a同意

b履行合同的必要，或订立合同前基于数据主体的请求

c法定义务

d保护数据主体或另一个自然人的核心利益

e为了公共利益或基于官方权威

f追求正当利益必要

网络表单

纸张上

口头上

同意的“行为需要明确”

撤回同意不影响撤回前的处理

撤回同意应该和同意一样容易

儿童：定义限制于13~16岁（可根据成员国法适用）

信息社会服务：以报偿为目的的服务（例如商业合同）

合法性基础是同意的前提下

方式：例如可通过家长的邮箱确认，监护人的信件或个人电话

内容：以儿童能够理解的方式（鉴于58）

禁止泄露特殊类型个人数据

禁止以识别个人为目的处理

禁止处理

明确同意

履行职责

无法同意却必要

非盈利机构的正当性活动

已公开

司法活动

公共利益

预防性医学或临床医学目的、评估工作能力

公共健康

公共利益、科学或历史研究目的或统计目的

收到请求后1个月内提供，除非有复杂和多样性（可延2个月）

应当是免费的，除非不具备正当理由或超出限度

可要求提供额外信息以确认数据主体身份

提供隐私声明

时间：在首次使用数据前且通常是收集后的30天内提供PP

提供隐私声明

有权访问的信息

反馈时间：应一个月，特殊原因可延长两个月（但应在一个月内提出）

反馈形式：电子方式获得，应电子方式提供

需要优先确认请求主体的身份

费用

有权即使对不正确信息进行更正、完善

设计：可把访问权的程序放在一起（例如同一个页面既访问又更正）

有责任删除的情形

已公开的，应考虑技术成本告知正在处理的其他控制者

例外

限制处理的情形

在存在上述情形时，只有如下情形可以处理

限制被解除前应告知数据主体

流程：可能需要考虑对请求理由和限制依据的标准的比较

困难：需要将该数据从标准的数据处理系统中隔离出来

应告知给已披露的每个接受者，除非此告知不可能或需要付出不相称的工作

情形

技术可行，有权直接从控制者到控制者

不能影响17条的规定

不能对他人的权利或自由产生负面影响

基于61ef的数据处理，用户画像有权随时反对

直接营销时，用户有权随时拒绝

用户拒绝直接营销，不能再为了此类目的而处理

方式：清晰、与其他信息分开展示

在适用信息社会服务的语境中，仍可以使用技术性条件，通过自动化方式行使反对权

数据主体有权反对

部分情形不能反对

2ac中，数据控制者要采取适当措施保障数据主体权利

2不适用于9（1）的特定数据，除非符合9（2）ag

欧盟成员国可通过立法限制12-22、34、5条的责任与权利

考虑了处理的性质、范围、语境与目的，风险后，采取恰当的技术与组织措施，保障符合本条例规定，必要时措施应被审查。

措施应与处理活动成比例

遵守40条已生效的行为准则、42条已生效的认证机制，可用以证明责任合规性

应当采取合适的技术与组织措施，并且在处理中整合必要的保障措施

保障在默认情况下，只有某个特定处理目的所必要的个人数据被处理

42条认证机制可用来证明合规性

联合确定处理的目的与方法，根据合约安排提供13、14的责任

能反应角色和相互关系

数据主体可以向任一控制者主张权利

在3（2）情形下，控制者应以书面形式在欧盟委任代表

除外情形

为数据主体提供商品或服务，或监控其行为，应在数据主体的所在国设立代表

控制着或处理者应作出强制性规定，确保其代表收到信息，尤其是监管和数据主体的

代表不能影响控制者或处理者进行的法律行动

处理者代表控制者进行处理，控制者只能选用符合本条例要求的处理者

如果没有控制者特别授权或一般书面授权，处理者不能聘用另一个处理者；一般授权任何变动要告知

处理者的处理应受约束，应包括

处理者应聘另一处理者？

处理者遵守40、42可作为证据

合同可全部或部分运用7、8所规定的格式合同

欧盟委员会可根据93（2）制定格式合同

监管机构可根据63制定格式合同

合同必须是书面的，包括电子的

不影响82、83、84 的情形下，违反本条例处理者应被视为控制者

未经控制者允许，处理者，控制着处理者的代表不得处理

控制者及其代表应记录

处理者及其代表应记录

记录应是书面的，包括电子

监管可获取

1、2段的责任不适用于雇员少于250人的公司，除非处理不是偶尔的，且带来风险，或包括9（1）或10规定的

配合监管工作

控制者和处理者应采取的适当技术与组织措施

评估安全级别应考虑处理带来的风险

遵守40、42可作为证据

采取措施确保不会非授权访问

个人数据泄露后，控制者应在72小时内告知55条规定的监管机构，除非泄露不带来风险，延迟告知原因。

处理者泄漏后及时告知控制者

1段中的告知包括

高风险时及时向数据主体传达

应以清晰平白的语言传达，且至少包括33（3）bcd

满足如下情形时不要求告知

监管机构可以要求告知

高风险应在处理前进行评估，多项高风险属于同一种类，评估一种即可

向DPO咨询

必须DPIA的情形

监管应建立公开列表，列明符合DPIA的操作，并告知EDPC

监管可以建立公开列表，列明不需要进行DPIA的类型

在设置列表前，涉及提供商品或服务/多个成员国/实质性影响，应先用63条一致性机制

评估至少应包括

评估DPIA时，应当合理考虑其对40条准则的准守

不影响商业或公共利益或安全性时，控制者应咨询C对其预期处理的观点

基于6（1）ce点而进行的符合欧盟或成员国的法律，1-7不适用

控制者应核查是否符合DPIA

如果DPIA表明高风险，控制者应在处理前咨询监管机构

监管机构认为上述违反本条例，应在8个星期以内提供书面建议，并使用58条权力，可延长6个月（在一个月内告知延长的原因）

咨询时应提供

成员国在起草立法草案/措施时，应咨询监管机构

在履行实现公共利益相关的处理时，成员国法可要求获得监管机构授权

控制者和处理者应委任DPO的情形

如果集团企业很容易联系到DPO可以只设置一个

公共机构或公共实体可共同委任一个DPO

控制者或处理者或代表的协会可其他实体可以委任一名

DPO必须有专业素质，有法律与实践的专业知识

DPO是基于服务合同的职员

发布DPO的联系方式，并向监管报告

所有事项DPO都恰当和及时介入

控制者和处理者要支持DPO，提供操作及资源

控制者和处理者要确保DPO不会收到履行责任的指示，不会因完成任务被解雇，可直接向最高层报告

DS可直接联系DPO

遵守法律，负有保密义务

DPO可完成其他任务，但应保证不会导致利益冲突

至少具有的任务

履行任务时结合处理的性质、范围、语境与目的合理考虑处理操作所伴随的风险