2018年11月21日,欧盟官网发布了《关于欧盟各类官方机构处理个人数据的条例》(“条例”)[1],对欧盟机构在个人数据处理活动中的数据保护和数据自由流动问题进行规定。条例规制主体为处理个人数据的欧盟各类官方机构,此类主体为不受《通用数据保护条例》[2]制约的例外主体[3]。条例将于2018年12月11日起生效,原2001年条例[4]相应废止。下文为重要条款的中文摘要。

章节

条文标题

主要内容

第一章 总则

第1条 主旨与目标

本法规规定了联盟组织与机构在处理个人数据方面的规则来保护自然人,包括组织机构之间个人数据自由流通的规则。

第2条 适用范围

本法规应适用于所有联盟组织、机构、办事处和专门机构对个人数据的处理

第3(2)条 定义

“运作中的个人数据”意指所有被联盟组织、机构、办事处和专门机构执行欧盟运作条约第三部分第4章或第5章及有权机构范围内的活动时所处理的个人数据。

第3(10)条 定义

“联盟组织及机构”意指基于欧盟运作条约、欧盟条约或欧洲原子能共同体公约所设立的联盟组织、机构、办事处和专门机构。

第4条 与个人数据处理相关的原则

(1)   合法、公平、透明原则;

(2)   目的限定原则,出于特定、明确、合法的目的收集个人数据,进一步处理不得有悖于前述目的,除非符合公共利益、科学研究等正当目的;

(3)   数据最小化原则,所收集、处理的个人数据之于其处理目的,应当准确、相关、必要;

(4)   准确原则,确保个人数据准确、时新;

(5)   有限留存原则,除非符合公共利益、科学研究等正当目的,否则对个人数据的留存期限不能超过其处理目的;

(6)   完整、机密原则,采用技术手段确保个人数据安全,不被非法处理、窃取、损毁等;

(7)   责任原则,控制者应当遵守前述六项原则并承担责任。

第三章 数据主体的权利

第17条 数据获取权

数据主体应当有权从管理者处确认关于该主体的个人数据是否正在被处理。

第18条纠正权

数据主体应当有权要求控制者无不当延误地纠正有关其的不准确个人数据。考虑到处理的目的,数据主体应当有权使不完整的个人数据完整,包括通过提供补充聲明的方式。

第19条被遗忘权

数据主体有权要求控制者无不当延误地删除有关其的个人数据。

第20条限制处理权

在特定情形下,包含个人数据不准确、非法处理个人数据、处理个人数据已不符合目的,有权限制控制者处理个人数据。

第22条 数据可携权

数据主体有权将数据从一个数据控制者转移到另一个控制者。

第23条 异议权

数据主体有权在任何时间反对控制者处理其数据,一旦数据主体提出异议,控制者就必须立即停止处理数据。

第四章 控制者和处理者

第26条 控制者的责任

考虑到处理的性质、范围、背景和目的以及对自然人权利和自由可能性和严重程度各不相同的威胁,控制者应实施适当的技术和组织措施,以确保并能够证明处理是按照本法规进行的。

第27条 通过设计和默认实施的数据保护

控制者应当根据26条所述的数据处理的相关属性和风险,实施包括匿名化在内的适当措施以实现数据最小化,并确保在默认情况下只有对每个特定处理目的有必要的个人数据才能被处理。

第28条 联合控制者

联合控制者的定义;联合控制者确定各自的责任与义务的方式。

第29条 处理者

处理者的处理应遵守联盟或成员国法律下的在合同或其他法律行为;

亦提到控制者与处理者相结合、处理者的引入等内容。

第31条 处理活动的记录

每个控制者、处理者应保持其职责范围内的处理活动记录;

对应当包含的信息做出了规定。

第32条 与EDPS的合作

联盟组织和机构应根据要求与EDPS合作履行其任务。

第39条 数据保护影响评估

控制者应考虑处理的相关属性和风险,在处理之前对所设想的处理操作对个人数据保护的影响进行评估;

规定了应评估的情况和评估的内容。

第40条 事前咨询

控制者和处理者应根据情况向EDPS做事前咨询,EDPS应做出书面回复;

规定了应向EDPS提供的信息。

第43条 对数据保护官员的任命

每个联盟组织机构都应任命一名具有专业素质的数据保护官员。

第44条 数据保护官员的职位

数据保护官员的权利和职责。

第45条 数据保护官员的任务

如题

第五章 向第三国或国际组织传输个人数据

规定了传输数据的一般和具体规则、传输数据的保护措施、针对特定情况的克减,及保护个人数据的跨境合作等。

第六章 欧盟数据保护主管

规定设立EDPS,确定EDPS的职责、任命方式、运作方式、独立性、任务等。

第八章 救济、责任和处罚

第63条 向EDPS提出投诉的权利

数据主体在认为其权利受到某项处理的侵犯时向EDPS提出投诉的权利;

EDPS应处理投诉并通知数据主体。

第64条 获得有效的法律救济的权利

法院有权审理与本规则条款有关的所有争议,包括损害赔偿要求;

违反EDPS决定的行为应受到法院审理;

法院亦可以审查罚款数额。

第65条 获得赔偿的权利

因违反本法规的行为而受到损失的人有权从联盟组织和机构处获得赔偿。

第66条 行政罚款

根据每个案件的具体情况,EDPS可能会对联盟组织和机构处以行政罚款;规定了罚款要考虑的具体事项以及对不同条款的违反的罚款数额上限。

第九章 在欧洲联盟运作条约第三部分标题五下的第四章和第五章的范围内进行的活动中,由联盟组织、机构和代理对运作中的个人数据的处理

第71条 与处理运作中的个人数据相关的原则

规定了处理运作中的个人数据应遵守的原则,包括:

(1)  合法性和公平性;

(2)  特定目的;

(3)  数据最小化;

(4)  准确性;

(5)  存储限制;

(6)  完整性和保密性;

对运作中的个人数据的定义请见第3条。

注释:

[1]Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC

[2]Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)

[3]见《通用数据保护条例》第2(3)条:“联盟组织、机构、办事处和专门机构对个人数据的处理适用Regulation (EC) No 45/2001。”

[4]Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data(大成数据保护团队

声明:本文来自个人信息与数据保护实务评论,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。