监管机构。
如果监管机构认为第 1 款所述拟议处理将违反本条例，特别是控制者未充分识别或减轻风险，监管机构应在收到咨询请求后最多八周内向控制者以及在适当情况下向处理者提供书面建议，并可以使用第 58 条所述的任何权力。考虑到拟议处理的复杂性，该期限可以延长六周。监管机构应在收到咨询请求后一个月内将任何此类延期通知控制者以及在适当情况下通知处理者，并说明延迟的理由。这些期限可以暂停，直到监管机构获得其为咨询目的请求的信息。
根据第 1 款咨询监管机构时，控制者应向监管机构提供：
a) 在适当情况下，控制者、联合控制者和参与处理的处理者的各自责任，特别是企业集团内的处理；
b) 拟议处理的目的和方式；
c) 根据本条例为保护数据主体权利和自由而提供的措施和保障措施；
d) 在适当情况下，数据保护官的联系方式；
e) 第 35 条规定的数据保护影响评估；以及
f) 监管机构请求的任何其他信息。
成员国在准备由国民议会通过的立法措施提案或基于此类立法措施的监管措施（与处理相关）时应咨询监管机构。
尽管有第 1 款规定，成员国法律可以要求控制者就控制者为执行公共利益任务（包括与社会保障和公共卫生相关的处理）进行的处理与监管机构协商并获得事先授权。

第四节数据保护官

第 37 条数据保护官的指定

在以下任何情况下，控制者和处理者应指定数据保护官：
a) 处理由公共当局或机构进行，但法院行使其司法职能除外；
b) 控制者或处理者的核心活动包括处理操作，这些操作因其性质、范围和/或目的而需要对数据主体进行大规模、系统和定期的监控；或
c) 控制者或处理者的核心活动包括大规模处理第 9 条所述的特殊类别数据或第 10 条所述的与刑事定罪和犯罪相关的个人数据。
企业集团可以任命一名单一数据保护官，前提是每个机构都可以轻松联系到数据保护官。
如果控制者或处理者是公共当局或机构，可以为多个此类当局或机构指定一名单一数据保护官，同时考虑其组织结构和规模。
在第 1 款所述情况以外的情况下，控制者或处理者或代表控制者或处理者类别的协会和其他机构可以（或在欧盟或成员国法律要求时应当）指定数据保护官。数据保护官可以为此类协会和其他代表控制者或处理者的机构行事。
数据保护官应根据专业素质指定，特别是数据保护法律和实践经验的专业知识以及履行第 39 条所述任务的能力。
数据保护官可以是控制者或处理者的员工，或根据服务合同履行任务。
控制者或处理者应公布数据保护官的联系方式并将其传达给监管机构。

第 38 条数据保护官的地位

控制者和处理者应确保数据保护官适当并及时地参与所有与个人数据保护相关的问题。
控制者和处理者应通过提供履行第 39 条所述任务所需的资源、访问个人数据和处理操作以及维持其专业知识，支持数据保护官履行任务。
控制者和处理者应确保数据保护官在履行这些任务时不收到任何指示。数据保护官不得因履行其任务而被控制者或处理者解雇或处罚。数据保护官应直接向控制者或处理者的最高管理层报告。
数据主体可以就与其个人数据处理相关的所有问题以及行使其在本条例下的权利联系数据保护官。
数据保护官在履行其任务时应根据欧盟或成员国法律受保密或机密义务约束。
数据保护官可以履行其他任务和职责。控制者或处理者应确保任何此类任务和职责不会导致利益冲突。

第 39 条数据保护官的任务

数据保护官应至少有以下任务：
a) 告知并建议控制者或处理者以及执行处理的员工其根据本条例和其他欧盟或成员国数据保护规定的义务；
b) 监控对本条例、其他欧盟或成员国数据保护规定以及控制者或处理者与个人数据保护相关政策的遵守情况，包括责任分配、参与处理操作的员工的意识提升和培训，以及相关审计；
c) 根据请求就数据保护影响评估提供建议，并根据第 35 条监控其执行；
d) 与监管机构合作；
e) 作为监管机构就处理相关问题的联系点，包括第 36 条所述的事先咨询，并在适当情况下就任何其他事项进行协商。
数据保护官在履行其任务时应适当考虑与处理操作相关的风险，同时考虑处理的性质、范围、背景和目的。

第五节行为准则和认证

第 40 条行为准则

成员国、监管机构、委员会和欧洲数据保护委员会应鼓励制定行为准则，旨在促进本条例的正确适用，同时考虑各种处理部门的具体特征以及微型、小型和中型企业的具体需求。
代表控制者或处理者类别的协会和其他机构可以准备行为准则，或修改或扩展此类准则，以具体说明本条例的适用，例如关于：
a) 公平和透明的处理；
b) 控制者在特定背景下追求的合法利益；
c) 个人数据的收集；
d) 个人数据的假名化；
e) 向公众和数据主体提供的信息；
f) 数据主体权利的行使；
g) 向儿童提供的信息和儿童保护，以及获得对儿童有父母责任的人同意的方式；
h) 第 24 条和第 25 条所述的措施和程序以及第 32 条所述的处理安全保障措施；
i) 向监管机构通知个人数据泄露以及向数据主体传达此类个人数据泄露；
j) 向第三国或国际组织转移个人数据；或
k) 解决控制者和数据主体之间与处理相关的争议的庭外程序和其他争议解决程序，但不影响数据主体根据第 77 条和第 79 条享有的权利。
除受本条例约束的控制者或处理者遵守外，根据本条第 5 款批准且具有本条第 9 款所述一般效力的行为准则，也可以由不受本条例约束的控制者或处理者遵守（根据第 3 条），以便在第 46 条第 2 款 (e) 项所述条件下，在向第三国或国际组织转移个人数据的框架内提供适当保障措施。此类控制者或处理者应通过合同或其他具有法律约束力的文书作出具有约束力和可执行的承诺，适用这些适当保障措施，包括关于数据主体权利的措施。
本条第 2 款所述行为准则应包含机制，使第 41 条第 1 款所述的机构能够对承诺适用的控制者或处理者遵守其规定进行强制性监控，但不影响根据第 55 条或第 56 条有管辖权的监管机构的任务和权力。
本条第 2 款所述的协会和其他机构如打算准备行为准则或修改或扩展现有准则，应将准则草案、修改或扩展提交给根据第 55 条有管辖权的监管机构。监管机构应就准则草案、修改或扩展是否符合本条例提供意见，如果认为其提供充分适当的保障措施，应批准该准则草案、修改或扩展。
如果根据第 5 款批准的准则草案、修改或扩展，且相关行为准则不涉及多个成员国的处理活动，监管机构应注册并公布该准则。
如果行为准则草案涉及多个成员国的处理活动，根据第 55 条有管辖权的监管机构在批准准则草案、修改或扩展之前，应根据第 63 条所述的程序将其提交给委员会，委员会应就准则草案、修改或扩展是否符合本条例提供意见，或在本条第 3 款所述情况下，是否提供适当保障措施。
如果第 7 款所述意见确认准则草案、修改或扩展符合本条例，或在本条第 3 款所述情况下提供适当保障措施，委员会应将其意见提交给欧盟委员会。
委员会可以通过执行行为，决定根据本条第 8 款提交给它的经批准行为准则、修改或扩展在欧盟内具有普遍效力。这些执行行为应根据第 93 条第 2 款所述的审查程序通过。
委员会应确保根据第 9 款决定具有普遍效力的经批准准则得到适当宣传。
委员会应收集所有经批准的行为准则、修改和扩展，并将其以适当方式公开提供。

第 41 条经批准行为准则的监控

在不影响根据第 57 条和第 58 条有管辖权的监管机构的任务和权力的情况下，根据第 40 条对行为准则遵守情况的监控可以由在准则主题事项方面具有适当专业水平并经主管监管机构为此目的认可的机构进行。
第 1 款所述的机构在以下情况下可以被认可监控行为准则的遵守情况：
a) 已向主管监管机构证明其在准则主题事项方面的独立性和专业知识；
b) 已建立程序，允许其评估相关控制者和处理者适用准则的资格、监控其遵守准则规定的情况并定期审查其运作；
c) 已建立程序和结构来处理关于违反准则或控制者或处理者已实施或正在实施准则方式的投诉，并使这些程序和结构对数据主体和公众透明；以及
d) 已向主管监管机构证明其任务和职责不会导致利益冲突。
主管监管机构应根据第 63 条所述的一致性机制，向委员会提交第 1 款所述机构认可的草案要求。
在不影响有管辖权的监管机构的任务和权力以及第八章规定的情况下，第 1 款所述的机构应在适当保障措施下，对控制者或处理者违反准则的行为采取适当行动，包括暂停或排除相关控制者或处理者。该机构应将此类行动及其采取的理由通知主管监管机构。
如果第 1 款所述机构的认可要求未得到满足或不再得到满足，或该机构采取的行动违反本条例，主管监管机构应撤销其认可。
本条不适用于公共当局和机构进行的处理。

第 42 条认证

成员国、监管机构、委员会和欧洲数据保护委员会应鼓励（特别是在欧盟层面）建立数据保护认证机制以及数据保护印章和标记，以证明控制者和处理者的处理操作符合本条例。应考虑微型、小型和中型企业的具体需求。
除受本条例约束的控制者或处理者遵守外，根据本条第 5 款批准的数据保护认证机制、印章或标记也可以建立，以证明不受本条例约束的控制者或处理者（根据第 3 条）在第 46 条第 2 款 (f) 项所述条件下，在向第三国或国际组织转移个人数据的框架内提供适当保障措施的存在。此类控制者或处理者应通过合同或其他具有法律约束力的文书作出具有约束力和可执行的承诺，适用这些适当保障措施，包括关于数据主体权利的措施。
认证应是自愿的，并通过透明的流程提供。
根据本条的认证不减少控制者或处理者遵守本条例的责任，且不影响根据第 55 条或第 56 条有管辖权的监管机构的任务和权力。
根据本条的认证应由第 43 条所述的认证机构或主管监管机构颁发，基于该主管监管机构根据第 58 条第 3 款或委员会根据第 63 条批准的标准。如果标准经委员会批准，这可能导致共同认证，即欧洲数据保护印章。
将其处理提交认证机制的控制者或处理者应向第 43 条所述的认证机构或在适当情况下向主管监管机构，提供进行认证程序所需的所有信息和访问其处理操作。
认证应向控制者或处理者颁发，最长期限为三年，如果相关标准继续得到满足，可以在相同条件下续期。如果认证标准未得到满足或不再得到满足，第 43 条所述的认证机构或主管监管机构应撤销认证。
委员会应收集所有认证机制和数据保护印章和标记，并将其以任何适当方式公开提供。

第 43 条认证机构

在不影响根据第 57 条和第 58 条有管辖权的监管机构的任务和权力的情况下，在数据保护方面具有适当专业水平的认证机构应在通知监管机构（以便在必要时根据第 58 条第 2 款 (h) 项行使其权力）后颁发和续期认证。成员国应确保这些认证机构由以下一个或两个机构认可：
a) 根据第 55 条或第 56 条有管辖权的监管机构；或
b) 根据欧洲议会和理事会第 (EC) No 765/2008 号条例¹ 按照 EN-ISO/IEC 17065/2012 以及根据第 55 条或第 56 条有管辖权的监管机构建立的额外要求指定的国家认可机构。
第 1 款所述的认证机构仅在以下情况下才能根据该段获得认可：
a) 已向主管监管机构证明其在认证主题事项方面的独立性和专业知识；
b) 已承诺尊重第 42 条第 5 款所述的标准并经根据第 55 条或第 56 条有管辖权的监管机构或委员会根据第 63 条批准；
c) 已建立颁发、定期审查和撤销数据保护认证、印章和标记的程序；
d) 已建立程序和结构来处理关于违反认证或控制者或处理者已实施或正在实施认证方式的投诉，并使这些程序和结构对数据主体和公众透明；以及
e) 已向主管监管机构证明其任务和职责不会导致利益冲突。
第 1 款和第 2 款所述的认证机构认可应根据主管监管机构根据第 55 条或第 56 条或委员会根据第 63 条批准的要求进行。在本条第 1 款 (b) 项所述认可的情况下，这些要求应补充第 (EC) No 765/2008 号条例中设想的要求以及描述认证机构方法和技术程序的技术规则。
第 1 款所述的认证机构应负责对导致认证或撤销此类认证的适当评估负责，但不影响控制者或处理者遵守本条例的责任。认可应颁发最长期限为五年，如果认证机构满足本条规定的要求，可以在相同条件下续期。
第 1 款所述的认证机构应向主管监管机构提供授予或撤销所请求认证的理由。
第 3 款所述的要求和第 42 条第 5 款所述的标准应由监管机构以易于访问的形式公布。监管机构还应将这些要求和标准传达给委员会。
在不影响第八章的情况下，如果认可条件未得到满足或不再得到满足，或认证机构采取的行动违反本条例，主管监管机构或国家认可机构应根据本条第 1 款撤销认证机构的认可。
委员会应有权根据第 92 条通过授权行为，以具体说明第 42 条第 1 款所述数据保护认证机制需要考虑的要求。
委员会可以采用执行行为，为认证机制和数据保护印章和标记制定技术标准，以及促进和认可这些认证机制、印章和标记的机制。这些执行行为应根据第 93 条第 2 款所述的审查程序通过。

¹ 欧洲议会和理事会 2008 年 7 月 9 日第 (EC) No 765/2008 号条例，规定产品营销相关的认可和市场监督要求，并废除第 (EEC) No 339/93 号条例（OJ L 218, 13.8.2008, p. 30）。

第五章向第三国或国际组织传输个人数据

第 44 条传输的一般原则

正在处理或计划在转移后处理的个人数据向第三国或国际组织的任何转移，仅在控制者和处理者遵守本章规定的条件下进行，包括从第三国或国际组织向另一第三国或另一国际组织的进一步转移。
本章的所有规定均应适用，以确保本条例保证的自然人保护级别不被削弱。

第 45 条基于充分性决定的转移

如果委员会已决定该第三国、该第三国境内的一个领土或一个或多个特定部门，或该国际组织确保了充分的保护级别，则个人数据向第三国或国际组织的转移可以进行。此类转移不需要任何具体授权。
在评估保护级别的充分性时，委员会应特别考虑以下要素：
a) 法治、尊重人权和基本自由、相关法律（包括一般和部门法律）、关于公共安全、国防、国家安全和刑法以及公共当局访问个人数据的法律，以及此类法律的实施、数据保护规则、专业规则和安全措施（包括向另一第三国或国际组织进一步转移个人数据的规则，且在该国或国际组织得到遵守）、判例法，以及有效和可执行的数据主体权利和有效的行政及司法救济（供其个人数据被转移的数据主体使用）；
b) 第三国或国际组织是否存在一个或多个独立监管机构并有效运作，负责确保和执行数据保护规则的遵守，包括足够的执法权力，协助和建议数据主体行使其权利，并与成员国的监管机构合作；以及
c) 相关第三国或国际组织已加入的国际承诺，或因具有法律约束力的公约或文书以及其参与多边或区域系统（特别是关于个人数据保护）而产生的其他义务。
委员会在评估保护级别的充分性后，可以通过执行行为决定第三国、第三国境内的一个领土或一个或多个特定部门，或国际组织确保本条第 2 款所述意义上的充分保护级别。执行行为应规定定期审查机制（至少每四年一次），应考虑第三国或国际组织的所有相关发展。执行行为应明确其领土和部门适用范围，并在适当情况下识别第 2 款 (b) 项所述的监管机构。执行行为应根据第 93 条第 2 款所述的审查程序通过。
委员会应持续监控第三国和国际组织可能影响根据本条第 3 款通过的决定的功能的发展，以及根据 95/46/EC 号指令第 25 条第 6 款通过的决定。
如果委员会根据现有信息（特别是在本条第 3 款所述审查后）发现第三国、第三国境内的一个领土或一个或多个特定部门，或国际组织不再确保本条第 2 款所述意义上的充分保护级别，委员会应在必要范围内通过执行行为废除、修改或暂停本条第 3 款所述决定，且不具有追溯力。这些执行行为应根据第 93 条第 2 款所述的审查程序通过。在正当合理的紧急理由下，委员会应根据第 93 条第 3 款所述的程序通过立即适用的执行行为。
委员会应与第三国或国际组织进行协商，以纠正导致根据第 5 款作出的决定的情况。
根据本条第 5 款作出的决定不影响根据第 46 条至第 49 条向该第三国、该第三国境内的一个领土或一个或多个特定部门，或该国际组织转移个人数据。
委员会应在欧盟官方公报和其网站上公布其已决定确保或不再确保充分保护级别的第三国、领土和第三国境内的特定部门以及国际组织的清单。
根据 95/46/EC 号指令第 25 条第 6 款通过的决定应继续保持有效，直到被根据本条第 3 款或第 5 款通过的委员会决定修改、替换或废除。

第 46 条受适当保障措施约束的转移

如果没有根据第 45 条第 3 款作出的决定，控制者或处理者只有在控制者或处理者已提供适当保障措施，且数据主体拥有可执行的数据主体权利和有效法律救济的情况下，才可以将个人数据转移到第三国或国际组织。
第 1 款所述的适当保障措施可以在不需要监管机构具体授权的情况下通过以下方式提供：
a) 公共当局或机构之间具有法律约束力和可执行性的文书；
b) 根据第 47 条的有约束力的公司规则；
c) 委员会根据第 93 条第 2 款所述的审查程序通过的标准数据保护条款；
d) 监管机构通过并经委员会根据第 93 条第 2 款所述的审查程序批准的标准数据保护条款；
e) 根据第 40 条批准的经批准行为准则，以及第三国的控制者或处理者具有约束力和可执行的承诺，适用适当保障措施，包括关于数据主体权利的措施；或
f) 根据第 42 条批准的经批准认证机制，以及第三国的控制者或处理者具有约束力和可执行的承诺，适用适当保障措施，包括关于数据主体权利的措施。
在主管监管机构授权的情况下，第 1 款所述的适当保障措施特别可以通过以下方式提供：
a) 控制者或处理者与第三国或国际组织中的控制者、处理者或个人数据接收者之间的合同条款；或
b) 公共当局或机构之间的行政安排，包括可执行和有效的数据主体权利。
在本条第 3 款所述的情况下，监管机构应适用第 63 条所述的一致性机制。
根据 95/46/EC 号指令第 26 条第 2 款由成员国或监管机构进行的授权应继续保持有效，直到被该监管机构在必要时修改、替换或废除。根据 95/46/EC 号指令第 26 条第 4 款由委员会通过的决定应继续保持有效，直到被根据本条第 2 款通过的委员会决定在必要时修改、替换或废除。

第 47 条有约束力的公司规则

主管监管机构应根据第 63 条规定的一致性机制批准有约束力的公司规则，前提是它们：
a) 具有法律约束力，适用于企业集团的每个相关成员或从事联合经济活动的企业集团，包括其员工，并由其执行；
b) 明确赋予数据主体关于处理其个人数据的可执行权利；以及
c) 满足第 2 款规定的要求。
第 1 款所述的有约束力的公司规则应至少规定：
a) 企业集团或从事联合经济活动的企业集团及其每个成员的结构和联系方式；
b) 数据转移或一组转移，包括个人数据类别、处理类型及其目的、受影响的数据主体类型以及所识别的第三国；
c) 其法律约束力的性质，包括内部和外部；
d) 一般数据保护原则的适用，特别是目的限制、数据最小化、有限存储期限、数据质量、设计和默认的数据保护、处理的法律依据、特殊类别个人数据的处理、确保数据安全的措施，以及关于向不受有约束力的公司规则约束的机构进一步转移的要求；
e) 数据主体在处理方面的权利以及行使这些权利的手段，包括不受仅基于自动化处理（包括根据第 22 条的画像）的决定约束的权利、向主管监管机构投诉的权利以及根据第 79 条在成员国主管法院起诉的权利，以及获得补救和在适当情况下因违反有约束力的公司规则获得赔偿的权利；
f) 设立在成员国领土内的控制者或处理者接受对任何相关成员（未设立在欧盟）违反有约束力的公司规则的责任；控制者或处理者仅在证明该成员不对导致损害的事件负责的情况下，才能全部或部分免除该责任；
g) 除第 13 条和第 14 条外，如何向数据主体提供关于有约束力的公司规则的信息，特别是关于本款 (d)、(e) 和 (f) 项所述规定；
h) 根据第 37 条指定的任何数据保护官或企业集团或从事联合经济活动的企业集团内负责监控有约束力的公司规则遵守情况的任何其他人或实体的任务，以及监控培训和投诉处理；
i) 投诉程序；
j) 企业集团或从事联合经济活动的企业集团内确保验证有约束力的公司规则遵守情况的机制。此类机制应包括数据保护审计和确保保护数据主体权利的纠正措施方法。此类验证的结果应传达给 (h) 项所述的人或实体以及企业集团的控制企业或从事联合经济活动的企业集团的董事会，并应根据请求向主管监管机构提供；
k) 向监管机构报告规则变更并记录这些变更的机制；
l) 与企业集团或从事联合经济活动的企业集团的任何成员确保遵守的监管机构合作机制，特别是向监管机构提供 (j) 项所述措施验证结果；
m) 向主管监管机构报告企业集团或从事联合经济活动的企业集团的任何成员在第三国可能对有约束力的公司规则提供的保障措施产生重大不利影响的法律要求的机制；以及
n) 对有权永久或定期访问个人数据的人员进行适当的数据保护培训。
委员会可以通过执行行为，具体说明本条所述意义上有约束力的公司规则的信息交换格式和程序。这些执行行为应根据第 93 条第 2 款所述的审查程序通过。

第 48 条未经欧盟法律授权的转移或披露

第三国的法院或法庭的任何判决以及第三国的行政当局要求控制者或处理者转移或披露个人数据的任何决定，只有在基于请求的第三国与欧盟或成员国之间生效的国际协议（例如司法协助条约）的情况下，才能以任何方式被承认或可执行，但不影响根据本章转移的其他理由。

第 49 条特定情况的减损

在没有根据第 45 条第 3 款作出的充分性决定或根据第 46 条的适当保障措施（包括有约束力的公司规则）的情况下，个人数据向第三国或国际组织的转移或一组转移仅在满足以下条件下进行：
a) 数据主体在被告知此类转移因缺乏充分性决定和适当保障措施而对数据主体可能造成的风险后，已明确同意拟议转移；
b) 转移对于数据主体与控制者之间的合同履行或应数据主体要求采取的预合同措施是必要的；
c) 转移对于为数据主体利益在控制者与另一自然人或法人之间签订或履行合同是必要的；
d) 转移出于重要的公共利益原因是必要的；
e) 转移对于法律索赔的建立、行使或辩护是必要的；
f) 转移对于保护数据主体或其他人的生命利益是必要的，如果数据主体在身体上或法律上无法给予同意；
g) 转移是从根据欧盟或成员国法律旨在向公众提供信息的登记处进行的，且该登记处可供公众一般咨询或任何能证明合法利益的人咨询，但仅限于在特定情况下满足欧盟或成员国法律规定的咨询条件。
如果转移不能基于第 45 条或第 46 条的规定（包括关于有约束力的公司规则的规定），且本款第一小段所述的特定情况减损均不适用，则向第三国或国际组织的转移仅在以下情况下进行：转移不是重复性的，仅涉及有限数量的数据主体，对于控制者追求的强制性合法利益是必要的（且这些利益未被数据主体的利益或权利和自由凌驾），且控制者已评估数据转移周围的所有情况，并基于该评估提供了关于个人数据保护的适当保障措施。控制者应将转移通知监管机构。控制者除提供第 13 条和第 14 条所述信息外，还应将转移和追求的强制性合法利益通知数据主体。
根据第 1 款第一小段 (g) 项进行的转移不应涉及登记处包含的全部个人数据或整个类别的个人数据。如果登记处旨在供具有合法利益的人咨询，则转移应仅在这些人的请求下进行，或者如果他们是接收者。
第 1 款第一小段 (a)、(b) 和 (c) 项以及第二小段不适用于公共当局在行使其公共权力时进行的活动。
第 1 款第一小段 (d) 项所述的公共利益应在欧盟法律或控制者所属的成员国法律中得到承认。
在没有充分性决定的情况下，欧盟或成员国法律可以出于重要的公共利益原因，明确限制特定类别个人数据向第三国或国际组织的转移。成员国应将此类规定通知委员会。
控制者或处理者应在第 30 条所述的记录中记录本条第 1 款第二小段所述的评估以及适当保障措施。

第 50 条保护个人数据的国际合作

关于第三国和国际组织，委员会和监管机构应采取适当措施：

a) 制定国际合作机制，促进个人保护立法的有效执行；

b) 在个人数据保护立法执行方面提供国际互助，包括通知、投诉转介、调查协助和信息交换，但须有保护个人数据和其他基本权利和自由的适当保障措施；

c) 让相关利益相关者参与旨在进一步推进个人数据保护立法执行国际合作的讨论和活动；

d) 促进个人数据保护立法和实践的交换和记录，包括与第三国的管辖权冲突。

第六章独立监管机构

第一节独立地位

第 51 条监管机构

每个成员国应规定一个或多个独立公共当局，负责监控本条例的适用，以保护自然人在处理方面的基本权利和自由，并促进欧盟内个人数据的自由流动（“监管机构”）。
每个监管机构应促进本条例在整个欧盟的一致适用。为此，监管机构应根据第七章相互合作并与委员会合作。
如果一个成员国设立了一个以上监管机构，该成员国应指定代表这些机构在委员会中的监管机构，并应制定机制以确保其他监管机构遵守与第 63 条所述一致性机制相关的规则。
每个成员国应在 2018 年 5 月 25 日前将其根据本章通过的法律条款通知委员会，并在任何后续影响这些条款的修正后毫不延迟地通知。

第 52 条独立性

每个监管机构在根据本条例履行其任务和行使其权力时应完全独立行事。
每个监管机构的成员在根据本条例履行其任务和行使其权力时，应保持不受任何外部影响（无论是直接还是间接），且不应寻求或接受任何人的指示。
每个监管机构的成员应避免任何与其职责不相容的行为，且在其任期内不得从事任何不相容的职业（无论是否有报酬）。
每个成员国应确保每个监管机构被提供有效履行其任务和行使其权力所需的人力、技术和财力资源、场所和基础设施，包括在互助、合作和参与委员会的背景下执行的任务。
每个成员国应确保每个监管机构选择并拥有自己的员工，且员工仅受相关监管机构成员的独家指导。
每个成员国应确保每个监管机构接受不影响其独立性的财务控制，且拥有独立的公开年度预算（可以是国家或国家总预算的一部分）。

第 53 条监管机构成员的一般条件

成员国应通过法律规定其监管机构的每个成员通过透明程序由以下机构任命：
- 其议会；
- 其政府；
- 其国家元首；或
- 根据成员国法律受托任命的独立机构。
每个成员应具备履行其职责和行使其权力所需的资格、经验和技能，特别是在个人数据保护领域。
成员的职责应在任期届满、辞职或根据相关成员国法律强制退休时终止。
成员仅在严重不当行为或成员不再满足履行职责所需条件的情况下才能被免职。

第 54 条关于监管机构设立的规则

每个成员国应通过法律规定以下所有内容：
a) 每个监管机构的设立；
b) 被任命为每个监管机构成员所需的资格和资格条件；
c) 每个监管机构成员或成员的任命规则和程序；
d) 每个监管机构成员或成员的任期不少于四年，但 2016 年 5 月 24 日后的首次任命除外（其中部分可以进行较短期限，如果这是通过交错任命程序保护监管机构独立性所必需的）；
e) 每个监管机构成员或成员是否有资格连任，以及如果有，连任多少次；
f) 每个监管机构成员和员工的义务条件、禁止的行为、职业和福利（在任期内和任期后与此不相容），以及终止就业的规则。
每个监管机构的成员和员工应根据欧盟或成员国法律，在任期内和任期后对在其履行职责或行使其权力过程中获知的任何机密信息负有职业保密义务。在其任期内，该职业保密义务特别适用于自然人报告违反本条例的行为。

第 55 条管辖权

每个监管机构应有管辖权在其成员国领土内履行根据本条例分配给它的任务和行使其权力。
如果处理由公共当局或私营机构根据第 6 条第 1 款 (c) 项或 (e) 项进行，则相关成员国的监管机构应有管辖权。在这种情况下，第 56 条不适用。
监管机构无权监控法院行使其司法职能时的处理操作。

第 56 条主要监管机构的管辖权

在不影响第 55 条的情况下，控制者或处理者的主要机构或单一机构的监管机构应有管辖权作为主要监管机构，根据第 60 条规定的程序对该控制者或处理者进行的跨境处理行事。
作为第 1 款的减损，每个监管机构应有管辖权处理向其提出的投诉或本条例的可能违反，如果主题事项仅涉及其成员国的机构或仅实质性影响其成员国的数据主体。
在本条第 2 款所述的情况下，监管机构应立即将该事项通知主要监管机构。主要监管机构应在被告知后三周内决定是否根据第 60 条规定的程序处理该案件，同时考虑是否在其被告知的成员国领土内有控制者或处理者的机构。
如果主要监管机构决定处理该案件，则应适用第 60 条规定的程序。告知主要监管机构的监管机构可以向主要监管机构提交决定草案。主要监管机构在准备第 60 条第 3 款所述的决定草案时应充分考虑该草案。
如果主要监管机构决定不处理该案件，告知主要监管机构的监管机构应根据第 61 条和第 62 条处理该案件。
主要监管机构应是其进行跨境处理的控制者或处理者的唯一对话者。

第二节能力、任务和权力

第 57 条任务

在不影响本条例规定的其他任务的情况下，每个监管机构应在其领土上：
a) 监控和执行本条例的适用；
b) 促进公众对处理相关风险、规则、保障措施和权利的认识和理解。专门针对儿童的活动应受到特别关注；
c) 根据成员国法律，就与处理相关的自然人权利和自由保护方面的立法和行政措施向国家议会、政府和其他机构提供建议；
d) 促进控制者和处理者对其根据本条例义务的认识；
e) 应请求，向任何数据主体提供关于其根据本条例行使其权利的信息，并在适当情况下为此与其他成员国的监管机构合作；
f) 处理由数据主体或根据第 80 条由机构、组织或协会提出的投诉，并在合理范围内调查投诉的主题事项，在合理期限内告知投诉人调查的进展和结果，特别是如果需要进一步调查或与其他监管机构协调；
g) 与其他监管机构合作，包括共享信息和提供互助，以确保本条例适用和执行的一致性；
g) 对本条例的适用进行调查，包括基于从另一监管机构或其他公共当局收到的信息；
i) 监控相关发展（只要它们影响个人数据保护），特别是信息和通信技术及商业实践的发展；
j) 采用第 28 条第 8 款和第 46 条第 2 款 (d) 项所述的标准合同条款；
k) 建立和维护与第 35 条第 4 款所述的数据保护影响评估要求相关的清单；
l) 就第 36 条第 2 款所述的处理操作提供建议；
m) 鼓励根据第 40 条第 1 款制定行为准则，并提供意见和批准根据第 40 条第 5 款提供充分保障措施的行为准则；
n) 鼓励根据第 42 条第 1 款建立数据保护认证机制以及数据保护印章和标记，并根据第 42 条第 5 款批准认证标准；
o) 在适当情况下，对根据第 42 条第 7 款颁发的认证进行定期审查；
p) 起草和公布根据第 41 条监控行为准则的机构和根据第 43 条的认证机构的认可要求；
q) 进行根据第 41 条监控行为准则的机构和根据第 43 条的认证机构的认可；
r) 授权第 46 条第 3 款所述的合同条款和规定；
s) 根据第 47 条批准有约束力的公司规则；
t) 促进委员会的活动；
u) 保存本条例违反的内部记录以及根据第 58 条第 2 款采取的措施；以及
v) 履行与个人数据保护相关的任何其他任务。
每个监管机构应通过措施（例如投诉提交表（也可以电子方式填写））促进第 1 款 (f) 项所述投诉的提交，但不排除其他通信方式。
每个监管机构履行任务对数据主体以及在适当情况下对数据保护官应是免费的。
如果请求明显无根据或过度（特别是由于其重复性），监管机构可以收取基于行政成本的合理费用，或拒绝应请求采取行动。监管机构应承担证明请求明显无根据或过度的责任。

第 58 条权力

每个监管机构应拥有以下所有调查权力：
a) 命令控制者和处理者以及在适当情况下控制者或处理者的代表提供其履行任务所需的任何信息；
b) 以数据保护审计的形式进行调查；
c) 对根据第 42 条第 7 款颁发的认证进行审查；
d) 通知控制者或处理者涉嫌违反本条例的行为；
e) 从控制者和处理者获取访问所有个人数据和履行任务所需的所有信息；
f) 根据欧盟或成员国程序法，获取访问控制者和处理者的任何场所（包括任何数据处理设备和手段）。
每个监管机构应拥有以下所有纠正权力：
a) 向控制者或处理者发出警告，告知拟议处理操作可能违反本条例规定；
b) 向控制者或处理者发出训诫，告知处理操作已违反本条例规定；
c) 命令控制者或处理者遵守数据主体行使其根据本条例权利的请求；
d) 命令控制者或处理者使处理操作符合本条例规定（在适当情况下以指定方式并在指定期限内）；
e) 命令控制者向数据主体传达个人数据泄露；
f) 施加临时或最终限制（包括禁止处理）；
g) 命令根据第 16 条、第 17 条和第 18 条更正或删除个人数据或限制处理，并根据第 17 条第 2 款和第 19 条通知此类行动给个人数据已披露给的接收者；
h) 撤销认证或命令认证机构撤销根据第 42 条和第 43 条颁发的认证，或命令认证机构在认证要求未得到满足或不再得到满足的情况下不颁发认证；
i) 根据第 83 条施加行政罚款，除或代替本款所述措施外，具体取决于每个案件的情况；
j) 命令暂停向第三国或国际组织的接收者进行数据流。
每个监管机构应拥有以下所有授权和咨询权力：
a) 根据第 36 条所述的事先咨询程序向控制者提供建议；
b) 主动或应请求就与个人数据保护相关的任何问题向国家议会、成员国政府或根据成员国法律向其他机构和公众发表意见；
c) 如果成员国法律要求此类事先授权，授权第 36 条第 5 款所述的处理；
d) 根据第 40 条第 5 款发表意见并批准行为准则草案；
e) 根据第 43 条认可认证机构；
f) 根据第 42 条第 5 款颁发认证并批准认证标准；
g) 采用第 28 条第 8 款和第 46 条第 2 款 (d) 项所述的标准数据保护条款；
h) 授权第 46 条第 3 款 (a) 项所述的合同条款；
i) 授权第 46 条第 3 款 (b) 项所述的行政安排；
j) 根据第 47 条批准有约束力的公司规则。
监管机构根据本条行使其权力应受欧盟和成员国法律规定的适当保障措施（包括有效司法救济和正当程序）约束，且符合宪章。
每个成员国应通过法律规定其监管机构有权将本条例的违反行为提请司法机关注意，并在适当情况下提起或参与法律诉讼，以执行本条例的规定。
每个成员国可以通过法律规定其监管机构应拥有除第 1 款、第 2 款和第 3 款所述权力之外的额外权力。这些权力的行使不得损害第七章的有效运作。

第 59 条活动报告

每个监管机构应编制其活动的年度报告，其中可以包括根据第 58 条第 2 款通知的违反类型和采取的措施类型的清单。
这些报告应提交给国家议会、政府和成员国法律指定的其他机构。
这些报告应向公众、委员会和委员会提供。

第七章合作与一致性

第一节合作

第 60 条主要监管机构与其他相关监管机构之间的合作

主要监管机构应根据本条与其他相关监管机构合作，努力达成共识。主要监管机构和相关监管机构应相互交换所有相关信息。
主要监管机构可以随时请求其他相关监管机构根据第 61 条提供互助，并可以根据第 62 条进行联合行动，特别是为了进行调查或监控对设立在另一成员国的控制者或处理者实施的措施。
主要监管机构应立即将有关事项的相关信息传达给其他相关监管机构。它应立即向其他相关监管机构提交决定草案以征求意见，并充分考虑它们的意见。
如果在被告知后四周内，其他相关监管机构中的任何一个对决定草案提出相关和合理的反对，主要监管机构如果不遵循相关和合理的反对或认为该反对不相关或不合理，则应根据第 63 条将该事项提交一致性机制。
如果主要监管机构打算遵循提出的相关和合理的反对，它应向其他相关监管机构提交修订后的决定草案以征求意见。该修订后的决定草案应在两周内接受第 4 款所述的程序。
如果在第 4 款和第 5 款所述的期限内，其他相关监管机构均未对主要监管机构提交的决定草案提出异议，主要监管机构和相关监管机构应被视为同意该决定草案并受其约束。
主要监管机构应采用并通知决定给控制者或处理者的主要机构或单一机构（视情况而定），并告知其他相关监管机构和委员会该决定，包括相关事实和理由的摘要。已收到投诉的监管机构应将决定告知投诉人。
作为第 7 款的减损，如果投诉被驳回或拒绝，收到投诉的监管机构应采用决定并通知投诉人，并应告知控制者。
如果主要监管机构和相关监管机构同意驳回或拒绝投诉的部分并对投诉的其他部分采取行动，则应就该事项的每个部分通过单独的决定。主要监管机构应通过关于与控制者相关行动部分的决定，并通知其成员国领土内控制者或处理者的主要机构或单一机构，并告知投诉人，而投诉人的监管机构应通过关于驳回或拒绝该投诉部分的决定，并通知该投诉人并告知控制者或处理者。
在被告知主要监管机构根据第 7 款和第 9 款作出的决定后，控制者或处理者应采取必要措施，确保决定在欧盟内其所有机构的处理活动方面得到遵守。控制者或处理者应将为遵守决定而采取的措施通知主要监管机构，主要监管机构应告知其他相关监管机构。
在特殊情况下，如果相关监管机构有理由认为有必要紧急行动以保护数据主体的利益，则应适用第 66 条所述的紧急程序。
主要监管机构和其他相关监管机构应通过电子方式使用标准化格式相互提供本条所需的信息。

第 61 条互助

监管机构应相互提供相关信息和互助，以便以一致的方式实施和适用本条例，并应制定相互有效合作的措施。互助应特别包括信息请求和监管措施，例如请求进行事先授权和咨询、检查和调查。
每个监管机构应采取所有适当措施，在收到请求后毫不延迟地且在收到请求后不迟于一个月内回复另一监管机构的请求。此类措施可以特别包括传输关于调查进行的相关信息。
互助请求应包含所有必要信息，包括请求的目的和理由。交换的信息应仅用于请求的目的。
被请求的监管机构不得拒绝遵守请求，除非：
a) 它对该请求的主题事项或要求它执行的措施没有管辖权；或
b) 遵守请求将违反本条例或接收请求的监管机构所属的欧盟或成员国法律。
被请求的监管机构应将其为回应请求而采取的措施的结果或在适当情况下进展告知请求的监管机构。被请求的监管机构应提供根据第 4 款拒绝遵守请求的理由。
被请求的监管机构应通过电子方式使用标准化格式向其他监管机构提供请求的信息。
被请求的监管机构不得对根据互助请求采取的任何行动收取费用。监管机构可以就特殊情况下因提供互助而产生的具体支出达成相互赔偿规则。
如果被请求的监管机构在收到另一监管机构请求后一个月内未提供本条第 5 款所述信息，请求的监管机构可以在其成员国领土内根据第 55 条第 1 款通过临时措施。在这种情况下，应根据第 66 条第 1 款推定存在紧急行动需要，并需要根据第 66 条第 2 款从委员会获得紧急约束性决定。
委员会可以通过执行行为，具体说明本条所述互助的格式和程序以及监管机构之间以及监管机构与委员会之间通过电子手段交换信息的安排，特别是本条第 6 款所述的标准化格式。这些执行行为应根据第 93 条第 2 款所述的审查程序通过。

第 62 条监管机构的联合行动

监管机构在适当情况下应进行联合行动，包括联合调查和联合执行措施，其他成员国的监管机构成员或员工参与其中。
如果控制者或处理者在多个成员国设有机构，或多个成员国的相当数量的数据主体可能受到处理操作的实质性影响，则这些成员国中的每个监管机构应有权参与联合行动。根据第 56 条第 1 款或第 4 款有管辖权的监管机构应邀请这些成员国中的每个监管机构参加联合行动，并应毫不延迟地回应监管机构参与的请求。
监管机构可以根据成员国法律，并在派出监管机构授权的情况下，将权力（包括调查权力）授予参与联合行动的派出监管机构成员或员工，或者在宿主监管机构成员国法律允许的情况下，允许派出监管机构成员或员工根据派出监管机构成员国法律行使其调查权力。此类调查权力只能在宿主监管机构成员或员工的指导和在场下行使。派出监管机构的成员或员工应受宿主监管机构成员国法律约束。
如果派出监管机构的员工根据第 1 款在另一成员国运作，宿主监管机构成员国应根据其领土内适用的法律对其行为（包括责任）负责，包括对他们操作期间造成的任何损害负责。
造成损害的成员国应根据适用于其自身员工造成损害的条件赔偿此类损害。派出监管机构成员国（其员工在另一成员国领土内对任何人造成损害）的成员国应向该另一成员国全额偿还其代表有权人支付的任何款项。
在不影响其对第三方行使权利的情况下，除第 5 款外，每个成员国在第 1 款规定的情况下不得向另一成员国要求偿还第 4 款所述的损害。
如果打算进行联合行动且监管机构在一个月内未遵守本条第 2 款第二句规定的义务，其他监管机构可以在其成员国领土内根据第 55 条通过临时措施。在这种情况下，应根据第 66 条第 1 款推定存在紧急行动需要，并需要根据第 66 条第 2 款从委员会获得意见或紧急约束性决定。

第二节一致性

第 63 条一致性机制

为了促进本条例在整个欧盟的一致适用，监管机构应通过本节规定的一致性机制相互合作，并在相关情况下与委员会合作。

第 64 条委员会的意见

如果主管监管机构打算采取以下任何措施，委员会应发表意见。为此，主管监管机构应在以下情况下向委员会传达决定草案：
a) 旨在通过根据第 35 条第 4 款需要进行数据保护影响评估的处理操作清单；
b) 涉及根据第 40 条第 7 款的行为准则草案或行为准则的修改或扩展是否符合本条例的事项；
c) 旨在批准根据第 41 条第 3 款的机构认可要求、根据第 43 条第 3 款的认证机构或第 42 条第 5 款所述的认证标准；
d) 旨在确定第 46 条第 2 款 (d) 项和第 28 条第 8 款所述的标准数据保护条款；
e) 旨在授权第 46 条第 3 款 (a) 项所述的合同条款；或
f) 旨在批准第 47 条所述意义上的有约束力的公司规则。
任何监管机构、委员会主席或委员会可以请求审查涉及一般适用或在多个成员国产生影响的任何问题，特别是如果主管监管机构未根据第 61 条遵守互助义务或根据第 62 条遵守联合行动义务。
在第 1 款和第 2 款所述的情况下，委员会应就提交给它的事项发表意见（前提是它尚未就同一事项发表意见）。该意见应在八周内以委员会成员的简单多数通过。考虑到主题事项的复杂性，该期限可以延长六周。关于根据第 5 款分发给委员会成员的决定草案，未在主指明的合理期限内提出异议的成员应被视为同意该决定草案。
监管机构应通过电子方式使用标准化格式毫不延迟地向委员会传达任何相关信息，包括在适当情况下事实摘要、决定草案、使此类措施成为必要的理由以及相关监管机构的意见。
委员会主席应通过电子方式毫不延迟地告知：
a) 委员会成员和委员会已使用标准化格式传达给它的任何相关信息。委员会秘书处应在必要时提供相关信息的翻译；以及
b) 第 1 款和第 2 款所述的监管机构以及委员会该意见，并使其公开。
第 1 款所述的主管监管机构在第 3 款所述的期限内不得通过其决定草案。
第 1 款所述的主管监管机构应在收到意见后两周内通过电子方式告知委员会主席其是否将维持或修改其决定草案，以及（如有）修订后的决定草案，使用标准化格式。
如果第 1 款所述的主管监管机构在本条第 7 款所述的期限内告知委员会主席其不打算遵循委员会的意见（全部或部分），并提供相关理由，则应适用第 65 条第 1 款。

第 65 条委员会的争议解决

为了确保本条例在个别案件中的正确和一致适用，委员会应在以下情况下通过约束性决定：
a) 在第 60 条第 4 款所述的情况下，相关监管机构已对主要监管机构的决定草案提出相关和合理的反对，且主要监管机构未遵循该反对或认为该反对不相关或不合理。约束性决定应涉及相关和合理反对的所有事项，特别是是否存在违反本条例的行为；
b) 对于哪个监管机构对主要机构有管辖权存在冲突观点；
c) 如果主管监管机构在第 64 条第 1 款所述的情况下未请求委员会的意见，或不遵循根据第 64 条发表的委员会意见。在这种情况下，任何相关监管机构或委员会可以将该事项传达给委员会。
第 1 款所述的决定应在事项被转介后一个月内以委员会成员的三分之二多数通过。考虑到主题事项的复杂性，该期限可以延长一个月。第 1 款所述的决定应说明理由并送达主要监管机构和所有相关监管机构，且对它们具有约束力。
如果委员会未能在第 2 款所述的期限内通过决定，它应在第 2 款所述的第二个月届满后两周内以委员会成员的简单多数通过其决定。如果委员会成员分裂，决定应由其主席投票通过。
相关监管机构在第 2 款和第 3 款所述的期限内不得对根据第 1 款提交给委员会的主题事项作出决定。
委员会主席应毫不延迟地将第 1 款所述的决定通知相关监管机构。它应告知委员会。该决定应在监管机构通知第 6 款所述的最终决定后毫不延迟地在委员会网站上公布。
主要监管机构或在适当情况下已收到投诉的监管机构应根据本条第 1 款所述的决定通过其最终决定，且毫不延迟地且在委员会通知其决定后最迟一个月内通过。主要监管机构或在适当情况下已收到投诉的监管机构应将其最终决定分别通知控制者或处理者以及数据主体的日期告知委员会。相关监管机构的最终决定应根据第 60 条第 7 款、第 8 款和第 9 款的条款通过。最终决定应提及本条第 1 款所述的决定，并应说明该决定将根据本条第 5 款在委员会网站上公布。最终决定应附上本条第 1 款所述的决定。

第 66 条紧急程序

在特殊情况下，如果相关监管机构认为有必要紧急行动以保护数据主体的权利和自由，它可以通过减损第 63 条、第 64 条和第 65 条所述的一致性机制或第 60 条所述的程序，立即在其领土内通过旨在产生法律效力的临时措施，且指定的有效期不得超过三个月。监管机构应毫不延迟地将这些措施及其通过的理由告知其他相关监管机构、委员会和委员会。
如果监管机构根据第 1 款采取了措施并认为需要紧急通过最终措施，它可以请求委员会发表紧急意见或作出紧急约束性决定，并说明请求此类意见或决定的理由。
如果主管监管机构在存在紧急行动需要以保护数据主体的权利和自由的情况下未采取适当措施，任何监管机构都可以请求委员会发表紧急意见或作出紧急约束性决定（视情况而定），并说明请求此类意见或决定的理由，包括紧急行动的需要。
作为第 64 条第 3 款和第 65 条第 2 款的减损，本条第 2 款和第 3 款所述的紧急意见或紧急约束性决定应在两周内以委员会成员的简单多数通过。

第 67 条信息交换

委员会可以采用一般范围和执行行为，以具体说明监管机构之间以及监管机构与委员会之间通过电子手段交换信息的安排，特别是第 64 条所述的标准化格式。

这些执行行为应根据第 93 条第 2 款所述的审查程序通过。

第三节欧洲数据保护委员会

第 68 条欧洲数据保护委员会

特此设立欧洲数据保护委员会（“委员会”）作为欧盟机构，应具有法人资格。
委员会应由其主席代表。
委员会应由每个成员国一个监管机构的负责人和欧洲数据保护监督官或其各自代表组成。
如果一个成员国有一个以上监管机构负责监控根据本条例规定的适用，则应根据该成员国法律任命一名联合代表。
委员会应有权参与委员会的活动和会议，但无投票权。委员会应指定一名代表。委员会主席应向委员会传达委员会的活动。
在第 65 条所述的情况下，欧洲数据保护监督官仅在对涉及适用于欧盟机构、机关、办事处和机构的原则和规则（实质上与本条例的原则和规则相对应）的决定有投票权。

第 69 条独立性

委员会在履行第 70 条和第 71 条所述的任务或行使其权力时应独立行事。
在不影响第 70 条第 1 款和第 2 款所述的委员会请求的情况下，委员会在履行其任务或行使其权力时不得寻求或接受任何人的指示。

第 70 条委员会的任务

委员会应确保本条例的一致适用。为此，委员会应主动或在相关情况下应委员会的请求，特别：
a) 在不影响国家监管机构任务的情况下，在第 64 条和第 65 条规定的情况下监控并确保本条例的正确适用；
b) 就欧盟内个人数据保护的任何问题向委员会提供建议，包括对本条例的任何拟议修正；
c) 就控制者、处理者和监管机构之间就有约束力的公司规则交换信息的格式和程序向委员会提供建议；
d) 发布关于从公开可用的通信服务中删除链接、副本或个人数据复制的程序（如第 17 条第 2 款所述）的指南、建议和最佳实践；
e) 主动、应其成员请求或应委员会请求，审查涉及本条例适用的任何问题，并发布指南、建议和最佳实践，以鼓励本条例的一致适用；
f) 根据本款 (e) 项发布指南、建议和最佳实践，以进一步具体说明根据第 22 条第 2 款基于画像的决定的标准和条件；
g) 根据本款 (e) 项发布指南、建议和最佳实践，以建立第 33 条第 1 款和第 2 款所述的个人数据泄露并确定不当延迟，以及控制者或处理者需要通知个人数据泄露的特定情况；
h) 根据本款 (e) 项发布指南、建议和最佳实践，以说明第 34 条第 1 款所述的个人数据泄露很可能对自然人的权利和自由造成高风险的情况；
i) 根据本款 (e) 项发布指南、建议和最佳实践，以进一步具体说明基于控制者遵守的有约束力的公司规则和处理者遵守的有约束力的公司规则的个人数据转移的标准和要求（如第 47 条所述），以及确保保护相关数据主体个人数据的进一步必要要求；
j) 根据本款 (e) 项发布指南、建议和最佳实践，以进一步具体说明基于第 49 条第 1 款的个人数据转移的标准和要求；
k) 为监管机构制定关于适用第 58 条第 1 款、第 2 款和第 3 款所述措施以及根据第 83 条设定行政罚款的指南；
l) 审查指南、建议和最佳实践的实际应用；
m) 根据本款 (e) 项发布指南、建议和最佳实践，以建立自然人根据第 54 条第 2 款报告违反本条例行为的共同程序；
n) 鼓励根据第 40 条和第 42 条制定行为准则并建立数据保护认证机制以及数据保护印章和标记；
o) 根据第 42 条第 5 款批准认证标准，并根据第 42 条第 8 款维护认证机制和数据保护印章和标记的公开登记册，以及根据第 42 条第 7 款设立在第三国的经认证控制者或处理者；
p) 批准第 43 条第 3 款所述的要求，以认可第 43 条所述的认证机构；
q) 就第 43 条第 8 款所述的认证要求向委员会提供意见；
r) 就第 12 条第 7 款所述的图标向委员会提供意见；
s) 就评估第三国或国际组织保护级别的充分性向委员会提供意见，包括评估第三国、该第三国境内的一个领土或一个或多个特定部门，或国际组织是否不再确保充分的保护级别。为此，委员会应向委员会提供所有必要文件，包括与第三国政府关于该第三国、领土或特定部门，或与国际组织的通信；
t) 根据第 64 条所述的一致性机制就监管机构的决定草案发表意见，就根据第 64 条第 2 款提交的事项发表意见，并根据第 65 条作出约束性决定，包括第 66 条所述的情况；
u) 促进监管机构之间的合作以及信息和最佳实践的有效双边和多边交换；
v) 促进共同培训计划并促进监管机构之间的人员交流，并在适当情况下与第三国家的监管机构或国际组织进行人员交流；
w) 促进与世界各地的数据保护监管机构交换关于数据保护立法和实践的知识和文件；
x) 就根据第 40 条第 9 款在欧盟层面制定的行为准则发表意见；以及
y) 维护公开可用的电子登记册，记录监管机构和法院在一致性机制中处理的事项的决定。
如果委员会请求委员会的建议，它可以指明时限，同时考虑事项的紧急性。
委员会应将其意见、指南、建议和最佳实践转发给委员会和第 93 条所述的委员会，并使其公开。
委员会在适当情况下应咨询利益相关者，并给它们在合理期限内评论的机会。委员会应在不影响第 76 条的情况下，使咨询程序的结果公开可用。

第 71 条报告

委员会应编制关于欧盟内以及（在相关情况下）第三国家和国际组织中自然人保护的年度报告。该报告应公开并传送给欧洲议会、理事会和委员会。
年度报告应包括对第 70 条第 1 款 (l) 项所述的指南、建议和最佳实践的实际应用审查，以及对第 65 条所述的约束性决定的审查。

第 72 条程序

委员会应以成员的简单多数作出决定，除非本条例另有规定。
委员会应以其成员的三分之二多数通过其自己的程序规则，并组织其自己的运营安排。

第 73 条主席

委员会应以其成员的简单多数从其成员中选举一名主席和两名副主席。
主席和副主席的任期为五年，可连任一次。

第 74 条主席的任务

主席应有以下任务：
a) 召集委员会会议并准备其议程；
b) 将根据第 65 条通过的委员会决定通知主要监管机构和相关监管机构；
c) 确保委员会任务的及时履行，特别是关于第 63 条所述的一致性机制。
委员会应在其程序规则中规定主席和副主席之间的任务分配。

第 75 条秘书处

委员会应设有秘书处，由欧洲数据保护监督官提供。
秘书处应仅在委员会主席的指示下履行其任务。
参与履行本条例赋予委员会任务的欧洲数据保护监督官员工应与参与履行赋予欧洲数据保护监督官任务的员工分开报告。
在适当情况下，委员会和欧洲数据保护监督官应建立并公布谅解备忘录，实施本条，确定其合作条款，并适用于参与履行本条例赋予委员会任务的欧洲数据保护监督官员工。
秘书处应为委员会提供分析、行政和后勤支持。
秘书处应特别负责：
a) 委员会的日常事务；
b) 委员会成员、其主席与委员会之间的沟通；
c) 与其他机构和公众的沟通；
d) 使用电子手段进行内部和外部沟通；
e) 相关信息的翻译；
f) 委员会会议的准备和后续工作；
g) 意见的起草、准备和发布、监管机构之间争议的解决以及委员会通过的其他文本。

第 76 条机密性

如果委员会认为必要，其讨论应根据其程序规则保密。
提交给委员会成员、专家和第三方代表的文件的访问应受欧洲议会、理事会和委员会第 (EC) No 1049/2001 号条例¹ 管辖。

¹ 欧洲议会和理事会 2001 年 5 月 30 日关于欧洲议会、理事会和委员会文件公众访问的第 (EC) No 1049/2001 号条例（OJ L 145, 31.5.2001, p. 43）。

第八章救济、责任和处罚

第 77 条向监管机构投诉的权利

在不影响任何其他行政或司法救济的情况下，每个数据主体应有权向监管机构投诉，特别是在其惯常居住地、工作地或涉嫌侵权地的成员国，如果数据主体认为与其相关的个人数据处理违反本条例。
收到投诉的监管机构应将投诉的进展和结果（包括根据第 78 条寻求司法救济的可能性）告知投诉人。

第 78 条对监管机构的有效司法救济权

在不影响任何其他行政或非司法救济的情况下，每个自然人或法人应有权对涉及其的监管机构具有法律约束力的决定寻求有效司法救济。
在不影响任何其他行政或非司法救济的情况下，每个数据主体应有权寻求有效司法救济，如果根据第 55 条和第 56 条有管辖权的监管机构未处理投诉或未在三个月内将根据第 77 条提出的投诉的进展或结果告知数据主体。
对监管机构提起的诉讼应在监管机构设立地的成员国法院进行。
如果对监管机构在一致性机制中基于委员会意见或决定作出的决定提起诉讼，监管机构应将该意见或决定转发给法院。

第 79 条对控制者或处理者的有效司法救济权

在不影响任何可用的行政或非司法救济（包括根据第 77 条向监管机构投诉的权利）的情况下，每个数据主体应有权寻求有效司法救济，如果其认为由于未按本条例处理其个人数据而导致其根据本条例的权利受到侵犯。
对控制者或处理者提起的诉讼应在控制者或处理者设有机构的成员国法院进行。或者，此类诉讼可以在数据主体有惯常居住地的成员国法院提起，除非控制者或处理者是行使其公共权力的成员国公共当局。

第 80 条数据主体的代表

数据主体应有权委托根据成员国法律适当成立的非营利机构、组织或协会（其法定目标符合公共利益，且在保护数据主体与个人数据保护相关的权利和自由领域活跃）代表其提出投诉、代表其行使第 77 条、第 78 条和第 79 条所述的权利，并在成员国法律规定的情况下代表其行使第 82 条所述的获得赔偿的权利。
成员国可以规定，本条第 1 款所述的任何机构、组织或协会（独立于数据主体的委托）有权在该成员国向根据第 77 条有管辖权的监管机构提出投诉，并行使第 78 条和第 79 条所述的权利，如果其认为数据主体根据本条例的权利已因处理而受到侵犯。

第 81 条诉讼中止

如果成员国主管法院获悉关于同一控制者或处理者的处理涉及同一主题事项的诉讼在另一成员国法院待决，它应联系另一成员国的该法院以确认此类诉讼的存在。
如果关于同一控制者或处理者的处理涉及同一主题事项的诉讼在另一成员国法院待决，除首先受理的法院外的任何主管法院可以中止其诉讼。
如果这些诉讼在一审待决，除首先受理的法院外的任何法院也可以应一方当事人的请求拒绝管辖，如果首先受理的法院对有关诉讼有管辖权且其法律允许合并。

第 82 条赔偿权和责任

任何因违反本条例而遭受物质或非物质损害的人应有权从控制者或处理者获得对所受损害的赔偿。
参与处理的任何控制者应对违反本条例的处理造成的损害负责。处理者仅在未遵守本条例专门针对处理者的义务或在与控制者的合法指示之外或相反行事的情况下，才对处理造成的损害负责。
如果控制者或处理者证明其对导致损害的事件没有任何责任，则应根据第 2 款免除责任。
如果多个控制者或处理者或控制者和处理者都参与同一处理，且它们根据第 2 款和第 3 款对处理造成的任何损害负责，则每个控制者或处理者应对全部损害承担责任，以确保对数据主体的有效赔偿。
如果控制者或处理者已根据第 4 款全额赔偿所受损害，该控制者或处理者应有权根据第 2 款规定的条件，从参与同一处理的其他控制者或处理者追回与其对损害的责任部分相对应的赔偿部分。
行使获得赔偿权的诉讼应在第 79 条第 2 款所述的成员国法律下有管辖权的法院提起。

第 83 条施加行政罚款的一般条件

每个监管机构应确保根据本条对违反本条例的行为（如第 4 款、第 5 款和第 6 款所述）施加行政罚款在每个案件中都是有效、相称和劝诫性的。
行政罚款应根据每个案件的情况，除或代替第 58 条第 2 款 (a) 至 (h) 项和 (j) 项所述的措施外施加。在决定是否施加行政罚款以及在每个案件中决定行政罚款金额时，应适当考虑以下因素：
a) 违反的性质、严重性和持续时间，考虑到处理的性质、范围或目的、受影响的数据主体数量以及他们遭受的损害程度；
b) 违反的故意或疏忽性质；
c) 控制者或处理者为减轻数据主体所受损害而采取的任何行动；
d) 控制者或处理者的责任程度，考虑到它们根据第 25 条和第 32 条实施的技术和组织措施；
e) 控制者或处理者的任何相关先前违反；
f) 与监管机构合作的程度，以补救违反并减轻违反的可能不利影响；
g) 受违反影响的个人数据类别；
h) 违反被监管机构知晓的方式，特别是控制者或处理者是否以及在何种程度上通知了违反；
i) 如果之前已根据第 58 条第 2 款对控制者或处理者下达了关于同一主题事项的措施，对这些措施的遵守情况；
j) 遵守根据第 40 条批准的经批准行为准则或根据第 42 条批准的经批准认证机制；以及
k) 适用于案件情况的任何其他加重或减轻因素，例如从违反中直接或间接获得的财务利益或避免的损失。
如果控制者或处理者故意或疏忽地为相同或相关的处理操作违反本条例的多项规定，行政罚款总额不得超过最严重违反规定的金额。
违反以下规定应根据第 2 款处以最高 10,000,000 欧元的行政罚款，或如果是企业，最高为其前一财政年度全球年营业额的 2%，以较高者为准：
a) 控制者和处理者根据第 8 条、第 11 条、第 25 条至第 39 条以及第 42 条和第 43 条的义务；
b) 认证机构根据第 42 条和第 43 条的义务；
c) 监控机构根据第 41 条第 4 款的义务。
违反以下规定应根据第 2 款处以最高 20,000,000 欧元的行政罚款，或如果是企业，最高为其前一财政年度全球年营业额的 4%，以较高者为准：
a) 处理的基本原则，包括同意条件，根据第 5 条、第 6 条、第 7 条和第 9 条；
b) 数据主体的权利，根据第 12 条至第 22 条；
c) 向第三国或国际组织的接收者转移个人数据，根据第 44 条至第 49 条；
d) 根据第九章通过的成员国法律规定的任何义务；
e) 不遵守监管机构根据第 58 条第 2 款下达的命令或临时或最终限制处理或暂停数据流，或未能根据第 58 条第 1 款提供访问。
不遵守监管机构根据第 58 条第 2 款下达的命令应根据本条第 2 款处以最高 20,000,000 欧元的行政罚款，或如果是企业，最高为其前一财政年度全球年营业额的 4%，以较高者为准。
在不影响监管机构根据第 58 条第 2 款的纠正权力的情况下，每个成员国可以制定关于是否以及在何种程度上可以对设立在该成员国的公共当局和机构施加行政罚款的规则。
监管机构根据本条行使其权力应受欧盟和成员国法律规定的适当程序保障措施约束，包括有效司法救济和正当程序。
如果成员国的法律体系未规定行政罚款，本条可以适用，使得罚款由主管监管机构启动并由主管国家法院施加，同时确保这些法律救济有效且与监管机构施加的行政罚款具有同等效果。在任何情况下，施加的罚款应是有效、相称和劝诫性的。成员国应在 2018 年 5 月 25 日前将其根据本款通过的法律条款通知委员会，并在任何后续影响这些条款的修正法律或修正后毫不延迟地通知。

第 84 条处罚

成员国应制定适用于违反本条例的其他处罚规则（特别是不受根据第 83 条行政罚款约束的违反），并应采取所有必要措施确保其实施。此类处罚应是有效、相称和劝诫性的。
每个成员国应在 2018 年 5 月 25 日前将其根据第 1 款通过的法律条款通知委员会，并在任何后续影响这些条款的修正后毫不延迟地通知。

第九章特定处理情况的规定

第 85 条处理与言论自由和信息权

成员国应通过法律协调根据本条例保护个人数据的权利与言论自由和信息权（包括为新闻目的以及学术、艺术或文学表达目的进行的处理）。
对于为新闻目的或学术、艺术或文学表达目的进行的处理，成员国应规定对第二章（原则）、第三章（数据主体权利）、第四章（控制者和处理者）、第五章（向第三国或国际组织转移个人数据）、第六章（独立监管机构）、第七章（合作与一致性）和第九章（特定数据处理情况）的豁免或减损，如果这些豁免或减损对于协调个人数据保护权与言论自由和信息权是必要的。
每个成员国应将其根据第 2 款通过的法律条款通知委员会，并在任何后续修正法律或影响这些条款的修正后毫不延迟地通知。

第 86 条处理与官方文件公众访问权

公共当局或公共机构或私营机构为执行公共利益任务而持有的官方文件中的个人数据，可以根据该公共当局或机构所属的欧盟或成员国法律由该当局或机构披露，以协调官方文件公众访问权与根据本条例保护个人数据的权利。

第 87 条国民身份号码的处理

成员国可以进一步确定处理国民身份号码或任何其他通用标识符的具体条件。
在这种情况下，国民身份号码或任何其他通用标识符应仅在本条例规定的数据主体权利和自由的适当保障措施下使用。

第 88 条就业背景下的处理

成员国可以通过法律或集体协议制定更具体的规则，以确保在就业背景下处理员工个人数据方面的权利和自由保护，特别是为了招聘、履行劳动合同（包括履行法律或集体协议规定的义务）、管理、规划和工作组织、工作场所平等和多样性、工作健康和安全、保护雇主或客户财产，以及为了个别或集体行使和享受与就业相关的权利和福利，以及为了终止雇佣关系。
这些规则应包括适当和具体的措施，以保障数据主体的人格尊严、合法利益和基本权利，特别关注处理透明度、企业集团或从事联合经济活动的企业集团内的个人数据转移，以及工作场所监控系统。
每个成员国应在 2018 年 5 月 25 日前将其根据第 1 款通过的法律条款通知委员会，并在任何后续影响这些条款的修正后毫不延迟地通知。

第 89 条为公共利益、科学或历史研究目的或统计目的归档处理的保障措施和减损

为公共利益、科学或历史研究目的或统计目的进行的归档处理应根据本条例接受对数据主体权利和自由的适当保障措施。这些保障措施应确保实施技术和组织措施（特别是为了确保尊重数据最小化原则）。这些措施可以包括假名化（如果这些目的可以以这种方式实现）。如果这些目的可以通过不再允许识别数据主体的进一步处理实现，则应以这种方式实现这些目的。
如果个人数据被用于科学或历史研究目的或统计目的处理，欧盟或成员国法律可以在遵守第 1 款所述条件和保障措施的情况下，规定对第 15 条、第 16 条、第 18 条和第 21 条所述权利的减损，只要这些权利可能使实现特定目的变得不可能或严重损害，且此类减损对于实现这些目的是必要的。
如果个人数据被用于公共利益归档目的处理，欧盟或成员国法律可以在遵守第 1 款所述条件和保障措施的情况下，规定对第 15 条、第 16 条、第 18 条、第 19 条、第 20 条和第 21 条所述权利的减损，只要这些权利可能使实现特定目的变得不可能或严重损害，且此类减损对于实现这些目的是必要的。
如果第 2 款和第 3 款所述的处理同时服务于另一目的，则减损应仅适用于第 2 款和第 3 款所述目的的处理。

第 90 条保密义务

如果控制者或处理者根据欧盟或成员国法律或国家主管机构制定的规则受职业保密或其他同等保密义务约束，成员国可以采用具体规则，规定第 58 条第 1 款 (e) 项和 (f) 项所述监管机构相对于此类控制者或处理者的权力（如果这对于协调个人数据保护权与保密义务是必要和相称的）。这些规则应仅适用于控制者或处理者因该保密义务涵盖的活动而收到或获得的个人数据。
每个成员国应在 2018 年 5 月 25 日前将其根据第 1 款通过的规则通知委员会，并在任何后续影响这些规则的修正后毫不延迟地通知。

第 91 条教会和宗教协会的现有数据保护规则

如果在成员国，教会和宗教协会或社区在本条例生效时适用与保护自然人相关的全面规则，此类规则可以继续适用，前提是它们与本条例保持一致。
根据第 1 款适用全面规则的教会和宗教协会应接受独立监管机构的监督（可以是特定的），前提是它满足本条例第六章规定的条件。

第十章授权行为和执行行为

第 92 条授权的行使

根据本条规定的条件，授予委员会通过授权行为的权力。
第 12 条第 8 款和第 43 条第 8 款所述的权力授予应自 2016 年 5 月 24 日起无限期授予委员会。
第 12 条第 8 款和第 43 条第 8 款所述的权力授予可以随时由欧洲议会或理事会撤销。撤销决定应终止该决定中规定的权力授予。它应在欧盟官方公报公布之日或该决定中指定的较晚日期生效。它不应影响任何已生效的授权行为的有效性。
委员会通过授权行为后，应同时通知欧洲议会和理事会。
根据第 12 条第 8 款和第 43 条第 8 款通过的授权行为仅在欧洲议会或理事会在通知该行为后三个月内未表示异议，或在该期限届满前欧洲议会和理事会都告知委员会它们不会提出异议的情况下才能生效。该期限可以由欧洲议会或理事会主动延长三个月。

第 93 条委员会程序

委员会应由委员会协助。该委员会应为第 (EU) No 182/2011 号条例¹ 意义上的委员会。
如果引用本款，应适用第 (EU) No 182/2011 号条例第 5 条。
如果引用本款，应适用第 (EU) No 182/2011 号条例第 8 条（结合其第 5 条）。

¹ 欧洲议会和理事会 2011 年 2 月 16 日第 (EU) No 182/2011 号条例，规定成员国控制委员会行使委员会执行权力的规则和一般原则。

第十一章最后规定

第 94 条废除 95/46/EC 号指令

95/46/EC 号指令自 2018 年 5 月 25 日起废除。
对被废除指令的引用应解释为对本条例的引用。对根据 95/46/EC 号指令第 29 条设立的个人数据处理保护工作组的引用应解释为对本条例设立的欧洲数据保护委员会的引用。

第 95 条与 2002/58/EC 号指令的关系

本条例不应在欧盟公共通信网络中提供公开可用的电子通信服务的自然人或法人施加与处理相关的额外义务（关于它们根据 2002/58/EC 号指令² 受相同目标的特定义务约束的事项）。

² 欧洲议会和理事会 2002 年 7 月 12 日第 2002/58/EC 号指令，关于电子通信部门处理个人数据和保护隐私（OJ L 201, 31.7.2002, p. 37）。

第 96 条与先前达成的协议的关系

成员国在 2016 年 5 月 24 日之前缔结的涉及向第三国或国际组织转移个人数据的国际协议（且在该日期之前符合适用的欧盟法律）应继续保持有效，直到被修改、替换或撤销。

第 97 条委员会报告

到 2020 年 5 月 25 日及之后每四年，委员会应向欧洲议会和理事会提交关于本条例评估和审查的报告。这些报告应公开。
在第 1 款所述的评估和审查中，委员会应特别审查以下内容的适用和运作：
a) 第五章关于向第三国或国际组织转移个人数据，特别是关于根据本条例第 45 条第 3 款通过的决定和根据 95/46/EC 号指令第 25 条第 6 款通过的决定；
b) 第七章关于合作与一致性。
为了第 1 款的目的，委员会可以请求成员国和监管机构提供信息。
在进行第 1 款和第 2 款所述的评估和审查时，委员会应考虑欧洲议会、理事会和其他相关机构或来源的立场和调查结果。
委员会应在必要时提交适当提案以修改本条例，特别是考虑到信息技术的发展和信息社会的进步状况。

第 98 条对其他欧盟个人数据保护法律行为的审查

委员会应在适当情况下提交立法提案，以修改其他关于个人数据保护的欧盟法律行为，以确保自然人在处理方面获得统一和一致的保护。
这应特别涉及关于欧盟机构、机关、办事处和代理机构处理保护自然人以及此类数据自由流动的规则。

第 99 条生效和适用

本条例应在欧盟官方公报公布后的第二十天生效。
本条例应自 2018 年 5 月 25 日起适用。

关于 GDPR 序言（Recitals，可以理解为司法解读）共 173 条的完整翻译参见：GDPR.Recitals-zh.md。 本文作为 GDPR 正式法律条文的完整翻译，仅供参考，不构成正式的法律或合规建议。如需正式引用，请参考 GDPR 官方文档。

GDPR

GDPR 通用数据保护条例

通用数据保护条例 (GDPR) 中文版

目录

第一章 一般规定

第 1 条 主题和目标

第 2 条 实质范围

第 3 条 地域范围

第 4 条 定义

第二章 原则

第 5 条 个人数据处理原则

第 6 条 处理的合法性

第 7 条 同意的条件

第 8 条 关于信息社会服务中儿童同意的适用条件

第 9 条 特殊类别个人数据的处理

第 10 条 与刑事定罪和犯罪相关的个人数据处理

第 11 条 不需要识别的处理

第三章 数据主体的权利

第一节 透明度和模式

第 12 条 数据主体行使权利的透明信息、沟通和模式

第二节 个人数据的信息和访问

第 13 条 从数据主体收集个人数据时应提供的信息

第 14 条 未从数据主体获得个人数据时应提供的信息

第 15 条 数据主体的访问权

第 16 条 更正权

第三节 更正和删除

第 17 条 删除权（“被遗忘权”）

第 18 条 限制处理权

第 19 条 关于个人数据更正或删除或限制处理的通知义务

第 20 条 数据可移植权

第四节 反对权和自动化个人决策

第 21 条 反对权

第 22 条 自动化个人决策（包括画像）

第五节 限制

第 23 条 限制

第四章 控制者和处理者

第一节 一般义务

第 24 条 控制者的责任

第 25 条 设计的数据保护和默认的数据保护

第 26 条 联合控制者

第 27 条 未在欧盟设立的控制者或处理者的代表

第 28 条 处理者

第 29 条 在控制者或处理者授权下进行处理

第 30 条 处理活动记录

第 31 条 与监管机构合作

第二节 个人数据的安全

第 32 条 处理安全

第 33 条 向监管机构通知个人数据泄露

第 34 条 向数据主体传达个人数据泄露

第三节 数据保护影响评估和事先咨询

第 35 条 数据保护影响评估

第 36 条 事先咨询

第四节 数据保护官

第 37 条 数据保护官的指定

第 38 条 数据保护官的地位

第 39 条 数据保护官的任务

第五节 行为准则和认证

第 40 条 行为准则

第 41 条 经批准行为准则的监控

第 42 条 认证

第 43 条 认证机构

第五章 向第三国或国际组织传输个人数据

第 44 条 传输的一般原则

第 45 条 基于充分性决定的转移

第 46 条 受适当保障措施约束的转移

第 47 条 有约束力的公司规则

第 48 条 未经欧盟法律授权的转移或披露

第 49 条 特定情况的减损

第 50 条 保护个人数据的国际合作

第六章 独立监管机构

第一节 独立地位

第 51 条 监管机构

第 52 条 独立性

第 53 条 监管机构成员的一般条件

第 54 条 关于监管机构设立的规则

第 55 条 管辖权

第 56 条 主要监管机构的管辖权

第二节 能力、任务和权力

第 57 条 任务

第 58 条 权力

第 59 条 活动报告